Inchieste
Guerra cibernetica in Nord Corea. Lazarus: l’apt che ha devastato banche, Tv, siti governativi e Sony

Dopo la parentesi russa, la nostra rubrica sulla guerra cibernetica si sposta in Corea del Nord dove esistono gruppi apt preparati seppur godano della nomea di “accattoni”, perchè le loro attività sono collegate più a recuperare fondi per il Governo, piuttosto che a sferrare attacchi con il fine militare.
Fatto sta che, se si vuole incominciare ad approcciarsi alla guerra cibernetica intrapresa dalla famiglia di Kim Jong, bisogna iniziare ad approfondire l’attività del Lazarus Group. Gestito dal governo nordcoreano e noto anche come Labyrinth Chollima , Group 77 , Hastati Group, Whois Hacking Team, NewRomanic Cyber Army Team, Zinc, Hidden Cobra, Appleworm (?), APT-C-26, ATK 3 , SectorA01, ITG03 , il gruppo è motivato principalmente da un guadagno finanziario come metodo per aggirare le sanzioni applicate contro il controverso regime. Il 2013 è stato l’anno in cui è emersa l’attività del gruppo, grazie anche ad una serie di attacchi coordinati contro un assortimento di emittenti e istituzioni finanziarie sudcoreane che hanno utilizzato DarkSeoul e che ritroveremo ciclicamente nelle cronache del gruppo.
Il Gruppo Lazarus ha 3 sottogruppi:
1. Sottogruppo: Andariel, Chollima
2. Sottogruppo: BeagleBoyz
3. Sottogruppo: Bluenoroff, APT 38, Stardust Chollima
Anche questi altri gruppi possono essere associati all’apt Lazarus: Covellite, Reaper, APT 37, Ricochet Chollima, ScarCruft e Wassonite.
Il primo attacco che si ricorda è l’operazione “Flame” e risale al 2007 con una attività di rottura e sabotaggio della rete informatica sud Coreana.
Nel 2009, invece, lo spettro di azione si allarga anche agli Stati Uniti con delle azioni militari ad alcuni dei più importanti uffici governativi degli USA e della Corea del Sud, tra cui la Casa Bianca, il Pentagono, la Borsa di New York e la Blue House presidenziale di Seoul, del ministero della Difesa, dell’assemblea nazionale, della banca Shinhan, della Korea Exchange bank e del principale portale Internet Naver. L’impatto è stato notevole ed ha acceso più di un riflettore sulle necessità del Governo nel proteggersi da eventuali attacchi informatici futuri.
Koredos: il trojan che va a caccia di tracce sudcoreane virtuali
Nel 2011 è accaduto un attacco che ha riportato subito alla memoria quello del 4 luglio 2009 contro i governi degli Stati Uniti e della Corea del Sud, così come i siti web finanziari e dei media. Solitamente si era abituati a trovare origine dell’attacca in un server di comando e controllo (C&C) che inviava comandi ai computer compromessi, provocando attacchi sistematici e coordinati. In questo caso, i comandi non provenivano da un C&C: sono stati nascosti all’interno della minaccia che ha coinvolto molti componenti nell’attacco e questo ha indicato un certo livello di sofisticatezza. Di questi file, il comportamento distruttivo viene eseguito dal file s[LETTERE CASUALI]svc.dll. Sebbene si siano viste diverse varianti di questo file.dll, il risultato finale ottenuto è stato lo stesso: il record di avvio principale (MBR) del computer compromesso veniva distrutto.
Alcune varianti scansionano le unità fisse dei computer compromessi alla ricerca di file con estensioni diverse, utilizzati da software prevalentemente utilizzati in Corea (ad esempio .alz, .gul e .hwp).
Ciò ha suggerito fortemente che la minaccia ha preso di mira i computer situati in Corea del Sud. Si è poi scoperto che il software malevolo è stato battezzato Koredos ed aveva il compito di sovrascrivere i file con tutti zeri. Inoltre, se la dimensione del file è maggiore o uguale a 10.485.760 byte, l’attacco è strutturato per eliminare semplicemente i file. Se un file non soddisfa la condizione precedente, la minaccia crea un file .cab utilizzando il nome file originale ed elimina il file originale. In altri casi i file eliminati potevano essere ripristinati utilizzando vari metodi, ma poiché venivano sovrascritti i file con zeri, il file originale non poteva essere ripristinato.
Dieci giorni di Guerra Informatica “Ten Days of Rain” / ”DarkSeoul”
Le reti di computer che gestivano tre importanti banche sudcoreane e le due più grandi emittenti televisive del paese sono rimaste paralizzate in attacchi che alcuni esperti sospettavano provenissero dalla Corea del Nord. Gli attacchi hanno impedito a molti sudcoreani di prelevare denaro dagli sportelli automatici ed hanno messo a vuoto gli schermi di tre canali televisivi.
Sempre nello stesso anno, 2013, è emerso un malware bancario individuato come Kastov, i cui autori hanno mostrato grande preparazione tecnica ed interesse verso le informazioni bancarie e finanziarie dei soggetti colpiti. Nella maggior parte dei casi il malware finanziario predilige gli exploit kit, osservato già in precedenza come vettore di infezione in un malware bancario Gongda che si rivolge principalmente alla Corea del Sud. Da qui è sorta l‘attenzione per il malware Kastov fornito dallo stesso exploit kit che prendeva di mira specifiche società finanziarie sudcoreane ed i loro clienti. I criminali informatici in questo caso hanno svolto le loro ricerche sul panorama finanziario online sudcoreano ed è stato possibile definire questo tipo di attività criminosa nell’ambito delle azioni intraprese dal governo nord coreano.
La fase iniziale di questa minaccia è composta dal Downloader.Castov .Compilata in Delphi , aveva la capacità di fermare il software antivirus che, una volta all’interno di un computer, segnalava l’infezione al suo server di comando e controllo (C&C) portandolo a scaricare un file crittografato per procedere poi alla seconda fase composta da Infostealer.Castov. L’infostealer controllava gli offset specifici in un elenco di DLL pulite (tutte relative al software bancario online coreano e alla sicurezza) per le istruzioni del codice operativo e quindi correggeva tali istruzioni. Il codice inserito controllava le stringhe che sembrano essere password, dettagli dell’account e transazioni. Una volta trovati e raccolti i dati, venivano inviati a un server remoto, e, grazie a questi, la combinazione di screenshot, password e certificati digitali ha consentito ai criminali informatici di accedere ai conti finanziari degli utenti.
DarkSeoul: da 4 anni contro la Corea del Sud
Il 25 giugno, la penisola coreana ha assistito a una serie di attacchi informatici in coincidenza con il 63° anniversario dell’inizio della guerra di Corea. Mentre più attacchi sono stati condotti da più autori, uno degli attacchi DDoS (Distributed Denial-of-Service) osservati contro i siti Web del governo sudcoreano sono stati collegati direttamente alla banda di DarkSeoul e Trojan.Castov.
Questa connessione ha consentito di attribuire più attacchi di alto profilo alla banda di DarkSeoul negli ultimi 4 anni contro la Corea del Sud, tra cui quelli che hanno riguardato i devastanti attacchi di Jokra nel marzo 2013, colpevoli di aver cancellato numerosi dischi rigidi di computer presso banche e emittenti televisive sudcoreane, nonché gli attacchi alle società finanziarie sudcoreane nel successivo maggio 2013. Castov si è contraddistinto anche per la sua capacità di coordinare un attacco DDoS con questa modalità:
- Il sito Web compromesso portava al download di SimDisk.exe (Trojan.Castov), una versione trojan di un’applicazione legittima.
- Downloader.Castov si connetteva a un secondo server compromesso per scaricare il file C.jpg (Downloader.Castov), un file eseguibile che sembra essere un’immagine.
- La minaccia utilizzava la rete Tor per scaricare Sermgr.exe (Trojan.Castov).
- Castov eliminava il file Ole[VARIABLE].dll (Trojan.Castov) nella cartella di sistema di Windows.
- Castov scaricava il file CT.jpg da un server Web che ospitava una webmail ICEWARP, compromessa a causa di vulnerabilità note pubblicamente in ICEWARP. Il file CT.jpg conteneva un timestamp utilizzato da Castov per sincronizzare gli attacchi.
- Una volta raggiunto questo tempo, Castov rilasciava Wuauieop.exe (Trojan.Castdos).
- Castdos iniziava a sovraccaricare il server DNS di Gcc.go.kr con richieste DNS, eseguendo efficacemente un attacco DDoS indirizzato simultaneamente a più siti Web.
Il film The Interview non piace ai nord coreani: Sony sotto attacco
Nel novembre 2014 un devastante attacco hacker a Sony Pictures ha esposto una serie di documenti interni trapelati e fogli di calcolo contenenti informazioni e dati dei dipendenti e dei dirigenti senior dell’azienda, che sono stati divulgati al pubblico. Sulla base dei rapporti iniziali, Sony ha chiuso l’intera rete aziendale dopo che un messaggio minaccioso, insieme a un teschio, è apparso sugli schermi dei loro computer. Il messaggio, inviato da un gruppo di hacker che si fa chiamare “Guardiani della Pace” (#GOP), avvertiva che era “solo l’inizio” e che sarebbe continuato fino a quando la loro “richiesta sarebbe stata soddisfatta“. Poco dopo la diffusione della notizia dell’hacking di Sony, ci sono state affermazioni dilaganti sul coinvolgimento della Corea del Nord e sul suo utilizzo del malware distruttivo colpevole di aver lanciato l’attacco:
25 novembre – I primi rapporti sull’attacco alla rete Sony Pictures hanno colpito i social media 28 novembre – Il sito di notizie tecniche Re/code ha riportato che la Corea del Nord è stata indagata per l’attacco
29 novembre – Copie di film inediti, ritenuti strappi di screener DVD di Sony Pictures, appaiono sui siti di condivisione file
1 dicembre – Pubblicazione di documenti che rivelano gli stipendi dei dirigenti della Sony Pictures
3 dicembre – Re/code ha affermato che la Corea del Nord è stata considerata “ufficialmente responsabile” degli attacchi
5 dicembre – E-mail minacciose sono state inviate ai dipendenti di Sony Pictures
6 dicembre – La Corea del Nord ha rilasciato una dichiarazione definendo l’attacco “giusto”, ma nega il coinvolgimento
8 dicembre – Le indagini hanno rivelato che gli hacker hanno utilizzato la rete ad alta velocità di un hotel a Bangkok, in Thailandia, per divulgare su Internet i dati riservati dei dipendenti il 2 dicembre.
16 dicembre – Gli hacker inviano hanno inviato minacce di ulteriori attacchi, con riferimenti all’11 settembre 2001, se il film The Interview fosse uscito.
17 dicembre – I funzionari statunitensi sono arrivati alla conclusione che la Corea del Nord ha ordinato gli attacchi informatici ai computer della Sony Pictures. I cinema hanno annunciato che non avrebbero proiettato il film e la Sony ha annullato l’uscita del film.
19 dicembre – L’FBI ha rilasciato un aggiornamento ufficiale sulle loro indagini, concludendo che il governo nordcoreano era responsabile dell’attacco.
Il malware utilizzato negli attacchi:
- BKDR_WIPALL.A
- BKDR_WIPALL.B
- BKDR_WIPALL.C
- BKDR_WIPALL.D
- BKDR_WIPALL.E
- BKDR_WIPALL.F
Inchieste
ACN finalista su LinkedIn: spegnetegli i social

“A pensar male ci si azzecca” diceva qualcuno di molto importante nella storia del nostro Paese.
L’Agenzia della Cybersicurezza Nazionale ha venduto sui social un grande successo che in realtà ha confermato una grande parte delle critiche mosse al suo ufficio di comunicazione da molti esperti informatici del Paese. Molta fuffa, molta politica, tantissima comunicazione e grande autoreferenzialità all’interno dei social network, ma pochissima sostanza.
Durante un periodo in cui l’ente è finito in un turbine di polemiche in seguito ad attacchi informatici da ogni dove, tra l’altro che hanno interessato più volte gli stessi obiettivi, c’è chi sui social ha pensato di vendersi l’essere rientrata tra i finalisti in un contest organizzato da LinkedIn.
Sì, proprio quella piattaforma utilizzata dall’Agenzia per una comunicazione “uno a molti” dove dipendenti dello Stato hanno più volte dato patenti di ignoranza ad esperti informatici che hanno dimostrato di aver svolto il ruolo delle “cassandre” e li ha offesi o addirittura minacciati via mail quando è stato segnalato un bug al CSIRT. LinkedIn, di proprietà della Microsoft che ha stipulato con l’ex direttore Baldoni un accordo per formare 100.000 esperti informatici nei prossimi anni a botte di certificazioni Microsoft, ha inserito tra i finalisti l’ACN per aver speso speso più tempo sul social network a dirsi di essere “bella e brava” ed “innovativa” senza però risolvere concretamente i problemi del paese per i quali è stata costituita.
Speriamo vinca il premio finale, altrimenti oltre ad aver messo in cattiva luce le proprie capacità pratiche, la beffa di non portare a casa la “mucca Carolina” sarebbe il colpo finale ad un’attività di comunicazione per un ente totalmente tecnico che dovrebbe spegnere i social ed occuparsi della sicurezza cibernetica in Italia.
Inchieste
Sanremo multato per il conflitto di interessi della Ferragni con Meta
Tempo di lettura: 3 minuti. Un mese a contestare i giornalisti, per aver fornito una lettura sul modo di fare affari dell’influencer, per poi ritornare a seguirne le televendite sugli organi di informazione

“Perché ce l’avete con la Ferragni?”
“Siete invidiosi per il solo fatto che lei ce l’ha fatta?”
Queste sono alcune delle opposizioni, alcune argomentate da offese, che sono giunte alla redazione per aver mostrato giornalisticamente il conflitto di interessi di Chiara Ferragni al festival di Sanremo.
L’influencer digitale, ha rinunciato al suo cachet da 50.000 € ed è stata acclamata dal grande pubblico per questa iniziativa che in realtà si è dimostrata un atto dovuto per consentire al circo Ferragnez di incamerare indisturbato maggiori introiti al Festival dando visibilità alle aziende che hanno imposto non solo una linea commerciale, bensì anche una ideologica.
Molte persone, abituate a seguire la coppia dalla mattina alla sera nelle proprie attività commerciali che vengono spacciate come contenuti giornalistici dalle testate, anche quelle più prestigiose, che si occupano anche di gossip e di spettacolo, non sono riuscite a comprendere che le denunce giornalistiche hanno riguardato una promozione “gratuita” di Instagram all’interno del festival più importante in termini di visibilità d’Italia, dimostratosi un’operazione subdola e scorretta secondo i regolamenti in vigore nella giustizia civile. Non è un caso infatti che gli autori del Festival di Sanremo hanno dapprima impostato la difesa su due livelli temporanei non riuscendo a convincere il collegio giudicante dell’AGCom. In primo luogo hanno detto che era una gag improvvisata tra l’autrice, nonché imprenditrice chiamata sul palco dell’Ariston grazie al successo ottenuto su Instagram e gli autori del format televisivo si sono detti all’oscuro compreso il conduttore e direttore artistico Amadeus. La verità ci ha messo poco a venire a galla e si è scoperto che l’evento Instagram fosse presente in scaletta e quindi nessun effetto sorpresa se non perché venduto come tale ai telespettatori della prima serata.
Successivamente, in seguito ad una scansione dei contratti pubblicitari, dove non è chiaro se fossero presenti accordi con Meta o se ci sia stata una pubblicità occulta fatta dalla Ferragni in combutta con gli organizzatori e responsabili del festival di Sanremo. Indipendentemente dalla presenza o meno di contratti, non è stato esplicato in quel momento che ci fosse un riferimento pubblicitario dovuto sia nell’uno che nell’altro caso.
In sintesi, il problema non è che Matrice Digitale o altri quotidiani sono stati invidiosi del successo della Ferragni e nemmeno che hanno “puntato”, giornalisticamente parlando, il personaggio, ma è chiaro che i dubbi sollevati contro l’influencer non solo erano motivati, ma evidenzia l’esistenza di un giornalismo che ad oggi non riesce a far comprendere la differenza tra un contenuto patinato di interesse frivolo rispetto a quello che invece rappresenta il giornalismo di informazione pura scevra da inserimenti commerciali e da pubblicità occulte.
Non riesce a mostrare oppure non può per preservare gli introiti pubblicitari a tema sui propri canali di informazione e che pagano più per contenuti simili?
Sarebbe forse il caso di rivedere il modello degli analfabeti funzionali del nostro paese, molti dei quali non hanno compreso che se hai successo nella vita dovresti dare l’esempio, soprattutto se ti vesti da rappresentante del femminismo, e invece ritengono che ci siano anche le possibilità di ottenere dei lasciapassare rispetto agli altri poveri umani che non ce l’hanno fatta e che se lo fanno notare sono automaticamente invidiosi secondo la massa che supporta il modello social. L’Autorità Garante nelle Comunicazioni ha multato il Festival di Sanremo per la pubblicità occulta, una manna dal cielo per chi è ben consapevole che Meta viene spesso trattata con i guanti di seta dal Garante Privacy che mostra sempre una linea di collaborazione, invertendo il ruolo istituzionale con quello aziendale, nonostante i cittadini italiani ed europei siano stati vittime più volte degli attacchi informatici che hanno ne hanno messo in rete i dati personali e sensibili.
Inchieste
Zuckerberg licenzia altri 10.000 dipendenti, abbandona NFT e Metaverso, e copia Telegram
Tempo di lettura: 2 minuti. Poche idee e troppi progetti ma la società ha perso credibilità nei confronti dei suoi utenti

È ufficiale, Instagram sta copiando un altro concorrente. Il CEO di Meta, Mark Zuckerberg, ha annunciato il mese scorso una nuova funzionalità su Instagram – i Canali. Questo nuovo servizio di chat consente ai creatori di condividere messaggi, sondaggi e foto con i follower al fine di stabilire una relazione più diretta con loro, simile alla funzione canali su Telegram.
Zuckerberg ha introdotto la nuova funzionalità aprendo il proprio canale, dove intende continuare a condividere aggiornamenti riguardanti Meta. Zuckerberg ha anche dichiarato che il servizio di chat arriverà su Facebook Messenger nei prossimi mesi. In seguito, verrà aggiunta anche la possibilità di aggiungere un altro creatore di contenuti al canale e aprire una sezione di domande e risposte (AMA, chiedimi qualunque cosa). Nel frattempo, Instagram sta attualmente testando i canali con alcuni creatori selezionati negli Stati Uniti, con l’intenzione di espandere la release della funzionalità nei prossimi mesi.
Questa nuova funzionalità offre anche ai creatori un nuovo modo per aggiornare i loro follower. Fino ad ora, i creatori di contenuti dovevano aggiornare le loro storie su Instagram per condividere notizie e aggiornamenti con i loro follower. Ma ora possono utilizzare un modo più diretto per connettersi con loro. Coloro che si uniscono ai canali possono votare nei sondaggi ma non possono partecipare alla conversazione.
Crisi NFT. Questo ed altri buoni propositi nel cestino di Meta
Meta, la società madre di Facebook e Instagram, ha deciso di rimuovere il supporto agli NFT (non-fungible token), oggetti da collezione digitali, meno di un anno dopo il loro lancio ufficiale sui due social network. La decisione è stata presa per concentrarsi su altri modi per supportare creator, persone e aziende. La compagnia sta già lavorando su nuove funzionalità come la messaggistica e le operazioni di monetizzazione per Reels e sta investendo in strumenti fintech come Meta Pay e i pagamenti tramite messaggistica su Meta. Questa decisione sembra suggerire che Meta stia cercando di proporre un’alternativa valida agli NFT, che sono stati considerati in crisi da molti. Tuttavia, la decisione è sorprendente poiché Mark Zuckerberg aveva presentato gli NFT come un elemento utile allo sviluppo del metaverso. Meta ha già chiuso altri progetti ambiziosi come il portafoglio di criptovalute Novi, il programma di bonus per i creator di Reels e la divisione “Reality Labs”. La società sembra essersi lanciata in progetti troppo ambiziosi che ora non riesce a seguire come vorrebbe, e l’eccessiva ambizione del CEO sta cominciando a farsi sentire sull’attività di Meta.
Altri 10.000 licenziamenti per far volare il titolo in borsa
Mark ha annunciato la decisione di licenziare altri 10.000 dipendenti su un organico di poco meno di 80.000 persone. L’azienda ha dichiarato che questo è necessario per ridurre i costi e aumentare la distribuzione di risorse agli azionisti. La società di Mark Zuckerberg ha affermato che nei prossimi mesi annuncerà un piano di ristrutturazione, cancellando i progetti a bassa priorità e riducendo il tasso delle assunzioni. Zuckerberg ha descritto la decisione come difficile ma necessaria per il successo dell’azienda, aggiungendo che verranno chiuse anche altre 5.000 posizioni aperte. Questa non è la prima volta che l’azienda licenzia dipendenti, infatti, lo scorso novembre ne aveva già licenziati 11.000. Lo scorso febbraio, la società ha annunciato anche un piano di riacquisto di azioni proprie da 40 miliardi di dollari per aumentare il valore delle azioni a beneficio dei soci e dei manager.
-
L'Altra Bolla3 settimane fa
TikTok sul banco degli imputati: sicurezza o ennesima sanzione alla Cina?
-
Editoriali3 settimane fa
L’intelligenza artificiale al servizio dell’umanità? E’ già un falso storico
-
Inchieste3 settimane fa
Google e ACN finanziano progetti contro la disinformazione con politici e disinformatori
-
Inchieste2 settimane fa
ACN copia e incolla da Accenture il Piano Strategico Nazionale di Cybersicurezza?
-
L'Altra Bolla3 settimane fa
FBI va oltre la scienza: Covid ha avuto origine in laboratorio. Perchè fa paura?
-
Editoriali2 settimane fa
Baldoni: dimissioni da ACN. Spiazzato lo storytelling della propaganda cyber
-
L'Altra Bolla2 settimane fa
Polizia di Kiev scopre 160 comunità Telegram degli estremisti PMC Redan
-
Editoriali2 settimane fa
Fedez è l’opposto della Cultura Digitale che serve al paese