Notizie
Tor sotto attacco, ancora una volta l’anonimato online non è una garanzia

Tempi duri per la rete Tor. Ancora una volta, il servizio di rete che garantisce l’anonimato agli utenti di mezzo mondo, è stato colto in fallo con l’ennesimo bug che ha messo a rischio non solo i pedofili, ma anche coloro che hanno esigenze di navigazione per tutelare i propri diritti umani essenziali. Una diatriba etica, questa di scegliere se l’anonimato vale anche la tutela dei criminali, che va in essere oramai da tanto tempo, su cui la Russia ha deciso di effettuare una stretta definita da tutto il mondo come una attività di censura.
La Russia ha censurato Tor
Considerando che il servizio di anonimizzazione della navigazione TOR consente di accedere anche al dark web più noto ed affollato tra quelli esistenti, la Russia ha chiesto ed ottenuto di offuscare tutti i nodi di accesso al servizio per via della presenza di contenuti illegali. La terra di Putin è effettivamente fulcro di produzione dozzinale di pedopornografia con i suoi studios siberiani ed è un noto focolaio di produzione dei software malevoli che creano disagi in giro per il mondo, ma è pur vero, però, che risulta nota per esercitare il controllo del pensiero democratico su tutta la popolazione. Non è un caso che il 15% del traffico quotidiano sulla rete Tor appartenga ad utenti provenienti dalla Russia e questo dato riflette l’esigenza di sfuggire all’oppressione messo in atto dal modello di società della sorveglianza applicato da Putin e soci.
Le contromisure della rete Tor
Molti danno la notizia come nuova, ma i responsabili del progetto Tor hanno consentito ai censurati di navigare sulla rete anonima tramite i bridges a differenza dei soliti nodi. I gestori di Tor hanno creato un sito mirror ed hanno chiesto ai volontari di creare “ponti Tor”, che sono nodi privati che consentono alle persone di aggirare la censura e che utilizzano un sistema di trasporto noto come obfs4, che nasconde il traffico in modo che non appaia correlato allo stesso servizio Tor. A partire dal mese scorso, c’erano circa 900 di questi ponti. Pochini se consideriamo il numero di 300.000 utilizzatori russi, a cui si aggiungono anche quelli di altri paesi dove c’è un interesse nel reprimere il concetto di navigazione anonima.
I russi hanno attaccato TOR
Sempre quelli brutti sporchi e cattivi. La storia si ripete quando c’è da trovare il colpevole di lacune informatiche conclamate. Prima di iniziare il racconto dell’ultimo attacco subito dai paladini dell’anonimato, è doverosa fare una precisazione.
- Gli ip dei server Tor sono noti in tutto il mondo ed è per questo che vengono bloccati facilmente dagli stati che realmente vogliono contenerne l’utilizzo.
- Se non si applica un livello di sicurezza aggiuntivo, il Provider sa che l’utente sta navigando con il servizio Tor e quindi è facile essere attenzionati.
- La rete Tor funziona tramite lo smistamento del proprio “segnale” su tre nodi: ingresso, medio, uscita. Il nodo di ingresso conosce l’indirizzo di rete del pc che naviga, l’ultimo solo la destinazione. Quello medio invece fa da tramite tra i due.
Dopo questi appunti, arriviamo allo scandalo dell’attacco sibillino degli ultimi giorni. Secondo una segnalazione giunta a Tor, sono stati compromessi 900 nodi sui 9000 disponibili. Per compromissione si intende che il 10 per cento delle connessioni è stato potenzialmente rintracciato grazie al fatto che tutti e tre nodi erano controllati dallo stesso attore. Il primo pensiero è andato ai russi, vuoi perchè in questi giorni stanno facendo notizia per la pressione sulla rete interna, ma si sospetta possano essere anche i cinesi che non sono da meno per quel che riguarda la censura e meno chiacchierati a livello internazionale.
I precedenti sulla stabilità di Tor
In passato è accaduto che la rete Tor sia stata messa sotto attacco per via dell’interesse che Governi e Agenzie di sicurezza nazionali ed internazionali hanno nel controllare traffici illeciti, prevenendo anche aspetti terroristici. La società Zerodium, esperta di sviluppo e vendita dei malware, ha fissato tempo addietro una taglia di 1,5 milioni di euro per uno 0-day che interessasse Tor. La redazione di Matrice Digitale ha invece denunciato per prima una falla nel no script, estensione del browser che disabilita di default il javascript, che ha esposto diversi utenti, senza sapere per quanto tempo, a rischi di sicurezza severi.
Già in passato è stata trovata una violazione degli exit node, esponendo addirittura il 40% del traffico globale, nonostante ci fossero state diverse segnalazioni da parte di un ricercatore, che aveva denunciato l’inottemperanza della fondazione nel pagare le taglie promesse ai volontari che segnalavano i bug.
In questo caso il sistema di Tor ha fallito per un concetto di logica:
se la rete X ha 9000 pc che si prestano in giro per il mondo ad offrire uno dei tre livelli di nodi, è possibile che non ci sia il rischio che una agenzia governativa possa detenere finanche il 100%?
C’è il rischio, ovviamente, e questo è uno dei motivi per cui la rete Tor non può e non deve essere considerata sicura, anzi, sarebbe utile capire come si sia arrivati alla conclusione in questo caso che l’ultimo attacco sia stato messo in piedi dai russi, cinesi e non dagli americani?
Notizie
Mélofée: un nuovo malware Linux collegato ai gruppi APT cinesi
Tempo di lettura: 2 minuti. Un gruppo di hacker sponsorizzato dallo stato cinese è stato collegato a un nuovo malware per server Linux

Un gruppo di hacker sconosciuto, sponsorizzato dallo stato cinese, è stato collegato a un nuovo tipo di malware indirizzato ai server Linux. La società francese di cybersecurity ExaTrack ha scoperto tre campioni del malware precedentemente documentato, risalenti all’inizio del 2022, e lo ha denominato Mélofée.
Il funzionamento del malware Mélofée
Uno degli artefatti di Mélofée è progettato per rilasciare un rootkit in modalità kernel basato su un progetto open source chiamato Reptile. Secondo le informazioni della società, il rootkit ha un set limitato di funzionalità, principalmente l’installazione di un hook progettato per nascondersi.
Sia l’impianto che il rootkit vengono distribuiti utilizzando comandi shell che scaricano un programma di installazione e un pacchetto binario personalizzato da un server remoto. L’installer prende il pacchetto binario come argomento e poi estrae il rootkit e un modulo di impianto server attualmente in fase di sviluppo.
Le funzionalità di Mélofée non sono diverse da altre backdoor simili, consentendo al malware di contattare un server remoto e ricevere istruzioni che gli permettono di eseguire operazioni sui file, creare socket, avviare una shell ed eseguire comandi arbitrari.
Collegamenti del malware alla Cina
I collegamenti del malware alla Cina derivano da sovrapposizioni infrastrutturali con gruppi come APT41 (noto anche come Winnti) e Earth Berberoka (noto anche come GamblingPuppet). Earth Berberoka è il nome dato a un attore sponsorizzato dallo stato che mira principalmente a siti web di gioco d’azzardo in Cina dal 2020, utilizzando malware multi-piattaforma come HelloBot e Pupy RAT. Secondo Trend Micro, alcuni campioni del Pupy RAT basato su Python sono stati nascosti utilizzando il rootkit Reptile.
Un’altra minaccia per la sicurezza informatica
ExaTrack ha inoltre scoperto un altro impianto chiamato AlienReverse, che condivide similitudini nel codice con Mélofée e utilizza strumenti pubblicamente disponibili come EarthWorm e socks_proxy. “La famiglia di impianti Mélofée è un altro strumento nell’arsenale degli attaccanti sponsorizzati dallo stato cinese, che mostra costante innovazione e sviluppo”, ha dichiarato la società. “Le capacità offerte da Mélofée sono relativamente semplici, ma possono consentire agli avversari di condurre i loro attacchi sotto il radar. Questi impianti non sono stati ampiamente osservati, il che indica che gli aggressori stanno probabilmente limitando il loro utilizzo a obiettivi di alto valore”.
Notizie
Il dark web preoccupa le aziende ma si fa poco per risolvere il problema
Tempo di lettura: 2 minuti. Un nuovo rapporto rivela che le aziende sono preoccupate per le minacce provenienti dal dark web, ma fanno poco per affrontarle

Un recente rapporto di Searchlight Cyber evidenzia come gli addetti all’intelligence siano preoccupati per le numerose minacce che si verificano nel dark web e come le aziende, pur essendo consapevoli del problema, non stiano facendo abbastanza per risolverlo.
I risultati del sondaggio di Searchlight Cyber
Searchlight Cyber, un’azienda leader nell’intelligence sul dark web, ha condotto un sondaggio su circa 1000 addetti all’intelligence di grandi aziende, scoprendo che il 93% di loro è preoccupato per i pericoli provenienti dal dark web, mentre il 72% ritiene che una soluzione fondamentale sia acquisire informazioni sui cybercriminali per proteggere le aziende.
Cosa fanno realmente le aziende?
Le aziende si stanno concentrando sulla raccolta di informazioni relative a strumenti e reti legati al dark web, ma non stanno facendo abbastanza per affrontare il problema. Secondo gli esperti, il 71% degli addetti all’intelligence vorrebbe vedere i fornitori colpiti sul dark web, ma in realtà il 32% delle persone che utilizzano i dati di intelligence provenienti dal dark web li impiega per pianificare e attuare attacchi alla catena di fornitura.
La posizione di Ben Jones, capo di Searchlight Cyber
Ben Jones sostiene che le aziende non stiano facendo abbastanza e che abbiano un percorso difficile davanti a loro. Egli osserva un modello distinto tra la raccolta di molte informazioni sulle minacce e i dati provenienti dal dark web, utilizzati per ottenere una buona postura di sicurezza. Raccogliendo più informazioni, le aziende potranno familiarizzare con il modo in cui i criminali operano e aumentare le possibilità di identificare gli attacchi.
Differenze tra settori nell’affrontare le minacce del dark web
Le ricerche mostrano che le aziende di vari settori rispondono in modo diverso alle minacce provenienti dal dark web. Il settore finanziario è quello più attivo nella raccolta di dati, con l’85% delle aziende che estraggono informazioni da questa parte del web. Al secondo posto si trova il settore sanitario, con il 57%, mentre il settore petrolifero e del gas potrebbe migliorare, dato che solo il 66% dei CISO raccoglie dati dal dark web.
Notizie
Google: utilizzato spyware prodotto in Spagna per colpire utenti negli Emirati Arabi Uniti
Tempo di lettura: 2 minuti. Gli utenti di Samsung Android browser negli Emirati Arabi Uniti sono stati presi di mira da un gruppo di hacker che utilizza il software spia Variston.

Google ha recentemente rivelato che gli hacker stanno usando il software spia Variston per colpire utenti negli Emirati Arabi Uniti.
Il software spia Variston e il suo utilizzo negli Emirati Arabi Uniti
Il Gruppo di Analisi delle Minacce (TAG) di Google ha scoperto che gli hacker stavano prendendo di mira le persone negli Emirati Arabi Uniti che utilizzavano il browser Android nativo di Samsung, una versione personalizzata di Chromium. Gli attaccanti hanno utilizzato una serie di vulnerabilità concatenate insieme e inviate tramite link web monouso inviati ai bersagli tramite messaggi di testo. Tra le quattro vulnerabilità nella catena, due erano zero-day al momento dell’attacco, il che significa che non erano state segnalate al produttore del software ed erano sconosciute fino a quel momento.
Campagna di hacking e vittime potenziali
Non è chiaro chi sia dietro la campagna di hacking o chi siano le vittime. Un portavoce di Google ha dichiarato a TechCrunch che il TAG ha osservato circa 10 link web dannosi in natura. Alcuni dei link reindirizzavano a StackOverflow dopo lo sfruttamento e potrebbero essere stati i dispositivi di test dell’attaccante, ha detto Google.
Variston e i suoi fondatori
Ralf Wegener e Ramanan Jayaraman sono i fondatori di Variston, secondo Intelligence Online, una pubblicazione di notizie online che copre l’industria della sorveglianza. La società ha sede a Barcellona, in Spagna, e nel 2018 ha acquisito l’azienda italiana di ricerca sulle vulnerabilità zero-day Truel.
La scoperta di altre campagne di hacking
Google ha anche annunciato di aver scoperto hacker che sfruttano un bug zero-day di iOS, corretto a novembre, per piantare a distanza spyware sui dispositivi degli utenti. I ricercatori hanno osservato gli aggressori che abusano del difetto di sicurezza come parte di una catena di exploit che prende di mira i proprietari di iPhone con iOS 15.1 e versioni precedenti in Italia, Malesia e Kazakistan.
-
L'Altra Bolla2 settimane fa
Perchè la “mostruosa” Elly Schlein non “puzza di antisemitismo”
-
Editoriali2 settimane fa
Il CSIRT risolve i problemi o ha bisogno di fare le denunce alla Postale?
-
Inchieste2 settimane fa
Zuckerberg licenzia altri 10.000 dipendenti, abbandona NFT e Metaverso, e copia Telegram
-
Tech2 settimane fa
Telegram introduce la modalità “risparmio batteria”
-
Inchieste1 settimana fa
Sanremo multato per il conflitto di interessi della Ferragni con Meta
-
Inchieste1 settimana fa
ACN finalista su LinkedIn: spegnetegli i social
-
Inchieste1 settimana fa
Killnet assalta gli ospedali e Phoenix colpisce missione EOSDIS della NASA
-
Inchieste1 settimana fa
Meta vuole sottopagare la Musica italiana, ma va difesa perchè la SIAE è il male