Security Weekly 12-18/1/25
Analizziamo cosa è successo nel mondo cyber, durante la terza settimana dell'anno
Buon sabato e ben ritrovato caro cyber User. Mentre gli Stati Uniti (e per alcuni versi anche il mondo intero) si prepara all’imminente insediamento del Presidente eletto Trump, ci saranno sicure ripercussioni già note in campo difesa, spazio e anche cybersecurity. Nel frattempo analizziamo i fatti di questa settimana.
Fatti e news
Questa settimana si è rivelata particolarmente ricca di sviluppi significativi: dalla conferma del divieto di TikTok negli Stati Uniti, all'identificazione di vulnerabilità critiche, fino a nuove misure di sicurezza adottate a livello governativo e aziendale.
La Corte Suprema degli Stati Uniti conferma il divieto di TikTok
Nonostante la decisione della Corte Suprema di vietare TikTok sul suolo americano, l'amministrazione Biden ha dichiarato di non avere intenzione di applicare immediatamente il divieto. La decisione è ora nelle mani dell'amministrazione entrante di Trump, che potrebbe decidere di emanare un ordine esecutivo per sospendere il divieto e trovare una soluzione alternativa. Un tema che sottolinea quanto sia complessa la regolamentazione delle piattaforme globali nel contesto geopolitico attuale.
Vulnerabilità critica in Fortinet: CVE-2024-55591
Fortinet ha confermato una falla critica nei suoi sistemi FortiOS e FortiProxy, già sfruttata per ottenere accessi di tipo super-amministratore. Questo zero-day, con un punteggio CVSS di 9,6, evidenzia l'urgenza di aggiornare i sistemi e limitare l'accesso agli strumenti di gestione da interfacce pubbliche. Organizzazioni come Arctic Wolf hanno già rilevato attacchi mirati che sfruttano questa vulnerabilità.
Nuovo ordine esecutivo per rafforzare la sicurezza informatica federale
Il presidente Biden ha firmato un ordine esecutivo che punta a migliorare la sicurezza informatica negli enti federali e nelle aziende private. Tra le misure previste: maggiore responsabilità per i fornitori di software, rafforzamento delle comunicazioni sicure e misure punitive contro i ransomware. L'ordine identifica inoltre la Cina come una delle principali minacce cibernetiche per le infrastrutture critiche statunitensi.
La russa Star Blizzard prende di mira gli account WhatsApp.
Microsoft ha pubblicato un rapporto su una campagna di spearphishing russa che sfrutta l'identità di funzionari governativi statunitensi per prendere di mira gli account WhatsApp appartenenti a organizzazioni no-profit che sostengono l'Ucraina. Microsoft attribuisce la campagna a un hacker identificato come "Star Blizzard", sottolineando che questa è la prima volta che il gruppo prende di mira WhatsApp.
Le e-mail di phishing contengono codici QR non funzionanti progettati per indurre gli obiettivi a rispondere all'e-mail e chiedere un collegamento funzionante. L'autore della minaccia fornisce quindi un collegamento abbreviato che porta a un codice QR funzionante. Microsoft spiega: "Quando viene seguito questo collegamento, l'obiettivo viene reindirizzato a una pagina Web chiedendogli di scansionare un codice QR per unirsi al gruppo. Tuttavia, questo codice QR viene effettivamente utilizzato da WhatsApp per connettere un account a un dispositivo collegato e/o nel portale Web di WhatsApp. Ciò significa che se l'obiettivo segue le istruzioni presenti in questa pagina, l'autore della minaccia può accedere ai messaggi nel proprio account WhatsApp e avere la capacità di estrarre questi dati utilizzando i plug-in del browser esistenti, progettati per esportare WhatsApp. messaggi da un account a cui si accede tramite WhatsApp Web".
La FBI elimina malware cinese da oltre 4.200 computer
Un'operazione internazionale ha portato alla rimozione del malware PlugX, sviluppato dal gruppo di minaccia cinese Mustang Panda. Il malware era utilizzato per compromettere migliaia di sistemi, inclusi quelli di aziende e governi. L'azione, condotta in collaborazione con le autorità francesi, è un esempio di come la cooperazione internazionale possa contrastare le minacce informatiche.
Attacco ransomware contro S3 di AWS
Un nuovo attacco sfrutta il servizio di crittografia di AWS per colpire i bucket S3, criptandoli con chiavi rubate o pubblicamente disponibili. Questa tecnica non sfrutta vulnerabilità dirette di AWS, ma evidenzia l'importanza di una gestione rigorosa delle chiavi di sicurezza.
L'FBI cancella malware cinese da oltre 4.200 computer.
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato un'operazione durata diversi mesi che ha eliminato il malware cinese PlugX da oltre 4.200 computer negli Stati Uniti. Il Dipartimento di Giustizia afferma che il governo cinese ha pagato l'autore della minaccia Mustang Panda per sviluppare questo ceppo di PlugX. L'autore della minaccia ha poi utilizzato il malware per compromettere "migliaia di sistemi informatici in campagne rivolte alle vittime statunitensi, così come ai governi e alle imprese europee e asiatiche, nonché ai gruppi dissidenti cinesi". Mustang Panda utilizza il malware PlugX almeno dal 2014.
Il Dipartimento di Giustizia spiega: "L'operazione internazionale è stata guidata dalle forze dell'ordine francesi e da Sekoia.io, una società privata di sicurezza informatica con sede in Francia, che aveva identificato e segnalato la capacità di inviare comandi per eliminare la versione PlugX dai dispositivi infetti. Dopo questi partner, l'FBI ha testato i comandi, ne ha confermato l'efficacia e ha stabilito che non avevano alcun impatto sulle funzioni legittime o sulla raccolta di informazioni sui contenuti dei computer infetti. Nell'agosto 2024, il Dipartimento di Giustizia e l'FBI hanno ottenuto il primo di nove mandati nel distretto orientale della Pennsylvania autorizzando l'eliminazione di PlugX dai computer con sede negli Stati Uniti. L'ultimo di questi mandati è scaduto il 3 gennaio 2025, concludendo così la parte statunitense dell'operazione. In totale, questa operazione autorizzata dal tribunale ha eliminato il malware PlugX da circa 4.258 computer con sede negli Stati Uniti computer e reti."
L'FBI sta collaborando con i fornitori di servizi Internet per informare i proprietari dei computer interessati dall'operazione.
Brevi dal cyberspazio
Sanzioni contro la Corea del Nord: gli Stati Uniti hanno sanzionato individui e aziende coinvolti in operazioni fraudolente che generano fondi per il regime nordcoreano attraverso lavori IT all'estero.
Attacco alla Telefónica: la più grande compagnia di telecomunicazioni spagnola ha confermato una violazione dei dati che ha coinvolto documenti e informazioni interne.
Clop ransomware in azione: il gruppo Clop sostiene di aver compromesso 59 organizzazioni sfruttando una vulnerabilità del software Cleo. Minacciano di divulgare i dati rubati se non riceveranno un riscatto.
😋 FunFact
Oggi il fun-fact (come suo solito) tenterà di strapparti un sorriso NERD. Vediamo se ci riesce. Hai mai pensato di giocare a Tetris dentro ad un PDF? Sì esatto, ecco il fatto comico di oggi: un esperimento Fun ha consentito di programmare un file PDF per installarci dentro il videogioco del Tetris.
Qui trovi l’esempio del file PDF per giocare e qui trovi invece il progetto GitHub con il codice sorgente.
Ammettilo, un po’ ti ha fatto ridere?
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.
Il network
Con questo piccolo schema riepilogo in breve i punti di riferimento che alimento con i miei contenuti, su diversi fronti, quasi quotidianamente.
Ransomfeed.it - piattaforma di monitoraggio ransomware, realtime;
inSicurezzaDigitale.com - blog di sicurezza informatica con approfondimenti tematici;
SecureBulletin.com - news internazionali su cyber security, analisi e frodi;
Spcnet.it - notizie geek;
ilGlobale.it - note politiche e di economia, di rilevanza internazionale;
Ziobudda.org - notizie Linux, open source e software libero, segnalabili e commentabili (socialnews).
NewsDF - il raccoglitore di tutto questo, con un suo feed RSS generale, per non perdere niente di quello che pubblico.