Rilasciati nuovi strumenti di attacco di Equation Group

 

Proto: N030417.

Con la presente Yoroi desidera informarLa che il gruppo hacker conosciuto con il nome di “Shadow Brokers” ha recentemente pubblicato una serie di strumenti di attacco informatico classificati riconducibili alle attività di cyber-spionaggio condotte dall’NSA. Il rilascio di questi strumenti di attacco è legato a richieste di riscatto e minacce dirette all’amministrazione Americana, tuttavia benché a detta di “Shadow Brokers” i dati pubblicati rappresentino solo una parte dell’arsenale trafugato dal gruppo di cyber-spionaggio Equation Group affiliato all’NSA, essi contengono numerosi exploit per varie vulnerabilità presenti su sistemi server , dispositivi di rete e applicativi web.

Il rilascio al pubblico di questa strumentazione di attacco rappresenta un rischio concreto per la sicurezza, tant’è che questi strumenti possono essere utilizzati sia durante campagne di attacco strutturate da attaccanti esperti o gruppi APT, sia da attaccanti opportunistici o da attaccanti occasionali.

Nella fattispecie all’interno degli archivi rilasciati dal gruppo “Shadow Brokers” è possibile reperire una pletora di strumenti di attacco come:

  • Exploit per vulnerabilità di servizi in grado di eseguire comandi arbitrari da remoto 
    • Solaris 7/8/9 (SPARC and Intel) RCE, 0-day
    • NetScape Enterprise Server
    • Proftpd 1.2.8 per RHL 7.3+/Linux
    • phpBB per versioni minori di 2.0.11
    • SquirrelMail versioni comprese tra 1.4.0 e 1.4.7
    • Avaya Media Server
    • Httpd versione 2.0.40-21 su Red Hat 9.0
    • Samba 2.2 e 3.0.2a – 3.0.12-5 , per r FreeBSD, OpenBSD 3.1, OpenBSD e Solaris
    • Squid HTTP Proxy
    • Postfix versioni tra 2.0.8 e 2.1.5
  • Exploit per ottenere permessi privilegiati all’interno dei sistemi
    • Per Sistemi Cobalt Linux release 6.0
    • Per sistemi AIX
    • Attraverso lo sfruttamento di Cpanel
    • Attraverso lo sfruttamento dell’interprete Perl
    • Attraverso OpenWebMail
  • Strumenti di Anti-Forensic per eliminazione tracce di intrusione
    • Per sistemi Linux
  • Backdoor e strumenti di amministrazione remota
    • Per sistemi SPARC, Solaris
    • Per sistemi Cisco
    • Per sistemi Linux/FreeBSD/Solaris/JunOS
    • Per sistemi AIX


A questo proposito Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza anche in porzioni di rete dove risiedono sistemi come Solaris, AIX e Varianti Linux/FreeBSD, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index