L’arma segreta utilizzata da Lizard Squad per sferrare l’attacco a Xbox Live e PlayStation Network durante il giorno di Natale sono stati router di fascia standard prontamente modificati. A riferirlo è Krebsonsecurity.com.
Definendo i membri anonimi di Lizard Squad “un gruppo di giovani teppisti”, Krebs dichiara che gli attacchi sarebbero stati orchestrati da una rete di computer non ancora scoperti, ai quali avrebbero avuto accesso tramite “migliaia di router hackerati”. Ma come fanno a esserne così sicuri? Semplice: anche Krebs ha subito un attacco da parte di Lizard Squad all’inizio del mese.
Krebs così afferma: “Nei primi giorni del 2015, KrebsOnSecurity è andato offline per via di una serie di attacchi DDoS.”
Il servizio booter (servizi Web che effettuano attacchi DDoS a prezzi molto bassi) — lizardstresser[dot]su — è ospitato presso un provider Internet in Bosnia, che è la patria di un gran numero di siti malevoli. Krebs ha detto di aver utilizzato gli indirizzi IP dell’host bosniaco per rintracciare la fonte della botnet di Lizard Squad. Inoltre, hanno trovato delle prove per collegarla a un noto, ma ancora “poco evoluto” malware che fece la sua prima apparizione nei primi mesi dell’anno scorso. In sostanza, tale malware prende il controllo dei router internet casalinghi e poi esegue una scansione della rete per individuare ulteriori dispositivi da “contaminare”.
In questo modo, ogni host infetto cerca di diffondere costantemente “l’infezione” a nuovi router domestici a cui non è stata cambiata la password di default (come admin/admin o root/12345″. La botnet non è composta solo da router, comunque; Krebs ha detto che un grande numero di router coinvolti avvalori la loro teoria su come si sia propagata.
Inoltre, avrebbe affermato che dietro gli attacchi contro Sony e Microsoft c’era dell’altro: potrebbero infatti essere stati un tentativo per pubblicizzare la loro botnet, di cui intendono vendere l’accesso a attraverso un portale online. Si accende dunque un campanello d’allarme, perché in tal modo chiunque potrebbe effettuare attacchi DDoS a qualsiasi IP a pagamento.
FONTE: Polygon