Mirai sta tornando e punta Linux

Gli esperti di sicurezza hanno scoperto quelle che sembrano essere le prime versioni non IoT del malware Mirai. Quest’ultimo è balzato agli onori dell cronaca oltre un anno fa, quando è riuscito a trasformare in “zombie” migliaia di dispositivi connessi a internet, per creare un esercito che inviasse DDoS a target mirati.

I ragazzi di Netscout sono dunque giunti alla conclusione che Mirai sta per tornare, questa volta insediandosi nei server Linux. Tutto ciò grazie a una falla in Hadoop, individuata già in precedenza, che ha portato a credere di un cambio di passo dei criminali informatici dal mondo IoT a quello dei più classici data center. “Come molti oggetti Internet delle Cose – hanno spiegato da Netscout – i server Linux privi di patch possono essere sfruttati su larga scala per espandere gli exploit a tutti quelli vulnerabili”.  A quanto pare, le nuove versioni di Mirai si comportano in modo simile all’originale ma sono progettate per funzionare su macchine diverse. Di fatto, dal momento del lancio, è la prima volta che la botnet guarda al di fuori dell’IoT vero e proprio.

Il motivo? I server Linux nei data center hanno accesso a una maggiore larghezza di banda rispetto ai dispositivi IoT su reti residenziali, rendendo gli eventuali DDoS molto più efficienti. Il che ha senso, dato che una manciata di server simili può generare attacchi decisamente più grandi. Come ha affermato la stessa Netscout: “Il numero di tentativi indica che l’attività è opera di un piccolo gruppo di aggressori. Il loro obiettivo è chiaro: installare il malware su una vasta gamma di device: una volta raggiunto un punto d’appoggio, Mirai su un server Linux si comporta come un bot su IoT e inizia a forzare i nomi utente e le password telnet”. Fermarlo è possibile, cominciando ad aggiornare le macchine e a usare sistemi di sicurezza specifici.