Una recente campagna di Denial of Service distribuito (DDoS), chiamata “Panamorfi”, ha destato l’interesse nella comunità della sicurezza informatica. A differenza degli attacchi DDoS tradizionali, questa campagna mira specificamente a notebook Jupyter malconfigurati esposti online. L’attore minaccia dietro la campagna, noto come yawixooo, utilizza uno strumento DDoS di un server Minecraft pubblicamente disponibile per sovraccaricare i server bersaglio.
L’anatomia dell’attacco
Secondo i ricercatori di Aqua Nautilus, l’attacco inizia con l’attore minaccia che acquisisce l’accesso iniziale ai notebook esposti su Internet. Successivamente procedono ad eseguire un comando che scarica un file zip da una piattaforma di condivisione file. Il file zip, di circa 17 MB e denominato con una stringa casuale di caratteri, contiene due file Jar chiamati conn.jar e mineping.jar. Questi file Jar erano precedentemente sconosciuti alle aziende di sicurezza, con una sola rilevazione per ciascuno.
Il file ‘conn.jar’ svolge un ruolo fondamentale nell’attacco. Utilizza Discord per controllare l’operazione DDoS. Il computer della vittima si collega a un canale Discord specificato, caricando il file ‘mineping.jar’. Questo file è uno strumento ben noto per l’attacco DDoS al server Minecraft disponibile su GitHub e contiene diversi file Java per diverse funzionalità.
Esecuzione dell’attacco
Una volta che lo strumento DDoS del server Minecraft è stato distribuito, l’attore minaccia avvia un attacco DDoS di tipo TCP flood. L’obiettivo principale è esaurire le risorse del server bersaglio. Gli attaccanti hanno configurato lo strumento per scrivere i risultati dell’attacco direttamente sul canale Discord, consentendo loro di monitorare l’impatto dell’attacco in tempo reale.
Attenuare la minaccia
Fortunatamente, i ricercatori di Aqua Nautilus sono riusciti a intervenire e fermare l’attacco implementando una politica in tempo di esecuzione che blocca l’esecuzione del file conn.jar. Adottando queste misure proattive, l’intera campagna è stata efficacemente neutralizzata.
Per proteggersi da campagne simili, è fondamentale seguire queste strategie di mitigazione:
– Implementare pratiche sicure per limitare l’accesso ai notebook Jupyter.
– Bloccare l’esecuzione dei file associati alla campagna, come conn.jar e mineping.jar.
– Limitare l’esecuzione del codice all’interno dei notebook Jupyter.
– Aggiornare regolarmente i notebook Jupyter con le ultime patch di sicurezza.
Inoltre, è consigliabile evitare di condividere informazioni sensibili o credenziali sui notebook Jupyter, in quanto potrebbero diventare potenziali obiettivi per attori minacciosi.
Rimanendo vigili e adottando queste misure di difesa, i professionisti dei dati come ingegneri dei dati, analisti dei dati e scienziati dei dati possono proteggersi dalla campagna DDoS Panamorfi e da attacchi simili in futuro.
Fatti non menzionati nell’articolo:
– I notebook Jupyter sono uno strumento popolare utilizzato in scienze dei dati e apprendimento automatico per l’esplorazione, l’analisi dei dati e la collaborazione.
– I notebook Jupyter malconfigurati possono esporre il codice e i dati sensibili su Internet, rendendoli vulnerabili agli attacchi.
– I notebook Jupyter eseguono tipicamente il codice in un kernel Python o R, consentendo agli utenti di eseguire comandi e manipolare dati.
– Gli attacchi DDoS mirano a interrompere la disponibilità di un server o di un sito web sovraffollandoli con traffico da numerose fonti.
– Discord è una piattaforma di comunicazione comunemente utilizzata dai giocatori, ma in questo caso viene utilizzata come canale di controllo per l’operazione DDoS.