Siti Web > Notizie di Marketing e comunicazione

Consulta le nostre news di tecnologia ed informatica online !

EternalSilence: hacker hanno usato malware rubato all’NSA per infettare 45 mila server


Gli hacker hanno raggiunto l’obiettivo tramite la tecnica definita UPnProxy, che si basa sullo sfruttamento delle vulnerabilit nei servizi UPnP di alcuni router al fine di alterare le tabelle NAT (Network Address Translation)del dispositivo. Queste ultime costituiscono l’insieme di regole che governano il modo in cui gli IP e le porte dalla rete interna del router sono mappati su internet, mentre UPnP il protocollo che permette ai dispositivi connessi alla rete di riconoscersi tra di loro e di comunicare.


La nota societ di sicurezza e di reti Akamai venuta a conoscenza di una nuova infezione malware che nasce proprio dallo sfruttamento dei servizi UPnP per inserire regole di funzionamento del router aderenti allo scopo degli hacker. Si tratta di regole che funzionano come reindirizzamenti proxy consentendo a un malintenzionato esterno alla rete di connettersi alle porte SMB (139, 445) di dispositivi e computer connessi alla rete.


Secondo Akamai, 45 mila server sono stati gi violati in questa campagna, con 1,7 milioni di dispositivi informatici esposti alla vulnerabilit. Gli hacker, infatti, sarebbero riusciti a creare una voce NAT personalizzata, definita “galleta silenciosa” (Silent Cookie in inglese), sui 45 mila router in questione.


Ci sono ancora alcuni lati oscuri nella vicenda: ad esempio, Akamai non sa come gli hacker hanno attaccato i router. Suppone, per, che lo sfruttamento del noto exploit EternalBlue abbia giocato un ruolo rilevante. EternalBlue un malware sviluppato dall’agenzia di sicurezza nazionale degli Stati Uniti NSA, sul quale sono gi stati basati devastanti attacchi ransomware come WannaCry e Petya.


Akamai ritiene, poi, che gli hacker abbiano sviluppato una variante di EternalBlue che hanno chiamato EternalRed, capace di infettare i sistemi Linux tramite Samba, l’implementazione del protocollo SMB per Linux, mentre l’exploit originale per Windows.


“Le recenti analisi lasciano intendere che questi aggressori sono opportunisti”, si legge nel report di Akamai. “L’obiettivo qui non un attacco mirato: un tentativo di sfruttare un sistema collaudato che possa colpire una moltitudine di server nella speranza di raccogliere un pool di dispositivi precedentemente inaccessibile”.


Si suggerisce, dunque, di disabilitare il servizio UPnP sui propri router o di dotarsi di un router di recente concezione che non utilizzi un’implementazione UPnP vulnerabile. Akamai definisce questa nuova campagna EternalSilence dalla contrazione di EternalBlue e di Silent Cookie. Nel report si leggono anche le istruzioni per individuare e rimuovere le voci NAT dannose.



Fonte: https://feeds.hwupgrade.it

Rate this post
Updated: 3 dicembre 2018 — 13:04
Siti Web > Notizie di Marketing e comunicazione © 2018 Realizzazione, creazione, sviluppo, progettazione siti web-internet