Home Blog Page 15

La Corea del Nord infetta 20.000 smartphone sudcoreani

I servizi di intelligence sudcoreani hanno segnalato che fra il 19 maggio e il 16 settembre di quest’anno oltre 20.000 smartphone sono stati infettati da malware ideato probabilmente in Corea del Nord. Il malware sarebbe stato inserito all’interno di siti web ubicati in Corea del Sud e frequentati da numerosi utenti smartphone, che credevano di stare scaricando giochi.

Non è la prima volta che la Corea del Nord prova a inserire malware in applicazioni ludiche indirizzate agli utenti della Corea del Sud, due anni fa aveva provato a fare lo stesso infettando giochi per PC con l’obiettivo di creare una botnet e lanciare attacchi DDoS contro l’Incheon Airport di Seoul.

Fonti:
http://www.worldbulletin.net/news/147275/north-korea-behind-smartphone-attack-says-spy-agency
http://www.bangkokpost.com/tech/world-updates/440234/south-korea-spy-agency-says-north-hacking-smartphones
http://www.zdnet.com/blog/security/north-korea-ships-malware-infected-games-to-south-korean-users-uses-them-to-launch-ddos-attacks/12383

Hacker russi violano i sistemi della Casa Bianca

Tutto quello che si sa è che ignoti hacker si sono introdotti in una rete “non segreta” della Casa Bianca, usata da alti funzionari del Governo americano. Non sono stati riscontrati danni, ma nel corso dell’indagine la VPN e la intranet sono state disattivate per un certo periodo di tempo. Il sospetto degli investigatori è che gli hacker siano stati reclutati dal governo russo.

Il fatto che l’obiettivo dell’intrusione non fosse distruggere software o hardware fa pensare che l’intenzione degli hacker fosse quella di rubare dati o testare le difese del sistema.

Alla Casa Bianca vi è il massimo riserbo su questa vicenda, nota solo perché riportata al Washington Post da fonti che preferiscono restare anonime. Del caso se ne stanno occupando l’FBI, il servizio segreto e l’NSA.

Fonti:
http://www.washingtonpost.com/world/national-security/hackers-breach-some-white-house-computers/2014/10/28/2ddf2fa0-5ef7-11e4-91f7-5d89b5e8c251_story.html
http://www.nytimes.com/2014/10/29/us/white-house-cites-a-breach-by-hackers-.html
http://time.com/3545542/white-house-hackers-breached/
http://money.cnn.com/2014/10/29/technology/security/white-house-hack/

Cyber Europe 2014, seconda fase

Oggi 29 Paesi dell’Unione Europea e dell’EFTA hanno lanciato la seconda fase di Cyber Europe 2014, le più grandi esercitazioni militari cibernetiche della storia.

A questa fase hanno partecipato 200 organizzazioni fra CERT, istituzioni pubbliche nazionali ed europee, operatori di telefonia e infrastrutture critiche. La prima fase si è tenuta ad aprile, mentre la terza e ultima fase si terrà a inizio 2015.

Le organizzazioni partecipanti hanno testato l’efficacia e la resilienza delle loro difese informatiche e la capacità di risposta ad attacchi cibernetici simulati. Fra i fattori presi in esami anche la capacità di cooperazione e coordinamento fra le diverse istituzioni, i processi di escalation e le dinamiche di contagio e di influenza transnazionali.

I risultati delle esercitazioni saranno resi noti a fine anno.

Fonti:

http://www.enisa.europa.eu/media/press-releases/biggest-ever-cyber-security-exercise-in-europe-today

Rhode Island ha il suo team di cyber guastatori

Il Rhode Island è il più piccolo Stato degli Usa, è stata la prima colonia a dichiararsi indipendente dal Regno Unito, e oggi ha pure la sua squadra di cyber guerrieri.

Si chiama “Rhode Island Cyber Disruption Team“, fa parte dell’unità anticrimine informatico del Dipartimento di pubblica sicurezza ed è composto da poliziotti, esperti informatici e dalla Guardia nazionale. La sua missione è quella di “rispondere a interruzioni informatiche causate da eventi naturali, virus o attacchi cibernetici contro infrastrutture critiche, sia pubbliche sia private, per assicurare la continuità del servizio e la sicurezza dei cittadini di Rhode Island”.

Si distingue dalle normali unità anticrimine informatico perché non si occupa di piccole truffe o reati comuni, bensì di attacchi allo Stato e alle sue infrastrutture. “La nuova guerra, il campo di battaglia, sono i firewall e le reti. Sembra assurdo ma questa è la guerra che oggi combattiamo” ha affermato il detective Eric Yelle, della polizia statale.

Autonoma sì, ma non in isolamento: il team collabora con la Homeland Security e partecipa alla campagna Stop. Think. Connect.

Fonti:

http://www.ccu.ri.gov/cyberdisruptionteam/aboutus.php
http://www.turnto10.com/story/26871550/cyber-disruption-team-practices-online-warfare

Israele e India insieme contro il cyber terrorismo

Domenica scorsa il primo ministro israeliano, Benjamin Netanyahu, ha chiesto al suo omolgo indiano Narendra Modi di unire le forze contro il cyber terrorismo, come riportato dall’Hindustan Times.

Netanyahu vorrebbe che l’India prendesse parte ai lavori dell’Autorità per la cyber difesa nazionale, un gruppo di coordinamento fra gli apparati militari e civili di Israele, tenendo in considerazione il fatto che entrambi i Paesi hanno in comune il rischio di cyber attacchi di matrice islamica.

“Cyber security is an area, where Israel is focusing a great deal about. They are futuristic in their approach”, said an Indian official.

This authority will work along side the Israel National Cyber Bureau, in Israeli PMO that would cover all aspects of cyber threats both in terms of national security, economic activities and data of individuals.

Fonte:

http://www.hindustantimes.com/india-news/israel-offers-india-to-join-new-cyber-security-body/article1-1269860.aspx

Anonymous contro Hong Kong

Dopo aver dichiarato guerra a Israele e all’ISIS, ora Anonymous ha minacciato di attaccare il governo e la polizia di Hong Kong se questi non smetteranno di “abusare, molestare, ferire chi protesta”.

Gli attacchi prenderanno probabilmente la forma di defacing, DDoS, hacking e furto di dati.

It has come to our attention that recent tactics used against peaceful protesters here in the United States have found their way to Hong Kong. To the protesters in Hong Kong, we have heard your plea for help. Take heart and take to your streets. You are not alone in this fight. Anonymous members all over the world stand with you, and will help in your fight for democracy.

To the Hong Kong police and any others that are called to the protests, we are watching you very closely and have already begun to wage war on you for your inhumane actions against your own citizens. If you continue to abuse, harass or harm protesters, we will continue to deface and take every web-based asset of your government off line. That Is not a threat. It is a promise.

Attacking protesters will result in releasing personal information of all of your government officials. We will seize all your databases and e-mail pools and dump them on the Internet. This is your first and only warning.

Alcuni siti hanno già sofferto i primi defacing a opera degli “hacktivisti” di Anonymous, come alcune aziende commerciali (gigaflash.com.hk, mmcl.com.hk, wpll.com.hk) e, stranamente, un sito di supporto ai bambini autistici (autismpartnership.com.hk).

Fonti:

http://news2share.com/start/2014/10/01/anonymous-declares-war-against-hong-kong/
http://en.ria.ru/world/20141002/193556955/Anonymous-Hacktivist-Group-Declares-War-Against-Hong-Kong.html

Occupy Hong Kong: spyware contro i manifestanti

Le cyber armi non sempre sono rivolte verso l’esterno. Spesso i governi non si fanno problemi a usarle per spiare i propri cittadini più “problematici”.

L’azienda di sicurezza Lacoon ha recentemente scoperto un malware, denominato Xsser mRAT, progettato per spiare i partecipanti alle proteste di Hong Kong (note anche come “Occupy Central”, “Occupy Hong Kong” o “Umbrella revolution”). Il malware colpisce i telefoni iPhone (solo quelli jailbroken, o modificati per far girare anche applicazioni esterne all’app store) e ruba tutta una serie di informazioni quali messaggi SMS, e-mail e messaggi istantanei, rivelando inoltre la posizione GPS, i log delle chiamate, username e password degli smartphone colpiti.

Una simile applicazione è stata scoperta anche per i sistemi Android, e come Xsser mRAT anche questa si diffonde mascherandosi come app per coordinare le proteste. Moltissimi utenti hanno ricevuto un messaggio tramite WhatsApp che recitava “Check out this Android app designed by Code4HK, group of activist coders, for the coordination of Occupy Central!” con un link per scaricare lo spyware. Una volta rubati i dati, l’app apre una connessione con l’IP 61.36.11.75 (porta 1430), verso un server che pare trovarsi nella Corea del Sud, cosa che fa pensare a un possibile caso di triangolazione.

Al seguente link è possibile esaminare l’app decompilata: https://github.com/matthewrudy/fake-code4hk-app/

Fonti:

https://www.lacoon.com/lacoon-discovers-xsser-mrat-first-advanced-ios-trojan/
https://www.lacoon.com/chinese-government-targets-hong-kong-protesters-android-mrat-spyware/
https://code4hk.hackpad.com/Fake-Code4HK-Mobile-App-HQXXrylI6Wi
http://www.infosniper.net/index.php?ip_address=61.36.11.75&map_source=1&overview_map=1&lang=1&map_type=1&zoom_level=7
http://www.scmp.com/news/hong-kong/article/1594667/fake-occupy-central-app-targets-activists-smartphones
http://thediplomat.com/2014/10/chinas-cyber-war-against-hong-kong-protestors/

Istituzioni ucraine colpite da criminali russi con BlackEnergy

Diversi attacchi recentemente perpetrati ai danni di alcune istituzioni ucraine fanno pensare ad azioni mirate provenienti dalla Russia.

I ricercatori della finlandese F-Secure hanno recentemente pubblicato un rapporto che analizza le attività del malware noto come “BlackEnergy” all’interno delle reti informatiche di alcune organizzazioni ucraine, fra cui le Ferrovie nazionali e la città di Dnipropetrovsk. Lo stesso malware, a detta dei ricercatori di un’altra azienda di sicurezza, la slovacca ESET, avrebbe colpito indistintamente sia aziende e organizzazioni ucraine sia polacche.

Il malware arriva all’interno di documenti infetti inviati con messaggi di phishing, per la maggior parte inerenti tematiche di politica e di economia. Il dettaglio è rilevante, perché fa capire quale sia il tipo di target ricercato dal gruppo di criminali. Il malware sfrutta quindi dei proxy all’interno delle reti colpite, segno che gli hacker avevano già effettuato azioni di ricognizione per capire che alcune reti hanno bisogno di proxy per far uscire i propri utenti su Internet.

Le informazioni rubate dal malware sono rilevanti:

  • configurazione del sistema infetto
  • privilegi
  • applicazioni installate
  • tavole di routing
  • password di numerosi programmi di posta
  • password dei siti web salvate nei browser

Alcune fonti hanno ipotizzato che il gruppo criminale abbia prestato i propri servizi al Governo russo sia per la specificità dei target, sia perché attacchi simili – perpetrati con una versione precedente dello stesso malware – erano stati già lanciati contro organizzazioni georgiane durante la crisi del 2008 fra Russia e Georgia.

La commistione fra governi e gruppi criminali è molto frequente quando si parla di cyberwarfare, poiché negabilità e irrintracciabilità sono elementi essenziali delle black ops informatiche.

Fonti:
https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf
http://www.welivesecurity.com/2014/09/22/back-in-blackenergy-2014/
http://www.theguardian.com/technology/2014/sep/25/russian-malware-privateer-hackers-ukraine

Senato USA: la Cina ha attaccato i nostri fornitori militari

Proseguono le cyber schermaglie fra Cina e Stati Uniti. Da un lato il Presidente cinese Xi Jinping ha esortato i Paesi della Shanghai Cooperation Organisation (un’organizzazione promossa dalla Cina e generalmente vista in chiave anti-NATO) a collaborare per fermare il cyber terrorismo, un invito ribadito recentemente da Lu Wei, il direttore dell’Ufficio di Stato per Internet, al China-ASEAN Cyberspace Forum.

Il fatto che questi messaggi siano stati lanciati dalla Cina durante consessi sostanzialmente estranei al mondo occidentale, se non proprio apertamente ostili (gli Stati Uniti anni fa avevano fatto richiesta di ammissione come osservatori della Shanghai Cooperation Organisation, richiesta che venne rifiutata), conferisce a essi una connotazione spiccatamente anti-occidentale.

Dall’altro lato il Senato americano ha appena pubblicato un rapporto dove si legge che per 50 volte in un anno hacker militari cinesi avrebbero attaccato fornitori del Pentagono, in settori come aviazione, trasporti e spedizioni (tutti gestiti dal U.S. Transportation Command, o TRANSCOM).

China’s military hacked into computer networks of civilian transportation companies hired by the Pentagon at least nine times, breaking into computers aboard a commercial ship, targeting logistics companies and uploading malicious software onto an airline’s computers […].

Almeno venti di questi attacchi sarebbero andati a segno.

The committee found that in a 12-month period beginning June 1, 2012, there were about 50 intrusions or other cyber events into the computer networks of TRANSCOM contractors. At least 20 of those were successful intrusions attributed to an “advanced persistent threat,” a term used to designate sophisticated threats commonly associated with governments. All of those intrusions were attributed to China.

I cinesi, secondo il rapporto, avrebbero rubato e-mail, documenti e account. Ma non basta, a quanto pare alcune aziende colpite non avrebbero segnalato diversi attacchi, contravvenendo alle norme che legano le loro forniture al Dipartimento della Difesa (DoD):

The committee also found that cyber intrusion reporting requirements are focused on intrusions that affect DoD data. Some TRANSCOM contractors, such as several CRAF airlines, however, may do little or no business with the military until called upon in a crisis. Peacetime intrusions at those companies may not involve immediate loss of military information, but could leave those companies vulnerable to loss of information or disruption of operations when they are activated to support military operations.

L’indagine, infine, ha riscontrato gravi lacune anche nel livello di cooperazione fra le varie agenzie governative statunitensi, che hanno ancora problemi nel segnalarsi a vicenda informazioni sugli attacchi informatici.

The investigation also found that the FBI or DoD were aware of at least nine other successful intrusions by China into TRANSCOM contractors. Of those 20 intrusions, TRANSCOM was only made aware of two.

That gap was in part a result of contractors and TRANSCOM lacking a common understanding of what intrusions ought to be reported to TRANSCOM. Also, DoD agencies lack a clear understanding as to what information about cyber intrusions can and should be shared with TRANSCOM and other agencies within the Department.

Dopo l’Iron Dome, Israele vuole sviluppare un Cyber Dome

Quando un razzo o un proiettile di artiglieria viene lanciato contro zone densamente popolate di Israele, il sistema noto come Iron Dome anticipa la traiettoria e spara i suoi missili, che intercettano e colpiscono il razzo quando è ancora in aria. Iron Dome è attivo dal 2011 e si è rivelato efficace nel 90% delle operazioni.

Ora quello che molti considerano l’ideatore dell’Iron Dome, Danny Gold, ha intenzione di creare un sistema simile per proteggere Israele dagli attacchi cibernetici: il Cyber Dome.

Gold oggi dirige il National Cyber Committee presso il Consiglio Nazionale per la Ricerca e Sviluppo di Israele. La sua idea è quella di sviluppare un sistema, sotto il controllo delle forze armate, che sia in grado di intercettare attacchi cibernetici indirizzati verso istituzioni governative, militari, industriali e commerciali, anche prima che questi avvengano. Il sistema, inoltre, dovrà essere in grado di individuare con certezza l’origine degli attacchi (o dei tentativi di attacco) effettuando azioni di rappresaglia informatica.

The system would operate in four main layers: identify threats, protect systems from the threats, mitigate threats that exists within the network and launch retaliatory attacks against cyber-assailants. Any counter-offensive attack under the system would be launched by the Israel Defense Forces cyber command.

Il sistema, che dovrebbe costare “diverse centinaia di milioni di shekel” (cento milioni di shekel sono circa 21 milioni di Euro), richiederà tre anni di sviluppo.

Da tenere sotto osservazione in particolare la capacità di cyber-rappresaglia: organizzazioni in grado di mascherare efficacemente l’origine di un attacco potrebbero ingannare il sistema e far partire il contrattacco israeliano verso obiettivi completamente innocenti.

Hacker cinesi all’attacco dei Paesi nel Mar della Cina

L’azienda di sicurezza FireEye ha notato due diversi gruppi di hacker in Cina che – operando apparentemente in tandem – attaccano organizzazioni private, governative e militari negli Stati che si affacciano sul Mare Cinese: Corea del Sud, Giappone, Taiwan, inclusi alcuni asset militari statunitensi.

Il primo gruppo, chiamato Moafee, opera dalla provincia di Guandong e attacca prevalentemente asset governativi e militari. Il secondo gruppo, chiamato DragonOK, opera dalla provincia di Jiangsu e attacca organizzazioni industriali e tecnologiche a Taiwan e in Giappone. Entrambi i gruppi hanno modi di operare molto simili e usano gli stessi tool (HUC Packet Transmit Tool, file protetti con password, tecniche di spear phishing), cosa che fa pensare a una collaborazione oppure a un identico training iniziale.

The groups both use common, and multiple, methods to hide their activities. Employing sandbox environments, antivirus software and gateway firewalls, they do their best to remain unobtrusive. Methods include:

  • checking for the number of core processors (and quitting if only one is detected);
  • attaching password-protected documents and providing a password in the email contents; and
  • sending large files padded with unnecessary null bites to slide past network- and host-based AV engines that can’t scan larger files.

Un terzo gruppo impegnato nello stesso tipo di attacchi usa tecniche simili, ma al momento non ci sono abbastanza indizi che possano legarlo ai primi due.

Nei prossimi giorni FireEye pubblicherà un report più dettagliato sugli attacchi e sui metodi utilizzati.

L’esercito degli Stati Uniti ha la sua prima cyber brigata

L’esercito degli Stati Uniti si è appena dotato di una cyber brigata, come annunciato da Rodney D. Harris, Sergente Maggiore Comandante del “Cyber Command“.

La brigata è stata istituita presso la base di Fort Gordon, in Georgia, ed è la prima brigata di questo tipo nell’esercito statunitense. Composta da 20 squadre da 39 membri ciascuna (sia militari sia civili), la brigata darà supporto alle operazioni cibernetiche dell’esercito, sia in attacco sia in difesa.

Ma non basta, secondo Harris l’esercito dovrebbe raddoppiare il numero di soldati impiegati nel cyberwarfare, mentre sono in corso le procedure per creare una branca separata per i cyber combattenti: il “Cyber Branch“.