Aggiornamenti recenti Aprile 2nd, 2025 10:39 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
Jeff Bezos hackerato dal principe saudita… davvero?
Quella dell’attacco portato da Mohammed bin Salman al boss di Amazon è un’ipotesi suggestiva, ma gli esperti di sicurezza hanno più di un dubbio.
Sulle pagine dei giornali, negli ultimi giorni, si è fatto un gran parlare della vicenda del presunto attacco a Jeff Bezos. Il fondatore di Amazon, stando alla ricostruzione che va per la maggiore, sarebbe stato vittima di un attacco portato direttamente dal telefono cellulare del principe saudita Mohammed bin Salman.
Certo, la storia ha il suo fascino. Ma è davvero credibile? In molti pensano di no. A sollevare dubbi sono soprattutto gli esperti di sicurezza, che nella ricostruzione fornita trovano qualche lacuna di troppo.
Proviamo a ricostruire il tutto, partendo dal quadro in cui si inserisce e cioè dalla “rivalità” tra Bezos e il principe saudita, dovuta alle posizioni critiche assunte dal Washington Post (di proprietà di Bezos) nei confronti del governo di Riad e culminata con la morte del giornalista del Post Jamal Khashoggi, assassinato nel consolato saudita di Istanbul il 2 ottobre 2018.
Nel mezzo, si inserisce un’altra vicenda: la pubblicazione a inizio 2019 di alcuni messaggi e fotografie inviate da Bezos a una sua amante, pubblicate dal National Enquirer.
Che rilievo hanno le due questioni per quanto riguarda il presunto hacking? È presto detto: secondo quanto emerge dal report stilato dalla società specializzata in forensica FTI Consulting, l’attacco hacker all’iPhone X di Jeff Bezos sarebbe avvenuto nel maggio 2018.
Una data che avrebbe permesso ai sauditi, quindi, sia di ottenere informazioni sull’attività di Jamal Khasshoggi, sia di rubare i messaggi e le foto poi consegnate alla stampa. Sul secondo punto, però, emerge qualche elemento di scetticismo.
Nel marzo 2019, infatti, un’inchiesta del marzo 2019 pubblicata dal Wall Street Journal ha infatti rivelato che le foto e i messaggi sarebbero stati consegnati al National Enquirer dal fratello di Lauren Sanchez, l’amante di Bezos.
Passiamo però alla parte più squisitamente “tecnica” della vicenda. Secondo la ricostruzione di FTI Consulting, a firma dell’ex agente dell’FBI Anthony J. Farrante, gli indizi di una compromissione dell’iPhone di Jeff Bezos riguarderebbero l’invio di una quantità anomala di dati (circa 100 MB al giorno) iniziato a maggio, dopo la ricezione di due messaggi provenienti dal telefono personale del principe Mohammed bin Salman.
Il primo messaggio, contenente una fotografia di una donna che potrebbe essere proprio Lauren Sanchez, sarebbe stato innocuo. I dubbi riguardano invece il secondo messaggio, che conteneva un video di 4.22 MB.
Proprio dopo il download e la visualizzazione di questo file video, il telefono di Bezos avrebbe cominciato ad avere un comportamento “anomalo” caratterizzato dall’upload di centinaia di MB di dati.
Nel report, però, non si parla esplicitamente di un malware contenuto nel video. In pratica si “suppone” che il video fosse infetto semplicemente perché l’invio dei dati è iniziato dopo la sua apertura. Per giustificare l’assenza di prove della presenza di un malware si tira in ballo il fatto che il video, arrivando tramite Whatsapp, è stato in realtà scaricato attraverso un dropper crittografato in formato .enc.
A leggerlo così, sembra qualcosa di estremamente sospetto. Come riporta Bill Marczak in un post sul suo blog, però, si tratta solo di una procedura standard nei trasferimenti di file su Whatsapp.
C’è di più: il file crittografato, spiega Marczak, può essere tranquillamente decodificato. Per farlo basta utilizzare i dati estratti dall’iPhone (FTI Consulting ha utilizzato un software specializzato di Cellebrite per ottenere i dati) che contengono la chiave crittografica.
Tutta la vicenda dell’investigazione forensica sul telefono di Bezos, però, sembra contenere dei “coni d’ombra”, come quello relativo al backup su iCloud, che non sarebbe stato analizzato a causa del fatto che era a sua volta crittografato e che non è stato possibile ottenere la password.
Nello stesso post, il ricercatore solleva anche qualche dubbio sull’analisi degli upload effettuata dalla società di forensica, che a suo giudizio richiederebbero un approfondimento per individaure quali siano le applicazioni che hanno gestito l’invio dei dati.
Insomma: l’impressione è che dalle parti di FTI Consulting siano saltati alle conclusioni con una certa fretta, soffiando sul fuoco di una ricostruzione un po’ troppo semplicistica di quanto avvenuto.
E adesso, a criticare l’operto di FTI, ci si sta mettendo anche NSO Group, la società produttrice di Pegasus, il software di spionaggio preferito del governo saudita. In un comunicato stampa, infatti, i dirigenti di NSO si definiscono “scioccati” dalla vicenda, dichiarando la loro estraneità e auspicando un’indagine approfondita.
Considerato che NSO Group è stata più volte accusata di fornire i suoi strumenti per attaccare giornalisti, attivisti dei diritti civili e dissidenti di mezzo mondo, la dichiarazione suona un po’ stucchevole. Soprattutto quando si pensa che è ancora in corso una causa proposta da Facebook proprio per abusi di questo genere.
Condividi l'articolo
Fortinet corregge due backdoor dai suoi sistemi SIEM
A Miami il primo “Pwn2Own” dedicato ai sistemi industriali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso...
Ransomware: la serie
No posts found.
