Editoriali
Guerra Cibernetica: gli “attacchi” Russi che smentiscono ancora la stampa italiana
Come per molte notizie del conflitto tra Ucraina e Russia, in questi mesi c’è stata una corsa alla rappresentazione distorta e propagandistica anche della guerra cibernetica come già segnalato in precedenza. Tutti in favore di Anonymous e del finto partigianesimo delle sue azioni, ma poche analisi concrete ed obiettive forse perchè il sostenere l’efficacia ed il rischio elevato degli attacchi sovietici avrebbe messo molti giornalisti nella lista dei filoputin.
Noi che non siamo filo, ma siamo giornalisti, raccontiamo quello che vediamo e possiamo anche sbagliare.
Dopo le diverse testimonianze internazionali che hanno dato riscontro alle analisi di Matrice Digitale, si riporta sguardo più profondo ai gruppi di hacking e malware che attaccano l’Ucraina secondo quanto dichiarato dal principale team di risposta agli incidenti di cybersicurezza del Paese attualmente in guerra, che ha rilasciato una lista dei cinque gruppi più persistenti e delle famiglie di malware che attaccano le infrastrutture critiche dall’inizio del contenzioso bellico.
Nulla da togliere ad Anonymous, che ha rubato diversi TB di dati ed ha anche manipolato qualche palinsesto tv, ma il solo enfatizzare queste azioni dopo anni di esperienze avute con i militari russi, rende la dimensione dell’incapacità o addirittura della malafede di una narrazione distorta ed ideologicamente pilotata.
Secondo il Computer Emergency Response Team dell’Ucraina (CERT-UA), il paese ha registrato 802 attacchi informatici da quando la Russia ha invaso il paese all’inizio di quest’anno.
Questo già basta per comprendere quanto l’informazione italiana sia stata drogata da pseudo partigiani dell’informazione e timorosi, se non strumentalmente imprecisi, giornalisti che o non sapevano realmente cosa stava accadendo o dovevano portare avanti la stessa narrazione politica dell’Occidente forte.
Questo rispetto ai soli 362 attacchi documentati durante lo stesso periodo dello scorso anno, ha detto CERT-UA. Ecco i gruppi e il malware dietro alcuni dei maggiori attacchi:
Armageddon/Garmaredon
Un attore di minacce noto per aver preso di mira l’Ucraina dal 2014 e sostenuto dal Servizio di sicurezza federale russo (FSB). Prima del 2022, il servizio di sicurezza dell’Ucraina ha attribuito circa 5.000 cyberattacchi ad Armageddon e sono stati in grado di identificare cinque membri del gruppo e rintracciare il malware sulle piattaforme di hacking russo.
Il gruppo ha usato una serie di tattiche nel corso degli anni, tra cui macro di Outlook, backdoor EvilGnome, malware piantato e vulnerabilità esposte.
Nonostante gli sforzi ucraini per contrastare il gruppo nel corso degli anni, Armageddon è rimasto aggressivo.
In aprile, CERT-UA ha attribuito ad Armageddon una serie di email di phishing che sono state inviate a organizzazioni ucraine e ad altre agenzie governative europee. Le e-mail hanno attirato i destinatari utilizzando l’oggetto “Informazioni sui criminali di guerra della Federazione Russa“, che ha fornito un file da scaricare. Quando il file veniva aperto, uno script PowerShell veniva eseguito e infettava il dispositivo.
Nel mese di marzo una mail di phishing simile è stata inviata a funzionari del governo lettone con un file contenente informazioni sulla guerra che ha permesso il download del malware. Più recentemente, il 20 aprile, il gruppo è stato collegato a nuove varianti del carico utile del malware “Backdoor.Pterodo“. Armageddon ha usato questo payload in passato, tuttavia, creando costantemente nuove varianti, sono in grado di passare rapidamente a una nuova variante dopo che la precedente viene rilevata e bloccata. Anche se le loro tattiche non sono le più complesse, la loro capacità di rimanere persistenti negli sforzi contro l’Ucraina li ha resi una minaccia notevole.
UNC1151
Secondo la ricerca pubblicata da Mandiant, UNC1151 è un gruppo di hacker allineato alla Bielorussia attivo dal 2016. Il gruppo ha precedentemente preso di mira agenzie governative e organizzazioni private in Ucraina, Lituania, Lettonia, Polonia e Germania , attaccando anche dissidenti e giornalisti bielorussi. Storicamente, UNC1151 ha rubato le credenziali delle vittime attraverso domini registrati per il furto di credenziali che spoofano siti web legittimi. UNC1151 è stato anche collegato alla campagna Ghostwriter sulla base di ricerche che suggeriscono che UNC1151 ha fornito loro supporto tecnico e risultati che mostrano somiglianze nelle loro narrazioni. A causa del fatto che il gruppo non ha mai preso di mira la Russia e sulla base delle relazioni tra Bielorussia e Russia, UNC1151 è stato legato alle operazioni russe.
Da quando la Russia ha invaso l’Ucraina, il gruppo è rimasto aggressivo attraverso una varietà di attacchi. Nel mese di gennaio il gruppo è stato collegato al defacement di più siti web del governo ucraino che mostravano un messaggio che sosteneva che i dati personali erano stati resi pubblici. Il 25 febbraio, CERT-UA ha avvertito il pubblico di campagne di spearphishing che prendevano di mira gli account e-mail e Facebook del personale militare ucraino. Il gruppo è stato in grado di ottenere l’accesso ai messaggi e sono stati in grado di utilizzare i contatti degli account per inviare altre e-mail. Il 7 marzo, CERT-UA ha scoperto che le organizzazioni statali dell’Ucraina avevano dispositivi infettati con MicroBackdoor un programma dannoso eseguito da UNC1151.
Leggi : la storia completa di UNC1151
APT28 – FANCY BEAR
APT28 (indicato anche come Fancy Bear) è sostenuto dai servizi segreti militari della Russia (GRU). Secondo la ricerca di Mandiant, il gruppo ha condotto operazioni di cyber-spionaggio che si allineano con gli interessi del governo russo dal 2007, tuttavia, i legami governativi non sono stati confermati fino a dicembre 2016 dopo un’analisi del Dipartimento di Sicurezza Interna (DHS) e dell’FBI. ATP28 è stato coinvolto in una serie di cyberattacchi in cui hanno rubato informazioni altamente sensibili tra cui: il conflitto in Siria, le relazioni NATO-Ucraina, la crisi dei rifugiati e dei migranti dell’Unione europea, lo scandalo del doping degli atleti russi alle Olimpiadi e Paralimpiadi 2016, le accuse pubbliche riguardanti l’hacking russo sponsorizzato dallo stato e le elezioni presidenziali americane 2016.
ATP28 è stato collegato al cyberattacco al fornitore di comunicazioni satellitari americano Viasat. Gli attaccanti hanno ottenuto l’accesso alla rete KA-SAT di Viasat in Ucraina il 24 febbraio, lasciando molti ucraini senza accesso a Internet. Anche se il coinvolgimento di ATP28 nell’attacco non è stato confermato, SentinelOne ha alluso al loro coinvolgimento sulla base delle somiglianze tra il malware AcidRain utilizzato nell’attacco Viasat e un malware VPNFilter utilizzato nel 2018 nella distruzione di centinaia di migliaia di router che l’FBI ha confermato. Il 6 aprile, Microsoft ha ottenuto un ordine del tribunale che concede alla società il permesso di prendere il controllo di sette domini utilizzati da APT28 per condurre i loro attacchi.
Leggi la storia completa di Fancy Bear
AgenteTesla/XLoader
Gli hacktivisti russi e gli attori delle minacce in tutto il mondo hanno usato i malware AgentTesla e XLoader per qualche tempo, secondo Check Point Research. AgentTesla è nato intorno dal 2014, secondo la società di sicurezza TitanHQ, ed è usato come un programma per rubare le password. È cresciuto in popolarità in quanto i clienti possono pagare quote di abbonamento che vanno da 15 a 69 dollari. XLoader è un altro malware che è stato ribattezzato nel 2020 dal nome precedente, Formbook. XLoader prende di mira i dispositivi Windows e Mac attraverso e-mail di phishing e può raccogliere password e screenshot, registrare le sequenze di tasti e piantare file dannosi per una tassa di 49 dollari sul dark web.
Il 9 marzo, CERT-UA ha pubblicato i risultati che mostrano un thread di e-mail maligno distribuito in massa che ha utilizzato la linea di argomento, “lettera di approvazione della sicurezza di cassa“, che è stato inviato a una varietà di organizzazioni statali ucraine. L’e-mail conteneva un allegato che scaricava ed eseguiva il malware XLoader. Una volta infettati, i dati di autenticazione del dispositivo sono stati raccolti e rimandati agli hacker. Altre campagne di phishing sono state collegate ad AgentTesla, comprese le e-mail inviate ai cittadini ucraini contenenti file con il malware IcedID che opera come un trojan bancario per rubare le credenziali.
Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel
Chi: Gli hacktivisti russi e le spie informatiche usano GrimPlant e GraphSteel che funzionano come downloader e dropper e rientrano nel termine ombrello “Elephant Framework“, strumenti che sono scritti nella stessa lingua e sono utilizzati per colpire le organizzazioni governative attraverso attacchi di phishing. La società di analisi delle minacce, Intezer, dettaglia questa struttura e fornisce un’analisi approfondita dei malware. GrimPlant non è eccessivamente sofisticato e garantisce agli aggressori il controllo remoto dei comandi PowerShell, mentre GraphSteel è utilizzato per esfiltrare dati sensibili.
L’11 marzo, CERT-UA ha rivelato che “entità di coordinamento” avevano ricevuto e-mail riguardanti le istruzioni per aumentare il protocollo di sicurezza. L’e-mail conteneva un link che forniva un download di “aggiornamenti critici” attraverso un file di 60MB. Dopo ulteriori indagini, hanno scoperto che il file ha indotto una catena di altri download tra cui le backdoor GrimPlant e GraphSteel. Gli hacker sono stati quindi in grado di rubare informazioni sensibili.
Il 28 marzo, CERT-UA ha rivelato un’altra campagna di phishing che ha piantato GrimPlant e GraphSteel sui dispositivi dei funzionari governativi utilizzando l’oggetto “Arretrati salariali“. Il documento allegato conteneva informazioni accurate, tuttavia, il file ha anche scaricato un programma che ha eseguito sia GrimPlant che GraphSteel. CERT-UA ha rilasciato una dichiarazione all’inizio di questo mese avvertendo il pubblico dell’ultima e-mail di phishing che ha scaricato GrimPlant e GraphSteel attraverso un allegato etichettato, “Richiesta di aiuto COVID-19-04_5_22.xls.“
Editoriali
Anche su Giovanna Pedretti avevamo ragione
Tempo di lettura: 2 minuti. Procura di Lodi chiede l’archiviazione sul suicidio di Giovanna Pedretti, escludendo colpe di Lucarelli e Biagiarelli: la recensione era falsa
Recentemente, la Procura di Lodi ha avanzato una richiesta di archiviazione per il caso di Giovanna Pedretti, la ristoratrice di Sant’Angelo Lodigiano trovata morta a gennaio nelle acque del Lambro. L’indagine ha escluso qualsiasi istigazione o aiuto al suicidio da parte di terze persone.
Dettagli dell’indagine
La vicenda di Pedretti aveva suscitato grande attenzione mediatica, specialmente sui social media, dopo che era stata accusata ingiustamente di aver pubblicato una recensione falsa online. Questo episodio era seguito a una tempesta di critiche, principalmente influenzata da una serie di post di Selvaggia Lucarelli e del suo compagno, Lorenzo Biagiarelli, che avevano messo in dubbio l’autenticità della recensione. Tuttavia, le indagini hanno dimostrato che la recensione era effettivamente falsa e che nessuna azione diretta di terzi ha contribuito al tragico evento.
Esito e Reazioni
Con la richiesta di archiviazione, si chiude un capitolo doloroso, ma sorgono interrogativi sulla responsabilità dei media e delle figure pubbliche nell’amplificare situazioni che possono avere conseguenze gravi. Selvaggia Lucarelli, tramite i suoi canali social, ha espresso sollievo e ha criticato duramente la stampa per la gestione della notizia, sottolineando come la situazione abbia evidenziato una “storia squallida e meschina”.
Matrice Digitale dalla parte della verità
Matrice Digitale si è schierata senza esito a favore di Selvaggia Lucarelli e del giornalista del TG3 andato a chiedere spiegazioni sulla veridicità del post su cui si è scatenata una gogna mediatica con un richiamo ufficiale dell’azienda attraverso il Governo. La verità era chiara dall’inizio: la recensione era falsa ed era stata trasformata in una notizia solo perchè sfruttava l’immagine della comunità LGBT con un messaggio che poteva essere positivo, ma non era sicuramente una notizia. Questo caso non dovrebbe passare inosservato per “rispetto del dolore della famiglia” bensì diventare un caso di studio come tanti altri avvenuti in passato dove la notizia si è costruita per fini politici e commerciali.
Editoriali
Chip e smartphone cinesi ci avvisano del declino Occidentale
Tempo di lettura: < 1 minuto. Un declino quasi annunciato facendo un’analisi geopolitica degli ultimi eventi nel settore dei semiconduttori
Dopo mesi di sanzioni alla Russia si scopre che l’approvvigionamento di Mosca dei processori è ritornato al livello di normalità Questo vuol dire che su 140 paesi nel mondo, le sanzioni anglo-euro-nato non sono state efficaci a costringere i russi a “rubare le lavatrici per utilizzare i chip“.
La Russia, sta costruendo in casa sua i processori, ma non hanno molto successo se consideriamo il fatto che molti sono difettosi. Quindi li prende dalla Cina che attraverso Huawei è entrata silenziosamente nel Mercato Europeo con la sua ultima creatura: la Serie Pura 70 non solo è uno smartphone potente, ma allo stesso tempo è l’evoluzione in stile Apple di quella che un tempo era considerata una cinesata.
Oggi questa cinesata è prodotta al 90% in Cina con materiali cinesi e questo dovrebbe far comprendere a noi Europei che se non facciamo i bravi, saremmo costretti ad usare i chip delle friggitrici ad aria e le plastiche delle bici per produrre degli smartphone.
Chiudiamo l’analisi, che difficilmente leggerete altrove per tanti motivi, tra cui la lesa maestà. La chiusura della fabbrica di Intel in Russia coincide con risultati economici disastrosi del gigante tecnologico.
Indovinate chi sta sopperendo a questa perdita con fondi pubblici: l’Europa.
Editoriali
MITRE vittima di zero day Ivanti: anche i migliori le prendono
Tempo di lettura: 2 minuti. Anche le organizzazioni ben preparate come MITRE possono essere vulnerabili a minacce cibernetiche avanzate
Nel contesto della sicurezza informatica, anche le organizzazioni più preparate possono trovarsi vulnerabili di fronte a minacce persistenti e avanzate, come dimostrato dagli attacchi recentemente subiti da MITRE. Questo caso sottolinea l’importanza di adottare un approccio informato sulle minacce per la difesa contro gli attacchi cyber sempre più sofisticati.
Cos’è MITRE?
MITRE è una corporazione senza scopo di lucro americana con sede principale a Bedford, Massachusetts, e una secondaria a McLean, Virginia. Fondata nel 1958, l’organizzazione opera centri federali di ricerca e sviluppo (FFRDCs) per conto del governo degli Stati Uniti. MITRE è dedicata all’interesse pubblico e lavora su una vasta gamma di questioni di sicurezza nazionale, aviazione, sanità, cybersecurity e innovazione del governo.
La missione principale di MITRE è quella di risolvere problemi complessi per un mondo più sicuro, fornendo ricerca, sviluppo e consulenza strategica ai vari enti governativi per aiutarli a prendere decisioni informate e implementare soluzioni tecnologiche avanzate. Uno degli aspetti notevoli del lavoro di MITRE è il suo impegno nella sicurezza informatica, attraverso lo sviluppo di framework e strumenti come il Common Vulnerabilities and Exposures (CVE) e l’ATT&CK framework, che sono largamente utilizzati a livello internazionale per la gestione delle minacce e la protezione delle infrastrutture critiche. Per ulteriori informazioni, puoi visitare il sito ufficiale.
Dettagli dell’attacco subito da MITRE
MITRE, un’organizzazione che si impegna a mantenere elevati standard di sicurezza cibernetica, ha recentemente rivelato di essere stata vittima di un attacco informatico significativo. Nonostante la solidità delle sue difese, MITRE ha scoperto vulnerabilità critiche che sono state sfruttate dagli attaccanti, segnalando un tema di sicurezza concentrato sulla compromissione di dispositivi di protezione perimetrale.
L’incidente e le sue conseguenze
L’attacco ha avuto inizio con un’intensa attività di ricognizione da parte degli attaccanti nei primi mesi del 2024, culminata nell’uso di due vulnerabilità zero-day nel VPN di Ivanti Connect Secure, bypassando l’autenticazione multifattore tramite session hijacking. Questo ha permesso agli attaccanti di muoversi lateralmente e infiltrarsi profondamente nell’infrastruttura VMware di MITRE, utilizzando account amministrativi compromessi e un mix di backdoor sofisticate e web shell per mantenere la persistenza e raccogliere credenziali.
Risposta di MITRE all’incidente
La risposta all’incidente ha incluso l’isolamento dei sistemi colpiti, la revisione completa della rete per impedire ulteriori diffusione dell’attacco, e l’introduzione di nuove suite di sensori per monitorare e analizzare i sistemi compromessi. Inoltre, l’organizzazione ha avviato una serie di analisi forensi per determinare l’entità del compromesso e le tecniche utilizzate dagli avversari.
Lezioni apprese e miglioramenti futuri
Questo incidente ha rafforzato per MITRE l’importanza di comprendere i comportamenti degli hacker come mezzo per sconfiggerli, spingendo l’organizzazione a creare tassonomie comportamentali che catalogano le TTP (tattiche, tecniche e procedure) degli avversari, che hanno portato alla creazione di MITRE ATT&CK®. Questo evento ha anche stimolato l’adozione del concetto di difesa informata dalle minacce, culminando nella creazione del Center for Threat-Informed Defense. L’incidente di sicurezza subito serve da monito per tutte le organizzazioni sulla necessità di mantenere sistemi di difesa aggiornati e proattivi, utilizzando le risorse come il MITRE ATT&CK, costantemente monitorato anche da CISA i cui bollettini sono riportati puntualmente da Matrice Digitale, per rimanere informati sulle ultime strategie degli avversari e su come contrastarle efficacemente.
- Editoriali2 settimane fa
Chip e smartphone cinesi ci avvisano del declino Occidentale
- Inchieste2 settimane fa
Ransomware in Italia: come cambia la percezione del fenomeno nell’IT
- Economia2 settimane fa
Internet via satellite: progetto europeo IRIS² in grande difficoltà
- Editoriali1 settimana fa
Anche su Giovanna Pedretti avevamo ragione
- L'Altra Bolla1 settimana fa
Jack Dorsey getta la spugna e lascia Bluesky
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità
- Smartphone1 settimana fa
Richiesta di Class Action contro Samsung per il Galaxy S24 Ultra