Internet va lento in questi giorni? Tranquilli: è solo un attacco informatico su vastissima scala: la routine dell’apocalisse è iniziata.
Per una volta non è il caso di prendersela con il gestore telefonico se le cose non vanno. Se vi siete accorti che c’è qualcosa che non funziona con la connessione potrebbe esserci qualcosa in atto sottotraccia.
A riferire di un attacco Brute Force su larga scala che sta interessando vari servizi online è stato il blog ufficiale di Cisco. Si tratta di un attacco che è in atto da almeno la metà di marzo e colpisce alcune VPN, applicazioni web per l’autenticazione degli utenti e servizi SSH.
L’origine sembra essere stata rintracciata, si legge sempre nel post sul blog ufficiale, dagli exit nodes di Tor e da altri tunnel e proxy di anonimizzazione.
Allarme attacco internet su vasta scala
Chi ci sia dietro gli attacchi informatici non è ancora stato chiarito sul post sul blog ufficiale Cisco Talos. Le informazioni che sono state diffuse sono di avvertimento e di messa in guardia riguardo ciò che si può fare e che tipo di attacco stanno subendo le reti. Si tratta di un attacco Brute Force. Questo significa che è l’equivalente informatico di quegli attacchi medievali con l’ariete che cercano di buttare giù portoni e cancelli con la sola forza, che in questo caso è la quantità di tentativi di accesso contemporanei. Come accennavamo, gli attacchi sembrano tutti provenire da Tor, dai suoi exit nodes e da alcuni servizi di anonimizzazione simili.
I target dell’attacco sono diverse VPN, varie interfacce di autenticazione di siti web e alcuni servizi SSH ovvero i Secure Socket Shelll, protocolli che permettono l’accesso sicuro degli amministratori delle reti e dei sistemi. A giudicare dai dati, quindi, c’è qualcuno da qualche parte che sta cercando di entrare all’interno di questi servizi. Tra i servizi colpiti da questi attacchi attraverso internet ci sono Checkpoint VPN, SonicWall VPN, Draytek e Ubiquiti. Per portare avanti questi attacchi sono utilizzati username generici, di quelli che i criminali informatici producono a centinaia con sistemi di composizione randomizzata di parole e numeri, ma anche username validi all’interno di siti specifici. Quello che non è ancora chiaro è il pattern di attacco inteso come quali siano i reali obiettivi, dato che non sembra esserci la predilezione per un campo piuttosto che per un altro o per un tipo di organizzazione piuttosto che per un’altra. Il che rende ancora più preoccupante la situazione.
Se infatti il motivo dell’attacco è quello di destabilizzare quanti più servizi possibili, scoprire chi ha lanciato l’attacco può risultare ancora più complesso. Utilizzando servizi come Tor e poi quasi impossibile rintracciare gli IP reali e quindi geolocalizzare le minacce. Come utenti quello che è possibile fare è limitato. Alcuni spunti possiamo comunque prenderli dalle raccomandazioni che Cisco ha pubblicato, per esempio, se l’attacco riguarda i dispositivi Cisco Firewall: un consiglio, che possono mettere in pratica i gestori di questi servizi è abilitare un sistema di login in modo tale da poter tenere traccia di quello che succede.
