Come proteggere il tuo router dagli attacchi botnet Mirai

Una strategia utilizzata dagli aggressori malintenzionati per aumentare i loro attacchi informatici è l’uso di botnet.

Una botnet è una rete di computer che sono stati infettati da malware e sono controllati in remoto da un malintenzionato. Un tale attore malintenzionato che controlla un gruppo di computer infetti è chiamato pastore di bot. I singoli dispositivi infetti sono indicati come bot.

I pastori di bot comandano e controllano il gruppo di computer infetti, consentendo loro di condurre attacchi informatici su scala molto più ampia. Le botnet sono state utilizzate in modo prominente in attacchi denial of service su larga scala, phishing, spamming e furto di dati.

Un esempio di malware che da allora ha acquisito notorietà per il dirottamento di dispositivi digitali per creare botnet molto grandi è il malware Mirai Botnet. Mirai è un malware botnet che prende di mira e sfrutta le vulnerabilità nei dispositivi Internet of Things (IoT) che eseguono Linux.

Dopo l’infezione, Mirai dirotta il dispositivo IoT trasformandolo in un bot controllato da remoto che può essere utilizzato come parte di una botnet per lanciare massicci attacchi informatici. Mirai è stato scritto usando C e GO.

Il malware ha guadagnato importanza nel 2016 quando è stato utilizzato in un attacco DDOS (Distributed Denial of Service) contro DYN, un provider di Domain Name System. L’attacco ha impedito agli utenti di Internet di accedere a siti come Airbnb, Amazon, Twitter, Reddit, Paypal e Visa, tra gli altri.

Il malware Mirai è stato anche responsabile degli attacchi DDOS al sito di sicurezza informatica Krebs on Security e alla società francese di cloud computing OVHCloud.

Come è stato creato Mirai

Il malware Mirai è stato scritto da Paras Jha e Josiah White, che all’epoca erano studenti poco più che ventenni e anche i fondatori di ProTraf Solutions, una società che offriva servizi di mitigazione DDOS. Mirai Malware è stato scritto utilizzando i linguaggi di programmazione C e Go.

Inizialmente, il loro obiettivo per Mirai era quello di abbattere i server Minecraft concorrenti utilizzando attacchi DDOS in modo da poter ottenere più clienti eliminando la concorrenza.

Il loro uso per Mirai si è poi spostato sull’estorsione e sul racket. Il duo avrebbe lanciato attacchi DDOS alle aziende, quindi avrebbe contattato le aziende che avevano attaccato per offrire mitigazioni DDOS.

Mirai Botnet ha attirato l’attenzione delle autorità e della comunità della sicurezza informatica dopo essere stato utilizzato per rimuovere il sito Web Krebs on Security e il suo attacco a OVH. Quando Mirai Botnet ha iniziato a fare notizia, i creatori hanno fatto trapelare il codice sorgente a Mirai Botnet su un forum di hacking accessibile al pubblico.

Probabilmente si trattava di un tentativo di coprire le proprie tracce e di evitare di essere ritenuti responsabili degli attacchi DDOS effettuati utilizzando Mirai Botnet. Il codice sorgente di Mirai Botnet è stato ripreso da altri cybercriminali e questo ha portato alla creazione di varianti di Mirai Botnet come Okiru, Masuta e Satori e PureMasuta.

I creatori della Mirai Botnet, tuttavia, sono stati successivamente catturati dall’FBI. Tuttavia, non sono stati incarcerati e invece hanno ottenuto condanne più leggere perché hanno collaborato con l’FBI per catturare altri criminali informatici e prevenire attacchi informatici.

Come funziona la botnet Mirai

Un attacco di Mirai Botnet prevede i seguenti passaggi:

Mirai Botnet esegue prima la scansione degli indirizzi IP su Internet per identificare i dispositivi IoT che eseguono Linux sul processore Arc. Quindi identifica e prende di mira i dispositivi che non sono protetti da password o che utilizzano credenziali predefinite.

Dopo aver identificato i dispositivi vulnerabili, Mirai prova una varietà di credenziali predefinite note per cercare di ottenere l’accesso di rete al dispositivo. Se il dispositivo utilizza le configurazioni predefinite o non è protetto da password, Mirai accede al dispositivo e lo infetta.

Mirai Botnet esegue quindi la scansione del dispositivo per scoprire se è stato infettato da altri malware. In tal caso, rimuove tutti gli altri malware in modo che sia l’unico malware sul dispositivo, dandogli un maggiore controllo sul dispositivo.

Un dispositivo infettato da Mirai diventa quindi parte della Mirai Botnet e può essere controllato in remoto da un server centrale. Tale dispositivo attende semplicemente i comandi dal server centrale.

I dispositivi infetti vengono quindi utilizzati per infettare altri dispositivi o utilizzati come parte di una botnet per condurre attacchi DDOS su larga scala su siti Web, server, reti o altre risorse accessibili su Internet.

Vale la pena notare che Mirai Botnet è arrivato con intervalli IP che non ha preso di mira o infettato. Ciò include reti private e indirizzi IP assegnati al Dipartimento della Difesa degli Stati Uniti e al servizio postale degli Stati Uniti.

Tipi di dispositivi presi di mira da Mirai Botnet

L’obiettivo principale per Mirai Botnet sono i dispositivi IoT che utilizzano processori ARC. Secondo Paras Jha, uno degli autori del bot Mirai, la maggior parte dei dispositivi IoT infettati e utilizzati dalla botnet Mirai erano router.

Tuttavia, l’elenco delle potenziali vittime di Mirai Botnet include altri dispositivi IoT che utilizzano processori ARC.

Ciò potrebbe includere dispositivi domestici intelligenti come videocamere di sicurezza, baby monitor, termostati e smart TV, dispositivi indossabili come fitness tracker e orologi e dispositivi IoT medici come misuratori di glucosio e pompe per insulina. Anche i dispositivi IoT industriali e i dispositivi IoT medicali che utilizzano processori ARC possono essere vittime della botnet Mirai.

Come rilevare un’infezione da botnet Mirai

Mirai Botnet è progettato per essere furtivo nel suo attacco e, quindi, rilevare che il tuo dispositivo IoT è infetto da Mirai Botnet non è un compito facile. Tuttavia, non sono facili da rilevare. Tuttavia, cerca i seguenti indicatori che potrebbero segnalare una possibile infezione da Mirai Botnet sul tuo dispositivo IoT:

• Connessione Internet rallentata: la botnet Mirai può causare il rallentamento di Internet poiché i dispositivi IoT vengono utilizzati per lanciare attacchi DDOS.
• Traffico di rete insolitok: se monitori regolarmente la tua attività di rete, potresti notare un improvviso aumento del traffico di rete o richieste inviate a indirizzi IP sconosciuti
• Prestazioni del dispositivo ridotte: il tuo dispositivo IoT funziona in modo non ottimale o mostra un comportamento insolito, come l’arresto o il riavvio automatico, potrebbe essere un indicatore di una possibile infezione Mirai.
• Modifiche nelle configurazioni dei dispositivi: Mirai Botnet potrebbe apportare modifiche alle impostazioni dei dispositivi IoT o alle configurazioni predefinite per rendere i dispositivi più facili da sfruttare e controllare in futuro. Nel caso in cui noti cambiamenti nelle configurazioni dei tuoi dispositivi IoT e non ne sei responsabile, potrebbe indicare una possibile infezione da Mirai Botnet.

Sebbene ci siano segni a cui puoi prestare attenzione per sapere se il tuo dispositivo è stato infettato, a volte potresti non notarli facilmente semplicemente perché Mirai Botnet è realizzato in modo tale da renderlo molto difficile da rilevare. Di conseguenza, il modo migliore per affrontarlo è impedire a Mirai Botnet di infettare i tuoi dispositivi IoT.

Tuttavia, se sospetti che sia stato rilevato un dispositivo IoT, disconnettilo dalla rete e ricollegalo solo dopo che la minaccia è stata eliminata.

Come proteggere i tuoi dispositivi dall’infezione Mirai Botnet

La strategia chiave di Mirai Botnet nell’infettare i dispositivi IoT consiste nel testare una serie di configurazioni predefinite ben note per vedere se gli utenti utilizzano ancora le configurazioni predefinite.

In tal caso, Mirai accede e infetta i dispositivi. Pertanto, un passo importante nella protezione dei dispositivi IoT da Mirai Botnet è evitare l’uso di nomi utente e password predefiniti.

Assicurati di modificare le tue credenziali e di utilizzare password che non possono essere facilmente indovinate. Puoi persino utilizzare un generatore di password casuali per ottenere password univoche che non possono essere indovinate.

Un altro passo che puoi fare è aggiornare regolarmente il firmware del tuo dispositivo e anche installare le patch di sicurezza ogni volta che vengono rilasciate. Le aziende spesso rilasciano patch di sicurezza nel caso in cui vengano scoperte vulnerabilità nei loro dispositivi.

Pertanto, l’installazione di patch di sicurezza ogni volta che vengono rilasciate potrebbe aiutarti a stare al passo con gli aggressori. Nel caso in cui il tuo dispositivo IoT abbia accesso remoto, valuta anche la possibilità di disabilitarlo, nel caso in cui non avessi bisogno di quella funzionalità.

Altre misure che puoi adottare includono il monitoraggio regolare dell’attività di rete e la segmentazione della rete domestica in modo tale che i dispositivi IoT non siano connessi alle reti critiche domestiche.

Conclusione

Sebbene i creatori di Mirai Botnet siano stati arrestati dalle autorità, il rischio di infezione da Mirai Botnet persiste ancora. Il codice sorgente di Mirai Botnet è stato rilasciato al pubblico e ciò ha portato alla creazione di varianti letali di Mirai Botnet, che prendono di mira i dispositivi IoT e hanno un maggiore controllo sui dispositivi.

Pertanto, durante l’acquisto di dispositivi IoT, le funzionalità di sicurezza offerte dal produttore del dispositivo dovrebbero essere una considerazione chiave. Acquista dispositivi IoT dotati di funzionalità di sicurezza che impediscono possibili infezioni da malware.

Inoltre, evita di utilizzare le configurazioni predefinite nei tuoi dispositivi e aggiorna regolarmente il firmware del tuo dispositivo e installa tutte le patch di sicurezza più recenti ogni volta che vengono rilasciate.

Puoi anche esplorare i migliori strumenti EDR per rilevare e rispondere rapidamente agli attacchi informatici.