Secondo un’analisi di Netscout Arbor, l’appropriazione delle combinazioni di username e password impostate in fabbrica continua a rappresentare una strategia vincente per la propagazione degli attacchi informatici in ambiente IoT.
“Gli operatori delle botnet che dispongono degli elenchi migliori – ha dichiarato Matt Bing, security researcher di NetScout – producono le botnet più grandi e ottengono così una maggiore potenza di fuoco per sferrare nuovi attacchi DDoS. I bot rivolti ai dispositivi IoT non fanno distinzioni: scelgono casualmente un indirizzo da colpire e passano in rassegna l’elenco di username e password a loro disposizione fino a quando non rinunciano all’attacco o riescono invece a infettare il dispositivo preso di mira”.
In occasione dell’analisi relativa allo scorso mese di settembre (in cui sono state osservate 1.065 combinazioni univoche di username e password in 129 Paesi) si è rilevato, in sintesi, che:
- l’interrogazione delle botnet ha rivelato che 1005 combinazioni di username e password, sul totale delle combinazioni osservate, non erano incluse nell’elenco di default di Mirai (il malware comparso a fine 2016 che ha dato vita a diverse varianti, il cui successo si fonda però in generale sull’uso di username e password preimpostati);
- le combinazioni utilizzate in diverse regioni delineano alcuni trend relativi agli impieghi dei dispositivi;
- gli attacchi dei bot che utilizzano specifiche password impostate dal produttore sono spesso perpetrati da dispositivi compromessi in modo simile.
Mirai ha compilato un elenco delle combinazioni di username e password utilizzate, che è stato inserito nel codice sorgente reso pubblico. Con questo codice, qualsiasi individuo in possesso di qualche competenza tecnica ha la possibilità di costruire la propria botnet IoT. Gli operatori più rapidi hanno affollato velocemente il panorama e i bot IoT si sono diffusi a macchia d’olio.
“Alcuni criminali – ha continuato Bing – hanno compreso che, utilizzando un proprio elenco personalizzato di username e password, sarebbero riusciti a evolversi infettando i dispositivi che gli altri non riuscivano a colpire. Raccogliendo le combinazioni di username e password utilizzate dal malware IoT è possibile ottenere un fertile terreno di analisi. È sufficiente emulare il protocollo Telnet quanto basta a carpire username e password (e molto altro!): i bot saranno lieti di condividere la propria hit list con chiunque sia interessato. Una volta ottenuto un numero adeguato di dati, è possibile osservare alcuni trend”.
I dati della ricerca relativa a settembre 2018
Vediamo i dati raccolti nel mese di settembre 2018. Le prime 5 combinazioni di username e password sono poco sorprendenti: admin/admin, guest/12345, root/vizxv, root/xc3511 e support/support. Tali combinazioni erano contenute nel codice sorgente originale di Mirai e due di esse (vizxv e xc3511) riguardano i videoregistratori che diedero fama al bot Mirai originale.
Gli username e le password che non compaiono nel codice sorgente originale di Mirai sono i più interessanti. L’elenco comprende combinazioni di username e password di base (default/default e root/) e specifiche (root/1001chin e root/taZz@23495859). Le password più specifiche si riferiscono alle impostazioni di fabbrica di determinati dispositivi. Negli ultimi due anni, gli esecutori degli attacchi si sono impegnati per arruolare nuovi dispositivi nel proprio esercito.
Se si osserva una mappa degli attacchi di forza bruta su Telnet, emerge che i paesi principali sono la Russia, la Cina, il Brasile, gli Stati Uniti e la Corea del Sud. Inoltre, è risultato evidente che quando un bot automatizzato come Mirai tenta un attacco indesiderato, è probabile che il dispositivo che cerca di forzare la serratura sia vittima dello stesso identico attacco. Infatti, è possibile che il dispositivo che sta sferrando l’attacco sia già stato inglobato nella botnet attraverso lo stesso attacco, forse addirittura attraverso la stessa combinazione di username e password. Alcuni dispositivi sembrano essere più diffusi in alcuni paesi per ragioni di disponibilità o popolarità.
I bot IoT utilizzano un approccio diretto alla propagazione: scelgono un obiettivo in modo casuale e continuano a tentare di colpirlo finché l’attacco non riesce o l’elenco non si esaurisce. Fino a quando i criminali informatici non adotteranno un metodo più sofisticato, i ricercatori che operano nel campo della sicurezza potranno identificare i loro obiettivi con l’ausilio degli honeypot.
“Pur non rappresentando una scienza esatta – ha concluso Bing – lo studio del comportamento delle botnet IoT può aiutarci a comprendere meglio le tecniche di individuazione degli obiettivi e le metodologie impiegate dagli operatori delle botnet. Dall’analisi di questi trend a livello globale e regionale emerge un dilagante ecosistema IoT, pronto a essere depredato”.