Connect with us

News

Africa e mala-digitalizzazione

Un binomio che, negli ultimi anni, ha dato origine al moltiplicarsi di cyberfurti a causa di reti obsolete e server mal configurati. Si contano danni ingenti provocati anche dalla crisi causata dal Covid. Tra i soggetti più attivi, quelli del gruppo OPERA1ER

Avatar

Pubblicato

il

Ouaga, Burkina Faso, cinque del mattino. Un gruppo di cybercriminali viola i server di una istituzione finanziaria locale, e ruba una decina di milioni di euro. L’operazione avviene colpendo vulnerabilità ben note di rete e dei server coinvolti, e viene fatta utilizzando strumenti di hacking a malapena configurati. Del bottino non si sa più niente, come degli attaccanti. Non è necessario che l’attacco sia sofisticato, sostengono gli esperti di Orange, l’operatore di telefonia francese che ha una presenza capillare nell’Africa francofona (il Burkina Faso è stato un protettorato francese sino al 1958 ma l’influenza è rimasta). Basta vedere com’è configurata la rete locale della banca colpita per sapere che è un lavoro alla portata di un buon newbie. È un effetto della mala-digitalizzazione.

OPERA1ER

Questo il nome del gruppo che ha condotto l’operazione di hacking a fine di lucro, avendo l’Africa come base, oltre che come bersaglio. A spiegarlo è la società di sicurezza digitale di Singapore, Group-IB. È una guerra combattuta con mezzi obsoleti che poteva accadere solo in una regione del mondo molto povera. Capire il perché è molto facile. Né le competenze degli attaccanti né quelle dei difensori sono particolarmente sofisticate. Strumenti di attacco di base, utilizzati seguendo demo e tutorial presenti in Rete (non necessariamente sul dark web), e bersagli che utilizzano tecnologie di cinque, dieci anni fa, a cui nessuno ha più pensato di cambiare le configurazioni o addirittura di fare gli aggiornamenti di sicurezza. Tra il 2018 e il 2022 sono stati sferrati oltre 30 attacchi contro banche, fornitori di servizi finanziari e società di telecomunicazioni, rubando decine di milioni di dollari in Costa d’Avorio, Mali, Benin, Camerun, Gabon, Niger, Nigeria, Senegal. La lista è lunghissima, le città e i paesi si susseguono su una mappa che disegna un’Africa sostanzialmente insicura e piagata da un nuovo flagello. È il ritardo informatico, la mancanza di competenze. I soldi da rubare ci sono, anche perché i paesi africani per quanto poveri hanno comunque economie che funzionano, un giro d’affari di migliaia di miliardi in dollari. Ci sono grandi disparità economiche ma non serve neanche andare a cercare i dittatori-miliardari con i quali fare il colpo grosso. Basta colpire una banca locale con una rete mal configurata per portare via qualche milione di euro, oppure un’assicurazione che sta installando una nuova rete esterna per i PC delle sue agenzie sul territorio e scoprire che si possono forzare gli account degli utenti e trasferire titoli e polizze senza problemi. Qualche decina di migliaia di euro qua e là, l’ideale per piccole bande di attaccanti che hanno identificato una zona di minore resistenza in un cyber-mondo sempre più connesso ma che, al tempo stesso, diviene sempre più blindato tecnologicamente.

LE INDAGINI

Gli attacchi non sono difficili ma questo non vuol dire che siano adatti a un bambino. OPERA1ER è uno dei tanti gruppi attivi in Africa, probabilmente composto da persone africane. Si fa chiamare anche DESKTOP-group oppure Common Raven, e nasce probabilmente nel 2016, quando ha registrato il suo primo dominio. Conduce i suoi attacchi informatici soprattutto nel fine settimana o durante i giorni festivi perché sono i momenti in cui gli uffici sono chiusi. Lo scorso anno, OPERA1ER era stata individuata: i tecnici della cybersicurezza, prevalentemente europei chiamati dalle assicurazioni dopo l’ultimo raid di attacchi, avevano identificato gli attaccanti, anche se avevano scoperto che il modo di operare non era convenzionale. Tra l’accesso iniziale e il furto vero e proprio poteva passare persino un anno. Una tecnica da “banda del buco”, insomma. Hanno scoperto che probabilmente i cyberladri hanno legami sia con la scena dell’hacking africano che con il mondo della criminalità tradizionale, di cui seguono le logiche e rispettano la tempistica prudente. Il vero problema, hanno capito gli esperti di sicurezza, non è stato tanto identificare gli account dei componenti del gruppo, quanto riuscire a raggiungerli in una rete di nazioni con sistemi giudiziari diversi e situazioni politiche complesse (in alcuni casi anche con delle guerre civili in corso). In ogni caso, dopo aver capito di essere stato identificato, il gruppo OPERA1ER ha cancellato tutte le sue tracce e si è dato alla macchia per alcuni mesi. Per riemergere nel 2022 per un nuovo round di attacchi. Dimostrando, ancora una volta, di essere in grado di rubare milioni di dollari grazie sostanzialmente agli strumenti mal configurati e in molti casi obsoleti, utilizzati dalle agenzie e dalle istituzioni.

 

Nel 2022 il Togo, in collaborazione con la Commissione economica per l’Africa delle Nazioni Unite, ha istituito un centro di monitoraggio della sicurezza informatica a Lome per servire l’intero continente.

 

 

[wpdevart_facebook_comment curent_url="http://developers.facebook.com/docs/plugins/comments/" order_type="social" title_text="Facebook Comment" title_text_color="#000000" title_text_font_size="22" title_text_font_famely="monospace" title_text_position="left" width="100%" bg_color="#d4d4d4" animation_effect="random" count_of_comments="7" ]

News

RedHat cambia l’accesso a RHEL

Red Hat Enterprise Linux è alla base di numerose altre distribuzioni ma il mondo Open Source è già corso ai ripari

Avatar

Pubblicato

il

Red Hat ha annunciato a fine giugno che limiterà l’accesso pubblico al codice sorgente di Red Hat Enterprise Linux (RHEL) a CentOS Stream. Questa decisione ha suscitato la preoccupazione di alcuni membri della comunità Linux, poiché RHEL è essenziale per molti progetti Open Source, come Rocky Linux, AlmaLinux e Oracle Linux. Il team di Rocky Linux, per esempio, ha espresso il suo disappunto per la scelta di Red Hat in termini poco equivoci scrivendo: “I Termini di Servizio e gli Accordi di Licenza con l’Utente Finale di Red Hat impongono condizioni che cercano di ostacolare i clienti legittimi nell’esercizio dei loro diritti garantiti dalla licenza GPL.
Mentre la comunità discute se ciò violi la GPL, noi crediamo fermamente che tali accordi violino lo spirito e lo scopo dell’Open Source”. AlmaLinux ha espresso concetti non dissimili.
La decisione di Red Hat di limitare l’accesso al codice sorgente di RHEL si ripercuote su altre distribuzioni Linux in diversi modi, ma tutti sono determinati a continuare con i propri aggiornamenti senza creare problemi agli utenti, anche se ora la procedura risulta più complessa. AlmaLinux ha sottolineato che il futuro della distribuzione è roseo, ma ha deciso di abbandonare l’obiettivo di essere compatibile 1:1 con RHEL.

Nel frattempo Red Hat ha accaloratamente difeso la sua posizione e ha dichiarato di rimanere impegnata nello sviluppo Open Source e di continuare a contribuire con il proprio codice upstream.

Un importante sviluppo in questa catena di eventi è che SUSE intende investire 10 milioni di dollari per creare un fork di RHEL e sviluppare una distribuzione compatibile. SUSE dichiara di mirare a preservare l’innovazione e a fornire ai clienti e alla comunità Open Source delle scelte autentiche. Anche se non c’è una data di rilascio precisa, l’investimento significativo garantisce il progresso del progetto nei prossimi anni.

 

L’annuncio della limitazione dell’accesso pubblico al codice sorgente di RHEL ha suscitato forti reazioni di alcuni membri della comunità Linux e delle distribuzioni che sono basate su quella di Red Hat

 

Leggi anche: “Kali Linux 2023.3 è qui!


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Apple corre ai ripari!

Scoperte tre vulnerabilità zero-day. Nel mirino degli attaccanti iOS, iPadOS, macOS, watchOS e Safari.

Avatar

Pubblicato

il

Sono stati rilasciati nuovi aggiornamenti di emergenza, confermati dalla stessa Apple, volti a correggere tre vulnerabilità zero-day nei sistemi operativi Apple iOS, iPadOS e MacOS. Il bollettino di sicurezza pubblicato dal CSIRT Italia, cataloga come grave/rosso (75,38/100) l’impatto delle vulnerabilità.

Secondo Bill Marczak del Citizen Lab della Munk School dell’Università di Toronto e Maddie Stone del Threat Analysis Group (TAG) di Google, questi nuovi 0day potrebbero essere stati utilizzati come parte di spyware, altamente mirati, destinati a scopi civili. Con queste tre nuove vulnerabilità arrivano a 16 il numero totale di bug zero-day scoperti nel software Apple dall’inizio di quest’anno.

Ecco in dettaglio l’elenco delle vulnerabilità della sicurezza:

  • CVE-2023-41991: problema riscontrato nella convalida del certificato nel framework di sicurezza. Questo potrebbe permettere a un’app dannosa di ignorare la convalida della firma;
  • CVE-2023-41992: si tratta di una falla di sicurezza presentenel kernel che potrebbe consentire a un utente malintenzionato di elevare i propri privilegi;
  • CVE-2023-41993: un attaccante potrebbe sfruttare un difetto all’interno del WebKit per eseguire codice arbitrario durante l’elaborazione di contenuti Web appositamente predisposti.

 

Apple è corsa subito ai ripari fornendo gli aggiornamenti per i seguenti dispositivi e sistemi operativi:

iOS 16.7 e iPadOS 16.7: iPhone 8 e successivi, iPad Pro (tutti i modelli), iPad Air 3a generazione e successivi, iPad 5a generazione e successivi e iPad mini 5a generazione e successivi.

iOS 17.0.1 e iPadOS 17.0.1 – iPhone XS e successivi, iPad Pro 12,9 pollici 2a generazione e successivi, iPad Pro 10,5 pollici, iPad Pro 11 pollici 1a generazione e successivi, iPad Air 3a generazione e successivi, iPad 6a generazione e successive, iPad mini 5a generazione e successive.

MacOS Monterey 12.7 e MacOS Ventura 13.6

WatchOS 9.6.3WatchOS 10.0.1 – Apple Watch Series 4 e versioni successive.

 

Safari 16.6.1 – macOS Big Sur e macOS Monterey

 

 

*illustrazione articolo progettata da  Freepik

 

Continua a Leggere

News

Nasce un polo per la cybersicurezza

HWG Sababa è una nuova azienda made in italy che mira a guidare grandi aziende, infrastrutture critiche e istituzioni nelle crescenti sfide legate alla sicurezza informatica.

Avatar

Pubblicato

il

Nasce HWG Sababa, una nuova azienda italiana pronta ad affrontare le continue sfide del mercato della cybersecurity come fornitore consolidato di sicurezza informatica end-to-end. Il nuovo polo d’eccellenza italiano nella cybersecurity nasce in seguito all’accordo tra HWG S.r.l., azienda specializzata nell’erogazione di servizi gestiti e consulenza in ambito cyber, e Sababa Security S.p.A., primario fornitore di cybersecurity di soluzioni di sicurezza integrate e personalizzate per la protezione dell’IT, OT e ambienti IoT dalle minacce informatiche.

L’obiettivo principale di HWG Sababa è consolidare la posizione di riferimento in Italia e nell’area mediterranea in grado di far fronte alle complesse sfide del mercato, offrendo ai clienti servizi specializzati e completi grazie al supporto di oltre 170 risorse completamente focalizzate sulla cybersecurity, e a investimenti in Ricerca e Sviluppo nella sicurezza digitale in tematiche emergenti e fondamentali per la resilienza del sistema paese, come OT, IoT e Automotive, supportati da una forte collaborazione con università e centri di eccellenza.

“Con alle spalle venti anni di esperienza verticale nel settore della cyber security, la fusione delle due aziende HWG e Sababa ci rende una realtà ancora più forte sul mercato. HWG Sababa rappresenta infatti l’inizio di un nuovo percorso volto a rafforzare ulteriormente un rapporto già consolidato negli anni. Questa fusione non farà altro che incrementare la nostra presenza a livello globale con un occhio orientato sempre al futuro per prevedere nuove minacce prima che arrivino ai clienti, aiutandoli ad implementare programmi avanzati di resilienza”, ha commentato Alessio Aceti, CEO di HWG Sababa.

“Il nostro obiettivo è quello di proteggere l’infrastruttura e analizzare il rischio aziendale per migliorare la postura di sicurezza e consentire la continuità del business. Insieme a Sababa saremo in grado di fornire ai nostri clienti un portafoglio completo di servizi di sicurezza in ambito cyber, in grado di coprire l’intero processo della catena del valore. La combinazione delle competenze di queste due aziende ha come obiettivo quello di diventare uno dei più rilevanti operatori di sicurezza informatica della regione del Mediterraneo”, ha commentato Enrico Orlandi, Presidente di HWG Sababa.

 

Leggi anche: ” ACN: strategia nazionale di cybersicurezza italiana 2022-2026″


Hai trovato questo articolo interessante? Seguici su Facebook , Twitter, Mastodon

Continua a Leggere

News

Eventi nel mirino degli hacker

Un report di Microsoft evidenzia l’incremento di minacce informatiche associate a grandi eventi

Avatar

Pubblicato

il

Il recente rapporto Cyber Signals evidenzia un preoccupante trend di attacchi rivolti a grandi eventi sportivi e di intrattenimento. Tracciando i dati interni e la telemetria ottenuta durante la fornitura di supporto per la cybersecurity delle infrastrutture critiche durante l’organizzazione della Coppa del Mondo FIFA, Microsoft ha analizzato oltre 634,6 milioni di eventi, proteggendo infrastrutture e organizzazioni in Qatar. La ricerca ha incluso la tutela di 45 organizzazioni e 144 mila identità, e ha permesso l’analisi di 14,6 milioni di flussi di email, 634,6 milioni di autenticazioni e 4,35 miliardi di connessioni di rete. L’alto afflusso di persone e la conseguente circolazione di dati sensibili attraverso i loro dispositivi aumenta la superficie di attacco.
Questo si traduce in un’opportunità unica per i criminali informatici, specialmente coloro specializzati in attacchi ransomware, compromissione di e-mail aziendali e furto di dati finanziari.

Continua a Leggere

News

Bug negli hypervisor VMware ESXi

Mandiant rivela dettagli su una potente campagna di spionaggio informatico da parte del gruppo cinese UNC3886

Avatar

Pubblicato

il

Società leader nella sicurezza informatica, Mandiant ha da poco pubblicato una ricerca approfondita su UNC3886, un sofisticato attore di minacce cinese con una solida competenza in attività di spionaggio informatico. Questo gruppo è ora stato segnalato per l’uso di un’exploit zero-day per gli hypervisor VMware ESXi, identificato come CVE-2023-20867.
Charles Carmakal, CTO di Mandiant Consulting e Google Cloud, descrive UNC3886 come “uno degli attori legati alla Cina più abili nell’ambito dello spionaggio informatico”. La vulnerabilità scoperta consente all’attore delle minacce di eseguire comandi su una VM guest dall’hypervisor, senza necessità di una password di amministratore/root della VM guest. L’attaccante dovrà prima ottenere l’accesso a un hypervisor, per esempio tramite credenziali rubate. Dal punto di vista forense, questi processi sembrano legittimi, originati da un file eseguibile VMware autentico e firmato digitalmente, come vmtoolsd.exe su VM guest Windows. Significativamente, Mandiant ha rilevato UNC3886 che sfrutta i socket VMCI. Dopo l’implementazione di una backdoor VMCI su un hypervisor, è possibile riconnettersi alla backdoor da qualsiasi macchina guest in cui viene eseguita, indipendentemente dalla connettività di rete o dalle configurazioni VLAN.

Continua a Leggere

News

I pirati sfruttano i led dei cellulari

Scoperta una nuova tecnica di pirateria informatica che si basa sui LED dell’alimentazione per ottenere le chiavi di cifratura

Avatar

Pubblicato

il

Sono elementi comuni su quasi tutti i dispositivi mobili e servono principalmente e banalmente per segnalare diversi stati del dispositivo, come la carica della batteria o l’attività in corso. Tuttavia, alcuni esperti di sicurezza hanno recentemente  scoperto che questi innocui indicatori possono rivelare, involontariamente, molto più di quanto si pensasse inizialmente.

Mediante tecniche sofisticate di registrazione e analisi, i pirati informatici pare siano in grado di decifrare i pattern di illuminazione dei LED e derivare le chiavi di cifratura utilizzate dal dispositivo. E questo tipo di attacco, basato su ciò che è noto come “analisi delle emissioni secondarie”, consentirebbe ai malintenzionati di accedere a dati crittografati, bypassando le tradizionali misure di sicurezza. La portata di questo metodo è un ulteriore motivo di preoccupazione: sarebbero 18, infatti, i metri di distanza sufficienti a un pirata informatico per registrare i LED di un dispositivo, rendendo così l’attività sospetta estremamente difficile da rilevare. Una minaccia che pone una significativa sfida alla comunità che si occupa di sicurezza informatica.

In attesa di contromisure efficaci, il consiglio degli esperti è quello di adottare delle precauzioni pratiche, come coprire i LED del vostro dispositivo (quando possibile), e mantenere un’alta consapevolezza dell’ambiente circostante, specialmente quando si utilizzano reti non sicure o si accede a informazioni sensibili. Tutto al fine di mitigare il rischio.

 

Leggi anche: “Milioni di telefoni Android vulnerabili all’attacco Man In the Disk

Continua a Leggere

News

Attacchi filo-russi: l’ACN interviene

L’Agenzia per la Cybersicurezza Nazionale (Acn) fa sapere che monitora attentamente l’escalation del gruppo Noname057(16)

Avatar

Pubblicato

il

L’ACN ha dichiarato che sta monitorando “con la massima attenzione” le minacce alla funzionalità dei siti istituzionali e delle organizzazioni che offrono servizi essenziali alla collettività. Nonostante gli attacchi siano stati di natura “dimostrativa”, l’Acn ha rassicurato che l’integrità e la riservatezza delle informazioni e dei sistemi coinvolti non sono state compromesse.

Inizialmente, il gruppo Noname057(16) ha preso di mira una serie di aziende di trasporto pubblico locale, dall’Amat di Palermo all’Anm di Napoli. Successivamente, hanno rivolto la loro attenzione alle banche. Le vittime della frode sono state prontamente avvisate e sono state prese misure immediate per mitigare gli effetti degli attacchi, come parte di un approccio di contrasto e prevenzione consolidato.

 

 

Leggi anche: “5 banche colpite da attacchi DDos

Continua a Leggere

Trending