Il recente (3-4 febbraio 2023) cyberattack di livello mondiale ha preso di mira il famoso hypervisor VMware ESXi con il fine, apparentemente, di installare un ransomware (ESXiArgs) su tali sistemi.
“Ufficialmente” sappiamo che l’attacco ha avuto successo su alcuni server ESXi operanti su una versione obsoleta dell’hypervisor di punta di casa WMware, ed in particolare le seguenti versioni:
· ESXi 7.x precedente a ESXi70U1c-17325551
· ESXi 6.7.x precedente a ESXi670-202102401-SG
· ESXi 6.5.x precedente a ESXi650-202102101-SG
Tali versioni appaiono vulnerabili all’esposizione CVE-2021–21974, inoltre sappiamo:
· Il riscatto richiesto dal Ransomware ESXiArgs è di circa 2 bitcoin (BTC).
· L’FBI e CISA stimano che sono stati attaccati circa 3800 server di questo tipo nel mondo[1].
· La piattaforma Shodan afferma che sono stati compromessi quasi 2000 server nel mondo[2].
· I Paesi più colpiti sembrano essere in ordine di rilevanza Francia, USA, Germania e Canada.
· L’Italia, pur se colpita duramente, Shodan posiziona il Bel Paese, fortunatamente, al 17 posto tra i Paesi più colpiti al mondo.
· Ufficialmente Shodan ci rivela che solo 2 server di Telecom Italia sono stati attaccati.
Questo è, molto sinteticamente, lo scenario noto di questo grave cyberattack a livello mondiale.
Nonostante che Shodan non cita nel suo rapporto i server delll’ACEA - l'azienda romana dell'energia elettrica dell'acqua e del gas – comunque l’Azienda Comunale Energia e Ambiente (ACEA) sembra essere stata attaccata molto duramente. Addirittura alcune fonti ci informano che gli alcuni uffici interni della ACEA risultano essere bloccati e si sta pensando a mettere i dipendenti in ferie forzate[3].
Per non parlare del fatto che 2 soli server nella gigantesca farm di Telecom Italia non può creare un disservizio tale da portare la connettività nazionale ad una media del solo 26%, quindi con un calo di banda pari al 74%, come ci ha rivelato, in tempo reale, l’osservatorio indipendente NetBlocks.
Con punte massime di calo della connettività addirittura dell’88%.
Ufficialmente Telecom Italia afferma che “non esistono correlazioni” tra l’incidente di TIM ed il ransomware ESXiArgs. Infatti TIM dichiara di non essere stata vittima del cyberattack mondiale e che quell’impressionante calo di connessione sofferto era solo dovuto ad un malfunzionamento di un “PoP (Point of Presence) internazionale”.
Forzare la gente a credere che “due eventi avversi”, praticamente contemporanei, e di portata mondiale (“ESXiArgs” e il fantomatico “PoP internazionale”), non sono correlati fra loro, è quasi un insulto all’intelligenza “basica”.
Vedremo più avanti che non solo TIM ma anche VMware, il gigante di Palo Alto (California), si trincera dietro un imbarazzante “non ci sono correlazioni ed evidenze”. Ma andiamo avanti.
Allora cosa è accaduto?
Scopo di questo breve articolo non è certamente quello di analizzare in dettaglio tutte le evidenze di un tale poderoso cyberattack, addirittura di livello mondiale. L’obiettivo è solo quello di “consigliare” al lettore che forse è giunto il momento storico di guardare la IT Security con occhi nuovi, diversi, prendendo “necessariamente” in considerazioni conoscenze interdisciplinari del tutto, “apparentemente”, sconnesse dal mondo della ICT (Information Communication Technology).
Un nuovo punto di vista, descritto con dovizia di particolari, nel libro “Livello -3: È Tempo di IT Security Eretica” (versione inglese[4], versione italiana[5]) assolutamente diverso rispetto agli altri libri tecnici in ambito IT Security. Con tutta probabilità il primo libro al mondo nel “dominio della sicurezza informatica” ad essere stato censurato[6].
Abbiamo detto che è giunto il tempo di guardare la IT Security con occhi nuovi, e allora facciamo insieme alcune brevissime riflessioni.
In effetti, a ben guardare con occhi diversi questo massiccio attacco ransomware notiamo “a contorno” non poche anomalie.
Prima fra tutti la fretta dei media, e purtroppo anche di molte riviste “specializzate” del settore informatico, a dichiarare che la colpa di questo cyberattack mondiale era dovuto all’incuria degli amministratori IT nel passare le “patch” di sicurezza.
La triste realtà è invece un'altra: Ancora oggi NON sappiamo veramente cosa è accaduto!
Infatti la CVE-2021–21974 non risponde a tutti i quesiti tecnici che il Ransomware ESXiArgs ha sollevato. Va notato che il CVE-2021-21974 non è ancora ufficialmente confermato come vettore di attacco.
Il CERT francese ha elencato anche il CVE-2020-3992 come un'altra possibilità, che è anche una vulnerabilità di OpenSLP[7].
Gli esperti che stanno lavorando attivamente per comprendere l’accaduto iniziano a pensare che forse siamo di fronte ad un 0-day, anche se WMware si è affrettata a dichiarare che “non ci sono evidenze” in questo senso[8]. Ancora una volta le nostre orecchie ascoltano un “non ci sono correlazioni ed evidenze”. Ed un senso di vuoto ci pervade.
Fortunatamente un amministratore di sistema ha pubblicato un post sul forum di BleepingComputer sull’argomento ESXiArgs scrivendo che alcuni server direttamente sotto il suo controllo, benchè non avevano il servizio OpenSLP attivo, essi sono stati comunque violati dal malware[9].
Questo significa che siamo, probabilmente, davanti ad un 0-day.
È anche interessante notare che in un recente articolo apparso su ANSA, l’azienda italiana Yoroi, mostra “apertamente” la sua preoccupazione sulla crescita esponenziale di virus “zero-day”[10].
Infine sappiamo anche il malware ESXiArgs non solo è probabilmente un 0-day, ma anche della “specie” peggiore visto che sembra “mutante”[11].
È lecito evidenziare che un malware “mutante” significa non solo che ha una logica interna che lo fa cambiare nel tempo, ma è anche possibile che esso sia “ancora” controllato remotamente.
Ciò significa che nella famosa scala della “Intrusion Kill Chain” è ancora “attiva” la fase 6 “Command and Control” (l’attacco potrebbe essere ancora in corso o solamente in stand-by!). Non è mai sbagliato ricordare che la fase di Command and Control può essere sia proveniente dalla rete esterna (Internet) che dalla rete interna (Intranet). Un incubo!
Per molti tecnici questa mia ultima speculazione potrebbe sembrare erronea perché le “frame dati” possono essere facilmente intercettate dal SOC (Security Operation Center). Ma se avete pazienza un attimo vedrete che NON è sempre vero!
Giunti a questo punto è doveroso ricordare che il 2008 è stato il “segreto” 9/11 all’interno di tutte le CPU x86 del mondo[12]. In quella data Intel, e dopo pochi anni anche AMD, hanno entrambi inserito un “nuovo” livello esecutivo privilegiato accessibile solo a “loro” (case produttrici) e noto tra gli esperti del settore come “Livello -3” (noto anche come “Ring -3”).
Descrivere in un semplice articolo come questo, cosa vuol dire VERAMENTE questa tecnologia e le PROFONDISSIME DIETROLOGIE al suo interno celate, è letteralmente impossibile.
Lo studioso interessato a tale tema non può esimersi di leggere un intero libro di quasi 500 pagine come “Livello -3: È Tempo di IT Security Eretica”. Per avere una idea di massima s’invita il lettore a “scaricare” dal link di seguito indicato il file PDF contenente la Prefazione e l’Introduzione del mio libro[13].
Molto brevemente segnalo che in ambito Cloud (SDT-Software-Defined Technology) il “Livello -3” ha il potere di FARE TUTTO ed anche il CONTRARIO DI TUTTO. Infatti è importante dichiarare che all’interno di un contesto SDT “puro” il “Livello -3” è assolutamente e completamente TRASPARENTE e quindi invisibile a qualsiasi “Hypervisor” ed incredibilmente anche a qualsiasi “SOC Nuclear Triad”[14].
In precedenza abbiamo affermato che è giunto il momento storico di guardare la IT Security con occhi nuovi, diversi, prendendo “necessariamente” in considerazioni conoscenze interdisciplinari del tutto, “apparentemente”, sconnesse dal mondo della ICT (Information Communication Technology). Facciamo un esempio.
Nel 2019 il WEF (World Economic Forum) prese parte, con la Fondazione di Bill Gates e altri, a un’esercitazione pandemica chiamata Evento 201, che immaginava un’epidemia diffusa in tutto il pianeta[15]. Poi è accaduto quello che tutti noi sappiamo.
Tra il 17-20 gennaio 2023 (neanche un mese prima dall’attacco mondiale ransomware in oggetto) l’oracolo di nome Klaus Schwab, fondatore e presidente del World Economic Forum (WEF), ha dichiarato che entro i prossimi due anni potrebbe verificarsi un attacco informatico catastrofico di portata mondiale[16].
Visto che abbiamo deciso di guardare con occhi nuovi la IT Security e volendo consapevolmente unire tutti i punti di questo “strano” attacco ransomware ora ci troviamo davanti ad un bivio.
Scegliere di girarci dall’altra parte (Matrix), così come abbiamo fatto nel lontano 2001 (9/11).
Oppure prendere in “seria” considerazione nuove soluzioni architetturali e tecnologiche per creare un Mondo Migliore (anche grazie alla IT Security Eretica).
Il video sotto riportato (registrato il 6 febbraio 2023), grazie alla collaborazione dell’attivissima OndaRadio, è una mia breve analisi “a caldo” sull’attacco ransomware mondiale in esame. Temo di aver compreso, da subito, quello che c’era da capire.
Buona visione.
Note
__________________ [1]https://www.securityweek.com/esxiargs-ransomware-hits-over-3800-servers-as-hackers-continue-improving-malware/ [2] https://www.shodan.io/search?query=title%3A%22how+to+restore+your+files%22 [3] https://www.redhotcyber.com/post/attacco-informatico-allacea-sito-ed-app-fuori-servizio-e-programmi-di-gestione-soc-attivo-h24/ [4] Livello -3 (Versione Inglese): https://www.lulu.com/it/shop/valter-cartella/level-3/paperback/product-jg4m97.html?q=Level+-3&page=1&pageSize=4 [5] Livello -3 (Versione Italiana): https://www.amazon.it/dp/B0B75GJTWV?ref_=pe_3052080_397514860 [6] Denuncia Censura “Livello -3” by Amazon KDP: https://youtu.be/LuNcw7qT2jA [7] https://www.recordedfuture.com/esxiargs-ransomware-targets-vmware-esxi-openslp-servers [8]https://www.securityweek.com/vmware-says-no-evidence-of-zero-day-exploitation-in-esxiargs-ransomware-attacks/ [9] https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-31#entry5473353 [10] https://www.ansa.it/sito/notizie/tecnologia/hitech/2023/02/09/cybersicurezza-crescono-virus-zero-day-mai-intercettati_2ecc84e7-f83c-4a1e-ab33-64d523a8dc03.html [11] https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/ [12] https://youtu.be/4l5pXNkgn3g [13] https://www.level-3.net/preview-italian [14] 1) SIEM (Security Information and Event Management); 2) Network Forensics Tools (NFT) or Network Traffic Analysis (NTA); 3) Endpoint Detection and Response (EDR, noto anche come ETDR) [15] https://www.centerforhealthsecurity.org/our-work/exercises/event201/ [16] https://www.wallstreetitalia.com/attacchi-informatici-per-schwab-dobbiamo-immunizzare-internet-per-fermarli/