Microsoft ha attribuito l’ultima serie di attività di attacchi informatici al gruppo di minacce informatiche identificato come MuddyWater (detti anche Cobalt Ulster, Mercury, Seedworm o Static Kitten), collegato all’apparato di intelligence iraniano, il Ministero dell’intelligence e della sicurezza (MOIS).
I trucchetti di questi hacker iraniani che sfruttano il bug del log4j
Gli attacchi sono noti per l’utilizzo di istanze SysAid Server non protette contro il difetto Log4Shell come vettore per l’accesso iniziale, segnando un allontanamento dal modus operandi classico degli autori, cioè sfruttare le applicazioni VMware per violare gli ambienti di destinazione.
“Dopo aver ottenuto l’accesso, Mercury insiste, scarica le credenziali e si sposta lateralmente all’interno dell’organizzazione presa di mira utilizzando strumenti di hacking personalizzati e noti, nonché strumenti del sistema operativo integrati tramite attacchi hands-on-keyboard“, ha affermato Microsoft .
Il team di sicurezza informatica del gigante della tecnologia ha affermato di aver osservato gli attacchi tra il 23 e il 25 luglio 2022.
Sembra che una violazione sia stato seguita dal dispiegamento di shell web per eseguire comandi che consentono all’attore di condurre ricognizioni, fare attacchi persistenti, rubare credenziali e facilitare il movimento laterale (cioè prendere dati d’accesso per vie non canoniche, come ad esempio mandando email fasulle spacciandole per istituzionali).
Inoltre, per la comunicazione di comando e controllo (C2) durante le intrusioni sono stati impiegati due software: uno di gestione e l’altro di monitoraggio da remoto, chiamati rispettivamente eHorus e Ligolo, strumenti molto amati dagli israeliani per difendersi dall’attacco hacker iraniano.
I risultati arrivati dal Cyber Safety Review Board (CSRB) del Dipartimento per la sicurezza interna degli Stati Uniti ha ritenuto che la vulnerabilità critica nel framework di registrazione open source basato su Java sia una debolezza “endemica” che continuerà ad affliggere le organizzazioni negli anni a venire con l’evolversi degli exploit.
L’ampio utilizzo di Log4j su software e servizi di molti fornitori significa che avversari con mezzi sofisticati come enti statali e operatori informatici “d’elite” in vari settori hanno sfruttato opportunisticamente la vulnerabilità per organizzare una miriade di attacchi.
Gli attacchi Log4Shell seguono anche un recente rapporto di Mandiant che descriveva in dettaglio una campagna di spionaggio rivolta alle organizzazioni israeliane di navigazione, del governo, dell’energia e dell’assistenza sanitaria, da parte di un probabile gruppo di hacker iraniano chiamato UNC3890.
Ma in breve questo log4j cosa sarebbe?
In breve log4j altro non è che una libreria di Java. Sì, proprio quel linguaggio di programmazione ostico che ha non solo “insegnato” in un certo senso a molti a fare gli hacker, ma che ha accompagnato l’internet dei primi anni 2000 su molte chat.
Se non hai molta dimestichezza con la programmazione cercherò di essere breve: le librerie non sono altro che dei “codici già fatti” che puoi “richiamare” quando programmi qualcosa, in modo da non dover scrivere miriadi di righe di codice, avendole quindi già pronte quando servono.
Questa libreria, purtroppo, presenta una vulnerabilità non (ancora) risolta: la possibilità (per hacker che sanno dove mettere le mani) di poter controllare interi sistemi da remoto.
Da un punto di vista puramente casalingo, è molto difficile che qualcuno possa controllare un software da remoto per fare danni, visto che solitamente i programmi oggi sono fatti con altri linguaggi.
C’è però da dire che ogni tanto qualche programma, o videogioco, fatto in linguaggio java c’è, un titolo a caso: Minecraft.
Effettivamente questo videogioco potrebbe essere soggetto a “manipolazioni” di questo tipo in qualche server, essendo programmato proprio in linguaggio Java; c’è una (remota) possibilità, pertanto, che qualche hacker possa fare questa cosa.
Ciò è stato trattato da uno YouTuber d’oltre oceano l’anno scorso.
Tuttavia se si prendono le giuste precauzioni, non ci saranno problemi per tuo figlio che gioca a Minecraft.
