Weekly Threats N. 49 2019

Lo scenario cyber del nostro Paese continua ad essere segnato da campagne di distribuzione del trojan Ursnif; email di spam con allegati malevoli hanno raggiunto utenze private, società e anche i sistemi di alcuni Comuni e Uffici della Pubblica Amministrazione.
Guai per l’hosting provider italiano Netsons, caduto vittima di un breach che ha esposto dati memorizzati in alcune tabelle del database del sistema gestionale e ha costretto, come misura precauzionale, al reset delle credenziali di accesso degli utenti.

A livello internazionale riportiamo tre fatti di particolare rilievo. Il Governo di Pechino avrebbe impiegato il tool noto come Great Cannon – che fa parte dell’infrastruttura di segregazione della rete internet nazionale Great Firewall – per lanciare attacchi DDoS contro la piattaforma social LIHKG, utilizzata dai manifestanti di Hong Kong per coordinare le proprie operazioni. In Gran Bretagna è stato lanciato un attacco contro una centrale nucleare – presumibilmente un impianto gestito dal gigante francese EDF, che domina il settore in quella regione – di cui non sono stati rilasciati i dettagli. Infine, è stato tracciato un nuovo wiper che presenta significative somiglianze con il noto Shamoon – associato al gruppo state sponsored iraniano OilRig (alias APT 34); la minaccia prende di mira realtà del comparto energetico e industriale nel Medio Oriente e adotta tattiche living-off-the-land.

Nuove azioni si segnalano sul fronte degli script malevoli con funzione di skimmer dei dati finanziari; una minaccia dell’ormai noto panorama Magecart ha infettato i sistemi di Heroku, una piattaforma cloud as-a-service di proprietà di Salesforce; mentre il rivenditore britannico Sweaty Betty – il cui portale adotta la piattaforma Demandware invece di Magento – ha subito una compromissione fra il 19 e il 27 novembre scorsi.
Due sono le operazioni di polizia coordinate a livello internazionale dall’Europol e volte a smantellare reti criminali lato cyber. La prima, che ha portato anche all’arresto di 23 persone, ha messo fuori gioco la rete di distribuzione del RAT Imminent Monitor; l’altra ha portato alla disattivazione di 30.506 domini sfruttati per la distribuzione di prodotti contraffatti.

Quanto alle vulnerabilità, ha destato interesse l’incidente occorso alla Atlassian: un ricercatore ha accidentalmente pubblicato su Twitter uno 0-day che affligge il software aziendale della compagnia, poi dotato di CVE-2019-15006 e rapidamente risolto. Bollettini schedulati e straordinari sono stati rilasciati da Android, Mozilla, Moxa, vmWare, Kaspersky (CVE-2019-15689), Trend Micro (CVE-2019-15628), Autodesk (CVE-2019-7365).

Passiamo ai data leak di maggior interesse degli ultimi giorni, che hanno colpito Palo Alto e TrueDialog. Il rilascio dei dati sensibili di 7 fra ex impiegati e dipendenti ancora attivi potrebbe essere costato il posto al CISO della compagnia di sicurezza californiana. Dimensioni decisamente più vaste ha avuto, però, il problema che ha coinvolto il servizio business per l’invio in massa di messaggi di testo: un database con un miliardo di record (204GB) è stato lasciato accessibile online, mettendo a rischio la privacy di oltre 100 milioni di cittadini USA.

Chiudiamo il nostro report settimanale con una notizia che riguarda la Kape Technologies, precedentemente nota come Crossrider, fondata e diretta da un ex agente di Unit 8200, afferente alle Israel Defense Forces. La compagnia di sicurezza israeliana – nota da tempo per aver prodotto il malware/adware omonimo – ha annunciato di aver recentemente acquisito il popolare servizio VPN PIA (Private Internet Access), che va ad aggiungersi ad un nutrito arsenale di servizi largamente utilizzati nel settore privacy/malware protection tra cui CyberGhost, Intego, ZenMate, Restoro e DriverFix.