Mirai (malware): differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 16:57, 10 ott 2025 modifica Emayeah (discussione \| contributi) 299 modifiche m fix punteggiatura ← Differenza precedente		Versione attuale delle 19:40, 11 ott 2025 modifica annulla Egidio24 (discussione \| contributi) Utenti autoverificati 336 038 modifiche m v2.05 - Corretto utilizzando WP:WPCleaner (Errori comuni) Etichetta: WPCleaner
(2 versioni intermedie di uno stesso utente non sono mostrate)
Riga 8: \| Licenza = [[Open source]] }} '''Mirai''' (dal giapponese 未来, “futuro”) è un [[malware]] progettato per operare su dispositivi connessi a Internet, specialmente dispositivi [[Internet delle cose\|IoT]], rendendoli parte di una [[botnet]] che può essere usata per attacchi informatici su larga scala.<ref>{{Cita news\|lingua=en\|nome=John\|cognome=Biggs\|url=https://techcrunch.com/2016/10/10/hackers-release-source-code-for-a-powerful-ddos-app-called-mirai/\|titolo=Hackers release source code for a powerful DDoS app called Mirai\|pubblicazione=TechCrunch\|accesso=2018-02-03}}</ref> Il botnet creato da Mirai è stato scoperto nell’agosto del 2016 da MalwareMustDie,<ref>{{Cita web\|url=http://blog.malwaremustdie.org/2016/08/mmd-0056-2016-linuxmirai-just.html\|titolo=MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled.. · MalwareMustDie!\|sito=blog.malwaremustdie.org\|lingua=en~~-us~~\|accesso=2018-02-03}}</ref> un’organizzazione nonprofit impegnata nella ricerca per la [[sicurezza informatica]] ed è stata utilizzata lo stesso anno in svariati attacchi [[DDoS]]. Mirai è diventato [[open source]] quando il [[codice sorgente]] è stato pubblicato su [[GitHub]]. Dalla sua pubblicazione, le tecniche utilizzate da Mirai sono state riprese e adattate in diversi malware.<ref>{{Cita news\|lingua=en\|nome=Michael\|cognome=Kan\|url=https://www.itworld.com/article/3132570/hackers-create-more-iot-botnets-with-mirai-source-code.html\|titolo=Hackers create more IoT botnets with Mirai source code\|pubblicazione=ITworld\|accesso=2018-02-03\|dataarchivio=15 gennaio 2018\|urlarchivio=https://web.archive.org/web/20180115071655/https://www.itworld.com/article/3132570/hackers-create-more-iot-botnets-with-mirai-source-code.html\|urlmorto=sì}}</ref> == Malware == Mirai è costituito da due componenti principali, il [[~~worm\|~~worm]] e il Command and Control (C2 o CnC). Il worm sfrutta un dispositivo infetto per cercare continuamente [[Indirizzo IP\|indirizzi IP]] di altri dispositivi IoT da compromettere.<ref>{{Cita web\|url=https://www.corero.com/resources/ddos-attack-types/mirai-botnet-ddos-attack.html\|titolo=The Mirai Botnet: All About the Latest Malware DDoS Attack Type {{!}} Corero\|lingua=en\|accesso=2018-02-03\|dataarchivio=4 febbraio 2018\|urlarchivio=https://web.archive.org/web/20180204000418/https://www.corero.com/resources/ddos-attack-types/mirai-botnet-ddos-attack.html\|urlmorto=sì}}</ref> Tuttavia, Mirai possiede una lista di indirizzi IP da ignorare direttamente nel suo codice. Tra questi vi sono gli indirizzi riservati al Servizio Postale degli Stati Uniti, al [[Dipartimento della ~~Difesa~~difesa degli Stati Uniti d'America\|Dipartimento della ~~Difesa~~difesa]], all’[[Internet Assigned Numbers Authority\|Internet Assigned Numbers Authority (IANA)]], alla [[Hewlett-Packard]] e alla [[General Electric]].<ref>{{Cita web\|url=https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html\|titolo=https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html\|accesso=2018-02-03}}</ref> Il bot infetto è in continua ricerca, e usa il protocollo [[Telnet]] tentando di accedere a vari indirizzi IP. Per effettuare il login, il bot sfrutta un [[attacco a dizionario]], ossia una tecnica di bruteforce dove svariati tentativi di login vengono effettuati, usando un "dizionario" pieno di credenziali comuni tra i dispositivi IoT. Queste credenziali vengono recuperate da una collezione di 60 username e password memorizzate nel codice sorgente. Quando il bot riesce ad ottiene l’accesso ad un dispositivo, una copa del worm viene caricato ed eseguito, comunicando al Command and Control l’identità del nuovo bot e le sue credenziali. I dispositivi infettati continuano a funzionare normalmente con un maggiore uso della [[Banda (informatica)\|banda]]. Riga 22: == Attacchi DDoS == Mirai è stato utilizzato, insieme a [[BASHLITE]],<ref>{{Cita web\|url=https://arstechnica.com/information-technology/2016/10/double-dip-internet-of-things-botnet-attack-felt-across-the-internet/\|titolo="Double-dip Internet-of-Things botnet attack felt across the Internet"}}</ref> nell'attacco DDoS del 20 settembre 2016 sul sito di [[~~Brian_Krebs~~Brian Krebs\|Krebs on Security]] che ha raggiunto i 620  Gbit/s. [[Ars Technica]] ha anche riportato un attacco da 1  Tbit/s sul web host [[OVH]] francese.<ref>{{Cita web\|url=https://securityintelligence.com/news/leaked-mirai-malware-boosts-iot-insecurity-threat-level/\|titolo="Leaked Mirai Malware Boosts IoT Insecurity Threat Level"}}</ref> Mirai è anche responsabile per i multipli attacchi DDoS nei servizi [[~~Domain_Name_System~~Domain Name System\|DNS]] di Dyn effettuati il 21 ottobre 2016, rendendo vari siti Web molto popolari inaccessibili, come [[GitHub]], [[Twitter]], [[Reddit]], [[Netflix]], [[Airbnb]] e molti altri.<ref>{{Cita web\|url=https://www.theregister.co.uk/2016/10/21/dyn_dns_ddos_explained/\|titolo="Today the web was broken by countless hacked devices"}}</ref> In seguito, Mirai è stato utilizzato durante gli attacchi DDoS contro la [[Rutgers University]] dal 2014 al 2016, che ha impedito a facoltà e studenti di accedere a Internet all'esterno del campus per diversi giorni; inoltre, un fallimento del [[Central Authentication Service]] ha reso la registrazione del corso e altri servizi non disponibili durante i periodi critici del semestre accademico. Secondo quanto riferito, l'università ha speso US$300.000 in consultazione e ha aumentato il budget per la sicurezza informatica dell'università di US$1 milione in risposta a questi attacchi. L'università ha citato gli attacchi tra le ragioni per l'aumento dei costi per l'anno scolastico 2015-2016.<ref>{{Cita web\|url=https://www.northjersey.com/story/news/2017/12/13/union-county-man-pleads-guilty-rutgers-cyber-attacks/949591001/\|titolo="Former Rutgers student pleads guilty in cyber attacks"}}</ref> Riga 40: Dopo gli attacchi perpetrati tramite Mirai, vi sono stati altri attacchi che hanno sfruttato il codice e le logiche di Mirai stesso per creare versioni evolute del malware originale. Ad esempio, nel novembre del 2016 più di 900.000 [[router]] della [[Deutsche Telekom]] sono andati offline dopo essere stati infettati da una variante di Mirai. Questo malware si è inserito all’interno dei router sfruttando una vulnerabilità nel protocollo [[TR-069]], che permette al fornitore di aggiornare da remoto il [[firmware]] dei dispositivi. Questa nuova versione di Mirai, implementava una funzione specifica per il bersaglio dell’attacco. Infatti, dopo aver infettato il router, terminava tutti i processi e i protocolli attivi per la [[Porta (informatica)\|porta]] [[Transmission Control Protocol\|TCP]] 7547, la stessa usata dal protocollo TR-069, in questo modo ha potuto inibire la manutenzione dei dispositivi per diverso tempo.<ref>{{Cita web\|url=https://krebsonsecurity.com/2016/11/new-mirai-worm-knocks-900k-germans-offline/\|titolo=New Mirai Worm Knocks 900K Germans Offline — Krebs on Security\|sito=krebsonsecurity.com\|lingua=en~~-US~~\|accesso=2018-02-03}}</ref> Un caso analogo si è avuto in Inghilterra nel dicembre del 2016. Un malware, sfruttando la stessa tecnica del caso tedesco, ha infettato un elevato numero di router, quasi tutti appartenenti alla TalkTalk Telecom.<ref>{{Cita web\|url=https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html\|titolo=https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html\|accesso=2018-02-03}}</ref>