Passa ai contenuti principali

Scattered Spider, l’FBI lancia l’allarme, obiettivo il settore aereo

Il gruppo di criminali informatici noto come Scattered Spider ha ripreso a colpire, questa volta mirando a compagnie aeree e fornitori di servizi tecnologici collegati al settore dell’aviazione. L’FBI ha emesso un'allerta formale. Il gruppo è già noto per attacchi ad alto impatto nel 2023 contro MGM Resorts e Caesars Entertainment.

I loro attacchi si basano su un’evoluzione sofisticata del social engineering. Fingendosi dipendenti legittimi, i membri del gruppo contattano l’helpdesk IT delle aziende vittime. Puntano a ottenere l’aggiunta di nuovi dispositivi di autenticazione multifattore (MFA) o il reset delle credenziali di accesso. In alcuni casi riescono a convincere gli operatori a disabilitare temporaneamente l’MFA. Tutto questo avviene senza l’utilizzo di malware tradizionale.

La tecnica di base è il cosiddetto "MFA fatigue", ma potenziata da pretexting convincente e spoofing di chiamate. Utilizzano dati precedentemente sottratti da altre intrusioni o acquistati nel dark web per rendere la richiesta plausibile. Possono anche fare "SIM swapping" per intercettare OTP su SMS.

Una volta ottenuto l’accesso iniziale, si muovono lateralmente nella rete con strumenti legittimi, spesso Living-Off-The-Land (LOTL), come PowerShell, PsExec o RDP. Non lasciano quasi tracce evidenti. In alcuni casi, hanno anche registrato le sessioni dei dipendenti per raccogliere credenziali e sessioni attive.

Scattered Spider è composto da individui giovani, probabilmente basati negli Stati Uniti, con una forte competenza tecnica e un’abilità particolare nel manipolare operatori umani. Non sempre usano ransomware: a volte minacciano la pubblicazione dei dati esfiltrati, puntando al doppio guadagno tra estorsione e rivendita.

Le aziende colpite non hanno riportato impatti diretti sulla sicurezza dei voli, ma in più casi i sistemi interni e i flussi operativi sono stati compromessi. L’accesso privilegiato alle infrastrutture IT, anche solo temporaneo, basta per mettere a rischio asset critici.

Questo tipo di minaccia può colpire anche in Europa. Le tecniche sfruttate non richiedono exploit, ma debolezze umane e organizzative. I SOC italiani devono prepararsi a rispondere non solo a IOC statici, ma a comportamenti anomali, escalation silenziose, e manipolazioni fuori dal perimetro tecnico. L'ingegneria sociale, oggi, è l’entrypoint preferito dagli attori più efficaci.
Tag:

Commenti

Posta un commento

Popolari

Le ombre di Teheran nei server USA. Hacker iraniani minacciano ex collaboratori di Trump, caccia all’email perduta

Ho appena letto un report di Reuters – e sì, la notizia è confermata e tombale – che vale un approfondimento. Un collettivo di hacker presumibilmente legato all’Iran, che si fa chiamare “Robert”, ha detto di essere in possesso e pronto a vendere circa 100 GB di email trafugate da ex collaboratori di Donald Trump: Susie Wiles (capo di gabinetto), Lindsey Halligan (avvocata), Roger Stone (consigliere politico) e perfino Stormy Daniels. Il gruppo aveva già fatto trapelare materiale simile a fine 2024, senza però influenzare davvero gli esiti elettorali. Negli scambi con Reuters, “Robert” ha lanciato l’ennesima minaccia: “abbiamo intenzione di organizzare la vendita di queste email e vogliamo che sia Reuters a trasmettere la notizia”, hanno detto . Un tentativo palese di cyber‑propaganda orchestrata a freddo. Le autorità statunitensi – FBI e DOJ – e l’agenzia CISA definiscono il tutto un’“operazione diffamatoria mirata”, un tentativo fatto con cura per destabilizzare, dividere e minare la ...
Posta un commento
Continua a leggere »

Owna le tue cuffie, exploit HFP via Bluetooth vulnerabile (attivare il microfono delle tue cuffie)

Negli ultimi giorni è stata svelata una serie di vulnerabilità nei chip Bluetooth della famiglia Airoha, integrati in decine di dispositivi audio wireless tra cui auricolari TWS, cuffie, speaker e microfoni venduti da marchi noti come Beyerdynamic, Bose, Sony, Marshall e altri. La scoperta è stata resa pubblica dal team di ricerca tedesco ERNW durante la conferenza TROOPERS, tenutasi il 29 giugno 2025. Queste falle permettono ad un aggressore nelle vicinanze di eseguire azioni come ascoltare l’audio in riproduzione, controllare funzioni del dispositivo via Bluetooth e addirittura attivare il microfono remoto tramite manipolazione del profilo HFP (Hands-Free Profile), che normalmente viene utilizzato per le chiamate vocali. I ricercatori hanno individuato tre vulnerabilità principali, tutte localizzate nel firmware dei chip Airoha, già ampiamente diffusi nel mercato consumer. Si tratta di CVE‑2025‑20700, CVE‑2025‑20701 e CVE‑2025‑20702, tutte con un punteggio di rischio compreso tra 6.7...
Posta un commento
Continua a leggere »

Quando anche sudo tradisce. Due bug, un root e una chroot

Non succede spesso che sudo, uno dei comandi più fidati e scrutinati del mondo Unix, finisca sotto i riflettori per una vulnerabilità davvero seria. Stavolta è successo due volte, e una delle due fa davvero male. Due bug scoperti e documentati di recente – CVE-2025-32462 e CVE-2025-32463 – mostrano come, anche dopo più di 12 anni di sviluppo, errori silenziosi possano ancora nascondersi in piena vista. Il primo, CVE-32462, è quasi romantico per quanto è vecchio: un difetto nell’uso dell’opzione --host che, in determinate configurazioni di sudoers, può consentire a un utente locale di eseguire comandi con privilegi su host che non dovrebbe nemmeno poter vedere. Roba da manuale, bassa priorità, ma comunque un richiamo interessante per chi pensa che le configurazioni “da laboratorio” non portino guai. Il secondo è molto più cattivo. CVE-32463 sfrutta l’opzione -R di sudo, che consente di specificare una directory chroot. L’idea è che tu possa lanciare comandi in un ambiente isolato, ma ec...
Posta un commento
Continua a leggere »