Un fenomeno già visto
Già in precedenza abbiamo assistito al rilascio del codice di Mirai, ossia il worm che consente di individuare e compromettere i device della Internet of Things da remoto.
Ci sono stati casi come l’attacco DDoS rivolto a siti come Twitter, New York Times, eBay, Netflix, finiti offline per circa 120 minuti, o il grande attacco DDoS da botnet di Smart Device in Francia, uno dei più grandi nella storia informatica.
In cosa consistono i nuovi attacchi?
Attualmente sono emerse numerose botnet di questo genere, capaci di diffondere attacchi DDoS contro qualsiasi bersaglio. La maggior parte di esse, per fortuna, è composta da pochi dispositivi, diversamente da come abbiamo avuto modo di constatare in passato. Tuttavia, alcune presentano dimensioni notevoli e si rivelano una temibile minaccia per qualunque sito o infrastruttura informatica.
La prima botnet era composta da circa 200.000 dispositivi IoT compromessi e sfruttava solamente 61 combinazioni di username e password al fine di assumerne il controllo. Adesso i dispositivi che la compongono sono 400.000, perché i due hacker hanno ricorso a tecniche diverse, tra cui un exploit zero-day di un dispositivo non citato. Tali tecniche di attacco DDoS sono senz’altro più sofisticate e sfruttano un sistema per nascondere l’indirizzo IP dei dispositivi usati.
Una di queste botnet di grandi dimensioni sarebbe stata resa disponibile per il “noleggio” da due hacker molto noti nell’ambiente:
Il noleggio
I due hacker permettono l’affitto di una botnet composta da più di 400.000 dispositivi.
Solitamente, un attacco DDoS convenzionale ha costi contenuti, di massimo qualche centinaio di dollari, ma nel caso che vediamo dall’immagine non è così; ci troviamo di fronte a clienti con esigenze particolari, disposti a spendere cifre di migliaia di dollari per una botnet che realizza attacchi distruttivi. Il costo del noleggio dipende dal numero dei bot coinvolti, dalla durata dell’attacco DDoS, ma anche da fattori di altro tipo. Il prezzo potrebbe diminuire se i noleggiatori della botnet fossero disposti ad accettare dei “DDoS cooldown” più lunghi.
Per capire meglio, è bene spiegare brevemente la dinamica degli attacchi DDoS. Questi avvengono a ondate, intervallate da delle pause (DDoS cooldown), necessarie per ottimizzare le connessioni ed evitare che dispositivi coinvolti nell’attacco siano individuati e tagliati fuori.
Quando è stato trovato un accordo sul prezzo, al cliente viene fornita l’URL (su circuito Onion) che consente di accedere al backend della botnet e gli garantisce il controllo totale della botnet noleggiata, oltre a massima riservatezza.
Nessun commento:
Posta un commento