Weekly Threats: N. 11 2019

La scorsa settimana la Marina Militare statunitense ha rilasciato una relazione in cui afferma di essere sotto assedio informatico. Attori state-sponsored – prevalentemente cinesi ma anche russi e di altre nazionalità – avrebbero negli ultimi anni sfruttato debolezze dei sistemi a stelle e strisce per procurarsi informazioni riservate. Come si evince dal rapporto, le operazioni di spionaggio dei gruppi cinesi avrebbero portato nelle mani di Pechino un ingente vantaggio militare, alterando in qualche modo gli equilibri di potere tra le due superpotenze. La Cina è vista come la maggior fonte di pericolo, seguita da Russia e Iran.

Sotto assedio anche il settore militare indiano a causa della campagna Operation Transparent Tribe, opera di Barmanou. L’APT associato al Governo del Pakistan sta infatti distribuendo il RAT Crimson avvalendosi di file XLS con macro malevole allegati a email di spear-phishing.

In Pakistan attacchi di watering hole abusano di un dominio governativo per distribuire il framework Scanbox. Nello specifico, si tratta di un sottodominio del portale del Direttorato Generale per l’immigrazione e i passaporti.

Un cyber attacco – secondo Maduro – sarebbe anche la motivazione del blackout che il 7 marzo ha colpito la rete elettrica in Venezuela, mettendo in ginocchio l’intero paese. Stando a quanto sostiene il presidente del Venezuela, sarebbero stati gli USA, di concerto con la destra venezuelana, a orchestrare l’operazione. La fondatezza delle accuse non è al momento dimostrabile.

Due APT – SandCat e  Stealth Falcon – starebbero sfruttando la vulnerabilità di Microsoft tracciata con codice CVE-2019-0797 e corretta col bollettino di sicurezza del mese corrente. La falla è di tipo local privilege escalation e affligge la componente win32k.
In particolare, SandCat associa a questo exploit anche CHAINSHOT (per CVE-2018-5002) e il framework FinFisher/FinSpy.

Recentemente sono stati tracciati due nuovi malware per sistemi Point of Sale. Il primo, dal nome GlitchPOS, è sviluppato in Visual Basic e viene commercializzato su un forum cyber-criminale, accompagnata anche da un video tutorial e da diversi screenshot della dashboard, pensati per dimostrarne la facilità di utilizzo. L’altro si chiama DMSniff e colpisce prevalentemente piccole e medie imprese dei settori della ristorazione e dell’intrattenimento. I dati delle carte che vengono sottratti sono cifrati con XOR e inviati al pannello di controllo; l’ipotesi degli analisti è che gli attaccanti non siano interessati alla loro vendita.

Per quanto riguarda le vulnerabilità, sono stati pubblicati bollettini di sicurezza per diversi prodotti Intel e SAP e per il CMS Joomla!, che segnalano la correzione di numerosi bug. Infine sono state rilasciate la versione 5.1.1 di WordPress – che risolve un bug di tipo cross-site request forgery – e la versione 73 di Chrome, che risolve 60 falle.

Vulnerabilità anche per il sistema di voto via Internet adottato dalla Svizzera. Una backdoor criptografica può essere sfruttata per alterare i risultati. La scoperta è di un team di ricercatori di una no-profit canadese ed è avvenuta nell’ambito di un progetto di penetration testing e bug bounty pubblico che terminerà il prossimo 24 marzo. Gli analisti hanno verificato il codice sorgente e individuato la backdoor nel sistema di autenticazione dei votanti.

Rispetto ai data breach si segnala che la Citrix, che distribuisce piattaforme software per la condivisione di contenuti da remoto a oltre 400.000 fra società e organizzazioni in tutto il mondo, ha subito una compromissione che ha esposto dati sensibili relativi a piani governativi USA. Nel complesso sono stati sottratti 6 terabyte di informazioni sensibili. L’interesse degli attaccanti si è concentrato su particolari progetti nei quali sono coinvolti FBI e NASA, la Missile Defense Agency, la Defense Logistics Agency, l’agenzia delle comunicazioni della Casa Bianca, la Defense Information Systems Agency (DISA) e l’Aramco, compagnia petrolifera dell’Arabia Saudita.

Infine un ricercatore di sicurezza ha scoperto un MongoDB esposto online senza protezione contenente oltre 808 milioni di informazioni. Analisi successive hanno consentito di accertare che si tratta di un database appartenente alla compagnia Verifications[.]io che fornisce servizi di validazione degli indirizzi di posta elettronica.