Gli utenti dei router di pomodoro sono invitati a rafforzare le password o potrebbero essere violati dagli hacker

Alcune attività criminali informatiche riguardano la scala. Se vuoi lanciare un attacco DDoS degno di nota, inviare grandi quantità di spam o generare un portafoglio pieno di bitcoin con l'aiuto di una campagna di cryptojacking, ad esempio, hai bisogno di molto hardware. Qui entrano in gioco le botnet.

Una botnet è una rete di server, computer e dispositivi IoT a cui gli hacker ottengono l'accesso e controllano all'insaputa dei loro proprietari. Gli endpoint compromessi non solo offrono agli hacker la possibilità di lanciare attacchi su vasta scala, ma forniscono anche loro un modo per coprire le proprie tracce, motivo per cui le botnet vengono talvolta utilizzate anche in sofisticate campagne spyware. Per impostazione predefinita, una botnet non può mai essere abbastanza grande e i truffatori cercano costantemente di trovare un modo per espandere le loro reti di dispositivi compromessi. Di recente, ad esempio, i ricercatori dell'Unità 42 di Palo Alto Networks ci hanno raccontato come gli operatori dietro la botnet Muhstik stanno cercando di aggiungere nuovi bot alla rete.

La botnet Muhstik segue i router Wi-Fi in esecuzione sul firmware Tomato

La botnet Muhstik è in circolazione da marzo 2018 e i ricercatori di Palo Alto Networks hanno avuto più di qualche incontro con essa. È noto per aver compromesso i server Linux e WebLogic con le installazioni di WordPress e Drupal e, a maggio 2018, avrebbe provato a sfruttare una vulnerabilità di sicurezza nei router domestici GPON. Il server di comando e controllo (C&C) controlla i robot attraverso un canale IRC e finora li ha utilizzati principalmente per lanciare attacchi DDoS e miniera di criptovaluta.

All'inizio di dicembre, i ricercatori di Palo Alto Networks hanno notato che gli hacker hanno aggiornato la botnet. Ora esiste un modulo aggiuntivo progettato per indirizzare i router Wi-Fi in esecuzione sul firmware Tomato.

Tomato è un firmware open source per router domestici che dovrebbe essere più potente e più facile da usare rispetto ai suoi concorrenti. Rilasciato per la prima volta nel 2006, è disponibile gratuitamente sia per i fornitori che per gli utenti finali. Gli esperti di Palo Alto Networks hanno utilizzato il motore di ricerca Shodan per determinare che attualmente ci sono circa 4.600 router basati su Tomato esposti a Internet. Questo non sembra un numero particolarmente grande, ma gli operatori di Muhstik hanno chiaramente deciso che ne vale la pena. Ma cosa possiamo fare per fermarli?

Le credenziali predefinite rendono gli utenti vulnerabili

Il rapporto di Palo Alto Networks termina con un avvertimento che "gli utenti finali devono essere cauti durante l'installazione del firmware open source". Questo è assolutamente vero. I progetti sviluppati dalla comunità non ricevono sempre aggiornamenti di sicurezza e affidabilità in tempo, e talvolta possono aprire enormi buchi che gli hacker possono facilmente sfruttare. In effetti, la versione originale del firmware Tomato non ha avuto una versione stabile per quasi un decennio, il che parla da solo. In questo caso particolare, tuttavia, la natura open source di Tomato e la sua età non sono i problemi principali.

All'improvviso, gli utenti accedono ai loro router Tomato usando "root" o "admin" come nome utente. La password predefinita in entrambi i casi è "admin". Queste sono le credenziali di accesso utilizzate dalla botnet Muhstik per compromettere qualsiasi router Tomato che trova.

Diversi produttori offrono diverse interfacce grafiche, quindi non esiste una guida singola e dettagliata per modificare la password predefinita su tutti i router basati su Tomato. Tutti offrono una possibilità per farlo, tuttavia, e gli operatori Muhstik stanno predando gli utenti che non si sono preoccupati di usarlo. La storia ci insegna che non si stanno nemmeno aggrappando esattamente alle cannucce.

Le credenziali predefinite sono facilmente ottenibili e la loro forzatura bruta non comporta un gran numero di tentativi di accesso, il che significa che le probabilità di sollevare sospetti sono basse. Ecco perché gli hacker adorano questo particolare metodo per infettare i dispositivi delle persone.

Gli utenti devono sapere che i gadget a cui si collegano a Internet non devono mai essere protetti dai nomi utente e dalle password stampati sulla confezione o sul fondo del dispositivo. Prima lo fanno, meglio è.