Un recente botnet di 13.000 dispositivi MikroTik rappresenta una minaccia significativa per la sicurezza globale. Questo botnet utilizza una rete globale di router MikroTik, molti dei quali sono stati compromessi a causa di vulnerabilità critiche, alcune delle quali derivano da firmware obsoleti o impostazioni di sicurezza malconfigurate[1][5].
Come Funziona il Botnet
Il botnet utilizza una rete globale di router MikroTik, molti dei quali sono stati compromessi a causa di vulnerabilità critiche. I malintenzionati hanno sfruttato queste vulnerabilità per installare script che consentono ai dispositivi compromessi di essere configurati come SOCKS proxy, strumenti che oscurano l’origine del traffico malizioso, rendendo più difficile identificare i responsabili[1][5].
La Campagna di Spam
La campagna di spam è stata lanciata con l’impersonificazione di DHL, inviando email fraudolente relative a fatture di spedizione. Gli indirizzi email contenevano soggetti come “Fattura 728” o “Tracking 432” e includevano allegati ZIP contenenti malware JavaScript. Una volta scaricati, i malware eseguivano uno script PowerShell per contattare un server di controllo (C2) collegato a precedenti attività sospette provenienti dalla Russia[1][5].
DNS Malconfigurazioni: Una Vulnerabilità Critica
La campagna ha sfruttato le malconfigurazioni dei record DNS, in particolare quelli del Sender Policy Framework (SPF). I record SPF sono progettati per verificare gli inviati autorizzati per un dominio, ma le malconfigurazioni hanno permesso agli attaccanti di falsificare i domini inviati, eludendo protezioni come DKIM e DMARC[1][5].
Impatto e Rischi
Con una rete di 13.000 dispositivi compromessi, il botnet è in grado di eseguire una gamma di attacchi informatici, inclusi:
- Attacchi DDoS: Sfondare i server con traffico per interrompere i servizi.
- Phishing e Spam: Lanciare campagne di email a larga scala per diffondere malware o rubare credenziali.
- Rubare i dati: Estrarre informazioni sensibili per la vendita o ulteriore sfruttamento.
- Cryptojacking: Sfruttare il potere di elaborazione dei dispositivi per minare criptovalute.
- Operazioni Proxy: Agire come un relay SOCKS4 per amplificare la scala degli attacchi informatici e nascondere l’origine del traffico malizioso[5].
Suggerimenti e Consigli per la Sicurezza
Per evitare di essere vittime di questo tipo di attacchi, è essenziale adottare misure proattive per garantire la sicurezza dei sistemi:
- Auditare le impostazioni DNS: Assicurarsi che SPF, DKIM e DMARC siano configurati correttamente. Utilizzare “-all” per limitare gli inviati non autorizzati.
- Aggiornare il firmware: Aggiornare regolarmente il firmware dei router per patchare le vulnerabilità.
- Disabilitare gli account amministrativi predefiniti: Disabilitare gli account amministrativi predefiniti e utilizzare password forti.
- Monitorare l’attività anomala: Configurare la monitoraggio continuo dei record DNS e del traffico email per segnalare segni di sfruttamento.
- Educare gli utenti: Rendere gli utenti consapevoli delle tentazioni di phishing e incoraggiare la scrutinio delle email sospette.
- Condurre test di penetrazione regolari: Valutare e fortificare i sistemi contro le minacce informatiche evolutive[5].
Il botnet di 13.000 dispositivi MikroTik rappresenta una minaccia significativa per la sicurezza globale, sfruttando malconfigurazioni dei record DNS per evitare le protezioni email e distribuire malware. È essenziale adottare misure proattive per garantire la sicurezza dei sistemi, comprese l’audit delle impostazioni DNS, l’aggiornamento del firmware, la disabilitazione degli account amministrativi predefiniti e il monitoraggio continuo dell’attività anomala. La vigilanza e l’educazione degli utenti sono fondamentali per prevenire attacchi informatici sempre più sofisticati.
Fonte: https://cybersecuritynews.com/botnet-malware-exploit-13000-mikrotik-device
