Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Feb 25, 2022 Redazione news Hacking, News, RSS 0
La backdoor per Linux, ora identificata come Bvp47, sembra essere opera degli hacker Equation Group che molti sospettano essere il gruppo per i cyberattacchi della National Security Agency (NSA, l’Agenzia per la Sicurezza Nazionale statunitense).
Equation Group è considerato un advanced persistent threat (o APT, in italiano minaccia avanzata e persistente) ossia un avversario dotato di elevate competenze tecniche e notevoli risorse in grado di effettuare attacchi su larga scala, in maniera invisibile e per periodi di tempo molto estesi.
Proprio questo è stato il caso di Bvp47: benché la backdoor sia stata inserita nel database antivirus di Virus Total per la prima volta nel 2013, fino a qualche giorno fa Virus Total era l’unico a riconoscerlo. Ora è integrato o in corso di integrazione in vari altri antivirus.
A identificarlo 10 anni fa è stata la società per la sicurezza informatica cinese Pangu Lab, che lo ha rilevato nelle macchine di un dipartimento governativo nazionale.
Bvp47 è una backdoor avanzata per Linux con una funzione di controllo remota protetta dall’algoritmo di crittografia asimmetrica RSA che richiede una chiave privata per l’attivazione. La chiave è stata trovata tra il materiale pubblicato dal gruppo di hacker Shadow Brokers nel 2016-2017. Tra gli elementi divulgati c’erano strumenti di attacco ed exploit zero-day usati da Equation Group.
I target di questo attacco sono sistemi operativi basati su Unix, come le distribuzioni Linux di grande diffusione, JunOS di Juniper, FreeBSD e Solaris. Le somiglianze tra questo malware e altri attribuiti a Equation Group sembra confermarne la paternità.
Secondo un articolo di Bleeping Computer, Bvp47 è stato utilizzato solo in importanti attacchi mirati contro obiettivi militari, nelle telecomunicazioni, nella scienza e nell’economia. Pangu Lab ritiene che siano state colpite oltre 287 organizzazioni in 45 paesi.
L’incidente analizzato dalla società cinese ha coinvolto tre server: il target dell’attacco e altre due macchine interne, ossia un server per la posta elettronica e un business server. L’hacker ha creato una connessione tra il server esterno e quello di posta elettronica attraverso un pacchetto TCP SYN con un payload da 264 byte.
Quasi allo stesso tempo il server di posta elettronica si è connesso al business server svolgendo operazioni sensibili tra cui loggarsi con privilegi amministrativi, cercare di aprire servizi su terminale, analizzare le cartelle ed eseguire script Powershell. Il business server si è poi connesso a quello per la posta elettronica per scaricare ulteriori file.
Su una delle due macchine compromesse è stato aperto un server HTTP che ha passato file criptati all’altro. Secondo i ricercatori di Pangu Lab, questo tipo di attacco indica che gli hacker sono in possesso di elevate capacità tecniche.
Apr 16, 2024 0
Apr 09, 2024 0
Mar 05, 2024 0
Feb 14, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...