F5 Labs, le Thingbot crescono e sono sempre più pericolose

F5 Labs, le Thingbot crescono e sono sempre più pericolose

Come precisa il recente Threat Intelligence report degli F5 Labs, tra le più attuali sfide di cyber-security rientrano a pieno titolo i vulnerabili device IoT.
Secondo gli esperti, le aziende di tutto il mondo non possono permettersi di ignorare la crescita esponenziale delle Thingbot, che si avvalgono esclusivamente di dispositivi IoT, e che stanno rapidamente diventando il veicolo di diffusione preferito delle minacce cyber da parte dei malintenzionati che creano le botnet.

In un confronto anno su anno (2016-2017), gli F5 Labs hanno rilevato che gli attacchi di brute force Telnet contro i dispositivi di IoT sono aumentati del 249%.
Il 44% del traffico di attacco ha avuto origine in Cina e da indirizzi IP nelle reti cinesi. Gli altri Paesi ai primi posti in termini di traffico maligno sono gli Stati Uniti e la Russia.

Preoccupante è il fatto che gli F5 Labs abbiano segnalato ripetutamente gli stessi indirizzi IP e reti di attacco nel corso degli ultimi due anni, poiché prova che il traffico dannoso o passa inosservato o viene consapevolmente permesso.
I paesi più colpiti sono Stati Uniti, Singapore, Spagna e Ungheria. Tuttavia, nel mirino delle Thingbot non vi è un Paese in particolare; ciascuna delle prime dieci Nazioni elencate nel report è stata colpita con una percentuale ridotta rispetto agli attacchi complessivi, tranne la Spagna, che ha subito il 22% degli attacchi totali nel mese di dicembre. Questo significa che i dispositivi IoT vulnerabili sono ampiamente dispersi in tutto il mondo.

Nell’ultima metà del 2017, gli F5 Labs hanno registrato una diminuzione del volume di attacchi rispetto al primo semestre dell’anno (calo del 77% dal primo al quarto trimestre). Ciononostante, i livelli di attacco sono stati ancora maggiori dei picchi ottenuti con Mirai, diventata famosa nel settembre del 2016 per essersi impossessata di centinaia di migliaia di dispositivi IoT, come CCTV, router e DVR.
Basandosi sul livello di traffico osservato tra luglio e dicembre 2017, gli F5 Labs hanno stabilito che sono state create molte nuove Thingbot di ampie dimensioni. Inoltre, sottolineano che Mirai non ha mai attaccato sfruttando il suo pieno potenziale.

In futuro, le potenzialità distruttive dell'IoT sono destinate a esplodere in scala.
Gartner ha recentemente dichiarato che oggi i dispositivi IoT in uso sono 8,4 miliardi e che il numero dovrebbe crescere fino a raggiungere 20,4 miliardi entro il 2020. IHS stima 30 miliardi di dispositivi IoT entro il 2020, mentre il produttore di semiconduttori SoftBank ne stima un trilione entro il 2035.

Gli F5 Labs ritengono, ad esempio, che almeno 46 milioni di router domestici siano vulnerabili a un attacco Command Injection remoto contro i protocolli personalizzati di gestione remota TR-069 e TR-064. Questi protocolli furono creati perché gli ISP (Internet Service Provider) potessero gestire i router installati nelle case dei loro clienti e furono sfruttati dalla Thingbot Annie, che causò interruzioni di servizio diffuse per i clienti di diverse aziende leader in ambito telco. Annie è una delle cinque Thingbot identificate come spin-off di Mirai, che ne sfruttano diverse parti (le altre sono Persirai, Satori, Masuta e Pure Masuta). Solo Persirai e Satori attaccano il protocollo Telnet per l’exploit iniziale dei dispositivi.

I migliori consigli per le aziende che cercano di evitare le Thingbot sono assicurare la ridondanza dei servizi critici nel caso in cui i service provider siano presi di mira e mitigare gli attacchi legati al furto di identità, utilizzando controlli credential stuffing e autenticazione multi-fattore.
Inoltre, è importante implementare la decrittazione all’interno della rete per identificare il traffico malevolo nascosto nei flussi crittografati e garantire che i dispositivi connessi alla rete passino attraverso sistemi di prevenzione e rilevamento degli eventi di information security. Infine, è fondamentale condurre analisi regolari della sicurezza dei dispositivi IoT, testare i prodotti IoT prima dell’uso e, come sempre, predisporre programmi di formazione accurati per i propri dipendenti.