Connect with us

Notizie

Smart Card: il pericolo proviene dal lettore non certificato

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

Milioni di dipendenti e appaltatori del governo degli Stati Uniti hanno ricevuto una carta d’identità intelligente e sicura che consente l’accesso fisico agli edifici e agli spazi controllati e l’accesso alle reti e ai sistemi informatici governativi al livello di sicurezza appropriato per il titolare della carta. Ma molti dipendenti statali non dispongono di un dispositivo di lettura approvato che consenta loro di utilizzare queste carte a casa o in remoto, e quindi si rivolgono a lettori a basso costo che trovano online.

Cosa potrebbe andare storto? Ecco un esempio.

KrebsOnSecurity ha recentemente sentito un lettore che chiameremo “Mark” perché non è stato autorizzato a parlare con la stampa che lavora nell’IT per un importante appaltatore governativo della difesa e gli è stata rilasciata una smart card governativa PIV (Personal Identity Verification) progettata per i dipendenti civili. Non avendo un lettore di smart card a casa e non avendo ricevuto indicazioni evidenti dai suoi colleghi su come procurarsene uno, Mark ha optato per l’acquisto di un lettore da 15 dollari su Amazon che diceva di essere fatto per gestire le smart card governative degli Stati Uniti.

Il dispositivo USB scelto da Mark è il primo risultato che compare attualmente quando si cerca su Amazon.com lettore di carte PIV“. Il lettore di carte acquistato da Mark è stato venduto da un’azienda chiamata Saicoo, il cui annuncio sponsorizzato su Amazon pubblicizza un “DOD Military USB Common Access Card (CAC) Reader” e ha più di 11.700 valutazioni per lo più positive.

La Common Access Card (CAC) è l’identificazione standard per il personale in servizio attivo in uniforme, la riserva selezionata, i dipendenti civili del Dipartimento della Difesa e il personale appaltatore idoneo. È la tessera principale utilizzata per consentire l’accesso fisico agli edifici e agli spazi controllati e fornisce l’accesso alle reti e ai sistemi informatici del Dipartimento della Difesa.

Mark ha riferito che quando ha ricevuto il lettore e lo ha collegato al suo PC Windows 10, il sistema operativo si è lamentato che i driver hardware del dispositivo non funzionavano correttamente. Windows ha suggerito di consultare il sito Web del fornitore per ottenere driver più recenti.

Mark si è quindi recato sul sito Web indicato sulla confezione di Saicoo e ha trovato un file ZIP contenente i driver per Linux, Mac OS e Windows:

Per eccesso di prudenza, Mark ha inviato il file dei driver di Saicoo a Virustotal.com, che analizza simultaneamente qualsiasi file condiviso con oltre cinque dozzine di prodotti antivirus e di sicurezza.

Virustotal ha riportato che circa 43 diversi strumenti di sicurezza hanno rilevato i driver Saicoo come dannosi.

Sembra che il file ZIP contenga una minaccia malware nota come Ramnit, un cavallo di Troia abbastanza comune ma pericoloso che si diffonde aggiungendosi ad altri file.

Ramnit è una minaccia ben nota e di vecchia data, emersa per la prima volta più di dieci anni fa, ma si è evoluta nel corso degli anni e viene ancora impiegata in attacchi di esfiltrazione dei dati più sofisticati. Amazon ha dichiarato in una dichiarazione scritta che sta indagando sulle segnalazioni.

Sembra un rischio potenzialmente significativo per la sicurezza nazionale, considerando che molti utenti finali potrebbero avere livelli di autorizzazione elevati e utilizzare le carte PIV per l’accesso sicuro“, ha dichiarato Mark.

Mark ha raccontato di aver contattato Saicoo in merito al fatto che il loro sito web presentava malware e di aver ricevuto una risposta in cui si diceva che l’hardware più recente dell’azienda non richiedeva alcun driver aggiuntivo. Ha detto che Saicoo non ha risposto alle sue preoccupazioni riguardo al fatto che il pacchetto di driver sul suo sito web fosse un pacchetto di malware.

In risposta alla richiesta di commento di KrebsOnSecurity, Saicoo ha inviato una risposta un po’ meno rassicurante.

Dai dettagli che ci ha fornito, il problema potrebbe essere causato dal sistema di difesa della sicurezza del suo computer, in quanto sembra che non riconosca il nostro driver usato raramente e lo rilevi come dannoso o un virus“, ha scritto il team di supporto di Saicoo in un’e-mail.

In realtà, non contiene alcun virus, come potete fidarvi di noi; se avete il nostro lettore a portata di mano, ignoratelo e proseguite con l’installazione“, continua il messaggio. “Una volta installato il driver, questo messaggio sparirà dalla circolazione. Non preoccupatevi“.

La risposta di Saicoo a KrebsOnSecurity.

Il problema dei driver apparentemente infetti di Saicoo potrebbe essere poco più di un caso di azienda tecnologica che ha subito un attacco al proprio sito e ha risposto male. Will Dormann, analista di vulnerabilità presso il CERT/CC, ha scritto su Twitter che i file eseguibili (.exe) nel file ZIP dei driver Saicoo non sono stati alterati dal malware Ramnit, ma solo i file HTML inclusi.

Dormann ha detto che è già abbastanza grave che la ricerca di driver di dispositivi online sia una delle attività più rischiose che si possano intraprendere online.

Fare una ricerca di driver sul Web è una ricerca MOLTO pericolosa (in termini di rapporto tra risultati legittimi e dannosi) da eseguire, in base ai risultati di tutte le volte che ho provato a farlo“, ha aggiunto Dormann. “Se a questo si aggiunge l’apparente due diligence del fornitore qui descritta, il quadro non è dei migliori“.

Ma a detta di tutti, la superficie di attacco potenziale in questo caso è enorme, poiché molti dipendenti federali chiaramente acquisteranno questi lettori da una miriade di venditori online quando se ne presenterà la necessità. Gli elenchi dei prodotti di Saicoo, ad esempio, sono pieni di commenti di clienti che dichiarano di lavorare in un’agenzia federale (e molti hanno segnalato problemi nell’installazione dei driver).

Un thread sull’esperienza di Mark su Twitter ha generato una forte risposta da parte di alcuni dei miei follower, molti dei quali, a quanto pare, lavorano in qualche modo per il governo degli Stati Uniti e possiedono carte CAC o PIV emesse dal governo.

Da questa conversazione sono emerse chiaramente due cose. La prima è stata la confusione generale sul fatto che il governo degli Stati Uniti abbia una sorta di lista di fornitori approvati. Invece ce l’ha. La General Services Administration (GSA), l’agenzia che gestisce gli acquisti per le agenzie federali civili, mantiene un elenco di fornitori di lettori di schede approvati all’indirizzo idmanagement.gov (Saicoo non fa parte di questo elenco).

L’altro tema che ha attraversato la discussione su Twitter è stata la realtà che molte persone trovano più conveniente acquistare i lettori disponibili sul mercato piuttosto che seguire il processo di approvvigionamento ufficiale della GSA, sia perché non ne hanno mai ricevuto uno, sia perché il lettore che stavano usando non funziona più o è stato perso e ne hanno bisogno rapidamente.

Quasi tutti gli ufficiali e i sottufficiali della componente di riserva che conosco hanno un lettore CAC che hanno comprato perché dovevano accedere alla loro posta elettronica del Dipartimento della Difesa a casa e non hanno mai ricevuto un computer portatile o un lettore CAC“, ha detto David Dixon, un veterano dell’esercito e autore che vive nella Virginia settentrionale. “Quando il tuo capo ti dice di controllare la tua e-mail a casa e tu sei nella Guardia Nazionale e vivi a due ore dalla più vicina [installazione di rete militare non classificata], cosa pensi che succederà?“.

È interessante notare che chiunque chieda su Twitter come orientarsi nell’acquisto del giusto lettore di smart card e come farlo funzionare correttamente viene invariabilmente indirizzato verso militarycac.com. Il sito è gestito da Michael Danberry, un veterano dell’esercito decorato e in pensione che ha lanciato il sito nel 2008 (il suo design ricco di testi e link riporta molto indietro nel tempo, all’epoca di Internet e delle pagine web in generale). Il suo sito è stato persino raccomandato ufficialmente dall’esercito (PDF). Mark ha condiviso le e-mail che mostrano come Saicoo stesso raccomandi militarycac.com.

La Riserva dell’Esercito ha iniziato a utilizzare il login CAC nel maggio 2006“, ha scritto Danberry nella sua pagina “About”. “Sono diventato il ‘go to guy‘ per il mio Centro della Riserva dell’Esercito e per il Minnesota. Ho pensato: perché fermarsi lì? Potrei usare il mio sito web e la mia conoscenza del CAC e condividerla con voi”.

Danberry non ha risposto alle richieste di intervista, senza dubbio perché è impegnato nell’assistenza tecnica per il governo federale. Il messaggio amichevole sulla segreteria telefonica di Danberry indica ai chiamanti che necessitano di assistenza di lasciare informazioni dettagliate sul problema che hanno con i lettori di carte CAC/PIV.

Dixon ha detto che Danberry ha fatto di più per mantenere l’esercito in funzione e connesso di tutti i G6 [Army Chief Information Officers] messi insieme“.

Per molti versi, Danberry è l’equivalente di quello sviluppatore di software poco conosciuto il cui piccolo progetto di codice open-sourced finisce per essere ampiamente adottato e infine inserito nel tessuto di Internet. Mi chiedo se 15 anni fa avrebbe mai immaginato che il suo sito web sarebbe diventato un giorno “infrastruttura critica” per lo Zio Sam.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Notizie

Android, attenzione ai pericolosi spyware mascherati da applicazioni VPN

Condividi questo contenuto

Tempo di lettura: 2 minuti. Le app VPN infette possono rubare i vostri dati e spiare le vostre conversazioni

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Il malware su Android è un problema ricorrente, quasi onnipresente, nonostante gli sforzi di Google per contrastarne la diffusione. Una nuova ricerca della società di sicurezza informatica ESET rivela che il famigerato gruppo di cyber-mercenari Bahamut APT ha trovato un nuovo vettore per il malware pericoloso che colpisce i telefoni Android: le app VPN. Come suggerisce l’etichetta di cyber-mercenario, Bahamut APT è un gruppo che i malintenzionati potrebbero ingaggiare per lanciare attacchi di spear phishing. Il gruppo è attivo da tempo e spesso prende di mira individui del Medio Oriente e dell’Asia meridionale. Secondo i ricercatori di ESET, almeno otto versioni dello spyware Bahamut sono state scoperte nelle versioni troianizzate delle popolari applicazioni Android SoftVPN e OpenVPN. Il gruppo avrebbe riutilizzato un vecchio codice spyware per infettare queste applicazioni dannose.

L’APT Bahamut è entrato e uscito dalle cronache dal 2017 per tentativi di attacchi di cyberspionaggio di varia portata. Questo che coinvolge le app VPN è un attacco spyware piuttosto semplice, progettato per violare il dispositivo della vittima e accedere a SMS, registri delle chiamate, posizione e registrazioni delle chiamate. Lo spyware può spiare le app di messaggistica come WhatsApp ed estrarre altri dati, come le informazioni bancarie, utilizzando la registrazione delle chiavi. Per la distribuzione di tutte le app infette è stata utilizzata una versione contraffatta del sito web di SecureVPN, che non è mai stato elencato per il download sul Play Store. Queste app VPN sembravano destinate a persone specifiche, che venivano indirizzate al sito web con una chiave di attivazione specifica. La versione autentica della VPN non richiede una chiave di attivazione o una visita al sito web – un altro segnale di allarme per le potenziali vittime. Questa chiave impedisce al payload dannoso di attivarsi su dispositivi che non appartengono alla vittima specificamente mirata. Questa rivelazione del team di ESET è solo un altro chiaro monito a non scaricare applicazioni da fonti inaffidabili su Internet. Secondo i ricercatori, la campagna è iniziata a gennaio di quest’anno ed è ancora attiva. Se state cercando di scaricare un’applicazione VPN consigliata, vi suggeriamo di attenervi al Play Store, soprattutto se qualcuno vi invia un link per scaricarne una da qualche altra parte.

Prosegui la lettura

Notizie

APT iraniano pubblica filmato dell’attacco a Gerusalemme. Compromessa agenzia di sicurezza

Condividi questo contenuto

Tempo di lettura: < 1 minuto. I funzionari confermano che il filmato è stato preso dalla telecamera di sorveglianza dell’agenzia, ma affermano che non si è verificata alcuna violazione della sicurezza; il gruppo Moses Staff ha affermato di aver violato decine di telecamere all’inizio di quest’anno

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

Un gruppo di hacker iraniani ha pubblicato giovedì sul servizio di social media Telegram un filmato inedito che mostra un attentato a Gerusalemme avvenuto un giorno prima e che proviene da telecamere di sorveglianza utilizzate da un’importante organizzazione di sicurezza israeliana. Il gruppo, Moses Staff, ha affermato di aver violato le telecamere di sicurezza che inizialmente si pensava fossero gestite dalla polizia. All’inizio di quest’anno, il gruppo ha pubblicato i filmati di decine di telecamere in tutta Gerusalemme e alcune a Tel Aviv.
“Vi abbiamo sorvegliato [sic] per molti anni, in ogni momento e ad ogni passo. Questa è solo una parte della nostra sorveglianza sulle vostre attività attraverso l’accesso alle telecamere a circuito chiuso del Paese. Lo avevamo detto, vi colpiremo mentre non avreste mai immaginato”, ha scritto il gruppo sul suo canale Telegram a gennaio.

La polizia, tuttavia, ha negato che le sue telecamere fossero in funzione nell’area al momento dell’attacco e il Comune di Gerusalemme ha affermato che le riprese non sono state effettuate da una telecamera appartenente alla città. La polizia ha dichiarato di essere in possesso del filmato da alcune ore dopo il duplice attentato di mercoledì mattina che ha ucciso un adolescente e ferito più di 20 persone, smentendo alcune notizie che sostenevano che il gruppo di hacker avesse cancellato la copia del filmato della polizia. I funzionari della sicurezza hanno confermato che la telecamera in questione è stata utilizzata da un’importante organizzazione di sicurezza, anche se non hanno specificato quale.

Prosegui la lettura

Notizie

Interpol sequestra 130 milioni di dollari a criminali informatici in tutto il mondo

Condividi questo contenuto

Tempo di lettura: 2 minuti. Arresti in Grecia ed Italia di due cittadini coreani autori di una truffa

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

L’Interpol ha annunciato il sequestro di 130.000.000 milioni di dollari di denaro e beni virtuali legati a vari crimini informatici e operazioni di riciclaggio di denaro. L’operazione di contrasto è denominata in codice “HAECHI III” ed è durata tra il 28 giugno e il 23 novembre 2022, consentendo all’INTERPOL di arrestare quasi mille sospetti. “In totale, l’operazione ha portato all’arresto di 975 persone e ha permesso agli investigatori di risolvere più di 1.600 casi”, si legge nell’annuncio dell’Interpol. “Inoltre, sono stati bloccati quasi 2.800 conti bancari e di beni virtuali legati ai proventi illeciti della criminalità finanziaria online”. Tra i tipi di crimini informatici che hanno generato la cifra citata figurano le truffe sentimentali, il phishing vocale, la sextortion, le frodi negli investimenti e il riciclaggio di denaro associato al gioco d’azzardo online illegale. Come risultato dell’azione, INTERPOL ha anche generato 95 avvisi e diffusioni e ha individuato sedici nuove tendenze criminali che aiuteranno le forze dell’ordine di tutto il mondo a intraprendere azioni più mirate contro i criminali informatici. Le nuove tendenze riguardano varianti di truffe amorose e frodi di investimento che i malintenzionati evolvono costantemente per mantenere un elemento di novità. Inoltre, INTERPOL ha osservato un aumento delle app di messaggistica crittografata utilizzate dai truffatori per scambiare informazioni con le vittime nei sistemi di investimento.

I punti salienti dell’operazione HAECHI III sono:

L’arresto di due coreani in Grecia e in Italia che avevano sottratto 29.100.000 dollari a 2.000 vittime in Corea.

L’arresto dei membri di un gruppo criminale con sede in India che si spacciava per ufficiale INTERPOL per chiamare le vittime e ingannarle per inviare loro 159.000 dollari in criptovaluta. L’annuncio di INTERPOL sottolinea anche l’efficacia del suo nuovo meccanismo di protocollo di risposta rapida antiriciclaggio (ARRP), testato per la prima volta nella precedente operazione dell’agenzia, denominata in codice “Operazione Jackal”.

Grazie all’ARRP, un’azienda irlandese vittima di truffe via e-mail (BEC) si è vista restituire 1.250.000 milioni di dollari. Si tratta dell’importo totale che l’azienda ha perso a causa dei truffatori BEC, che ARRP ha aiutato a rintracciare e sequestrare. Dal gennaio 2022, quando è iniziata la fase di test pilota dell’ARRP, lo strumento ha contribuito a recuperare 120.000.000 di dollari di proventi dei criminali informatici.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie14 ore fa

APT iraniano pubblica filmato dell’attacco a Gerusalemme. Compromessa agenzia di sicurezza

Tempo di lettura: < 1 minuto. I funzionari confermano che il filmato è stato preso dalla telecamera di sorveglianza dell'agenzia,...

Inchieste15 ore fa

I falchi di Vladimir Putin su Telegram

Tempo di lettura: 7 minuti. Andrey Pertsev racconta come Telegram sia diventato la principale piattaforma di informazione per i falchi...

Notizie3 giorni fa

KillNet affonda il Parlamento Europeo con un attacco DDOS e non è un attacco sofisticato

Tempo di lettura: < 1 minuto. Una vecchia conoscenza di Matrice Digitale torna alla carica della più importante istituzione europea...

Notizie3 giorni fa

Gli hacktivisti DDoS di Killnet prendono di mira la Famiglia Reale e altri siti web

Tempo di lettura: 3 minuti. Gli hacktivisti allineati alla Russia hanno preso di mira diversi siti web del Regno Unito,...

Notizie4 giorni fa

Hacker cinesi usano 42.000 domini di phishing per malware sulle vittime

Tempo di lettura: 2 minuti. Condividi questo contenutoCyjax ha recentemente scoperto una vasta campagna di phishing che ha preso di...

Notizie5 giorni fa

Cyberattacchi, cambiamenti climatici e guerra hi-tech: Nato messa alle strette

Tempo di lettura: 5 minuti. Condividi questo contenutoLa NATO e i suoi alleati sono stati avvertiti domenica di prepararsi meglio...

Notizie6 giorni fa

APT iraniano ha compromesso un’agenzia federale statunitense grazie a Log4Shell

Tempo di lettura: 2 minuti. I dettagli, che sono stati condivisi dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati...

Notizie1 settimana fa

Il gruppo APT Earth Longzhi è un sottogruppo di APT41

Tempo di lettura: 2 minuti. Trend Micro ha riferito che il gruppo cinese ha come obiettivo l'Ucraina e i Paesi...

Notizie1 settimana fa

APT cinese ha violato un’autorità di certificazione digitale

Tempo di lettura: 2 minuti. Condividi questo contenutoUn sospetto attore cinese sponsorizzato dallo Stato ha violato un’autorità di certificazione digitale...

Notizie1 settimana fa

APT nordcoreano: nuova versione DTrack per attaccare Europa e Sud America

Tempo di lettura: 2 minuti. Kaspersky attribuisce l'utilizzo del malware ad un apt nordcoreana slegata dalla più note e che...

Truffe recenti

Truffe online2 settimane fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Truffe online3 settimane fa

Truffa del Trust Wallet PayPal

Tempo di lettura: 2 minuti. Scoperta da Trend Micro, la truffa che sfrutta il brand di PayPal, può essere così...

Truffe online1 mese fa

Sospetto arrestato in relazione a una frode di investimento da un milione di euro

Tempo di lettura: 2 minuti. L'azione ha portato l'Europol a rilasciare consigli in tal senso.

Truffe online2 mesi fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online2 mesi fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online2 mesi fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Truffe online2 mesi fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online2 mesi fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online3 mesi fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie3 mesi fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Tendenza