Scoperto il software "zombie" che ha hackerato Twitter & co - CorCom

CYBERSECURITY

Scoperto il software “zombie” che ha hackerato Twitter & co

“Mirai” mette in rete i computer che attacca sino a mandarli in tilt. Sfruttando le debolezze dei dispositivi IoT di un unico produttore cinese

24 Ott 2016

Antonio Dini

Il più importante guru mondiale della security, lo statunitense Bruce Schneier, l’aveva detto: la più grande falla di sicurezza di Internet è data dagli apparecchi IoT. Tantissimi, distribuiti, ma privi di strumenti per difendersi dagli attacchi.

In pratica, la rete delle reti capace di resistere a un attacco nucleare, è stata messa in ginocchio da termostati smart e telecamere a circuito chiuso. E l’attacco di tipo Ddos (“blocco su larga scala all’accesso dei servizi di un determinato server”) ha fatto crollare nei giorni scorsi una parte importante della rete. Trasformando, come dice Schneier, la sigla IoT da Internet of Things in “Internet of Targets”, la internet dei bersagli.

Ma come sono andate davvero le cose? Perché a cavallo del fine settimana così tanti danni da veder andare offline Twitter, Reddit, GitHub, Amazon, Netflix, Spotify, Runescape e decine di altri?

CorCom ha rimesso in fila i differenti aspetti dell’attacco, una vera e propria “tempesta perfetta” che ha sfruttato con grande intelligenza tre differenti fattori. Oggi è tutto chiaro, anche se manca ancora un dato importante: il nome del colpevole. Uno stato asiatico? Uno stato occidentale? Una nuova banda di hacker?

Il primo punto è la tecnologia utilizzata per l’attacco. Si tratta di Mirai, un software per la creazione di botnet, cioè di reti di computer compromessi e trasformati in “zombie”. Centinaia di migliaia se non milioni di computer “zombiezzati” diventano gli inconsapevoli vettori degli attacchi, saturando il server obiettivo con un quantitativi enorme di richieste di servizio sino a mandarlo in tilt. Le bot net sono particolarmente difficili da individuare perché per loro natura estremamente distribuite e perché l’utilizzo dei singoli computer zombie compromessi è in realtà minimo: passa per una lieve rallentamento e niente più, tanto che gli utenti non si rendono neanche conto di essere stati compromessi.

WHITEPAPER
Quali sono stati i casi di cybercrime più aggressivi degli ultimi anni? Scoprilo nel white paper
Cybersecurity

In questo caso il software Mirai è stato “messo in open source” dai suoi autori pochi giorni fa. Questo fatto è relativamente inedito e mette in condizione tutti quelli che vogliono attaccare un bersaglio internet sensibile in condizioni di creare la propria botnet. Ma perché è stata fatta questa scelta da parte degli anonimi hacker che hanno creato con studio e fatica il software Mirai? Ambienti del dark web hanno confermato a CorCom che si tratta di una classica mossa difensiva: quando l’autore di un virus o di un malware come Mirai percepisce che gli investigatori sono sulle sue tracce, “libera” il codice del suo prodotto software per renderlo il più ampiamente disponibile. Con questa mossa, anche se identificato e catturato, potrebbe sempre sostenenere di non aver creato il virus ma di essere solo uno dei tanti “appassionati di sicurezza” che lo hanno scaricato per imparare il suo funzionamento (cosa di per sé non illegale).

Una volta ottenuto lo strumento per attaccare apparecchi connessi a Internet da compromettere, questa volta gli hacker hanno deciso di sfruttare le debolezze della internet of things e “saltare” dentro videoregistratori digitali, webcam, termostati smart e altri apparecchi connessi. La particolarità notata da pochi è che tutti gli apparecchi, anche di brand diversi, in realtà sono prodotti da un’unica azienda cinese: CorCom ha potuto appurare che si tratta di XiongMai Technologies, produttore cinese inesistente come marchio commerciale ma tra i più importanti fornitori nel settore B2B.

«È notevole – dice Allison Nixon, direttore della ricerca di Flashpoint, azienda di sicurezza digitale – che praticamente l’intero catalogo dei prodotti di una singola azienda sia stato trasformato in una gigantesca botnet utilizzata per un attacco su scala mai vista prima verso gli Stati Uniti».

L’attacco è reso possibile dal fatto che non esiste una regolamentazione che obblighi produttori e acquirenti di apparecchiature connesse alla rete ad avere standard di sicurezza e aggiornamenti periodici per eventuali falle scoperte in un secondo momento. Secondo Bruce Schneier la vera responsabilità di questa situazione è dei governi perché né i venditori né gli acquirenti hanno l’interesse a dotare gli impianti di un livello di sicurezza adeguato.

Infine, l’obiettivo. Tutti gli esperti di security confermano che l’effetto dirompente dell’attacco è dovuta al bersaglio scelto: anziché i colossi del web come Amazon, che hanno la potenza di calcolo necessaria a difendersi da qualsiasi attacco Ddos anche di entità gigantesca, è stato colpito il tallone d’Achille: il servizio indirizzamento dei Dns (l’elenco telefonico di Internet, che permette di accoppiare un indirizzo web a un numero del protocollo Internet) dell’azienda statunitense Dyn, acronimo per Dynamic Network Services.

Paralizzando i servizi di Dyn (che gestisce il servizio DynDns) si sono in pratica resi invisibili tutti i siti che si appoggiano a questo fornitore senza doverne saturare la capacità. Tagliati fuori. In pratica, decine se non centinaia tra le più grandi aziende presenti sul web, dato che Dyn è considerato tra i migliori e più affidabili fornitori. È in questo modo che un attacco “di sponda” ha colpito i server di Twitter, Reddit, GitHub, Amazon, Netflix, Spotify, Runescape e vari altri. Benvenuto nella nuova era della Internet of Targets.