Flax Typhoon Sta Arrivando! Il Gruppo Cinese Minaccia le Infrastrutture Critiche con Botnet IoT

La settimana scorsa, le agenzie di intelligence dell’alleanza Five Eyes, che comprende Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, hanno emesso un avvertimento congiunto sugli attacchi informatici legati alla Repubblica popolare cinese.

Il documento descrive le azioni del gruppo informatico Flax Typhoon, che sfrutta le vulnerabilità dei router e dei dispositivi Internet of Things (IoT) per creare una botnet mirata che consente di essere il veicolo per attaccare infrastrutture critiche.

Secondo il rapporto , Flax Typhoon sfrutta attivamente 66 vulnerabilità note per hackerare router, dispositivi IoT e altre applicazioni web. Tra i principali produttori i cui prodotti sono sotto attacco ci sono:

• Apache (10 vulnerabilità)
• Cisco (5 vulnerabilità)
• Zyxel (3 vulnerabilità)
• QNAP (3 vulnerabilità)
• Fortinet (3 vulnerabilità)
• Draytek (3 vulnerabilità)
• WordPress (2 vulnerabilità)
• IBM (2 vulnerabilità)
• F5 (2 vulnerabilità)

Si consiglia alle organizzazioni che utilizzano apparecchiature di queste società di scansionare immediatamente i propri sistemi e risolvere eventuali vulnerabilità identificate.

Secondo l’analisi, il 47,9% dei dispositivi infetti si trova negli Stati Uniti, il che indica una seria minaccia per le infrastrutture critiche del Paese. Altri obiettivi di attacco significativi includono il Vietnam (8%), la Germania (7,2%) e una serie di altri paesi, tra cui Canada, Regno Unito e India.

Al momento della pubblicazione dell’avviso, 41 delle 66 vulnerabilità erano già incluse nel database VulnCheck KEV . In particolare, solo 27 di queste vulnerabilità sono state incluse nel catalogo delle vulnerabilità sfruttabili note (KEV) della CISA. Dopo l’avviso, VulnCheck ha aggiornato la sua risorsa per includere tutte le 66 vulnerabilità e si prevede che anche CISA aggiornerà presto il suo catalogo.

Per proteggersi dagli attacchi botnet Flax Typhoon e da altre minacce simili, l’FBI consiglia i seguenti passaggi:

1. Disabilita i servizi e le porte inutilizzati per ridurre la superficie di attacco.
2. Implementazione della segmentazione della rete per limitare la diffusione della minaccia in caso di compromissione.
3. Monitorare volumi elevati di traffico di rete che potrebbero indicare attività botnet.
4. Applicazione tempestiva di patch e aggiornamenti per eliminare le vulnerabilità note.
5. Sostituisci le password predefinite con password complesse e univoche per ciascun dispositivo.
6. La pianificazione regolare dei riavvii del dispositivo può aiutare a rimuovere il malware dalla RAM.
7. Sostituzione di software o apparecchiature obsoleto non supportati dal produttore.

Gli esperti sottolineano la necessità di un approccio globale alla gestione delle vulnerabilità. È importante considerare non solo la presenza di vulnerabilità, ma anche prove di sfruttamento attivo, contesto ambientale e ulteriori fattori di rischio. L’utilizzo di informazioni aggiornate sulle minacce consente alle organizzazioni di prendere decisioni informate per dare priorità alle vulnerabilità e mitigare efficacemente i rischi.

Sandro Sana

CISO, Head of Cybersecurity del gruppo Eurosystem SpA. Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity. Autore del libro "IL FUTURO PROSSIMO"

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore