Negli ultimi anni le botnet nell’ambito IoT hanno fissato nuovi standard negli attacchi di tipo DDoS. Dal famigerato incidente di Mirai del settembre 2016, che interruppe la connessione Internet negli Stati Uniti, fino all’attacco da record di GitHub a 1,3 Tbps nel 2018, i criminali informatici hanno costantemente cercato di superare se stessi. E la vulnerabilità dei dispositivi IoT sta sicuramente dando loro una mano. Il ruolo delle botnet IoT negli attacchi DDoS (Denial-of-Service) è aumentato costantemente negli ultimi anni.
Recentemente la società di sicurezza informatica Bitdefender ha scoperto la botnet IoT denominata dark_nexus, utilizzata appunto per lanciare attacchi DDOS reclutando dispositivi IoT in tutto il mondo. Si tratta dell’ultima di una lunga serie di botnet IoT progettate con un unico scopo: fornire all’utente medio inconsapevole uno strumento che con un semplice click consenta di interrompere i servizi Internet.
Attacchi DdoS e dispositivi IoT
Gli attacchi DDoS si verificano da oltre 25 anni, ma il problema è cresciuto costantemente. Mentre gli intenti dei primi aggressori non erano necessariamente dolosi – lo facevano solo perché avevano la possibilità di farlo – oggi invece questa pratica volta a bloccare le attività delle aziende si è trasformata in un’attività lucrativa gestita solitamente da criminali.
I primi attacchi utilizzavano pc “zombie”, che erano fondamentalmente pc infetti che reindirizzavano e talvolta amplificavano il traffico quando il computer master inviava loro dei comandi. I pc moderni sono un po’ più difficili da infettare e controllare, ma gli “zombie” esistono ancora. L’aumento esponenziale del numero di dispositivi IoT ha fornito agli aggressori un nuovo vettore e una nuova piattaforma di cui assumere il controllo.
Nel 2018, si stima che nel mondo siano stati installati circa 20 miliardi di dispositivi IoT, e si prevede che tale numero salirà a circa 50 miliardi entro il 2030. Ciò significa che le botnet IoT diventeranno sempre più ampie e potenti.
Se c’è qualcosa su cui tutti sono d’accordo quando si tratta di dispositivi IoT è la mancanza di sicurezza, e questa è un’affermazione benevola. Uno dei problemi maggiori è la frammentazione del mercato, con numerose piattaforme e architetture facilmente accessibili a qualsiasi azienda che voglia realizzare un nuovo dispositivo IoT. Purtroppo, questo significa che la sicurezza passa in secondo piano.
Il più delle volte le aziende scelgono di concentrarsi sul design, sul marketing e praticamente su qualsiasi altro aspetto prima che sulla sicurezza. Anche dopo che i prodotti raggiungono il mercato, i produttori di alcuni dispositivi IoT non forniscono supporto, non implementano patch per correggere le vulnerabilità o semplicemente non si occupano più di nessun aspetto relativo al prodotto.
Anche se non è una consuetudine così diffusa, purtroppo è comunque abbastanza estesa da consentire ai criminali l’accesso a piattaforme vulnerabili che possono essere integrate in una botnet e utilizzate per lanciare attacchi DDoS. E con miliardi e miliardi di dispositivi in funzione costantemente, di certo non mancano le vittime.
Come opera la botnet dark_nexus
dark_nexus è la botnet IoT più recente scoperta, e non sarà certo l’ultima. Ma dimostra anche che il modello di business che governa il malware utilizzato per infettare i dispositivi si sta evolvendo insieme al mercato. La motivazione è, ovviamente, di tipo finanziario; le botnet vengono affittate alle parti interessate oppure il codice sorgente del malware IoT utilizzato per controllare i dispositivi viene venduto a scopo di lucro.
Come avviene per la maggior parte dei software, i produttori devono continuare ad aggiornarli per essere sempre all’avanguardia e attuali. Ogni nuova generazione di dispositivi adotta nuovo hardware, risolve alcuni problemi di sicurezza o aggiunge nuove funzionalità, per cui gli aggressori devono adattarsi rapidamente a questi cambiamenti.
Un segno rivelatore del fatto che dark_nexus è davvero redditizia è che viene continuamente aggiornata, con oltre 30 versioni negli ultimi tre mesi. Questo rappresenta anche uno dei suoi punti di forza, insieme a una particolare caratteristica che fornisce alla botnet una serie di prerequisiti che ne garantiscono la crescita.
La maggior parte dei dispositivi IoT esegue le proprie applicazioni esclusivamente nella memoria RAM, e qualsiasi modifica apportata al sistema operativo non sopravvive a un riavvio. Quando un bot-master cerca dispositivi che possano essere violati, si connette al dispositivo ed esegue comandi di riavvio in modo che le altre possibili bot in esecuzione sul dispositivo siano automaticamente rimosse dopo un riavvio. Ma dark_nexus cerca in tutti i modi di non trovarsi nella stessa situazione, quindi utilizza un sistema di punteggio che classifica il processo esistente e decide quale eliminare e quale mantenere, aggiungendoli a una white list, in modo che i concorrenti non siano in grado di riavviare il sistema.
E se vi state chiedendo come si diffonde questo meccanismo, la risposta è in realtà terribilmente semplice: effettua la scansione degli intervalli IP e usa una tecnica chiamata “credential stuffing” sul servizio Telnet, il che significa che prova i nomi utente e le password di una lista esistente fino a quando qualcuno di essi funziona. Questo è possibile perché gli utenti a volte non cambiano le credenziali di accesso predefinite (o non sono autorizzati a farlo), oppure le porte Telnet non vengono chiuse quando non sono in uso.
Bitdefender ha individuato dark_nexus utilizzando un honeypot, un hardware specificamente progettato per consentire alla botnet di infettarlo. È anche un modo per valutare cosa sta facendo il malware e in che maniera riporta al centro di comando e controllo (C&C).
L’attacco brute force al protocollo di rete Telnet è una tecnica usata da molto tempo, e per una buona ragione: funziona. Durante i primi mesi del 2019, la telemetria dell’honeypot di Bitdefender ha dimostrato che gli aggressori hanno violato la porta Telnet più di 7,73 milioni di volte. Un fattore da considerare è l’elemento umano, perché i dispositivi IoT compromessi hanno ricevuto istruzioni dai server C&C di eseguire oltre 196.000 attacchi verso diversi servizi e infrastrutture contro Amazon, Comcast e persino Microsoft.
Una volta che un dispositivo IoT è stato compromesso, cerca di mascherare il traffico come un innocuo chit-chat del browser. Naturalmente, il rilevamento di tale attività all’interno della rete richiede strumenti e software particolari.
La botnet è stata ricondotta a greek.Helios, un noto botmaster che fa parte del mondo dei DDoS da molto tempo. Dark_nexus è addirittura disponibile online a partire da 17 euro al mese per 2.500 secondi di tempo di avvio fino a poco più di 90 euro al mese.
Recenti ricerche hanno individuato una tendenza interessante negli attacchi DDoS, con operazioni su scala ridotta che rappresentano oltre il 50% di tutti gli attacchi a livello mondiale. Si tratta per lo più di attacchi indirizzati al settore del gioco d’azzardo nel tentativo di interrompere le partite online.
Naturalmente, gli altri settori non dovrebbero sentirsi al sicuro perché possono essere comunque un bersaglio. Nel 2016, un attacco botnet IoT negli Stati Uniti ha reso inaccessibile Internet e ha messo offline diverse aziende incluse nella classifica Fortune 500. È stato impossibile stimare le perdite subite in quel singolo attacco ed è successo ben quattro anni fa. Un attacco simile oggi avrebbe molti più dispositivi IoT a portata di mano.
La sicurezza dei dispositivi IoT
La sicurezza dei dispositivi IoT può essere affrontata considerando due vie e una non esclude l’altra. Nonostante la mancanza di coesione nelle soluzioni di sicurezza integrate direttamente nell’hardware IoT, è possibile proteggere le reti utilizzando tecnologie appositamente progettate.
Ad esempio, un router intelligente che sfrutta una soluzione di sicurezza integrata potrebbe rilevare un comportamento anomalo specifico degli attacchi DDoS all’interno della rete che controlla, per poi bloccarli. Alcune soluzioni di sicurezza potrebbero inoltre fornire agli utenti dettagli sui dispositivi vulnerabili per i quali occorre applicare delle misure correttive. In questo modo il proprietario è informato che il dispositivo che ha pagato non è più sotto il suo controllo e occorre intervenire. In questo caso, la responsabilità della sicurezza passa dal fornitore del dispositivo IoT all’utente, e questo passaggio è altrettanto inefficace.
Una soluzione più efficace sarebbe quella di risolvere il problema a livello di Internet Service Provider (ISP). Purtroppo, questa è ancora un’area da migliorare, ma l’improvviso cambiamento della modalità di lavoro da parte dei dipendenti, che ora per la maggior parte lavorano da casa, spinge gli ISP ad adottare misure più drastiche per rafforzare la sicurezza. Potrebbe trattarsi di un router più intelligente o di una nuova funzione di sicurezza che è in grado di tenere al sicuro gli utenti dagli attacchi DDoS.
L’implementazione di una piattaforma di sicurezza IoT a livello di ISP elimina molti problemi in entrata, offrendo protezione dagli attacchi DDoS e prevenzione degli exploit. Per una botnet IoT come dark_nexus sarebbe difficile diffondersi in un ambiente protetto da una di queste due soluzioni.
La buona notizia è che l’adozione di tali soluzioni da parte degli ISP non richiede alcun aggiornamento hardware e i nuovi moduli funzioneranno con la tecnologia esistente. Le botnet IoT non scompariranno magicamente da un giorno all’altro e ignorare il problema non è certo la soluzione.
Molte aziende stanno già implementando misure di sicurezza per gestire i propri dispositivi IoT, ma questa è solo una piccola parte di ciò che è già disponibile sul mercato e di ciò che viene utilizzato oggi. Dark_nexus dimostra cosa può fare un aggressore spinto da motivazioni finanziarie, ma soprattutto sottolinea un problema esistente.
Conclusioni
Più specificamente, gli attacchi DDoS in modalità “as a service” stanno crescendo di pari passo all’ecosistema IoT e sembra che anche persone completamente prive di competenze tecniche abbiano ora accesso a botnet sofisticate e potenti in grado di sferrare attacchi devastanti.
Le responsabilità di utenti e ISP stanno aumentando, anche questi ultimi sembrano non esserne ancora coscienti. Quello che era il compito del SoC (Security Operation Center) di un’azienda, che garantiva protezione anche dagli attacchi DDoS, ora si sta lentamente spostando nell’area di competenza degli ISP, che potrebbero non disporre degli strumenti necessari per affrontare questo problema, che si dà il caso comprenda anche la botnet IoT dark_nexus.
9