Recentemente sono emerse diverse minacce informatiche che dimostrano l’evoluzione delle tecniche utilizzate dai criminali per sfruttare vulnerabilità e accedere a dati sensibili e questi attacchi spaziano dal furto di denaro dagli ATM tramite un nuovo malware su Linux, alla sottrazione di PIN degli utenti Android, fino alla compromissione di dispositivi domestici come aspirapolvere robotici utilizzati per spiare le famiglie.

Malware FASTCash: la nuova variante per Linux

Il malware FASTCash, attribuito al gruppo nordcoreano Hidden Cobra, è noto per aver permesso ai cybercriminali di effettuare prelievi non autorizzati da bancomat in tutto il mondo. Questo tipo di attacco, documentato per la prima volta nel 2018 dal CISA, ha causato perdite per decine di milioni di dollari in operazioni coordinate in più di 30 paesi. Mentre le versioni precedenti di FASTCash si concentravano su sistemi Windows e IBM AIX, una nuova variante per Linux è stata scoperta, con l’obiettivo di compromettere i payment switch server utilizzando la distribuzione Ubuntu 22.04 LTS.

Il malware agisce intercettando e manipolando i messaggi ISO8583, utilizzati nell’industria finanziaria per il trattamento delle transazioni di carte di debito e credito. La tecnica prevede la sostituzione dei messaggi di “rifiuto” delle transazioni dovuti a fondi insufficienti con una risposta di “approvazione”. In questo modo, il malware permette ai criminali di effettuare prelievi di contanti tra i 350 e gli 875 euro per ogni operazione senza che la banca rilevi anomalie.

Questa nuova variante, scoperta a giugno 2023, è stata rilevata su VirusTotal solo recentemente, il che indica che è stata in grado di eludere i principali strumenti di sicurezza per mesi. È preoccupante che, oltre alla versione per Linux, sia stata identificata anche una nuova versione per Windows a settembre 2024, suggerendo che il gruppo APT38 (Lazarus) continui a sviluppare il proprio arsenale.

TrickMo: malware Android che ruba i PIN con schermi di blocco falsi

Un’altra minaccia riguarda il malware TrickMo, un trojan bancario per Android noto per l’uso di tecniche sofisticate di phishing e il furto di credenziali. Le nuove varianti identificate includono funzionalità avanzate come l’intercettazione di OTP (one-time password), registrazione dello schermo e persino la simulazione di falsi schermi di blocco Android per rubare PIN e sequenze di sblocco. Questo trojan sfrutta i permessi del servizio di accessibilità per ottenere privilegi elevati e manipolare le interazioni dell’utente senza essere scoperto.

Quando la vittima inserisce il proprio PIN su quello che sembra un normale schermo di sblocco, il malware raccoglie questi dati e li trasmette a un server remoto, consentendo agli attaccanti di sbloccare il dispositivo in qualsiasi momento e compiere frodi sul dispositivo stesso. Secondo l’analisi della società di sicurezza Zimperium, oltre 13.000 utenti in Canada, Emirati Arabi, Turchia e Germania sono stati colpiti. L’infrastruttura C2 (command and control) utilizzata dal malware è così estesa che si stima che il numero reale delle vittime sia molto più alto.

Questo malware continua a diffondersi principalmente tramite phishing, quindi gli utenti Android sono invitati a evitare di scaricare APK da fonti non ufficiali e a mantenere Google Play Protect attivo per evitare infezioni.

Aspirapolvere robotici hackerati: violazione della privacy domestica

Le minacce informatiche non riguardano solo i dispositivi mobili o i sistemi finanziari. Recentemente, diversi modelli di aspirapolvere robotici Ecovacs Deebot X2 sono stati compromessi negli Stati Uniti, causando preoccupazioni sulla sicurezza dei dispositivi domestici connessi. Gli hacker sono riusciti a prendere il controllo dei robot, accedendo alle telecamere integrate e insultando i proprietari attraverso gli altoparlanti integrati. Questo incidente è stato segnalato per la prima volta quando un avvocato del Minnesota, Daniel Swenson, ha notato suoni insoliti provenienti dal suo aspirapolvere e ha scoperto che un estraneo stava accedendo alla videocamera in tempo reale.

Sebbene Ecovacs abbia attribuito l’attacco a un’operazione di credential stuffing, un’analisi successiva ha rivelato che la vulnerabilità era dovuta a un difetto nella verifica del codice PIN, che poteva essere aggirato con un semplice trucco sull’app del dispositivo. Questo incidente mette in luce quanto sia importante la sicurezza anche per dispositivi apparentemente innocui come gli elettrodomestici smart.

Le nuove minacce, dai malware finanziari a quelli per dispositivi domestici, dimostrano che i criminali informatici continuano a evolversi e a diversificare i loro metodi. Proteggersi richiede una costante attenzione alla sicurezza e l’adozione di pratiche di protezione robuste, non solo per i sistemi critici, ma anche per i dispositivi di uso quotidiano.

Recenti sviluppi nel campo della sicurezza informatica e del calcolo quantistico mettono in evidenza il ruolo sempre più rilevante della Cina in questi settori. Da un lato, il governo cinese continua a contestare le accuse occidentali di cyber-spionaggio legate al gruppo Volt Typhoon, mentre dall’altro, scienziati cinesi affermano di aver compiuto progressi significativi nel calcolo quantistico, mettendo in discussione la sicurezza degli algoritmi crittografici di livello militare utilizzati a livello globale.

Il caso Volt Typhoon e le accuse di spionaggio

Il gruppo Volt Typhoon, accusato di essere una minaccia sponsorizzata dalla Cina per compiere operazioni di cyber-spionaggio, è nuovamente al centro di una controversia. Secondo un nuovo rapporto pubblicato dalle autorità cinesi, queste accuse sarebbero parte di una strategia di disinformazione orchestrata dagli Stati Uniti. In un documento intitolato “Volt Typhoon III – Unravelling Cyberespionage and Disinformation Operations Conducted by US Government Agencies“, le autorità cinesi ribadiscono che il gruppo non è gestito da Pechino, ma è piuttosto un’invenzione degli Stati Uniti e dei loro alleati.

Il documento, pubblicato in cinque lingue e prodotto dal Centro Nazionale di Risposta alle Emergenze sui Virus Informatici cinese, tenta di smontare le accuse puntando su presunte lacune nelle prove fornite da Microsoft e dagli Stati Uniti. Viene anche menzionato il programma di sorveglianza senza mandato della NSA (Section 702), così come le operazioni di raccolta dati di PRISM, resi noti da Edward Snowden nel 2013. Tuttavia, il rapporto non fornisce dettagli concreti per supportare le sue affermazioni, e si limita a invocare la collaborazione internazionale per migliorare la sicurezza informatica globale.

Il calcolo quantistico e la minaccia agli algoritmi crittografici militari

Parallelamente, scienziati cinesi hanno fatto un annuncio allarmante riguardo al futuro della crittografia basata su algoritmi classici come RSA e AES. In un recente studio pubblicato da Wang Chao dell’Università di Shanghai, si afferma che un computer quantistico D-Wave sia stato utilizzato per eseguire un attacco riuscito contro questi algoritmi, dimostrando che le tecniche quantistiche potrebbero minacciare seriamente la sicurezza delle informazioni critiche utilizzate nel settore bancario e militare.

Lo studio, intitolato Quantum Annealing Public Key Cryptographic Attack Algorithm Based on D-Wave Advantage, descrive due approcci tecnici per sfidare la sicurezza crittografica classica. Uno di questi sfrutta interamente il calcolo quantistico basato sull’algoritmo di annealing quantistico, mentre l’altro combina tecniche di calcolo classico con il calcolo quantistico per superare le limitazioni dei metodi tradizionali.

Questo rappresenta un potenziale punto di svolta nella sicurezza informatica globale, in quanto algoritmi come l’AES-256, considerati sicuri a livello militare, potrebbero presto essere vulnerabili a attacchi quantistici. Tuttavia, istituti come il NIST stanno già lavorando su algoritmi crittografici post-quantistici per garantire la protezione delle informazioni contro questi futuri sviluppi.

La Cina si trova oggi al centro di due questioni critiche nel campo della sicurezza informatica: da un lato, è accusata di condurre operazioni di cyber-spionaggio con il gruppo Volt Typhoon, accuse che nega fermamente, e dall’altro, scienziati cinesi stanno esplorando nuove frontiere nel calcolo quantistico, mettendo in dubbio la solidità della crittografia tradizionale. Entrambe queste tematiche sottolineano come la Cina stia giocando un ruolo sempre più centrale nel panorama della sicurezza globale, sia come potenziale minaccia, sia come innovatore tecnologico.

Recentemente, i manutentori del plugin Jetpack per WordPress hanno rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità critica, scoperta durante un audit interno, che consentiva agli utenti registrati di accedere ai moduli inviati da altri visitatori del sito. Questa vulnerabilità in Jetpack ha interessato tutte le versioni del plugin a partire dalla 3.9.9 del 2016 e riguarda la funzione Contact Form.

Il plugin Jetpack, sviluppato da Automattic, è una suite completa di strumenti utilizzati da oltre 27 milioni di siti WordPress per migliorare la sicurezza, le prestazioni e la crescita del traffico.

Dettagli della vulnerabilità e aggiornamenti

La vulnerabilità scoperta consentiva agli utenti registrati di leggere i dati dei moduli inviati dai visitatori di un sito. Sebbene non ci siano prove di un utilizzo malevolo di questa falla fino ad oggi, la sua divulgazione pubblica potrebbe portare a tentativi di sfruttamento in futuro. Pertanto, i gestori di siti web che utilizzano Jetpack sono stati invitati ad aggiornare immediatamente il plugin.

Jetpack ha collaborato con il WordPress Security Team per rilasciare aggiornamenti di sicurezza automatici su tutte le installazioni interessate. L’aggiornamento coinvolge ben 101 versioni del plugin, a partire dalla versione 13.9.1 e retroattivamente fino alla versione 3.9.10.

Assenza di mitigazioni e raccomandazioni

Al momento, non sono disponibili soluzioni alternative per questa vulnerabilità. L’unico modo per proteggere i siti che utilizzano Jetpack è installare l’aggiornamento fornito. Jetpack ha anche specificato che, nonostante la vulnerabilità sia rimasta latente per otto anni, non sono state rilevate prove di attacchi informatici che abbiano sfruttato questa falla.

Il problema di Jetpack non è isolato: si tratta dell’ultimo di una serie di vulnerabilità che il plugin ha corretto negli anni, inclusa una risolta nel giugno 2023 che era presente fin dal 2012.