Mirai, la botnet che controlla migliaia di dispositivi IoT
Solo due mesi fa, a settembre il sito del noto giornalista Brian Krebs è stato colpito da uno dei più grandi attacchi DDoS finora mai registrati. Ironia della sorte, Krebs è uno dei massimi esperti nell’ambito della sicurezza internet con il suo blog the Security Fix.
Krebs non è stata l’unica illustre vittima ad essere recentemente oggetto di attacchi DDoS: il provider DNS Dyn ha subìto, meno di un mese dopo, un massiccio attacco che è stato in grado di rendere irraggiungibile per qualsiasi utente siti come Netflix, Twitter e Spotify.
Non è raro che vengano lanciati attacchi DDoS (su Digital Attack Map è possibile consultare gli attacchi in tempo reale), tuttavia in questi due casi la novità è rappresentata dall’utilizzo di un bot particolare, in grado di attaccare e sfruttare i dispositivi IoT: stiamo parlando di Mirai.
Cos’è e come funziona Mirai
Mirai è un malware in grado di trasformare la maggior parte degli apparati informatici connessi alla rete (come ad esempio le webcam e i router) in computer zombie (detti BOT) in grado di essere risvegliati a comando da remoto. Una volta reclutati all’interno delle botnet, questi dispositivi infetti vengono utilizzati per lanciare attacchi di tipo DDoS.
Mirai sfrutta le vulnerabilità del protocollo di rete Telnet, utilizzato per la connessione a sistemi remoti basati su BusyBox, una distribuzione minimale di tipo Linux dedicata ai dispositivi embedded. A differenza di altri malware più conosciuti, Mirai cifra il traffico che passa tra i dispositivi infetti e il server di controllo remoto, rendendo molto più difficile per i sistemisti individuare i dispositivi infetti.
Secondo il Rapporto sulla Sicurezza Q3 2016 a cura di Akamai, i due attacchi DDoS più grandi mai osservati (registrati rispettivamente a 623 Gbps e 555 Gbps) sono stati sferrati utilizzando Mirai. Un paradosso, se si pensa che Mirai venne in origine programmato per scansionare la rete alla ricerca di dispositivi internet vulnerabili e riparabili, una sorta di quindi di strumento di diagnostica utile a tappare le falle di sicurezza.
Come difendersi da Mirai
È comunque possibile difendersi da Mirai utilizzando alcuni accorgimenti che sarebbe bene eseguire ogni qualvolta si acquista e si collega un qualsiasi dispositivo alla rete:
- Modificare sempre la password di default: come abbiamo visto Mirai è in grado di scansionare la rete dei dispositivi connessi e accedervi tramite l’utilizzo delle credenziali di default impostate dal produttore. Cambiare la password è il primo passo per non farsi individuare.
- Modificare il nome SSID della vostra rete: in questo modo la rete wi-fi non sarà riconducibile a voi o alla vostra famiglia, evitando quindi attacchi mirati verso di voi o verso i vostri dispositivi.
- Fare una lista di tutti i dispositivi di casa e dell’ufficio connessi a internet o ad altre reti: in questo modo potrete controllare lo stato dei vostri router e disabilitare tutti i dispositivi sospetti o sconosciuti.
- Assicurarsi di attivare gli aggiornamenti automatici: in questo modo avrete la certezza che la vostra app e il vostro dispositivo siano sempre protetti. Inoltre per aumentare il livello di inattaccabilità è buona norma controllare periodicamente i siti che rilasciano le patch del firmware.
- Dismettete i dispositivi molto vecchi: se non è più possibile ricevere aggiornamenti scollegate i dispositivi dalla rete, in questo modo non rimarrà aperta nessuna porta ai malintenzionati.