Quando il team di ricerca di ESET ha acquistato alcuni router usati per creare un ambiente di test, i membri del team sono rimasti scioccati quando hanno scoperto che, in molti casi, le configurazioni utilizzate in precedenza non erano state cancellate... e, peggio ancora, i dati sui dispositivi potevano essere utilizzati per identificare i precedenti proprietari insieme ai dettagli delle loro configurazioni di rete.
Questo ci ha spinto a condurre un test più approfondito, acquistando un maggior numero di dispositivi usati e adottando una metodologia semplice per verificare se i dati fossero ancora presenti sui dispositivi. In totale sono stati acquistati 18 router, uno era morto all'arrivo, due erano una coppia speculare e quindi li abbiamo contati come una singola unità; dopo questi aggiustamenti, abbiamo scoperto dettagli di configurazione e dati su oltre il 56% dei dispositivi.
Nelle mani sbagliate, i dati raccolti dai dispositivi - compresi i dati dei clienti, le chiavi di autenticazione router-to-router, gli elenchi di applicazioni e molto altro - sono sufficienti per lanciare un attacco informatico. Un malintenzionato potrebbe ottenere l'accesso iniziale necessario per iniziare a ricercare dove si trovano le risorse digitali dell'azienda e quali potrebbero essere di valore. Probabilmente sappiamo tutti cosa succede in questo scenario.
Il cambiamento degli ultimi anni nei metodi utilizzati dai malintenzionati per condurre attacchi informatici alle aziende a scopo di monetizzazione è ben documentato. Il passaggio a uno stile di attacco basato su minacce persistenti più avanzate ha visto i criminali informatici stabilire un punto di ingresso e un punto d'appoggio nelle reti. In seguito spendono tempo e risorse per effettuare sofisticate estrazioni di dati, esplorare metodi per aggirare le misure di sicurezza e infine mettere in ginocchio un'azienda infliggendole un dannoso attacco ransomware o altre diavolerie informatiche.
L'incursione iniziale non autorizzata in una rete aziendale ha un valore: il prezzo medio attuale per le credenziali di accesso alle reti aziendali, secondo una ricerca di KELA Cybercrime Prevention, è di circa 2.800 dollari. Ciò significa che un router usato acquistato per poche centinaia di dollari, che senza troppi sforzi fornisce l'accesso alla rete, potrebbe fornire a un criminale informatico un significativo ritorno sull'investimento. Sempre ammesso che si limitino a sottrarre i dati di accesso e a venderli sul mercato del dark web, invece di sferrare loro stessi un attacco informatico.
Un elemento preoccupante di questa ricerca è stata la mancanza di impegno da parte delle aziende quando abbiamo cercato di avvertirle del problema dell'accessibilità dei loro dati al pubblico dominio. Alcune si sono dimostrate ricettive al contatto, altre hanno confermato che i dispositivi erano stati consegnati alle aziende per la distruzione o la cancellazione sicura - un processo che evidentemente non era avvenuto - e altre ancora hanno semplicemente ignorato i ripetuti tentativi di contatto.
L'insegnamento che si deve trarre da questa ricerca è che ogni dispositivo che lascia la vostra azienda deve essere stato pulito e che il processo di pulizia deve essere certificato e controllato regolarmente per garantire che i gioielli della vostra azienda non vengano venduti apertamente nei mercati pubblici dell'hardware di seconda mano.
Abbiamo pubblicato i dettagli, tranne i nomi delle aziende e i dati che le renderebbero identificabili, in un libro bianco. Il white paper contiene anche alcune indicazioni sul processo da seguire, compresi i riferimenti alla pubblicazione speciale 800.88r1 del NIST, Guidelines for Media Sanitization. Raccomandiamo vivamente di leggere i dettagli e di utilizzare i nostri risultati come stimolo per verificare il processo nella vostra organizzazione, per garantire che nessun dato venga divulgato involontariamente.
Se volete ascoltare una versione audio di questo argomento, scoprire cosa è successo al router "morto all'arrivo" o come un hardware simile possa essere abusato se trovato in una zona di guerra, sintonizzatevi sull'ultimo episodio del podcast di ESET Research, dove Cameron Camp discute i suoi esperimenti con Aryeh Goretsky, ricercatore distinto di ESET. Se vi piace ascoltare argomenti di cybersicurezza, abbonatevi al nostro podcast ESET Research su Spotify,Google Podcasts, Apple Podcasts o PodBean.