Un massiccio attacco informatico tuttora in corso, di cui si è registrato il culmine tra il mese di ottobre e quello di novembre, sta mietendo numerose vittime in tutto il mondo: a rilevare l'intensificarsi dell'attività dei due botnet impiegati in queste incursioni sono stati gli esperti di Fortinet, azienda statunitense specializzata proprio nello sviluppo di software, dispositivi e servizi di cybersicurezza.
Ficora e Capsaicin, che risultano essere delle varianti dei già noti botnet Mirai e Kaiten, stanno riuscendo a sfruttare al meglio delle falle nella sicurezza di alcuni modelli di router D-Link che non risultano ad oggi più supportati dalla casa madre taiwanese e non sono dotati di firmware aggiornati: grazie a questa vulnerabilità, i cybercriminali hanno già messo le mani su una notevole mole di dati personali sottraendoli a ignari utenti online.
Ma quali sono gli esemplari finiti nel mirino degli autori del cyberattacco? Stando a quanto riferito dall'azienda statunitense che ha rilevato le "incursioni informatiche" si tratterebbe dei router D-Link DIR-645, DIR-806, GO-RT-AC750 e DIR-845L: nonostante che si tratti di modelli obsoleti, continuano a essere tuttora utilizzati sia da singoli utenti che da piccole e grandi aziende.
I botnet Ficora e Capsaicin riescono a penetrare nei sistemi grazie ad alcuni bug di sicurezza dell'interfaccia Home Network Administration Protocol (HNAP) noti con numeri CVE specifici come CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112, i quali permettono l'esecuzione di codice remoto RCE.
Ficora, che è riuscito a infettare router di utenti di tutto il mondo, punta a scaricare ed eseguire uno script di shell da un server remoto per colpire diverse architetture Linux. Una volta fatto ciò, viene installato il payload ed effettuato un attacco di "brute force" tramite una lista di username e password "hard-coded" per individuare le chiavi di accesso. Il botnet è in grado di portare attacchi Ddos tramite protocolli come UDP flooding, TCP flooding e DNS amplification.
Capsaicin è stato sfruttato soprattutto per effettuare attacchi a router di utenti asiatici, specie nei Paesi dell'Asia Orientale. Questo botnet usa un indirizzo IP diverso per effettuare il download del suo script e si collega a un server C2 per inviare informazioni sui sistemi infetti. Una volta ottenuto l'accesso esclusivo, cercando e disattivando eventuali processi di altri botnet, è in grado di lanciare alcune istruzioni malevole, come la rimozione della cronologia comandi, l'avvio di proxy, il cambiamento del server di comando e controllo o l'esecuzione di attacchi di flooding tramite protocolli TCP, UDP o HTTP. Sottratti i dati sensibili alla vittima, questi vengono inviati al server remoto.
L'unico modo per proteggersi in questi
casi è quello di sostituire le chiavi di accesso e installare il firmware più recente: qualora ciò non fosse possibile perché si è interrotto il supporto da parte del produttore, il consiglio è quello di cambiare il router.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.
