Tag: Cybersecurity

Categorie
Tecnologia

Gli Stati Uniti distruggono Qakbot, il malware che ha infettato oltre 700.000 computer in tutto il mondo

Author: Wired

L’operazione di sicurezza internazionale Duck Hunt, guidata dagli Stati Uniti e supportata dall’Europol e dalle autorità giudiziarie e di polizia europee, ha portato all’eliminazione di Qakbot, un malware che è stato in grado di infettare oltre 700.000 computer in tutto il mondo. Attivo dall’ormai lontano 2007, QBot è stato utilizzato dai cybercriminali per infiltrarsi nei computer delle vittime attraverso e-mail di spam contenenti allegati o collegamenti ipertestuali dannosi. Una volta installato su un dispositivo, questo entrava a far parte di una rete di computer infetti controllati in remoto dagli hacker, che potevano così rubare dati finanziari e credenziali di accesso dai browser web del tutto indisturbati.

Twitter content

This content can also be viewed on the site it originates from.

L’attacco e la soluzione

Un meccanismo ben rodato, che è riuscito a mietere migliaia di vittime in ben quindici anni. Nonostante questo, l’operazione Duck Hunt è riuscita a smantellare la rete di dispositivi infetti instradando Qakbot attraverso server controllati dall’FBI, così da fare in modo che le vittime scaricassero il software che avrebbe disinstallato il malware, separando per sempre i loro dispositivi dalla rete infetta e “impedendo ulteriori installazioni di malware tramite Qakbot”. In questo modo, come riferito dal procuratore americano Martin Estrada, è stata smantellata definitivamente “una delle botnet più famose di sempre, responsabile di ingenti perdite per vittime in tutto il mondo”.

Stando alle indagini condotte, infatti, risulta che tra l’ottobre 2021 e l’aprile 2023 i cybercriminali che hanno utilizzato Qakbot sono stati in grado di raccogliere quasi 54 milioni di euro dai riscatti pagati dalle vittime. Una cifra alquanto importante, che dimostra chiaramente quanto fosse diffuso il malware a livello globale. Non a caso, le forze dell’ordine hanno rilevato server infettati da Qakbot in quasi 30 paesi in Europa, Sud e Nord America, Asia e Africa, testimoniando l’uso su larga scala che ne è stato fatto dai criminali informatici. D’altronde, tra i nomi delle cybergang che ne hanno fatto uso compaiono Conti, REvil e MegaCortex. Tre nomi ben noti agli esperti di sicurezza, perché soliti attaccare le vittime compromettendone i sistemi informatici. Da oggi, però, questi cybercriminali sembrano aver perso uno degli strumenti di maggior potere usati finora.

Categorie
Tecnologia

Il dispositivo fai-da-te che può rubare dati sensibili da iPhone

Author: Wired

Basta un investimento minimo per realizzare un dispositivo bluetooth in grado di carpire con successo dati sensibili dagli iPhone, sfruttando un lato debole dello smartphone di Apple e l’uso spesso improprio di alcune sue funzioni da parte degli utenti. La dimostrazione in tempo reale è andata in scena al convegno dedicato all’hacking Def Con 2023, che si è tenuto recentemente a Las Vegas. Ma vediamo come funziona questa tecnica e come evitare di caderne vittima.

Se si ha un po’ di dimestichezza con il fai da te informatico, il trasmettitore messe in mostra al Def Con si può costruire anche in casa spendendo non più di 60 euro e con componenti molto semplici da reperire: bastano infatti un Raspberry Pi Zero 2 W (il pezzo più costoso, circa 40 euro su Amazon), un qualsiasi adattatore bluetooth compatibile con Linux, un paio di antenne e una batteria per l’alimentazione. Assemblato il tutto e allestendo ad hoc il software, si avrà tra le mani un dispositivo in grado di interagire in modo potenzialmente pericoloso con dispositivi Apple nel raggio di 15 metri circa. Il sistema è stato messo a punto dal ricercatore Jae Bochs, che si è basato sul modo in cui Apple sfrutta la comunicazione bluetooth a basso consumo energetico (Bluetooth Low Energy, alias Ble) creando una notifica fasulla che chiede il collegamento a un accessorio nelle vicinanze, come l’Apple Tv .

Il funzionamento del dispositivo bluetooth messo a punto da Jae Bochs

Categorie
Tecnologia

Cosa sappiamo sull’attacco ransomware a Postel

Author: Wired

Ferragosto nero per Postel, società controllata da Poste italiane che si occupa di invii massivi di posta e direct marketing. Il gruppo è stato colpito da un attacco informatico a opera della gang ransomware Medusa, che ha dichiarato sul proprio sito di essere in possesso di una mole enorme di dati di Postel, che vanno da documenti personali dei dipendenti, abilitazioni Spid, file di tipo fiscale e amministrativo, informazioni su assunzioni regolate dalla legge 104 (che regola l’assistenza e l’integrazione delle persone con disabilità), cedolini e dati su Covid-19. Non solo: Medusa, secondo la classica strategia della doppia estorsione adottata dai gruppi criminali ransomware, minaccia di rendere pubbliche le informazioni se non sarà pagato un riscatto di 500mila dollari. O tranche di 10mila dollari al giorno per posticipare di 24 ore la scadenza. Pena, 8 giorni dopo la violazione, la diffusione dei dati sottratti.

Cosa sappiamo:

  1. L’attacco
  2. I dati

L’attacco

Poste Italiane, dopo richiesta di informazioni da parte di Wired, ha diffuso una nota stampa nella quale informa che Postel “ha individuato delle attività anomale sui propri sistemi, attribuibili ad
un attore esterno non autorizzato. Le attività hanno interrotto l’operatività di alcuni server,
nonché di alcune postazioni di lavoro distribuite sul territorio nazionale“. L’attacco ha messo ko il sito, che è rimasto offline fino alla mattinata di mercoledì 16 agosto. “A fronte delle attività anomale sono state tempestivamente avviate le necessarie attività di verifica, al fine di individuare i potenziali impatti sui sistemi e intraprendere le opportune e conseguenti azioni di mitigazione e di ripristino dell’operatività”.

Anche Agid, l’Agenzia per l’Italia digitale che affianca gli enti pubblici in campo informatico, si è attivata per segnalare l’intrusione ai danni di Postel, come dichiarato in un commento pubblico su X, l’ex Twitter. A rilevare per primo l’attacco di Medusa alla società della galassia di Poste è stato il progetto Dashboard ransomware monitor, che ha registrato la violazione alle 11.43 del 15 agosto. Nella nota di Poste si legge che “l’estromissione dai sistemi di Postel dell’attore malevolo è avvenuta prontamente in prossimità del rilevamento delle attività anomale stesse”.

Poste fa sapere che “attualmente risultano essere stati interessati solo dati interni all’azienda” e che “la società ha già è parzialmente ripristinato i servizi e sta lavorando per completare
velocemente il completo ripristino dei sistemi. Inoltre, è già stata verificata la completa
disponibilità degli archivi di backup dei sistemi, verifica che permetterà una completa azione
di recupero“. Ciononostante, a giudicare dalle anticipazioni fornite dai criminali, Medusa ha messo le mani su un ingente bottino di dati personali dei dipendenti, tra cui informazioni su aspettative, congedi parentali, legge 104, malattie, infortuni e maternità. Poi password, accessi a Spid (il sistema pubblico di identità digitale) sia di Postel sia di una cartella che fa riferimento a Regione Liguria (non è chiaro se questi dati siano riferibili all’ente ligure), poi ambienti di sicurezza per comunicare con l’Agenzia delle entrate. E ancora: cassetti previdenziali, informazioni su costi deducibili e altre informazioni su budget aziendali, valutazioni interne delle performance, costi.

I dati

Come riporta su X Christian Bernieri, data protection officer, che ha sollevato l’attenzione sull’attacco ransomware e visionato le anticipazioni dei dati, è paradossale che tra le informazioni esfiltrate ve ne siano di relative alle procedure per la privacy e la protezione dei dati. Tra questi un documento sull’accantonamento di fondi per rischi legati proprio al tema privacy e uno su contestazioni di una presunta violazione. Nel 2013 Postel era stata condannata dal Garante della privacy al pagamento di una multa di 340mila per aver violato alcune norme del settore della protezione dei dati in merito alla tenuta di database di aziende (un caso non inerente alla violazione attuale).

Postel è controllata al 100% da Poste Italiane. Guidata dal presidente Giovanni Ialongo e dall’amministratore delegato Giovanni Fantasia, offre vari servizi in ambito postale e logistico. Come stampe e invii massivi di comunicazioni, lettere o materiale di marketing. E poi si occupa di gestione dei documenti, conservazione digitali, fatturazione elettronica e altri servizi in ambito archivistico che rendono l’attività del gruppo molto delicato. Tanto che il ripristino pieno dell’operatività è ancora in corso. Poste spiega che “allo stato attuale si è proceduto al ripristino parziale di alcuni sistemi, in particolare dei sistemi business critical”.

Categorie
Tecnologia

La Cina vuole darsi una regolata sul riconoscimento facciale

Author: Wired

Con una mossa inaspettata, il governo della Cina ha deciso di imporre una stretta all’uso dei sistemi di riconoscimento facciale, tracciando nuovi e più stringenti confini normativi per l’applicazione di queste tecnologie. L’iniziativa andrà a implementare una serie più ampia di regolamenti su cybersicurezza, protezione della privacy e intelligenza artificiale rispetto a quelli adottati negli ultimi anni.

Le nuove proposte sono state presentate l’8 agosto 2023 dalla Cyberspace administration of China (Cac), il principale organo di controllo di internet del paese, e sembrano finalizzate a garantire un maggiore diritto alla privacy e a limitare l’uso del riconoscimento facciale solo ad alcuni “scopi specifici strettamente necessari”, che richiederebbero il consenso individuale delle persone coinvolte.

In particolare si vieta a strutture come alberghi, aeroporti o musei di ricorrere al riconoscimento facciale per motivi “commerciali” o di “miglioramento del servizio”. L’uso della tecnologia viene proibito anche sui minori di 14 anni senza il consenso dei genitori o come unico metodo di accesso a un edificio. Inoltre, sono previsti ulteriori accorgimenti tecnici per aumentare il controllo sulle organizzazioni e sugli individui che impiegano strumenti di riconoscimento facciale.

Per esempio, chi è in possesso dei dati biometrici di oltre 10 mila persone, dovrà obbligatoriamente iscriversi a una sede locale della Cac, spiegando lo scopo della raccolta dei dati e le politiche implementate per assicurare la loro protezione. A queste organizzazioni, inoltre, sarà vietato conservare le immagini dei volti raccolti senza il consenso delle persone interessate.

Anche se il pacchetto di norme include misure ambiziose, l’iniziativa della Cina sembra rivolta unicamente ai privati, mentre mancano limiti o restrizioni per le autorità pubbliche. L’unica nuova disposizione generale dispone il semplice obbligo di segnalare ogni occasione in cui viene utilizzato il riconoscimento facciale, comprese quindi anche piazze o uffici pubblici.

Categorie
Tecnologia

Ci sono sempre più attacchi dei cybercriminali russi all’Italia: lo dice la polizia postale

Author: Wired

L’Italia continua a essere nel mirino dei cybercriminali russi. Lo conferma la polizia postale e delle Comunicazioni, che nelle ultime ore “sta contrastando una campagna di attacchi cibernetici massivi” ai danni di istituzioni, banche, società di trasporti e redazioni giornalistiche. Lo scorso martedì i criminali filorussi della cybergang NoName057 hanno cominciato ad attaccare le società del trasporto pubblico locale – dall’Anm di Napoli all’Amat di Palermo – per poi passare agli istituti bancari e, nella giornata di mercoledì ai media. In tutti questi casi, i cybercriminali hanno colpito le loro vittime con attacchi DDoS, ossia bombardando i siti web con una quantità di richieste tale da provocarne il malfunzionamento.

Fortunatamente, i danni riportati a seguito degli attacchi sono stati alquanto ridotti, il che ha lasciato pensare che si tratti per lo più di un’azione a “scopo prevalentemente dimostrativo”. Gli stessi canali social del gruppo NoName057, d’altronde, hanno riportato messaggi in cui i criminali filorussi rivendicano gli attacchi contro le “russofobiche autorità italiane“. Il supporto del nostro paese all’Ucraina, infatti, non sembra essere particolarmente apprezzato, il che ci rende un bersaglio facile per i cybercriminali russi più fedeli alla causa di Putin. Proprio per questo, la Polizia sta lavorando per garantire “il supporto operativo alle infrastrutture attaccate e per consentire il più rapido ripristino delle funzionalità dei sistemi, oltre che per l’elaborazione d’informazioni utili per la precoce attivazione dei sistemi di sicurezza”.

In attesa che la situazioni torni alla normalità, e per evitare che gli attacchi dei cybercriminali russi possano tornare a creare confusione in Italia, il Cnaipc – Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche – suggerisce di integrare “specifici sistemi di protezione anti DDOS” all’interno degli impianti informatici, così da mettersi in sicurezza da eventuali danni. Proprio per questo il centro effettua un monitoraggio della rete 24 ore su 24, così da intercettare “attività e fenomeni potenzialmente dannosi” e intervenire nel minor tempo possibile per riportare la situazione in sicurezza. In fondo, allo stato attuale la situazione richiede la massima allerta, perché il gruppo NoName non sembra affatto intenzionato a distogliere il suo sguardo dall’Italia.