Weekly Threats N. 50 2020

Spiccano, fra le notizie di questa settimana, l’incidente subito dalla compagnia italiana Leonardo S.p.A. e quello che ha coinvolto la firma di sicurezza statunitense FireEye; numerosi segnali giungono dalla scena APT mondiale; la sentenza di una Corte tedesca riapre la questione della privacy per Tutanota; sono stati rilasciati, infine, bollettini di sicurezza per i maggiori software.

A seguito della conclusione di un’indagine della Polizia Postale, si è appreso che dal maggio 2015 al gennaio 2017 un attacco ha preso di mira la compagnia italiana Leonardo SpA attraverso l’impiego di un RAT chiamato SpyLog, installato nei sistemi tramite chiavetta USB. L’incidente è stato rilevato all’interno della Divisione Aerostrutture e della Divisione Velivoli; nello specifico, da 33 macchine di Pomigliano sono stati rubati 10 Giga di dati.

A pochi giorni di distanza, la firma di sicurezza FireEye ha diffuso la notizia di una violazione di cui è caduta vittima da parte di un avversario strutturato. Le indagini condotte da FBI e partner esterni come Micorsoft hanno rilevato l’esfiltrazione di strumenti proprietari dell’azienda utilizzati per effettuare attività di sicurezza offensiva (Penetration Test e Red Teaming) su clienti esterni. Le contromisure rilasciate su GitHub – il cui numero ha raggiunto l’ordine delle centinaia – comprendono tecnologie come OpenIOC, Yara, Snort, ClamAV e HXIOC; è stato precisato che nessuno degli exploit esposti è per bug 0-day. Gli analisti hanno indirizzato i propri sospetti verso APT29, sponsorizzato da Mosca.

Sempre di matice russa, ma a firma Sofacy, sono campagne basate sul malware Zekapab che hanno sfruttato tra i temi di phishing anche quello del vaccino per il COVID-19. Resta invece ancora da attribuire un attacco informatico subito dalla European Medicines Agency (EMA).

Gli avversari state-sponsored cinesi Emissary Panda continuano a prendere di mira entità governative dell’Asia Orientale e della Mongolia dispiegando un vasto arsenale che ora comprende anche le 3 backdoor Polpo, LuckyBack e BlueTraveller.
Ancora la Mongolia – con oltre 400 agenzie governative – compare fra i target di un’operazione che ha abusato dei meccanismi di update del popolare programma di management Able Desktop; quanto all’attribuzione, gli analisti sono ancora in forse tra Emissary Panda e Tonto Team.
Di probabile matrice cinese è, infine, la campagna che lo scorso ottobre ha colpito esponenti della comunità tibetana con il malware MESSAGEMANIFOLD.

Dal quadrante mediorientale emergono novità su compagini iraniane come Domestic Kitten, che ha distribuito una minaccia per Android apparentemente basata sul tool commerciale KidLogger, e OilRig, di cui è stata scoperta e analizzata una infrastruttura di rete. Ma, soprattutto, il Governo USA ha rivolto accuse ufficiali contro la Rana Intelligence Computing Company; il RANA Institute, questo il nome con cui è conosciuta, coprirebbe le attività del Ministero iraniano dell’Intelligence e della Sicurezza (MOIS) ed è stato associato al team Chafer.

Il provider di mail tedesco Tutanota ha ricevuto dalla Corte Regionale di Colonia l’ingiunzione a implementare entro il prossimo 31 dicembre una backdoor in uso allo “State Criminal Police Office of North Rhine-Westphalia” con la finalità di aggirare la cifratura end-to-end e leggere i messaggi di un solo specifico utente. Questa sentenza si aggiunge a una serie di decisioni contraddittorie sulla stessa vicenda e solleverebbe il provider da ogni obbligo di monitoraggio. Tutanota ha fatto ricorso e attende entro la fine dell’anno una risposta ufficiale.

Quanto ai bollettini di sicurezza, sono pubblici quelli schedulati da Microsoft, SAP e Android-Pixel per il mese di dicembre. Nel frattempo, Cisco ha rilasciato correzioni per 5 bug, di cui uno critico, in Jabber. Hanno corretto le proprie soluzioni anche Adobe, McAfee, IBM, Apache, Palo Alto Networks e OpenSSL.
Restano in attesa di patch complete le vulnerabilità chiamate AMNESIA:33 che una firma di sicurezza ha riscontrato in alcuni TCP/IP Stack open source; tutte dovute a memory corruption, consentono attacchi di varia tipologia; si stima che almeno 150 vendor – con milioni di dispositivi adottati in settori come quello sanitario, delle finanze, dei servizi e della manifattura – siano affetti da questi problemi.

[post_tags]