C’era anche l’Italia, insieme alla Germania, agli Stati Uniti e all’Egitto, fra gli obiettivi di una campagna cybercriminale che ha tentato di ricalcare i fasti di Mirai, la botnet che nel 2016 ha saputo mettere KO buone porzioni del Web con attacchi DDoS basati sulla produzione automatica di richieste di connessione. La botnet aveva fatto leva, infettandoli, su decine di milioni di router WiFi domestici, ma anche su webcam e dispositivi di domotica. Ora da Check Point arriva la notizia di un tentativo, fortunatamente fallito, di usare una nuova variante di Mirai e di farlo sfruttando una vulnerabilità insita in un modello di router domestico di Huawei, l’HG532.
La vulnerabilità era di tipo zero-day, ovvero ancora non nota e non sfruttata fino a quel momento. L’intervento di Check Point è stato provvidenziale: la società di sicurezza ha segnalato il problema a Huawei, che ha saputo rapidamente risolvere il problema e informare i propri clienti. Nel frattempo, però, i criminali sono riusciti a eseguire centinaia di migliaia di tentativi di exploit.
“Il 23 novembre”, spiega Check Point, “i nostri sensori e honey-pot hanno generato un volume sospetto di allerte di sicurezza. Dopo ulteriori indagini, i nostri analisti hanno osservato numerosi attacchi che sfruttavano una vulnerabilità sconosciuta su dispositivi Huawei HG532 in varie località del mondo, specialmente negli Stati Uniti, in italia, in Germania e in Egitto”.
La distribuzione dei tentativi di exploit (Immagine: Check Point)
Più che un difetto tecnologico, nei router di Huawei si nascondeva un errore di implementazione di un protocollo, l’Universal Plug and Play (UPnP), inteso a semplificare i collegamenti fra i dispositivi e la rete domestica o aziendale. Tale protocollo consente di eseguire alcune procedure di configurazione, aggiornamenti firmware e altre attività direttamente dalla rete interna. Le modalità di implementazione dell’UPnP sul modello l’HG532, sottolinea Check Point, erano tali da esporre i router ad attacchi.
Una volta infettato, il dispositivo può essere controllato da remoto e modificato con codice software malevolo. Nel caso specifico, il malware individuato è Okiru/Satori, cioè una variante aggiornata di Mirai, creata probabilmente da un gruppo hacker “amatoriale”, tale Nexus Zeta. È stata una sorpresa per la stessa Check Point scoprirlo: inizialmente la società aveva ipotizzato la regia di criminali informatici professionisti o addirittura manovrati da qualche governo nazionale. A smascherare i membri di Nexus Zeta è stata, banalmente, la loro attività su alcuni forum in cui si chiedevano consigli su come realizzare un attacco basato su vulnerabilità di oggetti connessi.