Hacking, Mercenari APT : Dall’Attacco Alle Società in Rete All’Ingaggio Negli Stati Nazione. Nichilismo della Sicurezza è Nichilismo dell’Intera Economia.

_χρόνος διαβασματός : [ 10 ] minutes

 

Mercenari. Questa tipologia suscita timore. E deve suscitarlo. Ma non a noi.

Ridevo con un mio amico qualche minuto fa in una conversazione dove auguro il peggio alle società italiane in rete. Sono il peggio del peggio, come fuori dalla rete. Internet non è la Televisione, mantenere una struttura, piattaforma, portale, sito e-Commerce etc. che opera in rete ha lo stesso costo nel mantenere una struttura operativa/ricettiva/etc fuori dalla rete. Ergo i posti di lavoro dovevano aumentare, aumentando i servizi, i commerci, i guadagni. Invece hanno pensato di dimezzare i posti di lavoro, decentralizzare, sottopagare, in ultimo sommario: ad umiliare.

Allora ora Voi siete quelli umiliati, sbeffeggiati, sotto attacchi multipli che vi costano migliaia di euro se vi va bene…E’ una bellezza.

Gli Stati Nazione , già di per sè incompetenti e succubi delle Aziende che portano i grandi voti, allora utilizzano gli stessi attori criminali per i loro scopi extra-nazionali, beh a volte anche nazionali, resta il fatto che sono una risorsa preziosa, specialmente quando mirano ad ottenere appalti a scapito di altri, o distruggere le forze dissidenti, cioè a limitare la libertà di stampa, la democrazia, favorendo la tortura, la tratta e l’uccisione di esseri umani. Crimini proibiti dalle Costituzioni Moderne, dalla Carta dell’Uomo, e sicuramente non avallati dall’O.N.U. ma coadiuvati dagli Stati nazione occidentali e dai loro vertici traditori.

Un giorno…un giorno ci hanno chiamato per riferire che il nome del nostro gruppo era stato trovato nelle eMail trafugate all’Hacking Team di Milano..e sapete perchè?

Avevamo mancato loro di rispetto.

CyJax.com:

I gruppi mercenari di minacce persistenti avanzate (APT), a volte chiamati “hacker-for-hire” e soprannominati attori offensivi del settore privato (PSOA) da Microsoft, sono diventati una parte significativa del panorama delle minacce negli ultimi anni. Questi “cyber soldati di ventura” hanno eseguito sempre più campagne di attacco per conto di clienti, di solito stati-nazione, che cercano capacità di sorveglianza. Non tutti i paesi hanno la capacità tecnica per lanciare i propri attacchi: molti hanno le risorse finanziarie per pagare qualcuno che lo fa.

Nell’ultimo decennio, sono state divulgate oltre una dozzina di campagne APT mercenarie. Questi possono variare da quelli altamente sofisticati a quelli molto persistenti. Le vittime spesso includono politici, attivisti per i diritti umani, giornalisti, accademici, dipendenti delle ambasciate e dissidenti di tutto il mondo. Prendono spesso di mira applicazioni crittografate end-to-end (E2EE) utilizzate per contrastare le tradizionali tattiche di sorveglianza del governo: tra cui Signal, WhatsApp e Telegram. Un numero crescente di queste campagne mercenarie dell’APT si sta ora infiltrando attivamente e rubando proprietà intellettuale e altre informazioni sensibili dalle imprese.

Queste campagne sono supportate da un mercato significativo per gli exploit 0day e gli sviluppatori di malware. Pertanto, gli stati-nazione che vogliono iniziare campagne di hacking non hanno più bisogno di competenze tecniche, hanno solo bisogno di risorse adeguate. Inoltre, anche se questi APT esistono da decenni, le capacità precedentemente associate ad essi sono più accessibili che mai. E, nel caso degli APT di Stato-Nazione, è diventato più facile prevedere quali aziende e settori hanno maggiori probabilità di essere attaccati.

Se il panorama delle minacce si sta evolvendo nel modo suggerito da questi gruppi mercenari, tuttavia, dove chiunque può assumere mercenari per un ampio spettro di campagne di intrusione, anche questo piccolo vantaggio potrebbe essere andato perso.

Perfino il Norton..dopo McAfee uno dei più pesanti bisonti per ogni RAM di Computer, riuscì ad individuare un eseguibile malware di Hacking Team…ma non bastò a placare gli insulti contro lo stupido uso di questi troppo sopravvalutati software di sicurezza che vedremo abolire o cambiare approccio nell’auspicato paradigm shift che ci auguriamo arrivi.

Nel Settembre 2021, il Dipartimento di Giustizia degli Stati Uniti ha rivelato che tre ex dipendenti dell’agenzia di Intelligence degli Stati Uniti sono stati multati per 1,69 milioni di dollari e gli è stato impedito di ricevere nuovamente il nulla osta di sicurezza. I dipendenti hanno violato le leggi statunitensi sull’abuso di computer spiando per conto del governo degli Emirati Arabi Uniti. I tre uomini hanno ammesso di aver venduto tecnologia militare sensibile mentre lavoravano per Project Raven, il nome in codice di una società software spia, DarkMatter, che fungeva da unità di spionaggio clandestina per gli Emirati Arabi Uniti.

Il progetto Raven ha sfruttato exploit della rete di computer (CNE) per compromettere account di attivisti per i diritti umani, giornalisti e governi rivali. Mentre erano impegnati nel Progetto Raven, i tre uomini avrebbero preso di mira gli Stati Uniti ed esportato software di spionaggio a un governo straniero senza ottenere l’autorizzazione richiesta dalla Direzione dei controlli commerciali della difesa del Dipartimento di Stato degli Stati Uniti (DDTC). I tre uomini sono ex dipendenti della National Security Agency (NSA) degli Stati Uniti e hanno lavorato per DarkMatter negli Emirati Arabi Uniti tra gennaio 2016 e novembre 2019, secondo un’indagine di Reuters. Mentre lavoravano per DarkMatter, gli ex dipendenti della NSA hanno aiutato a sviluppare e distribuire due exploit zero-click iOS chiamati Karma e Karma 2. Secondo quanto riferito, questi sono stati usati contro iPhone appartenenti a dissidenti, giornalisti e leader dell’opposizione governativa. Il Dipartimento di Giustizia degli Stati Uniti ha anche notato che questo accordo è stata la prima risoluzione del suo genere per due tipi di attività criminali: fornitura di servizi controllati dall’esportazione senza licenza a sostegno di campagne di hacking e una società commerciale che supporta un governo straniero per accedere a reti e dispositivi di computer in tutto il mondo, inclusi Qatar, Yemen e Stati Uniti. [1, 2]

So che avete capito. Quelli che rappresentavano lo Stato hanno aiutato una Minaccia Straniera ad operare a casa loro per infrangere la legge costituzionale. Alto tradimento.

Già..alto tradimento…

Nel novembre 2020, i ricercatori BlackBerry hanno rivelato un nuovo mercenario APT, soprannominato CostaRicto. Questo gruppo si rivolgeva a organizzazioni di tutto il mondo, ma principalmente nell’Asia meridionale – India, Bangladesh e Singapore – Africa, Europa e Americhe. Le vittime sono distribuite su diversi verticali, molti dei quali nel settore finanziario. Non è chiaro dove si trovino questi hacker su commissione: tuttavia, poiché si concentrano principalmente sull’Asia meridionale, i ricercatori ritengono che sia più probabile che risiedano lì.

Per molte delle sue campagne, CostaRicto utilizza attacchi di spear-phishing per lanciare una backdoor personalizzata, soprannominata SombRAT, che è stata vista raramente “in natura”. Il codice suggerisce che esistono più versioni, indicando che la backdoor può essere adattata in modo flessibile per diversi attacchi. I primi timestamp di compilazione per SombRAT risalgono al 2017. Il gruppo ha anche compromesso i suoi obiettivi tramite credenziali rubate, secondo quanto riferito acquistate sulla darknet. [1, 2]

Attivo dal 2016, un mercenario APT noto come Bahamut (collegato a WindShift) ha lanciato molteplici campagne in corso altamente mirate contro gli utenti Android in Medio Oriente. Gli individui presi di mira dal gruppo sono stati solitamente attivisti per i diritti umani, ufficiali militari, membri della famiglia reale, diplomatici, leader religiosi e dirigenti d’azienda. Gli obiettivi di Bahamut sono stati localizzati anche in altre parti del globo, come gli Stati Uniti. Il gruppo di solito usa applicazioni mobili pericolose distribuite tramite store di applicazioni legittimi, mascherati da fitness tracker o gestori di password. Una volta scaricata l’app da una vittima, vengono estratti tutti i tipi di informazioni personali e possono essere utilizzati per un numero qualsiasi di attività, con implicazioni probabilmente gravi. [1, 2, 3]

Leggi Anche :

Hacking : Rapporto Kaspersky Q1 2021 Sulle Minacce dei Gruppi APT Alle Infrastrutture Pubbliche e Ai Privati

Nel giugno 2020, i ricercatori del Citizen Lab hanno rivelato che migliaia di individui e centinaia di istituzioni erano stati presi di mira da un gruppo mercenario noto come DarkBasin. Gli obiettivi includevano gruppi di difesa, giornalisti e alti funzionari governativi, nonché hedge fund e altre organizzazioni di vari settori. Il gruppo si è rivolto principalmente alle organizzazioni no profit americane, in particolare a quelle che lavorano a una campagna che opera con l’hashtag #ExxonKnew, che afferma che ExxonMobil ha nascosto informazioni sui cambiamenti climatici per decenni. DarkBasin è stato anche collegato a campagne di phishing rivolte ai sostenitori della neutralità della rete.

Ulteriori indagini sul gruppo hanno scoperto diversi legami con una società di sicurezza informatica indiana, chiamata BellTroX InfoTech Services, che successivamente è scomparsa una volta che l’indagine è stata resa pubblica. L’analisi dell’infrastruttura di phishing di DarkBasin, che utilizzava un accorciatore di URL personalizzato, ha rivelato 28.000 URL aggiuntivi contenenti e-mail di destinazione. [1, 2]

Nell’agosto 2020, i ricercatori di Kaspersky hanno scoperto un insolito gruppo mercenario APT di lingua russa chiamato DeathStalker (originariamente chiamato Deceptikon). A differenza degli altri gruppi sopra menzionati, DeathStalker si concentra principalmente su studi legali e istituzioni finanziarie. Secondo quanto riferito, questi mercenari hanno il compito di raccogliere informazioni commerciali sensibili in sospette campagne di spionaggio aziendale. Il gruppo utilizza malware personalizzato distribuito in e-mail di spear-phishing altamente mirate. Per la comunicazione C&C, il malware utilizza i cosiddetti risolutori dead drop, ovvero i siti Web sicuri come GitHub, Facebook, YouTube, Reddit e Twitter vengono utilizzati per ospitare le posizioni dei server C&C. Ciò significa che la comunicazione è mimetizzata nel traffico legittimo, come le spie che utilizzano un dead drop per passare i messaggi sotto copertura. Le vittime di DeathStalker sono sparse in tutto il mondo in paesi come Regno Unito, Svizzera, Emirati Arabi Uniti, India, Cina, Taiwan, Israele, Libano, Giordania, Cipro, Argentina e Turchia. [1, 2]

Fig. 1 – Targeting geografico di APT mercenari noti

Hacking-as-a-Service

Mentre gli APT mercenari eseguono l’hacking per te, c’è anche un numero crescente di aziende autorizzate che vendono software dannoso. Le agenzie di intelligence, le forze dell’ordine e le unità militari di tutto il mondo stanno acquistando sempre più software di hacking standard, acquistando exploit per vulnerabilità 0day e pagando altri per sviluppare strumenti di spionaggio.

FinFisher, noto anche come FinSpy, è un software di sorveglianza creato e distribuito da Gamma International. La difesa standard dei loro prodotti eticamente discutibili, regolarmente lanciata da queste aziende, è che il loro software viene utilizzato per combattere il terrorismo e la criminalità organizzata. Il più delle volte, tuttavia, i loro prodotti finiscono per essere utilizzati per colpire difensori dei diritti umani, giornalisti, avvocati, attivisti e dissidenti. Gamma International è stata violata nel 2014 da un individuo con il moniker Phineas Fisher, che ha rubato e fatto trapelare un archivio contenente 40 GB di dati dai server Gamma International, che includeva listini prezzi, codice sorgente, fatture e altri dati privati. Un’altra azienda che è stata hackerata da Phineas Fisher è stata Hacking Team, che ha subito un attacco molto più grave di Gamma International e ha cessato l’attività.

La debacle di HackingTeam ha lasciato un vuoto nel mercato, dalla metà del 2015 in poi, per gli strumenti di sorveglianza. Questo è stato riempito da Gamma International con la sua suite di spyware FinFisher. Sebbene Gamma International sia stata violata dalla stessa persona, l’incidente non è stato così grave e la società di spyware è stata in grado di riprendersi, operando nel vuoto lasciato da HackingTeam. Le fughe di notizie di Phineas Fisher hanno svelato ciò che molti sospettavano su questi sviluppatori di spyware commerciali: vendevano consapevolmente strumenti di sorveglianza a regimi autoritari che li usavano per spiare i civili. [1, 2, 3]

Fig. 2 – Interfaccia grafica utente di FinSpy (circa 2011)

A luglio, Microsoft ha rilasciato nuove informazioni su un attore offensivo del settore privato (PSOA) che traccia come Sourgum, che secondo quanto riferito appartiene a una società con sede in Israele chiamata Candiru. L’organizzazione ha preso di mira oltre 100 vittime in tutto il mondo, tra cui politici, attivisti per i diritti umani, giornalisti, accademici, dipendenti delle ambasciate e dissidenti politici con una famiglia di malware chiamata DevilsTongue. Circa la metà delle vittime è stata trovata nell’Autorità Palestinese, con altre in Israele, Iran, Libano, Yemen, Spagna (nello specifico la Catalogna), Regno Unito, Turchia, Armenia e Singapore. Tuttavia, l’identificazione delle vittime del malware in un paese non è indicativa che un’agenzia in quel paese sia un cliente Candiru, poiché il targeting internazionale è comune.

Candiru utilizza una catena di vulnerabilità nel web browser e Windows per installare la backdoor multi-thread modulare DevilsTongue. Questo malware personalizzato con uno script può rubare le credenziali dai browser Web, come Chrome o Firefox. Inoltre, decodifica ed esfiltra le conversazioni da Signal, l’app di messaggistica E2EE. Gli attacchi iniziano con un URL monouso inviato tramite applicazioni di messaggistica, come WhatsApp. Questi attori delle minacce hanno anche utilizzato le vulnerabilità di Windows 0day, tracciate come CVE-2021-31979 e CVE-2021-33771, per supportare la consegna. Lo sfruttamento riuscito ha portato all’escalation dei privilegi, dando a un utente malintenzionato la possibilità di sfuggire alle sandbox del browser e ottenere l’esecuzione del codice del kernel. Le agenzie di spionaggio in Uzbekistan, Emirati Arabi Uniti e Arabia Saudita sono tra i presunti clienti precedenti di Candiru. [1, 2]

Leggi Anche :

Regno Saudita : I Veri Retroscena Tecnici Dietro l’Hacking dell’iPhone di Jeff Bezos

Ad agosto, CitizenLab ha rivelato che il famigerato NSO Group, uno sviluppatore di spyware israeliano, è stato ancora una volta implicato in una campagna di sorveglianza non etica. L’ultima campagna spyware di Pegasus ha preso di mira almeno nove attivisti del Bahrein, un avvocato francese e un giornalista indiano tramite un nuovo exploit iOS, soprannominato FORCEDENTRY. Questo exploit era una vulnerabilità zero-click 0day altamente sofisticata in iMessage, il che significa che poteva essere attivato senza visualizzare il messaggio o fare clic sul collegamento.

Il gruppo NSO, tuttavia, presumibilmente non effettua l’hacking da solo, la campagna più recente è stata orchestrata da un cliente e operatore Pegasus, soprannominato LULU, che è stato collegato al governo del Bahrain. La parte tecnicamente impressionante dell’exploit FORCEDENTRY è che potrebbe aggirare BlastDoor, che Apple ha recentemente sviluppato per proteggersi da tali attacchi. Colloca parti di iMessage all’interno di una sandbox per isolare il codice dannoso dall’interazione con il sistema operativo (SO) sottostante. È interessante notare che quattro dei numeri di telefono delle vittime di questa campagna erano presenti nel recente elenco di 50.000 potenziali obiettivi di Pegasus ottenuto da Forbidden Stories e Amnesty International a luglio. I numeri di telefono trapelati appartengono a centinaia di dirigenti aziendali, figure religiose, accademici, dipendenti di ONG, funzionari sindacali e funzionari governativi. La fuga di notizie mostra anche i clienti del gruppo NSO di almeno 11 paesi, tra cui Azerbaigian, Bahrain, Ungheria, India, Kazakistan, Messico, Marocco, Ruanda, Arabia Saudita, Togo ed Emirati Arabi Uniti. [1, 2]

Fig. 3 – Interfaccia grafica utente dello spyware Pegasus (circa 2012)

Un futuro mercenario

APT mercenari, sviluppatori di software dannoso e broker 0day riducono significativamente la barriera all’ingresso per il lancio di campagne di hacking avanzate. Non è più necessario disporre di competenze tecniche e di un piccolo esercito di individui altamente qualificati per eseguire tali attacchi. Attualmente richiede solo risorse, di cui gli stati-nazione ne hanno molte. Ciò che prima era tecnicamente impossibile è reso disponibile tramite exploit 0day del valore di milioni di dollari sui mercati sotterranei. Gli APT mercenari sviluppano strumenti malware su misura, gestiscono la propria infrastruttura, eseguono la propria ricognizione ed eseguono tutte le fasi dell’intrusione.

Le tattiche, le tecniche e le procedure (TTP) di un mercenario APT spesso assomigliano a campagne sponsorizzate dallo stato altamente sofisticate, ma i profili e la geografia delle loro vittime sono troppo diversi per essere allineati con gli interessi di uno stato. Pertanto, questi criminali informatici devono scegliere con cura i loro obiettivi per evitare il rischio di essere esposti e di vedersi chiudere le loro operazioni: questo è il motivo per cui molti non vengono individuati per diversi anni. Anche i famigerati avversari, esperti di spionaggio informatico, possono trarre vantaggio dall’aggiunta di uno strato di offuscamento alle loro campagne. Utilizzando un gruppo di mercenari come proxy, il vero aggressore può proteggere meglio la propria identità e contrastare i tentativi di attribuzione.

Difendersi da questa potente minaccia può portare al cosiddetto nichilismo della sicurezza, una mentalità in cui sembra che non si possa fare nulla per prevenire questi sofisticati attacchi. Questa conclusione, tuttavia, è errata. La maggior parte di questi attacchi si basa su vittime che commettono errori semplici, come fare clic su un collegamento, aprire un documento o lasciare i dispositivi senza patch. Pertanto, esercitando un’adeguata consapevolezza della sicurezza, utilizzando gestori di password e autenticazione a più fattori, mantenendo aggiornati i dispositivi e le applicazioni e investendo in software di sicurezza, le campagne degli aggressori saranno frustrate al punto che alla fine passeranno a obiettivi più soft.

Il nichilismo della sicurezza è oggi il nichilismo dell’economia.

Il nichilismo in quanto tale è la massima espressione del pensiero marxista.

Si possono mitigare i danni di quanto appena descritto con un cambio di paradigma che può avvenire ripensando interamente al concetto di “guadagno” e al concetto di “Internet” nell’economia.

Leave a Reply