Tentativi di brute force su VPN nazionali: il panorama della sicurezza informatica in Italia in questo momento è segnato da una serie di attacchi di brute force che hanno preso di mira diverse piattaforme, con un focus preoccupante sulle VPN (Virtual Private Network).
Il fenomeno, rilevato dalle indagini condotte dal nostro team di cybersecurity, mostra caratteristiche preoccupanti per la vastità e l’apparente coordinazione degli attacchi. Dalle analisi effettuate è emerso infatti che questi tentativi di intrusione provengono tutti dallo stesso Autonomous System Number (ASN), precisamente l’AS394711 associato a LIMENET.
Gli aggressori palesano la volontà di produrre poco rumore con la finalità di non essere rilevati; infatti, gli indirizzi IP sorgenti variano costantemente, effettuano un numero limitato di tentativi e, soprattutto, è presente un delay tra le varie richieste che si traducono nell’assenza di particolari picchi relativi alla frequenza dei tentativi di autenticazione. Ciò rende più complessa la tracciabilità e la mitigazione dell’attacco.
Questo modus operandi suggerisce un’organizzazione e una pianificazione dietro i tentativi di brute force che non possono essere sottovalutati.
Il quadro dei tentativi di attacco
Grazie agli strumenti avanzati di monitoraggio del servizio Cyberoo, siamo in grado di fornire un quadro dettagliato degli attacchi in corso. Dall’inizio delle nostre osservazioni, il 21 febbraio 2024, abbiamo identificato vari terminatori VPN come bersagli, senza una predilezione tecnologica specifica.
Tra i dispositivi interessati figurano Watchguard FW, Netscaler, Paloalto FW, Cisco VPN e Cisco FTD.
Di seguito, alcune numeriche relative ad un periodo di analisi degli ultimi 30 giorni da parte del CERT di Cyberoo. Gli indirizzi IP sorgenti differenti rilevati sono 329: cliccare QUI per scaricare il documento pdf con l’elenco completo degli IP sorgente. Nella grafica si nota l’evidenza degli IP maggiormente coinvolti:
Figura 1 – Evidenza grafica degli IP maggiormente coinvolti
Gli approfondimenti effettuati sono stati permessi dalla parziale visibilità di un piccolo spike che si è presentato in quanto, tra il 20 e il 21 febbraio, le attività che prima sembravano costanti hanno subito un’interruzione per poi riprendere. Di seguito, immagine dell’andamento dei tentativi di accesso.
Figura 2 – Eventi di tentativi di autenticazione tra il 20/02/24 ed il 21/02/24
Di fatto, i tentativi sembrerebbero essere reiterati e presenti in tutto il mese. Nel grafo seguente, uno spaccato degli eventi di autenticazione fallita da LIMENET.
Figura 3 – Eventi di tentativi di autenticazione tra il 23/01/24 ed il 21/02/24
Attualmente, negli ultimi 30 giorni, da verifiche a campione sembrerebbe che ogni utenza sia stata tentata tra le 3mila e le 4mila volte circa. Attacchi di questo tipo, effettuati tramite metodologie e procedure tali da eludere i sistemi di monitoraggio e difesa, sono molti e frequenti su tutta Internet.
Le utenze coinvolte e le raccomandazioni
Un’analisi più dettagliata ha svelato che le utenze prese di mira non sembrano seguire un criterio di selezione particolarmente sofisticato, ma piuttosto di avvalersi di credenziali comuni, prevalentemente in lingua inglese. Di fronte a questo scenario, il rischio maggiore è rappresentato dall’utilizzo di password deboli o di credenziali di default che possono facilmente cadere vittime di questi attacchi sistematici.
La nostra raccomandazione urgente è di effettuare immediatamente una verifica delle proprie configurazioni di sicurezza, assicurandosi di non utilizzare password deboli o facilmente indovinabili. Per una protezione aggiuntiva, si suggerisce di considerare l’applicazione di una regola di DENY verso i sistemi VPN ed accessi perimetrali da IP associati all’ASN AS394711, a meno che non esista una valida ragione per mantenere aperte tali comunicazioni.
Conclusioni e prospettive
La scoperta di questi tentativi di brute force estesi e coordinati rappresenta una chiamata all’azione per tutte le organizzazioni su territorio nazionale. Nonostante le misure difensive in atto e il monitoraggio costante, l’evoluzione dinamica di questi attacchi richiede una vigilanza e un aggiornamento continui delle politiche di sicurezza.
Continueremo a monitorare la situazione attentamente, comunicando eventuali sviluppi rilevanti. Nel frattempo, rimaniamo a disposizione per supportare i nostri clienti nella protezione delle loro infrastrutture critiche e nella prevenzione di futuri attacchi. La collaborazione e l’adozione di pratiche di sicurezza informatica consapevoli sono fondamentali nella difesa dai rischi che minacciano l’integrità delle nostre reti e dei nostri dati.