Come una sofisticata botnet potrebbe minacciare la sicurezza informatica globale attraverso dispositivi di rete comunemente usati.
Di recente, le agenzie federali internazionali hanno sollevato preoccupazioni significative per l’incolumità del panorama informatico globale, a seguito di un’allerta relativa all’abuso di dispositivi Ubiquiti EdgeRouters da parte del noto gruppo hacker APT28. Questa minaccia è emersa sulla scia della cooperazione internazionale che ha portato alla neutralizzazione della botnet MooBot, specializzata nell’infezione di questi particolari dispositivi di rete.
La botnet MooBot ha destato particolare interesse per le modalità di attacco adottate: utilizzare router compromessi per creare pagine di phishing e raccogliere credenziali, coinvolgendo infrastrutture critiche in diversi paesi, inclusi Stati Uniti, Italia e Repubblica Ceca. Questi attacchi di hacking di router, che avevano come obiettivi i dispositivi con password deboli, hanno consentito l’installazione di trojan e malware, aprendo pericolosi varchi alla raccolta di dati sensibili e al controllo della navigazione degli utenti.
Una volta ottenuto l’accesso ai router, APT28 si è servita di script bash e binari ELF per estrapolare ulteriori dati e perpetrare attività di phishing su vasta scala. È stata altresì segnalata l’esecuzione di una vulnerabilità critica di Microsoft Outlook, attraverso la quale è possibile sottrarre hash NTLM e condurre attacchi furtivi senza la necessità di interazione diretta con la vittima.
Il ruolo della backdoor MASEPIE
Il cuore dell’operazione di APT28 sembra essere stata una backdoor denominata MASEPIE, codificata in Python e utilizzata per eseguire comandi a distanza tramite i router compromessi. Questi ultimi si trasformavano così in ponti di comando e controllo (C2), sfruttati per manovrare l’infrastruttura informatica delle vittime. In risposta a queste scoperte, è stata raccomandata alle organizzazioni l’attuazione di una serie di misure di sicurezza: dal ripristino dei router alle impostazioni di fabbrica, all’aggiornamento del firmware e alla revisione delle password.
La segnalazione di SSD Secure Disclosure di luglio 2023 ha contribuito a sollevare ulteriori questioni sulla sicurezza del firmware dei dispositivi Ubiquiti EdgeRouter e AirCube, evidenziando la necessità di aggiornamenti firmware per evitare esecuzioni di codice arbitrario sui dispositivi ancora non protetti adeguatamente.
La botnet MooBot è stata efficacemente repressa nel febbraio 2024 grazie a un’operazione congiunta delle forze dell’ordine internazionali, che ha visto la disinfestazione del malware da un elevato numero di dispositivi router sia domestici che aziendali, mitigando attivamente la minaccia.
Le recenti evoluzioni del panorama delle minacce informatiche richiamano con urgenza l’attenzione sulla responsabilità di ogni utente nel mantenere aggiornati i propri sistemi e nel seguire le buone pratiche di sicurezza informatica, in quanto la collaborazione e la consapevolezza collettive emergono come imprescindibili nella lotta contro le cyber-minacce su scala globale.