Algieri Luca

Mirai, pubblico il codice della botnet IoT

Finiscono su un forum i sorgenti del trojan che infetta telecamere e altri device per generare imponenti DDoS. Servirà d'esempio per creare una nuova pericolosa generazione di malware?

Roma - Il mese scorso il blog dell'esperto di informatica Brian Krebs è stato vittima di un potente attacco DDoS (Denial of Service) realizzato anche tramite dispositivi connessi ad Internet (la cosiddetta IoT, Internet of Things). Lo stesso Brian Krebs sul suo blog rende noto che venerdì 30 settembre è stato rilasciato su HackForum il codice del malware usato per portare a termine l'attacco e identificato col nome Mirai da un utente dal nickname Anna-senpai.

Post di rilascio

Mirai è una versione migliorata di un altro trojan DDoS conosciuto sotto diversi nomi come Bashlite, GayFgt, LizKebab, Torlus, Bash0day e Bashdoor. Poiché il malware impiega dispositivi come telecamere connesse ad Internet a cui sono state lasciate le password di default o addirittura non sono modificabili, il rilascio del codice potrebbe costituire un grave rischio per tutta la Rete visto che già da tempo i malintenzionati stanno cercando di utilizzare oggetti IoT per creare botnet con cui realizzare attacchi DDoS mirati alla richiesta di un riscatto.

Sia Mirai che Bashlight sfruttano le stesse vulnerabilità IoT che coinvolgono le debolezze del protocollo Telnet per la connessione a sistemi remoti basati su BusyBox, una distribuzione minimale di tipo Linux dedicata ai dispositivi embedded. A differenza di Bashlight, il software Mirai cifra il traffico che passa tra i dispositivi infetti e il server di controllo remoto rendendolo molto più difficile da identificare per i sistemisti. Mirai è inoltre in grado di prendere il controllo dei dispositivi infetti da Bashlight e possibili successive patch affinchè non possano essere infettati nuovamente da botnet rivali.
Finora Level 3 Communications ha identificato le telecamere IP prodotte dalla Dahua come dispositivi più comunemente utilizzati per la creazione delle botnet. La società ha indicato che anche una linea di videoregistratori digitali (DVR) che utilizza il formato H.264 viene comunemente usata senza però rendere noto il nome del produttore. Drew Ars, capo della sicurezza della Level3, ha detto che: "A detta di tutti sembra che la telecamera sia ancora operativa mentre viene usata da entrambi (Bashlight e Mirai) durante gli attacchi DDoS. Potrebbe essere più lenta nella risposta ma, a detta di tutti, sembra essere ancora in funzione".

Non è chiaro il motivo per cui gli autori del malware abbiano scelto di rendere disponibile online il codice, dal momento che la capacità di crescita di una botnet rappresenta una grande risorsa per fare soldi nel mondo dell'hacking criminale. Tuttavia il post di Anna-senpai sembra suggerire che la diffusione del codice malware possa rappresentare un modo per sviare i sospetti sui creatori cercando di confondere nei tentativi di attribuzione, ora che l'attacco DDoS a Krebs ha attirato una maggiore attenzione.

Luca Algieri
Notizie collegate
  • SicurezzaBotnet, abusi per LinuxI ricercatori di sicurezza identificano e mettono fuori gioco una rete malevola specializzata in spam e progettata per abusare dei server Linux. Anche per gli attacchi DDoS, il kernel open source è parecchio richiesto
  • SicurezzaLo scudo di Google contro i DDoSMountain View estende la protezione dagli attacchi ai siti di informazione e alle organizzazioni che si battono per i diritti umani, un sistema pensato per sfruttare la rete di Google contro i tentativi di censura tramite forza bruta
  • AttualitàAnonymous e ISIS, antiterrorismo hacktivistaI terroristi devono vedersela anche con gli hacktivisti e con i loro metodi: sui social network sono sotto attacco gli account che sostengono l'ISIS ed è caccia aperta ai fondi digitali
8 Commenti alla Notizia Mirai, pubblico il codice della botnet IoT
Ordina
  • alcuni produttori di DVR e telecamere hanno avuto la brillante idea di resettare la password del prodotto tramite telnet: basta fornire una password che inizia con una stringa particolare, memorizzata nel firmware, e il sistema resetta le credenziali.

    Suppongo l'abbiano fatto con le migliori intenzioni (l'utente ha dimenticato la password), ma senza pensare bene alle implicazioni di sicurezza.

    Esempio:

    http://www.bahamassecurity.com/cctvforum/forum_pos...

    Altri DVR e telecamere "telefonano a casa" oppure entrano automaticamente in reti P2P cinesi di cui non si sa praticamente nulla.

    Io ho un DVR AVTech che tenta di collegarsi a google ogni 60 secondi.

    PS: il link riportato e lo stesso errore di considerare busybox una "distribuzione linux" sono presenti nell'articolo originale da cui questo ha preso "ispirazione".
    non+autenticato
  • - Scritto da: panta lofono
    > Altri DVR e telecamere "telefonano a casa" oppure
    > entrano automaticamente in reti P2P cinesi di cui
    > non si sa praticamente
    > nulla.

    Aggiungo un link per chi vuole informarsi su questo argomento:

    https://krebsonsecurity.com/2016/02/this-is-why-pe.../
    non+autenticato
  • Se busybox è "una distribuzione minimale di tipo Linux" io sono Sofia Loren.
    Ma per favooooreeeeee!
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > Se busybox è "una distribuzione minimale di tipo
    > Linux" io sono Sofia
    > Loren.
    > Ma per favooooreeeeee!

    quando gli articolisti li recuperi dal cassonetto della raccolta dell'umido.... che pretendi?
    non+autenticato
  • BusyBox, una distribuzione minimale di tipo Linux dedicata ai dispositivi embedded.
    non+autenticato
  • - Scritto da: Codardo Anonimo
    > BusyBox, una distribuzione minimale di tipo Linux
    > dedicata ai dispositivi
    > embedded.

    E' la stessa cosa che ho pensato io leggendo l'articolo, informarsi prima di scrivere razzate non sarebbe stato male secondo me.
    mura
    1743
  • - Scritto da: Codardo Anonimo
    > BusyBox, una distribuzione minimale di tipo Linux
    > dedicata ai dispositivi
    > embedded.

    ehm siamo su Novella 2000 che ti aspetti?
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: Codardo Anonimo
    > > BusyBox, una distribuzione minimale di tipo
    > Linux
    > > dedicata ai dispositivi
    > > embedded.
    >
    > ehm siamo su Novella 2000 che ti aspetti?
    ehhe si in effetti tutto l'articolo e' un po' fiacco ...

    - "le debolezze del protocollo Telnet " sarebbero pw hardcoded nel firmware, pw di default non cambiate dall'utente, daemon attivo di default e non ucciso dall'utente (e talvolta e' impossibileCon la lingua fuori). Tra l'altro il problema e' il medesimo con ssh.

    - l'articolo si fissa sui CCTV/DVR, ma questa tipologia di attacchi e' trasversale agli embedded (se cosi' vogliamo chiamarli... ipcam, accesspoint, router, ecc).
    E' vero che (se ben ricordo) Midori (come attacker) e' solo un telnet scanner multiarch, MA altri sono piu' sofisticati/trasversali (tipicamente attaccano anche via http -e i loro numerosi cgi svaccati- e le "backdoor messe for management purpose" in porte strane)... anzi proprio uno di questi DVR 'whitelabel' poi rimarcato 30 volte, si attacca benone solo via http (solito crap cgi che esegue cmd shell non sanitized)Con la lingua fuori

    - krebs ha certamente detto che i sorci di Mirai sono stati rilasciati il 30 sett, e il releaser menziona l'attenzione attirata dal 'caso krebs', MA io ci farei qualche ragionamento in piu', CONSIDERANDO che l'articolo non riporta che Mirai e' stato analizzato e disassemblato ad AGOSTO da vari analistiCon la lingua fuori
    E, a parte alcuni cambiamenti nel C2C & co, e' un fork di GayFgt (si, questo c'e' scritto nell'articolo... ma per dire che non e' niente di eclatante)
    non+autenticato