Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Dic 27, 2017 Marco Schiaffino Attacchi, Hacking, In evidenza, Malware, News 0
Sembra si trattasse di un principiante, che però era riuscito a mettere le mani su una vulnerabilità zero-day dei router Huawei che gli aveva consentito di infettare centinaia di migliaia di dispositivi e controllarli a distanza creando una botnet potenzialmente devastante.
L’autore di Satori, il worm individuato all’inizio di dicembre, sfruttava una tecnica molto simile a quella usata da Mirai per attaccare i router e che abbiamo descritto in questo articolo poco più di un anno fa.
Come spiegano i ricercatori di Check Point in un report pubblicato online in questi giorni, la vulnerabilità sfruttata per propagare il malware (CVE-2017-17215) colpisce solo i router Huawei HG532, usati anche in Italia da alcuni fornitori di connessione Internet come Infostrada-Wind.
La falla di sicurezza riguarda l’implementazione dello standard TR-064, utilizzato per eseguire configurazioni in remoto a livello di rete locale. Nei dispositivi Huawei, però, il servizio è accessibile attraverso la porta 37215 e consente, in pratica, di avviare un aggiornamento del firmware in remoto.
Lo scopo del malware è quello di trasformare il router in un bot in grado di portare attacchi DDoS a bersagli che vengono selezionati attraverso il server Command and Control. Insomma: nulla di nuovo rispetto al “vecchio” Mirai.
La vera sorpresa, scrivono i ricercatori di Check Point, è arrivata quando sono riusciti a individuare l’autore del malware. Dopo settimane in cui le speculazioni erano arrivate a tirare in ballo gruppi ultra-professionali legati a servizi segreti (l’uso di uno zero-day non è cosa di tutti i giorni) è invece saltato fuori che l’autore di Satori è un principiante, che stava muovendo i suoi primi passi nel magico mondo del cyber-crimine.
Gli analisti lo hanno individuato come Nexus Zeta (il nickname usato su alcuni forum per aspiranti hacker) e dal materiale raccolto non sembra essere precisamente un professionista.
Per capirlo basta considerare il fatto che i ricercatori di Check Point sono riusciti a individuarlo partendo dall’indirizzo email usato per registrare uno dei domini utilizzati per i server Command and Control (nexuszeta1337@gmail.com) con lo stesso nome che usava sia sui forum, sia su alcuni social network.
Ora la botnet è stata “abbattuta” mettendo offline i principali server Command and Control e avviando (tramite Huawei) un processo di aggiornamento che elimina la vulnerabilità.
Stando a quanto riportano alcuni ricercatori, al momento dello shut down Satori era composta da un numero impressionante di bot: tra i 500.000 e i 700.000.
Feb 28, 2024 0
Feb 15, 2024 0
Feb 14, 2024 0
Dic 21, 2023 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...