(Introduzione) Circa 18 mesi fa, il governo degli Stati Uniti ha vietato l’uso del software spia Pegasus di NSO Group. Nonostante ciò, un nuovo rapporto afferma che almeno un’agenzia governativa sta utilizzando un malware molto simile proveniente da un’azienda concorrente: Paragon Graphite.

Pegasus: da arma di sorveglianza a minaccia per la sicurezza nazionale

NSO Group produce un software spia chiamato Pegasus, venduto a governi e agenzie di law enforcement. Questo software è in grado di sfruttare vulnerabilità zero-day (ovvero vulnerabilità sconosciute ad Apple) acquistate da hacker, rendendo possibile lanciare attacchi zero-click, ovvero attacchi che non richiedono alcuna interazione da parte dell’utente bersaglio. Basta ricevere un determinato iMessage per consentire a un iPhone di essere compromesso, con i dati personali dell’utente esposti.

Nel 2021, il governo degli Stati Uniti ha dichiarato questo spyware una minaccia per la sicurezza nazionale, vietandone l’uso all’interno del paese sia da organizzazioni pubbliche che private. Il Bureau of Industry and Security (BIS) del Dipartimento del Commercio ha aggiunto la società israeliana alla Entity List, vietando l’importazione, l’esportazione o il trasferimento dei prodotti dell’azienda all’interno degli Stati Uniti.

Governo USA utilizza Paragon Graphite

Nonostante il divieto su Pegasus, un rapporto del Financial Times sostiene che il governo degli Stati Uniti utilizza un software spia quasi identico: Graphite di Paragon. Secondo fonti dell’industria, l’Agenzia per la lotta alla droga (DEA) degli Stati Uniti è tra i principali clienti del prodotto di punta di Paragon, soprannominato Graphite.

Questo malware penetra subdolamente le protezioni degli smartphone moderni ed elude la crittografia di app di messaggistica come Signal o WhatsApp, raccogliendo talvolta i dati dai backup su cloud – proprio come fa Pegasus.

La DEA non ha rilasciato commenti diretti, ma è stato affermato che l’agenzia ha acquistato Graphite per l’utilizzo da parte dei partner di law enforcement in Messico nella lotta ai cartelli della droga.

I vermi informatici sono tra le minacce informatiche più dannose che si auto-propagano senza l’interazione dell’utente, spesso sfruttando le vulnerabilità del software o del sistema operativo. A differenza di altri tipi di malware, come i virus, i vermi non richiedono l’apertura di un allegato dannoso o un’azione simile da parte dell’utente.

Come si diffondono i “vermi” informatici?

I worms possono diffondersi attraverso vari metodi:

• Vulnerabilità non corrette: I vermi sfruttano comunemente le vulnerabilità non corrette nei software o nei sistemi operativi. Ad esempio, WannaCry ha sfruttato una vulnerabilità in un server SMB per diffondersi.
• Protocolli insicuri: Alcuni protocolli, come TFTP e Telnet, possono consentire l’accesso senza credenziali o potrebbero essere configurati per utilizzare credenziali predefinite. I vermi possono trasferirsi sui computer utilizzando questi protocolli ed eseguire se stessi.
• Accesso condiviso: I dischi di rete e altri accessi condivisi consentono di condividere file e cartelle su più computer. I vermi possono utilizzare questo accesso condiviso per infettare altri dispositivi.
• Supporti rimovibili: I vermi possono diffondersi tramite supporti rimovibili come chiavette USB e hard disk esterni. Il verme copia se stesso su tutti i supporti rimovibili inseriti in un computer infetto, trasportandolo così a nuovi dispositivi.

Cosa fanno i worms informatici?

Definiti dalla loro capacità di diffondersi senza interazione dell’utente, una volta che i vermi informatici hanno accesso a un computer, possono eseguire qualsiasi azione dannosa. Ad esempio, WannaCry, un tipo di verme ransomware, ha sfruttato le vulnerabilità SMB con l’exploit EternalBlue per diffondersi, ma una volta installato su un computer, ha eseguito le azioni tipiche del ransomware, criptando i file e richiedendo un riscatto per decrittografare tali file.

Tipi di worms

I “vermi” sono comunemente classificati in base al modo in cui si diffondono da una macchina all’altra. Alcuni esempi di tipi comuni di vermi includono: vermi email, vermi P2P, vermi di rete, vermi IM e vermi internet.

Come prevenire i worms

I vermi possono accedere ai sistemi di un’organizzazione attraverso vari mezzi. Alcune buone pratiche per proteggersi dall’infezione da vermi includono la sicurezza dei terminali, la sicurezza delle email, le regole del firewall, la patch delle vulnerabilità e la sicurezza dei protocolli.

Proteggersi dai vermi informatici è fondamentale per mantenere la sicurezza dell’organizzazione. Le soluzioni di sicurezza del terminale come Check Point Harmony Endpoint offrono una protezione robusta contro i vermi e altri tipi di malware.

Secondo quanto riferito da una società di cybersecurity, un’app di registrazione dello schermo per Android, molto diffusa e scaricata da decine di migliaia di persone dal Google Play Store, ha iniziato a spiare i suoi utenti, rubando registrazioni dal microfono e documenti dai telefoni degli utenti.

L’app spia in dettaglio

La ricerca condotta da ESET ha rilevato che l’app Android “iRecorder – Screen Recorder”, ha introdotto il codice maligno con un aggiornamento dell’app quasi un anno dopo essere stata per la prima volta elencata su Google Play. Il codice, secondo ESET, ha permesso all’app di caricare in modo silenzioso un minuto di audio ambientale dal microfono del dispositivo ogni 15 minuti, oltre a estrarre documenti, pagine web e file multimediali dal telefono dell’utente.

Rimozione dall’App Store e misure di sicurezza

L’app non è più elencata su Google Play. Se l’hai installata, dovresti eliminarla dal tuo dispositivo. Al momento della rimozione dell’app maligna dal negozio, aveva accumulato più di 50.000 download.

ESET ha denominato il codice maligno AhRat, una versione personalizzata di un trojan di accesso remoto open source chiamato AhMyth. I trojan di accesso remoto (o RAT) sfruttano un ampio accesso al dispositivo della vittima e possono spesso includere il controllo remoto, ma funzionano anche in modo simile a spyware e stalkerware.

Indagini in Corso

Non è chiaro chi abbia impiantato il codice maligno, se lo sviluppatore o qualcun altro, né per quale motivo. TechCrunch ha inviato una mail all’indirizzo del sviluppatore che era sull’elenco dell’app prima che fosse rimossa, ma non ha ancora ricevuto risposta.

Secondo Stefanko, il codice maligno fa probabilmente parte di una più ampia campagna di spionaggio, in cui gli hacker lavorano per raccogliere informazioni su obiettivi scelti, a volte per conto di governi o per motivi finanziari.