Connect with us

Inchieste

Kimsuky: l’apt nordcoreano che fa concorrenza a Lazarus

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 10 minuti.

Dopo aver affrontato la storia del gruppo nordcoreano APT Lazarus, il paese di Kim Jong un ha un altro commando noto alle cronache della guerra cibernetica mondiale. Il nome del gruppo Kimsuky deriva dall’account di posta elettronica, “Kimsukyang“, utilizzato come drop-point per i dati rubati. Dal 2013, il gruppo Kimsuky ha continuato una campagna di cyber-attacco contro le organizzazioni governative e le agenzie legate alla difesa in Corea del Sud, così come le istituzioni e le società legate all’impegno della Corea del Sud con la Corea del Nord. L’attività di Kimusky è iniziata nel 2012 ed è stata notata dopo diversi mesi che è stata monitorata una campagna di spionaggio informatico in corso contro i think-tank sudcoreani definita da molti straordinaria nella sua esecuzione e nella logistica impiegata. Un programma spia poco sofisticato che comunicava con il suo “master” attraverso un server di posta elettronica pubblica bulgaro e precisamente mail.bg.

La stringa del percorso di compilazione conteneva geroglifici coreani e questo ha portato i ricercatori a dare un’occhiata più da vicino a questo malware. Anche se l’elenco completo delle vittime rimane sconosciuto, gli obiettivi di questa campagna erano le seguenti organizzazioni.

L’Istituto Sejong è un’organizzazione privata senza scopo di lucro per l’interesse pubblico e un think tank leader in Corea del Sud, che conduce ricerche sulla strategia di sicurezza nazionale, strategia di unificazione, questioni regionali ed economia politica internazionale.

  • Istituto coreano di analisi della difesa (KIDA) è un istituto di ricerca sulla difesa completo che copre una vasta gamma di questioni legate alla difesa è organizzato in sette centri di ricerca Centro per la sicurezza e la strategia; il Centro per la pianificazione militare; il Centro per lo sviluppo delle risorse umane; il Centro per la gestione delle risorse; il Centro per gli studi sui sistemi d’arma; il Centro per gli studi sui sistemi informativi; e il Centro per la modellazione e la simulazione. KIDA ha anche un gruppo di consulenza informatica e vari dipartimenti di supporto. La missione del KIDA è quella di contribuire a una politica di difesa razionale attraverso una ricerca e un’analisi intensiva e sistematica delle questioni relative alla difesa.
  • Ministero dell’Unificazione: dipartimento esecutivo del governo sudcoreano responsabile di lavorare per la riunificazione della Corea. I suoi compiti principali sono stabilire la politica della Corea del Nord, coordinare il dialogo intercoreano, perseguire la cooperazione intercoreana ed educare il pubblico all’unificazione.
  • Hyundai Merchant Marine è una compagnia logistica sudcoreana che fornisce servizi di spedizione di container in tutto il mondo. Alcuni indizi suggerivano anche che i computer appartenenti a “I sostenitori dell’unificazione coreana” (http://www.unihope.kr/) sono stati presi di mira. Tra le organizzazioni che abbiamo contato, 11 hanno sede in Corea del Sud e due entità risiedono in Cina.

In parte perché questa campagna è molto limitata e altamente mirata, non siamo ancora stati in grado di identificare come questo malware viene distribuito. I campioni maligni che abbiamo trovato sono il malware allo stadio iniziale più spesso consegnato da e-mail di spear-phishing.

Infettare un sistema il Trojan dropper iniziale è una Dynamic Link Library che funzionava come un caricatore per ulteriori malware. Non mantiene le esportazioni e semplicemente consegnava un’altra libreria criptata mantenuta nella sua sezione di risorse. Questa seconda libreria eseguiva tutte le funzionalità di spionaggio.

Quando veniva eseguita su Windows 7, la libreria dannosa utilizzava il codice open-source Win7Elevate del Metasploit Framework per iniettare codice dannoso in explorer.exe. In ogni caso, che sia Windows 7 o meno, questo codice maligno decripta la sua libreria di spionaggio dalle risorse, la salva su disco con un nome apparentemente casuale ma hardcoded, per esempio, ~DFE8B437DD7C417A6D.TMP, nella cartella temporanea dell’utente e carica questo file come libreria.

Questa libreria della fase successiva si copiava nella directory System32 della cartella di Windows dopo il nome del file hardcoded – o KBDLV2.DLL o AUTO.DLL, a seconda del campione di malware. Poi il servizio veniva creato per il servizio dll. Anche i nomi dei servizi potevano differire da versione a versione; abbiamo scoperto i seguenti nomi – DriverManage, WebService e WebClientManager. Queste funzioni assicuravano la persistenza del malware in un sistema operativo compromesso tra i riavvii del sistema.

In questa fase, il malware raccoglieva informazioni sul computer infetto. Questo include un output del comando systeminfo salvato nel file oledvbs.inc seguendo il percorso hardcoded: C:Program FilesCommon FilesSystemOle DBoledvbs.inc. C’era un’altra funzione che chiamava il malware creava una stringa contenente i nomi del computer e dell’utente, ma questa non veniva usata da nessuna parte.

In questa campagna sono state trovati diversi strumenti malevoli ma, stranamente, ognuno di essi implementava una singola funzione di spionaggio. Oltre alla libreria di base (KBDLV2.DLL / AUTO.DLL), responsabile della comunicazione comune con il suo master della campagna, sono stati in grado di trovare moduli che eseguivano le seguenti funzioni:

  • Registrazione dei tasti
  • Raccolta di elenchi di directory
  • Furto di documenti HWP
  • Download ed esecuzione di controllo remoto
  • Accesso al controllo remoto

Disattivava anche il servizio Windows Security Center per evitare di avvisare l’utente del firewall disattivato. All’avvio del sistema, la libreria di base disabilitava il firewall di sistema e qualsiasi firewall AhnLab (un venditore di prodotti di sicurezza sudcoreano), azzerando i relativi valori nel registro:

Non è casuale che l’autore del malware abbia scelto il prodotto di sicurezza di AhnLab individuato anche da Lazarus come abbiamo visto in precedenza e che fa intendere l’interesse per vittime sudcoreane.

Una volta che il malware disabilitava il firewall AhnLab, controlla se il file taskmgr.exe si trova nella cartella hardcoded C:WINDOWS. Se il file è presente, esegue questo eseguibile. Successivamente, il malware va in loop ogni 30 minuti per segnalare se stesso e attendere la risposta del suo operatore.

Nel 2014 il governo sudcoreano ha pubblicato un rapporto che accusa la Corea del Nord per le intrusioni di rete che hanno rubato dati da Korea Hydro and Nuclear Power (KHNP), la società che gestisce i 23 reattori nucleari della Corea del Sud. Mentre il rapporto del governo ha dichiarato che solo le reti “non critiche” sono state colpite, gli aggressori hanno chiesto lo spegnimento di tre reattori subito dopo l’intrusione. Hanno anche minacciato la “distruzione” in un messaggio pubblicato su Twitter. Per molti versi, il cyber-attacco aveva le stesse caratteristiche dell’attacco a Sony Pictures messo in piedi da Lazarus: gli hacker hanno chiesto una quantità non specificata di denaro, hanno affermato di essere parte di un gruppo di attivisti, e hanno minacciato il rilascio di altri dati se non fossero state soddisfatte le richieste di chiusura di tre impianti nucleari. Il malware utilizzato nell’attacco è stato diffuso in un’ondata di 5.986 attacchi di phishing, inviati in e-mail a 3.571 dipendenti del KHNP e il primo rilascio di dati includeva informazioni personali su 10.799 dipendenti della KHNP.

I codici maligni usati per l’hacking dell’operatore nucleare erano gli stessi nella composizione e nei metodi di lavoro del cosiddetto malware ‘kimsuky’ che gli hacker nordcoreani usano.” Il malware è stato compilato, come quello usato nell’attacco Sony, su un computer configurato per la lingua coreana.

La scorsa settimana, cianografie parziali di centrali nucleari, compresi i sistemi di acqua calda dei reattori della centrale nucleare di Kori a Gori, in Corea del Sud, sono trapelate tramite un account Twitter chiamato “Chi sono io = No Nuclear Power“. Il profilo dell’account affermava che l’autore era “presidente del gruppo anti-reattore nucleare delle Hawaii“. Questo è stato il sesto invio di informazioni dal 15 dicembre dello scorso anno. Altri dati rilasciati finora includevano ciò che equivale a una raccolta casuale di dati tecnici, tra cui un manuale per eseguire simulazioni Monte Carlo e documenti sulla progettazione del reattore.

In un recente post su Twitter, l’agenzia di stampa sudcoreana Yonhap ha riferito che l’attaccante “‘si è congratulato’ con il KHNP per aver trovato 7.000 virus, ma ha affermato che altri 9.000 erano in attesa del suo ordine“. Gli aggressori sostenevano anche di avere dati sul programma del reattore nucleare indigeno della Corea del Sud e minacciano di venderli.

Hanno bisogno di soldi. Solo bisogno di soddisfare alcune richieste… Molti paesi del Nord Europa, del Sud-Est asiatico e del Sud America stanno dicendo che compreranno informazioni sui reattori nucleari. Temono che vendere l’intera informazione possa minare gli sforzi del presidente Park (Geun-hye) per esportare i reattori nucleari“, ha detto il post. Oltre a identificare il malware utilizzato nell’attacco, l’indagine del governo sudcoreano ha rintracciato il traffico Internet relativo all’attacco fino agli indirizzi di una rete nel nord-est della Cina vicino al confine nordcoreano. Il governo aveva già chiesto assistenza al governo cinese per identificare la fonte dell’attacco.

Nel 2018 l’East Security Cyber ​​​​Threat Intelligence (CTI) Specialized Security Response Center (ESRC) ha rilevato una serie di file dannosi per l’ultimo attacco APT creato il 31 ottobre 2018 e ha completato una risposta di emergenza a dei file dannosi creati in modo intensivo tra le 00:48 e le 13:15 del 31 ottobre, ora coreana (KST), e le versioni a 32 e 64 bit sono state create in modo diverso a seconda dell’ambiente di infezione.

In particolare, questi file dannosi erano camuffati da icone di specifici prodotti di sicurezza in Corea, la lingua delle risorse e delle icone di gruppo è impostata sul codice coreano (1042), e se il computer risultava infetto, le informazioni principali del sistema e i contenuti dell’input da tastiera; dati sensibili come gli account utente potevano essere trapelati all’esterno senza autorizzazione. La risorsa di dialogo del codice dannoso trovata questa volta includeva la didascalia di “Informazioni sul baby“, il codice di testo “baby, versione 1.0”, “Copyright (C) 2017” e utilizza parole chiave simili come funzione mutex.

L’ESRC ha confrontato e analizzato casi simili in passato sulla base dell’intelligence sulle minacce e ha confermato che il vettore di attacco pubblicato il 19 aprile sotto “Operazione Baby Coin” e i codici sottostanti erano fortemente collegati. L’attacco è stato effettuato utilizzando un tema di criptovaluta combinando la vulnerabilità “CVE-2017-11882” e la tecnica di spear phishing, ed è stato confermato che l’attaccante poteva usare liberamente le espressioni coreane. Inoltre, nello stesso flusso di attacco, è stata confermata una storia di utilizzo di un attacco complesso che utilizzava la vulnerabilità del file di documento HWP I principali codici dannosi sono stati distribuiti attraverso il sito Web di editori nel campo infermieristico e medico in Corea e alcuni di essi esistevano in forma crittografata come nei vettori di attacco esistenti. In “Operazione Baby Coin” il file crittografato “UPDATE.CA” è stato creato come file “UPDATE.TMP” decifrato e, analogamente al successivo attacco dell’epoca, in questa operazione è stato utilizzato il file crittografato “store.sys

Nel maggio del 2018, ASERT ha scoperto una campagna APT definita STOLEN PENCIL, che prende di mira le istituzioni accademiche almeno da maggio 2018. La motivazione dietro l’operazione non era chiara, ma gli attori delle minacce sono sembrati da subito abili nel cercare le credenziali. La strategia composta da e-mail utilizzate per lo spear phishing, portava gli utenti a un sito Web che mostrava un documento esca che richiedeva immediatamente di installare un’estensione di Google Chrome dannosa. Una volta preso piede, gli attori delle minacce utilizzavano strumenti standard per garantire la persistenza, incluso Remote Desktop Protocol (RDP) per mantenere l’accesso.

Un’ampia varietà di domini di phishing implicava altri obiettivi, ma quelli incentrati sul mondo accademico avevano lo scopo di installare un’estensione Chrome dannosa. Un gran numero di vittime, per lo più università, aveva esperienza in ingegneria biomedica, suggerendo forse una motivazione specifica per gli autori di questo attacco dove utilizzavano strumenti di amministrazione Windows integrati e software commerciale standard ed usava RDP per accedere ai sistemi compromessi anziché una backdoor o un Trojan di accesso remoto (RAT). La persistenza post-sfruttamento veniva mantenuta raccogliendo password da un’ampia varietà di fonti come memoria di processo, browser Web, sniffing di rete e keylogger. Non ci sono state prove di furto di dati.

Gli attori delle minacce hanno utilizzato alcuni strumenti per automatizzare le intrusioni ed è stato trovato un archivio ZIP di strumenti che dimostravano la loro propensione alla propagazione del furto di password. All’interno dell’archivio abbiamo trovato i seguenti strumenti:

  • KPortScan – un portscanner basato su GUI
  • PsExec – uno strumento per eseguire comandi in remoto su sistemi Windows
  • File batch per abilitare RDP e ignorare le regole del firewall
  • Procdump: uno strumento per eseguire il dump della memoria di processo, insieme a un file batch per eseguire il dump del processo lsass per l’estrazione della password
  • Mimikatz: uno strumento per scaricare password e hash
  • La suite di exploit Eternal, insieme a file batch per una rapida scansione e sfruttamento
  • Nirsoft Mail PassView: uno strumento per scaricare le password di posta salvate
  • Nirsoft Network Password Recovery: uno strumento per scaricare la password di Windows salvata
  • Nirsoft Remote Desktop PassView: uno strumento per scaricare le password RDP salvate
  • Nirsoft SniffPass – uno strumento per annusare la rete per le password inviate tramite protocolli non sicuri
  • Nirsoft WebBrowserPassView – uno strumento per scaricare le password memorizzate in una varietà di browser

Chiaramente questo set di strumenti poteva essere utilizzato per cercare le password archiviate in un’ampia gamma di posizioni. Utilizzando una combinazione di password rubate, account backdoor e un servizio RDP ad apertura forzata, è probabile che gli attori delle minacce mantenevano un punto d’appoggio su un sistema compromesso.

Nel febbraio 2019, i ricercatori dell’Unità 42 di Palo Alto Networks hanno identificato le email di spear phishing inviate nel novembre 2018 contenenti un nuovo malware che condivideva l’infrastruttura con i playbook associati alle campagne nordcoreane. Le e-mail di spear phishing sono state scritte per sembrare inviate da un esperto di sicurezza nucleare che lavorava come consulente negli Stati Uniti. Le e-mail sono state inviate utilizzando un indirizzo e-mail pubblico con il nome dell’esperto e avevano un oggetto che faceva riferimento ai problemi nucleari della Corea del Nord. Le e-mail avevano in allegato un documento macro Excel dannoso che, una volta eseguito, ha portato a una nuova famiglia di malware basata su script Microsoft Visual Basic (VB) soprannominata “BabyShark“.

BabyShark era un malware relativamente nuovo perché già visto nel novembre 2018 e veniva lanciato eseguendo il primo stadio HTA da una posizione remota, quindi poteva essere consegnato tramite diversi tipi di file, compresi i file PE e i documenti dannosi. Esfiltrava le informazioni di sistema al server C2, manteneva la persistenza sul sistema e attende ulteriori istruzioni dall’operatore. BabyShark veniva utilizzato in una campagna di spear phishing limitata iniziata a novembre 2018 ed è ancora in corso. L’attore della minaccia dietro di essa aveva un chiaro obiettivo di raccogliere informazioni relative ai problemi di sicurezza nazionale dell’Asia nord-orientale. Le e-mail di spear phishing e le esche ben realizzate suggerivano l’azione mirata dell’attore e finalizzata a raccogliere le ultime informazioni. Anche se non è definitivo, l’attore delle minacce dietro BabyShark è stato associato allo stesso gruppo che ha usato la famiglia di malware KimJongRAT, condividendo le risorse impiegate nella campagna STOLEN PENCIL.

BabyShark aveva una catena di infezione a più stadi con controlli tra ogni stadio per garantire che solo gli host mirati siano avanzati allo stadio successivo, prima di essere finalmente segnalati all’attaccante.

Il malware secondario viene consegnato come set:

  • un caricatore EXE
  • un caricatore DLL
  • un carico utile codificato

La funzionalità dei caricatori EXE e DLL è la stessa: l’unica differenza è il tipo di file. Questi caricatori venivano poi eseguiti alla ricezione di un comando di esecuzione: “execute” per invocare il caricatore di tipo EXE o “power com” per lanciare il caricatore di tipo DLL. Per avere due diversi tipi di caricatori era chiara la necessità di ridondanza per caricare il payload in caso di interruzione del software anti-virus.

Gli attacchi maligni che sfruttavano il malware BabyShark hanno ampliato la loro operazione per colpire il settore delle criptovalute. L’implementazione lato server del malware ha mostrato che l’autore ha fatto alcuni sforzi per mantenere la sicurezza operativa per il funzionamento del malware e delle infrastrutture C2. L’attore della minaccia sfruttava altri strumenti sviluppati su misura nelle loro campagne. In questo caso, erano PCRat e KimJongRAT.

Il 7 gennaio 2019, una mail di spear-phishing con un allegato dannoso è stata inviata ai membri del corpo stampa del Ministero dell’Unificazione. Si presumeva da subito che gli autori dietro la mail e il malware fossero il cosiddetto gruppo Kimsuky. Nel frattempo, notevoli segnali indicavano una lista di obiettivi ampliata ad aziende finanziarie e organizzazioni di criptovalute, insieme al settore politico. Poiché la situazione economica della Corea del Nord continuava a deteriorarsi a causa delle sanzioni in corso, gli aggressori sembravano mirare a guadagni finanziari oltre all’agenda politica. Kimsuky è stato responsabile di una serie di attacchi recenti che hanno preso di mira aziende e istituzioni sudcoreane:

  • gli identici codici shell;
  • malware che condividono gli stessi codici e processi operativi;
  • e la generazione di identici malware aggiuntivi e identici IP per la connessione allo stesso server C&C.

Oltre a eludere il rilevamento da parte delle soluzioni di sicurezza con file criptati, Kimsuky utilizzava varie tecniche come l’auto-cancellazione e nomi di file variabili per eludere i ricercatori di sicurezza. Tuttavia, c’è un fattore notevole a cui dovremmo prestare attenzione. Kimsuky, dopo aver mostrato tale subdolezza, ha utilizzato le stesse vulnerabilità di Hancom Office e i codici shell utilizzati nei precedenti attacchi del 2014. Ciò rivela che Kimsuky era ben consapevole del fatto che gli obiettivi continuano a utilizzare versioni obsolete di Hancom Office senza applicare gli aggiornamenti di sicurezza di base.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

Facebook censura i giornalisti che pubblicano le foto del figlio di Biden

Condividi questo contenuto

Tempo di lettura: 2 minuti. Continuano le pressioni dell’FBI sulla piattaforma di Zuckerberg. Censurati i post di chi ha pubblicato le foto dei rapporti del figlio del presidente USA con prostitute diffuse dalla stampa internazionale

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

All’improvviso provo ad accedere a Facebook da cellulare e mi ritrovo con “errore nel recuperare i dati” e dopo aver riprovato più volte capisco che c’è qualcosa che non va. Entro da PC ed ecco comparire un messaggio:

Hai provato a condividere foto intime

Il primo pensiero va a qualche mio dispositivo hackerato o a qualche accesso non autorizzato al mio profilo che ha postato qualche foto proibita e invece scorrendo più in avanti scopro che la foto incriminata e quella di Hunter Biden mentre è in dolce compagnia, accompagnata da quella in cui posa insieme al padre Joe Biden. Il post faceva riferimento in modo ironico agli affari in Ucraina della famiglia Biden tra settore energetico e traffico di armi ed aveva preso spunto dalle inchieste internazionali che prima delle elezioni hanno pubblicato lo scandalo.

Poi è calato il silenzio sulla vicenda. Chi pubblicava questi contenuti veniva apostrofato come “complottista” o “eversivo” dalle piattaforme social oppure veniva ignorato ed il suo post nascosto in fondo alle bacheche di tutti i potenziali lettori. La strategia era chiara sin da subito, così come chi aveva consegnato il portatile alle autorità, dimenticato per mesi dal figlio del presidente USA in un negozio, ha subito una macchina del fango che adesso però ha deciso di denunciare per riacquisire la dignità sottrattagli per aver curato gli interessi della nazione fornendo alle autorità un portatile con documenti sensibili.

Le pressioni dell’FBI

Prima dell’election day americano, Facebook e Twitter ricevettero una visita dell’FBI che li invitò a ridurre la portata della notizia di una serie di scandali che riguardavano il figlio di Biden. Lo stesso proprietario di Facebook ha ammesso questa ingerenza e quindi la “fonte” della notizia è diretta. Questo tipo di attività, nonostante la denuncia del capo di una piattaforma Social, continua ad esserci e questo sta a significare che le pressioni della polizia federale sui social è una costante e non per quel che concerne la sicurezza nazionale, ma per tutelare il Presidente degli USA coinvolto da sempre in affari con l’Ucraina che ha un figlio venditore di armi ed il momento di una guerra non facilita di certo a far emergere le buone intenzioni della resistenza di Kiev.

Cosa non torna nell’attività di Facebook

E’ davvero singolare il fatto che, dinanzi ad una accusa così grave come quella di favorire il sexiting, la piattaforma social non abbia provveduto a bloccare, ma ha ammonito, come riferito dai diretti interessati, tutti coloro che hanno condiviso il post senza ovviamente metterli nella condizione di subire blocchi e questo perchè il contenuto non è intimo, ma preso dalla stampa internazionale e le foto di Hunter Biden con una prostituta minorenne sono censurate come la legge prevede. In poche parole possiamo affermare che anche questa volta Facebook ha censurato un giornalista della Repubblica Italiana, ha intrapreso un’azione politica e non oggettiva e quindi, come direbbe Meloni, ha assunto ad una posizione parziale più indicata ad un mezzo di informazione che ad una piattaforma social.

Prosegui la lettura

Inchieste

Facebook ha spiato i messaggi privati degli americani che hanno messo in dubbio le elezioni del 2020

Condividi questo contenuto

Tempo di lettura: 4 minuti. Secondo fonti del Dipartimento di Giustizia, Facebook ha spiato i messaggi e i dati privati degli utenti americani e li ha segnalati all’FBI se esprimono sentimenti antigovernativi o antiautoritari o mettono in discussione le elezioni del 2020.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Nell’ambito dell’operazione di collaborazione con l’FBI, qualcuno in Facebook ha contrassegnato questi messaggi privati presumibilmente sovversivi nel corso degli ultimi 19 mesi e li ha trasmessi in forma redatta all’unità operativa per il terrorismo interno del quartier generale dell’FBI a Washington, DC, senza un mandato di comparizione.

“È stato fatto al di fuori del processo legale e senza una causa probabile”, ha dichiarato una delle fonti, che ha parlato a condizione di anonimato.

“Facebook fornisce all’FBI conversazioni private, protette dal Primo Emendamento, senza alcun mandato di comparizione”.

Questi messaggi privati sono stati poi distribuiti come “indizi” agli uffici dell’FBI in tutto il Paese, che hanno poi richiesto un mandato di comparizione all’ufficio del procuratore degli Stati Uniti del loro distretto per ottenere ufficialmente le conversazioni private che Facebook aveva già mostrato loro.

Ma quando gli utenti di Facebook presi di mira sono stati indagati dagli agenti di un ufficio locale dell’FBI, a volte utilizzando tecniche di sorveglianza segrete, non è emerso nulla di criminale o violento. “È stata una perdita di tempo”, ha dichiarato una fonte che ha familiarità con le richieste di citazione presentate durante 19 mesi di frenesia da parte del quartier generale dell’FBI a Washington, per produrre un numero di casi che corrispondesse alla retorica dell’amministrazione Biden sul terrorismo interno dopo la rivolta del 6 gennaio 2021 in Campidoglio.

Biden ha preso di mira specificamente Facebook per la sua disinformazione.

Gli utenti di Facebook le cui comunicazioni private erano state segnalate all’FBI come terrorismo interno erano tutti “individui conservatori di destra”.

“Erano americani armati e di sangue rosso [che] erano arrabbiati dopo le elezioni e si sono sfogati parlando di organizzare proteste. Non c’era nulla di criminale, nulla che parlasse di violenza, massacri o assassinii.

“Non appena è stato richiesto un mandato di comparizione, nel giro di un’ora Facebook ha inviato gigabyte di dati e foto. Era tutto pronto. Stavano solo aspettando il processo legale per poterli inviare”.

Facebook ha negato ieri le accuse.

In due dichiarazioni contrastanti, inviate a distanza di un’ora l’una dall’altra, Erica Sackin, portavoce della società madre di Facebook, Meta, ha affermato che le interazioni di Facebook con l’FBI sono state concepite per “proteggere le persone dai danni”. Nella prima dichiarazione ha affermato che: “Queste affermazioni sono false perché riflettono un’incomprensione di come i nostri sistemi proteggono le persone dai danni e di come ci impegniamo con le forze dell’ordine. Esaminiamo attentamente tutte le richieste governative di informazioni sugli utenti per assicurarci che siano legalmente valide e strettamente mirate e spesso ci opponiamo. Rispondiamo alle richieste legali di informazioni in conformità con la legge applicabile e con i nostri termini e forniamo un avviso agli utenti ogni volta che è consentito”. In una seconda “dichiarazione aggiornata”, inviata 64 minuti dopo, la Sackin ha modificato il suo linguaggio per dire che le affermazioni sono “sbagliate”, non “false”.

“Queste affermazioni sono semplicemente sbagliate. L’idea che cerchiamo nei messaggi privati delle persone un linguaggio antigovernativo o domande sulla validità delle elezioni passate e poi li forniamo proattivamente all’FBI è palesemente inesatta e non ci sono prove a sostegno”, ha detto Sackin, un’esperta di risposta alle crisi con sede a Washington che in precedenza ha lavorato per Planned Parenthood e “Obama per l’America” e ora dirige le comunicazioni di Facebook su “antiterrorismo e organizzazioni e individui pericolosi”.

In una dichiarazione di mercoledì, l’FBI non ha confermato né smentito le accuse che le sono state rivolte in merito all’operazione congiunta con Facebook, definita “non classificata/sensibile alle forze dell’ordine”. Rispondendo alle domande sull’uso improprio dei dati dei soli utenti americani, la dichiarazione si è curiosamente concentrata su “attori stranieri di influenza maligna”, ma ha riconosciuto che la natura del rapporto dell’FBI con i fornitori di social media consente un “rapido scambio” di informazioni ed è un “dialogo continuo”.

La linea diretta di Fauci con Zuck dimostra che la censura COVID di Facebook era tutta una questione di potere, non di salute pubblica.

“L’FBI intrattiene rapporti con entità del settore privato statunitense, compresi i fornitori di social media. L’FBI ha fornito alle aziende indicatori di minacce straniere per aiutarle a proteggere le loro piattaforme e i loro clienti dall’abuso di attori stranieri che esercitano un’influenza maligna. Le aziende statunitensi hanno anche fornito all’FBI informazioni di valore investigativo relative all’influenza maligna straniera. L’FBI lavora a stretto contatto con i partner interagenzie, nonché con i partner statali e locali, per garantire la condivisione delle informazioni non appena disponibili. Queste possono includere informazioni sulle minacce, piste percorribili o indicatori. L’FBI ha anche stabilito relazioni con diverse aziende di social media e tecnologia e mantiene un dialogo continuo per consentire un rapido scambio di informazioni sulle minacce”.

La smentita di Facebook sul fatto che fornisca proattivamente all’FBI i dati privati degli utenti senza un mandato di comparizione o di perquisizione, se fosse vera, indicherebbe che il trasferimento iniziale è stato fatto da una persona (o più persone) dell’azienda designata come “fonte umana confidenziale” dall’FBI, una persona con l’autorità di accedere e cercare i messaggi privati degli utenti. In questo modo, Facebook avrebbe una “smentita plausibile” in caso di domande sull’uso improprio dei dati degli utenti e la riservatezza dei suoi dipendenti sarebbe protetta dall’FBI. Secondo una delle fonti del Dipartimento di Giustizia, “hanno avuto accesso alla ricerca e sono stati in grado di individuarla, di identificare queste conversazioni tra milioni di conversazioni”.

Nessuno era degli Antifa

Prima che venisse richiesto un mandato di comparizione, “queste informazioni erano già state fornite alla sede centrale dell’FBI. La traccia conteneva già informazioni specifiche sui messaggi privati degli utenti. Alcune di esse erano state redatte, ma la maggior parte non lo era. In pratica avevano una parte della conversazione e poi saltavano la parte successiva, in modo che le parti più gravi fossero evidenziate e tolte dal contesto. “Ma quando si è letta la conversazione completa nel contesto [dopo l’emissione del mandato di comparizione] non è sembrato così male… Non c’era alcun piano o orchestrazione per compiere alcun tipo di violenza”. Alcuni degli americani presi di mira avevano postato foto di loro stessi che “sparavano insieme e si lamentavano di ciò che era successo [dopo le elezioni del 2020]. Alcuni erano membri di una milizia, ma erano protetti dal Secondo Emendamento… “Loro [Facebook e l’FBI] cercavano individui conservatori di destra. Nessuno era di tipo Antifa”. Una conversazione privata oggetto di indagine “si è trasformata in più casi perché c’erano più individui in tutte queste diverse chat”.

Le fonti del Dipartimento di Giustizia hanno deciso di parlare con il Post, rischiando la propria carriera, perché temono che le forze dell’ordine federali siano state politicizzate e stiano abusando dei diritti costituzionali di americani innocenti. Dicono che altri informatori sono pronti a unirsi a loro. Il malcontento si è sviluppato per mesi tra i funzionari dell’FBI e in alcuni settori del Dipartimento di Giustizia. È arrivata al culmine dopo l’incursione del mese scorso nella casa di Mar-a-Lago dell’ex presidente Donald Trump in Florida. “La cosa più spaventosa è il potere combinato delle Big Tech in collusione con il braccio esecutivo dell’FBI”, dice un informatore. “Google, Facebook e Twitter, queste aziende sono globaliste. Non hanno a cuore il nostro interesse nazionale”.

Fonte della traduzione

Prosegui la lettura

Inchieste

Orban ha bloccato il price cap sul gas: vile fake news diffusa dagli oppositori di Meloni

Condividi questo contenuto

Tempo di lettura: 3 minuti. Spieghiamo la politica propone scelte potenzialmente sbagliate approfittando dell’urgenza e come strumentalizza il problema per fini politici, grazie alle fake news non smentite dalla stampa

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Nel periodo del caro bollette c’è una frenesia da parte dei partiti nel trovare soluzioni urgenti e già c’è una differenza sostanziale tra Meloni, che prova a risolvere i problemi senza lo scostamento di bilancio, e chi invece propone di fare ulteriore debito per aiutare gli italiani le bollette sapendo di creare un problema al prossimo governo dove sarà opposizione, vedi PD e Calenda, e chi in maggioranza, Lega e Forza Italia, riuscendo a fare una forte opposizione. La discussione del giorno nel settore energetico è stata quella del price cap.

Cosa è il price cap sul prezzo del gas?

Un tetto al prezzo del gas si intende proprio l’individuazione di una soglia oltre la quale decidere di non procedere all’acquisto. Al momento, le cifre di cui si parla sono tra gli 80 e i 90 euro/Mwh. Riducendo i costi di acquisto della materia prima, anche i fornitori che la comprano all’ingrosso dovrebbero rivenderla a prezzi più bassi. Il risultato finale sarebbero bollette alleggerite per le famiglie e soprattutto per le imprese. La stortura di quanto sostenuto è che questa misura coinvolgerebbe solo la materia prima proveniente dalla Russia

Dinamiche Europee

Non è un caso che in seno all’Europa il price cap è stato invocato da molti, in primis da Draghi, ma tutti hanno paura di attuarlo perchè Putin ha già minacciato di tagliare definitivamente e improvvisamente le forniture. Chi invece ha una deroga alle sanzioni russe è Orban con l’Ungheria che attualmente elude le sanzioni autorizzato dall’Europa stessa.

Le fake news della sinistra

Consapevoli che Orban è un partner politico della Meloni, la notizia che è stata diffusa da esponenti politici del centro sinistra che hanno dato notizia che il leader ungherese è contrario al price cap ed il tweet di Calenda sul tema esprime al meglio questo pensiero

Carlo Calenda non è l’unico della lista ad aver dato risalto alla notizia di Orban, anche dai nemici in casa del Partito Democratico sono partite notizie in tal senso Marianna Madia e Laura Boldrini

Ma è davvero Orban il problema dell’accettazione del price cap a livello europeo?

Secondo Politico.eu, la posizione dei paesi europei non è quella raccontata del “tutti contro uno“, ma è più complessa perché si divide in paesi che sono d’accordo al price cap, paesi che non lo sono solo sul gas russo ed altri che invece vogliono che sia fatto esclusivamente sul gas di Putin.

Nell’Europa dei paesi uniti, gli unici ad essere d’accordo sono Italia, Belgio, Polonia e Grecia, gli altri che invece sono in disaccordo ad applicarlo solo a quello russo sono Belgio e Ungheria, mentre chi è contrario alla valutazione di un tetto al prezzo del gas è la Germania e l’Austria.

La strumentalizzazione politica messa in piedi dalla sinistra nell’individuare in Orban il male dell’unità europea nelle misure sul Gas è un’operazione che nasconde invece la frattura in seno all’Unione Europea dove invece tutto funziona a meraviglia nonostante il periodo di difficoltà così come invece profondono gli europeisti con grande ottimismo.

Perchè questa divisione sul tema del Price Cap?

La divisione delle posizioni è molto semplice: i paesi che importano di più vedono nel price cap la soluzione al problema del prezzo del GAS, i paesi che importano poco possono invece rinunciare al gas russo perché hanno una produzione energetica che li aiuta a compensare eventuali perdite. Chi non è d’accordo, come la Germania, è perché sta provvedendo ad effettuare studi ed analisi è perché il price cap, se il prezzo di mercato dovesse salire oltre la soglia, sarebbe lo Stato a compensare il surplus e questo dovrebbe essere ben specificato dai partiti.

Una vile strumentalizzazione

Proporre come soluzione il price cap a livello europeo è una scelta discutibile indipendentemente dal fatto che sia positiva o negativa. Chi la propone con superficialità o non sa come funziona o sa che se i prezzi vanno alti, sopra la soglia, ci troviamo invece ad affrontare lo scostamento di bilancio ed un ulteriore debito non previsto oltre ai 115 miliardi fatti da Draghi grazie al suo “metodo”.

Generare una confusione tale sul tema, spingendo le persone a credere che quella soluzione sia giusta “perchè non c’è tempo” è una strategia di terrorismo psicologico che può normalizzare una scelta sbagliata e comunque controproducente per molti paesi, vedi Germania e Italia, che sono ovviamente consapevoli che questa guerra sul gas è tecnicamente un’azione rischiosa per i propri settori produttivi e di conseguenza per la propria economia. Anche l’ostile Polonia, che vorrebbe vedere Putin morto, sa bene che il gas è una componente importante e vitale per un Paese individuato come territorio di delocalizzazione industriale da altri. Quindi, anche la Polonia, che fomenta la guerra e la difesa Ucraina dall’inizio dello scontro, non vede solo nel gas russo il problema, ma nel sistema.

Prendere un problema serio che mette a rischio la sussistenza delle famiglie europee, strumentalizzarlo per fini politici, è un atto di malafede e quindi vile.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie1 settimana fa

Israele: la guerra informatica con l’Iran è senza precedenti

Tempo di lettura: 2 minuti. I comandanti delle unità di difesa e di cyber intelligence israeliane hanno annunciato che il...

Notizie1 settimana fa

Sandworm sta modificando i suoi attacchi alle infrastrutture ucraine

Tempo di lettura: 2 minuti. Il gruppo di hacker sponsorizzato dallo Stato russo noto come Sandworm è stato osservato mentre...

Notizie2 settimane fa

Gli attacchi informatici dell’Iran contro Israele sono aumentati, dice l’esercito

Tempo di lettura: < 1 minuto. La radio ha citato ufficiali militari secondo cui gli attacchi sono aumentati del "70%".

Multilingua2 settimane fa

Anonymous viola i siti web dello Stato iraniano dopo la morte di Mahsa Amini

Tempo di lettura: 2 minuti. I due principali siti web del governo iraniano e alcuni siti dei media sono stati...

Notizie2 settimane fa

Russia guerra cibernetica coinvolge anche i i satelliti

Tempo di lettura: 2 minuti. Il Committee of Concerned Scientists ha lavorato per sensibilizzare l'opinione pubblica sulla situazione degli scienziati....

Notizie3 settimane fa

Documenti NATO rubati all’insaputa del Portogallo: messi in vendita nel Dark Web

Tempo di lettura: 4 minuti. I fascicoli top secret sono stati sottratti dall'Agenzia di Stato Maggiore delle Forze Armate del...

Notizie3 settimane fa

Taiwan vigila mentre la Cina scatena la sua guerra informatica

Tempo di lettura: 2 minuti. Nel tentativo di resistere alle aggressioni cinesi, Taiwan ha aumentato le spese per la difesa...

Notizie3 settimane fa

Hacker iraniani colpiscono obiettivi nella sicurezza nucleare e nella ricerca genomica

Tempo di lettura: 3 minuti. La società di sicurezza aziendale Proofpoint ha attribuito gli attacchi mirati a un attore di...

Notizie3 settimane fa

La Cina accusa l’unità TAO della NSA di aver violato la sua università di ricerca militare

Tempo di lettura: 2 minuti. La Cina ha accusato la National Security Agency (NSA) degli Stati Uniti di aver condotto...

Notizie3 settimane fa

Tempo di lettura: 2 minuti. Diversi gruppi di hacker iraniani hanno partecipato a un recente attacco informatico contro il governo...

Truffe recenti

Truffe online7 ore fa

I truffatori e i disonesti al telefono: è possibile fermarli?

Tempo di lettura: 4 minuti. I consigli di Sophos e l'invito di Matrice Digitale a segnalarli al nostro modello

Truffe online6 giorni fa

Curriculum Online, la denuncia: CVfacile.com attiva abbonamenti nascosti

Tempo di lettura: 3 minuti. C'è anche il sito expressCV ed è stato già segnalato per illeciti.

Truffe online6 giorni fa

Truffa Vinted: spillati 195 euro grazie a un link falso di Subito

Tempo di lettura: 2 minuti. Altro utente truffato, ma le responsabilità non sono tutte della piattaforma.

Truffe online1 settimana fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online3 settimane fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online3 settimane fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie1 mese fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Notizie1 mese fa

Truffatori telefonici causano danni per oltre 320.000 euro a Berlino

Tempo di lettura: 2 minuti. Migliaia di persone sono già cadute nel tranello di truffatori telefonici che si fingono dipendenti...

Notizie2 mesi fa

Ecco come si può acquistare una identità nel dark web e fare le truffe. Lo studio

Tempo di lettura: 2 minuti. Sappiamo tutti che le informazioni rubate vengono scambiate sul dark web e una nuova ricerca...

scam scam
Notizie2 mesi fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Tendenza