La botnet che trasforma i router in e-mail spammer

India, Cina e Stati Uniti d’America sembrano essere le nazioni più colpite ma la nuova botnet che prende di mira i webmail service minaccia il mondo intero

49
spam_red
adv

India, Cina e Stati Uniti d’America sembrano essere le nazioni più colpite ma la nuova botnet che prende di mira i webmail service minaccia il mondo intero.

BCMUPnP_Hunter

BCMUPnP_Hunter è il nome dell’ultima botnet osservata dagli esperti, così battezzata perché scansiona costantemente la rete alla ricerca di router con la porta UPnP aperta.

Essa infetta i router e li usa per connettersi ai servizi webmail come Yahoo, Outlook ed Hotmail, ed inviare spam in modo massivo.

Come se non bastasse, il dispositivo infetto diventa un punto di ricerca per ulteriori router vulnerabili; il router diventa, così, un proxy ed assicura una connessione al botmaster.

Questa botnet sfrutta la possibilità di eseguire codice malevolo senza necessità di autenticazione. Essa, inoltre, è caratterizzata da un processo di infezione multi-step del router vittima, corredato di complessi meccanismi di sincronizzazione:

  • Identificazione e check vulnerabilità: viene scansionata la porta 5431, una volta ricevuto l’ack di risposta (ok alla sincronizzazione) viene inviato un SSDP Discover (Simple Service Discovery Protocol) sulla porta UDP 1900 per ricevere l’indirizzo della vittima. Tale messaggio è, infatti, usato dal protocollo UPnP per identificare servizi ed informazioni sulla presenza del dispositivo. Fatto ciò, BCMUPnP_Hunter esegue un check di vulnerabilità. Le informazioni sono inviate ad un terzo elemento, un Loader sito sul C&C server, che invierà il codice malevolo da eseguire.
  • Attacco: Il Loader invia un exploit, uno script che consente l’acquisizione progressiva di diritti sfruttando vulnerabilità. Con esso viene inviato anche uno shellcode, un programma da eseguire nell’interfaccia di comando testuale o in background. L’esecuzione dello shellcode, possibile grazie all’exploit, fa si che lo stesso router vittima faccia il download del sample e lo esegua. Il sample contiene le istruzioni per eseguire gli attacchi.

Vecchie problematiche nuove minacce

La minaccia è nuova poiché, a differenza della maggior parte delle botnet, non sfrutta un codice sorgente reperibile in rete ma ne ha uno totalmente inedito e la cui complessità lascia trapelare l’esperienza di chi lo ha sviluppato.

A dispetto della sua originalità, la vulnerabilità sfruttata da BCMUPnP_Hunter è già nota agli esperti dal 2013. Essa è presente nella UPnP SDK della Broadcom: il software development kit per lo sviluppo del protocollo Universal Plug and Play, finalizzato a consentire la comunicazione tra terminali nelle piccole intranet. Esso garantisce l’utilizzo del dispositivo non appena connesso, semplificando, così, l’uso di tali network.

Tale componente software è presente in migliaia di router di diverse marche.

Entità della minaccia

A partire dalla sua prima identificazione, avvenuta questo Settembre, si calcola che siano stati infettati oltre 100.000 router casalinghi. Le scansioni eseguite dalla botnet si originano da più di 3,37 milioni di IP ma solo 100.000 attivi in al giorno. Come anticipato, la diffusione è mondiale ma i paesi più colpiti sono Cina, India e Stati Uniti d’America.

Il team di ricercatori del Netlab riporta 116 tipi di router che si pensa possano essere infettati da questa botnet; tra essi figurano i brand D-Link, TP-Link, ZTE e ZyXEL.