Inchieste
Kimsuky: l’apt nordcoreano che fa concorrenza a Lazarus

Tempo di lettura: 10 minuti.
Dopo aver affrontato la storia del gruppo nordcoreano APT Lazarus, il paese di Kim Jong un ha un altro commando noto alle cronache della guerra cibernetica mondiale. Il nome del gruppo Kimsuky deriva dall'account di posta elettronica, “Kimsukyang“, utilizzato come drop-point per i dati rubati. Dal 2013, il gruppo Kimsuky ha continuato una campagna di cyber-attacco contro le organizzazioni governative e le agenzie legate alla difesa in Corea del Sud, così come le istituzioni e le società legate all'impegno della Corea del Sud con la Corea del Nord. L'attività di Kimusky è iniziata nel 2012 ed è stata notata dopo diversi mesi che è stata monitorata una campagna di spionaggio informatico in corso contro i think-tank sudcoreani definita da molti straordinaria nella sua esecuzione e nella logistica impiegata. Un programma spia poco sofisticato che comunicava con il suo “master” attraverso un server di posta elettronica pubblica bulgaro e precisamente mail.bg.
La stringa del percorso di compilazione conteneva geroglifici coreani e questo ha portato i ricercatori a dare un'occhiata più da vicino a questo malware. Anche se l'elenco completo delle vittime rimane sconosciuto, gli obiettivi di questa campagna erano le seguenti organizzazioni.
L'Istituto Sejong è un'organizzazione privata senza scopo di lucro per l'interesse pubblico e un think tank leader in Corea del Sud, che conduce ricerche sulla strategia di sicurezza nazionale, strategia di unificazione, questioni regionali ed economia politica internazionale.
- Istituto coreano di analisi della difesa (KIDA) è un istituto di ricerca sulla difesa completo che copre una vasta gamma di questioni legate alla difesa è organizzato in sette centri di ricerca Centro per la sicurezza e la strategia; il Centro per la pianificazione militare; il Centro per lo sviluppo delle risorse umane; il Centro per la gestione delle risorse; il Centro per gli studi sui sistemi d'arma; il Centro per gli studi sui sistemi informativi; e il Centro per la modellazione e la simulazione. KIDA ha anche un gruppo di consulenza informatica e vari dipartimenti di supporto. La missione del KIDA è quella di contribuire a una politica di difesa razionale attraverso una ricerca e un'analisi intensiva e sistematica delle questioni relative alla difesa.
- Ministero dell'Unificazione: dipartimento esecutivo del governo sudcoreano responsabile di lavorare per la riunificazione della Corea. I suoi compiti principali sono stabilire la politica della Corea del Nord, coordinare il dialogo intercoreano, perseguire la cooperazione intercoreana ed educare il pubblico all'unificazione.
- Hyundai Merchant Marine è una compagnia logistica sudcoreana che fornisce servizi di spedizione di container in tutto il mondo. Alcuni indizi suggerivano anche che i computer appartenenti a “I sostenitori dell'unificazione coreana” (http://www.unihope.kr/) sono stati presi di mira. Tra le organizzazioni che abbiamo contato, 11 hanno sede in Corea del Sud e due entità risiedono in Cina.
In parte perché questa campagna è molto limitata e altamente mirata, non siamo ancora stati in grado di identificare come questo malware viene distribuito. I campioni maligni che abbiamo trovato sono il malware allo stadio iniziale più spesso consegnato da e-mail di spear-phishing.
Infettare un sistema il Trojan dropper iniziale è una Dynamic Link Library che funzionava come un caricatore per ulteriori malware. Non mantiene le esportazioni e semplicemente consegnava un'altra libreria criptata mantenuta nella sua sezione di risorse. Questa seconda libreria eseguiva tutte le funzionalità di spionaggio.
Quando veniva eseguita su Windows 7, la libreria dannosa utilizzava il codice open-source Win7Elevate del Metasploit Framework per iniettare codice dannoso in explorer.exe. In ogni caso, che sia Windows 7 o meno, questo codice maligno decripta la sua libreria di spionaggio dalle risorse, la salva su disco con un nome apparentemente casuale ma hardcoded, per esempio, ~DFE8B437DD7C417A6D.TMP, nella cartella temporanea dell'utente e carica questo file come libreria.
Questa libreria della fase successiva si copiava nella directory System32 della cartella di Windows dopo il nome del file hardcoded – o KBDLV2.DLL o AUTO.DLL, a seconda del campione di malware. Poi il servizio veniva creato per il servizio dll. Anche i nomi dei servizi potevano differire da versione a versione; abbiamo scoperto i seguenti nomi – DriverManage, WebService e WebClientManager. Queste funzioni assicuravano la persistenza del malware in un sistema operativo compromesso tra i riavvii del sistema.
In questa fase, il malware raccoglieva informazioni sul computer infetto. Questo include un output del comando systeminfo salvato nel file oledvbs.inc seguendo il percorso hardcoded: C:Program FilesCommon FilesSystemOle DBoledvbs.inc. C'era un'altra funzione che chiamava il malware creava una stringa contenente i nomi del computer e dell'utente, ma questa non veniva usata da nessuna parte.
In questa campagna sono state trovati diversi strumenti malevoli ma, stranamente, ognuno di essi implementava una singola funzione di spionaggio. Oltre alla libreria di base (KBDLV2.DLL / AUTO.DLL), responsabile della comunicazione comune con il suo master della campagna, sono stati in grado di trovare moduli che eseguivano le seguenti funzioni:
- Registrazione dei tasti
- Raccolta di elenchi di directory
- Furto di documenti HWP
- Download ed esecuzione di controllo remoto
- Accesso al controllo remoto
Disattivava anche il servizio Windows Security Center per evitare di avvisare l'utente del firewall disattivato. All'avvio del sistema, la libreria di base disabilitava il firewall di sistema e qualsiasi firewall AhnLab (un venditore di prodotti di sicurezza sudcoreano), azzerando i relativi valori nel registro:
Non è casuale che l'autore del malware abbia scelto il prodotto di sicurezza di AhnLab individuato anche da Lazarus come abbiamo visto in precedenza e che fa intendere l'interesse per vittime sudcoreane.
Una volta che il malware disabilitava il firewall AhnLab, controlla se il file taskmgr.exe si trova nella cartella hardcoded C:WINDOWS. Se il file è presente, esegue questo eseguibile. Successivamente, il malware va in loop ogni 30 minuti per segnalare se stesso e attendere la risposta del suo operatore.
Nel 2014 il governo sudcoreano ha pubblicato un rapporto che accusa la Corea del Nord per le intrusioni di rete che hanno rubato dati da Korea Hydro and Nuclear Power (KHNP), la società che gestisce i 23 reattori nucleari della Corea del Sud. Mentre il rapporto del governo ha dichiarato che solo le reti “non critiche” sono state colpite, gli aggressori hanno chiesto lo spegnimento di tre reattori subito dopo l'intrusione. Hanno anche minacciato la “distruzione” in un messaggio pubblicato su Twitter. Per molti versi, il cyber-attacco aveva le stesse caratteristiche dell'attacco a Sony Pictures messo in piedi da Lazarus: gli hacker hanno chiesto una quantità non specificata di denaro, hanno affermato di essere parte di un gruppo di attivisti, e hanno minacciato il rilascio di altri dati se non fossero state soddisfatte le richieste di chiusura di tre impianti nucleari. Il malware utilizzato nell'attacco è stato diffuso in un'ondata di 5.986 attacchi di phishing, inviati in e-mail a 3.571 dipendenti del KHNP e il primo rilascio di dati includeva informazioni personali su 10.799 dipendenti della KHNP.
“I codici maligni usati per l'hacking dell'operatore nucleare erano gli stessi nella composizione e nei metodi di lavoro del cosiddetto malware ‘kimsuky' che gli hacker nordcoreani usano.” Il malware è stato compilato, come quello usato nell'attacco Sony, su un computer configurato per la lingua coreana.
La scorsa settimana, cianografie parziali di centrali nucleari, compresi i sistemi di acqua calda dei reattori della centrale nucleare di Kori a Gori, in Corea del Sud, sono trapelate tramite un account Twitter chiamato “Chi sono io = No Nuclear Power“. Il profilo dell'account affermava che l'autore era “presidente del gruppo anti-reattore nucleare delle Hawaii“. Questo è stato il sesto invio di informazioni dal 15 dicembre dello scorso anno. Altri dati rilasciati finora includevano ciò che equivale a una raccolta casuale di dati tecnici, tra cui un manuale per eseguire simulazioni Monte Carlo e documenti sulla progettazione del reattore.
In un recente post su Twitter, l'agenzia di stampa sudcoreana Yonhap ha riferito che l'attaccante “‘si è congratulato' con il KHNP per aver trovato 7.000 virus, ma ha affermato che altri 9.000 erano in attesa del suo ordine“. Gli aggressori sostenevano anche di avere dati sul programma del reattore nucleare indigeno della Corea del Sud e minacciano di venderli.
“Hanno bisogno di soldi. Solo bisogno di soddisfare alcune richieste… Molti paesi del Nord Europa, del Sud-Est asiatico e del Sud America stanno dicendo che compreranno informazioni sui reattori nucleari. Temono che vendere l'intera informazione possa minare gli sforzi del presidente Park (Geun-hye) per esportare i reattori nucleari“, ha detto il post. Oltre a identificare il malware utilizzato nell'attacco, l'indagine del governo sudcoreano ha rintracciato il traffico Internet relativo all'attacco fino agli indirizzi di una rete nel nord-est della Cina vicino al confine nordcoreano. Il governo aveva già chiesto assistenza al governo cinese per identificare la fonte dell'attacco.
Nel 2018 l'East Security Cyber Threat Intelligence (CTI) Specialized Security Response Center (ESRC) ha rilevato una serie di file dannosi per l'ultimo attacco APT creato il 31 ottobre 2018 e ha completato una risposta di emergenza a dei file dannosi creati in modo intensivo tra le 00:48 e le 13:15 del 31 ottobre, ora coreana (KST), e le versioni a 32 e 64 bit sono state create in modo diverso a seconda dell'ambiente di infezione.
In particolare, questi file dannosi erano camuffati da icone di specifici prodotti di sicurezza in Corea, la lingua delle risorse e delle icone di gruppo è impostata sul codice coreano (1042), e se il computer risultava infetto, le informazioni principali del sistema e i contenuti dell'input da tastiera; dati sensibili come gli account utente potevano essere trapelati all'esterno senza autorizzazione. La risorsa di dialogo del codice dannoso trovata questa volta includeva la didascalia di “Informazioni sul baby“, il codice di testo “baby, versione 1.0”, “Copyright (C) 2017” e utilizza parole chiave simili come funzione mutex.
L'ESRC ha confrontato e analizzato casi simili in passato sulla base dell'intelligence sulle minacce e ha confermato che il vettore di attacco pubblicato il 19 aprile sotto “Operazione Baby Coin” e i codici sottostanti erano fortemente collegati. L'attacco è stato effettuato utilizzando un tema di criptovaluta combinando la vulnerabilità “CVE-2017-11882” e la tecnica di spear phishing, ed è stato confermato che l'attaccante poteva usare liberamente le espressioni coreane. Inoltre, nello stesso flusso di attacco, è stata confermata una storia di utilizzo di un attacco complesso che utilizzava la vulnerabilità del file di documento HWP I principali codici dannosi sono stati distribuiti attraverso il sito Web di editori nel campo infermieristico e medico in Corea e alcuni di essi esistevano in forma crittografata come nei vettori di attacco esistenti. In “Operazione Baby Coin” il file crittografato “UPDATE.CA” è stato creato come file “UPDATE.TMP” decifrato e, analogamente al successivo attacco dell'epoca, in questa operazione è stato utilizzato il file crittografato “store.sys“
Nel maggio del 2018, ASERT ha scoperto una campagna APT definita STOLEN PENCIL, che prende di mira le istituzioni accademiche almeno da maggio 2018. La motivazione dietro l'operazione non era chiara, ma gli attori delle minacce sono sembrati da subito abili nel cercare le credenziali. La strategia composta da e-mail utilizzate per lo spear phishing, portava gli utenti a un sito Web che mostrava un documento esca che richiedeva immediatamente di installare un'estensione di Google Chrome dannosa. Una volta preso piede, gli attori delle minacce utilizzavano strumenti standard per garantire la persistenza, incluso Remote Desktop Protocol (RDP) per mantenere l'accesso.
Un'ampia varietà di domini di phishing implicava altri obiettivi, ma quelli incentrati sul mondo accademico avevano lo scopo di installare un'estensione Chrome dannosa. Un gran numero di vittime, per lo più università, aveva esperienza in ingegneria biomedica, suggerendo forse una motivazione specifica per gli autori di questo attacco dove utilizzavano strumenti di amministrazione Windows integrati e software commerciale standard ed usava RDP per accedere ai sistemi compromessi anziché una backdoor o un Trojan di accesso remoto (RAT). La persistenza post-sfruttamento veniva mantenuta raccogliendo password da un'ampia varietà di fonti come memoria di processo, browser Web, sniffing di rete e keylogger. Non ci sono state prove di furto di dati.
Gli attori delle minacce hanno utilizzato alcuni strumenti per automatizzare le intrusioni ed è stato trovato un archivio ZIP di strumenti che dimostravano la loro propensione alla propagazione del furto di password. All'interno dell'archivio abbiamo trovato i seguenti strumenti:
- KPortScan – un portscanner basato su GUI
- PsExec – uno strumento per eseguire comandi in remoto su sistemi Windows
- File batch per abilitare RDP e ignorare le regole del firewall
- Procdump: uno strumento per eseguire il dump della memoria di processo, insieme a un file batch per eseguire il dump del processo lsass per l'estrazione della password
- Mimikatz: uno strumento per scaricare password e hash
- La suite di exploit Eternal, insieme a file batch per una rapida scansione e sfruttamento
- Nirsoft Mail PassView: uno strumento per scaricare le password di posta salvate
- Nirsoft Network Password Recovery: uno strumento per scaricare la password di Windows salvata
- Nirsoft Remote Desktop PassView: uno strumento per scaricare le password RDP salvate
- Nirsoft SniffPass – uno strumento per annusare la rete per le password inviate tramite protocolli non sicuri
- Nirsoft WebBrowserPassView – uno strumento per scaricare le password memorizzate in una varietà di browser
Chiaramente questo set di strumenti poteva essere utilizzato per cercare le password archiviate in un'ampia gamma di posizioni. Utilizzando una combinazione di password rubate, account backdoor e un servizio RDP ad apertura forzata, è probabile che gli attori delle minacce mantenevano un punto d'appoggio su un sistema compromesso.
Nel febbraio 2019, i ricercatori dell'Unità 42 di Palo Alto Networks hanno identificato le email di spear phishing inviate nel novembre 2018 contenenti un nuovo malware che condivideva l'infrastruttura con i playbook associati alle campagne nordcoreane. Le e-mail di spear phishing sono state scritte per sembrare inviate da un esperto di sicurezza nucleare che lavorava come consulente negli Stati Uniti. Le e-mail sono state inviate utilizzando un indirizzo e-mail pubblico con il nome dell'esperto e avevano un oggetto che faceva riferimento ai problemi nucleari della Corea del Nord. Le e-mail avevano in allegato un documento macro Excel dannoso che, una volta eseguito, ha portato a una nuova famiglia di malware basata su script Microsoft Visual Basic (VB) soprannominata “BabyShark“.
BabyShark era un malware relativamente nuovo perché già visto nel novembre 2018 e veniva lanciato eseguendo il primo stadio HTA da una posizione remota, quindi poteva essere consegnato tramite diversi tipi di file, compresi i file PE e i documenti dannosi. Esfiltrava le informazioni di sistema al server C2, manteneva la persistenza sul sistema e attende ulteriori istruzioni dall'operatore. BabyShark veniva utilizzato in una campagna di spear phishing limitata iniziata a novembre 2018 ed è ancora in corso. L'attore della minaccia dietro di essa aveva un chiaro obiettivo di raccogliere informazioni relative ai problemi di sicurezza nazionale dell'Asia nord-orientale. Le e-mail di spear phishing e le esche ben realizzate suggerivano l'azione mirata dell'attore e finalizzata a raccogliere le ultime informazioni. Anche se non è definitivo, l'attore delle minacce dietro BabyShark è stato associato allo stesso gruppo che ha usato la famiglia di malware KimJongRAT, condividendo le risorse impiegate nella campagna STOLEN PENCIL.
BabyShark aveva una catena di infezione a più stadi con controlli tra ogni stadio per garantire che solo gli host mirati siano avanzati allo stadio successivo, prima di essere finalmente segnalati all'attaccante.
Il malware secondario viene consegnato come set:
- un caricatore EXE
- un caricatore DLL
- un carico utile codificato
La funzionalità dei caricatori EXE e DLL è la stessa: l'unica differenza è il tipo di file. Questi caricatori venivano poi eseguiti alla ricezione di un comando di esecuzione: “execute” per invocare il caricatore di tipo EXE o “power com” per lanciare il caricatore di tipo DLL. Per avere due diversi tipi di caricatori era chiara la necessità di ridondanza per caricare il payload in caso di interruzione del software anti-virus.
Gli attacchi maligni che sfruttavano il malware BabyShark hanno ampliato la loro operazione per colpire il settore delle criptovalute. L'implementazione lato server del malware ha mostrato che l'autore ha fatto alcuni sforzi per mantenere la sicurezza operativa per il funzionamento del malware e delle infrastrutture C2. L'attore della minaccia sfruttava altri strumenti sviluppati su misura nelle loro campagne. In questo caso, erano PCRat e KimJongRAT.
Il 7 gennaio 2019, una mail di spear-phishing con un allegato dannoso è stata inviata ai membri del corpo stampa del Ministero dell'Unificazione. Si presumeva da subito che gli autori dietro la mail e il malware fossero il cosiddetto gruppo Kimsuky. Nel frattempo, notevoli segnali indicavano una lista di obiettivi ampliata ad aziende finanziarie e organizzazioni di criptovalute, insieme al settore politico. Poiché la situazione economica della Corea del Nord continuava a deteriorarsi a causa delle sanzioni in corso, gli aggressori sembravano mirare a guadagni finanziari oltre all'agenda politica. Kimsuky è stato responsabile di una serie di attacchi recenti che hanno preso di mira aziende e istituzioni sudcoreane:
- gli identici codici shell;
- malware che condividono gli stessi codici e processi operativi;
- e la generazione di identici malware aggiuntivi e identici IP per la connessione allo stesso server C&C.
Oltre a eludere il rilevamento da parte delle soluzioni di sicurezza con file criptati, Kimsuky utilizzava varie tecniche come l'auto-cancellazione e nomi di file variabili per eludere i ricercatori di sicurezza. Tuttavia, c'è un fattore notevole a cui dovremmo prestare attenzione. Kimsuky, dopo aver mostrato tale subdolezza, ha utilizzato le stesse vulnerabilità di Hancom Office e i codici shell utilizzati nei precedenti attacchi del 2014. Ciò rivela che Kimsuky era ben consapevole del fatto che gli obiettivi continuano a utilizzare versioni obsolete di Hancom Office senza applicare gli aggiornamenti di sicurezza di base.
Inchieste
Fuga attraverso il confine: vuole la pace, ripudia la guerra e dice addio all’Ucraina.
Tempo di lettura: 4 minuti. Nonostante le difficoltà, l’autore di un post su Facebook è riuscito a superare il confine nuotando attraverso il fiume Dnestr, dimostrando che con determinazione e coraggio, è possibile affrontare e superare anche le sfide più difficili.

Tempo di lettura: 4 minuti.
La situazione in Ucraina è critica, e per molti, la decisione di lasciare il paese è l'unica opzione rimasta per preservare la propria sicurezza e benessere. Nonostante le difficoltà e i rischi, attraversare il fiume Dnestr a nuoto è un metodo che alcuni stanno adottando nella speranza di trovare sicurezza e stabilità altrove. C'è chi ha avuto il coraggio di rischiare la vita ed ha pubblicato un post su Facebook una volta arrivato senza comunicarlo ad amici o parenti sia perché non voleva dare ulteriori preoccupazioni, sia perché c'è tanta paura in Ucraina tra la popolazione maschile intrappolata da un divieto di legge marziale ed un esercito motivato ed autorizzato ad usare il pugno duro pur di far rispettare le regole nel paese.
Una foto dall'Ucraina che dimostra la necessità di carne da cannone
Una fonte sul posto, impaurita di essere chiamata a combattere, ci ha inviato una foto inequivocabile dalla parte occidentale dell'Ucraina dove c'è un manifesto pubblicitario stradale del battaglione Azov sempre più decimato dalle perdite sul campo di battaglia e sempre più collegato a rituali di origine celtica che ricordano l'appoggio storico degli ucraini al nazismo, all'olocausto ed allo spirito antisovietico.

Il post su Facebook della fuga dalla guerra
“È tempo di decisioni difficili. Negli ultimi diciotto mesi, l'idea di lasciare il paese è stata una costante riflessione, sperando che la situazione in Ucraina migliorasse. Tuttavia, con l'arrivo del 2023, le speranze di pace iniziano a svanire, e l'estate ha confermato che il conflitto militare durerà per anni”.
La decisione di partire
Vivere in condizioni di emergenza militare, sotto bombardamenti e con un coprifuoco, ha un impatto significativo sulla psiche. In tale situazione, è difficile vivere a lungo. Di conseguenza, è maturata la decisione di lasciare l'Ucraina, probabilmente per molti anni.
La fuga attraverso il fiume Dnestr

A causa del divieto di uscita per gli uomini sotto i 60 anni, l'unico modo per lasciare il paese è attraversare illegalmente il confine. La decisione è stata quella di attraversare il fiume di confine Dnestr a nuoto, una missione riuscita con successo.
Il viaggio
Dopo essere arrivato il più vicino possibile al confine con i mezzi pubblici, un taxi è stato preso per raggiungere un'area remota, seguita da una camminata verso e lungo la riva. Poi, semplicemente, si è entrati in acqua e si è nuotato attraverso, completamente vestiti e senza alcun bagaglio.
La traversata del Dnestr
Nonostante il successo, nuotare attraverso il fiume non è facile e c'è il rischio di annegamento. Questo metodo di attraversamento del confine è imprevedibile e rischioso, motivo per cui molti preferiscono attraversare campi o foreste. Il Dnestr è un fiume abbastanza largo, circa 200 metri, e in quel luogo, il passaggio è ostacolato da numerose alghe, che si estendono dal fondo fino alla superficie dell'acqua. Queste alghe avvolgono braccia, gambe e corpo, rendendo difficile avanzare rapidamente. Nel mezzo del fiume, l'acqua è libera dalle alghe, ma c'è una forte corrente che spinge lateralmente. Nuotare in queste condizioni, vestiti e con un sacchetto di documenti, soldi e telefono in mano, è una sfida. L'acqua a settembre è fredda, ma sopportabile.
Il rischio di annegamento
Il rischio di annegamento è alto, soprattutto per coloro che non sanno nuotare bene o sono fisicamente deboli. Non c'è nessuno a prestare soccorso in caso di problemi, e bisogna fare affidamento completamente sulle proprie forze. Durante la traversata, l'autore si ferma per un momento, guardando indietro verso l'Ucraina e realizzando di trovarsi esattamente a metà strada tra guerra e pace, morte e vita, sventura e felicità. Questa realizzazione gli dà la forza di continuare a nuotare verso la salvezza.
L'arrivo in Moldavia
Una volta raggiunta la Moldavia, l'autore emerge dall'acqua inosservato, accolti solo dalle mucche al pascolo. Dopo essersi riposato tra i cespugli, prosegue a piedi verso un villaggio vicino, con i vestiti che si asciugano direttamente sul corpo.
La decisione di andare da solo e in silenzio
L'autore ha deciso di attraversare il confine da solo, senza l'aiuto di guide o l'acquisto di documenti falsi, nonostante i rischi e le difficoltà. Ha pianificato il viaggio studiando la zona su mappe e immagini satellitari, e ha organizzato la logistica per raggiungere il luogo di attraversamento e uscire dalla Moldavia. Non ha informato nessuno dei suoi piani, per evitare di far preoccupare amici e familiari. Solo una volta raggiunto l'altro lato del fiume, ha contattato i suoi cari per informarli del suo successo.
Il cammino continua
Dopo aver attraversato il villaggio a piedi, l'autore si dirige verso la strada principale. Fortunatamente, il sole moldavo lo asciuga durante il tragitto. Senza denaro moldavo per l'autobus, fa autostop. Un contadino locale lo porta silenziosamente più vicino alla strada principale senza fare domande.
Incontro con un pensionato moldavo
Sulla strada principale, un tipico pensionato moldavo lo raccoglie, credendolo un locale. Durante il viaggio, il pensionato lamenta il governo, la presidente Sandu, e l'ingiustizia economica, specialmente il costo elevato per l'ispezione del suo vecchio veicolo. L'autore ascolta in silenzio, riflettendo sulla relativa banalità di questi problemi rispetto a quelli lasciati alle spalle in Ucraina. Arrivato nella prima città lungo la strada, l'autore cambia i suoi soldi ucraini in lei moldavi. Acquista una nuova maglietta, del pane e beve un litro d'acqua, godendo la semplicità di questi piaceri dopo il suo viaggio senza cibo o acqua. Continua il suo viaggio verso la capitale, Chișinău, riflettendo sulla sua rinascita simbolica attraverso la traversata del fiume. L'autore conclude riconoscendo l'incertezza del futuro. Non ha piani a lungo termine o una destinazione fissa, ma è contento di aver fatto il primo passo verso una nuova vita di pace.
“Tra autostop e riflessioni, l'autore prosegue il suo viaggio in Moldavia, accogliendo la nuova vita con speranza nonostante l'incertezza del futuro.”
Inchieste
La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19
Tempo di lettura: 2 minuti. La CIA e NewsGuard sotto accusa: nuove rivelazioni sollevano dubbi sulla narrazione ufficiale dell’origine del COVID-19.

Tempo di lettura: 2 minuti.
In una recente rivelazione che potrebbe gettare nuova luce sull'origine della pandemia di COVID-19, un alto ufficiale della CIA ha accusato l'agenzia di aver tentato di manipolare le testimonianze di alcuni analisti per sostenere la teoria della trasmissione del virus dagli animali agli esseri umani, piuttosto che dalla fuga da un laboratorio a Wuhan, in Cina. Questa accusa, riportata dal New York Post, è stata confermata da una lettera inviata al direttore della CIA, William Burns, e ha sollevato nuove domande sulla credibilità delle informazioni fornite dall'agenzia.
Il ruolo di NewsGuard
In questo contesto, è importante sottolineare il ruolo svolto da NewsGuard, una società che si occupa di monitorare e valutare la veridicità delle notizie pubblicate online. Secondo una inchiesta condotta da Matrice Digitale, NewsGuard ha avuto un ruolo significativo nell'avallare la narrazione ufficiale sull'origine del virus, etichettando come false le notizie che sostenevano la teoria della creazione artificiale del virus nei laboratori di Wuhan.
Critiche e controversie
La redazione di Matrice Digitale ha criticato aspramente l'approccio di NewsGuard, accusandola di aver creato una lista di proscrizione delle testate giornalistiche che diffondevano notizie contrarie alla narrazione ufficiale, e di aver ignorato altre informazioni false e fuorvianti circolate in merito alla pandemia. Questa situazione ha sollevato gravi preoccupazioni riguardo alla libertà di espressione e al diritto all'informazione, con Matrice Digitale che sottolinea la necessità di una maggiore trasparenza e responsabilità da parte delle agenzie di controllo delle notizie.
Questioni politiche e di credibilità
L'inchiesta di Matrice Digitale mette in luce anche le divergenze tra le narrazioni politiche negli Stati Uniti riguardo all'origine del virus, con il Partito Democratico che sostiene la teoria della trasmissione zoonotica, mentre il Partito Repubblicano sospetta una creazione artificiale del virus nei laboratori di Wuhan. In questo scenario, la credibilità di NewsGuard viene messa in discussione, con accuse di favoritismo politico e mancanza di obiettività nella valutazione delle notizie.
In conclusione, le recenti rivelazioni sulla possibile manipolazione delle informazioni da parte della CIA, insieme alle critiche mosse a NewsGuard, sollevano seri dubbi sulla veridicità delle informazioni circolate finora riguardo all'origine del COVID-19. È evidente che la questione richiede ulteriori indagini e una maggiore trasparenza da parte delle agenzie coinvolte. Prima della CIA, anche dall'FBI erano giunte indiscrezioni sull'origine artificiale del virus.
Inchieste
Vinted, come ottenere merce e rimborso: “il tuo capo è falso”
Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite online e la necessità di maggiore protezione per gli utenti.

Tempo di lettura: 2 minuti.
Le truffe online sono in aumento, e le piattaforme di vendita tra privati come Vinted diventano spesso il terreno di gioco per chi cerca di ingannare. Una lettrice ha deciso di condividere con noi la sua esperienza, sperando di mettere in guardia altri utenti e partecipando attivamente allo spirito di collaborazione che Matrice Digitale ha nei confronti dei lettori e della Pubblica Autorità.
La truffa in dettaglio

Dopo aver messo in vendita una sciarpa autentica di Louis Vuitton, la nostra lettrice ha inviato l'articolo a un'acquirente in Francia. Nonostante avesse fornito prove fotografiche dell'autenticità, l'acquirente ha sostenuto che l'articolo fosse falso, ottenendo un rimborso e trattenendo la sciarpa. La foto dell'acquirente sia da monito per evitare di vendere merce senza ottenere soldi e reso.
La piattaforma Vinted e la sua risposta

Nonostante i numerosi tentativi di contatto, Vinted ha risposto una sola volta, sottolineando la sua politica contro la vendita di falsi. Successivamente, ogni tentativo di comunicazione è stato ignorato, e l'acquirente ha bloccato la nostra lettrice che continua a mandare tre messaggi al giorno di media all'assistenza dell'azienda intermediaria già nota per essere terreno fertile di truffe ai danni di compratori e venditori onesti.
Un modus operandi diffuso
La ricerca online ha rivelato che molti altri utenti hanno subito truffe simili su Vinted. Dichiarare un prodotto come “falso” sembra essere una tattica comune tra i truffatori. Sia chiaro, il lettore non prenda questa strategia come consiglio, ma duole segnalare che è un dato di fatto. Un capo rotto è stato anche oggetto di un'altra truffa simile già raccontata dalla redazione.
L'inerzia delle autorità
La vittima ha cercato aiuto presso la Polizia Postale e la Guardia di Finanza. Tuttavia, le mani delle autorità erano legate a causa della residenza estera sia di Vinted che dell'acquirente.
Il prezzo della giustizia
La nostra lettrice ha valutato anche una opzione legale, ma i costi proibitivi di una causa internazionale hanno reso questa strada impraticabile. Lo stesso motivo che ha fatto desistere Matrice Digitale dal fare una causa a Google dopo l'ingiustificato ban del suo canale YouTube
Riflessioni finali
Questa testimonianza evidenzia la necessità per le piattaforme come Vinted di adottare misure più rigorose per proteggere i propri utenti. Nel frattempo, è fondamentale che gli utenti siano sempre vigili e informati quando operano online: il passa parola non sulle abitudini da osservare, bensì sulle truffe del momento, è fondamentale per anticipare le mosse dei criminali. Ecco tutte le inchieste su Vinted realizzate da Matrice Digitale: i prossimi potreste essere voi.
- Editoriali3 settimane fa
Vannacci è diventato ricco grazie alle armi spuntate del Mainstream
- L'Altra Bolla2 settimane fa
Elon Musk e X Corp. contro lo stato della California sulla legge AB 587
- Editoriali2 settimane fa
Zelensky fa uso di cocaina? I dubbi e le paure su un alleato “tossico”
- L'Altra Bolla3 settimane fa
Corte d’appello USA: Governo Biden e l’FBI hanno viziato le opinioni social
- L'Altra Bolla3 settimane fa
YouTube sperimenta pulsante “Iscriviti” luminoso
- L'Altra Bolla2 settimane fa
YouTube e l’intelligenza artificiale insieme per la creatività pubblicitaria
- Inchieste1 settimana fa
La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19
- Tech2 settimane fa
Google Pixel 8: le novità che fanno crescere l’attesa