Mi sono immolato a vittima sacrificale. Ed ecco cosa hanno fatto appena collegato il Dlink (un DSL-G624T). Piccola premessa: ho ripetuto più volte l’operazione, resettando ogni volta il router in modo da avere un sistema pulito (e insicuro). Ogni volta che ripetevo l’operazione i nomi di alcuni file cambiavano, quindi mi riferirò a loro in modo generico.  Appena aperta la porta del server SSH, entro inserendo come login e password quelli di default (admin e admin). Nella root directory (/) sembra essere tutto ok. Ma entrando in /var/ ecco la sorpresa. Un archivio compresso sospetto e una directory. Entro nella directory e comincio a trovare un bel pò di file…Il più interessante di questi file sembra essere hydra.log. Per chi non lo conoscesse Hydra è logon cracker multi-servizio. Ovvero, l’utente imposta il range di IP, quale servizio cercare e Hydra cerca di penetrare in questi PC con le più comuni combinazioni di login/password. Quello che cercano i cracker sono router configurati in modo tale da essere accessibili attraverso la porta 23 (Telnet). hydra.log è il file in cui risiedono gli IP degli altri router aperti/buggati. Naturalmente Hydra è solo una parte del programma eseguito. L’eseguibile presente nella directory (e presente tra i processi avviati), oltre a scannare, cerca di installare una sua copia in ogni router che riesce “ad infettare” (e visto il log del mio router “buono” sono veramente tante le vittime).
Per caercare di ottenere più informazioni, cerco un metodo per analizzare questo file. Sfortunatamente non c’è il programma Strings per poter trovare “le stringe” di un file binario. Mi devo affidare al vecchio cat |grep “qualcosa”. Con un cat file |grep .biz riesco quindi a isolare un indirizzo e una porta: si tratta di un server IRC.

Server IRC. Perche’?

Molti si chiederanno perché proprio un server IRC (quelli usati comunemente per chattare)… la spiegazione è semplice: il controllo. Per questi “cracker”, avere a disposizione migliaia di router è inutile se non li posso controllare (o aggiornare) in modo univoco e veloce. Difatti la diffusione di questo “pacchetto” (passatemi il termine) è automatica. Quello che manca agli hacker è un modo per essere notificati delle nuove vittime e per controllare questi router, senza mettere a rischio la loro privacy e senza perdere troppo tempo. E il protocollo IRC è perfetto per questo scopo. Appena infettato, infatti, il programma si collega a questo server IRC, dando la possibilità ai cracker di mandare loro dei comandi. Sembra ovvio quindi che il server IRC girerà su qualche loro server, in modo da non poter essere loggati e/o bloccati. Sono pure entrato in uno di questi IRC Server, ma naturalmente i canali erano nascosti, e il funzionamento è predisposto in modo tale che curiosi come me trovino non poche difficoltà.

Ma perché tutto questo?

Molti si chiederanno del perché i cracker si sono presi questo disturbo. Posso rassicurare i lettori che (almeno nel mio caso) nessuno ha cercato di sniffare il traffico, quindi almeno la privacy è al sicuro (fortuna?). In questo momento mi vengono altri due usi comuni  per una rete di zombie router come questa:

  • Un attacco del tipo DDoS (Distributed Denail of Service), ovvero reindirizzare tutti questi router per generare traffico/richieste verso un unico IP, in modo da rendere inaccessibile un determinato servizio (siti, computer, forum e chi più ne ha più ne metta). Avvolte queste reti vengono pure subaffittate per compiere questi lavoretti sporchi, rendendo bei soldi agli affittuari.
  • Guadagnare con i servizi di “click & pay”: immaginate 10000 computer che cliccano su un “banner”… il guadagno (anche se di pochi centesimi per click) crescerà nel giro di poche settimane. E la presenza di tanti IP non insospettirà i malcapitati gestori di questo genere di pubblicità, che non potranno neanche alzare obiezioni.

Naturalmente queste due sono solo supposizione, avendo difatto staccato subito il router dalla linea telefonica appena infettato, evitando di far infettare altri PC. Ho lasciato alcuni tecnicismi e altre prove (alcune  non mi hanno portato a niente) fuori da questo articolo, anche per non favorire script kiddies in erba :).

Contromisure

Questi programmi sono in grado di sfruttare le vulnerabilità dei router più comuni. Quindi l’unico modo per non diventare a propria volta delle vittime, è quello di aggiornare il firmware dei vostri dispositivi il più spesso possibile. Altri buoni consigli sono:

  1. Cambiare la password di default del router.
  2. Assicurarsi che il vostro router (o meglio la pagina di configurazione e i servizi telnet) siano accessibili solo dalla Lan interna e non dall’esterno.

Per come aggiornare il firmware e cambiare la password di default, fate riferimento al manuale del vostro router. Per verificare che il vostro router non sia accessibile dall’esterno, seguite i seguenti passi:

  • Collegatevi al sito http://www.t1shopper.com/tools/port-scanner/
  • Selezionate la spunta in corrispondenza di Telnet e Http (porta 23 e 80). Se volete potete selezionare anche le altre.
  • Se qualcuna di queste porte risulta Open, allora dovete correre ai ripari: facendo riferimento al manuale del router dovete chiudere queste porte in modo che siano accessibili solo dalla LAN.

Se passate indenni questi test (e aggiornate costantemente il vostro firmware appena disponibile uno nuovo) dovreste stare tranquilli…
almeno per questi tipi di attacchi…
almeno finché qualcuno non scoprirà una nuova vulnerabilità del vostro router!
Alla fine, la prima regola della sicurezza informatica e che non si è mai al sicuro al 100 per 100.

Annunci