Home Blogs Hacktivism in Focus: Il vostro sito è a rischio? – Edgio
Applications

Hacktivism in Focus: Il vostro sito è a rischio? – Edgio

About The Author

Outline

Di: Tom Gorup & Andrew Johnson

Probabilmente avrai notato che la frequenza degli attacchi informatici nei titoli dei giornali è cresciuta drasticamente da quando è iniziata la guerra Israele / Hamas. Abbiamo assistito a un aumento di tutto, dal defacement del sito agli attacchi DDoS all’esfiltrazione dei dati da parte degli hacktivisti di tutto il mondo. Non ci sono stati confini né confini che non sono disposti a attraversare.

Mentre attacchi più degni di nota su siti altamente pubblici come The Jerusalem Post fanno notizia, una tendenza interessante che abbiamo notato è la defacement del sito uno a molti su obiettivi meno visibili. Ciò che intendiamo con “uno a molti” sono attacchi che mirano a una singola risorsa per compromettere molti siti web. Molti degli attacchi che abbiamo visto, che sostengono di essere legati a interessi di conflitto in Medio Oriente, siedono dietro singoli IP, il che ci ha portato a ipotizzare che molti di questi soggetti di minaccia (TA) stiano ottenendo l’accesso a una singola risorsa o applicazione vulnerabile che consenta loro di manipolare qualsiasi sito che si trovi dietro quel proxy o su quel server. La maggior parte degli attacchi che abbiamo visto che seguono questo modello ha approfittato dei provider di hosting. Consideriamo questi attacchi opportunistici e di conseguenza non escludiamo nessuno dall’elenco dei potenziali obiettivi, Internet è il loro obiettivo.

IL SISTEMA DI ERRORE INFORMATICO DELL'attore di minaccia si flette dopo diversi defacements del sito, tutti su un unico IP

Nelle ultime due settimane, abbiamo analizzato i defacements del sito annunciati pubblicamente nei forum degli hacker, e quello che abbiamo trovato era un po’ inaspettato e certamente interessante. Ad esempio, dei 4.069 attacchi di defacement del sito segnalati dagli hacktivisti nelle ultime due settimane, abbiamo trovato 3.480 domini univoci mirati, ma limitati a soli 1.426 indirizzi IP univoci. Andando un passo oltre, abbiamo trovato solo circa 271 ASN univoci (Autonomous System Numbers) associati alla stessa lista di destinazione.

Queste statistiche parlano molto dei tipi di bersagli che gli hacktivisti stanno cercando. Se ti stai ancora chiedendo se il tuo sito è a rischio … beh lo è! Potreste pensare che i siti meno trafficati siano troppo piccoli per essere coinvolti in questa guerra, ma la realtà è che gli attaccanti stanno approfittando di ogni opportunità che possono ottenere per pubblicare la loro bandiera sul sito di qualcuno in nome dell’hacktivismo. Anche se non possiamo parlare con le motivazioni di ogni singola TA, è probabile che la maggior parte abbia un certo desiderio di guadagnare credibilità e stimolare l’orgoglio mentre pubblicano in una stanza piena di individui in attesa di celebrare i loro successi. Esaminiamo alcuni esempi per illustrare la nostra ipotesi.

Attore di minaccia: SanRei

In questo esempio, diamo un’occhiata a una TA che va con il nome SanRei. Questo individuo ha preso di mira 69 domini univoci su 23 indirizzi IP univoci e 15 ASN Il 72% degli obiettivi di SanRei si trova all’interno dell’ASN di un singolo provider di hosting.

Inoltre, dopo aver analizzato nove domini, abbiamo scoperto che molti dei siti contenevano lo stesso testo/copia, ma con grafica, layout di pagina e temi diversi. I siti sembrano certamente correlati. È difficile dimostrare se la TA abbia creato e controllato i siti, che in seguito hanno deturpato e vantato in un canale Telegram, ma è certamente una forte possibilità.

Siti web con contenuti molto simili, ospitati sullo stesso IP, in seguito dichiararono di essere deturpati da SanRai.

Threat Actor: ./BRILLIANT

Esaminando poi il lavoro di una TA che porta il nome ./BRILLIANT, scopriamo che questa persona ha preso di mira 1.112 domini univoci su 229 indirizzi IP univoci e 61 ASN. Il 70% dei domini mirati ./BRILLANTI sono all’interno dell’ASN dell’Universitas Gadjah Mada. Sembra probabile che ./BRILLIANT abbia trovato una vulnerabilità all’interno di una singola app che ospita diversi blog individuali su *.web.ugm.AC.ID.

Successful attacks were highly concentrated on a single ASN

Al valore nominale, ./BRILLIANT sembra che abbiano compromesso oltre 700 siti Web, ma la realtà probabile è che ne abbiano spuntato uno e abbiano sfruttato quell’accesso per manipolare molti singoli blog. Il compromesso uno a molti è stato un successo.

Agente di minaccia: AnonCyber504_ID

Questi hacktivisti non hanno preso di mira solo siti Web e blog falsi, ma anche siti Web aziendali legittimi sono nella loro lista di obiettivi. L’attore di minaccia AnonCyber504_ID ha preso di mira 60 domini univoci su 37 indirizzi IP univoci e 16 ASN Il 46% degli obiettivi di AnonCyber504 rientra nell’ASN di un provider di hosting, e molti sembrano appartenere a attività legittime.

Message left by AnonCyber504 on legitimate business websites

Sebbene nessuno dei siti sfacciati esaminati appartenga a una società Fortune 500, il punto è che gli hacktivisti e altri TA sembrano colpire i siti indiscriminatamente, grandi o piccole, governi o imprese private.

Conclusione

Siamo sicuri che hai sentito parlare della maggior parte di questi prima, ma cosa si può fare per proteggere il loro sito web da attacchi hacktivisti uno a molti?

Autenticazione a più fattori
siete stanchi di vedere questo nell’elenco dei consigli? C’è un detto: “Quando sei stanco di dirlo, la gente sta iniziando a sentirlo”. In tal caso, assicurarsi di aver applicato l’autenticazione MFA su tutti gli account con accesso alle risorse Web e ai pannelli di amministrazione.

Protezione degli endpoint
sappiamo che il progetto di implementazione della protezione degli endpoint si è bloccato sei mesi fa. Riprendi di nuovo, è il momento di renderlo una priorità. Ciò può contribuire in modo significativo a ridurre il carico di lavoro della sicurezza durante il percorso.

Patch Management
Patching è un’attività ingrata che viene eseguita per sempre, ma è estremamente necessaria. Come pensi che stiano avvenendo questi attacchi uno a molti? Prenditi il tempo di costruire un buon programma, ti ringrazierai a lungo termine.

Protezione API e applicazioni Web
Come abbiamo già detto, l’applicazione delle patch è difficile, ma quando si utilizza un WAF (Web Application Firewall) di buona qualità, in particolare un WAF (Cloud Delivery) con protezione DDoS integrata, sicurezza API, e la gestione dei bot, sarete in grado di respirare più facilmente sapendo di poter rimanere protetti tra il momento in cui viene scoperta una vulnerabilità e l’implementazione di una patch, con funzionalità come l’applicazione di patch virtuali.

Proteggete tutti i vostri siti
mentre la maggior parte delle organizzazioni mature dispone di molte di queste misure di protezione, le recenti attività svolte dagli hacktivisti sottolineano l’importanza di proteggere tutte le vostre risorse web, non solo i vostri siti “gioiello della corona”.

User Education
questa frase crea così tanta nausea, eppure pensiamo che sia completamente sottovalutata. Non ci sorprenderebbe se la maggioranza di questi compromessi uno a molti iniziasse con un attacco di phishing. Prenditi il tempo necessario per assicurarti che il tuo team comprenda perché tutti questi controlli di sicurezza sono necessari. La chiave qui è assicurarsi che sia tempestivo, pertinente e coinvolgente. Hai problemi a renderlo coinvolgente? Contattateci: Il nostro team ha moltissime idee da offrire.

Per ulteriori informazioni sulla premiata soluzione WAAP (Web Application and API Protection) di Edgio , contattate oggi stesso uno dei nostri esperti di sicurezza.