Target italiani bersagliati da DDoS hacktivisti, scoperte attività inedite in Europa e Asia riconducibili a diversi APT, confermata nuova violazione ai danni di Okta

Mysterious Team Bangladesh: rivendicati attacchi al Bel Paese sotto l’insegna #OpItaly

Nel corso dell’ultima settimana, un gruppo hacktivista di presunta origine bengalese, attivo dal 2022 e denominato Mysterious Team Bangladesh, ha rivendicato sul proprio canale Telegram una serie di attacchi DDoS contro realtà italiane, come parte dell’operazione #OpItaly lanciata in risposta al supporto dell’Italia allo Stato di Israele. Il primo a finire nel mirino del collettivo è stato il sito del Ministero degli Affari Esteri e della Cooperazione internazionale, seguito dai portali del Comune dell’Aquila, dell’Agenzia per l’Italia Digitale (AgID), della Banca d’Italia, del Consiglio Nazionale delle Ricerche (CNR) e di AeroItalia. Successivamente, le offensive sono state sferrate contro le pagine di numerosi aeroporti in tutta Italia, oltre i siti della compagnia aerea Cargolux Italia, dell’agenzia di stampa Inter Press Service, dell’Aeronautica Militare, dell’Aeroclub Pavullo e degli istituti di credito Mediobanca e Crédit Agricole. Inoltre, sempre come ritorsione al supporto mostrato dall’Italia a Israele, un altro attaccante chiamato Team Insane Pakistan ha reclamato la sua responsabilità dietro il DDoS al portale dell’Esercito Italiano.

APT: fermento nei continenti europeo e asiatico

In un panorama state-sponsored particolarmente attivo, ricercatori di sicurezza hanno scoperto diverse attività nelle regioni geografiche dell’Asia e dell’Europa. Partendo dai gruppi finanziati dall’Iran, OilRig ha preso di mira un governo del Medio Oriente, compromettendo almeno dodici computer e installando backdoor e keylogger su altre decine di macchine, nell’ambito di un’intrusione durata otto mesi; mentre, Tortoiseshell ha condotto attacchi watering hole principalmente contro target dei settori marittimo e della logistica nel Mediterraneo, alcuni dei quali sono stati infettati con il nuovo malware IMAPLoader. Dal canto suo, l’APT presumibilmente di matrice filorussa Winter Vivern è stato visto sfruttare una vulnerabilità 0-day – tracciata con codice CVE-2023-5631 – nei server Roundcube Webmail contro un think tank ed enti governativi europei, almeno dall’11 ottobre 2023. Spostandoci in Asia centrale, l’avversario YoroTrooper – presumibilmente Kasablanka – è stato associato al Kazakistan in quanto si ritiene con elevata sicurezza che sia composto da individui del Paese. Più a sud, in India, sono stati attribuiti a Dropping Elephant una .NET backdoor inedita denominata Firebird e il relativo downloader CSVtyrei veicolati contro vittime localizzate in Pakistan e Afghanistan. Di origine ancora sconosciuta, invece, un cluster denominato TetrisPhantom ha indetto un’operazione di spionaggio di lunga durata, prendendo di mira entità governative della regione APAC tramite unità USB compromesse. Infine, fermandoci in Medio Oriente, alcuni analisti hanno rivelato una possibile cooperazione tra Hamas e l’avversario state-sponsored di estrazione palestinese AridViper, oltre ad alcuni collegamenti dell’organizzazione politica paramilitare palestinese con l’Iran. In particolare, si ritiene che AridViper operi per conto di Hamas e che quest’ultima condivida alcune infrastrutture con il governo di Teheran. Al momento, il Corpo delle Guardie Rivoluzionarie Islamiche dell’Iran (IRGC), in particolare la Quds Force dell’IRGC (IRGC-QF), è l’unica entità iraniana nota che fornisce assistenza tecnica informatica ad Hamas e ad altri gruppi palestinesi.

Okta: nuovo attacco informatico colpisce l’azienda statunitense

La società americana di autenticazione e gestione dell’identità ha dichiarato di aver rilevato un’intrusione non autorizzata al sistema usato per il supporto clienti, oltre a tentativi di compromissione dei propri utenti. Stando a quanto emerso, criminali informatici hanno effettuato l’accesso tramite credenziali rubate e sono stati in grado di visualizzare i file caricati da alcuni clienti Okta nell’ambito di recenti casi di assistenza. I dati violati riguardano file HTTP Archive (HAR), che tracciano le interazioni tra un sito web e un browser e vengono usati dall’assistenza dell’azienda durante la risoluzione dei problemi. I file replicano l’attività del browser e possono contenere informazioni sensibili, tra cui cookie e token di sessione, che utenti malintenzionati possono utilizzare per impersonare utenti legittimi.