IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and here's a little plug for my day job.

As part of work I'm doing linked to the United Kingdom's efforts around social media transparency and accountability, we'll be holding a webinar with regulators and policymakers on Aug. 6 (at 11am UK time / 6am ET — sorry!) about the country's new data access efforts. You can sign up here.

— Google and Meta's collective pullback on political ad transparency in the European Union harms free speech and the public's engagement with political campaigns.

— What Big Tech's recent earnings season demonstrates about their high-wire geopolitical balance between the United States and everyone else.

— Almost half of the United Kingdom has never used artificial intelligence tools in their daily lives.

Let's get started:

THE END OF DIGITAL POLITICAL ADS

LATE LAST YEAR, GOOGLE PUT OUT A POST that few outside of digital policy circles paid much attention to. In the 2-minute read, the search giant's head of EU government affairs said that, as of October, 2025, the tech giant would not allow advertisers to buy political ads targeted within the 27-country bloc. The reason? An obscure new rule, known as the EU Regulation on Transparency and Targeting of Political Advertising, or TTPA.

The rule "introduces significant new operational challenges and legal uncertainties for political advertisers and platforms," read the announcement. "Google will stop serving political advertising in the EU before the TTPA enters into force in October 2025."

Then, on July 25, Meta followed suit. In an equally short and obscure message, the social media company said it too would be ending its political ad offering inside the EU because of the upcoming TTPA. "We continue to believe online political advertising is a vital part of modern politics," Meta said in its post. "The TTPA introduces significant, additional obligations to our processes and systems that create an untenable level of complexity and legal uncertainty for advertisers and platforms operating in the EU."

And with that, the two largest platforms for political ads within the second largest democratic bloc (behind India) hobbled politicians' ability to talk to would-be supporters. On top of that, Google and Meta made it almost impossible to track what was being spent on political campaigns, by who, and who was the audience for these paid-for messages.

Thanks for reading the free monthly version of Digital Politics. Paid subscribers receive at least one newsletter a week. If that sounds like your jam, please sign up here.

Here's what paid subscribers read in July:
— We are entering a new era of social media where everyone lives in digital siloes and the cost of spreading falsehoods is next to nothing. More here.
— The EU-US trade dispute will not include digital; Where the EU and US diverge on AI governance; Tech-related risks now top people's concerns across multiple different regions worldwide. More here.
— The rise of 'age verification' across the West is ending the era of online anonymity; All you need to know about the White House's upcoming AI Action Plan; The billions to be spent on digital in the next EU Budget. More here.
— The US-EU trade/tariff agreement was a skirmish in a wider tech-focused war; Contrasting American and Chinese AI strategies; Energy consumption linked to AI, data centers and crypto will double between 2022-26. More here.

It was a one-two punch that both hit people's legitimate free speech rights and hamstrung wider society's obligations to understand how national elections were influenced, by domestic and foreign groups.

First, a quick synopsis of the (flawed) TTPA. Introduced in 2024 with the other alphabet soup of EU digital regulation, the rules were aimed at giving citizens greater awareness about the types of political ads they saw online.

That included 1) ensuring political ads were labeled as such; 2) accessible information, stored in an online repository, about who paid for each digital ad; 3) a ban on foreign entities paying for these paid-for messages in the build-up to national elections; and — most importantly — 4) new restrictions that limited platforms and advertisers in targeting people via data the firms/political groups had already collected on individuals unless they explicitly consented to receiving political ads.

The new limits on how political ads could be targeted was a major stumbling block. It made it next to impossible for Meta and Google to help political groups to target would-be supporters. To do that, the companies and/or politicians would have to explicitly ask people if they were OK about receiving digital political ads — something that even the most ardent political supporter would likely be beige about, at best.

There are legitimate weaknesses in the TTPA that everyone knew about from the beginning.

The definition of "political ads" varied widely between platforms, and EU policymakers' efforts to harmonize that — alongside so-called "issues-based" ads like those around climate change, public health and other societal issues — spread the net too wide. In practice, that meant a large bucket of ads beyond traditional party political messaging would likely be caught within the TTPA. That, in turn, would hit platforms' underlying advertising business models with the potential of 6 percent fines (linked to a company's yearly revenue) for failing to comply.

Faced with that regulatory uncertainty — and at a time when Google and Meta are trying (badly) to pull back from politics — it made sense both firms would give up a part of their business that was marginal to their collective bottom lines. Why take the risk if you could just pull the plug in a way that, in theory, would anger some politicians already falling out of love with Europe's penchant for digital regulation?

And yet, I just don't buy in.

Negotiations were still underway about how the TTPA would be implemented, as of October, so pulling the plug now was an active choice from both Google (in November, 2024) and Meta (in July.) The companies would argue that, at some point, they had to call it a day. And that was their choice. But after companies doubled down on their free speech bonafides, the decision to then limit people's free speech rights via buying political ads felt out of step. The separate decisions would be particularly hard for smaller political movements that could level the playing field with larger rivals via targeted digital political ads.

I also don't believe either company doesn't have the internal resources (both technical and financial) to find a solution. Yes, the definition of what constitutes a "political ad" in the TTPA is bad. But both firms have been tracking various types of ads for years. To suggest that engineers — or even artificial intelligence tooling — could not figure out the line between what was allowed, and what was not, also felt too binary.

When you then look at how much these firms are making (more on that in the section below) on a quarterly basis, this looks more like a political decision than an economic one. Alphabet (Google's parent company), for instance, plans to spend $86 billion this year, primarily on AI-related infrastructure. That's on top of the $28 billion net profit the company made in the second quarter of 2025.

When spending/making that amount of money, the idea that figuring out how to implement (flawed) political ad regulations was too costly doesn't add up.

There is still time, before the October deadline, for the tech companies and the European Commission to find a solution. But that's not really how this should work. It is Meta and Google's right to pull back on services within the bloc — even if sometimes that feels more like point-scoring than actual policymaking.

But without a coherent approach to overseeing political ads in one of the world's largest democratic blocs, these companies are leaving a massive hole in which nefarious actors will likely continue peppering voters with political ads — but in a way that lacks transparency, accountability and oversight. That will harm legitimate political actors who will no longer have a legal way, within the bloc, to amplify their messaging to would-be supporters.

Faced with that trade-off, both companies have made the wrong choice. Google and Meta will still play a central role in domestic European politics, even if they follow through with their respective decisions to pull out of the political ad business in Europe.

By abdicating this responsibility, the firms are not, collectively, living up to their stated objectives (to wider society) of uplifting people's free speech rights in a way that promotes transparency and accountability for all.

Chart of the Week

ROUGHLY 40 PERCENT OF BRITS never use artificial intelligence tools as part of their daily lives, and only 10 percent of those polled by YouGov say they use it at least once or twice a day.

For those who do rely on the emerging technology, they most regularly seek information about "a simple topic." The least used reason is to find out what is going on in the news.

Source: YouGov

BIG TECH EARNINGS, AI AND GEOPOLITICS

AS A LAPSED FINANCE JOURNALIST, I can't help but scan tech companies' earnings reports when they are published each quarter. Policymakers and politicians may not always tell the truth. But numbers don't lie, so these regular updates from Silicon Valley's biggest names offer a way to cut through the noise to understand how these firms are making and spending their money.

The figures are wild. Meta's net income in the second quarter, or the profit that the social media giant made after taxes, was a whopping $13.5 billion, or a 36 percent yearly jump. Microsoft's figure rose 22 percent, to $27.2 billion, over the same period. Amazon — not a company known for making much profit, despite its size — recorded net income for the three months through June 30 or $18.2 billion, or a 34% increase.

These profits are crazy. But that's not where the politics lie in the companies' separate announcements.

Instead, the combination of Google, Amazon, Meta and Microsoft said that, during the 2025-26 fiscal year, they had earmarked roughly $370 billion for spending, primarily to drive big bets on artificial intelligence. That includes massive spending on data centers, AI engineers and other AI-related costs required in what is increasingly turning into a Silicon Valley-led race toward AI dominance.

Let's put that into perspective.

The $370 billion back-of-the-napkin figure doesn't include spending from the second tier of AI (Western) giants, so it's an inherently conservative number. It also doesn't include other digital infrastructure spending, tax cuts and research and design expenditure already announced by the likes of the United States and EU. At best, it's a significant under-count on what has already been allocated by these firms — and that comes despite many of the companies recording significant increases in their net profits (see above.)

Sign up for Digital Politics

Thanks for getting this far. Enjoyed what you've read? Why not receive weekly updates on how the worlds of technology and politics are colliding like never before. The first two weeks of any paid subscription are free.

Subscribe
Email sent! Check your inbox to complete your signup.

No spam. Unsubscribe anytime.

Here's another stat: The $370 billion figure — solely linked to Big Tech capital expenditure — is the equivalent to the expected 2025 gross domestic product of the Czech Republic, or the world's 41st largest GDP. In anyone's mind, that is a lot of money.

Here's where the geopolitics comes in.

These firms are American — and some have lent heavily into the Red, White and Blue to win favor with the current White House administration. But much of what has been earmarked in AI-related spending is destined for outside of the US. That includes significant expansion in companies' global networks of data centers to meet non-US needs. In those conversations, the companies have often played down their American roots, highlighting how they can meet the domestic objectives of national politicians eager to develop indigenous AI tooling to compete on the global stage.

In this bizarro world, two opposite, but complementary, messages are playing out, in real time.

For US policymakers, these firms are signed up to the American "dominance" agenda, as articulated in the White House's recent AI Action Plan. For non-US policymakers, the companies are pushing a "we're here to help" ethos that positions them as apolitical globalist allies that can neutrally support these countries' often contradictory policy aims to those of the US.

Central to those conversations are the megabucks announced in the latest earnings cycle. The expected capital expenditure is the realization of these political discussions, both at home and abroad, at a time when all of Silicon Valley is desperately seeking an edge to keep competitors at bay. That means walking a tight rope between American domestic interests and the business opportunities overseas.

What many in Washington have yet to understand is how these conversations are playing out in national capitals from Brasilia to Berlin. Once American policymakers figure that out, it's an open question if they will view the companies' international outreach as either part of American "dominance" or as a potential direct conflict with the White House's MAGA agenda.

What I'm reading

— UK Research and Innovation, a public research body, announced a $74 million program to attract world-class researchers to the UK. More here.

— An Australian court ruled that X would have to respond to a local regulator's requests on how the social network tackled child sexual abuse material. More here.

— Michael Kratsios, the director of The White House's Office for Science and Technology Policy, spoke at the Center for Strategic & International Studies about the AI Action Plan. More here.

— Donald Trump's administration announced tariffs against Brazil, in part related to how the South American country approached questions around content moderation and the role of platforms in the failed 2022 coup. More here.

— Italy's competition regulator announced an investigation into Meta's potential abuse of its market position by installing an AI agent within its WhatsApp service. More here.

digitalpolitics.co/newsletter0…

Mozilla ha avvisato gli sviluppatori di estensioni per Firefox di una nuova campagna di phishing volta a compromettere i loro account sulla piattaforma ufficiale AMO (addons.mozilla.org). Questo ecosistema include oltre 60.000 componenti aggiuntivi e più di mezzo milione di temi, utilizzati quotidianamente da decine di milioni di persone in tutto il mondo.

Secondo l’avviso pubblicato, gli aggressori inviano email per conto del team AMO, sostenendo che l’account sviluppatore deve essere aggiornato urgentemente per mantenere l’accesso agli strumenti. In realtà, tali email conducono a siti falsi creati allo scopo di rubare login e password. Il messaggio contiene solitamente una variante della dicitura “Il tuo account dei componenti aggiuntivi Mozilla richiede un aggiornamento per continuare a utilizzare le funzionalità per sviluppatori”, che ha lo scopo di allarmare il destinatario e indurlo a cliccare sul link dannoso.

Mozilla raccomanda vivamente di verificare l’autenticità delle email: devono provenire dai domini firefox.com, mozilla.org, mozilla.com o dai loro sottodomini, e devono essere sottoposte ad autenticazione di base tramite SPF, DKIM e DMARC. Si consiglia agli sviluppatori di evitare di cliccare sui link presenti in tali messaggi e, se necessario, di visitare autonomamente il sito web di AMO tramite l’indirizzo ufficiale per assicurarsi che le informazioni siano aggiornate. Si sottolinea in particolare che login e password devono essere inseriti solo sui siti web originali di Mozilla o Firefox.

Sebbene la portata dell’attacco non sia ancora stata rivelata, Mozilla ha confermato che almeno uno sviluppatore è già caduto vittima del sistema. Ciò suggerisce una minaccia reale, sebbene non siano ancora disponibili dati sul numero di account compromessi o sulle prossime mosse degli aggressori. L’organizzazione ha promesso di fornire ulteriori informazioni non appena disponibili.

Questa situazione solleva un contesto importante. Il mese scorso, il team Add-ons Operations ha implementato una nuova misura di sicurezza progettata per bloccare automaticamente le estensioni dannose mascherate da wallet di criptovalute. Come ha osservato il responsabile del team, Andreas Wagner, negli ultimi anni sono state identificate e rimosse centinaia di estensioni pericolose. Alcune di queste venivano utilizzate direttamente per rubare criptovalute, sebbene non tutte mostrassero evidenti segni di danno.

In questo contesto, le statistiche sono particolarmente allarmanti: solo lo scorso anno, i criminali sono riusciti a rubare circa 494 milioni di dollari in criptovalute attaccando wallet, inclusi oltre 300.000 indirizzi univoci. Casi come questi dimostrano quanto possa essere pericoloso anche un singolo attacco hacker all’account di uno sviluppatore: data la diffusione capillare dei componenti aggiuntivi, questi diventano una piattaforma ideale per l’introduzione di codice dannoso.

La conclusione in breve è questa: gli sviluppatori che pubblicano estensioni sulla piattaforma Mozilla sono di nuovo a rischio. Il phishing in questo caso non è solo una minaccia per la sicurezza personale, ma un potenziale canale per infettare decine di milioni di utenti in tutto il mondo.

L'articolo Mozilla avverte gli sviluppatori di estensioni Firefox: campagna di phishing attiva proviene da il blog della sicurezza informatica.

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and here's a little plug for my day job.

As part of work I'm doing linked to the United Kingdom's efforts around social media transparency and accountability, we'll be holding a webinar with regulators and policymakers on Aug. 6 (at 11am UK time / 6am ET — sorry!) about the country's new data access efforts. You can sign up here.

— Google and Meta's collective pullback on political ad transparency in the European Union harms free speech and the public's engagement with political campaigns.

— What Big Tech's recent earnings season demonstrates about their high-wire geopolitical balance between the United States and everyone else.

— Almost half of the United Kingdom has never used artificial intelligence tools in their daily lives.

Let's get started:

digitalpolitics.co/newsletter0…

What should your first instinct be when the room catches on fire? Maybe get out of the room, pull an alarm, and have a disco party? Not your first instinct? Well, this seemed pretty obvious to [Flying-Toast], who retrofitted an old fire alarm to activate a personal disco party.

After finding a fire alarm being sold on eBay, [Flying-Toast] couldn’t resist the urge to purchase one to use for his own purposes. He immediately gutted the life-saving internals to fill the shell with his own concoction of ESP goodness to be activated by the usual fire alarm mechanism. This sends a signal to the next elements of the party system.

Every part of the party system receives this activation signal, including the most important part, the party lights. Using a generic crystal disco ball and its own ESP, the party lights are more than sufficient to create the proper panic party. Of course, what is a party without music? With another ESP board and salvaged speakers, the proper atmosphere can be set right before the venue burns to the ground. The final touch is the additional hacked WIFI relays to turn off the lights in the room.

Priorities are important in emergencies, and that is exactly what [Flying-Toast] gave us with this project. Learning from this expertise is important, but how about learning from the near misses? For some risky decision making, be sure to check out the near nuclear war that was almost caused by a false alarm!

youtube.com/embed/qrEr0mNImc0?…

hackaday.com/2025/08/04/fire-a…

Purtroppo i tempi stanno cambiando: ciò che un tempo era il tempio della collaborazione e della cooperazione sta progressivamente trasformandosi in un ecosistema sempre più orientato alla monetizzazione.

Un altro progetto, nello specifico KubeSphere, ha improvvisamente interrotto la distribuzione della sua versione open source, provocando una forte reazione da parte degli utenti. Il team ha annunciato l’immediata cessazione dell’accesso alle distribuzioni e al supporto tecnico gratuito. Tuttavia, il codice sorgente rimarrà disponibile.

Gli sviluppatori hanno spiegato la decisione con la volontà di concentrarsi su prodotti “più professionali, stabili e commercialmente maturi”. KubeSphere è descritto come un “sistema operativo distribuito per la gestione di applicazioni cloud” basato su Kubernetes e certificato dalla CNCF. Il progetto è da tempo definito “100% open source”, sviluppato dalla comunità.

In precedenza, uno dei fondatori del progetto, che aveva lasciato QingCloud il giorno prima dell’annuncio, aveva suggerito in un post separato che la decisione fosse stata influenzata da molteplici violazioni di licenza: aziende terze che avevano riconfezionato KubeSphere e ne avevano tratto profitto, violando i termini d’uso. Ha riconosciuto la fine del supporto per l’edizione open source come un “adattamento difficile” e ha aggiunto: “Rispetto questa decisione, sebbene rifletta una seria sfida al moderno modello open source”.

La comunità ha preso la decisione con durezza. Un utente l’ha definita “una delle decisioni più miopi e distruttive di sempre”, aggiungendo che è stata un campanello d’allarme per i clienti attuali e potenziali. Su Reddit, un altro utente ha commentato: “Sembra che l’avidità stia solo accelerando e che i progetti open source continuino a morire”.

L’azienda offre un aggiornamento commerciale con personalizzazione, supporto a pagamento, correzione delle vulnerabilità e aggiornamenti. Si consiglia agli utenti di contattare l’assistenza per una “soluzione affidabile e sicura per le aziende”.

Nel frattempo, Peter Smalls, CEO di SUSE Cloud Native, ha criticato la decisione in una dichiarazione al The Register : “Un brusco allontanamento dall’open source mina la fiducia essenziale per un ecosistema sano. Mette in discussione la prevedibilità e l’apertura che sono alla base dell’innovazione sostenibile”.

Il team di KubeSphere ha anche affermato che la decisione è dovuta ai cambiamenti infrastrutturali dovuti allo sviluppo dell’intelligenza artificiale. Secondo loro, la fine del supporto open source è il risultato di “pluriennali anni di pianificazione e analisi”.

Sebbene il codice rimanga disponibile, la fine del supporto out-of-the-box e il passaggio a un modello commerciale si inseriscono in una tendenza preoccupante: sempre più progetti noti stanno abbandonando il modello open source a favore della monetizzazione. Il caso di KubeSphere è un’ulteriore dimostrazione che l’open source non garantisce l’apertura a lungo termine.

L'articolo L’Open Source Sta scomparendo? KubeSphere interrompe la distribuzione ed è subito bufera proviene da il blog della sicurezza informatica.

Nel dicembre 2020, il mining pool cinese LuBian, che all’epoca occupava quasi il 6% della capacità totale della rete Bitcoin, è stato vittima di un attacco la cui portata è stata rivelata solo ora.

Il team di Arkham Intelligence ha scoperto che 127.426 BTC sono stati prelevati dai wallet del pool: all’epoca, l’importo era di 3,5 miliardi di dollari, mentre ora il suo valore è stimato a 14,5 miliardi di dollari. Questo rende l’incidente il più grande furto di criptovaluta della storia, persino prima del famigerato hack di Mt. Gox.

Negli ultimi quattro anni non ci sono state dichiarazioni ufficiali da parte di LuBian o degli aggressori. Solo attraverso l’analisi dei dati della blockchain di Arkham è stato possibile tracciare per la prima volta un quadro di ciò che stava accadendo. Secondo la loro ricerca, il 28 dicembre 2020, oltre il 90% di tutti gli asset è scomparso dagli indirizzi del pool in una sola volta. Il giorno successivo, il 29 dicembre, altri Bitcoin e USDT per un valore di circa 6 milioni di dollari sono stati rubati da un altro portafoglio LuBian utilizzando il protocollo Bitcoin Omni Layer.

Il passaggio finale per evacuare i fondi superstiti è stato compiuto il 31 dicembre, quando le monete rimanenti sono state trasferite a indirizzi di riserva speciali. Queste transazioni erano accompagnate da un messaggio insolito: il pool ha inviato una serie di comandi agli indirizzi dell’hacker con dati in OP_RETURN, un campo nascosto nelle transazioni Bitcoin. In questi messaggi, LuBian apparentemente si è rivolto direttamente all’aggressore con una richiesta di restituzione degli asset. Per inviare tali messaggi, il team del pool ha speso 1,4 BTC ed eseguito 1.516 transazioni separate. Questo passaggio indica che solo il vero proprietario ha mantenuto l’accesso ai fondi, e non un falso partecipante di terze parti che è riuscito a ottenere le chiavi private.

L’ analisi indica una possibile causa principale del disastro: la generazione di chiavi private tramite un algoritmo vulnerabile. Questo avrebbe potuto aprire le porte a un attacco brute-force, consentendo a un aggressore di ottenere l’accesso ai wallet sottostanti senza hackerare l’infrastruttura o ricorrere all’ingegneria sociale.

Tuttavia, circa 11.886 BTC sono stati salvati, per un valore attuale di oltre 1,35 miliardi di dollari, e sono ancora sotto il controllo di LuBian. Gli indirizzi degli hacker sembrano contenere i beni rubati in uno stato sostanzialmente inalterato. L’ultima attività registrata risale a luglio 2024 e rappresenta un consolidamento dei fondi, probabilmente per migliorare l’anonimato o preparare mosse future.

Secondo Arkham, l’aggressore è ora uno dei maggiori detentori di Bitcoin: 13° in termini di asset, davanti persino al famigerato Mt. Gox. Sullo sfondo della rapida crescita del prezzo del BTC, la portata di quanto accaduto appare ancora più sorprendente: l’entità dei danni è quadruplicata, mentre l’attacco stesso è rimasto nell’ombra per quasi cinque anni. Un periodo sospettosamente lungo, soprattutto considerando la portata e l’apertura della blockchain.

Il più grande attacco hacker alle criptovalute della storia, rimasto nascosto al pubblico per così tanto tempo, ha nuovamente sollevato interrogativi sulle vulnerabilità anche tra i principali attori. Il problema della debolezza degli algoritmi di generazione delle chiavi, apparentemente risolto in passato, ha portato a perdite multimiliardarie e ha dimostrato che anche i giganti possono essere vulnerabili.

L'articolo 14,5 miliardi di dollari rubati a LuBian! E’ il più grande furto di criptovaluta della storia proviene da il blog della sicurezza informatica.

We all know that it’s easy to get caught out by fake electronic components these days, with everything from microcontrollers to specialized ASICs being fair game. More recently, retro components that were considered obsolete decades ago are now becoming increasingly popular, with the unijunction transistor (UJT) a surprising example of this. The [En Clave de Retro] YouTube channel released a video (Spanish, with English dub) documenting fake UJTs bought off AliExpress.

These AliExpress UJTs were discovered after comments to an earlier video on real UJTs said that these obsolete transistors are still being manufactured and can be bought everywhere, meaning mostly on AliExpress and Amazon. Of course, this had to be investigated, as why would anyone still manufacture UJTs today, and did some Chinese semiconductor factory really spin up a new production line for them?

Perhaps unsurprisingly, some tests later and after a quick decapping of the metal can, the inside revealed a bipolar transistor (BJT) die (see top image on the left). Specifically, a PNP BJT transistor die, packaged up inside a vintage-style metal can with fake markings claiming it is a 2N2646 UJT.

The video suggests that scams like these might be because people want to get vintage parts for cheap, and that’s created a new market for people who would rather get scammed than deal with the sticker shock of paying for genuine new-old-stock or salvaged components. For example, while programmable unijunction transistors (PUTs) like the 2N6028 are still being manufactured, they cost a few dollars a pop in low quantities. UJTs used to be common in timer circuits, but now we have the 555.

youtube.com/embed/dCmtb6t6lqU?…

hackaday.com/2025/08/04/the-sc…

Ne avevamo parlato con un articolo sul tema diverso tempo fa redatto da Massimiliano Brolli. Oggi la sicurezza informatica non è più un’opzione né un valore accessorio: è un vero e proprio fattore abilitante del business. Viviamo in un contesto in cui un attacco ransomware può paralizzare completamente un’azienda, comprometterne la reputazione e, nei casi più gravi, portarla al fallimento. Oggi parleremo di un’altra storia, un’altra azienda che non ce l’ha fatta e che è fallita dopo aver combattuto fino all’ultimo contro un attacco informatico devastante.

La grande azienda tedesca Einhaus Group, specializzata in servizi assicurativi e di telefonia mobile, ha annunciato l’avvio di una procedura fallimentare.

La causa del crollo è stato un attacco informatico avvenuto nel marzo 2023, dalle cui conseguenze l’azienda non è mai riuscita a riprendersi.

Una mattina di metà marzo dell’anno scorso, il fondatore dell’azienda, Wilhelm Einhaus, si recò in ufficio e trovò una foto terribile. Su ogni stampante c’era un foglio di carta con un messaggio: “Vi abbiamo hackerato. Cercate ulteriori informazioni sul darknet“. Come si scoprì in seguito, l’attacco era stato effettuato dal gruppo di criminali informatici Royal. Gli aggressori avevano crittografato tutti i sistemi informatici dell’azienda, senza i quali era impossibile lavorare.

Gli hacker hanno chiesto un riscatto di circa 230.000 dollari in bitcoin per ripristinare l’accesso ai dati. La dirigenza di Einhaus Group si è trovata di fronte a una scelta difficile. Da un lato, gli esperti di sicurezza informatica sconsigliano vivamente di pagare gli estorsori, poiché ciò non farebbe altro che incoraggiare le loro attività. Dall’altro, senza computer funzionanti, l’azienda subiva ingenti perdite quotidiane.

Alla fine, l’azienda ha deciso di pagare il riscatto perché i danni causati dal downtime superavano la cifra richiesta. Secondo le stime di Einhaus, il danno totale causato dall’attacco si aggirava sulle sette cifre, ovvero diversi milioni di euro.

Il Gruppo Einhaus era tutt’altro che una piccola azienda. Aveva partnership con grandi aziende come Cyberport, 1&1 e Deutsche Telekom. Prima dell’attacco, impiegava 170 dipendenti. Tuttavia, riprendersi dal cyberattacco si è rivelato incredibilmente difficile.

L’azienda ha dovuto adottare drastiche misure di riduzione dei costi. Il personale è stato ridotto da oltre cento dipendenti a soli otto. Allo stesso tempo, i lavoratori rimasti hanno dovuto elaborare le domande e gestire la documentazione quasi manualmente: è difficile immaginare come ci siano riusciti.

A metà del 2024, l’azienda ha venduto la sua sede centrale e liquidato diversi investimenti nel tentativo di rimanere a galla. Sembrava esserci un barlume di speranza quando le forze dell’ordine tedesche hanno arrestato tre presunti hacker e confiscato criptovalute per un valore di ben sei cifre in euro.

Tuttavia, questa notizia non ha portato sollievo all’azienda interessata. La procura si è rifiutata di restituire i fondi confiscati fino al completamento delle indagini, nonostante i disperati tentativi del Gruppo Einhaus di riavere indietro i propri soldi tramite vie legali. Inoltre, questa azienda non è l’unica ad attendere la restituzione dei fondi: ci sono altre vittime dello stesso gruppo di hacker che si trovano in una situazione simile.

Di conseguenza, tre società collegate al Gruppo Einhaus hanno formalmente presentato istanza di fallimento. La liquidazione è solitamente il passo successivo, sebbene non sia sempre inevitabile. Wilhelm Einhaus, 72 anni, ha dichiarato di non avere intenzione di andare in pensione, anche se dovesse accadere il peggio. È pronto a “ricominciare tutto da capo”, ha detto.

La storia di Einhaus Group non è un caso isolato. La scorsa settimana è emerso il fallimento dell’azienda di trasporti britannica Knights of Old, attiva da 158 anni, che non è riuscita a sopravvivere a un attacco ransomware. A causa di un attacco informatico del gruppo Akira, l’azienda ha cessato l’attività e 700 persone hanno perso il lavoro.

Questi casi dimostrano chiaramente quanto i moderni attacchi informatici possano essere distruttivi per le aziende. Anche se un’azienda accetta le richieste degli hacker e paga il riscatto, ciò non garantisce il ripristino della normale operatività e può portare alla rovina finanziaria.

L'articolo Le Aziende Falliscono per il ransomware! Einhaus Group chiude, ed è un monito per tutti proviene da il blog della sicurezza informatica.

Un esperto di ransomware ha rivelato che gli hacker criminali minacciano sempre più spesso di ricorrere alla violenza fisica contro i dipendenti delle aziende prese di mira e le loro famiglie, per costringere le organizzazioni vittime a pagare i riscatti.

Secondo un sondaggio condotto da Censuswide per conto di Semperis su 1.500 professionisti della sicurezza informatica e dell’IT, i metodi più comuni per esercitare pressione da parte degli aggressori sono ancora quelli tradizionali, tra cui il blocco dei sistemi (52%) e la distruzione dei dati (63%). Quasi la metà dei professionisti intervistati (47%) provenienti da diversi Paesi ha riferito che gli aggressori hanno anche minacciato di presentare un reclamo contro di loro alle autorità di regolamentazione e di informarli che l’azienda stava cercando di nascondere loro informazioni su una grave violazione dei dati.

Ma la conclusione più allarmante a cui sono giunti i ricercatori sulla base del sondaggio è stata che il 40% degli intervistati aveva ricevuto minacce di violenza fisica da parte degli aggressori. “Le minacce di violenza fisica sono davvero spaventose”, ha dichiarato al Register Jeff Wichman, direttore della risposta agli incidenti presso Semperis . “Sono terrorizzato da quello che succederà dopo”.

Prima di guidare il team di risposta di Semperis, Wichman era un negoziatore professionista nel campo dei ransomware. Afferma che non è raro che gli aggressori contattino i dirigenti delle aziende prese di mira per minacciarle. “Minacciavano le loro famiglie: sapevano quali siti web visitavano, cosa facevano a casa”, spiega Wichman. “Gli aggressori sapevano dove vivevano i dirigenti, dove si trovavano le loro famiglie, quale scuola frequentavano i loro figli”.

Secondo l’esperto, le minacce di violenza fisica sono solitamente di natura generica, volte ad aumentare la tensione. “Se ti dico ‘Attaccherò i tuoi figli a scuola’, aumenterai la sicurezza a scuola. E se dico semplicemente ‘Prenderò la tua famiglia’, avrai paura di andare al supermercato, al cinema, ovunque”, spiega Wichman. Quel che è peggio è che l’esperto ritiene che in futuro tali minacce diventeranno più frequenti e ancora più gravi.

Nel complesso, il rapporto annuale di Semperis dipinge un quadro piuttosto cupo. La maggior parte degli intervistati (78%) ha subito attacchi ransomware nell’ultimo anno. Questa percentuale è leggermente inferiore rispetto al 2024 (83%). Tuttavia, nonostante il calo del numero complessivo di attacchi, le aziende impiegano più tempo per riprendersi dagli incidenti. Solo il 23% degli intervistati ha dichiarato di essersi ripreso entro un giorno (rispetto al 39% dell’anno scorso), mentre il 18% ha impiegato da una settimana a un mese. “Questo perché gli aggressori cercano di danneggiare l’infrastruttura il più possibile e le organizzazioni sono costrette a ripristinarla dai backup o addirittura da zero”, afferma Wichman.

Il rapporto rileva inoltre che, in media, il 15% delle organizzazioni che hanno pagato il riscatto non ha mai ricevuto chiavi funzionanti per decrittare i dati e che il 3% delle aziende colpite ha visto le proprie informazioni “trapelate” anche dopo il pagamento del riscatto. “Non credo che un’organizzazione possa pagare il riscatto e pensare di essere al sicuro”, afferma Wichman. “Ho visto molti casi in cui gli aggressori hanno promesso di cancellare i dati rubati, ma in realtà non l’hanno fatto. Si tratta di informazioni preziose che possono essere rivendute. Perché non ricavarci qualche soldo extra?”

L'articolo “Sappiamo Dove Vivono i Tuoi Figli!”. L’Incubo Ransomware si Aggrava proviene da il blog della sicurezza informatica.

Il mondo digitale non ha confini visibili. Per ogni sito che consultiamo, per ogni applicazione che usiamo ogni giorno, esistono intere porzioni di rete nascoste, invisibili ai motori di ricerca e protette da alti livelli di anonimato e di cifratura. Tra queste, quella che affascina di più il pubblico dei non addetti ai lavori è quella che chiamiamo Dark Web. Un universo parallelo fatto di forum chiusi, marketplace sotterranei e archivi di dati rubati. Un luogo dove si muovono figure con nomi in codice, dove l’economia si regge sulle criptovalute e sulla fiducia fra criminali, e dove il Threat Intelligencer trova uno dei suoi campi di azione fra i più delicati.

Contrariamente all’immaginario collettivo, il Dark Web non è un unico “posto”. È composto da una moltitudine di servizi, spesso ospitati sulla rete Tor, che operano al di fuori del web tradizionale. Ci sono forum come Exploit, Breached (nella sua forma originale e nelle sue reincarnazioni) o XSS, che funzionano come hub di discussione tra cybercriminali, scambiando consigli su exploit, malware e tecniche di evasione. Ci sono marketplace come Genesis Market (oggi smantellato dall’FBI ma rinato sotto altre forme), specializzati nella vendita di “identità digitali” complete, raccolte tramite infostealer come RedLine o Raccoon.

A rendere questi ambienti particolarmente difficili da investigare è la combinazione di tre elementi: l’anonimato garantito dai network onion, l’uso estensivo di criptovalute, e le barriere d’ingresso sociali. Non basta conoscere l’indirizzo di un sito onion: in molti casi, l’accesso è vincolato a inviti, referenze, una prova delle proprie competenze tecniche (come il coding di un malware funzionante) o un pagamento di “entry fee” non rimborsabili. Alcuni forum prevedono un meccanismo di reputation scoring interno, che impedisce a chiunque di partecipare a discussioni avanzate senza aver prima dimostrato affidabilità criminale.

In queste community, la figura del mediatore (escrow) è cruciale. Agisce come una sorta di notaio informale, garantendo che il venditore non sparisca con il pagamento prima della consegna. L’uso dell’escrow è comune anche per servizi illeciti: campagne Phishing-as-a-Service, accessi a reti RDP compromesse, botnet noleggiate per attacchi DDoS, e perfino custom builds di ransomware pronti per essere usati da operatori affiliati.

Uno degli strumenti più evidenti del crimine informatico moderno è il leak site, ovvero un sito pubblico (ma comunque ospitato nel Dark Web) dove gruppi ransomware pubblicano i dati sottratti alle vittime che si rifiutano di pagare un riscatto. L’elenco è lungo e in continua espansione: LockBit, ALPHV/BlackCat, Cl0p, RansomedVC, per citare i più attivi del 2024.

Ogni leak site è strutturato in modo simile: una homepage che elenca le vittime recenti con countdown alla pubblicazione completa, una sezione “sample” dove vengono mostrati i primi file come prova dell’avvenuta compromissione, e in alcuni casi un motore di ricerca interno per accedere ai dati già pubblicati. Questi contenuti, oltre a violare la privacy delle vittime e danneggiare la reputazione delle aziende, forniscono anche materia prima per ulteriori campagne criminali: spear phishing, furti d’identità, truffe a catena.
1 esempio di leak site

Monitorare questi ambienti è uno degli aspetti centrali della Threat Intelligence (TI) moderna. Le aziende che investono in un programma TI maturo sanno che un’attività reattiva – basata su antivirus e firewall – non è più sufficiente. Occorre essere proattivi: sapere chi sono gli attori ostili, come operano, quali strumenti stanno usando e quali obiettivi stanno prendendo di mira.
2 esempio di data leak di una banca. Notare la coppia di chiavi RSA

Un team di Threat Intelligencers non si limita a leggere quello che accade: colleziona, analizza e correla informazioni ottenute da fonti OSINT (open source), da feed commerciali, ma soprattutto da fonti chiuse del Dark Web. Questo lavoro è svolto con l’ausilio di strumenti specializzati ed utilizzando anche personas digitali: identità fittizie costruite per infiltrarsi nei forum senza destare sospetti.

Gli analisti cercano segnali deboli: una discussione che suggerisce l’interesse verso un certo settore industriale, un account che vende accessi VPN con il nome della propria azienda tra le vittime, un malware che sembra progettato per bypassare le protezioni di un sistema specifico. In questi casi, il tempo è essenziale. La possibilità di reagire prima della fase di attacco, la cosiddetta left of boom, può significare evitare un disastro.

Nel 2024, una multinazionale del settore sanitario ha rilevato l’offerta di accessi privilegiati alla propria rete interna su un forum underground. Grazie al monitoraggio attivo, il team TI ha scoperto che si trattava di credenziali compromesse di un fornitore terzo. In 36 ore sono riusciti a revocare gli accessi, notificare il fornitore e rafforzare le difese. Quell’accesso era destinato a un attacco ransomware. È stato disinnescato prima ancora che il gruppo criminale potesse agire.

Un altro caso significativo riguarda l’uso di doxing: la pratica di pubblicare informazioni sensibili su dipendenti di alto livello per esercitare pressione. In un attacco del gruppo RansomedVC a una banca europea, sono state rese pubbliche le email interne tra il CEO e il consiglio d’amministrazione, nel tentativo di spingerli a pagare in fretta. Il team TI, monitorando i leak site e i canali Telegram affiliati al gruppo, ha potuto anticipare la pubblicazione completa e preparare una strategia di comunicazione e risposta.

Il Dark Web non è solo un mondo oscuro da cui difendersi, ma una finestra sulla minaccia futura. Un osservatorio privilegiato che permette di capire in anticipo cosa bolle in pentola. Nuove vulnerabilità (come la CVE-2024-21413, sfruttata appena pubblicata per compromettere Microsoft Outlook), tool automatizzati per attacchi massivi, servizi di phishing con modelli generati dall’AI in tempo reale. Tutto questo nasce e si evolve in quei forum. Ignorarli significa lasciare che l’avversario giochi sempre in anticipo.

Per questo sempre più aziende italiane stanno integrando la Threat Intelligence nei propri processi di sicurezza, trasformandola da attività specialistica a componente strategica della gestione del rischio. Non si tratta solo di danni tecnici: un attacco informatico può compromettere il brand, la fiducia dei clienti e la continuità operativa, rendendo essenziale includere queste attività nel Business as Usual. Il lato oscuro della rete è reale, affollato e in continua evoluzione. Con gli strumenti giusti, le competenze adeguate e un approccio metodico, il lavoro quotidiano e silente del Threat Intelligencer vi mette in grado non solo di difendervi, ma anche di guardare il nemico negli occhi prima che sia lui a bussare alla vostra porta.

L'articolo Dentro il Dark Web. Threat Intelligencer At work proviene da il blog della sicurezza informatica.

Il gruppo informatico APT41, collegato alla Cina, ha lanciato una nuova operazione di spionaggio contro i servizi IT governativi in Africa, una svolta inaspettata per una regione precedentemente considerata un obiettivo improbabile. Gli specialisti di Kaspersky Lab hanno identificato l’attacco dopo aver rilevato attività sospette sulle workstation di un’organizzazione non identificata. Gli aggressori hanno utilizzato strumenti di amministrazione remota ed eseguito comandi per garantire la disponibilità dei loro server di controllo all’interno della rete compromessa.

Successivamente è stato rivelato che il punto di ingresso era un host non rintracciabile, dove il framework Impacket, inclusi i moduli Atexec e WmiExec, veniva avviato nel contesto di un account di servizio. Dopo l’esecuzione, gli aggressori hanno temporaneamente interrotto le loro attività. Tuttavia, hanno presto iniziato a utilizzare credenziali ad alto privilegio rubate per aumentare i diritti e spostarsi lateralmente sulla rete, anche utilizzando lo strumento Cobalt Strike, implementato tramite la tecnica DLL Sideloading

La particolarità delle librerie dannose è che controllano le impostazioni della lingua di sistema e interrompono l’esecuzione se vengono rilevati pacchetti di lingua cinese (sia semplificato che tradizionale), giapponese o coreano. Questa misura è chiaramente mirata a evitare l’infezione dei computer nei paesi in cui hanno sede gli sviluppatori.

Gli aggressori hanno anche utilizzato SharePoint Server come centro di controllo nell’infrastruttura della vittima, camuffando l’attività dannosa come normale attività aziendale. È stato utilizzato per trasmettere comandi eseguiti da un trojan scritto in C#, che ha ottenuto l’accesso al sistema tramite i file “agents.exe” e “agentx.exe” trasmessi tramite il protocollo SMB. Questi file eseguibili interagivano con la web shell CommandHandler.aspx installata su SharePoint, eseguendo i comandi degli aggressori.

L’attacco combina comuni tecniche di penetrazione con tattiche ” Living off the Land “, che utilizzano servizi aziendali legittimi come strumenti di controllo. Queste tecniche sono coerenti con gli standard MITRE ATT&CK T1071.001 e T1047, il che le rende particolarmente difficili da rilevare con i mezzi tradizionali.

Dopo la ricognizione iniziale, gli aggressori si sono concentrati sulle macchine di interesse. Da lì, hanno avviato script tramite “cmd.exe” che scaricavano file HTA dannosi da una fonte esterna, il cui dominio era camuffato da una risorsa ufficiale di GitHub. Sebbene l’esatta funzionalità del contenuto scaricato sia ancora sconosciuta, è noto che uno degli script utilizzati in precedenza avviava una reverse shell, fornendo il pieno controllo remoto del sistema.

Per raccogliere informazioni è stata utilizzata un’ampia gamma di strumenti. Una versione modificata dello strumento Pillager ha consentito il furto di credenziali di accesso da browser e terminali, file, corrispondenza, e-mail, screenshot e altre informazioni sensibili. Lo strumento Checkout ha raccolto informazioni sui file scaricati e sui dati di pagamento, inclusi dati provenienti da browser come Chrome, Opera, Brave e altri. L’utility RawCopy è stata utilizzata per estrarre i file di registro non elaborati, mentre Mimikatz è stato utilizzato per scaricare le credenziali utente.

APT41 ha dimostrato un elevato livello di adattabilità, adattando i suoi moduli malware alle specifiche dell’infrastruttura della vittima. Inoltre, gli aggressori hanno utilizzato attivamente una combinazione di strumenti legittimi e proprietari, inclusi strumenti di penetration testing, per camuffare l’attacco come azioni di dipendenti interni.

Questa operazione in Africa segna un cambiamento nell’attenzione geografica di APT41 e mette in luce la crescente attenzione delle unità informatiche cinesi verso regioni precedentemente inesplorate dai loro obiettivi. Secondo Trend Micro, i primi segnali di attività in questa direzione sono stati osservati già alla fine del 2022. L’utilizzo di servizi aziendali interni come canali di controllo e raccolta dati conferma un’evoluzione negli approcci in cui il confine tra pentest e attacchi reali è praticamente annullato.

L'articolo Spionaggio digitale made in China: APT41 sfrutta SharePoint per infiltrarsi nei governi africani proviene da il blog della sicurezza informatica.

Scienziati della Nanyang Technological University, insieme a colleghi giapponesi, hanno creato la prima linea robotica al mondo per la produzione in serie di scarafaggi cyborg. Ciò ha permesso di abbandonare la complessa produzione manuale di organismi cibernetici in miniatura e di passare a prodotti standardizzati con caratteristiche più stabili. Tali vantaggi avvicinano l’impiego di sciami di insetti cyborg a fini di ispezione, ricognizione e soccorso in caso di calamità.

Uno dei principali fattori di interesse per gli insetti cyborg è la loro elevata autonomia: le batterie moderne non offrono ancora una capacità sufficiente in dimensioni compatte. Uno scarafaggio ben nutrito può percorrere distanze maggiori e più a lungo di un robot in miniatura con una batteria completamente carica, anche se la batteria è molto avanzata.

Gli scarafaggi cyborg possono penetrare strutture e meccanismi complessi senza doverli smontare o distruggere. Muovendosi in sciame, sono in grado di esplorare rapidamente vasti territori difficilmente accessibili a persone e attrezzature. Non è un caso che una parte significativa del nuovo bilancio della Bundeswehr della Germania sarà destinata allo sviluppo di intelligenza artificiale e insetti biomeccanici: anche questo è un settore di importanza strategica per l’esercito.

youtube.com/embed/EnynzjO2-kU?…

Per un utilizzo su larga scala dei cyberinsetti, è importante avviare una produzione industriale. Per sviluppare il processo, gli scienziati hanno scelto uno degli scarafaggi più grandi del mondo: la blatta sibilante del Madagascar, che può raggiungere i 7 cm di lunghezza. I componenti elettronici moderni sono ancora troppo pesanti per la maggior parte degli insetti, e in questo caso le dimensioni contano.

L’elemento chiave della catena di montaggio era il manipolatore industriale Universal Robot UR3e con pinza, nonché un sistema di visione artificiale basato sulla telecamera di profondità Intel RealSense. L’anidride carbonica veniva utilizzata come anestetico per gli insetti.

L’elettronica era posizionata su una piccola piattaforma, che, come uno zaino, era fissata al dorso dello scarafaggio. Per stimolare il sistema nervoso, venivano utilizzati due elettrodi bipolari con aghi e uncini alle estremità, inseriti e fissati nel corpo dell’insetto nella zona delle zampe anteriori.

L’assemblaggio di un cyborg ha richiesto 68 secondi.

I test hanno dimostrato che gli insetti assemblati manualmente e su una linea robotica venivano controllati con la stessa efficienza. La rotazione veniva effettuata stimolando una delle zampe anteriori, l’arresto stimolandole entrambe.

Un esperimento sul controllo degli sciami ha dimostrato che quattro scarafaggi cyborg hanno esaminato quasi l’intero territorio specificato in un tempo inaccessibile a un singolo insetto. Questa tecnologia ha buone prospettive: come minimo, l’automazione dell’assemblaggio accelererà ulteriori ricerche in questa direzione.

L'articolo Scarafaggi Cyborg: a Singapore la prima produzione in serie di scarafaggi cyborg al mondo proviene da il blog della sicurezza informatica.

A wristwatch featuring the TDA7000 FM radio receiver IC. (Credit: Philips Technical Review)
During the 1980s a lot of consumer devices suddenly got a lot smaller as large-scale integration using semiconductor technology took off. This included radios, with Philips’ TDA7000 FM radio receiver IC being the first to cram most of what you’d need for an FM radio receiver into a single chip. Recently, [Ken Shirriff] had a poke at analyzing a die shot of the TDA7000, reverse-engineering its functional blocks. How did the Philips engineers manage to miniaturize an FM radio? [Ken] will show you.

The IC was designed in 1977 by two engineers and released in 1983 after some Japanese companies showed strong interest in the IC. While 100 transistors would hardly be LSI today, it was enough to provide a lot of advanced functionality, ranging from differential amplifiers and current mirrors to Gilbert cell mixers. Since it’s an analog chip, it features capacitors in its design in the form of junction capacitors.

In [Ken]’s article, he delves into the process of how the FM signal is processed, amplified, and ultimately turned into a signal that can be sent to an output like headphones or speakers. Although LSI and transistorization are often associated with digitalization and computer technology, analog circuitry like this benefited from it just as much, finally granting humankind the ability to put an entire radio in a single SOIC-packaged chip.

A watch not your thing? How about a credit card? These days a one-chip radio is probably an SDR.

hackaday.com/2025/08/03/revers…

In questo episodio ci occupiamo dell'applicazione degli strumenti di intelligenza artificiale generativa per migliorare la scrittura creativa.

zerodays.podbean.com/e/io-e-ch…