Inchieste

OilRig: minaccia informatica iraniana dal 2012

Tempo di lettura: 15 minuti. OilRig è l’APT più anziano dell’Iran ed è fornito di attacchi sofisticati

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

7 mesi fa

in data

09/10/2023

Redazione

Tempo di lettura: 15 minuti.

Il gruppo di minacce informatiche noto come OilRig, con origini sospettate in Iran, ha operato dal 2014, mirando a vittime sia nel Medio Oriente che a livello internazionale. Questo gruppo ha colpito una varietà di settori, tra cui finanziario, governativo, energetico, chimico e delle telecomunicazioni, concentrando in gran parte le sue operazioni nel Medio Oriente.

Identità multiple

OilRig è noto con diversi nomi tra le varie società di sicurezza informatica:

APT 34 da FireEye
Helix Kitten da CrowdStrike
Twisted Kitten da CrowdStrike
Crambus da Symantec
Chrysene da Dragos
Cobalt Gypsy da SecureWorks
TA452 da Proofpoint
IRN2 da Area 1
ATK 40 da Thales
ITG13 da IBM
EUROPIUM da Microsoft
Hazel Sandstorm da Microsoft

Origini e motivazioni

Si ritiene che OilRig operi per conto del governo iraniano. Questa valutazione si basa su dettagli dell’infrastruttura che contengono riferimenti all’Iran, sull’uso dell’infrastruttura iraniana e sul targeting che si allinea con gli interessi dello stato-nazione. Il gruppo sembra portare avanti attacchi alla catena di approvvigionamento, sfruttando la relazione di fiducia tra le organizzazioni per attaccare i loro obiettivi principali.

Una fusione di identità

Inizialmente, questo gruppo era monitorato come due gruppi distinti, APT 34 e OilRig. Tuttavia, ulteriori rapporti hanno fornito una maggiore fiducia riguardo alla sovrapposizione delle attività, portando alla combinazione dei due sotto il nome OilRig.

Il primo attacco risale al 2012

Il settore energetico è stato sotto attacco da una nuova informatica denominata W32.Disttrack. Questo malware distruttivo corrompe i file su un computer compromesso e sovrascrive il MBR (Master Boot Record), rendendo il computer inutilizzabile.

Descrizione delle componenti del malware

W32.Disttrack è composto da diverse componenti che lavorano insieme per compromettere un sistema. Queste componenti includono:

Dropper: è la componente principale e la fonte dell’infezione originale. Rilascia una serie di altri moduli nel sistema compromesso.
Wiper: questo modulo è responsabile della funzionalità distruttiva della minaccia, cancellando e sovrascrivendo file importanti.
Reporter: questa componente è incaricata di inviare informazioni sull’infezione all’attaccante.

Funzionalità del componente Dropper

Il componente Dropper svolge una serie di azioni nel sistema compromesso, tra cui:

Copiarsi in %System%\trksvr.exe
Rilasciare una serie di file incorporati in risorse diverse, inclusa una versione a 64 bit di se stesso e il componente Wiper.
Copiarsi in condivisioni di rete specifiche e creare un compito per eseguire se stesso.
Creare un servizio che avvia se stesso ogni volta che Windows viene avviato, con il nome del servizio “TrkSvr” e il nome visualizzato “Distributed Link Tracking Server”.

Funzionalità del componente Wiper

Il componente Wiper ha diverse funzionalità, tra cui:

Eliminare un driver esistente da una posizione specifica e sovrascriverlo con un altro driver legittimo.
Eseguire comandi che raccolgono nomi di file, che verranno poi sovrascritti e scritti in file specifici.
Sovrascrivere i file con un’immagine JPEG, rendendo i file sovrascritti inutilizzabili.
Sovrascrivere il MBR in modo che il computer compromesso non possa più avviarsi.

Funzionalità del componente Reporter

Il componente Reporter è responsabile dell’invio delle informazioni sull’infezione all’attaccante attraverso una richiesta HTTP GET strutturata in un modo specifico. Le informazioni inviate includono un nome di dominio, un numero che specifica quanti file sono stati sovrascritti, l’indirizzo IP del computer compromesso e un numero casuale.

Meta descrizione: La nuova minaccia informatica W32.Disttrack sta attaccando il settore energetico, corrompendo file e rendendo i computer inutilizzabili. Scopri di più su questa minaccia qui.

La campagna OilRig colpisce le organizzazioni saudite: ecco cosa devi sapere

Nel 2016 è stata rivelata una campagna di attacchi informatici di grande portata che ha colpito principalmente le organizzazioni in Arabia Saudita. Questa campagna, nota come “OilRig”, ha mostrato una sofisticata rete di malware e tecniche di ingegneria sociale. Ecco un’analisi dettagliata di ciò che è stato scoperto.

Dettagli della campagna

La campagna OilRig è stata attiva dal maggio 2016, con legami che risalgono a un’ondata di attacchi nel 2015. Le principali vittime sono state le istituzioni finanziarie e le organizzazioni tecnologiche in Arabia Saudita, sebbene ci siano indicazioni di attacchi anche nel settore della difesa.

Gli aggressori hanno utilizzato metodi di ingegneria sociale sofisticati, tra cui offerte di lavoro false e servizi di assistenza tecnica fasulli, per infiltrarsi nelle reti delle organizzazioni bersaglio.

Analisi tecnica

Gli attacchi sono stati condotti principalmente attraverso il malware “Helminth”, che esiste in due varianti: uno script VBScript e PowerShell, e un eseguibile Windows. Questo malware utilizza richieste HTTP per comunicare con il server di comando e controllo (C2), eseguendo script batch forniti dal server e caricando l’output su di esso.

L’infrastruttura C2 è composta da diversi domini, con alcune tracce che indicano una possibile origine iraniana. Tuttavia, è importante notare che queste informazioni possono essere facilmente falsificate. Gli esperti di Palo Alto Networks hanno monitorato attentamente la situazione, fornendo protezione contro questo Trojan e offrendo ulteriori informazioni attraverso vari strumenti.

le prime tecniche delle attività d’attacco del gruppo iraniano

L’APT noto come “OilRig” ha mostrato una crescente attività nel tempo, mettendo a segno attacchi sofisticati e mirati. In questo articolo, esploreremo le tecniche e gli strumenti utilizzati da questo gruppo, basandoci su un’analisi tecnica dettagliata.

Tecniche di attacco

Il gruppo OilRig continua a sfruttare email di spear-phishing contenenti documenti Microsoft Excel malevoli per compromettere le vittime. Queste email, spesso mascherate come comunicazioni legittime, come nuovi log-in per il portale di una compagnia aerea, inducono gli utenti a aprire allegati dannosi. Una volta aperto il file e abilitate le macro, viene presentato un documento di copertura all’utente, dando il via al processo di download del malware.

Evoluzione del malware

Il malware utilizzato dal gruppo OilRig è in continua evoluzione. Negli ultimi cinque mesi, sono state identificate quattro varianti distinte, ognuna con nomi di file differenti al momento dell’esecuzione. Queste varianti comunicano con server remoti tramite HTTP o DNS, tentando ripetutamente di scaricare un file dal server remoto e, una volta disponibile, eseguirlo, caricando successivamente l’output tramite un’altra richiesta HTTP.

Le varianti del malware presentano alcune differenze minori, principalmente nei domini e negli indirizzi IP utilizzati per la comunicazione. Inoltre, il codice sottostante di una delle varianti, upd.vbs, è molto più pulito rispetto alle altre, indicando che è in fase di sviluppo attivo.

Comunicazione con il server remoto

Il malware comunica con server remoti utilizzando query DNS con specifiche caratteristiche per scaricare o caricare file ed eseguire comandi. Queste comunicazioni avvengono a intervalli apparentemente casuali, indicando che sono probabilmente il risultato di un attaccante reale che emette i comandi, piuttosto che un sistema automatizzato.

Durante l’analisi, gli analisti sono stati in grado di interagire con gli attaccanti utilizzando un honeypot, ricevendo una serie di comandi interessanti, inclusi tentativi di comunicare con server FTP remoti e vari comandi di ricognizione.

Analisi tecnica della campagna malware OilRig

Nel mondo sempre più digitalizzato di oggi, le minacce cibernetiche continuano a evolversi, diventando sempre più sofisticate e pericolose. Una delle minacce emergenti è la campagna malware OilRig, che ha recentemente ampliato il suo raggio d’azione, colpendo non solo organizzazioni in Arabia Saudita, ma anche in Qatar, Turchia, Israele e Stati Uniti. Ecco un’analisi dettagliata delle tecniche e degli strumenti utilizzati da questo gruppo di attacco:

Ampliamento del target

Il gruppo dietro la campagna OilRig continua a sfruttare email di spear-phishing con documenti Microsoft Excel malevoli per compromettere le vittime.

Hanno inviato un’email a un’organizzazione governativa turca, utilizzando come esca presunte nuove credenziali di accesso per il sito web di una compagnia aerea. Una volta che il file “users.xls” viene eseguito e le macro vengono attivate, alla vittima viene presentato un documento ingannevole, utilizzato come trampolino di lancio per ulteriori attacchi.

Aggiornamenti al Set di Strumenti

Si è notata una serie di modifiche al malware utilizzato dagli attori responsabili di OilRig. Sono state identificate quattro varianti distinte, ognuna delle quali rilascia file con nomi differenti durante l’esecuzione.

Queste varianti utilizzano nomi di file come “update.vbs”, “fireeye.vbs”, “upd.vbs” e “komisova.vbs”, indicando che il malware è in continua evoluzione e sviluppo.

Cambiamenti nei VBScripts tra le Varianti

Questa evoluzione suggerisce che gli attacchi sono in una fase di transizione, con nuove infrastrutture C2 che vengono introdotte per sostenere le operazioni in corso.

Cambiamenti nei PS1 tra le Varianti

Analogamente al file VBS, il file PS1 comunica con un server remoto, ma utilizza DNS invece di HTTP per trasmettere comandi e ricevere dati.

Questa variante del malware sembra essere in fase di sviluppo attivo, con commenti e altre annotazioni che indicano che gli attacchi sono in una fase di test e miglioramento continuo.

Interazione con gli Attaccanti

Durante il monitoraggio di questa variante, è stato possibile osservare gli attaccanti interagire con un sistema honeypot, inviando una serie di comandi interessanti, inclusi tentativi di comunicare con server FTP remoti e vari comandi di ricognizione. Queste interazioni sembrano essere il risultato di un attaccante reale che emette comandi, piuttosto che un sistema automatizzato.

Analisi tecnica campagna malware OilRig

Ampliamento del Target

Il gruppo dietro la campagna OilRig continua a sfruttare email di spear-phishing con documenti Microsoft Excel malevoli per compromettere le vittime. Recentemente, hanno inviato un’email a un’organizzazione governativa turca, utilizzando come esca presunte nuove credenziali di accesso per il sito web di una compagnia aerea. Una volta che il file “users.xls” viene eseguito e le macro vengono attivate, alla vittima viene presentato un documento ingannevole, utilizzato come trampolino di lancio per ulteriori attacchi.

Aggiornamenti al Set di Strumenti

Nel corso degli ultimi mesi, abbiamo notato una serie di modifiche al malware utilizzato dagli attori responsabili di OilRig. Sono state identificate quattro varianti distinte, ognuna delle quali rilascia file con nomi differenti durante l’esecuzione. Queste varianti utilizzano nomi di file come “update.vbs”, “fireeye.vbs”, “upd.vbs” e “komisova.vbs”, indicando che il malware è in continua evoluzione e sviluppo.

Cambiamenti nei VBScripts tra le Varianti

Nonostante le varianti presentino solo differenze minime nei file VBS rilasciati, è evidente che gli attacchi sono in fase di transizione, con l’introduzione di nuovi domini e indirizzi IP utilizzati per le comunicazioni con il server di comando e controllo (C2). Questa evoluzione suggerisce che gli attacchi sono in una fase di transizione, con nuove infrastrutture C2 che vengono introdotte per sostenere le operazioni in corso.

Cambiamenti nei PS1 tra le varianti

Analogamente al file VBS, il file PS1 comunica con un server remoto, ma utilizza DNS invece di HTTP per trasmettere comandi e ricevere dati. Questa variante del malware sembra essere in fase di sviluppo attivo, con commenti e altre annotazioni che indicano che gli attacchi sono in una fase di test e miglioramento continuo.

Interazione con gli attaccanti

Shamoon 2: una seconda ondata di attacchi distruttivi identificata

Nel novembre 2016, è stata osservata una rinascita di attacchi distruttivi collegati alla campagna di attacchi Shamoon del 2012. Questo attacco, dettagliato in un precedente articolo intitolato “Shamoon 2: il ritorno del wiper Disttrack”, ha preso di mira una singola organizzazione in Arabia Saudita. L’attacco era programmato per cancellare i sistemi il 17 novembre 2016. Tuttavia, da quella pubblicazione, è stato scoperto un altro payload, mirato a un’organizzazione diversa in Arabia Saudita, impostato per cancellare i sistemi il 29 novembre 2016. Questo recente attacco potrebbe avere un impatto significativo su una delle principali contromisure contro gli attacchi wiper: gli snapshot dell’interfaccia desktop virtuale (VDI).

Principali risultati:

Somiglianze e differenze del payload: Il payload utilizzato in questo attacco era molto simile al payload del 17 novembre 2016. Tuttavia, ha mostrato comportamenti diversi e conteneva credenziali dell’account codificate specifiche per la nuova organizzazione bersaglio. Notabilmente, questo payload conteneva diversi nomi utente e password dalla documentazione ufficiale di Huawei relative alle loro soluzioni VDI, come FusionCloud.

Potenziale targeting VDI: Le soluzioni VDI possono offrire una certa protezione contro malware distruttivi come Disttrack, permettendo il caricamento di snapshot di sistemi cancellati. Il fatto che gli aggressori di Shamoon avessero questi nomi utente e password VDI suggerisce che potrebbero aver inteso accedere a queste tecnologie presso l’organizzazione bersaglio per amplificare il loro attacco distruttivo.

Propagazione e distruzione: Simile all’attacco precedente, il payload Disttrack in questo attacco si diffonde ad altri sistemi sulla rete locale utilizzando legittime credenziali dell’account di dominio. Il processo di distruzione rimane coerente, con il payload impostato per iniziare le sue attività distruttive il 29 novembre 2016. Il payload utilizza una variante a 64 bit e include un modulo wiper e di comunicazione memorizzato all’interno dell’eseguibile.

Limitazioni del command and control (C2): Il modulo di comunicazione in questo attacco era privo di un server C2 operativo. Questa assenza suggerisce che l’intenzione primaria dell’attore minaccioso per questo attacco Shamoon 2 fosse la distruzione di dati e sistemi.

Misure di protezione: Palo Alto Networks ha garantito protezione contro il payload Disttrack utilizzato in questo attacco:

WildFire classifica i campioni Disttrack come dannosi.
La firma AV di protezione dalle minacce rileva il nuovo payload.
I clienti di AutoFocus possono monitorare l’attività Disttrack utilizzando il tag Disttrack.

Indicatori di compromissione: Sono stati identificati diversi hash, nomi di file e nomi di servizio come indicatori di compromissione, tra cui “ntertmgr32.exe”, “ntertmgr64.exe”, “vdsk911.sys” e altri.

Malware con firma digitale dell’Università di Oxford

Il gruppo di minacce iraniano OilRig ha preso di mira diverse organizzazioni in Israele e in altri paesi del Medio Oriente dalla fine del 2015. Nei recenti attacchi, hanno creato un falso portale VPN e hanno preso di mira almeno cinque fornitori IT israeliani, diversi istituti finanziari e l’Ufficio postale israeliano.

Successivamente, gli aggressori hanno creato due siti web fasulli che simulavano essere una pagina di registrazione per una conferenza dell’Università di Oxford e un sito di candidature di lavoro. In questi siti web, hanno ospitato malware che era digitalmente firmato con un certificato di firma del codice valido, probabilmente rubato.

Basandosi su upload di VirusTotal, contenuti di documenti malevoli e vittime note, altre organizzazioni bersaglio si trovano in Turchia, Qatar, Kuwait, Emirati Arabi Uniti, Arabia Saudita e Libano.

Portale VPN Falso

In uno dei casi recenti, gli aggressori hanno inviato un’email a individui in organizzazioni bersaglio. L’email proveniva da un account compromesso di un fornitore IT. Il link fornito nell’email malevola portava a un falso portale VPN. Dopo aver effettuato l’accesso con le credenziali fornite nell’email, alla vittima veniva chiesto di installare il “VPN Client”, un file .exe, o, in caso di mancato download, di scaricare un zip protetto da password (con lo stesso file .exe all’interno).

Il “VPN Client” è un software VPN Juniper legittimo associato a un malware noto come “Helminth”, utilizzato dal gruppo di minacce OilRig. Se la vittima scarica e installa il file, il suo computer verrebbe infettato, mentre viene installato il software VPN legittimo.

Impersonificazione dell’Università di Oxford

Gli aggressori hanno registrato quattro domini che impersonavano l’Università di Oxford. Uno di questi, oxford-symposia[.]com, è un falso sito web di registrazione per una conferenza di Oxford. I visitatori vengono invitati a scaricare lo “Strumento di pre-registrazione del simposio di lavoro dell’Università di Oxford”.

Se eseguito dalla vittima, il suo computer verrebbe infettato.

Altri incidenti

In un incidente precedente, gli aggressori hanno inviato un file Excel malevolo che impersonava Israir, una compagnia aerea israeliana. Il file aveva una macro che, se abilitata dall’utente, avrebbe infettato il suo computer.

Sovrapposizione di infrastruttura con Cadelle e Chafer

Nel dicembre 2015, Symantec ha pubblicato un post su due gruppi di attacco con base in Iran, Cadelle e Chafer, che utilizzavano Backdoor.Cadelspy e Backdoor.Remexi per spiare individui iraniani e organizzazioni del Medio Oriente. Questo suggerisce che i due gruppi potrebbero effettivamente essere la stessa entità, o che condividano risorse in un modo o nell’altro.

Emirati Arabi Uniti obiettivo di OilRig con ISMAgent

Nel luglio 2017 OilRig ha utilizzato uno strumento da loro sviluppato chiamato ISMAgent in un nuovo set di attacchi mirati. Il gruppo OilRig ha sviluppato ISMAgent come variante del trojan ISMDoor. Nel mese di agosto 2017, abbiamo scoperto che questo gruppo di minacce ha sviluppato un altro trojan che chiamano ‘Agent Injector’ con lo scopo specifico di installare il backdoor ISMAgent. Stiamo monitorando questo strumento come ISMInjector. Ha una struttura sofisticata e contiene tecniche anti-analisi che non abbiamo visto in strumenti precedentemente sviluppati da questo gruppo di minacce. La struttura complessa e l’inclusione di nuove tecniche anti-analisi potrebbero suggerire che questo gruppo sta aumentando i loro sforzi di sviluppo al fine di evitare rilevamenti e ottenere una maggiore efficacia nei loro attacchi.

L’attacco

Il 23 agosto 2017 OilRig prende di mira un’organizzazione all’interno del governo degli Emirati Arabi Uniti. L’attacco coinvolgeva un’email di spear-phishing che aveva come oggetto “Importan Issue” e due archivi Zip allegati, come si vede nella Figura 1. Si noti che “Important” è scritto male nel campione come mostrato di seguito.

La consegna

L’attacco di phishing del 23 agosto 2017 ha allegato due archivi Zip all’email, “Issue-doc.zip” e “Issue-doc1.zip”.

Ogni allegato Zip contiene un file, con “Issue.doc” all’interno di “Issue-doc.zip” e “Issue.dot” all’interno di “Issue-doc1.zip”. I file “Issue.doc” e “Issue.dot” sono entrambi documenti dannosi che tenteranno di eseguire in Microsoft Word.

ISMInjector

Alla fine, il payload consegnato da ThreeDollars è un nuovo strumento nell’arsenale di OilRig che chiamiamo ISMInjector. Come suggerisce il nome, ISMInjector è un trojan responsabile dell’iniezione di un trojan in un altro processo. Il payload incorporato all’interno del campione ISMInjector consegnato in questo attacco è una variante del backdoor ISMAgent di cui avevamo discusso in dettaglio nel nostro blog che discuteva di un attacco mirato a una società tecnologica saudita.

La struttura e le tecniche utilizzate da OilRig dimostrano una crescente sofisticazione e un impegno a lungo termine per le operazioni di cyber spionaggio. La loro capacità di sviluppare nuovi strumenti e tecniche suggerisce che continueranno a rappresentare una minaccia significativa per le organizzazioni nel Medio Oriente e potenzialmente in altre regioni.

TwoFace Webshell: punto di accesso persistente per il movimento laterale

Unit 42 ha scoperto una webshell chiamata “TwoFace” utilizzato da un attore minaccioso per accedere in remoto alla rete di un’organizzazione del Medio Oriente presa di mira. Questo webshell è particolare perché è composto da due webshell separati: uno iniziale che salva e carica il secondo webshell, più funzionale. Il secondo webshell permette all’attore minaccioso di eseguire vari comandi sul server compromesso.

IP address	Country	Number of Commands	Date of Activity	Days Since Initial Command
46.38.x.x	Iran	1	2016-06-18	0
178.32.x.x	France	6	2016-09-28	103
137.74.x.x	France	16	2017-03-03	259
192.155.x.x	USA	61	2017-04-24	311
46.4.x.x	Germany	10	2017-05-03	320

L’analisi dei log del server ha rivelato che l’attore minaccioso aveva accesso al webshell TwoFace per quasi un anno, a partire da giugno 2016. I comandi eseguiti hanno mostrato l’interesse dell’attore nel raccogliere credenziali utilizzando lo strumento Mimikatz e nel muoversi lateralmente attraverso la rete copiando il webshell TwoFace e altri webshell su diversi server.

Sono stati identificati cinque diversi indirizzi IP provenienti da quattro paesi che hanno inviato comandi al webshell TwoFace. Il primo comando era un semplice comando “whoami”, suggerendo il compromesso iniziale del server. I comandi successivi hanno rivelato le tattiche, le tecniche e le procedure (TTP) dell’attore, tra cui l’uso dello strumento Mimikatz e i tentativi di passare ad altri server nella rete.

Il webshell TwoFace è composto da un caricatore e un componente payload, entrambi scritti in C#. Il caricatore è responsabile del salvataggio e del caricamento del componente payload, mentre il componente payload ha più funzionalità. Il caricatore utilizza richieste HTTP POST per interagire, e il payload richiede una password per l’autenticazione.

È stata anche scoperta un’altra versione del caricatore TwoFace, chiamata “TwoFace++ Loader”. Questa versione contiene anche un componente payload incorporato in forma cifrata. Inoltre, è stato identificato un altro webshell chiamato “IntrudingDivisor”, che richiede autenticazione e ha il suo set di comandi.

In conclusione, l’approccio a due livelli del webshell TwoFace e l’inclusione di contenuti di siti web legittimi lo rendono difficile da rilevare, permettendo agli attori minacciosi di mantenere un accesso persistente a una rete per lunghi periodi senza essere rilevati.

Attacco mirato nel Medio Oriente sfruttando una vulnerabilità di Microsoft Office

Meno di una settimana dopo che Microsoft ha rilasciato una patch per la vulnerabilità CVE-2017-11882 il 14 novembre 2017, FireEye ha osservato un attaccante sfruttare questa vulnerabilità di Microsoft Office per prendere di mira un’organizzazione governativa nel Medio Oriente. Si ritiene che questa attività sia stata condotta da un gruppo sospettato di cyber spionaggio iraniano, noto come APT34, utilizzando un backdoor personalizzato di PowerShell per raggiungere i suoi obiettivi.

Si ritiene che APT34 sia coinvolto in un’operazione di cyber spionaggio a lungo termine, focalizzata principalmente su sforzi di ricognizione a beneficio degli interessi nazionali iraniani, operativa almeno dal 2014. Questo gruppo ha condotto attività mirate in vari settori, tra cui finanziario, governativo, energetico, chimico e delle telecomunicazioni, concentrando in gran parte le sue operazioni nel Medio Oriente. Si ritiene che APT34 operi per conto del governo iraniano, basandosi su dettagli infrastrutturali che contengono riferimenti all’Iran, sull’uso dell’infrastruttura iraniana e sul targeting che si allinea con gli interessi di uno stato-nazione.

CVE-2017-11882 riguarda diverse versioni di Microsoft Office e, quando sfruttata, permette a un utente remoto di eseguire codice arbitrario nel contesto dell’utente corrente a causa di una gestione impropria degli oggetti in memoria. La vulnerabilità è stata corretta da Microsoft il 14 novembre 2017. Una prova completa del concetto (POC) è stata pubblicamente rilasciata una settimana dopo dal reporter della vulnerabilità.

La vulnerabilità esiste nel vecchio Equation Editor (EQNEDT32.EXE), un componente di Microsoft Office che viene utilizzato per inserire e valutare formule matematiche. L’Equation Editor è incorporato nei documenti di Office utilizzando la tecnologia di collegamento e incorporamento degli oggetti (OLE). Viene creato come un processo separato invece di un processo figlio delle applicazioni Office. Se viene passata una formula creata all’Equation Editor, non controlla correttamente la lunghezza dei dati durante la copia dei dati, il che comporta una corruzione della memoria dello stack. Poiché EQNEDT32.exe è compilato utilizzando un compilatore più vecchio e non supporta la randomizzazione dello spazio degli indirizzi (ASLR), una tecnica che protegge contro lo sfruttamento delle vulnerabilità di corruzione della memoria, l’attaccante può facilmente alterare il flusso di esecuzione del programma.

Prossima

Ucraina, l’esercito a caccia di soldati tra i civili

Da non perdere

La tecnologia israeliana ha fallito: è davvero un modello?

Prosegui la lettura

Inchieste

Terrore in Campania: dati sanitari di SynLab nel dark web

Pubblicato

5 ore fa

in data

14/05/2024

Livio Varriale

Tempo di lettura: 2 minuti.

BlackBasta ha pubblicato i dati esfiltrati nell’attacco informatico riuscito contro Synlab Italia dove il colosso tedesco è stato colpito nelle sedi della Campania ed i dati dei pazienti sono stati resi disponibili dalla ransomware gang russa. Un disastro annunciato dopo che si è appresa la volontà della multinazionale di non pagare riscatto così come previsto dalla procedura internazionale che vieta alle vittime di recuperare i propri dati alimentando il crimine informatico globale.

Matrice Digitale ha dedicato una serie di approfondimenti sulla vicenda e, pur non essendo entrata in possesso dei dati visualizzati già da circa 4000 persone all’interno della piattaforma dark web dei criminali, ha potuto constatare che la maggior parte delle informazioni riguardano le sedi della Campania sia lato sedi sia fornitori sia pazienti. Un’altra informazione che potrebbe essere utile ed anche allo stesso tempo rincuorante per tutti i pazienti coinvolti, è che la dimensione dei dati non è scaricabile da chiunque visto il tera e mezzo di gigabyte necessari per portare a termine il download completo. Un altro punto di favore in questa terribile vicenda è il fatto che il server sembrerebbe essere poco capace di distribuire simultaneamente la grande mole di informazioni che BlackBasta ha messo a disposizione di tutti coloro che ne hanno accesso attraverso il link dark web.

Qual è stata la reazione dell’azienda ?

SynLab ha annunciato di non voler pagare il riscatto e di essere stata vittima da di un attacco matrice russa, aspetto ininfluente quando si parla di crimine informatico, e di essere in contatto costantemente con le Autorità. Almeno loro hanno acquisito tutte le informazioni esfiltrate dagli aguzzini. L’azienda promette e si impegna nel comunicare, così come previsto da legge vigente, ad ogni singolo paziente l’eventuale esposizione in rete. I risvolti della vicenda però non sono positivi per l’azienda nonostante abbia agito secondo procedure. Dal punto di vista della credibilità e della fiducia dei clienti, quest’ultimi continueranno ad avvalersi delle prestazioni private e convenzionate, ma all’orizzonte si configura una sanzione salata da parte del Garante della Privacy che si spera sia utile nel sensibilizzare gli altri colossi del nostro paese nel correre ai ripari prima di un attacco informatico.

Non basteranno, purtroppo, gli avvisi dell’azienda circa la perseguibilità penale di coloro che entreranno in possesso dei dati per motivi di ricerca, di business o di ulteriori crimini informatici.

Cosa abbiamo imparato da quest’attacco?

Tra le varie criticità emerse in queste settimane c’è quella di attivarsi predisponendo al meglio le proprie infrastrutture per ripristinare quanto prima i servizi dopo un attacco informatico, a maggior ragione quando riguardano settori vitali, ma allo stesso tempo c’è l’esigenza di implementare tecnicamente una infrastruttura di rete che in caso negativo possa essere penetrata in parte perché strutturalmente composta da più sezioni. Da quello che è accaduto, non è ancora chiaro se solo l’intera Campania sia stata compromessa da BlackBasta nell’attacco a Synlab, in attesa di ulteriori risvolti potenzialmente possibili anche in altre regioni dove la società multinazionale tedesca ha ereditato anamnesi intere di una buona fetta della popolazione italiana attraverso in seguito alle acquisizioni di quelli che un tempo erano i centri di analisi e diagnostica più importanti del territorio.

Prosegui la lettura

Inchieste

Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari

Tempo di lettura: 5 minuti. Melinda French Gates lascia la Gates Foundation, portando con sé 12,5 miliardi di dollari per le sue iniziative filantropiche

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

16 ore fa

in data

14/05/2024

Livio Varriale

Tempo di lettura: 5 minuti.

Melinda French Gates ha annunciato il suo ritiro dalla Bill and Melinda Gates Foundation, portando con sé un capitale di 12,5 miliardi di dollari. Questa decisione arriva tre anni dopo il suo annuncio di separazione da Bill Gates, il cofondatore di Microsoft.

Dettagli della transazione

Melinda ha comunicato che investirà i 12,5 miliardi di dollari in iniziative filantropiche personali, focalizzate principalmente sul supporto a donne e famiglie. Le disposizioni per questo trasferimento di fondi sono state già messe in atto. In seguito alla sua uscita, la fondazione subirà anche un cambio di nome da Bill and Melinda Gates Foundation a Gates Foundation, un titolo già in uso non ufficiale per brevità e chiarezza. Bill Gates rimarrà l’unico amministratore della fondazione.

Impatto e prospettive future

La Gates Foundation, una delle maggiori organizzazioni filantropiche private del mondo, detiene un patrimonio di 75,2 miliardi di dollari e ha contribuito con 77,6 miliardi di dollari a vari progetti nel corso di quasi tre decenni, con un focus particolare su progetti medici. Melinda French Gates, dal canto suo, continua il suo impegno per la promozione delle opportunità per donne e minoranze negli Stati Uniti tramite la sua iniziativa Pivotal Ventures, fondata nel 2015.

Dalla medicina alla rappresentanza femminile

Pivotal Ventures è un’impresa di investimento e incubazione fondata da Melinda French Gates nel 2015. La missione di questa organizzazione è accelerare il progresso sociale negli Stati Uniti, rimuovendo le barriere che impediscono alle persone di realizzare il loro pieno potenziale. Pivotal Ventures opera attraverso investimenti ad alto impatto, partenariati e iniziative di advocacy, focalizzandosi in particolare sul potenziamento delle donne e delle minoranze.

Le attività di Pivotal Ventures sono diverse e comprendono sia il sostegno a iniziative volte a promuovere la diversità e l’inclusione nei settori della tecnologia e della politica, sia l’investimento in soluzioni innovative che mirano a risolvere problemi sociali complessi. L’organizzazione lavora in stretta collaborazione con altri filantropi, fondazioni e aziende per creare un impatto duraturo e significativo. Tra le iniziative di spicco vi sono programmi per aumentare la rappresentanza femminile nelle posizioni di leadership e per sviluppare strumenti educativi e risorse che supportano i giovani svantaggiati. Pivotal Ventures si impegna così a creare un futuro più equo e inclusivo, utilizzando una combinazione di capitali privati e collaborazione pubblica per catalizzare il cambiamento sociale.

Filantropia o elusione fiscale?

Non ci sono informazioni specifiche sulle cifre esatte del risparmio fiscale di Bill e Melinda Gates attraverso le loro fondazioni. Tuttavia, possiamo discutere di come funzionano generalmente le fondazioni private e il loro impatto fiscale negli Stati Uniti.

Le fondazioni private, come la Bill & Melinda Gates Foundation, sono organizzazioni filantropiche esenti da tasse federali sul reddito. Queste fondazioni beneficiano di diversi incentivi fiscali, che includono la deducibilità delle donazioni e l’esenzione da tasse sui redditi d’investimento, soggetti a una tassa di excise dello 1,39%. Questi vantaggi fiscali incentivano la creazione e il sostegno di fondazioni filantropiche, consentendo ai donatori, come Bill e Melinda Gates, di detrarre le donazioni dalle loro imposte personali.

Il processo funziona così: quando i Gates donano denaro o altri beni alla loro fondazione, possono ricevere una detrazione fiscale significativa. Questo riduce l’imposta sul reddito che devono pagare. Inoltre, le risorse trasferite alla fondazione crescono e vengono utilizzate esentasse, permettendo alla fondazione di aumentare il suo impatto filantropico. Tuttavia, le fondazioni sono obbligate a distribuire almeno il 5% del loro patrimonio netto medio di mercato ogni anno per scopi caritatevoli per mantenere il loro status di esenzione fiscale.

Perchè c’è del marcio in questa operazione?

Negli Stati Uniti, il trasferimento di capitali tra fondazioni, come nel caso di donazioni da una fondazione privata a un’altra entità caritatevole, è regolato da specifiche normative fiscali che mirano a incoraggiare le attività filantropiche pur mantenendo un certo livello di controllo sugli abusi.

Quando una fondazione privata effettua una donazione a un’altra organizzazione esentasse, come un’altra fondazione privata, un’università o un ente di beneficenza, queste donazioni sono generalmente deducibili dalle tasse della fondazione donante. Ciò significa che tali trasferimenti possono ridurre l’ammontare del reddito imponibile della fondazione donante, diminuendo così l’ammontare delle tasse dovute, a patto che l’organizzazione ricevente sia riconosciuta dal Servizio delle Entrate Interne (IRS) come un’entità esente da tasse.

Aspetti chiave della regolamentazione:

Status di Esenzione Fiscale: Perché i trasferimenti siano deducibili, entrambe le fondazioni devono mantenere lo status di esenzione fiscale sotto l’Internal Revenue Code Section 501(c)(3). L’organizzazione ricevente deve essere qualificata come esente da tasse e non deve operare per il profitto personale dei suoi membri.
Distribuzione Minima Richiesta: Le fondazioni private sono soggette a una regola di distribuzione minima annuale, che richiede loro di distribuire almeno il 5% del valore del loro patrimonio netto non caritativo per scopi caritativi ogni anno. I trasferimenti a altre organizzazioni caritative possono essere utilizzati per soddisfare questo requisito.
Documentazione e Conformità: Le fondazioni devono mantenere una documentazione accurata di tutte le donazioni per garantire la conformità con le regole IRS. Questo include la conservazione dei record che confermano lo status di esenzione fiscale dell’organizzazione beneficiaria.
Evitare Benefici Personali: È essenziale che i trasferimenti di fondi non risultino in benefici personali per i dirigenti o i donatori della fondazione. Le regole di auto-dealing dell’IRS cercano di prevenire situazioni in cui i fondi delle fondazioni sono usati per benefici personali piuttosto che per scopi caritativi.

Queste regolazioni aiutano a garantire che il trasferimento di fondi tra fondazioni sia utilizzato per promuovere effettivamente attività filantropiche e non per eludere gli obblighi fiscali o per fini personali. L’IRS monitora attentamente queste attività per prevenire abusi del sistema di esenzione fiscale.

L’amicizia tra Gates ed Epstein

Il divorzio tra Bill Gates e Melinda French Gates, annunciato nel maggio 2021, ha suscitato grande attenzione non solo per le sue implicazioni finanziarie, ma anche per i dettagli personali emersi, inclusi i rapporti di Bill Gates con Jeffrey Epstein. Secondo vari report, tra cui uno del New York Times, Melinda aveva espresso preoccupazioni riguardo alla relazione del marito con Epstein, un finanziere noto per le sue condanne per reati sessuali. Queste preoccupazioni sono emerse dopo che Bill Gates aveva partecipato a numerosi incontri con Epstein, che si sono protratti fino a tarda notte e sono stati descritti come tentativi di Epstein di lavorare con la fondazione Gates.

Questi incontri sono avvenuti nonostante le precedenti condanne di Epstein e la sua reputazione discutibile, fatti che hanno aggravato le tensioni all’interno del matrimonio Gates. Melinda ha rivelato in un’intervista di aver avuto incubi dopo aver incontrato Epstein una volta, sottolineando che aveva chiarito a Bill la sua disapprovazione per qualsiasi ulteriore interazione con lui. Questi elementi hanno contribuito a creare un contesto complesso che ha influenzato la decisione di Melinda di procedere con il divorzio, un processo che, secondo le rivelazioni, era in preparazione da alcuni anni prima dell’annuncio ufficiale.

Il precedente di Bezos e l’ex Lady Amazon

I divorzi nel mondo delle Big Tech sono stati spesso fonte di interesse pubblico, data la loro portata finanziaria e mediatica. Ad esempio, uno dei divorzi più noti è stato quello tra Jeff Bezos, fondatore di Amazon, e MacKenzie Scott. Dopo 25 anni di matrimonio, la coppia si è separata nel 2019, con un accordo che ha visto MacKenzie Scott ricevere circa il 4% delle azioni di Amazon, valutate allora circa 36 miliardi di dollari. Questo accordo ha reso MacKenzie una delle donne più ricche del mondo.

L’uscita di Melinda French Gates dalla fondazione che ha co-fondato segna un nuovo capitolo sia per lei che per l’organizzazione. Questo movimento riflette un cambiamento significativo nel panorama filantropico globale e pone le basi per future iniziative indipendenti da parte di Melinda che continueranno a influenzare positivamente le comunità di tutto il mondo. Questi sviluppi rappresentano un momento significativo per la filantropia globale, evidenziando come anche i leader del settore possono evolvere e adattarsi a nuove realtà e sfide personali e professionali.

Prosegui la lettura

Inchieste

Perchè il motore di ricerca OpenAI fa paura ai giornalisti?

Tempo di lettura: 4 minuti. OpenAI sfida Google con un nuovo motore di ricerca basato su ChatGPT, promettendo un’evoluzione nella ricerca online.

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

1 settimana fa

in data

07/05/2024

Livio Varriale

Tempo di lettura: 4 minuti.

OpenAI sembra pronta a rivoluzionare il mondo della ricerca online lanciando un proprio motore di ricerca basato su ChatGPT, secondo quanto riportato da diverse fonti autorevoli. Il lancio di questo nuovo servizio è previsto per il 9 maggio e potrebbe segnare una svolta significativa nel modo in cui le informazioni vengono cercate e trovate su Internet secondo molti addetti ai lavori dell’informazione tecnologica, ignari che questo cambiamento sia già in corso.

Dettagli del lancio

Il nuovo motore di ricerca, indicato con il dominio https://search.chatgpt.com, è al centro di numerose discussioni e speculazioni. Il CEO di OpenAI, Sam Altman, ha espresso in più occasioni l’intenzione di integrare i modelli linguistici avanzati (Large Language Models) nella ricerca web, proponendo un’alternativa all’approccio tradizionale di Google che presenta pagine di risultati piene di annunci e link.

Implicazioni di Mercato

Google, che domina il mercato dei motori di ricerca con una quota vicina al 90%, potrebbe trovarsi di fronte a una nuova concorrenza significativa. Non solo, Microsoft, uno dei principali finanziatori di OpenAI, potrebbe vedersi in una posizione complicata se OpenAI decidesse di competere direttamente con Bing, il suo motore di ricerca. Oppure il motore di ricerca firmato ChatGPT è il fumo negli occhi per evitare maggiori attenzioni delle indagini concorrenziali dei vari garanti del mercato in giro per il mondo?

Collaborazioni e competizioni

Anche Apple è menzionata come un possibile collaboratore di OpenAI, intensificando le trattative per integrare ChatGPT nei dispositivi iOS. Tuttavia, ciò potrebbe complicare le relazioni tra Apple e Google, che paga miliardi ogni anno per rimanere il motore di ricerca predefinito su dispositivi iOS.

Aspetti tecnologici e innovativi

Il motore di ricerca di OpenAI promette di utilizzare l’intelligenza artificiale per migliorare l’esperienza di ricerca degli utenti, fornendo risposte più contestualizzate e precise, sfruttando le capacità uniche dei modelli generativi di linguaggio. Il lancio del motore di ricerca di OpenAI rappresenta non solo un’evoluzione tecnologica significativa ma anche un potenziale cambio di paradigma nel settore dei motori di ricerca. Le implicazioni di questa mossa sono vastissime, influenzando non solo le aziende tecnologiche ma anche gli utenti e il modo in cui accedono alle informazioni online.

Google deve preoccuparsi?

Al netto delle notizie che annunciano il nuovo motore di ricerca realizzato da OpenAI, gli acchiappa clic dell’informazione italica hanno intitolato che ad aver paura di questa iniziativa imprenditoriale di nuova generazione debba essere Google, da anni motore di ricerca, incontrastato con un monopolio di fatto nonostante ci siano diversi alternative e l’Europa stia andando verso una direzione rappresentativa dell’intero mercato. Seppur un nuovo competitor, con una tecnologia proprietaria all’avanguardia rispetto a tutto il resto del mercato, rappresenti una preoccupazione per il grande burattinaio della rete, a doversi preoccupare in realtà sono tutti gli attori impegnati oggi per pochi spiccioli a fornire contenuti alla materia oscura di Google. Questa preoccupazione, ad oggi, è comunque parte di un colosso che sta già agendo in questa direzione ed è possibile notarlo attraverso gli aggiornamenti oramai a cadenza semestrale che BIG sta facendo sottoforma di reindicizzazione della rete Internet.

Non è data sapere la metodica ed i criteri dell’algoritmo con cui Google sta provvedendo Nel riscrivere le regole della ricerca su Internet, ma tutti i siti Internet, a parte quelli inviso alla cupola della sezione News, stanno subendo dei cali vertiginosi proprio dagli indici di ricerca. Se Google nel suo ultimo aggiornamento si è concentrato nell’arginare i contenuti di intelligenza artificiale generati solo ed esclusivamente per imbrogliare l’algoritmo con il fine di indicizzare siti di cucina insieme a quelli di tecnologia per esempio, oggi sta iniziando a fornire direttamente le risposte e tutto questo va in danno ai link dei siti Internet che pubblicano le informazioni.

Davvero chi oggi descrive l’avvento del motori di ricerca di OpenAI in realtà non ha ancora compreso che tutto questo andrà a penalizzare un intero settore che non è più ristretto ai Media, ma all’intera generazione di contenuti su Internet?

Il fatto che le risposte generate da Google, seppur citino la fonte, fanno perdere tanto traffico ai siti dal punto di vista della ricerca organica, soprattutto in un’epoca dove l’utente è abituato a non approfondire, bensì a leggere velocemente soffermandosi sulle prime risposte senza avvertire la necessità di approfondire nel link d’origine.

Con ChatGPT ed il suo motore di ricerca questo procedimento si amplificherà di più a maggior ragione del fatto che la sua tecnologia è criticata proprio per essere irriconoscente nei confronti di coloro che generano contenuti e che li utilizza impropriamente per addestrare la il suo modello linguistico avanzato. Se Google ha dato, e sta dando, una mazzata notevole alla rete, OpenAI rischia di dare un colpo di grazia definitivo a tutti coloro che quotidianamente forniscono risposte ed informazioni ai quesiti degli utenti della rete mantenendoli aggiornati con il corso del tempo.

Il paradosso del Click

Quindi assistiamo al fatto che per catturare un singolo clic, le testate editoriali fanno riferimento alla paura di Google ignorando quei rischi che in realtà potrebbero definitivamente gli potrebbe far perdere clic e visualizzazioni in futuro difficili più di quanto stia avvenendo ora, sacrificando visualizzazioni ed in introiti pubblicitari. Non è un caso che la Commissione Editoria voluta dal governo abbia promosso un equo compenso per gli editori che verranno surclassati dalla tecnologia dell’intelligenza artificiale applicata nella generazione di informazioni e di risposte fornite dai motori di ricerca già alimentata da colossi del settore che intendono effettuare un passaggio strutturale definitivo concentrato all’impiego di contenuti generati attraverso applicativi di intelligenza artificiale.

E mentre la cupola dei grandi gruppi editoriali è stata garantita dall’immagine divina di padre Paolo Benanti e del curatore degli interessi della famiglia Berlusconi padre Alberto Barachini, sottosegretario all’editoria, se Google debba iniziare a preoccuparsi, lo sa bene anche la stessa Microsoft che si nasconde dietro ai progetti di OpenAI che stanno decretando una crescita improvvisa e smisurata della sua offerta tecnologica, ma ad essere a rischio non solo è la proprietà intellettuale, ma tutto un sistema di informazione che ovviamente assottiglia sempre di più la sua visibilità in un mercato che è tutt’altro che libero e che non offre le stesse possibilità di crescita: sempre che non si riesca a far parte della cupola di Governo in combutta con Google News ed altre realtà come le piattaforme social.

Prosegui la lettura