I ricercatori della Unit 42 di Palo Alto Network hanno scoperto diversi attacchi effettuati contro i router D-Link. Sfruttando quattro vulnerabilità, i cybercriminali hanno ottenuto l’accesso ai dispositivi che sono stati successivamente aggiunti alla botnet MooBot, una variante della famigerata Mirai.
Router D-Link aggiunti alla botnet MooBot
Le quattro vulnerabilità presenti nei router D-Link, che permettono di eseguire codice remoto, sono state indicate con CVE-2015-2051, CVE-2018-6530, CVE-2022-26258 e CVE-2022-28958. Il produttore taiwanese ha rilasciato gli aggiornamenti di sicurezza, ma non tutti gli utenti hanno provveduto alla loro installazione. I cybercriminali hanno effettuato una scansione dei dispositivi per individuare quelli vulnerabili. È stato quindi scaricato il codice infetto che aggiunge i router alla botnet MooBot.
Dopo aver preso il controllo dei dispositivi, i cybercriminali possono inviare altri comandi dal server C2 (command and control). Solitamente vengono utilizzati per effettuare attacchi DDoS (Distributed Denial of Service) con l’obiettivo di bloccare l’accesso a siti web o servizi online attraverso un numero elevato di richieste che il server non è in grado di gestire.
Per trovare tracce della botnet si dovrebbero controllare le impostazioni del router, ma non tutti gli utenti hanno le competenze per districarsi tra DNS, NAT e altri “strani” acronimi. Utile anche monitorare il traffico con un firewall. È consigliabile installare subito le patch di sicurezza, resettare il router e scegliere una password robusta.