Abstrict About, Regicatore Regionale SAARC, Reti A10
Nell'ottobre 2016, la botnet Mirai ha comandato a una serie di dispositivi come router, webcam, DVR, telecamere IP, termostati, videoregistratori digitali e altri dispositivi connessi a Internet di distribuire payload DDoS che superano la velocità di trasmissione di 1 Tbps. Le botnet sono state utilizzate per lanciare massicci attacchi DDoS per mettere fuori uso server, applicazioni, servizi e siti web. SembraMiraipotrebbe avere qualche concorrenza. E il suo nome è WireX Botnet.
Google ha recentemente rimosso circa 300 app dal suo Play Storedopo che i ricercatori hanno scoperto che le app in questione stavano segretamente dirottando i dispositivi Android per alimentare il traffico verso attacchi DDoS (Distributed Denial of Service) su larga scala contro più reti di distribuzione di contenuti (CDN) e fornitori di contenuti.
Secondo un team di ricercatori di Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru e altre organizzazioni la colpa è della botnet WireX.
I ricercatori Akamai hanno scoperto WireX per la prima volta quando è stato utilizzato per attaccare uno dei suoi clienti, una multinazionale del settore alberghiero, inviando traffico da centinaia di migliaia di indirizzi IP.
"La botnet WireX comprende principalmente dispositivi Android che eseguono applicazioni dannose ed è progettata per creare traffico DDoS. La botnet è talvolta associata a richieste di riscatto agli obiettivi", ha scritto Cloudflare in un post sul blog.
WireX ha utilizzato i dispositivi dirottati per lanciare attacchi DDoS volumetrici a livello di applicazione, ha osservato Cloudflare. Il traffico generato dai nodi di attacco era costituito principalmente da richieste HTTP GET, anche se alcune varianti sembravano essere in grado di emettere richieste POST. In altre parole, la botnet produce traffico simile a richieste valide provenienti da client HTTP e browser Web generici.
Le applicazioni dannose in questione includevano lettori multimediali e video, suonerie e altri strumenti come gestori di archiviazione. Secondo Gizmodo, le app dannose contenevano malware nascosto che poteva utilizzare un dispositivo Android per partecipare a un attacco DDoS purché il dispositivo fosse acceso.
Non è chiaro quanti dispositivi siano stati infettati: un ricercatore ha detto a KrebsOnSecurity che WireX ha infettato un minimo di 70.000 dispositivi, ma ha notato che la stima è conservativa. Si ritiene che per partecipare agli attacchi siano stati utilizzati dispositivi provenienti da più di 100 paesi.
"Settantamila erano una scommessa sicura perché questa botnet fa in modo che se stai guidando in autostrada e il tuo telefono è impegnato ad attaccare qualche sito web, c'è la possibilità che il tuo dispositivo possa apparire nei registri degli attacchi con tre o quattro o anche cinque diversi indirizzi Internet", ha detto Chad Seaman, Senior Engineer di Akamai, in un'intervista a KrebsOnSecurity. "Abbiamo riscontrato attacchi provenienti da dispositivi infetti in oltre 100 paesi. Provenivano da ogni dove."
WireX, proprio come il suo predecessore Mirai, illustra l'importanza di proteggere la rete e le applicazioni dagli attacchi. Gli attacchi su larga scala possono provenire da qualsiasi luogo, anche da una botnet composta da decine di migliaia di dispositivi Android. Poiché questi tipi di attacchi crescono in frequenza, sofisticatezza e dimensioni, le organizzazioni hanno bisogno di soluzioni per fermarli prima che abbiano l’opportunità di provocare il caos.
WireX è unico in quanto introduce una nuova minaccia: gli smartphone armati, che introducono miliardi di endpoint pronti per un'infezione in grado di propagare agenti dannosi su una rete mobile.
Tradizionalmente, le reti mobili e dei fornitori di servizi sono protette dagli attacchi che arrivano tramite Internet. Tuttavia, molti componenti critici vengono lasciati non protetti partendo dal presupposto che gli attacchi verranno fermati alla periferia di Internet. Attacchi come WireX cambiano questo paradigma.
"WireX dimostra che gli attacchi possono provenire anche dall'interno di una rete mobile e che alcune migliaia di host infetti possono colpire il cervello di una rete mobile", ha affermato Yasir Liaqatullah, direttore della gestione dei prodotti di A10. “Questi smartphone infetti prima o poi inizieranno ad attaccare i componenti critici delle reti mobili, e le potenziali conseguenze potrebbero essere enormi”.
Attacchi come WireX rafforzano la necessità per i fornitori di servizi di proteggere le proprie risorse chiave su tutti i fronti, non solo dagli attacchi provenienti dall’esterno, ma anche dall’interno.
Per combattere attacchi come WireX, i fornitori di servizi e gli operatori di rete mobile necessitano di un sistema intelligente e scalabiletra smartphone e infrastruttura di rete mobile, sia interna che esterna. Per affrontare questo sofisticato tipo di attacco, una moderna soluzione DDoS richiede intelligenza per comprendere la natura mutevole di un attacco polimorfico, che ha la capacità di modificare firme e intestazioni variabili, come quelle lanciate da WireX.
L’inserimento di una protezione dalle minacce ad alte prestazioni, scalabile e intelligente nella rete mobile aiuterà i fornitori di servizi a difendersi da questi miliardi di endpoint armati e consentirà loro di rilevare minacce online e tipi di attacchi multi-vettore, imparare da loro e, soprattutto, fermarli.
Un approccio a più livelli garantirà che l'intera infrastruttura dei fornitori di servizi e degli operatori mobili, sia all'interno che all'esterno, sia protetta dalle minacce. Inoltre, una soluzione DDoS ad alte prestazioni può proteggere dagli attacchi DDoS multi-vettore da megabit a terabit, come quelli alimentati da WireX.
