Connect with us

Sicurezza Informatica

Scrutinio Tecnologico: le attività del CVCN nel 2023

Tempo di lettura: 2 minuti. Le attività del CVCN nel 2023 che hanno migliorato la sicurezza del Perimetro di sicurezza nazionale cibernetica in Italia.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Nel corso del 2023, il Centro di valutazione e certificazione nazionale (CVCN) dell’Agenzia Nazionale per la Cybersicurezza ha continuato a giocare un ruolo essenziale nell’ecosistema di cybersicurezza italiana, ottimizzando le proprie operazioni per rispondere alle crescenti esigenze di sicurezza del Perimetro di sicurezza nazionale cibernetica (PSNC). Attraverso un impegno costante per la riduzione dei tempi di scrutinio e la semplificazione dei processi, il CVCN ha garantito un elevato standard di sicurezza senza intaccare l’operatività delle strutture a cui fornisce supporto.

Cos’è il Centro di valutazione e certificazione nazionale CVCN?

Secondo quanto riportato nella relazione 2023 è La struttura dell’ACN che riceve le comunicazioni da parte dei soggetti inclusi nel Perimetro concernenti l’intenzione di impiegare particolari categorie di componenti ICT all’interno
di reti, sistemi informativi e servizi informatici da cui dipendano funzioni o servizi essenziali
dello Stato e dal cui malfunzionamento, interruzione, o utilizzo improprio, possa derivare un
pregiudizio per la sicurezza nazionale. Il CVCN può disporre l’esecuzione di test di corretta implementazione delle funzioni di sicurezza e penetration test su quei componenti e negarne o autorizzarne la messa in esercizio, con eventuali prescrizioni
.

Ottimizzazione delle procedure di Valutazione

Il CVCN ha affrontato il 2023 con l’obiettivo di perfezionare le sue metodologie di lavoro, raggiungendo una riduzione significativa dei tempi di valutazione, migliorata di circa il 30% rispetto al 2022. Tale miglioramento ha coinvolto sia i procedimenti che hanno comportato l’esecuzione di test di sicurezza sia quelli che non hanno necessitato di tali verifiche.

Approccio proattivo alle raccomandazioni di Sicurezza

Indipendentemente dalla necessità di eseguire test diretti, il CVCN ha proseguito nel fornire raccomandazioni dettagliate e condizioni specifiche per migliorare le pratiche di sicurezza. Questo approccio preventivo si basa sull’analisi accurata del rischio presentata dai soggetti del Perimetro e sulla successiva valutazione effettuata durante le verifiche preliminari dal CVCN.

Catalogo di Prodotti ICT valutati

Una delle iniziative più rilevanti del 2023 è stata l’introduzione di un catalogo di prodotti ICT precedentemente valutati dal CVCN. Questo catalogo funge da risorsa per i soggetti del Perimetro che cercano soluzioni ICT affidabili e già testate, facilitando un processo di valutazione più rapido e meno oneroso. Questo strumento è particolarmente utile per garantire che i prodotti impiegati rispettino le normative vigenti senza necessità di duplicare i test già effettuati.

Impatto delle innovazioni Procedurali

Le innovazioni procedurali introdotte dal CVCN non solo hanno migliorato l’efficacia delle valutazioni, ma hanno anche ridotto i costi associati e il dispendio di tempo per i soggetti coinvolti. Ciò ha permesso alle entità del PSNC di mantenere una continuità operativa, essenziale per la sicurezza delle infrastrutture critiche nazionali.

Le attività del CVCN nel 2023 evidenziano un impegno significativo verso l’efficienza e l’efficacia nella gestione della cybersicurezza. Con un occhio sempre attento all’evoluzione delle minacce e all’aggiornamento delle tecnologie, il Centro si conferma un pilastro fondamentale nella difesa del panorama digitale italiano.

Sicurezza Informatica

SquidLoader: malware evasivo che colpisce la Cina

Tempo di lettura: 2 minuti. SquidLoader, un malware altamente evasivo, prende di mira le organizzazioni cinesi con tecniche avanzate di evasione e payload potenti come Cobalt Strike.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Il malware noto come SquidLoader è un nuovo tipo di loader altamente evasivo, recentemente scoperto da LevelBlue Labs. Questo malware viene distribuito attraverso allegati di phishing e ha l’obiettivo di caricare un secondo stadio di payload malware sui sistemi delle vittime. SquidLoader utilizza diverse tecniche avanzate per evitare l’analisi e la rilevazione, rendendolo una minaccia significativa per le organizzazioni cinesi.

Analisi del Loader

Il malware SquidLoader è stato osservato per la prima volta in campagne di phishing a fine aprile 2024. I campioni recuperati erano associati a nomi di file descrittivi relativi a prodotti di aziende cinesi come China Mobile Group, Jiaqi Intelligent Technology e Yellow River Conservancy Technical Institute. Questi file, pur apparendo come documenti Word, erano in realtà eseguibili binari.

Caratteristiche Tecniche
CaratteristicaDettagli
Tecniche di EvasioneCaricamento di payload tramite richieste GET HTTPS, utilizzo di certificati scaduti, codifica XOR
Payload SecondarioCobalt Strike, un noto strumento di simulazione per attacchi avanzati
CertificatiUtilizzo di certificati scaduti per evitare sospetti
C&C ServerImpiego di certificati autofirmati con dettagli come “localhost” e “Nanjing”

SquidLoader duplica se stesso in una posizione predefinita, come C:\\BakFiles\\install.exe, e si riavvia da lì, un tentativo di eseguire il loader con un nome non sospetto. Inoltre, il malware evita di scrivere il payload sul disco, caricandolo direttamente in memoria per ridurre il rischio di rilevamento.

Tecniche di Evasione

SquidLoader impiega diverse tecniche di evasione per evitare l’analisi:

  • Istruzioni Inutili o Oscure: Uso di istruzioni x86 inutili o rare, come “pause” e “mfence”, per confondere gli antivirus.
  • Sezioni di Codice Cifrate: Decifrazione del codice in memoria con una chiave XOR a 5 byte.
  • Stringhe Cripate nello Stack: Le stringhe sensibili sono cifrate e memorizzate nello stack per essere decifrate solo quando necessario.
  • Obfuscazione del Grafo di Controllo (CFG): Flattening del CFG in loop infiniti con istruzioni switch, rendendo difficile l’analisi statica.
  • Rilevamento del Debugger: Il malware si chiude se rileva la presenza di un debugger, modificando anche le funzioni API per evitare il traffico di rete.

Payload Secondario

Durante l’analisi, il payload secondario identificato era una versione modificata di Cobalt Strike, configurata per assomigliare al traffico di Kubernetes e per evitare l’analisi statica.

Metodi di Rilevazione

Per rilevare SquidLoader, LevelBlue Labs ha sviluppato firme IDS per SURICATA, che possono essere utilizzate per rilevare le richieste HTTP specifiche effettuate dal malware.

SquidLoader rappresenta una minaccia significativa per le organizzazioni, secondo LevelBlue, grazie alle sue avanzate tecniche di evasione e alla capacità di caricare payload potenti come Cobalt Strike. Questo malware è particolarmente preoccupante per le organizzazioni cinesi, ma le sue tecniche possono essere adottate da altri attori per colpire un pubblico più ampio.

Prosegui la lettura

Sicurezza Informatica

L’evoluzione dell’hacktivismo, ESET: minaccia crescente

Tempo di lettura: 2 minuti. L’hacktivismo evolve e diventa una minaccia crescente per le organizzazioni. Scopri le nuove tattiche e come gestire i rischi associati.

Pubblicato

in data

Tempo di lettura: 2 minuti.

L’hacktivismo, una fusione di hacking e attivismo, è un fenomeno noto da tempo, ma le recenti evoluzioni lo rendono una minaccia sempre più pericolosa per le organizzazioni private e pubbliche come indicato da ESET. L’invasione russa dell’Ucraina nel 2022 ha riportato l’hacktivismo sotto i riflettori, con gruppi e individui politicamente motivati che utilizzano tattiche sempre più sofisticate per far sentire la loro voce. Questa tendenza è stata osservata nuovamente durante il conflitto tra Israele e Hamas, con hacktivisti che utilizzano metodi avanzati per attirare l’attenzione pubblica.

Nuove tendenze nell’Hacktivismo

L’hacktivismo tradizionale prevedeva attacchi cyber per motivi politici o sociali, ma oggi le linee tra hacktivismo e operazioni statali sono sempre più sfumate. Questo fenomeno è preoccupante poiché molti gruppi sono sostenuti da attori statali, aumentando così la portata e l’efficacia delle loro azioni.

Tattiche tradizionali e Moderne

Durante il conflitto Israele-Hamas, sono state osservate numerose attività hacktiviste, tra cui:

  • Attacchi DDoS: Attacchi di negazione del servizio distribuiti hanno colpito numerose organizzazioni, con un picco di attività nel 2023.
  • Defacement di Siti Web: Oltre 500 attacchi di defacement sono stati lanciati contro siti web israeliani in una sola settimana.
  • Furto di Dati: Alcuni gruppi hanno rivendicato il furto e la pubblicazione di dati sensibili per danneggiare la reputazione delle vittime.

Al contempo, l’hacktivismo sta diventando più mirato e sofisticato. Ad esempio, il gruppo AnonGhost ha sfruttato una vulnerabilità API nell’app “Red Alert” per inviare messaggi spam agli utenti, mentre altri gruppi hanno affermato di aver avuto accesso ai sistemi SCADA israeliani.

Il coinvolgimento degli stati nazionali

Il sostegno statale agli hacktivisti non è una novità. Molti paesi hanno motivi geopolitici e ideologici per attaccare altri stati sotto la copertura dell’hacktivismo. Ad esempio, gruppi affiliati alla Russia come Anonymous Sudan hanno colpito numerosi obiettivi in Occidente. Questi attacchi non solo sono molto visibili, ma spesso includono sforzi di disinformazione, come l’uso di immagini generate dall’IA per manipolare l’opinione pubblica.

Come gestire i rischi dell’Hacktivismo

Indipendentemente dalla fonte dell’attacco, secondo Eset, le organizzazioni e le imprese possono adottare diverse misure per mitigare i rischi dell’hacktivismo:

  • Valutazione del Rischio: Identificare se l’organizzazione è un bersaglio e quali asset sono a rischio.
  • Risoluzione delle Vulnerabilità: Correggere continuamente le vulnerabilità e le configurazioni errate.
  • Protezione degli Asset: Implementare misure di sicurezza a livello di email, endpoint, rete e cloud ibrido.
  • Gestione delle Identità: Migliorare la gestione delle identità con architetture zero trust e autenticazione multi-fattore.
  • Intelligenza sulle Minacce: Raccogliere e analizzare informazioni sulle minacce emergenti.
  • Crittografia Robusta: Proteggere i dati sensibili con crittografia sia a riposo che in transito.
  • Formazione Continua: Educare continuamente i dipendenti sui rischi cyber.
  • Mitigazione DDoS: Collaborare con terze parti per mitigare gli attacchi DDoS.
  • Piano di Risposta agli Incidenti: Creare e testare un piano di risposta agli incidenti completo.

L’hacktivismo, con le sue linee sempre più sfumate tra attivismo politico e operazioni sponsorizzate dagli stati, rappresenta una minaccia crescente per le organizzazioni. Adottare misure proattive di gestione del rischio è essenziale per proteggere le infrastrutture critiche e le informazioni sensibili da questi attacchi sempre più sofisticati.

Prosegui la lettura

Sicurezza Informatica

Operazione di Probing DNS su scala globale: il caso Secshow

Tempo di lettura: 3 minuti. L’operazione Secshow rivela un probing DNS globale che sfrutta resolver aperti e amplificazione Cortex Xpanse

Pubblicato

in data

Tempo di lettura: 3 minuti.

Recenti ricerche condotte da Infoblox Threat Intel, in collaborazione con Dave Mitchell, hanno rivelato un’operazione di probing del sistema dei nomi di dominio (DNS) su scala globale che prende di mira i resolver aperti. Questa operazione, iniziata a giugno 2023, utilizza server DNS nella rete cinese di educazione e ricerca (CERNET) per identificare i resolver aperti e misurare le loro risposte a diversi tipi di query.

Cos’è Secshow?

Secshow è il nome attribuito a un attore cinese operante dalla rete CERNET, che conduce operazioni di probing DNS su scala globale. Questi probe mirano a trovare e misurare le risposte DNS di resolver aperti, dispositivi che, tipicamente a causa di configurazioni errate, risolvono o inoltrano qualsiasi query DNS ricevuta su internet. I resolver aperti rappresentano una vulnerabilità significativa e sono frequentemente utilizzati per attacchi di tipo Distributed Denial-of-Service (DDoS).

Dettagli dell’Operazione Secshow

Le operazioni di probing di Secshow si distinguono per la loro dimensione e l’invasività delle query. Utilizzando server dei nomi di dominio all’interno della CERNET, Secshow restituisce indirizzi IP casuali per una grande percentuale di query, innescando un’amplificazione delle query da parte del prodotto Cortex Xpanse di Palo Alto. Questo comportamento inquina le raccolte di DNS passivi a livello globale e ostacola la capacità di condurre ricerche affidabili sugli attori malevoli.

Secshow invia query DNS a indirizzi IP distribuiti globalmente, inclusi IPv4 e IPv6, con informazioni codificate come l’indirizzo IP target e un timestamp. Le risposte a queste query possono variare, inclusi la risoluzione della query da parte di un resolver aperto, la generazione di risposte ICMP o l’inoltro della query a un altro resolver.

Amplificazione di Cortex Xpanse

L’amplificazione delle query di Secshow da parte di Cortex Xpanse è dovuta alla combinazione di indirizzi IP casuali restituiti dai server dei nomi di dominio e il comportamento di Xpanse. Quando Cortex Xpanse rileva una risposta DNS, tenta di recuperare contenuti dall’indirizzo IP casuale, innescando ulteriori query DNS. Questo ciclo può trasformare una singola query di Secshow in un ciclo infinito di query, aumentando il traffico DNS in reti globali.

Impatto e Mitigazione

L’operazione Secshow ha creato un notevole impatto sulle reti dei clienti di Infoblox, con un aumento quasi di 200 volte delle query di Secshow in gennaio 2024. Per mitigare i rischi posti dai resolver aperti, è fondamentale identificarli e chiuderli. Le query per i domini Secshow nei log DNS possono indicare la presenza di un resolver aperto nella rete o scansioni effettuate da Cortex Xpanse.

Strategie di Mitigazione

  1. Identificazione e Chiusura dei Resolver Aperti: Individuare e chiudere i resolver aperti nella rete per ridurre le vulnerabilità.
  2. Filtraggio dei Contenuti e Rilevamento delle Anomalie: Implementare meccanismi avanzati di filtraggio dei contenuti e algoritmi di rilevamento delle anomalie per bloccare le attività sospette.
  3. Autenticazione degli Utenti: Rafforzare i protocolli di autenticazione per prevenire accessi non autorizzati.

L’operazione Secshow, analizzata da Infobox, evidenzia la potenza del probing DNS effettuato da un attore con accesso alla dorsale di internet. Le attività di probing su larga scala di Secshow hanno cercato informazioni sulle configurazioni dei resolver aperti e delle reti, utilizzabili per attività malevoli. L’amplificazione delle query di Secshow da parte di Cortex Xpanse ha ulteriormente complicato l’analisi delle minacce, richiedendo misure di mitigazione proattive da parte delle organizzazioni.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica13 ore fa

SquidLoader: malware evasivo che colpisce la Cina

Tempo di lettura: 2 minuti. SquidLoader, un malware altamente evasivo, prende di mira le organizzazioni cinesi con tecniche avanzate di...

Sicurezza Informatica16 ore fa

Operazione di Probing DNS su scala globale: il caso Secshow

Tempo di lettura: 3 minuti. L'operazione Secshow rivela un probing DNS globale che sfrutta resolver aperti e amplificazione Cortex Xpanse

Sicurezza Informatica16 ore fa

Morris II: malware auto-replicante che compromette assistenti Email con AI

Tempo di lettura: 2 minuti. Morris II, il malware auto-replicante che minaccia gli assistenti email GenAI, richiede misure di sicurezza...

Sicurezza Informatica2 giorni fa

Bug in Windows 10 e ONNX Phishing: ultime novità e minacce

Tempo di lettura: 2 minuti. Scopri il bug di Windows 10 che causa dialoghi "Apri con" e la nuova minaccia...

Sicurezza Informatica3 giorni fa

Compromissione PowerShell: nuove tecniche di attacco

Tempo di lettura: 2 minuti. Meta descrizione: Una nuova tecnica di attacco utilizza ingegneria sociale per indurre gli utenti a...

Sicurezza Informatica3 giorni fa

ASUS risolve vulnerabilità critica su 7 modelli di router

Tempo di lettura: 2 minuti. ASUS risolve una vulnerabilità critica di bypass dell'autenticazione su sette modelli di router, invitando gli...

Sicurezza Informatica4 giorni fa

Linux in sofferenza con due malware: TIKTAG e DISGOMOJI

Tempo di lettura: 3 minuti. Nuovi attacchi TIKTAG e malware DISGOMOJI minacciano la sicurezza di Google Chrome, sistemi Linux e...

Sicurezza Informatica5 giorni fa

Modelli di machine learning con attacchi Sleepy a file Pickle

Tempo di lettura: 3 minuti. La tecnica Sleepy Pickle sfrutta i file Pickle per compromettere i modelli di machine learning,...

CISA logo CISA logo
Sicurezza Informatica6 giorni fa

CISA: vulnerabilità sfruttate e truffatori telefonici

Tempo di lettura: 2 minuti. La CISA avverte di una vulnerabilità di Windows sfruttata in attacchi ransomware e segnala truffe...

Sicurezza Informatica7 giorni fa

OpenAI nomina ex capo NSA nel Consiglio di Amministrazione

Tempo di lettura: 2 minuti. OpenAI nomina Paul M. Nakasone, ex capo NSA, nel Consiglio di Amministrazione: conflitto di interessi...

Truffe recenti

fbi fbi
Sicurezza Informatica2 settimane fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica3 settimane fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste3 settimane fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 settimane fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste1 mese fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste1 mese fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste1 mese fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Sicurezza Informatica1 mese fa

BogusBazaar falsi e-commerce usati per una truffa da 50 milioni

Tempo di lettura: 2 minuti. Oltre 850,000 persone sono state ingannate da una rete di 75,000 falsi negozi online, con...

Sicurezza Informatica1 mese fa

Truffatori austriaci scappano dagli investitori, ma non dalla legge

Tempo di lettura: 2 minuti. Le forze dell'ordine hanno smascherato e arrestato un gruppo di truffatori austriaci dietro una frode...

Shein Shein
Truffe online2 mesi fa

Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti

Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...

Tech

Tech6 ore fa

Realme Buds Air 6 Pro vs Galaxy Buds 3: confronto dettagliato

Tempo di lettura: 3 minuti. Confronto tra Realme Buds Air 6 Pro e Galaxy Buds 3: scopri le differenze in...

Smartphone7 ore fa

Samsung Galaxy A53 5G, S23 FE e One UI 6.1.1: novità e aggiornamenti

Tempo di lettura: 2 minuti. Aggiornamenti di sicurezza per Samsung Galaxy A53 5G e Galaxy S23 FE, e nuove funzionalità...

Intelligenza Artificiale7 ore fa

Amazon prodotti AI Generative in Italia

Tempo di lettura: 2 minuti. Amazon estende le sue inserzioni di prodotti AI generative a Francia, Germania, Italia, Spagna e...

Smartphone7 ore fa

Realme GT 6 vs Realme GT 6T: differenze e specifiche

Tempo di lettura: 3 minuti. Confronto tra Realme GT 6 e Realme GT 6T: differenze in termini di fotocamera, prestazioni...

Intelligenza Artificiale7 ore fa

Claude 3.5 Sonnet: nuovo modello AI di Anthropic

Tempo di lettura: 2 minuti. Anthropic Claude 3.5 Sonnet: modello AI più veloce e intelligente, con nuove funzionalità come Artifacts...

Smartphone7 ore fa

Samsung Galaxy Z Fold 6, Z Flip 6 e S25 Ultra: novità e specifiche

Tempo di lettura: 2 minuti. Scopri le specifiche avanzate del Samsung Galaxy Z Fold 6, Z Flip 6 e Galaxy...

Tech7 ore fa

Samsung One UI 7: ritardo causato dalla versione 6.1.1

Tempo di lettura: 2 minuti. Samsung potrebbe ritardare One UI 7 per concentrarsi sugli aggiornamenti AI di One UI 6.1.1:...

Tech8 ore fa

Exynos 1330 vs Snapdragon 695: quale smartphone scegliere?

Tempo di lettura: 2 minuti. Confronto tra Samsung Exynos 1330 e Qualcomm Snapdragon 695: specifiche tecniche, punteggi di benchmark e...

Smartphone12 ore fa

HyperOS vs MIUI: le differenze nelle personalizzazioni di Xiaomi

Tempo di lettura: 2 minuti. Scopri le principali differenze tra HyperOS e MIUI di Xiaomi: prestazioni ottimizzate, interfaccia utente raffinata...

Smartphone12 ore fa

Motorola Razr Plus 2024 vs Samsung Galaxy Z Flip 6: quale fotocamera vince?

Tempo di lettura: 2 minuti. Motorola Razr Plus 2024 potrebbe superare il Samsung Galaxy Z Flip 6 grazie alla fotocamera...

Tendenza