Sicurezza Informatica
CGIL denuncia attacco Hacker. Allertata la Polizia Postale
Un articolo apparso sul sito on line de La Stampa (e su altri quotidiani e notiziari) riporta ufficialmente la notizia di un attacco hacker ai danni della CGIL. La CGIL parla di attacco “occorso in più riprese a partire da Sabato scorso e attualmente ancora in essere. Circa 130mila i tentativi di connessione contemporanea da più Paesi“.
Per i non esperti ricordiamo che un attacco di tipo DDoS (Distributed Denial of Service): un tipo di attacco scatenato da una botnet, ovvero una rete di computer infetti che sono pilotati da qualcuno per commettere atti di vandalismo come quello accaduto in questi giorni. Queste botnet possono anche essere noleggiate da qualcuno per un certo tempo con lo scopo di colpire e annientare siti web, ad esempio il sito della concorrenza, il sito del giornale scomodo, il blog del giornalista controcorrente. Bisogna anche ricordare che questo tipo di botnet sono spesso gestite da adolescenti, che si divertono a sviluppare malware e “buttare giù” siti web istituzionali gareggiando con potenze di fuoco sempre più devastanti. Un caso su tutti la “Cayosin Botnet”
Se la CGIL parla di 130.000 connessioni contemporanee sembrerebbe che la botnet utilizzata possa essere molto ampia ed in grado di raggiungere una potenza di fuoco notevole. Gli esperti della CGIL hanno identificato gli indirizzi IP degli attacchi e si sono resi conto (come essi stessi hanno affermato) che la stragrande maggioranza degli attacchi provenivano da paesi esteri, in particolare Germania, Stati uniti e Cina. Questo fa presagire che i dispositivi infetti (fossero computer, telecamere, videoregistratori, dispositivi comunque connessi ad internet) fossero residenti in quei paesi. Per questa ragione hanno disattivato l’accesso al loro sito per le connessioni provenienti da Germania, Stati Uniti e Cina.
Alle 16:38 il sito della CGIL era ancora irraggiungibile dalla Germania, quindi questo fa presagire che c’era ancora un attacco in corso in quanto il filtro era ancora in azione. Il Tweet di Odisseus, come fatto giustamente notare da @thelazza faceva riferimento a un accesso dalla Germania, ancora oscurata dalla CGIL molto probabilmente perchè ancora attiva nel cannoneggiare verso il sito del sindacato italiano.
Verso le ore 22.30 e fino alle ore 8.35 in data odierna il sito non forniva una navigazione fluida ad alcuni utenti, nonostante la presenza di Cloudflare, e tra le varie pecche si è manifestata l’assenza di un certificato ssl scaduto congiuntamente alla versione “puramente testuale” e non di certo per colpa dell’attacco hacker, ma per una differenza nella selezione del dominio con www o senza.
Aggiornamento ore 13.30: secondo alcuni esperti, il sito della CGIL potrebbe essere stato compromesso semplicemente dalle eccessive richieste di accesso dall’estero dovute non per un attacco informatico, ma per la curiosità globale alla luce della notizia dell’invasione del gruppo di Forza Nuova nella sede. La richiesta di 130.000 connessioni simultanee non rappresenterebbe una vera propria forza di fuoco, ma un picco di interesse collegabile alle notizie di cronaca che hanno coinvolto il sindacato. A questo punto resta all’Autorità interpellata se confermare la tesi dell’attacco DDoS o se consigliare alla CGIL di appoggiarsi su un provider con maggiore capacità di banda per scongiurare un evento simile a questo, che riporta, nel caso di eventualità della saturazione di banda, al click day che colpì l’INPS.
Sicurezza Informatica
Marko Polo prende di mira criptovalute e gamer con infostealer
Tempo di lettura: 3 minuti. L’operazione globale Marko Polo prende di mira utenti di criptovalute e gamer con malware infostealer.
L’operazione di cybercriminalità conosciuta come Marko Polo, recentemente scoperta, ha portato alla compromissione di decine di migliaia di dispositivi a livello globale, puntando in particolare su utenti di criptovalute, gamer e sviluppatori di software. Secondo un’indagine condotta dal gruppo di ricerca Insikt Group, il gruppo Marko Polo utilizza una vasta gamma di malware infostealer, inclusi AMOS, Stealc e Rhadamanthys, per rubare dati sensibili. Le tecniche di attacco impiegate spaziano dal spearphishing all’uso di marchi falsi e campagne di malvertising per indurre le vittime a scaricare software dannoso. Questo approccio rappresenta una seria minaccia sia per i consumatori che per le aziende, con potenziali perdite finanziarie nell’ordine di milioni di euro.
Tecniche di attacco e malware utilizzati
Il gruppo Marko Polo utilizza una combinazione di strumenti sofisticati e tecniche di social engineering per raggiungere i propri obiettivi. Tra le tattiche più efficaci vi sono gli attacchi di spearphishing attraverso messaggi diretti sui social media, che prendono di mira principalmente personalità del mondo delle criptovalute e del gaming. Le vittime vengono spesso convinte a scaricare software dannoso, credendo che si tratti di offerte di lavoro legittime o opportunità di collaborazione.
L’operazione ha colpito in particolar modo utenti che utilizzano sia sistemi Windows che macOS, dimostrando l’abilità del gruppo di operare su più piattaforme. Su Windows, il malware più diffuso è Stealc, un infostealer che raccoglie dati da browser e applicazioni di criptovalute. Un altro malware utilizzato è Rhadamanthys, capace di rubare una vasta gamma di informazioni, inclusi dati delle criptovalute. Invece, per gli utenti macOS, Marko Polo utilizza AMOS, un malware capace di accedere ai dati critici del portachiavi Apple, rubare credenziali Wi-Fi, password e altre informazioni criptate.
Distribuzione del malware e impatto globale
L’indagine di Recorded Future ha identificato oltre 30 campagne distinte e 50 varianti di malware utilizzate nell’operazione Marko Polo. Questi malware vengono distribuiti attraverso una vasta gamma di canali, tra cui pubblicità dannose, file torrent e persino software di meeting online falsi. Alcuni dei marchi più comunemente utilizzati per queste truffe includono Fortnite, Zoom, e RuneScape. Le vittime, spesso inconsapevoli del rischio, scaricano questi programmi dannosi dai siti web compromessi, mettendo a rischio la loro privacy e i loro dati finanziari.
Il gruppo ha guadagnato milioni di euro attraverso queste operazioni, e il numero di dispositivi compromessi potrebbe continuare a crescere. Questo tipo di attacco non solo espone gli utenti privati al furto di identità e ai danni finanziari, ma rappresenta anche un rischio per le aziende, con potenziali violazioni dei dati e danni alla reputazione aziendale.
L’operazione Marko Polo dimostra l’evoluzione costante delle minacce cibernetiche, in cui i gruppi di cybercriminali sviluppano tecniche sempre più sofisticate e mirate per colpire specifici settori, come quello delle criptovalute e del gaming. Il successo di questa operazione, che ha portato alla compromissione di migliaia di dispositivi e a perdite finanziarie considerevoli, sottolinea la necessità di difese adattabili e consapevolezza della sicurezza informatica. Aziende e utenti privati devono essere costantemente vigili per proteggersi da queste minacce in continua evoluzione.
Sicurezza Informatica
Twelve prende di mira la Russia con attacchi devastanti
Il gruppo hacktivista Twelve utilizza un arsenale di strumenti disponibili pubblicamente per condurre attacchi distruttivi contro obiettivi allocati in Russia. A differenza dei classici gruppi ransomware che chiedono riscatti, Twelve preferisce criptare i dati delle vittime e successivamente distruggere l’infrastruttura con un wiper, impedendo qualsiasi tentativo di recupero.
Questo approccio riflette l’intento del gruppo di causare il massimo danno possibile senza derivarne un beneficio finanziario diretto. Fondato nell’aprile 2023, Twelve è emerso nel contesto della guerra russo-ucraina e ha condotto una serie di attacchi volti a paralizzare le reti delle vittime, interrompendo le operazioni aziendali.
Analisi della catena di attacco di Twelve e il suo impatto globale
Nel 2024, il gruppo cybercriminale noto come Twelve ha attirato l’attenzione pubblicando dati personali di individui sul suo canale Telegram. Sebbene il canale sia stato successivamente bloccato per violazione delle norme di Telegram, il gruppo è rimasto attivo, utilizzando tecniche avanzate per attacchi cyber, tra cui la cancellazione e crittografia di dati sensibili, rendendo il recupero delle informazioni quasi impossibile.
Il gruppo Twelve e la sua affiliazione con DARKSTAR
Fondato nell’aprile 2023 nel contesto del conflitto russo-ucraino, Twelve si è specializzato nell’attacco a organizzazioni governative della Russia. L’obiettivo principale del gruppo è causare danni massimi alle sue vittime. Utilizzano tecniche condivise con il gruppo di ransomware DARKSTAR, che si concentra su estorsioni tramite doppia crittografia. Questa collaborazione tra i due gruppi riflette la complessità delle moderne minacce cibernetiche, in cui obiettivi e tattiche variano all’interno di uno stesso sindacato.
Catena di attacco Unified Kill Chain
L’analisi delle azioni del gruppo Twelve viene condotta seguendo la metodologia Unified Kill Chain, che segmenta un attacco informatico in diverse fasi, dalla compromissione iniziale fino all’impatto finale. In particolare, il gruppo ha dimostrato una notevole capacità di infiltrazione nelle reti aziendali utilizzando strumenti ben noti come Cobalt Strike, Mimikatz, PowerView e altri per ottenere l’accesso e muoversi lateralmente all’interno delle infrastrutture IT delle vittime.
Fasi dell’attacco: Infiltrazione, sfruttamento e movimento laterale
Durante la fase iniziale, Twelve si affida spesso all’accesso tramite account legittimi di dominio, VPN o certificati SSH. Utilizzano strumenti di scansione e analisi come Advanced IP Scanner e BloodHound per ottenere informazioni sulle infrastrutture di rete delle vittime. Per l’escalation dei privilegi, vengono sfruttati comandi PowerShell e strumenti per alterare le policy di dominio.
Nella fase di esecuzione, Twelve distribuisce malware attraverso il sistema di pianificazione delle attività di Windows, eseguendo script in PowerShell per avviare ransomware e wiper (strumenti per cancellare dati). L’algoritmo di ransomware, basato su codice LockBit 3.0, è configurato per crittografare i dati delle vittime in modo rapido ed efficiente, lasciando pochi segni del proprio passaggio.
Impatto finale e crittografia dati
L’obiettivo principale del gruppo è la compromissione della confidenzialità, integrità e disponibilità delle informazioni delle vittime. Utilizzando strumenti come 7z per archiviare i dati rubati, Twelve li carica su piattaforme di condivisione file come DropMeFiles, garantendo una rapida esfiltrazione dei dati sensibili. I ransomware distribuiti hanno caratteristiche avanzate, tra cui la capacità di diffondersi in rete e cancellare i log di sistema per evitare il rilevamento.
Il gruppo Twelve, analizzato da Kaspersky, si basa su un arsenale di strumenti pubblicamente disponibili, rendendo potenzialmente più semplice la rilevazione e la prevenzione dei suoi attacchi e la sua capacità distruttiva, di concerto con l’affiliazione a gruppi come DARKSTAR, rappresenta una minaccia significativa per le entità della Russia.
Sicurezza Informatica
Lazarus continua con offerte di lavoro
Tempo di lettura: 2 minuti. Un gruppo di hacker nordcoreani prende di mira i settori energetico e aerospaziale con attacchi di phishing e un malware chiamato MISTPEN.
Lazarus, gruppo APT collegato alla Corea del Nord identificato come UNC2970 da Mandiant, ha lanciato una serie di attacchi mirati contro il settore energetico e aerospaziale. Questi attacchi si basano su campagne di phishing camuffate da offerte di lavoro, con l’obiettivo di compromettere le reti aziendali e accedere a informazioni sensibili tramite un malware chiamato MISTPEN.
Le offerte di lavoro di Lazarus
Lazarus si presenta come un gruppo di reclutatori, inviando e-mail e messaggi WhatsApp con offerte di lavoro per attirare l’attenzione di dirigenti e manager di alto livello nel settore dell’energia e dell’aerospazio. I messaggi contengono offerte di lavoro apparentemente legittime, corredate da file ZIP che includono una descrizione di lavoro in formato PDF. Tuttavia, il file PDF può essere aperto solo utilizzando una versione trojanizzata di Sumatra PDF, un visualizzatore PDF open-source.
Una volta che la vittima apre il file PDF con il software compromesso, viene eseguito un launcher chiamato BURNBOOK, che attiva il malware MISTPEN. Questo malware consente agli hacker di ottenere l’accesso remoto al sistema infetto, raccogliendo informazioni sensibili e trasferendo file eseguibili dal server di comando e controllo degli aggressori.
La minaccia rappresentata da MISTPEN
MISTPEN è una backdoor leggera, scritta in C, progettata per scaricare ed eseguire file da un server remoto. Questo malware utilizza una libreria DLL trojanizzata, wtsapi32.dll, per avviare la catena di infezione. Una volta installato, il malware comunica con il server degli aggressori attraverso URL di Microsoft Graph, garantendo un flusso continuo di dati tra la vittima e gli attaccanti.
Sfruttamento di software open-source
UNC2970 ha dimostrato un’abilità notevole nel modificare versioni open-source di software legittimi come Sumatra PDF. Questo approccio permette loro di evitare sospetti e compromettere i sistemi utilizzando programmi che, all’apparenza, sembrano sicuri. È importante notare che non si tratta di un attacco alla catena di fornitura, poiché non è stata rilevata alcuna vulnerabilità nel software originale, ma di una versione modificata dagli hacker.
- Intelligenza Artificiale1 settimana fa
Scoperta rivoluzionaria: molecole trasformano il futuro del calcolo
- Sicurezza Informatica7 giorni fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste2 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Economia1 settimana fa
GFI Software si affida a CoreTech per il canale in UK
- Sicurezza Informatica4 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Sicurezza Informatica3 giorni fa
Lazarus continua con offerte di lavoro
- Sicurezza Informatica3 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti
- Sicurezza Informatica7 giorni fa
23andMe paga 30 milioni per risolvere causa databreach