Weekly Threats N. 21 2020

Questa settimana i versanti caldi sono molti. In Europa si registrano alcune vicende di rilievo; numerose notizie provengono dal Medio Oriente, dove continuano ad essere tracciate campagne state-sponsored di varie matrici; infine, sono emersi nuovi scenari di attacco basati su vulnerabilità.
Ma apriamo con un fatto di casa nostra che vede protagonista il gruppo LulzSecITA. Gli hacktivisti sostengono che l’Istituto Scientifico Universitario San Raffaele avrebbe subito tempo fa un data breach che non sarebbe mai stato reso pubblico. La compromissione sarebbe avvenuta sfruttando una falla dei sistemi e avrebbe esposto i dati personali e gli indirizzi mail con password in chiaro, sia di pazienti che di personale medico. In mancanza di riscontri ufficiali da parte della struttura sanitaria, LulzSecITA minaccia il leak dell’intero materiale.
Allargando un po’ gli orizzonti geografici, segnaliamo tre notizie riguardanti l’Europa. Fra lunedì 11 e giovedì 14 maggio sono stati spenti numerosi computer ad alte prestazioni (HPC) e data center europei per fronteggiare una compromissione massiva volta al mining della criptovaluta Monero. Fra le strutture coinvolte vi sono il servizio britannico ARCHER, il progetto tedesco bwHPC, il sistema Taurus presso la Tecnische Universität di Dresda, il bwForCluster NEMO di Friburgo e il Centro svizzero di calcolo scientifico (CSCS).
Emerge, poi, un attore che gli analisti hanno battezzato Vendetta e che mira perlopiù alla sottrazione di proprietà intellettuale e contenuti di business intelligence. I target sono localizzati sopratutto in Australia, Egitto, Romania, Austria e Messico. Difficile l’attribuzione, anche se alcuni nomi delle minacce impiegate, come RoboSki, sembrano essere in lingua turca.
Infine, un database non protetto riconducibile a un vecchio sito istituzionale del Partito Popolare Europeo ha esposto i dati di oltre 16.000 fra deputati, funzionari e professionisti.
Ci spostiamo in Medio Oriente per una rapida rassegna delle attività state-sponsored riportate di recente. Mentre l’APT palestinese Arid Viper distribuisce in questa area una minaccia per Android, sfruttando il brand dell’applicazione Mygram IM, un gruppo hacktivista che si firma “Hackers of Savior” – composto da individui provenienti da Turchia, Palestina, Marocco ed Egitto – ha vandalizzato centinaia di siti israeliani in occasione del “Jerusalem Day”.
Tripletta per l’Iran. Emergono ora campagne condotte fra maggio 2018 e dicembre 2019 dal gruppo state-sponsored Chafer contro organizzazioni dei settori governativo e dei trasporti aerei in Arabia Saudita e Kuwait. Più di recente – fra ottobre 2019 e febbraio 2020 – il connazionale APT33 (alias Greenbug) ha invece colpito provider delle telecomunicazioni in Asia meridionale, dispiegando una combo di tool off-the-shelf e tecniche living-off-the-land mirata alla sottrazione di credenziali, ad avere accesso a database di server e a garantirsi la persistenza nei sistemi. Da attaccante a target, il porto iraniano Shahid Rajaee, che si trova nello stretto di Hormuz, il 9 maggio scorso avrebbe subito un attacco cyber di matrice israeliana. Autorevoli fonti di stampa riferiscono di un blocco delle attività di tutti i computer che gestiscono il traffico delle navi, le rotte e le merci trasportate.
Le attività che puntano al settore delle cryptovalute assumono contorni sempre più vasti e differenziati. Questa settimana registriamo una campagna che sembra squisitamente cybercrime, chiamata Eleethub, e una firmata da un APT non ancora documentato che i ricercatori hanno battezzato Leery Turtle. Nel primo caso gli attaccanti hanno messo a punto una botnet per minare Bitcoin; nell’altro hanno colpito exchange di moneta elettronica in tutto il mondo.

Infine, riserviamo una parte corposa della nostra rassegna alle vulnerabilità.
Sono due i nuovi scenari di attacco basati su exploit di vulnerabilità messi a punto da diversi team di ricercatori. BIAS è una tecnica che sfrutta la CVE-2020-10135 del protocollo Bluetooth per realizzare connessioni fra dispositivi aggirando l’autenticazione con la chiave a lungo termine. NXNSAttack è invece un attacco di tipo DDoS massivo determinato da un bug dei server ISC BIND (CVE-2020-8616); la stessa tipologia di falla è stata riscontrata anche in questi altri DNS: NLnet labs Unbound (CVE-2020-12662), PowerDNS (CVE-2020-10995), CZ.NIC Knot Resolver (CVE-2020-12667).
Inoltre, i dispositivi NAS del vendor QNAP, sono impattati da 3 bug (CVE-2019-7192, CVE-2019-7194 e CVE-2019-7195) che, se sfruttati in chain, consentono compromissioni pre-Auth RCE.
Microsoft, invece, ha dovuto affrontare due questioni delicate. La correzione per la vulnerabilità CVE-2019-0887, inserita nel bollettino di luglio 2019, è risultata inefficace; l’impropria correzione è stata rimediata con una nuova patch nel febbraio 2020 (nuovo codice CVE-2020-0655); ulteriori indagini hanno tuttavia dimostrato che permangono possibilità di sfruttamento e sarà necessario metterci le mani per la terza volta. Windows invece risulta impattato da 5 vulnerabilità 0-day (di cui sono noti solo i codici CVE-2020-0916, CVE-2020-0915, CVE-2020-0986) rese pubbliche da alcuni ricercatori di sicurezza prima che la compagnia abbia avuto il tempo di rilasciare le necessarie patch.
Problemi anche per il server di posta elettronica Qmail e l’applicazione Edison Mail. Il primo ha dovuto risolvere 3 falle vecchie di almeno 15 anni e mai risolte (CVE-2005-1513, CVE-2005-1514, CVE-2005-1515), l’altra ha aggiornato la propria versione per iOS, che esponeva i dati degli utenti.
Chiudiamo con una lista dei numerosi advisory schedulati e straordinari rilasciati per dispositivi e soluzioni software: PAN-OS di Palo Alto Networks, Adobe, Emerson, BIND 9, Rockwell Automation, VMware, Chrome 83, Nitro Pro PDF, Cisco, Drupal, XCode di Apple, Schneider Electric, Johnson Controls.