Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Ricardo Nardini : 8 Maggio 2024 07:32
Una variante del malware PlugX che si riteneva “morta”, in realtà, molto silente godeva di ottima salute infettando migliaia di computer. In tre mesi sono state registrate due milioni e mezzo di richieste IP univoche, il che significa che c’è in atto una infezione in corso.
Nel 2020 un gruppo di criminali informatici asiatici ha attivato una variante del noto malware PlugX. Questo malware è stato progettato per diffondersi attraverso unità USB e infettando reti interne aziendali e domestiche, rubando documenti.
A metà dell’anno 2023 i creatori di questo malware worm sono scomparsi dalla scena e per ragioni sconosciute hanno abbandonato il server di comando e controllo utilizzato per ottenere il controllo delle macchine infette. Si presume che la cybergang asiatica sospettasse di avere il FBI sulle loro tracce, quindi lasciò abbandonato e incustodite le attività del malware, e questo andò fuori controllo.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
All’inizio mentre la variante PlugX era in piena attività, i criminali informatici erano riusciti a creare una botnet composta da milioni di computer. Stiamo parlando di un enorme insieme di apparecchiature che potrebbero essere controllate da remoto dagli aggressori.
Ora, eliminando il server di comando e controllo dallo schema, non c’era più nessuno che controllasse il malware, quindi apparentemente non rappresentava più una minaccia. La verità è che solo una parte di questo programma dannoso non era più un problema di cui preoccuparsi, perché un’altra parte era ancora molto attiva.
Questo è proprio ciò che hanno potuto verificare i ricercatori di Sekoia, che hanno preso il controllo del server di comando e controllo per impedire a chiunque di far rivivere la variante PlugX, e soprattutto ottenere ulteriori dati sul suo funzionamento.
L’analisi di un host infetto ha permesso di identificare a quale indirizzo IP si collegava il malware, che era esattamente l’indirizzo IP del server di comando e controllo. Poiché l’IP era disponibile per l’acquisto, Sekoia ha effettuato un esborso di denaro inferiore a 10 dollari USA per gestirlo.
Una volta compiuto questo passo indispensabile, i ricercatori hanno scoperto che tra i novanta mila e cento mila indirizzi IP univoci inviano richieste giornaliere alla vecchia variante di PlugX.
E’ difficile identificare il numero di computer infetti in base a queste informazioni, ma possiamo fare un’approssimazione. Gli esperti ritengono che il malware worm continui a diffondersi e sia attivo forse su milioni di dispositivi.
Il worm per sua natura ha continuato a funzionare in automatico e sebbene la botnet sia stata smantellata, i ricercatori avvertono che chiunque abbia capacità di intercettazione potrebbe inviare comandi arbitrari agli host infetti per rianimarlo.
Di fronte a questo scenario, Sekoia ha scoperto che è possibile utilizzare il server di comando e controllo per neutralizzare completamente la minaccia sia sui computer compromessi che sulle unità USB. Si tratta di una possibilità tecnica che nella realtà non è stata ancora messa in pratica.
Sekoia ha formulato due strategie per pulire i computer e ha invitato i team nazionali di sicurezza informatica e le forze dell’ordine a unirsi allo sforzo di disinfezione.
Un metodo consiste nell’inviare il comando di auto eliminazione supportato da PlugX, che dovrebbe rimuoverlo dai computer senza azioni aggiuntive.
Tuttavia, anche se il malware viene rimosso dall’host, sussiste comunque il rischio di una nuova infezione perché il malware si diffonde sui dispositivi USB e in questo modo non è possibile pulirli.
Un metodo più complesso prevede lo sviluppo e la distribuzione di un payload personalizzato sulle macchine infette per rimuovere PlugX sia dal sistema che dalle unità USB infette ad esse collegate.
Sekoia si è offerta di fornire ai CERT nazionali (Computer Emergency Response Team) le informazioni necessarie per eseguire una disinfezione massiva per evitare la complessità legale dell’invio di comandi alle postazioni di lavoro di altre persone.
Indipendentemente dal metodo, Sekoia osserva che purtroppo le reti air gap già colpite da PlugX sono fuori portata e lo stesso vale per le unità USB infette che non sono collegate.
I ricercatori di Sekoia affermano che la botnet creata con la versione sinkhole di PlugX può essere considerata “morta” perché gli operatori di questo malware non hanno più il controllo.
PlugX è stato utilizzato almeno dal 2008 principalmente in operazioni di spionaggio e accesso remoto da parte di gruppi legati al Ministero della Sicurezza dello Stato cinese. È stato utilizzato da più gruppi di attacco spesso per prendere di mira organizzazioni governative, di difesa, tecnologiche e politiche, principalmente in Asia e successivamente espandendosi in Occidente.
Nel corso del tempo, gli sviluppatori di PlugX sono emersi nello spazio pubblico e alcuni ricercatori ritengono che il codice sorgente del malware sia trapelato intorno al 2015. Per questo motivo e il fatto che lo strumento abbia ricevuto più aggiornamenti nel corso del tempo rende difficile attribuire PlugX a una unica gang o un programma specifico.
Il malware presenta funzionalità estese tra cui l’esecuzione di comandi, il caricamento e il download di file, la registrazione delle sequenze di tasti e l’accesso alle informazioni di sistema.
Un supporto congiunto a livello internazionale per stroncare l’infezione e la propagazione sarebbe auspicabile, anche se come abbiamo verificato in passato, mettere insieme sinergie internazionali è parecchio complesso.
Ricardo Nardini1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...
Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...
Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
