Circa 14.000 router domestici in tutto il mondo risultano infettati da un malware progettato per resistere ai tentativi di blocco e continuare a funzionare anche quando viene scoperto.
A scoprirlo sono stati i ricercatori di sicurezza di Black Lotus Labs, divisione della società Lumen, che hanno individuato una grande botnet composta principalmente da router prodotti da Asus, insieme ad altri dispositivi di rete.
Questi apparecchi, spesso installati nelle case o negli uffici senza particolari configurazioni di sicurezza, sono stati trasformati in nodi di una rete invisibile che permette di far passare traffico internet in modo anonimo. In pratica, gli hacker sfruttano le connessioni di persone ignare per far transitare attività online legate al cybercrime.
Come funziona il malware KadNap
Il software malevolo individuato dai ricercatori è stato chiamato KadNap. Non arriva sui dispositivi per caso: sfrutta vulnerabilità presenti nei router che non sono mai state aggiornate dai proprietari.
Secondo il ricercatore Chris Formosa, molti dei dispositivi colpiti sono router Asus perché gli operatori della botnet avrebbero trovato un exploit particolarmente efficace per quei modelli. Non sembra invece che gli attacchi utilizzino vulnerabilità completamente sconosciute: il problema principale è che molti dispositivi restano con firmware vecchi per anni.
Una volta compromesso il router, il malware lo inserisce in una rete che permette agli operatori di far transitare traffico internet attraverso la connessione della vittima.
Una botnet difficile da bloccare
Questa rete malevola non è grande solo per il numero di dispositivi coinvolti. Ciò che ha colpito i ricercatori è soprattutto il modo in cui è stata progettata.
Il sistema utilizza una struttura peer-to-peer basata su Kademlia, un modello di rete distribuita usato anche in tecnologie come BitTorrent. In questo tipo di infrastruttura non esiste un unico server centrale che controlla tutti i dispositivi.
Ogni nodo della rete comunica con altri nodi e scambia informazioni attraverso una struttura chiamata Distributed Hash Table. Questo meccanismo rende la botnet più difficile da individuare e da smantellare, perché eliminare un singolo server non basta per fermarla.
In sostanza, se una parte della rete sparisce, le altre continuano a funzionare e a trovare nuovi percorsi di comunicazione.
Dove si trovano i router infettati
I ricercatori stimano che il numero medio di dispositivi compromessi sia di circa 14.000 router al giorno, in aumento rispetto ai circa 10.000 rilevati nell’estate scorsa.
La maggior parte dei router colpiti si trova negli Stati Uniti, ma sono stati individuati anche dispositivi infettati in Taiwan, Hong Kong e Russia.
I dispositivi compromessi vengono utilizzati all’interno di un servizio chiamato Doppelganger, una piattaforma proxy a pagamento che permette ai clienti di far passare il proprio traffico internet attraverso connessioni domestiche reali.
Per chi usa questo tipo di servizio è un modo per navigare in modo anonimo o aggirare restrizioni online. Il problema è che la connessione utilizzata appartiene a persone che spesso non sanno nemmeno che il loro router è stato compromesso.
Come capire se il proprio router è stato colpito
I ricercatori di sicurezza hanno pubblicato una serie di indicatori di compromissione che permettono di verificare se un dispositivo potrebbe essere stato infettato.
Nel caso di KadNap, riavviare il router non basta. Il malware installa uno script persistente che si riattiva automaticamente quando il dispositivo si riavvia.
Per eliminare completamente l’infezione è necessario eseguire un reset di fabbrica del router. Dopo il ripristino conviene anche installare tutti gli aggiornamenti del firmware disponibili, impostare una password amministratore forte e disattivare l’accesso remoto se non serve.
Molti router domestici restano accesi per anni senza ricevere aggiornamenti o controlli. Ed è proprio questa abitudine che rende possibile la creazione di reti invisibili come questa.
Quando si parla di sicurezza informatica spesso si pensa a computer e smartphone, ma dispositivi apparentemente innocui come un router di casa possono diventare, senza che nessuno se ne accorga, una piccola parte di infrastrutture molto più grandi.
