Connect with us
speciale truffe online

segnalaci un sito truffa

Inchieste

Nord Corea 2018: La guerra cibernetica di Lazarus tra Mata Framework, Bankshot, e furti di criptovalute.

Pubblicato

il

lazarus
Condividi questo contenuto
Tempo di lettura: 10 minuti.

Il 2018 è stato l’anno di una serie di attacchi a catena che hanno contraddistinto il gruppo Lazarus nello scenario internazionale come minaccia attiva e persistente.

Lazarus, come visto in precedenza, ha lo scopo primario di fornire approvvigionamenti al governo nord coreano e verso fine 2017 si è reso protagonista di una serie di attacchi ai mercati di criptovalute ed ad alcuni istituti di credito. La linea seguita nel 2018 è stata sicuramente più aggressiva in tal senso.

Linkedin: l’oceano da cui pescare vittime

Nel Febbraio 2018 una indagine di F-Secure ha rivelato che un amministratore di sistema di un’organizzazione bersaglio ha ricevuto un documento di phishing attraverso il suo account personale di LinkedIn. Il documento era mascherato da un annuncio di lavoro per un ruolo in una società di tecnologia blockchain che corrispondeva alle competenze del dipendente. Più tardi, nel 2019, sempre F-Secure ha scoperto dettagli tecnici sul modus operandi di Lazarus Group durante un’indagine su un attacco a una realtà dedita al commercio di criptovalute, collegato a una campagna di phishing globale più ampia, partita nel 2017, e che risultava ancora in corso. F-Secure ha attribuito l’attacco al gruppo Lazarus Group sulla base di somiglianze nel malware, tattiche, tecniche e Procedures (TTPs) osservate in azioni precedenti del gruppo nordcoreano. L’analisi di F-Secure del malware ha suggerito forti somiglianze con i campioni utilizzati in altre campagne del Lazarus Group, dettagliate in ricerche precedentemente pubblicate da Kaspersky e ESET.

Lazarus Group è noto per aver sfruttato una combinazione di malware personalizzati e utility native del sistema operativo (OS) per raggiungere il suo obiettivo. Altro aspetto fondamentale, che contraddistingue la bravura del gruppo, è che una delle maggiori preoccupazioni nell’attività certosina è sicuramente quella di provvedere a cancellare la maggior part dei log che possono esporre l’attività silente ai sistemi di rilevamento.

Bankshot: una minaccia finanziaria in Turchia da milioni di dollari

Il 28 febbraio, il team di McAfee Advanced Threat Research ha scoperto l’attività criminale di Lazarus che continuava a prendere di mira asset di criptovalute e le organizzazioni finanziarie con il malware già visto in precedenza dal nome Bankshot. Sulla base della somiglianza del codice, del settore di attività delle potenziali vittime e della presenza di stringhe del server di controllo, l’attacco rimembrava i precedenti nefasti condotti contro la rete finanziaria globale SWIFT. Bankshot è stato progettato per persistere nella rete di una vittima per più di un unico sfruttamento; pertanto il team di Advanced Threat Research ha ritenuto che questa operazione ha avuto lo scopo di ottenere l’accesso a specifiche organizzazioni finanziarie. Le organizzazioni finanziarie in Turchia sono state prese di mira tramite e-mail di spear phishing contenenti un documento Microsoft Word dannoso. Il documento conteneva un exploit Adobe Flash incorporato ed è stato svelato dall’agenzia sudcoreana per la sicurezza in Internet. L’exploit, che sfruttava CVE-2018-4878, consentiva a un utente malintenzionato di eseguire codice arbitrario come un malware.

Bankshot è stato distribuito da un dominio con un nome simile a quello della piattaforma di prestito di criptovalute FalconCoin. Il dominio dannoso falcancoin.io è stato creato il 27 dicembre 2017 ed è stato aggiornato il 19 febbraio, solo pochi giorni prima della comparsa dei file malevoli. Bankshot era essenzialmente uno strumento di accesso remoto che poteva offrire a un utente malintenzionato la piena capacità del sistema di una vittima. Questa minaccia conteneva anche funzionalità per cancellare file e contenuti dal sistema di destinazione per dissipare prove o eseguire altre azioni distruttive.

Operazione “Ghost secret”

Sempre McAfee Advanced Threat Research ha scoperto una campagna globale di acquisizione di dati che attaccava un ampio numero di settori economici e governativi tra cui infrastrutture critiche, intrattenimento, finanza, assistenza sanitaria e telecomunicazioni. La campagna, soprannominata Operazione GhostSecret, sfruttava molteplici strumenti e varianti di malware associati al gruppo informatico sponsorizzato dallo stato Nord Coreano. L’indagine su questa campagna ha rivelato che Lazarus ha utilizzato più malware, incluso uno sconosciuto con funzionalità simili a Bankshot. Dal 18 al 26 marzo 2018 è stato osservato entrare in azione in più aree del mondo e alcune parti di codice ricordavano il malware Destover, che è stato utilizzato nell’attacco Sony Pictures del 2014. Inoltre, il team di McAfee ha scoperto Proxysvc ed alcuni server di controllo aggiuntivi che, sono stati utilizzati insieme alla variante Destover del 2017 e hanno operato senza essere rilevato dalla metà del 2017. Nell’operazione GhostSecret , Lazarus ha utilizzato un’infrastruttura simile alle minacce precedenti, inclusi i certificati SSL utilizzati da FakeTLS nel codice trovato nella variante backdoor Destover, nota come Escad, che è stata utilizzata nell’attacco di Sony Pictures. Quest’ultima analogia ed altre, come ad esempio gli attacchi alle banche turche e sudamericane, hanno consentito di individuare gli aggressori nel gruppo apt più strutturato in Corea del Nord.

Il framework che “MATA” tutti i sistemi operativi

Nell’aprile 2018 è stato scoperto un malware chiamato MATA. Il framework del malware MATA possedeva diversi componenti tra cui molti plug-in. Questo framework completo era in grado di indirizzare i sistemi operativi Windows, Linux e macOS ed è stato utilizzato in modo aggressivo per infiltrarsi in strutture aziendali di tutto il mondo.  

Ciò che eseguiva il malware  era WmiPrvSE.exe, un “Processo host provider WMI” che viene eseguito da un host remoto per spostarsi lateralmente, pertanto, sembrerebbe essere stato utilizzato per compromettere anche altri host aggiuntivi nella stessa rete. Successivamente è stato scoperto un malware che da disposizioni precise ed è stato identificato nel processo lsass.exe e che caricava i dati di configurazione crittografati da una chiave di registro per poi decrittografarli con l’algoritmo AES.

Lsass.exe poteva scaricare 15 plugin contemporaneamente tramite tre modi:

  • Scaricare il plug-in dal server HTTP o HTTPS specificato
  • Caricare il file del plug-in crittografato con AES da un percorso del disco specificato
  • Scaricare il file del plug-in dalla connessione MataNet corrente

MataNet era una infrastruttura allestita ad hoc per sfruttare al meglio tutte le potenzialità del framework malevolo: per la comunicazione segreta, utilizzavano connessioni TLS1.2 con l’aiuto della libreria open source “openssl-1.1.0f“, collegata staticamente all’interno di questo modulo. Inoltre, il traffico tra i nodi MataNet veniva crittografato con una chiave di sessione RC4 casuale. MataNet implementava sia la modalità client che quella server.

Il client MataNet stabiliva connessioni periodiche con il proprio centro di comando con un messaggio avente un’intestazione lunga 12 byte, dove il primo DWORD era l’ID del messaggio e il resto dati ausiliari. Ecco la lista dei plugin e delle loro funzioni che componevano il pacchetto malevolo acquisito una volta infetti da Mata:

  • MATA_Plug_Cmd.dll Eseguiva “cmd.exe /c” o “powershell.exe” con i parametri specificati e riceveva l’output dell’esecuzione del comando.
  • MATA_Plug_Process.dll Manipolava il processo (processo di elenco, processo di interruzione, processo di creazione, processo di creazione con ID sessione utente connesso).
  • MATA_Plug_TestConnect.dll Controllava la connessione TCP con IP:porta o intervallo IP specificato. Ping dato host o intervallo IP.
  • MATA_Plug_WebProxy.dll Creava un server proxy HTTP. Il server ascolta le connessioni TCP in entrata sulla porta specificata, processava le richieste CONNECT dai client al server HTTP e inoltrava tutto il traffico tra client e server.
  • MATA_Plug_File.dll Manipolava i file (scriveva i dati ricevuti su un determinato file, inviava un determinato file dopo la compressione LZNT1, comprimeva la cartella specificata in %TEMP%\~DESKTOP[8random hex].ZIP e inviava, cancellando il file specificato, cerca il file, elenca il file e la cartella , file di cronometraggio).
  • MATA_Plug_Load.dll Iniettava il file DLL nel processo specificato utilizzando il PID e il nome del processo o iniettava il file DLL XORed nel processo specificato, facoltativamente chiamava la funzione di esportazione con gli argomenti.
  • MATA_Plug_P2PReverse.dll Aiutava a connettersi tra il server MataNet da un lato e un server TCP arbitrario dall’altro, quindi inoltrava il traffico tra di loro. Gli IP e le porte per entrambi i lati sono specificati nella chiamata a questa interfaccia.
  • Una stringa interessante all’interno del plugin MATA_Plug_WebProxy – “Proxy-agent: matt-dot-net” – perché era un riferimento al progetto open source di Matt McKnight. Ci sono alcune differenze però. Il progetto di Matt è scritto in C# anziché in C++. Il proxy MATA era notevolmente più semplice, in quanto non era presente né cache né supporto SSL, ad esempio. È possibile che gli autori di MATA abbiano trovato e utilizzato il codice sorgente di una prima versione del server proxy di Matt. Sembrava che l’autore del malware avesse riscritto il codice da C# a C++ lasciando questo footprint invariato.

Il framework MATA si rivolgeva non solo al sistema Windows ma anche ai sistemi Linux e macOS. Nella versione per Linux vi era uno strumento per elencare le cartelle, script con il fine di sfruttare Atlassian Confluence Server (CVE-2019-3396), uno strumento socat e una versione Linux del payload MATA in bundle insieme a una serie di plug-in.

Su sistema MacOS vi era un malware MATA target caricato su VirusTotal l’8 aprile 2020. Il file Apple Disk Image dannoso era un’applicazione macOS trojan basata su un’applicazione di autenticazione a due fattori open source denominata MinaOTP.

Le vittime del framework MATA non erano limitate ad un territorio specifico e furono registrate in Polonia, Germania, Turchia, Corea, Giappone e India. Inoltre, l’attore ha compromesso i sistemi in vari settori, tra cui una società di sviluppo software, una società di e-commerce e un fornitore di servizi Internet.

Apple JEUS: Banche, Soldi e Criptovalute in cassa

Kaspersky Lab indagava su una piattaforma di criptovalute attaccata da Lazarus ed ha fatto una scoperta inaspettata. La vittima era stata infettata con l’aiuto di un’applicazione di trading di criptovalute troianizzata, che era stata raccomandata all’azienda via e-mail. Si è scoperto che un ignaro dipendente della società aveva scaricato volontariamente un’applicazione di terze parti da un sito web dall’aspetto legittimo e il suo computer era stato infettato da un malware noto come Fallchill, un vecchio strumento a cui Lazarus è tornato recentemente.

Per assicurarsi che la piattaforma OS non fosse un ostacolo per infettare gli obiettivi, sembra che gli aggressori siano andati oltre e abbiano sviluppato malware per altre piattaforme, anche per macOS, con addirittura una versione per Linux in arrivo, secondo il sito web. L’utente ha installato il programma tramite un link di download consegnato via e-mail e gli aggressori hanno optato per uno schema più elaborato: il codice trojan è stato diffuso sotto forma di un aggiornamento per un’applicazione commerciale dall’aspetto legittimo chiamata Celas Trade Pro di Celas Limited non ha mostrato segni di comportamento dannoso e sembrava genuina ed era un programma di trading di criptovalute in stile all-in-one sviluppato da Celas.

CryptoCore: tre anni di furti e centinaia di milioni in criptovalute rubati

Nell’estate 2018 è emersa CryptoCore: una campagna di attacco contro le società di crypto-exchange che è stata in corso per tre anni ed è stata scoperta dai ricercatori di ClearSky. L’attacco si è concentrato principalmente sul furto di portafogli di criptovalute ed è stata segnalato anche da altre aziende ed è per questo che è nota anche come CryptoMimic, Dangerous Password e Leery Turtle. Lazarus è stato il primo sospettato a causa di alcuni precedenti nello stesso anno nel settore finanziario, in particolare riferimento alle criptovalute, ma quello che ha sorpreso sono stati gli attacchi a Israele mai effettuati prima di allora dagli apt nord coreani.

DTRACK il RAT del 2018 firmato Lazarus

Alla fine dell’estate del 2018 è stato scoperto ATMDtrack, un pezzo di malware bancario rivolto alle banche indiane. Ulteriori analisi hanno mostrato che il malware era stato progettato per essere piantato sui bancomat dell’istituto di credito vittima in modo tale da poter leggere e memorizzare i dati delle carte che venivano inserite nelle macchine. A seguito di un’indagine effettuata da Kaspersky, sono state rilevati oltre 180 nuovi campioni di malware dello strumento spia definitivamente identificato come Dtrack.

Tutti i campioni di Dtrack trovati inizialmente sembravano inutilizzati, poiché il vero payload era criptato con vari dropper ma, una volta scoperto l’arcano decifrando gli offuscatori, si sono scoperte somiglianze con la campagna DarkSeoul, risalente al 2013 e attribuita al gruppo Lazarus.

L’entrata del dropper avveniva tramite un codice maligno in un binario che era un eseguibile innocuo. In alcuni casi, era il progetto predefinito di Visual Studio MFC, ma poteva essere qualsiasi altro programma.

I dati di overlay decriptati contenevano i seguenti artefatti:

  • un eseguibile extra;
  • uno shellcode per l’hollowing del processo;
  • un elenco di nomi di eseguibili predefiniti, che il malware usa come nome del processo futuro.

Dopo la decrittazione dei dati, il codice di hollowing del processo viene avviato, prendendo come argomento il nome del processo da holloware. Il nome proviene dall’elenco predefinito trovato all’interno dell’overlay decrittato. Tutti i nomi provenivano dalla cartella %SYSTEM32%, come potete vedere nell’elenco di file decrittati qui sotto.

fontview.exe dwwin.exe wextract.exe runonce.exe grpconv.exe msiexec.exe rasautou.exe rasphone.exe extrac32.exe mobsync.exe verclsid.exe ctfmon.exe charmap.exe scrivere.exe sethc.exe control.exe presentationhost.exe napstat.exe systray.exe mstsc.exe cleanmgr.exe

I dropper contenevano una varietà di eseguibili, tutti destinati a spiare la vittima. Di seguito è riportato un elenco incompleto delle funzionalità dei vari eseguibili payload di Dtrack trovati:

  • keylogging,
  • recupero della cronologia del browser,
  • raccolta di indirizzi IP degli host, informazioni sulle reti disponibili e sulle connessioni attive,
  • elencare tutti i processi in esecuzione,
  • elencare tutti i file su tutti i volumi di disco disponibili.

Alcuni degli eseguibili impacchettavano i dati raccolti in un archivio protetto da password salvandoli sul disco, mentre altri inviano i dati al server C&C direttamente.

Oltre ai suddetti eseguibili, i dropper contenevano anche un Trojan di accesso remoto (RAT). L’eseguibile RAT permetteva ai criminali di eseguire varie operazioni come:

  • 1003 caricare un file sul computer della vittima
  • 1005 rendere persistente il file di destinazione con avvio dell’esecuzione automatica sull’host della vittima
  • 1006 scarica un file dal computer della vittima
  • 1007 esegue il dump di tutti i dati del volume del disco e lo carica su un host controllato dai criminali
  • 1008 eseguire il dump di un volume del disco scelto e caricarlo su un host controllato dai criminali
  • 1011 esegue il dump di una cartella scelta e la carica su un host controllato dai criminali
  • 1018 imposta un nuovo valore di timeout dell’intervallo tra i controlli dei nuovi comandi
  • 1023 uscire e rimuovere la persistenza e il binario stesso
  • eseguire di default un processo sull’host della vittima

L’Operazione “atomica” Sharpshooter

Il team McAfee Advanced Threat Research e il McAfee Labs Malware Operations Group hanno scoperto una nuova massiva azione di attacco globale che prendeva di mira le aziende del settore nucleare, della difesa, dell’energia e della finanza. Questa campagna, Operation Sharpshooter, sfruttava un codice in-memory per scaricare e recuperare un ulteriore codice di secondo livello per un ulteriore sfruttamento, battezzato con il nome Rising Sun. Questo secondo fattore di attacco utilizzava il codice sorgente del trojan backdoor Duuzer del 2015 del Lazarus Group in una nuova struttura per infiltrarsi in queste industrie chiave.  I numerosi collegamenti tecnici di Operation Sharpshooter al Lazarus Group sembravano troppo ovvi per trarre immediatamente la conclusione che fossero i nord coreani i responsabili degli attacchi.

Nei mesi di ottobre e novembre 2018, l’impianto Rising Sun è apparso in 87 organizzazioni in tutto il mondo, prevalentemente negli Stati Uniti. La maggior parte delle vittime prese di mira erano di lingua inglese. Questo attore ha usato l’attività di reclutamento come esca per raccogliere informazioni sugli individui presi di mira o sulle organizzazioni che gestiscono i dati relativi alle industrie di interesse.

Il vettore di attacco iniziale restava un documento contenente una macro malevola per scaricare la fase successiva, che veniva eseguita in memoria e raccoglieva informazioni mentre I dati della vittima venivano inviati a un server di controllo per essere monitorati dagli attori, che poi determinavano le fasi successive.

2018 iniziato e terminato con il furto di criptovalute

Il guadagno finanziario è rimasto uno degli obiettivi principali di Lazarus, con le sue tattiche, tecniche e procedure in continua evoluzione per evitare di essere scoperto. Dopo l’operazione Applejeus è stata scoperta una nuova operazione, attiva almeno da novembre 2018, che utilizzava PowerShell per controllare i sistemi Windows e il malware macOS per gli utenti Apple. Hanno sviluppato script PowerShell personalizzati che comunicano con server C2 dannosi ed eseguono comandi dall’operatore. I nomi degli script del server C2 sono mascherati da file WordPress (popolare motore di blog) e da altri popolari progetti open source. Dopo aver stabilito la sessione di controllo del malware con il server, la funzionalità fornita dal malware includeva:

  • Impostare il tempo di “sonno” (ritardando le interazioni C2)
  • Uscire dal malware
  • Raccogliere le informazioni di base sull’host
  • Controllare lo stato del malware
  • Mostrare la configurazione attuale del malware
  • Aggiornare la configurazione del malware
  • Eseguire il comando della shell di sistema
  • Scaricare e caricare file

Il malware è stato distribuito tramite documenti accuratamente preparati per attirare l’attenzione dei professionisti delle criptovalute. Visto come alcuni dei documenti sono stati infiocchettati in coreano, era chiaro che le imprese sudcoreane fossero una priorità assoluta per Lazarus. Un documento intitolato “Documento di esempio per la valutazione del business plan di una società di venture capital” (tradotto dal coreano), un altro macro-armored (e9a6a945803722be1556fd120ee81199) che conteneva una presentazione aziendale di quello che sembrava essere un gruppo di consulenza tecnologica cinese chiamato LAFIZ ed una società di scambio di criptovalute che forniva un documento di elenchi di monete con una traduzione in coreano,  con un documento dannoso contenente la stessa macro.

Questi campioni di malware per Windows sono stati forniti utilizzando documenti HWP (Korean Hangul Word Processor format) dannosi e che sfruttavano una nota vulnerabilità PostScript. Va notato che i documenti HWP sono popolari solo tra gli utenti coreani (Hangul Word Processor è stato sviluppato in Corea del Sud) e abbiamo assistito a diversi attacchi con lo stesso metodo quindi la matrice nordcoreana è più che una pista probabile.

Commenti da Facebook

Inchieste

AgainstTheWest: l’APT49 che non esiste e odora di “Occidente”

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

In questi giorni di guerra cibernetica tra Russia e Ucraina, c’è un gruppo molto valido dal punto di vista tecnico che sta portando a casa diversi colpi nell’ambito dell’hacking. Parliamo del collettivo AgainstTheWest il cui titolo già suona strano perchè per West si intende l’Occidente mentre loro si dichiarano apertamente contro Cina e Russia.

Anche il nome Blue Hornet non risulta negli annali dei gruppi attivi nel campo della guerra o della propaganda informatica. Quello che ancora di più non torna è la classificazione che il collettivo si è dato “Apt49” che solitamente viene riservato agli attori statali coinvolti da anni in azioni di spionaggio, con finalità di intelligence o distruttiva, di cui non potrà mai fare parte per due motivi:

  • La sua storia “risicata” tra le pagine web
  • La sua appartenenza ai collettivi e non alle APT

Dal punto di vista della classificazione, Against the west non può lessicalmente descriversi come un apt perchè è un collettivo al pari di Anonymous che lavora in favore di una idea, notoriamente anti russa e cinese. Se il gruppo è slegato da logiche nazionali, meglio che conservi lo status di un semplice nominativo e non di un battaglione militare statale. Anche perchè sarebbe facile supporre l’adesione del gruppo alla NATO o agli USA.

Dal punto di vista storico, Against The West è un collettivo che si è più volte beccato in litigi con Anonymous perchè lo ha colpevolizzato di “rubare” il proprio lavoro, vendendoselo in giro.

E’ apparso per la prima volta il 14 ottobre, in un post nella sezione Leaks Market del defunto RaidForum, in cui affermava di mettere in vendita materiale hackerato rubato dalla banca centrale cinese:

Abbiamo lavorato per almeno due mesi a questa operazione. Ci ha permesso di accedere agli asset interni della People’s Bank Of China“.

Questo ovviamente fa intendere che sono motivati finanziarmente, ma non è così, ed infatti sebbene alcuni dei primi post di ATW siano stati messi in vendita, molti da allora sono stati regalati gratuitamente. “Se non si vendono mai, probabilmente finiremo per metterli in vendita gratuitamente. Non ci interessa molto il denaro“, affermano in una risposta a un thread sui dati di Alibaba Cloud violati. “Questo punto è forse ulteriormente dimostrato dalla loro accettazione di Bitcoin ed Ethereum, che possono essere banalmente tracciati, piuttosto che della valuta preferita dalla clandestinità, Monero” recita il Backchannel Blog, ma è inutile dire che è possibile lavare i bitcoins con le famose laundry nel dark web e non solo.

Secondo molti Against The West è una persona semplice con ottime competenze di hacking e non è assolutamente una copertura di attori statali più spregiudicati con una finalità di intelligence. Quello che attira i più nell’occidente, compresi giornalisti e media, è la propensione all’attacco nei confronti della Cina per questioni sociali dimenticate dallo stesso Occidente come lo stato di vita della popolazione degli Uiguri.

C’è anche da sostenere l’analisi sulla discesa in campo del collettivo contro i russi e questo denota un aspetto più che contro l’Occidente, a favore di esso. Oltre alla Russia e la Cina, nella lista ci sarebbe anche l’Iran: anch’esso nemico riconosciuto del “West“.

E se per occidente si intende l’Ovest di paesi come Corea del Sud o Giappone? O addirittura degli Stati Uniti?

Gli attacchi di Against The West

  • 14 ottobre Primo post di ATW sotto il nome di “AgainstTheWest“. Con il titolo “Operazione Renminbi“, ATW afferma di essere in possesso di materiale hackerato dalla People’s Bank of China. I dati includerebbero software interno, credenziali, vulnerabilità e rapporti sulla sicurezza interna della banca. ATW sostiene che per ottenere l’accesso è stato utilizzato un attacco alla catena di fornitura. Questa è una delle poche violazioni di ATW in cui i dati vengono messi in vendita piuttosto che pubblicati su RF, al prezzo di “1200 dollari per l’intera fuga di notizie. 200 dollari per progetto src [codice sorgente]”.
  • 23 ottobre ATW mette in vendita dati presumibilmente rubati da macchine Lenovo sulla rete del Centro cinese per il controllo e la prevenzione delle malattie.
  • 27 ottobre ATW continua a pubblicare nell’ambito dell'”Operazione Renminbi“, facendo trapelare dati interni e software presumibilmente provenienti dalle piattaforme mediche e del personale del Ministero della Pubblica Sicurezza cinese. ATW dichiara di poter essere contattata per “future fughe di notizie” all’indirizzo e-mail gore-tex@riseup.net.
  • 28 ottobre In un post intitolato “ATW Introduction Thread“, ATW riassume le proprie intenzioni: “Siamo ATW, un gruppo di individui che la pensano come noi e che ce l’hanno con i governi e i Paesi autoritari e corrotti. Pubblicheremo una grande maggioranza di thread sulle fughe di notizie governative, soprattutto da Cina, Corea del Nord e altri paesi. Siamo stufi del fatto che (soprattutto la Cina) domini Internet con campagne di attacchi informatici, che assista la Corea del Nord nell’infrangere le sanzioni internazionali e che tratti il gruppo etnico degli Uiguri“.
  • 31 ottobre ATW pubblica quella che viene etichettata come la seconda parte dell’Operazione Renminbi, facendo trapelare ulteriore codice sorgente di un software presumibilmente rubato dal Ministero della Pubblica Sicurezza cinese.
  • 2 novembre L’utente di Wikipedia “SecuritySeccL33t” crea una pagina di Wikipedia per ATW. Oltre a essere il contributore principale della pagina, SecuritySeccL33t descrive ATW come un “gruppo di hacking“, che ha obiettivi hacktivisti e si ispira alla difesa di Taiwan e al genocidio degli Uighyr. L’utente di Wikipedia non esiste più e altri utenti hanno contribuito alla pagina.
  • 12 novembre – 13 novembre In un post modificato su sohu.com, la società cinese di cybersicurezza Sangfor Technologies pubblica un’analisi dettagliata dell’attacco apparentemente condotta da ATW. Facendo riferimento alla pubblicazione di ATW del 14 ottobre sulla People’s Bank of China, Sangfor esamina una cronologia dell’intrusione, confermando apparentemente che ATW ha violato la banca e che ha avuto accesso ai servizi SonarQube pubblicamente accessibili sulla rete della banca per visualizzare ed esfiltrare il codice sorgente. Si tratta di una tecnica per le versioni di SonarQube inferiori alla versione 8.6 resa famosa dagli hacktivisti al punto che l’FBI ha emesso una notifica flash al riguardo.
  • 13 novembre In un post intitolato “Dichiarazione di guerra alla Cina“, ATW afferma di aver dichiarato guerra al popolo cinese: Ora usciamo ufficialmente allo scoperto e lo diciamo. È noto che siamo contro la Cina, ma non per quale motivo. Sono gli sforzi combinati dei “campi di rieducazione” che hanno commesso il genocidio dell’etnia uigura, l’attacco antidemocratico a Hong Kong e l’aggressione a Taiwan. Un tempo nutrivamo odio nei confronti dello Stato e del governo cinese. Tuttavia, la situazione è cambiata. L’articolo più recente, a base cinese, ci ha inviato minacce, ignorando le vere ragioni alla base dei nostri attacchi. Ora stiamo rivolgendo la nostra attenzione all’intera popolazione cinese. Avete ignorato i nostri ragionamenti e accettato ciecamente la risposta del vostro paese.
  • 15 novembre 09:59 UTC ATW pubblica il codice sorgente della società cinese di social media Bytedance.
  • 15 novembre 19:55 UTC ATW annuncia che si prenderà una “pausa prolungata” e che “ognuno di noi ha la propria vita personale di cui occuparsi” e che tornerà “tra circa un mese”. Notano che la loro Keybase è stata sospesa, ma non specificano a quale nome utente si riferiscono. ATW fornisce l’e-mail AgainstTheWest@riseup.net, precisando che non sta monitorando la propria casella di posta elettronica gore-tex@riseup.net.
  • 16 novembre 23:11 UTC ATW annuncia il ritorno alle operazioni, affermando che “speravamo di goderci un mese o due di pausa”, ma citando “la Cina sta ancora facendo delle mosse contro gli Stati Uniti e Taiwan” come ragione per una vacanza ridotta. Russia, Corea del Nord e Iran sono citati come Paesi “ancora nel nostro mirino“.
  • 18 novembre In una nuova operazione denominata “Rublo“, ATW pubblica il presunto codice sorgente di Delans.ru, una società russa di software per servizi postali.
  • 23 novembre Su Twitter, @vxunderground riferisce che ATW ha violato una stazione televisiva cinese, trasmettendo per 53 minuti che, il 25 novembre SecurityLab, un’organizzazione giornalistica finanziata dalla società russa di ricerca sulla sicurezza Positive Technologies, pubblica un articolo su ATW riguardante la trasmissione della stazione televisiva.

Fonti : BackChannel

Commenti da Facebook
Prosegui la lettura

Inchieste

Genitore attenzione: Sonic.exe è la nuova tendenza insana di YouTube

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 2 minuti.

Un gioco del 2013 che imperversa in rete, nato da un racconto horror che distorce la trama dell’antico personaggio della Sega, Sonic, a distanza di anni sta ancora terrorizzando i bambini della rete con la compiacenza degli youtubers.

Sonic.exe non è altro che un remake della versione di uno dei primi giochi del personaggio, tra l’altro in questi giorni al cinema con il secondo film della saga, dove si sono modificati gli scenari di gioco in versione splatter e si vedono personaggi inseguiti da Sonic in modalità “cattivo” che li rincorre e, nel caso vengono catturati, il giocatore perde. Piste colme di sangue, personaggi non solo del gioco, ma anche pagliacci sanguinari, sono la tendenza proposta dagli youtubers nel corso degli ultimi anni e nessuno ancora ha provveduto a gettare nell’oblio contenuti simili dati tutt’oggi in pasto ai bambini.

Nel tempo, il gioco continua ad essere modificato in nuove versioni e sempre più paurose e, nonostante video obsoleti, i bambini si ritrovano questi contenuti su YouTube a causa degli algoritmi che hanno premiato nel tempo i video con più visualizzazioni e più interazioni.

Anche in questo caso è possibile acquistare i pupazzi del gioco e l’audio è stato ampiamente modificato proprio per trasformare il videogame più ambito dai ragazzini degli anni 90 in un terrificante percorso ludico digitale.

Altro gioco a tema è Sonic.EXE Sadness dove il personaggio di Sonic.EXE viaggia in un percorso composto da molti livelli ed ha lo scopo di raccogliere anelli e le anime delle sue vittime, diffondendo tristezza ovunque vada e facendosi strada attraverso quadri pieni di insidie e come sempre sanguinosi.

Nonostante il tempo trascorso, video come questi non solo se rimossi porterebbero un danno a YouTube per le visualizzazioni organiche che si potrebbero perdere nei prossimi anni, ma è anche una opportunità degli stessi creator di guadagnare.

Nell’ambito dei gamer o dei narratori di storie, spesso manca l’originalità ed è in voga lo “scopiazzamento” delle fonti statunitensi che danno vita poi ad eventi virali di questo genere.

A differenza di Huggy Wuggy e Phasmofobia, già trattati in questa inchiesta a puntate, ci sono pochi riferimenti tra dark web e Sonic.exe e questo fa intendere che si tratta di un evento non ancora superato del tutto ed anche in questo caso bisognerebbe tagliarlo dalle piattaforme che contano.

Commenti da Facebook
Prosegui la lettura

Inchieste

Clubhouse, cresce la tensione: “No a liste di proscrizione e pressioni psicologiche”

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Dopo la nostra inchiesta sul mondo italiano di Clubhouse sono giunte in redazione le segnalazioni degli utenti sulle attività messe in piedi dalle “squadre” formatesi in questi mesi.

Nell’universo del social audio più famoso al mondo, ma che vanta meno del 3% di penetrazione nel mercato mondiale e dello 0,00001 italiano, coesistono realtà di confronto amichevole parallelamente a stanze di confronto su dibattiti politici attuali o su vicende storiche importanti che hanno cambiato il corso dei tempi passati.

Secondo le ultime indiscrezioni, ci sono persone che hanno ricevuto pressioni nel non organizzare room con altri utenti, altre, invece, sono accusate di millantare minacce ricevute mai esistite o individuate come artefici di strumentalizzazioni delle clip audio estratte dai dibattiti concitati, agitati molte volte grazie a sodali agenti provocatori, con il fine di delegittimare un ignaro utente con l’infamia del compimento di reati.

Un tritacarne imbastito da un manipolo di gruppi con una strategia certosina che già ha mietuto molte vittime sul social. Gli obiettivi preferiti sembrerebbero essere le donne portatrici di un pensiero conservatore che subiscono attività di gruppo che ricordano il cyberbullismo o addirittura lo squadrismo.

Secondo alcune fonti interpellate dalla redazione, ma anche sbandierate pubblicamente in piattaforma, dalla bolla del social si è finiti ai luoghi di lavoro dove alcuni utenti hanno ricevuto telefonate nelle quali sono stati apostrofati alle orecchie dei propri colleghi, o addirittura superiori, come “fascisti“, “filoputiniani“, “antisemiti” e addirittura “pro life“.

Quanto accaduto non fa altro che confermare il motivo per il quale viene discriminata più una linea di pensiero a differenza di altre e non sorprende che siano le donne a soffrirne per prime. Alcune hanno denunciato di aver avuto stati di ansia e attacchi di panico per giorni, causati dalle vessazioni subite.

Anche per questo motivo è accaduto che, negli ultimi giorni, sono state aperte diverse stanze con il fine di facilitare un confronto utile nel superare questi scontri. Purtroppo però, non si è arrivati a un’intesa perché le intenzioni di alcuni sembrerebbero essere quelle di svolgere attività predatorie finalizzate a spuntarla in un conflitto, “inesistente” secondo molti habituè indignati, invece che preferire una convivenza pacifica basata sul confronto o sull’ignorarsi senza adire ai famigerati blocchi colpevoli di affondare l’audience delle rooms.

Secondo un articolo pubblicato negli States, il fantastico mondo di Clubhouse non esisterebbe in madre patria e, anzi, riporta la presenza di un mal comune globale composto da conflitti, scontri, litigi e ripicche frequenti.

Una delle ragioni centrali è il narcisismo insito in ogni utente del social, ma ecco che, secondo un esperto psicologo interpellato da Matrice Digitale, lo stesso narcisismo ha manifestazioni più o meno estreme.

C’è chi “pompa” il suo ego parlando, anche in modo prolisso, e chi mette in auge strategie di manipolazione delle masse come abbiamo affrontato in precedenza.

Non solo le proprie idee prima di se o degli altri, ma una necessità di prevaricare sulle opinioni altrui che nasce secondo lo psicologo “da una mancanza di amor proprio in primis che rende necessaria l’approvazione di terzi“.

Situazioni presentate come “estreme” agli occhi dell’audience, ma che non ravvisano la necessità, sbandierata quotidianamente nell’ultimo periodo, di far intromettere la Pubblica Autorità nelle beghe social a detta di molti utenti, evidenziano un’altra forma di manipolazione messa in piedi dai narcisisti: il vittimismo.

“Individuarsi agli occhi degli altri come vittima è un modo per catalizzare l’attenzione su di sè” conferma l’esperto “e attecchisce sulle persone che non hanno voglia o modo di andare oltre quello che gli viene raccontato, oppure non sanno gestire l’eventualità di schierarsi al di fuori del gruppo e vivere la solitudine in un confronto. Atri utenti portano la tesi che oltre ai narcisisti c’è un livello superiore composto da persone che amano gestirli dietro le quinte per raggiungere uno scopo diverso: simile a come avviene nel gioco dei bussolotti“.

Chi ha letto quanto scritto più in alto, potrebbe decodificare Clubhouse come un Grande Fratello in chiave vocale ed in effetti è così se pensiamo all’esiguo numero di utenti attivi che da un anno e mezzo ha fatto gruppo, nel bene e nel male, e che vive le stesse beghe quotidiane di un condominio composto da una babele di razze, religioni, opinioni politiche e generi sessuali presenti nel paese italico. A differenza del noto reality, su Clubhouse non è il pubblico a decidere chi viene eliminato e chi resta, ma dinamiche da branco che superano i confini del confronto virtuale con modi e toni non sempre civili e pacifici.

Chiedendo allo psicologo se l’imporre la frequentazione di stanze ad altri utenti fosse una forma di narcisismo, la risposta ha lasciato di stucco i presenti:

“più che narcisismo, povertà d’animo”

Un povertà d’animo che ha fatto “scoppiare” profili dal social con segnalazioni di massa, che ha messo gli utenti sul chi va là quando si tratta di esprimere una opinione personale, insinuando un senso di paura per l’essere etichettati in base alle idee. A differenza degli albori della piattaforma, quando si dibatteva senza la minaccia costante di carte bollate come deterrente in danno alla libertà di espressione individuale, l’aria che si respira nella piattaforma non è serena.

La domanda che sorge spontanea a questo punto è duplice: questi atteggiamenti fanno bene a qualcuno che ha scopi commerciali precisi oppure sono frutto di menti malate, sadiche semplicemente povere d’animo?

Da come si è svuotato il social, la risposta sembrerebbe scontata: meglio lasciar perdere per non finire nelle turbe mentali di utenti vittime di loro stessi e delle loro sadiche perversioni.

Commenti da Facebook
Prosegui la lettura

Facebook

CYBERWARFARE

Notizie24 ore fa

Interpol avverte: le armi cibernetiche nelle mani dei criminali

Tempo di lettura: 2 minuti. Condividi questo contenutoUn alto funzionario dell’Interpol ha avvertito che gli strumenti digitali utilizzati dai militari...

Notizie2 giorni fa

Anonymous dichiara guerra a Killnet: cosa è successo

Tempo di lettura: 2 minuti. In Italia non si fa altro che parlare del conflitto cyber

Notizie2 giorni fa

Killnet distrae Anonymous e Sandworm continua il suo lavoro

Tempo di lettura: 2 minuti. L'APT russo continua a sviluppare armi cibernetiche "pesanti"

Notizie2 giorni fa

DoomSec: hacktivisti contro la Russia. Assassini di Killnet

Tempo di lettura: 2 minuti. Condividi questo contenutoOltre Against The West, il gruppo che impensierisce i russi nell’ultimo periodo è...

Notizie5 giorni fa

Killnet e Intelligence russa: Romania affondata

Tempo di lettura: 2 minuti. Condividi questo contenutoLe agenzie di intelligence russe sono dietro la recente impennata di attacchi informatici...

Notizie6 giorni fa

Guerra Cibernetica: l’Ucraina ha una rete di attacchi DDoS automatici

Tempo di lettura: 2 minuti. Condividi questo contenutoL’esercito non ufficiale di vigilantes informatici dell’Ucraina ha sviluppato un nuovo strumento di...

Notizie6 giorni fa

C’è censura nella guerra cibernetica occidentale? Altra conferma USA all’analisi di Matrice Digitale

Tempo di lettura: 5 minuti. Condividi questo contenutoSi pubblica un articolo dell’European Leadership Network tradotto dalla redazione dove non solo...

Notizie7 giorni fa

Killnet attacchi DDoS a siti aeroporti e Ministero Difesa

Tempo di lettura: < 1 minuto. Accusa ai media italiani per diffondere notizie false

Notizie1 settimana fa

Giustozzi a Repubblica conferma le analisi di Matrice Digitale su Killnet e la fuffa

Tempo di lettura: < 1 minuto. Basterà a cambiare la narrazione propagandistica sulla guerra cibernetica

Multilingua1 settimana fa

Killnet: “DDoS all’Italia”. Polizia Postale “contiene” attacchi informatici

Tempo di lettura: < 1 minuto. Condividi questo contenutoKillnet aveva annunciato un attacco hacker a vari portali istituzionali italiani e così...

Truffe recenti

Notizie1 ora fa

Truffa Charlie Brigante: lista aggiornata dei siti da evitare per acquisti online

Tempo di lettura: < 1 minuto. Continuano le segnalazioni di truffe online alla nostra rubrica

Truffe online19 ore fa

Truffa Instagram: come Meta affonda la Polizia Postale

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni sono tantissime le segnalazioni di utenti alla redazione che hanno...

Truffe online1 giorno fa

Truffa Vinted: arrivano le prime segnalazioni. Ecco come evitarla

Tempo di lettura: 2 minuti. Condividi questo contenutoL’inchiesta di Matrice Digitale sulle truffe consumate su Vinted, ha ricevuto diverse segnalazioni...

Truffe online2 giorni fa

Truffa Cripto Google: YouTube usa Musk per rubare Bitcoin, Ethereum e Shiba Inu

Tempo di lettura: 2 minuti. Censura ai giornalisti, contenuti inappropriati ai minori, è ora delle truffe

Notizie2 settimane fa

Truffa Instagram: come funziona lo schema Ponzi di Meta che sta rubando i profili

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questi giorni molti utenti sono stati vittime della truffa Instagram. In cosa...

Notizie4 settimane fa

Truffa sms di Poste Italiane. Analisi di un altro caso di phishing

Tempo di lettura: 2 minuti. Condividi questo contenutoIn questo periodo sono frequenti gli sms che propongono messaggi inerenti i servizi...

Notizie4 settimane fa

Truffa su WhatsApp attenzione al finto call center di supporto. Ecco cosa fare

Tempo di lettura: 2 minuti. Condividi questo contenutoGli utenti di WhatsApp devono fare attenzione a un pericoloso messaggio di truffa...

DeFi4 settimane fa

Truffa sulle criptovalute: come evitare di essere la prossima vittima

Tempo di lettura: < 1 minuto. Condividi questo contenutoL’arma migliore per combattere le frodi è una sana dose di scetticismo....

scam scam
DeFi4 settimane fa

Call Center truffa per trading di criptovalute: scam di 22 milioni di dollari

Tempo di lettura: 2 minuti. Condividi questo contenutoEurojust ed Europol hanno smantellato uno schema di frode online per investimenti in...

DeFi4 settimane fa

La truffe sulle criptovalute sono in aumento. Quali sono le più comuni?

Tempo di lettura: 2 minuti. Condividi questo contenutoI truffatori sono maestri nell’usare eventi attuali e tendenze frizzanti per ingannare le...

Tendenza