Weekly Threats: N. 30 2018

Questa settimana sarebbe il GRU (Glavnoe Razvedyvatel’noe Upravlenie) – servizio di intelligence militare russo – a trovarsi al centro dell’occhio del ciclone. Secondo quanto dichiarato dal National Cyber Security Centre dei GCHQ britannici, lo stesso sarebbe associato a una serie di campagne APT che comprenderebbero tra le altre: l’attacco nel 2016 al Democratic National Committee (DNC) in occasione delle Elezioni USA e gli attacchi del 2017 ai settori energetici in Ucraina e di business in Europa.  Poche ore dopo l’annuncio britannico ufficiali del governo olandese hanno reso noti i dettagli del tentativo del Cremlino di attaccare l’Organizzazione per la proibizione delle armi chimiche (OPAC o OPCW), con sede a L’Aia. La tentata intrusione all’OPAC sarebbe avvenuta il 13 aprile scorso, giorno in cui quattro individui – riconducibili all’Unità 26165 del GRU – sono stati espulsi dai Paesi Bassi, dopo essere entrati viaggiando con passaporti diplomatici. Nel portabagagli della vettura – da questi affittata –  l’intelligence olandese ha rilevato equipaggiamento in grado di penetrare nelle rete dell’Organizzazione, in un momento coincidente con le investigazioni di quest’ultima sul caso Skripal e sull’attacco chimico a Douma in Siria. Secondo un documento rilasciato da Bloomberg, nel 2015 nei server distribuiti dalla Super Micro Computer Inc. – una società con base a San Jose – è stato inserito un microchip cinese che consente l’accesso non autorizzato ai sistemi. In quel periodo la startup Elemental Technologies ha realizzato un software in grado di comprimere in modo massivo i video per un servizio che sarebbe diventato poi Amazon Prime Video. La Elemental ha fornito i dispositivi negli Stati Uniti, fra gli altri, al Dipartimento della Difesa, alla CIA per le operazioni con i droni e alla Marina per i network di bordo. I microchip, estranei all’architettura originale che erano stati installati nella fabbriche di subcontractor cinesi, consentono di creare delle backdoor all’interno dei network e di eseguire codice arbitrario. Nuovo scandalo per la popolare piattaforma social Facebook. La stessa ha pubblicamente dichiarato che attaccanti non identificati hanno rubato i token di accesso segreti di oltre 50 milioni di utenti. L’attacco sarebbe stato reso possibile dallo sfruttamento di una vulnerabilità 0-day. Al momento, si sa che la falla è relativa alla feature “View as”, un’opzione che permette all’utente di vedere come appare il proprio profilo quando viene visitato da altri. Una campagna battezzata GhostDNS e basata sul malware DNSChanger ha invece compromesso più di 100.000 mila router domestici localizzati per lo più in Brasile. Gli attaccanti hanno implementato una vasta architettura che si avvale di diversi vettori e che impiega processi automatici di attacco. Una firma di sicurezza ha rilasciato una corposa analisi sulle attività di una branca del gruppo state-sponsored nordcoreano Lazarus cui è stato attribuito il nome APT38 e che si occupa di procurare finanziamenti alle altre attività. Il gruppo, attivo almeno dal febbraio 2014, ha messo in atto campagne contro istituzioni finanziarie, sistemi per le transazioni interbancarie come ad es. SWIFT, piattaforme di cryptovalute, exchange di transazioni finanziarie. In ultimo, recenti indagini hanno messo in luce un’attività di spionaggio governativa mirata contro l’attivista saudita Omar Abdulaziz e basata sullo spyware Pegasus, distribuito dall’NSO Group. Nell’agosto del 2018 l’uomo ha ricevuto sul proprio cellulare privato un SMS che si spacciava per una comunicazione della DHL, contente un URL malevolo; gli analisti ritengono che il dispositivo sia stato infettato. L’attacco rientrerebbe all’interno della più vasta campagna saudita contro Amnesty International. Quanto all’attribuzione, è plausibile che l’attore sia un gruppo battezzato dai ricercatori KINGDOM, sponsorizzato da Riad. [post_tags]

---