Scoperto da Recorded Future, è uno strumento completamente automatico per l’individuazione di falle di tipo SQL Injection che sono responsabili per buona parte delle violazioni di dati osservati quotidianamente
In questo post parleremo di una recente scoperta fatta dai ricercatori dell’azienda di sicurezza Recorded Future, un tool online che consente ad attaccanti di scovare falle in siti web in modo rapido ed efficiente. Nell’hacking underground è facile trovare tool per condurre attacchi di vario genere in maniera più o meno automatica. Questi tool possono essere venduti oppure noleggiati, molto spesso a prezzi modici che quindi agevolano l’ingresso di nuovi profili criminali nella cyber arena. Il tool scoperto da Recorded Future si chiama Katyusha Scanner, uno strumento automatico per l’individuazione di falle di tipo SQL Injection, che sono responsabili per buona parte delle violazioni di dati osservate quotidianamente.
Il Katyusha
Il nome è tutto un programma, il Katyusha è un lanciarazzi di fabbricazione sovietica introdotto durante il secondo conflitto mondiale ed in grado di lanciare fino a 48 razzi contemporaneamente. Molte le analogie con il tool criminale che ci apprestiamo a descrivere. Gli esperti hanno trovato il tool in vendita su uno dei principali forum dell’hacking underground russo,
lo strumento offerto per soli 500 dollari consente scansioni massive di siti web
Recorded Future ha omesso di rivelare il nome del sito, segnalandolo alle autorità.
Il controllo con lo smartphone
La vera peculiarità del tool Katyusha Scanner è la possibilità di controllarlo attraverso lo smartphone, in particolare attraverso la popolare applicazione di instant messaging Telegram una scelta progettuale vincente che quindi consente a chiunque in possesso di un telefono di nuova generazione, sia esso Android, iOS o Windows, di gestire il software. Una interessante funzionalità implementata nel tool Katyusha scanner è la possibilità di caricare l’elenco dei siti web da attaccare direttamente attraverso Telegram, il software poi è in grado di avviare le scansioni simultaneamente. L’analisi del tool ha rivelato che esso è stato sviluppato partendo dal tool open source di penetration testing noto come Anarchi Scanner. Katyusha Scanner è apparso per la prima volta nel forum in Aprile e da allora sono state pubblicate numerosi versioni, circostanza che conferma che i suoi autori continuano a lavorare al progetto.
Come si usa
Lo scanner è facile da usare, agli acquirenti è richiesto di configurare un server web standard con la versione dello scanner Arachni scanner modificata per consentire il controllo dell’operazione tramite un apposito account Telegram.
katyusha-scanner-analysis-0
Così come accade per qualunque prodotto sul mercato, seguendo una pianificata strategia di marketing, gli autori dello scanner commercializzano due versioni, una Pro ed una Lite che sono vendute rispettivamente per $250 e $500. La versione Professional utilizza un certo numero di exploit noti per hackerare un sito web una volta individuata una falla di SQL injection. Ogni volta che lo scanner individua una falla fornisce notifica all’attaccante a mezzo messaggio di testo che include il nome del sito, il rating del portale Alexa, ed il numero di database afferenti al sito. A questo punto l’attaccante può impartire comandi per finalizzare l’attacco vero e proprio.
Secondo gli esperti dell’azienda Recorded Future…
Il venditore del potente scanner è russo, pare sia un hacker noto nell’underground per la vendita di dati rubati da siti web di e-commerce. Il venditore suggerisce di utilizzare liste di siti obiettivi composte da almeno 500 indirizzi, la versione Pro implementa anche funzionalità per l’esfiltrazione dei dati memorizzati nei database acceduti sfruttando le falle individuate dallo scanner. Secondo Recorded Future, almeno 12/15 utenti hanno già acquistato lo scanner, fonti interne al forum e vicine all’azienda riferiscono della piena soddisfazione di tutti per l’efficienza dello strumento.
Il potenziale di attacco
Quello che maggiormente preoccupa circa la scoperta del tool Katyusha Scanner è il suo potenziale di attacco, la disponibilità di un numero crescente di esemplari di un tool così potente potrebbe portare ad un rapido aumento di attacchi di SQLi su scala globale. La scala potenziale degli attacchi che Katyusha è in grado di alimentare è preoccupante. «Quando bastano decine di dollari per acquistare un tool simile è facile attendersi un aumento del numero di attacchi quotidiano – ha dichiarato l’esperto Andrei Barysevich della Recorded Future – il potenziale di attacco in mano ai criminali è ormai senza precedenti. Non occorre essere provetti hacker né tantomeno conoscere il funzionamento di tool specifici per sferrare un’offensiva massiccia. Strumenti come questo fan tutto da se».
