La botnet Mirai è stata una costante minaccia alla sicurezza IoT sin dalla sua comparsa nel 2016. In un recente rapporto di McAfee, il malware e le sue numerose varianti sono state attribuite all’aumento degli attacchi ai sistemi IoT (55%) e Linux (38%). nel primo trimestre del 2021.
Purtroppo, le varianti continuano a crescere
- Sin dal rilascio del codice sorgente da parte degli autori di Mirai, gli attori delle minacce hanno scatenato molti attacchi creando i propri tipi di eserciti di botnet IoT.
- Sebbene nuove funzionalità ed exploit siano stati costantemente aggiunti da vari attori delle minacce, la struttura e l’obiettivo delle campagne rimangono gli stessi.
Mirai non è da sottovalutare
- I ricercatori di Fortinet si sono imbattuti in molti aspetti interessanti durante il monitoraggio delle attività delle botnet IoT.
- È stato scoperto che un nuovo sistema honeypot utilizzato allo scopo riceveva circa 200 attacchi al giorno, per un totale di quasi 4.700 attacchi in sole tre settimane.
- Circa 4.000 di questi attacchi erano collegati alle varianti Mirai.
- In base agli attacchi, le varianti principali utilizzate erano Hajime, SYLVEON, Kyton, PEDO, DNXFCOW, SORA, Cult, BOTNET, OWARI ed Ecchi.
- Oltre all’honeypot, i ricercatori hanno anche scoperto MANGA, una variante di Mirai, che aggiorna attivamente i vettori di exploit alla sua lista.
- Alcuni degli exploit riguardano le vulnerabilità riscontrate in OptiLink ONT1GEW GPON, Cisco HyperFlex e router Tenda.
Alcuni punti chiave
- Secondo AT&T Alien Labs, c’è stato un picco di attività da un’altra variante di Mirai, Moobot.
- Si scopre che è stato espulso da un nuovo dominio di malware cyber-underground, noto come Cyberium, che ha ancorato una grande quantità di attività di varianti Mirai.
- I ricercatori hanno osservato che Moobot sta attivamente cercando una vulnerabilità di esecuzione di codice remoto nei router Tenda.
- Una delle caratteristiche principali di Moobot è una stringa hardcoded che viene utilizzata più volte nel codice, ad esempio la generazione del nome del processo da utilizzare durante l’esecuzione.
Conclusioni
Poiché il numero di dispositivi intelligenti continua a crescere, l’IoT rimarrà un focolaio per le operazioni di malware in futuro. Apparentemente, lo stato attivo delle varianti Mirai in termini di attacchi e sviluppi lo rende più preoccupante. Inoltre, sottolinea ancora una volta la necessità per i produttori di dispositivi IoT di correggere le vulnerabilità in modo tempestivo e seguire gli standard di sicurezza IoT adeguati.
