Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

  • Ucraina: sempre più fermento sul fronte cyber
  • Spyware: scoperte operazioni basate su Pegasus e DevilsTongue
  • LockBit Team: colpite le italiane Rovagnati e MWD.digital

Anche questa settimana non sono venute meno le offensive sul fronte cyber del conflitto russo-ucraino. Nello specifico, l’ultima operazione identificata è stata segnalata dal Servizio Speciale di Comunicazione Statale di Kiev e riguarda un attacco informatico che ha colpito alcune stazioni radio del Gruppo TAVR Media, finalizzato alla diffusione di fake news sulle condizioni di salute del Presidente Zelensky. Il Servizio di Sicurezza di Kiev, invece, ha scoperto alcuni indicatori di compromissione relativi a malware utilizzati contro reti informatiche del Paese, divulgati dal Cyber Command degli Stati Uniti con il quale l’entità ucraina collabora. Dal canto loro, oltre ad osservare continue attività malevole in Europa orientale (rispettivamente attribuibili ai russi Turla Group, Sofacy, Sandworm, FIN6, Callisto e Lorec53 e al bielorusso Ghostwriter), alcuni ricercatori di sicurezza hanno rilevato un attacco contro un’importante software house ucraina. Quest’ultimo si è basato su una versione leggermente modificata di una backdoor open-source chiamata GoMet. In aggiunta, il CERT-UA ha tracciato una campagna di distribuzione del malware Agent Tesla presumibilmente rivolta contro organizzazioni statali. Infine, il gruppo filorusso KillNet ha rivendicato due offensive contro due società statunitensi attive nei settori dell’ingegneria aerospaziale e della Difesa: Boeing e Lockheed Martin.

Soffermandoci sul versante state-sponsored, nuove indagini hanno portato alla luce operazioni di spionaggio condotte da clienti governativi delle israeliane NSO Group e Candiru, basate sui rispettivi spyware Pegasus e DevilsTongue.
Il primo è stato sfruttato fra ottobre 2020 e novembre 2021 per compromettere i dispositivi di almeno 30 membri della società civile thailandese, tra cui attivisti, accademici, avvocati e operatori di ONG. Il secondo, invece, è stato distribuito contro utenti localizzati in Medio Oriente di una nota software house di Praga tramite un exploit zero-day per la CVE-2022-2294 di Google Chrome.

Per concludere, passando al panorama ransomware, il LockBit Team ha rivendicato sul proprio sito dei leak la compromissione di due società italiane: la storica azienda specializzata nella produzione di salumi Rovagnati e l’impresa veronese MWD.digital.

EMAIL WEEKLY

Le immagini presenti nei post sono dettagli di antiche incisioni giapponesi che raffigurano samurai alle prese con demoni e creature mitologiche. Alcuni approfondimenti: Watanabe no Tsuna, Utagawa Kunioshi