Notizie
FBI entra di nascosto nei dispositivi infetti da Sandworm e rimuove il malware Cyclops Blink. Smantellata Botnet

L’FBI ha avuto accesso remoto e disinfettato i dispositivi situati negli Stati Uniti che eseguono un nuovo potente ceppo di malware botnet di stato russo. Queste autorità hanno aggiunto che il Cremlino stava usando il malware per effettuare hacking furtivi dei suoi avversari.
I dispositivi infetti erano principalmente costituiti da apparecchi firewall di WatchGuard e, in misura minore, dispositivi di rete di Asus. Entrambi i produttori hanno recentemente rilasciato avvisi che forniscono raccomandazioni per l’indurimento o la disinfezione dei dispositivi infettati dalla botnet, conosciuta come Cyclops Blink. Si tratta dell’ultimo malware botnet realizzato dall’apt russo Sandworm, che è tra le più elitarie e distruttive organizzazioni di hacking sponsorizzate dallo stato al mondo.
WatchGuard ha detto al momento che il malware ha infettato circa l’1% dei dispositivi di rete che ha fatto.
Cyclops Blink era un sostituto di un altro pezzo di malware progettato da Sandworm, noto come VPNFilter, che i ricercatori hanno scoperto nel 2018 infettando 500.000 router basati negli Stati Uniti prodotti da Linksys, MikroTik, Netgear, QNAP e TP-Link.
L’FBI ha rapidamente sequestrato un server che Sandworm stava usando per infettare i dispositivi con VPNFilter. Una volta che questo è stato completato, l’ufficio ha istruito il pubblico a riavviare i loro dispositivi. Con questo, la botnet è stata smantellata.
Cyclops Blink era il tentativo di Sandworm di riprendere il controllo persistente dei dispositivi di rete, e il malware ha quasi funzionato. I procuratori federali hanno scritto in una relazione:
Come con VPNFilter, gli attori di Sandworm hanno distribuito Cyclops Blink sui dispositivi di rete in tutto il mondo in un modo che sembra essere indiscriminato; cioè, l’infezione degli attori di Sandworm di qualsiasi particolare dispositivo sembra essere stata guidata dalla vulnerabilità del dispositivo al malware, piuttosto che uno sforzo concertato per colpire quel particolare dispositivo o il suo proprietario per altre ragioni. Gli attori di Sandworm lo hanno fatto attraverso lo sfruttamento delle vulnerabilità del software in vari dispositivi di rete, principalmente i dispositivi firewall WatchGuard. In particolare, i dispositivi WatchGuard sono vulnerabili a un exploit che consente l’accesso remoto non autorizzato ai pannelli di gestione di tali dispositivi.
La botnet persisteva anche dopo il 23 febbraio. Questo è quando WatchGuard, in coordinamento con l’FBI, ha rilasciato le istruzioni per riportare i dispositivi disinfettati ad uno stato pulito e configurare i dispositivi per impedire l’accesso illimitato alle interfacce di gestione. WatchGuard ha anche risolto una vulnerabilità tracciata come CVE-2022-23176, che ha aperto il buco di bypass dell’autenticazione quando i server sono stati configurati per consentire l’accesso illimitato alla gestione da indirizzi IP esterni. Nonostante il CVE rilasciato quest’anno, WatchGuard ha dichiarato che comunque la vulnerabilità è stata completamente affrontata nel maggio 2021.
Dopo l’avviso di febbraio, tuttavia, il numero di dispositivi nella botnet Cyclops Blink è sceso solo del 39%. In risposta, l’FBI ha fatto un passo avanti rispetto a quanto fatto con VPNFilter nel 2018. In un’operazione clandestina di takedown mascherata da un mandato federale, gli agenti hanno acceduto in remoto ai dispositivi WatchGuard infetti collegati a 13 indirizzi IP con sede negli Stati Uniti. Da lì, gli agenti:
- Confermato la presenza del malware Cyclops Blink
- Hanno registrato il numero di serie che Cyclops Blink ha usato per tracciare i suoi bot
- Copiato un elenco di altri dispositivi infettati da Cyclops Blink
- Disinfettato le macchine
- Chiuso le porte di gestione rivolte a Internet per impedire a Sandworm di avere accesso remoto
Non è la prima volta che l’FBI accede in remoto a un dispositivo infetto per rimuovere una minaccia, ma è un primo esempio. Molti professionisti della sicurezza hanno sollevato preoccupazioni che tali mosse hanno il potenziale di causare danni se tali azioni accidentalmente interrompono un processo mission-critical. I sostenitori della privacy hanno anche denunciato l’esposizione che tali azioni possono avere sulle informazioni dei privati.
Jake Williams, un ex hacker per la NSA e ora direttore esecutivo di Cyber Threat Intelligence presso la società di sicurezza SCYTHE, ha espresso le stesse preoccupazioni in questo caso. Ha detto che i passi specifici che l’FBI ha fatto, tuttavia, lo hanno fatto sentire più tranquillo. In un messaggio, ha scritto:
Penso che sia sempre rischioso per le FO [forze dell’ordine] modificare qualsiasi cosa su un server che non controllano. Tuttavia, in questo caso, non credo che ci fosse un rischio significativo, quindi i benefici superavano chiaramente i rischi. Molti citeranno argomenti di pendenza scivolosa come ragioni per cui questa particolare azione è stata impropria, ma penso che sia sbagliato. Il fatto che l’FBI si sia coordinata con un’impresa privata (WatchGuard) in questa azione è particolarmente significativo.
Il rapporto dell’FBI dice che, lo scorso settembre, gli agenti hanno intervistato i rappresentanti di una società che gestisce un dispositivo infetto sulla sua rete. L’azienda ha permesso agli agenti di prendere un’immagine forense della macchina e di “osservare prospetticamente il traffico di rete associato all’apparecchio firewall“.
Notizie
Sfruttare l’IA per tradurre la conoscenza sul clima per tutti
Tempo di lettura: 2 minuti. Scopri come Climate Cardinals sfrutta l’IA per portare la conoscenza sul clima ai non anglofoni, accelerando l’azione climatica.

Climate Cardinals è un’organizzazione che si impegna a rendere le risorse climatiche più accessibili ai non anglofoni. Durante un viaggio in Iran, Sophia Kianni, la fondatrice dell’organizzazione, ha notato che, nonostante le temperature in Medio Oriente stiano aumentando due volte più velocemente della media globale, i suoi parenti sapevano quasi nulla delle sfide ambientali mondiali. Questo l’ha spinta a tradurre documenti cruciali, aiutando i suoi parenti a comprendere le minacce del cambiamento climatico e le opportunità per l’azione.
L’importanza dell’educazione climatica accessibile
L’educazione è fondamentale per l’azione climatica, ma esiste una barriera che continua a escludere miliardi di persone dalla conversazione: la lingua. Nonostante solo una persona su cinque parli inglese, più dei tre quarti delle pubblicazioni scientifiche vengono pubblicate solo in inglese. Anche i rapporti dell’Intergovernmental Panel on Climate Change (IPCC), che contengono le valutazioni più complete su come ridurre l’impatto del cambiamento climatico, sono disponibili solo nelle sei lingue ufficiali delle Nazioni Unite. Questo lascia fuori circa la metà della popolazione mondiale.
L’uso dell’IA per accelerare l’azione climatica
Google Cloud ha offerto a Climate Cardinals la possibilità di utilizzare Translation Hub, una piattaforma di traduzione self-service alimentata dall’IA. Translation Hub traduce automaticamente i documenti con l’IA, e poi permette di migliorare e modificare i risultati con traduttori umani. Può processare PDF con elementi di design e restituisce un documento tradotto con lo stesso design. Può anche tradurre il testo all’interno degli elementi di design.
Amplificare l’informazione climatica con Translation Hub
Oggi, Climate Cardinals utilizza Translation Hub da sola, e è diventata una parte essenziale del loro processo di traduzione. Di conseguenza, sono più produttivi che mai. Non più limitati da problemi di capacità, sono stati in grado di assumere progetti più grandi e più ambiziosi. Ciò include documenti lunghi fino a 200 pagine, che sarebbero stati difficili da gestire in passato.
Rendere l’informazione climatica un bene pubblico
Mentre continuano a rompere le barriere linguistiche e a diffondere informazioni vitali sul cambiamento climatico, è essenziale ricordare che la traduzione non è un fine in sé. Il loro lavoro prende significato dal suo potenziale di potenziare e educare le persone in tutto il mondo. E mentre il cambiamento climatico ci riguarda tutti, ha un effetto sproporzionato sulle comunità che sono spesso escluse dalla conversazione. Ecco perché è fondamentale garantire che le informazioni sul clima diventino un bene pubblico, accessibile a tutti, indipendentemente dalla lingua o dallo sfondo. Credono che l’IA possa aiutare a rendere ciò possibile.
Creare un mondo senza barriere linguistiche nell’informazione climatica
Con il potere dell’IA, possiamo creare un mondo in cui le barriere linguistiche nell’informazione climatica sono un fatto del passato. Non potrebbero farlo senza l’esperienza tecnica di Google Cloud. E Google Cloud non potrebbe farlo senza la passione, l’impegno comunitario e le connessioni di base di Climate Cardinals. Questo è ciò che rende il loro progetto congiunto veramente unico. Si tratta di una collaborazione internazionale, intergenerazionale e multilingue tra il settore pubblico e quello privato.
Notizie
Dati degli utenti i2VPN trapelati in un gruppo Telegram
Tempo di lettura: 2 minuti. I dati degli utenti di i2VPN, un servizio VPN gratuito, sono stati trapelati da hacker in un gruppo Telegram, sollevando preoccupazioni sulla gestione della sicurezza da parte dei fornitori di VPN.

I dati degli utenti di un servizio VPN gratuito sono stati trapelati da hacker in un gruppo Telegram. La violazione dei dati riguardava i2VPN e includeva informazioni riservate dei clienti, come indirizzi email e password degli amministratori. Considerando che i2VPN è un servizio VPN disponibile sia su Google Play che sull’App Store, si ritiene che la fuga possa potenzialmente impattare almeno mezzo milione di individui.
Dettagli sulla violazione dei dati di i2VPN
Gli hacker hanno condiviso l’URL del dashboard del servizio VPN, le credenziali dell’amministratore (indirizzo email e password) su un canale hacker di lingua araba insieme al messaggio “Ora vai a installare un servizio VPN gratuito e non sicuro”. Insieme alle informazioni, i cybercriminali hanno anche condiviso screenshot di quello che sembra essere il backend del dashboard dell’amministratore del VPN. Alcuni dati sensibili sono rivelati qui, tra cui i data center e i pannelli di abbonamento degli utenti che rivelano dettagli altamente personali come metodi di pagamento e date di scadenza.
Potenziali rischi per gli utenti
Nonostante l’entità del danno effettivo per gli utenti rimanga sconosciuta, l’incidente di i2VPN mostra la necessità di essere sempre vigili quando si tratta di sicurezza online, anche quando si pensa di essere protetti da un presunto VPN sicuro o strumento simile. Gli attori malintenzionati potrebbero utilizzare le informazioni violate per condurre campagne di phishing. Le credenziali personali potrebbero essere anche utilizzate per frodi di identità e attività illegali simili.
Consigli per gli utenti di i2VPN
Gli esperti suggeriscono a tutti gli utenti di i2VPN di cercare di migliorare la loro sicurezza online complessiva, soprattutto se notano attività insolite. Potrebbero voler considerare un altro servizio, o semplicemente cambiare le loro credenziali. È anche consigliato l’uso di software di sicurezza aggiuntivi come antivirus, gestori di password e app di rilevamento di perdite di dati per proteggersi da ulteriori minacce.
Notizie
Android, 60.000 app adware si spacciano per versioni crackate e diffondono malware
Tempo di lettura: 2 minuti. Gli utenti Android devono stare attenti: oltre 60.000 app adware si nascondono, travestite da versioni crackate delle vostre app preferite.

Migliaia di app adware per Android sono state scoperte mentre si spacciavano per versioni crackate o modificate di app popolari, con l’obiettivo di reindirizzare gli utenti e servire loro annunci indesiderati. Questa campagna è in corso dallo scorso ottobre.
Una campagna adware aggressiva
“La campagna è progettata per spingere aggressivamente l’adware sui dispositivi Android con lo scopo di generare ricavi”, ha dichiarato Bitdefender in un rapporto tecnico condiviso con The Hacker News. “Tuttavia, gli attori della minaccia coinvolti possono facilmente cambiare tattica per reindirizzare gli utenti verso altri tipi di malware, come i trojan bancari per rubare credenziali e informazioni finanziarie, o ransomware.”
Oltre 60.000 app uniche portano l’adware
La società di cybersecurity rumena ha scoperto 60.000 app uniche che portano l’adware, con la maggior parte delle rilevazioni localizzate negli Stati Uniti, Corea del Sud, Brasile, Germania, Regno Unito, Francia, Kazakistan, Romania e Italia.
Le app non sono distribuite attraverso il Google Play Store ufficiale
È importante notare che nessuna delle app viene distribuita attraverso il Google Play Store ufficiale. Invece, gli utenti che cercano app come Netflix, visualizzatori di PDF, software di sicurezza e versioni crackate di YouTube su un motore di ricerca vengono reindirizzati a una pagina di annunci che ospita il malware.
Le app, una volta installate, non hanno icone o nomi
Le app, una volta installate, non hanno icone o nomi per evitare la rilevazione. Inoltre, agli utenti che lanciano un’app per la prima volta dopo l’installazione viene mostrato il messaggio “L’applicazione non è disponibile nella tua regione da dove l’app serve. Tocca OK per disinstallare”, mentre in modo furtivo si attiva l’attività malevola in background.
Il comportamento dell’adware rimane dormiente per i primi giorni
Il comportamento dell’adware rimane dormiente per i primi giorni, dopodiché viene risvegliato quando la vittima sblocca il telefono per servire un annuncio a schermo intero utilizzando Android WebView.
-
Inchieste2 settimane fa
Vinted: oltre le truffe c’è feticismo. Attenzione ai minori
-
Editoriali2 settimane fa
Facebook multata per 1,3 miliardi. L’Italia esce sconfitta … ancora una volta
-
Inchieste2 settimane fa
Vinted: beyond scams is fetishism. Beware of minors
-
Editoriali2 settimane fa
Robot e Diritti: il Confucianesimo Come Alternativa?”
-
Inchieste2 settimane fa
APT33, hacker iraniani che mettono a rischio la sicurezza globale
-
Inchieste1 settimana fa
APT42, il gruppo di cyber-spionaggio sponsorizzato dallo stato Iraniano: un’analisi dettagliata
-
Inchieste1 settimana fa
Agrius: l’Apt iraniano specializzato in wiper contro Israele
-
Editoriali6 giorni fa
Per uno spot da 4 soldi, il Garante Privacy ha escluso l’Italia dal tour Europeo di Chat GPT