Nuove offensive costellano i conflitti tra Israele e Hamas e Russia e Ucraina, attività dei ransomware Vice e LockBit

Israele-Hamas: le ultime dal dominio cibernetico

Come per il conflitto sul campo, anche a livello cibernetico continua la guerra tra Israele e Hamas. Sul fronte hacktivista, un collettivo pro-Hamas ha preso di mira società israeliane con un nuovo wiper per Linux chiamato BiBi-Linux. L’obiettivo principale della minaccia è quello di corrompere il maggior numero di file il più rapidamente possibile, sovrascrivendone il contenuto con dati casuali per poi rinominarli e aggiungere un’estensione che include la sottostringa “BiBi” (soprannome usato per il primo ministro israeliano, Benjamin Netanyahu). Dal canto suo, a pochi giorni dal precedente attacco, l’avversario Team Insane Pakistan ha nuovamente rivendicato un DDoS contro il portale dell’Esercito Italiano; anche questa volta, si tratta di una ritorsione al sostegno mostrato dall’Italia ad Israele. Il gruppo ha inoltre lanciato altre tre operazioni: la prima sembra essere una collaborazione con Mysterious Team Bangladesh e ha come bersaglio una lista di Stati occidentali che a vario titolo supportano Israele; la seconda, più generica, riguarda i Paesi fornitori di petrolio di Israele; mentre, la terza è rivolta principalmente contro obiettivi giapponesi sempre in nome del presunto sostegno del Paese nei confronti di Israele. Sul versante state-sponsored, invece, l’iraniano MuddyWater ha distribuito lo strumento legittimo di amministrazione remota dell’azienda N-able, chiamato Advanced Monitoring Agent, contro due target israeliani. Infine, relativamente all’ondata di notizie false diffuse in seguito allo scoppio delle ostilità tra Hamas e Israele, alcuni governi autoritari hanno sfruttato la difficile situazione dei civili in Israele e Gaza per portare avanti le proprie agende geopolitiche, attraverso la diffusione di contenuti violenti, informazioni fake e non verificate e una retorica emotivamente carica. Tra questi spiccano in particolare l’Iran, la Russia e la Cina.

Ucraina: hacktivisti pro-Kiev colpiscono target russi

Anche la guerra cibernetica tra Russia e Ucraina non ha tregua. Il 27 ottobre 2023, il collettivo IT Army of Ukraine ha rivendicato sul proprio canale Telegram un attacco DDoS che ha temporaneamente interrotto le operazioni di tre provider internet russi – Miranda-media, Krimtelekom e MirTelekom – che operano in alcune parti dei territori del Paese occupati da Mosca. L’offensiva ha colpito servizi come reti cellulari, telefonate e connessioni internet non solo in Crimea, ma anche nelle zone occupate delle regioni di Kherson, Zaporizhzhia, Donetsk e Luhansk. Sempre attaccanti filoucraini hanno successivamente affermato di aver violato il National Payment Card System (NSPK) del governo di Mosca e di essere in possesso di circa 30 GB di dati del circuito di pagamento Mir. In particolare, gli hacktivisti conosciuti come DumpForums e Ukrainian Cyber Alliance hanno dichiarato di aver deturpato il sito web dell’NSPK gestito dal Cremlino e di aver ottenuto l’accesso ai sistemi interni della rete del Mir. L’NSPK ha poi confermato ai media russi la violazione del suo portale, negando che siano trapelate informazioni.

Ransomware: tracciate attività inedite di Vice e LockBit

Avversari dietro il ransomware Vice, anche noto come HelloKitty, stanno sfruttando una vulnerabilità critica nel broker di messaggistica open-source scritto in Java Apache ActiveMQ, per distribuire l’omonima minaccia il cui codice sorgente è trapelato all’inizio di ottobre. Tracciata con codice CVE-2023-46604 (CVSS 10.0), la falla è di tipo Remote Code Execution e può consentire a un utente malintenzionato remoto con accesso di rete a un broker di eseguire comandi shell arbitrari manipolando i tipi di classe serializzati nel protocollo OpenWire, per indurre il broker a istanziare qualsiasi classe sul classpath. Le offensive osservate sono iniziate il 27 ottobre, due giorni dopo che il vendor ha rilasciato l’advisory con le relative correzioni; per questo motivo si presume possa trattarsi di un caso di sfruttamento n-day. Quanto a LockBit Team, l’operatore ransomware ha rivendicato sul proprio sito dei leak la presunta compromissione dell’industria aerospaziale statunitense Boeing, produttrice di velivoli per uso sia civile che militare, oltre alla violazione di due organizzazioni italiane: Vita Research S.r.l., realtà attiva nel settore della contattologia e Centro Edile De Gregoris S.r.l., azienda operante nei settori edile e degli interiors. Boeing ha confermato di aver rilevato problemi tecnici che impattano la disponibilità del sito services[.]boeing[.]com, affermando che l’incidente non ha alcun impatto sulla sicurezza dei voli e che tutte le indagini del caso sono in corso.