Scoprire un nuovo APT (Minaccia Avanzata Persistente) non è una cosa facile, non tanto per la capacità elusiva della singola attività, ma quanto per la difficoltà di correlare le attività di minaccia e associarle ad un’unica organizzazione. Si tratta di comprendere le TTP (Tattiche, Tecniche e Procedure) che la minaccia adotta e legarle come un filo rosso nelle differenti tracce di attività rilevate. 

È così che una minaccia persistente possa agire indisturbata per mesi o per anni prima che possa essere individuata e seguita nelle sue attività fino al punto di poterne contrastare le capacità offensive. 

Recentemente i SentinelLabs di SentinetOne hanno potuto chiudere il cerchio delle ricerche ed individuare come tutta una serie di attività, che da un decennio imperversano in differenti paesi del sud-est asiatico (Cambogia, Singapore, Vietnam e Hong Kong), ma anche in Australia, fossero legate ad un'unica entità. Questo gruppo di minaccia ha preso di mira per tutto questo lungo periodo organizzazioni governative, educative, e di telecomunicazioni essenzialmente con finalità di spionaggi

Quando di parla di certificazioni in ambito IT si apre la discussione del secolo. 

Schiere di esperti che decantano le certificazioni “riconosciute” per ogni settore dell’IT e per ogni livello di professionalità. 

Finché si parla di certificazioni IT su prodotti, i vari Vendor la fanno da padrone; ecco che Microsoft rilascia esami di certificazione per riconoscere le competenze sui propri prodotti, seguita poi da tutti gli altri, da Cisco a Red Hat (non me ne vogliano i brand che non ho menzionato). 

Quando si esce dalla certificazione di prodotto e si entra in quella riguardante un particolare ambiente, come la Cybersecurity, il gioco si fa più interessante. 

Innanzitutto, bisogna chiarire cosa significa certificazione “riconosciuta”. 

Non esistono enti nazionali o sovranazionali che riconoscano una certificazione, quindi il termine “riconosciuta” è abusato

In quale modo possiamo rendere privata una comunicazione? 

In quale modo, in sostanza, possiamo impedire che altri soggetti possano leggere, ascoltare, e finanche intervenire nella comunicazione? 

È una domanda antica e persino sentita già nei primi anni di vita: quanti bambini, per gioco, inventano un proprio linguaggio, un linguaggio “segreto” per condividere ciò che ritengono prezioso solo tra coloro che considerano amici? Lo si fa poi nelle comitive adolescenziali, e via via fino a forme ritualistiche di congreghe e logge. 

La questione però è ben più insidiosa di piccoli segreti tra bambini più o meno cresciuti,

Una minaccia sotto forma di documento Office è stata nuovamente vista in natura. 

Si tratta di una falla di sicurezza già segnalata a Microsoft in aprile quando l’analista Kevin Beaumont ne ha trovato traccia in attacchi contro obiettivi russi (anche se VirusTotal indica obiettivi anche Bielorussi): questa segnalazione però non ha portato dei rimedi immediati, anzi, la società di Redmond ha ignorato inizialmente la questione indicandola come una questione “non di sicurezza”. 

In concreto si tratta della vulnerabilità CVE-2022-30190, ora salita agli altari della cronaca dopo che l’Unità 42 di Palo Alto ne ha evidenziato tracce di utilizzo in natura, benché ancora come semplici prove (hanno visto dalla telemetria dei loro clienti l’attivazione mediante questa debolezza di eseguibili “benigni” quali calc e notepad: per ora “benigni”).