Ascesa e caduta della botnet Raptor Train
Negli ultimi anni, si è registrato un aumento delle botnet, come la recente Raptor Train, che sfruttano le vulnerabilità dei dispositivi IoT (Internet of Things), compromettendo la sicurezza di milioni di dispositivi connessi. Questi attacchi, sempre più sofisticati, sfruttano apparecchiature come videocamere, router ed elettrodomestici intelligenti per lanciare campagne su larga scala, che vanno dal furto di dati personali agli attacchi DDoS.
Come accennato, un esempio recente è la botnet Raptor Train, smantellata dalle autorità internazionali dopo aver infettato migliaia di dispositivi IoT. Nell’articolo esamineremo il funzionamento delle botnet, i tipi di dispositivi presi di mira e le tipologie di attacchi eseguiti, concludendo con alcune best practices per proteggere i dispositivi IoT da queste crescenti minacce.
Cosa sono e come funzionano le botnet come Raptor Train?
Le botnet, abbreviazione di “robot network“, sono reti di dispositivi compromessi, controllati da remoto da un cybercriminale, noto come botmaster. Ogni dispositivo infettato da malware all’interno della botnet diventa un “bot” o “zombie”, eseguendo comandi senza che il suo proprietario se ne accorga.
Ma cosa significa nella pratica?
Le botnet vengono create quando un malware infetta un dispositivo, collegandolo a una rete di altri dispositivi compromessi. In questo modo, il botmaster può controllare questi dispositivi attraverso un’infrastruttura di comando e controllo (C&C), che permette di inviare comandi a distanza per eseguire vari tipi di attacchi. Generalmente, le botnet operano in modo distribuito, in cui i server di controllo sono nascosti o decentralizzati, rendendo difficile il loro smantellamento da parte delle autorità.
Inoltre, tradizionalmente le botnet prendevano di mira principalmente i computer ma, con la crescita esponenziale dell’Internet of Things, anche dispositivi come router, videocamere di sorveglianza, smart TV, elettrodomestici intelligenti e persino automobili sono diventati potenziali bersagli. Tutto questo perché spesso i dispositivi IoT non sono adeguatamente protetti, presentando credenziali predefinite facili da compromettere e ricevendo raramente aggiornamenti di sicurezza.
Raptor Train, minaccia ai dispositivi IoT in tutto il mondo
Raptor Train rientra pienamente nella descrizione appena fornita, è, anzi era, una botnet composta da dispositivi SOHO e IoT. È emersa per la prima volta all’attenzione degli esperti di sicurezza informatica verso maggio 2020, quando iniziò a sfruttare vulnerabilità nei dispositivi IoT per diffondersi su vasta scala.
Questa botnet si distingueva per la sua capacità di infettare una vasta gamma di dispositivi connessi a Internet, tra cui router, telecamere di sorveglianza e elettrodomestici smart. Raptor Train sfruttava specifiche falle di sicurezza non corrette e credenziali di accesso predefinite o deboli per prendere il controllo dei dispositivi, trasformandoli in bot controllati da remoto senza che i proprietari se ne accorgessero.
Gli attacchi condotti tramite la botnet Raptor Train erano principalmente Distributed Denial of Service (DDoS), che colpivano infrastrutture critiche e siti web di grandi organizzazioni, causando l’interruzione dei loro servizi online. Inoltre, questa botnet è stata utilizzata anche per il mining illegale di criptovalute, sfruttando la potenza computazionale dei dispositivi infetti, e per campagne di spam e phishing su larga scala, mirate a compromettere ulteriori reti e dispositivi.
La scoperta di Raptor Train è stata possibile grazie alla cooperazione tra diverse aziende di cybersecurity e forze dell’ordine internazionali, che hanno iniziato a notare un aumento anomalo del traffico generato dai dispositivi IoT compromessi. Dopo mesi di investigazioni, gli esperti sono riusciti a rintracciare l’infrastruttura di comando e controllo della botnet. Il suo smantellamento definitivo è avvenuto quest’anno (2024), quando un’operazione congiunta tra agenzie di sicurezza cibernetica e polizia internazionale ha consentito di neutralizzare i server centrali utilizzati per coordinare i dispositivi infetti.
05/2020
Entrata in funzione
06/2023
Picco di attacchi
09/2024
Smantellamento
~ 4 anni
~ 200.000 dispositivi infettati
Prevenzione e protezione dei dispositivi IoT
Per concludere, proteggere i dispositivi IoT dagli attacchi hacker è indispensabile per evitare che diventino parte di una botnet come Raptor Train. Per far questo è fondamentale che produttori e consumatori adottino misure di sicurezza adeguate a seconda del dispositivo, della sua funzione, dell’ambiente in cui opera e dei dispositivi con i quali interagisce.
Cosa deve fare il produttore?
- Progettazione sicura: i produttori devono adottare un approccio “security by design”, dando importanza alla sicurezza fin dalla fase di progettazione del dispositivo. Questo include l’uso di protocolli di comunicazione sicuri e modalità di autenticazione robuste.
- Aggiornamenti e patch: è essenziale che i produttori rilascino aggiornamenti regolari per correggere vulnerabilità di sicurezza oltre che implementare meccanismi di aggiornamento automatico.
- Documentazione e supporto: una documentazione chiara su come configurare in modo sicuro i dispositivi, insieme a un supporto clienti in grado di gestire questioni di sicurezza, è cruciale per aiutare i consumatori.
Cosa deve fare il consumatore finale?
- Modifica delle credenziali predefinite: una delle prime azioni che i consumatori devono compiere è modificare immediatamente le credenziali di accesso predefinite del dispositivo, impostando password forti e uniche.
- Aggiornamenti regolari: così come i produttori devono prevedere patch di sicurezza quando necessario, allo stesso modo gli utenti non devono ignorare gli aggiornamenti disponibili, una buona soluzione può essere quella di attivare gli aggiornamenti automatici.
- Monitoraggio e firewall: installare un firewall o un sistema di monitoraggio del traffico di rete può aiutare a rilevare attività sospette sui dispositivi IoT, consentendo un’azione tempestiva in caso di tentativi di attacco.
Adottando queste misure, nei tempi e nei modi richiesti dal proprio settore e dalla tipologia di dispositivo, sia i produttori che i consumatori possono contribuire a ridurre significativamente il rischio di attacchi ai dispositivi IoT, rendendo più difficile la formazione di botnet su larga scala.
Realizza il tuo progetto
Per IoTReady la sicurezza delle soluzioni IoT è una questione prioritaria all’interno dei nostri progetti.
Contattaci ora per realizzare il tuo progetto o per conoscere le potenzialità dell’IoT nel tuo settore.