Migliaia di siti infettati, il cervellone del MIT perde il senno

Un attacco di origine ignota ha trasformato i server del MIT in macchine che scansionano la rete alla ricerca di siti vulnerabili e li infettano con malware. La tecnica di per sé non è nuova, ma la scelta degli strumenti marca un nuovo passo evolutivo degli attacchi SQL injection.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Cracker ignoti hanno infettato i server del MIT (Massachusetts Institute of Technology) trasformandoli in una sorta di bot di lusso, che ha poi infettato migliaia di altri siti in tutto il mondo. Sono passati quasi sei mesi prima che qualcuno si accorgesse del problema e vi ponesse rimedio.

La tecnica di attacco è quella nota come "iniezione SQL", un metodo che sfrutta vulnerabilità note in PHPMyAdmin (dalla versione 2.5.6 alla 2.8.2) per inserire codice attivo in un sito. Le azioni possibili sono diverse, e vanno dalla "semplice" alterazione dell'aspetto del sito (defacing) al furto d'informazioni. 

Questo tipo di attacco tuttavia si porta a termine con una strategia "brute force", letteralmente forza bruta: semplicemente si continua a tentare fino a che non si trova una "porta aperta" per inserire il codice.

Uno dei siti compromessi

Ma allora perché usare i server del MIT, invece di affidarsi a una qualsiasi botnet? Perché si tratta di domini .EDU, che godono di una grande fiducia, e le richieste effettuate sono spesso considerate legittime e sicure. Quindi ci sono meno controlli,  e più possibilità di avere successo.

Immaginate che un amico fidato sia posseduto da un folletto malefico, che lo spinga a far visita a voi e agli altri sui amici. Una volta entrato in casa il folletto si manifesta, ruba i vostri averi e dipinge graffiti sulla porta.

E così i server del MIT sono stati sfruttati come un cavallo di Troia per colpire oltre 100.000 siti, a quanto racconta l'azienda di sicurezza BitDefender, che ha individuato l'infezione grazie alla cartella "muieblackcat" creata sul server della vittima.  

"A giudicare dai dati iniziali uno dei server del MIT (CS2-.MIT.EDU) ospita uno script pericoloso usato attivamente dai criminali per analizzare la rete alla ricerca di siti vulnerabili. Al momento non è noto come il crawler automatico sia stato impiantato nel sito", spiegano i ricercatori di BitDefender.

I siti colpiti diventano a loro volta un veicolo d'infezione, questa volta mirato agli utenti che li visitano; l'obiettivo in questo caso è diffondere malware più "tradizionale" sui computer che usiamo tutti i giorni. E per ottenere tale risultato ai siti colpiti vengono aggiunte diverse parole chiave, con l'obiettivo di alzare il loro posizionamento nei motori di ricerca. Una tecnica nota come Black Hat Seo.