Gang cybercriminale prende di mira server e servizi italiani: numerose credenziali a rischio

Gang cybercriminale prende di mira server e servizi italiani: numerose credenziali a rischio

MalwareMustDie ha scoperto l'operato di una gang cybercriminale che ha utilizzato un'avanzata tecnica per aggredire diversi siti e servizi web in tutto il mondo. A rischio in Italia 140 infrastrutture, fra cui società e banche ben note

di Nino Grasso pubblicata il , alle 17:31 nel canale Sicurezza
 

È dello scorso fine settimana il primo report del 2017 del gruppo MalwareMustDie e l'annuncio riguarda direttamente noi italiani, e non solo. Il gruppo di ricerca malware ha scoperto una "gang cybercriminale" che ha raccolto le credenziali e, forse, anche i numeri di carta di credito di siti web di tutto il mondo abusando di una tecnica definita SSH TCP forwarding: un utente legittimo che ha privilegio di autenticazione su una connessione SSH già stabilita può inoltrare pacchetti sul protocollo TCP all'interno di un meccanismo di proxy, spiega MMD.

Nello specifico: "La definizione di questa minaccia è abuso di uso legittimo dell'SSH TCP forward, eseguendo un attacco automatico o manuale ad account SSH deboli di dispositivi remoti (siano essi server o gadget IoT), con password o credenziali di un account scoperte via brute-force, per lanciare set malevoli di attacchi attraverso la tecnica TCP Direct Forward sulla funzionalità SSH Forwarding utilizzando questa connessione SSH sui servizi remoti target", si legge sul sito dei ricercatori che hanno svelato la minaccia.

Seguendo l'operato di questo gruppo di cybercriminali MMD ha individuato una nuova metodica d'attacco che è già stata utilizzata attivamente in tutto il mondo. Compromettendo la connettività SSH di una infrastruttura vulnerabile gli aggressori possono eseguire diversi tipi di attacchi ai dispositivi interconnessi: richieste HTTP per eseguire exploit su un web server, richieste di metodi HTTP non valide, richieste HTTP per il brute force di credenziali d'accesso legittime degli utenti su un sito, richieste HTTP verso siti compromessi per ricevere la conferma della riuscita delle attività sospette, richieste SMTP su server email.

La tecnica è stata testata su diversi siti estremamente popolari, come PayPal, LinkedIn, Facebook, Gmail, Royal Bank, AT&T, Playstation Network, eBay, Ubisoft, Sony Entertainment Network e, sempre secondo MMD, gli aggressori sono riusciti a raccogliere una grande quantità di e-mail provenienti da servizi come Gmail, Yahoo, AOL, Microsoft, Mail.ru, Yandex. Rubando i dati da un servizio, gli aggressori poi puntano a scoprire le credenziali d'accesso sugli altri con attacchi di tipo manuale o automatico, e fra le vittime ci sono nomi decisamente interessanti.

Pierluigi Paganini di Security Affairs.co, con l'aiuto dell'esperto di sicurezza Odisseus, ha rivelato una prima lista dei servizi italiani che sono stati presi di mira dagli aggressori con la nuova metodologia. La lista completa (quella che riportiamo di seguito è solo parziale) verrà "condivisa con le autorità italiane per consentire ulteriori indagini": Alma Mater Studiorum Universita di Bologna, Siae, Ansaldo S.p.A. WAN, Telecom Italia S.p.A., Universita degli Studi di Milano, FAO Food and Agriculture Organization of the United Nations, Bankadati Servizi Informatici Soc. Cons. p. A., Intesa Sanpaolo Group Services S.c.p.A., Cedecra Informatica Bancaria SRL, DADAnet Italia, BANCA CARIGE S.p.A., Italiaonline S.p.A., Tiscali SpA, Fincantieri Cantieri Navali Italiani, Server Plan S.r.l., Banca Popolare di Milano, Telecom Italia S.p.A., FastWeb’s Main Location.

Per chi volesse approfondire l'argomento non possiamo che consigliare la lettura del lungo post di MMD, per una questione che probabilmente rimbalzerà sul web nel prossimo futuro. Non mancheremo di segnalare le eventuali evoluzioni della vicenda, non appena saranno rilasciati i risultati delle indagini in corso da parte delle autorità italiane.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
floc06 Marzo 2017, 19:38 #1
non trovo nulla di particolarmente originale, usano ssh compromessi come proxy. Peraltro la traduzione maccheronica fa assomigliare il tutto alla famosa superc.azzola...
hexaae06 Marzo 2017, 20:19 #2
con password o credenziali di un account scoperte via brute-force

OOOOOOkey....
Sandro kensan06 Marzo 2017, 21:33 #3
Server Plan: mi ero informato su questo hosting ma poi non ho più fatto nulla. Speriamo il mio hosting non abbia di questi problemi anche se sinceramente non ho capito molto.
Opteranium07 Marzo 2017, 00:20 #4
A leggere la lista par che abbiano colpito praticamente ovunque. OK, nuovo reset di tutte le pw (che scatole..)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^