Notizie
Profili falsi utilizzati per spiare utenti, giornalisti e attivisti: nuova inchiesta
Tempo di lettura: 5 minuti. Un’inchiesta che conferma un segreto di pulcinella dove le piattaforme social sono vittime, ma anche fornitrici del servizio di raccolta dati ed informazioni per conto delle intelligence amiche
L’industria dell’OSINT, o Open Source Intelligence, sta diventando sempre più pervasiva e invadente, e molte persone come l’ex giornalista israeliana A. non ne sanno praticamente nulla. Ma un’azienda israeliana che vende sistemi di sorveglianza digitale è in grado di conoscere molto su di lei e su di noi tutti. Questa azienda e la sua gamma di strumenti di sorveglianza digitale sono stati scoperti da Forbidden Stories, un’organizzazione no-profit che segue il lavoro dei giornalisti uccisi o minacciati per le loro inchieste, grazie a un tesoro di oltre 500.000 documenti appartenenti alle Forze Militari della Colombia, trapelati grazie al collettivo di hacker noto come Guacamaya. La tecnologia offerta da questa e da altre aziende come questa fa parte dell’industria dell’OSINT, che raccoglie informazioni da fonti aperte come i database pubblici o le mappe online, ma anche dalle piattaforme social come Facebook e Instagram, che proteggono i dati degli utenti per motivi di privacy e finanziari. L’industria dell’OSINT vende le sue tecnologie a difesa, forze dell’ordine ed agenzie di intelligence di tutto il mondo, ma questi strumenti sono stati anche utilizzati da eserciti che li hanno utilizzati contro i giornalisti. La particolarità di questi sistemi di sorveglianza è che utilizzano gli “avatar”, falsi account online che raccolgono informazioni senza essere individuati, e che devono essere gestiti in massa per non farsi scoprire dalle piattaforme social. Una volta accettati come amici o follower, questi account hanno accesso alle informazioni del profilo e dei contatti dell’utente.
Nel 2021, Meta, la società madre di Facebook e Instagram, ha iniziato a prendere provvedimenti contro le aziende OSINT e le società nel settore della sorveglianza privata. Nel rapporto sulla “surveillance-for-hire” industry, il team di intelligence delle minacce di Meta ha identificato tre fasi di sorveglianza – ricognizione (raccolta silenziosa di informazioni), coinvolgimento (contatto con i bersagli) e sfruttamento (hacking e phishing). L’indagine ha concluso che “il targeting è in realtà indiscriminato e comprende giornalisti, dissidenti, critici di regimi autoritari, famiglie di opposizione e attivisti per i diritti umani”.
A gennaio, Meta ha citato in giudizio Voyager Labs per aver utilizzato 38.000 account Facebook falsi per raschiare informazioni da 600.000 utenti per almeno tre mesi. La causa sostiene anche che, oltre a Facebook e Instagram, Voyager Labs ha impiegato account falsi per raccogliere dati da Twitter, Youtube, LinkedIn e Telegram. I dati includevano post, like, amici, foto, commenti e informazioni da gruppi e pagine. “Questa industria raccoglie informazioni in modo occulto che le persone condividono con la loro comunità, famiglia e amici, senza supervisione o responsabilità, e in modo che può implicare i diritti civili delle persone”, ha dichiarato un rappresentante di Meta in una dichiarazione.
Queste erano le capacità esatte proposte dalla allora israeliana Voyager Labs alla Colombia, dove gli strumenti di sorveglianza OSINT sono stati utilizzati per profilare e intimidire giornalisti e attivisti. Tra il 2018 e il 2019, decine di giornalisti sono stati bersaglio dell’intelligence militare colombiana che utilizzava uno strumento di monitoraggio open-source venduto da Voyager Labs chiamato VoyagerAnalytics.
I documenti mostrano che l’azienda si è incontrata di nuovo con funzionari dell’intelligence colombiana nella primavera del 2022, anche se Voyager Labs non ha risposto alle richieste di commento. Cognyte, un’altra società israeliana, ha anche proposto la propria tecnologia – sebbene per un sistema di intercettazione – all’esercito colombiano, secondo i documenti trapelati.
Nel febbraio 2021, la società israelo-americana Verint ha scorporato la propria divisione di soluzioni di intelligence-cyber in una società autonoma scambiata al Nasdaq chiamata Cognyte. Oggi Verint è concentrata sulla tecnologia dell’intelligenza artificiale e dell’analisi dei dati, ma in passato ha venduto tecnologie avanzate di monitoraggio a regimi repressivi in Azerbaigian, Indonesia, Sudan del Sud, Uzbekistan e Kazakistan.
Cognyte condivide attualmente lo stesso indirizzo nella città centrale israeliana di Herzliya con Verint e fornisce i servizi di cyberintelligence che Verint una volta forniva.
Un’indagine di Haaretz ha rivelato che la sua tecnologia di sorveglianza di massa è
in grado di raccogliere e analizzare grandi quantità di dati provenienti da fonti aperte e closed source, inclusi social media, email, chat, chiamate e messaggi di testo. La tecnologia di Cognyte utilizza anche l’intelligenza artificiale per analizzare i dati e identificare pattern e anomalie.
Secondo il sito web di Cognyte, i suoi clienti includono governi, forze dell’ordine e aziende in tutto il mondo. La società ha uffici in Israele, negli Stati Uniti, in Europa, in Asia e in America Latina.
Le preoccupazioni sulla sorveglianza di massa e sulla violazione della privacy hanno portato molte organizzazioni a chiedere maggiori controlli sulle aziende che forniscono tecnologie di sorveglianza. Nel 2021, l’Unione Europea ha presentato una proposta per regolamentare l’uso delle tecnologie di sorveglianza di massa, compresa la richiesta che le aziende che forniscono queste tecnologie siano soggette a una maggiore supervisione.
Un’indagine giornalistica ha rintracciato la brochure in questione presso S2T, una società di servizi digitali con uffici correnti o precedenti a Singapore, Sri Lanka, Regno Unito e Israele, confrontando le immagini e le descrizioni tecniche del loro sito web con quelle della brochure. La società è stata fondata nel 2002 dall’imprenditore Ori Sasson e si presenta come una società di intelligence open source (OSINT) che ha clienti in cinque continenti e impiega persone provenienti da agenzie di intelligence in Regno Unito, Stati Uniti, Russia e Israele, nonché forze dell’ordine locali in Medio Oriente, Sud e Centro America e Asia.
La brochure, contenente i dettagli di A., faceva parte di una proposta più ampia destinata all’intelligence militare colombiana. Il loro programma non solo raccolta dati, ma crea anche automaticamente rapporti sui target. La brochure pubblicizzava strumenti al di là della tipica OSINT, tra cui un tool di phishing automatizzato per installare malware, enormi database pubblicitari per tracciare i target e operazioni di influenza automatizzate che utilizzano account falsi per ingannare i target ignari.
Le brochure di S2T mostrano un chiaro processo di sorveglianza che coinvolge anche uno spyware effettivo: prima si individua il target sui social media e poi il sistema di avatar di massa inizia ad interagire con il target. Le informazioni raccolte portano poi ad altri target, come ad esempio gruppi sociali. Nella fase successiva, gli avatar vengono utilizzati come agenti digitali per cercare di penetrare nei gruppi chiusi o addirittura per interagire attivamente con un target tramite messaggi privati, ad esempio cercando di far cliccare un hyperlink infetto. I documenti suggeriscono che una volta infettato, lo spyware può anche accendere la fotocamera del telefono della vittima e registrarla segretamente, lontano da qualsiasi definizione di open source.
L’uso di avatar in modo mirato viene definito “cyber HUMINT” o intelligence umana digitale, in cui l’account falso gioca il ruolo dell’agente umano che entra in contatto con il target reale. Secondo una fonte senior dell’industria israeliana di intelligence open source e social media, “un buon avatar è come un agente. Devi svilupparlo come faresti con un agente reale per poterlo inviare sul campo o in questo caso per farlo effettivamente interagire con un target”.
Una volta accettata la richiesta di amicizia o ottenuto l’accesso a un gruppo, gli avatar hanno accesso ai dati. In un gruppo Facebook o WhatsApp per attivisti politici, ad esempio, l’accesso ottenuto dall’agente digitale per conto di una forza dell’ordine locale o di un’agenzia di intelligence potrebbe avere effetti devastanti nel mondo reale.
Un ex dipendente di S2T che ha parlato con Haaretz anonimamente ha detto che la società ha offerto a lungo capacità di cyber-HUMINT. “Le persone pensano che, poiché si tratta di fonti aperte che vengono utilizzate per creare questo tipo di intelligence, allora va bene e non può essere usato impropriamente. Ma se stai utilizzando dati a cui le persone non capiscono di aver dato accesso, allora non va bene.”
Inoltre, l’ex dipendente ha affermato che la società ha lavorato con governi che hanno una cattiva reputazione per i diritti umani e ha svolto attività di sorveglianza su giornalisti e attivisti politici. Il rapporto di Haaretz solleva preoccupazioni sulle implicazioni etiche e legali dell’uso di tecniche di sorveglianza avanzate come quelle offerte da S2T. L’uso di avatar per infiltrarsi in gruppi e conversazioni private può violare la privacy delle persone e la raccolta di dati sensibili può essere utilizzata per fini non etici o illegali.
La società israeliana S2T, specializzata in cyberintelligence, ha offerto servizi di cyber-HUMINT che, secondo un ex dipendente intervistato da Haaretz, potrebbero essere utilizzati in modo improprio. In una brochure, S2T ha presentato i suoi strumenti come utili nella lotta contro gruppi “malvagi”, come terroristi, cybercriminali e attivisti antigovernativi. La società ha anche lavorato per un partito politico turco, infiltrandosi in gruppi chiusi sui social media per raccogliere informazioni sui propri oppositori. S2T ha anche fornito i suoi strumenti a una nazione sudamericana e a un gruppo mediatico in America centrale. Secondo un’indagine di Haaretz, l’intelligence militare del Bangladesh ha acquistato uno dei prodotti di S2T, insieme ad altri prodotti tecnologici israeliani che possono intercettare il traffico mobile e internet. La politica di esportazione di tali prodotti è regolamentata dal governo israeliano, ma il Ministero della Difesa non ha rilasciato alcuna dichiarazione ufficiale in merito.
Notizie
Kapeka: nuova backdoor di Sandworm per l’Est Europa
Tempo di lettura: 3 minuti. Kapeka, nuova backdoor utilizzata da Sandworm in attacchi all’Europa orientale, con capacità avanzate di controllo e flessibilità operativa.
Una nuovo backdoor denominata “Kapeka” è stato individuato mentre veniva impiegato in attacchi mirati contro l’Europa orientale, inclusi Estonia e Ucraina. Questo malware, sviluppato dal gruppo di minaccia persistente avanzato (APT) collegato alla Russia, noto come Sandworm, ha mostrato capacità estremamente sofisticate nell’esecuzione di cyber-attacchi, secondo un rapporto di WithSecure.
Caratteristiche del Backdoor Kapeka
Kapeka è una backdoor flessibile scritta in C++ e confezionato come una DLL di Windows. È progettato per mascherarsi da componente aggiuntivo di Microsoft Word per sembrare legittimo e evitare il rilevamento. Il malware è dotato di una configurazione di comando e controllo (C2) incorporata che stabilisce contatti con server controllati dall’attaccante e ottiene istruzioni su come procedere.
Funzionalità del malware
Le funzionalità di Kapeka includono la capacità di leggere e scrivere file, lanciare payload, eseguire comandi shell e persino aggiornare o disinstallare se stesso. Utilizza l’interfaccia COM di WinHttp 5.1 per la comunicazione di rete e impiega il formato JSON per inviare e ricevere dati dal suo server C2. Il backdoor può anche aggiornare la propria configurazione C2 “al volo”, ricevendo una nuova versione dal server C2 durante il polling.
Metodi di propagazione e associazioni
La modalità esatta di propagazione di Kapeka non è ancora stata pienamente identificata, ma le analisi indicano che il dropper del malware viene recuperato da siti web compromessi utilizzando il comando certutil, un esempio di utilizzo di binari legittimi per eseguire attacchi (LOLBin). Kapeka è stato collegato a precedenti famiglie di malware come GreyEnergy e Prestige, suggerendo che potrebbe essere un successore di quest’ultimo, usato in intrusioni che hanno portato al dispiegamento del ransomware Prestige alla fine del 2022.
Implicazioni e significato
L’uso di Kapeka in operazioni di intrusione dimostra un’attività di livello APT, con un alto grado di stealth e sofisticazione, tipico di attacchi attribuibili a origini russe. La sua vittimologia sporadica e il targeting di specifiche regioni geopoliticamente sensibili come l’Europa orientale, evidenziano l’uso strategico di questo malware in operazioni di cyber spionaggio o sabotaggio.
Il backdoor Kapeka rappresenta una minaccia significativa per la sicurezza delle informazioni nelle aree colpite. Le organizzazioni in regioni potenzialmente a rischio dovrebbero rafforzare le loro difese e monitorare attivamente per rilevare segni di questo malware sofisticato, adottando misure proattive per proteggere i loro sistemi dagli attacchi.
APT44: pericolo globale del gruppo Sandworm
APT44, noto anche come Sandworm, è una delle unità di sabotaggio informatico più pericolose, attiva nell’ambito dei conflitti geopolitici a favore degli interessi russi. Questo gruppo è associato a numerosi attacchi di alto profilo e continua a rappresentare una minaccia elevata per governi e operatori di infrastrutture critiche a livello mondiale.
Caratteristiche e attività di APT44
APT44 è un gruppo avanzato di minaccia persistente (APT) che ha mostrato una capacità notevole e una tolleranza al rischio elevata nei suoi sforzi per supportare la politica estera russa. L’ampio mandato di questo gruppo lo rende una minaccia imprevedibile, pronta a colpire a breve termine ovunque i suoi obiettivi si allineino agli interessi nazionali russi.
Rischio di proliferazione di nuove tecniche
Le continue innovazioni di APT44 nell’uso di capacità cyber distruttive hanno potenzialmente abbassato la barriera all’ingresso per altri attori statali e non statali interessati a sviluppare i propri programmi di attacco informatico. Questo rischio di proliferazione è una preoccupazione crescente, poiché potrebbe portare a un aumento globale di attacchi cyber sofisticati e distruttivi.
Protezione e Azioni della Comunità
La ricerca di Google ha portato all’identificazione di varie misure per proteggere gli utenti e la comunità più ampia:
- Protezione attraverso Google’s Threat Analysis Group (TAG): I risultati della ricerca migliorano la sicurezza dei prodotti di Google.
- Aggiunte a Safe Browsing: I siti e i domini identificati sono stati aggiunti per proteggere gli utenti da ulteriori sfruttamenti.
- Allerte per attacchi supportati dal governo: Gli utenti di Gmail e Workspace coinvolti ricevono notifiche.
- Programmi di notifica delle vittime: Dove possibile, le vittime vengono informate tramite programmi dedicati.
- Risorse di VirusTotal: Una collezione di indicatori di compromissione legati ad APT44 è disponibile per gli utenti registrati.
Il continuo impegno di APT44 nel campo del cyber sabotage rappresenta una delle minacce più severe e pervasive a livello globale. È essenziale che la comunità internazionale rimanga vigile e preparata a fronteggiare le sfide poste da gruppi come Sandworm, specialmente in contesti geopolitici delicati.
Notizie
Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari
Tempo di lettura: 2 minuti. Un miner di criptovalute è stato arrestato per aver evaso pagamenti per 3,5 milioni di dollari in servizi di server cloud
Charles O. Parks III, noto anche come “CP3O”, è stato arrestato e accusato di aver utilizzato server cloud noleggiati per minare criptovalute, causando un debito di 3,5 milioni di dollari con due fornitori di servizi cloud, senza mai saldare i conti.
Dettagli del caso
Parks ha ideato un sistema ingegnoso creando identità aziendali fittizie, come “MultiMillionaire LLC” e “CP30 LLC”, per aprire numerosi account presso fornitori di servizi cloud, ottenendo così accesso a una potenza computazionale significativa. Anche se il Dipartimento di Giustizia (DOJ) non ha nominato esplicitamente i fornitori coinvolti, le indicazioni geografiche suggeriscono che si tratti di Amazon e Microsoft, situati rispettivamente a Seattle e Redmond, Washington.
Metodologia e abuso
Utilizzando questi account, Parks è riuscito a ottenere l’accesso a server dotati di potenti schede grafiche, essenziali per il mining di criptovalute come Ether (ETH), Litecoin (LTC) e Monero (XMR). Ha lanciato decine di migliaia di queste istanze di server, utilizzando software di mining e strumenti per massimizzare l’efficienza energetica e monitorare l’attività di mining in varie pool.
Riciclaggio e lifestyle
Le criptovalute estratte venivano poi riciclate acquistando token non fungibili (NFT), convertendole e trasferendole su varie piattaforme di scambio di criptovalute, o attraverso pagamenti online e conti bancari tradizionali. I proventi, convertiti in dollari, erano utilizzati da Parks per finanziare uno stile di vita lussuoso, includendo viaggi in prima classe e l’acquisto di articoli di lusso e auto.
Implicazioni legali e prevenzione
Parks è stato arrestato il 13 aprile 2024 nel Nebraska, con una prima udienza programmata il giorno successivo in un tribunale federale di Omaha. L’imputazione include accuse di frode informatica, riciclaggio di denaro e transazioni monetarie illegali, con una pena massima prevista di 30 anni di prigione. Il caso evidenzia anche l’importanza per i fornitori di servizi cloud di adottare misure più rigorose per verificare l’identità degli utenti, stabilire limiti di uso per i nuovi account e migliorare i sistemi di rilevamento delle anomalie per minimizzare le perdite.
Questo caso di cryptojacking sottolinea la necessità di una vigilanza continua e di politiche più severe da parte dei fornitori di servizi cloud per prevenire abusi simili, proteggendo così l’integrità dei loro servizi e dei loro clienti.
Notizie
USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari
Tempo di lettura: 2 minuti. Una donna del Delaware è stata arrestata per aver preso di mira giovani ragazzi in uno schema di sextortion che ha fruttato 1,7 milioni
Una donna del Delaware, Hadja Kone, è stata arrestata per il suo presunto coinvolgimento in un vasto schema internazionale di sextortion che ha mirato a giovani maschi, guadagnando circa 1,7 milioni di dollari tramite estorsioni. Questo caso sottolinea la crescente problematica della sextortion su Internet, che colpisce migliaia di giovani in tutto il mondo.
Dettagli del caso
Hadja Kone, 28 anni, è stata collegata a un’operazione che mirava principalmente a giovani uomini e minori negli Stati Uniti, Canada e Regno Unito. I truffatori si fingevano giovani donne attraenti online, iniziando conversazioni con le vittime e invogliandole a partecipare a sessioni di video chat dal vivo, durante le quali venivano registrate segretamente. Successivamente, le vittime venivano minacciate di diffondere i video a meno che non pagassero somme di denaro, generalmente tramite Cash App o Apple Pay.
Implicazioni Legali e Risposta delle Autorità
Kone e i suoi co-conspiratori sono accusati di cyberstalking, minacce interstatali, riciclaggio di denaro e frode via cavo. Siaka Ouattara, un altro presunto co-conspiratore di 22 anni dalla Costa d’Avorio, è stato arrestato dalle autorità ivoriane a febbraio. Se condannati, entrambi potrebbero affrontare fino a 20 anni di prigione per ciascun capo di imputazione.
Preoccupazioni crescenti e misure di prevenzione
Questo caso rientra in una tendenza allarmante di aumento dei casi di sextortion, specialmente tra i minori. Nel gennaio 2024, il FBI ha lanciato un avvertimento sulla crescente minaccia di sextortion, sottolineando che i giovani maschi di età compresa tra 14 e 17 anni sono particolarmente a rischio, ma qualsiasi bambino può diventare vittima. Piattaforme come Instagram e Snapchat hanno iniziato a implementare nuove protezioni e risorse educative per combattere la sextortion e proteggere i giovani utenti.
Il caso di Hadja Kone evidenzia l’importanza di una maggiore consapevolezza e educazione sulle pratiche di sicurezza online. Le piattaforme social stanno rispondendo con nuove misure, ma è essenziale che i genitori, gli educatori e i giovani stessi siano informati sui segni di avvertimento e sulle strategie di prevenzione della sextortion
- Inchieste2 settimane fa
Lavender: come l’intelligenza artificiale ha aiutato Israele nell’uccidere innocenti in 20 secondi
- Inchieste2 settimane fa
Piracy Shield: calano i blocchi degli IP “innocenti” nell’attesa dell’Ecatombe
- Inchieste2 settimane fa
Piracy Shield: Capitanio (AGCom) risponde alla nostra inchiesta
- Notizie1 settimana fa
NIS2: webinar gratuito rivolto alle imprese in balia del provvedimento
- Economia2 settimane fa
Amazon, licenziamenti nell’unità di cloud computing
- Economia1 settimana fa
TSMC riceve 11,6 miliardi e produrrà chip negli Stati Uniti
- Notizie2 settimane fa
Post sull’Intelligenza Artificiale diffondono malware sui social
- Economia1 settimana fa
Tensioni USA-Cina per l’investimento in TSMC e intanto altri 6,6 miliardi per Samsung