Come gli aggressori usano Shodan e FOFA

24 aprile 2025

I motori di ricerca di metadati come Shodan, FOFA e ZoomEye sono strumenti specializzati che scansionano Internet alla ricerca di dispositivi e servizi accessibili al pubblico. Invece di indicizzare i siti web come fa Google, queste piattaforme raccolgono e catalogano i dettagli tecnici chiamati metadati-sui dispositivi connessi.

Gli aggressori utilizzano questi metadati per identificare i sistemi vulnerabili, come router mal configurati, webcam o server con software obsoleto. In questo modo possono costruire elenchi di obiettivi.

Shodan: il motore di ricerca per l'internet delle cose

Shodan è un motore di ricerca di metadati che scansiona Internet alla ricerca di dispositivi connessi (come server, router, webcam). Raccoglie informazioni quali porte aperte, certificati SSL e banner. Gli utenti possono filtrare per organizzazione, paese o servizio per trovare i sistemi esposti. Inoltre, è possibile effettuare pivoting utilizzando sfaccettature come soggetti SSL o nomi di host per approfondire la ricerca.

Le caratteristiche più importanti di Shodan:

Enumerazione dei dispositivi: Shodan esegue la scansione dei dispositivi esposti pubblicamente, come webcam, router, sistemi di controllo industriale (ICS), server e altro ancora.
Filtro e interrogazione: È possibile affinare le ricerche utilizzando dei filtri (ad esempio, "port:443", "country:US", "org:SomeISP") per trovare dispositivi e servizi specifici.
Approfondimenti sui metadati: Shodan recupera i banner da varie porte, mostrando le versioni dei server, le potenziali vulnerabilità e altri dettagli.

FOFA: Prevedere e trovare tutto

FOFA è un motore di ricerca di risorse Internet sviluppato in Cina, simile a Shodan. Indicizza i dispositivi e i servizi esposti online, supporta query avanzate ed enfatizza le tecnologie di fingerprinting. Spesso è più rapido nel reagire alle vulnerabilità e fornisce risultati ad alta velocità per le vulnerabilità.

Le caratteristiche più importanti dell'UFAM:

Individuazione delle risorse: FOFA raccoglie dati da più fonti, scansionando vari protocolli e porte per catalogare i dispositivi e le applicazioni connesse.
Ricerca con sintassi flessibile: Come Shodan, FOFA supporta una sintassi di ricerca avanzata (ad esempio, "protocollo==https", "ip==123.123.123.123", "body=='login'").
Ampio fingerprinting:il servizio enfatizza la tecnologia "fingerprinting", identificando software e framework tramite firme uniche.

Shodan vs. FOFA

Entrambe le piattaforme aiutano a identificare i sistemi esposti, ma differiscono per sintassi e copertura. A volte FOFA trova dispositivi che Shodan non trova e viceversa. I team di sicurezza e gli aggressori traggono vantaggio dall'utilizzo di entrambe, correlando i dati per ottenere un quadro più completo della superficie di attacco esposta.

Ecco come si confrontano:

	Shodan	FOFA
Obiettivo primario	IoT/ICS globale, dispositivi connessi a Internet in generale	Ampia copertura con forte enfasi sulle regioni di lingua cinese, ma anche a livello globale
Capacità di ricerca	Filtri di ricerca avanzati, sintassi robusta, forte attenzione all'ICS	Sintassi di interrogazione avanzata, ampie librerie di impronte digitali
Copertura dei dati	Indicizzazione globale; ampia base di utenti e set di dati	Anch'esso globale, ma particolarmente ben adottato in Cina/Asia-Pacifico; può talvolta fornire approfondimenti specifici per la regione.
Interfaccia utente	Interfaccia semplice con ricerca basata su filtri	L'interfaccia web supporta diversi tipi di filtro; l'interfaccia utente cinese/inglese può variare in termini di chiarezza, ma sta migliorando.
API e integrazioni	API completa, popolare tra gli strumenti open-source, ampiamente integrata nella comunità della sicurezza	API disponibile con abbonamento a livelli; utilizzato in molti strumenti di sicurezza cinesi.
Punti di forza unici	Una reputazione e una comunità di lunga data, una copertura ICS/IoT dettagliata	Forte attenzione alle impronte digitali, ai dati specifici per regione e a un'impronta globale in crescita

Come gli aggressori utilizzano i motori di ricerca per identificare gli obiettivi

Gli attaccanti (come Black Basta) iniziano automatizzando lo scraping dei dati da Shodan e FOFA, estraendo metadati sui dispositivi esposti e memorizzando i risultati in archivi scaricabili per un ulteriore utilizzo.

Segmentano poi questi obiettivi in base alla geografia utilizzando ZoomEye, un altro motore di ricerca cinese. A differenza di Shodan e FOFA, ZoomEye esegue una scansione più profonda del livello applicativo e sfrutta capacità uniche di fingerprinting, che aiutano gli aggressori a identificare con maggiore precisione tecnologie come i server Jenkins in più Paesi.

*Schermata dell'interfaccia di ZoomEye che visualizza le credenziali (non correlata a Black Basta)*

Cosa fanno gli aggressori dopo aver identificato gli obiettivi

Dopo aver mappato l'infrastruttura esposta, gli aggressori non si fermano alla ricognizione: passano rapidamente allo sfruttamento attivo.

Gruppi come Black Basta lo dimostrano chiaramente. Una volta costruito un elenco di obiettivi vulnerabili, iniziano a sondare i loro punti deboli utilizzando due strategie principali:

Attacchi di forza bruta basati su credenziali
Sfruttamento basato su CVE

Attacchi di forza bruta che utilizzano credenziali predefinite o riutilizzate

Una delle tattiche di follow-up più comuni è il brute-forcing basato sulle credenziali. Black Basta, ad esempio, ha preso di mira i portali di login di un'ampia gamma di tecnologie, tra cuiMicrosoft RDWeb, Palo Alto GlobalProtect VPN e Citrix NetScaler Gateway.

Il loro approccio prevedeva la raccolta di centinaia di endpoint, quindi l'utilizzo di strumenti quali Brute Ratel per automatizzare i tentativi di accesso utilizzando credenziali predefinite, password riutilizzate tra i vari sistemi o combinazioni precedentemente trapelate. Questi tentativi sono spesso scriptati, con nomi utente e password separati da punti e virgola per semplificare i test ad alto volume.

Esempi di tecniche utilizzate da Black Basta:

RDWeb Brute-Force: Black Basta ha raccolto e tentato di accedere a centinaia di endpoint Microsoft Remote Desktop Web Access (RDWeb).
Portali GlobalProtect (VPN): Hanno preso di mira anche i portali GlobalProtect VPN di Palo Alto.
Portali Citrix: Hanno tentato di riempire di credenziali le istanze di Citrix NetScaler Gateway.

Poiché questi portali sono spesso esposti senza protezioni aggiuntive come l'MFA e gli utenti spesso riutilizzano le password, gli aggressori possono ottenere l'accesso con uno sforzo minimo, soprattutto se le difese mancano di meccanismi di rilevamento comportamentale.

Sfruttamento basato su CVE

Allo stesso tempo, gli aggressori sfruttano le vulnerabilità note per aggirare completamente l'autenticazione.

Nel caso di Jenkins, Black Basta ha sfruttato CVE-2024-23897-una vulnerabilità critica che consente a utenti non autenticati di leggere file arbitrari sul server attraverso la CLI di Jenkins. Questo include file sensibili come /etc/shadow, che contengono credenziali con hash e possono portare a una compromissione completa.

*Schermata di una ricerca di server Jenkins vulnerabili in Shodan*

Gli aggressori utilizzano i metadati di Shodan e FOFA per individuare le istanze Jenkins prive di patch, quindi lanciano exploit automatici come parte dei loro playbook di accesso iniziale.

Questi attacchi guidati da CVE sono particolarmente pericolosi perché:

Spesso non richiedono credenziali.
Lo sfruttamento è rapido e silenzioso.
Forniscono accesso diretto a dati privilegiati o sensibili.

Come Vectra AI interrompe la catena di attacco

Tutto ciò che abbiamo trattato, dalla ricognizione automatizzata con Shodan e FOFA agli attacchi brute-force e allo sfruttamento dei CVE, dimostra quanto rapidamente gli aggressori possano trasformare le infrastrutture esposte in intrusioni attive. È qui che Vectra AI fa la differenza. La piattaformaVectra AI monitora continuamente l'ambiente alla ricerca di segni di compromissione prima che gli aggressori ci riescano.

Quando un avversario inizia a testare le credenziali rubate o indovinate, che sia attraverso RDWeb, portali VPN, Citrix o Jenkins, Vectra rileva anomalie quali:

Ripetuti tentativi di accesso falliti
Attività insolita del conto
Movimento laterale inatteso
Tentativi di escalation dei privilegi

In breve, Shodan e FOFA vi dicono cosa è esposto al mondo, mentre l'Vectra AI Spectra vi dice cosa sta succedendo all'interno. Questo consente al vostro team di bloccare attacchi come quello di Black Bastaprima che si trasformino in vere e proprie violazioni.

Volete saperne di più sulla piattaforma Vectra AI ? Contattate o richiedete una demo!

---

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci