Weekly Threats N. 44 2019

Apriamo la rassegna di questa settimana con una serie di eventi che hanno coinvolto il nostro Paese. Email di Posta Elettronica Certificata hanno veicolato la minaccia Jasper; una vasta campagna basata sul ransomware Maze ha sfruttato messaggi di phishing costruiti per sembrare comunicazioni dell’Agenzia delle Entrate e ha raggiunto anche utenti della Pubblica Amministrazione; inoltre, sono state colpite alcune realtà italiane nel contesto di un’operazione lanciata dal gruppo cyber-crime SilverTerrier che ha infettato le sue vittime con il payload di LokiBot.
Il sito web di NATO Rapid Deployable Corps Italy – uno dei nove corpi di spiegamento rapido – è stato violato da membri russi della imageboard 2channel; oltre ad aver effettuato interventi di defacement, come la sostituzione del nome del corpo e del suo comandante, non è stato possibile stabilire fino a che punto gli hacker russi siano riusciti a penetrare nei sistemi.
Infine, Anonymous Italia ha messo a segno – con l’hashtag #FifthOfNovember2019 – una nuova azione combinata di defacement e data breach, rivendicata su blog e profilo Twitter ufficiali, indirizzata ad organizzazioni attive nel settore dell’agricoltura e dell’artigianato, per sensibilizzare l’opinione pubblica sulle questioni del cambiamento climatico.

La scena internazionale di questa settimana è decisamente dominata dall’area asiatica. Partiamo con la scoperta di un nuovo gruppo state-sponsored identificato come Calypso. I suoi target principali sono da ricercare fra istituzioni governative di Brasile, India, Kazakistan, Russia, Tailandia e Turchia. Nell’arsenale di Calypso compaiono sia note minacce come PlugX che malware custom come l’omonimo RAT Calypso.
Sempre in estremo oriente prende avvio poi l’operazione WizardOpium, lanciata dall’APT sudcoreano DarkHotel e basata sullo sfruttamento di un nuovo 0-day di Chrome (CVE-2019-13720), di cui è stata rilasciata la patch nelle ultime. Per infettare le vittime, gli attaccanti si sono serviti di un portale di news in lingua coreana compromesso sulla cui pagina principale era stato caricato un JavaScript malevolo.
Ancora in Asia, segnaliamo che l’arsenale di Axiom si è arricchito di un nuovo tool di spionaggio battezzato MESSAGETAP, in grado di estrarre il contenuto degli SMS selezionando alcune parole chiave; la minaccia, inoltre, raccoglie anche CDR (call detail record) delle conversazioni telefoniche intrattenute da individui stranieri attivi ad alti livelli di organizzazioni o agenzie.
L’ultima notizia relativa al bacino asiatico riguarda in particolare l’India, dove la centrale nucleare Kudankulam di Tamil Nadu è caduta vittima di un cyber-attacco, prima smentito e in seguito confermato. La centrale sarebbe stata colpita con il malware DTrack, associato all’APT nordcoreano Lazarus e già utilizzato in India per colpire centri di ricerca e istituzioni finanziarie. L’infezione avrebbe comunque coinvolto solo il network amministrativo senza raggiugere quello interno.
Passando invece all’area ex-sovietica, fa parlare di sé il gruppo russo Sofacy: è stato infatti reso noto che, ancora una volta, l’APT sta conducendo operazioni di un certo rilievo contro autorità anti-doping e organizzazioni sportive in tutto il mondo. Le campagne più recenti hanno mirato ad almeno 16 organizzazioni sportive e anti-doping sparse su tre continenti. Alcune di queste operazioni hanno avuto successo, molte altre sono state rilevate in tempo e neutralizzate.
La società israeliana NSO Group è stata denunciata dalla dirigenza di Facebook con l’accusa di cyber-spionaggio. NSO Group è nota da anni per aver venduto a diversi governi tool di sorveglianza tra cui spicca Pegasus, sfruttato per numerose campagne contro attivisti per i diritti umani, giornalisti e dissidenti. Facebook ha ora intrapreso un’azione legale in cui si denuncia la partecipazione attiva della società in alcune compromissioni dei dispositivi degli utenti approfittando di una vulnerabilità della piattaforma di messaggistica WhatsApp.
Tre le campagne riconducibili alla galassia Magecart questa settimana: la compromissione del portale di First Aid Beauty – compagnia acquisita dalla Proctor & Gamble che distribuisce cosmetici – e gli attacchi ai portali di Sixth June Fashion – catena di negozi di abbigliamento francese – e dell’American Cancer Society.

Sono stati rilasciati come sempre alcuni bollettini di sicurezza fra cui citiamo quelli di PHP, Adobe, Mikrotik, Apple, Phoenix Contact, Samba, Fortinet e rConfig. Inoltre, nei router MikroTik sono state riscontrate quattro vulnerabilità alla base di una exploit chain che consente ad un eventuale attaccante remoto non autenticato con accesso alla porta 8291 di garantirsi una root shell. Si tratta delle seguenti coppie di bug: CVE-2019-3976 (Relative Path Traversal in NPK Parsing) e CVE-2019-3977 (Insufficient Validation of Upgrade Package’s Origin); CVE-2019-3978 (Insufficient Protections of a Critical Resource – DNS Requests/Cache) e CVE-2019-3979 (Improper DNS Response Handling).

Quanto ai data breach, ne segnaliamo due. Il primo ha interessato 3 servizi per la registrazione di domini, Web[.]com e le sue sussidiarie Network Solutions e Register[.]com: un accesso non autorizzato ha consentito agli attaccanti di sottrarre informazioni degli utenti per un totale di 22 milioni di record fra nomi, numeri di telefono, indirizzi email e dettagli relativi ai servizi utilizzati. L’altro riguarda 2,3 milioni di clienti olandesi della Allianz Global Assistance; ad una parte di essi sono stati sottratti nomi indirizzi e alcuni dettagli bancari; ai restanti solo numero di targa e tipo di veicolo assicurato.

Chiudiamo il quadro con l’azione che Anonymous ha messo a segno contro i sistemi dei Carabineros in Cile; nell’ambito di #OpChile gli hacktivisti hanno esfiltrato informazioni sensibili degli appartenenti al corpo di polizia e gendarmeria nazionale cileno e le hanno rilasciate su un profilo Twitter che la piattaforma di microblogging ha prontamente bloccato per violazione delle policy.

[post_tags]