Connect with us

Inchieste

Sandworm: l’APT Russo esperto di backdoor e Malware

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 5 minuti.

Prosegue l’inchiesta di Matrice Digitale sul mondo della guerra cibernetica organizzata dai russi. Dopo aver esaminato il duo più temuto composto da Fancy Bear e Cozy Bear, oggi entriamo nel merito del Sandworm Team.

Noto anche come Unit 74455Telebots, Voodoo Bear e Iron Viking, il gruppo si sospetta essere collegato ad un’unità cybermilitare russa del GRU: l’organizzazione responsabile dell’intelligence militare russa.

Si ritiene che il team sia responsabile dell’attacco informatico alla rete elettrica ucraina del dicembre 2015, degli attacchi informatici del 2017 all’Ucraina utilizzando il malware Petya, vari sforzi di interferenza nelle elezioni presidenziali francesi del 2017, e l’attacco informatico alla cerimonia di apertura delle Olimpiadi invernali del 2018. L’allora procuratore degli Stati Uniti per il distretto occidentale della Pennsylvania Scott Brady ha descritto la campagna informatica del gruppo come “rappresentante degli attacchi informatici più distruttivi e costosi della storia“.

Windows e le sue backdoors

Il primo attacco messo in piedi da SandWorm è associato al 2014, quando fu scoperta una nuova vulnerabilità critica nel sistema operativo Windows, sfruttata in un numero limitato di attacchi contro obiettivi negli Stati Uniti e in Europa. La vulnerabilità, legata all’esecuzione di codice remoto di Microsoft Windows OLE Package Manager (CVE-2014-4114) consentiva agli aggressori di incorporare file OLE (Object Linking and Embedding) da posizioni esterne. La vulnerabilità è stata sfruttata per scaricare e installare malware sul computer del bersaglio. La vulnerabilità sembra essere stata utilizzata per fornire backdoor ed avrebbe interessato tutte le versioni di Windows da Vista Service Pack 2 fino a Windows 8.1, colpendo anche i Windows Server versioni 2008 e 2012.

Ucraina al buio

L’attacco che li ha resi famosi è stato quello ai danni della rete elettrica ucraina nel 2015 colpevole di aver generato interruzioni di corrente. In quell’occasione, il team di Sandworm ha dimostrato pianificazione, coordinamento e capacità di utilizzazione dei malware. Un’altra capacità riconosciuta, per quanto temuta, è stata quella di ottenere un accesso remoto diretto a dispatcher di sistemi ciechi, causando cambiamenti di stato indesiderati all’infrastruttura di distribuzione dell’elettricità e tentando di ritardare il ripristino, grazie alla cancellazione dei server SCADA che monitorano le infrastrutture fisiche, dopo averne causato l’interruzione. Questo attacco consisteva in almeno tre componenti: il malware, un denial of service ai sistemi telefonici e la prova mancante della causa correlata all’attacco. Le prove e le analisi attuali indicano che il componente mancante era l’interazione diretta dell’avversario e non nello specifico il lavoro del malware. L’attacco informatico è stato possibile perchè composto da più elementi che includevano l’offuscamento ai dispatcher del sistema unitamente ai tentativi di negare le chiamate dei clienti che avrebbero segnalato l’interruzione dell’alimentazione grazie ad attacchi coordinati contro più società elettriche di distribuzione regionali.

Chi controlla il controllore?

Nel 2017 L’ANSSI, Agenzia di Intelligence francese, è stata informata di una campagna di intrusione mirata al software di monitoraggio Centreon distribuito dalla società francese CENTERON che ha portato alla violazione di diverse entità francesi. La prima vittima sembra essere stata compromessa dalla fine del 2017 e la campagna è durata fino al 2020. Questa campagna ha interessato principalmente i fornitori di tecnologia IT, in particolare i fornitori di hosting web. Sui sistemi compromessi, l’ANSSI ha scoperto la presenza di una backdoor sotto forma di webshell rilasciata su diversi server Centreon esposti a Internet, che è stata identificata come la P.A.S. webshell, versione numero 3.1.4. e presentava diverse somiglianze con le precedenti campagne attribuite al ‘pacchetto’ di intrusioni utilizzato proprio da Sandworm.

Le mail compromesse per tre anni

Nel 2019, si è sospettato che abbiano sfruttato più di una vulnerabilità nel codice di Exim , sistema di Mail Transfer Agent (MTA) open source per OS Unix-like, usato da più del 50 per cento dei mail server presenti in Rete. Non è dato sapere per quanto tempo siano state utilizzate, ma è cosa nota che il bug più pericoloso era conosciuto dal 2016 e poteva essere sfruttato per eseguire codice malevolo da remoto derivante da un problema riguardante la funzionalità di “chunking” di Exim, utilizzata per spezzettare le mail di grandi dimensioni per consentire uno smistamento più agevole.

I nodi venuti al pettine

Come già anticipato, il 19 ottobre 2020 un gran giurì con sede negli Stati Uniti ha rilasciato un atto d’accusa verso sei presunti agenti dell’Unità 74455 di crimini informatici, accusandoli di cospirazione per condurre frodi e abusi informatici, cospirazione, frode telematica, danneggiamento di computer protetti e furto di identità aggravato.

Secondo l’accusa, a partire da fine 2015 e continuando almeno fino all’ottobre 2019, gli imputati e i loro co-cospiratori hanno implementato malware distruttivi e hanno intrapreso altre azioni distruttive, a beneficio strategico della Russia, attraverso l’accesso non autorizzato alla vittima computer (hacking). Come affermato, la cospirazione era responsabile delle seguenti intrusioni e attacchi informatici distruttivi o altrimenti destabilizzanti:

  • Governo ucraino e infrastrutture critiche: attacchi malware distruttivi da dicembre 2015 a dicembre 2016 contro la rete elettrica dell’Ucraina, il Ministero delle finanze e il servizio del Tesoro di Stato, utilizzando malware noto come BlackEnergy, Industroyer e KillDisk;
  • Elezioni francesi: campagne di spearphishing di aprile e maggio 2017 e relative azioni di hacking e leak contro “La République En Marche!” del presidente francese Macron, il partito politico En Marche!, politici francesi e governi locali francesi prima delle elezioni francesi del 2017;
  • Attacchi malware distruttivi del 27 giugno 2017 che hanno infettato computer di tutto il mondo utilizzando malware noto come NotPetya, inclusi ospedali e altre strutture mediche nell’Heritage Valley Health System (Heritage Valley) nel distretto occidentale della Pennsylvania; una controllata di FedEx Corporation, TNT Express B.V.; e un grande produttore farmaceutico statunitense, che insieme ha subito perdite per quasi 1 miliardo di dollari a causa degli attacchi;
  • Organizzatori, partner e partecipanti alle Olimpiadi invernali di PyeongChang: campagne di spearphishing e applicazioni mobili dannose da dicembre 2017 a febbraio 2018 rivolte a cittadini e funzionari sudcoreani, atleti olimpici, partner e visitatori e funzionari del Comitato Olimpico Internazionale (CIO);
  • PyeongChang Winter Olympics IT Systems (Olympic Destroyer): da dicembre 2017 a febbraio 2018 intrusioni nei computer che supportano i Giochi olimpici invernali di PyeongChang 2018, culminati nel 9 febbraio 2018, attacco di malware distruttivo contro la cerimonia di apertura, utilizzando malware noto come Olympic Destroyer;
  • Indagini sull’avvelenamento di Novichok: campagne di spearphishing dell’aprile 2018 mirate alle indagini dell’Organizzazione per la proibizione delle armi chimiche (OPCW) e del Defense Science and Technology Laboratory (DSTL) del Regno Unito sull’avvelenamento da agenti nervini di Sergei Skripal, sua figlia e diversi cittadini del Regno Unito ;
  • Imprese ed enti governativi georgiani: una campagna di spearphishing del 2018 contro un’importante società di media, sforzi del 2019 per compromettere la rete del Parlamento e un’ampia campagna di deturpazione di siti Web nel 2019.
  • Cinque dei sei sono stati accusati di aver sviluppato apertamente strumenti di violazione informatica, mentre uno di loro è stato accusato di aver partecipato ad attacchi di spearphishing contro le Olimpiadi invernali del 2018 e di condurre ricognizioni tecniche, oltreché tentare di violare il dominio ufficiale del Parlamento della Georgia.

Ci sono loro dietro NotPeyta?

Se tra le accuse del gran Giurì statunitense figura anche l’implementazione della variante più letale di Peyta, denominata NotPeyta, è chiaro che il sospetto dell’azione di infezione globale ricada proprio sul team di Sandworm. Un altro dettaglio da non trascurare è quello che l’origine dell’infezione è l’Ucraina, già sollecitata nel 2015 quando fu messa sotto attacco la rete elettrica dell’ex regione dell’Urss.  Il virus ha avuto modo di insinuarsi nelle reti informatiche aziendali del paese grazie ad una violazione del software di contabilità M.E.Doc, utilizzato dall’80% delle imprese della nazione, per poi estendersi al sito governativo della città di Bachmut, compromesso. Un altro aspetto da non sottovalutare è che NotPeyta presentava una differenza sostanziale dal suo genitore e che risiedeva nella irreparabilità alla cifratura messa in atto dal malware, ripristinabile nemmeno con una azione di recupero, per di più assente. Questa differenziazione è molto importante per definire le finalità di NotPeyta che risulta essere concepito per recare quanti più danni possibili.

Iscriviti alla newsletter settimanale di Matrice Digitale

* inserimento obbligatorio

Inchieste

XLoader/FormBook: analisi in esclusiva della crittografia e decrittografia del malware

Condividi questo contenuto

Tempo di lettura: 6 minuti. La società ha fornito in esclusiva per l’italia, l’analisi di un malware “stealer” utilizzato di frequente nell’ultimo periodo.

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 6 minuti.

English Version

Gli analisti di malware di ANY.RUN sono felici di discutere gli algoritmi di crittografia di XLoader, noto anche come FormBook con la redazione di Matrice Digitale. Insieme decifreremo le stringhe dello stealer e dei server C2.

Xloader è uno Stealer, successore di FormBook. Tuttavia, oltre alle funzionalità di base, sono interessanti anche gli approcci insoliti alla crittografia e all’offuscamento delle strutture interne, del codice e delle stringhe utilizzate in XLoader. Diamo uno sguardo dettagliato alla crittografia di stringhe, funzioni e richiami C2.

IceXLoader ha infettato migliaia di vittime in tutto il mondo

Ecco il malware che eluce i blocchi impostati da Microsoft sulle VBA

DotRunpeX diffonde diverse famiglie di malware tramite annunci pubblicitari

Gookit all’attacco di organizzazioni sanitarie e finanziarie

Crittografia in XLoader

Innanzitutto, dovremmo ricercare 3 principali algoritmi crittografici utilizzati in XLoader. Questi sono gli algoritmi modificati: RC4, SHA1 e l’algoritmo di Xloader basato su una macchina virtuale.

L’algoritmo RC4 modificato

L’algoritmo RC4 modificato è un normale RC4 con livelli aggiuntivi di sottrazione sequenziale prima e dopo la chiamata RC4. Nel codice uno strato di sottrazioni ha questo aspetto:

       # transform 1
       for i in range(len(encbuf) – 1, 0, -1):
           encbuf[i-1] -= encbuf[i]

       # transform 2
       for i in range(0, len(encbuf) -1):
           encbuf[i] -= encbuf[i+1]

I byte del testo cifrato vengono sottratti l’uno dall’altro in sequenza da destra a sinistra. E poi vanno da sinistra a destra. Nel codice di XLoader appare così:

Funzione che esegue la crittografia RC4

L’algoritmo SHA1 modificato

La modifica SHA1 è una SHA1 regolare, ma ogni 4 byte viene invertita:

L’algoritmo della macchina virtuale di Xloader

L’ultimo algoritmo è una macchina virtuale che genera da uno a quattro byte di testo in chiaro, a seconda del byte corrente del testo cifrato. Di solito, questo algoritmo viene utilizzato come livello di crittografia aggiuntivo, che verrà discusso in seguito. La voce della routine di decrittografia della VM è simile alla seguente:

Un esempio di trasformazioni nella routine di decrittazione di una macchina virtuale

Decrittazione delle stringhe XLoader

Successivamente, esaminiamo come funziona la crittografia delle stringhe in XLoader. Tutti gli array di byte contenenti stringhe crittografate o informazioni sulla chiave si trovano in tipi speciali di BLOB.

Un esempio di trasformazioni nella routine di decrittazione di una macchina virtuale

Decrittazione delle stringhe XLoader

Successivamente, esaminiamo come funziona la crittografia delle stringhe in XLoader. Tutti gli array di byte contenenti stringhe crittografate o informazioni sulla chiave si trovano in tipi speciali di BLOB.

Funzione di generazione della chiave per decifrare le stringhe

Qui K1_blob, K2_blob e K3_blob sono funzioni che restituiscono dati dai blocchi descritti sopra e la lunghezza della stringa è un argomento per esse.

Le funzioni VM_Decrypt, RC4_with_sub_Layer e sha1_* sono algoritmi modificati che abbiamo discusso in precedenza.

Schematicamente, l’algoritmo di generazione della chiave può essere rappresentato dal seguente diagramma.

Qui E e K sono i dati e la chiave che viene alimentata all’input della funzione RC4, rispettivamente, e K1, K2 e K3 sono i dati ottenuti dalle funzioni K1_blob, K2_blob e K3_blob.

schema di generazione delle chiavi per decifrare le stringhe

Anche le stringhe stesse vengono archiviate come blob e sono coperte da due livelli di crittografia:

VM_decrypt

RC4 che utilizza la chiave ottenuta sopra.

Allo stesso tempo, RC4 non viene utilizzato per l’intero blob in una volta.

Dopo aver rimosso il primo livello, le stesse stringhe crittografate vengono memorizzate nel formato:

lunghezza stringa crittografata – stringa crittografata

Di conseguenza, per decrittografare le stringhe, dobbiamo eseguire un ciclo di questa struttura e decrittografare in modo coerente tutte le stringhe.

Funzione per decifrare le stringhe

Di seguito è riportato un esempio dei dati crittografati dopo aver rimosso il primo livello. Le coppie lunghezza/stringa per le prime 3 stringhe crittografate sono evidenziate in rosso.

Le prime 3 stringhe crittografate

Le stesse stringhe dopo la decrittazione:

Le prime 3 righe dopo la decodifica

Insieme alle stringhe crittografate, vengono memorizzate anche le esche C2. Si trovano sempre alla fine di tutte le stringhe decifrate, iniziando e terminando con le stringhe f-start e f-end.

Decrittazione dei server C2 di XLoader

Successivamente, vediamo come funziona la crittografia C2 principale. Il C2 principale si trova altrove nel codice, quindi puoi ottenerlo separatamente dalle esche C2.

Frammento di codice che dimostra la decrittazione C2.

Per decrittografarlo, oltre che per decrittografare le stringhe, vengono utilizzate 3 chiavi. Lo schema di decrittazione C2 è mostrato di seguito:

  • EC2 è il C2 crittografato
  • DC2 è il C2 decifrato

L’algoritmo stesso è un’applicazione sequenziale 3 volte dell’algoritmo RC4 con 3 chiavi diverse.

Schema di decrittazione delle esche C2

Inoltre, nelle versioni più recenti delle esche XLoader C2, che di solito si trovano insieme a tutte le altre stringhe, risultano essere coperte da un ulteriore livello di crittografia e, a prima vista, non è del tutto chiaro dove avvenga esattamente la decrittazione di queste stringhe .

Poiché XLoader ha diversi punti di ingresso, ciascuno responsabile di diverse funzionalità non intersecanti, con molte funzioni che risultano essere crittografate.

Le esche C2 vengono decifrate all’interno di XLoader iniettato in Explorer.exe. E in questo caso, viene passato a netsh.exe, che contiene anche XLoader tramite iniezione APC.

Il ciclo di vita C2 in diversi moduli XLoader

Per capire come viene crittografato un esca C2, prima di tutto è necessario capire come vengono crittografate le funzioni.

In realtà è abbastanza semplice. RC4 viene utilizzato come algoritmo di crittografia. Questa volta, la chiave è hardcoded e scritta direttamente nel codice e poi xored con la gamma a 4 byte.

Successivamente, dovresti trovare i puntatori all’inizio e alla fine della funzione. Ecco come si fa: un valore univoco di 4 byte viene inserito all’inizio e alla fine di ogni funzione crittografata. XLoader cerca questi valori e ottiene i puntatori desiderati.

Frammento di codice che dimostra la decrittazione della funzione

Quindi la funzione viene decrittografata, le viene dato il controllo e allo stesso modo cerca e decrittografa la funzione successiva. Ciò accade fino a quando la funzione con la funzionalità principale non viene decifrata ed eseguita. Quindi, le funzioni dovrebbero essere decifrate in modo ricorsivo.

La chiave per decrittografare le esche C2 è composta da 2 parti e viene raccolta separatamente in due diversi punti di uscita. Un punto di uscita ottiene la chiave protetta da 20 byte e il secondo ottiene la gamma da 4 byte per decrittografare la chiave.

Esempio di configurazione del malware XLoader estratto

Applicando gli algoritmi di cui sopra possiamo estrarre la configurazione da Xloader, inclusi C2, esche C2 e stringhe. Per tua comodità, abbiamo integrato l’estrazione automatica della configurazione di Xloader nella sandbox interattiva ANY.RUN: basta eseguire l’esempio e ottenere tutti gli IOC in pochi secondi.

Configurazione del malware estratta in ANY.RUN

Esempi di campioni eseguiti con successo:

Esempio 1

Esempio 2

Esempio 3

Riassumi

In questo articolo abbiamo discusso la crittografia in xLoader stealer. Si basa sia su componenti aggiuntivi di algoritmi esistenti sia su algoritmi scritti da sé.

La parte principale e complicata del processo di decrittazione è la generazione della chiave e il fatto che la funzionalità di XLoader è suddivisa in moduli che possono essere eseguiti in diversi processi. Per questo motivo, per estrarre le stringhe, dobbiamo decifrare il codice eseguibile, tra le altre cose.

Fortunatamente, ANY.RUN è già impostato per rilevare automaticamente questo malware, rendendo i relativi dettagli di configurazione a portata di clic.

Appendice

File analizzati

Campione con la nuova crittografia dei richiami C2

TitleDescription
NameMT10320221808-004. pdf.exe
MD5b7127b3281dbd5f1ae76ea500db1ce6a
SHA16e7b8bdc554fe91eac7eef5b299158e6b2287c40
SHA256726fd095c55cdab5860f8252050ebd2f3c3d8eace480f8422e52b3d4773b0d1c

Campione senza crittografia esche C2

TitleDescription
NameTransfer slip.exe
MD51b5393505847dcd181ebbc23def363ca
SHA1830edb007222442aa5c0883b5a2368f8da32acd1
SHA25627b2b539c061e496c1baa6ff071e6ce1042ae4d77d398fd954ae1a62f9ad3885
Prosegui la lettura

Inchieste

Meta vuole sottopagare la Musica italiana, ma va difesa perchè la SIAE è il male

Condividi questo contenuto

Tempo di lettura: 3 minuti. Il paradosso italiano: firmare i contratti perchè c’è chi paga poco, ma paga. Anche se sottopaga pur avendo bisogno degli artisti del Bel Paese

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 3 minuti.

La scomparsa della musica italiana da Instagram e Facebook ha causato grande sconcerto tra gli utenti. Questo è avvenuto a seguito del mancato accordo tra il colosso dei social media, Meta, e la SIAE, l’ente che tutela i diritti d’autore degli artisti italiani. La licenza per l’utilizzo delle canzoni italiane è scaduta a gennaio, e Meta ha cercato di negoziare senza concedere alcun margine di compromesso, chiedendo sostanzialmente alla SIAE di accettare le loro condizioni senza garanzie.

Il governo italiano ha cercato di intervenire nella disputa, ma finora non è stata raggiunta alcuna soluzione concreta. Nel frattempo, gli utenti italiani sono impossibilitati dall’utilizzare la musica italiana nelle loro storie e reel su Instagram e Facebook. Questa situazione potrebbe indurre molti a passare al concorrente cinese TikTok, che ha già guadagnato una quota significativa del mercato nel 2022.

L’industria musicale italiana è gravemente danneggiata da questa situazione, in quanto il mercato digitale rappresenta l’83% dei suoi ricavi. Gli utenti italiani si trovano ora senza la possibilità di condividere la colonna sonora delle loro vite attraverso i social media, e ciò potrebbe portare a un calo dell’interesse per la musica italiana sia a livello nazionale che internazionale.

In sintesi, il mancato accordo tra Meta e SIAE ha creato una situazione difficile per l’industria musicale italiana e per gli utenti dei social media nel paese. Se non verrà raggiunta una soluzione, il settore musicale italiano e la sua presenza sulle piattaforme digitali potrebbero risentirne notevolmente, con possibili ripercussioni negative sulla promozione e la diffusione della musica italiana nel mondo.

Fino a qui, la ragione sembra trovarsi dalla parte della piattaforma statunitense che “offre” una opportunità di visibilità per quegli artisti che non hanno successo e nemmeno i soldi per promuoversi. La domanda è però un’altra: il patrimonio artistico culturale del nostro paese è più importante di una piattaforma commerciale statunitense?

La verità da parte di SIAE, che rappresenta molti artisti locali ma non tutti, è che l’offerta economica del social era stata già decisa a tavolino e non aveva margini di trattativa ulteriori. Il muro contro muro è una strategia che fa comprendere alla piattaforma come sarebbe il social senza la musica italiana.

Premesso che gli effetti sono visibili solo ed esclusivamente su testi italiani, su cantanti che appartengono a SoundReef, un’alternativa per gli artisti alla SIAE, o altre etichette e che questo giochi a sfavore non solo dei “deboli”, ma anche a grossi nome come la Pausini, c’è però da fare una considerazione sul perchè Soundreef sia migliore di Siae: solo perchè è presente su Facebook?

Contenuti senza musica o senza musica il nulla politico?

C’è poi il dettaglio dei contenuti: Facebook nasce come social di “foto” e “testo”, la musica è arrivata dopo con i video, ma è chiaro senza la musica, i contenuti della piattaforma perderebbero molto in termini di valore, qualità e gradimento. Questo dovrebbe far riflettere quante più persone sull’abbandonare la piattaforma senza maledire la SIAE che invece sta rappresentando un intero settore “sottopagato” come da anni avviene nel mondo della globalizzazione, diventata gigaeconomy, e che sta facendo emergere la vera realtà di un social che ospitava pensieri profondi ed idee politiche per essere diventato poi il modello perfetto di censura, controllo e manipolazione del pensiero occidentale.

Stesso discorso per Instagram, dove alle foto hanno fatto spazio video per lo più televendite di profili pornografici di Onlyfans, ma “Meta non era contro il porno?”, che avvicinano minori a profili a luci rosse e foto dove la musica non è richiesta per forza. Chi ha interesse affinché la SIAE svenda la musica al dandy americano? Solo chi non comprende che i social vivono di contenuti e dell’intelletto altrui ed è per questo che TikTok, paga tutti i creator a differenza di Facebook che ha una lista di influencer favoriti decisi anche dalla politica globalista e regole di ingaggio poco chiare e spesso rivelatesi scorrete per il mercato.

Azienda, piattaforma social o comitato d’affari?

Perchè il Governo dovrebbe intervenire? Per favorire gli americani di Zuckerberg a discapito dei cinesi per via di TikTok e della sciurezza del nostro paese?

E perchè non invece essere più sodale con YouTube che oramai, insieme a Spotify, è il metro preferito dall’industria musicale globale?

Sarebbe forse il caso di iniziare a valutare realtà come Meta per quello che sono, aziende presenti sul mercato che non hanno nè più nè meno di diverso rispetto alle altre e proprio per questo non meritano attenzioni particolari e possono tranquillamente gestirsi da sole senza troppi aiuti di figure governative comprensivi, fin troppo, forse al limite della connivenza.

Prosegui la lettura

Inchieste

Killnet assalta gli ospedali e Phoenix colpisce missione EOSDIS della NASA

Condividi questo contenuto

Tempo di lettura: 4 minuti. Hanno monitorato tutti gli attacchi dal 18 novembre 2022 al 17 febbraio 2023, osservando un aumento da 10-20 attacchi giornalieri a novembre a 40-60 attacchi ogni giorno a febbraio

Pubblicato

il

Condividi questo contenuto
Tempo di lettura: 4 minuti.

Killnet è tornato ed ha hackerato la NASA dopo un periodo di silenzio a causa del grande successo avuto dei cugini di NoName057. Il collettivo di hacktivisti russi ha pubblicato dettagli e dati sulla missione spaziale della NASA prevista sul satellite della terra.

🤴 Il gruppo di hacker russi PHOENIX si assume la piena responsabilità di aver violato alcuni dei vostri sistemi.

Lo dico in modalità 🔴 in quanto ho fiducia in me stesso e nei vostri professionisti IT.

✔️На al momento abbiamo accesso a (i dati saranno aggiornati):

⚡️Данные dai satelliti della missione MMS
⚡️Учетные record degli utenti/specialisti di EOSDIS
⚡️Нескольо terabyte di dati di ricerca, schemi di veicoli spaziali, rapporti e documenti aziendali
⚡️SOON…

credenziali di login dei dipendenti

Nonostante Killnet si sia da sempre contraddistinta per gli attacchi di DDoS, questa volta invece ha giocato un ruolo diverso dal solito entrando nei server della NASA: l’ente di aviazione spaziale americana famosissima anche per i suoi sistemi di sicurezza informatici avanzati e a prova di intrusioni non solo di hacker bensì anche militari da parte di altri paesi. Un’attività a questa che dovrà essere smentita dall’ente statunitense oppure confermata, ma attualmente sono stati pubblicati i dati con relative password delle persone impegnate nel progetto e quindi si può affermare che danno permanente è stato fatto salvo smentite sulal qualità dei contenuti

Cosa è la missione EOSDIS?

EOSDIS, acronimo di Earth Observing System Data and Information System, è un sistema gestito dalla NASA per raccogliere, archiviare e distribuire i dati provenienti dai satelliti di osservazione terrestre e dalle missioni scientifiche aeree. L’obiettivo principale di EOSDIS è fornire un accesso semplice e veloce a una vasta gamma di dati e informazioni relative all’ambiente terrestre, all’atmosfera, all’oceano e alle aree glaciali e polari.

EOSDIS fa parte del programma Earth Science Data Systems (ESDS) della NASA e utilizza diversi centri di elaborazione e distribuzione dei dati, chiamati Distributed Active Archive Centers (DAACs), per archiviare e distribuire i dati a ricercatori, scienziati e altre parti interessate in tutto il mondo.

Tra i principali servizi offerti da EOSDIS vi sono la possibilità di cercare e scaricare dati e immagini, visualizzare mappe e grafici e accedere a strumenti di analisi per comprendere meglio le tendenze e i fenomeni legati all’ambiente terrestre e ai cambiamenti climatici.

L’allarme dagli USA: Killnet colpisce gli ospedali

Questa settimana, i ricercatori nel campo della cybersecurity hanno osservato che il gruppo di hacker pro-Russia noto come Killnet sta intensificando gli attacchi DDoS (Distributed Denial of Service) contro le organizzazioni sanitarie a partire dal novembre scorso.

Killnet è stato creato in seguito all’invasione della Russia in Ucraina nel febbraio 2022 e ha trascorso gran parte dell’ultimo anno lanciando attacchi DDoS contro governi e aziende di tutto il mondo. Sebbene gli attacchi siano per lo più un fastidio – mettendo offline i siti web per circa un’ora nella maggior parte dei casi – hanno suscitato preoccupazione all’interno del governo degli Stati Uniti, in particolare quando vengono lanciati contro infrastrutture critiche come aeroporti e ospedali.

Nei mesi recenti, il gruppo ha concentrato la sua attenzione sui siti web delle organizzazioni sanitarie, lanciando una campagna a febbraio che ha preso di mira ospedali in oltre 25 stati. La Cybersecurity and Infrastructure Security Agency (CISA) ha affermato che meno della metà di questi attacchi – che prevedevano l’invio di un’enorme quantità di richieste di pagina ai siti web presi di mira – ha avuto successo nel mettere offline i siti.

Venerdì, i membri del Microsoft Azure Network Security Team, Amir Dahan e Syed Pasha, hanno pubblicato un’analisi degli attacchi DDoS alle organizzazioni sanitarie utilizzando i loro strumenti di sicurezza.

“Le tipologie di organizzazioni sanitarie attaccate comprendevano il settore farmaceutico e delle scienze della vita con il 31% di tutti gli attacchi, gli ospedali con il 26%, le assicurazioni sanitarie con il 16% e i servizi e le cure sanitarie anch’esse con il 16%”, hanno dichiarato. Killnet ha solitamente provato due metodi diversi: creare molte connessioni diverse e cercare di mantenerle attive il più a lungo possibile per rendere inutilizzabile un sito web, oppure stabilire quante più nuove connessioni possibili in un breve lasso di tempo per esaurire le risorse.

“Killnet e i suoi avversari affiliati utilizzano gli attacchi DDoS come tattica più comune. Utilizzando script DDoS e stressor, reclutando botnet e utilizzando fonti di attacco contraffatte, KillNet può facilmente interrompere la presenza online di siti web e app”, hanno affermato i ricercatori. Servizi di protezione DDoS come Cloudflare hanno segnalato tendenze simili. Akamai, un’altra azienda che offre strumenti simili, ha pubblicato un rapporto il mese scorso che evidenziava un aumento significativo degli incidenti DDoS in Europa nel 2022, con un numero crescente di campagne che ora coinvolgono tattiche di estorsione. L’azienda ha anche avvertito che gli attacchi DDoS vengono ora sempre più utilizzati come copertura per vere e proprie intrusioni che coinvolgono ransomware e furto di dati.

Omer Yoachimik di Cloudflare ha riferito a The Record che la loro ricerca sulla campagna DDoS di Killnet nel settore sanitario indica che gli attacchi venivano “crowdsourced”, ovvero gli operatori di Killnet si rivolgevano ad altri gruppi e individui che utilizzano più botnet o metodi di attacco diversi. Anche la CISA ha dichiarato a The Record che gli incidenti DDoS sono diventati una questione prioritaria per l’agenzia, poiché cercano di proteggere le infrastrutture critiche.

“Il nostro personale regionale sta lavorando a stretto contatto con i nostri partner sul territorio e incoraggiamo tutte le organizzazioni, compresi gli enti statali e locali, a rimanere vigili e ad adottare misure per proteggersi”, ha detto il portavoce, facendo riferimento a una guida pubblicata insieme all’FBI a ottobre su come le organizzazioni possono ridurre la probabilità e l’impatto degli attacchi DDoS. Il portavoce ha aggiunto che per gran parte dell’ultimo anno, la CISA ha aiutato le organizzazioni a mitigare gli attacchi DDoS, in particolare quelli lanciati da Killnet. L’agenzia ha anche collaborato con diverse aziende tecnologiche per fornire risorse gratuite alle organizzazioni con finanziamenti limitati, al fine di aiutarle a ridurre l’impatto degli attacchi DDoS.

Prosegui la lettura

Facebook

CYBERWARFARE

Notizie46 minuti fa

Mélofée: un nuovo malware Linux collegato ai gruppi APT cinesi

Tempo di lettura: 2 minuti. Un gruppo di hacker sponsorizzato dallo stato cinese è stato collegato a un nuovo malware...

Notizie6 ore fa

La guerra in Ucraina e la nuova geografia della guerra cibernetica

Tempo di lettura: < 1 minuto. L'autunno 2022 ha segnato una svolta nella cyberwar legata al conflitto ucraino, estendendosi in...

DeFi1 settimana fa

Hacker travestito da Zelensky intervista Lagarde sull’euro digitale?

Tempo di lettura: < 1 minuto. Verità o deep fake? Non è dato saperlo se si riflette

Notizie1 settimana fa

Armis pubblica rapporto sulla guerra cibernetica e le difese del Regno Unito

Tempo di lettura: 2 minuti. Condividi questo contenutoIntroduzione: Armis, una delle principali aziende nel campo della visibilità e sicurezza degli...

Notizie1 settimana fa

KillNet mira alle applicazioni sanitarie ospitate su Microsoft Azure

Tempo di lettura: < 1 minuto. Condividi questo contenutoUn gruppo hacktivist affiliato alla Russia noto come KillNet è stato osservato...

Notizie1 settimana fa

Cremlino vieta iPhone a operatori coinvolti nella campagna elettorale di Putin nel 2024

Tempo di lettura: < 1 minuto. Condividi questo contenutoIl Cremlino ha imposto il divieto di utilizzo degli iPhone per i...

Notizie1 settimana fa

Gli hacker cinesi e russi usano il malware Silkloader per eludere il rilevamento

Tempo di lettura: < 1 minuto. Condividi questo contenutoLa regina canadese di QAnon, Romana Didulo, è stata etichettata come “falsa”...

Notizie2 settimane fa

NoName057 mette in palio 1 milione di rubli per chi partecipa ai DDoS

Tempo di lettura: < 1 minuto. Condividi questo contenuto Il gruppo di attivisti NoName057, conosciuto in Italia per essere stato...

Notizie2 settimane fa

Microsoft: Usa e Polonia i paesi più spiati dai russi

Tempo di lettura: < 1 minuto. Condividi questo contenutoSecondo un nuovo rapporto di intelligence di Microsoft, la Russia ha intensificato...

Notizie2 settimane fa

Microsoft: come sarà il secondo anno di guerra cibernetica

Tempo di lettura: 3 minuti. "La collaborazione tra settore pubblico e privato è essenziale per la difesa cibernetica e per...

Truffe recenti

Truffe online1 giorno fa

Truffa “wangiri”: donna perde tutto il credito telefonico richiamando numero misterioso

Tempo di lettura: < 1 minuto. La truffa dello squillo senza risposta continua a mietere vittime tra gli ignari utenti...

Truffe online2 giorni fa

Sim swap a Napoli, condannate Intesa Sanpaolo e Telecom Italia

Tempo di lettura: < 1 minuto. Le due aziende dovranno risarcire il 50% dei 29.000 euro rubati

Notizie3 giorni fa

Esperto di tecnologia smaschera la truffa del “numero sbagliato”

Tempo di lettura: 2 minuti. Un esperto di sicurezza informatica indaga a fondo una truffa sofisticata e rivela come funziona

Truffe online2 mesi fa

Truffa Facebook Little Flowers ai danni de La Repubblica: la matrice è cinese

Tempo di lettura: 3 minuti. Condividi questo contenuto In questi giorni abbiamo analizzato come attraverso Google Adwords è possibile veicolare...

Truffe online2 mesi fa

Truffa da 25.000 euro su Hiobit.com : la matrice è asiatica

Tempo di lettura: 2 minuti. Da Tinder ad un sito internet di trading, come un profilo asiatico è riuscito a...

Truffe online2 mesi fa

Pacco e contropaccotto: Vinted consente truffa “Morada” ai danni dei suoi venditori

Tempo di lettura: 2 minuti. Altro venditore di 500 euro, la società ha rimborsato il criminale a migliaia di km...

Truffe online2 mesi fa

Malware trasmesso da Google Ads prosciuga l’intero portafoglio di criptovalute di un influencer NFT

Tempo di lettura: 2 minuti. Un link pubblicitario sponsorizzato su Google ha nascosto un malware che ha travasato migliaia di...

Notizie3 mesi fa

“Entra nell’Interpol” la nuova truffa sui social media che spopola in Sud Africa

Tempo di lettura: 2 minuti. L'Organizzazione internazionale di polizia criminale (Interpol) ha lanciato un allarme su una truffa online che...

DeFi4 mesi fa

Scandalo FTX, i genitori di Sam Bankman Fried sono indagati: confermata l’inchiesta di Matrice Digitale

Tempo di lettura: 2 minuti. Avrebbero speso i fondi societari per acquisti personali e sono il collante con le "coperture"...

Truffe online5 mesi fa

Sospettati di uno schema Ponzi arrestati in Grecia e Italia ricercati da INTERPOL

Tempo di lettura: 2 minuti. INTERPOL ha lanciato l'IFCACC all'inizio di quest'anno, per fornire una risposta globale coordinata contro la...

Tendenza