Mirai (malware): differenze tra le versioni

'''Mirai''' (dal giapponese 未来, “futuro”) è un [[malware]] progettato per operare su dispositivi connessi a Internet, specialmente dispositivi [[Internet delle cose|IoT]], rendendoli parte di una [[botnet]] che può essere usata per attacchi informatici su larga scala.<ref>{{Cita news|lingua=en|nome=John|cognome=Biggs|url=https://techcrunch.com/2016/10/10/hackers-release-source-code-for-a-powerful-ddos-app-called-mirai/|titolo=Hackers release source code for a powerful DDoS app called Mirai|pubblicazione=TechCrunch|accesso=2018-02-03}}</ref>. LaIl botnet creatacreato da Mirai è statastato scopertascoperto nell’agosto del 2016 da MalwareMustDie,<ref>{{Cita web|url=http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html|titolo=MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled.. · MalwareMustDie!|sito=blog.malwaremustdie.org|lingua=en-us|accesso=2018-02-03}}</ref>, un’organizzazione nonprofit impegnata nella ricerca per la [[sicurezza informatica]] ed è stata utilizzata lo stesso anno in svariati attacchi [[DDoS]]. IlMirai codiceè sorgentediventato di[[open Miraisource]] quando il [[codice sorgente]] è stato pubblicato su GitHub in [[open sourceGitHub]]. Dalla sua pubblicazione, le tecniche utilizzate da Mirai sono state riprese e adattate in diversi malware.<ref>{{Cita news|lingua=en|nome=Michael|cognome=Kan|url=https://www.itworld.com/article/3132570/hackers-create-more-iot-botnets-with-mirai-source-code.html|titolo=Hackers create more IoT botnets with Mirai source code|pubblicazione=ITworld|accesso=2018-02-03|dataarchivio=15 gennaio 2018|urlarchivio=https://web.archive.org/web/20180115071655/https://www.itworld.com/article/3132570/hackers-create-more-iot-botnets-with-mirai-source-code.html|urlmorto=sì}}</ref>.

Mirai è costituito da due componenti principali, il [[Virus (informatica)|virusworm]] e il Command and Control (C2 o CnC).

Il virusworm sfrutta un dispositivo infetto per cercare continuamente [[Indirizzo IP|indirizzi IP]] di altri dispositivi IoT da compromettere.<ref>{{Cita web|url=https://www.corero.com/resources/ddos-attack-types/mirai-botnet-ddos-attack.html|titolo=The Mirai Botnet: All About the Latest Malware DDoS Attack Type {{!}} Corero|sito=www.corero.com|lingua=en|accesso=2018-02-03|dataarchivio=4 febbraio 2018|urlarchivio=https://web.archive.org/web/20180204000418/https://www.corero.com/resources/ddos-attack-types/mirai-botnet-ddos-attack.html|urlmorto=sì}}</ref>. Tuttavia, Mirai possiede una lista di indirizzi IP da ignorare direttamente nel suo codice. Tra questi vi sono gli indirizzi riservati al Servizio Postale degli Stati Uniti, al [[Dipartimento della Difesadifesa degli Stati Uniti d'America|Dipartimento della Difesadifesa]], all’[[Internet Assigned Numbers Authority|Internet Assigned Numbers Authority (IANA)]], alla [[Hewlett-Packard]] e alla [[General Electric]].<ref>{{Cita web|url=https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html|titolo=https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html|sito=www.incapsula.com|accesso=2018-02-03}}</ref>.

Il processobot di ricercainfetto è sempre in esecuzionecontinua su ogni BOT infettatoricerca, e usa il protocollo [[Telnet]] tentando di accedere in modo casuale aia vari indirizzi IP. Per effettuare il login, il bot sfrutta un [[attacco a dizionario]], ossia una tecnica di forzabruteforce brutadove chesvariati prevedetentativi di svolgerelogin svariativengono tentativieffettuati, conusando un "dizionario" pieno di credenziali comuni tra i dispositivi IoT. Queste credenziali vengono recuperate da una collezione di 60 coppie di username e password di default memorizzate nel codice sorgente. Quando il bot riesce ad ottiene l’accesso ad un dispositivo, louna infettacopa condel ilworm malwareviene ecaricato ed eseguito, comunicacomunicando al Command and Control l’identità del nuovo BOTbot e le sue credenziali. I dispositivi infettati continuano a funzionare normalmente macon un aumentamaggiore l’usouso della [[Banda (informatica)|banda]].

Mirai è scritto principalmente in [[C (linguaggio)|C]] ed è progettatostato creato per diverse architetture (x86, ARM, Sparc, PowerPC, Motorola) in modo da coprire il maggior numero di [[CPU]] utilizzate nei dispositivi IoT. L’immagine delIl malware ècompilato leggeraoccupa poco spazio, e implementa diverse tecniche per passare inosservatainosservato e nascondere i suoi meccanismi interni. In particolare, dopo che il virusworm viene caricato nella [[RAM|memoria volatile]] del BOTbot, l'eseguibile si autoelimina dal disco dello stesso. In questo modo, il malware persiste sul dispositivo finché non viene riavviato. Tuttavia, alalla termineriaccensione del rebootcomputer, se le credenziali di accesso non vengono velocemente modificate (oppure sono state modificate mentre il computer era offline), il dispositivo verrà nuovamente scoperto e re-infettato riusando le credenziali caricate sul server 2C. Inoltre, Mirai identifica eventuali malware concorrenti già attivi sul dispositivo e li rimuove. Per farlo, viene automaticamente sfruttaeseguito uno [[script]] che termina tutti i processi che utilizzano servizi come [[SSH File Transfer Protocol|SSH]], [[Telnet]] e [[Hypertext Transfer Protocol|HTTP]].

Il Command and Control implementato da Mirai supporta una semplice [[interfaccia a riga di comando|interfaccia testuale]], che permette all’attaccante di specificare un vettore di attaccotarget, ossia uno o più indirizzi IP vittimasu cui effettuare un [[Denial of service|DDoS]] e la durata dell’attacco. Per quanto riguarda lei funzionimetodi di attacco, Mirai è capace di lanciare varie tipologie di attacchi [[Denial of service|DDoS]]. A [[Livello di applicazione|livello applicazione]] può lanciare attacchi di tipotramite HTTP floods, mentre a [[livello di rete]] e [[Livello di trasporto|trasporto]] è capace di lanciare attacchi di tipo GRE IP and GRE ETH floods, SYN and ACK floods, STOMP floods, DNS floods e UDP flood. Inoltre, il CnC2C è sempre in attesa che i BOTbot comunichino i nuovi dispositivi infettati e le loro credenziali, le quali vengono usate per copiare il codice del virusworm e ampliare lail Botnetbotnet.

Mirai è stato utilizzato, insieme a [[:en:BASHLITE|BASHLITE]], <ref>{{Cita web|url=https://arstechnica.com/information-technology/2016/10/double-dip-internet-of-things-botnet-attack-felt-across-the-internet/|titolo="Double-dip Internet-of-Things botnet attack felt across the Internet"}}</ref> nell'attacco DDoS del 20 settembre 2016 sul sito di [[:en:Brian_KrebsBrian Krebs|Krebs on Security]] che ha raggiunto i 620 &nbsp;Gbit / s. [[:en:Ars_Technica|Ars Technica]] ha anche riportato un attacco da 1 &nbsp;Tbit / s sul web host [[:en:OVH|OVH]] francese .<ref>{{Cita web|url=https://securityintelligence.com/news/leaked-mirai-malware-boosts-iot-insecurity-threat-level/|titolo="Leaked Mirai Malware Boosts IoT Insecurity Threat Level"}}</ref>.

IlMirai 21è ottobre 2016anche siresponsabile sonoper verificatii piùmultipli attacchi DDoS nei servizi [[:en:Domain_Name_SystemDomain Name System|DNS]] del fornitore di servizi DNS [[:en:Dyn_(company)|Dyn]] utilizzandoeffettuati il malware21 Miraiottobre installato su un gran numero di [[:en:Internet_of_things|dispositivi IoT]]2016, conrendendo conseguente inaccessibilità di diversivari siti Web dimolto altopopolari profiloinaccessibili, come [[GitHub]], [[Twitter]], [[Reddit]], [[Netflix]], [[Airbnb]] e molti altri. <ref>{{Cita web|url=https://www.theregister.co.uk/2016/10/21/dyn_dns_ddos_explained/|titolo="Today the web was broken by countless hacked devices"}}</ref>

In seguito, Mirai è stato utilizzato durante gli attacchi DDoS contro la [[Rutgers University]] dal 2014 al 2016, che ha impedito a facoltà e studenti di accedere a Internet all'esterno del campus per diversi giorni; inoltre, un fallimento del [[:en:Central_Authentication_Service|Central Authentication Service]] ha reso la registrazione del corso e altri servizi non disponibili durante i periodi critici del semestre accademico. Secondo quanto riferito, l'università ha speso US$ 300.000 in consultazione e ha aumentato il budget per la sicurezza informatica dell'università di US$ 1 milione in risposta a questi attacchi. L'università ha citato gli attacchi tra le ragioni per l'aumento delledei tasse scolastiche e delle tassecosti per l'anno scolastico 2015-2016 .<ref>{{Cita web|url=https://www.northjersey.com/story/news/2017/12/13/union-county-man-pleads-guilty-rutgers-cyber-attacks/949591001/|titolo="Former Rutgers student pleads guilty in cyber attacks"}}</ref>

Lo staff di Deep Learning Security ha osservato la costante crescita delle botnet Mirai prima e dopo l'attacco del 21 ottobre. <ref>{{Cita web|url=https://medium.com/@deeplearningsec/think-mirai-ddos-is-over-it-aint-96298a9ff896|titolo="Think Mirai DDoS is over? It ain’t!!"}}</ref>

Mirai è stato utilizzato anche in un attacco all'infrastruttura Internet della [[Liberia]] nel novembre 2016. Secondo l'esperto di sicurezza informatica Kevin Beaumont, l'attacco sembra aver avuto origine dall'attore che ha attaccato anche Dyn. <ref>{{Cita web|url=https://www.telegraph.co.uk/technology/2016/11/04/unprecedented-cyber-attack-takes-liberias-entire-internet-down/|titolo="Unprecedented cyber attack takes Liberia's entire internet down"}}</ref>

Il sito Web Security Affairs è stato disconnessobuttato giù per più di un'ora solo venti minuti dopo aver pubblicato un articolo su Mirai Okiru il 14 gennaio 2018 . <ref>{{Cita web|url=https://exchange.xforce.ibmcloud.com/collection/Okiru-botnet-targets-ARC-processors-widely-used-in-IoT-devices-fe6d7b56a5873e18b30279004fa0dd29|titolo="Okiru botnet targets ARC processors widely used in IoT devices"}}</ref>

Il 17 gennaio 2017, il giornalista della sicurezza informatica [[:en:Brian_Krebs|Brian Krebs]] ha pubblicato un articolo sul suo blog, Krebs on Security, in cui ha rivelato il nome della persona che riteneva di averavesse scritto il malware. Krebs ha dichiarato che la probabile identità nella vita reale di Anna-senpai (dal nome di Anna Nishikinomiya, un personaggio di [[Shimoneta]]), l'autore di Mirai, era in realtà Paras Jha. Jha è proprietariaproprietario di una società di servizi di mitigazione DDoS ProTraf Solutions e unauno studentessastudente della [[Rutgers University]]. In un aggiornamento dell'articolo originale, Paras Jha ha risposto a Krebs e ha negato di averavere scritto Mirai. <ref>{{Cita web|url=https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/|titolo="Who is Anna-Senpai, the Mirai Worm Author?"|accesso=14 febbraio 2018|urlarchivio=https://web.archive.org/web/20170122013744/https://krebsonsecurity.com/2017/01/who-is-anna-senpai-the-mirai-worm-author/|dataarchivio=22 gennaio 2017|urlmorto=sì}}</ref>

Ad esempio, nel novembre del 2016 più di 900˙000900.000 [[router]] della [[Deutsche Telekom]] sono finitiandati offline dopo essere stati infettati da una variante di Mirai. Questo malware si è inserito all’interno dei router sfruttando una vulnerabilità nel protocollo [[TR-069]], che permette al fornitore di aggiornare da remoto il [[firmware]] dei dispositivi. Questa nuova versione di Mirai, implementava una funzione specifica per il bersaglio dell’attacco. Infatti, dopo aver infettato il router, terminava tutti i processi e i protocolli attivi per la [[Porta (informatica)|porta]] [[Transmission Control Protocol|TCP]] 7547, la stessa usata dal protocollo TR-069, in questo modo ha potuto inibire la manutenzione dei dispositivi per diverso tempo.<ref>{{Cita web|url=https://krebsonsecurity.com/2016/11/new-mirai-worm-knocks-900k-germans-offline/|titolo=New Mirai Worm Knocks 900K Germans Offline — Krebs on Security|sito=krebsonsecurity.com|lingua=en-US|accesso=2018-02-03}}</ref>.

Un caso analogo si è avuto in Inghilterra nel dicembre del 2016. Un malware, sfruttando la stessa tecnica del caso tedesco, ha infettato un elevato numero di router, quasi tutti appartenenti alla TalkTalk Telecom.<ref>{{Cita web|url=https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html|titolo=https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html|sito=www.incapsula.com|accesso=2018-02-03}}</ref>.

[[Categoria:VirusWorms informatici]]