Gli attacchi verso i dispositivi dell'IoT sono in crescita costante. Dopo l'insidioso malware Mirai in circolazione dal 2016, il fenomeno delle botnet è esploso. Gli esperti le hanno soprannominate thingbot: sono dispositivi IoT infetti, che diventano componenti attivi di una botnet. Queste ultime vengono impiegate per attacchi informatici su larga scala. Una nuova ricerca promossa dagli F5 Labs mostra come la diffusione delle thingbot continui senza sosta.

Nella relazione The Hunt for IoT, F5 Labs evidenzia 26 nuove thingbot, scoperte tra ottobre 2018 e gennaio 2019. Possono essere cooptate dagli hacker per diventare parte di botnet di oggetti in rete. Il dato è allarmante, se si pensa che nel 2017 ne furono scoperte solo sei.

L'interesse degli hacker è attirato dal successo dell'IoT. Secondo la società di ricerche di mercato Gartner, entro il prossimo anno ci saranno oltre 20 miliardi di dispositivi IoT in circolazione. Un'analisi di DBS Bank calcola che in 10 anni l’adozione dei dispositivi IoT coprirà il 100% del mercato. F5 Labs considera a rischio il 62% dei prodotti in circolazione. Significa che si può ipotizzare una superficie di minaccia di almeno 12 miliardi di dispositivi IoT.

Secondo Sara Boddy di F5 Labs "il numero di minacce IoT continuerà ad aumentare fino a quando non saranno i clienti a pretendere strategie di sviluppo più sicure. Questo processo non è ancora iniziato e passeranno anni prima di notare un impatto rilevante". Ossia prima che arrivino in commercio dispositivi IoT sicuri. "Nel frattempo tutti, dagli hacker alle prime armi fino agli Stati, continueranno a compromettere i dispositivi IoT” conclude l'esperta.

I prodotti IoT testati da F5 Labs sono dispositivi utilizzati nei deployment mission-critical. Di quelli testati, il 62% era vulnerabile. L'altra cattiva notizia è che dalla metà del 2017, l'Europa è l’obiettivo più vulnerabile ai futuri attacchi. Baffin Bay Networks, partner di F5 Labs, stima che l'Europa ospiti un numero di scanner Mirai maggiore di qualsiasi altra area del mondo. Gli scanner sono dispositivi IoT compromessi che concorrono a diffondere l'infezione.

Dispositivi IoT infetti da Mirai il 30 giugno 2019Mirai, inoltre, non è più solo: c'è un'enormità di varianti e derivati. Il 46% delle nuove thingbot scoperte è una variante di Mirai, e quasi tutte possono fare ben di più che lanciare attacchi DDoS. Hanno gli strumenti per effettuare deployment di proxy server, mining di criptovalute o installare altri bot.

I dispositivi più attaccati sono i router per Small Office e Home Office, le telecamere IP, i DVR, gli NVR e le TVCC. Le thingbot prendono di mira sempre di più i dispositivi IoT che utilizzano HTTP e che usano servizi esposti pubblicamente.

Il 30% delle nuove thingbot colpisce vulnerabilità note, con attacchi a basso costo. La vendita di servizi botnet non è più circoscritta ai forum nascosti nel dark web, ma è rintracciabile nelle piattaforme mainstream come Instagram. I piani di abbonamento per i servizi botnet possono costare solo 5 dollari al mese.

Alla luce di quanto noto, perché non è semplice bloccare le botnet? Perché mancano molti dettagli su come operano. Gli esperti di sicurezza possono scoprirle prima che l’attacco venga sferrato. Però spesso non riescono ad affrontare in tempo gli attacchi a causa delle leggi che regolano l'accesso non autorizzato a un sistema. Per farlo occorrerebbe analizzare o utilizzare i dispositivi infetti, cosa che è vista come un'operazione di hacking.