F5 Labs: il nuovo Threat Intelligence report mostra che gli attacchi di brute force Telnet contro dispositivi IoT sono in continuo aumento

31/05/2018

L’ultima edizione del Threat Intelligence report elaborato dagli esperti di cybersecurity di F5 Networks dimostra che le aziende, in tutto il mondo, non possono più permettersi di ignorare la crescita esponenziale delle Thingbot, che si avvalgono esclusivamente di dispositivi IoT, e che stanno rapidamente diventando il veicolo di diffusione preferito delle minacce cyber da parte dei malintenzionati che creano le botnet.

In un confronto anno su anno (2016-2017), gli F5 Labs, infatti, hanno rilevato che gli attacchi di brute force Telnet contro i dispositivi di IoT sono aumentati del 249%.

Il 44% del traffico di attacco ha avuto origine in Cina e da indirizzi IP nelle reti cinesi. Gli altri Paesi ai primi posti in termini di traffico maligno sono gli Stati Uniti e la Russia. Gli F5 Labs hanno segnalato, ripetutamente, gli stessi indirizzi IP e reti di attacco nel corso degli ultimi due anni: il traffico dannoso, dunque, o passa inosservato o viene consapevolmente permesso.

I paesi più colpiti sono Stati Uniti, Singapore, Spagna e Ungheria. Tuttavia, nel mirino delle Thingbot non vi è un Paese in particolare; ciascuna delle prime dieci Nazioni elencate nel report è stata colpita con una percentuale ridotta rispetto agli attacchi complessivi, tranne la Spagna, che ha subito il 22% degli attacchi totali nel mese di dicembre. Questo significa che i dispositivi IoT vulnerabili sono ampiamente dispersi in tutto il mondo.

Nell’ultima metà del 2017, gli F5 Labs hanno registrato una diminuzione del volume di attacchi rispetto al primo semestre dell’anno (calo del 77% dal primo al quarto trimestre). Ciononostante, i livelli di attacco sono stati ancora maggiori dei picchi ottenuti con Mirai, diventata famosa nel settembre del 2016 per essersi impossessata di centinaia di migliaia di dispositivi IoT, come CCTV, router e DVR.

Basandosi sul livello di traffico osservato tra luglio e dicembre 2017, gli F5 Labs hanno stabilito che sono state create molte nuove Thingbot di ampie dimensioni e sottolineato che Mirai non ha mai attaccato sfruttando il suo pieno potenziale. In futuro, le potenzialità distruttive dell'IoT sono destinate a esplodere in scala.

Fino ad oggi il protocollo Telnet si è dimostrato valido per un approccio coerente al problema IoT, ma gli F5 Labs hanno scoperto che i cybercriminali stanno modificando le proprie tattiche aumentando velocità e varietà.

Gli F5 Labs ritengono, ad esempio, che almeno 46 milioni di router domestici siano vulnerabili a un attacco Command Injection remoto contro i protocolli personalizzati di gestione remota TR-069 e TR-064. Questi protocolli furono creati perché gli ISP (Internet Service Provider) potessero gestire i router installati nelle case dei loro clienti e furono sfruttati dalla Thingbot Annie, che causò interruzioni di servizio diffuse per i clienti di diverse aziende leader in ambito telco. Annie è una delle cinque Thingbot identificate come spin-off di Mirai, che ne sfruttano diverse parti (le altre sono Persirai, Satori, Masuta e Pure Masuta). Solo Persirai e Satori attaccano il protocollo Telnet per l’exploit iniziale dei dispositivi.

Secondo F5 Labs consiglia di assicurare la ridondanza dei servizi critici, nel caso in cui i service provider siano presi di mira, e mitigare gli attacchi legati al furto di identità, utilizzando controlli credential stuffing e autenticazione multi-fattore. Inoltre, secondo i F5 Lab, è importante implementare la decrittazione all’interno della rete per identificare il traffico malevolo nascosto nei flussi crittografati e garantire che i dispositivi connessi alla rete passino attraverso sistemi di prevenzione e rilevamento degli eventi di information security. Infine, è fondamentale condurre analisi regolari della sicurezza dei dispositivi IoT, testare i prodotti IoT prima dell’uso e, come sempre, predisporre programmi di formazione accurati per i propri dipendenti.

Info: www.f5.com