Nelle scorse ore i media di tutto il mondo avevano pubblicato la notizia di un presunto furto di credenziali d’accesso da parte di una gang di cracker russi. I responsabili di Hold Security, società che per prima – nel mese di ottobre 2013 – individuò l’operazione che portò alla sottrazione dei dati personali di 2,9 milioni di utenti Adobe (vedere l’articolo Adobe subisce un grave attacco informatico), appena due giorni fa avevano dichiarato di aver scoperto l’attività criminale posta in essere da CyberVor (“vor” in russo significa “furto“), una gang del Paese del Cremlino che sarebbe riuscita ad impossessarsi di 1,2 miliardi di credenziali d’accesso a vari servizi.
Gli aggressori avrebbero fatto leva su una botnet composta da milioni di sistemi precedentemente infettati con lo scopo di individuare siti web vulnerabili ad attacchi di tipo SQL injection.
Quando i dati inviati in input non vengono opportunamente filtrati, l’interrogazione SQL ricevuta in ingresso dalla pagina web, potrebbe essere “agganciata” alla query effettuata a livello server dall’applicazione web. I risultati possono essere drammatici: l’aggressore, nel caso in cui l’attacco dovesse andare a buon fine, può essere in grado di alterare dati memorizzati nel database, aggiungere informazioni maligne nelle pagine web dinamiche generate a partire dal contenuto della base dati, modificare username e password.
Dopo aver sferrato gli attacchi SQL injection verso siti web di tutto il mondo ed aver violato server FTP inadeguatamente protetti (complessivamente oltre 420.000 server), la banda di cracker russi sarebbe riuscita a raccogliere 1,2 miliardi di credenziali d’accesso univoche.
Fino ad ora c’era più di qualche dubbio sull’effettiva veridicità della notizia. Brian Krebs, famoso giornalista, blogger ed esperto informatico, afferma però adesso di essere riuscito a prendere visione dei dati rubati (vedere il suo articolo).
Molto probabilmente, i dati rastrellati dalla gang russa saranno principalmente utilizzati per l’invio di spam, anche direttamente dagli account e-mail delle utente vittima dell’attacco verso colleghi, amici e conoscenti.
Non è dato sapere se Hold Security, così come era stato fatto nel caso dell’aggressione sferrata nei confronti di Adobe, rilasci un tool per verificare se le credenziali di uno o più account di proprio utilizzo siano cadute nelle mani dei cracker russi.