Unit 42, il team di threat intelligence di Palo Alto Networks, ha presentato una nuova ricerca che conferma l’identificazione di una variante aggiornata di Gafgyt che mira a infettare i dispositivi IoT, e in particolare i router wireless small office/home. Sarebbero in tutto il mondo oltre 32 mila i dispositivi WiFi potenzialmente esposti a queste vulnerabilità.
Una scoperta resa possibile dalla recente acquisizione di Zingbox da parte di Palo Alto Networks, che ha permesso a Unit 42 di ottenere maggiore visibilità nel panorama delle minacce alla sicurezza IoT.
Entrando più nello specifico del report, sono come accennato più di 32 mila i router WiFi potenzialmente vulnerabili: Unit 42 ha individuato campioni aggiornati di Gafgyt che si avvalgono di exploit che sfruttano note vulnerabilità (alcune risalgono a più di cinque anni fa) nei device IoT in tutto il mondo, in particolare router wireless per la casa e per il piccolo ufficio di noti brand, tra cui Zyxel, Huawei e Realtek.
“A partire dal 2016, abbiamo osservato che i router wireless sono uno dei dispositivi IoT più comuni nelle organizzazioni di tutti i settori, rendendoli obiettivi per le botnet IoT, degradando la rete di produzione e la reputazione degli indirizzi Ip dell’azienda interessata”, spiega Unit 42 in una nota. “Inoltre, le botnet ottengono l’accesso ai dispositivi IoT utilizzando exploit invece dei tipici attacchi a dizionario (in cui la botnet tenta di accedere al dispositivo tramite servizi non sicuri come telnet). Ciò consente alla botnet di diffondersi più facilmente attraverso i dispositivi IoT anche se gli amministratori hanno disabilitato i servizi non sicuri e hanno applicato password di accesso complesse”.
Una minaccia specificamente indirizzata ai gamer
Gafgyt è una botnet che è stata scoperta nel 2014 ed è diventata popolare per il lancio di attacchi DDoS (Distributed denial-of-service) su larga scala. Da allora, molte varianti si sono evolute e sono state utilizzate per colpire diversi tipi di dispositivi in diversi settori. Come è noto, esiste un forte legame tra botnet e server di gioco. E non a caso il malware punta soprattutto ai gamer: i router compromessi vengono impiegati per colpire diversi server di gaming, soprattutto quelli su cui gira Valve Source utilizzato per titoli di successo, come Half-Life e Team Fortress 2. Questa variante aggiornata di Gafgyt, pur competendo con botnet simili vendute su Instagram, non è disponibile sulla piattaforma social: il campione di malware conteneva username Instagram relativi a persone che commercializzano “Botnet-as-a-Service” in una fascia di prezzo da 8 a 150 dollari.
Quella di Gafgyt, d’altra parte, è indicativa di un più ampio panorama di minacce: la ricerca Palo Alto Networks conferma che il 41% dei dispositivi IoT continua a utilizzare default password, e il 98% del traffico sui device IoT non è cifrato.