Ecco come gli attacchi multi-scopo tramite Thingbot stanno minando la stabilità di Internet
Una ricerca degli F5 Labs ha rivelato che i dispositivi IoT sono diventati il principale target colpito dai criminali informatici, superando i web and application services e i server di posta elettronica. Gartner stima che entro il 2020 il numero di dispositivi IoT raggiungerà i 20,4 miliardi, con un tasso di crescita sbalorditivo del 143% in soli tre anni.
“Già oggi il numero dei dispositivi IoT è maggiore di quello delle persone e si stanno moltiplicando a un ritmo di crescita superiore a quello della popolazione globale”, spiega David Warburton, Senior EMEA Threat Research Evangelist di F5 Network. “Il controllo della loro sicurezza, sempre più lassista, comporta rischi potenziali anche per le vite umane, basti pensare ad esempio ai casi in cui vengono compromessi i dispositivi IoT che offrono gateway alle infrastrutture critiche”.
Nella quinta edizione del proprio report, The Hunt for IoT, i laboratori di ricerca di F5 Networks hanno identificato 13 nuove Thingbot che possono essere cooptate dagli hacker e che vanno ad aggiungersi alle 6 individuate nel 2017 e alle 9 del 2016.
I trend degli attacchi
Secondo i dati degli F5 Labs, la Spagna è al primo posto per numero di attacchi subiti negli ultimi 18 mesi. Verso questo Paese è indirizzato l’80% di tutto il traffico degli attacchi IoT monitorato dal 1 gennaio al 30 giugno 2018. Altri Paesi che subiscono pressioni consistenti sono Russia, Ungheria, Stati Uniti e Singapore.
La maggior parte degli attacchi ha avuto origine in Brasile (18% dei casi). La Cina è stata il secondo maggiore colpevole (15%), seguita da Giappone (9%), Polonia (7%), Stati Uniti (7%) e Iran (6%).
I dispositivi IoT che sono stati maggiormente infettati e coinvolti nelle bot sono i router delle piccole e medie imprese, le telecamere dotate di IP, i videoregistratori DVR e le telecamere a circuito chiuso.
I DDoS (Distributed Denial of Service) si confermano come metodo di attacco più utilizzato anche se nel corso del 2018 i cyber criminali hanno iniziato ad adattare le Thingbot sotto il loro controllo includendo delle tattiche aggiuntive, tra cui l’installazione di server proxy per lanciare attacchi che sfruttano il crypto-jacking, l’installazione di nodi Tor e packet sniffer, i dirottamenti DNS, credential collection e stuffing e i trojan per le frodi.
Il metodo di attacco più comune utilizzato per scoprire e infettare i dispositivi IoT è avviare scansioni Internet globali alla ricerca di servizi di amministrazione remota aperti.
I protocolli Telnet e Secure Shell (SSH) sono stati i più sfruttati, seguiti dai protocolli HNAP (Home Network Administration Protocol), Universal Plug and Play (UPnP), iSOAP (Simple Object Access Protocol) e da molte altre porte TCP (Transmission Control Protocol) utilizzate dai dispositivi IoT. Le vulnerabilità più comuni e specifiche di alcuni dispositivi IoT hanno rappresentato anch’esse importanti vie di sfruttamento.
Un aspetto preoccupante è il rischio significativo e crescente evidenziato dal report che riguarda le infrastrutture IoT – i server e i database ai quali si connettono i dispositivi IoT – che vengono definiti come: “vulnerabili allo stesso modo sia agli attacchi di autenticazione tramite credenziali deboli sia ai dispositivi IoT stessi“. Nelle loro analisi, gli F5 Labs hanno scoperto che i gateway IoT cellulari sono vulnerabili quanto i tradizionali dispositivi IoT basati su Wi-Fi e via cavo. Il 62% dei dispositivi testati è risultato infatti vulnerabile agli attacchi di accesso remoto che sfruttavano le credenziali deboli impostate di default dai fornitori. Questi dispositivi fungono da reti out-of-band, creano backdoor di rete e sono ampiamente diffusi in tutto il mondo.
Telnet e attacchi dai nuovi indirizzi IP
Nel mese marzo 2018 gli F5 Labs hanno registrato un forte aumento del traffico di attacco seguito poi da un calo del 94% del volume totale degli attacchi Telnet nel secondo trimestre dell’anno. È un dato significativo, perché la frequenza degli attacchi Telnet diminuisce di solito quando il cyber crimine sposta la sua attenzione dalla scansione di ricognizione agli attacchi mirati per costruire e implementare le Thingbot.
È interessante notare che i primi 50 indirizzi IP di attacco registrati sono tutti nuovi. Questo rappresenta un grande cambiamento rispetto alle quattro edizioni precedenti del report IoT degli F5 Labs in cui apparivano costantemente gli stessi indirizzi IP. Secondo i ricercatori di F5 questo significa la comparsa di una nuova serie di minacce o il passaggio di quelle attuali a nuovi sistemi. Altri nuovi sviluppi includono l’introduzione di indirizzi IP di attacco provenienti da Paesi come Iran e Iraq.
La maggior parte degli attacchi ha ancora origine nelle reti di provider di servizi Internet e di telecomunicazioni che offrono servizi Internet domestici a piccole imprese e grandi aziende. Il trend è rimasto il medesimo negli ultimi 18 mesi e si prevede continui in questa direzione. Gli aggressori in genere noleggiano sistemi nei centri di hosting per avviare la costruzione di una botnet e i loro sforzi vengono poi declinati sui dispositivi IoT nelle reti di TLC.
Non ci siamo liberati di Mirai
Un’altra osservazione interessante è come si sia registrata solo una leggera diminuzione dell’impatto globale di Mirai, che è la ThingBot più potente ad avere mai lanciato un attacco. Anche se il numero dei sistemi Mirai scanner in tutto il mondo è leggermente diminuito, l’Europa rimane l’unica regione in cui le infezioni Mirai scanner sono rimaste relativamente stabili da dicembre 2017 a giugno 2018.
Non solo la minaccia del bot originale è ancora presente con forza, ma ci sono almeno altre 10 diramazioni di Mirai da considerare (Annie, Satori / Okiru, Persirai, Masuta, Pure Masuta, OMG, SORA, OWARI, Omni e Wicked). Inoltre, i cloni di Mirai sono in grado di fare molto di più che lanciare attacchi DDoS e possono distribuire server proxy, estrarre le cripto-valute e installare altre bot.
Un futuro incerto
“È molto preoccupante: abbiamo a che fare con oltre 8 miliardi di dispositivi IoT in tutto il mondo che, nella maggior parte dei casi, privilegiano la facilità di accesso alla sicurezza”, ha aggiunto Warburton. “Le organizzazioni devono prepararsi all’impatto che questi avranno, perché le opportunità di attacco dell’IoT sono praticamente infinite e il processo per creare le Thingbot è sempre più diffuso. Sfortunatamente, prima che vengano raggiunti significativi progressi dal punto di vista della sicurezza, ci troveremo ad affrontare sostanziali perdite di guadagno per i produttori di dispositivi IoT o costi significativi per le organizzazioni che implementano questi dispositivi. Nel frattempo, è essenziale disporre di controlli di sicurezza in grado di rilevare e scalare in base alla portata dell’attacco delle Thingbot. Come sempre, avere una difesa dalle bot al livello del perimetro dell’applicazione è fondamentale, così come adottare una soluzione DDoS scalabile”.
