Articoli

Guerra ibrida e app spia: il ritorno di Pegasus e l’uso degli spyware nel cyberspionaggio

Si torna a parlare di Pegasus, l’app spia che può consentire ad un attaccante di compromettere i dispositivi mobile sfruttando una vulnerabilità zero-day presente in WhatsApp: a quanto pare, infatti, tra aprile e maggio del 2019 il Presidente del Parlamento catalano, Roger Torrent, ha subìto un attacco a causa di una falla nella sicurezza di WhatsApp creata da una società israeliana creatrice, appunto, del famigerato malware di spionaggio.

Amnesty International ha avviato una causa legale contro la piattaforma social tra le più usate al mondo per altri numerosi attacchi contro attivisti, politici e giornalisti. In questo caso il ricorso è stato respinto dal tribunale di Tel Aviv, nonostante secondo il gruppo di ricerca canadese Citizen Lab e testate giornalistiche come The Guardian, El País e il Washington Post, Pegasus sia stato usato nel settembre 2019 per entrare nel telefono di Omar Radi, giornalista investigativo marocchino, in quello di Bezos, di Jamal Khashoggi, Omar Abdulaziz e molti altri, tra cui un giornalista del New York Times, Ben Hubbard, e Osama Bin Laden.

Nuovi scenari

Tutti questi avvenimenti confermano che la maggior parte degli attacchi, oggi, si concentra sulla necessaria connessione degli oggetti con l’uomo e sui servizi che i device mobile di fatto ci “invitano” ad utilizzare. D’altronde, siamo nel pieno dell’epoca della IoT o meglio della Internet del Tutto. Ormai, come più volte detto, questa situazione è definita dai più guerra ibrida o ancora guerra informatica aperta.

Oggi non si rende necessario un attacco di tipo fisico per generare danni, ma sono possibili anche quelli informatici su PC, dispositivi e, in generale, sulle infrastrutture critiche. Questo perché, toccando anche un solo servizio da remoto, si ha il cosiddetto effetto a cascata che, nella maggior parte dei casi, ha lo scopo da una parte di creare disagi e mettere in ginocchio interi Paesi, dall’altra di fare attività di spionaggio, carpendo segreti e relazioni per anticipare le mosse o per diffamare taluni personaggi o Nazioni intere.

In tal senso la vera novità è che, attraverso i device, si possono fare indagini giudiziarie e ricostruire movimenti dei malintenzionati.

Queste grandi opportunità si stanno spostando sui dispositivi anche in termini negativi. Le app e i servizi di messaggistica, pur avendo paradossalmente la tanto decantata crittografia end-to-end, risultano essere i più prossimi ad essere “bucati” e spiati. Anche qui con attacchi asimmetrici: ovvero, basandosi sull’etimologia stessa della parola (a-syn-métron), “incommensurabile”, “non reciprocamente misurabile”.

Un mix di strategie e strumenti che punta alla debolezza della società e delle persone da attaccare. Lo sviluppo di nuovi software collima, senza precedenti, con l’analisi dei dati e la capacità di mappare, controllare e spiare le conversazioni. Qui, oggi, la faccenda torna prepotentemente in casi reali e sociali e si fa più delicata e chirurgica.

Pegasus: come funziona lo spyware e come avviene l’attacco?

Come si evince dalle notizie che si rincorrono in questo periodo, al di là della natura geopolitica e di riflessione più ampia dello spionaggio dei servizi segreti, la diversa natura degli attori si mescola con più mezzi impiegati, costruendo un puzzle e dei target precisi da attaccare.

Questi strumenti sembrano nascere per l’antiterrorismo e per capire come prevenire eventi di natura malevola. Ma, nel caso di Pegasus, la labile differenza tra legittimità o meno di capire le mosse di chi potrebbe fare delle azioni negative e lo spionaggio vero e proprio (per anticipare le mosse di qualsiasi avversario) o la violenza e prevaricazione della privacy, è davvero minima.

L’attività di spionaggio a fini benevoli, in realtà, non è stata mai contraddetta dalla NSO israeliana. Questi ultimi hanno sempre sostenuto che il software spia è nato per le agenzie governative e le forze dell’ordine per gestire e garantire la pubblica sicurezza e la lotta al terrorismo. Ma dopo questo scandalo qualcosa ci fa pensare che non sia così.

L’attacco viene avviato mediante un’esca. Ovvero l’intrusione, nel caso degli smartphone, avviene tramite una videochiamata (prevalentemente su WhatsApp) in cui non serve che la vittima risponda. Lo spyware entra in azione e, attraverso la finta chiamata, come detto, sfruttando tecniche di phishing, di social engineering e la navigazione Web, riesce ad “entrare” nel dispositivo e può attivare l’ascolto delle conversazioni, vedere i contenuti archiviati nella memoria interna, scattare foto e altro. Lo scopo dello spyware è spiare i movimenti della vittima, fino all’uso “discreto” del microfono per una sua costante geolocalizzazione.

Questa attività si unisce con un’attività molto più sofisticata: la cosiddetta spia silente. Ovvero, mentre stiamo navigando su un qualsiasi sito dal browser o da motori di ricerca, prevalentemente su siti HTTP, questa spia ha la capacità di reindirizzare la nostra ricerca su siti ulteriori che a loro volta aprono degli indirizzi mirati, a cui si aggancia automaticamente il software: può trattarsi di servizi degli operatori e quindi inviti a scaricare app, suonerie e offerte oppure dell’infrastruttura su cui poggia il device fisico, ossia antenne, ponti e ripetitore di aggancio.

Gli “injection attacks”

Questi attacchi si chiamano injection attacks e, appunto, reindirizzano le preferenze dell’utente ad un proprio database. Attraverso lo StingRay (International Mobile Subscriber Identity), in pochi secondi il telefono aggancia un ripetitore fittizio in cui viene “poggiato” il software spia o un intercettatore ad alto rendimento.

Lo StingRay è un apparato sviluppato già nei primi anni 90 per attività di intelligence. L’FBI ne fa un uso costante per la prevenzione del crimine a livello internazionale. L’apparecchio, quindi, consente di captare e rubare il traffico dei device abbinando i dati delle conversazioni con quelli degli spostamenti. Non a caso molti esperti sostengono che siano presenti in aerei militari USA.

Tale apparato fa da antenna tra il cellulare della vittima e i ripetitori delle compagnie telefoniche, interrompe il traffico per pochi secondi per installare il software e da qui può risalire anche all’IMEI, International Mobile Equipment Identity.

Facendo ciò, oltre che ascoltare e leggere tutti i tipi di comunicazione, il dispositivo fa anche da “router”. Ovvero riesce a “sniffare” per un certo numero di metri e chilometri altri device che, anche se non connessi direttamente con quello della persona presa in considerazione, vengono intercettati, con conseguente acquisizione di dati.

Il software interno utilizzato per l’operazione è FishHawk e permette anche di far funzionare l’apparato come “jammer”, ovvero un disturbatore che può “copiare”, “distruggere” e “sopprimere” le comunicazione tra i ripetitori e i device collegati.

Conclusioni

La partita si svolge sempre più verso lo studio delle reti. Ovvero di intrusione che sfrutta vulnerabilità sconosciute (zero-day) e, senza che ci sia un reale intervento dell’utente, viene iniettato uno spyware sui telefoni Android e iOS di alcuni target.

In questo caso, il ruolo delle intelligence internazionali si sta modificando ulteriormente: sta diventando, oltre che una fucina per attivare una serie di controlli per evitare attacchi, anche un monitoraggio incrociato sui propri software e sui fornitori di questi servizi perché questi stessi software in un attimo possono diventare, se non utilizzati in maniera consona, boomerang sulle vite delle persone.

 

Fonte: CyberSecurity360

Attacco hacker all’ENAC, la lezione da imparare per tutte le aziende

Deve fare riflettere tutte le aziende l’attacco cyber ora subito dall’ENAC (l’Ente Nazionale per l’Aviazione Civile): questo tipo di minaccia è sempre più frequente e in grado di fare danni con grande rapidità.

Ciò che sappiamo è che dallo scorso 10 luglio il sito web dell’ENAC è irraggiungibile a causa di un attacco hacker ai sistemi informatici che non è stato ancora rivendicato. Risulterebbe inoltre bloccato il sistema di posta elettronica interno e sarebbero stati danneggiati alcuni archivi digitali.

Gli esperti di sicurezza dell’Ente sono già al lavoro per ripristinare al più presto la piena funzionalità dei sistemi. In una nota ufficiale, l’ENAC precisa che “sulla base di quanto emerso nel corso delle attività di ripristino avviate nell’immediato, non sono stati sottratti dati. I dati contenuti nel sistemi informatici dell’Ente sono, in ogni caso, salvaguardati in un sistema di backup”, puntualizzando di aver “tempestivamente messo in atto tutti gli interventi tecnici necessari a ripristinare, nel minor tempo possibile, la piena operatività dei sistemi e delle infrastrutture informatiche dell’ente”.

Nel frattempo, su quanto accaduto, è stata già presentata una denuncia alla Procura della Repubblica e al Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche in quanto l’ENAC, controllato dal ministero delle Infrastrutture e dei Trasporti, è considerato proprio un’infrastruttura critica del Paese.

I dettagli dell’attacco hacker

Da quanto trapelato finora, e leggendo tra le righe del comunicato ufficiale diramato a mezzo stampa, a colpire i sistemi informatici dell’ENAC sarebbe stato un ransomware di cui però non si hanno finora ulteriori dettagli ma che, probabilmente, non avrebbe creato danni irreparabili proprio grazie ai backup di dati configurato dal reparto IT dell’ente.

Il ransomware rappresenta oggi una minaccia ben nota, che si infiltra silenziosamente nelle aziende per poi bloccare i file in modo incredibilmente rapido. Nel 2017 il ransomware WannaCry ha spianato la strada agli aggressori che hanno scagliato attacchi così rapidi da non lasciare ai team di sicurezza nemmeno il tempo di reagire. È quello che pare sia successo anche ad ENAC: un attacco diffuso a una velocità straordinaria.

Si tratta dunque di un attacco che potrebbe avere risvolti importanti anche perché alcune delle comunicazioni gestite dall’ENAC sono classificate come segreti della Nato, l’Alleanza atlantica.
L’Ente, comunque, non conserva dati personali dei passeggeri che utilizzano il trasporto aereo, ma solo dati di traffico complessivi, relativi al numero dei passeggeri che transitano negli aeroporti nazionali. Nella nota rilasciata alla stampa si evidenzia, inoltre, “che il sistema di gestione della documentazione classificata NatoUEO gira su un sistema separato che non è in rete e non è stato oggetto di attacco. Non ci sono conseguenze nemmeno per l’operatività degli aeroporti che l’Ente ha in gestione diretta”.

“L’ENAC, in contatto con le autorità di riferimento per gli attacchi di pirateria informatica, sta continuando le azioni di ripristino per garantire al più presto la ripresa dello svolgimento del servizio pubblico reso attraverso le attività proprie dell’Ente e dei suoi dipendenti”, conclude la nota.

Quale lezione per tutte le aziende?

L’attacco hacker subito in queste ore dall’ENAC è l’occasione per fare il punto sui sistemi di protezione delle infrastrutture critiche del nostro Paese.

Nicola Vanin, Data Governance & Information Security Senior Manager, fa infatti notare che “l’aviazione è un’azienda che si basa essenzialmente su un’immensa infrastruttura IT che richiede competenze specialistiche per funzionare in modo efficace. Questo perché, oltre a utilizzare l’IT tradizionale, gli aeroporti in genere funzionano con la tecnologia operativa SCADA (Supervisory Control and Data Acquisition) per supportare i servizi chiave come l’illuminazione delle piste e le utility”.

Secondo l’analista, “tutto deve essere fatto per limitare la minaccia e rendere il più difficile possibile per gli aggressori la violazione dei sistemi di sicurezza dell’organizzazione. Non è possibile raggiungere questo obiettivo senza investire in team IT e in team OT che lavorano insieme sulla sicurezza informatica”.

Sarebbe un errore sottovalutare il potenziale impatto di questo attacco, continua ancora Mariana Pereira di Darktrace: “l’impossibilità di accedere ai dati di chi ha preso un volo aereo da o verso il Paese è grave, perché potrebbe ripercuotersi negativamente su importanti indagini di polizia e sulla protezione della salute, proprio nel momento in cui le principali compagnie di volo e l’industria del turismo stessa sta riprendendo le attività”.

Sempre più spesso i team di sicurezza vengono battuti sul tempo da attacchi automatizzati come questo, ed è per questo motivo che si rivolgono all’Intelligenza Artificiale per rispondere istantaneamente quando vengono colpiti.

“I nostri clienti che operano nel settore delle infrastrutture critiche di tutto il mondo vengono regolarmente allertati dai propri Governi su come questa tipologia di attacco sia sempre più utilizzata dagli aggressori, siano essi cybercriminali alla ricerca di un riscatto, Nation-state hackers o aspiranti hacktivisti, tutti molto consapevoli delle conseguenze enormi che possono scatenare”, spiega la Pereira.

“Nelle ultime settimane l’ENAC ha elaborato norme e regolamenti per la riapertura dei viaggi sicuri da e per l’Italia. I cybercriminali alla ricerca di facili guadagni sono coscienti del fatto che enti di questo tipo non possono permettersi l’inattività dei sistemi in un momento come questo. La sicurezza cyber non è un problema risolvibile, oggi però disponiamo di tecnologie all’avanguardia che consentono alle organizzazioni di non dover per forza fermare i sistemi quando, vittime di un attacco come questo, viene richiesto loro un riscatto”, conclude l’esperta.

 

Fonte: CyberSecurity360

Attacco ForkBomb: cos’è, come funziona e come difendersi

Appena lanciato, l’attacco ForkBomb “costringe” il sistema ad eseguirne i comandi. Anche tastiera e mouse diventano inutilizzabili ed è necessario un reset hardware della macchina per farla ripartire.

Una funzione fork indica il programma che, partendo da un processo “padre”, genera processi “figli” tramite repliche multiple. Se questo processo continua fino ad esaurire le risorse del sistema, vuol dire che siamo stati colpiti da una fork-bomb.

Appena viene lanciato questo attacco, il sistema è di fatto costretto ad eseguirne i comandi ignorando tutto il resto ed anche la tastiera e il mouse diventano assenti. Il sistema si blocca completamente ed è necessario un reset hardware per farlo ripartire.

Cos’è e come funziona un attacco ForkBomb?

Il metodo più semplice consiste nel far eseguire dalla macchina vittima un semplice comando. L’esecuzione di questo comando, che non necessita di privilegi root, crea dunque una serie infinita di processi “figli” così che il sistema esaurisce rapidamente tutte le risorse (memoria, CPU) fino al blocco totale.

Utilizzando vari linguaggi di programmazione è possibile sfruttare metodi simili per mettere in pratica un attacco ForkBomb.

Come difendersi da un attacco ForkBomb?

La possibile contromisura a questo attacco è altrettanto semplice: limitare il possibile numero di processi che possono essere creati all’interno del sistema operativo.

In Linux, per esempio, si può ricorrere alla funzione ulimit, tenendo presente, però, il grande svantaggio che essendo legata alla sessione corrente, al momento del riavvio del computer, è necessario ridare il comando, rendendo molto tediosa la manutenzione dei sistemi in questo modo.

Si può, in alternativa, indicare la stessa limitazione usando il file /etc/security/limits.conf ed indicando che questa limitazione deve valere per tutti gli utenti del computer.

Purtroppo questo rimedio presenta una debolezza in quanto un utente con elevati privilegi o un processo con privilegi di root, potrà comunque iniziare un attacco ForkBomb, indipendentemente da questa configurazione.

Conclusioni

L’attacco ForkBomb causa ancora oggi effetti devastanti sui sistemi, se il programma che lo contiene viene lanciato senza controllo e inoltre tutti i sistemi operativi sono attaccabili.

Sono sufficienti quattro o cinque righe di programma per bloccare istantaneamente il sistema e se fosse installato su un server critico o una macchina che sta eseguendo simulazioni o su un dispositivo chiave per la propria rete, si dovranno prevedere perdita di servizi, ore di lavoro e forse anche di dati preziosi.

Una vera cura preventiva non esiste e nemmeno una mitigazione definitiva sembra possibile. Best practice di settore consigliano, comunque, di installare esclusivamente software fidati e applicare una corretta gestione dei privilegi di utenti e/o processi interni delle macchine per contenere il rischio.

 

Fonte: CyberSecurity360

Attacco ai sistemi della PA italiana, a mancare è la cultura cyber

Un’operazione della Polizia Postale ha portato all’arresto dell’hacker che, tramite attacchi phishing ai sistemi informatici della PA italiana, si sarebbe appropriato di migliaia di informazioni riservate di privati e aziende. Ecco perché quanto accaduto è occasione per ribadire l’importanza della diffusione di un’accurata cultura della sicurezza informatica e l’esigenza di una formazione specifica

È di queste ore la notizia dell’arresto dell’hacker ritenuto responsabile dell’attacco ai sistemi informatici della PA italiana attraverso il quale sono state sottratte centinaia di credenziali di accesso a dati sensibili relativi a posizioni anagrafiche, contributive, di previdenza sociale e dati amministrativi di centinaia di cittadini e imprese italiane.

L’hacker ha attaccato in un primo momento i sistemi informatici di alcuni comuni italiani ed è riuscito ad introdursi in banche dati come quella dell’Agenzia delle Entrate, dell’ACI, dell’Inps, dell’Aci e di Infocamere.

Per portare a termine il suo intento criminale, l’hacker ha dato prova di “un know how informatico di altissimo livello”, come ha spiegato la Polizia postale e ciò conferma ancora una volta l’importanza dell’implementazione di strategie di sicurezza sempre più avanzate, capaci di fronteggiare attacchi sempre più aggressivi e condotti da persone con una notevole competenza in ambito IT.

I numeri

La natura particolarmente sensibile dei dati trattati dagli enti pubblici li rende un obiettivo estremamente interessante per i cyber criminali, che sanno di poter puntare ad un volume elevato di dati estremamente preziosi e la cui monetizzazione, nel Dark Web, può condurre a profitti sostanziosi.

Questo aspetto viene confermato anche dai dati allarmanti del CERT-PA, che opera dal 2013 all’interno dell’Agenzia per l’Italia Digitale e inclusi nel Rapporto Clusit 2019: nel corso del 2018 le segnalazioni di incidenti informatici gestite dal CERT-PA sono state 1.297, contro le 520 del 2017, con un incremento del 150% circa.

Ciò che è ormai imprescindibile, in particolar modo per settori a rischio come la PA, il medicale o l’energetico, è mettere a punto una strategia difensiva completa, che si basi su diversi livelli di protezione.

Il principio cardine della difesa in profondità è che l’approccio a più livelli migliora sensibilmente la sicurezza dell’intero sistema. Qualora un livello venga compromesso, c’è l’opportunità che l’attacco venga fermato dal secondo o terzo strato.

La crescita esponenziale della complessità delle minacce e le competenze sempre più specifiche dei cyber criminali mettono a dura prova l’abilità di proteggersi di molte realtà, siano esse pubbliche o private. Le soluzioni di sicurezza vanno dunque automatizzate il più possibile per individuare e bloccare attacchi coordinati e sofisticati, lavorando insieme per proteggere dati, dispositivi e reti.

Va altresì ricordato che non tutti gli enti pubblici possono contare su risorse illimitate da dedicare specificamente alla cyber security e diventa dunque fondamentale optare per sistemi di sicurezza veloci e facili da installare, configurare e gestire giornalmente, così da ridurre al minimo le spese di gestione.

L’importanza della formazione sulla cyber security

Da ribadire ancora una volta, inoltre, l’importanza della diffusione di un’accurata cultura della sicurezza informatica e l’esigenza di una formazione specifica: alla base del recente attacco ai sistemi informatici della PA italiana vi è infatti, ancora una volta, la tecnica del phishing ovvero la diffusione di e-mail apparentemente provenienti da istituzioni pubbliche, ma che contenevano in realtà contenenti pericolosi malware.

I SophosLabs hanno recentemente rilevano una crescita dei malware del 77% nelle e-mail che vengono intercettate e bloccate dai nostri sistemi di sicurezza e sebbene il comportamento umano sia un elemento debole della cyber sicurezza, il 62% delle aziende non fornisce ai propri dipendenti la formazione necessaria per riconoscere i tentativi di phishing.

Diffondere una cultura della sicurezza e della consapevolezza in materia di protezione dei dati è diventato prioritario, alla luce della costante crescita di fenomeni come il ransomware e l’introduzione di nuove normative come il GDPR.

I dipendenti devono essere responsabili del modo in cui gestiscono i dati e saper individuare un attacco di phishing dovrebbe far parte della loro formazione.

 

Fonte: CyberSecurity360