Con il supporto della Shadowserver Foundation, un’organizzazione no-profit specializzata nella raccolta di dati sulle minacce informatiche, i ricercatori di sicurezza di WatchTowr Labs hanno scoperto più le 4.000 backdoor (o backdoor in francese) sul web. Queste vulnerabilità nascoste sono state inserite dai criminali informatici sui server web, prima di essere abbandonate. Non venivano più utilizzati attivamente, ma erano ancora operativi.
Per la cronaca, una backdoor è un malware installato su un sito Web o su un server da offrire accesso clandestino ai criminali informatici. Ti consente di eseguire comandi da remoto, rubare dati o installare altro malware. In questo caso gli hacker hanno utilizzato domini Internet per trasmettere istruzioni alle backdoor. Questi domini erano scaduti.
Leggi anche: Gli hacker cinesi avrebbero spiato gli Stati Uniti utilizzando backdoor predisposte per intercettazioni legali
Backdoor smantellati
Dopo aver scoperto i difetti, i ricercatori hanno deciso di farlo smantellare l’intera infrastruttura in modo che altri hacker non utilizzino le backdoor. Per raggiungere questo obiettivo, hanno riacquistato tutti i domini lasciati dai pirati. Di fatto, sono riusciti a intercettare le comunicazioni backdoor e a prenderne il controllo. Concretamente, i ricercatori sono stati in grado di reindirizzare tutte le comunicazioni su server sicuri.
“Abbiamo preso il controllo delle backdoor (basate su infrastrutture ormai abbandonate o su domini scaduti) che erano a loro volta incorporati in altre backdoor”spiega il rapporto dei ricercatori di WatchTowr Labs.
Da lì, gli esperti di WatchTowr Labs sono stati in grado di determinare parte della lista delle vittime dell’attacco informatico. Secondo loro le backdoor sarebbero state installate soprattutto su server web di enti statali o università di tutto il mondo, soprattutto in Tailandia, Corea del Sud e Cina. Anche i tribunali e le agenzie cinesi sono stati violati.
Leggi anche: È in corso una fuga di dati da “incubo”: la posizione di milioni di smartphone è stata compromessa
Criminali informatici finanziati dai governi
Tutto suggerisce che le backdoor siano state implementate da criminali informatici finanziati dal governo. Anche una delle backdoor lo è associato a Lazzarouno dei gruppi criminali guidati dalla Corea del Nord. Negli ultimi cinque anni gli hacker si sono specializzati nel furto di criptovalute.
Sono particolarmente noti per aver orchestrato l’hacking di Ronin Network nel 2022, che ha comportato la scomparsa di 624 milioni di dollari in risorse digitali. Secondo WatchTowr Labs, la backdoor è stata probabilmente riutilizzata da altri criminali informatici da quando Lazarus l’ha inserita:
«È improbabile che abbiamo colto Lazarus in azione, visto il profilo dell’obiettivo. Tuttavia, è probabile che vedremo altri aggressori riutilizzare gli strumenti sviluppati da Lazarus per i propri scopi.”
Tutto fa pensare che le backdoor siano state posizionate da a vasta gamma di piraticon diversi livelli di abilità. Secondo gli esperti, possiamo aspettarci che nel prossimo futuro vengano scoperte altre backdoor di questo tipo.
???? Per non perdere nessuna novità da 01net, seguici su Google News e WhatsApp.
Fonte :
Labs WatchTow
