Connect with us
speciale truffe online

segnalaci un sito truffa

Inchieste

Guerra cibernetica, Madre Russia: modello perfetto di società della sorveglianza e stratega nella propaganda globale

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

Dopo l’analisi delle minacce APT, iniziamo ad analizzare il contesto specifico dei paesi canaglia che si contraddistinguono storicamente nelle guerre informatiche. E’ doveroso incominciare dalla madre Russia perché quando c’è un attacco hacker, il primo sospetto è quello che siano stati i criminali informatici al soldo di Putin.

La guerra cibernetica targata Russia si contraddistingue per i suoi DDOS (diniego di servizio), attacchi di criminali informatici, oppure militari informatici con fenomeni di propaganda che utilizza molte volte l’arma della disinformazione, o con l’interessamento delle squadre sponsorizzate dallo Stato verso i blog politici. A queste azioni rivolte oltre i confini del Paese, si aggiunge il monitoraggio costante della rete internet attraverso la tecnologia SORM che porta nella maggior parte dei casi alla persecuzione dei cyber-dissidenti.

L’agenzia di sicurezza russa

Secondo gli analisti politici informati sul problema, l’attività di controllo e di attacco nella rete Internet dei paesi esteri è opera dell’FSB che ha ereditato l’attività lavorativa dal più noto KGB. La FSB non è altro che l’agenzia federale di sicurezza della Russia ed è stata costituita da Putin nel lontano 1995 ed ha al suo interno una sezione avanzata che si occupa di mettere in campo per lo più due strategie di azione e precisamente:

  • “Informativo-Tecnico” che comprende le operazioni di rete sia di difesa sia di attacco
  • “Informativo-Psicologico” che consiste nel cercare di manipolare il pensiero della popolazione a favore del governo russo contro gli obiettivi militari indicati dall’FSB con una attività di propaganda.

La propaganda

La propaganda è più efficace degli attacchi hacker quando si tratta di coinvolgere quante più persone nella vastità del globo.

Le principali attività svolte nel corso della storia hanno riguardato nella fattispecie fatti scientifici e geopolitici. Il primo sistema di manipolazione delle informazioni è avvenuto ai danni di Wikipedia, l’enciclopedia pubblica in rete, che ha comportato l’inserimento e la modifica di notizie scientifiche con il fine di distorcere in molti casi gli accadimenti di cronaca e le teorie accademiche. La soluzione per porre rimedio a questa tipologia di attacco è stata il rivedere le materie che avevano subito l’alterazione con descrizioni controverse e sono state modificate, imponendo successivamente un rigido regolamento per l’inserimento delle voci di libreria. Le notizie utilizzate per la propaganda sono state rettificate citando le indagini ufficiali approvate dal metodo accademico universale.

Un’altra azione nota nel contesto di manipolazione delle informazioni si è avuta durante il periodo della guerra cecena dove si inviavano articoli in favore delle azioni militari russe a quelle testate settoriali che li pubblicavano senza verificarli perché credevano nella buona fede dei corrispondenti ,spesso agenti dell’FSB sotto copertura che le inviavano. E’ anche vero però che la guerra cecena si svolgeva nel silenzio della stampa internazionale per via di un accordo di non belligeranza tra USA e Russia che prevedeva silenzio sulle attività statunitensi nel Medioriente in cambio dell’oscurantismo sovietico nella sua regione problematica.

Brexit: referendum popolare oppure manipolazione russa?

Quella che ha raggiunto l’obiettivo di dividere addirittura l’Europa è stata la campagna di disinformazione in occasione della Brexit. Nel 2016, in occasione del referendum sull’uscita dell’Inghilterra dalla zona euro, si è avviata una campagna di sponsorizzazione del sovranismo come forma di governo, portando ad esempio la Russia, o si delegittimava la politica dell’Unione Europea definita fallimentare e artefice di una cancel culture dei singoli stati annessi ai suoi confini.

L’uscita dall’EU da parte del Regno Unito ha però un’altra faccia così come testimonia l’inchiesta dell’Observer che ha fatto luce sulla società Cambridge Analytica : colpevole di aver manipolato la campagna social profilando e colpendo le popolazioni dell’entroterra. Questa strategia si è dimostrata efficace visti i risultati che hanno favorito una maggioranza di voti propensi all’uscita dall’Euro proprio nelle zone periferiche alla City londinese. L’inchiesta giornalistica ha dimostrato che la società anglo-americana è stata responsabile di aver profilato il pubblico secondo attività non proprio limpide anche agli occhi di Facebook, sebbene molti abbiano ritenuto che la società avesse volto lo sguardo dall’altra parte.

Indipendentemente dalla nazionalità della società che materialmente ha allestito tecnicamente la strategia, restano agli atti gli slogan social filo russi, tra cui un video in lingua madre sottotitolato in base alla nazionalità dove veniva indirizzata la campagna pubblicitaria. Vero anche che l’inchiesta dell’Observer era indirizzata a far saltare il banco del referendum per poter consentire al governo di tornare indietro sulle scelte sancite dal popolo. Si è inoltre sollevato un problema delle registrazioni degli utenti per il voto elettronico perché, a poche ore dalla scadenza del termine di iscrizione, il portale era irraggiungibile creando diversi disagi a chi voleva partecipare ed in alcuni casi ha anche desistito dal farlo. Sulle cause di quanto avvenuto, la prima teoria è stata quella dell’attacco hacker russo, ma non è mai stata confermata questa tesi ed è probabile che i server non fossero pronti nel reggere il carico di visite simultaneo generando quello che in Italia è oramai individuato come effetto INPS per via del malfunzionamento nel click day sotto la pandemia. Teoria questa che è stata ufficializzata dagli Uffici preposti al controllo della correttezza del voto.

Trump: il candidato social della Russia?

Nel 2016 anche gli USA sono andati al voto ed hanno lamentato più volte delle ingerenze russe come nel caso del rilascio di email hackerate attraverso DCLeaks e WikiLeaks, associato anche questo ad una attività criminale russa. La diffusione delle email è stata affibbiata ai sovietici, da cui sono partite diverse campagne di diffamazione che hanno colpito la Clinton, avversaria di Trump nella prima tornata elettorale, ed hanno acceso i riflettori sulla vicenda di John Podesta che ha dato il la alle teorie complottistiche di QAnon sulla vicenda della tratta di bambini e dell’estrazione dell’adrenocromo: una sostanza ricavata in fase di tortura dei piccoli ed utilizzata dagli uomini più influenti del mondo per ottenere l’eterna giovinezza. Una teoria che non solo non ha valenza scientifica, ma che è stata sbugiardata in tempi non sospetti da matricedigitale con una indagine OSINT apposita. Fatto sta che dopo questo evento, non solo si è aperto un conflitto interno tra CIA ed FBI, ma è stato chiesto di far luce sull’origine delle sponsorizzazioni effettuate sui social per verificare l’esistenza di fondi russi impegnati sulle piattaforme più note come Twitter e Facebook, scandagliando anche l’universo variegato di Google e dei suoi prodotti.

Germania

Anche la capitale economica dell’Europa, la Germania, sembrerebbe aver impattato con le strategie di propaganda degli hacker russi. Secondo Hans-Georg Maaben, capo dell’Ufficio federale per la protezione della Costituzione del paese, erano evidenti le prove di influenzare le elezioni che si sarebbero svolte da lì a poco nel 2017 tramite azioni di spionaggio informatico e diffusione di notizie poco credibili, responsabili di aver insinuato dei dubbi nell’elettorato. La stessa accusa è stata rivolta ai sovietici per quelle del 2021 appena svolte in territorio alemagno, ma questa volta i sospetti sono stati diffusi in prima persona dalla Commissione Europea.

Polonia

Una campagna di disinformazione filorussa su Facebook che ha coinvolto ben 4,5 milioni di polacchi è stata scoperta all’inizio del 2019 da OKO.press e Avaaz. La campagna promuoveva tre politici polacchi filorussi ed i loro siti web, propagando notizie false o strumentali alla loro attività politica. L’orientamento politico dei tre soggetti coinvolti, Adam Andruszkiewicz, Janusz Korwin-Mikke e Leszek Miller, spaziava dal comunismo all’ultranazionalismo. L’analisi svolta ha portato alla rimozione di alcune delle pagine social nelle quali si svolgeva l’attività di propaganda con notizie false, che ha poi colpito l’ecosistema di Facebook nel mondo, arrivando a chiudere molte pagine italiane collegate ai Cinque Stelle ed alla Lega.

Sputnik cura per il Covid19

La propaganda russa si è avvertita sui social network durante il periodo del Covid e precisamente quando hanno iniziato ad essere immessi sul mercato i vaccini per il contrasto al coronavirus. Nel corso della guerra commerciale farmacologica che prospettava dagli inizi la non accettazione del vaccino russo, denominato Sputnik, da parte dell’EMA, i social network hanno ospitato sponsorizzazioni del vaccino russo dove veniva riportata la validità del farmaco. Oltre a questo, nel periodo di maggiore picco mortale nel Paese della pandemia, vi erano diverse foto che giravano nella rete italiana dei social e ritraevano trionfalmente gli aiuti russi ai medici del Bel Paese.

La Russia come modello di società della sorveglianza

Oltre agli attacchi verso l’esterno, la Russia è il perfetto modello da sempre per gli appassionati della società della sorveglianza. Nel 1995 fu implementato il SORM: che rappresenta il programma di intercettazione legale delle reti telefoniche e di telecomunicazione che operano in terra sovietica. Nasce prevalentemente per consentire all’intelligence, FSB, di essere sempre aggiornata sulle comunicazioni telefoniche che avvengono nel paese, ma già tre anni dopo, 1998, si è esteso il controllo alla rete internet richiedendo agli Internet Service Providers di installare un hardware fornito dall’agenzia di sicurezza nazionale per poter monitorare i metadati e i contenuti delle comunicazioni degli utenti, dalle telefonate al traffico e-mail ed all’attività di navigazione web. Nel 2000 il sistema si è esteso al mobile ed alle reti wireless ed è stato abolito il procedimento di richiesta di accesso ai dati da parte dell’Intelligence ai Providers, che poteva essere costante e libero così come si è aperta la consultazione dei dati intercettati dal SORM anche ad altri enti statali come, Polizia fiscale, Polizia, Servizio federale di protezione, Pattuglia di confine e dogana, Ministero degli Affari Interni, Reggimento del Cremlino, Servizio di sicurezza presidenziale ed i Servizi di sicurezza parlamentare. Nel 2014 si è aggiornato l’hardware a disposizione e si è raggiunta la perfezione nel monitoraggio di ogni ambiente, Telefono-Internet-Mobile-Wireless, con cui ogni singolo abitante della Russia difficilmente non può essere intercettato e questo stato di controllo rappresenta la migliore arma della dittatura alla libera espressione democratica del paese e facilita l’arresto dei cyber-dissidenti.

Commenti da Facebook

Inchieste

Lyceum: l’APT iraniana con il pallino del settore energetico e degli ISP

Condividi questo contenuto

Tempo di lettura: 8 minuti. Attivi dal 2017, hanno concentrato la loro attività contro Israele, Africa appoggiandosi a server in Arabia Saudita.
Le backdoor Shark e Milan e dropper diversi: come lavorano

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 8 minuti.

Inizia il viaggio nel mondo degli attori statali iraniani, tra i più temuti al mondo ed abili spie quasi sempre concentrati nell’ottenere informazioni dal Medio Oriente e dal Sud Est Asiatico.  Oggi è il turno di Lyceum (definito anche Hexane e Siamesekitten) il cui primo attacco è stato rilevato nel maggio 2021 ad una azienda di Information Technology in Israele.

A tal fine, Siamesekitten ha creato un’ampia infrastruttura che gli ha permesso di impersonare l’azienda e il personale delle risorse umane con una infrastruttura costruita per adescare esperti IT e penetrare nei loro computer per ottenere l’accesso ai clienti dell’azienda.

Questa campagna è simile alla campagna nordcoreana “Job seekers” e utilizza quello che negli ultimi anni è diventato un vettore di attacco ampiamente utilizzato: l’impersonificazione. Molti gruppi di attacco come abbiamo già visto hanno eseguito questo tipo di campagne, come la campagna nordcoreana Lazarus (Dream Job) e la campagna iraniana OilRig (APT34) che ha preso di mira le vittime del Medio Oriente nel primo trimestre del 2021.

Lazarus 2020: l’interesse per Israele e gli attacchi a tema COVID19

Nel luglio 2021, è stata rilevata una seconda ondata di attacchi simili contro altre aziende in Israele. In questa ondata, Siamesekitten ha aggiornato il proprio malware backdoor a una nuova versione chiamata “Shark” e ha sostituito la vecchia versione del malware chiamata “Milan“.

Secondo i vecchi resoconti pubblici dell’attività del gruppo, Lyceum ha condotto operazioni mirate contro organizzazioni nei settori dell’energia e delle telecomunicazioni in tutto il Medio Oriente, durante le quali l’attore della minaccia ha utilizzato vari script PowerShell e uno strumento di amministrazione remota basato su .NET denominato “DanBot“. Quest’ultimo supportava la comunicazione con un server C&C tramite protocolli personalizzati su DNS o HTTP.

Il gruppo ha evoluto il suo arsenale nel corso degli anni ed ha spostato il suo utilizzo dal malware .NET precedentemente documentato a nuove versioni, scritte in C++. Sono stati raggruppati questi nuovi pezzi di malware sotto due diverse varianti, soprannominati “James” e “Kevin“, in base ai nomi ricorrenti che comparivano nei percorsi PDB dei campioni sottostanti.

Come per le vecchie istanze di DanBot, entrambe le varianti supportavano protocolli C&C personalizzati simili, collegati tramite tunnel DNS o HTTP. È stato anche identificato una variante insolita che non conteneva alcun meccanismo per la comunicazione di rete, ritenendo che sia stata utilizzata come mezzo per proxare il traffico tra due cluster di rete interni.

Oltre agli impianti rivelati, l’analisi approfondita ha permesso di dare uno sguardo al modus operandi dell’attore e sono stati osservati alcuni dei comandi utilizzati dagli aggressori negli ambienti compromessi, nonché le azioni intraprese per rubare le credenziali degli utenti: tra questi, l’uso di uno script PowerShell progettato per rubare le credenziali memorizzate nei browser e un keylogger personalizzato distribuito su alcuni dei computer presi di mira.

Sono state notate alcune somiglianze tra Lyceum e il famigerato gruppo DNSpionage, a sua volta associato al gruppo di attività OilRig. Oltre alla scelta di obiettivi geografici simili e all’uso di DNS o di siti Web falsi per il tunnel dei dati C&C come TTP, siamo stati in grado di rintracciare somiglianze significative tra i documenti di richiamo consegnati da Lyceum in passato e quelli utilizzati da DNSpionage. Queste sono state rese evidenti da una struttura di codice comune e dalla scelta dei nomi delle variabili.

Il gruppo Cyber Threat Intelligence (ACTI) di Accenture e l’Adversarial Counterintelligence Team (PACT) di Prevailion hanno scavato nelle campagne recentemente pubblicizzate del gruppo di spionaggio informatico Lyceum per analizzare ulteriormente l’infrastruttura operativa e la vittimologia di questo attore. I risultati del team confermano e rafforzano le precedenti ricerche di ClearSky e Kaspersky, che indicano un focus primario sugli eventi di intrusione nelle reti informatiche rivolti ai fornitori di telecomunicazioni in Medio Oriente. Inoltre, la ricerca amplia questo set di vittime identificando altri obiettivi tra i provider di servizi Internet (ISP) e le agenzie governative.

Tra luglio e ottobre 2021, le backdoor di Lyceum sembrano aver preso di mira ISP e operatori di telecomunicazioni in Israele, Marocco, Tunisia e Arabia Saudita, nonché un ministero degli Affari esteri (MAE) in Africa.

Il tunneling del sistema dei nomi di dominio (DNS) sembra essere utilizzato solo durante le prime fasi di implementazione della backdoor; successivamente, gli operatori di Lyceum utilizzano la funzionalità di comando e controllo (C2) HTTP(S) codificata nelle backdoor.

A partire da un’analisi completa di ClearSky e Kaspersky, ACTI e PACT hanno condotto una ricerca su queste campagne basandosi sulla telemetria di rete di Prevailion sovrapposta alla comprensione tecnica di ACTI della comunicazione della backdoor Lyceum.

Il team di ricerca congiunto ACTI/PACT è stato in grado di identificare un’ulteriore infrastruttura web utilizzata da Lyceum, che ha corroborato le segnalazioni precedenti e ha identificato sei domini con un collegamento precedentemente sconosciuto a Lyceum (cinque dei quali sono attualmente registrati). Questa ricerca ha infine alimentato la capacità di Prevailion di annettere oltre 20 domini Lyceum, che hanno fornito una telemetria di rete delle compromissioni in corso. L’analisi di questa telemetria, arricchita e corroborata da dati basati sull’host, ha permesso al team di identificare altre vittime e di fornire ulteriore visibilità sulla metodologia di targeting di Lyceum.

Attivo dal 2017, Lyceum prende di mira organizzazioni in settori di importanza strategica nazionale, tra cui organizzazioni di petrolio e gas e fornitori di telecomunicazioni. ACTI/PACT ha ritenuto che gli obiettivi di questa campagna siano congruenti con l’attività precedente di Lyceum; tuttavia, il gruppo ha ampliato il proprio target includendo ISP ed enti governativi.

ACTI/PACT ha identificato le vittime all’interno di società di telecomunicazioni e ISP in Israele, Marocco, Tunisia e Arabia Saudita, oltre a un AMF in Africa. Le società di telecomunicazioni e gli ISP sono obiettivi di alto livello per gli attori delle minacce di spionaggio informatico perché, una volta compromessi, forniscono l’accesso a varie organizzazioni e abbonati, oltre che a sistemi interni che possono essere utilizzati per sfruttare ulteriormente i comportamenti dannosi. Inoltre, le aziende di questi settori possono essere utilizzate dagli attori delle minacce o dai loro sponsor per sorvegliare individui di interesse. Le AMF sono anche obiettivi molto ambiti perché dispongono di preziose informazioni sullo stato attuale delle relazioni bilaterali e di intuizioni sulle trattative future.

Durante questa campagna, Lyceum ha utilizzato due famiglie di malware principali, denominate Shark e Milan (alias James). L’indagine di ACTI/PACT si è concentrata sugli aspetti di comunicazione C2 che gli analisti hanno osservato nella telemetria di Prevailion, dopo che ClearSky e Kasperksy hanno fornito descrizioni tecniche dettagliate delle backdoor. Entrambe le backdoor sono in grado di comunicare tramite DNS e HTTP(S) per la comunicazione C2 (per ulteriori informazioni, vedere la descrizione tecnica dettagliata di seguito).

Shark produce un file di configurazione che contiene almeno un dominio C2, utilizzato con un algoritmo di generazione dei domini (DGA) per il tunneling DNS o le comunicazioni C2 HTTP. Il server dei nomi autorevoli dei domini C2 è controllato da un attaccante che consente agli operatori Lyceum di fornire comandi attraverso gli indirizzi IP nei record A delle risposte DNS. Shark utilizza una sintassi specifica per l’invio di richieste HTTP che ha permesso ai ricercatori di ACTI/PACT di creare un’espressione regolare una combinazione di caratteri in stringhe che specificano un modello di ricerca per identificare ulteriori vittime della campagna. Utilizzando questa espressione regolare, i ricercatori sono stati in grado di passare da probabili host israeliani a indirizzi IP che si risolvono in telecomunicazioni e ISP in Israele e Arabia Saudita. La backdoor ha lanciato segnali costanti a queste vittime a partire da settembre fino a ottobre 2021.

Per le comunicazioni C2 tramite DNS, Milan utilizza domini hardcoded come input per un DGA personalizzato. Il DGA è documentato nel rapporto di Kaspersky, così come alcune delle sintassi utilizzate da Milan per le comunicazioni C2 su HTTP(S). Tuttavia, ACTI ha riscontrato che alcune delle backdoor legacy di Milan recuperano i dati generando richieste utilizzando il dominio codificato e richiedendo poi uno dei percorsi URL relativi ad Active Server Pages. Questi percorsi URL sono codificati in modo rigido in alcuni campioni di Milan. Quelli identificati da ACTI sono:

  • contact.aspx
  • default.aspx
  • anteprima.aspx
  • team.aspx

Quando il team ACTI/PACT ha interrogato il dataset Prevailion per i percorsi URL noti e hard-coded di cui sopra, osservati nei campioni di Milan, ha osservato un beaconing continuo nel mese di ottobre 2021 da un indirizzo IP che si risolveva in un operatore di telecomunicazioni in Marocco.

Seguendo questo filone di indagine, il team ACTI/PACT ha identificato il beaconing da una backdoor Lyceum riconfigurata o forse nuova alla fine di ottobre 2021. I beacon osservati sono stati visti uscire da una società di telecomunicazioni in Tunisia e da un MFA in Africa. La sintassi dell’URL della backdoor Shark è simile a quella generata dalla versione più recente di Milan; tuttavia, poiché la sintassi dell’URL è configurabile, è probabile che gli operatori di Lyceum abbiano riconfigurato la sintassi dell’URL utilizzata da Milan per eludere i sistemi di rilevamento delle intrusioni (IDS) e i sistemi di prevenzione delle intrusioni (IPS) codificati per rilevare la precedente sintassi dei beacon di Milan.

Nell’ambito della più ampia campagna Lyceum, abbiamo osservato anche diversi dropper eseguibili. Si tratta di eseguibili con icone PDF, ma non di documenti:

  • Tutti gli eseguibili sono scritti in modo leggermente diverso, ma l’idea principale è la stessa: in primo luogo, il dropper estrae un file PDF di richiamo incorporato come risorsa e lo apre, in background e senza essere notato dalla vittima, il dropper quindi scarica ed esegue il payload.

Sono stati identificate tre categorie di dropper:

  • Dropper .NET DNS – Utilizzato per rilasciare la backdoor .NET DNS
  • .NET TCP Dropper – Scarica la variante della backdoor HTTP .NET e aggiunge un’attività pianificata per eseguirla.
  • Golang Dropper – rilascia la backdoor Golang nella cartella di Avvio e nella cartella PublicDownloads. Inoltre, rilascia un file PDF (un rapporto sulla minaccia informatica iraniana, simile agli altri dropper) nella cartella Public\Downloads e lo esegue. Dopo aver aperto il rapporto PDF, il dropper esegue infine la backdoor Golang dalla cartella Public\Downloads.

I file possono essere scaricati da Internet o estratti dal dropper stesso, a seconda del campione. Ogni dropper porta il proprio tipo di payload e sono state osservate le seguenti backdoor distribuite:

  • Backdoor DNS .NET
  • La backdoor .NET DNS è una versione modificata di uno strumento chiamato DnsDig, con l’aggiunta di codice per formare frm1 che utilizza le funzionalità di HeijdenDNS e DnsDig.
  • La backdoor utilizza il tunneling DNS per comunicare con il server C&C ed è in grado di scaricare/caricare file ed eseguire comandi.

Backdoor .NET TCP

La backdoor comunica con il C&C utilizzando socket TCP grezzi e implementando il proprio protocollo di comunicazione. Ogni campione contiene una configurazione che definisce come deve comunicare con il C&C, compresi i caratteri di separazione, le porte TCP e la mappatura dei tipi di comando in numeri.

Sebbene il malware contenga una configurazione per la comunicazione con C&C, utilizza ancora valori codificati nel codice stesso, invece delle costanti di configurazione. Ciò indica che il malware potrebbe essere ancora in fase di sviluppo attivo.

Le capacità di questa backdoor includono:

  • Esecuzione di comandi.
  • Effettuare screenshot.
  • Elencare file/directory.
  • Elencare le applicazioni installate.
  • Caricare/scaricare/eseguire file.
  • Backdoor HTTP Golang

L’esecuzione della backdoor HTTP, scritta in Golang, consiste in 3 fasi, che si svolgono in un ciclo:

  • Fase 1 – Controllo della connettività. Il malware genera un ID univoco per la vittima, basato sull’hash MD5 del nome utente. Quindi invia una richiesta HTTP POST vuota all’URI /GO/1.php del server C&C. Se il server risponde con OK, il server viene controllato. Se il server risponde con OK, la backdoor passa alla fase successiva.
  • Fase 2 – Registrazione della vittima. In questa fase, il malware invia i dati di base della vittima in una richiesta POST all’URI /GO/2.php, per registrare la vittima nel server C&C dell’aggressore.
  • Fase 3 – Recupero ed esecuzione dei comandi. In primo luogo, il malware invia richieste HTTP POST all’URI /GO/3.php per ottenere comandi da eseguire. Come le altre backdoor descritte, la backdoor supporta comandi che le consentono di scaricare/caricare file ed eseguire comandi di shell.

Attribuzione e vittimologia

Oltre agli obiettivi del settore energetico israeliano, durante la ricerca dei file e dell’infrastruttura relativi a questo attacco, il CPR ha osservato alcuni artefatti caricati su VirusTotal (VT) dall’Arabia Saudita. Sebbene questi artefatti contengano trappole relative all’Iran, gli altri documenti trovati sull’infrastruttura pertinente suggeriscono che il gruppo potrebbe aver utilizzato le esche relative alla guerra Russia-Ucraina anche in Arabia Saudita, e probabilmente in altri Paesi della regione, che è l’obiettivo principale delle attività del gruppo.

Oltre alla chiara vittimologia, altri indicatori che suggeriscono che questa attività proviene dal gruppo Lyceum APT includono:

  • L’uso della libreria open-source Heijden.DNS, utilizzata da Lyceum nei suoi precedenti attacchi. Questa volta, gli attori non hanno offuscato il nome della libreria, ma hanno modificato uno strumento chiamato DnsDig che utilizza Heijden.DNS.
  • Tecnica di tunneling DNS nella comunicazione C&C ampiamente utilizzata nelle precedenti campagne di Lyceum.
  • Sovrapposizioni nell’infrastruttura, come i server C&C Lyceum noti ospitati sullo stesso ASN nelle stesse reti con i C&C di questa campagna e l’uso delle stesse società di registrazione di domini come Namecheap.
  • Utilizzo di indirizzi e-mail Protonmail per inviare le e-mail dannose agli obiettivi o per registrare i domini.

A giudicare dagli artefatti dei timestamp trovati e dalla registrazione dei domini dannosi, questa campagna specifica è in corso da alcuni mesi. L’adozione di esche più rilevanti e la costante rielaborazione del malware suggeriscono che il gruppo Lyceum continuerà a condurre e adattare le proprie operazioni di spionaggio in Medio Oriente, nonostante le rivelazioni pubbliche.

APT di mezzo mondo scatenate con la scusa della guerra Ucraina

Commenti da Facebook
Prosegui la lettura

Inchieste

Facebook assume da Pfizer. Ecco dove nasce la censura ai “no vax”

Condividi questo contenuto

Tempo di lettura: 2 minuti. Sono molte le porte girevoli tra le due società, c’è chi grida al conflitto di interessi

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Facebook una piattaforma che censura abitualmente i post critici nei confronti dei vaccini COVID-19 ha assunto diversi ex allievi dei team di marketing e di revisione interna di Pfizer per guidare sforzi simili presso la piattaforma di social media, come rivela The National Pulse.

Le assunzioni sembrano presentare un conflitto di interessi per la piattaforma di social media, che è stata messa sotto accusa per aver censurato e bandito gli utenti che hanno postato sugli effetti collaterali o hanno messo in dubbio l’efficacia dei vaccini COVID-19.

Il direttore dell’audit interno di Facebook, ad esempio, era in precedenza un direttore senior di Pfizer. L’impiegata Tiffany Stokes ricopre l’influente posizione in Facebook dal gennaio 2020.

Costruisce e gestisce relazioni solide con partner aziendali critici, fornisce la supervisione di progetti di audit operativi, gestisce il piano di audit interno e la valutazione dei rischi“, elenca come parte della descrizione delle sue mansioni sul suo profilo LinkedIn. “La leadership richiede una stretta collaborazione con i team Vendite, Partnership, Operazioni globali, Internazionale, Risorse umane e Legale per valutare e dare priorità ai rischi in un panorama aziendale high-tech in continua evoluzione“, aggiunge.

Prima di entrare a far parte di Facebook, Stokes ha lavorato per cinque anni presso Pfizer, azienda produttrice del vaccino COVID-19, come direttore senior delle operazioni finanziarie e legali.

Ha stabilito e gestito i processi legali, di budgeting e di previsione per raggiungere gli obiettivi finanziari dell’azienda e gli impegni di controllo dei costi assunti nei confronti degli azionisti e della comunità finanziaria e degli investitori“, ha riassunto la sua posizione.

Prima di ricoprire questo ruolo, che secondo l’autrice richiedeva anche di “adeguare le previsioni finanziarie in base alla fluttuazione dei costi, alla priorità delle questioni legali e alle questioni legali imminenti“, ha lavorato come assistente del tesoriere del gigante farmaceutico per gli Stati Uniti e i mercati dei capitali, dove “dirigeva” il portafoglio di investimenti da 8 miliardi di dollari dell’azienda.

The National Pulse può anche rivelare che un vicepresidente di Facebook per i clienti globali e le categorie è stato in precedenza il responsabile marketing di Pfizer per l’assistenza sanitaria al consumo negli Stati Uniti. Il dipendente, Brian Groves, ha lavorato in Pfizer per un totale di 14 anni prima di entrare in Facebook come direttore dei suoi account globali.

Allo stesso modo, un ex direttore del marketing e dell’innovazione digitale di Pfizer è entrato a far parte di Facebook come Client Partner per il ramo Global Marketing Solutions nel 2018.

Oltre all’assunzione di alumni del team di marketing di Pfizer, la piattaforma ha anche aggiunto l’ex Senior Public Affairs and Corporate Communications Project Manager di Pfizer come proprio Corporate Communications Manager nel 2019.

Sempre secondo The National Pulse “I legami personali scoperti tra Pfizer e Facebook fanno seguito all’impiego da parte della piattaforma di social media di “fact-checkers” di terze parti – che hanno profondi legami con la politica democratica e il Partito Comunista Cinese – per bollare come “disinformazione” gli studi e gli articoli del COVID-19 in contrasto con la narrativa tradizionale”.

Commenti da Facebook
Prosegui la lettura

Inchieste

Quando il femminismo diffonde odio sui social

Condividi questo contenuto

Tempo di lettura: 2 minuti. E’ giusto che una donna picchi un uomo? Secondo il pubblico social, sì.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Nel mondo di Twitter è apparso un post di un utente femminile che ha raccontato la storia della figlia che ha sferzato un pugno in faccia ad un compagno di calcetto che aveva apostrofato un’amica.

Il tweet ha ottenuto 21 mila mi piace, incassando il gradimento di molti iscritti al social con una media da star internazionale. Tutto molto interessante se la storia fosse vera ed il profilo non risulta associato ad una persona reale.

La strategia di raccontare una storia che susciti indignazione da parte del pubblico è una componente primaria della comunicazione sui social network di successo, ma questo non deve far distrarre dal messaggio che questa storia lascia a chi la legge.

Una madre approva il gesto violento della figlia, maggiore dell’offesa che la sua amica ha ricevuto.

In un contesto calcistico le parole grosse sono all’ordine del giorno così come l’essere scostumati in campo dove l’avversario non solo non è immune dalle offese, ma spesso ci rientra tutto l’arco familiare ed anche qualche santo tirato per le orecchie dal cielo.

La legge del campo, per chi ha giocato a calcio, recita che all’interno del rettangolo di gioco si può dire di tutto per poi dimenticarsi quanto successo trascorsi i 90 minuti della partita. Non è un bel messaggio da parte di una madre quello di tollerare la violenza della figlia minorenne nei confronti di un altro minorenne seppur questo sia uno scostumato.

Non solo c’è un comportamento antisportivo che una madre insegna ad una figlia, ma c’è anche l’utilizzo della violenza ai fini di un regolamento di conti non tra due compagni di calcetto, bensì tra un uomo ed una donna.

Questo può essere classificato come odio e non è un caso che il “sangue” faccia audience. Il vero problema di questa storia sono i like di un pubblico in cerca della gogna pubblica e di situazioni conflittuali che tollerano la violenza come soluzione.

La parte triste della storia è che il racconto sia inventato e ad opera di un profilo che non risulta collegato ad una persona in carne ed ossa. Alcuni utenti hanno segnalato che la foto utilizzata appartiene ad un’altra persona e questo cala l’attività del profilo nella più violenta propaganda femminista.

Andando a leggere nei commenti, c’è un profilo che svela l’arcano e svela che il tweet è stato copiato da un profilo anglosassone.

Aldilà dell’attività subdola di un soggetto non definito che semina odio con una storia inventata, resta il doppiopesismo sui social che ci pone dinanzi a due domande ed altrettante risposte:

E’ giusto che un uomo picchi una donna? Assolutamente no.

E’ giusto che una donna picchi un uomo?

Secondo il pubblico social sì.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Inchieste6 ore fa

Lyceum: l’APT iraniana con il pallino del settore energetico e degli ISP

Tempo di lettura: 8 minuti. Attivi dal 2017, hanno concentrato la loro attività contro Israele, Africa appoggiandosi a server in...

Notizie22 ore fa

Gli Stati Uniti preservano il mondo spiando gli alleati

Tempo di lettura: 2 minuti. Non solo attachci contro i nemici, ma anche Germania, Francia nel mirino.

Notizie2 giorni fa

Kaspersky scopre ShadowPad in Afghanistan, Malesia e Pakistan

Tempo di lettura: 2 minuti. Condividi questo contenutoEntità situate in Afghanistan, Malesia e Pakistan sono nel mirino di una campagna...

Notizie3 giorni fa

Dopo la Lituania, KillNet attacca la Norvegia

Tempo di lettura: 2 minuti. Il collettivo russo si è postato sull'area baltica

Notizie6 giorni fa

Iran: azienda siderurgica si blocca dopo attacco hacker

Tempo di lettura: 2 minuti. Si sospetta una risposta di Israele all'attacco informatico

Notizie6 giorni fa

Killnet rivendica l’attacco DDOS alla Lituania

Tempo di lettura: 2 minuti. Dopo la presa di posizione di Vilnius su Kaliningrad, era nell'aria che sarebbe arrivata una...

Notizie6 giorni fa

Minaccia Nucleare via mail: Fancy Bear attacca con Follina

Tempo di lettura: 3 minuti. Condividi questo contenutoIl gruppo di minacce persistenti avanzate Fancy Bear è dietro una campagna di...

Notizie7 giorni fa

La Lituania adesso ha paura degli attacchi DDoS russi

Tempo di lettura: < 1 minuto. Fino alla repressione di Kalingrad, il paese non era stato colpito da azioni russe....

Notizie1 settimana fa

HUI Loader: scoperto dopo 7 anni lo spyware di un APT cinese

Tempo di lettura: 2 minuti. Un noto malware di spionaggio sottolinea la minaccia che le aziende straniere devono affrontare da...

Notizie1 settimana fa

Cina: vietate le Tesla perchè possono spiare convegno dei capi di Governo

Tempo di lettura: 2 minuti. Nonostante in Cina siano tutti entusiasti di Tesla, l'esercito non si fida delle telecamere installate...

Truffe recenti

Truffe online4 giorni fa

Truffa Vinted: colpiti anche i venditori

Tempo di lettura: 2 minuti. Continuano le segnalazioni degli utenti

Truffe online4 giorni fa

Attenzione alla truffa LGBTQ+

Tempo di lettura: 3 minuti. I più esposti? Chi non ha fatto "coming out"

Pesca mirata Pesca mirata
Truffe online7 giorni fa

Attenzione alla truffa online di InBank

Tempo di lettura: < 1 minuto. La segnalazione arriva dalla società italiana di sicurezza informatica TgSoft

Truffe online3 settimane fa

Truffa WhatsApp: attenzione ai messaggi che ci spiano

Tempo di lettura: < 1 minuto. L'allarme proviene dall'Inghilterra

DeFi3 settimane fa

Criptovalute e truffa: Telegram e Meta piattaforme perfette

Tempo di lettura: 5 minuti. Meta non risponde alle richieste dei giornalisti, continua ad avallare truffe e soprusi in silenzio.

Truffe online4 settimane fa

Truffa Axel Arigato: la società risponde a Matrice Digitale

Tempo di lettura: < 1 minuto. "Ci scusiamo con i nostri utenti e provvederemo a risolvere il problema"

scam scam
Truffe online4 settimane fa

Segnalazione truffa non-mi-avrete-mai.net

Tempo di lettura: < 1 minuto. Giungono in redazione le esperienze di utenti truffati in rete.

Truffe online1 mese fa

Attenzione: Axel Arigato Italia è una truffa colossale

Tempo di lettura: 3 minuti. Il marchio non lo sa, ma in Italia truffano promettendo i suoi prodotti

Notizie1 mese fa

Truffa Charlie Brigante: lista aggiornata dei siti da evitare per acquisti online

Tempo di lettura: < 1 minuto. Continuano le segnalazioni di truffe online alla nostra rubrica

Truffe online1 mese fa

Truffa Instagram: come Meta affonda la Polizia Postale

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni sono tantissime le segnalazioni di utenti alla redazione che hanno...

Tendenza