Netscout: exploit IoT sempre più aggressivi e diffusi

NETSCOUT, gli exploit IoT sempre più aggressivi e diffusi

Netscout affronta il tema degli exploit IoT, oggi sempre "più caldo". Il 94% del traffico di attacchi negli ultimi 120 giorni è legato all’exploit Huawei Router.

Le botnet dell’Internet of Things si propagano soprattutto grazie alle vulnerabilità dei dispositivi IoT. La telemisurazione degli honeypot IoT di NETSCOUT mostra come il numero di tentativi di exploit originati da bot sia in continua crescita. Le vulnerabilità sfruttate sono vecchie ma di certo non obsolete: l'exploit più visto negli honeypot è stato diffuso per la prima volta più di quattro anni fa. Inoltre, i tentativi di exploit mostrano come alcuni Paesi abbiano una maggior affinità per determinati tipi di dispositivi.

Osservando i dati degli ultimi quattro mesi, si è assistito ad un’ondata di attacchi legati all’exploit di Hadoop Yarn descritto in Mirai: l’obiettivo non è più soltanto l’Internet of Things. Disgregando i voluminosi attacchi Yarn, emerge un modello di exploit comunemente usato per prendere di mira dispositivi IoT.

I dati di NETSCOUT mostrano che gli assalti ai dispositivi IoT avvengono mediante l’uso di un’ampia gamma di exploit, vecchi e nuovi. Non è afffatto casuale: un exploit IoT può, infatti, continuare a svolgere la propria funzione per anni.
Alcuni Paesi sono più propensi a sfruttare determinate vulnerabilità. Si può osservare, ad esempio, come gli exploit provenienti dal Regno Unito tendano a favorire l’uso dell’exploit Realtek SDK Miniigd Command Execution. Ancora, è possibile contare un totale di sole 10 fonti impiegate per questi attacchi. Ciò potrebbe indicare che i 10 indirizzi IP di origine si trovano nella stessa botnet.

A differenza degli exploit Miniigd e Huawei Router, l’uso dell’epxloit D-Link Devices HNAP Command Execution è stato osservato in diversi Paesi. Esaminando il payload di questi attacchi, è possibile capire se l’exploit è sfruttato da una o più botnet.
Spostando l’obiettivo verso una panoramica dei dati degli ultimi 120 giorni, ne emerge un’immagine differente. Il 94% del traffico degli attacchi in questo intervallo di tempo è legato all’exploit Huawei Router.
Confrontando il numero di attacchi per questo specifico exploit tra Dicembre 2018 e Gennaio 2019, si assiste ad un aumento del 218%. Sempre più botnet sono alla ricerca di queste vulnerabilità con l’obiettivo di sfruttarle. I payload di questi attacchi mostrano che la maggior parte dei malware impiegati sono varianti di Mirai, dimostrando così che quest’ultimo ha ancora qualche asso nella manica.

Mentre i bot IoT che sfruttano nomi utente e password predefiniti tendono ad adottare un approccio di propagazione più casuale, i bot che usano gli exploit sono generalmente più orientati per Paese. Poiché i fornitori si servono di password predefinite o codificate per risolvere determinati problemi, i bot IoT devono adattarsi a questo panorama in continua evoluzione. Come dimostra la crescita dei tentativi di exploit contro gli honeypot di Netscout , gli operatori di botnet IoT si stanno evolvendo per adeguarsi ai cambiamenti nella sicurezza dei dispositivi, adottando sempre di più un approccio che si potrebbe definire ibrido.

Netscout: exploit IoT sempre più aggressivi e diffusi

Ivan Straniero, Regional Manager, Southern & Eastern Europe di Netscout
In qualità di operatori della sicurezza, siamo in grado di imparare dalle tattiche degli aggressori e di capire quali dispositivi tendono ad essere presi di mira nell’area di interesse, al fine di difenderli meglio. Patch, test, monitoraggio e risposta agli incidenti sono elementi essenziali della protezione dell’IoT, che non può mancare nel programma di sicurezza di un’Azienda.