La National Security Agency (NSA), in collaborazione con il Federal Bureau of Investigation (FBI) e il Dipartimento di Stato degli Stati Uniti, ha emesso un nuovo Avviso di Sicurezza Informatica (CSA) per affrontare le vulnerabilità e le minacce sfruttate dagli attori nordcoreani. Questi attori hanno utilizzato politiche deboli di Domain-based Message Authentication, Reporting and Conformance (DMARC) per facilitare attacchi di spearphishing, rappresentando una significativa minaccia per la sicurezza nazionale e globale.

Dettagli dell’avviso

L’avviso evidenzia come gli attori informatici nordcoreani, in particolare quelli associati al gruppo Kimsuky, sfruttino le debolezze di DMARC per inviare email che sembrano provenire da fonti legittime come giornalisti, accademici o esperti in affari est asiatici. Queste email mirano a raccogliere informazioni sensibili sugli eventi geopolitici e sulle strategie di politica estera che potrebbero impattare la Corea del Nord. Migliorando le configurazioni DMARC, le organizzazioni possono ridurre significativamente l’efficacia di questi tentativi di phishing.

Tattiche operative degli attori nordcoreani

Gli operatori informatici nordcoreani conducono ricerche estese per elaborare campagne di spearphishing convincenti. Creano email ben adattate ai loro obiettivi, spesso utilizzando informazioni raccolte da violazioni precedenti. L’avviso delinea specifici segnali di allarme da cercare, come email con lievi errori di ortografia nei nomi legittimi o strutture di frasi insolite che potrebbero indicare un tentativo di phishing.

Strategie di mitigazione

Per combattere queste minacce, la NSA, l’FBI e il Dipartimento di Stato raccomandano diverse misure di mitigazione. Principalmente, consigliano alle organizzazioni di rafforzare le loro politiche DMARC per prevenire che gli attori informatici falsifichino i loro domini email. Una politica DMARC robusta garantisce che le email non autenticate tramite SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail) siano segnalate o rifiutate, riducendo la possibilità di attacchi di phishing riusciti.

Implementazione e impatto globale

L’avviso funge anche da appello all’azione per le organizzazioni di tutto il mondo affinché adottino queste misure di sicurezza per proteggersi dalle attività informatiche sponsorizzate dallo stato. Seguendo le strategie di mitigazione delineate, le entità possono salvaguardare le loro comunicazioni e ridurre la probabilità di essere compromesse da sofisticate operazioni di spionaggio informatico.

L’avviso congiunto di NSA, FBI e Dipartimento di Stato sottolinea la minaccia continua rappresentata dagli attori informatici nordcoreani e la necessità globale di migliorare i protocolli di sicurezza email. Man mano che le minacce informatiche continuano a evolversi, anche le difese dei governi, delle aziende e degli individui devono potenziarsi per proteggere le informazioni sensibili e mantenere la sicurezza nazionale.

Recentemente, sono emersi gravi problemi di sicurezza che riguardano i sistemi di controllo industriale (ICS) e le infrastrutture di rete, mettendo in luce la crescente sofisticazione e pericolosità delle minacce informatiche con CISA che ha rilasciato una serie di avvisi e aggiornamenti critici per affrontare queste vulnerabilità e Aruba che ha fatto un’attività notevole per risolvere falle critiche.

CISA e FBI contro le vulnerabilità di percorso di directory

La CISA, in collaborazione con l’FBI, ha emesso un allarme “Secure by Design” per sollecitare i produttori di software a eliminare le vulnerabilità di percorso di directory, evidenziate da campagne recenti che hanno sfruttato queste debolezze per compromettere importanti settori infrastrutturali, inclusi quelli sanitari e scolastici. Questo tipo di vulnerabilità, che permette agli aggressori di accedere a file e directory al di fuori dell’area sicura prevista, è stato sfruttato in numerose occasioni per condurre attacchi significativi.

Aggiornamenti critici per ArubaOS di HPE

Parallelamente, HPE Aruba ha rilasciato aggiornamenti di sicurezza per affrontare quattro gravi vulnerabilità in ArubaOS, che potrebbero permettere l’esecuzione remota di codice (RCE).

Le vulnerabilità, che impattano Mobility Conductor (ex Mobility Master), Mobility Controller e Gateway WLAN e SD-WAN gestiti da Aruba Central, sono presenti nelle seguenti versioni software:

• ArubaOS 10.5.1.0 e versioni precedenti
• ArubaOS 10.4.1.0 e versioni precedenti
• ArubaOS 8.11.2.1 e versioni precedenti e
• ArubaOS 8.10.0.10 e versioni precedenti

Influiscono anche sulle versioni software ArubaOS e SD-WAN che hanno raggiunto lo stato di fine manutenzione:

• ArubaOS 10.3.xx
• ArubaOS 8.9.xx
• ArubaOS 8.8.xx
• ArubaOS 8.7.xx
• ArubaOS 8.6.xx
• ArubaOS 6.5.4.x
• SD-WAN 8.7.0.0-2.3.0.x e
• SD-WAN 8.6.0.4-2.2.xx

Le vulnerabilità, tutte classificate con un punteggio CVSS di 9.8, indicano un elevato rischio di sfruttamento che potrebbe compromettere seriamente i dispositivi di rete interessati.

Avvisi per i sistemi di controllo industriale

CISA ha anche rilasciato tre avvisi specifici per i sistemi di controllo industriale, enfatizzando la necessità di revisionare queste tecnologie critiche per identificare vulnerabilità e attuare le dovute mitigazioni.

• ICSA-24-123-01 CyberPower PowerPanel
• ICSA-24-123-02 Delta Electronics DIAEnergie
• ICSA-24-067-01 Chirp Systems Chirp Access (Update C)

Questi avvisi mirano a sensibilizzare su problemi di sicurezza che potrebbero non solo interrompere le operazioni industriali ma anche causare danni fisici nell’ambiente reale.

Implicazioni e raccomandazioni

Queste rivelazioni sottolineano l’importanza di un approccio alla sicurezza informatica che sia proattivo e allineato con le migliori pratiche e gli standard raccomandati. Le organizzazioni sono incoraggiate a implementare strategie di sicurezza robuste, verificare regolarmente le proprie infrastrutture e applicare gli aggiornamenti di sicurezza non appena diventano disponibili.

La giustizia ha raggiunto Onur Aksoy, CEO di un gruppo di aziende dietro a numerosi negozi online, condannandolo a sei anni e mezzo di reclusione per aver venduto dispositivi di rete Cisco contraffatti del valore di 100 milioni di dollari a organizzazioni governative, sanitarie, educative e militari in tutto il mondo.

Il quarantenne, residente in Florida, è stato arrestato a Miami il 29 giugno 2022 e imputato lo stesso giorno per vari reati, tra cui traffico di merci contraffatte e frode postale e via cavo. Nel giugno del 2023, Aksoy ha ammesso la sua colpevolezza in relazione a queste accuse, rivelando di aver gestito l’operazione illecita attraverso 19 aziende e 25 vetrine su eBay e Amazon, collettivamente note come Pro Network Entities.

Le origini del contrabbando

Le apparecchiature, importate da contraffattori di Hong Kong e della Cina, erano acquistate con uno sconto fino al 98% rispetto al prezzo di vendita suggerito da Cisco. Questi dispositivi erano dotati di etichette, adesivi, scatole, documentazione e imballaggi Cisco contraffatti, facendoli apparire ingannevolmente come nuovi, autentici e di alta qualità.

Impatto delle vendite illecite

I prodotti Cisco falsi venduti da Pro Network Entities erano spacciati per dispositivi nuovi e autentici su Amazon ed eBay a clienti negli Stati Uniti e all’estero, finendo spesso nelle reti di ospedali, scuole, agenzie governative e persino nell’esercito statunitense. Questi dispositivi, tuttavia, presentavano gravi problemi di prestazione, funzionalità e sicurezza, essendo in realtà modelli vecchi modificati per sembrare dispositivi più nuovi e costosi. Tali difetti hanno causato frequenti guasti e malfunzionamenti, danneggiando significativamente le operazioni e le reti dei clienti.

Tra il 2014 e il 2022, la Dogana e la Protezione delle Frontiere degli USA hanno intercettato 180 spedizioni di dispositivi Cisco contraffatti destinati a Pro Network Entities. Per evitare ulteriori controlli, Aksoy ricorreva a falsi alias e indirizzi di consegna, e i fornitori cinesi venivano istruiti a spedire i prodotti in pacchi più piccoli in giorni diversi.

In risposta a sette lettere di diffida inviate da Cisco tra il 2014 e il 2019, Aksoy manipolava la situazione, facendo sì che il suo avvocato presentasse documenti falsificati a Cisco. La situazione ha raggiunto il culmine nel luglio 2021, quando, a seguito di una perquisizione nel magazzino di Aksoy, sono stati sequestrati circa 1.156 dispositivi Cisco contraffatti, del valore di oltre 7 milioni di dollari.

Oltre alla pena detentiva, Aksoy è stato condannato a risarcire Cisco per 100 milioni di dollari, l’importo dei falsi, e a consentire la distruzione dei prodotti contraffatti sequestrati.