Sono numerose le notizie relative all’Italia emerse negli ultimi giorni. In primis, i gruppi hacktivisti LulzSecITA e Anonymous Italia hanno rivendicato una serie di azioni: vandalizzazione e breach per la Camera di Commercio di Roma; breach all’Istituto Poligrafico e Zecca dello Stato italiano e all’AGID (Agenzia per l’Italia digitale) che è stato possibile sfruttando un bug del CMS (content management system) di ISWEB. Compromesso anche il portale ufficiale del Comune di Napoli; la violazione sarebbe avvenuta grazie ad una vulnerabilità dell’applicazione che consente l’acceso alla newsletter; le informazioni sono state sottratte dai server su cui sono registrati i dati degli utenti iscritti alle community e sono state poi rilasciate sul sito raidforums[.]com. In questo caso LulzSecITA ha solo dichiarato di possedere quei dati da tempo.
Dati esposti anche per la compagnia Ariix Italia (che vende prodotti di bellezza), ma si è trattato di un bucket S3 non sicuro contenente informazioni sensibili di oltre 30.000 cittadini italiani. Dati bloccati, invece, per la Geox, che ha dovuto fronteggiare un attacco ransomware; fra i sistemi colpiti vi sarebbero quello della logistica gestito dal quartier generale di Montebelluna (TV) – i cui lavoratori sarebbero rimasti a casa per due giorni – e quello delle email aziendali.
Nel frattempo, sono state tracciate campagne di distribuzione per JasperLoader via comunicazioni PEC e per Ursnif, scaricato negli host target da allegati XLS con macro malevole.
Passiamo alla scena internazionale per dar conto di due diversi gruppi sponsorizzati da Mosca. Un’indagine condotta nell’arco di 6 anni ha portato alla luce numerose operazioni di disinformazione condotte dal team “Secondary Infektion” mirate a screditare l’operato dei governi di Ucraina, Turchia e USA, dei Paesi europei, nonché della NATO, e a demonizzare le popolazioni islamiche. Attivo almeno dal 2014, e mai salito agli onori delle cronache come è accaduto all’IRA (Internet Research Agency), Secondary Infektion ha cercato di interferire anche nelle elezioni degli Stati Uniti del 2016, in quelle francesi del 2017 e in quelle svedesi del 2018.
Emergono dettagli anche su InvisiMole, una compagine APT che opera almeno dal 2013 e le cui recenti operazioni sembra siano avvenute in associazione a quelle del connazionale Gamaredon. La nuova campagna ha colpisco organizzazioni di alto profilo in Europa Orientale con un vasto arsenale di tool e articolandosi in una serie piuttosto complessa di TTP.
Ci spostiamo in Europa per seguire gli sviluppi delle azioni firmate dal gruppo Vendetta. Fra il 3 e il 9 maggio è stata tracciata una sofisticata campagna di spear-phishing a tema COVID-19 contro target di Taiwan. L’ipotesi è che si sia mirato a sottrarre informazioni perlopiù di tipo governativo e non è chiaro se l’obiettivo sia stato effettivamente raggiunto.
Missione compiuta, invece, per Microcin – il team noto anche col nome SixLittleMonkeys. Colpito a febbraio 2020 un ente diplomatico di cui non sono stati rivelati altri dettagli nell’ambito di una sofisticata operazione avviata da attività di profilazione e basata su un trojan distribuito anche grazie a tecniche steganografiche.
Quanto agli attacchi squisitamente crime, continuano a colpire i ransowmare. Maze ha raggiunto i sistemi della firma di brokeraggio finanziario Threadstone Advisors LLP e della compagnia MaxLinear, che produce system-on-chip (SOC); entrambe con base negli USA. Black Kingdom, invece, ha iniziato a sfruttare software Pulse Secure VPN vulnerabili al bug CVE-2019-11510 per infiltrare le reti target.
E con una serie di vulnerabilità tutte da risolvere chiudiamo la nostra rassegna settimanale. Una firma di sicurezza ha rilevato Ripple20, 19 bug – la maggior parte dei quali 0-day – nella libreria TCP/IP Treck. Le falle impattano milioni di dispositivi IoT in tutto il mondo (i 3 più gravi sono stati tracciati con i codici CVE-2020-11896, CVE-2020-11897 e CVE-2020-11901). Questa soluzione è adottata da firme come Cisco, B. Braun, Baxter, Caterpillar, HP, Intel, Maxlinear, Rockwell, Sandia National Labs, Schneider Electric/APC, Digi e HCL Tech, alcune delle quali hanno già provveduto ad adottare le correzioni messe a disposizione dal produttore.
Ancora vulnerabili restano i 79 modelli di router Netgear impattati da un articolato problema di sicurezza che è stato reso noto da due ricercatori in modo indipendente l’uno dall’altro; si tratta di una condizione di Stack-based Buffer Overflow con conseguente Remote Code Execution per la quale è pubblica una PoC dell’exploit. Inoltre, sono state scoperte 6 gravi vulnerabilità riguardanti il modello di router wireless DIR-865L prodotto da D-Link, di cui solo tre sono state risolte con una patch (CVE-2020-13782, CVE-2020-13786, CVE-2020-13785, CVE-2020-13784, CVE-2020-13783, CVE-2020-13787). I bug possono essere variamente sfruttati per eseguire comandi arbitrari, rubare o cancellare informazioni sensibili e caricare malware, ma D-Link ha fatto sapere di non essere intenzionata a risolverli tutti perché il modello non è più supportato negli USA ed è nella fase end-of-sale in Europa.
Tutte da valutare sono infine alcune vulnerabilità del GPRS Tunneling Protocol (GTP) che espongono le reti cellulari 4G e 5G a una varietà di attacchi, tra cui denial-of-service, imitazione dell’utente e frode. Un team di analisti le ha scoperte nell’ambito di valutazioni di sicurezza per conto di circa trenta operatori in Europa, Asia, Africa e Sud America; i test hanno rivelato che le falle GTP identificate possono essere sfruttate tramite la rete inter-operator IPX e, in alcuni casi, anche da un dispositivo mobile.

EMAIL WEEKLY

Aggiornati velocemente con il nostro weekly threats in email

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi