Un tempo veniva utilizzato per molestare i giocatori di Minecraft ed estrarre illegalmente Dogecoin, la botnet dell'Internet delle cose, una grande rete raccolta infetta da malware di telecamere per la casa intelligente, DVR, router e altro ancora, è stata trasformata in un'arma potente da criminali informatici. Gli hacker hanno utilizzato grandi quantità di dati per mettere a tacere i giornalisti, causare danni per centinaia di milioni e chiudere l'infrastruttura Internet di un intero paese.
Negli ultimi anni il controllo di questa botnet in crescita è passato di mano in mano da un hacker all'altro, man mano che col tempo diventa sempre più grande e pericolosa. Ecco come si è evoluta la minaccia.
C'è una cosa che quasi tutti gli attacchi dell'Internet delle cose hanno in comune: tutti sfruttano le impostazioni di sicurezza predefinite permissive nei dispositivi consumer.
Uno di le prime storie spaventose dell'IoT risale all'agosto 2013, quando un hacker ottenne l'accesso remoto a un Baby Monitor Foscam non protetto e utilizzò il microfono a due vie per gridare oscenità a un bambino. Molte fotocamere rimangono non protette e
sono facilmente ricercabili online.Perché così poche persone pensavano a proteggere questi dispositivi e perché la sicurezza veniva spesso trascurata per i produttori: i monitor infetti e le telecamere di sicurezza domestica costituiscono la spina dorsale della botnet IoT.
Insieme, telecamere e set-top box (DVR) rappresentano il 95% dei dispositivi utilizzati nei grandi attacchi IoT. I router domestici non protetti costituiscono un altro 4%.
Gli hacker hanno iniziato rapidamente a sfruttare le vulnerabilità dell’IoT a scopo di lucro. Il Linux. Il worm Darlloz, identificato per la prima volta nel novembre 2013, utilizzava router e set-top box infetti per estrarre denaro virtuale.
UN Articolo ZDNET di marzo 2014 riferisce che i truffatori avevano generato 42.438 Dogecoin e 282 Mincoin attraverso lo schema, meno di $ 200 in valore totale.
Le regole del malware IoT sono cambiate nuovamente nel settembre 2014 con il rilascio del malware LizardStresser (BASHLITE). Utilizza password comuni come "password" e "123456" per assumere il controllo dei dispositivi IoT tramite il bug Shellshock.
LizardStresser ha aumentato le dimensioni della botnet zombie IoT. Nel 2016, più di 1 milione di dispositivi (inclusi i router domestici) sono stati infettati da una forma di malware BASHLITE.
La botnet LizardStresser può lanciare attacchi DDoS (Distributed Denial of Service) a una velocità di 400 Gbps.
È stato utilizzato contro obiettivi che vanno dalle grandi banche ai fornitori di telecomunicazioni alle agenzie governative, Lo ha riferito ZDNET. LizardStresser è stato utilizzato anche negli attacchi DDoS su Xbox Live e PlayStation Network.
Con la crescita della botnet IoT, i criminali ne hanno ideato un utilizzo più redditizio: vendere attacchi DDoS al miglior offerente. Alla fine del 2014, un collettivo di hacker chiamato Lizard Squad ha preso il controllo della botnet IoT e ha venduto l’accesso a uno strumento di controllo illegale.
I server privati di Minecraft erano obiettivi popolari. I proprietari pagherebbero per lanciare costosi attacchi DDoS contro i loro concorrenti, sperando di attirare i propri clienti verso un server presumibilmente più sicuro.
Con il controllo della botnet IoT che oscillava avanti e indietro tra gli hacker, un gruppo di white hat ha cercato di proteggere i dispositivi non protetti con "malware buono". Rilasciato nel novembre 2014, Linux. Wifatch infetta i dispositivi IoT, esegue la scansione ed elimina il malware, quindi chiude l'accesso Telnet per bloccare futuri aggressori.
È interessante notare che gli hacker hanno nascosto un messaggio speciale all'interno del loro codice: "A tutti gli agenti della NSA e dell'FBI che leggono la mia email: per favore considerate se difendere la Costituzione degli Stati Uniti contro tutti i nemici, stranieri o interni, richieda di seguire l'esempio di Snowden esempio."
Nell'agosto 2016, un hacker che si fa chiamare Anna Senpai ha preso il controllo quasi monopolistico della botnet IoT tramite il suo malware Mirai. Prende il nome da una serie di anime, Mirai elimina le precedenti infezioni IoT e sostituisce il codice dannoso con il proprio.
Come altri malware IoT, Mirai sfrutta 60 nomi utente e password comuni predefiniti di fabbrica nei suoi attacchi. Al suo apice, Mirai infettava 4.000 dispositivi IoT all’ora.
IL il più noto attacco Mirai negli Stati Uniti è avvenuto il 21 ottobre 2016. In quella data, un’esplosione DDoS da 1,2 Tbps da 100.000 dispositivi infetti ha distrutto i server di Dyn, un fornitore di servizi DNS (Domain Name System) globale.
L’attacco ha bloccato un gran numero di importanti siti Web, tra cui Netflix, Twitter, Amazon, CNN e altri.
Nello stesso periodo la botnet Mirai ha preso di mira l'esperto di sicurezza e blogger Brian Krebs KrebsOnSecurity.com con un massiccio attacco DDoS da 623 Gbps. Presumibilmente è stato lanciato come punizione per una storia di Krebs che ha portato all’arresto di due adolescenti israeliani.
Di conseguenza, Akamai ha interrotto il suo supporto pro bono al sito web di Krebs, poiché il costo della difesa dagli attacchi è aumentato di milioni di dollari. Il suo sito è ora protetto da Project Shield di Google.
In un lungo post sul blog, Krebs ha individuato lo studente della Rutgers University Paras Jha come Anna Senpai, la persona presumibilmente dietro il worm Mirai che ha attaccato il suo sito.
Secondo Rapporto di Krebs, Jha ha collegamenti con il racket di protezione DDoS di Minecraft. Da parte sua, Jha non è stato accusato di alcun crimine, anche se lo è stato interrogato dall'FBI riguardo all'attacco.
Ma non è tutto. La botnet Mirai è anche responsabile della distruzione dell'intera infrastruttura Internet in Liberia in un Attacco DDoS del novembre 2016.
Più di 600 Gbps di dati hanno intasato l'unico cavo sottomarino del paese, causando uno sfarfallio dell'accesso alla rete della Liberia per due settimane.
IL Attaccata la botnet Mirai il sito web di Donald Trump due volte domenica 11 novembre. 6 e di nuovo lunedì 7 novembre. Lunedì la botnet ha lanciato un attacco simile anche contro il sito web di Hillary Clinton. Nessuno dei due è stato messo offline.
Un altro attacco preelettorale ha preso di mira una banca telefonica, con effetti negativi sia sulle campagne repubblicane che su quelle democratiche.
È già stata identificata una minaccia IoT ancora più grave di Mirai. Il 21 dicembre 2016 la rete Imperva Incapsula è stato preso di mira con un'esplosione DDoS da 650 Gbps.
L'azienda ritiene che l'aggressore, non riuscendo a risolvere l'indirizzo IP della sua vittima designata, per raggiungere il suo scopo abbia semplicemente lanciato un attacco contro l'intera rete anti-DDoS.
Come puoi proteggere te stesso e gli altri da questi attacchi IoT?
Il primo passo è assicurarsi che i propri dispositivi non finiscano intrappolati in una botnet. Modifica le impostazioni predefinite sui tuoi router, fotocamere ad accesso remoto e altri dispositivi connessi a Internet. Assicurati di aggiornare il firmware anche sui tuoi dispositivi IoT.
I produttori di dispositivi IoT, nel frattempo, devono prestare maggiore attenzione alla sicurezza e incoraggiare maggiormente gli utenti finali a intraprendere questa azione.