Weekly Threats: N. 34 2018

Settimana segnata da OpBlackWeek quella appena trascorsa per l’Italia. Si tratta della campagna hacktivista messa in atto da diversi rami italiani di Anonymous, i quali hanno rivendicato la responsabilità degli attacchi su diverse piattaforme social, rispettivamente contro: Università e Istituti di ricerca, organizzazioni attive nei settori del lavoro e dei sindacati, siti di organizzazioni attive nei settori della Sanità e della veterinaria, infine la violazione di portali del settore dei mass media. Nonostante i dati pubblicati non siano omogenei, tendenzialmente sono stati pubblicati gli elenchi delle tabelle dei database violati e svariati dati.

Secondo quanto dichiarato anche in un video rilasciato su Youtube, a partire dal 29 ottobre e fino al 5 novembre, ogni sera verranno rilasciate informazioni sottratte a portali appartenenti ad altri ambiti.

Tra le minacce rilevate si segnala inoltre una campagna di phishing che mima email di CISCO e distribuisce una versione malevola del tool legittimo NTR Cloud. Tra i target si segnala anche la Pubblica Amministrazione.

Derivazioni del codice Mirai sembrerebbero invece correlate a due Botnet. Nel primo caso si tratta di DemonBot botnet che si serve di una vulnerabilità di tipo RCE del modulo YARN per sfruttare server con installazioni vulnerabili di Apache Hadoop. Come molte minacce di questo genere, anche DemonBot include una parte del codice di Mirai ma le somiglianze non sono sufficienti per considerarla una variante o una fork del noto malware per IoT.

Nel secondo caso si tratta di una botnet che sottende al servizio a pagamento per attacchi DDoS chiamato 0x-booter. Si tratta di una variante di Mirai che prende il nome di Bushido.

Agli utenti viene messa a disposizione una interfaccia che li guida in ogni passaggio dell’operazione e, a seconda del tipo e del numero delle operazioni che intendono portare a segno e del supporto richiesto, il prezzo che viene loro richiesto varia dai 20 ai 150 dollari.

Recentemente è stato scoperto un nuovo ransomware distribuito as-a-Service (RaaS) identificato come FilesLocker. La minaccia prende di mira principalmente utenti di lingua cinese o inglese. Secondo quanto affermato dai suoi sviluppatori, FilesLocker potrebbe contare su diverse feature: tracking, personalizzazione, cifratura forte e cancellazione delle shadow copy.

Tra le vulnerabilità rilevate due particolarmente gravi affliggono i sistemi Linux. Nel primo caso il riferimento è al componente X.org di Linux. La falla, identificata con CVE-2018-14665, può essere sfruttata per iniettare codice in un processo X.org con privilegi elevati. Ciò consente di sovrascrivere qualsiasi tipo di file – tra cui il file shadow, consentendo quindi ad un attaccante di ottenere i privilegi di root. Nel secondo caso si tratta di una vulnerabilità di gravità elevata nel client DHCPv6, implementato dalla libreria libsystemd-network.

Una vulnerabilità di tipo passcode bypass è stata invece scoperta poche ore dopo il rilascio della nuova versione del sistema operativo di Apple – iOS 12.1. La falla consentirebbe a chiunque di vedere le informazioni private di tutti i contatti anche se il dispositivo target è bloccato e senza che vengano attivati Siri o VoiceOver, sfruttando un problema di FaceTime, relativamente alla feature pensata per rendere più semplici le videochiamate di gruppo.

Sono state inoltre da poco riscontrate due vulnerabilità nei chip per i Bluetooth solitamente utilizzati negli access point (AP) che forniscono il WiFi alle aziende.

Queste falle, ribattezzate complessivamente BLEEDINGBIT, consentirebbero ad un attaccante di prendere il controllo del dispositivo target senza alcuna autenticazione e senza compromettere la rete. Gli stessi chip sono presenti anche in apparecchi medici, serrature smart e numerosi altri device che si servono della tecnologia Bluetooth per comunicare.

Infine MapleChange, una piattaforma canadese per lo scambio di criptomoneta, ha dichiarato domenica mattina di essere caduta vittima di una compromissione che ha causato la perdita di 913 Bitcoin, circa 6 milioni di dollari, denaro che non verrà risarcito perché la piattaforma sarà chiusa. La violazione sarebbe stata perpetrata grazie allo sfruttamento di un bug di cui non si conoscono però i dettagli.

[post_tags]