Sicurezza Informatica
I legislatori statunitensi chiedono informazioni alla DEA e all’FBI sull’uso di spyware israeliani
Tempo di lettura: 4 minuti. Adam Schiff e Ron Wyden esprimono preoccupazione per l’uso da parte delle agenzie di strumenti di hacking a distanza, affermando che l’opinione pubblica americana merita dettagli sulla portata del loro impiego
Secondo un articolo del New York Times di questa settimana, i legislatori statunitensi chiedono alle agenzie nazionali informazioni sull’entità dell’uso di spyware israeliani. Secondo il quotidiano, il rappresentante della California Adam Schiff, capo del Comitato per l’Intelligence della Camera, ha inviato una lettera alla Drug Enforcement Administration per chiedere dettagli sull’uso da parte dell’agenzia del software noto come Graphite, prodotto dalla startup israeliana Paragon cyber technology. L’uso di questo strumento da parte della DEA è stato riportato per la prima volta dal Times all’inizio del mese. “Tale uso potrebbe avere potenziali implicazioni per la sicurezza nazionale degli Stati Uniti, oltre a essere contrario agli sforzi per scoraggiare l’ampia proliferazione di potenti capacità di sorveglianza a regimi autocratici e ad altri che potrebbero abusarne”, ha scritto Schiff all’agenzia. Nel frattempo, il senatore dell’Oregon Ron Wyden, che fa parte della Commissione Intelligence del Senato, ha contattato l’FBI per ottenere dettagli sulla sperimentazione da parte dell’agenzia del famigerato software Pegasus da parte del gruppo israeliano NSO, e su cosa ci si potrebbe aspettare dall’agenzia in futuro. L’FBI ha ammesso di aver acquistato il software, ma ha dichiarato di averlo fatto solo a scopo di test e per conoscere le ultime capacità di questo tipo di spyware. Il Times ha riferito a novembre che diversi funzionari dell’agenzia avevano cercato di utilizzarlo in alcuni casi, anche se alla fine tali piani sono stati accantonati. “Il popolo americano ha il diritto di conoscere la portata delle attività di hacking dell’FBI e le regole che governano l’uso di questa controversa tecnica di sorveglianza”, ha dichiarato Wyden. Citando cinque persone senza nome a conoscenza della questione, il rapporto ha affermato che la DEA stava utilizzando il software di Paragon, una società sostenuta dall’ex primo ministro Ehud Barak. Il software di spionaggio consente agli utenti di raccogliere i dati archiviati dal telefono di un individuo nel cloud. Il rapporto cita un funzionario della DEA secondo cui l’agenzia lo ha utilizzato solo al di fuori degli Stati Uniti nei suoi sforzi per fermare i cartelli della droga. La DEA non ha negato l’uso dello spyware, affermando di “utilizzare ogni strumento investigativo legale disponibile” nella sua ricerca di trafficanti di droga stranieri. Alla fine dell’anno scorso, gli Stati Uniti hanno inserito nella lista nera le aziende israeliane di spyware NSO e Candiru. Secondo il Times, l’FBI aveva spinto per la fine del 2020 e la prima metà del 2021 per utilizzare il famigerato programma Pegasus di NSO, considerato tra gli strumenti più potenti del suo genere, prima che fosse vietato. Lo strumento è stato venduto alle forze dell’ordine di tutto il mondo, anche se i critici sostengono che sia stato utilizzato anche da governi e regimi repressivi per tracciare giornalisti, attivisti, dissidenti e altri.
Il Times ha scoperto che Paragon e altre aziende – alcune delle quali impiegano ex dipendenti della NSO e altri lavoratori israeliani del settore tecnologico – stanno riempiendo il vuoto lasciato dalla lista nera della NSO, sviluppando software in grado di copiare l’intero contenuto del telefono di un individuo e di utilizzarlo per spiare l’utente. Paragon è stata fondata tre anni fa da Ehud Schneorson, ex comandante della famosa unità di intelligence 8200 delle forze di difesa israeliane. Secondo il rapporto, alcuni dei suoi dipendenti hanno lavorato in precedenza per la NSO e l’ex premier Barak fa parte del suo consiglio di amministrazione. Tra i suoi finanziatori c’è Battery Ventures, con sede negli Stati Uniti, secondo Start-up Nation Central. Un’altra società, Intellexa – fondata in Grecia dall’ex ufficiale militare israeliano Tal Dilian e già coinvolta in una serie di scandali – è stata autorizzata da Atene a vendere il suo software spia Predator al Madagascar, un Paese con una storia di violazioni dei diritti. Citando il governo greco, il rapporto afferma che Intellexa ha anche fatto una proposta commerciale per vendere prodotti all’Ucraina, che ha rifiutato l’offerta. Ha aggiunto che Predator è stato utilizzato in un’altra dozzina di Paesi nel 2021. Il Predator è stato individuato, tra gli altri Paesi, in Egitto, Indonesia, Arabia Saudita e Germania, ha riferito il NY Times, citando una ricerca di Meta e dell’ente canadese di vigilanza sulla cybersicurezza Citizen Lab.
Il programma sarebbe stato utilizzato anche in Grecia contro giornalisti ed esponenti dell’opposizione, anche se il governo greco nega qualsiasi coinvolgimento e considera lo spyware illegale. Prima di trasferirsi in Grecia, Dilian si era stabilito a Cipro, ma nel 2019 si è scontrato con la legge mentre dimostrava alla rivista Forbes come il software da lui commercializzato fosse in grado di hackerare i telefoni vicini, mentre guidava un furgone nella città di Larnaca. Le autorità cipriote hanno emesso un mandato di arresto tramite l’agenzia di polizia mondiale Interpol dopo che un video del furgone è diventato virale. Secondo il rapporto, Dilian ha risolto la questione attraverso il suo avvocato, pagando una multa di 1 milione di dollari. La Casa Bianca sta preparando un ordine esecutivo per limitare l’uso di spyware negli Stati Uniti, si legge nel rapporto, che cita un funzionario della Casa Bianca senza nome, secondo il quale si intende impedire l’uso di strumenti che pongono “rischi per il controspionaggio e la sicurezza” o che sono stati usati “impropriamente” da governi al di fuori degli Stati Uniti. Israele ha cercato senza successo di ottenere una risposta da Washington su quali siano le sue linee guida per l’uso di spyware, ha dichiarato il direttore generale del Ministero della Difesa Amir Eshel. Il Ministero della Difesa israeliano controlla attentamente le vendite di tecnologia di difesa all’estero, ma Eshel ha osservato che non ha alcun controllo sulle società create da israeliani all’estero, come Intellexa.
Il Financial Times ha riportato all’inizio del mese che, scosso da crisi passate e a corto di clienti e di entrate, il famigerato NSO Group è soddisfatto dell’imminente ritorno di Benjamin Netanyahu come primo ministro, ritenendo che allenterà le restrizioni sulle esportazioni di spyware israeliano verso Paesi con una storia problematica in materia di diritti umani, primo fra tutti l’Arabia Saudita. Il giornale ha citato diverse fonti nel suo rapporto, secondo cui l’azienda israeliana che ha sviluppato il controverso software di tracciamento Pegasus rischia di fallire, essendo stata coinvolta in scandali sui diritti in tutto il mondo, evitata dagli Stati Uniti e sempre più anche dall’Europa, e dovendo affrontare le crescenti misure israeliane che ostacolano la sua capacità di vendere i suoi prodotti a Paesi non democratici. L’agenzia di stampa britannica ha citato diverse fonti informate senza nome, secondo le quali Netanyahu, in qualità di primo ministro, ha favorito le esportazioni di software di intelligence usandole come carote per migliorare i legami di sicurezza clandestini di Israele con Paesi come l’Arabia Saudita, l’India e le nazioni della regione del Golfo e dell’Africa orientale.
Sicurezza Informatica
Vulnerabilità RCE zero-day nei router D-Link EXO AX4800
Un gruppo di ricercatori di SSD Secure Disclosure ha scoperto una vulnerabilità critica nei router D-Link EXO AX4800 (DIR-X4860), che consente l’esecuzione di comandi remoti non autenticati (RCE). Questa falla può portare a compromissioni complete dei dispositivi da parte di aggressori con accesso alla porta HNAP (Home Network Administration Protocol).
Dettagli sulla vulnerabilità
Il router D-Link DIR-X4860 è un dispositivo Wi-Fi 6 ad alte prestazioni, capace di raggiungere velocità fino a 4800 Mbps e dotato di funzionalità avanzate come OFDMA, MU-MIMO e BSS Coloring. Nonostante sia molto popolare in Canada e venduto a livello globale, il dispositivo presenta una vulnerabilità che può essere sfruttata per ottenere privilegi elevati e eseguire comandi come root.
La vulnerabilità è presente nella versione firmware DIRX4860A1_FWV1.04B03. Gli aggressori possono combinare un bypass di autenticazione con l’esecuzione di comandi per compromettere completamente il dispositivo.
Processo di sfruttamento
Il team di SSD ha pubblicato un proof-of-concept (PoC) dettagliato che illustra il processo di sfruttamento della vulnerabilità:
- Accesso alla porta HNAP: Solitamente accessibile tramite HTTP (porta 80) o HTTPS (porta 443) attraverso l’interfaccia di gestione remota del router.
- Richiesta di login HNAP: Un attacco inizia con una richiesta di login HNAP appositamente creata, che include un parametro chiamato ‘PrivateLogin’ impostato su “Username” e un nome utente “Admin”.
- Risposta del router: Il router risponde con una sfida, un cookie e una chiave pubblica, utilizzati per generare una password di login valida per l’account “Admin”.
- Bypass dell’autenticazione: Una successiva richiesta di login con l’header HNAP_AUTH e la password generata consente di bypassare l’autenticazione.
- Iniezione di comandi: Una vulnerabilità nella funzione ‘SetVirtualServerSettings’ permette l’iniezione di comandi tramite il parametro ‘LocalIPAddress’, eseguendo il comando nel contesto del sistema operativo del router.
Fonte: SSD Secure Disclosure
Nel frattempo, è consigliato agli utenti del DIR-X4860 di disabilitare l’interfaccia di gestione remota del dispositivo per prevenire possibili sfruttamenti.
Sicurezza Informatica
SEC: “notificare la violazione dei dati entro 30 giorni”
Tempo di lettura: 2 minuti. La SEC richiede alle istituzioni finanziarie di notificare le violazioni dei dati agli individui interessati entro 30 giorni
La Securities and Exchange Commission (SEC) ha adottato emendamenti al Regolamento S-P, obbligando le istituzioni finanziarie a divulgare gli incidenti di violazione dei dati agli individui interessati entro 30 giorni dalla scoperta. Questi emendamenti mirano a modernizzare e migliorare la protezione delle informazioni finanziarie individuali dalle violazioni dei dati e dall’esposizione a parti non affiliate.
Dettagli delle modifiche al Regolamento S-P
Il Regolamento S-P, introdotto nel 2000, stabilisce come alcune entità finanziarie devono trattare le informazioni personali non pubbliche dei consumatori, includendo lo sviluppo e l’implementazione di politiche di protezione dei dati, garanzie di riservatezza e sicurezza, e protezione contro minacce anticipate. Gli emendamenti adottati questa settimana coinvolgono vari tipi di aziende finanziarie, tra cui broker-dealer, società di investimento, consulenti per gli investimenti registrati e agenti di trasferimento.
Principali cambiamenti introdotti
- Notifica agli individui interessati entro 30 giorni: Le organizzazioni devono notificare agli individui se le loro informazioni sensibili sono state o potrebbero essere state accessibili o utilizzate senza autorizzazione, fornendo dettagli sull’incidente, sui dati violati e sulle misure protettive adottate. L’esenzione si applica se le informazioni non sono previste causare danni sostanziali o inconvenienti agli individui esposti.
- Sviluppo di politiche e procedure scritte per la risposta agli incidenti: Le organizzazioni devono sviluppare, implementare e mantenere politiche e procedure scritte per un programma di risposta agli incidenti, includendo procedure per rilevare, rispondere e recuperare da accessi non autorizzati o dall’uso delle informazioni dei clienti.
- Estensione delle regole di salvaguardia e smaltimento: Queste regole si applicano a tutte le informazioni personali non pubbliche, comprese quelle ricevute da altre istituzioni finanziarie.
- Documentazione della conformità: Le organizzazioni devono documentare la conformità con le regole di salvaguardia e smaltimento, escludendo i portali di finanziamento.
- Allineamento della consegna annuale dell’avviso sulla privacy con il FAST Act: Questo prevede esenzioni in determinate condizioni.
- Estensione delle regole agli agenti di trasferimento registrati presso la SEC o altre agenzie regolatrici.
Implementazione e tempistiche
Gli emendamenti entreranno in vigore 60 giorni dopo la pubblicazione nel Federal Register, la rivista ufficiale del governo federale degli Stati Uniti. Le organizzazioni più grandi avranno 18 mesi per conformarsi dopo la pubblicazione, mentre le entità più piccole avranno due anni.
Implicazioni e obiettivi
Questi aggiornamenti rappresentano una risposta alla trasformazione significativa della natura, scala e impatto delle violazioni dei dati negli ultimi 24 anni. Gary Gensler, presidente della SEC, ha dichiarato che questi emendamenti forniscono aggiornamenti cruciali a una regola adottata per la prima volta nel 2000, contribuendo a proteggere la privacy dei dati finanziari dei clienti.
Inoltre, la SEC ha introdotto nuove regole a dicembre, richiedendo a tutte le società pubbliche di divulgare eventuali violazioni che abbiano influito materialmente o che siano ragionevolmente probabili influire materialmente sulla strategia aziendale, sui risultati operativi o sulla condizione finanziaria.
Sicurezza Informatica
Kinsing sfrutta nuove vulnerabilità per espandere botnet cryptojacking
Tempo di lettura: 2 minuti. Il gruppo Kinsing sfrutta nuove vulnerabilità per espandere la botnet di cryptojacking, prendendo di mira sistemi Linux e Windows.
Il gruppo di cryptojacking Kinsing ha dimostrato la capacità di evolversi e adattarsi rapidamente, integrando nuove vulnerabilità nel proprio arsenale per espandere la botnet. Questi attacchi, documentati da Aqua Security, mostrano come Kinsing continui a orchestrare campagne di mining di criptovalute illegali dal 2019.
Campagne e vulnerabilità sfruttate
Kinsing utilizza il malware noto come H2Miner per compromettere i sistemi e inserirli in una botnet di mining di criptovalute. Dal 2020, Kinsing ha sfruttato varie vulnerabilità, tra cui:
- Apache ActiveMQ, Log4j, NiFi
- Atlassian Confluence
- Citrix, Liferay Portal
- Linux
- Openfire, Oracle WebLogic Server, SaltStack
Oltre a queste vulnerabilità, Kinsing ha utilizzato configurazioni errate di Docker, PostgreSQL e Redis per ottenere l’accesso iniziale ai sistemi, trasformandoli poi in botnet per il mining di criptovalute.
Metodi di attacco e infrastruttura
L’infrastruttura di attacco di Kinsing si suddivide in tre categorie principali: server iniziali per la scansione e lo sfruttamento delle vulnerabilità, server di download per lo staging dei payload e degli script, e server di comando e controllo (C2) che mantengono il contatto con i server compromessi. Gli indirizzi IP dei server C2 risolvono in Russia, mentre quelli utilizzati per scaricare script e binari si trovano in paesi come Lussemburgo, Russia, Paesi Bassi e Ucraina.
Strumenti e tecniche di evasione
Kinsing utilizza diversi strumenti per sfruttare i server Linux e Windows, inclusi script shell e Bash per i server Linux e script PowerShell per i server Windows. Il malware disabilita i servizi di sicurezza e rimuove i miner rivali già installati sui sistemi. Le campagne di Kinsing mirano principalmente alle applicazioni open-source, con una preferenza per le applicazioni runtime, i database e le infrastrutture cloud.
Categorie di programmi utilizzati
L’analisi dei reperti ha rivelato tre categorie distinte di programmi utilizzati da Kinsing:
- Script di Tipo I e Tipo II: utilizzati dopo l’accesso iniziale per scaricare componenti di attacco, eliminare la concorrenza e disabilitare le difese.
- Script ausiliari: progettati per ottenere l’accesso iniziale sfruttando vulnerabilità e disabilitando componenti di sicurezza specifici.
- Binari: payload di seconda fase che includono il malware principale Kinsing e il crypto-miner per minare Monero.
Prevenzione e misure proattive
Per prevenire minacce come Kinsing, è cruciale implementare misure proattive come il rafforzamento delle configurazioni di sicurezza prima del deployment. Proteggere le infrastrutture cloud e i sistemi runtime può ridurre significativamente il rischio di compromissioni.
Il gruppo Kinsing continua a rappresentare una minaccia significativa nel panorama della sicurezza informatica, dimostrando la capacità di adattarsi e sfruttare rapidamente nuove vulnerabilità. La protezione contro queste minacce richiede misure di sicurezza robuste e aggiornamenti continui delle configurazioni di sistema.
- Robotica1 settimana fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Inchieste5 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla5 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Economia1 settimana fa
Chi sarà il successore di Tim Cook in Apple?
- Economia1 settimana fa
Ban in Germania per alcuni prodotti Motorola e Lenovo
- Inchieste4 giorni fa
Terrore in Campania: dati sanitari di SynLab nel dark web
- Economia1 settimana fa
Guerra dei Chip: gli USA colpiscono la ricerca cinese nella Entity List
- Smartphone5 giorni fa
Samsung Galaxy S25 Ultra avrà una Fotocamera rispetto all’S24