Tails 6.4, il sistema operativo amnesico e incognito basato su Debian, è stato rilasciato oggi come l’ultima versione stabile di questa distribuzione GNU/Linux che protegge contro la sorveglianza e la censura.

Punti Salienti di Tails 6.4

Introduzione del Random Seed

Una delle principali novità di Tails 6.4 è l’abilitazione della memorizzazione di un random seed sulla chiavetta USB di Tails. Questo miglioramento rafforza tutta la crittografia utilizzata nel sistema. Gli sviluppatori sottolineano che avere un generatore di numeri casuali sicuro è fondamentale per vari componenti di Tails che si basano sulla crittografia, come Persistent Storage, Tor e HTTPS. Questo random seed è memorizzato al di fuori della Persistent Storage, permettendo a tutti gli utenti di beneficiare di una crittografia più robusta.

Passaggio agli Indirizzi HTTPS

Tails 6.4 passa dagli indirizzi onion agli indirizzi HTTPS per i repository software di Debian e Tails APT, migliorando la sicurezza durante il download e l’aggiornamento dei pacchetti.

Aggiornamenti del Software

La nuova versione include anche aggiornamenti importanti per diversi software:

Tor Browser: Aggiornato alla versione 13.0.16, migliorando la navigazione anonima.
Client Tor: Aggiornato alla versione 0.4.8.12, migliorando la connettività e la sicurezza.
Mozilla Thunderbird: Aggiornato alla versione 115.12.0, reintroducendo la funzionalità di lettura dei PDF che era stata disabilitata nella versione precedente per motivi di sicurezza.

Correzioni di Bug

Tails 6.4 risolve diversi bug, migliorando l’esperienza utente complessiva:

Sblocco di Persistent Storage: Migliorata la procedura di sblocco.
Connessione a Rete Mobile: Risolti problemi di connessione su alcuni PC.
Messaggi di Errore di Tails Cloner: Risolti errori che si verificavano quando la chiavetta USB di destinazione non poteva essere smontata.
Funzionalità “New Identity” del Tor Browser: Risolti problemi con la homepage.
Altri Miglioramenti
Oltre agli aggiornamenti e alle correzioni di bug, Tails 6.4 rimuove il dialogo ridondante che appariva durante lo sblocco di un volume VeraCrypt e reintroduce la funzionalità di lettura dei PDF in Mozilla Thunderbird.

Download e Aggiornamenti

Gli utenti possono scaricare Tails 6.4 dal sito ufficiale come immagine ISO live o immagine USB per sistemi a 64-bit. Gli utenti esistenti riceveranno una notifica di aggiornamento automatico, ma possono anche aggiornare manualmente le loro installazioni.

Tails 6.4 introduce miglioramenti significativi alla sicurezza e all’usabilità, continuando a rafforzare la protezione contro la sorveglianza e la censura. L’introduzione del random seed e il passaggio agli indirizzi HTTPS per i repository software sono passi importanti verso una maggiore sicurezza per tutti gli utenti.

Nel tardo 2023, una grande organizzazione è stata vittima di un grave attacco cibernetico. L’indagine forense condotta da Sygnia ha rivelato un attore di minaccia sofisticato, che ha mantenuto una presenza prolungata nella rete on-premises dell’organizzazione per circa tre anni. Questo attacco, attribuito a un attore di minaccia sponsorizzato dallo stato cinese noto come Velvet Ant, ha utilizzato tecniche avanzate per infiltrarsi e mantenere l’accesso alla rete della vittima per scopi di spionaggio.

Persistenza e tecniche di infiltrazione

Velvet Ant ha stabilito e mantenuto molteplici punti di accesso all’interno dell’ambiente della vittima, utilizzando un dispositivo F5 BIG-IP legacy come comando e controllo interno (C&C). Quando un punto di accesso veniva scoperto e rimediato, l’attore della minaccia passava rapidamente a un altro, dimostrando agilità e adattabilità nell’evitare il rilevamento. L’attore ha sfruttato vari punti di ingresso attraverso l’infrastruttura di rete della vittima, mostrando una comprensione approfondita dell’ambiente target.

Utilizzo di PlugX

Una delle tecniche di attacco di Velvet Ant includeva l’uso di PlugX, un trojan di accesso remoto ampiamente utilizzato da gruppi sponsorizzati dallo stato cinese. PlugX è stato utilizzato per ottenere accesso remoto ai sistemi infetti, con una catena di esecuzione che coinvolgeva il caricamento di DLL malevoli e l’iniezione di codice nei processi di sistema.

Sygnia ha identificato e rimosso con successo PlugX e altri malware dalla rete della vittima, implementando misure di sicurezza avanzate per prevenire ulteriori infezioni.

Difendersi da Velvet Ant

Per proteggersi da attacchi simili, Sygnia consiglia di adottare una strategia di difesa olistica che includa monitoraggio continuo, risposte proattive alle minacce, controlli rigorosi del traffico e pratiche di rafforzamento del sistema. Questo approccio aiuta le organizzazioni a rilevare, dissuadere e contrastare le minacce persistenti presentate da gruppi sponsorizzati dallo stato.

L’attacco di Velvet Ant evidenzia la necessità di strategie di difesa resilienti contro le minacce sofisticate, in particolare quelle poste dai gruppi sponsorizzati dallo stato. Adottando un approccio olistico alla sicurezza, le organizzazioni possono migliorare la loro capacità di rilevare e contrastare le minacce avanzate, proteggendo le loro reti e dati sensibili da attacchi persistenti.

Due uomini sono stati accusati in un tribunale federale di Chicago per aver gestito “Empire Market”, un mercato del dark web che ha facilitato oltre 430 milioni di dollari in transazioni illegali tra febbraio 2018 e agosto 2020. Empire Market era una piattaforma popolare nel dark web che vendeva droga, prodotti chimici, gioielli, numeri di carte di credito, denaro contraffatto, malware e altri beni illeciti, accettando pagamenti in Monero, Litecoin e Bitcoin.

Chiusura Improvvisa e Accuse

Il mercato è stato chiuso improvvisamente nel 2020 a causa di persistenti attacchi DDoS basati su estorsioni, senza dare agli utenti il tempo di ritirare i fondi dai loro conti escrow, sollevando accuse di exit scam. Secondo l’accusa rilasciata dal Dipartimento di Giustizia degli Stati Uniti (DoJ), Thomas Pavey (alias “Dopenugget”) e Raheim Hamilton (alias “Sydney” e “Zero Angel”) erano precedentemente coinvolti nella vendita di valuta contraffatta su AlphaBay prima di avviare Empire Market.

Transazioni e Operazioni di Empire Market

Attraverso Empire Market, i due hanno facilitato oltre 4 milioni di transazioni per un valore di oltre 430 milioni di dollari, permettendo a migliaia di utenti di vendere e acquistare articoli rubati, carte di credito, eroina, metanfetamina, cocaina, LSD e altri beni. Le transazioni coinvolgevano criptovalute combinate con servizi di “tumbling” per oscurare la fonte e la destinazione dei fondi e sfuggire alle forze dell’ordine. Pavey e Hamilton si pagavano trattenendo una parte delle transazioni in criptovaluta su Empire Market, utilizzando i fondi per pagare sé stessi e un team di moderatori.

Accuse e possibili condanne

Gli operatori del mercato ora affrontano cinque accuse principali:

• Cospirazione per vendere valuta contraffatta su AlphaBay.
• Cospirazione per distribuire sostanze controllate tramite Empire Market.
• Cospirazione per possedere dispositivi di accesso non autorizzati.
• Cospirazione per vendere valuta contraffatta su Empire Market.
• Cospirazione per riciclaggio di denaro per nascondere i proventi delle attività illegali.

Se condannati per tutte le accuse, Pavey e Hamilton potrebbero affrontare l’ergastolo, soprattutto a causa delle accuse di traffico di droga, che prevedono una pena minima obbligatoria di 10 anni. Inoltre, se condannati, dovranno confiscare qualsiasi proprietà derivata dai proventi dei loro crimini, inclusa la proprietà personale. Se i beni originali sono irraggiungibili, saranno cercati beni sostitutivi.

Sequestri e indagini

L’annuncio del DoJ ha anche menzionato che le indagini hanno già portato al sequestro di 75 milioni di dollari in criptovaluta, oltre a contanti e metalli preziosi. Non sono stati condivisi dettagli su quando sono avvenuti gli arresti e se la chiusura improvvisa di Empire Market nel 2020 fosse dovuta all’azione delle forze dell’ordine.