Connect with us
speciale truffe online

segnalaci un sito truffa

Inchieste

Kimsuky: l’apt nordcoreano che fa concorrenza a Lazarus

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 10 minuti.

Dopo aver affrontato la storia del gruppo nordcoreano APT Lazarus, il paese di Kim Jong un ha un altro commando noto alle cronache della guerra cibernetica mondiale. Il nome del gruppo Kimsuky deriva dall’account di posta elettronica, “Kimsukyang“, utilizzato come drop-point per i dati rubati. Dal 2013, il gruppo Kimsuky ha continuato una campagna di cyber-attacco contro le organizzazioni governative e le agenzie legate alla difesa in Corea del Sud, così come le istituzioni e le società legate all’impegno della Corea del Sud con la Corea del Nord. L’attività di Kimusky è iniziata nel 2012 ed è stata notata dopo diversi mesi che è stata monitorata una campagna di spionaggio informatico in corso contro i think-tank sudcoreani definita da molti straordinaria nella sua esecuzione e nella logistica impiegata. Un programma spia poco sofisticato che comunicava con il suo “master” attraverso un server di posta elettronica pubblica bulgaro e precisamente mail.bg.

La stringa del percorso di compilazione conteneva geroglifici coreani e questo ha portato i ricercatori a dare un’occhiata più da vicino a questo malware. Anche se l’elenco completo delle vittime rimane sconosciuto, gli obiettivi di questa campagna erano le seguenti organizzazioni.

L’Istituto Sejong è un’organizzazione privata senza scopo di lucro per l’interesse pubblico e un think tank leader in Corea del Sud, che conduce ricerche sulla strategia di sicurezza nazionale, strategia di unificazione, questioni regionali ed economia politica internazionale.

  • Istituto coreano di analisi della difesa (KIDA) è un istituto di ricerca sulla difesa completo che copre una vasta gamma di questioni legate alla difesa è organizzato in sette centri di ricerca Centro per la sicurezza e la strategia; il Centro per la pianificazione militare; il Centro per lo sviluppo delle risorse umane; il Centro per la gestione delle risorse; il Centro per gli studi sui sistemi d’arma; il Centro per gli studi sui sistemi informativi; e il Centro per la modellazione e la simulazione. KIDA ha anche un gruppo di consulenza informatica e vari dipartimenti di supporto. La missione del KIDA è quella di contribuire a una politica di difesa razionale attraverso una ricerca e un’analisi intensiva e sistematica delle questioni relative alla difesa.
  • Ministero dell’Unificazione: dipartimento esecutivo del governo sudcoreano responsabile di lavorare per la riunificazione della Corea. I suoi compiti principali sono stabilire la politica della Corea del Nord, coordinare il dialogo intercoreano, perseguire la cooperazione intercoreana ed educare il pubblico all’unificazione.
  • Hyundai Merchant Marine è una compagnia logistica sudcoreana che fornisce servizi di spedizione di container in tutto il mondo. Alcuni indizi suggerivano anche che i computer appartenenti a “I sostenitori dell’unificazione coreana” (http://www.unihope.kr/) sono stati presi di mira. Tra le organizzazioni che abbiamo contato, 11 hanno sede in Corea del Sud e due entità risiedono in Cina.

In parte perché questa campagna è molto limitata e altamente mirata, non siamo ancora stati in grado di identificare come questo malware viene distribuito. I campioni maligni che abbiamo trovato sono il malware allo stadio iniziale più spesso consegnato da e-mail di spear-phishing.

Infettare un sistema il Trojan dropper iniziale è una Dynamic Link Library che funzionava come un caricatore per ulteriori malware. Non mantiene le esportazioni e semplicemente consegnava un’altra libreria criptata mantenuta nella sua sezione di risorse. Questa seconda libreria eseguiva tutte le funzionalità di spionaggio.

Quando veniva eseguita su Windows 7, la libreria dannosa utilizzava il codice open-source Win7Elevate del Metasploit Framework per iniettare codice dannoso in explorer.exe. In ogni caso, che sia Windows 7 o meno, questo codice maligno decripta la sua libreria di spionaggio dalle risorse, la salva su disco con un nome apparentemente casuale ma hardcoded, per esempio, ~DFE8B437DD7C417A6D.TMP, nella cartella temporanea dell’utente e carica questo file come libreria.

Questa libreria della fase successiva si copiava nella directory System32 della cartella di Windows dopo il nome del file hardcoded – o KBDLV2.DLL o AUTO.DLL, a seconda del campione di malware. Poi il servizio veniva creato per il servizio dll. Anche i nomi dei servizi potevano differire da versione a versione; abbiamo scoperto i seguenti nomi – DriverManage, WebService e WebClientManager. Queste funzioni assicuravano la persistenza del malware in un sistema operativo compromesso tra i riavvii del sistema.

In questa fase, il malware raccoglieva informazioni sul computer infetto. Questo include un output del comando systeminfo salvato nel file oledvbs.inc seguendo il percorso hardcoded: C:Program FilesCommon FilesSystemOle DBoledvbs.inc. C’era un’altra funzione che chiamava il malware creava una stringa contenente i nomi del computer e dell’utente, ma questa non veniva usata da nessuna parte.

In questa campagna sono state trovati diversi strumenti malevoli ma, stranamente, ognuno di essi implementava una singola funzione di spionaggio. Oltre alla libreria di base (KBDLV2.DLL / AUTO.DLL), responsabile della comunicazione comune con il suo master della campagna, sono stati in grado di trovare moduli che eseguivano le seguenti funzioni:

  • Registrazione dei tasti
  • Raccolta di elenchi di directory
  • Furto di documenti HWP
  • Download ed esecuzione di controllo remoto
  • Accesso al controllo remoto

Disattivava anche il servizio Windows Security Center per evitare di avvisare l’utente del firewall disattivato. All’avvio del sistema, la libreria di base disabilitava il firewall di sistema e qualsiasi firewall AhnLab (un venditore di prodotti di sicurezza sudcoreano), azzerando i relativi valori nel registro:

Non è casuale che l’autore del malware abbia scelto il prodotto di sicurezza di AhnLab individuato anche da Lazarus come abbiamo visto in precedenza e che fa intendere l’interesse per vittime sudcoreane.

Una volta che il malware disabilitava il firewall AhnLab, controlla se il file taskmgr.exe si trova nella cartella hardcoded C:WINDOWS. Se il file è presente, esegue questo eseguibile. Successivamente, il malware va in loop ogni 30 minuti per segnalare se stesso e attendere la risposta del suo operatore.

Nel 2014 il governo sudcoreano ha pubblicato un rapporto che accusa la Corea del Nord per le intrusioni di rete che hanno rubato dati da Korea Hydro and Nuclear Power (KHNP), la società che gestisce i 23 reattori nucleari della Corea del Sud. Mentre il rapporto del governo ha dichiarato che solo le reti “non critiche” sono state colpite, gli aggressori hanno chiesto lo spegnimento di tre reattori subito dopo l’intrusione. Hanno anche minacciato la “distruzione” in un messaggio pubblicato su Twitter. Per molti versi, il cyber-attacco aveva le stesse caratteristiche dell’attacco a Sony Pictures messo in piedi da Lazarus: gli hacker hanno chiesto una quantità non specificata di denaro, hanno affermato di essere parte di un gruppo di attivisti, e hanno minacciato il rilascio di altri dati se non fossero state soddisfatte le richieste di chiusura di tre impianti nucleari. Il malware utilizzato nell’attacco è stato diffuso in un’ondata di 5.986 attacchi di phishing, inviati in e-mail a 3.571 dipendenti del KHNP e il primo rilascio di dati includeva informazioni personali su 10.799 dipendenti della KHNP.

I codici maligni usati per l’hacking dell’operatore nucleare erano gli stessi nella composizione e nei metodi di lavoro del cosiddetto malware ‘kimsuky’ che gli hacker nordcoreani usano.” Il malware è stato compilato, come quello usato nell’attacco Sony, su un computer configurato per la lingua coreana.

La scorsa settimana, cianografie parziali di centrali nucleari, compresi i sistemi di acqua calda dei reattori della centrale nucleare di Kori a Gori, in Corea del Sud, sono trapelate tramite un account Twitter chiamato “Chi sono io = No Nuclear Power“. Il profilo dell’account affermava che l’autore era “presidente del gruppo anti-reattore nucleare delle Hawaii“. Questo è stato il sesto invio di informazioni dal 15 dicembre dello scorso anno. Altri dati rilasciati finora includevano ciò che equivale a una raccolta casuale di dati tecnici, tra cui un manuale per eseguire simulazioni Monte Carlo e documenti sulla progettazione del reattore.

In un recente post su Twitter, l’agenzia di stampa sudcoreana Yonhap ha riferito che l’attaccante “‘si è congratulato’ con il KHNP per aver trovato 7.000 virus, ma ha affermato che altri 9.000 erano in attesa del suo ordine“. Gli aggressori sostenevano anche di avere dati sul programma del reattore nucleare indigeno della Corea del Sud e minacciano di venderli.

Hanno bisogno di soldi. Solo bisogno di soddisfare alcune richieste… Molti paesi del Nord Europa, del Sud-Est asiatico e del Sud America stanno dicendo che compreranno informazioni sui reattori nucleari. Temono che vendere l’intera informazione possa minare gli sforzi del presidente Park (Geun-hye) per esportare i reattori nucleari“, ha detto il post. Oltre a identificare il malware utilizzato nell’attacco, l’indagine del governo sudcoreano ha rintracciato il traffico Internet relativo all’attacco fino agli indirizzi di una rete nel nord-est della Cina vicino al confine nordcoreano. Il governo aveva già chiesto assistenza al governo cinese per identificare la fonte dell’attacco.

Nel 2018 l’East Security Cyber ​​​​Threat Intelligence (CTI) Specialized Security Response Center (ESRC) ha rilevato una serie di file dannosi per l’ultimo attacco APT creato il 31 ottobre 2018 e ha completato una risposta di emergenza a dei file dannosi creati in modo intensivo tra le 00:48 e le 13:15 del 31 ottobre, ora coreana (KST), e le versioni a 32 e 64 bit sono state create in modo diverso a seconda dell’ambiente di infezione.

In particolare, questi file dannosi erano camuffati da icone di specifici prodotti di sicurezza in Corea, la lingua delle risorse e delle icone di gruppo è impostata sul codice coreano (1042), e se il computer risultava infetto, le informazioni principali del sistema e i contenuti dell’input da tastiera; dati sensibili come gli account utente potevano essere trapelati all’esterno senza autorizzazione. La risorsa di dialogo del codice dannoso trovata questa volta includeva la didascalia di “Informazioni sul baby“, il codice di testo “baby, versione 1.0”, “Copyright (C) 2017” e utilizza parole chiave simili come funzione mutex.

L’ESRC ha confrontato e analizzato casi simili in passato sulla base dell’intelligence sulle minacce e ha confermato che il vettore di attacco pubblicato il 19 aprile sotto “Operazione Baby Coin” e i codici sottostanti erano fortemente collegati. L’attacco è stato effettuato utilizzando un tema di criptovaluta combinando la vulnerabilità “CVE-2017-11882” e la tecnica di spear phishing, ed è stato confermato che l’attaccante poteva usare liberamente le espressioni coreane. Inoltre, nello stesso flusso di attacco, è stata confermata una storia di utilizzo di un attacco complesso che utilizzava la vulnerabilità del file di documento HWP I principali codici dannosi sono stati distribuiti attraverso il sito Web di editori nel campo infermieristico e medico in Corea e alcuni di essi esistevano in forma crittografata come nei vettori di attacco esistenti. In “Operazione Baby Coin” il file crittografato “UPDATE.CA” è stato creato come file “UPDATE.TMP” decifrato e, analogamente al successivo attacco dell’epoca, in questa operazione è stato utilizzato il file crittografato “store.sys

Nel maggio del 2018, ASERT ha scoperto una campagna APT definita STOLEN PENCIL, che prende di mira le istituzioni accademiche almeno da maggio 2018. La motivazione dietro l’operazione non era chiara, ma gli attori delle minacce sono sembrati da subito abili nel cercare le credenziali. La strategia composta da e-mail utilizzate per lo spear phishing, portava gli utenti a un sito Web che mostrava un documento esca che richiedeva immediatamente di installare un’estensione di Google Chrome dannosa. Una volta preso piede, gli attori delle minacce utilizzavano strumenti standard per garantire la persistenza, incluso Remote Desktop Protocol (RDP) per mantenere l’accesso.

Un’ampia varietà di domini di phishing implicava altri obiettivi, ma quelli incentrati sul mondo accademico avevano lo scopo di installare un’estensione Chrome dannosa. Un gran numero di vittime, per lo più università, aveva esperienza in ingegneria biomedica, suggerendo forse una motivazione specifica per gli autori di questo attacco dove utilizzavano strumenti di amministrazione Windows integrati e software commerciale standard ed usava RDP per accedere ai sistemi compromessi anziché una backdoor o un Trojan di accesso remoto (RAT). La persistenza post-sfruttamento veniva mantenuta raccogliendo password da un’ampia varietà di fonti come memoria di processo, browser Web, sniffing di rete e keylogger. Non ci sono state prove di furto di dati.

Gli attori delle minacce hanno utilizzato alcuni strumenti per automatizzare le intrusioni ed è stato trovato un archivio ZIP di strumenti che dimostravano la loro propensione alla propagazione del furto di password. All’interno dell’archivio abbiamo trovato i seguenti strumenti:

  • KPortScan – un portscanner basato su GUI
  • PsExec – uno strumento per eseguire comandi in remoto su sistemi Windows
  • File batch per abilitare RDP e ignorare le regole del firewall
  • Procdump: uno strumento per eseguire il dump della memoria di processo, insieme a un file batch per eseguire il dump del processo lsass per l’estrazione della password
  • Mimikatz: uno strumento per scaricare password e hash
  • La suite di exploit Eternal, insieme a file batch per una rapida scansione e sfruttamento
  • Nirsoft Mail PassView: uno strumento per scaricare le password di posta salvate
  • Nirsoft Network Password Recovery: uno strumento per scaricare la password di Windows salvata
  • Nirsoft Remote Desktop PassView: uno strumento per scaricare le password RDP salvate
  • Nirsoft SniffPass – uno strumento per annusare la rete per le password inviate tramite protocolli non sicuri
  • Nirsoft WebBrowserPassView – uno strumento per scaricare le password memorizzate in una varietà di browser

Chiaramente questo set di strumenti poteva essere utilizzato per cercare le password archiviate in un’ampia gamma di posizioni. Utilizzando una combinazione di password rubate, account backdoor e un servizio RDP ad apertura forzata, è probabile che gli attori delle minacce mantenevano un punto d’appoggio su un sistema compromesso.

Nel febbraio 2019, i ricercatori dell’Unità 42 di Palo Alto Networks hanno identificato le email di spear phishing inviate nel novembre 2018 contenenti un nuovo malware che condivideva l’infrastruttura con i playbook associati alle campagne nordcoreane. Le e-mail di spear phishing sono state scritte per sembrare inviate da un esperto di sicurezza nucleare che lavorava come consulente negli Stati Uniti. Le e-mail sono state inviate utilizzando un indirizzo e-mail pubblico con il nome dell’esperto e avevano un oggetto che faceva riferimento ai problemi nucleari della Corea del Nord. Le e-mail avevano in allegato un documento macro Excel dannoso che, una volta eseguito, ha portato a una nuova famiglia di malware basata su script Microsoft Visual Basic (VB) soprannominata “BabyShark“.

BabyShark era un malware relativamente nuovo perché già visto nel novembre 2018 e veniva lanciato eseguendo il primo stadio HTA da una posizione remota, quindi poteva essere consegnato tramite diversi tipi di file, compresi i file PE e i documenti dannosi. Esfiltrava le informazioni di sistema al server C2, manteneva la persistenza sul sistema e attende ulteriori istruzioni dall’operatore. BabyShark veniva utilizzato in una campagna di spear phishing limitata iniziata a novembre 2018 ed è ancora in corso. L’attore della minaccia dietro di essa aveva un chiaro obiettivo di raccogliere informazioni relative ai problemi di sicurezza nazionale dell’Asia nord-orientale. Le e-mail di spear phishing e le esche ben realizzate suggerivano l’azione mirata dell’attore e finalizzata a raccogliere le ultime informazioni. Anche se non è definitivo, l’attore delle minacce dietro BabyShark è stato associato allo stesso gruppo che ha usato la famiglia di malware KimJongRAT, condividendo le risorse impiegate nella campagna STOLEN PENCIL.

BabyShark aveva una catena di infezione a più stadi con controlli tra ogni stadio per garantire che solo gli host mirati siano avanzati allo stadio successivo, prima di essere finalmente segnalati all’attaccante.

Il malware secondario viene consegnato come set:

  • un caricatore EXE
  • un caricatore DLL
  • un carico utile codificato

La funzionalità dei caricatori EXE e DLL è la stessa: l’unica differenza è il tipo di file. Questi caricatori venivano poi eseguiti alla ricezione di un comando di esecuzione: “execute” per invocare il caricatore di tipo EXE o “power com” per lanciare il caricatore di tipo DLL. Per avere due diversi tipi di caricatori era chiara la necessità di ridondanza per caricare il payload in caso di interruzione del software anti-virus.

Gli attacchi maligni che sfruttavano il malware BabyShark hanno ampliato la loro operazione per colpire il settore delle criptovalute. L’implementazione lato server del malware ha mostrato che l’autore ha fatto alcuni sforzi per mantenere la sicurezza operativa per il funzionamento del malware e delle infrastrutture C2. L’attore della minaccia sfruttava altri strumenti sviluppati su misura nelle loro campagne. In questo caso, erano PCRat e KimJongRAT.

Il 7 gennaio 2019, una mail di spear-phishing con un allegato dannoso è stata inviata ai membri del corpo stampa del Ministero dell’Unificazione. Si presumeva da subito che gli autori dietro la mail e il malware fossero il cosiddetto gruppo Kimsuky. Nel frattempo, notevoli segnali indicavano una lista di obiettivi ampliata ad aziende finanziarie e organizzazioni di criptovalute, insieme al settore politico. Poiché la situazione economica della Corea del Nord continuava a deteriorarsi a causa delle sanzioni in corso, gli aggressori sembravano mirare a guadagni finanziari oltre all’agenda politica. Kimsuky è stato responsabile di una serie di attacchi recenti che hanno preso di mira aziende e istituzioni sudcoreane:

  • gli identici codici shell;
  • malware che condividono gli stessi codici e processi operativi;
  • e la generazione di identici malware aggiuntivi e identici IP per la connessione allo stesso server C&C.

Oltre a eludere il rilevamento da parte delle soluzioni di sicurezza con file criptati, Kimsuky utilizzava varie tecniche come l’auto-cancellazione e nomi di file variabili per eludere i ricercatori di sicurezza. Tuttavia, c’è un fattore notevole a cui dovremmo prestare attenzione. Kimsuky, dopo aver mostrato tale subdolezza, ha utilizzato le stesse vulnerabilità di Hancom Office e i codici shell utilizzati nei precedenti attacchi del 2014. Ciò rivela che Kimsuky era ben consapevole del fatto che gli obiettivi continuano a utilizzare versioni obsolete di Hancom Office senza applicare gli aggiornamenti di sicurezza di base.

Commenti da Facebook

Inchieste

Genitore attenzione: Sonic.exe è la nuova tendenza insana di YouTube

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Un gioco del 2013 che imperversa in rete, nato da un racconto horror che distorce la trama dell’antico personaggio della Sega, Sonic, a distanza di anni sta ancora terrorizzando i bambini della rete con la compiacenza degli youtubers.

Sonic.exe non è altro che un remake della versione di uno dei primi giochi del personaggio, tra l’altro in questi giorni al cinema con il secondo film della saga, dove si sono modificati gli scenari di gioco in versione splatter e si vedono personaggi inseguiti da Sonic in modalità “cattivo” che li rincorre e, nel caso vengono catturati, il giocatore perde. Piste colme di sangue, personaggi non solo del gioco, ma anche pagliacci sanguinari, sono la tendenza proposta dagli youtubers nel corso degli ultimi anni e nessuno ancora ha provveduto a gettare nell’oblio contenuti simili dati tutt’oggi in pasto ai bambini.

Nel tempo, il gioco continua ad essere modificato in nuove versioni e sempre più paurose e, nonostante video obsoleti, i bambini si ritrovano questi contenuti su YouTube a causa degli algoritmi che hanno premiato nel tempo i video con più visualizzazioni e più interazioni.

Anche in questo caso è possibile acquistare i pupazzi del gioco e l’audio è stato ampiamente modificato proprio per trasformare il videogame più ambito dai ragazzini degli anni 90 in un terrificante percorso ludico digitale.

Altro gioco a tema è Sonic.EXE Sadness dove il personaggio di Sonic.EXE viaggia in un percorso composto da molti livelli ed ha lo scopo di raccogliere anelli e le anime delle sue vittime, diffondendo tristezza ovunque vada e facendosi strada attraverso quadri pieni di insidie e come sempre sanguinosi.

Nonostante il tempo trascorso, video come questi non solo se rimossi porterebbero un danno a YouTube per le visualizzazioni organiche che si potrebbero perdere nei prossimi anni, ma è anche una opportunità degli stessi creator di guadagnare.

Nell’ambito dei gamer o dei narratori di storie, spesso manca l’originalità ed è in voga lo “scopiazzamento” delle fonti statunitensi che danno vita poi ad eventi virali di questo genere.

A differenza di Huggy Wuggy e Phasmofobia, già trattati in questa inchiesta a puntate, ci sono pochi riferimenti tra dark web e Sonic.exe e questo fa intendere che si tratta di un evento non ancora superato del tutto ed anche in questo caso bisognerebbe tagliarlo dalle piattaforme che contano.

Commenti da Facebook
Prosegui la lettura

Inchieste

Clubhouse, cresce la tensione: “No a liste di proscrizione e pressioni psicologiche”

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Dopo la nostra inchiesta sul mondo italiano di Clubhouse sono giunte in redazione le segnalazioni degli utenti sulle attività messe in piedi dalle “squadre” formatesi in questi mesi.

Nell’universo del social audio più famoso al mondo, ma che vanta meno del 3% di penetrazione nel mercato mondiale e dello 0,00001 italiano, coesistono realtà di confronto amichevole parallelamente a stanze di confronto su dibattiti politici attuali o su vicende storiche importanti che hanno cambiato il corso dei tempi passati.

Secondo le ultime indiscrezioni, ci sono persone che hanno ricevuto pressioni nel non organizzare room con altri utenti, altre, invece, sono accusate di millantare minacce ricevute mai esistite o individuate come artefici di strumentalizzazioni delle clip audio estratte dai dibattiti concitati, agitati molte volte grazie a sodali agenti provocatori, con il fine di delegittimare un ignaro utente con l’infamia del compimento di reati.

Un tritacarne imbastito da un manipolo di gruppi con una strategia certosina che già ha mietuto molte vittime sul social. Gli obiettivi preferiti sembrerebbero essere le donne portatrici di un pensiero conservatore che subiscono attività di gruppo che ricordano il cyberbullismo o addirittura lo squadrismo.

Secondo alcune fonti interpellate dalla redazione, ma anche sbandierate pubblicamente in piattaforma, dalla bolla del social si è finiti ai luoghi di lavoro dove alcuni utenti hanno ricevuto telefonate nelle quali sono stati apostrofati alle orecchie dei propri colleghi, o addirittura superiori, come “fascisti“, “filoputiniani“, “antisemiti” e addirittura “pro life“.

Quanto accaduto non fa altro che confermare il motivo per il quale viene discriminata più una linea di pensiero a differenza di altre e non sorprende che siano le donne a soffrirne per prime. Alcune hanno denunciato di aver avuto stati di ansia e attacchi di panico per giorni, causati dalle vessazioni subite.

Anche per questo motivo è accaduto che, negli ultimi giorni, sono state aperte diverse stanze con il fine di facilitare un confronto utile nel superare questi scontri. Purtroppo però, non si è arrivati a un’intesa perché le intenzioni di alcuni sembrerebbero essere quelle di svolgere attività predatorie finalizzate a spuntarla in un conflitto, “inesistente” secondo molti habituè indignati, invece che preferire una convivenza pacifica basata sul confronto o sull’ignorarsi senza adire ai famigerati blocchi colpevoli di affondare l’audience delle rooms.

Secondo un articolo pubblicato negli States, il fantastico mondo di Clubhouse non esisterebbe in madre patria e, anzi, riporta la presenza di un mal comune globale composto da conflitti, scontri, litigi e ripicche frequenti.

Una delle ragioni centrali è il narcisismo insito in ogni utente del social, ma ecco che, secondo un esperto psicologo interpellato da Matrice Digitale, lo stesso narcisismo ha manifestazioni più o meno estreme.

C’è chi “pompa” il suo ego parlando, anche in modo prolisso, e chi mette in auge strategie di manipolazione delle masse come abbiamo affrontato in precedenza.

Non solo le proprie idee prima di se o degli altri, ma una necessità di prevaricare sulle opinioni altrui che nasce secondo lo psicologo “da una mancanza di amor proprio in primis che rende necessaria l’approvazione di terzi“.

Situazioni presentate come “estreme” agli occhi dell’audience, ma che non ravvisano la necessità, sbandierata quotidianamente nell’ultimo periodo, di far intromettere la Pubblica Autorità nelle beghe social a detta di molti utenti, evidenziano un’altra forma di manipolazione messa in piedi dai narcisisti: il vittimismo.

“Individuarsi agli occhi degli altri come vittima è un modo per catalizzare l’attenzione su di sè” conferma l’esperto “e attecchisce sulle persone che non hanno voglia o modo di andare oltre quello che gli viene raccontato, oppure non sanno gestire l’eventualità di schierarsi al di fuori del gruppo e vivere la solitudine in un confronto. Atri utenti portano la tesi che oltre ai narcisisti c’è un livello superiore composto da persone che amano gestirli dietro le quinte per raggiungere uno scopo diverso: simile a come avviene nel gioco dei bussolotti“.

Chi ha letto quanto scritto più in alto, potrebbe decodificare Clubhouse come un Grande Fratello in chiave vocale ed in effetti è così se pensiamo all’esiguo numero di utenti attivi che da un anno e mezzo ha fatto gruppo, nel bene e nel male, e che vive le stesse beghe quotidiane di un condominio composto da una babele di razze, religioni, opinioni politiche e generi sessuali presenti nel paese italico. A differenza del noto reality, su Clubhouse non è il pubblico a decidere chi viene eliminato e chi resta, ma dinamiche da branco che superano i confini del confronto virtuale con modi e toni non sempre civili e pacifici.

Chiedendo allo psicologo se l’imporre la frequentazione di stanze ad altri utenti fosse una forma di narcisismo, la risposta ha lasciato di stucco i presenti:

“più che narcisismo, povertà d’animo”

Un povertà d’animo che ha fatto “scoppiare” profili dal social con segnalazioni di massa, che ha messo gli utenti sul chi va là quando si tratta di esprimere una opinione personale, insinuando un senso di paura per l’essere etichettati in base alle idee. A differenza degli albori della piattaforma, quando si dibatteva senza la minaccia costante di carte bollate come deterrente in danno alla libertà di espressione individuale, l’aria che si respira nella piattaforma non è serena.

La domanda che sorge spontanea a questo punto è duplice: questi atteggiamenti fanno bene a qualcuno che ha scopi commerciali precisi oppure sono frutto di menti malate, sadiche semplicemente povere d’animo?

Da come si è svuotato il social, la risposta sembrerebbe scontata: meglio lasciar perdere per non finire nelle turbe mentali di utenti vittime di loro stessi e delle loro sadiche perversioni.

Commenti da Facebook
Prosegui la lettura

Inchieste

KillNet ed il suo battaglione Legion ostile alla NATO. Intervista esclusiva agli hacker russi che hanno colpito l’Italia

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

L’Italia è precipitata nella guerra cibernetica attesa da tempo con gli attacchi hacker che hanno sconquassato i siti governativi del Ministero della Difesa, che ha smentito, ACI, Iss e molti altri. Ad accendere il dibattito pubblico è stata la paternità dell’attacco. Secondo molti c’è differenza tra KillNet e Legion, ma la redazione li ha contattati per comprendere meglio chi sono coloro che hanno destabilizzato le certezze sulla tenuta informatica di un paese avanzato come l’Italia.

L’intervista è stata realizzata in russo e ci scusiamo per eventuali sbavature nella traduzione e vi anticipiamo che non è stato possibile controbattere alle loro dichiarazioni per motivi tecnici dovuti alla piattaforma Telegram.

Aldilà degli ideali espressi,

su cui la redazione prende fermamente le distanze perchè condanna ogni guerra

scopriamo chi sono, come sono strutturati, se sono legati all’intelligence russa e se continueranno a fare danni in Italia o altrove.

Intanto, l’indiscrezione data da Matrice Digitale sugli attacchi ai media è stata confermata dalla stessa Legion con un commento ironico sul profilo Twitter “It’s Biden“.

Esclusiva: Media Italiani sotto attacco dei “ragazzi” di Legion e KillNet

Qual è la differenza tra Killnet e Legion? Dite che siete diversi, ma su Telegram siete connessi.

Sono il fondatore di Killnet, sono il fondatore di Legion. L’ho creato io, ma non voglio controllarlo. Stiamo formando migliaia di persone pronte a combattere la NATO in futuro. Quando Legion sarà formata e avrà un proprio sistema di gestione, li lascerò senza la mia supervisione.

Quando è nato Killnet e qual è il suo scopo?

KILLNET è nato nel 2021. Fin dall’inizio, abbiamo fornito servizi DDOS per le aziende concorrenti. Quando è scoppiata la guerra, abbiamo chiuso il servizio e ci siamo convertiti ad azioni collegato all’estensione dell’Internet nazionale russo.

Quando è nata Legion e a cosa serve?

Lo scopo di Legion è la distruzione della NATO.

Legion è un collettivo indiano noto per essere anti-russo, avete legami con loro o siete un gruppo diverso?

Legion non è un collettivo, ma un’unità speciale. Possiamo definirlo un battaglione che comprende 5 unità di forze speciali. 4 di loro hanno una specifica di attacco DDoS. 1 Squadra è la Squadra di hacking. Come ho già detto, la Legione è un ramo della KILLNET.

Gli Stati Uniti non vi riconoscono come un’entità associata all’intelligence russa. Siete un gruppo finanziariamente motivato, singoli attivisti o ragazzi che amano creare danni “grossi” da queste parti?

Sono una persona comune della Russia. In tutto il tempo in cui abbiamo lavorato, nessuna persona dalla Russia ci ha offerto un aiuto finanziario. Per quanto riguarda le agenzie governative, è sciocco pensare di avere a che fare con loro. Non siamo bambini. Abbiamo un alto profilo di età, ma non siamo alla ricerca di avventure per divertimento. Stiamo creando danni a quei Paesi che stanno motivando questa guerra. Combatteremo la guerra come sappiamo fare con coloro che aiutano i nazisti in Ucraina. Se gli Stati Uniti pensano che siamo dei bambini, vi dico che ho mandato gli Stati Uniti a quel paese. Stiamo preparando una grande sorpresa per loro.

Secondo alcune ricerche effettuate, sembra che stiate utilizzando un servizio DDoS simile alla botnet Mirai, secondo alcuni rapporti si tratta di Mirai. Cosa c’è di vero in queste due riflessioni?

Prima di tutto, coloro che fanno ricerche sui nostri attacchi sono idioti e pagliacci. La botnet Mirai e la Mirai Squad sono la stessa cosa. Ma si tratta di una Squadra di 5, Killnet non fa parte di queste squadre. Che tipo di alimentazione utilizza KILLNET? A questa domanda risponderanno 500.000 computer negli Stati Uniti.

DdoS è l’unica cosa che sapete fare?

Al momento stiamo sviluppando l’infrastruttura informatica del nostro movimento. Le nostre competenze non si limitano agli attacchi ddos. È il più semplice. La mia azione preferita contro i nemici sono i cryptolocker, le iniezioni e altro ancora. Al momento abbiamo oltre 30 tipi di specifiche.

Quanto è stato difficile entrare in Italia? Quali erano gli obiettivi del Paese per cui vi siete candidati e quali no?

Non ci sono difficoltà ad entrare in nessun Paese. C’è una difficoltà solo nel comprendere l’atteggiamento dello Stato nei confronti del nazismo. È per questo che facciamo ricerca. Se si intende “L’Italia ha una buona protezione per i suoi server?” no, non ce l’ha. La vostra infrastruttura di rete presenta enormi lacune. Se volessimo attaccare i vostri ISP, Internet cesserebbe semplicemente di esistere. Ma non siamo vandali e non siamo contro la gente comune. Siamo contro il governo nazista!

Sostenete la propaganda russa? Se sì, perché?

Amo il mio paese! Il mio Paese non ha propaganda, il mio Paese ha solo un obiettivo: distruggere i nazisti in Ucraina. I vostri Paesi sono pieni di propaganda statunitense. Sono loro i vostri veri nemici, ma non la Russia. Lo capirete presto!

Come considerate la scelta di Anonymous nello scendere in campo in favore dell’Ucraina?

Non lo considero un nemico. Coloro che dicono di essere anonimi e parlano contro il popolo russo non sono veri hacker. Sono chiaramente propagandisti provenienti dall’Ucraina. Anonymous non sosterrà mai in vita sua il governo degli Stati Uniti. Anonymous non minaccerà mai le persone.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie16 ore fa

Guerra Cibernetica: l’Ucraina ha una rete di attacchi DDoS automatici

Tempo di lettura: 2 minuti. Condividi questo contenutoL’esercito non ufficiale di vigilantes informatici dell’Ucraina ha sviluppato un nuovo strumento di...

Notizie1 giorno fa

C’è censura nella guerra cibernetica occidentale? Altra conferma USA all’analisi di Matrice Digitale

Tempo di lettura: 5 minuti. Condividi questo contenutoSi pubblica un articolo dell’European Leadership Network tradotto dalla redazione dove non solo...

Notizie2 giorni fa

Killnet attacchi DDoS a siti aeroporti e Ministero Difesa

Tempo di lettura: < 1 minuto. Accusa ai media italiani per diffondere notizie false

Notizie2 giorni fa

Giustozzi a Repubblica conferma le analisi di Matrice Digitale su Killnet e la fuffa

Tempo di lettura: < 1 minuto. Basterà a cambiare la narrazione propagandistica sulla guerra cibernetica

Multilingua2 giorni fa

Killnet: “DDoS all’Italia”. Polizia Postale “contiene” attacchi informatici

Tempo di lettura: < 1 minuto. Condividi questo contenutoKillnet aveva annunciato un attacco hacker a vari portali istituzionali italiani e così...

DeFi3 giorni fa

Costa Rica messa in ginocchio da Conti. Preoccupazione per i fondi USA del paese

Tempo di lettura: 2 minuti. Condividi questo contenutoIl numero di istituzioni costaricane colpite da un’ondata di attacchi informatici nell’ultimo mese...

Notizie5 giorni fa

Finlandia e Svezia nella NATO: paura per escalation di attacchi cibernetici

Tempo di lettura: 3 minuti. Condividi questo contenutoL’adesione di Finlandia e Svezia alla NATO ha sollevato preoccupazioni per le potenziali...

Notizie5 giorni fa

Pegasus, Johnson è stato intercettato dagli Emirati

Tempo di lettura: < 1 minuto. Condividi questo contenutoUn’importante indagine sull’uso del software spia israeliano Pegasus da parte dei governi...

Notizie5 giorni fa

Anonymous attacca Killnet e vendica l’Italia: buttato giù il sito della Polizia di Mosca

Tempo di lettura: 2 minuti. Condividi questo contenutoIl collettivo Anonymous Italia ha vendicato l’attacco alla Polizia da parte di Killnet...

Notizie6 giorni fa

Iran, APT34 attacca la Giordania

Tempo di lettura: 2 minuti. Condividi questo contenutoI ricercatori di Cybersecurity di Malwarebytes hanno dichiarato di aver scoperto un’e-mail dannosa...

Truffe recenti

Notizie2 settimane fa

Truffa Instagram: come funziona lo schema Ponzi di Meta che sta rubando i profili

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni molti utenti sono stati vittime della truffa Instagram. In cosa...

Notizie3 settimane fa

Truffa sms di Poste Italiane. Analisi di un altro caso di phishing

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questo periodo sono frequenti gli sms che propongono messaggi inerenti i servizi...

Notizie3 settimane fa

Truffa su WhatsApp attenzione al finto call center di supporto. Ecco cosa fare

Tempo di lettura: 2 minuti. Condividi questo contenutoGli utenti di WhatsApp devono fare attenzione a un pericoloso messaggio di truffa...

DeFi3 settimane fa

Truffa sulle criptovalute: come evitare di essere la prossima vittima

Tempo di lettura: < 1 minuto. Condividi questo contenutoL’arma migliore per combattere le frodi è una sana dose di scetticismo....

scam scam
DeFi3 settimane fa

Call Center truffa per trading di criptovalute: scam di 22 milioni di dollari

Tempo di lettura: 2 minuti. Condividi questo contenutoEurojust ed Europol hanno smantellato uno schema di frode online per investimenti in...

DeFi4 settimane fa

La truffe sulle criptovalute sono in aumento. Quali sono le più comuni?

Tempo di lettura: 2 minuti. Condividi questo contenutoI truffatori sono maestri nell’usare eventi attuali e tendenze frizzanti per ingannare le...

smishing smishing
Notizie4 settimane fa

Smishing INFOPOSTE: il suo conto verrà sospeso

Tempo di lettura: < 1 minuto. Allarme smishing : In arrivo una nuova ondata di SMS truffa che hanno lo...

Tech4 settimane fa

Crescono le truffe su Instagram: cosa fare e come prevenire il furto degli account

Tempo di lettura: 2 minuti. Condividi questo contenutoGli esperti di sicurezza hanno avvertito miliardi di utenti di Instagram che i...

DeFi4 settimane fa

Metamask, Attenzione alla truffa su Apple. A rischio i portafogli di criptovalute

Tempo di lettura: 2 minuti. Condividi questo contenutoRecentemente sono state registrate molte truffe e schemi di phishing che circondano gli...

Inchieste3 mesi fa

Vinted: attenti alla truffa che chiede di confermare i dati della carta di credito

Tempo di lettura: 2 minuti. Condividi questo contenutoTramite il nostro form di segnalazione delle truffe, abbiamo ricevuto la denuncia di...

Tendenza