28-11-2016 Blackout in Germania – non era un guasto

A causa della precaria sicurezza dei dispositivi collegati a Internet ( IOT – Internet delle cose ) – come router, videocamere, televisori etc… Mirai Botnet è sempre più forte ogni giorno che passa. Il mese scorso ha paralizzato i siti più grandi del mondo, adesso sta passando alla vita reale.

Il 28 Novembre più di 900.000 router a banda larga appartenenti a Deutsche Telekom in Germania, sono stati attaccati e messi fuori uso generando il Blackout di cui si è parlato anche qui in Italia.
I router incriminati sono di marca Zyxel e Speedport.
La loro porta Internet 7547 è aperta a ricevere comandi basati sui protocolli TR-069  e TR-064, che hanno lo scopo di gestire i dispositivi da remoto.
Attualmente si calcola di che 41 milioni di router abbiano la porta 7547 aperta e 5 milioni non filtrino le richieste Tr-064.

I server Honeypot ( ovvero server volutamente vulnerabili, utilizzati per attrarre gli attacchi e monitorare la situazione ) stanno ricevendo codici degli attacchi ogni 5-10 minuti, un pacchetto intercettato ha mostrato come un difetto di esecuzione di codice remoto nella parte <NewNTPServer> di una richiesta SOAP è stato utilizzato per scaricare ed eseguire un file, al fine di infettare il dispositivo vulnerabile.

Tutto è iniziato dopo che il codice della botnet Mirai è stato divulgato – grazie a questo codice è possibile eseguire la scansione dei dispositivi non sicuri dell’Internet degli oggetti – per lo più router, macchine fotografiche, e DVR – e schiavizzarli in una rete botnet, che viene poi utilizzata per lanciare attacchi DDoS.
L’hacker ha creato tre diversi exploit al fine di infettare tre diverse architetture: due con chip MIPS e una con ARM.
Il payload tenta di aprire l’interfaccia di amministrazione remota utilizzando le password predefinite. Se riesce a farlo, chiude la porta 7547 in modo da evitare che qualcuno possa accedervi di nuovo.
Il server di controllo della bootnet si trova nella lista dei tracker Mirai…
mirai-router-malware

Ancora una volta IoT si dimostra la peggior minaccia per la sicurezza on-line.
Finché i produttori non decideranno di affidare il software dei loro prodotti a persone qualificate, cercate sempre il modello del dispositivo su google prima di acquistarlo, cambiate immediatamente la password di accesso dei vostri router e disattivate la telegestione.

Alessandro Giacani

Alessandro Giacani

IT Consultant
Chatta con me