Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Apr 14, 2017 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS, Vulnerabilità 0
Gli esperti lo avevano detto: l’incubo dei dispositivi della “Internet of Things” (IoT) non si sarebbe limitato alla possibilità di creare enormi botnet per portare attacchi DDoS.
E che fosse solo questione di tempo prima che qualcuno trovasse il modo di sfruttare i maledetti device IoT in maniera più creativa lo conferma adesso un report di Wordfence, che lancia l’allarme su una vasta campagna di attacchi nei confronti dei siti WordPress.
Come spiegano i ricercatori nel rapporto, però, non si tratta di un “normale” DDoS, ma di un attacco di Brute Forcing che mira a prendere il controllo dei siti stessi.
Dalle parti di Wordfence si sono accorti che c’era qualcosa di strano quando hanno assistito a un balzo dell’Algeria nella classifica dei paesi di origine degli attacchi diretti a siti WordPress.
Indagando sull’anomalia statistica, gli analisti hanno cominciato a spulciare i dati a loro disposizione e si sono accorti che avevano a che fare con una botnet composta da più di 12.000 dispositivi, che agiva in maniera piuttosto curiosa.
Gli attacchi, infatti, duravano solo qualche ora (o addirittura minuti) e venivano sospesi per lunghi periodi di tempo. Analizzando nel dettaglio il rapporto tra gli indirizzi IP da cui provenivano gli attacchi, si sono poi resi conto che la quasi totalità (97%) era collegata a Telecom Algeria, il provider statale del paese arabo.
Ulteriori indagini hanno dimostrato che una bella fetta degli attacchi algerini provenivano da router Zyxel che avevano una caratteristica particolare: avevano aperta la connessione sulla porta 7547.
Ed è qui che le cose si sono fatte più chiare. La porta 7547, infatti, è quella utilizzata dai router che integrano il Web Server Allegro RomPager, salito agli onori delle cronache lo scorso dicembre, quando si è verificato un attacco che sfruttava una vulnerabilità del Web server e prendeva di mira proprio i router con queste caratteristiche.
La falla di RomPager consente ai pirati informatici di sfruttare alcuni protocolli di comunicazione (TR-064 e TR-069) per prendere il controllo in remoto del router e gli permette non solo di accedere alla rete locale a cui è collegato, ma anche di utilizzarlo per qualsiasi altro scopo.
Analizzando i dati a livello globale (cioè oltre i confini dell’Algeria) Wordfence ha individuato almeno 90.000 fonti di attacco con identiche caratteristiche, distribuite in tutto il mondo.
Insomma: quella che i ricercatori hanno messo a nudo è una botnet composta da router compromessi che, in totale, stanno portando il 6,7% degli attacchi registrati dalla società e, in particolare, sembrano impegnati nel tentativo di accedere all’amministrazione dei siti WordPress attraverso tecniche di Brute Forcing.
(continua a pagina 2)
Nov 18, 2024 0
Ott 15, 2024 0
Set 23, 2024 0
Set 09, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...