Level 3: più che raddoppiato il livello di diffusione di Mirai dopo la release del codice sorgente

I bot Mirai continuano a “reclutare” nei propri ranghi un elevato numero di dispositivi IoT; la velocità di diffusione di tale malware ha in effetti raggiunto livelli record dopo la pubblicazione del relativo codice sorgente.

I ricercatori di Level 3 Communications hanno ad ogni caso identificato l’infrastruttura di comando e controllo di Mirai, utilizzata per compromettere i dispositivi IoT vulnerabili, e per comunicare con i bot via via creati. Secondo la società statunitense, operante nel campo delle telecomunicazioni, ed ugualmente attiva come provider di servizi Internet, nell’arco di due settimane il numero di telecamere CCTV adibite alla videosorveglianza, di videoregistratori digitali, di dispositivi di rete domestici, compromessi da Mirai, è più che raddoppiato, passando da 213.000 a 493.000 unità. “In realtà, il numero complessivo di tali bot può rivelarsi superiore, poiché le infrastrutture individuate sembrano non fornire ancora un quadro completo dell’effettiva situazione esistente”, – avvertono gli esperti.

La maggior parte dei dispositivi compromessi risulta ubicata negli Stati Uniti; anche Brasile e Colombia, tuttavia, occupano posizioni di assoluto rilievo nel lungo elenco delle infezioni informatiche realizzate. Ancor più preoccupante è la crescita del numero di malintenzionati che intendono sfruttare le opportunità involontariamente offerte dall’infinito “esercito” di dispositivi collegati ad Internet. Secondo Level 3 Communications, il 24% degli host di cui si compone la botnet Mirai viene ugualmente utilizzato nell’ambito degli attacchi effettuati attraverso il dispiegamento del malware Gafgyt, meglio conosciuto come BASHLITE. “Una “sovrapposizione” così ampia testimonia in maniera inequivocabile come uno stesso pool di dispositivi IoT vulnerabili possa essere di fatto attaccato da “rappresentanti” di numerose famiglie di malware”, – constatano gli esperti.

I ricercatori considerano la pubblicazione del codice sorgente di Mirai la causa che ha effettivamente generato il repentino aumento del numero di infezioni prodotte da tale malware; questo stesso fattore, tuttavia, ha permesso agli esperti di poter studiare il comportamento del bot nocivo. I risultati dell’analisi condotta hanno confermato che l’obiettivo principale di Mirai è rappresentato dalla scansione di Internet, eseguita in maniera costante, in cerca di dispositivi connessi, e dalla successiva conduzione di attacchi brute-force, allo scopo di ottenere l’accesso a quegli apparecchi IoT che risultano protetti da password deboli o da semplici password di default. Una volta compromesso, il dispositivo vulnerabile entra a far parte di un’estesa botnet, utilizzata per la conduzione di attacchi DDoS.

“Sebbene tutto questo [la release del codice sorgente] abbia, di fatto, notevolmente facilitato il compito dei ricercatori specializzati in sicurezza IT, permettendo loro di comprendere il funzionamento della botnet, la specifica circostanza venutasi a creare ha ugualmente giocato a favore dei cybercriminali, – ha confermato Dale Drew, chief security officer presso Level 3 Communications. – Questi ultimi dispongono, adesso, del codice di base del bot, provvisto di funzionalità complete, codice che può essere facilmente modificato, e messo velocemente in circolazione; abbiamo già avuto delle riprove, in merito”.

I ricercatori hanno individuato tutta una serie di risorse web malevole collocate nel dominio di primo livello (TLD) .cx – assegnato alla Christmas Island (Isola di Natale) – ed associate alla botnet Mirai. I loro nomi di dominio presentano, in qualità di prefisso, “network” o “report”, a seconda dello specifico ruolo svolto da tali unità nella composizione della botnet. L’elenco dei domini maligni, individuati dagli esperti nel corso delle indagini effettuate, è stato riportato nel blog post pubblicato da Level 3 Communications.

“Stiamo cercando di informare adeguatamente le vittime di tale botnet, e di prestare loro aiuto, – ha dichiarato Dale Drew nel rispondere al quesito posto dal giornalista di Threatpost riguardo allo stato attuale delle risorse malevoli. – Ci stiamo ugualmente rivolgendo ai proprietari dei server coinvolti a livello di infrastruttura di comando e controllo, per richiedere la disattivazione di questi ultimi; gli stessi saranno da noi filtrati in base all’IP, qualora i titolari dei server non adottino le necessarie misure”.

L’esponente di Level 3 Communications ha poi messo in evidenza l’elevato livello di rotazione dei centri di comando della botnet che risultano attivi; in pratica, essi vengono sostituiti all’incirca ogni due giorni. “I malintenzionati ricorrono a tale soluzione per far sì che, attraverso l’alternanza dei C&C, coloro che monitorano la situazione non possano facilmente trovare elementi di correlazione nell’ambito delle comunicazioni che intercorrono tra i bot ed i relativi server di comando e controllo”, – ha affermato l’interlocutore di Threatpost.

Attorno al 18 settembre scorso, Level 3 Communications è ugualmente riuscita ad osservare la conduzione di attacchi DDoS piuttosto potenti, diretti all’infrastruttura di comando di Mirai, attacchi intrapresi dal gruppo di criminali informatici che si cela dietro al malware Gafgyt/BASHLITE. “Non sappiamo ancora se si sia trattato dell’esplicita volontà di eliminare un diretto concorrente, allo scopo di sopprimere le operazioni da esso condotte attraverso Mirai, o se il gruppo BASHLITE abbia invece cercato di impadronirsi delle unità compromesse dal malware Mirai”; Dale Drew ha così commentato tale azione nel corso dell’intervista rilasciata.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *