Security Notes

Aethra botnet, 12000 dispositivi italiani compromessi minacciano migliaia di aziende

cyber

Oggi voglio presentarvi una interessante ricerca condotta da un gruppo di esperti italiani, componenti della VoidSec, i quali hanno scoperto una di più di 12000 dispositivi italiani utilizzati per attacchi di vario genere.
Il gruppo di esperti della VoidSec era intento in ordinarie operazioni di manutenzioni al sito della loro organizzazione quando hanno notato nei log qualcosa di strano.
Qualcuno stava cercando di violare il sito con attacchi di brute force all’interfaccia di amministrazione. Gli esperti hanno subito notato che le migliaia di indirizzi utilizzati per l’attacco appartenevano a dispositivi associati ai principali Internet Service Provider del nostro paese ovvero:

  • Fastweb
  • Albacom, ora BT-Italia
  • Clouditalia
  • Qcom
  • WIND
  • BSI Assurance UK

Tutti gli IP erano associati a modem/router modello (BG1242W, BG8542W etc.), dispositivi utilizzati principalmente da aziende. I dispositivi compromessi presentavano tutti impostazioni di fabbrica, ovvero nessuna username e password, un gioco da ragazzi quindi per gli attaccanti localizzarli (e.g. abbiamo visto quanto sia semplice con motori di ricerca come Shodan e/o Censys) e comprometterli. Inoltre gli hacker avevano individuato alcune vulnerabilità critiche nell’interfaccia di amministrazione di questo modello di dispositivi.

“Ci sono molti dispositivi Aethra in tutto il mondo (~ 12.000), di cui 10.866 sono in Italia; filtrando per tipologia è possibile verificare che circa 8000 sono dispositivi Aethra Telecomunicazioni PBX, il principale modello di dispositivi coinvolti in questo specifico attacco.” Recita il rapporto pubblicato da VoidSec.

Aethra

La botnet è considerata molto pericolosa, perché i modem Aethra sono principalmente venduti ad utenze business, questo significa che dispositivi vulnerabili sono presenti in aziende operanti in vari settori e potrebbe essere utilizzati per facilitare attacchi mirati verso queste aziende.

Fastweb si è immediatamente adoperata per supportare le investigazioni, identificare e mettere in i dispositivi vulnerabili, operazione conclusasi con successo in appena 7 giorni lavorativi.

ISP

Le indagini hanno portato alla scoperta di una situazione allarmante e ben peggiore di quella inizialmente ipotizzata. “Fastweb ha circa 40.000 dispositivi, ma solo il 4% ha credenziali predefinite, per una potenza di uscita compreso tra 1,7 e 17 Gbps (con una copertura media in fibra ottica). “

Ben fatto Fastweb!

Purtroppo altri provider non sono stati altrettanto pronti ad affrontare la minaccia, tutti i dispositivi della BT Italia risultano ancora vulnerabili.

Questi dispositivi, così come quelli di recente messi in sicurezza, possono essere abusati da gruppi di criminali per varie tipologie di attacco, come attacchi DDoS oppure re-direzione del traffico verso domini compromessi utilizzati per servire malware.

 

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This