Dietro all’attacco DDoS che ha colpito lo scorso venerdì 21 Ottobre i server DYN, uno dei principali host DNS degli Stati Uniti, vi sarebbe anche un malware noto agli esperti di sicurezza con il nome “Mirai”. E’ stata l’azienda cinese Hangzhou Xiongmai Technology a rivelare nella giornata di ieri come i propri prodotti (telecamere di sorveglianza connesse alla Rete, delle soluzioni per l’IoT si potrebbe dire) abbiano partecipato involontariamente al cyber attacco:“Mirai rappresenta un disastro per l’Internet delle Cose. Dobbiamo ammettere che i nostri prodotti [sono stati bucati dagli hacker ed utilizzati illegalmente]”.

L’espediente utilizzato da Mirai per infettare i dispositivi sfrutta è abbastanza banale quanto efficace: avvantaggiandosi delle basilari password utilizzate di default per accedere agli strumenti di amministrazione dei device, il malware non ha molte difficoltà ad indovinare la sequenze corretta (l’idea alla base è simile a quella dei programmi brute force anche se in questo caso il numero di combinazioni nome/password è relativamente basso, solo 60). In questo modo sarebbero state convertite alla causa degli hacker almeno 500.000 telecamere – secondo quanto affermato dal provider Level 3 Communications.

L’azienda ha rilasciato un firmware che rende ora molto più complesso superare le difese dei dispositivi ma quanti altri prodotti sono ancora esposti al malware? In ogni caso l’Internet of Things, come anticipato da diversi analisti, si appresta a diventare il prossimo terreno di battaglia tra hacker ed esperti di sicurezza informatica: le inadeguate protezioni adottate dai produttori di device IoT (password di default deboli, modalità di aggiornamento del software vulnerabili ad attacchi “man in the middle” etc.) mettono a disposizione dei malintenzionati una fonte quasi illimitata di bot.

Mirai partecipò anche all’attacco DDoS record

Anche DYN ha confermato che Mirai è sicuramente uno dei principali responsabili dell’attacco che ha rallentato o reso impossibile l’accesso ai più noti siti del web come PayPal, Spotify, Amazon,Twitter e via dicendo: “abbiamo osservato circa 10 milioni di indirizzi IP associati alla botnet Mirai che ha partecipato all’attacco” ha dichiarato DYN.

Da quando l’ignoto programmatore del malware ha rilasciato ad inizio mese il codice sorgente di Mirai, il suo utilizzo è aumentato considerevolmente online. In base a quanto rivelato in questi giorni, il malware avrebbe anche preso parte all‘attacco DDoS record (oltre 600Gbps) lanciato contro il portale Krebs On Security.