mercoledì 19 aprile 2017

Dispositivi IoT e cyber-crimine: una botnet di 90.000 router di casa (anche italiani) attacca WordPress



Un gruppo di cyber-criminali sta attaccando moltissimi siti WordPress usando una rete di 90.000 modem casalinghi compromessi. Più di 1500 di questi sono indirizzi IP di Telecom Italia. E ancora una volta torna protagonista delle scene il problema (ormai quasi un incubo) dei dispositivi IoT (Internet of Things) e della loro sicurezza. I dispositivi IoT hanno infatti delle falle di sicurezza gravissime, password di fabbrica facilmente individuabili, talvolta assoluta assenza di password, porte aperte usate spesso come mezzo per prenderne il controlloE' a ciò che si deve il fiorire di botnet composte di centinaia di migliaia di dispositivi di vario tipo (videoregistratori, auto, telecamere, modem e così via..) usate per cyber-attacchi di vario tipo.

E' WordFence a lanciare l'allarme sulla vasta campagna di attacchi che si sta abbattendo su una miriade di siti WordPress. Non ci troviamo però di fronte al classico attacco DDoS finalizzato a mettere offline i siti, ma un attacco di brute forcing che mira a prenderne il controllo.

WordFence si è accorta che c'era qualcosa di strano quando i suoi ricercatori hanno assistito ad un balzo in alto dell'Algeria nella classifica dei paesi di provenienza degli attacchi diretti contro siti WordPress. Analizzando quindi i dati a disposizione, i ricercatori hanno individuato una botnet composta da oltre 90.000 dispositivi. Botnet usata in maniera un pò curiosa: gli attacchi durano infatti solo qualche ora (in alcuni casi solo alcuni minuti) e poi vengono sospesi per un lungo periodo di tempo. Una maniera per non fars individuare, probabilmente. La maggior parte degli IP (97%) è collegata a Telecom Algeria, provider statale algerino appunto. La maggior parte dei router compromessi sono router Zyxel con connessione aperta sulla porta 7547: probabilmente è stato questo l'accesso ai router.

Ulteriori approfondimenti hanno mostrato che le fonti dell'attacco sono ben 90.000 dispositivi con caratteristiche identiche. 

E l'Italia...
Anche l'Italia ha "preso parte all'attacco": 1500 router compromessi fanno riferimento a indirizzi IP Telecom Italia. Telecom Italia ha fatto sapere che il problema riguarderebbe solo modelli di router/modem acquistati autonomamente dai clienti e quindi non forniti dal provider italiano. In realtà ci fa sapere WordFence le cose non stanno proprio così, poichè nello stesso report, WordFence già indicava ai provider la necessità di applicare dei filtri alle proprie reti per bloccare le comunicazioni potenzialmente pericolose: nel dettaglio per bloccare le comunicazioni dirette alla porta 7547. Un semplice filtro infatti potrebbe ridurre nettamente il rischio di compromissione dei dispositivi. 

Nel mondo...
i dispositivi vulnerabili sono, sempre secondo WordFence circa 41 milioni. Data la facilità di attaccare certi dispositivi, gli attacchi sono in crescita, ma non sta seguendo, di pari passo, un miglioramento della sicurezza dei dispositivi IoT. Il rischio che la situazione diventi incontrollabile è assolutamente tangibile e reale.

Come capire se il mio router è vulnerabile?
WordFence ha aperto una pagina web dedicata, dalla quale è possibile eseguire rapido test. Se il test è positivo, il router è sicuro. Se è negativo, consigliamo di eseguire queste azioni:

1. riavvia il router. Il malware che fa diventare il tuo router il nodo di una botnet è residente nella memoria e viene cancellato al riavvio.
2. Aggiorna il firmware del router (vai sul sito del produttore e scarica l'aggiornamento) e modifica le impostazioni dello stesso chiudendo le connessioni sulla porta 7547. 

Nessun commento:

Posta un commento