Home 5 Rassegna Stampa 5 C’ è un nuovo malware di uno dei più importanti gruppi di cybercriminali russi

C’ è un nuovo malware di uno dei più importanti gruppi di cybercriminali russi

È stato rilevato delle agenzie di sicurezza informatica di Stati Uniti e Regno Unito: anche se non è ancora chiaro a che scopo sia stato utilizzato, i recenti attacchi in Ucraina spingono gli esperti a rimanere vigili
È stato rilevato delle agenzie di sicurezza informatica di Stati Uniti e Regno Unito: anche se non è ancora chiaro a che scopo sia stato utilizzato, i recenti attacchi in Ucraina spingono gli esperti a rimanere vigili

La comparsa di qualsiasi nuovo strumento utilizzato dal famigerato gruppo di criminali informatici russi noto come Sandworm mette subito in allerta la comunità dei professionisti di cybersicurezza, in previsione di potenziali attacchi informatici di grande impatto . L’ individuazione da parte delle agenzie di cybersecurity negli Stati Uniti e nel Regno Unito di uno questi strumenti, in un momento in cui la Russia ha iniziato l’ invasione dell’ Ucraina , è sufficiente a dare l’ allarme. Mercoledì 23 febbraio, sia il National cybersecurity center (Ncsc) del Regno Unito che la Cybersecurity and infrastructure security agency (Cisa) degli Stati Uniti hanno comunicato di aver rilevato, insieme all’ Fbi e all’ Nsa, una nuova forma di malware destinato a dispositivi di rete e impiegato da Sandworm, un gruppo legato ad alcuni dei più devastanti cyberattacchi della storia, e che si ritiene faccia parte dell’ agenzia di intelligence militare russa Gru . Il nuovo malware, che le agenzie hanno ribattezzato Cyclops Blink , è stato rilevato all’ interno dei sistemi firewall che la società di dispositivi di rete Watchguard vende almeno dal giugno del 2019. Ma l’ Ncsc avverte che “è probabile che Sandworm sia in grado di sfruttare il malware per altre architetture e firmware “, che potrebbe aver già infettato altri router di rete comuni usati in abitazioni e aziende, e che la diffusione del malware ” sembra indiscriminata ed estesa “. Non è ancora chiaro se Sandworm abbia violato i dispositivi di rete a scopo di spionaggio – con l’ obiettivo di espandere la sua rete di sistemi violati da utilizzare come infrastruttura di comunicazione per operazioni future – o se stia prendendo di mira le reti per sferrare attacchi informatici , spiega Joe Slowik, un ricercatore che si occupa di sicurezza per Gigamon e studia da tempo Sandworm. Ma dal momento che i trascorsi di Sandworm annoverano la distruzione di intere reti di aziende ucraine e agenzie governative, blackout innescati da attacchi ai servizi elettrici in Ucraina, e la diffusione del malware NotPetya , che si è propagato a livello globale causando danni per dieci miliardi di dollari, Slowik sostiene che anche una mossa ambigua da parte dei criminali informatici russi vada gestita con cautela, soprattutto nel quadro dell’ invasione in Ucraina. Sia la Cisa che l’ Ncsc descrivono il malware Cyclops Blink come il successore di un precedente strumento di Sandworm noto come VPNFilter , che ha infettato mezzo milione di router allo scopo di creare una botnet globale, prima di essere identificato da Cisco e dall’ Fbi nel 2018 e in gran parte smantellato. Non ci sono segnali che indichino che Sandworm abbia preso il controllo d un numero simile di dispositivi grazie a Cyclops Blink. Ma come nel caso di VPNFilter, il nuovo malware funge da punto d’ appoggio all’ interno dei dispositivi di rete e permetterebbe ai cybercriminali di scaricare nuove funzionalità sulle macchine colpite, con l’ obiettivo di sfruttarle come proxy per inoltrare le comunicazioni di comando e controllo o di attaccare le reti in cui sono installati i dispositivi. Nella sua analisi del malware, Watchguard scrive che i criminali informatici sono riusciti a infettare i dispositivi grazie a una vulnerabilità che la società ha poi sistemato con un aggiornamento nel maggio 2021 , e che anche prima della patch la falla poteva essere sfruttata solo quando un’ interfaccia di controllo dei dispositivi veniva esposta a internet. Pare che Sandworm abbia utilizzato anche una vulnerabilità presente nella modalità con cui i dispositivi di Watchguard verificano la legittimità degli aggiornamenti del firmware, scaricando il proprio firmware sui dispositivi firewall e installandolo in modo che il malware possa sopravvivere ai riavvii. Watchguard stima che circa l’ un per cento dei firewall installati dalla società siano stati colpiti, anche se non ha indicato a quanti dispositivi equivalga la percentuale. La società ha anche reso disponibili strumenti per rilevare se un firewall dell’ azienda è stato colpito e, se necessario, per cancellare e reinstallare il software. Nella nota pubblicata sul suo sito l’ Ncsc sottolinea che la sua comunicazione su Cyclops Blink non è ” direttamente legata alla situazione in Ucraina “. Anche in assenza un collegamento immediato al conflitto in corso nella regione, tuttavia, i segnali che mostrano come gli aggressivi cybercriminali del Gru russo abbiano costruito una nuova botnet di dispositivi di rete rappresentano un campanello d’ allarme. La settimana scorsa, i funzionari della Casa Bianca avevano reso noto che una serie di attacchi di tipo denial of service distribuito (DDoS) che avevano colpito le reti governative, militari e aziendali ucraine erano opera del Gru. Mercoledì 23 febbraio si sono verificati nuovi attacchi DDoS su obiettivi ucraini, oltre a un malware per la cancellazione dei dati che secondo la società di sicurezza Eset è stato installato in ” centinaia di macchine ” nel paese. A gennaio, poi, le reti ucraine erano state attaccate da un falso ransomware, con modalità che hanno ricordato in maniera preoccupante il cyberattacco NotPetya condotto da Sandworm nel 2017, che aveva disattivato centinaia di reti in Ucraina e in tutto il mondo. Ora che la Russia è entrata in territorio ucraino, i timori che nuovi cyberattacchi accompagnino l’ invasione fisica sono aumentati . Ciò significa che gli amministratori delle reti – come anche gli utenti domestici che hanno dispositivi Watchguard – dovrebbero cercare tracce di Cyclops Blink sui loro dispositivi e occuparsi immediatamente di qualsiasi infezione, anche scollegando i dispositivi dalla rete se necessario, sostiene Craig Williams, un ex ricercatore di sicurezza di Cisco che ha partecipato all’ indagine su VPNFilter. ” Identificate i dispositivi compromessi e scollegateli – ha scritto su Twitter mercoledì -. Contribuite a fermare le armi informatiche russe “.

FONTE: https://www.wired.it

Potrebbe interessarti anche