• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Lo streaming dei dati abilita l’innovazione dei prodotti AI
    • StarWind Software acquisita da DataCore
    • Dell Technologies per progettare data center più moderni
    • OVHcloud lancia il nuovo data center a Milano, con il Public Cloud disponibile nella multizona 3-AZ
    • Portworx e Red Hat per promuovere risparmi e semplicità operativa
    • Cyber attacchi: l’Italia è maglia nera mondiale
    • Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi
    • Attacchi informatici: Russia, UE e Asia nel mirino
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Categorie Funzionali»Posizione Home-Page»Posizione Primo Piano»L’ascesa delle botnet IoT

    L’ascesa delle botnet IoT

    By Laura Del Rosario07/12/20175 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Quando una semplice tavoletta da disegno si trasforma in veicolo di attacco

    A cura di Justin Fier, Director of Cyber Analysis di Darktrace

    All'inizio di quest'anno, Darktrace ha rilevato una nuova botnet sfruttata per un attacco di tipo reflection e amplification su vasta scala contro alcune organizzazioni a livello mondiale, compresi diversi organismi governativi. Anche se già analizzata nel nostro 2017 Threat Report, questa tipologia di attacco è più pertinente che mai alla luce di nuovi hacks più estesi e sofisticati ai dispositivi IoT. È il caso della Botnet Reaper, identificata il mese scorso, che sicuramente farà parlare ancora di sé il prossimo anno.

    Questa nuova tipologia di botnet non stava utilizzando computer desktop per sostenere l’attacco,come faceva Srizbi quando inviava 60 miliardi di mail di spam al giorno. In più, stava impiegando tecniche ben distinte anche da quelle di Mirai, che utilizzava DRV e router per generare attacchi DNS DDoS con velocità fino a 1Tbps.

    Invece, questa botnet stava controllando una grande varietà di dispositivi IoT, persino i pad da disegno. Anche se, complessivamente, i dispositivi coinvolti erano meno rispetto ad altre botnet, attraverso attacchi reflection e amplification usando SNMP, Reaper stava tentando di lanciare un potente attacco denial-of-service.

    Tutto è iniziato in modo familiare; uno studio di architettura ha introdotto una funzionalità aggiuntiva di smart drawing nei propri network pad senza avvisare il team IT, e i loro controlli di sicurezza interni non hanno avuto modo di identificare i dispositivi vulnerabili. Come tale, le credenziali dell'utente di questi dispositivi non sono mai state modificate rispetto a quelle preimpostate di fabbrica. Credenziali che quindi, insieme alla loro stringa pubblica per l'autenticazione SNMP, erano disponibili al pubblico su Shodan, che mostrava anche come i dispositivi avessero delle porte aperte per HTTP, HTTPS, Telnet e SIP.

    Darktrace ha rilevato la vulnerabilità quando centinaia di indirizzi IP esterni da tutto il mondo hanno iniziato ad effettuare migliaia di connessioni SNMP ai dispositivi usando la porta UDP 161. Oltre il 99 per cento di queste connessioni conteneva almeno una "GetBulkRequest", un'operazione SNMP utilizzata per il recupero di grandi quantità di dati.

    In risposta a queste richieste, i dispositivi hanno emesso un numero esponenzialmente maggiore di messaggi "GetResponse", alcuni dei quali contenevano fino a 397.000 oggetti "GetResponse". In 64 casi, i dispositivi caricavano oltre 1 MB di dati.

    Darktrace_schema1

    La normale attività di rete di questi dispositivi comportava l'uso occasionale di "GetBulkRequests" e "GetResponses". Pertanto, questi picchi di attività sono stati considerati altamente anomali dagli algoritmi AI di Darktrace, i quali avevano ormai una profonda comprensione dei comportamenti abituali dei dispositivi.

    La minaccia è stata rilevata in tempo reale e il team di sicurezza dell’azienda l’ha potuta identificare fin dalle fasi iniziali, durante le quali la visibilità sulla rete di Darktrace ha fornito analisi dettagliate sull'incidente.

    Darktrace_schema2

    Darktrace_schema3L'uso di SNMP versione 2c e "GetBulkRequests" sono segnali rivelatori di un attacco di tipo reflection and amplification, che utilizza risorse minime per generare attacchi di grandi dimensioni. Alla fine, 273.2 MiB di dati avevano lasciato i dispositivi sfruttando la porta 161.

    I trasferimenti di dati esterni sulla porta 80 indicavano che l'attacco stava andando oltre, e numerosi dispositivi esterni stavano tentando di accedere alle risorse HTTP dei dispositivi, molte delle quali erano file PHP amministrativi.

    A seguire trovate un esempio delle risorse alle quali i dispositivi esterni stavano tentando di accedere tramite HTTP:

    /phpMyAdmin-2.11.1.0/scripts/setup.php
    /a_remotecontrol.htm
    /phpMyAdmin-3.1.2.0-all-languages/scripts/setup.php
    /mysqladmin/scripts.setup.php

     

     

     

     

    Infine, Shodan ha anche rivelato che i dispositivi stavano eseguendo un server SIP accessibile sulla porta 5060. L'analisi dei pacchetti ha mostrato che i dispositivi esterni "dialogavano" con gli altri dispositivi e tentavano di effettuare chiamate VoIP – un comportamento anomalo dell’attaccante che rimane, al momento, inspiegabile.

    Darktrace_schema4

    Gli indirizzi IP di destinazione sono stati probabilmente falsificati. L’invio di centinaia di "GetBulkRequests" dagli IP falsificati delle reti target ha costretto i pad da disegno a rimandare un numero oltre 100 volte superiore di "GetResponses". Gli IP target appartenevano a siti internet gestiti da società di intrattenimento e design, e persino da enti governativi.

    Segnalando le richieste anomale di SNMP non appena sono iniziate, il team di sicurezza dell'azienda è stato in grado di scollegare dalla rete i pad grafici prima che il danno diventasse irreparabile. Se gli attaccanti fossero riusciti a sabotare le reti, l'azienda avrebbe potuto essere soggetta ad azioni legali. A seguito dell’accaduto, l’azienda ha rivisto le proprie policy di sicurezza facendo passi da gigante per proteggere tutti i dispositivi IoT sulla propria rete e ridurre al minimo il rischio di incidenti futuri.

    Questo esempio testimonia la potenza degli attacchi di tipo reflection and amplification. Non è chiaro quanti e quali altri dispositivi siano stati utilizzati in questo attacco, ma è interessante notare che un numero esiguo di dispositivi IoT in uno studio di architettura abbiano generato una quantità allarmante di traffico.


    Visto l’aumento della diffusione dei device IoT, che in molti casi sono distribuiti con preimpostazioni non sicure, l’utilizzo di questa tipologia di botnet è destinato ad aumentare, rendendo la capacità di identificare e rispondere in tempo reale a queste minacce un elemento sempre più fondamentale per le aziende.

    botnet IoT Darktrace
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Laura Del Rosario

    Correlati

    Dell Technologies per progettare data center più moderni

    22/05/2025

    Portworx e Red Hat per promuovere risparmi e semplicità operativa

    22/05/2025

    Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi

    21/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025
    Report

    Lo streaming dei dati abilita l’innovazione dei prodotti AI

    22/05/2025

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.