Connect with us
speciale truffe online

segnalaci un sito truffa

Inchieste

Lazarus, 2019: da TrickBot Anchor al ritorno di AppleJeus. La guerra cibernetica nord coreana ha fruttato 2 miliardi

Pubblicato

il

lazarus
Condividi questo contenuto
Tempo di lettura: 9 minuti.

L’anno 2019 è stato prolifico per il gruppo Lazarus che ha iniziato la sua attività militare con una campagna condotta con l’intenzione di rubare segreti militari e commerciali ad una società di difesa israeliana che ha scoperto la campagna il 7 marzo 2019.

Secondo Clearsky, l’azienda era fornitrice di prodotti utilizzati nell’industria militare e aerospaziale ed è stata scoperta da un dipendente che aveva ricevuto una mail di un collega in lingua ebraica poco corretta, in cui gli hacker hanno impiantato il malware maligno Rising Sun backdoor per lanciare l’attacco. Per questo, il gruppo Lazarus ha sfruttato una vulnerabilità – CVE-2018-20250 – nel software di archiviazione file WinRAR non aggiornato. L’analisi del codice sorgente mostrava che il malware era in grado di bypassare le protezioni di filtraggio delle e-mail.

Nel marzo 2019 si è registrato un nuovo attacco informatico sulla scia dell’operazione Apple Jeus che ha portato alla compromissione dei sistemi Mac grazie ad un prodotto non solo sofisticato, ma anche capace di innovarsi e di disperdere le proprie tracce. Sono stati identificati cambiamenti significativi alla metodologia di attacco del gruppo, nel caso degli utenti macOS, il gruppo Lazarus ha sviluppato un malware per la piattaforma autoprodotto, al quale ha aggiunto un meccanismo di autenticazione per consegnare il payload della fase successiva con molta attenzione perché riusciva a caricare l’agente infettivo della fase seguente senza toccare il disco. Inoltre, per attaccare gli utenti di Windows, hanno elaborato una procedura di infezione a più stadi e cambiato significativamente il payload finale. Dopo il rilascio di Operation AppleJeus, il gruppo, ha impiegato una serie di metodi per evitare di essere rilevato ed ha continuato a utilizzare un modus operandi simile per compromettere le imprese di criptovaluta reiterando azioni mirate per procurare fondi al Governo e l’attore ha:

  • usato GitHub per ospitare le sue applicazioni dannose.
  • ha usato Object-C invece del framework QT nel suo malware per macOS.
  • ha implementato nel malware una semplice funzione backdoor nell’eseguibile di macOS.
  • ha cifrato/decifrato nel malware con una chiave XOR a 16 byte (X,%`PMk-Jj8s+6=) simile al caso precedente.
  • nella versione Windows del malware ha utilizzato ADVobfuscator, un offuscatore di tempo compilato, al fine di nascondere il suo codice.

È stato identificato un altro attacco mirato a macOS con l’applicazione dannosa UnionCryptoTrader.

Il blog di Objective-See ha spiegato la funzionalità del malware, riassumendo l’attacco:

  • Lo script post-installazione è identico a quello utilizzato nel caso JMTTrading.
  • L’autore del malware ha usato SWIFT per sviluppare questo malware per macOS.
  • L’autore del malware ha cambiato il metodo di raccolta delle informazioni dal sistema infetto.
  • Il malware inizia a condurre l’autenticazione utilizzando i parametri auth_signature e auth_timestamp al fine di consegnare il payload del secondo stadio con più attenzione. Il malware acquisisce l’ora corrente del sistema e la combina con la stringa hardcoded “12GWAPCT1F0I1S14”, e produce un hash MD5 della stringa combinata. Questo hash è usato come valore del parametro auth_signature e l’ora corrente è usata come valore del parametro auth_timestamp. L’operatore malware può riprodurre il valore auth_signature sulla base del auth_timestamp sul lato server C2.
  • Il malware carica il payload dello stadio successivo senza toccare il disco.

Le vittime sono state registrate nel Regno Unito, Polonia, Russia e Cina e molte erano legate a entità commerciali di criptovaluta.

Nell’aprile del 2019 è emerso uno spyware del gruppo in grado di connettersi in modo sicuro a un server di controllo e caricare file rubati dalla macchina infetta. Conosciuto come Hoplight”, il malware era una raccolta di nove file, anche se la maggior parte di questi sono stati progettati per funzionare come strati di offuscamento per mantenere quanto più a lungo la persistenza dai controlli degli amministratori e del software di sicurezza utilizzato per individuare l’attacco.

“Sette di questi file sono applicazioni proxy che mascherano il traffico tra il malware e gli operatori remoti”, ha detto US-Cert nel suo report“I proxy hanno la capacità di generare false sessioni TLS handshake utilizzando certificati SSL pubblici validi, mascherando le connessioni di rete con attori maligni remoti”.

Sotto questi sette livelli di proxy, Hoplight usava il suo certificato SSL valido per creare la connessione sicura, poi un ultimo nono file cercava di creare una connessione in uscita al server di controllo per trasmettere le informazioni rubate. Il certificato sembra essere un certificato SSL pubblico di Naver, un motore di ricerca e fornitore di servizi coreano.

All’interno del pacchetto di file, secondo US-Cert, il pacchetto malware era in grado di eseguire una serie di attività di controllo remoto e spyware. Questo includeva la capacità di leggere e scrivere file locali, creare, terminare o modificare i processi in esecuzione e le impostazioni del registro di sistema, e connettersi a un host remoto per caricare e scaricare file.

Il gruppo ha tipicamente utilizzato tecniche di spear-phishing per ottenere l’installazione del suo malware su obiettivi stranieri.

Nel maggio del 2019 il Department of Homeland Security (DHS) ha sviluppato un rapporto di tipo “Malware Analysis Report (MAR)” scaturito dagli sforzi analitici del DHS e del Federal Bureau of Investigation (FBI). Lavorando con i partner del governo degli Stati Uniti, DHS e FBI hanno identificato una variante di malware utilizzata dal governo nordcoreano identificato come ELECTRICFISH.

L’analisi riguardava un file eseguibile maligno per Windows 32bit che implementava un protocollo personalizzato che consentiva di creare un tunnel per il traffico tra un indirizzo IP sorgente e uno di destinazione. Il malware tentava continuamente di raggiungere la fonte e il sistema di designazione, il che permetteva a entrambe le parti di avviare una sessione di tunneling, grazie alla capacità del malware di essere configurato con un server/port proxy e un nome utente e una password proxy.
Questa caratteristica permetteva la connettività a un sistema che si trovava all’interno di un server proxy, che a sua volta consentiva all’attore di bypassare l’autenticazione richiesta dal sistema compromesso per raggiungere l’esterno della rete.

Nello stesso mese emergeva la scoperta di una intercettazione dei pagamenti online degli acquirenti americani ed europei mostrata da Sansec. Lazarus è irrotta nei negozi online di grandi rivenditori statunitensi ed ha piantato skimmer di pagamento già nel maggio 2019.  In precedenza, l’attività di hacking nordcoreana era per lo più limitata alle banche e ai mercati di criptovalute, operazioni informatiche segrete che hanno fruttato ai militari parastatali 2 miliardi di dollari, secondo un rapporto delle Nazioni Unite del 2019. Come ha mostrato la nuova ricerca di Sansec, ora hanno esteso il loro portafoglio con il redditizio crimine dello skimming digitale.

Lo skimming digitale, noto anche come Magecart, è l’intercettazione delle carte di credito durante gli acquisti nei negozi online. Questo tipo di frode è cresciuta dal 2015 ed era tradizionalmente dominato da gruppi di hacker di lingua russa e indonesiana fino all’arrivo dei nordcoreani.

Per intercettare le transazioni, un attaccante deve modificare il codice del computer che gestisce un negozio online. HIDDEN COBRA è riuscito a ottenere l’accesso al codice del negozio di grandi rivenditori come la catena internazionale di moda Claire’s. Pare che HIDDEN COBRA abbia ottenuto l’accesso usando attacchi di spearphishing per ottenere le password del personale dei negozi.

  • Usando l’accesso non autorizzato, HIDDEN COBRA iniettava il suo script maligno nella pagina di checkout del negozio.
  • Lo skimmer aspettava la pressione dei tasti dei clienti ignari.
  • Una volta che il cliente completa la transazione, i dati intercettati come i numeri delle carte di credito vengono inviati a un server di raccolta controllato da HIDDEN COBRA.

Curiosamente, HIDDEN COBRA ha usato i siti di un’agenzia di modelle italiana e di un negozio di musica vintage di Teheran per eseguire la sua campagna globale di skimming.

Per monetizzare le operazioni di skimming, HIDDEN COBRA ha sviluppato una rete globale di esfiltrazione. Questa rete utilizzava siti legittimi, che sono stati dirottati e riproposti per servire come travestimento per l’attività criminale. La rete veniva anche utilizzata per incanalare i beni rubati in modo che potevano essere venduti sui mercati del dark web. Sansec ha identificato una serie di questi nodi di esfiltrazione, che includono un’agenzia di modelle di Milano, un negozio di musica vintage di Teheran e un negozio di libri a conduzione familiare del New Jersey.

Nei mesi successivi, Sansec ha scoperto lo stesso malware su diverse decine di negozi. Ogni volta, usavano uno di questi siti dirottati come caricatore e raccoglitore di carte:

  • stefanoturco.com (tra il 2019-07-19 e il 2019-08-10)
  • technokain.com (tra il 2019-07-06 e il 2019-07-09)
  • darvishkhan.net (tra il 2019-05-30 e il 2019-11-26)
  • areac-agr.com (tra il 2019-05-30 e il 2020-05-01)
  • luxmodelagency.com (tra il 2019-06-23 e il 20

Alla fine del 2018 è stata scoperta una serie di attacchi mirati contro aziende aerospaziali e militari in Europa e nel Medio Oriente. In seguito alla scoperta, gli attacchi sono stati soprannominati Operation In(ter)ception sulla base di un campione di malware correlato chiamato “Inception.dll“, hanno avuto luogo da settembre a dicembre 2019. Erano altamente mirati e si basavano sull’ingegneria sociale tramite LinkedIn e su un malware personalizzato e multistadio. Per operare sotto i radar, gli aggressori hanno spesso ricompilato il loro malware, abusando delle utility native di Windows e impersonato software e aziende legittime con un malware personalizzato utilizzato nell’Operazione In(ter)ception non precedentemente documentato.

L’obiettivo primario dell’operazione era lo spionaggio. Tuttavia, in uno dei casi indagati, gli aggressori hanno cercato di monetizzare l’accesso all’account e-mail di una vittima attraverso un attacco BEC (business email compromise) come fase finale dell’operazione.

Nonostante ci siano forti prove che collegano gli attacchi a un noto attore di minacce, si sono scoperti diversi indizi che suggeriscono un possibile collegamento al gruppo Lazarus, comprese le somiglianze nel targeting, ambiente di sviluppo e tecniche anti-analisi utilizzate.

Gli attacchi di Operation In(ter)ception sono progrediti attraverso diverse fasi:

Gli aggressori hanno utilizzato LinkedIn per prendere di mira i dipendenti delle aziende scelte. Per agganciarli, hanno contattato gli obiettivi con offerte di lavoro fittizie utilizzando la funzione di messaggistica LinkedIn. Per apparire credibili, gli aggressori si sono spacciati per rappresentanti di note aziende esistenti nel settore aerospaziale e della industria della difesa. Per ciascuna delle aziende prese di mira su cui abbiamo indagato, gli aggressori avevano creato un falso account LinkedIn separato uno che impersonava un manager delle risorse umane della Collins Aerospace, l’altro si spacciava per un rappresentante delle risorse umane di General Dynamics, un’altra grande azienda statunitense con un obiettivo simile.

Il 25 ottobre 2019, un file ELF sospetto (80c0efb9e129f7f9b05a783df6959812) è stato segnalato dal nostro sistema di monitoraggio delle minacce sviluppato da Netlab. A prima vista, sembrava essere solo un’altra delle normali botnet, ma presto ci si è resi conto che si trattava di qualcosa con un potenziale collegamento al Lazarus Group. Al momento, si riscontravano esempi di attacchi e casi di Lazarus Group contro la piattaforma Linux e l’analisi mostrava che questo programma completamente funzionale, nascosto e RAT, era rivolto a piattaforme Windows e Linux e condivideva alcuni caratteri chiave utilizzati da Lazarus Group.

Dacls è stato al tempo un nuovo tipo di software di controllo remoto destinato sia all’ambiente Windows che Linux. Le sue funzioni sono modulari, il protocollo C2 utilizzava la crittografia a doppio strato TLS e RC4, il file di configurazione utilizzava la crittografia AES e supportava l’aggiornamento dinamico delle istruzioni C2. Il modulo plug-in Win32.Dacls veniva caricato dinamicamente tramite un URL remoto e la versione Linux del plug-in viene compilata direttamente nel programma Bot.

Sono stati trovati una serie di campioni su un server di download sospetto http://www.areac-agr.com/cms/wp-content/uploads/2015/12/, inclusi Win32.Dacls, Linux.Dacls, il programma open source Socat e un asset di lavoro per Confluence CVE-2019-3396. Si è ipotizzato che il Lazarus Group abbia utilizzato la vulnerabilità di N-day CVE-2019-3396 per diffondere il programma Dacls Bot.

  • MD5 (check.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 Payload
  • MD5 (hdata.dat) = 982bf527b9fe16205fea606d1beed7fa //Collezione registro
  • MD5 (ldata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot
  • MD5 (mdata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot
  • MD5 (r.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 carico utile
  • MD5 (rdata.dat) = bea49839390e4f1eb3cb38d0fcaf897e //bot di Windows Dacls
  • MD5 (sdata.dat) = e883bf5fd22eb6237eb84d80bbcf2ac9 //Socat open source

Le funzioni principali di Linux.Dacls Bot includevano:

  • esecuzione dei comandi
  • gestione dei file
  • gestione dei processi
  • test di accesso alla rete
  • agente di connessione C2
  • modulo di scansione della rete.

Dopo l’avvio di Linux.Dacls, il bot veniva eseguito in modalità demone in background ed utilizzava i parametri di avvio /pro, il file PID del bot, /var/run/init.pid e il nome del processo del bot /proc/<pid> /cmdlineper distinguere diversi ambienti operativi ed il sospetto che potesse essere utilizzato per gli aggiornamenti del programma Bot era più che fondato.

Nel 2019, l’automazione, la decentralizzazione e l’integrazione hanno permesso a TrickBot di introdurre un modello che cambiava il gioco visto nel triennio 2016-2018. Il domain controller ha permesso la raccolta automatica di informazioni di rete e il movimento laterale automatizzato all’interno delle reti, per non parlare del processo completamente automatizzato di raccolta delle credenziali. La capacità di integrare diversi segmenti del crimine informatico ha permesso di eseguire sofisticate operazioni di frode bancaria per il riciclaggio di denaro, attivarsi in operazione ransomware e mettere in atto frodi fiscali. La decentralizzazione ha creato un modello di business flessibile, dove TrickBot ha offerto strumenti di attacco a fornitori controllati ed ha utilizzato gli strumenti di altri per aumentare l’infettività. Nel confondere le linee tra violazioni, furto di dati, ransomware e frode informatica, il gruppo ha quasi raggiunto l’apice, e quasi unito i territori del cybercrimine. Tuttavia, c’era un’ultima sfida che separava TrickBot dalla perfezione: le APT. Ed è accaduto grazie a Anchor, il cui modus operandi ha avuto attacchi mirati a reti estremamente sicure, rimanendo persistenti, non rilevabili per lunghi periodi e lo spionaggio separa dal crimeware e dai TrickBot che sono generalmente distribuiti solo per guadagno monetario. Questo è il motivo per cui era altamente improbabile che TrickBot tentasse di integrare le APT nelle loro operazioni. Fino alla scoperta di un nuovo progetto derivato da TrickBot chiamato “Anchor“: un quadro di strumenti che permetteva agli attori potenziali clienti di TrickBot di essere sfruttato contro vittime di maggiore profilo. Alcuni dei “pezzi” trovati di Anchor erano composti da diversi segmenti e ciascuno con una funzione specifica:

  • anchorInstaller
  • anchorDeInstaller
  • AnchorBot
  • Bin2hex
  • psExecutor
  • memoryScraper

La struttura era progettata per caricare segretamente il malware e pulire tutte le prove dell’attacco. Tuttavia, l’obiettivo finale di questa innovazione non è chiaro finché non sono stati analizzati altri moduli. Guardando qualsiasi modulo di TrickBot possiamo capire chiaramente il suo scopo. Ma quando si tratta di Anchor vediamo una combinazione di funzionalità, strumenti e metodi. Ciò che è fuori discussione, tuttavia, è la sofisticazione di questa tecnologia che include una metodologia integrata di caricamento di tali framework Metasploit, Cobalt Strike, TerraLoader, e PowerShell Empire per eseguire ulteriori vittime post-exploitation.

Il progetto Anchor combina una collezione di strumenti: da quello di installazione iniziale alla pulizia destinata a cancellare l’esistenza di malware sulla macchina della vittima. In altre parole, Anchor si presenta come una struttura di attacco all-in-one progettata per compromettere gli ambienti aziendali utilizzando sia strumenti personalizzati che esistenti.

Come descritto in precedenza, i moduli di TrickBot sono basati sul cliente, progettati per le esigenze di una specifica attività criminale. Il progetto Anchor è uno strumento complesso e furtivo per l’estrazione mirata di dati da ambienti sicuri e la persistenza a lungo termine.

Logicamente, lo strumento è stato una opportunità allettante per gruppi di alto profilo, tra cui quelli statali. Tuttavia, Anchor è stato anche utilizzato per grandi rapine informatiche e operazioni di furto di carte di credito nei punti vendita, dove si è sfruttato il suo malware personalizzato di skimming delle carte. Tra i gruppi stato-nazione, solo pochi sono interessati sia alla raccolta di dati sia al guadagno finanziario e uno di loro è Lazarus.

Nell’indagine su Anchor, si è scoperto che lo strumento PowerRatankba è stato precedentemente collegato al presunto gruppo nordcoreano è stato, infatti, utilizzato in Anchor. La prova specifica ha sottolineato che questo toolkit del gruppo Lazarus è stato caricato attraverso il progetto TrickBot Anchor, indicando la relazione ormai smascherata tra gli strumenti attribuiti al gruppo TrickBot “Anchor” e Lazarus.

Commenti da Facebook

Inchieste

Genitore attenzione: Sonic.exe è la nuova tendenza insana di YouTube

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Un gioco del 2013 che imperversa in rete, nato da un racconto horror che distorce la trama dell’antico personaggio della Sega, Sonic, a distanza di anni sta ancora terrorizzando i bambini della rete con la compiacenza degli youtubers.

Sonic.exe non è altro che un remake della versione di uno dei primi giochi del personaggio, tra l’altro in questi giorni al cinema con il secondo film della saga, dove si sono modificati gli scenari di gioco in versione splatter e si vedono personaggi inseguiti da Sonic in modalità “cattivo” che li rincorre e, nel caso vengono catturati, il giocatore perde. Piste colme di sangue, personaggi non solo del gioco, ma anche pagliacci sanguinari, sono la tendenza proposta dagli youtubers nel corso degli ultimi anni e nessuno ancora ha provveduto a gettare nell’oblio contenuti simili dati tutt’oggi in pasto ai bambini.

Nel tempo, il gioco continua ad essere modificato in nuove versioni e sempre più paurose e, nonostante video obsoleti, i bambini si ritrovano questi contenuti su YouTube a causa degli algoritmi che hanno premiato nel tempo i video con più visualizzazioni e più interazioni.

Anche in questo caso è possibile acquistare i pupazzi del gioco e l’audio è stato ampiamente modificato proprio per trasformare il videogame più ambito dai ragazzini degli anni 90 in un terrificante percorso ludico digitale.

Altro gioco a tema è Sonic.EXE Sadness dove il personaggio di Sonic.EXE viaggia in un percorso composto da molti livelli ed ha lo scopo di raccogliere anelli e le anime delle sue vittime, diffondendo tristezza ovunque vada e facendosi strada attraverso quadri pieni di insidie e come sempre sanguinosi.

Nonostante il tempo trascorso, video come questi non solo se rimossi porterebbero un danno a YouTube per le visualizzazioni organiche che si potrebbero perdere nei prossimi anni, ma è anche una opportunità degli stessi creator di guadagnare.

Nell’ambito dei gamer o dei narratori di storie, spesso manca l’originalità ed è in voga lo “scopiazzamento” delle fonti statunitensi che danno vita poi ad eventi virali di questo genere.

A differenza di Huggy Wuggy e Phasmofobia, già trattati in questa inchiesta a puntate, ci sono pochi riferimenti tra dark web e Sonic.exe e questo fa intendere che si tratta di un evento non ancora superato del tutto ed anche in questo caso bisognerebbe tagliarlo dalle piattaforme che contano.

Commenti da Facebook
Prosegui la lettura

Inchieste

Clubhouse, cresce la tensione: “No a liste di proscrizione e pressioni psicologiche”

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Dopo la nostra inchiesta sul mondo italiano di Clubhouse sono giunte in redazione le segnalazioni degli utenti sulle attività messe in piedi dalle “squadre” formatesi in questi mesi.

Nell’universo del social audio più famoso al mondo, ma che vanta meno del 3% di penetrazione nel mercato mondiale e dello 0,00001 italiano, coesistono realtà di confronto amichevole parallelamente a stanze di confronto su dibattiti politici attuali o su vicende storiche importanti che hanno cambiato il corso dei tempi passati.

Secondo le ultime indiscrezioni, ci sono persone che hanno ricevuto pressioni nel non organizzare room con altri utenti, altre, invece, sono accusate di millantare minacce ricevute mai esistite o individuate come artefici di strumentalizzazioni delle clip audio estratte dai dibattiti concitati, agitati molte volte grazie a sodali agenti provocatori, con il fine di delegittimare un ignaro utente con l’infamia del compimento di reati.

Un tritacarne imbastito da un manipolo di gruppi con una strategia certosina che già ha mietuto molte vittime sul social. Gli obiettivi preferiti sembrerebbero essere le donne portatrici di un pensiero conservatore che subiscono attività di gruppo che ricordano il cyberbullismo o addirittura lo squadrismo.

Secondo alcune fonti interpellate dalla redazione, ma anche sbandierate pubblicamente in piattaforma, dalla bolla del social si è finiti ai luoghi di lavoro dove alcuni utenti hanno ricevuto telefonate nelle quali sono stati apostrofati alle orecchie dei propri colleghi, o addirittura superiori, come “fascisti“, “filoputiniani“, “antisemiti” e addirittura “pro life“.

Quanto accaduto non fa altro che confermare il motivo per il quale viene discriminata più una linea di pensiero a differenza di altre e non sorprende che siano le donne a soffrirne per prime. Alcune hanno denunciato di aver avuto stati di ansia e attacchi di panico per giorni, causati dalle vessazioni subite.

Anche per questo motivo è accaduto che, negli ultimi giorni, sono state aperte diverse stanze con il fine di facilitare un confronto utile nel superare questi scontri. Purtroppo però, non si è arrivati a un’intesa perché le intenzioni di alcuni sembrerebbero essere quelle di svolgere attività predatorie finalizzate a spuntarla in un conflitto, “inesistente” secondo molti habituè indignati, invece che preferire una convivenza pacifica basata sul confronto o sull’ignorarsi senza adire ai famigerati blocchi colpevoli di affondare l’audience delle rooms.

Secondo un articolo pubblicato negli States, il fantastico mondo di Clubhouse non esisterebbe in madre patria e, anzi, riporta la presenza di un mal comune globale composto da conflitti, scontri, litigi e ripicche frequenti.

Una delle ragioni centrali è il narcisismo insito in ogni utente del social, ma ecco che, secondo un esperto psicologo interpellato da Matrice Digitale, lo stesso narcisismo ha manifestazioni più o meno estreme.

C’è chi “pompa” il suo ego parlando, anche in modo prolisso, e chi mette in auge strategie di manipolazione delle masse come abbiamo affrontato in precedenza.

Non solo le proprie idee prima di se o degli altri, ma una necessità di prevaricare sulle opinioni altrui che nasce secondo lo psicologo “da una mancanza di amor proprio in primis che rende necessaria l’approvazione di terzi“.

Situazioni presentate come “estreme” agli occhi dell’audience, ma che non ravvisano la necessità, sbandierata quotidianamente nell’ultimo periodo, di far intromettere la Pubblica Autorità nelle beghe social a detta di molti utenti, evidenziano un’altra forma di manipolazione messa in piedi dai narcisisti: il vittimismo.

“Individuarsi agli occhi degli altri come vittima è un modo per catalizzare l’attenzione su di sè” conferma l’esperto “e attecchisce sulle persone che non hanno voglia o modo di andare oltre quello che gli viene raccontato, oppure non sanno gestire l’eventualità di schierarsi al di fuori del gruppo e vivere la solitudine in un confronto. Atri utenti portano la tesi che oltre ai narcisisti c’è un livello superiore composto da persone che amano gestirli dietro le quinte per raggiungere uno scopo diverso: simile a come avviene nel gioco dei bussolotti“.

Chi ha letto quanto scritto più in alto, potrebbe decodificare Clubhouse come un Grande Fratello in chiave vocale ed in effetti è così se pensiamo all’esiguo numero di utenti attivi che da un anno e mezzo ha fatto gruppo, nel bene e nel male, e che vive le stesse beghe quotidiane di un condominio composto da una babele di razze, religioni, opinioni politiche e generi sessuali presenti nel paese italico. A differenza del noto reality, su Clubhouse non è il pubblico a decidere chi viene eliminato e chi resta, ma dinamiche da branco che superano i confini del confronto virtuale con modi e toni non sempre civili e pacifici.

Chiedendo allo psicologo se l’imporre la frequentazione di stanze ad altri utenti fosse una forma di narcisismo, la risposta ha lasciato di stucco i presenti:

“più che narcisismo, povertà d’animo”

Un povertà d’animo che ha fatto “scoppiare” profili dal social con segnalazioni di massa, che ha messo gli utenti sul chi va là quando si tratta di esprimere una opinione personale, insinuando un senso di paura per l’essere etichettati in base alle idee. A differenza degli albori della piattaforma, quando si dibatteva senza la minaccia costante di carte bollate come deterrente in danno alla libertà di espressione individuale, l’aria che si respira nella piattaforma non è serena.

La domanda che sorge spontanea a questo punto è duplice: questi atteggiamenti fanno bene a qualcuno che ha scopi commerciali precisi oppure sono frutto di menti malate, sadiche semplicemente povere d’animo?

Da come si è svuotato il social, la risposta sembrerebbe scontata: meglio lasciar perdere per non finire nelle turbe mentali di utenti vittime di loro stessi e delle loro sadiche perversioni.

Commenti da Facebook
Prosegui la lettura

Inchieste

KillNet ed il suo battaglione Legion ostile alla NATO. Intervista esclusiva agli hacker russi che hanno colpito l’Italia

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

L’Italia è precipitata nella guerra cibernetica attesa da tempo con gli attacchi hacker che hanno sconquassato i siti governativi del Ministero della Difesa, che ha smentito, ACI, Iss e molti altri. Ad accendere il dibattito pubblico è stata la paternità dell’attacco. Secondo molti c’è differenza tra KillNet e Legion, ma la redazione li ha contattati per comprendere meglio chi sono coloro che hanno destabilizzato le certezze sulla tenuta informatica di un paese avanzato come l’Italia.

L’intervista è stata realizzata in russo e ci scusiamo per eventuali sbavature nella traduzione e vi anticipiamo che non è stato possibile controbattere alle loro dichiarazioni per motivi tecnici dovuti alla piattaforma Telegram.

Aldilà degli ideali espressi,

su cui la redazione prende fermamente le distanze perchè condanna ogni guerra

scopriamo chi sono, come sono strutturati, se sono legati all’intelligence russa e se continueranno a fare danni in Italia o altrove.

Intanto, l’indiscrezione data da Matrice Digitale sugli attacchi ai media è stata confermata dalla stessa Legion con un commento ironico sul profilo Twitter “It’s Biden“.

Esclusiva: Media Italiani sotto attacco dei “ragazzi” di Legion e KillNet

Qual è la differenza tra Killnet e Legion? Dite che siete diversi, ma su Telegram siete connessi.

Sono il fondatore di Killnet, sono il fondatore di Legion. L’ho creato io, ma non voglio controllarlo. Stiamo formando migliaia di persone pronte a combattere la NATO in futuro. Quando Legion sarà formata e avrà un proprio sistema di gestione, li lascerò senza la mia supervisione.

Quando è nato Killnet e qual è il suo scopo?

KILLNET è nato nel 2021. Fin dall’inizio, abbiamo fornito servizi DDOS per le aziende concorrenti. Quando è scoppiata la guerra, abbiamo chiuso il servizio e ci siamo convertiti ad azioni collegato all’estensione dell’Internet nazionale russo.

Quando è nata Legion e a cosa serve?

Lo scopo di Legion è la distruzione della NATO.

Legion è un collettivo indiano noto per essere anti-russo, avete legami con loro o siete un gruppo diverso?

Legion non è un collettivo, ma un’unità speciale. Possiamo definirlo un battaglione che comprende 5 unità di forze speciali. 4 di loro hanno una specifica di attacco DDoS. 1 Squadra è la Squadra di hacking. Come ho già detto, la Legione è un ramo della KILLNET.

Gli Stati Uniti non vi riconoscono come un’entità associata all’intelligence russa. Siete un gruppo finanziariamente motivato, singoli attivisti o ragazzi che amano creare danni “grossi” da queste parti?

Sono una persona comune della Russia. In tutto il tempo in cui abbiamo lavorato, nessuna persona dalla Russia ci ha offerto un aiuto finanziario. Per quanto riguarda le agenzie governative, è sciocco pensare di avere a che fare con loro. Non siamo bambini. Abbiamo un alto profilo di età, ma non siamo alla ricerca di avventure per divertimento. Stiamo creando danni a quei Paesi che stanno motivando questa guerra. Combatteremo la guerra come sappiamo fare con coloro che aiutano i nazisti in Ucraina. Se gli Stati Uniti pensano che siamo dei bambini, vi dico che ho mandato gli Stati Uniti a quel paese. Stiamo preparando una grande sorpresa per loro.

Secondo alcune ricerche effettuate, sembra che stiate utilizzando un servizio DDoS simile alla botnet Mirai, secondo alcuni rapporti si tratta di Mirai. Cosa c’è di vero in queste due riflessioni?

Prima di tutto, coloro che fanno ricerche sui nostri attacchi sono idioti e pagliacci. La botnet Mirai e la Mirai Squad sono la stessa cosa. Ma si tratta di una Squadra di 5, Killnet non fa parte di queste squadre. Che tipo di alimentazione utilizza KILLNET? A questa domanda risponderanno 500.000 computer negli Stati Uniti.

DdoS è l’unica cosa che sapete fare?

Al momento stiamo sviluppando l’infrastruttura informatica del nostro movimento. Le nostre competenze non si limitano agli attacchi ddos. È il più semplice. La mia azione preferita contro i nemici sono i cryptolocker, le iniezioni e altro ancora. Al momento abbiamo oltre 30 tipi di specifiche.

Quanto è stato difficile entrare in Italia? Quali erano gli obiettivi del Paese per cui vi siete candidati e quali no?

Non ci sono difficoltà ad entrare in nessun Paese. C’è una difficoltà solo nel comprendere l’atteggiamento dello Stato nei confronti del nazismo. È per questo che facciamo ricerca. Se si intende “L’Italia ha una buona protezione per i suoi server?” no, non ce l’ha. La vostra infrastruttura di rete presenta enormi lacune. Se volessimo attaccare i vostri ISP, Internet cesserebbe semplicemente di esistere. Ma non siamo vandali e non siamo contro la gente comune. Siamo contro il governo nazista!

Sostenete la propaganda russa? Se sì, perché?

Amo il mio paese! Il mio Paese non ha propaganda, il mio Paese ha solo un obiettivo: distruggere i nazisti in Ucraina. I vostri Paesi sono pieni di propaganda statunitense. Sono loro i vostri veri nemici, ma non la Russia. Lo capirete presto!

Come considerate la scelta di Anonymous nello scendere in campo in favore dell’Ucraina?

Non lo considero un nemico. Coloro che dicono di essere anonimi e parlano contro il popolo russo non sono veri hacker. Sono chiaramente propagandisti provenienti dall’Ucraina. Anonymous non sosterrà mai in vita sua il governo degli Stati Uniti. Anonymous non minaccerà mai le persone.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie13 ore fa

Guerra Cibernetica: l’Ucraina ha una rete di attacchi DDoS automatici

Tempo di lettura: 2 minuti. Condividi questo contenutoL’esercito non ufficiale di vigilantes informatici dell’Ucraina ha sviluppato un nuovo strumento di...

Notizie22 ore fa

C’è censura nella guerra cibernetica occidentale? Altra conferma USA all’analisi di Matrice Digitale

Tempo di lettura: 5 minuti. Condividi questo contenutoSi pubblica un articolo dell’European Leadership Network tradotto dalla redazione dove non solo...

Notizie1 giorno fa

Killnet attacchi DDoS a siti aeroporti e Ministero Difesa

Tempo di lettura: < 1 minuto. Accusa ai media italiani per diffondere notizie false

Notizie2 giorni fa

Giustozzi a Repubblica conferma le analisi di Matrice Digitale su Killnet e la fuffa

Tempo di lettura: < 1 minuto. Basterà a cambiare la narrazione propagandistica sulla guerra cibernetica

Multilingua2 giorni fa

Killnet: “DDoS all’Italia”. Polizia Postale “contiene” attacchi informatici

Tempo di lettura: < 1 minuto. Condividi questo contenutoKillnet aveva annunciato un attacco hacker a vari portali istituzionali italiani e così...

DeFi3 giorni fa

Costa Rica messa in ginocchio da Conti. Preoccupazione per i fondi USA del paese

Tempo di lettura: 2 minuti. Condividi questo contenutoIl numero di istituzioni costaricane colpite da un’ondata di attacchi informatici nell’ultimo mese...

Notizie4 giorni fa

Finlandia e Svezia nella NATO: paura per escalation di attacchi cibernetici

Tempo di lettura: 3 minuti. Condividi questo contenutoL’adesione di Finlandia e Svezia alla NATO ha sollevato preoccupazioni per le potenziali...

Notizie5 giorni fa

Pegasus, Johnson è stato intercettato dagli Emirati

Tempo di lettura: < 1 minuto. Condividi questo contenutoUn’importante indagine sull’uso del software spia israeliano Pegasus da parte dei governi...

Notizie5 giorni fa

Anonymous attacca Killnet e vendica l’Italia: buttato giù il sito della Polizia di Mosca

Tempo di lettura: 2 minuti. Condividi questo contenutoIl collettivo Anonymous Italia ha vendicato l’attacco alla Polizia da parte di Killnet...

Notizie6 giorni fa

Iran, APT34 attacca la Giordania

Tempo di lettura: 2 minuti. Condividi questo contenutoI ricercatori di Cybersecurity di Malwarebytes hanno dichiarato di aver scoperto un’e-mail dannosa...

Truffe recenti

Notizie2 settimane fa

Truffa Instagram: come funziona lo schema Ponzi di Meta che sta rubando i profili

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni molti utenti sono stati vittime della truffa Instagram. In cosa...

Notizie3 settimane fa

Truffa sms di Poste Italiane. Analisi di un altro caso di phishing

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questo periodo sono frequenti gli sms che propongono messaggi inerenti i servizi...

Notizie3 settimane fa

Truffa su WhatsApp attenzione al finto call center di supporto. Ecco cosa fare

Tempo di lettura: 2 minuti. Condividi questo contenutoGli utenti di WhatsApp devono fare attenzione a un pericoloso messaggio di truffa...

DeFi3 settimane fa

Truffa sulle criptovalute: come evitare di essere la prossima vittima

Tempo di lettura: < 1 minuto. Condividi questo contenutoL’arma migliore per combattere le frodi è una sana dose di scetticismo....

scam scam
DeFi3 settimane fa

Call Center truffa per trading di criptovalute: scam di 22 milioni di dollari

Tempo di lettura: 2 minuti. Condividi questo contenutoEurojust ed Europol hanno smantellato uno schema di frode online per investimenti in...

DeFi4 settimane fa

La truffe sulle criptovalute sono in aumento. Quali sono le più comuni?

Tempo di lettura: 2 minuti. Condividi questo contenutoI truffatori sono maestri nell’usare eventi attuali e tendenze frizzanti per ingannare le...

smishing smishing
Notizie4 settimane fa

Smishing INFOPOSTE: il suo conto verrà sospeso

Tempo di lettura: < 1 minuto. Allarme smishing : In arrivo una nuova ondata di SMS truffa che hanno lo...

Tech4 settimane fa

Crescono le truffe su Instagram: cosa fare e come prevenire il furto degli account

Tempo di lettura: 2 minuti. Condividi questo contenutoGli esperti di sicurezza hanno avvertito miliardi di utenti di Instagram che i...

DeFi4 settimane fa

Metamask, Attenzione alla truffa su Apple. A rischio i portafogli di criptovalute

Tempo di lettura: 2 minuti. Condividi questo contenutoRecentemente sono state registrate molte truffe e schemi di phishing che circondano gli...

Inchieste3 mesi fa

Vinted: attenti alla truffa che chiede di confermare i dati della carta di credito

Tempo di lettura: 2 minuti. Condividi questo contenutoTramite il nostro form di segnalazione delle truffe, abbiamo ricevuto la denuncia di...

Tendenza