Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Olivia Terragni : 13 Febbraio 2023 09:49
Autore: Olivia Terragni
Se il recente ‘pallone-spia’ cinese nei cieli americani ha fatto fiasco finendo nelle acque del South Carolina, le minacce di spionaggio e gli sviluppi dei sistemi di sorveglianza elettronica non terminano qui. Pronti? Sono almeno altri tre gli ‘oggetti’ non identificati abbattuti nei cieli degli USA, Canada, Alaska e Cina, due dei quali già abbattuti e altri su Colombia e Costa Rica.
Sicuramente tra un pallone spia, un satellite o una stazione spaziale vi sono delle differenze oltre ai costi: per i militari e le agenzie di intelligence i ‘palloni’ che operano nello spazio aereo sovrano di un determinato paese – utilizzati dagli USA per per monitorare e scoraggiare il traffico di stupefacenti – non sono così prevedibili come le orbite fisse dei satelliti (vanno infatti dove il vento li porta entrando in conflitto con la sicurezza dei voli civili), e possono eludere il radar. [Allo stesso tempo i dirigibili sperimentali sono in fase di sviluppo come forma di trasporto aereo civile a basse emissioni di carbonio].
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Intanto, mentre dall’altra parte del mondo, ancora si ‘osservano da vicino gli eventi del bombardamento degli oleodotti Nord Stream’, il premio pulitzer e giornalista investigativo Seymour Hersh, – ha fatto scatenare i media di tutto il mondo. Hersh nel suo blog afferma: “gli Stati Uniti hanno eseguito un’operazione marittima che è stata tenuta segreta, fino ad ora”. Peccato che questa azione, se fosse vera, violerebbe le promesse degli Stati Uniti di ridurre al minimo il conflitto diretto con la Russia. Hersh non cita la sua fonte che affermerebbe: “The plan was for the options to be executed post-invasion and not advertised publicly. Biden simply didn’t get it or ignored it”. Un vero e proprio giallo, quello dell’incidente del Nord Stream, che rimane ancora senza prove concrete di una probabile risoluzione. Tuttavia queste accuse hanno dato modo alla Russia di fare domande agli USA che hanno commentato il racconto di Hersh come “completamente falso”. Chi controlla chi? Nemmeno a Robert Ludlum sarebbe venuta in mente un’introduzione così.
Cieli e cyber spazio sotto sorveglianza: ciò che possiamo dire è che il lavoro dei servizi di intelligence è diventato complesso e ora può interferire purtroppo e più che mai con la privacy e la protezione dei dati: a questo aggiungiamo le nuove tecnologie, tra cui l’intelligenza artificiale, di fondamentale importanza per il nostro futuro ma per la quale non esiste ancora una regolamentazione vera e propria per il suo potenziale abuso.
Il radar in breve:
Secondo quanto riporta il New York Times, l’amministrazione Biden ha descritto il pallone spia cinese che ha attraversato gli Stati Uniti come parte di ‘una flotta di sorveglianza globale diretta dall’esercito cinese in volo su 40 paesi in 5 continenti’. In grado di raccogliere comunicazioni elettroniche dalle prime analisi – anche se la maggior parte dell’elettronica si trova sparsa sul fondo dell’oceano – viene affermato che il pallone includeva array di antenne “probabilmente in grado di raccogliere e geolocalizzare le comunicazioni”, con pannelli solari utili a dare energia ad un ampio set di sensori. Prodotti da aziende civili mostrerebbero il legame tra le imprese e l’esercito, in quella che i funzionari americani chiamano ‘military-civil fusion’. Il governo cinese nega le affermazioni legate allo spionaggio, affermandosi si trattasse di una macchina meteorologica civile, ma ciò sta portando tensioni ulteriori tra Cina e USA, quasi che il pallone-spia stia calcolando i tempi di reazione dell’avversario.
Tuttavia, sottolinea EurasianTimes il pericolo più significativo dei palloni sono le crescenti capacità di attacco informatico della Cina.
“L’assalto informatico a Taiwan è già iniziato […] se vogliamo evitare che Taiwan subisca la stessa sorte dell’Ucraina, dobbiamo lavorare per garantire che le forze informatiche statunitensi siano organizzate in modo efficiente e operativamente in grado di difendere i nostri interessi nel cyberspazio”.
Mike Gallagher
Sicuramente gli USA devono combattere su più fronti non solo la ‘disinformazione’, ma lo spionaggio e la fuga di informazioni: in questo caso si ritorna alla Cina che secondo il direttore dell’FBI Christopher Wray il suo spionaggio – anche tramite l’hacking – rappresenta “la più grande minaccia a lungo termine per le informazioni e la proprietà intellettuale” della loro nazione, se non fosse che anche gli Stati Uniti hanno i propri modi di spiare la Cina, dispiegando tecniche di sorveglianza e intercettazione, nonché numerose reti di informatori. Ma non si parla solo di Cina e USA, anche la Russia si aggiunge a questa lista: chi non ha dubbi è l’ex ufficiale dell’intelligence dell’MI5 Annie Machon. La Russia starebbe aumentando le sue operazioni di intelligence assumendo spie “kamikaze” dalla Gran Bretagna. Sorvegliati o sotto sorveglianza?
L’Office of Foreign Asset Control del Dipartimento del Tesoro degli Stati Uniti e la National Crime Agency del Regno Unito hanno emesso sanzioni congiunte contro gli operatori di ransomware russi, in particolare il gruppo che gestivano il malware Trickbot e i ransomware Conti e RYUK. Come sono stati colpiti i criminali informatici? Con sanzioni di viaggio, congelamento di beni e limitazioni nell’utilizzo del sistema finanziario globale. La Russia è stata accusata di avere fornito un rifugio sicuro ai criminali informatici che hanno colpito infrastrutture critiche, ospedali e strutture mediche durante una pandemia, degli Stati Uniti, del Regno Unito e dei loro alleati.
I cittadini russi sanzionati sono, secondo Register:
Le sanzioni sono un’arma efficiente contro il cybercrime o serve una campagna coordinata più estesa? C’è da dire che nei guai non solo solo i sanzionati e i gruppi criminali, ma le istituzioni di credito che facilitano – consapevolmente – i pagamenti di ransomware.
Questo per quanto riguarda il cyber crime. Ma che dire di quegli hacker che agiscono per conto di uno stato? La Russia in questo caso avrebbe detto la sua: Alexander Khinshtein, capo del Comitato della Duma di stato per la politica dell’informazione della Federazione Russa, sarebbe da considerare la possibilità di stabilire garanzie legislative per gli hacker che lavorano nell’interesse dello Stato. Parliamo di hacker etici, in questo caso? E la ‘guerra’ – anche se cyber e anche se fatta per difesa – è etica?
Intanto diversi siti web della NATO hanno subito un attacco informatico domenica notte, lasciando, tra gli altri il sito web del quartier generale delle operazioni speciali della NATO, temporaneamente non operativo.
Su Red Hot Cyber: La Russia proteggerà gli hacker che opereranno nei suoi interessi
Secondo Avanan (CheckPoint) i cyber criminali per perfezionare e personalizzare gli attacchi phishing utilizzerebbero il geotargenting: ovvero le vittime verrebbero reindirizzate – attraverso la piattaforma di targeting geografico Geotargetly – a pagine di phishing regionali personalizzate. Grazie a questa tecnica, gli annunci visualizzati dagli utenti in Italia ad esempio sarebbero diversi da quelli visualizzati dagli utenti negli Stati Uniti, apparendo sempre più pertinenti. Avanan avverte: “controlla gli URL nell’e-mail e nel browser prima di procedere e verifica con l’IT se il sito è legittimo”.
Se hai l’impressione talvolta che qualcuno ti stia osservando, non ti preoccupare, potrebbe essere davvero così se hai fatto click dove non dovevi farlo.
E’ ProofPoint che ce lo spiega, dopo avere rintracciato un nuovo attore di minacce (TA866 o ScreenTime), tramite nuove campagne malevole che sembrano essere rivolte “principalmente a organizzazioni negli Stati Uniti e in Germania”. Cosa fa TA866? Analizza l’attività delle sue vittime ad alto profilo, tramite screenshot prima di installare un bot e uno stealer. L’attacco parte da ‘un’e-mail “contenente un allegato o un URL dannoso e porta a un malware che Proofpoint ha soprannominato WasabiSeed e Screenshotter”: quest’ultimo ha l’unico scopo di acquisire uno screenshot dello schermo della vittima (che serve a determinare se l’obiettivo è abbastanza prezioso per ulteriori intrusioni) e inviarlo al server di comando e controllo.
I ricercatori di ProofPoint hanno osservato attività post-sfruttamento che coinvolgono AHK Bot e Rhadamanthys Stealer, identificando commenti in lingua russa in alcune parti, anche se non possono ancora confermarlo con precisione.
L’intelligenza artificiale (IA), con la sua potenzialità nell’imitare il cervello umano, apprende e risolve problemi che riguardano il linguaggio naturale e la sua elaborazione, la percezione visiva, il riconoscimento di modelli e il processo decisionale. Ma il suo potenziale rivoluzionario e un impatto potenzialmente positivo sulla crescita del PIL dei paesi (alcuni), non è esente da discussioni, dibattiti e problemi. L’intelligenza artificiale infatti, tramite l’addestramento delle reti neurali, diventa sempre più precisa e performante anche per il mercato del cybercrime e questo pone un’ulteriore differenziazione tra IA buona e IA sviluppata a fini cattivi o malevoli, ad esempio, avvelenando i modelli di Machine Learning (ML) per prendere di mira i loro set di dati e rubare le credenziali di accesso.
A ciò si sommano altri fattori da considerare – quando parliamo di genuinità di set di dati che vengono dati in pasto alle macchine – tra cui disinformazione, informazioni imprecise, rumore nei dati (spazzatura) bias, pregiudizi, problemi relativi al consenso, problemi di copyright, e via dicendo. Questo non dimenticando che l’intelligenza artificiale fa parte a tutti gli effetti della somma delle capacità informatiche dei paesi che stanno investendo largamente in questa risorsa diventata il focus di una nuova competizione globale. L’Iran, ad esempio, l’ha applicata in esercitazioni di combattimento con droni, raggiungendo capacità molto elevate in questo senso. Senza dimenticare che la Cina ha come obiettivo lo sviluppo dell’IA entro il 2030 attraverso investimenti del valore di 150 miliardi di dollari. Se le università del Regno Unito le università sono classificate tra le organizzazioni imprenditoriali e accademiche più influenti al mondo nella ricerca sull’IA, il paese a livello di avanzamenti si accosta alla Cina, affermando che il nutrito numero di professionisti della sicurezza informatica cresciuti in casa fa parte della sua più ampia ambizione di essere un leader mondiale nel settore della sicurezza informatica.
L’Intelligenza artificiale potrebbe essere utilizzata come arma offensiva? Non andiamo molto lontano se pensiamo ai deepfake, sia video che audio, all’automazione degli attacchi, il furto di credenziali, lo sviluppo di exploit, la raccolta di informazioni, attività di ingegneria sociale e vanti ancora. E si, l’IA generativa può portare ad un aumento esponenziale di attacchi informatici. Secondo BlackBerry manca meno di un anno a veri e propri cyber attacchi tramite l’uso di ChatGBT. La questione è chiara ma la risposta effettiva è meno ovvia.
Intanto il l’obiettivo del Consiglio Europeo – in una normativa sull’intelligenza artificiale – vorrebbe assicurare che i sistemi di intelligenza artificiale (IA) immessi sul mercato UE e utilizzati rispettino la normativa vigente in materia di diritti fondamentali, con la creazione di un un ambiente controllato per lo sviluppo dell’IA e una classificazione dei sistemi di IA ad alto rischio.
Nel suo bollettino mensile il CERT di Singapore fa luce sul rivoluzionario chatbot della società di ricerca sull’intelligenza artificiale OpenAI, ChatGBT. Pur riconoscendone tutti i vantaggi, sottolinea che la comunità della sicurezza informatica – riconoscendo il rischio – è pronta a lanciare l’allarme su nuove minacce a causa del suo potenziale di abuso. Come? “Un utente deve solo convincere ChatGPT che sta conducendo un test di penetrazione su un sistema (o con qualche altro pretesto innocente), per ottenere aiuto con l’hacking. ChatGBT infatti è un ottimo strumento per tutti, ‘anche per gli aspiranti hacker’ che non aiuterà a lanciare gli attacchi ma gli insegnerà come fare senza leggere lunghi e complessi manuali. D’altronde ChatGPT è un grande scrittore/scrittrice anche di messaggi di phishing. 🙂
Da Ludlum a Ridley Scott la strada è breve. 🙂 Citando Blade Runner all’inizio del suo report e il famoso test il test Voight-Kampff, che determina nel film se l’intervistato è umano o un androide, WithSecure in Creatively malicious prompt engineering ha pubblicato un’ampia e seria valutazione (PDF) dell’ingegneria dei prompt contro ChatGPT nei seguenti casi: la generazione di phishing, vari tipi di frode e disinformazione (notizie false). Non è stato invece esaminato l’uso di ChatGPT nella ricerca di bug o nella creazione di exploit.
Quello sotto è un esempio di un’ipotetica molestia sui social media prodotta da ChatGBT : questi attacchi possono sia essere devastanti per l’azienda. Per leggere l’interessante report e le analisi fatte, sotto l’immagine è riportato il link.
Ancora: ChatGBT tra malware polimorfico e cyber spionaggio
Gli Stati Uniti fanno bene comunque a difendersi con qualsiasi arma, comprese le sanzioni si intende: secondo il rapporto Blackberry sono in prima posizione con il 65% di attacchi informatici subiti nel 2022.
Secondo il rapporto “sembra che stia aumentando anche il numero di autori di minacce motivate politicamente, il che include la vasta diffusione di disinformazione attraverso siti di notizie false, il monitoraggio delle azioni e dei comportamenti di giornalisti e dissidenti, nonché tentativi di attacchi informatici diretti contro organizzazioni governative e militari”.
Da dove invece arrivano i maggiori pericoli? Secondo CyberProof i maggiori pericoli – secondo l’analisi degli indirizzi IP riportati nei feed open source e premium gestiti – ai quali bisogna prestare maggior attenzione tra attacchi phishing, malware, ransomware, attacchi alle applicazioni, derivano dai seguenti paesi:
Non finisce qui: vogliamo anche sapere la TOP 10 dei paesi target del maggior numero di data breach e, secondo Proxyrack la classifica – che include anche l’Italia al 10mo posto, ottava per danni economici derivanti – è la seguente:
A predire invece quale gruppo hacker potrebbe diventare il più prolifico nel 2023 ci prova AT&TCyberSecurity a partire dagli attacchi di defacement dei siti web e prendendo come riferimento la piattaforma Zone-H,dove gli utenti caricano le prove del loro attacco.
L’Israel Institute of Technology (Technion) ha dichiarato domenica 12 Febbraio 2023 che i suoi server di computer sono stati presi di mira da un attacco informatico: si tratta di un attacco ransomware – ipotizzato da parte da un nuovo gruppo Darkbit – che ha mandato in tilt il sito web dell’istituto.
La nota di riscatto – per la quale è stato usato un traduttore automatico – sembra contenere motivazioni politiche citando Israele come uno stato di ‘apartheid’ e richiede la somma di 80 Bitcoin (1.644.710,33 € al valore di oggi) per liberare i computer dal ransomware che li ha infettati. Se si trattasse di cyber hacktivisti quale sarebbero le probabilità di avere indietro una chiave di decrittazione?
Su Red Hot Cyber: Arriva DarkBit: violato l’Israel Institute of Technology, punito il regime di apartheid
Contro la fantasia del Cyber Crime, la creatività degli hacker, coordina, governa ed intensifica lo sforzo immaginativo. Siete d’accordo?
Intanto per i Red Team e i Bug Bounty Hunters, con l’aiuto di ChatGBT è stato realizzato ScopeHunter. Scritto da Chris “SaintDruG” Abou-Chabke di Black Hat Ethical Hacking utilizza i database più recenti di fornitori come HackerOne, BugCrowd, Intigriti e YesWeHack per fornire risultati accurati e aggiornati.
“… Mentre l’immaginazione contiene informazioni sulla parte nascosta della psiche e rivela quale strada seguire, la fantasia riguarda i bisogni e i desideri dell’ego, e cerca solo di accrescersi”. Jeffrey Raff
Olivia Terragni