Il CERT e Sierra Wireless segnalano possibili infezioni del malware Mirai

SicurezzaVirus

Mirai può prendere il controllo di dispositivi connessi a Internet, come quelli di Sierra, e usarli per scatenare attacchi DDoS

Il CERT statunitense e Sierra Wireless hanno diramato una segnalazione tecnica che mette in evidenza come gli Airlink Cellular Gateway di quest’ultima siano a rischio infezione dal parte del malware Linux Mirai. Il problema non è legato a vulnerabilità software dei dispositivi ma al fatto che il malware può prenderne il controllo semplicemente usando le credenziali standard per l’identificazione alla parte di gestione ACEmanager, per poi usarli come vettori di attacchi DDoS.

Il CERT conferma che il malware Mirai ha causato l’attacco al sito Krebs on Security, che ha portato in evidenza il pericolo costituito dai dispositivi IoT che non siano adeguatamente protetti. Violarli può essere molto semplice e nella grande maggioranza dei casi non c’è modo per gli utenti di gateway Internet, media player o webcam di capire se il loro dispositivo è stato compromesso o meno. Inoltre, Mirai ora è liberamente disponibile online, almeno per chi sa dove cercarlo.

Secondo quanto ha rilevato Sierra Wireless, Mirai si installa sul gateway colpito ma poi si cancella e risiede solo in memoria. Scansiona la rete raggiungibile alla ricerca di altri dispositivi vulnerabili e invia le sue rilevazioni a un server di comando e controllo che può anche indicare al malware in esecuzione di partecipare a un attacco DDoS contro bersagli specifici.

La distribuzione geografica di una botnet composta da home router rilevata da Sucuri
La distribuzione geografica di una botnet composta da home router rilevata da Sucuri

Il funzionamento di Mirai nell’attacco ai gateway Sierra lo rende anche facilmente eliminabile: risiedendo solo in memoria basta ravviare il gateway per cancellarlo. Però poi si deve anche cambiare la password dell’ambiente di gestione ACEmanager per evitare una probabile seconda infezione poco dopo. La rimozione di Mirai dal gateway non evita che il malware possa già aver infettato dispositivi collegati, che vanno controllati.

Un sintomo del fatto che un device della propria rete sta partecipando a un attacco DDoS è un elevato traffico in uscita. Sierra segnala poi che il traffico di comando e controllo dei server remoti transita attraverso la porta 48101, nel caso dell’infezione diretta dei gateway.

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore