Lockheed Martin: qualche aggiornamento sulle analisi dei rischi cyber

(A volte ritornano…)

Qualche mese fa ci siamo soffermati ad analizzare i rischi cyber relativi all’F-35, e questo ha incluso un’analisi della rete (ovviamente di ciò che è pubblicaente visibile) della casa produttrice, la società Lockheed Martin, leader nel settore degli armamenti, dei voli spaziali, dei veicoli e degli equipaggiamenti militari. (vedi articolo: http://www.difesaonline.it/evidenza/cyber/f-35-analisi-sui-rischi-cyber-del-caccia-di-quinta-generazione )

L’articolo di oggi prende vita in realtà da un’esigenza che dovrebbe essere primaria per chiunque voglia affrontare le sfide quotidiane relative alla sicurezza informatica, ovvero le modifiche nel “campo di battaglia” e delle minacce in gioco.

Per capire meglio il “mutamento” dello scenario, è buona norma per chi difende analizzare periodicamente i propri asset, in quanto chi attacca cerca sempre di scoprire nuovi punti deboli della struttura.

Lasciar passare troppo tempo significa aumentare sensibilmente il rischio.

In questo articolo vedremo proprio questo cambiamento e potremo analizzare da vicino come per lo stesso dominio la situazione sia radicalmente diversa.

Come sempre, il primo step da eseguire è il cosiddetto “information gathering”, ovvero la raccolta di informazioni che ci servono per eseguire l’analisi vera e propria.

In questo caso, verifichiamo se per il Dominio “lockheedmartin.com” siano presenti indicatori validi di compromissione.

Per semplificarci il lavoro, possiamo utilizzare le API di VirusTotal (Application Programming Interface – una serie di funzioni richiamabili per eseguire una serie di operazioni anche con linguaggi di programmazione diversi e programmi di terze parti), per verificare se un determinato file (o dominio, nel nostro caso...) debba essere approfondito.

Come si può evincere, non sono presenti file che possono considerarsi sospetti, quindi possiamo effettuare una nuova ricerca tramite la piattaforma “ThreatCrowd” per cercare altri elementi correlabili al Dominio e ai propri sotto-Domini:

Fonte: ThreatCrowd

Possiamo quindi visualizzare i dati dalla piattaforma in formato tabellare:

Fonte: ThreatCrowd

Tra le informazioni forniteci, la piattaforma restituisce l’email “lm-nic@lmco.com”. A questo punto possiamo ri-analizzare il dominio “lmco.com” e osservare quindi la differenza con la precedente analisi. Stavolta eseguiremo questa ricerca con le API di VirusTotal per poterci semplificare il tutto:

Possiamo osservare da subito che la situazione è cambiata dalla precedente analisi, ovvero non sono presenti gli stessi hash dell’analisi precedente.

In un’analisi reale, dovremmo analizzare tutti gli hash trovati, per avere effettivamente una buona visione di insieme.

In questo caso prenderemo come riferimento due hash in particolare, il primo:

1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0

ed il secondo hash:

907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80

Per studiare la natura del primo hash, possiamo affidarci sempre alla piattaforma “VirusTotal” che grazie all’analisi del comportamento del malware, ci può fornire un ottimo approfondimento sui Domini, gli IP contattati e le varie modifiche al registro di sistema e file system che possono aiutarci a capire se un sistema sia compromesso o meno.

Si può osservare il comportamento del primo malware semplicemente cliccando questo link:

https://www.virustotal.com/gui/file/1864a5be0f8b61624beb73ed764cd1391a36bd6d065b5b51b5b937cfd6f155c0/behavior/Dr.Web%20vxCube

Come si può osservare, abbiamo l’analisi comportamentale.

Cliccando sul pulsante “Full Report” in alto a destra, è possibile visualizzare il report della sandbox.

La sandbox permette di eseguire il malware in uno spazio isolato e sicuro, ed analizzarne le azioni per prendere poi le dovute azioni, come il blocco degli IP o dei domini malevoli.

NOTA BENE:

Eseguire questo tipo di operazione è potenzialmente dannoso, in quanto si va letteralmente ad eseguire un malware su una propria macchina.

Eseguire questo tipo di analisi SOLO E SOLTANTO SE SI E’ PERFETTAMENTE CONSCI DEI RISCHI E PERFETTAMENTE IN GRADO DI FARLO IN TOTALE SICUREZZA!

Fonte: DrWeb vxCube

Analizzando invece il secondo malware, è possibile notare qualcosa di diverso:

Link all’analisi comportamentale:

https://www.virustotal.com/gui/file/907abf802a51324d5733870d9b60f39e4ff0cd4741ce359529d3c2d18daadd80/behavior/SecondWrite

Dall’analisi del comportamento è possibile notare che il malware, oltre a provare a contattare il Dominio della Provincia di Milano, ha un comportamento del singolare, comprensibile dall'analisi degli IP contattati.

Questa sotto riportata è la lista parziale degli IP contattati:

Fonte: VirusTotal

E' possibile notare che gli IP contattati dal malware seguono un “pattern” particolare.

Il pattern interessante è il “10.152.152.x”

Questo pattern coincide con la rete di una diffusa soluzione di anonimizzazione, ovvero Whonix.

Whonix è una macchina virtuale, il cui Gateway reindirizza in modo automatico e “trasparente” (ovvero non c’è bisogno di interazione o conoscenza dell’operazione da parte dell’utente) tutta la connessione sul network Tor (la più diffusa soluzione di anonimizzazione sul web).

Come riportato sulla pagina ufficiale del progetto (consultabile al link: https://www.whonix.org/wiki/Other_Operating_Systems ) per poter reindirizzare tutto il traffico di un client su Tor, tramite il Gateway di Whonix è sufficiente impostare i seguenti parametri:

## increment last octet of IP address on additional workstations

IP address 10.152.152.50

Subnet netmask 255.255.192.0

Default gateway 10.152.152.10

Preferred DNS server 10.152.152.10

E’ interessante notare come il malware cerchi di contattare questo tipo di rete.

Da ciò possiamo dire che o si tratta di una fortuita coincidenza, oppure ci troviamo di fronte ad un possibile caso di data leak.

Ovviamente, sia il CERT Nazionale che lo US-CERT sono stati avvisati immediatamente.

Ricordo che tutta l’analisi è basata su dati pubblicamente accessibili e consultabili da chiunque.

Come fatto nel precedente articolo dobbiamo avvisare che dal momento che non si ha visione della rete interna, la situazione riscontrata potrebbe essere frutto di sistemi Antivirus, IPS, Honeypot, Sandbox o altri sistemi difensivi.

Come dimostrato, la situazione tra due analisi può cambiare radicalmente, consiglio pertanto una scansione regolare della propria rete e dei propri sistemi.

Il consiglio è sempre lo stesso: non dobbiamo vedere la sicurezza come un “prodotto”, bensì come un processo.

Lo studio e relativa analisi degli asset ci aiuta a tenere sotto controllo le minacce, le quali sono mutevoli nel tempo ed evolvono con le nostre difese.

E’ fondamentale tenere traccia dei cambiamenti e delle evoluzioni delle minacce per non farsi trovare impreparati.

Alessandro Fiori

Northrop Grumman Calls for Expressions of Interest from Australian Industry for AIR6500

Company seeking Australian partners via Industry Capability Network (ICN) Gateway

18 november 2019

CANBERRA, Australia – Nov. 19, 2019 – Northrop Grumman Corporation (NYSE: NOC) is seeking expressions of interest from Australian industry to join them in their efforts to support the Royal Australian Air Force (RAAF) with Project AIR6500. Under AIR6500, the RAAF will develop a 5th generation multi-domain joint battle management system (JBMS) to enable coordination of air battle management, joint weapons employment, and ground-based air defence in operational theatres.

“Northrop Grumman aims to lead industry support to the RAAF as it fields a survivable, scalable and modern, next-generation JBMS under AIR6500. We’re committed to a sovereign capability that’s designed and developed through close collaboration with other Australian industry members,” said Chris Deeble, chief executive, Northrop Grumman Australia. “We recognize that a program of this size, scope and complexity will demand the most innovative, best-of-breed capabilities and a prime systems integrator partnering with Australian industry who can deliver world class capabilities to the Australian Defence Force.”

Northrop Grumman is engaging with a range of industry members, including small businesses, with the goal of creating an Australian AIR6500 solution that brings the best capability for the best value. The ICN Gateway Portal will serve as the primary vehicle for potential suppliers to register expressions of interest and share information about their competencies and skills. 

Northrop Grumman delivers agile, modular open systems network architectures and complex, system-of-systems integration that enable joint and coalition interoperability. Our approach increases situational awareness, facilitates rapid and cost effective technology insertion and modernization, and reduces cost per engagement to deliver affordable solutions and accommodate changing environments.

Northrop Grumman is a leading global security company providing innovative systems, products and solutions in autonomous systems, cyber, C4ISR, space, strike, and logistics and modernization to customers worldwide. Please visit news.northropgrumman.com and follow us on Twitter, @NGCNews, for more information.

Press Release

https://news.northropgrumman.com/news/releases/northrop-grumman-calls-for-expressions-of-interest-from-australian-industry-for-air6500

La Brigata dei "guerrieri ombra"

É di qualche giorno fa la notizia circa la costituzione del 127^th Cyber Battalion della Army National Guard dello Stato dell'Indiana. La nuova unità, basata a circa 75 miglia da Indianapolis, è il quinto battaglione di questa tipologia costituito negli ultimissimi anni, unitamente al 123^rd e al 124^th, entrambi basati in Virginia e al 125^th e 126^th, rispettivamente ubicati in Columbia e South Carolina. Tali reparti hanno in comune lo stesso comando sovraordinato, ossia la 91^st Cyber Brigade, costituita nel febbraio 2017 in Virginia, dopo appena sette mesi dall'avvio del relativo progetto. Traendo spunto dalla citata notizia, vediamo di seguito in cosa consiste proprio la Brigata cyber dei "guerrieri ombra" (dal relativo motto "umbra bellatores"), ovvero come è articolata e che capacità è in grado di esprimere.

Innanzitutto va detto che le capacità cyber della 91^st Cyber Brigade, unità della National Guard, si inquadrano in un contesto molto più ampio, composto dalle capacità delle Forze Armate formate da militari professionisti full time, che fanno capo ai Cyber Command di Esercito, Aeronautica, Marina e Corpo dei Marines, riuniti sotto lo U.S. Cyber Command. Esistono poi anche le capacità espresse dalle numerose Agenzie federali di intelligence e di law enforcement (NSA, CIA, FBI, ecc.). In generale, ciò che distingue le unità cyber della Guardia Nazionale, oltre allo status di cittadini-soldati "part time" dei suoi componenti, è l'orientamento delle capacità espresse: se le unità cyber delle Forze Armate sono orientate a compiere tutto lo spettro delle operazioni nel cyberspace, la Brigata dei guerrieri ombra, pur essendo anche lei in grado di esprimere l’intera gamma capacità cyber, ha il compito primario di pianificare e condurre operazioni prevalentemente difensive sul territorio nazionale, mediante le unità dipendenti dai Battaglioni come il citato 127^th.

Ognuno dei cinque Battaglioni sin qui costituiti è capace di operare sulle reti e sui sistemi informatici militari, su quelli del Ministero della Difesa o su quelli appartenenti a qualsiasi altra struttura statale o privata ed è formato da quattro unità subordinate, ossia: una Compagnia di cyber security, una Compagnia di cyber warfare e due Cyber Protection Team (CPT), per un totale di circa cento, tra uomini e donne della Army National Guard. Nello specifico, le Compagnie di cyber security conducono attività di vulnerability assessment (ricerca dei “punti deboli” - errori di programmazione o di configurazione - di reti e sistemi informatici), analisi forensi a seguito di eventi o incidenti di sicurezza (analisi volte a individuare le caratteristiche degli attacchi informatici, quali: tecniche utilizzate, origine, presumibile scopo, ecc.) valutazioni della sicurezza e supporto agli operatori di infrastrutture critiche (impianti di produzione di energia elettrica, gestori di reti idriche, ospedali, ecc.) e, infine, consulenza nel campo della cyber security in generale. Le Compagnie di questo tipo, attraverso il rispettivo Comandante, esercitano l’autorità necessaria per l’assolvimento delle missioni assegnate nei confronti dei dipendenti team di cyber security, di supporto alla cyber security o di supporto alle infrastrutture critiche, nel quadro di operazioni difensive nello spazio cibernetico. Le Compagnie di cyber warfare, invece, sono in grado di ricoprire o di supportare il ruolo di opposing force (i “cattivi”) nell’ambito di esercitazioni cyber, di condurre tutto il ventaglio di attività militari nel cyberspace, ivi comprese quelle di ISR (Intelligence, Surveillance and Reconnaissance). Tali unità sono in grado di enucleare team di network warfare, di cyber analisi e di cyber support, esercitando su di essi la direzione e l'indirizzo per la condotta di tutte le tipologie di cyber operations (quindi anche di quelle offensive). Infine, i CPT hanno il compito di condurre operazioni cyber difensive su reti militari, che possono comprendere anche la fornitura di servizi e di consulenza in conformità al quadro normativo federale e dei rispettivi Stati di appartenenza, quali validazioni/ispezioni ai Comandi militari, vulnerability assessment, opposing forces, critical infrastructure assessment, supporto per attività di theater security cooperation e supporto per addestramento e advisory and assistance. È interessante notare che i CPT hanno il compito di intervenire entro quattro ore dall'attivazione da parte del Comando superiore, in caso di una crisi cibernetica. Inoltre, i CPT dei Battaglioni già operativi, come ad esempio il 169^th CPT basato a Baltimora, sono impiegati stabilmente in operazioni e partecipano attivamente anche a tutte le principali esercitazioni cyber.

Tornando alla notizia di apertura, in una recente intervista il Brig. Gen. Lyles dell'Indiana National Guard ha illustrato gli ulteriori passi da compiere affinché il 127^th Cyber Battalion diventi pienamente operativo e ha sottolineato alcuni aspetti interessanti del progetto. In particolare, l'alto Ufficiale ha evidenziato che l'organico del Battaglione sarà completato nei prossimi due anni sia convertendo ai nuovi incarichi cyber personale già arruolato nella National Guard sia arruolando "nuovi talenti" direttamente dal mondo civile. Nel contempo l'unità riceverà il necessario addestramento e sarà equipaggiata con materiali peculiari, al fine di raggiungere gli standard operativi previsti. Il Generale Lyles ha anche posto l'attenzione su come la scelta della sede in cui è stato costituito il Battaglione non sia stata casuale, bensì ben ponderata. È stato scelto lo Stato dell'Indiana in quanto si tratta di un ambiente particolarmente "fertile" per la cyber: sul suo territorio sono presenti molte professionalità sia militari che civili, nonché Università e centri di ricerca operanti nello specifico settore. In buona sostanza, questo ambiente favorevole, non solo ha consentito di formare la nuova unità con una relativa facilità ma consentirà alla stessa di implementare le sue capacità altrettanto rapidamente, generando un circolo virtuoso tra il mondo militare e quello civile, accademico e industriale.

Al riguardo, giova evidenziare che quanto si sta realizzando nella National Guard potrebbe costituire un valido riferimento a cui le nostre Forze Armate potrebbero ispirarsi, con le dovute proporzioni, allo scopo di dotarsi rapidamente di capacità cyber, assumendo un ruolo di primo piano nel rafforzamento del Paese in tale settore. D'altronde qualcosa di analogo è già stato posto in essere in Francia, Nazione molto più vicina alla nostra realtà, in cui ai militari professionisti delle unità cyber delle Forze Armate, molto simili per struttura e compiti ai Cyber Battalion statunitensi, si aggiungono riservisti "a contratto determinato" e riservisti che prestano servizio a titolo gratuito. In particolare, gli elementi che potrebbero essere presi a modello sono: l'orientamento prevalentemente difensivo delle unità cyber, comunque in grado di condurre ogni tipo di operazione, che operano a supporto delle attività militari e, qualora richiesto, anche nei confronti di reti e sistemi appartenenti ad altre Amministrazioni dello Stato e/o agli operatori di infrastrutture critiche; la fisionomia e il concetto di impiego dei CPT; il ricorso a professionalità già esistenti sul territorio, ancorché non a carattere continuativo. Tutto ciò, applicato nel nostro Paese, consentirebbe di creare un "bacino" di esperti militari del settore, di professione o meno, sempre aggiornati e prontamente impiegabili sia in Patria che nei Teatri Operativi. Inoltre, tale potenziale della Difesa potrebbe essere messo immediatamente a disposizione dell'intera Nazione in un'ottica realmente dual use che, date le caratteristiche trasversali del cyberspace, connota naturalmente tanto le minacce quanto le capacità cyber volte a contrastarle. In definitiva, si tratterebbe di una risorsa molto preziosa per il nostro Paese, che non necessariamente entrerebbe in gioco soltanto in caso di crisi cibernetica ma che, al contrario, potrebbe funzionare da catalizzatore affinché la Nazione cresca rapidamente nel settore della cyber security, sempre più cruciale per l'economia, la società e la sicurezza.

Ciro Metaggiata

Fonti:

https://nationalcybersecurity.com/infosec-midwest-to-get-first-cyber-battalion/

https://www.army.mil/article-amp/228807/army_guard_announces_stationing_of_new_cyber_battalion

https://www.arcyber.army.mil/

https://www.army.mil/article/229547/169th_cyber_protection_team_is_capable_and_ready

https://www.army.mil/article-amp/194646/91st_cyber_brigade_activated_as_army_national_guards_first_cyber_brigade

https://www.insideindianabusiness.com/story/41255709/adjutant-general-talent-crucial-for-cyber-battalion

https://www.defense.gouv.fr/portail/enjeux2/la-cyberdefense/la-cyberdefense/presentation

https://warontherocks.com/2019/04/a-close-look-at-frances-new-military-cyber-strategy/

SICUREZZA 2019: AI e APT con DIFESAONLINE

Dal 13 al 15 novembre a Milano-Rho, fiera della SICUREZZA, ci vediamo alla "Cyber Arena", area espositiva, formativa ed informativa totalmente dedicata alla Cyber Security.

Obiettivo? Aiutare aziende ed organizzazioni a capire quali sono i rischi che dobbiamo affrontare nel mondo digitale iperconnesso di oggi.

Un grazie a chi ha contribuito alla realizzazione della Cyber Arena, Business International-Fiera Milano Media, Associazione Italiana Professionisti Security Aziendale (AIPSA) e Associazione Nazionale dei Risk Manager e Responsabili Assicurazioni Aziendali (ANRA).  

Noi saremo presenti con due interventi il pomeriggio del primo giorno, nella Cyber Arena del padiglione 5.

Alle 15.15 Antonio Vecchio ci parla di Intelligenza Artificiale e sviluppo umano (purtroppo Carlo Mauceli non potrà essere con noi. Buon lavoro Carlo!) e di come la AI possa essere vista come una opportunità oltre che come una sfida. 

Alle 16.00 Alessandro Rugolo ci parla di Advanced Persistent Threath e degli ipotizzabili scenari futuri. Dalla guerra classica alla guerra cibernetica, all'impiego della dimensione cyber per influenzare il mondo che ci circonda, colpire obiettivi fisici, raccogliere dati e informazioni ed anche in questo caso come si aprano delle ottime opportunità nel campo delle nuove imprese e una particolare attenzione alla normativa nazionale e internazionale del settore.

Antonio e Alessandro non saranno soli, presenti infatti diversi amici e collaboratori di Difesa Online che animeranno gli interventi completandoli con spunti e punti di vista differenti.

L'informazione, nel campo Cyber come ovunque, è l'elemento vincente sotto tutti i punti di vista.

Per tutti i tre giorni Difesa Online sarà presente alla Fiera della Sicurezza con uno stand per incontrare i nostri lettori, spiegare il progetto che ci guida e, perché no, trovare sponsor che ci aiutino ad andare sempre più avanti!

La Redazione di Difesa Online

https://sicurezza.businessinternational.it/

http://www.sicurezza.it/it/content/convegni

http://www.difesaonline.it/