Server Hijacking, di che cosa si tratta?

Il server hijacking è una delle più pericolose minacce informatiche attualmente esistenti.
Per effettuare questo genere di attacco, il malintenzionato prende il controllo di un qualunque dispositivo server (web server, un database server o un file server), senza ovviamente l’autorizzazione dell’amministratore di sistema. Una volta ottenuto il controllo, si possono installare software malevoli, manipolare e rubare dati sensibili, diffusione di adware e phishing.

Altrimenti, usare il server stesso come base per altri attacchi, esattamente come il modus operandi di un qualsiasi attentato terroristico. In questo articolo esploreremo i pericoli del server hijacking, le tecniche utilizzate dai cybercriminali, soprattutto alla fine come adottare, sia da individui che da aziende, misure per proteggere i nostri sistemi.

Attacco server hijacking, che cos’è?

Il server hijacking attack è noto anche come dirottamento di server, è un tipo di attacco informatico in cui un malintenzionato prende il controllo totale o parziale di un server o di un sistema informatico, violandone l’integrità, la disponibilità o la confidenzialità delle risorse e dei dati presenti. Questo può essere fatto attraverso vari metodi, tra cui l’exploit di vulnerabilità nel software del server, l’uso di tecniche di ingegneria sociale per ottenere credenziali di accesso, o l’infiltrazione di malware per ottenere privilegi elevati sul sistema.
Una volta che l’attaccante ha ottenuto l’accesso al server, può compiere una serie di azioni dannose, come:

• rubare o modificare dati sensibili
• interrompere il funzionamento del server
• utilizzare il server come piattaforma per lanciare ulteriori attacchi verso altri sistemi.

Il server hijacking può avere conseguenze gravi per le organizzazioni colpite, tra cui la perdita di reputazione, il furto di proprietà intellettuale e la violazione della privacy dei dati degli utenti.

Server hijacking e DNS hijacking sono la stessa cosa?

Uno dei primi dubbi che vi sarà sorto è questo: server hijacking e DNS hijacking sono sinonimi?
Assolutamente no. Cosa presentano di diverso queste due tipologie di attacco?

• Server hijacking indica il controllo del server da parte di un aggressore, il quale ottiene informazioni sensibili, modifica dei dati a piacere o utilizzarlo come base per altri generi di attacchi. Cosa ottiene un malintenzionato in questo caso? Le credenziali di accesso per poter sfruttare ulteriormente le vulnerabilità di sistema.
• Il DNS hijacking, noto anche come dirottamento DNS o DNS redirection, è un tipo di attacco informatico in cui un malintenzionato modifica il comportamento del sistema di risoluzione dei nomi di dominio (DNS) per indirizzare gli utenti verso siti web fraudolenti o dannosi, invece di indirizzarli verso i siti legittimi che intendevano visitare.I dirottatori DNS possono attuare questo attacco in diversi modi. Un attaccante può infettare un computer o un dispositivo con malware che modifica le impostazioni DNS, facendo puntare il dispositivo a server DNS dannosi o compromessi. In alternativa, un attaccante può prendere il controllo di un server DNS legittimo e modificarne le risposte per indirizzare gli utenti verso siti malevoli. Infine, un attaccante può utilizzare tecniche di attacco man-in-the-middle (MITM) per intercettare e modificare le richieste e le risposte DNS tra il dispositivo dell’utente e il server DNS. DNS Hijacking si riferisce all’intercettazione del traffico Internet, dirottando gli utenti su siti internet falsi e fraudolenti. Per poter effettuare un attacco del genere sono modificati i record DNS, modificando la traiettoria degli utenti in cerca di siti affidabili. Anche in questo caso, le credenziali di accesso sono rubate, così come i dati personali.

Tecniche di attacco server hijacking

I cybercriminali utilizzano diverse tecniche, ma anche una combinazione tra esse, per effettuare server hijacking, tra cui:

• Sfruttamento delle vulnerabilità dei software in esecuzione, dei database, nei sistemi operativi, per poter ottenere l’acceso non autorizzato ai sistemi. gli aggressori possono sfruttare le vulnerabilità dei software in esecuzione sui server per ottenere l’accesso non autorizzato ai sistemi.
• Brute-force attack, ovvero cercare di indovinare le credenziali di accesso utilizzando dizionari di password, programmi automatizzati di combinazioni nomi utenti e password, fino ad “aprire la serratura”.
• Social engineering, per ottenere l’accesso non autorizzato ai server, anche fingendo di essere il dipendenze dell’azienda bersaglio per poter richiedere le credenziali per accedere al sistema.
• Tecniche di phishing, che servono a indurre gli utenti a rivelare le credenziali di accesso al server. In questo modo, scaricano malware inavvertitamente che permettono l’insediamento nel sistema.
• SQL injection, eseguito tramite attacchi che sfruttano vulnerabilità di sistema, ottenendo l’accesso non autorizzato.
• Inserimento di malware e trojan, inserendo così backdoor nel server, così da accedere al sistema in qualunque momento.
• Password cracking, tramite elenchi di dati rubati presenti nel dark web, l’utilizzo di dizionari di password o di attacchi di tipo tabella arcobaleno.

Perché il server hijacking è pericoloso?

Il server hijacking è considerato un attacco pericoloso poiché può avere conseguenze gravi e di vasta portata per le organizzazioni colpite.
Un malintenzionato che prende il controllo di un server può accedere a dati sensibili, rubare proprietà intellettuale, violare la privacy degli utenti e compromettere la sicurezza delle transazioni online.

Inoltre, il server compromesso può essere utilizzato come piattaforma per lanciare ulteriori attacchi verso altri sistemi, amplificando il danno e la portata dell’attacco originale. Il server hijacking può inoltre causare interruzioni nei servizi, con ripercussioni sulla produttività aziendale e sulla reputazione dell’organizzazione, che potrebbe perdere la fiducia dei clienti e degli utenti a causa della violazione della sicurezza e della privacy dei loro dati.

Esempi di server hijacking nella storia dell’informatica

Il server hijacking è una pratica hacking che ha interessato numerosi eventi nella storia dell’informatica.
Quali sono gli esempi degni di nota?

• Nel 2000, il famoso hacker Kevin Mitnick, con l’obiettivo di rubare dati del sito Web della società americana Pacific Bell, ha eseguito un attacco server hijacking. Nel processo ha utilizzato un exploit noto come “Sendmail Debug Mode Command Execution“, potendo così ottenere l’accesso ai server della società e rubare numeri di carte di credito e informazioni personali.
• Nel 2003, il gruppo Hacker The Botnet Army ha eseguito un attacco di server hijacking contro il sito web del famosissimo giornale New York Times. Anche in questo caso, l’accesso è stato fatto grazie all’exploit Apache Chunked Encoding Integer Overflow. Il server compromesso è stato poi sfruttato per distribuire virus verso gli abbonati e altri utenti.
• Nel 2011, la famosissima azienda videoludica giapponese SEGA ha subito un attacco server hijacking. I server aziendali avevano una vulnerabilità nel software Apache Struts, che permesso ai cybercriminali di entrare, rubando così dati personali di milioni di utenti, tra dipendenti e clienti
• Nel 2013, un gruppo di hacker noto come GhostShell ha eseguito una serie di attacchi di server hijacking contro università, aziende e governi in tutto il mondo. Anche in questo caso, la formula non cambia: hanno utilizzato exploit variegati per ottenere accessi al server ed effettuare furti di dati sensibili.

Come prevenire gli attacchi di server hijacking in azienda?

Per prevenire gli attacchi di server hijacking in azienda, è fondamentale che gli specialisti IT adottino una serie di misure preventive e processi tecnici. Tra questi, è importante mantenere aggiornati i sistemi operativi, i software e le applicazioni del server, applicando tempestivamente le patch di sicurezza per risolvere le vulnerabilità note. L’adozione di soluzioni antivirus e antimalware, insieme alla configurazione di firewall e sistemi di prevenzione delle intrusioni, contribuisce a proteggere il server da attacchi esterni. È inoltre cruciale limitare l’accesso al server e gestire attentamente i privilegi degli utenti, garantendo che solo il personale autorizzato abbia accesso alle risorse sensibili e implementando l’autenticazione a due fattori per rafforzare la sicurezza delle credenziali di accesso. Infine, è consigliabile formare il personale su pratiche di sicurezza informatica e sensibilizzarlo sull’importanza della protezione dei dati e delle risorse aziendali, al fine di ridurre il rischio di attacchi di server hijacking e altri tipi di minacce informatiche.