Un ricercatore sulla sicurezza di Akamai ha individuato una proxy botnet composta da oltre 65 mila router capace di eseguire molteplici azioni malevole ad esempio campagne SPAM, phishing, attacchi DDoS e distribuzione di malware.
Vediamone i dettagli
Infezione avvenuta via UPnP
I router facenti parte della botnet avevano la funzionalità UPnP abilitata, la quale si occupa di “permettere a diversi terminali di connettersi l’uno all’altro e di semplificare drasticamente l’utilizzo di reti domestiche (condivisione dati, comunicazioni e intrattenimento) e aziendali.”
Attraverso l’abuso di questo protocollo gli attaccanti potevano gestire le connessioni in entrata ed in uscita arrivando così ad usare il router come un server proxy.
Di seguito un immagine esaustiva del metodo utilizzato:
Spesso questa botnet veniva usata come vero e proprio proxy al fine di nascondere la reale posizione degli attaccanti, ricerche in merito sono state fatte anche da Symantec la quale aveva scoperto parte di questa rete maligna.
Come controllare se il nostro router è infetto? Come stare al sicuro?
Per escludere che il nostro router sia infetto o che faccia parte di una rete maligna di questo tipo è necessario verificare alcune impostazioni e procedere a degli accorgimenti che mettano il nostro dispositivo di rete al sicuro da cose simili.
A questo riguardo seguire attentamente questo articolo:
Come mettere in sicurezza il proprio router / Dispositivo IoT (aggiornato)
C’è da sottolineare che per infezioni del genere, che riguardano il protocollo UPnP, è difficile da rilevare se il proprio dispositivo sia infetto o meno;
la soluzione definitiva si avrà quando il produttore del router rilascerà un firmware aggiornato, in alternativa si può scegliere se disabilitare l’UPnP (come indicato nella guida sopra) o se filtrare il traffico a monte del router con un firewall hardware.
Via: Securityaffairs.co
PDF di Akamai relativa la scoperta