Cyber Security
Sandworm è coinvolto nell’attacco a impianto Idrico del Texas
Tempo di lettura: 2 minuti. Sandworm della Russia, noto come APT44, è stato collegato a un attacco cibernetico contro un impianto idrico in Texas
Un recente attacco cybernetico a un impianto idrico di Muleshoe, Texas, è stato collegato a Sandworm, un gruppo di minaccia persistente avanzato (APT) con legami con il governo russo. Questo gruppo è noto per le sue campagne di cyber-attacco “disruptive e distruttive” mirate principalmente contro l’Ucraina, ma che hanno anche colpito altri obiettivi globali.
Dettagli dell’Attacco
L’incidente all’impianto idrico texano è stato esposto tramite un video pubblicato su un account Telegram associato a CyberArmyofRussia_Reborn, che mostrava gli hacker manipolare le impostazioni dell’interfaccia uomo-macchina (HMI) dell’impianto. Anche se l’attacco ha causato il trabocco di un serbatoio, non ha interrotto la distribuzione dell’acqua. Nonostante l’attacco non abbia avuto gravi conseguenze, la semplice penetrazione in un impianto critico solleva preoccupazioni significative per la sicurezza.
Contesto e implicazioni
Sandworm, recentemente denominato APT44, opera sotto la direzione principale dello stato maggiore delle forze armate russe (GRU) ed è attivamente coinvolto in operazioni di spionaggio, attacco e influenza. Il gruppo ha eseguito attacchi significativi, inclusi quelli contro la rete elettrica ucraina e i dispositivi Android utilizzati dal personale militare ucraino.
L’attacco al Texas dimostra che Sandworm ha esteso il suo raggio d’azione ben oltre l’Ucraina, mirando ora anche alle infrastrutture critiche statunitensi. Questo fa parte di un trend più ampio di gruppi APT supportati da nazioni-stato, come Cina e Iran, che prendono di mira le infrastrutture critiche degli Stati Uniti.
Risposta governativa
L’aumento degli attacchi contro le infrastrutture critiche ha spinto l’EPA (Environmental Protection Agency) degli Stati Uniti a formare una task force dedicata al rafforzamento delle misure di sicurezza attraverso il settore idrico. La crescente minaccia da parte di attori statali avversari ha reso la protezione delle infrastrutture critiche una priorità di sicurezza nazionale.
L’espansione delle operazioni di Sandworm a obiettivi globali sottolinea la continua e grave minaccia che questi gruppi APT rappresentano per la sicurezza globale. Mentre la guerra in Ucraina rimane un focus primario, è chiaro che l’influenza di APT44 e la sua disponibilità a condurre operazioni che avanzano gli obiettivi strategici del Cremlino continueranno a modellare il panorama delle minacce globali.
Cyber Security
Cuttlefish: nuova minaccia malware per l’hardware di rete
Tempo di lettura: 2 minuti. Cuttlefish, un malware che colpisce i router SOHO, ruba dati e manipola il traffico di rete, con legami con attività cinesi.
Cuttlefish è un malware recentemente identificato dai Black Lotus Labs di Lumen Technologies, che colpisce principalmente i router SOHO (Small Office/Home Office) di livello enterprise. Questo malware modulare è progettato per intercettare dati sensibili e manipolare il traffico di rete.
Funzionalità del malware
Il principale obiettivo di Cuttlefish è rubare credenziali autenticate attraverso le richieste web che transitano tramite il router. Una funzione secondaria permette al malware di dirottare sia il traffico DNS che HTTP, mirando a connessioni verso spazi IP privati. Cuttlefish è in grado di interagire con altri dispositivi sulla rete locale (LAN) e trasferire o introdurre nuovi agenti.
Connessioni e metodologie
Analizzando le somiglianze nel codice e i percorsi di costruzione incorporati, è stata rilevata una sovrapposizione con un cluster di attività precedentemente segnalato chiamato HiatusRat, che mostra interessi attribuibili alla Repubblica Popolare Cinese. Sebbene ci sia una sovrapposizione di codice tra Cuttlefish e HiatusRat, non sono stati osservati vittime comuni.
Campionamento e analisi tecnica
Cuttlefish utilizza un approccio zero-click per catturare dati da utenti e dispositivi dietro il perimetro di rete bersaglio. Il malware utilizza un packet sniffer progettato per acquisire materiale di autenticazione, soprattutto da servizi basati su cloud. Per esfiltrare i dati, gli attaccanti creano un tunnel proxy o VPN attraverso un router compromesso, utilizzando credenziali rubate per accedere a risorse mirate.
Vittime e distribuzione
Il pattern di infezione è stato unico, con il 99% delle infezioni verificatesi in Turchia, principalmente attraverso due fornitori di telecomunicazioni. Altre vittime non turche includono indirizzi IP di clienti probabilmente associati a fornitori globali di telefonia satellitare e un possibile data center con sede negli Stati Uniti.
Cyber Security
CISA rilascia avvisi per tre ICS e una vulnerabilità per Windows Smart Screen
Tempo di lettura: 2 minuti. Cisa rilascia 3 avvisi ICS ed aggiunge una vulnerabilità al suo catalogo di Microsoft Smart Screen confermando l’attenzione alla cybersecurity
CISA (Cybersecurity and Infrastructure Security Agency) ha annunciato importanti aggiornamenti sulla sicurezza per i sistemi di controllo industriale (ICS) e ha aggiunto una nuova vulnerabilità al suo catalogo di vulnerabilità sfruttate conosciute. Ecco una sintesi dettagliata delle recenti pubblicazioni e delle loro implicazioni.
Aggiornamenti su tre avvisi ICS
Il 30 aprile 2024, CISA ha rilasciato tre avvisi per sistemi di controllo industriale che affrontano questioni di sicurezza, vulnerabilità ed exploit attuali. I dettagli specifici di questi avvisi includono:
- ICSA-24-121-01 Delta Electronics CNCSoft-G2 DOPSoft – Questo avviso riguarda una specifica vulnerabilità nel software CNCSoft-G2 DOPSoft di Delta Electronics, che potrebbe essere sfruttata per compromettere i sistemi.
- ICSA-24-016-01 SEW-EURODRIVE MOVITOOLS MotionStudio (Update A) – Un aggiornamento sulla sicurezza del software MOVITOOLS MotionStudio di SEW-EURODRIVE, con dettagli su mitigazioni e correzioni per vulnerabilità note.
- ICSA-24-109-01 Unitronics Vision Legacy Series (Update A) – Fornisce informazioni sulla sicurezza per la serie legacy Vision di Unitronics, evidenziando gli aggiornamenti necessari per affrontare le minacce attuali.
CISA incoraggia gli utenti e gli amministratori a esaminare attentamente questi avvisi per dettagli tecnici e misure di mitigazione.
Nuova vulnerabilità nel catalogo delle vulnerabilità sfruttate
In aggiunta agli avvisi ICS, CISA ha inserito una nuova vulnerabilità nel suo Catalogo delle Vulnerabilità Sfruttate Conosciute:
- CVE-2024-29988 – Una vulnerabilità nel Microsoft SmartScreen che permette di bypassare le funzioni di sicurezza. Questa vulnerabilità è particolarmente critica poiché è stata attivamente sfruttata, rappresentando un rischio significativo per l’impresa federale.
Direttiva operativa vincolante (BOD) 22-01
La BOD 22-01 stabilisce il Catalogo delle Vulnerabilità Sfruttate Conosciute come un elenco dinamico di vulnerabilità comuni (CVE) che presentano rischi significativi per l’impresa federale. Questa direttiva richiede alle agenzie del ramo esecutivo civile federale (FCEB) di rimediare alle vulnerabilità identificate entro le date stabilite per proteggere le reti FCEB da minacce attive.
Anche se la BOD 22-01 si applica solo alle agenzie FCEB, CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici dando priorità alla tempestiva rimediazione delle vulnerabilità elencate nel catalogo, come parte della loro pratica di gestione delle vulnerabilità.
Questi aggiornamenti rafforzano l’importanza della vigilanza continua e dell’adozione di pratiche di sicurezza informatica robuste per proteggere infrastrutture critiche e dati sensibili contro le minacce in evoluzione.
Cyber Security
Malware Android “Wpeeper” si nasconde dietro siti WordPress compromessi
Tempo di lettura: 2 minuti. Scopri Wpeeper, un nuovo malware per Android che sfrutta siti WordPress compromessi per nascondere i suoi server C2
Un nuovo malware per Android chiamato “Wpeeper” è stato scoperto, notevole per la sua capacità di utilizzare siti WordPress compromessi come relè per i suoi veri server di comando e controllo (C2). Questo metodo serve come meccanismo di evasione per mascherare le sue vere attività.
Modalità di azione
Wpeeper è stato identificato per la prima volta il 18 aprile 2024 dal team XLab di QAX, durante l’analisi di un file ELF sconosciuto incorporato in file APK (Android package files), che al momento della scoperta non aveva rilevamenti su VirusTotal. L’attività del malware è cessata bruscamente il 22 aprile, presumibilmente come decisione strategica per mantenere un basso profilo ed evitare la rilevazione da parte di professionisti della sicurezza e sistemi automatizzati.
Struttura di comunicazione del C2
Wpeeper struttura la sua comunicazione C2 per sfruttare i siti WordPress compromessi come punti di relè intermedi, oscurando la posizione e l’identità dei suoi veri server C2. I comandi inviati dal C2 ai bot sono inoltrati tramite questi siti, e sono inoltre criptati AES e firmati con una firma a curva ellittica per impedire l’acquisizione da parte di terzi non autorizzati.
Capacità del malware
Le principali funzionalità di Wpeeper includono il furto di dati, facilitato da un ampio set di comandi con 13 funzioni distinte, come il recupero di informazioni dettagliate sull’apparecchio infetto, l’elenco delle applicazioni installate, l’aggiornamento degli indirizzi del server C2, e la capacità di scaricare ed eseguire file arbitrari.
Precauzioni raccomandate
Per evitare rischi come Wpeeper, si raccomanda di installare applicazioni solo dall’app store ufficiale di Android, Google Play, e di assicurarsi che lo strumento anti-malware integrato del sistema operativo, Play Protect, sia attivo sul dispositivo.
L’emergere di Wpeeper sottolinea l’importanza di misure di sicurezza robuste e la vigilanza continua, soprattutto considerando come gli attori di minacce continuano a trovare nuovi modi per sfruttare infrastrutture e tecnologie legittime per condurre attività maligne.
- Editoriali2 settimane fa
Università, Israele e licenziamenti BigTech
- Robotica2 settimane fa
Atlas di Boston Dynamics non è morto
- Editoriali2 settimane fa
MITRE vittima di zero day Ivanti: anche i migliori le prendono
- Inchieste1 settimana fa
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
- Inchieste1 settimana fa
Managed Service Providers in Italia: numeri di un mercato in crescita
- Inchieste1 settimana fa
Cloud Italiano qual è il Trend del 2024? Aziende e servizi disponibili
- Inchieste1 settimana fa
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
- Economia2 settimane fa
Apple rimuove WhatsApp e Threads dall’App Store in Cina