In poche parole: le autorità statunitensi hanno spento quattro eserciti di dispositivi compromessi che gli hacker usavano per lanciare attacchi informatici massivi. Non è una serie TV, è il governo che toglie la spina ai «botnet» che hanno seminato il caos su Internet.
Cosa è successo
Giovedì il Dipartimento di Giustizia degli Stati Uniti, insieme al Defense Criminal Investigative Service del Dipartimento della Difesa, ha annunciato lo smantellamento simultaneo di quattro grandi botnet. Gli operatori avevano messo insieme più di 3 milioni di dispositivi compromessi e usavano server di comando e controllo per ordini come mandare ondate di traffico verso bersagli scelti.
Quali botnet sono stati presi
- Aisuru
- Kimwolf
- JackSkid
- Mossad
Aisuru e la sua variante Kimwolf insieme controllavano più di un milione di dispositivi. Aisuru infettava dispositivi come DVR, appliance di rete e webcam. Kimwolf, invece, prendeva di mira dispositivi Android, tra cui smart TV e set-top box.
Perché questi botnet erano pericolosi
Secondo società che difendono dalle DDoS, Aisuru e Kimwolf hanno lanciato un attacco combinato che ha raggiunto 31,4 terabit al secondo. L'attacco è durato 35 secondi ma ha stabilito un nuovo livello di intensità mai visto prima. I botnet venivano anche affittati: chiunque era disposto a pagare poteva usare la loro potenza per mandare offline siti e servizi.
Azioni legali e cooperazione internazionale
Al momento dell'annuncio non sono stati resi noti arresti. Il Dipartimento di Giustizia ha però dichiarato di lavorare con le autorità di Canada e Germania, le quali hanno preso di mira individui ritenuti coinvolti nella gestione di questi botnet.
Il procuratore Michael J. Heyman ha affermato che gli Stati Uniti sono impegnati a proteggere l'infrastruttura critica di Internet e a combattere i cybercriminali ovunque si trovino.
Origine e evoluzione: il legame con Mirai
Tutti e quattro i botnet erano varianti del codice di Mirai, il malware per l'Internet delle cose apparso nel 2016. Mirai aveva già segnato un precedente storico per la dimensione degli attacchi e in passato fu usato in un attacco contro il provider DNS Dyn che causò la caduta di circa 175.000 siti negli Stati Uniti. Da allora il codice di Mirai è stato la base per molte altre reti di dispositivi compromessi.
Tecniche nuove e preoccupazioni per le reti domestiche
Le più recenti versioni di questi botnet hanno sviluppato tecniche inusuali. Kimwolf, per esempio, sfruttava gadget economici connessi alla rete che fungevano da proxy residenziali. Questi dispositivi, spesso senza che i proprietari se ne accorgessero, permettevano agli aggressori di entrare nelle reti domestiche e compromettere dispositivi normalmente protetti dal router di casa. Un ricercatore di Akamai ha spiegato che questo ha messo in discussione la nozione di rete domestica sicura.
Gli operatori dei botnet hanno anche usato trucchi avanzati per resistere alle contromisure, come spostare il nome di dominio di comando e controllo su blockchain pubbliche per impedire il sequestro dei loro server.
Cosa aspettarsi in futuro
Gli esperti sottolineano che, anche se questi quattro botnet sono stati smantellati, è probabile che altri gruppi tenteranno di costruire nuove collezioni di dispositivi compromessi. La lotta alla criminalità informatica continua su più fronti: indagini legali, cooperazione internazionale e lavoro tecnico per migliorare le difese.
Nota: le informazioni qui riportate si basano sugli annunci ufficiali del Dipartimento di Giustizia e su analisi del settore sulla natura e sull'impatto degli attacchi.
