In ottobre si è verificato, in Italia, un vero e proprio attacco di hacker su quei dispositivi elettronici collegati ad Internet chiamati con l’acronimo Iot (Internet of Things). Telecamere IP e router stavano per essere infettati ma qualcuno se ne accorse.

A dare il primo allarme in Maggio è stato il gruppo dei Cavalieri di MalwareMustDie, un gruppo unico al mondo che unisce un altissimo livello tecnico nell’analisi dei malware ad una spinta ideale raramente reperibile nel mondo di oggi, ovvero la gratuità del lavoro No-Profit con lo scopo di combattere per un mondo Internet più sicuro.
Lo scopo è quello di generare botnet sempre più potenti, con un numero di nodi infettati sempre maggiore, nodi che si muovono all’unisono come un oceano di zombie pronti ad aggredire di volta in volta un singolo bersaglio: un’aggressione compiuta allo scopo di mettere il target fuori uso mediante quello che in gergo si chiama attacco DDoS (Distributed Denial of Service).
Le botnet sono come dei cannoni che sparano “traffico” di enormi proporzioni in una direzione precisa, con lo scopo di far “scomparire” letteralmente i siti che bombardano. Le ragioni possono essere molteplici e vanno dall’estorsione all’attivismo politico di varia natura
Dalle loro analisi arguiscono che si tratta di un vecchio malware “riciclato” e riadattato (chiamato Mirai), come spesso accade, per attaccare soprattutto le telecamere IP, basate su sistema operativo Linux. Queste sono oggetto di grande interesse perché hanno un lato debole essenziale: sono installate spesso senza che vengano cambiate le password di default. Inoltre non sono munite di antivirus e chi le usa difficilmente si accorge che sono state infettate. Infine, anch’esse del resto sono su Internet.
Le telecamere IP quindi rappresentano i dispositivi ideali, perché le password si scoprono dopo pochi tentativi e spesso sono “admin, password123, 12345, root”. Il malware prova a rotazione ciascuna di esse, fin quando non riesce a trovare quella giusta affinché il nodo infetto sia finalmente pronto per ricevere ordini e compiere azioni criminali.

Akamai, azienda specializzata nella protezione dei siti web, ha dichiarato che l’attacco è stato sferrato da circa un milione e mezzo di device sparsi in tutto il mondo, asserendo che una considerevole percentuale di questi era infettata proprio da Mirai

La scoperta di MalwareMustDie è notevole, ma il fatto che l’Italia sia coinvolta non è affatto una bella notizia, né è una bella notizia che, in questo caso, l’Italia sia all’avanguardia nella creazione di malware che infettano il mondo delle “cose”.
Durante la fase di analisi, il gruppo di MalwareMustDie riesce ad entrare nella stanza dove gli zombie si connettono per riceve ordini: si comporta come un device infettato registrando quello che avviene (log) ed accorgendosi dell’enorme potenziale distruttivo che si va via via accumulando

Secondo lo studio riportato da MalwareMustDie, gli zombie connessi in pochi giorni erano già diventati circa 3.500, il che vuol dire che altrettante erano le telecamere IP infettate al momento in cui l’analisi veniva redatta. Ad ognuna di esse dalla stanza arrivavano comandi di “scansione” della rete circostante alla ricerca di altre telecamere da infettare per far crescere il numero degli zombi. Insomma, agli infettati veniva chiesto deliberatamente di ricercare ed infettare i vicini.

Una nota ulteriormente negativa viene dagli antivirus: a riconoscere il malware sono tuttora ancora in pochi e gli stessi antivirus scambiano IRCTelnet (codice binario) spesso con malware di altre famiglie, producendo un’azione di contrasto che spesso non è in grado di disinfettarlo opportunamente

C’è da dire che una volta scoperta, la botnet formata con il malware IRCTelnet è stata smantellata dal suo stesso autore quando il report di MalwareMustDie è comparso sul blog: troppo clamore e i criminali hanno preferito dileguarsi e tornare nell’ombra.

Anche questo è uno degli effetti dell’azione di contrasto: possiamo dire che almeno in questo caso la consapevolezza ha neutralizzato “indirettamente” l’attacco.
Ringraziamo Odisseus, che si definisce “un signor Nessuno nel panorama della Cyber Security italiana”, per il suo prezioso supporto nel campo della sicurezza informatica.

Nicola Albi

Navigando nel sito, permetti l'uso dei cookie da parte nostra. Informativa

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi