Il gruppo di cyber-spionaggio Earth Simnavaz, noto anche come APT34 e OilRig, è stato recentemente al centro dell’attenzione per una serie di attacchi avanzati rivolti a enti governativi e infrastrutture critiche negli Emirati Arabi Uniti (UAE) e in altre nazioni del Golfo. Secondo i ricercatori di Trend Micro, questa campagna di attacchi mira a compromettere sistemi sensibili, sfruttando vulnerabilità non risolte e utilizzando tecniche sofisticate per eludere i sistemi di difesa tradizionali.

Strategie e tecniche di attacco di OilRig

Earth Simnavaz si distingue per l’uso di metodi avanzati, tra cui una nuova backdoor che sfrutta i server Microsoft Exchange per il furto di credenziali. Questa tecnica prevede l’infiltrazione nei sistemi tramite web shell caricati su server vulnerabili, che permettono agli attaccanti di eseguire codice PowerShell, caricare file e stabilire un punto d’appoggio nella rete compromessa.

• Sfruttamento di CVE-2024-30088: Una delle vulnerabilità utilizzate dal gruppo è la CVE-2024-30088, una falla di Elevation of Privilege nel kernel di Windows. Gli attaccanti la utilizzano per ottenere privilegi amministrativi, installando un file DLL di filtro password che consente di estrarre credenziali in chiaro dai sistemi compromessi. Questo tipo di approccio permette a Earth Simnavaz di mantenere un controllo persistente sui dispositivi compromessi e di esfiltrare informazioni sensibili.
• Uso di strumenti RMM come ngrok: Il gruppo ha integrato strumenti come ngrok per creare tunnel di rete sicuri, consentendo loro di mantenere il controllo remoto dei sistemi compromessi senza essere facilmente rilevati. Questo facilita anche i movimenti laterali all’interno delle reti, permettendo agli attaccanti di raggiungere e compromettere i Domain Controllers.

La capacità di Earth Simnavaz di combinare strumenti personalizzati in .NET, script PowerShell e malware basato su IIS evidenzia la loro abilità nel far sembrare il traffico di rete legittimo, riducendo il rischio di rilevamento.

Implicazioni geopolitiche e obiettivi strategici

Il gruppo di cyber-spionaggio è ritenuto collegato a interessi iraniani e ha concentrato i suoi sforzi su settori strategici come energia, petrolio e gas, che sono cruciali per la stabilità economica della regione e l’analisi di Trend Micro lo confermerebbe. Negli ultimi mesi, è stato registrato un aumento degli attacchi rivolti a organizzazioni governative, con un focus particolare su infrastrutture di rilevanza geopolitica negli Emirati Arabi Uniti.

L’obiettivo di OilRig non è solo il furto di informazioni, ma anche la possibilità di compromettere infrastrutture che potrebbero essere utilizzate come piattaforme per ulteriori attacchi contro altri target regionali. La persistenza delle loro operazioni sottolinea il rischio continuo per i Paesi del Golfo, che devono adottare misure di sicurezza avanzate per proteggere le loro reti e infrastrutture critiche.

Le minacce alla sicurezza informatica continuano a rappresentare una sfida globale, con nuove vulnerabilità che emergono e attacchi mirati sempre più sofisticati e le potenziali vittime sono state avvisate di criticità che coinvolgono Veeam Backup & Replication, GitLab, e delle minacce legate a ransomware come Akira e Fog. Allo stesso tempo, OpenAI ha intensificato gli sforzi per bloccare attività malevole, mentre CISA ha pubblicato avvisi cruciali per la protezione dei sistemi di controllo industriale.

Ransomware Akira e Fog sfruttano vulnerabilità Veeam

I gruppi ransomware Akira e Fog hanno iniziato a sfruttare una vulnerabilità critica in Veeam Backup & Replication, identificata come CVE-2024-40711. Questa vulnerabilità, causata da una deserializzazione di dati non sicuri, consente agli aggressori di eseguire codice remoto sui server Veeam vulnerabili. La falla è stata scoperta da Florian Hauser di Code White e ha un impatto significativo, data la diffusione di Veeam come soluzione per il backup e il ripristino di dati aziendali. La vulnerabilità è stata resa pubblica il 15 settembre 2024, dopo che Veeam aveva rilasciato un aggiornamento di sicurezza il 4 settembre per consentire agli amministratori di proteggere i propri sistemi.

• Attacchi recenti: Gli incidenti segnalati coinvolgono il rilascio di ransomware come Akira e Fog, che sfruttano la vulnerabilità per creare account locali con privilegi di amministratore. In un caso, il ransomware Fog è stato distribuito su un server Hyper-V non protetto, utilizzando strumenti come rclone per esfiltrare dati. Altri attacchi hanno visto l’uso di Akira, con tecniche di accesso tramite VPN compromesse e prive di autenticazione multifattore.

La vulnerabilità in Veeam sottolinea la necessità per le aziende di applicare patch di sicurezza tempestivamente e di rafforzare la protezione dei sistemi di backup, che sono spesso il primo bersaglio dei cybercriminali a caccia di dati sensibili.

Vulnerabilità critica in GitLab e i rischi per la CI/CD

GitLab ha avvisato gli utenti di una vulnerabilità critica nella sua piattaforma, identificata come CVE-2024-9164, che permette l’esecuzione arbitraria di pipeline CI/CD su qualsiasi branch di un repository. Questa vulnerabilità, che ha ricevuto un punteggio di gravità CVSS di 9.6, potrebbe consentire agli aggressori di eseguire codice e accedere a informazioni sensibili senza autorizzazione.

• Impatto sulla sicurezza: La falla riguarda tutte le versioni di GitLab Enterprise Edition (EE) a partire dalla 12.5 fino alla 17.4.1. Le patch sono state rilasciate nelle versioni 17.4.2, 17.3.5 e 17.2.9, e GitLab ha sollecitato gli utenti a procedere all’aggiornamento il prima possibile per evitare rischi di compromissione. Le installazioni su GitLab Dedicated sono già state aggiornate automaticamente, offrendo una protezione immediata per i clienti in cloud.

Questa vulnerabilità mette in evidenza l’importanza di un monitoraggio continuo delle pipeline di integrazione e distribuzione continua (CI/CD), una componente essenziale per i flussi di lavoro di sviluppo moderno, che necessita di protezioni adeguate per evitare abusi e attacchi.

OpenAI blocca minacce globali: protezione contro il cybercrime

OpenAI ha adottato nuove misure per proteggere i propri strumenti e tecnologie dall’uso malevolo. Recentemente, l’azienda ha annunciato il blocco di oltre 20 minacce globali, tra cui attività di phishing, malware e altre forme di abuso dei modelli di intelligenza artificiale. Questa decisione è parte di un impegno più ampio per garantire che i progressi tecnologici vengano utilizzati in modo etico e sicuro.

L’intervento di OpenAI si è concentrato soprattutto su quei paesi e regioni in cui le sue tecnologie venivano utilizzate per condurre campagne di disinformazione, frodi finanziarie e tentativi di attacchi informatici. In molti casi, i modelli linguistici sono stati sfruttati per creare contenuti falsi o automatizzare attività dannose, come la generazione di email di phishing e l’ingegneria sociale. OpenAI ha collaborato con le principali piattaforme di sicurezza e agenzie governative per identificare e bloccare gli accessi ai propri servizi da parte di attori malevoli, migliorando al contempo le proprie tecnologie di rilevamento degli abusi.

Questa azione di OpenAI sottolinea la necessità di un approccio preventivo nella protezione delle tecnologie emergenti e delle infrastrutture digitali. Proteggere i modelli linguistici dall’uso malevolo non solo tutela l’integrità delle informazioni online, ma contribuisce anche a preservare la fiducia degli utenti nelle tecnologie basate sull’intelligenza artificiale. Le misure adottate rappresentano un passo significativo verso una maggiore sicurezza informatica, in un contesto dove le minacce evolvono rapidamente e i rischi diventano sempre più complessi.

CISA: 20 avvisi per i sistemi di controllo industriale

La CISA (Cybersecurity and Infrastructure Security Agency) ha rilasciato ventuno nuovi avvisi riguardanti la sicurezza dei sistemi di controllo industriale (ICS). Questi avvisi mirano a informare le aziende su potenziali vulnerabilità che potrebbero essere sfruttate per compromettere la sicurezza dei processi industriali, e comprendono istruzioni dettagliate per mitigare i rischi.

• ICSA-24-284-01 Siemens SIMATIC S7-1500 and S7-1200 CPUs
• ICSA-24-284-02 Siemens Simcenter Nastran
• ICSA-24-284-03 Siemens Teamcenter Visualization and JT2Go
• ICSA-24-284-04 Siemens SENTRON PAC3200 Devices
• ICSA-24-284-05 Siemens Questa and ModelSim
• ICSA-24-284-06 Siemens SINEC Security Monitor
• ICSA-24-284-07 Siemens JT2Go
• ICSA-24-284-08 Siemens HiMed Cockpit
• ICSA-24-284-09 Siemens PSS SINCAL
• ICSA-24-284-10 Siemens SIMATIC S7-1500 CPUs
• ICSA-24-284-11 Siemens RUGGEDCOM APE1808
• ICSA-24-284-12 Siemens Sentron Powercenter 1000
• ICSA-24-284-13 Siemens Tecnomatix Plant Simulation
• ICSA-24-284-14 Schneider Electric Zelio Soft 2
• ICSA-24-284-15 Rockwell Automation DataMosaix Private Cloud
• ICSA-24-284-16 Rockwell Automation DataMosaix Private Cloud
• ICSA-24-284-17 Rockwell Automation Verve Asset Manager
• ICSA-24-284-18 Rockwell Automation Logix Controllers
• ICSA-24-284-19 Rockwell Automation PowerFlex 6000T
• ICSA-24-284-20 Rockwell Automation ControlLogix
• ICSA-24-284-21 Delta Electronics CNCSoft-G2

Gli avvisi di CISA riflettono la continua necessità di proteggere le infrastrutture critiche dagli attacchi informatici, soprattutto in settori come l’energia, la produzione e i trasporti, dove le compromissioni potrebbero avere conseguenze devastanti.

La sicurezza informatica e la guerra cibernetica tra Russia e Ucraina sono al centro dell’attenzione internazionale con due eventi significativi: le attività di hacking condotte dal gruppo APT29, affiliato al servizio di intelligence russo SVR, che prendono di mira i server Zimbra e TeamCity, e l’arresto in Ucraina di un operatore VPN che consentiva l’accesso non autorizzato al Runet. Questi casi evidenziano la complessità della lotta contro le minacce informatiche, in un contesto di crescente tensione geopolitica e cybercriminalità.

Gli attacchi di APT29 contro server Zimbra e TeamCity

Le agenzie di sicurezza statunitensi e britanniche, tra cui la NSA, l’FBI e il NCSC del Regno Unito, hanno emesso un avviso congiunto riguardo a un’ondata di attacchi condotti dal gruppo di hacker APT29, noto anche come Cozy Bear o Midnight Blizzard. Questo gruppo, legato al servizio di intelligence russo SVR, è specializzato in operazioni di cyber-spionaggio e ha preso di mira numerosi server Zimbra e TeamCity non aggiornati, sfruttando vulnerabilità note come CVE-2022-27924 e CVE-2023-42793.

• Sfruttamento delle vulnerabilità: La vulnerabilità CVE-2022-27924 consente agli hacker di sottrarre credenziali di account email da istanze di Zimbra Collaboration non aggiornate, mentre CVE-2023-42793 è stata sfruttata per ottenere accesso iniziale ai sistemi TeamCity, facilitando attacchi alla supply chain. Queste falle sono state utilizzate anche da gruppi di ransomware e hacker nordcoreani, il che evidenzia la gravità delle minacce.
• Obiettivi globali: L’attività di APT29 si estende a livello globale, colpendo organizzazioni governative e private in diversi settori. Gli esperti di sicurezza hanno avvertito che gli attacchi potrebbero coinvolgere ulteriori vulnerabilità per ottenere l’esecuzione di codice remoto e l’escalation dei privilegi sui sistemi target. L’NSA ha sottolineato l’importanza di aggiornare i software e applicare le patch di sicurezza per prevenire intrusioni nei sistemi.

APT29 non è nuovo a operazioni di alto profilo. Già in passato, il gruppo è stato coinvolto nell’attacco alla supply chain di SolarWinds, che ha compromesso diverse agenzie federali degli Stati Uniti. Le recenti attività confermano l’interesse di APT29 nel condurre attacchi mirati contro infrastrutture critiche, sfruttando vulnerabilità e falle di sicurezza non risolte.

L’arresto in Ucraina di un operatore VPN illegale per accesso al Runet

Mentre le agenzie di sicurezza di Stati Uniti e Regno Unito affrontano le minacce di APT29, le autorità ucraine hanno arrestato un cittadino di 28 anni che gestiva un servizio VPN illegale. Questo servizio permetteva agli utenti di accedere al Runet, la parte dell’internet dominata dai domini russi, aggirando le restrizioni imposte dall’Ucraina a seguito della guerra con la Russia.

Il contesto del Runet e le restrizioni ucraine: Il Runet comprende piattaforme online russe come social media, motori di ricerca e siti governativi, accessibili solo all’interno del territorio russo. Per limitare l’influenza russa e rispettare le sanzioni del Consiglio di Sicurezza e Difesa Nazionale dell’Ucraina, il Paese ha bloccato l’accesso a questi siti. Tuttavia, il servizio VPN illegale consentiva a utenti russi nelle aree occupate e simpatizzanti in Ucraina di eludere i blocchi.

Operazione e conseguenze legali: L’operatore VPN, autodidatta e residente a Khmelnytskyi, aveva allestito un server autonomo nella propria abitazione e affittato ulteriori server in Germania, Francia, Paesi Bassi e Russia per gestire il traffico dati. Il servizio, pubblicizzato su Telegram, dava accesso a oltre 48 milioni di indirizzi IP russi e facilitava un traffico di oltre 100 gigabyte al giorno. Le autorità ucraine hanno sequestrato computer, telefoni e attrezzature, avviando indagini per identificare eventuali complici e collaboratori russi.

Questo caso ha sollevato preoccupazioni sul possibile coinvolgimento dell’intelligence russa, che potrebbe aver avuto accesso ai dati degli utenti del servizio VPN. Il gestore rischia una pena fino a 15 anni di reclusione per la violazione della legge ucraina sulla sicurezza informatica.

Cyber minacce globali e risposte nazionali

Le attività di hacking di APT29 e l’arresto del gestore VPN in Ucraina sottolineano la complessità delle minacce cibernetiche nel contesto geopolitico attuale. Da un lato, gruppi come APT29 sfruttano vulnerabilità per condurre operazioni di spionaggio su scala globale, mentre dall’altro, la diffusione di servizi VPN illegali evidenzia la difficoltà di mantenere il controllo sui flussi di informazioni tra nazioni in conflitto.

La cooperazione internazionale e il rafforzamento delle misure di sicurezza restano fondamentali per mitigare queste minacce. La capacità di monitorare e reagire rapidamente a nuove vulnerabilità e di neutralizzare reti clandestine come quella del gestore VPN dimostrano che la lotta contro il cybercrimine richiede uno sforzo costante e coordinato.