Weekly Threats N. 07 2020

Questa settimana è stata pubblicata un’inchiesta giornalistica che ha rivelato dettagli relativi ad “Operation Rubikon”. Il Federal Intelligence Service tedesco (BND) e la CIA avrebbero spiato per decenni le attività riservate di oltre 130 governi e agenzie di intelligence abusando di strumenti per la crittografia prodotti dalla compagnia svizzera Crypto Ag, di cui erano divenuti proprietari. Il sospetto è che anche la Svizzera fosse a conoscenza di Operation Rubikon e che anche lo Stato Vaticano si sia avvalso di questa tecnologia. In realtà, l’accordo fra BND e CIA non è mai stato lineare, poiché gli interessi dei due partner erano, in alcuni casi geopolitici, conflittuali. In ogni caso, le due agenzie hanno condotto attività di spionaggio globale in scenari geopolitici di grande importanza come il golpe di Pinochet, la rivoluzione iraniana del 1979, la crisi delle Falkland e l’invasione di Panama del 1989.

Sempre a livello internazionale sono numerose le notizie riguardanti l’Iran. Continua il monitoraggio della campagna di disinformazione promossa da Teheran e che si serve di una rete di account social in lingua inglese creati appositamente per promuovere le politiche iraniane nel mondo. Nell’ambito di questa attività – ribattezzata Distinguished Impersonator – falsi account social inviano messaggi sui social media diretti a politici e media; richiedono interviste a personalità di spicco tra cui accademici, giornalisti e attivisti e pubblicano videoclip di interviste di provenienza sconosciuta.
Inoltre, l’infrastruttura internet iraniana sarebbe stata parzialmente messa fuori servizio da un attacco DDoS il giorno sabato 8 febbraio 2020. Le autorità avrebbero fronteggiato l’attacco ricorrendo al cosiddetto “Digital Fortress”, il programma di protezione realizzato dal governo che si basa sulla segregazione del network nazionale.
Infine, è stato individuato un nuovo RAT associato al noto gruppo state-sponsored APT33: si tratta di POWERBAND, un eseguibile scritto in .NET il cui codice risulta fortemente offuscato e che presenta diversi elementi in comune col già documentato POWERTON.

Sul versante APT segnaliamo che recentemente sono stati scoperti in rete alcuni file LNK malevoli attribuibili al gruppo state-sponsored Sapphire Mushroom, i cui target principali appartengono al settore governativo, dell’industria militare, della ricerca scientifica e della finanza localizzati soprattutto nella Cina continentale. Inoltre, sono state tracciate in Medio Oriente attività associate al gruppo APT palestinese Molerats basate sulla backdoor Spark, una minaccia custom il cui codice è offuscato col packer Enigma. Le vittime hanno ricevuto documenti PDF di spear phishing redatti in arabo e riguardanti Hamas, l’Egitto e l’Iran.

Quanto alle minacce cyber, proseguono le campagne che sfruttano il tema dell’epidemia di coronavirus; alcune di esse, in particolare, distribuiscono il RAT Parallax. Emergono poi nuovi dettagli sul ransomware Ragnarok (alias Ragnar Locker), che sta prendendo di mira software comunemente utilizzati dai Managed Service Provider (MSP) per evitare la detection. Ragnarok si rivolge infatti specificamente ai software di gestione remota (RMM) comunemente utilizzati dai fornitori di servizi gestiti, come i popolari ConnectWise e Kaseya. Le richieste di riscatto avanzate fino a questo momento vanno da 200.000 a 600.000 dollari USA.
Torna a colpire il gruppo Outlaw, che nel frattempo ha ampliato la platea dei target e incrementato le risorse offensive con gli exploit per le vulnerabilità di sistemi Linux CVE-2016-8655 e CVE-2016-5195 (Dirty Cow) e alcune webshell basate su PHP. Target privilegiati sono compagnie europee e statunitensi che utilizzano sistemi non aggiornati.

Per quanto concerne i bollettini di sicurezza, segnaliamo il rilascio di update per prodotti Siemens, Schneider Electric, Intel, Adobe, SAP, Mozilla e Microsoft. Quest’ultimo corregge 99 falle, tra cui anche un bug 0-day già segnalato a gennaio e probabilmente sfruttato dall’APT sudcoreano DarkHotel (CVE-2020-0674). Grazie a tale vulnerabilità, che riguarda il motore di scripting di Internet Explorer, un attaccante potrebbe eseguire codice da remoto e prendere il controllo del sistema inducendo la vittima a visitare un sito appositamente creato.

Fra i breach della settimana spiccano in particolare due episodi che hanno coinvolto i contractor della difesa giapponese Pasco Corporation (un fornitore di materiale geospaziale) e Kobe Steel (uno dei principali produttori di acciaio per sottomarini). Entrambe le società hanno confermato l’accesso non autorizzato alla loro rete interna, nonché infezioni da malware che hanno colpito i loro sistemi informatici a seguito di attacchi avvenuti rispettivamente nel maggio 2018 e nel giugno 2015/agosto 2016. Le due società sono le ultime delle quattro aziende legate alla difesa i cui sistemi sono stati violati tra il 2016 e il 2019, secondo quanto ha dichiarato il Ministro della Difesa giapponese Taro Kono durante una conferenza stampa il 31 gennaio. Le prime due sono state NEC, attiva nei settori dell’information technology e dell’elettronica, e Mitsubishi Electric, la cui compromissione è stata attribuita all’APT di matrice cinese Tick.

Concludiamo la nostra rassegna con tre segnalazioni provenienti dal collettivo hacktivista LulzSecITA: le rivendicazioni di attacchi contro i portali dell’Università degli Studi “Roma Tre” e della Federazione Italiana di Atletica Leggera; la pubblicazione di un nuovo tweet in cui si mostrano gli screenshot di un calendario elettronico associato al sindaco di Roma Virginia Raggi che sembrerebbe tratto dal portale della webmail del Comune di Roma.