Kaspersky ha rilevato MontysThree

Tratto da LineaEDP
Autore: Redazione LineaEDP – 09/10/2020
 
MontysThree, rilevato da Kaspersky, è un nuovo toolset utilizzato per lo spionaggio industriale
 
 
Kaspersky - MontysThree

I ricercatori di Kaspersky hanno rilevato una serie di attacchi mirati contro le organizzazioni industriali risalenti al 2018. Nel panorama delle minacce persistenti avanzate (APT) questo tipo di attacchi sono molto più rari rispetto alle campagne contro i diplomatici e altri esponenti politici di alto profilo. Il toolset utilizzato, denominato in origine MT3 dagli autori del malware, è stato poi soprannominato da Kaspersky “MontysThree”. Questo malware utilizza diverse tecniche per eludere il rilevamento, tra cui l’hosting delle comunicazioni con il server di controllo su servizi cloud pubblici e l’occultamento del principale modulo dannoso mediante steganografia.

Enti governativi, diplomatici e operatori delle telecomunicazioni sono il bersaglio preferito delle APT perché possiedono un patrimonio di informazioni politiche altamente confidenziali ed estremamente sensibili. Invece, le campagne di spionaggio mirate contro le realtà industriali sono molto più rare, ma, come ogni altro attacco contro il settore industriale, possono avere conseguenze devastanti per il business. Ecco perché, dopo aver notato l’attività di MontysThree, i ricercatori di Kaspersky hanno approfondito le ricerche.

Per effettuare l’attività di spionaggio, MontysThree utilizza un programma malware composto da quattro moduli. Il primo è il loader, che si diffonde inizialmente utilizzando un file RAR SFX (archivi auto-estraente) con i nomi relativi alle liste di contatto dei dipendenti, la documentazione tecnica e i risultati di analisi mediche con lo scopo di indurre i dipendenti a scaricare i file, secondo una comune tecnica di spear phishing. Il compito fondamentale del loader è garantire che il malware non venga rilevato sul sistema e a tal fine utilizza una tecnica nota come steganografia.

La steganografia è una tecnica utilizzata dai criminali informatici per nascondere lo scambio di dati. Nel caso di MontysThree, il payload malevolo principale è occultato come file bitmap (un formato per l’archiviazione di immagini digitali). Dopo aver inserito il comando corretto, il loader utilizzerà un algoritmo personalizzato per decifrare il contenuto dall’array di pixel ed eseguire il payload dannoso.

Il payload dannoso principale utilizza diverse tecniche di encryption proprie per eludere il rilevamento. In particolare, utilizza l’algoritmo RSA, che permette di crittografare le comunicazioni con il server di controllo e decrittografare i principali “task” assegnati dal malware. Questo include la ricerca di documenti con estensioni specifiche e in particolari directory aziendali. MontysThree è progettato per prendere di mira i documenti Microsoft e Adobe Acrobat; può anche catturare screenshot e “impronte digitali”, ossia raccogliere informazioni sulle impostazioni di rete, sul nome dell’host e molto altro.

Le informazioni raccolte e le altre comunicazioni con il server di controllo sono poi ospitate su servizi cloud pubblici come Google, Microsoft e Dropbox. Questo sistema rende difficile distinguere il traffico di comunicazione come dannoso e, poiché nessun antivirus blocca questi servizi, garantisce che il server di controllo possa eseguire comandi ininterrottamente.

MontysThree, inoltre, utilizza un modifier per Windows Quick Launch come metodo per ottenere la persistenza sul sistema infetto. Ogni volta che gli utenti utilizzano la barra degli strumenti di avvio rapido per eseguire applicazioni legittime come i browser, attivano a loro insaputa anche il modulo iniziale del malware.

Kaspersky non ha riscontrato elementi comuni nel codice dannoso o nell’infrastruttura che corrispondessero ad altre APT note.

“MontysThree è interessante non solo perché mira alle realtà industriali, ma anche perché combina TTP (Text Transfer Protocol) sofisticati ad altri che si potrebbero definire più “amatoriali”. In generale, la sofisticazione varia da modulo a modulo, ma non può essere paragonata al livello impiegato dalle APT più avanzate. Tuttavia, i creatori di MontysThree utilizzano standard crittografici robusti e scelte piuttosto tecniche come quella di utilizzare la steganografia personalizzata. Gli attaccanti si sono notevolmente impegnati nello sviluppo del toolset di MontysThree, e questo lascia intendere che sono determinati a perseguire i loro obiettivi e che non si tratta di una campagna di breve durata”, ha dichiarato Denis Legezo, senior security researcher with del Global Research and Analysis Team di Kaspersky.

Per proteggere le organizzazioni da minacce come MontysThree, gli esperti di Kaspersky raccomandano:

• Fornire ai dipendenti una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano sfruttando strategie di phishing o altre tecniche di ingegneria sociale. Condurre simulazioni di attacchi di phishing per assicurarsi che il personale sappia riconoscere email di questo tipo.

• Fornire al team SOC l’accesso alla threat intelligence (TI) più aggiornata. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, e fornisce dati sugli attacchi informatici e molte informazioni raccolte da Kaspersky in 20 anni di esperienza sul campo.

• Implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response, per il rilevamento a livello degli endpoint, l’indagine e la remediation tempestiva degli incidenti.

• Oltre ad adottare un livello di protezione base per gli endpoint, implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come Kaspersky Anti Targeted Attack Platform

• Assicurarsi di proteggere sia gli endpoint industriali che quelli aziendali. La soluzione Kaspersky Industrial CyberSecurity integra una protezione dedicata per gli endpoint e il monitoraggio della rete per rivelare qualsiasi attività sospetta e potenzialmente dannosa nella rete industriale.

13 Ottobre 2020

Audio-video: il nuovo modo per ottenere l’identità SPID

Tratto da BitMAT
Autore: Redazione BitMAT – 08/10/2020
 

Audio-video: il nuovo modo per ottenere l'identità SPID

Il nuovo modo sicuro e veloce per ottenere l’identità digitale Spid (Sistema pubblico di identità Digitale), attraverso una procedura semplificata di riconoscimento, si chiama audio-video. Verrà resa disponibile nei siti web dei gestori, man mano che la attiveranno.

Restano funzionanti le altre procedure di attivazione di Spid che sono le seguenti: di persona presso gli uffici dei gestori di identità digitale (identity provider), via webcam con operatore messo a disposizione dal provider. L’attivazione di Spid può avvenire anche con Carta d’identità elettronica (Cie) o un passaporto elettronico, identificandosi attraverso le app dei gestori scaricabili dagli store. Infine è possibile attivare Spid dai siti dei provider con Cie, Carta nazionale dei servizi o firma digitale e con l’ausilio di un lettore di smart card da collegare al computer.

Si ricorda che sono nove i gestori di identità digitale a cui poter richiedere Spid: Aruba, In.Te.S.A., InfoCert, Lepida, Namirial, Poste Italiane, Register, Sielte, TI Trust Technologies.

Nell’ultimo anno Spid si è diffuso notevolmente, arrivando a superare oggi il numero di undici milioni di utenti contro i 4 milioni e 800 mila del settembre 2019. La Ministra per l’Innovazione Tecnologica e la Digitalizzazione Paola Pisano, il Dipartimento per la trasformazione digitale e l’Agenzia per l’Italia Digitale (AgID) sono impegnati nella continua evoluzione di Spid per individuare soluzioni sempre più semplici e sicure di rilascio e agevolare così i cittadini che lo richiedono.

Attraverso la nuova modalità di riconoscimento online, il cittadino potrà ottenere Spid, comodamente da casa, senza l’aiuto di un operatore e con pochi passaggi. Per richiederlo dovrà:

  1. registrarsi sul sito del gestore di identità prescelto, che ha attiva la nuova modalità, avendo a portata di mano indirizzo e-mail e numero di cellulare personali;
  2. realizzare con il proprio telefono o computer un video in cui mostra il suo documento di riconoscimento italiano (carta d’identità, carta d’identità elettronica, patente o passaporto) e la tessera sanitaria o, in alternativa, il tesserino del codice fiscale. Come misura di tutela contro il furto di identità, durante il video il cittadino dovrà leggere un codice ricevuto via sms o tramite una delle app dei gestori di identità, che avrà provveduto ad installare sul proprio cellulare;
  3. effettuare un bonifico da un conto corrente italiano a lui intestato (o cointestato), indicando nella causale un codice specifico che avrà ricevuto dal gestore di identità.

Il bonifico è un ulteriore elemento di verifica dell’identità. Alcuni gestori hanno già scelto di chiedere una somma simbolica, anche di pochi centesimi di euro, da devolvere poi in beneficenza. Altri potranno decidere di adottare scelte commerciali.

L’operatore verificherà nel giro di pochi giorni le informazioni ricevute dal cittadino ai fini di controlli di sicurezza e antifrode, quindi rilascerà l’identità digitale.

Tutte le procedure di attivazione sono reperibili sul sito​ dedicato: esistono modalità gratuite o a pagamento che è bene conoscere prima di scegliere il gestore.

Questa nuova modalità ha ricevuto nei giorni scorsi il parere favorevole del Garante per la protezione dei dati personali e successivamente è stata adottata da AgID, ente vigilato dalla Ministra per l’Innovazione Tecnologica e la Digitalizzazione.

Tra le misure a garanzia della sicurezza e della tutela della privacy, concordate con il Garante, sono previsti controlli a campione sulle richieste, con doppia verifica da parte degli operatori, e il monitoraggio costante delle richieste respinte per motivi legati a tentativi fraudolenti.

12 Ottobre 2020

Pubblicato il bando per la Digital Transformation delle PMI

Tratto da www.mise.gov.it – 06/10/2020

100 milioni di euro stanziati. Dal 15 dicembre le domande per richiedere l’agevolazione

Immagine decorativa

Il Ministero dello Sviluppo economico ha pubblicato il decreto che definisce i termini e le modalità di presentazione delle domande di agevolazione per il bando “Digital Transformation” delle PMI.

Per questa misura sono stati stanziati 100 milioni di euro dal Decreto Crescita, con l’obiettivo di favorire la trasformazione tecnologica e digitale dei processi produttivi delle micro, piccole e medie imprese, attraverso l’applicazione di tecnologie avanzate previste nell’ambito di Impresa 4.0 e di quelle relative a soluzioni tecnologiche digitali di filiera.

In particolare, si punta a sostenere la Digital Transformation nel settore manifatturiero e in quello dei servizi diretti alle imprese, nel settore turistico per le imprese impegnate nella digitalizzazione della fruizione dei beni culturali e nel settore del commercio, contribuendo così agli obiettivi di innovazione e di crescita di competitività dell’intero tessuto produttivo del Paese.

Le domande potranno essere compilate a partire dal prossimo 15 dicembre e saranno valutate e gestite da Invitalia.

Per ulteriori informazioni: Digital Transformation

9 Ottobre 2020

Sangfor Technologies, soluzioni per l’iperconvergenza

Sangfor è un’azienda specializzata nei settori del Cloud Computing, Network Security e Network Optimization, ha un’esperienza ventennale nel settore e conta su una struttura con oltre 6.000 dipendenti.

Fondata nel 2000, l’azienda è attiva con oltre 60 filiali tra le quali Malesia, Hong Kong, Tailandia, Indonesia, Singapore, Filippine, Vietnam, Myanmar, Pakistan, Emirati Arabi Uniti e Stati Uniti. In Europa, invece, Sangfor ha scelto l’Italia come “testa di ponte” per portare le sue soluzioni nel vecchio continente.

Sangfor HCI consolida la tradizionale sicurezza basata su hardware, rete IP, rete di storage, server e storage in un unico livello di hardware di base (server x86) che costituisce un’unità HCI standardizzata.

Con la soluzione HCI di Sangfor le risorse sono integrate, le prestazioni ridefinite, la gestione migliorata. La riduzione della complessità dell’infrastruttura IT, accompagnata dall’unificazione dell’intera infrastruttura, porta con se un minor TCO e ne migliora l’efficienza consentendo la transizione al cloud data center.

aSV (Virtualizzazione di calcolo) – aNET (Virtualizzazione di rete) – aSAN (Virtualizzazione dello storage) – NFV (Network Function Virtualization) 

Sangfor HCI può essere implementato in pochi minuti attraverso semplici operazioni che portano ad avere un’infrastruttura di alta qualità progettata per supportare l’azienda.

E’ possibile cominciare con un server e scalare linearmente in base alle proprie esigenze.

Con Sangfor HCI si ottiene mediamente una riduzione complessiva dei costi pari al 70% e una riduzione di potenza, raffreddamento e spazio fino al 90%.

Per ulteriori informazioni: dircom@argonavis.it

7 Ottobre 2020

Cyber spionaggio: rilevato un nuovo bootkit firmware

Tratto da BitMAT
Autore: Redazione BitMAT – 06/10/2020
 
Cyber spionaggio: rilevato un nuovo bootkit firmware
 
Alcuni cyber criminali hanno iniziato ad utilizzare un bootkit firmware, un malware osservato raramente, per condurre una nuova campagna APT di spionaggio. Il nuovo malware è stato rilevato dalla tecnologia di scansione UEFI / BIOS di Kaspersky, che rileva minacce note e sconosciute. La tecnologia di scansione ha identificato un malware precedentemente sconosciuto all’interno dell’Unified Extensible Firmware Interface (UEFI), una parte essenziale di ogni dispositivo informatico moderno. Il malware è difficile da rilevare e da rimuovere dai dispositivi infetti. Il bootkit UEFI utilizzato insieme al malware è una versione personalizzata del bootkit di Hacking Team emersa nel 2015.
 

Il firmware UEFI è una parte essenziale dei computer ed inizia a funzionare prima ancora del sistema operativo e di tutti i programmi installati sul pc. Se il firmware UEFI viene in qualche modo modificato per contenere un codice dannoso, questo codice verrà lanciato prima del sistema operativo, rendendo la sua attività potenzialmente invisibile alle soluzioni di sicurezza. Questa particolarità unita al fatto che il firmware stesso risiede su un chip flash separato dal disco rigido, rende gli attacchi contro UEFI difficili da rilevare e persistenti. L’infezione del firmware UEFI implica che, indipendentemente da quante volte il sistema operativo sia stato reinstallato, il malware impiantato dal bootkit rimarrà sul dispositivo.

I ricercatori di Kaspersky hanno scoperto che un campione di questo malware è stato utilizzato in una campagna nella quale sono state implementate diverse varianti di un complesso framework modulare a più stadi denominato MosaicRegressor. Il framework è stato utilizzato per lo spionaggio e la raccolta di dati e con il malware UEFI è stato uno dei metodi di persistenza di questo nuovo malware precedentemente sconosciuto.

I componenti del bootkit UEFI rilevati erano basati sul bootkit ‘Vector-EDK’ sviluppato da Hacking Team e il cui codice sorgente è apparso in rete nel 2015. Il codice trapelato ha probabilmente permesso agli autori di costruire il proprio software senza grandi sforzi e con un rischio di esposizione ridotto.

Gli attacchi sono stati rilevati con l’aiuto di Firmware Scanner, incluso nei prodotti Kaspersky all’inizio del 2019. Questa tecnologia è stata sviluppata per rilevare in modo specifico le minacce che si nascondono nel BIOS della ROM, comprese le immagini del firmware UEFI.

Anche se non è ancora noto il vettore esatto dell’infezione che ha permesso agli aggressori di sovrascrivere il firmware originale UEFI, i ricercatori di Kaspersky hanno creato un’ipotesi sulla base di alcune informazioni trapelate da alcuni documenti di Hacking Team su VectorEDK. Queste informazioni suggeriscono, senza escludere altre opzioni, che le infezioni potrebbero essere state possibili attraverso l’accesso fisico alla macchina della vittima, in particolare con una chiavetta USB avviabile, contente una speciale utility di aggiornamento. Il firmware con patch faciliterebbe quindi l’installazione di un downloader di Trojan, ovvero un malware che consente di scaricare qualsiasi payload adatto alle esigenze dell’aggressore mentre il sistema operativo è attivo e funzionante.

Nella maggior parte dei casi, tuttavia, i componenti di MosaicRegressor sono stati consegnati alle vittime utilizzando misure molto meno sofisticate, come la consegna di spearphishing nascosto in un archivio insieme ad un file esca. La struttura a più moduli del framework ha permesso agli aggressori di nascondere il framework più ampio dall’analisi e di distribuire i componenti alle macchine prese di mira solo on demand. Il malware inizialmente installato sul dispositivo infetto è un Trojan-downloader, un programma in grado di scaricare ulteriori payload e altri malware. A seconda del payload scaricato, il malware potrebbe caricare o fare il download di file arbitrari da/verso URL arbitrari e raccogliere informazioni dalla macchina presa di mira.

Sono state individuate caratteristiche comuni a tutte le vittime identificate che hanno consentito ai ricercatori di stabilire che MosaicRegressor è stato utilizzato in una serie di attacchi mirati contro diplomatici e membri di ONG provenienti dall’Africa, dall’Asia e dall’Europa. Alcuni degli attacchi comprendevano documenti di spearphishing in lingua russa, mentre altri erano collegati alla Corea del Nord e utilizzati come esca per scaricare malware.

La campagna non è stata collegata con certezza a nessuno dei threat actor APT conosciuti.

“Sebbene gli attacchi UEFI presentino ampie opportunità per i theat actor, MosaicRegressor è il primo caso pubblicamente noto in cui un threat actor abbia utilizzato un firmware UEFI malevolo personalizzato in the wild. Gli attacchi precedentemente osservati in the wild avevano semplicemente riprogrammato un software legittimo (ad esempio LoJax), il che rende questo attacco in the wild il primo a sfruttare un bootkit UEFI personalizzato. Quanto rilevato dimostra che, anche se raramente e in casi eccezionali, gli attori sono disposti a fare di tutto per ottenere il massimo livello di persistenza sulla macchina di una vittima. I threat actor continuano a diversificare il loro toolset e a diventare sempre più creativi nei metodi scelti per prendere di mira le vittime. Lo stesso dovrebbero fare i fornitori di sicurezza per mantenere il vantaggio sui criminali informatici. Fortunatamente, la combinazione della nostra tecnologia e la conoscenza delle campagne attuali e passate che sfruttano firmware infetti ci aiuta a monitorare e riferire di futuri attacchi contro questi obiettivi”, ha commentato Mark Lechtik, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

“L’utilizzo di un codice sorgente di terze parti trapelato e la sua personalizzazione in un nuovo malware avanzato ricorda nuovamente l’importanza della sicurezza dei dati. Una volta che il software – che si tratti di un bootkit, di un malware o di qualsiasi altra cosa – viene diffuso, i threat actor ottengono un vantaggio significativo. Gli strumenti resi disponibili senza limiti offrono loro l’opportunità di migliorare e personalizzare i loro toolset con pochi sforzi e minori possibilità di essere scoperti”, ha commentato Igor Kuznetsov, principal security researcher at Kaspersky’s GReAT.

Per difendersi da minacce come MosaicRegressor, Kaspersky raccomanda:

  • Fornire al team SOC l’accesso alla threat intelligence (TI) più aggiornata. Kaspersky Threat Intelligence Portal è un unico punto di accesso per la TI dell’azienda, e fornisce dati sugli attacchi informatici e molte informazioni raccolte da Kaspersky in 20 anni di esperienza sul campo.
  • Per la detection a livello endpoint, l’indagine e la remediation degli incidenti, implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response.
  • Fornire ai dipendenti una formazione di base sulla cyber hygiene, poiché molti attacchi mirati iniziano sfruttando strategie di phishing o altre tecniche di ingegneria sociale.
  • Utilizzare un prodotto affidabile per la sicurezza degli endpoint come Kaspersky Endpoint Security for Business, in grado di rilevare l’uso del firmware.
  • Aggiornare regolarmente il firmware UEFI e utilizzare solo firmware di fornitori fidati.

6 Ottobre 2020

Blog & News

Categorie