Category Archives: Virus

Dalla guerra, AcidRain: il malware wiper contro l’Internet satellitare europeo

Posted on by

Importanti dettagli su quello che allo stato attuale è il più importante attacco informatico dall’inizio dell’invasione russa in Ucraina, fanno emergere l’utilizzo di un nuovo pericoloso wiper. Scopriamo i dettagli di AcidRain

Pubblicato il 04 Apr 2022 Fonte Completa : https://www.cybersecurity360.it/nuove-minacce/dalla-guerra-acidrain-il-malware-wiper-contro-linternet-satellitare-europeo/

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Gli esperti di sicurezza di SentinelLabs hanno isolato il nuovo malware wiper utilizzato anche nell‘attacco cyber a Viasat, denominato AcidRain mirato contro router e modem. Ora si conoscono i dettagli dell’elemento veicolo di attacco, che ha messo fuori combattimento le turbine eoliche in Germania. Considerato per ora il più importante attacco informatico nell’attuale scenario di invasione russa dell’Ucraina, quello a Viasat ha coinvolto anche l’Italia per via dell’amministrazione di Eutalsat operata dall’italiana Skylogic.

Indice degli argomenti

Come è avvenuto l’attacco a Viasat

Secondo i ricercatori di malware Juan Andres Guerrero-Saade e Max van Amerongen, si ritiene che l’ultimo wiper, soprannominato AcidRain, faccia parte di un attacco alla catena di approvvigionamento più significativo mirato a distruggere il servizio Internet satellitare di Viasat.  

Viasat ha dichiarato in una nota ufficiale che l’attacco informatico è stato organizzato su due fronti, contro la sua rete KA-SAT e ha provocato la sovrascrittura di comandi software dannosi nella memoria interna del modem, rendendo inutilizzabili decine di migliaia di modem/router in tutta Europa. Secondo le fonti pubblicate, il blackout di Viasat, avvenuto subito dopo che la Russia fatto partire l’invasione dell’Ucraina (il 24 febbraio), ha interrotto il servizio modem sia in Francia che in Italia, gestita per conto di Viasat dall’italiana Skylogic (azienda del gruppo Eutelsat) e ha persino fermato le turbine eoliche in Germania.  

Dopo diversi giorni di offline per i servizi Viasat, la società ha comunicato che il suo intervento è stato composto in parte da sostituzione fisica dei modem/router infettati e in parte da un reset con reinstallazione completa del firmware.

I ricercatori di SentinelLab precisano che le indagini sull’incidente e sulla scoperta del nuovo wiper sono ancora in divenire. Ma hanno diverse prove tra cui sovrapposizioni di codice e altri test che collegano il malware all’attacco contro il colosso della rete satellitare. I ricercatori hanno definito la risposta pubblica di Viacom “incompleta” e hanno affermato che il loro studio tecnico ha rivelato parallelismi con gli attuali attacchi malware VPNFilter collegati a un noto gruppo APT (Sandworm) riconducibile direttamente governo russo, come riportato dall’FBI stessa.  

Le indagini sul wiper AcidRain

“Valutiamo con media certezza che ci sono somiglianze di sviluppo tra AcidRain e un plugin distruttivo di fase 3 VPNFilter. Nel 2018, l’FBI e il Dipartimento di giustizia hanno attribuito la campagna VPNFilter al governo russo”, affermano i ricercatori di SentinelLabs.

Notando che AcidRain è il settimo virus wiper correlato all’invasione russa dell’Ucraina, il team di SentinelLabs ha dichiarato che il file sospetto è stato inviato il 15 marzo al servizio multi-scanner VirusTotal dall’Italia con il nome “ukrop“, riconosciuto dannoso da 29 vendors su 61. Si tratta di un file binario ELF e benché il nome del file può lasciare spazio a diverse interpretazioni, l’analisi in questione di SentinelLabs è stata riconosciuta come coerente dalla stessa Viasat, che lo ha confermato pubblicamente.

Continua su : Fonte Originale Completo Cyber Security 360:

Dalla guerra, AcidRain: il malware wiper contro l’Internet satellitare europeo

Woodcock sta già pensando di brevettare il trojan tedesco

Posted on by

La Germania è alle prese con un Grande Fratello cibernetico. Il suo nome è “Bundestrojaner”, una sorta di virus informatico sguinzagliato dalle autorità bavaresi in grado di tirare fuori (del tutto arbitrariamente se non illegalmente) gli scheletri dagli armadi dei cittadini tedeschi.

A puntare il dito contro l’applicazione, che sulla carta avrebbe il compito di salvaguardare la Repubblica federale da terrorismo e criminalità on-line ma che in realtà all’opinione pubblica tedesca ricorda una rivisitazione della Stasi nell’era 2.0, è stato il rinomato gruppo di hacker del Chaos Computer Club (Ccc).

Questi militanti del web hanno scovato in rete il virus nuovo di zecca, lo hanno catturato, riprodotto e decrittato. E, sorpresa, hanno scoperto che si trattava di un sistema sviluppato per intrufolarsi nei computer dei privati e fare scorpacciata di dati, immagini e contatti online e telefonici. Insomma, un ritorno allo spionaggio ma di nuova generazione.

Adesso i politici di Berlino, che hanno dovuto chinare il capo e ammettere per primi l’utilizzo del malware, sono in forte imbarazzo anche perché a produrre il ‘trojan’ è stata un’azienda elettronica dell’Assia, su commessa pubblica. Ma quello che genera fortissimi imbarazzi è che il fatto stride terribilmente con una certa pronuncia della Corte Suprema tedesca, risalente al 2008, che aveva dichiarato illegale l’uso di internet come strumento di spionaggio da parte delle autorità federali e statali, eccezion fatta in casi limite. Tanto per intenderci, qualora fosse in gioco la vita di un cittadino. E invece la curiosità di guardare dal buco della serratura, in questo caso del tedesco medio, ha vinto ancora.

Chissà se Henry John Woodcock si è già precipitato a capire come brevettare “Bundestrojaner” per affinare il suo sistema di investigazione made in Italy. Così, finalmente, potrà ‘schedare’ “Le vite degli altri” alla stregua di quanto si faceva nella Berlino est…

Fonte :http://www.loccidentale.it/node/110435

C’è un virus nei computer dei droni Usa

Posted on by

Per ora nessun incidente o stop alle missioni aeree

E’ stato scoperto due settimane fa, ma i tecnici della sicurezza non riescono a rimuoverlo, e neppure a capire quanto sia diffuso. No comment dell’Air Force

Un drone Predator in una base Usa del Nevada (Reuters)

Un drone Predator in una base Usa del Nevada (Reuters)

ROMA, 8 OTTOBRE 2011 – C’è un virus nei sistemi di controllo dei droni Predator e Reaper, utilizzati dall’esercito americano nelle missioni come quella in Afghanistan, un virus che si innesta ogni volta che i piloti battono sulla tastiera dalla loro cabina di controllo della base di Creech, in Nevada. A rivelarlo è il sito della rivista Wired.com, la Bibbia dell’hi-tech.

 

Il virus è stato scoperto due settimane fa dai tecnici della sicurezza Usa: finora non ha prodotto conseguenze negative e le missioni vengono svolte regolarmente. Ma gli specialisti non riescono a debellarlo: “Continuiamo a toglierlo, e ritorna continuamente – confida una fonte ai giornalisti di Wired – Pensiamo che non sia maligno, ma in realtà non ne sappiamo abbastanza”.

 

E gli esperti non riescono neppure quanto si sia diffuso all’interno della rete che governa i droni, e se sia stato introdotto volontariamente o se sia ‘solo’ un codice maligno che ha superato i controlli antivirus, come potrebbe accadere in qualsiasi rete aziendale. Quello che sanno è che ha infettato anche computer con dati sensibili nella base di Creech, il che rende plausibile l’ipotesi che dati militari segreti possano essere stati trafugati attraverso internet.

 

No comment dell’Air Force Usa: “In generale, non discutiamo vulnerabilità specifiche o minacce informatiche, perché potremmo dare informazioni utili a chi vuole attaccare i nostri sistemi” spiega Tadd Sholtis, il portavoce dell’Air Combat Controll.

 

Finora, i tentativi dei tecnici di rimuovere il virus non hanno prodotto risultati apprezzabili. Non è la prima volta: nei computer della Difesa americana ogni tanto riaffiora un worm maligno del 2008, chiamato agent.btz, che era stato infiltrato non attraverso internet ma collegando hard drive (dischi memoria) esterni. Da allora, la procedura di utilizzo di drive esterni è stata rigidamente controllata e limitata, ma una delle poche eccezioni ancora concesse è proprio quella della base dei droni a Creech.

 

Dopo i primi inutili sforzi, per rimouvere il ‘virus dei droni’, gli specialisti sono passati a misure drastiche: cancellare e ricostruire tutte le memorie di server e stazioni di controllo di Creech. “L’attenzione è molto alta – conclude la fonte di Wired – ma non siamo al panico. Non ancora”.

 

I droni sono diventati uno strumento fondamentale per l’esercito americano in tutti i tipi di operazioni americane. Sotto la presidenza Obama, i 30 droni sotto il comando della Cia hanno portato a termine più di 230 missioni solo in Pakistan, mentre altri 150 fra Predator e Reaper vengono utilizzati dall’aeronautica Usa in Afghanistan e in Iraq; fra metà aprile e fine agosto, le missioni in Libia sono state 92, e a settembre è stato un drone americano ad uccidere Anwar al-Awlaki, uno dei terroristi di Al Qaeda più ricercati.

 

Operativamente, vengono guidati da un pilota dalla base di Creech, nel deserto del Nevada, 20 miglia a nord di una prigione e poco lontano da un casinò. In un edificio anonimo, i piloti operano da cabine di comando gestite dai computer, guardando sui monitor il campo d’azione operativo in Afghanistan, Iraq o in altri teatri di guerra.

 

Nonostante il loro largo utilizzo, i droni hanno notevoli falle nei sistemi di sicurezza: ad esempio in molti casi non criptano i dati dei video prima di trasmetterli a terra. Nel 2009 fece scalpore il ritrovamento di video delle missioni dei droni sui computer dei ribelli iracheni, video ‘catturat’ con un semplice software che costava poche decine di dollari.

di Franca Ferri

Fonte :

http://qn.quotidiano.net/tecnologia/2011/10/08/596760-virus_computer_droni.shtml

Uno Tsunami si abbatte sul Mac

Posted on by

E’ stato identificato un nuovo Trojan Horse in grado di infettare i sistemi Mac OS X, questa minaccia prende il nome di Tsunami e consiste in pratica in una backdoor prodotta riconvertendo un eseguibile originariamente concepito per attaccare le distribuzioni basate sui Kernel Linux.

Il nome della backdoor sorgente è Kaiten, un malware in grado di effettuare chiamate verso remoto attraverso i canali IRC, l’idea è che Tsunami (come il suo predecessore) sia stato realizzato per creare una botnet da utilizzare per attacchi di tipo DDoS (Distributed Denial of Service).

Nel giro di poche settimane, Tsunami è il secondo malware ad aver suscitato un alto livello d’attenzione tra quelli che colpiscono i sistemi Mac, il primo è stato Flashback.C; segno di un interesse sempre maggiore dei virus writers per le piattaforme della Apple.

Recentemente la Sophos, società specializzata nella creazioni di soluzioni per la sicurezza informatica, ha voluto ricordare agli utenti Mac che il fatto che al momento esistano poche minacce per Mac Os X non significa che questo sia completamente immune da infezioni.

fonte: http://www.mrwebmaster.it/news/tsunami-si-abbatte-mac_6322.html

Falla zero-day in win32k.sys di Windows: si attende il patch day

Posted on by

Nei giorni scorsi abbiamo riportato la notizia relativa a una falla zero-day in Microsoft Windows; la falla è stata individuata da PrevX e purtroppo online è stato anche pubblicato l’exploit. PrevX ha scelto di diffondere solo alcuni dettagli del problema di sicurezza rilevato e si è messa in contatto con Microsoft per fornire approfondimenti utili.

Microsoft sta sviluppando una patch ma fin dalle prime ore non è stato chiaro se tale update verrà rilasciato in occasione del patch day o con modalità straordinarie. Stando a quanto riportato da Pcworld.com, Microsoft pur ritenendo questo problema importante non ritiene di dover rilasciare un aggiornamento straordinario. Meglio effettuare un’analisi più completa e approfondita per distribuire poi la patch il prossimo 14 dicembre.

La vulnerabilità riguarda Windows 7, Windows Vista e Windows XP, nelle versioni a 32 e 64 bit. e non può essere sfruttata da remoto. Questa di per sè è una buona notizia, anche se la realizzazione di un malware vettore utilizzabile da remoto non è possibilità da escludere con facilità. La falla preoccupa anche per un altro aspetto: permette di superare gli account limitati e anche lo UAC in Windows Vista e 7, quindi chiunque abbia accesso al sistema può elevare i propri privilegi. PrevX ha scelto di non distribuire ulteriori dettagli e il comunicato ufficiale è disponibile qui, inoltre Microsoft sarebbe già al lavoro sul problema.

Fonte:http://www.hwfiles.it/news/falla-zero-day-in-win32ksys-di-windows-si-attende-il-patch-day_34589.html

Falla 0-day su tutte le versioni di windows

Posted on by

Stando al bollettino di sicurezza, che si può leggere qui, del 19 luglio rilasciato da Microsoft, pare che il problema di sicurezza sia molto grave e colpisce tutti i possessori di windows Xp, Vista e Seven.
Infatti, a causa di un bug, è possibile eseguire un codice, anche malevolo, senza un diretto intervento dell’utente; il problema risiede nell’errata gestione dei file .lnk, infatti creando un collegamento appositamente modificato è possibile caricare nella memoria un qualsiasi programma semplicemente aprendo la cartella nel quale è stato inserito il collegamento modificato. Attenzione dunque, perchè questi collegamenti possono essere inseriti in archivi .zip o .rar che una volta estratti possono eseguire all’isaputa dell’utente software malevolo. La falla può anche essere sfruttata con l’ausilio di penne usb infette, magari anche all’insaputa di chi ve le fornisce.
Al momento non esiste ancora una patch per risolvere il problema e Microsoft suggerisce di disabilitare la visualizzazione delle icone dei file.lnk, come illustrato nel bollettino di sicurezza alla sezione Workarounds

Fonte: http://techforum.it/news/556-falla-0-day-su-tutte-le-versioni-di-windows/

Anche Su Hardware Upgrade ( hwfiles.it, Fonte: Grave vulnerabilità 0-Day in tutte le versioni di Windows )

Nuovo potenziale problema all’orizzonte per tutti gli utenti di Windows: recentemente è stata infatti individuata una nuova falla di sicurezza all’interno del componente di sistema Windows Shell che mette a rischio la sicurezza di ogni computer su cui sia installata una qualsiasi versione di Windows.

Nel dettaglio si tratta di una vulnerabilità 0-Day e ciò significa che è già stata sfruttata con successo per sferrare diversi attacchi. Stando al bollettino di sicurezza rilasciato da Microsoft, pare che il problema sia piuttosto grave, in quanto rende possibile l’esecuzione automatica di codice malevolo senza un intervento diretto da parte dell’utente.

Il problema risiede nella errata gestione dei file di collegamento .lnk di Windows: creando un file .lnk appositamente malformato è infatti possibile caricare in memoria un qualsiasi programma, inclusi quelli nocivi. Per dare il via all’attacco non è necessario che l’utente vittima faccia partire l’applicazione nociva di sua iniziativa, ma è sufficiente che l’utente entri nella cartella in cui e presente il file .lnk di collegamento.

La vulnerabilità si presta dunque ad essere utilizzata nei modi più svariati: un esempio potrebbe essere quello di mettere il file di collegamento creato ad hoc all’interno di file compressi e poi pubblicarli su Internet invitando le vittime a scaricarlo, oppure di veicolarli tramite chiavette USB.

Secondo quanto riportato da Marco Giuliani, Malware Technology Specialist di Prevx, sembra che la vulnerabilità sia stata sfruttata per portare a termine degli attacchi mirati ad alcuni sistemi Siemens WinCC SCADA, ma non è da escludere che qualche malintenzionato decida di sfruttarla per colpire gli utenti comuni.

Al momento non esiste ancora una patch in grado di risolvere il problema. Per rendere sicuro il proprio sistema, Microsoft suggerisce di disabilitare la visualizzazione delle icone dei file.lnk; la procedura da seguire è illustrata nel bollettino di sicurezza di Microsoft alla sezione Workarounds.

Le “forze speciali” della cyber war contro gli hacker (cinesi)

Posted on by

L’Aeronautica statunitense ha assegnato un migliaio di militari selezionati per creatività e flessibilità intellettuale alla costituzione di un reparto di “forze speciali per la guerra invisibile”, come le ha definite il magazine Aviation Week , destinato alla guerra informatica, la Cyberwar. In giugno i primi 60 ufficiali e sottufficiali dell’Usaf completeranno un addestramento di base alla base Keesler (Missouri) e altri frequenteranno corsi avanzati alla Naval Air Station di Pensacola (Floida).

Il reparto d’élite costituirà l’ossatura della 24a Forza Aerea specializzata proprio in questo tipo di guerra. Il Pentagono ha infatti costituito nel giugno 2009 il Cyber Command, struttura interforze divenuta operativa nell’ottobre scorso che raggruppa tutti i reparti con questa specializzazione in fase di costituzione in tutte le forze armate Usa. Oltre alla 24a Air Force dell’Aeronautica ne fanno parte la Decima Flotta della Us Navy , il Cyber Command dell’Us Army e il Marine Corps Forces Cyberspace Command. A dimostrazione dell’importanza assegnata alla difesa delle reti militari da attacchi informatici, il Cyber Command è posto alle dirette dipendenze dello Strategic Command e ha il compito di proteggere gli oltre 15.000 computer che fanno capo alla rete del Pentagono in 4.000 basi, uffici e installazioni sparsi per una novantina di Paesi.

Identificare gli hacker e gli intrusi che anonimamente cercano di penetrare i sistemi informatici, individuare e analizzare i virus e sviluppare tecniche difensive e offensive: questi i compiti dei cyber soldati che dovranno salvaguardare anche i commilitoni in prima linea proteggendone le reti di comando e controllo. Se infatti le reti informatiche Usa subiscono attacchi quotidiani soprattutto dalla Cina, dirette anche contro le banche dati delle aziende del settore Difesa (come è accaduto l’anno scorso a Lockheed Martin, “attaccata” per sottrarre i segreti del nuovo jet F-35) è altrettanto vero che Washington ha gestito operazioni di azzeramento delle reti di comunicazione e trasmissione dati irachene e serbe durante le guerre del 2003 e del 1999.

L’abbinamento tra operazioni convenzionali e informatiche è ormai una costante come hanno dimostrato le recenti “incursioni” russe sulle reti di Estonia e Georgia. Nel 2007 gli israeliani utilizzarono contromisure elettroniche che paralizzarono il sistema di difesa aereo siriano per condurre un raid contro il sito di ricerche nucleari di Deir-az-Zur, situato vicino alla frontiera turca. Il capo dell’Aman , l’intelligence militare di Gerusalemme, generale Amos Yadlin, ha definito il cyberspazio ” la quinta dimensione della guerra dopo quelle terrestre, aerea, marittima e spaziale” e indiscrezioni riferiscono che tecnologie digitali aggressive vengono impiegate da Israele e Usa per sabotare, rallentare e compromettere il programma nucleare iraniano.

La dimensione strategica di una minaccia potenzialmente in grado di paralizzare ogni Paese evoluto, i cui sistemi sono ormai tutti gestiti da reti informatiche, ha indotto la Gran Bretagna ad arruolare hacker per intercettare in tempo reale gli aggressori ma anche potenziare e testare le difese già più volte attaccate da “nemici” russi e cinesi. Recentemente l’MI-5 , il controspionaggio di Sua Maestà, ha annunciato il pensionamento di molti agenti “della vecchia guardia” da sostituire con personale più giovane, più flessibile e idoneo a gestire nuove tecnologie e specializzarsi nella gestione delle minacce informatiche.

Fonte Della News:http://www.ilsole24ore.com/art/SoleOnLine4/Mondo/2010/04/cyberwar-aeronautica-stati-uniti-internet.shtml?uuid=28ee806c-41bb-11df-bb0d-a31217e8b40f&DocRulesView=Libero

Attenzione: c’è un virus in quel driver!

Posted on by

25/09/2009

– A cura di

SicurezzaUn produttore di periferiche da gioco distribuisce, erroneamente, driver compromessi da un insidioso trojan. Il sito è ora chiuso per manutenzione, ma qualche PC potrebbe già essere stato compromesso.

Se pensate di essere al sicuro semplicemente perché non navigate nei meandri oscuri della rete, o perché il vostro PC non dispone della connettività ad Internet, farete bene a rivedere le vostre convinzioni e mantenere sempre alto il livello di guardia.

Un messaggio apparso sul blog corporate di Trend Micro ha informato l’utenza di un problema rintracciato nei driver distribuiti da Razer, un’azienda che produce periferiche di input particolarmente apprezzate dai videogiocatori.

Ebbene: numerosi i programmi di controllo distribuiti da Razer tramite il sito di supporto ufficiale sono contaminati dal trojan denominato TROJ_DROPPER.JIZ.

Stando alle informazioni proposte da Trend Micro, il cavallo di tr**a è in grado di rilasciare sul computer della propria vittima una copia di WORM_ASPXOR.AB, un malware piuttosto insidioso ma rilevato da appena 7 antivirus su 41.

Razer ha prontamente chiuso il sito per ripulire a dovere il proprio archivio, ma gli utenti che avessero scaricato driver negli ultimi tempi potrebbero già essere stati compromessi. In tal caso, Trend Micro raccomanda l’utilizzo dello strumento di pulizia gratuito HouseCall o, per i più esperti, la rimozione manuale del codice malevolo sfruttando le opportune indicazioni.

Non è la prima volta che si assiste ad episodi simili: l’anno scorso è toccato ad Asus rilasciare sul mercato Eee Box compromessi, mentre pochi anni prima è stata la volta di Seagate e della catena tedesca Medion.

Ad oggi non è ancora stato chiarito se l’incidente avvenuto a Razer sia stato causato da un accesso abusivo al server o alla disattenzione di qualche incaricato del supporto tecnico.

Fonte News: http://www.megalab.it/5161/attenzione-c-e-un-virus-in-quel-driver