Read this page in English. | Leggi questa pagina in English.

News

Immagine da: www.net-security.org

Nella giornata di ieri i sistemi di monitoraggio di Certego hanno rilevato una campagna di compromissione rivolta verso diversi forum ospitati su domini italiani.

Come funziona

I siti interessati sono stati preventivamente compromessi, sfruttando verosimilmente vulnerabilità presenti nelle piattaforme software utilizzate per la gestione dei forum, in particolare VBulletin versione 4.1.9 e IP Board versione 3.4.6. I visitatori che si collegano alle pagine dei forum interessati vengono reindirizzati verso siti esterni da cui viene scaricato Nuclear Pack Exploit Kit, un software contenitore che fornisce la possibilità di fare leva su diverse vulnerabilità sulle macchine degli utenti al fine di comprometterle. In questo caso vengono utilizzati file in formato .swf che sfruttano le recenti vulnerabilità del software Adobe Flash Player

Tutti i forum che Certego ha identificato come compromessi durante questa campagna hanno URL della seguente forma:

http://[dominio]/forums/threads/[id]-[slug]

con domini del tipo:

[stringa-lunga-casuale].[dominio]

Questi sono alcuni esempi di domini Nuclear Pack EK individuati, al momento non tutti raggiungibili e attivi:

72ni9v3j9chko9ak5u4uwhf.nostaljiyemekler[.]com
ey03cunzlam19kc1v9ee9jf.gumuspastabodrum[.]com
ftafyk9wkvu42523ju20iri.devletdestegi[.]com 

Gli indirizzi IP su cui sono ospitati i domini sono diversi, ad esempio:

195.154.166[.]120
213.238.168[.]139
213.238.166[.]227

Anche in questo caso alcuni non sono più raggiungibili e potrebbero essere stati bonificati, ma la maggior parte sono ancora attivi e pericolosi.

Alcuni di questi IP corrispondono a Virtual Private Server acquistati appositamente per l'installazione di Nuclear Pack Exploit Kit, mentre altri, utilizzati solo come primo step nella catena di redirezione, sono più verosimilmente host compromessi. Il controllo del server ha permesso la creazione di sottodomini con nome casuale adibiti alla distribuzione del malware. In questo modo, infatti, l'Exploit Kit è raggiungibile solo conoscendo a priori il sottodominio utilizzato, ed è quindi molto più protetto dagli occhi degli analisti.

Contromisure

Questo attacco sfrutta le vulnerabilità di Flash Player, che pertanto deve essere essere aggiornato all'ultima versione (http://helpx.adobe.com/security/products/flash-player/apsb15-04.html). Nel caso si sospetti una infezione in corso, si può tentare di rimuovere il problema usando i seguenti software gratuiti:

Una soluzione più radicale, ma che va studiata caso per caso in quanto ha un impatto notevole sulla usabilità del PC, è quella di disinstallare il plugin Flash dal browser utilizzato, oppure di limitarne selettivamente il funzionamento, come spiegato in questa guida.

Nella giornata di oggi i sistemi di intelligence Certego hanno rilevato una massiccia campagna di spam avente come target utenti italiani.

La mail, scritta in italiano e senza errori di ortografia, può presentare un finto ordine di acquisto, una finta lista di oggetti rimborsati e un allegato che nella maggior parte delle volte è in formato .cab. Tale allegato una volta eseguito contatta diversi domini che dalle nostre prime analisi risultano essere tuttora raggiungibili, ma non possiamo escludere che ne vengano contattati altri come fallback.

L'allegato è un downloader chiamato Dalexis, ovvero un software che scarica tramite HTTPS malware aggiuntivo: in questo caso il ransomware Critroni (noto anche come CTB-Locker). Si tratta di un malware, attualmente ancora non identificato dai principali antivirus, che rende parzialmente o totalmente inutilizzabile un computer cifrandone i documenti presenti su di esso.

Al fine di decifrare i documenti gli autori del ransomware Critroni chiedono poi il pagamento di un riscatto, da effettuare collegandosi tramite rete anonima Tor ed inviando il denaro in bitcoin.

Nel caso in cui si riceva una mail avente queste caratteristiche, è importante cancellarla immediatamente senza aprire in nessun caso l'eseguibile allegato; se la si riceve sulla posta aziendale, contattare immediatamente il proprio dipartimento IT per segnalare il problema ed ottenere istruzioni.

Modena, 12 gennaio 2015. Certego Srl ha ottenuto dall'Università Carnegie Mellon di Pittsburgh, PA, l'autorizzazione all'utilizzo del marchio CERT. Questo risultato, ottenuto a valle di un accurato processo di qualificazione, consente a Certego di entrare a far parte di un network internazionale di team dedicati alla gestione della sicurezza informatica e di contrasto al Cybercrime. 

Certego, la società del gruppo VEM sistemi specializzata nell’erogazione di servizi di sicurezza IT gestita e di contrasto al Cybercrime, è l’unica azienda Italiana ad esser stata citata nel rapporto Gartner “Competitive Landscape: Threat Intelligence Services, Worldwide, 2015” come Regional Player di servizi di threat intelligence per Industria e PA.1

Nel rapporto si evidenzia come la consapevolezza delle minacce informatiche sia destinata a crescere in tutto il mondo nei prossimi anni, così come la richiesta di servizi per contrastarle. Secondo Gartner “entro il 2019, il 60% del business digitale si affiderà ai servizi di threat intelligence come requisito funzionale per garantire la resilienza operativa.”

“Oggi, la maggior parte delle organizzazioni affronta il problema della sicurezza in modo passivo, limitandosi ad implementare apparati e tecnologie di sicurezza senza predisporre un vero sistema di controlli. Si tratta di un approccio che non è più sufficiente a contrastare le nuove minaccedichiara Bernardino Grignaffini, amministratore delegato di Certego. ”Le modalità con cui vengono svolti gli attacchi cambiano continuamente, sfruttando sia le vulnerabilità di tipo tecnologico, sia la capacità di ingannare le persone con metodi sempre più sofisticati. E il quadro è reso ancora più complicato dalla complessità degli ambienti IT e dal fatto che il Mobile ha reso ancora più labili e porosi i confini delle reti. Occorre quindi impostare una nuova strategia di protezione che comprenda tutte le fasi della sicurezza: anticipazione del rischio, prevenzione, rilevamento e risposta agli incidenti.

“Siamo convinti che il fatto che Gartner abbia inserito Certego come unica azienda italiana nel report “Competitive Landscape: Threat Intelligence Services, Worldwide, 2015” sia una conferma del nostro modello di protezione basato sulla capacità di identificare le nuove minacce e ridurre l’impatto degli attacchi,”prosegue Grignaffini, “e del fatto che siamo pronti per supportare i clienti nella gestione delle loro esigenze di sicurezza nel modo oggi più efficace.”

Summary

È stata resa nota una importante vulnerabilità in OpenSSL, una suite software open-source utilizzata da diversi protocolli di rete per fornire uno strato di cifratura dei dati. La vulnerabilità permette ad un attaccante remoto di leggere la memoria di un client o di un server, entrando quindi in possesso delle chiavi di cifratura. La compromissione di queste chiavi può consentire all'attaccante di decifrare tutto il traffico in ingresso o uscita dal server, compreso quello eventualmente intercettato in passato. Si suggerisce pertanto l'aggiornamento immediato di tutti i servizi vulnerabili.

Affected software

OpenSSL è una suite utilizzata per realizzare lo strato di cifratura di numerosi applicativi web, tra cui:

  • Server web con protocollo HTTPS, come Apache o Nginx;
  • Server e-mail con cifratura tramite SSL o TLS;
  • Software di accesso remoto come SSH;
  • Server VPN realizzati tramite SSL, come OpenVPN.

Le versioni vulnerabili di OpenSSL sono quelle della serie 1.0.1 fino alla 1.0.1f inclusa. Le versioni precedenti non sono vulnerabili, così come non lo è la versione 1.0.1g rilasciata nella giornata di ieri 7 aprile. Alcune distribuzioni Linux più comuni che risultano vulnerabili a questo problema sono le seguenti:

  • Debian Wheezy/stable, (OpenSSL 1.0.1e-2+deb7u4)
  • Ubuntu 12.04.4 LTS (OpenSSL 1.0.1-4ubuntu5.11)
  • CentOS 6.5 (OpenSSL 1.0.1e-15)
  • Fedora 18 (OpenSSL 1.0.1e-4)
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) e 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) e 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Description

La vulnerabilità rilevata all'interno di OpenSSL riguarda un componente chiamato Heartbeat, abilitato di default nella maggior parte delle distribuzioni ma non strettamente necessario per il funzionamento della suite. Mediante un pacchetto forgiato ad-hoc, l'attaccante può forzare l'altro lato della connessione (sia esso un client o un server) a rispondere con un pacchetto che contiene una parte della propria memoria; iterando il processo, è possibile leggere aree di memoria molto vaste ed accedere quindi ad informazioni sensibili, tra cui la chiave privata utilizzata dal protocollo di cifratura.

Una volta compromessa la chiave privata, del server o del client, l'attaccante è in grado di decifrare tutto il traffico generato. Per esempio, un attaccante che sia in grado di monitorare il traffico di rete verso un server vulnerabile (tramite un proxy, la cattura del traffico su un apparato di rete o su una rete Wi-Fi non adeguatamente protetta), può utilizzare la chiave privata del server per decifrare tutto il traffico ed estrarre eventuali credenziali ed altre informazioni sensibili normalmente non accessibili.

Remediation

Il team di sviluppo di OpenSSL ha già rilasciato una nuova versione "1.0.1g" non vulnerabile, che è già stata adottata anche da tutte le principali distribuzioni Linux. Suggeriamo pertanto di aggiornare tutti i servizi vulnerabili appena possibile.

Come misure di analisi e contenimento, il team IRT di Certego ha già realizzato uno strumento di scansione e predisposto opportune signatures sui propri sensori di rete per il rilevamento di attacchi in grado di sfruttare questa vulnerabilità.

Summary

Nella mattina di oggi l'Incident Response Team di Certego ha individuato una compromissione del sito web di una delle principali testate giornalistiche italiane. Una delle pagine del sito è stata compromessa mediante l’iniezione di codice che porta al download di un malware appartenente alla categoria dei Trojan Downloader.

Description

L’attaccante è riuscito ad iniettare in una delle pagine del sito in questione un codice JavaScript che reindirizza l'utente su una pagina che lo invita a scaricare un finto aggiornamento di Adobe Flash Player. Tale aggiornamento è in realtà una variante di un malware noto come Symmi, appartenente alla categoria dei Trojan Downloader. Gli oggetti appartenenti a questa categoria hanno il compito di infettare la vittima, per poi scaricare un malware più potente e con funzionalità più avanzate. All'interno del mercato clandestino dei malware, infatti, esistono numerosi gruppi di cyber-criminali specializzati in un particolare compito: le organizzazioni che stanno dietro alle campagne di diffusione dei Trojan Downloader hanno come scopo quello di infettare il maggior numero possibile di postazioni, che saranno poi rivendute a chi usa malware di altro tipo (per esempio i Banking Trojan, malware che si occupano di effettuare frodi bancarie) secondo un modello noto come "pay-per-install". Il malware Symmi, in particolare, è spesso legato alla diffusione di alcune varianti del Banking Trojan noto come ZeuS.

Remediation

L'Incident Response Team di Certego ha segnalato il problema al gestore del sito Web, che he provveduto alla rimozione del codice malevolo attorno alle ore 10:45 di questa mattina. Certego sta già procedendo ad un controllo approfondito sui log dei propri clienti ed eventuali compromissioni saranno segnalate come di consueto tramite l'apertura di un apposito Incident.

Nelle attività di gestione della sicurezza informatica, la capacità di supportare in modo rapido ed efficace i nostri clienti dipende in modo sostanziale da tre fattori: l’esperienza e le competenze tecniche del personale CSIRT (Computer Security Incident Response Team), la disponibilità di strumenti tecnologici in grado di rilevare ed analizzare anomalie e segnali di possibili intrusioni e l’utilizzo di modelli formali che permettano di misurare e migliorare l’efficienza dei sistemi di difesa.

Per le proprie attività di Risk Assessment, Certego utilizza in modo estensivo la metodologia OSSTMM (Open Source Security Testing Methodology Manual) redatta dall’istituto ISECOM (Institute for Security and Open Methodologies). Attraverso le linee guida di analisi ed i modelli quantitativi descritti da OSSTMM, Certego è in grado di ottenere una misura precisa del livello di rischio associato a:

  • Violazioni del perimetro di rete
  • Applicazioni vulnerabili
  • Presenza di Malware

In particolare, Certego utilizza il modello OSSTMM nelle seguenti attività:

  • Network Vulnerability Assessment
  • Wifi Pentest
  • Web Application Pentest
  • Malware Assessment

Per l’erogazione di queste attività, il team IRT di Certego ha recentemente svolto gli esami di certificazione accreditata ISECOM e può attualmente contare su 4 figure certificate OPST (OSSTMM Professional Security Tester).