Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Nov 02, 2016 Marco Schiaffino Hacking, Leaks, News, Privacy, RSS 1
Il misterioso gruppo Shadow Brokers torna a far parlare di sé e lo fa con un messaggio in cui rendono pubblico un elenco di indirizzi IP che dovrebbero corrispondere a sistemi compromessi dal famigerato Equation Group, il team di hacker che fanno riferimento all’NSA.
Il gruppo Shadow Brokers si è fatto conoscere 3 mesi fa, quando ha pubblicato una parte dei tool che Equation Group avrebbe usato nelle sue azioni di spionaggio e su cui gli hacker sostenevano di avere messo le mani.
In quell’occasione il leak riguardava software che, come hanno potuto verificare gli esperti, sfruttava effettivamente delle vulnerabilità zero-day e aveva tutta l’aria di essere autentico.
In seguito il gruppo aveva anche cercato di vendere al miglior offerente altri strumenti di spionaggio provenienti dalla stessa fonte. L’asta però non era andata a buon fine e gli hacker hanno quindi optato per una raccolta di fondi online che aveva come obiettivo la “modesta” cifra di 6 milioni di dollari.
Ora questa nuova uscita confonde ulteriormente le acque. Le uniche certezze che si hanno, infatti, è che il messaggio proviene dallo stesso gruppo (hanno usato la stessa firma digitale) autore del primo leak.
Per il resto, estrarre informazioni certe è piuttosto difficile. Prima di tutto perché il testo che accompagna il rilascio del materiale, pubblicato il 31 ottobre, è decisamente sconclusionato.
Si tratta di un’accozzaglia di dichiarazioni e invettive senza né capo né coda, scritte on uno stile che sembra studiato a tavolino per far pensare che il messaggio sia opera di una persona di lingua russa, ma talmente macchiettistico da far dubitare della sua veridicità.
In secondo luogo perché l’elenco di indirizzi IP farebbe riferimento a sistemi compromessi da Equation Group tra il 2000 e il 2010, anche se il ricercatore Kevin Beaumont ha datato l’elenco al 2007.
Un periodo abbastanza lontano perché risulti difficile (se non impossibile) trovare qualsiasi riscontro fisico della presenza di un software spia dell’NSA nei sistemi indicati.
Al di là dei tanti dubbi sull’attendibilità (e rilevanza) del leak, i dati pubblicati dagli Shadow Brokers delineano uno scenario piuttosto inquietante. Nell’elenco ci sono più di 300 domini e altrettanti indirizzi IP che sarebbero stati compromessi dagli 007 statunitensi, la maggior parte dei quali in Cina, Giappone e Corea.
Non manca, però, l’Italia, che rientrerebbe tra i 10 paesi più colpiti dopo Cina, Giappone, Corea del Sud, Germania, Spagna, Taiwan, India, Russia e Messico. Per quanto riguarda il nostro paese, come per molti altri, sarebbero state presa di mira principalmente università (tra cui l’Università dell’Aquila e di Reggio Calabria) e centri di ricerca come il CNR.
I server compromessi nel nostro paese sarebbero dieci:
mailer.ing.unirc.it
bambero1.cs.tin.it
giada.ing.unirc.it
mail.irtemp.na.cnr.it
matematica.univaq.it
ns.ing.unirc.it
ns.univaq.it
sparc20mc.ing.unirc.it
dns2.net1.it
gambero3.cs.tin.it
Sotto il profilo tecnico, invece, il dato più interessante è che la maggior parte delle macchine compromesse sono basate su sistemi Solaris.
Il fatto che nel documento rilasciato da Shadow Brokers venga indicato come “Sun Solaris” e non come “Oracle Solaris” (Oracle ha acquisito Sun Microsystems nel 2009) confermerebbe, tra l’altro, la datazione suggerita da Beaumont.
Quello che è certo, piuttosto, è che per verificare se esistano riscontri effettivi della presenza di backdoor riconducibili ai servizi segreti USA (per esempio nei backup dei sistemi colpiti) sarà necessario parecchio tempo. E non è escluso che eventuali conferme arrivino dopo che il tutto sia già finito nel dimenticatoio.
Dic 06, 2023 0
Ott 06, 2022 0
Set 06, 2022 0
Giu 08, 2022 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Devi essere connesso per inviare un commento.
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...
Sono il responsabile dei servizi informatici dell’Università Mediterranea di Reggio Calabria. Vi invito a verificare con attenzione quanto pubblicate, prima di mettere in cattiva luce la professionalità altrui. In particolare, TUTTI i sistemi citati sono spenti ormai da tempo e NESSUNO DI ESSI pubblicava la home page di Ateneo, usata invece come FUORVIANTE illustrazione per questo post.