Inchieste
AgainstTheWest: l’APT49 che non esiste e odora di “Occidente”
In questi giorni di guerra cibernetica tra Russia e Ucraina, c’è un gruppo molto valido dal punto di vista tecnico che sta portando a casa diversi colpi nell’ambito dell’hacking. Parliamo del collettivo AgainstTheWest il cui titolo già suona strano perchè per West si intende l’Occidente mentre loro si dichiarano apertamente contro Cina e Russia.
Anche il nome Blue Hornet non risulta negli annali dei gruppi attivi nel campo della guerra o della propaganda informatica. Quello che ancora di più non torna è la classificazione che il collettivo si è dato “Apt49” che solitamente viene riservato agli attori statali coinvolti da anni in azioni di spionaggio, con finalità di intelligence o distruttiva, di cui non potrà mai fare parte per due motivi:
- La sua storia “risicata” tra le pagine web
- La sua appartenenza ai collettivi e non alle APT
Dal punto di vista della classificazione, Against the west non può lessicalmente descriversi come un apt perchè è un collettivo al pari di Anonymous che lavora in favore di una idea, notoriamente anti russa e cinese. Se il gruppo è slegato da logiche nazionali, meglio che conservi lo status di un semplice nominativo e non di un battaglione militare statale. Anche perchè sarebbe facile supporre l’adesione del gruppo alla NATO o agli USA.
Dal punto di vista storico, Against The West è un collettivo che si è più volte beccato in litigi con Anonymous perchè lo ha colpevolizzato di “rubare” il proprio lavoro, vendendoselo in giro.
E’ apparso per la prima volta il 14 ottobre, in un post nella sezione Leaks Market del defunto RaidForum, in cui affermava di mettere in vendita materiale hackerato rubato dalla banca centrale cinese:
“Abbiamo lavorato per almeno due mesi a questa operazione. Ci ha permesso di accedere agli asset interni della People’s Bank Of China“.
Questo ovviamente fa intendere che sono motivati finanziarmente, ma non è così, ed infatti sebbene alcuni dei primi post di ATW siano stati messi in vendita, molti da allora sono stati regalati gratuitamente. “Se non si vendono mai, probabilmente finiremo per metterli in vendita gratuitamente. Non ci interessa molto il denaro“, affermano in una risposta a un thread sui dati di Alibaba Cloud violati. “Questo punto è forse ulteriormente dimostrato dalla loro accettazione di Bitcoin ed Ethereum, che possono essere banalmente tracciati, piuttosto che della valuta preferita dalla clandestinità, Monero” recita il Backchannel Blog, ma è inutile dire che è possibile lavare i bitcoins con le famose laundry nel dark web e non solo.
Secondo molti Against The West è una persona semplice con ottime competenze di hacking e non è assolutamente una copertura di attori statali più spregiudicati con una finalità di intelligence. Quello che attira i più nell’occidente, compresi giornalisti e media, è la propensione all’attacco nei confronti della Cina per questioni sociali dimenticate dallo stesso Occidente come lo stato di vita della popolazione degli Uiguri.
C’è anche da sostenere l’analisi sulla discesa in campo del collettivo contro i russi e questo denota un aspetto più che contro l’Occidente, a favore di esso. Oltre alla Russia e la Cina, nella lista ci sarebbe anche l’Iran: anch’esso nemico riconosciuto del “West“.
E se per occidente si intende l’Ovest di paesi come Corea del Sud o Giappone? O addirittura degli Stati Uniti?
Gli attacchi di Against The West
- 14 ottobre Primo post di ATW sotto il nome di “AgainstTheWest“. Con il titolo “Operazione Renminbi“, ATW afferma di essere in possesso di materiale hackerato dalla People’s Bank of China. I dati includerebbero software interno, credenziali, vulnerabilità e rapporti sulla sicurezza interna della banca. ATW sostiene che per ottenere l’accesso è stato utilizzato un attacco alla catena di fornitura. Questa è una delle poche violazioni di ATW in cui i dati vengono messi in vendita piuttosto che pubblicati su RF, al prezzo di “1200 dollari per l’intera fuga di notizie. 200 dollari per progetto src [codice sorgente]”.
- 23 ottobre ATW mette in vendita dati presumibilmente rubati da macchine Lenovo sulla rete del Centro cinese per il controllo e la prevenzione delle malattie.
- 27 ottobre ATW continua a pubblicare nell’ambito dell'”Operazione Renminbi“, facendo trapelare dati interni e software presumibilmente provenienti dalle piattaforme mediche e del personale del Ministero della Pubblica Sicurezza cinese. ATW dichiara di poter essere contattata per “future fughe di notizie” all’indirizzo e-mail gore-tex@riseup.net.
- 28 ottobre In un post intitolato “ATW Introduction Thread“, ATW riassume le proprie intenzioni: “Siamo ATW, un gruppo di individui che la pensano come noi e che ce l’hanno con i governi e i Paesi autoritari e corrotti. Pubblicheremo una grande maggioranza di thread sulle fughe di notizie governative, soprattutto da Cina, Corea del Nord e altri paesi. Siamo stufi del fatto che (soprattutto la Cina) domini Internet con campagne di attacchi informatici, che assista la Corea del Nord nell’infrangere le sanzioni internazionali e che tratti il gruppo etnico degli Uiguri“.
- 31 ottobre ATW pubblica quella che viene etichettata come la seconda parte dell’Operazione Renminbi, facendo trapelare ulteriore codice sorgente di un software presumibilmente rubato dal Ministero della Pubblica Sicurezza cinese.
- 2 novembre L’utente di Wikipedia “SecuritySeccL33t” crea una pagina di Wikipedia per ATW. Oltre a essere il contributore principale della pagina, SecuritySeccL33t descrive ATW come un “gruppo di hacking“, che ha obiettivi hacktivisti e si ispira alla difesa di Taiwan e al genocidio degli Uighyr. L’utente di Wikipedia non esiste più e altri utenti hanno contribuito alla pagina.
- 12 novembre – 13 novembre In un post modificato su sohu.com, la società cinese di cybersicurezza Sangfor Technologies pubblica un’analisi dettagliata dell’attacco apparentemente condotta da ATW. Facendo riferimento alla pubblicazione di ATW del 14 ottobre sulla People’s Bank of China, Sangfor esamina una cronologia dell’intrusione, confermando apparentemente che ATW ha violato la banca e che ha avuto accesso ai servizi SonarQube pubblicamente accessibili sulla rete della banca per visualizzare ed esfiltrare il codice sorgente. Si tratta di una tecnica per le versioni di SonarQube inferiori alla versione 8.6 resa famosa dagli hacktivisti al punto che l’FBI ha emesso una notifica flash al riguardo.
- 13 novembre In un post intitolato “Dichiarazione di guerra alla Cina“, ATW afferma di aver dichiarato guerra al popolo cinese: Ora usciamo ufficialmente allo scoperto e lo diciamo. È noto che siamo contro la Cina, ma non per quale motivo. Sono gli sforzi combinati dei “campi di rieducazione” che hanno commesso il genocidio dell’etnia uigura, l’attacco antidemocratico a Hong Kong e l’aggressione a Taiwan. Un tempo nutrivamo odio nei confronti dello Stato e del governo cinese. Tuttavia, la situazione è cambiata. L’articolo più recente, a base cinese, ci ha inviato minacce, ignorando le vere ragioni alla base dei nostri attacchi. Ora stiamo rivolgendo la nostra attenzione all’intera popolazione cinese. Avete ignorato i nostri ragionamenti e accettato ciecamente la risposta del vostro paese.
- 15 novembre 09:59 UTC ATW pubblica il codice sorgente della società cinese di social media Bytedance.
- 15 novembre 19:55 UTC ATW annuncia che si prenderà una “pausa prolungata” e che “ognuno di noi ha la propria vita personale di cui occuparsi” e che tornerà “tra circa un mese”. Notano che la loro Keybase è stata sospesa, ma non specificano a quale nome utente si riferiscono. ATW fornisce l’e-mail AgainstTheWest@riseup.net, precisando che non sta monitorando la propria casella di posta elettronica gore-tex@riseup.net.
- 16 novembre 23:11 UTC ATW annuncia il ritorno alle operazioni, affermando che “speravamo di goderci un mese o due di pausa”, ma citando “la Cina sta ancora facendo delle mosse contro gli Stati Uniti e Taiwan” come ragione per una vacanza ridotta. Russia, Corea del Nord e Iran sono citati come Paesi “ancora nel nostro mirino“.
- 18 novembre In una nuova operazione denominata “Rublo“, ATW pubblica il presunto codice sorgente di Delans.ru, una società russa di software per servizi postali.
- 23 novembre Su Twitter, @vxunderground riferisce che ATW ha violato una stazione televisiva cinese, trasmettendo per 53 minuti che, il 25 novembre SecurityLab, un’organizzazione giornalistica finanziata dalla società russa di ricerca sulla sicurezza Positive Technologies, pubblica un articolo su ATW riguardante la trasmissione della stazione televisiva.
Fonti : BackChannel
Inchieste
Pharmapiuit.com : sito truffa online dal 2023
Tempo di lettura: 2 minuti. Pharmapiuit.com è l’ultimo sito truffa ancora online di una serie di portali che promettono forti sconti, ma in realtà rubano ai clienti
Una segnalazione alla redazione di Matrice Digitale del sito pharmapiuit.com ha permesso di scovare un altro sito truffa. Il portale web è una farmacia online che vende prodotti di ogni genere, dai farmaci da banco ai prodotti omeopatici passando per le calzature ortopediche.
Il portale è sfuggito alla miriade di siti scovati dalla redazione nei mesi precedenti grazie anche alle segnalazioni dei lettori, che in passato sono stati messi in rete e spesso sfruttavano il nome di aziende esistenti ed infatti risulta online dal 2023 e questo fa intendere che appartiene alla schiera di siti truffa scovati e molti oscurati dagli stessi criminali.
Anche in questo caso, l’utente ha provato ad acquistare un prodotto segnalando il sito in questione “puó sembrare un sito italiano perché riporta un indirizzo italiano: Via Roncisvalle, 4 37135 Verona, ma in realtá, quando si fa un ordine, il pagamento finisce da VDDEALS e nessun prodotto ordinato arriva”. Non arriva regolare conferma d’ordine, ma delle mail in lingua straniera da servivesvip@guo-quan.com con dei link per tracciare un ipotetico pacco. Non ho cliccato i link per non cadere in altra truffa. Comunque a distanza di piú di 3 settimane è arrivato nulla“.
Dando uno sguardo al portale ed al modulo di acquisto, è possibile notare che, nonostante sia promossa la vendita attraverso più piattaforme di pagamento, il sito accetti dati di Visa e Mastercard. Questo perché sono ancora le uniche carte di credito facilmente spendibili nei mercati neri per effettuare acquisti fraudolenti.
E’ chiaro che il pagamento avvenga, così come sia possibile anche che i dati inseriti possano creare un profilo completo di acquisto ai criminali in modo tale da poter perpetrare la truffa in piena autonomia su altri canali di vendita.
Il sito originale
Il sito originale è Pharmapiu.it ( è bastato unire il dominio aggiungendo il punto com pharmapiuit.com ) ed è di una farmacia di Messina che nulla a che vedere con la truffa in questione ed è stata avvisata già dalla redazione.
Hai dubbi su in sito oppure hai subito una truffa? contatta la Redazione
Inchieste
Temunao.Top: altro sito truffa che promette lavoro OnLine
Tempo di lettura: 2 minuti. Temunao.top è l’ennesimo sito web truffa che promette un premio finale a coloro che effettuano con i propri soldi degli ordini
L’inchiesta di Matrice Digitale sulla truffa Mazarsiu ha subito attirato l’attenzione dei lettori che hanno trovato una similitudine con il sito già analizzato e quello di Mark & Spencer scoperto qualche mese addietro: www.temunao.top.
Un lettore è stato contattato da una certa “Darlene” via WA da un numero +34 697 32 94 09 che lo ha fatto iscrivere alla piattaforma che si presenta con lo stesso modello di Mazarsiu. Questo portale è indirizzato a un pubblico spagnolo che cade in tranello leggendo “Temu” e si ritrova in una pagina in lingua ispanica.
In questa occasione, l’utente ha perso 750 euro, ma per fortuna non è caduto anche nella trappola di Mazarsiu e sembrerebbe che ci sia un collegamento tra le due organizzazioni per il modo di fare aggressivo-passivo degli interlocutori al telefono che mandano messaggi, ma non rispondono perché si dicono sempre impegnatissimi a trainare gli affari.
Il sito web è online dal 4 aprile di quest’anno e questo fa intendere che sia probabile che in molti siano caduti nella trappola perdendo soldi in seguito a quella che sembrerebbe una truffa messa in piedi dallo stesso gruppo criminale su scala internazionale.
Continuate a segnalare siti truffa o sospetti alla redazione via Whatsapp o attraverso il form delle SEGNALAZIONI
Inchieste
Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco
Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la storia di Mazarsiu e di una segnalazione in redazione
Nel mese di gennaio abbiamo trattato la notizia di una offerta di lavoro fittizia che usava il blasone di Mark & Spencer. Una lettrice di Matrice Digitale ha prontamente contattato la redazione dopo che, in fase di navigazione su un sito di Adecco, società famosa per il suo servizio di lavoro interinale a lavoratori e aziende, ha cliccato su un banner pubblicitario che l’ha proiettata su questa pagina:
www.mazarsiu.com si presenta come sito web che consente di svolgere dei compiti e di guadagnare una volta finite le 38 “mansioni”. Ogni mansione ha un investimento incrementale che frutta diverse centinaia di migliaia di euro ai criminali.
L’ancoraggio alla potenziale vittima è stato fatto attraverso WhatsApp da parte di un numero italiano ( 3511580682 ) con un nome ispanico
L’utente Lara Cruz si presenta a nome di una società che reale con sede a Napoli, ma ha un volto asiatico in foto e un nominativo ispanico. E si propone di aiutare gli utenti nella loro fase di registrazione per poi indirizzarle da subito nel lavoro.
La segnalazione è stata inviata in redazione il 15 ed il sito è stato creato il 14 maggio, un giorno prima, ed il veicolo del sito truffa è stato possibile grazie all’utilizzo di una sponsorizzata su AdWords da una piattaforma legittima di Adecco e, per fortuna, la malcapitata ha letto l’inchiesta di Matrice Digitale che l’ha messa sull’attenti.
Se doveste trovarvi dinanzi a un sito che propone lavoro on line, come Mazarsiu o Mark & Spencer, e l’impiego consiste nell’anticipare dei soldi, contattate subito le Autorità o la redazione di Matrice Digitale nell’apposito form di segnalazione o via WhatsApp
- Robotica1 settimana fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Inchieste5 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla5 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Economia1 settimana fa
Chi sarà il successore di Tim Cook in Apple?
- Inchieste4 giorni fa
Terrore in Campania: dati sanitari di SynLab nel dark web
- Economia1 settimana fa
Ban in Germania per alcuni prodotti Motorola e Lenovo
- Economia1 settimana fa
Guerra dei Chip: gli USA colpiscono la ricerca cinese nella Entity List
- Smartphone5 giorni fa
Samsung Galaxy S25 Ultra avrà una Fotocamera rispetto all’S24