Il gruppo MalwareMustDie ha rilasciato un report risalente alla scorsa settimana, che riguarda molto da vicino noi italiani, ma non solo. Il gruppo di ricerca ha rinvenuto traccia di una banda di hacker informatici che ha raccolto un numero davvero impressionante di credenziali di accesso ai server e, si ipotizza, anche numeri di carta di credito da siti web in tutto il mondo, tramite l’uso di una tecnica definita SSH TCP forwarding.
Si tratta di una strategia che conta sull’utilizzo di credenziali di accesso prelevate da un utente legittimo già loggato ad una connessione SSH che, in questo caso, inoltra il pacchetti sul protocollo TCP tramite proxy, spiegano gli esperti di MMD. Il team di ricerca entra nel merito della questione fornendo ulteriori dettagli:
“La definizione di questa minaccia è abuso di uso legittimo dell’SSH TCP forward, eseguendo un attacco automatico o manuale ad account SSH deboli di dispositivi remoti (siano essi server o gadget IoT), con password o credenziali di un account scoperte via brute-force, per lanciare set malevoli di attacchi attraverso la tecnica TCP Direct Forward sulla funzionalità SSH Forwarding utilizzando questa connessione SSH sui servizi remoti target”
Lo studio di questo nuovo gruppo di hacker digitali ha consentito di individuare un nuovo metodo d’attacco, già utilizzato attivamente in tutto il mondo. La compromissione della connettività SSH su una struttura vulnerabile consente agli aggressori di eseguire diverse tipologie di attacco ai device interconnessi e, tra queste: richieste HTTP per eseguire exploit su un web server, richieste di metodi HTTP non valide, richieste HTTP per il brute force di credenziali d’accesso legittime degli utenti su un sito, richieste HTTP verso siti compromessi per ricevere la conferma della riuscita delle attività sospette, richieste SMTP su server email.
La tecnica è stata testata con successo su siti di importanza rilevante, come: PayPal, LinkedIn, Facebook, Gmail, Royal Bank, AT&T, Playstation Network, eBay, Ubisoft, Sony Entertainment Network. In tal caso, i trasgressori sono riusciti a garantirsi una grande mole di dati dalle email provenienti dai servizi Gmail, Yahoo, AOL, Microsoft, Mail.ru, Yandex. Nello specifico, sono stati trafugati dati da un servizio ben specifico utilizzandoli poi per scoprire altre credenziali di accesso con attacchi di tipo manuale o automatico. Tra le vittime in gioco vi sono nomi davvero importanti.
La collaborazione degli esperti di sicurezza Pierluigi Paganini di Security Affairs.co e Odisseus ha rivelato la lista dei primi servizi italiani ad aver subito l’attacco. La lista completa, secondo quanto riferito, sarà condivisa con le autorità italiane per consentire ulteriori indagini. Per il momento, possiamo dirvi che tra le aziende coinvolte vi sono:
- Alma Mater Studiorum Universita di Bologna
- Siae
- Ansaldo S.p.A. WAN
- Telecom Italia S.p.A
- Universita degli Studi di Milano
- FAO Food and Agriculture Organization of the United Nations
- Bankadati Servizi Informatici Soc. Con S.p.A.
- Intesa Sanpaolo Group Services S.c.p.A.
- Cedecra Informatica Bancaria SRL
- DADAnet Italia, BANCA CARIGE S.p.A
- Italiaonline S.p.A.
- Tiscali SpA
- Fincantieri Cantieri Navali Italiani
- Server Plan S.r.l.
- Banca Popolare di Milano
- Telecom Italia S.p.A.
- FastWeb’s Main Location
Una trattazione più esaustiva è visionabile all’interno del lungo post rilasciato da MalwareMustDie tramite il suo blog. Una questione che molto probabilmente coinvolge a macchia d’olio un gran numero di portali nazionali ed internazionali. Da parte nostra non mancheranno di certo ulteriori aggiornamenti a seguito del rilascio pubblico dei resoconti sulle indagini. Che cosa ne pensi di questa faccenda? Che cosa bisognerebbe fare per arginare il fenomeno hacker? A te tutti i commenti.
LEGGI ANCHE: Cosa ci fa un malware Windows in 132 applicazioni Android?
