Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

La cybergang Outlaw scatena attacchi globali contro server GNU/Linux

di ·

La cybergang Outlaw scatena attacchi globali contro server GNU/Linux

Un noto gruppo di criminali informatici denominato Outlaw, noto anche come Dota, ha intensificato i suoi attacchi ai server GNU/Linux in una campagna globale. Il gruppo ha sfruttato password SSH deboli o predefinite per accedere ai server, dove installare malware e utilizza i sistemi per il mining di criptovalute.

Gli attacchi sono stati confermati in diversi Paesi, tra cui Stati Uniti, Germania, Italia, Brasile, Canada, Thailandia e Taiwan.

Sfrutta le password SSH deboli

Il metodo principale del gruppo è quello di accedere tramite SSH ai server GNU/Linux, le cui password sono deboli o non sono mai state modificate rispetto alle impostazioni predefinite. Particolarmente vulnerabili sono gli account amministrativi come “suporte” (supporto), che spesso si trovano in ambienti preconfigurati.

Dopo l’accesso, viene aggiunta una chiave SSH non autorizzata per l’utente “mdrfckr”, consentendo all’aggressore di accedere permanentemente al sistema senza dover immettere nuovamente una password.

Installazione di botnet

Una volta ottenuto l’accesso, viene installato uno script Perl che scarica e decomprime un archivio denominato dota.tar.gz. Questo codice è inserito in una cartella nascosta denominata .configrc5 , dove si trovano i file eseguibili come init0 e b/run

Il malware è intenzionalmente offuscato per evitare di essere rilevato e dispone di meccanismi per sopravvivere ai riavvii. La comunicazione avviene tramite IRC, che consente il controllo remoto del sistema, tra le altre cose, per attacchi DDoS, ulteriore diffusione e download di altri file dannosi.

Mining di criptovalute con XMRig

Uno degli obiettivi principali degli attacchi è utilizzare le risorse dei server per estrarre Monero (XMR), una criptovaluta anonima. Gli aggressori utilizzano una versione modificata dell’exploit XMRig (un software open source progettato per il mining di criptovalute), mascherandosi da processo di sistema kswapd0. Ciò consente al programma di funzionare in background senza destare sospetti.

Il risultato è spesso un impatto significativo sulle prestazioni. Molti amministratori di sistema non si accorgono dell’attacco finché il sistema non diventa lento o instabile.

Misure di protezione

Per ridurre il rischio di questo tipo di intrusione, gli amministratori di server GNU/Linux dovrebbero adottare le seguenti misure:

  • Disattivare l’accesso SSH basato su password e utilizzare l’autenticazione basata su chiave.
  • Limitare l’accesso SSH a specifici indirizzi IP e valutare l’utilizzo di una porta non standard.
  • Monitorare le risorse di sistema per rilevare un utilizzo insolitamente elevato della CPU o processi sconosciuti.
  • Installare regolarmente gli aggiornamenti di sicurezza sia per il sistema operativo che per il kernel Linux.

In sostanza, applicare le pratiche standard per la gestione di un server online!

Riepilogo

L’attacco del gruppo di criminali informatici Outlaw dimostra chiaramente che anche i server GNU/Linux, spesso considerati più sicuri di altri sistemi, sono vulnerabili se non configurati e monitorati correttamente. Sfruttando le vulnerabilità della sicurezza, gli aggressori possono usare i server come strumenti per ottenere guadagni finanziari e portare avanti ulteriori attacchi senza essere scoperti.

Un server sicuro necessita di procedure efficaci, una strategia di sicurezza proattiva e un monitoraggio costante. Senza queste misure, aumenta significativamente il rischio che l’infrastruttura venga compromessa e sfruttata da gruppi criminali come Outlaw.

Fonte: https://cyptd.com/global-attacks-targeting-linux/
Fonte: https://securelist.com/outlaw-botnet/116444/
Fonte: https://www.linux.se/outlaw-hackergrupp-riktar-in-sig-pa-linux-servrar-varlden-over/

Visited 108 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.