FireEye Mandiant Threat Intelligence ha documentato più vulnerabilità zero-day sfruttate nel 2019 rispetto a quelle rilevate nei tre anni precedenti. Sebbene non sia possibile attribuire ogni sfruttamento a un gruppo monitorato, FireEye ha verificato che un numero maggiore di attori sembra abbia avuto accesso a queste capacità.
Gabriele Zanoni, Emea Solutions Architect di FireEye
Abbiamo notato un aumento significativo del numero di zero-day sfruttati da gruppi sospettati di essere clienti di società.
Essi forniscono abilità informatiche per effettuare attacchi, nonché un aumento degli zero-day utilizzati contro obiettivi in Medio Oriente e/o da gruppi con legami sospetti con questa area.E’ probabile che in futuro assisteremo a una molteplicità di attori che utilizzeranno gli zero-day, soprattutto perché i venditori privati continueranno ad alimentare la domanda di armi informatiche per realizzare gli attacchi.
A partire dalla fine del 2017, FireEye Mandiant Threat Intelligence ha rilevato un aumento del numero di zero-day sfruttati da gruppi che sono noti o sospettati di essere clienti di aziende private che forniscono strumenti e servizi informatici per effettuare attacchi. Inoltre, l’azienda americana ha osservato un aumento di zero-day utilizzati contro obiettivi in Medio Oriente e/o da gruppi con presunti legami con questa area.
Allarme vulnerabilità Zero-Day: utilizzo per Paese e gruppo
FireEye, durante la sua attività di intelligence, ha anche rilevato esempi di sfruttamento zero-day che non sono stati attribuiti a gruppi tracciati, ma che sembrano essere stati sfruttati tramite strumenti forniti da società private di sicurezza offensiva.
Nel 2019, un sfruttamento “zero-day” su WhatsApp (CVE-2019-3568) è stato presumibilmente utilizzato per distribuire uno spyware sviluppato dal gruppo NSO, una società di software israeliana.
FireEye ha analizzato un’attività diretta ad un’organizzazione sanitaria russa che ha sfruttato una vulnerabilità zero-day di Adobe Flash 2018 (CVE-2018-15982) che potrebbe essere collegata al codice sorgente trapelato di Hacking Team.
Secondo quanto riferito, la vulnerabilità zero-day di Android CVE-2019-2215 è stata sfruttata in modo massiccio nell’ottobre 2019 dagli strumenti del gruppo NSO.
FireEye ha continuato a rilevare lo sfruttamento degli zero-day da parte di gruppi di spionaggio delle maggiori potenze informatiche.
Gabriele Zanoni
Riteniamo che alcuni dei più pericolosi sistemi di intrusione state-sponsored stiano dimostrando sempre più la capacità di sfruttare le vulnerabilità che sono state rese pubbliche. In diversi casi, gruppi legati a questi Paesi sono stati in grado di sfruttare le vulnerabilità e di incorporarle nelle loro operazioni, mirando a sfruttare la transizione tra la divulgazione e l’applicazione di patch.
I gruppi finanziariamente motivati continuano a sfruttare gli zero-day nelle loro operazioni, anche se con meno frequenza rispetto ai gruppi di spionaggio.
Allarme vulnerabilità Zero-Day
FireEye ritiene che l’accesso alle funzionalità zero-day stia diventando sempre più mercificato. Questo, in base alla percentuale di zero-day sfruttati in grande numero da clienti sospetti di aziende private.
È probabile che le aziende private stiano creando e fornendo una quantità di zero-day maggiore rispetto al passato. Ciò determina una concentrazione di abilità zero-day tra gruppi con elevate risorse.
Inoltre, le aziende private potrebbero fornire sempre più capacità offensive a gruppi con abilità complessive inferiori e/o gruppi con minori attenzioni per la sicurezza operativa.
Gabriele Zanoni
È probabile che gli state group continuino a promuovere la scoperta e lo sviluppo degli exploit interni. Tuttavia, la disponibilità di zero-day attraverso società private può offrire un’opzione più interessante rispetto a quella di affidarsi a soluzioni locali o a mercati clandestini.Di conseguenza, ci aspettiamo che il numero di soggetti che dimostrino di avere accesso a questo tipo di vulnerabilità aumenterà quasi certamente. Lo farà a un ritmo più rapido rispetto alla crescita delle loro capacità informatiche offensive globali, a condizione che abbiano la capacità e la volontà di spendere i necessari fondi.