Shodan e i suoi fratelli: gli strumenti usati (anche) dagli hacker per scoprire le vulnerabilità

È uno strumento nato con un altro obiettivo, ma che – nell’ovvio che pervade l’Internet delle Cose – con il passare del tempo è diventato uno dei mezzi più utilizzati dai pirati informatici per scoprire le vulnerabilità di una rete, di un server, di un router e di tutto ciò che è collegato alla rete. E così Shodan (ma anche i suoi “fratelli”) è diventato “vittima” di questa evoluzione nel tempo. E, di fatti, si sostiene che la maggior parte degli attacchi hacker siano riconducili proprio a portali come questi motori di ricerca che erano stati creati “solamente” per segnalare quali dispositivo, server o similari risultasse a rischio per via di bug o problematiche similari.

LEGGI ANCHE > La tipologia di malware che, probabilmente, è stata utilizzata per attaccare i server VMware ESXi

Perché parliamo oggi di Shodan? Perché attraverso questo motore di ricerca – come evidenziato da diverse testate specializzate – è stato possibile visualizzare i server VMware ESXi che non erano stati “aggiornati” nel febbraio del 2021 dopo il rilascio della patch con la correzione di una pericolosa vulnerabilità.

🌐 A quick search in @shodanhq shows that the spread is extensive, a total of 327, but we are sure there is more 🧐

The most targeted system is from France 🇫🇷 on OVHcloud and Hetzner hosting. But they have
hit other hosting and cloud companies
around the world🌎#Ransomware https://t.co/5j4UXCPENb pic.twitter.com/dODjPuqguL

— DarkFeed (@ido_cohen2) February 4, 2023

Dunque, questo strumento ci è utile oggi per scoprire le potenziali vittime di questo diffuso (a livello globale, ma con effetti contenuti) attacco ransomware ESXiArgs, ma potrebbe esser stato utile anche agli stessi pirati informatici – la cui identità non è stata ancora rilevata, mancando dettagli nelle richieste di riscatto e rivendicazioni – che hanno condotto questa offensiva.

Shodan, il motore di ricerca utilizzato dagli hacker

Per quel che riguarda l’Italia, come spiegato da Red Hot Cyber incrociando non i dati presenti su Shodan e quelli su Zoomeye (un motore di ricerca che si segue lo stesso principio), in Italia ci sono circa una ventina di server che potrebbero esser finiti all’indice degli obiettivi del collettivo che ha condotto questa offensiva informatica di tipo ransomware. In totale, considerando l’intero globo, poco più di 2.300 server avrebbero lo stesso identico problema: non hanno corretto quella vulnerabilità già individuata nel febbraio del 2021 con la patch (messa a disposizione dallo stesso vendor VMware alla fine di quello stesso mese). Insomma, un buco non coperto e la frittata è stata fatta.

Ma è legale?

Ovviamente, quando ci si trova a notizie di questo tipo di attacchi hacker ci si può interrogare sulla legalità di portali come Shodan, Zoomeye o altri. Ma si tratta di piattaforme che rispettano tutti i canoni della legge (per esempio quella italiana) e del GDPR europeo. I motori di ricerca di questo tipo, infatti, non estrapolano in modo coatte informazioni non disponibili, ma si limitano ad analizzare la situazione e le condizioni – di un determinato server, per esempio – e segnalare eventuali problemi affinché si intervenga. E, infatti, la piattaforma si presenta con questa descrizione:

«Shodan è un motore di ricerca per dispositivi connessi a Internet. I motori di ricerca web, come Google e Bing, sono ottimi per trovare siti web. Ma cosa succede se sei interessato a misurare quali Paesi stanno diventando più connessi? O se vuoi sapere quale versione di Microsoft IIS è la più popolare? O vuoi trovare i server di controllo per il malware? Forse è emersa una nuova vulnerabilità e vuoi vedere quanti host potrebbe interessare? I motori di ricerca web tradizionali non ti permettono di rispondere a queste domande.
Shodan raccoglie informazioni su tutti i dispositivi direttamente connessi a Internet. Se un dispositivo è collegato direttamente a Internet, Shodan lo interroga per varie informazioni disponibili pubblicamente. I tipi di dispositivi indicizzati possono variare enormemente: dai piccoli desktop fino alle centrali nucleari e tutto il resto».

Dunque, un motore di ricerca non per i siti ma per i dipositivi. Per provare a spiegare meglio questa situazione: scandagliando i dispositivi connessi a Internet vengono segnalate anche le eventuali vulnerabilità (quindi un concreto punto di attacco per gli hacker attraverso un malware o altro) consentendo al “proprietario” di intervenire per correre ai ripari. Dunque, se gli intestatari dei server VMware ESXi avessero consultato motori di ricerca come Shodan, avrebbero capito di essere scoperti e potenzialmente attaccabili. Purtroppo, essendo uno strumento disponibile a tutti (anche se prevede un abbonamento per poterne sfruttare tutte le funzionalità), questi “dettagli” finiscono puntualmente anche nelle mani degli hacker, veri esperti delle dinamiche e delle funzionalità del mondo online.