Escalation in Medio Oriente, nuove rivelazioni su Intellexa e Predator, corrette 0-day sfruttate ITW

Medio Oriente: Hamas riaccende il conflitto con Israele

La settimana appena conclusa è stata profondamente segnata dal conflitto tra Israele e Hamas, che sabato 7 ottobre è stato riacceso proprio da Hamas con un’operazione militare di particolare violenza, causando ripercussioni anche nel dominio cibernetico. A livello cinetico, l’attacco a sorpresa contro Israele ha provocato una dura reazione di Tel Aviv che ha risposto via raid aerei e ha ordinato l’assedio della Striscia di Gaza. In ambito cyber, il numero degli avversari schierati sui due opposti fronti è elevato e comprende realtà APT ed hacktiviste note ed emergenti, operanti sia nel quadrante geografico direttamente interessato dagli scontri sul campo, sia a livello globale. In particolare, sono state condivise rivendicazioni di molteplici attacchi verso obiettivi israeliani, tra cui: offensive DDoS a un gran numero di siti web [.]il; l’hijacking di API per l’invio di messaggi push ai cellulari; la condivisione di credenziali di pagine [.]il; e il leaking di documenti esfiltrati da portali israeliani. La forza cyber palestinese sembra essere composta almeno da due avversari noti, come Molerats e AridViper, e da un gruppo di recente scoperta, Storm-1133; mentre il fronte hacktivista filopalestinese vede lo schieramento dei collettivi Ghosts of Palestine, Moroccan Black Cyber Army, SYLHET GANG-SG, Ganosec Team, ACEH, AnonGhost e Cyber Av3ngers, oltre ai filorussi KillNet, Anonymous Sudan e UserSec. Contestualmente, è stato registrato un particolare fermento da parte di diversi account sui social, responsabili della diffusione di disinformazione e condivisione di video falsi e fuori contesto. A complicare ancora di più la situazione è l’uso della disinformazione da parte della propaganda russa con l’obiettivo di distogliere l’attenzione della Comunità Internazionale dal conflitto russo-ucraino e contribuire a mettere in cattiva luce l’Ucraina.

Predator Files: inchiesta internazionale su Intellexa e il relativo spyware Predator

“Predator Files” è il nome di un’indagine coordinata dal network European Investigative Collaborations (EIC) con il supporto del Security Lab di Amnesty International, che fa luce su un gruppo complesso e mutevole di aziende interconnesse ribattezzato Intellexa Alliance e sul relativo spyware Predator. Basata su centinaia di documenti riservati, l’inchiesta fornisce una panoramica sull’ecosistema di prodotti offerti da Intellexa Alliance, oltre a denunciare la proliferazione delle tecnologie di sorveglianza in tutto il mondo e l’incapacità dei governi e dell’Unione europea di regolamentare adeguatamente il settore. L’investigazione ha anche rilevato un’operazione di spionaggio mirata e condotta da un cliente Predator allineato agli interessi governativi del Vietnam che, tra febbraio e giugno 2023, ha preso di mira almeno 50 account di social media appartenenti a 27 individui e 23 istituzioni in tutto il mondo, tramite link 1-click volti a distribuire Predator inviati da un account X (Twitter) chiamato @Joseph_Gordon16. Tra gli obiettivi figurano personalità politiche di alto livello del Parlamento europeo (come la Presidente Roberta Metsola e l’eurodeputato francese Pierre Karleskind) e della Commissione europea, e giornalisti, ricercatori accademici e think-tank con sede nell’UE. Oltre a questi, figurano anche funzionari delle Nazioni Unite, il Presidente di Taiwan Tsai Ing-Wen, senatori e rappresentanti degli Stati Uniti e altre autorità diplomatiche. Ulteriori studi hanno rivelato prove della vendita di prodotti di sorveglianza Intellexa al Ministero della Pubblica Sicurezza del Vietnam, suggerendo che le autorità vietnamite, o individui che agiscono per conto di esse, potrebbero essere dietro l’operazione in questione.

Microsoft: risolte tre 0-day nel Patch Tuesday

Anche questa settimana, sono emerse nuove 0-day. Nello specifico, Microsoft ha rilasciato il Patch Tuesday per il mese di ottobre in cui vengono corretti tre problemi di sicurezza sfruttati ITW. Il primo tracciato con codice CVE-2023-36563 riguarda una Information Disclosure in Microsoft WordPad; il secondo, invece, identificato come CVE-2023-41763 è di tipo Elevation of Privilege e impatta Skype for Business; il terzo, individuato con codice CVE-2023-44487, è una falla del protocollo HTTP/2 che consente a utenti malintenzionati di lanciare un attacco DDoS mirato ai server HTTP/2 basato su una nuova tecnica denominata HTTP/2 Rapid Reset. Quest’ultima vulnerabilità sfrutta la funzione di annullamento del flusso di HTTP/2 inviando una richiesta e annullandola immediatamente più volte. Automatizzando questo schema “richiesta, annullamento, richiesta, annullamento” su larga scala, gli avversari sono in grado di causare una condizione di Denial of Service e mettere fuori uso qualsiasi server o applicazione che esegue l’implementazione standard di HTTP/2. Amazon Web Services, Cloudflare e Google hanno riferito di aver mitigato offensive che hanno raggiunto 155 milioni di richieste al secondo (Amazon), 201 milioni di rps (Cloudflare) e un record di 398 milioni di rps (Google).