La notizia è giunta nei giorni scorsi da oltre oceano e vede oscurato un dominio utilizzato da una botnet che in pochi giorni ha violato oltre 500.000 fra router e device in 54 Paesi.
I dispositivi di Linksys, MikroTik, Netgear, Tp-Link e Qnap, compromessi riuscivano a intercettare, filtrare e controllare il traffico di rete sottraendo dati e informazioni e comunicando tramite la rete anonima di Tor, oltre che a provocare la propria autodistruzione.
A quanto risulta dalle indagini effettuate sull’exploit, l’esecuzione completava due fasi distinte: la prima in cui il router veniva infettato e riavviato forzatamente, la seconda dedicata all’intercettazione in cui venivano recuperati file informazioni sensibili per poi concludersi con l’esecuzione di un comando in grado di autodistruggere il dispositivo.
Se pur impiegato in modo diverso, gli analisti hanno evidenziato come il codice malevolo fosse molto simile a quello utilizzato da BlackEnergy, il Trojan che effettuava attacchi informatici DDoS responsabile dello spegnimento di tre centrali elettriche in Ucraina fra il 2014 e il 2016.
Chiudendo il dominio ToKnowAll.com, l’FBI ne ha preso il posto riuscendo così a ottnere il controllo del server di comando e controllo (C&C) del malware deviando le richieste della minaccia verso un proprio server controllato e acquisendo così gli indirizzi IP dei router infetti, che ha poi comunicato alle autorità dei paesi coinvolti. La manovra si è rivelata risolutiva in quanto il dominio ha condotto le indagini direttamente al server centrale del malware il vero fulcro della grande botnet composta da router, server e memorie di massa.
Il consiglio degli esperti per chi è in possesso di tali router è quello di riavviarli disattivando l’accesso remoto, aggiornare il firmware e proteggerli con un firewall.
Lascia un commento