Hacker infetta i router 100K nell'ultimo attacco botnet finalizzato all'invio di e-mail spam

Un hacker è riuscito a sfruttare una vulnerabilità di cinque anni nei router domestici per creare una botnet che interessa circa 100.000 router domestici. La botnet è stata inizialmente scoperta a settembre dai ricercatori del team Netlab di Qihoo 360, una società cinese di sicurezza Internet, ed è probabile che l'hacker stia sfruttando questa rete di router compromessi per inviare email di spam.

La botnet è stata creata su una vulnerabilità del 2013 sull'SDK UPnP di Broadcom. Questo SDK, che viene utilizzato su numerosi router, consente a un utente malintenzionato di condurre un attacco remoto ed eseguire codice dannoso senza richiedere alcuna autenticazione. "È il peggior tipo di vulnerabilità esistente nel mondo dei dispositivi connessi a Internet", ha riferito ZDNet.

Sebbene questa ultima botnet, conosciuta come BCMUPnP_Hunter, non sia la prima a sfruttare questa vulnerabilità, è la prima a utilizzare quello che sembra essere un nuovo codice sorgente per infettare i router. La maggior parte delle botnet di Internet of Things oggi usa il codice che è stato divulgato online per attuare i loro attacchi, ma i ricercatori sostengono di non aver visto un codice simile a quello usato su BCMUPnP_Hunter, suggerendo che l'hacker stia creando un nuovo codice per l'attacco. Prima di BCMUPnP_Hunter, un malware russo ampiamente segnalato aveva infettato i router in tutto il mondo , spingendo l'FBI a inviare un avvertimento ai consumatori per ripristinare i loro router.

Nell'attuare l'attacco, il ricercatore della sicurezza di Netlab, Hui Wang, ha affermato in un post sul blog che il bot "deve passare attraverso più passaggi per infettare un potenziale bersaglio".

Un proxy è in grado di comunicare con i server di posta più diffusi, come Outlook, Hotmail e Yahoo! Mail. Per questo motivo, il team di Wang crede che l'attaccante stia usando la botnet per inviare spam. Inoltre, il numero di router interessati è cresciuto costantemente negli ultimi mesi, con un potenziale per infettare 400.000 router. "Complessivamente, abbiamo 3,37 milioni di IP di scansione unici," ha affermato Wang. "È un grande numero, ma è probabile che gli IP degli stessi dispositivi infetti siano cambiati nel tempo."

BCMUPnP_Hunter colpisce i router di tutto il mondo con la funzionalità UPnP di Broadcom abilitata, ma India, Cina e Stati Uniti sono tra i principali obiettivi. Una correzione non è stata ancora segnalata per combattere questa recente infezione botnet.

• La vulnerabilità del Wi-Fi potrebbe consentire agli aggressori di rubare i tuoi dati su siti non crittografati
• Difetti di sicurezza sui PC moderni potrebbero lasciare esposti i dati crittografati
• La botnet di Andromeda indugia ancora mentre le nazioni lottano per pulire i PC infetti

( Fonte )