Gli attacchi verso i
dispositivi dell'IoT sono in crescita costante. Dopo l'insidioso
malware Mirai in circolazione dal 2016, il fenomeno delle botnet è esploso. Gli esperti le hanno soprannominate thingbot: sono dispositivi IoT infetti, che diventano componenti attivi di una
botnet. Queste ultime vengono impiegate per
attacchi informatici su larga scala. Una nuova ricerca promossa dagli
F5 Labs mostra come la diffusione delle thingbot continui senza sosta.
Nella relazione
The Hunt for IoT, F5 Labs evidenzia
26 nuove thingbot, scoperte tra ottobre 2018 e gennaio 2019. Possono essere cooptate dagli hacker per diventare parte di botnet di oggetti in rete. Il dato è allarmante, se si pensa che nel 2017 ne furono scoperte solo sei.
L'interesse degli hacker è attirato dal successo dell'IoT. Secondo la società di ricerche di mercato
Gartner, entro il prossimo anno ci saranno oltre 20 miliardi di dispositivi IoT in circolazione. Un'analisi di
DBS Bank calcola che in 10 anni l’adozione dei dispositivi IoT coprirà il 100% del mercato. F5 Labs considera a rischio il 62% dei prodotti in circolazione. Significa che si può ipotizzare
una superficie di minaccia di almeno 12 miliardi di dispositivi IoT.
Secondo Sara Boddy di F5 Labs "il numero di minacce IoT continuerà ad aumentare fino a quando non saranno i clienti a
pretendere strategie di sviluppo più sicure. Questo processo non è ancora iniziato e passeranno anni prima di notare un impatto rilevante". Ossia prima che arrivino in commercio dispositivi IoT sicuri. "Nel frattempo tutti, dagli hacker alle prime armi fino agli Stati, continueranno a compromettere i dispositivi IoT” conclude l'esperta.
I prodotti IoT testati da F5 Labs sono dispositivi utilizzati nei deployment mission-critical. Di quelli testati, il 62% era vulnerabile. L'altra cattiva notizia è che dalla metà del 2017,
l'Europa è l’obiettivo più vulnerabile ai futuri attacchi. Baffin Bay Networks, partner di F5 Labs, stima che l'Europa ospiti un numero di scanner Mirai maggiore di qualsiasi altra area del mondo. Gli scanner sono dispositivi IoT compromessi che concorrono a diffondere l'infezione.
Dispositivi IoT infetti da Mirai il 30 giugno 2019Mirai, inoltre, non è più solo: c'è un'enormità di
varianti e derivati. Il 46% delle nuove thingbot scoperte è una variante di Mirai, e quasi tutte possono fare ben di più che lanciare
attacchi DDoS. Hanno gli strumenti per effettuare deployment di proxy server, mining di criptovalute o installare altri bot.
I
dispositivi più attaccati sono i router per Small Office e Home Office, le telecamere IP, i DVR, gli NVR e le TVCC. Le thingbot prendono di mira sempre di più i
dispositivi IoT che utilizzano HTTP e che usano servizi esposti pubblicamente.
Il 30% delle nuove thingbot
colpisce vulnerabilità note, con attacchi a basso costo. La vendita di servizi botnet non è più circoscritta ai forum nascosti nel dark web, ma è rintracciabile nelle piattaforme mainstream come Instagram. I piani di abbonamento per i servizi botnet possono costare solo 5 dollari al mese.
Alla luce di quanto noto,
perché non è semplice bloccare le botnet? Perché mancano molti dettagli su come operano. Gli esperti di sicurezza possono scoprirle prima che l’attacco venga sferrato. Però spesso non riescono ad affrontare in tempo gli attacchi a causa delle leggi che regolano l'accesso non autorizzato a un sistema. Per farlo occorrerebbe analizzare o utilizzare i dispositivi infetti, cosa che è vista come un'operazione di hacking.