Cos'è la botnet Mirai?

Il malware Mirai sfrutta le falle di sicurezza nei dispositivi IoT e ha il potenziale per sfruttare la potenza collettiva di milioni di dispositivi IoT in botnet e lanciare attacchi.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Saperne di più sulla botnet Mirai
  • Scoprire come le botnet stanno cambiando
  • Scoprire perché le botnet sono pericolose
  • Scoprire come sono correlati i dispositivi IoT e le botnet

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è Mirai?

Mirai è un malware che infetta i dispositivi intelligenti che funzionano con processori ARC, trasformandoli in una rete di bot o "zombie" controllati da remoto. Questa rete di bot, chiamata botnet, viene spesso utilizzata per lanciare attacchi DDoS.

Botnet: bot dannosi collegati in rete

Malware, abbreviazione di malicious software (ovvero software dannoso), è un termine generico che comprende worm informatici, virus, trojan horse, rootkit e spyware.

Nel settembre 2016, gli autori del malware Mirai hanno lanciato un attacco DDoS sul sito Web di un noto esperto di sicurezza. Una settimana dopo pubblicarono il codice sorgente al mondo, forse nel tentativo di nascondere le origini dell'attacco. Questo codice è stato rapidamente replicato da altri criminali informatici e si ritiene che sia alla base del massiccio attacco che ha messo fuori uso il fornitore di servizi di registrazione di domini, Dyn, nell'ottobre 2016.

Come funziona Mirai?

Mirai esegue la scansione di Internet alla ricerca di dispositivi IoT in esecuzione sul processore ARC. Questo processore esegue una versione ridotta del sistema operativo Linux. Se la combinazione predefinita di nome utente e password non viene modificata, Mirai è in grado di accedere al dispositivo e infettarlo.

IoT, abbreviazione di Internet of Things, è solo un termine di fantasia per i dispositivi intelligenti in grado di connettersi a Internet. Questi dispositivi possono essere baby monitor, veicoli, router di rete, dispositivi agricoli, dispositivi medici, dispositivi di monitoraggio ambientale, elettrodomestici, DVR, telecamere CC, cuffie o rilevatori di fumo.

La botnet Mirai ha impiegato centomila dispositivi IoT dirottati per abbattere Dyn.

Chi erano i creatori della botnet Mirai?

Il ventunenne Paras Jha e il ventenne Josiah White hanno fondato insieme Protraf Solutions, un'azienda che offre servizi di mitigazione degli attacchi DDoS. Il loro era un classico caso di racket: la loro azienda offriva servizi di mitigazione degli attacchi DDoS alle stesse organizzazioni attaccate dal loro malware.

Perché il malware Mirai continua a essere pericoloso?

La Mirai sta mutando.

Sebbene i suoi creatori originali siano stati catturati, il loro codice sorgente sopravvive. Ha dato vita a varianti come l'Okiru, il Satori, il Masuta e il PureMasuta. Ad esempio, PureMasuta è in grado di sfruttare il bug HNAP nei dispositivi D-Link. Il ceppo OMG, d'altra parte, trasforma i dispositivi IoT in proxy che consentono ai criminali informatici di rimanere anonimi.

Esiste anche la botnet potente e scoperta di recente, chiamata IoTrooper e Reaper, che è in grado di compromettere i dispositivi IoT a una velocità molto maggiore di Mirai. The Reaper è in grado di colpire un numero maggiore di produttori di dispositivi e ha un controllo molto maggiore sui suoi bot.

Quali sono i vari modelli di botnet?

Botnet centralizzate

Se si pensa a una botnet come a uno spettacolo teatrale, il server C&C (Command and Control Server, noto anche come C2) è il suo regista. Gli attori di questa commedia sono i vari bot compromessi dall'infezione da malware e inseriti nella botnet.

Quando il malware infetta un dispositivo, il bot invia segnali temporizzati per informare il C&C della sua esistenza. Questa sessione di connessione viene mantenuta aperta finché il C&C non è pronto a impartire ordini al bot per eseguire i suoi ordini, il che può includere l'invio di spam, la decifrazione delle password, attacchi DDoS, ecc.

In una botnet centralizzata, il C&C è in grado di trasmettere comandi direttamente ai bot. Tuttavia, il C&C rappresenta anche un singolo punto di errore: se disattivato, la botnet diventa inefficace.

C&C a livelli

Il controllo delle botnet può essere organizzato su più livelli, con più C&C. Gruppi di server dedicati possono essere designati per uno scopo specifico, ad esempio per organizzare i bot in sottogruppi, per fornire contenuti designati e così via. Ciò rende più difficile smantellare la botnet.

Botnet decentralizzate

Le botnet peer-to-peer (P2P) sono la prossima generazione di botnet. Invece di comunicare con un server centralizzato, i bot P2P agiscono sia come server di comandi sia come client che riceve comandi. In questo modo si evita il problema del singolo punto di errore tipico delle botnet centralizzate. Poiché le botnet P2P operano senza un C&C, è più difficile interromperle. Trojan.Peacomm e Stormnet sono esempi di malware nascosti nelle botnet P2P.

In che modo il malware trasforma i dispositivi IoT in bot o zombie?

In generale, il phishing tramite posta elettronica è un metodo dimostrabilmente efficace per infettare il computer: la vittima viene indotta con l'inganno a cliccare su un collegamento che punta a un sito Web dannoso o a scaricare un allegato infetto. Spesso il codice dannoso è scritto in modo tale che i comuni software antivirus non siano in grado di rilevarlo.

Nel caso di Mirai, l'utente non deve fare molto oltre a lasciare invariati il nome utente e la password predefiniti su un dispositivo appena installato.

Qual è il collegamento tra Mirai e la frode di clic?

Il pay-per-click (PPC), noto anche come costo per clic (CPC), è una forma di pubblicità online in cui un'azienda paga un sito Web per ospitare il proprio annuncio. Il pagamento dipende da quanti visitatori del sito hanno cliccato su quell’annuncio.

Quando i dati CPC vengono manipolati in modo fraudolento, si parla di frode di clic. Ciò può essere fatto facendo in modo che le persone facciano clic manualmente sull'annuncio, tramite software automatizzati o tramite bot. Attraverso questo processo, il sito Web può generare profitti fraudolenti a spese dell'azienda che inserisce tali annunci.

Gli autori originali di Mirai sono stati condannati per aver affittato la loro botnet per attacchi DDoS e frodi di clic.

Perché le botnet sono pericolose?

Le botnet hanno il potenziale per avere un impatto su praticamente ogni aspetto della vita di una persona, indipendentemente dal fatto che utilizzi o meno dispositivi IoT o addirittura Internet. Le botnet possono:

  • Attaccare gli ISP, a volte con conseguente negazione del servizio al traffico legittimo
  • Inviare e-mail di spam
  • Lanciare attacchi DDoS e abbattere siti Web e API
  • Eseguire frodi di clic
  • Risolvere i piccoli problemi dei CAPTCHA sui siti Web per imitare il comportamento umano durante gli accessi
  • Rubare i dati delle carta di credito
  • Trattenere le aziende in ostaggio con minacce di attacchi DDoS

Perché è così difficile contenere la proliferazione delle botnet?

Ci sono molte ragioni per cui è così difficile fermare la proliferazione delle botnet:

Proprietari di dispositivi IoT

Non vi è alcun costo o interruzione del servizio, quindi non vi è alcun incentivo a proteggere il dispositivo intelligente.

I sistemi infetti possono essere ripuliti con un riavvio, ma poiché la scansione per potenziali bot avviene a una velocità costante, è possibile che vengano nuovamente infettati entro pochi minuti dal riavvio. Ciò significa che gli utenti dovranno modificare la password predefinita subito dopo il riavvio oppure dovranno impedire al dispositivo di accedere a Internet finché non riescono a ripristinare il firmware e a modificare la password offline. La maggior parte dei proprietari di dispositivi non ha né il know-how né la motivazione per farlo.

Provider di servizi Internet

L'aumento del traffico sulla loro rete dovuto al dispositivo infetto in genere non è paragonabile al traffico generato dallo streaming multimediale, quindi non c'è molto da preoccuparsi.

Produttori di dispositivi

I produttori di dispositivi sono poco incentivati a investire nella sicurezza dei dispositivi a basso costo. Ritenerli responsabili degli attacchi potrebbe essere un modo per forzare il cambiamento, anche se potrebbe non funzionare nelle regioni in cui l'applicazione delle leggi è poco severa.

Ignorare la sicurezza del dispositivo comporta grandi rischi: Mirai, ad esempio, è in grado di disattivare il software antivirus, rendendone difficile il rilevamento.

Magnitudine

Con oltre un miliardo e mezzo di dispositivi basati su processori ARC che ogni anno invadono il mercato, il numero di dispositivi che possono essere arruolati in potenti botnet implica che il potenziale impatto di queste varianti di malware è aumentato.

Semplicità

I kit di botnet pronti all'uso eliminano la necessità di competenze tecniche. Per un prezzo compreso tra 14,99 e 19,99 dollari, è possibile noleggiare una botnet per un mese intero. Per maggiori dettagli, fai riferimento a Che cosa è un booter/stresser DDoS?.

Standard di sicurezza IoT globali

Non esiste un'entità globale o un consenso per definire e far rispettare gli standard di sicurezza IoT.

Sebbene siano disponibili patch di sicurezza per alcuni dispositivi, gli utenti potrebbero non avere le competenze o l'incentivo per aggiornarle. Molti produttori di dispositivi di fascia bassa non offrono alcun tipo di manutenzione. Per quelli che lo fanno, spesso non è a lungo termine. Inoltre, non è possibile disattivare i dispositivi una volta che gli aggiornamenti non sono più disponibili, il che li rende non sicuri a tempo indeterminato.

Applicazione della legge globale

La difficoltà nel rintracciare e perseguire i creatori di botnet rende arduo il contenimento della proliferazione delle botnet; non esiste un equivalente mondiale dell'Interpol (Organizzazione internazionale di polizia criminale) per la criminalità informatica, con le corrispondenti capacità investigative. Le forze dell'ordine di tutto il mondo spesso non riescono a tenere il passo con i criminali informatici quando si tratta delle ultime tecnologie.

Molte botnet ora utilizzano una tecnica DNS chiamata Fast Flux per nascondere i domini che utilizzano per scaricare malware o per ospitare siti di phishing. Ciò li rende estremamente difficili da rintracciare e abbattere.

L'infezione da botnet riduce le prestazioni dei dispositivi IoT?

Potrebbe. Ogni tanto i dispositivi infetti potrebbero funzionare lentamente, ma nella maggior parte dei casi funzionano come previsto. I proprietari non hanno grandi motivazioni per trovare modi per debellare l'infezione.

Addendum

Una legge sulla scrivania del governatore della California, Jerry Brown, richiede che i dispositivi IoT abbiano ragionevoli funzionalità di sicurezza "appropriate alla natura e alla funzione del dispositivo". È entrata in vigore nel gennaio 2020.

Perché questa legge è così importante? Il redditizio mercato californiano rende impossibile per le aziende ignorarlo. Se vogliono vendere in California, dovranno migliorare la sicurezza dei loro dispositivi. Ciò andrà a vantaggio di tutti gli Stati.