La scorsa settimana l’FBI ha diramato un avviso (Private Industry Notification) riguardante il rischio di attacchi attribuiti a un gruppo ritenuto vicino al governo dell’Iran che stanno prendendo di mira realtà statunitensi nel settore privato e in quello pubblico. La banda è stata identificata con i nomi in codice Fox Kitten e Parasite (sì, proprio come il capolavoro di Bong Joon-ho).
L’avviso di FBI: i dispositivi a rischio
Le operazioni rilevate hanno cercato di far leva su vulnerabilità note riscontrate nei dispositivi di rete. Una volta messa a segno la violazione si passa all’apertura di una backdoor attraverso la quale poi controllare, consultare e manipolare i dispositivi connessi così come i dati contenuti o elaborati.
Già nei mesi scorsi i ricercatori di ClearSky e Dragos avevano parlato di attacchi perpetrati dal gruppo fin dall’estate 2019 prendendo di mira alcune falle: Pulse Secure Connect VPN (CVE-2019-11510), Fortinet VPN server con FortiOS (CVE-2018-13379), Palo Alto Networks Global Protect VPN server (CVE-2019-1579) e Citrix ADC server e Citrix gateway (CVE-2019-19781). A queste, secondo il documento FBI, si aggiunge quella CVE-2020-5902 scoperta solo poche settimane fa e che interessa BIG-IP, un apparecchio di networking piuttosto popolare commercializzato da F5 Networks.
Non si esclude l’ipotesi che una volta effettuato l’accesso ai sistemi, i membri di Fox Kitten/Parasite ne cedano il controllo ad altre entità dello stesso tipo, magari dietro lauto compenso. A questo si aggiunge il rischio ransomware. Due realtà americane sembrerebbero già essere vittime confermate, i loro nomi non sono stati resi noti.