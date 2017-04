Qualcuno si ricorderà di Mirai, il malware che nello scorso autunno aveva creato una botnet di IP Cam e DVR che aveva messo in ginocchio una buona parte della rete negli USA. In questi giorni i ricercatori della società di sicurezza Radware hanno pubblicato un rescoconto relativo ad un'ondata di attacchi verificatasi nelle scorse settimane e che prende di mira router, bridge e dispositivi IoT, che pur con qualche attinenza a quanto avvenuto lo scorso autunno, è caratterizzata da un'importante differenza: se Mirai puntava a mettere in piedi una botnet allo scopo di condurre attacchi DDoS con una elevatissima potenza di fuoco, la nuova ondata di attacchi riscontrata in questi giorni porta avanti attacchi PDoS, ovvero Permanent Denial-of-Service: i dispositivi presi di mira vengono messi definitivamente fuori uso.

Lo scorso mese i ricercatori hanno realizzato una rete honeypot esponendo sulla rete una serie di dispositivi potenzialmente vulnerabili, e hanno individuato nell'arco di quattro giorni circa 2250 tentativi di PDos. Gli attacchi provengono da due botnet separate, battezzate BrickerBot.1 e BrickerBot.2: la prima ha terminato apparentemente le proprie attività, ma BrickerBot.2 tenta di loggarsi su uno dei dispositivi esca di Radware una volta ogni due ore. Una volta che le botnet individuano un bersaglio vulnerabile, innescano una serie di comandi che hanno lo scopo di compromettere le funzionalità del dispositivo fino a renderlo inservibile. I dispositivi compromessi avevano tutti protocollo telnet abilitato e protetti da password di default.

I dispositivi presi di mira da BrickerBot.1 facevano uso del set di strumenti Unix BusyBox, esponendo una finestra shell sulla rete e con una vecchia versione del server SSH Dropbear. Dal 20 al 24 marzo BrickerBot.1 ha sfruttato nodi sparsi su tutta la rete per attaccare i dispositivi dell'honeypot di Radware 1895 volte. I dispositivi che hanno compiuto l'attacco sono stati identificati come access point e wireless bridge di Ubiquity Network, con ambenti operativi simili a quelli dei dispositivi presi di mira.

BrickerBot.2 ha invece avviato le proprie attività dopo circa un'ora dagli attacchi di BrickerBot.1. In questo caso i dispositivi bersagliati sono molto più variegati, e non necessariamente provvisti di BusyBox o Dropbear SSH. BrickerBot.2 utilizza inoltre servizi di anonimizzazione Tor per occultare l'indirizzo IP dei nodi. Anche in questo caso la compromissione è avvenuta verso dispositivi che espongono sulla rete telnet e sono protetti da una password di default. BrickerBot.2, in particolare, ha mostrato un comportamento più distruttivo rispetto alla botnet "sorella", impartendo comandi capaci di corrompere le eventuali unità di storage dei dispositivi colpiti, rimuovere i file stoccati, eliminare i gateway di default, disabilitare i timestamp TCP e limitare ad uno il numero massimo di thread del kernel.

Il comune denominatore dei dispositivi presi di mira da entrambe le botnet è che sono così scarsamente protetti dall'essere una preda troppo facile per Mirai o per qualsiasi altra botnet ad alto impatto. Questa osservazione alimenta una piccola ipotesi secondo la quale l'ondata di attacchi PDoS sia stata condotta da qualche "vigilante" della rete con l'obiettivo di mettere fuori gioco questi dispositivi prima che possano essere assoldati in una potente armata DDoS e minacciare seriamente il web per come lo conosciamo.