Connect with us

Inchieste

Nord Corea, APT37: una costola di Lazarus? La storia di Reaper, dei suoi ransomware e dei malware a doppia infezione

Pubblicato

in data

Tempo di lettura: 6 minuti.

La Corea del Nord ha un terzo gruppo APT statale su cui cadono spesso sospetti di correlazione al ben più noto Lazarus. Il nome è Reaper, conosciuto anche come APT37, ed ha come obiettivo principalmente la Corea del Sud con grande interesse su Giappone, Vietnam e Medio Oriente, rivolgendo i suoi attacchi a vari settori industriali verticali, tra cui prodotti chimici, elettronica, produzione, aerospaziale, automobilistico e sanitario.

Il 10 giugno del 2016, la società di web hosting NAYANA, con sede in Corea del Sud, è diventata una delle ultime vittime di alto profilo del ransomware, dopo che 153 dei suoi server Linux sono stati trovati infettati da una variante del ransomware Erebus. L’attacco ransomware ha colpito i siti web, i database e i file multimediali di circa 3.400 aziende che utilizzavano il servizio di NAYANA ed i criminali informatici hanno forzato con successo NAYANA a pagare il riscatto per decifrare i file infetti.

Il ransomware Erebus (RANSOM_EREBUS.A) è emerso per la prima volta lo scorso settembre 2016, distribuito da malvertisement (pubblicità dannose). Gli annunci maligni hanno deviato le vittime verso l’exploit kit Rig, che infetta i sistemi della vittima con il ransomware. Questa variante di Erebus prende di mira 423 tipi di file, strapazza i file con l’algoritmo di crittografia RSA-2048 e aggiunge ai file colpiti l’estensione .ecrypt. Questa versione di Erebus è stata osservata utilizzare siti web compromessi in Corea del Sud come server di comando e controllo (C&C).

Nel febbraio 2017, si è scoperto che Erebus si è evoluto e ha cambiato tattica, utilizzando una tecnica che aggira lo User Account Control (UAC), una funzione di Windows che aiuta a prevenire modifiche non autorizzate nel sistema, per eseguire il ransomware con privilegi elevati. Nella sua nota di riscatto, Erebus minacciava di cancellare i file della vittima entro 96 ore a meno che non venga pagato il riscatto. Questa versione (RANSOM_EREBUS.TOR) cancellava anche le copie ombra per impedire alle vittime di recuperare i loro file.

La variante che ha infettato i server di NAYANA è il ransomware Erebus portato ai server Linux. Le analisi in di Trend Micro hanno indicato che questa versione utilizza l’algoritmo RSA per crittografare le chiavi AES; i file infetti sono crittografati con chiavi AES uniche. I suoi meccanismi di persistenza includevano l’aggiunta di un falso servizio Bluetooth per garantire che il ransomware venga eseguito anche dopo il riavvio del sistema o del server. Utilizzava anche il cron UNIX, un’utilità nei sistemi operativi Unix-like come Linux che pianifica i lavori tramite comandi o script di shell, con lo scopo di controllare ogni ora se il ransomware era in esecuzione. Simile al caso di NAYANA, originariamente chiedeva 10 Bitcoin, ma il riscatto è scendeva a 5 BTC e prendeva di mira 433 tipi di file come:

  • Documenti d’ufficio (.pptx, .docx, .xlsx)
  • Database (.sql, .mdb, .dbf, .odb)
  • Archivi (.zip, .rar)
  • File di posta elettronica (.eml, .msg)
  • File relativi a siti web e progetti di sviluppo (.html, .css, .php, .java)
  • File multimediali (.avi, .mp4)

All’inizio del 2016 Kaspersky Lab ha catturato un exploit Adobe Flash zero-day (CVE-2016-1010). All’inizio di questo mese, la nostra tecnologia ha catturato un altro exploit zero-day di Adobe Flash Player distribuito in attacchi mirati. Gli attacchi sono stati identificati nell’APT 37, da loro nominati “ScarCruft”. L’operazione denominata “Daybreak” utilizzava un exploit di Adobe Flash Player precedentemente sconosciuto (0-day). È anche possibile che il gruppo abbia distribuito un altro exploit zero day, CVE-2016-0147, che è stato risolto nell’aprile dello stesso anno. L’operazione Daybreak sembra essere stata lanciata da aggressori sconosciuti per infettare obiettivi di alto profilo attraverso e-mail di spear-phishing. Il vettore esatto dell’attacco è rimasto sconosciuto, ma gli obiettivi hanno ricevuto un link dannosi che puntavano a un sito web violato dove era ospitato il kit di sfruttamento e si scoperto che era già stato usato dall’APT 37.

Come Operation Daybreak, anche Operation Erebus sfruttava un altro exploit di Flash Player (CVE-2016-4117) attraverso l’uso di attacchi watering hole. Nel caso dell’Operazione Daybreak, il sito web violato che ospitava l’exploit kit esegue un paio di controlli del browser prima di reindirizzare il visitatore a un server controllato dagli attaccanti ospitati in Polonia. Lo script della pagina principale dell’exploit conteneva un decodificatore BASE64, così come la decrittazione rc4 implementata in JS.

Il processo di sfruttamento consisteva in tre oggetti Flash, tra cui quello che innescava la vulnerabilità in Adobe Flash Player si trovava nel secondo SWF consegnato alla vittima.

Alla fine della catena di sfruttamento, il server inviava un file PDF legittimo all’utente – “china.pdf“. Il file “china.pdf” mostrato alle vittime nell’ultima fase dell’attacco sembra essere scritto in coreano.

L’unità 42 ha scoperto una campagna che sfruttava un dropper personalizzato e non segnalato in precedenza e che veniva utilizzato per fornire esche collegate alla Corea del Sud ed alla Corea del Nord. Queste esche ruotavano intorno a una serie di soggetti, tra cui varie criptovalute, scambi di criptovalute ed eventi politici. Sulla base di varie informazioni testimoniate all’interno di questo dropper, l’Unità 42 ha soprannominato questa famiglia di malware CARROTBAT dopo averscoperto l’attacco nel dicembre 2017 contro un’agenzia governativa britannica utilizzando la famiglia di malware SYSCON: un semplice Trojan di accesso remoto (RAT) che utilizza il protocollo di trasferimento file (FTP) per le comunicazioni di rete. Mentre non ci sono prove che questo attacco contro un’agenzia governativa britannica abbia fatto uso del dropper CARROTBAT, ma sono state trovate sovrapposizioni all’interno dell’infrastruttura di questo attacco che alla fine hanno portato alla scoperta iniziale di CARROTBAT, così come ad altri legami tra queste due famiglie di malware.

Il 13 dicembre 2017, un’email di spear phishing è stata inviata dall’indirizzo email di yuri.sidorav@yandex[.]ru a un individuo di alto livello all’interno di un’agenzia governativa britannica.

La campagna denominata Fractured Block comprendeva tutti i campioni di CARROTBAT identificati fino a quel momento ai quali venivano associati 11 formati di file di documenti esca sono supportati da questo malware:

  • doc
  • .docx
  • .eml
  • .hwp
  • .jpg
  • .pdf
  • .png
  • .ppt
  • .pptx
  • .xls
  • .xlsx

La maggior parte dei documenti esca che hanno preso di mira le vittime in Corea erano legati alle criptovalute. In un caso unico tra quelli emersi, l’esca conteneva un biglietto da visita appartenente a un individuo che lavorava presso COINVIL: un’organizzazione che ha annunciato piani per costruire una borsa di criptovaluta nelle Filippine nel maggio 2018.

Ulteriori soggetti di esca hanno incluso eventi politici tempestivi, come le relazioni tra gli Stati Uniti e la Corea del Nord, così come un viaggio del presidente degli Stati Uniti Donald Trump allo sotrico vertice a Singapore con Kim Jong Sum 3.

I carichi utili per i campioni CARROTBAT variavano. Originariamente, tra i periodi da marzo 2018 a luglio 2018, sono state osservate più istanze della famiglia di malware SYSCON. Questi campioni comunicavano con i seguenti host tramite FTP per la comunicazione C2:

  • ftp.byethost7[.]com
  • ftp.byethost10[.]com
  • files.000webhost[.]com

A partire da giugno 2018, abbiamo osservato che la famiglia di malware OceanSalt è stata rilasciata da CARROTBAT e sono state trovate successivamente delle sovrapposizioni anche con Konni Rat e come visto Syscon, ma questo ha fatto sospettare un coinvolgimento di Lazarus nell’APT37.


Palo alto ha scoperto che l’APT37 utilizza tecniche comuni di consegna del malware come lo spear phishing e le Strategic Web Compromises (SWC). Come in Operation Daybreak, questo attore esegue attacchi sofisticati utilizzando un exploit zero-day. Tuttavia, a volte l’utilizzo di un codice exploit pubblico è più rapido ed efficace per gli autori di malware. Abbiamo visto questo attore testare ampiamente un exploit pubblico noto durante la sua preparazione per la prossima campagna.

Al fine di distribuire un impianto per il payload finale, APT37 utilizzava uno schema di infezione binaria a più stadi. Di norma, il dropper iniziale era creato dalla procedura di infezione ed una delle sue funzioni più impressionanti era quella di bypassare l’UAC (User Account Control) di Windows al fine di eseguire il payload successivo con privilegi più elevati. Questo malware utilizzava il codice exploit di escalation dei privilegi pubblico CVE-2018-8120 o UACME normalmente utilizzato da squadre rosse legittime.
Successivamente, il malware installatore creava un downloader ed un file di configurazione dalla sua risorsa e lo eseguiva. Il malware downloader utilizzava il file di configurazione e si connetteva al server C2 per recuperare il payload successivo. Al fine di eludere il rilevamento a livello di rete, il downloader utilizzava la steganografia dove il carico utile scaricato era un file immagine, seppur contenente un payload malevolo da decifrare. Il payload finale creato dal suddetto processo generava una nota backdoor, conosciuta anche come ROKRAT da Cisco Talos e basata su servizi cloud con molte caratteristiche. Una delle sue funzioni principali era quella di rubare informazioni. All’esecuzione, questo malware creava 10 percorsi di directory casuali e li usava per uno scopo appositamente designato. Il malware creava 11 thread contemporaneamente: sei thread responsabili del furto di informazioni dall’host infetto e cinque per l’inoltro dei dati raccolti a quattro servizi cloud (Box, Dropbox, Pcloud e Yandex). Quando caricava i dati rubati su un servizio cloud, utilizzava un percorso di directory predefinito come /english, /video o /scriptout.  Lo stesso malware conteneva funzionalità complete di backdoor. I comandi erano scaricati dal percorso /script di un fornitore di servizi cloud e i rispettivi risultati di esecuzione venivano caricati nel percorso /scriptout. Supportava i seguenti comandi, che risultavano sufficienti per controllare completamente l’host infetto:

  • Ottenere l’elenco dei file/processi
  • Scarica il payload aggiuntivo ed eseguilo
  • Eseguire il comando di Windows
  • Aggiornare i dati di configurazione, comprese le informazioni del token del servizio cloud
  • Salvare screenshot e una registrazione audio

Inchieste

NAFO: i propagandisti di Kiev che minacciano il Governo

Pubblicato

in data

Tempo di lettura: 7 minuti.

Il contesto della guerra cibernetica a margine del conflitto ucraino vede due attori sui social media che si affrontano dal 24 febbraio 2020: i NAFO e la propaganda russa.

I NAFO (North Atlantic Fellas Organization) sono un gruppo informale nato online che si distingue per il suo supporto all’Ucraina e la sua opposizione alla propaganda russa, soprattutto nell’ambito del conflitto tra Russia e Ucraina, ma non disdegnano l’appoggio a Israele nella sua operazione speciale controversa in quel di Gaza ed appoggiano le politiche europeiste dell’attuale establishment. Il movimento ha iniziato a prendere forma durante il conflitto del 2022, assorbendo alcuni pezzi della bestia di Salvini “facciamorete”, diventando noto per le sue attività sui social media, dove contrasta la disinformazione e la propaganda filo-russa attraverso meme, battute satiriche e interventi diretti sui post online.

Secondo la “leggenda“, la comunità NAFO è composta principalmente da utenti sui social media che si identificano come “Fellas” e che usano immagini del cane di razza Shiba Inu come avatar. Le loro attività includono la raccolta di fondi per le forze armate ucraine e la diffusione di contenuti che promuovono la causa ucraina. I NAFO agiscono in gran parte in maniera umoristica, ma hanno avuto un ruolo significativo nel contesto della guerra cibernetica per quel che riguarda la battaglia dell’informazione online. Si definiscono attivisti digitali, ma ci sono più riferimenti che li associano ai servizi di intelligence della NATO ai livelli più alti e godono di una rete internazionale composta da utenti autentici e botnet. Chi li definisce semplici attivisti digitali, commette l’errore di associarli solo alla parte “ludica”, ma c’è un aspetto che viene sottovalutato o appositamente ignorato ed è quello delle pressioni che esercitano sull’opinione pubblica non sempre con toni democraticamente e politicamente corretti.

I NAFO su X

Il contesto NAFO è sicuramente interessante per analizzare chi sono e cosa propongono coloro che alimentano in Italia la propaganda ucraina, russofoba e bellicistica che fa il gioco dell’ala più intransigente della NATO che spinge per l’escalation del conflitto. I NAFO in Italia non sono tanti. Secondo una analisi esclusiva di Matrice Digitale effettuata dal 1 gennaio 2022 al 31 agosto 2024, nel giro di due anni il dibattito alimentato dalle parole NAFO o Fella, oppure Fellas, ha realizzato complessivamente 197.067 tweet, racimolando 2.289.602 mi piace, 293.724 condivisioni ed un totale di 44.419 citazioni, scatenando 216.439 commenti. Un volume all’apparenza abbastanza limitato se consideriamo la portata di tutto il conflitto tra Russia e Ucraina sui social, ma questo dato dovrebbe far riflettere sulla qualità dell’impegno da parte degli stessi NAFO che si basa su una quantità di 3.500 utenti dichiarati circa (e cioè che presentano le parole chiave nei nick e nei nomi visibili) che hanno generato nella sola Italia 158.364 post, totalizzando 1.250.066 like, 138.509 condivisioni, 17.203 citazioni e solo 126.749 commenti. Considerando che 3.500 unità non sono poche se si considera l’attività quotidiana di rilancio, menzioni e commenti che hanno l’obiettivo di osannare o delegittimare a seconda dell’utente che entra nel vortice.

I NAFO più attivi in Italia

I 25 NAFO più attivi in Italia

Un altro aspetto che non va sottovalutato è che ci sono 25 account che hanno totalizzato in tutto una miriade di tweet. Si parte da Alessandra Zardo che ne ha realizzati addirittura 16.138 in due anni e mezzo, seguita da Spunta bau con 14.077. In due anni possiamo affermare tranquillamente che hanno una media spropositata di almeno 20 tweet al giorno per la causa Ucraina in cui rientra anche The Sgnaus Fella. Gli altri 23 hanno totalizzato una media di minimo 4 tweet al giorno. In alcuni casi sarebbe opportuno domandarsi se si tratta di bot o semplicemente esseri umani al soldo di un qualche battaglione ufficiale o non dell’esercito regolare NATO.

I profili più commentati

Profili più commentati

Per quanto riguarda invece la questione dei commenti su cui si cimenta la comunità NATO, figurano dei nomi illustri come quello del Ministero degli Affari Esteri della Russia, e dell’hacker KimDotCom, che ha denunciato più volte l’inefficacia dei NAFO al di fuori della rete internet ed ha realizzato anche un video che dimostra come i link pubblicati su X verso YouTube perdono efficacia nell’engagement confinando il fenomeno alla sola X. Dall’altra parte del conflitto c’è ampio sostegno al Ministero della Difesa Ucraina che più volte ne ha ringraziato il collettivo per la sua attività e la Premier Estone Kaya Kallas: anche lei si è complimentata pubblicamente con la community dei NAFO per essere stata vicina all’Ucraina ed alla NATO nella lotta cibernetica contro la Russia.

Kimdotcom ha più volte parlato dei NAFO nei suoi tweet accusandoli di non essere solo una forza volontaria di partecipazione alla guerra cibernetica russa ascrivendoli all’apparato militare, ma ha anche denunciato che le loro attività sono utili nel far percepire alle persone chi è una fonte autorevole e chi non lo è all’interno di attività mirate su internet che premiano o denigrano coloro che si calano nel turbine delle opinioni del dibattito pubblico.

Chi ci guadagna e chi ci perde

Per capire chi siano gli obiettivi costanti dei NAFO e chi gode quotidianamente dei loro elogi e della loro protezione, Matrice Digitale ha stilato una lista dei profili, in ordine discendente per numero, più menzionati nel dibattito NAFO e questo lascia intendere molto al lettore sul perchè di alcuni fenomeni di blasone ed hatespeech su X saliti alla ribalta grazie alla propaganda attiva ucraina sul territorio del Bel Paese

Chi sono i più graditi dalla propaganda atlantista e pro Ucraina?

Profili più menzionati

Non è stato difficile distinguere chi sono i giornalisti che parlano a favore delle operazioni militari di difesa e attacco dell’Ucraina, rispetto a quelli che esprimono pareri molto più vicini alle posizioni del Papa o anche dei russi in alcuni casi. Tra i giornalisti italiani che godono dell’aiuto e del supporto dei NAFO troviamo Daniele Angrisani di FanPage, Marco Fattorini, Jacopo Iacoboni de La Stampa, Giovanni Rodriguez del Foglio, Vladislav Maistrouk, unico ucraino, l’avvocato di Roberto Burioni, Stefano Putiniani, Stefania Battistini che per due anni ha seguito il conflitto da vicino per conto della RAI e congedata con le polemiche dopo l’esclusiva mondiale dell’operazione Ucraina in territorio russo. Troviamo anche il blogger Dario D’Angelo e l’ex Messaggero Cristiano Tinazzi.

Per quanto riguarda invece i soggetti considerati nemici dai NAFO, c’è il giornalista Andrea Lucidi puntato quotidianamente insieme ai profili di Matteo Salvini, Alessandro Orsini, e l’Ambasciata Russa in Italia. Compresa nel dibattito anche Giorgia Meloni che viene apprezzata per il suo aiuto a Zelensky, ma è vittima delle pressioni NAFO affinché si arrivi al conflitto diretto con Mosca. Il politico più gradito dagli attivisti è Carlo Calenda. Ci sono anche profili senza nome che partecipano attivamente alla propaganda dei NAFO in Italia, come Lunacharsky, Punto e Virgola, il Guffanti, la Bombetta Xenomorfa e anche Han Skelsen.

Tra i quotidiani più citati c’è Il “Fatto Quotidiano”, colpito quotidianamente dalle attività dei NAFO per la sua politica contraria alla Nato. Le notizie dell’Ansa, invece, vengono utilizzate per rilanciare gli avvenimenti sul territorio russo-ucraino, seguite dal giornale “La Repubblica” che secondo i NAFO ha atteggiamenti ambigui nel fornire notizie, nonostante sia percepito come favorevole all’Ucraina dall’opinione pubblica.

Analisi dell’autore

Per quanto riguarda la situazione dei NAFO, KimDotCom ha ragione quando sostiene che i NAFO attaccano coloro che non la pensano in un determinato modo ed inoltre c’è qualche collegamento tra movimenti di estrema destra e la comunità LGBTQ+ che stupisce se si fa un’analisi dell’ideologia politica che queste esprimono. Le valanghe di tweet, offese, denigrazioni e delegittimazioni hanno lo scopo di intimidire coloro che si trovano in un vortice di odio e questo è parte di una vera e propria operazione militare. Le pressioni avvengono non solo sugli organi di stampa, ma anche sul governo. Le pressioni su Meloni e Salvini ne sono la testimonianza. Nemmeno il ministro Crosetto è immune, essendo stato accusato di essere responsabile del massacro degli ucraini.

Oramai è nota a tutti la propaganda russa composta per lo più da bot scadenti e che ha ripiegato o su influencer a soldo del Cremlino o su tecniche di Typosquatting come emerso dall’ultima inchiesta dell’FBI, ma la situazione dei bot ucraini e della componente cibernetica che collabora con la Nato ci obbliga a ponderare anche le dichiarazioni che vengono proposte dalla componente antirussa e più vicina al nostro modo di pensare. Sebbene difendere l’Ucraina rappresenti gli interessi del Governo e dell’Occidente, dovremmo chiederci se chi sostiene Kiev e colpisce connazionali italiani con posizioni moderate o diverse rappresenti un rischio soprattutto se si considera il fatto della ramificazione dei servizi di intelligence ucraini, costola storica di quelli russi, attraverso l’ambasciata in Italia. Le accuse in rete verso connazionali dovrebbero essere tollerate ed allo stesso tempo considerate, e monitorate, dalle alte sfere della sicurezza nazionale. Le pressioni dei NAFO minano la libertà di espressione e quella di stampa se agiscono contro la società ed i suoi interpreti restando legittimo il loro intento di spostare l’opinione pubblica verso scelte che favoriscono l’industria bellica e una maggiore offensiva ucraina, anche se con il rischio di un’escalation militare.

Questa riflessione riguarda una minoranza che la pensa diversamente dalla maggioranza degli italiani, schierata contro la guerra e l’escalation del conflitto e nel caso la regia dei NAFO sia straniera, ci troveremmo in casa un caso di ingerenza straniera che tende a minare le attività di Governo, come nel caso di Crosetto soccorso dallo stesso Zelensky in visita al forum di Ambrosetti, e vorrebbe manipolare la coscienza critica di un popolo, quello italiano, che ha deciso da che parte stare secondo i sondaggi effettuati in questi due anni: contro la guerra.

Prosegui la lettura

Inchieste

Stretta contro la disinformazione russa e WhisperGate

Tempo di lettura: 7 minuti. Gli Stati Uniti e i loro alleati intensificano gli sforzi per contrastare la disinformazione russa e gli attacchi alle infrastrutture critiche, collegati al GRU con il wiper Whispergate.

Pubblicato

in data

Tempo di lettura: 7 minuti.

Con l’avvicinarsi delle elezioni presidenziali del 2024, gli Stati Uniti e i loro alleati hanno intensificato gli sforzi per contrastare le operazioni di disinformazione e gli attacchi alle infrastrutture critiche attribuiti alle APT russe legate al GRU, l’agenzia di intelligence militare russa. Le operazioni informatiche che coinvolgono queste minacce rappresentano una combinazione di disinformazione mirata a influenzare le elezioni e sabotaggi informatici su larga scala contro settori strategici.

Attacchi alle infrastrutture critiche da parte di APT

Parallelamente, un gruppo di hacker noto come Unità 29155 del GRU è stato collegato ad attacchi informatici contro infrastrutture critiche in tutto il mondo, specialmente in Ucraina e nei paesi membri della NATO. Il gruppo, composto da giovani ufficiali del GRU, ha condotto operazioni di sabotaggio, assassinio e attacchi informatici, specialmente contro il settore energetico e governativo.

Secondo un avviso congiunto emesso dagli Stati Uniti e dai loro alleati, l’Unità 29155 è responsabile dell’uso di malware come WhisperGate per attacchi distruttivi contro sistemi ucraini e globali. Gli Stati Uniti hanno annunciato ricompense fino a 10 milioni di dollari per informazioni utili su alcuni membri del GRU coinvolti in queste operazioni.

Le organizzazioni che gestiscono infrastrutture critiche sono state esortate a prendere misure immediate per migliorare la sicurezza dei loro sistemi, tra cui l’aggiornamento delle vulnerabilità conosciute e l’implementazione di una forte autenticazione multifattoriale per prevenire ulteriori attacchi da parte del GRU.

Disinformazione Russa prima delle Elezioni del 2024

In risposta alle operazioni di disinformazione legate alla Russia, il Dipartimento di Giustizia degli Stati Uniti ha sequestrato 32 domini web utilizzati dal gruppo noto come Doppelgänger. Questo gruppo, legato ad agenzie controllate dal governo russo, ha impiegato tecniche come il cybersquatting per creare siti web che imitano testate giornalistiche affidabili. Questi domini sono stati utilizzati per diffondere contenuti falsi e influenzare l’opinione pubblica statunitense, cercando di ridurre il supporto internazionale per l’Ucraina e manipolare le elezioni in vari paesi.

Doppelgänger ha utilizzato tecnologie avanzate, tra cui influencer falsi generati dall’intelligenza artificiale, per ingannare il pubblico e promuovere narrazioni pro-Russia su piattaforme come TikTok, Instagram e X (precedentemente noto come Twitter). Il sequestro di questi domini è parte di una più ampia iniziativa (leggi qui il dossier) volta a prevenire interferenze esterne durante le prossime elezioni.

L’Operazione Doppelganger: analisi dettagliata della propaganda russa

L’era digitale ha cambiato drasticamente il modo in cui l’informazione viene consumata, creando opportunità senza precedenti ma anche rischi significativi. Uno dei più recenti esempi di abuso della tecnologia per scopi malevoli è l’operazione “Doppelganger”, una complessa campagna di disinformazione orchestrata dal governo russo. Questa operazione, descritta in un documento legale presentato dalle autorità statunitensi, ha rivelato l’utilizzo di domini internet cybersquattati per diffondere propaganda russa, minare il supporto internazionale all’Ucraina, e influenzare elettori in diverse nazioni, inclusi gli Stati Uniti. Questo articolo fornirà un’analisi dettagliata dell’operazione, i suoi attori chiave, le tecniche utilizzate e le implicazioni per la cybersicurezza globale.

L’inizio di Doppelganger: Obiettivi e Motivazioni

Secondo quanto riportato nel documento legale, l’operazione “Doppelganger” è iniziata nel 2022 sotto la direzione della presidenza russa, in particolare di Sergei Vladilenovich Kiriyenko, una figura di alto livello all’interno dell’amministrazione del Presidente Vladimir Putin. L’obiettivo principale di questa campagna era di influenzare l’opinione pubblica internazionale a favore della Russia, ridurre il supporto per l’Ucraina e influenzare direttamente le elezioni in diverse nazioni, inclusi gli Stati Uniti.

Le motivazioni alla base di questa operazione erano evidenti: la Russia, attraverso la disinformazione, cercava di minare le democrazie occidentali, diffondendo falsità per screditare le istituzioni e i leader politici pro-Ucraina. In particolare, l’operazione mirava a creare confusione tra l’opinione pubblica, facendo sembrare che notizie false fossero provenienti da fonti affidabili e riconosciute a livello internazionale.

Il Cybersquatting come Strumento di Disinformazione

Un elemento chiave dell’operazione Doppelganger è stato l’utilizzo del “cybersquatting”. Questo termine si riferisce alla pratica di registrare domini internet che imitano quelli di siti legittimi, con l’intento di trarre in inganno gli utenti facendogli credere di essere su una piattaforma autentica. Nell’operazione Doppelganger, domini che replicavano siti di notizie prestigiose come The Washington Post, Fox News e altre testate giornalistiche, venivano utilizzati per pubblicare articoli manipolati, contenenti propaganda pro-Russia.

Questi siti falsi erano progettati in modo tale da sembrare identici agli originali, utilizzando lo stesso layout, loghi e persino firme di giornalisti legittimi. Per esempio, uno dei domini falsi, washingtonpost[.]pm, pubblicava articoli che sembravano scritti da giornalisti veri del Washington Post, ma che in realtà promuovevano una narrazione anti-ucraina e pro-Russia. Questo tipo di inganno non solo confondeva gli utenti, ma minava anche la fiducia nei media legittimi, contribuendo a una generale disinformazione.

Tecniche di manipolazione dei Social Media

Un altro aspetto importante dell’operazione era l’uso massiccio dei social media per la distribuzione della propaganda. Per dirigere il traffico verso i domini cybersquattati, Doppelganger creava profili falsi sui principali social network, impersonando cittadini americani e di altri paesi occidentali. Questi profili falsi postavano commenti con link ai siti falsi nei thread di discussione su piattaforme come Facebook, Twitter e altre, cercando di convincere gli utenti che il contenuto fosse autentico e provenisse da fonti affidabili.

Questa strategia di distribuzione era particolarmente efficace perché sfruttava il potere dei social media per diffondere velocemente informazioni. Gli algoritmi dei social network tendono a promuovere contenuti che generano interazioni, e i link pubblicati da questi profili falsi spesso portavano a discussioni accese, amplificando ulteriormente la portata della disinformazione. Inoltre, l’operazione faceva largo uso di pubblicità a pagamento sui social media, utilizzando persino strumenti di intelligenza artificiale per creare contenuti promozionali che apparivano nei feed degli utenti.

Il ruolo di Sergei Kiriyenko e degli altri attori chiave

Il documento legale presentato dall’FBI evidenzia il ruolo cruciale di Sergei Kiriyenko, figura chiave dell’amministrazione presidenziale russa, nella supervisione dell’operazione Doppelganger. Kiriyenko è stato identificato come uno dei principali responsabili della strategia di disinformazione, agendo sotto le direttive del Cremlino. Gli attori principali che hanno implementato la campagna sono state diverse società russe, tra cui l’agenzia Social Design Agency (SDA), la società Structura National Technology, e l’organizzazione ANO Dialog.

Queste organizzazioni erano direttamente coinvolte nella creazione e gestione dei siti cybersquattati, nella produzione di contenuti propagandistici e nella distribuzione di questi contenuti attraverso i social media. In particolare, SDA e Structura avevano stretti legami con il governo russo e avevano lavorato su numerosi progetti precedenti legati alla promozione degli interessi russi sia all’interno del paese che a livello internazionale.

La finalità Doppelganger: influenzare le elezioni straniere

Uno degli obiettivi principali dell’operazione era quello di influenzare le elezioni in diversi paesi, in particolare negli Stati Uniti. L’operazione mirava a dividere l’elettorato e diffondere narrazioni che favorissero candidati o politiche pro-Russia. Nel caso degli Stati Uniti, la campagna si concentrava sulla promozione dell’idea che il governo americano stesse sprecando risorse nel sostenere l’Ucraina, invece di concentrarsi sui problemi interni del paese.

La strategia per influenzare le elezioni includeva l’uso di “storie false mascherate da eventi di cronaca” e la distribuzione di “meme e commenti di testo” per manipolare le discussioni online. Una parte significativa della campagna includeva l’acquisto di pubblicità mirate sui social media per colpire specifici segmenti dell’elettorato, in particolare in stati chiave e indecisi. Questa pubblicità mirata era supportata da un’analisi in tempo reale delle reazioni degli utenti, consentendo agli attori di adattare la loro strategia in base alla risposta del pubblico calibrando al meglio la disinformazione russa.

Il Ruolo delle infrastrutture tecnologiche e dell’Intelligenza Artificiale

L’operazione Doppelganger non si basava solo su tecniche di manipolazione sociale, ma utilizzava anche tecnologie avanzate per evitare il rilevamento e massimizzare l’efficacia. Per mascherare l’origine delle attività e proteggere l’infrastruttura dell’operazione, i partecipanti utilizzavano reti VPN e server privati virtuali (VPS), che permettevano loro di operare senza rivelare la loro vera posizione geografica.

Un elemento interessante dell’operazione è stato l’uso di strumenti di intelligenza artificiale per generare contenuti propagandistici, come immagini e video. Questi contenuti venivano utilizzati in pubblicità sui social media per attaccare politici e leader occidentali, cercando di manipolare l’opinione pubblica. L’uso dell’intelligenza artificiale rappresenta una nuova frontiera nella disinformazione, non solo russa, poiché consente la creazione di contenuti su larga scala in modo rapido e relativamente economico.

L’impatto delle sanzioni internazionali e delle Azioni Legali

L’operazione Doppelganger non è passata inosservata. Oltre alle indagini condotte dalle autorità statunitensi, l’Unione Europea ha imposto sanzioni a diversi individui e entità coinvolte nella campagna di disinformazione russa. Tra queste, la SDA, Structura e ANO Dialog sono state identificate come attori chiave nella diffusione della propaganda. Le sanzioni mirano a colpire economicamente queste organizzazioni e limitare la loro capacità di operare a livello internazionale.

Negli Stati Uniti, il caso legale descritto nel documento si concentra sul sequestro dei 32 domini cybersquattati utilizzati nell’operazione. Questi domini, considerati proprietà coinvolte in attività illegali, sono soggetti a confisca secondo le leggi statunitensi contro il riciclaggio di denaro e la violazione dei marchi registrati.

Evoluzione delle minacce alla Cybersicurezza

L’operazione Doppelganger rappresenta un esempio allarmante di come le tecnologie digitali possano essere utilizzate per manipolare le opinioni pubbliche, minare la stabilità politica e influenzare elezioni democratiche ed avallare la narrazione della disinformazione russa. Questo caso sottolinea l’importanza di una vigilanza costante da parte delle autorità internazionali e delle piattaforme di social media nel monitorare e contrastare la disinformazione.

Il cybersquatting e l’uso di strumenti di intelligenza artificiale per diffondere disinformazione russa nella creazione di propaganda evidenziano come le minacce alla cybersicurezza stiano evolvendo rapidamente. Per proteggere la democrazia e l’integrità delle informazioni, è essenziale che i governi, le organizzazioni tecnologiche e i cittadini stessi sviluppino strategie più sofisticate per identificare e bloccare le campagne di disinformazione prima che possano causare danni irreparabili. L’operazione Doppelganger non è solo un episodio di disinformazione, ma un segnale di un problema molto più ampio e complesso, che richiederà un impegno concertato a livello globale per essere risolto, ma crea un aspetto pericoloso anche nei confronti della Democrazia non solo come soggetto offeso, ma come istituzione messa a rischio dall’approssimazione nel bollare le notizie contrarie alla linea di governo come russe e quindi errate, false o, addirittura, criminali.

Prosegui la lettura

Inchieste

La narrazione su Moussa Sangare uccide ancora Sharon Verzeni

Tempo di lettura: 4 minuti. Moussa Sangare uccide Sharon Verzeni: le analogie con il caso Turetta ed il trattamento privilegiato che la stampa nutre verso l’italiano afrodiscendente

Pubblicato

in data

Tempo di lettura: 4 minuti.

L’omicidio di Sharon Verzeni ha trovato il suo autore dopo un mese di ricerche: si tratta di Moussa Sangare, cittadino italiano di seconda generazione, discendente da una famiglia africana. La storia è tragica se consideriamo che negli ultimi giorni i media tracciavano il profilo dell’assassino come “conosciuto dalla vittima” e si stava insinuando il sospetto sul compagno della vittima Sergio Ruocco.

Questa volta, il femminicidio non parte da uno sfondo passionale ed è per questo motivo che il caso Sangare non può essere paragonato a quello di Turetta perché l’unica cosa in comune è che in entrambi i casi a morire sono state due donne. Questo però non sottrae i media dalla valutazione dei lettori su una disparità di trattamento tra l’assassino di Giuglia Cecchettin e quello di Sharon. Turetta ha ammazzato Giulia Cecchettin e, dopo quell’omicidio, si è fermato un intero paese al grido di lotta al patriarcato.

L’assassino di Sharon Berzegni era stato denunciato un anno fa dalla sorella che in questi giorni ha una visibilità di come se fosse parente della vittima eppure, tra una strategia processuale basata sull’infermità mentale dell’assassino di Sharon, la stessa sorella, parlando con la stampa, ha dichiarato che solitamente non era una persona violenta.

Nell’epoca delle lezioni di patriarcato affidate alla sorella di Giulia Cecchettin con il plauso delle associazioni femministe e antiviolenza, suona strano che nessuno si sia preoccupato di questa affermazione.

La persona che aveva denunciato il fratello perché le aveva puntato un coltello un anno fa, all’indomani dell’omicidio, è proprio la sorella di Moussa e quella dichiarazione a freddo dovrebbe far intendere che un problema di educazione familiare, con effetti simili a quelli del patriarcato tanto inflazionato c’era all’interno di quella famiglia italiana a tutti gli effetti a discapito delle teorie sulla cittadinanza che non esistono. Un altro aspetto da non sottovalutare è che la denuncia contro il trentenne è arrivata solo quando ha puntato il coltello contro la sorella. Nel caso di Turetta, la famiglia e il giovane si erano recati per delle sedute da uno psicologo per capire cosa potesse non andare e preventivamente risolvere quello che non è stato possibile da come sono andate le cose.

La narrazione avuta dalla stampa in questi giorni è stata sicuramente discutibile, che ha iniziato a nascondere l’afrodiscendenza del ragazzo in un momento storico dove si dibatteva dello ius scholae, per poi arrivare alla umanizzazione dell’assassino di Sharon Verzeni attraverso le presunte scuse mentre l’accoltellava ed alla descrizione di una vittima colpita mentre “guardava le stelle”. Queste tecniche di comunicazione utilizzate goffamente per non fare passi indietro sullo ius scholae, hanno ottenuto l’effetto che si creasse uno di quei classici personaggi di cui, come tutti sappiamo, nel bene o nel male, “l’importante è che se ne parli“.

Questa narrazione ha dato il là alla curiosità dei lettori nel cercare in rete le doti artistiche dell’assassino Moussa Sangare che ha collaborato con artisti del calibro di Ernia. Hanno visitato i suoi profili social, hanno scaricato la sua musica, condiviso le sue canzoni su TikTok, dove in questo momento è molto popolare ed i testi delle sue canzoni che vengono citati.

Questo fenomeno ci riporta alla strage di Casal Palocco, dove la cronaca del paese è stata distrutta da un’altra tragedia, quando gli youtuber TheBorderline furono coinvolti in un incidente in cui perse la vita un bambino. In quel caso, la rete composta da utenti normali e professionisti del mondo sociale, si attivò subito chiedendo la demonetizzazione dei contenuti del canale YouTube. Davvero strano che in questo momento nessuno stia chiedendo la demonetizzazione delle piattaforme social a danno dell’assassino di Sharon Verzeni, che, ricordiamolo, risponde al nome di Moussa Sangare.

Questi corto circuito rendono ancor più poco credibile la narrazione giornalistica all’interno del caso di cronaca più eclatante degli ultimi giorni ai danni di una delle tante povere donne che muoiono. È ancora più scandaloso che chi sensibilizza quotidianamente sul tema degli omicidi di donne e dei femminicidi, abbia dichiarato in questi giorni sui giornali che Sharon camminasse da sola di sera rimandando il problema non solo agli assassini che ed alle vittime, ma anche a quello che orami può definirsi lo specchio di una società che non riesce o non vuole centrare il problema.

La stampa ne risulta complice, o perché strumentalizzata dalla politica oppure perché, creando questo tipo di diatribe, guadagna maggiore attenzione dei detrattori, da cui poi nascono le discussioni social che fanno pubblicità ai giornalisti ed alle testate stesse.

Prosegui la lettura

Facebook

CYBERSECURITY

Cisco logo Cisco logo
Sicurezza Informatica3 ore fa

Cisco risolve vulnerabilità critiche in IOS XR

Tempo di lettura: 2 minuti. Cisco rilascia aggiornamenti per vulnerabilità critiche in IOS XR. Proteggi i tuoi sistemi da escalation...

Tech1 giorno fa

Microsoft Patch Tuesday settembre 2024

Tempo di lettura: 3 minuti. Microsoft forzerà l'aggiornamento di Windows 22H2 a Windows 23H2 dall'8 ottobre 2024 per garantire la...

L'Altra Bolla2 giorni fa

X potenzia la moderazione e Telegram si scusa per i deep fake

Tempo di lettura: 2 minuti. X assume nuovi dipendenti per la sicurezza e la moderazione dei contenuti, con un nuovo...

Sicurezza Informatica3 giorni fa

WikiLoader: attacco informatico tramite spoofing di GlobalProtect VPN

Tempo di lettura: 2 minuti. L'attacco WikiLoader utilizza il spoofing della VPN GlobalProtect per distribuire malware tramite SEO poisoning. Settori...

Sicurezza Informatica5 giorni fa

Microsoft: più sicurezza in Office 2024 e Bing rimuove revenge porn

Tempo di lettura: 3 minuti. Microsoft disabilita i controlli ActiveX in Office 2024 e rimuove il revenge porn dai risultati...

Sicurezza Informatica5 giorni fa

Vulnerabilità di sicurezza nei token YubiKey 5: attacco EUCLEAK

Tempo di lettura: 2 minuti. Vulnerabilità nei dispositivi YubiKey 5 sfrutta un attacco canale laterale, permettendo di clonare i token...

LiteSpeed Cache LiteSpeed Cache
Sicurezza Informatica5 giorni fa

Vulnerabilità critica del plugin LiteSpeed Cache risolta

Tempo di lettura: < 1 minuto. Scoperta e risolta una vulnerabilità critica nel plugin LiteSpeed Cache che permetteva il takeover...

Sicurezza Informatica1 settimana fa

Nuovi Avvisi di Sicurezza ICS CISA e prodotti Cisco

Tempo di lettura: 2 minuti. Avvisi di sicurezza CISA per ICS e vulnerabilità nei prodotti Cisco, incluse falle di accesso...

Sicurezza Informatica2 settimane fa

Pidgin, Plugin ScreenShareOTR infiltra malware DarkGate

Tempo di lettura: 2 minuti. Un plugin malevolo infiltrato nel repository ufficiale di Pidgin installa malware. Scopri le misure di...

Smartphone2 settimane fa

HZ Rat: malware per macOS mirato a WeChat e DingTalk

Tempo di lettura: 3 minuti. HZ Rat, un malware per macOS, raccoglie dati da WeChat e DingTalk, evidenziando rischi di...

Truffe recenti

Sicurezza Informatica1 giorno fa

Truffa “Il tuo partner ti tradisce”: chiedono di pagare per vedere le prove

Tempo di lettura: < 1 minuto. Una nuova truffa "Il tuo partner ti tradisce" chiede il pagamento per vedere prove...

Sicurezza Informatica1 mese fa

Scam internazionale tramite Facebook e app: ERIAKOS e malware SMS stealer

Tempo di lettura: 4 minuti. Analisi delle campagne di scam ERIAKOS e del malware SMS Stealer che mirano gli utenti...

Sicurezza Informatica2 mesi fa

Meta banna 60.000 Yahoo Boys in Nigeria per sextortion

Tempo di lettura: 3 minuti. Meta combatte le truffe di estorsione finanziaria dalla Nigeria, rimuovendo migliaia di account e collaborando...

Inchieste2 mesi fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 mesi fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 mesi fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica3 mesi fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica3 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste4 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste4 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Tech

Smartphone3 ore fa

OnePlus 13 e Galaxy S25: prestazioni nei benchmark

Tempo di lettura: 3 minuti. OnePlus 13 e Galaxy S25: scopri le prestazioni del nuovo Snapdragon 8 Gen 4 e...

Smartphone3 ore fa

Samsung Galaxy: nuove uscite e One UI 6.1.1 sui modelli 2023

Tempo di lettura: 4 minuti. Scopri le specifiche del Samsung Galaxy M05, M55s, A16 e S24 FE: processori, display e...

Kali Linux 2024.3 Kali Linux 2024.3
Tech3 ore fa

Kali Linux 2024.3: Le novità del nuovo aggiornamento

Tempo di lettura: 2 minuti. Kali Linux 2024.3: novità su pacchetti e strumenti con importanti aggiornamenti, in vista della transizione...

PlayStation 5 Pro PlayStation 5 Pro
Tech14 ore fa

Confronto tra Playstation 5 e PS5 Pro: tutto quello che c’è da sapere

Tempo di lettura: 3 minuti. Confronto PS5 vs PS5 Pro: scopri le differenze principali tra le due console, dal GPU...

Smartphone15 ore fa

Confronto iPhone 16 vs iPhone 15: Quali sono le differenze?

Tempo di lettura: 3 minuti. Apple ha recentemente presentato la serie iPhone 16, composta da iPhone 16, iPhone 16 Plus,...

Tech17 ore fa

Apple Watch Ultra 3 e Watch SE 3: previsti per il 2025, mentre la Serie 10 riduce i rumori del vento

Tempo di lettura: 2 minuti. Apple Watch Ultra 3 e SE 3 previsti per il 2025, mentre la Serie 10...

Tech17 ore fa

Apple A18 vs A18 Pro: le differenze nei nuovi iPhone 16

Tempo di lettura: 3 minuti. Confronto tra A18 e A18 Pro: scopri le differenze tra i chip dell'iPhone 16 e...

Samsung Galaxy S25 Ultra Samsung Galaxy S25 Ultra
Smartphone1 giorno fa

Samsung Galaxy S25 Ultra: ecco le prime foto

Tempo di lettura: 3 minuti. Samsung Galaxy S25 Ultra arriverà nel 2025 con un design rinnovato, chip Snapdragon 8 Gen...

Robotica1 giorno fa

AI riconosce i pattern cerebrali legati a specifici comportamenti

Tempo di lettura: 2 minuti. Un nuovo algoritmo AI sviluppato da USC separa i pattern cerebrali legati a comportamenti specifici,...

Robotica1 giorno fa

Muscoli artificiali permettono ai robot di camminare e saltare

Tempo di lettura: 2 minuti. I ricercatori di ETH Zurigo hanno sviluppato muscoli artificiali per una gamba robotica che cammina...

Tendenza