News

BotNet e IoT: i risultati dell’analisi di Netscout Arbor

I bot IoT utilizzano un approccio diretto alla propagazione: scelgono un obiettivo in modo casuale e continuano a tentare di colpirlo, fino a quando i criminali informatici non adotteranno un metodo più sofisticato, i ricercatori che operano nel campo della sicurezza potranno identificare i loro obiettivi con l’ausilio degli honeypot

Pubblicato il 06 Dic 2018

Mappa-degli-attacchi-su-Telnet

Secondo un’analisi di Netscout Arbor, l’appropriazione delle combinazioni di username e password impostate in fabbrica continua a rappresentare una strategia vincente per la propagazione degli attacchi informatici in ambiente IoT.

“Gli operatori delle botnet che dispongono degli elenchi migliori – ha dichiarato Matt Bing, security researcher di NetScout – producono le botnet più grandi e ottengono così una maggiore potenza di fuoco per sferrare nuovi attacchi DDoS. I bot rivolti ai dispositivi IoT non fanno distinzioni: scelgono casualmente un indirizzo da colpire e passano in rassegna l’elenco di username e password a loro disposizione fino a quando non rinunciano all’attacco o riescono invece a infettare il dispositivo preso di mira”.

In occasione dell’analisi relativa allo scorso mese di settembre (in cui sono state osservate 1.065 combinazioni univoche di username e password in 129 Paesi) si è rilevato, in sintesi, che:

  • l’interrogazione delle botnet ha rivelato che 1005 combinazioni di username e password, sul totale delle combinazioni osservate, non erano incluse nell’elenco di default di Mirai (il malware comparso a fine 2016 che ha dato vita a diverse varianti, il cui successo si fonda però in generale sull’uso di username e password preimpostati);
  • le combinazioni utilizzate in diverse regioni delineano alcuni trend relativi agli impieghi dei dispositivi;
  • gli attacchi dei bot che utilizzano specifiche password impostate dal produttore sono spesso perpetrati da dispositivi compromessi in modo simile.

Mirai ha compilato un elenco delle combinazioni di username e password utilizzate, che è stato inserito nel codice sorgente reso pubblico. Con questo codice, qualsiasi individuo in possesso di qualche competenza tecnica ha la possibilità di costruire la propria botnet IoT. Gli operatori più rapidi hanno affollato velocemente il panorama e i bot IoT si sono diffusi a macchia d’olio.

“Alcuni criminali – ha continuato Bing – hanno compreso che, utilizzando un proprio elenco personalizzato di username e password, sarebbero riusciti a evolversi infettando i dispositivi che gli altri non riuscivano a colpire. Raccogliendo le combinazioni di username e password utilizzate dal malware IoT è possibile ottenere un fertile terreno di analisi. È sufficiente emulare il protocollo Telnet quanto basta a carpire username e password (e molto altro!): i bot saranno lieti di condividere la propria hit list con chiunque sia interessato. Una volta ottenuto un numero adeguato di dati, è possibile osservare alcuni trend”.

Foto di Matt Bing
Matt Bing, security researcher di NetScout

I dati della ricerca relativa a settembre 2018

Vediamo i dati raccolti nel mese di settembre 2018. Le prime 5 combinazioni di username e password sono poco sorprendenti: admin/admin, guest/12345, root/vizxv, root/xc3511 e support/support. Tali combinazioni erano contenute nel codice sorgente originale di Mirai e due di esse (vizxv e xc3511) riguardano i videoregistratori che diedero fama al bot Mirai originale.

Gli username e le password che non compaiono nel codice sorgente originale di Mirai sono i più interessanti. L’elenco comprende combinazioni di username e password di base (default/default e root/) e specifiche (root/1001chin e root/taZz@23495859). Le password più specifiche si riferiscono alle impostazioni di fabbrica di determinati dispositivi. Negli ultimi due anni, gli esecutori degli attacchi si sono impegnati per arruolare nuovi dispositivi nel proprio esercito.

Se si osserva una mappa degli attacchi di forza bruta su Telnet, emerge che i paesi principali sono la Russia, la Cina, il Brasile, gli Stati Uniti e la Corea del Sud. Inoltre, è risultato evidente che quando un bot automatizzato come Mirai tenta un attacco indesiderato, è probabile che il dispositivo che cerca di forzare la serratura sia vittima dello stesso identico attacco. Infatti, è possibile che il dispositivo che sta sferrando l’attacco sia già stato inglobato nella botnet attraverso lo stesso attacco, forse addirittura attraverso la stessa combinazione di username e password. Alcuni dispositivi sembrano essere più diffusi in alcuni paesi per ragioni di disponibilità o popolarità.

La mappa degli attacchi su Telnet
La mappa degli attacchi su Telnet – fonte: Netscout Arbor

I bot IoT utilizzano un approccio diretto alla propagazione: scelgono un obiettivo in modo casuale e continuano a tentare di colpirlo finché l’attacco non riesce o l’elenco non si esaurisce. Fino a quando i criminali informatici non adotteranno un metodo più sofisticato, i ricercatori che operano nel campo della sicurezza potranno identificare i loro obiettivi con l’ausilio degli honeypot.

“Pur non rappresentando una scienza esatta – ha concluso Bing – lo studio del comportamento delle botnet IoT può aiutarci a comprendere meglio le tecniche di individuazione degli obiettivi e le metodologie impiegate dagli operatori delle botnet. Dall’analisi di questi trend a livello globale e regionale emerge un dilagante ecosistema IoT, pronto a essere depredato”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4