Attenzione: arriva la botnet BCMUPnP Hunter che coinvolge i router sprotetti nell’invio di spam

Qualche giorno fa, alcuni ricercatori esperti in sicurezza informatica hanno individuato una nuova botnet, denominata BCMUPnP Hunter, capace di arruolare diverse centinaia di migliaia di router, di marche diverse e in tutto il mondo, per l'invio di spam.

Attenzione: arriva la botnet BCMUPnP Hunter che coinvolge i router sprotetti nell’invio di spam

Nonostante se non ne parli più spesso come un tempo, quello delle botnet – reti di dispositivi zombizzati usate a scopo criminale – è un pericolo sempre costante nel mondo della sicurezza informatica: di recente, a conferma di quest’assunto, alcuni ricercatori ne hanno scoperta una, piuttosto cospicua, che prende di mira i router per inviare spam.

Qualche giorno fa, i ricercatori del team Netlab della cinese Qihoo 360 Technology, una security house nota per il suo celebre antivirus gratuito, hanno scoperto una botnet che, da Settembre, periodo del primo avvistamento, avrebbe arruolato tra i 100 ed i 400 mila router massimi (cifra desunta dal probabile e periodico cambio degli IP rilevati, pari a complessivamente 3.37 milioni), diffusi in tutto il mondo, con particolare concentrazione in Cina, India, Stati Uniti, e Brasile.

La botnet è stata chiamata “BCMUPnP Hunter” per la sua tendenza a scansionare la Rete alla ricerca di router con interfacce UPnP scoperte/sprotette (attraverso le porte tcp 5431 e UDP 1900): individuatone uno, dopo uno scambio di vari pacchetti di dati, esegue – nell’indirizzo di destinazione corretto – del codice shell (del peso di 432 byte) in memoria, senza che sia richiesta alcuna autorizzazione, e ne prende possesso.

Il tutto sarebbe avvenuto tramite una vecchissima (datata 2013) vulnerabilità dell’SDK Broadcom UPnP, individuata dalla security house irlandese DefenseCode, e utilizzata da molti router anche di marche diverse (es. D-Link, Intex, Linksys, Digicom, Broadcom, Alsitech, Eltex, Intecross, etc), ma non sempre sanata a dovere con dei fix o delle patch di sicurezza.

Secondo i programmatori, l’attacco – dietro il quale vi sarebbero profonde conoscenze tecniche (niente di improvvisato, quindi) – sarebbe finalizzato all’invio di grosse quantità di spam, vista la tendenza a comunicare con IP esterni di alcune note webmail, come Yahoo! Mail, Hotmail, Outlook.

Non si esclude, tuttavia, che la botnet BCMUPnP Hunter possa venire utilizzata, in futuro, anche per i canonici attacchi DDoS, per abbattere siti di istituzioni, servizi (es. nel caso di Mirai), e grosse aziende

Continua a leggere su Fidelity News