Mirai è il nome di un malware specializzato nell’Internet of Things (IoT) che ha messo in ginocchio per alcune ore mezza East Coast degli stati uniti. Servizi come Twitter, Amazon, Netflix e altri di rilevante importanza sono risultati pertanto inagibili durante l’ attacco DDoS (Distributed Denial of Service) del il 21 ottobre scorso.

Per capire la pericolosità di quanto è accaduto e sta accadendo è bene ricordare che la botnet Mirai responsabile di quanto accaduto lo ha fatto usando circa 100.000 telecamere connesse a Internet basate su schede della cinese XiongMai Technologies, tutte con lo stessa username e password di default.

Ma cerchiamo di capire come funziona Mirai, praticamente passa al setaccio Internet andando a caccia di apparecchi IoT.  Esiste un motore di ricerca (Shodan) un po’ particolare e molto usato, sin dalla sua creazione (nel 2009), da ethical hacker e ricercatori di sicurezza informatica, dal mondo accademico, dalle Forze di Polizia, dalle Agenzie di Intelligence, da semplici curiosi e, non ultimi, dai cybercriminali che però in questo caso ne fanno uso per la ricerca di dispositivi connessi e con le il software di gestione configurato con le impostazioni di fabbrica e pertanto con un utente e password standard.

Tali impostazioni hanno consentito a Mirai di infettare circa mezzo milione di dispositivi di cui il 29% si trova negli Stati Uniti, il 23% in Brasile e l’8% in Colombia, in buona sostanza, tutto il continente americano e una volta reclutati questi dispositivi possono essere “risvegliati” per un attacco DDoS su larga scala e in questo caso questa potenza di bit è stata diretta per attaccare il servizio Dyn per la risoluzione dei nomi dns.

Ora questi nuovi attacchi, che possono arrivare a 10 Tbps (Terabit per secondo), possono prendere in considerazione anche paesi europei e se consideriamo che dopo la diffusione del codice sorgente di Mirai, la capacità di controllo delle botnet controllate da Mirai potrebbe essere decuplicata e rendere veramente semplice isolare un intero paese dal resto di Internet con un nuovo attacco DdoS, capace di sovraccaricare qualsiasi servizio internet e avendo come effetto quello di non renderlo disponibile al legittimo utilizzatore.

Proviamo per un attimo ad immaginare cosa potrebbe succedere se una IoT botnet di questo tipo prendesse di mira le infrastrutture critiche di un paese moderno che si affida ogni giorno alla rete per il funzionamento dei suoi servizi essenziali come i trasporti, la sanità e l’energia.

Per un attimo dovremo sentirci un pò tutti colpevoli in quanto questi nuovi fronti dell’insicurezza cibernetica derivano da un incauto utilizzo di dispositivi che ormai imperversano sul mercato delle nuove tecnologie. Per impedirlo o quanto meno ridurre la portato di questo nuovo problema una soluzione ci sarebbe: mettere in sicurezza tutti i dispositivi IoT che usiamo ogni giorno a casa e in ufficio: dalla smart tv alle fotocopiatrici ecc.

Alessandro Bonu

Alessandro Bonu

IT Infrastructure System and Security Engineer - Digital Forensics Expert
Alessandro Bonu

Alessandro Bonu

IT Infrastructure System and Security Engineer - Digital Forensics Expert