Passa ai contenuti principali

Stacheldraht, quando dominare IRC significava avere più "shell"

I bei tempi andati (fine anni ’90 - primi 2000)

C’erano una volta i tempi in cui bastava linkare una shell, magari con telnet aperto o tramite exploit banale su sistemi Unix-like, per sentirsi il re del canale IRC. E Stacheldraht era il coltellino svizzero dei lamer organizzati.

Cos’era Stacheldraht?
  • Un DDoS toolkit nato intorno al 1999.
  • Scritto in C, girava su Linux e Solaris.
  • Combinava funzioni di Trinoo, TFN (Tribe Flood Network) e TFN2K.
  • Aveva una struttura client-master-agent, con comunicazioni criptate (semplici XOR).
  • Gli attacchi includevano: UDP flood, TCP SYN flood, ICMP flood, e smurf.
Come funzionava:
  • Lo “zombie” era un sistema compromesso (la famosa shell). 
  • Il “master” controllava gli zombie e prendeva ordini da un client.
  • Il controllo poteva avvenire via IRC oppure connessioni dirette.
  • Più shell avevi, più banda avevi a disposizione per far male.
Dal Telnet alle IoT, le evoluzioni moderne. Oggi chi sono gli eredi di Stacheldraht?

Mirai e le sue mille varianti
  • Creato nel 2016, scritto in C, ha infettato centinaia di migliaia di dispositivi IoT. 
  • Usa credenziali di default e scanner per espandersi.
  • Ha causato attacchi record (es. DynDNS nel 2016).
  • Le varianti (Satori, Okiru, etc.) sono ancora attive nel 2025.
Sliver, Mythic, Empire
  • Framework modulari per C2, usati da Red Team ma spesso riadattati. 
  • Offrono crittografia seria, canali multipli (HTTPS, DNS, mTLS), payload fileless.
Mozi, BotenaGo, Dark.IoT
  • Botnet moderne P2P-based.
  • Senza C2 fisso: si propagano come worm, parlano tra loro.
  • Usano DHT, blockchain e self-updating scripts.
E oggi, come si “comanda” una botnet? Da IRC a Telegram, da shell a API REST
  • I nuovi “comandi” arrivano tramite Telegram bot, Twitter, DNS TXT, o hidden services Tor.
  • Le nuove “shell” sono telecamere IP, router casalinghi, NAS obsoleti, stampanti di rete.
  • Le botnet sono usate anche per: Attacchi DDoS-as-a-Service, Estorsioni, Mining crypto, Spam & phishing
Stacheldraht ci ricorda l’epoca delle botnet romantiche, ma il presente ci impone serietà e consapevolezza. Il codice si è fatto più raffinato, le reti più blindate, ma la guerra resta la stessa: controllare il maggior numero di nodi possibile.
Tag:

Commenti

Posta un commento

Popolari

Attenzione al phishing via Booking.com , un caso reale e subdolo

Di recente, mio fratello mi ha raccontato un'esperienza che merita la massima attenzione. Dopo aver prenotato un hotel tramite Booking.com , ha ricevuto una mail dall’aspetto legittimo con oggetto simile a: "Your reservation is at risk of cancellation" Nel corpo del messaggio, un tono urgente: Hi, There's a page ready for you to visit now. www. xxxxxxxxxx . xxx <- sito truffa Please review it in the next 6 hours. Otherwise, your progress may be affected. Quasi in contemporanea, è arrivato un altro messaggio via "chat di Booking" (mail) , apparentemente dallo stesso hotel prenotato. Stesso contenuto, stesso link. Il phishing camuffato da "verifica prenotazione" Il sito di destinazione era una pagina clonata alla perfezione: Al primo step chiedeva i dati personali. Al secondo step, come prevedibile, chiedeva i dati della carta di credito, con la solita formula "Per motivi di sicurezza, l'importo verrà solo temporaneamente trattenuto e po...
Posta un commento
Continua a leggere »

Dopo le bombe, i byte. La guerra ibrida tra USA, Iran e Israele

Nella notte tra sabato e domenica, le bombe americane hanno colpito i siti nucleari iraniani con una precisione chirurgica che ha fatto rumore nel mondo fisico. Ma mentre le polveri si depositavano a Fordow e Isfahan, un altro fronte si apriva, invisibile agli occhi ma cruciale: il cyberspazio. E lì, non ci sono sirene né detriti, solo silenzi improvvisi nelle connessioni, pacchetti che non arrivano, servizi che collassano. Da quel momento, l’escalation digitale ha cominciato a prendere forma, accelerando quella che è, a tutti gli effetti, una guerra informatica attiva tra Iran, Israele e Stati Uniti. Nei minuti successivi ai bombardamenti, l’Iran ha cominciato a limitare drasticamente l’accesso alla rete. Una mossa difensiva, certo, ma anche preventiva. Staccare i cavi è una strategia antica quanto efficace: nessuna connessione, nessuna infiltrazione, nessuna fuga di dati. È stato documentato un blackout della connettività con punte del 97% in alcune regioni. La linea è semplice: se t...
Posta un commento
Continua a leggere »

Troppo pericolose insieme. Cina e Russia sono davvero alleate?

Secondo un’inchiesta pubblicata dal New York Times, confermata anche dal Financial Times e da fonti ucraine, hacker cinesi avrebbero violato i sistemi informatici russi rubando informazioni militari sensibili, comprese quelle sulla guerra in Ucraina. È un episodio clamoroso che mette in dubbio la tanto sbandierata "partnership senza limiti" tra Vladimir Putin e Xi Jinping. Mentre a livello ufficiale Mosca e Pechino si mostrano unite contro l’Occidente e proclamano intese strategiche, nel cyberspazio sembrano valere altre logiche: quelle del sospetto reciproco e della supremazia informativa. I gruppi cinesi, probabilmente legati all’intelligence di Pechino, hanno preso di mira agenzie statali russe e contractor della difesa, sottraendo piani, analisi e forse perfino vulnerabilità operative. Questa non è una semplice contraddizione, è una crepa. E fa emergere una realtà molto più spietata: l’interesse nazionale viene prima di ogni alleanza ideologica, soprattutto quando si parl...
Posta un commento
Continua a leggere »