La botnet responsabile di alcuni dei DDoS più grandi dell’ultimo decennio è stata individuata in nuove forme dai ricercatori di Unit 42
I ricercatori di sicurezza di Unit 42 hanno scoperto una nuova variante della botnet Mirai, destinata all’IoT aziendale. Il gruppo di intelligence sulle minacce di Palo Alto Networks, è riuscito a identificare una variante rivolta a LG Supersign TV e al sistema di presentazione wireless WiPG-1000 di WePresent, entrambi utilizzati in ambito enteprise. Mirai è stato responsabile di alcuni dei più grandi attacchi DDoS mai visti, di certo i peggiori dell’ultimo decennio. Il malware sfrutta le vecchie e obsolete iterazioni di Linux che eseguono DVR TVCC, webcam, router e altri dispositivi IoT a basso costo per infettarli con un codice in grado di garantire anche ad hacker non così esperti il controllo su reti di centinaia di migliaia di dispositivi.
Cosa può succedere con Mirai
Nel 2016, Mirai ha generato attacchi contro KrebsOnSecurity e il provider di hosting web francese OVH. Nell’ottobre 2016, ha preso di mira il servizio Dyn DNS, inviando un’enorme quantità di traffico a server autorevoli, impedendo di rispondere a richieste di connessione legittime. . Di conseguenza, diverse organizzazioni, tra cui la CNN, Twitter e Netflix, che si affidavano a Dyn per servizi DNS, sono rimasti irraggiungibili per diverse ore. Unit 42, che ha analizzato il malware Mirai in dettaglio, rivela che la nuova variante ha raggiunto diverse nuove funzionalità, tra cui 11 nuovi exploit; in totale, ora ne contiene 27.
“Queste nuove funzionalità offrono alla botnet una grande superficie di attacco” – ha scritto Ruchna Nigam, ricercatore di Unit 42 in un post sul blog. Nel caso di LG Supersign TV, i ragazzi hanno scoperto che LG SuperSignEZ CMS è vulnerabile all’attacco di esecuzione di codice in modalità remota a causa di una gestione errata dei parametri. Nel sistema WePresent WiPG-1000, il malware è stato individuato come bersaglio di una vulnerabilità di tipo command-injection. L’unità ha anche trovato la nuova variante rivolta a diversi prodotti hardware embedded, come dispositivi di archiviazione di rete, router (router ZTE ZXV10 H108L), telecamere IP e NVR. Non è la prima volta che Mirai cerca di infiltrarsi nelle reti aziendali. Lo scorso settembre, porzioni di stringhe sono risultate in aree di Apache Struts, sfruttate per violare Equifax mentre a novembre del 2018, i ricercatori hanno notato l’esecuzione di codice Mirai su server Linux aziendali con Hadoop.
