Connect with us

Inchieste

Nord Corea 2018: La guerra cibernetica di Lazarus tra Mata Framework, Bankshot, e furti di criptovalute.

Pubblicato

il

lazarus
Condividi questo contenuto
Tempo di lettura: 10 minuti.

Il 2018 è stato l’anno di una serie di attacchi a catena che hanno contraddistinto il gruppo Lazarus nello scenario internazionale come minaccia attiva e persistente.

Lazarus, come visto in precedenza, ha lo scopo primario di fornire approvvigionamenti al governo nord coreano e verso fine 2017 si è reso protagonista di una serie di attacchi ai mercati di criptovalute ed ad alcuni istituti di credito. La linea seguita nel 2018 è stata sicuramente più aggressiva in tal senso.

Linkedin: l’oceano da cui pescare vittime

Nel Febbraio 2018 una indagine di F-Secure ha rivelato che un amministratore di sistema di un’organizzazione bersaglio ha ricevuto un documento di phishing attraverso il suo account personale di LinkedIn. Il documento era mascherato da un annuncio di lavoro per un ruolo in una società di tecnologia blockchain che corrispondeva alle competenze del dipendente. Più tardi, nel 2019, sempre F-Secure ha scoperto dettagli tecnici sul modus operandi di Lazarus Group durante un’indagine su un attacco a una realtà dedita al commercio di criptovalute, collegato a una campagna di phishing globale più ampia, partita nel 2017, e che risultava ancora in corso. F-Secure ha attribuito l’attacco al gruppo Lazarus Group sulla base di somiglianze nel malware, tattiche, tecniche e Procedures (TTPs) osservate in azioni precedenti del gruppo nordcoreano. L’analisi di F-Secure del malware ha suggerito forti somiglianze con i campioni utilizzati in altre campagne del Lazarus Group, dettagliate in ricerche precedentemente pubblicate da Kaspersky e ESET.

Lazarus Group è noto per aver sfruttato una combinazione di malware personalizzati e utility native del sistema operativo (OS) per raggiungere il suo obiettivo. Altro aspetto fondamentale, che contraddistingue la bravura del gruppo, è che una delle maggiori preoccupazioni nell’attività certosina è sicuramente quella di provvedere a cancellare la maggior part dei log che possono esporre l’attività silente ai sistemi di rilevamento.

Bankshot: una minaccia finanziaria in Turchia da milioni di dollari

Il 28 febbraio, il team di McAfee Advanced Threat Research ha scoperto l’attività criminale di Lazarus che continuava a prendere di mira asset di criptovalute e le organizzazioni finanziarie con il malware già visto in precedenza dal nome Bankshot. Sulla base della somiglianza del codice, del settore di attività delle potenziali vittime e della presenza di stringhe del server di controllo, l’attacco rimembrava i precedenti nefasti condotti contro la rete finanziaria globale SWIFT. Bankshot è stato progettato per persistere nella rete di una vittima per più di un unico sfruttamento; pertanto il team di Advanced Threat Research ha ritenuto che questa operazione ha avuto lo scopo di ottenere l’accesso a specifiche organizzazioni finanziarie. Le organizzazioni finanziarie in Turchia sono state prese di mira tramite e-mail di spear phishing contenenti un documento Microsoft Word dannoso. Il documento conteneva un exploit Adobe Flash incorporato ed è stato svelato dall’agenzia sudcoreana per la sicurezza in Internet. L’exploit, che sfruttava CVE-2018-4878, consentiva a un utente malintenzionato di eseguire codice arbitrario come un malware.

Bankshot è stato distribuito da un dominio con un nome simile a quello della piattaforma di prestito di criptovalute FalconCoin. Il dominio dannoso falcancoin.io è stato creato il 27 dicembre 2017 ed è stato aggiornato il 19 febbraio, solo pochi giorni prima della comparsa dei file malevoli. Bankshot era essenzialmente uno strumento di accesso remoto che poteva offrire a un utente malintenzionato la piena capacità del sistema di una vittima. Questa minaccia conteneva anche funzionalità per cancellare file e contenuti dal sistema di destinazione per dissipare prove o eseguire altre azioni distruttive.

Operazione “Ghost secret”

Sempre McAfee Advanced Threat Research ha scoperto una campagna globale di acquisizione di dati che attaccava un ampio numero di settori economici e governativi tra cui infrastrutture critiche, intrattenimento, finanza, assistenza sanitaria e telecomunicazioni. La campagna, soprannominata Operazione GhostSecret, sfruttava molteplici strumenti e varianti di malware associati al gruppo informatico sponsorizzato dallo stato Nord Coreano. L’indagine su questa campagna ha rivelato che Lazarus ha utilizzato più malware, incluso uno sconosciuto con funzionalità simili a Bankshot. Dal 18 al 26 marzo 2018 è stato osservato entrare in azione in più aree del mondo e alcune parti di codice ricordavano il malware Destover, che è stato utilizzato nell’attacco Sony Pictures del 2014. Inoltre, il team di McAfee ha scoperto Proxysvc ed alcuni server di controllo aggiuntivi che, sono stati utilizzati insieme alla variante Destover del 2017 e hanno operato senza essere rilevato dalla metà del 2017. Nell’operazione GhostSecret , Lazarus ha utilizzato un’infrastruttura simile alle minacce precedenti, inclusi i certificati SSL utilizzati da FakeTLS nel codice trovato nella variante backdoor Destover, nota come Escad, che è stata utilizzata nell’attacco di Sony Pictures. Quest’ultima analogia ed altre, come ad esempio gli attacchi alle banche turche e sudamericane, hanno consentito di individuare gli aggressori nel gruppo apt più strutturato in Corea del Nord.

Il framework che “MATA” tutti i sistemi operativi

Nell’aprile 2018 è stato scoperto un malware chiamato MATA. Il framework del malware MATA possedeva diversi componenti tra cui molti plug-in. Questo framework completo era in grado di indirizzare i sistemi operativi Windows, Linux e macOS ed è stato utilizzato in modo aggressivo per infiltrarsi in strutture aziendali di tutto il mondo.  

Ciò che eseguiva il malware  era WmiPrvSE.exe, un “Processo host provider WMI” che viene eseguito da un host remoto per spostarsi lateralmente, pertanto, sembrerebbe essere stato utilizzato per compromettere anche altri host aggiuntivi nella stessa rete. Successivamente è stato scoperto un malware che da disposizioni precise ed è stato identificato nel processo lsass.exe e che caricava i dati di configurazione crittografati da una chiave di registro per poi decrittografarli con l’algoritmo AES.

Lsass.exe poteva scaricare 15 plugin contemporaneamente tramite tre modi:

  • Scaricare il plug-in dal server HTTP o HTTPS specificato
  • Caricare il file del plug-in crittografato con AES da un percorso del disco specificato
  • Scaricare il file del plug-in dalla connessione MataNet corrente

MataNet era una infrastruttura allestita ad hoc per sfruttare al meglio tutte le potenzialità del framework malevolo: per la comunicazione segreta, utilizzavano connessioni TLS1.2 con l’aiuto della libreria open source “openssl-1.1.0f“, collegata staticamente all’interno di questo modulo. Inoltre, il traffico tra i nodi MataNet veniva crittografato con una chiave di sessione RC4 casuale. MataNet implementava sia la modalità client che quella server.

Il client MataNet stabiliva connessioni periodiche con il proprio centro di comando con un messaggio avente un’intestazione lunga 12 byte, dove il primo DWORD era l’ID del messaggio e il resto dati ausiliari. Ecco la lista dei plugin e delle loro funzioni che componevano il pacchetto malevolo acquisito una volta infetti da Mata:

  • MATA_Plug_Cmd.dll Eseguiva “cmd.exe /c” o “powershell.exe” con i parametri specificati e riceveva l’output dell’esecuzione del comando.
  • MATA_Plug_Process.dll Manipolava il processo (processo di elenco, processo di interruzione, processo di creazione, processo di creazione con ID sessione utente connesso).
  • MATA_Plug_TestConnect.dll Controllava la connessione TCP con IP:porta o intervallo IP specificato. Ping dato host o intervallo IP.
  • MATA_Plug_WebProxy.dll Creava un server proxy HTTP. Il server ascolta le connessioni TCP in entrata sulla porta specificata, processava le richieste CONNECT dai client al server HTTP e inoltrava tutto il traffico tra client e server.
  • MATA_Plug_File.dll Manipolava i file (scriveva i dati ricevuti su un determinato file, inviava un determinato file dopo la compressione LZNT1, comprimeva la cartella specificata in %TEMP%\~DESKTOP[8random hex].ZIP e inviava, cancellando il file specificato, cerca il file, elenca il file e la cartella , file di cronometraggio).
  • MATA_Plug_Load.dll Iniettava il file DLL nel processo specificato utilizzando il PID e il nome del processo o iniettava il file DLL XORed nel processo specificato, facoltativamente chiamava la funzione di esportazione con gli argomenti.
  • MATA_Plug_P2PReverse.dll Aiutava a connettersi tra il server MataNet da un lato e un server TCP arbitrario dall’altro, quindi inoltrava il traffico tra di loro. Gli IP e le porte per entrambi i lati sono specificati nella chiamata a questa interfaccia.
  • Una stringa interessante all’interno del plugin MATA_Plug_WebProxy – “Proxy-agent: matt-dot-net” – perché era un riferimento al progetto open source di Matt McKnight. Ci sono alcune differenze però. Il progetto di Matt è scritto in C# anziché in C++. Il proxy MATA era notevolmente più semplice, in quanto non era presente né cache né supporto SSL, ad esempio. È possibile che gli autori di MATA abbiano trovato e utilizzato il codice sorgente di una prima versione del server proxy di Matt. Sembrava che l’autore del malware avesse riscritto il codice da C# a C++ lasciando questo footprint invariato.

Il framework MATA si rivolgeva non solo al sistema Windows ma anche ai sistemi Linux e macOS. Nella versione per Linux vi era uno strumento per elencare le cartelle, script con il fine di sfruttare Atlassian Confluence Server (CVE-2019-3396), uno strumento socat e una versione Linux del payload MATA in bundle insieme a una serie di plug-in.

Su sistema MacOS vi era un malware MATA target caricato su VirusTotal l’8 aprile 2020. Il file Apple Disk Image dannoso era un’applicazione macOS trojan basata su un’applicazione di autenticazione a due fattori open source denominata MinaOTP.

Le vittime del framework MATA non erano limitate ad un territorio specifico e furono registrate in Polonia, Germania, Turchia, Corea, Giappone e India. Inoltre, l’attore ha compromesso i sistemi in vari settori, tra cui una società di sviluppo software, una società di e-commerce e un fornitore di servizi Internet.

Apple JEUS: Banche, Soldi e Criptovalute in cassa

Kaspersky Lab indagava su una piattaforma di criptovalute attaccata da Lazarus ed ha fatto una scoperta inaspettata. La vittima era stata infettata con l’aiuto di un’applicazione di trading di criptovalute troianizzata, che era stata raccomandata all’azienda via e-mail. Si è scoperto che un ignaro dipendente della società aveva scaricato volontariamente un’applicazione di terze parti da un sito web dall’aspetto legittimo e il suo computer era stato infettato da un malware noto come Fallchill, un vecchio strumento a cui Lazarus è tornato recentemente.

Per assicurarsi che la piattaforma OS non fosse un ostacolo per infettare gli obiettivi, sembra che gli aggressori siano andati oltre e abbiano sviluppato malware per altre piattaforme, anche per macOS, con addirittura una versione per Linux in arrivo, secondo il sito web. L’utente ha installato il programma tramite un link di download consegnato via e-mail e gli aggressori hanno optato per uno schema più elaborato: il codice trojan è stato diffuso sotto forma di un aggiornamento per un’applicazione commerciale dall’aspetto legittimo chiamata Celas Trade Pro di Celas Limited non ha mostrato segni di comportamento dannoso e sembrava genuina ed era un programma di trading di criptovalute in stile all-in-one sviluppato da Celas.

CryptoCore: tre anni di furti e centinaia di milioni in criptovalute rubati

Nell’estate 2018 è emersa CryptoCore: una campagna di attacco contro le società di crypto-exchange che è stata in corso per tre anni ed è stata scoperta dai ricercatori di ClearSky. L’attacco si è concentrato principalmente sul furto di portafogli di criptovalute ed è stata segnalato anche da altre aziende ed è per questo che è nota anche come CryptoMimic, Dangerous Password e Leery Turtle. Lazarus è stato il primo sospettato a causa di alcuni precedenti nello stesso anno nel settore finanziario, in particolare riferimento alle criptovalute, ma quello che ha sorpreso sono stati gli attacchi a Israele mai effettuati prima di allora dagli apt nord coreani.

DTRACK il RAT del 2018 firmato Lazarus

Alla fine dell’estate del 2018 è stato scoperto ATMDtrack, un pezzo di malware bancario rivolto alle banche indiane. Ulteriori analisi hanno mostrato che il malware era stato progettato per essere piantato sui bancomat dell’istituto di credito vittima in modo tale da poter leggere e memorizzare i dati delle carte che venivano inserite nelle macchine. A seguito di un’indagine effettuata da Kaspersky, sono state rilevati oltre 180 nuovi campioni di malware dello strumento spia definitivamente identificato come Dtrack.

Tutti i campioni di Dtrack trovati inizialmente sembravano inutilizzati, poiché il vero payload era criptato con vari dropper ma, una volta scoperto l’arcano decifrando gli offuscatori, si sono scoperte somiglianze con la campagna DarkSeoul, risalente al 2013 e attribuita al gruppo Lazarus.

L’entrata del dropper avveniva tramite un codice maligno in un binario che era un eseguibile innocuo. In alcuni casi, era il progetto predefinito di Visual Studio MFC, ma poteva essere qualsiasi altro programma.

I dati di overlay decriptati contenevano i seguenti artefatti:

  • un eseguibile extra;
  • uno shellcode per l’hollowing del processo;
  • un elenco di nomi di eseguibili predefiniti, che il malware usa come nome del processo futuro.

Dopo la decrittazione dei dati, il codice di hollowing del processo viene avviato, prendendo come argomento il nome del processo da holloware. Il nome proviene dall’elenco predefinito trovato all’interno dell’overlay decrittato. Tutti i nomi provenivano dalla cartella %SYSTEM32%, come potete vedere nell’elenco di file decrittati qui sotto.

fontview.exe dwwin.exe wextract.exe runonce.exe grpconv.exe msiexec.exe rasautou.exe rasphone.exe extrac32.exe mobsync.exe verclsid.exe ctfmon.exe charmap.exe scrivere.exe sethc.exe control.exe presentationhost.exe napstat.exe systray.exe mstsc.exe cleanmgr.exe

I dropper contenevano una varietà di eseguibili, tutti destinati a spiare la vittima. Di seguito è riportato un elenco incompleto delle funzionalità dei vari eseguibili payload di Dtrack trovati:

  • keylogging,
  • recupero della cronologia del browser,
  • raccolta di indirizzi IP degli host, informazioni sulle reti disponibili e sulle connessioni attive,
  • elencare tutti i processi in esecuzione,
  • elencare tutti i file su tutti i volumi di disco disponibili.

Alcuni degli eseguibili impacchettavano i dati raccolti in un archivio protetto da password salvandoli sul disco, mentre altri inviano i dati al server C&C direttamente.

Oltre ai suddetti eseguibili, i dropper contenevano anche un Trojan di accesso remoto (RAT). L’eseguibile RAT permetteva ai criminali di eseguire varie operazioni come:

  • 1003 caricare un file sul computer della vittima
  • 1005 rendere persistente il file di destinazione con avvio dell’esecuzione automatica sull’host della vittima
  • 1006 scarica un file dal computer della vittima
  • 1007 esegue il dump di tutti i dati del volume del disco e lo carica su un host controllato dai criminali
  • 1008 eseguire il dump di un volume del disco scelto e caricarlo su un host controllato dai criminali
  • 1011 esegue il dump di una cartella scelta e la carica su un host controllato dai criminali
  • 1018 imposta un nuovo valore di timeout dell’intervallo tra i controlli dei nuovi comandi
  • 1023 uscire e rimuovere la persistenza e il binario stesso
  • eseguire di default un processo sull’host della vittima

L’Operazione “atomica” Sharpshooter

Il team McAfee Advanced Threat Research e il McAfee Labs Malware Operations Group hanno scoperto una nuova massiva azione di attacco globale che prendeva di mira le aziende del settore nucleare, della difesa, dell’energia e della finanza. Questa campagna, Operation Sharpshooter, sfruttava un codice in-memory per scaricare e recuperare un ulteriore codice di secondo livello per un ulteriore sfruttamento, battezzato con il nome Rising Sun. Questo secondo fattore di attacco utilizzava il codice sorgente del trojan backdoor Duuzer del 2015 del Lazarus Group in una nuova struttura per infiltrarsi in queste industrie chiave.  I numerosi collegamenti tecnici di Operation Sharpshooter al Lazarus Group sembravano troppo ovvi per trarre immediatamente la conclusione che fossero i nord coreani i responsabili degli attacchi.

Nei mesi di ottobre e novembre 2018, l’impianto Rising Sun è apparso in 87 organizzazioni in tutto il mondo, prevalentemente negli Stati Uniti. La maggior parte delle vittime prese di mira erano di lingua inglese. Questo attore ha usato l’attività di reclutamento come esca per raccogliere informazioni sugli individui presi di mira o sulle organizzazioni che gestiscono i dati relativi alle industrie di interesse.

Il vettore di attacco iniziale restava un documento contenente una macro malevola per scaricare la fase successiva, che veniva eseguita in memoria e raccoglieva informazioni mentre I dati della vittima venivano inviati a un server di controllo per essere monitorati dagli attori, che poi determinavano le fasi successive.

2018 iniziato e terminato con il furto di criptovalute

Il guadagno finanziario è rimasto uno degli obiettivi principali di Lazarus, con le sue tattiche, tecniche e procedure in continua evoluzione per evitare di essere scoperto. Dopo l’operazione Applejeus è stata scoperta una nuova operazione, attiva almeno da novembre 2018, che utilizzava PowerShell per controllare i sistemi Windows e il malware macOS per gli utenti Apple. Hanno sviluppato script PowerShell personalizzati che comunicano con server C2 dannosi ed eseguono comandi dall’operatore. I nomi degli script del server C2 sono mascherati da file WordPress (popolare motore di blog) e da altri popolari progetti open source. Dopo aver stabilito la sessione di controllo del malware con il server, la funzionalità fornita dal malware includeva:

  • Impostare il tempo di “sonno” (ritardando le interazioni C2)
  • Uscire dal malware
  • Raccogliere le informazioni di base sull’host
  • Controllare lo stato del malware
  • Mostrare la configurazione attuale del malware
  • Aggiornare la configurazione del malware
  • Eseguire il comando della shell di sistema
  • Scaricare e caricare file

Il malware è stato distribuito tramite documenti accuratamente preparati per attirare l’attenzione dei professionisti delle criptovalute. Visto come alcuni dei documenti sono stati infiocchettati in coreano, era chiaro che le imprese sudcoreane fossero una priorità assoluta per Lazarus. Un documento intitolato “Documento di esempio per la valutazione del business plan di una società di venture capital” (tradotto dal coreano), un altro macro-armored (e9a6a945803722be1556fd120ee81199) che conteneva una presentazione aziendale di quello che sembrava essere un gruppo di consulenza tecnologica cinese chiamato LAFIZ ed una società di scambio di criptovalute che forniva un documento di elenchi di monete con una traduzione in coreano,  con un documento dannoso contenente la stessa macro.

Questi campioni di malware per Windows sono stati forniti utilizzando documenti HWP (Korean Hangul Word Processor format) dannosi e che sfruttavano una nota vulnerabilità PostScript. Va notato che i documenti HWP sono popolari solo tra gli utenti coreani (Hangul Word Processor è stato sviluppato in Corea del Sud) e abbiamo assistito a diversi attacchi con lo stesso metodo quindi la matrice nordcoreana è più che una pista probabile.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

Meta vuole sottopagare la Musica italiana, ma va difesa perchè la SIAE è il male

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il paradosso italiano: firmare i contratti perchè c’è chi paga poco, ma paga. Anche se sottopaga pur avendo bisogno degli artisti del Bel Paese

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

La scomparsa della musica italiana da Instagram e Facebook ha causato grande sconcerto tra gli utenti. Questo è avvenuto a seguito del mancato accordo tra il colosso dei social media, Meta, e la SIAE, l’ente che tutela i diritti d’autore degli artisti italiani. La licenza per l’utilizzo delle canzoni italiane è scaduta a gennaio, e Meta ha cercato di negoziare senza concedere alcun margine di compromesso, chiedendo sostanzialmente alla SIAE di accettare le loro condizioni senza garanzie.

Il governo italiano ha cercato di intervenire nella disputa, ma finora non è stata raggiunta alcuna soluzione concreta. Nel frattempo, gli utenti italiani sono impossibilitati dall’utilizzare la musica italiana nelle loro storie e reel su Instagram e Facebook. Questa situazione potrebbe indurre molti a passare al concorrente cinese TikTok, che ha già guadagnato una quota significativa del mercato nel 2022.

L’industria musicale italiana è gravemente danneggiata da questa situazione, in quanto il mercato digitale rappresenta l’83% dei suoi ricavi. Gli utenti italiani si trovano ora senza la possibilità di condividere la colonna sonora delle loro vite attraverso i social media, e ciò potrebbe portare a un calo dell’interesse per la musica italiana sia a livello nazionale che internazionale.

In sintesi, il mancato accordo tra Meta e SIAE ha creato una situazione difficile per l’industria musicale italiana e per gli utenti dei social media nel paese. Se non verrà raggiunta una soluzione, il settore musicale italiano e la sua presenza sulle piattaforme digitali potrebbero risentirne notevolmente, con possibili ripercussioni negative sulla promozione e la diffusione della musica italiana nel mondo.

Fino a qui, la ragione sembra trovarsi dalla parte della piattaforma statunitense che “offre” una opportunità di visibilità per quegli artisti che non hanno successo e nemmeno i soldi per promuoversi. La domanda è però un’altra: il patrimonio artistico culturale del nostro paese è più importante di una piattaforma commerciale statunitense?

La verità da parte di SIAE, che rappresenta molti artisti locali ma non tutti, è che l’offerta economica del social era stata già decisa a tavolino e non aveva margini di trattativa ulteriori. Il muro contro muro è una strategia che fa comprendere alla piattaforma come sarebbe il social senza la musica italiana.

Premesso che gli effetti sono visibili solo ed esclusivamente su testi italiani, su cantanti che appartengono a SoundReef, un’alternativa per gli artisti alla SIAE, o altre etichette e che questo giochi a sfavore non solo dei “deboli”, ma anche a grossi nome come la Pausini, c’è però da fare una considerazione sul perchè Soundreef sia migliore di Siae: solo perchè è presente su Facebook?

Contenuti senza musica o senza musica il nulla politico?

C’è poi il dettaglio dei contenuti: Facebook nasce come social di “foto” e “testo”, la musica è arrivata dopo con i video, ma è chiaro senza la musica, i contenuti della piattaforma perderebbero molto in termini di valore, qualità e gradimento. Questo dovrebbe far riflettere quante più persone sull’abbandonare la piattaforma senza maledire la SIAE che invece sta rappresentando un intero settore “sottopagato” come da anni avviene nel mondo della globalizzazione, diventata gigaeconomy, e che sta facendo emergere la vera realtà di un social che ospitava pensieri profondi ed idee politiche per essere diventato poi il modello perfetto di censura, controllo e manipolazione del pensiero occidentale.

Stesso discorso per Instagram, dove alle foto hanno fatto spazio video per lo più televendite di profili pornografici di Onlyfans, ma “Meta non era contro il porno?”, che avvicinano minori a profili a luci rosse e foto dove la musica non è richiesta per forza. Chi ha interesse affinché la SIAE svenda la musica al dandy americano? Solo chi non comprende che i social vivono di contenuti e dell’intelletto altrui ed è per questo che TikTok, paga tutti i creator a differenza di Facebook che ha una lista di influencer favoriti decisi anche dalla politica globalista e regole di ingaggio poco chiare e spesso rivelatesi scorrete per il mercato.

Azienda, piattaforma social o comitato d’affari?

Perchè il Governo dovrebbe intervenire? Per favorire gli americani di Zuckerberg a discapito dei cinesi per via di TikTok e della sciurezza del nostro paese?

E perchè non invece essere più sodale con YouTube che oramai, insieme a Spotify, è il metro preferito dall’industria musicale globale?

Sarebbe forse il caso di iniziare a valutare realtà come Meta per quello che sono, aziende presenti sul mercato che non hanno nè più nè meno di diverso rispetto alle altre e proprio per questo non meritano attenzioni particolari e possono tranquillamente gestirsi da sole senza troppi aiuti di figure governative comprensivi, fin troppo, forse al limite della connivenza.

Prosegui la lettura

Inchieste

Killnet assalta gli ospedali e Phoenix colpisce missione EOSDIS della NASA

Condividi questo contenuto

Tempo di lettura: 4 minuti. Hanno monitorato tutti gli attacchi dal 18 novembre 2022 al 17 febbraio 2023, osservando un aumento da 10-20 attacchi giornalieri a novembre a 40-60 attacchi ogni giorno a febbraio

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Killnet è tornato ed ha hackerato la NASA dopo un periodo di silenzio a causa del grande successo avuto dei cugini di NoName057. Il collettivo di hacktivisti russi ha pubblicato dettagli e dati sulla missione spaziale della NASA prevista sul satellite della terra.

🤴 Il gruppo di hacker russi PHOENIX si assume la piena responsabilità di aver violato alcuni dei vostri sistemi.

Lo dico in modalità 🔴 in quanto ho fiducia in me stesso e nei vostri professionisti IT.

✔️На al momento abbiamo accesso a (i dati saranno aggiornati):

⚡️Данные dai satelliti della missione MMS
⚡️Учетные record degli utenti/specialisti di EOSDIS
⚡️Нескольо terabyte di dati di ricerca, schemi di veicoli spaziali, rapporti e documenti aziendali
⚡️SOON…

credenziali di login dei dipendenti

Nonostante Killnet si sia da sempre contraddistinta per gli attacchi di DDoS, questa volta invece ha giocato un ruolo diverso dal solito entrando nei server della NASA: l’ente di aviazione spaziale americana famosissima anche per i suoi sistemi di sicurezza informatici avanzati e a prova di intrusioni non solo di hacker bensì anche militari da parte di altri paesi. Un’attività a questa che dovrà essere smentita dall’ente statunitense oppure confermata, ma attualmente sono stati pubblicati i dati con relative password delle persone impegnate nel progetto e quindi si può affermare che danno permanente è stato fatto salvo smentite sulal qualità dei contenuti

Cosa è la missione EOSDIS?

EOSDIS, acronimo di Earth Observing System Data and Information System, è un sistema gestito dalla NASA per raccogliere, archiviare e distribuire i dati provenienti dai satelliti di osservazione terrestre e dalle missioni scientifiche aeree. L’obiettivo principale di EOSDIS è fornire un accesso semplice e veloce a una vasta gamma di dati e informazioni relative all’ambiente terrestre, all’atmosfera, all’oceano e alle aree glaciali e polari.

EOSDIS fa parte del programma Earth Science Data Systems (ESDS) della NASA e utilizza diversi centri di elaborazione e distribuzione dei dati, chiamati Distributed Active Archive Centers (DAACs), per archiviare e distribuire i dati a ricercatori, scienziati e altre parti interessate in tutto il mondo.

Tra i principali servizi offerti da EOSDIS vi sono la possibilità di cercare e scaricare dati e immagini, visualizzare mappe e grafici e accedere a strumenti di analisi per comprendere meglio le tendenze e i fenomeni legati all’ambiente terrestre e ai cambiamenti climatici.

L’allarme dagli USA: Killnet colpisce gli ospedali

Questa settimana, i ricercatori nel campo della cybersecurity hanno osservato che il gruppo di hacker pro-Russia noto come Killnet sta intensificando gli attacchi DDoS (Distributed Denial of Service) contro le organizzazioni sanitarie a partire dal novembre scorso.

Killnet è stato creato in seguito all’invasione della Russia in Ucraina nel febbraio 2022 e ha trascorso gran parte dell’ultimo anno lanciando attacchi DDoS contro governi e aziende di tutto il mondo. Sebbene gli attacchi siano per lo più un fastidio – mettendo offline i siti web per circa un’ora nella maggior parte dei casi – hanno suscitato preoccupazione all’interno del governo degli Stati Uniti, in particolare quando vengono lanciati contro infrastrutture critiche come aeroporti e ospedali.

Nei mesi recenti, il gruppo ha concentrato la sua attenzione sui siti web delle organizzazioni sanitarie, lanciando una campagna a febbraio che ha preso di mira ospedali in oltre 25 stati. La Cybersecurity and Infrastructure Security Agency (CISA) ha affermato che meno della metà di questi attacchi – che prevedevano l’invio di un’enorme quantità di richieste di pagina ai siti web presi di mira – ha avuto successo nel mettere offline i siti.

Venerdì, i membri del Microsoft Azure Network Security Team, Amir Dahan e Syed Pasha, hanno pubblicato un’analisi degli attacchi DDoS alle organizzazioni sanitarie utilizzando i loro strumenti di sicurezza.

“Le tipologie di organizzazioni sanitarie attaccate comprendevano il settore farmaceutico e delle scienze della vita con il 31% di tutti gli attacchi, gli ospedali con il 26%, le assicurazioni sanitarie con il 16% e i servizi e le cure sanitarie anch’esse con il 16%”, hanno dichiarato. Killnet ha solitamente provato due metodi diversi: creare molte connessioni diverse e cercare di mantenerle attive il più a lungo possibile per rendere inutilizzabile un sito web, oppure stabilire quante più nuove connessioni possibili in un breve lasso di tempo per esaurire le risorse.

“Killnet e i suoi avversari affiliati utilizzano gli attacchi DDoS come tattica più comune. Utilizzando script DDoS e stressor, reclutando botnet e utilizzando fonti di attacco contraffatte, KillNet può facilmente interrompere la presenza online di siti web e app”, hanno affermato i ricercatori. Servizi di protezione DDoS come Cloudflare hanno segnalato tendenze simili. Akamai, un’altra azienda che offre strumenti simili, ha pubblicato un rapporto il mese scorso che evidenziava un aumento significativo degli incidenti DDoS in Europa nel 2022, con un numero crescente di campagne che ora coinvolgono tattiche di estorsione. L’azienda ha anche avvertito che gli attacchi DDoS vengono ora sempre più utilizzati come copertura per vere e proprie intrusioni che coinvolgono ransomware e furto di dati.

Omer Yoachimik di Cloudflare ha riferito a The Record che la loro ricerca sulla campagna DDoS di Killnet nel settore sanitario indica che gli attacchi venivano “crowdsourced”, ovvero gli operatori di Killnet si rivolgevano ad altri gruppi e individui che utilizzano più botnet o metodi di attacco diversi. Anche la CISA ha dichiarato a The Record che gli incidenti DDoS sono diventati una questione prioritaria per l’agenzia, poiché cercano di proteggere le infrastrutture critiche.

“Il nostro personale regionale sta lavorando a stretto contatto con i nostri partner sul territorio e incoraggiamo tutte le organizzazioni, compresi gli enti statali e locali, a rimanere vigili e ad adottare misure per proteggersi”, ha detto il portavoce, facendo riferimento a una guida pubblicata insieme all’FBI a ottobre su come le organizzazioni possono ridurre la probabilità e l’impatto degli attacchi DDoS. Il portavoce ha aggiunto che per gran parte dell’ultimo anno, la CISA ha aiutato le organizzazioni a mitigare gli attacchi DDoS, in particolare quelli lanciati da Killnet. L’agenzia ha anche collaborato con diverse aziende tecnologiche per fornire risorse gratuite alle organizzazioni con finanziamenti limitati, al fine di aiutarle a ridurre l’impatto degli attacchi DDoS.

Prosegui la lettura

Inchieste

ACN finalista su LinkedIn: spegnetegli i social

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: < 1 minuto.

“A pensar male ci si azzecca” diceva qualcuno di molto importante nella storia del nostro Paese.

L’Agenzia della Cybersicurezza Nazionale ha venduto sui social un grande successo che in realtà ha confermato una grande parte delle critiche mosse al suo ufficio di comunicazione da molti esperti informatici del Paese. Molta fuffa, molta politica, tantissima comunicazione e grande autoreferenzialità all’interno dei social network, ma pochissima sostanza.

Durante un periodo in cui l’ente è finito in un turbine di polemiche in seguito ad attacchi informatici da ogni dove, tra l’altro che hanno interessato più volte gli stessi obiettivi, c’è chi sui social ha pensato di vendersi l’essere rientrata tra i finalisti in un contest organizzato da LinkedIn.

Sì, proprio quella piattaforma utilizzata dall’Agenzia per una comunicazione “uno a molti” dove dipendenti dello Stato hanno più volte dato patenti di ignoranza ad esperti informatici che hanno dimostrato di aver svolto il ruolo delle “cassandre” e li ha offesi o addirittura minacciati via mail quando è stato segnalato un bug al CSIRT. LinkedIn, di proprietà della Microsoft che ha stipulato con l’ex direttore Baldoni un accordo per formare 100.000 esperti informatici nei prossimi anni a botte di certificazioni Microsoft, ha inserito tra i finalisti l’ACN per aver speso speso più tempo sul social network a dirsi di essere “bella e brava” ed “innovativa” senza però risolvere concretamente i problemi del paese per i quali è stata costituita.

Speriamo vinca il premio finale, altrimenti oltre ad aver messo in cattiva luce le proprie capacità pratiche, la beffa di non portare a casa la “mucca Carolina” sarebbe il colpo finale ad un’attività di comunicazione per un ente totalmente tecnico che dovrebbe spegnere i social ed occuparsi della sicurezza cibernetica in Italia.

Prosegui la lettura

Facebook

CYBERWARFARE

DeFi7 giorni fa

Hacker travestito da Zelensky intervista Lagarde sull’euro digitale?

Tempo di lettura: < 1 minuto. Verità o deep fake? Non è dato saperlo se si riflette

Notizie7 giorni fa

Armis pubblica rapporto sulla guerra cibernetica e le difese del Regno Unito

Tempo di lettura: 2 minuti. Condividi questo contenutoIntroduzione: Armis, una delle principali aziende nel campo della visibilità e sicurezza degli...

Notizie1 settimana fa

KillNet mira alle applicazioni sanitarie ospitate su Microsoft Azure

Tempo di lettura: < 1 minuto. Condividi questo contenutoUn gruppo hacktivist affiliato alla Russia noto come KillNet è stato osservato...

Notizie1 settimana fa

Cremlino vieta iPhone a operatori coinvolti nella campagna elettorale di Putin nel 2024

Tempo di lettura: < 1 minuto. Condividi questo contenutoIl Cremlino ha imposto il divieto di utilizzo degli iPhone per i...

Notizie1 settimana fa

Gli hacker cinesi e russi usano il malware Silkloader per eludere il rilevamento

Tempo di lettura: < 1 minuto. Condividi questo contenutoLa regina canadese di QAnon, Romana Didulo, è stata etichettata come “falsa”...

Notizie1 settimana fa

NoName057 mette in palio 1 milione di rubli per chi partecipa ai DDoS

Tempo di lettura: < 1 minuto. Condividi questo contenuto Il gruppo di attivisti NoName057, conosciuto in Italia per essere stato...

Notizie2 settimane fa

Microsoft: Usa e Polonia i paesi più spiati dai russi

Tempo di lettura: < 1 minuto. Condividi questo contenutoSecondo un nuovo rapporto di intelligence di Microsoft, la Russia ha intensificato...

Notizie2 settimane fa

Microsoft: come sarà il secondo anno di guerra cibernetica

Tempo di lettura: 3 minuti. "La collaborazione tra settore pubblico e privato è essenziale per la difesa cibernetica e per...

Notizie3 settimane fa

Guerra cibernetica: il Pentagono non è pronto per la terza guerra mondiale

Tempo di lettura: < 1 minuto. Competere con la Cina per non essere sopraffatti

Notizie3 settimane fa

Cozy Bear ha attaccato la Commisione Europea: l’analisi dell’esperto

Tempo di lettura: < 1 minuto. Mentre il Cremlino sforna wiper dall'inizio del conflitto, una parte dell'esercito russo prova costantemente...

Truffe recenti

Truffe online20 ore fa

Truffa “wangiri”: donna perde tutto il credito telefonico richiamando numero misterioso

Tempo di lettura: < 1 minuto. La truffa dello squillo senza risposta continua a mietere vittime tra gli ignari utenti...

Truffe online2 giorni fa

Sim swap a Napoli, condannate Intesa Sanpaolo e Telecom Italia

Tempo di lettura: < 1 minuto. Le due aziende dovranno risarcire il 50% dei 29.000 euro rubati

Notizie3 giorni fa

Esperto di tecnologia smaschera la truffa del “numero sbagliato”

Tempo di lettura: 2 minuti. Un esperto di sicurezza informatica indaga a fondo una truffa sofisticata e rivela come funziona

Truffe online2 mesi fa

Truffa Facebook Little Flowers ai danni de La Repubblica: la matrice è cinese

Tempo di lettura: 3 minuti. Condividi questo contenuto In questi giorni abbiamo analizzato come attraverso Google Adwords è possibile veicolare...

Truffe online2 mesi fa

Truffa da 25.000 euro su Hiobit.com : la matrice è asiatica

Tempo di lettura: 2 minuti. Da Tinder ad un sito internet di trading, come un profilo asiatico è riuscito a...

Truffe online2 mesi fa

Pacco e contropaccotto: Vinted consente truffa “Morada” ai danni dei suoi venditori

Tempo di lettura: 2 minuti. Altro venditore di 500 euro, la società ha rimborsato il criminale a migliaia di km...

Truffe online2 mesi fa

Malware trasmesso da Google Ads prosciuga l’intero portafoglio di criptovalute di un influencer NFT

Tempo di lettura: 2 minuti. Un link pubblicitario sponsorizzato su Google ha nascosto un malware che ha travasato migliaia di...

Notizie3 mesi fa

“Entra nell’Interpol” la nuova truffa sui social media che spopola in Sud Africa

Tempo di lettura: 2 minuti. L'Organizzazione internazionale di polizia criminale (Interpol) ha lanciato un allarme su una truffa online che...

DeFi3 mesi fa

Scandalo FTX, i genitori di Sam Bankman Fried sono indagati: confermata l’inchiesta di Matrice Digitale

Tempo di lettura: 2 minuti. Avrebbero speso i fondi societari per acquisti personali e sono il collante con le "coperture"...

Truffe online5 mesi fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Tendenza