Il caso Nezha: quando un Attacco Informatico sembra normale manutenzione

C’è un momento, spesso tardivo, in cui ci si accorge che il problema non è entrato forzando la porta, ma usando le chiavi di casa. È quello che succede quando uno strumento nato per amministrare, monitorare, semplificare il lavoro quotidiano di chi gestisce sistemi diventa il veicolo perfetto per restare nascosti. Nezha non arriva con comportamenti plateali, non lascia firme evidenti, non fa rumore.

Si installa, aspetta, osserva. In un log sembra manutenzione ordinaria, in una dashboard appare come una presenza già vista mille volte. Ed è proprio lì che si inceppa il riflesso difensivo: quando ciò che si guarda ogni giorno smette di essere messo in discussione.

Gli aggressori hanno iniziato a utilizzare uno strumento di monitoraggio dei server legittimo come piattaforma pronta all’uso per il controllo remoto di sistemi già compromessi. Secondo l‘Ontinue Cyber Defense Center, i nuovi incidenti coinvolgono Nezha, un popolare sistema di monitoraggio e amministrazione open source che funziona sia su Windows che su Linux.

In questa campagna, Nezha non agisce come malware nel senso tradizionale del termine, ma come strumento di accesso remoto post-sfruttamento. La sua legalità e il supporto attivo del progetto lo rendono praticamente insospettabile: secondo i ricercatori di VirusTotal, i suoi componenti non sono stati attivati da nessuno dei 72 motori testati.

L’agente si installa silenziosamente e può rimanere inosservato a lungo, finché gli aggressori non iniziano a impartire comandi, rendendo i tradizionali metodi di protezione basati sulle firme spesso inefficaci in questi casi.

Gli esperti lo definiscono un esempio di una tendenza crescente in cui gli aggressori abusano sistematicamente di software “normali” per infiltrarsi nell’infrastruttura e muoversi nella rete, eludendo il rilevamento. Maiures di Qualys ha osservato che in un ambiente in cui Nezha è già considerato uno strumento comune, i difensori potrebbero persino non notare le anomalie: l’attività sembra essere un’amministrazione di routine.

Nezha è stato originariamente creato per la comunità IT cinese e ha accumulato quasi 10.000 stelle su GitHub. La sua architettura è tipica di piattaforme simili: un pannello di controllo centrale e agenti leggeri sui computer monitorati. Gli agenti supportano l’esecuzione di comandi, il trasferimento di file e sessioni di terminale interattive: funzionalità utili per gli amministratori, ma altrettanto comode per gli aggressori.

Secondo il rapporto di Ontinue, l’attacco ha utilizzato uno script Bash che ha tentato di distribuire un agente, connettendolo all’infrastruttura controllata dall’aggressore. Lo script conteneva messaggi di stato e parametri di configurazione in cinese che puntavano a un pannello di controllo remoto ospitato su Alibaba Cloud, in particolare in Giappone. Tuttavia, i ricercatori sottolineano che il linguaggio utilizzato nei messaggi è un indizio troppo debole per l’attribuzione: tali “tracce” sono facilmente falsificabili.

Di particolare interesse è il fatto che l’agente Nezha sia progettato per operare con privilegi elevati. Nell’ambiente di test, Nezha su Windows fornisce una sessione PowerShell interattiva con privilegi NT AUTHORITYSYSTEM e, su Linux, accesso a livello root, senza richiedere un exploit di vulnerabilità separato o un’escalation di privilegi.

Secondo gli esperti, il problema non è che Nezha sia “dannoso”, ma che consente agli aggressori di risparmiare tempo nello sviluppo dei propri strumenti ed eseguire in modo affidabile comandi remoti, lavorare con i file e ottenere una shell interattiva su una macchina compromessa.

Nell’ambito dell’indagine, Ontinue ha anche esaminato la dashboard pubblica associata all’incidente: segnali indiretti indicavano che centinaia di endpoint avrebbero potuto esservi collegati. Una tale portata è possibile se un segreto condiviso o una chiave di accesso viene compromesso e una singola dashboard inizia a controllare un gran numero di macchine.

La sfida principale per la sicurezza, come riconoscono i ricercatori, è distinguere l’uso legittimo degli strumenti dall’abuso. In questi casi, il contesto è fondamentale: chi ha installato l’agente, quando è apparso, dove si connette, quali comandi vengono eseguiti e quanto questo sia simile al normale lavoro di un amministratore. Come conclude Qualys, è ora di smettere di dividere gli strumenti in “buoni” e “cattivi” e di analizzare invece il loro comportamento e i loro scenari di utilizzo.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.