DDoS Attack contro DynDNS, cause e modalità di un attacco globale a Internet

23 Ottobre 2016 191

Grafica che rappresenta su mappa la posizione dei report dei disservizi negli Stati Uniti nella mattinata del 21 Ottobre 2016. [fonte: downdetecto.com]

ll 21 ottobre scorso, all'incirca dalle ore 7:00 ET del mattino, due imponenti attacchi di Distributed Denial of Service (abbreviato in DDoS) hanno messo in ginocchio DynDNS, un'importante infrastruttura online che associa nomi di dominio a indirizzi IP di importanti destinazioni, come Twitter, Amazon, Tumblr, Skype, Reddit, The New York Times, PayPal, Spotify e Netflix.

Fino approssimativamente alle ore 13:00, ha impedito ad esempio a molti utenti web di Europa e Stati Uniti di associare il nome "www.netflix.com" e al suo IP 54.72.42.68, negando tante ore passate in tranquillità a godersi le proprie serie TV preferite. Un terzo attacco avrebbe causato danni fino alle 17 del pomeriggio, ma sarebbe stato mitigato dall'azione dei tecnici di Dyn. Sebbene le cifre non sono state confermate, si parla di picchi di 1,2 terabits di dati inviati al secondo.

A due giorni di distanza abbiamo un quadro più completo delle modalità e delle cause che hanno portato ad un simile disservizio, un disservizio che ha comportato anche e soprattutto perdite economiche in termini di pubblicità e acquisti online ai provider dei servizi. Probabilmente, come avviene in casi simili, non sapremo mai tutti i dietro le quinte di questi attacchi, le vere motivazioni, e i dettagli tecnici su come mettere K.O. fette intere di Internet, ci dobbiamo accontentare di alcuni indizi.

La società di sicurezza informatica Flashpoint ha rivelato che l'attacco ha sfruttato il malware Mirai, che vanta una botnet di oltre 10 milioni di indirizzi IP. Per chi non mastica la materia: gli attacchi DDoS fondamentalmente consistono nell'invio di un gran numero di pacchetti di richieste ad un singolo server, col conseguente sovraccarico e malfunzionamento. Le richieste vengono spesso inviate da più o meno estese botnet, dei veri e propri eserciti di computer "zombie" infettati da un malware, che, all'insaputa dei rispettivi proprietari, vengono controllati da terzi, hacker o cyber-criminali.

La botnet del recente attacco sarebbe stata composta nella maggior parte di dispositivi dell'Internet delle Cose (IoT), alimentando così ulteriori dubbi sulla sicurezza di questa nuova infrastruttura. Tra la lista dei dispositivi occupano maggiore spazio alcuni videoregistratori "intelligenti" e videocamere "smart" che contengono componenti prodotti dall'azienda cinese XiongMai Technology. Sotto degli esempi dei possibili prodotti incriminati, ribrandizzati da numeri venditori internazionali. Secondo alcuni esperti di sicurezza, i dispositivi IoT che contengono componenti di XiongMai e altri simili produttori cinesi rimangono tuttora una minaccia alla stabilità della rete se non disconnessi completamente da Internet.


Il funzionamento del malware Mirai è molto semplice e sfrutta le porte di sicurezza lasciate quasi aperte su questi dispositivi. È disponibile alla luce del giorno, poiché il suo sviluppatore l'ha rilasciato in open source. Ogni dispositivo infettato esegue continuamente uno scan della rete alla ricerca di altri dispositivi e riesce a prenderne il controllo il più delle volte utilizzando una delle 68 coppie di username e password di default scelte dai produttori. A semplificare le operazioni c'è il (tanto caro agli esperti di sicurezza!) protocollo Universal Plug and Play (UPnP): se impostato privo di autenticazione (di default sui prodotti più recenti), permette a qualsiasi attaccante di introdursi nella rete locale a cui sono connessi i dispositivi, bypassando la "maschera" degli IP che applicano di norma i router che si interpongono tra LAN e WAN (rete locale e mondo).

Volete essere anche voi sicuri che il vostro sistema di videosorveglianza intelligente o un qualsiasi aggeggetto "smart" che avete appena comprato non sia infetto da Mirai? Prima di tutto scollegate dalla presa il dispositivo: il malware risiede nella memoria principale, che viene ripulita una volta privata della corrente. Per esser sicuri, eseguite anche un factory reset (di solito basta schiacciare un pulsantino con una graffetta).

In seconda istanza, bisogna cambiare la password di default: qui arriva una piccola complicazione! Come avevamo detto, gli altri dispositivi infettati sono alla continua ricerca di nuove prede, compreso il vostro dispositivo appena resettato. L'unica soluzione al momento è sapere a menadito come si resetta la password (si accede di solito da browser al pannello di controllo) e una volta ricollegato alla rete il dispositivo, farlo nella maniera più veloce possibile, incrociando le dita! Purtroppo ancora non è stato elaborato un modo universale e automatico per controllare la vulnerabilità e l'infezione dal malware Mirai, mentre solo una minoranza dei produttori hanno già rilasciato aggiornamenti firmware che proteggono i dispositivi da simili attacchi.

... sì, ma tutto questo perché?

Una domanda a cui molte testate lasciano come sottintesa la risposta è perché vengono messi a segno questi attacchi DDoS? Quando l'attacco è circoscritto ad un unico server (capita anche qui in casa HDblog.it, come sapete!), l'attaccante, o chi per esso, vuole semplicemente danneggiare una particolare azienda, magari competitor o avversaria (chiamasi, sabotaggio industriale), una fazione politica, oppure semplicemente si diverte a fare il troll.

È semplicissimo assoldare un hacker al giorno d'oggi! Esistono portali appositi che permettono di avere chiavi in mano di una botnet nel giro di 15 minuti, e sorprendentemente il metodo di pagamento più diffuso non viaggia in Bitcoin ma su Paypal. Possiamo immaginarci, senza avere però alcuna prova, gruppi di hacker dislocati nei soliti noti paesi (leggi Russia e Cina) in qualche modo al soldo di firme occidentali.

Una dinamica più comune è invece il blackmailing: una volta che un gruppo di hacker ha dimostrato la sua potenza, può minacciare siti e organizzazioni di attacchi a loro diretti e pretendere grandi pagamenti per evitare di premere il grilletto. Sono circolati dei rumor di minacce del genere ricevute da Dyn nelle scorse settimane, al momento né confermati, né smentiti.

Ma in questo recente caso, cosa è successo? Cosa può motivare un attacco così distribuito e globale? Ovviamente la risposta non è certa, e organi appositi stanno indagando in questo momento sull'accaduto. Riportiamo qui sotto le ipotesi che in questo momento trovano più spazio nella rete.

Alcuni esponenti del gruppo di attivisti Anonymous e New World Friday hanno rivendicato l'attacco, sostenendo come motivazione la revoca dell'accesso a internet imposta dal governo ecuadoriano al fondatore di WikiLeaks Julian Assange, condita da attacchi contro Iraq, Siria e ISIS. Sarebbe stato un "primo test di potenza", che ha avuto come target "qualsiasi cosa di grande".

Le agenzie governative americane consigliano di prendere con le pinze tali rivendicazioni, per ora ancora infondate, che in casi come questo potrebbero semplicemente sfruttare il minuto di notorietà offerto da attacchi di altri (per New World Friday non sarebbe la prima volta!).

Quello che è sicuro è che "non è stato un malfunzionamento tecnologico accidentale" e che DHS e FBI "andranno fino in fondo alla questione per scoprire i veri responsabili". L'attacco arriva a pochi giorni di distanza dalle accuse senza precedenti del governo americano a Mosca di foraggiare una campagna di cyberattacchi per destabilizzare il naturale sviluppo delle imminenti elezioni del Presidente degli Stati Uniti. Vi aggiorneremo su eventuali futuri sviluppi della vicenda.


191

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Mattia Righetti

Elliot non sapeva cosa fare

M3r71n0

Infatti ti ho portato l'esempio di dispositivi iot (soprattutto tvcc), non ho minimamente parlato di router, pc, etc.

Alex Alban

si ma se ci pensi avere le porte aperte non è un problema, pensa ai router con la 22, la 23, la 80 e la 443 aperta, il problema è nel software!

M3r71n0

Di solito un impianto di videosorveglianza che prevede un DVR (oggi giorno NVR) ha un bel numero di telecamere da gestire.

Negli ambienti domestici dove servono 1 o 2 telecamere, si lascia il compito di registrare a servizi cloud o schede SD infilate direttamente nelle telecamere.

Ritornando invece al discorso dell'NVR, SI, ci sono una marea di buchi.
Ogni telecamera/dispositivo iot viene venduto con almeno 3 porte TCP aperte di default (in modo che se ne compri uno, lo hai già pre-configurato per per accedervi dall'esterno).
Immagina un impianto TVCC con 1 nvr e 6 telecamere (piccolo impianto).
Il malware entra nella primo host raggiungibile tramite UPNP e da qui si copia negli altri.
Un solo impianto medio-piccolo, ti da 7/8 host che dossano in contemporanea.

Alex Alban

Forse ora ha più senso ma vuol dire che anche altri apparati sono bucati!

Maledetto

No, è questa questione ed il dubbio con l'iot

Palux

O chiuse o aperte.
Porte chiuse ma aggirabili per bug od altro è un'altra questione.

Roberto

Mr. Robot

Maledetto

Porte chiuse con protezioni facilmente suoerabili ti va bene?

The

stra bello fig@ !1!!1 fak sosaiety !1!!1

Marco Fantin

Sono 5 sono 5...m3rda!
Goose, sai cosa ti dico?! Rallento e mi faccio superare!

overview_marcia

Ma tutti questi oggetti IoT servono per davvero? Tipo il frigo, puoi collegarlo a internet ma non esce con le sue gambe a comprare la verdura e/o la carne, e no non venitemi a parlare di spesa ordinata automaticamente via internet, e no tanto le sardine dimenticate in fondo al frigo non le buttera automaticamente nel cestino....

k87

che poi l'attore recita proprio in una serie di hacking :D Mr.Robot

Alessandro

gran bel gioco..

Marcomanni

"Come avevamo detto, gli altri dispositivi infettati sono alla continua ricerca di nuove prede, compreso il vostro dispositivo appena resettato."
Cioè mi sfugge... Nella mia intranet non per forza ci deve essere sempre la connessione ad internet condivisa. Si stacca il cavo telefonico dal router, a quel punto si resettano tutte le ip cam e si cambia una per una sta benedetta password.

M3r71n0

;)
Ovviamente il suggerimento era una trollata a CariatideX

benzo

Sicuramente sono bravi (fatturato + clientela vip), anche se persone moralmente immonde. Personalmente a meno che non sia obbligato ad assoldarli passerei per altri lidi.

Comunque bene così, chiarito.

M3r71n0

Ti ho risposto al commento precedente.
Aggiorna la pagina

benzo

Ok, stai facendo il vago. Ho visto che hai commentato quì su hdblog l'anno scorso (:

M3r71n0

Ma ci mancherebbe che trolli.
Allora, ricapitoliamo per intenderci :)
Io ho suggerito Hackingteam, gruppo di hacker professionisti Italiani (si quelli che sono stati hackerati).
Tu mi hai chiesto "Hachedteam. it"
Poichè hai indicato il sito sbagliato, non avevo compreso la domanda. Tutto qui.

PS.: A prescindere che sono stati hackerati, di sicuro è uno dei team hacker ufficiali più conosciuti d'Italia. Mica potevo linkare qualche pagina .onion qui su disqus?
PPS.: Anche perchè non ne conosco altri

M3r71n0
ma ogni porta in ogni caso conduce a un singolo dispositivo, non a più

ma questo è corretto e per come lo leggo nell'articolo... dice proprio cosi.

In pratica, per come è (e per come leggo io):
L'attaccante sfrutta l'UPNP per raggiungere il primo dispositivo della rete con quella porta aperta (NVR ma anche Camera).
Da questo host, poi, il malware, scansiona la rete in cerca di altri dispositivi con la stessa porta aperta e si carica anche in quelli trovati.

Infatti nell'articolo ci sono due parti. Nella prima dice <b<che mirai<="" b=""> scansiona la rete locale in cerca di altri.
Nella seconda dice che l'attaccante ha compito facile sfruttando l'upnp per entrare nel primo dispositivo.

Cmq a parte come è descritto e interpretato, è avvilente (per gli addetti ai lavori) vedere come sia banale il sistema e non poterlo far capire ai Clienti (specialmente quando non sono tuoi Clienti).

benzo

In ogni caso: http : // www. lastampa. it/2015/07/06/tecnologia/hacking-team-hackerata-file-diffusi-dal-suo-stesso-profilo-twitter-UKEwpaXS6MDh6jUKvXu4fL/pagina.html

benzo

Cioè conosci l'hackingteam e non conosci la vicenda accaduta l'anno scorso?

M3r71n0

non ho afferreto.

M3r71n0

non ho afferreto

Alex Alban

Universal Plug and Play nel port forwarding serve ad aprire le porte in ingresso e lo fa in automatico il router! Non puoi accedere ad altri host della rete salvo un router che te lo permette ma qui il problema era il dvr non il router. Il malware scansione le porte aperte e prova ad attaccarle, ma ogni porta in ogni caso conduce a un singolo dispositivo, non a più. Se io faccio un port forward della porta 80 locale di un sito web e la porta esterna è 8080 e il resto (caso limite) è chiuso, tu puoi accedere solo al sito web sulla 8080, se raggiungi altra roba significa che c'è un buco enorme nel router, ma non è questo il caso :)

benzo

hackedteam. it?

Alex Alban

Eh?

Myself

In edicola in teoria

M3r71n0

prova qui:
http://www. hackingteam. it/

Lucagildo

Muoio ahahahahah xD

Dado401

Ricordo i tempi in cui i limitavano a dossare i server i ultima online!!!

Dado401

Lo sopravvaluti, è solo capace di prendere x il c*lo l'italia, e fidati, è molto più facile!

ilCittadino

Azz...Facciamo una colletta tutti insieme e diamoglielo questo tempo XD

CariatideX

Mi servirebbe un hacker per entrare nella Gmail del mio capo...
Dove si comprano?

Alessandro Alfei

Ma andate a lavorare

LOL https://uploads.disquscdn.com/...

capitanouncino

"Ci stanno tracciando!! Stacca stacca!!"

Berserker02

Veramente sei tu che non sai come usare quel servizio da DENTRO una rete per ottenere completo accesso dall'esterno....

Andrej Peribar

Purtroppo a volta si fa un pò di confusione nell'approccio pratico del rilascio del codice.

Proprio perchè il codice dell'attaccante (malware Mirai) era stato rilasciato (tra l'altro una settimana prima e non si sa se solo dopo un contatto diretto all'azienda), chi soffriva di quella vulnerabilità avrebbe potuto patchare il proprio codice.

A me sa tanto di "voluto"

Poi chissà, queste cose vanno ben oltre ciò che si reputa possibile.

Anche perchè ci sono centinaia di aziende che fanno esattamente questo, valutano la sicurezza :)

Kevin

Strano, a me diceva che non riusciva a trovare il server ...

Alex Alban

O ignoranza direi, c'è gente che ha subito detto che con Apple e Homekit non succede perché sono di Apple (in sintesi), qualcun'altro che i sistemi aperti come quelli GNU/Linux sono insicuri perché puoi diventare root in modo molto facile e che GNU/Linux non è sicuro quanto la roba closed source. BAH.

Diobrando_21

Si ma adesso il creatore e proprietario del codice può dire:"Che volete da me? Io l'ho reso open...chounque potrebbe averlo usato...". Cmq si è parato il cxlo.

Andrej Peribar

Non ho detto che sono poco (vai a capire quanto sono diffusi in cina) ho detto che sono una specifica fascia

CAIO MARI

Se i dispositivi in questione fossero pochi non si sarebbe bloccato mezzo internet mondiale

iclaudio

e già

Felix

Sappiamo tutti quale hacker è stato...
https://uploads.disquscdn.com/...

Andrej Peribar

Citavi in ballo "elettrodomestici, auto, sistemi di sicurezza, cancelli," dicendo in un altro commento che "I dispositivi IOT a non essere interessati da questo attacco sono stati quelli HomeKit" quando quelli non soggetti all'attacco sono centinaia di milioni, basati sulle più varie piattaforme.

Suppergiù ci sono indizi di ciò che ha causato il problema ossia device con componenti XiongMai

Paradossalmente può essere una backdoor voluta, scoperta sfruttata anche da hacher per i ddos o un semplice bug.

Quindi queste deduzioni che ""lasciano intndere" chissà cosa, lasciano il tempo che trovano ed omettere di scriverle non arrecano un soldo di danno.

Giova91

È cosa avresti scritto per essere stato censurato?!

CAIO MARI

No

Le migliori Powerbank per Apple iPhone e non solo | Video | #BESTBUY

4 chiacchiere con 16 smartphone TOP DI GAMMA 2018 | Video

Dipendenza da smartphone | Video

Recensione Jabra Elite 65T: cuffie di qualità con tanti pregi