Mirai, nuova botnet contro la Internet argentina

Dopo essere divenuto di dominio pubblico grazie a un utente di HackForum , il codice di Mirai si è oramai trasformato in uno strumento “standard” che non può mancare nel kit del perfetto criminale telematico. Un’altra gang si è di recente unita al gruppo di crew interessate a sfruttare il suddetto codice, e ancora una volta l’obiettivo primario consiste nel compromettere i dispositivi interconnessi vulnerabili o comunque caratterizzati da una sicurezza a dir poco imbarazzante.

Scovata dai ricercatori di Qihoo 360 Netlab, la nuova botnet basata su Mirai ha cominciato nei giorni scorsi a diffondersi “velocemente” con scansioni di apparati vulnerabili sulle porte tipiche dei servizi Telnet (2323 e 23). I nuovi bersagli sono i router ZyXEL PK5001Z , mentre il mezzo primario usato per diffondere l’infezione consiste nell’uso di un codice Proof-of-Concept pubblicato in rete già nel 2016.

I router in oggetto hanno codificata una password “super-user” nascosta ( zyad5001 ) che normalmente non può essere usata per effettuare il login, ma gli hacker hanno scoperto che un gran numero di dispositivi sono stati forniti agli utenti con le credenziali Telnet admin/CentryL1nk e admin/QwestM0dem .

Sfruttando le succitate credenziali, i cyber-criminali possono accedere ai router vulnerabili da remoto e sfruttare la password super-user per ottenere privilegi di accesso “root”. A quel punto è “game over” e il router entra a far parte della nuova botnet Mirai.

I ricercatori stimano in 100.000 il numero di IP coinvolti nella scansione alla ricerca di router vulnerabili , e nella maggioranza dei casi si tratta di indirizzi riconducibili a utenti dei provider argentini. Anche in questo caso la botnet “Mirai-style” non è permanente, visto che basta riavviare il router per eliminare l’infezione – e preparare il dispositivo per l’infezione successiva a mezzo scansione.

Alfonso Maruccia