Weekly Threats: N. 35 2018

Si è conclusa OpBlackWeek –  la campagna hacktivista lanciata da Anonymous Italia, con epilogo previsto per il #FifthOfNovember, così come indicato dall’hashtag per identificarla sui social. Tra gli attacchi più significativi si segnalano quelli verso: 13 siti istituzionali di Comuni e Regioni, nonché il breach ai siti di CNR, Ministero dello Sviluppo Economico, Associazione Polizia di Stato, Ferrovie, Fratelli D’Italia e Lega Nord Trentino. A seguito della chiusura della campagna inoltre e dopo il breach al sito di Fratelli d’Italia, un sito del partito politico è stato nuovamente preso di mira. LulzSecITA ha infatti compiuto un defacement ai danni della pagina fratelliditaliaroma.it, relativa alla candidatura di Giorgia Meloni come sindaco di Roma, probabilmente come conseguenza delle dichiarazioni di condanna della stessa contro il gruppo.

AnonPlus torna a mietere vittime in Italia. Il gruppo ha rispettivamente preso di mira la SIAE e il ministero dei Trasporti. Nel primo caso il gruppo ha infatti rivendicato via Twitter – sul profilo @An0nPlu5 – il defacement al sito della Società e il dump di 3,7 Gb di informazioni. I dati comprendono IBAN, nome, cognome, sesso, indirizzo, data di nascita, codice fiscale, indirizzo email, numero di telefono, eventuali morosità, numero della carta d’identità, indirizzo di residenza. Un ricercatore di sicurezza ha appurato che la violazione del portale siae[.]it è avvenuta sfruttando la vulnerabilità drupalgeddon2 e che i server non erano stati configurati in modo adeguato. Nel secondo caso si è trattato di un defacement a una pagina del portale del ministero dei Trasporti. Il collettivo ha colpito nello specifico assgov.mit.gov[.]it/assgov/. L’azione sembra però essere puramente dimostrativa e senza conseguenze ulteriori.

Recentemente è stata tracciata l’attività di una botnet che gli analisti hanno battezzato BCMUPnP_Hunter poiché colpisce soprattutto router con la feature BroadCom UPnP abilitata. Si stima che BCMUPnP_Hunter possa arrivare a infettare circa 400.000 dispositivi IoT; sono coinvolte 116 diverse tipologie di device di numerosi vendor, fra cui D-Link, TP-Link, ZTE e Zyxel. Le attività di scanning hanno coinvolto anche l’Italia.

Dopo i casi di British Airways e Ticketmaster, per citare i più eclatanti, questa settimana si è tornati a parlare del gruppo cybercriminale Magecart. La piattaforma di vendita online dei prodotti Kitronik è stata infatti compromessa per ospitare lo script malevolo del gruppo. È stata la stessa compagnia, a darne comunicazione ai propri clienti.

Nei giorni scorsi è stato scoperto un data breach che ha coinvolto gli account online della HSBC Bank. Tra le informazioni esposte: oltre ai dati personali anche tipologia e saldo dei conti, cronologia e beneficiari delle operazioni, cronologia degli estratti conto.

Svariate anche le campagne APT rilevate. Un gruppo cyber crime individuato come Outlaw – traduzione inglese del nome rumeno della minaccia haiduc di cui si avvale – sta conducendo una campagna basata su una variante della botnet in Perl Shellbot. A quanto risulta, per ospitare un bouncer IRC sfruttato come C&C sono stati compromessi il server FTP di un’istituzione d’arte giapponese e un sito governativo del Bangladesh. Sono inoltre stati localizzati endopoint coinvolti nella botnet anche in Italia.

Un gruppo APT probabilmente sostenuto dal governo nordcoreano e identificato come Kimsuki, ha recentemente distribuito un malware di sua invenzione spacciandolo per un programma di sicurezza molto popolare in Corea del Sud, spesso utilizzato da istituti di credito ed enti governativi. L’attuale campagna del gruppo, già noto in passato per altri attacchi, è stata denominata Operation Mystery Baby e permette di esfiltrare informazioni dai sistemi compromessi, lo stesso codice sembrerebbe utilizzabile anche per attacchi mirati contro dispositivi mobili. In ultimo, il gruppo di APT di matrice russa noto come Red October, che dal mese di ottobre ha avviato una campagna – basata su email di spear-phishing – contro obiettivi localizzati in Europa, sfrutta tale catena di infezione avviata con la finalità di scaricare la backdoor scritta in PowerShell e battezzata dagli analisti POWERSHOWER. Questa in primo momento si procura informazioni di sistema, poi cancella una vasta gamma di evidenze forensi e si garantisce la persistenza.

Infine è stato rilevato come nei droni distribuiti dalla cinese DJI (DaJiang Innovation Technology) vi sia una vulnerabilità che consente di prendere il controllo totale degli account utenti. In passato la compagnia è stata associata a operazioni di cyber spionaggio sponsorizzate dal Governo cinese. La società di sicurezza che ha scoperto il problema ne ha dato segnalazione, secondo i termini della responsible disclosure, nel marzo scorso; nel frattempo il bug è stato corretto e ora sono stati rilasciati alcuni dettagli in merito. Al momento non vi sono elementi che provino l’avvenuto sfruttamento della falla, che è stata valutata ad alto rischio ma con bassa probabilità di exploit.

[post_tags]