Connect with us

Inchieste

Nord Corea 2018: La guerra cibernetica di Lazarus tra Mata Framework, Bankshot, e furti di criptovalute.

Pubblicato

il

lazarus
Condividi questo contenuto
Tempo di lettura: 10 minuti.

Il 2018 è stato l’anno di una serie di attacchi a catena che hanno contraddistinto il gruppo Lazarus nello scenario internazionale come minaccia attiva e persistente.

Lazarus, come visto in precedenza, ha lo scopo primario di fornire approvvigionamenti al governo nord coreano e verso fine 2017 si è reso protagonista di una serie di attacchi ai mercati di criptovalute ed ad alcuni istituti di credito. La linea seguita nel 2018 è stata sicuramente più aggressiva in tal senso.

Linkedin: l’oceano da cui pescare vittime

Nel Febbraio 2018 una indagine di F-Secure ha rivelato che un amministratore di sistema di un’organizzazione bersaglio ha ricevuto un documento di phishing attraverso il suo account personale di LinkedIn. Il documento era mascherato da un annuncio di lavoro per un ruolo in una società di tecnologia blockchain che corrispondeva alle competenze del dipendente. Più tardi, nel 2019, sempre F-Secure ha scoperto dettagli tecnici sul modus operandi di Lazarus Group durante un’indagine su un attacco a una realtà dedita al commercio di criptovalute, collegato a una campagna di phishing globale più ampia, partita nel 2017, e che risultava ancora in corso. F-Secure ha attribuito l’attacco al gruppo Lazarus Group sulla base di somiglianze nel malware, tattiche, tecniche e Procedures (TTPs) osservate in azioni precedenti del gruppo nordcoreano. L’analisi di F-Secure del malware ha suggerito forti somiglianze con i campioni utilizzati in altre campagne del Lazarus Group, dettagliate in ricerche precedentemente pubblicate da Kaspersky e ESET.

Lazarus Group è noto per aver sfruttato una combinazione di malware personalizzati e utility native del sistema operativo (OS) per raggiungere il suo obiettivo. Altro aspetto fondamentale, che contraddistingue la bravura del gruppo, è che una delle maggiori preoccupazioni nell’attività certosina è sicuramente quella di provvedere a cancellare la maggior part dei log che possono esporre l’attività silente ai sistemi di rilevamento.

Bankshot: una minaccia finanziaria in Turchia da milioni di dollari

Il 28 febbraio, il team di McAfee Advanced Threat Research ha scoperto l’attività criminale di Lazarus che continuava a prendere di mira asset di criptovalute e le organizzazioni finanziarie con il malware già visto in precedenza dal nome Bankshot. Sulla base della somiglianza del codice, del settore di attività delle potenziali vittime e della presenza di stringhe del server di controllo, l’attacco rimembrava i precedenti nefasti condotti contro la rete finanziaria globale SWIFT. Bankshot è stato progettato per persistere nella rete di una vittima per più di un unico sfruttamento; pertanto il team di Advanced Threat Research ha ritenuto che questa operazione ha avuto lo scopo di ottenere l’accesso a specifiche organizzazioni finanziarie. Le organizzazioni finanziarie in Turchia sono state prese di mira tramite e-mail di spear phishing contenenti un documento Microsoft Word dannoso. Il documento conteneva un exploit Adobe Flash incorporato ed è stato svelato dall’agenzia sudcoreana per la sicurezza in Internet. L’exploit, che sfruttava CVE-2018-4878, consentiva a un utente malintenzionato di eseguire codice arbitrario come un malware.

Bankshot è stato distribuito da un dominio con un nome simile a quello della piattaforma di prestito di criptovalute FalconCoin. Il dominio dannoso falcancoin.io è stato creato il 27 dicembre 2017 ed è stato aggiornato il 19 febbraio, solo pochi giorni prima della comparsa dei file malevoli. Bankshot era essenzialmente uno strumento di accesso remoto che poteva offrire a un utente malintenzionato la piena capacità del sistema di una vittima. Questa minaccia conteneva anche funzionalità per cancellare file e contenuti dal sistema di destinazione per dissipare prove o eseguire altre azioni distruttive.

Operazione “Ghost secret”

Sempre McAfee Advanced Threat Research ha scoperto una campagna globale di acquisizione di dati che attaccava un ampio numero di settori economici e governativi tra cui infrastrutture critiche, intrattenimento, finanza, assistenza sanitaria e telecomunicazioni. La campagna, soprannominata Operazione GhostSecret, sfruttava molteplici strumenti e varianti di malware associati al gruppo informatico sponsorizzato dallo stato Nord Coreano. L’indagine su questa campagna ha rivelato che Lazarus ha utilizzato più malware, incluso uno sconosciuto con funzionalità simili a Bankshot. Dal 18 al 26 marzo 2018 è stato osservato entrare in azione in più aree del mondo e alcune parti di codice ricordavano il malware Destover, che è stato utilizzato nell’attacco Sony Pictures del 2014. Inoltre, il team di McAfee ha scoperto Proxysvc ed alcuni server di controllo aggiuntivi che, sono stati utilizzati insieme alla variante Destover del 2017 e hanno operato senza essere rilevato dalla metà del 2017. Nell’operazione GhostSecret , Lazarus ha utilizzato un’infrastruttura simile alle minacce precedenti, inclusi i certificati SSL utilizzati da FakeTLS nel codice trovato nella variante backdoor Destover, nota come Escad, che è stata utilizzata nell’attacco di Sony Pictures. Quest’ultima analogia ed altre, come ad esempio gli attacchi alle banche turche e sudamericane, hanno consentito di individuare gli aggressori nel gruppo apt più strutturato in Corea del Nord.

Il framework che “MATA” tutti i sistemi operativi

Nell’aprile 2018 è stato scoperto un malware chiamato MATA. Il framework del malware MATA possedeva diversi componenti tra cui molti plug-in. Questo framework completo era in grado di indirizzare i sistemi operativi Windows, Linux e macOS ed è stato utilizzato in modo aggressivo per infiltrarsi in strutture aziendali di tutto il mondo.  

Ciò che eseguiva il malware  era WmiPrvSE.exe, un “Processo host provider WMI” che viene eseguito da un host remoto per spostarsi lateralmente, pertanto, sembrerebbe essere stato utilizzato per compromettere anche altri host aggiuntivi nella stessa rete. Successivamente è stato scoperto un malware che da disposizioni precise ed è stato identificato nel processo lsass.exe e che caricava i dati di configurazione crittografati da una chiave di registro per poi decrittografarli con l’algoritmo AES.

Lsass.exe poteva scaricare 15 plugin contemporaneamente tramite tre modi:

  • Scaricare il plug-in dal server HTTP o HTTPS specificato
  • Caricare il file del plug-in crittografato con AES da un percorso del disco specificato
  • Scaricare il file del plug-in dalla connessione MataNet corrente

MataNet era una infrastruttura allestita ad hoc per sfruttare al meglio tutte le potenzialità del framework malevolo: per la comunicazione segreta, utilizzavano connessioni TLS1.2 con l’aiuto della libreria open source “openssl-1.1.0f“, collegata staticamente all’interno di questo modulo. Inoltre, il traffico tra i nodi MataNet veniva crittografato con una chiave di sessione RC4 casuale. MataNet implementava sia la modalità client che quella server.

Il client MataNet stabiliva connessioni periodiche con il proprio centro di comando con un messaggio avente un’intestazione lunga 12 byte, dove il primo DWORD era l’ID del messaggio e il resto dati ausiliari. Ecco la lista dei plugin e delle loro funzioni che componevano il pacchetto malevolo acquisito una volta infetti da Mata:

  • MATA_Plug_Cmd.dll Eseguiva “cmd.exe /c” o “powershell.exe” con i parametri specificati e riceveva l’output dell’esecuzione del comando.
  • MATA_Plug_Process.dll Manipolava il processo (processo di elenco, processo di interruzione, processo di creazione, processo di creazione con ID sessione utente connesso).
  • MATA_Plug_TestConnect.dll Controllava la connessione TCP con IP:porta o intervallo IP specificato. Ping dato host o intervallo IP.
  • MATA_Plug_WebProxy.dll Creava un server proxy HTTP. Il server ascolta le connessioni TCP in entrata sulla porta specificata, processava le richieste CONNECT dai client al server HTTP e inoltrava tutto il traffico tra client e server.
  • MATA_Plug_File.dll Manipolava i file (scriveva i dati ricevuti su un determinato file, inviava un determinato file dopo la compressione LZNT1, comprimeva la cartella specificata in %TEMP%\~DESKTOP[8random hex].ZIP e inviava, cancellando il file specificato, cerca il file, elenca il file e la cartella , file di cronometraggio).
  • MATA_Plug_Load.dll Iniettava il file DLL nel processo specificato utilizzando il PID e il nome del processo o iniettava il file DLL XORed nel processo specificato, facoltativamente chiamava la funzione di esportazione con gli argomenti.
  • MATA_Plug_P2PReverse.dll Aiutava a connettersi tra il server MataNet da un lato e un server TCP arbitrario dall’altro, quindi inoltrava il traffico tra di loro. Gli IP e le porte per entrambi i lati sono specificati nella chiamata a questa interfaccia.
  • Una stringa interessante all’interno del plugin MATA_Plug_WebProxy – “Proxy-agent: matt-dot-net” – perché era un riferimento al progetto open source di Matt McKnight. Ci sono alcune differenze però. Il progetto di Matt è scritto in C# anziché in C++. Il proxy MATA era notevolmente più semplice, in quanto non era presente né cache né supporto SSL, ad esempio. È possibile che gli autori di MATA abbiano trovato e utilizzato il codice sorgente di una prima versione del server proxy di Matt. Sembrava che l’autore del malware avesse riscritto il codice da C# a C++ lasciando questo footprint invariato.

Il framework MATA si rivolgeva non solo al sistema Windows ma anche ai sistemi Linux e macOS. Nella versione per Linux vi era uno strumento per elencare le cartelle, script con il fine di sfruttare Atlassian Confluence Server (CVE-2019-3396), uno strumento socat e una versione Linux del payload MATA in bundle insieme a una serie di plug-in.

Su sistema MacOS vi era un malware MATA target caricato su VirusTotal l’8 aprile 2020. Il file Apple Disk Image dannoso era un’applicazione macOS trojan basata su un’applicazione di autenticazione a due fattori open source denominata MinaOTP.

Le vittime del framework MATA non erano limitate ad un territorio specifico e furono registrate in Polonia, Germania, Turchia, Corea, Giappone e India. Inoltre, l’attore ha compromesso i sistemi in vari settori, tra cui una società di sviluppo software, una società di e-commerce e un fornitore di servizi Internet.

Apple JEUS: Banche, Soldi e Criptovalute in cassa

Kaspersky Lab indagava su una piattaforma di criptovalute attaccata da Lazarus ed ha fatto una scoperta inaspettata. La vittima era stata infettata con l’aiuto di un’applicazione di trading di criptovalute troianizzata, che era stata raccomandata all’azienda via e-mail. Si è scoperto che un ignaro dipendente della società aveva scaricato volontariamente un’applicazione di terze parti da un sito web dall’aspetto legittimo e il suo computer era stato infettato da un malware noto come Fallchill, un vecchio strumento a cui Lazarus è tornato recentemente.

Per assicurarsi che la piattaforma OS non fosse un ostacolo per infettare gli obiettivi, sembra che gli aggressori siano andati oltre e abbiano sviluppato malware per altre piattaforme, anche per macOS, con addirittura una versione per Linux in arrivo, secondo il sito web. L’utente ha installato il programma tramite un link di download consegnato via e-mail e gli aggressori hanno optato per uno schema più elaborato: il codice trojan è stato diffuso sotto forma di un aggiornamento per un’applicazione commerciale dall’aspetto legittimo chiamata Celas Trade Pro di Celas Limited non ha mostrato segni di comportamento dannoso e sembrava genuina ed era un programma di trading di criptovalute in stile all-in-one sviluppato da Celas.

CryptoCore: tre anni di furti e centinaia di milioni in criptovalute rubati

Nell’estate 2018 è emersa CryptoCore: una campagna di attacco contro le società di crypto-exchange che è stata in corso per tre anni ed è stata scoperta dai ricercatori di ClearSky. L’attacco si è concentrato principalmente sul furto di portafogli di criptovalute ed è stata segnalato anche da altre aziende ed è per questo che è nota anche come CryptoMimic, Dangerous Password e Leery Turtle. Lazarus è stato il primo sospettato a causa di alcuni precedenti nello stesso anno nel settore finanziario, in particolare riferimento alle criptovalute, ma quello che ha sorpreso sono stati gli attacchi a Israele mai effettuati prima di allora dagli apt nord coreani.

DTRACK il RAT del 2018 firmato Lazarus

Alla fine dell’estate del 2018 è stato scoperto ATMDtrack, un pezzo di malware bancario rivolto alle banche indiane. Ulteriori analisi hanno mostrato che il malware era stato progettato per essere piantato sui bancomat dell’istituto di credito vittima in modo tale da poter leggere e memorizzare i dati delle carte che venivano inserite nelle macchine. A seguito di un’indagine effettuata da Kaspersky, sono state rilevati oltre 180 nuovi campioni di malware dello strumento spia definitivamente identificato come Dtrack.

Tutti i campioni di Dtrack trovati inizialmente sembravano inutilizzati, poiché il vero payload era criptato con vari dropper ma, una volta scoperto l’arcano decifrando gli offuscatori, si sono scoperte somiglianze con la campagna DarkSeoul, risalente al 2013 e attribuita al gruppo Lazarus.

L’entrata del dropper avveniva tramite un codice maligno in un binario che era un eseguibile innocuo. In alcuni casi, era il progetto predefinito di Visual Studio MFC, ma poteva essere qualsiasi altro programma.

I dati di overlay decriptati contenevano i seguenti artefatti:

  • un eseguibile extra;
  • uno shellcode per l’hollowing del processo;
  • un elenco di nomi di eseguibili predefiniti, che il malware usa come nome del processo futuro.

Dopo la decrittazione dei dati, il codice di hollowing del processo viene avviato, prendendo come argomento il nome del processo da holloware. Il nome proviene dall’elenco predefinito trovato all’interno dell’overlay decrittato. Tutti i nomi provenivano dalla cartella %SYSTEM32%, come potete vedere nell’elenco di file decrittati qui sotto.

fontview.exe dwwin.exe wextract.exe runonce.exe grpconv.exe msiexec.exe rasautou.exe rasphone.exe extrac32.exe mobsync.exe verclsid.exe ctfmon.exe charmap.exe scrivere.exe sethc.exe control.exe presentationhost.exe napstat.exe systray.exe mstsc.exe cleanmgr.exe

I dropper contenevano una varietà di eseguibili, tutti destinati a spiare la vittima. Di seguito è riportato un elenco incompleto delle funzionalità dei vari eseguibili payload di Dtrack trovati:

  • keylogging,
  • recupero della cronologia del browser,
  • raccolta di indirizzi IP degli host, informazioni sulle reti disponibili e sulle connessioni attive,
  • elencare tutti i processi in esecuzione,
  • elencare tutti i file su tutti i volumi di disco disponibili.

Alcuni degli eseguibili impacchettavano i dati raccolti in un archivio protetto da password salvandoli sul disco, mentre altri inviano i dati al server C&C direttamente.

Oltre ai suddetti eseguibili, i dropper contenevano anche un Trojan di accesso remoto (RAT). L’eseguibile RAT permetteva ai criminali di eseguire varie operazioni come:

  • 1003 caricare un file sul computer della vittima
  • 1005 rendere persistente il file di destinazione con avvio dell’esecuzione automatica sull’host della vittima
  • 1006 scarica un file dal computer della vittima
  • 1007 esegue il dump di tutti i dati del volume del disco e lo carica su un host controllato dai criminali
  • 1008 eseguire il dump di un volume del disco scelto e caricarlo su un host controllato dai criminali
  • 1011 esegue il dump di una cartella scelta e la carica su un host controllato dai criminali
  • 1018 imposta un nuovo valore di timeout dell’intervallo tra i controlli dei nuovi comandi
  • 1023 uscire e rimuovere la persistenza e il binario stesso
  • eseguire di default un processo sull’host della vittima

L’Operazione “atomica” Sharpshooter

Il team McAfee Advanced Threat Research e il McAfee Labs Malware Operations Group hanno scoperto una nuova massiva azione di attacco globale che prendeva di mira le aziende del settore nucleare, della difesa, dell’energia e della finanza. Questa campagna, Operation Sharpshooter, sfruttava un codice in-memory per scaricare e recuperare un ulteriore codice di secondo livello per un ulteriore sfruttamento, battezzato con il nome Rising Sun. Questo secondo fattore di attacco utilizzava il codice sorgente del trojan backdoor Duuzer del 2015 del Lazarus Group in una nuova struttura per infiltrarsi in queste industrie chiave.  I numerosi collegamenti tecnici di Operation Sharpshooter al Lazarus Group sembravano troppo ovvi per trarre immediatamente la conclusione che fossero i nord coreani i responsabili degli attacchi.

Nei mesi di ottobre e novembre 2018, l’impianto Rising Sun è apparso in 87 organizzazioni in tutto il mondo, prevalentemente negli Stati Uniti. La maggior parte delle vittime prese di mira erano di lingua inglese. Questo attore ha usato l’attività di reclutamento come esca per raccogliere informazioni sugli individui presi di mira o sulle organizzazioni che gestiscono i dati relativi alle industrie di interesse.

Il vettore di attacco iniziale restava un documento contenente una macro malevola per scaricare la fase successiva, che veniva eseguita in memoria e raccoglieva informazioni mentre I dati della vittima venivano inviati a un server di controllo per essere monitorati dagli attori, che poi determinavano le fasi successive.

2018 iniziato e terminato con il furto di criptovalute

Il guadagno finanziario è rimasto uno degli obiettivi principali di Lazarus, con le sue tattiche, tecniche e procedure in continua evoluzione per evitare di essere scoperto. Dopo l’operazione Applejeus è stata scoperta una nuova operazione, attiva almeno da novembre 2018, che utilizzava PowerShell per controllare i sistemi Windows e il malware macOS per gli utenti Apple. Hanno sviluppato script PowerShell personalizzati che comunicano con server C2 dannosi ed eseguono comandi dall’operatore. I nomi degli script del server C2 sono mascherati da file WordPress (popolare motore di blog) e da altri popolari progetti open source. Dopo aver stabilito la sessione di controllo del malware con il server, la funzionalità fornita dal malware includeva:

  • Impostare il tempo di “sonno” (ritardando le interazioni C2)
  • Uscire dal malware
  • Raccogliere le informazioni di base sull’host
  • Controllare lo stato del malware
  • Mostrare la configurazione attuale del malware
  • Aggiornare la configurazione del malware
  • Eseguire il comando della shell di sistema
  • Scaricare e caricare file

Il malware è stato distribuito tramite documenti accuratamente preparati per attirare l’attenzione dei professionisti delle criptovalute. Visto come alcuni dei documenti sono stati infiocchettati in coreano, era chiaro che le imprese sudcoreane fossero una priorità assoluta per Lazarus. Un documento intitolato “Documento di esempio per la valutazione del business plan di una società di venture capital” (tradotto dal coreano), un altro macro-armored (e9a6a945803722be1556fd120ee81199) che conteneva una presentazione aziendale di quello che sembrava essere un gruppo di consulenza tecnologica cinese chiamato LAFIZ ed una società di scambio di criptovalute che forniva un documento di elenchi di monete con una traduzione in coreano,  con un documento dannoso contenente la stessa macro.

Questi campioni di malware per Windows sono stati forniti utilizzando documenti HWP (Korean Hangul Word Processor format) dannosi e che sfruttavano una nota vulnerabilità PostScript. Va notato che i documenti HWP sono popolari solo tra gli utenti coreani (Hangul Word Processor è stato sviluppato in Corea del Sud) e abbiamo assistito a diversi attacchi con lo stesso metodo quindi la matrice nordcoreana è più che una pista probabile.

Commenti da Facebook
Prosegui la lettura
Advertisement

Iscriviti alla newsletter settimanale di Matrice Digitale

* indicates required

Inchieste

Facebook censura i giornalisti che pubblicano le foto del figlio di Biden

Condividi questo contenuto

Tempo di lettura: 2 minuti. Continuano le pressioni dell’FBI sulla piattaforma di Zuckerberg. Censurati i post di chi ha pubblicato le foto dei rapporti del figlio del presidente USA con prostitute diffuse dalla stampa internazionale

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

All’improvviso provo ad accedere a Facebook da cellulare e mi ritrovo con “errore nel recuperare i dati” e dopo aver riprovato più volte capisco che c’è qualcosa che non va. Entro da PC ed ecco comparire un messaggio:

Hai provato a condividere foto intime

Il primo pensiero va a qualche mio dispositivo hackerato o a qualche accesso non autorizzato al mio profilo che ha postato qualche foto proibita e invece scorrendo più in avanti scopro che la foto incriminata e quella di Hunter Biden mentre è in dolce compagnia, accompagnata da quella in cui posa insieme al padre Joe Biden. Il post faceva riferimento in modo ironico agli affari in Ucraina della famiglia Biden tra settore energetico e traffico di armi ed aveva preso spunto dalle inchieste internazionali che prima delle elezioni hanno pubblicato lo scandalo.

Poi è calato il silenzio sulla vicenda. Chi pubblicava questi contenuti veniva apostrofato come “complottista” o “eversivo” dalle piattaforme social oppure veniva ignorato ed il suo post nascosto in fondo alle bacheche di tutti i potenziali lettori. La strategia era chiara sin da subito, così come chi aveva consegnato il portatile alle autorità, dimenticato per mesi dal figlio del presidente USA in un negozio, ha subito una macchina del fango che adesso però ha deciso di denunciare per riacquisire la dignità sottrattagli per aver curato gli interessi della nazione fornendo alle autorità un portatile con documenti sensibili.

Le pressioni dell’FBI

Prima dell’election day americano, Facebook e Twitter ricevettero una visita dell’FBI che li invitò a ridurre la portata della notizia di una serie di scandali che riguardavano il figlio di Biden. Lo stesso proprietario di Facebook ha ammesso questa ingerenza e quindi la “fonte” della notizia è diretta. Questo tipo di attività, nonostante la denuncia del capo di una piattaforma Social, continua ad esserci e questo sta a significare che le pressioni della polizia federale sui social è una costante e non per quel che concerne la sicurezza nazionale, ma per tutelare il Presidente degli USA coinvolto da sempre in affari con l’Ucraina che ha un figlio venditore di armi ed il momento di una guerra non facilita di certo a far emergere le buone intenzioni della resistenza di Kiev.

Cosa non torna nell’attività di Facebook

E’ davvero singolare il fatto che, dinanzi ad una accusa così grave come quella di favorire il sexiting, la piattaforma social non abbia provveduto a bloccare, ma ha ammonito, come riferito dai diretti interessati, tutti coloro che hanno condiviso il post senza ovviamente metterli nella condizione di subire blocchi e questo perchè il contenuto non è intimo, ma preso dalla stampa internazionale e le foto di Hunter Biden con una prostituta minorenne sono censurate come la legge prevede. In poche parole possiamo affermare che anche questa volta Facebook ha censurato un giornalista della Repubblica Italiana, ha intrapreso un’azione politica e non oggettiva e quindi, come direbbe Meloni, ha assunto ad una posizione parziale più indicata ad un mezzo di informazione che ad una piattaforma social.

Commenti da Facebook
Prosegui la lettura

Inchieste

Facebook ha spiato i messaggi privati degli americani che hanno messo in dubbio le elezioni del 2020

Condividi questo contenuto

Tempo di lettura: 4 minuti. Secondo fonti del Dipartimento di Giustizia, Facebook ha spiato i messaggi e i dati privati degli utenti americani e li ha segnalati all’FBI se esprimono sentimenti antigovernativi o antiautoritari o mettono in discussione le elezioni del 2020.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Nell’ambito dell’operazione di collaborazione con l’FBI, qualcuno in Facebook ha contrassegnato questi messaggi privati presumibilmente sovversivi nel corso degli ultimi 19 mesi e li ha trasmessi in forma redatta all’unità operativa per il terrorismo interno del quartier generale dell’FBI a Washington, DC, senza un mandato di comparizione.

“È stato fatto al di fuori del processo legale e senza una causa probabile”, ha dichiarato una delle fonti, che ha parlato a condizione di anonimato.

“Facebook fornisce all’FBI conversazioni private, protette dal Primo Emendamento, senza alcun mandato di comparizione”.

Questi messaggi privati sono stati poi distribuiti come “indizi” agli uffici dell’FBI in tutto il Paese, che hanno poi richiesto un mandato di comparizione all’ufficio del procuratore degli Stati Uniti del loro distretto per ottenere ufficialmente le conversazioni private che Facebook aveva già mostrato loro.

Ma quando gli utenti di Facebook presi di mira sono stati indagati dagli agenti di un ufficio locale dell’FBI, a volte utilizzando tecniche di sorveglianza segrete, non è emerso nulla di criminale o violento. “È stata una perdita di tempo”, ha dichiarato una fonte che ha familiarità con le richieste di citazione presentate durante 19 mesi di frenesia da parte del quartier generale dell’FBI a Washington, per produrre un numero di casi che corrispondesse alla retorica dell’amministrazione Biden sul terrorismo interno dopo la rivolta del 6 gennaio 2021 in Campidoglio.

Biden ha preso di mira specificamente Facebook per la sua disinformazione.

Gli utenti di Facebook le cui comunicazioni private erano state segnalate all’FBI come terrorismo interno erano tutti “individui conservatori di destra”.

“Erano americani armati e di sangue rosso [che] erano arrabbiati dopo le elezioni e si sono sfogati parlando di organizzare proteste. Non c’era nulla di criminale, nulla che parlasse di violenza, massacri o assassinii.

“Non appena è stato richiesto un mandato di comparizione, nel giro di un’ora Facebook ha inviato gigabyte di dati e foto. Era tutto pronto. Stavano solo aspettando il processo legale per poterli inviare”.

Facebook ha negato ieri le accuse.

In due dichiarazioni contrastanti, inviate a distanza di un’ora l’una dall’altra, Erica Sackin, portavoce della società madre di Facebook, Meta, ha affermato che le interazioni di Facebook con l’FBI sono state concepite per “proteggere le persone dai danni”. Nella prima dichiarazione ha affermato che: “Queste affermazioni sono false perché riflettono un’incomprensione di come i nostri sistemi proteggono le persone dai danni e di come ci impegniamo con le forze dell’ordine. Esaminiamo attentamente tutte le richieste governative di informazioni sugli utenti per assicurarci che siano legalmente valide e strettamente mirate e spesso ci opponiamo. Rispondiamo alle richieste legali di informazioni in conformità con la legge applicabile e con i nostri termini e forniamo un avviso agli utenti ogni volta che è consentito”. In una seconda “dichiarazione aggiornata”, inviata 64 minuti dopo, la Sackin ha modificato il suo linguaggio per dire che le affermazioni sono “sbagliate”, non “false”.

“Queste affermazioni sono semplicemente sbagliate. L’idea che cerchiamo nei messaggi privati delle persone un linguaggio antigovernativo o domande sulla validità delle elezioni passate e poi li forniamo proattivamente all’FBI è palesemente inesatta e non ci sono prove a sostegno”, ha detto Sackin, un’esperta di risposta alle crisi con sede a Washington che in precedenza ha lavorato per Planned Parenthood e “Obama per l’America” e ora dirige le comunicazioni di Facebook su “antiterrorismo e organizzazioni e individui pericolosi”.

In una dichiarazione di mercoledì, l’FBI non ha confermato né smentito le accuse che le sono state rivolte in merito all’operazione congiunta con Facebook, definita “non classificata/sensibile alle forze dell’ordine”. Rispondendo alle domande sull’uso improprio dei dati dei soli utenti americani, la dichiarazione si è curiosamente concentrata su “attori stranieri di influenza maligna”, ma ha riconosciuto che la natura del rapporto dell’FBI con i fornitori di social media consente un “rapido scambio” di informazioni ed è un “dialogo continuo”.

La linea diretta di Fauci con Zuck dimostra che la censura COVID di Facebook era tutta una questione di potere, non di salute pubblica.

“L’FBI intrattiene rapporti con entità del settore privato statunitense, compresi i fornitori di social media. L’FBI ha fornito alle aziende indicatori di minacce straniere per aiutarle a proteggere le loro piattaforme e i loro clienti dall’abuso di attori stranieri che esercitano un’influenza maligna. Le aziende statunitensi hanno anche fornito all’FBI informazioni di valore investigativo relative all’influenza maligna straniera. L’FBI lavora a stretto contatto con i partner interagenzie, nonché con i partner statali e locali, per garantire la condivisione delle informazioni non appena disponibili. Queste possono includere informazioni sulle minacce, piste percorribili o indicatori. L’FBI ha anche stabilito relazioni con diverse aziende di social media e tecnologia e mantiene un dialogo continuo per consentire un rapido scambio di informazioni sulle minacce”.

La smentita di Facebook sul fatto che fornisca proattivamente all’FBI i dati privati degli utenti senza un mandato di comparizione o di perquisizione, se fosse vera, indicherebbe che il trasferimento iniziale è stato fatto da una persona (o più persone) dell’azienda designata come “fonte umana confidenziale” dall’FBI, una persona con l’autorità di accedere e cercare i messaggi privati degli utenti. In questo modo, Facebook avrebbe una “smentita plausibile” in caso di domande sull’uso improprio dei dati degli utenti e la riservatezza dei suoi dipendenti sarebbe protetta dall’FBI. Secondo una delle fonti del Dipartimento di Giustizia, “hanno avuto accesso alla ricerca e sono stati in grado di individuarla, di identificare queste conversazioni tra milioni di conversazioni”.

Nessuno era degli Antifa

Prima che venisse richiesto un mandato di comparizione, “queste informazioni erano già state fornite alla sede centrale dell’FBI. La traccia conteneva già informazioni specifiche sui messaggi privati degli utenti. Alcune di esse erano state redatte, ma la maggior parte non lo era. In pratica avevano una parte della conversazione e poi saltavano la parte successiva, in modo che le parti più gravi fossero evidenziate e tolte dal contesto. “Ma quando si è letta la conversazione completa nel contesto [dopo l’emissione del mandato di comparizione] non è sembrato così male… Non c’era alcun piano o orchestrazione per compiere alcun tipo di violenza”. Alcuni degli americani presi di mira avevano postato foto di loro stessi che “sparavano insieme e si lamentavano di ciò che era successo [dopo le elezioni del 2020]. Alcuni erano membri di una milizia, ma erano protetti dal Secondo Emendamento… “Loro [Facebook e l’FBI] cercavano individui conservatori di destra. Nessuno era di tipo Antifa”. Una conversazione privata oggetto di indagine “si è trasformata in più casi perché c’erano più individui in tutte queste diverse chat”.

Le fonti del Dipartimento di Giustizia hanno deciso di parlare con il Post, rischiando la propria carriera, perché temono che le forze dell’ordine federali siano state politicizzate e stiano abusando dei diritti costituzionali di americani innocenti. Dicono che altri informatori sono pronti a unirsi a loro. Il malcontento si è sviluppato per mesi tra i funzionari dell’FBI e in alcuni settori del Dipartimento di Giustizia. È arrivata al culmine dopo l’incursione del mese scorso nella casa di Mar-a-Lago dell’ex presidente Donald Trump in Florida. “La cosa più spaventosa è il potere combinato delle Big Tech in collusione con il braccio esecutivo dell’FBI”, dice un informatore. “Google, Facebook e Twitter, queste aziende sono globaliste. Non hanno a cuore il nostro interesse nazionale”.

Fonte della traduzione

Commenti da Facebook
Prosegui la lettura

Inchieste

Orban ha bloccato il price cap sul gas: vile fake news diffusa dagli oppositori di Meloni

Condividi questo contenuto

Tempo di lettura: 3 minuti. Spieghiamo la politica propone scelte potenzialmente sbagliate approfittando dell’urgenza e come strumentalizza il problema per fini politici, grazie alle fake news non smentite dalla stampa

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

Nel periodo del caro bollette c’è una frenesia da parte dei partiti nel trovare soluzioni urgenti e già c’è una differenza sostanziale tra Meloni, che prova a risolvere i problemi senza lo scostamento di bilancio, e chi invece propone di fare ulteriore debito per aiutare gli italiani le bollette sapendo di creare un problema al prossimo governo dove sarà opposizione, vedi PD e Calenda, e chi in maggioranza, Lega e Forza Italia, riuscendo a fare una forte opposizione. La discussione del giorno nel settore energetico è stata quella del price cap.

Cosa è il price cap sul prezzo del gas?

Un tetto al prezzo del gas si intende proprio l’individuazione di una soglia oltre la quale decidere di non procedere all’acquisto. Al momento, le cifre di cui si parla sono tra gli 80 e i 90 euro/Mwh. Riducendo i costi di acquisto della materia prima, anche i fornitori che la comprano all’ingrosso dovrebbero rivenderla a prezzi più bassi. Il risultato finale sarebbero bollette alleggerite per le famiglie e soprattutto per le imprese. La stortura di quanto sostenuto è che questa misura coinvolgerebbe solo la materia prima proveniente dalla Russia

Dinamiche Europee

Non è un caso che in seno all’Europa il price cap è stato invocato da molti, in primis da Draghi, ma tutti hanno paura di attuarlo perchè Putin ha già minacciato di tagliare definitivamente e improvvisamente le forniture. Chi invece ha una deroga alle sanzioni russe è Orban con l’Ungheria che attualmente elude le sanzioni autorizzato dall’Europa stessa.

Le fake news della sinistra

Consapevoli che Orban è un partner politico della Meloni, la notizia che è stata diffusa da esponenti politici del centro sinistra che hanno dato notizia che il leader ungherese è contrario al price cap ed il tweet di Calenda sul tema esprime al meglio questo pensiero

Carlo Calenda non è l’unico della lista ad aver dato risalto alla notizia di Orban, anche dai nemici in casa del Partito Democratico sono partite notizie in tal senso Marianna Madia e Laura Boldrini

Ma è davvero Orban il problema dell’accettazione del price cap a livello europeo?

Secondo Politico.eu, la posizione dei paesi europei non è quella raccontata del “tutti contro uno“, ma è più complessa perché si divide in paesi che sono d’accordo al price cap, paesi che non lo sono solo sul gas russo ed altri che invece vogliono che sia fatto esclusivamente sul gas di Putin.

Nell’Europa dei paesi uniti, gli unici ad essere d’accordo sono Italia, Belgio, Polonia e Grecia, gli altri che invece sono in disaccordo ad applicarlo solo a quello russo sono Belgio e Ungheria, mentre chi è contrario alla valutazione di un tetto al prezzo del gas è la Germania e l’Austria.

La strumentalizzazione politica messa in piedi dalla sinistra nell’individuare in Orban il male dell’unità europea nelle misure sul Gas è un’operazione che nasconde invece la frattura in seno all’Unione Europea dove invece tutto funziona a meraviglia nonostante il periodo di difficoltà così come invece profondono gli europeisti con grande ottimismo.

Perchè questa divisione sul tema del Price Cap?

La divisione delle posizioni è molto semplice: i paesi che importano di più vedono nel price cap la soluzione al problema del prezzo del GAS, i paesi che importano poco possono invece rinunciare al gas russo perché hanno una produzione energetica che li aiuta a compensare eventuali perdite. Chi non è d’accordo, come la Germania, è perché sta provvedendo ad effettuare studi ed analisi è perché il price cap, se il prezzo di mercato dovesse salire oltre la soglia, sarebbe lo Stato a compensare il surplus e questo dovrebbe essere ben specificato dai partiti.

Una vile strumentalizzazione

Proporre come soluzione il price cap a livello europeo è una scelta discutibile indipendentemente dal fatto che sia positiva o negativa. Chi la propone con superficialità o non sa come funziona o sa che se i prezzi vanno alti, sopra la soglia, ci troviamo invece ad affrontare lo scostamento di bilancio ed un ulteriore debito non previsto oltre ai 115 miliardi fatti da Draghi grazie al suo “metodo”.

Generare una confusione tale sul tema, spingendo le persone a credere che quella soluzione sia giusta “perchè non c’è tempo” è una strategia di terrorismo psicologico che può normalizzare una scelta sbagliata e comunque controproducente per molti paesi, vedi Germania e Italia, che sono ovviamente consapevoli che questa guerra sul gas è tecnicamente un’azione rischiosa per i propri settori produttivi e di conseguenza per la propria economia. Anche l’ostile Polonia, che vorrebbe vedere Putin morto, sa bene che il gas è una componente importante e vitale per un Paese individuato come territorio di delocalizzazione industriale da altri. Quindi, anche la Polonia, che fomenta la guerra e la difesa Ucraina dall’inizio dello scontro, non vede solo nel gas russo il problema, ma nel sistema.

Prendere un problema serio che mette a rischio la sussistenza delle famiglie europee, strumentalizzarlo per fini politici, è un atto di malafede e quindi vile.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie3 giorni fa

Sandworm sta modificando i suoi attacchi alle infrastrutture ucraine

Tempo di lettura: 2 minuti. Il gruppo di hacker sponsorizzato dallo Stato russo noto come Sandworm è stato osservato mentre...

Notizie4 giorni fa

Gli attacchi informatici dell’Iran contro Israele sono aumentati, dice l’esercito

Tempo di lettura: < 1 minuto. La radio ha citato ufficiali militari secondo cui gli attacchi sono aumentati del "70%".

Multilingua7 giorni fa

Anonymous viola i siti web dello Stato iraniano dopo la morte di Mahsa Amini

Tempo di lettura: 2 minuti. I due principali siti web del governo iraniano e alcuni siti dei media sono stati...

Notizie1 settimana fa

Russia guerra cibernetica coinvolge anche i i satelliti

Tempo di lettura: 2 minuti. Il Committee of Concerned Scientists ha lavorato per sensibilizzare l'opinione pubblica sulla situazione degli scienziati....

Notizie2 settimane fa

Documenti NATO rubati all’insaputa del Portogallo: messi in vendita nel Dark Web

Tempo di lettura: 4 minuti. I fascicoli top secret sono stati sottratti dall'Agenzia di Stato Maggiore delle Forze Armate del...

Notizie2 settimane fa

Taiwan vigila mentre la Cina scatena la sua guerra informatica

Tempo di lettura: 2 minuti. Nel tentativo di resistere alle aggressioni cinesi, Taiwan ha aumentato le spese per la difesa...

Notizie2 settimane fa

Hacker iraniani colpiscono obiettivi nella sicurezza nucleare e nella ricerca genomica

Tempo di lettura: 3 minuti. La società di sicurezza aziendale Proofpoint ha attribuito gli attacchi mirati a un attore di...

Notizie2 settimane fa

La Cina accusa l’unità TAO della NSA di aver violato la sua università di ricerca militare

Tempo di lettura: 2 minuti. La Cina ha accusato la National Security Agency (NSA) degli Stati Uniti di aver condotto...

Notizie2 settimane fa

Tempo di lettura: 2 minuti. Diversi gruppi di hacker iraniani hanno partecipato a un recente attacco informatico contro il governo...

Notizie3 settimane fa

Microsoft mette in guardia dagli attacchi ransomware degli APT iraniani

Tempo di lettura: 2 minuti. La divisione di intelligence sulle minacce di Microsoft ha valutato mercoledì che un sottogruppo dell'attore...

Truffe recenti

Truffe online3 giorni fa

Truffe della rete Theta e phishing di MetaMask

Tempo di lettura: 3 minuti. Questa settimana abbiamo trovato altre ingannevoli truffe di criptovalute a cui dovete prestare attenzione.

Truffe online2 settimane fa

Truffa su Kadena per 50.000 euro: donna vittima di relazione sentimentale

Tempo di lettura: 4 minuti. Dopo il caso dell'uomo raggiunto su Tinder, ecco un nuovo grave schema criminale che ha...

Truffe online2 settimane fa

4 messaggi e SMS WhatsApp “pericolosi” inviati per truffa

Tempo di lettura: 4 minuti. Vi spieghiamo alcune tipologia di attacco più frequenti sul programma di messaggistica

Notizie3 settimane fa

15 truffatori di bancomat arrestati a Gangtok

Tempo di lettura: 2 minuti. 11 provengono da Kanpur

Notizie1 mese fa

Truffatori telefonici causano danni per oltre 320.000 euro a Berlino

Tempo di lettura: 2 minuti. Migliaia di persone sono già cadute nel tranello di truffatori telefonici che si fingono dipendenti...

Notizie1 mese fa

Ecco come si può acquistare una identità nel dark web e fare le truffe. Lo studio

Tempo di lettura: 2 minuti. Sappiamo tutti che le informazioni rubate vengono scambiate sul dark web e una nuova ricerca...

scam scam
Notizie2 mesi fa

Spagna e Romania: sventata banda di truffatori online

Tempo di lettura: 2 minuti. Condividi questo contenutoLe autorità spagnole, insieme alla polizia rumena ed Europol, hanno chiuso lunedì un’operazione...

Truffe online2 mesi fa

Il phishing sbarca anche su Twitter e Discord

Tempo di lettura: 3 minuti. Anche i "social minori" sono attenzionati dai criminali informatici

Inchieste3 mesi fa

Tinder e la doppia truffa: criptovalute e assistenza legale che non c’è

Tempo di lettura: 6 minuti. Una donna conosciuta su Tinder gli consiglia di investire in criptovalute. Viene truffato e si...

Truffe online3 mesi fa

Truffe WhatsApp, quali sono e come evitarle

Tempo di lettura: 4 minuti. Ecco le otto truffe più comuni su WhatsApp, secondo ESET

Tendenza