I router vulnerabili (2 marchi globali) e gli schermi dei monitor compromessi e i sistemi di tracciamento della flotta sono stati ampiamente utilizzati dagli hacker come parte di grandi botnet per condividere e distribuire rootkit in tutto il mondo a marzo. Questo ha portato a un picco significativo nel traffico botnet registrato dagli honeypots globali a marzo. Anche se il picco è diminuito un po’, l’aumento delle infezioni causato da questa improvvisa impennata diventerà evidente solo nelle prossime settimane. Questa tendenza presenta un nuovo motivo di preoccupazione per i team di cybersecurity IoT.
La maggior parte degli attacchi sono stati registrati a 2,5 MBPS e oltre e le richieste variavano da 1,5 a 3 milioni di richieste al secondo su alcuni siti web di destinazione. Sulla base dei modelli di traffico, oltre 150 server di comando e controllo situati in 15 paesi sono stati identificati dal team di ricerca sulle minacce di Sectrio. Questi server stavano coordinando non solo la diffusione degli attacchi, ma la propagazione di una varietà di rootkit e altri payloads tra cui il ransomware Revil.
L’improvvisa espansione della botnet potrebbe anche essere attribuita all’uso di vecchie versioni di alcuni sistemi operativi nei telefoni e altre macchine desktop e portatili. Con tale espansione, gli hacker ora hanno più bot a loro disposizione, nonché un mezzo per aggiornare la loro infrastruttura botnet promuovendo più bot ai server di comando e controllo. La possibilità che molte di queste reti Bot crescano esponenzialmente nelle prossime settimane è aumentata con il crescente numero di bot che vengono aggiunti ogni settimana.
Il traffico di queste botnet non era limitato a nessuna geografia e ogni bot inviava traffico a più indirizzi IP in tutte le regioni. L’analisi di questo traffico rivela una strategia ben orchestrata messa in atto dagli hacker per colpire i progetti IoT a vari livelli e fasi, nonché per espandere le botnet prendendo di mira i dispositivi consumer. Il livello di furtività e offuscamento sta crescendo mentre gli hacker escogitano nuovi mezzi per abbattere più entità target attraverso la stessa botnet. Molte delle vecchie botnet vengono anche resuscitate per questo scopo, dato che gli hacker stanno pianificando di aumentare le loro operazioni attraverso le aree geografiche.
Per i progetti IoT, questa è una cattiva notizia in quanto le lezioni del 2020 e 2021 come articolate nei rapporti IoT e OT Threat Landscape sembrano essere state dimenticate o ignorate. Mentre una parte di queste nuove botnet legate all’IoT può essere collegata a progetti che sono in fase di PoC, un volume maggiore del traffico sembra emergere da progetti consolidati secondo i modelli di traffico analizzati dal team di ricerca sulle minacce di Sectrio. Questo è uno sviluppo abbastanza preoccupante in quanto indica la possibilità che i dispositivi IoT esistenti vengano compromessi o che dispositivi nuovi e non testati vengano aggiunti a progetti esistenti senza un adeguato test legato alla sicurezza.
Che impatto ci sarà sulla sicurezza IoT?
Venendo sulla scia della crisi in Ucraina e di un periodo di eccesso di attività all’interno dei SOC istituzionali e governativi, c’è la possibilità che molti di questi attacchi si trasformino in attacchi mirati a progetti e infrastrutture specifiche (che potrebbero essere l’obiettivo finale di questi hacker). La riattivazione degli hacker Sandworm e la comparsa di nuovi e più furtivi rootkit in natura sono due tendenze separate che convergeranno nelle prossime settimane, mentre queste botnet espandono la loro gamma e i loro obiettivi.
Nel complesso, questo sottolinea la necessità di migliorare la sicurezza IoT e investire nel giusto set di feed di cyber threat intelligence. Con la gestione delle vulnerabilità, le patch e i test di devise che ricevono poca o nessuna attenzione, i tempi sono maturi per diversificare le misure di cybersecurity IoT per coprire più terreno e approfondire il fossato digitale che circonda la vostra infrastruttura.
Mentre i sistemi che sono basati su host OS più vecchi possono essere aggiornati per ridurre al minimo il numero di botnet, ciò che è anche necessario è l’azione da parte degli operatori del progetto IoT che hanno bisogno di fare qualche serio ripensamento delle loro priorità di cybersecurity. Con la richiesta media di riscatto che salta a passi da gigante ogni anno, gli hacker stanno rastrellando profitti ed espandendo le loro operazioni e obiettivi.
