Weekly Threats N. 22 2020

Questa settimana segnaliamo nel panorama italiano alcune notizie. Intanto, continuano le attività del collettivo LulZSecITA: dopo la segnalazione del breach ai danni del San Raffaele, gli hacktivisti hanno pubblicato radiografie sottratte a un ospedale di cui non è stato rivelato il nome e, a distanza di pochi giorni, hanno sibillinamente annunciato l’avvio di una non meglio precisata OpBigBrother.
Inoltre, è stata tracciata una campagna di distribuzione del ransomware Unicorn; la minaccia si è spacciata per l’applicazione Immuni, della quale è stato rilasciato il codice sorgente e che verrà nelle prossime settimane adottata su base volontaria per il tracciamento delle infezioni da Coronavirus. Anche una nuova campagna di phishing ha cavalcato l’onda della pandemia da COVID-19, abusando del logo dell’INPS, per distribuire un trojan bancario per sistemi Android; gli avversari hanno registrato un dominio il cui nome somiglia a quello dell’istituto di previdenza sociale, in cui si millanta la possibilità di ottenere una indennità per COVID-19. Phishing anche ai danni di utenti Aruba, che hanno ricevuto comunicazioni PEC o di posta elettronica ordinaria che li hanno indotti a inserire le proprie credenziali su un sito malevolo.
A livello internazionale, torna a far parlare di sé l’NSO Group. La firma di sicurezza che ha sviluppato il tool Pegasus avrebbe recentemente creato una falsa pagina di accesso a Facebook per trarre in inganno le sue vittime e indurle ad installare spyware sui propri dispositivi. Nel frattempo, Facebook sta facendo causa al team israeliano per il presunto utilizzo di un exploit 0-day per WhatsApp (di proprietà di Facebook) contro almeno 1.400 device mobili, sempre per distribuire Pegasus.
Sono due gli APT di matrice russa che hanno ricevuto l’attenzione degli analisti: Turla e Sandworm. Del primo sono state analizzate recenti varianti delle minacce ComRAT e Kazuar. Sandworm, invece, è stato preso in causa da due documenti governativi. Un alert dell’NSA (National Security Agency) gli addebita una serie di attacchi avviati nell’agosto 2019 contro i server di posta elettronica statunitense e basati sull’exploit della vulnerabilità critica CVE-2019-10149 del message transfer agent (MTA) Exim. I servizi di intelligence tedeschi, inoltre, lo ritengono il responsabile di operazioni di cyberspionaggio contro compagnie tedesche dei settori dell’energia e idrico.
Passando al versante crime, segnaliamo che sono in corso attacchi basati sul ransomware PonyFinal e sul trojan bancario per sistemi Android DEFENSOR ID; Valak, invece, prende di mira i server Microsoft Exchange per rubare dati aziendali. Non si fermano le campagne ricondotte sotto il nome di Aggah; fra le numerose vittime registrate in tutto il mondo compaiono anche aziende manifatturiere italiane.
Sul versante vulnerabilità, oltre a segnalare bollettini di sicurezza schedulati e straordinari – Apple, Microsoft Edge, Apache Tomcat, Fortinet, LibreOffice, Kantech, Inductive Automation – abbiamo dato conto anche della scoperta di due nuove tecniche di attacco. Unc0ver 5.0.0 è il nome assegnato al software di jailbreak che consente di eseguire il root e sbloccare tutti i dispositivi iOS, anche quelli che adottano la versione più recente del sistema operativo (v13.5). RangeAmp permetterebbe di abusare dei pacchetti HTTP per amplificare il traffico web e causare un DoS a siti web e server CDN (content delivery network).
Inoltre, una falla critica nella configurazione di EHTERAZ, l’app per il tracciamento dei contatti COVID-19 del Qatar, ha potenzialmente esposto i dati degli utenti; la scoperta si deve al Security Lab di Amnesty International.
Chiudiamo con un arresto e una denuncia. L’FBI ha ottenuto l’estradizione di un cittadino ucraino accusato di essere fra gli appartenenti al gruppo crime russo FIN7; Denys Iarmak, questo è il nome dell’uomo, è accusato di concorso in “computer hacking”, concorso in frodi bancarie, furto delle identità, accesso e danneggiamento di computer protetti a fini di frode.
Ricercatori di sicurezza sono riusciti a risalire all’identità reale di un avversario noto soprattutto con il nick VandaTheGod e lo hanno segnalato alle Autorità; attivo dal 2013, VandaTheGod, un cittadino brasiliano di cui sono state rivelate solo le iniziali del nome, ha rivendicato vandalizzazioni di siti governativi e campagne di natura esclusivamente criminosa e si è dichiarato appartenente a gruppi di matrice neonazista.