Inchieste
Spionaggio Digitale: l’iInarrestabile ascesa di OilRig
Tempo di lettura: 9 minuti. Shamoon ritorna, OilRig intensifica con QUADAGENT. Proteggi dal nuovo pericolo RGDoor e OopsIE nel Medio Oriente
Nel panorama della sicurezza informatica, il gruppo OilRig (noto anche come APT34 o Helix Kitten) continua a dimostrare una capacità di adattamento e un’evoluzione costante nel loro arsenale di strumenti di attacco. Identificato per la prima volta a metà del 2016, OilRig è un avversario motivato da operazioni di spionaggio e attivo principalmente nella regione del Medio Oriente. La loro persistenza e l’intensificazione delle operazioni lasciano presagire un’accelerazione delle attività nel prossimo futuro.
OilRig Trojan “OopsIE” per cyberattacchi nel Medio Oriente
Nel panorama delle minacce informatiche, il gruppo OilRig sè distinto per la sua persistenza e l’evoluzione continua delle sue strategie di attacco. Unit 42 di Palo Alto Networks ha rivelato l’uso di un nuovo trojan, soprannominato “OopsIE”, utilizzato per colpire obiettivi strategici nel Medio Oriente.
Sviluppo e Analisi del Trojan
OilRig ha dimostrato una capacità notevole di adattamento, sviluppando il trojan “OopsIE” per infiltrarsi in enti assicurativi e istituzioni finanziarie. L’attacco del 8 gennaio ha visto l’uso di un documento Word dannoso, mentre quello del 16 gennaio ha coinvolto la consegna diretta del trojan tramite link di phishing mirato. L’analisi tecnica del documento “ThreeDollars” e del trojan rivela un uso astuto di macro malevoli e tecniche di mascheramento del traffico di rete.
Metodologie di attacco e prevenzione
Unit 42 ha fornito dettagli tecnici sulle metodologie di attacco di OilRig, inclusi l’uso di task pianificati, la creazione di VBScript e le tecniche di codifica dei dati. Vengono inoltre condivisi gli Indicatori di Compromissione (IoC), come gli hash SHA256 e i dettagli dell’infrastruttura di comando e controllo (C2). Per la protezione, vengono suggeriti strumenti come WildFire, AutoFocus, Traps e PanAV di Palo Alto Networks.
OilRig ha continuato a rappresentare una minaccia significativa per le aziende nel Medio Oriente. L’articolo sottolinea l’importanza di rimanere aggiornati sulle tattiche di attacco e di implementare misure di sicurezza adeguate per contrastare queste minacce persistenti.
RGDoor, il retroscena della backdoor IIS
Unit 42 ha rivelato l’uso di un backdoor IIS denominato RGDoor, utilizzato per prendere di mira organizzazioni governative e istituzioni finanziarie ed educative nel Medio Oriente. Questo backdoor si presenta come una minaccia secondaria, attivata per mantenere l’accesso a server compromessi qualora le difese nemiche individuassero e rimuovessero le shell TwoFace precedentemente installate.
RGDoor: minaccia nascosta nei Server
RGDoor si distingue per la sua capacità di operare discretamente. A differenza di TwoFace, non è sviluppato in C# e non richiede interazioni con URL specifici. Creato in C++, RGDoor si integra come modulo HTTP nativo in IIS, estendendo le funzionalità del server per eseguire azioni personalizzate su richieste in arrivo. La sua installazione può avvenire tramite l’interfaccia grafica di IIS Manager o con comandi appcmd, dimostrando la sofisticatezza e l’adattabilità di questo strumento agli ambienti server.
Risposta ai comandi: analisi tecnica
L’analisi di RGDoor mostra che risponde immediatamente alle richieste POST HTTP, esaminando i campi “Cookie” per comandi specifici. Questa funzionalità consente agli attori di caricare e scaricare file e di eseguire comandi, offrendo un controllo quasi totale sul server compromesso. La struttura dei comandi, la loro esecuzione e la risposta a tali richieste rivelano un livello di controllo preoccupante per la sicurezza delle reti informatiche.
Protezione e prevenzione: misure di sicurezza
Per contrastare la minaccia RGDoor, Palo Alto Networks ha messo a disposizione dei suoi clienti diversi strumenti di protezione, come WildFire e AutoFocus, e ha sviluppato una firma IPS specifica per rilevare il traffico di rete RGDoor. Queste misure sono essenziali per la prevenzione e la mitigazione degli attacchi, sottolineando l’importanza di una vigilanza costante e di una risposta rapida agli incidenti di sicurezza.
Comprensione e difesa: log e configurazione IIS
Per una difesa efficace, è cruciale comprendere come RGDoor appaia nei log di IIS. La configurazione standard di IIS non registra i valori dei campi “Cookie”, rendendo difficile l’identificazione delle richieste in arrivo. Pertanto, è necessario configurare IIS per loggare tali campi, permettendo agli amministratori di rilevare e analizzare le attività sospette legate a RGDoor.
Persistenza di RGDoor
RGDoor rappresenta un esempio chiaro di come gli attori di minacce informatiche sviluppino piani di contingenza per mantenere l’accesso ai network compromessi. La sua limitata ma efficace gamma di comandi fornisce una funzionalità sufficiente per un backdoor competente, dimostrando la necessità di una sicurezza informatica sempre più avanzata e proattiva.
Attacchi Mirati: La Strategia di OilRig
Tra maggio e giugno del 2018, Unit 42 ha osservato attacchi multipli attribuiti a OilRig, apparentemente originati da un’agenzia governativa del Medio Oriente. Utilizzando tecniche di raccolta credenziali e account compromessi, il gruppo ha utilizzato questa agenzia come piattaforma di lancio per i loro veri attacchi, colpendo fornitori di servizi tecnologici e altre entità governative dello stesso stato-nazione.
QUADAGENT: Backdoor di PowerShell
I bersagli di questi attacchi sono stati colpiti da un backdoor di PowerShell chiamato QUADAGENT, uno strumento attribuito a OilRig da ClearSky Cyber Security e FireEye. L’analisi di Unit 42 ha confermato questa attribuzione esaminando specifici artefatti e tattiche precedentemente impiegati da OilRig. Sebbene l’uso di backdoor basati su script sia una pratica comune per OilRig, l’insolita tattica di impacchettare questi script in file eseguibili portatili (PE) segnala un’evoluzione nelle loro metodologie di attacco.
Dettagli tecnici dell’attacco di OilRig
L’attacco più recente si è articolato in tre ondate, tutte caratterizzate da un’email di phishing che sembrava provenire da un’agenzia governativa del Medio Oriente. L’analisi ha rivelato che gli indirizzi email delle vittime non erano facilmente rintracciabili tramite motori di ricerca comuni, suggerendo che fossero parte di una lista di obiettivi predefinita o associati all’account compromesso utilizzato per inviare le email di attacco.
Tecniche di evasione e anti-analisi
OilRig ha abilmente sfruttato Invoke-Obfuscation, uno strumento open source, per offuscare gli script di PowerShell utilizzati per QUADAGENT. Questo strumento, originariamente progettato per aiutare i difensori a simulare comandi PowerShell offuscati, si è rivelato efficace nell’aumentare le possibilità di evasione e come tattica anti-analisi.
OilRig si è confermato un gruppo avversario estremamente persistente nella regione del Medio Oriente. Sebbene le loro tecniche di consegna siano relativamente semplici, le varie modifiche apportate agli strumenti utilizzati rivelano una sofisticatezza nascosta. È fondamentale ricordare che gruppi come OilRig seguiranno il percorso di minore resistenza per raggiungere i loro obiettivi. I clienti di Palo Alto Networks sono protetti attraverso servizi come WildFire, che classifica i campioni di QUADAGENT come malevoli.
Shamoon: minaccia distruttiva ritorna con nuove tattiche
Il malware distruttivo Shamoon, noto per aver colpito il settore energetico saudita nel 2012 e poi nuovamente nel 2016, è riemerso il 10 dicembre dopo due anni di assenza, lanciando una nuova ondata di attacchi nel Medio Oriente. Questi ultimi attacchi di Shamoon sono particolarmente distruttivi, poiché coinvolgono un nuovo malware cancellatore di file, Trojan.Filerase, che elimina i file dai computer infetti prima che Shamoon cancelli il master boot record, rendendo i computer inutilizzabili.
Nuove tattiche di Wiping
A differenza degli attacchi precedenti, questi ultimi coinvolgono un secondo pezzo di malware cancellatore, Trojan.Filerase, che aumenta la portata distruttiva degli attacchi. Mentre un computer infetto da Shamoon potrebbe essere reso inutilizzabile, i file sul disco rigido potrebbero essere recuperati forensicamente. Tuttavia, se i file vengono prima cancellati da Trojan.Filerase, il recupero diventa impossibile.
Diffusione e impatto degli attacchi firmati OilRig
La diffusione di Filerase avviene attraverso la rete della vittima a partire da un computer iniziale, utilizzando una lista di computer remoti unica per ogni vittima, il che suggerisce che gli aggressori abbiano raccolto queste informazioni durante una precedente fase di ricognizione. In almeno un caso, Shamoon è stato eseguito utilizzando PsExec, indicando che gli aggressori avevano accesso alle credenziali della rete.
Possibile collegamento con Elfin
Symantec ha osservato che una delle nuove vittime di Shamoon in Arabia Saudita era stata recentemente attaccata anche da un altro gruppo chiamato Elfin (noto anche come APT33) e infettato con il malware Stonedrill. La vicinanza temporale degli attacchi di Elfin e Shamoon contro questa organizzazione suggerisce un possibile collegamento tra i due incidenti.
Una storia di attacchi distruttivi
Shamoon ha una storia di attacchi distruttivi e il suo ritorno improvviso solleva interrogativi su perché sia stato nuovamente impiegato. Tuttavia, la ricorrenza di Shamoon ogni pochi anni significa che le organizzazioni devono rimanere vigili e assicurarsi che tutti i dati siano correttamente salvati e che sia in atto una strategia di sicurezza robusta.
OilRig Intensifica le Tattiche di Cyber Spionaggio: Analisi delle Recenti Campagne di Phishing e Scoperte di Malware
Il panorama del cyber spionaggio è in continua evoluzione, con attori di minaccia come APT34, noto anche come OilRig e Helix Kitten, che rafforzano le loro strategie per violare le organizzazioni bersaglio. La recente scoperta di nuovi malware e la creazione di ulteriori infrastrutture da parte di APT34 sottolineano l’accelerazione delle operazioni, in particolare in Medio Oriente, dove le tensioni geopolitiche sono in aumento. Questo articolo esplora le ultime campagne di phishing orchestrate da APT34 e l’introduzione di nuove famiglie di malware nel loro arsenale.
Difesa proattiva di FireEye contro le intrusioni di APT34
In una dimostrazione proattiva di difesa informatica, FireEye ha identificato e sventato una campagna di phishing di APT34 alla fine di giugno 2019. La campagna si è distinta per l’impersonificazione di un membro dell’Università di Cambridge, l’uso di LinkedIn per la consegna di documenti dannosi e l’aggiunta di tre nuove famiglie di malware al toolkit di APT34. I team Managed Defense e Advanced Practices di FireEye hanno svolto un ruolo cruciale nell’arrestare la nuova variante di malware, TONEDEAF, e nell’identificare la ricomparsa di PICKPOCKET, un malware osservato esclusivamente nelle attività precedenti di APT34.
Settori bersaglio di OilRig
Le recenti attività di APT34 hanno mirato principalmente a settori critici per gli interessi degli stati-nazione, inclusi energia e servizi pubblici, governo e settore petrolifero e del gas. Il loro interesse maggiore è accedere a entità finanziarie, energetiche e governative per raccogliere informazioni strategiche che beneficiano dell’agenda geopolitica ed economica dell’Iran.
L’Inganno della Fiducia dell’Università di Cambridge
Il recente tentativo di phishing di APT34 coinvolgeva un file Excel dannoso, che è stato identificato come un exploit dal motore ExploitGuard di FireEye. Il file, denominato “System.doc”, era un eseguibile Windows mascherato con un’estensione “.doc”, progettato per installare il backdoor TONEDEAF. Il malware comunicava con un server di comando e controllo utilizzando richieste HTTP e supportava varie attività malevole, inclusa la raccolta di informazioni di sistema e l’esecuzione di comandi shell arbitrari.
L’arsenale di malware: TONEDEAF, VALUEVAULT e LONGWATCH
Il backdoor TONEDEAF, insieme a VALUEVAULT e LONGWATCH, rappresenta la natura sofisticata delle capacità di sviluppo di malware di APT34. VALUEVAULT, uno strumento di furto di credenziali del browser compilato in Golang, e LONGWATCH, un keylogger, sono indicativi dell’attenzione di APT34 sulla raccolta di informazioni sensibili attraverso vari mezzi.
La persistenza di APT34 nell’impiegare tattiche sofisticate di cyber spionaggio è un chiaro promemoria delle minacce informatiche in corso poste dagli attori statali. Si consiglia alle organizzazioni di rimanere vigili e adottare un approccio olistico alla sicurezza delle informazioni per contrastare tali minacce avanzate. Le capacità di rilevamento e analisi di FireEye si sono dimostrate strumentali nella protezione contro queste campagne, ma ci si aspetta che APT34 continui a evolvere le sue tattiche per raggiungere i suoi obiettivi.
Nuovo Wiper distruttivo “ZeroCleare” mira al settore energetico in Medio Oriente
Il team di IBM X-Force ha recentemente scoperto un nuovo malware distruttivo, soprannominato “ZeroCleare”, che prende di mira il settore energetico e industriale in Medio Oriente. Questo wiper, progettato per sovrascrivere il Master Boot Record (MBR) e le partizioni dei dischi su macchine Windows, segue le orme del noto malware Shamoon, utilizzando tecniche simili per causare interruzioni e danni significativi.
L’Ascesa delle minacce distruttive
Negli ultimi anni, gli attacchi distruttivi sono aumentati esponenzialmente, con un incremento del 200% registrato da IBM nei soli ultimi sei mesi del 2019. Questi attacchi, che spesso utilizzano malware come componente di pressione o rappresaglia, sono particolarmente preoccupanti per il settore energetico, un pilastro fondamentale per l’economia di molte nazioni del Medio Oriente e dell’Europa.
ZeroCleare: attacco complesso e mirato
ZeroCleare non è un attacco opportunistico, ma una campagna mirata contro organizzazioni specifiche. L’analisi di X-Force IRIS suggerisce che il gruppo di minaccia ITG13, noto anche come APT34/OilRig, e almeno un altro gruppo, probabilmente con base in Iran, abbiano collaborato per la fase distruttiva dell’attacco. L’uso di un driver vulnerabile e firmato e script PowerShell/Batch malevoli permette a ZeroCleare di aggirare i controlli di Windows e di diffondersi su numerosi dispositivi nella rete colpita.
Flusso dell’infezione di ZeroCleare
Il wiper ZeroCleare è parte dell’ultima fase dell’operazione complessiva e si adatta sia ai sistemi a 32 bit che a 64 bit. Per i sistemi a 64 bit, viene utilizzato un driver firmato vulnerabile, che viene poi sfruttato per caricare il driver non firmato di EldoS RawDisk, evitando il rifiuto da parte del Driver Signature Enforcement (DSE) di Windows.
Attribuzione a OilRig e obiettivi di ZeroCleare
Sebbene non sia possibile attribuire con certezza l’attività osservata durante la fase distruttiva della campagna ZeroCleare, le somiglianze con altre attività di attori iraniani fanno supporre che l’attacco sia stato eseguito da uno o più gruppi di minaccia iraniani. Questi attacchi mirano a settori chiave come l’energia e il petrolio, con l’obiettivo di danneggiare l’infrastruttura critica e influenzare la sicurezza energetica globale.
Mitigare il rischio del wiper
IBM X-Force sottolinea l’importanza della rilevazione precoce e della risposta coordinata per contenere e fermare la diffusione di minacce distruttive. Alcuni consigli includono l’utilizzo di intelligence sulle minacce per comprendere i rischi, la costruzione di difese efficaci, l’implementazione di una gestione dell’identità e dell’accesso (IAM), l’uso dell’autenticazione multifattore (MFA), la creazione di backup efficaci e testati e l’esecuzione di esercitazioni per testare i piani di risposta.
Gli attacchi come quello di ZeroCleare rappresentano una minaccia significativa per il settore energetico e per la sicurezza globale. La comprensione e la preparazione contro questi attacchi sono essenziali per proteggere le infrastrutture critiche e mantenere la stabilità economica e politica nelle regioni colpite.
Inchieste
NAFO: i propagandisti di Kiev che minacciano il Governo
Il contesto della guerra cibernetica a margine del conflitto ucraino vede due attori sui social media che si affrontano dal 24 febbraio 2020: i NAFO e la propaganda russa.
I NAFO (North Atlantic Fellas Organization) sono un gruppo informale nato online che si distingue per il suo supporto all’Ucraina e la sua opposizione alla propaganda russa, soprattutto nell’ambito del conflitto tra Russia e Ucraina, ma non disdegnano l’appoggio a Israele nella sua operazione speciale controversa in quel di Gaza ed appoggiano le politiche europeiste dell’attuale establishment. Il movimento ha iniziato a prendere forma durante il conflitto del 2022, assorbendo alcuni pezzi della bestia di Salvini “facciamorete”, diventando noto per le sue attività sui social media, dove contrasta la disinformazione e la propaganda filo-russa attraverso meme, battute satiriche e interventi diretti sui post online.
Secondo la “leggenda“, la comunità NAFO è composta principalmente da utenti sui social media che si identificano come “Fellas” e che usano immagini del cane di razza Shiba Inu come avatar. Le loro attività includono la raccolta di fondi per le forze armate ucraine e la diffusione di contenuti che promuovono la causa ucraina. I NAFO agiscono in gran parte in maniera umoristica, ma hanno avuto un ruolo significativo nel contesto della guerra cibernetica per quel che riguarda la battaglia dell’informazione online. Si definiscono attivisti digitali, ma ci sono più riferimenti che li associano ai servizi di intelligence della NATO ai livelli più alti e godono di una rete internazionale composta da utenti autentici e botnet. Chi li definisce semplici attivisti digitali, commette l’errore di associarli solo alla parte “ludica”, ma c’è un aspetto che viene sottovalutato o appositamente ignorato ed è quello delle pressioni che esercitano sull’opinione pubblica non sempre con toni democraticamente e politicamente corretti.
I NAFO su X
Il contesto NAFO è sicuramente interessante per analizzare chi sono e cosa propongono coloro che alimentano in Italia la propaganda ucraina, russofoba e bellicistica che fa il gioco dell’ala più intransigente della NATO che spinge per l’escalation del conflitto. I NAFO in Italia non sono tanti. Secondo una analisi esclusiva di Matrice Digitale effettuata dal 1 gennaio 2022 al 31 agosto 2024, nel giro di due anni il dibattito alimentato dalle parole NAFO o Fella, oppure Fellas, ha realizzato complessivamente 197.067 tweet, racimolando 2.289.602 mi piace, 293.724 condivisioni ed un totale di 44.419 citazioni, scatenando 216.439 commenti. Un volume all’apparenza abbastanza limitato se consideriamo la portata di tutto il conflitto tra Russia e Ucraina sui social, ma questo dato dovrebbe far riflettere sulla qualità dell’impegno da parte degli stessi NAFO che si basa su una quantità di 3.500 utenti dichiarati circa (e cioè che presentano le parole chiave nei nick e nei nomi visibili) che hanno generato nella sola Italia 158.364 post, totalizzando 1.250.066 like, 138.509 condivisioni, 17.203 citazioni e solo 126.749 commenti. Considerando che 3.500 unità non sono poche se si considera l’attività quotidiana di rilancio, menzioni e commenti che hanno l’obiettivo di osannare o delegittimare a seconda dell’utente che entra nel vortice.
I NAFO più attivi in Italia
Un altro aspetto che non va sottovalutato è che ci sono 25 account che hanno totalizzato in tutto una miriade di tweet. Si parte da Alessandra Zardo che ne ha realizzati addirittura 16.138 in due anni e mezzo, seguita da Spunta bau con 14.077. In due anni possiamo affermare tranquillamente che hanno una media spropositata di almeno 20 tweet al giorno per la causa Ucraina in cui rientra anche The Sgnaus Fella. Gli altri 23 hanno totalizzato una media di minimo 4 tweet al giorno. In alcuni casi sarebbe opportuno domandarsi se si tratta di bot o semplicemente esseri umani al soldo di un qualche battaglione ufficiale o non dell’esercito regolare NATO.
I profili più commentati
Per quanto riguarda invece la questione dei commenti su cui si cimenta la comunità NATO, figurano dei nomi illustri come quello del Ministero degli Affari Esteri della Russia, e dell’hacker KimDotCom, che ha denunciato più volte l’inefficacia dei NAFO al di fuori della rete internet ed ha realizzato anche un video che dimostra come i link pubblicati su X verso YouTube perdono efficacia nell’engagement confinando il fenomeno alla sola X. Dall’altra parte del conflitto c’è ampio sostegno al Ministero della Difesa Ucraina che più volte ne ha ringraziato il collettivo per la sua attività e la Premier Estone Kaya Kallas: anche lei si è complimentata pubblicamente con la community dei NAFO per essere stata vicina all’Ucraina ed alla NATO nella lotta cibernetica contro la Russia.
Kimdotcom ha più volte parlato dei NAFO nei suoi tweet accusandoli di non essere solo una forza volontaria di partecipazione alla guerra cibernetica russa ascrivendoli all’apparato militare, ma ha anche denunciato che le loro attività sono utili nel far percepire alle persone chi è una fonte autorevole e chi non lo è all’interno di attività mirate su internet che premiano o denigrano coloro che si calano nel turbine delle opinioni del dibattito pubblico.
Chi ci guadagna e chi ci perde
Per capire chi siano gli obiettivi costanti dei NAFO e chi gode quotidianamente dei loro elogi e della loro protezione, Matrice Digitale ha stilato una lista dei profili, in ordine discendente per numero, più menzionati nel dibattito NAFO e questo lascia intendere molto al lettore sul perchè di alcuni fenomeni di blasone ed hatespeech su X saliti alla ribalta grazie alla propaganda attiva ucraina sul territorio del Bel Paese
Chi sono i più graditi dalla propaganda atlantista e pro Ucraina?
Non è stato difficile distinguere chi sono i giornalisti che parlano a favore delle operazioni militari di difesa e attacco dell’Ucraina, rispetto a quelli che esprimono pareri molto più vicini alle posizioni del Papa o anche dei russi in alcuni casi. Tra i giornalisti italiani che godono dell’aiuto e del supporto dei NAFO troviamo Daniele Angrisani di FanPage, Marco Fattorini, Jacopo Iacoboni de La Stampa, Giovanni Rodriguez del Foglio, Vladislav Maistrouk, unico ucraino, l’avvocato di Roberto Burioni, Stefano Putiniani, Stefania Battistini che per due anni ha seguito il conflitto da vicino per conto della RAI e congedata con le polemiche dopo l’esclusiva mondiale dell’operazione Ucraina in territorio russo. Troviamo anche il blogger Dario D’Angelo e l’ex Messaggero Cristiano Tinazzi.
Per quanto riguarda invece i soggetti considerati nemici dai NAFO, c’è il giornalista Andrea Lucidi puntato quotidianamente insieme ai profili di Matteo Salvini, Alessandro Orsini, e l’Ambasciata Russa in Italia. Compresa nel dibattito anche Giorgia Meloni che viene apprezzata per il suo aiuto a Zelensky, ma è vittima delle pressioni NAFO affinché si arrivi al conflitto diretto con Mosca. Il politico più gradito dagli attivisti è Carlo Calenda. Ci sono anche profili senza nome che partecipano attivamente alla propaganda dei NAFO in Italia, come Lunacharsky, Punto e Virgola, il Guffanti, la Bombetta Xenomorfa e anche Han Skelsen.
Tra i quotidiani più citati c’è Il “Fatto Quotidiano”, colpito quotidianamente dalle attività dei NAFO per la sua politica contraria alla Nato. Le notizie dell’Ansa, invece, vengono utilizzate per rilanciare gli avvenimenti sul territorio russo-ucraino, seguite dal giornale “La Repubblica” che secondo i NAFO ha atteggiamenti ambigui nel fornire notizie, nonostante sia percepito come favorevole all’Ucraina dall’opinione pubblica.
Analisi dell’autore
Per quanto riguarda la situazione dei NAFO, KimDotCom ha ragione quando sostiene che i NAFO attaccano coloro che non la pensano in un determinato modo ed inoltre c’è qualche collegamento tra movimenti di estrema destra e la comunità LGBTQ+ che stupisce se si fa un’analisi dell’ideologia politica che queste esprimono. Le valanghe di tweet, offese, denigrazioni e delegittimazioni hanno lo scopo di intimidire coloro che si trovano in un vortice di odio e questo è parte di una vera e propria operazione militare. Le pressioni avvengono non solo sugli organi di stampa, ma anche sul governo. Le pressioni su Meloni e Salvini ne sono la testimonianza. Nemmeno il ministro Crosetto è immune, essendo stato accusato di essere responsabile del massacro degli ucraini.
Oramai è nota a tutti la propaganda russa composta per lo più da bot scadenti e che ha ripiegato o su influencer a soldo del Cremlino o su tecniche di Typosquatting come emerso dall’ultima inchiesta dell’FBI, ma la situazione dei bot ucraini e della componente cibernetica che collabora con la Nato ci obbliga a ponderare anche le dichiarazioni che vengono proposte dalla componente antirussa e più vicina al nostro modo di pensare. Sebbene difendere l’Ucraina rappresenti gli interessi del Governo e dell’Occidente, dovremmo chiederci se chi sostiene Kiev e colpisce connazionali italiani con posizioni moderate o diverse rappresenti un rischio soprattutto se si considera il fatto della ramificazione dei servizi di intelligence ucraini, costola storica di quelli russi, attraverso l’ambasciata in Italia. Le accuse in rete verso connazionali dovrebbero essere tollerate ed allo stesso tempo considerate, e monitorate, dalle alte sfere della sicurezza nazionale. Le pressioni dei NAFO minano la libertà di espressione e quella di stampa se agiscono contro la società ed i suoi interpreti restando legittimo il loro intento di spostare l’opinione pubblica verso scelte che favoriscono l’industria bellica e una maggiore offensiva ucraina, anche se con il rischio di un’escalation militare.
Questa riflessione riguarda una minoranza che la pensa diversamente dalla maggioranza degli italiani, schierata contro la guerra e l’escalation del conflitto e nel caso la regia dei NAFO sia straniera, ci troveremmo in casa un caso di ingerenza straniera che tende a minare le attività di Governo, come nel caso di Crosetto soccorso dallo stesso Zelensky in visita al forum di Ambrosetti, e vorrebbe manipolare la coscienza critica di un popolo, quello italiano, che ha deciso da che parte stare secondo i sondaggi effettuati in questi due anni: contro la guerra.
Inchieste
Stretta contro la disinformazione russa e WhisperGate
Tempo di lettura: 7 minuti. Gli Stati Uniti e i loro alleati intensificano gli sforzi per contrastare la disinformazione russa e gli attacchi alle infrastrutture critiche, collegati al GRU con il wiper Whispergate.
Con l’avvicinarsi delle elezioni presidenziali del 2024, gli Stati Uniti e i loro alleati hanno intensificato gli sforzi per contrastare le operazioni di disinformazione e gli attacchi alle infrastrutture critiche attribuiti alle APT russe legate al GRU, l’agenzia di intelligence militare russa. Le operazioni informatiche che coinvolgono queste minacce rappresentano una combinazione di disinformazione mirata a influenzare le elezioni e sabotaggi informatici su larga scala contro settori strategici.
Attacchi alle infrastrutture critiche da parte di APT
Parallelamente, un gruppo di hacker noto come Unità 29155 del GRU è stato collegato ad attacchi informatici contro infrastrutture critiche in tutto il mondo, specialmente in Ucraina e nei paesi membri della NATO. Il gruppo, composto da giovani ufficiali del GRU, ha condotto operazioni di sabotaggio, assassinio e attacchi informatici, specialmente contro il settore energetico e governativo.
Secondo un avviso congiunto emesso dagli Stati Uniti e dai loro alleati, l’Unità 29155 è responsabile dell’uso di malware come WhisperGate per attacchi distruttivi contro sistemi ucraini e globali. Gli Stati Uniti hanno annunciato ricompense fino a 10 milioni di dollari per informazioni utili su alcuni membri del GRU coinvolti in queste operazioni.
Le organizzazioni che gestiscono infrastrutture critiche sono state esortate a prendere misure immediate per migliorare la sicurezza dei loro sistemi, tra cui l’aggiornamento delle vulnerabilità conosciute e l’implementazione di una forte autenticazione multifattoriale per prevenire ulteriori attacchi da parte del GRU.
Disinformazione Russa prima delle Elezioni del 2024
In risposta alle operazioni di disinformazione legate alla Russia, il Dipartimento di Giustizia degli Stati Uniti ha sequestrato 32 domini web utilizzati dal gruppo noto come Doppelgänger. Questo gruppo, legato ad agenzie controllate dal governo russo, ha impiegato tecniche come il cybersquatting per creare siti web che imitano testate giornalistiche affidabili. Questi domini sono stati utilizzati per diffondere contenuti falsi e influenzare l’opinione pubblica statunitense, cercando di ridurre il supporto internazionale per l’Ucraina e manipolare le elezioni in vari paesi.
Doppelgänger ha utilizzato tecnologie avanzate, tra cui influencer falsi generati dall’intelligenza artificiale, per ingannare il pubblico e promuovere narrazioni pro-Russia su piattaforme come TikTok, Instagram e X (precedentemente noto come Twitter). Il sequestro di questi domini è parte di una più ampia iniziativa (leggi qui il dossier) volta a prevenire interferenze esterne durante le prossime elezioni.
L’Operazione Doppelganger: analisi dettagliata della propaganda russa
L’era digitale ha cambiato drasticamente il modo in cui l’informazione viene consumata, creando opportunità senza precedenti ma anche rischi significativi. Uno dei più recenti esempi di abuso della tecnologia per scopi malevoli è l’operazione “Doppelganger”, una complessa campagna di disinformazione orchestrata dal governo russo. Questa operazione, descritta in un documento legale presentato dalle autorità statunitensi, ha rivelato l’utilizzo di domini internet cybersquattati per diffondere propaganda russa, minare il supporto internazionale all’Ucraina, e influenzare elettori in diverse nazioni, inclusi gli Stati Uniti. Questo articolo fornirà un’analisi dettagliata dell’operazione, i suoi attori chiave, le tecniche utilizzate e le implicazioni per la cybersicurezza globale.
L’inizio di Doppelganger: Obiettivi e Motivazioni
Secondo quanto riportato nel documento legale, l’operazione “Doppelganger” è iniziata nel 2022 sotto la direzione della presidenza russa, in particolare di Sergei Vladilenovich Kiriyenko, una figura di alto livello all’interno dell’amministrazione del Presidente Vladimir Putin. L’obiettivo principale di questa campagna era di influenzare l’opinione pubblica internazionale a favore della Russia, ridurre il supporto per l’Ucraina e influenzare direttamente le elezioni in diverse nazioni, inclusi gli Stati Uniti.
Le motivazioni alla base di questa operazione erano evidenti: la Russia, attraverso la disinformazione, cercava di minare le democrazie occidentali, diffondendo falsità per screditare le istituzioni e i leader politici pro-Ucraina. In particolare, l’operazione mirava a creare confusione tra l’opinione pubblica, facendo sembrare che notizie false fossero provenienti da fonti affidabili e riconosciute a livello internazionale.
Il Cybersquatting come Strumento di Disinformazione
Un elemento chiave dell’operazione Doppelganger è stato l’utilizzo del “cybersquatting”. Questo termine si riferisce alla pratica di registrare domini internet che imitano quelli di siti legittimi, con l’intento di trarre in inganno gli utenti facendogli credere di essere su una piattaforma autentica. Nell’operazione Doppelganger, domini che replicavano siti di notizie prestigiose come The Washington Post, Fox News e altre testate giornalistiche, venivano utilizzati per pubblicare articoli manipolati, contenenti propaganda pro-Russia.
Questi siti falsi erano progettati in modo tale da sembrare identici agli originali, utilizzando lo stesso layout, loghi e persino firme di giornalisti legittimi. Per esempio, uno dei domini falsi, washingtonpost[.]pm, pubblicava articoli che sembravano scritti da giornalisti veri del Washington Post, ma che in realtà promuovevano una narrazione anti-ucraina e pro-Russia. Questo tipo di inganno non solo confondeva gli utenti, ma minava anche la fiducia nei media legittimi, contribuendo a una generale disinformazione.
Tecniche di manipolazione dei Social Media
Un altro aspetto importante dell’operazione era l’uso massiccio dei social media per la distribuzione della propaganda. Per dirigere il traffico verso i domini cybersquattati, Doppelganger creava profili falsi sui principali social network, impersonando cittadini americani e di altri paesi occidentali. Questi profili falsi postavano commenti con link ai siti falsi nei thread di discussione su piattaforme come Facebook, Twitter e altre, cercando di convincere gli utenti che il contenuto fosse autentico e provenisse da fonti affidabili.
Questa strategia di distribuzione era particolarmente efficace perché sfruttava il potere dei social media per diffondere velocemente informazioni. Gli algoritmi dei social network tendono a promuovere contenuti che generano interazioni, e i link pubblicati da questi profili falsi spesso portavano a discussioni accese, amplificando ulteriormente la portata della disinformazione. Inoltre, l’operazione faceva largo uso di pubblicità a pagamento sui social media, utilizzando persino strumenti di intelligenza artificiale per creare contenuti promozionali che apparivano nei feed degli utenti.
Il ruolo di Sergei Kiriyenko e degli altri attori chiave
Il documento legale presentato dall’FBI evidenzia il ruolo cruciale di Sergei Kiriyenko, figura chiave dell’amministrazione presidenziale russa, nella supervisione dell’operazione Doppelganger. Kiriyenko è stato identificato come uno dei principali responsabili della strategia di disinformazione, agendo sotto le direttive del Cremlino. Gli attori principali che hanno implementato la campagna sono state diverse società russe, tra cui l’agenzia Social Design Agency (SDA), la società Structura National Technology, e l’organizzazione ANO Dialog.
Queste organizzazioni erano direttamente coinvolte nella creazione e gestione dei siti cybersquattati, nella produzione di contenuti propagandistici e nella distribuzione di questi contenuti attraverso i social media. In particolare, SDA e Structura avevano stretti legami con il governo russo e avevano lavorato su numerosi progetti precedenti legati alla promozione degli interessi russi sia all’interno del paese che a livello internazionale.
La finalità Doppelganger: influenzare le elezioni straniere
Uno degli obiettivi principali dell’operazione era quello di influenzare le elezioni in diversi paesi, in particolare negli Stati Uniti. L’operazione mirava a dividere l’elettorato e diffondere narrazioni che favorissero candidati o politiche pro-Russia. Nel caso degli Stati Uniti, la campagna si concentrava sulla promozione dell’idea che il governo americano stesse sprecando risorse nel sostenere l’Ucraina, invece di concentrarsi sui problemi interni del paese.
La strategia per influenzare le elezioni includeva l’uso di “storie false mascherate da eventi di cronaca” e la distribuzione di “meme e commenti di testo” per manipolare le discussioni online. Una parte significativa della campagna includeva l’acquisto di pubblicità mirate sui social media per colpire specifici segmenti dell’elettorato, in particolare in stati chiave e indecisi. Questa pubblicità mirata era supportata da un’analisi in tempo reale delle reazioni degli utenti, consentendo agli attori di adattare la loro strategia in base alla risposta del pubblico calibrando al meglio la disinformazione russa.
Il Ruolo delle infrastrutture tecnologiche e dell’Intelligenza Artificiale
L’operazione Doppelganger non si basava solo su tecniche di manipolazione sociale, ma utilizzava anche tecnologie avanzate per evitare il rilevamento e massimizzare l’efficacia. Per mascherare l’origine delle attività e proteggere l’infrastruttura dell’operazione, i partecipanti utilizzavano reti VPN e server privati virtuali (VPS), che permettevano loro di operare senza rivelare la loro vera posizione geografica.
Un elemento interessante dell’operazione è stato l’uso di strumenti di intelligenza artificiale per generare contenuti propagandistici, come immagini e video. Questi contenuti venivano utilizzati in pubblicità sui social media per attaccare politici e leader occidentali, cercando di manipolare l’opinione pubblica. L’uso dell’intelligenza artificiale rappresenta una nuova frontiera nella disinformazione, non solo russa, poiché consente la creazione di contenuti su larga scala in modo rapido e relativamente economico.
L’impatto delle sanzioni internazionali e delle Azioni Legali
L’operazione Doppelganger non è passata inosservata. Oltre alle indagini condotte dalle autorità statunitensi, l’Unione Europea ha imposto sanzioni a diversi individui e entità coinvolte nella campagna di disinformazione russa. Tra queste, la SDA, Structura e ANO Dialog sono state identificate come attori chiave nella diffusione della propaganda. Le sanzioni mirano a colpire economicamente queste organizzazioni e limitare la loro capacità di operare a livello internazionale.
Negli Stati Uniti, il caso legale descritto nel documento si concentra sul sequestro dei 32 domini cybersquattati utilizzati nell’operazione. Questi domini, considerati proprietà coinvolte in attività illegali, sono soggetti a confisca secondo le leggi statunitensi contro il riciclaggio di denaro e la violazione dei marchi registrati.
Evoluzione delle minacce alla Cybersicurezza
L’operazione Doppelganger rappresenta un esempio allarmante di come le tecnologie digitali possano essere utilizzate per manipolare le opinioni pubbliche, minare la stabilità politica e influenzare elezioni democratiche ed avallare la narrazione della disinformazione russa. Questo caso sottolinea l’importanza di una vigilanza costante da parte delle autorità internazionali e delle piattaforme di social media nel monitorare e contrastare la disinformazione.
Il cybersquatting e l’uso di strumenti di intelligenza artificiale per diffondere disinformazione russa nella creazione di propaganda evidenziano come le minacce alla cybersicurezza stiano evolvendo rapidamente. Per proteggere la democrazia e l’integrità delle informazioni, è essenziale che i governi, le organizzazioni tecnologiche e i cittadini stessi sviluppino strategie più sofisticate per identificare e bloccare le campagne di disinformazione prima che possano causare danni irreparabili. L’operazione Doppelganger non è solo un episodio di disinformazione, ma un segnale di un problema molto più ampio e complesso, che richiederà un impegno concertato a livello globale per essere risolto, ma crea un aspetto pericoloso anche nei confronti della Democrazia non solo come soggetto offeso, ma come istituzione messa a rischio dall’approssimazione nel bollare le notizie contrarie alla linea di governo come russe e quindi errate, false o, addirittura, criminali.
Inchieste
La narrazione su Moussa Sangare uccide ancora Sharon Verzeni
Tempo di lettura: 4 minuti. Moussa Sangare uccide Sharon Verzeni: le analogie con il caso Turetta ed il trattamento privilegiato che la stampa nutre verso l’italiano afrodiscendente
L’omicidio di Sharon Verzeni ha trovato il suo autore dopo un mese di ricerche: si tratta di Moussa Sangare, cittadino italiano di seconda generazione, discendente da una famiglia africana. La storia è tragica se consideriamo che negli ultimi giorni i media tracciavano il profilo dell’assassino come “conosciuto dalla vittima” e si stava insinuando il sospetto sul compagno della vittima Sergio Ruocco.
Questa volta, il femminicidio non parte da uno sfondo passionale ed è per questo motivo che il caso Sangare non può essere paragonato a quello di Turetta perché l’unica cosa in comune è che in entrambi i casi a morire sono state due donne. Questo però non sottrae i media dalla valutazione dei lettori su una disparità di trattamento tra l’assassino di Giuglia Cecchettin e quello di Sharon. Turetta ha ammazzato Giulia Cecchettin e, dopo quell’omicidio, si è fermato un intero paese al grido di lotta al patriarcato.
L’assassino di Sharon Berzegni era stato denunciato un anno fa dalla sorella che in questi giorni ha una visibilità di come se fosse parente della vittima eppure, tra una strategia processuale basata sull’infermità mentale dell’assassino di Sharon, la stessa sorella, parlando con la stampa, ha dichiarato che solitamente non era una persona violenta.
Nell’epoca delle lezioni di patriarcato affidate alla sorella di Giulia Cecchettin con il plauso delle associazioni femministe e antiviolenza, suona strano che nessuno si sia preoccupato di questa affermazione.
La persona che aveva denunciato il fratello perché le aveva puntato un coltello un anno fa, all’indomani dell’omicidio, è proprio la sorella di Moussa e quella dichiarazione a freddo dovrebbe far intendere che un problema di educazione familiare, con effetti simili a quelli del patriarcato tanto inflazionato c’era all’interno di quella famiglia italiana a tutti gli effetti a discapito delle teorie sulla cittadinanza che non esistono. Un altro aspetto da non sottovalutare è che la denuncia contro il trentenne è arrivata solo quando ha puntato il coltello contro la sorella. Nel caso di Turetta, la famiglia e il giovane si erano recati per delle sedute da uno psicologo per capire cosa potesse non andare e preventivamente risolvere quello che non è stato possibile da come sono andate le cose.
La narrazione avuta dalla stampa in questi giorni è stata sicuramente discutibile, che ha iniziato a nascondere l’afrodiscendenza del ragazzo in un momento storico dove si dibatteva dello ius scholae, per poi arrivare alla umanizzazione dell’assassino di Sharon Verzeni attraverso le presunte scuse mentre l’accoltellava ed alla descrizione di una vittima colpita mentre “guardava le stelle”. Queste tecniche di comunicazione utilizzate goffamente per non fare passi indietro sullo ius scholae, hanno ottenuto l’effetto che si creasse uno di quei classici personaggi di cui, come tutti sappiamo, nel bene o nel male, “l’importante è che se ne parli“.
Questa narrazione ha dato il là alla curiosità dei lettori nel cercare in rete le doti artistiche dell’assassino Moussa Sangare che ha collaborato con artisti del calibro di Ernia. Hanno visitato i suoi profili social, hanno scaricato la sua musica, condiviso le sue canzoni su TikTok, dove in questo momento è molto popolare ed i testi delle sue canzoni che vengono citati.
Questo fenomeno ci riporta alla strage di Casal Palocco, dove la cronaca del paese è stata distrutta da un’altra tragedia, quando gli youtuber TheBorderline furono coinvolti in un incidente in cui perse la vita un bambino. In quel caso, la rete composta da utenti normali e professionisti del mondo sociale, si attivò subito chiedendo la demonetizzazione dei contenuti del canale YouTube. Davvero strano che in questo momento nessuno stia chiedendo la demonetizzazione delle piattaforme social a danno dell’assassino di Sharon Verzeni, che, ricordiamolo, risponde al nome di Moussa Sangare.
Questi corto circuito rendono ancor più poco credibile la narrazione giornalistica all’interno del caso di cronaca più eclatante degli ultimi giorni ai danni di una delle tante povere donne che muoiono. È ancora più scandaloso che chi sensibilizza quotidianamente sul tema degli omicidi di donne e dei femminicidi, abbia dichiarato in questi giorni sui giornali che Sharon camminasse da sola di sera rimandando il problema non solo agli assassini che ed alle vittime, ma anche a quello che orami può definirsi lo specchio di una società che non riesce o non vuole centrare il problema.
La stampa ne risulta complice, o perché strumentalizzata dalla politica oppure perché, creando questo tipo di diatribe, guadagna maggiore attenzione dei detrattori, da cui poi nascono le discussioni social che fanno pubblicità ai giornalisti ed alle testate stesse.
- Tech1 settimana fa
Qualcomm Snapdragon 6 Gen 3: alte prestazioni economiche
- Smartphone1 settimana fa
Moto G55 e Moto G35: 50MP e batteria da 5000mAh
- Smartphone1 settimana fa
OnePlus 13: anticipazioni su batteria da 6000mAh
- Tech1 settimana fa
Android: Recorder con Gemini Nano, Ultra HDR e Studio Koala
- Smartphone1 settimana fa
Redmi Note 14 5G: certificazione completata e lancio globale
- Tech1 settimana fa
Debian rilascia aggiornamenti 12.7 e 11.11: novità e miglioramenti
- Tech1 settimana fa
Apple: nuova Magic Keyboard per iPad e Macs con Chip M4
- Tech1 settimana fa
AirTags, scoperta shock a Houston: la plastica non è riciclata