I ricercatori della X Lab hanno scoperto migliaia di router D-Link sotto attacco a causa di un botnet chiamato AryStinger che sta silenziosamente prendendone il controllo. Questa campagna, come si legge dall’articolo di studio pubblicato recentemente, “prende di mira specificamente i router basati sui chip della serie RTL819X” ormai a fine vita.
Gli aggressori hanno sfruttato vulnerabilità divulgate 13 anni fa per compromettere un gran numero di router obsoleti, creando cluster di ricognizione e attacco da utilizzare nella fase di rilevamento preliminare all’intrusione.
Un router sotto controllo non è solo un pericolo per la vittima, ma anche per altre potenziali vittime. Infatti, secondo quanto spiegato dagli esperti di Malwarebytes, gli aggressori possono nascondere la propria attività malevola e lanciare attacchi contro altri obiettivi. Secondo i ricercatori della X Lab ci sarebbero almeno 4300 router in tutto il mondo già infettati e “il numero continua ad aumentare“.
AryStinger installa dropbear su una porta specifica del dispositivo compromesso. Basandoci su questa caratteristica comportamentale, attraverso la mappatura degli asset, abbiamo scoperto che almeno più di 4.300 router in tutto il mondo sono stati infettati.
I ricercatori hanno anche pubblicato una tabella con i modelli dei dispositivi infetti di router D-Link:
- DIR-850L- 75%
- DIR-818LW – 13%
- DIR-816L, DIR-818L, DWR-118, DIR-817LW – 1,3%
- Sconosciuto – 18%
Come capire se il tuo router D-Link è stato infettato
I sintomi di un’infezione al tuo router D-Link sono differenti, ma possono essere sintetizzati in tre caratteristiche. Prima di tutto si parla di una connettività leggermente più lenta. Inoltre, assisti a occasionali errori DNS o reindirizzamenti inspiegabili. Infine, noti picchi di traffico in uscita in orari insoliti.
A seguito di un attacco di questo tipo gli aggressori potrebbero ispezionare o reindirizzare il tuo traffico, acquisendo nomi utente, password, cookie di sessione o altri dati sensibili, compromettendo la tua privacy. Inoltre, il tuo indirizzo IP potrebbe essere utilizzato, a tua insaputa, per frodi, furto di credenziali, molestie o altre attività criminali, rendendoti potenzialmente responsabile.
Cosa devi fare se sei una vittima
Gli esperti di Malwarebytes hanno pubblicato un vademecum che potrebbe esserti utile se il tuo router D-Link è stato attaccato e pensi sia finito sotto il controllo del botnet.
- Installa il firmware più recente disponibile per il tuo dispositivo, anche se obsoleto, e consulta gli avvisi di sicurezza del fornitore per individuare eventuali vulnerabilità note.
- Modifica la password predefinita dell’amministratore con una password o una frase di accesso univoca e complessa; non riutilizzare mai le password di altri account.
- Disabilita la gestione remota da Internet (WAN). Accedi all’interfaccia di amministrazione solo dalla rete domestica o aziendale.
- Utilizza la crittografia wireless WPA2 o WPA3 e una password Wi-Fi complessa per ridurre il rischio di abusi locali.
- Se il router lo supporta, disattiva i servizi non utilizzati come UPnP sul lato WAN o i protocolli di accesso remoto legacy.
