Grave attacco hacker colpisce quasi 400mila account WordPress

Un grave attacco informatico, orchestrato dal gruppo criminale MUT-1244, ha compromesso oltre 390.000 credenziali di accesso a siti WordPress in un’operazione di lunga durata, estesa per circa un anno. L’obiettivo primario di questo attacco sono stati altri hacker, sia "white hat" (che lavorano per migliorare la sicurezza) sia "black hat" (che agiscono con intenti malevoli), i quali sono stati ingannati tramite tecniche di phishing e software dannosi.

Secondo i ricercatori di Datadog Security Labs, il gruppo è riuscito a ottenere informazioni estremamente sensibili, tra cui chiavi SSH private e credenziali di accesso ai servizi AWS. Tra le vittime figurano non solo hacker con intenti criminosi, ma anche esperti di sicurezza informatica, pen tester e ricercatori impegnati nello studio di vulnerabilità.

L’attacco si è sviluppato principalmente attraverso due vettori: campagne di phishing e repository falsi su GitHub. Le email fraudolente convincevano le vittime a installare un falso aggiornamento del kernel che, in realtà, introduceva malware nei loro sistemi. Parallelamente, i repository su GitHub imitavano progetti legittimi e contenevano codice malevolo sotto forma di exploit, utilizzati da esperti per condurre ricerche.

Che strategia hanno adottato gli aggressori?

Gli aggressori hanno adottato una strategia a doppio scopo: rubare ricerche e dati riservati ai professionisti della sicurezza e ottenere accesso alle loro reti. I repository falsi erano progettati per sembrare affidabili, scegliendo nomi che richiamavano fonti di intelligence sulle minacce, ingannando così le vittime.

Il malware utilizzato prelevava chiavi SSH, credenziali AWS, file di configurazione e intere directory con dati sensibili, inviandoli poi a servizi di condivisione come Dropbox o file.io, sfruttando credenziali incorporate nel codice dannoso.

Le credenziali WordPress trafugate sono state verificate dai criminali tramite un programma chiamato "yawpp", originariamente progettato per validare gli accessi. Paradossalmente, gli stessi hacker che lo utilizzavano hanno involontariamente fornito ulteriori informazioni agli attaccanti. Questo attacco ha sfruttato la fiducia nella comunità della cybersicurezza per compromettere numerosi sistemi, e gli esperti avvertono che l’operazione potrebbe essere ancora attiva.