Oltre 600mila router di un unico fornitore di servizi Internetsono stati infettati da un virus
Oltre 600mila router di un unico fornitore di servizi Internet sono stati infettati da un virus, dopo un'irruzione digitale da parte di malintenzionati non ancora identificati.
attacchi-hacker-ransomware.jpg

Ancora nessun commento

Oltre 600mila router di un unico fornitore di servizi Internet sono stati infettati da un virus, dopo un’irruzione digitale da parte di malintenzionati non ancora identificati. Secondo i ricercatori di sicurezza di Black Lotus Labs, il grave attacco informatico (che all’epoca non era stato segnalato) è avvenuto tra il 25 e il 27 ottobre 2023 e ha reso questi dispositivi definitivamente inutilizzabili, necessitando una sostituzione hardware. 

I malintenzionati hanno specificatamente preso di mira due modelli di router ActionTec, il T3200 e il T3260. Non è chiaro come sia stato possibile l’accesso ai dispositivi, ma non risultano vulnerabilità su questi modelli nel database OpenCVE. Questo suggerisce che gli attaccanti potrebbero aver sfruttato credenziali deboli o aver esposto le interfacce amministrative.

Si sospetta che Windstream, un ISP con base in Arkansas, sia stato la vittima di questo attacco, ma la compagnia non ha rilasciato dichiarazioni. Black Lotus ha rivelato che gli hacker hanno utilizzato Chalubo, un trojan di accesso remoto noto dal 2018. Questo malware dispone di caratteristiche avanzate come crittografia nelle comunicazioni con i suoi server di comando e controllo, attacchi di tipo distributed-denial-of-service (DDoS), e l’esecuzione di script Lua sui dispositivi infettati. Curiosamente, le funzionalità DDoS non sono state sfruttate dagli aggressori.

Nonostante le implicazioni di questi attacchi sulle infrastrutture critiche, i ricercatori hanno escluso collegamenti con il gruppo Volt Typhoon della Cina, noto per infettare router, e Sandworm (o SeaShell Blizzard) un altro gruppo noto per attacchi distruttivi originario della Russia.

Questo tipo di attacco ricorda un precedente caso chiamato AcidRain, attribuito a Sandworm, che era stato utilizzato contro i modem KA-SAT in Ucraina prima dell’invasione russa. Tuttavia, questo episodio specifico è stato confinato a un solo ASN (autonomous system number) e Black Lotus ha espresso la sua sicurezza nel ritenere l’aggiornamento firmware dannoso un atto deliberato per causare un’interruzione di servizio.

Facebook
Twitter
LinkedIn
Pinterest
Reddit
Tumblr
Telegram
WhatsApp
Print
Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

ALTRI ARTICOLI

Assicura la precisione dei tuoi bilanci con Caesar Traduzioni

QuiFinanza Redazione QuiFinanza, il canale verticale di Italiaonline dedicato al mondo dell’economia e della finanza: il sito di riferimento e di approfondimento per risparmiatori, professionisti e PMI. Quando si tratta di traduzione dei bilanci e di documenti aziendali, precisione e affidabilità sono essenziali e indispensabili. La necessità di comunicare con partner stranieri, di partecipare a…

Leggi »

In arrivo le graduatorie per il bonus psicologo: come mettersi in regola

Il bonus psicologo è un importante contributo introdotto dal Ministero della Salute nel novembre 2023 per sostenere le spese di psicoterapia. Questa iniziativa, finanziata con fondi appositi stanziati nel 2023, mira a facilitare l’accesso alle cure psicologiche per i cittadini in difficoltà economica. La risposta è stata davvero notevole, con oltre 400.505 richieste presentate entro…

Leggi »

Mutui in calo grazie allo spread? Cosa succede ora a chi ha il tasso variabile

Nell’odierna dinamica dei mercati finanziari, l’andamento positivo della Borsa italiana si accompagna a una stabilità dello spread tra i titoli di Stato italiani (Btp) e quelli tedeschi (Bund). Questo scenario, delineato dall’apertura dei mercati telematici, riveste particolare interesse per gli investitori e per coloro che hanno in corso mutui o stanno valutando l’opportunità di sottoscriverne…

Leggi »