Flax Typhoon Sta Arrivando! Il Gruppo Cinese Minaccia le Infrastrutture Critiche con Botnet IoT

Redazione RHC : 26 Settembre 2024 08:06

La settimana scorsa, le agenzie di intelligence dell’alleanza Five Eyes, che comprende Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, hanno emesso un avvertimento congiunto sugli attacchi informatici legati alla Repubblica popolare cinese.

Il documento descrive le azioni del gruppo informatico Flax Typhoon, che sfrutta le vulnerabilità dei router e dei dispositivi Internet of Things (IoT) per creare una botnet mirata che consente di essere il veicolo per attaccare infrastrutture critiche.

Secondo il rapporto , Flax Typhoon sfrutta attivamente 66 vulnerabilità note per hackerare router, dispositivi IoT e altre applicazioni web. Tra i principali produttori i cui prodotti sono sotto attacco ci sono:

• Apache (10 vulnerabilità)
• Cisco (5 vulnerabilità)
• Zyxel (3 vulnerabilità)
• QNAP (3 vulnerabilità)
• Fortinet (3 vulnerabilità)
• Draytek (3 vulnerabilità)
• WordPress (2 vulnerabilità)
• IBM (2 vulnerabilità)
• F5 (2 vulnerabilità)

Si consiglia alle organizzazioni che utilizzano apparecchiature di queste società di scansionare immediatamente i propri sistemi e risolvere eventuali vulnerabilità identificate.

Secondo l’analisi, il 47,9% dei dispositivi infetti si trova negli Stati Uniti, il che indica una seria minaccia per le infrastrutture critiche del Paese. Altri obiettivi di attacco significativi includono il Vietnam (8%), la Germania (7,2%) e una serie di altri paesi, tra cui Canada, Regno Unito e India.

Al momento della pubblicazione dell’avviso, 41 delle 66 vulnerabilità erano già incluse nel database VulnCheck KEV . In particolare, solo 27 di queste vulnerabilità sono state incluse nel catalogo delle vulnerabilità sfruttabili note (KEV) della CISA. Dopo l’avviso, VulnCheck ha aggiornato la sua risorsa per includere tutte le 66 vulnerabilità e si prevede che anche CISA aggiornerà presto il suo catalogo.

Per proteggersi dagli attacchi botnet Flax Typhoon e da altre minacce simili, l’FBI consiglia i seguenti passaggi:

1. Disabilita i servizi e le porte inutilizzati per ridurre la superficie di attacco.
2. Implementazione della segmentazione della rete per limitare la diffusione della minaccia in caso di compromissione.
3. Monitorare volumi elevati di traffico di rete che potrebbero indicare attività botnet.
4. Applicazione tempestiva di patch e aggiornamenti per eliminare le vulnerabilità note.
5. Sostituisci le password predefinite con password complesse e univoche per ciascun dispositivo.
6. La pianificazione regolare dei riavvii del dispositivo può aiutare a rimuovere il malware dalla RAM.
7. Sostituzione di software o apparecchiature obsoleto non supportati dal produttore.

Gli esperti sottolineano la necessità di un approccio globale alla gestione delle vulnerabilità. È importante considerare non solo la presenza di vulnerabilità, ma anche prove di sfruttamento attivo, contesto ambientale e ulteriori fattori di rischio. L’utilizzo di informazioni aggiornate sulle minacce consente alle organizzazioni di prendere decisioni informate per dare priorità alle vulnerabilità e mitigare efficacemente i rischi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.