E’ bastato un modchip da 25 dollari ad un ricercatore belga per hackerare il sistema Starlink, non dimentichiamoci però le competenze necessarie per un’impresa del genere.

Lennert Wouters, un ricercatore di sicurezza belga, è stato in grado di hackerare la rete di Starlink ed esplorare liberamente l’intero sistema. L’attività, in questo caso, non aveva scopi malevoli, infatti prima di parlarne pubblicamente, ha segnalarlo tutto a Starlink. Anche grazie a questo tipo di verifiche molte aziende riescono a ridurre le possibilità di essere hackerate considerando anche la crescente frequenza di attacchi.

Per entrare in Starlink, Wouters ha smontato la parabola satellitare Starlink di sua proprietà. Ha integrato un suo circuito stampato personalizzato, composto da un micro-controllore Raspberry Pi, interruttori elettronici, memoria flash e un regolatore di tensione. Ha saldato il tutto sul circuito di alimentazione Starlink (PCB) esistente e l’ha collegato. Una volta connesso, lo strumento è stato in grado di cortocircuitare temporaneamente il sistema, consentendo a Wouters di entrare nel sistema stesso. Wouters ha descritto l’hack per intero su Black Hat, sottolineando come sia stato in grado di esplorare la rete liberamente, una volta ottenuto l’accesso ad essa.

Wouters ha presentato tutte le sue scoperte a SpaceX attraverso il suo programma di ricompense dedicato alla scoperta di bug. Questa scoperta lo ha inserito di diritto nella Hall of Fame della caccia agli bug di SpaceX, in cui ora occupa il secondo posto. SpaceX, presumibilmente, ha pagato l’hacker per aver trovato il bug, poiché questo è il punto centrale del programma, sebbene l’importo non sia stato reso pubblico. 

Molte grandi organizzazioni si affidano a ricercatori di terze parti per rintracciare bug e vulnerabilità che potrebbero sfuggire durante i cicli di test in pre-produzione. Ad esempio, Apple ha recentemente pagato a uno studente 100.000 dollari per aver hackerato con successo un Mac.

Una volta che Wouters ha pubblicato la sua versione della storia, SpaceX ha risposto con entusiasmo tramite un documento di sei pagine. Già dal titolo si intuisce come SpaceX apprezzi e valorizzi questo tipo di attività invitando le persone a fare ciò che ha appena fatto Wouters.

SpaceX si è congratulato con Wouters per questo risultato, ma si è anche assicurato di sottolineare che questo tipo di hack è a basso impatto per la rete e i suoi utenti. 

SpaceX infatti afferma: “Miriamo a dare a ciascuna parte del sistema l’insieme minimo di privilegi necessari per svolgere il proprio lavoro”.

È un buon promemoria del fatto che, sebbene gli hack possano sembrare sempre più diffusi in questi giorni, non tutti gli exploit sono creati uguali o ugualmente pericolosi. 

Generalmente gli hack sono di due tipologie: fisica o remota. Per gli hack fisici è necessario avere un contatto effettivo con il dispositivo per manipolarlo. In questa categoria rientra l’hack di cui abbiamo parlato oggi. Wouters infatti aveva bisogno di aprire fisicamente la parabola, accedere all’elettronica e collegare i suoi componenti per manipolare il sistema. 

Come ci si può aspettare, gli hack remoti sono molto più preoccupanti. Con un hack remoto, infatti, non ci si renderebbe conto della sua esistenza fino a quando non entra in azione oppure ad azione fraudolenta conclusa.

Questa volta, specifica SpaceX, “i normali utenti di Starlink non devono preoccuparsi di questo attacco, né intraprendere alcuna azione in risposta”. Non c’è modo di utilizzare questo particolare exploit per influenzare da remoto una connessione Starlink, o addirittura i satelliti che SpaceX ha lanciato negli ultimi anni, o per estrarre i dati degli utenti o monitorare quale traffico potrebbe passare attraverso la connessione satellitare. Per chi ha una connessione Starlink è molto più saggio stare attenti ai tentativi di phishing nella casella di posta elettronica o al telefono, dove le persone, che affermano di rappresentare il tuo ISP, tentano di ottenere l’accesso all’account o ad informazioni come password o dettagli di pagamento.

FONTE

I ricercatori di sicurezza Volexity hanno scoperto SHARPEXT un malware che non tenta di rubare nomi utente e password, ma piuttosto è capace di ispezionare ed esfiltrare direttamente i dati dagli account webmail Gmail e AOL delle vittime.

SHARPEXT, alcuni dettagli

Il malware SHARPEXT, la cui origine è stata fatta risalire a un gruppo nordcoreano chiamato Kimsuky (SharpTongue), sarebbe in grado di infettare i dispositivi tramite estensioni del browser su Google Chrome e piattaforme basate su Chromium, inclusi il browser coreano Naver Whale e Microsoft Edge.

I suoi obiettivi principali sarebbero gli utenti negli Stati Uniti, in Corea del Sud e in Europa.

La campagna attiva da più di un anno, secondo l’analisi condotta, avrebbe rubato migliaia di file e messaggi di posta elettronica prendendo di mira principalmente i dispositivi Windows.

La catena d’infezione

Il malware viene distribuito tramite truffe di ingegneria sociale e spear phishing inducendo le vittime ad aprire un documento armato.

Secondo quanto ricostruito, una volta installato sul dispositivo, SHARPEXT si inserisce dapprima all’interno dei browser tramite le Preferences e le Secure Preferences e dopo abilita le proprie capacità di lettura della posta elettronica, riuscendo a nascondere ogni tipo di avviso che possa allertare l’utente.

Si legge nel rapporto Volexity:

“Prima di distribuire SHARPEXT, l’attaccante esfiltra manualmente i file necessari per installare l’estensione (spiegata di seguito) dalla workstation infetta. SHARPEXT viene quindi installato manualmente da uno script VBS scritto da un utente malintenzionato. Il flusso di lavoro dello script di installazione è il seguente:

1.Scarica i file di supporto:

1.1 I file di estensione del browser dannosi

1.2 I file di configurazione del browser

1.3 Gli script aggiuntivi ( pow.ps1 e dev.ps1 ) per garantire che l’estensione sia caricata

2. Esegue lo script di installazione ( pow.ps1 ).”.

Consigli

Volexity ha pubblicato un elenco di IoC e regole YARA su Github.

Per prevenire questi attacchi specifici si consiglia anche di:

• Ispezionare tutte le estensioni del browser installate e verificare se tutte possono essere trovate su Chrome Web Store.
• Rimuovere tutte le estensioni che sembrano sospette o che si sono scaricate da una fonte non ufficiale. 
• Utilizzare sempre delle buone soluzioni antivirus per proteggere i dispositivi.

L’amministratore delegato di Telegram, Pavel Durov, si scaglia contro Apple per l'”oscuro” processo di revisione dell’App Store da parte della società, che sta ritardando il rilascio da parte di Telegram di un aggiornamento della sua app che “rivoluzionerà il modo in cui le persone si esprimono nella messaggistica”.

Nel suo canale Telegram, Durov afferma che un aggiornamento di Telegram per iOS che cambierà il modo in cui le persone comunicano è rimasto bloccato nel processo di revisione dell’App Store di Apple per oltre due settimane, senza alcuna comunicazione da parte dell’azienda sul perché o quando sarà approvato. Durov sottolinea che se un’app così popolare come Telegram riceve questo trattamento, si possono “immaginare le difficoltà incontrate dagli sviluppatori di app più piccole”.
Ad esempio, il nostro prossimo aggiornamento – che sta per rivoluzionare il modo in cui le persone si esprimono nella messaggistica – è rimasto bloccato nella “revisione” di Apple per due settimane, senza alcuna spiegazione o feedback da parte di Apple.

Se Telegram, una delle 10 app più popolari a livello globale, riceve questo trattamento, si possono solo immaginare le difficoltà incontrate dagli sviluppatori di app più piccole. Non è solo demoralizzante: causa perdite finanziarie dirette a centinaia di migliaia di app mobili a livello globale.

Durov, che in passato ha criticato aspramente Apple e il suo App Store, sottolinea la controversa “tassa Apple”, che dà ad Apple un taglio del 30% su alcuni acquisti in-app di applicazioni idonee che superano il milione di dollari all’anno. Durov definisce il comportamento di Apple “abusivo” e afferma che il danno inflitto dall’azienda “non può essere annullato”.
Questo danno si aggiunge alla tassa del 30% che Apple e Google prelevano dagli sviluppatori di app e che, secondo loro, dovrebbe servire a pagare le risorse necessarie per la revisione delle app. Le autorità di regolamentazione nell’UE e altrove stanno lentamente iniziando a esaminare queste pratiche abusive. Ma il danno economico già inflitto da Apple all’industria tecnologica non sarà cancellato.

Non è chiaro perché Apple stia ritardando l’aggiornamento dell’app di Telegram per raggiungere i milioni di utenti di Telegram. La maggior parte delle app viene in genere revisionata abbastanza rapidamente, quindi la lunga attesa in questo caso è particolarmente interessante. Telegram è uno dei servizi di messaggistica più popolari sull’App Store, in concorrenza con WhatsApp, Instagram, Signal e il servizio iMessage di Apple.

Sul suo sito web, Apple afferma che “ogni settimana, oltre 500 esperti dedicati in tutto il mondo esaminano più di 100.000 app”, aggiungendo che oltre 1 milione di proposte vengono respinte.