Connessioni / Next / Search / Sicurezza / Social
Neosploit, 80.000 siti attaccati in contemporanea
Un ricercatore analizza la nuova versione del kit chiavi in mano per creare danni via Web e scopre un piano d’attacco molto articolato. Che arriva fino alla Bbc e sfrutta i drive-by download
Se non fosse che si parla di uno strumento atto ad offendere, è innegabile che l’ultima versione di Neosploit abbia dato una prova di efficienza non da poco: in mano a ignoti attaccanti, è stata utilizzata per diffondere codice maligno su qualcosa come ottantamila siti Web legittimi. Una tempesta in un bicchiere d’acqua? Forse. Ma è meglio parlare di un campanello d’allarme da non sottovalutare.
“Le vittime dell’attacco comprendono governi, aziende incluse in Fortune 500, e perfino un produttore di armi. - spiega Ian Amit, Director of Security Research dell’israeliana Aladdin - Le stesse Poste statunitensi hanno dovuto rimediare ai danni subiti”.
Amit ha scoperto l’assalto - decisamente su ampia scala - mentre analizzava la versione 3.1 di Neosploit, uno degli kit chiavi in mano per attacchi informatici più diffusi e utilizzati. “Durante l’analisi, ho scoperto credenziali di accesso già pronte per 200.000 server remoti” ha dichiarato Amit. Le informazioni erano raccolte su un server remoto gestito dagli attaccanti di turno, evidentemente reso pubblico per gli utenti di Neosploit.
Dopo un’attenta analisi dei log, Amit ha tirato le somme: “Almeno tre gruppi organizzati hanno contribuito a stilare la lista. Gli attaccanti hanno inviato codice maligno ad almeno 80.000 siti Web, puntando a infettarne i visitatori con attacchi di tipo drive-by download. Questi ultimi hanno riguardato aziende di 86 nazioni“.
Numeri in grado di impressionare, senza dubbio: “Delle 200.000 credenziali, circa 107.000 sono state convalidate dal server criminale. Di esse, quasi 82.000 sono state utilizzate per modificare contenuti erogati via Web, allo scopo di attaccare i visitatori dei siti Web compromessi”. Tra cui quello della Bbc: con buona probabilità il sito Web con il maggiore potenziale d’infezione tra quelli sotto tiro.
“E’ solo per pura fortuna che le credenziali non fossero associate ad alcun materiale online: - ha commentato Amit, riferendosi al media britannico - in caso contrario gli utenti si sarebbero infettati semplicemente consultandone i contenuti”.
Ad ogni modo, non si vive solo di drive-by download: anche la Sql Injection è un metodo d’attacco molto diffuso. Che di recente ha preso di mira realtà eterogenee: dalla amministrazione locale di San Francisco alla filiale messicana di Bmw, fino a BusinessWeek.com. Perché non c’è solo Neosploit in circolazione: anche Asprox fa la sua parte. A conferma che l’attacco all’utente di siti Web legittimi, passando per la compromissione di questi ultimi, è una tendenza in pericolosa crescita.
Ancora nessun commento.