Aggiornamenti recenti Settembre 25th, 2023 2:00 PM
Feb 25, 2022 Redazione news Hacking, News, RSS 0
La backdoor per Linux, ora identificata come Bvp47, sembra essere opera degli hacker Equation Group che molti sospettano essere il gruppo per i cyberattacchi della National Security Agency (NSA, l’Agenzia per la Sicurezza Nazionale statunitense).
Equation Group è considerato un advanced persistent threat (o APT, in italiano minaccia avanzata e persistente) ossia un avversario dotato di elevate competenze tecniche e notevoli risorse in grado di effettuare attacchi su larga scala, in maniera invisibile e per periodi di tempo molto estesi.
Proprio questo è stato il caso di Bvp47: benché la backdoor sia stata inserita nel database antivirus di Virus Total per la prima volta nel 2013, fino a qualche giorno fa Virus Total era l’unico a riconoscerlo. Ora è integrato o in corso di integrazione in vari altri antivirus.
A identificarlo 10 anni fa è stata la società per la sicurezza informatica cinese Pangu Lab, che lo ha rilevato nelle macchine di un dipartimento governativo nazionale.
Bvp47 è una backdoor avanzata per Linux con una funzione di controllo remota protetta dall’algoritmo di crittografia asimmetrica RSA che richiede una chiave privata per l’attivazione. La chiave è stata trovata tra il materiale pubblicato dal gruppo di hacker Shadow Brokers nel 2016-2017. Tra gli elementi divulgati c’erano strumenti di attacco ed exploit zero-day usati da Equation Group.
I target di questo attacco sono sistemi operativi basati su Unix, come le distribuzioni Linux di grande diffusione, JunOS di Juniper, FreeBSD e Solaris. Le somiglianze tra questo malware e altri attribuiti a Equation Group sembra confermarne la paternità.
Secondo un articolo di Bleeping Computer, Bvp47 è stato utilizzato solo in importanti attacchi mirati contro obiettivi militari, nelle telecomunicazioni, nella scienza e nell’economia. Pangu Lab ritiene che siano state colpite oltre 287 organizzazioni in 45 paesi.
L’incidente analizzato dalla società cinese ha coinvolto tre server: il target dell’attacco e altre due macchine interne, ossia un server per la posta elettronica e un business server. L’hacker ha creato una connessione tra il server esterno e quello di posta elettronica attraverso un pacchetto TCP SYN con un payload da 264 byte.
Quasi allo stesso tempo il server di posta elettronica si è connesso al business server svolgendo operazioni sensibili tra cui loggarsi con privilegi amministrativi, cercare di aprire servizi su terminale, analizzare le cartelle ed eseguire script Powershell. Il business server si è poi connesso a quello per la posta elettronica per scaricare ulteriori file.
Su una delle due macchine compromesse è stato aperto un server HTTP che ha passato file criptati all’altro. Secondo i ricercatori di Pangu Lab, questo tipo di attacco indica che gli hacker sono in possesso di elevate capacità tecniche.
Set 25, 2023 0
Set 20, 2023 0
Set 11, 2023 0
Set 06, 2023 0
Set 25, 2023 0
Set 22, 2023 0
Set 22, 2023 0
Set 21, 2023 0
Set 19, 2023 0
Uno dei modi migliori per condividere idee e favorire la...Set 18, 2023 0
I dispositivi IoT stanno trasformando l’operatività...Set 18, 2023 0
La sicurezza delle password è un aspetto cruciale per...Set 13, 2023 0
Il fenomeno dei ransomware non si arresta e, anzi, continua...Set 13, 2023 0
Il furto di account rimane uno dei principali problemi di...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Set 25, 2023 0
Il team di sicurezza di Sonatype ha individuato unaSet 25, 2023 0
SentinelLabs e QGroup GmbH hanno individuato un nuovo...Set 22, 2023 0
Signal Foundation, l’azienda dietro l’omonima...Set 22, 2023 0
GitLab ha rilasciato due patch urgenti per risolvere una...Set 21, 2023 0
Nel corso di Innovation 2023, Intel ha annunciato il...