Oltre 200.000 siti WordPress sono vulnerabili a causa di un errore critico nel popolare plugin Post SMTP , che consente agli aggressori di ottenere il pieno controllo dell’account amministratore. Alla vulnerabilità è stato assegnato l’identificatore CVE-2025-24000 e interessa tutte le versioni del plugin fino alla 3.2.0 inclusa. Al momento della pubblicazione, la correzione è stata installata su meno della metà dei sistemi che utilizzano questo componente.

Post SMTP è uno strumento per l’invio sicuro di email da siti WordPress, che sostituisce la funzione integrata wp_mail(). Oltre 400.000 installazioni lo rendono una delle soluzioni più popolari nella sua categoria. Tuttavia, a maggio 2025, gli specialisti di PatchStack hanno ricevuto una segnalazione secondo cui la REST API del plugin presentava una logica di controllo degli accessi errata. Invece di verificare i diritti degli utenti, il sistema si limitava al solo controllo dell’autorizzazione, consentendo anche ai visitatori con privilegi bassi, come gli abbonati, di accedere ai dati protetti.

In particolare, un abbonato poteva avviare la reimpostazione della password di amministratore e intercettare l’email corrispondente tramite i log delle email, il cui accesso non era limitato. Ciò creava una scappatoia per assumere il controllo dell’intero pannello amministrativo del sito senza la necessità di sfruttare vulnerabilità di terze parti o di accedere fisicamente al server.

Il problema è stato segnalato allo sviluppatore Saad Iqbal il 23 maggio. Tre giorni dopo, ha fornito un’implementazione aggiornata della funzione get_logs_permission, che implementava un controllo completo dei diritti utente prima di accedere all’API. La versione con la correzione, la 3.3.0, è stata pubblicata l’11 giugno.

Nonostante l’aggiornamento, le statistiche di WordPress.org mostrano una situazione allarmante: oltre il 51% dei siti utilizza ancora versioni vulnerabili. La situazione è particolarmente pericolosa per gli utenti della versione 2.x: secondo una stima, circa 96.800 siti continuano a utilizzare queste versioni, che contengono non solo la vulnerabilità CVE-2025-24000, ma anche altre falle di sicurezza note.

Il problema evidenzia la vulnerabilità sistemica dell’ecosistema WordPress, dove anche gli aggiornamenti di sicurezza più importanti non vengono installati immediatamente. Data la facilità di sfruttamento e l’uso diffuso del plugin, è prevedibile che gli attacchi a risorse non protette continueranno e diventeranno più diffusi. L’eliminazione della minaccia richiede un aggiornamento immediato alla versione 3.3.0 o superiore.

L'articolo Vulnerabilità critica nel plugin Post SMTP di WordPress: oltre 200.000 siti a rischio proviene da il blog della sicurezza informatica.

Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei trasporti e delle assicurazioni. Questi attacchi non sfruttano le vulnerabilità software tradizionali, ma dimostrano invece una padronanza di tecniche di ingegneria sociale che consentono loro di bypassare anche i sistemi più sicuri.

Secondo il Google Threat Intelligence Group, la fase iniziale dell’attacco si basa sull’impersonare un dipendente aziendale in una conversazione con il servizio di supporto IT. L’aggressore riesce a modificare la password dell’utente in Active Directory, ottenendo così l’accesso iniziale alla rete interna. Successivamente, inizia la ricerca di preziosa documentazione tecnica e di account chiave, principalmente amministratori di dominio e dell’ambiente VMware vSphere, nonché membri di gruppi con diritti estesi.

Parallelamente, viene eseguita la scansione per rilevare la presenza di soluzioni di classe PAM (Privileged Access Management) che possono contenere dati sensibili e contribuire all’ulteriore avanzamento dell’infrastruttura. Dopo aver ottenuto i nomi degli utenti privilegiati, gli aggressori effettuano ripetute chiamate, fingendosi amministratori, e avviano nuovamente la reimpostazione della password, ma questa volta per impossessarsi dell’accesso privilegiato.

Il passo successivo consiste nell’ottenere il controllo del server di gestione dell’ambiente virtuale (vCSA) VMware vCenter, che gestisce l’intera architettura ESXi e le macchine virtuali sugli host fisici. Ottenuto questo livello di accesso, gli aggressori abilitano SSH sugli host ESXi, reimpostano le password di root e procedono a condurre un cosiddetto attacco di sostituzione del disco virtuale.

La tecnica prevede la chiusura di un controller di dominio, lo scollegamento del suo disco virtuale e il suo collegamento a un’altra macchina virtuale controllata. Lì, gli hacker copiano il file NTDS.dit, ovvero il database di Active Directory con hash delle password, quindi restituiscono il disco e accendono la macchina originale. Questo approccio consente di estrarre dati critici senza destare sospetti a livello di evento del sistema operativo.

Con il pieno controllo sulla virtualizzazione, gli aggressori ottengono anche l’accesso ai sistemi di backup. Cancellano le pianificazioni, eliminano gli snapshot e distruggono gli archivi di backup. La fase finale dell’attacco consiste nell’implementazione di crittografi tramite connessioni SSH su tutte le macchine virtuali presenti negli archivi. Il risultato è la crittografia di massa dei dati e la completa perdita di controllo da parte dell’organizzazione.

Google descrive l’architettura dell’attacco in cinque fasi: dall’ingegneria sociale alla presa di controllo dell’intera infrastruttura ESXi. In pratica, l’intera catena, dalla prima chiamata al supporto fino all’implementazione del ransomware, può richiedere solo poche ore. In particolare, questi attacchi non sfruttanoexploit di vulnerabilità, ma la loro efficacia è così elevata che gli hacker riescono a bypassare la maggior parte delle protezioni integrate.

Un approccio simile era già stato utilizzato da Scattered Spider durante l’incidente di alto profilo che ha coinvolto MGM Resorts nel 2023. Oggi, sempre più gruppi stanno adottando queste tattiche. Uno dei motivi è la scarsa conoscenza delle infrastrutture VMware da parte di molte organizzazioni e, di conseguenza, un livello di protezione insufficiente.

Per mitigare il rischio, Google ha pubblicato una guida tecnica incentrata su tre aree principali:

• Il primo metodo consiste nel rafforzare vSphere abilitando l’opzione execInstalledOnly, crittografando le VM, disabilitando SSH, rimuovendo le VM orfane e applicando l’autenticazione a più fattori.
• In secondo luogo, isolare le risorse critiche: controller di dominio, sistemi PAM e storage di backup. Non dovrebbero trovarsi sugli stessi host dell’infrastruttura che proteggono.
• Terzo, monitoraggio: impostazione della registrazione centralizzata, impostazione di avvisi per azioni sospette (ad esempio abilitazione di SSH, accesso a vCenter, modifica dei gruppi di amministratori), nonché utilizzo di backup immutabili con air gap e test regolari di ripristino da attacchi al sistema di virtualizzazione.

Il gruppo Scattered Spider, noto anche come UNC3944, Octo Tempest o 0ktapus, è uno dei più pericolosi al mondo . Si distingue per la sua capacità di attuare una sottile imitazione sociale: gli aggressori non si limitano a copiare i modelli linguistici dei dipendenti, ma ne riproducono anche la pronuncia, il vocabolario e il modo di comunicare. Nonostante i recenti arresti di quattro presunti membri nel Regno Unito, l’attività del gruppo non si è fermata. Anzi, negli ultimi mesi, i suoi attacchi sono diventati sempre più audaci e su larga scala.

L'articolo Obiettivo: La tua Voce! Scattered Spider mira ai VMware ESXi clonando le voci degli impiegati proviene da il blog della sicurezza informatica.

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and this is my current state of mind as the "summer lull" keeps on throwing up major event after major event. Pace yourself, people.

— The European Union and the United States agreed to a tariff deal. Almost none of it will affect the digital sector, so expect further tension ahead.

— The US and China put out separate visions for global AI governance. The differences will force countries to pick one side or the other.

— Energy consumption related to artificial intelligence, data centers and cryptocurrencies is expected to double between 2022-2026.

Let's get started:

digitalpolitics.co/newsletter0…

After more than forty years, everyone knows that it’s time to retire the X Window System – X11 for short – on account of it being old and decrepit. Or at least that’s what the common narrative is, because if you dig into the chatter surrounding the ongoing transition there are some real issues that people have with the 16-year old spring chicken – called Wayland – that’s supposed to replace it.

Recently [Brodie Robertson] did some polling and soliciting commentary from the community, breaking down the results from over 1,150 comments to the YouTube community post alone.

The issues range from the expected, such as applications that haven’t been ported yet from X11 to Wayland, to compatibility issues – such as failing drag and drop – when running X11 and Wayland applications side by side. Things get worse when support for older hardware, like GeForce GT610 and GT710 GPUs, and increased resource usage by Wayland are considered.

From there it continues with the lack of global hotkeys in Wayland, graphics tablet support issues, OBS not supporting embedded browser windows, Japanese and other foreign as well as onscreen keyboard support issues that are somehow worse than on X11, no support for overscanning monitors or multiple mouse cursors, no multi-monitor fullscreen option, regressions with accessibility, inability of applications to set their (previously saved) window position, no real automation alternative for xdotool, lacking BSD support and worse input latency with gaming.

Some users also simply say that they do not care about Wayland either way as it offers no new features they want. Finally [Brodie] raises the issue of the Wayland developers not simply following standards set by the Windows and MacOS desktops, something which among other issues has been a point of hotly debated contention for years.

Even if Wayland does end up succeeding X11, the one point that many people seem to agree on is that just because X11 is pretty terrible right now, this doesn’t automatically make Wayland the better option. Maybe in hindsight Mir was the better choice we had before it pivoted to Wayland.

youtube.com/embed/yURfsJDOw1E?…

hackaday.com/2025/07/28/waylan…

Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Unito, dove la legislazione richiede alle piattaforme online di confermare se l’utente ha raggiunto la maggiore età. Per accedere ai contenuti per adulti è richiesta la verifica. La descrizione del bot recita: “Nessuna immagine o dato lascerà mai il tuo dispositivo o raggiungerà i nostri server”.

I nuovi requisiti sono entrati in vigore nel Regno Unito il 25 luglio. Da quel giorno, le autorità hanno obbligato i servizi online a proteggere il pubblico più giovane da contenuti dannosi, tra cui risorse contenenti informazioni su autolesionismo, suicidio, disturbi alimentari e siti pornografici. Le modifiche alla legislazione mirano anche a proteggere i minori da bullismo, propaganda e materiali offensivi online.

Le piattaforme che pubblicano contenuti “per adulti” sono ora tenute a verificare l’età del loro pubblico. La mancata conformità può comportare una multa fino a 18 milioni di sterline o fino al 10% del fatturato annuo dell’azienda. La verifica dell’età deve essere effettuata utilizzando la tecnologia di riconoscimento facciale o altri metodi affidabili, come il controllo della carta di credito.

Secondo la BBC, circa 6.000 siti porno hanno già iniziato a effettuare tali controlli. Misure simili vengono introdotte anche da altre piattaforme, tra cui Reddit, Discord e app di incontri.

Già in passato avevamo raccontato come piattaforme come PornHub e YouPorn si siano mosse in anticipo per adeguarsi a queste nuove normative, introducendo sistemi di verifica dell’età per tutelarsi da sanzioni milionarie.

Telegram, però, rappresenta un caso particolare: oltre a essere usato da milioni di utenti per messaggistica tradizionale, ospita anche numerosi canali pornografici gestiti da creator che vendono la propria immagine direttamente all’interno del social. Questo rende la questione ancora più delicata, perché parliamo di una piattaforma che ha un’enorme popolarità e che, fino a oggi, non aveva mai adottato un sistema ufficiale di controllo per contenuti per adulti.

Il debutto del nuovo bot ufficiale per la verifica dell’età è quindi un segnale importante: Telegram tenta di adeguarsi a una normativa sempre più stringente, ma resta da capire se queste misure saranno davvero sufficienti a regolamentare un fenomeno così vasto e difficile da controllare.

L'articolo PornHub, YouPorn si adeguano alle leggi UK… e Telegram introduce il bot per correre ai ripari proviene da il blog della sicurezza informatica.

When it comes to getting retro hardware running again, there are many approaches. On one hand, the easiest path could be to emulate the hardware on something modern, using nothing but software to bring it back to life. On the other, many prefer to restore the original hardware itself and make sure everything is exactly as it was when it was new. A middle way exists, though, thanks to the widespread adoption of FPGAs which allow for programmable hardware emulation and [Jo] has come up with a new implementation of the Commodore 64 by taking this path.

The project is called the VIC64-T9K and is meant as a proof-of-concept that can run the Commodore 64’s VIC-II video chip alongside a 6502 CPU on the inexpensive Tang Nano 9k FPGA. Taking inspiration from the C64_MiSTer project, another FPGA implementation of the C64 based on the DE10-Nano FPGA, it doesn’t implement everything an original Commodore system would have had, but it does provide most of the core hardware needed to run a system. The project supports HDMI video with a custom kernel, and [Jo] has used it to get a few demos running including sprite animations.

Built with a mix of Verilog and VHDL, it was designed as a learning tool for [Jo] to experiment with the retro hardware, and also brings a more affordable FPGA board to the table for Commodore enthusiasts. If you’re in the market for something with more of the original look and feel of the Commodore 64, though, this project uses the original case and keyboard while still using an FPGA recreation for the core of the computer.

hackaday.com/2025/07/28/commod…

le piante infestanti, se non vengono estirpate dalle radici rinasceranno, molto più vigorose di prima. Questo è il cybercrime e questa è la nuova rinascita, la quinta in assoluto dalle radici di RaidForums!

BreachForums, il noto forum di discussione sulla criminalità informatica scomparso dalla clearnet dopo un sequestro da parte delle forze dell’ordine, è tornato online questa settimana. A guidare il rilancio sarebbero gli stessi amministratori originali, che hanno riportato attivo l’intero archivio storico: account utente, messaggi privati e reputazioni sono rimasti intatti.

Infatti, le vecchie coppie di credenziali (username e password) risultano nuovamente funzionanti, segno che l’intero database è stato ripristinato e reso disponibile agli utenti. Questa riapparizione inattesa ha suscitato preoccupazione tra i ricercatori di sicurezza, mentre ha rassicurato gli utenti criminali del forum (ad esempio nel gruppo jacuzzi su telegram), molti dei quali avevano ormai dato per persi i propri dati e la reputazione accumulata.

Il forum mostra oltre 7,3 milioni di post distribuiti in circa 13.000 thread, cifre identiche all’istantanea catturata poco prima della chiusura. Ciò sembra confermare le parole degli amministratori: “I vostri account, i vostri post, la vostra reputazione: nulla è andato perso o modificato”.

Il ritorno è stato ufficializzato in un post firmato dall’amministratore noto come “NA”. Nella comunicazione, si precisa che nessun membro dello staff principale sarebbe stato arrestato durante la chiusura avvenuta mesi fa.

Secondo quanto dichiarato, il dominio del forum era stato sospeso volontariamente lo scorso aprile dopo che una vulnerabilità zero-day in MyBB (il software alla base del sito) era stata sfruttata contro diverse community. Gli amministratori affermano di aver corretto il bug e di aver recuperato il dominio una volta chiarite quelle che definiscono “idee sbagliate” diffuse da utenti rivali e competitor.

Nonostante il tentativo di trasmettere normalità – “Per quanto ci riguarda, è tutto come al solito” – la rapidità del ritorno alimenta sospetti tra gli investigatori. Dopo l’operazione condotta dall’FBI a marzo, in molti pensavano che il mercato di database rubati e malware ospitato da BreachForums fosse stato smantellato per sempre.

Invece, a distanza di meno di quattro mesi, sono ricomparsi gli stessi handle utente, i portafogli in criptovaluta e i punteggi di reputazione. Un fatto che lascia intendere che gli operatori avessero backup sicuri esterni e non abbiano mai consegnato le chiavi di crittografia.

Per rafforzare la fiducia dei circa 340.000 membri registrati, BreachForums ha introdotto un “sistema di moderazione rinnovato” e ha promesso aggiornamenti costanti sulla situazione legale che coinvolge la piattaforma. Nel messaggio si accenna anche a “cambiamenti nelle prossime settimane” pensati per aumentare la trasparenza, anche se diversi analisti del settore ritengono si tratti solo di una mossa di facciata.

Il ritorno di BreachForums evidenzia, ancora una volta, la resilienza delle community criminali online e la difficoltà per le autorità di neutralizzare in modo permanente i mercati dedicati a database violati, malware e informazioni sensibili.

L'articolo BreachForums torna online! 7,3 milioni di post e 340k utenti ripristinati proviene da il blog della sicurezza informatica.

Microsoft ha avviato un’indagine interna per chiarire se una fuga di informazioni riservate dal programma Microsoft Active Protections Program (MAPP) abbia permesso a hacker cinesi sponsorizzati dallo stato di sfruttare gravi vulnerabilità di SharePoint prima del rilascio ufficiale delle patch di sicurezza.

L’inchiesta arriva mentre una campagna di attacchi informatici ha compromesso oltre 400 organizzazioni a livello globale, inclusa la National Nuclear Security Administration (NNSA) degli Stati Uniti, responsabile delle scorte nucleari.

Le vulnerabilità SharePoint sfruttate subito dopo la segnalazione ai partner

Le vulnerabilità di SharePoint (CVE-2025-53770 e CVE-2025-53771) sono state rivelate per la prima volta a maggio dal ricercatore vietnamita Dinh Ho Anh Khoa durante la conferenza di cybersecurity Pwn2Own di Berlino, che aveva ottenuto un premio di 100.000 dollari.

Successivamente, Microsoft aveva informato i partner MAPP delle falle critiche il 24 giugno, il 3 luglio e il 7 luglio. Proprio il 7 luglio, data dell’ultima notifica, sono stati rilevati i primi exploit attivi contro i server SharePoint, suggerendo una possibile fuga di notizie dal programma MAPP.

Secondo Dustin Childs della Zero Day Initiative di Trend Micro, è probabile che qualcuno tra i partner abbia utilizzato le informazioni riservate per sviluppare rapidamente gli exploit.

ToolShell: la catena di attacco che aggira l’autenticazione

La sofisticata catena di attacco, denominata “ToolShell“, consente agli hacker di bypassare i controlli di autenticazione e eseguire codice malevolo sui server SharePoint. Particolarmente critica è la possibilità di sottrarre chiavi crittografiche, che permette agli aggressori di mantenere l’accesso anche dopo l’applicazione delle patch.

Microsoft attribuisce gli attacchi a tre gruppi APT legati alla Cina: Linen Typhoon, Violet Typhoon e Storm-2603. Tra le vittime più sensibili figura la NNSA, che ha dichiarato di aver subito danni limitati grazie all’uso dei servizi cloud Microsoft.

L’azienda di cybersecurity Eye Security, che ha individuato per prima gli attacchi, ha confermato quattro ondate di attacchi e oltre 400 sistemi compromessi, colpendo enti pubblici, aziende private e istituti scolastici in Nord America, Europa e Asia.

Rischi storici del programma MAPP

Non è la prima volta che il programma MAPP finisce sotto i riflettori: nel 2012, Microsoft aveva escluso la cinese Hangzhou DPtech Technologies Co. per la diffusione non autorizzata di un proof-of-concept. Più recentemente, anche Qihoo 360 Technology Co. è stata rimossa dopo essere stata inserita nella Entity List statunitense.

Il programma MAPP, attivo da 17 anni, fornisce a circa 100 partner globali dettagli tecnici sulle vulnerabilità con un preavviso che può arrivare fino a cinque giorni prima della divulgazione pubblica, per consentire una protezione preventiva.

Secondo Bloomberg, una dozzina di aziende cinesi partecipa attualmente al programma.

Microsoft: “Valuteremo e miglioreremo il programma”

Microsoft ha confermato che condurrà una revisione interna per rafforzare le misure di sicurezza, sottolineando che la condivisione di informazioni con i partner MAPP resta fondamentale per proteggere gli utenti da nuove minacce informatiche.

Nel frattempo, la Cina ha negato ogni responsabilità, definendo le accuse infondate e ribadendo la propria opposizione alle attività di hacking.

Cresce la velocità delle cyber minacce

Gli esperti avvertono che la trasformazione di queste vulnerabilità in veri e propri exploit in appena due mesi dimostra l’evoluzione delle minacce informatiche, sempre più veloci e sofisticate.

Questo caso evidenzia anche il delicato equilibrio tra trasparenza nella sicurezza informatica e rischi derivanti da una possibile fuga di dati sensibili.

L'articolo Microsoft tradita dall’interno? Gli hacker cinesi hanno sfruttato i bug SharePoint prima delle patch proviene da il blog della sicurezza informatica.

Il 13 giugno 2025 Israele bombarda un centinaio di obiettivi militari e gli impianti nucleari iraniani di Natanz, Fordow e Isfahan in un raid calcolato nei minimi dettagli. L’operazione “Rising Lion” è concepita e preparata nell’arco di anni con il supporto di droni, spie infiltrate negli alti ranghi dell’esercito iraniano ed intelligenza artificiale.

Di tutta risposta,come riporta il Business Insider, nell’arco di 12 giorni la repubblica islamica impiega più di 1000 droni e lancia oltre 550 missili balistici di cui,secondo il Times of Israel, 36 riescono a fare breccia nell’Iron Dome e colpiscono infrastrutture civili e militari israeliane.

Gli attacchi generano centinaia di vittime da entrambe le parti, ma gli attacchi missilistici balistici israeliani di precisione riescono,secondo Le Monde, a eliminare almeno 16 scienziati legati allo sviluppo del programma nucleare iraniano e una trentina di ufficiali di alto rango dell’esercito e delle guardie della Rivoluzione Islamica.
Viene impedito l’accesso a internet alla popolazione iraniana e viene proibito agli ufficiali di utilizzare qualsiasi tipo di device collegato alle reti pubbliche secondo il Times of Israel.

Dopo i primi 9 giorni di combattimento il presidente degli Stati Uniti Donald Trump, su richiesta del primo ministro Benjamin Netanyahu, decide di aiutare gli sforzi bellici israeliani e il 22 giugno approva i Raid di precisione dei siti nucleari di Fordow, Natanz e Isfahan con delle bombe “bunker buster”, dichiarando che i bersagli “sono stati completamente obliterati”.

La risposta non tarda ad arrivare: il giorno dopo un attacco missilistico iraniano colpisce la base americana Al Udeid in Qatar e tutto il mondo tiene il fiato sospeso in attesa di sapere quale sarà la reazione americana.
Questa non arriva e il tycoon annuncia un cessate il fuoco fra Israele e Iran che sarà operativo il 25 giugno, mettendo così fine alla guerra dei 12 giorni.

I risultati ottenuti dall’asse israelo-statunitense sono ancora da quantificare in maniera precisa, ma molti degli attori terzi, fra cuiil direttore generale dell’AIEA Rafael Grossi eil capo dell’intelligence francese Nicolas Lerner, conferma che il programma nucleare iraniano è stato ritardato di qualche mese, e non di anni come afferma Donald Trump.

Gli attacchi cyber di Israele

Come in tutti i conflitti scoppiati negli ultimi anni, il fronte della guerra informatica gioca un ruolo cruciale al pari delle operazioni di terra di mare e dell’aria. Israele prende subito l’iniziativa:secondo l’Organizer il Mossad ha utilizzato l’intelligenza artificiale per elaborare le immagini satellitari al fine di riconoscere gli obiettivi chiave da bombardare in maniera più precisa e di ottimizzare i percorsi dei missili impiegati. Questo tipo di operazione, unito all’attività della fitta rete di spie presenti in Iran, permette di distruggere importanti siti missilistici Iraniani.
Israele si occupa anche della popolazione:secondo HackerNews il 17 giugno, durante una diretta, compaiono sul canale della TV di stato iraniana messaggi anti-regime che invitano la popolazione a ribellarsi, ricordando in particolare le rivolte del 2022 cominciate dopo l’uccisione di Masha Amini da parte della polizia morale iraniana.

Uno degli attacchi che riceve più copertura mediatica è senza dubbio il furto fra gli 81 e i 90 milioni di dollari ai danni della piattaforma di crypto exchange Nobitex. L’attacco è rivendicato dal gruppo di hacktivistiPredatory Sparrow, il quale è formalmente indipendente ma verosimilmente appoggiato dallo stato di Israele. Nelle prime ore del 18 giugno, i wallet di criptovalute risultano inaccessibili e gli utenti non riescono a entrare nella piattaforma. Si diffonde il panico fra i risparmiatori poiché, a causa delle sanzioni internazionali ai danni dell’Iran, Nobitex è diventato per loro uno dei maggiori punti di accesso al mercato globale.

Le crypto rubate sono spostate in wallet contenenti messaggi di critica verso la Guardia Della Rivoluzione Islamica e non accessibilisecondo APNews, “bruciando” di fatto i fondi e rendendo questo un attacco di matrice politica e non finanziaria.
Effetti simili si sono manifestati a seguito di un attacco analogo alla Sepah Bank, una delle maggiori banche iraniane storicamente vicina alle forze armate del paese. Durante l’attacco il sito web risulta inaccessibile, così come gli sportelli ATM, impedendo ai clienti di prelevare denaro contante e di accedere ai propri conti. L’attacco viene sempre rivendicato da Predatory Sparrow, il quale,secondo Reuters, accusa la banca di finanziare direttamente l’ala militare della repubblica islamica. Questo attacco oltre al danno economico può creare una generale sfiducia verso il sistema bancario iraniano,come afferma Rob Joyce, ex ufficiale di sicurezza all’NSA in un post su X.

Gli attacchi cyber dell’Iran

In prima battuta l’Iran effettua attacchi su obiettivi diversi rispetto a Israele. Gli hacktivisti iraniani, per la maggior parte i gruppi Mr Hamza, Server Killers e Unknowns Cyber Teamsecondo Radware, vengono impiegati in maniera più generalizzata rispetto alle loro controparti israeliane ed effettuano deface e attacchi ddos ai danni di siti governativi nemici, rendendoli inaccessibili per qualche giorno nella maggior parte dei casi. Non mancano gli attacchi mirati alla popolazione: durante i bombardamenti,secondo Forbes, vengono inviati degli SMS contenenti falsi allarmi tramite spoofing di attacchi terroristici nei rifugi antiaerei. In realtà il vero mittente è la divisione cibernetica dell’esercito iraniano che cerca di diffondere panico e disinformazione.

A seguito degli attacchi missilistici che colpiscono il suolo israeliano, sono segnalati dei tentativi di spionaggio massivo dell’intero territorio tramite la violazione di telecamere di sicurezza di fabbrica cinese. Lo scopo è duplicesecondo CyberNews: verificare l’entità dei danni provocati dai missili e ottenere informazioni sui potenziali punti chiave da bombardare. Questa infiltrazione non è risultata molto efficace poiché le infrastrutture critiche utilizzano strumenti di sorveglianza più sofisticati e difficili da penetrare. Alcuni degli attacchi più significativi di questa campagna di cyberwarfare sono attribuiti al gruppoAPTIran. Questi hanno rivendicatosul proprio canale Telegram di aver violato le reti informatiche di infrastrutture vitali israeliane come università, ospedali e siti governativi. La metodologia di attacco sembra essere, secondo le dichiarazioni del gruppo, l’utilizzo di ransomware come Lockbit e ALPHV, oltre che minacce di far diventare le macchine infette membri di una botnet pronta a colpire il prossimo obiettivo.Come riporta RedHotCyber in un articolo del 17 giugno, gli attacchi informatici eseguiti in questa campagna tramite ransomware non puntano ad ottenere un risarcimento in denaro ma bensì a rendere inutilizzabili le infrastrutture colpite.

Le possibili armi non utilizzate e gli effetti del proseguimento della guerra cibernetica

Entrambi gli schieramenti hanno dimostrato, tramite gruppi di hacktivisti e agenzie di sicurezza governative, che in tempi in cui le persone dipendono da servizi vitali connessi alla rete basta poco per mettere in pericolo l’intera macchina della sicurezza statale. Gli attacchi, oltre ad avere avuto un impatto significativo, sono aumentati spropositatamente in percentuale (circa il 700%) rispetto ai mesi prima della guerra,come riporta Radware.

L’aumento del numero degli attacchi però potrebbe non coincidere con uno scenario di cyberwarfare totale fra i due paesi. Non si riportano infatti notevoli attacchi informatici alle infrastrutture di vitale importanza per la popolazione come impianti idrici e centrali elettriche. Possiamo senza dubbio affermare che la divisione informatica del Mossad sia uno dei corpi più specializzati nel settore e che abbia condotto innumerevoli azioni di sabotaggio degne di nota. Alcuni esempi sono l’assassinio dell’ingegnere nucleareMohsen Fakhrizadeh nel cuore dell’Iran tramite una mitragliatrice comandata da remoto, o l’esplosione simultanea dei cercapersone chenel 2024 ha colpito i seguaci di Hezbollah.

Sarebbe però sbagliato sostenere che l’Iran non sia in grado di compiere azioni analoghe con conseguenze ugualmente devastanti. In passato ha infatti lanciato attacchi significativi, fra cui spicca quello effettuato ai danni diAramco tramite il malware Shamoon, che ha provocato un danno da milioni di dollari a una delle aziende petrolifere più importanti dell’Arabia Saudita. Nel 2020 dei gruppi hacker sospettati di essere legati alla Guardia della Rivoluzione Islamica sono riusciti a ottenere l’accesso temporaneo ai computer di6 impianti di gestione dell’acqua in territorio israeliano. Durante l’attacco gli hacker avrebbero potuto modificare il livello di sostanze chimiche presenti nell’acqua considerata potabile con conseguenze possibilmente devastanti per la popolazione.

Alla luce di questi esempi risulta difficile pensare che Iran e Israele abbiano utilizzato tutte le armi a loro disposizione. È più probabile che abbiano riservato le tecniche di cyberwarfare più avanzate per un conflitto più critico oppure, nel caso di Israele, che volessero evitare di colpire infrastrutture civili per manipolare il malcontento iraniano e riversarlo sul regime islamico piuttosto che sui bombardamenti israeliani. La cyberwarfare nel conflitto Israele-Iran non è terminata e probabilmente aumenterà di intensità ma mantenendo un profilo basso. Nei giorni successivi alla cessazione delle ostilità, diverse agenzie di sicurezza informatica hanno avvisato che l’Iran potrebbe effettuare attacchi informatici sia contro Israele che gli Stati Uniti.

Tutto ciò non avrebbe molto senso, poiché una ripresa delle ostilità non gioverebbe alla repubblica islamica, sempre più privata del sostegno della Russia e dei suoi proxy Hamas ed Hezbollah, estremamente indeboliti.
Il periodo di pace può servire per penetrare più a fondo nelle infrastrutture critiche, e rimanere silenti fino a quando sarà programmato un attacco coordinato o si presenterà uno scenario di guerra totale. La cyber defense non è più quella dei tempi di Stuxnet. Le tecniche per infiltrarsi nei sistemi altrui saranno sempre più complesse, grazie alla maggiore sensibilizzazione sul tema di tutti gli attori e in particolare delle aziende chiave che gestiscono infrastrutture come centrali elettriche, ospedali, raffinerie e impianti idrici.

La cyberwarfare è quindi uno strumento capace di dare un estremo vantaggio se si domina il campo, ma in un mondo veloce e frenetico dove ogni giorno nascono nuove tipologie di attacco e di difesa, gli investimenti da fare e i rischi da correre sono enormi.

L'articolo Conflitto Israele-Iran, una retrospettiva della cyberwarfare del conflitto dei 12 giorni proviene da il blog della sicurezza informatica.

Gli specialisti di Kaspersky Lab hanno studiato l’attività del gruppo FunkSec, apparso alla fine del 2024. Le caratteristiche principali del gruppo erano: l’utilizzo di strumenti basati sull’intelligenza artificiale (anche nello sviluppo del ransomware), un elevato grado di adattabilità e attacchi informatici di massa.

Secondo gli esperti, FunkSec attacca organizzazioni del settore pubblico, nonché dei settori IT, finanziario e dell’istruzione in Europa e Asia. Gli operatori di FunkSec in genere richiedono riscatti insolitamente bassi, a volte anche solo di 10.000 dollari. Gli aggressori vendono anche i dati rubati alle loro vittime a un prezzo molto basso.

Gli esperti ritengono che questo approccio consenta di sferrare un gran numero di attacchi informatici e di costruire rapidamente una reputazione all’interno della comunità criminale. Inoltre, la natura massiccia degli attacchi indica che gli aggressori utilizzano l’intelligenza artificiale per ottimizzare e scalare le proprie operazioni.

Il rapporto sottolinea che il ransomware FunkSec si distingue per la sua complessa architettura tecnica e l’utilizzo dell’intelligenza artificiale. Gli sviluppatori del malware hanno incluso la capacità di crittografare completamente e rubare dati in un singolo file eseguibile scritto in Rust. È in grado di terminare oltre 50 processi sui dispositivi delle vittime e dispone di funzionalità di autopulizia, il che rende difficile l’analisi degli incidenti.

Si nota inoltre che FunkSec utilizza metodi avanzati per eludere il rilevamento, il che complica il lavoro dei ricercatori. Lo strumento di crittografia FunkSec non è fornito da solo: oltre ad esso vengono utilizzati un generatore di password (per attacchi brute-force e password spraying) e uno strumento per attacchi DDoS.

In tutti i casi, i ricercatori hanno trovato chiari segni di generazione di codice tramite modelli linguistici di grandi dimensioni (LLM). Ad esempio, molti frammenti di codice non erano chiaramente scritti manualmente, ma automaticamente. Ciò è confermato dai commenti “stub” (ad esempio, “stub per la verifica effettiva”), nonché da incongruenze tecniche. Ad esempio, è stato notato che un programma utilizza comandi per sistemi operativi diversi. Inoltre, la presenza di funzioni dichiarate ma non utilizzate riflette il modo in cui gli LLM combinano diversi frammenti di codice senza eliminare gli elementi non necessari.

“Vediamo sempre più spesso gli aggressori utilizzare l’IA generativa per creare strumenti dannosi. Accelera il processo di sviluppo, consentendo agli aggressori di adattare le loro tattiche più rapidamente e riducendo anche la barriera d’ingresso nel settore. Tuttavia, il codice generato da questo tipo di malware contiene spesso errori, quindi gli aggressori non possono fare pieno affidamento sulle nuove tecnologie in fase di sviluppo”, commenta Tatyana Shishkova, esperta di Kaspersky GReAT.

L'articolo Vibecoding per creare ransomware: la cybergang FunkSec utilizza l’AI per gli attacchi informatici proviene da il blog della sicurezza informatica.

As Earthlings, most of us don’t spend a lot of extra time thinking about the gravity on our home planet. Instead, we go about our days only occasionally dropping things or tripping over furniture but largely attending to other matters of more consequence. When humans visit other worlds, though, there’s a lot more consideration of the gravity and its effects on how humans live and many different ways of training for going to places like the Moon or Mars. This gravity simulator, for example, lets anyone experience what it would be like to balance an object anywhere with different gravity from Earth’s.

The simulator itself largely consists of a row of about 60 NeoPixels, spread out in a line along a length of lightweight PVC pipe. They’re controlled by an Arduino Nano which has a built-in inertial measurement unit, allowing it to sense the angle the pipe is being held at as well as making determinations about its movement. A set of LEDs on the NeoPixel strip is illuminated, which simulates a ball being balanced on this pipe, and motion one way or the other will allow the ball to travel back and forth along its length. With the Earth gravity setting this is fairly intuitive but when the gravity simulation is turned up for heavier planets or turned down for lighter ones the experience changes dramatically. Most of the video explains the math behind determining the effects of a rolling ball in each of these environments, which is worth taking a look at on its own.

While the device obviously can’t change the mass or the force of gravity by pressing a button, it’s a unique way to experience and feel what a small part of existence on another world might be like. With enough budget available there are certainly other ways of providing training for other amounts of gravity like parabolic flights or buoyancy tanks, although one of the other more affordable ways of doing this for laypeople is this low-gravity acrobatic device.

youtube.com/embed/rBDQSQoTuvk?…

hackaday.com/2025/07/27/experi…

In questo episodio analizziamo come costruire una routine di apprendimento continuo con strumenti di intelligenza artificiale generativa.

zerodays.podbean.com/e/io-e-ch…