Security Weekly 3-7/2/25
Storytelling sul caso Paragon come spyware contro giornalisti e attivisti italiani, i fatti cyber e il solito Funfact
Buon sabato e ben ritrovato caro cyber User.
In questa puntata:
STORYTELLING: Il caso Graphite, spyware di Stato usato anche in Italia
Fatti e news: operazioni di polizia internazionale, nuove vulnerabilità critiche e tecniche di attacco sempre più sofisticate
Funfact
STORYTELLING
Il caso Graphite: lo spyware che ha scosso WhatsApp e la politica internazionale
A fine 2024, WhatsApp ha scoperto e neutralizzato una sofisticata campagna di cyber-spionaggio che ha colpito oltre 90 persone tra giornalisti e figure politiche in più di venti paesi, inclusi diversi stati europei. L’operazione, che avrebbe coinvolto lo spyware "Graphite" della società israeliana Paragon Solutions, è stata possibile grazie all’utilizzo di un exploit di tipo Zero-Click, in grado di infettare i dispositivi senza alcuna interazione da parte della vittima.
L’attacco: un'operazione invisibile
Secondo quanto riportato da The Guardian, gli attaccanti avrebbero diffuso lo spyware tramite file PDF appositamente confezionati, inviati attraverso i gruppi di WhatsApp. Questa tecnica avrebbe permesso di prendere il controllo dei dispositivi delle vittime, consentendo l’accesso a dati sensibili e comunicazioni riservate.
Le vittime sono state individuate in almeno 13 paesi dell’Unione Europea, tra cui Italia, Belgio, Germania, Spagna e Olanda. WhatsApp ha informato gli utenti colpiti e fornito loro istruzioni per mitigare i rischi legati a questa minaccia emergente.
Paragon Solutions e il gioco geopolitico dietro lo spyware
Meta, proprietaria di WhatsApp, ha inviato una diffida ufficiale a Paragon Solutions, minacciando azioni legali simili a quelle già intraprese contro NSO Group, l'azienda dietro il controverso spyware Pegasus. Tuttavia, la questione è ben più complessa e si intreccia con le dinamiche della geopolitica e del mercato del cyber-spionaggio.
Poco prima della rivelazione del caso, Paragon Solutions è stata acquisita dalla società di investimenti americana AE Industrial Partners per circa un miliardo di dollari. Questo dettaglio ha alimentato speculazioni sul fatto che l’intera vicenda potrebbe rientrare in una più ampia strategia di ridimensionamento dell’accesso alle tecnologie di spionaggio da parte di governi non allineati agli interessi statunitensi.
Il caso italiano e la rottura dei contratti
Uno degli sviluppi più significativi riguarda l’Italia. Dopo che diverse fonti hanno accusato il governo italiano di aver utilizzato lo spyware Graphite per monitorare giornalisti e attivisti, Paragon ha deciso di interrompere unilateralmente l’accesso dell’Italia alla propria piattaforma. Palazzo Chigi ha negato con forza qualsiasi coinvolgimento, ma il sospetto rimane.
L'Agenzia italiana per la cybersicurezza ha confermato che almeno 7 delle 90 vittime facevano parte del panorama italiano, pur non avendo ricevuto da WhatsApp i dettagli specifici sui soggetti coinvolti. Questo episodio potrebbe scatenare tensioni diplomatiche e accendere nuovi dibattiti sulla regolamentazione della sorveglianza digitale in Europa.
Un precedente per il futuro?
Il caso Graphite non è isolato. Dopo le dure sanzioni imposte a NSO Group, l’industria dello spyware sta affrontando una ridefinizione dei suoi confini operativi. NSO, ora sottoposta a un monitoraggio più stretto, ha recentemente pubblicato un rapporto sulla trasparenza, rivelando di aver rifiutato contratti per oltre 20 milioni di dollari a causa di preoccupazioni legate ai diritti umani.
Questa vicenda suggerisce che il mercato dello spyware stia subendo una segmentazione, con un maggiore controllo da parte delle potenze occidentali su chi possa accedere a queste tecnologie. Il nuovo governo degli Stati Uniti potrebbe sfruttare casi come quello di Paragon per riorientare il settore e rafforzare il proprio ruolo di arbitro globale della cybersicurezza.
Fatti e news
Vediamo cosa è successo negli ultimi giorni nel cyberspazio.
🛡️ Difese più intelligenti contro le minacce digitali
PyPI protegge la supply chain del software: il noto repository di pacchetti Python ha introdotto Project Archival, un sistema che segnala i progetti software abbandonati, riducendo il rischio di attacchi che sfruttano vecchie dipendenze non più aggiornate. Gli sviluppatori potranno così prendere decisioni più informate, evitando di utilizzare codice non mantenuto.
La "Richter scale" della cybersecurity: il Regno Unito ha inaugurato il Cyber Monitoring Centre (CMC), un’iniziativa che misura gli incidenti informatici con una metodologia simile a quella utilizzata per i terremoti. Il sistema classifica gli attacchi in base all’impatto economico e al numero di utenti colpiti, offrendo un quadro più chiaro dei rischi digitali.
Colpo ai cybercriminali: un'operazione congiunta tra Stati Uniti e Olanda ha portato al sequestro di 39 domini e server legati al gruppo pakistano HeartSender, attivo dal 2020 nella vendita di strumenti per frodi online e malware. Il gruppo ha causato perdite per oltre 3 milioni di dollari solo negli USA.
🚨 Attacchi sempre più sofisticati
Attacco di Kimsuky con file infetti: il gruppo hacker nordcoreano Kimsuky ha lanciato una nuova campagna di phishing, utilizzando file falsi di Office e PDF per diffondere il malware forceCopy. Questo attacco mira a sottrarre credenziali di browser e dati sensibili.
Nuova tecnica per rubare dati delle carte di credito: gli hacker hanno iniziato a nascondere malware nei Google Tag Manager, compromettendo siti e-commerce basati su Magento. Questa tecnica permette di sottrarre informazioni di pagamento senza destare sospetti.
Allarme vulnerabilità su Outlook e Sophos: l’agenzia CISA ha segnalato due falle critiche:
Microsoft Outlook (CVE-2024-21413): vulnerabilità con punteggio 9.8, che permette esecuzione remota di codice.
Sophos XG Firewall (CVE-2020-15069): altra falla critica con lo stesso punteggio.
Le agenzie governative USA hanno tempo fino al 27 febbraio per applicare le patch.
🔍 Tecniche innovative e pericoli emergenti
Bitcoin scam via MMS: i truffatori hanno abbandonato le immagini statiche per passare ai video nei messaggi MMS, rendendo le truffe più credibili. Un recente caso ha visto un video di soli 14KB usato per convincere le vittime a entrare in gruppi WhatsApp, dove subiscono pressioni per cedere denaro o dati sensibili.
Attacchi con malware "ValleyRAT": un nuovo virus è stato individuato nei falsi download di Chrome da un sito fraudolento cinese. Questo malware sfrutta metodi avanzati per eludere le difese e colpisce soprattutto professionisti della finanza e dell’accounting.
Campagna phishing su Microsoft ADFS: un'ondata di attacchi sta colpendo scuole, ospedali e enti governativi, simulando pagine di login di Microsoft ADFS per sottrarre credenziali e bypassare l'autenticazione a due fattori (MFA).
😋 FunFact
Il fatto rilassante di oggi è dedicato agli appassionati di gaming. E’ la condivisione di un interessante progetto, molto ben strutturato e ben avviato, che crea un emulatore di Play Station 4 su Linux, Windows e MacOS.
Si chiama ShadPS4, ha già oltre 700mila download all’attivo ed è costantemente aggiornato. Ne parlo perché questa settimana è uscita proprio l’ultima versione stabile, v0.6.0 - codename parapoly, che vale la pena di visionare.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.
Il network
Con questo piccolo schema riepilogo in breve i punti di riferimento che alimento con i miei contenuti, su diversi fronti, quasi quotidianamente.
Ransomfeed.it - piattaforma di monitoraggio ransomware, realtime;
inSicurezzaDigitale.com - blog di sicurezza informatica con approfondimenti tematici;
SecureBulletin.com - news internazionali su cyber security, analisi e frodi;
Spcnet.it - notizie geek;
ilGlobale.it - note politiche e di economia, di rilevanza internazionale;
Ziobudda.org - notizie Linux, open source e software libero, segnalabili e commentabili (socialnews).
NewsDF - il raccoglitore di tutto questo, con un suo feed RSS generale, per non perdere niente di quello che pubblico.