NoName057(16) mira all’Italia, nuovi dettagli sull’attacco alla telco ucraina Kyivstar, offensive nel panorama cybercrime

NoName057(16): colpiti portali italiani

Nella prima settimana dell’anno, il gruppo hacktivista filorusso NoName057(16) ha rinnovato il suo interesse per l’Italia. L’avversario ha rivendicato attacchi DDoS contro diverse entità della penisola appartenenti ai settori dei trasporti, della finanza e governativo, tra queste l’ASSOSIM, l’Autorità di Sistema Portuale del Mare Adriatico Orientale, Sinfomar, l’Autorità di Sistema Portuale del Mar Ionio, CONSOB, l’Autorità Garante della Concorrenza e del Mercato, Tiemme S.p.A., GTT Torino, l’Agenzia delle Dogane e dei Monopoli, AMAT Palermo, CTM Cagliari e Trentino Trasporti. Oltre a ciò, complessivamente, tra il 30 dicembre 2023 e il 5 gennaio 2024 il collettivo ha preso di mira portali in Olanda, Lituania, Repubblica Ceca, Regno Unito, Finlandia, Polonia e Spagna.

Ucraina: Kyivstar compromessa almeno da maggio 2023

Illia Vitiuk, capo del dipartimento di sicurezza informatica del Servizio di Sicurezza di Kiev (SBU), ha rivelato che avversari russi erano all’interno del sistema della società ucraina di telecomunicazioni Kyivstar almeno da maggio 2023. L’SBU ha valutato che gli attaccanti sarebbero stati in grado di rubare informazioni personali, capire la posizione dei telefoni, intercettare i messaggi SMS e potenzialmente rubare account Telegram con il livello di accesso ottenuto. L’operazione ha cancellato quasi tutto, compresi migliaia di server e macchine virtuali, ha dichiarato il capo del dipartimento, descrivendola come probabilmente la prima incursione digitale che ha completamente distrutto il nucleo di un provider di telecomunicazioni. L’SBU sta ancora indagando sulle modalità dell’attacco, ma è abbastanza confidente del fatto che l’offensiva sia stata condotta dal gruppo russo Sandworm.

Cybercrime: offensive colpiscono Orange Spain, Court Services Victoria, Xerox e Mandiant

L’operatore di rete mobile Orange Spain ha sperimentato un’interruzione della connessione internet dopo che un attaccante ha violato l’account RIPE dell’azienda per configurare in modo errato il routing BGP e una configurazione RPKI. D’altro canto, Court Services Victoria (CSV), ente statale indipendente responsabile della fornitura di servizi di supporto a sostegno dell’indipendenza giudiziaria nello stato australiano del Victoria, ha annunciato di aver subito un attacco informatico che ha portato a un accesso non autorizzato con conseguente interruzione della rete tecnologica audiovisiva in aula, influenzando le registrazioni video e audio e i servizi di trascrizione. Inoltre, Xerox Corporation ha dichiarato che la divisione statunitense di Xerox Business Solutions (XBS) è stata vittima di un incidente di sicurezza. L’annuncio è arrivato dopo la rivendicazione della violazione da parte dell’operatore ransomware INC RANSOM. Infine, l’account X (Twitter) della società americana di cybersicurezza di Google Mandiant è stato violato per diverse ore da un ignoto attaccante per condividere una truffa incentrata sulle criptovalute. Dopo averne ottenuto il controllo, l’avversario ha rinominato l’utente in @phantomsolw e ha promosso un falso sito web che impersonava il wallet Phantom promettendo di distribuire token $PHNTM gratuiti con lo scopo di rubare valute digitali alle vittime.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.