Weekly Threats: N. 06 2019

Negli ultimi giorni è tornata alla ribalta la questione cinese di Huawei anche in Italia. Il Ministero dello Sviluppo Economico italiano ha infatti reso nota la sua posizione in merito alle numerose polemiche che hanno visto protagonisti il fondatore del gigante cinese delle telecomunicazioni e sua figlia, entrambi accusati di utilizzare i dispositivi prodotti per favorire lo spionaggio industriale cinese. Secondo il MISE non saremmo in possesso di alcuna prova che dimostri un eventuale pericolo per la sicurezza nazionale, motivo per cui non sarà adottata alcuna misura restrittiva né contro Huawei né contro ZTE, altra azienda accusata.

Sul versante minacce si segnala la vicenda realtiva all’attività di spionaggio da parte degli Emirati Arabi Uniti. Un’indagine esclusiva della Reuters rivela l’esistenza di un’unità segreta di cyberspionaggio offensivo costituita dalla suddetta monarchia. La struttura – composta da decine di impiegati emiratini e da oltre una dozzina di ex operativi dell’intelligence statunitense – risponde al nome di Project Raven e aveva la sede ad Abu Dhabi, in un complesso che veniva chiamato “the Villa”. ll personale era suddiviso in team secondo le dinamiche messe a punto dall’intelligence americana e anche le tecniche e parte dell’arsenale cibernetico impiegati sembra siano stati mutuati dalla NSA (National Security Agency) statunitense. Tra i numerosi dettagli evidenziati si rileva in particolare quello secondo cui a partire dal 2016 Project Raven si è avvalso di un tool chiamato Karma che consente di compromettere gli iPhone. Il funzionamento di Karma sembra basarsi su una vulnerabilità 0-day nel software iMessage di Apple. 

Recentemente è stata inoltre tracciata una campagna di spionaggio che colpisce il Tibet. Gli attaccanti hanno distribuito un documento PowerPoint malevolo a tutti i membri della mailing list della Central Tibetan Administration (CTA), un’organizzazione che rappresenta ufficialmente il governo tibetano in esilio. Il payload finale scaricato è un tool identificato come ExileRAT. Si tratta di una piattaforma di controllo remoto capace di reperire informazioni sul sistema, caricare e scaricare file, eseguire e terminare processi.
Grazie all’analisi del documento i ricercatori hanno inoltre scoperto ulteriori campagne che condividono con questa infrastruttura e payload. Risulta infatti che alcuni dei server C2 siano già stati utilizzati per l’operazione ribattezzata LuckyCat che ha colpito utenti Android con un trojan in grado di rubare la chiave crittografica della piattaforma di messaggistica WeChat e dotato di numerose altre feature per il cyber-spionaggio.

Sempre sul versante minacce, risulta in corso una campagna basata sul trojan bancario DanaBot che sta colpendo utenti in Italia. Vettore di infezione sono email di spam che fanno riferimento al pagamento di una fattura e inducono le potenziali vittime a cliccare su un link malevolo.

Infine la britannica Metro Bank è recentemente caduta vittima di un attacco basato sulla violazione del protocollo SS7 (Signaling System Number 7). I criminali avrebbero sfruttato note vulnerabilità del protocollo per avere accesso agli SMS usati per l’autenticazione a due fattori (2FA). Anche British Telecom, il maggior provider nazionale, ha dichiarato di essere al corrente di potenziali attacchi SS7 contro il sistema di banking.

Relativamente alle vulnerabilità, un ricercatore di sicurezza ha recentemente reso noto di aver scoperto una falla 0-day di macOS che affliggerebbe il programma di gestione delle password Keychain. Tutti i dati raccolti dall’app sono criptati di defaultma, grazie al bug in questione, un attaccante potrebbe rubarli da qualsiasi account di un utente locale senza bisogno di privilegi di amministrazione e senza conoscere la master password.

Inoltre Apple ha rilasciato 3 bollettini per segnalare il rilascio di iOS 12.1.4, macOS Mojave 10.14.3 e Shortcuts 2.1.3 per iOS che correggono alcune vulnerabilità. Sarebbero stati risolti in particolare il bug di FaceTime e altri due 0-day già sfruttati etracciati come CVE-2019-7286 e CVE-2019-7287.

Infine rispetto ai data breach sono stati resi noti alcuni dettagli relativi a quello subito dalla Airbus. Gli investigatori avrebbero ricostruito un attacco su due livelli perdurato diverse settimane. I dati sottratti riguarderebbero miratamente documenti tecnici relativi alla certificazione europea dei velivoli, ma sarebbero state consultate anche informazioni sensibili personali. L’attribuzione dell’attacco è a carico del gruppo state-sponsored cinese noto come Stone Panda (alias APT10).