Cos'è la botnet Mirai?
Alla fine del 2016, in Francia, la società di telecomunicazioni OVH è stata colpita da un attaccoDDoS(Distributed Denial of Service). Gli esperti sono rimasti colpiti da come l'assalto fosse 100 volte più grande di minacce simili. Il mese successivo, oltre 175.000 siti web sono stati colpiti da un altro potente attacco DDoS da parte di Dyn, un provider di DNS (Domain Name System) gestito. Gran parte degli Stati Uniti orientali e parte dell'Europa hanno subito un calo significativo della qualità di Internet.
Alcuni gruppi di hacker, come Anonymous e New World Hackers , ne hanno rivendicato la responsabilità come ritorsione per l'interruzione dell'accesso a Internet del fondatore di WikiLeaks Julian Assange da parte del governo ecuadoriano. Tuttavia, funzionari americani e società di sicurezza hanno messo in dubbio queste affermazioni. Una cosa è certa. L'arma dietro questi attacchi era il malware Mirai botnet.
Il tempismo non poteva essere peggiore. Con le elezioni americane alle porte, si temeva che il malware potesse avere un impatto sugli elettori. Gli esperti hanno ipotizzato che il software maligno fosse opera di uno Stato canaglia intenzionato a manipolare il processo democratico.
Non potevano essere più lontani dalla verità.
Chi ha creato la botnet Mirai?
Tre giovani di nome Paras Jha, Dalton Norman e Josiah White hanno creato Mirai come parte di una truffa su Minecraft. Il loro obiettivo iniziale era avviare uno schema di estorsione abbattendo server di Minecraft e avviando un racket di protezione. Dopo che l'utente «Anna-senpai», che gli investigatori credono sia un alias per Paras Jha, ha pubblicato il codice sorgente online, la botnet Mirai è mutata.
Come ha ottenuto il suo nome la botnet Mirai?
Mirai è un nome giapponese che significa "futuro". Secondo una chat tra Anna-senpai e Robert Coelho, un dirigente di ProxyPipe.com, la botnet Mirai è stata chiamata così per la serie animata giapponese Mirai Nikki.
Come si diffonde Mirai?
Rispondiamo ad alcune domande come "Cos'è un attacco DDoS?", "Cos'è una botnet?" e "Cos'è IoT?" prima di spiegare come si è diffusa la botnet Mirai.
Una botnet è una rete di computer dirottati sotto il controllo di un attore di minacce, in genere chiamato bot herder. La rete di computer, o bot, esegue uno script automatico per eseguire un compito.
Le botnet non servono sempre attori malintenzionati. Ad esempio, l'esperimento scientifico SETI@home, cercava la vita extraterrestre attraverso una botnet volontaria. Tuttavia, i pastori di bot solitamente usano le botnet per attacchi come il DDoS. Utilizzando le risorse estese dei molti computer in una botnet, inviano un traffico eccessivo a un sito web o servizio per sopraffarlo e farlo cadere.
L'obiettivo di un attacco DDoS può andare dalla zizzania all'attivismo fino all'estorsione. Ad esempio, gli autori di Mirai volevano compromettere server critici di Minecraft per vendere servizi di mitigazione DDoS. Si dice anche che abbiano attaccato ProxyPipe.com perché forniva servizi simili ed era un potenziale concorrente.
La botnet Mirai è diversa dalle altre minacce informatiche perché attacca i dispositivi IoT anziché i computer. IoT, ovviamente, è un nome di fantasia per i dispositivi che trasportano sensori e software, consentendo loro di comunicare con altri dispositivi e sistemi. Mirai ha infettato dispositivi di consumo vulnerabili come le telecamere intelligenti. Ha anche armato i router basati su Realtek.
Mirai ha scansionato Internet alla ricerca di obiettivi e ha violato la loro sicurezza provando combinazioni predefinite di nome utente e password. Non ci è voluto molto perché Mirai infettasse centinaia di migliaia di dispositivi IoT in tutto il mondo e ottenesse un potere significativo. L'attacco di Mirai nel 2016 contro OVH ha raggiunto un picco sorprendente di 1 TBps.
Come è stata fermata la botnet Mirai?
Secondo TechTarget, l'FBI ha scoperto le identità dei creatori di Mirai attraverso i metadati intorno ai loro account anonimi dopo un'indagine approfondita. Non solo il trio ha dichiarato colpevolezza per vari crimini informatici, ma hanno acconsentito ad aiutare a rimediare. Uno dei loro contributi maggiori è stato costruire un honeypot IoT chiamato WatchTower. Un honeypot è essenzialmente una trappola digitale per malware e hacker.
La botnet Mirai è ancora attiva
Le autorità hanno forse catturato i creatori di Mirai, ma lo spirito della loro botnet continua a vivere. Numerosi gruppi hanno sfruttato il codice open-source per creare mini varianti. Oltre agli attacchi DDoS, le botnet possono aiutare hackers a indebolire la sicurezza dei siti web, a rubare i dati delle carte di credito e a inviare spam.
Come si può mitigare il malware Mirai?
L'aggiornamento del firmware dei dispositivi IoT all'ultima versione può contribuire a ridurre il rischio di infezione da botnet. Inoltre, la modifica dei nomi utente e delle password predefinite impedirà agli attori delle minacce di utilizzare le credenziali di accesso predefinite conosciute. Può essere utile anche segmentare la rete in modo che i dispositivi IoT si trovino su una rete separata.
Per proteggere il tuo computer da infezioni da botnet, installa regolarmente le ultime patch di sicurezza per il tuo sistema operativo e scarica strumenti anti-malware. Potresti anche essere messo a rischio da vecchi router non aggiornati, quindi considera di aggiornarti. Un approccio proattivo può rafforzare le tue difese contro ogni tipo di infezione da botnet.