Weekly Threats N. 04 2020

Spicca fra le notizie di questa settimana una vicenda particolarmente spinosa che coinvolge il proprietario di Amazon, Jeff Bezos, e il Principe saudita Mohammed bin Salman. Secondo quanto rivelato da una firma di sicurezza, il primo sarebbe stato oggetto di spionaggio e pressioni da parte del regime saudita. Il fatto si inserisce in un contesto dai risvolti tragici, nel quale trova una collocazione anche l’omicidio del giornalista Jamal Kashoggi, collaboratore del Washington Post e figura politica piuttosto ingombrante nel mondo arabo. Sfruttando il profilo WhatsApp di Mohammed bin Salman, i sauditi avrebbero compromesso il telefono del fondatore della piattaforma di e-commerce e anche editore del Washington Post, sottraendo preziose informazioni riservate e inviandogli messaggi che dimostravano la conoscenza di fatti delicati e personali.

Rimanendo nel campo degli attacchi state-sponsored internazionali, è stata tracciata Operation PaperFolding, una campagna di spear phishing mirata perlopiù contro organizzazioni pachistane dei settori della difesa e governativo.
Inoltre, si apprende che la violazione dei sistemi del Ministero degli Esteri austriaco – di cui abbiamo giù parlato nel Weekly Threats N. 02 2020 – è stata firmata dal gruppo russo Turla.

La questione Citrix ha avuto strascichi anche in questi utlimi giorni: a seguito di una segnalazione del CERT olandese, che metteva in dubbio l’efficacia di alcune patch, la compagnia ha dovuto aggiornare il proprio bollettino di dicembre 2019, integrando il numero di prodotti coinvolti e indicando nuove soluzioni di sicurezza. Nel frattempo è stata tracciata una nuova backdoor scritta in Go – chiamata NOTROBIN – che viene distribuita grazie all’exploit di questo bug.

Continua a essere sfruttata in the wild anche la falla di Internet Explorer (CVE-2020-0674), già impiegata in una campagna associata all’APT coreano DarkHotel e segnalata a Microsoft dalla NSA.

Passiamo al cyber crime, con la scoperta della versione 2.0 del downloader sLoad, chiamata Starslord; la minaccia ora riesce a tracciare lo stadio dell’infezione su ogni macchina interessata e dispone della feature anti-analisi checkUniverse che potrebbe identificare e isolare le macchine degli analisti.
Nuove feature anche per la botnet Muhstik, che ora è in grado di integrare nella propria struttura malevola anche dispositivi IoT che adottano Tomato, un firmware open source basato su Linux.

Tornano in auge anche gli attori raggruppati nella galassia Magecart; sono stati compromessi con script/skimmer i portali del produttore e rivenditore di abbigliamento statunitense Hanna Andersson e due siti di e-ticket per le prossime competizioni sportive dell’Euro Cup e dei Giochi Olimpici di Tokyo.

Diverse notizie popolano l’ambito data breach. La compagnia giapponese Mitsubishi Electric ha reso noto di essere caduta vittima di una violazione risalente al 28 giugno 2019. Gli attaccanti – identificabili nel gruppo dedito al cyberspionaggio Tick, alias Bronze Butler – dopo aver avuto accesso ai server, avrebbero scalato i privilegi e sarebbero riusciti ad arrivare ai network di circa 14 dipartimenti, fra i quali quello delle vendite e dell’amministrazione centrale. Il bottino consisterebbe in circa 200 Mb di dati sensibili raccolti da PC e server localizzati sia in Giappone che in altre sedi e comprenderebbe documenti business.
Su un popolare hacking forum sono state rilasciate credenziali Telnet per oltre 515.000 server, home router e dispositivi Internet-of-Things; a pubblicare le informazioni – ottenute probabilmente facendo semplicemente uno scan della rete alla ricerca di server e router esposti a causa di credenziali di default o poco efficaci – sarebbe stato il gestore del servizio DDoS booter.
Weleakinfo[.]com è stato invece disattivato a seguito di una vasta indagine internazionale che ha coinvolto l’FBI e Forze di Polizia di due Paesi europei e che ha portato anche all’arresto di due individui. Il sito raccoglieva materiale raccolto in oltre 10.000 data breach e offriva circa 12 miliardi di record indicizzati, fra cui nomi, email, indirizzi, username, numeri di telefono e password di account online.
Incuria o disattenzione sono invece le cause di due incidenti che hanno coinvolto Microsoft e Amazon Web Services. Nel primo caso sono stati scoperti 5 server ElasticSearch esposti online che contenevano 250 milioni di record relativi al servizio di supporto della compagnia fondata da Bill Gates e Paul Allen: si tratta nello specifico dei log delle conversazioni con clienti di tutto il mondo, datati fra il 2005 e il dicembre 2019. Un dipendente degli Amazon Web Services (AWS) ha invece incautamente reso pubblici 1Gb di dati sensibili associabili alla propria attività di DevOps Cloud Engineer: documenti personali, password, token e chiavi API crittografiche di diversi sistemi AWS.

Chiudiamo la nostra rassegna con la lista dei bollettini di sicurezza schedulati e straordinari rilasciati questa settimana da vendor di software e hardware. Hanno corretto le proprie soluzioni: Huawei, Moodle, Samba, Cisco, Chrome, AMD, Fortinet, Honeywell.