L’Agenzia per la Cybersecurity e la Sicurezza delle Infrastrutture degli Stati Uniti (CISA) avverte che ha osservato criminali informatici sfruttare cookie persistenti non crittografati gestiti dal modulo F5 BIG-IP Local Traffic Manager (LTM) per condurre attività di ricognizione su reti target.
La CISA e l’avvertimento sul modulo F5 BIG-IP
Ha dichiarato che il modulo viene utilizzato per enumerare altri dispositivi non esposti su Internet presenti nella rete; ma la CISA non ha rivelato chi sia dietro questa attività né quali siano gli obiettivi finali della campagna.
“Un criminale informatico potrebbe sfruttare le informazioni raccolte dai cookie persistenti non crittografati per dedurre o identificare ulteriori risorse di rete e potenzialmente sfruttare vulnerabilità presenti in altri dispositivi della rete”, ha dichiarato la CISA in un avviso.
LA CISA ha anche raccomandato alle organizzazioni di crittografare i cookie persistenti utilizzati nei dispositivi F5 BIG-IP configurando la crittografia dei cookie all’interno del profilo HTTP ed esorta gli utenti a verificare la protezione dei loro sistemi eseguendo un’utility diagnostica fornita da F5 chiamata BIG-IP iHealth per identificare potenziali problemi.
“Il componente di diagnostica BIG-IP iHealth del sistema BIG-IP iHealth valuta i log, l’output dei comandi e la configurazione del sistema BIG-IP rispetto a un database di problemi noti, errori comuni e migliori pratiche [di sicurezza] pubblicate da F5“, osserva F5 in un documento di supporto, che aggiunge anche: “I risultati prioritari forniscono feedback personalizzati sui problemi di configurazione o difetti nel codice e offrono una descrizione del problema e raccomandazioni per la risoluzione.“
Ma oltre alla CISA si smuovono le agenzie corrispondenti in altri paesi
La divulgazione arriva mentre le agenzie di sicurezza informatica del Regno Unito e degli Stati Uniti hanno pubblicato un bollettino congiunto che dettaglia i tentativi dei criminali informatici mandati dalla Russia che mirano ai settori diplomatico, della difesa, della tecnologia e della finanza per raccogliere informazioni di intelligence estera e abilitare future operazioni informatiche.
L’attività è stata attribuita a un gruppo di criminali informatici che corrisponde al nome di APT29, noto anche come BlueBravo, Cloaked Ursa, Cozy Bear e Midnight Blizzard; si capisce quindi che APT29 sia un elemento chiave della macchina di intelligence militare russa ed è affiliato con il Servizio di Intelligence Estera (SVR).
“Le intrusioni informatiche del SVR includono un forte focus sul rimanere anonimi e non rilevati. Gli autori [del crimine informatico] utilizzano ampiamente TOR durante le intrusioni – dalla targeting iniziale alla raccolta dei dati – e attraverso l’infrastruttura di rete“, hanno affermato CISA e altre agenzie, aggiungendo: “Gli autori affittano infrastrutture operative utilizzando una varietà di identità false e account email a bassa reputazione. Il SVR ottiene infrastrutture da rivenditori di importanti fornitori di hosting.“
Gli attacchi condotti da APT29 sono stati categorizzati come progettati per raccogliere dati e stabilire accesso persistente al fine di facilitare compromissioni della catena di approvvigionamento (cioè, obiettivi di intenti), così come quelli che consentono loro di ospitare infrastrutture malevole o condurre operazioni successive da account compromessi sfruttando vulnerabilità note pubblicamente, credenziali deboli o altre misconfigurazioni (cioè, obiettivi di opportunità).
Alcune delle vulnerabilità di sicurezza significative evidenziate includono CVE-2022-27924, un difetto di injection command in Zimbra Collaboration, e CVE-2023-42793, un bug critico di bypass dell’autenticazione che consente l’esecuzione remota di codice su TeamCity Server.
APT29 è un esempio rilevante di criminali informatici i quali innovano continuamente le loro tattiche, tecniche e procedure nel tentativo di rimanere furtivi e eludere le difese, arrivando persino a distruggere la loro infrastruttura e cancellare qualsiasi prova nel caso sospettino che le loro intrusioni siano state rilevate, sia dalla vittima che dalle forze dell’ordine.
Un’altra tecnica notevole è l’uso estensivo di reti proxy, costituite da fornitori di telefoni cellulari o servizi Internet residenziali, per interagire con le vittime situate in Nord America e mescolarsi con il traffico legittimo.
“Per interrompere questa attività, le organizzazioni dovrebbero stabilire un baseline dei dispositivi autorizzati e applicare un’ulteriore attenzione ai sistemi che accedono alle loro risorse di rete che non rispettano il baseline“, hanno affermato le agenzie.