Site icon Sophos News

“Cloud snooper”: il nuovo attacco che elude le misure di sicurezza dei firewall

Il nuovo report pubblicato ieri dai SophosLabs svela un nuovo sofisticato attacco detto Cloud Snooper che coniuga diverse tecniche di attacco per consentire al malware sul server di comunicare liberamente e controllare i server attraverso i firewall.

I SophosLabs hanno analizzato le tattiche, le tecniche e le procedure utilizzati (TTP – metodologia di analisi delle minacce APT), e sono giunti alla conclusione che dietro a questo attacco ci sia uno Stato mosso da obiettivi di spionaggio.

Come spiegato nel report, la metodologia TTP include l’aggiramento tramite rootkit delle policy del firewall una rara tecnica usata per accedere si server camuffati da normale traffico e un backdoor payload che condivide codici malevoli comuni ai sistemi operativi Windows e Linux: un approccio conosciuto ma inusuale.

Sebbene ognuno di questi elementi sia stato osservato in attacchi passati condotti da hacker esperti, è la prima volta che viene rilevata una combinazione come questa. Sophos prevede che questo insieme di TTP si diffonderà lungo tutta la gerarchia dei cybercriminali fino a diventare un modello per nuove tipologie di attacco ai firewall.

“È la prima volta che vediamo un attacco che coniuga una tecnica di aggiramento con un payload multi-piattaforma che colpisce sia i sistemi Windows che Linux. I team di sicurezza e i gestori di rete devono essere particolarmente diligenti nel patchare tutti i servizi esposti all’esterno al fine di prevenire elusioni delle policy di sicurezza di cloud e firewall.” spiega Sergei Shevchenko, threat research manager dei SophosLabs. “I responsabili della sicurezza IT devono altresì proteggersi da attacchi multipiattaforma: finora, l’obiettivo principale sono stati gli asset basati su Windows ma adesso i cybercrminali prendono sempre più spesso in considerazione anche i sistemi Linux che diventano dunque un allettante terreno di caccia. È solo questione di tempo prima che coloro che sferrano tali attacchi adottino questo tipo di tecnica.”

I nostri suggerimenti:

Bisogna ricordare che quando si parla di sicurezza non esiste un unico proiettile d’argento ma che solo una protezione multilivello ed un approccio basato su modelli di sicurezza next-gen – che includano componenti pensati appositamente per proteggere dati e reti in cloud come  Sophos Cloud Optix con  Sophos Intercept X for Server – sono fondamentali per contrastare  minacce sempre più avanzate.

Exit mobile version