Caso Twitter, ancora zero-day per smartphone e i cinesi di RedAlpha contro gli attivisti
Buon sabato e ben ritrovato caro cyber User.
In breve oggi ti parlo di:
Cosa succede all'interno di Twitter?
Lo spyware commerciale non molla gli zero-day di Apple e Android
RedAlpha prende di mira gli attivisti per i diritti umani
Cosa succede all'interno di Twitter?
L'ex capo della sicurezza di Twitter ha pubblicato una critica al funzionamento interno del gigante social media. Una lettura estremamente divertente ma allo stesso tempo preoccupante.
Secondo lui, in metà dei sistemi della piattaforma (250.000 server) non c'è crittografia a causa di software obsoleti e senza patch. L'azienda avrebbe dunque dichiarato il falso durante gli audit di verifica, ignorato le richieste degli utenti riguardanti l'eliminazione dei propri dati a causa di restrizioni tecniche e non sarebbe in grado di contare (e controllare) account falsi e bot per lo stesso motivo.
Non c'è pentest in quanto tale, e tra i dipendenti ci sono agenti di paesi esteri. L'autore afferma inoltre che i top manager hanno nascosto i suoi rapporti al consiglio di amministrazione.
Sembra abbastanza plausibile. La società tuttavia ha ripudiato l'informatore e lo ha definito un dipendente scontento. E stiamo parlando di un compagno semi leggendario noto come Mudge (hacker statunitense, ora ex capo della sicurezza di Twitter, inizia a diventare noto nel 1995 con lavori dedicati alla vulnerabilità Buffer Overflow da lui sperimentata e scoperta).
Chi vincerà? Difficile dirlo ora, ma chi sta dicendo la verità su questa vicenda, l'azienda americana o l'hacker anni '90?
La denuncia ha potenziali implicazioni per la battaglia legale di Twitter con Musk, che sta cercando di uscire da un accordo da 44 miliardi di dollari per acquistare la piattaforma di social media. L'accordo include l'impegno di Twitter secondo il quale, le sue dichiarazioni agli azionisti debbano essere accurate.
Lo spyware commerciale non molla gli zero-day di Apple e Android
Il 14 luglio, la documentazione di Intellexa sullo spyware è trapelata tramite forum underground XSS, e si è scoperto che le sue funzionalità consentono di attaccare le ultime versioni di Android e iOS.
Si tratta di un'altra società di intelligence privata specializzata nella vendita di pirateria informatica a distanza di 0 giorni con un clic. Secondo i documenti trapelati, il prezzo è solido, ad esempio iOS Remote Code Execution 0day è stimato in 8.000.000 di euro.
Fonti dell'industria delle armi informatiche affermano che Intellexa opera senza controlli sulle esportazioni, gestita da cittadini israeliani e greci, alcuni dei quali hanno legami con funzionari di alto rango.
A proposito, tutti i collegamenti dell'indagine sullo scandalo delle spie che ha scosso la Grecia utilizzando lo spyware Predator, e ora la sua controparte greca Nova/Helios di Intellexa, portano ad essa.
La guerra del "fratello maggiore" contro le società private di cyber intelligence sta gradualmente conquistando nuovi attori.
E in mezzo a un altro, questa volta - il Watergate greco: e arrivarono anche documenti segreti. I documenti trapelati a luglio hanno indicato la 15.4.1 come l'ultima versione vulnerabile di iOS, che è stata corretta dalla versione 15.5 a metà maggio 2022.
Tuttavia, vx-underground, attraverso collegamenti lato criminal con venditore di exploit oDmC3oJrrSuZLhp, può affermare che le vulnerabilità sfruttate da Intellexa sono ancora 0-day.
Pertanto, per il momento, è meglio non seguire collegamenti sconosciuti.
RedAlpha prende di mira gli attivisti per i diritti umani
Un gruppo APT legato alla Cina chiamato RedAlpha ha condotto negli ultimi tre anni una campagna di phishing di furto di credenziali di massa contro organizzazioni di tutto il mondo.
Secondo i ricercatori, i criminali prendono di mira le agenzie umanitarie globali, i gruppi partner e le organizzazioni governative.
Dal 2015, RedAlpha ha costantemente registrato e armato centinaia di domini per portare avanti spoofing contro organizzazioni internazionali.
Nel 2021 ha registrato 350 domini che rappresentano uno dei grandi picchi nella sua attività.
Gli attaccanti in questa campagna hanno preso di mira, tra gli altri, la Federazione internazionale per i diritti umani (FIDH), Amnesty International, il Mercator Institute for China Studies (MERICS), Radio Free Asia (RFA) e l'American Institute in Taiwan (AIT).
Hanno falsificato i domini di noti fornitori di servizi di posta elettronica @Yahoo (135 domini registrati con nomi simili, per ingannare: typosquat), @Google (91 domini typosquat) e @Microsoft (70 domini typosquat).
Bersaglio delle vittime
Le potenziali vittime sono state indirizzate a portali di accesso e-mail fittizi di organizzazioni specifiche per rubare credenziali, nomi utente e password.
Sembra che gli aggressori abbiano preso di mira individui direttamente affiliati a gruppi per i diritti umani, anziché terze parti, utilizzando portali di accesso e-mail legittimi per organizzazioni specifiche.
Per obiettivi diversi dalle organizzazioni umanitarie e governative, le pagine di phishing utilizzavano pagine di accesso generiche per i provider di posta più diffusi.
I ricercatori hanno osservato che RedAlpha ha ripetutamente registrato domini che falsificano i portali di accesso alla webmail per il governo taiwanese e i ministeri degli affari esteri brasiliano e vietnamita.
Altri rapporti indicano che gli obiettivi del gruppo si sono ampliati negli ultimi anni per falsificare le credenziali del ministero degli Esteri.
Il gruppo RedAlpha ha creato dozzine di domini dannosi e phishing travestiti da domini di destinazione per rubare nomi utente e password. Il gruppo APT continua a seguire lo stesso schema e, di conseguenza, gli ultimi rapporti di spionaggio informatico sono stati collegati ad attacchi precedenti. Gli ultimi attacchi hanno riutilizzato molti degli stessi domini, indirizzi IP, tattiche, malware e persino informazioni sulla registrazione dei domini delle campagne precedenti.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.