Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • KillNet: rivendicate offensive DDoS contro Italia, Spagna, Polonia, Germania e Lettonia
  • Ucraina: restano alte le tensioni nel dominio cyber
  • F5 e Microsoft: corrette due 0-day sfruttate ITW

Nell’ultima settimana l’Italia è stata coinvolta nella guerra cibernetica in atto subendo una serie di offensive DDoS rivendicate dal gruppo russo KillNet. Tra i portali colpiti figurano quelli di enti istituzionali come il Senato, la Difesa, l’Istituto Superiore di Sanità e l’Automobile Club d’Italia, ma anche la Scuola Alti Studi Lucca, la piattaforma B2B Kompass e i portali Infomedix e GuidEdilizia. Secondo quanto riferito dal collettivo qualche ora dopo le rivendicazioni, gli attacchi condotti sono da intendersi come esercitazioni sul campo che lasceranno presto spazio alla vera e propria offensiva.
Tuttavia, le operazioni del gruppo non hanno coinvolto solo il nostro Paese, ma anche Spagna, Polonia, Germania e Lettonia – oltre al sito web del giornalista russo dissidente Alexander Nevzorov – colpendo target nei settori governativo, finanziario, Oil&Gas, delle telecomunicazioni, educativo, sanitario, dell’intrattenimento e manifatturiero.

Rimanendo nell’ambito del conflitto, le tensioni tra i due fronti continuano ad essere alte.
L’Unione Europea, il Regno Unito e gli Stati Uniti hanno formalmente accusato la Russia di aver condotto l’attacco alla rete satellitare KA-SAT di Viasat del febbraio scorso che ha facilitato l’invasione militare dell’Ucraina.
Dal canto suo, il CERT-UA ha ricevuto segnalazioni in merito alla distribuzione massiva di e-mail volte a veicolare il malware Jester Stealer e a una campagna basata sul malware GammaLoad attribuita al russo Gamaredon Group.
Infine, nella Giornata della Vittoria celebrata il 9 maggio, un attacco informatico (tuttora non rivendicato) ha colpito diversi canali televisivi russi mandando in onda un messaggio contro la guerra in corso. A finire nel mirino sono stati canali TV come Russia 1, Ntv Plus, Channel One e Pervyi Kanal.

Concludiamo con due vulnerabilità 0-day sfruttate ITW.
La prima – CVE-2022-1388 – è di tipo Missing Authentication for Critical Function e riguarda il componente iControl REST di Big-IP dell’americana F5 Networks. La seconda – CVE-2022-26925 – è etichettata come Windows LSA Spoofing e consente a un attaccante non autenticato di forzare un controller di dominio ad autenticarsi su un altro server utilizzando NTLM.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi