Connect with us

Inchieste

Cozy Bear: è suo l’attacco cibernetico più letale della storia?

Pubblicato

il

Tempo di lettura: 5 minuti.

Continua il viaggio nei meandri della guerra cibernetica ad opera dei russi. Quest'oggi ci soffermiamo ancora una volta su Cozy Bear, APT29, per via dell'opera magna cibernetica compiuta ai danni di uno stato potente e dotato di sistemi di sicurezza avanzati come gli .

Perché è realmente conosciuta Cozy Bear?

Abbiamo letto che si è arrivati spesso ad attribuire responsabilità degli attacchi APT in modo indiretto secondo indizi e spesso senza prove concrete. Questo perché un governo impegnato sul fronte militare ambisce sempre a non essere riconoscibile e prova ad utilizzare capri espiatori per non far emergere la sua identità. In effetti c'è da dire che, tra attacchi denunciati, ma non riusciti, ipotesi avanzate in primis grazie all'equazione attacco informatico = hacker russi, sono pochi i casi conclamati dove risulta evidente la partecipazione dei servizi militari al soldo di Putin.

Il più grande attacco della storia USA

Nel mentre ci si interroga sulla paternità di determinati attacchi avvenuti in passato, nemmeno di grande entità e sventati più volte, Cozy Bear è per molti il responsabile del più grande databreach ai danni degli USA. Nel dicembre del 2020, la statunitense di sicurezza informatica FireEye ha rivelato che una raccolta dei loro strumenti di ricerca sulla sicurezza informatica proprietari era stata rubata probabilmente da “una nazione con capacità offensive di alto livello”. Il 13 dicembre 2020, FireEye ha annunciato che le indagini sulle circostanze di quel furto di proprietà intellettuale hanno rivelato “una campagna di intrusione globale” facilitata dalla compromissione degli aggiornamenti al Orion, colpevoli di diffondere il malware SUNBURST ai suoi clienti. Cosa ancora più agghiacciante è che l'attività di spionaggio ai danni della società di sicurezza informatica avanzata risaliva almeno ad aprile 2021.

Poco dopo, SolarWinds è uscita allo scoperto confermando che più versioni dei suoi prodotti presenti in piattaforma Orion erano stati compromessi, individuando in un attore straniero l'origine dell'attacco. L'impatto dell'attacco ha spinto la Cybersecurity and Infrastructure Security Agency () degli Stati Uniti a emanare direttiva di emergenza desueta per il modus operandi solito. Circa 18.000 clienti SolarWinds sono stati esposti a SUNBURST, incluse diverse agenzie federali degli USA. Fonti del Washington Post hanno identificato Cozy Bear come il gruppo responsabile dell'attacco.

Tutta colpa di Microsoft

Il migliore attacco informatico della ai danni degli USA è stato messo a punto dai cugini minori del gruppo di intelligence più temuto al mondo. I vettori di attacco utilizzati sembrerebbero essere stati in tre, concatenati tra loro, ma che hanno avuto origine da alcuni . Gli aggressori hanno sfruttato le falle nei prodotti, nei servizi e nell'infrastruttura di distribuzione del software Microsoft. Almeno un rivenditore di servizi della società di Redmond è stato compromesso dagli aggressori, effettuando un attacco alla catena di approvvigionamento che ha consentito di accedere ai servizi cloud utilizzati dai clienti del rivenditore. A contribuire alla riuscita dell'attacco “Zerologon”, una vulnerabilità nel protocollo di autenticazione Microsoft NetLogon, che ha permesso agli aggressori di accedere a tutti i nomi utente e validi in ciascuna rete che hanno violato. Ciò ha permesso loro di accedere a credenziali aggiuntive necessarie per assumere i privilegi di qualsiasi utente presente nella rete il che, a sua volta, ha permesso loro di compromettere gli account di posta elettronica di Microsoft Office 365. Inoltre, un difetto nell' Web Outlook di Microsoft potrebbe aver consentito agli aggressori di aggirare l'autenticazione a più fattori. È stato scoperto che gli aggressori sono entrati in Office 365 in un modo che ha permesso loro di monitorare le e-mail del personale NTIA (Dipartimento comunicazioni) e del Tesoro per diversi mesi. Questo attacco avrebbe utilizzato token di identità contraffatti di qualche tipo, consentendo agli aggressori di ingannare i sistemi di autenticazione di Microsoft. La presenza di un'infrastruttura di accesso unico ha aumentato la fattibilità dell'attacco.

Questo è un caso di spionaggio classico, realizzato in maniera altamente sofisticata mantenendo allo stesso tempo lo standard furtivo, che ha consentito agli aggressori di avere accesso al sistema di build appartenente alla società di software SolarWinds, probabilmente tramite l'account Microsoft Office 365 in sua licenza, che a un certo punto era stato anch'esso compromesso.

Dal Cloud 365 al software Orion

Gli aggressori hanno stabilito un punto d'appoggio nell'infrastruttura di pubblicazione del software di SolarWinds entro settembre 2019. Nel sistema di compilazione, gli aggressori hanno modificato surrettiziamente gli aggiornamenti software forniti da SolarWinds agli utenti del suo software di della rete Orion. La prima modifica nota, nell'ottobre 2019, era solo una prova di concetto. Una volta stabilite le prove, gli aggressori hanno trascorso dal dicembre 2019 al febbraio 2020 creando un'infrastruttura di comando e controllo.

Nel marzo 2020, gli aggressori hanno iniziato a inserire malware dello strumento di accesso remoto negli aggiornamenti di Orion ad utenti di alta gamma come profili che includono figure del governo degli Stati Uniti nei rami dell'esecutivo, nell'esercito e nei servizi di intelligence. La strategia di attacco, una volta preparato l'azione a tavolino, prevedeva che nel caso un utente avesse installato l', quest'ultimo avrebbe eseguito il payload del malware. Una volta infettato il pc, il software malevolo era stato programmato per restare inattivo per 12-14 giorni prima di tentare di comunicare con uno o più server di comando e controllo. Nel corso del periodo finestra, le comunicazioni tra macchine infette e la sala di gestione allestita dagli attori erano state progettate per imitare il traffico ordinario di SolarWinds con il fine di non far registrare delle anomalie in fase di auditing Appena in grado di contattare uno di quei server, gli aggressori hanno avuto un segnale della distribuzione di malware riuscita ed hanno potuto sfruttare una miriade di backdoor da poter sfruttare passando inosservati. Il malware ha iniziato a contattare i server di comando e controllo nell'aprile 2020, inizialmente dal Nord America e dall'Europa e successivamente anche da altri continenti. Sembra che gli aggressori abbiano utilizzato solo una piccola parte della miriade di malware implementate da loro, ma più esperti hanno convenuto sul fatto che abbiano riservato all'azione in questione quelle destinate a reti di computer appartenenti a obiettivi di alto valore.

Una volta entrati all'interno delle reti di destinazione, gli aggressori si sono orientati, installando strumenti di sfruttamento come i componenti di attacco Cobalt, cercando un accesso aggiuntivo. Poiché Orion era connesso agli account Office 365 dei clienti come un'applicazione di terze parti affidabile, gli aggressori sono stati in grado di accedere a e-mail e altri documenti riservati. Apparentemente questo accesso li ha aiutati a cercare certificati che avrebbero permesso loro di firmare token SAML, consentendo loro di mascherarsi da utenti riconosciuti per ulteriori servizi locali e servizi cloud come Microsoft Azure Active Directory. Una volta ottenuti questi punti d'appoggio aggiuntivi, senza nemmeno più disabilitare il software Orion perché già compromesso, si sono individuati i dati di interesse per poi crittografarli ed esfiltrarli.

Gli attaccanti hanno ospitato i loro server di comando e controllo su servizi cloud commerciali di Amazon, Microsoft, GoDaddy e altri. Utilizzando indirizzi IP di comando e controllo con sede negli Stati Uniti e poiché gran parte del malware coinvolto era nuovo, gli aggressori sono stati in grado di eludere il rilevamento di Einstein, un sistema di sicurezza informatica nazionale gestito dal Department of Homeland Security (DHS).

Gli investigatori dell' hanno recentemente scoperto che un difetto separato nel software realizzato da SolarWinds Corp è stato utilizzato da hacker legati a un altro governo straniero per aiutare a penetrare nei computer del governo degli Stati Uniti. Questa volta, però, l'origine non è stata ancora accertata.

VMare colpita ed affondata

Le vulnerabilità in VMware Access e VMware Identity Manager, che consentono agli intrusi di rete esistenti di ruotare e ottenere persistenza, sono state utilizzate nel 2020 da aggressori sponsorizzati dallo stato russo. Al 18 dicembre 2020, mentre era definitivamente noto che il SUNBURST avrebbe fornito l'accesso adeguato per sfruttare i bug VMware, non era ancora noto in modo definitivo se gli aggressori avessero effettivamente concatenato quei due exploit oppure se li avessero utilizzati i momenti diversi.

La moria della sicurezza nazionale

Il problema essenziale di questo evento nefasto è stata la portata degli attacchi effettuati che ha messo in crisi non solo il sistema quotidiano della sicurezza, ma anche le contromisure e gli anticorpi messi in piedi dal controspionaggio nell'universo digitale. Un attacco che ha interessato i Dipartimenti dell'Agricoltura, Commercio, Telecomunicazioni, Difesa, Energia, Salute, Giustizia, arrivando perfino ad umiliare il settore della Cybersecurity e delle Agenzie di Sicurezza. Ancora più singolare che questo attacco sia stato ordito ai danni del paese che commercialmente ha colonizzato il mondo in ambito digitale.

Sarà per questo che gli hacker russi siano allo stesso quelli più temuti e tra quelli più apprezzati?

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

Fuga attraverso il confine: vuole la pace, ripudia la guerra e dice addio all’Ucraina.

Tempo di lettura: 4 minuti. Nonostante le difficoltà, l’autore di un post su Facebook è riuscito a superare il confine nuotando attraverso il fiume Dnestr, dimostrando che con determinazione e coraggio, è possibile affrontare e superare anche le sfide più difficili.

Pubblicato

il

Tempo di lettura: 4 minuti.

La situazione in è critica, e per molti, la decisione di lasciare il paese è l'unica opzione rimasta per preservare la propria e benessere. Nonostante le difficoltà e i rischi, attraversare il fiume Dnestr a nuoto è un metodo che alcuni stanno adottando nella speranza di trovare sicurezza e stabilità altrove. C'è chi ha avuto il coraggio di rischiare la vita ed ha pubblicato un post su una volta arrivato senza comunicarlo ad amici o parenti sia perché non voleva dare ulteriori preoccupazioni, sia perché c'è tanta paura in Ucraina tra la popolazione maschile intrappolata da un divieto di legge marziale ed un esercito motivato ed autorizzato ad usare il pugno duro pur di far rispettare le regole nel paese.

Una foto dall'Ucraina che dimostra la necessità di carne da cannone

Una fonte sul posto, impaurita di essere chiamata a combattere, ci ha inviato una foto inequivocabile dalla parte occidentale dell'Ucraina dove c'è un manifesto pubblicitario stradale del battaglione Azov sempre più decimato dalle perdite sul campo di battaglia e sempre più collegato a rituali di origine celtica che ricordano l'appoggio storico degli ucraini al nazismo, all'olocausto ed allo spirito antisovietico.

Il post su Facebook della fuga dalla guerra

“È tempo di decisioni difficili. Negli ultimi diciotto mesi, l'idea di lasciare il paese è stata una costante riflessione, sperando che la situazione in Ucraina migliorasse. Tuttavia, con l'arrivo del 2023, le speranze di pace iniziano a svanire, e l'estate ha confermato che il conflitto militare durerà per anni”.

La decisione di partire

Vivere in condizioni di emergenza militare, sotto bombardamenti e con un coprifuoco, ha un impatto significativo sulla psiche. In tale situazione, è difficile vivere a lungo. Di conseguenza, è maturata la decisione di lasciare l'Ucraina, probabilmente per molti anni.

La fuga attraverso il fiume Dnestr

A causa del divieto di uscita per gli uomini sotto i 60 anni, l'unico modo per lasciare il paese è attraversare illegalmente il confine. La decisione è stata quella di attraversare il fiume di confine Dnestr a nuoto, una missione riuscita con successo.

Il viaggio

Dopo essere arrivato il più vicino possibile al confine con i mezzi pubblici, un taxi è stato preso per raggiungere un'area remota, seguita da una camminata verso e lungo la riva. Poi, semplicemente, si è entrati in acqua e si è nuotato attraverso, completamente vestiti e senza alcun bagaglio.

La traversata del Dnestr

Nonostante il successo, nuotare attraverso il fiume non è facile e c'è il rischio di annegamento. Questo metodo di attraversamento del confine è imprevedibile e rischioso, motivo per cui molti preferiscono attraversare campi o foreste. Il Dnestr è un fiume abbastanza largo, circa 200 metri, e in quel luogo, il passaggio è ostacolato da numerose alghe, che si estendono dal fondo fino alla superficie dell'acqua. Queste alghe avvolgono braccia, gambe e corpo, rendendo difficile avanzare rapidamente. Nel mezzo del fiume, l'acqua è libera dalle alghe, ma c'è una forte corrente che spinge lateralmente. Nuotare in queste condizioni, vestiti e con un sacchetto di documenti, soldi e telefono in mano, è una sfida. L'acqua a settembre è fredda, ma sopportabile.

Il rischio di annegamento

Il rischio di annegamento è alto, soprattutto per coloro che non sanno nuotare bene o sono fisicamente deboli. Non c'è nessuno a prestare soccorso in caso di problemi, e bisogna fare affidamento completamente sulle proprie forze. Durante la traversata, l'autore si ferma per un momento, guardando indietro verso l'Ucraina e realizzando di trovarsi esattamente a metà strada tra e pace, morte e vita, sventura e felicità. Questa realizzazione gli dà la forza di continuare a nuotare verso la salvezza.

L'arrivo in Moldavia

Una volta raggiunta la Moldavia, l'autore emerge dall'acqua inosservato, accolti solo dalle mucche al pascolo. Dopo essersi riposato tra i cespugli, prosegue a piedi verso un villaggio vicino, con i vestiti che si asciugano direttamente sul corpo.

La decisione di andare da solo e in silenzio

L'autore ha deciso di attraversare il confine da solo, senza l'aiuto di guide o l'acquisto di documenti falsi, nonostante i rischi e le difficoltà. Ha pianificato il viaggio studiando la zona su mappe e immagini satellitari, e ha organizzato la logistica per raggiungere il luogo di attraversamento e uscire dalla Moldavia. Non ha informato nessuno dei suoi piani, per evitare di far preoccupare amici e familiari. Solo una volta raggiunto l'altro lato del fiume, ha contattato i suoi cari per informarli del suo successo.

Il cammino continua

Dopo aver attraversato il villaggio a piedi, l'autore si dirige verso la strada principale. Fortunatamente, il sole moldavo lo asciuga durante il tragitto. Senza denaro moldavo per l'autobus, fa autostop. Un contadino locale lo porta silenziosamente più vicino alla strada principale senza fare domande.

Incontro con un pensionato moldavo

Sulla strada principale, un tipico pensionato moldavo lo raccoglie, credendolo un locale. Durante il viaggio, il pensionato lamenta il governo, la presidente Sandu, e l'ingiustizia economica, specialmente il costo elevato per l'ispezione del suo vecchio veicolo. L'autore ascolta in silenzio, riflettendo sulla relativa banalità di questi problemi rispetto a quelli lasciati alle spalle in Ucraina. Arrivato nella prima città lungo la strada, l'autore cambia i suoi soldi ucraini in lei moldavi. Acquista una nuova maglietta, del pane e beve un litro d'acqua, godendo la semplicità di questi piaceri dopo il suo viaggio senza cibo o acqua. Continua il suo viaggio verso la capitale, Chișinău, riflettendo sulla sua rinascita simbolica attraverso la traversata del fiume. L'autore conclude riconoscendo l'incertezza del futuro. Non ha piani a lungo termine o una destinazione fissa, ma è contento di aver fatto il primo passo verso una nuova vita di pace.

“Tra autostop e riflessioni, l'autore prosegue il suo viaggio in Moldavia, accogliendo la nuova vita con speranza nonostante l'incertezza del futuro.”

Prosegui la lettura

Inchieste

La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19

Tempo di lettura: 2 minuti. La CIA e NewsGuard sotto accusa: nuove rivelazioni sollevano dubbi sulla narrazione ufficiale dell’origine del COVID-19.

Pubblicato

il

Tempo di lettura: 2 minuti.

In una recente rivelazione che potrebbe gettare nuova luce sull'origine della pandemia di COVID-19, un alto ufficiale della CIA ha accusato l'agenzia di aver tentato di manipolare le testimonianze di alcuni analisti per sostenere la teoria della trasmissione del virus dagli animali agli esseri umani, piuttosto che dalla fuga da un laboratorio a Wuhan, in . Questa accusa, riportata dal New York Post, è stata confermata da una lettera inviata al direttore della CIA, William Burns, e ha sollevato nuove domande sulla credibilità delle informazioni fornite dall'agenzia.

Il ruolo di NewsGuard

In questo contesto, è importante sottolineare il ruolo svolto da NewsGuard, una che si occupa di monitorare e valutare la veridicità delle notizie pubblicate online. Secondo una condotta da Matrice , NewsGuard ha avuto un ruolo significativo nell'avallare la narrazione ufficiale sull'origine del virus, etichettando come false le notizie che sostenevano la teoria della creazione artificiale del virus nei laboratori di Wuhan.

Critiche e controversie

La redazione di Matrice Digitale ha criticato aspramente l'approccio di NewsGuard, accusandola di aver creato una lista di proscrizione delle testate giornalistiche che diffondevano notizie contrarie alla narrazione ufficiale, e di aver ignorato altre informazioni false e fuorvianti circolate in merito alla pandemia. Questa situazione ha sollevato gravi preoccupazioni riguardo alla libertà di espressione e al diritto all', con Matrice Digitale che sottolinea la necessità di una maggiore trasparenza e responsabilità da parte delle agenzie di controllo delle notizie.

Questioni politiche e di credibilità

L'inchiesta di Matrice Digitale mette in luce anche le divergenze tra le narrazioni politiche negli Stati Uniti riguardo all'origine del virus, con il Partito Democratico che sostiene la teoria della trasmissione zoonotica, mentre il Partito Repubblicano sospetta una creazione artificiale del virus nei laboratori di Wuhan. In questo scenario, la credibilità di NewsGuard viene messa in discussione, con accuse di favoritismo politico e mancanza di obiettività nella valutazione delle notizie.

In conclusione, le recenti rivelazioni sulla possibile manipolazione delle informazioni da parte della CIA, insieme alle critiche mosse a NewsGuard, sollevano seri dubbi sulla veridicità delle informazioni circolate finora riguardo all'origine del COVID-19. È evidente che la questione richiede ulteriori indagini e una maggiore trasparenza da parte delle agenzie coinvolte. Prima della CIA, anche dall'FBI erano giunte indiscrezioni sull'origine artificiale del virus.

Prosegui la lettura

Inchieste

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite online e la necessità di maggiore protezione per gli utenti.

Pubblicato

il

Tempo di lettura: 2 minuti.

English Version

Le truffe online sono in aumento, e le piattaforme di vendita tra privati come Vinted diventano spesso il terreno di gioco per chi cerca di ingannare. Una lettrice ha deciso di condividere con noi la sua esperienza, sperando di mettere in guardia altri e partecipando attivamente allo spirito di che Matrice ha nei confronti dei lettori e della Pubblica Autorità.

La truffa in dettaglio

Dopo aver messo in vendita una sciarpa autentica di Louis Vuitton, la nostra lettrice ha inviato l'articolo a un'acquirente in . Nonostante avesse fornito prove fotografiche dell'autenticità, l'acquirente ha sostenuto che l'articolo fosse falso, ottenendo un rimborso e trattenendo la sciarpa. La foto dell'acquirente sia da monito per evitare di vendere merce senza ottenere soldi e reso.

La piattaforma Vinted e la sua risposta

Nonostante i numerosi tentativi di contatto, Vinted ha risposto una sola volta, sottolineando la sua contro la vendita di falsi. Successivamente, ogni tentativo di è stato ignorato, e l'acquirente ha bloccato la nostra lettrice che continua a mandare tre messaggi al giorno di media all'assistenza dell'azienda intermediaria già nota per essere terreno fertile di truffe ai danni di compratori e venditori onesti.

Un modus operandi diffuso

La online ha rivelato che molti altri utenti hanno subito truffe simili su Vinted. Dichiarare un prodotto come “falso” sembra essere una tattica comune tra i truffatori. Sia chiaro, il lettore non prenda questa strategia come consiglio, ma duole segnalare che è un dato di fatto. Un capo rotto è stato anche oggetto di un'altra truffa simile già raccontata dalla redazione.

L'inerzia delle autorità

La vittima ha cercato aiuto presso la Polizia Postale e la Guardia di . Tuttavia, le mani delle autorità erano legate a causa della residenza estera sia di Vinted che dell'acquirente.

Il prezzo della giustizia

La nostra lettrice ha valutato anche una opzione legale, ma i costi proibitivi di una causa internazionale hanno reso questa strada impraticabile. Lo stesso motivo che ha fatto desistere Matrice Digitale dal fare una causa a Google dopo l'ingiustificato ban del suo canale YouTube

Riflessioni finali

Questa testimonianza evidenzia la necessità per le piattaforme come Vinted di adottare misure più rigorose per proteggere i propri utenti. Nel frattempo, è fondamentale che gli utenti siano sempre vigili e informati quando operano online: il passa parola non sulle abitudini da osservare, bensì sulle truffe del momento, è fondamentale per anticipare le mosse dei criminali. Ecco tutte le inchieste su Vinted realizzate da Matrice Digitale: i prossimi potreste essere voi.

Prosegui la lettura

Facebook

CYBERWARFARE

Truffe recenti

Truffe online1 settimana fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

DeFi3 settimane fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 settimane fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Truffe online3 settimane fa

Nuova truffa di sextortion: il tuo “video intimo” su YouPorn

Tempo di lettura: 2 minuti. Una nuova truffa di sextortion associata a YouPorn sta cercando di estorcere denaro agli utenti...

Notizie4 settimane fa

ONU: Sud-est Asiatico manodopera del crimine informatico

Tempo di lettura: 2 minuti. Un rapporto dell'ONU svela il traffico di lavoratori nel Sud-est asiatico per operazioni di cybercriminalità,...

Notizie4 settimane fa

CISA Avverte: truffa informatica del cambiamento climatico

Tempo di lettura: < 1 minuto. La CISA avverte gli utenti di rimanere vigili di fronte alle truffe online, in...

Inchieste4 settimane fa

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite...

Inchieste4 settimane fa

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online...

vietnam matrix flag vietnam matrix flag
Truffe online4 settimane fa

Truffato per 416.000 dollari in un “club di incontri” su Telegram

Tempo di lettura: < 1 minuto. Uomo di Hanoi truffato per 416.000 dollari cercando di unirsi a un "club di...

Notizie1 mese fa

Galà della Frode: campagna BEC che colpisce l’Italia

Tempo di lettura: 3 minuti. Le truffe di "Business Email Compromise" sono un crescente pericolo nel mondo digitale, con cybercriminali...

Tendenza