[Guerre di Rete - newsletter] Attacco a Saipem e Shamoon; Aaron Swartz; privacy, e AI e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 15 - 16 dicembre 2018
Di cosa si parla:
- Saipem e Shamoon
- Aaron Swartz
- Facebook
- Russia/Ucraina
- e altro
ATTACCO A SAIPEM
Uno dei malware più pericolosi e temuti è ricomparso dopo un periodo di inattività, ed ha colpito una importante azienda italiana. Saipem, società leader nelle perforazioni e nei servizi petroliferi, controllata di Eni e di CDP Equity (già Fondo strategico italiano), è stata infatti vittima di un attacco di una nuova variante di Shamoon, un wiper (cioè un malware che distrugge i dati) che in passato aveva preso di mira proprio l’industria petrolifera.
La prima notizia dell’attacco è stata data il 10 dicembre dalla stessa Saipem in un comunicato: “Saipem informa che oggi è stato prontamente identificato un cyberattacco sui suoi server. Stiamo raccogliendo gli elementi utili per valutare l’impatto sulla nostra infrastruttura e le azioni da prendere per ripristinate le normali attività”. Poche parole, nessun riferimento a malware particolari.
Lo stesso giorno dell’attacco, un ricercatore di Chronicle, società di cybersicurezza di Alphabet, segnalava che qualcuno aveva messo su VirusTotal (una piattaforma dove si caricano file sospetti e malware per analizzarli) una copia di Shamoon, un noto, specifico e temuto malware su cui torno dopo. Il 12 dicembre i ricercatori della società ReaQta analizzano il comportamento del malware nell’attacco a Saipem, identificandolo come Shamoon. Nelle stesse ore l’azienda petrolifera italiana, in un nuovo comunicato, aggiungeva dettagli importanti: che il cyberattacco aveva colpito server in Medio Oriente, India, Aberdeen (Scozia) e in modo più limitato in Italia; e che appunto si trattava di una variante del malware Shamoon. Inoltre scriveva che l’attacco aveva portato a una cancellazione di dati; e che erano in atto le attività per ristabilire la piena operatività sui siti colpiti. A questo punto, era ormai chiaro che Shamoon era tornato.
Ma di che si tratta e perché è rilevante?
Shamoon (a volte chiamato Disttrack) è stato identificato per la prima volta nel 2012 in un pesante attacco contro Saudi Aramco, tra le maggiori compagnie petrolifere al mondo, di proprietà del governo saudita (e corposo cliente di Saipem, che pochi mesi fa ha anche vinto un contratto di fornitura da Saudi Aramco per l’impianto di gas di Haradh). In quell’attacco erano state messe fuori uso 30mila postazioni dell’azienda. I file furono sostituiti dall’immagine di una bandiera americana in fiamme. Il malware aveva infatti la capacità di distruggere i file sulle macchine infette e di sovrascrivere il master boot record (MBR), impedendo al computer di avviarsi. Per l’allora segretario della Difesa americano, Leon Panetta, quello contro Saudi Aramco era stato il cyberattacco più distruttivo avvenuto contro un’azienda privata (va detto che ancora non c’era stato né il Sony Hack, né NotPetya, quest’ultimo pure un wiper….). Analisi successive, come quella di David Sanger (The Perfect Weapon) stimano che i sauditi abbiano dovuto comprare 50mila hard drive per tornare operativi, e che il tempo per il rientro nella normalità sarebbe stato di cinque mesi. La produzione di petrolio non sarebbe stata colpita. Ma tutte le attività circostanti, dall’acquisto di forniture al coordinamento dello shipping, sì. Telefoni e mail aziendali erano morti.
Ad ogni modo, da allora, Shamoon è scomparso dai radar salvo riemergere a fine 2016, ribattezzato Shamoon2, per colpire sempre l’industria petrolifera e pure la banca centrale saudita. In questa seconda ondata, l’immagine usata per sostituirsi ai file è stata quella del povero Alan Kurdi, il bambino siriano annegato sulla costa turca la cui foto ha fatto il giro del mondo. Poi il malware è di nuovo scomparso fino a questi giorni. (Threatpost)
Non solo Saipem
Saipem ha detto a Reuters che l’attacco avrebbe messo fuori uso 300-400 server e fino a 100 PC, ma che nessun dato sarebbe stato perso grazie a un sistema di backup. E che l’attacco sarebbe stato identificato lunedì.
Non è però l’unica vittima. C’è anche una azienda degli Emirati Arabi Uniti (UAE), che è stata colpita negli stessi giorni. E il Centro per la cybersicurezza di Dubai ha riportato degli avvisi per questo tipo di attacco, riferisce Forbes. Anche Symantec twitta di attacchi di Shamoon contro aziende negli Emirati e anche in Arabia Saudita. Nei precedenti attacchi di Shamoon a essere indiziati sono stati gli iraniani. Agire nei weekend/festivi era parte del loro modus operandi.
Di fronte a questa nuova variante del malware (ci sono differenze tecniche su cui non mi soffermo - una: non ci sono questa volta immagini usate come rivendicazione politica - anche se alcune sono rilevanti, vedere Axios e in modo più tecnico Symantec) la maggior parte dei ricercatori ancora non si sbilancia sull'attribuzione.
Come e perché
Qualcuno si chiede se l’attacco a Saipem non fosse per arrivare, di nuovo, a Saudi Aramco (Oilprice). Secondo la stessa Saipem, “l’attacco avrebbe avuto origine in India a Chennai”, almeno così riferisce Reuters. Saipem ha infatti attività e sedi anche in Asia, non solo in Medio Oriente, dall’India alla Thailandia, dove ha chiuso un grosso contratto ancora a ottobre (Offshore-technologies).
Infine, ultima nota tecnica: tra i possibili punti di ingresso del malware nel network Saipem, c’è chi ipotizza che sia stato usato RDP (Remote Desktop Protocol), un protocollo che permette di accedere da remoto a un computer con delle credenziali (Zdnet). Da notare che credenziali RDP erano vendute nei forum underground mediorientali insieme a molti altri strumenti di hacking, come notava un report TrendMicro di qualche tempo fa. Migliaia di credenziali RDP, soprattutto di Cina, Brasile, Spagna, India e Colombia erano vendute ancora nel 2017 su un sito del Dark Web, Ultimate Anonimity Services, riferiva un altro rapporto, questa volta di Flashpoint. Per questi Paesi il numero di credenziali era più alto a causa delle insufficienti pratiche di “cyber igiene”, commentavano i ricercatori.
SORVEGLIANZA
Inquietanti novità sulla vicenda di Aaron Swartz - il programmatore, attivista e sostenitore del libero accesso alle informazioni morto suicida nel gennaio 2013, a 26 anni, dopo anni di calvario legale con il governo Usa. Documenti ottenuti dopo una battaglia in tribunale da una associazione americana rivelano che informazioni sul giovane, anni prima della sua vicenda giudiziaria, erano state raccolte dall’FBI in una indagine su Al Qaeda, erano state messe da parte anche se lui con quella indagine non c’entrava ovviamente nulla, ed erano state poi esplorate e riprese due anni dopo per scopi del tutto diversi, cioè per costruire contro di lui il caso legale che lo ha progressivamente distrutto, in una procedura nota come backdoor search. (Gizmodo)
Indignazione dal mondo del giornalismo e attivismo (Freedom of the Press)
Chi era Swartz (Espresso, archivio)
Riassunto: quello che fai online potrà essere usato un giorno contro di te, specie se era stato raccolto perché alle indagini sul terrorismo è stato concesso più margine di azione, anche se tu non c’entravi nulla con quelle indagini
ANCORA UN CASINO DI FACEBOOK
Facebook ha esposto le foto private di 6,8 milioni di utenti ad app che non avrebbero dovuto vederle a causa di un bug. Si tratta di foto messe dagli utenti in Stories ma anche immagini caricate e mai postate. L’esposizione è avvenuta tra il 12 e il 25 settembre.
Il comunicato Facebook. TechCrunch. Titolo top: Indovina che ha combinato questa volta Facebook (Gizmodo, inglese)
Intanto Zuckerberg, per risollevare l’immagine del social guarda a Brad Smith, il presidente di Microsoft, anche se l’interessato non vuole cambiare azienda. Butta male per Sheryl Sandberg, la numero due di Facebook? (Business Insider)
FRONTE RUSSO/UCRAINO
La Russia avrebbe aperto la strada al suo scontro con la marina ucraina di fine novembre – l’incidente dello stretto di Kerch del 25 novembre – attraverso una serie di attacchi informatici mirati a istituzioni governative di Kiev. Lo sostiene una società americana, Stealthcare, e per Defenseone ciò sarebbe prova di premeditazione dell’incidente. Va però detto che le attività cyber russe in Ucraina sono una costante negli ultimi anni, a continua bassa intensità con esplosioni più marcate. In questo quadro si inserisce la dichiarazione del commissario alla Sicurezza europea Julian King, secondo il quale la Russia avrebbe introdotto la crisi di Kerch con una campagna sistematica di fake news (del tipo che il governo ucraino aveva infettato il Mar Nero con dei batteri e cose del genere).
La scorsa settimana la Commissione europea ha annunciato di aver messo in piedi un sistema di alert per aiutare gli Stati membri a riconoscere campagne di disinformazione, aumentando il budget da circa 2 a 5 milioni di euro. (Guardian)
CYBERSPIONAGGIO
Ricordate la compromissione del database clienti di Marriott? Che già la scorsa settimana c’era chi diceva che fossero cinesi? Bene, ora anche il segretario di Stato Mike Pompeo ha sostenuto che dietro la violazione ci sarebbe il governo di Pechino. (Politico). Sempre secondo fonti di intelligence Usa, l’azione si inquadrerebbe nella raccolta massiva di dati condotta da hacker cinesi negli anni, come il furto di informazioni personali su 20 milioni di dipendenti governativi nel 2015 (Office of Personnel Management hack) (WashPost).
Come potrebbero essere usati i dati (NBC)
Secondo un funzionario della NSA, le attività di hacking cinesi sarebbero in aumento - non ha però citato esempi o altre prove a dimostrazione. (Engadget)
Intanto, Foreign Policy fa pressione sulla Germania per il caso Huawei.
Infine: ricordate lo scoop Bloomberg secondo i quale i cinesi avevano impiantato un chip nei server dell’azienda americana Supermicro? Ora Supermicro dice di aver condotto un audit e di non aver trovato nulla (Reuters)
Reminder dei più grandi furti di account utenti (Bloomberg):
1) Yahoo 3 miliardi
2) Marriott 500 milioni
3) Adult Friend Finder 412 milioni
APPROFONDIMENTI
LIBRI
L'ebook su cosa aspettarci dal 2019 di Good Morning Italia . Oltre a fare una bella newsletter, gli amici di Good Morning Italia, ogni fine anno, mettono assieme un libro di analisi/previsioni in vari campi - politica, economia, ecc - chiedendo il contributo di vari autori.
E c'è anche un mio pezzetto sullo scenario cyber. Un assaggio:
"E dunque, se così stanno le cose, che dovremmo aspettarci da gruppi sempre più avanzati? Intanto degli attacchi più insidiosi, definiti fileless, che sfruttano applicazioni già installate nel computer delle vittime e sono più difficili da individuare. E forse anche un ritorno più intenso al cyberspionaggio, rispetto ai fuochi di artificio di “operazioni psicologiche e di influenza” che tanto hanno fatto parlare di sé negli ultimi due anni. E che ora, finito l’effetto sorpresa – e con l’amministrazione Usa sempre più a fare da cyberpoliziotto del mondo – rischiano di essere poco efficaci. D’altro canto, l’intensificata guerra commerciale e tecnologica tra Cina e Stati Uniti potrebbe rilanciare le attività cyber cinesi"
Qui l'ebook gratuito
DISINFORMAZIONE
Come una assurda, ridicola bufala complottista, nata dal leak delle mail di John Podesta, il capo della comunicazione della campagna di Hillary Clinton, ha innescato un linciaggio collettivo, con conseguenze reali. Bel pezzo di Rolling Stone sul Pizzagate
RIP PRIVACY
Almeno 75 aziende ricevono accurati dati di posizione dalle app di smartphone i cui utenti avevano attivato i servizi di localizzazione per ricevere le notizie o le previsioni meteo. I dati sarebbero anonimi, ma sono così precisi che in alcuni casi è possibile risalire alle identità delle persone. Inoltre questi dati sono raccolti in genere senza informare adeguatamente gli utenti, che vedono solo un messaggio della app che ti chiede l'accesso alla localizzazione per inviarti una notizia o una informazione. Senza percepire l'entità dei dati di posizione raccolti, o che saranno ulteriormente rivenduti. (New York Times)
Soluzioni? Cancellate tutte le vostre app - soprattutto se gratuite e non indispensabili (Motherboard) I social media, come Facebook, se possibile usateli dal browser
Usate al minimo i permessi di geolocalizzazione sul telefono (NYT)
AI
Come algoritmi e strumenti predittivi influenzano le assunzioni? O che rischi possono comportare?Alcuni punti di un interessante rapporto sul tema: già oggi questi strumenti sono usati per scremare/rifiutare candidati; da tenere in considerazione il ruolo incrementale nei vari passaggi che portano fino al colloquio, a partire da chi vede l'annuncio; possono incorporare pregiudizi sistemici o dare peso eccessivo a fattori marginali; necessaria più trasparenza e audit indipendenti su questi strumenti (Upturn)
Un rapporto sul futuro dell'AI, preoccupazioni e soluzioni (Pew Internet)
STARTUP
Tutto quello che avreste voluto sapere sui fondatori di startup e non avete mai osato chiedere (tanti bei grafici) Mediuum- Ali Tamaseb
MONOPATTINI ELETTRICI
Almost Every Electric Scooter in the World Comes From This Chinese Company (Bloomberg)
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!