Gli F5 Lab di F5 Networks hanno recentemente analizzato il traffico destinato agli indirizzi IP europei dal primo dicembre 2018 al primo marzo 2019, confrontando le tendenze rispetto a Stati Uniti, Canada e Australia. Ne è emerso che la maggior parte dei cyber attacchi in Europa proviene dall’interno della stessa area geografica.
I Paesi da cui provengono gli attacchi
I sistemi europei sono presi di mira da indirizzi IP basati in tutto il mondo. Studiando una mappa di calore globale, F5 Labs ha scoperto però che i dati sui Paesi dai quali avevano avuto origine gli attacchi contro l’Europa erano maggiormente simili a quelli di Australia e Canada, rispetto agli Stati Uniti (che oggi ricevono molti meno attacchi provenienti da IP europei rispetto all’Europa stessa).
L’Olanda è il principale Paese da cui provenivano gli attacchi; nella top 10 sono presenti anche Stati Uniti, Cina, Russia, Francia, Iran, Vietnam, Canada, India e Indonesia. In particolare, risulta che l’Olanda abbia lanciato 1,5 volte più attacchi contro i sistemi europei rispetto a Stati Uniti e Cina, e sei volte più dell’Indonesia.
Le reti (ASN) e gli ISP al centro degli attacchi
La rete di HostPalace Web Solutions basata in Olanda (ASN 133229) ha lanciato il maggior numero di attacchi, seguita da Online SAS in Francia (ASN 12876). Al terzo posto NForce Entertainment (ASN 43350), attacchi anche in questo caso partiti dall’Olanda. Le tre aziende sono tutte provider di servizi di hosting web le cui reti compaiono regolarmente nelle lista degli F5 Labs dei top threat actor networks.
Il 72% degli ASN registrati sono provider di servizi Internet; il 28% sono fornitori di servizi di hosting web.
Nella sua analisi, gli F5 Labs hanno identificato anche i primi 50 indirizzi IP che hanno attaccato gli obiettivi europei, invitando le organizzazioni a controllare i log di rete per le connessioni che provengono da questi indirizzi IP. Allo stesso modo, chi possiede una rete dovrebbe ispezionare i propri indirizzi IP per identificare eventuali abusi.
Le principali porte prese di mira
Analizzando le porte che hanno subito attacchi, gli F5 Labs sono stati in grado di capire quali fossero le tipologie di sistemi maggiormente presi di mira. In Europa a subire più attacchi è stata la porta 5060, utilizzata dal servizio SIP (Session Initiation Protocol) per la connettività Voice over IP (VoIP) ai telefoni e ai sistemi di videoconferenza.
Questa porta è coinvolta in modo costante e aggressivo ogni volta che il traffico di attacco viene indirizzato in modo specifico contro un luogo e un evento di portata mondiale, come avvenuto ad esempio nel caso dei summit di Trump con Kim Jung Un o Vladimir Putin. Al secondo posto troviamo la porta 445 di Microsoft Server Message Block (SMB) seguita dalla porta 2222, che viene comunemente utilizzata come porta Secure Shell (SSH) non standard.
Come proteggersi
In base ai risultati di questa analisi, F5 consiglia alle organizzazioni di eseguire continuamente scansioni di vulnerabilità esterne per scoprire quali sistemi sono esposti pubblicamente e su quali porte specifiche.
A qualsiasi sistema esposto pubblicamente rispetto alle porte indicate come principali target dovrebbe essere assegnata la priorità, sia rispetto alla possibilità di essere disattivato dal firewall (come la porta Microsoft Samba 445 o le porte SQL 3306 e 1433) sia per la gestione delle vulnerabilità. Inoltre, le applicazioni Web che accettano il traffico sulla porta 80 dovrebbero essere protette con web application firewall, essere continuamente sottoposte a scansione delle vulnerabilità delle applicazioni Web e ottenere la priorità nella gestione delle vulnerabilità che comprende, ma non si limita, il bug fixing e il patching.
Gli F5 Labs hanno notato che molti degli attacchi alle porte che supportano i servizi di accesso come SSH sono del tipo “brute force”, quindi qualsiasi pagina di login pubblica dovrebbe disporre di una protezione adeguata contro questa tipologia di minaccia.
“Gli amministratori di rete e gli ingegneri della sicurezza dovrebbero esaminare i log di rete per individuare possibili connessioni agli IP più aggressivi che abbiamo identificato”, spiega Sara Boddy, Threat Research Director di F5 Labs. “Nel caso si subisca un attacco proveniente da uno di questi indirizzi IP, bisogna inviare subito una denuncia di abuso ai proprietari degli ASN e ISP, in modo che, come si spera, spengano il sistema e blocchino l’attacco.”
“Bloccare un IP può essere complicato, se si ha delle blocklist IP di grandi dimensioni, o se si rischia di bloccare indirizzi IP all’interno degli ISP che offrono servizi Internet a utenti che potrebbero essere anche clienti. In molti casi è probabile che il sistema da cui proviene l’attacco sia un dispositivo IoT infetto e l’utente/cliente e non sappia nemmeno di essere stato infettato.”
“Bloccare il traffico di intere ASN o ISP può risultare altrettanto problematico, perché bloccare l’intera rete impedirebbe a chi la utilizza di fare affari con la vostra azienda. A meno che non si tratti di un ISP che risiede in un Paese nel quale la vostra azienda non opera; in questo caso, il blocco della geolocalizzazione a livello di Paese può rappresentare un modo efficace per eliminare una grande quantità di traffico di attacco e salvare i sistemi dall’elaborazione non necessaria. Per questo motivo, è sempre preferibile interrompere il traffico basandosi sul modello di attacco rispetto alle caratteristiche della vostra rete e agli web application firewall.”