Il 21 ottobre 2016 il provider DNS statunitense Dyn fu colpito da un attacco DDoS record, tutt’ora ineguagliato, che per alcune ore rese irraggiungibili i portali dei più noti brand della digital economy a stelle e strisce (Amazon, PayPal, Airbnb per citarne alcuni). La vicenda suscitò notevole clamore tanto da finire sulle prime pagine di giornali e telegiornali non specializzati – probabilmente per via delle aziende coinvolte nel gigantesco attacco.
Prima di allora non si erano mai raggiunti picchi di 700Gbps-1Tbps (si tratta di una stima, non è mai stata dichiarata una cifra ufficiale) anche se, solo un mese prima, il blog del giornalista Brian Krebs era stato mandato offline da un attacco di 620Gbps – per rendere meglio l’idea, basti pensare che a maggio 2018 il valore più alto registrato in Italia è stato di 60Gbps.
Se per risalire agli esecutori materiali, tre ventenni statunitensi, sono stati necessari alcuni anni (un importante contributo fu dato anche da B.Krebs), per svelare l’efficace strumento, considerato il clamoroso risultato ottenuto, servirono alcune settimane ed un efficace lavoro di analisi degli avvenimenti più significativi dei mesi antecedenti: si trattava di Mirai, malware ideato da un ignoto programmatore e “confezionato” grazie a del materiale trafugato dai server NSA – il gruppo di hacker Shadow Brokers si occupò di rubare il software e diffonderlo illegalmente in rete.
L’eredità di Mirai
In base ai dati diffusi da Dyn, l’attacco coinvolse circa 10 milioni di indirizzi IP. A generare l’ingente traffico di dati spazzatura un esercito di telecamere di sorveglianza “intelligenti” prodotte dalla compagnia cinese Hangzhou Xiongmai Technology ed “arruolate” dal malware in una gigantesca botnet.
Come visto in un precedente post, i dispositivi dell’Intenet delle Cose (IoT o Internet of Things in inglese) non si affidano a sistemi di protezione particolarmente sofisticati. Nel caso delle telecamere, al malware bastò individuarne le credenziali di accesso all’interfaccia di gestione (abbastanza elementari ed ottenute mediante brute force), lasciate per “svista” o noncuranza dei produttori sulle impostazioni di fabbrica (es: admin e 123456).
A distanza di quasi due anni, grazie alla diffusione del codice sorgente di Mirai nel periodo in cui avvenne il noto attacco, l’eredità del malware continua a vivere in inedite varianti classificate di recentemente da NETSCOUT Arbor, nel dettaglio:
Satori, che scaturisce dalle capacità di iniezione di codice da remoto sfruttando la scansione di Mirai.
Il bot JenX, che è l’evoluzione di Mirai che si avvale di una codifica simile, ma senza le capacità di scansione e di exploit.
Il bot OMG, che è una new entry sulla scena dei malware dell’IoT, e che fa leva sul codice sorgente di Mirai per ampliarlo, conseguendo così capacità proxy HTTP e SOCKS.
Wicked, che è il più recente pupillo di Mirai, e che si introduce invece nelle falle RCE per infettare router Netgear e dispositivi CCTV-DVR. Nel momento in cui si imbatte in dispositivi vulnerabili avvengono il download e l’esecuzione di una copia del bot Owari.
NETSCOUT ha offerto anche una interessante panoramica delle caratteristiche principali di ciascun malware:
Panoramica di Satori. NETSCOUT Arbor ha notato la presenza di innumerevoli varianti del Satori tra dicembre 2017 e gennaio 2018, ciascuna delle quali si fondava su Mirai. La variante 2 sfruttava la scansione delle credenziali predefinite, mentre la 3 prevedeva lo sfruttamento di due code injection. La variante 4 è quella che si è imposta con maggiore forza, dal momento che è stata il primo bot IoT rivolto all’architettura ARC.
Panoramica di JenX. JenX è un altro esempio di botnet IoT in cui il codice deriva da Mirai. JenX presenta numerose capacità DDoS di Mirai, sfrutta la stessa tabella di configurazione e prevede la medesima tecnica di offuscamento.
Panoramica di OMG. Uno degli eredi più interessanti di Mirai è senz’altro la botnet OMG. Come nel caso delle altre botnet di cui si è parlato, OMG sfrutta la struttura di Mirai e supporta tutte le funzionalità in esso contenute. Ciò che distingue OMG è legato alle modalità con cui l’autore ha ampliato il codice Mirai in modo da includere un server proxy. Infatti, OMG incorpora 3proxy, che gli permette di abilitare un server proxy SOCKS e HTTP nel dispositivo IoT infettato. Grazie a queste due caratteristiche l’autore del bot riesce a eseguire proxy di qualsiasi traffico desiderato mediante il dispositivo IoT infetto. È inoltre possibile lanciare ulteriori scansioni di nuove vulnerabilità, scagliare altri attacchi oppure introdursi dal dispositivo IoT infettato in altre reti collegate al dispositivo stesso.
Panoramica di Wicked. Wicked è il pupillo di Mirai che si è manifestato più di recente. Simile alla variante 3 di Satori, Wicked rinuncia alla funzione di scansione delle credenziali di Mirai in favore di uno scanner RCE che attacca i router Netgear e i dispositivi CCTV-DVR.
Fonte: comunicato NETSCOUT Arbor (giugno 2017).