Azioni del National Cyber Security Center olandese e 17 milioni di dispositivi: cosa dovrebbero preparare le aziende

La Politie olandese e il National Cyber Security Center (NCSC) hanno recentemente eseguito un attacco coordinato contro una massiccia infrastruttura botnet. Questa operazione ha comportato il sequestro di oltre 200 server situati nei Paesi Bassi. Questi server fungevano da backend per una rete che ha reso schiavi 17 milioni di dispositivi in tutto il mondo. La portata di questo smantellamento è un avvertimento per ogni CISO che si affida alla tradizionale reputazione IP per la difesa del perimetro.

Ho visto molte botnet negli ultimi due decenni, ma la natura di questa specifica rete è differente. Fa parte di una tendenza crescente in cui servizi legittimi e intenti malevoli coesistono nello stesso spazio architettonico. I rapporti collegano questa infrastruttura ad Asocks, un fornitore di proxy residenziali. Il collegamento tra Asocks e la campagna PROXYLIB identificata dal team HUMAN Satori illustra un chiaro cambiamento nel modello di minaccia. Gli aggressori non hanno più bisogno di costruire i propri sistemi di distribuzione su misura quando possono semplicemente acquistare l'accesso a milioni di IP residenziali puliti attraverso un abbonamento commerciale.

La meccanica della botnet proxy residenziale

Per comprendere il rischio, è necessario capire come questi 17 milioni di dispositivi si siano uniti alla rete. Nella campagna PROXYLIB, il malware arrivava spesso sui dispositivi Android tramite SDK di proxyware come LumiApps. Questi SDK sono spesso incorporati in applicazioni apparentemente innocue. Una volta che l'utente installa l'app, il dispositivo diventa un nodo nella rete Asocks. La larghezza di banda dell'utente viene venduta a terzi. Mentre l'utente potrebbe vedere questo come un modo per guadagnare pochi centesimi o accedere a un'app gratuita, la realtà è che il suo dispositivo ora facilita il traffico malevolo.

La piattaforma Asocks pubblicizzava l'accesso a questi dispositivi per soli 5 dollari al mese. Questa bassa barriera all'ingresso cambia l'economia di un attacco. Nella mia esperienza di auditing delle reti aziendali, vedo un volume significativo di tentativi di credential stuffing e scraping. Quando questi tentativi provengono da un data center, sono facili da bloccare. Quando provengono da 17 milioni di dispositivi residenziali unici, le tradizionali regole WAF diventano un limite. Un dispositivo residenziale ha un'alta reputazione per impostazione predefinita perché appare come un cliente legittimo.

Mettere in discussione il presupposto della fiducia residenziale

L'assunto più pericoloso nella cybersecurity odierna è che il traffico proveniente dagli ISP residenziali sia intrinsecamente più sicuro del traffico proveniente da data center o VPN. Per anni, i fornitori di sicurezza hanno venduto l'idea che "residenziale" equivalga a "umano". Questo smantellamento dimostra che 17 milioni di dispositivi residenziali facevano parte di un'infrastruttura criminale. Sostengo che dobbiamo invertire il nostro modello di fiducia. Un indirizzo IP residenziale è ora un segnale ad alto rischio quando si comporta in modo automatizzato.

La maggior parte delle architetture di sicurezza legacy utilizza il rate limiting basato su IP. Se un IP invia troppe richieste, il sistema lo blocca. Tuttavia, con un pool di 17 milioni di dispositivi, un aggressore può ruotare gli IP per ogni singola richiesta. Nessun singolo IP raggiunge mai la soglia del rate limit. L'attacco rimane invisibile ai normali strumenti di monitoraggio. Questa asimmetria di accesso consente agli aggressori di mantenere la furtività durante la conduzione di operazioni su larga scala. Se la vostra strategia di difesa si basa sull'identificazione degli IP "cattivi", state combattendo una battaglia che avete già perso.

Implicazioni architettoniche per l'impresa

La rimozione di 200 server nei Paesi Bassi fornisce un sollievo temporaneo, ma la vulnerabilità sottostante rimane. I dispositivi sono ancora in circolazione. Il malware è ancora presente su milioni di tablet, smartphone e dispositivi IoT. Ciò significa per la vostra architettura che il perimetro non è più un filtro: è un setaccio.

Dobbiamo muoverci verso un modello di verifica comportamentale. Invece di chiedere "Da dove proviene questa richiesta?", il sistema deve chiedere "Cosa sta facendo questa richiesta?". Ciò richiede un'ispezione profonda del comportamento a livello applicativo. Se un IP residenziale accede a un'API con una frequenza o in una sequenza che non corrisponde al tipico comportamento umano, il sistema deve attivare una sfida, come una proof-of-work o un CAPTCHA sofisticato.

La microsegmentazione è l'unica via percorribile per la difesa interna. Se un dispositivo sulla vostra rete diventa parte di una botnet come PROXYLIB, il suo obiettivo primario è spesso il movimento laterale o l'esfiltrazione di dati. In molti ambienti aziendali, uno smartphone infetto sulla rete Wi-Fi guest ha un percorso diretto verso la VLAN del server interno. Ho condotto pentest in cui una singola stampante IoT compromessa ha fornito il punto d'appoggio necessario per scaricare un domain controller. Dovete trattare ogni dispositivo sulla vostra rete come un potenziale nodo in una botnet da 17 milioni di elementi.

Il rischio nascosto dell'IoT e dei dispositivi edge non aggiornati

L'NCSC ha osservato che le botnet spesso ottengono l'accesso tramite dispositivi edge non patchati e password deboli. Questa è l'igiene di base che molte organizzazioni ancora ignorano. I router e i dispositivi IoT sono gli anelli più deboli perché spesso mancano della telemetria presente sulle workstation gestite. Un laptop ha un agente EDR; un termostato intelligente no.

Nel mio periodo come CISO, ho scoperto che la parte più difficile della sicurezza non è il complesso exploit zero-day. Sono le migliaia di piccoli dispositivi non gestiti che si accumulano lentamente sulla rete. Ognuno di essi è un potenziale nodo proxy. Quando le autorità olandesi hanno abbattuto il backend di Asocks, non hanno riparato i dispositivi vulnerabili. Hanno solo rimosso il meccanismo di comando e controllo (C2). Nuovi attori di minacce scansioneranno inevitabilmente queste stesse vulnerabilità per costruire la prossima rete.

Piano d'azione per i prossimi 12 mesi

La sopravvivenza in questo ambiente dipende dal muoversi più velocemente di quanto gli aggressori possano ruotare la loro infrastruttura. Raccomando i seguenti passaggi per CISO e CTO nel corso del prossimo anno per affrontare il rischio sistemico posto dalle massicce botnet proxy.

• Revisione delle regole di reputazione IP esterne: Esaminate le impostazioni del WAF e della mitigazione dei bot. Se avete inserito in whitelist intervalli di IP residenziali o se li trattate con minore controllo, rimuovete immediatamente tali regole. Implementate un approccio "verifica sempre" indipendentemente dalla reputazione dell'IP di origine.
• Implementazione del fingerprinting a livello applicativo: Distribuite strumenti in grado di identificare browser automatizzati e bot in base ai loro schemi di esecuzione piuttosto che ai loro indirizzi IP. Cercate incongruenze negli handshake TLS e negli header HTTP.
• Applicazione di una rigorosa microsegmentazione: Isolate i dispositivi IoT e guest dagli ambienti di produzione. Utilizzate un'architettura Zero Trust in cui ogni connessione interna richiede autenticazione e autorizzazione esplicite. Uno smartphone compromesso non deve avere la capacità di scansionare la rete interna.
• Scansione di proxyware sugli asset aziendali: Utilizzate strumenti EDR e MDM per scansionare SDK di proxyware noti e app che offrono "reddito passivo" per la condivisione della larghezza di banda. Create una policy che vieti esplicitamente queste applicazioni su qualsiasi dispositivo che acceda ai dati aziendali.
• Rotazione delle credenziali edge e aggiornamento del firmware: Conducete un audit completo di tutti i dispositivi edge, inclusi i router per l'ufficio domestico utilizzati dai dipendenti remoti. Assicuratevi che abbiano l'ultimo firmware e che le password predefinite siano cambiate con stringhe complesse e uniche.
• Monitoraggio del traffico in uscita per pattern proxy: Cercate connessioni in uscita insolite verso domini di fornitori proxy noti o infrastrutture di backend. Grandi volumi di traffico in uscita da un dispositivo IoT a bassa potenza sono un chiaro indicatore di compromissione.

Una nuova realtà di resilienza delle infrastrutture

Le autorità olandesi hanno reso un servizio alla comunità globale smantellando questa specifica botnet. Tuttavia, dobbiamo considerare questa come una singola battaglia in una lunga guerra di logoramento. I 17 milioni di dispositivi coinvolti rappresentano una massiccia superficie d'attacco che rimane vulnerabile alla prossima campagna.

L'architettura è l'unica soluzione permanente. Non è possibile patchare ogni dispositivo al mondo e non è possibile fermare ogni infezione malware. È possibile, tuttavia, progettare i sistemi in modo che una compromissione non porti a una catastrofe. Concentrandosi sul comportamento rispetto alla reputazione e sulla segmentazione rispetto ai perimetri, si costruisce una rete che rimane resiliente anche quando il mondo è pieno di botnet da 17 milioni di nodi.

Fonti:

• Dutch National Cyber Security Center (NCSC)
• Politie (Dutch National Police)
• HUMAN Satori Threat Intelligence Team
• NL Times

Disclaimer: Questo articolo è solo a scopo informativo ed educativo e non sostituisce un audit professionale di cybersecurity o un servizio di risposta agli incidenti.