Larry Pesce ricorda il giorno in cui il panorama delle minacce DDoS (Distributed Denial of Service) è cambiato radicalmente. Era il tardo autunno del 2016 quando un suo collega ricercatore del laboratorio InGuardians, di cui Pesce è direttore della ricerca, voleva vedere quanto velocemente Mirai, un nuovo programma di installazione di botnet Internet of Things (IoT), avrebbe rilevato un registratore videocamera DVR basato su Linux molto popolare nelle medie imprese di allora. Per scoprirlo, ha portato un DVR acquistato per l’occasione e ha impostato la strumentazione di osservazione prima di collegarla a Internet tramite la porta span del DVR.

“In circa 30 minuti, una connessione ha eseguito l’accesso con la password predefinita del DVR, ha scaricato il payload e lo ha unito alla botnet”, spiega Pesce. Quasi immediatamente, i due hanno registrato del traffico in uscita dal DVR e lo hanno spento prima che potesse verificarsi un DDoS sui dispositivi di qualcun altro. Inoltre, ogni volta che riavviavano il DVR, questo veniva ripristinato con la password predefinita non sicura installata in fabbrica, anche se prima l’avevano cambiata con una password sicura.

Oggi l’IoT è comunemente usato per amplificare gli attacchi DDoS e aggirare le attuali difese contro i DDoS. Ad esempio, nella seconda metà del 2021, gli attacchi DDoS hanno superato i 4 Tbps secondo un rapporto di Nokia Deepfield, che ha analizzato oltre 10.000 attacchi DDoS provenienti da provider Internet in tutto il mondo.

“Fino a qualche anno fa l’IoT utilizzato per dispositivi come frigoriferi, parchimetri e telecamere di sicurezza era raro. Ora però abbiamo superato il punto di svolta e questi prodotti rappresentano una minaccia dominante” afferma Craig Labovitz, CTO di Nokia Deepfield e autore del report. “Gli attacchi DDoS da queste botnet sono sempre più utilizzati per sopraffare i sistemi Internet o l’infrastruttura di rete, inclusi i firewall. Stiamo anche vedendo gli DDoS utilizzati come distrazione per nascondere il lancio di attacchi più pericolosi, come il ransomware”.

Il report di Nokia ha rivelato anche che migliaia di DVR, telecamere connesse a Internet e persino parchimetri appartenenti a distributori di benzina banche e altre attività sono stati raggruppati in botnet. Anche i server PBX aziendali e i telefoni VOIP costituiscono una grande percentuale di dispositivi infettati da bot, sia nel cloud che in locale.

Dispositivi IoT non protetti

Uno degli impatti più pesanti di un attacco DDoS per le organizzazioni è la perdita del servizio. “Le organizzazioni pagano per la larghezza di banda utilizzata da questi bot nelle loro imprese. E, nel caso dei fornitori di servizi, i loro clienti noteranno un rallentamento e passeranno a un altro fornitore”, afferma Labovitz.

Altri rapporti indicano che anche i dispositivi consumer, in particolare i router domestici, vengono utilizzati sempre più come “muli” negli attacchi di amplificazione delle botnet DDoS. Per di più questi dispositivi sono al di fuori del regno della gestione del rischio aziendale.

“Oggi tantissimi elettrodomestici sono su Internet: frigorifero, tostapane, macchina per il caffè, sistema di sicurezza domestica, TV. Inoltre, sono tutti dispositivi che non mostrano segni di infezione a meno che non funzionino in modo irregolare o smettano proprio di funzionare” afferma Frank Clark, analista di sicurezza senior presso Hunter Strategy, una società di consulenza. “L’utente medio non si accorgerebbe di nulla e dovrebbero essere i produttori a rendere sicuri i loro dispositivi per impostazione predefinita, anche se questo è un sogno irrealizzabile”.

Secondo Clark le aziende devono rafforzare le proprie difese su due fronti: impedire che i propri dispositivi vengano trasformati in bot che generano DoS e proteggere le proprie reti, applicazioni Web e data center da devastanti attacchi DDoS. Devono anche gestire i rischi se i loro fornitori di servizi mission-critical rimangono vittime di un attacco DDoS.

Fermare gli attacchi DDoS

Le aziende Web-based, i servizi cloud e i provider Internet sono stati i principali obiettivi degli attacchi DDoS nella seconda metà del 2021 e la maggior parte di questi attacchi proveniva da IP cinesi, secondo il DDoS Trends Report di Cloudflare. Nel primo trimestre del 2022, la maggior parte degli IP che inviavano pacchetti DDoS proveniva invece dagli Stati Uniti. Sempre secondo il report di Cloudflare, gli attacchi DDoS a livello di applicazioni Web sono aumentati del 164% tra il 2021 e il 2022, mentre gli attacchi a livello di rete sono aumentati del 71%.

“Abbiamo assistito a continui attacchi ai provider VoIP che hanno avuto un impatto su tutti i loro clienti aziendali che utilizzano quel servizio” afferma Patrick Donahue, vicepresidente di Cloudflare, azienda che blocca una media di 86 miliardi di minacce DDoS al giorno. “A volte vediamo gli ISP letteralmente sopraffatti, cosa che ovviamente ha un impatto sui loro clienti aziendali: è allora che gli ISP si rivolgono a noi per proteggere l’intera rete”.

Come già detto, il DDoS è comunemente usato anche come una sorta di “cortina fumogena” per nascondere altre azioni più dannose sulla rete, in particolare attacchi ransomware; perciò è fondamentale impostare degli alert sull’attività DoS al primo avviso, aggiunge Donahue.

Tuttavia, il rilevamento di DDoS su larga scala lanciato dall’IoT è più difficile perché i dispositivi IoT dirottati utilizzano pacchetti legittimi che inviano richieste Web legittime. Le difese tradizionali sono ottimizzate per rilevare modelli noti di indirizzi IP, intestazioni e payload contraffatti. A causa dell’enorme volume di traffico, il blocco degli attacchi DDoS amplificati dall’IoT non è possibile o pratico per la maggior parte delle organizzazioni; è quindi fondamentale una protezione che vada oltre l’ispezione di base dei pacchetti e l’analisi comportamentale. “Cloudflare distribuisce il traffico sulla propria rete globale, che può assorbire enormi attacchi DDoS. La maggior parte delle organizzazioni però non ha questa capacità“, afferma Clark.

Cloudflare blocca i pacchetti e le richieste DDoS in entrata il più vicino possibile alla loro origine. Nokia Deepfield affronta questo problema a livello di routing monitorando costantemente il traffico sulla sua rete globale e aggiornando la sua intelligence man mano che le nuove tendenze DDoS si materializzano nei loro feed.

Prevenire il dirottamento del dispositivo

Non sorprende che i dispositivi IoT stiano realizzando il loro potenziale per diventare botnet. Le loro CPU sono più potenti, i loro tempi di elaborazione più rapidi e sono device distribuiti in tutto il mondo in locale e nel cloud. Clark afferma che i dispositivi consumer e aziendali vengono arruolati in queste reti perché mancano dei controlli di sicurezza di base e perché le botnet composte da dispositivi IoT sono molto più difficili da smantellare.

Pertanto, le organizzazioni devono impedire che i propri dispositivi IoT vengano arruolati nelle botnet afferma Piotr Kijewski, CEO della Shadowserver Foundation e fondatore del progetto Polish Honeynet. “Se i responsabili IT vogliono ridurre la quantità di attacchi DDoS contro le loro organizzazioni, devono iniziare a farlo proteggendo la propria rete e riducendo la superficie di attacco. Il primo passo per riuscirci è mantenere un inventario sempre aggiornato delle risorse IoT che sono esposte su Internet”.

La Shadowserver Foundation, che ha iniziato a monitorare le botnet che inviano attacchi DDoS nel 2005, ha contato 560.000 attacchi DDoS separati in 30 giorni da metà marzo a metà aprile del 2022. Pur non monitorando specificamente i bot IoT, Kijewski afferma che molte delle botnet sono basate su telecamere IP, sistemi video DVR e NVR, router domestici e dispositivi di archiviazione.

“Vediamo che i vettori più popolari sono i servizi aperti NTP, LDAP e SNMP. Questo è il motivo per cui è importante cercare di ridurre il numero di servizi aperti di cui si può abusare”, consiglia Kijewski. Per quei dispositivi IoT che non possono essere patchati, aggiornati o protetti, il monitoraggio della rete dovrebbe essere ottimizzato per rilevare il traffico in uscita da questi dispositivi. Pesce suggerisce anche una VLAN o NAC separata per la connessione dell’IoT.

“Questi sono controlli di rete efficaci e la base per il modello zero trust, che include il monitoraggio e l’inventario delle risorse. Quando sapete cosa c’è nella vostra rete e conoscete con esattezza i dispositivi al suo interno, potete monitorare attività insolite, comprese le notifiche di nuovi dispositivi aggiunti alla rete. E, quando possibile, assicuratevi che le patch vengano applicate”.

Uno degli indizi sicuri di un’infezione da botnet all’interno di una rete è la lentezza delle prestazioni, aggiunge Labovitz di Nokia, che consiglia di ottimizzare i sistemi di monitoraggio della rete per rilevare e avvisare immediatamente in caso di rallentamenti della rete. Le aziende che si affidano a servizi come il VoIP e la connettività dovrebbero anche cercare soluzioni dai propri operatori e fornitori. “Dobbiamo risolvere questo problema a livello di settore e incoraggiare best practice come il BGP (Border Gateway Protocol) firmato e sicuro e il filtraggio”, conclude Labovitz.