Sicurezza Informatica
Violazione dei Dati di AT&T: Compromessi i dati di tutti i Clienti
Tempo di lettura: 2 minuti. Violazione dei dati di AT&T che ha compromesso i registri telefonici di oltre 100 milioni di clienti e le implicazioni per la sicurezza.
Recentemente, AT&T ha subito una grave violazione dei dati che ha compromesso i registri telefonici di oltre 100 milioni di clienti. Questo articolo esamina i dettagli della violazione, le implicazioni per i clienti e le misure adottate dalla società per affrontare la situazione.
Dettagli della violazione
Nel 2022, hacker hanno rubato i registri telefonici di oltre 100 milioni di clienti AT&T, includendo dati come:
- Numeri di telefono
- Conteggi di chiamate e SMS
- Durata delle chiamate
- Identificatori dei siti cellulari
Tempistiche e indagini
AT&T ha riferito la violazione alla U.S. Securities and Exchange Commission (SEC) e ha collaborato con le forze dell’ordine, portando all’arresto di un sospettato. La violazione ha interessato i dati delle chiamate e degli SMS dal 1 maggio 2022 al 31 ottobre 2022, con un’altra violazione minore il 2 gennaio 2023.
Estensione dell’impatto
La violazione ha coinvolto anche i clienti di altre reti che utilizzano l’infrastruttura di AT&T, come Cricket Wireless, Boost Mobile e Consumer Cellular. AT&T ha annunciato che contatterà tutti i 110 milioni di clienti interessati per informarli della violazione.
Origine della violazione
Un portavoce di AT&T ha confermato che la violazione è stata causata da un account compromesso su Snowflake, una piattaforma cloud di terze parti. Incidenti simili sono stati osservati anche in Ticketmaster e QuoteWizard, anch’essi legati a Snowflake. La mancanza di autenticazione a più fattori sull’account AT&T ha permesso agli hacker di accedere ai dati.
Implicazioni e risposte
Motivazioni e utilizzo dei dati
Gli esperti di cybersecurity di Mandiant attribuiscono la violazione al gruppo criminale UNC5537, con una probabile motivazione finanziaria. Sebbene gli hacker non abbiano avuto accesso ai contenuti delle chiamate e dei messaggi o a informazioni personali come nomi, numeri di sicurezza sociale o date di nascita, i dati rubati potrebbero comunque essere utilizzati per frodi.
Ritardi nella comunicazione
Un aspetto controverso di questa violazione è stato il ritardo nella comunicazione al pubblico. AT&T era a conoscenza della violazione ad aprile ma ha rinviato l’annuncio due volte, in accordo con l’FBI e il Dipartimento di Giustizia, per motivi di sicurezza nazionale e pubblica. Questo ritardo solleva domande sulla trasparenza e sulla gestione delle informazioni sensibili.
Misure di sicurezza aggiuntive
AT&T ha creato un sito web dedicato per fornire risposte e informazioni sull’accaduto. La società ha sottolineato la necessità di migliorare la sicurezza informatica, in particolare l’implementazione dell’autenticazione a più fattori, sia per i clienti che per i fornitori.
Questa recente violazione dei dati rappresenta un ulteriore colpo per gli sforzi di sicurezza informatica di AT&T, arrivando poco dopo una precedente perdita che ha interessato oltre 70 milioni di clienti. Sebbene AT&T affermi che gli incidenti non siano correlati, queste violazioni consecutive sollevano serie preoccupazioni sulla strategia di sicurezza dei dati dell’azienda e sulla sua capacità di proteggere le informazioni dei clienti.
Sicurezza Informatica
Cyber-attacco “nucleare” contro l’Iran è la risposta di Israele?
Tempo di lettura: 2 minuti. Attacco informatico senza precedenti contro l’Iran. Israele potrebbe rispondere colpendo siti nucleari e petroliferi. La diplomazia tenta di evitare l’escalation.
Un massiccio attacco informatico ha colpito il governo iraniano, con effetti devastanti su industrie chiave, tra cui quella nucleare, e infrastrutture critiche come la distribuzione di carburante e i porti. L’Iran ha descritto l’evento come un attacco “senza precedenti”, evidenziando la gravità dell’accaduto. Abolhassan Firouzabadi, ex segretario del Consiglio supremo iraniano per il cyberspazio, ha confermato che una grande quantità di dati sensibili è stata sottratta. L’attacco ha provocato forti preoccupazioni a Teheran, in particolare riguardo alla possibile risposta di Israele, a seguito di un precedente attacco missilistico iraniano.
Secondo fonti iraniane, l’Iran teme una reazione militare diretta da parte di Israele, che potrebbe colpire i suoi impianti nucleari e petroliferi. Gli Stati Uniti, partner di Israele, hanno suggerito una risposta proporzionata per evitare un’escalation del conflitto. Inoltre, vari Paesi del Golfo, tra cui gli Emirati Arabi Uniti e il Bahrein, hanno espresso preoccupazione per le conseguenze economiche di un possibile attacco contro le strutture petrolifere iraniane, considerando i possibili danni ambientali e alla stabilità regionale.
Le preoccupazioni diplomatiche e militari
Israele, impegnato in consultazioni con gli Stati Uniti, sembra voler evitare di colpire direttamente i siti più sensibili, nonostante la pressione. La minaccia di ritorsioni israeliane è particolarmente preoccupante per l’Iran, soprattutto perché Hezbollah, la milizia libanese sostenuta dall’Iran, è stata indebolita dalle recenti operazioni militari di Tel Aviv. Tuttavia, la situazione resta instabile, con il rischio che una reazione israeliana possa colpire duramente il sistema nucleare iraniano come avvenne ai tempi di StuxNet che molti nel settore in queste ore hanno dimenticato per fantasticare sull’attuale presunto attacco subito.
Sapevi che Matrice Digitale è l’unico portale italiano che parla H24 di Guerra Cibernetica?
Gli Stati Uniti giocano un ruolo chiave nel cercare di contenere l’escalation, con il presidente Joe Biden che ha dialogato con il primo ministro israeliano Benjamin Netanyahu per invitare a una risposta più moderata. Gli alleati del Golfo, in particolare, sono preoccupati per le ripercussioni economiche, temendo che un attacco alle infrastrutture petrolifere iraniane possa avere gravi conseguenze per l’intera regione.
L’impatto sugli equilibri geopolitici
L’Iran, negli ultimi anni, è stato coinvolto in numerose operazioni di cyber-attacco, in particolare attraverso gruppi hacker che operano in collaborazione o sotto la supervisione del governo. Il Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) ha spesso utilizzato attacchi informatici come strategia per destabilizzare i Paesi rivali e raccogliere informazioni sensibili. Uno dei principali attori iraniani, il gruppo CyberAv3ngers, ha utilizzato ChatGPT per sviluppare attacchi mirati che sfruttano vulnerabilità nei sistemi operativi macOS. L’obiettivo di questi attacchi era rubare credenziali di accesso e altre informazioni personali. Un altro gruppo, Storm-0817, ha sviluppato malware Android capace di estrarre contatti, cronologie di chiamate e file riservati dai dispositivi infetti, dimostrando la capacità dell’Iran di sfruttare le tecnologie più avanzate per i propri scopi cibernetici.
Il coinvolgimento iraniano in cyberattacchi ha generato preoccupazioni a livello internazionale, poiché questi attacchi non solo compromettono sistemi governativi e aziendali, ma mettono a rischio la sicurezza dei singoli utenti. L’Iran ha storicamente mirato a influenzare la politica globale attraverso cyber operazioni, cercando di interferire nelle elezioni, ottenere informazioni strategiche e minare la fiducia nelle istituzioni democratiche e proprio qualche giorno fa è stato rilasciato un avviso CISA contro il rischio cibernetico iraniano.
Questi eventi segnano un punto critico nelle relazioni tra Iran e Israele, da sempre in conflitto, con il cyberspazio che diventa sempre più un campo di battaglia strategico. L’Iran è già stato colpito da numerosi attacchi informatici in passato, ma l’intensità e l’estensione di questo attacco evidenziano la vulnerabilità delle infrastrutture critiche del Paese.
Sicurezza Informatica
OilRig colpisce i “fratelli” degli Emirati Arabi Uniti e del Golfo
Tempo di lettura: 2 minuti. Earth Simnavaz lancia attacchi sofisticati contro UAE e Golfo, sfruttando vulnerabilità di Microsoft Exchange e strumenti come ngrok per mantenere accessi persistenti.
Il gruppo di cyber-spionaggio Earth Simnavaz, noto anche come APT34 e OilRig, è stato recentemente al centro dell’attenzione per una serie di attacchi avanzati rivolti a enti governativi e infrastrutture critiche negli Emirati Arabi Uniti (UAE) e in altre nazioni del Golfo. Secondo i ricercatori di Trend Micro, questa campagna di attacchi mira a compromettere sistemi sensibili, sfruttando vulnerabilità non risolte e utilizzando tecniche sofisticate per eludere i sistemi di difesa tradizionali.
Strategie e tecniche di attacco di OilRig
Earth Simnavaz si distingue per l’uso di metodi avanzati, tra cui una nuova backdoor che sfrutta i server Microsoft Exchange per il furto di credenziali. Questa tecnica prevede l’infiltrazione nei sistemi tramite web shell caricati su server vulnerabili, che permettono agli attaccanti di eseguire codice PowerShell, caricare file e stabilire un punto d’appoggio nella rete compromessa.
- Sfruttamento di CVE-2024-30088: Una delle vulnerabilità utilizzate dal gruppo è la CVE-2024-30088, una falla di Elevation of Privilege nel kernel di Windows. Gli attaccanti la utilizzano per ottenere privilegi amministrativi, installando un file DLL di filtro password che consente di estrarre credenziali in chiaro dai sistemi compromessi. Questo tipo di approccio permette a Earth Simnavaz di mantenere un controllo persistente sui dispositivi compromessi e di esfiltrare informazioni sensibili.
- Uso di strumenti RMM come ngrok: Il gruppo ha integrato strumenti come ngrok per creare tunnel di rete sicuri, consentendo loro di mantenere il controllo remoto dei sistemi compromessi senza essere facilmente rilevati. Questo facilita anche i movimenti laterali all’interno delle reti, permettendo agli attaccanti di raggiungere e compromettere i Domain Controllers.
La capacità di Earth Simnavaz di combinare strumenti personalizzati in .NET, script PowerShell e malware basato su IIS evidenzia la loro abilità nel far sembrare il traffico di rete legittimo, riducendo il rischio di rilevamento.
Implicazioni geopolitiche e obiettivi strategici
Il gruppo di cyber-spionaggio è ritenuto collegato a interessi iraniani e ha concentrato i suoi sforzi su settori strategici come energia, petrolio e gas, che sono cruciali per la stabilità economica della regione e l’analisi di Trend Micro lo confermerebbe. Negli ultimi mesi, è stato registrato un aumento degli attacchi rivolti a organizzazioni governative, con un focus particolare su infrastrutture di rilevanza geopolitica negli Emirati Arabi Uniti.
L’obiettivo di OilRig non è solo il furto di informazioni, ma anche la possibilità di compromettere infrastrutture che potrebbero essere utilizzate come piattaforme per ulteriori attacchi contro altri target regionali. La persistenza delle loro operazioni sottolinea il rischio continuo per i Paesi del Golfo, che devono adottare misure di sicurezza avanzate per proteggere le loro reti e infrastrutture critiche.
Sicurezza Informatica
Attacchi ransomware e vulnerabilità critiche in ICS, GitLab e Veeam
Le minacce alla sicurezza informatica continuano a rappresentare una sfida globale, con nuove vulnerabilità che emergono e attacchi mirati sempre più sofisticati e le potenziali vittime sono state avvisate di criticità che coinvolgono Veeam Backup & Replication, GitLab, e delle minacce legate a ransomware come Akira e Fog. Allo stesso tempo, OpenAI ha intensificato gli sforzi per bloccare attività malevole, mentre CISA ha pubblicato avvisi cruciali per la protezione dei sistemi di controllo industriale.
Ransomware Akira e Fog sfruttano vulnerabilità Veeam
I gruppi ransomware Akira e Fog hanno iniziato a sfruttare una vulnerabilità critica in Veeam Backup & Replication, identificata come CVE-2024-40711. Questa vulnerabilità, causata da una deserializzazione di dati non sicuri, consente agli aggressori di eseguire codice remoto sui server Veeam vulnerabili. La falla è stata scoperta da Florian Hauser di Code White e ha un impatto significativo, data la diffusione di Veeam come soluzione per il backup e il ripristino di dati aziendali. La vulnerabilità è stata resa pubblica il 15 settembre 2024, dopo che Veeam aveva rilasciato un aggiornamento di sicurezza il 4 settembre per consentire agli amministratori di proteggere i propri sistemi.
- Attacchi recenti: Gli incidenti segnalati coinvolgono il rilascio di ransomware come Akira e Fog, che sfruttano la vulnerabilità per creare account locali con privilegi di amministratore. In un caso, il ransomware Fog è stato distribuito su un server Hyper-V non protetto, utilizzando strumenti come rclone per esfiltrare dati. Altri attacchi hanno visto l’uso di Akira, con tecniche di accesso tramite VPN compromesse e prive di autenticazione multifattore.
La vulnerabilità in Veeam sottolinea la necessità per le aziende di applicare patch di sicurezza tempestivamente e di rafforzare la protezione dei sistemi di backup, che sono spesso il primo bersaglio dei cybercriminali a caccia di dati sensibili.
Vulnerabilità critica in GitLab e i rischi per la CI/CD
GitLab ha avvisato gli utenti di una vulnerabilità critica nella sua piattaforma, identificata come CVE-2024-9164, che permette l’esecuzione arbitraria di pipeline CI/CD su qualsiasi branch di un repository. Questa vulnerabilità, che ha ricevuto un punteggio di gravità CVSS di 9.6, potrebbe consentire agli aggressori di eseguire codice e accedere a informazioni sensibili senza autorizzazione.
- Impatto sulla sicurezza: La falla riguarda tutte le versioni di GitLab Enterprise Edition (EE) a partire dalla 12.5 fino alla 17.4.1. Le patch sono state rilasciate nelle versioni 17.4.2, 17.3.5 e 17.2.9, e GitLab ha sollecitato gli utenti a procedere all’aggiornamento il prima possibile per evitare rischi di compromissione. Le installazioni su GitLab Dedicated sono già state aggiornate automaticamente, offrendo una protezione immediata per i clienti in cloud.
Questa vulnerabilità mette in evidenza l’importanza di un monitoraggio continuo delle pipeline di integrazione e distribuzione continua (CI/CD), una componente essenziale per i flussi di lavoro di sviluppo moderno, che necessita di protezioni adeguate per evitare abusi e attacchi.
OpenAI blocca minacce globali: protezione contro il cybercrime
OpenAI ha adottato nuove misure per proteggere i propri strumenti e tecnologie dall’uso malevolo. Recentemente, l’azienda ha annunciato il blocco di oltre 20 minacce globali, tra cui attività di phishing, malware e altre forme di abuso dei modelli di intelligenza artificiale. Questa decisione è parte di un impegno più ampio per garantire che i progressi tecnologici vengano utilizzati in modo etico e sicuro.
L’intervento di OpenAI si è concentrato soprattutto su quei paesi e regioni in cui le sue tecnologie venivano utilizzate per condurre campagne di disinformazione, frodi finanziarie e tentativi di attacchi informatici. In molti casi, i modelli linguistici sono stati sfruttati per creare contenuti falsi o automatizzare attività dannose, come la generazione di email di phishing e l’ingegneria sociale. OpenAI ha collaborato con le principali piattaforme di sicurezza e agenzie governative per identificare e bloccare gli accessi ai propri servizi da parte di attori malevoli, migliorando al contempo le proprie tecnologie di rilevamento degli abusi.
Questa azione di OpenAI sottolinea la necessità di un approccio preventivo nella protezione delle tecnologie emergenti e delle infrastrutture digitali. Proteggere i modelli linguistici dall’uso malevolo non solo tutela l’integrità delle informazioni online, ma contribuisce anche a preservare la fiducia degli utenti nelle tecnologie basate sull’intelligenza artificiale. Le misure adottate rappresentano un passo significativo verso una maggiore sicurezza informatica, in un contesto dove le minacce evolvono rapidamente e i rischi diventano sempre più complessi.
CISA: 20 avvisi per i sistemi di controllo industriale
La CISA (Cybersecurity and Infrastructure Security Agency) ha rilasciato ventuno nuovi avvisi riguardanti la sicurezza dei sistemi di controllo industriale (ICS). Questi avvisi mirano a informare le aziende su potenziali vulnerabilità che potrebbero essere sfruttate per compromettere la sicurezza dei processi industriali, e comprendono istruzioni dettagliate per mitigare i rischi.
- ICSA-24-284-01 Siemens SIMATIC S7-1500 and S7-1200 CPUs
- ICSA-24-284-02 Siemens Simcenter Nastran
- ICSA-24-284-03 Siemens Teamcenter Visualization and JT2Go
- ICSA-24-284-04 Siemens SENTRON PAC3200 Devices
- ICSA-24-284-05 Siemens Questa and ModelSim
- ICSA-24-284-06 Siemens SINEC Security Monitor
- ICSA-24-284-07 Siemens JT2Go
- ICSA-24-284-08 Siemens HiMed Cockpit
- ICSA-24-284-09 Siemens PSS SINCAL
- ICSA-24-284-10 Siemens SIMATIC S7-1500 CPUs
- ICSA-24-284-11 Siemens RUGGEDCOM APE1808
- ICSA-24-284-12 Siemens Sentron Powercenter 1000
- ICSA-24-284-13 Siemens Tecnomatix Plant Simulation
- ICSA-24-284-14 Schneider Electric Zelio Soft 2
- ICSA-24-284-15 Rockwell Automation DataMosaix Private Cloud
- ICSA-24-284-16 Rockwell Automation DataMosaix Private Cloud
- ICSA-24-284-17 Rockwell Automation Verve Asset Manager
- ICSA-24-284-18 Rockwell Automation Logix Controllers
- ICSA-24-284-19 Rockwell Automation PowerFlex 6000T
- ICSA-24-284-20 Rockwell Automation ControlLogix
- ICSA-24-284-21 Delta Electronics CNCSoft-G2
Gli avvisi di CISA riflettono la continua necessità di proteggere le infrastrutture critiche dagli attacchi informatici, soprattutto in settori come l’energia, la produzione e i trasporti, dove le compromissioni potrebbero avere conseguenze devastanti.
- Editoriali1 settimana fa
L’hacker Carmelo Miano è una risorsa del nostro Paese?
- Editoriali1 settimana fa
Il valore delle certificazioni nell’ICT
- OSINT3 giorni fa
Dibattito politico: in estate vincono Salvini e Meloni mentre Schlein è in vacanza
- Sicurezza Informatica1 settimana fa
ESCLUSIVA – Booking.com espone dati sensibili? Scoperta breccia nei Log Laravel
- Sicurezza Informatica6 ore fa
Cyber-attacco “nucleare” contro l’Iran è la risposta di Israele?
- Sicurezza Informatica1 settimana fa
L’hacker Carmelo Miano: tutto quello che c’è da sapere sulla storia
- Smartphone1 settimana fa
Aggiornamenti S24 FE e Galaxy A15, ma Xiaomi avrà per primo Android 15
- Tech6 giorni fa
Apple annuncia nuovi prodotti e interrompe la produzione di altri