La propagazione di botnet in ambiente IoT utilizza questo semplice espediente, che si rivela assai efficace

Shadow IoT: è boom di dispositivi non autorizzati

A cura di Matt Bing, Security Researcher di NETSCOUT

L’appropriazione delle combinazioni di username e password impostate in fabbrica continua a rappresentare una strategia vincente per la propagazione delle botnet in ambiente IoT (Internet of Things). Gli operatori delle botnet che dispongono degli elenchi migliori producono le botnet più grandi e ottengono così una maggiore potenza di fuoco per sferrare nuovi attacchi DDoS. I bot rivolti ai dispositivi IoT non fanno distinzioni: scelgono casualmente un indirizzo da colpire e passano in rassegna l’elenco di username e password a loro disposizione fino a quando non rinunciano all’attacco o riescono invece a infettare il dispositivo preso di mira. Nel mese di settembre, abbiamo osservato 1065 combinazioni univoche di username e password in 129 paesi. Facendo un passo indietro ed esaminando i trend regionali sul malware relativi alle combinazioni di username e password osservate, abbiamo riscontrato alcune affinità locali per diverse tipologie di dispositivi IoT.

  • L’interrogazione delle botnet ha rivelato che 1005 combinazioni di username e password, sul totale di 1065 combinazioni osservate, non erano incluse nell’elenco di default di Mirai.
  • Le combinazioni utilizzate in diverse regioni delineano alcuni trend relativi agli impieghi dei dispositivi.
  • Gli attacchi dei bot che utilizzano specifiche password impostate dal produttore sono spesso perpetrati da dispositivi compromessi in modo simile.

Il malware IoT Mirai è comparso sulle scene a fine 2016 e ha dato successivamente vita a diverse varianti, il cui successo si fonda sostanzialmente sullo stesso semplice metodo di propagazione: l’uso di username e password preimpostati. Alcune varianti del malware si sono evolute per utilizzare exploit mirati alle vulnerabilità esistenti, tuttavia una banale combinazione di username e password impostata in fabbrica continua a rappresentare uno strumento incredibilmente efficace.

Mirai ha compilato un elenco delle combinazioni di username e password utilizzate, che è stato inserito nel codice sorgente reso pubblico. Con questo codice, qualsiasi individuo in possesso di qualche competenza tecnica ha la possibilità di costruire la propria botnet IoT. Gli operatori più rapidi hanno affollato velocemente il panorama e i bot IoT si sono diffusi a macchia d’olio. Alcuni criminali hanno compreso che, utilizzando un proprio elenco personalizzato di username e password, sarebbero riusciti a evolversi infettando i dispositivi che gli altri non riuscivano a colpire.

Raccogliendo le combinazioni di username e password utilizzate dal malware IoT è possibile ottenere un fertile terreno di analisi. È sufficiente emulare il protocollo Telnet quanto basta a carpire username e password (e molto altro!): i bot saranno lieti di condividere la propria hit list con chiunque sia interessato. Una volta ottenuto un numero adeguato di dati, è possibile osservare alcuni trend.

Vediamo i dati raccolti nel mese di settembre 2018. Le prime 5 combinazioni di username e password sono davvero poco sorprendenti: admin/admin, guest/12345, root/vizxv, root/xc3511 e support/support Queste combinazioni erano contenute nel codice sorgente originale di Mirai e due di esse (vizxv e xc3511) riguardano i videoregistratori che diedero fama al bot Mirai originale.

Gli username e le password che non compaiono nel codice sorgente originale di Mirai sono i più interessanti. L’elenco comprende combinazioni di username e password di base (default/default e root/) e specifiche (root/1001chin e root/taZz@23495859). Le password più specifiche si riferiscono alle impostazioni di fabbrica di determinati dispositivi. Negli ultimi due anni, gli esecutori degli attacchi si sono impegnati per arruolare nuovi dispositivi nel proprio esercito.

Se osserviamo una mappa degli attacchi di forza bruta su Telnet, vedremo che i paesi principali sono la Russia, la Cina, il Brasile, gli Stati Uniti e la Corea del Sud. Cosa possiamo dedurre sulle combinazioni di username e password utilizzate dai bot in base alla rispettiva ubicazione geografica?

Quando un bot automatizzato come Mirai tenta un attacco indesiderato, è probabile che il dispositivo che cerca di forzare la serratura sia vittima dello stesso identico attacco. Infatti, è possibile che il dispositivo che sta sferrando l’attacco sia già stato inglobato nella botnet attraverso lo stesso attacco, forse addirittura attraverso la stessa combinazione di username e password. Alcuni dispositivi sembrano essere più diffusi in alcuni paesi per ragioni di disponibilità o popolarità.

Ad esempio, la combinazione root/20080826 osservata principalmente in Russia risulta appartenere a un dispositivo chiamato TM02 TripMate, un router da viaggio.  Analogamente, la combinazione vstarcam2015/20150602 è la parola magica che permette di accedere a una webcam. Entrambi i dispositivi sono disponibili anche negli Stati Uniti, ma sono forse più popolari in Russia. È improbabile che si tratti di attività di scansione mirate e non del comportamento di un bot, considerata la buona distribuzione delle fonti. I dati sono stati filtrati per eliminare il rumore di sottofondo, come ad esempio un singolo IP italiano che ha sferrato ripetuti attacchi su Internet per diversi giorni sfruttando la combinazione /. Altri casi sono più chiari, come ad esempio la combinazione telecomadmin/admintelecom utilizzata per i dispositivi Huawei che sono più diffusi all’esterno dei paesi occidentali.

I bot IoT utilizzano un approccio diretto alla propagazione: scelgono un obiettivo in modo casuale e continuano a tentare di colpirlo finché l’attacco non riesce o l’elenco non si esaurisce. Fino a quando i criminali informatici non adotteranno un metodo più sofisticato, i ricercatori che operano nel campo della sicurezza potranno identificare i loro obiettivi con l’ausilio degli honeypot. Pur non rappresentando una scienza esatta, lo studio del comportamento delle botnet IoT può aiutarci a comprendere meglio le tecniche di individuazione degli obiettivi e le metodologie impiegate dagli operatori delle botnet. Dall’analisi di questi trend a livello globale e regionale emerge un dilagante ecosistema IoT, pronto a essere depredato.