Security Weekly 9-13/9/24: infrastrutture critiche, exploits e il FunFact
Buon sabato e ben ritrovato caro cyber User.
Benvenuti al nostro aggiornamento settimanale sugli scenari cyber. Questa settimana, il governo britannico ha elevato i data center a infrastruttura critica nazionale, riconoscendo la loro importanza strategica, mentre la Federal Communications Commission (FCC) statunitense lancia un nuovo programma di etichettatura per aiutare i consumatori a scegliere prodotti tecnologici più sicuri. Nel frattempo, nuovi attacchi informatici continuano a emergere in tutto il mondo, colpendo vari settori con tecniche sempre più sofisticate. Ecco una panoramica degli sviluppi più significativi.
I data center britannici diventano infrastrutture critiche
Il governo del Regno Unito ha ufficialmente designato i data center come infrastrutture critiche nazionali, una mossa che sottolinea l’importanza della loro protezione durante crisi e attacchi informatici. Con questa designazione, i data center e i fornitori di servizi cloud avranno accesso privilegiato ai servizi di emergenza e alle agenzie di sicurezza per garantire la continuità operativa. Questo passaggio rafforza il ruolo centrale dei data center nel mantenere al sicuro dati vitali e infrastrutture digitali nel Regno Unito.
L’FCC introduce il marchio “U.S. Cyber Trust Mark”
Negli Stati Uniti, la FCC ha lanciato un programma volontario di etichettatura per i prodotti tecnologici, simile all’ENERGY STAR per l’efficienza energetica. Questo nuovo marchio, chiamato “U.S. Cyber Trust Mark”, sarà applicato ai prodotti dell’internet delle cose (IoT) che soddisfano rigorosi standard di sicurezza. L’obiettivo è fornire ai consumatori informazioni chiare sulla sicurezza dei dispositivi connessi, facilitando la scelta di tecnologie più sicure.
Databreach: violazione dei dati in Fortinet (esperti in cybersecurity)
La società di sicurezza informatica Fortinet ha confermato di aver subito una violazione dei dati che ha interessato alcuni dati dei clienti, riferisce BleepingComputer. La società ha dichiarato: "Un individuo ha ottenuto l'accesso non autorizzato a un numero limitato di file archiviati sull'istanza di Fortinet di un'unità di file condivisa basata su cloud di terze parti, che includeva dati limitati relativi a un numero limitato (meno dello 0,3%) di clienti Fortinet". L'azienda non ha rivelato quale tipo di dati è stato rubato, ma afferma di aver "comunicato direttamente con i clienti, a seconda dei casi".
BleepingComputer rileva che un hacker ha pubblicato ieri un post su un forum underground affermando di aver rubato 440 GB di dati dall'istanza Azure Sharepoint di Fortinet. Il truffatore ha anche pubblicato le credenziali di un bucket S3 contenente i presunti dati rubati, affermando che Fortinet si era rifiutata di pagare un riscatto per evitare che i dati venissero divulgati. BleepingComputer non ha confermato la validità delle affermazioni dell'autore della minaccia.
Campagne di phishing e attacchi mirati
La settimana ha visto una serie di attacchi sofisticati colpire diversi settori a livello globale. Una campagna di phishing ha distribuito file Excel che sfruttano una vecchia vulnerabilità di Microsoft (CVE-2017-0199) per installare il trojan Remcos RAT, dando agli attaccanti accesso remoto ai sistemi delle vittime. Questo malware è stato utilizzato in vari settori in tutto il mondo, e sfrutta tecniche avanzate per evitare i rilevamenti dei tradizionali strumenti di sicurezza.
Trend Micro sta monitorando le nuove varianti di malware utilizzate dall'attore criminale allineato alla Cina Earth Preta (noto anche come "Mustang Panda"). L'autore della minaccia utilizza e-mail di spearphishing e unità rimovibili per distribuire malware contro enti governativi nella regione Asia-Pacifico. Trend Micro afferma: "Earth Preta ha utilizzato una variante del worm HIUPAN per propagare PUBLOAD nelle reti dei propri obiettivi tramite unità rimovibili. PUBLOAD è stato utilizzato come strumento di controllo principale per la maggior parte della campagna e per eseguire varie attività, inclusa l'esecuzione di strumenti come RAR per la raccolta e curl per l'esfiltrazione dei dati è stato utilizzato anche per introdurre strumenti supplementari nell'ambiente degli obiettivi, come FDMTP per fungere da strumento di controllo secondario, che è stato osservato svolgere compiti simili a quelli di PUBLOAD e PTSOCKET, uno strumento utilizzato come opzione di esfiltrazione alternativa".
In Iraq, il gruppo OilRig, legato allo stato iraniano, ha lanciato una campagna contro le reti governative, utilizzando nuovi malware chiamati Veaty e Spearal per eseguire comandi PowerShell e rubare file. Questi attacchi sono un’ulteriore dimostrazione delle crescenti tensioni cyber tra stati-nazione.
Crimson Palace: Cyber-spionaggio in Asia sudorientale
Sophos ha scoperto una nuova campagna di cyber-spionaggio denominata Crimson Palace, condotta da tre gruppi di hacker cinesi che hanno preso di mira governi del sud-est asiatico. Il nuovo malware utilizzato, Tattletale, è progettato per rubare dati sensibili e chiavi di autenticazione. Questo attacco ha compromesso almeno 11 organizzazioni, sottolineando l’importanza di implementare misure di sicurezza rafforzate per proteggere le reti governative.
Malware Vo1d infetta 1,3 milioni di dispositivi Android TV
Il malware Vo1d ha infettato oltre 1,3 milioni di dispositivi di streaming Android TV in più di 200 paesi, tra cui Brasile, Marocco e Pakistan. Questo backdoor consente agli attaccanti di ottenere il controllo completo dei dispositivi infetti, modificando i file di sistema per mantenere l’accesso. La maggior parte dei dispositivi compromessi utilizza versioni obsolete del firmware Android, dimostrando l’importanza di mantenere aggiornati i sistemi per prevenire simili infezioni.
Minacce contro i sistemi bancari e le piattaforme Linux
I clienti bancari in Asia Centrale sono nel mirino di Ajina.Banker, un malware Android che si diffonde tramite canali Telegram travestito da app legittime. Questo malware ruba dati finanziari e sensibili, mettendo a rischio migliaia di utenti in paesi come Armenia, Kazakistan e Russia.
Nel mondo Linux, Hadooken è una nuova minaccia che sfrutta server WebLogic vulnerabili per installare cryptominer e il malware Tsunami. Hadooken utilizza password deboli per accedere ai sistemi e cancellare i log, rendendo difficile il rilevamento e la rimozione del malware.
Vulnerabilità e aggiornamenti di sicurezza
GitLab ha rilasciato aggiornamenti di sicurezza per 17 vulnerabilità, tra cui una criticità (CVE-2024-6678) che consente agli attaccanti di eseguire lavori di pipeline come utenti arbitrari. Cisco Talos ha individuato una nuova minaccia, DragonRank, che prende di mira i paesi asiatici ed europei utilizzando PlugX e BadIIS per manipolare il SEO e compromettere server IIS.
Microsoft ha inoltre annunciato tre nuove vulnerabilità attivamente sfruttate in Windows, come parte degli aggiornamenti del Patch Tuesday di settembre 2024. Questi aggiornamenti riguardano un totale di 79 vulnerabilità, di cui sette considerate critiche.
😋 FunFact
Il funfact di oggi è abbastanza poco fun in quanto situazione molto seria: ho deciso di mettere in evidenza questo articolo, di una serie, che fa chiarezza con esperimenti pratici sulle vulnerabilità Bluetooth sui dispositivi medicali come le pompe per diabetici.
Recentemente, l'FDA ha emesso un richiamo di Classe I per un'app mobile utilizzata con una pompa per insulina, a causa di problemi di crash che portano a un eccessivo consumo della batteria e, in alcuni casi, alla disattivazione della pompa stessa, causando 224 infortuni segnalati. L'articolo sottolinea che il problema non è stato risolto a livello hardware, ma solo a livello software, evidenziando la mancanza di attenzione da parte delle autorità competenti riguardo ai rischi associati ai dispositivi BTLE in ambito sanitario. Il blog affronta anche le difficoltà di valutazione delle vulnerabilità BTLE e propone metodologie per identificare e catalogare gli UUID, utilizzando strumenti di analisi delle applicazioni Android. Viene descritto come gli APK (pacchetti di applicazioni Android) possano rivelare informazioni utili sui dispositivi BTLE e come sia possibile costruire un database di UUID per facilitare la ricerca di vulnerabilità. Infine, l'articolo analizza specifiche vulnerabilità nei prodotti Firewalla, evidenziando come la configurazione e la gestione dei dispositivi possano essere compromesse attraverso l'uso improprio delle comunicazioni BTLE.
Infine
Continuiamo a vedere infrastrutture critiche e settori chiave in tutto il mondo in serie difficoltà. Gli sforzi congiunti dei governi e delle organizzazioni private per migliorare la sicurezza digitale sono essenziali per fronteggiare questa crescente complessità.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.