Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Ancora una violazione di Sicurezza in AT&T. Esfiltrati i Registri delle Chiamate di Milioni di Utenti  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Parla Vanir Group! L’intervista di RHC agli ex affiliati di LockBit, Karakurt and Knight: “Assumete professionisti, non siate tirchi!”  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta  ///    Scropri i corsi di Red Hot Cyber    ///  Palo Alto Networks Risolve Vulnerabilità Critiche di Sicurezza: Aggiornamenti per CVE-2024-5910 e BlastRADIUS  ///    Iscriviti al nostro canale Whatsapp    ///  Il Mondo Ha Bisogno di Nuovi Muri! Come la Sicurezza Nazionale Sta Cambiando il Panorama Geopolitico Globale  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  La National Security Agency degli Stati Uniti è stata violata? 325.498 nomi, email, numeri di telefono e indirizzi compromessi  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Meow Ransomware rivendica l’attacco nel suo Data Leak Site al colosso HPE  ///    Scropri i corsi di Red Hot Cyber    ///  Il Threat Actors 888 rivendicata una compromissione di Microsoft  ///    Iscriviti al nostro canale Whatsapp    ///  Il Threat Actors 888 rivendicata una compromissione di Nokia  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Due gravi vulnerabilità sono state rilevate su Citrix NetScaler Console, Agent e SVM  ///  
Crowdstrike

Cyber spazio e tensioni accelerano: quale stabilità nella tempesta? L’importanza di porsi domande.

Olivia Terragni : 12 Dicembre 2022 20:41

Autore: Olivia Terragni

Mentre gli attacchi e le operazioni nel cyber spazio accelerano le parole di Angela Merkel del 7 dicembre rimarranno nella storia. Secondo l’ex cancelliere gli accordi di Minsk, firmati nel 2014 tra Ucraina, Russia, Germania e Francia e che dovevano porre fine agli scontri nel Donbass, hanno permesso a Kiev di “guadagnare tempo”. Ciò congelando un conflitto dove Putin avrebbe potuto facilmente vincere. Tempo prezioso quindi, e che ha usato per rafforzarsi, come possiamo vedere oggi. Parole incredibili e umilianti allo stesso tempo per la Russia e che cambiano radicalmente lo stato delle cose: come faremo ora a trovare un accordo? La risposta del presidente russo Vladimir Putin non è tardata ad arrivare: ” […] comunque, alla fine devi negoziare. Ho detto molte volte che siamo pronti per questi accordi. Siamo aperti”.

“Come è possibile che i servizi segreti russi si siano rivelati così impreparati? Questa sarà una lezione per noi” afferma il presidente serbo Aleksandar Vučić. Vučić ha recentemente convocato una riunione d’emergenza del Consiglio per la sicurezza nazionale, probabilmente dedicata agli ultimi preoccupanti sviluppi della situazione in Kosovo. Le parole della Merkel sembrano avergli comunque suggerito da che parte stare.

Il Radar in sintesi:

  • Cyber spazio e cyber economy: accelerazione e decelerazione
  • 2023: cyber diplomacy, chiave per la pace digitale?
  • L’importanza di porsi domande: cosa succederebbe se…
  • Russia Iran: collaborazione senza precedenti
  • Iran: tra nations state e hacktivisti 
  • Stati Uniti, Israele ed Europa: nota su Cobalt Mirage e il malware Drokbk
  • Artico: Finlandia e Danimarca in allerta
  • Giappone e Australia: innalzamento delle barriere di cyber difesa
  • Nord Corea: nuove tattiche di spionaggio
  • Malware e Ransomware 

Cyber spazio e cyber economy: accelerazione e decelerazione

Nel frattempo, le tensioni geopolitiche sollevano la questione costo/beneficio laddove la sicurezza nazionale potrebbe voler prevalere sui benefici economici del commercio globale. Si crea ulteriore incertezza sulle future relazioni commerciali in vista dei rischi crescenti collegati ad una frammentazione economica.

Tutto ciò rientra nell’agenda del rischio aziendale anche per quanto riguarda gli impatti che seguiranno ancora. Soprattutto in vista di un aggravamento di tensioni internazionali di lunga data.

Tuttavia le grandi scommesse per lo sviluppo economico futuro ci sono ed oltre alle emissioni zero, il quantum computing, l’intelligenza artificiale e la space economy, vi è anche il dominio dell’Artico, dove  la russa Gazprom (GAZP.MM) ha dichiarato martedì 6 dicembre 2022 di aver avviato la produzione del giacimento di gas di Semakovskoye, con una produzione dichiarata di 7,5 miliardi di metri cubi all’anno durante la prima fase del progetto. Nel frattempo il presidente russo Vladimir Putin ha minacciato di tagliare la produzione di petrolio in risposta al tetto massimo del prezzo del G7 sulle esportazioni di greggio di Mosca.

2023: cyber diplomacy, chiave per la pace digitale?

Ebbene, se nel 2023 ci saranno dei rallentamenti – ancora non calcolabili – nel cyber spazio ci sarà un’accelerazione. Non importa quanti voteranno a favore o quanti si asterranno: il rischio per la sicurezza delle infrastrutture critiche e dei sistemi cyber fisici è aumentato in modo considerevole, accompagnato anche dal conflitto in corso, trasformatosi in guerra ibrida. 

Ad entrare è un nuovo termine la “cyber diplomacy” che vista da molti come la chiave per la pace digitale. Si stratta di uno strumento attraverso il quale poter costruire una collaborazione internazionale ma allo stesso tempo rappresenta anche strumento per diffondere la politica estera di una nazione attraverso la propaganda. Contemporaneamente anche se la limitazione della pubblicazione di informazioni critiche riguarda la sicurezza nazionale, viene chiesto ai paesi UE e ai membri della NATO l’utile condivisione di informazioni strategiche.   

innovazione fattore strategico

L’importanza di porsi domande: cosa succederebbe se…

La corsa alla tecnologia in tutto ciò occupa e occuperà sempre di più un posto di rilevante importanza, laddove l’innovazione è un fattore strategico. Così nonostante gli sforzi dell’insidioso spionaggio industriale, c’è un luogo da dove l’innovazione nasce ed è l’immaginazione in un mondo dove ancora si fanno domande come “cosa succederebbe se?”.

Allora, benvenuti “nelle colonie Extra-Mondo, un’occasione per ricominciare in un Eldorado di nuove occasioni e di avventure”, dove la tecnologia può essere “disruptive” in entrambi i sensi negativo e positivo.

Se da un lato è un potente strumento verso l’innovazione, dall’altro utilizzato nel modo errato porterà a scelte strategiche a rischio se non vengono considerate le minacce, che potrebbero raggiungere il successo al tuo posto. Ne sanno qualcosa degli studenti cinesi che per nascondersi dalle telecamere hanno inventato un cappotto che è in grado di nascondere il corpo umano dalle telecamere di sicurezza monitorate dall’intelligenza artificiale durante il giorno così come di notte.

Nel frattempo i costi della criminalità informatica continuano a salire a livello globale – in termini statistici previsti 10,5 trilioni di dollari entro il 2025 –  mettendo a rischio gli incentivi per l’innovazione e gli investimenti. Quindi la prima regola nella cyber economy dell’industria 4.0 è: sicurezza informatica. Non dimenticarlo, anche per tutto il 2023 e oltre e ricordati: la paura vende molto di più della scienza della gestione del rischio.

Vediamo quindi come si sta muovendo il mondo cyber in questi giorni.

Russia Iran: collaborazione senza precedenti

Gli USA avvertono e condividono queste informazioni con i loro partner in Medio Oriente e in tutto il mondo: tra Russia e Iran si sta creando un  “partenariato di difesa a tutti gli effetti” in cui la Russia potrebbe fornire all’Iran attrezzature e componenti militari avanzati, inclusi sistemi di difesa aerea. Una relazione che si rispecchia anche nel mondo del crimine informatico. Una minaccia che tocca anche i cittadini europei, e che ha fatto aumentare la vigilanza sulle infrastrutture vitali e sul settore  dei servizi finanziari che devono identificare, resistere e rispondere a tutte le potenziali perturbazioni  per mantenersi competitivi sul mercato.

Cosa viene chiesto al settore? Frances Fitzgerald eurodeputata, negoziatrice del Gruppo PPE del Digital Operational Resilience Act (DORA) risponde: “di mantenere “adeguati controlli di sicurezza sulla propria infrastruttura digitale” e che includono “crittografia, autenticazione, controlli di accesso e piani di risposta agli incidenti”. 

Intanto dal leak del gruppo Black Rewards del database dell’agenzia di stampa Fars  – affiliata al Corpo delle guardie rivoluzionarie islamiche iraniane –  iniziano a girare i bollettini segreti su diverse questioni tra cui la disponibilità di Cina e Russia ad investire nel paese. Su MiddleEastEye.

Note:

  • Noto per le sue grandi rapine contro le istituzioni finanziarie è il gruppo russo Silence che utilizza il phishing come vettore iniziale: oltre ad un picco di dispositivi infettati dal malware TrueBot è stato rilevato un nuovo strumento di esfiltrazione di dati personalizzato chiamato Teleport.
  • Le entità finanziarie – Medio Oriente ed Europa – sono prese di mira anche dal malware Janicab: tracciato anche come DeathStalker, l’attore della minaccia è noto per implementare backdoor come Janicab, Evilnum, Powersing e PowerPepper per esfiltrare informazioni aziendali riservate.

Iran: tra nations state e hacktivisti 

La guerra informatica tra Iran e Israele continua: Agrius, un attore di minacce collegato all’Iran e relativamente nuovo (dal 2020) ha attaccato la catena di approvvigionamento israeliana, violando una suite software israeliana utilizzata nell’industria dei diamanti. Agrius ha usato il nuovo malware wiper “Fantasy” che sostituisce il precedente “Apostle” e tra i suoi target Israele, Sud Africa, Hong Kong ed Emirati Arabi Uniti. Su IsraelDefense

Sembra poi che il gruppo MuddyWater – gruppo APT collegato al Ministero iraniano dell’intelligence e della sicurezza (MOIS) –  sia tornato con degli aggiornamenti, prendendo di mira, con una nuova campagna, Armenia, Azerbaigian, Egitto, Iraq, Israele, Giordania, Oman, Qatar, Tagikistan e Emirati Arabi Uniti Emirati.

Le proteste in Iran non si fermano ed emerge un nuovo gruppo tale ZZA_Group che ha divulgato in dicembre informazioni riservate del Ministero della giustizia e del Ministero degli affari interni. L’informazione è stata riportata dall’attivista iraniano residente in UK @NarimanGharib (account Twitter).

ZZA Group
@NarimanGharib

Stati Uniti, Israele ed Europa: nota su Cobalt Mirage e il malware Drokbk

Cobalt Mirage è un gruppo relativamente nuovo (inizio del 2021), collegato dai ricercatori al governo iraniano e noto per utilizzare il ransomware BitLocker contro organizzazioni negli Stati Uniti, in Israele e in Europa. I ricercatori della Secureworks Counter Threat Unit stanno indagando sul malware Drokbk che sfrutta servizi come Github, utilizzato come Dead Drop virtuale che aiuta il malware a mimetizzarsi.  Il traffico verso GitHub è crittografato, e le tecnologie difensive non possono vedere cosa viene trasmesso: si tratta di una tecnica insolita e nuova a quanto pare che differisce dalle tecniche iraniane utilizzate in passato. 

L’ampia gamma di settori presi di mira vanno dalle istituzioni educative alle organizzazioni di servizi finanziari e Cobalt Mirage sfrutta spesso vulnerabilità note come Log4Shell e ProxyShell per l’accesso iniziale. 

Su Secure Works Research and Intelligence i ricercatori hanno listato domini e URL associati a Drokbk. 

Artico: Finlandia e Danimarca in allerta

Se stiamo assistendo a cambiamenti epocali questi due paesi – Finlandia e Danimarca – fanno parte del progetto non solo a causa di una maggior attenzione a livello climatico a causa dello “scioglimento dei ghiacci” ma per un raffreddamento nei confronti della Russia. 

Mentre la Finlandia si prepara ai cyber attacchi russi, ad attacchi ibridi e contro la disinformazione, il 6 dicembre ad Helsinki  – giorno dell’Indipendenza finlandese – è stata bruciata la bandiera russa.

 Sanna Marin – primo ministro finlandese –  afferma che l’Europa senza gli USA non è abbastanza forte e resiliente per costruire una vera e propria difesa, tanto è che  i principali partiti politici finlandesi – preoccupati per un’eventuale ‘migrazione di massa armata’ – hanno sostenuto la proposta di costruire una recinzione lungo parti del confine del paese con la Russia. In campo cyber tra febbraio e fine ottobre, gli attacchi informatici contro “obiettivi critici” in Finlandia sono aumentati di un terzo, non ultimo l’attacco DoS l’Istituto di previdenza sociale finlandese Kela

In Danimarca a subire un attacco DDoS è stato invece il sito del Ministero della Difesa colpito giovedì anche se è stato dichiarato che non non ci sono conseguenze operative per la difesa.

Da notare che entrambi gli attacchi non sono stati attribuiti a gruppi particolari. 

danimarca attacco informatico

Giappone e Australia: innalzamento delle barriere di cyber difesa

Giappone e Australia non starebbero lavorando solo per rafforzare le difese informatiche, ma anche per innalzare le loro capacità offensive. Obiettivo dell’Australia? Diventare un leader informatico globale e collaborare con i suoi vicini nell’Oceano Pacifico.  

Il Giappone ha reso noto intanto che implementerà una politica di attacchi preventivi quando giustificato. The Register

Nord Corea: nuove tattiche di spionaggio

E’ oramai passato più di un mese da quando hacker nordcoreani hanno sfruttato l’interesse pubblico nella tragica ondata di folla di Itaewon di ottobre per colpire i sudcoreani con malware attraverso un documento Microsoft Word corrotto facendolo passare per un comunicato stampa ufficiale del Ministero dell’Interno e della Sicurezza della Corea del Sud.

Ultimamente i  servizi di intelligence della Corea del Sud, la polizia nazionale e cinque ministeri hanno pubblicato ieri un avvertimento sulle tattiche del Nord (RPDC): i professionisti IT nordcoreani utilizzerebbero le piattaforme freelance per guadagnare denaro che il governo poi utilizza per finanziare lo sviluppo di missili e armi nucleari.

“I lavoratori IT della RPDC sono dislocati in tutto il mondo, offuscando la loro nazionalità e identità. Guadagnano centinaia di milioni di dollari all’anno impegnandosi in un’ampia gamma di lavori di sviluppo IT, comprese piattaforme di lavoro freelance (siti Web/applicazioni) e sviluppo di criptovalute”.

Ma non è l’unico stratagemma utilizzato: sembra che il paese sia alla ricerca di informazioni. Thallium ha utilizzato una nuova campagna per prendere di mira gli studiosi e i ricercatori e indurli a scrivere ricerche per loro. Alla base della campagna ci sarebbe il tentativo di comprendere meglio la politica degli Stati Uniti nei confronti del paese. (Reuters)

Malware e Ransomware 

Sanità pubblica e Royal Ransowmare

Anche il settore della sanità pubblica è sempre più a rischio: minaccia da considerare è il Royal Ransomware che utilizza nuove tattiche di distribuzione del proprio malware tramite Google Ads.

Zombinder

Popolare tra i criminali informatici è Zombinder, in grado di prendere di mira più piattaforme senza destare molti sospetti. Vengono prese di mira le piattaforme Windows e Android. Su CyWare

Crypto: attacchi di mining di criptovaluta Linux migliorati tramite CHAOS RAT

Abbiamo già parlato della crescita degli attacchi alle crypto nello scorso Radar, dove a livello globale è stata rilevata una nuova campagna che utilizza false app di criptovaluta per diffondere il malware AppleJeus. Recenti attacchi hanno colpito Lodestar Finance: il suo protocollo di prestito è stato sfruttato in un attacco il 10 dicembre.

I ricercatori di TrendMicro hanno invece rilevato una nuova minaccia che incorpora un trojan avanzato di accesso remoto (RAT) denominato CHAOS Remote Administrative Tool (Trojan.Linux.CHAOSRAT), che si basa su un progetto open source.

Una raccolta fondi fraudolenta per rubare crypto e NTF

C’è chi durante la guerra russia-ucraina approfitta dei momenti di crisi per ottenere propri benefici: è il caso dell’impersonificazione del Ministero della trasformazione digitale ucraino utilizzata per rubare NFT e criptovaluta. Tra gli account usati un profilo Twitter dal nome “@AidForUkraine_” che ha diffuso  domini sosia dannosi per la raccolta di fondi in modo illegittimo.

 

Olivia Terragni
Autore, ex giornalista, laureata in Lettere e Filosofia con indirizzo storico-economico e poi in Architettura, ha poi approfondito i suoi studi in Network Economy e in Informations Economics, conclusi con un Master in Cyber Security e Digital Forensics e un Master in Filosofia e Governance del Digitale. Appassionata di innovazione tecnologica e sistemi complessi e della loro gestione nell’ambito della sicurezza e della loro sostenibilità in contesti internazionali. Criminalista. Velista ottimista.