“Trappole” per l’Internet delle Cose

Nel 2016 si è verificata una serie di eventi che ha sensibilmente aumentato il livello di interesse nei confronti del tema riguardante la sicurezza dei cosiddetti dispositivi intelligenti. Tra questi ricordiamo, ad esempio, gli attacchi DDoS da record, per potenza da essi dispiegata, portati nei confronti di OVH, società francese specializzata nell’hosting, e del provider DNS americano Dyn. È ben noto, ormai, come tali assalti informatici siano stati condotti attraverso un’imponente botnet composta da router, telecamere IP, stampanti ed altri dispositivi.

Verso la fine dell’anno scorso, inoltre, in tutto il mondo si è venuto a sapere dell’esistenza di una botnet a dir poco gigantesca (quasi 5 milioni di dispositivi), formata da router. La compromissione dei router ha interessato anche Deutsche Telekom, il gigante tedesco delle telecomunicazioni; nella circostanza, i dispositivi dei clienti della nota società sono stati infettati da Mirai. La cosa, poi, non si è limitata alle apparecchiature di rete: sono stati in effetti rilevati problemi legati alla sicurezza anche sulle lavastoviglie “intelligenti” Miele e sulle piastre da cucina AGA. La “ciliegina sulla torta” si è infine rivelata essere il malware BrickerBot, il quale, a differenza dei suoi “colleghi”, non solo ha infettato i dispositivi vulnerabili, ma ha ugualmente messo questi ultimi del tutto fuori uso.

Secondo i dati resi noti da Gartner, nel mondo si contano, attualmente, più di 6 miliardi di dispositivi “intelligenti”. Una simile quantità di apparecchi potenzialmente vulnerabili non è di certo passata inosservata agli occhi dei cybercriminali: basti pensare che, in base ai dati relativi alla situazione esistente al mese di maggio 2017, è risultato che nella “collezione” di Kaspersky Lab si trovavano già alcune migliaia di sample, di vario genere, inerenti a programmi malware destinati ai dispositivi “intelligenti”; il dato indubbiamente sorprendente è che circa la metà di tali sample di malware è stata aggiunta alla nostra raccolta proprio nel 2017.

Il considerevole aumento del numero dei sample di malware destinato ai dispositivi “intelligenti” – Situazione relativa al periodo 2013-2017

Una seria minaccia per l’utente finale

La presenza, all’interno della rete domestica, di un dispositivo IoT mal configurato, oppure contenente delle vulnerabilità, può di fatto produrre spiacevoli conseguenze. Uno degli scenari in assoluto più diffusi è rappresentato dall’inserimento del dispositivo nella composizione di una botnet. E questa, forse, è la variante più “innocua”, o se vogliamo meno “dolorosa”, per il proprietario dello stesso; le altre varianti previste per quel che riguarda l’utilizzo, o per meglio dire lo sfruttamento malevolo del dispositivo IoT, sono in effetti ancor più pericolose. I dispositivi situati all’interno del network domestico, in effetti, possono essere utilizzati in qualità di “anello intermedio” per il compimento di atti illeciti di vario genere. Inoltre, il malintenzionato che riesce ad ottenere l’accesso al dispositivo IoT può spingersi sino a spiare il proprietario di quest’ultimo, con il preciso scopo di ricattare, poi, la propria vittima: incidenti del genere, purtroppo, si sono già verificati. Il dispositivo infettato dal malware, infine, può essere semplicemente messo fuori uso; e neppure questo è il peggiore scenario che si possa presentare.

Le principali problematiche legate ai dispositivi “intelligenti”

Il firmware

Si osserva, in primo luogo, come nella migliore delle ipotesi i produttori rilascino in ritardo gli aggiornamenti software per i propri dispositivi “intelligenti”. Nella peggiore, invece (ed è questo il caso più frequente), il firmware non viene in alcun modo aggiornato; in molti dispositivi non è persino prevista la possibilità di installare degli update.

Il software che consente a tali apparecchi di poter funzionare può di fatto contenere dei bug, i quali possono essere sfruttati dai malintenzionati. Il Trojan denominato PNScan (Trojan.Linux.PNScan), ad esempio, ha cercato di compromettere i router avvalendosi di una delle seguenti vulnerabilità:

• CVE-2014-9727, per gli attacchi diretti ai router Fritz!Box;
• La vulnerabilità individuata nel protocollo HNAP (Home Network Administration Protocol) e la vulnerabilità CVE-2013-2678, utilizzata per condurre gli attacchi rivolti ai router Linksys;
• ShellShock (CVE-2014-6271).

In caso di esito positivo dell’attacco, il suddetto malware avrebbe infettato i dispositivi mediante l’utilizzo della famigerata backdoor Tsunami.

Il Trojan Persirai, da parte sua, ha sfruttato una vulnerabilità presente in oltre 1.000 diversi modelli di telecamera IP. Nel caso in cui l’assalto fosse riuscito, il Trojan avrebbe potuto eseguire del codice arbitrario sul dispositivo infetto, con diritti di superutente.

Un’ulteriore falla di sicurezza ha poi riguardato l’implementazione del protocollo TR-069. Quest’ultimo risulta preposto alla gestione da remoto dei dispositivi, da parte dell’operatore; tale protocollo si basa su SOAP, che, a sua volta, utilizza il formato XML al momento della trasmissione dei comandi. E proprio nel parser dei comandi è stata rilevata una vulnerabilità. Un simile metodo di infezione è stato utilizzato nell’ambito di alcune versioni del Trojan Mirai, ed anche con il malware Hajime. I dispositivi di Deutsche Telekom sono stati infettati proprio così.

Password, Telnet e SSH

Desideriamo porre in evidenza un ulteriore problema; si tratta di quello relativo alle password impostate dal produttore del dispositivo. Queste ultime, in effetti, possono essere del tutto identiche non solo relativamente ad uno specifico modello di apparecchio, ma possono rivelarsi tali anche per l’intera linea di prodotti. Si tratta di una situazione niente affatto “nuova”, al punto che gli elenchi delle combinazioni login/password possono essere reperiti in Internet senza particolare difficoltà; una simile circostanza, ovviamente, viene sfruttata anche dai malintenzionati. Il compito di questi ultimi viene poi ulteriormente agevolato dal fatto che una significativa parte dei dispositivi “intelligenti” comunica con l’esterno tramite le porte Telnet e/o SSH.

Ecco come appare, ad esempio, l’elenco delle coppie login-password su una delle versioni del programma Trojan Gafgyt (Backdoor.Linux.Gafgyt):

Le statistiche

Abbiamo provveduto ad allestire alcune “trappole” (honeypot), preposte a simulare la presenza di vari dispositivi con sistema operativo Linux, con il preciso intento di osservare cosa sarebbe poi accaduto, con le stesse, “in-the-wild”. I risultati non si sono fatti attendere: i primi tentativi di connessione alla porta Telnet aperta, in effetti, sono stati da noi rilevati già entro pochi secondi. Nel giro di 24 ore, poi, sono state addirittura individuate varie decine di migliaia di tentativi di accesso da parte di indirizzi IP unici.

Numero di tentativi di connessione alle nostre speciali “trappole” (honeypot ), effettuati attraverso indirizzi IP unici – Periodo: gennaio – aprile 2017

Come si può vedere nel grafico qui sotto riportato, nella maggior parte dei casi da noi rilevati è stato utilizzato il protocollo Telnet; la quota rimanente si è rivelata invece attribuibile al protocollo SSH.

Ripartizione dei tentativi di connessione ai nostri honeypot, in base al tipo di protocollo
(e relativa porta) utilizzati – Periodo: gennaio – aprile 2017

L’elenco delle combinazioni login/password utilizzate con maggior frequenza, da parte dei malware, durante i tentativi di connessione alla porta Telnet, è risultato essere il seguente:

Come emerge dalla tabella qui sotto inserita, l’elenco delle combinazioni maggiormente diffuse, nell’ambito degli attacchi diretti alla porta SSH, si differenzia rispetto al precedente, anche se non in maniera così netta:

Oltre il 63% dei dispositivi da noi osservati, utilizzati dai malintenzionati in qualità di vettore di attacco, è risultato far parte della categoria che riunisce i servizi DVR (videoregistratori digitali) e le telecamere IP; un ulteriore 16%, all’incirca, si è poi rivelato ascrivibile a dispositivi di rete di vario genere, tra i quali spiccano i router di quasi tutti i principali produttori. L’1% è andato ad appannaggio, complessivamente, dei ripetitori Wi-Fi ed altre apparecchiature di rete, set-top box per TV, telefonia IP, nodi di uscita Tor, stampanti, e dei dispositivi utilizzati dentro le mura della “casa intelligente”. Non è stato ad ogni caso possibile identificare in maniera certa ed univoca circa il 20% dei dispositivi utilizzati per la conduzione degli attacchi.

Ripartizione delle fonti degli attacchi in base al tipo di dispositivo utilizzato –
Periodo: gennaio – aprile 2017

La maggior parte degli indirizzi IP dai quali sono pervenuti, sugli honeypot da noi predisposti, i tentativi di connessione, risponde alle richieste HTTP. È stato inoltre rilevato come, nella maggior parte dei casi, dietro un unico indirizzo IP possano celarsi vari dispositivi (viene utilizzata, nella circostanza, la tecnologia NAT). Alla richiesta HTTP, poi, non risponde necessariamente il dispositivo attraverso il quale è stato portato l’attacco nei confronti del nostro honeypot; di solito, tuttavia, avviene così.

In risposta a tale richiesta giunge una pagina web: può trattarsi del pannello di controllo del dispositivo, di qualche specifico monitoring o, ad esempio, di un video ripreso dalla telecamera. In base alla pagina ricevuta, si può tra l’altro provare a determinare di quale tipo di dispositivo si tratti. Riportiamo, qui di seguito, l’elenco delle intestazioni delle pagine web che si incontrano più di frequente, per quel che riguarda i dispositivi da cui vengono lanciati gli attacchi:

Sui nostri honeypot siamo tuttavia in grado di vedere soltanto una certa parte dei dispositivi. Se poi vogliamo stimare quanti dispositivi dello stesso identico tipo vi siano ancora, nel mondo, vengono opportunamente in nostro soccorso speciali servizi di ricerca, quali i search engine Shodan o ZoomEye. Questi ultimi eseguono la scansione delle varie gamme di indirizzi IP relativamente ai servizi supportati, interrogano gli stessi ed indicizzano i risultati. Da parte nostra, abbiamo provveduto a selezionare le intestazioni maggiormente diffuse riguardo a telecamere IP, DVR e router, ricercandole poi su ZoomEye. I risultati ottenuti si sono rivelati davvero sorprendenti: abbiamo in effetti individuato milioni di dispositivi che possono essere potenzialmente infettati dal malware (e, molto probabilmente, sono già infetti).

Numero di indirizzi IP relativi a dispositivi potenzialmente vulnerabili – Telecamere IP e DVR

Numero di indirizzi IP relativi a dispositivi potenzialmente vulnerabili – Router

È inoltre di particolare interesse, nonché sorprendente, rilevare il fatto che fanno parte del novero delle apparecchiature di rete i cui attacchi sono stati osservati sui nostri honeypot, non solo i dispositivi utilizzati in ambito domestico, ma anche apparecchi riconducibili alla classe industriale.

Tuttavia, ciò che è ancor più pericoloso, relativamente agli indirizzi IP attraverso i quali vengono condotti gli attacchi, è il fatto che, tra di essi, si trovano ugualmente indirizzi che fanno capo a sistemi di monitoraggio, e/o di gestione dei dispositivi, correlati al mondo dell’industria e alla sfera della sicurezza:

• Terminali POS installati in negozi, ristoranti e stazioni di servizio stradali
• Sistemi di telediffusione digitale
• Sistemi di protezione e controllo degli accessi
• Dispositivi di monitoraggio ecologico
• Monitoraggio della stazione sismica di Bangkok
• Microcontrollori programmabili, utilizzati nell’industria
• Sistemi di gestione dell’alimentazione elettrica

Non possiamo ad ogni caso confermare, da parte nostra, che proprio i dispositivi qui sopra elencati siano infetti. Abbiamo tuttavia visto attacchi, indirizzati ai nostri honeypot, provenire dai relativi indirizzi IP; questo sta a significare, come minimo, l’effettiva presenza di un’infezione su uno o su alcuni dei dispositivi situati all’interno della corrispondente rete informatica.

Ripartizione geografica dei dispositivi infetti

Se andiamo ad esaminare l’ubicazione geografica dei dispositivi IoT i cui indirizzi IP sono risultati essere la fonte degli attacchi rilevati sugli honeypot da noi allestiti, si presenta il quadro seguente:

Ripartizione per paesi degli indirizzi IP relativi ai dispositivi utilizzati per gli attacchi –
Periodo: gennaio – aprile 2017

Come abbiamo sottolineato in precedenza, la maggior parte dei dispositivi infetti è rappresentata da telecamere IP e videorecorder DVR; un elevato numero di tali apparecchi risulta ampiamente diffuso in Cina e Vietnam, così come in Russia, Brasile, Turchia ed altri paesi ancora.

Ripartizione geografica degli indirizzi IP dei server dai quali viene caricato il malware sui dispositivi IoT

Complessivamente, nel 2017, sono stati da noi rilevati oltre 2 milioni di tentativi di compromissione, e più di 11.000 indirizzi IP unici dai quali è stato realizzato il download del malware destinato agli apparecchi IoT.

La suddivisione geografica di tali indirizzi IP, in base ai vari paesi, è risultata essere la seguente (ТОР 10):

Se poi basiamo la ripartizione non sugli indirizzi IP, ma sul numero di download effettuati, il quadro appare in maniera decisamente diversa:

Riteniamo che una simile differenza sia dovuta alla presenza, in questi paesi, dei cosiddetti server “bulletproof”, i quali sono in grado di garantire, in maniera particolarmente “affidabile”, una diffusione del malware molto più rapida rispetto ai dispositivi infetti.

Ripartizione del livello di attività degli attacker in base ai vari giorni della settimana

Durante il delicato processo di analisi delle attività svolte dalle botnet IoT, sono stati da noi individuati specifici parametri relativi al funzionamento delle stesse. Abbiamo ad esempio osservato come i picchi di attività (scansione, attacchi brute-force rivolti alle password, tentativi di connessione) si verifichino, spesso, in determinati giorni della settimana.

Ripartizione del livello di attività degli attaccanti in base ai vari giorni della settimana –
Situazione relativa al mese di aprile 2017

Probabilmente, anche per i malintenzionati che sferrano gli attacchi informatici in questione, il lunedì si rivela essere una giornata particolarmente “difficile, faticosa e pesante”, come si dice di solito in Russia. Di fatto, non siamo riusciti ad individuare altre possibili spiegazioni, riguardo a tale singolare dinamica.

Conclusioni

Il sensibile aumento del numero di programmi maligni destinati al mondo dell’Internet of Things, e degli incidenti informatici ad essi collegati, dimostra in maniera evidente quanto sia già serio e preoccupante il problema della sicurezza dei dispositivi “intelligenti”. Ciò che è avvenuto, a tal proposito, nell’anno 2016, ha ampiamente evidenziato che non si tratta soltanto di una minaccia possibile, bensì di una minaccia del tutto reale ed effettiva. La forte concorrenza che si manifesta sul “mercato” degli attacchi DDoS spinge di fatto i malintenzionati verso la ricerca di nuove risorse, in grado di consentire a questi ultimi di poter organizzare attacchi sempre più potenti. La torbida storia della botnet Mirai ha chiaramente dimostrato che le risorse in questione possono essere tranquillamente costituite dai cosiddetti dispositivi “intelligenti”, il cui numero complessivo ammonta già adesso, su scala globale, a vari miliardi di unità; d’altra parte, gli analisti all’opera presso diverse società prevedono, entro il 2020, una crescita, per tale specifica entità, che andrà ad attestarsi tra i 20 ed i 50 miliardi di dispositivi.

Desideriamo fornire, in conclusione, alcuni consigli e raccomandazioni che riteniamo possano aiutarvi a proteggere efficacemente i vostri dispositivi nei confronti di possibili infezioni:

1. A meno che non si riveli necessario per l’utilizzo stesso del dispositivo, fate in modo di non consentire l’accesso a quest’ultimo da reti esterne;
2. Disattivate tutti i servizi di rete non necessari per l’utilizzazione del dispositivo.
3. Se il dispositivo è provvisto di una password standard o universale che non può essere modificata, oppure di un account predefinito che non può essere disattivato, disabilitate i servizi di rete in cui vengono utilizzati tali elementi, oppure impedite l’accesso alla rete dall’esterno, relativamente ai servizi in causa.
4. Prima di iniziare ad utilizzare il dispositivo, cambiate la password di default di cui esso è dotato, impostandone una nuova, che si riveli solida e resistente nei confronti di eventuali attacchi brute-force.
5. Provvedete ad aggiornare regolarmente il firmware del dispositivo all’ultima versione disponibile (ovviamente in presenza di tali update).

L’attenersi a queste semplici raccomandazioni aiuterà di sicuro a prevenire la maggior parte degli attacchi informatici portati attraverso i malware IoT attualmente in circolazione.