Mirai: svelato il co-creatore del malware IoT?

Il giornalista investigativo Krebs afferma di aver scoperto la vera identità del co-creatore di Mirai, malware dietro all'attacco DDoS DYN e non solo

Mirai, rivelato il co-creatore del malware IoT?

Nella seconda metà del 2016 sono stati lanciati due dei più importanti attacchi DDoS degli ultimi anni. Il 22 Settembre il portale Krebs on Security è stato colpito da un flusso di dati spazzatura vicino ai 620 Gbps.

La nota fonte di articoli dedicati alla sicurezza informatica è rimasta offline per due giorni fin quando Project Shield (servizio di mitigazione attacchi Google) non è subentrato ad Akamai – gli elevati costi da sostenere, la protezione veniva infatti offerta gratuitamente al blog, hanno convinto l’azienda a sospendere il servizio.

In base a quanto scoperto successivamente da Krebs, l’attacco sarebbe stato lanciato grazie ad un malware, Mirai, in grado di superare facilmente le inadeguate difese di vari dispositivi connessi alla Rete (device intelligenti o IoT ready).

Uno schema che si è ripetuto circa un mese dopo (21 Ottobre) con l’attacco al provider DNS DYN. In quell’occasione il flusso di dati avrebbe raggiunto valori record compresi tra gli 800Gbps ed 1Tbps – si tratta di una stima, ad oggi DYN non ha rivelato ufficialmente alcun dettaglio preciso sull’accaduto.

I device coinvolti nell’attacco, almeno mezzo milione di telecamere di sorveglianza, sono stati “bucati” grazie ad un semplice manovra brute force, che ne avrebbe rapidamente individuato le credenziali di accesso – le combinazioni nome/password totali erano solo 60.

Hosting provider ricattati e varianti Mirai

Le ricerche di Brian Krebs hanno richiesto diversi mesi ma alla fine hanno condotto all’identificazione del co-creatore del malware e responsabile degli attacchi citati in precedenza – naturalmente non avrebbe agito da solo.

In un post pubblicato il 17 Gennaio, Krebs ha documentato nel dettaglio (8000 parole circa) le varie fasi del lavoro investigativo che hanno “incriminato” il ventenne Paras Jha, studente universitario dello stato del New Jersey e presidente di ProTraf Solution (impresa che offre servizi di mitigazione attacchi DDoS).

Nascondendosi dietro agli pseudonimi “Anna-Senpai” e “OG_Richard_Stallman”, Jha avrebbe cercato di estorcere denaro a vari hosting provider. Una delle piste seguite da Krebs è partita dalla richiesta di aiuto pubblicata da un utente del forum Web Hosting Talk ad inizio Ottobre. L’user, probabilmente un dipendente di una compagnia di servizi hosting, ha ricevuto una email che richiedeva il pagamento di una somma di denaro (Bitcoin), cifra che se non inviata entro 96 ore avrebbe esposto il provider ad un attacco DDoS di 700-800Gbps:

“Recently i?ve decided to leave DDoS industry and released the source code of my /mirai botnet/ (google if you aren?t familiar with this) for free to everyone. I had my rest and..Now I am returning to DDoS insdustry. Last months i?ve worked on the code improvement and empowering my new botnet with a vulnerabilities in AvTech products. […] My attack are extremely powerful now – now average 700-800Gbps, sometimes over 1 Tbps per second. It will pass any remote protections, no current protection systems can help.”

E’ interessante osservare come Anna-Senpai, l’autore della mail, citi anche il rilascio del codice sorgente del malware avvenuto il 30 Settembre 2016.

Mirai sarebbe tuttavia sbarcato in Rete almeno due anni prima, rivela Krebs. Alcune sue varianti, naturalmente meno evolute dell’attuale, sarebbero infatti state utilizzate da vari gruppi di hacker per colpire server Minecraft, celebre videogioco e fenomeno culturale degli ultimi anni – la software house fu acquisita da Microsoft per 2.5 miliardi di dollari. Considerando che un server Minecraft può fruttare fino a 50.000 dollari al mese, osserva Krebs, un attacco DDoS può causare ingenti danni ai proprietari.

Paras Jha, chiamato direttamente in causa dal giornalista, ha respinto ogni accusa dichiarando di essere totalmente estraneo alla vicenda.

Fonte

 

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *