Sicurezza Informatica
Documenti NATO rubati all’insaputa del Portogallo: messi in vendita nel Dark Web
Tempo di lettura: 4 minuti. I fascicoli top secret sono stati sottratti dall’Agenzia di Stato Maggiore delle Forze Armate del Portogallo (EMGFA), l’ente governativo che gestisce essenzialmente l’esercito del Paese. Si ritiene che la violazione si sia verificata nel corso dell’estate, ma non è ancora stata individuata, poiché l’EMGFA ne era completamente all’oscuro fino a quando i documenti non sono emersi sul dark web.
Un furto di documenti NATO di “estrema gravità” dal governo del Portogallo sembra essere stato causato da una violazione del protocollo di sicurezza, che ha permesso di accedere via Internet a file che avrebbero dovuto essere archiviati in aereo. I documenti sono stati successivamente messi in vendita su un sito del dark web.
Secondo quanto riferito, centinaia di documenti sono stati rubati e resi disponibili in questo modo, e il governo portoghese sta affrontando difficili domande sul perché la violazione non sia stata scoperta per settimane. L’incidente è stato scoperto solo quando l’intelligence degli Stati Uniti si è imbattuta nei documenti della NATO rubati sul dark web.
I documenti della NATO sono stati scoperti dall’intelligence statunitense solo dopo essere stati venduti su un sito di aste del dark web. Gli agenti hanno avvisato l’ambasciata statunitense a Lisbona, che a sua volta ha informato il governo portoghese, il quale ha ordinato uno screening completo della rete dell’EMGFA da parte del centro di sicurezza informatica del Paese e dell’Ufficio di sicurezza nazionale (GNS).
Fonti interne hanno dichiarato ai media locali portoghesi che i documenti NATO rubati erano di “estrema gravità”. Si tratta del tipo di documenti che, secondo il protocollo, devono essere conservati in sistemi protetti dall’aria, ma le fonti affermano che i bot programmati per la scansione di questo tipo di documenti li hanno prelevati via Internet. L’attacco sarebbe stato condotto per un lungo periodo di tempo e in più fasi. Il governo portoghese non ha ancora commentato l’attacco né le notizie riportate dai media.
Se si deve credere a queste notizie, la causa più probabile è che qualcuno abbia collegato i sistemi con protezione aerea a una porzione di rete interna connessa a Internet per comodità. John Vestberg, CEO di Clavister, ritiene che questo sia un momento di insegnamento per tutti i membri della NATO: “Sebbene qualsiasi tipo di violazione dei dati sia preoccupante, l’effetto è amplificato quando si tratta di documenti così sensibili. Il fatto che ci siano volute settimane prima che le autorità portoghesi venissero allertate dagli Stati Uniti segnala anche un’allarmante mancanza di monitoraggio, o per lo meno un’incapacità di aderire a una forte politica di cybersecurity. Organizzazioni come la NATO devono investire nella “difesa in profondità”, implementando più livelli di difesa, soprattutto alla luce delle attuali tensioni geopolitiche legate alla guerra in corso in Ucraina. A livello individuale, un elemento cruciale di questa violazione riguarda l’aggiornamento del personale e la garanzia che le regole e i protocolli vengano seguiti da vicino. In questo caso, i documenti classificati sono stati impropriamente trasmessi ed esfiltrati da sofisticati bot, il che dimostra fino a che punto i criminali informatici orchestrino attentamente questi attacchi. L’attacco non solo è preoccupante di per sé, ma invia anche un messaggio ad altri attori delle minacce: anche i documenti più sensibili possono essere compromessi rapidamente e, in questo caso, in modo occulto. Le organizzazioni e gli enti pubblici come il Ministero della Difesa portoghese devono assicurarsi di implementare in futuro misure di sicurezza robuste e fondamentalmente flessibili per mitigare tali violazioni”.
La vendita nel dark web di documenti sensibili pone rischi sconosciuti alla NATO
La politica della NATO è quella di non discutere pubblicamente le fughe di informazioni classificate, quindi è probabile che continuerà ad esserci incertezza su questa violazione e sulla successiva asta sul dark web.
Non è chiaro se sia in qualche modo collegato al furto dei documenti della NATO, ma all’inizio di agosto il Ministro della Difesa Helena Carreiras ha emesso un ordine per ulteriori 11,5 milioni di euro da destinare alla formazione e ai servizi di consulenza relativi alle difese informatiche nei prossimi otto anni.
L’incidente solleva nuovi interrogativi sulla preparazione dei partner della NATO in materia di cybersicurezza, poco dopo che in agosto un hackeraggio della francese MBDA Missile Systems ha visto il furto di documenti di intelligence classificati e la loro vendita sul dark web. MBDA produce missili forniti dalla NATO e attualmente utilizzati nella guerra in Ucraina. I rapporti indicano che un disco rigido esterno appartenente a uno dei fornitori di MBDA è stato violato; 80 GB di documenti sono emersi su un forum del dark web e sono stati venduti ad almeno un acquirente al prezzo di 15 bitcoin. La violazione sembra aver incluso documenti NATO classificati come “segreti” e “classificati”, ma non con la designazione di “segreto cosmico”. Un campione dei file indica che sono stati prodotti dal 2017 al 2020.
I documenti della NATO avrebbero anche fatto parte dell’ampia violazione dei dati del governo federale degli Stati Uniti del 2020, avvenuta attraverso partner tecnologici a monte come Microsoft e SolarWinds. Quell’attacco è stato attribuito alle squadre russe di minaccia persistente avanzata, sostenute dallo Stato, in cerca di intelligence, piuttosto che ai criminali del dark web.
I documenti della NATO avrebbero anche fatto parte dell’ampia violazione dei dati del governo federale degli Stati Uniti del 2020, avvenuta attraverso partner tecnologici a monte come Microsoft e SolarWinds. Quell’attacco è stato attribuito ai team russi di minaccia persistente avanzata, sostenuti dallo Stato, in cerca di informazioni, piuttosto che ai criminali del dark web. Il coinvolgimento di questi gruppi relativamente meno sofisticati, che in precedenza si erano tenuti alla larga da potenti obiettivi governativi per non attirare troppo l’attenzione delle forze dell’ordine, è uno sviluppo preoccupante.
Sally Vincent, Senior Threat Research Engineer di LogRhythm, osserva che di recente si è verificata una serie di piccoli attacchi di questo tipo, che dimostrano come i criminali informatici stiano perdendo la paura della rappresaglia governativa e vedano i soldi nel rubare segreti che un tempo interessavano solo ai gruppi di minacce avanzate persistenti degli Stati nazionali: “L’attacco a EMGFA segue altri recenti attacchi a organizzazioni governative. Solo il mese scorso, l’Instituto Agriculturo della Repubblica Dominicana e la magistratura argentina di Córdoba hanno subito attacchi ransomware simili. Purtroppo, la ricchezza di informazioni sensibili delle agenzie governative le rende obiettivi interessanti per i criminali informatici e questo attacco all’EMGFA ha conseguenze terribili. L’esposizione di segreti di Stati nazionali sul dark web non solo mette a rischio la credibilità militare del Portogallo, ma mina anche la sicurezza della NATO. Si presume che l’attacco informatico sia avvenuto dopo che l’EMGFA ha violato le sue regole di sicurezza operativa. Per evitare che si verifichi un attacco simile, le organizzazioni devono sviluppare solide regole sui loro protocolli di sicurezza informatica e rispettarle. Inoltre, le organizzazioni devono tenere a mente le loro tecnologie di prevenzione e rilevamento, assicurarsi di avere i controlli protettivi appropriati e verificare di avere visibilità su ciò che sta accadendo nel loro ambiente”.
La NATO si è riunita a giugno per estendere per la prima volta i suoi sforzi di collaborazione in materia di cybersicurezza ai partner della regione Asia-Pacifico, nell’interesse di coordinare risposte rapide di fronte alle crescenti minacce regionali provenienti sia dalla Cina che dalla Russia. L’organizzazione ha anche riaffermato una decisione del 2021 secondo cui un attacco informatico a uno Stato membro può essere considerato una violazione dell’articolo 5 del Trattato del Nord Atlantico, rendendolo un attacco contro l’organismo nel suo complesso.
Sicurezza Informatica
Turla usa Lunar contro le agenzie governative europee
Tempo di lettura: 2 minuti. Hacker russi utilizzano i nuovi malware LunarWeb e LunarMail per violare le agenzie governative europee nella ricerca di Eset
Ricercatori di sicurezza hanno scoperto due nuove backdoor, denominate LunarWeb e LunarMail, utilizzati per compromettere istituzioni diplomatiche di un governo europeo nel Medio Oriente e questi malware, attivi dal 2020 sotto il ceppo di Lunar, sono attribuiti all’APT sponsorizzato dallo stato russo, Turla.
Catena di attacco Lunar
Secondo il rapporto di ESET, l’attacco inizia con email di spear-phishing contenenti file Word con macro dannose per installare la backdoor LunarMail. Questo stabilisce la persistenza creando un componente aggiuntivo di Outlook che si attiva ogni volta che il client di posta viene avviato.
I ricercatori hanno anche osservato l’uso potenziale di uno strumento di monitoraggio di rete open-source mal configurato, Zabbix, per distribuire il payload LunarWeb. Questo componente viene eseguito tramite una richiesta HTTP con una password specifica, decrittando ed eseguendo i componenti del loader e del backdoor.
Funzionamento della backdoor Lunar
LunarWeb e LunarMail sono progettati per una sorveglianza prolungata e nascosta, il furto di dati e il mantenimento del controllo sui sistemi compromessi. LunarWeb è utilizzato sui server, emulando traffico legittimo e nascondendo comandi in file di immagini tramite steganografia.
LunarMail si installa su workstation con Microsoft Outlook, usando un sistema di comunicazione basato su email per lo scambio di dati con il server C2.
Tecniche di persistenza e attacco
I malware Lunar utilizzano tecniche sofisticate per mantenere la loro presenza sui dispositivi infetti, inclusi estensioni delle policy di gruppo, sostituzione di DLL di sistema e distribuzione come parte di software legittimi. I payload vengono decrittati da un loader chiamato LunarLoader usando cifrature RC4 e AES-256.
Attribuzione e sofisticazione degli attacchi
Le somiglianze nei TTP (tattiche, tecniche e procedure) osservate indicano che il toolset Lunar è stato sviluppato e operato da individui multipli, con vari gradi di sofisticazione nelle compromissioni. Gli attacchi più recenti hanno rivelato che i backdoor sono stati utilizzati in operazioni non rilevate dal 2020.
Indicatori di compromissione
ESET ha fornito una lista di indicatori di compromissione (IoC) per file, percorsi, rete e chiavi di registro osservati negli ambienti compromessi. La lista completa è disponibile qui.
Sicurezza Informatica
Garante Privacy irlandese indaga sulla violazione di Dell
Tempo di lettura: < 1 minuto. Garante Privacy irlandese avvia un’indagine sulla violazione dei dati personali dei clienti di Dell, con rischi di pesanti sanzioni per l’azienda.
Il Garante Privacy irlandese ha avviato un’indagine in seguito alle recenti violazioni dei dati personali dei clienti di Dell. La conferma arriva dal vice commissario della DPC, Graham Doyle, che ha ricevuto una notifica di violazione da parte di Dell, attualmente sotto valutazione.
Dettagli delle violazioni
Dell ha informato i clienti tramite email di aver subito una violazione dei dati che ha portato al furto di nomi, indirizzi fisici e informazioni sugli ordini. Nonostante ciò, Dell ha minimizzato il rischio per i clienti, affermando che il tipo di informazioni coinvolte non rappresenta un rischio significativo. Tuttavia, un secondo attacco è stato segnalato, nel quale l’attore della minaccia, noto come Menelik, ha dichiarato di aver sottratto nomi, numeri di telefono e indirizzi email dei clienti da un diverso portale Dell.
Implicazioni per Dell
Le violazioni mettono in luce vulnerabilità significative nei portali di Dell, con dati personali di clienti dell’Unione Europea coinvolti nel furto. L’Autorità Irlandese per la Protezione dei Dati, nota per essere uno dei regolatori della privacy più attivi in Europa, ha preso in carico il caso. La DPC ha precedentemente imposto pesanti sanzioni ad altre grandi aziende tecnologiche, tra cui una multa di 379 milioni di dollari a TikTok per la gestione dei dati dei minori e una multa di 1,3 miliardi di dollari a Meta per la violazione delle norme sul trasferimento dei dati personali verso gli Stati Uniti.
Con l’indagine della del Garante Privacy irlandese in corso, Dell rischia sanzioni significative in caso di violazioni confermate del GDPR, che possono arrivare fino al 4% del fatturato globale annuo. L’azienda ha dichiarato di collaborare con i regolatori per risolvere la situazione e proteggere i dati dei clienti.
Sicurezza Informatica
CISA: nuova direttiva e aggiornamenti di sicurezza
Tempo di lettura: 2 minuti. CISA rilascia nuovi avvisi di sicurezza per ics, aggiunge vulnerabilità al catalogo e Adobe rilascia diversi aggiornamenti di sicurezza
Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente rilasciato una serie di aggiornamenti e avvisi di sicurezza significativi unitamente a una direttiva. Tra le principali notizie, CISA ha pubblicato diciassette nuovi avvisi riguardanti sistemi di controllo industriale per fornitori come Siemens e Rockwell Automation. Inoltre, sono state aggiunte tre nuove vulnerabilità conosciute al catalogo delle vulnerabilità sfruttate, che includono criticità nei router D-Link e in Google Chromium. CISA ha anche aggiornato il catalogo con due ulteriori vulnerabilità relative ai prodotti Microsoft. Infine, Adobe ha rilasciato importanti aggiornamenti di sicurezza per numerosi prodotti software, evidenziando la necessità di aggiornamenti tempestivi per prevenire potenziali exploit.
CISA rilascia diciassette avvisi sui sistemi di controllo industriale
- ICSA-24-137-01 Siemens Parasolid
- ICSA-24-137-02 Siemens SICAM Products
- ICSA-24-137-03 Siemens Teamcenter Visualization and JT2Go
- ICSA-24-137-04 Siemens Polarion ALM
- ICSA-24-137-05 Siemens Simcenter Nastran
- ICSA-24-137-06 Siemens SIMATIC CN 4100 Before V3.0
- ICSA-24-137-07 Siemens SIMATIC RTLS Locating Manager
- ICSA-24-137-08 Siemens PS/IGES Parasolid Translator Component
- ICSA-24-137-09 Siemens Solid Edge
- ICSA-24-137-10 Siemens RUGGEDCOM CROSSBOW
- ICSA-24-137-11 Siemens RUGGEDCOM APE1808
- ICSA-24-137-12 Siemens Desigo Fire Safety UL and Cerberus PRO UL Fire Protection Systems
- ICSA-24-137-13 Siemens Industrial Products
- ICSA-24-137-14 Rockwell Automation FactoryTalk View SE
- ICSA-23-044-01 Mitsubishi Electric MELSEC iQ-R Series Safety CPU and SIL2 Process CPU (Update A)
- ICSA-24-074-14 Mitsubishi Electric MELSEC-Q/L Series (Update A)
- ICSMA-20-049-02 GE Healthcare Ultrasound Products (Update A)
Il Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato diciassette nuovi avvisi relativi ai sistemi di controllo industriale (ICS) per vari fornitori, tra cui Siemens, Rockwell Automation, Mitsubishi Electric e GE Healthcare. Questi avvisi forniscono informazioni dettagliate su vulnerabilità che potrebbero essere sfruttate da attori malevoli per compromettere i sistemi critici.
CISA aggiunge tre nuove vulnerabilità conosciute al catalogo
CISA ha aggiunto tre nuove vulnerabilità al suo catalogo delle vulnerabilità conosciute, basate su prove di sfruttamento attivo:
- CVE-2014-100005 D-Link DIR-600 Router Cross-Site Request Forgery (CSRF) Vulnerability
- CVE-2021-40655 D-Link DIR-605 Router Information Disclosure Vulnerability
- CVE-2024-4761 Google Chromium V8 Out-of-Bounds Memory Write Vulnerability
Queste vulnerabilità rappresentano vettori di attacco comuni per i cyber attori e pongono rischi significativi per l’infrastruttura federale.
CISA aggiunge due nuove vulnerabilità conosciute al catalogo
CISA ha aggiunto altre due vulnerabilità al catalogo delle vulnerabilità conosciute:
- CVE-2024-30051 Microsoft DWM Core Library Privilege Escalation Vulnerability
- CVE-2024-30040 Microsoft Windows MSHTML Platform Security Feature Bypass Vulnerability
La direttiva operativa vincolante (BOD) 22-01 della CISA richiede alle agenzie del ramo esecutivo federale civile (FCEB) di risolvere le vulnerabilità identificate entro la data di scadenza per proteggere le reti contro le minacce attive.
Aggiornamenti di sicurezza di Adobe per più prodotti
Adobe ha rilasciato aggiornamenti di sicurezza per affrontare vulnerabilità nei suoi prodotti software. Gli utenti e gli amministratori sono incoraggiati a rivedere i bollettini di sicurezza di Adobe e applicare gli aggiornamenti necessari per prevenire il controllo del sistema da parte di attori malevoli.
- Adobe Acrobat and Reader
- Adobe Illustrator
- Substance 3D Painter
- Adobe Aero
- Substance 3D Designer
- Adobe Animate
- Adobe FrameMaker
- Adobe Dreamweaver
- Inchieste1 settimana fa
Perchè il motore di ricerca OpenAI fa paura ai giornalisti?
- L'Altra Bolla1 settimana fa
Meta arriva l’intelligenza artificiale per la Pubblicità
- L'Altra Bolla1 settimana fa
TikTok: azione legale contro Stati Uniti per bloccare il divieto
- L'Altra Bolla1 settimana fa
Meta testa la condivisione incrociata da Instagram a Threads
- L'Altra Bolla1 settimana fa
X sotto indagine dell’Unione Europea
- Robotica6 giorni fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Smartphone1 settimana fa
Xiaomi 14 e 14 Ultra, problemi di condensa nelle fotocamere
- Smartphone1 settimana fa
Google Pixel 8a vs Pixel 8: quale scegliere?