Notizie
Primo ministro spagnolo intercettato da Pegasus: verità o false flag?
Il telefono cellulare del primo ministro spagnolo Pedro Sánchez è stato violato due volte nel maggio 2021, e il dispositivo del ministro della difesa Margarita Robles è stato preso di mira una volta il mese successivo, secondo quanto riferito dal ministro del governo Félix Bolaños.
Le violazioni, che hanno portato all’ottenimento di una quantità significativa di dati, non sono state autorizzate da un giudice spagnolo, che è un requisito legale per le operazioni segrete nazionali, ha detto Bolaños in una conferenza stampa frettolosamente convocata a Madrid.
“Non abbiamo alcun dubbio che si tratta di un intervento illecito, non autorizzato“, ha detto Bolaños. “Viene dall’esterno di organismi statali e non ha avuto l’autorizzazione giudiziaria“.
Il governo guidato dai socialisti è stato durante quei mesi sotto un intenso esame per la sua gestione di un’importante disputa di politica estera con il Marocco e attanagliato da una tesa disputa interna sul rilascio dei separatisti incarcerati dalla regione catalana della Spagna.
Bolaños ha rifiutato di speculare su chi potrebbe esserci dietro la violazione di Pegasus, né su cosa potrebbe averla provocata. La Corte Nazionale ha aperto un’indagine sulla violazione, e una commissione parlamentare per gli affari di intelligence è stata fissata per esaminarla.
Nel maggio 2021, più di 8.000 migranti sono entrati con la forza nell’enclave nordafricana spagnola di Ceuta dal Marocco, scalando una recinzione di confine o nuotando intorno ad essa. La Spagna ha schierato truppe e veicoli blindati per fermare altri migranti che entrano nel suo territorio.
Quella crisi è arrivata mentre Rabat e Madrid erano in disaccordo sulla Spagna che ha accettato di fornire cure COVID-19 a un importante leader saharawi che lotta per l’indipendenza del Sahara occidentale, un territorio un tempo sotto il controllo spagnolo che il Marocco ha annesso negli anni ’70.
Le autorità marocchine hanno negato di aver incoraggiato la migrazione di massa a Ceuta, che è arrivata mentre la Spagna ha lottato per far fronte a decine di migliaia di migranti in arrivo dall’Africa.
Prima dell’annuncio di lunedì, il governo era già sotto pressione per spiegare perché i cellulari di decine di persone collegate al movimento separatista nella regione nord-orientale della Catalogna sono stati infettati da Pegasus tra il 2017 e il 2020.
La disputa catalana, con i separatisti che vogliono staccarsi dalla Spagna e gli attivisti che inscenano proteste di strada occasionalmente violente, ha perseguitato i governi spagnoli per decenni.
Le rivelazioni dello spyware da Citizen Lab, un gruppo di esperti di cybersicurezza affiliato all’Università di Toronto, coinvolgono almeno 65 persone, tra cui funzionari eletti, avvocati e attivisti legati alla Catalogna.
Leggi il rapporto di Citizen Lab tradotto su Matrice Digitale
Sono stati presi di mira con il software di due aziende israeliane, Candiru e NSO Group, lo sviluppatore di Pegasus. Lo spyware si infiltra silenziosamente nei telefoni o in altri dispositivi per raccogliere dati e potenzialmente spiare i loro proprietari.
Il governo regionale catalano ha accusato il Centro Nazionale di Intelligence spagnolo, o CNI, di spiare i separatisti, e ha dichiarato che le relazioni con le autorità nazionali erano “in sospeso” fino a quando non saranno offerte spiegazioni complete e i responsabili saranno puniti.
Il conservatore Partito Popolare, o PP, era in carica nel 2017, quando i separatisti catalani hanno dichiarato l’indipendenza a seguito di un referendum non autorizzato, anche se non sono state prese ulteriori azioni per eseguire la dichiarazione. Il PP è rimasto al potere fino alla metà del 2018, quando è stato estromesso da Sánchez in un voto parlamentare.
Il caso dello spionaggio sta sconvolgendo la politica spagnola. L’ERC, il principale partito politico della Catalogna e un alleato cruciale dell’attuale governo, ha chiesto le dimissioni di Robles, il ministro della difesa. Ma lo scandalo dello spionaggio li ha lasciati esposti alla pressione dei separatisti più radicali, che chiedono la fine del sostegno alla coalizione di sinistra-centro di Sánchez nel parlamento nazionale.
Il governo centrale ha tentato di affrontare le loro preoccupazioni con promesse di piena trasparenza, annunci di piani per un’indagine interna da parte dell’agenzia di intelligence del paese e un’indagine separata da parte del difensore civico spagnolo.
Una speciale commissione parlamentare sui segreti di stato è stata anche istituita e il capo del CNI dovrebbe essere interrogato dai legislatori alla fine di questa settimana, anche se le discussioni su questioni di sicurezza dello stato non sono destinate ad essere rese pubbliche.
Notizie
Edge vulnerabilità consentiva installazioni occulte di estensioni dannose
Tempo di lettura: 2 minuti. Una vulnerabilità in Microsoft Edge avrebbe potuto permettere installazioni occulte di estensioni dannose, evidenziando preoccupazioni
Una vulnerabilità di sicurezza, ora corretta, in Microsoft Edge avrebbe potuto permettere l’installazione silenziosa di estensioni arbitrarie, aprire le porte a possibili azioni dannose. Questa scoperta, fatta dal ricercatore di Guardio Labs Oleg Zaytsev, sfruttava impropriamente un’API privata inizialmente destinata per fini di marketing.
Breach nella sicurezza di Edge
La falla, identificata come con un punteggio CVSS di 6.5, è stata risolta da Microsoft nella versione stabile di Edge 121.0.2277.83 rilasciata il 25 gennaio 2024. Questo bug rappresentava una significativa preoccupazione per la sicurezza, poiché avrebbe potuto consentire a un attaccante di guadagnare i privilegi necessari per installare un’estensione nel browser, potenzialmente conducendo a una fuga dalla sandbox del browser.
Il problema risiedeva nell’API edgeMarketingPagePrivate
di Edge, accessibile da un insieme di siti web autorizzati di proprietà di Microsoft. Tale API conteneva un metodo, installTheme()
, progettato per installare un tema dallo store Edge Add-ons, ma a causa di una validazione insufficiente, era possibile per un attaccante fornire un identificativo di estensione qualsiasi e farlo installare in modo occculto.
Implicazioni e scenari di attacco
In uno scenario di attacco ipotetico, un attore di minaccia avrebbe potuto pubblicare un’estensione apparentemente innocua nello store di add-on e utilizzarla per iniettare codice JavaScript dannoso in siti come bing.com, che hanno accesso all’API. L’esecuzione dell’estensione mirata sul browser Edge e la visita a bing.com avrebbero automaticamente installato l’estensione selezionata senza il permesso della vittima.
Sebbene non ci siano prove che questa vulnerabilità sia stata sfruttata attivamente, sottolinea la necessità di bilanciare comodità dell’utente e sicurezza. La personalizzazione del browser può involontariamente annullare meccanismi di sicurezza, introducendo nuovi vettori di attacco.
Riflessioni finali
Questo caso evidenzia come sia relativamente facile per gli attaccanti ingannare gli utenti a installare un’estensione che sembra innocua, senza rendersi conto che potrebbe servire come primo passo in un attacco più complesso. La vulnerabilità avrebbe potuto essere sfruttata per facilitare l’installazione di ulteriori estensioni, potenzialmente per guadagno finanziario, aumentando l’importanza di una vigilanza continua nella gestione della sicurezza dei browser.
Notizie
CISA vulnerabilità in SharePoint e Apple rilascia aggiornamenti di sicurezza
Tempo di lettura: 1 minuto. CISA segnala vulnerabilità sfruttate in SharePoint ed Apple rilascia aggiornamenti di sicurezza per riparare Safari e macOS.
La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso per una vulnerabilità di SharePoint di Microsoft attivamente sfruttata che consente l’esecuzione di codice remoto (RCE), mentre Apple ha rilasciato aggiornamenti di sicurezza per una vulnerabilità in Safari e macOS che potrebbe permettere a un attaccante di prendere il controllo di un sistema.
Vulnerabilità in SharePoint di Microsoft
La vulnerabilità di SharePoint, tracciata come CVE-2023-24955, consente agli aggressori autenticati con privilegi di Proprietario del Sito di eseguire codice a distanza su server vulnerabili. Un’altra falla, CVE-2023-29357, permette agli attaccanti di ottenere privilegi di amministratore su server SharePoint vulnerabili bypassando l’autenticazione tramite token JWT falsificati. Queste due vulnerabilità possono essere combinate da aggressori non autenticati per ottenere l’esecuzione di codice remoto su server non aggiornati.
Un proof-of-concept (PoC) per CVE-2023-29357 è stato rilasciato su GitHub, rendendo questa catena di vulnerabilità più accessibile agli attaccanti, anche a quelli meno esperti. Di conseguenza, CISA ha incluso entrambe le vulnerabilità nel suo catalogo di vulnerabilità note ed è stata sfruttata, ordinando alle agenzie federali statunitensi di applicare le patch entro scadenze specifiche.
Aggiornamenti di Sicurezza per Safari e macOS
Parallelamente, Apple ha affrontato una vulnerabilità critica, identificata come CVE-2024-1580, in Safari e macOS che, se sfruttata, potrebbe consentire a un attore di minaccia di prendere il controllo di un sistema interessato. Gli utenti e gli amministratori sono incoraggiati a rivedere gli avvisi rilasciati e applicare gli aggiornamenti necessari per proteggere i loro dispositivi da potenziali compromissioni.
Significato per la sicurezza
Questi avvisi sottolineano l’importanza di mantenere i sistemi aggiornati e di implementare patch di sicurezza tempestivamente per difendersi dagli attacchi informatici. Le organizzazioni dovrebbero dare priorità a questi aggiornamenti per mitigare il rischio di compromissione dei dati e assicurarsi contro l’esposizione a vulnerabilità critica.
Notizie
India, malware HackBrowserData mira Difesa ed Energia
Tempo di lettura: 2 minuti. Un attacco di phishing utilizzando malware HackBrowserData mascherato da invito dell’Indian Air Force mira al settore difesa ed energetico indiano.
Le entità governative indiane e le compagnie energetiche sono state prese di mira da attori di minaccia non identificati, che hanno distribuito una versione modificata di un malware open-source per il furto di informazioni, denominato HackBrowserData, utilizzando in alcuni casi Slack come server di comando e controllo (C2). L’attacco è stato mascherato da una mail di phishing che apparentemente conteneva un invito da parte dell’Indian Air Force come raccontato dai ricercatori di Eclecticiq.
Dettagli dell’Attacco
Il malware è stato veicolato tramite un’email di phishing che simulava una lettera di invito dall’Indian Air Force. Dopo l’esecuzione del malware, gli attaccanti hanno utilizzato i canali Slack per caricare documenti interni confidenziali, messaggi di posta elettronica privati e dati memorizzati nella cache dei browser web. Questa campagna, osservata per la prima volta dall’azienda olandese di cybersecurity il 7 marzo 2024, è stata soprannominata “Operazione FlightNight” in riferimento ai canali Slack gestiti dagli avversari.
Le vittime dell’attività malevola includono diverse entità governative in India, relative alla comunicazione elettronica, alla governance IT e alla difesa nazionale. L’attore di minaccia ha compromesso con successo aziende private del settore energetico, estraendo documenti finanziari, dettagli personali dei dipendenti e informazioni sulle attività di trivellazione nel settore petrolifero e del gas. In totale, circa 8,81 GB di dati sono stati sottratti durante la campagna.
L’attacco inizia con un messaggio di phishing contenente un file ISO (“invite.iso”), che a sua volta contiene un collegamento a Windows (LNK) che avvia l’esecuzione di un file binario nascosto (“scholar.exe”) all’interno dell’immagine del disco ottico montato. Contemporaneamente, viene mostrato alla vittima un file PDF fittizio che pretende di essere una lettera di invito dell’Indian Air Force, mentre il malware raccoglie in segreto documenti e dati memorizzati nella cache del browser web, trasmettendoli a un canale Slack controllato dagli attaccanti, denominato FlightNight.
Il malware è una versione modificata di HackBrowserData che, oltre alle sue funzionalità di furto di dati del browser, incorpora capacità di sottrarre documenti (file Microsoft Office, PDF e database SQL), comunicare tramite Slack e evitare meglio il rilevamento mediante tecniche di offuscamento.
Questo attacco sottolinea la crescente sofisticazione degli attori di minaccia che adattano strumenti offensivi disponibili liberamente e sfruttano infrastrutture legittime come Slack, prevalenti negli ambienti aziendali, riducendo tempi e costi di sviluppo e rimanendo sotto il radar.
- L'Altra Bolla1 settimana fa
YouTube Music rivoluziona la ricerca: trova canzoni cantando!
- Economia1 settimana fa
Calo vendite smartphone: luce in fondo al tunnel
- L'Altra Bolla1 settimana fa
Con YouTube è possibile etichettare contenuti generati dall’AI
- L'Altra Bolla1 settimana fa
Telegram raccoglie $330 Milioni mentre X affronta problemi di Shadowbanning
- L'Altra Bolla1 settimana fa
Meta riduce costo abbonamento
- Inchieste6 giorni fa
Elezioni: Google finanzia il Ministero della Verità, Meta alle prese con i Watermark AI
- Economia1 settimana fa
Broadcom “ricatta” i servizi cloud europei ed interrompe i contratti. Si muove il CISPE
- Economia1 settimana fa
Svolta IA in Microsoft e Google Deep Mind: entrano Mustafa Suleyman e Liz Reid