Track all markets on TradingView
HomeBlockchainSicurezzaTakedown Microsoft Fox Tempest: revocati oltre 1.000 certificati
SicurezzaZ - Banner Home ita

Takedown Microsoft Fox Tempest: revocati oltre 1.000 certificati

takedown Microsoft Fox Tempest
Takedown Microsoft Fox Tempest: smantellato il servizio

Il takedown Microsoft Fox Tempest ha smantellato un servizio cybercriminale che sfruttava l’infrastruttura cloud dell’azienda per far apparire legittimo malware destinato anche a campagne ransomware. Il caso tocca un punto delicatissimo della sicurezza informatica: l’abuso dei certificati di firma del codice, cioè uno dei meccanismi che dovrebbero garantire fiducia nel software.

Microsoft non si è limitata a bloccare il gruppo. Ha anche avviato un’azione legale contro i responsabili dell’operazione e ha puntato direttamente all’infrastruttura usata per offrire il servizio ad altri attaccanti. In questo modo, il takedown Microsoft Fox Tempest colpisce non solo il malware finale, ma anche la “fabbrica” che rendeva più semplice distribuirlo.

Secondo i dettagli diffusi, Fox Tempest avrebbe trasformato Azure Artifact Signing in uno strumento per emettere certificati fraudolenti, poi usati per distribuire malware sotto le sembianze di applicazioni note come Teams, AnyDesk e Webex. Gli aggressori non si sono limitati a diffondere codice malevolo: hanno cercato di farlo passare per software affidabile agli occhi dei sistemi di difesa.

Microsoft blocca Fox Tempest e colpisce l’infrastruttura del servizio

Il cuore dell’operazione è stato il takedown Microsoft Fox Tempest, con cui il gruppo di Redmond ha interrotto il funzionamento del servizio cybercriminale e ne ha colpito i canali operativi.

Tra le misure adottate ci sono il sequestro del dominio signspace[dot]com e di centinaia di macchine virtuali, oltre al blocco dell’accesso all’infrastruttura che ospitava l’intero servizio. Microsoft ha indicato anche Vanilla Tempest nell’azione legale, come co-cospiratore collegato alla distribuzione di malware e ransomware.

Il punto chiave è questo: in casi come questo non viene preso di mira solo il malware finale, ma la struttura che permetteva ad altri gruppi di criminali informatici di firmare i file e aggirare più facilmente i controlli di sicurezza. Colpire il servizio a monte può avere un impatto più ampio rispetto alla semplice rimozione di singoli campioni malevoli.

Come funzionava l’abuso di Azure Artifact Signing

Fox Tempest, secondo Microsoft, abusava di Azure Artifact Signing e abuso per creare certificati temporanei usati nella firma di codice malevolo. In pratica, questi certificati facevano apparire il malware come software legittimo, aiutandolo a eludere l’antivirus e altre protezioni del sistema operativo.

I certificati avevano una validità di 72 ore, una finestra breve pensata per ridurre la probabilità di essere individuati in tempo. Nonostante questa durata limitata, l’operazione ha raggiunto volumi significativi: il gruppo avrebbe creato più di 1.000 certificati e utilizzato centinaia di tenant e sottoscrizioni Azure.

Microsoft ha dichiarato di aver revocato oltre mille certificati di firma del codice attribuiti a Fox Tempest. La revoca certificati code-signing è uno degli aspetti più importanti dell’intervento, perché riduce la possibilità che file già preparati o campagne ancora attive possano continuare a sfruttare quella catena di fiducia.

In sintesi, l’operazione si reggeva su alcuni elementi chiave:

  • abuso di Azure Artifact Signing per ottenere certificati fraudolenti;
  • uso di centinaia di tenant e sottoscrizioni Azure per sostenere l’infrastruttura;
  • distribuzione di malware firmato come se fosse software affidabile.

Questo spiega anche l’impatto della revoca dei certificati. Quando un certificato di firma viene considerato affidabile dal sistema, il malware parte con un vantaggio enorme: può sembrare meno sospetto, superare più facilmente i controlli e convincere le vittime a eseguire file che altrimenti verrebbero bloccati o segnalati.

Il malware nascosto dentro false app legittime

Tra le applicazioni usate come esca figuravano nomi molto noti: Teams, AnyDesk e Webex. La logica era semplice e pericolosa allo stesso tempo: presentare all’utente un installer credibile, con una firma digitale apparentemente valida, per aumentare le probabilità di esecuzione.

Microsoft ha spiegato che, quando le vittime eseguivano falsi file di installazione di Microsoft Teams, questi consegnavano un loader malevolo che installava Oyster e portava infine al deployment di Rhysida ransomware Microsoft. Il collegamento tra malware legato a certificati e ransomware rende la vicenda ancora più seria, perché mostra come l’abuso di firma del codice non servisse solo a distribuire trojan o infostealer, ma anche a preparare attacchi più distruttivi.

Qui il takedown Microsoft Fox Tempest assume un peso strategico anche per imprese e team di sicurezza: non si parla soltanto di file malevoli isolati, ma di una filiera che facilitava intrusioni, persistenza e fasi successive di estorsione digitale.

Le campagne collegate e l’impatto sul settore

Il servizio sarebbe stato collegato anche a campagne che coinvolgevano LummaStealer, Vidar, Qilin, BlackByte e Akira. Sono nomi che aiutano a misurare la portata dell’operazione: Fox Tempest non sarebbe stato un attore marginale, ma un fornitore usato in ecosistemi criminali diversi, dal furto di dati al ransomware.

Questo è il secondo punto decisivo del caso. Quando un’infrastruttura di supporto viene condivisa da più famiglie di malware, il suo abbattimento può produrre effetti a catena. Non elimina da solo tutte le minacce, ma interrompe un servizio che semplificava la distribuzione di file firmati e quindi aumentava il successo degli attacchi.

Il takedown Microsoft Fox Tempest, insieme alla revoca di oltre mille certificati, segnala anche una pressione crescente sui modelli “as a service” del cybercrime. Se un provider malevolo viene neutralizzato a livello legale, infrastrutturale e tecnico nello stesso momento, per gli attaccanti diventa più costoso e complesso ricostruire rapidamente lo stesso meccanismo.

Resta però un dato che pesa: Fox Tempest sarebbe riuscito a generare più di 1.000 certificati e a muoversi attraverso centinaia di tenant Azure prima dell’intervento. È il dettaglio che più di tutti racconta quanto il terreno dei certificati di firma compromessi sia diventato centrale nella battaglia tra piattaforme cloud e reti criminali.

Articolo precedente
Strumenti Microsoft AI safety: due tool open source entrano in CI e sviluppo
Satoshi Voice
Satoshi Voice è un'intelligenza artificiale avanzata creata per esplorare, analizzare e raccontare il mondo delle criptovalute e della blockchain. Con una personalità curiosa e un'approfondita conoscenza del settore, Satoshi Voice combina precisione e accessibilità per offrire analisi dettagliate, interviste coinvolgenti e reportage tempestivi. Gli articoli di Satoshi Voice sono realizzati quindi con il supporto dell'intelligenza artificiale ma sono revisionati sempre dal nostro team di giornalisti per garantire accuratezza e qualità. Dotato di un linguaggio sofisticato e di un approccio imparziale, Satoshi Voice si propone come una fonte affidabile per chi cerca di comprendere le dinamiche del mercato crypto, le tecnologie emergenti e le implicazioni culturali e finanziarie del Web3. Guidato dalla missione di rendere l'informazione sulle criptovalute accessibile a tutti, Satoshi Voice si distingue per la capacità di trasformare concetti complessi in contenuti chiari, con uno stile accattivante e futuristico che riflette la natura innovativa del settore.
RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST

Load more

Let's tell the future.
The most exclusive news on Bitcoin and cryptocurrencies, trading, fintech, and blockchain.

Don't miss out on any updates

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Desofy LDT Cipro. All rights reserved.