Defacing domini .it; la sorveglianza segreta del Canada; il nucleare e altri scenari sepolti; tools suggeriti
Si apre qui, in questo sabato mattina, la prima puntata del progetto NINAsec. Newsletter settimanale che, come accennavo nei pochi tweets che ho diffuso per farla conoscere al mondo esterno, NON sarà il digest del mio blog di cybersecurity inSicurezzaDigitale.com, per cui mettiamoci comodi e partiamo subito con i contenuti di questa puntata.
In breve oggi vi parlo di:
Sbirciando il defacement in Italia.
Rapporti da segnalare.
C'è un'NSA in Canada che lavora in silenzio.
La settimana di SOGIN & C.
Qualche strumento utile.
Sbirciando il defacement in Italia.
Nell'ambito dei numerosi attacchi che l'Italia ha subito e sta subendo negli ultimi mesi (da me sotto monitoraggio con priorità elevata dal post-attacco a LazioCrea - Regione Lazio), ho intrapreso una piccola indagine sullo stato dell'arte dei domini .it attivi che però presentano anomalie. Che tipo di anomalie? Sono siti attualmente sottoposti a defacement operato da gruppi e piccole gang criminali note per questa tipologia di attacco. Nello specifico il risultato che espongo in questa parte di indagine riguarda gli ultimi 40 giorni fino a ieri.
Con defacing intendiamo la tecnica di deturpare illecitamente e senza autorizzazione, l'aspetto grafico della homepage, oppure l'aggiunta o modifica di file/pagine interne, di un determinato sito web. Nella maggior parte dei casi queste rivoluzioni sulle pagine di un sito web avvengono tramite lo sfruttamento di vecchie vulnerabilità, ormai note, ma mai fixate, grazie alle quali si riesce a portare a segno un determinato injection (di file) da remoto.
Ho potuto constatare, dai dati raccolti, che tutto questo avviene su siti web poco mantenuti, sicuramente non in maniera adeguata, o in alcuni casi perfino abbandonati al proprio destino su Internet (ma non per forza collegati a progetti realmente cessati). La situazione è questa: ho trovato pagine deturpate di domini italiani (ribadisco che l'indagine è orientata alla ricerca unicamente di domini .it) per attività commerciali PMI, liberi professionisti, siti personali (penso a CV online), farmacie, siti di istituti sanitari (cliniche mediche) e associazioni. Non male per 40 giorni di ricerca, giusto?
Sì esatto c'è un po' di tutto. Ho messo insieme un elenco (gist) con 50 domini .it sottoposti a defacements (segnalati, con la speranza che qualcuno inizi a riparare). E questo semplicemente perché noi lavoriamo: apriamo il nostro negozio la mattina, ci rechiamo nel nostro studio, guardiamo i nostri social, ma... Il nostro sito web è anni che rimane lì, online, senza un minimo di manutenzione attiva (o aggiornamenti).
Chi sta operando questi attacchi? Questa tecnica nasce maggiormente per questioni politiche o di hacktivismo e la situazione, negli anni (il defacing si usava molto attorno al 2015-2018) non è cambiata molto, magari si è spostata geo-politicamente, ma le motivazioni sono sempre le stesse. Oggi queste deturpazioni sono operate quasi al 90% da gruppi Iraniani (e medio oriente), Israele e Indonesia.
Credo sia abbastanza ovvio ma incidenti di questo tipo, qualsiasi sia il destinatario (persona fisica, attività commerciale, associazione etc), minano la propria reputazione online. In molti casi vengono coinvolti i file interni robots.txt, di grande importanza per i motori di ricerca che terranno a memoria per un po' l'indicizzazione con il contenuto violato dalla deturpazione. Inoltre l'argomento ha suscitato parecchio la mia curiosità per cui sicuramente andrà avanti e ulteriori aggiornamenti, su altre classi di domini da analizzare (penso ai .gov, .edu etc), faranno parte di altre presentazioni sempre in questi futuri appuntamenti settimanali.
Rapporti da segnalare.
Ci sono alcuni report, secondo me degni di nota che, seppur non usciti tutti in giorni di questa settimana appena passata, fanno parte delle cose che bisogna dire, perché utili e sicuramente non trattati sul mio blog.
Per quanto riguarda il settore bancario e creditizio CRIF SpA (importante azienda multinazionale di gestione delle informazioni creditizie e di business per oltre 1 milione di clienti in 50 diversi paesi), ha pubblicato la consueta analisi semestrale per questo dicembre 2021 sulle frodi bancarie, che trovate qui. Dalla quale analisi emerge un aumento di frodi tramite canali bancari e furti d'identità da interpretare però nel modo seguente: un calo della stima dei danni provocati da questo genere di frodi rispetto allo stesso periodo del 2020 (si passa dai 65 ai 63 milioni di euro), ma un aumento dei singoli casi individuati (che da 11.000 superano i 12.000 nel primo semestre 2021). Il dato in calo può far pensare a un evento positivo (che inoltre si configura come un dato sempre in discesa negli anni), ma in realtà giustifica unicamente che gli attaccanti stanno affinando le loro tecniche in maniera più subdola rinunciando a parte dei guadagni, diminuendo mediamente l'importo del furto per singolo caso, di modo da essere sempre meno visibili nell'immediato e passare inosservati. Infatti si fa notare che la tempistica di individuazione di queste frodi (che sono veicolate quasi per la totalità con phishing e attività di ingegneria sociale) ha notevolmente aumentato l'asticella del valore massimo arrivando ora a 5 anni, nei casi peggiori che possano capitare.
Sicuramente curiosa è l'analisi previsionale per il 2022 di Kaspersky, annunciata in occasione dell'annuale appuntamento con il Kaspersky Security Bulletin, nella quale gli esperti della nota azienda di sicurezza informatica, tentano di fare previsioni utili alle imprese, nella preparazione dei propri arsenali digitali per il prossimo anno. Il rapporto evidenzia scenari contro obiettivi industriali sempre più difficili da rilevare (anche per i sistemi automatici): giustificando questo trend soprattutto per via della volatilità sempre più elevata dei sample dannosi attualmente utilizzati negli attacchi. Una crescita degli attacchi al settore sanitario, che vanno di pari passo con un incremento della digitalizzazione di questo settore, della telemedicina e delle limitazioni imposte dalla pandemia da COVID-19, che accompagnerà quindi un trend crescente della diffusione di crimini connessi alle certificazioni digitali verdi, utili per affrontare alcune fasi di questo difficile periodo storico che noi tutti (compreso la sanità) stiamo vivendo.
Impossibile non segnalare il rapporto ENISA – Countering SIM-Swapping, l'Agenzia dell'UE per la sicurezza informatica che offre una panoramica di come funzionano gli attacchi di scambio SIM e della misura in cui gli Stati membri sono interessati. I Sim-Swapping Attacks valutano anche i servizi interessati ed emettono una serie di raccomandazioni per guidare le autorità nazionali, gli operatori, le banche e i cittadini. All'interno si trovano dettagli interessanti su cosa siano e come funzionino questi attacchi, ma anche raccomandazioni utili alla mitigazione dei rischi e un importante sondaggio che ha coinvolto un totale di 48 operatori di rete mobile di 22 paesi in tutta Europa e rappresentanti di 14 autorità nazionali competenti. Il 48% degli operatori intervistati non ha subito alcun incidente di SIM swapping nei 12 mesi precedenti l'indagine. Per il resto degli operatori, 12 di loro hanno affrontato fino a 10 incidenti, mentre 6 di loro hanno affrontato più di 50 incidenti in 4 paesi diversi.
C'è un'NSA in Canada che lavora in silenzio
Quest'anno ricorre il 75° anniversario di un braccio destro poco conosciuto ma influente dell'apparato di politica estera canadese. Un'ente chiamato Communications Security Establishment è stato istituito nel 1946 per spiare a livello internazionale, operando segretamente nei suoi primi quattro decenni.
Con un budget annuale di 780 milioni di dollari e 3000 dipendenti, il CSE ha una varietà di gadget ad alta tecnologia, compresi sofisticati aerei di sorveglianza. Nel 2011 CSE si è trasferita in una nuova casa da 1,2 miliardi di dollari. Un complesso composto di sette edifici di 110.000 metri quadrati e collegato al quartier generale del Canadian Security Intelligence Service (CSIS) a Ottawa.
A differenza di CSIS, CSE è in gran parte focalizzato sull'estero. Cerca di "proteggere le reti informatiche e le informazioni di maggiore importanza per il Canada" dagli attacchi internazionali. CSE raccoglie anche l'intelligence internazionale dei segnali (SIGINT), che definisce come "intelligenza acquisita attraverso la raccolta di segnali elettromagnetici". Storicamente, CSE ha in gran parte intercettato le comunicazioni elettroniche tra le ambasciate di Ottawa e le capitali di altre nazioni. Oggi, CSE monitora telefonate, radio, microonde e satellite, nonché e-mail, chat room e altri scambi su Internet. Si impegna in varie forme di hacking dei dati, setacciando milioni di video e documenti online ogni giorno. O, come ha detto il reporter di VICE Patrick McGuire, CSE ascolta telefonate ed e-mail per conoscere cose di cui il governo canadese vuole conoscere segretamente.
Sin dalla sua creazione, CSE ha fatto parte del quadro di condivisione dell'intelligence Five Eyes, sebbene Ottawa non abbia ammesso la sua relazione con Five Eyes fino al lontano 1995. I principali contributori al Five Eyes guidato da Washington sono l'NSA degli Stati Uniti, la direzione dei segnali australiani, il governo della Nuova Zelanda con l'Ufficio per la sicurezza delle comunicazioni, il quartier generale delle comunicazioni del governo britannico e CSE. Una serie di accordi successivi alla seconda guerra mondiale, a partire dall'accordo di intelligence UK-USA del 1946, ha creato l'accordo "AUS/CAN/NZ/UK/US EYES".
Le sedi diplomatiche canadesi hanno a lungo ospitato apparecchiature SIGINT. Secondo un documento dell'NSA pubblicato dall'informatore Edward Snowden, CSE ha svolto attività di sorveglianza clandestina in "circa 20 paesi ad alta priorità". Nel suo libro del 1994 l'ex agente CSE Mike Frost descrive i posti di ascolto CSE in una serie di ambasciate o posti consolari mentre due giornali nei primi anni 2000 citano Pechino, Abidjan, Nuova Delhi, Bucarest, Rabat, Kingston (Giamaica), Città del Messico, Roma, San Jose (Costa Rica), Varsavia e Tokyo come sedi diplomatiche dove CSE (probabilmente) ha raccolto informazioni.
Dall'inizio degli anni '60 CSE ha ascoltato le conversazioni dei leader cubani da un posto di intercettazione all'interno dell'ambasciata all'Avana. Il Canada ha anche spiato Cuba da un posto diplomatico al di fuori di quel paese. All'inizio degli anni '80 CSE voleva stabilire un posto di comunicazione in Giamaica, osserva Frost, per intercettare "comunicazioni dalla Cuba di Fidel Castro, che avrebbe fatto piacere all'NSA".
Secondo i file rilasciati da Snowden, il CSE ha spiato i nemici di Israele e ha condiviso l'intelligence con l'Unità nazionale SIGINT di quel paese. I "palestinesi" erano un "argomento di intelligence specifico" di un progetto NSA-GCHQ-CSE condiviso con la loro controparte israeliana.
Lo spionaggio economico è una componente significativa e crescente dell'attenzione di CSE. Nel 1995 l'agenzia ha iniziato ad assumere più persone con qualifiche in economia, commercio e affari internazionali "per sviluppare la propria capacità analitica nell'intelligenza economica". Come parte delle rivelazioni di Snowden, è emerso che CSE ha spiato il Dipartimento delle Miniere e dell'Energia del Brasile.
Nel 1985 il governo chiese a CSE di raccogliere informazioni che potessero aiutare un'azienda canadese a fare un'offerta per un importante contratto di oleodotto in India. Alcuni anni prima il CSE aveva sentito per caso l'ambasciatore degli Stati Uniti a Ottawa che descriveva in dettaglio la posizione negoziale del suo paese su una vendita di grano da 5 miliardi di dollari alla Cina, che ha aiutato il Canada a vincere il contratto. Si ritiene inoltre che CSE abbia protetto le informazioni utili per negoziare l'accordo di libero scambio nordamericano della metà degli anni '90 e l'Organizzazione mondiale del commercio.
Oggi si è passati dall'intercettazione di comunicazioni (“dati in movimento”) alla ricerca di informazioni su sistemi informatici esteri (“dati a riposo”). Secondo l'esperto di CSE Bill Robinson, "è diventato un cacciatore oltre che un raccoglitore". CSE potrebbe hackerare sistemi informatici, impiantare malware e copiare informazioni.
La legislazione vieta attività informatiche offensive che potrebbero causare lesioni o morte o "ostacolare il corso della giustizia o della democrazia". Ma queste limitazioni non si applicano se CSE conduce attacchi informatici per conto di un'operazione militare canadese o riceve l'approvazione del ministro degli Esteri. Inoltre, non esiste una supervisione indipendente delle nuove capacità offensive di CSE ed è autorizzato a fare "tutto ciò che è ragionevolmente necessario per mantenere la natura segreta dell'attività". [Sintesi di una storia di Yves Engler]
La settimana di SOGIN & C.
Mentre in Italia si riaccende il dibattito (sempre molto vivace) proprio in questi giorni sul nucleare, l'intervento del ministro della Transizione Ecologica agli studenti ne lascia un'importante traccia: «È certo che il nucleare ci sarà nella tassonomia europea della finanza sostenibile, lo hanno già anticipato. È una fonte che non produce CO2».
Nello stesso frangente però, qualcuno (probabilmente fuori dal territorio italiano) si impossessa, in maniera del tutto silente, di 800 GB di dati della nostra Società di Gestione Impianti Nucleari: perno e top company del settore per l'Italia, partecipata direttamente al 100% dal MEF (Ministero dell'Economia e delle Finanze) e collegata con le più importanti e strategiche aziende del nostro Paese.
Come ho descritto nella mia analisi della stessa giornata di domenica 12 dicembre (dopo aver fatto alcune ricerche grazie alla segnalazione di Marco Govoni), il tutto era accompagnato da un importante silenzio prima di tutto della stessa società. Nessun comunicato confermava quanto accaduto, nessuna testata giornalistica ne parlava, eppure il venditore Zerox296 cercava già da diverse ore un acquirente per il suo impacchettamento di file rubati dalla società che gestisce lo smaltimento dei rifiuti nucleari in tutta Italia. Gli annunci sono apparsi su RaidForums e XSS (con sample simili, ma con una più ampia vetrina su XSS). Ricordo che quando si arriva all'annuncio di vendita significa che l'attacco è già terminato (sempre che non sia contestualmente in corso con APT), per cui la società, in teoria, avrebbe avuto molto più tempo (in giorni, forse mesi) per accorgersi dell'incidente e segnalarlo, invece emette il primo comunicato a 24 ore dalla pubblicazione degli annunci di rivendicazione dell'attaccante.
Con una campagna di informazione coordinata tra i miei contributi, quelli di Marco Govoni, Pierluigi Paganini e Claudio Sono, basati sull'analisi dei pochi sample messi a disposizione nel più breve tempo possibile, si riesce ad attirare l'attenzione mediatica giusta che una vicenda di questo tipo (c'è in ballo la sicurezza nazionale) deve avere. Presto ne parlerà Open, Wired Italia, Repubblica e diversi altri piccoli quotidiani locali che rilanciano.
Devo aimè notare che però questa attenzione mediatica, ha perso molto facilmente la presa nelle giornate successive, accompagnandoci al fine settimana e vedendo quasi completamente scomparire dalla scena il caso SOGIN (che a parer mio rimane di incommensurabile rilevanza e ancora del tutto irrisolto), surclassato da altri piccoli fatti di cronaca abbastanza di leggero impatto (intendo impatto cyber, magari quello politico è nettamente maggiore).
Ovviamente mi riferisco alla vicenda dei 120 green pass identificati, dagli investigatori del CNAIPIC, come falsi e oggetto di illegali compravendite su Telegram, coinvolgendo 15 persone (ora sospettate) dislocate in 6 diverse regioni d'Italia. Comunicazione che fa il giro di tutte le testate nell'immediato e surclassa tutte le eventuali priorità cyber del Paese, per tutta la giornata di mercoledì e giovedì. Inoltre notizia che viene data come la conclusione di una vicenda lunga mesi, riguardante i green pass falsi, partiti come ricorderete dai primi esempi di Hitler, Topolino e Craxi.
A parer mio quest'ultima notizia, razionalizzata mediante attacchi di phishing verso le farmacie e le strutture sanitarie che hanno accesso per lavoro alle piattaforme governative di gestione dei dati vaccinali e dei green pass, atti a carpirne le credenziali (talvolta anche migliorati con l'installazione, tramite ingegneria sociale, di software di accesso remoto, sempre rivolto all'esfiltrazione di credenziali di accesso), non ha nulla a che vedere con il GROSSO problema che la vicenda dei green pass falsi ha già da mesi fatto emergere (e che io ho tentato di ricostruire, al fine di sviluppare un dibattito costruttivo), rivolto alle enormi carenze di sicurezza della nostra sanità pubblica e della Pubblica Amministrazione in generale. In questi mesi infatti, si sono susseguiti numerosi attacchi (spesso accompagnati da analisi anche nel mio blog), contro il servizio sanitario nazionale che, a partire da quel 1 di agosto 2021 non ha più smesso, forse proprio a causa di un tal provider italiano compromesso proprio in occasione di LazioCrea, come ci ricorda su Twitter Claudio Sono, rilanciando l'intervista tecnica di Matteo Flora. Provider del quale non si è mai più saputo niente, come la stessa vicenda di Regione Lazio, rimasta irrisolta (indagini di Leonardo? Riscatto al ransomware?). E come tutte le successive, non poche (attacchi informatici hanno coinvolto in 6 mesi obiettivi come: ASL, ASP, ALSS, Ministero della Salute, Ospedali, Comuni, Unioni di Comuni), per le quali si legge il comunicato (in occasione di una rivendicazione da parte dei criminali, altrimenti il comunicato non esce, vedasi caso Tiscali di giovedì su RaidForums nel quale si espone alla vendita grave vulnerabilità in grado di concedere l'accesso a 55 database dell'importante azienda di telecomunicazioni parte del consorzio Open Fiber e strategica per il Paese, che ancora non intende emettere un comunicato sull'accaduto) e poi se ne perde completamente traccia.
Decido volutamente di non parlare di Log4j, parlando di Log4j, perché ho trattato la vicenda sul mio blog e con diversi contributi per Cybersecurity360 sull'argomento. Però la vicenda è di estrema sensibilità e ha coinvolto in pieno tutti i giorni di questa settimana appena trascorsa. L'allarme è partito infatti giovedì 9 dicembre con il rilascio di una patch per una grave vulnerabilità (valutata 10 su 10 scala di CVE-NIST) da parte di Apache, sulla libreria che registra i log di Java. Strumento utilizzato praticamente in tutte le web applications scritte in Java ospitate su server Apache. La gravità è alta proprio per l'impatto che questa libreria ha sulle applicazioni attualmente in circolazione, molte delle quali non più mantenute, o delle quali non esiste più una gestione IT di riferimento (ma qualcuno ancora le utilizza). Tutti questi casi, moltiplicati a livello globale, fanno di Log4j un caso cyber pandemico. Internet impazza davanti al susseguirsi di patch correttive e i gruppi criminali iniziano a studiarne (e metterne in pratica) lo sfruttamento. E' il caso del gruppo di ransomware Conti (collegato alla Russia), uno dei più temuti e prolifici di tutto il 2021, che è già stato identificato da AdvIntel, come responsabile in grado di sfruttare Log4Shell (così si chiama l'exploit che sfrutta la vulnerabilità Log4j) per effettuare movimenti laterali all'interno di una rete VMware vCenter (software house che inoltre ha 40 prodotti vulnerabili a questo bug). Proprio per la diffusione di Log4j sarà molto lungo l'impatto nel tempo, a causa di molti meccanismi che ne rendono difficile l'individuazione (quando il team che l'ha messa in piedi non è più lo stesso), e l'idea di avere tutti i server che la utilizzano, subito fixati, diventa una chimera molto lontana. Gli esperti parlano di anni di convivenza con questo scenario.
Qualche strumento utile
Tra i suggerimenti di questa settimana mi sento di condividere questa accurata raccolta di OSINT tools, che racchiude più di 700 servizi suddivisi in 22 categorie. E una altrettanto completa lista di strumenti e risorse, in ordine alfabetico, per investigare e mettere in sicurezza le API.
Titoli di coda
Fin qui ho parlato io, e posso confermare che la prima puntata è stata un interessante esperimento di curiosità e concentrazione. Spero di non esser stato noioso e che gli argomenti trattati possano portare anche solamente a stimolare una riflessione, sarebbe già un grande risultato per me. Ringrazio le tante persone che già dall'inizio si sono iscritte a questo progetto (pur essendo vuoto!) e ora ditemi pure la vostra sui miei canali che conoscete.
www.insicurezzadigitale.com | Twitter: @nuke86