Connect with us

Inchieste

Kimsuky: l’apt nordcoreano che fa concorrenza a Lazarus

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 10 minuti.

Dopo aver affrontato la storia del gruppo nordcoreano APT Lazarus, il paese di Kim Jong un ha un altro commando noto alle cronache della guerra cibernetica mondiale. Il nome del gruppo Kimsuky deriva dall’account di posta elettronica, “Kimsukyang“, utilizzato come drop-point per i dati rubati. Dal 2013, il gruppo Kimsuky ha continuato una campagna di cyber-attacco contro le organizzazioni governative e le agenzie legate alla difesa in Corea del Sud, così come le istituzioni e le società legate all’impegno della Corea del Sud con la Corea del Nord. L’attività di Kimusky è iniziata nel 2012 ed è stata notata dopo diversi mesi che è stata monitorata una campagna di spionaggio informatico in corso contro i think-tank sudcoreani definita da molti straordinaria nella sua esecuzione e nella logistica impiegata. Un programma spia poco sofisticato che comunicava con il suo “master” attraverso un server di posta elettronica pubblica bulgaro e precisamente mail.bg.

La stringa del percorso di compilazione conteneva geroglifici coreani e questo ha portato i ricercatori a dare un’occhiata più da vicino a questo malware. Anche se l’elenco completo delle vittime rimane sconosciuto, gli obiettivi di questa campagna erano le seguenti organizzazioni.

L’Istituto Sejong è un’organizzazione privata senza scopo di lucro per l’interesse pubblico e un think tank leader in Corea del Sud, che conduce ricerche sulla strategia di sicurezza nazionale, strategia di unificazione, questioni regionali ed economia politica internazionale.

  • Istituto coreano di analisi della difesa (KIDA) è un istituto di ricerca sulla difesa completo che copre una vasta gamma di questioni legate alla difesa è organizzato in sette centri di ricerca Centro per la sicurezza e la strategia; il Centro per la pianificazione militare; il Centro per lo sviluppo delle risorse umane; il Centro per la gestione delle risorse; il Centro per gli studi sui sistemi d’arma; il Centro per gli studi sui sistemi informativi; e il Centro per la modellazione e la simulazione. KIDA ha anche un gruppo di consulenza informatica e vari dipartimenti di supporto. La missione del KIDA è quella di contribuire a una politica di difesa razionale attraverso una ricerca e un’analisi intensiva e sistematica delle questioni relative alla difesa.
  • Ministero dell’Unificazione: dipartimento esecutivo del governo sudcoreano responsabile di lavorare per la riunificazione della Corea. I suoi compiti principali sono stabilire la politica della Corea del Nord, coordinare il dialogo intercoreano, perseguire la cooperazione intercoreana ed educare il pubblico all’unificazione.
  • Hyundai Merchant Marine è una compagnia logistica sudcoreana che fornisce servizi di spedizione di container in tutto il mondo. Alcuni indizi suggerivano anche che i computer appartenenti a “I sostenitori dell’unificazione coreana” (http://www.unihope.kr/) sono stati presi di mira. Tra le organizzazioni che abbiamo contato, 11 hanno sede in Corea del Sud e due entità risiedono in Cina.

In parte perché questa campagna è molto limitata e altamente mirata, non siamo ancora stati in grado di identificare come questo malware viene distribuito. I campioni maligni che abbiamo trovato sono il malware allo stadio iniziale più spesso consegnato da e-mail di spear-phishing.

Infettare un sistema il Trojan dropper iniziale è una Dynamic Link Library che funzionava come un caricatore per ulteriori malware. Non mantiene le esportazioni e semplicemente consegnava un’altra libreria criptata mantenuta nella sua sezione di risorse. Questa seconda libreria eseguiva tutte le funzionalità di spionaggio.

Quando veniva eseguita su Windows 7, la libreria dannosa utilizzava il codice open-source Win7Elevate del Metasploit Framework per iniettare codice dannoso in explorer.exe. In ogni caso, che sia Windows 7 o meno, questo codice maligno decripta la sua libreria di spionaggio dalle risorse, la salva su disco con un nome apparentemente casuale ma hardcoded, per esempio, ~DFE8B437DD7C417A6D.TMP, nella cartella temporanea dell’utente e carica questo file come libreria.

Questa libreria della fase successiva si copiava nella directory System32 della cartella di Windows dopo il nome del file hardcoded – o KBDLV2.DLL o AUTO.DLL, a seconda del campione di malware. Poi il servizio veniva creato per il servizio dll. Anche i nomi dei servizi potevano differire da versione a versione; abbiamo scoperto i seguenti nomi – DriverManage, WebService e WebClientManager. Queste funzioni assicuravano la persistenza del malware in un sistema operativo compromesso tra i riavvii del sistema.

In questa fase, il malware raccoglieva informazioni sul computer infetto. Questo include un output del comando systeminfo salvato nel file oledvbs.inc seguendo il percorso hardcoded: C:Program FilesCommon FilesSystemOle DBoledvbs.inc. C’era un’altra funzione che chiamava il malware creava una stringa contenente i nomi del computer e dell’utente, ma questa non veniva usata da nessuna parte.

In questa campagna sono state trovati diversi strumenti malevoli ma, stranamente, ognuno di essi implementava una singola funzione di spionaggio. Oltre alla libreria di base (KBDLV2.DLL / AUTO.DLL), responsabile della comunicazione comune con il suo master della campagna, sono stati in grado di trovare moduli che eseguivano le seguenti funzioni:

  • Registrazione dei tasti
  • Raccolta di elenchi di directory
  • Furto di documenti HWP
  • Download ed esecuzione di controllo remoto
  • Accesso al controllo remoto

Disattivava anche il servizio Windows Security Center per evitare di avvisare l’utente del firewall disattivato. All’avvio del sistema, la libreria di base disabilitava il firewall di sistema e qualsiasi firewall AhnLab (un venditore di prodotti di sicurezza sudcoreano), azzerando i relativi valori nel registro:

Non è casuale che l’autore del malware abbia scelto il prodotto di sicurezza di AhnLab individuato anche da Lazarus come abbiamo visto in precedenza e che fa intendere l’interesse per vittime sudcoreane.

Una volta che il malware disabilitava il firewall AhnLab, controlla se il file taskmgr.exe si trova nella cartella hardcoded C:WINDOWS. Se il file è presente, esegue questo eseguibile. Successivamente, il malware va in loop ogni 30 minuti per segnalare se stesso e attendere la risposta del suo operatore.

Nel 2014 il governo sudcoreano ha pubblicato un rapporto che accusa la Corea del Nord per le intrusioni di rete che hanno rubato dati da Korea Hydro and Nuclear Power (KHNP), la società che gestisce i 23 reattori nucleari della Corea del Sud. Mentre il rapporto del governo ha dichiarato che solo le reti “non critiche” sono state colpite, gli aggressori hanno chiesto lo spegnimento di tre reattori subito dopo l’intrusione. Hanno anche minacciato la “distruzione” in un messaggio pubblicato su Twitter. Per molti versi, il cyber-attacco aveva le stesse caratteristiche dell’attacco a Sony Pictures messo in piedi da Lazarus: gli hacker hanno chiesto una quantità non specificata di denaro, hanno affermato di essere parte di un gruppo di attivisti, e hanno minacciato il rilascio di altri dati se non fossero state soddisfatte le richieste di chiusura di tre impianti nucleari. Il malware utilizzato nell’attacco è stato diffuso in un’ondata di 5.986 attacchi di phishing, inviati in e-mail a 3.571 dipendenti del KHNP e il primo rilascio di dati includeva informazioni personali su 10.799 dipendenti della KHNP.

I codici maligni usati per l’hacking dell’operatore nucleare erano gli stessi nella composizione e nei metodi di lavoro del cosiddetto malware ‘kimsuky’ che gli hacker nordcoreani usano.” Il malware è stato compilato, come quello usato nell’attacco Sony, su un computer configurato per la lingua coreana.

La scorsa settimana, cianografie parziali di centrali nucleari, compresi i sistemi di acqua calda dei reattori della centrale nucleare di Kori a Gori, in Corea del Sud, sono trapelate tramite un account Twitter chiamato “Chi sono io = No Nuclear Power“. Il profilo dell’account affermava che l’autore era “presidente del gruppo anti-reattore nucleare delle Hawaii“. Questo è stato il sesto invio di informazioni dal 15 dicembre dello scorso anno. Altri dati rilasciati finora includevano ciò che equivale a una raccolta casuale di dati tecnici, tra cui un manuale per eseguire simulazioni Monte Carlo e documenti sulla progettazione del reattore.

In un recente post su Twitter, l’agenzia di stampa sudcoreana Yonhap ha riferito che l’attaccante “‘si è congratulato’ con il KHNP per aver trovato 7.000 virus, ma ha affermato che altri 9.000 erano in attesa del suo ordine“. Gli aggressori sostenevano anche di avere dati sul programma del reattore nucleare indigeno della Corea del Sud e minacciano di venderli.

Hanno bisogno di soldi. Solo bisogno di soddisfare alcune richieste… Molti paesi del Nord Europa, del Sud-Est asiatico e del Sud America stanno dicendo che compreranno informazioni sui reattori nucleari. Temono che vendere l’intera informazione possa minare gli sforzi del presidente Park (Geun-hye) per esportare i reattori nucleari“, ha detto il post. Oltre a identificare il malware utilizzato nell’attacco, l’indagine del governo sudcoreano ha rintracciato il traffico Internet relativo all’attacco fino agli indirizzi di una rete nel nord-est della Cina vicino al confine nordcoreano. Il governo aveva già chiesto assistenza al governo cinese per identificare la fonte dell’attacco.

Nel 2018 l’East Security Cyber ​​​​Threat Intelligence (CTI) Specialized Security Response Center (ESRC) ha rilevato una serie di file dannosi per l’ultimo attacco APT creato il 31 ottobre 2018 e ha completato una risposta di emergenza a dei file dannosi creati in modo intensivo tra le 00:48 e le 13:15 del 31 ottobre, ora coreana (KST), e le versioni a 32 e 64 bit sono state create in modo diverso a seconda dell’ambiente di infezione.

In particolare, questi file dannosi erano camuffati da icone di specifici prodotti di sicurezza in Corea, la lingua delle risorse e delle icone di gruppo è impostata sul codice coreano (1042), e se il computer risultava infetto, le informazioni principali del sistema e i contenuti dell’input da tastiera; dati sensibili come gli account utente potevano essere trapelati all’esterno senza autorizzazione. La risorsa di dialogo del codice dannoso trovata questa volta includeva la didascalia di “Informazioni sul baby“, il codice di testo “baby, versione 1.0”, “Copyright (C) 2017” e utilizza parole chiave simili come funzione mutex.

L’ESRC ha confrontato e analizzato casi simili in passato sulla base dell’intelligence sulle minacce e ha confermato che il vettore di attacco pubblicato il 19 aprile sotto “Operazione Baby Coin” e i codici sottostanti erano fortemente collegati. L’attacco è stato effettuato utilizzando un tema di criptovaluta combinando la vulnerabilità “CVE-2017-11882” e la tecnica di spear phishing, ed è stato confermato che l’attaccante poteva usare liberamente le espressioni coreane. Inoltre, nello stesso flusso di attacco, è stata confermata una storia di utilizzo di un attacco complesso che utilizzava la vulnerabilità del file di documento HWP I principali codici dannosi sono stati distribuiti attraverso il sito Web di editori nel campo infermieristico e medico in Corea e alcuni di essi esistevano in forma crittografata come nei vettori di attacco esistenti. In “Operazione Baby Coin” il file crittografato “UPDATE.CA” è stato creato come file “UPDATE.TMP” decifrato e, analogamente al successivo attacco dell’epoca, in questa operazione è stato utilizzato il file crittografato “store.sys

Nel maggio del 2018, ASERT ha scoperto una campagna APT definita STOLEN PENCIL, che prende di mira le istituzioni accademiche almeno da maggio 2018. La motivazione dietro l’operazione non era chiara, ma gli attori delle minacce sono sembrati da subito abili nel cercare le credenziali. La strategia composta da e-mail utilizzate per lo spear phishing, portava gli utenti a un sito Web che mostrava un documento esca che richiedeva immediatamente di installare un’estensione di Google Chrome dannosa. Una volta preso piede, gli attori delle minacce utilizzavano strumenti standard per garantire la persistenza, incluso Remote Desktop Protocol (RDP) per mantenere l’accesso.

Un’ampia varietà di domini di phishing implicava altri obiettivi, ma quelli incentrati sul mondo accademico avevano lo scopo di installare un’estensione Chrome dannosa. Un gran numero di vittime, per lo più università, aveva esperienza in ingegneria biomedica, suggerendo forse una motivazione specifica per gli autori di questo attacco dove utilizzavano strumenti di amministrazione Windows integrati e software commerciale standard ed usava RDP per accedere ai sistemi compromessi anziché una backdoor o un Trojan di accesso remoto (RAT). La persistenza post-sfruttamento veniva mantenuta raccogliendo password da un’ampia varietà di fonti come memoria di processo, browser Web, sniffing di rete e keylogger. Non ci sono state prove di furto di dati.

Gli attori delle minacce hanno utilizzato alcuni strumenti per automatizzare le intrusioni ed è stato trovato un archivio ZIP di strumenti che dimostravano la loro propensione alla propagazione del furto di password. All’interno dell’archivio abbiamo trovato i seguenti strumenti:

  • KPortScan – un portscanner basato su GUI
  • PsExec – uno strumento per eseguire comandi in remoto su sistemi Windows
  • File batch per abilitare RDP e ignorare le regole del firewall
  • Procdump: uno strumento per eseguire il dump della memoria di processo, insieme a un file batch per eseguire il dump del processo lsass per l’estrazione della password
  • Mimikatz: uno strumento per scaricare password e hash
  • La suite di exploit Eternal, insieme a file batch per una rapida scansione e sfruttamento
  • Nirsoft Mail PassView: uno strumento per scaricare le password di posta salvate
  • Nirsoft Network Password Recovery: uno strumento per scaricare la password di Windows salvata
  • Nirsoft Remote Desktop PassView: uno strumento per scaricare le password RDP salvate
  • Nirsoft SniffPass – uno strumento per annusare la rete per le password inviate tramite protocolli non sicuri
  • Nirsoft WebBrowserPassView – uno strumento per scaricare le password memorizzate in una varietà di browser

Chiaramente questo set di strumenti poteva essere utilizzato per cercare le password archiviate in un’ampia gamma di posizioni. Utilizzando una combinazione di password rubate, account backdoor e un servizio RDP ad apertura forzata, è probabile che gli attori delle minacce mantenevano un punto d’appoggio su un sistema compromesso.

Nel febbraio 2019, i ricercatori dell’Unità 42 di Palo Alto Networks hanno identificato le email di spear phishing inviate nel novembre 2018 contenenti un nuovo malware che condivideva l’infrastruttura con i playbook associati alle campagne nordcoreane. Le e-mail di spear phishing sono state scritte per sembrare inviate da un esperto di sicurezza nucleare che lavorava come consulente negli Stati Uniti. Le e-mail sono state inviate utilizzando un indirizzo e-mail pubblico con il nome dell’esperto e avevano un oggetto che faceva riferimento ai problemi nucleari della Corea del Nord. Le e-mail avevano in allegato un documento macro Excel dannoso che, una volta eseguito, ha portato a una nuova famiglia di malware basata su script Microsoft Visual Basic (VB) soprannominata “BabyShark“.

BabyShark era un malware relativamente nuovo perché già visto nel novembre 2018 e veniva lanciato eseguendo il primo stadio HTA da una posizione remota, quindi poteva essere consegnato tramite diversi tipi di file, compresi i file PE e i documenti dannosi. Esfiltrava le informazioni di sistema al server C2, manteneva la persistenza sul sistema e attende ulteriori istruzioni dall’operatore. BabyShark veniva utilizzato in una campagna di spear phishing limitata iniziata a novembre 2018 ed è ancora in corso. L’attore della minaccia dietro di essa aveva un chiaro obiettivo di raccogliere informazioni relative ai problemi di sicurezza nazionale dell’Asia nord-orientale. Le e-mail di spear phishing e le esche ben realizzate suggerivano l’azione mirata dell’attore e finalizzata a raccogliere le ultime informazioni. Anche se non è definitivo, l’attore delle minacce dietro BabyShark è stato associato allo stesso gruppo che ha usato la famiglia di malware KimJongRAT, condividendo le risorse impiegate nella campagna STOLEN PENCIL.

BabyShark aveva una catena di infezione a più stadi con controlli tra ogni stadio per garantire che solo gli host mirati siano avanzati allo stadio successivo, prima di essere finalmente segnalati all’attaccante.

Il malware secondario viene consegnato come set:

  • un caricatore EXE
  • un caricatore DLL
  • un carico utile codificato

La funzionalità dei caricatori EXE e DLL è la stessa: l’unica differenza è il tipo di file. Questi caricatori venivano poi eseguiti alla ricezione di un comando di esecuzione: “execute” per invocare il caricatore di tipo EXE o “power com” per lanciare il caricatore di tipo DLL. Per avere due diversi tipi di caricatori era chiara la necessità di ridondanza per caricare il payload in caso di interruzione del software anti-virus.

Gli attacchi maligni che sfruttavano il malware BabyShark hanno ampliato la loro operazione per colpire il settore delle criptovalute. L’implementazione lato server del malware ha mostrato che l’autore ha fatto alcuni sforzi per mantenere la sicurezza operativa per il funzionamento del malware e delle infrastrutture C2. L’attore della minaccia sfruttava altri strumenti sviluppati su misura nelle loro campagne. In questo caso, erano PCRat e KimJongRAT.

Il 7 gennaio 2019, una mail di spear-phishing con un allegato dannoso è stata inviata ai membri del corpo stampa del Ministero dell’Unificazione. Si presumeva da subito che gli autori dietro la mail e il malware fossero il cosiddetto gruppo Kimsuky. Nel frattempo, notevoli segnali indicavano una lista di obiettivi ampliata ad aziende finanziarie e organizzazioni di criptovalute, insieme al settore politico. Poiché la situazione economica della Corea del Nord continuava a deteriorarsi a causa delle sanzioni in corso, gli aggressori sembravano mirare a guadagni finanziari oltre all’agenda politica. Kimsuky è stato responsabile di una serie di attacchi recenti che hanno preso di mira aziende e istituzioni sudcoreane:

  • gli identici codici shell;
  • malware che condividono gli stessi codici e processi operativi;
  • e la generazione di identici malware aggiuntivi e identici IP per la connessione allo stesso server C&C.

Oltre a eludere il rilevamento da parte delle soluzioni di sicurezza con file criptati, Kimsuky utilizzava varie tecniche come l’auto-cancellazione e nomi di file variabili per eludere i ricercatori di sicurezza. Tuttavia, c’è un fattore notevole a cui dovremmo prestare attenzione. Kimsuky, dopo aver mostrato tale subdolezza, ha utilizzato le stesse vulnerabilità di Hancom Office e i codici shell utilizzati nei precedenti attacchi del 2014. Ciò rivela che Kimsuky era ben consapevole del fatto che gli obiettivi continuano a utilizzare versioni obsolete di Hancom Office senza applicare gli aggiornamenti di sicurezza di base.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

Meta vuole sottopagare la Musica italiana, ma va difesa perchè la SIAE è il male

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il paradosso italiano: firmare i contratti perchè c’è chi paga poco, ma paga. Anche se sottopaga pur avendo bisogno degli artisti del Bel Paese

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

La scomparsa della musica italiana da Instagram e Facebook ha causato grande sconcerto tra gli utenti. Questo è avvenuto a seguito del mancato accordo tra il colosso dei social media, Meta, e la SIAE, l’ente che tutela i diritti d’autore degli artisti italiani. La licenza per l’utilizzo delle canzoni italiane è scaduta a gennaio, e Meta ha cercato di negoziare senza concedere alcun margine di compromesso, chiedendo sostanzialmente alla SIAE di accettare le loro condizioni senza garanzie.

Il governo italiano ha cercato di intervenire nella disputa, ma finora non è stata raggiunta alcuna soluzione concreta. Nel frattempo, gli utenti italiani sono impossibilitati dall’utilizzare la musica italiana nelle loro storie e reel su Instagram e Facebook. Questa situazione potrebbe indurre molti a passare al concorrente cinese TikTok, che ha già guadagnato una quota significativa del mercato nel 2022.

L’industria musicale italiana è gravemente danneggiata da questa situazione, in quanto il mercato digitale rappresenta l’83% dei suoi ricavi. Gli utenti italiani si trovano ora senza la possibilità di condividere la colonna sonora delle loro vite attraverso i social media, e ciò potrebbe portare a un calo dell’interesse per la musica italiana sia a livello nazionale che internazionale.

In sintesi, il mancato accordo tra Meta e SIAE ha creato una situazione difficile per l’industria musicale italiana e per gli utenti dei social media nel paese. Se non verrà raggiunta una soluzione, il settore musicale italiano e la sua presenza sulle piattaforme digitali potrebbero risentirne notevolmente, con possibili ripercussioni negative sulla promozione e la diffusione della musica italiana nel mondo.

Fino a qui, la ragione sembra trovarsi dalla parte della piattaforma statunitense che “offre” una opportunità di visibilità per quegli artisti che non hanno successo e nemmeno i soldi per promuoversi. La domanda è però un’altra: il patrimonio artistico culturale del nostro paese è più importante di una piattaforma commerciale statunitense?

La verità da parte di SIAE, che rappresenta molti artisti locali ma non tutti, è che l’offerta economica del social era stata già decisa a tavolino e non aveva margini di trattativa ulteriori. Il muro contro muro è una strategia che fa comprendere alla piattaforma come sarebbe il social senza la musica italiana.

Premesso che gli effetti sono visibili solo ed esclusivamente su testi italiani, su cantanti che appartengono a SoundReef, un’alternativa per gli artisti alla SIAE, o altre etichette e che questo giochi a sfavore non solo dei “deboli”, ma anche a grossi nome come la Pausini, c’è però da fare una considerazione sul perchè Soundreef sia migliore di Siae: solo perchè è presente su Facebook?

Contenuti senza musica o senza musica il nulla politico?

C’è poi il dettaglio dei contenuti: Facebook nasce come social di “foto” e “testo”, la musica è arrivata dopo con i video, ma è chiaro senza la musica, i contenuti della piattaforma perderebbero molto in termini di valore, qualità e gradimento. Questo dovrebbe far riflettere quante più persone sull’abbandonare la piattaforma senza maledire la SIAE che invece sta rappresentando un intero settore “sottopagato” come da anni avviene nel mondo della globalizzazione, diventata gigaeconomy, e che sta facendo emergere la vera realtà di un social che ospitava pensieri profondi ed idee politiche per essere diventato poi il modello perfetto di censura, controllo e manipolazione del pensiero occidentale.

Stesso discorso per Instagram, dove alle foto hanno fatto spazio video per lo più televendite di profili pornografici di Onlyfans, ma “Meta non era contro il porno?”, che avvicinano minori a profili a luci rosse e foto dove la musica non è richiesta per forza. Chi ha interesse affinché la SIAE svenda la musica al dandy americano? Solo chi non comprende che i social vivono di contenuti e dell’intelletto altrui ed è per questo che TikTok, paga tutti i creator a differenza di Facebook che ha una lista di influencer favoriti decisi anche dalla politica globalista e regole di ingaggio poco chiare e spesso rivelatesi scorrete per il mercato.

Azienda, piattaforma social o comitato d’affari?

Perchè il Governo dovrebbe intervenire? Per favorire gli americani di Zuckerberg a discapito dei cinesi per via di TikTok e della sciurezza del nostro paese?

E perchè non invece essere più sodale con YouTube che oramai, insieme a Spotify, è il metro preferito dall’industria musicale globale?

Sarebbe forse il caso di iniziare a valutare realtà come Meta per quello che sono, aziende presenti sul mercato che non hanno nè più nè meno di diverso rispetto alle altre e proprio per questo non meritano attenzioni particolari e possono tranquillamente gestirsi da sole senza troppi aiuti di figure governative comprensivi, fin troppo, forse al limite della connivenza.

Prosegui la lettura

Inchieste

Killnet assalta gli ospedali e Phoenix colpisce missione EOSDIS della NASA

Condividi questo contenuto

Tempo di lettura: 4 minuti. Hanno monitorato tutti gli attacchi dal 18 novembre 2022 al 17 febbraio 2023, osservando un aumento da 10-20 attacchi giornalieri a novembre a 40-60 attacchi ogni giorno a febbraio

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Killnet è tornato ed ha hackerato la NASA dopo un periodo di silenzio a causa del grande successo avuto dei cugini di NoName057. Il collettivo di hacktivisti russi ha pubblicato dettagli e dati sulla missione spaziale della NASA prevista sul satellite della terra.

🤴 Il gruppo di hacker russi PHOENIX si assume la piena responsabilità di aver violato alcuni dei vostri sistemi.

Lo dico in modalità 🔴 in quanto ho fiducia in me stesso e nei vostri professionisti IT.

✔️На al momento abbiamo accesso a (i dati saranno aggiornati):

⚡️Данные dai satelliti della missione MMS
⚡️Учетные record degli utenti/specialisti di EOSDIS
⚡️Нескольо terabyte di dati di ricerca, schemi di veicoli spaziali, rapporti e documenti aziendali
⚡️SOON…

credenziali di login dei dipendenti

Nonostante Killnet si sia da sempre contraddistinta per gli attacchi di DDoS, questa volta invece ha giocato un ruolo diverso dal solito entrando nei server della NASA: l’ente di aviazione spaziale americana famosissima anche per i suoi sistemi di sicurezza informatici avanzati e a prova di intrusioni non solo di hacker bensì anche militari da parte di altri paesi. Un’attività a questa che dovrà essere smentita dall’ente statunitense oppure confermata, ma attualmente sono stati pubblicati i dati con relative password delle persone impegnate nel progetto e quindi si può affermare che danno permanente è stato fatto salvo smentite sulal qualità dei contenuti

Cosa è la missione EOSDIS?

EOSDIS, acronimo di Earth Observing System Data and Information System, è un sistema gestito dalla NASA per raccogliere, archiviare e distribuire i dati provenienti dai satelliti di osservazione terrestre e dalle missioni scientifiche aeree. L’obiettivo principale di EOSDIS è fornire un accesso semplice e veloce a una vasta gamma di dati e informazioni relative all’ambiente terrestre, all’atmosfera, all’oceano e alle aree glaciali e polari.

EOSDIS fa parte del programma Earth Science Data Systems (ESDS) della NASA e utilizza diversi centri di elaborazione e distribuzione dei dati, chiamati Distributed Active Archive Centers (DAACs), per archiviare e distribuire i dati a ricercatori, scienziati e altre parti interessate in tutto il mondo.

Tra i principali servizi offerti da EOSDIS vi sono la possibilità di cercare e scaricare dati e immagini, visualizzare mappe e grafici e accedere a strumenti di analisi per comprendere meglio le tendenze e i fenomeni legati all’ambiente terrestre e ai cambiamenti climatici.

L’allarme dagli USA: Killnet colpisce gli ospedali

Questa settimana, i ricercatori nel campo della cybersecurity hanno osservato che il gruppo di hacker pro-Russia noto come Killnet sta intensificando gli attacchi DDoS (Distributed Denial of Service) contro le organizzazioni sanitarie a partire dal novembre scorso.

Killnet è stato creato in seguito all’invasione della Russia in Ucraina nel febbraio 2022 e ha trascorso gran parte dell’ultimo anno lanciando attacchi DDoS contro governi e aziende di tutto il mondo. Sebbene gli attacchi siano per lo più un fastidio – mettendo offline i siti web per circa un’ora nella maggior parte dei casi – hanno suscitato preoccupazione all’interno del governo degli Stati Uniti, in particolare quando vengono lanciati contro infrastrutture critiche come aeroporti e ospedali.

Nei mesi recenti, il gruppo ha concentrato la sua attenzione sui siti web delle organizzazioni sanitarie, lanciando una campagna a febbraio che ha preso di mira ospedali in oltre 25 stati. La Cybersecurity and Infrastructure Security Agency (CISA) ha affermato che meno della metà di questi attacchi – che prevedevano l’invio di un’enorme quantità di richieste di pagina ai siti web presi di mira – ha avuto successo nel mettere offline i siti.

Venerdì, i membri del Microsoft Azure Network Security Team, Amir Dahan e Syed Pasha, hanno pubblicato un’analisi degli attacchi DDoS alle organizzazioni sanitarie utilizzando i loro strumenti di sicurezza.

“Le tipologie di organizzazioni sanitarie attaccate comprendevano il settore farmaceutico e delle scienze della vita con il 31% di tutti gli attacchi, gli ospedali con il 26%, le assicurazioni sanitarie con il 16% e i servizi e le cure sanitarie anch’esse con il 16%”, hanno dichiarato. Killnet ha solitamente provato due metodi diversi: creare molte connessioni diverse e cercare di mantenerle attive il più a lungo possibile per rendere inutilizzabile un sito web, oppure stabilire quante più nuove connessioni possibili in un breve lasso di tempo per esaurire le risorse.

“Killnet e i suoi avversari affiliati utilizzano gli attacchi DDoS come tattica più comune. Utilizzando script DDoS e stressor, reclutando botnet e utilizzando fonti di attacco contraffatte, KillNet può facilmente interrompere la presenza online di siti web e app”, hanno affermato i ricercatori. Servizi di protezione DDoS come Cloudflare hanno segnalato tendenze simili. Akamai, un’altra azienda che offre strumenti simili, ha pubblicato un rapporto il mese scorso che evidenziava un aumento significativo degli incidenti DDoS in Europa nel 2022, con un numero crescente di campagne che ora coinvolgono tattiche di estorsione. L’azienda ha anche avvertito che gli attacchi DDoS vengono ora sempre più utilizzati come copertura per vere e proprie intrusioni che coinvolgono ransomware e furto di dati.

Omer Yoachimik di Cloudflare ha riferito a The Record che la loro ricerca sulla campagna DDoS di Killnet nel settore sanitario indica che gli attacchi venivano “crowdsourced”, ovvero gli operatori di Killnet si rivolgevano ad altri gruppi e individui che utilizzano più botnet o metodi di attacco diversi. Anche la CISA ha dichiarato a The Record che gli incidenti DDoS sono diventati una questione prioritaria per l’agenzia, poiché cercano di proteggere le infrastrutture critiche.

“Il nostro personale regionale sta lavorando a stretto contatto con i nostri partner sul territorio e incoraggiamo tutte le organizzazioni, compresi gli enti statali e locali, a rimanere vigili e ad adottare misure per proteggersi”, ha detto il portavoce, facendo riferimento a una guida pubblicata insieme all’FBI a ottobre su come le organizzazioni possono ridurre la probabilità e l’impatto degli attacchi DDoS. Il portavoce ha aggiunto che per gran parte dell’ultimo anno, la CISA ha aiutato le organizzazioni a mitigare gli attacchi DDoS, in particolare quelli lanciati da Killnet. L’agenzia ha anche collaborato con diverse aziende tecnologiche per fornire risorse gratuite alle organizzazioni con finanziamenti limitati, al fine di aiutarle a ridurre l’impatto degli attacchi DDoS.

Prosegui la lettura

Inchieste

ACN finalista su LinkedIn: spegnetegli i social

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

“A pensar male ci si azzecca” diceva qualcuno di molto importante nella storia del nostro Paese.

L’Agenzia della Cybersicurezza Nazionale ha venduto sui social un grande successo che in realtà ha confermato una grande parte delle critiche mosse al suo ufficio di comunicazione da molti esperti informatici del Paese. Molta fuffa, molta politica, tantissima comunicazione e grande autoreferenzialità all’interno dei social network, ma pochissima sostanza.

Durante un periodo in cui l’ente è finito in un turbine di polemiche in seguito ad attacchi informatici da ogni dove, tra l’altro che hanno interessato più volte gli stessi obiettivi, c’è chi sui social ha pensato di vendersi l’essere rientrata tra i finalisti in un contest organizzato da LinkedIn.

Sì, proprio quella piattaforma utilizzata dall’Agenzia per una comunicazione “uno a molti” dove dipendenti dello Stato hanno più volte dato patenti di ignoranza ad esperti informatici che hanno dimostrato di aver svolto il ruolo delle “cassandre” e li ha offesi o addirittura minacciati via mail quando è stato segnalato un bug al CSIRT. LinkedIn, di proprietà della Microsoft che ha stipulato con l’ex direttore Baldoni un accordo per formare 100.000 esperti informatici nei prossimi anni a botte di certificazioni Microsoft, ha inserito tra i finalisti l’ACN per aver speso speso più tempo sul social network a dirsi di essere “bella e brava” ed “innovativa” senza però risolvere concretamente i problemi del paese per i quali è stata costituita.

Speriamo vinca il premio finale, altrimenti oltre ad aver messo in cattiva luce le proprie capacità pratiche, la beffa di non portare a casa la “mucca Carolina” sarebbe il colpo finale ad un’attività di comunicazione per un ente totalmente tecnico che dovrebbe spegnere i social ed occuparsi della sicurezza cibernetica in Italia.

Prosegui la lettura

Facebook

CYBERWARFARE

DeFi7 giorni fa

Hacker travestito da Zelensky intervista Lagarde sull’euro digitale?

Tempo di lettura: < 1 minuto. Verità o deep fake? Non è dato saperlo se si riflette

Notizie7 giorni fa

Armis pubblica rapporto sulla guerra cibernetica e le difese del Regno Unito

Tempo di lettura: 2 minuti. Condividi questo contenutoIntroduzione: Armis, una delle principali aziende nel campo della visibilità e sicurezza degli...

Notizie1 settimana fa

KillNet mira alle applicazioni sanitarie ospitate su Microsoft Azure

Tempo di lettura: < 1 minuto. Condividi questo contenutoUn gruppo hacktivist affiliato alla Russia noto come KillNet è stato osservato...

Notizie1 settimana fa

Cremlino vieta iPhone a operatori coinvolti nella campagna elettorale di Putin nel 2024

Tempo di lettura: < 1 minuto. Condividi questo contenutoIl Cremlino ha imposto il divieto di utilizzo degli iPhone per i...

Notizie1 settimana fa

Gli hacker cinesi e russi usano il malware Silkloader per eludere il rilevamento

Tempo di lettura: < 1 minuto. Condividi questo contenutoLa regina canadese di QAnon, Romana Didulo, è stata etichettata come “falsa”...

Notizie1 settimana fa

NoName057 mette in palio 1 milione di rubli per chi partecipa ai DDoS

Tempo di lettura: < 1 minuto. Condividi questo contenuto Il gruppo di attivisti NoName057, conosciuto in Italia per essere stato...

Notizie2 settimane fa

Microsoft: Usa e Polonia i paesi più spiati dai russi

Tempo di lettura: < 1 minuto. Condividi questo contenutoSecondo un nuovo rapporto di intelligence di Microsoft, la Russia ha intensificato...

Notizie2 settimane fa

Microsoft: come sarà il secondo anno di guerra cibernetica

Tempo di lettura: 3 minuti. "La collaborazione tra settore pubblico e privato è essenziale per la difesa cibernetica e per...

Notizie3 settimane fa

Guerra cibernetica: il Pentagono non è pronto per la terza guerra mondiale

Tempo di lettura: < 1 minuto. Competere con la Cina per non essere sopraffatti

Notizie3 settimane fa

Cozy Bear ha attaccato la Commisione Europea: l’analisi dell’esperto

Tempo di lettura: < 1 minuto. Mentre il Cremlino sforna wiper dall'inizio del conflitto, una parte dell'esercito russo prova costantemente...

Truffe recenti

Truffe online19 ore fa

Truffa “wangiri”: donna perde tutto il credito telefonico richiamando numero misterioso

Tempo di lettura: < 1 minuto. La truffa dello squillo senza risposta continua a mietere vittime tra gli ignari utenti...

Truffe online2 giorni fa

Sim swap a Napoli, condannate Intesa Sanpaolo e Telecom Italia

Tempo di lettura: < 1 minuto. Le due aziende dovranno risarcire il 50% dei 29.000 euro rubati

Notizie3 giorni fa

Esperto di tecnologia smaschera la truffa del “numero sbagliato”

Tempo di lettura: 2 minuti. Un esperto di sicurezza informatica indaga a fondo una truffa sofisticata e rivela come funziona

Truffe online2 mesi fa

Truffa Facebook Little Flowers ai danni de La Repubblica: la matrice è cinese

Tempo di lettura: 3 minuti. Condividi questo contenuto In questi giorni abbiamo analizzato come attraverso Google Adwords è possibile veicolare...

Truffe online2 mesi fa

Truffa da 25.000 euro su Hiobit.com : la matrice è asiatica

Tempo di lettura: 2 minuti. Da Tinder ad un sito internet di trading, come un profilo asiatico è riuscito a...

Truffe online2 mesi fa

Pacco e contropaccotto: Vinted consente truffa “Morada” ai danni dei suoi venditori

Tempo di lettura: 2 minuti. Altro venditore di 500 euro, la società ha rimborsato il criminale a migliaia di km...

Truffe online2 mesi fa

Malware trasmesso da Google Ads prosciuga l’intero portafoglio di criptovalute di un influencer NFT

Tempo di lettura: 2 minuti. Un link pubblicitario sponsorizzato su Google ha nascosto un malware che ha travasato migliaia di...

Notizie3 mesi fa

“Entra nell’Interpol” la nuova truffa sui social media che spopola in Sud Africa

Tempo di lettura: 2 minuti. L'Organizzazione internazionale di polizia criminale (Interpol) ha lanciato un allarme su una truffa online che...

DeFi3 mesi fa

Scandalo FTX, i genitori di Sam Bankman Fried sono indagati: confermata l’inchiesta di Matrice Digitale

Tempo di lettura: 2 minuti. Avrebbero speso i fondi societari per acquisti personali e sono il collante con le "coperture"...

Truffe online5 mesi fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Tendenza