Di Alberto Crivelli, Country Manager Italia di A10 Networks
Le nuove ondate di attacchi DDoS ai provider di servizi Internet a livello internazionale hanno messo in evidenza che gli attacchi continuano a crescere in frequenza, intensità e raffinatezza, e l’ultimo rapporto condotto da A10 Networks nel 2019 rileva che le tecniche sono sempre più distribuite, suggerendo alcune misure chiave che le aziende possono adottare per difendersi con successo.
IoT: un focolaio per le botnet DDoS
A10 Networks evidenzia che i dispositivi IoT e gli attacchi DDoS sono una combinazione perfetta. Con l’esplosione dell’Internet of Things (che cresce a una velocità di 127 dispositivi connessi al secondo e con un tasso destinato ad aumentare ulteriormente), gli aggressori prendono di mira i dispositivi connessi vulnerabili, tant’è che hanno iniziato a sviluppare un nuovo ceppo di malware chiamato Silex, specifico per i dispositivi IoT. Silex ha già attaccato 1.650 dispositivi in poco più di un’ora, cancellando il firmware dei dispositivi IoT, con una dinamica che ricorda il vecchio malware BrickerBot, che nel 2017 distrusse milioni di dispositivi.
Il rapporto sottolinea i primi tre percorsi attraverso cui si sono infiltrate famiglie di malware: due dei tre appartenevano a Mirai, con Olanda, Regno Unito, Stati Uniti, Germania e Russia come primi cinque paesi da cui sono partiti i malware.
La nuova minaccia IoT
Una nuova minaccia è emersa a causa dell’adozione a livello industriale di una tecnologia con scarsa sicurezza: l’implementazione UDP del Constrained Application Protocol (CoAP).
Si tratta di un protocollo di gestione machine-to-machine (M2M), implementato su dispositivi IoT a supporto di applicazioni per gestire l’energia intelligente e l’automazione degli edifici. CoAP è un protocollo implementato per TCP e UDP che non richiede l’autenticazione e genera una grande quantità di risposte rispetto a una piccola richiesta.
In questo modo, questa nuova minaccia, che non ha nulla a che fare con Mirai o malware, ha fatto sì che milioni di dispositivi IoT diventassero come cannoni armati amplificando in maniera esponenziale le minacce.
A10 ha identificato oltre 500.000 dispositivi IoT vulnerabili con una dimensione di risposta media di 749 byte. Il rapporto evidenzia inoltre che il 98% delle minacce CoAP proviene da Cina e Russia, con la capacità di amplificare di 35 volte.
L’orizzonte 5G
Ericsson ha recentemente previsto che il numero di dispositivi IoT con connessione cellulare raggiungerà i 4,1 miliardi entro il 2024. Il 5G, con una velocità maggiore di processare i dati e una latenza più bassa, sarà il motore principale di questa rapida espansione di dispositivi interconnessi. Se da un lato questa è una grande notizia per creare un mondo aperto e dinamico, dall’altro lato vedremo aumentare anche la disponibilità di attacchi DDoS per nuove minacce.
Abbiamo visto i gestori di telefonia mobile ospitare attacchi DDoS che sono andati alle stelle negli ultimi sei mesi. Aziende come T-Mobile, Guangdong Mobile e China Mobile sono state colpevoli di amplificare questi attacchi. Con il 5G, l’automazione intelligente aiutata dal machine learning e dall’intelligenza artificiale diventerà essenziale per rilevare e mitigare le minacce. I dispositivi IoT su sistema operativo Linux sono già l’obiettivo di una nuova famiglia di malware, dedicata principalmente all’esecuzione di attacchi DDoS.
L’attacco amplificato
Gli attacchi che hanno come effetto una grande amplificazione sfruttano la natura senza connessione del protocollo UDP con richieste falsificate a server aperti non configurati correttamente su Internet.
Gli aggressori inviano volumi di piccole richieste, utilizzando l’indirizzo IP della vittima falsificata, ai server esposti, che sono stati presi di mira perché configurati in modo tale da poter amplificare l’attacco. Questi attacchi hanno provocato un volume di attacchi da record, come l’attacco GitHub basato su Memcached da 1,3 Tbps nel 2018 e tengono conto di numerosi attacchi DDoS.
Lotta contro il sistema
Ogni trimestre, i risultati della nostra ricerca sugli attacchi DDoS indicano una cosa: la necessità di una maggiore sicurezza. La sofisticata intelligenza di armi DDoS, combinata con il rilevamento delle minacce in tempo reale e l’estrazione automatica della tipologia di queste minacce, consentirà alle organizzazioni di difendersi anche dagli attacchi DDoS multi-vettore più massicci, indipendentemente da dove provengano.
L’intelligence sulle armi DDoS può essere utilizzata per un approccio proattivo alle difese DDoS creando liste nere basate su feed attuali e accurati di indirizzi IP di botnet DDoS e server vulnerabili disponibili, comunemente utilizzati per gli attacchi DDoS. Dal momento che gli attacchi DDoS non scompaiono, è tempo che le organizzazioni siano al pari della sofisticatezza dei loro aggressori attuando sistemi di difesa più forti, soprattutto quando le nuove tecnologie come l’IoT e il 5G si stanno progressivamente affermando.