Gli autori di botnet dell’Internet delle cose (IoT) si stanno attrezzando per gestire con sempre maggiore attenzione i temi della sicurezza dei dispositivi IoT. La strategia punta a fare in modo che l’azione degli aggressori possa essere deviata verso lo sfruttamento delle vulnerabilità presenti nei dispositivi IoT con una integrazione con le attività di accesso alle password predefinite in fabbrica. L’IoT è di fatto sotto la lente del Risk management aziendale dal momento che la sicurezza dei dispositivi IoT si trova ancora in fase embrionale, non è inconsueto che si presentino vulnerabilità basilari. A novembre 2018 honeypot ha registrato lo sfruttamento di numerose vulnerabilità IoT obsolete quale strumento di diffusione di malware. Dai dati raccolti è emerso che i nuovi dispositivi IoT subiscono in meno di un giorno il tentativo di fare leva sulle vulnerabilità note e sono soggetti in meno di 5 minuti a tentativi di accesso con forza bruta mediante le credenziali IoT predefinite (Dipping Into The Honeypot)
• Nei propri attacchi, gli autori di botnet IoT sfruttano sempre più spesso le vulnerabilità correlate all’IoT . In alcuni casi gli aggressori scelgono di accompagnare le tecniche di brute force a tentativi di fare leva su vulnerabilità note.
• Le vulnerabilità correlate all’IoT restano validi vettori di attacco per periodi prolungati per via delle difficoltà e della lentezza nello sviluppo di patch per i dispositivi IoT.
• Secondo quanto emerge dai dati raccolti, i primi tentativi di attacchi di forza bruta iniziano già dopo meno di cinque minuti dalla prima connessione alla rete del dispositivo IoT. Nel giro di ventiquattro ore gli stessi dispositivi iniziano quindi a subire tentativi di sfruttamento delle vulnerabilità note.
I dispositivi IoT prima o poi ricevono patch, ma non con la stessa rapidità né allo stesso livello di priorità di cui godono i sistemi operativi. Di conseguenza, la longevità e la sfruttabilità delle vulnerabilità basate sull’IoT sono di gran lunga più estese e allettanti per gli autori di botnet. Questa tendenza è evidente nei dati honeypot.
Considerato l’enorme numero di dispositivi IoT collegati a Internet, è facile e immediato trovarne di vulnerabili. Se a questo si aggiunge l’ampio delta costituito da quando il dispositivo vulnerabile viene “acceso” e da quando vengono applicati gli aggiornamenti per le vulnerabilità legate alla sicurezza, è evidente che gli aggressori riescono a organizzare rapidamente botnet considerevoli. Nella maggior parte dei casi questi botnet sono subito reclutati nell’esercito dei DDoS. Infatti, non occorrono sforzi titanici per creare botnet IoT di grandi dimensioni e, quindi, generare il caos come dimostrato dagli attacchi DDoS sferrati da Mirai nel 2016.