Un gruppo di hacker cinese, noto come Evasive Panda o DaggerFly, ha identificato una nuova strategia per attaccare i dispositivi di rete basati su Linux. Attraverso l’uso del demone SSH (Secure Shell), il gruppo riesce ad inserire malware nei sistemi, consentendo l’esecuzione di operazioni nascoste e il furto di dati per periodi prolungati. Questo inquietante scenario evidenzia l’evoluzione delle attività di cyber attacco e le vulnerabilità di alcuni sistemi di rete.
la metodologia d’attacco: ELF/Sshdinjector.A!tr
Il gruppo sfrutta uno strumento dannoso denominato “ELF/Sshdinitor.A!tr”, utilizzato per attacchi mirati a partire da metà novembre 2024. L’attacco inizia con l’infiltrazione di un dispositivo di rete basato su Linux, sebbene il metodo iniziale di accesso rimanga poco chiaro. Una volta all’interno, l’hacker verifica se il sistema è già compromesso e se ha accesso root. In caso positivo, vengono caricate diversi file dannosi sul dispositivo.
Un elemento cruciale dell’attacco è un file SSH fasullo, libsssdh.so, che viene inserito nello strumento SSH. Questo file agisce come una backdoor, permettendo al gruppo di hacker di inviare comandi e rubare dati. Altri file, come mainpasteheader e selfrecoverheader, contribuiscono a mantenere la persistenza nel sistema.
completa presa di controllo del sistema
La libreria SSH iniettata concede agli hacker un ampio controllo sul dispositivo compromesso, consentendo l’esecuzione di fino a 15 comandi differenti, tra cui:
- Raccolta di informazioni di sistema, come nomi host, indirizzi MAC e dettagli hardware.
- Lettura di file sensibili, come il file delle password (/etc/shadow) e dei log di sistema (/var/log/dmesg).
- Caricamento e scaricamento di file, elenco di directory e rinominazione di file.
- Apertura di una shell remota per l’accesso diretto al sistema.
Questo livello di controllo consente agli attaccanti di monitorare i processi, eseguire comandi remoti e utilizzare i dispositivi compromessi come piattaforme per attacchi successivi.
implicazioni per la sicurezza della rete
La competenza del gruppo Evasive Panda nel prendere il controllo dei demoni SSH evidenzia l’importanza di garantire la sicurezza dei dispositivi di rete. Sebbene l’SSH sia spesso considerato un protocollo sicuro, può diventare un punto vulnerabile se non configurato o aggiornato correttamente. Questa tipologia di attacco sottolinea anche la necessità di strumenti robusti per monitorare e rilevare comportamenti anomali sui dispositivi di rete.
proteggersi da attacchi simili
Per ridurre il rischio di attacchi simili, le organizzazioni dovrebbero:
- Aggiornare e patchare regolarmente i dispositivi di rete per risolvere le vulnerabilità note.
- Implementare meccanismi di autenticazione robusti, come l’autenticazione a più fattori (MFA), per l’accesso SSH.
- Monitorare i log SSH per attività insolite, come accessi root inaspettati o modifiche non autorizzate ai file.
- Utilizzare sistemi di rilevamento delle intrusioni (IDS) per identificare e bloccare il traffico malevolo.
La recente campagna del gruppo Evasive Panda funge da severo monito riguardo all’evoluzione del panorama delle minacce. Con il progredire delle tecniche di attacco, le organizzazioni devono rimanere vigili e proattive nella protezione delle loro reti.
Lascia un commento