La SEC hackerata nel 2016, ma lo si scopre solo ora


Gli hacker hanno avuto accesso a informazioni riservate che potrebbero aver usato per avvantaggiarsi con speculazioni in borsa.

È proprio il caso di dirlo: questa volta qualcuno ha davvero fatto il colpo grosso. Gli hacker di cui stiamo parlando hanno infatti violato nientemeno che i sistemi informatici della Security and Exchange Commission (SEC) statunitense, mettendo le mani su informazioni che gli avrebbero permesso di guadagnare cifre stratosferiche.

La cosa più sconcertante, però, è che la notizia arriva con più di un anno di ritardo. Stando al comunicato emesso dalla stessa agenzia, infatti, l’intrusione risalirebbe al maggio del 2016.

La notizia della violazione è stata infatti inserita quasi incidentalmente in un corposo comunicato dal titolo “Statement on Cybersecurity” in cui il presidente del C.d.A. della SEC riassume il quadro generale riguardante la sicurezza informatica, le attività portate avanti, gli orizzonti futuri e… il fatto che un gruppo di pirati ha fatto breccia in EDGAR.

Stiamo parlando del sistema di Electronic Data Gathering, Analysis, and Retrieval (EDGAR appunto) che la SEC mette a disposizione per consultare liberamente i dati e le documentazioni relativi al mercato finanziario USA.

SEC hackerata

EDGAR contiene una quantità impressionante di informazioni sulle società quotate in borsa e può essere consultato liberamente. In memoria, però, ci sono anche documenti che non sono ancora stati resi pubblici…

Il problema è che se tra i dati accessibili attraverso l’interfaccia sul sito della SEC non c’è nulla di particolarmente “sensibile”, al suo interno ci sono informazioni non ancora rese pubbliche (progetti di fusione tra società, quotazioni in borsa e simili) che nelle mani delle persone giuste possono valere milioni.

Quello che si sa per il momento è quanto viene riassunto in un laconico comunicato di Michael S. Piwowar, uno dei membri della commissione. Qui si legge testualmente: “Nel corso della revisione (del profilo di rischio a livello di sicurezza informatica – ndr) sono stato recentemente informato del fatto che nel maggio 2016 si è verificata un’intrusione nel sistema EDGAR”.

Insomma: a quanto si capisce la violazione è stata individuata l’anno scorso ma nessuno si è preso la briga di renderla pubblica o per lo meno di avvisare la dirigenza. Ora, però, la SEC pensa che l’incidente abbia “posto le basi per guadagni illeciti attraverso le operazioni di trading”.

Naturalmente la commissione annuncia di aver avviato una procedura per investigare su quanto avvenuto e chiarire come questo sia potuto accadere. Sarà interessante scoprire, però, come sia stato possibile che non si sia avuto notizia dell’attacco per ben 16 mesi.



Articoli correlati

Altro in questa categoria


Dibattito tra i pirati informatici: Ransomware sì o no?


Sui forum frequentati dai cyber-criminali viene messa in dubbio l’opportunità di consentirne la vendita. “Ci danneggiano”.

Chi frequenta abitualmente i forum nei bassifondi del Web giura che l’intervento degli amministratori nelle discussioni sono piuttosto rari. Ultimamente, però, sono parecchi gli admin che hanno fatto sentire la loro voce nel dibattito che sta animando i siti frequentati da hacker e pirati informatici.

Il tema è quello dei ransomware e dell’opportunità di consentire ai frequentatori dei forum di vendere liberamente il codice per crearli.

Qual è il problema? In buona sostanza è che il business legato alla diffusione dei ransomware sembra rappresentare un problema per gli stessi cyber-criminali. Nonostante sia un’attività particolarmente profittevole (come abbiamo spiegato in questo articolo) questa categoria di malware non è vista di buon occhio nemmeno dai pirati della vecchia scuola, che hanno considerato l’ipotesi di bannare i distributori di ransomware dai loro forum.

A spiegarlo sono i ricercatori di Anomali, che nel corso delle loro attività di intelligence hanno tenuto sotto controllo il dibattito e ora ne hanno riassunto i contenuti i un post pubblicato sul blog dell’azienda di sicurezza.

Come spiegano i ricercatori, la discussione è nata nei forum collegati al cyber-crimine in settori dell’est europeo e in particolare delle repubbliche ex-sovietiche e in Russia.

Più che il contorno e la provenienza dei partecipanti, ciò che risulta interessante sono le motivazioni che animano il dibattito. Stando a quanto riportano gli analisti di Anomali, fino a un certo punto non sono comparse questioni etiche o valutazioni di carattere altruistico, quanto ragionamenti dettati da una fredda valutazione di costi e benefici.

Le cose, però sarebbero cambiate il 5 febbraio del 2016, dopo un attacco ransomware diretto all’Hollywood Presbyterian Medical Center. In quell’occasione, infatti, molti cyber-criminali hanno espresso la loro contrarietà nei confronti di un’azione che stava mettendo a rischio la vita dei pazienti ricoverati nell’ospedale.

ransomware

I ransomware sono ormai distribuiti come “malware as a service”. Chiunque può comprarne uno e distribuirlo e la cosa non piace molto ai cyber-criminali della vecchia scuola che sono abituati a guadagnarsi il pane scrivendo in prima persona il codice dei loro malware.

Un tema che è tornato di attualità quando ha fatto la sua comparsa WannaCry, che ha colpito con particolare violenza numerose strutture ospedaliere nel Regno Unito. Insomma: i cyber-criminali russi possono anche dimostrarsi spietati fino a quando si parla di denaro, ma quando finiscono in gioco delle vite umane, qualche dubbio viene anche a loro.

Oggi, dopo la conclusione del cosiddetto “anno d’oro dei ransomware”, i dubbi di natura etica sembrerebbero essere scomparsi per lasciare il posto ad altre valutazioni di carattere molto più prosaico.

Secondo i ricercatori, la contrarietà ai ransomware sarebbe dettata da motivazioni legate all’opportunità di evitare attacchi che rischiano di modificare lo scenario in cui i cyber-criminali operano.

Nel dettaglio, molti dei partecipanti ai forum in lingua russa del Deep Web ritengono che i ransomware attirino troppa attenzione sul tema della sicurezza informatica, rovinando in buona sostanza gli affari di chi porta attacchi di altro genere.

Il rischio, insomma, è che a causa del pericolo ransomware le aziende e i normali utenti finiscano per adottare misure di sicurezza più efficaci, rovinando il campo all’attività dei pirati informatici.

C’è anche un’altra argomentazione che i detrattori dei ransomware portano a sostegno dell’ipotesi di una “cacciata” di chi li distribuisce dai forum.

Tra i cyber-criminali dell’est Europa, infatti, esiste una regola non scritta che tutti rispettano scrupolosamente e che potremmo riassumere con il proverbiale “non sputare nel piatto in cui mangi”. Tradotto nel caso specifico: “non attaccare direttamente la Russia”.

Il motivo è da ricercare nell’atteggiamento delle autorità russe nei confronti dei pirati informatici, che nella pratica vengono di fatto tollerati, fornendo una collaborazione di facciata con le forze di polizia occidentale che non corrisponde a un reale impegno nel perseguire i cyber-criminali che operano sul territorio. Almeno fino a quando non diventano un problema per la nazione.

Non è un caso che in molti malware gli esperti di sicurezza abbiano in passato individuato accorgimenti tecnici all’interno dei malware che avevano l’obiettivo dichiarato di escludere dagli obiettivi gli utenti residenti in Russia, per esempio analizzando l’indirizzo IP delle vittime prima di colpire.

I ransomware, secondo molti cyber-criminali, sono strumenti troppo facili da usare e da ottenere. Il rischio, quindi, è che qualche pivello finisca per usarli in campagne di distribuzione localizzate nel “paese amico” rompendo quella sorta di patto di non belligeranza esistente tra i pirati e le autorità costituite.

Secondo i ricercatori di Anomali, una sorta di referendum informale tra i cyber-criminali avrebbe visto un 48,5% esprimersi per il ban dei ransomware dai loro forum. Visto che tra questi ci sono voti “pesanti” (come quelli degli amministratori dei forum) non è detto che in futuro la fazione che osteggia la diffusione dei ransomware non finisca per bloccarne la diffusione sui loro forum.

Al punto in cui stanno le cose, però, è difficile dire quanto una decisione simile possa impattare sulla loro diffusione. Il fenomeno, infatti, ha ormai raggiunto dimensioni tali da far pensare che anche un “boicottaggio interno” possa non avere grandi effetti.



Articoli correlati

Altro in questa categoria


L’attacco con CCleaner puntava ai giganti dell’informatica. Spionaggio industriale?


Nuovi elementi emergono dalle indagini dei ricercatori. Nel mirino Microsoft, Cisco, Samsung, Sony e altre note aziende del settore.

Dietro l’attacco che ha sfruttato CCleaner come vettore di attacco ci potrebbe essere un gruppo di hacker di alto livello o che, per lo meno, puntavano decisamente in alto. L’obiettivo, infatti, erano alcune tra le più famose aziende del settore IT.

A rivelarlo sono i ricercatori del gruppo Talos di Cisco, che sono riusciti a mettere le mani su alcuni file conservati all’interno dei server Command and Control (C&C) a cui si collega il malware.

Come abbiamo riportato in un articolo precedente, l’attacco è stato progettato per utilizzare una strategia in due fasi. La backdoor inserita dai pirati nella versione di CCleaner distribuita tra agosto e settembre ha infatti un’unica funzione: contattare un server C&C dal quale scaricare del codice.

Sarebbe questo il vero e proprio payload, cioè il codice dannoso che i pirati puntano a installare sui computer compromessi. Nella prima analisi dei ricercatori, però, non si era trovato alcun indizio che la seconda fase fosse stata avviata.

Insomma: il quadro in un primo momento sembrava essere quello di una clamorosa violazione dei sistemi di Piriform che aveva portato a una distribuzione di massa della backdoor. L’ipotesi, però, era che si trattasse di un gruppo di “classici” cyber-criminali che puntavano a colpire il maggior numero possibile di computer sparando nel mucchio.

Le nuove scoperte gettano una luce completamente diversa sulla vicenda. Sui server C&C, infatti, i ricercatori hanno trovato una serie di file tra i quali c’è anche il famoso payload che fino a questo momento non era stato identificato.

Non solo: quello che il gruppo Talos ha scoperto è che il payload veniva distribuito solo su un ristrettissimo numero di computer che venivano selezionati in base al dominio a cui apparteneva la rete a cui erano collegati. Si tratterebbe quindi di un attacco mirato e non di una “pesca a strascico” come era sembrato in un primo momento.

Gli obiettivi, in particolare, sarebbero alcune aziende che operano nel mondo dell’informatica: Microsoft, Samsung, VMware, MSI, Sony, D-Link (come se non avesse già abbastanza problemi) e la stessa Cisco, cioè l’azienda a cui fa riferimento il gruppo Talos.

CCleaner spionaggio

L’elenco dei bersagli contiene il fior fiore dell’industria informatica mondiale. L’ipotesi più probabile, quindi, è che si tratti di un tentativo di spionaggio industriale.

Non solo: analizzando i dati presenti sui server C&C, gli analisti di Talos hanno trovato indizi del fatto che la seconda fase dell’attacco sia stata in realtà avviata nei confronti di una ventina di computer.

L’analisi del trojan, del quale i ricercatori non elencano le funzionalità, denota l’uso di tecniche sofisticate di offuscamento che fanno pensare in ogni caso all’opera di un gruppo di pirati particolarmente capaci.

Il codice dannoso, infatti, viene inserito in un file che fa parte di un software di sicurezza Symantec e usa una serie di accorgimenti che lo rendono difficile da individuare.

Quello che in un primo momento ha stupito di più, a fronte dell’uso di strumenti così sofisticati, è la strategia utilizzata e la scelta di CCleaner come vettore di attacco.

Per quanto sia un software apprezzato e molto diffuso (il sito vanta 2 miliardi di download) è pur sempre un tool gratuito che di solito viene usato da utenti comuni e che viene da pensare si trovi difficilmente in ambito aziendale.

La spiegazione è tutto sommato semplice: CCleaner, infatti, oltre alla più nota versione gratuita ha anche una versione professionale (basata su cloud) pensata proprio per il mondo delle aziende. Guarda caso, il primo report di Talos specifica che i pirati hanno inserito la backdoor anche in questa versione.

CCleaner spionaggio

La versione cloud di CCleaner è pensata specificatamente per le aziende. Tra le società che la usano compare anche Samsung, una di quelle prese di mira dai pirati.

L’inserimento della backdoor all’interno della versione gratuita, quindi, potrebbe essere stato usato come specchietto per le allodole per mascherare le reali intenzioni dei pirati.

Difficile, infine, azzardare ipotesi riguardo gli autori dell’attacco. Gli unici elementi riportati da Talos (ma nel report si specifica che sono insufficienti per parlare di una possibile attribuzione) puntano il dito verso la Cina.

In particolare viene fatto notare che il malware utilizza il fuso orario cinese per determinare alcune operazioni e che gli analisti di Kaspersky avrebbero individuato alcune analogie tra il codice usato nell’attacco con quello usato in passato dal Group 72, che in passato qualcuno aveva ipotizzato essere collegato in qualche modo alla Cina. Troppo poco, però, per trarre qualche conclusione.



Articoli correlati

Altro in questa categoria


Attacco a Equifax: la vulnerabilità era vecchia di due mesi


L’agenzia statunitense non avrebbe aggiornato i sistemi dopo l’annuncio di una falla di sicurezza in Apache Struts lasciando le porte aperte ai pirati.

Come volevasi dimostrare: i pirati informatici che si sono introdotti nei sistemi di Equifax, l’agenzia che gestisce le informazioni personali di milioni di consumatori in USA, Gran Bretagna e Australia, non sono dei maghi del crimine informatico. Hanno semplicemente approfittato dell’ennesimo “buco” lasciato aperto dagli amministratori.

Con un aggiornamento sul sito www.equifaxsecurity2017.com, il portavoce dell’agenzia ha fornito maggiori dettagli sulla vicenda, spiegando che è stata individuata la causa dell’intrusione che ha portato al furto delle informazioni personali di oltre 143 milioni di persone.

L’attacco, che secondo i responsabili di Equifax si sarebbe verificato a metà maggio, avrebbe quindi sfruttato una vulnerabilità che è stata corretta a marzo. Questo significa che gli amministratori dei sistemi hanno impiegato più di due mesi per applicare una patch che era stata resa disponibile contestualmente alla pubblicazione della vulnerabilità.

La falla di sicurezza in Apache Struts (una piattaforma per Java estremamente diffusa in ambito enterprise) consentiva l’esecuzione di codice in remoto ed era stata segnalata dagli stessi sviluppatori che l’avevano catalogata come “critica”, invitando tutti gli utenti ad applicare il prima possibile gli aggiornamenti.

Equifax

Evidentemente la percezione del termine “critico” non è la stessa per tutti. Lasciare i sistemi esposti per due mesi a un attacco di questo tipo corrisponde a un invito per i cyber-criminali.

***foto***Evidentemente la percezione del termine “critico” non è la stessa per tutti. Lasciare i sistemi esposti  per due mesi a un attacco di questo tipo corrisponde a un invito per i cyber-criminali.

I pirati informatici, quindi, non hanno fatto nulla di straordinario. Come accade sempre più spesso, hanno solo letto con attenzione i report e hanno sfruttato tempestivamente l’opportunità. D’altra parte, come avevamo scritto a suo tempo, non sono stati gli unici.

Sulla base di questi presupposti, le decine di class action promosse dai consumatori nei confronti di Equifax rischiano di diventare un serio problema per l’agenzia statunitense. Se fossero confermate queste tempistiche, infatti, negare la responsabilità dell’ente diventa molto difficile.

Per le aziende italiane la vicenda può rappresentare un fulgido esempio di quello che significherà l’avvio dell’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR) prevista per maggio 2018. Casi come questo, da quella data, saranno sanzionati pesantemente.



Articoli correlati

Altro in questa categoria


Aggiornate i routers Netgear: il malware RouteX ne prende il controllo


Un hacker che parla russo ha creato, tramite il malware RouteX, una botnet con la quale ruba account grazie a una vulnerabilità vecchia di mesi ma ancora molto diffusa.

RouteX dimostra che tutti dovrebbero impegnarsi molto nel creare software sicuri, ma i produttori di accessori e dispositivi informatici dovrebbero farlo più degli altri. Il motivo è sempre il solito: mentre se per un software per desktop o un’app sono buggate si può implementare qualche procedura per convincere l’utente a scaricare l’aggiornamento, riuscire a tenere aggiornati dispositivi esterni come router, videocamere e simili è davvero complicato.

Non è un caso che un hacker di lingua russa abbia passato gli ultimi mesi a infettare router Netgear con un malware chiamato RouteX, trasformandoli in zombie dediti alla pratica del Credential Stuffing.

Secondo quanto dichiarato da Stu Gordon, Chief Science Officer e Head of Research alla Forkbombus Labs, il criminale ha sfruttato la vulnerabilità CVE-2016-10176 per infettare i router Netgear della serie WNR2000 che non avevano ricevuto la patch rilasciata a dicembre 2016.Router Netgear WNR200 vulnerabile a RouteX

Il problema colpisce l’interfaccia di amministrazione interna, che risulta essere accessibile dall’esterno e pienamente operativa a livello di amministratore. In questo modo, l’hacker carica il malware che provvede a chiudere la vulnerabilità (in modo da non esser sovrascritto da eventuali altri malintenzionati) e ad installare un SOCKS Proxy, tramite il quale inizia le operazioni di credential stuffing.

Il credential stuffing è una pratica molto in crescita in questi ultimi mesi che sfrutta i database rubati di username e password per prendere il controllo di account su varie piattaforme.

Gli hacker che mettono le mani su dei database di credenziali rubate, infatti, si trovano davanti a due utilizzi. Il primo è quello di usarlo per la piattaforma di provenienza, se nota; il secondo è quello di cercare di usare le stesse credenziali per accedere ad altri servizi dato che molti utenti usano sempre la stessa combinazione per siti diversi.

Analizzando gli indirizzi di dieci server di comando e controllo abbinati a RouteX, gli esperti di Forkbombus sono risaliti all’hacker che si fa chiamare Link, lo stesso che creò il malware usato per infettare i dispositivi di Ubiquity Networks nell’ottobre del 2016.

Profilo dell'hacker Link

La struttura dei due malware, quello del 2016 e RouteX, sono molto simili, anche se l’ultimo è ovviamente più evoluto, e lo stesso si può dire per lo splash screen che saluta chi si connette alla console di comando.

Splash Screen RouteX

Per mettere al sicuro i nostri dispositivi, l’unica cosa da fare è quella di aggiornare i Router, ricordandoci di creare un task ricorrente che ci ricordi di fare un controllo manuale su quegli apparecchi che non sono predisposti per aggiornarsi automaticamente.

Fonte: Bleeping Computer



Articoli correlati

Altro in questa categoria


Operazione Dragonfly 2.0: infrastrutture energetiche sotto attacco


I bersagli in Europa e Stati Uniti. Gli esperti: “gli attacchi potrebbero portare al sabotaggio con conseguenze imprevedibili”.

L’attacco è stato portato da una vecchia conoscenza del settore: il gruppo Dragonfly, che secondo gli analisti di Symantec sarebbe in circolazione fin dal 2011.

Questa volta gli hacker hanno avviato una campagna in grande stile che ha preso di mira, in particolare, i sistemi informatici di alcuni impianti energetici negli USA e in Turchia.

Secondo i ricercatori Symantec, che hanno analizzato l’operazione in questo report, Dragonfly 2.0 sarebbe stata avviata nel dicembre del 2015, ma ora l’attività dei pirati informatici avrebbe aumentato di intensità, soprattutto in Turchia.

I vettori iniziali di attacco utilizzato dal gruppo Dragonfly, come accade spesso in questo genere di azioni, sono numerosi, a partire dal classico spear phishing. I pirati inviano email confezionate ad arte con documenti allegati attinenti a temi del settore energetico.

Non solo: secondo Symantec gli hacker si sono dati anche un gran da fare per compromettere siti Internet legittimi (sempre legati al settore energetico) per cercare di sottrarre le credenziali di impiegati delle aziende e organizzazioni finite nel loro mirino.

Il gruppo, però, ha cercato di utilizzare anche un’altra tecnica, cioè l’uso di applicazioni per Windows modificate per “piazzare” un trojan (nello specifico Backdoor.Dorshel) sui computer in cui vengono installate.

Non manca, infine, il “grande classico” degli aggiornamenti per Flash Player, che secondo i ricercatori verrebbero proposti attraverso tecniche di social engineering (probabilmente su siti compromessi) allo scopo di scaricare e installare una backdoor.

Insomma: con la nuova campagna sembra che il gruppo Dragonfly non si stia per niente risparmiando e stia facendo ricorso a tutto l’arsenale informatico a sua disposizione per raggiungere gli obiettivi.

Dragonfly

Tutti gli attacchi puntano a computer collegati in qualche modo a impianti per la produzione di energia elettrica. Un tipo di strutture che negli ultimi anni sono finite sempre più spesso vittima di attacchi informatici.

Secondo Symantec, l’obiettivo finale dei pirati non sarebbe il semplice spionaggio industriale, ma potrebbe essere addirittura quello di procedere a un sabotaggio degli impianti. Una conclusione a cui giungono considerando il fatto che il lungo periodo di “studio” dei bersagli ricorda da vicino il modus operandi di altri attacchi del genere, come quelli portati con Stuxnet.

In queste considerazioni gioca un importante ruolo l’attribuzione al gruppo Dragonfly, conosciuto già in passato per essere specializzato in operazioni di alto livello tipiche (anche se i ricercatori non si sbilanciano su questo punto) di gruppi legati ai servizi di intelligence.

E sul fatto che ci sia un legame tra gli attacchi attuali e l’attività del gruppo nel 2014 ci sarebbero pochi dubbi. Buona parte degli strumenti utilizzati, infatti, corrisponderebbero (e in alcuni casi avrebbero porzioni di codice simili) a quelli già utilizzati da Dragonfly.

Secondo i ricercatori, le probabilità che si tratti di false flag (indizi fuorvianti inseriti appositamente per depistare le indagini – ndr) sono piuttosto basse. Paradossalmente, ciò che convince gli analisti di avere a che fare proprio con Dragonfly è proprio l’assenza di prove schiaccianti.

Anche in passato, infatti, il gruppo ha sempre fatto ricorso a strumenti piuttosto conosciuti (come i tool di amministrazione in remoto) rinunciando a sfruttare exploit zero-day che rappresenterebbero un chiaro “marchio di fabbrica” in grado di ricondurre a loro.



Articoli correlati

Altro in questa categoria