Un milione di dispositivi IoT già compromessi | IoTroop, il malware che attacca le fotocamere IP

Una nuova botnet è stata individuata dagli esperti dell’azienda di sicurezza israeliana Check Point ed è molto più sofisticata delle strutture individuate in passato

La botnet dell’Internet of Things (IoT botnet) più popolare a oggi è sicuramente la Mirai Botnet che lo scorso anno fu utilizzata in numerosi attacchi, come quello contro i sistemi dell’azienda Dyn e contro svariate centinaia di migliaia di router del colosso delle telecomunicazioni Deutsche Telekom. Gli attacchi hanno dimostrato quanto siano vulnerabili i sistemi dell’Internet delle cose a causa della progettazione e di configurazioni che ignorano spesso i requisiti di base per la sicurezza di questi dispositivi. Premesso ciò, nuvole tempestose appaiono all’orizzonte, una nuova botnet, denominata IoTroop, è stata individuata dagli esperti dell’azienda di sicurezza israeliana Check Point alla fine di settembre.

Un milione di vittime

Secondo gli esperti, questa nuova botnet è molto più sofisticata delle strutture individuate in passato. Sebbene la botnet sia emersa da poche settimane, il malware ha già infettato più di un milione di organizzazioni in tutto il mondo. Il codice dannoso cerca di sfruttare molte vulnerabilità note nei principali modelli di fotocamere IP, tra cui GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys e Synology. Analizzando il codice malevolo, gli esperti hanno scoperto che il malware, una volta compromesso il dispositivo, prova a propagarsi sfruttando le stesse falle che gli hanno consentito di infettare il sistema iniziale.

Secondo il rapporto pubblicato da Check Point

Giorno dopo giorno, il malware si sta evolvendo per sfruttare un numero sempre maggiore di vulnerabilità nei dispositivi Wireless IP Camera come GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology ed altri. Gli esperti hanno constatato che i tentativi di attacco provengono da fonti molte diverse soprattutto dispositivi dell’Internet delle cose, il che suggerisce che l’attacco sia diffuso proprio attraverso gli stessi dispositivi IoT compromessi

Nel grafico seguente è riportato il numero di indirizzi IP da cui sono originati gli attacchi, è evidente che tale numero sia cresciuto rapidamente in appena due settimane.

Secondo Check Point

Ad oggi stimiamo che oltre un milione di organizzazioni siano già state colpite in tutto il mondo, tra cui gli Stati Uniti, l’Australia ed ovunque il numero sta aumentando

 

Così compromette i dispositivi

Gli esperti hanno condiviso alcune informazioni inerenti l’indagine sulla botnet IoTroop, in particolare i ricercatori si sono focalizzati sull’investigazione condotta su di un dispositivo compromesso GoAhead. Gli esperti hanno constatato che gli attaccanti hanno accesso al file System.ini. Questo file contiene normalmente le credenziali dell’utente, ma nel caso del dispositivo compromesso conteneva un comando Netcat per aprire una “reverse shell” sul dispositivo compromesso, ovvero un canale per consentire all’attaccante di impartire comandi come se operasse localmente sulla sua macchina.

Gli attaccanti hanno sfruttato la falla codificata come CVE-2017-8225 per attaccare il dispositivo IoT.

Osserva Check Point

Questi attacchi provengono da molti tipologie diverse di dispositivi e da molti paesi diversi, pari a circa il 60% delle reti aziendali che fanno parte della rete globale di ThreatCloud

Minaccia concreta

Il rapporto pubblicato da CheckPoint include un elenco delle famiglie di dispositivi IoT presi di mira dal malware, anche se la motivazione degli attaccanti non è chiara, gli esperti speculano che la botnet potrebbe essere utilizzato per alimentare attacchi DDoS. Per farvi comprendere quanto sia concreta la minaccia della nuova IoTroop botnet, vi basti pensare che nel caso della Botnet Mirai furono sufficienti 100.000 dispositivi infetti per buttare giù i sistemi dell’azienda Dyn, ma la nuova botnet già ne possiede molti in più.

Proteggete il vostro IoT

Con l’aumento esponenziale del numero di dispositivi connessi è bene prendere conoscenza dei rischi cui ci si espone trascurando la sicurezza di questi dispositivi. Vi lascio con semplici suggerimenti, sicuro che possano tornarvi utili per la protezione dei dispositivi dell’internet delle cose:

  1. Modificate le password predefinite dei dispositivi.
  2. Disattivate il protocollo plug-and-play universale (UPnP) che è stato concepito per consentire l’interconnessione di diversi dispositivi.
  3. Disattivare la modalità di gestione remota tramite Telnet.
  4. Controllare che gli aggiornamenti software e le patch siano correttamente installati.