Scoperta enorme botnet, colpite già un milione di aziende

Una nuova rete Botnet è stata scoperta dai laboratori CheckPoint: si chiama IoTroop. Ha molte similitudini con Mirai, la nota botnet usata lo scorso anno per un attacco su vasta scala, ma si differenzia in alcuni aspetti. Vediamone alcuni:

Come funziona

La rete è in continua scansione alla ricerca di dispositivi vulnerabili, ma a differenza di Mirai che cercava i dispositivi con credenziali di accesso deboli, questa cerca i dispositivi che hanno un firmware con vulnerabilità note, in maniera da non dare troppo nell’occhio e per non esser rilevati dai sistemi anti-intrusione. Ogni dispositivo infetto ha poi una lista di IP da scansionare per rilevare quelli vulnerabili e propagare la botnet stessa.

I creatori di questa enorme rete aggiungono di continuo exploit per sfruttare vulnerabilità in dispositivi IoT  che risultano esser per la maggior parte videocamere IP e di sorveglianza ma anche modem/router di marche come GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology e altre.

Si calcola che i dispositivi infetti siano decine di migliaia, molte di più dei 100 mila dispositivi usati da Mirai per condurre il suo attacco DDoS. 

La rete per ora non è stata usata per condurre attacchi DDoS, i creatori sono concentrati a farla diffondere il più possibile; le potenzialità di una rete così vasta sono enormi, i danni potrebbero esser di gran lunga più grandi di Mirai, questo conferma quanto avevamo già detto in un nostro articolo di qualche mese fa: 

Primi segnali dell’apocalisse informatica?

Ora però sorge la domanda: Come stare al sicuro? E’ possibile? 

Nel caso ci fosse un attacco su vasta scala non potremmo fare molto come singoli, però possiamo assicurarsi che i dispositivi IoT che usiamo non siano usati ed inglobati in reti maligne come questa. Assicuriamoci ed eseguiamo queste operazioni nel caso che:

• abbiamo delle videocamere di sorveglianza IP 
• abbiamo dei modem/router per l’accesso ad internet 
• abbiamo dei dispositivi IoT che sono permanentemente connessi alla rete 

Come abbiamo visto, la quasi totalità delle persone con una linea adsl o fibra sono vulnerabili in qualche modo a queste reti, quindi:

1. sostituiamo le credenziali di accesso ai dispositivi, NON lasciamo mai quelle predefinite. Usiamo password robuste e univoche 
2. disabilitare la funzionalità Plug’n Play, che apre in automatico le porte di comunicazione nel modem/router, esponendo così il dispositivo ad attacchi esterni 
3. disabilitare qualsiasi accesso o controllo da remoto o via internet, molto spesso sono questi moduli che garantiscono l’accesso al dispositivo a causa di vulnerabilità o simili
4. tenere sempre aggiornato il firmware scaricandolo dal sito di supporto ufficiale del produttore

Di seguito elenchiamo alcuni servizi web che scansionano il nostro IP per verificare se siamo vulnerabili o se facciamo già parte o meno di una Botnet:

• Internet of Things Scanner
• Is your PC a part of a botnet? Check it!

Puoi leggere “Botnet: come stare al sicuro?“

Approfondimenti e fonte: A New IoT Botnet Storm is Coming