Alfonso Maruccia

Mirai, la botnet contro la Rete tedesca

Una falla permette di compromettere un gran numero di router forniti da Deutsche Telekom in giro per la Germania, un problema che sussiste anche in altre parti del mondo. Altrove, i criminali offrono la loro "botnet-come-servizio" via Tor

Mirai, la botnet contro la Rete tedescaRoma - Una nuova vulnerabilità "di sistema" è alla base dell'ennesimo caso di cyber-attacco ad alto profilo, un tentativo di compromettere una gran quantità di router domestici che per ora si è limitato a mandare in crash la connessione di un milione di utenti residenti in Germania.

Deutsche Telekom ha parlato infatti di un 5 per cento dei suoi 20 milioni di abbonati coinvolti nell'attacco, con i router prodotti da Zyxel e Speedport attaccati da una versione del worm Mirai modificata per prendere di mira la porta 7547; quella stessa porta tenuta aperta dall'ISP per ragioni di assistenza remota, potenzialmente sfruttabile per tentare esecuzioni di codice malevolo da remoto.

Il tentativo di attacco ha avuto un effetto diverso da quello che - con tutta probabilità - avevano previsto i cyber-criminali, visto che i router domestici vulnerabili sono semplicemente finiti in crash lasciando gli utenti senza connessione Internet durante il weekend fino a questo lunedì.
Resta la pericolosità di Mirai, un worm che si dimostra sempre più malleabile e dannoso dopo la pubblicazione del codice sorgente e l'attacco DDoS contro il provider di servizi DNS americano Dyn. Anche la possibilità di compromissione dei router domestici altrove in Europa non è da sottovalutare, visto che l'abitudine di tenere aperta una porta per l'assistenza remota (magari diversa dalla 7547) non è certo esclusiva del provider teutonico.

Quel che è certo è che Mirai continua a farsi notare come una "proposta" in ascesa nell'ambito dell'underground telematico, gli attacchi DDoS sono destinati a crescere in numero e intensità mentre i criminali più intraprendenti stanno già provando a trasformare il malware in un vero e proprio business: due ignoti "businessman" del codice malevolo (Bestbuy e Popopret) offrono una botnet Mirai di 400.000 dispositivi IoT compromessi in affitto, con prezzi variabili a seconda del numero di bot, dei tempi di attacco e del periodo di "cooldown" (tempo intercorso tra un attacco e l'altro).

Alfonso Maruccia
Notizie collegate
  • SicurezzaMirai, pubblico il codice della botnet IoTFiniscono su un forum i sorgenti del trojan che infetta telecamere e altri device per generare imponenti DDoS. Servirà d'esempio per creare una nuova pericolosa generazione di malware?
  • SicurezzaDNS, il venerdì nero di InternetIl sistema di risoluzione dei nomi di dominio ha passato un pessimo weekend per un attacco DDoS senza precedenti a opera di ignoti. L'ennesimo, e non certo l'ultimo di quella che si prevede una lunga serie di DDoS sferrati con i dispositivi della IoT
  • SicurezzaAkamai: gli attacchi DDoS sono destinati a moltiplicarsiPer Paolo Bufarini, Head of Security della società di sicurezza, l'attacco sferrato al sito di Brian Krebs rappresenta simbolicamente l'11 settembre della Rete. Senza le necessarie contromisure, attacchi simili sono destinati a ripetersi
85 Commenti alla Notizia Mirai, la botnet contro la Rete tedesca
Ordina
  • certo che ormai tutti si sono fissati con sto "mirai" ... di botnet per SOHO[*] ne esistono da 20 anni... e ora si chiamano tutte miraiCon la lingua fuori mah.

    [*] nessuno ricorda i lavori dei phenoelit o i w00w00? o il worm di morris perfino?
    non+autenticato
  • Ti forniscono un router e si tengono una porta aperta solo per loro.
    Come un fabbro che si tiene una copia delle chiavi di casa mia.
    Poi gli rubano quella copia ed entrano.
    non+autenticato
  • - Scritto da: rico

    UNA copia?
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • Mirai la botnet contro la rete tedesca Roma.

    Che cazzo centra Roma lo sapete solo voi in redacchione.

    Che sia una nuova parola da dire quando si è ricchione? Siete proprio amici amici di Lapo lo scialpino ricchione recitivo?

    Quel Roma ad ogni inizio di articolo non se po vedere proprio.Indiavolato
    non+autenticato
  • ti fai anche te di benzo? Occhiolino
    non+autenticato
  • - Scritto da: ...
    > ti fai anche te di benzo? Occhiolino


    Per i personaggi che girano su PI ci vorrebbe il Darkene altro che benzodiazepine. Qua c'è gente da psichiatria!!
    non+autenticato
  • - Scritto da: Il fuddaro
    > - Scritto da: ...
    > > ti fai anche te di benzo? Occhiolino
    >
    >
    > Per i personaggi che girano su PI ci vorrebbe il
    > Darkene altro che benzodiazepine.


    Il Darkene é una benzodiazepina!
    non+autenticato
  • - Scritto da: Hop
    > 1: ELF 32-bit LSB executable, MIPS, MIPS-I
    > version 1
    > (SYSV)
    > 2: ELF 32-bit LSB executable, MIPS, MIPS-I
    > version 1
    > (SYSV)
    > 3: ELF 32-bit LSB executable, ARM, version 1
    > 4: ELF 32-bit LSB executable, Renesas SH,
    > version 1
    > (SYSV)
    > 5: ELF 32-bit MSB executable, PowerPC or cisco
    > 4500, version 1
    > (SYSV)
    > 6: ELF 32-bit MSB executable, SPARC version 1
    > (SYSV)
    >
    > chissà per quale sistema operativo?A bocca aperta

    Solaris, IRIX, FreeBSD, NetBSD, OpenBSD, DragonFly BSD, Syllable, HP-UX, QNX Neutrino, MINIX, OpenVMS, BeOS Revision 4, Haiku, RISC OS, Stratus VOS, Windows 10 Anniversary Update.

    Si c'è anche windozze Con la lingua fuori.

    "prendere di mira la porta 7547; quella stessa porta tenuta aperta dall'ISP per ragioni di assistenza remota, potenzialmente sfruttabile per tentare esecuzioni di codice malevolo da remoto."

    Come si risolve? Cambiando la password (!) e riavviando il dispositivo.

    https://krebsonsecurity.com/2016/10/source-code-fo.../

    "Infected systems can be cleaned up by simply rebooting them — thus wiping the malicious code from memory... changing the default password protects them from rapidly being reinfected on reboot."

    Il problema è che siete dei caproni senza speranza.
    non+autenticato
  • - Scritto da: le basi
    > - Scritto da: Hop
    > > 1: ELF 32-bit LSB executable, MIPS, MIPS-I
    > > version 1
    > > (SYSV)
    > > 2: ELF 32-bit LSB executable, MIPS, MIPS-I
    > > version 1
    > > (SYSV)
    > > 3: ELF 32-bit LSB executable, ARM, version 1
    > > 4: ELF 32-bit LSB executable, Renesas SH,
    > > version 1
    > > (SYSV)
    > > 5: ELF 32-bit MSB executable, PowerPC or cisco
    > > 4500, version 1
    > > (SYSV)
    > > 6: ELF 32-bit MSB executable, SPARC version 1
    > > (SYSV)
    > >
    > > chissà per quale sistema operativo?A bocca aperta
    >
    > Solaris, IRIX, FreeBSD, NetBSD, OpenBSD,
    > DragonFly BSD, Syllable, HP-UX, QNX Neutrino,
    > MINIX, OpenVMS, BeOS Revision 4, Haiku, RISC OS,
    > Stratus VOS, Windows 10 Anniversary
    > Update.
    >
    > Si c'è anche windozze Con la lingua fuori.

    E no, non c'è l'OS su cui Mirai sta girando e di cui i binari ELF sono stati compilati.

    >
    > Il problema è che siete dei caproni senza
    > speranza.

    Certo certo.
    Guarda come il tuo amato Linux crolla sotto i colpi di Mirai.

    Tutta salute.

    http://blog.malwaremustdie.org/2016/08/mmd-0056-20...
    maxsix
    9374
  • - Scritto da: maxsix

    > E no, non c'è l'OS su cui Mirai sta girando e di
    > cui i binari ELF sono stati
    > compilati.
    Dicci tu quale.
    Siamo curiosi.
    Su ... "versione" "release" e "data rilascio"... non è mica difficile eh.
    Bastano molto meno di 7000 caratteri.
    > Certo certo.
    > Guarda come il tuo amato Linux crolla sotto i
    > colpi di
    > Mirai.
    Mi spiace ma non è così quello che crolla sono gli OS proprietari dei Vendor con le password di default (note a tutti).
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: maxsix
    >
    > > E no, non c'è l'OS su cui Mirai sta girando
    > e
    > di
    > > cui i binari ELF sono stati
    > > compilati.
    > Dicci tu quale.
    > Siamo curiosi.
    > Su ... "versione" "release" e "data rilascio"...
    > non è mica difficile
    > eh.

    Dimmelo tu, visto che sei l'esperto qui dentro.
    Oppure no.

    > Bastano molto meno di 7000 caratteri.
    > > Certo certo.
    > > Guarda come il tuo amato Linux crolla sotto i
    > > colpi di
    > > Mirai.
    > Mi spiace ma non è così quello che crolla sono
    > gli OS proprietari dei Vendor con le password di
    > default (note a
    > tutti).

    E che ci vuoi fare.
    E' il risultato del dilettantismo che ha portato Linux.
    Tutti a smanacciare, inventarsi le cose, farle uscire nel mercato senza uno straccio di controllo e fare danni.
    "Tanto Linux è sicuro perchè è aperto e tutti possono guardarci dentro".

    Certo, e intanto abbiamo una botnet funzionante di 400000+ periferiche IoT pronta a scatenarsi a pagamento.

    Questo open source è veramente una bomba.
    Nucleare però.
    maxsix
    9374
  • - Scritto da: maxsix

    > Dimmelo tu, visto che sei l'esperto qui dentro.
    > Oppure no.
    Beh io te lo ho detto sei tu che non rispondi.
    A bocca aperta
    > E che ci vuoi fare.
    > E' il risultato del dilettantismo che ha portato
    > Linux.
    No è il risultato della geniale idea di lasciare una porta per la "gestione remota" (tra l'altro via SOAP) con "default" noto.
    Lo sai vero da dove viene SOAP?
    A bocca aperta

    > Questo open source è veramente una bomba.
    > Nucleare però.
    Non è open source al contrario è "closed source" Se fosse open non avresti alcuna difficoltà a dirne versione rilascio e quanto altro.
    Oppure puoi sempre postare qui un link ai "sorgenti" se è "open source" non puoi avere problemi è facile e ci voglione sempre assai meno di 7000 caratteri.
    Ficoso
    non+autenticato
  • - Scritto da: maxsix
    > - Scritto da: giaguarevol issimevolm ente
    > > - Scritto da: maxsix
    > >
    > > > E no, non c'è l'OS su cui Mirai sta
    > girando
    > > e
    > > di
    > > > cui i binari ELF sono stati
    > > > compilati.
    > > Dicci tu quale.
    > > Siamo curiosi.
    > > Su ... "versione" "release" e "data
    > rilascio"...
    > > non è mica difficile
    > > eh.
    >
    > Dimmelo tu, visto che sei l'esperto qui dentro.
    > Oppure no.
    >
    > > Bastano molto meno di 7000 caratteri.
    > > > Certo certo.
    > > > Guarda come il tuo amato Linux crolla
    > sotto
    > i
    > > > colpi di
    > > > Mirai.
    > > Mi spiace ma non è così quello che crolla
    > sono
    > > gli OS proprietari dei Vendor con le
    > password
    > di
    > > default (note a
    > > tutti).
    >
    > E che ci vuoi fare.
    > E' il risultato del dilettantismo che ha portato
    > Linux.
    > Tutti a smanacciare, inventarsi le cose, farle
    > uscire nel mercato senza uno straccio di
    > controllo e fare
    > danni.
    > "Tanto Linux è sicuro perchè è aperto e tutti
    > possono guardarci
    > dentro".
    >
    > Certo, e intanto abbiamo una botnet funzionante
    > di 400000+ periferiche IoT pronta a scatenarsi a
    > pagamento.
    >
    > Questo open source è veramente una bomba.
    > Nucleare però.

    E vero questo succede quando sul'open source ci mettono le mani i MINCHIONI tuoi amici aziende closed coma la tanto amata apple.

    Ecco quando succedono ste cose, e le notizie sono fatti che le cose stanno così altro che smanettoni. Pirlone per i tuoi amici contano le trimestrali(tanto amate dal tuo collega bertoccio)non la sicurezza.

    Dovresti solo stare zitto, pirla di nuovo!
    non+autenticato
  • - Scritto da: Il fuddaro
    > - Scritto da: maxsix
    > > - Scritto da: giaguarevol issimevolm ente
    > > > - Scritto da: maxsix
    > > >
    > > > > E no, non c'è l'OS su cui Mirai sta
    > > girando
    > > > e
    > > > di
    > > > > cui i binari ELF sono stati
    > > > > compilati.
    > > > Dicci tu quale.
    > > > Siamo curiosi.
    > > > Su ... "versione" "release" e "data
    > > rilascio"...
    > > > non è mica difficile
    > > > eh.
    > >
    > > Dimmelo tu, visto che sei l'esperto qui dentro.
    > > Oppure no.
    > >
    > > > Bastano molto meno di 7000 caratteri.
    > > > > Certo certo.
    > > > > Guarda come il tuo amato Linux crolla
    > > sotto
    > > i
    > > > > colpi di
    > > > > Mirai.
    > > > Mi spiace ma non è così quello che crolla
    > > sono
    > > > gli OS proprietari dei Vendor con le
    > > password
    > > di
    > > > default (note a
    > > > tutti).
    > >
    > > E che ci vuoi fare.
    > > E' il risultato del dilettantismo che ha portato
    > > Linux.
    > > Tutti a smanacciare, inventarsi le cose, farle
    > > uscire nel mercato senza uno straccio di
    > > controllo e fare
    > > danni.
    > > "Tanto Linux è sicuro perchè è aperto e tutti
    > > possono guardarci
    > > dentro".
    > >
    > > Certo, e intanto abbiamo una botnet funzionante
    > > di 400000+ periferiche IoT pronta a scatenarsi a
    > > pagamento.
    > >
    > > Questo open source è veramente una bomba.
    > > Nucleare però.
    >
    > E vero questo succede quando sul'open source ci
    > mettono le mani i MINCHIONI tuoi amici aziende
    > closed coma la tanto amata
    > apple.
    >
    > Ecco quando succedono ste cose, e le notizie sono
    > fatti che le cose stanno così altro che
    > smanettoni. Pirlone per i tuoi amici contano le
    > trimestrali(tanto amate dal tuo collega
    > bertoccio)non la
    > sicurezza.
    >
    > Dovresti solo stare zitto, pirla di nuovo!

    Quindi coglioncello, parlami di Busybox e del closed.

    Vai 7000 caratteri.
    maxsix
    9374
  • - Scritto da: maxsix

    > Quindi coglioncello, parlami di Busybox e del
    > closed.

    ovvero del fatto che busybox e linux non c'entrano un fico secco in questa faccenda?

    c'arrivi a capire la differenza tra bucare un sistema sfruttandone delle vulnerabilità e loggarsi ad un dispositivo IoT conoscendone username e password di default? è chiaro che poi a quel punto puoi installarci qualsiasi cosa su quei dispositivi

    se vengo a casa tua, tu mi accendi il mac, mi dai la password, io mi loggo, ci copio un eseguibile e poi lo eseguo, la colpa è di macOS? questo seguendo la tua demenziale logica
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: maxsix
    >
    > > Quindi coglioncello, parlami di Busybox e del
    > > closed.
    >
    > ovvero del fatto che busybox e linux non
    > c'entrano un fico secco in questa
    > faccenda?
    >

    Centrano eccome.
    Mirai usa binari compilati ELF per Linux e sfrutta l'implementazione Busybox.

    Fine del discorso, non c'è altro da dire.
    Che poi il vettore d'attacco, ancora, siano un bf di password conosciute è un altro discorso.
    maxsix
    9374
  • - Scritto da: maxsix

    > Mirai usa binari compilati ELF per Linux e
    > sfrutta l'implementazione
    > Busybox.
    No non sono compilati per Linux Ma per gli specifici OS PROPRIETARI E CLOSED per cui è progettato!
    Non sei infatti in grado di trovare neppure una sola versione di Linux vulnerabile a Mirai.
    non+autenticato
  • - Scritto da: maxsix
    > - Scritto da: collione
    > > - Scritto da: maxsix
    > >
    > > > Quindi coglioncello, parlami di Busybox
    > e
    > del
    > > > closed.
    > >
    > > ovvero del fatto che busybox e linux non
    > > c'entrano un fico secco in questa
    > > faccenda?
    > >
    >
    > Centrano eccome.
    > Mirai usa binari compilati ELF per Linux e
    > sfrutta l'implementazione
    > Busybox.

    Hai dimostrato cosa di preciso?

    >
    > Fine del discorso, non c'è altro da dire.

    Se restavi zitto fin dal principio facevi più bella figura.

    > Che poi il vettore d'attacco, ancora, siano un bf
    > di password conosciute è un altro
    > discorso.

    Caro massimino, se tu lasci il tuo computerino senza password, con un servizio di accesso remoto, con le rispettiva porta aperta, connesso ad internet 24H, e alloooooooora? Ma non ci rompere i c****** va.
    non+autenticato
  • 1: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV)
    2: ELF 32-bit LSB executable, MIPS, MIPS-I version 1 (SYSV)
    3: ELF 32-bit LSB executable, ARM, version 1
    4: ELF 32-bit LSB executable, Renesas SH, version 1 (SYSV)
    5: ELF 32-bit MSB executable, PowerPC or cisco 4500, version 1 (SYSV)
    6: ELF 32-bit MSB executable, SPARC version 1 (SYSV)

    chissà per quale sistema operativo?A bocca aperta
    non+autenticato
  • - Scritto da: Hop

    > chissà per quale sistema operativo?A bocca aperta
    diccelo tu che siamo curiosi...
    E già che ci sei spiega:
    1) che cosa è un ELF
    2) Su che sistemi si usano gli ELF
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: Hop
    >
    > > chissà per quale sistema operativo?A bocca aperta
    > diccelo tu che siamo curiosi...
    > E già che ci sei spiega:
    > 1) che cosa è un ELF
    > 2) Su che sistemi si usano gli ELF

    Appunto su che sistema girano gli ELF?

    Vai 7000 caratteri.
    maxsix
    9374
  • - Scritto da: maxsix
    > - Scritto da: giaguarevol issimevolm ente
    > > - Scritto da: Hop
    > >
    > > > chissà per quale sistema operativo?A bocca aperta
    > > diccelo tu che siamo curiosi...
    > > E già che ci sei spiega:
    > > 1) che cosa è un ELF
    > > 2) Su che sistemi si usano gli ELF
    >
    > Appunto su che sistema girano gli ELF

    Sui sistemi Elfi ovvero madama la macaca!
    non+autenticato
  • - Scritto da: maxsix

    > Appunto su che sistema     sistemi girano gli ELF?
    Cominciamo intanto a correggere le stupidate più marchiane!
    L'elenco è lungo QNX? BSD? Solaris? Unix Sys V Open VMS BeOS RISC OS Play Station Windoze 10 Anniversary edition HP-UX Nintendo Ds?.... e non è finita.....
    >
    > Vai 7000 caratteri.
    Bastano molti di meno.
    https://en.wikipedia.org/wiki/Executable_and_Linka...
    Hai voglia a mangiar salamelle!
    Rotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: maxsix
    >
    > > Appunto su che sistema
    >    sistemi girano gli
    > ELF?
    > Cominciamo intanto a correggere le stupidate più
    > marchiane!
    > L'elenco è lungo QNX? BSD? Solaris? Unix Sys V
    > Open VMS BeOS RISC OS Play Station Windoze 10
    > Anniversary edition HP-UX Nintendo Ds?.... e non
    > è
    > finita.....
    > >
    > > Vai 7000 caratteri.
    > Bastano molti di meno.
    > https://en.wikipedia.org/wiki/Executable_and_Linka
    > Hai voglia a mangiar salamelle!
    > Rotola dal ridereRotola dal ridere

    Bene, bambino.

    Ora, 7000 caratteri, Mirai dove gira?
    Su che sistema?
    maxsix
    9374
  • - Scritto da: maxsix

    > Ora, 7000 caratteri, Mirai dove gira?
    > Su che sistema?

    Mirai gira su qualunque sistema abbia installata una versione di BusyBox di cui sia conosciuta la password
    Compresi (TUTTI i già elencati in precedenza)
    QNX ecc... (ti dice niente la parola magica Cisco?)
    https://it.wikipedia.org/wiki/BusyBox
    Sempre assai meno di 7000
    P.S.
    Occhio che le salamelle di mattina son pesanti!
    Rotola dal ridereRotola dal ridere
    P.P.S.
    Hint per la prossima volta....
    https://lmgtfy.com/?q=BusyBox
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: maxsix
    >
    > > Ora, 7000 caratteri, Mirai dove gira?
    > > Su che sistema?
    >
    > Mirai gira su qualunque sistema abbia installata
    > una versione di BusyBox

    Risposta sbagliata.

    I binari sono già compilati e pronti per molteplici piattaforme già elencate.
    Per un OS specifico.

    Vai bambino, ritenta.
    maxsix
    9374
  • - Scritto da: maxsix

    > Risposta sbagliata.
    >
    > I binari sono già compilati e pronti per
    > molteplici piattaforme già
    > elencate.
    > Per un OS specifico.
    Ripeto se è "specifico"
    Nome versione rilascio!
    Ficoso
    E se è "open source" link ai sorgenti Please!
    Ficoso
    non+autenticato
  • - Scritto da: giaguarevol issimevolm ente
    > - Scritto da: maxsix
    >
    > > Risposta sbagliata.
    > >
    > > I binari sono già compilati e pronti per
    > > molteplici piattaforme già
    > > elencate.
    > > Per un OS specifico.
    > Ripeto se è "specifico"
    > Nome versione rilascio!
    > Ficoso
    > E se è "open source" link ai sorgenti Please!
    > Ficoso

    Ti a già risposto, semplicemente non possono farsi sfuggire un'occasione anche se fuorviante per 'attaccare' un qualcosa che gli bruciacchia il culo ogni giorno di ogni mese della loro vita e che oramai ha spodestato persino il loro amato zozzone(macOsx) sulle scrivanie.

    E per di più che per il maxsix e fatto da brufolosi personaggi in anguste cantine, a lui tutto questo lo fa rosikare rosikare rosikare. Rotola dal ridere

    Dovreste dargli la ragione tanto lo sanno tutti a quale persone bisogna dargliene!Sorride
    non+autenticato
  • - Scritto da: Il fuddaro

    > Dovreste dargli la ragione tanto lo sanno tutti a
    > quale persone bisogna dargliene!
    >Sorride
    Va bene mi hai convinto gli posto la classifica delle "vulnerabilità" in ordine di vendor del 2015 (indovina chi è al top?)
    Su quel piano Apple batte Linux a mani basse!
    Rotola dal ridereRotola dal ridere
    https://www.cvedetails.com/top-50-vendors.php?year...
    non+autenticato