Skip to content

Piero Bosio Social Web Site Personale Logo Fediverso

Social Forum federato con il resto del mondo. Non contano le istanze, contano le persone
  1. Home
  2. Categories
  3. Uncategorized
  4. Il caso Nezha: quando un Attacco Informatico sembra normale manutenzione

Il caso Nezha: quando un Attacco Informatico sembra normale manutenzione

Uncategorized
1 1 0
  • cybersecurity@poliverso.orgundefined

    Il caso Nezha: quando un Attacco Informatico sembra normale manutenzione

    C’è un momento, spesso tardivo, in cui ci si accorge che il problema non è entrato forzando la porta, ma usando le chiavi di casa. È quello che succede quando uno strumento nato per amministrare, monitorare, semplificare il lavoro quotidiano di chi gestisce sistemi diventa il veicolo perfetto per restare nascosti. Nezha non arriva con comportamenti plateali, non lascia firme evidenti, non fa rumore.

    Si installa, aspetta, osserva. In un log sembra manutenzione ordinaria, in una dashboard appare come una presenza già vista mille volte. Ed è proprio lì che si inceppa il riflesso difensivo: quando ciò che si guarda ogni giorno smette di essere messo in discussione.

    Gli aggressori hanno iniziato a utilizzare uno strumento di monitoraggio dei server legittimo come piattaforma pronta all’uso per il controllo remoto di sistemi già compromessi. Secondo l‘Ontinue Cyber Defense Center, i nuovi incidenti coinvolgono Nezha, un popolare sistema di monitoraggio e amministrazione open source che funziona sia su Windows che su Linux.

    In questa campagna, Nezha non agisce come malware nel senso tradizionale del termine, ma come strumento di accesso remoto post-sfruttamento. La sua legalità e il supporto attivo del progetto lo rendono praticamente insospettabile: secondo i ricercatori di VirusTotal, i suoi componenti non sono stati attivati da nessuno dei 72 motori testati.

    L’agente si installa silenziosamente e può rimanere inosservato a lungo, finché gli aggressori non iniziano a impartire comandi, rendendo i tradizionali metodi di protezione basati sulle firme spesso inefficaci in questi casi.

    Gli esperti lo definiscono un esempio di una tendenza crescente in cui gli aggressori abusano sistematicamente di software “normali” per infiltrarsi nell’infrastruttura e muoversi nella rete, eludendo il rilevamento. Maiures di Qualys ha osservato che in un ambiente in cui Nezha è già considerato uno strumento comune, i difensori potrebbero persino non notare le anomalie: l’attività sembra essere un’amministrazione di routine.

    Nezha è stato originariamente creato per la comunità IT cinese e ha accumulato quasi 10.000 stelle su GitHub. La sua architettura è tipica di piattaforme simili: un pannello di controllo centrale e agenti leggeri sui computer monitorati. Gli agenti supportano l’esecuzione di comandi, il trasferimento di file e sessioni di terminale interattive: funzionalità utili per gli amministratori, ma altrettanto comode per gli aggressori.

    Secondo il rapporto di Ontinue, l’attacco ha utilizzato uno script Bash che ha tentato di distribuire un agente, connettendolo all’infrastruttura controllata dall’aggressore. Lo script conteneva messaggi di stato e parametri di configurazione in cinese che puntavano a un pannello di controllo remoto ospitato su Alibaba Cloud, in particolare in Giappone. Tuttavia, i ricercatori sottolineano che il linguaggio utilizzato nei messaggi è un indizio troppo debole per l’attribuzione: tali “tracce” sono facilmente falsificabili.

    Di particolare interesse è il fatto che l’agente Nezha sia progettato per operare con privilegi elevati. Nell’ambiente di test, Nezha su Windows fornisce una sessione PowerShell interattiva con privilegi NT AUTHORITYSYSTEM e, su Linux, accesso a livello root, senza richiedere un exploit di vulnerabilità separato o un’escalation di privilegi.

    Secondo gli esperti, il problema non è che Nezha sia “dannoso”, ma che consente agli aggressori di risparmiare tempo nello sviluppo dei propri strumenti ed eseguire in modo affidabile comandi remoti, lavorare con i file e ottenere una shell interattiva su una macchina compromessa.

    Nell’ambito dell’indagine, Ontinue ha anche esaminato la dashboard pubblica associata all’incidente: segnali indiretti indicavano che centinaia di endpoint avrebbero potuto esservi collegati. Una tale portata è possibile se un segreto condiviso o una chiave di accesso viene compromesso e una singola dashboard inizia a controllare un gran numero di macchine.

    La sfida principale per la sicurezza, come riconoscono i ricercatori, è distinguere l’uso legittimo degli strumenti dall’abuso. In questi casi, il contesto è fondamentale: chi ha installato l’agente, quando è apparso, dove si connette, quali comandi vengono eseguiti e quanto questo sia simile al normale lavoro di un amministratore. Come conclude Qualys, è ora di smettere di dividere gli strumenti in “buoni” e “cattivi” e di analizzare invece il loro comportamento e i loro scenari di utilizzo.

    L'articolo Il caso Nezha: quando un Attacco Informatico sembra normale manutenzione proviene da Red Hot Cyber.

    0
Log in to reply

Feed RSS
Il caso Nezha: quando un Attacco Informatico sembra normale manutenzione

Gli ultimi otto messaggi ricevuti dalla Federazione
@pierobosio@soc.bosio.info
Post suggeriti
  • 77nn@goto.77nn.itundefined

    Le persone cambiano, su questo non c'è ombra di dubbio.

    Uncategorized
    1
    0 Votes
    1 Posts
    0 Views
    77nn@goto.77nn.itundefined
    Le persone cambiano, su questo non c'è ombra di dubbio. Siamo quantomeno tutti delle navi di Teseo in quanto organismi con un ciclo di rinnovamento cellulare.Non lo so come funzioni per le cellule nervose, per la verità, ma suppongo che riproducano di meno per garantire una sorta di stabilità e coerenza di personalità... o forse no, ma non importa.Mi accorgo che le mie posizioni su alcuni temi etici stanno virando, non capovolgendo, sia chiaro, ma stanno cambiando. Mi viene da dire che si stanno ricalibrando come se le condizioni di contorno e i limiti fossero cambiati e bisognasse riproiettarle su un nuovo sistema di riferimento.Eppure frequento solo il Fediverso, come social network online. Non guardo la TV, penso solo al lavoro e ad alcuni hobby.Dunque cosa fa cambiare la mia percezione del mondo? Davvero le 10 ore di ufficio, di cui forse in totale 15-20 minuti effettivi trascorsi con colleghi al caffé, che alla fine non la pensano nemmeno troppo diversamente da me, hanno questo potere di far virare la mia visione del mondo in modo non radicale, ma comunque percettibile?Non è che improvvisamente, per dirne una, i generatori di immagini o di testi mi sembrano diventati eticamente accettabili, ma li vedo come meno inaccettabili rispetto per dire ad un anno fa. E questo sta accadendo su diverse cose, che una volta mi parevano monoliti tra miei valori etici.Le mie certezze sono meno assolute. I miei capisaldi, meno saldi.Ci ho fatto caso oggi stesso, postando un testo che ha sollevato diverse critiche da persone con cui sono in contatto da anni qui sul Fediverso. L'ho riletto più volte e sì, c'erano un paio di battute di cattivo gusto, che forse un anno fa non avrei fatto, ma che oggi ho trovato buffe o umoristiche. E nonostante ci abbia riflettuto e compreso, accettato come legittimo, il punto di vista di chi me le ha segnalate, continuo a non vederci tutto sommato un male assoluto... ma piuttosto una sensibilità violata, questo sì.Possibile che io possa aver recepito, senza essere stato esposto in alcun modo massiccio, il bombardamento propagandistico culturale filo-MAGA mitragliato ad oltranza dall'America verso i Paesi occidentali? Lo spero, perché l'alternativa vorrebbe dire che sono rincoglionito, e a quello non c'è, ahimé, alcun rimedio...No, credo che sia quello che ho detto all'inizio. Credo che il contesto determini la risposta, e cambiando radicalmente, induca degli aggiustamenti sulle priorità dei valori che sostengono i comportamenti.Credo che, dopo anni a cercare (e non riuscire a trovare) il modo di cambiare la percezione e le opinioni dentro la testa delle persone, qualcuno abbia raggiunto una sorta di massa critica che gli consente di alterare a piacere il contesto pubblico (tipo le big tech) per cambiare la risposta delle persone. Molto pratico. E agghiacciante.O forse sono invecchiato e mi sto rincoglionendo?O forse sto diventando uno stronzo e sto cercando un capro espiatorio?O forse lo sempre stato e mi sono nascosto dietro a un dito che oggi non mia coperto abbastanza?Non lo so, ma basta adesso vado a sedermi sulla mia seggiolina di vimini con una coperta a quadri sulle gambe, a guardare Retequattro. E morirò sbavando.
  • andycarolan@social.lolundefined

    Happy Holidays everyone!

    Uncategorized
    1
    0 Votes
    1 Posts
    0 Views
    andycarolan@social.lolundefined
    Happy Holidays everyone! Let's decorate the @FediTree
  • uaar@mastodon.unoundefined

    La nostra "tradizionale" letterina natalizia 😉🎅.

    Uncategorized
    3
    1
    0 Votes
    3 Posts
    0 Views
    lalchimistadigitale@mastodon.unoundefined
    @uaar condivido e auguri a tutti voi di UAAR
  • giorgiamecojoni@mastodon.unoundefined

    Questanno a i ministri je ho regalato un posacenere co na chiesa sopra e un deodorante ar mughetto

    Uncategorized
    2
    0 Votes
    2 Posts
    0 Views
    lalchimistadigitale@mastodon.unoundefined
    @GiorgiaMecojoni 😂