Una nuova rete Botnet è stata scoperta dai laboratori CheckPoint: si chiama IoTroop. Ha molte similitudini con Mirai, la nota botnet usata lo scorso anno per un attacco su vasta scala, ma si differenzia in alcuni aspetti. Vediamone alcuni:
Come funziona
La rete è in continua scansione alla ricerca di dispositivi vulnerabili, ma a differenza di Mirai che cercava i dispositivi con credenziali di accesso deboli, questa cerca i dispositivi che hanno un firmware con vulnerabilità note, in maniera da non dare troppo nell’occhio e per non esser rilevati dai sistemi anti-intrusione. Ogni dispositivo infetto ha poi una lista di IP da scansionare per rilevare quelli vulnerabili e propagare la botnet stessa.
I creatori di questa enorme rete aggiungono di continuo exploit per sfruttare vulnerabilità in dispositivi IoT che risultano esser per la maggior parte videocamere IP e di sorveglianza ma anche modem/router di marche come GoAhead, D-Link, TP-Link, AVTECH, NETGEAR, MikroTik, Linksys, Synology e altre.
Si calcola che i dispositivi infetti siano decine di migliaia, molte di più dei 100 mila dispositivi usati da Mirai per condurre il suo attacco DDoS.
La rete per ora non è stata usata per condurre attacchi DDoS, i creatori sono concentrati a farla diffondere il più possibile; le potenzialità di una rete così vasta sono enormi, i danni potrebbero esser di gran lunga più grandi di Mirai, questo conferma quanto avevamo già detto in un nostro articolo di qualche mese fa:
Primi segnali dell’apocalisse informatica?
Ora però sorge la domanda: Come stare al sicuro? E’ possibile?
Nel caso ci fosse un attacco su vasta scala non potremmo fare molto come singoli, però possiamo assicurarsi che i dispositivi IoT che usiamo non siano usati ed inglobati in reti maligne come questa. Assicuriamoci ed eseguiamo queste operazioni nel caso che:
- abbiamo delle videocamere di sorveglianza IP
- abbiamo dei modem/router per l’accesso ad internet
- abbiamo dei dispositivi IoT che sono permanentemente connessi alla rete
Come abbiamo visto, la quasi totalità delle persone con una linea adsl o fibra sono vulnerabili in qualche modo a queste reti, quindi:
- sostituiamo le credenziali di accesso ai dispositivi, NON lasciamo mai quelle predefinite. Usiamo password robuste e univoche
- disabilitare la funzionalità Plug’n Play, che apre in automatico le porte di comunicazione nel modem/router, esponendo così il dispositivo ad attacchi esterni
- disabilitare qualsiasi accesso o controllo da remoto o via internet, molto spesso sono questi moduli che garantiscono l’accesso al dispositivo a causa di vulnerabilità o simili
- tenere sempre aggiornato il firmware scaricandolo dal sito di supporto ufficiale del produttore
Di seguito elenchiamo alcuni servizi web che scansionano il nostro IP per verificare se siamo vulnerabili o se facciamo già parte o meno di una Botnet:
Puoi leggere “Botnet: come stare al sicuro?“
Approfondimenti e fonte: A New IoT Botnet Storm is Coming