Home Blog Page 14

La Corea del Nord che attacca Sony fa comodo a tutti

By
Luca Sambucci
-
Guardians of Peace screenshot from Sony 2014 hack
Guardians of Peace screenshot from Sony 2014 hack

Ne abbiamo già parlato, ma da settimane a questa parte non è possibile leggere notizie sulla cyberwar senza ottenere quotidianamente almeno una dozzina di articoli che parlano di come la Corea del Nord abbia attaccato Sony per sabotare il rilascio del film “The Interview“.

Da quando abbiamo fatto il pezzo iniziale sono successe le seguenti cose:

– l’FBI ha dichiarato che l’hack contro Sony è opera della Corea del Nord
Obama ha rincarato la dose, accusando i nordcoreani di cyber-vandalismo
– qualcuno ha scritto anonimamente su Pastebin un messaggio facendo intendere che chi andrà a vedere il film al cinema sarà vittima di attacchi terroristici (il messaggio nel frattempo è stato rimosso, ma potete trovarlo archiviato qui)
– Sony ha deciso di cancellare il rilascio del film
Anonymous ha scritto a Sony dicendo che “tutti sanno che l’hack non proviene dalla Corea del Nord”
– il collegamento Internet verso la Corea del Nord è andato giù per poco più di nove ore
– Sony ha cambiato idea e ha deciso di rilasciare il film in sole 200 sale

Un articolo di Bruce Schneier fa eco a quello che noi e molti altri analisti diciamo ormai da settimane: accusare la Corea del Nord è quantomeno prematuro, se non del tutto campato per aria.

Ma allora come siamo arrivati a questo trambusto, dove la notizia della Corea che ha gli hacker che attaccano i film al cinema ormai è di pubblico dominio e commentata da tutti?

Pensiamo che la vecchia logica del cui prodest? anche in questo caso possa aiutarci a gettare un po’ di luce sulla vicenda, perché stranamente così come è stata impostata porta beneficio a tutti gli attori coinvolti.

Sony /1: l’azienda è stata brutalmente attaccata da hacker, che hanno rubato e cancellato dati. È presumibile che Sony si trovi presto alla sbarra per cause legali intentate da clienti, fornitori, partner, dipendenti, per via dei dati che le sono stati sottratti, per contratti non onorati, per tempi non rispettati, ecc. Avrete sicuramente letto le clausole delle vostre assicurazioni auto o sulla vita, in tutte è scritto che non sarete rimborsati se i danni avvengono per tutta una serie di cause, incluso il terrorismo. Ecco, se l’hack a Sony fosse riconosciuto come cyber-terrorismo o come attacco da parte di una nazione straniera, è lecito pensare che molte di quelle cause per danni avranno esito nullo e faranno uscire Sony indenne da molte richieste di risarcimento.

Sony /2: ammettiamolo, chi aveva sentito parlare del film “The Interview” prima di questo parapiglia? Noi sì, ma solo per leggere che era un film tutto sommato bruttino che pochi sarebbero andati a vedere, presumibilmente eclissato da altri film come lo Hobbit. Ora è sulla bocca di tutti, è il film col maggiore battage PR di Natale, è stato ritirato e poi riammesso nelle sale, ne ha parlato il presidente Obama. Una pubblicità così se la scorda anche Star Wars.

Guardians of Peace: sono gli hacker che hanno attaccato Sony. Anche loro stanno godendo di una copertura mediatica senza pari, che alla fine è una delle cose per la quale molti gruppi di hacker si battono.

La Corea del Nord: ha usato sapientemente la vicenda, prima con dichiarazioni sibilline che non smentivano il coinvolgimento – alimentando quindi le illazioni – poi successivamente con smentite di circostanza che hanno avuto lo stesso effetto di due bicchieri d’acqua buttati sul fuoco di una casa in fiamme. Questo perché la Corea del Nord ha tutto l’interesse a farsi vedere dalla comunità internazionale come uno Stato che sa colpire i propri nemici ovunque nel mondo. Oggi tutti parlano della famigerata Unità 121, gli hacker governativi nordcoreani, argomento che prima era appannaggio solo degli addetti ai lavori.

Gli Stati Uniti: le relazioni con la Corea del Nord sono sempre state molto complicate, con tanti movimenti sottotraccia e sporadicamente qualche esternazione pubblica. Non è difficile vedere come anche questa carta possa essere usata dagli Stati Uniti a proprio vantaggio, ora per accusare a gran voce i nordcoreani di hacking di Stato, quindi per chiedere qualche concessione dietro le quinte, e magari in maniera trasversale per fare pressioni sulla Cina (grande sponsor della Corea del Nord, se non altro per scongiurare che tutta la penisola diventi un giorno un alleato USA).

La stampa: è sempre bello avere qualcosa di succoso da scrivere, e difficilmente in questo periodo si può trovare una notizia più curiosa di un cyber-thriller che coinvolge un cosiddetto stato-canaglia come la Corea del Nord, un colosso dei media come Sony, un film prima ritirato poi ripreso, hacker, dichiarazioni di Obama, messaggi di Anonymous, minacce di attentati stile 11 settembre… per non parlare di James Franco.

Insomma, un risultato “win-win” che fa contenti tutti, aspettiamoci quindi altri colpi di scena e prepariamo i pop-corn.

Fonti:
http://www.cbsnews.com/news/fbi-north-korean-hackers-behind-sony-pictures-cyberattack/
http://www.cnn.com/2014/12/21/politics/obama-north-koreas-hack-not-war-but-cyber-vandalism/
http://www.cbsnews.com/news/sony-pictures-cancels-the-interview/
http://rt.com/usa/217159-sony-screen-interview-xmas/
http://www.showbiz411.com/2014/12/21/sony-gets-a-new-threat-anonymous-says-hackers-arent-korean-release-film-or-more-hacks-coming
http://www.engadget.com/2014/12/22/north-korea-is-suffering-a-complete-internet-outage/
http://www.bbc.com/news/world-asia-30584093
http://www.theatlantic.com/international/archive/2014/12/did-north-korea-really-attack-sony/383973/?single_page=true

Hacker di Hamas: abbiamo colpito computer militari israeliani

By
Luca Sambucci
-
Hamas
Hamas

Secondo Al-Aqsa news Hamas sarebbe riuscita a introdurre hacker nelle difese informatiche militari israeliane. Come dimostrazione ha pubblicato dei feed video dell’IDF (Israel Defense Forces) che documentano un’azione militare avvenuta il 19 luglio dove alcuni militanti di Hamas hanno attaccato il kibbutz Ein Hashlosha.

Il video è stato intitolato “Video ottenuto dall’hacking di computer militari del nemico sionista a opera delle Brigate di Al-Qassam” e segue un altro filmato pubblicato qualche giorno prima sempre su siti di lingua araba, anche quello apparentemente ripreso da telecamere delle forze di difesa israeliane.

L’IDF ha affermato che “Certi contenuti distribuiti da Hamas sono stati riconosciuti dai militari“, aggiungendo però che non è stata aperta alcuna inchiesta, solo un’indagine per capire se quei video provenissero o meno da una rete protetta.

Fonte:
http://www.israelnationalnews.com/News/News.aspx/188618

L’attentato al Baku-Tbilisi-Ceyhan del 2008 opera di hacker

By
Luca Sambucci
-
Oleodotto Baku-Tbilisi-Ceyhan
Oleodotto Baku-Tbilisi-Ceyhan

Le reali cause di un’esplosione all’oleodotto Baku-Tbilisi-Ceyhan (BTC) avvenuta nel 2008 potrebbero gettare nuova luce sulle attività di cyberguerra fra la Russia e i Paesi occidentali. Un articolo di Bloomberg news, citando fonti anonime a conoscenza dei dettagli, descrive come a causare l’esplosione sia stato un attacco informatico. Questo, per intenderci, due anni prima della scoperta di Stuxnet.

Il BTC è un oleodotto che collega il Mar Caspio al Mediterraneo, evitando accuratamente di passare sul territorio russo o dei suoi alleati (come l’Armenia). Per la gran parte si snoda su territorio turco, ed è proprio lì – nei pressi di Refahiye – che nell’estate del 2008 si è verificata l’esplosione.

Secondo la ricostruzione dei fatti data da Bloomberg, gli hacker si sarebbero introdotti nel network che controlla l’oleodotto sfruttando proprio il sistema di sicurezza che avrebbe dovuto difenderlo: le telecamere. Essi avrebbero infatti scoperto una vulnerabilità nel software delle telecamere, che una volta sfruttata avrebbe dato loro accesso all’intera rete di controllo.

Nella rete hanno poi scoperto un computer Windows che gestiva il sistema di allarme e lo hanno infettato con un malware. Il malware avrebbe quindi dato la possibilità agli hacker di accedere al network da remoto più volte senza essere scoperti.

L’obiettivo era quello di disabilitare l’oleodotto e per farlo non vi era bisogno di accedere alla sala controllo. Benché i tubi passino sotto terra, in determinati punti vi sono stazioni in superficie che controllano le valvole per mezzo di terminali informatici. Agli hacker è bastato accedere a uno di essi per aumentare la pressione del petrolio e contemporaneamente disabilitare il sistema di allarme.

Anche i sistemi satellitari di back up sono stati compromessi (probabilmente con dei jammer), segno che l’operazione è stata condotta da professionisti ben preparati. Inoltre, l’accesso al sistema di sicurezza ha consentito loro di cancellare oltre 60 ore di registrazioni video, per eliminare le tracce dell’azione. Solo una singola telecamera a infrarossi ha mantenuto la scena in memoria, salvatasi grazie al fatto che essa non faceva parte del network di allarme disabilitato dagli hacker. Nella registrazione si vedono le sagome di due persone con un laptop.

L’elevatissima pressione nei tubi ha quindi generato un’esplosione alle ore 23 del 5 agosto 2008, ma poiché i sistemi di allarme non erano funzionanti, la sala controllo dell’oleodotto non si è accorta di nulla. Solo 40 minuti dopo un dipendente della sicurezza, viste le fiamme che divampavano, ha dato l’allarme.

Ingenti i danni, sia finanziari sia ambientali: 30.000 barili di petrolio versati proprio sopra una falda acquifera, la Repubblica dell’Azerbaigian (da dove partiva il petrolio) ha perso 1 miliardo di dollari in mancate esportazioni, le aziende che gestiscono l’oleodotto (soprattutto BP) hanno perso 5 milioni di dollari al giorno per il blocco delle attività, che in tutto è durato quasi tre settimane.

Dopo l’attacco sono arrivate le prime rivendicazioni e le prime smentite. Il Partito dei Lavoratori del Kurdistan (PKK) è stato veloce ad auto-accusarsi dell’esplosione. L’azienda che in Turchia gestisce il tratto di competenza ha affermato che i loro computer e le loro linee di comunicazione non sono mai state compromesse, mentre BP ha indicato come causa di chiusura di quel tratto di oleodotto semplicemente “un incendio”, anche se qualche anno dopo all’interno di una causa legale per il mancato raggiungimento di determinate quote ha citato un “atto di terrorismo“.

Quello che molti pensano è che dietro il sabotaggio informatico ci fosse la Russia, contraria al progetto fin dall’inizio. Non dimentichiamoci inoltre che quelli erano i giorni della guerra fra Russia e Georgia (proprio in Georgia passa un tratto dell’oleodotto) e che qualche giorno dopo, durante le operazioni di guerra, jet russi avrebbero bombardato alcune parti della pipeline in territorio georgiano (mancandole di poco).

I servizi USA (che hanno condotto indagini autonome) puntano chiaramente il dito verso la Russia, per quella che probabilmente è stata una delle prime azioni di cyberguerra con danni ad asset fisici.

Fonti:
http://www.bloomberg.com/news/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.html
http://www.dailymail.co.uk/news/article-1043185/The-Pipeline-War-Russian-bear-goes-Wests-jugular.html
http://www.bloomberg.com/apps/news?pid=newsarchive&sid=amTrZ4bgfyFw

L’attacco a Sony e le accuse alla Corea del Nord

By
Luca Sambucci
-
Corea del Nord, statue del Grande Leader Kim Il-sung e del Caro Leader Kim Jong-il
Corea del Nord, statue del Grande Leader Kim Il-sung e del Caro Leader Kim Jong-il

Spesso qualche gruppo di hacker attacca la Sony. Perché la Sony è un colosso e fa gola. Ogni tanto gli attacchi vanno a buon fine, come quello del 2011 che costrinse l’azienda a chiudere il PlayStation Network per oltre tre settimane.

Recentemente un gruppo di hacker è riuscito a portare a segno un altro attacco contro Sony, rubando dati interni e film non ancora usciti, cancellando inoltre informazioni e causando un fermo macchine che ha costretto l’azienda a mandare a casa i suoi dipendenti per un’intera giornata. Gli hacker si sono firmati #GOP, Guardians of the Peace, hanno fatto riferimento alla mancata esecuzione di non meglio precisate richieste, hanno attaccato su Twitter il CEO dell’azienda Michael Lynton e hanno pubblicato sui PC della Sony l’immagine di un cattivissimo scheletro degno dell’underground più trash.

Fin qui la notiza non sarebbe stata degna di nota per chi segue i temi della difesa cibernetica applicata alle relazioni internazionali. Se non fosse stato per qualche genio alla Sony, che è riuscito nell’impresa di far ottenere all’azienda un minimo ritorno da questo colossale danno.

Qualcuno sul sito re/code (un blog del gruppo CNBC) ha scritto che, secondo fonti anonime raccolte dal blog, Sony stava esplorando la possibilità che l’hacking fosse opera della Corea del Nord, come rappresaglia per l’imminente uscita della commedia “The Interview“, dove due giornalisti vengono assoldati dalla CIA per uccidere il leader nordcoreano Kim Jong-Un.

Così, con un’ottima operazione di qualche bravissimo spin doctor, l’azienda è riuscita a trasformare una disfatta informatica in una parziale vittoria per uno dei suoi prodotti, visto che il film di cui praticamente nessuno aveva sentito parlare è finito sulle maggiori testate, con tanto di locandina e interviste agli attori. Nessuno si poteva immaginare un migliore lancio di questo.

A soffiare sul fuoco, poi, ci si è messa la stessa Corea del Nord, che oltremodo felice di trovarsi alla ribalta per qualcosa che probabilmente non ha organizzato, si è ben guardata dal negare il coinvolgimento, consigliando a tutti semplicemente di “aspettare e vedere” (“wait and see”). (Aggiornamento 5.12.2014, la Corea del Nord ha finalmente smentito, anche se lo ha fatto tramite un funzionario dietro anonimato: “Collegare [la Corea del Nord] all’hacking contro Sony è un’altra invenzione per attaccare il Paese“, ha detto il diplomatico alla radio Voice of America)

La realtà è che non ci sono prove del coinvolgimento di hacker nordcoreani, né di hacker cinesi al soldo di Pyongyang. Quando la Corea del Nord lancia attacchi informatici (e la Corea del Sud ne sa qualcosa) lo fa in maniera completamente diversa, più sotto traccia, senza troppi proclami.

Si è trattato probabilmente un “semplice” attacco hacker a un colosso dell’intrattenimento. Per ora, con gli elementi attuali, ogni riferimento a hacker di Stato rientra nell’ambito della fiction. Proprio quella fiction che, casualmente, è uno dei punti di forza di Sony Pictures Entertainment.

Fonti:
http://uk.playstation.com/psn/news/articles/detail/item369506/PSN-Qriocity-Service-Update/
http://fortune.com/2014/11/24/hackers-sony-pictures-computers/
http://recode.net/2014/11/28/sony-pictures-investigates-north-korea-link-in-hack-attack/
http://www.northkoreatech.org/2014/12/02/did-north-korea-hack-sony-probably-not/
http://www.theguardian.com/technology/2014/dec/02/north-korea-hack-sony-pictures-brad-pitt-fury
http://www.theguardian.com/world/2014/dec/02/north-korea-sony-cyber-attack
http://www.theguardian.com/technology/2014/dec/04/north-korea-denies-hacking-sony-pictures-cyber-attack-movies

 

Esercitazioni NATO: i soldati britannici lasciano smartphone e tablet a casa per evitare lo spionaggio nemico

By
Luca Sambucci
-

Nei giorni scorsi si sono tenute in territorio polacco le esercitazioni militari NATO denominate Exercise Black Eagle. A queste esercitazioni hanno preso parte anche 1.350 soldati britannici, i quali prima di partire hanno ricevuto l’ordine di lasciare a casa qualsiasi dispositivo tecnologico di natura personale, come smartphone, tablet, notebook e laptop.

I servizi di sicurezza di Sua Maestà, d’accordo con esperti di intelligence militare, hanno giudicato troppo alto il rischio di attacchi informatici provenienti da hacker russi. Gli oltre mille appartenenti alle forze armate britanniche dislocati in Polonia, ognuno di essi presumibilmente con un device di comunicazione più o meno protetto, avrebbero probabilmente fatto gola ai servizi segreti di Mosca o dei suoi alleati.

In una newsletter interna il Tenente Colonnello Justin Kingsford ha dichiarato che vi era un rischio di contro-spionaggio “molto chiaro ed evidente” e che, nonostante l’ordine di dover lasciare a casa smartphone e tablet abbia reso un po’ più difficile il contatto con le famiglie, qualche settimana senza Wi-Fi è stata salutare per tutti.

Fonte:
http://www.telegraph.co.uk/news/worldnews/europe/russia/11241115/Russian-spy-threat-to-troops-phones-and-computers.html

Corea del Sud: la cyber difesa al Capo di Stato Maggiore

By
Luca Sambucci
-

La Corea del Sud si prepara a portare le operazioni di cyber warfare sotto il diretto controllo del Capo di Stato Maggiore, togliendole quindi al Ministero della Difesa Nazionale, le cui attività sono viste come misure di carattere amministrativo che non come vere e proprie operazioni militari. La notizia è filtrata da ambienti militari sudcoreani ed è stata ripresa dal Korea Herald.

Il governo di Seoul è sotto costante attacco cibernetico da parte della Corea del Nord, e ha quindi necessità di assumere iniziative “proattive” nella guerra informatica. L’aggiunta del dominio cyber alle competenze dello Stato Maggiore dovrebbe consentire alla Corea del Sud di assumere strategie maggiormente offensive.

Fonte:
http://www.koreaherald.com/view.php?ud=20141124000602

Regin: un nuovo malware-spia

By
Luca Sambucci
-

Dopo anni di attività segreta è stato scoperto un nuovo malware realizzato probabilmente da uno Stato con scopi di cyber spionaggio.

Un white paper che Symantec ha pubblicato oggi descrive il trojan, chiamato Regin, come estremamente complesso e facente parte di un sistema di cyber sorveglianza a lungo termine. Il tutto richiama alla mente codici come il famoso Stuxnet, il Duqu, il Flame.

Fa anzitutto riflettere la presunta data di creazione del malware: 2008. Il fatto che il codice sia rimasto praticamente invisibile tutto questo tempo fa capire quanto siano sofisticate le sue caratteristiche stealth. Quelli erano gli anni in cui Israele e gli Stati Uniti condussero la famosa “Operation Olympic Games” (notare che i due Paesi non hanno mai ammesso l’esistenza di tale operazione) che portò all’infezione del laboratorio nucleare iraniano di Natanz con il malware Stuxnet, oltre che al rilascio del malware Flame con scopi simili.

Il Regin ha colpito computer soprattutto in Russia e in Arabia Saudita, che da soli hanno più della metà di tutte le infezioni riscontrate, oltre che in Messico, Irlanda, India, Afghanistan, Iran, Pakistan, Belgio e Austria.

Il grande elenco di Paesi dove è stata riscontrata l’infezione lascia capire che qualcosa sia sfuggito di mano. Difatti più è vasto il raggio di azione di un malware, più aumentano le possibilità che venga scoperto. Un malware che infetta solo i target che si intendono colpire può restare nascosto per anni, ma quando il codice inizia a “viaggiare” troppo è la volta che qualcuno se ne accorge. Come probabilmente è avvenuto in questo caso.

Un altro elemento di attenzione è rappresentato dal vettore di infezione, che non è ancora del tutto chiaro, ma che su almeno un computer ha coinvolto una vulnerabilità di Yahoo! Instant Messenger che non era ancora nota. Vulnerabilità del genere sono conosciute anche come “zero day“, poiché presentano exploit già noti agli hacker (o al grande pubblico) senza che il produttore abbia provveduto a fornire una patch. Quando la vulnerabilità è nota agli hacker ma non al produttore uno zero day può arrivare a valere anche diverse centinaia di migliaia di Euro. Esiste un mercato per questo genere di informazioni, ipotizziamo quindi che i creatori del malware avessero a disposizione i fondi necessari per acquistare questo e potenzialmente altri zero day. Fondi del genere sono disponibili solo a organizzazioni di alto livello o a Stati.

Poiché il trojan è composto da diversi moduli scaricabili all’occorrenza, e visto che non tutti i moduli sono stati scoperti, non è ancora chiara l’estensione di tutte le operazioni del codice. Quello che si sa finora è che il Regin può:

  • intercettare il traffico di rete
  • trasferire dati verso l’esterno
  • ottenere informazioni sul computer infetto
  • rubare password
  • recuperare sul computer file cancellati
  • catturare schermate
  • prendere il controllo del puntatore del mouse
  • trovare server IIS e rubare i log
  • intercettare il traffico di amministrazione dei base station controller GSM

Non è ancora chiaro quale Paese abbia creato il Regin. In alcune notizie si ipotizza che dietro vi sia uno Stato occidentale – visti i Paesi vittima – ma in assenza di elementi più chiari ogni speculazione sarebbe avventata.

Fonti:
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/regin-analysis.pdf
http://www.symantec.com/connect/blogs/regin-top-tier-espionage-tool-enables-stealthy-surveillance
http://www.bbc.com/news/technology-30171614
http://in.reuters.com/article/2014/11/23/symantec-malware-regin-idINKCN0J70S720141123
http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers-secret-software-exploits/
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?pagewanted=all&_r=1&
http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story.html

Rogers (NSA) prevede futuri attacchi alle infrastrutture USA

By
Luca Sambucci
-

Giovedì scorso il capo della National Security Agency, Ammiraglio Michael Rogers, è stato ascoltato da un comitato parlamentare statunitense su questioni inerenti le future minacce cibernetiche che attendono gli USA.

Rogers ha dichiarato che la Cina, oltre a probabilmente “uno o due altri Paesi” di cui non ha voluto fare i nomi (nostra ipotesi: Russia e Iran), ha le capacità per introdursi nelle infrastrutture critiche degli Stati Uniti e interromperne il funzionamento.

Ma non solo, Rogers è convinto che nei prossimi anni vi sarà almeno un serio attacco alle infrastrutture critiche statunitensi: “mi aspetto che durante il mio mandato come comandante verremo chiamati a contribuire alla difesa di infrastrutture critiche all’interno degli Stati Uniti perché sotto attacco da parte di una nazione straniera, o di qualche individuo o gruppo“.

Ecco il video completo dell’audizione.

Anzitutto secondo noi le dichiarazioni di Rogers sono meno funeste di quanto possano sembrare a prima vista. Dire che proverrà un attacco da “una nazione straniera” o da “qualche individuo o gruppo” vuol dire metter dentro tutto il mondo, anche gruppi di hacker slegati da qualsiasi Stato (basti pensare ad Anonymous).

C’è però chi ipotizza che le parole del capo dell’NSA siano state pronunciate “pro domo sua”: il prossimo luglio scadono infatti le proroghe al Patriot Act, una legge che conferisce all’NSA la possibilità di compiere operazioni di sorveglianza senza troppi impedimenti o preventive autorizzazioni. Agitare lo spauracchio di un devastante attacco alle infrastrutture critiche del Paese potrebbe essere un’azione propedeutica per chiedere la terza proroga della legge, dopo quelle già concesse nel 2005 e nel 2011.

Fonti:
http://www.govinfosecurity.com/nsa-chief-damaging-cyber-attack-coming-a-7589
http://www.hurriyetdailynews.com/nsa-chief-warns-chinese-cyber-attacks-could-shut-us-infrastructure.aspx?pageID=238&nid=74641&NewsCatID=358
https://vpncreative.net/2014/11/21/chief-nsa-michael-rogers-warns-incoming-infrastructure-attack/

India e Pakistan avversari anche nel cyberspazio

By
Luca Sambucci
-

Le tensioni fra India e Pakistan non risparmiano il cyberspazio. I defacement dei siti web rappresentano la maggior parte degli attacchi, che comunque non escludono intrusioni, furti di dati, DDoS e malware.

Alcuni numeri forniti questa estate dal Ministro delle Comunicazioni indiano, Ravishankar Prasad, mostrano un trend in crescita. Nel 2011 i siti indiani colpiti sono stati 21.699, nel 2012 sono saliti a 27.605, nel 2013 a 28.481 e nei primi cinque mesi del 2014 erano 9.174. Molti di questi attacchi fanno ovviamente parte del “rumore di fondo” del cybercrime, che vede script automatici alla ricerca di vulnerabilità su qualsiasi sito raggiungibile, con attacchi che partono da ogni angolo del mondo: Europa, Stati Uniti, Brasile, Turchia, Cina, Africa e, per l’appunto, il Pakistan.

Gli hacker di entrambi i Paesi prediligono ovviamente siti web istituzionali. Il 1 novembre hacker pakistani si sono introdotti in due siti web dello Stato indiano del Gujarat, operando altrettanti defacement. Qualche giorno dopo, il 6 novembre, altri hacker pakistani hanno eseguito defacement di 22 siti istituzionali indiani, inserendo il seguente messaggio:

India vs. Pakistan deface

Il Governo indiano ha deciso di collaborare con gli Stati Uniti per formare il Joint Working Group (JWG) sul cybercrime. Un’operazione con il fine ultimo di prevenire il terrorismo informatico, che per Nuova Delhi è orchestrato dai vicini del nord. Un memo segreto indiano del 2012, apparentemente scritto durante una riunione con il direttore generale della polizia, attribuisce infatti ai servizi segreti pakistani (l’ISI, Inter-Services Intelligence) la manipolazione o quantomeno l’indirizzo di gruppi di hacker autoctoni verso gli asset informatici indiani. La nota afferma infatti che “L’ISI sta ora lavorando a un piano più grande nell’addestrare terroristi all’uso di tecnologia informatica, poiché l’agenzia pakistana ritiene che l’India non sia completamente attrezzata per gestire attacchi o situazioni di cyber guerra“.

Fonti:
http://www.trickbug.com/2014/11/indian-government-websites-hacked-by-team-madleets.html
http://www.eurasiareview.com/17112014-india-pakistan-cyber-wars-analysis/
http://www.state.gov/r/pa/prs/ps/2014/07/230046.htm
http://www.satp.org/satporgtp/sair/Archives/sair11/11_16.htm

Anonymous contro il Ku Klux Klan

By
Luca Sambucci
-

Dopo aver dichiarato diverse volte la cyber guerra contro Israele (l’ultima appena qualche giorno fa), contro l’ISIS e contro il governo di Hong Kong, ora nel mirino di Anonymous è finito il Ku Klux Klan (KKK), colpevole di aver minacciato l’uso della “forza letale” contro le persone che protestavano a Ferguson (teatro dell’omicidio di Michael Brown nell’agosto di quest’anno, e tuttora sede di proteste e scontri).

Anonymous ha così lanciato l'”Operazione KKK” (#OpKKK), iniziando col sottrarre al Ku Klux Klan il principale account Twitter (@KuKluxKlanUSA), lanciando attacchi DDoS verso i provider che ospitano siti e contenuti del KKK, smascherandone i componenti e pubblicando i nomi, i profili Facebook e gli indirizzi di casa.

La sezione australiana di Anonymous ha messo in rete questo video:

[youtube id=”yYqYkdyW0t0″ width=”620″ height=”360″]

Nell’ambito della cyberwar quello di Anonymous è un gruppo interessante da studiare, poiché inizia a contraddistinguersi come uno dei più attivi “attori non statali” (quelle organizzazioni che, al pari degli Stati-nazione, mirano a influenzare e condizionare le politiche nazionali e internazionali).

Fonti:
http://www.inquisitr.com/1609144/ku-klux-klan-releases-letter-threatening-lethal-force-against-ferguson-protesters/
http://www.zdnet.com/anonymous-seizes-klu-klux-klan-twitter-account-over-ferguson-threats-7000035836/

APT28: cyberspie russe?

By
Luca Sambucci
-
Russia cybersecurity

L’azienda di sicurezza FireEye ha rilasciato uno “special report” su uno dei gruppi hacker russi più attivi in ambito geopolitico. Gli stessi che hanno attaccato istituzioni Georgiane durante la guerra del 2008, o che sviluppano malware ad hoc che viene poi trovato nei PC delle istituzioni di governi ostili a Mosca, come quelli dell’ex Patto di Varsavia e di diversi Paesi occidentali. Il gruppo per ora non ha un nome noto, l’azienda lo ha quindi chiamato APT28 (da advanced persistent threat, la definizione che oggi troviamo sempre più spesso per descrivere attacchi mirati e continuati nel tempo).

Scopo primario del gruppo è quello di rubare dati e intelligence. Per farlo sviluppano malware e tool specifici a seconda dell’obiettivo (generalmente istituzioni governative e militari straniere), che diffondono poi sfruttando attacchi di spear phishing (messaggi e-mail molto specifici che non sono riconosciuti come spam dai destinatari, ma che anzi raggiungono un buon rate di visualizzazioni e di clic).

Fra gli obiettivi del gruppo figurano (solo per citarne alcuni):

  • il Ministero degli Interni della Georgia
  • il Ministero della Difesa della Georgia
  • giornalisti che coprono notizie provenienti dal Caucaso
  • il Governo della Polonia
  • Baltic Host (esercitazioni militari che coinvolgono Estonia, Lituania, Lettonia oltre che gli Stati Uniti)
  • la NATO
  • l’OSCE
  • SMi Group (azienda che organizza eventi di difesa)
  • l’esercito della Norvegia
  • le forze armate del Cile
  • la marina del Pakistan

Tutti gli obiettivi si sovrappongono ad aree di interesse del Governo russo, anche se la collaborazione fra APT28 e il Cremlino non è stata provata.

Il documento è disponibile qui.

Il Qatar e il Regno Unito collaboreranno contro il cyber terrorismo

By
Luca Sambucci
-

Il Regno Unito e il Qatar hanno siglato un memorandum di sicurezza. L’accordo è il risultato di contatti avviati a marzo fra i due Paesi.

Il memorandum consentirà loro di collaborare e di condividere elementi riservati di intelligence, per contrastare le nuove minacce fra cui il “cyber terrorismo“.

Il Qatar in questi mesi è stato oggetto di critiche per la sospetta vicinanza a gruppi come i Fratelli musulmani e l’ISIS, accuse che Doha rispedisce al mittente.

Fonti:
http://www.ft.com/intl/cms/s/0/4d16d268-629b-11e4-9838-00144feabdc0.html
http://www.gulf-times.com/qatar/178/details/414184/qatar,-uk-sign-security-accord
http://www.qna.org.qa/en-us/News/14102806170065/Qatar-UK-Sign-Security-Cooperation-MoU

1...13141516Page 14 of 16
Facebook Linkedin Twitter
© 2014-2023 Luca Sambucci