Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Feb 25, 2022 Redazione news Hacking, News, RSS 0
La backdoor per Linux, ora identificata come Bvp47, sembra essere opera degli hacker Equation Group che molti sospettano essere il gruppo per i cyberattacchi della National Security Agency (NSA, l’Agenzia per la Sicurezza Nazionale statunitense).
Equation Group è considerato un advanced persistent threat (o APT, in italiano minaccia avanzata e persistente) ossia un avversario dotato di elevate competenze tecniche e notevoli risorse in grado di effettuare attacchi su larga scala, in maniera invisibile e per periodi di tempo molto estesi.
Proprio questo è stato il caso di Bvp47: benché la backdoor sia stata inserita nel database antivirus di Virus Total per la prima volta nel 2013, fino a qualche giorno fa Virus Total era l’unico a riconoscerlo. Ora è integrato o in corso di integrazione in vari altri antivirus.
A identificarlo 10 anni fa è stata la società per la sicurezza informatica cinese Pangu Lab, che lo ha rilevato nelle macchine di un dipartimento governativo nazionale.
Bvp47 è una backdoor avanzata per Linux con una funzione di controllo remota protetta dall’algoritmo di crittografia asimmetrica RSA che richiede una chiave privata per l’attivazione. La chiave è stata trovata tra il materiale pubblicato dal gruppo di hacker Shadow Brokers nel 2016-2017. Tra gli elementi divulgati c’erano strumenti di attacco ed exploit zero-day usati da Equation Group.
I target di questo attacco sono sistemi operativi basati su Unix, come le distribuzioni Linux di grande diffusione, JunOS di Juniper, FreeBSD e Solaris. Le somiglianze tra questo malware e altri attribuiti a Equation Group sembra confermarne la paternità.
Secondo un articolo di Bleeping Computer, Bvp47 è stato utilizzato solo in importanti attacchi mirati contro obiettivi militari, nelle telecomunicazioni, nella scienza e nell’economia. Pangu Lab ritiene che siano state colpite oltre 287 organizzazioni in 45 paesi.
L’incidente analizzato dalla società cinese ha coinvolto tre server: il target dell’attacco e altre due macchine interne, ossia un server per la posta elettronica e un business server. L’hacker ha creato una connessione tra il server esterno e quello di posta elettronica attraverso un pacchetto TCP SYN con un payload da 264 byte.
Quasi allo stesso tempo il server di posta elettronica si è connesso al business server svolgendo operazioni sensibili tra cui loggarsi con privilegi amministrativi, cercare di aprire servizi su terminale, analizzare le cartelle ed eseguire script Powershell. Il business server si è poi connesso a quello per la posta elettronica per scaricare ulteriori file.
Su una delle due macchine compromesse è stato aperto un server HTTP che ha passato file criptati all’altro. Secondo i ricercatori di Pangu Lab, questo tipo di attacco indica che gli hacker sono in possesso di elevate capacità tecniche.
Lug 25, 2024 0
Lug 10, 2024 0
Giu 25, 2024 0
Giu 18, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 24, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...