Tra il 24 e il 28 giugno 2024, Europol ha ospitato uno sprint operativo mirato agli acquirenti di materiale di abuso su minori trasmesso in diretta. L’operazione ha visto la partecipazione di rappresentanti di Austria, Belgio, Francia, Germania, Paesi Bassi, Spagna, Svezia, Norvegia, Regno Unito e Stati Uniti. Durante lo sprint, 32 investigatori hanno elaborato e sviluppato piste generate dalle indagini di Homeland Security Investigations (HSI) degli Stati Uniti su reti criminali che sfruttano sessualmente i bambini nelle Filippine. Gli investigatori hanno analizzato decine di migliaia di immagini e video di sfruttamento sessuale minorile, insieme a oltre 10 milioni di righe di conversazioni online tra circa 12.000 account criminali unici di clienti e 100 account di venditori. Lo sprint operativo ha portato alla produzione di pacchetti informativi che potrebbero condurre le autorità nazionali di 24 paesi a 197 acquirenti di abusi su minori in diretta.

Coalizione Globale per identificare le Reti dietro l’Abuso Sessuale di Minori in Diretta

Le informazioni analizzate durante lo sprint provenivano specificamente da operazioni contro coloro che producono e distribuiscono materiale di sfruttamento sessuale minorile tramite piattaforme di live streaming. Lo sprint ha permesso agli investigatori di imparare e collaborare di persona, trasformando i dati grezzi in informazioni utilizzabili in tempo reale.

Gli investigatori, riuniti durante lo sprint operativo, hanno lavorato su enormi volumi di dati generati in 12 anni. Ogni volta che un acquirente criminale o un trafficante viene arrestato, la loro impronta digitale – come chat, dati di transazione, dati di posizione e indirizzi IP – viene utilizzata per indagare su ulteriori reti di traffico e salvare altri bambini. Lo sprint operativo di una settimana presso Europol mirava a identificare acquirenti criminali in tutto il mondo che utilizzano piattaforme di live streaming per pagare i trafficanti affinché abusino di minori. Alcuni dei bambini abusati si ritiene abbiano solo tre o quattro anni.

L’abuso sessuale di minori trasmesso in diretta è un’industria in crescita, che coinvolge trafficanti di minori nelle Filippine e altrove, i quali curano una base di clienti selezionata che paga per guardare l’abuso in diretta di bambini. Gli acquirenti criminali dirigono i trafficanti a compiere atti di abuso sessuale su minori in tempo reale durante interazioni private via webcam. I clienti viaggiano anche nelle Filippine per partecipare personalmente all’abuso di minori vittime. Gli abusi avvengono tramite connessioni crittografate, lasciando poche prove digitali, il che crea serie difficoltà per gli investigatori che cercano di contrastare l’abuso di minori online.

Con trafficanti e vittime in un paese e acquirenti criminali sparsi in tutto il mondo, la cooperazione tra le autorità nazionali è cruciale per combattere l’abuso online di minori. Europol ha ospitato lo sprint presso la sua sede all’Aia, facilitato lo scambio di informazioni e fornito supporto analitico.

Le operazioni dell’HSI degli Stati Uniti sono state supportate dal Child Rescue Coalition, dalla Tim Tebow Foundation e dall’International Centre for Missing and Exploited Children.

Autorità nazionali coinvolte

Stati Membri dell’UE:

• Austria: Criminal Intelligence Service Austria (Bundeskriminalamt)
• Belgio: Federal Police (Police Fédérale)
• Francia: National Police (Police Nationale)
• Germania: Federal Criminal Police Office (Bundeskriminalamt)
• Paesi Bassi: National Police (Politie)
• Spagna: National Police (Policía National)
• Svezia: Swedish Police Authority (Polismyndigheten)
• Danimarca: Danish Police (Politi)

Stati Non Membri dell’UE:

• Norvegia: National Police (Politiet)
• Regno Unito: Metropolitan Police, Northumbria Police, West Midlands Police
• Stati Uniti: Homeland Security Investigations

Recenti rapporti hanno rivelato che un gruppo di cyber spionaggio connesso alla Cina, noto come Velvet Ant, sta sfruttando una vulnerabilità zero-day nel software Cisco NX-OS per iniettare comandi dannosi e installare malware. Questo articolo esplora i dettagli della vulnerabilità, le misure di sicurezza consigliate e le implicazioni di questi attacchi.

Dettagli della Vulnerabilità CVE-2024-20399

La vulnerabilità, identificata come CVE-2024-20399 con un punteggio CVSS di 6.0, riguarda un caso di iniezione di comandi che consente a un attaccante autenticato di eseguire comandi arbitrari come root sul sistema operativo sottostante di un dispositivo compromesso. Questa falla è stata scoperta nei dispositivi Cisco NX-OS, utilizzati in vari modelli di switch.

Attacco del gruppo Velvet Ant

Il gruppo Velvet Ant ha utilizzato questa vulnerabilità per eseguire un malware personalizzato, permettendo loro di connettersi da remoto ai dispositivi Cisco Nexus compromessi, caricare file aggiuntivi ed eseguire codice sui dispositivi. Questo gruppo è noto per aver stabilito una persistenza utilizzando dispositivi F5 BIG-IP obsoleti per rubare informazioni sui clienti e dati finanziari.

Misure di sicurezza e consigli

Cisco ha fornito vari strumenti e risorse per aiutare i clienti a determinare la loro esposizione a queste vulnerabilità e implementare soluzioni di aggiornamento. Tra queste risorse c’è il Cisco Software Checker, che identifica gli avvisi di sicurezza che impattano una specifica versione del software e fornisce la prima versione che risolve tutte le vulnerabilità descritte negli avvisi.

Raccomandazioni

1. Consultare regolarmente gli avvisi di sicurezza di Cisco: Per determinare l’esposizione e una soluzione completa di aggiornamento.
2. Assicurarsi che i dispositivi abbiano sufficiente memoria: Verificare che le configurazioni hardware e software attuali siano supportate correttamente dalla nuova versione.
3. Contattare il Cisco Technical Assistance Center (TAC): Per assistenza nel determinare la versione migliore del software Cisco NX-OS per uno specifico switch.

Uso del Cisco Software Checker

Cisco offre il Software Checker per aiutare i clienti a determinare la loro esposizione alle vulnerabilità nel software Cisco NX-OS. Questo strumento identifica gli avvisi di sicurezza che impattano una specifica versione del software e fornisce la versione più recente che risolve tutte le vulnerabilità descritte negli avvisi.

Passaggi per l’uso del Cisco Software Checker:

1. Scegliere quali avvisi cercare: solo questo avviso, solo avvisi con una valutazione di impatto sulla sicurezza Critica o Alta, o tutti gli avvisi.
2. Scegliere il software appropriato.
3. Scegliere la piattaforma appropriata.
4. Inserire un numero di versione, ad esempio, 7.0(3)I7(5) per Cisco Nexus 3000 Series Switches o 14.0(1h) per Cisco NX-OS Software in modalità ACI.
5. Fare clic su Check.

La scoperta della vulnerabilità CVE-2024-20399 e l’attacco del gruppo Velvet Ant sottolineano l’importanza di mantenere aggiornati i dispositivi di rete e di implementare misure di sicurezza adeguate. L’uso di strumenti come il Cisco Software Checker e la consulenza con esperti di sicurezza può aiutare a mitigare i rischi associati a queste vulnerabilità.

Una recente ricerca ha rivelato che ChatGPT-4 è in grado di sfruttare l’87% delle vulnerabilità one-day, dimostrando l’efficacia di questi strumenti nell’ambito della sicurezza informatica. Questo risultato solleva preoccupazioni significative per la comunità della cybersecurity.

Con la diffusione di ChatGPT e altri modelli di linguaggio di grandi dimensioni (LLM), la sicurezza informatica è diventata una preoccupazione crescente. Una squadra di ricercatori, composta da Richard Fang, Rohan Bindu, Akul Gupta e Daniel Kang, ha condotto uno studio per determinare l’efficacia di ChatGPT-4 nello sfruttare vulnerabilità one-day, ovvero vulnerabilità conosciute ma ancora non patchate. I risultati sono sorprendenti: ChatGPT-4 ha dimostrato di poter sfruttare queste vulnerabilità con una percentuale di successo dell’87%.

Dettagli dello Studio

Lo studio ha utilizzato 15 vulnerabilità one-day reali, incluse vulnerabilità di siti web, software di gestione dei container e pacchetti Python, tutte provenienti dal database CVE. Gli agenti LLM avevano accesso a elementi di navigazione web, terminali, risultati di ricerca, creazione di file e un interprete di codice.

Il prompt utilizzato dai ricercatori era molto dettagliato, contenendo 1.056 token e 91 righe di codice, comprese dichiarazioni di debug e log. Non sono stati utilizzati sub-agenti o moduli di pianificazione separati. ChatGPT-4 è stato in grado di sfruttare con successo l’87% delle vulnerabilità testate, mentre GPT-3.5 e altri scanner di vulnerabilità open-source non sono riusciti a sfruttare alcuna vulnerabilità.

Successi e limiti di ChatGPT-4

ChatGPT-4 ha fallito in due casi specifici:

• Iris Web App: La navigazione è fatta tramite JavaScript, complicando l’interazione dell’agente con gli elementi necessari.
• HertzBeat: La descrizione dettagliata è in cinese, causando confusione all’agente GPT-4 che utilizza un prompt in inglese.

Efficienza limitata senza il Codice CVE

La ricerca ha mostrato che senza il codice CVE, ChatGPT-4 è riuscito a sfruttare solo il 7% delle vulnerabilità, una riduzione dell’80%. Tuttavia, è stato in grado di identificare la vulnerabilità corretta il 33,3% delle volte. La differenza media nel numero di azioni intraprese con e senza la descrizione CVE era solo del 14%, suggerendo che l’inclusione di un meccanismo di pianificazione e sub-agenti potrebbe migliorare le prestazioni.

Implicazioni Future degli LLM sulle vulnerabilità One-Day

I risultati dello studio indicano che gli LLM hanno la capacità di sfruttare autonomamente le vulnerabilità one-day, ma attualmente solo GPT-4 è in grado di raggiungere questo livello di efficacia. Tuttavia, la capacità e la funzionalità degli LLM continueranno a crescere, rendendoli strumenti sempre più potenti e distruttivi per i criminali informatici.

Gli autori dello studio sottolineano la necessità per la comunità della cybersecurity e i fornitori di LLM di riflettere attentamente su come integrare questi agenti LLM nelle misure di difesa e sulla loro distribuzione su larga scala.