martedì 25 ottobre 2016

Che cos’è e da dove viene Mirai, il malware del cyber attacco negli Usa

Corriere della sera
di Marta Serafini

Il virus che ha infettato migliaia di device era già stato usato in settembre. E un hacker ne aveva postato il codice in rete 

Mirai. Si chiama così il malware che venerdì ha messo in ginocchio tra gli altri Twitter, Reddit, Etsy, Netflix , GitHub, PayPal, Amazon e Spotify permettendo l’attacco DDoS contro Dyn e agendo nella sfera dell’Internet of Things (IoT). Ma Mirai non è un’arma che nasce oggi. Questa versione più recente di un altro trojian - conosciuto come Bashlite, GayFgt, LizKebab, Torlus, Bash0day e Bashdoor - è stata usata in settembre contro il sito KrebsonSecurity, dell’esperto di cyber sicurezza Brian Krebs.

Dopo l’attacco al suo blog, Brian Krebs, autore di «Spam Nation», indagine sul cyber crimine, ha reso noto che venerdì 30 settembre è stato rilasciato su HackForums il codice del malware usato per portare a termine l’attacco, Mirai. Questo significa che Mirai è disponibile gratuitamente in rete e che è a disposizione di chiunque. Quel post ha anche un firma, ossia Anna-Senpai. Chi si nasconde dietro quel nickname spiega: «Quando sono entrato/a nell’industria del Ddos non pianificavo di starci molto. Ho fatti molti soldi…Oggi ho una fantastica rivelazione per voi». Di Anna Senpai non sappiamo granché. Se non che si ispira a un personaggio manga Anna Nishikinomiya, studentessa che perseguita un uomo fino a molestarlo.

Niente di nuovo, però. Sono molti gli hacker che attingono al mondo manga per i propri nickname (anche Mirai è il nome di un fumetto giapponese). E anche l’attacco al Corriere.it del 15 agosto, così come centinaia di altri nel mondo, è stato firmato da pirati informatici che usavano manga giapponesi per le loro rivendicazioni. Quello che è meno chiaro è perché Anna Senpai abbia postato in rete il codice. «Non si tratta di un gesto altruistico», ha spiegato ancora Krebs. «Molti hacker si comportano in questo modo quando sanno che gli investigatori sono vicini a beccarli».

Un attacco a IoT era nell’aria da parecchio. Perfino le serie tv come «Mr Robot» ne hanno fatto cenno e non esiste rapporto di cyber security che non abbia messo in risalto questo rischio. Lo stesso Dipartimento per la Sicurezza interna Usa il 12 ottobre ha lanciato un’allerta nella quale avvisa come i prodotti Sierra Wireless possano essere violati per condurre un attacco e invita a cambiarne le password. Sappiamo ormai che gli hacker per sferrare questo attacco hanno sfruttato vulnerabilità che hanno a che fare con le password. Per impedirlo dunque sarebbe stato necessario che milioni di persone cambiassero parola chiave ai loro device, cosa che, come è noto, molti di noi non fanno.

Meno chiara invece è l’origine di questo attacco. Secondo la società colpita Dyn, il malware si è attivato soprattutto negli Stati Uniti (29%), Brasile (23%) e Colombia (%). Niente Russia, dunque, come è stato ipotizzato invece da molti, che puntano il dito contro gli hacker di Mosca già impegnati in attacchi contro gli Stati Uniti. Lo stesso Krebs però non sembra convinto molto di questa teoria. «La copertura del New York Times dell’attacco DDoS vira inspiegabilmente sugli hacker russi e sulle elezioni. Ma manca il marchio», scrive l’esperto di cyber security.

Anche il post diffuso sempre su Twitter da WikiLeaks che invita i supporter dell’organizzazione a fare un passo indietro non implica un coinvolgimento diretto dell’organizzazione di Julian Assange. E potrebbe trattarsi di fog, nebbia messa in rete per sviare o semplicemente per mettersi al centro della scena. Allison Nixor, direttore di Flashpoint, spiega che ad essere hackerati sono stati soprattutto device della compagnia cinese XiongMai Technologies, in particolare schede e telecamere digitali. XiongMai Technologies fino ad ora però non ha rilasciato commenti sull’attacco.