Sicurezza Informatica
Minacce ingegnerizzate dall’IA: paura infondata o realtà?
Tempo di lettura: 3 minuti. L’IA sta cambiando il ritmo degli affari e della sicurezza informatica. Ma come influenzerà realmente la cybercriminalità? Esaminiamo la questione con un approccio pragmatico e sobrio.
L’arrivo delle applicazioni generative di intelligenza artificiale (IA) ha cambiato il ritmo degli affari, non solo per i team di sicurezza, ma anche per i cybercriminali. Oggi, non adottare le innovazioni dell’IA può significare rimanere indietro rispetto ai concorrenti e mettere la propria difesa cibernetica in svantaggio rispetto agli attacchi cibernetici alimentati dall’IA. Quando si discute di come l’IA influenzerà o meno la cybercriminalità, è importante guardare le cose con un occhio pragmatico e sobrio, senza alimentare l’hype che sembra più fantascienza.
L’IA e la sicurezza delle imprese
I recenti progressi e la maturità dell’IA segnalano un significativo passo avanti per la sicurezza delle imprese. I cybercriminali non possono facilmente eguagliare le dimensioni e la scala delle risorse, delle competenze e della motivazione delle imprese, rendendo più difficile per loro tenere il passo con l’attuale velocità dell’innovazione dell’IA. L’investimento privato in IA è esploso a 93,5 miliardi di dollari nel 2021 – i cattivi non hanno quel livello di capitale. Inoltre, non hanno la manodopera, la potenza di calcolo e le innovazioni che danno alle aziende commerciali o al governo più tempo e opportunità per fallire rapidamente, imparare velocemente e farlo bene per primi.
La cybercriminalità si adeguerà
Non c’è dubbio: la cybercriminalità si adeguerà. Questa non è la prima volta che l’industria della sicurezza ha un breve vantaggio – quando il ransomware ha iniziato a spingere più difensori ad adottare tecnologie di rilevamento e risposta degli endpoint, gli aggressori hanno avuto bisogno di tempo per capire come eludere ed evadere tali rilevamenti. Questo periodo di “grazia” ha dato alle aziende il tempo di proteggersi meglio. Lo stesso vale ora: le aziende devono massimizzare il loro vantaggio nella corsa all’IA, avanzando le loro capacità di rilevamento e risposta alle minacce e sfruttando la velocità e la precisione che le attuali innovazioni dell’IA offrono loro.
Come l’IA sta cambiando la cybercriminalità
L’IA non cambierà sostanzialmente la cybercriminalità nel prossimo futuro, ma la scalerà in certi casi. Vediamo dove l’uso malintenzionato dell’IA avrà e non avrà l’impatto più immediato.
Campagne di malware completamente automatizzate: paura infondata
Negli ultimi mesi, abbiamo visto affermazioni riguardanti vari casi d’uso malintenzionati dell’IA, ma solo perché uno scenario è possibile non lo rende probabile. Prendiamo ad esempio le campagne di malware completamente automatizzate – la logica dice che è possibile sfruttare l’IA per ottenere quel risultato, ma dato che le principali aziende tecnologiche non hanno ancora pionierizzato i cicli di sviluppo software completamente automatizzati, è improbabile che i gruppi di cybercriminalità con risorse finanziarie limitate raggiungano questo obiettivo prima.
Phishing ingegnerizzato dall’IA: realtà (ma il contesto è fondamentale)
Un altro caso d’uso da considerare sono gli attacchi di phishing ingegnerizzati dall’IA. Non solo questo è possibile, ma stiamo già iniziando a vedere questi attacchi nel mondo reale. Questa nuova generazione di phishing potrebbe raggiungere livelli più alti di persuasività e tasso di click, ma un phishing ingegnerizzato da un umano e un phishing ingegnerizzato dall’IA hanno ancora lo stesso obiettivo.
Attacchi di avvelenamento dell’IA: quasi paura infondata
Gli attacchi di avvelenamento dell’IA, in altre parole la manipolazione programmata del codice e dei dati su cui sono costruiti i modelli di IA, potrebbero essere il “santo graal” degli attacchi per i cybercriminali. L’impatto di un attacco di avvelenamento di successo potrebbe variare da tentativi di disinformazione a scenari da Die Hard 4.0.
L’ignoto
Mentre è importante separare l’hype dalla realtà, è altrettanto importante assicurarsi di porre le domande giuste sull’impatto dell’IA sul panorama delle minacce. Ci sono molte incognite riguardo al potenziale dell’IA – come potrebbe cambiare gli obiettivi e gli obiettivi degli avversari è una questione che non dobbiamo trascurare.
Sicurezza Informatica
CISA: otto avvisi ICS e vulnerabilità critica su Ivanti vTM
Tempo di lettura: 2 minuti. CISA pubblica otto avvisi sui sistemi di controllo industriale e segnala una vulnerabilità critica su Ivanti vTM, già sfruttata attivamente.
La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente pubblicato importanti avvisi riguardanti la sicurezza dei sistemi di controllo industriale (ICS) e ha segnalato una vulnerabilità critica su Ivanti Virtual Traffic Manager (vTM). Queste comunicazioni riflettono le crescenti preoccupazioni relative alla sicurezza informatica e alla protezione delle infrastrutture critiche, evidenziando l’importanza di adottare misure preventive per mitigare i rischi.
Otto avvisi per i sistemi di controllo industriale (ICS)
Il 24 settembre 2024, la CISA ha pubblicato otto nuovi avvisi riguardanti i sistemi di controllo industriale (ICS). Questi avvisi forniscono dettagli tecnici e suggerimenti per la mitigazione delle vulnerabilità presenti nei sistemi ICS, spesso utilizzati in settori cruciali come l’energia, la produzione e i trasporti. La crescente interconnessione dei sistemi ICS con reti esterne li rende vulnerabili a potenziali cyber attacchi, e la CISA ha sottolineato l’urgenza di implementare misure di sicurezza per prevenire possibili exploit.
- ICSA-24-268-01 OPW Fuel Management Systems SiteSentinel
- ICSA-24-268-02 Alisonic Sibylla
- ICSA-24-268-03 Franklin Fueling Systems TS-550 EVO
- ICSA-24-268-04 Dover Fueling Solutions ProGauge MAGLINK LX CONSOLE
- ICSA-24-268-05 Moxa MXview One
- ICSA-24-268-06 OMNTEC Proteus Tank Monitoring
- ICSA-24-156-01 Uniview NVR301-04S2-P4 (Update A)
- ICSA-19-274-01 Interpeak IPnet TCP/IP Stack (Update E)
Gli amministratori di sistema e gli operatori sono stati invitati a consultare i dettagli tecnici degli avvisi e ad adottare immediatamente le misure necessarie per proteggere le infrastrutture. La sicurezza dei sistemi ICS è fondamentale, poiché una violazione potrebbe avere conseguenze devastanti, compromettendo la produzione industriale e mettendo a rischio le operazioni di intere infrastrutture.
Ivanti vTM: Vulnerabilità critica e rischio di exploit
Sempre il 24 settembre 2024, la CISA ha segnalato una vulnerabilità critica legata al software Ivanti Virtual Traffic Manager (vTM), identificata come CVE-2024-7593, con un punteggio CVSS di 9.8. Questa vulnerabilità consente a un attaccante remoto non autenticato di bypassare l’autenticazione dell’admin panel, creando utenti amministrativi malintenzionati. Si tratta di una grave minaccia per la sicurezza, in quanto potrebbe dare agli hacker un controllo totale sui sistemi vulnerabili.
CVE-2024-7593 Ivanti Virtual Traffic Manager Authentication Bypass Vulnerability
Ivanti ha rilasciato una patch per risolvere il problema nelle versioni 22.2R1, 22.3R3, 22.5R2, 22.6R2 e 22.7R2 nel mese di agosto 2024, ma l’exploit è già in uso attivo, con una prova di concetto (PoC) disponibile pubblicamente. Questa vulnerabilità mette a rischio numerosi dispositivi, in particolare nel contesto delle agenzie federali degli Stati Uniti, che sono state obbligate a correggere il problema entro il 15 ottobre 2024.
Inoltre, Censys ha rivelato che ci sono oltre 2.000 istanze esposte di Ivanti Cloud Service Appliance (CSA) online, molte delle quali negli Stati Uniti. La vulnerabilità rappresenta una seria minaccia per le organizzazioni che non hanno ancora implementato le patch necessarie per proteggere i loro sistemi da potenziali attacchi.
La CISA sta facendo tutto il possibile per sensibilizzare le organizzazioni riguardo alle vulnerabilità nei sistemi di controllo industriale ICS e nei software critici come Ivanti vTM. Con la crescente sofisticazione degli attacchi informatici, è fondamentale che le aziende e le agenzie governative adottino misure tempestive per proteggere le loro reti e i loro sistemi da potenziali exploit.
Sicurezza Informatica
Taiwan respinge le accuse della Cina su Anonymous64
Tempo di lettura: 2 minuti. Taiwan smentisce le accuse cinesi di aver sponsorizzato cyberattacchi contro la Cina, mentre Pechino sostiene che Anonymous64 sia parte delle forze cibernetiche taiwanesi.
Il governo di Taiwan ha categoricamente respinto le accuse avanzate dalla Cina riguardo a presunte attività di cyber attacchi sponsorizzate dalla sua forza militare che sono state formulate lunedì dal Ministero della Sicurezza di Stato cinese attraverso il canale ufficiale WeChat, in cui si sostiene che un gruppo hacker denominato Anonymous64 avrebbe tentato di ottenere il controllo su portali web, schermi elettronici e televisioni di rete in Cina continentale, Hong Kong e Macao, al fine di diffondere contenuti critici nei confronti del sistema di governo cinese.
Secondo il Ministero, le indagini avrebbero rivelato che Anonymous64 non sarebbe un semplice gruppo hacker indipendente, bensì una divisione facente parte del Comando delle Forze di Informazione, Comunicazione ed Elettronica (ICEFCOM) taiwanese, cioè l’ala dedicata alla guerra cibernetica dell’isola. Pechino ha inoltre pubblicato le foto di tre cittadini taiwanesi che sarebbero stati coinvolti nelle presunte operazioni di cyber attacco, sostenendo che questi individui siano sotto indagine.
Da parte sua, il Ministero della Difesa Nazionale di Taiwan ha prontamente smentito tali accuse, dichiarando che le affermazioni della Cina sono prive di fondamento e non riflettono la realtà.
Anonymous64, noto per i suoi attacchi critici al Partito Comunista Cinese e all’Esercito Popolare di Liberazione, ha spesso condiviso contenuti di siti web che afferma di aver defacciato. Tuttavia, il Ministero della Sicurezza Nazionale cinese ha ribadito che molti degli screenshot pubblicati da Anonymous64 sarebbero falsi e che i siti colpiti dal gruppo hanno scarso o nullo traffico.
Nel contesto di queste accuse, Pechino ha sollecitato gli sviluppatori di sistemi audio e video su internet, oltre che i gestori di portali web e le unità operative di manutenzione, a rafforzare le misure di sicurezza informatica, aggiornare i sistemi e migliorare la protezione da potenziali attacchi.
Le tensioni tra Pechino e Taiwan si mantengono alte. La Cina considera Taiwan una provincia separatista, mentre Taiwan si vede come una nazione sovrana. La maggior parte dei paesi del mondo adotta una posizione ambigua, trattando Taiwan come una nazione indipendente senza riconoscimento formale, nel tentativo di non provocare la Cina. Il Ministero della Sicurezza cinese ha sottolineato l’inevitabilità della “riunificazione della madrepatria” e ha avvertito che qualsiasi tentativo da parte delle autorità taiwanesi di perseguire l’indipendenza sarebbe destinato al fallimento.
In risposta alle accuse cinesi, Anonymous64 ha pubblicato un messaggio sui social media con un collegamento a un post sponsorizzato dai media di stato, accompagnato da una GIF di un uomo che ride, dimostrando disprezzo per le affermazioni di Pechino e dando ragione a Taiwan allo stesso tempo.
Sicurezza Informatica
Guerra cibernetica Ucraina dirama rapporto attacchi Russia
Tempo di lettura: 2 minuti. La Russia intensifica l’uso di malware e cyberattacchi per supportare le operazioni militari in Ucraina nel 2024.
La guerra tra Russia e Ucraina continua a vedere un massiccio utilizzo di attacchi informatici da parte della Russia per supportare le operazioni militari e, secondo il rapporto di metà anno pubblicato dal Servizio Statale di Comunicazioni Speciali e Protezione delle Informazioni dell’Ucraina (SSSCIP), si è registrato un aumento del 90% negli incidenti che coinvolgono infezioni malware rispetto allo stesso periodo del 2023. Mentre i metodi tradizionali come l’email phishing sono sempre più efficacemente contrastati, gli attori delle minacce stanno adottando nuove strategie per bypassare le protezioni e infiltrare malware nei sistemi ucraini.
UAC-0184 e l’uso di app di messaggistica per spionaggio militare
Uno dei casi più significativi del rapporto riguarda il gruppo UAC-0184, un’entità russa nota per le sue attività di cyber-espionaggio. Questo gruppo ha preso di mira il personale militare ucraino utilizzando app di messaggistica come Signal per rubare documenti sensibili. Gli hacker, fingendosi altre persone e avvalendosi di dati personali e numeri di telefono, guadagnano la fiducia delle vittime inviando archivi contenenti file di collegamento che infettano i sistemi una volta aperti.
Questo metodo non si limita solo al furto di informazioni; UAC-0184 utilizza la tecnica per installare malware in grado di concedere il pieno controllo remoto dei computer delle vittime. Gli attacchi sono spesso mascherati da richieste di informazioni, intimidazioni fittizie, promesse di ricompense o trasferimenti a nuove unità, tutte finalizzate a compromettere i dispositivi degli obiettivi.
Attacchi cyber distruttivi su infrastrutture critiche
Un’altra preoccupante tendenza rilevata dal SSSCIP è il rinnovato interesse della Russia verso attacchi cyber distruttivi. Tra i più rilevanti vi è stato il tentativo, nel marzo 2024, di attaccare quasi 20 organizzazioni infrastrutturali energetiche ucraine. Questi attacchi hanno coinvolto una compromissione simultanea di tre catene di approvvigionamento tramite fornitori di servizi condivisi, rendendo difficile la rilevazione e la risposta. L’Ucraina ha attribuito l’attacco a Sandworm (UAC-0002), un gruppo cyber russo responsabile di numerosi attacchi su larga scala, tra cui quelli legati a NotPetya e ai Giochi Olimpici Invernali del 2018.
Gli investigatori hanno trovato prove di diverse varianti malware come LoadGrip e BiasBoat, progettate per muoversi lateralmente attraverso i sistemi di controllo industriale e amplificare l’effetto degli attacchi, sincronizzandosi con attacchi missilistici contro le infrastrutture ucraine.
Malware e tecniche di cyber spionaggio
Il rapporto SSSCIP evidenzia che, nonostante il calo del 90% di incidenti “critici”, la Russia continua a colpire prevalentemente settori governativi e militari in Ucraina. Gli attacchi utilizzano principalmente malware e campagne di phishing, approfittando spesso del fattore umano come anello debole nella catena della sicurezza. Le tecniche di attacco spaziano dalle infezioni tramite SVG (Scalable Vector Graphics), che includono codice dannoso, fino alla diffusione di ransomware e malware come Smokeloader.
- Intelligenza Artificiale1 settimana fa
Scoperta rivoluzionaria: molecole trasformano il futuro del calcolo
- Sicurezza Informatica1 settimana fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste3 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Economia1 settimana fa
GFI Software si affida a CoreTech per il canale in UK
- Sicurezza Informatica5 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Inchieste1 giorno fa
Metaverso Politico: Meloni è la regina del dibattito social
- Sicurezza Informatica4 giorni fa
Lazarus continua con offerte di lavoro
- Tech1 settimana fa
Windows 10 Build 19045.4955: nuovi aggiornamenti KB5043131