Arbor Networks illustra il caso dello spreader Windows - Mirai

Arbor Networks illustra il caso dello spreader Windows - Mirai

Ivan Straniero, Regional Manager Southern & Eastern Europe di Arbor Networks, ci spiega come oggi sia possibile usare device IoT per perpetrare attacchi dall’interno.

Il numero di dispositivi IoT abilitati IP è aumentato sensibilmente negli ultimi anni e, secondo le previsioni di Gartner, raggiungerà la strabiliante quota di quasi 21 miliardi di unità nel 2020. Quasi tutti i dispositivi prodotti attualmente, inclusi gli apparecchi per uso domestico, gli impianti di illuminazione stradale, i parchimetri, i giocattoli e addirittura le automobili, includono qualche tipo di funzionalità IoT che ne consente il monitoraggio e/o la gestione tramite Internet.
Sfortunatamente, a causa della capienza e funzionalità limitate di questi apparecchi e della sempre più diffusa tendenza a ridurre i costi, questi dispositivi sono generalmente poco sicuri e costituiscono un facile bersaglio per i criminali, che riescono a individuarli e inglobarli nelle loro botnet senza alcuna difficoltà.

Per i pirati informatici, i dispositivi IoT connessi a Internet, come ad esempio le webcam e i videoregistratori digitali, rappresentano ormai uno strumento di prima scelta per sferrare gli attacchi DDoS, come dimostrano gli attacchi di alto profilo lanciati contro DYN, OVH e altre organizzazioni nel 2016/17.
I produttori stanno lentamente iniziando a incrementare il livello di sicurezza dei dispositivi IoT connessi direttamente a Internet (il 5% circa della popolazione IoT, secondo le stime), ma il restante 95% degli apparecchi non sta ricevendo la stessa attenzione, trattandosi di dispositivi protetti dai firewall aziendali e quindi considerati al riparo dagli attacchi informatici. La sicurezza di questi dispositivi si è tuttavia rivelata fallace nel febbraio 2017.

A febbraio 2017, ASERT e altri ricercatori di malware hanno individuato in circolazione un nuovo trojan basato su Windows contenente un codice di attacco IoT. La peculiarità di questo trojan è che, oltre a infettare i computer con sistema operativo Windows, riesce anche a identificare i dispositivi IoT vulnerabili e a infettarli con il codice botnet IoT Mirai.
Ciò significa che, se collegati in rete all’interno dei firewall aziendali, i computer Windows infettati da questo trojan iniziano a cercare e infettare tutti i dispositivi IoT vulnerabili, aggirando barriere precedentemente ritenute sicure.

Lavorando in questa maniera, i criminali informatici riescono a raggiungere il 95% dei dispositivi IoT precedentemente inaccessibili e possono sfruttarli per lanciare attacchi DDoS in uscita o devastanti attacchi DDoS interni contro le risorse interne vulnerabili, tra cui i data center e le infrastrutture delle reti WAN/LAN. Nella grande maggioranza dei casi, queste risorse NON sono protette contro gli attacchi DDoS originati dall’interno e sono quindi estremamente vulnerabili a questo tipo di minaccia.
Nel 2017, è inoltre iniziato un processo di impollinazione incrociata tra i malware botnet DDoS e i ransomware di tipo tradizionale; i criminali informatici hanno infatti capito che gli attacchi DDoS sferrati contro le infrastrutture di rete possono avere conseguenze ben peggiori del contagio dei computer degli utenti finali.

Affiancando questi due trend, risulta evidente che i pirati informatici potrebbero lanciare attacchi multi-fase di tipo ransom contro le grandi aziende, facendo leva su una miscela di attacchi DDoS esterni e attacchi DDoS originati internamente dai dispositivi IoT già presenti nelle reti colpite.
Il trend della connettività, che ha condotto alla creazione di numerosi dispositivi collegati a Internet, ha indubbiamente apportato molti benefici alla società moderna a discapito però della sicurezza. Oggi i criminali informatici riescono infatti a impadronirsi facilmente di questi dispositivi per utilizzarli contro i rispettivi proprietari a scopo di lucro.
Lo spreader basato su Windows per la diffusione del malware Mirai ha rivoluzionato lo scenario, offrendo la possibilità di infettare i dispositivi IoT delle grandi aziende e sfruttarli per attaccare le risorse vulnerabili ubicate all’interno dei perimetri aziendali.

Ciononostante, le reti progettate e protette nel rispetto delle buone pratiche di sicurezza di rete, attraverso la segmentazione, il monitoraggio, la mitigazione DDoS e i dispositivi di sicurezza di tipo stateless, riescono comunque a rilevare e mitigare questi attacchi.
Va però ricordato che è purtroppo quasi impossibile mettere in sicurezza una rete durante un attacco. Occorre quindi introdurre le misure di sicurezza preventivamente, prima che i dispositivi IoT si rivoltino contro i loro stessi proprietari.