I criminali informatici hanno silenziosamente compromesso oltre 14.000 dispositivi in tutto il mondo, utilizzandoli per costruire un nuovo tipo di arma informatica da cui è eccezionalmente difficile difendersi. L’operazione, descritta in dettaglio in un recente rapporto della società di sicurezza Lumen, si basa su una rete decentralizzata di router infetti, principalmente modelli Asus, per instradare il traffico dannoso ed eludere il rilevamento.
Come funziona la botnet
Il malware, soprannominato “KadNap”, opera attraverso un sistema peer-to-peer. Ciò significa che non vi è alcun server centrale da spegnere, rendendo la botnet altamente resiliente. Gli aggressori prendono il controllo dei dispositivi connessi a Internet (router, dispositivi intelligenti, ecc.) e li collegano tra loro per lanciare attacchi DDoS (Distributed Denial of Service). Questi attacchi sovraccaricano di traffico i siti Web e i servizi online, portandoli di fatto offline.
Il vantaggio principale di KadNap è la sua capacità di mimetizzarsi. Instradando il traffico attraverso normali router domestici, gli aggressori aggirano i filtri di sicurezza convenzionali. Per l’utente medio, l’unico segno di infezione potrebbe essere una velocità Internet leggermente più lenta.
Portata e impatto globali
La maggior parte dei dispositivi infetti si trova negli Stati Uniti, ma KadNap si è diffuso anche nel Regno Unito, in Australia, Brasile, Russia e in tutta Europa. Il rapporto evidenzia una tendenza in crescita: man mano che sempre più dispositivi si connettono all’Internet delle cose (IoT), aumentano le opportunità di sfruttamento.
Gli autori delle minacce stanno ora costruendo botnet su larga scala appositamente per dirottare questi dispositivi vulnerabili. Il rapporto di Lumen sottolinea questo pericolo: “Poiché la società moderna fa sempre più affidamento su dispositivi Internet of Things (IoT) esposti a Internet, le opportunità per gli autori malintenzionati di sfruttare le vulnerabilità continuano ad abbondare”.
La connessione del doppelgänger
I bot KadNap vengono venduti tramite un servizio chiamato Doppelganger, che consente agli utenti di sfruttare i dispositivi dirottati per varie attività dannose. Questi includono attacchi di forza bruta e campagne di sfruttamento altamente mirate. Ogni indirizzo IP associato a questa botnet rappresenta un rischio significativo e persistente per organizzazioni e individui.
“La loro intenzione è chiara: evitare di essere scoperti e rendere difficile la protezione dei difensori”, conclude Lumen.
Questo tipo di criminalità informatica dimostra uno spostamento verso metodi più sofisticati e non tracciabili. Le misure di sicurezza tradizionali sono sempre più inefficaci contro le botnet decentralizzate che sfruttano i dispositivi di uso quotidiano. L’ascesa di KadNap sottolinea l’urgente necessità di pratiche di sicurezza informatica più forti e di un rilevamento proattivo delle minacce.
