Botnet Mirai: dopo USA e Germania si temono altri attacchi

La botnet Mirai che ha colpito gli Stati Uniti ha attaccato anche la Germania, mettendo offline tantissimi utenti. Dobbiamo preoccuparci?

speciale Botnet Mirai: dopo USA e Germania si temono altri attacchi
Articolo a cura di
Daniele Vergara Daniele Vergara viene alla vita con un chip Intel 486 impiantato nel cervello, a mo' di coprocessore. E' più che entusiasta di tutto ciò che riguarda la tecnologia intera e i videogames, con un occhio di riguardo verso l'hardware PC e l'overclocking. D'inverno ama snowboardare, macinando km e km di piste. Lo trovate su Facebook, Twitter e Google+.

Qualche giorno fa quasi un milione di utenti tedeschi è stato messo offline da un cyber attacco. Le problematiche tecniche sono andate avanti per ben due giorni, con circa 900.000 router di Deutsche Telekom coinvolti nell'enorme attacco. Alcuni clienti navigavano a singhiozzo, mentre altri non riuscivano affatto a connettersi ad Internet. "Crediamo che il disservizio sia stato causato dall'esterno", ha fatto sapere un portavoce di Deutsche Telekom. La telco ha detto che solo gli utenti che utilizzavano specifici modelli di router sono stati colpiti dall'attacco, aggiungendo tra l'altro che - secondo i suoi tecnici e i suoi ingegneri - tali dispositivi sarebbero stati infettati da un software che preveniva la connessione verso la rete della società. Deutsche Telekom non ha rivelato i modelli precisi che sono stati coinvolti dalle problematiche tecniche, ma è possibile che lo farà a breve. Ciò che è noto e che il responsabile del blocco è ancora una volta la botnet Mirai, la stessa che ha messo fuori gioco la rete americana circa un mese fa, e che potrebbe in teoria arrivare anche nel nostro paese.

Il cyber attacco in Germania

In maniera simile alle problematiche sofferte dagli utenti residenti sulla costa orientale degli Stati Uniti, i clienti tedeschi sono rimasti offline per diverse ore, con delle difficoltà di connessione che sono state lamentate anche dopo la comunicazione del ripristino della rete. Le segnalazioni sono arrivate da tutto il paese, nessuna zona esclusa, e - visto che Deutsche Telekom è l'operatore telefonico più grande dell'intera Germania - i problemi hanno colpito non solo i router, ma anche la telefonia e la televisione, per un disservizio ancora più massiccio.
La compagnia di telecomunicazioni ha affermato che il blocco della rete è avvenuto per colpa di non meglio specificati hacker. Dopo l'attacco, Deutsche Telekom ha inoltre confermato che investirà su un equipaggiamento di sicurezza più avanzato per mettere una toppa a ciò che è accaduto e non consentire che una situazione del genere si riproponga. Probabilmente verrà inviato un nuovo firmware sui router dei propri clienti, il quale dovrebbe fungere da patch correttiva.

"L'enorme interferenza arrivata sulle connessioni dei clienti di Deutsche Telekom, secondo le ricerche della Federal Office for Security in Information Technology (BSI), segue l'attacco avvenuto ai danni degli utenti statunitensi, e si tratta di un'azione su scala globale. Inoltre, le problematiche tecniche sono state riscontrate anche sui network dei governi, che sono privati. Questo potrebbe denotare un grosso rischio, anzitutto perché chi c'è dietro a tutto questo conosce molto bene quello che sta facendo", si è letto sul giornale abendblatt.de.

Il caos continua

L'attacco in America, con la botnet Mirai che ha sfruttato le falle di sicurezza dei dispositivi IoT meno avanzati, è avvenuto circa un mese prima dalle problematiche riscontrate in Germania, in uno dei cyber attacchi più grandi mai effettuati nella storia di Internet. Il flusso di queste operazioni sembra di conseguenza non avere un momento di stop, e tanti esperti di sicurezza sono d'accordo sul fatto che probabilmente vedremo altri attacchi di questa tipologia. Essi hanno esaminato più a fondo il caso tedesco, anche per cercare di trovare un fix definitivo, e hanno scoperto che i malintenzionati potrebbero aver utilizzato un exploit nella Remote Code Execution (RCE) della porta numero 7547 dei router Speedport, molto utilizzati proprio da Deutsche Telekom nel paese in cui opera. Di default, la porta 7547 è aperta alle connessioni esterne. "L'inusuale applicazione dei comandi TR-064 per eseguire codice malevolo sui router è stata scoperta agli inizi di novembre, e poco dopo è uscito fuori un modulo funzionante che sfruttava proprio tali comandi. Credo che qualcuno abbia utilizzato questa vulnerabilità per investire in una rete di bot basata sul codice Mirai", ha detto uno degli esperti. Anche Kaspersky sembra aver confermato questa teoria ma, a sua detta, "il malware non è in grado di attaccare i file system dei router". In soldoni questo significa che un riavvio dei router dovrebbe bastare per eliminare il codice malevolo dal firmware, e di conseguenza risolvere il problema, ma ciò non è mai stato confermato.

Scheda Tecnologia La botnet Mirai si sta espandendo sempre di più, colpendo sempre più paesi e tentando di mettere offline quanti più utenti possibile. Le preoccupazioni di un attacco anche nel nostro paese sono quindi lecite, ma prima di questo chi c’è dietro dovrebbe trovare una vulnerabilità simile nei router distribuiti in Italia. La preoccupazione quindi esiste ed è plausibile, ma comunque attualmente poco probabile. Un buon modo per arginare il problema è cambiare periodicamente la chiave di cifratura della vostra connessione e la password amministrativa per accedere alla gestione del router, in questo modo sarete più al sicuro non solo nel caso di un attacco di questo tipo, ma anche ad un livello più generale.