L'attacco hacker che venerdì 21 ottobre ha reso irraggiungibili molti siti Internet americani, fra cui Twitter, Paypal, Spotify, CNN, New York Times e Wall Street Journal, è stato condotto con l'utilizzo di webcam e registratori digitali, apparecchiature che appartengono a quello che viene definito IoT (Internet of Things).

Non è stato un attacco finalizzato a sottrare informazioni dai siti che ne sono rimasti vittima, ma ad impedirne l'operatività.

Si è trattato di un attacco indiretto, non rivolto ai server che ospitano i siti web, ma ad essere attaccati sono stati i server che per quei domini svolgono il servizio DNS (Domain Name System), quello che converte un nome a dominio nel corrispondente indirizzo IP, utilizzato per veicolare il traffico.

L'attacco è iniziato sulla costa orientale degli Stati Uniti, dove ha sede uno dei maggiori fornitori di un servizio DNS, la Dyn, con sede in New Hampshire. Successivamente si è esteso ad altre zone degli Stati Uniti ed in parte anche all'Europa.

E' stato un tipico attacco DDoS (Distributed Denial of Service), in cui i server DNS sono stati inondati da una valanga di richieste, che non sono stati in grado di soddisfare. In media un server è in grado di rispondere a qualche centinaio di richieste simultanee. Quando le richieste diventano qualche migliaio nel giro di un minuto, si sovraccarica e alla fine smette di funzionare.

Un'ulteriore raffinatezza è stata quella di fare le richieste utilizzando tanti pacchetti di piccole dimensioni, che hanno finito per aumentare enormemente il carico anche sui router che dovevano smistare il traffico di rete.

In questo caso, come sta accadendo sempre più spesso negli ultimi tempi, le richieste provenivano da webcam e altre apparecchiature IoT, che sono diventate un strumento ottimale per gli hacker. Il motivo è molto semplice.

Per prima cosa si trovano un po' dappertutto. Secondo alcune stime, oggi di apparecchiature IoT collegate a Internet se ne contano circa 6,4 miliardi (30% in più dello scorso anno) e ogni giorno ne vengono collegate oltre 5 milioni di nuove. Si prevede che nel 2020 raggiungeranno i 21 miliardi.

Inoltre, installarvi del malware, i cosiddetti botnet, è molto semplice. Date le limitate funzionalità di questi apparecchi, non ci si preoccupa in genere di metterli in sicurezza, arrivando al punto di non preoccuparci nemmeno di cambiare la password utilizzata dal produttore. Per un hacker accedervi diventa un gioco da ragazzi.

In questa occasione a sferrare l'attacco sarebbero state prevalentemente webcam di un unico produttore cinese, la XiongMai Technologies.

Si è a conoscenza anche del botnet che è stato utilizzato. Si chiama Mirai ed il suo codice sorgente è stato diffuso in rete pochi giorni fa.

Di solito, un hacker installa Mirai su una device collegandosi con la password di default. A quel punto il botnet si collega ad un servizio IRC, quello usato per le chat, e resta in attesa di comandi.

Mirai non è particolarmente sofisticato. Non prende precauzioni per evitare di essere scoperto, dato che molti di coloro che possiedono una webcam non hanno le competenze per controllare se il software è stato alterato.

Rispetto ad altri botnet, ha la peculiarità di cambiare più frequentemente l'indirizzo IP che utilizza per inviare le query e di riattivarsi nuovamente quando un'apparecchiatura viene spenta e riaccesa. Ha anche l'accortezza di evitare di servirsi di indirizzi particolarmente "sensibili", come quelli del ministero della Difesa Usa o quelli di grosse aziende.

Mirai usa l'inglese per i suoi comandi e l'interfaccia di controllo, ma contiene anche dei testi in lingua russa. E' questo che ha indotto molti a pensare che questi attacchi possano avere avuto origine in Russia.

L'attacco di venerdì, iniziato alle 7 e 10 ora di New York e durato fino al pomeriggio, in tre ondate successive, è stato uno dei più grossi mai registrati, con richieste ai server DNS provenienti da milioni di indirizzi diversi.

Si pensa che dietro ci possano essere stati sostenitori di WikiLeaks. A testimoniarlo sarebbe un tweet in cui si legge: "Mr. Assange è ancora vivo e WikiLeaks pubblica ancora. Chiediamo ai nostri sostenitori di interrompere l'attacco alla rete Internet Usa. Il messaggio è arrivato."