Il Malware all'aggressione dell'IoT

Nell'arco di pochi mesi, nel 2016 Mirai si è rivelato il Malware più insidioso per tutti i dispositivi IoT. Creato in Giappone, rende le unità IoT infettate componenti attive di una botnet che può essere usata per attacchi informatici su larga scala. La sua prima botnet è stata scoperta nell’agosto del 2016 da MalwareMustDie, organizzazione nonprofit dedita alla sicurezza informatica.

Successivamente, i sorgenti di Mirai sono stati pubblicati su GitHub in Open Source, aprendo così la strada per la germinazione di altro Malware che ne sfrutta le tecniche. Così, mano a mano che l'IoT prende sempre più piede nella nostra quotidianità (per Gartner, entro il prossimo anno, ci saranno in circolazione oltre 20 miliardi di dispositivi IoT), proliferano anche gli attacchi di nuovi Malware capaci di compromettere il funzionamento di apparati e servizi di ogni genere. A oggi, infatti, non solo Mirai risulta ancora fortemente attivo, ma ad esso si sono affiancate un gran numero di sue varianti, con l'Europa bersaglio preferenziale di questo genere di attacchi.

Sono questi alcuni dei dati preoccupanti evidenziati dalla nuova ricerca promossa dagli F5 Labs che ne li raggruppa sotto l'etichetta Thingbot citandone ben 26, individuati tra ottobre 2018 e gennaio 2019, attualmente messi a disposizione degli hacker in modo tale che li possano utilizzare nelle proprie botnet. I dati pubblicati nella sesta edizione del report The Hunt for IoT sono ancora più preoccupanti se comparati con le solo sei scoperte fatte nel corso di tutto il 2017 e delle nove del 2016. Sempre la stessa indagine segnala che in Europa ci sono un numero di scanner Mirai - dispositivi IoT compromessi che cercano di diffondere l'infezione – maggiore di qualsiasi altra area del mondo.

Quanto può esser letale questo Malware: un esempio su tutti. Tra gli altri, i F5 Labs hanno testato i dispositivi IoT utilizzati per fornire servizi Internet ai veicoli utilizzati in caso di emergenza, rilevando che il 62% di essi era vulnerabile e privo di qualsiasi sistema di sicurezza.

"Il numero di minacce IoT continuerà ad aumentare fino a quando non saranno i clienti a pretendere delle strategie di sviluppo più sicure per i dispositivi in produzione", ha affermato Sara Boddy, F5 Labs Research Director. "Sfortunatamente, questo processo non è ancora iniziato e dovranno passare ancora diversi anni prima di poter notare un impatto rilevante, con dispositivi IoT sicuri che riducono la superficie di attacco. Nel frattempo tutti, dagli hacker alle prime armi fino agli stati nazionali, continueranno a compromettere i dispositivi IoT”.

Una analisi di DBS Bank prevede che in 10 anni arriveremo a un’adozione massiva dei dispositivi IoT che copriranno il 100% del mercato. Da questo punto di vista, il 2019 viene considerato come l’anno della svolta che vede il passaggio dai primi utenti a un numero maggiore di utilizzatori, con vendite e implementazioni di dispositivi IoT che crescono a un ritmo esponenziale.

Stando ai dati dello studio, l'88% di tutte le Thingbot note sono state scoperte dopo Mirai, con il 46% delle quali ne è una variante di Mirai, molto spesso in grado di fare molto di più che lanciare attacchi DDoS, ma in grado di effettuare anche deployment di proxy server, mining di criptovalute o installare altri bot.

Altri aspetti importanti che emergono dal report The Hunt for IoT sono:

• I dispositivi più attaccati e compromessi dalle Thingbot sono risultati i router SOHO (Small Office / Home Office), le telecamere IP, i DVR, gli NVR e le TVCC.
• Le Thingbot prendono di mira sempre di più i dispositivi IoT che utilizzano HTTP e sono esposti pubblicamente con UPnP, HNAP e SSH (servizi che non dovrebbero essere esposti pubblicamente). Il 30% delle nuove Thingbot scoperte si rivolge ai dispositivi IoT attraverso vulnerabilità note (Common Vulnerabilities and Exposures - CVE).
• Una volta insediatosi, il malware entra a far parte della botnet, contatta il server C&C e ne scarica gli ordini (per esempio, per lanciare attacchi DDoS). In parallelo, le Thingbot distribuiscono server proxy da utilizzare per il lancio di attacchi, raccolgono informazioni dai dispositivi di attraversamento del traffico, criptano il traffico, effettuano mining di criptovalute e lanciando attacchi alle applicazioni Web.
• I servizi di servizi botnet vengono offerti in abbonamento, persino a 5 dollari al mese, tanto attraverso alcuni forum del Dark Web, quanto da piattaforme molto note quali Instagram.

La buona notizia è che la comunità della sicurezza è in grado di scoprire gran parte delle Thingbot prima che sferrino i propri attacchi. Il problema è che talvolta i team di sicurezza non possono difendersi per tempo a causa delle leggi che regolano le autorizzazioni di accesso ai sistemi. A tal proposito, negli Stati Uniti, è stata proposta l’introduzione di una legge per i ricercatori etici che consenta loro di ottenere i "pass di libero accesso" per evitare che vengano accusati di crimini informatici.

Stando alla Boddy, "Per difendersi dagli attacchi DDoS, un cloud scrubbing provider è la strada migliore, principalmente perché gli attacchi che superano la capacità della maggior parte delle reti – a eccezione di quelle dei service provider e delle grandi banche - costano solo 20 dollari a lancio. Poi ci sono gli attacchi alle applicazioni Web, che oggi richiedono Web application firewall con rilevamento dei bot basato sul comportamento e blocco del traffico. Non ci sono scorciatoie con l'IoT ma è fondamentale non acquistate prodotti con vulnerabilità note, storie di exploit alle spalle o meccanismi di sicurezza scadenti e mettete sempre in quarantena o ritirate tutti i dispositivi che non possono essere protetti."