F5 Labs spiega come la diffusione delle Thingbot continui senza sosta e come svilupparle sia sempre più facile per i cybercriminali.
La sesta edizione del report The Hunt for IoT ha rilevato 26 nuove Thingbot, scoperte tra ottobre 2018 e gennaio 2019, che possono essere cooptate dagli hacker per diventare parte di botnet di oggetti in rete. Un dato allarmante se comparato alle solo sei scoperte in tutto l’anno nel 2017 e alle nove del 2016.
Quando gli F5 Labs hanno testato i dispositivi IoT utilizzati nei deployment mission-critical, per fornire ad esempio servizi Internet ai veicoli utilizzati in caso di emergenza, hanno appurato che il 62% di essi era vulnerabile anche se, teoricamente, proprio i sistemi critici dovrebbero essere quelli maggiormente protetti.
Una analisi di DBS Bank prevede che in 10 anni arriveremo a un’adozione massiva dei dispositivi IoT che copriranno il 100% del mercato. Da questo punto di vista, il 2019 è considerato l’anno della svolta che vede il passaggio dai primi utenti a un numero maggiore di utilizzatori, con vendite e implementazioni di dispositivi IoT che crescono a un ritmo esponenziale.
Mirai – la Thingbot più potente che abbia mai lanciato un attacco – ha gettato un’ombra lunga e influente nel panorama delle minacce informatiche, in parte a causa del modello di scansione distribuito che consente l’auto-riproduzione.
A partire dalla metà del 2017, l’Europa è diventata l’obiettivo più vulnerabile ai futuri attacchi, come dimostrano i dati di Baffin Bay Networks, partner degli F5 Labs, che indicano come la regione abbia un numero di scanner Mirai – dispositivi IoT compromessi che cercano di diffondere l’infezione – maggiore di qualsiasi altra area del mondo.
Non solo la minaccia originale di Mirai è ancora fortemente presente, ma ci sono anche una serie enorme di suoi derivati che è necessario prendere in considerazione.
L’88% di tutte le Thingbot note sono state scoperte dopo Mirai, in gran parte guidate dalla sua notorietà e dalla disponibilità del suo codice sorgente. Il 46% delle nuove Thingbot scoperte è una variante di Mirai, molto spesso in grado di fare molto di più che lanciare attacchi DDoS, ma effettuare deployment di proxy server, mining di criptovalute o installare altri bot. Altri aspetti importanti che emergono dal report The Hunt for IoT sono:
- I dispositivi più attaccati. I router SOHO (Small Office / Home Office), le telecamere IP, i DVR, gli NVR e le TVCC sono le tipologie principali di dispositivi IoT compromessi dalle Thingbot.
- Lo spostamento dei metodi di attacco. Le Thingbot prendono di mira sempre di più i dispositivi IoT che utilizzano HTTP e sono esposti pubblicamente con UPnP, HNAP e SSH (servizi che non dovrebbero essere esposti pubblicamente). Il 30% delle nuove Thingbot scoperte si rivolge ai dispositivi IoT attraverso vulnerabilità note (Common Vulnerabilities and Exposures – CVE).
- Attacchi a basso costo e possibilità infinite. Una volta installato il malware su un dispositivo IoT, il bot contatterà il server C&C e scaricherà i suoi ordini (per attacchi DDos nella maggior parte dei casi). Inoltre, le Thingbot distribuiscono server proxy da utilizzare per il lancio di attacchi, raccolgono informazioni dai dispositivi di attraversamento del traffico, criptano il traffico, effettuano mining di criptovalute e lanciando attacchi alle applicazioni Web. In particolare, la vendita di servizi botnet è passata dai forum nascosti nel dark web alle piattaforme mainstream come Instagram, una mossa in linea con l’ascesa di personaggi definiti come “script-kiddie gamer”, che costruiscono e vendono botnet IoT con piani di abbonamento per i servizi botnet che possono costare solo $5 al mese.
- Mancanza di dettagli. Mancano molti dettagli su come operano le Thingbot appena scoperte. La buona notizia è che la comunità della sicurezza è in grado di scoprirle prima che l’attacco venga sferrato. In passato, la maggior parte delle Thingbot è stata scoperta investigando il traffico, svelando i bot, la tipologia di attacco e i dispositivi infettati. Oggi, poter individuare i bot prima che sferrino l’attacco è positivo, tuttavia, i team di sicurezza spesso non riescono ad affrontare in tempo gli attacchi a causa delle leggi che regolano l’accesso non autorizzato a un sistema. Per poter comprendere veramente il comportamento dell’aggressore, infatti, dobbiamo analizzare o utilizzare i dispositivi infettati. Per questo motivo, negli Stati Uniti, è stata proposta l’introduzione di una legge per i ricercatori etici che consenta loro di ottenere un “pass di libero accesso”. Ci sono ancora, infatti, casi in cui i ricercatori etici vengono accusati di crimini informatici.