Il malware BrickerBot blocca tutti i modem della fibra Wind e porta alla luce una falla enorme

Da diversi giorni la rete in fibra di Wind è completamente bloccata in quanto i modem sono risultati tutti inutilizzabili a causa di un BrickerBot, un malware sviluppato appositamente allo scopo di metterli fuori uso. Le vulnerabilità negli apparati di rete sono, purtroppo, un aspetto piuttosto comune. Tuttavia quando si tratta di BrickerBot significa che siamo di fronte a falle talmente grandi anche solo da immaginare.
Da qualche giorno, infatti, gli utenti delle connessioni in Fibra di Wind-Infostrada segnalano guasti che sono progressivamente aumentati di numero fino a coinvolgere praticamente tutti i dispositivi che sfruttano l’offerta più veloce dell’operatore. L’ipotesi iniziale era quella di un aggiornamento andato male … Almeno fino a quando in rete non è apparso il seguente post:
La falla nei modem
Evidentemente i modem forniti dall’operatore, impossibili da sostituire a causa della pratica del blocco del modem che non consente di impiegare un modem qualsiasi per usufruire delle offerte (imponendo quindi l’acquisto o il noleggio), hanno la porta 8023 aperta alle connessioni Telnet provenienti dall’esterno. In questo modo è sufficiente inserire le credenziali di autenticazione admin/admin per ottenere libero accesso.
Come è stata sfruttata
Tuttavia c’è chi si è tempestivamente accorto della falla ed ha pensato bene di metterci una drastica pezza, attraverso un malware chiamato BrickerBot (ossia un robot che blocca i dispositivi), iniziando a scansionare la rete ed accedendo ai router vulnerabili per sovrascrivere il firmware con un codice casuale. Di conseguenza, tutti i router risultano adesso non più accessibili da remoto (impedendo così agli utenti di accedere ad Internet) e quindi da sostituire.
Non solo aspetti negativi …
L’intera vicenda, a primo impatto estremamente negativa a causa della necessità per gli utenti – rimasti senza connessione Internet – di sostituire i modem compromessi, ha comunque dei risvolti positivi.
In primo luogo poiché questa violazione ha comportato la chiusura della falla, impedendo così di esporre gli utenti alle mire dei cyber criminali. Infatti è piuttosto comune che i pirati informatici scandaglino la rete allo scopo di individuare dei dispositivi vulnerabili da sfruttare per sferrare i propri attacchi e, potenzialmente, ciò avrebbe potuto accadere anche questa volta. I router colpiti avrebbero infatti potuto entrare a far parte di una rete di dispositivi dediti alla creazione di bitcoin o di altre cripto valute simili per conto di criminali, semplici unità di memoria per contenuti scottanti, veri e propri “infiltrati” all’interno delle case al fine di rubare credenziali e altri dati sensibili … Pertanto il fatto che tutti i dispositivi siano stati bloccati rappresenta probabilmente la soluzione migliore per gli utenti che, pur sprovvisti di una connessione ad Internet, almeno sono al sicuro di fronte ad attacchi di questo genere.
Questa violazione costituisce una lezione della quale Wind (e tutti i provider in generale) dovrebbero far tesoro. Fornire dispositivi di rete non testati non è affatto una buona idea, soprattutto considerando che un controllo delle misure di sicurezza – commissionato ad una società specializzata – non ha certo costi astronomici.
In secondo luogo è più che lecito interrogarsi su cosa sarebbe successo se i modem non fossero stati violati … Wind se la sarebbe cavata con un semplice aggiornamento o sarebbe andata incontro a multe e sanzioni di altro genere? Senza dubbio il problema ha così ottenuto (grazie a chi ha deciso di farsi giustizia da solo) la visibilità che meritava ed un ingente danno economico è stato causato alla compagnia.
Infine va sottolineato come questo avvenimento potrebbe segnare un punto a favore nella campagna per l’effettiva liberalizzazione dei modem da usare per le connessioni.
Si tratta di un caso isolato o ci sono situazioni simili?
In conclusione, non è da sottovalutare come, nei giorni scorsi, sul sito di Tiscali sia comparso un avviso relativo ai problemi che molti utenti stanno riscontrando su modem non distribuiti da Tiscali e che, al momento, sembrano essere bloccati con sintomi simili a quelli ravvisati nei modem Nokia (provenienti dall’acquisizione di Alcatel/Lucent).