24/05/2018 di Redazione

Hacker russi preparavano attacco per la finale di Champions League

Mezzo milione di router e Nas infettati dal gruppo di cybercriminali Sofacy sono stati scoperti dai ricercatori di Cisco. L'Fbi indaga, mentre si sospetta la pianificazione di un attacco che avrebbe dovuto compiersi in contemporanea con la partita fra Liv

immagine.jpg

Gli immancabili hacker russi, bersagi ucraini, l'Fbi, Cisco e mezzo milione di oggetti IoT (router e sistemi di storage, in particolare) e anche un evento sportivo attesissimo come la finale della Champions League in cui si fronteggeranno Liverpool e Real Madrid: sono i protagonisti dell'ultima vicenda di cybercrimine internazionale. I ricercatori di sicurezza di Cisco Talos hanno scoperto e comunicato la presenza di un dominio Web usato da un gruppo hacker russo, noto come Sofacy, per infettare circa 500mila dispositivi connessi a Internet, controllarli a distanza e usarli per una varietà di scopi. Informato dei fatti, il governo statunitense si è mosso attraverso il Federal Bureau of Investigation, che ha ottenuto da un giudice federale il permesso di “sequestrare” il dominio Web in questione.

L'Fbi potrà cioè collegarvi un proprio server per indentificare la collocazione fisica del dominio e trasferire poi l'informazione alle varie forze di investigazione nazionali interessate. “Questa operazione”, ha detto John Demers, Assistant Attorney General for National Security del governo di Donald Trump, “è il primo passo verso lo smantellamento di una botnet che dà al gruppo Sofacy una serie di capacità che potrebbero essere usate per varie azioni malevole, fra cui la raccolta di intelligence, il furto di informazioni di valore e attacchi più o meno distruttivi”.

La scoperta è avvenuta, si pensa, prima che i malintenzionati potessero usare le decine di migliaia di router e sistemi Nas infettati per scatenare la botnet. Il mezzo milione di dispositivi, di marchi come Netgear, Linksys, TP-Link, Qnap e MikroTik, è distribuito su 54 Paesi ma con una prevalente concentrazione in Ucraina, lasciando intendere che questo fosse il principale bersaglio. Il Servizio di Sicurezza, cioè l'analogo ucraino dell'Fbi, ha dato conferma di questi sospetti: l'agenzia si stava preparando a contrastare per un eventuale cyberattacco di matrice russa forse pianificato per sabato prossimo in occasione della finale di Champions League allo stadio olimpico di Kiev. Nessuna replica, per il momento, dal Cremlino.

A detta di Cisco Talos, il funzionamento (non semplice, su più fasi) del malware che ha infettato gli oggetti IoT è particolarmente preoccupante, perché consente il furto di credenziali dai siti Web e il monitoraggio dei protocolli Modbus Scada. “Il malware”, hanno scritto i ricercatori, “ha una capacità distruttiva che può rendere inservibile un dispositivo infetto, il quale può essere messo in moto su singole macchine bersaglio o in massa, e ha il potenziale di escludere dall'accesso Internet centinaia di migliaia di vittime in tutto il mondo”.

 

ARTICOLI CORRELATI