EternalSilence: hacker hanno usato malware rubato all'NSA per infettare 45 mila server

EternalSilence: hacker hanno usato malware rubato all'NSA per infettare 45 mila server

La società esperta in sicurezza e reti Akamai ha rilevato un'ingegnosa campagna malware che altera le configurazioni dei router domestici e quelli delle piccole aziende in modo che i criminali possano infettare i computer precedentemente isolati

di pubblicata il , alle 12:41 nel canale Sicurezza
Akamai
 

Gli hacker hanno raggiunto l'obiettivo tramite la tecnica definita UPnProxy, che si basa sullo sfruttamento delle vulnerabilità nei servizi UPnP di alcuni router al fine di alterare le tabelle NAT (Network Address Translation)

La nota società di sicurezza e di reti Akamai è venuta a conoscenza di una nuova infezione malware che nasce proprio dallo sfruttamento dei servizi UPnP per inserire regole di funzionamento del router aderenti allo scopo degli hacker. Si tratta di regole che funzionano come reindirizzamenti proxy consentendo a un malintenzionato esterno alla rete di connettersi alle porte SMB (139, 445) di dispositivi e computer connessi alla rete.

Secondo Akamai, 45 mila server sono stati già violati in questa campagna, con 1,7 milioni di dispositivi informatici esposti alla vulnerabilità. Gli hacker, infatti, sarebbero riusciti a creare una voce NAT personalizzata, definita "galleta silenciosa" (Silent Cookie in inglese), sui 45 mila router in questione.

Ci sono ancora alcuni lati oscuri nella vicenda: ad esempio, Akamai non sa come gli hacker hanno attaccato i router. Suppone, però, che lo sfruttamento del noto exploit EternalBlue abbia giocato un ruolo rilevante. EternalBlue è un malware sviluppato dall'agenzia di sicurezza nazionale degli Stati Uniti NSA, sul quale sono già stati basati devastanti attacchi ransomware come WannaCry e Petya.

Akamai ritiene, poi, che gli hacker abbiano sviluppato una variante di EternalBlue che hanno chiamato EternalRed, capace di infettare i sistemi Linux tramite Samba, l'implementazione del protocollo SMB per Linux, mentre l'exploit originale è per Windows.

"Le recenti analisi lasciano intendere che questi aggressori sono opportunisti", si legge nel report di Akamai. "L'obiettivo qui non è un attacco mirato: è un tentativo di sfruttare un sistema collaudato che possa colpire una moltitudine di server nella speranza di raccogliere un pool di dispositivi precedentemente inaccessibile".

Si suggerisce, dunque, di disabilitare il servizio UPnP sui propri router o di dotarsi di un router di recente concezione che non utilizzi un'implementazione UPnP vulnerabile. Akamai definisce questa nuova campagna EternalSilence dalla contrazione di EternalBlue e di Silent Cookie. Nel report si leggono anche le istruzioni per individuare e rimuovere le voci NAT dannose.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
emiliano8403 Dicembre 2018, 13:29 #1
come sempre (purtroppo) e' solo questione di tempo
LukeIlBello03 Dicembre 2018, 13:35 #2
Originariamente inviato da: emiliano84
come sempre (purtroppo) e' solo questione di tempo


eh già, a questo punto mi chiedo quanto sia poco responsabile la scelta di MS di non includere patch per win8 e predecessori relativamente ai bug devastanti di spectre e meltdown
emiliano8403 Dicembre 2018, 13:41 #3
Originariamente inviato da: LukeIlBello
eh già, a questo punto mi chiedo quanto sia poco responsabile la scelta di MS di non includere patch per win8 e predecessori relativamente ai bug devastanti di spectre e meltdown


https://winbuzzer.com/2018/03/14/mi...ows-8-1-xcxwbn/

p.s.
ma poi cosa c'entra ms e windows in questa news?
Dane03 Dicembre 2018, 14:44 #4
per certi versi è quello che si "merita" chi lascia aperto upnp....
sbaffo03 Dicembre 2018, 16:17 #5
@ redazione
il link al report non va, o meglio dice che non ho il permesso spdi accederci.
Fix please.
Ryddyck03 Dicembre 2018, 16:24 #6
Originariamente inviato da: sbaffo
@ redazione
il link al report non va, o meglio dice che non ho il permesso spdi accederci.
Fix please.

Aprilo da qui https://blogs.akamai.com/sitr/
Kyo7203 Dicembre 2018, 17:24 #7
Questi criminali stanno diventando sempre piu' ingegnosi.
Gringo [ITF]05 Dicembre 2018, 09:28 #8
Fin che gli si mettono a disposizione le Backdoor di Stato, anche Spectre e Meltdown sono backdoors di stato per quanto se lo neghi, e le "Patch" software sono solo perchè le si possano facilmente aggirare.
Se poi la NSA non sa tenersi stretti i segreti e un altro discorso.
LukeIlBello05 Dicembre 2018, 10:27 #9
Originariamente inviato da: emiliano84
https://winbuzzer.com/2018/03/14/mi...ows-8-1-xcxwbn/

p.s.
ma poi cosa c'entra ms e windows in questa news?


non sono bone se non flashi il bios
tallines05 Dicembre 2018, 13:22 #10
Originariamente inviato da: Redazione di Hardware Upgrade
La società esperta in sicurezza e reti Akamai ha rilevato un'ingegnosa campagna malware che altera le configurazioni dei router domestici e quelli delle piccole aziende in modo che i criminali possano infettare i computer precedentemente isolati

Delinquenti da erase al 100%

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^