About these ads

Archive

Posts Tagged ‘Social Engineering’

October 2012 Cyber Attacks Timeline

November 2, 2012 Leave a comment

Click here for the first part covering the Cyber Attacks from 1 to 15 October 2012.

Here is the timeline for the main Cyber Attacks in October 2012. A month that has been characterized by hacktivism and also by several remarkable cyber crime operations.

For sure the next days will be hard for taxpayers of South Carolina, whose Department of Revenue has been targeted by foreign hackers able to access records of 3.6 million of individuals. But hard days are going to come also for banks: not only the trail of DDoS attack against U.S. Banks has continued even in the second half of the month (although different groups took credit for them), but also, on the cyber crime front, Citigroup has lost 1 million of bucks because of a loophole exploited by a ring of 13 individuals. Different motivations, same lesson: bank security needs a dramatic improvement.

Moving to hactkivism, nothing new under the sun. The pale sun of October has enlightened several operations targeting governments (Greece and Italy above all, to reflect the delicate situation of these two countries) and organization all over the world…

As usual after the jump you will find all the references.

If you want to have an idea of how fragile our data are inside the cyberspace, have a look at the timelines of the main Cyber Attacks in 2011 and 2012 and the related statistics (regularly updated), and follow @paulsparrows on Twitter for the latest updates.

Also, feel free to submit remarkable incidents that in your opinion deserve to be included in the timelines (and charts).

Read more…
About these ads
Categories: Cyber Attacks Timeline, Security Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Violati i Server RSA

Stamattina mi sono svegliato con una di quelle notizie la cui eco rimbomberà per un bel pezzo nell’arena Infosec. Il blog di Sophos riporta difatti che la nota azienda di sicurezza RSA, specializzata in sistemi di autenticazione forte (in pratica da lei inventati) è stata vittima di un attacco informatico che ha portato alla sottrazione di alcune importanti informazioni.

La notizia è stata comunicata da RSA stessa mediante uno stringato comunicato sul proprio sito. Sebbene l’Azienda sia riuscita a rilevare l’attacco e abbia da subito rafforzato le misure di sicurezza, purtroppo non ha potuto impedire la sottrazione di preziose informazioni dai propri server tra cui alcune relative al sistema di autenticazione forte OTP a due fattori, RSA Secure-ID, che da anni costituisce la soluzione ammiraglia della Casa (che di fatto ha inventato l’omonimo algoritmo di crittografia asimmetrica). Chi di noi non ha mai utilizzato almeno una volta il piccolo quadrante con i numerini magici che cambiano ogni 10 secondi?

I dettagli dell’attacco non sono noti: RSA ha dichiarato di essere stata vittima di un extremely sophisticated cyber attack, ma sembra che alla base ci sia comunque un Advanced Persistent Threat, un attacco quindi estremamente sofisticato, portato su molti livelli e, probabilmente, avente l’utente come punto di ingresso (a questo link una ottima definizione della tipologia di attacco).

Come accennato in precedenza, il lato peggiore della vicenda risiede nel fatto che sembra siano state rubate anche alcune informazioni relative alla soluzione di autenticazione a due fattori. Allo stato attuale non ci sono notizie di possibili attacchi ai danni dei clienti (RSA produce la maggioranza dei token OTP presenti sul mercato utilizzati per gli usi più variegati: dalle transazioni bancarie all’accesso remoto di operatori), tuttavia:

this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation as part of a broader attack.

Ovvero i dati sottratti potrebbero essere utilizzati per mitigare l’efficacia dell’attuale sistema di autenticazione a due fattori all’interno di un attacco di più ampio respiro.

RSA fornirà presto ai propri clienti alcune raccomandazioni per rendere più sicura la propria infrastruttura di autenticazione a due fattori, nel frattempo, in collaborazione con la U.S. Securities and Exchange Commission ha pubblicato le seguenti raccomandazioni:

  • Aumentare il livello di sicurezza relativamente alle applicazioni di social media e all’utilizzo delle stesse (e di eventuali altri siti web) a chiunque abbia accesso a porzioni di reti critiche;
  • Utilizzare password complesse, corredate da PIN;
  • Utilizzare la regola del least privilege nell’assegnare ruoli e responsabilità agli amministratori di sicurezza (qualsiasi amministratore deve accedere al livello minimo di informazione indispensabile per effettuare la propria attività);
  • Educare gli utenti all’importanza di evitare mail sospette e ricordare loro di non fornire nomi utente o altre credenziali a nessuno senza averne prima verificato identità e autorità. Non fornire mai credenziali in seguito a richieste effettuate tramite mail o telefono e denunciare subito questi comportamenti;
  • Porre attenzione alla protezione dei repository Active Directory, utilizzando tecnologie SIEM (Security Information & Event Management) e autenticazione a due fattori per l’accesso agli stessi repository;
  • Monitorare attentamente i cambiamenti dei privilegi utente e relativi diritti di accesso utilizzando tecnologie di monitoraggio (ad esempio il già citato SIEM) e considerando l’aggiunta di livelli di approvazione manuale per questi cambiamenti;
  • Effettuare l’hardening, il monitoraggio attivo, e contestualmente limitare l’accesso fisico alle infrastrutture che ospitano informazioni critiche;
  • Esaminare le procedure dell’help desk alla ricerca di eventuali brecce di informazioni che possano implicitamente aiutare un attaccante ad effettuare un attacco di tipo social engineering;
  • Aggiornare sempre tutta l’infrastruttura di sicurezza ed i sistemi operativi con le ultime patch di sicurezza.

Ancora una volta nel corso del 2011 l’equazione APT=furto di informazioni si rivela tristemente vincente ed efficace. Non sono ancora trapelati dettagli sull’attacco ma, dall’analisi delle raccomandazioni fornite, si delineano alcuni tratti comuni: la “compromissione” dell’utente come punto di ingresso per la compromissione dell’infrastruttura. D’altronde se si analizzano le raccomandazioni fornite e le si confrontano con la morfologia dell’attacco Night Dragon, non trovate che siano perfettamente coincidenti con le vulnerabilità umane e tecnologiche sfruttate in quel contesto?

Dalla Cina Con Furore Arriva Il Dragone Della Notte

February 10, 2011 6 comments

Non sto parlando del titolo di un film di Bruce Lee in versione notturna, ma dell’ultimo arrivato nella poco ambita Hall Of Fame dei malware aventi come obiettivo le infrastrutture critiche.

Non si è ancora spenta l’eco del Virus Delle Centrali Nucleari che dalla Terra Dei Mandarini arriva un nuovo malware avente come obiettivo gli impianti di Olio, Gas e Petrolchimici. Secondo McAfee, che ha scoperto e battezzato il malware dagli occhi a mandorla con il nome di Night Dragon (che richiama suggestive e mitologiche immagini d’oriente), da novembre 2009, alcuni impianti di raffinazione in diversi paesi sono stati vittime di numerosi eventi malevoli, caratterizzata da un presunto focolaio cinese, e che hanno coinvolto numerose tecniche: dal social engineering, allo spearphishing, passando, tanto per cambiare, attraverso le immancabili vulnerabilità di Windows, la compromissione di Active Directory ed infine l’utilizzo di strumenti di amministrazione remota. Il tutto con l’obiettivo di raccogliere informazioni classificate appartenenti alla sfera tecnologica (quindi decisive nei confronti della concorrenza) e alla sfera finanziaria (ad esempio finanziamenti di progetti o gara d’appalto). Informazioni comunque contraddistinte dal minimo comune denominatore di appartenenza a tecnologie di produzione di impianti olio, gas e petrolchimico.

 

Dettagli Dell’Attacco

L’attacco del Dragone ha metaforicamente applicato il suo alito di fuoco verso le infrastrutture vittima mediante diversi fattori eterogenei di attacco in grado di penetrare progressivamente l’infrastruttura vittima. Le spire hanno avvolto gli obiettivi mediante:

  1. Compromissione dei web server della Extranet vittima tramite tecniche di attacco di tipo SQL Injection che hanno consentito l’esecuzione remota di comandi;
  2. Nei server compromessi sono stati caricati strumenti di controllo remoto utilizzati per trasformare i server compromessi in ponti di att(r)acco per accedere dall’esterno alla intranet e di conseguenza alle informazioni sensibili ivi contenute  e memorizzate nei desktop e server interni.
  3. Ulteriore accesso nell’intimità della intranet violata è stato ottenuto mediante la presa con la forza bruta (o meglio con la brute force) di ulteriori nome utente e password;
  4. Utilizzando i server Web Compromessi come server di comando e controllo (C&C), gli attaccanti, nella realtà, si sono resi conto che la sola disabilitazione delle impostazioni del proxy dal browser Microsoft Internet Explorer (IE) si è rivelata sufficiente per ottenere una connessione remota diretta alle risorse interne.
  5. Mediante malware di Controllo Remoto innestato (RAT Remote Access Tool), gli attaccanti sono stati in grado di connettersi ad altre macchine arrivando infine ai desktop papaveriali (ovvero le postazioni degli alti dirigenti) in cui hanno provveduto alla ovvia e sistematica razzia di archivi di posta elettronica ed altri documenti sensibili.

Gli attacchi hanno avuto origine all’interno della Grande Muraglia [ci sarebbe voluto un Great (Fire)wall] ed hanno utilizzato alcuni server acquisiti da servizi di hosting degli Stati Uniti per compromettere alcuni server in Olanda, e sferrare da questi ultimi virulenti attacchi contro corporation del settore Oil, Gas e Petrolchemical in Kazakistan, Taiwan, Grecia e Stati Uniti per rubare le informazioni.

E’ interessante notare il fatto che, per distribuire nelle macchine  remoto gli strumenti di controllo remoto (alcuni fatti in casa, altri “standard”), gli attaccanti abbiano utilizzato non solo tecniche di SQL Injection, ma anche ben più ingenue mail di phishing dirette verso le postazioni dei dipendenti, dipendenti che con un semplice click su un link compromesso hanno letteralmente aperto le porte (TCP) al malware che, una volta installato, ha provveduto alla sistematica raccolta di credenziali di dominio utilizzate poi per installarsi su ulteriori vittime e di conseguenza propagarsi ulteriormente nella intranet.

Una volta compromessi i sistemi interni, gli attaccanti hanno ottenuto le account di amministrazione interne e di Active Directory e le hanno utilizzate per aprire le porte sul retro (backdoor) dei sistemi ed impiantare cavalli di troia per bypassare le mura di protezione costituite dalla difesa perimetrale e dalle policy di sicurezza, arrivando, in alcuni casi a disabilitare i moduli anti-virus e anti-spyware a bordo dei desktop.

Tra gli strumenti di controllo remoto più utilizzati per questo attacco, McAfee ha rilavato il cavallo di troia zwShell, di cui gli attaccanti hanno sviluppato dozzine di varianti utilizzate per compromettere ed esportare (dumpare in termine tecnico) il database delle password di Windows (il famigerato SAM). Lo Zio SAM  è stato successivamente crackato con uno strumento standard dalle cupe bibliche reminescenze: Cain & Abel.

Una volta terminata l’operazione di recupero password è iniziata la razzia di file relativi a contratti e progetti (in acluni casi addirittura dati dai sistemi SCADA).

 

Conclusione

Leggendo in sequenza i vari documenti sino ad ora pubblicati, il mio morboso entusiasmo da professionista della sicurezza si è progressivamente smorzato. Speravo Pensavo di essere davanti ad un novello Stuxnet, ed invece mi sono ritrovato di fronte ad un “semplice” Cyber-attacco, pur sempre perpetrato in maniera massiva verso infrastrutture critiche, ma comunque facente uso di una combinazione, per quanto complessa e ben congegnata, di tecniche “tradizionali”.

Sorprende semmai il fatto che una operazione di cosi vasta portata sia stata avviata utilizzando come appiglio iniziale per l’attaccante due tipologie di attacco tutto sommato relativamente conisciute (ma non per questo semplici da contrastare): il classico SQL Injection e l’altrettanto noto phishing. E proprio in questo punto giace il paradosso: il termine Cyberattack evoca chissà quali misure in grande per contrastare minacce planetarie alle infrastrutture critiche e poi si scopre che le nostri fonti di energia possono essere compromesse da una tipologia di attacco (l’iniezione SQL) mitigabile da una normale sana attività fisica (oops di patching!), ed una tipologia di attacco, il phishing, arcinota e che non può essere contrastata pienamente da nessuna contromisura tecnologica, ma soltanto da una educazione responsabile dell’utente per l’uso del mezzo internet. Proprio in questo punto giace la difficoltà: per l’SQL Injection esistono i firewall applicativi e le patch… Per il cervello umano ancora no…

Follow

Get every new post delivered to your Inbox.

Join 2,974 other followers