Il mistero degli hacker che hanno attaccato le reti russe e iraniane

I pirati hanno sfruttato una falla nota per scopi di propaganda politica. Sulle reti dei Paesi occidentali hanno applicato la patch per risolvere il problema

La scorsa settimana un gruppo di hacker denominato “JHT” ha lanciato una campagna di hacking contro dispositivi Cisco affetti dalla falla CVE-2018-0171, prendendo di mira soprattutto infrastrutture di rete in Russia e Iran. Si tratta di dispositivi per i quali è stata rilasciata un’apposita patch, che elimina il problema, ma dietro l’attacco ci sarebbe un movente di natura politica.

Cosa è successo

La falla nel protocollo Smart Install di Cisco consente all’attaccante di reimpostare i router alla configurazione di fabbrica e di forzarne il riavvio: comprenderete quindi gli effetti sulle reti prese di mira dagli hacker. Il protocollo Smart Install consente agli amministratori di agevolare le operazioni di installazione all’interno delle reti aziendali.

 

Gli hacker hanno lasciato sui dispositivi compromessi il seguente messaggio:

Don’t mess with our elections…

“Non scherzate con le nostre elezioni”: un chiaro riferimento all’operato dei Paesi come la Russia accusati di aver interferito con il voto delle presidenziali USA.

 

Gli attaccanti hanno utilizzato strumenti automatici per la scansione massiva in rete alla ricerca della falla dei dispositivi basati sui sistemi operativi Cisco IOS e Cisco IOS XE non sottoposti all’aggiornamento di sicurezza, con l’intento di causare interruzioni significative nelle reti prese di mira. Il gruppo Cisco PSIRT ha pubblicato un allarme sulla sicurezza per abuso del protocollo Smart Install dopo aver identificato centinaia di migliaia di dispositivi esposti in rete senza alcuna protezione. La settimana scorsa una scansione eseguita da Cisco ha rivelato che 168.000 sistemi sono esposti online.

Cisco ha avvertito le organizzazioni che i malintenzionati potrebbero prendere di mira i dispositivi di rete non aggiornati per applicare la patch:. “Cisco è consapevole di un significativo aumento delle scansioni Internet che tentano di rilevare i dispositivi in cui, dopo aver completato l’installazione, la funzione Smart Install rimane abilitata e senza controlli di sicurezza adeguati. Ciò potrebbe lasciare i dispositivi coinvolti suscettibili di abuso della funzionalità” recita l’avviso sulla sicurezza emesso da CISCO.

 

L’ondata di attacchi ha colpito migliaia di dispositivi in Iran, il ministero della comunicazione e dell’information technology iraniano ha dichiarato che sono stati colpiti oltre 200.000 router in tutto il mondo, di cui 3.500 in Iran. “Gli hacker hanno attaccato le reti in diversi paesi, compresi i datacenter in Iran, dove hanno lasciato l’immagine di una bandiera americana sugli schermi insieme a un avvertimento:” Non scherzare con le nostre elezioni “, ha dichiarato il ministero iraniano dell’IT sabato. Il ministro iraniano delle tecnologie informatiche Mohammad Javad Azari-Jahromi ha aggiunto che il 95% dei router interessati nel paese è già stato ripristinato.

Secondo il giornalista Joseph Cox di Motherboard, che è riuscito a mettersi in contatto con il gruppo di attaccanti, dietro gli assalti ci sono una sorta di vigilanti che hanno sondato la rete Internet alla ricerca di dispositivi ancora vulnerabili, ma hanno preso di mira solo quelli in Russia e in Iran. “Eravamo stanchi degli attacchi degli hacker sostenuti da governi stranieri contro gli Stati Uniti e gli altri paese” ha detto a Motherboard sabato qualcuno che ha il controllo dell’indirizzo email utilizzato nel messaggio degli hacker.

 

A dimostrazione che non erano interessati a colpire sistemi in tutto il mondo, gli attaccanti hanno anche affermato di aver corretto la vulnerabilità nei router utilizzati da organizzazioni statunitensi e britanniche, operazione semplice che necessita dell’esecuzione del solo comando no vstack. Per verificare se la funzione Smart Install è abilitata su un router, gli amministratori possono eseguire il comando “show vstack config” sul loro switch: una risposta positiva indica che Smart Install è abilitato.

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter