Il tuo modem sta hackerando un sito Internet?

Apr 14, 2017 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS, Vulnerabilità 0

Un gruppo di hacker sta attaccando i siti WordPress usando 90.000 modem casalinghi compromessi. Più di 1500 corrispondono a indirizzi IP di Telecom Italia.

Gli esperti lo avevano detto: l’incubo dei dispositivi della “Internet of Things” (IoT) non si sarebbe limitato alla possibilità di creare enormi botnet per portare attacchi DDoS.

E che fosse solo questione di tempo prima che qualcuno trovasse il modo di sfruttare i maledetti device IoT in maniera più creativa lo conferma adesso un report di Wordfence, che lancia l’allarme su una vasta campagna di attacchi nei confronti dei siti WordPress.

Come spiegano i ricercatori nel rapporto, però, non si tratta di un “normale” DDoS, ma di un attacco di Brute Forcing che mira a prendere il controllo dei siti stessi.

Dalle parti di Wordfence si sono accorti che c’era qualcosa di strano quando hanno assistito a un balzo dell’Algeria nella classifica dei paesi di origine degli attacchi diretti a siti WordPress.

Indagando sull’anomalia statistica, gli analisti hanno cominciato a spulciare i dati a loro disposizione e si sono accorti che avevano a che fare con una botnet composta da più di 12.000 dispositivi, che agiva in maniera piuttosto curiosa.

I pirati che stanno usando la botnet fanno di tutto per non farsi individuare, utilizzando i dispositivi per attacchi sporadici e di breve durata.

Gli attacchi, infatti, duravano solo qualche ora (o addirittura minuti) e venivano sospesi per lunghi periodi di tempo. Analizzando nel dettaglio il rapporto tra gli indirizzi IP da cui provenivano gli attacchi, si sono poi resi conto che la quasi totalità (97%) era collegata a Telecom Algeria, il provider statale del paese arabo.

Ulteriori indagini hanno dimostrato che una bella fetta degli attacchi algerini provenivano da router Zyxel che avevano una caratteristica particolare: avevano aperta la connessione sulla porta 7547.

Ed è qui che le cose si sono fatte più chiare. La porta 7547, infatti, è quella utilizzata dai router che integrano il Web Server Allegro RomPager, salito agli onori delle cronache lo scorso dicembre, quando si è verificato un attacco che sfruttava una vulnerabilità del Web server e prendeva di mira proprio i router con queste caratteristiche.

La falla di RomPager consente ai pirati informatici di sfruttare alcuni protocolli di comunicazione (TR-064 e TR-069) per prendere il controllo in remoto del router e gli permette non solo di accedere alla rete locale a cui è collegato, ma anche di utilizzarlo per qualsiasi altro scopo.

Analizzando i dati a livello globale (cioè oltre i confini dell’Algeria) Wordfence ha individuato almeno 90.000 fonti di attacco con identiche caratteristiche, distribuite in tutto il mondo.

Insomma: quella che i ricercatori hanno messo a nudo è una botnet composta da router compromessi che, in totale, stanno portando il 6,7% degli attacchi registrati dalla società e, in particolare, sembrano impegnati nel tentativo di accedere all’amministrazione dei siti WordPress attraverso tecniche di Brute Forcing.

(continua a pagina 2)

Condividi l'articolo