Connect with us

Inchieste

Ecco come Twisted Panda ha spiato la Difesa Russa

Tempo di lettura: 12 minuti. La Cina apprende in silenzio la tecnologia della Russia

Pubblicato

in data

Tempo di lettura: 12 minuti.

In questo rapporto, i ricercatori di CPR hanno descritto ed esposto un’operazione di spionaggio cinese denominata Twisted Panda che prende di mira gli istituti di ricerca sulla difesa in Russia e forse anche in Bielorussia. Questa campagna si basa su tecniche di social engineering e sfrutta le sanzioni imposte di recente alla Russia per fornire una backdoor non documentata chiamata SPINNER a obiettivi specifici. Lo scopo della backdoor e dell’operazione è probabilmente quello di raccogliere informazioni da obiettivi all’interno dell’industria della difesa russa ad alta tecnologia per sostenere la Cina nel suo progresso tecnologico.

Si traduce il rapporto di Check Point Research:

Nell’ambito di questa indagine, abbiamo scoperto l’ondata precedente di questa campagna, anch’essa probabilmente rivolta a entità russe o collegate alla Russia, attiva almeno dal giugno 2021. L’evoluzione degli strumenti e delle tecniche in questo periodo di tempo indica che gli attori dietro la campagna sono persistenti nel raggiungere i loro obiettivi in modo furtivo. Inoltre, la campagna Twisted Panda dimostra ancora una volta la rapidità con cui gli attori dello spionaggio cinese si adattano e si adeguano agli eventi mondiali, utilizzando le esche più rilevanti e aggiornate per massimizzare le loro possibilità di successo.

Negli ultimi due mesi abbiamo osservato diversi gruppi APT che hanno cercato di sfruttare la guerra tra Russia e Ucraina come esca per operazioni di spionaggio. Non sorprende che le stesse entità russe siano diventate un obiettivo interessante per le campagne di spear-phishing che sfruttano le sanzioni imposte alla Russia dai Paesi occidentali. Queste sanzioni hanno esercitato un’enorme pressione sull’economia russa e in particolare sulle organizzazioni di diversi settori industriali russi.

Check Point Research (CPR) descrive una campagna mirata che ha utilizzato esche legate alle sanzioni per attaccare gli istituti di difesa russi, parte della Rostec Corporation. L’indagine dimostra che questa campagna fa parte di una più ampia operazione di spionaggio cinese in corso da diversi mesi contro entità legate alla Russia. I ricercatori di CPR ritengono con elevata sicurezza che la campagna sia stata condotta da un APT nazionale cinese esperto e sofisticato. Nel blog che segue, i ricercatori rivelano le tattiche e le tecniche utilizzate dagli attori della minaccia e forniscono un’analisi tecnica delle fasi e dei payload dannosi osservati, compresi loader e backdoor precedentemente sconosciuti con molteplici tecniche avanzate di evasione e anti-analisi.

Risultati principali:

Il CPR rivela una campagna mirata contro almeno due istituti di ricerca in Russia, la cui competenza principale è la ricerca e lo sviluppo di soluzioni di difesa altamente tecnologiche. La ricerca suggerisce che un altro obiettivo in Bielorussia, probabilmente anch’esso legato al settore della ricerca, ha ricevuto un’e-mail di spear-phishing simile, in cui si afferma che gli Stati Uniti starebbero diffondendo un’arma biologica.
Gli istituti di ricerca sulla difesa che abbiamo identificato come obiettivi di questo attacco appartengono a una holding del conglomerato statale russo della difesa Rostec Corporation. Si tratta della più grande holding russa nel settore della radioelettronica e gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica, di apparecchiature radioelettroniche militari di bordo, di stazioni radar aeree e di mezzi di identificazione statale.
Questa campagna è la continuazione di quella che il CPR ritiene essere un’operazione di spionaggio di lunga durata contro entità legate alla Russia, in atto almeno dal giugno 2021. L’operazione potrebbe essere ancora in corso, dato che l’attività più recente è stata osservata nell’aprile 2022.

L’attività è stata attribuita con elevata sicurezza a un attore cinese, con possibili collegamenti a Stone Panda (alias APT10), un attore sofisticato ed esperto sostenuto da uno Stato nazionale, e a Mustang Panda, un altro attore esperto di spionaggio informatico basato in Cina. Il CPR ha chiamato questa campagna Twisted Panda per riflettere la sofisticazione degli strumenti osservati e l’attribuzione alla Cina.

Gli hacker utilizzano nuovi strumenti, che non sono stati descritti in precedenza: un sofisticato loader multilivello e una backdoor denominata SPINNER. Questi strumenti sono in fase di sviluppo almeno dal marzo 2021 e utilizzano tecniche avanzate di evasione e anti-analisi, come caricatori in-memory multistrato e offuscamenti a livello di compilatore.

Il 23 marzo sono state inviate e-mail dannose a diversi istituti di ricerca sulla difesa con sede in Russia. Le e-mail, che avevano come oggetto “Elenco di persone sottoposte a sanzioni statunitensi per l’invasione dell’Ucraina”, contenevano un link a un sito controllato dall’aggressore che imitava il Ministero della Salute della Russia minzdravros[.]com e contenevano in allegato un documento dannoso:

Figura 1: e-mail di spear-phishing inviata a istituti di ricerca in Russia.

Lo stesso giorno, un’e-mail simile è stata inviata anche a un’entità sconosciuta di Minsk, in Bielorussia, con l’oggetto “US Spread of Deadly Pathogens in Belarus”. Tutti i documenti allegati sono stati realizzati in modo da sembrare documenti ufficiali del Ministero della Salute russo, con tanto di emblema e titolo ufficiale:

Figura 2: Schermata del documento esca inviato agli istituti di ricerca in Russia.

Ogni documento scarica un modello esterno dagli URL con un formato simile, come https://www.microtreely.com/support/knowledgebase/article/AIUZGAE7230Z[.]dotm. Il modello esterno contiene un codice macro che importa diverse funzioni API da kernel32 (LoadLibraryA, CreateFileA, WriteFile, ReadFile, ecc.) e le utilizza per:

  • Scrivere tre file (cmpbk32.dll, cmpbk64.dll e INIT) nel percorso: C:/Utenti/Pubblico.
  • Caricare cmpbk32.dll o cmpbk64.dll (a seconda dell’architettura del sistema operativo) ed eseguire la funzione esportata R1.

L’esecuzione della funzione esportata R1 finalizza l’inizializzazione dei file dannosi. Il malware crea una directory di lavoro %TEMP%\OfficeInit e vi copia i file INIT e cmpbk32.dll, nonché un eseguibile legittimo di Windows a 32 bit cmdl32.exe dalla cartella System32 o SysWOW64, a seconda che il sistema operativo sia a 32 o 64 bit.

Figura 3: La catena di infezione semplificata.

Il Payload

Il payload è una DLL a 32 bit che utilizza la risoluzione dinamica delle API con hashing dei nomi per l’elusione e l’anti-analisi. Il caricatore non solo è in grado di nascondere la sua funzionalità principale, ma anche di evitare il rilevamento statico delle chiamate API sospette risolvendole dinamicamente invece di utilizzare importazioni statiche.

Lo scopo di cmpbk32.dll è quello di caricare uno shellcode specifico dal file INIT, a seconda dello stadio dell’infezione, ed eseguirlo. Il file INIT contiene due shellcode: lo shellcode del primo stadio esegue lo script di persistenza e pulizia, mentre lo shellcode del secondo stadio è un caricatore multilivello. L’obiettivo è decriptare consecutivamente gli altri tre livelli del caricatore senza file e caricare infine il payload principale in memoria. Per distinguere le fasi, il punto di ingresso della DLL DllMain esegue azioni diverse in base al motivo della chiamata.

Fase di impostazione

Quando il documento dannoso viene chiuso, viene attivato un evento PROCESS_DETACH. La DLL esegue una parte del file INIT incaricato di ripulire i file creati dal documento dannoso e crea un’attività pianificata per la persistenza:

Figura 4: L’evento DLLMain PROCESS_DETACH esegue lo shellcode responsabile della persistenza e della pulizia da INIT.

Figura 5: funzione di persistenza e pulizia

Fase di caricamento

Il processo di caricamento principale inizia con l’esecuzione dell’attività pianificata cmdl32.exe che carica la DLL dannosa cmpbk32.dll. Il sideloading della DLL da parte di un processo legittimo è una tecnica comunemente utilizzata dagli attori delle minacce; l’accoppiamento con un processo di caricamento robusto può aiutare a eludere le moderne soluzioni antivirus poiché, in questo caso, l’effettivo processo in esecuzione è valido e firmato da Microsoft. Si noti che il file cmpbk64.dll non viene copiato nella cartella %TEMP%\OfficeInit. La versione a 64 bit della DLL viene utilizzata solo nella fase iniziale dell’infezione dal processo MS Word a 64 bit, poiché cmdl32.exe a 32 bit può caricare solo cmpbk32.dll a 32 bit.

Quando la DLL viene caricata, viene attivato l’evento PROCESS_ATTACH che avvia una sequenza di operazioni. La sequenza elimina diversi livelli crittografati dal file INIT e alla fine rivela ed esegue il payload finale. Per prima cosa legge un blob crittografato con XOR dal file INIT e lo decrittografa in memoria utilizzando un semplice XOR con la chiave 0x9229. Il blob decrittografato è un codice indipendente dalla posizione e il primo dei livelli crittografati che “proteggono” il payload principale.

Figura 6: Livelli di decodifica eseguiti dal caricatore per scoprire il payload finale.

Questo primo livello è piuttosto semplice. Carica dinamicamente da Kernel32.dll le funzioni WinAPI essenziali per il suo lavoro. Successivamente, inizia una sequenza di operazioni per scoprire il secondo livello. Utilizza RC4 con la seguente chiave codificata: 0x1C, 0x2C, 0x66, 0x7C, 0x11, 0xCF, 0xE9, 0x7A, 0x99, 0x8B, 0xA3, 0x48, 0xC2, 0x03, 0x07, 0x55. Quindi decomprime il buffer decriptato utilizzando RtlDecompressBuffer e rivela il secondo livello.

Figura 7: Iniezione in msiexec.exe

Il codice iniettato inizia caricando dinamicamente un file PE incorporato all’interno ed eseguendolo dal suo punto di ingresso.

La backdoor SPINNER: analisi tecnica

Il payload utilizza due offuscamenti a livello di compilatore:

Appiattimento del flusso di controllo: altera il flusso di codice rendendolo non lineare.
Predicati opachi: definisce la logica inutilizzata e fa sì che il binario esegua calcoli inutili.
Entrambi i metodi rendono difficile l’analisi del payload, ma insieme rendono l’analisi dolorosa, lunga e noiosa. Questi due tipi di offuscamento sono stati precedentemente individuati come utilizzati insieme in campioni attribuiti al gruppo di lingua cinese Stone Panda (APT10) e Mustang Panda.

Figura 8: offuscamento del codice con predicati opachi e appiattimento del flusso di controllo nel campione SPINNER.

Quando la backdoor SPINNER inizia a funzionare, crea un mutex chiamato MSR__112 per garantire che ci sia una sola istanza del payload in esecuzione alla volta. Il payload espande anche la persistenza precedentemente creata dal caricatore. Crea una nuova chiave del Registro di sistema OfficeInit in SOFTWARE\Microsoft\Windows\CurrentVersion\Run che punta al percorso cmdl32.exe.

Quindi, imposta la propria configurazione, che contiene i seguenti campi:

struct malware_config {
std::string full_c2_url;
std::string host_name;
std::string c2_uri;
DWORD use_https;
DWORD port;
DWORD sleep_time;
}

Il full_c2_url viene decifrato utilizzando la decifrazione XOR con la chiave 0x50. Dopo la decrittazione, la funzione InternetCrackUrlA viene utilizzata per decifrare un URL nei suoi componenti: i campi c2_url_without_scheme, c2_uri, port e use_https.

Successivamente, la backdoor inizia il suo ciclo principale controllando se è la prima esecuzione e quindi non è ancora avvenuto il fingerprinting del sistema. Se la risposta è negativa, la backdoor crea un ID Bot casuale di 16 byte e lo salva nel file %TEMP%\OfficeInit\init.ini. Quindi raccoglie dati sul sistema infetto e crea una stringa contenente i seguenti dati:

  • ID bot
  • Nome del computer
  • IP locale
  • Versione di Windows
  • Nome utente
  • Tempo di riposo recuperato dalla configurazione del malware
  • ID processo
  • NULL aggiunto alla fine della stringa

Campagna precedente

Durante la ricerca su VirusTotal di file simili al loader, abbiamo riscontrato un ulteriore cluster che utilizza il sideloading di DLL per lanciare un loader in-memory molto simile a quello discusso in precedenza. Carica quindi un payload che potrebbe essere una variante precedente della backdoor SPINNER. A giudicare dai nomi dei file e dai timbri di compilazione degli eseguibili, la campagna è attiva dal giugno 2021.

A differenza dell’attuale campagna, che utilizza documenti Microsoft Word come dropper, la precedente ondata di attacchi si basava su file eseguibili con il logo di Microsoft Word. Ciò suggerisce che questi dropper erano destinati a essere consegnati alle vittime con gli stessi mezzi dei documenti dannosi, tramite e-mail di spear-phishing, sia come allegati che come link a siti falsi.

Evoluzione dei TTP della campagna

In meno di un anno, gli attori hanno migliorato significativamente la catena di infezione e l’hanno resa più complessa. Tutte le funzionalità della vecchia campagna sono state conservate, ma sono state suddivise tra più componenti, rendendo più difficile l’analisi o il rilevamento di ogni fase. Ecco alcuni esempi di componenti suddivisi:

La funzionalità del dropper EXE è suddivisa tra un documento dannoso e il payload. È un adattamento ragionevole come eseguibile. Anche uno che si maschera da documento potrebbe destare molti più sospetti di un documento accuratamente realizzato.
Aggiunta di ulteriori funzionalità al caricatore di DLL. È interessante notare che gli attori hanno scelto di non aggiungere altre funzioni esportate alla DLL, ma di gestire diversi motivi di chiamata in DllMain, facendo in modo che alcune parti di codice dannoso vengano eseguite in background quando il documento viene chiuso.
Sebbene il caricatore contenga alcune tecniche di anti-analisi e di evasione, come l’uso di shellcode e la risoluzione dinamica delle API tramite hashed, nell’ultima campagna gli attori hanno aggiunto miglioramenti significativi integrando complesse offuscazioni a livello di compilatore alla backdoor SPINNER.

Oltre alle complesse offuscazioni, la backdoor SPINNER è stata ridotta alle sole funzionalità di base. Questo è stato fatto probabilmente per aumentare la furtività e l’evasione del malware.

Attribuzione

Backdoor SPINNER

Come per qualsiasi campione di malware sconosciuto, l’analisi del loader e della backdoor di SPINNER ha richiesto l’RCP per determinare se si trattasse di un campione di malware noto o di una famiglia di malware completamente nuova. A prima vista, il payload sembrava simile al malware PlugX/Hodur descritto da ESET in un rapporto recentemente pubblicato sull’APT cinese Mustang Panda. La prima somiglianza riguarda la numerazione ID dei comandi C&C: entrambi i malware utilizzano 2 byte per specificare la categoria di comando e 2 byte per un comando specifico di questa categoria. Ad esempio, il comando 0x10010001 viene utilizzato nella variante SPINNER per inviare i dati delle informazioni di sistema, mentre il malware Hodur utilizza il gruppo di comandi 0x1001 e l’ID del comando 0x1001 per la stessa azione.

Inoltre, alcuni dei comandi stessi si sovrappongono tra i campioni, come quelli che elencano le unità logiche, ottengono informazioni dettagliate sui file in una directory o eseguono comandi utilizzando cmd.exe. Queste funzionalità non sono uniche e di solito si trovano in molte backdoor. In questo caso, i due malware condividono una somiglianza ancora più grande e sorprendente. Dopo aver aperto la variante Hodur PlugX nel disassemblatore, è emerso che Hodur, come SPINNER, è stato pesantemente offuscato utilizzando il Control Flow Flattening (CFF). Tuttavia, il CFF di Hodur è diverso da quello di SPINNER. Il CFF di Hodur si basa su un dispatcher che utilizza un determinato registro per decidere a quale blocco di codice saltare successivamente, mentre in SPINNER il registro viene utilizzato così com’è senza alcuna manipolazione. Nella variante PlugX, vengono utilizzate operazioni aritmetiche aggiuntive sul registro prima che venga controllato dal dispatcher. Per completare il confronto con l’offuscamento, Hodur offusca pesantemente le chiamate API e le stringhe, un passaggio assente in SPINNER.

In termini di implementazione, i campioni di malware sono completamente diversi. Hodur è un’applicazione desktop di Windows multithread e comunica con il C&C attraverso più thread, ognuno con il proprio scopo, mentre SPINNER è un’applicazione console a thread singolo. Il metodo di enumerazione di Hodur è più esteso di quello di SPINNER, ma non utilizza il Bot ID che identifica una specifica macchina infetta. La funzione di autocancellazione di Hodur potrebbe essere simile nella sua logica a quella di SPINNER, ma utilizza una serie di comandi completamente diversi per eliminare se stesso e i file associati. La logica di comunicazione di Hodur con il C&C è più complessa e proviene da diverse parti del codice e da più thread, mentre SPINNER ha una sola funzione che gestisce i comandi.

Sebbene le differenze indichino l’appartenenza di questi malware a famiglie diverse, essi condividono delle similitudini di “best practice“. Ecco alcuni esempi di somiglianze:

  • Entrambi utilizzano le funzioni WS2_32 per recuperare l’indirizzo IPv4 del computer locale.
  • Mostrano interesse nell’enumerazione dei file in determinate directory, cercando dati specifici come l’ora dell’ultimo accesso
  • Entrambi enumerano le unità disco, ricercando i thumb drive alla ricerca di dati interessanti
  • Eseguono comandi dal C&C tramite cmd.exe utilizzando una pipe, ecc.
  • Si può sostenere che queste sono solo tecniche comuni utilizzate da tutte le backdoor, ma non è improbabile che questi strumenti possano avere la stessa fonte a monte e quindi condividere molte best practice e metodi.

Attività basata sulla Cina

Le tattiche, le tecniche e le procedure (TTP) di questa operazione ci hanno permesso di attribuirla a un’attività APT cinese. In generale, i gruppi cinesi sono noti per il riutilizzo e la condivisione di strumenti. In assenza di prove sufficientemente solide, come connessioni basate sull’infrastruttura, non abbiamo potuto attribuire direttamente questa attività con elevata sicurezza a uno specifico attore cinese della minaccia. Tuttavia, la campagna Twisted Panda presenta numerose sovrapposizioni con attori cinesi di cyber-spionaggio avanzati e di lunga data:

Le offuscazioni dei flussi di controllo osservate in SPINNER sono state precedentemente utilizzate dal gruppo cinese APT10 e sono riapparse in una recente campagna di spionaggio di Mustang Panda:

Il gruppo APT Mustang Panda è stato osservato sfruttare l’invasione dell’Ucraina per colpire entità russe nello stesso periodo di Twisted Panda.
Il flusso di infezione che si basa sul side-loading delle DLL è una tecnica di evasione preferita utilizzata da diversi attori cinesi. Tra gli esempi vi sono il famigerato malware PlugX (e le sue molteplici varianti, tra cui i già citati campioni di Mustang Panda’ Hodur), la campagna di spionaggio globale APT10 pubblicata di recente che utilizzava il lettore VLC per il side-loading e altre campagne APT10.
Oltre alle somiglianze tra SPINNER e Hodur che abbiamo menzionato in precedenza, anche altre pratiche come i caricatori in-memory multistrato basati su shellcode e PE, specialmente combinati con risoluzioni API dinamiche tramite hash, sono una tecnica tipica di molti gruppi cinesi. La vittimologia della campagna Twisted Panda è coerente con gli interessi cinesi a lungo termine.

Gli obiettivi

Gli istituti di ricerca sulla difesa che abbiamo identificato come obiettivi di questo attacco appartengono a una holding del conglomerato statale russo della difesa Rostec Corporation. Si tratta della più grande holding russa nel settore della radioelettronica e gli istituti di ricerca presi di mira si occupano principalmente dello sviluppo e della produzione di sistemi di guerra elettronica, di apparecchiature radioelettroniche militari di bordo, di stazioni radar aeree e di mezzi di identificazione statale. Gli enti di ricerca si occupano anche di sistemi avionici per l’aviazione civile, dello sviluppo di una serie di prodotti civili come le apparecchiature mediche e di sistemi di controllo per l’energia, i trasporti e le industrie ingegneristiche.

Il piano Made in China 2025 definisce gli obiettivi della Cina per diventare una grande potenza tecnologica ed economica e identifica anche i settori in cui deve diventare leader mondiale, tra cui la robotica, le apparecchiature mediche e l’aviazione. A sostegno di ciò, il piano quinquennale cinese per il periodo 2021-2025 prevede un aumento costante dei budget per la ricerca e lo sviluppo al fine di espandere le capacità scientifiche e tecniche della Cina. Tuttavia, molteplici rapporti, non provenienti dagli Stati Uniti e da altri Paesi, tra cui la Russia, considerata partner strategico della Cina rivelano che, accanto alle relazioni e alle misure palesi, la Cina impiega strumenti occulti per raccogliere informazioni, combinando così le partnership con diverse attività di spionaggio. Insieme alle precedenti segnalazioni di gruppi APT cinesi che conducono le loro operazioni di spionaggio contro il settore governativo e della difesa russo, la campagna Twisted Panda descritta in questa ricerca potrebbe servire come ulteriore prova dell’uso dello spionaggio in uno sforzo sistematico e a lungo termine per raggiungere gli obiettivi strategici cinesi in termini di superiorità tecnologica e potenza militare.

Inchieste

Google rapporto 2023: sicurezza, pubblicità e Zero-Day Insights

Tempo di lettura: 5 minuti. Il Rapporto 2023 vede Google affrontare sfide di sicurezza con avanzamenti in IA e insight su zero-day, rafforzando l’impegno nella pubblicità

Pubblicato

in data

Tempo di lettura: 5 minuti.

Nel 2023, Google ha fornito approfondimenti preziosi su diversi aspetti cruciali del panorama digitale, tra cui la sicurezza degli annunci, l’evoluzione delle minacce zero-day e l’impiego dell’intelligenza artificiale per rafforzare le politiche pubblicitarie. Questi rapporti sottolineano l’impegno di Google nel promuovere un ecosistema online sicuro e trasparente, evidenziando al contempo l’importanza di tecnologie avanzate come l’IA nell’affrontare sfide complesse.

Rapporto di Google Rivela Aumento degli Exploit Zero-Day nel 2023

Google ha pubblicato il suo quinto rapporto annuale sugli exploit zero-day individuati “in-the-wild” nel 2023, mostrando un significativo aumento rispetto all’anno precedente. Nel 2023, sono state osservate 97 vulnerabilità zero-day sfruttate attivamente, segnando un incremento di oltre il 50% rispetto al 2022, ma ancora al di sotto del record del 2021 di 106. Questo è il primo rapporto congiunto tra il Google Threat Analysis Group (TAG) e Mandiant.

Panoramica del Rapporto

Il rapporto, intitolato “We’re All in this Together: A Year in Review of Zero-Days Exploited In-the-Wild in 2023” offre una panoramica approfondita degli exploit zero-day, includendo sia le piattaforme e i prodotti utilizzati dagli utenti finali (come dispositivi mobili, sistemi operativi, browser e altre applicazioni) sia le tecnologie orientate alle imprese, quali il software di sicurezza e gli apparecchi di rete.

Importanza del Rapporto

Attraverso l’analisi combinata di TAG e Mandiant, il rapporto non solo fornisce una valutazione più ampia della situazione, ma offre anche linee guida chiare per coloro che sono impegnati a garantire la sicurezza nel mondo digitale. L’obiettivo è fornire una comprensione più profonda delle minacce e stimolare un’azione collettiva per affrontare le vulnerabilità zero-day.

Raccomandazioni

La crescente tendenza degli exploit zero-day sottolinea l’importanza di una collaborazione continua e di un impegno condiviso tra gli attori del settore per rafforzare la sicurezza digitale. Il rapporto di Google funge da importante risorsa per comprendere le dinamiche correnti delle minacce e per orientare gli sforzi verso una maggiore resilienza contro gli attacchi zero-day.

Trend degli Exploit Zero-Day nel 2023: Un’Analisi Dettagliata

Nel 2023, il panorama della sicurezza informatica ha osservato un significativo aumento degli exploit zero-day, con un totale di 97 vulnerabilità sfruttate rispetto alle 62 del 2022. Questa analisi emerge dal primo rapporto congiunto tra il Google Threat Analysis Group (TAG) e Mandiant, sottolineando un’escalation nell’uso di queste minacce avanzate, pur rimanendo al di sotto del picco di 106 zero-day registrato nel 2021.

Punti Chiave del Rapporto

Il rapporto delinea due principali categorie di vulnerabilità zero-day: quelle relative a piattaforme e prodotti destinati agli utenti finali, come dispositivi mobili, sistemi operativi e browser, e quelle che riguardano tecnologie focalizzate sulle imprese, come il software di sicurezza e gli apparecchi di rete.

Tra le principali scoperte del rapporto figurano:

  • Gli investimenti in sicurezza da parte dei fornitori stanno rendendo più difficili certi attacchi.
  • Vi è un crescente targeting di componenti di terze parti, che influisce su più prodotti.
  • L’obiettivo verso le imprese è in aumento, con un focus maggiore sul software di sicurezza e sugli apparecchi di rete.
  • I fornitori di sorveglianza commerciale guidano gli exploit di browser e dispositivi mobili.
  • La Repubblica Popolare Cinese rimane il principale sfruttatore statale di zero-day.
  • Le attacchi motivati finanziariamente sono diminuiti in proporzione.

Casistiche rilevanti del 2023

Il rapporto evidenzia tre casi di exploit zero-day che hanno avuto un impatto significativo nel 2023:

  1. Barracuda ESG (CVE-2023-2868): una vulnerabilità zero-day nel Barracuda Email Security Gateway è stata attivamente sfruttata da ottobre 2022. L’attore di minaccia cinese UNC4841 è stato identificato come responsabile degli attacchi, che facevano parte di una campagna di spionaggio a favore della Repubblica Popolare Cinese.
  2. VMware ESXi (CVE-2023-20867): UNC3886, un gruppo di spionaggio cibernetico cinese, ha sfruttato un zero-day in VMware ESXi come parte di uno sforzo continuo per eludere le soluzioni di sicurezza e rimanere non rilevato.
  3. MOVEit Transfer (CVE-2023-34362): una vulnerabilità critica zero-day nel software di trasferimento file MOVEit Transfer è stata attivamente sfruttata per il furto di dati fin dal 27 maggio 2023. Inizialmente attribuita ad UNC4857, l’attività è stata successivamente associata a FIN11 sulla base di sovrapposizioni di targeting, infrastruttura e certificati.

Nonostante la difficoltà di difendersi dagli exploit zero-day, adottare un approccio multistrato alla sicurezza può aiutare a mitigarne l’impatto. Le organizzazioni dovrebbero concentrarsi sulla gestione delle vulnerabilità, sulla segmentazione della rete, sul principio del minimo privilegio e sulla riduzione della superficie di attacco. Inoltre, è consigliabile condurre una caccia alle minacce proattiva e seguire le linee guida e le raccomandazioni fornite dalle organizzazioni di sicurezza.

Gli exploit zero-day rappresentano una minaccia importante e diffusa, come dimostrato dai casi discussi. È fondamentale che i fornitori continuino a investire nella sicurezza per ridurre i rischi per utenti e clienti, e che le organizzazioni di tutti i settori rimangano vigili. Gli attacchi zero-day possono comportare significative perdite finanziarie, danni alla reputazione, furto di dati e altro ancora.

Uno sguardo al Futuro Digitale

I dati rivelano un aumento significativo degli exploit zero-day nel 2023, con Google e Mandiant che evidenziano la necessità di una collaborazione settoriale per contrastare efficacemente queste minacce. Parallelamente, l’IA sta rivoluzionando il modo in cui Google gestisce la sicurezza degli annunci, migliorando l’accuratezza e l’efficacia dell’enforcement delle politiche. Questi sviluppi riflettono il costante impegno di Google nel migliorare la sicurezza e l’esperienza utente online, utilizzando le tecnologie più avanzate per affrontare le sfide emergenti.

Rapporto sulla sicurezza degli annunci di Google 2023 rivela l’impatto delle AI

Nel suo rapporto sulla sicurezza degli annunci del 2023, Google svela come le grandi reti neurali basate sull’IA (Large Language Models, LLM) stiano rivoluzionando l’efficacia nell’applicazione delle politiche pubblicitarie, garantendo una piattaforma più sicura per gli utenti. Questo progresso rappresenta un salto qualitativo rispetto ai tradizionali modelli di machine learning, grazie alla capacità delle LLM di analizzare contenuti in grande volume e catturare sfumature importanti, consentendo decisioni di enforcement più precise su politiche complesse.

Avanzamenti nell’Enforcement

Per anni, i team di sicurezza di Google hanno utilizzato l’IA e il machine learning per far rispettare le politiche sugli annunci su vasta scala, bloccando miliardi di annunci inappropriati prima che potessero raggiungere gli utenti. Tuttavia, questi modelli tradizionali richiedevano un’estensiva fase di addestramento, basandosi su centinaia di migliaia, se non milioni, di esempi di contenuti violativi.

Le LLM, invece, possono rivedere e interpretare rapidamente un volume elevato di contenuti, migliorando significativamente l’efficacia dell’azione contro gli annunci che violano le direttive di Google. Questa capacità di analisi approfondita è particolarmente utile in contesti complessi, come la lotta contro le affermazioni finanziarie inaffidabili, inclusi gli annunci che promuovono schemi di arricchimento rapido.

Confronto con le Minacce Emergenti

Gli attori malintenzionati, specialmente nel settore finanziario, sono diventati sempre più sofisticati, adattando le loro tattiche e modellando gli annunci su nuovi servizi o prodotti finanziari per ingannare gli utenti. Sebbene i modelli tradizionali di machine learning siano addestrati per rilevare queste violazioni, la natura mutevole delle tendenze finanziarie può rendere difficile distinguere tra servizi legittimi e truffe.

Le LLM hanno dimostrato di essere particolarmente efficaci nel riconoscere rapidamente nuove tendenze nei servizi finanziari, identificare i modelli utilizzati dagli attori malintenzionati e differenziare tra un’attività commerciale legittima e uno schema di arricchimento rapido. Ciò ha reso i team di Google più agili nell’affrontare le minacce emergenti di ogni tipo.

Prospettive Future

L’uso delle LLM nella sicurezza degli annunci è ancora agli inizi. Con il lancio di Gemini, il modello di IA più avanzato di Google, l’azienda sta iniziando a integrare le sue capacità di ragionamento sofisticate negli sforzi di sicurezza e enforcement degli annunci. L’adozione di questa tecnologia promette di migliorare ulteriormente la sicurezza degli annunci su Google, affrontando efficacemente le minacce emergenti e garantendo un ambiente online più sicuro per tutti gli utenti.

Prosegui la lettura

Inchieste

Guerra al “pezzotto”: cos’è Piracy Shield? Funziona? Giusto multare gli utenti?

Tempo di lettura: 6 minuti. Piracy Shield doveva essere lo scudo contro la pirateria audiovisiva nel Web, ma si è dimostrato più problematico dei proclami dell’Agcom

Pubblicato

in data

Tempo di lettura: 6 minuti.

Il Governo annuncia una lotta alla pirateria senza precedenti multando fino a 5000 € i clienti del famigerato pezzotto. Una scelta che sta suscitando tantissime polemiche all’indomani del Piracy Shiel disposto a tutela dei gestori del servizi di streaming nazionali.

Cos’è il Piracy Shield?

La Piattaforma Piracy Shield, introdotta dalla legge 14 luglio 2023, n. 93, mira a rafforzare le funzioni dell’Autorità per garantire un contrasto più efficace e tempestivo alla pirateria online, specialmente per gli eventi trasmessi in diretta. Con modifiche al regolamento sulla tutela del diritto d’autore online (delibera n. 680/13/CONS), la piattaforma prevede specifiche disposizioni per combattere la pirateria online legata agli eventi sportivi live. Un aspetto chiave di queste norme è che il blocco dei Fully Qualified Domain Names (FQDN) e degli indirizzi IP, univocamente destinati alla diffusione illecita di contenuti protetti, deve avvenire entro trenta minuti dalla segnalazione del titolare attraverso una piattaforma tecnologica unica con funzionamento automatizzato. Piracy Shield, attiva dal 1° febbraio 2024, permette una gestione automatizzata delle segnalazioni dopo l’emissione dell’ordine cautelare da parte dell’Autorità per le garanzie nelle comunicazioni.

Perchè è necessario il Piracy Shield?

Massimo Capitanio, Commissario AgCom, al momento sta prendendo meriti e demeriti dell’iniziativa e motiva uno strumento come quello del Piracy Shield necessario per salvare l’emorragia di introiti legali e di opportunità lavorative che il settore dei fornitori di servizi colpiti può fornire avendo in dotazione guadagni migliori che gli spettano.

A margine di questo ragionamento, Ipsos e FAPAV, Federazione per la Tutela delle Industrie dei Contenuti Audiovisivi e Multimediali, hanno prodotto una ricerca realizzata sui dati del 2022 che entra nel merito del danno economico e sociale che la pirateria porta all’economia del Paese:

  • 42%: l’incidenza complessiva della pirateria (di film, serie/fiction, programmi e sport live) tra gli italiani di 15 anni o più nel 2022 (43% nel 2021, 37% nel 2019, 38% nel 2018, 37% nel 2017, 39% nel 2016).
  • Pirateria film: 30% (+1pp rispetto al 2021).
  • Pirateria serie/fiction: 24% (stabile rispetto al 2021).
  • Pirateria programmi: 21% (stabile rispetto al 2021).
  • Pirateria sport live: 15% (stabile rispetto al 2021).
  • 23%: incidenza delle IPTV illegali per la visione di film, serie, programmi e sport, anche solo in prova/senza abbonarsi (23% nel 2021, 19% durante il lockdown 2020; 10% nel 2019).
  • 345 milioni: la stima complessiva degli atti di pirateria nel 2022: il 35% sono film, il 30% serie/fiction, il 23% programmi, il 12% sport live.
  • 81%: pirati consapevoli del fatto che la pirateria è un reato (+5% vs. 2021).
  • 59%: quota di pirati NON pienamente consapevoli che, a causa della pirateria, i lavoratori dell’industria audiovisiva rischiano di perdere il posto di lavoro.
  • Il 40% dei pirati è entrato a contatto con siti web oscurati.
  • Il 49% dei pirati entrati in contatto con siti web oscurati si è convertito a fonti legali.
  • 47%: l’incidenza della pirateria tra i 10-14enni (-4pp rispetto al 2021).
  • 24 milioni: gli atti di pirateria tra i 10-14enni (-24% rispetto al 2021).
  • Il 76% dei pirati adolescenti è a conoscenza del fatto che la pirateria è un reato (75% nel 2021).
  • Il 60% dei pirati adolescenti ritiene probabile essere scoperto e sanzionato (57% nel 2021).

Contattato da Matrice Digitale, Capitanio, ha preferito lasciare come testimonianza i dati della ricerca Fepav “a causa dei troppi impegni” dovuti anche dai “problemi” generati dalla Piattaforma sviluppata dalla Sc Tech: l’unica ad oggi ad aver avuto pubblicità positiva in tutta la vicenda.

Serve il Piracy Shield?

La storia è partita con delle ottime premesse, ma si è arenata contro uno scudo tecnico di notevole importanza se si considera che per bloccare gli indirizzi IP dove avveniva lo streaming pirata delle partite, prodotto principale da contrastare nel paese dove siamo tutti allenatori, si è bloccata un’intera filiera di server web che ospitavano servizi legittimi di attività che nulla centravano con le azioni di pirateria congiunte ed hanno subito svariati disagi come l’irraggiungibilità dei propri servizi web.

La comunità informatica italiana ha preso di mira l’attività dell’AgCom, promotore dell’iniziativa che all’inizio aveva avuto addirittura complimenti dallo stesso comparto IT per come fosse stata scritta la norma che ha sancito l’impiego del dispositivo incaricato della caccia ai pirati del pezzotto. La realtà come abbiamo già detto è stata diversa e gli effetti maturati sono stati di una gravità notevole se consideriamo che a rimetterci le penne sono state le persone oneste con i loro identificativi Web oscurati mentre i pirati hanno potuto cambiare velocemente i loro e fornire continuità ai servizi illegali.

L’errore di comunicazione dell’Autorità Garante per le Comunicazioni

D’altro canto, l’AgCom, invece di mitigare le critiche tecnicamente fondate, ha generato su se stesso un danno di immagine duplice facendo emergere responsabilità alla piattaforma Cloudflare, additandola come supporto ad attività criminali e nascondendone eventuali critiche. Ricordiamo ai lettori che “l’arma” Cloudflare fu utilizzata dall’impreparata ACN per far fronte agli attacchi DDOS dei collettivi russi.

Questo Tweet, pubblicato dal ricercatore Andrea Draghetti, non solo fa comprendere la gravità dei servizi colpiti con una funzione sociale rilevante, nel caso specifico è stato multato uno strumento utile contro attacchi phishing, ma anche come una multinazionale abbia emesso un comunicato a tutti gli utenti sparsi nel mondo in seguito allo scarica barile dell’AgCom. Intanto, c’è chi ha messo a disposizione un portale dove è possibile verificare se gli indirizzi IP dei propri server siano stati bloccati

Il parere dell’Esperto: strumento complesso, ma che potrebbe difendere l’intero Paese.

Roberto Beneduci, CEO di CoreTech società che offre soluzioni Cloud, non è restio a promuovere l’iniziativa che però definisce “spinosa per la sua attuazione dal lato tecnico”. La Comunità Europea nel 2019 aveva diramato un provvedimento simile per favorire la rimozione dei contenuti terroristici online dopo poco tempo dalla segnalazione all’hosting Provider, ma il mercato non era tecnicamente pronto. Secondo Beneduci, nel caso del Piracy Shield, “c’è una soluzione tecnica che però presenta delle difficoltà: capire quali sono i criteri per finire in questa lista e soprattutto come uscirne in caso di errore”.

Chi sono i responsabili che pagano eventuali danni verso terzi ignari?

Ogni partita ha un suo IP e se viene bloccato, c’è la possibilità di cambiarlo in poco tempo e “la ricerca di tempestività dell’intervento può essere un problema perché non tutti sono preparati a fare questo tipo di attività che richiederebbe tante risorse concentrate durante le partite di calcio che farebbe aumentare i costi sia per le imprese sia per gli utenti“.

Secondo il ceo di CoreTech “serve anche il coinvolgimento dei cloud provider per evitare blocchi come quelli avvenuti verso IP di servizi Cloudflare dietro i quali erano in realtà presenti siti “legittimi”

Roberto Beneduci - CoreTech
Roberto Beneduci – CoreTech

Perché non è negativa? “A meno che non diventi un sistema di censura” conclude Beneduci “consapevolmente ed inconsapevolmente, questo sistema di coordinamento attuato per il Pivacy Shield può essere utile come modello per proteggere il perimetro del Paese aumentando la portata dello scudo non solo alle partite“.

Dai pesci grandi ai pesci piccoli

Da qui quindi la decisione da parte dell’Agcom di procedere direttamente nei confronti di coloro che acquistano servizi IP pirata ed anche in questo caso sono sorte tantissime polemiche perché secondo molti rappresentano una vera e propria sconfitta da parte dello Stato “incapace nel punire i pesci grandi a discapito di quelli piccoli”. C’è chi addirittura ha paragonato questo intervento teso a multare fino a 5000 € i fruitori del pezzotto, se beccati in flagrante per la seconda volta altrimenti la prima sanzione è di 150 euro, ai manganelli che la Polizia ha riservato agli studenti impegnati in una manifestazione a Pisa provocando scandalo e scalpore nell’opinione pubblica italiana.

C’è anche chi sostiene che saranno poche le multe e le sanzioni comminate ai cittadini infedeli restii ad acquistare i servizi originali e che sia forte il rischio di un ulteriore proclama di facciata invece che di una proficua la lotta in favore della legalità portata avanti dalle Istituzioni di Governo. Dall’AgCom fanno sapere dell’esistenza di un accordo quadro con la Guardia di Finanza che prevede l’utilizzo di risorse destinate a setacciare quell’indotto criminale che, secondo studi in mano all’Autorità, sottrae almeno 10.000 posti di lavoro l’anno.

Giusto multare gli utenti?

Premesso che la lotta all’illegalità va sempre appoggiata e premiata, ma c’è un aspetto sociale, in un momento storico dove la capacità di spesa e di acquisto delle famiglie italiane è al minimo perché divorata dall’inflazione che le rende più vicine al pezzotto che agli abbonamenti. Ne deriva anche l’aumento dei prezzi dei servizi di streaming che si sono oramai moltiplicati nel loro genere attraverso sottoscrizioni nelle sottoscrizioni con i marchi più noti.

Il Governo deve rispondere a queste preoccupazioni non solo sostenendo la tesi che i servizi di streaming aumentano perché c’è la pirateria, il che ha una sua logica seppur storicamente il mercato riporta più fattori che incidono sull’aumento dei prezzi.

La proposta di Matrice Digitale

Consideriamo che l’attività di multe e sanzioni raggiunga livelli di raccolta finanziaria notevoli, si potrebbe destinare per legge il ricavato sia per potenziare le attività di indagine e contrasto alla pirateria sia per destinare parte delle somme ad un fondo che premi i cittadini erogando bonus sconto alle sottoscrizioni degli abbonamenti.

Visto che l’obiettivo dello Stato non è principalmente quello di fare cassa, bensì di tutelare il mercato, dopo aver multato i suoi cittadini, potrebbe premiare quelli virtuosi con delle agevolazioni o perdonare chi vuole mettersi in regola con degli sconti per il reinserimento nella sottoscrizione di tipo legale. Allo stesso tempo può pretendere dalle imprese erogatrici di servizi che più abbonamenti si sottoscrivono in numero dopo l’entrata in vigore della normativa e più a scaglioni si abbassano i prezzi.

Questa sarebbe una risposta sensata a chi insinua che il Piracy Shield sia l’ennesimo strumento per manganellare i cittadini in favore dei potentati economici per lo più internazionali. Potrebbe essere anche l’inizio di una rivoluzione culturale di tipo digitale ed allo stesso tempo Istituzionale.

Prosegui la lettura

Inchieste

Elezioni: Google finanzia il Ministero della Verità, Meta alle prese con i Watermark AI

Tempo di lettura: 4 minuti. Google e Meta affrontano la disinformazione e i deepfake nelle elezioni con iniziative di alfabetizzazione e watermark AI.

Pubblicato

in data

Tempo di lettura: 4 minuti.

Nell’era digitale, la tecnologia AI ha il potenziale di rivoluzionare molti aspetti della nostra vita, ma porta con sé anche sfide significative, soprattutto in contesti sensibili come le elezioni. Da una parte, Google si impegna attivamente nel contrastare la disinformazione online, soprattutto in vista delle elezioni parlamentari europee, promuovendo l’alfabetizzazione mediatica e sostenendo l’importanza del fact-checking. Dall’altra, Meta affronta la problematica dei deepfake e dei contenuti generati dall’IA, proponendo soluzioni basate su watermark che, però, mostrano limitazioni e sollevano questioni sulla loro efficacia.

Queste iniziative evidenziano un punto cruciale: la necessità di un approccio collaborativo e multidisciplinare per garantire l’integrità delle elezioni nell’era dell’AI. La combinazione di sforzi nel settore tecnologico, normativo e educativo appare indispensabile per navigare le acque turbolente della disinformazione digitale e proteggere i processi democratici.

Google combatte la Disinformazione Online durante le Elezioni

Con fino a 400 milioni di cittadini pronti a votare nelle Elezioni Parlamentari Europee di quest’anno, la qualità dell’informazione assume un ruolo cruciale. Google, in collaborazione con l’Istituto Universitario Europeo, noto per ospitare le iniziative censorie dell’UE ed ampiamente trattato nell’inchiesta sul Ministero della Verità, e la Fondazione Calouste Gulbenkian, la sede anglosassone esperta soprattutto di Cambiamento Climatico, ha organizzato il summit “Combattere la Disinformazione Online” a Bruxelles, riunendo esperti di vari settori per discutere di alfabetizzazione mediatica, coinvolgimento civico e misure contro la disinformazione nell’era dell’intelligenza artificiale (AI).

Strategie contro la Disinformazione

I fact checker svolgono un ruolo fondamentale nel contrastare la disinformazione e promuovere l’informazione di qualità. Google ha annunciato un contributo di 1,5 milioni di euro alla European Fact-Checking Standards Network (EFCSN) per lanciare Elections24Check, una coalizione di oltre 40 organizzazioni di news e fact checking che collaboreranno per verificare le informazioni relative alle Elezioni Parlamentari Europee. Questo progetto prevede la creazione di un database aperto di disinformazione elettorale, una risorsa preziosa per la ricerca e la verifica dei fatti a livello globale.

La tecnica del prebunking, che insegna al pubblico a riconoscere le tecniche comuni di manipolazione, è un altro strumento efficace. Google lancerà una campagna di prebunking prima delle Elezioni Parlamentari Europee per rafforzare l’alfabetizzazione mediatica attraverso brevi annunci video sui social in vari paesi europei.

Risorse per i Giornalisti e Empowerment dei Giovani Elettori

Nel periodo precedente alle elezioni di giugno, AFP fornirà risorse per i giornalisti per sensibilizzare sulla disinformazione e le azioni per contrastarla, tra cui una serie di brevi video e un corso online in più lingue.

Con l’abbassamento dell’età di voto a 16 anni in alcuni paesi europei, più giovani potranno partecipare al processo democratico. Google.org sosterrà quest’obiettivo con un finanziamento di 1 milione di dollari a ThinkYoung per organizzare hackathon guidati da giovani in tutta Europa, incentrati sul combattere la disinformazione e sviluppare soluzioni per le comunità meno servite.

Insights sulle tendenze di Ricerca

Per offrire una panoramica delle questioni e degli argomenti di interesse per gli elettori, Google lancerà un Hub di Tendenze di Ricerca per le Elezioni Parlamentari Europee, con dati a livello dell’UE e per paesi specifici. Un’imminente newsletter sulle Tendenze Elettorali di Google fornirà analisi approfondite basate sulle ricerche in vista delle elezioni.

Queste iniziative evidenziano l’impegno di Google nel ridurre la minaccia della disinformazione e promuovere informazioni affidabili, in collaborazione con governi, industrie e società civile.

Meta e la sfida dei Watermark nell’AI

Con l’arrivo della prima “elezione AI” nella storia degli Stati Uniti, Meta (la società madre di Facebook e Instagram) ha annunciato l’intenzione di etichettare i contenuti generati dall’IA creati tramite gli strumenti di intelligenza artificiale più popolari. Tuttavia, questo approccio presenta diverse debolezze, soprattutto perché funziona solo se i creatori di deepfake utilizzano strumenti che già includono watermark nei loro contenuti, il che non è comune tra gli strumenti generativi “open-source” non sicuri.

Problemi con i Watermark attuali

La maggior parte degli strumenti generativi “open-source” non produce watermark, rendendo inefficace l’approccio di Meta per i contenuti privi di queste marcature digitali. Anche se versioni future di questi strumenti dovessero includere watermark, le versioni precedenti, ancora in grado di produrre contenuti senza watermark, rimarranno accessibili.

Inoltre, è possibile aggirare facilmente il sistema di etichettatura di Meta anche utilizzando gli strumenti AI che dovrebbero essere coperti dall’iniziativa. La rimozione di un watermark da un’immagine generata con gli standard attuali può richiedere solo pochi secondi, compromettendo la promessa di Meta di etichettare le immagini generate dall’IA.

Soluzioni possibili

Una soluzione immediata potrebbe essere l’adozione di watermark “massimalmente indelebili”, che si integrano impercettibilmente nei pixel effettivi delle immagini o nelle onde sonore dell’audio. Questo approccio richiederebbe che i watermark fossero integrati in modo più profondo e meno rimovibile rispetto alle attuali tecniche basate sui metadati.

La politica potrebbe anche svolgere un ruolo chiave. Potrebbero essere necessarie leggi che obblighino tutti i prodotti di intelligenza artificiale generativa a incorporare watermark indelebili nelle loro immagini, audio, video e contenuti testuali, utilizzando le tecnologie più avanzate disponibili.

Necessità di standard e regolamentazioni

È fondamentale che organizzazioni come la C2PA, il National Institute of Standards and Technology e l’International Organization for Standardization accelerino lo sviluppo e il rilascio di standard per watermark indelebili e l’etichettatura dei contenuti in vista di leggi future che richiedono queste tecnologie.

Meta e altre aziende tecnologiche hanno un ruolo cruciale da svolgere nello sviluppo e nella condivisione di tecnologie in grado di rilevare i contenuti generati dall’IA, anche in assenza di marker invisibili. La cooperazione tra industria, governo e società civile sarà essenziale per affrontare le sfide poste dalla disinformazione nell’era dell’intelligenza artificiale.

Fact-checking positivo, ma fallace e potenzialmente pericoloso per la democrazia

Gli strumenti realizzati in favore del giornalismo moderno sono utili, ma c’è un problema alla base che contraddistingue il sistema di Fact Checking di Google ed è quello della non premialità della verità, bensì della narrazione. Non è un caso che più volte le organizzazioni di fact-checking ed i loro membri siano autori di smentite preventive a delle notizie che poi si dimostrano vere senza precisare gli errori messi in piedi dal meccanismo di verifica delle notizie. Sono tanti i casi registrati in passato sia sul Covid sia sul conflitto Russo Ucraino ed anche su questioni più piccole come dichiarazioni di politici estrapolate e manipolate.

Prosegui la lettura

Facebook

CYBERSECURITY

Notizie2 ore fa

Attacchi di password spraying su VPN Cisco e tanti aggiornamenti di sicurezza

Tempo di lettura: 2 minuti. Cisco avverte di attacchi di password spraying su VPN e rilascia aggiornamenti di sicurezza per...

Notizie6 ore fa

ZenHammer: nuova minaccia alle difese Rowhammer su CPU AMD

Tempo di lettura: 2 minuti. ZenHammer: nuova minaccia alle difese Rowhammer su CPU AMD Zen 2 e Zen 3 dopo...

Notizie8 ore fa

Nuovo servizio Phishing “Darcula” mira gli utenti iPhone tramite iMessage

Tempo di lettura: 2 minuti. Il servizio di phishing Darcula rappresenta un'avanzata minaccia nel panorama della sicurezza informatica

Notizie1 giorno fa

Edge vulnerabilità consentiva installazioni occulte di estensioni dannose

Tempo di lettura: 2 minuti. Una vulnerabilità in Microsoft Edge avrebbe potuto permettere installazioni occulte di estensioni dannose, evidenziando preoccupazioni

Notizie1 giorno fa

India, malware HackBrowserData mira Difesa ed Energia

Tempo di lettura: 2 minuti. Un attacco di phishing utilizzando malware HackBrowserData mascherato da invito dell'Indian Air Force mira al...

Notizie2 giorni fa

Confermato: APT31 dietro al cyberattacco al Parlamento Finlandese del 2021

Tempo di lettura: 2 minuti. La polizia finlandese conferma che il gruppo APT31 del MSS cinese è responsabile della violazione...

Raspberry pi GEOBOX Raspberry pi GEOBOX
Notizie2 giorni fa

Raspberry Pi diventa uno strumento di frode con GEOBOX

Tempo di lettura: 4 minuti. GEOBOX trasforma Raspberry Pi in uno strumento di frode, complicando il tracciamento dei cybercriminali e...

CISA CISA
Notizie2 giorni fa

CISA mette in guardia sulle vulnerabilità Fortinet, Ivanti e Nice

Tempo di lettura: 2 minuti. CISA segnala l'attiva sfruttamento di vulnerabilità critiche nei prodotti Fortinet, Ivanti e Nice, sollecitando l'applicazione...

Notizie3 giorni fa

Discord ancora problemi: colpita la piattaforma BOT più importante

Tempo di lettura: 3 minuti. Hacker compromettono top.gg, la principale piattaforma di bot Discord, avvelenando il codice sorgente e sollevando...

CISA CISA
Notizie3 giorni fa

Nuove direttive CISA e FBI contro le vulnerabilità SQL

Tempo di lettura: 3 minuti. CISA e FBI esortano a eliminare le vulnerabilità all'iniezione SQL, sottolineando l'importanza delle pratiche di...

Truffe recenti

OSINT2 settimane fa

USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance

Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...

dimarcoutletfirenze sito truffa dimarcoutletfirenze sito truffa
Inchieste1 mese fa

Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni

Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...

sec etf bitcoin sec etf bitcoin
Economia3 mesi fa

No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè

Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...

Notizie3 mesi fa

Europol mostra gli schemi di fronde online nel suo rapporto

Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...

Notizie4 mesi fa

Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi

Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...

app ledger falsa app ledger falsa
Notizie5 mesi fa

App Falsa di Ledger Ruba Criptovalute

Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...

keepass pubblicità malevola keepass pubblicità malevola
Notizie5 mesi fa

Google: pubblicità malevole che indirizzano a falso sito di Keepass

Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...

Notizie5 mesi fa

Nuova tattica per la truffa dell’aggiornamento del browser

Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...

Notizie6 mesi fa

Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector

Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...

Truffe online6 mesi fa

ChatGPT cerca di ingannare cuori solitari appassionati di AI

Tempo di lettura: < 1 minuto. La truffa LoveGPT rappresenta una nuova minaccia nel mondo degli appuntamenti online, sfruttando l'AI...

Tendenza