Sicurezza Informatica
Cyber War: la guerra cibernetica nella Matrice Digitale
Tempo di lettura: 7 minuti. La guerra cibernetica nella Matrice Digitale affrontata con dettaglio e minuziosità: con approfondimento sui soldati della cyberwar
Nell’era digitale, la sicurezza informatica è diventata una priorità per governi, aziende e individui. Al centro di questa crescente preoccupazione si trovano le APT, o minacce persistenti avanzate. Queste minacce, spesso sostenute o direttamente orchestrate da entità statali, rappresentano operazioni cibernetiche sofisticate e mirate, progettate per infiltrarsi e mantenere l’accesso a reti specifiche per periodi prolungati. L’obiettivo? Spionaggio, furto di dati e, in alcuni casi, sabotaggio.
Le APT sono diventate uno degli strumenti preferiti nelle arsenali cibernetici delle nazioni, offrendo la capacità di condurre operazioni clandestine contro avversari senza mai attraversare fisicamente i loro confini. Questa forma di guerra, combattuta nell’ombra del cyberspazio, ha ridefinito le regole del conflitto nel XXI secolo.
Matrice Digitale ha una sezione dedicata aggiornata quotidianamente sui rischi, azioni e le strategie messe in piedi dalle APT
1. Introduzione alla Guerra Cibernetica
La guerra cibernetica rappresenta l’evoluzione dei conflitti nell’era digitale. Attraverso attacchi informatici, spionaggio e disinformazione, le nazioni cercano di guadagnare vantaggi strategici senza ricorrere alla forza fisica.
La storia della guerra cibernetica
Il concetto di utilizzare computer e internet come mezzo di conduzione del conflitto è familiare. La storia della guerra cibernetica risale agli anni ’80, quando gli Stati Uniti e l’Unione Sovietica si sono impegnati in una corsa agli armamenti della Guerra Fredda per sviluppare tecnologia informatica avanzata. Con la diffusione di internet negli anni ’90, il potenziale per la guerra digitale e la spionaggio è aumentato. Negli anni recenti, abbiamo visto numerosi esempi di guerra cibernetica a livello statale. Nel 2010, gli Stati Uniti e Israele hanno lanciato il virus Stuxnet, progettato per interrompere il programma nucleare iraniano. Nel 2017, gli Stati Uniti hanno accusato la Russia di aver hackerato le elezioni statunitensi, portando a tensioni tra i due paesi.
Tipi di attacchi di guerra cibernetica
Esistono molti tipi di attacchi nella guerra cibernetica che possono essere utilizzati per interrompere, disabilitare o rubare informazioni sensibili da sistemi informatici, reti e dispositivi. Alcune delle armi cibernetiche standard includono:
- Attacchi malware: utilizzano software dannoso, come virus, worm o cavalli di Troia, per infiltrarsi e danneggiare sistemi o rubare informazioni sensibili.
- Attacchi DDoS (Distributed Denial of Service): sovraccaricano una rete o un sito web con traffico o richieste, rendendolo indisponibile agli utenti legittimi.
- Attacchi di phishing: inviano email o messaggi falsi che sembrano provenire da fonti legittime nel tentativo di ingannare il destinatario a rivelare informazioni sensibili o fare clic su un link dannoso.
- Attacchi man-in-the-middle: intercettano e alterano la comunicazione tra due parti senza che queste lo sappiano.
- Attacchi SQL injection: iniettano codice dannoso nel database di un sito web attraverso una debolezza nel processo di convalida dell’input del sito.
- Attacchi ransomware: cifrano i file della vittima e richiedono un riscatto per ripristinare l’accesso.
- Attacchi alla catena di approvvigionamento: compromettono la catena di approvvigionamento di un’azienda o organizzazione per accedere ai suoi sistemi o dati e nel caso della guerra cibernetica sono spesso aziende che forniscono servizi strategici allo Stato ed alla sua Difesa.
Per approfondire gli attacchi informatici, consultare lo speciale sulla cybersecurity e sicurezza informatica
2. Corea del Nord: L’ombra silenziosa nel cyberspazio
La Corea del Nord, nonostante le sue limitate risorse tecnologiche, ha dimostrato una notevole capacità nel condurre operazioni cibernetiche.
Kimsuky
L’attore nordcoreano trascurato opera presumibilmente per il governo nordcoreano. Mira principalmente la Corea del Sud, estendendosi a Giappone, Vietnam e Medio Oriente in settori come chimica, elettronica e sanitario. Utilizzano tattiche di ingegneria sociale, compromissioni web e file torrent per attaccare. Sfruttano vulnerabilità in programmi come Hangul Word Processor e Adobe Flash, avendo anche accesso a vulnerabilità zero-day. La loro infrastruttura di comando si basa su server compromessi e piattaforme cloud, mostrando una crescente sofisticazione. Utilizzano una vasta gamma di malware, sia per spionaggio che per attacchi distruttivi. Leggi tutte le notizie su Kimsuky
Lazarus
Lazarus Group è comunemente ritenuto gestito dal governo nordcoreano, motivato principalmente dal guadagno finanziario come metodo per eludere le sanzioni a lungo termine contro il regime. Emerse nei media nel 2013 con attacchi coordinati contro emittenti e istituti finanziari sudcoreani usando DarkSeoul, un programma che sovrascrive parti del master boot record delle vittime. Nel novembre 2014, un’ampia violazione di Sony Pictures fu attribuita a Lazarus. L’attacco si distinse per la sua vasta penetrazione nelle reti Sony e per la grande quantità di dati esfiltrati e divulgati. L’FBI collegò l’attacco a Sony all’attacco DarkSeoul precedente, attribuendo ufficialmente entrambi gli incidenti alla Corea del Nord.
Leggi tutte le notizie su Lazarus
Reaper
Reaper, noto anche come APT37, è un terzo gruppo APT della Corea del Nord, spesso collegato al più famoso Lazarus. Il suo obiettivo principale è la Corea del Sud, ma si estende anche a Giappone, Vietnam e Medio Oriente. Si concentra su vari settori, tra cui chimica, elettronica, produzione, aerospaziale e automobilistico.
Leggi tutte le notizie su Reaper
3. Russia: strategie digitali e disinformazione
La Russia ha perfezionato l’arte della guerra dell’informazione, utilizzando una combinazione di attacchi cibernetici e campagne di disinformazione per influenzare l’opinione pubblica e destabilizzare i suoi avversari.
Fancy bear
APT 28 è un gruppo di minaccia attribuito alla Direzione Principale dell’Intelligence del Generale Russo, come indicato da un’incriminazione del Dipartimento di Giustizia degli Stati Uniti nel luglio 2018. Si ritiene che il gruppo abbia compromesso la campagna di Hillary Clinton e altre organizzazioni democratiche nel 2016 per interferire con le elezioni presidenziali statunitensi. APT 28 è attivo dal gennaio 2007. Il gruppo ha mostrato interesse per i governi e le organizzazioni di sicurezza dell’Europa orientale, fornendo al governo russo la capacità di prevedere le intenzioni dei responsabili politici e di valutare la sua influenza sull’opinione pubblica.
Leggi tutte le notizie su Fancy Bear
APT 29, Cozy Bear, The Dukes
I Dukes sono un gruppo di cyber-spionaggio legato alla Federazione Russa attivo dal 2008. Mirano principalmente a governi occidentali, think tank e altre organizzazioni correlate. Utilizzano un’ampia gamma di malware, come MiniDuke e CosmicDuke. Hanno condotto campagne di spear-phishing su larga scala, caratterizzate da attacchi rapidi e massicci, ma anche campagne più mirate e furtive. Le loro attività riflettono gli interessi di politica estera e di sicurezza della Russia ed il loro nome più noto è Cozy Bear.
Leggi tutte le notizie su Cozy Bear
Sandworm
Sandworm Team è un gruppo russo di cyberespionaggio che opera dal 2009 circa. Il gruppo è probabilmente composto da pro-hacktivisti russi. Sandworm Team prende di mira principalmente entità ucraine associate all’energia, ai sistemi di controllo industriale, agli SCADA, al governo e ai media. Sandworm Team è stato collegato all’attacco al settore energetico ucraino della fine del 2015.
Leggi tutte le notizie su Sandworm
FIN7
FIN7 è un gruppo motivato da finanze che ha mirato principalmente ai settori retail, ristorazione e ospitalità degli Stati Uniti dal 2015. Utilizzano spesso malware per i punti vendita. Una parte di FIN7 operava attraverso una società di copertura chiamata Combi Security. Anche se a volte viene chiamato Carbanak o Anunak, questi sembrano essere due gruppi distinti che usano lo stesso malware Carbanak. Nonostante gli arresti riguardassero il cervello dietro Carbanak e non FIN7, i team di ricerca sulla sicurezza continuano a collegare quest’arresto a tutte le attività di FIN7.
Leggi tutte le notizie su FIN7
4. Iran: Cyberattacchi e difesa
L’Iran ha sviluppato capacità cibernetiche sia offensive che difensive, mirando a proteggere le proprie infrastrutture critiche e a colpire i suoi nemici.
Magic Hound, APT 35, Cobalt Illusion, Charming Kitten:
Magic Hound è un gruppo di minaccia ritenuto sostenuto dall’Iran, le cui attività sono state rilevate fin dal 2014. Questo gruppo ha principalmente rivolto le sue attenzioni verso entità nei settori dell’energia, del governo e della tecnologia, specialmente quelle situate in o associate all’Arabia Saudita.
Leggi tutte le notizie su Magic Hound
MuddyWater, Seedworm, TEMP.Zagros, Static Kitten
MuddyWater è un APT attivo nel corso del 2017, che ha preso di mira vittime in Medio Oriente utilizzando vettori in memoria basati su Powershell, in una serie di attacchi ora identificati come “Living off the land”, poiché non richiedono la creazione di nuovi file binari sulla macchina della vittima, mantenendo così un profilo di rilevamento basso e una minima traccia forense.
Gli operatori dietro MuddyWater sono probabilmente motivati dall’interesse per la spionaggio, deduciamo queste informazioni dall’analisi dei dati e dei comportamenti dei backdoor. Abbiamo anche scoperto che, nonostante la forte prevalenza di vittime dal Pakistan, i bersagli più attivi sembrano essere in Arabia Saudita, UAE e Iraq. Tra le vittime, identifichiamo una varietà di entità con una maggiore attenzione ai governi, alle compagnie di telecomunicazioni e alle compagnie petrolifere.
Leggi tutte le notizie su Muddy Water
5. Bielorussia
UNC1151
UNC1151 è autore di una serie di operazioni di informazione che, con una moderata fiducia, fanno parte di una campagna di influenza più ampia, in linea con gli interessi di sicurezza russi, in corso dal marzo 2017. Queste operazioni hanno principalmente preso di mira il pubblico in Lituania, Lettonia e Polonia, promuovendo narrazioni critiche della presenza della NATO in Europa orientale. Oltre a ciò, sono state utilizzate anche narrazioni anti-USA e legate al COVID-19 per rafforzare l’agenda anti-NATO. La campagna è stata soprannominata “Ghostwriter” da cui il gruppo ha preso un altro nominativo in aggiunto alla sigla UNC1151.
Russia – Ucraina: prima Guerra Cibernetica mediatica della Storia
Il conflitto in Ucraina è stato un campo di battaglia sia fisico che digitale. Gli attacchi cibernetici hanno giocato un ruolo cruciale nel conflitto, segnando un precedente nella storia della guerra moderna.
La guerra cibernetica in Ucraina è iniziata con gli attacchi Wiper dei russi che hanno neutralizzato la connessione satellitare di ViaSat il giorno prima di invadere militarmente il territorio e si è articolata in diversi segmenti di battaglia che vanno dalla propaganda ed arrivano a infezioni con strumenti classici.
Nei giorni del conflitto, i russi hanno utilizzato diversi wiper per neutralizzare i dati presenti nei dispositivi infetti, ma i danni procurati non hanno scalfito i sistemi militari degli ucraini pur avendo avuto un notevole successo.
Il conflitto Ucraino ha aperto diversi dibattiti in televisione che hanno confuso le idee ai telespettatori se si considera l’accavallamento tra operazioni militari ed il ruolo degli attivisti di Anonymous scemato nel tempo dopo diverse richieste a Putin e con azioni che hanno compromesso sistemi civili russi come la tv di stato o hanno in alcuni casi esfiltrato dati da diverse agenzie di stato.
Leggi tutte le notizie su Anonymous
Ad Anonymous si è unito Against The West che in esclusiva mondiale è stato identificato da Matrice Digitale come un APT al servizio della NATO. Nel corso del tempo, l’attenzione del gruppo si è spostata più sulla Cina che sul conflitto russo
Anonymous è una vecchia conoscenza di Matrice Digitale. Più volte intervistati dalla redazione insieme ai “cugini” di LulzSec, la cellula italiana si è schierata con le politiche atlantiste in contrapposizione ai due gruppi di hacktivisti russi più noti: Killnet – Legion e NoName057
Killenet è il primo gruppo di hacktivisti specializzati in attacchi DDOS e che in esclusiva mondiale Matrice Digitale ha intervistato insieme al battaglione Legion. Hanno più volte colpito l’Italia e non sempre con successo.
Leggi tutte le notizie su Killnet
NoName057 è un altro gruppo di hacktivisti russi che utilizzano gli attacchi DDOS e sono stati autori di diversi attacchi informatici costati la testa al direttore dell’ACN Baldoni in Italia. NoName057 è stato intervistato in esclusiva mondiale da Matrice Digitale più di una volta, avvisando di colpire l’Italia quanto prima, confermando poi l’indiscrezione fornita.
Leggi tutte le notizie su NoName057
La guerra dei bot social ha contrapposto la “propaganda russa” all’emergere della propaganda targata NAFO, una alleanza atlantica di propagandisti social che diffondono contenuti contro la Russia e creano liste di proscrizione sui social. Secondo uno studio dell’università di Adelaide, Australia, ad aver vinto la guerra dei bot è stata questa volta la propaganda atlantista.
Sicurezza Informatica
Vulnerabilità RCE zero-day nei router D-Link EXO AX4800
Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router D-Link EXO AX4800 (DIR-X4860), che consente l’esecuzione di comandi remoti non autenticati (RCE). Questa falla può portare a compromissioni complete dei dispositivi da parte di aggressori con accesso alla porta HNAP (Home Network Administration Protocol).
Dettagli sulla vulnerabilità
Il router D-Link DIR-X4860 è un dispositivo Wi-Fi 6 ad alte prestazioni, capace di raggiungere velocità fino a 4800 Mbps e dotato di funzionalità avanzate come OFDMA, MU-MIMO e BSS Coloring. Nonostante sia molto popolare in Canada e venduto a livello globale, il dispositivo presenta una vulnerabilità che può essere sfruttata per ottenere privilegi elevati e eseguire comandi come root.
La vulnerabilità è presente nella versione firmware DIRX4860A1_FWV1.04B03. Gli aggressori possono combinare un bypass di autenticazione con l’esecuzione di comandi per compromettere completamente il dispositivo.
Processo di sfruttamento
Il team di SSD ha pubblicato un proof-of-concept (PoC) dettagliato che illustra il processo di sfruttamento della vulnerabilità:
- Accesso alla porta HNAP: Solitamente accessibile tramite HTTP (porta 80) o HTTPS (porta 443) attraverso l’interfaccia di gestione remota del router.
- Richiesta di login HNAP: Un attacco inizia con una richiesta di login HNAP appositamente creata, che include un parametro chiamato ‘PrivateLogin’ impostato su “Username” e un nome utente “Admin”.
- Risposta del router: Il router risponde con una sfida, un cookie e una chiave pubblica, utilizzati per generare una password di login valida per l’account “Admin”.
- Bypass dell’autenticazione: Una successiva richiesta di login con l’header HNAP_AUTH e la password generata consente di bypassare l’autenticazione.
- Iniezione di comandi: Una vulnerabilità nella funzione ‘SetVirtualServerSettings’ permette l’iniezione di comandi tramite il parametro ‘LocalIPAddress’, eseguendo il comando nel contesto del sistema operativo del router.
Fonte: SSD Secure Disclosure
Nel frattempo, è consigliato agli utenti del DIR-X4860 di disabilitare l’interfaccia di gestione remota del dispositivo per prevenire possibili sfruttamenti.
Sicurezza Informatica
SEC: “notificare la violazione dei dati entro 30 giorni”
Tempo di lettura: 2 minuti. La SEC richiede alle istituzioni finanziarie di notificare le violazioni dei dati agli individui interessati entro 30 giorni
La Securities and Exchange Commission (SEC) ha adottato emendamenti al Regolamento S-P, obbligando le istituzioni finanziarie a divulgare gli incidenti di violazione dei dati agli individui interessati entro 30 giorni dalla scoperta. Questi emendamenti mirano a modernizzare e migliorare la protezione delle informazioni finanziarie individuali dalle violazioni dei dati e dall’esposizione a parti non affiliate.
Dettagli delle modifiche al Regolamento S-P
Il Regolamento S-P, introdotto nel 2000, stabilisce come alcune entità finanziarie devono trattare le informazioni personali non pubbliche dei consumatori, includendo lo sviluppo e l’implementazione di politiche di protezione dei dati, garanzie di riservatezza e sicurezza, e protezione contro minacce anticipate. Gli emendamenti adottati questa settimana coinvolgono vari tipi di aziende finanziarie, tra cui broker-dealer, società di investimento, consulenti per gli investimenti registrati e agenti di trasferimento.
Principali cambiamenti introdotti
- Notifica agli individui interessati entro 30 giorni: Le organizzazioni devono notificare agli individui se le loro informazioni sensibili sono state o potrebbero essere state accessibili o utilizzate senza autorizzazione, fornendo dettagli sull’incidente, sui dati violati e sulle misure protettive adottate. L’esenzione si applica se le informazioni non sono previste causare danni sostanziali o inconvenienti agli individui esposti.
- Sviluppo di politiche e procedure scritte per la risposta agli incidenti: Le organizzazioni devono sviluppare, implementare e mantenere politiche e procedure scritte per un programma di risposta agli incidenti, includendo procedure per rilevare, rispondere e recuperare da accessi non autorizzati o dall’uso delle informazioni dei clienti.
- Estensione delle regole di salvaguardia e smaltimento: Queste regole si applicano a tutte le informazioni personali non pubbliche, comprese quelle ricevute da altre istituzioni finanziarie.
- Documentazione della conformità: Le organizzazioni devono documentare la conformità con le regole di salvaguardia e smaltimento, escludendo i portali di finanziamento.
- Allineamento della consegna annuale dell’avviso sulla privacy con il FAST Act: Questo prevede esenzioni in determinate condizioni.
- Estensione delle regole agli agenti di trasferimento registrati presso la SEC o altre agenzie regolatrici.
Implementazione e tempistiche
Gli emendamenti entreranno in vigore 60 giorni dopo la pubblicazione nel Federal Register, la rivista ufficiale del governo federale degli Stati Uniti. Le organizzazioni più grandi avranno 18 mesi per conformarsi dopo la pubblicazione, mentre le entità più piccole avranno due anni.
Implicazioni e obiettivi
Questi aggiornamenti rappresentano una risposta alla trasformazione significativa della natura, scala e impatto delle violazioni dei dati negli ultimi 24 anni. Gary Gensler, presidente della SEC, ha dichiarato che questi emendamenti forniscono aggiornamenti cruciali a una regola adottata per la prima volta nel 2000, contribuendo a proteggere la privacy dei dati finanziari dei clienti.
Inoltre, la SEC ha introdotto nuove regole a dicembre, richiedendo a tutte le società pubbliche di divulgare eventuali violazioni che abbiano influito materialmente o che siano ragionevolmente probabili influire materialmente sulla strategia aziendale, sui risultati operativi o sulla condizione finanziaria.
Sicurezza Informatica
Kinsing sfrutta nuove vulnerabilità per espandere botnet cryptojacking
Tempo di lettura: 2 minuti. Il gruppo Kinsing sfrutta nuove vulnerabilità per espandere la botnet di cryptojacking, prendendo di mira sistemi Linux e Windows.
Il gruppo di cryptojacking Kinsing ha dimostrato la capacità di evolversi e adattarsi rapidamente, integrando nuove vulnerabilità nel proprio arsenale per espandere la botnet. Questi attacchi, documentati da Aqua Security, mostrano come Kinsing continui a orchestrare campagne di mining di criptovalute illegali dal 2019.
Campagne e vulnerabilità sfruttate
Kinsing utilizza il malware noto come H2Miner per compromettere i sistemi e inserirli in una botnet di mining di criptovalute. Dal 2020, Kinsing ha sfruttato varie vulnerabilità, tra cui:
- Apache ActiveMQ, Log4j, NiFi
- Atlassian Confluence
- Citrix, Liferay Portal
- Linux
- Openfire, Oracle WebLogic Server, SaltStack
Oltre a queste vulnerabilità, Kinsing ha utilizzato configurazioni errate di Docker, PostgreSQL e Redis per ottenere l’accesso iniziale ai sistemi, trasformandoli poi in botnet per il mining di criptovalute.
Metodi di attacco e infrastruttura
L’infrastruttura di attacco di Kinsing si suddivide in tre categorie principali: server iniziali per la scansione e lo sfruttamento delle vulnerabilità, server di download per lo staging dei payload e degli script, e server di comando e controllo (C2) che mantengono il contatto con i server compromessi. Gli indirizzi IP dei server C2 risolvono in Russia, mentre quelli utilizzati per scaricare script e binari si trovano in paesi come Lussemburgo, Russia, Paesi Bassi e Ucraina.
Strumenti e tecniche di evasione
Kinsing utilizza diversi strumenti per sfruttare i server Linux e Windows, inclusi script shell e Bash per i server Linux e script PowerShell per i server Windows. Il malware disabilita i servizi di sicurezza e rimuove i miner rivali già installati sui sistemi. Le campagne di Kinsing mirano principalmente alle applicazioni open-source, con una preferenza per le applicazioni runtime, i database e le infrastrutture cloud.
Categorie di programmi utilizzati
L’analisi dei reperti ha rivelato tre categorie distinte di programmi utilizzati da Kinsing:
- Script di Tipo I e Tipo II: utilizzati dopo l’accesso iniziale per scaricare componenti di attacco, eliminare la concorrenza e disabilitare le difese.
- Script ausiliari: progettati per ottenere l’accesso iniziale sfruttando vulnerabilità e disabilitando componenti di sicurezza specifici.
- Binari: payload di seconda fase che includono il malware principale Kinsing e il crypto-miner per minare Monero.
Prevenzione e misure proattive
Per prevenire minacce come Kinsing, è cruciale implementare misure proattive come il rafforzamento delle configurazioni di sicurezza prima del deployment. Proteggere le infrastrutture cloud e i sistemi runtime può ridurre significativamente il rischio di compromissioni.
Il gruppo Kinsing continua a rappresentare una minaccia significativa nel panorama della sicurezza informatica, dimostrando la capacità di adattarsi e sfruttare rapidamente nuove vulnerabilità. La protezione contro queste minacce richiede misure di sicurezza robuste e aggiornamenti continui delle configurazioni di sistema.
- Robotica1 settimana fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Inchieste5 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla5 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Economia1 settimana fa
Chi sarà il successore di Tim Cook in Apple?
- Inchieste4 giorni fa
Terrore in Campania: dati sanitari di SynLab nel dark web
- Economia1 settimana fa
Ban in Germania per alcuni prodotti Motorola e Lenovo
- Economia1 settimana fa
Guerra dei Chip: gli USA colpiscono la ricerca cinese nella Entity List
- Smartphone5 giorni fa
Samsung Galaxy S25 Ultra avrà una Fotocamera rispetto all’S24