Connect with us

Inchieste

Guerra cibernetica in Nord Corea. Lazarus: l’apt che ha devastato banche, Tv, siti governativi e Sony

Pubblicato

il

lazarus

Tempo di lettura: 6 minuti.

Dopo la parentesi russa, la nostra rubrica sulla guerra cibernetica si sposta in Corea del Nord dove esistono gruppi apt preparati seppur godano della nomea di “accattoni”, perchè le loro attività sono collegate più a recuperare fondi per il Governo, piuttosto che a sferrare attacchi con il fine militare.

Fatto sta che, se si vuole incominciare ad approcciarsi alla guerra cibernetica intrapresa dalla famiglia di Kim Jong, bisogna iniziare ad approfondire l'attività del Group. Gestito dal governo nordcoreano e  noto anche come Labyrinth Chollima , Group 77 , Hastati Group, Whois Team, NewRomanic Cyber Army Team, Zinc, Hidden Cobra, Appleworm (?), -C-26, ATK 3 , SectorA01, ITG03 , il gruppo è motivato principalmente da un guadagno finanziario come metodo per aggirare le sanzioni applicate contro il controverso regime.  Il 2013 è stato l'anno in cui è emersa l'attività del gruppo, grazie anche ad una serie di attacchi coordinati contro un assortimento di emittenti e istituzioni finanziarie sudcoreane che hanno utilizzato DarkSeoul e che ritroveremo ciclicamente nelle cronache del gruppo.

Il Gruppo Lazarus ha 3 sottogruppi:

1. Sottogruppo: Andariel, Chollima

2. Sottogruppo: BeagleBoyz

3. Sottogruppo: Bluenoroff, APT 38, Stardust Chollima

Anche questi altri gruppi possono essere associati all'apt Lazarus: Covellite, Reaper, APT 37, Ricochet Chollima, ScarCruft e Wassonite.

Il primo attacco che si ricorda è l'operazione “Flame” e risale al 2007 con una attività di rottura e sabotaggio della rete informatica sud Coreana.

Nel 2009, invece, lo spettro di azione si allarga anche agli Stati Uniti con delle azioni militari ad alcuni dei più importanti uffici governativi degli USA e della Corea del Sud, tra cui la Casa Bianca, il Pentagono, la Borsa di New York e la Blue House presidenziale di Seoul, del ministero della Difesa, dell'assemblea nazionale, della banca Shinhan, della Korea Exchange bank e del principale portale Internet Naver. L'impatto è stato notevole ed ha acceso più di un riflettore sulle necessità del Governo nel proteggersi da eventuali attacchi informatici futuri.

Koredos: il trojan che va a caccia di tracce sudcoreane virtuali

Nel 2011 è accaduto un attacco che ha riportato subito alla memoria quello del 4 luglio 2009 contro i governi degli Stati Uniti e della Corea del Sud, così come i siti web finanziari e dei media. Solitamente si era abituati a trovare origine dell'attacca in un server di comando e controllo (C&C) che inviava comandi ai computer compromessi, provocando attacchi sistematici e coordinati. In questo caso, i comandi non provenivano da un C&C: sono stati nascosti all'interno della minaccia che ha coinvolto molti componenti nell'attacco e questo ha indicato un certo livello di sofisticatezza. Di questi file, il comportamento distruttivo viene eseguito dal file s[LETTERE CASUALI]svc.dll. Sebbene si siano viste diverse varianti di questo file.dll, il risultato finale ottenuto è stato lo stesso: il record di avvio principale (MBR) del computer compromesso veniva distrutto.

Alcune varianti scansionano le unità fisse dei computer compromessi alla di file con estensioni diverse, utilizzati da prevalentemente utilizzati in Corea (ad esempio .alz, .gul e .hwp).

Ciò ha suggerito fortemente che la minaccia ha preso di mira i computer situati in Corea del Sud. Si è poi scoperto che il software malevolo è stato battezzato Koredos ed aveva il compito di sovrascrivere i file con tutti zeri. Inoltre, se la dimensione del file è maggiore o uguale a 10.485.760 byte, l'attacco è strutturato per eliminare semplicemente i file. Se un file non soddisfa la condizione precedente, la minaccia crea un file .cab utilizzando il nome file originale ed elimina il file originale. In altri casi i file eliminati potevano essere ripristinati utilizzando vari metodi, ma poiché venivano sovrascritti i file con zeri, il file originale non poteva essere ripristinato.

Dieci giorni di Guerra Informatica “Ten Days of Rain” / ”DarkSeoul”

Le reti di computer che gestivano tre importanti banche sudcoreane e le due più grandi emittenti televisive del paese sono rimaste paralizzate in attacchi che alcuni esperti sospettavano provenissero dalla Corea del Nord. Gli attacchi hanno impedito a molti sudcoreani di prelevare denaro dagli sportelli automatici ed hanno messo a vuoto gli schermi di tre canali televisivi.

Sempre nello stesso anno, 2013, è emerso un bancario individuato come Kastov, i cui autori hanno mostrato grande preparazione tecnica ed interesse verso le informazioni bancarie e finanziarie dei soggetti colpiti. Nella maggior parte dei casi il malware finanziario predilige gli exploit kit, osservato già in precedenza come vettore di infezione in un malware bancario Gongda che si rivolge principalmente alla Corea del Sud. Da qui è sorta l‘attenzione per il malware Kastov fornito dallo stesso exploit kit che prendeva di mira società finanziarie sudcoreane ed i loro clienti. I criminali informatici in questo caso hanno svolto le loro ricerche sul panorama finanziario online sudcoreano ed è stato possibile definire questo tipo di attività criminosa nell'ambito delle azioni intraprese dal governo nord coreano.

La fase iniziale di questa minaccia è composta dal Downloader.Castov .Compilata in Delphi , aveva la capacità di fermare il software antivirus che, una volta all'interno di un computer, segnalava l'infezione al suo server di comando e controllo (C&C) portandolo a scaricare un file crittografato per procedere poi alla seconda fase composta da Infostealer.Castov. L'infostealer controllava gli offset specifici in un elenco di DLL pulite (tutte relative al software bancario online coreano e alla ) per le istruzioni del codice operativo e quindi correggeva tali istruzioni. Il codice inserito controllava le stringhe che sembrano essere , dettagli dell'account e transazioni. Una volta trovati e raccolti i dati, venivano inviati a un server remoto, e, grazie a questi, la combinazione di screenshot, password e certificati digitali ha consentito ai criminali informatici di accedere ai finanziari degli .

DarkSeoul: da 4 anni contro la Corea del Sud

Il  25 giugno, la penisola coreana ha assistito a una serie di attacchi informatici in coincidenza con il 63° anniversario dell'inizio della guerra di Corea. Mentre più attacchi sono stati condotti da più autori, uno degli attacchi (Distributed Denial-of-Service) osservati contro i siti Web del governo sudcoreano sono stati collegati direttamente alla banda di DarkSeoul e .Castov.

Questa connessione ha consentito di attribuire più attacchi di alto profilo alla banda di DarkSeoul negli ultimi 4 anni contro la Corea del Sud, tra cui quelli che hanno riguardato i devastanti attacchi di Jokra nel marzo 2013, colpevoli di aver cancellato numerosi dischi rigidi di computer presso banche e emittenti televisive sudcoreane, nonché gli attacchi alle società finanziarie sudcoreane nel successivo maggio 2013. Castov si è contraddistinto anche per la sua capacità di coordinare un attacco DDoS con questa modalità:

  • Il sito Web compromesso portava al download di SimDisk.exe (Trojan.Castov), ​​una versione trojan di un'applicazione legittima.
  • Downloader.Castov si connetteva a un secondo server compromesso per scaricare il file C.jpg (Downloader.Castov), ​​un file eseguibile che sembra essere un'immagine.
  • La minaccia utilizzava la rete Tor per scaricare Sermgr.exe (Trojan.Castov).
  •  Castov eliminava il file Ole[VARIABLE].dll (Trojan.Castov) nella cartella di sistema di .
  • Castov scaricava il file CT.jpg da un server Web che ospitava una webmail ICEWARP, compromessa a causa di vulnerabilità note pubblicamente in ICEWARP. Il file CT.jpg conteneva un timestamp utilizzato da Castov per sincronizzare gli attacchi.
  • Una volta raggiunto questo tempo, Castov rilasciava Wuauieop.exe (Trojan.Castdos).
  • Castdos iniziava a sovraccaricare il server DNS di Gcc.go.kr con richieste DNS, eseguendo efficacemente un attacco DDoS indirizzato simultaneamente a più siti Web.

Il film The Interview non piace ai nord coreani: Sony sotto attacco

Nel novembre 2014 un devastante attacco hacker a Sony Pictures ha esposto una serie di documenti interni trapelati e fogli di calcolo contenenti informazioni e dati dei dipendenti e dei dirigenti senior dell'azienda, che sono stati divulgati al pubblico. Sulla base dei rapporti iniziali, Sony ha chiuso l'intera rete aziendale dopo che un messaggio minaccioso, insieme a un teschio, è apparso sugli schermi dei loro computer. Il messaggio, inviato da un gruppo di hacker che si fa chiamare “Guardiani della Pace” (#GOP), avvertiva che era “solo l'inizio” e che sarebbe continuato fino a quando la loro “richiesta sarebbe stata soddisfatta“. Poco dopo la diffusione della notizia dell'hacking di Sony, ci sono state affermazioni dilaganti sul coinvolgimento della Corea del Nord e sul suo utilizzo del malware distruttivo colpevole di aver lanciato l'attacco:

25 novembre – I primi rapporti sull'attacco alla rete Sony Pictures hanno colpito i media    28 novembre – Il sito di notizie tecniche Re/code ha riportato che la Corea del Nord è stata indagata per l'attacco
29 novembre – Copie di film inediti, ritenuti strappi di screener DVD di Sony Pictures, appaiono sui siti di condivisione file   
1 dicembre – Pubblicazione di documenti che rivelano gli stipendi dei dirigenti della Sony Pictures
3 dicembre – Re/code ha affermato che la Corea del Nord è stata considerata “ufficialmente responsabile” degli attacchi   
5 dicembre – E-mail minacciose sono state inviate ai dipendenti di Sony Pictures 
6 dicembre – La Corea del Nord ha rilasciato una dichiarazione definendo l'attacco “giusto”, ma nega il coinvolgimento   
8 dicembre – Le indagini hanno rivelato che gli hacker hanno utilizzato la rete ad alta velocità di un hotel a Bangkok, in Thailandia, per divulgare su Internet i dati riservati dei dipendenti il ​​2 dicembre.   
16 dicembre – Gli hacker inviano hanno inviato minacce di ulteriori attacchi, con riferimenti all'11 settembre 2001, se il film The Interview fosse uscito. 
17 dicembre – I funzionari statunitensi sono arrivati alla conclusione che la Corea del Nord ha ordinato gli attacchi informatici ai computer della Sony Pictures. I cinema hanno annunciato che non avrebbero proiettato il film e la Sony ha annullato l'uscita del film. 
19 dicembre – L'FBI ha rilasciato un aggiornamento ufficiale sulle loro indagini, concludendo che il governo nordcoreano era responsabile dell'attacco.

Il malware utilizzato negli attacchi:

  •     BKDR_WIPALL.A
  •     BKDR_WIPALL.B
  •     BKDR_WIPALL.C
  •     BKDR_WIPALL.D
  •     BKDR_WIPALL.E
  •     BKDR_WIPALL.F

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19

Tempo di lettura: 2 minuti. La CIA e NewsGuard sotto accusa: nuove rivelazioni sollevano dubbi sulla narrazione ufficiale dell’origine del COVID-19.

Pubblicato

il

Tempo di lettura: 2 minuti.

In una recente rivelazione che potrebbe gettare nuova luce sull'origine della pandemia di COVID-19, un alto ufficiale della CIA ha accusato l'agenzia di aver tentato di manipolare le testimonianze di alcuni analisti per sostenere la teoria della trasmissione del virus dagli animali agli esseri umani, piuttosto che dalla fuga da un laboratorio a Wuhan, in . Questa accusa, riportata dal New York Post, è stata confermata da una lettera inviata al direttore della CIA, William Burns, e ha sollevato nuove domande sulla credibilità delle informazioni fornite dall'agenzia.

Il ruolo di NewsGuard

In questo contesto, è importante sottolineare il ruolo svolto da NewsGuard, una che si occupa di monitorare e valutare la veridicità delle notizie pubblicate online. Secondo una condotta da Matrice , NewsGuard ha avuto un ruolo significativo nell'avallare la narrazione ufficiale sull'origine del virus, etichettando come false le notizie che sostenevano la teoria della creazione artificiale del virus nei laboratori di Wuhan.

Critiche e controversie

La redazione di Matrice Digitale ha criticato aspramente l'approccio di NewsGuard, accusandola di aver creato una lista di proscrizione delle testate giornalistiche che diffondevano notizie contrarie alla narrazione ufficiale, e di aver ignorato altre informazioni false e fuorvianti circolate in merito alla pandemia. Questa situazione ha sollevato gravi preoccupazioni riguardo alla libertà di espressione e al diritto all', con Matrice Digitale che sottolinea la necessità di una maggiore trasparenza e responsabilità da parte delle agenzie di controllo delle notizie.

Questioni politiche e di credibilità

L'inchiesta di Matrice Digitale mette in luce anche le divergenze tra le narrazioni politiche negli Stati Uniti riguardo all'origine del virus, con il Partito Democratico che sostiene la teoria della trasmissione zoonotica, mentre il Partito Repubblicano sospetta una creazione artificiale del virus nei laboratori di Wuhan. In questo scenario, la credibilità di NewsGuard viene messa in discussione, con accuse di favoritismo politico e mancanza di obiettività nella valutazione delle notizie.

In conclusione, le recenti rivelazioni sulla possibile manipolazione delle informazioni da parte della CIA, insieme alle critiche mosse a NewsGuard, sollevano seri dubbi sulla veridicità delle informazioni circolate finora riguardo all'origine del COVID-19. È evidente che la questione richiede ulteriori indagini e una maggiore trasparenza da parte delle agenzie coinvolte. Prima della CIA, anche dall'FBI erano giunte indiscrezioni sull'origine artificiale del virus.

Prosegui la lettura

Inchieste

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite online e la necessità di maggiore protezione per gli utenti.

Pubblicato

il

Tempo di lettura: 2 minuti.

English Version

Le truffe online sono in aumento, e le piattaforme di vendita tra privati come Vinted diventano spesso il terreno di gioco per chi cerca di ingannare. Una lettrice ha deciso di condividere con noi la sua esperienza, sperando di mettere in guardia altri e partecipando attivamente allo spirito di che Matrice ha nei confronti dei lettori e della Pubblica Autorità.

La truffa in dettaglio

Dopo aver messo in vendita una sciarpa autentica di Louis Vuitton, la nostra lettrice ha inviato l'articolo a un'acquirente in . Nonostante avesse fornito prove fotografiche dell'autenticità, l'acquirente ha sostenuto che l'articolo fosse falso, ottenendo un rimborso e trattenendo la sciarpa. La foto dell'acquirente sia da monito per evitare di vendere merce senza ottenere soldi e reso.

La piattaforma Vinted e la sua risposta

Nonostante i numerosi tentativi di contatto, Vinted ha risposto una sola volta, sottolineando la sua contro la vendita di falsi. Successivamente, ogni tentativo di è stato ignorato, e l'acquirente ha bloccato la nostra lettrice che continua a mandare tre messaggi al giorno di media all'assistenza dell'azienda intermediaria già nota per essere terreno fertile di truffe ai danni di compratori e venditori onesti.

Un modus operandi diffuso

La online ha rivelato che molti altri utenti hanno subito truffe simili su Vinted. Dichiarare un prodotto come “falso” sembra essere una tattica comune tra i truffatori. Sia chiaro, il lettore non prenda questa strategia come consiglio, ma duole segnalare che è un dato di fatto. Un capo rotto è stato anche oggetto di un'altra truffa simile già raccontata dalla redazione.

L'inerzia delle autorità

La vittima ha cercato aiuto presso la Polizia Postale e la Guardia di . Tuttavia, le mani delle autorità erano legate a causa della residenza estera sia di Vinted che dell'acquirente.

Il prezzo della giustizia

La nostra lettrice ha valutato anche una opzione legale, ma i costi proibitivi di una causa internazionale hanno reso questa strada impraticabile. Lo stesso motivo che ha fatto desistere Matrice Digitale dal fare una causa a Google dopo l'ingiustificato ban del suo canale YouTube

Riflessioni finali

Questa testimonianza evidenzia la necessità per le piattaforme come Vinted di adottare misure più rigorose per proteggere i propri utenti. Nel frattempo, è fondamentale che gli utenti siano sempre vigili e informati quando operano online: il passa parola non sulle abitudini da osservare, bensì sulle truffe del momento, è fondamentale per anticipare le mosse dei criminali. Ecco tutte le inchieste su Vinted realizzate da Matrice Digitale: i prossimi potreste essere voi.

Prosegui la lettura

Inchieste

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online sales and the need for more protection for users.

Pubblicato

il

Tempo di lettura: 2 minuti.

Online scams are on the rise, and B2B sales platforms such as Vinted often become the playground for those seeking to deceive. One reader decided to share her experience with us, hoping to warn other users and actively participate in the spirit of cooperation that Digital Matrix has with readers and the Public Authority.

The scam in detail

After listing an authentic Louis Vuitton scarf for sale, our reader sent the item to a buyer in France. Despite providing photographic evidence of authenticity, the buyer claimed the item was fake, getting a refund and keeping the scarf. Let the buyer's photo be a warning to avoid selling merchandise without getting money and returns.

The Vinted platform and its response

Despite numerous attempts to contact them, Vinted responded only once, emphasizing its policy against selling fakes. Subsequently, every attempt at communication was ignored, and the buyer blocked our reader who continues to send an average of three messages a day to the intermediary company's support, which is already known to be a breeding ground for scams against honest buyers and sellers.

A widespread modus operandi

Online research has revealed that many other users have experienced similar scams on Vinted. Declaring a product as “fake” seems to be a common tactic among scammers. Let me be clear, the reader does not take this strategy as advice, but it pains to report that it is a fact. A broken garment was also the subject of another similar scam already recounted by the editorial staff.

The inaction of the authorities

The victim sought help from the Postal Police and the Guardia di . However, the hands of the authorities were tied because of the foreign residence of both Vinted and the buyer.

The price of justice

Our reader also considered a legal option, but the prohibitive costs of an international lawsuit made this route impractical. The same reason that put off Digital Matrix from suing after the unjustified banning of its channel

Final reflections.

This testimony highlights the need for platforms like Vinted to take stronger measures to protect their users. In the meantime, it is crucial for users to be vigilant and informed at all times when operating online: word of mouth not about the habits to observe, but rather the scams of the moment, is key to anticipating the moves of criminals. Here are all the inch

Prosegui la lettura

Facebook

CYBERWARFARE

Truffe recenti

Truffe online1 settimana fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

DeFi3 settimane fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 settimane fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Truffe online3 settimane fa

Nuova truffa di sextortion: il tuo “video intimo” su YouPorn

Tempo di lettura: 2 minuti. Una nuova truffa di sextortion associata a YouPorn sta cercando di estorcere denaro agli utenti...

Notizie4 settimane fa

ONU: Sud-est Asiatico manodopera del crimine informatico

Tempo di lettura: 2 minuti. Un rapporto dell'ONU svela il traffico di lavoratori nel Sud-est asiatico per operazioni di cybercriminalità,...

Notizie4 settimane fa

CISA Avverte: truffa informatica del cambiamento climatico

Tempo di lettura: < 1 minuto. La CISA avverte gli utenti di rimanere vigili di fronte alle truffe online, in...

Inchieste4 settimane fa

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite...

Inchieste4 settimane fa

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online...

vietnam matrix flag vietnam matrix flag
Truffe online4 settimane fa

Truffato per 416.000 dollari in un “club di incontri” su Telegram

Tempo di lettura: < 1 minuto. Uomo di Hanoi truffato per 416.000 dollari cercando di unirsi a un "club di...

Notizie1 mese fa

Galà della Frode: campagna BEC che colpisce l’Italia

Tempo di lettura: 3 minuti. Le truffe di "Business Email Compromise" sono un crescente pericolo nel mondo digitale, con cybercriminali...

Tendenza