Scoprire un nuovo APT (Minaccia Avanzata Persistente) non è una cosa facile, non tanto per la capacità elusiva della singola attività, ma quanto per la difficoltà di correlare le attività di minaccia e associarle ad un’unica organizzazione. Si tratta di comprendere le TTP (Tattiche, Tecniche e Procedure) che la minaccia adotta e legarle come un filo rosso nelle differenti tracce di attività rilevate. 

È così che una minaccia persistente possa agire indisturbata per mesi o per anni prima che possa essere individuata e seguita nelle sue attività fino al punto di poterne contrastare le capacità offensive. 

Recentemente i SentinelLabs di SentinetOne hanno potuto chiudere il cerchio delle ricerche ed individuare come tutta una serie di attività, che da un decennio imperversano in differenti paesi del sud-est asiatico (Cambogia, Singapore, Vietnam e Hong Kong), ma anche in Australia, fossero legate ad un'unica entità. Questo gruppo di minaccia ha preso di mira per tutto questo lungo periodo organizzazioni governative, educative, e di telecomunicazioni essenzialmente con finalità di spionaggi

In quale modo possiamo rendere privata una comunicazione? 

In quale modo, in sostanza, possiamo impedire che altri soggetti possano leggere, ascoltare, e finanche intervenire nella comunicazione? 

È una domanda antica e persino sentita già nei primi anni di vita: quanti bambini, per gioco, inventano un proprio linguaggio, un linguaggio “segreto” per condividere ciò che ritengono prezioso solo tra coloro che considerano amici? Lo si fa poi nelle comitive adolescenziali, e via via fino a forme ritualistiche di congreghe e logge. 

La questione però è ben più insidiosa di piccoli segreti tra bambini più o meno cresciuti,

Quando di parla di certificazioni in ambito IT si apre la discussione del secolo. 

Schiere di esperti che decantano le certificazioni “riconosciute” per ogni settore dell’IT e per ogni livello di professionalità. 

Finché si parla di certificazioni IT su prodotti, i vari Vendor la fanno da padrone; ecco che Microsoft rilascia esami di certificazione per riconoscere le competenze sui propri prodotti, seguita poi da tutti gli altri, da Cisco a Red Hat (non me ne vogliano i brand che non ho menzionato). 

Quando si esce dalla certificazione di prodotto e si entra in quella riguardante un particolare ambiente, come la Cybersecurity, il gioco si fa più interessante. 

Innanzitutto, bisogna chiarire cosa significa certificazione “riconosciuta”. 

Non esistono enti nazionali o sovranazionali che riconoscano una certificazione, quindi il termine “riconosciuta” è abusato

Una minaccia sotto forma di documento Office è stata nuovamente vista in natura. 

Si tratta di una falla di sicurezza già segnalata a Microsoft in aprile quando l’analista Kevin Beaumont ne ha trovato traccia in attacchi contro obiettivi russi (anche se VirusTotal indica obiettivi anche Bielorussi): questa segnalazione però non ha portato dei rimedi immediati, anzi, la società di Redmond ha ignorato inizialmente la questione indicandola come una questione “non di sicurezza”. 

In concreto si tratta della vulnerabilità CVE-2022-30190, ora salita agli altari della cronaca dopo che l’Unità 42 di Palo Alto ne ha evidenziato tracce di utilizzo in natura, benché ancora come semplici prove (hanno visto dalla telemetria dei loro clienti l’attivazione mediante questa debolezza di eseguibili “benigni” quali calc e notepad: per ora “benigni”).

Sembra un gioco di parole, ed invece è uno dei tanti allarmi lanciati quest’anno rispetto alla sicurezza di tecnologie utilizzate in modo diffuso. 

Zoom è la piattaforma di collaborazione che ha avuto una esplosione di notorietà ed utilizzo nel periodo di pandemia, come molte altre piattaforme concorrenti. Il mondo da quel momento è profondamente cambiato e l’utilizzo di tali piattaforme è divenuto consuetudine anche per gruppi sociali precedentemente inimmaginabili. 

Evidentemente una così ampia diffusione di utilizzo crea bacini di potenziali vittime enorme, pertanto gli agenti di minaccia potrebbero trovare grande interesse per questa nuova superficie di attacco. 

Come è possibile vedere nell’elenco ufficiale dei bollettini di sicurezza emanati dalla società Zoom (https://explore.zoom.us/en/trust/security/security-bulletin/), anche a maggio sono stati rilevati 4 nuovi problemi di sicurezza

Le campagne basate su email e veicolanti un malware occultato in un allegato coerente con il messaggio sono la consuetudine; ci si aspetta anche che l’allegato sia un documento Office (Word o Excel), visto che quasi la metà degli attacchi in questa prima parte del 2022 ha preso questa forma. Niente di più sorprendente dunque quello di rivedere un attacco in natura basato su un trasporto di documento PDF, cosa invece rilevata di recente dai ricercatori di sicurezza. 

La vittima viene ingannata dall’urgenza di un pagamento di una rimessa diretta le cui informazioni dovrebbero essere incluse nell’allegato PDF. 

Naturalmente il file PDF è solo l’esca: in effetti questo non è il payload definitivo, bensì sfrutta Microsoft Word per trasportare (in un secondo momento rispetto alla prima infezione) il carico utile effettivo: il malware orientato al furto di informazioni Snake Keylogger. Questo è un software sviluppato in .NET già visto nel 2020 che può mettere le mani sulle credenziali salvate, le sequenze di tasti digitate dalla vittima (da cui il nome keylogger), gli screenshot dello schermo del dispositivo vittima e naturalmente gli appunti (i dati trasferiti mediante l’utilizzatissima procedura del “copia e incolla”). 

Il malware viene trasportato attraverso una sequenza di aperture di documenti (a partire dal PDF) che ne maschera gli intenti di fondo; nel PDF è presente un documento Word di tipo .docx incapsulato e denominato appositamente con una frase (“has been verified. However PDF, Jpeg, xlsx, .docx”) creata in modo tale da divenire parte del tipico messaggio di avviso che

Come ogni anno, Verizon ha pubblicato il suo rapporto 2022 “Data Breach Investigation Report” (DBIR). 

Il rapporto evidenzia come il peso di responsabilità rispetto agli incidenti di sicurezza si sia pesantemente sbilanciato verso i dipendenti delle aziende e come si sia mostrata debole la catena degli approvvigionamenti, causa questa di molteplici incidenti (come nel famigerato caso del 2020 che ha coinvolto i clienti SolarWind, i cui effetti si sono propagati, per la clientela, fino al 2021). 

Insomma non solo ransomware nel mirino degli esperti (fenomeno comunque preponderante e che ha pure evidenziato una tendenza al rialzo), ma anche “il nemico in casa”. 

Il ransomware non è affatto una novità, e non lo sarà per molto. Il suo peso relativo è considerevole: continua ad essere la forma più frequente delle violazioni da malware per il semplice fatto che è l’azione che con più facilità garantisce un guadagno agli operatori di minaccia. È qualcosa che probabilmente proseguirà a lungo. 

Nel 2021 (l’anno oggetto del rapporto 2022) si è visto un aumento di violazioni a sistemi e software nella catena di approvvigionamento, nel partenariato e forniture terze parti, una

Sembra, ma la fonte (AdvIntel) è autorevole, che il gruppo ransomware Conti abbia chiuso la sua attività, o almeno l’attività sotto questo brand. Il fenomeno non è sorprendente, né nuovo: molti altri gruppo di cybercriminali, dopo aver raggiunto una certa fama, e dopo aver attirato troppo l’attenzione delle forze dell’ordine preferiscono scomparire nell’ombra. Conti era già una “fenice”: Conti infatti era nato nel 2020 dalle cenere del gruppo ransomware Ryuk. Quindi nulla di nuovo. 

Quello che in questo caso è particolare è la stretta relazione con quanto sta accadendo con la guerra Russia-Ucraina. Infatti il gruppo Conti, noto per avere struttura e dimensioni di una vera e propria industria informatica e operante prevalentemente a partire dal territorio russo, all’inizio dell’invasione all’Ucraina si era apertamente schierato con l’amministrazione della federazione russa. 

Che il gruppo fosse uno dei più importanti lo dice il fatto che il governo degli Stati Uniti abbia offerto una ricompensa di 15 milioni di dollari per l’identificazione e la localizzazione dei membri della gang. 

Eppure tutto ora viene abbandonato alla velocità della luce: i

Introdurre dei correttivi al proprio ecosistema nella speranza di migliorare il TCO senza doversi imbarcare in complesse ristrutturazioni è l’obiettivo di molti data center, e Intel, con la sua tecnologia Optane, promette proprio questo. In particolare Intel Optane SSD, nella variante DC (dedicata ai Data center), combina controller di memoria e storage veloci allo stato solido per eliminare il collo di bottiglia tipico degli storage “meccanici” di grandi dimensioni, e così facendo accelera complessivamente le applicazioni e riduce i carichi di lavoro sulle transazioni. 

Ma l’hardware non è solo un “pezzo di ferro”; perché funzionino, i dispositivi hanno del software che gestisce la complessità interna con cui questi oggetti sono realizzati. Questo particolare software è detto firmware. I primi firmware erano posti (da cui il termine) in memorie a sola lettura (ROM) per cui un aggiornamento richiedeva la sostituzione del componente: oggi l’aggiornamento del firmware è cosa più semplice (e frequente) grazie a sistemi di memoria più malleabili (EEPROM e

Il 10 maggio Microsoft ha rilasciato il canonico aggiornamento mensile: May 2022 Patch. 

Anche in questo caso non si è trattato di un aggiornamento di poco conto, non solo per la pletora di software di sistema coinvolti, ma anche, e soprattutto, visto che ha risolto ben 73 problemi di sicurezza, tra cui 2 vulnerabilità 0-day delle quali 1 già “vista in natura”. 

Anche la gravità delle vulnerabilità non è di poco conto: si hanno 6 vulnerabilità critiche e 66 importanti. Anche il tipo di sfruttamento è da tenere in considerazione, in quanto oltre la metà delle vulnerabilità sfrutta Remote Code Execution (RCE) e Elevation of Privileges (EoP) quali metodi di attacco. 

Vediamo in dettaglio alcune delle vulnerabilità risolte. 

Non è propriamente un elemento dell’ecosistema Microsoft, ma in architetture complesse la convivenza con altri sistemi è necessaria, pertanto non è poi così impossibile pensare alla presenza attiva si un servizio Network File System (NFS) in ambiente Microsoft. Ed è proprio questo servizio, nella versione 2 e 3, che con la vulnerabilità critica (ha ottenuto da Microsoft un CVSSv3 di 9.8) CVE-2022-26937 rischiava di venire espugnato da un attaccante remoto e non