Hacker cinesi violano il Tesoro degli Stati Uniti in un sofisticato attacco informatico

Gli hacker sponsorizzati dallo stato cinese hanno infiltrato il Dipartimento del Tesoro degli Stati Uniti all'inizio di questo mese, accedendo a diverse postazioni di lavoro dei dipendenti e documenti non classificati. La violazione ha sfruttato una vulnerabilità in BeyondTrust, un fornitore di sicurezza informatica di terze parti, che ha permesso agli aggressori di bypassare parti del sistema. Il Dipartimento del Tesoro ha confermato che il servizio compromesso è stato disattivato e non ci sono prove di accessi continui. Tuttavia, questo attacco coincide con una violazione separata, denominata "Salt Typhoon," che ha preso di mira tre delle principali compagnie di telecomunicazioni statunitensi, dove gli hacker hanno avuto accesso a chiamate e messaggi di legislatori. Dopo l’avviso di BeyondTrust, il Tesoro ha coinvolto la Cybersecurity and Infrastructure Security Agency (CISA), l'FBI e esperti forensi per valutare l'impatto. È previsto un rapporto completo entro 30 giorni. BeyondTrust ha riconosciuto la compromissione di una chiave digitale che ha coinvolto un numero limitato di clienti, mentre l’ambasciata cinese a Washington ha negato il coinvolgimento, accusando gli Stati Uniti di accuse infondate. Il Tesoro ha ribadito il proprio impegno a proteggere i sistemi finanziari.

Hacker filo-russi prendono di mira i siti web delle città francesi in ritorsione per il sostegno all'Ucraina

I siti web di diverse città francesi, tra cui Marsiglia e Tarbes, sono stati messi offline martedì a seguito di attacchi informatici da parte del gruppo di hacker filo-russi NoName. Il collettivo ha rivendicato gli attacchi sulla piattaforma social X, definendoli una ritorsione per il sostegno della Francia all'Ucraina. Alle 16:00 GMT, i siti colpiti includevano anche il dipartimento dell’Alta Garonna, sebbene altre località prese di mira, come Nantes, Bordeaux e Nizza, rimanessero operative. Il municipio di Marsiglia ha confermato gli attacchi, dichiarando che sono state attivate misure protettive, rendendo temporaneamente inaccessibili i siti. NoName, noto per il suo uso di attacchi Distributed Denial of Service (DDoS), ha saturato i server con traffico eccessivo per disabilitare l'accesso. Questi attacchi generalmente non comportano il furto di dati ma mirano a diffondere propaganda e creare un'impressione di insicurezza digitale, secondo Benoit Grunemwald, esperto di sicurezza informatica di ESET. Le autorità francesi hanno minimizzato l'impatto, con alcune città che hanno riportato l'assenza di disagi.

Attacco informatico interrompe i sistemi IT di Thomas Cook India

L’infrastruttura IT di Thomas Cook India ha subito un attacco informatico, costringendo l'azienda a spegnere i sistemi interessati, come rivelato in un documento di borsa martedì. L'azienda ha immediatamente avviato indagini e sta collaborando con i principali esperti di sicurezza informatica per valutare l'entità della violazione e attuare misure correttive. Il documento affermava: "Abbiamo adottato i passi necessari per indagare e rispondere all'incidente, inclusa la disattivazione dei sistemi compromessi." Secondo il Regolamento III della Sebi (Obblighi di quotazione e requisiti di divulgazione), 2015, le società quotate devono divulgare attacchi informatici significativi che influenzano operazioni, finanze o reputazione entro 24 ore. La divulgazione di Thomas Cook India riflette la conformità a questi regolamenti per garantire trasparenza e proteggere la fiducia degli investitori. L'azienda continua a concentrarsi sugli sforzi di contenimento assicurando i suoi sistemi IT e coinvolgendo le parti interessate. Gli esperti di sicurezza informatica sottolineano l'importanza di azioni rapide per minimizzare i rischi operativi e reputazionali in tali incidenti.

Cisco conferma dati trapelati dalla violazione di DevHub; nessuna compromissione del sistema

Cisco ha confermato l'autenticità dei dati trapelati dall'hacker "IntelBroker," provenienti da un incidente di sicurezza precedentemente divulgato che ha coinvolto il suo DevHub accessibile al pubblico. Il DevHub serviva come centro risorse per i clienti, offrendo codice sorgente, script e altri materiali. IntelBroker ha annunciato il 14 ottobre di aver avuto accesso ai sistemi Cisco, rubando codice sorgente, certificati, credenziali e altre informazioni sensibili. Tuttavia, l’indagine di Cisco ha rivelato che i sistemi non sono stati violati; i dati sono stati estratti dall'ambiente DevHub. Sebbene molti dati fossero già pubblici, Cisco ha riconosciuto che alcuni file non dovevano essere accessibili. L'hacker ha inizialmente affermato di aver rubato 4,5 TB di dati, ma finora ha trapelato circa 7 GB, inclusi codice sorgente, script e file di configurazione. Cisco mantiene che le perdite si allineano al set di dati noto di ottobre e non forniscono accesso ai suoi ambienti di produzione o aziendali. L’azienda continua a monitorare la situazione.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.