Sono state molteplici le segnalazioni, provenienti da diversi team di sicurezza, riguardanti una sofisticatissima campagna botnet, attualmente in corso a livello mondiale: questa campagna sta tentando il brute-force di più di un milione e mezzo di server Windows RDP pubblicamente accessibili in Internet.
Ribattezzato Goldbrute, lo schema della botnet è progettato per incrementare gradualmente, aggiungendo di volta in volta un nuovo sistema infetto nella sua rete. Per rimanere invisibile agli strumenti di sicurezza e agli analisti malware, gli attaccanti dietro questa campagna inviano comandi a ciascuna macchina infetta di colpire milioni di server usando una unica combinazione di username e password, di modo che il server bersaglio riceva i tentativi di brute-force da diversi indirizzi IP.
Ecco lo schema di attacco di GoldBrute:
Fase 1: dopo un brute-force eseguito con successo su un server RDP, gli attaccanti installano il malware GoldBrute (Java-based) sulla macchina bersaglio.
Fase 2: per controllare il bot, gli attaccanti usano un server centralizzato di comando e controllo che scambia comandi e dati tramite una connessione WebSocket criptata con AES.
Fase 3 e 4: ogni bot riceve la sua prima "missione", ovvero eseguire una scansione e riportare in elenco almeno 80 nuovi server RDP pubblicamente accessibili da sottoporre a tentativi di brute-force.
Fase 5 e 6: gli attaccanti assegnano quindi ad ogni bot un unico set di credenziali, costringendoli a tentare attacchi di brute-force contro destinazioni RDP che il sistema infetto riceve continuamente dal server C&C.
Fase 7: se un tentativo di brute-forcing va a buon fine, il bot iporta al server di comando e controllo le credenziali di login.
Al momento non è chiaro quanti siano, esattamente, i server RDP già compromessi e che stanno effettivamente partecipando ad ulteriori attacchi di brute-force come bot della rete. Sappiamo solo che una scansione veloce con Shodan rende ad oggi circa 2.4 milioni di server RDP Windows accessibili in Internet: di questi, molto probabilmente, almeno la metà ha già ricevuto un tentativo di brute-forcing.
Nessun commento:
Posta un commento