Notizie
Hacktivism e attacchi DDOS in forte aumento nel 2022
Tempo di lettura: 4 minuti. Il 2022 ha portato un’impennata degli attacchi DDOS (Distributed Denial of Service) e un drammatico aumento dell’hacktivismo patriottico. Cosa ci aspetta per queste tendenze nel corso dell’anno?
Secondo la prima metà del 2022 H1 Global Threat Analysis Report pubblicato da Radware la scorsa settimana, gli attacchi informatici sono cresciuti e si sono evoluti in seguito all’invasione russa dell’Ucraina. Ecco due dei principali risultati:
Gli attacchi DDoS sono aumentati drasticamente – I primi sei mesi del 2022 sono stati caratterizzati da un aumento significativo dell’attività DDoS in tutto il mondo. Gli attacchi hanno spaziato da casi di hacktivismo ad attacchi terabit in Asia e negli Stati Uniti.
Il numero di attacchi DDoS dannosi è aumentato del 203% rispetto ai primi sei mesi del 2021.
Nei primi sei mesi del 2022 si è registrato il 60% in più di eventi DDoS dannosi rispetto all’intero anno 2021.
Nel maggio 2022, Radware ha mitigato un attacco volumetrico a tappeto, che ha rappresentato un volume totale di 2,9 PB. L’attacco è durato 36 ore, con un picco di 1,5 Tbps e una velocità di attacco sostenuta di oltre 700 Gbps per più di otto ore. La combinazione di durata, volume e tassi di attacco medi/sostenuti ne fa uno degli attacchi DDoS più significativi mai registrati.
Impennata dell’hacktivismo patriottico – Durante la prima metà del 2022, l’hacktivismo patriottico è aumentato drasticamente.
Le legioni informatiche filo-ucraine e filo-russe, sia consolidate che di nuova formazione, miravano a disturbare e creare il caos rubando e facendo trapelare informazioni, defacement e attacchi denial-of-service.
DragonForce Malaysia, un’operazione hacktivista che ha preso di mira organizzazioni mediorientali nel 2021, è tornata nel 2022. Le sue recenti campagne erano risposte politiche a eventi nazionali. OpsBedil Reloaded si è verificata a seguito di eventi in Israele, mentre OpsPatuk è stata lanciata in reazione ai commenti pubblici di una figura politica di alto profilo in India.
Nelle Filippine, le principali reti di informazione e comunicazione, tra cui la CNN, la rete televisiva ABS-CBN, Rappler e VERA Files, sono state oggetto di attacchi DDoS in occasione delle elezioni generali del 2022.
Altri rapporti sulle minacce informatiche evidenziano la stessa cosa?
Nel caso in cui pensiate che questo sia solo un fornitore a segnalare questi drammatici aumenti degli attacchi DDoS, date un’occhiata a questo articolo di The Register intitolato “Google blocca il terzo attacco DDoS da record in altrettanti mesi”: “Google afferma di aver bloccato il più grande attacco DDoS (Distributed Denial of Service) basato su HTTPS mai avvenuto nel mese di giugno, che ha raggiunto un picco di 46 milioni di richieste al secondo”.
Per mettere le cose in prospettiva, questo è circa il 76% più grande del precedente attacco DDoS record che Cloudflare ha sventato all’inizio dello stesso mese”.
“Come spiegano i Googler Emil Kiner e Satya Konduru: ‘È come ricevere tutte le richieste giornaliere di Wikipedia (uno dei 10 siti web più trafficati al mondo) in soli 10 secondi’”.
Inoltre, all’inizio del mese è uscito un comunicato stampa di Lumen che ha rivelato che “Lumen blocca un attacco DDoS da 1,06 Tbps nella più grande mitigazione dell’azienda fino ad oggi”: “Le dimensioni non sono state l’unico elemento degno di nota dell’attacco fallito; faceva anche parte di una campagna più ampia in cui l’attore della minaccia ha cercato di sfruttare diverse tecniche. Queste tecniche sono indicate nel rapporto come tendenze emergenti del secondo trimestre”.
Un’altra. Considerate questo rapporto di Politico che descrive come l’ufficio del presidente a Taiwan sia stato colpito da un attacco prima della visita di Nancy Pelosi il 2 agosto: “L’attacco ha avuto luogo ore prima della visita del presidente della Camera Nancy Pelosi a Taiwan. Il governo cinese ha minacciato di prendere provvedimenti in risposta al viaggio e Taiwan starebbe preparando rifugi antiaerei in previsione di un potenziale attacco cinese. …
“Il portavoce dell’Ufficio presidenziale di Taiwan, Chang Tun-Han, ha confermato l’attacco DDoS all’ufficio in un post su Facebook, sottolineando che l’attacco DDoS consisteva in un traffico 200 volte superiore al normale verso il sito web ed è stato effettuato da un gruppo esterno a Taiwan”.
L’Hacktivismo continua ad essere strategico
L'”hacking per una causa” è ora diventato un’arma che va ben oltre i confini del “disadattato geek antisociale”. Dall’hacking delle e-mail del Comitato Nazionale Democratico (DNC) ai Panama Papers, un’ondata di nuovo hacktivismo è ora il principale strumento online anti-establishment per raggiungere una serie di cause diverse in tutto il mondo.
Lo stesso argomento è stato ripreso l’anno successivo da TechCrunch. A prescindere dal fatto che ci si possa riferire a una qualsiasi di queste analogie informatiche, l’hacking per una causa è destinato a esplodere in una complessa serie di sfide per le amministrazioni statali e locali.
Sembra proprio che siamo entrati in un nuovo periodo in cui gli “hacker per una causa” influenzeranno il dialogo globale su tutto, dalle relazioni internazionali ai rapporti finanziari alla politica locale, nello stesso modo in cui i manifestanti hanno influito in passato su temi come i diritti civili e il cambiamento climatico”.
“In una frase: L’hacktivismo sta diventando la nuova “Marcia su Washington” digitale”.
All’inizio di quest’anno ho scritto questo articolo su come “L’hacktivismo contro gli Stati cresce dopo il rovesciamento della sentenza Roe v. Wade”.
In un altro articolo sullo stesso tema, Stateline ha trattato queste tendenze in modo ancora più dettagliato in un articolo intitolato “Gli hacktivisti per i diritti dell’aborto colpiscono gli Stati con divieti”: “Un gruppo di hacktivisti per i diritti dell’aborto afferma di aver lanciato attacchi informatici contro i governi degli Stati dell’Arkansas e del Kentucky e di aver fatto trapelare file dai loro server per protestare contro i loro divieti sull’aborto dopo la recente decisione della Corte Suprema degli Stati Uniti di rovesciare la sentenza Roe contro Wade.
“Il gruppo, che si fa chiamare SiegedSec, ha dichiarato di aver violato i due Stati perché arrabbiato per i loro divieti. Gli attacchi continueranno!”, ha scritto il gruppo su un canale Telegram. I nostri obiettivi principali sono tutte le entità pro-vita, compresi i server governativi degli Stati con leggi anti-aborto”.
Notizie
APT29 Utilizza WINELOADER per Colpire i Partiti Politici Tedeschi
Tempo di lettura: 2 minuti. Google Mandiant effettua un’analisi dell’attacco di Cozy Bear, APT 29, ai partiti tedeschi con attività di cyberspionaggio
Il gruppo di minaccia persistente avanzata (APT) conosciuto come APT29, associato al servizio di intelligence estero russo (SVR), ha esteso le sue operazioni di cyber spionaggio includendo i partiti politici tedeschi nel suo elenco di bersagli. Questo sviluppo rappresenta una deviazione significativa dalle tradizionali attività di spionaggio diplomatico di APT29, riflettendo l’interesse di Mosca nel raccogliere informazioni che possano favorire i suoi interessi geopolitici.
Contesto e Strategie di Attacco
L’utilizzo del malware di primo stadio, ROOTSAW, è al centro degli sforzi di APT29 per ottenere l’accesso iniziale e raccogliere intelligence politica estera. Le operazioni di consegna di malware sono altamente adattive e continuano a evolversi in parallelo con le realtà geopolitiche della Russia. Si sospetta che l’interesse di APT29 non sia limitato alla Germania, ma possa estendersi ai partiti politici occidentali e ai loro corpi associati, data l’importanza vitale per Mosca di comprendere le dinamiche politiche occidentali legate all’Ucraina e ad altre questioni critiche di politica estera.
Le recenti attività di altri sottogruppi di APT29 indicano che i tentativi di ottenere l’accesso iniziale oltre al phishing potrebbero includere tentativi di sovvertire i meccanismi di autenticazione basati su cloud o metodi di forza bruta come lo spraying di password. Per maggiori dettagli sulle recenti tattiche di APT29, si rimanda all’avviso di febbraio 2024 del National Cyber Security Center (NCSC) del Regno Unito.
Dettagli tecnici dell’Attacco
A partire dal 26 febbraio 2024, APT29 ha distribuito allegati di phishing contenenti link a un sito web compromesso controllato dagli attori, “waterforvoiceless[.]org/invite.php”, per reindirizzare le vittime a un dropper ROOTSAW. Questa variante di ROOTSAW utilizza la stessa risorsa di offuscamento JavaScript impiegata in precedenti operazioni di APT29, risultando infine in una richiesta di scaricare ed eseguire la seconda fase WINELOADER dallo stesso server su “waterforvoiceless[.]org/util.php”.
Il payload di ROOTSAW contiene un payload JSObfuscated che, una volta analizzato, risulta nel codice responsabile dello scaricamento di un file sul disco come “invite.txt”, decodificandolo tramite Windows Certutil e decomprimendolo usando tar. Infine, viene eseguito il binario legittimo di Windows (SqlDumper.exe) dagli attori.
Queste operazioni evidenziano l’evoluzione continua delle strategie di APT29 e l’ampio raggio di obiettivi presi di mira, sottolineando l’importanza di mantenere elevate misure di sicurezza informatica e consapevolezza delle minacce per proteggere dati sensibili e infrastrutture critiche.
Notizie
ZenHammer: nuova minaccia alle difese Rowhammer su CPU AMD
Tempo di lettura: 2 minuti. ZenHammer: nuova minaccia alle difese Rowhammer su CPU AMD Zen 2 e Zen 3 dopo la prima scoperta che risale al 2014
Ricercatori in cybersecurity dell’ETH Zurigo hanno sviluppato una nuova variante dell’attacco RowHammer, chiamata ZenHammer, che riesce a colpire i sistemi AMD Zen 2 e Zen 3 nonostante le mitigazioni come il Target Row Refresh (TRR). Questo risultato dimostra che i sistemi AMD sono vulnerabili a Rowhammer tanto quanto quelli Intel, aumentando notevolmente la superficie di attacco data la quota di mercato di AMD.
Caratteristiche di ZenHammer
ZenHammer può anche innescare per la prima volta bit flip RowHammer su dispositivi DDR5. RowHammer, reso pubblico nel 2014, sfrutta l’architettura delle celle di memoria DRAM per alterare i dati attraverso l’accesso ripetuto a una riga specifica, causando perdite di carica elettrica alle celle adiacenti. Questo può indurre inversioni casuali di bit nelle righe di memoria vicine, alterando i contenuti della memoria e potenzialmente facilitando l’escalation dei privilegi.
Superamento delle difese TRR
ZenHammer, come TRRespass e SMASH, elude le barriere di TRR invertendo le funzioni segrete degli indirizzi DRAM nei sistemi AMD e adottando una sincronizzazione e pianificazione dei refresh migliorata per innescare bit flip. Lo studio ha anche individuato una sequenza di istruzioni di martellamento ottimale per facilitare un martellamento più efficace.
ZenHammer ha la particolarità di essere il primo metodo in grado di innescare bit flip su sistemi dotati di chip DDR5 sulla piattaforma microarchitetturale Zen 4 di AMD, anche se funziona solo su uno dei 10 dispositivi testati (Ryzen 7 7700X). È interessante notare che i moduli DRAM DDR5 erano considerati immuni agli attacchi RowHammer a causa della sostituzione di TRR con una nuova forma di protezione chiamata gestione del refresh.
Implicazioni e futuri studi
Data la mancanza di bit flip su nove dei 10 dispositivi DDR5, è necessario ulteriore lavoro per comprendere meglio le potenziali nuove mitigazioni RowHammer e le loro garanzie di sicurezza. AMD ha dichiarato di essere in fase di valutazione delle inversioni di bit RowHammer sui dispositivi DDR5 e fornirà un aggiornamento al termine dell’analisi.
Questo sviluppo sottolinea l’importanza di continuare a valutare e rafforzare le difese contro gli attacchi RowHammer, in particolare alla luce delle innovazioni tecnologiche e dei cambiamenti nell’architettura DRAM.
Notizie
Riconoscimento facciale a Gaza: Israele usa la tecnologia di Corsight
Tempo di lettura: 3 minuti. In pochi mesi, Israele ha sviluppato un applicativo di riconoscimento facciale per Gaza grazie a Corsight che sfrutta Google Photos
Israele ha implementato un vasto programma di riconoscimento facciale nella Striscia di Gaza, generando un database di Palestinesi senza il loro consenso che usa la tecnologia di Google Photos e uno strumento personalizzato sviluppato da Corsight, azienda con sede a Tel Aviv, per identificare individui affiliati a Hamas.
Implementazione e Finalità
Il sistema di riconoscimento facciale di Corsight è stato sviluppato in concomitanza con l’offensiva militare israeliana a Gaza, seguendo gli attacchi del 7 ottobre. Gli ufficiali dell’Unità 8200 dell’esercito israeliano hanno individuato potenziali obiettivi analizzando le riprese delle telecamere di sicurezza e i video caricati sui social media da Hamas, oltre a interrogare prigionieri palestinesi.
Corsight afferma che la sua tecnologia può identificare accuratamente le persone anche se meno del 50% del loro volto è visibile. Queste immagini sono state utilizzate per costruire uno strumento di riconoscimento facciale per gli ufficiali israeliani in Gaza. Per ampliare il database e identificare potenziali obiettivi, l’esercito israeliano ha installato checkpoint con telecamere di riconoscimento facciale lungo le principali vie di fuga verso sud, con l’intento di creare una “lista di colpiti” per coloro che hanno partecipato agli attacchi del 7 ottobre.
Problemi di Accuratezza
Tuttavia, la tecnologia di Corsight non è sempre stata precisa nell’effettuare il riconoscimento facciale nella Striscia di Gaza, specialmente quando si basava su riprese di scarsa qualità o foto in cui i volti erano oscurati. In alcuni casi, lo strumento ha identificato erroneamente persone come affiliate a Hamas. Un esempio riguarda il poeta palestinese Mosab Abu Toha, che è stato fermato e detenuto per due giorni senza spiegazioni prima di essere rilasciato.
Uso di Google Photos
Oltre alla tecnologia di Corsight, l’esercito israeliano ha integrato Google Photos, che viene utilizzato gratuitamente, per caricare database di “persone note” e utilizzare la funzione di ricerca fotografica per ulteriori identificazioni. Secondo un ufficiale, Google Photos è risultato più efficace di altri strumenti, inclusa la tecnologia di Corsight, nel riconoscere persone da porzioni limitate del volto.
Altre Applicazioni di Corsight
Corsight si concentra principalmente su usi governativi, per l’applicazione della legge e militari. La tecnologia è stata impiegata anche in alcuni ospedali israeliani per identificare pazienti, e Corsight ha lavorato con la polizia metropolitana di Bogotá, in Colombia, per rintracciare sospetti di omicidi e furti nel sistema di trasporto pubblico.
Questo utilizzo della tecnologia di riconoscimento facciale solleva preoccupazioni significative riguardo alla privacy, al consenso e all’accuratezza del riconoscimento, mettendo in luce le complesse questioni etiche legate all’uso della sorveglianza biometrica in contesti di conflitto.
Cos’è Corsight? Di cosa si occupa?
Corsight è un’azienda specializzata nello sviluppo di tecnologie avanzate nel campo del riconoscimento facciale. La loro piattaforma di intelligenza facciale è progettata per fornire a imprese e forze dell’ordine intuizioni uniche e allarmi in tempo reale, consentendo il riconoscimento di persone di interesse sotto varie condizioni di illuminazione e angolazioni, persino quando più del 50% del viso è coperto o nascosto.
Corsight sottolinea l’efficacia della sua tecnologia anche in scenari complessi, dove altri sistemi potrebbero non riuscire, affermando che la loro soluzione può riconoscere individui con un alto grado di accuratezza. Questa capacità rende la piattaforma di Corsight particolarmente adatta per applicazioni in settori critici come la sicurezza, il retail, il controllo degli accessi e altro ancora, offrendo la possibilità di migliorare l’esperienza del cliente, prevenire frodi e garantire sicurezza.
“La missione di Corsight è di creare una tecnologia di riconoscimento facciale all’avanguardia che sia allo stesso tempo efficace e rispettosa dei principi etici e della privacy degli individui“, Aspetto particolarmente importante data la natura invasiva potenziale di tali tecnologie e che l’azienda non ha esitato ad utilizzare per scopi militari contro la popolazione palestinese.
- Economia1 settimana fa
Calo vendite smartphone: luce in fondo al tunnel
- L'Altra Bolla1 settimana fa
Con YouTube è possibile etichettare contenuti generati dall’AI
- L'Altra Bolla1 settimana fa
Telegram raccoglie $330 Milioni mentre X affronta problemi di Shadowbanning
- L'Altra Bolla1 settimana fa
Meta riduce costo abbonamento
- Inchieste6 giorni fa
Elezioni: Google finanzia il Ministero della Verità, Meta alle prese con i Watermark AI
- Economia1 settimana fa
Broadcom “ricatta” i servizi cloud europei ed interrompe i contratti. Si muove il CISPE
- Economia1 settimana fa
Svolta IA in Microsoft e Google Deep Mind: entrano Mustafa Suleyman e Liz Reid
- Notizie5 giorni fa
Sicurezza full-optional: garanzia di un Cloud di qualità