news

I dispositivi IoT sono l’obiettivo principale degli hacker

Una ricerca di F5 Labs evidenzia come gli attacchi multi-scopo tramite Thingbot stiano minando la stabilità di Internet

Pubblicato il 21 Dic 2018

f5 labs

Una ricerca degli F5 Labs rivela che i dispositivi IoT sono diventati il principale obiettivo colpito dai cybercriminali, superando i web and application services e i server di posta elettronica. Gartner stima che entro il 2020 il numero di dispositivi IoT raggiungerà i 20,4 miliardi, con un tasso di crescita sbalorditivo del 143% in soli tre anni.

«Già oggi il numero dei dispositivi IoT è maggiore di quello delle persone e si stanno moltiplicando a un ritmo di crescita superiore a quello della popolazione globale. Il controllo della loro sicurezza, sempre più lassista, comporta rischi potenziali anche per le vite umane, basti pensare ad esempio ai casi in cui vengono compromessi i dispositivi IoT che offrono gateway alle infrastrutture critiche».

I laboratori di ricerca di F5 Networks, nella quinta edizione del proprio report, The Hunt for IoT, hanno identificato 13 nuove Thingbot che possono essere cooptate dagli hacker e che vanno ad aggiungersi alle 6 individuate nel 2017 e alle 9 del 2016.

I trend degli attacchi

Secondo F5 Labs, la Spagna è al primo posto per numero di attacchi subiti negli ultimi 18 mesi, infatti verso questo Paese è indirizzato l’80% di tutto il traffico degli attacchi IoT monitorato dal 1 gennaio al 30 giugno 2018. Gli altri Paesi che subiscono pressioni consistenti sono Russia, Ungheria, Stati Uniti e Singapore.

Sicuramente la maggior parte degli attacchi ha avuto origine in Brasile (18% dei casi), mentre la Cina è stata il secondo maggiore colpevole (15%), seguita da Giappone (9%), Polonia (7%), Stati Uniti (7%) e Iran (6%).

I dispositivi IoT che sono stati maggiormente infettati sono i router delle PMI, le telecamere dotate di IP, i videoregistratori DVR e le telecamere a circuito chiuso.

I DDoS (Distributed Denial of Service) sono il metodo di attacco più utilizzato anche se durante il 2018 i cybercriminali hanno iniziato ad adattare le Thingbot sotto il loro controllo includendo delle tattiche aggiuntive, per esempio l’installazione di server proxy per lanciare attacchi che sfruttano il crypto-jacking, l’installazione di nodi Tor e packet sniffer, i dirottamenti DNS, credential collection e stuffing e i trojan per le frodi. Il metodo di attacco più utilizzato di sempre per scoprire e infettare i dispositivi IoT è avviare scansioni Internet globali alla ricerca di servizi di amministrazione remota aperti.

Un aspetto che desta preoccupazione è il rischio significativo e sempre più crescente evidenziato dal report che riguarda le infrastrutture IoT – i server e i database ai quali si connettono i dispositivi IoT – che vengono definiti come: «vulnerabili allo stesso modo sia agli attacchi di autenticazione tramite credenziali deboli sia ai dispositivi IoT stessi». Gli F5 Labs,nelle loro analisi hanno scoperto che i gateway IoT cellulari sono vulnerabili quanto i tradizionali dispositivi IoT basati su Wi-Fi e via cavo, infatti il 62% dei dispositivi testati è risultato vulnerabile agli attacchi di accesso remoto che sfruttavano le credenziali deboli impostate di default dai fornitori.

Telnet e attacchi dai nuovi indirizzi IP

Nel mese marzo 2018 gli F5 Labs hanno registrato un forte aumento del traffico di attacco, seguito poi da un calo del 94% del volume totale degli attacchi Telnet nel secondo trimestre dell’anno. Si tratta di un dato significativo, perché la frequenza degli attacchi Telnet diminuisce di solito quando il cyber crimine sposta la sua attenzione dalla scansione di ricognizione agli attacchi mirati per costruire e implementare le Thingbot.

C’è da dire che la maggior parte degli attacchi ha ancora origine nelle reti di provider di servizi Internet e di telecomunicazioni che offrono servizi Internet domestici a piccole imprese e grandi aziende ed il trend è rimasto lo stesso negli ultimi 18 mesi e si prevede continui in questa direzione. Furbescamente, gli aggressori in genere noleggiano sistemi nei centri di hosting per avviare la costruzione di una botnet e i loro sforzi vengono poi declinati sui dispositivi IoT nelle reti di TLC.

Non ci siamo liberati di Mirai

Un’altra osservazione interessante è come si sia registrata solo una leggera diminuzione dell’impatto globale di Mirai, la ThingBot più potente ad avere mai lanciato un attacco. Al momento l’Europa rimane l’unica regione in cui le infezioni Mirai scanner sono rimaste relativamente stabili da dicembre 2017 a giugno 2018 e la minaccia del bot originale non solo è ancora presente con forza, ma ci sono almeno altre 10 diramazioni di Mirai da considerare (Annie, Satori / Okiru, Persirai, Masuta, Pure Masuta, OMG, SORA, OWARI, Omni e Wicked). Come se ciò non bastasse, i cloni di Mirai sono in grado di fare molto di più che lanciare attacchi DDoS e possono distribuire server proxy, estrarre le cripto-valute e installare altre bot.

Un futuro incerto

«È molto preoccupante: abbiamo a che fare con oltre 8 miliardi di dispositivi IoT in tutto il mondo che, nella maggior parte dei casi, privilegiano la facilità di accesso alla sicurezza», ha aggiunto Warburton. «Le organizzazioni devono prepararsi all’impatto che questi avranno, perché le opportunità di attacco dell’IoT sono praticamente infinite e il processo per creare le Thingbot è sempre più diffuso. Sfortunatamente, prima che vengano raggiunti significativi progressi dal punto di vista della sicurezza, ci troveremo ad affrontare sostanziali perdite di guadagno per i produttori di dispositivi IoT o costi significativi per le organizzazioni che implementano questi dispositivi. Nel frattempo, è essenziale disporre di controlli di sicurezza in grado di rilevare e scalare in base alla portata dell’attacco delle Thingbot. Come sempre, avere una difesa dalle bot al livello del perimetro dell’applicazione è fondamentale, così come adottare una soluzione DDoS scalabile».

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3