È dello scorso fine settimana il primo report del 2017 del gruppo MalwareMustDie e l'annuncio riguarda direttamente noi italiani, e non solo. Il gruppo di ricerca malware ha scoperto una "gang cybercriminale" che ha raccolto le credenziali e, forse, anche i numeri di carta di credito di siti web di tutto il mondo abusando di una tecnica definita SSH TCP forwarding: un utente legittimo che ha privilegio di autenticazione su una connessione SSH già stabilita può inoltrare pacchetti sul protocollo TCP all'interno di un meccanismo di proxy, spiega MMD.

Nello specifico: "La definizione di questa minaccia è abuso di uso legittimo dell'SSH TCP forward, eseguendo un attacco automatico o manuale ad account SSH deboli di dispositivi remoti (siano essi server o gadget IoT), con password o credenziali di un account scoperte via brute-force, per lanciare set malevoli di attacchi attraverso la tecnica TCP Direct Forward sulla funzionalità SSH Forwarding utilizzando questa connessione SSH sui servizi remoti target", si legge sul sito dei ricercatori che hanno svelato la minaccia.

Seguendo l'operato di questo gruppo di cybercriminali MMD ha individuato una nuova metodica d'attacco che è già stata utilizzata attivamente in tutto il mondo. Compromettendo la connettività SSH di una infrastruttura vulnerabile gli aggressori possono eseguire diversi tipi di attacchi ai dispositivi interconnessi: richieste HTTP per eseguire exploit su un web server, richieste di metodi HTTP non valide, richieste HTTP per il brute force di credenziali d'accesso legittime degli utenti su un sito, richieste HTTP verso siti compromessi per ricevere la conferma della riuscita delle attività sospette, richieste SMTP su server email.

La tecnica è stata testata su diversi siti estremamente popolari, come PayPal, LinkedIn, Facebook, Gmail, Royal Bank, AT&T, Playstation Network, eBay, Ubisoft, Sony Entertainment Network e, sempre secondo MMD, gli aggressori sono riusciti a raccogliere una grande quantità di e-mail provenienti da servizi come Gmail, Yahoo, AOL, Microsoft, Mail.ru, Yandex. Rubando i dati da un servizio, gli aggressori poi puntano a scoprire le credenziali d'accesso sugli altri con attacchi di tipo manuale o automatico, e fra le vittime ci sono nomi decisamente interessanti.

Pierluigi Paganini di Security Affairs.co, con l'aiuto dell'esperto di sicurezza Odisseus, ha rivelato una prima lista dei servizi italiani che sono stati presi di mira dagli aggressori con la nuova metodologia. La lista completa (quella che riportiamo di seguito è solo parziale) verrà "condivisa con le autorità italiane per consentire ulteriori indagini": Alma Mater Studiorum Universita di Bologna, Siae, Ansaldo S.p.A. WAN, Telecom Italia S.p.A., Universita degli Studi di Milano, FAO Food and Agriculture Organization of the United Nations, Bankadati Servizi Informatici Soc. Cons. p. A., Intesa Sanpaolo Group Services S.c.p.A., Cedecra Informatica Bancaria SRL, DADAnet Italia, BANCA CARIGE S.p.A., Italiaonline S.p.A., Tiscali SpA, Fincantieri Cantieri Navali Italiani, Server Plan S.r.l., Banca Popolare di Milano, Telecom Italia S.p.A., FastWeb’s Main Location.

Per chi volesse approfondire l'argomento non possiamo che consigliare la lettura del lungo post di MMD, per una questione che probabilmente rimbalzerà sul web nel prossimo futuro. Non mancheremo di segnalare le eventuali evoluzioni della vicenda, non appena saranno rilasciati i risultati delle indagini in corso da parte delle autorità italiane.