Alfonso Maruccia

Mirai, nuova botnet contro la Internet argentina

Una nuova rete malevola basata sul codice di Mirai si fa strada in America Latina, con i ricercatori che incolpano ancora una volta i router vulnerabili contenenti password di default insicure

Roma - Dopo essere divenuto di dominio pubblico grazie a un utente di HackForum, il codice di Mirai si è oramai trasformato in uno strumento "standard" che non può mancare nel kit del perfetto criminale telematico. Un'altra gang si è di recente unita al gruppo di crew interessate a sfruttare il suddetto codice, e ancora una volta l'obiettivo primario consiste nel compromettere i dispositivi interconnessi vulnerabili o comunque caratterizzati da una sicurezza a dir poco imbarazzante.

Scovata dai ricercatori di Qihoo 360 Netlab, la nuova botnet basata su Mirai ha cominciato nei giorni scorsi a diffondersi "velocemente" con scansioni di apparati vulnerabili sulle porte tipiche dei servizi Telnet (2323 e 23). I nuovi bersagli sono i router ZyXEL PK5001Z, mentre il mezzo primario usato per diffondere l'infezione consiste nell'uso di un codice Proof-of-Concept pubblicato in rete già nel 2016.

I router in oggetto hanno codificata una password "super-user" nascosta (zyad5001) che normalmente non può essere usata per effettuare il login, ma gli hacker hanno scoperto che un gran numero di dispositivi sono stati forniti agli utenti con le credenziali Telnet admin/CentryL1nk e admin/QwestM0dem.
Sfruttando le succitate credenziali, i cyber-criminali possono accedere ai router vulnerabili da remoto e sfruttare la password super-user per ottenere privilegi di accesso "root". A quel punto è "game over" e il router entra a far parte della nuova botnet Mirai.




I ricercatori stimano in 100.000 il numero di IP coinvolti nella scansione alla ricerca di router vulnerabili, e nella maggioranza dei casi si tratta di indirizzi riconducibili a utenti dei provider argentini. Anche in questo caso la botnet "Mirai-style" non è permanente, visto che basta riavviare il router per eliminare l'infezione - e preparare il dispositivo per l'infezione successiva a mezzo scansione.

Alfonso Maruccia
Notizie collegate
  • SicurezzaMirai, pubblico il codice della botnet IoTFiniscono su un forum i sorgenti del trojan che infetta telecamere e altri device per generare imponenti DDoS. ServirÓ d'esempio per creare una nuova pericolosa generazione di malware?
  • AttualitàMirai, la botnet contro la Rete tedescaUna falla permette di compromettere un gran numero di router forniti da Deutsche Telekom in giro per la Germania, un problema che sussiste anche in altre parti del mondo. Altrove, i criminali offrono la loro "botnet-come-servizio" via Tor
  • AttualitàDDoS, Brian Krebs identifica l'autore di MiraiDietro una delle reti malevole pi¨ pericolose degli ultimi anni ci sarebbe lo studente di un'universitÓ statunitense, assoldato per buttare gi¨ il blog del ricercatore ma anche i server della piattaforma ludica di Minecraft
  • AttualitàReaper, la nuova botnet IoT che preoccupa tuttiUna nuova rete malevola emerge dalle ombre dei gadget IoT insicuri e minaccia di provocare danni di proporzioni mai vista prima. C'entra Mirai, anche se il codice di Reaper Ŕ ben pi¨ sofisticato e potenzialmente pericoloso
4 Commenti alla Notizia Mirai, nuova botnet contro la Internet argentina
Ordina