NewsSicurezza

Genesi dei cyber attacchi contro il Summit di Singapore: l’88% del traffico malevolo ha avuto origine in Russia

Genesi dei cyber attacchi contro il Summit di Singapore:  l'88% del traffico malevolo ha avuto origine in Russia 1

Non è un segreto, nel corso degli ultimi anni la Russia ha lanciato una raffica costante di attacchi IT coordinati contro gli Stati Uniti e, per questo motivo, a partire dalle elezioni presidenziali del 2016 sono state emesse numerose sanzioni nei confronti di funzionari e imprese russi. Oltre alle sanzioni ufficiali, lo scorso aprile, il Cert statunitense ha diffuso un alert evidenziando come la Russia continuasse a detenere un accesso costante a router domestici o presenti in piccoli aziende, quale segnale di una volontà di spionaggio persistente.

In questo contesto, i ricercatori di F5 hanno identificato e analizzato una serie di attacchi informatici contro Singapore condotti tra l’11 giugno 2018 e il 12 giugno 2018, scoprendo che l’88% del traffico malevolo ha avuto origine in Russia e ha colpito, in particolare, i telefoni VoIP (presenti in molti hotel) e i dispositivi IoT.

Dettagli tecnici degli attacchi:

  • L’88% degli attacchi condotti contro Singapore il 12 giugno 2018 proveniva dalla Russia

  • Gli attacchi sono iniziati con scansioni di ricognizione, alla ricerca di sistemi vulnerabili, a partire da un unico indirizzo IP russo (188.246.234.60), seguiti da attacchi effettivi provenienti sia dalla Russia che dal Brasile

  • Il bersaglio più colpito è stato il protocollo noto come SIP 5060, che viene utilizzato dai telefoni IP per trasmettere comunicazioni con testo non crittografato

  • La seconda porta più attaccata è stata telnet, coerente con attacchi rivolti a dispositivi IoT che potevano trovarsi in prossimità degli obiettivi di interesse

  • Tra le altre porte prese di mira compare la porta 7457, sfruttata anche dalle botnet Mirai e Annie per colpire i router gestiti dall’ISP

Analisi degli attacchi:

Genesi dei cyber attacchi contro il Summit di Singapore:  l'88% del traffico malevolo ha avuto origine in Russia 2

  • SIP è un protocollo telefonico IP, 5060 è specificamente la porta non crittografata

  • È insolito vedere la porta 5060 come principale porta di destinazione di un attacco

  • L’ipotesi di F5 è che gli hacker stessero cercando in particolare di ottenere l’accesso a telefoni non protetti o al server VoIP

  • Telnet è la porta di amministrazione remota maggiormente presa di mira da chi conduce attacchi ai dispositivi IoT

  • Molto probabilmente gli aggressori cercavano un dispositivo IoT da poter compromettere che offrisse loro l’accesso a obiettivi di interesse dai quali spiare comunicazioni e raccogliere dati

  • La porta 7457 viene utilizzata dagli ISP per gestire da remoto i propri router. Questo protocollo è stato preso di mira da Mirai e Annie, uno spin-off di Mirai che ha causato milioni di dollari di danni agli ISP europei negli ultimi mesi del 2016

  • Se uno dei dispositivi a Singapore aveva questa porta aperta o era protetto solo da credenziali predefinite dall’amministratore, è probabile che gli aggressori ne abbiano avuto accesso e abbiano potuto, attraverso quel dispositivo, analizzare o reindirizzare il traffico, raccogliere dati, e altro ancora, con un processo di attacco noto come “Man in the Middle”

  • La porta 8291 è stata recentemente attaccata da Hajime1, la thingbot di vigilanza creata per i dispositivi PDoS che altrimenti sarebbero stati infettati da Mirai2. Se alcuni dispositivi a Singapore erano in ascolto su questa porta e protetti con le credenziali predefinite dal vendor, è probabile che gli attaccanti ne abbiano ottenuto un accesso

Conclusione

Non è chiaro che cosa gli hacker abbiano realizzato attraverso gli attacchi SIP e se abbiano veramente avuto successo raggiungendo i propri obiettivi. Gli F5 Labs continueranno a esaminare i dati di attacco raccolti e ad aggiornare questa analisi a mano a mano che emergono nuove scoperte.

È importante evidenziare che non esistono prove che leghino direttamente questa attività ad attacchi sponsorizzati da una nazione, come ad esempio la Russia. Tuttavia l’88% degli attacchi proveniva da questo Paese dove esistono molti gruppi organizzati che potrebbero avere promosso gli attacchi durante il Summit con interessi propri o nazionali.

Per quanto riguarda la mitigazione di minacce come queste, legate ai dispositivi IoT e a database direttamente collegati a Internet, bisognerebbe sempre tenere presente la necessità di:

  • Proteggere l’amministrazione da remoto di qualsiasi dispositivo sulla propria rete tramite un firewall, VPN o limitandolo a una specifica rete di gestione – NON bisogna consentire MAI comunicazioni aperte verso l’intero Internet

  • Modificare sempre le credenziali di amministrazione di default impostate dal vendor

  • Essere sempre aggiornati adottando tutte le patch di sicurezza rilasciate dai produttori

2IoT v4 report

Analisi a cura dei ricercatori degli F5 Labs

Leave a Response

Massimo Uccelli
Fondatore e admin. Appassionato di comunicazione e brand reputation. Con Consulenze Leali mi occupo dei piccoli e grandi problemi quotidiani delle PMI.
Translate »

Su questo sito utilizziamo strumenti nostri o di terze parti che memorizzano piccoli file (cookie) sul tuo dispositivo. I cookie sono normalmente usati per permettere al sito di funzionare correttamente (cookie tecnici), per generare statistiche di uso/navigazione (cookie statistici) e per pubblicizzare opportunamente i nostri servizi/prodotti (cookie di profilazione). Possiamo usare direttamente i cookie tecnici, ma hai il diritto di scegliere se abilitare o meno i cookie statistici e di profilazioneAbilitando questi cookie, ci aiuti ad offrirti una esperienza migliore con noi. 

 

>> Cookie Policy <<