Router infetti, la nuova arma dei cybercriminali: cosa sta succedendo

Il tuo router, il dispositivo che probabilmente non guardi da mesi, potrebbe in questo momento essere controllato da criminali informatici. Non è fantascienza: secondo Tom's Hardware IT, una nuova ondata di botnet sta infettando migliaia di router in tutto il mondo, trasformandoli in nodi di una rete invisibile di attacco. La minaccia non è isolata: ricercatori di sicurezza hanno identificato almeno tre botnet diverse (KadNap, HEH e RondoDox) che operano simultaneamente, sfruttando vulnerabilità note e credenziali di default per diffondersi.

Chi

Le ricerche provengono da team di sicurezza di rilievo internazionale: Black Lotus Labs ha analizzato KadNap, il team Netlab di Qihoo 360 ha scoperto HEH, e ricercatori indipendenti hanno documentato RondoDox. Si tratta di esperti che monitorano costantemente il traffico di rete e i comportamenti sospetti dei dispositivi connessi. Palo Alto Networks ha inoltre segnalato attacchi tramite la botnet MooBot contro router D-Link. Questi team non rappresentano un'azienda singola, ma collaborano per identificare e documentare le minacce emergenti nel panorama della sicurezza informatica globale.

Cosa è successo

Tre botnet distinte stanno circolando contemporaneamente:

KadNap è la più sofisticata. Secondo i ricercatori di Black Lotus Labs, conta circa 14.000 router infetti al giorno (in aumento dai 10.000 di agosto), principalmente dispositivi Asus. Utilizza un'architettura peer-to-peer basata su Kademlia, una struttura di rete decentralizzata che usa tabelle hash distribuite per nascondere i server di comando e controllo. Questo design la rende estremamente resistente ai tentativi di rimozione tradizionali. Opera principalmente negli Stati Uniti, con presenze significative a Taiwan, Hong Kong e Russia.

HEH è una botnet ancora in fase di sviluppo, scoperta dal team Netlab di Qihoo 360. Si diffonde tramite attacchi brute force sul servizio Telnet (porte 23 e 2323) e può colpire praticamente qualsiasi dispositivo connesso. Supporta architetture CPU multiple: x86 (32/64 bit), ARM (32/64 bit), MIPS e PowerPC. Una volta installata, esegue attacchi DDoS e mining illegale di criptovalute.

RondoDox, scoperta a settembre 2024, sfrutta vulnerabilità specifiche nei registratori digitali TBK (modelli DVR-4104, DVR-4216) e nei router Four-Faith (F3x24, F3x36). Le vulnerabilità CVE-2024-3721 e CVE-2024-12856 sono state pubblicamente divulgate e vengono attivamente sfruttate. RondoDox trasforma i dispositivi in proxy stealth, permettendo ai criminali di mascherare il traffico di comando e controllo, lanciare attacchi DDoS su commissione e orchestrare truffe finanziarie.

Per completare il quadro, la botnet MooBot (una variante di Mirai) continua ad attaccare router D-Link sfruttando vulnerabilità risalenti al 2015 (CVE-2015-2051) e più recenti (CVE-2022-26258, CVE-2022-28958).

Tutte queste botnet sfruttano un denominatore comune: vulnerabilità note non ancora corrette e credenziali di default non cambiate. Una volta dentro, il malware si insedia in modo persistente, cancellando le tracce e modificando file di sistema per evitare la rimozione.

Perché è importante

Un router infetto non è solo un problema tecnico: è un'arma nelle mani dei criminali. Quando il tuo dispositivo viene compromesso, diventa parte di un'infrastruttura criminale globale. I danni concreti sono molteplici:

Per te come utente: il router infetto consuma risorse (la rete diventa più lenta), i tuoi dati passano attraverso un dispositivo controllato da criminali, e il tuo indirizzo IP viene usato per lanciare attacchi contro altri. Se qualcuno riceve un attacco DDoS, potrebbe tracciare il traffico fino a te.

Per le aziende: i router aziendali compromessi diventano porte d'accesso alla rete interna. I criminali possono rubare dati sensibili, installare ulteriore malware, o usare l'infrastruttura per attacchi mirati.

Per internet nel suo complesso: migliaia di dispositivi compromessi creano una capacità di calcolo distribuita enorme. Gli attacchi DDoS lanciati da botnet di questa scala possono abbattere siti web, servizi cloud e infrastrutture critiche. Il mining illegale di criptovalute sottrae risorse e aumenta i consumi energetici.

Ciò che rende questa ondata particolarmente preoccupante è il design sofisticato di KadNap. A differenza delle botnet tradizionali con server centralizzati (facili da individuare e disattivare), la struttura peer-to-peer decentralizzata rende quasi impossibile smantellare la rete. Anche se gli investigatori identificano e isolano alcuni nodi, la botnet continua a funzionare perché ogni dispositivo infetto conosce altri dispositivi infetti.

Il precedente più vicino è Mirai (2016), che infettò centinaia di migliaia di dispositivi IoT e lanciò attacchi DDoS record. Le botnet attuali sono ancora più sofisticate e difficili da tracciare.

Cosa aspettarsi

Ecco gli indicatori da osservare nei prossimi mesi:

Aggiornamenti firmware: i produttori (Asus, D-Link, TBK Digital, Four-Faith) rilasceranno patch di sicurezza. Il primo segnale di efficacia sarà se il numero di dispositivi infetti smette di crescere.

Azioni delle autorità: l'FBI e le agenzie europee di cybersecurity (come il CNAICERT italiano) probabilmente pubblicheranno avvisi e guide di rimozione. Potrebbero anche annunciare operazioni per disattivare i server di comando e controllo.

Evoluzione delle botnet: i creatori di KadNap, HEH e RondoDox continueranno a sviluppare varianti per eludere il rilevamento. Cercheranno nuove vulnerabilità e nuovi dispositivi target (stampanti, NAS, telecamere di sorveglianza).

Comportamento dei dispositivi: se noti che il tuo router è insolitamente caldo, le ventole girano costantemente, o la connessione è instabile senza motivo apparente, potrebbe essere infetto.

Domande tecniche aperte: come faranno i ricercatori a mappare completamente la rete peer-to-peer di KadNap? Quali altre vulnerabilità zero-day verranno scoperte? I produttori riusciranno a convincere gli utenti ad aggiornare i firmware vecchi?

Nel frattempo, le azioni immediate rimangono le stesse: accedi al pannello di amministrazione del tuo router (solitamente 192.168.1.1), cambia la password di default, controlla se è disponibile un aggiornamento firmware, e abilitare il firewall. Se il tuo router è molto vecchio (più di 5-6 anni), considera di sostituirlo: i produttori smettono di rilasciare patch di sicurezza dopo un certo periodo.