La raccolta di milioni di laptop hackerati noti come Aisuru e Kimwolf sono stati utilizzati per lanciare alcuni dei più grandi attacchi DDoS (Distributed Denial of Service) mai visti. Ora le forze dell’ordine degli Stati Uniti li hanno cancellati entrambi da Web insieme a due altre orde di laptop dirottati, noti come botnet, in un unico ampio intervento.
Giovedì, il Dipartimento di Giustizia degli Stati Uniti, in collaborazione con l’agenzia di lotta alla criminalità informatica all’interno del Dipartimento di Difesa degli Stati Uniti nota come Protection Felony Investigative Service, ha annunciato di aver smantellato quattro enormi botnet in un’unica operazione, rimuovendo i server di comando e controllo utilizzati per requisire gli eserciti gestiti da hacker di dispositivi compromessi conosciuti con i nomi di JackSkid, Mossad, Aisuru e Kimwolf. Insieme, gli operatori delle quattro botnet hanno accumulato più di 3 milioni di dispositivi, ha affermato il Dipartimento di Giustizia, e spesso hanno venduto l’accesso a tali dispositivi advert altri hacker criminali, oltre a utilizzarli per prendere di mira le vittime con travolgenti inondazioni di traffico di attacco per mettere offline siti Internet e servizi Web.
Aisuru e Kimwolf, una botnet distinta ma correlata advert Aisuru, comprendevano insieme più di un milione di dispositivi, secondo la società di difesa DDoS Cloudflarecon Aisuru che infetta una varietà di dispositivi che vanno dai DVR agli apparecchi di rete alle webcam, e il suo ramo Kimwolf che infetta i dispositivi Android tra cui sensible TV e set-top field. Cloudflare afferma che le due botnet, lavorando insieme, hanno effettuato un attacco informatico contro un cliente Cloudflare lo scorso novembre che ha raggiunto più di 30 terabit di dati al secondo, quasi tre volte la dimensione del precedente attacco più grande di questo tipo.
Non è stato immediatamente annunciato alcun arresto insieme alle operazioni di rimozione, ma una dichiarazione del Dipartimento di Giustizia ha osservato che il governo degli Stati Uniti stava collaborando con le autorità canadesi e tedesche, “che hanno preso di mira gli individui che gestivano queste botnet”.
“Gli Stati Uniti sono fermi nel nostro impegno a salvaguardare le infrastrutture Web critiche e a combattere i criminali informatici che ne mettono a repentaglio la sicurezza, ovunque vivano”, ha scritto in una nota l’avvocato americano Michael J. Heyman.
Delle quattro botnet get rid of durante l’operazione, Aisuru aveva guadagnato la maggiore notorietà, grazie a una serie di attacchi informatici da report o quasi-record effettuati lo scorso autunno. La botnet, il cui utilizzo è stato affittato come molti altri servizi “booter” che offrono le loro capacità dirompenti con la forza bruta a chiunque sia disposto a pagare, è stata più visibilmente contraria a servizi di gioco come Minecraft e il giornalista indipendente sulla sicurezza informatica Brian Krebs. Krebs, che ha studiato approfonditamente la botnet clandestina e Aisuru in particolare, subì ripetuti attacchi dalla botnet l’anno scorso.
Poi, a novembre, Cloudflare ha assorbito un attacco combinato da report da parte di Aisuru e Kimwolf che è durato solo 35 secondi ma ha raggiunto 31,4 terabit al secondo, un quantity di traffico di attacco quasi triplicato rispetto a qualsiasi altro visto prima. (L’azienda non ha rivelato quale dei suoi clienti sia stato colpito da quell’attacco.)
Nell’a rapporto sullo stato dell’ecosistema DDoS, Cloudflare ha descritto il traffico di attacco massimo delle botnet combinate Aisuru e Kimwolf come equivalente a “le popolazioni combinate di Regno Unito, Germania e Spagna che digitano simultaneamente l’indirizzo di un sito Internet e quindi premono “Invio” nello stesso secondo.” La botnet period in grado, scrivono gli analisti di Cloudflare, di “lanciare attacchi DDoS in grado di paralizzare infrastrutture critiche, mandare in crash la maggior parte delle soluzioni di protezione DDoS legacy basate su cloud e persino interrompere la connettività di intere nazioni”.
In effetti, tutte e quattro le botnet interrotte dall’operazione statunitense erano varianti di Mirai, una botnet dell’Web delle cose apparsa per la prima volta nel 2016, che all’epoca ha battuto tutti i report per la dimensione degli attacchi informatici abilitati, e alla effective è stata utilizzata in un attacco al fornitore di servizi di nomi di dominio Dyn che ha bloccato 175.000 siti Internet contemporaneamente in gran parte degli Stati Uniti. Da allora, il codice base di Mirai è servito come punto di partenza per un decennio di altre botnet dell’Web delle cose.
