Rilasciati strumenti di attacco Equation Group per ambienti Microsoft

 

Proto: N060417.

Con la presente Yoroi desidera informarLa che il gruppo hacker conosciuto con il nome di “Shadow Brokers” ha rilasciato al pubblico una nuova serie di strumenti di attacco informatico creati dalla NSA ed utilizzati in campagne di cyber-spionaggio in tutto il mondo. Quest’ultimo rilascio è legato al silenzio a seguito delle richieste di riscatto fatte dal gruppo di cyber-criminali nei confronti dell’agenzia di sicurezza americana, i quali hanno domandato il pagamento di una somma in cambio della cessazione della pubblicazione del materiale classificato. 

Il nuovo rilascio di strumenti di attacco utilizzati dall’Equation Group dell’NSA ha portato alla luce nuovi exploit per vulnerabilità note e 0-day, questa volta principalmente orientati a sistemi e applicativi Microsoft:

  • Exploit per vulnerabilità di servizi core su sistemi Microsoft
    • Exploit per protocollo SMB1  per piattaforme XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2SMB (MS17-010)
    • Exploit per protocollo SMBv2  su  Windows 7 SP1 (MS17-010)
    • Exploit per servizi SMB per Windows XP / Server 2003 (MS10-061)
    • Exploit per servizi RDP Windows Server 2003
    • Exploit per servizi server in Windows Server 2008 and later (MS08-067)
    • Exploit per Kerberos su domain controller 2000, 2003, 2008 e 2008 R2
  • Exploit per servizi e applicativi
    • Exploit per servizio IMAP di IBM Lotus Domino, versioni  da 6.6.4 a 8.5.2
    • Exploit per Outlook Exchange WebAccess in grado di far eseguire codice eseguibile all’interno del client per inviare mail ad altri utente
    • Exploit per installazione backdoor remota su server web IIS 6.0
  • Exploit 0-day
    • Exploit in grado di eseguire codice arbitrario da remoto per Avaya Call Server


Siccome buona parte delle vulnerabilità dei server Microsoft sfruttate dagli strumenti di attacco sono già note alla casa produttrice, si consiglia caldamente di assicurarsi dell’applicazione delle ultime patch di sicurezza disponibili ai sistemi Windows in uso all’interno delle infrastrutture. Oltre agli strumenti per sfruttare vulnerabilità dei sistemi, Shadow Brokers ha rilasciato anche importanti tecnologie per la creazione, gestione e propagazione di sofisticati impianti malware (ODDJOB) in grado di generare agenti da installare su macchine obiettivo e server di comando e controllo. 

Il rilascio al pubblico di questa tipologia di  strumentazione è un rischio per la sicurezza delle organizzazioni nel medio-lungo termine in quanto questi strumenti possono essere utilizzati da attaccanti di varia natura. Un chiaro indicatore della concretezza di questo pericolo si può rilevare dalle analisi delle attività del gruppo APT Callisto, il quale ha introdotto nel suo arsenale di attacco strumenti derivati dalle tecnologie di sorveglianza sviluppate da Hacking Team, compagnia italiana di cyber-security oggetto di una delle più importanti fughe di dati del 2015.

In aggiunta agli strumenti di attacco, i dati resi pubblici da Shadow Brokers includono anche schematici, documentazione e configurazioni che indicano che Equation Group abbia in passato compromesso varie organizzazioni nel settore bancario tra cui EastNets, uno dei principali provider SWIFT in medio oriente, e vari istituti in Kuwait, Qatar, Palestina, Emirati Arabi e Yemen.

A questo proposito Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza estensivamente, mantenere sistemi, signature e sandbox aggiornate, verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti e delle vostre strutture, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index