Sicurezza Informatica
Attacco a Uber, l’analisi a caldo di Sophos
Tempo di lettura: 7 minuti. Secondo quanto riportato dalla BBC, l’hacker avrebbe appena 18 anni e sembra aver portato a termine l’attacco per lo stesso tipo di ragione che ha spinto il famoso alpinista britannico George Mallory a continuare a tentare (e alla fine a morire nel tentativo) di raggiungere la vetta dell’Everest negli anni Venti… “perché è un’operazione che non si può fare…”.
Un hacker – nel senso di “rompi-e-entra-nella-rete-illegalmente”, non nel senso di “risolvi-problemi-di-codifica-super-difficili-nel-modo-funky” – ha fatto irruzione nella società di ride-sharing Uber.
Quanto sappiamo finora?
Se la portata dell’intrusione è così ampia come suggerito dal presunto hacker, sulla base delle schermate che abbiamo visto diffuse su Twitter, non ci sorprende che Uber non abbia ancora fornito informazioni specifiche, soprattutto se si considera che le forze dell’ordine sono coinvolte nell’indagine.
Quando si tratta di indagini forensi su incidenti informatici, il diavolo si nasconde davvero nei dettagli.
Tuttavia, i dati disponibili pubblicamente, presumibilmente rilasciati dall’hacker stesso e ampiamente diffusi, sembrano suggerire che questo hack abbia avuto due cause di fondo, che descriveremo con un’analogia medievale.
L’intruso:
Ha ingannato un insider facendolo entrare nel cortile, o bailey. Si tratta dell’area all’interno delle mura più esterne del castello, ma separata dalla parte meglio difesa.
Ha trovato dettagli incustoditi che spiegavano come accedere al mastio, o motte. Come suggerisce il nome, il mastio è la roccaforte difensiva centrale di un tradizionale castello medievale europeo.
L’irruzione iniziale
Il termine in gergo per entrare di soppiatto nell’equivalente del 21° secolo del cortile di un castello è ingegneria sociale.
Come tutti sappiamo, ci sono molti modi in cui gli aggressori, con il tempo, la pazienza e il dono della parola, possono convincere anche un utente ben informato e ben intenzionato ad aiutarli a bypassare i processi di sicurezza che dovrebbero tenerli fuori.
I trucchi di social engineering automatizzati o semi-automatizzati includono le truffe di phishing basate su e-mail e messaggistica istantanea.
Queste truffe inducono gli utenti a inserire i propri dati di accesso, spesso compresi i codici 2FA, su siti web contraffatti che sembrano veri e propri siti web, ma in realtà forniscono i codici di accesso necessari agli aggressori.
Per un utente che ha già effettuato l’accesso, ed è quindi temporaneamente autenticato per la sessione in corso, gli aggressori possono tentare di ottenere i cosiddetti cookie o token di accesso sul computer dell’utente.
Impiantando un malware che dirotti le sessioni esistenti, ad esempio, gli aggressori possono essere in grado di mascherarsi da utente legittimo per un periodo di tempo sufficiente a prendere il controllo completo, senza bisogno delle solite credenziali che l’utente stesso richiede per accedere da zero:
E se tutto il resto fallisce, o forse anche invece di provare i metodi meccanici descritti sopra, gli aggressori possono semplicemente chiamare un utente e affascinarlo, o sedurlo, o implorarlo, o corromperlo, o convincerlo, o minacciarlo, a seconda di come si svolge la conversazione.
Gli ingegneri sociali più abili sono spesso in grado di convincere gli utenti benintenzionati non solo ad aprire la porta, ma anche a tenerla aperta per rendere ancora più facile l’ingresso degli aggressori, e magari anche a portare le valigie dell’aggressore e a mostrargli dove andare.
È così che è stato effettuato il famigerato hacking di Twitter del 2020, in cui 45 account Twitter di bandiera blu, tra cui quelli di Bill Gates, Elon Musk e Apple, sono stati rilevati e utilizzati per promuovere una truffa sulle criptovalute.
L’hacking non è stato tanto tecnico quanto culturale, realizzato da personale di supporto che ha cercato di fare la cosa giusta e ha finito per fare esattamente il contrario.
compromissione totale
Il termine gergale per definire l’equivalente di entrare nel castello dal cortile è elevazione dei privilegi.
In genere, gli aggressori cercano e sfruttano deliberatamente le vulnerabilità di sicurezza note all’interno, anche se non potrebbero trovare un modo per sfruttarle dall’esterno perché i difensori si sono presi la briga di proteggerle dal perimetro della rete.
Ad esempio, in un’indagine pubblicata di recente sulle intrusioni su cui il team di Sophos Rapid Response ha indagato nel 2021, abbiamo scoperto che solo nel 15% delle intrusioni iniziali – in cui gli aggressori superano il muro esterno ed entrano nel cortile – i criminali sono stati in grado di entrare utilizzando RDP.
(RDP è l’abbreviazione di remote desktop protocol, un componente di Windows molto diffuso, progettato per consentire all’utente X di lavorare in remoto sul computer Y, dove Y è spesso un server che non ha uno schermo e una tastiera propri, e può trovarsi tre piani sottoterra in una sala server, o dall’altra parte del mondo in un centro dati cloud).
Ma nell’80% degli attacchi, i criminali hanno usato RDP una volta entrati per vagare quasi a piacimento nella rete:
Altrettanto preoccupante è il fatto che, quando non si trattava di ransomware (perché un attacco ransomware rende immediatamente evidente la violazione!), il tempo medio in cui i criminali hanno vagato per la rete senza essere notati è stato di 34 giorni, più di un mese di calendario:
L’incidente di Uber
Non sappiamo ancora con certezza come sia stata effettuata l’ingegneria sociale iniziale (abbreviata in SE nel gergo degli hacker), ma il ricercatore di minacce Bill Demirkapi ha twittato uno screenshot che sembra rivelare (con dettagli precisi redatti) come sia stata ottenuta l’elevazione dei privilegi.
A quanto pare, anche se l’hacker ha iniziato come utente normale, e quindi aveva accesso solo ad alcune parti della rete…
… un po’ di ficcanasare sulle condivisioni non protette della rete ha rivelato una directory di rete aperta che includeva un gruppo di script PowerShell…
… che includevano credenziali di sicurezza codificate per l’accesso dell’amministratore a un prodotto noto in gergo come PAM, abbreviazione di Privileged Access Manager.
Come suggerisce il nome, un PAM è un sistema utilizzato per gestire le credenziali e controllare l’accesso a tutti (o almeno a molti) gli altri prodotti e servizi utilizzati da un’organizzazione.
In parole povere, l’aggressore, che probabilmente ha iniziato con un account utente umile e forse molto limitato, è incappato in una ueber-password che ha sbloccato molte delle ueber-password delle operazioni IT globali di Uber.
Non sappiamo con certezza quanto sia ampio il raggio d’azione dell’hacker una volta aperto il database PAM, ma i post su Twitter di numerose fonti suggeriscono che l’aggressore è riuscito a penetrare in gran parte dell’infrastruttura IT di Uber.
L’hacker avrebbe scaricato dati che dimostrano l’accesso ad almeno i seguenti sistemi aziendali: gli spazi di lavoro di Slack; il software di protezione dalle minacce di Uber (quello che spesso viene ancora chiamato disinvoltamente “antivirus”); una console AWS; le informazioni sui viaggi e sulle spese dell’azienda (compresi i nomi dei dipendenti); una console di server virtuali vSphere; un elenco di spazi di lavoro di Google; e persino il servizio di bug bounty di Uber.
(A quanto pare, e ironia della sorte, il servizio di bug bounty è stato il luogo in cui l’hacker si è vantato a gran voce a lettere maiuscole, come si evince dal titolo, che UBER È STATO Hackerato).
Cosa fare?
È facile puntare il dito contro Uber in questo caso e insinuare che questa violazione debba essere considerata molto peggiore della maggior parte delle altre, semplicemente a causa della natura rumorosa e molto pubblica di tutto ciò.
Ma la sfortunata verità è che molti, se non la maggior parte, dei cyberattacchi contemporanei hanno comportato che gli aggressori ottenessero esattamente questo grado di accesso…
… o almeno potenzialmente con questo livello di accesso, anche se alla fine non hanno frugato dappertutto come avrebbero potuto.
Dopotutto, molti attacchi ransomware di questi tempi rappresentano non l’inizio ma la fine di un’intrusione che probabilmente è durata giorni o settimane, e forse anche mesi, durante i quali gli aggressori sono probabilmente riusciti a promuoversi fino a raggiungere lo stesso status del sysadmin più anziano dell’azienda che hanno violato.
È per questo che gli attacchi ransomware sono spesso così devastanti: perché, quando arriva l’attacco, sono pochi i computer portatili, i server o i servizi a cui i criminali non hanno ottenuto l’accesso, per cui sono quasi letteralmente in grado di distruggere tutto.
In altre parole, quello che sembra essere accaduto a Uber in questo caso non è una storia nuova o unica di violazione dei dati.
Ecco quindi alcuni suggerimenti che possono essere utilizzati come punto di partenza per migliorare la sicurezza generale della vostra rete:
- I gestori di password e i 2FA non sono una panacea. L’uso di password ben scelte impedisce ai malintenzionati di indovinare la strada da percorrere, e la sicurezza 2FA basata su codici monouso o token di accesso hardware (di solito piccoli dongle USB o NFC che l’utente deve portare con sé) rende le cose più difficili, spesso molto più difficili, per gli aggressori. Tuttavia, contro i cosiddetti attacchi guidati dall’uomo, in cui gli “avversari attivi” partecipano personalmente e direttamente all’intrusione, è necessario aiutare gli utenti a modificare il loro comportamento generale online, in modo che sia meno probabile che vengano convinti a eludere le procedure, indipendentemente da quanto complete e complesse possano essere.
- La sicurezza deve essere presente ovunque nella rete, non solo ai bordi. Al giorno d’oggi, moltissimi utenti hanno bisogno di accedere ad almeno una parte della vostra rete: dipendenti, appaltatori, personale temporaneo, guardie di sicurezza, fornitori, partner, addetti alle pulizie, clienti e altro ancora. Se un’impostazione di sicurezza vale la pena di essere rafforzata in quello che sembra il perimetro della rete, quasi certamente deve essere rafforzata anche “all’interno”. Questo vale soprattutto per le patch. Come ci piace dire su Naked Security, “Patch early, patch often, patch everywhere”.
- Misurate e testate regolarmente la vostra sicurezza informatica. Non date mai per scontato che le precauzioni che pensavate di aver messo in atto funzionino davvero. Non date per scontato, ma verificate sempre. Inoltre, ricordate che, poiché vengono continuamente introdotti nuovi strumenti, tecniche e procedure di cyberattacco, le vostre precauzioni devono essere riviste regolarmente. In parole povere, “la sicurezza informatica è un viaggio, non una destinazione”.
- Prendete in considerazione l’idea di farvi aiutare da un esperto. Sottoscrivere un servizio di Managed Detection and Response (MDR) non è un’ammissione di fallimento o un segno di incapacità di comprendere la cybersecurity. L’MDR non è un’abrogazione delle vostre responsabilità, ma semplicemente un modo per avere a disposizione esperti dedicati quando ne avete davvero bisogno. L’MDR significa anche che, in caso di attacco, il vostro personale non deve abbandonare tutto ciò che sta facendo (comprese le attività regolari che sono vitali per la continuità dell’azienda), lasciando così potenzialmente aperte altre falle nella sicurezza.
- Adottare un approccio a fiducia zero. La fiducia zero non significa letteralmente non fidarsi mai di nessuno per fare qualcosa. È una metafora per dire “non fare supposizioni” e “non autorizzare mai nessuno a fare più di quanto sia strettamente necessario”. I prodotti ZTNA (Zero-trust network access) non funzionano come i tradizionali strumenti di sicurezza di rete, come le VPN. Una VPN in genere fornisce un modo sicuro per consentire a qualcuno all’esterno di ottenere l’accesso generale alla rete, dopodiché spesso gode di una libertà molto maggiore di quella realmente necessaria, consentendogli di vagare, curiosare e curiosare alla ricerca delle chiavi del resto del castello. L’accesso a fiducia zero adotta un approccio molto più granulare, in modo che se l’unica cosa di cui avete bisogno è consultare l’ultimo listino prezzi interno, questo è l’accesso che otterrete. Non avrete nemmeno il diritto di vagare nei forum di supporto, di spulciare i registri di vendita o di ficcare il naso nel database del codice sorgente.
- Create una linea diretta di sicurezza informatica per il personale, se non ne avete già una. Rendete facile a chiunque segnalare problemi di sicurezza informatica. Che si tratti di una telefonata sospetta, di un allegato di posta elettronica improbabile o anche solo di un file che probabilmente non dovrebbe essere presente in rete, prevedete un unico punto di contatto (ad esempio, securityreport@yourbiz.example) che renda facile e veloce la segnalazione da parte dei vostri colleghi.
- Non rinunciate mai alle persone. La tecnologia da sola non può risolvere tutti i problemi di sicurezza informatica. Se trattate il vostro personale con rispetto e se adottate l’atteggiamento di cybersecurity secondo cui “non esiste una domanda stupida, ma solo una risposta stupida”, potete trasformare tutti i membri dell’organizzazione in occhi e orecchie per il vostro team di sicurezza.
Sicurezza Informatica
Microsoft Azure: autenticazione multi-fattore (MFA) obbligatoria da luglio 2024
Tempo di lettura: 2 minuti. Microsoft inizierà a imporre l’autenticazione multi-fattore (MFA) per gli utenti di Azure a partire da luglio 2024
A partire da luglio 2024, Microsoft inizierà gradualmente a imporre l’autenticazione multi-fattore (MFA) per tutti gli utenti che accedono ad Azure per amministrare le risorse. Questa misura di sicurezza sarà implementata inizialmente per il portale Azure, seguita da CLI, PowerShell e Terraform.
Dettagli della politica di imposizione MFA
Il product manager di Azure, Naj Shahid, ha spiegato che gli account di servizio, le identità gestite, le identità di carico di lavoro e altri account basati su token utilizzati per l’automazione saranno esclusi dall’imposizione MFA. Inoltre, gli studenti, gli utenti ospiti e altri utenti finali saranno interessati solo se accedono al portale Azure, CLI, PowerShell o Terraform per amministrare le risorse di Azure. Questa politica di imposizione non si estenderà ad app, siti web o servizi ospitati su Azure.
Preparazione e monitoraggio
Microsoft ha incoraggiato gli amministratori a abilitare l’MFA nei loro tenant prima dell’implementazione utilizzando il wizard MFA per Microsoft Entra. Gli amministratori possono anche monitorare quali utenti hanno registrato l’MFA utilizzando il report di registrazione dei metodi di autenticazione e uno script PowerShell per ottenere un report sullo stato MFA per tutti gli utenti.
Benefici dell’MFA
Uno studio di Microsoft ha evidenziato che l’MFA offre una protezione significativa contro gli attacchi informatici, con oltre il 99,99% degli account con MFA abilitata che resistono ai tentativi di hacking. Inoltre, l’MFA riduce il rischio di compromissione del 98,56%, anche quando gli aggressori tentano di violare gli account utilizzando credenziali rubate.
Iniziative correlate
Questa decisione segue l’annuncio di novembre 2023, in cui Microsoft ha introdotto politiche di accesso condizionale che richiedono l’MFA per tutti gli amministratori quando accedono ai portali di amministrazione di Microsoft (come Entra, Microsoft 365, Exchange e Azure), per gli utenti di tutte le app cloud e per i login ad alto rischio (quest’ultima opzione è disponibile solo per i clienti del piano Premium Plan 2 di Microsoft Entra ID).
Obiettivo di Microsoft
Mark Weinert di Microsoft ha dichiarato che l’obiettivo è raggiungere il 100% di autenticazione multi-fattore, poiché studi formali dimostrano che l’MFA riduce il rischio di appropriazione degli account di oltre il 99%. Weinert ha affermato che ogni utente dovrebbe autenticarsi utilizzando metodi di autenticazione moderni e sicuri.
Sicurezza Informatica
USA arrestati sospetti dietro schema riciclaggio da 73 milioni
Tempo di lettura: 2 minuti. Gli Stati Uniti arrestano due sospetti accusati di guidare uno schema di riciclaggio di $73 milioni tramite truffe di investimento in criptovalute conosciute come “pig butchering”.
Il Dipartimento di Giustizia USA ha arrestato due sospetti accusati di guidare un’organizzazione criminale dedita al riciclaggio di almeno $ 73 milioni provenienti da truffe di investimento in criptovalute, conosciute come “pig butchering”.
Come funzionano le truffe “Pig Butchering”
Nelle truffe “pig butchering”, i criminali si avvicinano alle vittime utilizzando app di messaggistica, piattaforme di incontri o social media per costruire fiducia e introdurle a schemi di investimento fraudolenti. Invece di investire i fondi delle vittime come promesso, i truffatori trasferiscono tutte le criptovalute degli investitori in conti e portafogli di criptovaluta sotto il loro controllo.
Arresto e accusa dei sospetti
I cittadini cinesi Daren Li e Yicheng Zhang sono stati arrestati il 12 aprile all’aeroporto internazionale Hartsfield-Jackson di Atlanta e successivamente a Los Angeles. Secondo i documenti del tribunale, i due sospetti e i loro complici hanno trasferito milioni di dollari dalle vittime delle truffe “pig butchering” a conti bancari statunitensi legati a decine di società di comodo, utilizzando vari conti bancari nazionali e internazionali e piattaforme di criptovaluta per nascondere l’origine e la proprietà dei fondi.
Li e Zhang avrebbero diretto associati ad aprire questi conti bancari e monitorato il trasferimento di oltre $73 milioni a Deltec Bank nelle Bahamas, dove il denaro è stato convertito in criptovaluta, inclusa USDT (Tether). Durante le indagini, gli agenti delle forze dell’ordine hanno scoperto oltre $341 milioni in criptovalute in uno dei portafogli utilizzati per il riciclaggio di denaro. Le comunicazioni tra i sospetti e i loro complici hanno rivelato dettagli riguardanti le commissioni, le società di comodo utilizzate e le interazioni con le istituzioni finanziarie statunitensi.
Impatto e risposta delle autorità
Brian Lambert, Direttore Aggiunto delle Investigazioni del Servizio Segreto degli Stati Uniti, ha dichiarato che schemi di frode finanziaria complessi come il “pig butchering” rappresentano una minaccia chiara e presente per l’infrastruttura finanziaria degli Stati Uniti, con numerosi americani vittime di queste attività predatorie. Nel 2023, il Servizio Segreto e i suoi partner hanno recuperato oltre $1,1 miliardi in frodi finanziarie, e si prevede che supereranno questa cifra quest’anno.
Li e Zhang sono accusati di cospirazione per riciclaggio di denaro e sei capi di imputazione per riciclaggio internazionale. Se condannati, potrebbero affrontare una pena massima di 20 anni di prigione per ciascun capo d’imputazione.
Precedenti arresti e aumento delle truffe di investimento
A dicembre, il Dipartimento di Giustizia degli Stati Uniti ha accusato altri quattro sospetti di coinvolgimento in uno schema di “pig butchering” che ha portato a oltre $80 milioni di perdite per le vittime. Il rapporto sul crimine informatico del 2023 dell’FBI ha avvertito che le truffe di investimento hanno visto un aumento del 38% passando da $3,31 miliardi nel 2022 a $4,57 miliardi nel 2023. In particolare, le truffe di investimento con riferimento alle criptovalute sono aumentate del 53%, passando da $2,57 miliardi nel 2022 a $3,96 miliardi nel 2023.
Sicurezza Informatica
Operazione Polo Est: smantellato Gruppo di esperti in Truffe Online
Tempo di lettura: 2 minuti. La Polizia Postale smantella un gruppo criminale specializzato in truffe online attraverso email di spoofing. Scopri i dettagli dell’operazione Polo Est e le azioni intraprese.
La Polizia Postale, attraverso l’operazione “Polo Est”, ha smantellato un gruppo criminale specializzato in truffe online che utilizzava email di spoofing per ingannare le vittime con false accuse di reati gravi, come la gli abusi sui minori. L’operazione, coordinata dalla procura di Bergamo e condotta dal Centro operativo per la sicurezza cibernetica per la Lombardia, è scaturita dalla denuncia di un cittadino italiano residente in Cina, truffato per oltre 117mila euro.
Dettagli dell’operazione
L’indagine ha avuto origine dalla denuncia di una vittima che aveva ricevuto un’email recante il logo della Polizia Postale e la firma di un funzionario di polizia in pensione, accusandolo di reati di collegati all’abuso di minori online. Dopo aver subito vessazioni e temendo per la propria reputazione, la vittima ha pagato diverse “multe” per un totale di oltre 117mila euro prima di rendersi conto della truffa e rivolgersi alla Polizia Postale.
Smantellamento del Gruppo Criminale
L’operazione ha permesso di identificare i membri del gruppo criminale, con base logistica nella provincia di Bergamo. Gli investigatori hanno eseguito 12 perquisizioni nei confronti di un cittadino italiano e di altre 11 persone straniere, di età compresa tra i 25 e i 54 anni. Durante le perquisizioni, sono state sequestrate diverse documentazioni relative alle movimentazioni di denaro provenienti dalle vittime e attività di riciclaggio dei proventi illeciti.
Analisi dei Dispositivi Informatici
L’analisi dei dispositivi informatici, condotta sul posto dagli agenti della Polizia Postale di Milano, ha rivelato dettagli sulle conversazioni con le vittime e sui movimenti di denaro. Queste prove hanno confermato l’attività dei truffatori e la loro capacità di contattare le potenziali vittime utilizzando una falsa identità. L’operazione Polo Est rappresenta un significativo successo nella lotta contro le truffe online. Grazie all’intervento tempestivo della Polizia Postale, è stato possibile identificare e smantellare un gruppo criminale che operava attraverso sofisticate tecniche di spoofing via email, proteggendo così numerose potenziali vittime da ulteriori frodi.
- L'Altra Bolla1 settimana fa
TikTok: azione legale contro Stati Uniti per bloccare il divieto
- L'Altra Bolla1 settimana fa
Meta testa la condivisione incrociata da Instagram a Threads
- L'Altra Bolla1 settimana fa
X sotto indagine dell’Unione Europea
- Robotica7 giorni fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Smartphone1 settimana fa
Xiaomi 14 e 14 Ultra, problemi di condensa nelle fotocamere
- Inchieste4 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla4 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Sicurezza Informatica1 settimana fa
Nuovo attacco “Pathfinder” alle CPU Intel: è il nuovo Spectre?