Negli ultimi tempi, la sicurezza informatica è messa a dura prova da nuove tecniche di attacco che sfruttano servizi e configurazioni poco sicure all’interno delle infrastrutture IT. Un esempio recente riguarda l’abuso dell’interfaccia Java Debug Wire Protocol (JDWP). JDWP è un protocollo di comunicazione usato in ambiente Java per il debug delle applicazioni, che però, se lasciato esposto su internet senza adeguate protezioni, può diventare una porta d’ingresso per attori malevoli. Questi ultimi sono in grado di eseguire codice arbitrario sui sistemi compromessi e installare miner di criptovalute, causando danni economici e sfruttamento delle risorse aziendali.

La tecnica sfrutta in particolare versioni modificate di XMRig, un noto software open-source per il mining, configurato in modo da evitare il rilevamento attraverso parametri sospetti nella riga di comando. Una volta ottenuto l’accesso tramite JDWP, gli attaccanti scaricano uno script shell che elimina altri processi di mining concorrenti, installa la propria versione di XMRig e si assicura la persistenza attraverso cron job, in modo che il mining riparta ad ogni riavvio o login. L’intero processo tende a nascondere l’indirizzo del wallet di criptovaluta, rendendo difficile per le difese informatiche risalire ai responsabili.

Secondo gli ultimi dati, oltre 2.600 indirizzi IP sono stati identificati mentre eseguivano scansioni su larga scala alla ricerca di endpoint JDWP esposti, con la maggior parte delle attività malevole provenienti da Cina, Stati Uniti, Germania, Singapore e Hong Kong. Le applicazioni più a rischio sono quelle che abilitano JDWP in modalità debug, come TeamCity, Jenkins, Elasticsearch, Quarkus, Spring Boot e Apache Tomcat.

Botnet Hpingbot e attacchi SSH deboli

Parallelamente, un’altra minaccia significativa è rappresentata dalla nuova botnet Go-based denominata Hpingbot. Questa botnet, in continua evoluzione, sfrutta configurazioni SSH deboli per diffondersi e arruolare sistemi Windows e Linux, utilizzando hping3, un tool legittimo di test di rete, per lanciare attacchi DDoS. Hpingbot si distingue dalle varianti più note come Mirai e Gafgyt per essere una famiglia di malware completamente nuova, dotata di funzioni innovative come l’uso di Pastebin per la distribuzione dei comandi e la possibilità di scaricare ulteriori payload malevoli.

Gli attaccanti mirano non solo a interrompere i servizi tramite attacchi DDoS, ma anche a trasformare i sistemi infetti in nodi di distribuzione per ulteriori infezioni, puntando a una monetizzazione multipla e a una maggiore resilienza della botnet.