Una nuova ricerca promossa dagli F5 Labs mostra come la diffusione delle Thingbot continui senza sosta e come svilupparle sia sempre più facile.
La sesta edizione del report “The Hunt for IoT” ha rilevato 26 nuove Thingbot, scoperte tra ottobre 2018 e gennaio 2019, che possono essere cooptate dagli hacker per diventare parte di botnet di oggetti in rete. Un dato allarmante se comparato alle solo sei scoperte in tutto l’anno nel 2017 e alle nove del 2016.
“Il numero di minacce IoT continuerà ad aumentare fino a quando non saranno i clienti a pretendere delle strategie di sviluppo più sicure per i dispositivi in produzione – ha affermato Sara Boddy, F5 Labs Research Director -. Sfortunatamente, questo processo non è ancora iniziato e dovranno passare ancora diversi anni prima di poter notare un impatto rilevante, con dispositivi IoT sicuri che riducono la superficie di attacco. Nel frattempo tutti, dagli hacker alle prime armi fino agli stati nazionali, continueranno a compromettere i dispositivi IoT”.
Quando gli F5 Labs hanno testato i dispositivi IoT utilizzati nei deployment mission-critical, per fornire ad esempio servizi Internet ai veicoli utilizzati in caso di emergenza, hanno appurato che il 62% di essi era vulnerabile anche se, teoricamente, proprio i sistemi critici dovrebbero essere quelli maggiormente protetti.
Secondo Gartner, entro il prossimo anno saranno in circolazione oltre 20 miliardi di dispositivi IoT.
Se confrontiamo questo dato con il 62% dei device considerati a rischio dagli F5 Labs arriviamo a ipotizzare una superficie di minaccia di almeno 12 miliardi di dispositivi IoT che potrebbe essere compromessa e sfruttata per gli attacchi.
Una analisi di DBS Bank prevede che in 10 anni arriveremo a un’adozione massiva dei dispositivi IoT che copriranno il 100% del mercato. Da questo punto di vista, il 2019 è considerato l’anno della svolta che vede il passaggio dai primi utenti a un numero maggiore di utilizzatori, con vendite e implementazioni di dispositivi IoT che crescono a un ritmo esponenziale.
L’eredità duratura di Mirai e l’Europa in prima linea
Mirai – la Thingbot più potente che abbia mai lanciato un attacco – ha gettato un’ombra lunga e influente nel panorama delle minacce informatiche, in parte a causa del modello di scansione distribuito che consente l’auto-riproduzione.
A partire dalla metà del 2017, l’Europa è diventata l’obiettivo più vulnerabile ai futuri attacchi, come dimostrano i dati di Baffin Bay Networks, partner degli F5 Labs, che indicano come la regione abbia un numero di scanner Mirai – dispositivi IoT compromessi che cercano di diffondere l’infezione – maggiore di qualsiasi altra area del mondo..
Non solo la minaccia originale di Mirai è ancora fortemente presente, ma ci sono anche una serie enorme di suoi derivati che è necessario prendere in considerazione.
L’88% di tutte le Thingbot note sono state scoperte dopo Mirai, in gran parte guidate dalla sua notorietà e dalla disponibilità del suo codice sorgente. Il 46% delle nuove Thingbot scoperte è una variante di Mirai, molto spesso in grado di fare molto di più che lanciare attacchi DDoS, ma effettuare deployment di proxy server, mining di criptovalute o installare altri bot.
Altri aspetti importanti che emergono dal report The Hunt for IoT sono:
• I dispositivi più attaccati. I router SOHO (Small Office / Home Office), le telecamere IP, i DVR, gli NVR e le TVCC sono le tipologie principali di dispositivi IoT compromessi dalle Thingbot.
• Lo spostamento dei metodi di attacco. Le Thingbot prendono di mira sempre di più i dispositivi IoT che utilizzano HTTP e sono esposti pubblicamente con UPnP, HNAP e SSH (servizi che non dovrebbero essere esposti pubblicamente). Il 30% delle nuove Thingbot scoperte si rivolge ai dispositivi IoT attraverso vulnerabilità note (Common Vulnerabilities and Exposures – CVE).
• Attacchi a basso costo e possibilità infinite. Una volta installato il malware su un dispositivo IoT, il bot contatterà il server C&C e scaricherà i suoi ordini (per attacchi DDos nella maggior parte dei casi).
Inoltre, le Thingbot distribuiscono server proxy da utilizzare per il lancio di attacchi, raccolgono informazioni dai dispositivi di attraversamento del traffico, criptano il traffico, effettuano mining di criptovalute e lanciando attacchi alle applicazioni Web.
In particolare, la vendita di servizi botnet è passata dai forum nascosti nel dark web alle piattaforme mainstream come Instagram, una mossa in linea con l’ascesa di personaggi definiti come “script-kiddie gamer”, che costruiscono e vendono botnet IoT con piani di abbonamento per i servizi botnet che possono costare solo $5 al mese.
• Mancanza di dettagli. Mancano molti dettagli su come operano le Thingbot appena scoperte. La buona notizia è che la comunità della sicurezza è in grado di scoprirle prima che l’attacco venga sferrato. In passato, la maggior parte delle Thingbot è stata scoperta investigando il traffico, svelando i bot, la tipologia di attacco e i dispositivi infettati.
Oggi, poter individuare i bot prima che sferrino l’attacco è positivo, tuttavia, i team di sicurezza spesso non riescono ad affrontare in tempo gli attacchi a causa delle leggi che regolano l’accesso non autorizzato a un sistema. Per poter comprendere veramente il comportamento dell’aggressore, infatti, dobbiamo analizzare o utilizzare i dispositivi infettati.
Per questo motivo, negli Stati Uniti, è stata proposta l’introduzione di una legge per i ricercatori etici che consenta loro di ottenere un “pass di libero accesso”. Ci sono ancora, infatti, casi in cui i ricercatori etici vengono accusati di crimini informatici.
“Aspettare che i produttori dei dispositivi IoT offrano prodotti sicuri o si affidino a esperti che implementino in modo efficace i controlli di sicurezza sui dispositivi IoT è una perdita di tempo. Le aziende colpite dagli attacchi che sfruttano l’IoT devono reagire ora – ha aggiunto Boddy -. Questo significa partire dagli attacchi più comuni lanciati dalle Thingbot: gli attacchi DDoS e alle applicazioni Web. Per gli attacchi DDoS, un cloud scrubbing provider è la strada migliore, principalmente perché gli attacchi che superano la capacità della maggior parte delle reti – a eccezione di quelle dei service provider e delle grandi banche – costano solo 20 dollari a lancio. Poi ci sono gli attacchi alle applicazioni Web, che oggi richiedono Web application firewall con rilevamento dei bot basato sul comportamento e blocco del traffico. Non ci sono scorciatoie con l’IoT ma è fondamentale non acquistate prodotti con vulnerabilità note, storie di exploit alle spalle o meccanismi di sicurezza scadenti e mettete sempre in quarantena o ritirate tutti i dispositivi che non possono essere protetti.”