Home Blog Page 10

Senato USA: la Cina ha attaccato i nostri fornitori militari

Proseguono le cyber schermaglie fra Cina e Stati Uniti. Da un lato il Presidente cinese Xi Jinping ha esortato i Paesi della Shanghai Cooperation Organisation (un’organizzazione promossa dalla Cina e generalmente vista in chiave anti-NATO) a collaborare per fermare il cyber terrorismo, un invito ribadito recentemente da Lu Wei, il direttore dell’Ufficio di Stato per Internet, al China-ASEAN Cyberspace Forum.

Il fatto che questi messaggi siano stati lanciati dalla Cina durante consessi sostanzialmente estranei al mondo occidentale, se non proprio apertamente ostili (gli Stati Uniti anni fa avevano fatto richiesta di ammissione come osservatori della Shanghai Cooperation Organisation, richiesta che venne rifiutata), conferisce a essi una connotazione spiccatamente anti-occidentale.

Dall’altro lato il Senato americano ha appena pubblicato un rapporto dove si legge che per 50 volte in un anno hacker militari cinesi avrebbero attaccato fornitori del Pentagono, in settori come aviazione, trasporti e spedizioni (tutti gestiti dal U.S. Transportation Command, o TRANSCOM).

China’s military hacked into computer networks of civilian transportation companies hired by the Pentagon at least nine times, breaking into computers aboard a commercial ship, targeting logistics companies and uploading malicious software onto an airline’s computers […].

Almeno venti di questi attacchi sarebbero andati a segno.

The committee found that in a 12-month period beginning June 1, 2012, there were about 50 intrusions or other cyber events into the computer networks of TRANSCOM contractors. At least 20 of those were successful intrusions attributed to an “advanced persistent threat,” a term used to designate sophisticated threats commonly associated with governments. All of those intrusions were attributed to China.

I cinesi, secondo il rapporto, avrebbero rubato e-mail, documenti e account. Ma non basta, a quanto pare alcune aziende colpite non avrebbero segnalato diversi attacchi, contravvenendo alle norme che legano le loro forniture al Dipartimento della Difesa (DoD):

The committee also found that cyber intrusion reporting requirements are focused on intrusions that affect DoD data. Some TRANSCOM contractors, such as several CRAF airlines, however, may do little or no business with the military until called upon in a crisis. Peacetime intrusions at those companies may not involve immediate loss of military information, but could leave those companies vulnerable to loss of information or disruption of operations when they are activated to support military operations.

L’indagine, infine, ha riscontrato gravi lacune anche nel livello di cooperazione fra le varie agenzie governative statunitensi, che hanno ancora problemi nel segnalarsi a vicenda informazioni sugli attacchi informatici.

The investigation also found that the FBI or DoD were aware of at least nine other successful intrusions by China into TRANSCOM contractors. Of those 20 intrusions, TRANSCOM was only made aware of two.

That gap was in part a result of contractors and TRANSCOM lacking a common understanding of what intrusions ought to be reported to TRANSCOM. Also, DoD agencies lack a clear understanding as to what information about cyber intrusions can and should be shared with TRANSCOM and other agencies within the Department.

Dopo l’Iron Dome, Israele vuole sviluppare un Cyber Dome

Quando un razzo o un proiettile di artiglieria viene lanciato contro zone densamente popolate di Israele, il sistema noto come Iron Dome anticipa la traiettoria e spara i suoi missili, che intercettano e colpiscono il razzo quando è ancora in aria. Iron Dome è attivo dal 2011 e si è rivelato efficace nel 90% delle operazioni.

Ora quello che molti considerano l’ideatore dell’Iron Dome, Danny Gold, ha intenzione di creare un sistema simile per proteggere Israele dagli attacchi cibernetici: il Cyber Dome.

Gold oggi dirige il National Cyber Committee presso il Consiglio Nazionale per la Ricerca e Sviluppo di Israele. La sua idea è quella di sviluppare un sistema, sotto il controllo delle forze armate, che sia in grado di intercettare attacchi cibernetici indirizzati verso istituzioni governative, militari, industriali e commerciali, anche prima che questi avvengano. Il sistema, inoltre, dovrà essere in grado di individuare con certezza l’origine degli attacchi (o dei tentativi di attacco) effettuando azioni di rappresaglia informatica.

The system would operate in four main layers: identify threats, protect systems from the threats, mitigate threats that exists within the network and launch retaliatory attacks against cyber-assailants. Any counter-offensive attack under the system would be launched by the Israel Defense Forces cyber command.

Il sistema, che dovrebbe costare “diverse centinaia di milioni di shekel” (cento milioni di shekel sono circa 21 milioni di Euro), richiederà tre anni di sviluppo.

Da tenere sotto osservazione in particolare la capacità di cyber-rappresaglia: organizzazioni in grado di mascherare efficacemente l’origine di un attacco potrebbero ingannare il sistema e far partire il contrattacco israeliano verso obiettivi completamente innocenti.

Hacker cinesi all’attacco dei Paesi nel Mar della Cina

L’azienda di sicurezza FireEye ha notato due diversi gruppi di hacker in Cina che – operando apparentemente in tandem – attaccano organizzazioni private, governative e militari negli Stati che si affacciano sul Mare Cinese: Corea del Sud, Giappone, Taiwan, inclusi alcuni asset militari statunitensi.

Il primo gruppo, chiamato Moafee, opera dalla provincia di Guandong e attacca prevalentemente asset governativi e militari. Il secondo gruppo, chiamato DragonOK, opera dalla provincia di Jiangsu e attacca organizzazioni industriali e tecnologiche a Taiwan e in Giappone. Entrambi i gruppi hanno modi di operare molto simili e usano gli stessi tool (HUC Packet Transmit Tool, file protetti con password, tecniche di spear phishing), cosa che fa pensare a una collaborazione oppure a un identico training iniziale.

The groups both use common, and multiple, methods to hide their activities. Employing sandbox environments, antivirus software and gateway firewalls, they do their best to remain unobtrusive. Methods include:

  • checking for the number of core processors (and quitting if only one is detected);
  • attaching password-protected documents and providing a password in the email contents; and
  • sending large files padded with unnecessary null bites to slide past network- and host-based AV engines that can’t scan larger files.

Un terzo gruppo impegnato nello stesso tipo di attacchi usa tecniche simili, ma al momento non ci sono abbastanza indizi che possano legarlo ai primi due.

Nei prossimi giorni FireEye pubblicherà un report più dettagliato sugli attacchi e sui metodi utilizzati.

L’esercito degli Stati Uniti ha la sua prima cyber brigata

L’esercito degli Stati Uniti si è appena dotato di una cyber brigata, come annunciato da Rodney D. Harris, Sergente Maggiore Comandante del “Cyber Command“.

La brigata è stata istituita presso la base di Fort Gordon, in Georgia, ed è la prima brigata di questo tipo nell’esercito statunitense. Composta da 20 squadre da 39 membri ciascuna (sia militari sia civili), la brigata darà supporto alle operazioni cibernetiche dell’esercito, sia in attacco sia in difesa.

Ma non basta, secondo Harris l’esercito dovrebbe raddoppiare il numero di soldati impiegati nel cyberwarfare, mentre sono in corso le procedure per creare una branca separata per i cyber combattenti: il “Cyber Branch“.

ISIS: nativi digitali?

Negli ultimi mesi non pochi hanno fatto notare come le operazioni su Internet del gruppo jihadista dello Stato Islamico/ISIS siano state condotte con competenza e professionalità. Sembra che il gruppo sia in grado di entrare in sintonia con la nuova generazione di giovani islamici che usano la Rete – anche e soprattutto nei Paesi occidentali – più di quanto non abbia mai fatto qualsiasi gruppo islamico, compresi gli ex alleati di Al-Qāʿida. Questo rende ovviamente più facile anche il reclutamento di giovani hacker.

Oltre a fortunate campagne di “marketing”, i cyber-combattenti dello Stato Islamico sono apparentemente in grado sia di attaccare sia di difendersi on-line, per fare qualche esempio:

  • Non appena Twitter chiude un account collegato all’ISIS, immediatamente ne appare un altro, con le informazioni di contatto che rimbalzano fra i vari account dei tanti supporter.
  • Sempre per ovviare ai problemi con Twitter, il gruppo ha creato a giugno l’app per Android chiamata “The Dawn of Glad Tidings“, che consente agli utenti/simpatizzanti di “offrire” il proprio account Twitter allo Stato Islamico per mandare in broadcast messaggi e aggiornamenti. In questo modo anche se Twitter chiude uno o due (o dieci, o venti) account collegati al gruppo jihadista, i messaggi continuano a essere veicolati dalle decine di migliaia di utenti che hanno collegato il loro account Twitter all’app dello Stato Islamico.
  • L’azienda di cyber-intelligence IntelCrawler ha notato negli ultimi mesi un aumento di attacchi informatici in Iraq, in particolare un incremento delle botnet aventi i centri di comando e controllo (c&c) presso vari service provider iracheni come GORANNET, IQ-EARTHLINK, IQNETWORKS, IQ-NEWROZ e IQ-TARINNET.
  • Ancora InterlCrawler riporta che sono in aumento i casi di toolkit di amministrazione remota (RAT), che consentono agli hacker di prendere il controllo dei computer, simili a quelli già usati dal Governo in Siria per colpire i ribelli (parliamo in particolar modo di njRAT).

L’ISIS ha saputo presentarsi con un linguaggio più comprensibile ai teenager, ai ventenni e ai trentenni islamici in tutto il mondo, gettando ponti fra loro e i terroristi che combattono in Iraq. La testata israeliana Haaretz ha pubblicato un interessante articolo (disponibile dietro il paywall per gli iscritti, altrimenti in versione pdf qui grazie all INSS) che considera la portata “cyber” dell’ISIS e la presa sui giovani islamici.

The young members of IS write and share their posts on social media. This extroverted approach is an excellent fit for IS’s current strategy – preparing for global acts of terror by recruiting foreign operatives and creating new terror cells throughout the world.

[…] For the new recruits, Islamic State is an emotional anchor, a source of identity and pride in an alienated and unstable world, with weakened connections to country and nationality. Its solution is a unique combination of radical traditional ideology and pragmatic action. When this is packaged in the modern methods that cyberspace makes possible, it is no wonder that IS has such compelling sex appeal.

L’autore parla apertamente di approccio “estroverso” dell’ISIS, nonché del suo “sex appeal” che fa breccia nei cuori di una certa parte di giovani islamici. Forse è in quest’ottica che si può leggere la simpatia del gruppo di hacker noto come “Lizard Squad” (che nelle scorse settimane aveva preso di mira alcuni giochi on-line come League of Legends, il PlayStation Network, Xbox Live e Twitch) verso lo Stato Islamico, tanto da far pensare a un collegamento fra i due. Una volta identificati e arrestati i suoi componenti, si è capito che oltre all’ammirazione per l’ISIS probabilmente non andavano.

A oggi le operazioni informatiche dell’ISIS non si sono distinte per eccezionali capacità tecniche, ma se confrontate con la scarsa alfabetizzazione informatica dei gruppi terroristici del passato la differenza si nota, ed è proprio questo cambio di passo che porta a chiedere quanto tempo passerà prima che lo Stato Islamico acquisisca mezzi e uomini per lanciare vere e proprie operazioni di cyberwarfare contro gli asset nemici.

Iran: cyber-esercitazioni nei prossimi sei mesi

L’agenzia di stampa iraniana FARS ha riportato le dichiarazioni del Generale Reza Azarian che ha preannunciato una o due cyber-esercitazioni militari – definite “wargames” – nei prossimi sei mesi.

“This (Iranian) year (that ends on March 20, 2015) one or two wargames will be staged in the Southwestern and Southeastern parts of the country”.

“Also we have planned to stage specialized drills on how to fight back enemy’s cyber warfare later this year,” he added.

L’Iran è considerato una delle maggiori potenze mondiali in materia di guerra cibernetica. Lo scorso giugno un altro militare, il Generale Gholam Ali Heidari, aveva fatto notare come l’Iran abbia tecnologia d’avanguardia ed esperti in grado di difendere il Paese dagli attacchi informatici. Il Generale ha inoltre fatto riferimento alla deterrenza come uno dei princìpi strategici della difesa cibernetica iraniana.

Corea del Nord e guerra cibernetica, lo stato dell’arte

Nel suo periodico Security Briefing, Hewlett-Packard ha condotto uno studio abbastanza approfondito sulle capacità di guerra cibernetica della Corea del Nord.

Dal rapporto emergono le seguenti informazioni:

  • Il Ministero Popolare delle Forze Armate gestisce l’esercito e il Dipartimento Generale del Personale, che a sua volta amministra l’Ufficio Generale di Ricognizione. Questo ufficio supervisiona sei differenti uffici specializzati in operazioni tecnologiche e attività cyber.
  • Uno di questi uffici si chiama “Ufficio 91“, si trova a Pyongyang nel quartiere Mangkyungdae ed è responsabile di attacchi informatici.
  • Un altro ufficio è noto come “Unità 121“, che comprende una componente di intelligence e una di attacchi. Il quartier generale di questo ufficio si trova a Pyongyang, nella zona Moonshin-dong, vicino al fiume Taedong. Un’altra componente è ospitata dalla Cina, all’interno dell’Hotel Chilbosan a Shenyang. Capitale della provincia di Liaoning, che confina con la Corea del Nord, Shenyang è un distretto militare cinese.
  • Il “Laboratorio 110” (o Lab 110) è un’altra unità nella quale operano squadre addette a cyber-ricognozioni, hacking e diffusione di malware nei sistemi informatici nemici.
  • Altre entità sono attive all’interno del Partito dei Lavoratori. Il Comitato Centrale supervisiona ad esempio il Gruppo Investigativo del Partito Centrale, noto anche come “Unità 35“, responsabile fra le altre cose del training dei cyber-combattenti.

Il rapporto è denso di informazioni, non solo sullo stato delle cose in materia di guerra cybernetica ma anche sulla situazione tecnologica del paese. Esso include inoltre molte conferme, come la predilezione della Corea del Nord per le attività asimmetriche, che consentono di lanciare operazioni di elevato impatto con risorse molto modeste.

Potete scaricare “Profiling an enigma: The mystery of North Korea’s cyber threat landscape” da questo link.

Norvegia: attacco al settore petrolifero

Il settore petrolifero norvegese è al centro di un attacco coordinato che ha interessato inizialmente 50 aziende, con altre 250 messe in allarme dall’autorità per la sicurezza nazionale del Paese (Nasjonal Sikkerhetsmyndighet – NSM).

Ignoti hacker (l’NSM ha dei sospetti, ma non è pronta a parlarne pubblicamente) si sarebbero introdotti nelle aziende operanti nel fortunato settore petrolifero norvegese attraverso attacchi di spear phishing. Anche Statoil, la più grande azienda del settore, sarebbe fra quelle prese di mira dagli hacker.

Da NewsinEnglish.no:

“Around 300 companies are getting warnings from us now, with concrete information where we ask them to look for specific things in their logs,” Hans Christian Pretorius, director of the operative division of NSM, told DN. “”This is the largest warning we have ever carried out.”

Secondo quanto rivelato dall’NSM, gli attacchi erano stati preannunciati da contatti esteri.

Israele: attacchi dall’Iran durante Protective Edge

Durante l’operazione “Protective Edge” Israele è stato costretto a difendersi anche da attacchi cibernetici provenienti dall’Iran, è quanto ha fatto notare un esponente dei C4I Corps ripreso da un articolo dell’INSS:

A senior officer in the C4I Corps noted that in the course of the campaign Iranian elements launched a widespread cyber offensive against Israeli targets, including attempts to damage security and financial networks. While these attempts were neutralized relatively easily and quickly by Israeli cyber defenses, it seems that Iran is investing heavily in the development of effective offensive capabilities against infrastructure systems, and might present a serious challenge to Israeli defenses within the foreseeable future.

L’Iran è considerato una delle maggiori potenze mondiali nella guerra cibernetica, soprattutto dopo lo smacco subìto nel 2010 a opera del malware Stuxnet.

Attacco alle aziende costruttrici dell’Iron Dome israeliano, forse dalla Cina

Secondo l’azienda statunitense di intelligence Cyber Engineering Services Inc. (CyberESI), alcuni hacker – forse dalla Cina – si sono introdotti fra il 2011 e il 2012 in tre delle maggiori aziende israeliane di difesa, rubando documenti riservati relativi al progetto Iron Dome. Sul suo blog Brian Krebs scrive:

By tapping into the secret communications infrastructure set up by the hackers, CyberESI determined that the attackers exfiltrated large amounts of data from the three companies. Most of the information was intellectual property pertaining to Arrow III missiles, Unmanned Aerial Vehicles (UAVs), ballistic rockets, and other technical documents in the same fields of study.

Joseph Drissel, CyberESI’s founder and chief executive, said the nature of the exfiltrated data and the industry that these companies are involved in suggests that the Chinese hackers were looking for information related to Israel’s all-weather air defense system called Iron Dome.

Analizzate le modalità dell’attacco, si pensa che questo sia opera dell’Unità 61398 dell’esercito cinese.

Anonymous annuncia che attaccherà Israele

Per protestare contro le operazioni militari di Israele Gaza, Anonymous ha annunciato che colpirà interessi cibernetici israeliani domani, venerdì 25.

Da pastebin:

We’ve been fighting Israel and their terrorist state for over 4 years, and we have not grown weary or tired.
It has only made us stronger.
Therefore, we are calling upon the anonymous
collective, and the elite hacker groups to join our crusade, and to wage
cyber war against the state of Israel once more.
This Friday will be a day in where Israel will feel fear tingling in their servers, and homes.

Questa non è la prima volta che Anonymous decide di attaccare le cyber infrastrutture di Israele, come riporta RT:

In April 2013, Anonymous claimed to have attacked 100,000 websites and inflicted $3 billion in damage, but the country’s National Cyber Bureau said that Anonymous didn’t “have the skill to damage the country’s vital infrastructure.”

Two years ago, against the background of the massive Israeli operation “Pillar of Defense”, Anonymous carried out hundreds of attacks on the country’s web resources.

Il Regno Unito avrà più di un miliardo di sterline contro il cyber terrorismo

La difesa britannica riceverà più di 1,1 miliardi di sterline (circa 1,380 miliardi di Euro) per finanziare investimenti extra in attività cibernetiche come “Intelligence, Surveglianza, Acquisizione obiettivi e Ricognizione” e per acquistare nuovi droni e radar. Il Primo Ministro britannico David Cameron scrive:

The threats we face have changed utterly in 30 years – from the clarity of the Cold War to the complex and shifting challenges of today: global terrorism, organised crime, hostage taking, the risk of nuclear proliferation, cyber attack, energy security.

The enemy may be seen or unseen. So as the Strategic Defence and Security Review in 2010 made clear, it is not massed tanks on the European mainland we need, but the latest in cyber warfare, unmanned aircraft technology and Special Forces capability.

L’articolo completo su The Telegraph.

Social media

22,544FansLike
7,414FollowersFollow