NIS2, al via il censimento dei soggetti interessati: tutto quello che c’è da sapere
@Informatica (Italy e non Italy 😁)
Dal primo dicembre i soggetti impattati dalla NIS2 potranno cominciare a registrarsi sulla piattaforma digitale dell’ACN, pena l’applicazione di sanzioni. Si rende quindi necessario comprendere quali siano le organizzazioni potenzialmente
Informatica (Italy e non Italy 😁) reshared this.
Il Lungo Down dei server del Vaticano, il misterioso crash e i sospetti DDoS
Secondo gli esperti di sicurezza, il crash del sito web del Vaticano della scorsa settimana presenta i tratti distintivi di un attacco informatico, evidenziando l’esposizione online del Vaticano alla possibilità di interferenze da parte di malintenzionati.
La maggior parte del sito web del Vaticano è andato in crash il 19 novembre ed è rimasto irraggiungibile per diversi giorni in alcune parti del mondo. Sebbene il Vaticano non abbia confermato l’origine del problema, il portavoce vaticano Matteo Bruni ha lasciato intendere che gli stessi funzionari vaticani sospettano un attacco ai loro server web.
Bruni ha affermato che sui server si è verificato un “numero anomalo di interazioni” che, in combinazione con le contromisure utilizzate, ha portato ad una serie di effetti a cascata sull’infrastruttura IT della Chiesa.
Gli esperti ritengono che il numero anomalo di interazioni sia coerente con un attacco DDoS, sebbene la fonte di tale attacco non sia chiara. In Vaticano, alcuni hanno sospettato che un attacco informatico potrebbe essere stato programmato per coincidere con la visita in Vaticano del 20 novembre della First Lady ucraina Olena Zelenska.
Se il crash del sito fosse dovuto a un attacco informatico, si tratterebbe dell’ultimo di una lunga serie di attacchi informatici motivati politicamente contro il Vaticano. Nel 2015, i dati personali dei giornalisti della Radio Vaticana e il sito web del Vaticano sono stati hackerati due volte dal gruppo di hacker Anonymous.
Nel 2018, sia il Vaticano che la diocesi di Hong Kong sono stati colpiti dagli hacker RedDelta, presumibilmente sostenuti dal regime cinese, in vista dei colloqui per il rinnovo di un accordo provvisorio sulle nomine episcopali. Nel 2022, invece, il sito web del Vaticano è stato oscurato il giorno dopo che il Papa aveva criticato l’invasione russa dell’Ucraina.
Gli attacchi DDoS sono solitamente condotti tramite bot che portano un server a bloccarsi a causa del volume di richieste. Il loro obiettivo non è accedere a informazioni private, ma semplicemente bloccare un sito Web per impedire agli utenti di utilizzarlo.
Charles Brooks, ex funzionario del DHS e professore di sicurezza informatica alla Georgetown University, ha guidato un gruppo di esperti cattolici in sicurezza informatica che hanno sollecitato la Santa Sede a creare un'”Autorità per la sicurezza informatica del Vaticano” nel maggio 2023, poiché erano preoccupati per le debolezze dell’infrastruttura digitale del Vaticano.
Sebbene gli attacchi DDoS derivino solitamente da attacchi informatici su larga scala, molti esperti ritengono che nel caso del Vaticano sia difficile individuare la fonte degli attacchi a causa della vulnerabilità dei server web. Andrew Jenkinson, CEO dell’azienda britannica di sicurezza informatica CIP, ha dichiarato a The Pillar di aver cercato di mettere in guardia la Santa Sede dalle vulnerabilità della sua sicurezza informatica almeno dal 2020.
Jenkinson ha mostrato a The Pillar un’analisi dei server critici del Vaticano che erano stati segnalati come non sicuri e ha affermato che il DNS (Domain Name System) era esposto. “Quando abbiamo provato ad assisterli nel 2020 e nel 2021, oltre il 90% dei loro siti web risultava Non sicuro. Non ci sono scuse per fallimenti di sicurezza così basilari”, ha detto Jenkinson a The Pillar .
L'articolo Il Lungo Down dei server del Vaticano, il misterioso crash e i sospetti DDoS proviene da il blog della sicurezza informatica.
Cyber attacchi, quando l’efficacia è data anche dall’incoscienza di chi li riceve
La cyber security è, innanzitutto, una sfida culturale. Le aziende italiane non possono più permettersi di considerarla come una questione esclusivamente tecnica. È importante adottare un approccio integrato in cui tecnologia, normative e formazione, unite, creino un ambiente più sicuro e resiliente
L'articolo Cyber attacchi, quando l’efficacia è data anche dall’incoscienza di chi li riceve proviene da Cyber Security 360.
Attacchi deepfake e ransomware: Italia nel mirino
@Informatica (Italy e non Italy 😁)
Dal nuovo report di Tinexta Cyber emerge un calo delle vittime, anche in Italia dove il declino è a due cifre, ma aumentano le cyber gang e si allarga il numero dei Paesi bersaglio di attacchi. Ecco i rischi maggiori secondo Risk Report 2024 e come proteggersi
L'articolo Attacchi deepfake e ransomware: Italia
Informatica (Italy e non Italy 😁) reshared this.
Direttiva NIS2: ha inizio la fase operativa e che nessuno resti indietro
La presentazione della piattaforma di registrazione NIS2 per l’avvio degli adeguamenti richiesti dalla direttiva europea ha rappresentato un momento di formazione e informazione per tutti gli stakeholder nazionali. Si inizia a fare sul serio e l’obiettivo è alzare il livello cyber del sistema Paese
L'articolo Direttiva NIS2: ha inizio la fase operativa e che nessuno resti indietro proviene da Cyber Security 360.
Cyber attacchi, quando l’efficacia è data anche dall’incoscienza di chi li riceve
@Informatica (Italy e non Italy 😁)
La cyber security è, innanzitutto, una sfida culturale. Le aziende italiane non possono più permettersi di considerarla come una questione esclusivamente tecnica. È importante adottare un approccio integrato in cui tecnologia,
Informatica (Italy e non Italy 😁) reshared this.
Hacker nordcoreani rubano miliardi in criptovalute: tattiche sofisticate per finanziare il regime
Gli attacchi informatici condotti dalle cyber gang nordcoreane rappresentano una minaccia senza precedenti per il settore delle criptovalute e per la sicurezza finanziaria globale. Ecco perché è urgente rafforzare le difese cibernetiche e sviluppare strategie internazionali coordinate per prevenire futuri attacchi
L'articolo Hacker nordcoreani rubano miliardi in criptovalute: tattiche sofisticate per finanziare il regime proviene da Cyber Security 360.
Direttiva NIS2: ha inizio la fase operativa e che nessuno resti indietro
@Informatica (Italy e non Italy 😁)
La presentazione della piattaforma di registrazione NIS2 per l’avvio degli adeguamenti richiesti dalla direttiva europea ha rappresentato un momento di formazione e informazione per tutti gli stakeholder nazionali. Si inizia a fare sul serio e l’obiettivo è alzare
Informatica (Italy e non Italy 😁) reshared this.
Così la gang Matrix usa gli attacchi DDoS per colpire sistemi IoT e aziendali: gli impatti
@Informatica (Italy e non Italy 😁)
È stata identificata un’attività malevola della cyber gang Matrix che, mediante attacchi DDoS, sta prendendo di mira sistemi IoT e aziendali mal configurati o non aggiornati. Ecco tutti i dettagli e le implicazioni per la
Informatica (Italy e non Italy 😁) reshared this.
Hacker nordcoreani rubano miliardi in criptovalute: tattiche sofisticate per finanziare il regime
@Informatica (Italy e non Italy 😁)
Gli attacchi informatici condotti dalle cyber gang nordcoreane rappresentano una minaccia senza precedenti per il settore delle criptovalute e per la sicurezza finanziaria globale. Ecco perché è urgente rafforzare
Informatica (Italy e non Italy 😁) reshared this.
Horns&Hooves campaign delivers NetSupport RAT and BurnsRAT
Recent months have seen a surge in mailings with lookalike email attachments in the form of a ZIP archive containing JScript scripts. The script files – disguised as requests and bids from potential customers or partners – bear names such as “Запрос цены и предложения от Индивидуального предпринимателя <ФИО> на август 2024. АРТ-КП0005272381.js” (Request for price and proposal from sole trader <name> for August 2024. ART-KP0005272381.js), “Запрос предложений и цен от общества с ограниченной ответственностью <предприятие> на сентябрь 2024. отэк-мн0008522309.js” (Request for proposals and prices from LLC <company> for September 2024. Otek-mn0008522309.js), and the like.
Examples of malicious emails
According to our telemetry, the campaign began around March 2023 and hit more than a thousand private users, retailers and service businesses located primarily in Russia. We dubbed this campaign Horns&Hooves, after a fictitious organization set up by swindlers in the Soviet comedy novel The Golden Calf.
Statistics
Number of users who encountered the malicious script, by month, March 2023 — September 2024 (download)
Malicious scripts
During the campaign, the threat actors made some major changes to the script, while keeping the same distribution method. In almost all cases, a JS script named “Заявка на закупку…” (“Purchase request…”), “Запрос цен…” (“Request for quote…”), or similar was sent in a ZIP archive. Far more rarely, the scripts were called “Акт сверки…” (“Reconciliation statement…”), “Заявление на возврат…” (“Request for refund…”), “Досудебная претензия…” (“Letter of claim…”) or just “Претензия…” (“Claim…”). The earliest versions that we encountered in April and May used scripts with the HTA extension instead of JS scripts.
For believability, besides the script, the attackers sometimes added to the archive various documents related to the organization or individual being impersonated. For example, an archive attached to a booking cancellation email contained a PDF file with a copy of a passport; while price request emails had extracts from the Russian Unified State Register of Legal Entities, certificates of tax registration and company cards in attachment. Below, we examine several versions of the scripts used in this campaign.
Typical archive contents
Version A (HTA)
Some of the first sample scripts we saw in April and early May 2023 were relatively small in size. As an example, we analyzed a sample with the MD5 hash sum 327a1f32572b4606ae19085769042e51.
First version of the malicious script in attachment
When run, the script downloads a decoy document from linkpicture[.]com/q/1_1657.png in the form of a PNG image, which it then shows to the user. In this case, the image looks like a screenshot of a table listing items for purchase. It may have been taken from a previously infected machine.
Decoy document in PNG format
Note that PNG decoy documents are rather unconventional. Usually, bids and requests that are used to distract user attention from malware are distributed in office formats such as DOCX, XSLX, PDF and others. The most likely reason for using PNG is that in the very first versions the attackers hid the payload at the end of the bait file. PNG images make convenient containers because they continue to display correctly even after the payload is added.
To download the decoy document, the attackers use the curl utility, which comes preinstalled on devices with Windows 10 (build 17063 and higher). Together with the document, using another built-in Windows utility, bitsadmin, the script downloads and runs the BAT file bat_install.bat to install the main payload. The script also makes use of bitsadmin for managing file transfer tasks.
Snippet of the BAT script that installs the payload
Using bitsadmin, the BAT script first downloads from the attackers’ address hxxps://golden-scalen[.]com/files/, and then installs, the following files:
| File name | Description |
| AudioCapture.dll | NetSupport Audio Capture |
| client32.exe | NetSupport client named CrossTec |
| client32.ini | Configuration file |
| HTCTL32.DLL | NetSupport utility for HTTP data transfer |
| msvcr100.dll | Microsoft C runtime library |
| nskbfltr.inf | Windows Driver Frameworks configuration file for installing additional drivers |
| NSM.LIC | NetSupport license file |
| nsm_vpro.ini | Additional NSM settings |
| pcicapi.dll | pcicapi file from the NetSupport Manager package |
| PCICHEK.DLL | CrossTec VueAlert PCIChek |
| PCICL32.DLL | NetSupport client as a DLL |
| remcmdstub.exe | CrossTec remote command line |
| TCCTL32.DLL | NetSupport utility for TCP data transfer |
To download the required file, bat_install.bat appends its name to the end of the URL. The script saves the downloaded files to the user directory %APPDATA%\VCRuntineSync.
The payload is the legitimate NetSupport Manager (NSM) tool for remote PC management. This software is often used in corporate environments for technical support, employee training and workstation management. However, due to its capabilities, it is regularly exploited by all kinds of cybergangs. The versions and modifications of this software seen in cyberattacks and providing a stealth run mode have been dubbed NetSupport RAT.
Most often, NetSupport RAT infiltrates the system through scam websites and fake browser updates. In December 2023, we posted a report on one such campaign that installed NetSupport RAT under the guise of a browser update after the user visited a compromised website.
After the file download, the bat_install.bat script runs the client32.exe file and adds it to the startup list.
start /B cmd /C "start client32.exe & exit"
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v
"VCRuntineSync" /t REG_SZ /d '%APPDATA%\VCRuntineSync\client32.exe' /f
And, in case the HTA script failed, the BAT script attempts to download and run the bait file.
When NetSupport RAT is run, it establishes a connection to one of the attackers’ servers set in the client32.ini configuration file: the main one, xoomep1[.]com:1935, or the backup one, xoomep2[.]com:1935.
The client32.ini configuration file
Version A infection chain
Version B (JS + NSM)
A bit later, in mid-May 2023, there appeared versions of the script mimicking legitimate JS files.
JS version of the malicious script in attachment
The code of this script contains a comment from the publicly available JavaScript library Next.js with license and copyright information. This way, the attackers try to make the code appear legitimate. We also see how they added malicious code to the middle of the file that a cursory inspection would miss, but still got executed at runtime.
In terms of functionality, the JS versions of the script are virtually the same as the HTA ones. They too show a decoy document and install NetSupport RAT. But there are some differences. For example, the script with the hash sum b3bde532cfbb95c567c069ca5f90652c, which we found under the filename ” досудебная претензия от 18.05.2023 №5 от компании ооо <НАЗВАНИЕ_КОМПАНИИ>.js ” (“Letter of claim No. 5, dated May 18, 2023, from LLC <company>.js”), first downloads an intermediate JS script from the address hxxp://188[.]227[.]58[.]243/pretencia/www.php.
Second script contents
This second script downloads two more files: the decoy document zayavka.txt and the NetSupport RAT installer installer_bat_vbs.bat. Like PNG images, decoy documents in TXT format are not standard practice. And with this version, the files contain generated text in Russian that is meaningless and repeated several times, using different characters that look vaguely Cyrillic. They would appear to be the first tests of the new bait file format.
Decoy document with meaningless text
After downloading the files, the www.php script opens the text document and runs the NetSupport RAT installer, which it saves with the name BLD.bat. To download the NetSupport components, the script uses the same path as version A: hxxps://golden-scalen[.]com/files/. Unlike the previous version, this script downloads the files to the %APPDATA%\EdgeCriticalUpdateService directory. Correspondingly, the autorun registry key used by this version is named EdgeCriticalUpdateService. Also, the BLD.bat file contains no redundant code for re-downloading the bait file.
Version B infection chain
Version C (JS + BurnsRAT)
Another interesting sample we found in mid-May had the name ” заявка на закупки №113 от компании <НАЗВАНИЕ_КОМПАНИИ> на май 2023 года.js ” (“procurement request No. 113 from <company> for May 2023.js”) and the MD5 hash sum 5f4284115ab9641f1532bb64b650aad6.
Fully obfuscated version of the malicious script
Here, we also see a comment with license and copyright information about the Next.js library, but there is nothing left of the library source code. The malicious code itself is more heavily obfuscated, and the link to the intermediate script hxxp://188[.]227[.]106[.]124/test/js/www.php is invisible to the naked eye.
Second script contents
In this version, the intermediate script downloads three more files: the decoy document zayavka.txt, the payload BLD.exe, and the auxiliary script 1.js. The decoy document in this instance looks more meaningful, and is likely the result of a screenshot-to-text conversion.
Decoy document
Having loaded the files, the www.php script opens the decoy document and runs the 1.js file, which in turn launches the BLD.exe file.
What’s most striking about this instance is the payload.
BLD.exe (MD5: 20014b80a139ed256621b9c0ac4d7076) is an NSIS installer that creates a Silverlight.7z archive in the %PROGRAMDATA%\Usoris\LastVersion folder and extracts several files from it:
| File name | Description |
| libeay32.dll | OpenSSL shared library |
| msimg32.dll | Malicious loader |
| settings.dat | RMS configuration file |
| Silverlight.Configuration.exe | Legitimate Microsoft Silverlight Configuration Utility |
| ssleay32.dll | OpenSSL shared library |
| w32.dat | Archive with RDP Wrapper x32 |
| w64.dat | Archive with RDP Wrapper x64 |
| WUDFHost.exe | Remote Manipulator System |
The next step is to run the legitimate Silverlight.Configuration.exe file. When launched, it loads the dynamic libraries (DLLs) that the program needs, using a relative path. This opens the door to a DLL side-loading attack: the malicious msimg32.dll library and the utility are placed in the same directory, which results in the malicious program being loaded and gaining control instead of the system library. Although the backdoor supports commands for remotely downloading and running files, as well as various methods of executing commands via the Windows command line, the main task of this component is to start the Remote Manipulator System (RMS) as a service and send the RMS session ID to the attackers’ server.
svchost.exe -k "WUDFHostController" -svcr "WUDFHost.exe"
On top of that, msimg32.dll sends information about the computer to the server hxxp://193[.]42[.]32[.]138/api/.
Outgoing request to the server
The sent data is encrypted using the RC4 algorithm with the Host value as the key, which in this case is the IP address of the server, 193.42.32[.]138.
System information sent by the library
RMS is an application that allows users to interact with remote systems over a network. It provides the ability to manage the desktop, execute commands, transfer files and exchange data between devices located in different geographic locations. Typically, RMS uses encryption technologies to protect data and can run on a variety of operating systems. The RMS build distributed by the attackers is also called BurnsRAT.
RMS has support for connecting to a remote computer via Remote Desktop Protocol (RDP), so besides the application itself and files for running it, the NSIS installer saves to the device the w32.dat and w64.dat archives, which contain a set of libraries created using RDP Wrapper to activate additional RDP features.
RDP Wrapper is a program for activating remote desktop features in Windows versions that do not support them by default, such as Windows Home; it also allows multiple users to connect to one system simultaneously.
At its core, RMS is a close analog of NetSupport, but the RMS payload did not gain traction.
BurnsRAT infection chain
Version D (JS + Hosted NSM ZIP)
A few more characteristic changes in the scripts caught our eye in late May 2023. Let’s examine them using a file named “purchase request from LLC <company> No. 3.js” with hash sum 63647520b36144e31fb8ad7dd10e3d21 as an example. The initial script itself is very similar to version B and differs only in the link to the second script, hxxp://45[.]133[.]16[.]135/zayavka/www.php. But unlike version B, the BAT file for installing NetSupport RAT has been completely rewritten.
BAT script contents
In this version, it is located at hxxp://45[.]133[.]16[.]135/zayavka/666.bat, and to install NetSupport it downloads an intermediate PowerShell script hxxp://45[.]133[.]16[.]135/zayavka/1.yay, which in turn downloads and unpacks the NetSupport RAT archive from hxxp://golden-scalen[.]com/ngg_cl.zip. The contents of the archive are identical in every way to the NetSupport version installed by the version B script.
PowerShell script contents
Version D infection chain
Version E (JS + Embedded NSM ZIP)
The next notable, but less fundamental changes appeared in June 2023. Instead of downloading the encoded ZIP archive with NetSupport RAT, the attackers began placing it inside the script. This caused the script to increase in size. In addition, the comment in the file header was replaced with one from the Backbone.js library.
Snippet of the third version of the script
Starting around September 2023, the NetSupport RAT files were split into two archives; and since February 2024, instead of text bait files, the attackers have been striving for greater plausibility by using PDF documents which were also contained in the script code.
Version E decoy document
Version E infection chain
Attribution
All NetSupport RAT builds detected in the campaign contained one of three license files with the following parameters:
| File 1 | licensee=HANEYMANEY serial_no=NSM385736 |
| File 2 | licensee=DCVTTTUUEEW23 serial_no=NSM896597 |
| File 3 | licensee=DERTERT serial_no=NSM386098 |
License files
These license files were also used in various other unrelated campaigns. For instance, they’ve been seen in mailings targeting users from other countries, such as Germany. And they’ve cropped up in NetSupport RAT builds linked to the TA569 group (also known as Mustard Tempest or Gold Prelude). Note that licenses belonging to HANEYMANEY and DCVTTTUUEEW23 featured in the Horns&Hooves campaign for a short span before being completely dislodged by a license issued in the name of DERTERT three months later.
| HANEYMANEY | DCVTTTUUEEW23 | DERTERT | |
| Date of creation in the comment in the file | 2022.07.17 | 2014.03.29 | 2017.07.26 |
| Date from the file attributes in the archive | 2022.07.17 | 2023.03.29 | 2022.07.26 |
| Observed as part of the campaign | 2023.04.17 | 2023.05.28 | 2023.07.09 |
The fact that Horns&Hooves uses the same licenses as TA569 led us to suspect a possible connection between the two. That said, because license files alone are insufficient to attribute malicious activity to TA569, we decided to look for other similarities. And so we compared the various configuration files that featured in the Horns&Hooves campaign and those used by TA569 – and found them to be near identical. As an example, let’s consider the Horns&Hooves configuration file (edfb8d26fa34436f2e92d5be1cb5901b) and the known configuration file of the TA569 group (67677c815070ca2e3ebd57a6adb58d2e).
Comparing the Horns&Hooves and TA569 configuration files
As we can see, everything matches except the domains and ports. The Gateway Security Key (GSK) field warrants special attention. The fact that the values match indicates that the attackers use the same security key to access the NetSupport client. And this means that the C2 operators in both cases most likely belong to TA569.
We checked if the key GSK=GF<MABEF9G?ABBEDHG:H had been seen in other campaigns that could not be attributed to either Horns&Hooves or TA569, and found none. Besides this key, we encountered another value in the Horns&Hooves campaign, GSK=FM:N?JDC9A=DAEFG9H<L>M; and in later versions there appeared one more version of the key, which was set with the parameter SecurityKey2=dgAAAI4dtZzXVyBIGlsJn859nBYA.
What happens after RMS or NetSupport RAT is installed
The installation of BurnsRAT or NetSupport RAT is only an intermediate link in the attack chain, giving remote access to the computer. In a number of cases, we observed attempts to use NetSupport RAT to install stealers such as Rhadamanthys and Meduza. However, TA569 generally sells access to infected computers to other groups, for example, to install ransomware Trojans.
But it’s possible that the attackers may collect various documents and email addresses to further develop the campaign, since the earliest scripts distributed Rhadamanthys instead of NetSupport RAT.
Takeaways
This post has looked in detail at several ways of delivering and using legitimate software for malicious purposes as part of a sustained campaign. Over the course of the campaign, the attackers changed some of their tactics and experimented with new tools. For instance, they gradually moved away from using additional servers to deliver the payload, leaving only two as a result, which the remote administration software itself uses. Also, the attackers initially weaponized BurnsRAT, but then abandoned it and placed all the program code for installing and running NetSupport RAT in a single script. They probably found this approach more efficient in terms of both development and difficulty of detection.
We were able to determine with a high degree of certainty that the campaign is linked to the TA569 group, which gains access to organizations and then sells it to other cybercriminals on the dark web. Depending on whose hands this access falls into, the consequences for victim companies can range from data theft to encryption and damage to systems. We also observed attempts to install stealers on some infected machines.
Indicators of compromise
Malicious file hashes
Version A
327a1f32572b4606ae19085769042e51 — HTA
34eb579dc89e1dc0507ad646a8dce8be — bat_install.bat
Version B
b3bde532cfbb95c567c069ca5f90652c — JS
29362dcdb6c57dde0c112e25c9706dcf — www.php
882f2de65605dd90ee17fb65a01fe2c7 — installet_bat_vbs.bat
Version C
5f4284115ab9641f1532bb64b650aad6 — JS
0fea857a35b972899e8f1f60ee58e450 — www.php
20014b80a139ed256621b9c0ac4d7076 — BLD.exe
7f0ee078c8902f12d6d9e300dabf6aed — 1.js
Version D
63647520b36144e31fb8ad7dd10e3d21 — JS
8096e00aa7877b863ef5a437f55c8277 — www.php
12ab1bc0989b32c55743df9b8c46af5a — 666.bat
50dc5faa02227c0aefa8b54c8e5b2b0d — 1.yay
e760a5ce807c756451072376f88760d7 — ngg_cl.zip
Version E
b03c67239e1e774077995bac331a8950 — 2023.07
ba69cc9f087411995c64ca0d96da7b69 — 2023.09
051552b4da740a3af5bd5643b1dc239a — 2024.02
BurnsRAT C&C
hxxp://193[.]42[.]32[.]138/api/
hxxp://87[.]251[.]67[.]51/api/
Links, version A
hxxp://31[.]44[.]4[.]40/test/bat_install.bat
hxxps://golden-scalen[.]com/files/*
Links, version B
hxxp://188[.]227[.]58[.]243/pretencia/www.php
hxxp://188[.]227[.]58[.]243/zayavka/www.php
hxxp://188[.]227[.]58[.]243/pretencia/installet_bat_vbs.bat
hxxps://golden-scalen[.]com/files/*
Links, version C
hxxp://188[.]227[.]106[.]124/test/js/www.php
hxxp://188[.]227[.]106[.]124/test/js/BLD.exe
hxxp://188[.]227[.]106[.]124/test/js/1.js
Links, version D
hxxp://45[.]133[.]16[.]135/zayavka/www.php
hxxp://45[.]133[.]16[.]135/zayavka/666.bat
hxxp://45[.]133[.]16[.]135/zayavka/1.yay
hxxp://golden-scalen[.]com/ngg_cl.zip
Client32.ini for Horns&Hooves
edfb8d26fa34436f2e92d5be1cb5901b
3e86f6fc7ed037f3c9560cc59aa7aacc
ae4d6812f5638d95a82b3fa3d4f92861
Client32.ini known to belong to TA569
67677c815070ca2e3ebd57a6adb58d2e
Nsm.lic
17a78f50e32679f228c43823faabedfd — DERTERT
b9956282a0fed076ed083892e498ac69 — DCVTTTUUEEW23
1b41e64c60ca9dfadeb063cd822ab089 — HANEYMANEY
NetSupport RAT C2 centers for Horns&Hooves
xoomep1[.]com
xoomep2[.]com
labudanka1[.]com
labudanka2[.]com
gribidi1[.]com
gribidi2[.]com
C2 centers known to be linked to TA569
shetrn1[.]com
shetrn2[.]com
securelist.com/horns-n-hooves-…
Building Experience and Circuits for Lithium Capacitors
For the cautious, a good piece of advice is to always wait to buy a new product until after the first model year, whether its cars or consumer electronics or any other major purchase. This gives the manufacturer a year to iron out the kinks and get everything ship shape the second time around. But not everyone is willing to wait on new tech. [Berto] has been interested in lithium capacitors, a fairly new type of super capacitor, and being unwilling to wait on support circuitry schematics to magically show up on the Internet he set about making his own.
The circuit he’s building here is a solar charger for the super capacitor. Being a fairly small device there’s not a lot of current, voltage, or energy, but these are different enough from other types of energy storage devices that it was worth taking a close look and designing something custom. An HT7533 is used for voltage regulation with a Schottky diode preventing return current to the solar cell, and a DW01 circuit is used to make sure that the capacitor doesn’t overcharge.
While the DW01 is made specifically for lithium ion batteries, [Berto] found that it was fairly suitable for this new type of capacitor as well. The capacitor itself is suited for many low-power, embedded applications where a battery might add complexity. Capacitors like this can charge much more rapidly and behave generally more linearly than their chemical cousins, and they aren’t limited to small applications either. For example, this RC plane was converted to run with super capacitors.
IRLANDA. Lo Sinn Féin rincula, l’estrema destra non sfonda
@Notizie dall'Italia e dal mondo
Alle elezioni politiche in Irlanda risultato inferiore alle aspettative per i repubblicani dello Sinn Fein, mentre l'estrema destra aumenta i voti ma non sfonda
L'articolo IRLANDA. Lo Sinn Féin rincula, l’estrema destra non sfonda proviene da Pagine Esteri.
Notizie dall'Italia e dal mondo reshared this.
Data breach: AIAD
@Informatica (Italy e non Italy 😁)
AIAD è la Federazione, membro di Confindustria, in rappresentanza delle Aziende Italiane per l’Aerospazio, la Difesa e la Sicurezza. Chi è AIAD Dal portale di AIAD si apprende che la […]
L'articolo Data breach: AIAD proviene da Edoardo Limone.
L'articolo proviene dal blog dell'esperto di #Cybersecurity edoardolimone.com/2024/12/02/d…
Informatica (Italy e non Italy 😁) reshared this.
È disponibile il nuovo numero della newsletter del Ministero dell’Istruzione e del Merito.
Ministero dell'Istruzione
#NotiziePerLaScuola È disponibile il nuovo numero della newsletter del Ministero dell’Istruzione e del Merito.Telegram
ChatGPT è stato Hackerato? Va In Crash All’inserimento Della Parola David Mayer!
Un membro di Red Hot Cyber, Agostino pellegrino, ci porta all’attenzione un comportamento molto strano di Chat-GPT, il modello linguistico di OpenAI. Il modello va costantemente in crash quando viene inserito un nome di una persona all’interno del prompt.
Tale crash si verifica ogni volta che viene digitato il nome di “David Mayer”, indipendentemente dal tipo di prompt utilizzato. Questo problema potrebbe far pensare a dei segnali di compromissione del LLM portando a sospetti che qualcosa stia alterando il normale processo di risposta.
Il comportamento anomalo riscontrato
Agostino ha segnalato che una volta inserito il nome di una persona in una richiesta a ChatGPT, il sistema si blocca o va in crash. Questo malfunzionamento non sembra essere limitato a singoli utenti, ma si presenta a chiunque tenti di utilizzare il modello. Questo avviene indipendentemente dal contesto o dalla natura della domanda.
I test condotti su più prompt e su diversi dispositivi confermano che il problema è replicabile, suggerendo che non si tratti di un errore casuale. Potrebbe trattarsi di un difetto intrinseco nel sistema ed avviene anche con particolari “escape”.
Cosa Potrebbe Essere Accaduto?
Ci potrebbero essere svariate motivazioni relativamente a questo comportamento anomalo che possono essere:
- Hacking del modello: Attività malevola che ha fornito input al modello per evitare di elaborare richieste per specifiche di testo. Potrebbe trattarsi di un attacco di avvelenamento dei dati e dei dataset.
- Filtro o Censura: Un’altra possibilità è che il nome in questione venga erroneamente trattato come un termine sensibile o inappropriato. Questi filtri sono progettati per prevenire l’uso improprio del sistema, ma talvolta possono generare risultati indesiderati.
- Problemi Legati al Training del Modello: Un’altra ipotesi è che il modello sia stato addestrato su dati che includono problematiche relative a quel nome specifico. In tal caso, il modello potrebbe incorrere in conflitti durante la generazione di risposte, causando crash o interruzioni. Potrebbe trattarsi di un risultato di un training impreciso, dove la presenza di certe informazioni porta a un comportamento anomalo.
- Problema con le Risorse di Sistema: In alcuni casi, l’inserimento di determinati input può comportare un utilizzo eccessivo delle risorse di calcolo, come la memoria o la CPU. Se il nome richiama una serie complessa di calcoli o riferimenti, potrebbe essere la causa del crash. Questo potrebbe essere dovuto a un problema di ottimizzazione del codice che non gestisce correttamente grandi quantità di dati associati a determinati input.
- Infiltrazione di Malicious Input: Sebbene meno probabile, c’è anche la possibilità che il nome inserito sia stato utilizzato per testare vulnerabilità nel sistema da parte di attaccanti. Un nome specifico potrebbe essere parte di un tentativo di exploit che mira a far fallire il sistema, anche se al momento non ci sono prove concrete a supporto di questa teoria.
Conclusioni
Il malfunzionamento rilevato con ChatGPT, legato all’inserimento di un nome specifico, solleva diverse ipotesi riguardo le cause di questo comportamento. Sebbene non sia chiaro se si tratti di un bug tecnico, un filtro mal configurato o un problema legato al training del modello, è evidente che il problema merita attenzione. OpenAI dovrà approfondire l’indagine su questo caso per garantire che il modello funzioni correttamente senza compromettere l’affidabilità e la sicurezza del sistema. Finché la causa non sarà chiarita, gli utenti potrebbero trovarsi di fronte a comportamenti imprevisti, e l’esperienza con ChatGPT potrebbe risentirne.
Chi è David Mayer?
Andando a ricercare su Wikipedia, David Mayer è un membro della famiglia Rothschild , il più giovane dei tre figli di Victoria Lou Schott (1949 – 18 gennaio 2021) e Sir Evelyn de Rothschild (1931–2022) della famiglia di banchieri Rothschild d’Inghilterra .
Il suo secondo nome “Mayer” deriva dal nome del fondatore dell’impero bancario della famiglia Rothschild , Mayer Amschel Rothschild . Il più giovane erede della fortuna bancaria della sua famiglia, Rothschild è nato nel 1978 a Londra, Inghilterra. Sua madre era americana, figlia di Marcia Lou (nata Whitney) e dello sviluppatore immobiliare Lewis M. Schott. È il fratello minore di Anthony de Rothschild e Jessica de Rothschild.
Da adolescente, Rothschild era un saltatore di cavalli di alto livello nella squadra juniores britannica. In seguito abbandonò lo sport per proseguire gli studi, affermando in un’intervista al The New Yorker “Ho capito che nella vita c’era di più che passare ore e ore e ore su un cavallo”. Dopo aver lasciato la Harrow School nel 1996, frequentò l’Oxford Brookes, dove ottenne una laurea triennale (con lode) in Scienze politiche e Sistemi informativi . Nel 2002, Rothschild studiò al College of Naturopathic Medicine di Londra, dove ricevette un diploma avanzato in Medicina naturale, ND.
L'articolo ChatGPT è stato Hackerato? Va In Crash All’inserimento Della Parola David Mayer! proviene da il blog della sicurezza informatica.
Zero-Day For Sale! n4pster mette in vendita una RCE su Control-WebPanel (CWP)
Un attore di minacce, noto come “n4pster“, ha recentemente pubblicato un annuncio sul forum Underground Exploit per la vendita di exploit zero-day, prendendo di mira Control-WebPanel (CWP), il sistema operativo Uniview DVR e il sistema operativo Raisecom Router.
Questi exploit offrono capacità di esecuzione di codice remoto (RCE) in pre-autenticazione, consentendo agli attaccanti di ottenere l’accesso root ai sistemi vulnerabili. I prezzi richiesti per questi exploit variano da $45,000 a $150,000, a seconda del sistema di destinazione.
Motivazioni dell’Attore di Minacce
L’attore di minacce è motivato dal guadagno finanziario attraverso la vendita di exploit zero-day e la potenziale collaborazione su altre vulnerabilità non divulgate. Questo approccio strategico indica una sofisticata comprensione del mercato cybercriminale e un intento chiaro di monetizzare le vulnerabilità scoperte.
Tecnologie e Settori Mirati
Sebbene il post non specifichi settori particolari, le tecnologie prese di mira suggeriscono potenziali impatti su infrastrutture IT, sorveglianza e telecomunicazioni. Le organizzazioni che utilizzano Control-WebPanel, Uniview DVR OS e Raisecom Router OS sono particolarmente a rischio, con milioni di istanze vulnerabili esposte online.
Dettagli degli Exploit
- Control-WebPanel (CWP): RCE (senza autenticazione) per root – Prezzo richiesto: $150,000
- Uniview DVR OS: RCE (senza autenticazione) per root – Prezzo richiesto: $80,000
- Raisecom Router OS: RCE (senza autenticazione) per root – Prezzo richiesto: $45,000
N4pster afferma che queste vulnerabilità sono state sviluppate di recente, testate e non vendute, suggerendo che sono sconosciute alle aziende interessate e alla comunità di cybersecurity più ampia. Inoltre, n4pster è aperto a collaborazioni su altre vulnerabilità zero-day non divulgate, indicando un approccio strategico alla collaborazione e alla monetizzazione nell’ecosistema cybercriminale.
Conclusione
Le organizzazioni che utilizzano Control-WebPanel, Uniview DVR o Raisecom Router OS dovrebbero dare priorità alla gestione delle patch e scansionare regolarmente le vulnerabilità. Mantenere i sistemi aggiornati con le ultime patch di sicurezza può mitigare il rischio posto dagli exploit zero-day. La vendita di exploit zero-day da parte di attori di minacce come n4pster rappresenta un rischio significativo per le organizzazioni che utilizzano le tecnologie prese di mira. È essenziale che i team di sicurezza implementino misure proattive per proteggere le loro infrastrutture e ridurre il rischio di compromissioni. La collaborazione tra le aziende e la comunità di cybersecurity è fondamentale per affrontare queste minacce emergenti e proteggere le risorse critiche.
L'articolo Zero-Day For Sale! n4pster mette in vendita una RCE su Control-WebPanel (CWP) proviene da il blog della sicurezza informatica.
Balancing Balls With A Touchpad
Energy is expensive these days. There’s no getting around it. If, like [Giovanni], you want to keep better track of your usage, you might find value in his DIY energy meter build.
[Giovanni] built his energy meter to monitor energy usage in his whole home. An ESP32 serves as the heart of this build. It’s hooked up with a JSY-MK-194G energy metering module, which uses a current clamp and transformer in order to accurately monitor the amount of energy passing through the mains connection to his home. With this setup, it’s possible to track voltage, current, frequency, and power factor, so you can really nerd out over the electrical specifics of what’s going on. Results are then shared with Home Assistant via the ESPHome plugin and the ESP32’s WiFi connection. This allows [Giovanni] to see plots of live and historical data from the power meter via his smartphone.
A project like this one is a great way to explore saving energy, particularly if you live somewhere without a smart meter or any other sort of accessible usage tracking. We’ve featured some of [Giovanni’s] neat projects before, too. Video after the break.
youtube.com/embed/hP4fDkFyy3w?…
Futuro ipersonico. Si apre un nuovo capitolo per la Uss Zumwalt
@Notizie dall'Italia e dal mondo
La USS Zumwalt, il primo dei tre cacciatorpediniere stealth della sua classe, è attualmente in fase di retrofit presso un cantiere navale in Mississippi, dove gli operai stanno installando nuovi tubi di lancio per missili ipersonici. Questo intervento è finalizzato a sostituire i due sistemi di artiglieria “nativi” del
Notizie dall'Italia e dal mondo reshared this.
AFRICA. Biden in Angola, lo scontro con la Cina ora corre su una linea ferroviaria
@Notizie dall'Italia e dal mondo
Il presidente uscente comincia il viaggio in Africa, annunciato da anni, per dare il via a una rotta alternativa a quella di Pechino per il trasporto di minerali strategici
L'articolo AFRICA. Biden in Angola, lo scontro con la Cina ora corre su una
Notizie dall'Italia e dal mondo reshared this.
Israele. Ministri insistono per colonizzare Gaza e “ridurre la popolazione”.
@Notizie dall'Italia e dal mondo
Coloni e attivisti di destra, portati di nascosto nella Striscia dai soldati, affermano che sono pronti a trasferirsi nel territorio palestinese
L'articolo Israele. Ministri insistono per colonizzare Gaza e “ridurre la popolazione”. proviene da Pagine
Notizie dall'Italia e dal mondo reshared this.
Cammina per 8 ore al giorno in una tuta spaziale per 6000 dollari. No, non è uno scherzo!
Elon Musk, noto per le sue ambiziose iniziative nei veicoli elettrici, nell’esplorazione spaziale e persino nei
social media, sta ora rivolgendo la sua attenzione alla robotica in grande stile. Tesla, sotto la guida di Musk, sta lavorando attivamente allo sviluppo di robot umanoidi, in particolare del robot “Optimus“, e questo nuovo annuncio di lavoro fa parte di tale sforzo.
La posizione in sé è un po’ fuori dall’ordinario. Comporta l’indossare una tuta di motion capture e un visore VR per simulare il movimento umano per i robot Tesla. L’obiettivo? Insegnare a questi robot come muoversi ed eseguire compiti nel mondo reale. Da azioni semplici come sedersi, stare in piedi e girarsi a movimenti più complessi, i dipendenti aiuteranno a costruire la prossima generazione di robot umanoidi che potrebbero potenzialmente rivoluzionare settori che vanno dalla produzione alle faccende domestiche quotidiane.
Sebbene l’idea di lavorare con tecnologie all’avanguardia possa sembrare entusiasmante, le esigenze fisiche di questo ruolo non sono per i deboli di cuore. I dipendenti devono camminare fino a otto ore al giorno, indossando una tuta con sensore di movimento e un visore VR. La tuta, che traccia i movimenti e i gesti, e il visore VR, che immerge chi lo indossa in un ambiente digitale, presentano entrambi una serie di sfide.
Tesla fa notare che questo tipo di lavoro può essere fisicamente impegnativo, con alcuni dipendenti che sperimentano disorientamento o addirittura nausea a causa dell’uso di apparecchiature VR. L’azienda è sincera riguardo al potenziale disagio, avvisando i candidati che le esperienze di realtà virtuale possono talvolta causare sintomi di cinetosi, qualcosa da tenere a mente prima di iscriversi.
Ma le potenziali ricompense sono significative. Il ruolo è accompagnato da uno stipendio competitivo, con alcune posizioni che offrono fino a 6.000 € al mese. Considerati gli orari impegnativi e la natura fisica del lavoro, quello stipendio è più di una semplice compensazione per il tuo tempo: è un riconoscimento dell’energia e dello sforzo necessari per aiutare a insegnare ai robot come replicare i movimenti umani.
L’ambiziosa mossa di Tesla nella robotica non riguarda solo la creazione di un robot per il bene dell’innovazione; Musk ha affermato da tempo che i robot umanoidi rivoluzioneranno il mercato del lavoro e la sua visione sta iniziando a prendere forma. Il robot Optimus, presentato per la prima volta alla fine del 2023, è progettato per svolgere compiti che vanno dallo spostamento di oggetti allo svolgimento delle faccende domestiche.
L'articolo Cammina per 8 ore al giorno in una tuta spaziale per 6000 dollari. No, non è uno scherzo! proviene da il blog della sicurezza informatica.
Gli Hacker Criminali di BASHE rivendicano un Attacco Informatico allo Stadio San Siro
Dopo l’attacco al Bologna calcio da noi anticipato e successivamente confermato dalla Bologna Calcio con un comunicato stampa apposito, alle 12:00 del 30 novembre la cyber gang BASHE rivendica un presunto attacco informatico ai danni dello Stadio Sansiro di Milano.
Il gruppo sostiene di avere avuto un accesso totale alle macchine delle postazioni principali, le anagrafiche dei calciatori, i contatti anagrafici UEFA, l’accesso ai maxischermi e macchine di controllo. Viene riportato che Sarebbero stati esfiltrati 1TB di dati. Al momento il countdown è fissato a 4 giorni, data dopo la quale i criminali informatici renderanno le informazioni esfiltrate dall’azienda pubbliche.
Attualmente, non possiamo confermare l’autenticità della notizia, poiché l’organizzazione non ha ancora pubblicato un comunicato ufficiale sul proprio sito web in merito all’incidente. Le informazioni riportate provengono da fonti pubbliche accessibili su siti underground, pertanto vanno interpretate come una fonte di intelligence e non come una conferma definitiva.
La gang cybercriminale ha pubblicato una serie di samples nel post, includendo schermate provenienti da postazioni Windows e sistemi di controllo interni dell’azienda. Questa strategia mira a dimostrare l’autenticità dei dati rubati, esercitando una forte pressione sulla vittima.
I criminali minacciano di rendere pubbliche le informazioni, aumentando il rischio per l’azienda, a meno che non venga pagato il riscatto. Tale tattica sfrutta la paura delle conseguenze reputazionali e legali per forzare il pagamento.
All’interno del loro post è presente quanto segue:
*Se vedete che nel blocco della vostra azienda è in corso un timer, avete la possibilità di evitare una fuga di dati. Per farlo, dovete scriverci nel modulo “Contattaci” e indicare i vostri dati. Il nostro team di assistenza vi contatterà a breve per aiutarvi.
Dovete capire che non c'è tempo per pensare, dovete prendere una decisione in fretta, il timer è partito.
Se vedete un pulsante “DOWNLOAD” in fondo alla pubblicazione della vostra azienda, significa che tutti i dati sono disponibili pubblicamente.
Garanzie dopo la transazione:
- La vostra pubblicazione sarà cancellata da questo sito
- Tutte le informazioni scaricate, i dati riservati, i dati personali, i database saranno cancellati dai server.
- Se necessario, vi verranno forniti gli strumenti per decriptare il vostro sistema.
- Vi forniremo informazioni su come evitare attacchi simili in futuro.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
Come proteggersi dal ransomware
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
- Formare il personale attraverso corsi di Awareness;
- Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
- Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
- Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
- Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
- Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
- Non seguire i collegamenti Web non richiesti nelle e-mail;
- Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
- Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
- Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
L'articolo Gli Hacker Criminali di BASHE rivendicano un Attacco Informatico allo Stadio San Siro proviene da il blog della sicurezza informatica.
Italia ed ENI primi nel Supercalcolo in Europa! Acceso il Supercomputer HPC6 a Ferrara
L’Italia, nonostante le difficoltà strutturali e un panorama non sempre favorevole all’innovazione tecnologica, dimostra di poter eccellere nel campo dell’innovazione quando esistono visione e investimenti adeguati.
Un esempio concreto è l’accensione del supercomputer di Eni a Ferrara, un risultato che sottolinea come sia possibile raggiungere livelli di eccellenza anche nel nostro Paese. Il supercomputer, primo in Europa per potenza di calcolo, rappresenta una testimonianza tangibile che, con le giuste condizioni, l’Italia può competere e primeggiare a livello internazionale.
Il nuovo sistema di calcolo ad alte prestazioni (HPC) di Eni, HPC6 , completato e avviato a novembre 2024, potenzia significativamente la capacità di calcolo del Green Data Center Eni di Ferrera Erbognone , in provincia di Pavia, aumentandone le prestazioni da 70 a 606 milioni di miliardi di operazioni matematiche complesse al secondo, equivalenti a un picco di 606 PFlops .
Classificato al quinto posto a livello mondiale e al primo in Europa nella lista Top500, il sistema è progettato secondo standard di efficienza energetica all’avanguardia.
Una delle innovazioni chiave di HPC6 è il suo nuovo sistema di raffreddamento a liquido , che ottimizza l’assorbimento del calore dalla nuova macchina, rendendola più efficiente dal punto di vista energetico e sostenibile.
HPC6 rafforza i processi di digitalizzazione e innovazione di Eni, fungendo al contempo da risorsa cruciale per implementare la strategia di ENI relativa alla decarbonizzazione e affrontare le sfide della transizione energetica.
HPC6 è l’ultima generazione dei supercomputer moderni. Le sue prestazioni lo rendono il più potente in Europa e uno dei più potenti a livello mondiale, condividendo l’architettura dei sistemi più avanzati al mondo. Queste caratteristiche gli consentono di svolgere un ruolo fondamentale nell’intera filiera energetica. Sarà utilizzato in particolare per ottimizzare le operazioni degli impianti industriali , migliorare l’accuratezza degli studi geologici e fluidodinamici per lo stoccaggio di CO2 e sviluppare batterie ad alte prestazioni.
Sarà inoltre utilizzato per ottimizzare la filiera dei biocarburanti , sviluppare materiali innovativi per applicazioni nei settori della biochimica e simulare il comportamento del plasma nella fusione a confinamento magnetico.
L’elevata potenza di calcolo di HPC6 rafforza il processo di trasformazione di ENI, accelerando lo sviluppo di nuovi business ad alto potenziale legati alla transizione energetica. Inoltre, rafforza la sinergia tra Eni e le sue società Satellite.
HPC6 utilizza la tecnologia Cray EX4000 e Cray ClusterStor E1000 di HPE, raggiungendo una potenza di calcolo di picco di 606 PFlops (Rpeak) e 477 PFlops sostenuti (Rmax), che lo colloca tra le infrastrutture più avanzate del suo genere. Inaugurato nel 2024, il supercomputer HPC6 è installato in un’area dedicata all’interno del Green Data Center di Eni, uno dei data center più efficienti dal punto di vista energetico in Europa, con uno dei più bassi carbon footprint. Qui, il nuovo sistema di raffreddamento a liquido utilizza un approccio liquido “diretto”, che dissipa il 96% del calore generato.
Per ridurre ulteriormente le emissioni di carbonio, il Green Data Center di Ferrera Erbognone , che ospita il supercomputer, è alimentato anche da un impianto fotovoltaico da 1 MW.
HPC6 è costituito da 3.472 nodi di elaborazione , che incorporano un totale di 13.888 GPU. Ogni nodo è dotato di una CPU AMD EPYC™ a 64 core, abbinata a quattro potenti GPU AMD Instinct™ MI250X. La rete HPE Slingshot che supporta il supercomputer garantisce un’interconnessione ad alte prestazioni, veloce e affidabile tra i nodi, consentendo un rapido trasferimento dei dati.
L'articolo Italia ed ENI primi nel Supercalcolo in Europa! Acceso il Supercomputer HPC6 a Ferrara proviene da il blog della sicurezza informatica.
Stripping GoPros To The Bone For Model Rocketry
The small size of action cameras has made them a great solution for getting high-quality experimental footage where other cameras don’t fit. GoPros are [Joe Barnard]’s camera of choice for his increasingly advanced rockets, but even the smallest models don’t quite fit where he needs them. They also overheat quickly, so in the video after the break, he demonstrates how he strips and customizes them to fit his required form factor.
[Joe] starts out with a GoPro HERO10 Bones, which is a minimalist version intended for FPV drones. He likes the quality of the 4K 120 FPS video and the fact that he can update the settings by simply holding up a QR code in front of the camera. The case appears to be ultrasonically welded, so careful work with a Dremel is required to get it open. The reveals the control board with an aluminum heat sink plate, and the sensor module on a short ribbon cable. For minimal drag[Joe] wants just the lens to poke out through the side of the rocket, so he uses slightly longer aftermarket ribbon cables to make this easier.
The camera’s original cooling design, optimized for drone airflow, meant the device would overheat within 5 minutes when stationary. To increase the run time without the need for an external heat sink, [Joe] opts to increase the thermal mass by adding thick aluminum to the existing cooling plate with a large amount of thermal paste. In an attempt to increase heat transfer from the PCB, he also covers the entire PCB with a thick layer of thermal paste. Many of the video’s commenters pointed out that this may hurt more than it helps because the thermal paste is really intended to be used as a thin layer to increase the contact surface to a heat sink. It’s possible that [Joe] might get better results with just a form-fitting thermal block and minimal thermal paste.
[Joe] is permanently epoxying three of these modified cameras into his latest rocket, which is intended to fly at Mach 3, and touch space. This may look like a waste of three relatively expensive cameras, but it’s just a drop in the bucket of a very expensive rocket build.
We’ve seen GoPros get (ab)used in plenty of creative ways, including getting shot from a giant slingshot, and reaching the edge of space on a rocket and a balloon.
youtube.com/embed/JOLnZ3mK8kQ?…
Electrostatic Puck: Making An Electret
You might have heard of electrets being used in microphones, but do you know what it is? Electrets produce a semi-permanent static electric field, similar to a magnet produces a magnetic field. The ones in microphones are very small, but in the video after the break [Jay] from the Plasma Channel makes a big electret and demonstrates it’s effects.
Electrets have been arounds since the 1800s, and are usually produced by melting an insulating material, and letting it solidify between two high-voltage electrodes. The original recipe used a mix of Carnauba wax, beeswax and rosin, which is what [Jay] tried first. He built a simple electric field detector, which is just a battery, LED and FET, with and open-ended resistor on the FET’s gate.
[Jay] 3D printed a simple cylindrical mold and stuck aluminum foil to the outer surfaces to act as the electrodes. He used his custom 6000:1 voltage transformer to hold the electrodes at ~40 kV. The first attempt did not produce a working electret because the electrodes were not in contact with the wax, and kept arcing across, which causes the electric charge to trop of repeatedly. Moving the aluminum electrodes the the inner surfaces of the molds top and larger distance between the plates eventually produced and electret detectable out to 10 inches.
This was with the original wax recipe, but there are now have much better materials available, like polyethylene. [Jay] heated a a block of it in the oven until it turned into a clear blob, and compressed it in a new mold with improved insulation. This produced significantly better results, with an electric field detectable out to 24 inches.
[Jay] also build an detector array, with 25 detectors in a 5×5 array, to help him visualize the size and shape of the field. One of the commenters had an interesting idea to use the detector with long exposure photography to visually map the shape of the electric field.
Besides microphones, static electricity is also useful for motors and speakers.
youtube.com/embed/oTNXXiMO3e8?…
When Transistor Count Mattered
Many Hackaday readers have an interest in retro technology, but we are not the only group who scour the flea markets. Alongside us are the collectors, whose interest is as much cultural as it is technological, and who seek to preserve and amass as many interesting specimens as they can. From this world comes [colectornet], with a video that crosses the bridge between our two communities, examining the so-called transistor wars of the late 1950s and through the ’60s. Just as digital camera makers would with megapixels four or five decades later, makers of transistor radios would cram as many transistors as they could into their products in a game of one-upmanship.
A simple AM transistor radio can be made with surprisingly few components, but for a circuit with a reasonable performance they suggest six transistors to be the optimal number. If we think about it we come up with five and a diode, that’s one for the self-oscillating mixer, one for IF, an audio preamplifier, and two for the audio power amplifier, but it’s possible we’re not factoring in the relatively low gain of a 1950s transistor and they’d need that extra part. In the cut-throat world of late ’50s budget consumer electronics though, any marketing ploy was worth a go. As the price of transistors tumbled but their novelty remained undimmed, manufacturers started creating radios with superfluous extra transistors, even sometimes going as far as to fit transistors which served no purpose. Our curious minds wonder if they bought super-cheap out-of-spec parts to fill those footprints.
The video charts the transistor wars in detail, showing us a feast of tiny radios, and culminating in models which claim a barely credible sixteen transistors. In a time when far more capable radios use a fraction of the board space, the video below the break makes for a fascinating watch.
youtube.com/embed/UJpggY_R5rs?…
Creating a Signature Wood Joint
We really love when makers make their construction techniques evident in an aesthetically-pleasing way, and [Laura Kampf] has created a clever joint that reveals how a piece is made.
[Kampf] is a big fan of using her domino joiner, which is similar to biscuits or dowel joinery, but she didn’t love how it hid the construction of the joint. She first figured out an “off label” use of the joiner by running it from the outside of the joint to show the exposed domino from one end.
Building on the concept to show an interesting contrast on both sides of the joint, she drilled a hole perpendicular the domino and placed a dowel through it, creating a locking joint. The choice looks great once a finish is applied to really accentuate the contrast, and another bonus is that if glue is only applied to the dowel and domino, it becomes trivial to separate the joint if needed by drilling out the dowel.
If you’d like to see some other interesting ways to join wood, how about this laser-cut wedge tenon, soda bottle heat shrink, or this collection of CNC joints.
youtube.com/embed/YeT3lrI34bM?…
Bootkitty: Il primo Bootkit UEFI per Linux che rivoluziona il panorama delle minacce informatiche
Negli ultimi anni, il panorama delle minacce informatiche ha visto una continua evoluzione, con attacchi sempre più sofisticati e mirati. Una delle scoperte più recenti e preoccupanti in questo ambito è “Bootkitty”, il primo bootkit UEFI progettato per colpire i sistemi Linux. Identificato dai ricercatori di ESET, Bootkitty segna una nuova era di attacchi mirati al cuore dei sistemi operativi, infrangendo la percezione di Linux come una piattaforma relativamente sicura.
Che cos’è Bootkitty?
Bootkitty è un malware avanzato che sfrutta le vulnerabilità del processo di avvio dei sistemi Linux attraverso il firmware UEFI. Per capire la portata di questa minaccia, è necessario comprendere che un bootkit UEFI agisce a un livello estremamente profondo del sistema, intervenendo nei primi stadi dell’avvio per compromettere l’integrità del sistema operativo. Questo rende il malware non solo difficile da rilevare, ma anche estremamente resistente alle operazioni di rimozione.
Scoperto per la prima volta il 5 novembre 2024, Bootkitty sembra essere ancora in una fase iniziale, forse un proof-of-concept. Tuttavia, la sua sofisticazione tecnica suggerisce che potrebbe essere utilizzato in futuro per attacchi mirati di alto profilo.
Il funzionamento di Bootkitty
Il funzionamento di Bootkitty è illustrato in un diagramma dettagliato che ne rivela l’architettura e le modalità di attacco. Vediamo i principali passaggi:
- L’ingresso nella partizione UEFI L’attacco inizia con l’infiltrazione nella partizione di sistema UEFI, dove il malware modifica o sostituisce file critici come
shimx64.efi. Questo componente diventa il veicolo principale per caricare il bootkit all’interno del sistema, bypassando le protezioni di sicurezza standard. - La manipolazione del bootloader GRUB Una volta penetrato nel sistema, Bootkitty prende di mira GRUB, il bootloader comunemente utilizzato su Linux. Modifica GRUB per disabilitare la verifica delle firme digitali, garantendo così il caricamento di file binari malevoli durante il processo di avvio.
- Compromissione del kernel Linux Il malware si spinge ancora oltre, intervenendo durante la decompressione del kernel Linux. Qui, Bootkitty modifica le funzioni di controllo dell’integrità e inietta codice malevolo, consentendo di aggirare i controlli di sicurezza e caricare moduli dannosi.
- Caricamento di binari ELF malevoli Attraverso la manipolazione della variabile LD_PRELOAD, Bootkitty carica file ELF sconosciuti, identificati come
/opt/injector.soe/init. Questi file vengono eseguiti prima dell’inizializzazione completa del sistema, permettendo al malware di installarsi profondamente e garantire il proprio funzionamento. - Persistenza e occultamento Infine, Bootkitty utilizza un modulo kernel associato chiamato “BCDropper” per mantenere la propria persistenza. Questo modulo implementa funzioni tipiche dei rootkit, come l’occultamento di file, processi e porte di comunicazione, rendendo estremamente difficile per i sistemi di sicurezza rilevarlo.
Un attacco rivoluzionario
Il diagramma del flusso di attacco evidenzia quanto sia avanzata l’architettura di Bootkitty. Ogni passaggio è progettato con cura per eludere i controlli di sicurezza, sfruttando vulnerabilità sia del firmware UEFI che del kernel Linux. L’introduzione di un bootkit per Linux rappresenta un cambiamento importante, dimostrando che anche piattaforme considerate sicure non sono immuni agli attacchi mirati.
Un aspetto interessante è che Bootkitty è firmato con un certificato auto-generato. Questo significa che su sistemi con UEFI Secure Boot abilitato, il malware non può essere eseguito a meno che l’attaccante non abbia già installato il proprio certificato. Tuttavia, su sistemi con Secure Boot disabilitato o configurato in modo errato, Bootkitty può agire senza restrizioni.
Una possibile connessione con BlackCat
Alcuni componenti di Bootkitty, come il modulo “BCDropper”, hanno spinto i ricercatori a ipotizzare una possibile connessione con il noto gruppo ransomware ALPHV, conosciuto anche come BlackCat. Tuttavia, al momento non ci sono prove concrete che colleghino Bootkitty a questo gruppo, lasciando aperta la questione sulla vera origine del malware.
Le implicazioni di Bootkitty
Bootkitty rappresenta un segnale d’allarme per la comunità della sicurezza informatica. Linux, tradizionalmente visto come una piattaforma più sicura rispetto a Windows, è ora chiaramente un bersaglio per attacchi sofisticati. Questa scoperta evidenzia l’importanza di rafforzare le difese anche su sistemi che in passato potevano essere considerati meno vulnerabili.
Come difendersi
Per mitigare il rischio di attacchi come Bootkitty, è fondamentale adottare misure preventive:
- Mantenere aggiornati i sistemi: Assicurarsi che il firmware UEFI e il sistema operativo siano sempre aggiornati con le ultime patch di sicurezza.
- Abilitare UEFI Secure Boot: Configurare Secure Boot in modo sicuro per accettare solo certificati affidabili.
- Monitorare la partizione UEFI: Utilizzare strumenti avanzati per rilevare modifiche non autorizzate ai file di sistema critici.
- Implementare soluzioni di sicurezza avanzate: Adottare software in grado di monitorare e analizzare il processo di avvio per identificare comportamenti anomali.
Conclusioni
Bootkitty non è solo un malware; è un campanello d’allarme che ci ricorda come la sicurezza informatica debba essere sempre considerata una priorità, indipendentemente dalla piattaforma. La sua complessità tecnica e il livello di sofisticazione dimostrano che gli attaccanti stanno spingendo i limiti delle loro capacità per compromettere sistemi apparentemente sicuri.
Per affrontare queste nuove sfide, è necessario un approccio proattivo e una collaborazione continua tra esperti di sicurezza, aziende e sviluppatori. Solo così possiamo prepararci a difendere i nostri sistemi dalle minacce emergenti come Bootkitty, che rappresentano la nuova frontiera della cybercriminalità.
L'articolo Bootkitty: Il primo Bootkit UEFI per Linux che rivoluziona il panorama delle minacce informatiche proviene da il blog della sicurezza informatica.
🎯"Colleghi, sarò estremamente felice di vedervi in prima linea al fronte, visto che siete così contenti di illustrare dalla mattina alla sera in quest'aula come dobbiamo condurre una guerra infinita contro la Federazione russa"
L'intervento dell' eurodeputato Mazurek tradotto in italiano
Guerra, deputato umilia l'Europarlamento ▷ "Sarò felice di vedervi al fronte. Ma no, voi non ci andrete"
radioradio.it/2024/12/guerra-d…
Tailwheel Trainer Go-Cart To Avoid Wrecked Planes
Taildraggers remain a popular configuration for small aircraft, but they come with a significant risk during ground handling: ground loops. If the tail gets too far off course, it can swing around completely, often damaging or destroying aircraft if a wing hits the ground. Avoiding ground loops requires good rudder and brake control, and there currently isn’t a good way to learn it without getting into an actual aircraft. [Trent Palmer] is a pilot and who has been thinking about this problem for a few years, so he built a 3-wheeled electric go-cart to help pilots train their ground handling.
The cart is controlled exactly like a taildragger, with a pair of rudder pedals connected to the single steerable via cables, and springs to add some response delay. Independent hydraulic brakes on each main wheel, operated by toe pedals, further simulate the control on many aircraft. The main wheel are controlled with a throttle lever, with a differential to allow them to rotate at different speeds. The cart is unforgiving, and requires constant corrections with the pedals to keep it going straight.[Trent] had few pilot and non-pilot friends try out the cart, and even the experienced tailwheel pilots got into ground loop. It might be bit too sensitive, but everyone agreed that mastering this cart would significantly improve ground handling skills in actual aircraft.
Repairing a damaged aircraft can cost several thousand dollar, so a cheap training tool like this could prove invaluable flight schools and even individual pilots. [Trent] doesn’t have big plans for commercialization, but we wouldn’t be surprised if it goes that way.
Taildraggers are especially popular as bush planes, with many tracing their heritage from the humble Piper J-3 Cub. We’ve seen some extreme extreme modern bush planes, like [Mike Patey]’s Scrappy and Draco builds.
youtube.com/embed/CkeKbVq42Iw?…
Non ho il freezer, per cui l'opzione borsa termica col siberino dentro non è percorribile.
Cerca che ti cerca, ho scoperto delle geniali pochette per insulina che si attivano solo con acqua e tengono in fresco fino a 45 ore. Ne ho ordinata una: la provo appena arriva, sono curiosa di vedere quanto raffredda!
(Marca Frio, se interessa a qualcuno)
#hpv #vaccinazione #medicinali
like this
reshared this
djpanini likes this.
Rockstar 2FA: Il Kit di Phishing che Bypassa l’MFA e Rende il Crimine Accessibile
Considerare l’autenticazione multifattore (MFA) come una difesa assolutamente inviolabile non solo è un errore, ma una pericolosa sottovalutazione. Un toolkit chiamato Rockstar 2FA, sta prendendo di mira gli utenti di Microsoft 365 e Google con attacchi sofisticati che sfruttano la tecnica Adversary-in-the-Middle (AiTM). Questo metodo permette agli attaccanti di intercettare in tempo reale credenziali e cookie di sessione, bypassando anche le protezioni MFA più avanzate.
Il Toolkit
Rockstar 2FA è un kit di phishing-as-a-service (PhaaS) che, per una cifra contenuta di $200 per due settimane o $350 al mese, consente anche ai criminali informatici meno esperti di lanciare campagne sofisticate. Questo strumento avanzato offre funzionalità come il bypass dell’MFA, permettendo il furto dei cookie di sessione, protezione antibot per evitare i rilevamenti automatizzati, e la possibilità di creare temi personalizzabili che replicano perfettamente le pagine di login di servizi noti. Inoltre, i link generati sono FUD (Fully Undetectable), cioè totalmente invisibili ai sistemi di sicurezza, e l’interfaccia fornisce un pannello di controllo intuitivo, che consente ai criminali di gestire e monitorare facilmente le loro campagne. Queste caratteristiche rendono Rockstar 2FA uno strumento potente e pericoloso, accessibile anche a chi ha poca esperienza tecnica, trasformando il crimine informatico in un’attività sempre più strutturata e professionale.
Come funziona l’attacco?
Rockstar 2FA sfrutta una combinazione di vettori di attacco per colpire le sue vittime, utilizzando URL camuffati, codici QR e allegati dannosi inviati tramite account compromessi o strumenti di spamming. Una delle sue caratteristiche più insidiose è l’uso di piattaforme legittime come Google Docs Viewer e Microsoft OneDrive per ospitare i link di phishing, sfruttando così la fiducia degli utenti in questi servizi. Le false pagine di login, create con un’accuratezza estremamente dettagliata, imitano perfettamente quelle dei servizi reali. Una volta che l’utente inserisce le credenziali, queste vengono immediatamente inviate al server dell’attaccante, consentendogli di ottenere anche i cookie di sessione e aggirare le misure di autenticazione MFA.
La minaccia di Rockstar 2FA si inserisce in una tendenza più ampia, in cui il phishing diventa sempre più accessibile e sofisticato grazie a strumenti come i phishing-as-a-service. Campagne parallele, come quella recentemente individuata da Malwarebytes e denominata Beluga, mostrano come i criminali utilizzino allegati dannosi per sottrarre credenziali, mentre altre operazioni fraudolente continuano a diffondere applicazioni dannose con la promessa di guadagni facili. Questi esempi sottolineano quanto sia fondamentale per le aziende e gli utenti finali mantenere alta la guardia contro attacchi sempre più avanzati e su misura.
Come difendersi?
In un contesto dove persino l’MFA può essere aggirato, la sicurezza richiede un approccio a 360 gradi. Ecco alcune misure essenziali:
- Monitoraggio continuo dei sistemi: monitorare in tempo reale per rilevare accessi sospetti e comportamenti anomali.
- Implementazione di soluzioni anti-phishing avanzate: soluzioni in grado di analizzare i link in tempo reale e bloccare quelli dannosi prima che raggiungano l’utente.
- Sensibilizzazione degli utenti: fornire formazione continua per riconoscere e gestire correttamente email sospette, in modo che diventino una prima linea di difesa contro il phishing.
Conclusione
Rockstar 2FA non è solo una minaccia, ma un campanello d’allarme che segnala l’evoluzione del crimine informatico. Con la capacità di aggirare l’autenticazione MFA, il phishing non è più una semplice minaccia, ma un attacco strutturato e mirato che richiede una protezione adeguata.
Le aziende non possono più permettersi di basarsi esclusivamente su soluzioni tradizionali. La protezione contro questi attacchi sofisticati è una necessità strategica, che richiede investimenti in soluzioni avanzate e una vigilanza continua per proteggere le risorse più critiche e salvaguardare la fiducia degli utenti.
L'articolo Rockstar 2FA: Il Kit di Phishing che Bypassa l’MFA e Rende il Crimine Accessibile proviene da il blog della sicurezza informatica.
8-Bit Computers Crunch Advanced Scientific Computations
Although largely relegated to retrocomputing enthusiasts and embedded systems or microcontrollers now, there was a time when there were no other computers available other than those with 8-bit processors. The late 70s and early 80s would have seen computers with processors like the Motorola 6800 or Intel 8080 as the top-of-the-line equipment and, while underpowered by modern standards, these machines can do quite a bit of useful work even today. Mathematician [Jean Michel Sellier] wanted to demonstrate this so he set up a Commodore 64 to study some concepts like simulating a quantum computer.
The computer programs he’s written to do this work are in BASIC, a common high-level language of the era designed for ease of use. To simulate the quantum computer he sets up a matrix-vector multiplication but simplifies it using conditional logic. Everything is shown using the LIST command so those with access to older hardware like this can follow along. From there this quantum computer even goes as far as demonstrating a quantum full adder.
There are a number of other videos on other topics available as well. For example, there’s an AmigaBasic program that simulates quantum wave packets and a QBasic program that helps visualize the statistical likelihood of finding an electron at various locations around a hydrogen nucleus. While not likely to displace any supercomputing platforms anytime soon, it’s a good look at how you don’t need a lot of computing power in all situations. And, if you need a refresher on some of these concepts, there’s an overview on how modern quantum computers work here.
Legge e ordine per i più deboli
@Politica interna, europea e internazionale
L'articolo Legge e ordine per i più deboli proviene da Fondazione Luigi Einaudi.
Politica interna, europea e internazionale reshared this.
Ho sempre avuto una specie di strana passione per i system #monitor, mi piacciono tutti, da top in giù.
Tra quelli grafici, credo di avere appena provato il mio nuovo preferito:
flathub.org/apps/net.nokyan.Re…
Lorena Alsazia
in reply to floreana • • •floreana likes this.
floreana
in reply to Lorena Alsazia • •Ma prego!