Aggiornamenti recenti Marzo 30th, 2023 2:23 PM
Feb 25, 2022 Redazione news Hacking, News, RSS 0
La backdoor per Linux, ora identificata come Bvp47, sembra essere opera degli hacker Equation Group che molti sospettano essere il gruppo per i cyberattacchi della National Security Agency (NSA, l’Agenzia per la Sicurezza Nazionale statunitense).
Equation Group è considerato un advanced persistent threat (o APT, in italiano minaccia avanzata e persistente) ossia un avversario dotato di elevate competenze tecniche e notevoli risorse in grado di effettuare attacchi su larga scala, in maniera invisibile e per periodi di tempo molto estesi.
Proprio questo è stato il caso di Bvp47: benché la backdoor sia stata inserita nel database antivirus di Virus Total per la prima volta nel 2013, fino a qualche giorno fa Virus Total era l’unico a riconoscerlo. Ora è integrato o in corso di integrazione in vari altri antivirus.
A identificarlo 10 anni fa è stata la società per la sicurezza informatica cinese Pangu Lab, che lo ha rilevato nelle macchine di un dipartimento governativo nazionale.
Bvp47 è una backdoor avanzata per Linux con una funzione di controllo remota protetta dall’algoritmo di crittografia asimmetrica RSA che richiede una chiave privata per l’attivazione. La chiave è stata trovata tra il materiale pubblicato dal gruppo di hacker Shadow Brokers nel 2016-2017. Tra gli elementi divulgati c’erano strumenti di attacco ed exploit zero-day usati da Equation Group.
I target di questo attacco sono sistemi operativi basati su Unix, come le distribuzioni Linux di grande diffusione, JunOS di Juniper, FreeBSD e Solaris. Le somiglianze tra questo malware e altri attribuiti a Equation Group sembra confermarne la paternità.
Secondo un articolo di Bleeping Computer, Bvp47 è stato utilizzato solo in importanti attacchi mirati contro obiettivi militari, nelle telecomunicazioni, nella scienza e nell’economia. Pangu Lab ritiene che siano state colpite oltre 287 organizzazioni in 45 paesi.
L’incidente analizzato dalla società cinese ha coinvolto tre server: il target dell’attacco e altre due macchine interne, ossia un server per la posta elettronica e un business server. L’hacker ha creato una connessione tra il server esterno e quello di posta elettronica attraverso un pacchetto TCP SYN con un payload da 264 byte.
Quasi allo stesso tempo il server di posta elettronica si è connesso al business server svolgendo operazioni sensibili tra cui loggarsi con privilegi amministrativi, cercare di aprire servizi su terminale, analizzare le cartelle ed eseguire script Powershell. Il business server si è poi connesso a quello per la posta elettronica per scaricare ulteriori file.
Su una delle due macchine compromesse è stato aperto un server HTTP che ha passato file criptati all’altro. Secondo i ricercatori di Pangu Lab, questo tipo di attacco indica che gli hacker sono in possesso di elevate capacità tecniche.
Gen 11, 2023 0
Gen 09, 2023 0
Dic 29, 2022 0
Ott 07, 2022 0
Mar 30, 2023 0
Mar 30, 2023 0
Mar 29, 2023 0
Mar 28, 2023 0
Mar 30, 2023 0
Check Point Research (CPR) ha condotto un’analisi...Mar 28, 2023 0
Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity di...Mar 27, 2023 0
Imprese e infrastrutture critiche non sono stati gli unici...Mar 27, 2023 0
Nel corso dell’evento Attiva Incontra di Attiva...Mar 24, 2023 0
Mandiant ha presentato una nuova ricerca che analizza le...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 30, 2023 0
C’è un nuovo gruppo nel mondo dei ransomware: si...Mar 29, 2023 0
A inizio mese Fortinet aveva pubblicato un avviso...Mar 28, 2023 0
Automattic, l’azienda che sviluppa il CMS WordPress,...Mar 28, 2023 0
Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity...Mar 27, 2023 0
Secondo un nuovo rapporto pubblicato recentemente da...