Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 7 Aprile 2022 12:23
Il Federal Bureau of Investigation degli Stati Uniti ha sottratto il controllo di migliaia di router e dispositivi firewall agli hacker militari russi, dirottando la stessa infrastruttura che le spie di Mosca stavano usando per comunicare con i dispositivi hakcerati, hanno detto mercoledì funzionari statunitensi.
Una dichiarazione giurata non sigillata ha descritto questa operazione insolita come una mossa preventiva per impedire agli hacker russi di creare una “botnet” malevola, ovvero una rete di computer compromessi che può bombardare altri server con traffico fittizio.
“Fortunatamente, siamo stati in grado di interrompere questa botnet prima che potesse essere utilizzata”
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
ha affermato il procuratore generale degli Stati Uniti Merrick Garland. L’ambasciata russa a Washington non ha effettuato commenti.
La botnet era controllata tramite un malware chiamato Cyclops Blink, che le agenzie di difesa informatica statunitensi e britanniche avevano pubblicamente attribuito a “Sandworm“, presumibilmente una delle squadre national state del servizio di intelligence militare russo che è stata più volte accusata di aver compiuto attacchi informatici.
Sandworm, è noto anche come Unit 74455, è presumibilmente un’unità cybermilitare russa del GRU, l’organizzazione responsabile dell’intelligence militare russa. Altri nomi, dati dai ricercatori di sicurezza informatica includono Telebots, Voodoo Bear e Iron Viking.
Si ritiene che il team sia dietro l’ attacco informatico alla rete elettrica in Ucraina del dicembre 2015, gli attacchi informatici del 2017 all’Ucraina utilizzando il malware NotPetya, vari tentativi di interferenza nelle elezioni presidenziali francesi del 2017 e l’attacco informatico alla cerimonia di apertura delle Olimpiadi invernali 2018. L’allora procuratore degli Stati Uniti per il distretto occidentale della Pennsylvania Scott Brady ha descritto la campagna informatica del gruppo come tra gli “attacchi informatici più distruttivi e costosi della storia”
Ritornando al malware, Cyclops Blink è stato progettato per dirottare dispositivi realizzati da WatchGuard Technologies Inc (WTCHG.UL) e ASUSTeK Computer Inc (2357.TW), secondo una ricerca di società di sicurezza informatica private.
Fornisce ai servizi russi l’accesso a quei sistemi compromessi, offrendo la possibilità di esfiltrare o eliminare da remoto i dati o trasformare i dispositivi per attaccare terzi.
Watchguard ha rilasciato una dichiarazione in cui confermava di aver collaborato con il Dipartimento di Giustizia degli Stati Uniti per interrompere la botnet, ma non ha rivelato il numero di dispositivi interessati, affermando solo che rappresentavano “meno dell’1% delle apparecchiature WatchGuard”.
Il direttore dell’FBI Chris Wray ha detto ai giornalisti che l’FBI, con l’approvazione del tribunale, ha segretamente raggiunto migliaia di router e dispositivi firewall per eliminare il malware e riconfigurare i dispositivi.
“Abbiamo rimosso il malware dai dispositivi utilizzati da migliaia di piccole imprese per la sicurezza della rete in tutto il mondo”, ha affermato Wray e ha aggiunto: “Abbiamo chiuso la porta che i russi avevano usato per entrarci”.
La dichiarazione giurata rilevava che i funzionari statunitensi hanno lanciato una campagna di sensibilizzazione “per informare i proprietari di dispositivi WatchGuard delle misure che dovrebbero intraprendere per rimediare alle infezioni o alle vulnerabilità“.
Il presidente Biden ha ripetutamente affermato che non avrebbe messo l’esercito americano in conflitto diretto con l’esercito russo, una situazione che secondo lui potrebbe portare alla terza guerra mondiale. Questo è il motivo per cui ha rifiutato di utilizzare l’aviazione americana per creare una no-fly zone sull’Ucraina o per consentire il trasferimento di aerei da combattimento in Ucraina dalle basi aeree della NATO.
Ma la sua esitazione non sembra estendersi al cyberspazio. L’operazione che è stata rivelata mercoledì ha mostrato la volontà di disarmare la principale unità di intelligence dell’esercito russo dalle reti di computer negli Stati Uniti e in tutto il mondo. È anche l’ultimo sforzo dell’amministrazione Biden per arginare le azioni russe rendendole pubbliche prima che Mosca possa colpire.
RedazioneLe autorità statunitensi continuano a cercare soluzioni per fermare la fuga di chip avanzati verso la Cina, nonostante le rigide restrizioni all’esportazione in vigore. Il senatore Tom Cot...
Il gruppo Qilin, da noi intervistato qualche tempo fa, è in cima alla lista degli operatori di ransomware più attivi nell’aprile 2025, pubblicando i dettagli di 72 vittime sul suo sit...
Gli autori della minaccia collegati all’operazione ransomware Play hanno sfruttato una vulnerabilità zero-day in Microsoft Windows prima della sua correzione, avvenuta l’8 aprile 20...
È stata individuata una campagna di phishing mirata agli utenti SPID dal gruppo del CERT-AgID, che sfrutta indebitamente il nome e il logo della stessa AgID, insieme al dominio recentemente regis...
Nel mondo del cybercrime organizzato, Darcula rappresenta un salto di paradigma. Non stiamo parlando di un semplice kit di phishing o di una botnet mal gestita. Darcula è una piattaforma vera e p...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
