Il governo degli Stati Uniti ha lanciato un avvertimento chiaro a chiunque usi un router domestico o da piccolo ufficio: quei dispositivi sono nel mirino degli hacker di stato russi, che li stanno compromettendo in massa per nascondere le proprie attività contro organizzazioni pubbliche e private considerate sensibili. Un problema che va avanti da anni e che ora torna al centro dell’attenzione con un nuovo allarme.
La faccenda non è nuova, per la verità. Sia Mosca che Pechino violano i router da tempo, a volte con veri e propri bracci di ferro per strapparsi il controllo di dispositivi che l’altro gruppo aveva già occupato. Le autorità americane sono intervenute più volte, inviando comandi nascosti e cercando di ripulire i dispositivi infetti. Anche Google e altre aziende hanno provato a smantellare le enormi botnet che gestiscono in modo coordinato i router compromessi. Ma finora è stata poco più di una partita a schiaccia la talpa: gli operatori sostituiscono semplicemente le loro reti con altre nuove.
Chi sono gli attori dietro gli attacchi
Secondo la Cybersecurity and Infrastructure Security Agency, gli attori legati al Centro 16 dell’FSB, il servizio di sicurezza federale russo, continuano a sfruttare dispositivi di rete mal configurati e vulnerabili in tutto il mondo, colpendo in modo opportunistico varie reti di infrastrutture critiche. I gruppi coinvolti vengono seguiti con nomi diversi, tra cui Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard e Static Tundra. L’avviso è stato pubblicato insieme ad altri governi, come Australia, Danimarca, Nuova Zelanda e Regno Unito.
Il metodo principale di attacco riguarda la scansione di intervalli di indirizzi IP che hanno agenti SNMP attivi e che accettano credenziali comuni o predefinite. Queste scansioni vengono effettuate proprio dalle botnet in cui gli attori vogliono arruolare i dispositivi presi di mira. Inviando traffico malevolo da indirizzi falsificati, gli hacker sfruttano l’agente SNMP sui router mal configurati per eseguire malware. Il protocollo SNMP serve a raccogliere e organizzare informazioni sui dispositivi di rete gestiti, oppure a modificarle per cambiarne il comportamento.
Come funziona il dirottamento del traffico
Una volta preso il controllo di un dispositivo, gli hacker lo usano come punto di uscita quando sondano o attaccano bersagli nei settori delle comunicazioni, della difesa, dell’energia, dei servizi finanziari e della pubblica amministrazione. Facendo passare il traffico malevolo attraverso un dispositivo dall’aspetto innocuo e con un indirizzo IP affidabile, riescono ad abbassare le probabilità di essere bloccati da firewall e altri sistemi di difesa. L’avviso di lunedì non ha invece fatto cenno a operazioni identiche condotte negli ultimi anni dalla Cina. I cosiddetti proxy residenziali restano poi uno strumento molto usato anche dai criminali informatici a scopo di lucro per mascherare il proprio vero indirizzo IP. In molti casi si tratta di milioni di dispositivi per lo streaming venduti già con malware preinstallato.
L’agenzia ha invitato gli utenti a blindare i propri apparecchi. Il consiglio più importante è disattivare le versioni 1 e 2 di SNMP, perché non criptano le password e non seguono altre pratiche di buon senso in materia di sicurezza. Meglio usare solo la versione 3. L’opzione migliore, però, resta disattivare del tutto SNMP se non serve per un uso specifico. Tra le altre misure di protezione ci sono la disattivazione di Cisco Smart Install su tutti i dispositivi, l’uso di password robuste, l’aggiornamento regolare del firmware e la rinuncia ad altri protocolli di rete non necessari.