Sicurezza Informatica
Cina accusa gli USA: “Volt Typhoon siete voi” e perfeziona la minaccia quantistica
Tempo di lettura: 2 minuti. La Cina nega le accuse di spionaggio legate al gruppo Volt Typhoon mentre i suoi scienziati fanno progressi nel calcolo quantistico, minacciando la crittografia militare.
Recenti sviluppi nel campo della sicurezza informatica e del calcolo quantistico mettono in evidenza il ruolo sempre più rilevante della Cina in questi settori. Da un lato, il governo cinese continua a contestare le accuse occidentali di cyber-spionaggio legate al gruppo Volt Typhoon, mentre dall’altro, scienziati cinesi affermano di aver compiuto progressi significativi nel calcolo quantistico, mettendo in discussione la sicurezza degli algoritmi crittografici di livello militare utilizzati a livello globale.
Il caso Volt Typhoon e le accuse di spionaggio
Il gruppo Volt Typhoon, accusato di essere una minaccia sponsorizzata dalla Cina per compiere operazioni di cyber-spionaggio, è nuovamente al centro di una controversia. Secondo un nuovo rapporto pubblicato dalle autorità cinesi, queste accuse sarebbero parte di una strategia di disinformazione orchestrata dagli Stati Uniti. In un documento intitolato “Volt Typhoon III – Unravelling Cyberespionage and Disinformation Operations Conducted by US Government Agencies“, le autorità cinesi ribadiscono che il gruppo non è gestito da Pechino, ma è piuttosto un’invenzione degli Stati Uniti e dei loro alleati.
Il documento, pubblicato in cinque lingue e prodotto dal Centro Nazionale di Risposta alle Emergenze sui Virus Informatici cinese, tenta di smontare le accuse puntando su presunte lacune nelle prove fornite da Microsoft e dagli Stati Uniti. Viene anche menzionato il programma di sorveglianza senza mandato della NSA (Section 702), così come le operazioni di raccolta dati di PRISM, resi noti da Edward Snowden nel 2013. Tuttavia, il rapporto non fornisce dettagli concreti per supportare le sue affermazioni, e si limita a invocare la collaborazione internazionale per migliorare la sicurezza informatica globale.
Il calcolo quantistico e la minaccia agli algoritmi crittografici militari
Parallelamente, scienziati cinesi hanno fatto un annuncio allarmante riguardo al futuro della crittografia basata su algoritmi classici come RSA e AES. In un recente studio pubblicato da Wang Chao dell’Università di Shanghai, si afferma che un computer quantistico D-Wave sia stato utilizzato per eseguire un attacco riuscito contro questi algoritmi, dimostrando che le tecniche quantistiche potrebbero minacciare seriamente la sicurezza delle informazioni critiche utilizzate nel settore bancario e militare.
Lo studio, intitolato Quantum Annealing Public Key Cryptographic Attack Algorithm Based on D-Wave Advantage, descrive due approcci tecnici per sfidare la sicurezza crittografica classica. Uno di questi sfrutta interamente il calcolo quantistico basato sull’algoritmo di annealing quantistico, mentre l’altro combina tecniche di calcolo classico con il calcolo quantistico per superare le limitazioni dei metodi tradizionali.
Questo rappresenta un potenziale punto di svolta nella sicurezza informatica globale, in quanto algoritmi come l’AES-256, considerati sicuri a livello militare, potrebbero presto essere vulnerabili a attacchi quantistici. Tuttavia, istituti come il NIST stanno già lavorando su algoritmi crittografici post-quantistici per garantire la protezione delle informazioni contro questi futuri sviluppi.
La Cina si trova oggi al centro di due questioni critiche nel campo della sicurezza informatica: da un lato, è accusata di condurre operazioni di cyber-spionaggio con il gruppo Volt Typhoon, accuse che nega fermamente, e dall’altro, scienziati cinesi stanno esplorando nuove frontiere nel calcolo quantistico, mettendo in dubbio la solidità della crittografia tradizionale. Entrambe queste tematiche sottolineano come la Cina stia giocando un ruolo sempre più centrale nel panorama della sicurezza globale, sia come potenziale minaccia, sia come innovatore tecnologico.
Sicurezza Informatica
Jetpack risolve vulnerabilità critica esistente dal 2016
Tempo di lettura: < 1 minuto. Jetpack risolve una vulnerabilità critica che esisteva dal 2016. Aggiorna subito il plugin per garantire la sicurezza del tuo sito WordPress.
Recentemente, i manutentori del plugin Jetpack per WordPress hanno rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità critica, scoperta durante un audit interno, che consentiva agli utenti registrati di accedere ai moduli inviati da altri visitatori del sito. Questa vulnerabilità in Jetpack ha interessato tutte le versioni del plugin a partire dalla 3.9.9 del 2016 e riguarda la funzione Contact Form.
Il plugin Jetpack, sviluppato da Automattic, è una suite completa di strumenti utilizzati da oltre 27 milioni di siti WordPress per migliorare la sicurezza, le prestazioni e la crescita del traffico.
Dettagli della vulnerabilità e aggiornamenti
La vulnerabilità scoperta consentiva agli utenti registrati di leggere i dati dei moduli inviati dai visitatori di un sito. Sebbene non ci siano prove di un utilizzo malevolo di questa falla fino ad oggi, la sua divulgazione pubblica potrebbe portare a tentativi di sfruttamento in futuro. Pertanto, i gestori di siti web che utilizzano Jetpack sono stati invitati ad aggiornare immediatamente il plugin.
Jetpack ha collaborato con il WordPress Security Team per rilasciare aggiornamenti di sicurezza automatici su tutte le installazioni interessate. L’aggiornamento coinvolge ben 101 versioni del plugin, a partire dalla versione 13.9.1 e retroattivamente fino alla versione 3.9.10.
Assenza di mitigazioni e raccomandazioni
Al momento, non sono disponibili soluzioni alternative per questa vulnerabilità. L’unico modo per proteggere i siti che utilizzano Jetpack è installare l’aggiornamento fornito. Jetpack ha anche specificato che, nonostante la vulnerabilità sia rimasta latente per otto anni, non sono state rilevate prove di attacchi informatici che abbiano sfruttato questa falla.
Il problema di Jetpack non è isolato: si tratta dell’ultimo di una serie di vulnerabilità che il plugin ha corretto negli anni, inclusa una risolta nel giugno 2023 che era presente fin dal 2012.
Sicurezza Informatica
Trump si rafforza con telefoni ‘impenetrabili’ e Musk tutela Vance
Tempo di lettura: 2 minuti. Trump e la sua campagna si preparano per le elezioni con telefoni “inviolabili” di Green Hills Software, dopo intrusioni iraniane.
A meno di un mese dalle elezioni presidenziali negli Stati Uniti, il team di Donald Trump ha investito in tecnologia sicura per prevenire nuovi attacchi informatici. Dopo che hacker pro-iraniani hanno rubato email e altri dati dalla campagna, il fornitore di attrezzature militari Green Hills Software ha fornito telefoni e computer ritenuti “inviolabili” per proteggere le comunicazioni della campagna.
Quale sistema operativo utilizzano i telefoni del comitato Trump?
Il sistema operativo impiegato, Green Hills Integrity-178B, è lo stesso utilizzato su velivoli militari come il bombardiere stealth B-2 e i caccia F-22 e F-35, ed è uno dei pochi ad essere certificato al livello di sicurezza Evaluation Assurance Level 6. L’azienda dichiara che la sicurezza deriva da un codice estremamente ridotto (circa 10.000 righe) e accuratamente testato.
Il CEO di Green Hills, Dan O’Dowd, ha spiegato che il loro sistema è progettato per evitare ogni possibilità di intrusione, con un intero team dedicato a trovare e correggere eventuali vulnerabilità. La società è riuscita a costruire un business da miliardi di dollari, fornendo sistemi sicuri per il settore militare e delle forze dell’ordine. O’Dowd ha anche sottolineato che questo livello di sicurezza dovrebbe essere esteso ai sistemi di voto per garantire l’integrità dei processi elettorali, particolarmente critici.
Nonostante Green Hills affermi che i suoi dispositivi siano immuni a strumenti di sorveglianza come Pegasus del gruppo NSO, molti hacker, sia criminali che white-hat, vedono queste affermazioni come una sfida. Infatti, nonostante l’ambizione della società di creare sistemi inviolabili, molti esperti sottolineano che nessun software è completamente immune da attacchi dedicati.
Lo spionaggio dell’Iran sbarca su X
Tre cittadini iraniani sono stati incriminati per aver rubato e divulgato dati sensibili della campagna di Trump, inviando tali informazioni anche al team di Joe Biden, che ha però ignorato la comunicazione. La campagna di Trump ha quindi deciso di dotarsi di tecnologie avanzate per evitare nuovi incidenti simili.
Oltre alle preoccupazioni per la sicurezza informatica, la campagna di Trump ha affrontato anche questioni legate alla gestione dei dati sensibili. Di recente, ha chiesto alla piattaforma X (precedentemente Twitter) di bloccare la diffusione di un dossier hackerato riguardante il candidato vicepresidente JD Vance, riuscendo a ottenere il blocco dei link in base alle regole della piattaforma contro la diffusione di informazioni personali non redatte. Questa azione è in netto contrasto con la decisione di Elon Musk di criticare, due anni fa, la rimozione di una storia simile su Hunter Biden, che egli aveva definito una violazione del Primo Emendamento.
Queste vicende evidenziano le sfide che affrontano le campagne presidenziali moderne, non solo in termini di sicurezza informatica, ma anche nella gestione delle informazioni personali e della libertà di espressione nelle piattaforme social.
Sicurezza Informatica
Vulnerabilità critiche in Veeam, Mongolian Skimmer
Tempo di lettura: 5 minuti. Le vulnerabilità critiche in Veeam e le nuove tecniche di attacco come il Mongolian Skimmer rappresentano le principali minacce informatiche del 2024.
Nel 2024, il panorama delle minacce informatiche continua a evolversi rapidamente, con attacchi sempre più sofisticati che sfruttano vulnerabilità critiche e nuove tecniche di distribuzione di malware. Tra i casi più rilevanti ci sono le falle di sicurezza in Veeam Backup & Replication, utilizzate per diffondere ransomware, e l’emergere di campagne di skimming come il Mongolian Skimmer, che mira a rubare dati sensibili nei siti e-commerce. Questi attacchi dimostrano come gli hacker sfruttino le debolezze nei sistemi per infiltrarsi e causare danni su larga scala.
Veeam e la vulnerabilità CVE-2024-40711 sfruttata per distribuire ransomware
Una delle principali minacce rilevate nel 2024 riguarda una grave vulnerabilità nel software di Veeam Backup & Replication, identificata come CVE-2024-40711. Questa falla, che consente l’esecuzione di codice remoto senza autenticazione, ha ricevuto un punteggio 9.8 su 10 nella scala CVSS, indicandone la pericolosità. Nonostante Veeam abbia rilasciato una patch per correggere il problema a settembre 2024, molti sistemi non aggiornati sono ancora a rischio. Gli hacker stanno sfruttando attivamente questa vulnerabilità per distribuire ransomware, come Akira e Fog.
Gli attacchi iniziano compromettendo credenziali VPN di aziende che non hanno implementato l’autenticazione a più fattori. Gli aggressori utilizzano il servizio Veeam.Backup.MountService.exe, attraverso la porta 8000, per creare account locali con privilegi amministrativi. Una volta infiltrati nel sistema, cercano di distribuire ransomware e rubare dati. In uno degli attacchi rilevati, gli hacker hanno preso di mira un server Hyper-V non protetto, riuscendo a esfiltrare dati sensibili utilizzando lo strumento rclone. L’importanza di aggiornare tempestivamente i software critici e implementare adeguate misure di sicurezza, come la multifactor authentication, è fondamentale per prevenire questi tipi di attacchi.
Parallelamente, nel 2024 è emerso un nuovo ransomware denominato Lynx, un successore del ransomware INC. Lynx condivide gran parte del codice sorgente con INC e ha già colpito settori critici come il retail e l’architettura, principalmente negli Stati Uniti e nel Regno Unito. Anche il ransomware Trinity, apparso nel 2024, ha iniziato a prendere di mira il settore sanitario, utilizzando strategie di doppia estorsione per colpire le vittime.
Mongolian Skimmer: la nuova frontiera degli attacchi skimming nel 2024
Un’altra minaccia emergente nel 2024 è rappresentata dal Mongolian Skimmer, scoperto dai ricercatori di Jscrambler. Questo attacco di skimming si distingue per l’uso di tecniche di offuscamento avanzate in codice JavaScript, progettate per sottrarre informazioni sensibili, come dati di pagamento, da siti di e-commerce compromessi. Il Mongolian Skimmer opera monitorando costantemente i campi di input di pagine web, come quelle di checkout, estraendo informazioni personali o di pagamento e inviandole a server remoti controllati dagli hacker.
Gli attacchi skimming mirano principalmente a rubare dati sensibili durante le transazioni, monitorando i campi come input e textarea utilizzati per inserire i dati di pagamento. Il Mongolian Skimmer sfrutta caratteri Unicode insoliti per offuscare il codice JavaScript e rendere più difficile l’individuazione del malware. Una volta che il malware è stato caricato, monitora il DOM per eventuali modifiche e invia i dati rubati a un server remoto tramite tecniche di esfiltrazione classiche, come l’uso di pixel di tracciamento.
Questa minaccia ha preso di mira principalmente siti basati su piattaforme Magento compromesse, dove gli hacker sfruttano vulnerabilità note per inserire i loro script. In alcuni casi, i ricercatori hanno scoperto che più gruppi di criminali informatici stavano sfruttando contemporaneamente lo stesso sito web, utilizzando il codice per comunicare tra loro e coordinare le attività di furto dati. Questo dimostra quanto siano sofisticati e organizzati questi attacchi.
GitHub, Telegram e QR Code: attacchi phishing sempre più sofisticati nel 2024
Nel 2024, le campagne di attacco informatico stanno diventando sempre più avanzate, con l’uso di tecniche come GitHub, bot di Telegram e codici QR per aggirare le misure di sicurezza. Queste nuove modalità di attacco phishing stanno prendendo di mira diversi settori, tra cui quello finanziario e assicurativo, e dimostrano come gli hacker siano in grado di sfruttare piattaforme legittime e tecnologie familiari per raggiungere le loro vittime.
GitHub e la campagna malware con Remcos RAT
Una delle tecniche di attacco più rilevanti individuate nel 2024 coinvolge l’uso di GitHub per distribuire il malware Remcos RAT. Questa campagna di phishing, rilevata dai ricercatori di Cofense, sfrutta repository GitHub legittimi, come quelli di UsTaxes e InlandRevenue, per evitare i controlli di sicurezza delle email. Gli hacker inseriscono commenti con allegati dannosi, come archivi ZIP contenenti il trojan, che viene utilizzato per ottenere il controllo remoto dei sistemi infettati.
Il malware viene distribuito attraverso email di phishing che promettono assistenza per l’estensione delle scadenze fiscali, ma in realtà indirizzano le vittime a scaricare file infetti. Una volta aperti, i file installano il trojan, dando agli hacker pieno accesso al sistema della vittima. Questo metodo di attacco sfrutta la fiducia che molte aziende e utenti hanno nei confronti di GitHub, un dominio comunemente considerato sicuro e spesso escluso dai controlli dei gateway email. Ciò consente agli hacker di aggirare le protezioni di sicurezza.
Bot di Telegram e codici QR: nuove tecniche di phishing
Parallelamente, i ricercatori di ESET hanno rilevato un crescente utilizzo di bot di Telegram e codici QR da parte dei cybercriminali, in particolare nel contesto di truffe legate alle prenotazioni di alloggi. Questi attacchi sfruttano account compromessi di piattaforme come Booking.com e Airbnb, contattando gli utenti con presunti problemi di pagamento e inducendoli a inserire le proprie informazioni finanziarie su siti fraudolenti.
I bot di Telegram utilizzati in queste campagne consentono ai criminali di automatizzare la generazione di pagine di phishing e di migliorare la comunicazione con le vittime, rendendo più difficile individuare l’inganno. I codici QR, che vengono utilizzati sempre più spesso, rappresentano un ulteriore vettore di attacco. Gli hacker inseriscono codici QR malevoli in email e pagine web, inducendo le vittime a scansionarli con il proprio smartphone, con il risultato di reindirizzarli a siti di phishing o di installare malware sui loro dispositivi.
Un altro elemento di innovazione è l’uso di blob URLs, che permettono agli hacker di nascondere contenuti malevoli all’interno di oggetti binari temporanei, rendendo più difficile il blocco dei contenuti dannosi e complicando la rilevazione da parte dei sistemi di sicurezza.
Le nuove tecniche di attacco phishing del 2024, che sfruttano piattaforme legittime come GitHub e Telegram, e l’uso di tecnologie come i codici QR, dimostrano come gli hacker siano in grado di adattarsi rapidamente ai cambiamenti tecnologici e alle misure di sicurezza. Le aziende devono prestare particolare attenzione a queste nuove minacce, implementando strumenti di sicurezza aggiornati e sensibilizzando i dipendenti sui pericoli di questi attacchi. Solo così sarà possibile prevenire infezioni di malware come Remcos RAT e proteggere i dati sensibili.
Le vulnerabilità critiche in software come Veeam Backup & Replication e l’emergere di nuove campagne di skimming come il Mongolian Skimmer e Remcos RAT evidenziano la crescente complessità delle minacce informatiche nel 2024. È fondamentale che le aziende adottino misure di sicurezza proattive, aggiornino regolarmente i loro sistemi e monitorino costantemente le loro reti per prevenire attacchi di questo tipo. L’evoluzione dei ransomware e delle tecniche di furto dati richiede una vigilanza continua e l’implementazione di strumenti di sicurezza all’avanguardia per proteggere dati sensibili e infrastrutture critiche.
- Editoriali1 settimana fa
L’hacker Carmelo Miano è una risorsa del nostro Paese?
- Editoriali1 settimana fa
Il valore delle certificazioni nell’ICT
- OSINT5 giorni fa
Dibattito politico: in estate vincono Salvini e Meloni mentre Schlein è in vacanza
- Sicurezza Informatica2 giorni fa
Cyber-attacco “nucleare” contro l’Iran è la risposta di Israele?
- Sicurezza Informatica1 settimana fa
ESCLUSIVA – Booking.com espone dati sensibili? Scoperta breccia nei Log Laravel
- Sicurezza Informatica1 settimana fa
L’hacker Carmelo Miano: tutto quello che c’è da sapere sulla storia
- Sicurezza Informatica4 giorni fa
OilRig colpisce i “fratelli” degli Emirati Arabi Uniti e del Golfo
- Tech1 settimana fa
Apple annuncia nuovi prodotti e interrompe la produzione di altri