EternalSilence: hacker hanno usato malware rubato all'NSA per infettare 45 mila server

EternalSilence: hacker hanno usato malware rubato all'NSA per infettare 45 mila server

La società esperta in sicurezza e reti Akamai ha rilevato un'ingegnosa campagna malware che altera le configurazioni dei router domestici e quelli delle piccole aziende in modo che i criminali possano infettare i computer precedentemente isolati

di pubblicata il , alle 12:41 nel canale Sicurezza
Akamai
 

Gli hacker hanno raggiunto l'obiettivo tramite la tecnica definita UPnProxy, che si basa sullo sfruttamento delle vulnerabilità nei servizi UPnP di alcuni router al fine di alterare le tabelle NAT (Network Address Translation)

La nota società di sicurezza e di reti Akamai è venuta a conoscenza di una nuova infezione malware che nasce proprio dallo sfruttamento dei servizi UPnP per inserire regole di funzionamento del router aderenti allo scopo degli hacker. Si tratta di regole che funzionano come reindirizzamenti proxy consentendo a un malintenzionato esterno alla rete di connettersi alle porte SMB (139, 445) di dispositivi e computer connessi alla rete.

Secondo Akamai, 45 mila server sono stati già violati in questa campagna, con 1,7 milioni di dispositivi informatici esposti alla vulnerabilità. Gli hacker, infatti, sarebbero riusciti a creare una voce NAT personalizzata, definita "galleta silenciosa" (Silent Cookie in inglese), sui 45 mila router in questione.

Ci sono ancora alcuni lati oscuri nella vicenda: ad esempio, Akamai non sa come gli hacker hanno attaccato i router. Suppone, però, che lo sfruttamento del noto exploit EternalBlue abbia giocato un ruolo rilevante. EternalBlue è un malware sviluppato dall'agenzia di sicurezza nazionale degli Stati Uniti NSA, sul quale sono già stati basati devastanti attacchi ransomware come WannaCry e Petya.

Akamai ritiene, poi, che gli hacker abbiano sviluppato una variante di EternalBlue che hanno chiamato EternalRed, capace di infettare i sistemi Linux tramite Samba, l'implementazione del protocollo SMB per Linux, mentre l'exploit originale è per Windows.

"Le recenti analisi lasciano intendere che questi aggressori sono opportunisti", si legge nel report di Akamai. "L'obiettivo qui non è un attacco mirato: è un tentativo di sfruttare un sistema collaudato che possa colpire una moltitudine di server nella speranza di raccogliere un pool di dispositivi precedentemente inaccessibile".

Si suggerisce, dunque, di disabilitare il servizio UPnP sui propri router o di dotarsi di un router di recente concezione che non utilizzi un'implementazione UPnP vulnerabile. Akamai definisce questa nuova campagna EternalSilence dalla contrazione di EternalBlue e di Silent Cookie. Nel report si leggono anche le istruzioni per individuare e rimuovere le voci NAT dannose.

I migliori sconti su Amazon oggi
-3%

Lenovo, Notebook Portatile, V15 G4 IRU, Display 15,6" Full HD, Intel Core i5-13420H, Ram 16 GB DDR4, 512 GB SSD NVMe, Win 11 Pro, Libre Office, Preconfigurato

432.49 419.00 Compra ora
-8%

LEFANT M330Pro Robot Aspirapolvere Lavapavimenti con Mappatura, Navigazione dToF, Zona vietata, Evitamento ostacoli PSD, Aspirazione 5000Pa, 150 minuti, Pulizia programmata, Alexa/APP/WiFi,Nero

149.99 137.71 Compra ora
-3%

Lenovo, Notebook Portatile, Display 15,6" Full HD, Intel Core i5-13420H, Ram 24 GB DDR4, 1000 GB SSD NVMe, Pc Portatile Windows 11 Pro

514.99 499.00 Compra ora
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
LukeIlBello03 Dicembre 2018, 13:35 #1
Originariamente inviato da: emiliano84
come sempre (purtroppo) e' solo questione di tempo


eh già, a questo punto mi chiedo quanto sia poco responsabile la scelta di MS di non includere patch per win8 e predecessori relativamente ai bug devastanti di spectre e meltdown
Dane03 Dicembre 2018, 14:44 #2
per certi versi è quello che si "merita" chi lascia aperto upnp....
sbaffo03 Dicembre 2018, 16:17 #3
@ redazione
il link al report non va, o meglio dice che non ho il permesso spdi accederci.
Fix please.
Ryddyck03 Dicembre 2018, 16:24 #4
Originariamente inviato da: sbaffo
@ redazione
il link al report non va, o meglio dice che non ho il permesso spdi accederci.
Fix please.

Aprilo da qui https://blogs.akamai.com/sitr/
Kyo7203 Dicembre 2018, 17:24 #5
Questi criminali stanno diventando sempre piu' ingegnosi.
Gringo [ITF]05 Dicembre 2018, 09:28 #6
Fin che gli si mettono a disposizione le Backdoor di Stato, anche Spectre e Meltdown sono backdoors di stato per quanto se lo neghi, e le "Patch" software sono solo perchè le si possano facilmente aggirare.
Se poi la NSA non sa tenersi stretti i segreti e un altro discorso.
LukeIlBello05 Dicembre 2018, 10:27 #7
Originariamente inviato da: emiliano84
https://winbuzzer.com/2018/03/14/mi...ows-8-1-xcxwbn/

p.s.
ma poi cosa c'entra ms e windows in questa news?


non sono bone se non flashi il bios
tallines05 Dicembre 2018, 13:22 #8
Originariamente inviato da: Redazione di Hardware Upgrade
La società esperta in sicurezza e reti Akamai ha rilevato un'ingegnosa campagna malware che altera le configurazioni dei router domestici e quelli delle piccole aziende in modo che i criminali possano infettare i computer precedentemente isolati

Delinquenti da erase al 100%
icoborg27 Gennaio 2019, 15:03 #9
ho appena beccato una galleta silenciosa nel port forwarding sulla porta 135....

li mortacci loro...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^