Attacco DDoS da botnet-camera. Questa la nuova minaccia che spaventa il pubblico dell'”Internet delle cose”, ancora non adeguatamente schermato da episodi di pirateria informatica, ora sempre più ricorrenti.
Attacco DDoS da CCTV (Closed-Circuit TeleVision)
Con l’avvento sempre più serrato della filosofia dell'”Internet of Things” si è passati attraverso vari fasi evolutive che hanno portato ad un ambiente sempre connesso e, con esso, una serie di indiscutibili problemi inerenti il ramo dell’IT Security.
Gli attacchi si sono in tal modo intensificati grazie al fatto di non avere a disposizione la garanzia di un’adeguata protezione da fattori di pirateria informatica esterni. Benché ancora raro, un attacco DDoS che contempli l’hacking degli elettrodomestici non è un’ipotesi così remota.
Nonostante ciò, vista la diffusione capillare sia in ambiente domestico che commerciale, le IP Camera e le comuni telecamere sempre connesse sono tra le prime apparecchiature a sortire gli effetti di tali tentativi di manomissione ed intrusione.
La Security Society di Incapsula ha infatti rilevato un attacco DDoS attraverso una botnet di IP Camera CCTV con una potenza di picco pari ad oltre 20.000 richieste al secondo. Ponendo sotto esame l’attacco DDoS e di conseguenza gli IP sorgenti, Incapsula, è risalita ad un esteso elenco di telecamere accessibili da remoto unicamente attraverso le credenziali di accesso di default dei dispositivi. Il malware in particolare identifica una falla costituita dall’apertura del servizio Telnet/SSH nei dispositivi che fanno uso di una BusyBox per tentare un attacco brute force dictionary al fine di estrarne le credenziali di accesso. In questo caso la variante fa uso di un ulteriore minaccia costituita dal vero e proprio attacco DDoS CCTV del tipo HTTP GET.
L’attacco, rivolto a terminali video che operavano con distro Linux ARM, è stato possibile grazie alla creazione di un semplice file binario ELF di scansione derivato dal noto ELF-BASHLITE che si è servito di oltre 900 CCTV sparse in tutto l’emisfero al fine di inondare di richieste un server cloud da milioni e milioni di utenti.
L’accesso, avvenuto da varie località in tutto il mondo, prova come ancora oggi non vi sia un adeguato fattore di protezione che colmi le probabilità di localizzazione ed intromissione esterne da remoto. Il miglior consiglio che vogliamo darvi è quello di cambiare immediatamente le credenziali di accesso ai vostri dispositivi ed assicurarvi, dal pannello di controllo del vostro router, che non vi siano porte aperte a connessioni Telnet/SSH. Spero di esservi stato di aiuto.
