Il CERT Nazionale: Campagne di Prevenzione e Reazione nel 2015
Nel 2015, il CERT Nazionale ha registrato un sensibile incremento delle proprie attività. La rete di contatti a livello nazionale e internazionale si è ampliata considerevolmente, portando a uno scambio crescente di informazioni e alla necessità di sviluppare appositi strumenti per la loro gestione. Il trend di crescita delle segnalazioni è dovuto all’estensione della rete di contatti e all’incremento del numero delle fonti di informazione, che hanno portato a nuovi servizi per gli operatori nazionali.
Il CERT Nazionale ha raggiunto un numero considerevole di operatori e ISP, coprendo circa il 98% del totale di indirizzi IP italiani. Il CERT ha predisposto campagne informative, sia “preventive” che “reattive”, riguardanti siti web compromessi, botnet e vulnerabilità che possono rendersi vettori di attacchi DDoS.
Espansione della rete di contatti e nuove fonti di informazione
Il 2015 ha registrato un sensibile incremento delle attività del CERT Nazionale.
Se infatti nel corso della seconda parte del 2014 il CERT si era fortemente impegnato a stabilire i primi contatti con gli omologhi CERT internazionali, non solo a livello europeo, e a consolidare a livello nazionale le relazioni con i competenti soggetti pubblici ed il settore privato, durante tutto il 2015 la rete dei contatti ha avuto una consistente estensione, traducendosi in uno scambio crescente di informazioni che ha comportato la necessità di sviluppare strumenti opportuni per la loro gestione.
Aumento delle segnalazioni e copertura degli operatori grazie al CERT Nazionale
Il trend di crescita delle segnalazioni è dovuto, da un lato, all’estensione della rete dei contatti, a livello sia nazionale che internazionale, e dall’altro all’incremento del numero delle fonti di informazione che si traduce in nuovi servizi per gli operatori nazionali.
Inoltre, l’accreditamento ottenuto presso soggetti riconosciuti internazionalmente (Carnegie Mellon, Trusted Introducer) ha portato a nuovi contatti, soprattutto da parte di alcuni CERT internazionali. Nell’ultimo periodo si registra un trend crescente per le segnalazioni provenienti da soggetti privati, nazionali o internazionali; le segnalazioni dai CERT Europei ed internazionali si attestano, invece, intorno al 40% del totale.
Allo stato attuale è stato raggiunto dalle segnalazioni del CERT Nazionale un numero considerevole di Operatori/Internet Service Provider nazionali, di varia dimensione, corrispondente ad una copertura di più di 490 AS (Sistemi Autonomi) e più di 50 Milioni di indirizzi IP che coprono circa il 98% del totale di indirizzi afferenti ad AS italiani. Nel dettaglio, i dati ricevuti direttamente da omologhi CERT nazionali ed internazionali e quelli desunti dalle nuove fonti di informazioni, tipicamente di tipo semi-aperte, con viste particolari riservate ai CERT nazionali, hanno portato complessivamente all’invio di 3.500 report corrispondenti ad oltre 750.000 eventi segnalati ai circa 375 Operatori/ISP entrati a far parte dei contatti del CERT Nazionale.
Campagne informative: prevenzione e segnalazioni di compromissioni
Un’attenzione particolare è stata dedicata alla predisposizione di campagne informative attingendo alle fonti più disparate, da quelle aperte, a quelle semi-aperte di security vendor che forniscono ai CERT Nazionali dati a livello Paese, a quelle chiuse rappresentate principalmente dagli omologhi CERT internazionali, a quelle interne, basate su dati desumibili dai propri sistemi.
Le campagne sono state divise in due categorie, quelle a carattere “preventivo” e quelle a carattere “reattivo”: le prime legate a vulnerabilità rilevate in rete dovute a configurazioni errate o vulnerabilità intrinseche dei sistemi; le seconde legate a macchine risultate compromesse, generalmente appartenenti a botnet, rilevate attraverso il loro traffico anomalo registrato in rete.
In particolare alcune delle campagne “reattive” hanno riguardato siti web compromessi, relativamente ai quali il CERT Nazionale ha provveduto ad informare gli Operatori ed ISP coinvolti. La principale infezione segnalata è stata relativa alla spam-botnet nota come “stealrat”. Sono stati circa 2.000 i siti web compromessi segnalati con l’ultima campagna di dicembre da questo sofisticato malware che, attraverso una tecnica basata su tre livelli di infezione (una prima macchina infetta appartenente ad una botnet, un primo web server che predispone lo spam, ed un secondo server che effettua l’attacco vero e proprio, per esempio ospitando un malware o una pagina di phishing o una qualsiasi altra pagina di atterraggio) , è in grado di eludere molti filtri anti-spam.
Altre campagne hanno invece riguardato la compromissione di singole macchine, che sono risultate appartenere a diverse botnet. Nel complesso queste campagne, avviate nel corso dell’anno, hanno riguardato le principali botnet note, con quasi 70.000 infezioni segnalate ai rispettivi Operatori/ISP, come riportato nel dettaglio.
La tipologia delle botnet è estremamente varia, così come i potenziali effetti sulla sicurezza della vittima e della rete nel suo complesso. Molte di esse, come Cutwail, Kelihos, Asprox o Lethic, sono principalmente delle spam-botnet utilizzate, di fatto, per inviare spam di vario genere, fine a se stesso piuttosto che vettore di phishing o diffusione di altro malware più specifico.
Altre sono dei veri e propri rootkit, mentre altre ancora sono pericolose stealer di credenziali, principalmente rivolte alle credenziali bancarie (Dyre e Tinba i più noti ed i più ricorrenti, nella categoria, anche nelle segnalazioni ricevute dal CERT Nazionale da fonti differenti). Differente lo scopo delle campagne “preventive”. Si tratta, di fatto, di informazioni pervenute al CERT Nazionale e relative a vulnerabilità scoperte in rete o a sistemi non correttamente configurati.
Vulnerabilità e rischi di attacchi DDoS
In particolare alcuni servizi lasciati non intenzionalmente “aperti” alla rete, possono rendere la macchina vettore di attacco DDoS verso terzi. Le note tecniche utilizzate per attacchi DDoS Reflection and Amplification, congiuntamente alla possibilità di effettuare spoofing degli indirizzi IP delle macchine vittime, si arricchiscono sempre più di protocolli e servizi “aperti” che garantiscono un buon coefficiente di amplificazione.
Queste tecniche prevedono l’invio di richieste a macchine con determinati protocolli o servizi lasciati “aperti” in rete che prevedono risposte di lunghezza di ordini di grandezza superiori rispetto a quelli della richiesta (“amplification”). Attraverso tecniche di spoofing dell’indirizzo richiedente le risposte vengono inviate contemporaneamente alla macchina vittima, perpetrando così l’attacco, per saturazione di capacità del destinatario.
Accanto ai protocolli e servizi, già usati in passato per attacchi anche di grande dimensioni, con alto coefficiente di amplificazione, come NTP (coefficiente di amplificazione pari a circa 500), Chargen (circa 350) e Quote of the Day (circa 140), nel corso dell’anno si è notato l’uso (con un picco registrato ad agosto) di attacchi che hanno utilizzato il servizio Portmapper, con un coefficiente di amplificazione pari a circa 30, ridotto, ma pur sempre interessante.
La necessità di utilizzare nuovi protocolli per gli attacchi deriva dal fatto che le configurazioni vengono generalmente corrette in seguito alla partecipazione della macchine ad attacchi DDoS. Per questo motivo il numero di macchine segnalate nelle varie campagne, che sono risultate essere in numero molto ridotto nel caso di servizi e protocolli “noti” (nell’ordine del migliaio, a livello italiano), per quest’ultimo caso, invece, sono state oltre 15.000. Altre campagne hanno invece riguardato la diffusione di informazioni su macchine con servizi lasciati inavvertitamente “aperti” o con credenziali di accesso deboli. Tali situazioni espongono le macchine ad attacchi diretti oppure le trasformano in strumenti per altri attacchi come nel caso del DDoS.
A cura di ISCOM, Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, Ministero dello Sviluppo Economico
Articolo pubblicato sulla rivista ICT Security – Gennaio/Febbraio 2016