La stagione degli attacchi informatici torna alla grande anche a inizio 2024, e tra i primi obiettivi di questo nuovo anno abbiamo i server SSH di Linux. O meglio, quelli che presentano scarsa protezione.
Questi ultimi sono diventati bersaglio di attacchi da parte di hacker professionisti, i quali cercano di installare “scanner di porte” e strumenti di “attacco a dizionario“. Ma cosa sono questi attacchi, e a cosa fare attenzione?
Il caso dei server SSH Linux
Questi risultati emergono nel contesto delle recenti rivelazioni di Kaspersky riguardo a una nuova minaccia multipiattaforma denominata NKAbuse, che sfrutta una connettività di rete decentralizzata e un protocollo peer-to-peer noto come NKN (New Kind of Network) come canale di comunicazione per attacchi DDoS.
Come riporta The Hacker News, durante tali attacchi i malintenzionati cercano di indovinare le credenziali SSH del server attraverso un attacco a dizionario, sperimentando combinazioni comuni di nomi utente e password. Se l’attacco di forza bruta ha successo, gli aggressori distribuiscono ulteriori malware, inclusi scanner, al fine di individuare altri sistemi vulnerabili su Internet.
Lo conferma anche il Centro di risposta alle emergenze di sicurezza AhnLab (ASEC) del fatto che gli autori delle minacce potrebbero optare per l’installazione di scanner. E successivamente vendere l’IP violato e le credenziali dell’account sul Dark Web. In particolare, lo scanner è progettato per individuare sistemi con la porta 22, associata al servizio SSH, ripetendo quindi il processo di attacco a dizionario.
Si presume che questi strumenti siano stati creati dal vecchio team di PRG, con ogni attore della minaccia che li modifica leggermente prima di utilizzarli negli attacchi. Ci sono evidenze dell’utilizzo di tale software dannoso già nel 2021.
Quali sono gli attacchi in questione
Quando si parla di “scanner di porte” e “attacco a dizionario“, nel caso delle aggressioni informatiche ai danni dei Server Linux, parliamo di due tipologie di attacchi molto diversi tra loro.
Lo scanner di porte, o port scanning, è una tecnica progettata per sondare un server o un host al fine di stabilire quali porte siano in ascolto sulla macchina. In genere utilizzata per verificare le politiche di sicurezza delle loro reti, gli hacker possono adottarla per identificare i servizi in esecuzione su un host e sfruttarne le vulnerabilità.
Mentre un attacco a dizionario è una tecnica di attacco informatico mirata a “rompere” un meccanismo di autenticazione provando a decifrare un codice cifrato (es. password cracking) o a determinare la passphrase cercando tra un gran numero di possibilità, tramite una serie continuativa e sistematica di tentativi di inserimento.
L’obiettivo di questi attacchi è infatti di compromettere i server vulnerabili, cooptandoli in una rete per eseguire operazioni di mining di criptovaluta e attacchi di negazione del servizio distribuita (DDoS).
Per mitigare i rischi associati a questi attacchi, è consigliabile che gli utenti adottino password difficili da indovinare, e che le cambino periodicamente. Oltre a mantenere aggiornati i propri sistemi, come fa anche la concorrenza.
