Nel 2017 gli attacchi di brute force Telnet contro i dispositivi IoT sono aumentati del 249%

Thingbot

Con la diffusione sempre più capillare di dispositivi IoT aumentano anche le vulnerabilità: è questo il tema della nuova edizione del Threat Intelligence Report di F5 Networks. Il report spiega perché le aziende in tutto il mondo non possono più ignorare le Thingbot, che si avvalgono esclusivamente di dispositivi IoT e che stanno rapidamente diventando il veicolo di diffusione preferito delle minacce cyber da parte dei malintenzionati che creano le botnet.

In un confronto anno su anno (2016-2017), i ricercatori hanno rilevato che gli attacchi di brute force Telnet contro i dispositivi IoT sono aumentati del 249%. Il 44% del traffico di attacco ha avuto origine in Cina da indirizzi IP cinesi. Gli altri Paesi ai primi posti in termini di traffico maligno sono gli Stati Uniti e la Russia.

Alcuni indirizzi IP e reti di attacco sono stati segnalati ripetutamente nel corso degli ultimi due anni, a prova del fatto che il traffico dannoso passa inosservato o viene consapevolmente permesso.

I paesi più colpiti sono Stati Uniti, Singapore, Spagna e Ungheria. Tuttavia, nel mirino delle Thingbot non vi è un Paese in particolare; ciascuna delle prime dieci nazioni elencate nel report è stata colpita con una percentuale ridotta rispetto agli attacchi complessivi, tranne la Spagna, che ha subito il 22% degli attacchi totali nel mese di dicembre. Questo significa che i dispositivi IoT vulnerabili sono ampiamente dispersi in tutto il mondo.

Nell’ultima metà del 2017, si è registrata una diminuzione del volume di attacchi rispetto al primo semestre dell’anno (calo del 77% dal primo al quarto trimestre). Ciononostante, i livelli di attacco sono stati ancora maggiori dei picchi ottenuti con Mirai, diventata famosa nel settembre del 2016 per essersi impossessata di centinaia di migliaia di dispositivi IoT, come CCTV, router e DVR.

Basandosi sul livello di traffico osservato tra luglio e dicembre 2017, gli F5 Labs hanno stabilito che sono state create molte nuove Thingbot di ampie dimensioni. Inoltre, sottolineano che Mirai non ha mai attaccato sfruttando il suo pieno potenziale. In futuro, le potenzialità distruttive dell’IoT sono destinate a esplodere in scala.

Gartner ha recentemente dichiarato che oggi i dispositivi IoT in uso sono 8,4 miliardi e che il numero dovrebbe crescere fino a raggiungere 20,4 miliardi entro il 2020. IHS stima 30 miliardi di dispositivi IoT entro il 2020, mentre il produttore di semiconduttori SoftBank ne stima un trilione entro il 2035.

“Dobbiamo ancora raggiungere i livelli di adozione di massa dei dispositivi IoT”, afferma Sara Boddy, Director, F5 Labs Threat Research. “Ma se non modifichiamo i nostri standard di sviluppo ora, metteremo sul mercato dispositivi IoT instabili con una rapidità dalle due alle tre volte maggiore di prima, che però saranno compromessi alla stessa velocità. Questa è la perfetta formula per teorizzare nel breve futuro il caos tra il mondo reale e quello virtuale!”

Telnet: la fine degli obiettivi di più facile portata?

Fino ad oggi il protocollo Telnet si è dimostrato valido per un approccio coerente al problema IoT, ma gli F5 Labs hanno scoperto che i cybercriminali stanno modificando le proprie tattiche aumentando velocità e varietà.

“Abbiamo osservato gli aggressori utilizzare altri metodi per compromettere i dispositivi IoT per almeno un anno”, aggiunge Sara Boddy. “Si tratta di metodi semplici da un punto di vista tecnico, perché richiedono soltanto qualche passaggio aggiuntivo nel piano di attacco. Inoltre, interessano un minor numero di dispositivi poiché prendono di mira porte e protocolli non-standard, produttori specializzati, particolari tipologie di dispositivi o modelli.”

Gli F5 Labs ritengono, ad esempio, che almeno 46 milioni di router domestici siano vulnerabili a un attacco Command Injection remoto contro i protocolli personalizzati di gestione remota TR-069 e TR-064. Questi protocolli furono creati perché gli ISP (Internet Service Provider) potessero gestire i router installati nelle case dei loro clienti e furono sfruttati dalla Thingbot Annie, che causò interruzioni di servizio diffuse per i clienti di diverse aziende leader in ambito telco. Annie è una delle cinque Thingbot identificate come spin-off di Mirai, che ne sfruttano diverse parti (le altre sono Persirai, Satori, Masuta e Pure Masuta). Solo Persirai e Satori attaccano il protocollo Telnet per l’exploit iniziale dei dispositivi.

È molto probabile che le Thingbot abbiano lanciato attacchi di cui non verremo mai a conoscenza, e i loro ideatori ne stiano raccogliendo i benefici. Il mining di criptovalute, ad esempio, è un caso di attacco IoT che è probabile passa inosservato se non causa un impatto notevole al cliente come un rallentamento percepibile delle prestazioni dei dispositivi”, spiega Sara Boddy. “Tutti i professionisti di sicurezza, come gli sviluppatori di machine learning e intelligenza artificiale, dovrebbero lavorare insieme per sviluppare controlli di sicurezza IoT all’avanguardia. Il futuro ha bisogno di reti neurali IoT che imitino, ad esempio, il modo in cui le reti fungine mantengono rigogliosi gli ambienti ecologici.”

I migliori consigli per le aziende che cercano di evitare le Thingbot sono assicurare la ridondanza dei servizi critici nel caso in cui i service provider siano presi di mira e mitigare gli attacchi legati al furto di identità, utilizzando controlli credential stuffing e autenticazione multi-fattore.

Inoltre, è importante implementare la decrittazione all’interno della rete per identificare il traffico malevolo nascosto nei flussi crittografati e garantire che i dispositivi connessi alla rete passino attraverso sistemi di prevenzione e rilevamento degli eventi di information security. Infine, è fondamentale condurre analisi regolari della sicurezza dei dispositivi IoT, testare i prodotti IoT prima dell’uso, e predisporre programmi di formazione accurati per i propri dipendenti.