Per i risultati ottenuti l’attacco sembra essere stato condotto come una pesca a strascico. Nella realtà è stato accuratamente preparato e gestito come una pesca alla mosca. Le mosche usate come esche e i mulinelli some strumenti di spinning sono stati centinaia di dispositivi tecnologici come webcam e DVR (registratori digitali) infettati con malware con l’obiettivo di creare dei botnet da usare per l’assalto al target identificato.
Tra le vittime designate ci sono state Twitter, PayPal e Spotify. Le tre aziende sono clienti di Dyn, un’azienda americana che fornisce loro servizi infrastrutturali legati allo smistamento del traffico di rete. Il disservizio è stato intermittente e diverso geograficamente ma è partito dall’est americano per poi allargarsi in altre parti del territorio USA e anche in Europa.
Come conseguenza dell’attacco gli utenti non sono stati in grado di utilizzare e raggiugere le loro destinazioni Internet solite come Mashable, CNN, the New York Times, Yelp, Wall Stree Journal e molte altre.
Per l’attacco i cybercriminali hanno fatto uso di migliaia di dispositivi tra loro connessi in quelle che sono note come Internet degli Oggetti e che erano stati infettati con codice malware usato per creare una armata di botnet da lanciare all’attacco utilizzando come arma il distributed denial of service (DDoS). Un attacco che mira a bloccare un servizio attraverso la generazione di un traffico artificialmente creato per bloccare i server e le macchine che lo erogano. Secondo Dyn l’attacco è arrivato da milioni di indirizzi Internet diversi, trasformandosi in uno degli attacchi più potenti mai visti, forse preludio ad altri ancora più pericolosi e vasti.
Malware e infezioni virali
E’ stato un attacco a ondate che ha messo fuori servizio centinaia di server per due ore, ha permesso la dissoluzione dell’attacco da parte dei tecnici per poi ripresentarsi con un nuovo attacco che ha bloccato nuovamente l’erogazione del servizio e tentare un terzo assalto nella tarda serata.
L’analisi dell’attacco da parte dei tecnici ha permesso di individuarne l’origine da una tipologia di videocamere costruite dallo stesso produttore cinese XiongMai Technologies e che sono state interconnesse, anche in modo fozato, tra di loro usando un malware noto come Mirai per poi colpire i clienti di Dyn. In pratica l’intera flotta di dispositivi prodotti dalla stessa azienda, non americana, si è trasformata in un’armata in grado di mettere in allarme i sistemi di difesa americani.
L’attacco non è stato un caso isolato ma con le stesse modalità si era già manifestato in settembre. Un segnale che viene preso seriamente dagli esperti di sicurezza perché mostra l’arrivo di nuovi botnet sempre più sofisticati la cui forza è resa esponenzialmente potenziata dalla presenza sociale di migliaia di oggetti tecnologici che formano IoT, servono case domotiche, rendono intelligenti (?) gli uffici e fanno collaborare tra di loro milioni di persone. Il rischio aumenta perché sono in costante aumento i dispositivi tecnologici in circolazione.
A essere molto sofisticato è stato anche il malware usato, un codice capace di generare un numero elevatissimo di attacchi che hanno impedito una più rapida individuazione dell’attacco.
La vulnerabilità dei dispositivi usati per l’attacco sta nel loro fare uso di password standard facili da indovinare o individuare. Non è un caso che i dispositivi interessati siano stati quasi 500.000.
Per debellare l’attacco sono servite poche ore ma non è stato chiarita l’origine dell’attacco e il suo mittente o sponsor.