Connect with us

Inchieste

Sandworm: l’APT Russo esperto di backdoor e Malware

Pubblicato

il

Tempo di lettura: 5 minuti.

Prosegue l'inchiesta di Matrice sul mondo della guerra cibernetica organizzata dai russi. Dopo aver esaminato il duo più temuto composto da Fancy Bear e Cozy Bear, oggi entriamo nel merito del Sandworm Team.

Noto anche come Unit 74455Telebots, Voodoo Bear e Iron Viking, il gruppo si sospetta essere collegato ad un'unità cybermilitare russa del GRU: l'organizzazione responsabile dell'intelligence militare russa.

Si ritiene che il team sia responsabile dell'attacco informatico alla rete elettrica ucraina del dicembre 2015, degli del 2017 all'Ucraina utilizzando il Petya, vari sforzi di interferenza nelle elezioni presidenziali francesi del 2017, e l'attacco informatico alla cerimonia di apertura delle Olimpiadi invernali del 2018. L'allora procuratore degli Stati Uniti per il distretto occidentale della Pennsylvania Scott Brady ha descritto la campagna informatica del gruppo come “rappresentante degli attacchi informatici più distruttivi e costosi della “.

Windows e le sue backdoors

Il primo attacco messo in piedi da SandWorm è associato al 2014, quando fu scoperta una nuova vulnerabilità critica nel Windows, sfruttata in un numero limitato di attacchi contro obiettivi negli Stati Uniti e in Europa. La vulnerabilità, legata all'esecuzione di codice remoto di Microsoft Windows OLE Package Manager (CVE-2014-4114) consentiva agli aggressori di incorporare file OLE (Object Linking and Embedding) da posizioni esterne. La vulnerabilità è stata sfruttata per scaricare e installare malware sul computer del bersaglio. La vulnerabilità sembra essere stata utilizzata per fornire ed avrebbe interessato tutte le versioni di Windows da Vista Service Pack 2 fino a Windows 8.1, colpendo anche i Windows Server versioni 2008 e 2012.

Ucraina al buio

L'attacco che li ha resi famosi è stato quello ai danni della rete elettrica ucraina nel 2015 colpevole di aver generato interruzioni di corrente. In quell'occasione, il team di Sandworm ha dimostrato pianificazione, coordinamento e capacità di utilizzazione dei malware. Un'altra capacità riconosciuta, per quanto temuta, è stata quella di ottenere un accesso remoto diretto a dispatcher di sistemi ciechi, causando cambiamenti di stato indesiderati all'infrastruttura di distribuzione dell'elettricità e tentando di ritardare il ripristino, grazie alla cancellazione dei server SCADA che monitorano le infrastrutture fisiche, dopo averne causato l'interruzione. Questo attacco consisteva in almeno tre componenti: il malware, un denial of service ai sistemi telefonici e la prova mancante della causa correlata all'attacco. Le prove e le analisi attuali indicano che il componente mancante era l'interazione diretta dell'avversario e non nello specifico il lavoro del malware. L'attacco informatico è stato possibile perchè composto da più elementi che includevano l'offuscamento ai dispatcher del sistema unitamente ai tentativi di negare le chiamate dei clienti che avrebbero segnalato l'interruzione dell'alimentazione grazie ad attacchi coordinati contro più società elettriche di distribuzione regionali.

Chi controlla il controllore?

Nel 2017 L'ANSSI, Agenzia di Intelligence francese, è stata informata di una campagna di intrusione mirata al software di Centreon distribuito dalla società francese CENTERON che ha portato alla violazione di diverse entità francesi. La prima vittima sembra essere stata compromessa dalla fine del 2017 e la campagna è durata fino al 2020. Questa campagna ha interessato principalmente i fornitori di IT, in particolare i fornitori di hosting web. Sui sistemi compromessi, l'ANSSI ha scoperto la presenza di una backdoor sotto forma di webshell rilasciata su diversi server Centreon esposti a , che è stata identificata come la P.A.S. webshell, versione numero 3.1.4. e presentava diverse somiglianze con le precedenti campagne attribuite al ‘pacchetto' di intrusioni utilizzato proprio da Sandworm.

Le mail compromesse per tre anni

Nel 2019, si è sospettato che abbiano sfruttato più di una vulnerabilità nel codice di Exim , sistema di Mail Transfer Agent (MTA) per OS Unix-like, usato da più del 50 per cento dei mail server presenti in Rete. Non è dato sapere per quanto tempo siano state utilizzate, ma è cosa nota che il bug più pericoloso era conosciuto dal 2016 e poteva essere sfruttato per eseguire codice malevolo da remoto derivante da un problema riguardante la funzionalità di “chunking” di Exim, utilizzata per spezzettare le mail di grandi dimensioni per consentire uno smistamento più agevole.

I nodi venuti al pettine

Come già anticipato, il 19 ottobre 2020 un gran giurì con sede negli Stati Uniti ha rilasciato un atto d'accusa verso sei presunti agenti dell'Unità 74455 di crimini informatici, accusandoli di cospirazione per condurre frodi e abusi informatici, cospirazione, frode telematica, danneggiamento di computer protetti e furto di identità aggravato.

Secondo l'accusa, a partire da fine 2015 e continuando almeno fino all'ottobre 2019, gli imputati e i loro co-cospiratori hanno implementato malware distruttivi e hanno intrapreso altre azioni distruttive, a beneficio strategico della , attraverso l'accesso non autorizzato alla vittima computer (). Come affermato, la cospirazione era responsabile delle seguenti intrusioni e attacchi informatici distruttivi o altrimenti destabilizzanti:

  • Governo ucraino e : attacchi malware distruttivi da dicembre 2015 a dicembre 2016 contro la rete elettrica dell'Ucraina, il Ministero delle finanze e il servizio del Tesoro di Stato, utilizzando malware noto come BlackEnergy, Industroyer e KillDisk;
  • Elezioni francesi: campagne di spearphishing di aprile e maggio 2017 e relative azioni di hacking e leak contro “La République En Marche!” del presidente francese Macron, il partito politico En Marche!, politici francesi e governi locali francesi prima delle elezioni francesi del 2017;
  • Attacchi malware distruttivi del 27 giugno 2017 che hanno infettato computer di tutto il mondo utilizzando malware noto come NotPetya, inclusi ospedali e altre strutture mediche nell'Heritage Valley Health System (Heritage Valley) nel distretto occidentale della Pennsylvania; una controllata di FedEx Corporation, TNT Express B.V.; e un grande produttore farmaceutico statunitense, che insieme ha subito perdite per quasi 1 miliardo di dollari a causa degli attacchi;
  • Organizzatori, partner e partecipanti alle Olimpiadi invernali di PyeongChang: campagne di spearphishing e applicazioni mobili dannose da dicembre 2017 a febbraio 2018 rivolte a cittadini e funzionari sudcoreani, atleti olimpici, partner e visitatori e funzionari del Comitato Olimpico Internazionale (CIO);
  • PyeongChang Winter Olympics IT Systems (Olympic Destroyer): da dicembre 2017 a febbraio 2018 intrusioni nei computer che supportano i Giochi olimpici invernali di PyeongChang 2018, culminati nel 9 febbraio 2018, attacco di malware distruttivo contro la cerimonia di apertura, utilizzando malware noto come Olympic Destroyer;
  • Indagini sull'avvelenamento di Novichok: campagne di spearphishing dell'aprile 2018 mirate alle indagini dell'Organizzazione per la proibizione delle armi chimiche (OPCW) e del Defense Science and Technology Laboratory (DSTL) del sull'avvelenamento da agenti nervini di Sergei Skripal, sua figlia e diversi cittadini del Regno Unito ;
  • ed enti governativi georgiani: una campagna di spearphishing del 2018 contro un'importante società di media, sforzi del 2019 per compromettere la rete del Parlamento e un'ampia campagna di deturpazione di siti Web nel 2019.
  • Cinque dei sei sono stati accusati di aver sviluppato apertamente strumenti di violazione informatica, mentre uno di loro è stato accusato di aver partecipato ad attacchi di spearphishing contro le Olimpiadi invernali del 2018 e di condurre ricognizioni tecniche, oltreché tentare di violare il dominio ufficiale del Parlamento della Georgia.

Ci sono loro dietro NotPeyta?

Se tra le accuse del gran Giurì statunitense figura anche l'implementazione della variante più letale di Peyta, denominata NotPeyta, è chiaro che il sospetto dell'azione di infezione globale ricada proprio sul team di Sandworm. Un altro dettaglio da non trascurare è quello che l'origine dell'infezione è l'Ucraina, già sollecitata nel 2015 quando fu messa sotto attacco la rete elettrica dell'ex regione dell'Urss.  Il virus ha avuto modo di insinuarsi nelle reti informatiche aziendali del paese grazie ad una violazione del software di contabilità M.E.Doc, utilizzato dall'80% delle imprese della nazione, per poi estendersi al sito governativo della città di Bachmut, compromesso. Un altro aspetto da non sottovalutare è che NotPeyta presentava una differenza sostanziale dal suo genitore e che risiedeva nella irreparabilità alla cifratura messa in atto dal malware, ripristinabile nemmeno con una azione di recupero, per di più assente. Questa differenziazione è molto importante per definire le finalità di NotPeyta che risulta essere concepito per recare quanti più danni possibili.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

Fuga attraverso il confine: vuole la pace, ripudia la guerra e dice addio all’Ucraina.

Tempo di lettura: 4 minuti. Nonostante le difficoltà, l’autore di un post su Facebook è riuscito a superare il confine nuotando attraverso il fiume Dnestr, dimostrando che con determinazione e coraggio, è possibile affrontare e superare anche le sfide più difficili.

Pubblicato

il

Tempo di lettura: 4 minuti.

La situazione in è critica, e per molti, la decisione di lasciare il paese è l'unica opzione rimasta per preservare la propria e benessere. Nonostante le difficoltà e i rischi, attraversare il fiume Dnestr a nuoto è un metodo che alcuni stanno adottando nella speranza di trovare sicurezza e stabilità altrove. C'è chi ha avuto il coraggio di rischiare la vita ed ha pubblicato un post su una volta arrivato senza comunicarlo ad amici o parenti sia perché non voleva dare ulteriori preoccupazioni, sia perché c'è tanta paura in Ucraina tra la popolazione maschile intrappolata da un divieto di legge marziale ed un esercito motivato ed autorizzato ad usare il pugno duro pur di far rispettare le regole nel paese.

Una foto dall'Ucraina che dimostra la necessità di carne da cannone

Una fonte sul posto, impaurita di essere chiamata a combattere, ci ha inviato una foto inequivocabile dalla parte occidentale dell'Ucraina dove c'è un manifesto pubblicitario stradale del battaglione Azov sempre più decimato dalle perdite sul campo di battaglia e sempre più collegato a rituali di origine celtica che ricordano l'appoggio storico degli ucraini al nazismo, all'olocausto ed allo spirito antisovietico.

Il post su Facebook della fuga dalla guerra

“È tempo di decisioni difficili. Negli ultimi diciotto mesi, l'idea di lasciare il paese è stata una costante riflessione, sperando che la situazione in Ucraina migliorasse. Tuttavia, con l'arrivo del 2023, le speranze di pace iniziano a svanire, e l'estate ha confermato che il conflitto militare durerà per anni”.

La decisione di partire

Vivere in condizioni di emergenza militare, sotto bombardamenti e con un coprifuoco, ha un impatto significativo sulla psiche. In tale situazione, è difficile vivere a lungo. Di conseguenza, è maturata la decisione di lasciare l'Ucraina, probabilmente per molti anni.

La fuga attraverso il fiume Dnestr

A causa del divieto di uscita per gli uomini sotto i 60 anni, l'unico modo per lasciare il paese è attraversare illegalmente il confine. La decisione è stata quella di attraversare il fiume di confine Dnestr a nuoto, una missione riuscita con successo.

Il viaggio

Dopo essere arrivato il più vicino possibile al confine con i mezzi pubblici, un taxi è stato preso per raggiungere un'area remota, seguita da una camminata verso e lungo la riva. Poi, semplicemente, si è entrati in acqua e si è nuotato attraverso, completamente vestiti e senza alcun bagaglio.

La traversata del Dnestr

Nonostante il successo, nuotare attraverso il fiume non è facile e c'è il rischio di annegamento. Questo metodo di attraversamento del confine è imprevedibile e rischioso, motivo per cui molti preferiscono attraversare campi o foreste. Il Dnestr è un fiume abbastanza largo, circa 200 metri, e in quel luogo, il passaggio è ostacolato da numerose alghe, che si estendono dal fondo fino alla superficie dell'acqua. Queste alghe avvolgono braccia, gambe e corpo, rendendo difficile avanzare rapidamente. Nel mezzo del fiume, l'acqua è libera dalle alghe, ma c'è una forte corrente che spinge lateralmente. Nuotare in queste condizioni, vestiti e con un sacchetto di documenti, soldi e telefono in mano, è una sfida. L'acqua a settembre è fredda, ma sopportabile.

Il rischio di annegamento

Il rischio di annegamento è alto, soprattutto per coloro che non sanno nuotare bene o sono fisicamente deboli. Non c'è nessuno a prestare soccorso in caso di problemi, e bisogna fare affidamento completamente sulle proprie forze. Durante la traversata, l'autore si ferma per un momento, guardando indietro verso l'Ucraina e realizzando di trovarsi esattamente a metà strada tra e pace, morte e vita, sventura e felicità. Questa realizzazione gli dà la forza di continuare a nuotare verso la salvezza.

L'arrivo in Moldavia

Una volta raggiunta la Moldavia, l'autore emerge dall'acqua inosservato, accolti solo dalle mucche al pascolo. Dopo essersi riposato tra i cespugli, prosegue a piedi verso un villaggio vicino, con i vestiti che si asciugano direttamente sul corpo.

La decisione di andare da solo e in silenzio

L'autore ha deciso di attraversare il confine da solo, senza l'aiuto di guide o l'acquisto di documenti falsi, nonostante i rischi e le difficoltà. Ha pianificato il viaggio studiando la zona su mappe e immagini satellitari, e ha organizzato la logistica per raggiungere il luogo di attraversamento e uscire dalla Moldavia. Non ha informato nessuno dei suoi piani, per evitare di far preoccupare amici e familiari. Solo una volta raggiunto l'altro lato del fiume, ha contattato i suoi cari per informarli del suo successo.

Il cammino continua

Dopo aver attraversato il villaggio a piedi, l'autore si dirige verso la strada principale. Fortunatamente, il sole moldavo lo asciuga durante il tragitto. Senza denaro moldavo per l'autobus, fa autostop. Un contadino locale lo porta silenziosamente più vicino alla strada principale senza fare domande.

Incontro con un pensionato moldavo

Sulla strada principale, un tipico pensionato moldavo lo raccoglie, credendolo un locale. Durante il viaggio, il pensionato lamenta il governo, la presidente Sandu, e l'ingiustizia economica, specialmente il costo elevato per l'ispezione del suo vecchio veicolo. L'autore ascolta in silenzio, riflettendo sulla relativa banalità di questi problemi rispetto a quelli lasciati alle spalle in Ucraina. Arrivato nella prima città lungo la strada, l'autore cambia i suoi soldi ucraini in lei moldavi. Acquista una nuova maglietta, del pane e beve un litro d'acqua, godendo la semplicità di questi piaceri dopo il suo viaggio senza cibo o acqua. Continua il suo viaggio verso la capitale, Chișinău, riflettendo sulla sua rinascita simbolica attraverso la traversata del fiume. L'autore conclude riconoscendo l'incertezza del futuro. Non ha piani a lungo termine o una destinazione fissa, ma è contento di aver fatto il primo passo verso una nuova vita di pace.

“Tra autostop e riflessioni, l'autore prosegue il suo viaggio in Moldavia, accogliendo la nuova vita con speranza nonostante l'incertezza del futuro.”

Prosegui la lettura

Inchieste

La CIA sotto accusa aiutata da NewsGuard nella narrazione sull’origine del COVID-19

Tempo di lettura: 2 minuti. La CIA e NewsGuard sotto accusa: nuove rivelazioni sollevano dubbi sulla narrazione ufficiale dell’origine del COVID-19.

Pubblicato

il

Tempo di lettura: 2 minuti.

In una recente rivelazione che potrebbe gettare nuova luce sull'origine della pandemia di COVID-19, un alto ufficiale della CIA ha accusato l'agenzia di aver tentato di manipolare le testimonianze di alcuni analisti per sostenere la teoria della trasmissione del virus dagli animali agli esseri umani, piuttosto che dalla fuga da un laboratorio a Wuhan, in . Questa accusa, riportata dal New York Post, è stata confermata da una lettera inviata al direttore della CIA, William Burns, e ha sollevato nuove domande sulla credibilità delle informazioni fornite dall'agenzia.

Il ruolo di NewsGuard

In questo contesto, è importante sottolineare il ruolo svolto da NewsGuard, una che si occupa di monitorare e valutare la veridicità delle notizie pubblicate online. Secondo una condotta da Matrice , NewsGuard ha avuto un ruolo significativo nell'avallare la narrazione ufficiale sull'origine del virus, etichettando come false le notizie che sostenevano la teoria della creazione artificiale del virus nei laboratori di Wuhan.

Critiche e controversie

La redazione di Matrice Digitale ha criticato aspramente l'approccio di NewsGuard, accusandola di aver creato una lista di proscrizione delle testate giornalistiche che diffondevano notizie contrarie alla narrazione ufficiale, e di aver ignorato altre informazioni false e fuorvianti circolate in merito alla pandemia. Questa situazione ha sollevato gravi preoccupazioni riguardo alla libertà di espressione e al diritto all', con Matrice Digitale che sottolinea la necessità di una maggiore trasparenza e responsabilità da parte delle agenzie di controllo delle notizie.

Questioni politiche e di credibilità

L'inchiesta di Matrice Digitale mette in luce anche le divergenze tra le narrazioni politiche negli Stati Uniti riguardo all'origine del virus, con il Partito Democratico che sostiene la teoria della trasmissione zoonotica, mentre il Partito Repubblicano sospetta una creazione artificiale del virus nei laboratori di Wuhan. In questo scenario, la credibilità di NewsGuard viene messa in discussione, con accuse di favoritismo politico e mancanza di obiettività nella valutazione delle notizie.

In conclusione, le recenti rivelazioni sulla possibile manipolazione delle informazioni da parte della CIA, insieme alle critiche mosse a NewsGuard, sollevano seri dubbi sulla veridicità delle informazioni circolate finora riguardo all'origine del COVID-19. È evidente che la questione richiede ulteriori indagini e una maggiore trasparenza da parte delle agenzie coinvolte. Prima della CIA, anche dall'FBI erano giunte indiscrezioni sull'origine artificiale del virus.

Prosegui la lettura

Inchieste

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite online e la necessità di maggiore protezione per gli utenti.

Pubblicato

il

Tempo di lettura: 2 minuti.

English Version

Le truffe online sono in aumento, e le piattaforme di vendita tra privati come Vinted diventano spesso il terreno di gioco per chi cerca di ingannare. Una lettrice ha deciso di condividere con noi la sua esperienza, sperando di mettere in guardia altri e partecipando attivamente allo spirito di che Matrice ha nei confronti dei lettori e della Pubblica Autorità.

La truffa in dettaglio

Dopo aver messo in vendita una sciarpa autentica di Louis Vuitton, la nostra lettrice ha inviato l'articolo a un'acquirente in . Nonostante avesse fornito prove fotografiche dell'autenticità, l'acquirente ha sostenuto che l'articolo fosse falso, ottenendo un rimborso e trattenendo la sciarpa. La foto dell'acquirente sia da monito per evitare di vendere merce senza ottenere soldi e reso.

La piattaforma Vinted e la sua risposta

Nonostante i numerosi tentativi di contatto, Vinted ha risposto una sola volta, sottolineando la sua contro la vendita di falsi. Successivamente, ogni tentativo di è stato ignorato, e l'acquirente ha bloccato la nostra lettrice che continua a mandare tre messaggi al giorno di media all'assistenza dell'azienda intermediaria già nota per essere terreno fertile di truffe ai danni di compratori e venditori onesti.

Un modus operandi diffuso

La online ha rivelato che molti altri utenti hanno subito truffe simili su Vinted. Dichiarare un prodotto come “falso” sembra essere una tattica comune tra i truffatori. Sia chiaro, il lettore non prenda questa strategia come consiglio, ma duole segnalare che è un dato di fatto. Un capo rotto è stato anche oggetto di un'altra truffa simile già raccontata dalla redazione.

L'inerzia delle autorità

La vittima ha cercato aiuto presso la Polizia Postale e la Guardia di . Tuttavia, le mani delle autorità erano legate a causa della residenza estera sia di Vinted che dell'acquirente.

Il prezzo della giustizia

La nostra lettrice ha valutato anche una opzione legale, ma i costi proibitivi di una causa internazionale hanno reso questa strada impraticabile. Lo stesso motivo che ha fatto desistere Matrice Digitale dal fare una causa a Google dopo l'ingiustificato ban del suo canale YouTube

Riflessioni finali

Questa testimonianza evidenzia la necessità per le piattaforme come Vinted di adottare misure più rigorose per proteggere i propri utenti. Nel frattempo, è fondamentale che gli utenti siano sempre vigili e informati quando operano online: il passa parola non sulle abitudini da osservare, bensì sulle truffe del momento, è fondamentale per anticipare le mosse dei criminali. Ecco tutte le inchieste su Vinted realizzate da Matrice Digitale: i prossimi potreste essere voi.

Prosegui la lettura

Facebook

CYBERWARFARE

Truffe recenti

Truffe online1 settimana fa

No, la vostra pagina Facebook non sta per scadere e non è disabilitata

Tempo di lettura: < 1 minuto. La nuova vecchia truffa è indirizzata ai proprietari delle pagine a cui si vuole...

DeFi3 settimane fa

MetaMask ecco la funzione di scambio ETH in valuta fiat

Tempo di lettura: < 1 minuto. MetaMask lancia una nuova funzione che permette agli utenti di vendere Ether per valuta...

truffa PWCNU truffa PWCNU
Truffe online3 settimane fa

Allerta Truffa: segnalazione di frode online su PWCNU.com

Tempo di lettura: 2 minuti. Allerta truffa: lettore segnala frode su PWCNU.com, perdendo 800€ in schema Ponzi che utilizza numeri...

Truffe online3 settimane fa

Nuova truffa di sextortion: il tuo “video intimo” su YouPorn

Tempo di lettura: 2 minuti. Una nuova truffa di sextortion associata a YouPorn sta cercando di estorcere denaro agli utenti...

Notizie4 settimane fa

ONU: Sud-est Asiatico manodopera del crimine informatico

Tempo di lettura: 2 minuti. Un rapporto dell'ONU svela il traffico di lavoratori nel Sud-est asiatico per operazioni di cybercriminalità,...

Notizie4 settimane fa

CISA Avverte: truffa informatica del cambiamento climatico

Tempo di lettura: < 1 minuto. La CISA avverte gli utenti di rimanere vigili di fronte alle truffe online, in...

Inchieste4 settimane fa

Vinted, come ottenere merce e rimborso: “il tuo capo è falso”

Tempo di lettura: 2 minuti. Una lettrice condivide la sua esperienza di truffa su Vinted, evidenziando i rischi delle vendite...

Inchieste4 settimane fa

Vinted, how to get goods and refund: “your luxury dress is fake”

Tempo di lettura: 2 minuti. A reader shares her experience of being scammed on Vinted, highlighting the risks of online...

vietnam matrix flag vietnam matrix flag
Truffe online4 settimane fa

Truffato per 416.000 dollari in un “club di incontri” su Telegram

Tempo di lettura: < 1 minuto. Uomo di Hanoi truffato per 416.000 dollari cercando di unirsi a un "club di...

Notizie1 mese fa

Galà della Frode: campagna BEC che colpisce l’Italia

Tempo di lettura: 3 minuti. Le truffe di "Business Email Compromise" sono un crescente pericolo nel mondo digitale, con cybercriminali...

Tendenza