Site icon Sophos News

Attenzione alle password deboli o errate: i criminali informatici stanno sfruttando i server Linux per perpetrare attività di cybercrimine

I ricercatori dell’azienda di sicurezza informatica AhnLab, con sede in Corea, stanno lanciando un avvertimento riguardo a un attacco di vecchio stile che affermano di riscontrare frequentemente in questi giorni. Tale attacco coinvolge l’acquisizione dell’accesso a server shell Linux da parte di criminali informatici, i quali utilizzano poi tali server come punto di partenza per condurre ulteriori attacchi, spesso a danni di terze parti inconsapevoli.

I conseguenti oneri finanziari causati da questa banda di truffatori, non altamente sofisticati, potrebbero non solo comportare spese impreviste sulle vostre bollette elettriche, ma anche danneggiarvi la reputazione, consentendo alle vittime coinvolte di additare voi e la vostra rete come responsabili dell’accaduto.

È un fatto analogo alla situazione in cui la vostra auto viene rubata e utilizzata per commettere un reato. In tal caso, potete aspettarvi una visita della polizia per richiedere spiegazioni sul vostro presunto coinvolgimento in attività criminali.

In alcuni Paesi esistono leggi stradali che rendono illegale lasciare le auto parcheggiate aperte, al fine di scoraggiare i ladri di auto, i vandali e altri criminali dediti al furto di veicoli, i quali traggono vantaggio da una facile opportunità.

Sicuri solo di nome

Questi aggressori sfruttano un trucco relativamente semplice e non segreto per individuare server shell Linux che permettono connessioni SSH (Secure Shell) tramite Internet. Successivamente, cercano di scoprire combinazioni comuni di nomi utente e password nella speranza di trovare almeno un account con scarsa protezione.

I server SSH ben protetti non consentono agli utenti di effettuare l’accesso utilizzando solo le password, ma richiedono di solito un livello aggiuntivo di sicurezza come l’utilizzo di coppie di chiavi crittografiche o l’autenticazione a due fattori (2FA). Queste misure di sicurezza supplementari rendono più difficile per gli aggressori accedere ai server e proteggono l’ambiente da attacchi basati su password deboli o vulnerabili.

Tuttavia, i server che vengono installati in modo rapido o attivati tramite container preconfigurati “pronti all’uso”, o come parte di uno script di configurazione più ampio per uno strumento di back-end che richiede SSH, possono avere servizi SSH che funzionano in modo insicuro per default. Questo avviene spesso a fronte della garanzia che verranno applicate misure più rigorose quando si passerà dalla fase di test a quella di produzione su Internet.

I ricercatori di AhnLab hanno rilevato che anche i semplici elenchi di password sembrano ancora produrre risultati utili per questi aggressori. Queste liste includono esempi pericolosamente prevedibili, come ad esempio:

L’utilizzo della combinazione di nome utente e password “nologin/nologin” o qualsiasi account con la password “changeme” è un promemoria che evidenzia come le migliori intenzioni possano spesso tradursi in azioni dimenticate o risultati errati.

In particolare, l’account chiamato “nologin” è concepito per essere autoesplicativo, attirando l’attenzione sul fatto che non è disponibile per il login interattivo. Tuttavia, questo avviso non serve a nulla e può persino creare un falso senso di sicurezza se l’account non è effettivamente protetto come ci si aspetterebbe.

Cosa succede poi?

Gli aggressori, osservati in questi casi, sembrano privilegiare uno o più di tre diversi esiti collaterali, vale a dire:

Come accennato in precedenza, gli aggressori che sono in grado di introdurre nuovi file di loro scelta tramite login SSH compromessi spesso modificano anche la configurazione SSH esistente per creare un accesso “sicuro” nuovo di zecca che possono utilizzare come backdoor in futuro.

Modificando le cosiddette chiavi pubbliche autorizzate nella directory .ssh di un account esistente (o appena aggiunto), i criminali possono invitarli segretamente a rientrare in un secondo momento.

Ironia della sorte, il login SSH basato su chiavi pubbliche è generalmente considerato molto più sicuro del vecchio login basato su password.

Nei sistemi di login basati su chiavi, il server conserva la chiave pubblica dell’utente, che può essere condivisa in modo sicuro. Quando l’utente desidera effettuare il login, il server gli invia una sfida casuale che deve essere firmata con la chiave privata corrispondente.

In questo processo non viene mai scambiata alcuna password tra il client e il server. Ciò significa che non ci sono informazioni sulla password memorizzate in memoria o inviate sulla rete che potrebbero essere compromesse ed utilizzate in futuro.

Tuttavia, è essenziale che il server sia attento nella selezione delle chiavi pubbliche che accetta come identificatori online. L’inserimento furtivo di una chiave pubblica non autorizzata potrebbe consentire ad un attaccante aggressore di garantirsi l’accesso illegittimo in futuro.

Cosa fare?

 

Nota. I prodotti Sophos rilevano il malware menzionato sopra, ed elencato come IoC (indicatori di compromissione) dai ricercatori dell'AhnLab, come Linux/Tsunami-A, Mal/PerlBot-A e Linux/Miner-EQ, qualora vogliate controllare i vostri log.
Exit mobile version