Un attore malevolo sta presumibilmente vendendo l’accesso a un sistema RDWeb nel Regno Unito, appartenente a una società di contabilità. Questa violazione rappresenta una grave minaccia alla sicurezza dei dati sensibili di oltre 600 clienti, contenendo file di dichiarazioni fiscali e altri documenti riservati.

Dettagli dell’Offerta

L’annuncio pubblicato in un forum online descrive in dettaglio l’accesso al sistema compromesso:

• Sistema: RDWeb
• Localizzazione: Regno Unito
• Settore: Contabilità
• Diritti Utente: Completi
• Rete Locale: Presente
• Computers di Dominio: 57
• Dati Totali: 1TB

L’inserzionista afferma che i file contengono oltre 600 clienti con documenti di dichiarazione fiscale e altri documenti correlati. È specificato che ci sono molti altri file non ancora verificati, suggerendo la possibile presenza di ulteriori dati sensibili.

Prezzo dell’Accesso

L’accesso al sistema RDWeb è messo in vendita con i seguenti termini finanziari:

• Prezzo di Partenza: $9,000
• Incremento: $500
• Prezzo Blitz: $10,000

Veridicità della Violazione

Al momento, non possiamo confermare con precisione la veridicità della violazione. L’organizzazione interessata non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’ e non come una conferma definitiva dell’avvenuto incidente.

Implicazioni e Raccomandazioni

Se confermata, questa violazione potrebbe avere gravi conseguenze per la privacy e la sicurezza dei dati dei clienti coinvolti. Gli attori malevoli potrebbero utilizzare queste informazioni per una serie di attività fraudolente, tra cui il furto di identità e frodi finanziarie.

Le aziende, specialmente quelle che trattano dati sensibili come le dichiarazioni fiscali, devono implementare misure di sicurezza robuste per proteggere i loro sistemi. Questo include l’uso di firewall avanzati, software antivirus aggiornati, crittografia dei dati e formazione continua del personale sulle migliori pratiche di sicurezza informatica.

Conclusione

Questa potenziale vendita di accesso a un sistema RDWeb di una società di contabilità nel Regno Unito sottolinea l’importanza critica della sicurezza informatica. Le organizzazioni devono rimanere vigili e proattive nella protezione dei dati dei clienti per prevenire simili incidenti e salvaguardare la loro reputazione e fiducia del cliente.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Vendesi Accesso a Sistema Contabile UK: 600 Clienti e 1TB di Dati a Rischio proviene da il blog della sicurezza informatica.

Il gruppo Kimsuky, noto per le sue operazioni di cyber spionaggio, ha sviluppato un nuovo malware chiamato “HappyDoor”. Questo backdoor, progettato per infiltrarsi e rubare dati dai sistemi compromessi, è stato analizzato dettagliatamente dall’AhnLab Security Emergency Response Center (ASEC). Di seguito, una descrizione approfondita delle caratteristiche tecniche e del funzionamento di HappyDoor, oltre a un profilo del gruppo Kimsuky.

Chi è il Gruppo Kimsuky

Kimsuky, anche noto come Thallium, Velvet Chollima e Black Banshee, è un gruppo di cyber spionaggio con presunti legami con la Corea del Nord. Attivo dal 2012, il gruppo è noto per prendere di mira principalmente enti governativi, organizzazioni politiche, istituzioni accademiche, e think tank, soprattutto in Corea del Sud e Stati Uniti. L’obiettivo principale di Kimsuky è raccogliere informazioni strategiche e politiche sensibili.

Topologia e Metodi Operativi

• Tecniche di Social Engineering: Kimsuky utilizza spesso email di phishing personalizzate per ingannare i destinatari e indurli a fornire credenziali o a installare malware.
• Malware e Backdoor: Il gruppo sviluppa e utilizza una varietà di malware, inclusi keylogger, trojan di accesso remoto (RAT) e backdoor come HappyDoor.
• Infrastrutture C&C: Kimsuky gestisce una rete di server di comando e controllo (C&C) per coordinare le attività di spionaggio e raccogliere dati esfiltrati.
• Obiettivi Geopolitici: Gli attacchi del gruppo sono spesso mirati a raccogliere informazioni utili alla strategia politica e militare della Corea del Nord.

Caratteristiche Tecniche del Malware

1. Registry Data

HappyDoor utilizza il registro di Windows per configurare dati essenziali per le sue operazioni. I principali percorsi del registro utilizzati sono:

• Notepad:
  
  • Percorso: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Notepad
  • Valore: IfChar
  • Descrizione: Contiene chiavi RSA (pubbliche e private), interruttori ON/OFF per la funzione di furto di informazioni e backdoor, e indirizzi delle funzioni di furto di informazioni.
  • Dimensione dei Dati: Varia tra 0x17E0 e 0x17D8 a seconda della versione.

  
  La struttura dei dati include:
  

  • Backdoor Packet Encryption ON/OFF: Un valore che decide se i comandi backdoor ricevuti devono essere cifrati. Di default è impostato su ON e utilizza una chiave RSA privata o una chiave RC4 per la decifratura.
  • interval_cmd, interval_ssht, ssht_width, ssht_height: Intervalli di raccolta delle informazioni e risoluzione degli screenshot.

  
  

• FTP:
  
  • Percorso: HKEY_CURRENT_USER\Software\Microsoft\FTP
  • Valore: Use Https
  • Descrizione: Include dati per l’autenticazione dei pacchetti e l’indirizzo del server C&C.
  • Dimensione dei Dati: Varia in base al numero di server C&C configurati.

  
  La struttura dei dati include:
  

  • USER ID: Un valore di 8 byte utilizzato per l’autenticazione dei pacchetti.
  • C2 (C&C) Address: L’indirizzo del server di comando e controllo utilizzato per il furto di informazioni e backdoor.

  
  

2. Packet Data

HappyDoor utilizza il protocollo HTTP per comunicare con i server C&C. I dati inviati sono cifrati utilizzando una combinazione di XOR e Base64, garantendo che le comunicazioni siano difficili da intercettare e decifrare.

• Metodo di Cifratura: XOR con una chiave fissa (ad esempio, DD 33 99 CC) e successiva codifica Base64.
• Struttura del Pacchetto: Include funzioni di furto di informazioni come allarmi, keylogger e screenshot, cifrate e inviate al server C&C.

3. Flusso di Comunicazione

Il flusso di comunicazione di HappyDoor si divide in tre tipi di pacchetti:

1. Autenticazione del Server:
   
   • Invia un comando di inizializzazione “init” al server e riceve una conferma “OK”.

   
   

2. Furto di Informazioni:
   
   • Invia uno stato di trasmissione (Trans Status: 0x1) per notificare l’invio di dati.
   • Trasferisce i dati in blocchi, ciascuno fino a una dimensione massima di 0x100000. Se i dati sono più grandi, vengono suddivisi in pacchetti successivi.
   • Una volta completato il trasferimento, invia un numero di ordine (Data Ord Number: 0x100000000) per confermare la fine della trasmissione e verifica la risposta del server.
   • Invia le informazioni del file trasferito, inclusi nome e dimensioni.

   
   

3. Comunicazione di Backdoor:
   
   • Scambia ID dei comandi (CMD ID: 0x3E) per eseguire istruzioni specifiche inviate dal server C&C.

   
   

Implicazioni e Raccomandazioni

HappyDoor rappresenta una minaccia significativa per la sicurezza delle informazioni, specialmente per le organizzazioni. È fondamentale che vengano adottate misure di sicurezza adeguate, tra cui:

• Aggiornamento Regolare: Assicurarsi che tutti i software di sicurezza siano aggiornati.
• Monitoraggio del Traffico: Implementare soluzioni per il monitoraggio del traffico di rete per rilevare attività sospette.
• Formazione del Personale: Educare i dipendenti sulle pratiche di sicurezza informatica per ridurre il rischio di compromissioni.

Conclusione

L’analisi di HappyDoor mette in luce la continua evoluzione delle tecniche di attacco utilizzate da gruppi avanzati come Kimsuky. Le organizzazioni devono rimanere vigili e aggiornate sulle minacce emergenti per proteggere efficacemente i propri dati e infrastrutture.

L'articolo “HappyDoor”: La nuova Backdoor del Gruppo Kimsuky proviene da il blog della sicurezza informatica.

Today’s memory sticks have hundreds of pins and many gigabytes of RAM on board. Decades ago, though, the humble 30-pin SIMM was the state of the art where memory was concerned. If you’ve got vintage gear, you can try and hunt down old RAM, or you can copy [Bits und Bolts] and make your own.

Previously, [Bits und Bolts] built a 4 MB SIMM, but he’s now ramped up to building 16 MB RAM sticks — the largest size supported by the 30-pin standard. That’s a ton compared to most 30-pin sticks from the 1980s, which topped out at a feeble 1 MB.

We get to see four of his 16 MB sticks installed in a 386 motherboard, set up to operate in the appropriate Fast Page Mode. He was able to get the system operating with 64 MB of RAM, an amount still considered acceptable in the early Pentium 3 era. Hilariously, memtest took a full ten hours to complete a single pass with this configuration. [Bits and Bolts] also tried to push the motherboard further, but wasn’t able to get it to POST with over 64 MB of RAM.

As [Bits und Bolts] demonstrates, if you can read a schematic and design a PCB, it’s not that hard to design RAM sticks for many vintage computers. We’ve seen some other RAM hacks in this vein before, too.

youtube.com/embed/oXZWF6gDNLI?…

Art.609-bis c.p. : Chiunque, con violenza o minaccia o mediante abuso di autorità costringe taluno a compiere o subire atti sessuali è punito con la reclusione da sei a dodici anni.

Alla stessa pena soggiace chi induce taluno a compiere o subire atti sessuali:
1) abusando delle condizioni di inferiorità fisica o psichica della persona offesa al momento del fatto;
2) traendo in inganno la persona offesa per essersi il colpevole sostituito ad altra persona.

Nei casi di minore gravità la pena è diminuita in misura non eccedente i due terzi.

Il contenuto della norma

Un tema relativamente nuovo è quello della violenza sessuale realizzata a distanza attraverso le tecnologie dell’informazione. Sempre più frequenti, infatti, sono i casi in cui un soggetto, attraverso l’installazione di una web cam chiede prestazioni sessuali ad altra persona o impone alla stessa di assistere a suoi atti di autoerotismo.

Sul piano giuridico, non essendovi norma specifica, occorre necessariamente far riferimento all’art.609-bis, che punisce, come violenza sessuale, la condotta di colui che con violenza o minaccia o mediante abuso di autorità costringa taluno a compiere o subire atti sessuali e quella di colui che induca un altro soggetto a compiere o subire atti sessuali abusando delle condizioni di inferiorità fisica o psichica della persona offesa al momento del fatto o traendo in inganno la persona offesa per essersi il colpevole sostituito ad altra persona.

Vista la formulazione dell’art.609- bis si è posto il problema di comprendere se sia ipotizzabile una violenza sessuale attraverso la rete.

La Giurisprudenza, come illustriamo di seguito, pare dare al momento risposta affermativa.

Cosa dice la giurisprudenza

Risponde di violenza sessuale – e non di estorsione – colui che, dietro la minaccia di diffusione di video sessualmente espliciti, costringa la vittima ad inviargli su Whatsapp foto delle proprie parti intime ( Cass., Sez. II, sent. n. 41985/21).

Perfeziona la fattispecie di violenza sessuale la condotta consistente nell’invio di una serie di messaggi whatsapp allusivi e sessualmente espliciti ad una minorenne , costringendola a realizzare selfie da contenuti intimi da inviare al soggetto agente, con la minaccia di pubblicare la chat su un social network (Cass.,Sez.III,sent.n.25266/20).

La Corte di Cassazione ha confermato la condanna per violenza sessuale realizzata mediante l’utilizzo di social network e webcam. Nel caso di specie, in particolare, il soggetto, attraverso le suddette tecnologie, aveva compiuto atti di autoerotismo dopo essersi assicurato che alcune minori lo avrebbero guardato attraverso webcam (Cass., Sez. III, sent. n. 16616/15).

In relazione all’art. 609-bis, c.1, c.p. si è più volte ribadito che il reato di violenza sessuale non sia esclusivamente caratterizzato dal contatto corporeo, potendosi estrinsecare anche nel compimento di atti di autoerotismo effettuati a seguito di costrizione o induzione ( Cass. , Sez.III, sent.n.37076/12).

Si è esclusa la possibilità di applicare “automaticamente” ai casi di violenza sessuale virtuale la circostanza attenuante speciale del fatto di lieve entità. Si è a tal riguardo precisato, infatti, che, ai fini dell’accertamento della diminuente prevista dall’art. 609 – bis, c. 3, c.p., debba farsi riferimento, oltre che alla materialità del fatto, a tutte le modalità che hanno caratterizzato la condotta criminosa, nonché al danno arrecato alla parte lesa, anche e soprattutto in considerazione dell’età della stessa o di altre condizioni psichiche in cui versi (Cass., Sez.III, sent.n.16615/15; Cass., Sez.III, sent. n. 45604/07).

L'articolo Digital Crime: La violenza sessuale virtuale proviene da il blog della sicurezza informatica.

When thinking about loops in programming languages, they often get simplified down to a conditions section and a body, but this belies the dizzying complexity that emerges when considering loop edge cases within the context of static analysis. A paper titled Misconceptions about Loops in C by [Martin Brain] and colleagues as presented to SOAP 2024 conference goes through a whole list of false assumptions when it comes to loops, including for languages other than C. Perhaps most interesting is the conclusion that these ‘edge cases’ are in fact a lot more common than generally assumed, courtesy of how creative languages and their users can be when writing their code, with or without dragging in the meta-language of C’s preprocessor.

Assumptions like loop equivalence can fall apart when considering the CFG ( control flow graph) interpretation versus a parse tree one where the former may e.g. merge loops. There are also doozies like assuming that the loop body will always exist, that the first instruction(s) in a loop are always the entry point, and the horrors of estimating loop exits in the context of labels, inlined functions and more. Some languages have specific loop control flow features that differ from C (e.g. Python’s for/else and Ada’s loop), all of which affect a static analysis.

Ultimately, writing a good static analysis tool is hard, and there are plenty of cases where it’s likely to trip up and give an invalid result. A language which avoids ambiguity (e.g. Ada) helps immensely here, but for other languages it helps to write your code as straightforward as possible to give the static analysis tool a fighting chance, or just get really good at recognizing confused static analysis tool noises.

(Heading image: Control flow merges can create multiple loop entry
edges (Credit: Martin Brand, et al., SOAP 2024) )