La mia comprensione dei worm come Mirai è la seguente:
- Prova a telnet / ssh in IP casuali utilizzando le credenziali utente / pass predefinite di vari produttori di router / IoT
- Se entri, fai cose cattive ™.
Sembra che gli obiettivi siano in genere dispositivi domestici / di consumo, che si trovano su una LAN domestica. Da Wikipedia:
[Mirai] primarily targets online consumer devices such as remote cameras and home routers.
Quindi ecco cosa non capisco. Perché una fotocamera / stampante / qualsiasi dispositivo remoto avrebbe mai avuto un IP pubblico? Sarebbero accessibili solo tramite NAT attraverso il gateway, giusto? Quindi una richiesta telnet sulla porta 23 non l'avrebbe mai raggiunta!
Ad esempio. Supponiamo di aver acquistato una fotocamera con credenziali telnet "root: 123456". Lo collego al mio wifi. Perché è importante per un worm Mirai al di fuori della rete che possiedo questa fotocamera vulnerabile? Se il worm ha provato a telnet con il mio IP pubblico, sarebbe solo in grado di provare a telnet nel mio router, non nella fotocamera!