Cyber Assedio Globale: Codice rubato, rootkit invisibili e nuova era degli attacchi su cloud e blockchain

Nel panorama della cybersecurity, le minacce diventano sempre più sofisticate e silenziose, come dimostrato dai principali casi della settimana. Uno degli eventi più rilevanti ha riguardato F5 Networks, che ha subito una violazione da parte di attori legati a uno stato-nazione.

Gli aggressori sono riusciti a infiltrarsi nei sistemi aziendali per almeno dodici mesi, sottraendo file contenenti il codice sorgente di BIG-IP e dettagli su vulnerabilità non ancora divulgate. A questa azione è stata associata la famiglia malware BRICKSTORM, riconducibile a un gruppo di cyberspionaggio cinese. Questo tipo di incidenti evidenzia come le infrastrutture di edge e i fornitori di sicurezza restino obiettivi primari per chi intende compromettere la sicurezza globale delle reti.

Nell’ambito delle tecniche di attacco emergenti, spicca l’utilizzo di EtherHiding da parte di gruppi nordcoreani, che sfruttano smart contract blockchain per distribuire malware e favorire il furto di criptovalute. Questi attacchi, orchestrati tramite campagne di social engineering su LinkedIn e piattaforme di messaggistica, mostrano come il crimine informatico evolva integrando tecnologie decentralizzate per aumentare la persistenza e la furtività.

Un altro fronte caldo riguarda i rootkit su Linux, con la scoperta di LinkPro, un nuovo rootkit che sfrutta moduli eBPF per nascondersi ed essere attivato da pacchetti TCP specifici. Questo permette agli attaccanti di aggirare i sistemi di difesa tradizionali e mantenere il controllo sulle macchine compromesse, soprattutto in ambienti cloud come AWS.

Anche i dispositivi di rete Cisco sono stati bersaglio di attacchi tramite la campagna Zero Disco, che ha sfruttato una vulnerabilità SNMP per installare rootkit su dispositivi datati e non aggiornati. Parallelamente, i dispositivi Android sono risultati vulnerabili a Pixnapping, un attacco side-channel che consente il furto di dati sensibili come codici 2FA e cronologie di Google Maps senza che l’utente se ne accorga.

Tra le vulnerabilità più critiche della settimana figurano diversi CVE che coinvolgono sistemi Microsoft, Red Lion, Ivanti, Veeam, Google Chrome e Fortinet. Molti di questi difetti vengono sfruttati rapidamente dagli attaccanti, ribadendo l’importanza della tempestività nelle patch e nell’inventario delle superfici esposte.

Infine, l’errore umano e le configurazioni errate continuano a rappresentare la principale causa di breach nel cloud. L’utilizzo di strumenti come ScoutSuite, Prowler e Cloud Custodian aiuta a individuare e correggere le impostazioni insicure, riducendo il rischio di esposizione accidentale di dati.