Inchieste
Aoqin Dragon: chi è l’APT cinese che spia il Sud Est Asiatico
Tempo di lettura: 2 minuti. Sentinel One trova i resposnabili degli attacchi avvenuti in 10 anni ai danni di Australia, Cambogia, Hong Kong, Singapore e Vietnam
I ricercatori di sicurezza di SentinelOne hanno analizzato le operazioni di un gruppo di cyber-spionaggio cinese che, almeno dal 2013, ha preso attivamente di mira organizzazioni del settore dell’istruzione, del governo e delle telecomunicazioni in Australia e nel sud-est asiatico.
Soprannominato Aoqin Dragon, il gruppo è passato dall’uso di documenti dannosi all’impiego di un falso antivirus e, più recentemente, all’utilizzo di una falsa unità rimovibile per indurre le vittime a installare malware sui loro sistemi.
Secondo SentinelOne, l’attore della minaccia si affida molto alla tecnica del collegamento USB per infettare altri bersagli. Il gruppo di solito rilascia una delle due backdoor su un sistema compromesso, ovvero Mongall o una variante modificata di Heyoka.
Secondo SentinelOne, l’attività in corso di Aoqin Dragon si è concentrata principalmente sullo spionaggio di organizzazioni in Australia, Cambogia, Hong Kong, Singapore e Vietnam.
Tra il 2012 e il 2015, ha preso di mira le vittime principalmente con documenti dannosi che sfruttavano i bug CVE-2012-0158 e CVE-2010-3333. Sebbene le patch per questi bug fossero state rilasciate prima dei tentativi di sfruttamento di Aoqin Dragon, “questo tipo di esca per la gestione delle vulnerabilità RTF era molto comune in quel periodo“, osserva SentinelOne.
Gli aggressori hanno utilizzato temi pornografici per attirare le vittime ad aprire i documenti dannosi, hanno incluso nella maggior parte dei documenti contenuti di esca a tema politico APAC e hanno utilizzato documenti specifici per tutto il sud-est asiatico.
Aoqin Dragon ha anche utilizzato file eseguibili che presentavano icone di file modificate per sembrare cartelle di Windows o applicazioni antivirus, ma che invece rilasciavano una backdoor nel sistema della vittima.
Il dropper eseguibile conteneva in genere uno script progettato per cercare nel sistema documenti Microsoft Word. Il dropper agiva anche come worm, abusando di dispositivi rimovibili per diffondere il malware ad altri host.
Nelle campagne più recenti, la catena di attacco prevede un file di collegamento su disco rimovibile che porta all’esecuzione del malware. Il dirottamento della DLL viene utilizzato per eseguire un loader dannoso come explorer.exe.
Il loader controlla quindi la presenza di dispositivi rimovibili collegati, copia i moduli malware nella cartella AppData e imposta la funzione di avvio automatico sulla posizione dei file maligni, in modo che il loader venga eseguito al riavvio del sistema.
Il caricatore decodifica quindi due payload, ovvero un diffusore progettato per copiare tutti i file dannosi sulle unità rimovibili e una backdoor crittografata che si inietta nel processo rundll32.
I ricercatori di sicurezza hanno identificato diverse versioni di Mongall, una piccola backdoor che l’attore delle minacce utilizza dal 2013. La minaccia è stata progettata per creare una shell remota e per scaricare e caricare file, e utilizza il protocollo GET per la trasmissione dei dati.
Aoqin Dragon è stato anche osservato mentre utilizzava una versione modificata di Heyoka, un progetto open source progettato per l’esfiltrazione dei dati attraverso richieste DNS spoofate che creano un tunnel bidirezionale. Le cyberspie distribuiscono questo strumento sul sistema della vittima utilizzando l’iniezione di DLL.
Gli autori del malware hanno anche ampliato le capacità del progetto e vi hanno aggiunto due server di comando e controllo (C&C) codificati. Dotata delle stesse capacità di Mongall, la backdoor controlla anche se viene eseguita come servizio o meno, per assicurarsi di avere i privilegi per essere persistente.
“L’obiettivo di Aoqin Dragon è strettamente legato agli interessi politici del governo cinese. Considerando questo sforzo a lungo termine e i continui attacchi mirati degli ultimi anni, riteniamo che le motivazioni dell’attore della minaccia siano orientate allo spionaggio“, osserva SentinelOne.
Inchieste
Google licenzia 28 dipendenti in protesta per il Cloud con Israele
Tempo di lettura: 3 minuti. Google ha licenziato 28 dipendenti dopo proteste riguardanti un contratto cloud con Israele: una scelta che farà discutere
Google ha recentemente licenziato 28 dipendenti in seguito alla protesta legata al suo contratto cloud con Israele del progetto Nimbus. Queste proteste, avvenute negli uffici di New York e Sunnyvale, hanno portato a comportamenti giudicati inaccettabili dalla compagnia, inclusa la presa di controllo di spazi ufficio, danneggiamenti della proprietà, e ostacoli fisici all’attività lavorativa di altri dipendenti.
Dettagli del licenziamento
Le proteste hanno portato alla defenestrazione e al danneggiamento della proprietà di Google, comportamenti che l’azienda ha categoricamente condannato. I dipendenti coinvolti sono stati immediatamente messi sotto indagine e i loro accessi ai sistemi di Google sono stati revocati. Alcuni di questi, che si sono rifiutati di lasciare gli uffici, sono stati arrestati dalle forze dell’ordine. Dopo un’indagine approfondita, Google ha deciso di terminare il rapporto lavorativo con 28 dei dipendenti coinvolti.
Politiche e standards di Comportamento
Google ha ribadito che il comportamento manifestato viola molteplici politiche aziendali, tra cui il Codice di Condotta e le politiche su Molestie, Discriminazione, Ritorsioni, Standard di Condotta e Preoccupazioni sul Posto di Lavoro. L’azienda ha sottolineato che tali azioni non trovano spazio all’interno del suo ambiente lavorativo e che qualsiasi violazione delle politiche interne è soggetta a severe sanzioni, inclusa la possibile terminazione del contratto di lavoro.
Implicazioni per il Futuro
Questo episodio segnala un chiaro messaggio agli impiegati di Google: l’azienda prende molto sul serio le politiche interne e non tollererà comportamenti che le violino. È atteso che i leader aziendali comunichino ulteriormente sui standard di comportamento e discorso ammissibili in ambito lavorativo, riaffermando l’impegno di Google nel mantenere un ambiente professionale e rispettoso.
Dichiarazione dei Lavoratori Google sulla Campagna No Tech for Apartheid e i Licenziamenti di Massa
Una recente dichiarazione rilasciata dai lavoratori di Google associati alla campagna “No Tech for Apartheid” solleva preoccupazioni serie riguardo alle azioni dell’azienda. I lavoratori denunciano licenziamenti di massa come atto di ritorsione per le loro proteste contro il contratto Project Nimbus di Google con il governo israeliano, che considerano supporto a operazioni militari contro i Palestinesi.
Dettagli dei licenziamenti
La dichiarazione specifica che Google ha licenziato indiscriminatamente più di due dozzine di lavoratori, inclusi alcuni che non hanno partecipato direttamente alle proteste di 10 ore che hanno avuto luogo nelle sedi di New York e Sunnyvale. I lavoratori descrivono questi licenziamenti come una chiara dimostrazione che Google dà priorità ai suoi contratti da miliardi con il governo israeliano rispetto al benessere dei suoi dipendenti.
Accuse di Comportamenti Inaccettabili
Secondo la dichiarazione, durante le proteste, Google avrebbe chiamato la polizia sugli stessi lavoratori, portando all’arresto di nove persone. I licenziamenti sono stati giustificati dall’azienda con accuse di “bullismo” e “molestie”, che i lavoratori ritengono infondate, sottolineando che anche i colleghi palestinesi, arabi e musulmani hanno subito discriminazioni e molestie supportate dalla tecnologia Google.
Reazioni e Supporto Interno
Nonostante la pressione e le azioni legali, i lavoratori affermano di aver ricevuto un supporto massiccio e positivo durante le proteste, smentendo le affermazioni di Google su danni alla proprietà o impedimenti al lavoro di altri. La dichiarazione evidenzia l’importanza del sostegno collettivo e la determinazione dei lavoratori di continuare a organizzarsi fino a che Google non abbandonerà Project Nimbus.
I lavoratori di Google chiamano in causa la leadership dell’azienda, in particolare Sundar Pichai e Thomas Kurian, accusandoli di trarre profitto da azioni considerate genocidi. La dichiarazione termina con una nota di sfida, promettendo di intensificare gli sforzi organizzativi nonostante i licenziamenti, mirando a porre fine al supporto di Google a ciò che percepiscono come azioni di genocidio.
Il licenziamento di questi 28 dipendenti da parte di Google evidenzia la tensione tra libertà di espressione dei lavoratori e le necessità di mantenere un ambiente di lavoro ordinato e conforme alle politiche aziendali. Questo evento è destinato a influenzare il dialogo interno sulla gestione delle proteste e delle espressioni di dissenso all’interno dell’azienda.
Inchieste
Banca Sella: il problema che i detrattori del Piracy Shield non dicono
Tempo di lettura: 3 minuti. Banca Sella ha terminato il suo periodo più buio della storia dopo 5 giorni di disagi che hanno lasciato i suoi dipendenti senza soldi
Banca Sella ha subito un blocco delle sue operazioni insieme al circuito Hype per quattro giorni abbondanti nella scorsa settimana. Quello che resta di questa storia è il clamore di un fail epico della migliore banca italiana nel campo dell’innovazione dell’Internet Banking proprio nei suoi sistemi informatici che l’anno resa da sempre un’eccellenza italiana.
I disagi sono stati enormi se consideriamo che tutte le carte di credito appoggiate a Banca Sella sono state escluse dai circuiti internazionali, così come i bancomat del Gruppo e le movimentazioni online sui conti correnti, impossibili attraverso Internet. La banca è stata costretta ad aprire per più ore nei giorni del blocco per ritornare al contante. Alla Redazione di Matrice Digitale sono arrivate diverse segnalazioni di preoccupazione anche dell’eventuale mancato accredito di rate che avrebbero esposto i clienti dell’Istituto alla centrale di rischio.
Ma cosa è successo?
Banca Sella e Hype hanno subito gravi disagi tecnologici che Matteo Flora descrive come una delle più serie catastrofi tecnologiche mai avvenute in una banca italiana. Questi problemi sono stati associati a un malfunzionamento dopo un aggiornamento dei sistemi gestiti da Oracle, precisamente riguardanti l’hardware Exadata. La piattaforma interna che gestisce i servizi bancari sembra essere stata al centro dell’interruzione, influenzando servizi cruciali come il Personal Finance Management (PFM), i gateway PSD2, il Corporate Banking, i Payment Hub per bonifici, , Fabrick Platform, i Virtual IBAN e le operazioni di E-commerce.
Nonostante le significative interruzioni, le informazioni rilasciate finora assicurano che l’integrità dei dati non è stata compromessa. Tuttavia, la portata completa dell’incidente e delle sue ripercussioni rimane sotto osservazione, con la comunità che attende ulteriori aggiornamenti su cosa sia avvenuto attraverso un Post Mortem del reparto informatico e sulle misure di mitigazione al problema. Data la gravità dell’incidente, è probabile che entità regolatorie come l’ABI, la CONSOB e il Garante per la Privacy possano intervenire o richiedere dettagli aggiuntivi riguardo alla gestione dell’evento e alle strategie adottate per prevenire futuri incidenti.
A queste osservazioni si aggiunge una di Matrice Digitale che ha notato una ricostruzione attendibile sia di Flora sia dello stesso Istituto di Credito sulla base del famoso collo di bottiglia che generavano gli aggiornamenti. Negli ultimi giorni del guasto, l’applicativo di internet banking di banca Sella funzionava bene, ma con l’aumentare del picco di utilizzo, ancor di più maggiore perchè veniva da giorni di inutilizzo forzato, faceva ritornare l’app ai suoi messaggi di errore.
Analsi a freddo di Roberto Beneduci
Roberto Beneduci, CEO di CoreTech s.r.l, Milano, attraverso il suo profilo LinkedIn ha avviato una riflessione sull’incidente che ha interessato Banca Sella, sottolineando un punto fondamentale: “i sistemi informatici, per quanto robusti, non sono immuni da rischi e le loro conseguenze non possono essere completamente annullate”.
Analisi dell’incidente
L’incidente in questione è stato causato da operazioni sul database Oracle, specificatamente aggiornamenti software. Questo esemplifica una realtà comune nel settore IT, dove anche routine di manutenzione programmata possono portare a disfunzioni impreviste, sottolineando la vulnerabilità intrinseca dei sistemi informatici.
Reazione e Resilienza
Secondo Beneduci “Post incidente, è probabile che Banca Sella elabori nuove procedure per gestire meglio simili situazioni in futuro. Questo solleva una riflessione critica: spesso si pensa a misure preventive solo dopo aver sperimentato una crisi“. Beneduci fa un parallelo ironico con i controlli di sicurezza aeroportuali, notando come, nonostante le misure severe, ci sono ancora limiti a ciò che si può prevenire.
Gestione delle aspettative e comunicazione
Durante un’interruzione, la domanda più frequente da parte degli utenti e dei clienti è: “Quando torneremo operativi?” Beneduci sottolinea che, in situazioni di crisi, anche le stime più informate possono diventare obsolete in un istante a causa di nuovi problemi imprevisti, rendendo la comunicazione durante gli incidenti una sfida delicata.
Critiche e considerazioni sulla Ridondanza
La frustrazione degli utenti impossibilitati a effettuare operazioni bancarie durante l’interruzione solleva un punto valido: l’importanza di avere sistemi di backup. Beneduci critica la tendenza comune di affidarsi a un unico sistema o soluzione, suggerendo che mantenere un approccio più diversificato e resiliente potrebbe mitigare i danni in situazioni critiche.
Verità scomoda per i puristi della moneta virtuale e per i detrattori di Privacy Shield
Chissà cosa hanno pensato i puristi della moneta virtuale quando i clienti di Banca Sella sono dovuti correre nelle banche per prelevare denaro per fare la spesa senza che ci fosse la possibilità di fare la spesa perché le carte digitali erano fuori uso. Una considerazione che la comunità informatica non ha discusso, concentrandosi sull’aspetto tecnico, ma resta singolare il fatto che ci si preoccupa che Piracy Shield possa rompere Internet e non si è mai posto il problema che i sistemi di pagamento elettronici potessero saltare, compresi i sistemi bancari. Un caso impossibile? Da oggi, secondo un ragionamento empirico visto il precedente di Banca Sella possiamo dire che è possibile. Chissà perché nessuno, tecnico informatico o accademico, si sia mai accorto di questo rischio sponsorizzando indistintamente il contante e relegando al complottismo e all’antiscientifico ragionamenti sui rischi derivanti da eventuali blocchi. L’unica spiegazione è che produrre carta, seppur abbia un valore, non da lavoro ad informatici o accademici, come potrebbe invece fornire una Banca.
Inchieste
Piracy Shield: Capitanio (AGCom) risponde alla nostra inchiesta
Tempo di lettura: 5 minuti. Piracy Shield: alla seconda inchiesta di Matrice Digitale segue un editoriale di Massimiliano Capitanio dell’AGCom: analizziamo le differenze
Il dibattito su Piracy Shield, la piattaforma antipirateria promossa dall’Agcom, si è arricchito di prospettive diverse, riflesse nell’editoriale di Massimiliano Capitanio dell’AGCOM su AgendaDigitale.eu poche ore dopo la pubblicazione della seconda inchiesta di Matrice Digitale. E’ opportuno fare un’analisi che intende evidenziare le differenze ed i punti di incontro tra le due narrazioni, considerando la sequenza temporale delle pubblicazioni e le divergenze nei toni, nei contenuti, ma anche principi comuni.
Piracy Shield secondo l’AGCOM: una misura efficace
Prospettiva tecnologica e risultati
Nell’articolo di Capitanio, Piracy Shield è descritta come un’innovazione tecnologica di rilievo, con un bilancio iniziale di successo dimostrato dalla chiusura di migliaia di indirizzi IP e FQDN illegali. Questo approccio sottolinea l’efficacia operativa della piattaforma e la sua importanza nella lotta contro la pirateria che Matrice Digitale ha accolto, paventando il rischio che più IP si bloccano per un periodo di 6 – 12 mesi e più c’è il rischio che si restringa il campo della disponibilità sull’intera rete Internet con il rischio che qualche criminale possa iniziare ad utilizzare indirizzi condivisi da servizi essenziali.
Difesa dalle critiche e integrità della Piattaforma
Capitanio respinge le accuse di vulnerabilità di Piracy Shield, negando qualsiasi compromissione dovuta a presunti attacchi hacker. Nell’editoriale enfatizza la robustezza della piattaforma, validata da processi di verifica tecnica condotti da enti competenti. Un fatto che Matrice Digitale non ha citato, ma che ha intuito ponendo al lettore la domanda finale sull’eventuale utilizzo da parte del perimetro cibernetico nazionale di indirizzi IP commerciali e che dovrebbe, il condizionale è sempre un obbligo in questi casi, scongiurare un’ecatombe come invece sostengono alcuni megafoni della comunità informatica. Il coinvolgimento di ACN, sbandierato da Capitanio, in questo caso può essere una garanzia che il rischio blocco incontrollato sia minimo.
Approccio legale e collaborazione istituzionale
L’enfasi è posta sulla legittimità dell’iniziativa di Piracy Shield, sottolineando il sostegno unanime del Parlamento e la stretta collaborazione con l’industria, calcistica per lo più, e le autorità per la cybersicurezza. Viene inoltre difesa l’azione di Agcom nella chiusura temporanea di siti legali condivisi con indirizzi IP che difatti diventano illegali, sottolineando la rapidità del ripristino e la necessità di una maggiore consapevolezza e collaborazione da parte dei fornitori di servizi a cui Capitanio e l’AGCom non vogliono togliere spazio commerciale, ma responsabilizzarli sull’eventuale hosting di attività illecite. Questo punto è stato anticipato da Matrice Digitale nella sua seconda inchiesta ed è stato posto come prossima discussione in Europa tanto da far temere gli operatori di servizi qualche provvedimento impossibile da sostenere per l’attuale mercato. Sul ripristino degli IP innocenti, Capitanio dovrebbe spendersi ancora di più di quanto fatto per rodare al meglio il sistema di riattivazione. 3-5 giorni per vedersi online il proprio servizio bloccato ingiustamente sono troppi nell’era di Internet che viaggia in nano secondi.
La visione di Matrice Digitale: non solo buoni propositi, ma critiche e preoccupazioni
Focalizzazione su controversie e percezioni negative
Matrice Digitale ha presentato Piracy Shield in una luce più critica, evidenziando la diffusione del codice su GitHub che secondo alcune fonti dell’underground insistono sul fatto che “sia quello e scritto anche male” ed ha evidenziato le preoccupazioni relative alla censura e alla libertà digitale dinanzi a questo provvedimento che si prefigge di curare la malattia della pirateria. Questa prospettiva pone maggiore attenzione sulle potenziali implicazioni negative della piattaforma per gli utenti e sulla percezione di un attacco alla privacy e all’anonimato online.
Questioni di trasparenza e responsabilità
L’inchiesta di Matrice Digitale solleva dubbi sulla trasparenza delle operazioni di Piracy Shield e sull’efficacia delle politiche di Agcom, mettendo in discussione allo stesso tempo le istanze effettuate da soggetti interessati nei confronti dell’Autorità in occasione dei ricorsi legali. Il caso di Assoprovider è stato lampante.
Diffuso come scandalo il fatto che all’associazione sia stata respinta un’istanza e che AGCom abbia comminato sanzione di mille euro, la realtà risulta comunque diversa, leggendo l’ordinanza d’ingiunzione, peraltro definita ed emessa da AGCOM prima del rigetto dell’istanza.
Secondo il provvedimento AGCom in questione, cioè la Delibera 79/24/CONS del 19 Marzo, che vi invitiamo a leggere, Assoprovider non ha soddisfatto i requisiti previsti per la legittimazione del suo coinvolgimento nelle attività correlate alla piattaforma Piracy Shield.
L’atto ufficiale di contestazione AGCOM risale a Novembre 2023 ed è dovuto proprio al fatto che AssoProvider avesse iniziato a partecipare ai tavoli tecnici, senza però che AGCOM disponesse di evidenze o documentazioni di legittimazione per la sua partecipazione.
Non solo perché AssoProvider non ha un elenco pubblico di suoi soci, a differenza di altre associazioni rappresentative degli operatori. Soprattutto perché, sin dalle prime richieste informali ad Ottobre 2023 di fornire privatamente alla Direzione Servizi Digitali AGCOM perlomeno i riferimenti degli operatori, che stesse rappresentando ai tavoli, AssoProvider ha sempre opposto un netto rifiuto.
Potrà far storcere il naso a qualcuno, magari pure interessato perché fornitore o cliente dell’associazione anche dal punto di vista editoriale, ma le richieste AGCOM in merito erano e sono comunque fondate.
Lo erano infatti nell’autunno del 2023 per consentire la corretta partecipazione ai tavoli tecnici. Lo sono anche nel 2024 per valutare la legittimazione attiva, imprescindibile per poter sottoporre istanze conto terzi di accesso documentale ex L.241/90 (NON civico semplice o generalizzato/FOIA) ad atti relativi alla piattaforma Piracy Shield.
Implicazioni per i servizi Internet e la Libertà Digitale
Si evidenziano quindi le potenziali ripercussioni di Piracy Shield sui servizi di navigazione anonima, come le VPN, suggerendo una possibile conflittualità con la libertà di espressione e l’anonimato online. Questo punto di vista suggerisce che la lotta alla pirateria potrebbe trasformarsi in un pretesto per limitare servizi legittimi e fondamentali per la privacy degli utenti. “Per il bene dei bambini” ne abbiamo viste di “scorrettezze” in tal senso anche da parte del Garante Privacy Italiano sempre generoso con Meta nonostante le ripetute violazioni della privacy ed esposizione dei minori a contenuti vietati, ma soprattutto dalla Commissione Europea per quel che concerne il Chat Control.
Dibattito aperto fino all’ecatombe
Le differenze tra gli articoli di Capitanio e Matrice Digitale sono minime rispetto alle critiche giunte in questi giorni. Ci sono punti di incontro e sul fatto che qualcosa vada fatto e soprattutto fatto bene. Lo sa anche chi critica che, dinanzi ad un indirizzo politico di prospettiva europea, è meglio che le cose si facciano bene e non male con uno scontro istituzionale. Da qui nasce il sospetto che chi si agita stimolando un gregge di persone competenti, ma con scarsa visione e che casca sulla notizia falsa ed interessata di Assoprovider ad esempio, lo faccia per manipolare la massa per poi sedersi all’interno di una commissione politica o di un tavolo tecnico. Non solo il digitale è pieno di conflitti d’interesse editoriali, ma anche politici ed accademici come spesso proviamo a sensibilizzare i lettori. Mentre l’editoriale dell’AGCOM, attraverso la voce di Capitanio, presenta la piattaforma come una soluzione efficace e necessaria, supportata da dati e collaborazioni istituzionali, Matrice Digitale nella sua inchiesta pone l’accento sulle potenziali, non certe, conseguenze negative, sollevando questioni di trasparenza, etica ed impatto sui diritti digitali degli utenti coerentemente con il suo manifesto di trasparenza editoriale pur non disdegnando l’attività del Garante, il fine politico e sociale con tanto di proposta formulata nella prima inchiesta sul caso allo stesso Capitanio e all’Autorità su un eventuale accordo ufficiale tra AGCOM e multinazionali sui proventi delle tanto discusse multe agli utenti da destinare a bonus cultura finalizzati ad hoc e con l’impegno di abbassare le tariffe degli abbonamenti man mano che gli utenti legittimi aumentano.
- Inchieste2 settimane fa
Lavender: come l’intelligenza artificiale ha aiutato Israele nell’uccidere innocenti in 20 secondi
- Inchieste2 settimane fa
Piracy Shield: calano i blocchi degli IP “innocenti” nell’attesa dell’Ecatombe
- Inchieste2 settimane fa
Piracy Shield: Capitanio (AGCom) risponde alla nostra inchiesta
- Notizie2 settimane fa
NIS2: webinar gratuito rivolto alle imprese in balia del provvedimento
- Economia2 settimane fa
Amazon, licenziamenti nell’unità di cloud computing
- Economia1 settimana fa
TSMC riceve 11,6 miliardi e produrrà chip negli Stati Uniti
- Notizie2 settimane fa
Post sull’Intelligenza Artificiale diffondono malware sui social
- Economia1 settimana fa
Tensioni USA-Cina per l’investimento in TSMC e intanto altri 6,6 miliardi per Samsung