Conoscere il passato, prepararsi al futuro: riepilogo delle campagne di attacco nell'ultimo quadrimestre in Italia (e non solo)

C'è aria di Capodanno e, nonostante tutte le difficoltà di questo 2020, la lista dei buoni propositi sarà già nel cassetto. La nostra grande speranza è che in questa lista la cybersecurity occupi un posto di rilievo, perché sarebbe probabilmente imperdonabile non cogliere i segnali che questo anno ci ha mandato e lasciare tutto così, come nulla fosse, affrontando un 2021 che si preannuncia un vero e proprio campo di (cyber) battaglia. Le notizie di hacking, data breach e data leak si susseguono a velocità impressionante e quindi, per chiudere l'anno, pensiamo sia utile una panoramica di quel che è recentemente successo nel mondo e, più in dettaglio, negli ultimi 4 mesi in Italia. 

Nessuna volontà allarmistica, nessuna intenzione di peggiorare la realtà per instillare ansia e paura: al contrario la consapevolezza della realtà, la conoscenza del recente passato sono quegli strumenti necessari ad organizzare il futuro e non fare come, purtroppo, succede spesso ovvero affrontare i disastri quando ormai è già tardi. Sapendo che quella contro il cybercrime è una lotta complessa, ma non una battaglia impossibile e non è più neppure rimandabile: la digitalizzazione è irrimandabile ed è compito di tutti (aziende e home user) creare un cyberspazio più sicuro possibile.

La panoramica si divide in due, una prima breve lista degli attacchi più recenti (e più importanti) avvenuti nelle ultime settimane e un breve riassunto del report che il nostro Cert-AgID ha pubblicato riepilogando le campagne che hanno interessato l'Italia nell'ultimo quadrimestre. 

La "Top hacking" di Dicembre
Evitando di ripercorrere la vicenda del gravissimo attacco di cyberspionaggio che ha riguardato Solarwind (che merita una narrazione a parte, ne abbiamo accennato qui e qui ), gli ultimi giorni sono stati un vero e proprio stillicidio. 

- Il ransomware Nefilim "buca" la Whirpool
Whirpoool, proprietaria anche di KitchenAid, Maytag, Brastemp, Consul, Hotpoint, Indesit ha subito un attacco ransomware da parte del gruppo di cybercriminali dietro a Nefilim. La riuscita dell'attacco è già stata confermata dalla pubblicazione, nel relativo sito di leak, di una parte dei dati rubati tra i quali documenti relativi ai benefit degli impiegati, informazioni mediche, protocolli interni ecc...

Emotet is back: massiccia campagna mondiale di malspam ruba contatti email, credenziali e diffonde il trojan Trickbot

La quantità di truffe, cyber attacchi (di phsihing, ransomware, DDoS ecc..)  e data breach registrati durante questo periodo natalizio è stata altissima: è praticamente impossibile elencarli tutti, ma tra questi una specifica campagna di malspam merita attenzione sia per l'estesione (a livello globale) della sua diffusione sia per i suoi "protagonisti" ovvero la botnet Emotet e il trojan Trickbot. 

Dopo due mesi di silenzio completo infatti, durante i quali i ricercatori non hanno individuato alcuna attività proveniente dalla botnet, Emotet è tornata a farsi vivo proprio la sera della Vigilia di Natale con un payload aggiornato. Alla prima analisi è risultato che 

"le modifiche apportate al payload dannoso distribuito via email sono finalizzate ad aiutare Emotet ad evadere l'individuazione non solo da parte delle vittime, ma anche delle difese di rete. A parte questi aggiornamenti, il targeting, le tattiche e i payload secondari sono rimasti invariati rispetto ai precedenti periodi di attività (di Emotet)". Questo è quanto si legge nel report dei ricercatori di Cofense, che hanno pubblicato una dettagliata analisi di questa campagna, disponibile qui.

Questo improvviso ritorno in attività della botnet non ha, in realtà, sorpreso i ricercatori poiché la botnet Emotet è si la più prolifica infrastruttura nell'invio di email dannose quando è attiva, ma ha anche sempre mostrato lunghi e regolari periodi durante i quali rimane completamente dormiente. In questo 2020, ad esempio, uno dei periodi di inattività è durato da Febbraio a metà Luglio: una delle pause più lunghe mai osservate riguardo alla botnet Emotet. Da Luglio ad Ottobre 2020 la botnet è tornata in attività, poi di nuovo in dormienza fino, appunto alla Vigilia di Natale. 

Nell'immagine sotto è visibile una delle (tante) email di spam collegate alle campagne di questi giorni:

Cyber Warefare: attacco a SolarWinds, spunta una seconda backdoor (Supernova) appartenente ad attori diversi dalla prima

Nel corso delle indagini sull'attacco alla supply-chain di SolarWinds Orion , i ricercatori di sicurezza hanno scoperto, incredibilmente, una seconda backdoor che, quasi sicuramente, appartiene ad un secondo attore, diverso dal primo gruppo di attaccanti. 

Per approfondire >> Cyber Warefare: governo USA e aziende sotto attacco dopo il breach di SolarWinds. Ed è di nuovo allarme sulle supply chain.

Ribattezzato Supernova, il malware altro non è che una webshell inserita nel codice della piattaforma di monitoraggio delle reti e delle applicazioni Orion e consente ad una terza parte non autorizzata la possibilità di eseguire code arbitrario sulle macchine, avviando la versione trojanizzata del software. 

La webshell è una variante trojanizzata della libreria legittima .NET (app_web_logoimagehandler.ashx.b6031896.dll) presente nel software Orion, che è stata modificata in maniera tale da riuscire ad evadere i meccanismi automatici di difesa delle reti attaccate. Non solo, stando al report tecnico pubblicato da Palo Alto Network la scorsa settimana, il malware potrebbe sfuggire anche a tentativi di analisi manuale, poiché il codice implementato nella DLL legittimo è innocuo e "relativamente di alta qualità". 

"La peculiarità di Supernova è, drammaticamente, quella di prendere un valido programma .NET come parametro. Classe, metodo, argomenti e dati nel .NET sono compilati ed eseguiti in memoria. Non vengono scritti sul disco ulteriori artefatti forensi, a parte stage webshell low-level e non c'è neppure bisogno di ilteriori richieste alla rete a parte la richiesta C2 iniziale. In parole semplici, gli attaccanti hanno costruito una API .NET praticamente invisibile, integrata direttamente in un binario Orion il cui utente è, in genere, altamente privilegiato e posizionato con un altro grado di visibilità entro la rete aziendale" si legge nel report di Palo Alto Network. In questa maniera gli attaccanti possono inviare codice arbitrario ai dispositivi infatti ed eseguirli nel contesto dell'utente. 

Google: ecco le spiegazioni ufficiali del down mondiale di Youtube, Gmail e tutti gli alti servizi

Google ha finalmente dichiarato, in maniera ufficiale, le motivazioni dietro al down mondiale subito dal loro sistema di autenticazione: down che ha riguardato praticamente tutti gli utenti di questi servizi lo scorso Lunedì. La causa è da  rintracciarsi in un problema interno con la quota storage che ha determinato un interruzione di 45 minuti al sistema di autenticazione. In parole semplici, il fallimento del sistema di autenticazione ha impedito agli utenti di poter fare login nei propri account e accedere ai servizi in Cloud. 

Il risultato, come sappiamo, è stato l'impossibilità di accedere per qualche ora a Gmail, Youtube, Google Drive, Google Maps, Google Calendar e moltissimi altri servizi Google. In dettaglio, gli utenti non potevano inviare email tramite l'app mobile di Gmail o ricevere email via POP3 per il client desktop, mentre gli utenti di Youtube hanno visualizzato un errore "There was a problem with the server (503) - Tap to retry."

L'impatto del down e le cause

Cyber Warefare: governo USA e aziende sotto attacco dopo il breach di SolarWinds. Ed è di nuovo allarme sulle supply chain.

E' di qualche giorno fa la notizia dell'individuazione di una massiccia campagna di cyberspionaggio contro numerose agenzie governative e organizzazioni pubbliche e private statunitensi in tutto il mondo. L'attacco è condotto distribuendo un malware tramite la supply chain degli aggiornamenti della suite Orion di SolarWinds. L'attacco ha permesso la sottrazione di molteplici informazioni riservate, sia tra agenzie federali che comunicazioni interne ai dipendenti. 

Il problema è così grave da aver portato il Department of Homeland Security’s – Cybersecurity & Infrastructure Security Agency (DHS-CISA) a emettere una direttiva di emergenza, che ordina a tutte le agenzie di “scollegare o spegnere immediatamente i prodotti SolarWinds Orion (versioni dalla 2019.4 alla 2020.2.1 HF1),  dalla loro rete". Ma non tutti stanno seguendo il consiglio: è di ieri la notizia che, tra le vittime di questa campagna, risultano le reti della National Nuclear Security Administration (NNSA) e dell'US Department of Energy (DOE).  Anche organizzazioni di peso come l'FBI, la CISA, l'US Department of Homeland Security hanno confermato ufficialmente il breach. 

“L’incidente potrebbe avere conseguenze devastanti” ha dichiarato Pierluigi Paganini senior researcher presso il Cyber Security and International Relations Studies (CCSIRS) – Università degli Studi di Firenze. "Si tratta di un attacco estremamente complesso alla supply chain dell’azienda SolarWinds, che fornisce le sue soluzioni a centinaia di migliaia di clienti, tra cui le agenzie di intelligence ed aziende di medie e grandi dimensioni. Il patrimonio informativo esfiltrato attraverso questa metodica di attacco è potenzialmente illimitato ed impatta ogni settore”. 

“Gli attacchi alle supply chain sono complessi da realizzare, ma ancora di più da individuare, in quanto il fornitore legittimo dei software è compromesso. L’unico modo di individuare attacchi alla supply chain dei fornitori di software consiste nel verificare puntualmente ogni componente del codice fornito, ivi compresi i continui aggiornamenti rilasciati." ha proseguito.

Cosa è successo: il breach SolarWinds