Anche i router si possono unire in una botnet

Hacker nordcoreani prendono di mira gli utenti di CyberLink

I ricercatori hanno scovato una serie di router da casa e ufficio controllati dagli hacker. Per lo più grazie all’assenza di protezioni idonee

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Siamo abituati a leggere di computer zombie vittime di virus e malware che riescono a comandarli in remoto per causare attacchi DDoS e altre interruzioni di servizio. Ma quello che hanno mostrato i ricercatori di Incapsula è ben diverso. Il risultato di un’indagine che va avanti dallo scorso dicembre disegna un quadro spaventoso nel popolato panorama delle botnet. Invece di classici computer gli hacker hanno utilizzato direttamente dei router per bombardare siti web e causare un ingorgo di richieste all’ingresso così da impedire l’accesso prolungato nel tempo. Negli ultimi quattro mesi Incapsula ha registrato attacchi coordinati da più di 40.000 indirizzi IP appartenenti a 1.600 service provider in tutto il mondo. La maggior parte dei router hackerati sono amministrati in remoto da parte di persone autorizzate che accedevano alle configurazioni con username e password fornite al momento dell’acquisto.

Assenza di protezione

Proprio l’abitudine di non cambiare le credenziali di accesso pare essere la causa maggiore della creazione della botnet; operazione che per gli hacker pare non sia stata così difficile vista la possibilità di sfruttare software che riescono a decriptare i dati di default per la gestione dei router. I ricercatori hanno individuato una serie di malware operanti nei sistemi, tra cui MrBlack, Dofloo e MayDay, già agli onori delle cronache nei mesi scorsi per il loro potenziale. L’agenzia di sicurezza punta il dito contro la scarsa volontà degli utenti nell’alzare le misure di sicurezza dei propri router ma anche verso le aziende produttrici che spesso non fanno molto per invogliare i clienti a intraprendere azioni di difesa preventiva.

Leggi anche:  Gli analisti di WatchGuard Threat Lab rilasciano le previsioni sulla sicurezza informatica per il 2025

Lo zampino di Lizard Squad

Gli esempi sono diversi: dalla fornitura di una stessa login per router venduti a clienti diversi all’abilitazione automatica della gestione in remoto (che sarebbe invece da attivare solo se realmente necessaria), fino all’assenza di chiare istruzioni su come impostare le più basilari misure di protezione. Il risultato, almeno in questo caso, è una flotta di 300.000 router zombie tra cui D-Link, Asus, Micronet, Linksys e altri, tutti in marcia per aiutare l’operato di Lizard Squad, gli hacker che già in passato erano stati protagonisti di violazioni informatiche a Sony (PlayStation) e Microsoft (Xbox) e che sarebbero dietro l’operazione scovata da Incapsula.