Inchieste
Guerra Cibenetica: UNC1151 l’APT della Bielorussia nel conflitto tra Ucraina e Russia e ostile alla NATO
La notizia del coinvolgimento diretto degli hackers di stato bielorussi ha dato una conferma sulla partecipazione attiva dello stato cuscinetto russo alla guerra cibernetica. Chi sono e cosa hanno fatto in passato i componenti dell’APT finora sconosciuta alla massa ed alla maggior parte degli analisti non è del tutto svelato, ma c’è un indizio logico che può collegarli al conflitto ucraino e precisamente la loro attività di diffamazione nei confronti della NATO
Operazione Ghostwriter
Nel luglio 2020, Mandiant Threat Intelligence ha pubblicato un rapporto pubblico che descriveva in dettaglio una campagna d’influenza in corso denominata “Ghostwriter“. Ghostwriter è stata una campagna d’influenza cyber rivolta principalmente al pubblico in Lituania, Lettonia e Polonia che promuoveva narrazioni critiche nei confronti dell’Organizzazione del Trattato Nord Atlantico (NATO) in Europa orientale.
Gli analisti di Mandiat, che hanno dato il nome agli attori statali bielorussi, hanno osservato osservato un’espansione delle narrazioni, degli obiettivi e TTP associati all’attività di Ghostwriter anche oltre la pubblicazione del rapporto di luglio 2020. Per esempio, diverse operazioni recenti hanno pesantemente sfruttato gli account compromessi dei social di funzionari polacchi della destra politica per pubblicare pubblicare contenuti apparentemente destinati a creare disordini nella politica interna in polacca volti a fomentare la sfiducia nella NATO. Queste operazioni, condotte in polacco e in inglese, in gran parte non hanno fatto affidamento sulla diffusione tramite vettori che osservati con precedenti attività simili, come la compromissione di siti web, messaggi di posta elettronica falsificati o post di persone non autentiche.
Attacco al Parlamento tedesco e la False Flag russa
Nel 2021 gli account e-mail di diversi membri del Parlamento tedesco sono stati presi di mira in un attacco di spearphishing. L’attacco è stato effettuato con l’invio di e-mail di phishing inviate alle e-mail private dei politici tedeschi. La maggior parte dei parlamentari presi di mira in questo attacco facevano parte dei partiti di governo CDU/CSU e SPD.
Un portavoce del Bundestag ha detto che gli aggressori non hanno preso di mira la rete del Bundestag. Dopo che l’attacco è stato rilevato, tutti i membri del parlamento presi di mira sono stati immediatamente avvisati.
All’inizio si è sospettato l’interesse degli hacker di stato russi, compresa Mandiant-FireEye che li ha identificati, ma poi si è ricondotto il tutto all’operazione Ghostwriter ed ai cugini bielorussi.
L’apt ha utilizzato personaggi inventati in posa come giornalisti e analisti per colpire il pubblico lituano, lettone e polacco con narrazioni anti-North Atlantic Treaty Organization (NATO) diffuse utilizzando siti web compromessi e account e-mail spoofed.
“La campagna Ghostwriter sfrutta l’attività tradizionale delle minacce informatiche e le tattiche delle operazioni di informazione per promuovere narrazioni destinate a intaccare la coesione della NATO e minare il sostegno locale per l’organizzazione in Lituania, Lettonia e Polonia“, ha dichiarato FireEye.
Nell’agosto 2020, la Norvegia ha rivelato un attacco sorprendentemente simile che ha anche portato alla violazione di diversi account di posta elettronica appartenenti a rappresentanti e dipendenti del Parlamento norvegese ed anche in quel caso attribuito ai russi dell’APT28.
Nel corso del 2022, in occasione del conflitto tra Ucraina e Russia, Microsoft ha individuato diverse azioni distruttive collegandole alle squadre statali bielorusse con il Malware WiperHermetic
Inchieste
Pharmapiuit.com : sito truffa online dal 2023
Tempo di lettura: 2 minuti. Pharmapiuit.com è l’ultimo sito truffa ancora online di una serie di portali che promettono forti sconti, ma in realtà rubano ai clienti
Una segnalazione alla redazione di Matrice Digitale del sito pharmapiuit.com ha permesso di scovare un altro sito truffa. Il portale web è una farmacia online che vende prodotti di ogni genere, dai farmaci da banco ai prodotti omeopatici passando per le calzature ortopediche.
Il portale è sfuggito alla miriade di siti scovati dalla redazione nei mesi precedenti grazie anche alle segnalazioni dei lettori, che in passato sono stati messi in rete e spesso sfruttavano il nome di aziende esistenti ed infatti risulta online dal 2023 e questo fa intendere che appartiene alla schiera di siti truffa scovati e molti oscurati dagli stessi criminali.
Anche in questo caso, l’utente ha provato ad acquistare un prodotto segnalando il sito in questione “puó sembrare un sito italiano perché riporta un indirizzo italiano: Via Roncisvalle, 4 37135 Verona, ma in realtá, quando si fa un ordine, il pagamento finisce da VDDEALS e nessun prodotto ordinato arriva”. Non arriva regolare conferma d’ordine, ma delle mail in lingua straniera da servivesvip@guo-quan.com con dei link per tracciare un ipotetico pacco. Non ho cliccato i link per non cadere in altra truffa. Comunque a distanza di piú di 3 settimane è arrivato nulla“.
Dando uno sguardo al portale ed al modulo di acquisto, è possibile notare che, nonostante sia promossa la vendita attraverso più piattaforme di pagamento, il sito accetti dati di Visa e Mastercard. Questo perché sono ancora le uniche carte di credito facilmente spendibili nei mercati neri per effettuare acquisti fraudolenti.
E’ chiaro che il pagamento avvenga, così come sia possibile anche che i dati inseriti possano creare un profilo completo di acquisto ai criminali in modo tale da poter perpetrare la truffa in piena autonomia su altri canali di vendita.
Il sito originale
Il sito originale è Pharmapiu.it ( è bastato unire il dominio aggiungendo il punto com pharmapiuit.com ) ed è di una farmacia di Messina che nulla a che vedere con la truffa in questione ed è stata avvisata già dalla redazione.
Hai dubbi su in sito oppure hai subito una truffa? contatta la Redazione
Inchieste
Temunao.Top: altro sito truffa che promette lavoro OnLine
Tempo di lettura: 2 minuti. Temunao.top è l’ennesimo sito web truffa che promette un premio finale a coloro che effettuano con i propri soldi degli ordini
L’inchiesta di Matrice Digitale sulla truffa Mazarsiu ha subito attirato l’attenzione dei lettori che hanno trovato una similitudine con il sito già analizzato e quello di Mark & Spencer scoperto qualche mese addietro: www.temunao.top.
Un lettore è stato contattato da una certa “Darlene” via WA da un numero +34 697 32 94 09 che lo ha fatto iscrivere alla piattaforma che si presenta con lo stesso modello di Mazarsiu. Questo portale è indirizzato a un pubblico spagnolo che cade in tranello leggendo “Temu” e si ritrova in una pagina in lingua ispanica.
In questa occasione, l’utente ha perso 750 euro, ma per fortuna non è caduto anche nella trappola di Mazarsiu e sembrerebbe che ci sia un collegamento tra le due organizzazioni per il modo di fare aggressivo-passivo degli interlocutori al telefono che mandano messaggi, ma non rispondono perché si dicono sempre impegnatissimi a trainare gli affari.
Il sito web è online dal 4 aprile di quest’anno e questo fa intendere che sia probabile che in molti siano caduti nella trappola perdendo soldi in seguito a quella che sembrerebbe una truffa messa in piedi dallo stesso gruppo criminale su scala internazionale.
Continuate a segnalare siti truffa o sospetti alla redazione via Whatsapp o attraverso il form delle SEGNALAZIONI
Inchieste
Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco
Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la storia di Mazarsiu e di una segnalazione in redazione
Nel mese di gennaio abbiamo trattato la notizia di una offerta di lavoro fittizia che usava il blasone di Mark & Spencer. Una lettrice di Matrice Digitale ha prontamente contattato la redazione dopo che, in fase di navigazione su un sito di Adecco, società famosa per il suo servizio di lavoro interinale a lavoratori e aziende, ha cliccato su un banner pubblicitario che l’ha proiettata su questa pagina:
www.mazarsiu.com si presenta come sito web che consente di svolgere dei compiti e di guadagnare una volta finite le 38 “mansioni”. Ogni mansione ha un investimento incrementale che frutta diverse centinaia di migliaia di euro ai criminali.
L’ancoraggio alla potenziale vittima è stato fatto attraverso WhatsApp da parte di un numero italiano ( 3511580682 ) con un nome ispanico
L’utente Lara Cruz si presenta a nome di una società che reale con sede a Napoli, ma ha un volto asiatico in foto e un nominativo ispanico. E si propone di aiutare gli utenti nella loro fase di registrazione per poi indirizzarle da subito nel lavoro.
La segnalazione è stata inviata in redazione il 15 ed il sito è stato creato il 14 maggio, un giorno prima, ed il veicolo del sito truffa è stato possibile grazie all’utilizzo di una sponsorizzata su AdWords da una piattaforma legittima di Adecco e, per fortuna, la malcapitata ha letto l’inchiesta di Matrice Digitale che l’ha messa sull’attenti.
Se doveste trovarvi dinanzi a un sito che propone lavoro on line, come Mazarsiu o Mark & Spencer, e l’impiego consiste nell’anticipare dei soldi, contattate subito le Autorità o la redazione di Matrice Digitale nell’apposito form di segnalazione o via WhatsApp
- Robotica1 settimana fa
Come controllare dei Robot morbidi ? MIT ha un’idea geniale
- Inchieste5 giorni fa
Melinda lascia la Bill Gates Foundation e ritira 12,5 Miliardi di Dollari
- L'Altra Bolla5 giorni fa
Discord celebra il nono compleanno con aggiornamenti e Giveaway
- Economia1 settimana fa
Chi sarà il successore di Tim Cook in Apple?
- Inchieste4 giorni fa
Terrore in Campania: dati sanitari di SynLab nel dark web
- Economia1 settimana fa
Ban in Germania per alcuni prodotti Motorola e Lenovo
- Economia1 settimana fa
Guerra dei Chip: gli USA colpiscono la ricerca cinese nella Entity List
- Smartphone6 giorni fa
Samsung Galaxy S25 Ultra avrà una Fotocamera rispetto all’S24