Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una botnet molto vasta è stata scoperta da una esposizione accidentale di una directory su un server iraniano. Gli analisti ricostruiscono l’intera infrastruttura, dai tunnel per aggirare la censura fino ad arrivare agli attacchi DDoS e distribuzione di malware via SSH. L’episodio, ha evidenziato come un piccolo errore di configurazione, possa compromettere non solo le infrastrutture delle aziende ma anche le infrastrutture dei criminali informatici.
Gli esperti hanno scoperto una vasta infrastruttura botnet implementata utilizzando una directory esposta per errore su un server in Iran.
La fuga di dati ha permesso loro di ricostruire quasi l’intero flusso di lavoro dell’operatore, dalla configurazione di una rete per aggirare i blocchi alla creazione di strumenti di attacco e alla gestione dei dispositivi infetti.
L’incidente è stato scoperto dagli analisti di Hunt.io durante il monitoraggio di server esposti. Un nodo, con indirizzo 185.221.239[.]162, conteneva centinaia di file, tra cui configurazioni, codice sorgente e cronologia dei comandi. Il server apparteneva al provider di servizi Internet iraniano Dade Samane Fanava Company ed era utilizzato come punto di accesso all’infrastruttura più ampia.
L’analisi dei certificati TLS ha rivelato una rete di 15 nodi. Sette server erano ospitati da Hetzner in Finlandia, e altri sette da operatori di telecomunicazioni iraniani. Un ulteriore nodo si trovava a Londra, presso OVH. Tutti gli elementi presentavano uno schema comune: il traffico in entrata passava attraverso l’Iran, mentre i punti di uscita erano situati all’estero.
I file di configurazione hanno rivelato che la rete veniva utilizzata per scopi ben più che semplici attacchi. Il server fungeva da tunnel utilizzando Paqet, uno strumento per aggirare i filtri internet. Il traffico veniva instradato attraverso KCP crittografato, che mascherava l’attività ed eludeva l’ispezione approfondita dei pacchetti.
La cronologia dei comandi bash ha rivelato tre fasi di lavoro dell’operatore. In primo luogo, hanno implementato un’infrastruttura di tunnel e debuggato i servizi proxy. Successivamente, hanno iniziato a sperimentare con strumenti DDoS. Hanno compilato programmi in C sul server per attacchi di tipo SYN e UDP flooding e hanno anche lanciato MHDDOS contro obiettivi specifici, tra cui il server di gioco FiveM.
La fase finale ha dimostrato la transizione alla creazione di una botnet. Lo script ohhhh.py ha utilizzato un elenco di credenziali per connessioni SSH di massa. Centinaia di sessioni sono state aperte simultaneamente, dopodiché un client malevolo è stato compilato su macchine remote ed eseguito in background. Il file eseguibile è stato camuffato come “hex” per ridurre la probabilità di rilevamento.
Uno script aggiuntivo, yse.py, permetteva all’operatore di terminare rapidamente tutti i processi sui nodi infetti. Il client binario principale, ovvero il campione di malware, conteneva funzioni per comunicare con il server di comando e controllo, trasmettere informazioni di sistema e comandi per lanciare attacchi. Nel codice è stato scoperto un meccanismo di riconnessione automatica, che rendeva le macchine infette resistenti ai guasti dell’infrastruttura.
Alcuni indizi indiretti – l’utilizzo di fornitori iraniani , commenti in farsi e un’architettura che aggira la censura – suggeriscono le origini dell’operatore. Tuttavia, la natura degli obiettivi e il livello degli strumenti utilizzati non corrispondono a quelli di attività affiliate allo Stato. È più probabile che si tratti di attività private o commerciali.
L’incidente dimostra chiaramente come un singolo errore di configurazione del server possa esporre un intero sistema operativo. In questo caso, la directory esposta ci ha permesso di tracciare l’intero ciclo, dalla costruzione della rete agli attacchi e al controllo della botnet .
