Microsoft ha osservato un aumento del 254% dell’attività negli ultimi sei mesi da parte di XorDDos, un Trojan Linux che può essere utilizzato per effettuare attacchi denial-of-service distribuiti ed è noto per l’utilizzo di attacchi Secure Shell brute force per ottenere il controllo remoto dei dispositivi di destinazione.

Scoperto per la prima volta dal gruppo di ricerca MalwareMustDie nel 2014, XorDDos prende il nome dalle sue attività di denial-of-service su endpoint e server Linux e dall’uso della crittografia basata su XOR per le sue comunicazioni.

“XorDDos rappresenta la tendenza del malware a prendere sempre più di mira i sistemi operativi basati su Linux, che sono comunemente distribuiti su infrastrutture cloud e dispositivi Internet of Things. Compromettendo i dispositivi IoT e altri dispositivi connessi a Internet, XorDDos accumula botnet che possono essere utilizzate per effettuare attacchi DDoS (distributed denial-of-service)“, secondo il team di ricerca di Microsoft 365 Defender.

Microsoft afferma di aver mitigato un attacco DDoS da 2,4 Tbps nell’agosto 2021. Il traffico dell’attacco proveniva da circa 70.000 fonti in paesi come Malesia, Vietnam, Taiwan, Giappone, Cina e Stati Uniti.

Tuttavia, il traffico dell’attacco non ha raggiunto la sede del cliente preso di mira ed è stato mitigato nei Paesi di origine.

“Gli attacchi DDoS di per sé possono essere molto problematici per numerosi motivi, ma possono anche essere utilizzati come copertura per nascondere ulteriori attività dannose, come l’implementazione di malware e l’infiltrazione nei sistemi target“, afferma Microsoft.

Dettagli di XorDDos

Secondo Microsoft, XorDDos è noto per l’utilizzo di attacchi Secure Shell brute force per ottenere il controllo remoto dei dispositivi di destinazione.

SSH è un protocollo di rete presente nelle infrastrutture IT che consente comunicazioni crittografate su reti insicure per l’amministrazione remota dei sistemi, il che lo rende un vettore interessante per gli aggressori.

Una volta trovate credenziali SSH valide, XorDDos utilizza i privilegi di root per eseguire uno script che scarica e installa XorDDos sul dispositivo di destinazione e utilizza meccanismi di evasione e persistenza che consentono alle sue operazioni di rimanere solide e furtive.

“Le sue capacità di evasione comprendono l’offuscamento delle attività del malware, l’elusione dei meccanismi di rilevamento basati su regole e la ricerca di file dannosi basata su hash, nonché l’utilizzo di tecniche anti-forensi per infrangere l’analisi basata sull’albero dei processi“, affermano Ratnesh Pandey, Yevgeny Kulakov e Jonathan Bar del team di ricerca di Microsoft 365 Defender.

I ricercatori hanno anche osservato nelle recenti campagne che XorDDos può nascondere le attività dannose dall’analisi sovrascrivendo i file sensibili e include vari meccanismi di persistenza per supportare diverse distribuzioni Linux.

Vettore di attacco iniziale

I ricercatori hanno scoperto che i dispositivi infettati per la prima volta da XorDdos sono stati successivamente infettati da malware aggiuntivi come la backdoor Tsunami, che implementa ulteriormente il coin miner XMRig.

“Sebbene non abbiamo osservato XorDDos installare e distribuire direttamente payload secondari come Tsunami, è possibile che il trojan venga sfruttato come vettore per attività successive“, afferma Microsoft.

Microsoft ha analizzato un file ELF a 32 bit (programmato in C/C++) contenente simboli di debug che descrivevano in dettaglio il codice dedicato del malware per ciascuna delle sue attività ed ha scoperto che XorDDos contiene moduli con funzionalità specifiche per eludere il rilevamento.

“Utilizzano processi daemon che vengono eseguiti in background piuttosto che sotto il controllo degli utenti e si distaccano dal terminale di controllo, terminando solo quando il sistema viene spento“, afferma Microsoft.

Derivato dal malware XOR

XOR è apparso per la prima volta nel 2014, come documentato dai ricercatori del progetto Malware Must Die, che lo hanno soprannominato XOR.DDoS e hanno affermato che sembra essere stato sviluppato in Cina.

“Xor.DDoS è un malware multipiattaforma e polimorfico per il sistema operativo Linux e il suo obiettivo finale è quello di effettuare DDoS su altre macchine“, ha dichiarato il ricercatore Bart Blaze in un’analisi tecnica del malware pubblicata nel 2015. “Il nome Xor.DDoS deriva dall’uso massiccio della crittografia XOR sia nel malware che nelle comunicazioni di rete con i [C2]“, ovvero i server di comando e controllo. Questi server impartiscono istruzioni ai sistemi infetti, che fungono da bot nella botnet.

Attacchi DDoS più letali

In un post sul blog del febbraio 2021 che evidenzia le tendenze osservate nel 2020, Microsoft afferma che gli attacchi DDoS sono cresciuti di oltre il 50%, con una crescente complessità e un aumento significativo del volume del traffico DDoS. Nel 2020, Microsoft afferma di aver mitigato una media di 500 attacchi multivettore alle risorse Azure in un dato giorno.

Secondo il blog, l’epidemia di COVID-19 e il conseguente passaggio al lavoro in remoto hanno provocato un aumento del traffico Internet che ha reso più facile per gli aggressori lanciare attacchi DDoS, poiché non dovevano più generare molto traffico per far crollare i servizi.

Nel periodo marzo-aprile 2020, Microsoft ha dichiarato di aver mitigato tra gli 800 e i 1.000 attacchi multivettore al giorno.

I clienti Tesla potrebbero amare l’elegante sistema di accesso senza chiave della casa automobilistica, ma un ricercatore di cybersicurezza ha dimostrato come la stessa tecnologia potrebbe consentire ai ladri di fuggire con alcuni modelli di veicoli elettrici.

Secondo Sultan Qasim Khan, consulente principale per la sicurezza presso l’azienda di sicurezza NCC Group con sede a Manchester, nel Regno Unito, un hacking efficace sulle auto Tesla Model 3 e Y consentirebbe a un ladro di sbloccare un veicolo, avviarlo e scappare via. Reindirizzando le comunicazioni tra il telefono cellulare del proprietario dell’auto, o il portachiavi, e l’auto, gli estranei possono ingannare il sistema di accesso pensando che il proprietario si trovi fisicamente vicino al veicolo.

L’hack, ha detto Khan, non è specifico di Tesla, anche se ha dimostrato la tecnica a Bloomberg News su uno dei suoi modelli di auto. È piuttosto il risultato del suo intervento sul sistema di accesso senza chiave di Tesla, che si basa su un protocollo noto come Bluetooth Low Energy.

Non ci sono prove che i ladri abbiano usato l’hack per accedere impropriamente ai veicoli Tesla. La casa automobilistica non ha risposto a una richiesta di commento. NCC ha fornito i dettagli delle sue scoperte ai suoi clienti in una nota di domenica, ha dichiarato un funzionario.

Khan ha dichiarato di aver comunicato il potenziale attacco a Tesla e che i funzionari dell’azienda non ritengono il problema un rischio significativo. Per risolverlo, la casa automobilistica dovrebbe modificare l’hardware e cambiare il sistema di accesso senza chiave, ha detto Khan. La rivelazione arriva dopo che un altro ricercatore di sicurezza, David Colombo, ha rivelato un modo per dirottare alcune funzioni dei veicoli Tesla, come l’apertura e la chiusura delle porte e il controllo del volume della musica.

Il protocollo BLE è stato progettato per collegare comodamente tra loro i dispositivi via Internet, ma è emerso anche come metodo sfruttato dagli hacker per sbloccare tecnologie intelligenti, tra cui serrature di casa, automobili, telefoni e computer portatili, ha dichiarato Khan. NCC Group ha dichiarato di essere in grado di condurre l’attacco su diversi dispositivi di altre case automobilistiche e aziende tecnologiche.

L’adolescente che ha violato la Tesla di Elon Musk dice che le aziende dovrebbero avere molta paura. Le serrature intelligenti Kwikset Kevo che utilizzano sistemi keyless con telefoni iPhone o Android sono affette dallo stesso problema, ha dichiarato Khan. Kwikset ha dichiarato che i clienti che utilizzano un iPhone per accedere alla serratura possono attivare l’autenticazione a due fattori nell’app della serratura. Un funzionario ha anche aggiunto che le serrature azionate dall’iPhone hanno un timeout di 30 secondi, che aiuta a proteggersi dalle intrusioni.

Kwikset aggiornerà la sua app per Android “in estate”, ha dichiarato l’azienda.

“La sicurezza dei prodotti Kwikset è di estrema importanza e collaboriamo con note società di sicurezza per valutare i nostri prodotti e continuare a lavorare con loro per garantire la massima sicurezza possibile ai nostri consumatori“, ha dichiarato un funzionario.

Un rappresentante del Bluetooth SIG, il gruppo di aziende che gestisce la tecnologia, ha dichiarato: “Il Bluetooth Special Interest Group dà priorità alla sicurezza e le specifiche includono una serie di funzioni che forniscono agli sviluppatori di prodotti gli strumenti necessari per proteggere le comunicazioni tra dispositivi Bluetooth.

“Il SIG fornisce anche risorse educative alla comunità degli sviluppatori per aiutarli a implementare il livello di sicurezza appropriato nei loro prodotti Bluetooth, oltre a un programma di risposta alle vulnerabilità che collabora con la comunità di ricerca sulla sicurezza per risolvere in modo responsabile le vulnerabilità identificate nelle specifiche Bluetooth“.

Khan ha identificato numerose vulnerabilità nei prodotti client del Gruppo NCC ed è anche il creatore di Sniffle, il primo sniffer Bluetooth 5 open-source. Gli sniffer possono essere utilizzati per tracciare i segnali Bluetooth, aiutando a identificare i dispositivi. Sono spesso utilizzati dalle agenzie governative che gestiscono le strade per monitorare anonimamente i conducenti che attraversano le aree urbane.

Uno studio del 2019 condotto da un gruppo di consumatori britannico, Which, ha rilevato che più di 200 modelli di auto sono suscettibili di furto senza chiave, utilizzando metodi di attacco simili ma leggermente diversi, come lo spoofing dei segnali wireless o radio.

In una dimostrazione a Bloomberg News, il signor Khan ha condotto un cosiddetto attacco relay, in cui un hacker utilizza due piccoli dispositivi hardware che inoltrano le comunicazioni. Per sbloccare l’auto, ha posizionato un dispositivo a relè a circa 15 metri dallo smartphone o dal portachiavi del proprietario della Tesla e un secondo, collegato al suo computer portatile, vicino all’auto.

La tecnologia utilizzava un codice informatico personalizzato che il signor Khan aveva progettato per i kit di sviluppo Bluetooth, venduti online a meno di 50 dollari.

L’hardware necessario, oltre al software personalizzato di Khan, costa complessivamente circa 100 dollari e può essere facilmente acquistato online. Una volta configurati i relè, l’hacking richiede solo “10 secondi”, ha dichiarato Khan.

“Un aggressore potrebbe avvicinarsi a una qualsiasi casa di notte – se il telefono del proprietario è in casa – con un’auto Bluetooth ad accesso passivo parcheggiata fuori e usare questo attacco per sbloccare e avviare l’auto“, ha detto.

“Una volta che il dispositivo è in posizione vicino al telecomando o al telefono, l’aggressore può inviare comandi da qualsiasi parte del mondo“.

L’idea di una violazione dei dati che esponga migliaia o milioni di informazioni personali sul dark web è emersa come una minaccia nota anni fa. E poiché la necessità è la madre dell’invenzione, sono nati i primi servizi di monitoraggio delle identità sul dark web. Gli addetti ai lavori hanno osservato con attenzione la nascita del primo mercato del dark web, Silk Road, nel 2011, quando 164 milioni di account LinkedIn sono stati esposti in una violazione l’anno successivo e 3 miliardi di account Yahoo sono stati esposti nel 2013. Nel frattempo, i non addetti ai lavori sono venuti a conoscenza delle loro informazioni personali esposte sul dark web qualche anno dopo, quando il fornitore della carta di credito o la compagnia assicurativa hanno iniziato a offrire il monitoraggio gratuito dell’identità come servizio a valore aggiunto.

Oggi il monitoraggio dell’identità sul dark web è onnipresente e i fornitori di servizi di monitoraggio dell’identità devono differenziarsi dalla concorrenza per fidelizzare i propri clienti. Ecco cinque fattori chiave da considerare quando si offre un servizio di monitoraggio dell’identità nel dark web:

Qualità dei dati

I fornitori di servizi di monitoraggio dell’identità sono validi solo quanto i dati che guidano il loro rilevamento dell’esposizione dell’identità e gli avvisi. I servizi di monitoraggio dell’identità devono garantire che gli avvisi emessi si basino su una violazione effettiva dei dati e non su dati falsi inseriti dagli hacker. Inoltre, gli avvisi devono contenere informazioni contestuali e indicazioni sufficienti affinché il consumatore sappia come reagire all’esposizione dei dati.

Ampiezza e profondità dei dati

Molti fornitori di dati sulle violazioni si concentrano sull’esposizione delle credenziali, rivolgendo la loro attenzione alle “grandi” violazioni che fanno notizia e agli elenchi di password combinate, che rappresentano solo una piccola fetta del volume totale di dati violati. Per ogni violazione che fa notizia, ce ne sono centinaia che non ricevono alcuna copertura mediatica, e mentre gli elenchi combinati riciclano le credenziali esposte da un assortimento di violazioni, trascurano altri dati esposti come l’indirizzo, il numero di telefono o il numero di previdenza sociale.

Verifica dei dati

Gli hacker sono in genere spinti dalla prospettiva di un guadagno economico e i dati di identità violati sono incredibilmente redditizi per loro. Maggiore è il numero di dati contenuti in un pacchetto di violazione, maggiore è il guadagno che un hacker può ottenere distribuendo quel set di dati. Non estranei alla disonestà, gli hacker talvolta inseriscono dati falsificati o duplicati in un pacchetto di violazione per aumentare le dimensioni del file e quindi il prezzo di vendita. A valle di queste transazioni, i fornitori di dati sulle violazioni di identità acquisiscono questi pacchetti di violazioni. Senza la verifica e la deduplicazione dei dati, un pacchetto di violazione può essere erroneamente attribuito alla fonte della perdita o può contenere credenziali e dati personali di utenti che non si sono mai collegati al sito violato, il che porterà a una cattiva esperienza dell’utente, distruggendo la fiducia dell’utente nel proprio fornitore di monitoraggio delle identità.

Dati azionabili e attribuiti

I dati attribuiti e utilizzabili sono la chiave di volta di un’esperienza utente positiva. Immaginate di ricevere un avviso di esposizione dei dati che dice: “I vostri dati sono stati esposti sul dark web”. Questo crea più domande che risposte. Quali dei miei dati sono stati esposti? A quale sito web o servizio si riferisce? Cosa posso fare al riguardo? È quindi essenziale fornire avvisi specifici che siano facili da capire e da gestire, come ad esempio: “Il vostro indirizzo e-mail e la vostra password sono stati esposti nella violazione di Acme, Inc. dell’1/1/2022. Cambiate immediatamente le password di tutti gli account in cui avete utilizzato la seguente password: *789.“

Politiche sui dati personalizzabili

A volte i dati personali esposti non possono essere attribuiti a una fonte con un elevato livello di affidabilità. Ad esempio, le credenziali esposte di un utente possono essere pubblicate in una violazione di tipo password combo, che combina i dati di più violazioni senza fornire una chiara attribuzione. Tuttavia, l’accuratezza di questi dati può essere verificata, rendendo la conoscenza di questa esposizione molto rilevante e perseguibile per l’utente finale. Purtroppo, molti fornitori di dati sulle violazioni di identità non distinguono tra violazioni attribuite, non attribuite e combinate, rendendo i loro avvisi non perseguibili. Fornire l’attribuzione di una violazione, senza un’adeguata giustificazione, può anche creare un rischio legale, nel caso in cui la fonte della violazione dichiarata sia imprecisa o non legalmente giustificabile. Pertanto, i servizi di monitoraggio ID dovrebbero cercare fornitori di dati in grado di delineare le violazioni attribuite e non attribuite, fornendo al fornitore di monitoraggio ID la precisione e la fiducia necessarie per creare la migliore esperienza utente possibile.

Copertura internazionale

La domanda diffusa di servizi di monitoraggio dell’identità nel dark web è nata prima nel mercato nordamericano e qualche anno dopo in quello europeo. Queste regioni pionieristiche hanno portato avanti quadri di protezione dei consumatori come il GDPR nell’Unione Europea e il CCPA in California, indicando un mercato in via di maturazione e legittimando ulteriormente lo spazio della protezione dell’identità. Oggi assistiamo a una rapida crescita della domanda di monitoraggio delle identità nel dark web in America Latina, Asia Pacifica e Australia, Medio Oriente e India. Man mano che i fornitori si espandono in questi mercati emergenti, si affidano sempre più ai fornitori di dati per raccogliere dati di qualità e utilizzabili in tutto il mondo.

Al di là della mera copertura dei dati per queste regioni, gli avvisi di alta qualità e di azione sull’esposizione all’identità provengono da un fornitore in grado di sintonizzarsi sulle sfumature dei dati sull’identità di ogni paese e di farlo nella lingua preferita dall’utente finale. Si consideri che molti Paesi utilizzano il codice fiscale dei cittadini come numero di identificazione governativo principale (come il Social Security Number negli Stati Uniti), mentre alcuni Paesi hanno una carta d’identità nazionale e altri implementano entrambe le cose. Un servizio di monitoraggio delle identità nel dark web dovrebbe cercare un fornitore di dati sulle identità violate che comprenda i formati dei numeri identificativi specifici per ogni Paese e che sia in grado di fornire messaggi di avviso localizzati nella lingua preferita dall’utente finale.

Ampiezza della copertura

I servizi di monitoraggio dell’identità dei consumatori si concentrano spesso sulle esposizioni alle credenziali, poiché questa è spesso la storia più facile da raccontare agli utenti: una persona media possiede 30 account online e riutilizza 3-4 password per tutti questi account; pertanto, un’esposizione alle credenziali vi mette a rischio di acquisizione di account sul 25% dei vostri account online o più! Sebbene questo approccio sia valido e ogni utente possa trarre vantaggio da password uniche e forti, esiste un’ampia gamma di dati esposti, oltre alle password esposte, che gli attori malintenzionati sfruttano ogni giorno. L’ampia varietà di tipi di dati esposti consente ai malintenzionati di inviare e-mail di phishing credibili e mirate, di associare un numero di telefono all’identità dell’utente e di inviare messaggi di smishing, di utilizzare informazioni uniche sugli utenti per rispondere alle domande di sicurezza su un modulo di reimpostazione della password o semplicemente di commettere un furto d’identità, lasciando la vittima nella disperazione finanziaria.

I servizi di monitoraggio dell’identità dei consumatori dovrebbero cercare fornitori di dati sulle violazioni di identità che non si limitino alle sole credenziali esposte, ma che siano in grado di segnalare un’ampia serie di attributi quali: numero di previdenza sociale, numero di identificazione nazionale, numero di passaporto, numero di telefono, indirizzo, numeri di conti bancari, numeri di carte di credito e di debito e supporto di più indirizzi e-mail per utente, solo per citarne alcuni.

Impatto operativo

Quando si tratta di informare i clienti di una sfortunata esposizione dei loro dati personali da parte di un’organizzazione di cui si fidavano, è inevitabile ricevere domande dagli utenti. Questo è prevedibile, per cui i fornitori di servizi di monitoraggio dei documenti d’identità dotano i call center di personale addestrato a rispondere alle domande dei clienti. Questi call center sono costosi, quindi è bene che i fornitori progettino il loro servizio tenendo conto dell’impatto operativo. Ad esempio, in precedenza abbiamo discusso l’importanza di avvisi perseguibili e attribuibili, che spieghino all’utente cosa è successo, quando è successo, chi è stato violato, cosa è stato esposto e cosa deve fare. Gli avvisi che non forniscono questo livello di dettaglio possono generare confusione nei clienti e causare un aumento del numero di chiamate all’helpdesk, con un conseguente aumento dei costi complessivi e una riduzione della soddisfazione dei clienti. Tuttavia, le domande dei clienti sono attese. È possibile stimare in modo affidabile la percentuale dei destinatari degli avvisi che chiameranno, ma non è possibile prevedere quando si verificherà una violazione o quanti clienti ne saranno colpiti.

I fornitori di servizi di monitoraggio delle identità dei consumatori dovrebbero cercare fornitori di dati sulle violazioni di identità in grado di avvisare in anticipo di una violazione di grandi dimensioni nella pipeline di ingestione, di fornire informazioni sul numero di utenti interessati dalla violazione e di limitare la consegna degli avvisi a un numero specifico di avvisi al giorno, evitando così picchi di chiamate all’help desk. Queste potenti funzioni possono migliorare notevolmente l’integrità operativa, consentendo ai fornitori di fornire un personale adeguato ai call center e di mantenere un’elevata qualità del servizio clienti senza incorrere in costi che sfondano il budget.

Infine, tra gli errori più dannosi che un servizio di monitoraggio ID può commettere, c’è quello di inviare un avviso a un destinatario non previsto, rivelando potenzialmente le informazioni personali di qualcun altro. A parte il rischio di controversie legali legato alla rivelazione delle informazioni di un altro utente, un avviso recapitato in modo errato può avere lo stesso impatto negativo di un avviso non attivo o correttamente attribuito.

Come può accadere?

Considerate l’indirizzo di casa vostra: è molto probabile che non siate la prima persona ad abitare lì e che il precedente inquilino o proprietario abbia avuto diritto a quell’indirizzo. Se un fornitore di servizi di monitoraggio dell’identità riceve un avviso che corrisponde all’indirizzo del suo utente, come può essere certo che l’esposizione riguardi il suo cliente? È quindi importante scegliere un fornitore di dati sulle violazioni di identità che offra la disambiguazione dell’identità, che – in parole povere – prende in considerazione più dati per convalidare il destinatario dell’avviso. In questo caso, un avviso verrebbe generato se il record di esposizione contiene l’indirizzo e il nome dell’utente finale, ad esempio. Sebbene sia possibile che un ex residente all’indirizzo dell’utente condivida il nome con l’attuale inquilino, è altamente improbabile, e quindi questa semplice fase di disambiguazione può aumentare drasticamente il livello di fiducia che un avviso venga recapitato al destinatario previsto.

Punteggio degli avvisi

Abbiamo parlato dell’importanza di una corretta attribuzione, dell’accuratezza e della qualità dei dati. Ma abbiamo anche riconosciuto che, anche quando l’attribuzione non è possibile, i dati della violazione possono comunque servire a proteggere l’utente finale dai danni del furto d’identità. Al di là dei casi d’uso per la protezione dei consumatori dal furto d’identità, le serie di dati sulle violazioni che non possono essere attribuite o verificate possono comunque avere un valore (ad esempio per il rilevamento delle frodi). Ma come fa un fornitore di servizi di monitoraggio ID a distinguere i vari livelli di convalida da un allarme all’altro? Punteggi. Un fornitore di dati di qualità sulle violazioni di identità può fornire punteggi per ogni segnalazione, come “punteggio di attribuzione”, “punteggio di autenticità” e “punteggio di fiducia”, ognuno dei quali indica il livello di fiducia nell’attribuzione, il livello di fiducia nell’autenticità dei dati e il livello di fiducia complessivo nella qualità dei dati. Da qui, il fornitore di servizi di monitoraggio ID può perfezionare l’esperienza dell’utente.