Olivia Terragni : 21 Novembre 2022 13:56
Autore: Roberto Villani e Davide Santoro
La settimana trascorsa ci ha lanciato alcuni importanti segnali che dovremmo valutare per il futuro cyber.
Partiamo dal ricordare il maxi attacco Hacker alle infrastrutture ospedaliere statunitensi tramite l’organizzazione Common Spirit Health, un’organizzazione non profit USA che opera in 140 ospedali attraverso più siti di gestione, nel sistema sanitario americano. L’attacco a Common Spirit avvenuto il 3 ottobre scorso, ha compromesso diversi sistemi informatici che hanno costretto i vertici dell’organizzazione a interrompere le attività per qualche giorno. Chi ci segue dagli inizi, si ricorderà benissimo di quante e quante volte abbiamo avvisato come le aziende sanitarie, e tutto ciò che ruota intorno alla Sanità sia uno dei target preferiti dai cyber criminali.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program!
Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Per ulteriori informazioni, scrivici ad [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
In sintonia con questo attacco, Killnet il gruppo hacker che più di tutti sostiene la Russia, ha affermato di aver attaccato il sito dell’agenzia federale di sicurezza americana, l’FBI! Singolare che il famoso Bureau, a Fox News abbia riferito di non voler commentare l’accaduto. Che sia accaduto veramente e Killnet abbia bucato le difese cyber dell’Hoover building a Washington?
Questi due eventi però non sembrano affatto interessare la maggior parte degli americani riguardo il pericolo cyber e tutte le conseguenze delle cyber war, perché è aumentata la consapevolezza e forse anche un pochino la capacità di rispondere agli attacchi, questo è quanto sottolinea il Financial Times in un articolo che vi alleghiamo in basso.
Se per molti americani la cyber security sta crescendo e riesce a respingere gli attacchi del cyber crime, non lo stesso si può dire qui in Europa e Asia perché i pericoli sono sempre maggiori, le battaglie sempre più sofisticate e la cyberwar è sempre molto attiva e presente nella nostra quotidianità.
Si intravede all’orizzonte una nuova fase di pericolo cyber in Europa, che seguirà certamente quello attuale della guerra Ucraina Russia. I Russi stanno cercando nuovi spazi di azione per fare ingerenza e uno di questi spazi fisici è la Moldavia. Il piccolo paese che confina con Romania e Ucraina da sempre ha un luogo altamente osservato nel mondo cyber. La Transnistria.
Questa piccola enclave dove il passato sovietico è ancora ben saldo e presente, ospita la maggior parte dei cyber criminali del mondo e molti appartenenti alle cyber gang russe. Da questo spazio partono tutti gli attacchi verso la Moldavia e la costante campagna contro il governo moldavo, reo di desiderare troppo l’adesione alla UE. La cyber guerra tra Tiraspol, la principale città della Transnistria e Chisinau si estende su diversi fronti. L’intossicazione delle informazioni, gli attacchi alle IC dove passa il gas, le transazioni economiche che la piccola democrazia Moldava vede costantemente compromesse dagli attacchi cyber, fino all’ingerenza politica ai più alti livelli.
Recentemente la Corte Suprema moldava a rimesso in libertà Igor Dodon principale punto di riferimento politico del Cremlino in Moldavia e presumibilmente uomo legato alla mafia russa, in quanto l’accusa per cui era detenuto riguardava proprio un finanziamento al suo partito, generato dalla criminalità. Appena dopo la scarcerazione di Dodon, i siti istituzionali dei vertici della sicurezza moldava, tra cui il sito del ministro dell’interno, del capo della polizia e del governo sono stati hackerati dando strada libera alle dichiarazioni dei fan di Dodon che sfruttando la precaria situazione economica del paese hanno iniziato una forte campagna mediatica ostile contro il governo di Natalia Gavrilita.
Altro “cyber-fronte” caldo è l’Iran, dove la rivolta popolare diventa sempre più incandescente soprattutto dopo la notizia che la casa di Khomeini è stata attaccata e bruciata dai manifestanti che da mesi sono in lotta contro il regime degli Ayatollah. Se pur il potere religioso degli Ayatollah sembra forte, in realtà le crepe diventano sempre più numerose e il rischio di un crollo è imminente, almeno a leggere i commenti di diversi esperti geopolitici, che parlano di “svolta” dopo quanto accaduto alla casa di Khomeini. Il potente servizio segreto di Teheran, il Vevak, non sembra riuscire a respingere i vari attacchi e la costante guerra con il nemico di sempre Israele, lo ha indebolito.
Per conoscere dettagli sulla cyber war tra Iran e resto del mondo, leggete l’articolo di Davide Santoro Abraham’s Ax: come gli iraniani stanno avanzando tra hacktivism e geopolitica e il suo focus cyber e geopolitico su Israele e Hamas, perché il nostro RADAR non vi lascia mai. Vi seguiamo e se non lo sapete, ve lo dice Red Hot Cyber! Buona lettura.
La situazione tra Israele e Hamas si sta facendo sempre più complessa e l’Iran sembra voler gettare benzina sul fuoco
Il 5 Novembre 2022 sulla televisione iraniana PressTv è andata in onda un’intervista all’attivista palestinese-americana Nerdeen Kiswani la quale ha sostanzialmente sostenuto che gli unici meriti del processo politico sono quelli ottenuti attraverso la resistenza affermando che è proprio grazie all’intifada se i palestinesi ora possono sedersi al tavolo delle trattative.
Inoltre, il 13 Novembre 2022, durante lo spettacolo del mattino, il canale televisivo iraniano “Canale 5” ha mandato in onda un quiz televisivo mettendo in palio 200.000 toman(un toman equivale a dieci rial e, nonostante il rial sia la moneta ufficiale dell’Iran, i toman sono la moneta a cui la gente fa riferimento nella vita quotidiana) invitando i telespettatori a rispondere alla domanda “Quanto tempo impiega un missile Sejjil a raggiungere Tel Aviv partendo da Teheran”? Fornendo le seguenti opzioni:
– Da sei a dieci minuti,
– Venti minuti,
– Trenta minuti.
L’attacco a colpi di coltello ad Ariel che ha provocato 3 vittime (mentre un altro attacco con coltello è stato sventato venerdì a Kiryat Arba) e la revoca di centinaia di permessi per i parenti dei terroristi annunciata dal Ministro della Difesa Gantz che, nelle intenzioni dello stesso Gantz dovrebbe colpire finanziariamente le famiglie dei terroristi (inclusi parenti più’ distanti) così da dissuadere altri a commettere attentati.
Sul fronte palestinese non possiamo non tenere presente la notevole crescita di Hamas sul fronte cyber – tutti noi ricordiamo il bombardamento delle forze aeree israeliane del Maggio 2019 contro il palazzo che ospitava la sede cyber di Hamas nella Striscia di Gaza – tuttavia, grazie all’appoggio di paesi come la Turchia e di altri paesi – principalmente Iran e Qatar – Hamas ha potuto sviluppare il proprio programma cyber con l’intento sia di ottenere informazioni che di effettuare spionaggio.
Secondo il report intitolato: “The cyber strategy and operations of Hamas: Green flags and green hats” del 7 Novembre 2022, le operazioni cyber di Hamas sono affidate alla Forza di Sicurezza Interna (ISF) che è la principale organizzazioni di intelligence di Hamas e può contare anche su alcuni membri della forza di sicurezza Al-Majd riconducibile direttamente alle Brigate Ezzedeen al Qassam, l’ala militare di Hamas.
L’ISF è responsabile sia per la parte relativa allo spionaggio che per il monitoraggio degli oppositori politici, delle minacce interne e dell’identificazione di eventuali collaborazionisti di Israele.
Come in ogni minaccia cyber è particolarmente importante analizzare quelle che vengono chiamate TTP (tattiche, tecniche e procedure) dei gruppi specifici e ovviamente la loro evoluzione che ci permette di comprendere come un gruppo si sia evoluto nel tempo:
L’inizio delle campagne cyber di Hamas è avvenuto all’incirca nel 2012 e, la loro prima campagna consisteva nell’invio massivo di email impersonali con un allegato malevole a un gran numero di obiettivi sperando che qualcuno aprisse l’allegato mentre, già in un’operazione iniziata a metà 2013 ed emersa pubblicamente a febbraio 2015 contattavano i propri obiettivi promettendo l’invio di materiale pornografico che in realtà si rivelavano essere applicazioni malevoli.
A settembre 2015 hanno iniziato una campagna basata sui link piuttosto che sugli allegati – così da riuscire a bypassare più facilmente l’analisi degli allegati – relativi principalmente a video di incidenti di auto e video divertenti così da indurre l’utente a cliccare (in questa campagna hanno aggiunto la tecnica della crittografia dei dati esfiltrati).
Un’altra campagna da tenere in mente è quella iniziata nel Febbraio 2017 quando il gruppo ha iniziato a utilizzare tecniche di ingegneria sociale sui social network per convincere personale dell’esercito israeliano a installare un malware e, negli anni successivi, vi è stato un crescendo di utilizzo di app fittizie per smartphone per poter installare RAT.
Tuttavia, la vera evoluzione dell’unità cyber di Hamas è stata rilevata ad Aprile 2022 quando, secondo l’organizzazione di threat intelligence Cybereason è stata lanciata una campagna di cyber spionaggio utilizzando tecniche avanzate di ingegneria sociale rivolta principalmente a militari israeliani, forze dell’ordine e servizi di emergenza che, tramite falsi profili social – soprattutto di avvenenti ragazze israeliane – venivano indotti a scaricare un malware particolarmente sofisticato, mai documentato in precedenza e in grado di utilizzare meccanismi stealth per renderne difficile il rilevamento.
Dalla successiva analisi del malware è emerso che, una volta scaricato, gli operatori di Hamas potevano accedere ai documenti del dispositivo, alla fotocamera, al microfono (così da poterlo utilizzare per registrazioni ambientali), ai contatti e a molte altre informazioni che potranno essere utilizzate in due modi, sia come informazioni utili per conoscere le mosse nemiche e portare a termine attentati e sia – questo decisamente più subdolo e sottovalutato – come possibile merce di scambio in un’ottica estorsiva e come “trampolino” per poter accedere a sistemi e reti particolarmente protetti e che verosimilmente necessitano di un accesso fisico alle macchine per poter essere infettati; se sia stato trovato materiale compromettente, se e come Hamas deciderà di usarlo (volendo potrebbe anche associarlo a uno specifico dispositivo e pubblicarlo direttamente in rete) e, soprattutto, fin dove riuscirà a penetrare con questo materiale lo scopriremo soltanto con il tempo.
Il presente articolo, che presenta i contributi di Roberto Villani e di Davide Santoro, è frutto delle analisi svolte dal gruppo verticale di Red Hot Cyber, nato per monitorare le attività di intelligence e di geopolitica nel mondo cyber.