Una società registrata a Londra sembra essere al centro di un massiccio attacco che sta reindirizzando il traffico da 300.000 router, ha detto una società di sicurezza.
La società di sicurezza con sede in Florida Team Cymru ha affermato che sta esaminando un “compromesso diffuso” tra router consumer e piccoli uffici/home office (SOHO) in Europa e Asia.
A gennaio, l’azienda ha scoperto una campagna di “SOHO pharming” che aveva sovrascritto le impostazioni DNS su 300.000 router. Ciò consente agli aggressori di reindirizzare il traffico verso siti e domini da loro controllati, "conducendo di fatto un attacco man-in-the-middle", afferma il rapporto della società.
Se il tuo router è stato violato e punta al server DNS di qualcun altro, non hai davvero alcuna fiducia su ciò che stai effettivamente ricevendo
"Se [il tuo router] è stato violato e punta al server DNS di qualcun altro, non hai davvero alcuna fiducia su ciò che stai facendo." effettivamente ottenendo: potresti ricevere la versione cattiva di Google o il sito della tua banca", ha affermato il portavoce del Team Cymru, Steve Santorelli ha detto
PCPro. "È molto intelligente."Collegamenti aziendali
Le impostazioni DNS dei router sono state modificate in due indirizzi IP, entrambi destinati a macchine che si trovano fisicamente nei Paesi Bassi, ma registrate presso la società britannica 3NT Solutions, ha affermato.
“L’analogia che userei è che c’è una rapina in banca a Utrecht, per esempio, e la polizia ferma l’auto”, ha detto Santorelli. "L'auto utilizzata è effettivamente lì fisicamente in Olanda, ma è registrata a nome di qualcuno nel Regno Unito."
Il sito Web di 3NT Solutions era offline al momento della stesura di questo articolo e non è stato possibile contattare la società per un commento. Il suo indirizzo registrato è una sede Mailboxes Etc nel centro di Londra.
L'azienda attirò l'attenzione del ricercatore di sicurezza Conrad Longmore, che pubblicò le sue "riserve" sulle soluzioni 3NT sul suo Blog Dynamoo la settimana scorsa.
"Va bene, tagliamo corto perché sappiamo chi è... è l'host web serbo inferno.name che è apparso su questo blog diverse volte prima, nel lontano 2011", ha detto. "Esistono record simili su tutti gli intervalli di 3SA, collegandoli saldamente con inferno.name."
Longmore ha descritto 3NT/Inferno.name come un “noto cattivo attore” che gestiva siti dannosi e “spam” – e ha consigliato agli amministratori di “bloccare tutti i loro IP a vista”.
Obiettivo attraente
Santorelli di Cymru ha sottolineato che l’attacco al router è stato serio. "Non è un problema nuovo per la comunità InfoSec, ma è uno dei più grandi che abbiamo visto di recente in quanto è piuttosto insidioso", ha affermato.
Santorelli ha affermato che invece di ritardare la denuncia del difetto, la sua azienda ha informato le autorità e lo ha reso pubblico immediatamente. “Si tratta di una sorta di cambiamento epocale nel modo in cui le persone si avvicinano alla sicurezza”, ha affermato. "Questa non è la prima volta che questo genere di cose vengono avvistate, ma è sicuramente la più grande che si ricordi negli ultimi tempi."
L'attacco colpisce dispositivi di diversi produttori, ha affermato l'azienda, aggiungendo che "consumer la scarsa familiarità” con la configurazione dei router e le deboli impostazioni predefinite rendono i dispositivi “molto attraenti bersaglio".
In effetti, i ricercatori sulla sicurezza di Tripwire ha individuato una serie di difetti nei router l'anno scorso, mentre D-Link ha lanciato una patch per sistemare una backdoor nelle impostazioni di amministrazione.
Santorelli ha affermato che il problema non era un difetto hardware, ma un punto debole del firmware del router ampiamente utilizzato da ZyXEL, ZynOS.
"Riguarda le persone che scrivono il firmware originale... questo è un firmware onnipresente", ha detto. "Il problema riguarda tutti questi router economici e dall'ottimo rapporto qualità-prezzo: è davvero un problema dei fornitori di firmware piuttosto che un problema dei produttori di hardware."
Tuttavia, ha aggiunto che Cymru Team non vuole individuare alcuna azienda o produttore come causa del problema, affermando che tali attacchi sono una “evoluzione naturale” nella battaglia sulla sicurezza. "È solo un'altra cosa da controllare, ma sfortunatamente non esiste un antivirus per i router."
Non si tratta solo di controllo della password e antivirus sul tuo laptop, ora devi esaminare tutte... le fasi di come il pacchetto arriva dalla tua ricerca su Google, a Google e viceversa
"Non si tratta solo di controllo della password e antivirus sul tuo laptop, ora devi guardare a tutto... fasi di come il pacchetto arriva dalla tua ricerca su Google, a Google e viceversa", Santorelli disse.
Tecniche di mitigazione
Per stare al sicuro, Santorelli ti consiglia di controllare le impostazioni DNS del tuo router, assicurandoti che gli indirizzi IP a cui ti ritrovi siano legittimi e aggiornando il firmware.
Il rapporto aggiunge che se i server degli aggressori venissero chiusi, ciò potrebbe causare problemi alle vittime. “Come nel caso del malware DNSChanger, le vittime inconsapevoli sono vulnerabili alla perdita di servizio se lo sono i server dannosi rimosso, poiché sia gli indirizzi IP DNS primari che quelli secondari vengono sovrascritti, complicando la mitigazione”, si legge nel rapporto aggiunto.
