Connect with us

Sicurezza Informatica

La Russia ha chiuso internet? Il nuovo CA può ispezionare il traffico in rete

Pubblicato

in data

Tempo di lettura: 3 minuti.

La scorsa settimana, i cittadini russi hanno iniziato a ricevere istruzioni per scaricare un browser web approvato dal governo, o cambiare le impostazioni di base del loro browser, secondo le istruzioni emesse dal Ministero dello sviluppo digitale e delle comunicazioni del loro governo.

Da un lato, questi cambiamenti possono essere necessari ai russi per accedere ai servizi governativi e ai siti web colpiti dalle sanzioni internazionali. Tuttavia, è uno sviluppo preoccupante: la misura provvisoria dello stato russo per mantenere i suoi servizi in funzione permette anche di spiare i russi, ora e in futuro.

Le entità di governance di Internet ICANN e RIPE hanno respinto le richieste dell’Ucraina di revocare i domini di primo livello russi, l’accesso ai root server del Domain Name System e i suoi indirizzi IP. Tuttavia, le sanzioni internazionali hanno pesantemente colpito l’infrastruttura internet della Russia. In parte, questo è successo perché le autorità di certificazione (CA), i notai di fiducia che sostengono la sicurezza dei dati sul web, hanno iniziato a rifiutare gli ordini dai domini che terminano in “.ru“, e hanno revocato i certificati delle banche con sede in Russia. Poiché le CA internazionali come Digicert e Sectigo hanno in gran parte smesso di lavorare per i siti web russi, il governo russo è intervenuto e ha suggerito ai cittadini di installare la sua “Russian Trusted Root CA“.

Mentre le capacità della nuova autorità di certificazione radice russa non sono completamente chiare, il certificato è valido per dieci anni. Ha la capacità non solo di emettere certificati per i domini; può anche ispezionare il traffico degli utenti che comunicano con quei domini.

Il nuovo “Russian Trusted Root CA” non scadrà per 10 anni

Anche se questo nuovo root CA sponsorizzato dallo stato è stato apparentemente spinto dalle sanzioni internazionali contro la Russia, il governo russo ha da tempo mostrato segni di volere più controllo sulle infrastrutture internet. La Russia ha approvato una legge sulla censura di “internet sovrano” nel 2019, e l’anno scorso il governo russo ha fatto un test per vedere se poteva disconnettersi da internet globale.

Internet non è solo linee di trasmissione e centri dati. L’infrastruttura di internet include anche servizi tecnici come i resolver del Domain Name System, le CA, i gateway internet e i registri di dominio. Sarà difficile per lo stato russo creare versioni interamente nazionali e controllate dallo stato di tutti questi servizi. Ma gli incentivi a provare stanno crescendo. Per esempio, il produttore di hardware di rete Cisco ha recentemente tagliato i legami con le aziende russe in risposta all’invasione dell’Ucraina, rendendo chiaro che la Russia non può contare su Cisco per aiutare la sorveglianza e la censura interna (ironicamente, Cisco non ha avuto remore ad assistere altri regimi con la censura, e infatti ha avuto un ruolo centrale nello sviluppo della tecnologia personalizzata necessaria per costruire il “Grande Firewall” della Cina).

Una qualche versione di un internet nazionale autonomo – la cosiddetta “splinternet” – può essere descritta in termini di autosufficienza nazionale, ma inevitabilmente viene con opportunità di sorveglianza statale. La Russia non è il primo paese a provarci. Nel 2019, il Kazakistan ha tentato una sorveglianza a tappeto con un proprio certificato di radice. Lo stato iraniano ha proposto un disegno di legge per controllare i “gateway internazionali“, quindi il traffico in uscita del paese sarebbe diretto attraverso un’agenzia ad hoc controllata dalle forze armate e dalle agenzie di sicurezza. Nell’UE c’è una proposta di rendere obbligatorie le CA governative nei browser, senza possibilità di sfidare o garantire la sicurezza e l’autonomia dei browser – in nome della sicurezza degli utenti. Questi sono tutti tentativi di creare confini all’interno di internet, e stabiliscono pericolosi modelli per altri governi da eseguire.

Non sappiamo quando o se la Russia si disconnetterà da internet all’estero – o se questo è possibile. Ma per il popolo russo, compresi i molti che si oppongono all’invasione dell’Ucraina, la sicurezza digitale è già stata messa a rischio. L’autorità di certificazione che i russi hanno ricevuto l’ordine di installare apre la strada a un decennio di sorveglianza digitale, con il potere di bypassare le misure di privacy crittografica su cui ogni utente di internet fa affidamento.

Sicurezza Informatica

APT Nordcoreane aggiornano malware BeaverTail per MacOS

Pubblicato

in data

Tempo di lettura: 2 minuti.

Recentemente, sono stati scoperti aggiornamenti significativi al malware BeaverTail, utilizzato dalle APT nordcoreane per condurre campagne di cyber spionaggio. Questo malware è stato rilevato in un file immagine per macOS, denominato “MiroTalk.dmg”, che imita il servizio di videochiamate legittimo MiroTalk, ma serve a distribuire una variante nativa di BeaverTail.

Dettagli dell’Infezione

Il malware BeaverTail, originariamente documentato come un malware stealer JavaScript da Palo Alto Networks nel 2023, è stato ora aggiornato per includere funzionalità native per macOS. Questo aggiornamento è stato rilevato da Patrick Wardle, un ricercatore di sicurezza, che ha analizzato il file immagine “MiroTalk.dmg” non firmato.

L’infezione avviene attraverso un’app trojanizzata di nome “MiroTalk”, che una volta eseguita, tenta di esfiltrare dati sensibili dai browser web, portafogli di criptovalute e dal portachiavi di iCloud. Inoltre, è progettata per scaricare ed eseguire ulteriori script Python dal server remoto, come il backdoor InvisibleFerret.

Analisi Tecnica di MiroTalk.dmg

L’analisi statica del file immagine ha rivelato che il malware raccoglie informazioni sensibili da browser come Google Chrome, Brave e Opera, e tenta di esfiltrare questi dati al server di comando e controllo 95.164.17.24. Il malware cerca anche di scaricare ed eseguire ulteriori payload Python, come InvisibleFerret, per mantenere l’accesso remoto persistente.

Wardle ha sottolineato che, nonostante le tecniche di hacking nordcoreane si basino spesso sull’ingegneria sociale, sono comunque molto efficaci. Ha anche menzionato l’uso di strumenti open-source come BlockBlock e LuLu, che possono aiutare a bloccare queste minacce anche senza una conoscenza preliminare.

Campagne di Phishing e altre attività maligne

Il malware BeaverTail è stato distribuito in passato attraverso pacchetti npm falsi ospitati su GitHub e il registro npm, ma le ultime scoperte indicano un cambiamento nel vettore di distribuzione. Gli hacker nordcoreani hanno probabilmente invitato le vittime a partecipare a incontri di assunzione scaricando e eseguendo una versione infetta di MiroTalk ospitata su mirotalk[.]net.

Inoltre, Phylum ha recentemente scoperto un nuovo pacchetto npm malevolo denominato call-blockflow, sospettato di essere opera del gruppo Lazarus, collegato alla Corea del Nord. Questo pacchetto, quasi identico al legittimo call-bind, incorpora funzionalità per scaricare file binari remoti, eseguirli e poi coprire le tracce cancellando e rinominando i file.

Gli hacker nordcoreani continuano a rappresentare una minaccia significativa per gli utenti macOS, utilizzando tecniche sofisticate e social engineering per distribuire malware come BeaverTail. Gli utenti sono invitati a rimanere vigili e utilizzare strumenti di sicurezza adeguati per proteggere i propri sistemi.

Prosegui la lettura

Sicurezza Informatica

FIN7: nuovi attacchi e strumenti automatizzati

Pubblicato

in data

Tempo di lettura: 3 minuti.

FIN7, noto gruppo di cybercriminali, continua a evolversi e rafforzare le sue operazioni con nuovi bypass EDR (Endpoint Detection and Response) e attacchi automatizzati. Originario della Russia e attivo dal 2012, il gruppo ha causato ingenti perdite finanziarie in vari settori industriali. Negli ultimi anni, ha spostato il focus verso le operazioni ransomware, affiliandosi con gruppi come REvil e Conti e lanciando programmi RaaS (Ransomware-as-a-Service) come Darkside e BlackMatter.

Operazioni Sotterranee di FIN7

FIN7 utilizza pseudonimi multipli per mascherare la propria identità e mantenere le operazioni criminali nel mercato clandestino. Recentemente, è stato osservato l’uso di attacchi SQL automatizzati per sfruttare le applicazioni pubbliche. Uno degli strumenti principali sviluppati da FIN7 è AvNeutralizer (noto anche come AuKill), un tool altamente specializzato per manipolare le soluzioni di sicurezza. Questo strumento è stato commercializzato nel mercato criminale sotterraneo ed è stato utilizzato da diversi gruppi ransomware.

FIN7 ha dimostrato una notevole adattabilità, utilizzando campagne di phishing sofisticate e tecniche di ingegneria sociale per ottenere accesso iniziale alle reti aziendali. Ha creato aziende di sicurezza fraudolente, come Combi Security e Bastion Secure, per ingannare i ricercatori di sicurezza e lanciare attacchi ransomware. Nonostante gli arresti di alcuni membri, le attività di FIN7 sono continuate, suggerendo cambiamenti nelle tecniche, tattiche e procedure (TTP) o la formazione di gruppi scissionisti.

Strumenti e Tecniche di FIN7

L’arsenale di FIN7 comprende strumenti come Powertrash, Diceloader, Core Impact e un backdoor basato su SSH. Powertrash è uno script PowerShell pesantemente offuscato, progettato per caricare riflessivamente un file PE incorporato in memoria, permettendo al gruppo di eseguire payload backdoor furtivamente. Diceloader, noto anche come Lizar o IceBot, è una backdoor minima che consente agli attaccanti di stabilire un canale di controllo. Core Impact è uno strumento di penetration testing utilizzato per attività di sfruttamento. Infine, il backdoor basato su SSH viene utilizzato per mantenere la persistenza sui sistemi compromessi.

Commercializzazione e impatti di AvNeutralizer

AvNeutralizer è stato osservato per la prima volta in attacchi condotti dal gruppo ransomware Black Basta nel 2022. Successivamente, è stato utilizzato da altri gruppi ransomware, tra cui AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. AvNeutralizer utilizza tecniche combinate per creare una condizione di denial of service (DoS) in alcune implementazioni di processi protetti, sfruttando il driver TTD Monitor Driver (ProcLaunchMon.sys) e versioni aggiornate del driver Process Explorer.

Il gruppo ha utilizzato pseudonimi come “goodsoft”, “lefroggy”, “killerAV” e “Stupor” per vendere AvNeutralizer su forum di hacking in lingua russa dal 2022, con prezzi variabili tra $4.000 e $15.000. L’uso di multiple identità e la collaborazione con altri enti criminali rendono difficile l’attribuzione delle attività di FIN7 e dimostrano le sue strategie operative avanzate.

Innovazioni e Minacce di FIN7

FIN7 continua a innovare, sviluppando tecniche sofisticate per eludere le misure di sicurezza. La commercializzazione dei suoi strumenti nei forum sotterranei criminali aumenta significativamente l’impatto del gruppo. Le recenti scoperte di SentinelOne mostrano che FIN7 ha aggiornato AvNeutralizer con nuove capacità, rendendolo uno strumento prezioso per i gruppi ransomware.

La continua evoluzione di FIN7 e la sua capacità di adattamento alle difese avanzate rappresentano una minaccia significativa per le imprese in tutto il mondo. Gli esperti di sicurezza devono rimanere vigili e aggiornati sulle ultime tattiche e strumenti utilizzati da questo gruppo di cybercriminali.

Prosegui la lettura

Sicurezza Informatica

Cisco: aggiornamenti sulle vulnerabilità e misure di sicurezza

Pubblicato

in data

Cisco logo
Tempo di lettura: 2 minuti.

Cisco ha recentemente rilasciato aggiornamenti di sicurezza per affrontare diverse vulnerabilità nei suoi prodotti. Questi aggiornamenti sono cruciali per garantire la protezione dei sistemi contro potenziali minacce. Ecco una panoramica dettagliata delle vulnerabilità trattate e delle soluzioni proposte da Cisco.

Vulnerabilità di Caricamento Arbitrario di File in Cisco Identity Services Engine

Leggi l’avviso completo

Cisco ha identificato una vulnerabilità nel Cisco Identity Services Engine (ISE) che potrebbe consentire il caricamento arbitrario di file. Questo difetto potrebbe permettere a un attaccante di caricare file dannosi nel sistema, compromettendo la sicurezza.

Versioni Interessate e Risoluzioni:

  • 3.0 e versioni precedenti: Migrare a una versione corretta.
  • 3.1: Risolto in 3.1P10 (Gennaio 2025).
  • 3.2: Risolto in 3.2P7 (Settembre 2024).
  • 3.3: Risolto in 3.3P3.

Cisco raccomanda di aggiornare alla versione corretta per mitigare il rischio associato a questa vulnerabilità.

Vulnerabilità della Chiave Statica nel Cisco Intelligent Node Software

Leggi l’avviso completo

Una vulnerabilità nel Cisco Intelligent Node Software può permettere l’uso di chiavi crittografiche statiche, compromettendo la sicurezza dei dati.

Versioni Interessate e Risoluzioni:

  • 3.1.2 e versioni precedenti: Risolto in 4.0.0.
  • 23.1 e versioni precedenti (iNode Manager): Risolto in 24.1.

L’aggiornamento alle versioni fisse è essenziale per prevenire possibili compromissioni.

Vulnerabilità di Redirect Aperto nella Serie Cisco Expressway

Leggi l’avviso completo

Un difetto nella serie Cisco Expressway potrebbe consentire attacchi di redirect aperti, portando gli utenti a siti malevoli.

Versioni Interessate e Risoluzioni:

  • Versioni precedenti alla 15: Migrare a una versione corretta.
  • 15: Risolto in 15.0.2.

L’aggiornamento è necessario per evitare potenziali attacchi di phishing.

Vulnerabilità di Iniezione di Template Server-Side nel Cisco Secure Email Gateway

Leggi l’avviso completo

Una vulnerabilità nel Cisco Secure Email Gateway può permettere l’iniezione di codice dannoso tramite template server-side.

Versioni Interessate e Risoluzioni:

  • 14.2 e versioni precedenti: Risolto in 14.2.3-027.
  • 15.0: Risolto in 15.0.0-097.
  • 15.5: Non vulnerabile.

L’aggiornamento alla versione corretta è cruciale per mantenere la sicurezza del sistema.

Vulnerabilità di Scrittura Arbitraria di File nel Cisco Secure Email Gateway

Leggi l’avviso completo

Un’altra vulnerabilità nel Cisco Secure Email Gateway permette la scrittura arbitraria di file, con potenziali conseguenze di sicurezza.

Versioni Interessate e Risoluzioni:

  • AsyncOS 15.5.1-055 e successivi: Risolto.

Vulnerabilità di Cambio Password nel Cisco Smart Software Manager On-Prem

Leggi l’avviso completo

Una vulnerabilità nel Cisco Smart Software Manager On-Prem può permettere cambi di password non autorizzati.

Versioni Interessate e Risoluzioni:

  • 8-202206 e versioni precedenti: Risolto in 8-202212.
  • 9: Non vulnerabile.
Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica4 ore fa

Addio Kaspersky: aggiornamenti gratuiti per sei mesi negli USA

Tempo di lettura: 2 minuti. Kaspersky, azienda di sicurezza informatica russa, sta offrendo ai suoi clienti statunitensi sei mesi di...

Cisco logo Cisco logo
Sicurezza Informatica18 ore fa

Vulnerabilità Cisco: aggiornamenti critici e raccomandazioni

Tempo di lettura: 2 minuti. Cisco ha recentemente pubblicato una serie di advisory di sicurezza riguardanti diverse vulnerabilità critiche nei...

CISA logo CISA logo
Sicurezza Informatica19 ore fa

CISA: vulnerabilità Magento, VMware, SolarWinds e ICS

Tempo di lettura: 2 minuti. La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiornato il suo catalogo delle vulnerabilità...

Sicurezza Informatica20 ore fa

Vulnerabilità critica in Apache HugeGraph: aggiornate subito

Tempo di lettura: 2 minuti. Apache HugeGraph, un sistema di database a grafo open-source, è attualmente soggetto a sfruttamenti attivi...

Sicurezza Informatica3 giorni fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica5 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica5 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica5 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica5 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica5 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

Truffe recenti

Inchieste1 settimana fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Smartphone2 ore fa

Galaxy Z Fold 7 Slim sarà spesso quanto un S24 Ultra

Tempo di lettura: 2 minuti. Samsung sta sviluppando nuovi modelli di smartphone pieghevoli e ha recentemente annunciato alcune novità importanti...

Smartphone3 ore fa

Nubia Z60 Ultra Leading Version e Z60S Pro: lancio Imminente

Tempo di lettura: 2 minuti. Nubia, il brand di proprietà di ZTE, si prepara al lancio globale due dei suoi...

Smartphone3 ore fa

Aggiornamento luglio 2024 per Galaxy A14 5G e S24

Tempo di lettura: 2 minuti. Samsung ha iniziato a distribuire l’aggiornamento di sicurezza di luglio 2024 per diversi modelli di...

Intelligenza Artificiale18 ore fa

Nuovo metodo di Intelligenza Artificiale per creare “Impronte” dei Materiali

Tempo di lettura: 2 minuti. Un team di scienziati presso il laboratorio nazionale Argonne ha sviluppato un nuovo metodo basato...

Smartphone19 ore fa

Realme 13 Pro 5G: specifiche rivelate prima del lancio

Tempo di lettura: 3 minuti. Realme è pronta al lancio il Realme 13 Pro 5G, che promette di essere uno...

Smartphone19 ore fa

Samsung rivela One UI 7 e migliora la sicurezza con One UI 6.1.1

Tempo di lettura: 2 minuti. Samsung sta preparando il lancio di One UI 7, che promette di essere uno degli...

Tech19 ore fa

Novità su AMD, Snapdragon e la compatibilità con Linux

Tempo di lettura: 3 minuti. Le ultime notizie nel campo della tecnologia includono importanti sviluppi da parte di AMD, Qualcomm...

VirtualBox VirtualBox
Tech20 ore fa

VirtualBox 7.0.20: manutenzione e aggiornamenti

Tempo di lettura: < 1 minuto. VirtualBox 7.0.20, rilasciato il 16 luglio 2024, è un aggiornamento di manutenzione che introduce...

Smartphone1 giorno fa

Samsung lancia il Galaxy M35 5G in India

Tempo di lettura: 2 minuti. Samsung ha ufficialmente lanciato il Galaxy M35 5G in India, poco dopo il suo debutto...

Tech1 giorno fa

Audacity 3.6.0: novità e miglioramenti

Tempo di lettura: 2 minuti. Audacity, il popolare software di editing audio open-source, ha rilasciato la versione 3.6.0 con numerose...

Tendenza