Mirai, scoperto virus: a rischio la nuova tecnologia hi-tech. Ecco come proteggersi

502
botnet

Paura per la nuova versione Mirai. Il malware trasforma i sistemi informatici in botnet in grado di mandare in tilt servizi essenziali come ospedali, aeroporti, dighe e centrali elettriche.

Oggi, la nuova versione Mirai, fa paura. Perché il malware che trasforma i sistemi informatici in botnet, cioè una rete di computer zombie controllabili da remoto, può essere utilizzato per sferrare attacchi cibernetici di portata globale.

È stata appena scoperta una variante in grado di infettare un tipo di processori che prima era considerato al sicuro. Si tratta dei processori Arc, i secondi più popolari al mondo: usano il sistema operativo Linux e vengono ogni anno inseriti in oltre un miliardo e mezzo di prodotti: telecamere, televisori, termostati e altre apparecchiature intelligenti che vanno a costituire la cosiddetta Internet delle cose.

Si teme che la nuova tecnologia hi-tech possa diventare “un’arma letale”, avvertono i ricercatori, per sferrare un attacco di tipo DdoS (Sistributed Denial of Service) che potrebbe essere il più grande di sempre. In grado di mandare in tilt servizi essenziali come ospedali, aeroporti, dighe e centrali elettriche.

Le potenzialità di Mirai sono già note. Questo nuovo malware l’ha validato un esperto di sicurezza informatica italiano conosciuto su Twitter con lo pseudonimo di Odisseus. “Funziona nello stesso modo del Mirai originale”, spiega Odisseus a Repubblica. “Il malware cerca in rete dispositivi connessi a Internet.

Una volta trovati, ne prende il controllo utilizzando le password di accesso predefinite in fabbrica, dato che molti utenti non cambiano le credenziali all’acquisto.

Poi comanda loro di collegarsi contemporaneamente allo stesso server, per sovraccaricarlo e renderlo così inagibile”. Mirai è un malware che trasforma i sistemi informatici in botnet controllabili da remoto, le quali possono essere utilizzate in attacchi informatici su larga scala.

Un gruppo di esperti di sicurezza informatica ha scoperto una variante del malware che infetta i processori Arc e li trasforma in un’arma letale sferrando attacchi cibernetici dalla portata, addirittura, globale. In particolare i suoi obiettivi principali sono i dispositivi elettronici di consumo, come telecamere casalinghe e router. La botnet creata da Mirai è stata utilizzata in alcuni dei maggiori attacchi DDoS, tra cui quello al sito ufficiale del giornalista Brian Krebs e quello dell’ottobre 2016 alla Dyn.

Il primo a scriverne al mondo è stato Security Affairs un blog italiano che ha ripreso attraverso Odisseus le caratteristiche salienti del malware Mirai. Erano i primi di settembre del 2016: dopo la prima pubblicazione si contano decine di articoli sulle caratteristiche di questo nuovo malware che colpisce le IoT, ovvero Internet of Things. Le modalità di funzionamento di Mirai sono note, poiché il suo codice sorgente è stato pubblicato nei forum degli hacker.

Dopo che il codice è stato reso pubblico, parti di esso sono state incorporate in altri malware. Mirai scansiona continuamente la rete cercando dispositivi IoT e cerca di infettarli utilizzando una lista di nomi utente e password impostati di default dalle aziende produttrici nei loro dispositivi.

Un dispositivo rimane infettato finché non viene riavviato; quindi, se la password non viene modificata immediatamente, viene di nuovo infettato entro pochi minuti. Mirai è programmato per non infettare una lista di sottoreti, tra cui alcune reti private e indirizzi appartenenti allo United States Postal Service e al Dipartimento della Difesa degli Stati Uniti. Si stima che ci siano centinaia di migliaia di dispositivi IoT che usano le impostazioni di fabbrica e sono perciò vulnerabili al virus.

Una volta che un dispositivo è stato infettato, si connette ad un server di controllo che gli fornisce un obiettivo da attaccare. Oltre al già citato attacco del 21 ottobre del 2016 la botnet, creata infettando migliaia di dispositivi, ha determinato il blocco temporaneo di Twitter, Amazon, New York Times e Amazon sulla costa est degli Stati Uniti. Due settimane dopo una sua variante è stata usata per bloccare il traffico del maggior provider della Liberia, in Africa. E, ancora, in Germania è stata sempre la botnet Mirai a novembre del 2016 a mettere K.O le connessioni internet e telefoniche di circa un milione di tedeschi. Uno scenario da guerra fredda, combattuta però a colpi di mouse.

E a cui è difficile mettere un argine perché anche se alcuni creatori del malware originale sono stati individuati e arrestati negli Stati Uniti, il codice sorgente del virus è stato pubblicato online. Ed è a disposizione di chiunque, dando modo a tutti di creare infiniti duplicati.

L’attacco è stato effettuato sfruttando una vulnerabilità dei router forniti da Deutsche Telekom ai suoi clienti.

La differenza è nel tipo di processore che può essere infettato. Una novità che mette a disposizione dei criminali informatici, o di un governo, una mole di dispositivi enorme: se fossero impiegati tutti insieme creerebbero una botnet di proporzioni mai viste. Dall’incredibile potenza. Come proteggersi? È necessario cambiare la password quando si compra un prodotto di questo tipo, migliorare gli antivirus e lo loro reattività, e impedire ai dispositivi una connessione esterna, come per esempio quella telnet, se non necessaria.