Twitter, che è in procinto di essere acquisito dal CEO di Tesla Elon Musk, ha accettato di pagare 150 milioni di dollari alla Federal Trade Commission (FTC) degli Stati Uniti per risolvere le accuse di abuso di informazioni non pubbliche raccolte a fini di sicurezza per pubblicare annunci mirati.

Oltre alla sanzione pecuniaria per “aver travisato le proprie pratiche di privacy e sicurezza”, alla società è stato vietato di trarre profitto dai dati raccolti in modo ingannevole e gli è stato ordinato di informare tutti gli utenti interessati.

“Twitter ha ottenuto dati dagli utenti con il pretesto di sfruttarli a fini di sicurezza, ma poi ha finito per utilizzare i dati anche per indirizzare gli utenti con annunci pubblicitari“, ha affermato in una nota la presidente dell’FTC Lina M. Khan. “Questa pratica ha colpito più di 140 milioni di utenti di Twitter, aumentando al contempo la principale fonte di entrate di Twitter“.

Secondo una denuncia presentata dal Dipartimento di Giustizia degli Stati Uniti, Twitter nel maggio 2013 ha iniziato a imporre agli utenti l’obbligo di fornire un numero di telefono o un indirizzo e-mail per migliorare la sicurezza dell’account.

L’intenzione era apparentemente quella di aiutare gli utenti a recuperare l’accesso ai loro account bloccati e abilitare l’autenticazione a due fattori inviando una password monouso al numero di telefono o all’indirizzo e-mail registrato dopo aver effettuato l’accesso con un nome utente e una password.

Ma ciò che Twitter non è riuscito a rendere trasparente è che consentiva anche agli inserzionisti di utilizzare queste informazioni per indirizzare annunci specifici abbinandoli a indirizzi e-mail e numeri di telefono già ottenuti da altre terze parti come broker di dati.

La piattaforma di social media ha ribadito che il problema è stato affrontato a partire dal 17 settembre 2019, aggiungendo che lavorerà per effettuare investimenti per quanto riguarda “aggiornamenti operativi e miglioramenti del programma per garantire che i dati personali delle persone rimangano al sicuro e la loro privacy protetta”.

“I consumatori che condividono le loro informazioni private hanno il diritto di sapere se tali informazioni vengono utilizzate per aiutare gli inserzionisti a raggiungere i clienti“, ha affermato il procuratore statunitense Stephanie M. Hinds per il distretto settentrionale della California. “Le società di social media che non sono oneste con i consumatori su come vengono utilizzate le loro informazioni personali saranno ritenute responsabili“.

Questo sviluppo segna la seconda volta che Twitter si è accordato con la Federal Trade Commission statunitense per la protezione dei consumatori. Nel marzo 2011, ha ammesso le accuse di “ingannare i consumatori e mettere a rischio la loro privacy non salvaguardando le loro informazioni personali”, consentendo così agli hacker di ottenere il controllo amministrativo sulla piattaforma due volte nel 2009.

L’edizione 2022 del Data Breach Investigations Report di Verizon analizza un anno senza precedenti nella storia della sicurezza informatica e fa luce su alcune delle principali questioni che interessano il panorama internazionale della cybersecurity.

Particolarmente allarmante è il fatto che gli attacchi ransomware sono notevolmente aumentati con un incremento pari al 13% in un solo anno, una crescita maggiore rispetto agli ultimi 5 anni messi insieme. Mentre i criminali cercano di sfruttare forme sempre più sofisticate di malware, il ransomware continua a rivelarsi particolarmente efficace nello sfruttamento e nella monetizzazione dell’accesso illegale alle informazioni private.

Anche la criminalità organizzata continua a essere una forza pervasiva nel mondo della sicurezza informatica. Circa 4 violazioni su 5 possono essere attribuite al crimine organizzato, e gli attori esterni risultano essere circa 4 volte più propensi a causare violazioni in un’organizzazione rispetto agli attori interni.

Le crescenti tensioni geopolitiche stanno anche portando a una maggiore sofisticatezza, visibilità e consapevolezza sugli attacchi informatici legati agli stati nazionali.

“Negli ultimi anni, la pandemia ha messo in luce una serie di criticità che le aziende sono state costrette ad affrontare in tempo reale. Ma in nessun ambito, la necessità di adattarsi è più importante che nel mondo della sicurezza informatica”, ha affermato Hans Vestberg, CEO e Presidente di Verizon. Mentre continuiamo ad accelerare verso un mondo sempre più digitalizzato, soluzioni tecnologiche efficaci, solide strutture di sicurezza e una maggiore attenzione all’istruzione contribuiranno a garantire che le aziende rimangano al sicuro e che i clienti siano protetti.”

Per molte aziende, l’ultimo anno è stato dominato anche dai problemi della catena di approvvigionamento e questa tendenza si è riflessa anche nel panorama della sicurezza informatica. Il 62% degli incidenti di System Intrusion si è verificato tramite il partner di un’organizzazione. La compromissione del partner giusto è un moltiplicatore di forza per i criminali informatici e mette in evidenza le sfide che molte organizzazioni devono affrontare per proteggere la propria catena di approvvigionamento.

Parlando nel dettaglio dell’elemento umano, le persone rimangono – di gran lunga – l’anello più debole nelle difese della sicurezza informatica di un’organizzazione. Il 25% delle violazioni totali rilevate nel report 2022 è stato il risultato di attacchi di social engineering e, se si aggiungono l’errore umano e l’uso improprio, l’elemento umano rappresenta l’82% delle violazioni analizzate nell’ultimo anno.

Dave Hylender, autore principale del DBIR, commenta: “Giunto alla sua 15ª edizione, il Data Breach Investigations Report di Verizon rimane la massima autorità in termini di valutazione delle numerose minacce alla sicurezza informatica che le organizzazioni continuano a dover affrontare. E mentre il rapporto si è evoluto, i fondamenti della sicurezza rimangono gli stessi. Bisogna valutare la propria esposizione, mitigare il rischio e prendere le misure appropriate. Come spesso accade, partire da basi solide è il fattore più importante per il successo”.

Il DBIR

Il DBIR 2022 – la 15ª edizione del report – ha analizzato 23.896 incidenti di sicurezza, di cui 5.212 sono state violazioni confermate. I dati sono stati raccolti da 87 contributor, sia nazionali che internazionali, che includono forze dell’ordine e studi legali e forensi, centri CERT e ISAC fino ad agenzie governative di diversi paesi.

La versione completa e l’executive summary del Data breach Investigations Report 2022 sono disponibili nella pagina dedicata al DBIR, dov’è possibile trovare la lista completa di tutti i webinar e gli eventi su questo tema.

Il giorno prima dell’invasione dell’Ucraina da parte delle forze russe il 24 febbraio, è stato scoperto che un nuovo wiper scatenato contro un certo numero di entità ucraine. A questo malware è stato assegnato il nome “HermeticWiper” sulla base di un certificato digitale rubato da una società chiamata Hermetica Digital Ltd.

Questo wiper è notevole per la sua capacità di aggirare le funzionalità di sicurezza di Windows e ottenere l’accesso in scrittura a molte strutture di dati di basso livello sul disco. Inoltre, gli aggressori volevano frammentare i file sul disco e sovrascriverli per rendere impossibile il ripristino.

Sono emerse altre ricerche in cui sono stati utilizzati componenti aggiuntivi in ​​​​questa campagna, tra cui un worm e un tipico ransomware per fortuna mal implementato e decrittografabile.

Analisi comportamentale

Innanzitutto, quello che vediamo è un eseguibile Windows a 32 bit con un’icona che ricorda un regalo. Non è uno scherzo cinico degli aggressori, ma solo un’icona standard per un progetto GUI di Visual Studio.

Deve essere eseguito come amministratore per funzionare e non prevede tecniche di bypass dell’UAC. Come scopriremo in seguito, anche il nome del campione incide (leggermente) sulla sua funzionalità; se il nome inizia con “c” (o “C”, poiché viene automaticamente convertito in minuscolo) il sistema si riavvierà anche dopo l’esecuzione.

Una volta eseguito, funziona silenziosamente in background. Per diversi minuti potremmo non notare nulla di sospetto.

Solo se lo osserviamo utilizzando strumenti come Process Explorer, possiamo notare alcune azioni insolite. Chiamate varie a IOCTL, relativi al recupero dei dettagli sui dischi:

In che modo HermeticWiper infetta i computer?

In almeno un caso, HermeticWiper è stato distribuito ai PC Windows di un’intera organizzazione tramite criteri di gruppo di Active Directory, secondo ESET.

Le prove suggeriscono che le organizzazioni infette potrebbero essere state compromesse tramite attacchi addirittura di mesi prima. Il punto di ingresso iniziale utilizzato dagli aggressori contro le organizzazioni era lo sfruttamento di vulnerabilità senza patch sui server pubblici.

Il 15 gennaio 2022, Microsoft ha annunciato l’identificazione di una sofisticata operazione di malware destinata a più organizzazioni in Ucraina. Il malware, noto come WhisperGate, ha due fasi che corrompe il record di avvio principale di un sistema, visualizza una nota ransomware falsa e crittografa i file in base a determinate estensioni di file. Sebbene durante l’attacco venga visualizzato un messaggio di ransomware, Microsoft ha evidenziato che i dati presi di mira vengono distrutti e non sono recuperabili anche se viene pagato un riscatto.

Migliori pratiche per la difesa

Come notato in precedenza, il malware distruttivo può rappresentare una minaccia diretta per le operazioni quotidiane di un’organizzazione, con un impatto sulla disponibilità di risorse e dati critici. Le organizzazioni dovrebbero aumentare la vigilanza e valutare le proprie capacità, comprendendo pianificazione, preparazione, rilevamento e risposta, per un tale evento. 

La CISA e l’FBI esortano tutte le organizzazioni ad attuare le seguenti raccomandazioni per aumentare la propria resilienza informatica contro questa minaccia.

Potenziali vettori di distribuzione

Il malware può utilizzare strumenti di comunicazione diffusi per diffondersi, inclusi worm inviati tramite e-mail e messaggi istantanei, cavalli di Troia rilasciati da siti Web e file infetti da virus scaricati da connessioni peer-to-peer. Il malware cerca di sfruttare le vulnerabilità esistenti sui sistemi per un accesso semplice e silenzioso.

Il malware ha la capacità di colpire un’ampia gamma di sistemi e può essere eseguito su più sistemi in una rete. Di conseguenza, è importante che le organizzazioni valutino il loro ambiente per i canali atipici per la distribuzione e/o la propagazione del malware nei loro sistemi. I sistemi da valutare includono:

• Applicazioni aziendali, in particolare quelle che hanno la capacità di interfacciarsi direttamente con più host ed endpoint e avere un impatto. Esempi comuni includono:
  • Sistemi di gestione delle patch,
  • Sistemi di gestione patrimoniale,
  • Software di teleassistenza (tipicamente utilizzato dall’help desk aziendale),
  • software antivirus (AV),
  • Sistemi assegnati al personale amministrativo di sistema e di rete,
  • Server di backup centralizzati e
  • Condivisioni di file centralizzate.

Sebbene non siano applicabili solo al malware, gli attori delle minacce potrebbero compromettere risorse aggiuntive per influire sulla disponibilità di dati e applicazioni critici. Esempi comuni includono:

• Dispositivi di archiviazione centralizzati
  • Rischio potenziale: accesso diretto a partizioni e data warehouse.
• Dispositivi di rete
  • Rischio potenziale: capacità di inserire false route all’interno della tabella di routing, eliminare route specifiche dalla tabella di routing, rimuovere/modificare attributi di configurazione o distruggere firmware o file binari di sistema, il che potrebbe isolare o ridurre la disponibilità di risorse di rete critiche.

Una violazione dei dati è una violazione della sicurezza, in cui dati sensibili, protetti o riservati vengono copiati, trasmessi, visualizzati, rubati o utilizzati da un individuo non autorizzato a farlo. Altri termini sono divulgazione non intenzionale di informazioni, fuga di dati, fuga di informazioni e fuoriuscita di dati.

Gli incidenti vanno da attacchi concertati da parte di individui che hackerano per guadagno personale o dolo, criminalità organizzata, attivisti politici o governi nazionali, alla sicurezza del sistema mal configurata o allo smaltimento incauto di apparecchiature informatiche usate o supporto di memorizzazione dati. Le informazioni trapelate possono variare da questioni che compromettono la sicurezza nazionale, a informazioni su azioni che un governo o un funzionario considera imbarazzanti e vuole nascondere. Una violazione intenzionale dei dati da parte di una persona a conoscenza delle informazioni, in genere per scopi politici, è più spesso descritta come una “fuga di notizie”.

Le violazioni dei dati possono riguardare informazioni finanziarie come i dettagli della carta di credito e di debito, i dettagli bancari, le informazioni sulla salute personale, le informazioni di identificazione personale, i segreti commerciali di società o la proprietà intellettuale. Le violazioni dei dati possono comportare dati non strutturati sovraesposti e vulnerabili: file, documenti e informazioni sensibili.

Le violazioni dei dati possono essere piuttosto costose per le organizzazioni con costi diretti (rimedio, indagini, ecc.) e costi indiretti (danni alla reputazione, sicurezza informatica per le vittime di dati compromessi, ecc.).

Molti Stati hanno approvato leggi sulla notifica di violazione dei dati, che richiedono a un’azienda che è stata oggetto di una violazione dei dati di informare i clienti e adottare altre misure per rimediare a possibili danni.

Data Breach. Definizione

Una violazione dei dati può includere incidenti come il furto o la perdita di supporti digitali come dischi rigidi o computer portatili con informazioni non crittografate, la pubblicazione di tali informazioni sul Web senza adeguate precauzioni per la sicurezza delle informazioni, il trasferimento di tali informazioni a un sistema che non è completamente aperto ma non è adeguatamente o formalmente accreditato per la sicurezza, come la posta elettronica non crittografata, o il trasferimento di tali informazioni ai sistemi informativi di un’agenzia possibilmente ostile, come una società concorrente o una nazione straniera, dove potrebbe essere esposta a tecniche di decrittazione più intensive.

La norma ISO/IEC 27040 definisce una violazione dei dati come: compromissione della sicurezza che porta alla distruzione, alla perdita, all’alterazione, alla divulgazione non autorizzata o all’accesso accidentale o illegale ai dati protetti trasmessi, archiviati o altrimenti elaborati.

La fiducia in caso di Data Breach

La nozione di ambiente affidabile è alquanto fluida. La partenza di un membro del personale di fiducia con accesso a informazioni sensibili può diventare una violazione dei dati se il membro del personale conserva l’accesso ai dati dopo la cessazione del rapporto di fiducia. Nei sistemi distribuiti, ciò può verificarsi anche con un’interruzione in una rete. La qualità dei dati è un modo per ridurre il rischio di violazione dei dati, in parte perché consente al proprietario dei dati di classificare i dati in base all’importanza e fornire una migliore protezione ai dati più importanti.

La maggior parte di tali incidenti pubblicizzati dai media riguarda informazioni private su individui, ad esempio numeri di previdenza sociale. La perdita di informazioni aziendali come segreti commerciali, informazioni aziendali sensibili e dettagli di contratti o informazioni governative non è spesso segnalata, poiché non vi è alcun motivo valido per farlo in assenza di potenziali danni ai cittadini privati ​​e la pubblicità su tale evento può essere più dannoso della perdita dei dati stessi.

Data Breach. Minacce interne e esterne

Coloro che lavorano all’interno di un’organizzazione sono una causa significativa di violazioni dei dati. Le stime delle violazioni causate da errori accidentali del “fattore umano” sono circa il 20% dal rapporto sulle indagini sulla violazione dei dati 2021 di Verizon. La categoria delle minacce esterne include hacker, organizzazioni di criminali informatici e attori sponsorizzati dallo stato. Le associazioni professionali per i gestori di risorse IT lavorano in modo aggressivo con i professionisti IT per istruirli sulle migliori pratiche di riduzione del rischio per le minacce interne ed esterne alle risorse IT, al software e alle informazioni. Sebbene la prevenzione della sicurezza possa deviare un’alta percentuale di tentativi, alla fine un aggressore motivato troverà probabilmente un modo per entrare in una determinata rete. Una delle prime 10 citazioni John Chambers, ex Ceo di Cisco afferma: “Esistono due tipi di società: quelle che sono state violate e quelle che non sanno di essere state violate“. L’agente speciale dell’FBI per le operazioni speciali informatiche Leo Taddeo ha avvertito alla televisione di Bloomberg: “L’idea che tu possa proteggere il tuo perimetro sta cadendo nel dimenticatoio e il rilevamento ora è fondamentale“.

Violazione dei dati medici

Alcune celebrità si sono ritrovate vittime di violazioni dell’accesso alle cartelle cliniche, anche sia su base individuale, che parte di una violazione molto più ampia. Data la serie di violazioni dei dati medici e la mancanza di fiducia dell’opinione pubblica, alcuni paesi hanno emanato leggi che richiedono l’adozione di misure di salvaguardia per proteggere la sicurezza e la riservatezza delle informazioni mediche in quanto condivise elettronicamente e per conferire ai pazienti alcuni importanti diritti per monitorare le proprie cartelle cliniche e ricevere notifiche per la perdita e l’acquisizione non autorizzata di informazioni sanitarie. Gli Stati Uniti e l’UE hanno imposto notifiche obbligatorie di violazione dei dati medici. Le violazioni denunciate di informazioni mediche sono sempre più comuni negli Stati Uniti.

Nel settore sanitario, a più di 25 milioni di persone è stata rubata l’assistenza sanitaria, con il furto di identità di oltre 6 milioni di persone e il costo vivo delle vittime è vicino a 56 miliardi di euro. Le cause che portano a ciascuna violazione, ad esempio attacco interno, frode con carta di pagamento, dispositivo portatile smarrito o rubato, malware e invio di un’e-mail alla persona sbagliata (DISC). Ciò dimostra che molti degli errori comuni che portano a una violazione dei dati sono gli esseri umani che commettono errori consentendo agli hacker di sfruttarli ed eseguire un attacco.

Data Breach più famosi

• Boeing, dicembre, dati rubati a 382.000 dipendenti, è il 2006
• La perdita dei dati dello stato dell’Ohio e del Connecticut nel 2007 da parte di Accenture
• Horizon Blue Cross e Blue Shield del New Jersey, gennaio, persi i dati di 300.000 membri
• Nell’aprile 2011, Sony ha subito una violazione dei dati all’interno del proprio PlayStation Network. Si stima che le informazioni di 77 milioni di utenti siano state compromesse.
• Nell’agosto 2014, quasi 200 fotografie di celebrità sono state rubate dagli account iCloud di Apple e pubblicate sul sito Web della scheda immagini 4chan.
• Scandalo sui dati di Facebook e Cambridge Analytica a marzo. 2018
• Quora ha segnalato una violazione dei dati che ha colpito i dati dei suoi 100 milioni di utenti. 2018
• 2019 a maggio sono stati esposti i dati personali di circa 139 milioni di utenti del servizio di progettazione grafica Canva , inclusi nomi reali degli utenti, nomi utente, indirizzi e informazioni geografiche e hash delle password
• Violazione dei dati di Microsoft Exchange Server 2021

I ricercatori di sicurezza informatica ucraini hanno dichiarato di avere prove di tentativi di attacchi da parte di un’operazione di hacking legata alla Russia che prendeva di mira un’entità ucraina nel luglio 2021.

Symantec, di proprietà di Broadcom, in un nuovo rapporto ha attribuito gli attacchi a un attore rintracciato come Gamaredon (alias Shuckworm o Armageddon), un collettivo di cyber-spionaggio noto per essere attivo almeno dal 2013.

Nel novembre 2021, le agenzie di intelligence ucraine hanno bollato il gruppo come un “progetto speciale” del Servizio di sicurezza federale (FSB) russo, oltre a puntare il dito contro di esso per aver effettuato oltre 5.000 attacchi informatici contro autorità pubbliche e infrastrutture critiche situate nel paese.

Gli attacchi Gamaredon in genere hanno origine con e-mail di phishing che inducono i destinatari a installare un trojan di accesso remoto personalizzato chiamato Pterodo. Symantec ha rivelato che, tra il 14 luglio 2021 e il 18 agosto 2021, sono stati installate diverse varianti della backdoor e ha distribuito script e strumenti aggiuntivi.

“La catena di attacco è iniziata con un documento infetto, probabilmente inviato tramite un’e-mail di phishing, che è stato aperto dall’utente della macchina poi compromessa”, hanno affermato i ricercatori. L’identità dell’organizzazione interessata non è stata rivelata.

Verso la fine di luglio, sono stati sfruttati l’impianto per scaricare ed eseguire un file eseguibile per un client VNC prima di stabilire connessioni con un server di controllo remoto per l’attacker.

“Questo client VNC sembra essere il software definitivo per questo attacco”, hanno osservato i ricercatori, aggiungendo che l’installazione è stata seguita dall’accesso a una serie di documenti che vanno dalle descrizioni dei lavori alle informazioni aziendali sensibili sulla macchina compromessa.

I risultati arrivano durante un’ondata di attacchi dirompenti e distruttivi commessi contro entità ucraine da presunti attori considerati vicini allo stato russo, con conseguente dispiegamento di un dispositivo di pulizia dei file soprannominato WhisperGate, più o meno nello stesso periodo in cui più siti Web appartenenti al governo sono stati attaccati.

Negli ultimi anni, gli attacchi zero-click si sono sempre più fatti strada e molte notizie hanno nominato questo tipo di attacco informatico. Come si può capire dal nome, gli attacchi zero-click non richiedono alcuna azione da parte della vittima, il che significa che anche gli utenti più esperti possono cadere vittima di seri attacchi informatici e strumenti spyware.

Gli attacchi zero clic sono in genere altamente mirati e utilizzano tattiche sofisticate. Possono avere conseguenze devastanti senza che la vittima sappia che qualcosa non va in background. I termini “attacchi zero-click” e “exploit zero-click” sono spesso usati come sinonimi. A volte sono anche chiamati attacchi senza interazione o completamente remoti.

Che cos’è il malware zero-click?

Normalmente il software di spionaggio si basa sul convincere la persona presa di mira a fare click su un link o un file compromesso per installare sul telefono, tablet o computer un software dannoso. Tuttavia, con un attacco senza clic, il software può essere installato su un dispositivo senza che la vittima faccia click su alcun collegamento. Di conseguenza, il malware zero-click o il malware no-click è molto più pericoloso.

La ridotta interazione e l’assoluta impossibilità di difendersi con le proprie mani, negli attacchi zero-click significa meno tracce di qualsiasi attività dannosa. Questo, oltre al fatto che le vulnerabilità che i criminali informatici possono sfruttare per attacchi zero-click sono piuttosto rare, le rende particolarmente apprezzate dagli aggressori.

Anche gli attacchi di base zero-click lasciano poche tracce, il che significa che rilevarli è estremamente difficile. Inoltre, le stesse funzionalità che rendono il software più sicuro possono spesso rendere più difficili da rilevare gli attacchi zero-click. Gli hack zero-click sono in circolazione da anni e il problema è diventato più diffuso con il boom dell’uso di smartphone che memorizzano una grande quantità di dati personali. Siccome le persone e le aziende diventano sempre più dipendenti dai dispositivi mobili, la necessità di rimanere informati sulle vulnerabilità zero-click non è mai stata così importante.

Come funziona un attacco zero-click?

In genere, l’infezione remota del dispositivo mobile di un bersaglio richiede una qualche forma di ingegneria sociale, con l’utente che fa clic su un collegamento dannoso o installa un’app dannosa per fornire all’attaccante un punto di ingresso. Questo non è il caso degli attacchi zero-click, che aggirano del tutto la necessità dell’ingegneria sociale.

Un hack zero-click sfrutta i difetti del dispositivo, sfruttando una debolezza nella verifica dei dati per farsi strada nel sistema. La maggior parte dei software utilizza processi di verifica dei dati per tenere a bada le violazioni informatiche. Tuttavia, esistono vulnerabilità zero-day persistenti che non sono state ancora corrette, presentando obiettivi potenzialmente redditizi per i criminali informatici. Gli hacker più avanzati possono sfruttare queste vulnerabilità zero-day per eseguire attacchi informatici, che possono essere implementati senza alcuna azione da parte dell’utente.

Spesso, gli attacchi zero-click prendono di mira le app che forniscono messaggistica o chiamate vocali perché questi servizi sono progettati per ricevere e interpretare dati da fonti non attendibili. Gli aggressori generalmente utilizzano dati appositamente formati, come un messaggio di testo nascosto o un file immagine, per iniettare codice che compromette il dispositivo.

Esempio di attacco zero-click:

• I criminali informatici identificano una vulnerabilità in un’app di posta o di messaggistica.
• Sfruttano la vulnerabilità inviando un messaggio accuratamente predisposto al bersaglio.
• La vulnerabilità consente ad attori malintenzionati di infettare il dispositivo da remoto tramite e-mail che consumano molta memoria.
• L’e-mail, il messaggio o la chiamata dell’hacker non rimarranno necessariamente sul dispositivo.
• Come risultato dell’attacco, i criminali informatici possono leggere, modificare, divulgare o eliminare messaggi.

L’hacking può essere una serie di pacchetti di rete, richieste di autenticazione, messaggi di testo, MMS, messaggi vocali, sessioni di videoconferenza, telefonate o messaggi inviati tramite Skype, Telegram, WhatsApp, ecc. Tutti questi possono sfruttare una vulnerabilità nel codice di un’applicazione incaricata del trattamento dei dati.

Il fatto che le app di messaggistica consentano di identificare le persone con i loro numeri di telefono, che sono facilmente individuabili, significa che possono essere un obiettivo ovvio sia per le entità politiche che per le operazioni di hacking commerciale.

Le specifiche di ogni attacco zero-click variano a seconda della vulnerabilità sfruttata. Una caratteristica chiave degli hack zero-click è la loro capacità di non lasciare tracce, rendendoli molto difficili da rilevare. Ciò significa che non è facile identificare chi li sta utilizzando e per quale scopo. Tuttavia, è stato riferito che le agenzie di intelligence di tutto il mondo li utilizzano per intercettare i messaggi e monitorare la posizione di sospetti criminali e terroristi.

Esempi di malware zero-click

Una vulnerabilità zero-click può interessare vari dispositivi, da Apple ad Android. Esempi di alto profilo di exploit zero-click includono:

Apple zero-click, Forced Entry, 2021:

Nel 2021, un attivista per i diritti umani del Bahrein ha visto il proprio iPhone violato da un potente spyware venduto ad organizzazioni governative. L’hack, scoperto dai ricercatori del Citizen Lab, aveva superato le protezioni di sicurezza messe in atto da Apple per resistere a compromissioni di sistema.

Citizen Lab ha sede presso l’Università di Toronto. Hanno analizzato l’iPhone 12 Pro dell’attivista e hanno scoperto che era stato violato tramite un attacco zero-click. L’attacco zero-click ha sfruttato una vulnerabilità di sicurezza precedentemente sconosciuta in iMessage di Apple, che è stata sfruttata per inviare lo spyware Pegasus, sviluppato dalla società israeliana ONG Group, al telefono dell’attivista.

Questa intromissione fu al centro di moltissimi articoli tecnici, principalmente perché ha sfruttato l’ultimo software per iPhone dell’epoca, sia iOS 14.4 che il successivo iOS 14.6, che Apple ha rilasciato a maggio 2021. L’hack ha superato una funzionalità del software di sicurezza integrata in tutte le versioni di iOS 14, chiamata BlastDoor, che aveva lo scopo di prevenire questo tipo di hack del dispositivo filtrando i dati dannosi inviati tramite iMessage. A causa della sua capacità di superare BlastDoor, questo exploit è stato soprannominato ForcedEntry. In risposta, Apple ha aggiornato le sue difese di sicurezza con iOS 15.

WhatsApp breach, 2019

Questa famigerata violazione è stata innescata da una chiamata persa, che ha sfruttato un difetto nel framework del codice sorgente di WhatsApp. Un exploit zero-day, ovvero una vulnerabilità informatica precedentemente sconosciuta e senza patch, ha consentito all’attaccante di caricare spyware nei dati scambiati tra i due dispositivi a causa della chiamata persa. Una volta caricato, lo spyware si è attivato come risorsa in background, all’interno del framework software del dispositivo.

Jeff Bezos, 2018

Nel 2018, il principe ereditario Mohammed bin Salman dell’Arabia Saudita avrebbe inviato al CEO di Amazon Jeff Bezos un messaggio WhatsApp con un video che promuoveva il mercato delle telecomunicazioni dell’Arabia Saudita. È stato riferito che c’era un pezzo di codice all’interno del file video che ha consentito al mittente di estrarre informazioni dall’iPhone di Bezos per diversi mesi. Ciò ha comportato l’acquisizione di messaggi di testo, messaggi istantanei ed e-mail e forse anche registrazioni intercettate effettuate con i microfoni del telefono.

Come proteggersi dagli exploit zero-click

Poiché gli attacchi zero-click si basano sull’assenza di interazione da parte della vittima, ne consegue che non c’è molto che tu possa fare per proteggerti. Anche se questo è un pensiero scoraggiante, è importante ricordare che, in generale, questi attacchi tendono a essere mirati a vittime specifiche per scopi di spionaggio.

Riepiloghiamo le regole base di una buona condotta di sicurezza informatica

• Mantieni aggiornati il ​​tuo sistema operativo, firmware e app su tutti i tuoi dispositivi
• Scarica app solo dagli store ufficiali
• Elimina tutte le app che non usi più
• Evita di eseguire il “jailbreak” o il “rooting” del telefono poiché ciò rimuove la protezione fornita da Apple e Google
• Usa la protezione con password del tuo dispositivo
• Usa l’autenticazione avanzata per accedere agli account, in particolare alle reti critiche
• Usa password complesse, ovvero password lunghe e univoche
• Esegui un backup regolare. I sistemi possono essere ripristinati in caso di ransomware e avere un backup corrente di tutti i dati velocizza il processo di ripristino
• Abilita i blocchi popup o impedisci la visualizzazione dei popup regolando le impostazioni del browser. I truffatori utilizzano regolarmente i popup per diffondere malware