"Una volta che l'attore aveva stabilito con successo l'accesso al network, una semplice scansione della rete per cercare altri dispositivi non sicuri consentiva loro di scoprire e spostarsi attraverso di questa alla ricerca di account con privilegi più elevati che avrebbero garantito l'accesso a dati di valore più elevato", spiegano gli specialisti Microsoft. "Dopo aver ottenuto l'accesso a ciascuno dei dispositivi IoT, l'attore ha avviato tcpdumpper per sniffare il traffico di rete su sottoreti locali". Sono stati anche visti enumerare gruppi amministrativi per tentare un ulteriore sfruttamento. L'analisi del traffico di rete ha mostrato che i dispositivi stavano anche comunicando con un server esterno di comando e controllo.
Microsoft Threat Intelligence Center sostiene che sia stato il gruppo Strontium (APT28), che secondo il Foreign and Commonwealth Office e diverse società di cybersicurezza fa riferimento all'intelligence russa GRU. Insomma si tratterebbe di una squadra di specialisti in cyberspionaggio.
L'azione di questo gruppo negli ultimi 12 mesi ha costretto Microsoft a effettuare 1400 notifiche a Stati nazionali per segnalare attacchi e compromissioni. Una notifica su cinque dell'attività di Strontium è stata legata ad attacchi contro organizzazioni non governative, think-tank, organizzazioni politicamente affiliate in tutto il mondo, i comitati organizzativi olimpici, le agenzie antidoping e l'industria dell'ospitalità. L'FBI per altro ha attribuito il malware "VPN filter" proprio a Strontium.
Microsoft consiglia le seguenti azioni per proteggere e gestire meglio i rischi associati ai dispositivi IoT:
- Richiede l'approvazione e la catalogazione di tutti i dispositivi IoT in esecuzione nel tuo ambiente aziendale.
- Sviluppa una politica di sicurezza personalizzata per ciascun dispositivo IoT.
- Evitare di esporre i dispositivi IoT direttamente a Internet o creare controlli di accesso personalizzati per limitare l'esposizione.
- Utilizzare una rete separata per i dispositivi IoT, se possibile.
- Effettuare controlli di configurazione / patch di routine su dispositivi IoT distribuiti.
- Definire criteri per l'isolamento dei dispositivi IoT, la conservazione dei dati dei dispositivi, la capacità di conservare i registri del traffico dei dispositivi e l'acquisizione delle immagini dei dispositivi per indagini forensi.
- Includi i punti deboli della configurazione del dispositivo IoT o gli scenari di intrusione basati su IoT come parte dei test di Red Team.
- Monitorare l'attività del dispositivo IoT per comportamenti anomali
- Controlla eventuali identità e credenziali che hanno autorizzato l'accesso a dispositivi, utenti e processi IoT.
- Centralizza la gestione di asset / configurazione / patch, se possibile.
- Se i tuoi dispositivi sono distribuiti / gestiti da una terza parte, includi nei Termini contratti espliciti che descrivono le pratiche di sicurezza da seguire e gli audit che riportano lo stato della sicurezza e l'integrità di tutti i dispositivi gestiti.
- Laddove possibile, definire i Termini SLA nei contratti con i fornitori di dispositivi IoT che impostano una finestra reciprocamente accettabile per la risposta investigativa e l'analisi forense a qualsiasi compromesso che coinvolga il loro prodotto.