Violato Internet Service Provider da un gruppo hacker cinese
Un recente attacco informatico ha visto un gruppo di hacker cinese noto come StormBamboo violare un Internet Service Provider (ISP) per distribuire malware attraverso aggiornamenti software. Questo attacco ha messo in pericolo la sicurezza di molti utenti che hanno ricevuto aggiornamenti software compromessi.
Il gruppo di hacker StormBamboo
StormBamboo, anche noto come Evasive Panda, Daggerfly e StormCloud, è un gruppo di hacker cinese attivo dal 2012. Il gruppo è noto per le sue attività di spionaggio informatico e ha già colpito organizzazioni in Cina, Hong Kong, Macao, Nigeria e vari paesi dell’Asia sudorientale e orientale.
L’attacco all’ISP
Gli hacker hanno sfruttato meccanismi di aggiornamento software inaffidabili che non verificavano le firme digitali per distribuire payload di malware su dispositivi Windows e macOS. Questo è stato possibile attraverso l’intercettazione e la modifica delle richieste DNS degli utenti, che hanno ricevuto IP malevoli dai server di comando e controllo degli hacker.
Conseguenze dell’attacco
L’attacco ha permesso agli hacker di installare malware, tra cui MACMA e POCOSTICK (noto anche come MGBot), sui dispositivi degli utenti. Inoltre, hanno installato un’estensione di Google Chrome malevola chiamata ReloadText, che ha consentito loro di raccogliere e rubare cookie e dati di posta elettronica.
Risposta dell’ISP
L’ISP coinvolto ha collaborato con i ricercatori di Volexity per indagare sull’incidente e ha disattivato i dispositivi chiave della sua rete per fermare l’avvelenamento DNS.
Precedenti attività di StormBamboo
Questo non è il primo caso in cui StormBamboo ha utilizzato tecniche di aggiornamento software per distribuire malware. In aprile 2023, gli hacker hanno utilizzato lo stesso metodo per distribuire il backdoor POCOSTICK (MGBot) attraverso l’applicazione di messaggistica Tencent QQ. Inoltre, in luglio 2024, hanno utilizzato nuove versioni del backdoor MACMA e del malware Nightdoor per colpire organizzazioni in Taiwan e negli Stati Uniti.
Consigli e best practice
Per proteggere i propri dispositivi da attacchi simili, è importante:
- Utilizzare software di aggiornamento sicuro e verificare le firme digitali degli aggiornamenti.
- Implementare misure di sicurezza robuste, come la crittografia e l’autenticazione a due fattori.
- Monitorare regolarmente i dispositivi per rilevare e rispondere a eventuali attività sospette.
- Collaborare con gli ISP e i fornitori di software per garantire la sicurezza degli aggiornamenti.
In sintesi, l’attacco di StormBamboo all’ISP è un esempio di come gli hacker possano sfruttare le debolezze della sicurezza per distribuire malware. È fondamentale che gli utenti e le organizzazioni prendano misure per proteggere i propri dispositivi e dati da questi attacchi.
