Gli esperti di cybersecurity australiani lanciano l'allarme su un sofisticato malware che non solo infetta i dispositivi Cisco, ma è anche in grado di accorgersi quando viene rimosso e di reinstallarsi automaticamente. La Signals Directorate australiana ha rivelato venerdì scorso l'esistenza di BADCANDY, un impianto dannoso che sfrutta una vulnerabilità critica nei sistemi IOS XE di Cisco. La particolarità inquietante di questo attacco è che un semplice riavvio del dispositivo, pur eliminando temporaneamente il malware, potrebbe allertare gli attaccanti della necessità di intensificare le loro operazioni offensive.
La vulnerabilità che continua a mietere vittime
Il metodo d'attacco si basa sullo sfruttamento della CVE-2023-20198, una falla di sicurezza del 2018 valutata con il punteggio massimo di 10.0 sulla scala CVSS. Questa vulnerabilità permette ai criminali informatici di compromettere l'interfaccia web del software IOS XE di Cisco e assumere il controllo completo del sistema. La stessa debolezza è particolarmente apprezzata dal noto gruppo Salt Typhoon, organizzazione criminale già nota alle autorità per le sue campagne aggressive.
Secondo l'avviso della ASD, gli attaccanti hanno sviluppato capacità di monitoraggio tali da rilevare quando l'impianto BADCANDY viene eliminato, procedendo immediatamente a una nuova compromissione. L'agenzia sottolinea che il riavvio non annulla le azioni aggiuntive intraprese dagli attaccanti né risolve la vulnerabilità iniziale che ha permesso l'accesso al sistema.
Un ex dirigente della difesa tradisce per denaro e lusso
Nel frattempo, emerge uno scandalo che getta ombre inquietanti sulla sicurezza nazionale americana. Peter Williams, cittadino australiano e ex direttore generale della divisione cyber di L3Harris, si è dichiarato colpevole di aver venduto strumenti di cyber-spionaggio segreti a un'azienda russa collegata al Cremlino. L'uomo, che operava a Washington come responsabile della sussidiaria Trenchant, ha ammesso due capi d'accusa per furto di segreti commerciali.
Il Dipartimento di Giustizia ha rivelato che Williams ha ceduto alla Russia almeno otto "componenti sensibili di exploit cyber" destinati esclusivamente al governo statunitense e ad alcuni alleati selezionati. La sfrontatezza del dirigente è emersa dai contratti scritti stipulati con il suo complice russo, che prevedevano pagamenti fino a 4 milioni di dollari in criptovalute per i segreti rubati, oltre a supporto continuativo per l'utilizzo degli exploit trafugati.
I documenti giudiziari mostrano che Williams ha ricevuto circa 1,3 milioni di dollari, utilizzati per acquistare orologi costosi, borse di lusso, gioielli, abiti firmati e una casa a Washington. Tutti questi beni sono stati sequestrati e restituiti al governo americano. Il procuratore federale ha chiesto una condanna di 11 anni e tre mesi, pur riconoscendo la collaborazione dell'imputato dopo l'arresto, nonostante questi avesse continuato a vendere segreti alla Russia anche durante le indagini interne della sua stessa azienda.
Attacco alla catena di fornitura: nel mirino la piattaforma Omnissa
Palo Alto Networks ha identificato una nuova minaccia informatica particolarmente pericolosa, probabilmente opera di uno stato-nazione, che ha colpito la suite di gestione endpoint Workspace ONE di Omnissa, l'azienda precedentemente nota come VMware. Il malware, denominato Airstalk in riferimento al vecchio nome del software (AirWatch API per MDM), crea canali di comando e controllo all'interno del sistema per estrarre dati sensibili dagli utenti.
I ricercatori hanno scoperto che gli attaccanti utilizzano l'API per sottrarre cookie, cronologie di navigazione e preferiti da Chrome, oltre a catturare screenshot in tempo reale dei dispositivi infetti. Sono state individuate varianti del malware sia in Powershell che in .NET, entrambe capaci di eludere i sistemi di rilevamento, sebbene la versione .NET risulti più sofisticata. Al momento della pubblicazione dell'avviso, Omnissa non aveva ancora rilasciato patch di sicurezza specifiche per questa vulnerabilità.
Google stringe le maglie sulla sicurezza web
Con l'adozione di HTTPS stabilizzata intorno al 95 percento, Google ha deciso di rafforzare ulteriormente la sicurezza del browser più utilizzato al mondo. A partire da ottobre del prossimo anno, con Chrome 154, l'impostazione "Always Use Secure Connections" sarà attiva per impostazione predefinita. Questo significa che ogni volta che un utente tenterà di visitare un sito HTTP non sicuro, anche per un breve passaggio tra connessioni protette, il browser emetterà un avviso chiedendo conferma per procedere.
L'azienda di Mountain View riconosce che questa modifica introdurrà qualche attrito nell'esperienza di navigazione, ma ritiene che il compromesso valga la sicurezza degli utenti. Google ha sottolineato che molte connessioni HTTP oggi sono invisibili agli utenti, poiché i siti HTTP spesso reindirizzano immediatamente alle versioni HTTPS. Naturalmente, trattandosi di un'impostazione predefinita, gli utenti potranno disattivarla se preferiscono navigare senza questa protezione aggiuntiva.
Campagne di phishing sempre più creative
LastPass ha dovuto mettere in guardia i propri utenti da una campagna di phishing particolarmente macabra: email fraudolente che chiedono di confermare di essere ancora vivi. I messaggi ingannevoli affermano che un membro della famiglia avrebbe presentato un certificato di morte per accedere all'account dell'utente, invitando a fornire "prova di vita" attraverso un login che in realtà conduce a un dominio di phishing anziché al sito legittimo di LastPass.
Secondo l'azienda, il gruppo criminale dietro questa campagna mira specificamente alle credenziali di account di criptovalute memorizzate nei vault degli utenti. Non è la prima volta che lo stesso gruppo prende di mira i clienti del gestore di password. Sebbene il sito di phishing iniziale sia stato rimosso, LastPass avverte che questo raramente basta a fermare una campagna criminale, raccomandando agli utenti la massima vigilanza.
WhatsApp introduce l'autenticazione biometrica per i backup
Meta ha introdotto una nuova funzionalità di sicurezza per WhatsApp che permette di proteggere i backup crittografati con passkey biometriche. Invece di dover memorizzare password complesse o chiavi di crittografia a 64 cifre, gli utenti potranno ora utilizzare l'impronta digitale, il riconoscimento facciale o il codice di blocco dello schermo per proteggere i propri backup nel cloud.
L'implementazione della funzione avverrà gradualmente nelle prossime settimane e mesi. Per attivare questa opzione, sarà sufficiente accedere alle Impostazioni di WhatsApp, selezionare Chat, quindi Backup chat e infine Backup crittografato end-to-end, seguendo le istruzioni visualizzate sullo schermo. Questa innovazione risponde alla crescente necessità di proteggere comunicazioni sensibili che sempre più persone affidano all'applicazione di messaggistica criptata di Meta.