A cura di Kirk Soluk, Threat Intelligence and Response Manager di Arbor Networks, e Roland Dobbins, Principal Engineer di Arbor Networks
Mirai è una piattaforma che supporta i cosidetti DDoS-for-hire, permettendo agli aggressori informatici di lanciare attacchi DDoS contro gli obiettivi desiderati in cambio di denaro. Considerato il vasto numero di dispositivi IoT non sicuri attualmente disponibili e in continua espansione, le botnet basate su Mirai rappresentano una minaccia concreta di cui si dovrà tenere conto nel futuro prossimo. Mirai continua a provocare interruzioni di rete causate dalla sua attività volta a predare i dispositivi IoT. A seguire, una consulenza in materia di mitigazione per gli operatori di banda larga che intendono impedire l’assalto di Mirai ai dispositivi domestici dei loro clienti ed evitare la conseguente interruzione dei servizi di rete.
Modello economico – Diverse fonti di comunicazione hanno segnalato l’impiego di una botnet basata sulla variante TR-064/TR-069 di Mirai finalizzato a fornire il “DDoS-as-a-service”. I cosiddetti servizi Booter/Stresser o DDoS-for-hire consentono, a qualsiasi individuo disposto ad acquistarli, di organizzare un attacco DDoS contro obiettivi a sua scelta. Naturalmente, il fatto che una botnet basata su Mirai o di altro tipo venga utilizzata a fini di lucro non è una notizia sconvolgente, anzi è proprio questo il vero scopo di questa botnet. Il modello economico utilizzato imita grossolanamente quello impiegato dagli operatori virtuali di rete mobile (i cosiddetti MVNO).
Citando Wikipedia: Un operatore virtuale di rete mobile, in inglese Mobile Virtual Network Operator (MVNO) o Mobile Other Licensed Operator (MOLO), è una società che fornisce servizi di telefonia mobile senza possedere le infrastrutture necessarie per fornire tali servizi. L’MVNO stipula un accordo commerciale con un operatore di rete mobile per ottenere l’accesso ai servizi di rete a prezzi all’ingrosso, quindi stabilisce indipendentemente le proprie tariffe al dettaglio.
Utilizzando questa analogia, possiamo paragonare gli aggressori informatici che sviluppano e mantengono questa botnet Mirai agli operatori di rete mobile in quanto possiedono l’infrastruttura della botnet e forniscono l’accesso ad altri criminali (che in questa analogia corrispondono agli MVNO). Questi criminali di secondo livello forniscono a loro volta il servizio DDoS-for-hire ai clienti finali, stabilendo il prezzo e adottando le strategie di marketing preferite. In alcuni casi citano Mirai, mentre in altri si limitano a diffondere una botnet apparentemente creata da loro stessi. Il codice sorgente di Mirai supporta già in partenza questo tipo di modello, offrendo un accesso alla botnet a livello di database MySQL, API e CLI.
Meccanismo di propagazione – Il meccanismo di propagazione utilizzato da questa ultima variante di Mirai differisce da quello contenuto nel codice sorgente di Mirai trapelato inizialmente. Il codice di Mirai divulgato originariamente si limitava infatti a lanciare degli attacchi contro Telnet per compromettere dispositivi IoT mal progettati e mal configurati. L’impiego di elenchi predefiniti di username e password di default ha determinato la compromissione di un gran numero di webcam e digital video recorder. La nuova variante di Mirai sfrutta invece le debolezze del protocollo TR-064/TR-069 utilizzato dai provider per la gestione remota dei dispositivi installati dai clienti (principalmente i router per uso domestico). L’implementazione vulnerabile del protocollo consente l’esecuzione di un codice arbitrario sui router colpiti, tramite l’invio via HTTP alla porta 7547 di un messaggio SOAP contenente il codice arbitrario in forma di parametro di configurazione. L’esecuzione dello stesso consente il download e l’installazione del payload Mirai sul router e la conseguente incorporazione del dispositivo nella botnet Mirai. Una volta inserito nella botnet, il dispositivo IoT colpito può essere sfruttato per lanciare attacchi DDoS a comando e inizia a scansionare la rete per individuare altri dispositivi da compromettere.
Mitigazione – I provider che forniscono l’accesso alla banda larga devono impegnarsi attivamente a scandagliare le reti di accesso della clientela per identificare i nodi compromessi e/o vulnerabili e informare gli utenti interessati in merito alla vulnerabilità dei loro dispositivi. Se i dispositivi vulnerabili sono stati forniti dai provider stessi, questi devono provvedere immediatamente alla loro sostituzione poiché l’intensa attività di scansione perpetrata dagli aggressori informatici fa sì che i dispositivi siano nuovamente compromessi non appena vengono resettati. I provider che operano sulle reti a banda larga DSL devono implementare le best practices più recenti per assicurare che l’accesso alle strutture di gestione remota della rete di questi dispositivi sia limitato unicamente agli appositi sistemi gestionali dedicati. Gli operatori delle reti di modem via cavo devono adottare le stesse misure con i sistemi di gestione della rete DOCSIS utilizzati per la gestione remota dei dispositivi sulle loro reti. I provider che forniscono l’accesso alla banda larga devono, inoltre, sfruttare i meccanismi di autoprotezione dell’infrastruttura di rete integrati nei loro dispositivi di rete per limitare l’intensità del traffico ARP e di altri flussi di traffico di controllo rilevanti che potrebbero essere generati dai dispositivi compromessi. In questo modo, l’intensa attività di scansione effettuata dai dispositivi compromessi non riuscirà a colpire ampie fasce delle popolazioni di utenti e sarà possibile limitarne l’impatto.