Connect with us
speciale truffe online

segnalaci un sito truffa

Inchieste

Ecco come Twisted Panda ha spiato la Difesa Russa

Condividi questo contenuto

Tempo di lettura: 12 minuti. La Cina apprende in silenzio la tecnologia della Russia

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 12 minuti.

In questo rapporto, i ricercatori di CPR hanno descritto ed esposto un’operazione di spionaggio cinese denominata Twisted Panda che prende di mira gli istituti di ricerca sulla difesa in Russia e forse anche in Bielorussia. Questa campagna si basa su tecniche di social engineering e sfrutta le sanzioni imposte di recente alla Russia per fornire una backdoor non documentata chiamata SPINNER a obiettivi specifici. Lo scopo della backdoor e dell’operazione è probabilmente quello di raccogliere informazioni da obiettivi all’interno dell’industria della difesa russa ad alta tecnologia per sostenere la Cina nel suo progresso tecnologico.

Si traduce il rapporto di Check Point Research:

Nell’ambito di questa indagine, abbiamo scoperto l’ondata precedente di questa campagna, anch’essa probabilmente rivolta a entità russe o collegate alla Russia, attiva almeno dal giugno 2021. L’evoluzione degli strumenti e delle tecniche in questo periodo di tempo indica che gli attori dietro la campagna sono persistenti nel raggiungere i loro obiettivi in modo furtivo. Inoltre, la campagna Twisted Panda dimostra ancora una volta la rapidità con cui gli attori dello spionaggio cinese si adattano e si adeguano agli eventi mondiali, utilizzando le esche più rilevanti e aggiornate per massimizzare le loro possibilità di successo.

Negli ultimi due mesi abbiamo osservato diversi gruppi APT che hanno cercato di sfruttare la guerra tra Russia e Ucraina come esca per operazioni di spionaggio. Non sorprende che le stesse entità russe siano diventate un obiettivo interessante per le campagne di spear-phishing che sfruttano le sanzioni imposte alla Russia dai Paesi occidentali. Queste sanzioni hanno esercitato un’enorme pressione sull’economia russa e in particolare sulle organizzazioni di diversi settori industriali russi.

Check Point Research (CPR) descrive una campagna mirata che ha utilizzato esche legate alle sanzioni per attaccare gli istituti di difesa russi, parte della Rostec Corporation. L’indagine dimostra che questa campagna fa parte di una più ampia operazione di spionaggio cinese in corso da diversi mesi contro entità legate alla Russia. I ricercatori di CPR ritengono con elevata sicurezza che la campagna sia stata condotta da un APT nazionale cinese esperto e sofisticato. Nel blog che segue, i ricercatori rivelano le tattiche e le tecniche utilizzate dagli attori della minaccia e forniscono un’analisi tecnica delle fasi e dei payload dannosi osservati, compresi loader e backdoor precedentemente sconosciuti con molteplici tecniche avanzate di evasione e anti-analisi.

Risultati principali:

Il CPR rivela una campagna mirata contro almeno due istituti di ricerca in Russia, la cui competenza principale è la ricerca e lo sviluppo di soluzioni di difesa altamente tecnologiche. La ricerca suggerisce che un altro obiettivo in Bielorussia, probabilmente anch’esso legato al settore della ricerca, ha ricevuto un’e-mail di spear-phishing simile, in cui si afferma che gli Stati Uniti starebbero diffondendo un’arma biologica.
Gli istituti di ricerca sulla difesa che abbiamo identificato come obiettivi di questo attacco appartengono a una holding del conglomerato statale russo della difesa Rostec Corporation. Si tratta della più grande holding russa nel settore della radioelettronica e gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica, di apparecchiature radioelettroniche militari di bordo, di stazioni radar aeree e di mezzi di identificazione statale.
Questa campagna è la continuazione di quella che il CPR ritiene essere un’operazione di spionaggio di lunga durata contro entità legate alla Russia, in atto almeno dal giugno 2021. L’operazione potrebbe essere ancora in corso, dato che l’attività più recente è stata osservata nell’aprile 2022.

L’attività è stata attribuita con elevata sicurezza a un attore cinese, con possibili collegamenti a Stone Panda (alias APT10), un attore sofisticato ed esperto sostenuto da uno Stato nazionale, e a Mustang Panda, un altro attore esperto di spionaggio informatico basato in Cina. Il CPR ha chiamato questa campagna Twisted Panda per riflettere la sofisticazione degli strumenti osservati e l’attribuzione alla Cina.

Gli hacker utilizzano nuovi strumenti, che non sono stati descritti in precedenza: un sofisticato loader multilivello e una backdoor denominata SPINNER. Questi strumenti sono in fase di sviluppo almeno dal marzo 2021 e utilizzano tecniche avanzate di evasione e anti-analisi, come caricatori in-memory multistrato e offuscamenti a livello di compilatore.

Il 23 marzo sono state inviate e-mail dannose a diversi istituti di ricerca sulla difesa con sede in Russia. Le e-mail, che avevano come oggetto “Elenco di persone sottoposte a sanzioni statunitensi per l’invasione dell’Ucraina”, contenevano un link a un sito controllato dall’aggressore che imitava il Ministero della Salute della Russia minzdravros[.]com e contenevano in allegato un documento dannoso:

Figura 1: e-mail di spear-phishing inviata a istituti di ricerca in Russia.

Lo stesso giorno, un’e-mail simile è stata inviata anche a un’entità sconosciuta di Minsk, in Bielorussia, con l’oggetto “US Spread of Deadly Pathogens in Belarus”. Tutti i documenti allegati sono stati realizzati in modo da sembrare documenti ufficiali del Ministero della Salute russo, con tanto di emblema e titolo ufficiale:

Figura 2: Schermata del documento esca inviato agli istituti di ricerca in Russia.

Ogni documento scarica un modello esterno dagli URL con un formato simile, come https://www.microtreely.com/support/knowledgebase/article/AIUZGAE7230Z[.]dotm. Il modello esterno contiene un codice macro che importa diverse funzioni API da kernel32 (LoadLibraryA, CreateFileA, WriteFile, ReadFile, ecc.) e le utilizza per:

  • Scrivere tre file (cmpbk32.dll, cmpbk64.dll e INIT) nel percorso: C:/Utenti/Pubblico.
  • Caricare cmpbk32.dll o cmpbk64.dll (a seconda dell’architettura del sistema operativo) ed eseguire la funzione esportata R1.

L’esecuzione della funzione esportata R1 finalizza l’inizializzazione dei file dannosi. Il malware crea una directory di lavoro %TEMP%\OfficeInit e vi copia i file INIT e cmpbk32.dll, nonché un eseguibile legittimo di Windows a 32 bit cmdl32.exe dalla cartella System32 o SysWOW64, a seconda che il sistema operativo sia a 32 o 64 bit.

Figura 3: La catena di infezione semplificata.

Il Payload

Il payload è una DLL a 32 bit che utilizza la risoluzione dinamica delle API con hashing dei nomi per l’elusione e l’anti-analisi. Il caricatore non solo è in grado di nascondere la sua funzionalità principale, ma anche di evitare il rilevamento statico delle chiamate API sospette risolvendole dinamicamente invece di utilizzare importazioni statiche.

Lo scopo di cmpbk32.dll è quello di caricare uno shellcode specifico dal file INIT, a seconda dello stadio dell’infezione, ed eseguirlo. Il file INIT contiene due shellcode: lo shellcode del primo stadio esegue lo script di persistenza e pulizia, mentre lo shellcode del secondo stadio è un caricatore multilivello. L’obiettivo è decriptare consecutivamente gli altri tre livelli del caricatore senza file e caricare infine il payload principale in memoria. Per distinguere le fasi, il punto di ingresso della DLL DllMain esegue azioni diverse in base al motivo della chiamata.

Fase di impostazione

Quando il documento dannoso viene chiuso, viene attivato un evento PROCESS_DETACH. La DLL esegue una parte del file INIT incaricato di ripulire i file creati dal documento dannoso e crea un’attività pianificata per la persistenza:

Figura 4: L’evento DLLMain PROCESS_DETACH esegue lo shellcode responsabile della persistenza e della pulizia da INIT.

Figura 5: funzione di persistenza e pulizia

Fase di caricamento

Il processo di caricamento principale inizia con l’esecuzione dell’attività pianificata cmdl32.exe che carica la DLL dannosa cmpbk32.dll. Il sideloading della DLL da parte di un processo legittimo è una tecnica comunemente utilizzata dagli attori delle minacce; l’accoppiamento con un processo di caricamento robusto può aiutare a eludere le moderne soluzioni antivirus poiché, in questo caso, l’effettivo processo in esecuzione è valido e firmato da Microsoft. Si noti che il file cmpbk64.dll non viene copiato nella cartella %TEMP%\OfficeInit. La versione a 64 bit della DLL viene utilizzata solo nella fase iniziale dell’infezione dal processo MS Word a 64 bit, poiché cmdl32.exe a 32 bit può caricare solo cmpbk32.dll a 32 bit.

Quando la DLL viene caricata, viene attivato l’evento PROCESS_ATTACH che avvia una sequenza di operazioni. La sequenza elimina diversi livelli crittografati dal file INIT e alla fine rivela ed esegue il payload finale. Per prima cosa legge un blob crittografato con XOR dal file INIT e lo decrittografa in memoria utilizzando un semplice XOR con la chiave 0x9229. Il blob decrittografato è un codice indipendente dalla posizione e il primo dei livelli crittografati che “proteggono” il payload principale.

Figura 6: Livelli di decodifica eseguiti dal caricatore per scoprire il payload finale.

Questo primo livello è piuttosto semplice. Carica dinamicamente da Kernel32.dll le funzioni WinAPI essenziali per il suo lavoro. Successivamente, inizia una sequenza di operazioni per scoprire il secondo livello. Utilizza RC4 con la seguente chiave codificata: 0x1C, 0x2C, 0x66, 0x7C, 0x11, 0xCF, 0xE9, 0x7A, 0x99, 0x8B, 0xA3, 0x48, 0xC2, 0x03, 0x07, 0x55. Quindi decomprime il buffer decriptato utilizzando RtlDecompressBuffer e rivela il secondo livello.

Figura 7: Iniezione in msiexec.exe

Il codice iniettato inizia caricando dinamicamente un file PE incorporato all’interno ed eseguendolo dal suo punto di ingresso.

La backdoor SPINNER: analisi tecnica

Il payload utilizza due offuscamenti a livello di compilatore:

Appiattimento del flusso di controllo: altera il flusso di codice rendendolo non lineare.
Predicati opachi: definisce la logica inutilizzata e fa sì che il binario esegua calcoli inutili.
Entrambi i metodi rendono difficile l’analisi del payload, ma insieme rendono l’analisi dolorosa, lunga e noiosa. Questi due tipi di offuscamento sono stati precedentemente individuati come utilizzati insieme in campioni attribuiti al gruppo di lingua cinese Stone Panda (APT10) e Mustang Panda.

Figura 8: offuscamento del codice con predicati opachi e appiattimento del flusso di controllo nel campione SPINNER.

Quando la backdoor SPINNER inizia a funzionare, crea un mutex chiamato MSR__112 per garantire che ci sia una sola istanza del payload in esecuzione alla volta. Il payload espande anche la persistenza precedentemente creata dal caricatore. Crea una nuova chiave del Registro di sistema OfficeInit in SOFTWARE\Microsoft\Windows\CurrentVersion\Run che punta al percorso cmdl32.exe.

Quindi, imposta la propria configurazione, che contiene i seguenti campi:

struct malware_config {
std::string full_c2_url;
std::string host_name;
std::string c2_uri;
DWORD use_https;
DWORD port;
DWORD sleep_time;
}

Il full_c2_url viene decifrato utilizzando la decifrazione XOR con la chiave 0x50. Dopo la decrittazione, la funzione InternetCrackUrlA viene utilizzata per decifrare un URL nei suoi componenti: i campi c2_url_without_scheme, c2_uri, port e use_https.

Successivamente, la backdoor inizia il suo ciclo principale controllando se è la prima esecuzione e quindi non è ancora avvenuto il fingerprinting del sistema. Se la risposta è negativa, la backdoor crea un ID Bot casuale di 16 byte e lo salva nel file %TEMP%\OfficeInit\init.ini. Quindi raccoglie dati sul sistema infetto e crea una stringa contenente i seguenti dati:

  • ID bot
  • Nome del computer
  • IP locale
  • Versione di Windows
  • Nome utente
  • Tempo di riposo recuperato dalla configurazione del malware
  • ID processo
  • NULL aggiunto alla fine della stringa

Campagna precedente

Durante la ricerca su VirusTotal di file simili al loader, abbiamo riscontrato un ulteriore cluster che utilizza il sideloading di DLL per lanciare un loader in-memory molto simile a quello discusso in precedenza. Carica quindi un payload che potrebbe essere una variante precedente della backdoor SPINNER. A giudicare dai nomi dei file e dai timbri di compilazione degli eseguibili, la campagna è attiva dal giugno 2021.

A differenza dell’attuale campagna, che utilizza documenti Microsoft Word come dropper, la precedente ondata di attacchi si basava su file eseguibili con il logo di Microsoft Word. Ciò suggerisce che questi dropper erano destinati a essere consegnati alle vittime con gli stessi mezzi dei documenti dannosi, tramite e-mail di spear-phishing, sia come allegati che come link a siti falsi.

Evoluzione dei TTP della campagna

In meno di un anno, gli attori hanno migliorato significativamente la catena di infezione e l’hanno resa più complessa. Tutte le funzionalità della vecchia campagna sono state conservate, ma sono state suddivise tra più componenti, rendendo più difficile l’analisi o il rilevamento di ogni fase. Ecco alcuni esempi di componenti suddivisi:

La funzionalità del dropper EXE è suddivisa tra un documento dannoso e il payload. È un adattamento ragionevole come eseguibile. Anche uno che si maschera da documento potrebbe destare molti più sospetti di un documento accuratamente realizzato.
Aggiunta di ulteriori funzionalità al caricatore di DLL. È interessante notare che gli attori hanno scelto di non aggiungere altre funzioni esportate alla DLL, ma di gestire diversi motivi di chiamata in DllMain, facendo in modo che alcune parti di codice dannoso vengano eseguite in background quando il documento viene chiuso.
Sebbene il caricatore contenga alcune tecniche di anti-analisi e di evasione, come l’uso di shellcode e la risoluzione dinamica delle API tramite hashed, nell’ultima campagna gli attori hanno aggiunto miglioramenti significativi integrando complesse offuscazioni a livello di compilatore alla backdoor SPINNER.

Oltre alle complesse offuscazioni, la backdoor SPINNER è stata ridotta alle sole funzionalità di base. Questo è stato fatto probabilmente per aumentare la furtività e l’evasione del malware.

Attribuzione

Backdoor SPINNER

Come per qualsiasi campione di malware sconosciuto, l’analisi del loader e della backdoor di SPINNER ha richiesto l’RCP per determinare se si trattasse di un campione di malware noto o di una famiglia di malware completamente nuova. A prima vista, il payload sembrava simile al malware PlugX/Hodur descritto da ESET in un rapporto recentemente pubblicato sull’APT cinese Mustang Panda. La prima somiglianza riguarda la numerazione ID dei comandi C&C: entrambi i malware utilizzano 2 byte per specificare la categoria di comando e 2 byte per un comando specifico di questa categoria. Ad esempio, il comando 0x10010001 viene utilizzato nella variante SPINNER per inviare i dati delle informazioni di sistema, mentre il malware Hodur utilizza il gruppo di comandi 0x1001 e l’ID del comando 0x1001 per la stessa azione.

Inoltre, alcuni dei comandi stessi si sovrappongono tra i campioni, come quelli che elencano le unità logiche, ottengono informazioni dettagliate sui file in una directory o eseguono comandi utilizzando cmd.exe. Queste funzionalità non sono uniche e di solito si trovano in molte backdoor. In questo caso, i due malware condividono una somiglianza ancora più grande e sorprendente. Dopo aver aperto la variante Hodur PlugX nel disassemblatore, è emerso che Hodur, come SPINNER, è stato pesantemente offuscato utilizzando il Control Flow Flattening (CFF). Tuttavia, il CFF di Hodur è diverso da quello di SPINNER. Il CFF di Hodur si basa su un dispatcher che utilizza un determinato registro per decidere a quale blocco di codice saltare successivamente, mentre in SPINNER il registro viene utilizzato così com’è senza alcuna manipolazione. Nella variante PlugX, vengono utilizzate operazioni aritmetiche aggiuntive sul registro prima che venga controllato dal dispatcher. Per completare il confronto con l’offuscamento, Hodur offusca pesantemente le chiamate API e le stringhe, un passaggio assente in SPINNER.

In termini di implementazione, i campioni di malware sono completamente diversi. Hodur è un’applicazione desktop di Windows multithread e comunica con il C&C attraverso più thread, ognuno con il proprio scopo, mentre SPINNER è un’applicazione console a thread singolo. Il metodo di enumerazione di Hodur è più esteso di quello di SPINNER, ma non utilizza il Bot ID che identifica una specifica macchina infetta. La funzione di autocancellazione di Hodur potrebbe essere simile nella sua logica a quella di SPINNER, ma utilizza una serie di comandi completamente diversi per eliminare se stesso e i file associati. La logica di comunicazione di Hodur con il C&C è più complessa e proviene da diverse parti del codice e da più thread, mentre SPINNER ha una sola funzione che gestisce i comandi.

Sebbene le differenze indichino l’appartenenza di questi malware a famiglie diverse, essi condividono delle similitudini di “best practice“. Ecco alcuni esempi di somiglianze:

  • Entrambi utilizzano le funzioni WS2_32 per recuperare l’indirizzo IPv4 del computer locale.
  • Mostrano interesse nell’enumerazione dei file in determinate directory, cercando dati specifici come l’ora dell’ultimo accesso
  • Entrambi enumerano le unità disco, ricercando i thumb drive alla ricerca di dati interessanti
  • Eseguono comandi dal C&C tramite cmd.exe utilizzando una pipe, ecc.
  • Si può sostenere che queste sono solo tecniche comuni utilizzate da tutte le backdoor, ma non è improbabile che questi strumenti possano avere la stessa fonte a monte e quindi condividere molte best practice e metodi.

Attività basata sulla Cina

Le tattiche, le tecniche e le procedure (TTP) di questa operazione ci hanno permesso di attribuirla a un’attività APT cinese. In generale, i gruppi cinesi sono noti per il riutilizzo e la condivisione di strumenti. In assenza di prove sufficientemente solide, come connessioni basate sull’infrastruttura, non abbiamo potuto attribuire direttamente questa attività con elevata sicurezza a uno specifico attore cinese della minaccia. Tuttavia, la campagna Twisted Panda presenta numerose sovrapposizioni con attori cinesi di cyber-spionaggio avanzati e di lunga data:

Le offuscazioni dei flussi di controllo osservate in SPINNER sono state precedentemente utilizzate dal gruppo cinese APT10 e sono riapparse in una recente campagna di spionaggio di Mustang Panda:

Il gruppo APT Mustang Panda è stato osservato sfruttare l’invasione dell’Ucraina per colpire entità russe nello stesso periodo di Twisted Panda.
Il flusso di infezione che si basa sul side-loading delle DLL è una tecnica di evasione preferita utilizzata da diversi attori cinesi. Tra gli esempi vi sono il famigerato malware PlugX (e le sue molteplici varianti, tra cui i già citati campioni di Mustang Panda’ Hodur), la campagna di spionaggio globale APT10 pubblicata di recente che utilizzava il lettore VLC per il side-loading e altre campagne APT10.
Oltre alle somiglianze tra SPINNER e Hodur che abbiamo menzionato in precedenza, anche altre pratiche come i caricatori in-memory multistrato basati su shellcode e PE, specialmente combinati con risoluzioni API dinamiche tramite hash, sono una tecnica tipica di molti gruppi cinesi. La vittimologia della campagna Twisted Panda è coerente con gli interessi cinesi a lungo termine.

Gli obiettivi

Gli istituti di ricerca sulla difesa che abbiamo identificato come obiettivi di questo attacco appartengono a una holding del conglomerato statale russo della difesa Rostec Corporation. Si tratta della più grande holding russa nel settore della radioelettronica e gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica, di apparecchiature radioelettroniche militari di bordo, di stazioni radar aeree e di mezzi di identificazione statale. Gli enti di ricerca si occupano anche di sistemi avionici per l’aviazione civile, dello sviluppo di una serie di prodotti civili come le apparecchiature mediche e di sistemi di controllo per l’energia, i trasporti e le industrie ingegneristiche.

Il piano Made in China 2025 definisce gli obiettivi della Cina per diventare una grande potenza tecnologica ed economica e identifica anche i settori in cui deve diventare leader mondiale, tra cui la robotica, le apparecchiature mediche e l’aviazione. A sostegno di ciò, il piano quinquennale cinese per il periodo 2021-2025 prevede un aumento costante dei budget per la ricerca e lo sviluppo al fine di espandere le capacità scientifiche e tecniche della Cina. Tuttavia, molteplici rapporti, non provenienti dagli Stati Uniti e da altri Paesi, tra cui la Russia, considerata partner strategico della Cina rivelano che, accanto alle relazioni e alle misure palesi, la Cina impiega strumenti occulti per raccogliere informazioni, combinando così le partnership con diverse attività di spionaggio. Insieme alle precedenti segnalazioni di gruppi APT cinesi che conducono le loro operazioni di spionaggio contro il settore governativo e della difesa russo, la campagna Twisted Panda descritta in questa ricerca potrebbe servire come ulteriore prova dell’uso dello spionaggio in uno sforzo sistematico e a lungo termine per raggiungere gli obiettivi strategici cinesi in termini di superiorità tecnologica e potenza militare.

Commenti da Facebook

Inchieste

Domitilla Benigni: dal CTS di ACN ad un caso diplomatico con Google

Condividi questo contenuto

Tempo di lettura: 5 minuti. Amnesty International nel frattempo tace: alla guida c’è l’hacker Nex

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

L’Agenzia Cybersecurity Nazionale ha nominato un Comitato Tecnico Scientifico con diverse figure, maschili e femminili, rappresentative dei mondi delle Università, delle Aziende e dei lavoratori del settore.

In questi giorni sono scoppiati due scandali che hanno colpito un’azienda di cui è presidente Domitilla Benigni, ingegnere e CEO della società Elettronica S.p.a., di quest’ultima è proprietaria delle quote di maggioranza ereditate dalla sua famiglia.

Mentre Elettronica è la società dove l’ing. Benigni è nata e cresciuta professionalmente, Cy4Gate è l’ultima creatura di Elettronica che è stata fondata nel 2014 in sinergia con la società Expert System S.p.A. da cui hanno acquistato successivamente la società RCS Lab.

Chi è RCS Lab?

Si legge nel sito che la RCS Lab opera dal 1993 nel mercato mondiale dei servizi a supporto dell’attività investigativa affermando la propria esperienza e il proprio know-how attraverso la progettazione, la produzione e l’assistenza all’esercizio di apparecchiature destinate al controllo elettronico delle telecomunicazioni dotate di tutte le funzionalità previste per l’impiego nelle indagini dell’Autorità Giudiziaria“.

La società offre sistemi di intercettazione di nuova ed ultima generazione nel settore della pubblica amministrazione ed in supporto alle attività di indagini e di intelligence della Pubblica Autorità.

Lo scandalo di Palamara

Nei giorni scorsi, la società RCS Lab ha visto sospendersi l’autorizzazione a fornire i suoi servigi alla Procura di Napoli, prima che il suo ex Procuratore Capo Giovanni Melillo passasse alla DNA. La colpa di RCS Lab è quella di aver fornito una registrazione parziale della vita di Palamara quando questi era intercettato durante il periodo che ha poi alimentato lo scandalo della magistratura.

In quella occasione, il Trojan sviluppato dalla RCS Lab era stato utilizzato non in modo perpetuo ma in un modo che sembrava indirizzato, secondo la difesa dei PM inquisiti, ad escludere pezzi da 90 nel giro delle intercettazioni come Davigo. Per di più, c’è da evidenziare il fatto che per giustificare la mancanza di alcuni pezzi delle conversazioni, tra le varie cause indicate dalla società c’era anche quella che il software spia non funzionasse a dovere. Sempre la stessa società ha dichiarato che in caso di malfunzionamenti procedono ad organizzare gruppi di lavoro con le parti interessate per risolvere gli intoppi tecnici.

Il 4 maggio le attività della società sono state sospese ed il 4 giugno la Procura di Perugia ha disposto nuovi accertamenti irripetibili sui server di Napoli della Rcs. Accertamenti disposti anche dal procuratore di Firenze, Luca Turco, nell’ambito nell’ambito del procedimento aperto nella città toscana dopo gli esposti di Palamara e Cosimo Ferri.

Lo scandalo Hermit e come funziona lo spyware italiano

Nei giorni precedenti, Matrice Digitale ha illustrato la presenza di un software spia diffuso in Kazakistan, in Siria ed in Italia sviluppato dalla Rcs Lab. Il riferimento all’origine dell’arma cibernetica italiana è stato oramai fugato da ogni dubbio anche dal colosso.

Chi è la società che ha acquistato Rcs Lab? Cy4Gate.

Quale sarà la società che acquisirà Rcs Lab? Secondo voci di corridoio Elettronica.

Secondo il centro ricerca di Google, le campagne osservate hanno avuto origine con un unico link inviato all’obiettivo. Una volta cliccato, la pagina tentava di far scaricare e installare all’utente un’applicazione dannosa su Android o iOS. In alcuni casi, gli attori hanno collaborato con l’ISP dell’obiettivo per disabilitarne la connettività dati mobile. Una volta disattivata, l’aggressore inviava un link dannoso via SMS chiedendo all’obiettivo di installare un’applicazione per ripristinare la connettività dati. Per questo motivo la maggior parte delle applicazioni si è mascherata da applicazioni dell’operatore mobile. Quando il coinvolgimento del provider non è possibile, le applicazioni sono mascherate da applicazioni di messaggistica.

Il software spia offriva quindi una pagina in italiano con una richiesta di scaricare dei contenuti per “aggiustare” i social media di Meta (Facebook, WhatsApp, Instagram).

Perchè Google si schiera contro la società italiana che ha sviluppato un’arma cibernetica?

La motivazione per cui i giganti del web attaccano le società come Rcs Lab sono diverse.

La prima è che l’industria dello spyware commerciale stia prosperando e crescendo a un ritmo significativo e questa tendenza “dovrebbe preoccupare tutti gli utenti di Internet“.

Altro aspetto è che questi fornitori “permettono la proliferazione di pericolosi strumenti di hacking e armano i governi che non sarebbero in grado di sviluppare queste capacità internamente. Sebbene l’uso delle tecnologie di sorveglianza possa essere legale ai sensi delle leggi nazionali o internazionali, spesso si scopre che i governi le utilizzano per scopi antitetici ai valori democratici: prendere di mira dissidenti, giornalisti, operatori dei diritti umani e politici dei partiti di opposizione“.

In ultimo “i fornitori che accumulano vulnerabilità zero-day in segreto rappresentano un grave rischio per Internet, soprattutto se il fornitore viene compromesso. Questo è accaduto a diversi produttori di spyware negli ultimi dieci anni, sollevando lo spettro che le loro scorte possano essere rese pubbliche senza preavviso“.

Secondo Google c’è bisogno di correre ai ripari non solo per tutelare gli utenti Android, ma anche per salvare Internet dai mercenari dello spionaggio. Il nocciolo della questione ora è proprio questo:

Domitilla Benigni non è solo una venditrice di armi cibernetiche, ma è anche una donna al servizio del Governo Italiano quindi che si fa?

Ed è questo il nocciolo che mette in contraddizione non la CEO di Elettronica, ma tutto quel mondo che si fa spazio nell’associazionismo, nel giornalismo e nell’attivismo in favore di una “morte” commerciale delle società che producono software spia.

L’inserimento di Benigni nel CTS sembrerebbe un atto dovuto viste le esigenze di sicurezza nazionale, quindi l’Italia adesso cosa farà?

Il capo dell’agenzia Baldoni, è sicuramente consapevole di aver acquisito un’azienda, eccellenza italiana, con l’intento di solidificare gli strumenti di difesa e di attacco cibernetico del nostro Paese.

Google mette in guardia l’Italia sull’aver sviluppato un’arma cibernetica al servizio dei regimi kazaki e siriani, ma dimentica quanto sta facendo in Israele in favore delle forze occupanti.


Ancora più singolare il fatto che non si sia ancora esposta Amnesty International con a capo l’hacker italiano Nex, detrattore storico della competitor di RCS, NSO Group, e strano non si siano sollevati polveroni sul fatto che Domitilla Benigni sia il volto di una società equivalente all’azienda di software israeliana ed allo stesso tempo fornitrice di un software spia ad altri regimi poco democratici.

Pegasus: inizia l’indagine europarlamentare ai danni di NSOGroup

Come scoprire se il proprio cellulare è stato compromesso da Pegasus della NSO

Google fuori dal cloud nazionale

In questi giorni Aruba e Amazon sembrerebbero aver scalzato Google dal cloud Nazionale e la notizia di Hermit, che gira da mesi in forma anonima nel panorama delle maggiori società di sicurezza informatica mondiali, casca a fagiolo mentre si attende la controfferta della società statunitense che dovrà rinunciare a 700 milioni di euro per equipararsi ai suoi concorrenti nell’offerta prevista dal bando pubblico.

Che dietro Google ci sia una strategia finalizzata a mettere in pericolo una delle nostre eccellenze del Paese in ambito militare?

Oppure vuole mettere le mani sui segreti industriali di Elettronica come spesso gli americani hanno fanno in questi anni?

Bisognerebbe chiedere alla Olivetti o alla Leonardo se ricordano qualcosa in merito. Nel frattempo, la risposta della Cy4Gate è stata chiara:

 “I prodotti di Rcs Lab vengono forniti con una chiara, specifica ed esclusiva finalità: supportare gli enti preposti nella prevenzione e repressione di crimini efferati“. Il Gruppo afferma inoltre di essere “orgoglioso di offrire le proprie tecnologie a servizio delle Forze dell’Ordine nell’assoluto rispetto delle normative vigenti, con grande etica e professionalità“.

Commenti da Facebook
Prosegui la lettura

Inchieste

Siamo davvero sicuri nel cloud? Ecco cosa insegna il malware Denonia

Condividi questo contenuto

Tempo di lettura: 4 minuti. Il caso Amazon fa paura alle infrastrutture del futuro sempre più serverless

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Recentemente AWS Lambda ha subito la prima minaccia specifica con il malware Denonia. Sebbene l’impatto di questo attacco sia stato basso, è il momento per le aziende di chiedersi quanto siano sicure le loro applicazioni serverless e come possano prepararsi a un attacco futuro.

La sicurezza delle applicazioni serverless richiede un approccio diverso rispetto ai monoliti tradizionali o alle applicazioni containerizzate. Con questo primo attacco malware, abbiamo l’opportunità di valutare quali sono le considerazioni uniche da fare per proteggere gli ambienti serverless e come possiamo tenerne conto per rafforzare il nostro approccio alla sicurezza serverless.

In che modo la mia applicazione serverless è vulnerabile?

L’architettura serverless è intrinsecamente più sicura in diversi modi. Con serverless, i fornitori di cloud sono responsabili della gestione del lavoro pesante di patch e sicurezza dell’infrastruttura. Come per l’ottimizzazione dell’allocazione delle risorse di calcolo, i fornitori di cloud sono molto più bravi di noi a proteggere l’infrastruttura, quindi affidarsi a loro è una scommessa sicura. L’utente è comunque responsabile della protezione del codice e di tutte le risorse e i componenti che compongono il sistema serverless, ma scaricare gran parte delle configurazioni e della gestione dell’infrastruttura alle piattaforme consente di concentrare tutta l’attenzione su un’area più piccola. Inoltre, le funzioni serverless sono in genere di breve durata, il che complica le cose per i potenziali aggressori, dando loro solo una piccola finestra per entrare.

D’altra parte, la natura distribuita e dinamica di serverless rende difficile individuare le minacce e risolverle rapidamente, soprattutto con la crescita degli stack tecnologici. Con i vari strumenti e servizi utilizzati per sviluppare, testare e distribuire le applicazioni serverless, questi ambienti diventano ancora più opachi. Gli sviluppatori sono costretti a setacciare enormi quantità di dati di tracciamento, log e metriche per comprendere le loro applicazioni. Con così tante risorse interconnesse, ma con una visibilità limitata, è difficile identificare e risolvere i problemi di sicurezza in modo rapido ed efficiente.

Le architetture serverless sono guidate da eventi, innescati da fonti come una chiamata API, un nuovo upload su un bucket AWS S3 o una modifica del database. Una singola applicazione può avere molte funzioni con diverse fonti di eventi e per ogni funzione invocata vengono consumati dati, rendendo il codice vulnerabile agli utenti malintenzionati. Quando il codice si muove attraverso le pipeline, da un servizio all’altro, si creano nuovi punti di ingresso per il malware che può manipolare il suo percorso. È più probabile che gli attacchi avvengano prima che i dati entrino in un bucket S3 o in un DynamoDB, quindi, sebbene la crittografia dei dati sia sempre una buona pratica, è importante adottare altre misure per limitare le vulnerabilità della vostra applicazione.

Rafforzare i controlli di accesso

I controlli di accesso e i permessi mal configurati sono i punti in cui la vostra applicazione serverless può essere più vulnerabile. Questo è stato il caso degli aggressori di Denonia, che secondo AWS hanno ottenuto l’accesso ottenendo in modo fraudolento le credenziali dell’account. Le funzioni Lambda devono essere protette con controlli di accesso e privilegi rigorosi per ridurre la superficie di attacco delle applicazioni serverless. Le architetture serverless, costituite da piccoli microservizi, possono trarre vantaggio dal principio del minimo privilegio, in base al quale si impostano autorizzazioni e criteri rigorosi per una funzione che limitano l’accesso solo agli utenti e alle risorse necessarie.

Mantenere il codice sulla sua rotta

Uno dei modi in cui il malware può danneggiare le applicazioni serverless è reindirizzare il codice in modi che lo sviluppatore non intendeva. Ad esempio, un malware come Denonia potrebbe manipolare il codice per utilizzare la potenza di calcolo per il mining di criptovalute. La scalabilità automatica e quasi infinita di serverless, che è vantaggiosa in circostanze normali, significa che il vostro ambiente scalerà automaticamente, generando istanze di funzioni Lambda aggiuntive che possono a loro volta essere compromesse e violate. Si finisce per pagare tutte le risorse che il malware utilizza per portare a termine l’attacco.

Non possiamo sempre prevedere l’andamento di una minaccia, ma possiamo imparare da come si comporta un malware come Denonia e adottare alcune misure per garantire che il nostro codice venga eseguito esattamente come previsto. La definizione di limiti ragionevoli su attività come l’autoscaling è fondamentale per garantire che non si abbiano brutte sorprese all’arrivo della prossima bolletta del cloud. Inoltre, è necessario creare degli avvisi per notificare quando ci si avvicina al limite massimo o quando un Lambda tenta di accedere a qualcosa che non dovrebbe, in modo da poter cogliere l’attività dannosa sul nascere e porvi rimedio rapidamente.

Scopri la storia completa di serverless

Le strategie di monitoraggio tradizionali, che si concentrano solo sul monitoraggio delle metriche di utilizzo delle risorse come CPU e memoria o che hanno punti oscuri quando si tratta di servizi gestiti e di terze parti, lasciano un grande vuoto quando si tratta di proteggere le applicazioni serverless. Man mano che l’applicazione cresce e la superficie di attacco diventa più ampia, affidarsi a metriche e log grezzi per il monitoraggio degli ambienti serverless vi porterà solo fino a un certo punto. Presto ci saranno troppi servizi e risorse che generano dati per capire dove il vostro codice ha preso una strada sbagliata e il vostro sistema potrebbe essere sfruttato prima che ve ne accorgiate.

La sicurezza dell’architettura serverless richiede una visibilità più completa sulle modalità di interazione tra funzioni, servizi e risorse. Il tracciamento distribuito è fondamentale per aiutarvi a capire la portata del danno, come l’utente malintenzionato è entrato e cosa ha visto. Questo metodo consente di seguire la catena di eventi della gestione delle richieste di un’applicazione, dall’innesco dell’evento alla funzione Lambda ai servizi gestiti, per individuare la fonte del rischio o dell’attacco in tempo reale.

La sicurezza serverless in futuro

I numerosi vantaggi del computing serverless ne hanno accelerato l’adozione negli ultimi anni e ora è utilizzato da una parte significativa di tutti gli sviluppatori. La comparsa di malware che colpiscono specificamente l’infrastruttura serverless è un ulteriore segno che il serverless è diventato maggiorenne. Un caso specifico di malware non rappresenta un rischio grave per le applicazioni serverless, ma evidenzia un nuovo tipo di minaccia che è particolarmente pertinente all’architettura serverless. Questa è una grande opportunità per tutti noi di prendere un momento per rivedere i nostri ambienti serverless e garantire che le migliori pratiche siano seguite per mantenere i dati dei nostri utenti e le nostre risorse al sicuro.

Commenti da Facebook
Prosegui la lettura

Inchieste

Lazarus ha colpito molte aziende in giro per il mondo usando LinkendIn

Condividi questo contenuto

Tempo di lettura: 2 minuti. Operation Interception ha provato ad estorcere soldi, facendo ampliare il raggio d’azione dell’APT nordcoreano

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Jean-Ian Boutin, direttore della ricerca sulle minacce di ESET, ha esaminato le nuove campagne perpetrate dal gruppo Lazarus contro gli appaltatori della difesa in tutto il mondo tra la fine del 2021 e marzo 2022.

Secondo il rapporto di ESET, Lazarus ha preso di mira aziende in Europa (Francia, Italia, Germania, Paesi Bassi, Polonia e Ucraina) e in America Latina (Brasile) nel periodo 2021-2022. Nonostante l’obiettivo principale di questa operazione di Lazarus sia lo spionaggio informatico, il gruppo ha anche cercato di estorcere denaro alle prede, ma senza successo.

Secondo le parole di Jean-Ian Boutin: “Il gruppo di minacce Lazarus ha dimostrato la propria ingegnosità implementando un interessante set di strumenti, tra cui, ad esempio, un componente in modalità utente in grado di sfruttare un driver Dell vulnerabile per scrivere nella memoria del kernel. Questo hack avanzato è stato utilizzato nel tentativo di aggirare il monitoraggio da parte delle soluzioni di sicurezza“.

Nel corso del 2020, gli specialisti di ESET hanno documentato una campagna condotta da un sottogruppo di Lazarus contro le aziende europee del settore aerospaziale e della difesa, che ESET ha chiamato Operation In(ter)ception.

Questa campagna si distingueva per il fatto che utilizzava i social media, in particolare LinkedIn, per creare un rapporto di fiducia tra l’aggressore e un dipendente ignaro, prima di inviargli componenti dannosi camuffati da descrizioni di lavoro o candidature.

All’epoca erano già state attaccate aziende di Brasile, Repubblica Ceca, Qatar, Turchia e Ucraina.

Il team di ricerca di ESET riteneva che l’azione fosse rivolta principalmente alle aziende europee, ma seguendo i vari sottogruppi di Lazarus che conducevano campagne simili contro gli appaltatori della difesa, si è presto reso conto che la campagna andava ben oltre.

Sebbene i tipi di malware utilizzati nelle varie campagne fossero diversi, il modus operandi iniziale era sempre lo stesso:

un falso reclutatore contattava un dipendente tramite LinkedIn e alla fine inviava componenti dannosi.

In questo senso, il gruppo ha continuato con la stessa metodologia del passato. Tuttavia, ESET ha documentato il riutilizzo di elementi legittimi delle campagne di reclutamento per aggiungere legittimità alle campagne dei falsi reclutatori. Inoltre, gli aggressori hanno utilizzato servizi come WhatsApp o Slack nelle loro campagne malevole.

Nel 2021, il Dipartimento di Giustizia degli Stati Uniti ha accusato tre programmatori informatici di aver compiuto attacchi informatici mentre lavoravano per l’esercito nordcoreano.

Secondo il governo statunitense, i tre appartenevano all’unità di hacker militari nordcoreani nota nella comunità della sicurezza informatica come Lazarus Group.

Nord Corea, APT37: una costola di Lazarus? La storia di Reaper, dei suoi ransomware e dei malware a doppia infezione

Nord Corea 2018: La guerra cibernetica di Lazarus tra Mata Framework, Bankshot, e furti di criptovalute.

Commentando l’argomento, Olufemi Ake, direttore generale di ESET West Africa (anglofona), ha dichiarato che: “Il gruppo Lazarus è una minacciosa minaccia avanzata (Advanced Persistent Threat, APT) che non deve essere presa con leggerezza. Le sue impronte in Africa stanno diventando sempre più evidenti e le sue tattiche sempre più intelligenti. È giunto il momento che le organizzazioni e gli enti governativi aderiscano rigorosamente alle politiche di sicurezza e formino i dipendenti su pratiche sicure nel cyberspazio“.

Oltre alla nuova ricerca su Lazarus, durante la conferenza annuale ESET ha presentato il rapporto “Cyber warfare past and present in Ukraine“.

Inoltre, Robert Lipovský, ricercatore ESET, ha dato uno sguardo approfondito alla guerra informatica durante la guerra della Russia contro l’Ucraina, compreso l’ultimo tentativo di interrompere la rete elettrica del Paese utilizzando Industroyer2 e vari attacchi wiper.

Eset, Sandworm ed Industroyer: storia di un wiper imperfetto, dannoso e attuale


Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie2 giorni fa

Iran: azienda siderurgica si blocca dopo attacco hacker

Tempo di lettura: 2 minuti. Si sospetta una risposta di Israele all'attacco informatico

Notizie2 giorni fa

Killnet rivendica l’attacco DDOS alla Lituania

Tempo di lettura: 2 minuti. Dopo la presa di posizione di Vilnius su Kaliningrad, era nell'aria che sarebbe arrivata una...

Notizie2 giorni fa

Minaccia Nucleare via mail: Fancy Bear attacca con Follina

Tempo di lettura: 3 minuti. Condividi questo contenutoIl gruppo di minacce persistenti avanzate Fancy Bear è dietro una campagna di...

Notizie3 giorni fa

La Lituania adesso ha paura degli attacchi DDoS russi

Tempo di lettura: < 1 minuto. Fino alla repressione di Kalingrad, il paese non era stato colpito da azioni russe....

Notizie4 giorni fa

HUI Loader: scoperto dopo 7 anni lo spyware di un APT cinese

Tempo di lettura: 2 minuti. Un noto malware di spionaggio sottolinea la minaccia che le aziende straniere devono affrontare da...

Notizie5 giorni fa

Cina: vietate le Tesla perchè possono spiare convegno dei capi di Governo

Tempo di lettura: 2 minuti. Nonostante in Cina siano tutti entusiasti di Tesla, l'esercito non si fida delle telecamere installate...

Notizie5 giorni fa

Apt russi spiano 42 paesi che sostengono Kiev

Tempo di lettura: 2 minuti. Stati Uniti e Polonia le più colpite, salva Estonia L'influenza informatica russa sono efficaci sia...

Notizie5 giorni fa

Università cinese sotto attacco hacker: violate le mail

Tempo di lettura: 3 minuti. Il sistema di posta elettronica di un'università della provincia di Shaanxi, nella Cina nord-occidentale, nota...

Notizie1 settimana fa

Allarme USA: più dura la guerra più ci sarà una escalation di attacchi cibernetici

Tempo di lettura: 2 minuti. I Russi fanno paura perchè storicamente hanno saputo colpire gli avversari con attacchi altamente distruttivi

Notizie1 settimana fa

Israele: suonano le sirene in strada a causa di un attacco cibernetico dell’Iran

Tempo di lettura: 2 minuti. Condividi questo contenutoLe false sirene di allarme per i razzi che sono state attivate a...

Truffe recenti

Truffe online13 secondi fa

Truffa Vinted: colpiti anche i venditori

Tempo di lettura: 2 minuti. Continuano le segnalazioni degli utenti

Truffe online10 ore fa

Attenzione alla truffa LGBTQ+

Tempo di lettura: 3 minuti. I più esposti? Chi non ha fatto "coming out"

Pesca mirata Pesca mirata
Truffe online3 giorni fa

Attenzione alla truffa online di InBank

Tempo di lettura: < 1 minuto. La segnalazione arriva dalla società italiana di sicurezza informatica TgSoft

Truffe online2 settimane fa

Truffa WhatsApp: attenzione ai messaggi che ci spiano

Tempo di lettura: < 1 minuto. L'allarme proviene dall'Inghilterra

DeFi3 settimane fa

Criptovalute e truffa: Telegram e Meta piattaforme perfette

Tempo di lettura: 5 minuti. Meta non risponde alle richieste dei giornalisti, continua ad avallare truffe e soprusi in silenzio.

Truffe online3 settimane fa

Truffa Axel Arigato: la società risponde a Matrice Digitale

Tempo di lettura: < 1 minuto. "Ci scusiamo con i nostri utenti e provvederemo a risolvere il problema"

scam scam
Truffe online3 settimane fa

Segnalazione truffa non-mi-avrete-mai.net

Tempo di lettura: < 1 minuto. Giungono in redazione le esperienze di utenti truffati in rete.

Truffe online4 settimane fa

Attenzione: Axel Arigato Italia è una truffa colossale

Tempo di lettura: 3 minuti. Il marchio non lo sa, ma in Italia truffano promettendo i suoi prodotti

Notizie1 mese fa

Truffa Charlie Brigante: lista aggiornata dei siti da evitare per acquisti online

Tempo di lettura: < 1 minuto. Continuano le segnalazioni di truffe online alla nostra rubrica

Truffe online1 mese fa

Truffa Instagram: come Meta affonda la Polizia Postale

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni sono tantissime le segnalazioni di utenti alla redazione che hanno...

Tendenza