Attacco hacker all'Italia, Killnet: 'Colpo irreparabile'. Rischi e cosa sappiamo
Lockbit pubblica i dati di Mandiant: “non sono professionisti”
Lockbit pubblica questa notte i file sottratti da Mandiant[.]com, come avevamo anticipato ieri sera in una colossale fuoriuscita di informazioni, relative ad una azienda leader nel settore della sicurezza informatica americana.
Ieri Mandiant aveva negato l’attacco informatico anche se aveva riportato che sarebbe stata a vedere l’evolversi della vicenda.
Lockbit pubblica un lungo post in relazione a questa vicenda che vi riportiamo di seguito, descrivendosi come “hacker multinazionali”, distribuiti in tutti i paesi e senza interconnessioni con i governi e quindi FSB Russa o FBI americana.
Inoltre, dopo che si è parlato delle relazioni tra Lockbit e la Evil Corp, sempre nel post LockBit prende le distanze da questo gruppo.
Advertisements
File 7z dei dati trafugati e messaggio TXT che pubblichiamo di seguito
Sono stato molto sorpreso di leggere le notizie su Twitter e sulla stampa. non sono professionisti. Eventuali script e strumenti per gli attacchi, sono disponibili pubblicamente e possono essere utilizzati da qualsiasi hacker del pianeta, la maggior parte dei metodi di attacco sono sui forum, githab e google, il fatto che qualcuno utilizzi strumenti simili non può essere la prova che l'attacco è fatto dalla stessa persona. La protezione di Foxconn Corporation è completamente assente, il dominio admin è stato ottenuto dalla più antica vulnerabilità zerologon. L'affiliato che ha criptato la rete Foxconn lavora con aziende molto piccole e prende riscatti molto piccoli. Gli obiettivi attaccati provengono principalmente da paesi terzi che pagano molto raramente. Solo perché FoxConn sarà attaccato da ogni affiliato di ransomware nel mondo non significa che Maxim Yakubets si nasconda dietro i loro marchi. Ha il suo programma di affiliazione personale, disponibile per una ristretta cerchia di professionisti di alta classe, penso che gli agenti dell'FBI ne conoscano il nome. Non rivelerò il nome del programma di affiliazione Maxim Yakubets per motivi etici, prova a indovinarlo tu stesso. Il nostro gruppo non ha nulla a che fare con Evil Corp. Siamo veri hacker clandestini delle darknet, non abbiamo nulla a che fare con la politica o con servizi speciali come FSB, FBI e così via. Siamo un gruppo multinazionale, il nostro programma partner include non solo russi ma anche americani, cinesi, iraniani, ucraini e molte altre nazioni. Di seguito puoi scaricare la prova delle mie parole.
Cos'è l'Hacking - Tutto quello che c'è da sapere
Tutto ciò che occorre sapere sull'hacking
Cos'è l'hacking?
Con il termine "hacking" si fa riferimento ad attività mirate alla compromissione di dispositivi digitali quali computer, smartphone, tablet e persino intere reti. L'hacking non nasce sempre con intenti criminali, tuttavia, oggi si definiscono spesso l'hacking e gli hacker come attività e soggetti che operano nell'illegalità, criminali informatici che agiscono per ottenere un guadagno finanziario, per protesta, per raccogliere informazioni (spionaggio) o per il semplice "divertimento" dell'impresa.
Nell'immaginario collettivo, gli "hacker" sono giovani menti geniali autodidatte o programmatori disonesti dotati delle competenze per manipolare un hardware o software informatico per usi non previsti dagli sviluppatori. Si tratta, però, di un'idea limitata, che non prende in considerazione le innumerevoli ragioni per cui si può fare ricorso all'hacking. (Per un approfondimento sugli hacker, leggi "Under the hoodie: why money, power, and ego drive hackers to cybercrime" di Wendy Zamora.)
La natura dell'hacking è tecnica (ad esempio, la creazione di malvertising che trasmette il malware in un attacco drive-by senza richiedere l'interazione dell'utente). Gli hacker, però, possono anche ricorrere alla psicologia per ingannare l'utente e convincerlo a fare clic su un allegato dannoso o a fornire dati personali. Queste strategie rientrano nell'"ingegneria sociale".
"Se prima l'hacking era un dispetto compiuto da ragazzini, oggi è un'attività che rende miliardi di dollari".
È infatti corretto considerare il termine "hacking" come iperonimo che comprende le attività che si celano dietro quasi tutti gli attacchi malware ai sistemi informatici pubblici, aziendali e statali. Altre comuni tecniche di hacking, oltre all'ingegneria sociale e al malvertising, comprendono:
Botnet
Browser hijack
Attacchi DDoS (Denial of service)
Ransomware
Rootkit
Trojan
Virus
Worm
Se prima l'hacking era un dispetto compiuto da ragazzini, oggi è un'attività che rende miliardi di dollari, i cui partecipanti hanno stabilito un'infrastruttura criminale che sviluppa e vende strumenti per l'hacking pronti all'uso destinati ad aspiranti truffatori dotati di competenze tecniche meno sofisticate (i cosiddetti "script kiddie"). Si pensi, ad esempio, al ransomware-as-a-service.
Un altro esempio vede come protagonisti gli utenti Windows, che pare siano obiettivo di un'attività criminale molto estesa basata sulla vendita, in un dark web store dell'hacking, per soli 10 dollari, di accessi in remoto ai sistemi IT, per consentire ai criminali di rubare informazioni, danneggiare sistemi, lanciare ransomware, ecc. I sistemi pubblicizzati sul forum e destinati alla vendita vanno da Windows XP a Windows 10. I titolari dello store offrono persino dei consigli per effettuare accessi illeciti senza essere scoperti.
La storia dell'hacking/degli hacker
L'attuale accezione del termine risale agli anni '70. Nel 1980, un articolo pubblicato su Psychology Today riporta la parola "hacker" nel titolo: "The Hacker Papers", che prende in esame la dipendenza provocata dall'uso del computer.
Il termine viene poi impiegato nel film di fantascienza Tron del 1982, in cui il protagonista vuole "hackerare", ovvero irrompere nel sistema informatico di un'azienda. La trama di un altro film dell'anno successivo, WarGames, racconta invece l'intrusione informatica di un adolescente nel NORAD (North American Aerospace Defense Command). È così che le opere di fantasia introducono lo spettro dell'hacking come minaccia alla sicurezza nazionale.
"Un gruppo di giovani hacker fa irruzione nei sistemi informatici di Stati Uniti e Canada".
Tutto sommato, la finzione precede di poco la realtà. Nello stesso anno, infatti, un gruppo di giovani hacker fa irruzione nei sistemi informatici di Stati Uniti e Canada, tra cui anche i sistemi del Los Alamos National Laboratory, dello Sloan-Kettering Cancer Center, e della Security Pacific Bank. Poco dopo, un articolo pubblicato su Newsweek che ritrae in copertina uno dei giovani hacker, riporta, per la prima volta nei mezzi di comunicazione convenzionali, il termine "hacker" con accezione dispregiativa.
Il Congresso prende quindi provvedimenti, approvando numerose sanzioni contro il crimine informatico. Negli anni successivi del decennio '80, nascono in America e all'estero gruppi di hacker e pubblicazioni, che attirano l'attenzione di appassionati di hacking alla ricerca di diverse missioni, alcune con fini benevoli, altre meno. Si assiste ad attacchi ed effrazioni spettacolari nei computer di enti governativi e aziende, cui consegue una legislazione anti-hacking più severa, oltre ad arresti e condanne degni di nota. Nel frattempo, numerose opere cinematografiche, letterarie e di stampa mantengono vivida l'idea dell'hacking e degli hacker nella cultura popolare.
Per una cronistoria approfondita sugli hacker, in cui si affrontano anche l'emergenza terrorismo e l'hacking di stato in epoca moderna, vai qui.
Tipi di hacking/hacker
I motivi per cui gli hacker provano a fare irruzione nei computer e nelle reti possono essere genericamente raggruppati in quattro punti:
Per ottenere illegalmente un guadagno finanziario, commettendo il furto di numeri di carte di credito o truffando i sistemi bancari.
Il secondo motivo riguarda soggetti spronati dalla fama e dalla reputazione nella sottocultura degli hacker, che lasciano "firme" sui siti vandalizzati solo per dare prova di essere riusciti nell'impresa.
C'è poi lo spionaggio aziendale, che riguarda il furto, operato dagli hacker di un'azienda, di informazioni relative a prodotti e servizi dei concorrenti per ottenere un vantaggio sul mercato.
Infine, vi è l'hacking patrocinato dagli stati che consiste nel furto di business e/o dati di intelligence nazionale con l'obiettivo di destabilizzare l'infrastruttura degli avversari o per seminare discordia e confusione nel Paese colpito. (È opinione condivisa che Cina e Russia siano stati responsabili di questo tipo di attacchi, tra le cui vittime compare Recentemente, hanno fatto molto parlare gli attacchi al Comitato nazionale democratico [DNC], in particolare dopo la dichiarazione di Microsoft secondo cui gli hacker accusati di aver agito ai danni del Comitato hanno sfruttato debolezze precedentemente segrete del sistema operativo Windows di Microsoft e del software Adobe Flash. Altri esempi di hacking vedono la partecipazione del governo degli Stati Uniti).
Esiste ancora un'altra categoria di criminali informatici: gli hacker spinti da una motivazione sociale o politica. Sono hacker attivisti o "hacktivist" in inglese, richiamano l'attenzione pubblica su un problema prendendo di mira l'obiettivo e rendendo in genere pubblici i suoi dati sensibili. Per sapere di più su importanti gruppi di "hacktivist" e sulle loro imprese più celebri, vedi Anonymous, WikiLeaks, e LulzSec.
"L'attuale frontiera della sicurezza informatica fa ricorso ai personaggi dei vecchi film western, con il cappello bianco e il cappello nero".
Per spiegare chi sono gli hacker è possibile fare riferimento ai vecchi film western, dove i buoni indossavano il cappello bianco e i cattivi indossavano il cappello nero. L'attuale frontiera della sicurezza informatica fa ricorso ai personaggi dei vecchi film western, con il cappello bianco e il cappello nero, cui si aggiunge una terza categoria intermedia.
L'hacker è una persona capace di una profonda comprensione dei sistemi informatici e dei software, e impiega tale conoscenza per sovvertire in qualche modo quella stessa tecnologia, un hacker "dal cappello nero" agisce in tal senso per rubare qualcosa di valore o con altri intenti criminali. Le motivazioni che spingono i "cappelli neri" ad agire in tal modo possono essere quattro: furto, reputazione, spionaggio aziendale e hacking di stato.
Gli hacker "dal cappello bianco", d'altro canto, vogliono migliorare i sistemi di sicurezza di un'organizzazione rilevandone i punti deboli per prevenire il furto di identità o altri crimini informatici prima che siano i "cappelli neri" a rilevare tali punti deboli. Addirittura, le aziende integrano gli hacker "dal cappello bianco" nel personale di supporto, come evidenziato in un recente articolo dell'edizione online del New York Times. Talvolta, le aziende si affidano a servizi esterni di hacking "dal cappello bianco" come HackerOne, che esamina i prodotti software alla ricerca di vulnerabilità e bug sotto ricompensa.
Esiste infine anche il gruppo dei "cappelli grigi", ovvero gli hacker che sfruttano le proprie competenze per irrompere nei sistemi e nelle reti senza autorizzazione (proprio come i "cappelli neri"); piuttosto che compiere gravi azioni criminali, però, i "cappelli grigi" potrebbero comunicare le loro scoperte alla vittima e offrirsi di riparare le vulnerabilità rilevate in cambio di una piccola somma.
Ultime notizie sull'hacking
Prospettive sull'hacking russo
La legge del Regno Unito: una strenua battaglia contro gli hacker
Biohacking
L'hacking sui telefoni Android
Sebbene sia diffusa l'associazione del fenomeno dell'hacking ai computer Windows, anche il sistema operativo Android rappresenta per gli hacker una preda invitante.
Cenni storici: I primi hacker, all'ossessiva ricerca di metodi "low-tech" volti ad aggirare la sicurezza delle reti di telecomunicazione (e le telefonate a distanza, all'epoca molto costose) prendono il nome di "phreak", un termine composto da "phone" (telefono) e "freak" (persona stravagante, eccentrica). Negli anni '70 si parla di "sottocultura" e l'attività dei phreak è nota con il nome di phreaking.
I "phreak" hanno oggi superato l'epoca dell'analogico espandendosi nel mondo digitale dove, con il nome di "hacker", hanno colpito oltre due miliardi di dispositivi mobili. Gli hacker dei dispositivi mobili si avvalgono di diversi metodi per l'accesso ai telefoni cellulari personali e per l'intercettazione di messaggi di segreteria, telefonate, messaggi di testo o persino il controllo di microfono e telecamera dei cellulari, senza il permesso o la consapevolezza dell'utente.
"I criminali informatici possono visualizzare i dati memorizzati sul telefono, comprese informazioni finanziarie o di identificazione personale".
Rispetto agli iPhone, la natura open-source dei telefoni Android è molto più frammentaria, l'assenza di standard coerenti in termini di sviluppo software ha esposto i dispositivi Android a un grave rischio di corruzione e furto dati. L'hacking su Android può essere molto dannoso.
I criminali informatici possono visualizzare i dati memorizzati sul telefono, comprese informazioni finanziare e di identificazione personale. Allo stesso modo, gli hacker possono rintracciare la posizione, controllare il telefono contattando siti web di qualità o persino diffondere l'attacco (tramite un link dannoso contenuto nel messaggio) ad altri contatti della rubrica, che non saranno insospettiti dal link perché proveniente da fonte nota.
Le forze dell'ordine possono hackerare i telefoni sotto mandato per memorizzare copie di messaggi ed e-mail, trascrivere conversazioni private o seguire movimenti sospetti. Gli hacker "dal cappello nero", invece, possono provocare ingenti danni accedendo alle credenziali di conto bancario, cancellando dati o inserendo host di programmi dannosi.
Gli hacker che agiscono sui telefoni sfruttano a loro vantaggio le numerose tecniche di hacking informatico, che possono essere adattate ad Android senza troppe difficoltà. Il crimine di phishing, che prende di mira singoli individui o membri di un'organizzazione e li induce a rivelare dati sensibili sfruttando l'ingegneria sociale, è per i criminali un metodo collaudato. Rispetto ai PC, infatti, i telefoni visualizzano una barra dell'indirizzo più piccola, per questo il phishing su un browser Internet mobile rende più semplice la contraffazione di un sito web apparentemente affidabile senza che si notino i sottili indizi (ad esempio, errori di ortografia intenzionali) che possono essere invece individuati su un desktop browser. È quindi possibile ricevere una richiesta di accesso da parte della banca per risolvere un problema urgente ma, facendo clic sul link opportunamente fornito e inserendo le credenziali nel modulo, si cade nella trappola degli hacker.
Un'altra minaccia hacker crossover per Android è rappresentata dalle applicazioni infettate da Trojan scaricate da marketplace non sicuri. I principali store di app Android (Google e Amazon) prestano molta attenzione alle applicazioni di terze parti, tuttavia, può capitare l'occasionale penetrazione di malware dai siti affidabili, che diventa più frequente nei casi di siti più sospetti. In questo modo, il cellulare può essere attaccato da adware, spyware, ransomware e diversi altri tipi di malware.
"Il bluehacking accede al telefono tramite una rete Bluetooth non protetta".
Esistono metodi più sofisticati che non richiedono all'utente il clic su un link dannoso. Il bluehacking accede al telefono tramite una rete Bluetooth non protetta. Può anche agire imitando una rete fidata o un'antenna telefonica per reindirizzare i messaggi di testo o le sessioni di accesso. Un telefono incustodito e senza blocco di sicurezza in un luogo pubblico consente all'hacker, oltre al furto fisico del telefono, la possibilità di clonare il telefono copiandone la SIM card, che equivale in pratica a ottenere le chiavi di casa del proprietario.
L'hacking sui Mac
Il problema dell'hacking non riguarda, tuttavia, solo i sistemi Windows, gli utenti Mac non ne sono infatti immuni.
Ad esempio, nel 2017 una campagna di phishing ha preso di mira gli utenti Mac, soprattutto in Europa. Trasportato da un Trojan contrassegnato da un certificato valido dello sviluppatore Apple, l'attacco di hacking ha agito tramite phishing di credenziali, facendo comparire una schermata di avviso per un'importante aggiornamento del sistema OS X in attesa di installazione. In caso di successo, i criminali avrebbero ottenuto l'accesso completo a tutte le comunicazioni della vittima e sarebbero stati in grado di spiare tutto ciò che si trovava sul browser, persino in caso di connessioni HTTPS con l'icona del catenaccio.
Oltre all'hacking di ingegneria sociale su Mac anche occasionali difetti hardware possono generare vulnerabilità, come nel caso delle falle Meltdown e Spectre, riportate dal The Guardian all'inizio del 2018. Apple è intervenuta con lo sviluppo di metodi di protezione contro la falla, consigliando comunque agli utenti di scaricare software esclusivamente da fonti affidabili come gli App Store iOS e Mac per impedire agli hacker di sfruttare le vulnerabilità del processore.
Un altro evento importante riguarda l'insidioso Calisto, una variante del malware Mac Proton che ha agito indisturbato per due anni prima di essere scoperto a luglio 2018. Il malware era nascosto in un falso software di installazione di sicurezza informatica per Mac e, tra le altre funzioni, raccoglieva nomi utenti e password.
In conclusione, dai virus ai malware fino alle falle nella sicurezza, gli hacker hanno creato un pacchetto strumenti completo per compromettere i sistemi Mac, qui puoi trovare l'esempio più recente documentato dal team di Malwarebytes Labs.
Prevenire l'hacking
Se un computer, un tablet o un telefono finiscono nel centro del mirino degli hacker, è possibile intervenire prendendo precauzioni adeguate.
Per prima cosa, scarica un prodotto anti-malware affidabile (o un'app per il telefono) in grado di rilevare e neutralizzare i malware e bloccare le connessioni a siti web di phishing. Noi consigliamo la protezione multilivello di Malwarebytes for Windows, Malwarebytes for Android, Malwarebytes for Mac, Malwarebytes for iOS e i prodotti Malwarebytes business per Windows, Android, Mac, iPhone o reti aziendali.
"Nessun istituto bancario né servizio di pagamento online chiede la trasmissione via e-mail di credenziali di accesso, numero di documento di identità o numeri di carte di credito".
Secondariamente, scarica solo app per telefoni da marketplace legittimi, come Google Play e Amazon Appstore, che fanno uso di strumenti di protezione contro applicazioni che contengono malware. (La politica Apple limita le possibilità degli utenti iPhone all'uso dell'App Store). In ogni caso, quando scarichi un'applicazione, controlla sempre prima le valutazioni e le recensioni. Se la valutazione non è buona e il numero di download è basso, è meglio evitarla.
Nessun istituto bancario né servizio di pagamento online chiede la trasmissione via e-mail di credenziali di accesso, numero di documento di identità o numeri di carte di credito.
Tieni sempre aggiornati i sistemi operativi di telefono e computer e aggiorna anche gli altri software interni.
Evita di navigare in siti web non sicuri, non scaricare mai allegati non verificati e non fare clic su link contenuti in e-mail che risultino poco familiari.
I consigli riportati rappresentano delle norme di base ed è sempre bene rispettarli, ma i criminali sono sempre alla ricerca di nuovi modi per penetrare i sistemi. Se un hacker scopre una password impiegata per l'accesso a diversi servizi, sfrutta applicazioni in grado di violare gli altri tuoi account. Accertati sempre, quindi, di scegliere password lunghe e complesse, evita di utilizzare la stessa password per account differenti e affidati piuttosto a un password manager. Anche un singolo indirizzo e-mail attaccato da hacking può provocare enormi problemi.
Attacco hacker all'Italia, Killnet: "Colpo irreparabile". Rischi e cosa sappiamo
L’Italia è tornata nel mirino degli hacker. A lanciare la nuova minaccia è stato ancora una volta il gruppo filorusso Killnet. Sul profilo Telegram del gruppo è apparso il seguente messaggio: “30 maggio ore 05.00. Luogo d’incontro – Italia“. Il post contiene anche una sfida, che sembra indirizzata ad Anonymous: “Anonimi che siete contro di noi, vi aspettiamo“.
In un messaggio successivo, da Killnet hanno ironizzato: “Sono sempre stato interessato a una domanda: la Russia generalmente supporta le nostre attività? Dal momento che faremo un colpo irreparabile in Italia a causa della guerra con Anonymous. Saremo almeno ricordati nella nostra terra natale?”.
L’Agenzia per la cybersicurezza nazionale ha confermato l’allarme di un attacco hacker imminente. Il messaggio riportato da ‘La Repubblica’: “Continuano a rilevarsi segnali e minacce di possibili attacchi imminenti ai danni, in particolare, di soggetti nazionali pubblici, soggetti privati che erogano un servizio di pubblica utilità o soggetti privati la cui immagine si identifica con il paese Italia”.
Il precedente attacco di Killnet
Nella giornata di giovedì 19 maggio, il gruppo di hacker filorusso Killnet aveva già sferrato un attacco a circa 50 siti istituzionali italiani.
Tra i siti interessati dell’attacco, in quell’occasione, anche quelli del Consiglio Superiore della Magistratura, dell’Agenzia delle Dogane e dei Ministeri di Esteri, dell’Istruzione e dei Beni Culturali.
L’attacco di Killnet del 19 maggio scorso è stato di tipo DDoS. L’obiettivo era quello di saturare le risorse dei siti in modo da determinare un blocco.
Fonte foto: 123RF - stevanovicigor Il precedente attacco di Killnet è stato di tipo DDoS.
Chi è Killnet
Il collettivo Killnet è nato in tempi recenti: sul web, infatti, è possibile datare le prime tracce dell’attività del gruppo all’inizio del 2022.
Il primo attacco informatico firmato Killnet è stato indirizzato contro Anonymous (il più famoso collettivo di tecno pirati si è schierato dalla parte degli invasi nella guerra tra Russia e Ucraina, mentre il collettivo Killnet ha sostenuto le ragioni degli invasori russi).
Chi c’è nel mirino di Killnet
Il 16 maggio, il gruppo filorusso Killnet ha annunciato: “Oggi dichiariamo ufficialmente la guerra informatica ai governi di 10 Paesi. Per due mesi abbiamo ricercato Stati che supportano i nazisti e la russofobia. È ora di distruggerli. I cittadini pacifici di questi Paesi non sono in pericolo. I governi di questi Paesi saranno liquidati”
L’Italia è stata inserita tra i 10 Paesi nel mirino, al pari di Stati Uniti d’America, Germania, Regno Unito, Lituania, Romania, Lettonia, Estonia, Polonia e Ucraina.
Prima dell’attacco hacker del 19 maggio a circa 50 siti istituzionali italiani, Killnet avrebbe già attaccato il nostro Paese, provocando il down dei siti internet del Senato, della Difesa, della Polizia di Stato e dell’Aci.
Non sarebbe, invece, riconducibile al collettivo filorusso Killnet l’attacco hacker che è stato sventato dalla Polizia Postale durante l’Eurovision Song Contest 2022 di Torino.