Già qualche tempo fa abbiamo parlato della botnet Mirai, una botnet composta principalmente da dispositivi IoT (per capirsi ogni dispositivo che usiamo nella vita quotidiana, connesso ad internet: dal frigorifero, all'auto, al videoregistratore ecc..).
La botnet Mirai si espande grazie ad un malware che, infettando i dispositivi, ne assume il controllo inserendoli come nodo della botnet stessa: è stata usata per lanciare vari attacchi DDoS tra i quali, il più pesante, indubbiamente, quello che mise al buio siti importanti quali Twitter, Spotify, Cnn, New York Times, Financial Times, il marketplace di eBay, Reddit e perfino il colosso dei film in streaming Netflix, ma anche il Guardian, PlayStation Network, Xbox Live, Wired (.com), GitHub, PayPal (e altri) .
Recentemente la botnet è stata pure messa in affitto, a disposizione di chi abbia bisogno di una struttura per lanciare attacchi di vario tipo: prezzo e durata dell'affitto variano in base al tipo di attacco che si vuole effettuare.
Una nuova versione del malware Mirai...
E' stata registrata in questi giorni una ondata di attacchi che colpirebbe, in particolare, i modem-router ADSL e pare che l'Italia sia tra i paesi più esposti.
Tutto è iniziato due settimane fa circa, quando è stata scoperta una vulnerabilità nei router dell'Internet Provider irlandese Eir: una falla di sicurezza legata al sistema di controllo da remoto dei router. Nel dettaglio la porta 7547, usata dall'Internet Provider per inviare comandi a tutti i router della sua rete. Tramite quella porta (cambiando semplicemente il protocollo TR-069 con quello TR-064) si può accedere piuttosto facilmente all'interfaccia id gestione del router stesso.
I router di Eir (modello ZyXEL D1000) sono circa 65.000, ma, secondo cifre ovviamente arrotondate, ci sarebbero circa 5 milioni di dispositivi in ascolto sulla porta 7547, tutti potenzialmente vulnerabili ai comandi ricevuti via protocollo TR-064.
L'errore madornale dei ricercatori di Eir...
E' stato quello di aver pubblicato l'exploit per filo e per segno.
Dallo scorso fine settimana migliaia di utenti della Telecom tedesca hanno cominciato a segnalare riavvi improvvisi e malfunzionamenti dei propri router: in questo caso, si parla di circa 900.000 dispositivi in tutto il territorio tedesco.
Ma a cosa serve una botnet così grande?
Abbiamo già citato all'inizio un primo, pesantissimo attacco DDoS, costato ovviamente milioni e milioni di guadagni a siti che erogano servizi o ricevano pagamenti online quali netflix, PayPal, Amazon ogni giorno. Ma sono stati colpiti anche singoli siti Internet. Sicuramente, per capire le difficoltà "inaspettate" in cui si potrebbe incorrere, sarà utile ricordare il caso di un piccolo paese della Finlandia dove la popolazione è rimasta al gelo per qualche giorno a causa di un attacco DDoS lanciato da alcuni dispositivi della botnet Mirai.
Nessun commento:
Posta un commento