Botnet Mirai prende di mira i router D-Link, Zyxel, Netgear, Tenda

Uno dei malware che nel corso degli anni hanno in assoluto causato più problemi, anche e soprattutto sui dispositivi aziendali, è Mirai. Si tratta di un componente dannoso che nel tempo ha spesso “cambiato pelle” per aggiornare le sue modalità di attacco e diventare sempre più efficace. Si parla di botnet Mirai perché per diffondersi il malware sfrutta vulnerabilità presenti nei singoli dispositivi hardware e lasciate irrisolte (mancata applicazione delle patch di sicurezza). Mirai sfrutta però anche configurazioni insicure e si fa largo sui dispositivi protetti con le password predefinite o credenziali facili da indovinare.

Cos’è e come funziona la botnet Mirai

Una volta aggrediti con successo, i dispositivi attaccati da Mirai vengono aggiunti a una botnet ovvero una rete virtuale di device sotto il diretto controllo degli aggressori. La bonet Mirai può quindi essere utilizzata per lanciare attacchi DDoS (Distributed Denial of Service) su larga scala e mettere offline siti Web e servizi di ogni genere. I dispositivi infetti, come telecamere di sicurezza, router, apparati di rete, device IoT, sono “reclutati” online e aggiunti alla botnet.

I creatori di Mirai hanno sviluppato un’ampia lista di combinazioni di nome utente e password comuni o predefinite utilizzate su molti dispositivi. Inoltre, aggiornano continuamente la lista dei dispositivi che possono essere oggetto di aggressore.

La botnet esegue quindi una scansione degli indirizzi IP su larga scala per individuare i dispositivi vulnerabili e prova automaticamente sia un attacco basato sulle credenziali d’accesso, sia un’aggressione che tenta di sfruttare vulnerabilità note.

Variante di Mirai aggredisce tanti modelli di router di vari produttori

I ricercatori di Palo Alto Networks hanno rilevato l’esistenza di una variante di Mirai capace di bersagliare i dispositivi di molti produttori. Citati quelli a marchio D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear e MediaTek.

Gli aggressori hanno preso di mira almeno 22 vulnerabilità diverse, documentate da Palo Alto, che interessano router e altri dispositivi hardware al fine di massimizzare la diffusione di Mirai su scala globale. Tra i prodotti che lamentano i problemi di sicurezza sfruttati dalla botnet Mirai, ci sono router, DVR, NVR, dongle WiFi, sistemi di monitoraggio termico, sistemi di controllo degli accessi e meccanismi di monitoraggio dei pannelli fotovoltaici.

L’attacco inizia sfruttando una delle vulnerabilità citate. In questo modo Mirai può gettare le basi per l’esecuzione di uno script a livello di shell. Lo script malevolo, caricato da un server remoto, provoca il download del codice di Mirai sviluppato per l’architettura del dispositivo compromesso. Attualmente i criminali informatici hanno sviluppato versioni di Mirai compatibili con le piattaforme armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k e sparc.

Per ridurre al minimo le possibilità di riconoscimento, Mirai provvede a crittografare le sue stringhe e sfrutta alcune accortezze tecniche per agire in modo rapido e furtivo.

Come ridurre i rischi di infezione

È possibile ridurre il rischio di infezione applicando l’ultimo aggiornamento del firmware rilasciato dal produttore dei propri dispositivi, sostituendo le credenziali di accesso predefinite con una coppia username-password sufficientemente robusta e disattivando l’accesso remoto. In un altro articolo abbiamo visto come migliorare la sicurezza del router e della WiFi e quali interventi, invece, non servono a nulla.

Tra i segni di una possibile infezione da botnet Mirai citiamo ad esempio il surriscaldamento eccessivo, la modifica anomala delle impostazioni e delle configurazioni, il rilevamento di frequenti disconnessioni, il generale calo delle prestazioni del dispositivo.

L’immagine in apertura è di Palo Alto Networks, Unit 42.