La saga della Botnet Mirai e del malware responsabile, Mirai appunto, pare non finire mai. Dopo qualche mese di silenzio, i ricercatori della Unit 42 di Palo Alto Network hanno individuato una intera collezione di nuove varianti di Mirai compilate per eseguirsi su processori e architetture nuove, non bersagliati cioè da versioni precedenti.
Aumenta la superficie di attacco
Le nuove versioni, si legge nel report della Unit42, sono compilate per i processori Altera Nios II, OpenRISC, Tensilica Xtensa e Xilinx MicroBlaze. Le nuove varianti "consentono agli attaccanti di espandere la propria superficie di attacco e mirare a nuovi dispositivi". Anche se lo stesso risultato è raggiungibile aggiungendo ulteriori exploit da usare durante gli attacchi, aggiungere altre architetture supportate negli attacchi è un modo più semplice per aumentare il numero di dispositivi che la botnet può aggiungere come nodi controllati.
Aumenta la potenza di fuoco
La questione è tutt'altro che secondaria: Mirai è una botnet ormai piuttosto estesa, disponibile in affitto nel dark web. Ha già una preoccupante potenza di fuoco, che ovviamente è legata al numero di bot che la botnet lega a sé: questa intera collezione di nuove varianti estende ulteriormente la potenza di fuoco che malintenzionati di ogni genere possono affittare sul dark web per attacchi DDoS.
Nuove funzioni
Oltre a ciò, i ricercatori di Palo Alto Network denunciano anche la scoperta di una nuova funzione di attacco DDoS chiamata attack_method_ovh, con gli stessi parametri usati dal codice originale di mirai per attacchi TCP SYN DDoS (invio massivo di richieste di connessione TCP).
Nuovi exploit
Non finisce qui: la collezione di nuove versioni di Mirai, che i ricercatori hanno casualmente individuato su una directory aperta su un server non protetto, è stata fornita anche di una serie di exploit (alcuni comunque già presenti in precedenti versioni di Mirai): questi vanno dall'exploit della vulnerabilità di ThinkPHP (esecuzione di codice da remoto) all'exploit D-Link DSL2750B OS Command Injection per attaccare i dispositivi Netgear, Huawei e Realtek.
Una variante che non fa parte dell'ultima collezione ritrovata, ma che è stata individuata il mese scorso, è stata dotata di 11 nuovi exploit per le TV LG Supersign e per i sistemi WePresent WiPG-1000 Wireless Presentation.
Una continua evoluzione
Precedente, in Settembre, la Unit42 ha individuato una versione di Mirai che, cambiando bersaglio, mira ai server Apache Struts con exploit già conosciuti, alcuni dei quali usati lo scorso anno nel data breach di Equifax.
"Le nuove funzioni garantiscono alla botnet una ampia superficie di attacco. In particolare, colpire obiettivi aziendali consente di accedere ad una maggiore larghezza di banda (rispetto a quella di un home user - n.d.r), con conseguente maggiore potenza di guoco della botnet da impiegare in attacchi DDoS" dicono i ricercatori.
Mirai in breve
Mirai è una botnet auto-propagante progettata per colpire dispositivi IoT (router, videoregistratori, telecamere IP ecc...). E' in affitto nel dark web ed è usata come infrastruttura per la distribuzione su larga scala di attacchi DDoS. L'anno più prolifico per Mirai è stato il 2016, quando la botnet ha assunto dimensioni enormi (centinaia di migliaia di dispositivi erano divenuti nodi della rete) ed è stata in grado di lanciare attacchi DDoS a oltre 650 GBps.