Gli esperti di Kaspersky Lab hanno parlato del nuovomalware SteelFox, che si maschera da programmi popolari come Foxit PDF Editor e AutoCAD Sfrutta la potenza delle macchine infette per estrarre criptovalute e ruba anche dati riservati degli utenti.

Da agosto a ottobre 2024, l’azienda ha registrato oltre 11.000 attacchi SteelFox. Il 20% delle vittime erano in Brasile, l’8% in Cina e un altro 8% in Russia.

SteelFox è distribuito sotto le spoglie di attivatori e crack per vari programmi popolari. In particolare, i ricercatori segnalano falsi attivatori per i prodotti AutoCAD, Foxit PDF Editor e JetBrains. In questo modo, SteelFox viene distribuito tramite forum, tracker torrent e persino GitHub.

Inoltre, per aumentare i ghost nel sistema attaccato, il malware utilizza WinRing0.sys e la tattica BOWWD (Bring your own vulnerabili driver), sfrutta cioè vulnerabilità abbastanza vecchie ( CVE-2020-14979 e CVE-2021-41285 ) in WinRing0.sys.

La comunicazione con il server di gestione avviene utilizzando il meccanismo di pinning del certificato SSL e TLS 1.3, utilizzando un dominio con indirizzo IP dinamico e la libreria Boost.Asio.

Per estrarre la criptovaluta, gli operatori del malware utilizzano una versione modificata del minatore open source XMRig, che è uno dei componenti SteelFox. Gli aggressori sfruttano la potenza dei dispositivi infetti per estrarre criptovaluta (molto probabilmente Monero).

Un altro componente di SteelFox è un infostealer, capace di raccogliere molti dati dal computer della vittima e di inviarli ai suoi operatori. Il malware ruba in particolare dati dai browser (cronologia dei siti visitati, informazioni su conti e carte bancarie), nonché informazioni sui software installati sul sistema e sulle soluzioni antivirus. Il trojan può anche rubare password dalle reti Wi-Fi, informazioni sul sistema, fuso orario e molto altro.

Va notato che gli aggressori possono ad esempio vendere tutte le informazioni raccolte da SteelFox sulla darknet. “Gli aggressori stanno cercando di ottenere il massimo beneficio dalle loro azioni. Sono noti, ad esempio, malware che combinavano le funzionalità di un miner e di un crittografo: gli aggressori guadagnavano denaro dal lavoro del minatore mentre aspettavano un riscatto per decrittografare i dati. SteelFox è un chiaro esempio di come gli aggressori possano tentare di monetizzare sia la potenza di calcolo di un dispositivo che i suoi contenuti”, commenta Dmitry Galov, responsabile di Kaspersky GReAT in Russia.

L'articolo SteelFox: Quando il KeyGen è più rischioso di Acquistare il software stesso proviene da il blog della sicurezza informatica.

If Apple has a reputation for anything other than decent hardware and excellent industrial design, it’s for selling its products at extremely inflated prices. But there are some alternatives if you want the Apple experience on the cheap. Buying their hardware a few years out of date of course is one way to avoid the bulk of the depreciation, but at the extreme end is this working Mac clone that cost just $14.

This build relies on the fact that modern microcontrollers absolutely blow away the computing power available to the average consumer in the 1980s. To emulate the Macintosh 128K, this build uses nothing more powerful than a Raspberry Pi Pico. There’s a little bit more to it than that, though, since this build also replicates the feel of the screen of the era as well. Using a “hat” for the Pi Pico from [Ron’s Computer Videos] lets the Pico’s remaining system resources send the video signal from the emulated Mac out over VGA, meaning that monitors from the late 80s and on can be used with ease. There’s an option for micro SD card storage as well, allowing the retro Mac to have an incredible amount of storage compared to the original.

The emulation of the 80s-era Mac is available on a separate GitHub page for anyone wanting to take a look at that. A VGA monitor is not strictly required, but we do feel that displaying retro computer graphics on 4K OLEDs leaves a little something out of the experience of older machines like this, even if they are emulated. Although this Macintosh replica with a modern e-ink display does an excellent job of recreating the original monochrome displays of early Macs as well.

youtube.com/embed/jYOTAGBqoW0?…

hackaday.com/2024/11/07/the-mo…

La società israeliana di sicurezza informatica Hunters ha registrato l’attività del gruppo informatico VEILDrive, che utilizza servizi Microsoft legittimi – Teams , SharePoint , Quick Assist e OneDrive – per distribuire attacchi di phishing e ospitare malware.

Gli esperti hanno scoperto la campagna nel settembre 2024 mentre indagavano su un incidente avvenuto presso un’organizzazione di infrastrutture critiche degli Stati Uniti denominata “Organizzazione C.”

L’attacco informatico è iniziato ad agosto e si è concluso con l’introduzione di malware basato su Java che utilizzava OneDrive per l’infrastruttura di comando e controllo. Gli aggressori hanno inviato messaggi tramite Teams ai dipendenti dell’Organizzazione C, mascherandosi da specialisti IT e richiedendo l’accesso remoto tramite Quick Assist.

Una particolarità dell’attacco è stata l’utilizzo dell’account esistente della vittima (“Organizzazione A”), anziché crearne uno nuovo. Ciò ha aggirato le misure di sicurezza standard attraverso la funzionalità di accesso esterno in Microsoft Teams, che per impostazione predefinita consente la comunicazione con utenti di altre organizzazioni.

La fase successiva dell’attacco prevedeva l’invio di un collegamento per scaricare un file di archivio tramite SharePoint. L’archivio conteneva il programma di accesso remoto LiteManager, utilizzato dai criminali informatici per creare attività pianificate e monitorare ulteriormente il sistema. Inoltre, hanno scaricato un secondo file ZIP contenente malware in formato Java Archive (JAR), che gli ha permesso di connettersi a un account OneDrive controllato dagli aggressori per eseguire comandi PowerShell tramite l’API Microsoft Graph.

I criminali informatici hanno anche fornito un meccanismo di backup: connettersi a una macchina virtuale Azure remota tramite HTTPS per ricevere comandi ed eseguirli sul sistema.

Questo attacco non è la prima volta che Quick Assist viene utilizzato per frode. Nel maggio 2024, Microsoft ha avvertito dell’abuso di questo servizio da parte del gruppo Storm-1811, che si è presentato come dipendente del supporto tecnico e ha distribuito il ransomware Black Basta.

Negli ultimi mesi sono diventati più frequenti anche i casi di utilizzo dei servizi SharePoint e OneDrive per aggirare i sistemi di sicurezza. Hunters sottolinea che questa strategia si basa su una base di codice semplice e strutturata, che rende molto più difficile il rilevamento del malware in tempo reale e lo rende insolitamente trasparente.

L'articolo Microsoft Teams e OneDrive come armi: VEILDrive sfrutta i servizi legittimi per attacchi di phishing proviene da il blog della sicurezza informatica.

A thermal camera is a very handy tool to have, and [Learn Electronics Repair] wanted to try out the Thermal Master P2 for electronic repair, especially since it claims to have a 15 X digital zoom and 1.5 degree accuracy. The package proudly states the device is the “World 2nd Smallest Thermal Camera” — when only the second best will do.

The camera is tiny and connects to a PC or directly to a tablet or phone via USB C. However, it did look easier to use on the end of a cable for probing things like a PC motherboard. The focus was fairly long, so you couldn’t get extremely close to components with the camera. The zoom somewhat makes up for that, but of course, as you might expect, zooming in doesn’t give you any additional resolution.

He also compares the output with that of a multimeter he uses that includes an IR camera (added to our holiday gift list). That multimeter/camera combo focuses quite closely, which is handy when picking out a specific component. It also has a macro lens, which can zoom up even more.

We’ve looked at — or, more accurately, through — IR cameras in the past. If you are on a tight budget and you have a 3D printer, you might try this method for thermal imaging, but it doesn’t use the printer the way you probably think.

youtube.com/embed/Z-g0RSvuFOI?…

hackaday.com/2024/11/07/review…

Si fa un gran parlare da qualche anno a questa parte di deep web e dark web e molti si sono chiesti: ma cosa si intende precisamente?

Il dark web è spesso associando ad attività losche e criminose che vengono svolte o transitano su Internet. Questo non è sempre vero, ma per poter comprendere come entrare nel dark web, dobbiamo prima conoscerlo e comprendere la sua storia e le sue motivazioni.

In questo articolo comprenderemo a fondo cosa è il deep web e il dark web e poi spiegheremo come poter accedere in sicurezza a quest’ultimo.

Siamo un po’ tutti abituati a iniziare le nostre navigazioni Internet partendo dal motore di ricerca. A prescindere da quale sia il preferito, il funzionamento è sempre più o meno lo stesso: noi poniamo una domanda (sotto forma di chiave di ricerca) e il portale ci risponde esponendoci una serie di risultati che secondo lui possono essere afferenti a quanto stiamo cercando. Ma vi siete mai chiesti cosa c’è oltre quei risultati che il motore ci propone?

Ovviamente, Internet non inizia e finisce in quei suggerimenti ma c’è molto, molto di più. Basti pensare che si calcola che Google, che è il motore di ricerca più potente e più usato, è in grado di indicizzare (e quindi rivelare) meno dell’un per cento di tutto il contenuto del web mondiale. Tutto quello che Google non vede, quindi, non è inesistente: è semplicemente invisibile, spesso intenzionalmente.

Ne parlammo anche diverso tempo fa con un video sul canale YouTube di RedHotCyber, ma oggi vogliamo raccontarvi, oltre cosa è il Deep Web, anche come accedervi in sicurezza.

Differenze tra deep web e dark web.

Prima di addentrarci e spiegare quello che si intende come Dark web e le Darknet, dobbiamo ricordare che tale termine prende vita nell’era di Arpanet, precisamente nel 1970, per identificare tutte quelle reti parallele alla rete Arpanet, oggi internet, che non potevano essere indicizzate dai motori di ricerca e che quindi risultavano nascoste e non di dominio pubblico.

Internet infatti, si divide in 3 livelli di profondità, e questa rappresentazione spesso viene rappresentata come un Iceberg alla deriva, che possiamo classificare nel seguente modo:

• Un primo livello è chiamato “Surface web” oppure “clear web”, ovvero il mondo scoperto o conosciuto, il mondo indicizzato che può essere accessibile a tutti come i social network, i siti web delle riviste online, i siti di e-commerce, insomma tutto quello che è possibile ricercare attraverso i motori di ricerca.
• Un secondo livello viene chiamato “deep web”. SI tratta di un ecosistema di risorse non indicizzate che di fato risultano inaccessibili, come ad esempio le intranet aziendali, i sistemi delle reti private delle aziende e delle università, i nuovi siti web che ancora non sono indicizzati dai motori di ricerca.

• Poi abbiamo un terzo livello nascosto, denominato “darknet” oppure “dark web”. Questo livello risulta irraggiungibile attraverso un normale browser Internet ma per accedervi occorrono software particolari e stiamo parlando della rete Onion e del client Tor, oppure di altre reti come I2P e Freenet per citarne alcune.

Il deep web

Ritornando quindi al concetto di iceberg: la punta, quella che emerge dall’acqua e sappiamo essere la parte visibile ma di minore dimensione, è il normale web “in chiaro” o “clear web”, che tutti noi possiamo raggiungere con una connessione senza particolari requisiti e che interroghiamo attraverso i motori di ricerca. Si parla quindi di pagine “indicizzate”.

Appena sotto il pelo dell’acqua c’è una parte di web che non si vede, che è appunto il deep web: si tratta di siti molto spesso perfettamente legittimi ma che per le loro peculiarità di realizzazione e contenuto non vengono catturati dai motori di ricerca, si dicono quindi “non indicizzati”. Come abbiamo detto, rientrano in questo caso le intranet aziendali, i sistemi delle reti private delle aziende e delle università, i nuovi siti web che ancora non sono indicizzati dai motori di ricerca.

Ovviamente tra questi ci sono anche i siti il cui contenuto è considerato illegale e per questo escluso dai risultati di ricerca del motore, oppure risorse che non vogliono essere indicizzate dai legittimi proprietari, ma in questo ultimo caso, basta conoscerne l’indirizzo e questi siti sono normalmente accessibili, senza accorgimenti particolari.

Il deep web, in definitiva, è l’internet che sfugge a Google e soci per scelta o limitazione tecnica. Può voler dire che c’è qualcosa da nascondere, ma non necessariamente.

Il dark web

L’ultima parte dell’iceberg, la più inaccessibile, è il dark web. I contenuti che viaggiano sul dark web, oltre a non essere indicizzati dai normali motori di ricerca, non possono nemmeno essere raggiunti direttamente conoscendone gli indirizzi. Per potervi accedere è necessario passare attraverso dei programmi che fanno da “ponte” tra l’internet in chiaro e il dark web.

Attraverso questi ponti si accede a delle reti particolari dette darknet, dove la più famosa è la rete Onion accessibile con il Browser Tor, su cui si trovano i siti del dark web.

Quando si parla di siti illegali è essenzialmente al dark web che ci si sta riferendo. È qui che avviene ogni tipo di compravendita (dalla droga, alle armi, fino ad arrivare ad esseri umani o organi), in maniera totalmente anonima pagando in bitcoin. Quando si parla di dark web si cita spesso l’emblematico caso SilkRoad. SilkRoad era un forum sul dark web in cui si poteva comprare veramente di tutto, tanto da essersi guadagnato il soprannome di “Amazon della droga”.

La sua proprietà fu fatta risalire al nickname Dread Pirate Roberts e l’FBI arrestò la persona che si riteneva operasse dietro questo pseudonimo. Poco tempo dopo, Dread Pirate Roberts ricomparve, facendo pensare che le identità a capo di Silk Road fossero più di una.

Come si presentava la home page di Silk Road

L’ultimo “pirata” fu identificato con Ross Ulbricht, un brillante studente universitario texano. In qualità di capo di SilkRoad, Ulbricht si era convinto di essere al di sopra della legge e di poter restare impunito. In più, sfruttava la sua popolarità per teorizzare un nuovo sistema economico e sociale più libero e privo di violenza e aggressività facendo proselitismo tra gli utenti. La sua identità però venne scoperta e alcuni degli stessi utenti iniziarono a ricattarlo minacciando di divulgarla. L’FBI riuscì ad arrestarlo quando provò ad assoldare dei killer per uccidere i suoi ricattatori, fu poi processato e condannato all’ergastolo.

Le darknet che costituiscono il dark web includono piccole reti peer-to-peer, friend-to-friend, nonché reti grandi e popolari come Tor, Freenet, I2P (Invisible Internet Project) e Riffle, gestite da organizzazioni e individui pubblici. Gli utenti del dark web si riferiscono al web normale come “Clearnet” a causa della sua natura non crittografata. Il dark web di Tor o onion land utilizza la tecnica di anonimizzazione del traffico con il codidetto onion routing, sotto il suffisso di dominio di primo livello della rete “.onion”.

Onion routing – routing a cipolla – è una tecnica per la comunicazione anonima su una rete di computer. In una rete onion, i messaggi sono “incapsulati” in livelli di crittografia, da pensare come analoghi agli strati di una cipolla. I dati crittografati vengono trasmessi attraverso una serie di nodi di rete chiamati Onion routers (i router della cipolla), ognuno dei quali “si stacca” da un singolo livello, scoprendo la destinazione successiva dei dati. Quando il livello finale viene decifrato, il messaggio arriva a destinazione. Il mittente rimane anonimo perché ogni intermediario (ogni nodo intermedio) conosce solo la posizione dei nodi immediatamente precedenti e successivi ad esso. Sebbene lo onion routing fornisca un alto livello di sicurezza e anonimato, esistono metodi per rompere l’anonimato di questa tecnica, uno di essi è la “timing analysis”.

Modello di anonimizzazione della rete Onion.

Si può scegliere di utilizzare il dark web per accedere a servizi e pagine a cui non si può accedere utilizzando i browser standard. Un motivo per utilizzare il dark web potrebbe essere quello di mantenere l’anonimato e ci sono molte ragioni per cui si potrebbe voler mantenere privata la propria identità online. Una di queste potrebbe essere perché si vuole esercitare il proprio diritto alla libertà di parola e il governo in cui si risiede non lo consente. La censura politica ed il bavaglio dei media sono tra i motivi per cui le persone cercano di utilizzare il dark web; il dark web è usato infatti anche per attività di WHISTLEBLOWING in forma anonima.

Infine, il dark web viene utilizzato per traffici illegali come la vendita di farmaci da prescrizione, droghe proibite come la cocaina e sostanze chimiche tossiche; i criminali usano il dark web anche per vendere armi legali e non. Proprio come le “altre sfere” del web, l’utilizzo del dark web può essere pericoloso, vediamo quindi delle precauzioni per proteggersi quando si “visita” il dark web.

• 
  
  1. Usare una Virtual Private Network (VPN);
  2. Fare attenzione a malware/virus (meglio non effettuare download o download Torrent);
  3. Usare un browser dedicato allo scopo (Tor Browser);
  4. Restare il più possibile anonimi (usando un OS, un email service e motori di ricerca appropriati);
  5. Familiarizzare/essere a conoscenza delle leggi del proprio governo;
  6. Disattivare ActiveX e Javascript in qualsiasi impostazioni di rete disponibile. Questi framework vengono notoriamente sfruttati dai cybercriminali per infiltrarsi. Se si vuole viaggiare per una rete che pullula di minacce, si deve evitare questo rischio;
  7. Usare un utente locale secondario senza privilegi di amministratore per tutte le attività quotidiane;
  8. Utilizzare sempre una versione aggiornata del client, ad esempio TOR.

  
  

Dalla cipolla …. all’aglio.

Abbiamo parlato di routing onion (cipolla) – Il routing garlic (aglio) è una variante del routing onion che crittografa più messaggi insieme per rendere più difficile per gli aggressori eseguire analisi del traffico e aumenta la velocità di trasferimento dei dati.

Michael J. Freedman della Princeton University ha definito “garlic routing” come un’estensione del routing onion, in cui più messaggi sono raggruppati insieme. Ha chiamato ogni messaggio un “bulbo”, mentre I2P li chiama “spicchi d’aglio”. Tutti i messaggi, ciascuno con le proprie istruzioni di consegna, sono esposti all’endpoint. Ciò consente il raggruppamento efficiente di un “blocco di risposta” di routing onion con il messaggio originale.

Il “routing dell’aglio” è uno dei fattori chiave che distingue I2P da Tor e da altre reti di privacy o crittografia.

Come entrare nel Dark web: le VPN

Per avere la massima protezione per entrare nel dark web, si deve utilizzare una rete privata virtuale (Virtual Private network), ovvero: “una rete che aiuta a proteggere i tuoi dati e a mantenere riservate le tue informazioni online”.

Quando si utilizza il browser Tor, è comunque possibile che il proprio traffico online venga monitorato. Finché l’ “altra parte” (lo spione) ha abbastanza tempo a disposizione, risorse sufficienti e le giuste competenze, può facilmente risalire a voi dalla vostra attività online.

Potrebbe persino essere divulgato il vostro indirizzo IP, il che può essere molto dannoso. Facendo funzionare una VPN in background mentre si utilizza il browser Tor, questi problemi sono evitabili. Poiché la vostra VPN crittografa il traffico, mantiene anche il vostro indirizzo IP nascosto in modo sicuro dalla sorveglianza del governo e dagli hacker anche nel caso ci fosse un data leak relativo alla traffico sulla rete Tor.

Come scegliere la VPN

Prendere in considerazione il pagamento per un servizio di rete privata virtuale. I servizi gratuiti di VPN, spesso guadagnano esponendovi ad annunci pubblicitari e vendendo i vostri dati sensibili. E’ anche vero per una VPN a pagamento in quanto il rischio zero non esiste, ma sicuramente partiamo più avvantaggiati a nostro favore.

Infatti, una VPN gratuita non è mai veramente gratuita …. e con hacker e truffatori che si infiltrano ogni giorno nei nodi Tor, il dark web non è il posto giusto per rischiare.

Un elenco di possibili scelte:

• 
  
  1. NordVPN (Panama con WireGuard)
  2. Surfshark (British Virgin Islands con WireGuard da Ottobre 2020)
  3. Private Internet Access (USA con WireGuard)
  4. VyprVPN (con WireGuard)
  5. CyberGhost
  6. ExpressVPN
  7. Ivacy
  8. Hide.me (con WireGuard)
  9. PureVPN
  10. Hidden24

  
  

NordVPN a quanto pare è la migliore VPN per Tor. Tale servizio ha una funzione inconfondibile: Onion over VPN. Ha tutti i vantaggi di un router Onion (Tor) combinato con la sicurezza aggiuntiva di un tunnel VPN. Questo metodo di connessione garantisce la protezione contro l’accesso non autorizzato da parte del internet provider o delle autorità. Il vostro ISP potrebbe visualizzare che state utilizzando Onion, senza rendersene conto. NordVPN vi protegge da tutte le terze parti e non monitora la vostra attività online: utilizzerete Internet in totale privacy. NordVPN è facile da usare, veloce e offre molti server in tutto il mondo.

• 
  
  • 5500+ server in 59 paesi
  • Sblocca Netflix e altri servizi di streaming
  • WireGuard per velocità elevate
  • 6 connessioni simultanee
  • Ha ricevuto un AUDIT indipendente per la cyber-sicurezza

  
  

Con sede a Panama e con una politica di no-log verificata, Nord è una buona scelta per molte ragioni. Grazie a NordLynx (basato su WireGuard), è la VPN più veloce in circolazione e offre una buona gamma di funzionalità tra cui lo split tunneling su Android e Windows.

ExpressVPN ha i propri server DNS che garantiscono la vostra privacy. Tale servizio non registra mai il vostro traffico Internet, quindi nessuno sarà in grado di identificarvi attraverso indirizzo IP o marca temporale. Nel momento quando effettuate dei pagamenti online, ExpressVPN vi aiuta a mantenere l’anonimato completo. Il servizio non fornisce le vostre informazioni a nessuna fonte governativa e non memorizza i registri del traffico in modo che i vostri dati non finiscono nelle mani sbagliate. Tutto ciò rende ExpressVPN una delle migliori VPN per il browser Tor.

CyberGhost VPN fornisce protezione contro le perdite DNS e il blocco di emergenza delle connessioni. Tutti i dati vengono crittografati utilizzando il protocollo di AES-256. CyberGhost VPN nasconde in modo affidabile il vostro indirizzo IP e rende anonimo il traffico Internet in uscita. Ciò che rende questo provider una delle migliori VPN per il Deep Web è il suo server NoSpy. Solo gli specialisti di CyberGhost hanno accesso ai server NoSpy, possono controllare e gestire tali server. Aiuta a ridurre significativamente i rischi di accesso esterno e di interferenza da parte di individui.

Surfshark ha un’interfaccia chiara e semplice e una ampia gamma di funzioni. Ha app ed estensioni che proteggono i dispositivi e i browser Web più diffusi e costa meno della maggior parte dei suoi concorrenti, nonostante consenta un numero illimitato di connessioni.

• 
  
  1. 3200+ server in 63 paesi
  2. Sblocca Netflix e altri servizi di streaming
  3. Kill switch
  4. Connessioni simultanee illimitate
  5. Autenticazione a due fattori
  6. Spoofing GPS (su Android)

  
  

Con sede nelle Isole Vergini britanniche con una rigorosa politica di non registrazione e server MultiHop per una maggiore sicurezza e privacy, è un’ottima scelta, anche per navigazione in dark nets.

Un possibile criterio di scelta potrebbe essere la possibilità di usare una VPN con il protocollo WireGuard.

VPN: cos’è WireGuard?

WireGuard è un protocollo di comunicazione e un software gratuito open source che implementa reti private virtuali (VPN) crittografate ed è stato progettato con gli obiettivi di facilità d’uso, prestazioni ad alta velocità e bassa superficie di attacco. Il suo scopo è garantire prestazioni migliori e un maggiore risparmio energetico rispetto ai protocolli di tunneling classici delle VPN (IPsec e OpenVPN). Il protocollo WireGuard passa il traffico su UDP.

Il protocollo WireGuard utilizza quanto segue:

• 
  
  • Curve25519 per scambio chiavi (tecnologia a curve ellittiche)
  • ChaCha20 per la crittografia simmetrica
  • Poly1305 per i codici di autenticazione dei messaggi
  • SipHash per chiavi hashtable
  • BLAKE2s per la funzione di hash crittografico
  • livello di trasporto UDP senza connessione

  
  

3. Fare attenzione ai malware

Il software dannoso si trova ovunque, anche nel dark web. Un ottimo modo per garantire la vostra sicurezza durante la navigazione online è installare un programma anti-malware ed un antivirus, da tenere costantemente aggiornati. Evitare comunque di effettuare download di files o download tipo Torrent.

4. Usare un browser dedicato

Si deve avere un browser dedicato se intendi utilizzare il dark web (Tor browser per siti .onion). L’utilizzo di TOR browser è molto simile all’utilizzo del browser standard, ma la differenza è che permette di raggiungere i siti Web esistenti nel dark web. Durante l’utilizzo del browser, il modo migliore per rimanere al sicuro è divulgare il minor numero possibile di informazioni su di voi.

Astenetevi da ricerche casuali mentre siete online ed evitate di fornire informazioni personali anche quando un sito Web ve lo richieda. Quando notate collegamenti sospetti, non fate clic su di essi: queste misure garantiranno che ci siano pochissime tracce della vostra presenza sul dark web online.

5. Rimanere anonimi (OS, eMail services e search engines)

Assicuratevi di mantenere private le vostre informazioni private in ogni momento. Non si può mai essere troppo attenti. Prendere le dovute precauzioni prima e dopo aver aperto il browser Tor vi renderà meno vulnerabile agli hacker. Prima di entrare nel dark web, chiudete tutte le app non essenziali, ad esempio i password manager.

Inoltre, interrompete l’esecuzione dei servizi non necessari sul vostro dispositivo e coprite la webcam con un pezzo di nastro o carta. È prevalente per gli hacker accedere alle webcam degli utenti senza che gli individui nemmeno se ne accorgano. Ricordate anche di disattivare la vostra posizione, in quanto può essere utilizzata per ottenere il vostro indirizzo IP.

5.1. OS

I migliori sistemi operativi per TOR … ci si potrebbe chiedere, cosa rende questi sistemi operativi diversi e adatti a TOR? Se volete usare TOR, siete chiaramente attenti alla privacy. Anche se non siete coinvolti in alcuna attività nel DarkWeb, TOR è ancora uno dei modi migliori per navigare sul web oscuro, ma non è sufficiente.

I sistemi operativi elencati di seguito, a differenza di Windows che fondamentalmente è una sorta di “keylogger sys op”, non vi tracciano o vi seguono. In effetti, si impegnano a eliminare tutte le tracce che potreste lasciare sul sistema.

La maggior parte di questi instrada automaticamente il vostro traffico tramite la rete Onion, diventando automaticamente il migliore amico di Tor! Anche questi nella maggior parte dei casi non hanno bisogno di essere “installati”. Piuttosto, possono essere eseguiti da un disco live (dischi USB/CD). Una volta rimosso il dispositivo, vengono rimosse anche tutte le tracce dell’utilizzo del sistema operativo e delle attività svolte.

Questi hanno anche le proprie app rispettose della privacy per la messaggistica, l’invio di e-mail, l’archiviazione di cripto valute e molto altro. Quindi, nel complesso, forniscono un ambiente più sicuro. L’isolamento e la compartimentazione sono alcune delle funzionalità comuni a tutti questi sistemi operativi:

• 
  
  1. Whonix
  2. Tails (distribuzione ufficiale di Tor project)
  3. QubesOS, consigliato da Edward Snowden
  4. Kali Linux
  5. TrueOS (discontinued .. FreeBSD based)
  6. Kodachi

  
  

5.2. Email

È il momento di registrarsi per un indirizzo email non rintracciabile. Gmail è fuori questione: se avrete bisogno di un indirizzo email ecco alcuni che potreste prendere in considerazione:

• 
  
  • ProtonMail
  • TORbox
  • Bitmessage
  • Lelantos (servizio a pagamento)
  • Mail2Tor

  
  

Si noti che questi servizi vengono forniti anche con domini .onion, a cui è necessario accedere utilizzando il browser TOR. Si ricorda che browser regolari come Chrome e Firefox non funzionano verso domini .onion.

5.3. Search engines

Di seguito riportiamo una carrellata di tutti i motori di ricerca del dark web che possono essere utilizzati per “orientarsi” nella vastità della superficie.

• 
  
  • Ahmia.fi – Motore di ricerca Clearnet per i servizi Tor Hidden
  • DuckDuckGo – Un servizio nascosto che cerca Clearnet.
  • Candle – Candle è un motore di ricerca per l’unico web oscuro e funziona fondamentalmente come Google, solo non lontanamente utile. Il dark web semplicemente non è progettato per essere organizzato e indicizzato in modo ordinato. Lo scopo dei servizi web più oscuri è quello di rimanere nascosti, tranne che per un gruppo selezionato di persone che sono “al corrente”. Per questo la candela va vista come uno strumento minore, una piccola candela in un corridoio lungo e buio.
  • QUO – QUO è un motore di ricerca full-text del dark web progettato per creare un indice continuamente aggiornato di pagine onion. QUO ti consente di esplorare il dark web in modo rapido e anonimo, senza log, cookie e JavaScript.
  • SearX – Searx è un altro motore di ricerca che può essere utilizzato sia sul normale che sul dark web. Il vantaggio di SearX è che puoi rendere le tue ricerche incredibilmente dettagliate. Puoi cercare file, immagini, mappe, musica, notizie, scienza, pubblicazioni sui social media, video e molto altro. Quindi, se stai cercando qualcosa di incredibilmente dettagliato, SearX è il motore di ricerca da utilizzare.

  
  

• 
  
  • Torlinks – TorLinks è un sostituto di The Hidden Wiki.
  • Torch – Un altro dei migliori motori di ricerca e link per il Deep Web è Torch, che è in funzione da quasi vent’anni e sembra molto simile a Google ma è molto più complesso. Il grande vantaggio di Torch è che ti aiuterà a trovare tutto perché, in totale, ha più di un milione di pagine indicizzate nel suo database.
  • The Hidden Wiki – Una copia del wiki nascosto “The hidden Wiki”.
  • Not Evil – Un motore di ricerca Tor che indicizza solo i servizi nascosti di Tor. Usando la barra di ricerca di Not Evil puoi trovare tutto quello che vuoi. È uno dei migliori motori di ricerca per il Deep Web e troverai pagine utili di ogni tipo, non ha pubblicità ed è molto facile da usare con un’interfaccia molto semplice, molto semplice e molto pulita.
  • Grams – Per il mercato nero, Grams è uno dei migliori collegamenti per il Deep Web se vuoi cercare siti di acquisto e vendita. È specifico per questo tipo di contenuto.
  • Kilos – Il motore di ricerca Grams è offline da tempo e il suo presunto creatore è finito in carcere con l’accusa di riciclaggio di denaro tramite criptovalute. Ma il suo successore “Kilos” è disponibile da un po’ di tempo.
  • HD WIKI Sito che mira a diventare Hidden Wiki 2.0 con molti link funzionanti e un design accattivante.
  • OnionList – Un’altra directory con lo stesso principio della wiki nascosta e diversi link attivi.

  
  

• 
  
  • OnionDir – Interessante Directory con deep web links divisi in categorie facili da usare e online da diversi anni.
  • Onion Links – Un’altra interessante Directory con link nel deep web divisi per categorie.
  • Other Uncensored Wiki – Altra Wikipedia non censurata del Dark Network non è più chiaro quale sia quella vera, molti link funzionano comunque prestando sempre attenzione ai mercati.
  • Under Directory – Un’altra directory con siti web oscuri divisi per categorie.
  • Matrix Directory – Directory con molto interessante di link al deep/dark web e avvisi di truffa scam.

  
  

6. Familiarizzare con le leggi vigenti

L’accesso al dark web non è classificato come illegale nella maggior parte degli stati. Tuttavia, avere il possesso di determinate cose e tenere “certi comportamenti” lo è. Stati diversi hanno leggi diverse che regolano l’attività del dark web e dovreste avere familiarità con le vostre leggi statali o federali che disciplinano le attività nel dark web. Familiarizzare con la legge vi consentirà di evitare attività etichettate come illegali.

Internet è una grande risorsa e offre soluzioni a vari problemi e domande. Come tutto il resto, Internet presenta alcuni problemi che puoi facilmente evitare e da cui puoi proteggerti. Avere le conoscenze di cui sopra ti aiuterà a navigare in Internet in sicurezza.

Conclusioni

Stay safe, “wear” a VPN with TOR browser.

Punto di estensione/approfondimento

Timing analysis, cos’è e come opporsi ad essa
Best Linux distros for privacy and security in 2021
WireGuard usato su Debian – Raspberry Pi – Android – iOS

L'articolo Deep Web e Dark Web: Alla scoperta della guida definitiva proviene da il blog della sicurezza informatica.

Google ha avvertito che l’ultima vulnerabilità CVE-2024-43093 nel sistema operativo Android viene già utilizzata attivamente dagli hacker.

Il CVE-2024-43093 è un problema di escalation di privilegi nel componente Android Framework, che potrebbe portare all’accesso non autorizzato alle directory Android/data, Android/obb, Android/sandbox e alle relative sottodirectory, riferiscono gli sviluppatori .

Al momento non ci sono dettagli su come e in quali circostanze sia stata sfruttata la vulnerabilità negli attacchi. Ma nel suo bollettino sulla sicurezza, Google riconosce di aver trovato indicazioni secondo cui la vulnerabilità potrebbe essere stata “soggetta a sfruttamento limitato e mirato”.

Il CVE-2024-43093 è la seconda vulnerabilità sfruttata attivamente nel framework Android, dopo il CVE-2024-32896, a cui Google ha applicato una patch a giugno e settembre 2024. Inizialmente questo problema è stato risolto solo per i dispositivi Pixel, ma in seguito l’azienda ha confermato che il bug riguarda anche altri dispositivi Android.

Google ha inoltre confermato ancora una volta che anche il bug CVE-2024-43047 recentemente corretto nei chipset Qualcomm è sotto attacco attivo.

Ricordiamo che a settembre è stato riferito che lo sfruttamento riuscito di questo bug nel processore di segnale digitale (DSP) può causare danni alle informazioni in memoria. Quindi i rappresentanti di Qualcomm hanno anche affermato che gli hacker avevano già approfittato del problema.

L'articolo Falla critica su Android sotto attacco attivo che minaccia milioni di dispositivi proviene da il blog della sicurezza informatica.

Di Adam Meyers, Head of Counter Adversary Operations CrowdStrike

CrowdStrike collabora spesso con le agenzie di sicurezza per identificare, tracciare e fermare le minacce informatiche. Di recente, abbiamo collaborato con partner delle forze dell’ordine all’interno della National Crime Agency del Regno Unito con l’obiettivo di fermare l’azione fraudolenta di un membro senior di INDRIK SPIDER, affiliato anche all’operazione di ransomware-as-a-service (RaaS) di LockBit di BITWISE SPIDER.

CrowdStrike ha fornito informazioni di threat intelligence sugli avversari e sulle loro motivazioni, affinché potessero essere presi provvedimenti. Di seguito approfondiamo i dettagli e forniamo un’analisi approfondita sugli attori delle minacce coinvolti nell’operazione.

A partire dal 1° ottobre 2024 una coalizione internazionale delle forze dell’ordine guidata dalla National Crime Agency (NCA) del Regno Unito ha rilanciato online il sito di fuga di dati (DLS) dedicato a LockBit di BITWISE SPIDER con nove sezioni che documentano recenti arresti, nuove scoperte e altre attività delle forze dell’ordine. La coalizione ha annunciato una nuova incriminazione contro Aleksandr Ryzhenkov (alias Beverley, Corbyn_Dallas, G, Guester, Kotosel), un affiliato di LockBit RaaS di BITWISE SPIDER e membro senior di INDRIK SPIDER.

La coalizione ha anche annunciato nuove sanzioni contro membri di INDRIK SPIDER già identificati e contro un ex ufficiale del Servizio di Sicurezza Federale della Russia (FSB), accusato di aver aiutato il gruppo. Le forze dell’ordine hanno dichiarato che prima del 2019 i servizi di intelligence russi avevano incaricato INDRIK SPIDER di condurre operazioni informatiche offensive non specificate contro i paesi membri della NATO, rafforzando così valutazioni precedenti riguardo al probabile utilizzo da parte della Russia di criminali informatici per sostenere operazioni statali.

Il 30 settembre 2024 il sito di fuga di dati (DLS) di BITWISE SPIDER, monitorato dalle forze dell’ordine del Regno Unito e degli Stati Uniti fin dal suo sequestro avvenuto a febbraio 2024, ha mostrato otto nuovi pop up che visualizzano un conto alla rovescia di 30 ore e uno che indicava un conto alla rovescia di circa 7 giorni e 16 ore alla chiusura del sito di LockBit. Il 1° ottobre 2024 i pop up di 30 ore hanno rivelato diversi nuovi eventi e scoperte riguardanti l’Operazione Cronos della NCA, che ha interrotto per la prima volta BITWISE SPIDER a febbraio 2024.

Alcune delle nuove scoperte riguardano l’avversario eCrime INDRIK SPIDER e il ruolo che uno dei suoi operatori, Aleksandr Ryzhenkov, ha svolto come affiliato di BITWISE SPIDER. Le scoperte dettagliano anche le sanzioni rinnovate contro i membri di INDRIK SPIDER e forniscono ulteriori informazioni sulla relazione dell’avversario con i servizi di sicurezza russi.

CrowdStrike Counter Adversary Operations monitora INDRIK SPIDER (alias Evil Corp) fin dal 2010. Durante il suo periodo di attività, l’avversario ha sviluppato il trojan bancario Dridex e diverse varianti di ransomware, tra cui BitPaymer e WastedLocker.

Incriminazione del membro di INDRIK SPIDER Aleksandr Ryzhenkov

Il 1° ottobre 2024 il Dipartimento di Giustizia degli Stati Uniti ha reso pubblica un’incriminazione contro Aleksandr Ryzhenkov, membro senior di INDRIK SPIDER almeno dal 2013, per il suo coinvolgimento nel ransomware BitPaymer di INDRIK SPIDER. Insieme a Maksim Yakubets e Igor Turashev, entrambi precedentemente incriminati dagli Stati Uniti nel 2019, Ryzhenkov era membro del gruppo di eCrime ormai defunto The Business Club, che operava con il malware GameOverZeus.

Poco dopo che le forze dell’ordine hanno smantellato GameOverZeus nel 2014, Yakubets, Turashev e Ryzhenkov hanno formato Evil Corp e sviluppato le famiglie di malware Dridex e BitPaymer.

Ryzhenkov era probabilmente responsabile delle operazioni di ransomware di INDRIK SPIDER, compreso BitPaymer. Inoltre, il fratello di Ryzhenkov, Sergey Ryzhenkov — che probabilmente si nasconde sotto il nome di Epoch — è stato anche collegato a BitPaymer. Si pensa che, operando per conto di INDRIK SPIDER, Aleksandr Ryzhenkov fosse anche un affiliato di BITWISE SPIDER, operante attraverso lo pseudonimo Beverley.

Connessioni tra BITWISE SPIDER e INDRIK SPIDER

Le nuove informazioni pubblicate sul DLS di LockBit sequestrato dalla NCA e dall’FBI hanno confermato che il membro di INDRIK SPIDER Aleksandr Ryzhenkov operava anche come affiliato di BITWISE SPIDER, sotto lo pseudonimo di Beverley. CrowdStrike Counter Adversary Operations ha osservato per la prima volta una connessione tra BITWISE SPIDER e INDRIK SPIDER già nell’ottobre 2022.

Questa attività è proseguita per tutto il 2023, quando CrowdStrike Counter Adversary Operations ha osservato INDRIK SPIDER diffondere il ransomware LockBit ad ulteriori entità e condurre probabili attività pre-ransomware.

Nel corso del 2024 INDRIK SPIDER ha ottenuto l’accesso iniziale a più entità attraverso il servizio di diffusione di malware Fake Browser Update (FBU). L’ultima volta che l’avversario è stato visto distribuire LockBit è stato durante un incidente avvenuto nel secondo trimestre del 2024.

Ex ufficiale del FSB sanzionato per i suoi legami con INDRIK SPIDER

Tra gli individui sanzionati dalla coalizione vi è Eduard Benderskiy (Bendersky), un ex ufficiale del FSB e suocero del leader di INDRIK SPIDER, Maksim Yakubets. La nota associazione di Benderskiy a INDRIK SPIDER è probabilmente iniziata con il matrimonio di Yakubets con la figlia di Benderskiy, nel 2017.

Benderskiy, che gestisce diverse società di sicurezza private e un’associazione benefica per ufficiali del FSB, mantiene stretti legami con la Russia. I ricercatori investigativi hanno direttamente collegato Benderskiy all’assassinio orchestrato dall’FSB di un dissidente ceceno in Germania nel 2019 da parte di Vadim Krasikov; questo legame rafforza ulteriormente i legami di Benderskiy con le operazioni di stato in Russia.

Secondo i rapporti delle forze dell’ordine, Benderskiy ha aiutato a facilitare ulteriori relazioni tra INDRIK SPIDER e i servizi di intelligence russi. I rapporti specificano che Benderskiy ha usato la sua influenza per proteggere il gruppo dalle autorità russe dopo le incriminazioni e sanzioni del 2019 degli Stati Uniti contro i membri di INDRIK SPIDER.

È degno di nota che i rapporti affermano anche che Maksim Yakubets abbia cercato di sviluppare relazioni con il Servizio di Intelligence Estera della Russia (SVR) e con il GRU (conosciuto anche come GU, la Direzione Principale dello Stato Maggiore delle Forze Armate della Federazione Russa). Altri membri di INDRIK SPIDER avrebbero anche “personali legami con lo Stato russo” indipendenti dalla relazione tra Benderskiy e Yakubets.

Secondo i rapporti del 2024, prima del 2019 i servizi di intelligence russi avrebbero incaricato INDRIK SPIDER di condurre “attacchi informatici e operazioni di spionaggio” contro i paesi membri della NATO. Il rapporto non ha fornito ulteriori informazioni su queste operazioni di intrusione.

Nel 2019 le autorità statunitensi hanno affermato che Yakubets aveva mantenuto una relazione con l’FSB almeno dal 2017 e che a INDRIK SPIDER era stato affidato il compito di condurre “operazioni abilitate dal cyberspazio” per conto del governo russo, in linea con le valutazioni di CrowdStrike Counter Adversary Operations riguardo l’uso da parte dell’intelligence russa di criminali informatici nazionali per supportare operazioni informatiche offensive.

Lista completa delle sanzioni e incriminazioni

L’annuncio sul LockBit DLS ha coinciso con una serie di nuove sanzioni contro i membri di INDRIK SPIDER da parte dei governi del Regno Unito, degli Stati Uniti e dell’Australia (Tabella 1).

Table 1. Lista originale dei singoli individui sanzionati da Stati Uniti, Regno Unito e Australia

1. https[:]//www.gov[.]uk/government/news/uk-sanctions-members-of-notorious-evil-corp-cyber-crime-gang-after-lammy-calls-out-putins-mafia-state
2. https[:]//home.treasury[.]gov/news/press-releases/jy2623
3. https[:]//www.justice[.]gov/opa/pr/russian-national-indicted-series-ransomware-attacks
4. https[:]//www[.]justice[.]gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware
5. Ryzhenkov likely also used the monikers MrAkobek, Lizardking, and j.d.m0rr1son (exact spelling of moniker may vary) and may have shared lizardking_sup with another unidentified threat actor.
6. https[:]//www[.]bellingcat[.]com/news/uk-and-europe/2020/02/17/v-like-vympel-fsbs-secretive-department-v-behind-assassination-of-zelimkhan-khangoshvili/
7. https[:]//home[.]treasury[.]gov/news/press-releases/sm845 || https[:]//www[.]nationalcrimeagency[.]gov[.]uk/who-we-are/publications/732-evil-corp-behind-the-screens/file

L'articolo CrowdStrike e NCA Fermano INDRIK SPIDER: Incriminato il Leader del Gruppo RaaS proviene da il blog della sicurezza informatica.

[Matthias] bought cheap clip leads online and, wisely, decided to check them. We’ve had the same experience that he’s had. Sometimes, these cheap leads are crimped and don’t make good contact. However, you can usually solder them and completely fix them. Not this time, however, as you can see in the video below.

The resistance for the leads was a bit on the high side, which is usually a sure sign of this problem. But soldering didn’t really make a big difference. A homemade clip lead, for example, read under 20 milliohms, but a test lead from the new batch read about 260 milliohms even after being soldered.

A thermal camera indicated the problem was actually the wire. At first, he thought the wire was just very thin. While it was thin, that wasn’t the real problem. The wire looked normal enough, but sanding the wire showed that it might be only copper-coated. Turns out, a magnet would grip the clip leads meaning they were iron wires coated with copper.

We were amazed at how many leads he was able to find with iron in them, primarily those with clips on at least one end. Oddly, mouse cables were also magnetic.

So, the lesson is to test the resistance and pass a magnet over those wires. Depending on your application, a few hundred milliohms might not matter. But you should at least know that some of your clip leads may have an order-of-magnitude difference in conductivity.

If you need an easy milliohmeter, there are plenty of options. You can even just haywire something up on a breadboard, or — like in the video — use a 1A current and measure millivolts.

youtube.com/embed/15sMogK3vTI?…

hackaday.com/2024/11/06/check-…

Schneider Electric ha confermato che la sua piattaforma di sviluppo è stata violata. Lo scorso fine settimana, un hacker con il nickname Grep ha dichiarato di aver compromesso Schneider Electric e di aver rubato più di 40 GB di dati dal server JIRA dell’azienda.

Grep ha prima segnalato l’hacking a X (ex Twitter), utilizzando credenziali precedentemente trapelate.

L’aggressore afferma di aver utilizzato l’API REST MiniOrange per raccogliere 400.000 righe di dati utente, inclusi 75.000 indirizzi e-mail univoci, nonché i nomi completi di dipendenti e clienti di Schneider Electric.

In un forum di hacker sulla darknet, Grep scherza dicendo che chiede 125.000 dollari “in baguette” per la non divulgazione di informazioni rubate (dopo tutto, Schneider Electric è un’azienda francese), e condivide anche i dettagli dell’attacco, affermando che “i dati critici è stato compromesso, inclusi progetti, numeri e plugin, nonché più di 400.000 righe di dati utente, per un totale di oltre 40 GB di dati compressi.”

Grep ha detto ai giornalisti di aver recentemente creato un nuovo gruppo di hacker, International Contract Agency (ICA), prendendo il nome dalla serie di giochi Hitman. Secondo lui, il gruppo non estorce denaro alle aziende che attacca. Ma se entro 48 ore l’azienda colpita non ammette pubblicamente di essere stata compromessa, gli hacker minacciano di “far trapelare” tutti i dati rubati.

I rappresentanti di Schneider Electric hanno già confermato l’hacking. Il tempo dirà se Grep continuerà a far trapelare i dati rubati e se il gruppo tenterà di venderli.

“Schneider Electric sta indagando su un incidente informatico che comporta l’accesso non autorizzato a una delle nostre piattaforme interne di monitoraggio dei progetti, che è ospitata in un ambiente isolato”, hanno riferito a Bleeping Computer i rappresentanti dell’azienda. “Il nostro team internazionale di risposta agli incidenti è stato immediatamente mobilitato per rispondere. I prodotti e i servizi Schneider Electric non sono stati interessati.”

L'articolo Schneider Electric Ammette la Violazione! Pagherà 125.000 dollari in Baguette per i 40GB? proviene da il blog della sicurezza informatica.

Credit: Space Lab
We have seen a recent surge of interest in whether it’s possible to grow potatoes and other plants in Martian soil, but what is the likelihood that a future (manned) lunar base could do something similar? To that end [Space Lab] is developing the LEAF project that will be part of NASA’s upcoming Artemis III lunar mission. This mission would be the first to have Americans return to the Moon by about 2028, using the somewhat convoluted multi-system SLS-Starship-Lunar Gateway trifecta. The LEAF (Lunar Effects on Agricultural Flora) science module will feature three types of plants (rape (Brassica Rapa), duckweed and cress (Arabidopsis thaliana) ) in an isolated atmosphere.

The main goal of this project is to find out how the plants are affected by the lunar gravity, radiation and light levels at the landing site at the south pole. This would be the equivalent of a hydroponics setup in a lunar base. After about a week of lunar surface time the growth chamber will be split up into two: one returning back to Earth for examination and the other remains on the surface to observe their long-term health until they perish from cold or other causes.

This is not the first time that growing plants on the lunar surface has been attempted, with China’s Chang’e 4 mission from 2019. The lander’s Lunar Micro Ecosystem featured a range of seeds as well, which reportedly successfully sprouted, but the project was terminated after 9 days instead of the planned 100 due to issues with heating the biosphere during the brutal -52°C lunar night. Hopefully LEAF can avoid this kind of scenario when it eventually is deployed on the Moon.

hackaday.com/2024/11/06/leaf-m…

We say this with the greatest respect, but [Joel] — your exercise routine is horrible! Kudos for getting up and doing something, but 108 trips up and down the stairs? That sounds like torture, not exercise. Even [Joel] admits that it’s so boring that he loses count, and while we’d bet that he isn’t likely to restart the routine when that happens, it’s still annoying enough that he built this clever little lap counter to automate the task.

We kid, of course; any exercise is better than no exercise, and the stairs offer few excuses for skipping the daily workout. To bust the boredom problem, [Joel] toyed with a couple of ideas for toting up his laps before landing on a beam-break optical system with sensors at the top and the bottom of the stairs. Worried about the potential for false triggering by swinging arms and legs, he searched for ideas for bounceless switch circuits in the old “Engineer’s Notebook” by [Forrest Mims] and found a circuit close enough to modify for his needs. Each sensor setup has a high-output red LED and a phototransistor on one side of the stairwell, and a retroreflector on the opposite wall. Breaking the beam switches off the LED on that sensor and switches the other one on, to save on battery power.

The sensor’s flips and flops are counted and displayed on a three-digit seven-segment LED; [Joel] offers no detail on the counter itself, but with [Mims] as his muse, we suspect it’s something like the three-digit BCD counter circuit a few pages on from the bounceless switch circuit. The lap counter is shown in action in the brief video below.

youtube.com/embed/aWRN3UjRsD8?…

hackaday.com/2024/11/06/clever…

Walking around the alley at Hackaday Supercon 2024, we noticed an interesting project was getting quite a bit of attention, so we got nearer for a close-up. The ‘Circuit Graver’ by [Zach Fredin] is an unconventional PCB milling machine, utilizing many 3D printed parts, the familiar bed-slinger style Cartesian bot layout and a unique cutting head. The cutting tool, which started life as a tungsten carbide lathe tool, is held on a rotary (‘R’) axis but can also move vertically via a flexure-loaded carriage driven by a 13 kg servo motor.

The stocky flexure took a lot of iteration, as the build logs will show. Despite a wild goose chase attempting to measure the cutting force, a complete machine solution was found by simply making everything stiff enough to prevent the tool from chattering across the surface of the FR4 blank. Controlling and maintaining the rake angle was a critical parameter here. [Zach] actually took an additional step, which we likely wouldn’t have thought of, to have some copper blanks pre-fabricated to the required size and finished with an ENIG coating. It’s definitely a smart move!

To allow the production of PCB-class feature sizes compatible with a traditional PCB router, the cutting tool was sharpened to a much smaller point than would be used in a lathe using a stone. This reduced the point size sufficiently to allow feature sizes down to 4 mils, or at least that’s what initial characterization implied was viable. As you can see from the build logs, [Zach] has achieved a repeatable enough process to allow building a simple circuit using an SMT 74HC595 and some 0402 LEDs to create an SAO for this year’s Supercon badge. Neat stuff!

We see a fair few PCB mills, some 3D printed, and some not. Here’s a nice one that fits in that former category. Milling PCBs is quite a good solution for the rapid prototyping of electronics. Here’s a guide about that.

youtube.com/embed/GmnwfgNjpVQ?…

hackaday.com/2024/11/06/rapid-…

This week, Jonathan Bennett and Randal Schwartz chat with Daniel Stenberg about curl! How many curl installs are there?! What’s the deal with CVEs? How has curl managed to not break its ABI for 18 years straight? And how did Daniel turn all this into a career instead of just a hobby? Watch to find out!

• daniel.haxx.se/
• curl.se/

youtube.com/embed/HzHQ-_7TpVE?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

hackaday.com/2024/11/06/floss-…

Humans first visited the Moon in 1969. The last time we went was 1972, over 50 years ago. Back then, astronauts in the Apollo program made their journeys in spacecraft that relied on remarkably basic electronics that are totally unsophisticated compared to what you might find in an expensive blender or fridge these days. Core among them was the Apollo Guidance Computer, charged with keeping the craft on target as it travelled to its destination and back again.

Marc Verdiell, also known as CuriousMarc, is a bit of a dab hand at restoring old vintage electronics. Thus, when it came time to restore one of these rare and storied guidance computers, he was ready and willing to take on the task. Even better, he came to the 2023 Hackaday Supercon to tell us how it all went down!

Restoration

youtube.com/embed/Ky9aYtN3qT4?…

You might have heard whispers of this effort before, or seen some of our prior coverage. Indeed, the effort to resurrect this Apollo Guidance Computer (AGC) began in earnest back in late 2018. This particular example of the AGC was found in an electronics recycler in 1976, and the plan was to restore it prior to the 50th anniversary of the first Moon landing in 1969. Marc worked with Carl Claunch, Ken Shirriff, and Mike Stewart on the project, and documented much of it on his YouTube channel under the name [CuriousMarc].

As Marc explains, Apollo actually had four main computers. There was the Launch Vehicle Digital Computer (LVDC) which was charged with steering the Saturn V from launch, along with the Flight Control Computer which was actually an analog machine. There were then two identical Apollo Guidance Computers (AGC)—one was in the Apollo Command Module (Apollo CM), and one was in the Lunar Excursion Module (LEM). There was also the Abort Guidance System for handling any situation where things got out of hand. With the aid of old NASA diagrams, Marc shows us where the AGC lived in the Command Module and the LEM.
The AGC pictured alongside the DSKY.
The Apollo program marked the first time humans had trusted the piloting a spacecraft or aircraft to a computer system. The AGC was designed by MIT, built by Raytheon, and it weighed 70 pounds and drew 50 watts. While it looks bulky and heavy by today’s standards, it was wildly compact and efficient by 1960s standards. The interface for the AGC was the DSKY—short for “Display and Keyboard.” It’s how the astronauts controlled and interacted with the AGC during the mission. The AGC was absolutely mission critical. In the words of NASA engineer Dan Lickly, ‘The AGC did everything.” It was responsible for orienting the spacecraft, controlling rocket burns and guiding the craft into orbit, and for handling the landing of the lunar module as well as re-entry into the Earth’s atmosphere.
The AGC was built with a highly modular design.
Marc tells us how one example of the Apollo Guidance System ended up at an electronics scrapper in 1975, by order of one of NASA’s engineers. It soon ended up in the hands of hacker Jimmie Loocke, who got his hands on a full two tons of Apollo program hardware. Years later, one Mike Stewart reached out to Jimmie, hoping to look at a real AGC and take some measurements for the sake of working on a replica. When this was happening, Jimmie in turn asked if the device could be powered on, and eventually a team was assembled to try and make that happen. The first attempt happened in a Houston hotel room in October 2018, and the project took off from there.

The talk includes tons of glorious internal shots of the AGC, serial number RAY 14, which was built for an engineering test series. The AGC was assembled from stacks of neatly-arranged modules full of integrated circuits, all connected through an elegantly wire-wrapped backplane. In fact, this was one of the earliest computers that relied on integrated circuits. All of these were dual 3-input NOR gates or analog amplifier ICs. As non-flight hardware, most of the modules in this AGC weren’t potted, which had the benefit of making them easier to work on. However, two of the modules for the core memory did have potting which would make them harder to work on.
Wire-wrap construction was considered highly reliable—critical for human space missions.
Repairing and restoring the AGC was aided by official schematics, so the team knew what they were working with. Modules were tested, and the core memory—essentially the RAM—was found bad. There was also no core rope memory—essentially the ROM for the AGC which stored the program. A rope memory emulator from Raytheon was used instead for this engineering test article. This was for ease of development, as it allowed changing the stored program more easily than rewiring a core rope memory device. However, the Raytheon emulator device was undocumented, which took some reverse engineering work to figure out. Still, powering up the device with no RAM or ROM was a positive experience—the AGC still tried to boot and there were some minor signs of life.

The rest of the talk outlines how the AGC was brought fully back to life. The team improvised an FPGA memory emulator, X-rayed failed components, and built replicas of things they couldn’t replace, all in service of the final goal. Sneaky hacks were used to get bits and pieces functional again against the ods.Even connectors had to be remade from scratch since the AGC used long-forgotten standards that are no longer in use. The fact that Marc works for connector supplier Samtec proved particularly useful in this case. Prepare to choke on your beverage when he explains how much that cost.
The team were able to show their restoration work to Eldon Hall, the engineer who led the development of the Apollo Guidance Computer (AGC).
We won’t spoil the whole journey here, because Marc’s talk is worth watching from start to finish. There are plenty of twists and turns, and all along, you’re waiting for that ultimate delight—the joy every hacker knows when the beleagured machine finally roars into life. Never mind the wonderful heartwarming moments at the end.

It’s simply wonderful to see a dedicate team bring this storied hardware back to life—and even better to see them flying simulator missions with the real AGC hardware doing its thing. It’s a fantastic restoration effort and one that was documented in intimate detail, and it’s joyous that we get to see everything that went into making this happen.

hackaday.com/2024/11/06/superc…

Nella attività di ricognizione delle underground svolte da DarkLab, il gruppo specializzato in Cyber Threat Intelligence (CTI) di Red Hot Cyber, abbiamo rilevato che nella giornata di ieri è apparso su un forum underground russo un annuncio allarmante: un exploit zero-click 0day per Windows, con privilegi di escalation locale (LPE, Local Privilege Escalation), è in vendita.

Questo tipo di exploit, caratterizzato da un accesso senza alcuna interazione da parte dell’utente, rappresenta una minaccia significativa, in quanto permette a un attaccante di ottenere il controllo di un sistema target semplicemente sfruttando la vulnerabilità, senza che la vittima compia alcuna azione avendo avuto accesso alla macchina con utenze con bassi privilegi.

Dettagli dell’Offerta e Specifiche

• Prezzo di Partenza: 200.000 dollari
• Prezzo di Acquisto Immediato (Blitz): 400.000 dollari
• Incremento di Offerta: 10.000 dollari
• Durata dell’Asta: 2 settimane
• Garanzia: Transazione effettuata tramite garante del forum, offrendo una certa sicurezza per entrambe le parti.

Gli exploit zero-click, soprattutto se basati su vulnerabilità di escalation dei privilegi, sono tra i più ricercati dagli hacker. Questo perché consentono attacchi invisibili, complicando notevolmente le capacità di rilevamento e risposta delle difese di sicurezza. Se questo exploit venisse utilizzato in attacchi reali, potrebbe compromettere migliaia di dispositivi Windows in modo rapido e senza che l’utente se ne accorga.

Il fatto che l’offerta avvenga su un forum chiuso con accesso a pagamento e con la presenza di un video dimostrativo indica un certo livello di fiducia e professionalità, suggerendo che l’exploit potrebbe essere realmente funzionante. Questo genere di exploit rappresentano una minaccia critica per aziende, enti governativi e organizzazioni che utilizzano Windows.

Il prezzo iniziale di 200.000 dollari è elevato, ma non insolito per un exploit zero-day LPE mentre il prezzo di “blitz” a 400.000 dollari conferma che si tratta di un exploit altamente sofisticato e potenzialmente critico. La possibilità di acquistare tramite un garante del forum offre una certa sicurezza agli acquirenti, garantendo una transazione protetta.

Come Proteggersi?

Mentre Microsoft lavora costantemente per identificare e correggere le vulnerabilità, gli utenti dovrebbero seguire alcune best practices per ridurre il rischio di attacchi:

1. Aggiornare regolarmente il sistema operativo e installare patch di sicurezza per ridurre l’esposizione a vulnerabilità note.
2. Limitare i privilegi degli utenti e utilizzare l’accesso amministrativo solo quando necessario.
3. Implementare una soluzione di sicurezza avanzata per il rilevamento delle minacce basata su intelligenza artificiale e machine learning.
4. Monitorare attentamente i registri di sistema per rilevare attività sospette che potrebbero indicare tentativi di exploit.
5. Attivare esperti di Cyber Threat Intelligence: per poter monitorare con costanza le minacce

La comparsa di questo exploit zero-click 0day per Windows in vendita su un forum underground rappresenta un grave rischio per la sicurezza. La comunità globale di cybersecurity dovrà monitorare attentamente la situazione, mentre i team di sicurezza di Microsoft e delle principali organizzazioni sono impegnati a garantire contromisure adeguate.

L'articolo All’Asta una LPE 0day su Microsoft Windows. per 400.000 dollari l’affare è concluso! proviene da il blog della sicurezza informatica.

How can you tell if your software is doing what it’s supposed to? Write some tests and run them every time you change anything. But what if you’re making hardware? [deqing] has your back with the Automatic Hardware Testing rig. And just as you’d expect in the software-only world, you can fire off the system every time you update the firmware in your GitHub.

A Raspberry Pi compiles the firmware in question and flashes the device under test. The cool part is the custom rig that simulates button presses and reads the resulting values out. No actual LEDs are blinked, but the test rig looks for voltages on the appropriate pins, and a test passes when the timing is between 0.95 and 1.05 seconds for the highs and lows. Firing this entire procedure off at every git check-in ensures that all the example code is working.

So far, we can only see how the test rig would work with easily simulated peripherals. If your real application involved speaking to a DAC over I2C, for instance, you’d probably want to integrate that into the test rig, but the principle would be the same.

Are any of you doing this kind of mock-up hardware testing on your projects? Is sounds like it could catch bad mistakes before they got out of the house.

hackaday.com/2024/11/06/hardwa…

Usually, designing a CPU is a lengthy process, especially so if you’re making a new ISA too. This is something that can take months or even years before you first get code to run. But what if it wasn’t? What if one were to try to make a CPU as fast as humanly possible? That’s what I asked myself a couple weeks ago.

Relative ROM size. Left: Stovepipe, center: [Ben Eater]’s, right: GR8CPU Rev. 2Enter the “Stovepipe” CPU (I don’t have an explanation for that name other than that I “needed” one). Stovepipe’s hardware was made in under 4 hours, excluding a couple small bugfixes. I started by designing the ISA, which is the simplest ISA I ever made. Instead of continuously adding things to make it more useful, I removed things that weren’t strictly necessary until I was satisfied. Eventually, all that was left were 8 major opcodes and a mere 512 bits to represent it all. That is far less than GR8CPU (8192 bit), my previous in this class of CPU, and still less than [Ben Eater]’s breadboard CPU (2048 bit), which is actually less flexible than Stovepipe. All that while taking orders of magnitude less time to create than either larger CPU. How does that compare to other CPUs? And: How is that possible?

Stovepipe was made at break-neck speeds

Like I said earlier, Stovepipe’s hardware was finished after a mere 4 hours. Add another 2 total hours for the assembler I made afterwards, for a total of 6 including the programs, spread over one week. I estimate GR8CPU was originally designed in just over a year, including tooling, in occasional afternoons after school spent designing. That timespan is notably over 50 times longer than the week that Stovepipe was spread over. In a similar light, Boa³²’s minimum viable product (RV32I) was completed in almost exactly two months, or 8-ish weeks. Still, 8 times as long as Stovepipe took to make. I have no concrete numbers of course but I believe that the real time spent in hours to be even worse for both GR8CPU and Boa³²; almost certainly more than 50x and 8x the hours (so 300 and 48 at the very bare minimum) respectively. How is that possible?

Because it is a simple CPU

Part of it is, of course, experience. GR8CPU, which has appeared on Hackaday long before I was a writer, was my second ever microarchitecture and [Ben Eater] didn’t exactly start studying CPUs immediately after his YouTube series like I did. However, Stovepipe is also an exercise in minimalism; unlike both GR8CPU and [Ben Eater]’s, the only user-accessibe register is the accumulator and every calculation with a second operand has to deal with memory. It has 256 bytes of RAM, on par with GR8CPU, but no I/O ports of any kind; all I/O must be memory-mapped. Stovepipe instructions take 1 cycle to fetch and 1-3 to run (except NOP, which takes 0 cycles to run). On par with both GR8CPU and [Ben Eater]’s, it has a carry out flag and zero flag.

Compare this to my most recent previous CPU, Boa³² (a RISC-V implementation), which is larger by a seemingly extreme amount despite being only about as powerful as modern microcontrollers. It’s 32-bit, has 31 general-purpose registers, 3 of which are usually used for special purposes, a full 4GiB address space, 512KiB of which contains RAM, hardware multiply/divide and atomics, etc. And most importantly, is pipelined and has separate address and data busses, unlike Stovepipe, GR8CPU and [Ben Eater]’s, all of which are multi-cycle single-bus architectures with a dedicated address register.

But how does it perform?

Let’s compare two programs: Computing the fibonacci sequence and multiplying an 8-bit number; across three CPUs: Stovepipe, GR8CPU and Boa³². I will write it in assembly for all three, ignoring Boa³²’s hardware multiply to keep it fair. Let’s dust off the old projects for a short moment, shall we?

To my surprise, GR8CPU actually performs significantly worse than Stovepipe, mainly due to it needing 3 cycles to load an instruction compared to Stovepipe’s 1. On the other hand, to absolutely nobody’s surprise, Boa³² wipes the floor with both Stovepipe and GR8CPU because of its 32 registers and pipelined nature. It executes most instructions in a single cycle spread over its 5-stage pipeline.

Conclusion

Trying to speedrun making a CPU was clearly a success given the scope; in merely 4 total hours, I made a CPU that outperforms my old 8-bit CPU while being much smaller. The whole exercise shows that simpler is sometimes better, though not always, because the speed-optimized Boa³² easily beats the size-optimized Stovepipe in a landslide performance victory. Stovepipe, however, completely demolishes most CPUs I know in terms of size; [Ben Eater]’s, GR8CPU and better-known CPUs like the 8086, 6502, z80, etc. are all easily defeated by Stovepipe in this respect. That’s not a world record, though; I believe that [olofk]’s SERV CPU is smaller than Stovepipe, though I cannot make a direct comparison due to Stovepipe existing only in a logic simulator.

By the way: If I do ever do a Stovepipe 2, I’ll record the entire time with an actual speedrun timer ;)

hackaday.com/2024/11/06/what-h…

In seguito a una violazione dei dati personali e bancari che ha coinvolto i clienti di Intesa Sanpaolo Spa, il Garante per la Protezione dei Dati Personali ha imposto all’istituto bancario un termine di 20 giorni per notificare gli interessati.

L’intrusione, attribuita a un dipendente della banca, è stata valutata dall’Autorità come un “rischio elevato per i diritti e le libertà delle persone coinvolte”, viste la natura e le possibili conseguenze della violazione.

Di seguito quanto riportato sul sito del Garante per la protezione dei Dati:
Intesa Sanpaolo Spa ha 20 giorni di tempo per informare i clienti coinvolti nella violazione dei propri dati personali e bancari, avvenuta attraverso accessi indebiti effettuati da un dipendente della Banca.

È quanto deciso dal Garante Privacy a seguito dei chiarimenti inviati dall’Istituto bancario in risposta alla richiesta di informazioni dell’Autorità.

L’Autorità ritiene infatti, diversamente da quanto valutato dalla Banca, che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone coinvolte, tenuto conto della natura della violazione, delle categorie dei dati trattati, della gravità e delle conseguenze che ne potrebbero derivare (ad es., la divulgazione di notizie riguardanti lo stato patrimoniale, il danno reputazionale).

Il provvedimento si è reso necessario poiché nelle prime comunicazioni inviate dalla Banca al Garante non era stata adeguatamente messa in evidenza l’ampiezza della violazione, come invece è poi risultata sia dagli articoli di stampa sia dai riscontri dalla stessa forniti.

Il Garante, che si riserva di valutare l’adeguatezza delle misure di sicurezza adottate nell’ambito di un’istruttoria tuttora in corso, ha inoltre ingiunto alla Banca di trasmettere all’Autorità, entro trenta giorni, un riscontro adeguatamente documentato sulle iniziative intraprese al fine di dare piena attuazione a quanto prescritto.
L'articolo Garante Privacy a Banca Intesa: 20 giorni per informare i clienti della violazione dei dati proviene da il blog della sicurezza informatica.

Gli specialisti del dipartimento di risposta alle minacce alla sicurezza informatica di Positive Technologies Security Expert Center (PT ESC IR) hanno presentato al forum SOC le statistiche sui risultati dei progetti di indagine sugli incidenti informatici nelle zone da loro coperte.

Alla fine dell’anno durante l’ultimo trimestre del 2023 e nei primi tre trimestri del 2024, gli specialisti sono stati contattati più spesso da imprese industriali, agenzie governative e società IT. I motivi principali degli attacchi riusciti sono stati software obsoleti, la mancanza di autenticazione a due fattori e la debole segmentazione della rete aziendale.

Secondo il rapporto, il 39% delle aziende analizzate presentava tracce dell’attività di 17 noti gruppi APT. Questi gruppi sono identificati dagli strumenti e dal malware che utilizzano, dalla loro infrastruttura e dalle loro tattiche. Spesso utilizzano software specifici per accedere, raccogliere e rubare dati da remoto. La maggior parte dei gruppi identificati sono altamente qualificati e sono in grado di raggiungere rapidamente i propri obiettivi.

Tra tutti i gruppi scoperti durante il periodo di ricerca, il team di PT ESC ne ha individuati tre: Hellhounds come uno dei più avanzati in termini di tecniche, ExCobalt come il più attivo e XDSpy come il gruppo più longevo (attacca aziende in Russia dal 2011).

La frequenza degli attacchi tramite terze parti è aumentata del 15% nel corso dell’anno. Molti di questi appaltatori forniscono servizi a decine di clienti. “Nonostante la percentuale di tali attacchi sia ancora piccola, il danno reale e potenziale derivante dall’hacking di partner fidati ma non protetti sta diventando una valanga”, osserva Positive Technologies. Tra i metodi di prima penetrazione il posto di primo piano è ancora occupato dallo sfruttamento delle vulnerabilità nelle applicazioni web. Nell’ultimo anno, il maggior numero di attacchi (33%) si è verificato su siti che utilizzano il CMS 1C-Bitrix (CMS molto diffuso in Russia), rendendoli il principale vettore di penetrazione attraverso applicazioni web vulnerabili. Allo stesso tempo, la quota degli attacchi iniziati con lo sfruttamento delle vulnerabilità nei server di posta Microsoft Exchange è scesa dal 50% al 17%.

Nel 35% delle aziende sono stati registrati incidenti classificati come “criminalità informatica”: attacchi concentrati principalmente su azioni distruttive, come la crittografia e la distruzione dei dati. In questi casi, gli aggressori utilizzano generalmente ransomware, software legittimo per crittografare le informazioni e wiper per eliminare completamente i dati. Questi strumenti vengono utilizzati anche per nascondere le tracce e rendere il più difficile possibile il processo di indagine sugli incidenti.

Rispetto agli anni precedenti, la quota dei casi in cui gli incidenti informatici hanno causato interruzioni nei processi aziendali è aumentata dal 32% al 50%. La ragione di ciò potrebbe essere la maggiore attività degli hacktivisti e degli aggressori motivati ​​​​finanziariamente che sferrano attacchi DDoS ma anche dagli attacchi ransomware. Nel 19% dei progetti sono state individuate tracce di attività di intelligence e di spionaggio, solitamente associate alle attività dei gruppi APT. Nel 12% dei casi gli aggressori hanno tentato di scaricare dati riservati, evitando una lunga permanenza nell’infrastruttura aziendale. Come in precedenza, gli obiettivi principali degli attacchi sono rimasti gli host basati su Windows, ma significativa è stata anche la percentuale di attacchi contro host basati su Linux (28%).

Gli esperti notano un aumento significativo della domanda di lavoro di investigazione sugli incidenti da parte delle aziende nazionali. Negli ultimi due anni il loro numero è triplicato.

L'articolo Cybercrime in Crescita: Un incidente Informatico su Due Blocca i processi Aziendali proviene da il blog della sicurezza informatica.

It’s been about a decade since Amazon began to fly its delivery drones, aiming to revolutionize the online shopping experience with rapid delivery of certain items. Most recently Amazon got permission from the FAA to not only start flying from its new Arizona-based location, but also to fly beyond-line-of-sight (BLOS) missions with the new MK30 drone. We reported on this new MK30 drone which was introduced earlier this year along with the news of the Amazon Prime Air delivery service ceasing operations in California and moving them to Arizona instead.

This new drone has got twice the range as the old MK27 drone that it replaces and is said to be significantly quieter as well. The BLOS permission means that the delivery drones can service areas which are not directly visible from the warehouse with its attached drone delivery facility. With some people within the service range of the MK27 drones having previously complained about the noise levels, we will see quickly enough whether the MK30 can appease most.

As for the type of parcels you can have delivered with this service, it is limited to 2.27 kg (~5 lbs), which is plenty for medication and a range of other items where rapid delivery would be desirable.

hackaday.com/2024/11/06/amazon…

Recentemente, un cybercriminale noto nel Dark Web, ha dichiarato di aver ottenuto accesso root ai Firewall della rete aziendale di Asus Taiwan, grazie a un endpoint vulnerabile. Questo individuo, la cui identità è sconosciuta, ha messo in vendita l’accesso privilegiato, permettendo agli acquirenti di fare offerte per ottenere il controllo su una delle infrastrutture critiche di una delle maggiori aziende tecnologiche al mondo, con un fatturato di 16,4 miliardi di dollari.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Dettagli della Violazione

Se l’accesso offerto dal criminale risultasse legittimo, le ripercussioni per Asus Taiwan sarebbero enormi. La rete aziendale potrebbe essere completamente compromessa, esponendo dati riservati, progetti, proprietà intellettuale e persino informazioni finanziarie a potenziali attacchi. Ma le conseguenze si estenderebbero anche a clienti, partner e fornitori, con una catena di rischio che si allargherebbe fino a coinvolgere ogni punto di contatto dell’azienda. In uno scenario peggiore, la rete Asus Taiwan potrebbe trasformarsi in una piattaforma per attacchi su larga scala rivolti ad altre organizzazioni.

Attualmente, non siamo in grado di confermare con precisione l’accuratezza delle informazioni riportate, poiché non è stato rilasciato alcun comunicato stampa ufficiale sul sito web riguardante l’incidente.

Perché un Accesso Root ai Firewall è Estremamente Pericoloso?

Se l’affermazione fosse confermata, l’accesso ai Firewall fornirebbe all’aggressore una vera e propria “chiave” per muoversi liberamente all’interno della rete di Samsung. Questo tipo di accesso è estremamente rischioso per molteplici motivi:

• Movimento Laterale: Gli aggressori potrebbero facilmente navigare attraverso vari segmenti della rete aziendale alla ricerca di risorse preziose e vulnerabili.
• Evasione dei Controlli: I Firewall rappresentano il punto nevralgico della sicurezza di rete; il controllo completo su questi apparati rende possibile eludere meccanismi di sicurezza e monitoraggio.
• Accesso a Risorse Critiche: I Firewall proteggono i dati più sensibili e le applicazioni fondamentali per il business. Un accesso non autorizzato potrebbe potenzialmente compromettere file riservati, credenziali e sistemi chiave.

Inoltre, i dati che potrebbero essere esposti includono anche proprietà intellettuali, progetti di ricerca e sviluppo e dati operativi fondamentali, mettendo a rischio la competitività e la reputazione dell’azienda.

Cosa sono i broker di accesso

I broker di accesso (o “Initial Access Brokers” in inglese) sono individui o gruppi che si specializzano nel compromettere inizialmente i sistemi informatici delle vittime e quindi vendere l’accesso non autorizzato a questi sistemi a gruppi di ransomware o altri attori malintenzionati.

Questi broker svolgono un ruolo cruciale nella catena di attacchi ransomware, poiché forniscono agli attori del ransomware un punto d’ingresso nei sistemi delle vittime.

Ecco come funziona tipicamente il processo dei broker di accesso:

1. Compromissione Iniziale: I broker di accesso cercano vulnerabilità nei sistemi informatici delle vittime o utilizzano tecniche di ingegneria sociale per ottenere l’accesso ai loro sistemi. Questa fase può coinvolgere l’utilizzo di malware, phishing, exploit di vulnerabilità o altre tattiche;
2. Mantenimento dell’Accesso: Una volta ottenuto l’accesso ai sistemi delle vittime, i broker lavorano per mantenere l’accesso in modo da poterlo vendere a gruppi di ransomware o altri acquirenti. Questo può includere la creazione di backdoor nascoste o l’installazione di strumenti di accesso remoto;
3. Vendita dell’Accesso: Una volta che hanno stabilito un accesso affidabile, i broker mettono in vendita l’accesso su forum o mercati clandestini online frequentati da attori malintenzionati. Gli acquirenti possono essere gruppi di ransomware, hacker criminali che cercano di rubare dati sensibili o altri attori interessati;
4. Attacco Ransomware: Gli acquirenti dell’accesso utilizzano l’accesso compromesso per condurre attacchi ransomware contro le vittime. In alcuni casi, i dati delle vittime vengono crittografati e viene richiesto un riscatto per ripristinare l’accesso ai dati.

Conclusione

Questo attacco è un campanello d’allarme per le aziende di ogni settore: nessuno è immune. È fondamentale che le organizzazioni rafforzino costantemente la sicurezza dei propri endpoint, monitorino i segnali di intrusione e applichino aggiornamenti di sicurezza senza indugio. La protezione dei firewall e la sicurezza perimetrale devono essere una priorità assoluta, soprattutto in un contesto in cui ogni vulnerabilità può trasformarsi in un vantaggio per chi cerca di sfruttarla.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo In Vendita Gli Accessi Root ai Firewall di Asus Taiwan sul Dark Web proviene da il blog della sicurezza informatica.

Introduction

In August 2024, our team identified a new crimeware bundle, which we named “SteelFox”. Delivered via sophisticated execution chains including shellcoding, this threat abuses Windows services and drivers. It spreads via forums posts, torrent trackers and blogs, imitating popular software like Foxit PDF Editor and AutoCAD. It also uses stealer malware to extract the victim’s credit card data as well as details about the infected device.

This report in a nutshell:

• SteelFox is distributed via forum posts and malicious torrents.
• It communicates with its C2 via SSL pinning and TLSv1.3. It utilizes a domain with a dynamically changing IP, and it is implemented using Boost.Asio library.
• SteelFox can elevate its privileges through exploitation of a vulnerable driver.

Kaspersky’s products detect this threat as
HEUR:Trojan.Win64.SteelFox.gen, Trojan.Win64.SteelFox.*.

Technical Details

Background

In August 2024, we stumbled upon a massive infection caused by an unknown bundle consisting of miner and stealer malware. During our investigation, we found out that the campaign started in February 2023. Although the stealer has not evolved significantly since then, it is being gradually changed to avoid detection. No functional changes are being added, but the author updates all the required dependencies.

Infection timeline

Initial infection

Our investigation has led us to the fact that SteelFox’s initial attack vector consists of several various publications on forums and torrent trackers. These posts refer to the SteelFox dropper as an efficient way to activate a legitimate software product for free. We’ve seen the dropper pretend to be a crack for Foxit PDF Editor, JetBrains and AutoCAD. While these droppers do have the advertised functionality, they also deliver sophisticated malware right onto the user’s computer.

Malicious dropper advertisement

SteelFox dropper

In this research, we describe the sample imitating an activator for Foxit PDF Editor. The initial stage of the SteelFox campaign is an AMD64 executable under the name
foxitcrack.exe with a large .rdata section. Judging by the high entropy, it seems that the file is packed. At the startup the program welcomes us with a GUI asking to choose the Foxit PDF Editor installation path.

Dropper GUI

Because Foxit’s installation directory resides in the “Program Files” folder, FoxitCrack asks for administrator access, which will be used for malicious purposes later.

The execution chain looks legitimate until the moment the files are unpacked. Prior to a legitimate function, a malicious one is inserted that is responsible for dropping malicious code onto the target user’s system.

Inserted malicious code

First, the second stage (the dropped malicious code) is decrypted with the AES-128 algorithm. Its parameters are also encrypted — they are decrypted once dropped by the first stage. The encryption scheme looks like this.
// Sbox decryption
for (int i = 0; i < 256; i++) {
SBox[i] = enc_Sbox[i + 16] ^ enc_SBox[i % 16];
}

for (int i = 0 i < 8; i++) {
key[i] = enc_key[i + 8] ^ enc_key[i % 8];
iv[i] = enc_iv[i + 8] ^ enc_iv[i % 8];
}
AES-128 is implemented via vector SIMD instructions, thus requiring the payload to be divided into 16-byte blocks.

Executable decryption

In later versions of the dropper, the actor implemented the same algorithm but used the AES-NI instruction-set extension. Since they operate with 16-byte blocks, it implies that the requirement for the payload size alignment remains in place.

After that, the embedded payload, which is, in fact, a PE64 executable, is modified to avoid detection. Linking timestamps are overwritten with a random date in the range between May and December 2022, along with the linker version. Random junk data is also inserted into the
.rdata section to avoid hash detection. This is accomplished with an embedded PE parser.

Junk insertion, linking date and linker version switching

The dropped PE is written into one of the three paths. The exact path depends on the dropper sample:

• C:\Program Files\Foxit Software\Foxit PDF Editor\plugins\FoxitPDFEditorUpdateService.exe
• C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe
• C:\Program Files\Autodesk\AdODIS\V1\Setup\lpsad.exe

The parameters of the malicious service are initialized as follows:

Service preparation

After this, the second-stage loader creates a service which writes itself to the autostart to persist in the system and remain active through reboots.

SteelFox loader

This service is started from
svchost.exe as a regular Windows service. First, it gets the full name of the current executable and compares it against service binary names to check whether the loader was started as a service. If the check is successfully passed, the service lists all running services (with a SERVICE_ACTIVE state), getting their executable paths and descriptions. This is quite a peculiar way to check against a debugger because if the binary is not started as a service, the loader will throw an exception and quit. This algorithm is obfuscated in the loader code, but after deobfuscating it resembles the following:vector<QUERY_SERVICE_INFOW> vec;
get_services_list(vec);
std::wstring serv_name;
GetModuleFileNameW(0, exec_name, 256);

for (auto service : vec) {
SC_HANDLE hService = open_service(service.lpServiceName);
LPCWSTR *bin_name = get_service_bin_path(hService, service.lpServiceName);

if (!wstrcmp(exec_name, bin_name) {
serv_name = service.lpServiceName;
break;
}
}

if (serv_name.empty()) {
throw std::system_error;
}
If these checks are passed, the malware creates a function table, which allows the attacker to perform decryption and create shellcodes. It also contains a random number generator along with placeholders.

The execution flow now proceeds to the
StartServiceCtrlDispatcherW function. It registers a dispatcher with a function that is responsible for decryption and injection. It controls the state of the service, handles the service restart and shutdown signals, and so on.
Before the actual payload is executed, the malware triggers an unusual persistence mechanism: a small but rather important step. This stage launches the AppInfo service and is then loaded inside that. This makes any user actions against this loader impossible because even copying this sample requires NT\SYSTEM privileges.

The target DLL is loaded via a malicious shellcode and encrypted with AES-128 in the same way as described earlier in the initial stage. The decryption of later versions is also implemented with AES-NI instructions.

The malicious shellcode is loaded in three fundamental steps. First, it creates an array of addresses to WinAPI functions that will be executed within the shellcode.

Gathering WinAPI addresses

Then the payload is decrypted with a rather simple XOR-based algorithm. After decryption, the shellcode is executed with hardcoded parameters.

Gathering WinAPI addresses

The shellcode is a basic loader: it utilizes provided imported WinAPIs to allocate memory for loading the final stage and to access library functions. This shellcode does not implement any protection against debugging. It remains just a basic PE loader that proceeds to the final stage.

SteelFox final stage

At the beginning, this stage (DLL) creates a mutex with a randomly generated name because its network communication heavily relies on multithreading and asynchronous network I/O. After that, it performs an important task: creating a service with a
WinRing0.sys driver running inside. This service is accompanied by a pipe named \\.\WinRing0_1_2_0 which allows the process to communicate with the driver. This is quite an old driver, vulnerable to CVE-2020-14979 and CVE-2021-41285, and allowing the actor to elevate privileges to NT\SYSTEM as soon as the direct unchecked communication with the driver is allowed and the attacker controls input forwarded to the driver. This driver is also a component of the XMRig miner, so it is utilized for mining purposes. The communication with the driver is performed in a separate thread.
After initializing the driver, the sample launches the miner. This represents a modified executable of XMRig with junk code fillers. It connects to a mining pool with hardcoded credentials.

The XMRig component is downloaded from one of the repositories at
hxxps://github[.]com/cppdev-123. It seems to get updates occasionally — we assume this is done in order to avoid detection of older versions.

GitHub payloads

After that, the malware resolves the IP address behind the
ankjdans[.]xyz domain which serves as a C2 server. Although the domain is hardcoded, switching IPs behind it helps the attacker remain undetected. SteelFox resolves this via Google Public DNS and DNS over HTTPS (DoH). This allows the attacker to hide the domain resolution.
After a successful IP resolution, the malware connects to its C2 server via TLSv1.3. This I/O model utilizes libraries like Boost.Asio and wolfSSL, which allows the attacker to implement end-to-end TLSv1.3 communication.

Unlike v1.2, TLS v1.3 generates a session secret from a preselected private key during the handshake stage. In this case, the shared secret is generated with a Windows cryptographically secure random number generator. Furthermore, SteelFox has fully implemented SSL pinning to ensure SSL communication can’t be wiretapped. Interestingly enough, SSL pinning is only enabled for C2 server communication.

GitHub payloads

When a connection is established, the stealer comes into play. This component can collect a large list of end users’ parameters. It enumerates browsers on the victim’s device and then compares them against the following list of browsers:

• chrome;
• opera;
• opera_gx;
• brave;
• firefox;
• yandex;
• wave;
• avg;
• avast;
• vivaldi;
• dragon;
• chedot;
• coccoc.

It extracts cookies, credit card data, browsing history and the list of visited places, the latter only from Mozilla Firefox. This is done with an embedded copy of SQLite3. Because the service runs as NT\SYSTEM, it calls the
ImpersonateLoggedOnUser API to get the security context for creating an SQL dump later.
The full list of extracted data is provided below.

Data is then combined into one large JSON that is sent to C2. The communication diagram is as follows.

Connection diagram

Victims

This campaign does not target any individuals or specific organizations. Instead, it operates on a larger scale, infecting everyone who stumbles upon the compromised software. At the time of this research, our security solutions had detected this threat more than 11,000 times. Users of various popular applications, such as AutoCAD, JetBrains and Foxit, are targeted. We have detected victims of this campaign worldwide, with most of the affected users in Brazil, China, Russia, Mexico, UAE, Egypt, Algeria, Vietnam, India and Sri Lanka.

TOP 10 countries targeted by SteelFox, August–September, 2024 (download)

Attribution

For this particular campaign, no attribution can be given. Posts with links to activators were either made by compromised accounts or by inexperienced users who were not aware of the threats they were spreading. This campaign was highly active on the Chinese platform Baidu and Russian torrent trackers.

Conclusions

SteelFox has emerged recently, and it is a full-featured crimeware bundle. It is capable of stealing various user data that might be of interest to the actors behind this campaign. Highly sophisticated usage of modern C++ combined with external libraries grant this malware formidable power. Usage of TLSv1.3 and SSL pinning ensures secure communication and harvesting of sensitive data.

SteelFox does not target any particular organizations or people. Instead, it acts on a mass scale, extracting every bit of data that can be processed later. To ensure protection from threats like this, install applications from official sources and use a reliable security solution that prevents downloading infected software.

Indicators of Compromise

Note: The indicators in this section are valid as at the time of publication.

File Hashes
Payload
fb94950342360aa1656805f6dc23a1a0

Loader

Dropper

File paths
C:\Program Files (x86)\Foxit Software\Foxit PDF Editor\plugins\FoxitPDFEditorUpdateService.exe
C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe
C:\Program Files\Autodesk\AdODIS\V1\Setup\lpsad.exe

PDB paths
d:\hotproject\winring0\source\dll\sys\lib\amd64\WinRing0.pdb

Domains and IPs
hxxps://ankjdans[.]xyz
205.185.115[.]5

Malicious URLs
hxxps://github[.]com/DavidNguyen67/CrackJetbrains
hxxps://github[.]com/TrungGa123/Active-all-app-Jetbrains/
hxxps://github[.]com/tranquanghuy-09/activate-intellij-idea-ultimate/
hxxps://github[.]com/TaronSargsyan123/ScaraSimulation
hxxps://raw.githubusercontent[.]com/tranquanghuy-09/activate-intellij-idea-ultimate/main/jetbrains-activator.exe
hxxps://raw.githubusercontent[.]com/TaronSargsyan123/ScaraSimulation/main/jetbrains-activator.exe
hxxps://raw.githubusercontent[.]com/TrungGa123/Active-all-app-Jetbrains/main/jetbrains-activator.exe
hxxps://raw.githubusercontent[.]com/DavidNguyen67/CrackJetbrains/main/jetbrains-activator.exe
hxxps://www.cloudstaymoon[.]com/2024/05/06/tools-1
hxxps://squarecircle[.]ru/Intelij/jetbrains-activator.exe
hxxps://drive.google[.]com/file/d/1bhDBVMywFg2551oMmPO3_5VaeYnj7pe5/view?usp=sharing
hxxps://github[.]com/cppdev-123

Windows commands used by attacker

securelist.com/steelfox-trojan…