CZ.NIC rileva un sensibile inasprimento degli attacchi brute-force diretti a Telnet

Secondo i dati resi noti dall’amministratore del dominio nazionale della Repubblica Ceca, l’associazione CZ.NIC, verso la fine del mese di maggio è considerevolmente aumentato il numero dei tentativi effettuati – tramite attacchi brute-force nei confronti di Telnet – per ottenere l’accesso remoto a dispositivi connessi in Rete; il volume complessivo di tali attacchi si è rivelato essere di ben tre volte superiore al numero totale di assalti informatici analoghi rivolti al protocollo SSH. Nel corso dei mesi successivi, il flusso malevolo diretto alle “trappole” Telnet appositamente predisposte dall’operatore CZ.NIC ha fatto registrare una lieve diminuzione, anche se, finora, esso è risultato doppio rispetto al livello per esso riscontrato nella primavera scorsa. Si è potuto nel frattempo determinare che l’attività dannosa principale si concentra su router domestici e telecamere adibite alla videosorveglianza; con ogni probabilità, i malintenzionati stanno costruendo una nuova botnet (per la conduzione di attacchi DDoS, ad esempio), oppure stanno ampliando l’estensione di reti-zombie già esistenti.

Secondo quanto asseriscono i ricercatori cechi, sia Telnet, sia SSH, vengono utilizzati, nella circostanza, per interagire da remoto con i dispositivi presi di mira; entrambi offrono l’accesso tramite console interattiva, e tale caratteristica fa sì che essi godano di particolare “popolarità”, presso i potenziali malfattori. Occorre tuttavia sottolineare come, durante questi ultimi anni, il protocollo SSH, che offre, indiscutibilmente, maggiori garanzie di sicurezza, sia divenuto, “de facto”, lo standard utilizzato per tale genere di connessioni; coloro che intraprendono attacchi a forza bruta sono perfettamente a conoscenza di tale elemento, e quindi, abitualmente, scelgono proprio tale servizio come bersaglio prediletto. Il repentino aumento del numero dei tentativi di login remoto tramite Telnet può essere considerato, pertanto, un fenomeno tutt’altro che ordinario; gli esperti che operano presso l’associazione CZ.NIC hanno quindi deciso di cercare di comprendere bene cosa stesse effettivamente succedendo.

In primo luogo, essi hanno rilevato un significativo aumento del numero degli indirizzi IP dai quali venivano condotti gli attacchi in questione. “Si è registrato un particolare momento in cui il parametro giornaliero relativo al numero di indirizzi IP unici è addirittura cresciuto da circa 30.000 ad oltre 100.000 unità”, – scrive Bedřich Košata sul blog di CZ.NIC. Suddividendo per paesi le fonti geografiche del traffico brute-force in questione, è emerso come la maggior parte dello stesso provenisse dal territorio di Cina, Brasile, India, Taiwan e Vietnam. È stato ugualmente osservato un significativo aumento delle attività malevole condotte attraverso ulteriori indirizzi IP; tale incremento, tuttavia, non si è dimostrato particolarmente rilevante.

L’utilizzo del noto motore di ricerca Shodan ha permesso di stabilire che, su 6,5 milioni di IP complessivamente coinvolti negli attacchi brute-force qui descritti, oltre 1.800.000 di tali indirizzi (poco più del 27%) poteva essere associato a server HTTP e RTSP (Real Time Streaming Protocol), di tipo embedded. È stato rilevato, nella circostanza, come il livello di attività nociva più elevato sia stato fatto registrare dai webserver RomPager, utilizzati nell’ambito di numerosi router domestici ben conosciuti per serie vulnerabilità di sicurezza da essi manifestate in passato. Il secondo posto di tale particolare graduatoria è andato ad appannaggio di una versione ormai obsoleta del popolare toolkit gSOAP. All’interno della speciale classifica relativa ai prodotti maggiormente “attivi”, troviamo poi, in successione, H264DVR 1.0 (tale sigla identifica un server RTSP per prodotti DVR online) ed i server RTSP riconducibili a Dahua Technology, impiegati nell’ambito delle telecamere di videosorveglianza (CCTV).

Al momento attuale, CZ.NIC registra, ogni giorno, la comparsa di circa 20.000 nuovi indirizzi IP in grado di generare traffico dannoso. Per fare in modo che gli utenti possano verificare se, nel quadro della cyber-campagna malevola attualmente in corso, i propri dispositivi siano stati compromessi o meno, i ricercatori hanno allestito un apposito servizio online, AmIHacked.turris.cz. Indipendentemente dal risultato che si può ottenere attraverso tale verifica, Bedřich Košata consiglia, in ogni caso, di limitare le possibilità di accesso ai dispositivi “intelligenti” connessi in Rete, ponendo a protezione degli stessi opportuni firewall.

Fonte: CZ.NIC

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *