Realizzate una scansione settimanale del vostro computer per verificare la presenza di virus, aggiornate spesso i sistemi e i programmi, utilizzate password forti e in generale siete prudenti quando navigate sul web… eppure, per qualche strano motivo, Internet va lento e non potete accedere ad alcuni siti web, vero? La causa potrebbe essere un malware, ma non ha attaccato il computer, bensì il router.
Perché i router?
I criminali informatici prendono di mira i router soprattutto per due motivi. In primo luogo, perché tutto il traffico Internet passa attraverso questi dispositivi; in secondo luogo, non è possibile scansionare un router con un antivirus normale. Quindi i malware che si sono insediati nel router possono attaccare facilmente ma nel contempo è molto difficile che vengano individuati, per non parlare della loro eliminazione. Oggi analizziamo alcune azioni che i criminali informatici possono compiere attraverso un router infetto.
Creare una botnet
Uno dei casi più comuni è quello in cui un router infetto si unisce a una botnet, ovvero una rete di dispositivi che inviano miriadi di richieste a un determinato sito web o servizio online come parte di un attacco DDoS. L’obiettivo degli hacker è quello di sovraccaricare il servizio preso di mira a tal punto da rallentarlo e far in modo che smetta di funzionare.
Gli utenti vittime di questo attacco, e con i router compromessi, osservano che la velocità di Internet è più bassa perché i router sono impegnati nell’invio di richieste dannose e possono gestire il resto del traffico solo nei momenti in cui questa attività si ferma per qualche momento.
Secondo i nostri dati, nel 2021, sono due le famiglie di malware che hanno preso di mira la maggior parte dei router: si chiamano Mirai e Mēris. La prima è di gran lunga la più utilizzata ed è responsabile di quasi la metà di tutti gli attacchi ai router.
Mirai
Questa famigerata famiglia di malware dal nome dolce (che significa “futuro” in giapponese) è nota dal 2016. Oltre ai router, è nota per infettare le telecamere IP, smart TV e altri dispositivi IoT, anche aziendali, come controller wireless e display pubblicitari digitali. Inizialmente concepita per effettuare attacchi DDoS su larga scala ai danni dei server di Minecraft, la botnet Mirai ha iniziato ad attaccare altri servizi. Il codice sorgente del malware è da tempo disponibile online e costituisce la base di un numero sempre maggiore di nuove varianti.
Mēris
Non a caso Mēris significa “peste” in lettone. Questa minaccia ha già colpito migliaia di dispositivi di alta prestazione (per lo più router MikroTik) e li ha collegati tra loro in una rete per attacchi DDoS. Ad esempio, durante un attacco a una società finanziaria statunitense nel 2021, il numero di richieste provenienti dalla rete di dispositivi infettati da Mēris ha raggiunto i 17,2 milioni al secondo. Pochi mesi dopo, la botnet ha attaccato diverse società finanziarie e informatiche russe, registrando 21,8 milioni di richieste al secondo, un vero e proprio record.
Furto di dati
Alcuni malware che infettano i router possono causare danni ancora più gravi, come rubare i vostri dati. Quando si naviga su Internet, si inviano e si ricevono molti dati importanti come i dati di pagamento quando si compra qualcosa in uno store, le credenziali dei social o documenti di lavoro inviati via e-mail. Tutte queste informazioni, insieme al resto del traffico di rete, passano inevitabilmente attraverso il router. Durante un attacco, i dati possono essere intercettati dal malware e finire direttamente nelle mani dei criminali informatici.
VPNFilter è uno dei malware capace di rubare i dati degli utenti. Infettando i router e i server NAS, acquisisce la capacità di raccogliere informazioni e di controllare o disattivare il router.
Siti web e spoofing
I malware che attaccano i router possono reindirizzare di nascosto l’utente a pagine con annunci pubblicitari o siti dannosi invece di quelli che si desiderava visitare. L’utente (e anche il browser) penserà di accedere a un sito web legittimo, mentre in realtà sta per finire nelle mani dei cybercriminali.
Funziona così: quando inserite l’URL di un sito (ad esempio, google.com) nella barra degli indirizzi, il vostro computer o smartphone invia una richiesta a un server DNS speciale dove vengono memorizzati tutti gli indirizzi IP registrati e gli URL corrispondenti. Se il router è stato infettato, invece di un server DNS legittimo, può inviare richieste a uno falso che risponde alla query “google.com” con l’indirizzo IP di un sito completamente diverso, che potrebbe essere un sito di phishing.
Questo era l’obiettivo del trojan Switcher: infiltrarsi nelle impostazioni del router e impostare come predefinito un server DNS dannoso. Naturalmente, tutti i dati inseriti nelle pagine finivano nelle mani degi hacker.
Come si infiltra il malware nei router?
Esistono due modi principali per impiantare un malware in un router: indovinando la admin password del router o sfruttando una vulnerabilità del dispositivo.
Indovinare la password
Tutti i router dello stesso modello tendono ad avere la stessa admin password come impostazione di fabbrica. Da non confondere con la network security key (la stringa di caratteri che si inserisce per connettersi al Wi-Fi), la admin password viene utilizzata per accedere al menu delle impostazioni del router. Se l’utente ha lasciato involontariamente le impostazioni di fabbrica invariate, gli hacker possono facilmente indovinare la password, soprattutto se conoscono la marca del router, e infettarlo.
Di recente, però, i fabbricanti hanno iniziato a prendere la sicurezza più seriamente, assegnando una password unica e aleatoria a ogni singolo dispositivo, rendendo questo metodo di attacco meno efficace. Tuttavia, indovinare la combinazione giusta per i modelli più vecchi è ancora un gioco da ragazzi.
Sfruttamento delle vulnerabilità
Le vulnerabilità dei router sono falle che interessano la gateway di accesso a Internet attraverso le quali le minacce informaticche possono penetrare nella rete domestica o aziendale (o solo nel router, perché è più difficile per le minacce essere rilevate). La già citata botnet Mēris fa proprio questo: sfrutta le vulnerabilità non corrette dei router MikroTik.
Secondo una nostra ricerca, solo negli ultimi due anni sono state scoperte diverse centinaia di nuove vulnerabilità nei router. Per proteggere i punti deboli, i fornitori di router rilasciano patch e nuove versioni del firmware (soprattutto, gli aggiornamenti del sistema operativo dei router). Purtroppo, però, molti utenti non si rendono conto che il software del router deve essere aggiornato, proprio come gli altri programmi.
Come proteggere la vostra rete?
Se volete proteggere il vostro router domestico o aziendale e tenere al sicuro i vostri dati, seguite i seguenti consigli.
Almeno una volta al mese, controllate sul sito web del produttore gli ultimi aggiornamenti del firmware del router. Installateli non appena sono disponibili. Per alcuni modelli, le patch si installano in modo automatico, ma a volte è necessario farlo manualmente. Sul sito web del produttore è possibile trovare informazioni sull’aggiornamento del software del dispositivo.
Create una admin password per il router lunga e forte. Per non dimenticarla, utilizzate un password manager
Se siete un po’ esperti o se trovate le istruzioni (ad esempio sul sito web del fornitore), disabilitate l’accesso remoto alle impostazioni di amministrazione del router.
Configurate correttamente il Wi-Fi: create a una password unica, utilizzate uno standard di crittografia wireless forte e impostate una rete per gli ospiti in modo tale che ospiti e vicini senza scrupoli (o semplicemente sbadati) non diffondano malware sulla vostra rete attraverso i loro dispositivi infetti.
– Infine, utilizzate un’ app VPN capace di crittografare tutte le informazioni in uscita prima di passarle al router, mantenendole al sicuro dai criminali informatici anche se hanno infettato il dispositivo.