Mirai (malware)

Mirai; software
Genere	Malware
Sviluppatore	Anna-senpai (pseudonimo)
Sistema operativo	Linux
Linguaggio	C; Go
Licenza	Open source; (licenza libera)
Sito web	github.com/jgamblin/Mirai-Source-Code

Mirai (dal giapponese 未来, “futuro”) è un malware progettato per operare su dispositivi connessi a Internet, specialmente dispositivi IoT, rendendoli parte di una botnet che può essere usata per attacchi informatici su larga scala.^[1] Il botnet creato da Mirai è stato scoperto nell’agosto del 2016 da MalwareMustDie,^[2] un’organizzazione nonprofit impegnata nella ricerca per la sicurezza informatica ed è stata utilizzata lo stesso anno in svariati attacchi DDoS. Mirai è diventato open source quando il codice sorgente è stato pubblicato su GitHub. Dalla sua pubblicazione, le tecniche utilizzate da Mirai sono state riprese e adattate in diversi malware.^[3]

Malware

Mirai è costituito da due componenti principali, il worm e il Command and Control (C2 o CnC).

Il worm sfrutta un dispositivo infetto per cercare continuamente indirizzi IP di altri dispositivi IoT da compromettere.^[4] Tuttavia, Mirai possiede una lista di indirizzi IP da ignorare direttamente nel suo codice. Tra questi vi sono gli indirizzi riservati al Servizio Postale degli Stati Uniti, al Dipartimento della difesa, all’Internet Assigned Numbers Authority (IANA), alla Hewlett-Packard e alla General Electric.^[5]

Il bot infetto è in continua ricerca, e usa il protocollo Telnet tentando di accedere a vari indirizzi IP. Per effettuare il login, il bot sfrutta un attacco a dizionario, ossia una tecnica di bruteforce dove svariati tentativi di login vengono effettuati, usando un "dizionario" pieno di credenziali comuni tra i dispositivi IoT. Queste credenziali vengono recuperate da una collezione di 60 username e password memorizzate nel codice sorgente. Quando il bot riesce ad ottiene l’accesso ad un dispositivo, una copa del worm viene caricato ed eseguito, comunicando al Command and Control l’identità del nuovo bot e le sue credenziali. I dispositivi infettati continuano a funzionare normalmente con un maggiore uso della banda.

Mirai è scritto principalmente in C ed è stato creato per diverse architetture (x86, ARM, Sparc, PowerPC, Motorola) in modo da coprire il maggior numero di CPU utilizzate nei dispositivi IoT. Il malware compilato occupa poco spazio, e implementa diverse tecniche per passare inosservato e nascondere i suoi meccanismi interni. In particolare, dopo che il worm viene caricato nella RAM del bot, l'eseguibile si autoelimina dal disco. In questo modo, il malware persiste sul dispositivo finché non viene riavviato. Tuttavia, alla riaccensione del computer, se le credenziali di accesso non vengono velocemente modificate (oppure sono state modificate mentre il computer era offline), il dispositivo verrà nuovamente re-infettato riusando le credenziali caricate sul server 2C. Inoltre, Mirai identifica eventuali malware già attivi sul dispositivo e li rimuove. Per farlo, viene automaticamente eseguito uno script che termina tutti i processi che utilizzano servizi come SSH, Telnet e HTTP.

Il Command and Control implementato da Mirai supporta una semplice interfaccia testuale, che permette all’attaccante di specificare un target, ossia uno o più indirizzi IP su cui effettuare un DDoS e la durata dell’attacco. Per quanto riguarda i metodi di attacco, Mirai è capace di lanciare varie tipologie di attacchi DDoS. A livello applicazione può lanciare attacchi tramite HTTP, mentre a livello di rete e trasporto è capace di lanciare attacchi di tipo GRE IP and GRE ETH floods, SYN and ACK floods, STOMP floods, DNS floods e UDP flood. Inoltre, il 2C è sempre in attesa che i bot comunichino i nuovi dispositivi infettati e le loro credenziali, le quali vengono usate per copiare il codice del worm e ampliare il botnet.

Attacchi DDoS

Mirai è stato utilizzato, insieme a BASHLITE,^[6] nell'attacco DDoS del 20 settembre 2016 sul sito di Krebs on Security che ha raggiunto i 620 Gbit/s. Ars Technica ha anche riportato un attacco da 1 Tbit/s sul web host OVH francese.^[7]

Mirai è anche responsabile per i multipli attacchi DDoS nei servizi DNS di Dyn effettuati il 21 ottobre 2016, rendendo vari siti Web molto popolari inaccessibili, come GitHub, Twitter, Reddit, Netflix, Airbnb e molti altri.^[8]

In seguito, Mirai è stato utilizzato durante gli attacchi DDoS contro la Rutgers University dal 2014 al 2016, che ha impedito a facoltà e studenti di accedere a Internet all'esterno del campus per diversi giorni; inoltre, un fallimento del Central Authentication Service ha reso la registrazione del corso e altri servizi non disponibili durante i periodi critici del semestre accademico. Secondo quanto riferito, l'università ha speso US$300.000 in consultazione e ha aumentato il budget per la sicurezza informatica dell'università di US$1 milione in risposta a questi attacchi. L'università ha citato gli attacchi tra le ragioni per l'aumento dei costi per l'anno scolastico 2015-2016.^[9]

Lo staff di Deep Learning Security ha osservato la costante crescita delle botnet Mirai prima e dopo l'attacco del 21 ottobre.^[10]

Mirai è stato utilizzato anche in un attacco all'infrastruttura Internet della Liberia nel novembre 2016. Secondo l'esperto di sicurezza informatica Kevin Beaumont, l'attacco sembra aver avuto origine dall'attore che ha attaccato anche Dyn.^[11]

Il sito Web Security Affairs è stato buttato giù per più di un'ora solo venti minuti dopo aver pubblicato un articolo su Mirai Okiru il 14 gennaio 2018.^[12]

Identità dell'autore

Il 17 gennaio 2017, il giornalista della sicurezza informatica Brian Krebs ha pubblicato un articolo sul suo blog, Krebs on Security, in cui ha rivelato il nome della persona che riteneva avesse scritto il malware. Krebs ha dichiarato che la probabile identità nella vita reale di Anna-senpai (dal nome di Anna Nishikinomiya, un personaggio di Shimoneta), l'autore di Mirai, era in realtà Paras Jha. Jha è proprietario di una società di servizi di mitigazione DDoS ProTraf Solutions e uno studente della Rutgers University. In un aggiornamento dell'articolo originale, Paras Jha ha risposto a Krebs e ha negato di avere scritto Mirai.^[13]

Altri incidenti legati a Mirai

Dopo gli attacchi perpetrati tramite Mirai, vi sono stati altri attacchi che hanno sfruttato il codice e le logiche di Mirai stesso per creare versioni evolute del malware originale.

Ad esempio, nel novembre del 2016 più di 900.000 router della Deutsche Telekom sono andati offline dopo essere stati infettati da una variante di Mirai. Questo malware si è inserito all’interno dei router sfruttando una vulnerabilità nel protocollo TR-069, che permette al fornitore di aggiornare da remoto il firmware dei dispositivi. Questa nuova versione di Mirai, implementava una funzione specifica per il bersaglio dell’attacco. Infatti, dopo aver infettato il router, terminava tutti i processi e i protocolli attivi per la porta TCP 7547, la stessa usata dal protocollo TR-069, in questo modo ha potuto inibire la manutenzione dei dispositivi per diverso tempo.^[14]

Un caso analogo si è avuto in Inghilterra nel dicembre del 2016. Un malware, sfruttando la stessa tecnica del caso tedesco, ha infettato un elevato numero di router, quasi tutti appartenenti alla TalkTalk Telecom.^[15]

Note

^ (EN) John Biggs, Hackers release source code for a powerful DDoS app called Mirai, in TechCrunch. URL consultato il 3 febbraio 2018.
^ (EN) MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled.. · MalwareMustDie!, su blog.malwaremustdie.org. URL consultato il 3 febbraio 2018.
^ (EN) Michael Kan, Hackers create more IoT botnets with Mirai source code, in ITworld. URL consultato il 3 febbraio 2018 (archiviato dall'url originale il 15 gennaio 2018).
^ (EN) The Mirai Botnet: All About the Latest Malware DDoS Attack Type | Corero, su corero.com. URL consultato il 3 febbraio 2018 (archiviato dall'url originale il 4 febbraio 2018).
^ https://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html, su incapsula.com. URL consultato il 3 febbraio 2018.
^ "Double-dip Internet-of-Things botnet attack felt across the Internet", su arstechnica.com.
^ "Leaked Mirai Malware Boosts IoT Insecurity Threat Level", su securityintelligence.com.
^ "Today the web was broken by countless hacked devices", su theregister.co.uk.
^ "Former Rutgers student pleads guilty in cyber attacks", su northjersey.com.
^ "Think Mirai DDoS is over? It ain’t!!", su medium.com.
^ "Unprecedented cyber attack takes Liberia's entire internet down", su telegraph.co.uk.
^ "Okiru botnet targets ARC processors widely used in IoT devices", su exchange.xforce.ibmcloud.com.
^ "Who is Anna-Senpai, the Mirai Worm Author?", su krebsonsecurity.com. URL consultato il 14 febbraio 2018 (archiviato dall'url originale il 22 gennaio 2017).
^ (EN) New Mirai Worm Knocks 900K Germans Offline — Krebs on Security, su krebsonsecurity.com. URL consultato il 3 febbraio 2018.
^ https://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html, su incapsula.com. URL consultato il 3 febbraio 2018.

Voci correlate

Collegamenti esterni

Sito ufficiale, su github.com.
Repository sorgenti di Mirai, su github.com.

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica

[1] (EN) John Biggs, Hackers release source code for a powerful DDoS app called Mirai, in TechCrunch. URL consultato il 3 febbraio 2018.

[2] (EN) MMD-0056-2016 - Linux/Mirai, how an old ELF malcode is recycled.. · MalwareMustDie!, su blog.malwaremustdie.org. URL consultato il 3 febbraio 2018.

[3] (EN) Michael Kan, Hackers create more IoT botnets with Mirai source code, in ITworld. URL consultato il 3 febbraio 2018 (archiviato dall'url originale il 15 gennaio 2018).

[4] (EN) The Mirai Botnet: All About the Latest Malware DDoS Attack Type | Corero, su corero.com. URL consultato il 3 febbraio 2018 (archiviato dall'url originale il 4 febbraio 2018).

[5] ttps://www.incapsula.com/blog/malware-analysis-mirai-ddos-botnet.html, su incapsula.com. URL consultato il 3 febbraio 2018.

[6] "Double-dip Internet-of-Things botnet attack felt across the Internet", su arstechnica.com.

[7] "Leaked Mirai Malware Boosts IoT Insecurity Threat Level", su securityintelligence.com.

[8] "Today the web was broken by countless hacked devices", su theregister.co.uk.

[9] "Former Rutgers student pleads guilty in cyber attacks", su northjersey.com.

[10] "Think Mirai DDoS is over? It ain’t!!", su medium.com.

[11] "Unprecedented cyber attack takes Liberia's entire internet down", su telegraph.co.uk.

[12] "Okiru botnet targets ARC processors widely used in IoT devices", su exchange.xforce.ibmcloud.com.

[13] "Who is Anna-Senpai, the Mirai Worm Author?", su krebsonsecurity.com. URL consultato il 14 febbraio 2018 (archiviato dall'url originale il 22 gennaio 2017).

[14] (EN) New Mirai Worm Knocks 900K Germans Offline — Krebs on Security, su krebsonsecurity.com. URL consultato il 3 febbraio 2018.

[15] ttps://www.incapsula.com/blog/new-variant-mirai-embeds-talktalk-home-routers.html, su incapsula.com. URL consultato il 3 febbraio 2018.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]