[Michael Lynch]’s adventures in configuring Nix to automate fuzz testing is a lot of things all rolled into one. It’s not only a primer on fuzz testing (a method of finding bugs) but it’s also a how-to on automating the setup using Nix (which is a lot of things, including a kind of package manager) as well as useful info on effectively automating software processes.

[Michael] not only walks through how he got it all up and running in a simplified and usefully-portable way, but he actually found a buffer overflow in pdftotext in the process! (Turns out someone else had reported the same bug a few weeks before he found it, but it demonstrates everything regardless.)

[Michael] chose fuzz testing because using it to find security vulnerabilities is conceptually simple, actually doing it tends to require setting up a test environment with a complex workflow and a lot of dependencies. The result has a high degree of task specificity, and isn’t very portable or reusable. Nix allowed him to really simplify the process while also making it more adaptable. Be sure to check out part two, which goes into detail about how exactly one goes from discovering an input that crashes a program to tracking down (and patching) the reason it happened.

Making fuzz testing easier (and in a sense, cheaper) is something people have been interested in for a long time, even going so far as to see whether pressing a stack of single-board computers into service as dedicated fuzz testers made economic sense.

hackaday.com/2024/11/09/nix-au…

I ricercatori di Cyfirma hanno identificato una nuova minaccia informatica : un trojan Android chiamato SpyNote, che attacca attivamente gli utenti con il pretesto dell’antivirus Avast. Il malware si maschera da applicazione conosciuta e utilizza metodi sofisticati per assumere il controllo del dispositivo.securitylab.ru/glossary/troyan…securitylab.ru/glossary/avast/

SpyNote viene distribuito tramite siti Web falsi che imitano il portale ufficiale Avast e, dopo l’installazione, ottiene l’accesso alle funzioni di sistema del dispositivo. Il programma richiede autorizzazioni per gestire lo schermo e le notifiche, il che gli consente di ottenere privilegi per eseguire azioni all’insaputa dell’utente.

Subito dopo l’installazione, utilizza i servizi di accessibilità per approvare automaticamente tutte le autorizzazioni necessarie, nascondendosi dagli antivirus.
Spynote, il trojan per Android
L’analisi ha dimostrato che il Trojan ha ampie capacità.

Monitora chiamate e messaggi, ottiene l’accesso alla fotocamera e al microfono e ruba dati da altre applicazioni, inclusi servizi di messaggistica istantanea e servizi di pagamento. È interessante notare che il malware è in grado di impedirne la disinstallazione bloccando automaticamente i tentativi di rimozione tramite le impostazioni.

SpyNote cerca attivamente portafogli crittografici e ruba dati sulla criptovaluta esistente, come password e transazioni. Il trojan raccoglie anche informazioni personali sulla vittima sfruttando le vulnerabilità nelle applicazioni e nei social network più diffusi, tra cui Instagram e WhatsApp.

Per mascherare le sue azioni, il Trojan utilizza l’offuscamento del codice, che ne rende difficile l’analisi e il rilevamento. Il programma nasconde la sua icona sul dispositivo e invia comandi ai server dell’aggressore per scaricare componenti aggiuntivi. Ciò gli consente di essere costantemente aggiornato e di espandere le sue funzionalità anche mesi dopo l’installazione sul dispositivo.

L’attività dannosa di SpyNote si estende oltre i dispositivi mobili. Gli aggressori utilizzano anche siti Web falsi per scaricare programmi di accesso remoto su computer Windows e macOS. I ricercatori di Cyfirma hanno identificato 14 domini utilizzati per diffondere questa minaccia.

Gli esperti avvertono della necessità di essere vigili e di non scaricare applicazioni da fonti dubbie. Installare soluzioni antivirus affidabili e praticare una buona igiene digitale ti aiuterà a evitare di essere infettato sui tuoi dispositivi.

L'articolo SpyNote: Il Trojan per Android che mette a rischio le tue app di messaggistica e criptovalute proviene da il blog della sicurezza informatica.

A characteristic of any thermal power plant — whether using coal, gas or spicy nuclear rocks — is that they have a closed steam loop with a condenser section in which the post-turbine steam is re-condensed into water. This water is then led back to the steam generator in the plant. There are many ways to cool the steam in the condenser, including directly drawing in cooling water from a nearby body of water. The most common and more efficient way is to use a cooling tower, with a recent video by [Practical Engineering] explaining the physics behind these.

For the demonstration, a miniature natural draft tower is constructed in the garage from sheets of acrylic. This managed to cool 50 °C water down to 20 °C by merely spraying the hot water onto a mesh that maximizes surface area. The resulting counter-flow means that no fan or the like is needed, and the hyperboloid shape of the cooling tower makes it incredibly strong despite having relatively thin walls.

The use of a natural draft tower makes mostly sense in cooler climates, while in hotter climates having a big cooling lake may make more sense. We covered the various ways to cool thermal plants before, including direct intake, spray ponds, cooling towers and water-free cooling solutions, with the latter becoming a feature of new high-temperature fission reactor designs.

youtube.com/embed/tmbZVmXyOXM?…

hackaday.com/2024/11/09/explor…

Il malware Industroyer, noto anche come Crashoverride, era un framework sviluppato da hacker russi, distribuito nel 2016 contro la rete elettrica dell’Ucraina. L’attacco lasciò Kiev per un’ora senza energia elettrica.

Il malware venne considerato un’evoluzione di precedenti ceppi come Havex e BlackEnergy, che erano stati utilizzati in precedenza sempre contro le reti elettriche. Tuttavia, a differenza di Havex e BlackEnergy (che erano più simili a malware generici di Windows distribuiti contro sistemi che gestiscono sistemi industriali), Industroyer conteneva componenti appositamente progettati per interagire con le apparecchiature della rete elettrica Siemens

Il malware Industroyer

Sei mesi dopo un attacco di hacking che ha causato un blackout a Kiev, in Ucraina, i ricercatori della sicurezza hanno avvertito che il malware utilizzato nell’attacco sarebbe stato “facile” da convertire in altri attacchi ad altre reti elettriche nel mondo.

La scoperta del malware, soprannominato “Industroyer” o “Crash Override”, evidenzia la vulnerabilità delle infrastrutture critiche, solo pochi mesi dopo che il ransomware WannaCry ha mietuto vittime in tutto il globo.

Industroyer, analizzato dai ricercatori della slovacca ESET e della statunitense Dragos, è solo il secondo caso noto di virus costruito e rilasciato appositamente per interrompere i sistemi di controllo industriale. Il primo conosciuto è stato Stuxnet, un worm che ha sabotato il programma nucleare iraniano, che si pensa fosse stato costruito dalla collaborazione tra Stati Uniti ed Israele, anche se non sono presenti fonti ufficiali.

Sei mesi dopo un attacco di hacking che ha causato un blackout a Kiev, in Ucraina, i ricercatori della sicurezza hanno avvertito che il malware utilizzato nell’attacco sarebbe stato “facile” da convertire in infrastrutture paralizzanti in altre nazioni.

La scoperta del malware, soprannominato “Industroyer” e “Crash Override”, evidenzia la vulnerabilità dell’infrastruttura critica, pochi mesi dopo che il ransomware WannaCry ha eliminato i computer NHS in tutto il Regno Unito.

Industroyer, analizzato dai ricercatori della slovacca ESET e della statunitense Dragos, è solo il secondo caso noto di virus costruito e rilasciato appositamente per interrompere i sistemi di controllo industriale. Il primo è stato Stuxnet, un worm che ha sabotato il programma nucleare iraniano , che si pensava fosse stato costruito dagli Stati Uniti e da Israele.

Il virus attacca le sottostazioni elettriche e gli interruttori dei circuiti utilizzando protocolli di comunicazione industriale standardizzati su una serie di tipi di infrastrutture critiche, dall’alimentazione elettrica, acqua e gas al controllo dei trasporti.

Questi protocolli di controllo risalgono a decenni fa, molto prima che le pratiche di sicurezza come la crittografia e l’autenticazione fossero state standardizzate. La loro unica caratteristica è quella di essere attivi anche su reti che non sono direttamente connesse a Internet (reti airgap).

Gli obiettivi

Il malware Industroyer è stato utilizzato in un massiccio attacco informatico in Ucraina il 17 dicembre 2016; l’attacco a tempo ha preso di mira le sottostazioni di distribuzione dell’elettricità a Kiev e ha assunto il controllo degli interruttori di circuito negli ICS per tagliare l’elettricità, portando a sostanziali blackout che sono durati molte ore. “Con ciò, si è unito a un club d’élite di sole tre famiglie di malware note per essere utilizzate negli attacchi contro ICS”, quali BlackEnergy, Stuxnet e Havex.

L’incidente non deve essere confuso con un altro attacco informatico che ha preso di mira l’Ucraina nel dicembre 2015, che ha anche interrotto l’alimentazione elettrica a vaste aree dell’Ucraina occidentale. Questi incidenti sono stati causati da un altro malware ICS chiamato BlackEnergy.

Ma la cosa che Industroyer riuscì a far comprendere, in particolare rispetto ai vasti blackout causati da un altro attacco informatico un anno prima, è che tutto questo poteva avvenire in modo automatico.

Gli attacchi precedenti, sebbene più dannosi, hanno richiesto il controllo umano per poter generare i disservizi attesi, al contrario, Industroyer ha causato tutto questo in modo automatico portando una grande capitale ad un’ora di blackout. Ciò ha portato alcuni a chiedersi se l’attacco di Kiev fosse più un test per vedere se il malware avrebbe funzionato nella pratica o qualcosa di simile. Ma a prescindere, afferma Anton Cherepanov, ricercatore senior di malware presso l’azienda ESET :

“dovrebbe servire da campanello d’allarme per i responsabili della sicurezza dei sistemi critici di tutto il mondo”.

Oltre alle sue funzioni di attacco, Industroyer ha anche la capacità di danneggiare il PC di controllo stesso, rendendolo non avviabile e quindi potenzialmente allungando di fatto il blackout.

Il Dipartimento della sicurezza interna degli Stati Uniti ha affermato che stava indagando sul malware, sebbene non avesse riscontrato prove che suggerissero che avesse infettato l’infrastruttura critica degli Stati Uniti. Non è stata confermata alcuna attribuzione specifica per l’attacco di Kiev, ma il governo ucraino ha incolpato la Russia, come ha fatto per gli attacchi del 2015. I funzionari di Mosca hanno ripetutamente negato la responsabilità.

Le capacità

Industroyer, è un sofisticato malware modulare che include diversi componenti come una backdoor, un launcher, un data wiper, almeno quattro payload e molti altri strumenti. Gli esperti hanno concentrato la loro analisi sui payload (IEC 60870-5-101 (alias IEC 101), IEC 60870-5-104 (alias IEC 104), IEC 61850, OLE for Process Control Data Access (OPC DA)) i componenti principali del malware negli attacchi che consentono di controllare gli interruttori elettrici.

La backdoor di Industroyer consente agli aggressori di eseguire vari comandi sul sistema, mentre il server C&C è nascosto nella rete Tor e può essere programmato per essere attivo solo in determinati momenti, rendendo difficile il suo rilevamento. La backdoor installa il componente di avvio, che avvia il wiper e i payload, inoltre rilascia una seconda backdoor mascherata da una versione trojanizzata dell’applicazione Blocco note di Windows.

Il componente wiper viene utilizzato nella fase finale dell’attacco per nascondere le tracce e rendere difficile il ripristino dei sistemi mirati. I payload consentono al malware di controllare gli interruttori ed implementa protocolli di comunicazione industriale. I ricercatori di ESET ritengono che gli sviluppatori del malware abbiano una profonda conoscenza delle operazioni della rete elettrica e delle comunicazioni della rete industriale per poter aver progettato un malware di tale caratura.

“Oltre a tutto ciò, gli autori del malware hanno anche scritto uno strumento che implementa un attacco denial-of-service (DoS) contro una particolare famiglia di relè di protezione, in particolare la gamma Siemens SIPROTEC”

Ha detto la ESET.

“Le capacità di questo malware sono significative. Rispetto al set di strumenti utilizzato dagli attori delle minacce negli attacchi del 2015 contro la rete elettrica ucraina che sono culminati in un black out il 23 dicembre 2015 (BlackEnergy, KillDisk e altri componenti, incluso un legittimo software di accesso remoto), la banda dietro Industroyer è più avanzata, dal momento che hanno fatto di tutto per creare malware in grado di controllare direttamente interruttori e interruttori automatici”

Sia ESET che Dragos hanno raccolto prove che suggeriscono che Industroyer sia stato coinvolto nelle interruzioni di corrente del 2016 nella regione di Kiev , attribuite agli hacker sponsorizzati dallo stato russo.

Chi creò Industroyer

Industroyer è un malware altamente personalizzabile. Pur essendo universale, in quanto può essere utilizzato per attaccare qualsiasi sistema di controllo industriale utilizzando alcuni dei protocolli di comunicazione mirati, alcuni dei componenti nei campioni analizzati sono stati progettati per prendere di mira un particolare hardware.

I ricercatori di Dragos, un’azienda specializzata in sicurezza dei sistemi di controllo industriale (ICS), ritengono che il gruppo ELECTRUM APTsia direttamente collegato al gruppo Sandworm APT , ESET ha evidenziato che sebbene non vi siano somiglianze di codice tra il malware utilizzato negli attacchi del 2015 e del 2016 in Ucraina, alcuni componenti sono concettualizzati.

ELECTRUM APT è un gruppo ancora attivo, sebbene le prove suggeriscano che il gruppo non si concentri più esclusivamente sull’Ucraina. L’attività in corso del gruppo e il collegamento al team SANDWORM indicano che ELECTRUM potrebbe arrecare danni anche in altre aree geografiche. Dragos considera ELECTRUM uno dei gruppi di minacce più competenti e sofisticati attualmente in circolazione nel settore ICS.

Fonti
welivesecurity.com/2017/06/12/…
redhotcyber.com/wp-content/upl…

L'articolo Industroyer: Il Malware che Ha Spento Kiev e Minaccia le Reti Elettriche Globali proviene da il blog della sicurezza informatica.

Il 12 di maggio del 2017, è stata una giornata particolare.

Per molti non significherà nulla, ma altri la ricorderanno bene, perché è stata una giornata convulsa e movimentata in quanto il mondo venne catapultato nella prima infezione globale da ransomware della storia.

Infatti il 12 maggio viene ricordato come il giorno 0 di WannaCry, il malware che crittografava i contenuti all’interno di un computer chiedendone un riscatto.

Tutto comincia nella mattinata del 12 di maggio del 2017, quando Telefonica (il noto ISP spagnolo) dirama un comunicato che raccomanda ai propri clienti di spegnere i computer per via di un attacco informatico in corso.

La diffusione di wanna cry

In poche ore WannaCry inizia a mietere vittime in tutto il mondo, infatti il New York Times pubblica una mappa interattiva che mostra l’andamento dei focolari d’infezione in realtime e tutto il mondo è in allerta, inserendo nel vocabolario e nel gergo comune la parola “ransomware”, ovvero un malware che chiede un riscatto per decifrare i dati presi in ostaggio all’interno di un pc.

youtube.com/embed/IEAtGCkbq5Y

Ma a parte la weaponization, l’exploit Eternalblue, The Shadow Broker e Lost in Translation (cose delle quali abbiamo parlato a lungo), oggi ci concentreremo sugli aspetti più storici della massiccia infezione mondiale che causò il collasso di 230.000 computer in 150 paesi, inclusa Russia, Cina, Usa, Regno unito ed ovviamente l’Italia.

Origini del malware Wanna Cry

WannaCry colpì i sistemi Windows e a dicembre 2017, il governo degli Stati Uniti dopo una serie di indagini, considerò pubblicamente responsabile la Corea del Nord dell’attacco WannaCry, anche se la Corea ha sempre negato l’origine dell’attacco.

Tra le organizzazioni maggiormente colpite, ci furono molti ospedali del Servizio sanitario nazionale della Gran Bretagna e della Scozia con 70.000 dispositivi in ostaggio dei criminali informatici oltre a risonanze magnetiche, frigoriferi per la conservazione del sangue e attrezzature di diverso tipo.

Venne identificato come artefice di WannaCry, con un documento di 179 pagine prodotto dal dipartimento della giustizia degli Stati Uniti d America, l’allora trentaquattrenne Park Jin Hyok, responsabile anche di una serie di attacchi contro le reti di Sony Pictures Entertainment e ad altre banche in tutto il mondo, oltre ad essere stato correlato al gruppo APT Lazarus.

A Park si associa la scrittura del malware WannaCry, ma in questa storia molto ingarbugliata, dal 12 di maggio del 2107 altri eroi si sono fatti avanti per difendere il pianeta da questa grandissima pandemia informatica di massa.

MalwareTech scopre il Kill Switch del malware e ferma l’infezione

Parlo di Marcus Hutchins chiamato MalwareTech, che durante la fase acuta dell’infezione da WannaCry, stava analizzando i primi campioni del malware, quando scoprì che al suo interno, era stato creato quello che in gergo tecnico si chiama “kill switch”, una sorta di “interruttore” capace di bloccare l’infezione.

Infatti WannaCry richiamava costantemente un dominio. Se il dominio risultava non attivo, l’infezione andava avanti, ma se invece il dominio rispondeva, il ransomware bloccava la sua attività.

Kill switch presente all’interno del ransowmare WannaCry

MalwareTech non fece altro che registrare questo dominio con un investimento pari a 10 dollari dell’epoca, inizialmente pensando che in questo modo potesse capire meglio la diffusione del contagio. Ma capi presto ben presto che l’algoritmo interno di WannaCry verificava la sua presenza e in caso positivo bloccava l’infezione.

Marcus Hutchins chiamato MalwareTech

WannaCry verrà ricordato da tutti come un avvenimento “biblico” nella letteratura della sicurezza informatica, un caso mondiale, riconosciuto da tutti, una sorta ILOVEYOU più grande e tecnologicamente più avanzato e soprattutto più pervasivo.

I ransomware oggi sono una grande minaccia per ogni organizzazione piccola o grande che sia, e i nuovi ransomware non perdonano, in quanto se non paghi il riscatto, pubblicano i contenuti trafugati illegalmente con danni inimmaginabili per le organizzazioni.

Il fenomeno del ransomware in ascesa

Si tratta del fenomeno della RaaS (Ransomware As a Service), composto da criminali che sviluppano il software e affiliati che lo utilizzano per sferrare gli attacchi. Una sorta di meccanismo virtuoso che fa guadagnare molti soldi a tutti e sta creando sempre più problemi alle organizzazioni, con incidenti di rilievo e taglie mostruosamente elevate.

Quando finirà il fenomeno del Ransomware?

Fino ad oggi risulta in costante ascesa.

Sono passati 4 anni da WannaCry, ma e Il ransomware è maturato e il suo livello di minaccia è ora alla pari degli APT, poiché gli attaccanti usano strumenti migliori e imparano dagli errori del passato per mantenere persistenza all’interno delle organizzazioni.

Quindi prestiamo la massima attenzione ad un allegato presente all’interno di una mail di dubbia provenienza prima di aprirlo.

Siete tutti avvertiti!

L'articolo WannaCry: Il Ransomware che ha Cambiato il Mondo della Cybersecurity proviene da il blog della sicurezza informatica.

Un'operazione internazionale coordinata da Eurojust e Europol ha interrotto il traffico di grandi quantità di cocaina dal Sud America a vari porti marittimi italiani.
In totale, 29 sospetti appartenenti a una rete criminale guidata da cittadini albanesi sono stati arrestati in Italia e in Albania.
Allo stesso tempo, in Francia, Romania e Spagna sono state effettuate perquisizioni per raccogliere informazioni e potenziali prove. Il successo delle indagini è il risultato di una squadra investigativa congiunta a lungo termine (JIT/SIC), sostenuta e finanziata da Eurojust.

Il gruppo criminale era attivo nella distribuzione all'ingrosso di droga sul mercato italiano. Le droghe illecite erano nascoste in contenitori con frutta esotica su navi che arrivavano nei porti europei del Sud America. La rete era capeggiata da due fratelli albanesi. L'operazione è culminata in una giornata di azione che ha visto l'arresto di 29 sospetti (27 in Italia, 2 in Albania). Gli investigatori della Struttura speciale anticorruzione e anticrimine organizzato dell'Albania, nonché della Guardia di Finanza italiana a Pisa e della Procura della Repubblica a Firenze, sono stati supportati dagli esperti di riciclaggio di denaro di Europol per individuare il flusso economico gestito dai criminali.

Dall'inizio delle indagini nel novembre 2021 e fino alla giornata di azione, alcuni membri sono stati arrestati mentre commettevano attivamente reati. Nello stesso periodo sono stati sequestrati oltre 2 000 kg di cocaina, 20 kg di marijuana e 46 kg di hashish. I criminali avevano messo in piedi un elaborato sistema di riciclaggio di denaro.

L'indagine è stata supportata da comunicazioni intercettate tra organizzazioni criminali, che hanno usato lo strumento di comunicazione mobile criptato SkyECC.
Su richiesta delle autorità italiane, Eurojust ha organizzato diverse riunioni di coordinamento tra tutti gli organi investigativi per preparare l'azione internazionale. Un centro di coordinamento è stato istituito presso la sede di Eurojust all'Aia per sostenere le ricerche e gli arresti in corso nei cinque paesi interessati. Eurojust ha inoltre assistito all'esecuzione degli ordini investigativi europei in Francia, Romania e Spagna e ha chiesto assistenza giudiziaria in Albania. I mandati d'arresto sono stati diffusi in tutto il mondo attraverso INTERPOL, grazie alla 3a divisione del Servizio Centrale per la Cooperazione Internazionale di Polizia.

#Eurojust #Europol #JIT #SIC #trafficococainaviamare #INTERPOL #Albania #guardiadifinanza #skyecc

@Notizie dall'Italia e dal mondo