Modem e router in pericolo per un worm

Un nuovo worm potrebbe presto colonizzare router e modem delle connessioni domestiche a banda larga. Non sembrano avere molti dubbi in proposito gli esperti di sicurezza di DroneBL, che hanno da poco identificato il malware “psyb0t”, conosciuto anche come “Network Bluepill”, in grado di creare una rete di botnet utilizzando direttamente i dispositivi che offrono la connessione al Web alle utenze domestiche. I creatori del worm avrebbero già eseguito una prima fase di test per sperimentare il loro sistema, ora silente e in attesa di essere lanciato su scala globale.

Stando alle prime informazioni, psyb0t dovrebbe essere in grado di colonizzare 30 differenti modelli di modem e router prodotti da Linksys, una decina di modelli sviluppati da Netgear e altri 15 dispositivi commercializzati da altri produttori. Nel codice del worm sarebbero poi presenti circa 6.000 username e più di 13.000 password, necessarie per tentare la violazione delle protezioni dei modem e dei router e guadagnare così l’accesso alle reti. Secondo DroneBL, il principale obiettivo del malware potrebbero essere i sistemi equipaggiati con processori MIPS e con le soluzioni software Linux Mipsel per la loro amministrazione.

La nuova strategia messa a punto dai pirati informatici con psyb0t potrebbe rivelarsi particolarmente vantaggiosa. A differenza dei personal computer, i router e i modem sono solitamente sempre attivi e collegati alla Rete, dunque una valida risorsa per mantenere sempre attiva una rete botnet. Inoltre, l’infezione dei dispositivi che garantiscono l’accesso a Internet è difficilmente riscontrabile e può dunque garantire un ciclo di vita più lungo a un nodo del network di bot creato all’insaputa degli utenti. Per identificare spyb0t occorre infatti analizzare il traffico generato dai router infetti, un’operazione difficilmente realizzabile dal proprio personal computer e sicuramente oltre la portata dell’utente medio di una connessione domestica.

Secondo gli esperti di sicurezza di DroneBL, il pericoloso worm sarebbe in grado di rilevare versioni vulnerabili di PHPMyAdmin e MySQL, mettendo dunque a rischio anche i database di alcuni network. Il sistema sembra essere inoltre programmato per assumere il totale controllo delle interfacce dei router, rendendo necessaria un’operazione di reset dei dispositivi per escludere il malware.

In poco tempo, psyb0t sarebbe riuscito a colonizzare circa 100mila modem e router trasformandoli nei nodi di un prima rete sperimentale di botnet. I tecnici di DroneBL sono riusciti a escludere i DNS utilizzati dal pericoloso network, disattivandone di fatto le funzionalità, ma si teme ora un nuovo attacco su larga scala. I principali produttori di router e modem cercheranno ora di stilare un elenco dei dispositivi maggiormente a rischio e di elaborare una soluzione per mettere al sicuro le connessioni dei loro utenti.