La botnet Mirai e il più grande attacco DDoS mai registrato

La botnet Mirai e il piu grande attacco DDoS mai registrato

La botnet Mirai e il più grande attacco DDoS mai registrato

Nel settembre del 2016, il mondo della sicurezza informatica è stato scosso da un evento senza precedenti: il più grande attacco DDoS (Distributed Denial of Service) mai registrato fino ad allora, orchestrato attraverso una botnet chiamata Mirai. Questo attacco ha segnato una svolta nella storia delle minacce digitali, evidenziando la vulnerabilità diffusa dei dispositivi IoT (Internet of Things). La botnet Mirai prendeva di mira telecamere IP, router domestici, DVR e altri dispositivi connessi a Internet, compromettendoli sfruttando credenziali di default o configurazioni di sicurezza deboli. Una volta infettati, questi dispositivi venivano trasformati in “zombie digitali”, controllati da remoto per lanciare attacchi DDoS su vasta scala.

Il culmine si è avuto con l’attacco contro il provider di DNS Dyn, che ha causato l’interruzione di servizi e piattaforme globali come Twitter, Netflix, Reddit, GitHub, Spotify e Airbnb, rendendoli inaccessibili per milioni di utenti. Il volume di traffico generato da Mirai ha raggiunto picchi superiori a 1 terabit al secondo, un livello mai visto prima in attacchi simili. L’incidente ha acceso i riflettori sull’insicurezza dell’ecosistema IoT, dimostrando quanto sia facile per un attaccante prendere il controllo di migliaia (se non milioni) di dispositivi scarsamente protetti. Ha inoltre avviato una riflessione globale sulla necessità di standard di sicurezza più rigorosi, sia da parte dei produttori che degli utenti finali.

Oggi, sebbene il codice sorgente di Mirai sia stato pubblicato online e utilizzato come delle base per molte varianti.

Botnet IoT in azione
I ricercatori hanno identificato due botnet basate su Mirai che sfruttano dispositivi IoT per lanciare attacchi DDoS contro organizzazioni globali.

La botnet Murdoc
Il team di Qualys ha scoperto “Murdoc”, una botnet formata da circa 1.300 dispositivi IoT infettati da una variante di Mirai. Questa sfrutta vulnerabilità note per compromettere telecamere AVTECH e router Huawei HG532.

“In questa campagna si osserva l’uso di file ELF e script Shell per implementare il malware,” ha spiegato il team di ricerca di Qualys. I dispositivi infetti – principalmente telecamere IP e dispositivi di rete – scaricano una variante della botnet Mirai dai server C2. Sono stati identificati oltre 100 set distinti di server C2, con la maggior parte degli apparecchi compromessi situati in Malesia, Thailandia, Messico e Indonesia.

Botnet IoT in azione

Attacchi durante le festività
Tra il 27 dicembre 2024 e il 4 gennaio 2025, una botnet IoT composta da dispositivi infettati da varianti di Mirai e Bashlite (o Gafgyt) ha scatenato attacchi DDoS su larga scala contro aziende in Giappone, Stati Uniti, Russia ed Europa.

I ricercatori di Trend Micro hanno spiegato che il malware sfrutta vulnerabilità RCE o password deboli per infettare i dispositivi, eseguendo uno script di download che introduce un loader e successivamente il malware principale. Il payload, eseguito direttamente in memoria, evita di lasciare tracce sul dispositivo infetto.

Gli apparecchi compromessi vengono utilizzati per lanciare attacchi DDoS di vario tipo e possono essere trasformati in server proxy per attività illecite. La maggior parte dei dispositivi infettati apparteneva a router wireless TP-Link e Zyxel.

Mirai: una minaccia persistente
Il nome Mirai è divenuto famoso dopo gli attacchi DDoS contro il provider DNS Dyn nell’ottobre 2016, che causarono l’interruzione di molti servizi online. Dopo la pubblicazione del codice sorgente del malware, sono emerse numerose varianti.

Recentemente, Cloudflare ha segnalato che una botnet Mirai ha realizzato un attacco DDoS UDP da 5,6 Tbps – il più grande mai registrato – contro un ISP dell’Asia orientale. Questo attacco, che ha coinvolto oltre 13.000 dispositivi IoT, è durato 80 secondi ed è stato gestito con successo dai sistemi di difesa di Cloudflare.

Mirai continua a dimostrarsi una delle minacce informatiche più resilienti e pericolose, alimentata dall’inarrestabile diffusione di dispositivi IoT vulnerabili.


Translate »
error: Il contenuto è protetto!!