Notizie
FBI entra di nascosto nei dispositivi infetti da Sandworm e rimuove il malware Cyclops Blink. Smantellata Botnet

L’FBI ha avuto accesso remoto e disinfettato i dispositivi situati negli Stati Uniti che eseguono un nuovo potente ceppo di malware botnet di stato russo. Queste autorità hanno aggiunto che il Cremlino stava usando il malware per effettuare hacking furtivi dei suoi avversari.
I dispositivi infetti erano principalmente costituiti da apparecchi firewall di WatchGuard e, in misura minore, dispositivi di rete di Asus. Entrambi i produttori hanno recentemente rilasciato avvisi che forniscono raccomandazioni per l’indurimento o la disinfezione dei dispositivi infettati dalla botnet, conosciuta come Cyclops Blink. Si tratta dell’ultimo malware botnet realizzato dall’apt russo Sandworm, che è tra le più elitarie e distruttive organizzazioni di hacking sponsorizzate dallo stato al mondo.
WatchGuard ha detto al momento che il malware ha infettato circa l’1% dei dispositivi di rete che ha fatto.
Cyclops Blink era un sostituto di un altro pezzo di malware progettato da Sandworm, noto come VPNFilter, che i ricercatori hanno scoperto nel 2018 infettando 500.000 router basati negli Stati Uniti prodotti da Linksys, MikroTik, Netgear, QNAP e TP-Link.
L’FBI ha rapidamente sequestrato un server che Sandworm stava usando per infettare i dispositivi con VPNFilter. Una volta che questo è stato completato, l’ufficio ha istruito il pubblico a riavviare i loro dispositivi. Con questo, la botnet è stata smantellata.
Cyclops Blink era il tentativo di Sandworm di riprendere il controllo persistente dei dispositivi di rete, e il malware ha quasi funzionato. I procuratori federali hanno scritto in una relazione:
Come con VPNFilter, gli attori di Sandworm hanno distribuito Cyclops Blink sui dispositivi di rete in tutto il mondo in un modo che sembra essere indiscriminato; cioè, l’infezione degli attori di Sandworm di qualsiasi particolare dispositivo sembra essere stata guidata dalla vulnerabilità del dispositivo al malware, piuttosto che uno sforzo concertato per colpire quel particolare dispositivo o il suo proprietario per altre ragioni. Gli attori di Sandworm lo hanno fatto attraverso lo sfruttamento delle vulnerabilità del software in vari dispositivi di rete, principalmente i dispositivi firewall WatchGuard. In particolare, i dispositivi WatchGuard sono vulnerabili a un exploit che consente l’accesso remoto non autorizzato ai pannelli di gestione di tali dispositivi.
La botnet persisteva anche dopo il 23 febbraio. Questo è quando WatchGuard, in coordinamento con l’FBI, ha rilasciato le istruzioni per riportare i dispositivi disinfettati ad uno stato pulito e configurare i dispositivi per impedire l’accesso illimitato alle interfacce di gestione. WatchGuard ha anche risolto una vulnerabilità tracciata come CVE-2022-23176, che ha aperto il buco di bypass dell’autenticazione quando i server sono stati configurati per consentire l’accesso illimitato alla gestione da indirizzi IP esterni. Nonostante il CVE rilasciato quest’anno, WatchGuard ha dichiarato che comunque la vulnerabilità è stata completamente affrontata nel maggio 2021.
Dopo l’avviso di febbraio, tuttavia, il numero di dispositivi nella botnet Cyclops Blink è sceso solo del 39%. In risposta, l’FBI ha fatto un passo avanti rispetto a quanto fatto con VPNFilter nel 2018. In un’operazione clandestina di takedown mascherata da un mandato federale, gli agenti hanno acceduto in remoto ai dispositivi WatchGuard infetti collegati a 13 indirizzi IP con sede negli Stati Uniti. Da lì, gli agenti:
- Confermato la presenza del malware Cyclops Blink
- Hanno registrato il numero di serie che Cyclops Blink ha usato per tracciare i suoi bot
- Copiato un elenco di altri dispositivi infettati da Cyclops Blink
- Disinfettato le macchine
- Chiuso le porte di gestione rivolte a Internet per impedire a Sandworm di avere accesso remoto
Non è la prima volta che l’FBI accede in remoto a un dispositivo infetto per rimuovere una minaccia, ma è un primo esempio. Molti professionisti della sicurezza hanno sollevato preoccupazioni che tali mosse hanno il potenziale di causare danni se tali azioni accidentalmente interrompono un processo mission-critical. I sostenitori della privacy hanno anche denunciato l’esposizione che tali azioni possono avere sulle informazioni dei privati.
Jake Williams, un ex hacker per la NSA e ora direttore esecutivo di Cyber Threat Intelligence presso la società di sicurezza SCYTHE, ha espresso le stesse preoccupazioni in questo caso. Ha detto che i passi specifici che l’FBI ha fatto, tuttavia, lo hanno fatto sentire più tranquillo. In un messaggio, ha scritto:
Penso che sia sempre rischioso per le FO [forze dell’ordine] modificare qualsiasi cosa su un server che non controllano. Tuttavia, in questo caso, non credo che ci fosse un rischio significativo, quindi i benefici superavano chiaramente i rischi. Molti citeranno argomenti di pendenza scivolosa come ragioni per cui questa particolare azione è stata impropria, ma penso che sia sbagliato. Il fatto che l’FBI si sia coordinata con un’impresa privata (WatchGuard) in questa azione è particolarmente significativo.
Il rapporto dell’FBI dice che, lo scorso settembre, gli agenti hanno intervistato i rappresentanti di una società che gestisce un dispositivo infetto sulla sua rete. L’azienda ha permesso agli agenti di prendere un’immagine forense della macchina e di “osservare prospetticamente il traffico di rete associato all’apparecchio firewall“.
Notizie
WannaCry continua a far piangere la cybersecurity mondiale
Tempo di lettura: 2 minuti. Ricorre l’anniversario del ransomware che 5 anni fa ha bloccato il mondo

Alcuni anniversari sono destinati a far venire i brividi, e il mondo dell’Information Technology non fa eccezione. Maggio 2022 segna cinque anni da quando il cryptoworm ransomware WannaCry, diffuso in tutto il mondo, ha preso di mira i sistemi operativi Microsoft.
Il codice maligno ha agito criptando i dati e chiedendo il pagamento di un riscatto in Bitcoin. È molto probabile che l’origine dell’attacco provenga dalla Corea del Nord. WannaCry è stato infine annullato da un ricercatore di sicurezza autodidatta che ha individuato un singolo “trucco rapido” per disabilitare le caratteristiche più distruttive di WannaCry. Da allora, tuttavia, il ransomware è diventato più sofisticato.
Poiché gli attacchi di ransomware continuano a essere un problema di sicurezza di primaria importanza, le best practice per evitare attacchi simili sono ancora in primo piano per le organizzazioni.
A valutare le strategie appropriate per Digital Journal è Ariel Parnes, fondatore e COO di Mitiga, una società di risposta agli incidenti nel cloud.
Partendo dalla storia recente, Parnes afferma: “Nel maggio 2017, l’attacco cryptoworm WannaCry ransomware ha preso di mira i computer con Microsoft Windows, criptando i dati e chiedendo il pagamento di un riscatto in Bitcoin. Sfruttando l’exploit EternalBlue sviluppato dalla National Security Agency per i vecchi sistemi Windows, è stato efficace contro le organizzazioni che non avevano implementato le patch per gli exploit o che utilizzavano ancora vecchi sistemi Windows non più supportati da Microsoft“.
Ciò comporta l’importanza di garantire che i sistemi legacy siano mantenuti aggiornati o sostituiti se necessario.
Parnes continua parlando della portata dell’attacco: “Secondo alcune stime, l’attacco ha colpito più di 200.000 computer in almeno 150 Paesi, con costi di danni che vanno da centinaia di milioni a miliardi di dollari“.
Parnes riassume: “Cinque anni dopo, come risponderebbe il mondo a un attacco massiccio come WannaCry? Siamo più pronti ora a rispondere a un incidente simile? Come sappiamo, la patch delle vulnerabilità può essere un processo lungo e complesso anche al giorno d’oggi, basti pensare al numero di organizzazioni che non hanno ancora patchato Log4Shell quattro mesi dopo il suo annuncio“.
Tuttavia, come sottolinea Parnes, è necessario fare di più: La sola patch non è sufficiente a fermare gli aggressori. Potrebbero aver già utilizzato una vulnerabilità per accedere a un ambiente, e sono troppo poche le organizzazioni che conducono regolarmente una caccia proattiva alle minacce”.
Per quanto riguarda gli approcci nuovi e innovativi per il mondo tecnologico odierno, Parnes afferma che: “Per garantire che le organizzazioni siano preparate ad affrontare un cryptoworm globale come WannaCry, devono pensare oltre le soluzioni di prevenzione“.
E aggiunge: “Sebbene queste soluzioni siano oggi una parte preziosa e necessaria della cybersecurity, è necessario adottare un approccio che dia priorità alla prontezza e includa l’automazione per accelerare le indagini e la risoluzione degli incidenti. Senza un cambiamento di approccio per affrontare l’evoluzione delle capacità e dei vettori di attacco degli attori delle minacce, siamo ancora vulnerabili come cinque anni fa“.
Notizie
XorDDoS: cresce l’uso del malware Linux per attacchi DDoS

Microsoft ha osservato un aumento del 254% dell’attività negli ultimi sei mesi da parte di XorDDos, un Trojan Linux che può essere utilizzato per effettuare attacchi denial-of-service distribuiti ed è noto per l’utilizzo di attacchi Secure Shell brute force per ottenere il controllo remoto dei dispositivi di destinazione.
Scoperto per la prima volta dal gruppo di ricerca MalwareMustDie nel 2014, XorDDos prende il nome dalle sue attività di denial-of-service su endpoint e server Linux e dall’uso della crittografia basata su XOR per le sue comunicazioni.
“XorDDos rappresenta la tendenza del malware a prendere sempre più di mira i sistemi operativi basati su Linux, che sono comunemente distribuiti su infrastrutture cloud e dispositivi Internet of Things. Compromettendo i dispositivi IoT e altri dispositivi connessi a Internet, XorDDos accumula botnet che possono essere utilizzate per effettuare attacchi DDoS (distributed denial-of-service)“, secondo il team di ricerca di Microsoft 365 Defender.
Microsoft afferma di aver mitigato un attacco DDoS da 2,4 Tbps nell’agosto 2021. Il traffico dell’attacco proveniva da circa 70.000 fonti in paesi come Malesia, Vietnam, Taiwan, Giappone, Cina e Stati Uniti.
Tuttavia, il traffico dell’attacco non ha raggiunto la sede del cliente preso di mira ed è stato mitigato nei Paesi di origine.
“Gli attacchi DDoS di per sé possono essere molto problematici per numerosi motivi, ma possono anche essere utilizzati come copertura per nascondere ulteriori attività dannose, come l’implementazione di malware e l’infiltrazione nei sistemi target“, afferma Microsoft.
Dettagli di XorDDos
Secondo Microsoft, XorDDos è noto per l’utilizzo di attacchi Secure Shell brute force per ottenere il controllo remoto dei dispositivi di destinazione.
SSH è un protocollo di rete presente nelle infrastrutture IT che consente comunicazioni crittografate su reti insicure per l’amministrazione remota dei sistemi, il che lo rende un vettore interessante per gli aggressori.
Una volta trovate credenziali SSH valide, XorDDos utilizza i privilegi di root per eseguire uno script che scarica e installa XorDDos sul dispositivo di destinazione e utilizza meccanismi di evasione e persistenza che consentono alle sue operazioni di rimanere solide e furtive.
“Le sue capacità di evasione comprendono l’offuscamento delle attività del malware, l’elusione dei meccanismi di rilevamento basati su regole e la ricerca di file dannosi basata su hash, nonché l’utilizzo di tecniche anti-forensi per infrangere l’analisi basata sull’albero dei processi“, affermano Ratnesh Pandey, Yevgeny Kulakov e Jonathan Bar del team di ricerca di Microsoft 365 Defender.
I ricercatori hanno anche osservato nelle recenti campagne che XorDDos può nascondere le attività dannose dall’analisi sovrascrivendo i file sensibili e include vari meccanismi di persistenza per supportare diverse distribuzioni Linux.
Vettore di attacco iniziale
I ricercatori hanno scoperto che i dispositivi infettati per la prima volta da XorDdos sono stati successivamente infettati da malware aggiuntivi come la backdoor Tsunami, che implementa ulteriormente il coin miner XMRig.
“Sebbene non abbiamo osservato XorDDos installare e distribuire direttamente payload secondari come Tsunami, è possibile che il trojan venga sfruttato come vettore per attività successive“, afferma Microsoft.
Microsoft ha analizzato un file ELF a 32 bit (programmato in C/C++) contenente simboli di debug che descrivevano in dettaglio il codice dedicato del malware per ciascuna delle sue attività ed ha scoperto che XorDDos contiene moduli con funzionalità specifiche per eludere il rilevamento.
“Utilizzano processi daemon che vengono eseguiti in background piuttosto che sotto il controllo degli utenti e si distaccano dal terminale di controllo, terminando solo quando il sistema viene spento“, afferma Microsoft.
Derivato dal malware XOR
XOR è apparso per la prima volta nel 2014, come documentato dai ricercatori del progetto Malware Must Die, che lo hanno soprannominato XOR.DDoS e hanno affermato che sembra essere stato sviluppato in Cina.
“Xor.DDoS è un malware multipiattaforma e polimorfico per il sistema operativo Linux e il suo obiettivo finale è quello di effettuare DDoS su altre macchine“, ha dichiarato il ricercatore Bart Blaze in un’analisi tecnica del malware pubblicata nel 2015. “Il nome Xor.DDoS deriva dall’uso massiccio della crittografia XOR sia nel malware che nelle comunicazioni di rete con i [C2]“, ovvero i server di comando e controllo. Questi server impartiscono istruzioni ai sistemi infetti, che fungono da bot nella botnet.
Attacchi DDoS più letali
In un post sul blog del febbraio 2021 che evidenzia le tendenze osservate nel 2020, Microsoft afferma che gli attacchi DDoS sono cresciuti di oltre il 50%, con una crescente complessità e un aumento significativo del volume del traffico DDoS. Nel 2020, Microsoft afferma di aver mitigato una media di 500 attacchi multivettore alle risorse Azure in un dato giorno.
Secondo il blog, l’epidemia di COVID-19 e il conseguente passaggio al lavoro in remoto hanno provocato un aumento del traffico Internet che ha reso più facile per gli aggressori lanciare attacchi DDoS, poiché non dovevano più generare molto traffico per far crollare i servizi.
Nel periodo marzo-aprile 2020, Microsoft ha dichiarato di aver mitigato tra gli 800 e i 1.000 attacchi multivettore al giorno.
Notizie
In 10 secondi è possibile rubare una Tesla. Ecco come

I clienti Tesla potrebbero amare l’elegante sistema di accesso senza chiave della casa automobilistica, ma un ricercatore di cybersicurezza ha dimostrato come la stessa tecnologia potrebbe consentire ai ladri di fuggire con alcuni modelli di veicoli elettrici.
Secondo Sultan Qasim Khan, consulente principale per la sicurezza presso l’azienda di sicurezza NCC Group con sede a Manchester, nel Regno Unito, un hacking efficace sulle auto Tesla Model 3 e Y consentirebbe a un ladro di sbloccare un veicolo, avviarlo e scappare via. Reindirizzando le comunicazioni tra il telefono cellulare del proprietario dell’auto, o il portachiavi, e l’auto, gli estranei possono ingannare il sistema di accesso pensando che il proprietario si trovi fisicamente vicino al veicolo.
L’hack, ha detto Khan, non è specifico di Tesla, anche se ha dimostrato la tecnica a Bloomberg News su uno dei suoi modelli di auto. È piuttosto il risultato del suo intervento sul sistema di accesso senza chiave di Tesla, che si basa su un protocollo noto come Bluetooth Low Energy.
Non ci sono prove che i ladri abbiano usato l’hack per accedere impropriamente ai veicoli Tesla. La casa automobilistica non ha risposto a una richiesta di commento. NCC ha fornito i dettagli delle sue scoperte ai suoi clienti in una nota di domenica, ha dichiarato un funzionario.
Khan ha dichiarato di aver comunicato il potenziale attacco a Tesla e che i funzionari dell’azienda non ritengono il problema un rischio significativo. Per risolverlo, la casa automobilistica dovrebbe modificare l’hardware e cambiare il sistema di accesso senza chiave, ha detto Khan. La rivelazione arriva dopo che un altro ricercatore di sicurezza, David Colombo, ha rivelato un modo per dirottare alcune funzioni dei veicoli Tesla, come l’apertura e la chiusura delle porte e il controllo del volume della musica.
Il protocollo BLE è stato progettato per collegare comodamente tra loro i dispositivi via Internet, ma è emerso anche come metodo sfruttato dagli hacker per sbloccare tecnologie intelligenti, tra cui serrature di casa, automobili, telefoni e computer portatili, ha dichiarato Khan. NCC Group ha dichiarato di essere in grado di condurre l’attacco su diversi dispositivi di altre case automobilistiche e aziende tecnologiche.
L’adolescente che ha violato la Tesla di Elon Musk dice che le aziende dovrebbero avere molta paura. Le serrature intelligenti Kwikset Kevo che utilizzano sistemi keyless con telefoni iPhone o Android sono affette dallo stesso problema, ha dichiarato Khan. Kwikset ha dichiarato che i clienti che utilizzano un iPhone per accedere alla serratura possono attivare l’autenticazione a due fattori nell’app della serratura. Un funzionario ha anche aggiunto che le serrature azionate dall’iPhone hanno un timeout di 30 secondi, che aiuta a proteggersi dalle intrusioni.
Kwikset aggiornerà la sua app per Android “in estate”, ha dichiarato l’azienda.
“La sicurezza dei prodotti Kwikset è di estrema importanza e collaboriamo con note società di sicurezza per valutare i nostri prodotti e continuare a lavorare con loro per garantire la massima sicurezza possibile ai nostri consumatori“, ha dichiarato un funzionario.
Un rappresentante del Bluetooth SIG, il gruppo di aziende che gestisce la tecnologia, ha dichiarato: “Il Bluetooth Special Interest Group dà priorità alla sicurezza e le specifiche includono una serie di funzioni che forniscono agli sviluppatori di prodotti gli strumenti necessari per proteggere le comunicazioni tra dispositivi Bluetooth.
“Il SIG fornisce anche risorse educative alla comunità degli sviluppatori per aiutarli a implementare il livello di sicurezza appropriato nei loro prodotti Bluetooth, oltre a un programma di risposta alle vulnerabilità che collabora con la comunità di ricerca sulla sicurezza per risolvere in modo responsabile le vulnerabilità identificate nelle specifiche Bluetooth“.
Khan ha identificato numerose vulnerabilità nei prodotti client del Gruppo NCC ed è anche il creatore di Sniffle, il primo sniffer Bluetooth 5 open-source. Gli sniffer possono essere utilizzati per tracciare i segnali Bluetooth, aiutando a identificare i dispositivi. Sono spesso utilizzati dalle agenzie governative che gestiscono le strade per monitorare anonimamente i conducenti che attraversano le aree urbane.
Uno studio del 2019 condotto da un gruppo di consumatori britannico, Which, ha rilevato che più di 200 modelli di auto sono suscettibili di furto senza chiave, utilizzando metodi di attacco simili ma leggermente diversi, come lo spoofing dei segnali wireless o radio.
In una dimostrazione a Bloomberg News, il signor Khan ha condotto un cosiddetto attacco relay, in cui un hacker utilizza due piccoli dispositivi hardware che inoltrano le comunicazioni. Per sbloccare l’auto, ha posizionato un dispositivo a relè a circa 15 metri dallo smartphone o dal portachiavi del proprietario della Tesla e un secondo, collegato al suo computer portatile, vicino all’auto.
La tecnologia utilizzava un codice informatico personalizzato che il signor Khan aveva progettato per i kit di sviluppo Bluetooth, venduti online a meno di 50 dollari.
L’hardware necessario, oltre al software personalizzato di Khan, costa complessivamente circa 100 dollari e può essere facilmente acquistato online. Una volta configurati i relè, l’hacking richiede solo “10 secondi”, ha dichiarato Khan.
“Un aggressore potrebbe avvicinarsi a una qualsiasi casa di notte – se il telefono del proprietario è in casa – con un’auto Bluetooth ad accesso passivo parcheggiata fuori e usare questo attacco per sbloccare e avviare l’auto“, ha detto.
“Una volta che il dispositivo è in posizione vicino al telecomando o al telefono, l’aggressore può inviare comandi da qualsiasi parte del mondo“.
-
DeFi3 settimane fa
Altro furto nella blockchain. 15 milioni sottratti a Deus Finance
-
DeFi3 settimane fa
L’esperimento bitcoin di El Salvador non riscuote il successo sperato
-
DeFi3 settimane fa
Prestiti flash: come gli hacker truffano la DeFi per miliardi di dollari l’anno
-
DeFi2 settimane fa
Continuano le truffe “milionarie” DeFi nell’infallibile blockchain
-
Editoriali2 settimane fa
Se vi dicessi che nei riguardi di Orsini è in essere uno stupro di gruppo?
-
Inchieste2 settimane fa
KillNet ed il suo battaglione Legion ostile alla NATO. Intervista esclusiva agli hacker russi che hanno colpito l’Italia
-
Inchieste2 settimane fa
Un “cyborg” dentro Azovstal: la propaganda occidentale elogia Terminator Azov
-
Inchieste2 settimane fa
Cina attacca militari del Sud Est Asiatico con l’APT OverridePanda