Weekly Threats N. 32 2020

Il nostro report settimanale si apre sulla scena hacktivista italiana, con una serie di attacchi lanciati dal gruppo LulzSecITA contro siti legati al Ministero della Giustizia. Sono state rivendicate via Twitter compromissioni ai danni dei Tribunali di Pescara, L’Aquila e Catania e anche contro il Distretto Corte di Appello di Roma. Come di consueto gli anonymi hanno rilasciato screenshot di dati o schermate a riprova delle proprie azioni.
Continuano le campagne malware contro utenze email del nostro paese; negli ultimi giorni sono stati tracciati messaggi che sembravano proveniere da compagnie locali e altri che si fingevano comunicazioni riguardanti il pagamento delle tasse o il monitoraggio di una spedizione. Chi ha aperto gli allegati o cliccato sui link presenti nei testi è stato infettato con minacce come Pony, JasperLoader, Agent Tesla e Ursnif.

La scena crime mondiale ha visto emergere un nuovo avversario, individuato come Water Nue, che ha lanciato attacchi di tipo BEC (business email compromise) contro account Office 365 C-Suite (aziendali) di oltre 1.000 compagnie in tutto il mondo e in particolare contro impiegati senior di aziende canadesi e statunitensi.
Nel frattempo, i ransomware si confermano fra le minacce più sfruttate e più redditizie: solo NetWalker, che è as-a-service, ha procurato ai suoi affiliati nel complesso oltre 25 milioni di dollari in 5 mesi. Quanto a Maze, sono state pubblicate sul sito del Team parte delle informazioni sottratte a Xerox e LG, evidentemente in quanto vittime insolventi; inoltre è stata confermata la compromissione dei sistemi di Canon, con un bottino che ammonterebbe a ben 10TB di dati.
Ha fruttato una ingente somma anche la compromissione subita dall’exchange di cryptovalute 2gether. Il progetto spagnolo supportato dal Fondo europeo di sviluppo regionale e del Ministerio Ciencia, Innovación y Universidades, che vantava 25 milioni di transazioni al mese e 42.000 utenti attivi, ha perso l’equivalente di 1,2 milioni di euro; e la questione dei rimborsi si presenta problematica, perché la compagnia ha dichiarato che potrà restituire solo il 26,79% di ciascuna posizione in 2GT (la valuta elettronica custom che era stata messa in prevendita da poche settimane).

Le novità di maggior interesse sulle operazioni state-sponsored riguardano Russia e Togo.
Avversari legati al Governo di Mosca avrebbero avuto accesso ad un account email dell’ex ministo britannico Liam Fox, riuscendo a mettere le mani su documenti “classified” relativi ad accordi commerciali fra USA e Regno Unito; il materiale sarebbe stato utilizzato per orchestrare una campagna di disinformazione lanciata durante la campagna elettorale britannica del 2019.
Nel piccolo Stato africano, invece, sarebbero stati spiati esponenti religiosi e dell’opposizione politica, fra cui Monsignor Benoît Comlan Alowonou, Padre Pierre Marie-Chanel Affognon, gli attivisti politici Elliott Ohin e Raymond Houndjo; tutte persone note per il loro impegno in manifestazioni pro-riforma a livello nazionale che il Governo ha violentemente represso. Sebbene l’attribuzione non sia certa, molti elementi convergono su un operatore dello spyware Pegasus, distribuito dalla israeliana NSO, identificato come REDLIONS e associato ad una agenzia governativa togolese.

Chiudiamo con le sezioni dedicate a data breach e vulnerabilità: due notizie per ciascuna.
Un cyber-criminale ha pubblicato su un hacking forum una lista contenente username e password in chiaro per oltre 900 server enterprise Pulse Secure VPN; secondo i primi rilievi, tutti i server interessati eseguono una versione del firmware vulnerabile alla nota falla CVE-2019-11510; è perciò possibile che gli avversari se ne siano serviti per accedere ai sistemi ed esfiltrare le informazioni.
Su un servizio di file sharing sono stati invece caricati 20 GB di dati appartenenti alla compagnia statunitense Intel; si tratta di dati confidenziali o segreti che comprendono anche i codici sorgente dell’azienda, quindi perlopiù proprietà intellettuale, e documenti interni. I responsabili del breach hanno fatto sapere che la cache pubblicata è solo la prima parte di una serie di leak che interesseranno la società.
Twitter ha corretto un grave bug di sicurezza nella sua applicazione per Android che consentirebbe ad applicazioni malevole di accedere ai dati privati ​​della piattaforma social, inclusi i messaggi diretti degli utenti (DM), bypassando i normali controlli. La causa risiederebbe in una vulnerabilità di base nel sistema operativo Android, risolta nell’ottobre 2018; sarebbero quindi coinvolte solo le versioni 8 (Oreo) e 9 (Pie), vale a dire il 4% degli utenti di questo sistema operativo.
Impattano invece quasi la metà dei device Android diverse vulnerabilità del Digital Signal Processor (DSP) di Qualcomm Snapdragon che potrebbero consentire ad eventuali malintenzionati di spiare gli utenti, esfiltrare dati sensibili, installare malware in grado di eludere la detection, attivare videocamera e microfono e geolocalizzare le vittime. I ricercatori che le hanno scoperte hanno avvertito Qualcomm che le ha prontamente corrette. Ora si attende che tutti i vendor implementino le patch per i propri dispositivi. I codici rilasciati sono i seguenti: CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE -2020-11208 e CVE-2020-11209.