Gli F5 Labs hanno rilevato un forte aumento degli attacchi DDoS contro i service provider. L’analisi ha preso in esame i dati relativi agli incidenti di sicurezza informatica dei service provider di rete mobile e fissa, clienti di F5, registrati nell’arco degli ultimi tre anni mostrando quale sia stata l’evoluzione delle minacce e rilevando come gli attacchi brute force, sebbene siano ancora i più numerosi, stiano lasciando il posto ad altre minacce consistenti, come lo sfruttamento dei dispositivi compromessi e gli attacchi di injection.
“Negli ultimi anni i service provider hanno fatto passi da gigante nella difesa delle proprie reti ma c’è ancora molto su cui lavorare, spiega Malcolm Heath, Senior Threat Research Evangelist degli F5 Labs. In particolare, la difesa delle reti diventa un aspetto sempre più cruciale quando si tratta di intercettare gli attacchi in anticipo senza compromettere la capacità di scalare e soddisfare le richieste dei clienti”.
Attacchi DDoS: minacce più che triplicate in soli due anni
Gli attacchi DDoS hanno rappresentato di gran lunga la maggiore minaccia per i service provider tra il 2017 e il 2019, costituendo il 49% di tutti gli incidenti informatici rilevati nel periodo.
Nel 2019 si è registrato un forte balzo in avanti del numero di queste minacce, che hanno raggiunto il 77% della totalità degli incidenti informatici, contro il solo 25% del 2017.
Gli attacchi denial-of-service che avvengono all’interno dello spazio dei service provider tendono a coinvolgere l’interfaccia del cliente (prendendo di mira ad esempio il DNS) o a focalizzarsi su alcune applicazioni, ad esempio quelle che consentono agli utenti di visualizzare le fatture o monitorare l’utilizzo.
La maggior parte degli attacchi inizia quindi prendendo di mira la base degli utenti abbonati e molti di essi, in particolare gli incidenti legati al DNS, sfruttano le risorse del service provider come ponte per muovere ulteriori attacchi. Gli F5 Labs hanno rilevato che la maggior parte degli incidenti segnalati sfruttavano due tecniche di attacco DDoS sempre più diffuse che prendono di mira il DNS: “reflection” e “water torture”.
La prima avvisaglia di un attacco in corso è di solito rappresentata dall’aumento del traffico di rete scoperto dal team di operations del service provider. Altri campanelli di allarme da tenere in considerazione sono i reclami dei clienti, relativi ad esempio alla lentezza del servizio di rete o all’aumento dei tempi di risposta dei server DNS.
“L’abilità di confrontare rapidamente le caratteristiche del traffico di rete normale con le variazioni che si verificano proprio durante l’attacco è di fondamentale importanza, ha spiegato Heath. È inoltre indispensabile avere a disposizione, attraverso procedure di logging consistenti, informazioni dettagliate sui servizi di rete come i DNS, al fine di intercettare le richieste insolite”.
Attacchi ai servizi di autenticazione: sempre significativi, ma in calo
Gli attacchi brute force con l’inserimento forzato di un numero enorme di nomi utente e password contro un endpoint di autenticazione rappresentano la seconda tipologia di attacco più diffuso.
Chi attacca sfrutta spesso credenziali ottenute nel corso di altre violazioni informatiche, con una tattica nota come “credential stuffing” o utilizza semplicemente liste di credenziali predefinite (come admin/admin), password di uso comune o generate casualmente.
Gli F5 Labs hanno osservato un netto calo degli attacchi brute force, con una percentuale su tutti gli incidenti che è passata dal 72% nel 2017 ad appena il 20% nel 2019. Tuttavia, si è registrato un aumento degli attacchi nel caso specifico il settore finanziario.
Anche rispetto all’autenticazione, i primi indizi di un attacco in corso sono rappresentati da reclami dei clienti che segnalano, ad esempio, il blocco del proprio account o difficoltà ad accedere.
“Il rilevamento precoce dell’attacco è ancora una volta la chiave del successo, ha dichiarato Heath. Un aumento dei tentativi di login falliti in un periodo di tempo breve rispetto ai normali livelli di attività dovrebbe essere subito segnalato, così da prendere i provvedimenti in maniera tempestiva. È anche importante diffondere l’uso dell’autenticazione a più fattori per tenere a bada gli aggressori più tenaci”.
Dispositivi compromessi, attacchi web e bot IoT
Tra gli altri attacchi registrati dagli F5 Labs figurano quelli che sfruttano i dispositivi compromessi all’interno dell’infrastruttura del service provider, che nel 2018 hanno costituito l’8% degli incidenti. Questo tipo di attacco è generalmente rilevato a seguito di un aumento del traffico in uscita, dal momento che i dispositivi compromessi sono utilizzati per scagliare attacchi denial of service.
Gli F5 Labs hanno inoltre rilevato che gli attacchi web hanno rappresentato l’8% di tutti gli incidenti informatici nel 2019, con le injection che costituiscono una vera e propria tattica specifica. Gli attacchi cercano di sfruttare i bug nel codice delle applicazioni web per sollecitare l’esecuzione dei comandi. Nel caso di una injection SQL i tentativi sono svolti per eseguire comandi sui server database di back-end, il che spesso porta all’esfiltrazione dei dati. Tali attacchi sono di solito sventati dalle tecnologie WAF o comunque intercettati tramite avvisi lanciati dai log dei web server.
Sul fronte dell’Internet of Things, l’influenza di un bot di nome Annie, una variante rapida di Mirai, ha esercitato una certa influenza. Scoperto per la prima volta nel 2016, il bot ha preso di mira i protocolli TR-069 e TR-064 utilizzati dagli ISP per gestire a distanza grandi quantità di router sulla porta 7547. Anche se siamo ben lontani da quanto registrato nel 2016, gli attacchi che sfruttano la porta 7547 sono ancora diffusi e continuano ad intensificarsi nel 2019. Anche l’interesse degli aggressori per la porta di gestione remota Mikrotik 8291 è aumentato in modo esponenziale negli ultimi sei mesi.
Secondo gli F5 Labs, nell’ultimo trimestre del 2019 le porte 7547 e 8291 sono state i principali bersagli sfruttati in Medio Oriente e in America Latina, il che indica un uso variabile delle porte da regione a regione.
“Gli ISP in Europa hanno sicuramente imparato dalla lezione di Annie anni fa, ma gli aggressori continuano a concentrare i propri sforzi là dove c’è da guadagnare. Per questo ritengo che gli Internet Service Provider debbano impegnarsi a fondo per potenziare sempre di più le proprie strategie di difesa”, conclude Heath.
