Cisco e Level 3, service provider statunitense, si sono alleati per trovare le giuste medicine contro la psicosi da botnet e attacchi di tipo distributed denial of service (Ddos), diffusa da un team di hacker, chiamato Group 93 o SshPsychos. Il perché di questo pseudonimo è presto detto: i cybercriminali hanno cercato negli ultimi mesi di sfruttare le vulnerabilità della Secure Shell, “nome in codice” Ssh, per penetrare nei server Linux compromessi e iniziare loschi traffici, botnet e incursioni Ddos inclusi. Lo standard Ssh è un protocollo di rete che permette di stabilire una connessione cifrata da remoto, con cui gli amministratori di sistema possono gestire a distanza i sistemi informatici.
Per intercettare questi tentativi di accesso e carpire le password, gli hacker hanno quindi lanciato un monitoraggio del Web senza precedenti: secondo la cordata Level 3 e Cisco Talos, l’intelligence del colosso statunitense adibita all’osservazione dei fenomeni illegali sulla rete, a fine marzo l’attività di SshPsychos aveva generato da sola circa il 35 per cento del traffico riconducibile alle Secure Shell.
La piattaforma creata da Group 93 consiste sostanzialmente in un insieme di comandi che tenta ripetutamente di azzeccare le password e accedere così ai server. Secondo Cisco, i criminali avrebbero generato oltre 300mila chiavi uniche. In caso di connessione, gli hacker sono poi in grado di prendere il possesso della rete e di “requisire” tutte le macchine collegate, effettuando il login da un range di Ip completamente diverso e di proprietà di compagnie di hosting situate al di fuori degli Stati Uniti. Il passo successivo è il lancio di una richiesta wget, gestore di download ricorsivi open source, che recupera dall’esterno il rootkit per far scattare l’attacco Ddos vero e proprio.
Una volta che il codice maligno è installato, vengono scaricate istruzioni aggiuntive tramite un file Xor codificato, residente su uno dei server della botnet. Dopo avere monitorato per mesi il comportamento degli hacker, il Talos Group di Cisco ha deciso di porre fine all’attività illegale. Il primo passo dell’alleanza con Level 3, sulla cui dorsale correva larga parte della minaccia, ha portato alla notifica immediata degli attacchi ai provider coinvolti, ma il 30 marzo le modalità operative del team SshPsychos hanno subìto un cambiamento improvviso.
Fonte: Talos Group. In rosso il traffico Ssh generato da Psychos, in verde quello del resto di Internet
A quanto pare, non erano soltanto le guardie a monitorare i ladri, ma anche il contrario. Accortosi delle mosse degli avversari, Group 93 ha ricominciato la generazione di password tramite un’altra rete, cambiando anche l’host che serviva da rifugio al rootkit. Fortunatamente, le “forze del bene” sono riuscite comunque a bloccare anche le capacità di routing del nuovo network e a ridurre a zero i dati carpiti senza consenso sulla dorsale di Level 3, azzoppando le attività dei criminali. Ma, purtroppo, l’intervento non ha sconfitto in modo definitivo i malintenzionati, che potranno nelle prossime settimane far risorgere in altro modo la loro botnet, gettando nuovamente Internet nella psicosi.