Alfonso Maruccia

Botnet, abusi per Linux

I ricercatori di sicurezza identificano e mettono fuori gioco una rete malevola specializzata in spam e progettata per abusare dei server Linux. Anche per gli attacchi DDoS, il kernel open source è parecchio richiesto

Roma - La security enterprise ESET ha "abbattuto" l'operazione cyber-criminale nota come "Mumblehard", una botnet progettata per prendere di mira i server Linux vulnerabili e trasformarli in agenti dispensatori di posta spazzatura. Un'infrastruttura malevola dal centro di comando e controllo fragile, in ogni caso.

Il malware Mumblehard è (o forse era) in grado di sfruttare note vulnerabilità nei framework più popolari (come WordPress) per compromettere il server, e l'operazione ha avuto un certo successo visto che è stata in grado di assoggettare 4mila diversi sistemi remoti al business malevolo degli autori a base di spam.

Dopo aver individuato Mumblehard, ESET ha prima di tutto registrato un nome di dominio sfruttabile come centro di comando e controllo per il componente backdoor della botnet e utilizzato per stimare le dimensioni e la distribuzione della rete malevola. La risposta dei criminali? Eliminare gli IP e i domini "compromessi" per continuare a controllare indisturbati la botnet.
Ma la scelta di usare un singolo IP per il controllo della rete è risultata fatale, poiché ESET ha infine deciso di muoversi prendendo il controllo del suddetto IP e muovendosi con le autorità competenti per evitare che potesse essere ulteriormente trasferito a terzi. Ora l'indirizzo IP sequestrato dispensa patch, ed ESET ha pubblicato le informazioni necessarie a identificare la presenza del malware su un server.

Che i sistemi Linux costituiscano un obiettivo importante per gli autori delle botnet non è certo una novità dell'ultima ora, e non tutti i casi si concludono felicemente come quello che ha portato alla cessazione delle attività per Mumblehard.

Una botnet classificata come BillGates e attiva dal 2014, rivela ad esempio Akamai, è specializzata nel condurre attacchi di tipo DDoS contro i server videoludici asiatici (fatto noto anche questo) dispensando picchi di traffico che possono arrivare a 5,6 Gbps con un milione di pacchetti di dati inviati al secondo.

Alfonso Maruccia
Notizie collegate
57 Commenti alla Notizia Botnet, abusi per Linux
Ordina
  • Ho scritto che non ricevo spam pubblicitario, ma solo phishing con link od allegati malevoli. Dette mail sono confezionate piuttosto maldestramente e solo poche potrebbero trarre in inganno.
    Le societa' utilizzano i database, comunque formati, a fini prettamente commerciali e non per danneggiare la potenziale nuova clientela.
    E' evidente che nel mezzo c'e' una qualche forma organizzata delinquenziale: la cosa che mi meraviglia e' che nessuno ne parli. (IMHO)
    non+autenticato
  • Il titolo dovrebbe essere "Botnet, wordpress abusato", dato che i server é scontato sono TUTTI linux.
    non+autenticato
  • la tanto decantata sicurezza... Rotola dal ridere
    non+autenticato
  • - Scritto da: palomita
    > la tanto decantata sicurezza... Rotola dal ridere

    Trova le differenze:
    Caso A: Linux
    I ricercatori di sicurezza identificano e mettono fuori gioco una rete malevola

    Caso B: Altro sistema operativo
    I ricercatori di sicurezza che hanno individuato una rete malevola sono stati denunciati dal noto produttore del sistema operativo, che comunque ha annunciato in conferenza stampa (con tanto di ballerine seminude sul palco) che solo pochi sistemi sono stati interessati, con danni trascurabili (se confrontati col fatturato del produttore del SO), e comunque e' allo studio una patch che sara' distrubuita con uno dei prossimi aggiornamenti obbligatori irrinunciabili.

    Hai trovato le differenze?
  • L'articolo parla chiaro "I ricercatori di sicurezza identificano e mettono fuori gioco una rete malevola specializzata in spam e progettata per abusare dei server Linux ."

    "La security enterprise ESET ha "abbattuto" l'operazione cyber-criminale nota come "Mumblehard", una botnet progettata per prendere di mira i server Linux vulnerabili e trasformarli in agenti dispensatori di posta spazzatura. Un'infrastruttura malevola dal centro di comando e controllo fragile, in ogni caso."

    Se vuoi parlare di altro sperando di spostare il discorso vai su un'altra notizia.
  • - Scritto da: aphex_twin
    > L'articolo parla chiaro "I ricercatori di
    > sicurezza identificano e mettono fuori gioco una
    > rete malevola specializzata in spam e progettata
    > per abusare dei server Linux
    >

    > ."
    >
    > "La security enterprise ESET ha "abbattuto"
    > l'operazione cyber-criminale nota come
    > "Mumblehard", una botnet progettata
    > per prendere di mira i server Linux vulnerabili
    >
    e trasformarli in agenti dispensatori
    > di posta spazzatura. Un'infrastruttura malevola
    > dal centro di comando e controllo fragile, in
    > ogni
    > caso."
    >
    > Se vuoi parlare di altro sperando di spostare il
    > discorso vai su un'altra
    > notizia.

    L'articolo parla chiaro "I ricercatori di
    sicurezza identificano e mettono fuori gioco una
    rete malevola specializzata in spam e progettata
    per abusare dei server Linux"


    E quindi di che cosa vogliamo parlare visto che questa cosa di cui parla l'articolo, non esiste piu' in quanto, come dice l'articolo, e' stata messa "fuori gioco"?
  • "Il malware Mumblehard è (o forse era) in grado di sfruttare note vulnerabilità nei framework più popolari (come WordPress) per compromettere il server"

    - R I T E N T A - Rotola dal ridere
    non+autenticato
  • - Scritto da: Etype
    > "Il malware Mumblehard è (o forse era) in grado
    > di sfruttare note vulnerabilità nei framework più
    > popolari (come WordPress) per compromettere il
    > server"
    >
    > - R I T E N T A - Rotola dal ridere

    Ci provo .... e senza andare a ravanare chissà dove A bocca aperta

    "Che i sistemi Linux costituiscano un obiettivo importante per gli autori delle botnet non è certo una novità dell'ultima ora, e non tutti i casi si concludono felicemente come quello che ha portato alla cessazione delle attività per Mumblehard.

    Una botnet classificata come BillGates e attiva dal 2014, rivela ad esempio Akamai, è specializzata nel condurre attacchi di tipo DDoS contro i server videoludici asiatici (fatto noto anche questo) dispensando picchi di traffico che possono arrivare a 5,6 Gbps con un milione di pacchetti di dati inviati al secondo."
  • - Scritto da: aphex_twin
    > - Scritto da: Etype
    > > "Il malware Mumblehard è (o forse era) in grado
    > > di sfruttare note vulnerabilità nei framework
    > più
    > > popolari (come WordPress) per compromettere il
    > > server"
    > >
    > > - R I T E N T A - Rotola dal ridere
    >
    > Ci provo .... e senza andare a ravanare chissà
    > dove
    >A bocca aperta
    >
    > "Che i sistemi Linux costituiscano un obiettivo
    > importante per gli autori delle botnet non è
    > certo una novità dell'ultima ora, e non tutti i
    > casi si concludono felicemente come quello che ha
    > portato alla cessazione delle attività per
    > Mumblehard.

    Grazie al c...o, una botnet di macserver conterebbe un nodo solo.

    Ad ogni modo, la falla non è in linux, ma in ciò che vi viene installato sopra da quello che ha la password di root.

    "Based on the server where we made the discovery and the list of systems we have identified as infected, there are two plausible infection vectors used to spread Mumblehard. The most popular vector seems to be the use of Joomla and Wordpress exploits. The other is through the distribution
    of backdoored "pirated" copies of a Linux and BSD program known as DirectMailer, software that Yellsoft sells on their website for $240."
  • - Scritto da: Fulmy(nato)
    > Grazie al c...o, una botnet di macserver
    > conterebbe un nodo
    > solo.
    >
    > Ad ogni modo, la falla non è in linux, ma in ciò
    > che vi viene installato sopra da quello che ha la
    > password di
    > root.

    Frega nulla , si parla di server Linux. A bocca aperta
  • E quindi ?

    Ti devono dire che un qualunque OS non aggiornato dove l'amministratore se ne frega altamente della sicurezza può far parte di una botnet ?

    Scopertona eh...
    non+autenticato
  • Ricordati di dirlo anche quando si parla di altri OS. Annoiato
  • Sempre fatto...
    non+autenticato
  • Qualcuno mi spiega come mai, a proposito di crypto-virus, un indirizzo di posta elettronica che utilizzo solo ed esclusivamente per gli acquisti con una nota azienda multinazionale sia bombardato da mail contenenti link malevoli o allegati infetti?
    Non faccio acquisti da dicembre, ma ricevo quasi 10 mail giornaliere.
    Non ho mai usato tale recapito per posta in uscita: compro e verifico la posta in arrivo che conferma gli ordini.
    Altro indirizzo con lo stesso provider non riceve quasi nulla, solo un po' di spam pubblicitario, eppure e' l'indirizzo che uso tutti i giorni.
    In tutti gli studi e gli articoli di aziende che si occupano di sicurezza si parla sempre di reti di furfanti, ma il "la" chi glielo da? Chi gli fornisce gli indirizzi di posta ai delinquenti?

    E' il mio provider di posta o quello di di servizi internet ad essere infetto? Ma allora perche' non viene bombardato anche l'altro indirizzo?

    E' la multinazionale di vendite online ad essere infetta? Mi sembrerebbe strano che non fossero gia' corsi ai ripari (ve lo immaginate il danno se si ritrovassero coi server bloccati).

    E' il mio pc ad essere infetto? Lo escluderei (per quanto sia paranoico) anche perchè per gli acquisti utilizzo una live.
    non+autenticato
  • - Scritto da: aieie brazov
    > Qualcuno mi spiega come mai, a proposito di
    > crypto-virus, un indirizzo di posta elettronica
    > che utilizzo solo ed esclusivamente per gli
    > acquisti con una nota azienda multinazionale sia
    > bombardato da mail contenenti link malevoli o
    > allegati
    > infetti?
    > Non faccio acquisti da dicembre, ma ricevo quasi
    > 10 mail
    > giornaliere.
    > Non ho mai usato tale recapito per posta in
    > uscita: compro e verifico la posta in arrivo che
    > conferma gli
    > ordini.
    > Altro indirizzo con lo stesso provider non riceve
    > quasi nulla, solo un po' di spam pubblicitario,
    > eppure e' l'indirizzo che uso tutti i
    > giorni.
    > In tutti gli studi e gli articoli di aziende che
    > si occupano di sicurezza si parla sempre di reti
    > di furfanti, ma il "la" chi glielo da? Chi gli
    > fornisce gli indirizzi di posta ai
    > delinquenti?
    >
    > E' il mio provider di posta o quello di di
    > servizi internet ad essere infetto? Ma allora
    > perche' non viene bombardato anche l'altro
    > indirizzo?
    >
    > E' la multinazionale di vendite online ad essere
    > infetta? Mi sembrerebbe strano che non fossero
    > gia' corsi ai ripari (ve lo immaginate il danno
    > se si ritrovassero coi server
    > bloccati).
    >
    > E' il mio pc ad essere infetto? Lo escluderei
    > (per quanto sia paranoico) anche perchè per gli
    > acquisti utilizzo una
    > live.

    MiM
    maxsix
    10669
  • macche', sono le stesse aziende che buttano il tuo indirizzo e-mail nel database di una loro affiliata e da li' fa il giro del mondo

    ah quelle scritte in piccoloA bocca aperta
    non+autenticato
  • poi ci sono le aziende che non hanno una infrastruttura propria e sparpagliano i dati dei propri utenti in mano alla concorrenza (coffpapplecoffcoff).
    non+autenticato
  • - Scritto da: maxmin

    > (coffpapplecoffcoff).

    manno' cosa dici maiA bocca aperta

    mica c'hanno iCloud sui server di Amazon?A bocca apertaA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > macche', sono le stesse aziende che buttano il
    > tuo indirizzo e-mail nel database di una loro
    > affiliata e da li' fa il giro del
    > mondo
    >
    > ah quelle scritte in piccoloA bocca aperta

    ieri in nota catena "il re merlino" (traducete in francese).

    Io: Salve vorrei <articolo> e il montaggio a casa.
    commesso: certamente, mi dia nome congome indirizzo...
    I: perche?
    C: per mandarle l'operaio per il sopralluogo.
    I: effettivamete non ha tutti i torti..
    C: e codice fiscale.
    I: perche?
    C: per inserirla nel nostro database clienti
    I: guardi, non mi ineressa finire nel vostro database clienti per poi venire massacrato di publicita', chiamate etc
    C: (sorridendo inbarazzato) ma cosi' non possiamo farle in lavoro se non la registro nel database clienti.
    I. d'accordo, mi rivolgero' altrove, buongiorno.
    non+autenticato
  • solitamente è il venditore o la ditta di spedizione usata dal venditore da cui acquisti online che oltre a spedirti la merce vende e ti registra il tuo indirizzo email di nascosto (tanto sanno che non riuscirai mai a sapere chi è stato...)
    non+autenticato
  • - Scritto da: Brodo
    > solitamente è il venditore o la ditta di
    > spedizione usata dal venditore da cui acquisti
    > online che oltre a spedirti la merce vende e ti
    > registra il tuo indirizzo email di nascosto
    > (tanto sanno che non riuscirai mai a sapere chi è
    > stato...)

    Chissà perché a me non succedono ste cose(arrivano news-letter perché richieste da me). Affidarsi a venditori seri forse fa la differenza.

    Fra l'altro quando vedo un venditore che richiede il mio codice fiscale va in automatico in blacklist, e a vita. Anche perché non capisco perché per comprare un adattatore di 2euro mi debba venir chiesto obbligatoriamente il CF.
    non+autenticato
  • > E' la multinazionale di vendite online ad essere
    > infetta? Mi sembrerebbe strano che non fossero
    > gia' corsi ai ripari (ve lo immaginate il danno
    > se si ritrovassero coi server
    > bloccati).

    Infetta? Hai letto la dichiarazione relativa alla privacy che ti hanno fatto accettare? Hai dato il tuo consenso alla cessione dei dati personali a terze parti per finalità di marketing?
    non+autenticato
  • - Scritto da: nome e cognome
    > privacy che ti hanno fatto accettare? Hai dato il
    > tuo consenso

    Sei in italia. non puoi aver privacy. se ne parla tra 30anni in tribunale
    non+autenticato