Multilingua
Black Hat 2022, Sentinel One relaziona sull’escalation di wiper
Tempo di lettura: 4 minuti. Utilizzando la timeline dell’invasione dell’Ucraina, piena di attacchi DDoS, hacktivisti e malware che cancellano i dati, i ricercatori di SentinelOne hanno esaminato l’impatto reale della guerra informatica.
Tom Hegel, ricercatore senior sulle minacce di SentinelOne, e Juan Andrés Guerrero-Saade, ricercatore principale sulle minacce di SentinelOne, hanno dato il via alla sessione di martedì del Black Hat 2022 definendo il termine guerra informatica “terribile”. Da un contesto occidentale, Guerrero-Saade ha detto che è associato a un “proprio dominio di guerra – autonomo e autosufficiente – che non è una realtà di guerra”.
Per dimostrare la realtà del conflitto in corso, Hagel e Guerrero-Saade hanno analizzato la preparazione che ha preceduto l’invasione, hanno esaminato i casi che si sono verificati nella prima settimana o nei primi mesi, hanno analizzato i wipers noti e i livelli di sofisticazione e gli obiettivi di questi attacchi, sia per scopi distruttivi che di spionaggio. Hanno osservato alcuni aspetti che dimostrano un cambiamento nel settore della sicurezza informatica in relazione a questo conflitto.
Un esempio lampante è stato l’aumento dell’uso di malware per la cancellazione dei dati, come HermeticWiper, AcidWiper, WhisperGate e CaddyWiper.
“Prima di questo, c’erano forse una dozzina di wipers utilizzati dagli Stati nazionali. I wipers non erano qualcosa che si vedeva tutti i giorni”, ha detto Guerrero-Saade durante la sessione.
Dall’inizio del 2022, SentinelOne ha osservato almeno sette ceppi di malware wiper rivolti all’Ucraina. Una domanda importante affrontata durante la sessione è stata: Perché ci sono così tanti wipers? I ricercatori hanno affermato di ritenere che ciò rifletta più che altro un’osservazione distorta e una mancanza di telemetria.
“Quello che vedete è l’attività che siamo destinati a vedere. Il motivo per cui i wipers non erano molto popolari tra gli Stati nazionali è che si doveva decidere di perdere l’accesso, che si sarebbe potuto avere per due anni, per fare una dichiarazione politica”, ha detto Guerrero-Saade durante la sessione.
Guerrero-Saade ha dichiarato a SearchSecurity che, mentre la maggior parte degli attacchi sono stati wipers e DoS, la scoperta di un nuovo malware per sistemi di controllo industriale (ICS) chiamato Incontroller è stata allarmante.
“È stato un lavoro professionale da parte di un appaltatore esperto per creare un nuovo malware [ICS], ed è fantastico che l’abbiano scoperto prima che venisse distribuito, ma non abbiamo idea di dove avessero intenzione di usarlo”, ha detto.
Livelli diversi di preparazione
I ricercatori hanno anche sollevato la questione se gli usi siano stati casuali o tattici. Secondo Guerrero-Sade, credere che i russi siano incredibilmente ben organizzati e che distribuiscano il loro malware per la cancellazione dei dati in modo coordinato con gli attacchi cinetici, ad esempio, significa dare loro troppo credito.
I primi dati di SentinelOne provengono da ESET e risalgono all’ottobre 2021, il che dimostra il livello di preparazione. Secondo i ricercatori, alcuni strumenti suggeriscono che alcuni di essi erano già in circolazione, mentre altri sono stati messi insieme per cercare di sostenere lo sforzo bellico.
Esaminando il lato Linux degli attacchi, hanno osservato una discreta quantità di offuscamento. Gli attacchi non si limitavano a cancellare le directory e i dischi, ma anche a svuotare la memoria.
Tuttavia, dopo la deobfuscazione, hanno scoperto che la logica principale era semplice.
“Potete lamentarvi quanto volete di Windows, ma questo è uno script di 200 righe che può semplicemente rompere un sistema Linux”, ha detto Guerrero-Saade.
Dal loro punto di vista, dal lato di Linux, Hegel ha detto che sembra che il malware e gli strumenti siano stati assemblati insieme. Guerrero-Saade ha anche avanzato la possibilità che si tratti di una dichiarazione di quanto sia scadente la sicurezza di Linux e che non sia stata colta prima.
Realtà contro aspettative
Una delle preoccupazioni della comunità infosec che deriva dalla guerra è la possibilità di attacchi spillover, simili agli effetti di NotPetya, una serie di attacchi malware che ha colpito l’Ucraina nel 2017.
Per diffondere HermeticWiper, è stato impiegato un componente wormable che ESET ha battezzato HermeticWizard. Guerrero-Saade ha sottolineato l’importanza di non fare inutili correlazioni tra HermeticWizard e NotPetya.
“Ci aspettiamo di vedere la stessa cosa, questi wipers che si diffonderanno dappertutto, ma non abbiamo visto ciò che chiamerei ‘moderazione’, ma una sorta di decisione operativa di non lasciare che le cose si diffondano come fiori selvatici”, ha detto Guerrero-Saade durante la sessione. “Invece, hanno usato questi accessi in modi più contenuti”.
Anche se la seconda volta non ha avuto successo, i ricercatori hanno trovato particolarmente interessante il ritorno di Industroyer, chiamato Industroyer2 da ESET. Il malware ha messo fuori uso la rete elettrica dell’Ucraina nel 2016.
Un’altra realtà è stata la rapidità con cui si sono verificati nuovi sviluppi. Ogni settimana i ricercatori hanno osservato nuovi obiettivi e nuove minacce informatiche. Tenere traccia di queste minacce e della realtà di ciò che stava accadendo sul campo si è rivelato difficile. Ad esempio, chi stava dicendo la verità? Questo è diventato sempre più difficile dopo l’invasione, con hacktivisti come Conti, che inizialmente hanno sostenuto pubblicamente la Russia.
Guerrero-Saade ha affermato che si tratta di un interessante cambiamento rispetto a ciò che considerano la norma nel panorama delle minacce.
Hegel ha dichiarato a SearchSecurity che, se da un lato molti attacchi informatici russi contro l’Ucraina hanno avuto successo, dall’altro ci sono stati anche molti errori. Un esempio è stato PartyTicket, che non ha funzionato come previsto per il ransomware.
“Stavano impazzendo nel tentativo di entrare nelle organizzazioni ucraine di media e telecomunicazioni, colpendole con tentativi di phishing di massa. Ma si trattava di un approccio “spray-and-pray” e mal fatto”, ha detto Hegel.
Durante la sessione, i ricercatori hanno applaudito il CERT-UA ucraino per aver fornito avvisi aggiornati, che secondo loro hanno fatto una grande differenza nella percezione globale di ciò che stava accadendo. Inoltre, ha permesso ai ricercatori di minacce di immergersi ed esaminare.
“Molte persone non ne parlano, ma l’intero settore si è affidato a questi avvisi per avere una visione tempestiva delle attività”, ha detto Guerrero-Saade durante la sessione.
Per il futuro, Hegel ha detto che ci sono molte incognite. Ha anche parlato della possibilità di un aumento dell’attività in inverno.
Un’altra possibilità che Guerrero-Saade ha illustrato a SearchSecurity è che la Russia possa attaccare le nazioni dell’Europa occidentale che hanno sostenuto l’Ucraina e si sono allontanate dalla Russia come principale fornitore di petrolio e gas.
Multilingua
Annunciato Babylon.js 7.0: innovazioni per sviluppatori web
Tempo di lettura: < 1 minuto. Scopri Babylon.js 7.0, l’ultimo aggiornamento del potente motore di rendering web, con nuove funzionalità come la geometria procedurale, l’illuminazione globale e molto altro.
Una delle missioni di Microsoft è di costruire uno dei motori di rendering web più potenti, belli, semplici e aperti al mondo. Oggi, questa missione compie un passo avanti con l’annuncio di Babylon.js 7.0, un aggiornamento che celebra un anno di nuove funzionalità, ottimizzazioni e miglioramenti delle prestazioni che sbloccano nuove capacità per gli sviluppatori web in tutto il mondo.
Geometria procedurale: Node Geometry
Babylon.js 7.0 introduce la geometria procedurale attraverso una funzionalità denominata “Node Geometry”. Questo sistema avanzato consente di creare geometrie procedurali utilizzando un sistema ad albero non distruttivo, offrendo così una nuova flessibilità e potenza creativa.
Provalo tu stesso: Editor della geometria dei nodi
Guarda una demo: https://aka.ms/babylon7NgeDemo
Scopri di più: https://aka.ms/babylon7NgeDoc
Illuminazione globale
Un’altra aggiunta significativa è il supporto per l’Illuminazione Globale di base, che permette alle scene di Babylon.js di renderizzare esperienze ancora più realistiche consentendo alla luce e alle ombre di “rimbalzare” nell’ambiente in modo più fedele alla realtà.
Demo di illuminazione globale: https://aka.ms/babylon7GIDemo
Scopri di più qui: https://aka.ms/babylon7GIDoc
Rendering Gaussian Splat
Babylon.js 7.0 introduce il supporto per il rendering di Gaussian Splats sul web, consentendo di catturare e visualizzare dati volumetrici con una fedeltà visiva e prestazioni senza precedenti.
Provalo: https://aka.ms/babylon7GSplatDemo
Scopri di più qui: https://aka.ms/babylon7GSplatDoc
Fisica dei Ragdoll
Con il supporto per l’animazione ragdoll, Babylon.js 7.0 permette a qualsiasi asset animato con scheletri di collassare e agitarsi con inerzia al premere di un pulsante, aggiungendo un ulteriore strato di realismo e interattività.
Queste sono solo alcune delle principali novità di Babylon.js 7.0; vi sono molte altre funzionalità e miglioramenti da esplorare. Gli sviluppatori e i creatori web sono incoraggiati a sperimentare direttamente queste nuove capacità per scoprire di persona tutto ciò che Babylon.js 7.0 ha da offrire.
Multilingua
Tycoon 2FA Phishing elude l’autenticazione a due fattori per Microsoft 365 e Gmail
Tempo di lettura: 2 minuti. Un nuovo kit di phishing, Tycoon 2FA, consente ai cybercriminali di eludere l’autenticazione a due fattori per gli account Microsoft 365 e Gmail, intensificando la minaccia delle truffe online.
I cybercriminali stanno sempre più sfruttando una nuova piattaforma di phishing-as-a-service (PhaaS) denominata ‘Tycoon 2FA’ per prendere di mira gli account Microsoft 365 e Gmail, eludendo le protezioni dell’autenticazione a due fattori (2FA). Scoperto dagli analisti di Sekoia nell’ottobre 2023, Tycoon 2FA è attivo almeno da agosto 2023, quando è stato offerto dal gruppo Saad Tycoon tramite canali Telegram privati.
Caratteristiche di Tycoon 2FA
Questo kit PhaaS condivide somiglianze con altre piattaforme adversary-in-the-middle (AitM), come Dadsec OTT, indicando un possibile riutilizzo del codice o una collaborazione tra sviluppatori. La versione più recente di Tycoon 2FA, rilasciata nel 2024, è più furtiva, evidenziando un impegno continuo nel migliorare il kit. Attualmente, il servizio utilizza 1.100 domini ed è stato osservato in migliaia di attacchi di phishing.
Come Funziona l’Attacco Tycoon 2FA
L’Evoluzione e la Scala di Tycoon 2FA
L’ultima versione del kit di phishing Tycoon 2FA, rilasciata quest’anno, ha introdotto modifiche significative che migliorano le capacità di phishing ed evasione. Questi cambiamenti includono aggiornamenti al codice JavaScript e HTML, alterazioni nell’ordine di recupero delle risorse e una filtrazione più estesa per bloccare il traffico dei bot e degli strumenti analitici.
Gli attacchi Tycoon 2FA coinvolgono un processo multi-fase in cui l’attore minaccioso ruba i cookie di sessione utilizzando un server proxy inverso che ospita la pagina web di phishing. Questa pagina intercetta le input della vittima e le inoltra al servizio legittimo. Una volta che l’utente completa la sfida MFA e l’autenticazione ha successo, il server intermedio cattura i cookie di sessione, consentendo all’attaccante di replicare la sessione dell’utente ed eludere i meccanismi di MFA.
L’Impatto di Tycoon 2FA
La portata delle operazioni di Tycoon 2FA è sostanziale, con evidenze di una vasta base di utenti cybercriminali che attualmente utilizzano Tycoon 2FA per operazioni di phishing. Il portafoglio Bitcoin collegato agli operatori ha registrato oltre 1.800 transazioni dal 2019, con un incremento notevole a partire da agosto 2023, quando è stato lanciato il kit. Fino a metà marzo 2024, il portafoglio degli attori minacciosi aveva ricevuto un totale di $394,015 in criptovaluta.
Tycoon 2FA rappresenta solo l’ultima aggiunta a uno spazio PhaaS che offre già ai cybercriminali molte opzioni per eludere le protezioni 2FA, tra cui LabHost, Greatness e Robin Banks. Sekoia ha reso disponibile un repository con oltre 50 voci per gli indicatori di compromissione (IoC) legati all’operazione Tycoon 2FA.
Multilingua
Nuovi chip audio di Qualcomm S3 e S5 Gen 3
Tempo di lettura: 2 minuti. Qualcomm annuncia i nuovi chip audio S3 Gen 3 e S5 Gen 3, destinati a migliorare la qualità del suono in auricolari e cuffie wireless economici.
Qualcomm ha introdotto due nuovi chip audio, S3 Gen 3 e S5 Gen 3, progettati per migliorare la qualità del suono negli auricolari e nelle cuffie wireless più accessibili. Grazie alle tecnologie audio avanzate e all’intelligenza artificiale, questi chip promettono una connettività migliorata, una cancellazione del rumore più efficace, una qualità delle chiamate superiore e una maggiore durata della batteria.
Caratteristiche principali dei Chip S3 Gen 3 e S5 Gen 3
I chip S3 Gen 3 e S5 Gen 3 offrono una qualità audio di grado audiophile, codec audio ad alta qualità, Active Noise Cancellation (ANC) migliorata, e supporto a tecnologie come Bluetooth 5.4 LE e Auracast. Questi chip rappresentano un’opzione di fascia media rispetto ai chip audio di punta di Qualcomm, S7 e S7 Pro.
Chip S3 Gen 3
Destinato a cuffie e auricolari di fascia media nonché a speaker wireless, il chip S3 Gen 3 comprende funzionalità essenziali come il supporto per ANC, aptX Adaptive, aptX Lossless (24-bit 48kHz), Bluetooth 5.4 con Audio LE, Auracast Bluetooth e Audio Spaziale. Il chip è dotato anche di un convertitore Digital-to-Analog (DAC) migliorato per una qualità audio superiore e minori disturbi sonori.
Chip S5 Gen 3
Il chip S5 Gen 3, rivolto a cuffie e auricolari di fascia alta (subito sotto i modelli di punta) e a speaker wireless, presenta più funzionalità rispetto al S3 Gen 3. Con il 50% in più di memoria e una potenza di elaborazione DSP significativamente superiore rispetto al predecessore S5 Gen 2, il chip S5 Gen 3 assicura una qualità audio migliorata sia in gioco che durante l’ascolto di musica. Offre anche un’ANC migliorata e una cancellazione dell’eco più efficace.
Impatto sul mercato
Con l’introduzione dei chip S3 Gen 3 e S5 Gen 3, Qualcomm punta a rendere la qualità audio di fascia alta più accessibile per un ampio pubblico. Auricolari e cuffie equipaggiate con questi nuovi chip sono attese sul mercato entro la fine dell’anno o all’inizio del prossimo. Anche se non vi sono conferme, è possibile che Samsung utilizzi questi chip nelle future generazioni dei suoi Galaxy Buds, dato che in passato ha già adottato chip Qualcomm per alcuni dei suoi auricolari wireless.
- L'Altra Bolla1 settimana fa
Meta riduce costo abbonamento
- Inchieste7 giorni fa
Elezioni: Google finanzia il Ministero della Verità, Meta alle prese con i Watermark AI
- Notizie6 giorni fa
Sicurezza full-optional: garanzia di un Cloud di qualità
- Economia1 settimana fa
Svolta IA in Microsoft e Google Deep Mind: entrano Mustafa Suleyman e Liz Reid
- Economia4 giorni fa
Chi è Jay Graber? CEO del social decentralizzato BlueSky
- Economia4 giorni fa
Apple, Meta e Google nel mirino dell’UE per non conformità al DMA
- Economia4 giorni fa
Cina ban semiconduttori USA dai PC governativi
- Economia3 giorni fa
Sanzioni USA colpiscono settore crypto per presunti legami con banche russe