Nelle ultime settimane, degli hacker sconosciuti hanno lanciato alcuni dei più grandi cyberattacchi mai visti su internet. Questi attacchi sono stati degni di nota non solo per la loro potenza senza precedenti, ma anche perché sono stati supportati da un esercito di fotocamera zombie hackerate e altri dispositivi che rientrano nella categoria dell'Internet of Things, o IoT.Venerdì, l'hacker che afferma di aver creato il malware che gestiva l'immensa "Botnet of Things" ha pubblicato il codice sorgente del software, e sembra essere tutto vero.
Pubblicità
"Sembra che questa release sia vera," ha detto Marshall Webb, il chief technology officer di BackConnect, un'azienda anti-DDoS, che ha raccolto campioni del malware nelle scorse settimane.Anche se effettivamente legittimo, il codice maligno non è particolarmente sofisticato, secondo i ricercatori in ambito security che lo hanno studiato."Chiunque l'abbia scritto l'ha fatto con coscienza. Per capirci, è meglio di qualunque altra stronzata che ultimamente sta colpendo la rete dell'IoT," ha spiegato a Motherboard in una chat online Darren Martyn, security researcher che ha analizzato malware. "[Ma] si tratta ancora di un malware rudimentale."Il malware, conosciuto come Mirai, è stato caricato su Hackforums dal suo apparente autore ed è stato pubblicato successivamente da altri su GitHub. mirai è progettato per scandagliare internet alla ricerca di dispositivi connessi vulnerabili che usano il protocollo telnet e hanno credenziali di login di default piuttosto deboli come 'admin', '123456', 'root', 'password' o addirittura 'mother' e 'fucker', credenziali usate da un'altra botnet composta da router hackerati.
Un campione di combinazioni di username e password che il malware sfrutta a ripetizione per tentare di penetrare all'interno dei suoi obiettivi.Una volta che il malware trova uno di questi dispositivi, che spesso corrispondono a telecamere di sorveglianza, DVR o router, li infetta e si auto-propaga. Ciò garantisce a chi comanda il malware pieno controllo sui dispositivi hackerati e permette loro di lanciare degli attacchi DDoS attraverso essi, come quelli che hanno colpito il sito del noto giornalista Brian Krebs e il provider di hosting OVH, sfruttando varie fonti di traffico e tecniche come l'UDP, DNS e HTTP flooding, o il GRE IP e il GRE Ethernet flooding.
Pubblicità
Il malware è progettato per essere usato come un servizio DDoS-a-pagamento, come indicato dalla stringa di codice che recita "Condividere i dati di accesso È proibito! […] Non condividere le tue credenziali!"Il codice è pieno di inside joke e curiosità divertenti, come diverse menzioni della parola "memes" e anche un link YouTube al video di Rick Astley "Never Gonna Give You Up"—insomma you got Rickroll'd. Probabilmente sono tutti mezzucci che gli autori hanno inserito per prendersi gioco di chi avrebbe, in seguito, analizzato il codice, ricercatori in ambito security e autorità incluse.
"È meglio di qualunque altra stronzata che ultimamente sta colpendo la rete dell'IoT, [ma] si tratta ancora di un malware rudimentale."
Molti ricercatori hanno sottolineato che il codice, così com'è, ha bisogno di qualche limata prima di essere lanciato. Come ci ha spiegato il ricercatore di MalwareTech, il commando DDoS "sputerà solo una manciata di stronzate da hacker sulla console senza fare in realtà granché"—forse si tratta di un altro inside joke.Martyn ha detto che chiunque voglia usare il malware deve cambiare alcune impostazioni e lavorarci un po', ma "chiunque che abbia un minimo di buon senso potrebbe sistemare il tutto in appena 30 minuti."È interessante notare come alcuni commenti in alcune parti del codice sorgente del malware siano scritti in cirillico. Ciò suggerisce—ovviamente—che uno degli autori o degli sviluppatori sia dell'Est Europa.Benché non abbia niente a che fare con titani come Stuxnet o qualunque altro malware sofisticato, funzione, e ora che tutti lo possono usare si sta diffondendo attivamente.Se un malware mediocre più gestire uno dei più grandi attacchi DDoS di sempre, e considerata la triste condizione dei parametri di security dell'Internet of things in generale, dovremmo prepararci ad altri cyberattacchi provenienti dalla nostra IoT 'smart' e easy-to-hack—Come molti, noi inclusi, avevano predetto mesi fa."Mi sorprende vedere come un malware così rudimentale possa essere responsabile di un DDoS così ampio. È una situazione che suggerisce molto di più sull'attuale stato della sicurezza dell'Internet of Things che sulle specifiche del malware," ha spiegato a Motherboard un ricercatore in ambito sicurezza conosciuto come Hacker Fantastic. "Se nel 2016 le persone non imparano a cambiare le password di default e a disabilitare la connessione telnet sui dispositivi connessi a internet, il futuro sarà pieno di attacchi di questo tipo.
Un campione di combinazioni di username e password che il malware sfrutta a ripetizione per tentare di penetrare all'interno dei suoi obiettivi.Una volta che il malware trova uno di questi dispositivi, che spesso corrispondono a telecamere di sorveglianza, DVR o router, li infetta e si auto-propaga. Ciò garantisce a chi comanda il malware pieno controllo sui dispositivi hackerati e permette loro di lanciare degli attacchi DDoS attraverso essi, come quelli che hanno colpito il sito del noto giornalista Brian Krebs e il provider di hosting OVH, sfruttando varie fonti di traffico e tecniche come l'UDP, DNS e HTTP flooding, o il GRE IP e il GRE Ethernet flooding.Il malware è progettato per essere usato come un servizio DDoS-a-pagamento, come indicato dalla stringa di codice che recita "Condividere i dati di accesso È proibito! […] Non condividere le tue credenziali!"Il codice è pieno di inside joke e curiosità divertenti, come diverse menzioni della parola "memes" e anche un link YouTube al video di Rick Astley "Never Gonna Give You Up"—insomma you got Rickroll'd. Probabilmente sono tutti mezzucci che gli autori hanno inserito per prendersi gioco di chi avrebbe, in seguito, analizzato il codice, ricercatori in ambito security e autorità incluse.