NewsSicurezza

Il principale cyber nemico dell’Europa è l’Europa stessa

Il principale cyber nemico dell’Europa è l’Europa stessa 1
  • I nuovi dati di threat intelligence degli F5 Labs mostrano come la maggior parte degli attacchi informatici contro l’Europa venga sferrata dall’interno dei sui confini e non da nazioni estere

  • Gli indirizzi IP incriminati sono basati in Olanda, seguita da Stati Uniti, Cina, Russia e Francia

  • Gli F5 Labs hanno identificato le principali reti e ISP colpiti, nonché i target più importanti per gli aggressori, analizzando un periodo che va dal primo dicembre 2018 al primo marzo 2019

La maggior parte degli attacchi cyber in Europa proviene dall’interno della stessa area geografica. È questo quanto rivelato oggi dagli F5 Lab1, i laboratori di intelligence sulle minacce di F5 Networks (NASDAQ: FFIV), che hanno analizzato il traffico destinato agli indirizzi IP europei dal primo dicembre 2018 al primo marzo 2019, confrontando le tendenze rispetto a Stati Uniti, Canada e Australia.

I Paesi da cui provengono gli attacchi

I sistemi europei sono presi di mira da indirizzi IP basati in tutto il mondo. Studiando una mappa di calore globale, F5 Labs ha scoperto però che i dati sui Paesi dai quali avevano avuto origine gli attacchi contro l’Europa erano maggiormente simili a quelli di Australia e Canada, rispetto agli Stati Uniti (che oggi ricevono molti meno attacchi provenienti da IP europei rispetto all’Europa stessa).

L’Olanda è il principale Paese da cui provenivano gli attacchi; nella top 10 sono presenti anche Stati Uniti, Cina, Russia, Francia, Iran, Vietnam, Canada, India e Indonesia. In particolare, risulta che l’Olanda abbia lanciato 1,5 volte più attacchi contro i sistemi europei rispetto a Stati Uniti e Cina, e sei volte più dell’Indonesia.

Le reti (ASN) e gli ISP al centro degli attacchi

La rete di HostPalace Web Solutions basata in Olanda (ASN 133229) ha lanciato il maggior numero di attacchi, seguita da Online SAS in Francia (ASN 12876). Al terzo posto NForce Entertainment (ASN 43350), attacchi anche in questo caso partiti dall’Olanda. Le tre aziende sono tutte provider di servizi di hosting web le cui reti compaiono regolarmente nelle lista degli F5 Labs dei top threat actor networks5

Il 72% degli ASN registrati1 sono provider di servizi Internet; il 28% sono fornitori di servizi di hosting web.

Nella sua analisi, gli F5 Labs hanno identificato anche i primi 50 indirizzi IP che hanno attaccato gli obiettivi europei2, invitando le organizzazioni a controllare i log di rete per le connessioni che provengono da questi indirizzi IP. Allo stesso modo, chi possiede una rete dovrebbe ispezionare i propri indirizzi IP per identificare eventuali abusi.

Le principali porte prese di mira

Analizzando le porte che hanno subito attacchi4, gli F5 Labs sono stati in grado di capire quali fossero le tipologie di sistemi maggiormente presi di mira. In Europa a subire più attacchi è stata la porta 5060, utilizzata dal servizio SIP (Session Initiation Protocol) per la connettività Voice over IP (VoIP) ai telefoni e ai sistemi di videoconferenza.

Questa porta è coinvolta in modo costante e aggressivo ogni volta che il traffico di attacco viene indirizzato in modo specifico contro un luogo e un evento di portata mondiale, come avvenuto ad esempio nel caso dei summit di Trump con Kim Jung Un6 o Vladimir Putin7. Al secondo posto troviamo la porta 445 di Microsoft Server Message Block (SMB) seguita dalla porta 2222, che viene comunemente utilizzata come porta Secure Shell (SSH) non standard.

Come proteggersi

In base ai risultati di questa analisi, F5 consiglia alle organizzazioni di eseguire continuamente scansioni di vulnerabilità esterne per scoprire quali sistemi sono esposti pubblicamente e su quali porte specifiche.

A qualsiasi sistema esposto pubblicamente rispetto alle porte indicate come principali target dovrebbe essere assegnata la priorità, sia rispetto alla possibilità di essere disattivato dal firewall (come la porta Microsoft Samba 445 o le porte SQL 3306 e 1433) sia per la gestione delle vulnerabilità. Inoltre, le applicazioni Web che accettano il traffico sulla porta 80 dovrebbero essere protette con web application firewall, essere continuamente sottoposte a scansione delle vulnerabilità delle applicazioni Web e ottenere la priorità nella gestione delle vulnerabilità che comprende, ma non si limita, il bug fixing e il patching.

Gli F5 Labs hanno notato che molti degli attacchi alle porte che supportano i servizi di accesso come SSH sono del tipo “brute force” 8, quindi qualsiasi pagina di login pubblica dovrebbe disporre di una protezione adeguata contro questa tipologia di minaccia.

“Gli amministratori di rete e gli ingegneri della sicurezza dovrebbero esaminare i log di rete per individuare possibili connessioni agli IP più aggressivi che abbiamo identificato”, spiega Sara Boddy, Threat Research Director di F5 Labs. “Nel caso si subisca un attacco proveniente da uno di questi indirizzi IP, bisogna inviare subito una denuncia di abuso ai proprietari degli ASN e ISP, in modo che, come si spera, spengano il sistema e blocchino l’attacco”.

Bloccare un IP può essere complicato, se si ha delle blocklist IP di grandi dimensioni, o se si rischia di bloccare indirizzi IP all’interno degli ISP che offrono servizi Internet a utenti che potrebbero essere anche clienti. In molti casi è probabile che il sistema da cui proviene l’attacco sia un dispositivo IoT infetto e l’utente/cliente e non sappia nemmeno di essere stato infettato”.

“Bloccare il traffico di intere ASN o ISP può risultare altrettanto problematico, perché bloccare l’intera rete impedirebbe a chi la utilizza di fare affari con la vostra azienda. A meno che non si tratti di un ISP che risiede in un Paese nel quale la vostra azienda non opera; in questo caso, il blocco della geolocalizzazione a livello di Paese può rappresentare un modo efficace per eliminare una grande quantità di traffico di attacco e salvare i sistemi dall’elaborazione non necessaria. Per questo motivo, è sempre preferibile interrompere il traffico basandosi sul modello di attacco rispetto alle caratteristiche della vostra rete e agli web application firewall.”

###

1Gli F5 Labs, in collaborazione con il partner di threat intelligence Baffin Bay Networks hanno analizzato il panorama degli attacchi globali per comprendere meglio quali fossero le minacce, regione per regione, e capire dove c’erano somiglianze negli attacchi e nelle porte prese di mira e che cosa fosse unico. La serie di ricerche condotte dai Labs ha esaminato gli attacchi durante lo stesso periodo di 90 giorni in Europa, Stati Uniti, Canada e Australia.

2I principali ASN da cui provenivano gli attacchi in ordine decrescenze di importanza

ASNASN OrganizationCountryIndustry
133229HostPalace Web Solution PVT LTDNetherlandsHosting
12876Online S.a.s.FranceHosting
43350NForce Entertainment B.V.NetherlandsISP
16276OVH SASFranceHosting
36352ColoCrossingUnited StatesISP
4134ChinanetChinaISP
50113MediaServicePlus LLCRussiaISP
56005Henan Telcom Union Technology Co., LTDChinaHosting
45899VNPT CorpVietnamISP
17974PT Telekomunikasi IndonesiaIndonesiaISP
4837CNCGROUP China169 BackboneChinaISP
44244Iran Cell Service and Communication CompanyIranISP
3462Data Communication Business GroupTaiwanISP
7552Viettel CorporationVietnamISP
197207Mobile Communication Company of Iran PLCIranISP
58271FOP Gubina Lubov PetrivnaUkraineHosting
8048CANTV ServiciosVenuzuelaISP
4766Korea TelecomSouth KoreaISP
12880Information Technology Company (ITC)IranISP
18403The Corporation for Financing & Promoting Tech…VietnamISP
6739Vodafone Ono, S.A.SpainISP
45090Shenzhen Tencent Computer Systems Company LimitedChinaISP
9121Turk TelekomTurkeyISP
206792IP Khnykin Vitaliy YakovlevichRussiaISP
23650CHINANET jiangsu province backboneChinaISP
9829National Internet BackboneIndiaISP
31549Aria Shatel Company LtdIranISP
8151Uninet S.A. de C.V.MexicoISP
49877RM Engineering LLCRussiaHosting
12389PJSC RostelecomRussiaISP
9299Philippine Long Distance Telephone CompanyPhilippinesISP
4812China Telecom (Group)ChinaISP
4808China Unicom Beijing Province NetworkChinaISP
8452TE DataNorwayISP
16125UAB Cherry ServersLithuaniaHosting
29073Quasi Networks LTD.NetherlandsHosting
60999Libatech SALLebanonISP
31034Aruba S.p.A.ItalyHosting
9498BHARTI Airtel Ltd.IndiaISP
7922Comcast Cable Communications, LLCUnited StatesISP
44050Petersburg Internet Network ltd.RussiaISP
60781LeaseWeb Netherlands B.V.NetherlandsHosting
42590Telemost LLCUkraineHosting
393406Digital Ocean, Inc.United StatesHosting
43754Asiatech Data Transfer Inc PLCIranHosting
23969TOT Public Company LimitedThailandISP
18881TELEFÔNICA BRASIL S.ABrazilISP
16509Amazon.com, Inc.United StatesHosting
55577Atria Convergence Technologies pvt ltdIndiaISP
4230CLARO S.A.BrazilISP

 

3I principali 50 indirizzi IP che hanno ataccato gli obiettivi in Europa dal primo dicembre 2018 al 1 marzo 2019

Source IPASN OrganizationASNISPCountry
23.249.175.100ColoCrossing36352Net3United States
42.51.231.67Henan Telcom Union Technology Co., LTD56005CNISP-Union Technology (Beijing) Co.China
194.63.142.249MediaServicePlus LLC50113MediaServicePlus LLCRussia
37.49.231.160HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
37.49.231.132HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
62.210.84.142Online S.a.s.12876Free SASFrance
185.53.88.46Vitox Telecom 209299  Estonia
185.254.122.17UGB Hosting OU206485Russia
37.49.231.188HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
167.114.1.144OVH SAS16276OVH HostingCanada
185.40.4.42MediaServicePlus LLC50113MediaServicePlus LLCRussia
62.210.83.56Online S.a.s.12876Free SASFrance
167.114.208.173OVH SAS16276OVH HostingCanada
37.49.231.187HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
62.210.86.106Online S.a.s.12876Free SASFrance
62.210.86.117Online S.a.s.12876Free SASFrance
62.210.88.58Online S.a.s.12876Free SASFrance
62.210.83.104Online S.a.s.12876Free SASFrance
37.49.231.236HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
37.49.231.122HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
62.210.83.136Online S.a.s.12876Free SASFrance
176.119.7.170FOP Gubina Lubov Petrivna58271FOP Gubina Lubov PetrivnaUkraine
216.170.120.176ColoCrossing36352Net3United States
185.107.83.129NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
185.107.80.62NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
185.107.80.153NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
46.166.142.35NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
192.227.220.213ColoCrossing36352ColoCrossingUnited States
46.166.187.179NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
185.107.80.31NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
46.166.187.2NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
210.124.164.133Korea Telecom4766LG DACOM CorporationRepublic of Korea
46.166.139.6NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
167.114.174.232OVH SAS16276OVH HostingCanada
46.166.187.4NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
185.53.88.71Vitox Telecom 209299  Estonia
62.210.84.176Online S.a.s.12876Free SASFrance
46.166.148.3NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
149.56.45.214OVH SAS16276OVH HostingCanada
62.210.86.103Online S.a.s.12876Free SASFrance
37.49.231.77HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
46.166.142.27NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
46.166.187.177NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
137.74.180.145OVH SAS16276OVH SASFrance
178.215.173.22Telemost LLC42590Telemost LLCUkraine
37.49.231.159HostPalace Web Solution PVT LTD133229Estro Web Services Private LimitedNetherlands
62.210.142.89Online S.a.s.12876Free SASFrance
62.210.84.136Online S.a.s.12876Free SASFrance
46.166.151.117NForce Entertainment B.V.43350NFOrce Entertainment B.V.Netherlands
62.210.84.153Online S.a.s.12876Free SASFrance

 

4Le principali 30 porte e servizi 20 attaccati

5https://www.f5.com/labs/search._hunt_for_IoT

6https://www.f5.com/labs/articles/threat-intelligence/russian-attacks-against-singapore-spike-during-trump-kim-summit

7https://www.f5.com/labs/articles/threat-intelligence/cyber-attacks-spike-in-finland-before-trump-putin-meeting

8Per un elenco delle 100 credential pairs utilizzate negli attacchi di brute force SSH, potete consultare the Hunt for IoT Volume 5.

 

F5 Networks

F5 (NASDAQ: FFIV) supporta le grandi aziende, i service provider, le aziende pubbliche e i brand consumer dando loro la possibilità di rilasciare qualsiasi applicazione dove vogliono, in totale sicurezza. F5 offre servizi applicativi per il cloud e la security che consentono alle organizzazioni di adottare l’infrastruttura applicativa che meglio risponde alle loro esigenze senza dover compromettere velocità e controllo. Per maggiori informazioni, visita il sito www.f5.com.

Leave a Response

Massimo Uccelli
Fondatore e admin. Appassionato di comunicazione e brand reputation. Con Consulenze Leali mi occupo dei piccoli e grandi problemi quotidiani delle PMI.
Translate »

Su questo sito utilizziamo strumenti nostri o di terze parti che memorizzano piccoli file (cookie) sul tuo dispositivo. I cookie sono normalmente usati per permettere al sito di funzionare correttamente (cookie tecnici), per generare statistiche di uso/navigazione (cookie statistici) e per pubblicizzare opportunamente i nostri servizi/prodotti (cookie di profilazione). Possiamo usare direttamente i cookie tecnici, ma hai il diritto di scegliere se abilitare o meno i cookie statistici e di profilazioneAbilitando questi cookie, ci aiuti ad offrirti una esperienza migliore con noi. 

 

>> Cookie Policy <<