BotNet Mirai

BotNet Mirai

Maggio 4, 2020 0 Di IoTLife

La BotNet Mirai rappresenta una delle più grandi minacce alla sicurezza nei tempi attuali, sia nella sfera privata che in quella professionale.

Si tratta di un malware ideato appositamente per operare sui dispositivi connessi, ma in particolar modo su quelli progettati per il mondo IoT.

BotNet Mirai

Nata nel 2016 con il nome Mirai, è successivamente stata pubblicata in Open Source sulla piattaforma GitHub, dando modo ad altri di svilupparla.

Ne sono state infatti prese e riadattate parti di codice, creando diverse BotNet successive o altri malware che ne integrassero alcune funzioni.

Cos’è una BotNet

Per capire meglio di cosa tratta l’articolo, è necessario fare un passo indietro, ovvero capire cos’è cosa si intende per BotNet.

La parola stessa indica che si tratta di una rete di dispositivi, i quali possono essere controllati a distanza e sono definiti Bot.

Per entrare più in dettaglio, una BotNet è composta di due parti, il software che si va ad insediare nei dispositivi ed un pannello di controllo C&C.

Botnet Mirai
schema di una BotNet

Sono simili ai RAT (Remote Administration Tool), ma si distinguono da questi per il metodo di utilizzo per cui vengono impiegate.

I RAT mirano a creare una rete di dispositivi su cui prendere un totale controllo, mentre le BotNet tendono solo a sfruttarli per attacchi DDoS.

Un attacco DDoS, Distributed Denial of Service, fa uso simultaneo di tutti i Bot per attaccare un singolo obiettivo, con il fine di metterlo fuori uso.

Si può dire che questa è la funzione principale delle BotNet, appunto a differenza dei RAT che mirano al controllo totale di un sistema per volta.

BotNet Mirai in dettaglio

Messo in chiaro cosa sia una BotNet, si può passare a Mirai e spiegare perché si sia voluto fare luce proprio su questa.

Come anticipato in apertura, il codice sorgente è stato distribuito in internet, permettendo di crearne di nuove, ma resta la funzione originale.

Questa BotNet è progettata principalmente per infettare i dispositivi IoT ed ogni volta che ne infetta uno, lo sfrutta per cercarne altri ancora.

Nella ricerca di altri dispositivi Mirai ha già dei filtri, evitando di finire per sbaglio a colpire enti di sicurezza informatica, cercando di non farsi notare.

Come ottiene l’accesso

Per facilitare il suo compito, Mirai cerca continuamente di collegarsi tramite protocollo Telnet con un attacco a dizionario per accedere.

Ovvero fa uso di una lista di username e password predefiniti, inserita nel codice sorgente del programma, nel tentativo di ottenere l’accesso.

Questa tecnica, purtroppo, è altamente funzionale, in quanto fa uso dei dati di login che le aziende mettono di default e che gli utenti non cambiano.

Significa che se si acquista un dispositivo IoT che può essere controllato tramite i dati Admin e Password123, è decisamente meglio cambiarli.

Cosa fa

Dopo aver ottenuto l’accesso al dispositivo, Mirai lo infetta e comunica i dati del nuovo Bot al C&C, per andare a creare tutto l’elenco da cui controllarli.

Un altro punto di forza, ma anche debolezza, è che dopo aver infettato un dispositivo si carica nella RAM e si cancella dalla memoria interna.

Questa operazione garantisce la persistenza, infatti un’analisi della memoria interna non lo rileverebbe, quindi non lo si potrebbe eliminare.

Però la RAM è una memoria volatile, da qui la debolezza, rendendo sufficiente un riavvio del device per eliminare completamente il malware.

Ovviamente bisogna modificare subito i dati di accesso, altrimenti un qualsiasi altro dispositivo infetto riporterebbe il problema in poco tempo.

Infine, nel suo funzionamento, integra anche uno script che termina eventuali altri malware di “concorrenza”, nel caso ve ne fossero.

BotNet Mirai

I pericoli

Mirai può accedere ai dispositivi solo con le credenziali di default, non persiste ad un riavvio e quello che fa è diffondersi continuamente.

Allora quali sono i rischi che presenta?

Effettivamente, di per sé, questo malware è innocuo, perché non contiene codice che miri a creare danni in modo autonomo.

Le funzioni di Mirai sono tutte basate sul rispondere al C&C, dal quale si può comandare a tutti i Bot di compiere attacchi di rete.

A dimostrazione che il problema esiste e non è da sottovalutare, basti dire che Mirai ha anche messo temporaneamente fuori uso dei giganti della rete.

Tra alcuni dei bersagli degli attacchi DDoS effettuati con Mirai, risultano nomi di alto profilo come Netflix, Airbnb, Twitter e molti altri.

Vita privata

Nonostante le capacità, in questo caso, si fermino qui, una Botnet è in grado di aumentare notevolmente il grado di rischi alla sicurezza.

Già come punto iniziale forniscono al C&C dati come indirizzo IP, nazionalità, ISP, dati di connessione e quindi abitudini personali.

Anche se per operazioni più complesse sono maggiormente utilizzati software RAT, non è il caso di sottovalutare le BotNet.

Anche una BotNet può essere usata per intercettare dati sensibili o come punto di accesso per il resto della rete LAN, quindi agli altri dispositivi.

Infettando direttamente i dispositivi, o dando accesso all’attaccante per altri metodi, rende possibile anche forzare la connessione verso determinati siti.

L’utilità di questa cosa risiede nel fatto di poter ingannare uno smart device, facendogli credere di scaricare un aggiornamento originale.

Il dispositivo scaricherebbe il software senza poter sapere che al suo interno è stato aggiunto altro malware per un accesso remoto stabile.

Un altro esempio di rischio è infettare le Videocamere Smart, poiché darebbe la possibilità di guardare dentro casa dal dispositivo.

Quindi è più che evidente di come le BotNet siano una minaccia alla sicurezza dei propri dispositivi, dei dati personali ed anche della privacy.

Prima di acquistare, registrati ad Amazon Prime e poi torna su questa pagina.

Per altri testi, visita la sezione Books.

Per altri articoli, torna a IoTLife.