Il caso Nezha: quando un Attacco Informatico sembra normale manutenzione

C’è un momento, spesso tardivo, in cui ci si accorge che il problema non è entrato forzando la porta, ma usando le chiavi di casa. È quello che succede quando uno strumento nato per amministrare, monitorare, semplificare il lavoro quotidiano di chi gestisce sistemi diventa il veicolo perfetto per restare nascosti. Nezha non arriva con comportamenti plateali, non lascia firme evidenti, non fa rumore.

Si installa, aspetta, osserva. In un log sembra manutenzione ordinaria, in una dashboard appare come una presenza già vista mille volte. Ed è proprio lì che si inceppa il riflesso difensivo: quando ciò che si guarda ogni giorno smette di essere messo in discussione.

Gli aggressori hanno iniziato a utilizzare uno strumento di monitoraggio dei server legittimo come piattaforma pronta all’uso per il controllo remoto di sistemi già compromessi. Secondo l‘Ontinue Cyber Defense Center, i nuovi incidenti coinvolgono Nezha, un popolare sistema di monitoraggio e amministrazione open source che funziona sia su Windows che su Linux.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

In questa campagna, Nezha non agisce come malware nel senso tradizionale del termine, ma come strumento di accesso remoto post-sfruttamento. La sua legalità e il supporto attivo del progetto lo rendono praticamente insospettabile: secondo i ricercatori di VirusTotal, i suoi componenti non sono stati attivati da nessuno dei 72 motori testati.

L’agente si installa silenziosamente e può rimanere inosservato a lungo, finché gli aggressori non iniziano a impartire comandi, rendendo i tradizionali metodi di protezione basati sulle firme spesso inefficaci in questi casi.

Gli esperti lo definiscono un esempio di una tendenza crescente in cui gli aggressori abusano sistematicamente di software “normali” per infiltrarsi nell’infrastruttura e muoversi nella rete, eludendo il rilevamento. Maiures di Qualys ha osservato che in un ambiente in cui Nezha è già considerato uno strumento comune, i difensori potrebbero persino non notare le anomalie: l’attività sembra essere un’amministrazione di routine.

Nezha è stato originariamente creato per la comunità IT cinese e ha accumulato quasi 10.000 stelle su GitHub. La sua architettura è tipica di piattaforme simili: un pannello di controllo centrale e agenti leggeri sui computer monitorati. Gli agenti supportano l’esecuzione di comandi, il trasferimento di file e sessioni di terminale interattive: funzionalità utili per gli amministratori, ma altrettanto comode per gli aggressori.

Secondo il rapporto di Ontinue, l’attacco ha utilizzato uno script Bash che ha tentato di distribuire un agente, connettendolo all’infrastruttura controllata dall’aggressore. Lo script conteneva messaggi di stato e parametri di configurazione in cinese che puntavano a un pannello di controllo remoto ospitato su Alibaba Cloud, in particolare in Giappone. Tuttavia, i ricercatori sottolineano che il linguaggio utilizzato nei messaggi è un indizio troppo debole per l’attribuzione: tali “tracce” sono facilmente falsificabili.

Di particolare interesse è il fatto che l’agente Nezha sia progettato per operare con privilegi elevati. Nell’ambiente di test, Nezha su Windows fornisce una sessione PowerShell interattiva con privilegi NT AUTHORITYSYSTEM e, su Linux, accesso a livello root, senza richiedere un exploit di vulnerabilità separato o un’escalation di privilegi.

Secondo gli esperti, il problema non è che Nezha sia “dannoso”, ma che consente agli aggressori di risparmiare tempo nello sviluppo dei propri strumenti ed eseguire in modo affidabile comandi remoti, lavorare con i file e ottenere una shell interattiva su una macchina compromessa.

Nell’ambito dell’indagine, Ontinue ha anche esaminato la dashboard pubblica associata all’incidente: segnali indiretti indicavano che centinaia di endpoint avrebbero potuto esservi collegati. Una tale portata è possibile se un segreto condiviso o una chiave di accesso viene compromesso e una singola dashboard inizia a controllare un gran numero di macchine.

La sfida principale per la sicurezza, come riconoscono i ricercatori, è distinguere l’uso legittimo degli strumenti dall’abuso. In questi casi, il contesto è fondamentale: chi ha installato l’agente, quando è apparso, dove si connette, quali comandi vengono eseguiti e quanto questo sia simile al normale lavoro di un amministratore. Come conclude Qualys, è ora di smettere di dividere gli strumenti in “buoni” e “cattivi” e di analizzare invece il loro comportamento e i loro scenari di utilizzo.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli