Tag Archives: Sicurezza

Dalla guerra, AcidRain: il malware wiper contro l’Internet satellitare europeo

Posted on by

Importanti dettagli su quello che allo stato attuale è il più importante attacco informatico dall’inizio dell’invasione russa in Ucraina, fanno emergere l’utilizzo di un nuovo pericoloso wiper. Scopriamo i dettagli di AcidRain

Pubblicato il 04 Apr 2022 Fonte Completa : https://www.cybersecurity360.it/nuove-minacce/dalla-guerra-acidrain-il-malware-wiper-contro-linternet-satellitare-europeo/

Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Gli esperti di sicurezza di SentinelLabs hanno isolato il nuovo malware wiper utilizzato anche nell‘attacco cyber a Viasat, denominato AcidRain mirato contro router e modem. Ora si conoscono i dettagli dell’elemento veicolo di attacco, che ha messo fuori combattimento le turbine eoliche in Germania. Considerato per ora il più importante attacco informatico nell’attuale scenario di invasione russa dell’Ucraina, quello a Viasat ha coinvolto anche l’Italia per via dell’amministrazione di Eutalsat operata dall’italiana Skylogic.

Indice degli argomenti

Come è avvenuto l’attacco a Viasat

Secondo i ricercatori di malware Juan Andres Guerrero-Saade e Max van Amerongen, si ritiene che l’ultimo wiper, soprannominato AcidRain, faccia parte di un attacco alla catena di approvvigionamento più significativo mirato a distruggere il servizio Internet satellitare di Viasat.  

Viasat ha dichiarato in una nota ufficiale che l’attacco informatico è stato organizzato su due fronti, contro la sua rete KA-SAT e ha provocato la sovrascrittura di comandi software dannosi nella memoria interna del modem, rendendo inutilizzabili decine di migliaia di modem/router in tutta Europa. Secondo le fonti pubblicate, il blackout di Viasat, avvenuto subito dopo che la Russia fatto partire l’invasione dell’Ucraina (il 24 febbraio), ha interrotto il servizio modem sia in Francia che in Italia, gestita per conto di Viasat dall’italiana Skylogic (azienda del gruppo Eutelsat) e ha persino fermato le turbine eoliche in Germania.  

Dopo diversi giorni di offline per i servizi Viasat, la società ha comunicato che il suo intervento è stato composto in parte da sostituzione fisica dei modem/router infettati e in parte da un reset con reinstallazione completa del firmware.

I ricercatori di SentinelLab precisano che le indagini sull’incidente e sulla scoperta del nuovo wiper sono ancora in divenire. Ma hanno diverse prove tra cui sovrapposizioni di codice e altri test che collegano il malware all’attacco contro il colosso della rete satellitare. I ricercatori hanno definito la risposta pubblica di Viacom “incompleta” e hanno affermato che il loro studio tecnico ha rivelato parallelismi con gli attuali attacchi malware VPNFilter collegati a un noto gruppo APT (Sandworm) riconducibile direttamente governo russo, come riportato dall’FBI stessa.  

Le indagini sul wiper AcidRain

“Valutiamo con media certezza che ci sono somiglianze di sviluppo tra AcidRain e un plugin distruttivo di fase 3 VPNFilter. Nel 2018, l’FBI e il Dipartimento di giustizia hanno attribuito la campagna VPNFilter al governo russo”, affermano i ricercatori di SentinelLabs.

Notando che AcidRain è il settimo virus wiper correlato all’invasione russa dell’Ucraina, il team di SentinelLabs ha dichiarato che il file sospetto è stato inviato il 15 marzo al servizio multi-scanner VirusTotal dall’Italia con il nome “ukrop“, riconosciuto dannoso da 29 vendors su 61. Si tratta di un file binario ELF e benché il nome del file può lasciare spazio a diverse interpretazioni, l’analisi in questione di SentinelLabs è stata riconosciuta come coerente dalla stessa Viasat, che lo ha confermato pubblicamente.

Continua su : Fonte Originale Completo Cyber Security 360:

Dalla guerra, AcidRain: il malware wiper contro l’Internet satellitare europeo

È finalmente disponibile Docker Desktop per Linux

Posted on by

Docker Desktop per Linux

È finalmente disponibile Docker Desktop per Linux

Dopo molte richieste da parte degli sviluppatori è finalmente possibile avere Docker Desktop per Linux, un ambiente di sviluppo integrato per lo sviluppo di applicazioni con Docker e Kubernetesdi Riccardo Robecchi pubblicata il 25 Maggio 2022, alle 16:11 nel canale CLOUD
LinuxOpen Source

Docker Desktop è finalmente disponibile anche per Linux, dopo essere stato disponibile per lungo tempo per Windows e macOS. L’ambiente di sviluppo, che include Docker Engine, un client da riga di comando, Docker Compose, Docker Content Trust, Kubernetes e Credential Helper, rende più semplice l’installazione e la configurazione di Docker su una workstation per lo sviluppo di applicazioni che ne fanno uso.

Docker Desktop arriva finalmente anche su Linux

Nonostante Docker si basi su Linux, finora gli sviluppatori che ne fanno uso su tale piattaforma hanno dovuto affidarsi all’installazione e configurazione manuale del proprio ambiente di sviluppo, contrariamente a chi usa Windows o macOS. Dopo molte richieste, Docker ha finalmente rilasciato anche la versione di Desktop per Linux.

Docker Desktop crea di fatto una macchina virtuale sulla quale esegue Docker, così da isolare l’ambiente di sviluppo rispetto a quello locale e rendere più semplice, ad esempio, il reset della configurazione. Il vantaggio di questo ambiente di sviluppo sta però anche nel fatto che l’interfaccia grafica rende più chiaro lo stato di Docker e dei processi associati. Le estensioni consentono poi di integrare strumenti di sviluppo forniti da terzi come Red Hat e VMware.

Docker Desktop è disponibile come pacchetto precompilato per ambienti Debian/Ubuntu (.deb) e Fedora/Red Hat (.rpm), con un pacchetto sperimentale anche per Arch Linux e uno in arrivo per Raspberry Pi OS (a 64 bit). È possibile scaricare il pacchetto di installazione direttamente dal sito ufficiale, che mette a disposizione anche la relativa documentazione.


Fonte: https://edge9.hwupgrade.it/news/cloud/e-finalmente-disponibile-docker-desktop-per-linux_107459.html

Registri elettronici Axios oscurati, gli hacker chiedono il riscatto in cambio dei dati

Posted on by

Diventa un vero e proprio caso di hackeraggio la vicenda del black out dei registri elettronici di oltre 3 mila scuole gestiti da Axios Italia e dovuti ad un accertato “attacco ransomware” sferrato alla vigilia di Pasqua. Gli autori del “furto” on line, con tanto di decine di migliaia di file sottratti, avrebbero infatti chiesto un consistente riscatto in bitcoin: si tratta di una sorta di moneta virtuale (creata nel 2009 da un hacker con lo pseudonimo Satoshi Nakamoto) che può contare su una riserva di valore “volatile”.

Presentata la denuncia alla Polizia

Axios Italia, la società informatica che fornisce il servizio a circa il 40% degli istituti scolastici italiani, ha quindi presentato formale denuncia alla Polizia postale citando anche la richiesta degli hacker.

Fonte / Continua su : https://www.tecnicadellascuola.it/registri-elettronici-axios-oscurati-gli-hacker-chiedono-il-riscatto-in-cambio-dei-dati

Chrome non sarà più il browser di Chrome OS. Sembra assurdo, ma c’è la motivazione tecnica

Posted on by

Il legame strettissimo fra Chrome OS e il browser Chrome è un’arma a doppio taglio: ogni aggiornamento del browser deve infatti passare da un aggiornamento del sistema operativo. Google vuole eliminare questa limitazione

Dalle prossime versioni di ChromeOS, Chrome non sarà più il browser predefinito e sarà sostituito da un nuovo programma, chiamato LaCros, sempre su base Chromium. A rendere nota questa modifica è il sito Chrome Story, che ha avuto modo di analizzare il codice sorgente delle prossime versioni del sistema operativo.

Anche se può sembrare assurdo utilizzare ChromeOS e non avere più Chrome come browser predefinito, c’è una motivazione di fondo. L’attuale configurazione di ChromeOS, infatti, prevede che gli aggiornamenti del browser siano legati a quelli del sistema operativo. La stessa situazione che si verifica, ad esempio, con Safari su iOS.

Fonte / Continua: https://www.dday.it/redazione/38915/chrome-non-sara-piu-il-browser-di-chrome-os-sembra-assurdo-ma-ce-la-motivazione-tecnica

Il bug di Chrome OS che dice dove sei stato

Posted on by

SicurezzaBug e aggiornamentiIndividuato un problema nel sistema operativo dei Chromebook che, potenzialmente, consente agli altri utenti di sapere dove si è stati

Le modalità di gestione dei log WiFi adottate da Google per il sistema operativo Chrome OS potrebbero arrecare danno alla privacy di chi possiede un Chromebook. Le informazioni a proposito delle reti wireless agganciate negli ultimi sette giorni risultano infatti consultabili da tutti, anche da coloro che effettuano l’accesso al computer come ospiti.

Chromebook: quei log WiFi di troppo

Incrociando questi dati con altri disponibili, si è potenzialmente in grado di ricostruire una mappa dei movimenti effettuati nella settimana da chi ha portato con sé il Chromebook. Secondo il Committee on Liberatory Information Technology si tratta di un bug (anche se forse il termine non è del tutto corretto) noto al gruppo di Mountain View da anni e mai risolto. In seguito alla pubblicazione di notizie in merito, bigG è intervenuta con una breve dichiarazione che riportiamo di seguito in forma tradotta.

Fonte / Continua su: https://www.punto-informatico.it/chromebook-bug-chrome-os-log-wifi/

Windows 10 in crash accedendo a un percorso via barra indirizzi: ecco il ‘path’ da evitare

Posted on by

Windows 10 in crash accedendo a un percorso via barra indirizzi: ecco il 'path' da evitare

Un bug su Windows 10 provoca una schermata blu e costringe al riavvio della macchina. Microsoft ha promesso un fix su tutti i sistemi coinvolti, ma non sappiamo quando questo verrà rilasciatodi Nino Grasso pubblicata il 18 Gennaio 2021, alle 10:21 nel canale SISTEMI OPERATIVI
WindowsMicrosoft

Un bug presente nel codice di Windows 10 provocherebbe l’insorgere di schermate blu (le famose BSOD, Blue Screen of Death, in lingua inglese) semplicemente accedendo a un percorso nella barra degli indirizzi di Chrome o utilizzando altri comandi. La falla è stata rivelata da Jonas Lykkegaard, lo stesso ricercatore di cui avevamo parlato la scorsa settimana in merito alla vulnerabilità che causa la corruzione dei drive NTFS su Windows 10.

Il nuovo bug non è in realtà così recente. Il ricercatore di sicurezza ne parla ormai dallo scorso mese di ottobre, ma Microsoft non è ancora corsa ai ripari. La scorsa settimana, interrogata da BleepingComputer che ha riportato la notizia, ha commentato: “Microsoft ha un impegno costante nei confronti dei consumatori per indagare i problemi di sicurezza segnalati e forniremo aggiornamenti per i dispositivi coinvolti il più in fretta possibile”.

Il percorso che manda in crash tutte le versioni di Windows 10

Da ottobre Lykkegaard parla di un percorso che, una volta inserito nella barra indirizzi di Chrome, manda in crash l’intero sistema operativo proponendo l’irreversibile schermata blu. Questo avviene perché, quando programmi e servizi vogliono interagire con un dispositivo possono utilizzare un Win32 Device Namespace come argomento per alcune funzioni di programmazione. Un esempio può essere un’applicazione che vuole accedere al disco senza usare i servizi nativi del SO.

Fonte / Continua: https://www.hwupgrade.it/news/sistemi-operativi/windows-10-in-crash-accedendo-a-un-percorso-via-barra-indirizzi-ecco-il-path-da-evitare_94827.html

Chi sono i tre giovani hacker di Twitter e qual era il loro piano

Posted on by
Individuati i tre giovani hacker del massiccio attacco a Twitter del mese scorso. Si tratta di ragazzi di età compresa tra i 17 ed i 22 anni.

Il mese scorso Twitter ha subito un massiccio attacco hacker per il quale numerosi profili, inclusi quello di Bill Gates ed Elon Musk, sono stati utilizzati per invogliare gli utenti ad eseguire transazioni in bitcoin. Sono state necessarie due settimana per individuare i colpevoli. Vediamo dunque di saperne di più di questi giovani hacker che hanno portato Twitter nel caos e del loro piano.

I tre hacker della banda

Il cervello dell’operazione sarebbe un 17enne che si fa chiamare Kirk, il quale avrebbe “adescato” per il suo piano altri due ragazzi, un 19enne del Regno Unito, Mason Sheppard ed un 22enne di Orlando, Nima Fazeli. I due sulla piattaforma Discord, usata di solito per la comunicazione nei videogames, erano famosi come “lol” e “ever so anxious”

twitter-attack

Continua /Fonte  su : https://systemscue.it/tre-ragazzi-hacker-twitter-il-loro-piano/21172/

FireEye: gli hacker iraniani monetizzano vendendo le credenziali di accesso sottratte

Posted on by

Fonte: https://edge9.hwupgrade.it/news/security/fireeye-gli-hacker-iraniani-monetizzano-vendendo-le-credenziali-di-accesso-sottratte_91740.html

FIREEYE

Mandiant Threat Intelligece di FireEye ha scoperto che alcuni gruppi di cybercriminali iraniani non si limitavano a bucare i sistemi aziendali, ma cercavano di guadagnare rivendendo le credenziali di accesso sottratte su forum clandestini

di Alberto Falchi pubblicata il 02 Settembre 2020, alle 20:01 nel canale SECURITY
FireEye

La crisi ha colpito anche gli hacker al soldo delle nazioni, “costringendoli” a trovare nuovi modi per monetizzare dalle loro competenze, per esempio vendendo le credenziali sottratte sui forum clandestini, come ha scoperto FireEye tramite le sue attività di intelligence.

Mandiant Threat Intelligence traccia l’attività segnalata pubblicamente come “Pioneer Kitten” come UNC757” – ha dichiarato Sarah Jones, Senior Principal Analyst di FireEye – “Riteniamo che questo attore sia attivo almeno dal 2016. Più recentemente, tra giugno 2019 e luglio 2020, abbiamo rilevato UNC757 mentre ricercavamo vulnerabilità divulgate pubblicamente nelle applicazioni VPN. Inoltre, nel giugno 2020, abbiamo riferito che l’attore “nanash” comunicava attraverso un forum in lingua inglese sul cyber crime, dove sosteneva di avere accesso a reti aziendali e governative in diversi settori e differenti nazioni. La sovrapposizione negli indicatori e nei TTP indicano una stretta relazione e una probabile correlazione tra UNC757 e l’attore “nanash”. L’economia iraniana in declino, a nostro avviso, può servire come motivazione per gli attori iraniani, tipicamente coinvolti in attività di spionaggio, per cercare altri metodi per utilizzare e monetizzare i dati rubati”.

Chi è Pioneer Kitten?

Pioneer Kitten è un gruppo di hacker noto anche come PARISITE, UINC757 e Fox Kitten che si suppone abbia sede in Iran e sia sponsorizzato dal governo della nazione. Le sue vittime sono aziende che si occupano di tecnologia, governi e settori come il manifatturiero, la difesa, l’aviazione e la sanità. Fra le nazioni colpite da Pioneer Kitten si segnalano Israele, il Nord America e stati nordafricani. Si ritiene che il gruppo sia attivo almeno dal 2017.

Le modalità di attacco di Pioneer Kitten fanno leva sulla capacità di gruppo di compromettere i servizi di accesso remoto, sfruttando bachi nelle VPN o negli apparati di rete.

Falla 0-day su tutte le versioni di windows

Posted on by

Stando al bollettino di sicurezza, che si può leggere qui, del 19 luglio rilasciato da Microsoft, pare che il problema di sicurezza sia molto grave e colpisce tutti i possessori di windows Xp, Vista e Seven.
Infatti, a causa di un bug, è possibile eseguire un codice, anche malevolo, senza un diretto intervento dell’utente; il problema risiede nell’errata gestione dei file .lnk, infatti creando un collegamento appositamente modificato è possibile caricare nella memoria un qualsiasi programma semplicemente aprendo la cartella nel quale è stato inserito il collegamento modificato. Attenzione dunque, perchè questi collegamenti possono essere inseriti in archivi .zip o .rar che una volta estratti possono eseguire all’isaputa dell’utente software malevolo. La falla può anche essere sfruttata con l’ausilio di penne usb infette, magari anche all’insaputa di chi ve le fornisce.
Al momento non esiste ancora una patch per risolvere il problema e Microsoft suggerisce di disabilitare la visualizzazione delle icone dei file.lnk, come illustrato nel bollettino di sicurezza alla sezione Workarounds

Fonte: http://techforum.it/news/556-falla-0-day-su-tutte-le-versioni-di-windows/

Anche Su Hardware Upgrade ( hwfiles.it, Fonte: Grave vulnerabilità 0-Day in tutte le versioni di Windows )

Nuovo potenziale problema all’orizzonte per tutti gli utenti di Windows: recentemente è stata infatti individuata una nuova falla di sicurezza all’interno del componente di sistema Windows Shell che mette a rischio la sicurezza di ogni computer su cui sia installata una qualsiasi versione di Windows.

Nel dettaglio si tratta di una vulnerabilità 0-Day e ciò significa che è già stata sfruttata con successo per sferrare diversi attacchi. Stando al bollettino di sicurezza rilasciato da Microsoft, pare che il problema sia piuttosto grave, in quanto rende possibile l’esecuzione automatica di codice malevolo senza un intervento diretto da parte dell’utente.

Il problema risiede nella errata gestione dei file di collegamento .lnk di Windows: creando un file .lnk appositamente malformato è infatti possibile caricare in memoria un qualsiasi programma, inclusi quelli nocivi. Per dare il via all’attacco non è necessario che l’utente vittima faccia partire l’applicazione nociva di sua iniziativa, ma è sufficiente che l’utente entri nella cartella in cui e presente il file .lnk di collegamento.

La vulnerabilità si presta dunque ad essere utilizzata nei modi più svariati: un esempio potrebbe essere quello di mettere il file di collegamento creato ad hoc all’interno di file compressi e poi pubblicarli su Internet invitando le vittime a scaricarlo, oppure di veicolarli tramite chiavette USB.

Secondo quanto riportato da Marco Giuliani, Malware Technology Specialist di Prevx, sembra che la vulnerabilità sia stata sfruttata per portare a termine degli attacchi mirati ad alcuni sistemi Siemens WinCC SCADA, ma non è da escludere che qualche malintenzionato decida di sfruttarla per colpire gli utenti comuni.

Al momento non esiste ancora una patch in grado di risolvere il problema. Per rendere sicuro il proprio sistema, Microsoft suggerisce di disabilitare la visualizzazione delle icone dei file.lnk; la procedura da seguire è illustrata nel bollettino di sicurezza di Microsoft alla sezione Workarounds.

Attenzione: c’è un virus in quel driver!

Posted on by

25/09/2009

– A cura di

SicurezzaUn produttore di periferiche da gioco distribuisce, erroneamente, driver compromessi da un insidioso trojan. Il sito è ora chiuso per manutenzione, ma qualche PC potrebbe già essere stato compromesso.

Se pensate di essere al sicuro semplicemente perché non navigate nei meandri oscuri della rete, o perché il vostro PC non dispone della connettività ad Internet, farete bene a rivedere le vostre convinzioni e mantenere sempre alto il livello di guardia.

Un messaggio apparso sul blog corporate di Trend Micro ha informato l’utenza di un problema rintracciato nei driver distribuiti da Razer, un’azienda che produce periferiche di input particolarmente apprezzate dai videogiocatori.

Ebbene: numerosi i programmi di controllo distribuiti da Razer tramite il sito di supporto ufficiale sono contaminati dal trojan denominato TROJ_DROPPER.JIZ.

Stando alle informazioni proposte da Trend Micro, il cavallo di tr**a è in grado di rilasciare sul computer della propria vittima una copia di WORM_ASPXOR.AB, un malware piuttosto insidioso ma rilevato da appena 7 antivirus su 41.

Razer ha prontamente chiuso il sito per ripulire a dovere il proprio archivio, ma gli utenti che avessero scaricato driver negli ultimi tempi potrebbero già essere stati compromessi. In tal caso, Trend Micro raccomanda l’utilizzo dello strumento di pulizia gratuito HouseCall o, per i più esperti, la rimozione manuale del codice malevolo sfruttando le opportune indicazioni.

Non è la prima volta che si assiste ad episodi simili: l’anno scorso è toccato ad Asus rilasciare sul mercato Eee Box compromessi, mentre pochi anni prima è stata la volta di Seagate e della catena tedesca Medion.

Ad oggi non è ancora stato chiarito se l’incidente avvenuto a Razer sia stato causato da un accesso abusivo al server o alla disattenzione di qualche incaricato del supporto tecnico.

Fonte News: http://www.megalab.it/5161/attenzione-c-e-un-virus-in-quel-driver