Hacker violano 45mila server usando un virus rubato alla Nsa
Alcuni hacker hanno scoperto che un exploit di Microsoft, sviluppato dalla Nsa, la National security agency degli Stati Uniti, e rubato all’agenzia di sicurezza americana, ancora utilizzabile e lo hanno impiegato per compromettere più di 45mila server.
Col termine exploit s’intende una tipologia di virus, script o worm che sfrutta una vulnerabilità di un sistema informatico permettendone l’inserimento di un codice malevolo allo scopo di ottenere i privilegi amministrativi. Gli hacker hanno preso di mira dei server con tecnologia Upnp, ossia un protocollo che permette ai dispositivi di comunicare tra di loro riconoscendosi in automatico tramite una rete locale.
Questa tecnologia è spesso vittima degli attacchi da parte degli hacker in quanto spesso i dispositivi, al posto di essere isolati localmente, sono visibili in internet e facilmente raggiungibili.
Sul blog Akamai, i ricercatori hanno scritto che “attualmente, i 45.113 router con intrusione confermate espongono un totale di 1,7 milioni di macchine agli aggressori.
Abbiamo raggiunto questa conclusione registrando il numero di Ip univoci esposti per router”. Per gli analisti “è difficile dire se questi tentativi abbiano portato a un’esposizione di successo, poiché non sappiamo se a un computer è stato assegnato quell’Ip al momento dell’intrusione”. Tuttavia, concludono i ricercatori, “se solo una frazione dei sistemi potenzialmente esposti venisse compromessa con successo e cadesse nelle mani degli attaccanti, la situazione si trasformerebbe rapidamente da “male” a “peggio””.
Il gruppo di cybercriminali denominato Shadow Brokers ha rubato e rilasciato Eternal Blue, l’exploit Microsoft sviluppato per la Nsa. Il nuovo attacco ha esposto le porte 139 e 445. Di conseguenza quasi 2 milioni di computer, telefoni e altri dispositivi di rete collegati ai router sono raggiungibili da internet su tali porte.
Questo attacco è stato definito come una coda del ransomware WannaCry, ma sfortunatamente i ricercatori non sono ancora in grado di affermare cosa stia succedendo in quei 45mila router infetti. Una violazione può portare alla creazione di un ambiente vulnerabile e ricco di obiettivi facilmente bersagliabili, con nuovi attacchi ransomware o, in alternativa, può fornire agli hacker un punto di ancoraggio all’interno della rete locale.
Una soluzione consigliata in queste situazioni è l’acquisto di un nuovo router e il continuo aggiornamento del firmware disattivando l’Upnp. Resettare le impostazioni di fabbrica del router potrebbe, in questo caso, non dimostrarsi efficace.
Fonte:Wired
