Il punto sull'Ucraina, Anonymous e gli 820 GB di dati russi su DDoSecrets, con un pizzico di Web3
Buon sabato e ben ritrovato caro cyber User. Ci sono parecchi argomenti da trattare oggi che non ho potuto approfondire in settimana sul blog, quindi, un bel respiro e iniziamo subito.
In breve oggi ti parlo di:
Buon compleanno Web, il miglior alleato dell'Ucraina;
Un'altra guerra: Cina-Usa con APT41;
Il punto sulla situazione Ucraina;
Cose utili trovate nella settimana.
Buon compleanno Web, il miglior alleato dell'Ucraina
Seppur in maniera molto pacata e silenziosa, vista l'attuale situazione internazionale che stiamo vivendo, oggi è l'anniversario del WWW. E la Web Foundation lo ricorda come il 33esimo compleanno dell'ormai nostro compagno di vita Web.
Proprio in questa occasione è la stessa fondazione che ci ricorda del giorno di festa, come di consueto, però stavolta in maniera leggermente più particolare. Proprio perché particolari sono i tempi che stiamo attraversando. In effetti non c'è forse modo migliore di festeggiare, se non ricordando quanto stia facendo il Web in questa guerra Ucraina - Russia. E' al centro del conflitto, sia utilizzato come arma, in grado di lanciare campagne di odio e di propaganda da una trincea all'altra, ma anche come strumento essenziale per sapere dove ci si trova, cercare un posto in cui poter passare la notte da rifugiati, nonché la base per i fact-checkers di tutto il mondo in grado di accedere alle fonti e sfatare tutti i miti che le campagne di propagande mettono in piedi.
Proprio come accadde nel 2020 con il momento peggiore della pandemia da COVID-19, "lo stesso vale ora che l'Ucraina viene invasa. Il web ha contribuito a ispirare resistenza". In questi tre decenni il Web è cambiato tante volte. Sostanzialmente potrei dire che è cambiato 3 volte, prima si è trasformato in web2 e ora sta rinnovando il processo in web3 (con una sorta di ritorno alle origini, dei giorni nostri). Avivah Litan di Gartner ha definito Web3 un Web decentralizzato in cui gli utenti possono controllare i propri dati e la propria identità. La base di Web3 è una tecnologia basata su blockchain, sfruttata per la verifica dell'affidabilità e include protezione della privacy, infrastrutture decentralizzate e piattaforme applicative e identità decentralizzate. Manca solo da capire, trovandocisi dentro, come si riuscirà a perseguire i concetti (e come verranno messi in pratica) base della sicurezza dei dati, in un Web di questo tipo. Personalmente non penso sia facile accettare una mole di attacchi ransomware come quella vissuta nel 2021, con un Web come quest'ultimo definito.
Un'altra guerra: Cina-Usa con APT41
Prolifico nel svolgere attività di spionaggio sponsorizzato dallo stato cinese e attività motivate economicamente, APT41 ha condotto una campagna di mesi, utilizzando applicazioni Web vulnerabili rivolte a Internet, inclusa una vulnerabilità zero-day nell'applicazione USAHerds, nonché l'ormai famigerato zero-day di Log4j, per infiltrare e compromettere almeno sei reti del governo statale degli Stati Uniti.
Parliamo delle varie indagini del 2021 intraprese da Mandiant. APT41 ha sfruttato una vulnerabilità di sicurezza zero-day nell'applicazione web USAHerds — un'applicazione CoTS scritta in ASP.NET e utilizzata da 18 stati per la gestione della salute degli animali. Una volta che APT41 ha identificato la macchina, il gruppo ha compromesso i server su Internet che eseguono USAHerds. Le credenziali incorporate, spesso inserite nel codice sorgente per comodità di accesso piuttosto che per negligenza, hanno purtroppo consentito l'accesso a tutti i server.
"Quindi, la app ha consentito l'accesso al server delle applicazioni e il server ha consentito l'accesso alle reti di una mezza dozzina di governi statali".
Afferma Aagard, analista delle vulnerabilità di Digital Shadow.
"Un attore di minacce in grado di individuare un attacco a un obiettivo che monitora la sicurezza dell'approvvigionamento alimentare come obiettivo personalizzato e combinarlo con una vulnerabilità diffusa, come Log4Shell, è opportunista oltre che dotato di risorse".
Come detto Mandiant ha seguito molte analisi e indagini su questo gruppo direttamente sponsorizzato dallo stato, e ha anche osservato che APT41 continua a utilizzare malware avanzato nel suo toolkit, tra cui DEADEYE e la backdoor LOWKEY, con funzionalità di sicurezza aggiuntive e tecniche di anti-analisi che ostacolano le indagini, ma anche BADPOTATO.
Mentre l'industria della sicurezza si è concentrata sull'Ucraina negli ultimi due mesi, bisogna considerare che la minaccia di attacchi da parte di gruppi di criminalità informatica e altri attori di stati nazione non è diminuita. I ricercatori lo anticipavano da tempo e prevedevano quanto tempo ci sarebbe voluto prima che gli attori cinesi persistenti, iniziassero a intensificare gli attacchi mentre i riflettori sono quasi completamente puntati sull'Ucraina.
Il punto sulla situazione Ucraina
Security Scorecard ha pubblicato un resoconto degli attacchi DDoS (Distributed Denial of Service) subiti da varie risorse ucraine. Identificano tre distinti attacchi DDoS, ma affermano che gli attacchi "sembravano aver avuto un impatto minimo e temporaneo sui loro obiettivi. I siti Web governativi e i servizi bancari sono stati rapidamente ripristinati e i saldi dei clienti non sono stati interessati".
KrebsOnSecurity segnala un aumento significativo degli attacchi contro cittadini ucraini, per lo più tentativi di phishing, ma questi non sono ancora all'altezza degli attacchi distruttivi o dirompenti ampiamente previsti di cui la Russia si era dimostrata capace.
Finora gli attacchi informatici russi non hanno colpito il mondo al di fuori dell'Ucraina a un livello superiore a quello consueto, criminale e privato, ma i ricercatori continuano a pensare che la situazione potrebbe evolvere. I russi potrebbero essere stati impreparati alla guerra informatica, il che sembra improbabile, oppure potrebbero aver creduto che la loro invasione sarebbe stata una passeggiata, rendendo superflue le operazioni informatiche. Anche il blog di Accenture segue lo stato di avanzamento del cyberspazio in un momento così caotico come lo scenario di guerra.
Anonymous afferma di aver ottenuto con successo l'accesso ai file interni di Roskomnadzor (il regolatore russo dei media e della stampa) e di aver fatto trapelare 820 gigabyte di dati presi appunto dall'agenzia di governance dell'informazione russa. I file riguardano per la maggior parte operazioni di disinformazione e censura, l'archivio ora è reso pubblico e condiviso tramite torrent dal sito web di DDoSecrets. L'International Business Times, che ha analizzato il leak afferma che le fughe di dati riguardano principalmente gli sforzi di Roskomnadzor per impedire alle persone di chiamare "invasione", quella che di fatto è l'invasione russa dell'Ucraina.
Situazione sempre molto instabile dunque, soprattutto sul fronte cyber, che vede avvisi e comunicazioni sempre più diffusi. In Italia, non più tardi di una settimana fa, fece molto scalpore la comunicazione interna dell'ACN (Agenzia Cybersecurity Nazionale), come monito per gli specialisti della sicurezza di alcuni settori strategici critici, poi erroneamente fatta trapelare sui giornali e media, sbagliandone completamente la comunicazione generalista che ne ha travisato tutti gli intenti.
Agisce in maniera differente invece la CISA statunitense che proprio due giorni fa ha pubblicato ventiquattro avvisi sui sistemi di controllo industriale per Siemens RUGGEDCOM Devices , Siemens SIMOTICS CONNECT 400 , Siemens SINEC NMS , Siemens SINEMA Mendix Forgot Password Appstore , Siemens Simcenter STAR-CCM+ Viewer , Siemens COMOS , Siemens Climatix POL909 , Siemens Polarion ALM , Siemens SINEC INS , Siemens Simcenter Femap , Siemens SINUMERIK MC , Siemens RUGGEDCOM ROS , Siemens Mendix , agente PTC Axeda e Axeda Desktop Server | , Siemens SIMATIC Industrial Products , SICAM TOOLBOX II , Siemens Solid Edge, JT2Go e Teamcenter Visualization , Siemens SIMATIC WinCC (aggiornamento A) , Siemens Climatix POL909 (aggiornamento A) , Siemens Industrial Products Intel CPUs (aggiornamento A) , Siemens SIMOTICS CONNECT 400 (Aggiornamento A) , Siemens Industrial Products (Aggiornamento F) , Wibu-Systems CodeMeter (Aggiornamento F) e Siemens Industrial Products (Aggiornamento P) .
La differenza sostanziale tra le due comunicazioni, è proprio che la CISA di fatto ha emesso bollettini, pubblici e consultabili, e ognuno può trarne le proprie conclusioni, l'ACN italiana lancia delle comunicazioni interne, senza pubblico accesso, i media ne parlano, ma senza che ci sia una fonte da poter leggere, il singolo cittadino è del tutto incapace di farsi una propria opinione sull'entità del problema.
Piccoli accadimenti semplici ma curiosi
In questa settimana ho avuto modo di apprendere che Twitter ha finalmente implementato il proprio sito web onion, sotto la rete Tor. Dopo aver bannato Facebook, la Russia rincara la dose e banna ora anche Instagram, sempre per via del coinvolgimento mediatico dissuadente dalla campagna di disinformazione e propaganda del Cremlino.
Sempre in tema disinformazione russa: l'incidente che ha attirato molta attenzione è stato quello della distruzione di un ospedale pediatrico a Mariupol, apparentemente da parte di attacchi aerei russi. Un editoriale della CNN chiede: "Se bombardare un ospedale pediatrico non significa attraversare una linea rossa, cos'è?" e il sentimento che esprime ben rappresenta la repulsione internazionale che l'attacco ha provocato. La risposta della Russia all'indignazione generale è stata istruttiva. Il Cremlino ha affermato che l'attacco non è mai avvenuto, che l'ospedale non era in realtà un ospedale, ma piuttosto un quartier generale nazista e che l'attacco è stato commesso dalle forze ucraine nel tentativo di mettere in imbarazzo la Russia, che sta conducendo un'operazione militare limpida.
Nel frattempo NVIDIA, Samsung e Vodafone stanno indagando contro Lapsus$ per cercare di risalire le tracce dei rispettivi attacchi informatici. Anche il più vecchio, Vodafone, ha annunciato proprio in questi giorni di non aver chiuso ancora le indagini sull'accaduto con l'incidente ransomware. In tutti e tre i casi, in palio sul piatto ci sono i rispettivi codici sorgenti interni, decisamente sensibili.
Cose utili trovate nella settimana
Cosa c'è dietro le quinte di un aggiornamento Android? [https://medium.com/@Za_Raczke/how-android-updates-work-a-peek-behind-the-curtains-from-an-insider-1d8e1a48ec0b]
Un buon progetto per fare test di sicurezza sulle API GraphQL. [https://github.com/dolevf/graphql-cop]
Motore di ricerca per device connessi alla nostra rete (IoT ma non solo). [https://github.com/alechilczenko/pwndora]
CheatSheet per la sicurezza di Active Directory. [https://github.com/S1ckB0y1337/Active-Directory-Exploitation-Cheat-Sheet]
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.