Una botnet composta da circa 14 mila router e dispositivi di rete è stata scoperta dai ricercatori di Lumen Black Lotus Labs, e la notizia non ha nulla di rassicurante. La rete di dispositivi compromessi, concentrata principalmente negli Stati Uniti, continua a crescere e si sta dimostrando particolarmente ostica da arginare. Non si tratta della trama di un film distopico, ma di una minaccia concreta che riguarda soprattutto chi possiede determinati modelli di router Asus.
Il malware responsabile di tutta l’operazione è stato battezzato KadNap. Ed è proprio il suo meccanismo di funzionamento a renderlo così insidioso.
Come funziona KadNap e perché è così efficace
Il principio alla base è tanto semplice quanto devastante: KadNap sfrutta vulnerabilità già note presenti nei dispositivi di rete che, però, non sono mai state corrette dagli utenti. Il punto debole, in sostanza, è la mancata installazione degli aggiornamenti del firmware. Quante volte capita di ignorare quella notifica che chiede di aggiornare il proprio router? Ecco, proprio quel tipo di negligenza apre la porta a minacce come questa botnet.
Secondo quanto ricostruito dai ricercatori di Lumen Black Lotus Labs, gli attaccanti avrebbero messo le mani su un exploit particolarmente affidabile, calibrato per colpire in modo mirato alcuni modelli di router Asus. La buona notizia, se così si può definire, è che al momento non risultano coinvolte vulnerabilità zero-day. Questo significa che le falle sfruttate da KadNap erano già conosciute e, almeno in teoria, già risolvibili con le patch disponibili.
Il problema reale, però, è che moltissimi utenti non aggiornano mai i propri dispositivi di rete. I router, nella percezione comune, sono oggetti che si configurano una volta e poi si dimenticano in un angolo. Questo li rende bersagli perfetti per chi costruisce botnet su larga scala.
Perché una rete da 14 mila dispositivi preoccupa gli esperti
Una botnet di queste dimensioni non è solo un problema tecnico: rappresenta un’infrastruttura potenzialmente utilizzabile per attacchi DDoS, campagne di spam, o come trampolino per intrusioni più sofisticate. I 14 mila dispositivi compromessi diventano, in pratica, soldati inconsapevoli al servizio degli attaccanti.
Il fatto che la concentrazione sia negli Stati Uniti non esclude affatto la possibilità che KadNap possa espandersi altrove, soprattutto considerando la diffusione capillare dei router Asus in tutto il mondo, Italia compresa.
