Un paio le varianti nate dal suo codice, che è stato scoperto dai Palo Alto Networks. Intanto i creatori ora lavorano per l’FBI
Nel 2016 il mondo dell’IT ha conosciuto Mirai, quella che possiamo considerare tranquillamente come una delle peggiori botnet della storia. La differenza con illustri predecessori è che quest’ultima non prende di mira dispositivi classici, come computer e smartphone, ma l’Internet delle Cose. Bastano pochi minuti per individuare le webcam, i termostati, gli smartwatch e i sensori industriali privi di password, per iniettare nei loro software un malware che, inconsciamente, li trasforma in zombie al servizio di un cervello localizzato chissà dove.
Cosa fa una botnet
L’obiettivo è lo stesso di qualsiasi altra botnet: inondare di richieste certi indirizzi web, fino a renderli irraggiungibili e creando così un disservizio per le attività che da quelli IP dipendono. Un esempio? Nel 2016 a essere colpiti furono i server di Dyn, agenzia che gestisce piattaforme come Twitter e Paypal. Poco più di due anni fa, Mirai ha fatto perdere a decine di compagnie milioni di dollari, bruciati in infiniti 404 e service unavailable.
Col tempo, le organizzazioni focalizzate sulla sicurezza hanno imparato a risolvere con delle patch i bug sfruttati da Mirai; che poi di veri bug non si tratta visto che l’assenza di password è un difetto a cui non si può facilmente porre rimedio se non proteggendo adeguatamente i prodotti connessi. La botnet sembrava sconfitta su larga scala e invece no, perché Palo Alto Networks ne ha trovato tracce in attacchi di recente fattura.
Il virus cambia
I dati raccolti dai ricercatori di cyber security parlano di un paio di nuove forme della minaccia: Satori e Wicked. Entrambe, ed è questa la conseguenza più inattesa, sfruttano, tra le tante, anche la stessa vulnerabilità che nel 2017 aveva permesso agli hacker di violare i sistemi di Equifax, una delle più grandi società di controllo del credito negli Stati Uniti, con almeno 143 milioni di consumatori a rischio privacy. Cosa vuol dire? Che adesso la botnet non pensa solo a bloccare portali e siti web ma si rivolge anche a intrusioni informatiche di più alto livello, che portano a un vantaggio economico maggiore e diretto rispetto ai tradizionali Distributed Denial of Service.
Come agisce la “nuova” Mirai
Nella pratica, le varianti di Mirai si intrufolano nell’Internet delle Cose indifesi e da questi si apre un varco nel network aziendale a cui sono collegati. Da qui è più semplice raggiungere database e archivi che, con una certa dose di fortuna, non sono nemmeno protetti e criptati. Le compagnie posso fare qualcosa per difendersi? Si, con mosse peraltro già conosciute: applicare l’autenticazione a due fattori, aggiornare i sistemi agli ultimi update rilasciati, crittografare tutti i dati sensibili ospitati in locale, evitare che chi ha accesso alla rete esporti file su device personali.
Leggi anche: Google, un motore di ricerca “censurabile” è la chiave per tornare in Cina
Prova a prenderci
Dietro lo sviluppo della prima Mirai ci sono tre ragazzi: Josiah White, Paras Jha e Dalton Norman. Il paradosso è che questi, dopo essere stati individuati, fermati e in attesa di giudizio da parte di una corte dell’Alaska, hanno cominciato a lavorare per l’FBI. A quanto pare, il trio ha contribuito a risolvere una dozzina di grattacapi che l’agenzia federale avrebbe fatto difficoltà a seguire, figuriamoci a portare a termine.
Agendo sotto copertura, singolarmente o come un vero team, gli hacker sono stati assodati, in segreto, sia per operazioni sul territorio che in collaborazione con le forze di polizia estere, ad esempio per seguire le tracce digitali di alcuni indiziati e bloccare i DDoS inviati sia a obiettivi privati che pubblici. Si stima che i tre abbiano già coperto più di mille ore di assistenza, l’equivalente di un anno e mezzo di impiego a tempo pieno di un solo agente.
Leggi anche: Evoluzione della minaccia. I 10 malware che hanno colpito di più questa estate
In merito al processo, sono due le possibili sentenze a cui la corte può giungere: cinque anni di libertà vigilata o 2.500 ore di servizi alla comunità, tra cui presso il Federal Bureau of Investigation. La stessa FBI spinge per la seconda ipotesi, che vorrebbe dire beneficiare delle capacità degli smanettoni ancora per tanto tempo.
