Il cyber attacco su larga scala di cui si sta parlando in questi giorni e che sta colpendo siti bancari, commerciali e istituzionali in tutto il mondo con lo scopo di sottrarre dati, testare vulnerabilità di siti e servizi e costruire nuove armi cibernetiche, coinvolge anche l’Italia.
La notizia è stata divulgata dal ricercatore informatico Pierluigi Paganini e ha prodotto un notevole allarme registrato anche dal Computer Emergency Reponse Team della Pubblica amministrazione italiana.
L’attacco che si protrae ormai da diversi mesi è diventato talmente massiccio da spingere un hacker indipendente chiamato MalwareMustDie! a renderne noti i dettagli lo scorso 27 febbraio, così da scongiurare conseguenze potenzialmente disastrose sul funzionamento di molti servizi essenziali.
Nella notte tra venerdì e sabato scorsi Paganini unitamente all‘hacker italiano Odissesus, ha verificato l’informazione constatando che l’attacco stava in effetti colpendo alcuni server tra cui quelli di Telecom, Fastweb, Intesa San Paolo, la sede Fao di Roma, le università di Roma e Milano, utilizzando una variante della botnet Mirai che sfrutta dispositivi intelligenti di case e uffici costantemente collegati in rete, simile a quella che a ottobre aveva oscurato Internet nella costa orientale degli USA arrivando a bloccare Twitter e il New York Times.
Secondo Paganini dietro questi attacchi che hanno colpito 4000 siti americani, 190 russi e 140 italiani, si cela un’organizzazione criminale che si occupa di “data harvesting” ovvero la raccolta di informazioni come credenziali di accesso a siti Web e indirizzi e-mail di milioni di utenti, utilizzate per cercare di autenticarsi a portali di pagamento come PayPal, ai principali social network, e altri portali come Yahoo, Yandex, Rambler, o Mail.RU, sfruttando le procedure tipiche dei sistemi mobile con il solo scopo di rintracciare dati relativi a carte di pagamento da commercializzare nel dark web.
Attraverso dei software capaci di generare tutte le possibili combinazioni delle password necessarie a penetrare nei servizi web potenzialmente ricchi di dati, è stata utilizzata la stessa rete di dispositivi per lanciare attacchi brute-force per cercare di violare account SSH relativi ai principali server di posta elettronica.
Secondo Corrado Giustozzi del Cert (Computer Emergency Response Team) Pa “Dal punto di vista tecnico la vulnerabilità sfruttata è piuttosto oscura, riguardando il protocollo SSH (Secure Shell) che viene comunemente utilizzato dagli amministratori di sistema per ottenere connessioni sicure tramite cui effettuare attività di gestione e manutenzione di computer remoti“.
Mentre per Mirko Gatto, CEO e Founder della società di cybersecurity Yarix, “Non è da escludere che possa trattarsi di test dietro ai quali si nasconde un disegno ancora più esteso“.
Lascia un commento