VITTIMA ATTACCANTE TECNICHE USATE MULTINAZIONALE
DELL’ICT SECURITY
HACKTIVISTI INDIANI SQLi, HACKING, SOCIAL ENGINEERING
A gennaio 2012 un produttore internazionale di soluzioni di sicurezza ammette di aver subito, nel 2006, un furto di codici sorgenti realizzato da ignoti, precisando che la causa sia stata la compromissione dei server di un proprio partner. All’origine di questo annuncio un tentativo di ricatto da parte degli hacker antagonisti del gruppo indiano “Lord of Dharmaraja” (LoD), i quali dichiarano di aver compromesso una serie di server governativi sensibili del proprio Paese, e di avervi trovato, tra le altre cose, tali sorgenti (in cambio dei quali chiedono 50.000 USD al produttore). Insieme a campioni di questi sorgenti, i LoD forniscono altre informazioni “scottanti” (per esempio, forti indizi di compromissione dei sistemi del United States-China Economic and Security Review Commission – USCC, e le “prove” che alcune primarie società occidentali produttrici di telefoni cellulari abbiano inserito delle backdoors nei loro prodotti su richiesta del governo indiano). Come se non bastasse, dopo una prima serie di comunicati stampa rassicuranti, tesi a minimizzare i rischi per gli utenti, il produttore internazionale di soluzioni di sicurezza invita i propri clienti a non utilizzare il proprio software di accesso remoto (una delle soluzioni di mercato più diffuse al mondo) ed a “disabilitarlo finché l’azienda non avrà rilasciato le opportune patch di sicurezza”. 67 https://clusit.it/wp-content/uploads/download/Rapporto_Clusit%202013.pdf , https://clusit.it/wp-content/uploads/download/Rapporto_Clusit%202014.pdf, https://clusit.it/wp-content/uploads/download/Rapporto_Clusit%202015.pdf, https://clusit.it/wp-content/uploads/download/Rapporto_Clusit%202016.pdf, © Clusit - Rapporto 2017 sulla Sicurezza ICT in Italia - aggiornamento giugno 2017
98
VITTIMA ATTACCANTE TECNICHE USATE MIGLIAIA DI UTENTI DI
TELEFONIA CELLULARE
CYBER CRIMINALI IGNOTE
A seguito di indagini svolte dall’U.S. Secret Service, un procuratore generale di New York apre un procedimento contro dodici cyber criminali per aver realizzato una sofisticata frode telefonica, clonando decine di migliaia di telefoni cellulari, per un totale di 250 milioni di dollari di profitti illeciti. In base alle carte processuali risulta che, rubando le informazioni di ignari utenti, i criminali avessero messo in piedi un impressionante mercato nero di chiamate internazionali non tracciabili. Il coinvolgimento del Department of Homeland Security fa ritenere che, tra i “clienti” di questo servizio, vi fossero anche sospetti di terrorismo.
VITTIMA ATTACCANTE TECNICHE USATE PRESIDENTE SIRIANO
BASHAR AL-ASSAD
HACKTIVISTI, RIBELLI SIRIANI
INSIDER (TALPA), SQLi
Una cellula di oppositori del regime siriano riesce ad ottenere da una talpa le credenziali delle caselle email private utilizzate dal Presidente Assad e da sua moglie Asma, e può monitorare tutte le loro conversazioni per oltre 9 mesi. Quando, nella primavera del 2012, una cellula di Hacktivsti del gruppo Anonymous riesce indipendentemente a compromettere il sito web del Ministero degli Interni siriano, tra le molte informazioni sottratte entra in possesso anche di 80 account di posta utilizzati da fedelissimi del regime, incluse quelle del Presidente e della moglie.
99
VITTIMA ATTACCANTE TECNICHE USATE 1,5 MILIONI DI UTENTI DI
CARTA DI CREDITO
CYBER CRIMINALI IGNOTE
Anche in questo caso le informazioni sono frammentarie e contraddittorie, ma è assodato che una società americana deputata alla gestione di transazioni con carta di credito sia stata attaccata da una gang di cyber criminali. Per questo motivo le principali carte di credito hanno immediatamente radiato tale società dalla lista dei gestori affidabili. Inevitabilmente questo ha avuto importanti ripercussioni sul titolo azionario della società. L’attacco, realizzato a partire dalla compromissione dei terminali di una importante compagnia di taxi di New York, ha causato la perdita di informazioni relativamente a 1,5 milioni di carte di credito, prima che il sistema anti-frode in essere rilevasse anomalie. A seguito di questo incidente, oltre ad aver subito una sensibile riduzione degli utili, la società ha dovuto ottenere una nuova certificazione PCI-DSS, e recentemente è stata condannata ad un risarcimento di 94 milioni di dollari (essendo assicurata contro queste evenienze per “soli” 30 milioni USD).
VITTIMA ATTACCANTE TECNICHE USATE 9 MILIONI DI CITTADINI
GRECI
CYBER CRIMINALE HACKING, SOCIAL
ENGINEERING
La polizia greca ha arrestato un 35enne di Atene con l’accusa di aver rubato i dati personali di oltre due terzi della popolazione greca, ovvero circa nove milioni di profili su un totale di undici milioni di cittadini. Tali profili, oltre al nome, al sesso ed all’età, comprendevano il numero di previdenza sociale, la targa di eventuali veicoli, etc. L’uomo è stato individuato perché cercava di vendere tali dati su Internet. Non è chiaro se avesse uno o più complici all’interno dell’amministrazione ellenica.
100
VITTIMA ATTACCANTE TECNICHE USATE NUMERO IMPRECISATO DI AZIENDE EUROPEE ED AMERICANE CYBER CRIME ORGANIZZATO HACKING, PHISHING, SOCIAL ENGINEERING
Una gang di cyber criminali di notevoli capacità tecniche ha potuto sottrarre oltre 78 milioni di dollari dai conti di numerose aziende, infiltrando i computer aziendali in dotazione al personale amministrativo, preventivamente individuato tramite i Social Network e fatto oggetto di email mirate di Phishing con malware quali Zeus e SpyEye, per catturare le credenziali dei conti bancari, distribuiti su oltre 60 diversi istituti di credito. Gli esperti che hanno analizzato le modalità dell’attacco lo descrivono come estremamente sofisticato ed altamente automatizzato, in grado di superare protezioni avanzate quali one time password e sistemi di autenticazione a due livelli.
VITTIMA ATTACCANTE TECNICHE USATE
IMPRENDITORE ITALIANO TRUFFATORI EVOLUTI RICHIESTA DI SMART
CARD A NOME DELLA VITTIMA
La truffa è stata scoperta dal GAT (il Nucleo speciale frodi telematiche della Guardia di finanza). Tre truffatori si sono impadroniti delle credenziali dell’azienda di un ignaro imprenditore, impersonandolo e facendosi rilasciare una smart card a lui intestata, tramite un Commercialista ed una società di servizi che sono risultati, a loro volta, vittime del raggiro. Ottenuta la smart card a nome del truffato, hanno proceduto ad una cessione di quote, registrandola regolarmente tramite i sistemi informatici della Camera di Commercio e scippando di fatto l’azienda al legittimo proprietario. Citando dalla cronaca: «la banda della firma digitale - spiegano gli investigatori - ha operato in barba alle tanto decantate misure di sicurezza e alla invulnerabilità della soluzione tecnologica per l'autenticazione della sottoscrizione degli atti pubblici».
101
VITTIMA ATTACCANTE TECNICHE USATE NUMEROSE
ORGANIZZAZIONI ED AZIENDE USA
CYBER ESPIONAGE MALWARE, HACKING
Una delle operazioni di spionaggio internazionale più importanti emerse nel corso del 2012. Scoperta casualmente da alcuni ricercatori, che indagavano su un singolo caso di compromissione, si è presto dimostrata essere una campagna di intelligence su scala planetaria, condotta con metodo e determinazione da attaccanti presumibilmente legati ad interessi dell’estremo oriente. Tra i bersagli, molto diversi tra loro, organizzazioni governative europee ed americane appartenenti a molti settori, società high tech, studi legali, società di pubbliche relazioni, think tanks, etc. Un aspetto rilevante di questa operazione è che gli attaccanti, pur avendo utilizzato tecniche di hacking poco sofisticate, per certi aspetti anche banali, sono riusciti ad infiltrare decine di organizzazioni, alcune delle quali sensibili, senza destare alcun allarme, per un periodo di molti mesi.
VITTIMA ATTACCANTE TECNICHE USATE NUMEROSI SOCIAL
NETWORK E SITI WEB
CYBER CRIME ORGANIZZATO
HACKING, SQLi
Nel corso dell’anno sono state numerose, oltre che eclatanti, le compromissioni che hanno portato al furto di milioni di passwords e di account da Social Networks e da siti web ad alto traffico. In un caso la società vittima ha richiesto a tutti i suoi 28 milioni di utenti di cambiare password. In un altro caso sono state compromesse le credenziali di circa 6,5 milioni di utenti di un famoso Social Network professionale. Una nota piattaforma di micro blogging invece, a seguito di un diffuso attacco ai suoi utenti mirato a comprometterne le credenziali, nel dubbio ha resettato un gran numero di account, scusandosi poi con i propri utilizzatori per il disagio. Infine diversi importanti fornitori di servizi di Web Mail e di chat, a causa di vulnerabilità nei loro sistemi di password reset, hanno
102
reso possibile a malintenzionati di accedere a qualsiasi account dei loro utenti, senza dover nemmeno compromettere le relative credenziali.
VITTIMA ATTACCANTE TECNICHE USATE NUMERO IMPRECISATO DI SOCIETA’ A LIVELLO GLOBALE CYBER CRIME ORGANIZZATO HACKING, SQLi, PHISHING, SOCIAL ENGINEERING
Tra i molti esempi possibili della sofisticazione raggiunta dai cyber criminali, questo non è certamente il più preoccupante, ma spicca per professionalità ed organizzazione del gruppo che gestisce l’attività illecita. Un sito web (raggiungibile tramite TOR) offre a prezzi modici l’accesso a tempo ad oltre 17.000 sistemi, compromessi tramite il loro servizio RDP (Remote Desktop) esposto su Internet. Con pochi dollari è possibile acquistare l’accesso al sistema vittima, ed avere così la possibilità di penetrare, oltre al sistema, anche la rete che lo ospita. Le macchine compromesse possono essere ricercate per range di IP pubblici, il che rende estremamente agevole individuare una macchina compromessa all’interno della rete di una specifica organizzazione o azienda. Nel caso il sistema compromesso venga disattivato o messo in sicurezza durante il periodo di accesso concordato, è possibile inviare un ticket ai cyber criminali che provvederanno a sostituirlo con un altro.
VITTIMA ATTACCANTE TECNICHE USATE 4,5 MILIONI DI UTENTI ADSL BRASILIANI CYBER CRIME ORGANIZZATO HACKING, SOCIAL ENGINEERING
Sfruttando una banale vulnerabilità di numerosi modelli di router forniti da ISP brasiliani, una banda di cyber criminali è riuscita ad accedere alle credenziali di accesso della loro interfaccia web, ed a modificare gli indirizzi dei server DNS nella loro configurazione. In questo modo, utilizzando server DNS malevoli sparsi per il mondo (oltre 40), i cyber criminali hanno potuto re-dirigere la navigazione degli utenti a loro piacere, spingendoli a scaricare malware ed a
103
visitare siti appositamente realizzati per sembrare Google, Gmail, Facebook etc, in modo da rubarne le credenziali. Inoltre i cyber criminali hanno modificato le password di accesso ai router compromessi, rendendo più difficoltoso (e quindi costoso) il loro ripristino. A febbraio 2013, milioni di router risultano ancora compromessi.
VITTIMA ATTACCANTE TECNICHE USATE 11 MILIONI DI UTENTI DI SOCIAL NETWORK CYBER CRIME ORGANIZZATO MALWARE, SOCIAL ENGINEERING
Questa vicenda, pur essendo una delle più rilevanti del 2012, è sostanzialmente passata sotto silenzio. L’FBI, con il supporto di uno dei principali Social Network al mondo, ha arrestato 10 sospetti, di sette diverse nazionalità, nell’ambito di una complessa indagine in merito ad una delle botnet più grandi mai scoperte. Gli utenti, presi di mira tramite il Social Network dal malware denominato Yahos (derivato dal malware alla base della famigerata botnet Butterfly, smantellata nel 2011), erano vittime di furti di identità e di credenziali bancarie. L’FBI stima che le perdite totali causate da questa botnet, composta da 11 milioni di macchine infette, siano state nell’ordine degli 850 milioni di dollari.
VITTIMA ATTACCANTE TECNICHE USATE
SONY PICTURES CYBER CRIME MULTIPLE
Il 24 novembre scorso i computer della sede principale dell’azienda Sony Pictures, in California, hanno subito un attacco informatico che è stato definito “il più distruttivo mai subito da un’azienda sul territorio statunitense”. I computer aziendali sono stati messi fuori uso: gli hacker – appartenenti a un gruppo che si è autodefinito “G.O.P. (Guardians of Peace)” – hanno paralizzato i sistemi e hanno rubato e diffuso illegalmente, tra le altre cose, film Sony non ancora distribuiti. Nella quantità notevole di dati personali di impiegati ed ex impiegati, ci sono indirizzi di casa, migliaia di password di accesso ai computer
104
dell’azienda e agli account ufficiali sui social network, e persino quelle di accesso ad alcuni conti bancari American Express e Fidelity e codici di Sicurezza Sociale (un tipo di codice identificativo usato negli Stati Uniti). È stato inoltre reso pubblico il contenuto di email interne che trattavano informazioni riservate riguardo le buste paga e i controlli aziendali dei precedenti penali di migliaia di dipendenti. Molti di questi dati sarebbero stati già diffusi su siti di filesharing. L’attacco informatico è stato di dimensioni tali da spingere l’azienda a tenere provvisoriamente spenti tutti i sistemi e mandare i dipendenti a casa. Il Wall
Street Journal ha scritto che il furto di dati personali riguarda più di 47 mila
persone tra impiegati e attori che lavorano o hanno lavorato in passato per Sony, tra cui attori e attrici famosi come Sylvester Stallone e Rebel Wilson. Nei giorni successivi all’attacco, diversi impiegati dell’azienda hanno ricevuto email rivolte a loro e alle loro famiglie da un mittente che si definiva del gruppo G.O.P.. Nella email veniva genericamente intimato ai dipendenti di aderire all’attacco e denunciare Sony Pictures. Solo così si sarebbero evitati pericoli personali. Sony ha poi chiesto ai dipendenti che avevano ricevuto quelle minacce di spegnere gli smartphone68.
VITTIMA ATTACCANTE TECNICHE USATE
TARGET CYBER CRIME MALWARE,
VULNERABILITIES
La catena di supermercati, pur avendo installato dei sistemi avanzati di protezione, non ha reagito tempestivamente alla segnalazione di un attacco in corso inviata dal proprio SOC di Bangalore . Di conseguenza è stato perso tempo prezioso, che ha consentito agli attaccanti di sottrarre circa 40 milioni di carte di credito dai POS dei punti vendita . Oltre ad aver causato il licenziamento di 8 membri su 10 del Board, l’attacco ha causato all’azienda perdite complessivamente stimate in un miliardo di dollari.
105
VITTIMA ATTACCANTE TECNICHE USATE
EBAY CYBER CRIME MULTIPLE
La nota piattaforma di e-commerce è stata violata, e gli attaccanti hanno compromesso un database, sottraendo 145 milioni di record, contenenti dati personali e password criptate. Prudenzialmente l’azienda ha immediatamente invitato tutti i propri utenti a cambiare password.
VITTIMA ATTACCANTE TECNICHE USATE
JP MORGAN CHASE CYBER ESPIONAGE KNOWN
VULNERABILITIES, APT
La nota banca americana è stata oggetto di un attacco particolarmente sofisticato, che ha causato la sottrazione di circa 79 milioni di record relativi ai propri clienti di cui sono stati copiati nomi, indirizzi, numeri di telefono, indirizzi email. Ma l'aspetto più grave è che si tratta di una delle più importanti banche americane, considerata una delle organizzazioni più sicure. Il punto di attacco iniziale, come spesso accade, è stato un server poco usato e quindi trascurato, utilizzato come “trampolino di lancio” per portare attacchi a sistemi interni sensibili.
VITTIMA ATTACCANTE TECNICHE USATE
HOME DEPOT CYBER CRIME APT, CUSTOM MALWARE
Nonostante avesse subito attacchi minori in precedenza, la grande catena di negozi di bricolage e ferramenta non ha posto in essere contromisure adeguate, e addirittura ha disattivato un sistema di sicurezza che avrebbe potuto impedire l’attacco, secondo alcuni ex-dipendenti . Come conseguenza, l’azienda ha subito il furto di 56 milioni di carte di credito / debito, sopportando centinaia di milioni di dollari di danni.
106
VITTIMA ATTACCANTE TECNICHE USATE OPERAZIONE
“NEWSCASTER”
CYBER ESPIONAGE SOCIAL ENGINEERING
Questa campagna di spionaggio, realizzata tramite la creazione e l’utilizzo di numerosi falsi profili su diversi social network e la creazione di una falsa agenzia giornalistica (chiamata “NewsOnAir”) è durata dal 2011 al 2014 ed ha colpito oltre 2 .000 individui, principalmente personale militare, diplomatici, giornalisti e contractor della difesa americani, inglesi, sauditi, irakeni ed israeliani.
VITTIMA ATTACCANTE TECNICHE USATE
GRUPPO BENETTON CYBER ESPIONAGE CUSTOM MALWARE
La multinazionale trevigiana ha dichiarato di aver subito un attacco informatico “sofisticato”, che ha consentito agli attaccanti di sottrarre i bozzetti della collezione di abbigliamento “0-12” e di replicare gli abiti, finiti in vendita in alcuni negozi siriani . Il riserbo sulle modalità dell’attacco è stato totale, anche se l’azienda ha dichiarato che “i danni sono stati limitati, sia quelli effettivi, sia quelli potenziali”.
VITTIMA ATTACCANTE TECNICHE USATE OPERAZIONE “PUTTER
PANDA”
CYBER ESPIONAGE MULTIPLE
Il gruppo di hacker governativi denominato “Putter Panda”, appartenente alla famigerata “Unit 61486” del PLA (in attività almeno dal 2007), è stato accusato dagli Stati Uniti di gravi attività di cyber-espionage verso ambienti militari, governativi e contractor della difesa. In conseguenza di un’indagine condotta nel 2014, il governo USA ha formalmente accusato 5 alti ufficiali cinesi di spionaggio industriale, richiedendone (invano) l’arresto e sollevando le sdegnate proteste cinesi.
107
VITTIMA ATTACCANTE TECNICHE USATE
ANTHEM CYBER CRIME APT, CUSTOM MALWARE
L’attacco a questa primaria compagnia di assicurazione sanitaria, iniziato ad aprile 2014 ma scoperto solo a gennaio 2015, ha provocando il furto di circa 80 milioni di record contenenti i dati personali dei clienti e degli impiegati (CEO compreso) compresi nomi, date di nascita, indirizzi email, dati sul reddito e altro ancora. La stima dei danni è ancora in corso, ma si preannuncia molto pesante sia in termini di immagine che di risarcimenti agli utenti.
VITTIMA ATTACCANTE TECNICHE USATE KOREA HIDRO &
NUCLEAR POWER
HACKTIVIST SCONOSCIUTE
Un hacker solitario ha potuto penetrare la parte business della rete dell’operatore nazionale per l’energia della Corea del Sud, sottraendo e diffondendo una grande quantità di dati tecnici sugli impianti, in particolare su tre reattori nucleari, dei quali l’attaccante ha richiesto la chiusura. L’azienda energetica ha ribadito che i sistemi di controllo dei reattori non sono stati compromessi.
VITTIMA ATTACCANTE TECNICHE USATE
GERMANIA CYBER CRIME MULTIPLE
La Germania ha confermato il suo più grande furto di dati nella storia del paese con i nomi utente e le password di circa 18 milioni di account email rubati e compromessi dagli hacker. Secondo gli Investigatori, alcuni dei conti vengono utilizzati per inviare messaggi di posta elettronica spam e alcune combinazioni di email e password vengono utilizzate per i portali di shopping online, inoltre questa massa di informazioni personali rubate potrebbe anche essere utilizzata per ottenere i dettagli finanziari dell'account degli utenti69.
108
VITTIMA ATTACCANTE TECNICHE USATE SISTEMI SCADA DI OLTRE
1000 AZIENDE DEL SETTORE ENERGY
CYBER ESPIONAGE MALWARE HAVEX
La campagna di cyber-espionage (denominata “Dragonfly” dai suoi scopritori), che ha colpito globalmente i sistemi SCADA di oltre 1 .000 aziende del settore Energy (Italia inclusa), tramite il malware Havex.
VITTIMA ATTACCANTE TECNICHE USATE
ASHLEY MADISON IMPACT TEAM SQL INJECTION/
VULNERABILITIES
Un gruppo sconosciuto di hackers denominato “Impact Team” è riuscito a compromettere da remoto il database dei 37 milioni di utenti di Ashley Madison, servizio web di incontri per adulti espressamente dedicato alle avventure extraconiugali, minacciando la sua casa madre (Avid Life Media) di pubblicarlo qualora il sito non fosse stato messo offline. L’azienda ha rifiutato, pertanto l’intero database è stato reso pubblico, causando un notevole scandalo ed importanti disagi per milioni di persone. Il gruppo ha proseguito pubblicando anche numerose email interne e documenti riservati di Avid Life Media, alcuni dei quali particolarmente scottanti, causando tra l’altro le dimissioni dell’amministratore delegato Noel Biderman. Alcuni utenti del servizio si sono suicidati per la vergogna (per esempio il pastore John Gibson), in molti altri casi sono intervenute cause di separazione, e sono state attivate diverse class-action per il risarcimento dei danni, che si preannunciano miliardari.
VITTIMA ATTACCANTE TECNICHE USATE OLTRE 100 ISTITUTI BANCARI CYBER CRIME ORGANIZZATO PHISHING/CUSTOM MALWARE
La più grande cyber-rapina del 2015, e probabilmente di tutti i tempi, è stata compiuta ai danni di oltre 100 istituti bancari appartenenti a più di 30 paesi del
109
mondo, Italia inclusa con un danno stimato di almeno 1 miliardo di dollari. Fin dalla fine del 2013 i cyber criminali responsabili dell’operazione “Carbanak” (così denominata da alcuni investigatori, in altre varianti detta “Anunak”) hanno infiltrato con tecniche di Phishing diverse organizzazioni finanziarie, infettandole con malware realizzato ad-hoc. Grazie a questo malware i criminali hanno studiato attentamente le procedure ed i flussi interni delle banche colpite, riuscendo a sottrarre ingenti quantità di denaro tramite operazioni apparentemente lecite ed autorizzate. Pur essendo stata scoperta nel 2015, l’operazione “Carbanak” risulta essere ancora in corso, questa volta mirata oltre alle banche anche a società finanziarie, di trading online, catene alberghiere e casinò.
VITTIMA ATTACCANTE TECNICHE USATE
HACKING TEAM IGNOTO SCONOSCIUTE
L’azienda italiana Hacking Team, specializzata nella produzione di software dedicato all’infiltrazione di device digitali (PC e mobile) con finalità investigative e di intelligence, è stata colpita da ignoti, che hanno copiato e pubblicato online una impressionante quantità di informazioni sensibili (oltre 400 Gigabyte). In questo modo sono state rese pubbliche milioni di email, codici sorgenti, segreti industriali (inclusi alcuni exploit “zero-day”, che sono stati prontamente riciclati da organizzazioni cyber criminali) e informazioni riservate