WEEKLY THREATS

Weekly Threats N. 14 2020

03 Aprile 2020

Resta ampio e molto articolato il panorama cyber sul tema del Coronavirus (COVID-19). Alle minacce che sfruttano a vario titolo e con le finalità più disparate la situazione mondiale determinata dalla pandemia si aggiungono incidenti subiti da istituzioni attive nel settore sanitario e vulnerabilità riscontrate nei sistemi e nelle applicazioni web che in queste settimane sono impiegate per le attività lavorative e per le comunicazioni.
In particolare in Italia, oltre ai gravi problemi di sicurezza e ai disservizi di cui è stata protagonista la piattaforma online dell’INPS, segnaliamo un serio bug di information disclosure risolto nell’app LAZIOdrCOVID; questa utility è disponibile nel Google Play Store e consente di ai medici di famiglia di quella regione di comunicare con i propri pazienti. Nel frattempo sono state tracciate campagne basate sul trojan bancario Ursnif che hanno raggiunto con email di phishing anche utenze della Pubblica Amministrazione.
A livello mondiale l’applicazione Zoom è ormai da giorni protagonista diretta e indiretta di diversi episodi. Il suo uso massivo per le videoconferenze ha consentito di evidenziare diversi bug, fra i quali uno che espone lo Zoom Meeting ID e mette a rischio la riservatezza degli incontri online, e un altro del client per Windows che mette a rischio le credenziali di login. Inoltre, diversi cyber criminali hanno approfittato della popolarità del brand per registrare domini malevoli che ne imitano il nome o per distribuire, in circuiti non ufficiali, applicazioni trojanizzate che diffondono pubblicità aggressive.
Rimanendo nello scenario globale a tema COVID-19, oltre alle attività del gruppo APT russo Gamaredon – che ha distribuito codici malevoli anche in Giappone – vale la pena citare un’ampia serie di campagne di phishing che abusano del logo e dell nome della WHO (World Health Organization) e un attacco particolarmente cinico che impiega mail falsamente provenienti da un ospedale. In quest’ultimo caso si informano le vittime che sono state esposte al Coronavirus tramite il contatto con un collega/familiare e che devono essere sottoposte a test.
Singole minacce, poi, mettono a repentaglio la sicurezza informatica di utenti in tutto il mondo. Ad esmpio, il nuovo MBR wiper/MBR locker chiamato CoViper – il cui autore, Angel Castillo, lascia anche la firma al termine del processo – che crea una cartella “COVID-19” nei sistemi colpiti dove vengono salvate tutte le componenti aggressive. E, infine, il trojan bancario Zeus Sphinx che si nasconde in comunicazioni riguardanti fantomatici rimborsi governativi.
Guai diretti si registrano per la compagnia di biotecnologia californiana 10x Genomics e per l’Organizzazione Mondiale della Sanità. La prima – impegnata nella ricerca di medicinali contro il virus biologico – è stata raggiunta dal ransowmare Sodinokibi, mentre la seconda avrebbe subito un tentativo di compromissione dei sistemi da parte di attori APT iraniani (verosimilmente Charming Kitten).

Rimaniamo in campo state-sponsored, ma usciamo dall’orizzonte COVID-19. Particolare attenzione è stata dedicata da diverse firme di sicurezza alla campagna “Holy water” del gruppo di matrice cinese Storm Cloud, mirata contro la comunità tibetana. Inoltre, secondo un articolo pubblicato dal Guardian, l’Arabia Saudita starebbe sfruttando alcune vulnerabilità della rete globale di telecomunicazioni mobili per tracciare i propri cittadini mentre viaggiano negli Stati Uniti.

Nel frattempo si registrano almeno due operazioni significative basate sullo sfruttamento di vulnerabilità. Risultano ancora in corso tentativi di exploit di due 0-day che affliggono gli switch aziendali a marchio DrayTek (CVE-2020-8515). Inoltre, i già noti e corretti CVE-2019-17026 di Mozilla Firefox e CVE-2020-0674 di Microsoft Internet Explorer sono alla base di attacchi che distribuiscono Gh0st RAT in Cina e in Giappone (probabilmente ad opera del gruppo sudcoreano DarkHotel).
È al momento tutta da affrontare, invece, una specifica classe di falle scoperta in Windows da un ricercatore indipendente; il problema generale è attribuibile al meccanismo di conteggio dei riferimenti agli oggetti dell’interfaccia utente del componente Handle Manager. Il ricercatore ha reso pubblica la PoC (proof of concept) dell’exploit di 13 delle 25 vulnerabilità totali.
Vulnerabilità risolte, invece, per il kernel di Linux, afflitto da una privilege escalation su Ubuntu Desktop (CVE-2020-8835) che consentirebbe di determinare il DoS (denial of service).
Ricordiamo poi che sono disponibili advisory per prodotti Schneider Electric e Hirschmann Automation and Control e che Chrome 80 ha ricevuto un nuovo aggiornamento di sicurezza.
Chiudiamo la nostra rassegna con la segnalazione di due azioni rivendicate dai gruppi hacktivisti italiani: Anonymous Italia ha vandalizzato un sito dell’ENI per pubblicizzare le proprie attività di sensibilizzazione degli utenti sulla privacy e LulzSecITA ha informato di aver compromesso i sistemi di oltre 10 Atenei italiani, senza però rilasciare alcun dato sottratto.

[post_tags]