Le tensioni tra Stati Uniti e Iran nello Stretto di Hormuz si sono calmate ma in “rete” sembra che gli iraniani continuino la loro attività contro obiettivi americani negli Stati Uniti e altrove.
Mercoledì mattina, il Cyber Command degli Stati Uniti ha twittato di aver scoperto “l’uso dannoso attivo” di un bug noto in Microsoft Outlook, “CVE-2017-11774.” USCYBERCOM ha scoperto il CVE-2017-11774 e ha raccomandato il #patching immediato.
Il malware è attualmente distribuito da: ‘‘hxxps://customermgmt.net/page/macrocosm’ #cybersecurity #infosec
Nel loro tweet, il Cyber Command non rivela chi sta usando il bug per lanciare attacchi. Ma la società di sicurezza informatica FireEye ha riferito che una serie di hacker iraniani è impegnata a sfruttare questa vulnerabilità.
“L’utilizzo del bug CVE-2017-11774 continua a causare confusione per molti professionisti della sicurezza“, ha scritto la società in un comunicato inviato ai giornalisti mercoledì. “Se Outlook lancia qualcosa di malevolo, un presupposto comune è che l’utente interessato sia stato sottoposto a phishing, il che non è ciò che sta accadendo qui. L’organizzazione di sicurezza informatica può perdere tempo prezioso nel cercare il problema senza concentrarsi sulla causa principale”.
In un post di dicembre scorso, FireEye riferisce dell’attività di un gruppo di hacker denominato APT33, verosimilmente attivato “dal governo iraniano”. In un aggiornamento di giugno la società ha dichiarato di aver scoperto essere molto attivi gli stessi personaggi. APT33 hanno avviato una nuova campagna contro gli Usa e in particolare contro agenzie governative federali, settori finanziari, media e istruzione.
Questo aggiornamento coincide con un avviso del 22 giugno della Cybersecurity and Infrastructure Security Agency, o CISA, che ha lanciato un “warning” su un “recente aumento dell’attività criminale informatica diretta alle industrie e alle agenzie governative degli Stati Uniti da parte di attori delegati del regime iraniano”.
I nuovi attacchi sono altamente distruttivi, definiti attacchi a “tergicristallo” e che i responsabili stanno “cercando di fare molto di più che rubare dati e denaro. Le tattiche utilizzate sono comuni come spear phishing, irrorazione di password e riempimento di credenziali. L’inganno è che pensi di perdere i soli dati del tuo account, invece rischi di perdere l’intera rete del server”.
Nel corso del Summit One Tech della scorsa settimana, Ed Wilson, vice assistente segretario alla difesa per la politica cibernetica, ha descritto la recente escalation dell’attività criminale offensiva iraniana come una “escalation orizzontale” che indica un aumento del volume di attività, piuttosto che un cambiamento improvviso nei tipi di tattiche utilizzate. “Penso che molte volte pensiamo che l’escalation sia di natura verticale”, ha affermato.
La dichiarazione fa seguito a un commento del CHOD Usa, Gen. Joe Dunford a maggio scorso , che, parimenti, ha parlato di aumento dell’attività iraniana.
Il The New York Times, riferisce che gli Stati Uniti, in risposta, hanno intensificato le operazioni informatiche contro i gruppi di intelligence iraniani coinvolti nella pianificazione dell’attacco a varie petroliere straniere.