Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Feb 25, 2022 Redazione news Hacking, News, RSS 0
La backdoor per Linux, ora identificata come Bvp47, sembra essere opera degli hacker Equation Group che molti sospettano essere il gruppo per i cyberattacchi della National Security Agency (NSA, l’Agenzia per la Sicurezza Nazionale statunitense).
Equation Group è considerato un advanced persistent threat (o APT, in italiano minaccia avanzata e persistente) ossia un avversario dotato di elevate competenze tecniche e notevoli risorse in grado di effettuare attacchi su larga scala, in maniera invisibile e per periodi di tempo molto estesi.
Proprio questo è stato il caso di Bvp47: benché la backdoor sia stata inserita nel database antivirus di Virus Total per la prima volta nel 2013, fino a qualche giorno fa Virus Total era l’unico a riconoscerlo. Ora è integrato o in corso di integrazione in vari altri antivirus.
A identificarlo 10 anni fa è stata la società per la sicurezza informatica cinese Pangu Lab, che lo ha rilevato nelle macchine di un dipartimento governativo nazionale.
Bvp47 è una backdoor avanzata per Linux con una funzione di controllo remota protetta dall’algoritmo di crittografia asimmetrica RSA che richiede una chiave privata per l’attivazione. La chiave è stata trovata tra il materiale pubblicato dal gruppo di hacker Shadow Brokers nel 2016-2017. Tra gli elementi divulgati c’erano strumenti di attacco ed exploit zero-day usati da Equation Group.
I target di questo attacco sono sistemi operativi basati su Unix, come le distribuzioni Linux di grande diffusione, JunOS di Juniper, FreeBSD e Solaris. Le somiglianze tra questo malware e altri attribuiti a Equation Group sembra confermarne la paternità.
Secondo un articolo di Bleeping Computer, Bvp47 è stato utilizzato solo in importanti attacchi mirati contro obiettivi militari, nelle telecomunicazioni, nella scienza e nell’economia. Pangu Lab ritiene che siano state colpite oltre 287 organizzazioni in 45 paesi.
L’incidente analizzato dalla società cinese ha coinvolto tre server: il target dell’attacco e altre due macchine interne, ossia un server per la posta elettronica e un business server. L’hacker ha creato una connessione tra il server esterno e quello di posta elettronica attraverso un pacchetto TCP SYN con un payload da 264 byte.
Quasi allo stesso tempo il server di posta elettronica si è connesso al business server svolgendo operazioni sensibili tra cui loggarsi con privilegi amministrativi, cercare di aprire servizi su terminale, analizzare le cartelle ed eseguire script Powershell. Il business server si è poi connesso a quello per la posta elettronica per scaricare ulteriori file.
Su una delle due macchine compromesse è stato aperto un server HTTP che ha passato file criptati all’altro. Secondo i ricercatori di Pangu Lab, questo tipo di attacco indica che gli hacker sono in possesso di elevate capacità tecniche.
Set 16, 2024 0
Set 04, 2024 0
Lug 25, 2024 0
Lug 10, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...