La cybersecurity globale è stata recentemente scossa da una serie di eventi critici, che spaziano dall’inserimento di nuove vulnerabilità sfruttate attivamente nel catalogo della CISA, fino al divieto del software Kaspersky in Australia per presunti rischi di spionaggio. Tra i temi più rilevanti emergono gli exploit su larga scala del driver Truesight.sys, utilizzato per aggirare le difese EDR/AV e diffondere il malware Gh0st RAT, oltre alla decisione australiana di mettere al bando i prodotti Kaspersky per timori legati alla sicurezza nazionale.
Queste vicende evidenziano una crescente sofisticazione nelle strategie di attacco dei cybercriminali e l’importanza di politiche più restrittive per proteggere infrastrutture critiche.
Nuove vulnerabilità critiche nel catalogo della CISA
Il Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente aggiornato il proprio Known Exploited Vulnerabilities Catalog, aggiungendo due vulnerabilità che risultano già sfruttate attivamente dagli attaccanti:
- CVE-2017-3066 – Una vulnerabilità di deserializzazione in Adobe ColdFusion, che potrebbe consentire l’esecuzione di codice remoto senza autenticazione.
- CVE-2024-20953 – Un’altra vulnerabilità di deserializzazione, questa volta in Oracle Agile Product Lifecycle Management (PLM), anch’essa sfruttabile per ottenere il controllo di sistemi remoti.
Queste falle rientrano nella categoria delle vulnerabilità altamente pericolose, spesso utilizzate dai criminali informatici per ottenere accesso non autorizzato a server critici. CISA ha quindi imposto alle agenzie federali degli Stati Uniti di correggere urgentemente questi problemi, sottolineando che tali exploit rappresentano una minaccia significativa per la sicurezza nazionale e aziendale.
Attacchi su larga scala con il driver Truesight.sys: una minaccia invisibile
Parallelamente, un nuovo rapporto di Check Point Research ha rivelato una massiccia campagna di attacco che sfrutta vulnerabilità in Truesight.sys, un driver parte della suite RogueKiller Antirootkit.
L’attacco si basa su una tecnica nota come Bring Your Own Vulnerable Driver (BYOVD), in cui gli hacker caricano driver vulnerabili per disattivare soluzioni di sicurezza come gli Endpoint Detection and Response (EDR) e gli antivirus (AV). Questa strategia è particolarmente efficace perché i driver con firma digitale valida non vengono bloccati dai meccanismi di protezione di Windows.
Gli esperti hanno individuato oltre 2.500 varianti del driver Truesight.sys, tutte modificate per mantenere la firma digitale originale e, allo stesso tempo, sfuggire ai blocchi dei software di sicurezza. L’obiettivo finale degli attaccanti è la distribuzione di Gh0st RAT, un malware avanzato utilizzato per il furto di dati e il controllo remoto dei dispositivi compromessi.
L’operazione è particolarmente sofisticata per tre motivi principali:
- Gli attaccanti generano varianti diverse del driver per aggirare i sistemi di rilevamento basati su hash.
- L’infezione avviene in più fasi, rendendo difficile identificare il punto esatto in cui il sistema è stato compromesso.
- Le infrastrutture di comando e controllo (C2) sono ospitate su cloud pubblici in Cina, complicando ulteriormente le operazioni di blocco e tracciamento.
Secondo Check Point, il gruppo responsabile potrebbe essere collegato al Silver Fox APT, già noto per attacchi simili nella regione Asia-Pacifico.
Microsoft ha rilasciato un aggiornamento per la Microsoft Vulnerable Driver Blocklist, che ora include il driver Truesight.sys, cercando di mitigare il problema. Tuttavia, la capacità degli attaccanti di modificare rapidamente il codice e adattarsi ai nuovi blocchi significa che questa campagna potrebbe non essere finita.
L’Australia vieta il software Kaspersky: motivazioni e conseguenze
Un’altra notizia di rilievo riguarda la decisione del governo australiano di vietare l’uso dei prodotti Kaspersky nei sistemi governativi, con l’obbligo di rimuovere tutte le installazioni esistenti entro il 1° aprile 2025.
Secondo Stephanie Foster PSM, segretario del Dipartimento degli Affari Interni australiano, la scelta è stata motivata da:
- Rischi di spionaggio e interferenze straniere legati al presunto accesso del governo russo ai dati raccolti da Kaspersky.
- Possibilità di sabotaggio delle reti governative attraverso aggiornamenti software malevoli.
- La necessità di inviare un segnale forte a infrastrutture critiche e aziende private per ridurre la dipendenza da software percepiti come rischiosi.
L’Australia segue le orme degli Stati Uniti, che già nel giugno 2024 avevano vietato a Kaspersky di vendere prodotti nel paese e impedito il rilascio di aggiornamenti agli utenti americani.
Questa mossa ha riacceso il dibattito sulla sicurezza dei software di origine russa. Mentre Kaspersky continua a negare qualsiasi legame con il governo russo, diversi paesi occidentali stanno valutando misure simili, soprattutto alla luce del deterioramento delle relazioni con Mosca.
Per le aziende australiane e gli utenti privati, questo significa dover cercare alternative affidabili, con un impatto significativo sui mercati della sicurezza informatica.
Un ecosistema di cybersecurity sempre più fragile
Gli eventi recenti dimostrano quanto la sicurezza informatica sia diventata un campo di battaglia sempre più complesso e politicizzato.
Da un lato, le vulnerabilità di Adobe ColdFusion e Oracle PLM mostrano quanto sia urgente mantenere aggiornati i sistemi per evitare exploit su larga scala. Dall’altro, la campagna che sfrutta il driver Truesight.sys evidenzia l’evoluzione delle tattiche di attacco, che puntano a bypassare i sistemi di protezione attraverso tecniche avanzate come il BYOVD.
Infine, la decisione dell’Australia di vietare Kaspersky solleva nuove domande sulla sicurezza dei software di origine straniera e sulla crescente militarizzazione del cyberspazio, con governi che adottano misure sempre più drastiche per proteggere le proprie infrastrutture digitali.
Questi sviluppi confermano che la cybersecurity è oggi uno degli ambiti più strategici della geopolitica globale e che la protezione dei dati e delle infrastrutture critiche sarà una delle sfide più importanti per i prossimi anni.
