La Corea del Nord in blackout Internet, aggiornamenti Ucraina e attacco a News Corp
Buon sabato e ben ritrovato caro cyber User. La puntata di oggi sarà maggiormente orientata su appunti di intelligence cyber-politici, data la situazione globale che stiamo vivendo.
In breve oggi ti parlo di:
La Corea del Nord in blackout Internet
Aggiornamenti dal fronte ucraino
Colpire un colosso dell'editoria mondiale: News Corp
La Corea del Nord in blackout Internet
Succede che, da diverse settimane, ogni sito web in Corea del Nord ha subito un'interruzione completa in almeno due incidenti. Internet del paese sembra essere stato colpito da due arresti completi, probabilmente causati da un Distributed Denial of Service (DDoS). La natura dell'attacco è decisamente politica. Ma il dettaglio più curioso l'ha sottolineato Wired, questa settimana: l'attacco arriva da un gruppo estremamente ristretto di persone, si dice un autore singolo. Lo statunitense P4x infatti, ricercatore indipendente, è stato vessato da attacchi informatici per lunghi periodi nell'anno precedente, proprio provenienti dalla Corea del Nord. Quindi questa sarebbe la sua politica di risposta, ispirata anche dalla presenza, nei sistemi coreani, di un grande numero di vulnerabilità note, anche vecchie. C'è da evidenziare che il blackout in Corea è un concetto molto relativo, rispetto a come lo intendiamo noi. In effetti l'accesso a Internet pubblico non esiste, o meglio è limitato a una ristretta cerchia di cittadini (che dispongono di particolari autorizzazioni), tutta la popolazione ha invece un accesso Intranet locale, non collegato a Internet, sulla quale possono utilizzare unicamente la serie di servizi messi a disposizione dal governo, che ne traccia tutta la filiera (ovviamente).
La Corea del Nord ha subito interruzioni intermittenti fino a quando un incidente il 14 gennaio ha paralizzato tutti i siti Web del paese, poiché i nomi di dominio che terminano con ".kp", che includono siti Web per i media statali della Corea del Nord, hanno iniziato a cadere. Detto questo dunque l'impatto di questa serie di attacchi che P4x ha portato a termine non ha inciso in maniera pesante sulla popolazione, ma ha unicamente creato un problema al governo, che di fatto era l'obiettivo principale. I siti presi di mira infatti sono quelli pubblici, collegati direttamente alla vetrina Internet costruita appositamente dalla Corea, per mostrarsi agli occhi dell'estero.
Siamo nel pieno dello sviluppo dell'era cyber, capire quanto poco servano ormai le armi fisiche per inizializzare una guerra, è sempre più importante.
Aggiornamenti dal fronte ucraino
Riguardo alla guerra tra stati, non posso fare a meno di aggiornare la situazione dell'Ucraina. Questa settimana ho provato a riassumere gli ultimi giorni di gennaio della crisi in Ucraina. Le operazioni informatiche russe in Ucraina continuano e l'Unit 42 di Palo Alto Networks riferisce che Gamaredon (o Primitive Bear), un attore di minacce associato all'FSB russo, è stato attivo contro una "ente" del governo occidentale, che non viene menzionato, in Ucraina. La campagna si basava sul phishing per il suo accesso iniziale. Le attenzioni dell'FSB sull'Ucraina non sono una novità e probabilmente continueranno. "Gamaredon ha preso di mira le vittime ucraine per quasi un decennio", conclude Unit 42. "Poiché le tensioni internazionali che circondano l'Ucraina rimangono irrisolte, è probabile che le operazioni di Gamaredon continueranno a concentrarsi sugli interessi russi nella regione". Per ulteriori informazioni sulla recente attività di Gamaredon, Unit 42 raccomanda lo studio CERT-EE dell'Estonia pubblicato all'inizio della scorsa settimana.
Colpire un colosso dell'editoria mondiale: News Corp
News Corp. ha comunicato solo ora al mondo che, nel "gennaio 2022, la Società... era l'obiettivo di un'attività di attacco informatico persistente" e che sta lavorando con un'azienda di sicurezza informatica esterna, per condurre "un'indagine sulle circostanze dell'attività per determinarne la natura, la portata, la durata e gli impatti”.
La società agglomera e ha a che fare quotidianamente, tra le sue attività, con diversi dipendenti che lavorano per News UK - l'editore del Times e del Sun - per il Wall Street Journal e il New York Post. La portata di questo attacco è ampia, ancora non se ne conoscono i dettagli ma tra le figure esperte che hanno trattato l'argomento, posso condividere qui un commento di ... il quale, analizzando il comunicato di News Corp emerge abbia definito l’azione come un attacco "persistente" allo stato, termine usato nell'industria della cybersecurity per descrivere quel genere di attacco in cui i criminali hanno obiettivi molto specifici. In questi attacchi “persistenti”, gli obiettivi sono colpiti da una serie di incursioni sofisticate e lente, e se i criminali non riescono a ottenere l'accesso con una specifica azione, continuano inarrestabili a tentare fino a quando non avranno successo. Il problema è che i metodi utilizzati da questi gruppi cambiano continuamente. Le difese tradizionali che sono state scelte da molte aziende media, giornali, riviste online ed emittenti negli ultimi 20 anni possono fermare solo attacchi già noti, ovvero tecniche di intrusione già viste prima.
Ci sarebbe da sottolineare, qualora foste curiosi di seguire questa vicenda, il fatto che nel settore giornalistico la protezione delle fonti è qualcosa di estremamente importante e imprescindibile. Se l'attacco avesse messo a rischio qualcosa inerente una di queste fonti, salterebbero molti sistemi interni e metterebbero a serio rischio probabilmente anche la vita di persone esposte. Considerato, ovviamente, l'impatto che possono avere le testate all'inizio citate, e le loro inchieste (spesso portate avanti proprio grazie all'esposizione di qualcuno che si confida in provato).
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.