Wind Tre ha riconosciuto un problema che da alcuni giorni si è verificato su apparati Nokia in dotazione ad alcune migliaia di clienti Infostrada. L’azienda ha spiegato che provvederà a sostituire nei prossimi giorni tutti i modem che hanno subìto tale guasto. Il “guasto” al quale si riferisce l’operatore è a quanto sembra opera di un malware.
Inizialmente molti utenti che si sono ritrovati con il modem inutilizzabile hanno pensato a un aggiornamento firmware finito male. Si è scoperto in seguito (ne parla qui il sito Securityinfo) che in realtà si è trattato di un attacco malware, portato a termine con facilità perché i modem – non sostituibili con altri modelli per la discutibile pratica che lega il dispositivo all’operatore – hanno la porta 8023 aperta alle connessioni, sfruttabile per le comunicazioni con Telnet dall’esterno.
In pratica è possibile accedere al modem da remoto usando semplicemente “Admin” come nome utente e “Admin” come password. Cybercriminali non identificati hanno pensato di sfruttare la falla scandagliando la rete con BrickerBot, un bot in grado di danneggiare in maniera irreparabile dispositivi di rete mediante attacchi di tipo Permanent Denial-of-Service (PDoS), attacchi conosciuti in alcuni ambienti anche come “phlashing” in grado di danneggiare il sistema al punto che diviene necessario reinstallare il firmware o sostituire completamente l’hardware.
BrickerBot tenta di penetrare nei dispositivi attaccando a forza bruta le credenziali di amministrazione via Telnet; nel caso dei modem Wind Tre dei clienti Infostrada è stato come già detto facile attaccarli in serie, essendo le credenziali di accesso quelle impostate per default dal produttore (admin, admin). Una volta ottenuto l’accesso al dispositivo, BrickerBot lancia una serie di comandi Linux mirati a danneggiare il firmware, interrompere la connettività Internet, minare le capacità di elaborazione del sistema e cancellare tutti i file sul dispositivo. Il malware scrive dati random danneggiaando le memorie flash del modem, disabilita vari servizi e trasforma in pratica il dispositivo in un inutile e costoso fermacarte.
Del problema dei modem Infostrada resi inutilizzabili sentiremo ancora parlare, nel frattempo alcuni sperano che l’attacco servirà a Wind Tre e altri provider in generale affinché adottino misure di sicurezza che non dovrebbero rappresentare un problema per aziende di questo livello. Ora infatti l’operatore è costretto a sostituire i modem colpiti e risarcire gli abbonati per collegamento bloccato e disservizi, esborsi che potevano essere evitati con un minimo di investimenti e attenzione sul versante sicurezza.