Sono ormai 5 anni che si sente parlare di Mirai, una botnet che nell’Ottobre 2016, è stata utilizzata in un attacco DDoS che ha scosso Internet. Il fattore determinante nella diffusione virale del malware è stata la pubblicazione nello stesso anno del suo codice sorgente che ha aperto l’accesso ad altri aggressori consentendo loro di creare le proprie varianti.
Da allora le botnet basate su Mirai sono spuntate come funghi nel panorama delle minacce cyber. Oggi arriva una nuova variante e il rischio per i dispositivi IoT è davvero molto alto se non si presta la giusta attenzione alla messa in sicurezza di questi sistemi.
Conoscete la storia di Mirai? La variante emersa nel 2018 è stata utilizzata per attaccare banche ed enti governativi nei Paesi Bassi. Lo scorso Marzo, invece, i ricercatori hanno scoperto un’altra versione denominata poi “Mukashi”, che prendeva di mira i dispositivi NAS (Network Attached Storage) Zyxel per forzarli all’interno della botnet.
Una delle paure principali legata alla versione della botnet scoperta poche settimane fa, è che utilizza un mix di vecchie e nuove tecniche per compromettere i dispositivi IoT. Il malware sfrutterebbe una serie di vulnerabilità piuttosto recenti che prendono di mira alcune specifiche appliance di sicurezza.
La prima vulnerabilità individuata, ribattezzata come VisualDoor, è un malware capace di inserire input remoti in SonicWall SSL-VPN. In questo caso, l’exploit di VisualDoor ha come obiettivo una vecchia vulnerabilità del firmware SSL-VPN che è stata corretta sui prodotti legacy nel 2015 con le versioni 7.5.1.4-43sv e 8.0.0.4-25sv.
Tra le altre vulnerabilità si possono distinguere quelle di esecuzione di codice in modalità remota (RCE) del firewall DNS-320 D-Link e altre due vulnerabilità in Yealink Device Management che consentono a un utente malintenzionato non autenticato di eseguire comandi arbitrari sul server con privilegi di root.
Il malware agisce seguendo il classico modus operandi del Mirai:
- Step uno: ottenere l’accesso al dispositivo;
- Step due: scaricare ed installare una serie di file eseguibili che ne consentano la diffusione;
- Step tre: utilizzare tecniche di brute-forcing o attacchi a dizionario basati su elenchi di credenziali predefinite.
Questo tipo di minaccia segna un’evoluzione delle botnet poiché consente ai malintenzionati di colpire più bersagli mediante lo stesso attacco.
Si tratta perciò di un pericolo da non sottovalutare che va gestito nel modo corretto sfruttando sistemi cyber security all’avanguardia in grado di individuare tali minacce e professionisti capaci di patchare per tempo tutti i sistemi per metterli in sicurezza, e in caso di breccia intervenire con prontezza per circoscrivere i danni di un attacco cyber.
La stessa SonicWall ha dichiarato che questa nuova versione: “Non è utilizzabile contro alcun dispositivo SonicWall adeguatamente patchato.”
https://www.cyberscoop.com/mirai-unit-42-research-botnet/https://thehackernews.com/2021/03/new-mirai-variant-and-zhtrap-botnet.html