[Ninux-Wireless] Cert nazionale e bollettini "terroristici"

Monia Chimienti monia.chimienti a gmail.com
Lun 6 Lug 2015 14:04:53 CEST 

Ciao a tutti, qualcuno di voi si intende di Cert nazionale e mail 
vagamente terroristiche che mandano ogni tanto ai gestori di webserver?
nell'ultimo mese, mi sono arrivate due segnalazioni che vi riporto di 
seguito.
la 2 ci è pervenuta pochi minuti fa con questo oggetto: "segnalazione 
macchine compromesse - Campagna informativa Drone".

la nostra macchina è una debian con a bordo dei siti in joomla. Quanto 
sono attendibili, nella vostra esperienza, messaggi di questo tipo?
tenete conto che il file "incriminato"  è depositato sulla macchina da 
mesi. Il webserver è stato messo in stato di down dal provider e fino a 
2 minuti prima il sito era perfettamente raggiungibile. ed è un sito 
puramente divulgativo, che non fa servizi di nessun tipo.
--------------------
1. scriviamo in qualità di CERT Nazionale, struttura pubblica che opera
nell'ambito del Ministero dello Sviluppo Economico a supporto di
cittadini e imprese con azioni di prevenzione e di coordinamento della
risposta a minacce ed incidenti informatici su vasta scala. L'azione del
CERT Nazionale si inserisce nel contesto del Quadro Strategico Nazionale
per la sicurezza dello spazio cibernetico, agendo, fra l'altro, come
punto di contatto italiano a livello internazionale.

Al fine di fornirVi un servizio utile per la salvaguardia della Vostra
rete e della Vostra clientela, con la presente intendiamo inoltrarVi una
segnalazione prevenutaci nell'ambito delle nostre attività
istituzionali di _infosharing_ riguardante alcune macchine appartenenti
alla Vostra rete che risulterebbero compromesse da malware per tutte le
azioni che riterrete opportuno intraprendere. Vi chiediamo cortesemente
di indicarci se l'indirizzo a cui stiamo scrivendo è il più
appropriato per questo genere di segnalazioni o se ce ne vorrete fornire
di alternativi anche nell'ottica di una futura collaborazione.

A titolo di chiave di lettura del file allegato, il campo "_tag_"
contiene l'indicazione del malware che avrebbe compromesso il sito ed il
campo "_category_" l'utilizzo malevolo che ne verrebbe principalmente
fatto.

Restiamo a disposizione per qualsiasi tipo di feedback che vorrete
fornirci.

Cordiali saluti,

CERT NAZIONALE ITALIA

2. Buongiorno.

Abbiamo ricevuto da fonti affidabili una lista di macchine appartenenti
alla Vostra rete ed alla Vostra clientela verosimilmente infette.

Il report allegato contiene una lista di macchine verosimilmente
compromesse, droni e zombie, individuati principalmente attraverso il
monitoraggio delle connessioni HTTP con botnet note (con riferimento al
PERIODO 01-03/07/2015). Il dato riporta i tentativi di connessione ad IP
malevoli e pertanto è da considerarsi come un forte indice di
compromissione. Il valore contenuto nel campo C&C, ove disponibile, può
riferirsi sia ad un C&C reale (con traffico monitorato da terze parti),
sia ad uno dei sinkhole passivi approntati per la terminazione del
traffico.

Il dato viene fornito per opportuna informazione e per ogni azione di
verifica e mitigazione che riterrete opportuno intraprendere a tutela
della Vostra rete e della Vostra clientela/constituency.
---------------------------------------------------------------------

Maggiori informazioni sulla lista Wireless