L'arrivo di una nuova minaccia informatica starebbe aleggiando sulle organizzazioni governative occidentali, finite nel mirino di una botnet cinese che è stata ribattezzata col nome di "Quad7": secondo un report realizzato da Microsoft, un gruppo di hacker avrebbe già iniziato ad apportare una serie di attacchi particolarmente pericolosi e difficili da contrastare.
Stando a quanto riferito dagli esperti di sicurezza del colosso di Redmond, l'attività di incursione informatica attribuita a "Storm-0940" sta cercando di scardinare le difese di numerose organizzazioni del mondo occidentale con finalità di spionaggio. Per farlo, gli hacker cinesi starebbero sfruttando la tecnica della "password spray", utilizzando cioè numerose chiavi di accesso a pioggia per abbattere le protezioni informatiche poste a baluardo dei dati sensibili conservati dai gruppi presi di mira.
L'obiettivo dei cybercriminali, una volta superate le difese delle loro vittime, è quello di collocarsi in pianta stabile sui sistemi informatici compromessi e di acquisire le informazioni. Microsoft ha riferito che, sulla base dei dati in suo possesso, a essere finiti nel mirino di "Storm-0940" sono enti governativi, think tank, organizzazioni no profit e Ong, studi legali e gruppi industriali associati alla difesa.
Gli esperti di sicurezza di Redmond spiegano che gli hacker, i quali si appoggiano all'infrastruttura CovertNetwork-1658, stanno procedendo con grande perizia e senza eccedere per evitare di attirare troppo l'atrenzione: "In circa l’80% dei casi esaminati, cercano di effettuare una sola connessione per ciascun account preso di mira ogni 24 ore per non dare nell’occhio", hanno dichiarato infatti i ricercatori. Procedere a fari spenti ha aiutato spesso e volentieri i cybercriminali ad aggirare i principali sistemi di rilevamento di intromissione informatica.
"Quad7", botnet così battezzata per il fatto che sfrutta prevalentemente la porta 7777, fu individuata per la prima volta dall'esperto Gi7w0rm e dal team Sekoia. Inizialmente l'obiettivo erano solo i router TP-Link, ma le armi a sua disposizione si sono ampliate notevolmente negli ultimi tempi: ora sono a rischio anche i router ASUS, i punti di accesso VPN Zyxel, i router wireless Ruckus e i media server Axentra. Per ognuno dei dispositivi sopra citati i cybercriminali hanno realizzato un malware ad hoc, sviluppando diversi cluster insidiosi: questi, denominati con varianti del termine "login" come xlogin, ylogin o qlogin, differiscono l'un l'altro per dimensione a seconda del fatto che contengano un numero elevato o meno di dispositivi infetti.
La velocità è la chiave della strategia degli hacker, i quali si insediano nel dispositivo infettato tramite l'installazione di strumenti di accesso remoto Rat e Proxy nel
momento stesso in cui individuano la chiave di accesso. Il consiglio degli esperti di Microsoft è quello di effettuare accertamenti nel caso in cui si utilizzi per la rete uno dei router finiti nel mirino di "Storm-0940".- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.
