Durante lo scorso marzo gli analisti di Black Lotus Labs,  hanno individuato un malware chiamato The Moon che in poco più di 72 ore ha colpito 6.000 dispositivi in 88 Paesi. Non si trattava di PC bensì di dispositivi router.
Perché sì, anche i router possono essere infettati alla pari dei personal computer.

Ma c’è di più: molto spesso i comuni antivirus non sono in grado di individuare ed eliminare i malware se questi sono presenti all’interno di un router.
Vediamo insieme quindi come gli hacker possono sfruttare le debolezze dei dispositivi router a proprio vantaggio.

the moon malware router
  1. L’importanza delle reti wireless
  2. Modalità di attacco ai router
  3. Malware The Moon
  4. Il servizio Faceless

L’importanza delle reti wireless

Le connessioni wireless sono supporti indispensabili per moltissime attività che svolgiamo quotidianamente, lo abbiamo compreso ancor di più durante gli anni di pandemia Covid-19. La presenza sempre più pervasiva delle connessioni wi-fi nelle abitazioni e di dispositivi usati per collegarsi alle rete wireless, i cosiddetti router, rappresenta però anche una ghiotta occasione per molti criminali informatici di perpetuare i loro attacchi.
In effetti, diverse tipologie di malware mirano proprio ad infettare i dispositivi router.

Una volta infettati, i router possono essere sfruttati dai cybercriminali per eseguire diverse operazioni illecite, le più comuni sono il furto di dati e gli attacchi DDOS.

Furto di dati

Sul web circolano informazioni sensibili che rappresentano una miniera d’oro per molti attaccanti, tra cui credenziali di accesso ad account di posta elettronica e di social network, ma soprattutto dati di carte di credito o di coordinate bancarie.
Un modo in cui un router infetto può rubare dati è lo spoofing. L’utente, senza nemmeno che questi se ne accorga, accede a siti web dannosi che si spacciano per legittimi attraverso richieste a server DNS fraudolenti. Così eventuali dati inseriti finiscono direttamente in mano agli hacker.

Gli attacchi DDOS

Anche gli attacchi DDOS (Distributed Denaial Of Service) sono tra le minacce più frequenti. I router infetti inviano per conto dell’hacker, un numero di richieste di accesso ad un determinato sito web così elevato da non poter essere gestito.

Le modalità di attacco ai router

Ma come si fa ad attaccare un router?
Le strade principali sono due.

La prima è quella di ottenere la password di accesso alle impostazioni del router “tirando a indovinare”.
Infatti, spesso e volentieri gli utenti continuano ad utilizzare la password di default del dispositivo.
In questo caso diventa più semplice per i cybercriminali provare ad individuare la password grazie all’ausilio di software appositi. I produttori di router sono corsi ai ripari assegnando password univoche ai singoli dispositivi, ma per i modelli meno recenti il rischio è ancora alto.

La seconda via è quella di sfruttare la presenza di vulnerabilità dei dispositivi router che riguardano il gateway di accesso a Internet.
Gli hacker spesso riescono fanno leva sull’incuria di molti utenti nel non aggiornare il firmware del proprio router, oppure attaccano modelli fuori produzione per i quali è cessato il supporto.

Le botnet

Un’ulteriore tipologia di minaccia in grado di colpire computer, router e dispositivi smart sono le botnet.
Una botnet si può paragonare ad un’armata di computer zombie: i dispositivi, una volta infettati, cadono sotto il controllo dell’hacker che ha diffuso il malware, chiamato in questo caso botmaster. Una volta sotto il suo controllo, i dispositivi possono essere usati per diversi scopi illeciti come, ad esempio, campagne di spam o i già citati attacchi DDOS.

Malware The Moon

Il malware menzionato all’inizio, The Moon, rientra proprio nella categoria delle minacce botnet.
Ha fatto il suo debutto nel 2014 negli Stati Uniti ed è stato in grado di infettare autonomamente altri dispositivi. Ad essere colpiti sono stati alcuni modelli di router del marchio Linkys con la funzionalità di gestione remota del router abilitata.
Stavolta il bersaglio sono stati router Asus. Gli analisti di Black Lotus non lo danno ancora per certo, ma visto che i modelli attaccati sono fuori produzione, si presume che siano state sfruttate vulnerabilità note da tempo.

Come agisce The moon malware

Il malware è in grado di entrare nel router senza bisogno di conoscere o individuare le credenziali di accesso alle impostazioni del dispositivo.
Una volta violato il dispositivo cerca ambienti shell compatibili attraverso cui decifrare, trasferire ed eseguire un payload .nttpd.
Il payload poi crea un file PID, un codice identificativo di un processo in esecuzione, con un numero di versione definito (al momento è il 26).

Poi, il malware blocca il traffico di rete sulle porte 80 (a cui fa riferimento il protocollo http) e sulle porte 8080 (a cui fanno riferimento i server web).
Lo scopo è quello di permettere il traffico di rete soltanto a indirizzi IP specifici in modo da impedire eventuali interferenze provenienti dall’esterno.
Il malware cerca successivamente di mettersi in contatto con un server NTP (Network Time Protocol) autenticato per cercare ambienti sandbox (ossia ambienti sterili) e verificare la connettività ad Internet.

Infine, il malware si connette con il server Command and Control (un server controllato dai cybercriminali) iterando un set di indirizzi IP hardcoded (assegnati manualmente). Il Command and Control risponde quindi con delle istruzioni da dare al malware, come ad esempio ordinare di scansionare server web vulnerabili sulle porte 80 e 8080.

Il servizio Faceless

I router infettati sono stati utilizzati come proxy per un servizio dedicato ai cybercriminali chiamato Faceless, il quale permette di instradare, dietro pagamento in criptovalute, il traffico di rete per mezzo di questi dispositivi compromessi. Per proteggere l’infrastruttura dal rischio di essere mappata, gli operatori di Faceless si sono assicurati che ciascun dispositivo infetto comunichi solo con un server per tutta la durata dell’infezione.

Prevenire è meglio che curare

Per evitare che anche il vostro router possa essere infettato è opportuno seguire semplici queste semplici linee guida:

  • Tenetelo sempre aggiornato all’ultima versione del firmware, che può contenere delle patch correttive per eventuali vulnerabilità scoperte;
  • Cambiate periodicamente la password di accesso alle impostazioni del dispositivo;
  • Disabilitate l’accesso remoto alle impostazioni della rete wi-fi (anche se questa è una pratica dedicata ad utenti un po’ più “smanettoni”);
  • Utilizzate una VPN per crittografare le informazioni in uscita prima che passino attraverso router;

Se fosse già troppo tardi?

Se invece pensate che la vostra rete wireless sia stata già compromessa, prestate attenzione ai seguenti segnali:

  • La connessione è stranamente lenta;
  • Alcuni programmi si chiudono in maniera anomala;
  • Vengono installati programmi e barre degli strumenti sconosciuti;
  • Durante la navigazione si viene indirizzati ad altri siti web senza volerlo;
  • Siti web generalmente familiari hanno un comportamento o un aspetto diverso dal solito;
  • Il processore è messo sotto sforzo (la ventola di raffreddamento gira in continuazione).

Per rimuovere un malware dal router di solito basta ripristinarlo alle impostazioni di fabbrica, ma i casi possono essere diversi a seconda del malware.

Conclusioni

Abbiamo dunque visto come gli hacker sono in grado di perpetuare diversi tipi di attacchi grazie alle reti wireless.
Quindi, è opportuno tenere periodicamente sotto controllo qualunque dispositivo che sia in grado di collegarsi ad una rete, sia in ambiente domestico che aziendale.