I ricercatori di Forkbombus Labs hanno svelato l’esistenza di una nuova minaccia chiamata RouteX , una “botnet di proxy” basata sull’uso di router Netgear vulnerabili, precedentemente compromessi dagli ignoti cyber-criminali che si nascondono dietro l’operazione. L’obiettivo di RouteX è lanciare attacchi contro siti Web e servizi on-line .
In particolare, dicono da Forkbombus, RouteX è in grado di sfruttare la vulnerabilità CVE-2016-10176 presente all’interno dei firmware non aggiornati dei router Netgear della serie WNR2000 : il Web server dei suddetti dispositivi è vulnerabile, e permette ai malintenzionati di eseguire operazioni sensibili di livello “admin” come – nel caso di RouteX – il download, l’installazione e quindi l’esecuzione di un malware direttamente all’interno del firmware.
Una volta preso il controllo di un router, RouteX contiene due payload distinti: la prima routine malevola installa un proxy SOCKS sul dispositivo, mentre la seconda aggiunge nuove regole al firewall di Linux integrato (iptable) per far sì che la vulnerabilità CVE-2016-10176 non sia più accessibile ai malware della “concorrenza”.
A questo punto i router infetti sono accessibili solo da pochi indirizzi IP specifici , IP evidentemente sotto il controllo dei cyber-criminali e infine impiegati per condurre attacchi di tipo credential stuffing contro i servizi di rete: gli hacker provano un gran numero di credenziali di accesso recuperate dai database online, ruotando gli IP dei vari router Netgear sotto il loro controllo per bypassare gli eventuali meccanismi di protezione a difesa dei server bersagliati.
Le dimensioni di una minaccia come RouteX sono piuttosto difficili da quantificare con precisione, dicono i ricercatori, poiché i criminali si connettono ai dispositivi compromessi solo quando ne hanno bisogno, senza server di Comando&Controllo centralizzati.
Anche la caccia agli autori di RouteX è in pieno svolgimento, dicono da Forkbombus: l’analisi del codice del malware indica una connessione con un certo “Links”, hacker o gruppo di hacker registrato sul forum (russo) di Exploit.in e già attivo in passato sul malware omonimo (“Links”). RouteX sarebbe in questo senso una versione evoluta di Links , minaccia che tra l’altro mostrava la stessa schermata di benvenuto in codice ASCII una volta fatto il login su un dispositivo compromesso.
Alfonso Maruccia