Weekly Threats N. 02 2020

Questa seconda settimana del 2020 è stata segnata soprattutto da questioni internazionali e in particolare da operazioni e vicende mediorientali. Le azioni intraprese dal Governo statunitense in Iran si sono riverberate anche nel panorama cyber. Come forma di protesta contro l’uccisione di Qassem Soleimani – leader delle Quds Force iraniane e figura chiave di Teheran con poteri praticamente illimitati – sono stati vandalizzati i portali di diverse città e organizzazioni americane; la rivendicazione in alcuni casi è stata firmata da sedicenti “IRANIAN HACKER“.
Il tema del conflitto è stato poi abilmente sfruttato dai cyber-mercenari noti come Ice Fog; il documento di spear phishing che hanno distribuito presentava come filename”How Swuleimani’s death will affect India and Pakistan.doc“.
Emergono nuovi dettagli sull’applicazione ToTok, l’unico messenger di cui il Governo emiratino ha autorizzato l’uso in territorio nazionale e che si è rivelato uno strumento di controllo di massa. “Fondatori” della società che produce e distribuisce l’utility sono l’italiano Giacomo “Giac” Ziani e il cinese Long Ruan, che sarebbero connessi alla holding G42, a sua volta nell’orbita della DarkMatter, front company dell’intelligence di Abu Dhabi. Nel frattempo, a seguito della richiesta ufficiale espressa proprio da Giac ai due maggiori store di applicazioni mobile, solo il Google Play Store è tornato a distribuire l’APK di ToTok.
Recenti indagini hanno poi portato alla luce un terzo wiper – che si aggiunge a Shamoon e ZeroClear – chiamato DUSTMAN e impiegato nei territori della “mezzaluna fertile”. La minaccia è stata protagonista di una campagna mirata contro la compagnia petrolifera nazionale del Bahrain, Bapco. Il lungo tempo di preparazione dell’operazione, che è stata lanciata alla fine di dicembre 2019, non ha tuttavia garantito agli attaccanti il successo completo sperato.
Sullo sfondo permangono le attività di MuddyWater, l’APT iraniano specializzato in operazioni contro target dell’industria petrolifera e del gas; la campagna BlackWater risulta ancora attiva e si distingue per nuove e più sofisticate TTP (tattiche tecniche, procedure).

Spostando l’attenzione verso l’estremo Oriente, riprendono le rivelazioni del gruppo di ricercatori Intrusion Truth sugli APT cinesi. Stavolta è stata ricostruita una fitta rete di società attive nella Provincia di Hainan. Queste realtà del settore della cyber security – che risultano variamente interconnesse – potrebbero costituire un sistema di front company sfruttato dal Governo di Pechino per il reclutamento di operatori.

In Europa, invece, si segnala il grave attacco subito dal Ministero degli Esteri austriaco; secondo alcune indiscrezioni, si sarebbe trattato di un’incursione state sponsored promossa dalla Russia.

Sempre vivace il fronte dei ransomware. Sodinokibi ha infettato i sistemi della Travelex – piattaforma londinese per il cambio valuta – sfruttando una vulnerabilità critica di Pulse Secure SSL VPN (CVE-2019-11510). Le campagne basate su DeathRansom – malware noto dallo scorso novembre – potrebbero essere parte di un disegno più ampio orchestrato da un soggetto russo. Questo attore, che si firma scat01 in Bitbucket, avrebbe distribuito anche AZORult, lo stealer Evrial, 1ms0rryStelaer e Supreme miner. Infine, è stato tracciato per la prima volta SNAKE, un ransomware scritto in Go che colpisce interi network.

Quanto alle vulnerabilità, Android ha pubblicato il bollettino di sicurezza di gennaio, Cisco ha rilasciato in due diverse tranche advisory per decine di problemi che affliggono i propri prodotti; risolti bug anche in una soluzione Fortinet, in Juniper, OpenCV, PayPal, nel software Nagios XI e nei router D-Link e Ruckus. Doppio intervento nel giro di un paio di giorni per Firefox: ad un primo aggiornamento di sicurezza alle versioni 72 ed ESR 68.4 è seguito un intervento straordinario su una falla 0-day di tipo type confusion – già sfruttata in the wild – e segnalata con CVE-2019-17026.
La Federal Aviation Administration (FAA) degli Stati Uniti ha poi allertato in merito ad una pericolosa disfunzione dei display adottati da alcuni velivoli Boeing; l’impostazione di particolari coordinate di volo ne blocca il funzionamento; sono in corso i lavori di messa in sicurezza.

Chiudiamo la nostra rassegna con l’azione hacktivista lanciata da Anonymous Italia nell’ambito di #OpGreenRights; sotto l’insegna #OpXylella il gruppo ha inteso riportare l’attenzione dell’opinione pubblica sui provvedimenti presi dagli enti locali per arginare l’infezione degli ulivi in Puglia. Dump e data breach hanno interessato anche i portali del Ministero delle Politiche Agricole Alimentari e Forestali e di Barletta News 24.