Weekly Threats N. 25 2020

Sono numerose le notizie relative all’Italia emerse negli ultimi giorni. In primis, i gruppi hacktivisti LulzSecITA e Anonymous Italia hanno rivendicato una serie di azioni: vandalizzazione e breach per la Camera di Commercio di Roma; breach all’Istituto Poligrafico e Zecca dello Stato italiano e all’AGID (Agenzia per l’Italia digitale) che è stato possibile sfruttando un bug del CMS (content management system) di ISWEB. Compromesso anche il portale ufficiale del Comune di Napoli; la violazione sarebbe avvenuta grazie ad una vulnerabilità dell’applicazione che consente l’acceso alla newsletter; le informazioni sono state sottratte dai server su cui sono registrati i dati degli utenti iscritti alle community e sono state poi rilasciate sul sito raidforums[.]com. In questo caso LulzSecITA ha solo dichiarato di possedere quei dati da tempo.
Dati esposti anche per la compagnia Ariix Italia (che vende prodotti di bellezza), ma si è trattato di un bucket S3 non sicuro contenente informazioni sensibili di oltre 30.000 cittadini italiani. Dati bloccati, invece, per la Geox, che ha dovuto fronteggiare un attacco ransomware; fra i sistemi colpiti vi sarebbero quello della logistica gestito dal quartier generale di Montebelluna (TV) – i cui lavoratori sarebbero rimasti a casa per due giorni – e quello delle email aziendali.
Nel frattempo, sono state tracciate campagne di distribuzione per JasperLoader via comunicazioni PEC e per Ursnif, scaricato negli host target da allegati XLS con macro malevole.
Passiamo alla scena internazionale per dar conto di due diversi gruppi sponsorizzati da Mosca. Un’indagine condotta nell’arco di 6 anni ha portato alla luce numerose operazioni di disinformazione condotte dal team “Secondary Infektion” mirate a screditare l’operato dei governi di Ucraina, Turchia e USA, dei Paesi europei, nonché della NATO, e a demonizzare le popolazioni islamiche. Attivo almeno dal 2014, e mai salito agli onori delle cronache come è accaduto all’IRA (Internet Research Agency), Secondary Infektion ha cercato di interferire anche nelle elezioni degli Stati Uniti del 2016, in quelle francesi del 2017 e in quelle svedesi del 2018.
Emergono dettagli anche su InvisiMole, una compagine APT che opera almeno dal 2013 e le cui recenti operazioni sembra siano avvenute in associazione a quelle del connazionale Gamaredon. La nuova campagna ha colpisco organizzazioni di alto profilo in Europa Orientale con un vasto arsenale di tool e articolandosi in una serie piuttosto complessa di TTP.
Ci spostiamo in Europa per seguire gli sviluppi delle azioni firmate dal gruppo Vendetta. Fra il 3 e il 9 maggio è stata tracciata una sofisticata campagna di spear-phishing a tema COVID-19 contro target di Taiwan. L’ipotesi è che si sia mirato a sottrarre informazioni perlopiù di tipo governativo e non è chiaro se l’obiettivo sia stato effettivamente raggiunto.
Missione compiuta, invece, per Microcin – il team noto anche col nome SixLittleMonkeys. Colpito a febbraio 2020 un ente diplomatico di cui non sono stati rivelati altri dettagli nell’ambito di una sofisticata operazione avviata da attività di profilazione e basata su un trojan distribuito anche grazie a tecniche steganografiche.
Quanto agli attacchi squisitamente crime, continuano a colpire i ransowmare. Maze ha raggiunto i sistemi della firma di brokeraggio finanziario Threadstone Advisors LLP e della compagnia MaxLinear, che produce system-on-chip (SOC); entrambe con base negli USA. Black Kingdom, invece, ha iniziato a sfruttare software Pulse Secure VPN vulnerabili al bug CVE-2019-11510 per infiltrare le reti target.
E con una serie di vulnerabilità tutte da risolvere chiudiamo la nostra rassegna settimanale. Una firma di sicurezza ha rilevato Ripple20, 19 bug – la maggior parte dei quali 0-day – nella libreria TCP/IP Treck. Le falle impattano milioni di dispositivi IoT in tutto il mondo (i 3 più gravi sono stati tracciati con i codici CVE-2020-11896, CVE-2020-11897 e CVE-2020-11901). Questa soluzione è adottata da firme come Cisco, B. Braun, Baxter, Caterpillar, HP, Intel, Maxlinear, Rockwell, Sandia National Labs, Schneider Electric/APC, Digi e HCL Tech, alcune delle quali hanno già provveduto ad adottare le correzioni messe a disposizione dal produttore.
Ancora vulnerabili restano i 79 modelli di router Netgear impattati da un articolato problema di sicurezza che è stato reso noto da due ricercatori in modo indipendente l’uno dall’altro; si tratta di una condizione di Stack-based Buffer Overflow con conseguente Remote Code Execution per la quale è pubblica una PoC dell’exploit. Inoltre, sono state scoperte 6 gravi vulnerabilità riguardanti il modello di router wireless DIR-865L prodotto da D-Link, di cui solo tre sono state risolte con una patch (CVE-2020-13782, CVE-2020-13786, CVE-2020-13785, CVE-2020-13784, CVE-2020-13783, CVE-2020-13787). I bug possono essere variamente sfruttati per eseguire comandi arbitrari, rubare o cancellare informazioni sensibili e caricare malware, ma D-Link ha fatto sapere di non essere intenzionata a risolverli tutti perché il modello non è più supportato negli USA ed è nella fase end-of-sale in Europa.
Tutte da valutare sono infine alcune vulnerabilità del GPRS Tunneling Protocol (GTP) che espongono le reti cellulari 4G e 5G a una varietà di attacchi, tra cui denial-of-service, imitazione dell’utente e frode. Un team di analisti le ha scoperte nell’ambito di valutazioni di sicurezza per conto di circa trenta operatori in Europa, Asia, Africa e Sud America; i test hanno rivelato che le falle GTP identificate possono essere sfruttate tramite la rete inter-operator IPX e, in alcuni casi, anche da un dispositivo mobile.

[post_tags]