Editoriali
Guerra Cibernetica: gli “attacchi” Russi che smentiscono ancora la stampa italiana
Come per molte notizie del conflitto tra Ucraina e Russia, in questi mesi c’è stata una corsa alla rappresentazione distorta e propagandistica anche della guerra cibernetica come già segnalato in precedenza. Tutti in favore di Anonymous e del finto partigianesimo delle sue azioni, ma poche analisi concrete ed obiettive forse perchè il sostenere l’efficacia ed il rischio elevato degli attacchi sovietici avrebbe messo molti giornalisti nella lista dei filoputin.
Noi che non siamo filo, ma siamo giornalisti, raccontiamo quello che vediamo e possiamo anche sbagliare.
Dopo le diverse testimonianze internazionali che hanno dato riscontro alle analisi di Matrice Digitale, si riporta sguardo più profondo ai gruppi di hacking e malware che attaccano l’Ucraina secondo quanto dichiarato dal principale team di risposta agli incidenti di cybersicurezza del Paese attualmente in guerra, che ha rilasciato una lista dei cinque gruppi più persistenti e delle famiglie di malware che attaccano le infrastrutture critiche dall’inizio del contenzioso bellico.
Nulla da togliere ad Anonymous, che ha rubato diversi TB di dati ed ha anche manipolato qualche palinsesto tv, ma il solo enfatizzare queste azioni dopo anni di esperienze avute con i militari russi, rende la dimensione dell’incapacità o addirittura della malafede di una narrazione distorta ed ideologicamente pilotata.
Secondo il Computer Emergency Response Team dell’Ucraina (CERT-UA), il paese ha registrato 802 attacchi informatici da quando la Russia ha invaso il paese all’inizio di quest’anno.
Questo già basta per comprendere quanto l’informazione italiana sia stata drogata da pseudo partigiani dell’informazione e timorosi, se non strumentalmente imprecisi, giornalisti che o non sapevano realmente cosa stava accadendo o dovevano portare avanti la stessa narrazione politica dell’Occidente forte.
Questo rispetto ai soli 362 attacchi documentati durante lo stesso periodo dello scorso anno, ha detto CERT-UA. Ecco i gruppi e il malware dietro alcuni dei maggiori attacchi:
Armageddon/Garmaredon
Un attore di minacce noto per aver preso di mira l’Ucraina dal 2014 e sostenuto dal Servizio di sicurezza federale russo (FSB). Prima del 2022, il servizio di sicurezza dell’Ucraina ha attribuito circa 5.000 cyberattacchi ad Armageddon e sono stati in grado di identificare cinque membri del gruppo e rintracciare il malware sulle piattaforme di hacking russo.
Il gruppo ha usato una serie di tattiche nel corso degli anni, tra cui macro di Outlook, backdoor EvilGnome, malware piantato e vulnerabilità esposte.
Nonostante gli sforzi ucraini per contrastare il gruppo nel corso degli anni, Armageddon è rimasto aggressivo.
In aprile, CERT-UA ha attribuito ad Armageddon una serie di email di phishing che sono state inviate a organizzazioni ucraine e ad altre agenzie governative europee. Le e-mail hanno attirato i destinatari utilizzando l’oggetto “Informazioni sui criminali di guerra della Federazione Russa“, che ha fornito un file da scaricare. Quando il file veniva aperto, uno script PowerShell veniva eseguito e infettava il dispositivo.
Nel mese di marzo una mail di phishing simile è stata inviata a funzionari del governo lettone con un file contenente informazioni sulla guerra che ha permesso il download del malware. Più recentemente, il 20 aprile, il gruppo è stato collegato a nuove varianti del carico utile del malware “Backdoor.Pterodo“. Armageddon ha usato questo payload in passato, tuttavia, creando costantemente nuove varianti, sono in grado di passare rapidamente a una nuova variante dopo che la precedente viene rilevata e bloccata. Anche se le loro tattiche non sono le più complesse, la loro capacità di rimanere persistenti negli sforzi contro l’Ucraina li ha resi una minaccia notevole.
UNC1151
Secondo la ricerca pubblicata da Mandiant, UNC1151 è un gruppo di hacker allineato alla Bielorussia attivo dal 2016. Il gruppo ha precedentemente preso di mira agenzie governative e organizzazioni private in Ucraina, Lituania, Lettonia, Polonia e Germania , attaccando anche dissidenti e giornalisti bielorussi. Storicamente, UNC1151 ha rubato le credenziali delle vittime attraverso domini registrati per il furto di credenziali che spoofano siti web legittimi. UNC1151 è stato anche collegato alla campagna Ghostwriter sulla base di ricerche che suggeriscono che UNC1151 ha fornito loro supporto tecnico e risultati che mostrano somiglianze nelle loro narrazioni. A causa del fatto che il gruppo non ha mai preso di mira la Russia e sulla base delle relazioni tra Bielorussia e Russia, UNC1151 è stato legato alle operazioni russe.
Da quando la Russia ha invaso l’Ucraina, il gruppo è rimasto aggressivo attraverso una varietà di attacchi. Nel mese di gennaio il gruppo è stato collegato al defacement di più siti web del governo ucraino che mostravano un messaggio che sosteneva che i dati personali erano stati resi pubblici. Il 25 febbraio, CERT-UA ha avvertito il pubblico di campagne di spearphishing che prendevano di mira gli account e-mail e Facebook del personale militare ucraino. Il gruppo è stato in grado di ottenere l’accesso ai messaggi e sono stati in grado di utilizzare i contatti degli account per inviare altre e-mail. Il 7 marzo, CERT-UA ha scoperto che le organizzazioni statali dell’Ucraina avevano dispositivi infettati con MicroBackdoor un programma dannoso eseguito da UNC1151.
Leggi : la storia completa di UNC1151
APT28 – FANCY BEAR
APT28 (indicato anche come Fancy Bear) è sostenuto dai servizi segreti militari della Russia (GRU). Secondo la ricerca di Mandiant, il gruppo ha condotto operazioni di cyber-spionaggio che si allineano con gli interessi del governo russo dal 2007, tuttavia, i legami governativi non sono stati confermati fino a dicembre 2016 dopo un’analisi del Dipartimento di Sicurezza Interna (DHS) e dell’FBI. ATP28 è stato coinvolto in una serie di cyberattacchi in cui hanno rubato informazioni altamente sensibili tra cui: il conflitto in Siria, le relazioni NATO-Ucraina, la crisi dei rifugiati e dei migranti dell’Unione europea, lo scandalo del doping degli atleti russi alle Olimpiadi e Paralimpiadi 2016, le accuse pubbliche riguardanti l’hacking russo sponsorizzato dallo stato e le elezioni presidenziali americane 2016.
ATP28 è stato collegato al cyberattacco al fornitore di comunicazioni satellitari americano Viasat. Gli attaccanti hanno ottenuto l’accesso alla rete KA-SAT di Viasat in Ucraina il 24 febbraio, lasciando molti ucraini senza accesso a Internet. Anche se il coinvolgimento di ATP28 nell’attacco non è stato confermato, SentinelOne ha alluso al loro coinvolgimento sulla base delle somiglianze tra il malware AcidRain utilizzato nell’attacco Viasat e un malware VPNFilter utilizzato nel 2018 nella distruzione di centinaia di migliaia di router che l’FBI ha confermato. Il 6 aprile, Microsoft ha ottenuto un ordine del tribunale che concede alla società il permesso di prendere il controllo di sette domini utilizzati da APT28 per condurre i loro attacchi.
Leggi la storia completa di Fancy Bear
AgenteTesla/XLoader
Gli hacktivisti russi e gli attori delle minacce in tutto il mondo hanno usato i malware AgentTesla e XLoader per qualche tempo, secondo Check Point Research. AgentTesla è nato intorno dal 2014, secondo la società di sicurezza TitanHQ, ed è usato come un programma per rubare le password. È cresciuto in popolarità in quanto i clienti possono pagare quote di abbonamento che vanno da 15 a 69 dollari. XLoader è un altro malware che è stato ribattezzato nel 2020 dal nome precedente, Formbook. XLoader prende di mira i dispositivi Windows e Mac attraverso e-mail di phishing e può raccogliere password e screenshot, registrare le sequenze di tasti e piantare file dannosi per una tassa di 49 dollari sul dark web.
Il 9 marzo, CERT-UA ha pubblicato i risultati che mostrano un thread di e-mail maligno distribuito in massa che ha utilizzato la linea di argomento, “lettera di approvazione della sicurezza di cassa“, che è stato inviato a una varietà di organizzazioni statali ucraine. L’e-mail conteneva un allegato che scaricava ed eseguiva il malware XLoader. Una volta infettati, i dati di autenticazione del dispositivo sono stati raccolti e rimandati agli hacker. Altre campagne di phishing sono state collegate ad AgentTesla, comprese le e-mail inviate ai cittadini ucraini contenenti file con il malware IcedID che opera come un trojan bancario per rubare le credenziali.
Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel
Chi: Gli hacktivisti russi e le spie informatiche usano GrimPlant e GraphSteel che funzionano come downloader e dropper e rientrano nel termine ombrello “Elephant Framework“, strumenti che sono scritti nella stessa lingua e sono utilizzati per colpire le organizzazioni governative attraverso attacchi di phishing. La società di analisi delle minacce, Intezer, dettaglia questa struttura e fornisce un’analisi approfondita dei malware. GrimPlant non è eccessivamente sofisticato e garantisce agli aggressori il controllo remoto dei comandi PowerShell, mentre GraphSteel è utilizzato per esfiltrare dati sensibili.
L’11 marzo, CERT-UA ha rivelato che “entità di coordinamento” avevano ricevuto e-mail riguardanti le istruzioni per aumentare il protocollo di sicurezza. L’e-mail conteneva un link che forniva un download di “aggiornamenti critici” attraverso un file di 60MB. Dopo ulteriori indagini, hanno scoperto che il file ha indotto una catena di altri download tra cui le backdoor GrimPlant e GraphSteel. Gli hacker sono stati quindi in grado di rubare informazioni sensibili.
Il 28 marzo, CERT-UA ha rivelato un’altra campagna di phishing che ha piantato GrimPlant e GraphSteel sui dispositivi dei funzionari governativi utilizzando l’oggetto “Arretrati salariali“. Il documento allegato conteneva informazioni accurate, tuttavia, il file ha anche scaricato un programma che ha eseguito sia GrimPlant che GraphSteel. CERT-UA ha rilasciato una dichiarazione all’inizio di questo mese avvertendo il pubblico dell’ultima e-mail di phishing che ha scaricato GrimPlant e GraphSteel attraverso un allegato etichettato, “Richiesta di aiuto COVID-19-04_5_22.xls.“
Editoriali
MITRE vittima di zero day Ivanti: anche i migliori le prendono
Tempo di lettura: 2 minuti. Anche le organizzazioni ben preparate come MITRE possono essere vulnerabili a minacce cibernetiche avanzate
Nel contesto della sicurezza informatica, anche le organizzazioni più preparate possono trovarsi vulnerabili di fronte a minacce persistenti e avanzate, come dimostrato dagli attacchi recentemente subiti da MITRE. Questo caso sottolinea l’importanza di adottare un approccio informato sulle minacce per la difesa contro gli attacchi cyber sempre più sofisticati.
Cos’è MITRE?
MITRE è una corporazione senza scopo di lucro americana con sede principale a Bedford, Massachusetts, e una secondaria a McLean, Virginia. Fondata nel 1958, l’organizzazione opera centri federali di ricerca e sviluppo (FFRDCs) per conto del governo degli Stati Uniti. MITRE è dedicata all’interesse pubblico e lavora su una vasta gamma di questioni di sicurezza nazionale, aviazione, sanità, cybersecurity e innovazione del governo.
La missione principale di MITRE è quella di risolvere problemi complessi per un mondo più sicuro, fornendo ricerca, sviluppo e consulenza strategica ai vari enti governativi per aiutarli a prendere decisioni informate e implementare soluzioni tecnologiche avanzate. Uno degli aspetti notevoli del lavoro di MITRE è il suo impegno nella sicurezza informatica, attraverso lo sviluppo di framework e strumenti come il Common Vulnerabilities and Exposures (CVE) e l’ATT&CK framework, che sono largamente utilizzati a livello internazionale per la gestione delle minacce e la protezione delle infrastrutture critiche. Per ulteriori informazioni, puoi visitare il sito ufficiale.
Dettagli dell’attacco subito da MITRE
MITRE, un’organizzazione che si impegna a mantenere elevati standard di sicurezza cibernetica, ha recentemente rivelato di essere stata vittima di un attacco informatico significativo. Nonostante la solidità delle sue difese, MITRE ha scoperto vulnerabilità critiche che sono state sfruttate dagli attaccanti, segnalando un tema di sicurezza concentrato sulla compromissione di dispositivi di protezione perimetrale.
L’incidente e le sue conseguenze
L’attacco ha avuto inizio con un’intensa attività di ricognizione da parte degli attaccanti nei primi mesi del 2024, culminata nell’uso di due vulnerabilità zero-day nel VPN di Ivanti Connect Secure, bypassando l’autenticazione multifattore tramite session hijacking. Questo ha permesso agli attaccanti di muoversi lateralmente e infiltrarsi profondamente nell’infrastruttura VMware di MITRE, utilizzando account amministrativi compromessi e un mix di backdoor sofisticate e web shell per mantenere la persistenza e raccogliere credenziali.
Risposta di MITRE all’incidente
La risposta all’incidente ha incluso l’isolamento dei sistemi colpiti, la revisione completa della rete per impedire ulteriori diffusione dell’attacco, e l’introduzione di nuove suite di sensori per monitorare e analizzare i sistemi compromessi. Inoltre, l’organizzazione ha avviato una serie di analisi forensi per determinare l’entità del compromesso e le tecniche utilizzate dagli avversari.
Lezioni apprese e miglioramenti futuri
Questo incidente ha rafforzato per MITRE l’importanza di comprendere i comportamenti degli hacker come mezzo per sconfiggerli, spingendo l’organizzazione a creare tassonomie comportamentali che catalogano le TTP (tattiche, tecniche e procedure) degli avversari, che hanno portato alla creazione di MITRE ATT&CK®. Questo evento ha anche stimolato l’adozione del concetto di difesa informata dalle minacce, culminando nella creazione del Center for Threat-Informed Defense. L’incidente di sicurezza subito serve da monito per tutte le organizzazioni sulla necessità di mantenere sistemi di difesa aggiornati e proattivi, utilizzando le risorse come il MITRE ATT&CK, costantemente monitorato anche da CISA i cui bollettini sono riportati puntualmente da Matrice Digitale, per rimanere informati sulle ultime strategie degli avversari e su come contrastarle efficacemente.
Editoriali
Università, Israele e licenziamenti BigTech
Tempo di lettura: < 1 minuto. Una riflessione sull’eventualità di sospendere gli accordi nelle università italiane con progetti di ricerca israeliani
A distanza di un mese, l’Italia scopre il progetto Nimbus, di cui Matrice Digitale ne parla da più di un anno, dove Google fornisce un cloud ad Israele per il riconoscimento facciale di tutta la striscia di Gaza.
Essendo #Google una multinazionale, come tante altre #bigtech, si vanta di avere dipendenti maschi, femmine, gender fluid, cristiani, buddisti e pure musulmani.
Poi però licenzia i musulmani ed i bianchi pacifisti perchè partecipano a manifestazioni contro i progetti militari dell’azienda.
Vi sorprenderò: è giusto che lo faccia perchè sono interessi privati e se uno vuole vendere armi, anche quelle non convenzionali, può farlo.
Qui però entriamo nel merito delle Università che protestano per non sviluppare progetti di ricerca militari con l’una e l’altra nazione: questo dovrebbe sollecitare i rettorati ad aprire una riflessione sui progetti militari e l’art. 11 della ns Costituzione che tanto ripudia la guerra.
Quindi se sospendiamo i progetti militari dalle università, si risolve il problema?
NO, e sapete perchè?
E la cosa vera l’ha detta Bersani in questi giorni ad Otto e Mezzo: esistono tanti progetti accademici di secondo livello che propongono buoni propositi, ma in realtà chi li gestisce ha già presente il fine e l’impiego militare.
Editoriali
Apple vuole fregarti con lo spot dei 128GB di spazio iPhone: aspetta il 16
Tempo di lettura: 3 minuti. Scopri se 128GB di spazio su iPhone sono sufficienti per le tue esigenze e considera le alternative di iCloud per una gestione ottimale dell’archiviazione.
L’iPhone 15 promette “molto spazio per molte foto”, come evidenziato nell’ultimo spot di Apple. Tuttavia, la sufficienza dello spazio di archiviazione dipende dall’utilizzo specifico che ciascuno fa del proprio iPhone e dall’opzione di memoria scelta. La capacità di archiviazione base dell’iPhone 15 è di 128GB, un notevole aumento rispetto ai 64GB degli anni precedenti, riflettendo l’esigenza crescente di più spazio dovuta all’ampliamento delle abitudini digitali.
Fotografia e video in Alta Risoluzione
Con le capacità fotografiche dell‘iPhone 15 che includono foto da 48 megapixel e registrazione video in 4K, lo spazio richiesto per questi file ad alta risoluzione è sostanziale. Questi miglioramenti, sebbene accrescano la qualità dei contenuti catturati, consumano rapidamente la capacità di archiviazione locale, rendendo quello che una volta sembrava ampio spazio, ora insufficiente per le esigenze di molti utenti.
iCloud come soluzione?
iCloud di Apple offre una soluzione alle limitazioni di spazio dei dispositivi, con piani che vanno oltre i 5GB gratuiti – quantità decisamente insufficiente per la maggior parte degli utenti. I piani di abbonamento a pagamento di iCloud+ offrono 50GB, 200GB e 2TB di spazio cloud, arricchiti da funzionalità aggiuntive. Di recente, Apple ha introdotto opzioni per 6TB e 12TB di spazio, pensate per utenti con esigenze di archiviazione estese, sebbene queste opzioni comportino costi significativi e la dipendenza da una connessione internet per accedere ai file e ad un aumento di prezzi con contratti unilaterali.
iPhone storage vs iCloud
Mentre i modelli standard di iPhone 15 e iPhone 15 Pro partono da 128GB di spazio di archiviazione, Apple offre opzioni di upgrade a 256GB e 512GB, con un’ulteriore opzione da 1TB per l’iPhone 15 Pro, verificare su Amazon i prezzi e le diverse caratteristiche. Optare per un modello con capacità inferiore e integrarlo con spazio iCloud aggiuntivo potrebbe rivelarsi una scelta più economica e pratica, considerando il costo e la durata potenziale del dispositivo rispetto all’investimento in un iPhone da 1TB.
Il futuro dello spazio di Archiviazione su iPhone
Data l’attuale traiettoria, sembra ragionevole che Apple aumenti la capacità di base di tutti i suoi modelli di iPhone a 256GB nelle generazioni future, e si auspica anche una revisione dell’aliquota gratuita di 5GB di iCloud, per riflettere meglio le realtà del consumo digitale moderno.
Chi vi scrive non casca nella fregatura salvo rottura
Apple invita gli utenti a fare l’upgrade di cellulare un motivo chiaro: cambiarlo e fare cassa. Il messaggio è rivolto agli utenti di iPhone 12 e 13 con le versioni base da 128GB. Chi vi scrive ha un iPhone 12 Pro Max che ha cambiato dopo un 7 plus da pochi GB. L’iPhone non si cambia ogni anno, ma si cambia quando arriva la tecnologia di discontinuità. Nel caso del 7 plus e della versione 12, oltre allo spazio, ad una durata sempre inferiore della batteria, il motivo che mi ha portato al cambio di dispositivo è stato il 5G che ha modificato i tempi di consultazione del Web. Anche la fotocamera è stata gradita al passaggio, ma, dalla versione 12 in poi fino alla 15, c’è poco da aggiungere se non appunto questioni di spazio, qualche avanzamento tecnologico nella fotografia e magari un 5g più veloce per via dei modem nuovi.
Se Apple fa questa proposta ansiolitica, mettendo in mezzo il fatto che possiate perdere la memoria della vostra defunta madre, è perchè le vendite vanno molto male ed il mondo sta sfornando cellulari nettamente superiori con l’Intelligenza Artificiale integrata dove Apple sta scopiazzando per il prossimo modello perchè rimasta indietro.
Sappiate che potete sempre trasferire le foto di mammà sul vostro PC e poi valutare se spostarle nel cloud Apple dove comunque potreste essere costretti nel fare l’upgrade del cloud se ovviamente vorrete fare il backup del dispositivo online. Se avete un iPhone 12 o anche un 14, attendete il primo iPhone AI, il iPhone 16, che arriverà verso settembre. Varrà ancor di più la pena di spostarci anche i propri ricordi.
- Inchieste2 settimane fa
Banca Sella: il problema che i detrattori del Piracy Shield non dicono
- Notizie2 settimane fa
LightSpy: APT41 minaccia Utenti iPhone in Asia
- Notizie2 settimane fa
Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari
- Notizie2 settimane fa
USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari
- Cyber Security2 settimane fa
Come Nominare il Responsabile per la Transizione Digitale e Costituire l’Ufficio per la Transizione Digitale
- Notizie2 settimane fa
Kapeka: nuova backdoor di Sandworm per l’Est Europa
- Cyber Security2 settimane fa
Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media
- L'Altra Bolla2 settimane fa
Truth Social di Trump lancia una Piattaforma di Streaming TV Live