Ecco come gli Hacker Usano i Router per Nascondersi nella Rete

In un report pubblicato pochi giorni fa, Akamai ha rivelato che gli hackers hanno sfruttato almeno 65000 router per creare una rete clandestina di proxy, da utilizzare in svariate attività.

Almeno un gruppo di cyber spionaggio, denominato Inception Framework, avrebbe utilizzato una falla nel protocollo Universal Plug and Play (UPnP), per creare una rete di proxy utilizzata per nascondere la vera identità degli hacker.

Il protocollo UPnP serve per semplificare l’interconnessione tra dispositivi in una rete privata, in particolar modo applicazioni multimediali o di gioco. La complessità della gestione dei canali di comunicazione necessari per questo tipo di applicazioni, viene nascosta da questo protocollo che non necessita di configurazione.

Le vulnerabilità di questo protocollo sono note da tempo, ma in precedenza non erano mai state utilizzate in maniera così attiva e diffusa (o perlomeno, gli hacker non erano mai stati scoperti).

Questo tipo di attacco, denominato UPnProxy, che consiste nell’iniettare configurazione NAT all’interno di un router, permette agli hacker di effettuare due tipi di attacchi.

Nel primo caso, la manipolazione del NAT, permette di trasformare un router in un proxy, utile per nascondere l’indirizzo IP reale; nel secondo caso, è possibile configurare il NAT per rendere accessibile agli hacker gli host della rete interna, come per esempio l’indirizzo privato del router stesso.

In quest’ultimo caso, gli hacker avrebbero accesso al pannello di amministrazione del dispositivo di rete, cosa normalmente non possibile attraverso l’interfaccia di rete pubblica.

Secondo Akamai, oltre ai 65000 router coinvolti nell’attacco, esisterebbero almeno 4 milioni di dispositivi potenzialmente vulnerabili, ovvero che espongono diversi servizi UPnP sull’interfaccia WAN. I modelli di router vulnerabili sono 400, da 73 diversi produttori: praticamente la maggior parte dei dispositivi disponibile sul mercato.

Se non strettamente necessario, il protocollo dovrebbe essere disabilitato.