WEEKLY THREATS

Nuovi attacchi in Italia, offensive cinesi negli USA, estensioni Chrome compromesse e milioni di false stelle su GitHub

07 Gennaio 2025
offensive cinesi USA TS-Way cover

Italia: offensive colpiscono varie realtà del Paese, tra cui InfoCert

Anche nell’ultima settimana, le operazioni del collettivo hacktivista filorusso NoName057(16) non hanno mostrato segni di arresto. Gli attacchi DDoS hanno continuato a colpire siti italiani, ai quali si sono successivamente aggiunti portali francesi e taiwanesi. Tra i bersagli del nostro Paese figurano: il Ministero delle Infrastrutture e dei Trasporti, il Ministero delle Imprese e del Made in Italy, l’Arma dei Carabinieri, Intesa Sanpaolo, Acqua Novara.VCO, Acque Veronesi. In parallelo, InfoCert S.p.A, società del gruppo Tinexta S.p.A. e uno dei principali fornitori dei servizi di identità digitale Spid, ha rilasciato un comunicato in cui dichiara di aver rilevato la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo. Identificata in data 27 dicembre 2024, la recente attività non avrebbe compromesso l’integrità dei sistemi InfoCert. Inoltre, la società ha confermato che nessuna credenziale o password di accesso ai suoi servizi è stata violata durante l’attacco. Contestualmente, l’operatore ransomware RA Group ha rivendicato sul proprio sito dei leak la compromissione di IRE-OMBA S.p.A., società italiana specializzata nella produzione di anelli laminati a caldo a sezione rettangolare e sagoma in diversi tipi di acciaio, in leghe e superleghe e in materiali non ferrosi.

USA: operazioni di spionaggio cinesi incrementano gli attriti tra Washington e Pechino

Un funzionario della Casa Bianca ha dichiarato che gli Stati Uniti hanno identificato una nona società di telecomunicazioni colpita nella vasta campagna del cinese GhostEmperor e che sono previste ulteriori misure per arginare le offensive provenienti da Pechino. In particolare, il vice consigliere per la sicurezza nazionale della Casa Bianca per la cybersecurity e le tecnologie emergenti, Anne Neuberger, ha affermato che questa nuova vittima è stata scoperta dopo che il governo federale ha pubblicato una guida per aiutare i difensori a individuare le attività malevole nelle loro reti. Gli Stati Uniti non hanno ancora una valutazione esatta del numero di americani presi di mira. Un gran numero di persone è stato geolocalizzato nelle aree di Washington D.C. e della Virginia. Si ritiene che l’obiettivo fosse quello di identificare gli utenti dei telefoni colpiti e valutarne l’interesse per attività di spionaggio successive. Nel frattempo, il Dipartimento del Tesoro degli Stati Uniti ha annunciato di aver subito un grave incidente di sicurezza informatica che ha permesso a un presunto avversario cinese di accedere da remoto ad alcuni computer e documenti non classificati. Nello specifico, l’8 dicembre 2024, il Tesoro è stato informato da un fornitore di servizi software di terze parti, BeyondTrust, dell’acquisizione da parte di un attaccante di una chiave utilizzata per proteggere un servizio basato su cloud usato per offrire assistenza tecnica in remoto agli utenti finali degli Uffici dipartimentali (DO). Con l’accesso alla chiave rubata, l’avversario è stato in grado di bypassare la sicurezza del servizio, di accedere da remoto ad alcune postazioni di lavoro del Dipartimenti del Tesoro e di visionare determinati documenti non classificati. Sulla base degli indicatori disponibili, l’attacco è stato attribuito a un APT finanziato dal Governo cinese. Tuttavia, un portavoce dell’ambasciata cinese a Washington ha respinto ogni responsabilità inerente all’evento, affermando che Pechino si oppone fermamente agli attacchi diffamatori degli Stati Uniti contro la Cina senza alcuna base fattuale.

Cybercrime: prese di mira estensioni Chrome e rilevate milioni di false stelle su GitHub

È stata tracciata una vasta campagna che ha preso di mira estensioni note del browser Chrome, portando alla compromissione di almeno 35 add-on ed esponendo oltre 2,6 milioni di user. L’attacco ha mirato agli editori operanti sul Chrome Web Store tramite una campagna di phishing e ha utilizzato i loro permessi di accesso per inserire codice malevolo nelle estensioni legittime. La prima vittima a fare luce sulla campagna è stata una società di cybersicurezza, dopo che un suo dipendente è stato colpito il 24 dicembre. In particolare, il 27 dicembre, l’azienda ha reso noto che un avversario ha compromesso la sua estensione del browser per prendere di mira utenti di Facebook Ads puntando a ottenere token di accesso e informazioni sugli account target. Sempre in ambito cybercrime, alcuni ricercatori hanno rilevato 4,5 milioni di stelle potenzialmente false su GitHub. La piattaforma di sviluppo software open-source offre funzionalità simili a quelle dei social media, permettendo di segnalare e valorizzare i repository più rilevanti. Tra queste, il conteggio delle stelle è uno dei segnali di popolarità più utilizzato. Tuttavia, tale indicatore rischia di essere gonfiato artificialmente, riducendone l’attendibilità e rappresentando un rischio per la sicurezza di tutti gli utenti. Gli analisti hanno sviluppato e utilizzato uno strumento chiamato StarScout per analizzare 20 TB di dati da GHArchive e cercare stelle non autentiche. Dopo aver elaborato i dati, il team ha tracciato 4.530.000 stelle potenzialmente non autentiche assegnate da 1.320.000 account in 22.915 repository. Per aumentare i livelli di attendibilità dell’analisi, i ricercatori hanno filtrato i potenziali falsi positivi considerando solo i repository con un’anomala impennata significativa di attività di stelle in un singolo mese e per i quali la percentuale di assegnazioni fake superava il 10% rispetto al totale. Questo ha ridotto il risultato a 3.100.000 stelle false assegnate da 278.000 account a 15.835 repository.


Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. 

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico. 

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence