Dopo il virus che resiste anche alla formattazione dell’hard disk dei PC, è stata scoperta una nuova e pericolosa forma di malware in grado di attaccare alcuni dispositivi di rete. Una botnet (una rete di computer collegata ad Internet con falle di sicurezza) australiana ha cominciato a diffondere un worm denominato “psyb0t” in grado di infettare il modem/router NB5 di Netcomm. La versione binaria del worm è stata analizzata da un membro del sito web DroneBL (un IP tracker che scansiona vulnerabilità e botnet) arrivando alla conclusione che “psby0t” o “Network Bluepill” è una sorta di software-concettuale per dimostrare un possibile metodo d’infezione. La prima generazione del worm, infatti, aveva come bersaglio pochi modelli di router; più pericolosa la variante denominata “version 18” con un più alto numero di obiettivi/target.
Il malware contiene lo shellcode (una serie di comandi tipicamente eseguibili da una shell Unix) adatto ad oltre 30 modelli di router Linksys, 10 modelli Netgear e vari modelli di cable e DSL modem (15 tipi diversi di shellcode).
Il codice-malevolo include 6000 username e 13000 password, combinazioni che con la tecnica della forza-bruta (un metodo che consiste nel verificare tutte le soluzioni teoricamente possibili) permettono di avviare sessioni Telnet e collegamenti SSH con altri host. Non tutti i router prevedono meccanismi di protezione che impediscono l’accesso dopo un certo numero di tentativi andati a vuoto.
I ricercatori sostengono che il worm è il primo a essere progettato per infettare router e modem ADSL, lasciando intatti i computer connessi, ma utilizzando i dispositivi di rete come un vero e proprio “bot” con condurre attacchi DDoS e sfruttare tecniche per la raccolta di password e credenziali d’accesso.
Secondo quanto riportato da DroneBL qualunque router con processori MIPS che usa Linux Mipsel (sistema operativo specifico per processori MIPS) è potenzialmente vulnerabile, in particolare se l’utente ha impostato username/password poco sicure o non ha modificato username e password impostate per default dai produttori del dispositivo. Tra i dispositivi a rischio vi sono anche i dispositivi aggiornati con i firmware alternativi ed open-source quali openwrt e dd-wrt.
La presenza del worm è difficile da diagnosticare, poiché per poterlo “stanare” sarebbe necessario monitorare il traffico in ingresso/uscita nel router, operazione non semplice da effettuare con semplici software avviabili sul computer. Alcuni router di alto livello mettono a disposizione porte di connessione che consentono di monitorare le performance e rendere più semplice l’individuazione di problemi ma queste porte sono normalmente assenti sui router domestici a basso costo. Per gli utenti finali, non è semplice capire se il router è infetto o no. Peculiarità dell’infezione è il blocco delle porte 80, 22 e 23, attraverso cui passano alcuni servizi.
Oltre alla raccolta indebita di dati sensibili in rete, la botnet scansiona vulnerabilità nelle installazioni PHPMyAdmin e MySQL. Dopo l’attacco è disabilitato l’accesso all’interfaccia di amministrazione del router ed è necessario resettare il dispositivo riportandolo alle impostazioni di fabbrica per riottenere l’accesso.
[A cura di Mauro Notarianni]
