Multilingua
Black Hat 2022, Sentinel One relaziona sull’escalation di wiper
Tempo di lettura: 4 minuti. Utilizzando la timeline dell’invasione dell’Ucraina, piena di attacchi DDoS, hacktivisti e malware che cancellano i dati, i ricercatori di SentinelOne hanno esaminato l’impatto reale della guerra informatica.
Tom Hegel, ricercatore senior sulle minacce di SentinelOne, e Juan Andrés Guerrero-Saade, ricercatore principale sulle minacce di SentinelOne, hanno dato il via alla sessione di martedì del Black Hat 2022 definendo il termine guerra informatica “terribile”. Da un contesto occidentale, Guerrero-Saade ha detto che è associato a un “proprio dominio di guerra – autonomo e autosufficiente – che non è una realtà di guerra”.
Per dimostrare la realtà del conflitto in corso, Hagel e Guerrero-Saade hanno analizzato la preparazione che ha preceduto l’invasione, hanno esaminato i casi che si sono verificati nella prima settimana o nei primi mesi, hanno analizzato i wipers noti e i livelli di sofisticazione e gli obiettivi di questi attacchi, sia per scopi distruttivi che di spionaggio. Hanno osservato alcuni aspetti che dimostrano un cambiamento nel settore della sicurezza informatica in relazione a questo conflitto.
Un esempio lampante è stato l’aumento dell’uso di malware per la cancellazione dei dati, come HermeticWiper, AcidWiper, WhisperGate e CaddyWiper.
“Prima di questo, c’erano forse una dozzina di wipers utilizzati dagli Stati nazionali. I wipers non erano qualcosa che si vedeva tutti i giorni”, ha detto Guerrero-Saade durante la sessione.
Dall’inizio del 2022, SentinelOne ha osservato almeno sette ceppi di malware wiper rivolti all’Ucraina. Una domanda importante affrontata durante la sessione è stata: Perché ci sono così tanti wipers? I ricercatori hanno affermato di ritenere che ciò rifletta più che altro un’osservazione distorta e una mancanza di telemetria.
“Quello che vedete è l’attività che siamo destinati a vedere. Il motivo per cui i wipers non erano molto popolari tra gli Stati nazionali è che si doveva decidere di perdere l’accesso, che si sarebbe potuto avere per due anni, per fare una dichiarazione politica”, ha detto Guerrero-Saade durante la sessione.
Guerrero-Saade ha dichiarato a SearchSecurity che, mentre la maggior parte degli attacchi sono stati wipers e DoS, la scoperta di un nuovo malware per sistemi di controllo industriale (ICS) chiamato Incontroller è stata allarmante.
“È stato un lavoro professionale da parte di un appaltatore esperto per creare un nuovo malware [ICS], ed è fantastico che l’abbiano scoperto prima che venisse distribuito, ma non abbiamo idea di dove avessero intenzione di usarlo”, ha detto.
Livelli diversi di preparazione
I ricercatori hanno anche sollevato la questione se gli usi siano stati casuali o tattici. Secondo Guerrero-Sade, credere che i russi siano incredibilmente ben organizzati e che distribuiscano il loro malware per la cancellazione dei dati in modo coordinato con gli attacchi cinetici, ad esempio, significa dare loro troppo credito.
I primi dati di SentinelOne provengono da ESET e risalgono all’ottobre 2021, il che dimostra il livello di preparazione. Secondo i ricercatori, alcuni strumenti suggeriscono che alcuni di essi erano già in circolazione, mentre altri sono stati messi insieme per cercare di sostenere lo sforzo bellico.
Esaminando il lato Linux degli attacchi, hanno osservato una discreta quantità di offuscamento. Gli attacchi non si limitavano a cancellare le directory e i dischi, ma anche a svuotare la memoria.
Tuttavia, dopo la deobfuscazione, hanno scoperto che la logica principale era semplice.
“Potete lamentarvi quanto volete di Windows, ma questo è uno script di 200 righe che può semplicemente rompere un sistema Linux”, ha detto Guerrero-Saade.
Dal loro punto di vista, dal lato di Linux, Hegel ha detto che sembra che il malware e gli strumenti siano stati assemblati insieme. Guerrero-Saade ha anche avanzato la possibilità che si tratti di una dichiarazione di quanto sia scadente la sicurezza di Linux e che non sia stata colta prima.
Realtà contro aspettative
Una delle preoccupazioni della comunità infosec che deriva dalla guerra è la possibilità di attacchi spillover, simili agli effetti di NotPetya, una serie di attacchi malware che ha colpito l’Ucraina nel 2017.
Per diffondere HermeticWiper, è stato impiegato un componente wormable che ESET ha battezzato HermeticWizard. Guerrero-Saade ha sottolineato l’importanza di non fare inutili correlazioni tra HermeticWizard e NotPetya.
“Ci aspettiamo di vedere la stessa cosa, questi wipers che si diffonderanno dappertutto, ma non abbiamo visto ciò che chiamerei ‘moderazione’, ma una sorta di decisione operativa di non lasciare che le cose si diffondano come fiori selvatici”, ha detto Guerrero-Saade durante la sessione. “Invece, hanno usato questi accessi in modi più contenuti”.
Anche se la seconda volta non ha avuto successo, i ricercatori hanno trovato particolarmente interessante il ritorno di Industroyer, chiamato Industroyer2 da ESET. Il malware ha messo fuori uso la rete elettrica dell’Ucraina nel 2016.
Un’altra realtà è stata la rapidità con cui si sono verificati nuovi sviluppi. Ogni settimana i ricercatori hanno osservato nuovi obiettivi e nuove minacce informatiche. Tenere traccia di queste minacce e della realtà di ciò che stava accadendo sul campo si è rivelato difficile. Ad esempio, chi stava dicendo la verità? Questo è diventato sempre più difficile dopo l’invasione, con hacktivisti come Conti, che inizialmente hanno sostenuto pubblicamente la Russia.
Guerrero-Saade ha affermato che si tratta di un interessante cambiamento rispetto a ciò che considerano la norma nel panorama delle minacce.
Hegel ha dichiarato a SearchSecurity che, se da un lato molti attacchi informatici russi contro l’Ucraina hanno avuto successo, dall’altro ci sono stati anche molti errori. Un esempio è stato PartyTicket, che non ha funzionato come previsto per il ransomware.
“Stavano impazzendo nel tentativo di entrare nelle organizzazioni ucraine di media e telecomunicazioni, colpendole con tentativi di phishing di massa. Ma si trattava di un approccio “spray-and-pray” e mal fatto”, ha detto Hegel.
Durante la sessione, i ricercatori hanno applaudito il CERT-UA ucraino per aver fornito avvisi aggiornati, che secondo loro hanno fatto una grande differenza nella percezione globale di ciò che stava accadendo. Inoltre, ha permesso ai ricercatori di minacce di immergersi ed esaminare.
“Molte persone non ne parlano, ma l’intero settore si è affidato a questi avvisi per avere una visione tempestiva delle attività”, ha detto Guerrero-Saade durante la sessione.
Per il futuro, Hegel ha detto che ci sono molte incognite. Ha anche parlato della possibilità di un aumento dell’attività in inverno.
Un’altra possibilità che Guerrero-Saade ha illustrato a SearchSecurity è che la Russia possa attaccare le nazioni dell’Europa occidentale che hanno sostenuto l’Ucraina e si sono allontanate dalla Russia come principale fornitore di petrolio e gas.
Multilingua
Lazarus perfeziona gli attacchi da job recruitment
Tempo di lettura: 2 minuti. Avast rivela la tattica nota di Lazarus che utilizza offerte di lavoro fasulle per distribuire malware avanzato e exploit zero-day
In una recente scoperta, Avast ha identificato una complessa campagna di cyber attacchi mirata di Lazarus che sfrutta offerte di job recruitment fittizie per colpire individui specifici, prevalentemente nell’area asiatica. L’attacco ha utilizzato una catena sofisticata che culmina con il deploy di un rootkit “FudModule 2.0” e un exploit zero-day.
Analisi dell’attacco
Il gruppo di attacco, identificato con il nome di Lazarus, ha perfezionato le sue tecniche sfruttando vulnerabilità nei driver e tecnologie di rootkit per nascondere efficacemente le proprie operazioni e mantenere la persistenza sui dispositivi infetti. L’exploit zero-day impiegato, noto come CVE-2024-21338, mirava a un driver di Windows predefinito, appid.sys, sfruttando una vulnerabilità critica per ottenere privilegi elevati nel sistema.
Tecnica di ingresso e propagazione
L’attacco inizia con offerte di lavoro ingannevoli inviate alle vittime, utilizzando tecniche di ingegneria sociale per stabilire un rapporto e guadagnare la fiducia. Questo spesso avviene attraverso piattaforme di comunicazione come LinkedIn, WhatsApp o email. Una volta stabilito il contatto, gli attaccanti inducono le vittime a scaricare e montare un file ISO che apparentemente contiene strumenti legittimi per l’intervista, ma in realtà è infetto.
Strumenti e metodologie di Attacco
Il file ISO trasporta un eseguibile mascherato e un DLL malevolo, che utilizza tecniche di sideloading per bypassare i controlli di sicurezza. Il malware si inietta in processi legittimi per evitare rilevamenti, utilizzando tecniche di esecuzione fileless e crittografia per nascondere ulteriormente le sue tracce.
Implicazioni e prevenzione
Questo caso evidenzia l’avanzata capacità degli attaccanti di sfruttare sia le vulnerabilità tecniche che quelle umane. Gli esperti di sicurezza consigliano di verificare sempre l’origine delle comunicazioni relative a offerte di lavoro e di essere particolarmente cauti nel scaricare file da fonti non verificate. Inoltre, l’aggiornamento costante dei sistemi e l’uso di soluzioni di sicurezza affidabili possono aiutare a mitigare il rischio di tali attacchi.
L’attacco svelato da Avast mette in luce la crescente sofisticazione dei gruppi cybercriminali che non solo utilizzano strumenti tecnologicamente avanzati, ma sfruttano anche le interazioni umane per infiltrarsi nelle reti aziendali. La continua evoluzione delle tattiche di attacco richiede un impegno costante nell’educazione alla sicurezza e nelle strategie di difesa informatica.
Multilingua
Aggiornamento Galaxy A55 Migliora la Connettività 4G TDD in Europa
Tempo di lettura: 2 minuti. Scopri l’ultimo aggiornamento per il Samsung Galaxy A55 in Europa, che migliora la connettività 4G TDD
Samsung ha recentemente rilasciato un aggiornamento software per il Galaxy A55 in Europa, migliorando specificamente il supporto per la rete 4G Time Division Duplexing (TDD). Questo aggiornamento segue una serie di miglioramenti simili applicati ad altri dispositivi della gamma Galaxy, mirando a ottimizzare l’esperienza di connettività mobile degli utenti.
Dettagli dell’aggiornamento
L’aggiornamento, identificato con il numero di firmware A556BXXU1AXC4, è stato distribuito per la variante internazionale del Galaxy A55 con numero di modello SM-A556B. La nota di rilascio specifica un aggiornamento nel supporto delle bande LTE TDD regionali, sebbene non siano stati forniti dettagli specifici su come ciò influenzerà direttamente gli utenti.
Considerazioni specifiche per il Mercato
È importante notare che i modelli acquistati in Germania non potranno ricevere segnali nelle bande LTE TDD nei seguenti paesi: Belgio, Danimarca, Germania, Francia, Lussemburgo, Paesi Bassi, Austria, Polonia, Svizzera e Repubblica Ceca. Questa limitazione sottolinea l’importanza di considerare le specifiche regionali quando si utilizzano dispositivi mobili in diverse aree geografiche.
Procedura per l’Aggiornamento
Gli utenti del Galaxy A55 in Europa riceveranno automaticamente una notifica dell’aggiornamento. Per chi non avesse ancora ricevuto la notifica, è possibile verificare manualmente la disponibilità dell’aggiornamento accedendo a:
Impostazioni > Aggiornamento software > Scarica e installa.
Con l’introduzione di questo aggiornamento, Samsung continua a dimostrare il suo impegno nel migliorare continuamente l’esperienza degli utenti e la funzionalità dei suoi dispositivi mobili attraverso aggiornamenti software mirati e gli utenti del Galaxy A55, scoprilo su Amazon, in Europa beneficeranno di una migliore capacità di connessione 4G, essenziale per sfruttare al meglio le reti mobili avanzate.
Multilingua
Fedora Linux 40 ufficiale: novità inclusive del Kernel Linux 6.8
Tempo di lettura: 2 minuti. Scopri Fedora Linux 40, ora disponibile con il kernel Linux 6.8 e gli ambienti desktop GNOME 46 e KDE Plasma 6
Fedora Project ha annunciato il rilascio di Fedora Linux 40, l’ultima versione del popolare sistema operativo basato su Linux, che porta con sé aggiornamenti significativi e nuove tecnologie. Questa release è alimentata dal kernel Linux 6.8 e include l’ambiente desktop GNOME 46 per la workstation e KDE Plasma 6 per la spin KDE.
Principali aggiornamenti e caratteristiche:
- Kernel Linux 6.8: Fedora 40 è basato sull’ultima serie del kernel Linux, che fornisce miglioramenti nella performance e nella sicurezza.
- Ambienti Desktop: GNOME 46 introduce nuove funzionalità e miglioramenti nell’usabilità, mentre KDE Plasma 6 ora utilizza Wayland per default, con la sessione X11 rimossa.
- Miglioramenti alla Rete: Il rilevamento dei conflitti degli indirizzi IPv4 è ora abilitato di default. Il NetworkManager assegna MAC address stabili in modalità predefinita per le connessioni Wi-Fi.
- Sicurezza Rafforzata: Sono state abilitate funzionalità di hardening del servizio systemd per i servizi di sistema predefiniti.
Modifiche al Gestore dei Pacchetti
Fedora 40 apporta cambiamenti significativi nella gestione dei pacchetti, come l’eliminazione degli RPM Delta e la disabilitazione del supporto in DNF / DNF5 per impostazione predefinita. Tuttavia, l’atteso gestore di pacchetti DNF5 non è incluso in questa release.
Framework Machine Learning
È ora più facile installare il framework di machine learning open-source PyTorch con il comando sudo dnf install python3-torch
, anche se attualmente supporta solo l’elaborazione su CPU.
Altre Caratteristiche Tecniche
Fedora 40 viene fornito con un completo aggiornamento del toolchain GNU, inclusi GCC 14.0, GNU Binutils 2.41, e altri. Supporta anche l’ultima release del software AMD ROCm 6.0, ottimizzata per l’IA e le prestazioni dei carichi di lavoro HPC, che ora supporta le GPU datacenter AMD Instinct MI300A e MI300X.
Fedora Spins e Fedora Atomic Desktops
Le spins di Fedora, come Fedora Cinnamon che ora include Cinnamon 6.0, continuano a evolversi. Fedora Silverblue e Fedora Kinoite utilizzano ora bootupd per la gestione degli aggiornamenti del bootloader, raggruppate sotto il nuovo ombrello di Fedora Atomic Desktops, che comprende anche Sway Atomic e Budgie Atomic.
Fedora Linux 40 segna un importante passo avanti nell’evoluzione di Fedora come una delle distribuzioni Linux più all’avanguardia, mantenendo il suo impegno verso l’innovazione e la sicurezza. Disponibile per l’installazione su piattaforme amd64 e AArch64, questa release è ideale per nuove installazioni o per l’aggiornamento da Fedora 39, scaricala qui.
- Notizie2 settimane fa
Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari
- Notizie2 settimane fa
USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari
- Notizie2 settimane fa
Kapeka: nuova backdoor di Sandworm per l’Est Europa
- Cyber Security2 settimane fa
Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media
- L'Altra Bolla2 settimane fa
Truth Social di Trump lancia una Piattaforma di Streaming TV Live
- Editoriali1 settimana fa
Università, Israele e licenziamenti BigTech
- Robotica1 settimana fa
Atlas di Boston Dynamics non è morto
- L'Altra Bolla2 settimane fa
TikTok Notes: novità sulla prossima App concorrente di Instagram