Di Corinto, A. (2024). Postfazione in Mezza, M., Connessi a morte. Guerra, media e democrazia nella società della cybersecurity, Roma, Donzelli Editore, pp. 157-168, ISBN: 978-88-5522-686-8

Di Corinto, A. (2023). Ecco come funziona lo strategic information warfare. In: (a cura di): Profumi, E., Una pace senza armi. Dall’Ucraina alla guerra senza fine, p. 159-165, Roma: Round Robin, ISBN: 979-12-54850-16-9

Di Corinto, A. (2023). Netwar, come cambia l’hacktivismo nella guerra cibernetica. In: Rivista italiana di informatica e diritto – RIID, Anno 5, Fascicolo 2, Sezione monografica, Istituto di Informatica Giuridica e Sistemi Giudiziari del CNR Rivista scientifica Area 12 (ANVUR) Classe A, ISSN 2704-7318

Di Corinto, A. (2022). Data Commons: privacy e cybersecurity sono diritti umani fondamentali. In: (a cura di): Abba, L. Lazzaroni, A., Pietrangelo, M., La Internet Governance e le sfide della trasformazione digitale, p. 43-51, Napoli: Editoriale Scientifica, ISBN: 979-12-5976-403-4

Di Corinto, A. (2022). #Cryptomania. Milano, Ulrico Hoepli Editore S.p.A

Di Corinto, A. (2021). Prefazione, in Alù. A., Viaggio nel futuro. Verso una nuova era tecno-umana, p. 9-21, Enna: Bonfirraro Editore, ISBN: 978-88-6272-263-6

Di Corinto, A. (2020). Stefano Rodotà e la Magna Charta di Internet. In: (a cura di): Abba, L. Alù A, Il valore della Carta dei diritti di Internet. p. 7-22, Napoli: Editoriale Scientifica, ISBN: 9788893917353

Di Corinto, A. (2019). Chip sotto pelle: chi tutela la privacy?. FORMICHE, vol. 144, p. 66-67, ISSN: 1824-9914

Di Corinto, A. (2019). Riprendiamoci la rete! Piccolo manuale di Autodifesa digitale per giovani generazioni. ROMA:Eurilink University Press Srl, ISBN: 9788885622760

Di Corinto, A. (2018). Comunicare la cybersecurity. In: (a cura di): Baldoni R, De Nicola R, Prinetto P, Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici. Roma:Consorzio Interuniversitario Nazionale per l’Informatica – CINI, ISBN: 9788894137330

Di Corinto, A. (2018). La sicurezza informatica è un diritto umano. In: (a cura di): De Luca V Terzi di Sant’Agata G. M Voce F, Il ruolo dell’Italia nella sicurezza cibernetica. p. 75-85, MILANO: FrancoAngeli, ISBN: 978-88-917-6804-9

Di Corinto, A. (2018). Politiche di liberazione nella telematica del 2000. In: (a cura di): Speroni F Tozzi T , Arte, media e liberazione. p. 329-350, FIRENZE: Polistampa, ISBN 9788859619239

Abba L, Di Corinto, A. (a cura di) (2017). Il futuro trent’anni fa. Quando internet è arrivata in italia. Lecce:Piero Manni Editore, ISBN: 978-88-6266-798-2

Di Corinto, A. (2017). Hacker e BBS, centri sociali, reti civiche: chi (prima di Internet) ha diffuso la telematica amatoriale. In: (a cura di): Abba, L., Di Corinto, A. Il futuro trent’anni fa Quando Internet è arrivata in Italia. p. 106-112, San Cesario di Lecce:Piero Manni srl, ISBN: 978-88-6266-798-2

Di Corinto, A. (2017). Internet non è il web. Tutto quello che devi sapere sulla Rete in 10 parole. In: (a cura di): Abba, L., Di Corinto, A., Il futuro trent’anni fa. Quando Internet è arrivata in Italia. p. 12-17, San Cesario di Lecce:PIERO MANNI S.r.l., ISBN: 978-88-6266-798-2

Di Corinto, A. (2017). Internet non è nata come progetto militare, mettetevelo in testa. In: (a cura di): Abba L, Di Corinto, A., Il futuro trent’anni fa Quando Internet è arrivata in Italia. p. 18-22, San Cesario di Lecce: Piero Manni srl, ISBN: 978-88-6266-798-2

Di Corinto, A., Mazzone G, Masotti R., Melandri L (2017). A long way to go a truly multistakeholder environment. In: (a cura di): Association for Progressive Communication, National and Regional Internet Governance Forum Initiatives (NRIs). p. 154-157, APC, ISBN: 9789295102835

Di Corinto, A. (2016). Ci mostriamo per nasconderci, ci nascondiamo per mostrarci. In: Coleman G. I Mille volti di Anonymous. La vera storia del gruppo hacker più provocatorio al mondo. p. 5-10, VITERBO:Stampa Alternativa, ISBN: 9788862225069

Di Corinto, A., Mazzone G, Masotti R., Melandri L (2016). The Resource Gap between international commitments and reality. In: (a cura di): Association for Progressive

Communication and International Development Center, Economic, Social and cultural rights and the internet. p. 129-133, APC Cairola A, Di Corinto, A., Mazzone G, Masotti R., Melandri L (2015). Sexual rights and the internet. In: (a cura di): Association for Progressive Communication (APC) and Humanist Insitute for Cooperation with Developing Countries (Hivos), Sexual rights and the internet. p. 152-155, APC

Di Corinto, A. (2015). Nuovi Linguaggi. In: AA VV. Il Futuro ci insegue. Prospettive. p. 40-50, Milano:Edizioni di Maieutica, ISBN: 8898918097

Di Corinto, A. (2014). Un dizionario hacker. LECCE:Manni, ISBN: 978-88-6266-516-2

Di Corinto, A. (2014). Critica alla sinistra che ha perso il treno dell’innovazione . In: (a cura di): Grandi A, Riunificare il mondo del lavoro è possibile oggi? ROMA: Ediesse, ISBN: 88-230-1850-1

Di Corinto, A. (2014). Democrazia Elettronica. In: (a cura di): Giunchi G, Marino J, Trumpy S, e-Democracy. Internet society, Pisa.

Di Corinto, A., Reitano L (2014). Information warfare e hacking, le nuove frontiere dell’intelligence. LIMES, ISSN: 1124-9048

Cairola A, Di Corinto, A., Mazzone G, Lea Melandri, Masotti R (2013). The internet and activism for women’s rights. In: Association for Progressive Communication, Hivos. Women’s rights, gender and ICTs. p. 142-145, APC, ISBN: 978-92-95102-06-4

Cairola A, Di Corinto, A., Mazzone G, De Martin J C, (2012). Popular resistance to corruption in Italy. In: APC; Hivos. The internet and corruption . APC, ISBN: 978-92-95096-85-1

Di Corinto, A. (2012). Hacking netculturale e sabotaggio. In: (a cura di): Franco Berardi Bifo e Valerio Monteventi, Come si fa. Tecniche e prospettive di rivoluzione. p. 195-207, LECCE:Manni, ISBN: 978-88-6266-414-1

Di Corinto, A. (2011). Hacktivism. Gli hacker e l’economia informazionale. In: (a cura di): Luca Cian, Comunicazione liberata. Altri modi di comunicare e partecipare. p. 14-29, MILANO:Francesco Brioschi, ISBN: 9788895399638

Di Corinto, A. (2011). Lo sapevate già? In: Weinshenk M S. 100 cose che ogni designer deve conoscere sulle persone. Milano:Pearson, ISBN: 9788871926483

Di Corinto, A. Mazzone G (2011). Blocking Italy’s “gag law”. In: (a cura di): APC SIDA, Internet rights and democratisation. APC

Di Corinto, A. (2010). Così il web aiuta la pubblica amministrazione ad innovare. In: (a cura di): Marzano F, Romita A, Il senso dell’innovazione. p. 37-41, Pisa: PLUS Pisa University Press, ISBN: 8884927099

Di Corinto, A. (2010). Internet, l’Europa e i diritti digitali. In: (a cura di): Vallinoto N, Vannuccini S, Europa 2.0. Prospettive ed evoluzioni del sogno europeo. p. 79-89, VERONA:Ombre Corte, ISBN: 9788895366685

Di Corinto, A., Gilioli A (2010). I nemici della rete. L’Italia sta perdendo la corsa al digitale. Tutti i colpevoli, per incapacità o interesse, di un disastro che ci costerà caro. Milano: Biblioteca Universale Rizzoli (BUR) – RCS libri, ISBN: 8817042757

Di Corinto, A. (2009). Culture, a common heritage. Culturalazio.it: an open platform for user generated contents. In: AA VV. (a cura di): Formez, E-gov 2.0: pave the way for eParticipation. “Culture, a common heritage”. p. 150-154, ROMA: Eurospace, ISBN: 978-88-903018-3-4

Di Corinto, A. (2007). Free software as a Commons. In: (a cura di): Hilary Wainwright, Berlinguer M, Dove F, Fuster Morrell M I, Reyes O, Subirats J, Networked Politics – Rethinking political organisation in an age of movements and networks. p. 45-47, ROMA: XLEDIZIONI, ISBN: 978-90-71007-17-0

Di Corinto, A. (2007). Il remix della cultura. In: (a cura di): Piperno E, Strati della cultura. Accessibilità nel contemporaneo, giovani – relazioni – diritti -spazi. p. 121-126, Arci , Ravenna, 11, 12, 13 Ottobre 2007

Di Corinto, A. (2007). Parole di una nuova politica: Open Source. In: AA VV. (a cura di): Transform! Italia, Parole di una nuova politica. ROMA:XLEDIZIONI, ISBN: 8860830125

Di Corinto, A. (2007). Prefazione. In: Bargeillon N. Piccolo manuale di autodifesa intellettuale. Santarcangelo di Romagna: Apogeo Education – Maggioli Editore, ISBN: 9788838787737

Di Corinto, A. (2006). Revolution OS II. Software libero, proprietà intellettuale, cultura e politica. Con DVD. ISBN: 9788850323272

Di Corinto, A. (2006). “Open Source Politics”. Comunità virtuali, blogs e mediattivisti. La democrazia dell’informazione tra TV e nuovi media. In: (a cura di): Ferraris P, Rete. Dinamiche sociali e innovazioni tecnologiche. p. 107-115, ROMA:Carocci Editore, ISBN: 9788843040001

Di Corinto, A. (a cura di) (2006). L’innovazione necessaria. Di Corinto, A. MILANO:Rgb, ISBN: 88-6084-038-4

Di Corinto, A. (2005). Liberi e Binari. La convergenza tra i programmatori/sostenitori del software libero e i movimenti sociali. In: AA.VV., La privatizzazione della vita. Brevetti, monopoli, multinazionali. p. 183-187, Milano:Edizioni Punto Rosso ISBN 8883510410

Di Corinto, A. (2005). “Open Source Politics”. Comunità virtuali, blogs e mediattivisti. La democrazia dell’informazione tra TV e nuovi media. PAROLECHIAVE, vol. 34, p. 107-115, ISSN: 1122-5300

Di Corinto, A. (2004). Internet non è il paradiso. In: Lovink G. Internet non è il paradiso. p. IX-XXIV, MILANO: Apogeo, ISBN: 9788850322732

Di Corinto, A. (2003). Revolution OS. In: (a cura di): Mari A Romagnolo S, Revolution OS. MILANO:Apogeo, ISBN: 8850321546

Di Corinto, A., Tozzi T (2002). Hacktivism. La libertà nelle maglie della rete. ROMA:Manifestolibri, ISBN: 9788872852491

Di Corinto, A. (2001). Don’t hate the media, become the media. In: AA VV. La sfida al G8. p. 157-180, ROMA:Manifestolibri, ISBN: 8872852617

Di Corinto, A. (1998). Gettare una ragnatela sulla trasformazione. Appunti per una rete civica. In: (a cura di): Freschi A C, Leonardi L, Gettare una ragnatela sulla trasformazione. p. 201-208, FIRENZE:City Lights Italia, ISBN: 9788887159127

Di Corinto, A. (1998). Il ritornello del telelavoro. In: (a cura di): Freschi A C, Leonardi L, Una ragnatela sulla trasformazione. p. 119-125, FIRENZE:City Lights Italia, ISBN: 9788887159127

dicorinto.it/formazione/arturo…

A favourite thing for the developers behind a complex software project is to embed an Easter egg: something unexpected that can be revealed only by those in the know. Apple certainly had their share of them in their early days, a practice brought to a close by Steve Jobs on his return to the company. One of the last Macs to contain one was the late 1990s beige G3, and while its existence has been know for years, until now nobody has decoded the means to display it on the Mac. Now [Doug Brown] has taken on the challenge.

The Easter egg is a JPEG file embedded in the ROM with portraits of the team, and it can’t be summoned with the keypress combinations used on earlier Macs. We’re taken on a whirlwind tour of ROM disassembly as he finds an unexpected string in the SCSI driver code. Eventually it’s found that formatting the RAM disk with the string as a volume name causes the JPEG to be saved into the disk, and any Mac user can come face to face with the dev team. It’s a joy reserved now for only a few collectors of vintage hardware, but still over a quarter century later, it’s fascinating to learn about. Meanwhile, this isn’t the first Mac easter egg to find its way here.

hackaday.com/2025/06/26/reveal…

Markéta Gregorová has opened applications for the Pirate Academy, and that’s exactly what we’re going to talk about here. Are you interested in applying for the Pirate Academy but want to know more? We asked one of the organizers to share what you can expect. David Wagner gave us an overview of what’s coming up.

The online Pirate Academy, hosted by MEP Markéta Gregorová and the Greens/EFA political group, will take place in fall 2025. So David, tell us, what exactly will the course cover?

It’ll be five interactive online sessions, plus one extra live meeting in Brussels at the European Parliament for the top participants. The course will prepare you for working as a policy advisor, not only in the European Parliament. You’ll learn how real political conflicts are handled, get hands-on experience with practical tools for shaping European legislation, understand EU values and how it works — and of course, the course includes concrete real-life examples.

That sounds really interesting, David. How much time will the course take? And do applicants need any special education?

No special education is needed. It’s good if you’re enthusiastic about topics related to the European Union and its institutions, since that’s what the whole online academy is about. Each of the five online sessions lasts 180 minutes, including preparation time. Applicants will need to read and review some materials we provide before the sessions.

Can you tell us more about the topics of the individual online sessions?

There’s a lot to cover. For example: Understanding the structure and logic of the European institutions, the EU budget vs national budgets, pillars of European security, energy transition, and China’s dominance in renewables, fossil fuels, prices, the international market, and relations with the biggest suppliers. All topics are very current and linked to today’s political situation.

And the last question: Why should people apply to the Online Pirate Academy?

It’s a great chance for anyone who wants to gain knowledge about European legislation. It’s also a stepping stone for a future career in European institutions. With this knowledge, you’ll be able to actually influence political developments — and that’s something every European citizen should do.
The post Do you want to learn about European institutions and policymaking? Take advantage of the Online Pirate Academy course first appeared on European Pirate Party.

Carino... dopo guardo.

ilpost.it/2025/06/26/piattafor…

Ora c’è un sito per controllare come vanno le liste d’attesa in Italia

^{Il Post}

Continuiamo la serie di articoli sugli IAB scrivendo di un cyber contractor iraniano che non solo lavora come broker di accesso iniziale ma fornisce supporto alle ransomware gang per riempire di denaro le loro e le proprie tasche.

In un report del CISA pubblicato ad Agosto 2024, CISA, FBI e la divisione crimini informatici del DoD (Dipartimento della Difesa) affermano che un gruppo iraniano rintracciato come “Pioneer Kitten”, “Fox Kitten”, “UNC757”, “Parisite”, “RUBIDIUM” o “Lemon Sandstorm” ha avuto successo nel cyber crime nella vendita di accessi a reti aziendali violabili. Il gruppo ha operato utilizzando anche altri nomi come “Br0k3r” e “xplfinder” ed è stato osservato mentre vendeva accessi ad affiliati di operazioni RaaS come AlphV/BlackCat, NoEscape e RansomHouse.

Il report di CISA indica anche che nei casi in cui gli affiliati allo schema RaaS hanno avuto difficoltà nel crittografare i device nella rete della vittima, i membri dell’APT iraniano (il gruppo è infatti noto anche come APT33) hanno anche fornito aiuto in cambio di una percentuale sul riscatto ottenuto.

Vettori di attacchi

Nella ricerca è stato evidenziato come “Br0K3r” ottenga accessi alle reti violando vecchie vulnerabilità/CVE come quelle (pre 2024)

• dei gateway Citrix Netscaler (CVE-2019-19781, CVE-2023-3519)
• dei bilanciatori di carico F5 BIG-IP (CVE-2022-1388),

ma anche exploit più recenti (CVE del 2024)

• per i gateway sicuri di Check Point (CVE-2024-24919) e
• per i dispositivi PAN-OS e GlobalProtect VPN di Palo Alto Networks (CVE-2024-3400).

Il rapporto identifica il gruppo come formato da dipendenti di una società iraniana denominata Danesh Novin Sahand, il che fa sperare alcune delle loro vittime che vi sia la possibilità di portare un’accusa ufficiale nel prossimo futuro a tale organizzazione, forse in una corte internazionale.

Panoramica sui dettagli tecnici

Fox Kitten utilizza il motore di ricerca Shodan per identificare gli indirizzi IP che ospitano dispositivi vulnerabili a exploit specifici, come Citrix Netscaler, F5 Big-IP, Pulse Secure/Ivanti VPN o firewall PanOS. Una volta sfruttate le vulnerabilità, l’attore installa webshell e cattura credenziali di accesso prima di creare attività dannose per aggiungere malware backdoor e continuare a compromettere i sistemi. Vengono anche creati nuovi account con nomi che richiamano utenze di tipo ADMIN e vengono disattivati i sistemi EDR/Antivirus. In seguito, verrà fornito nell’articolo un maggiore dettaglio citando le TTPs citate nel rapporto CISA nel paragrafo “Tattiche, tecniche e procedure (TTP) “.

Siti onion di Br0k3r

Br0k3r ha adottato un nuovo approccio al modello commerciale IAB, utilizzando un sito ospitato da un singolo fornitore Tor per pubblicizzare i propri accessi su più forum. Questo sito Tor include istruzioni per le richieste e le modalità di acquisto dell’accesso. Secondo Br0k3r, ogni vendita di accesso include credenziali di amministratore di dominio (DA) di Windows, credenziali utente e hash di password di Active Directory (AD), zone e oggetti DNS e trust di dominio di Windows.

Il sito e il sistema sviluppati da Br0k3r sarebbero gestiti dallo stesso Br0k3r e non sarebbero collegati ad altri attori delle minacce. Ciò è dovuto al fatto che Br0k3r può creare fiducia nella sua clientela di criminali informatici. Si tratta di un servizio uno-a-molti e non di un mercato
Sito onion di Br0k3r fino a Luglio 2023
APT33 risulta essere un gruppo sponsorizzato dallo Stato iraniano attivo almeno dal 2013 (alcune fonti citano però essere attivo dal 2017). Ha preso di mira organizzazioni negli Stati Uniti, in Arabia Saudita e in Corea del Sud, con una forte attenzione ai settori dell’aviazione e dell’energia. Date le sue capacità di attacco e la sovrapposizione di attività con altre minacce costanti iraniane e la vittimologia condivisa, si ipotizza essere un gruppo legato al Corpo delle guardie rivoluzionarie islamiche (IRGC).

L’APT33, come altri gruppi subordinati all’IRGC, si aggiudica contratti nel mondo IT per operare sotto le mentite spoglie di un’azienda privata (per questo APT il nome della azienda è “Danesh Novin Sahand”) per renderne più difficile il tracciamento delle attività / l’attribuzione.

Storicamente, APT33 è stato associato a campagne di hacking e leaking, come l’operazione Pay2Key (research.checkpoint.com/2020/r…) alla fine del 2020, un’operazione di guerra informatica volta a minare la sicurezza informatica delle infrastrutture israeliane. Nel caso delle attività del gruppo APT33, sembra che si concentrino principalmente sul furto di credenziali e informazioni sensibili.

Br0k3r ora afferma sul sito web che “numerose bande di ransomware attive lavorano con me in una discreta percentuale [sic]”. Ciò evidenzia come Br0k3r esemplifichi il fatto che il rapporto tra gli operatori di ransomware e i broker di accesso iniziale (IAB) sia di reciproco vantaggio.

Lo Shop di Br0k3r consente agli operatori di ransomware di concentrarsi sul movimento laterale, sul furto di dati, sull’implementazione del payload del ransomware e sull’estorsione, anziché dedicare il proprio tempo al lungo lavoro per ottenere l’accesso alla rete. Gli operatori di ransomware forniscono inoltre un flusso di entrate costante a Br0k3r. Il costo dell’accesso è trascurabile rispetto al riscatto richiesto alle vittime, il che ha fatto esplodere il numero di offerte di vendita dell’accesso alle organizzazioni compromesse.
Sito onion Br0k3r da Agosto 2023: lo Shop di Br0k3r
Secondo SANS, chi decide di acquistare accessi da Br0k3r. riceve anche un’anteprima della rete di cui sta comprando credenziali di accesso. Questa include i domini della vittima e un riepilogo dell’organizzazione della vittima tratto da ZoomInfo. Per dimostrare che l’accesso è legittimo, Br0k3r offre anche la prova dei privilegi di amministratore di dominio, del livello di accesso aziendale, delle dimensioni della rete e del sistema antivirus o di rilevamento e risposta degli endpoint (EDR) in uso. Una volta che il potenziale acquirente conferma di avere un portafoglio con fondi disponibili, l’affare viene concluso.

Implicazioni

Queste attività di vendita di accessi puntano ad ampliare la portata delle minacce cyber da parte di attori con sede in Iran, riferisce il rapporto. All’inizio del 2024, FBI, CISA e il Dipartimento della Salute e dei Servizi Umani hanno aggiornato il loro allarme di sicurezza informatica su ALPHV (gang cliente dello IAB Br0k3r) per evidenziare nuovi indicatori di compromissione specificamente rivolti al settore sanitario. Nonostante i tentativi di FBI di interrompere le operazioni di gruppi di ransomware come ALPHV, questi gruppi continuano a rappresentare una minaccia significativa.

Motivazioni dello IAB

Spionaggio, sabotaggio, denaro.

Stati/Settori Target

USA, Israele, Azerbaidjan, Arabia Saudita, Corea del sud

Settori: Istituzioni finanziarie, Aviazione, Energia, Istruzione, Governo, Sanità

Vettori di attacco

Uso di proxy, Spearphishing, applicazioni rivolte al pubblico, messaggistica sui social media, pacchetti dannosi (NPM, Pip), Watering hole, attacchi alla Supply Chain

Tools & Malware

Wiper: Shamoon

Custom backdoor: Tickler, FalseFont

Remote Access Trojan: QuasarRAT

TOX id usati da Br0k3r

Jabber/XMPP ID br0k3r[@]xmpp[.]jp

Scenari principali in cui l’attore ha operato

Pay2Key (Ottobre 2024)

Due dozzine di aziende israeliane sono state prese di mira nell’ottobre 2024: prove forensi collegano la campagna a Fox Kitten. JNS riporta che una di esse è collegata al sistema di difesa aerea di Israele noto con il nome Iron Dome: “Fox Kitten, nella campagna Pay2Key, ha affermato di essere riuscito a violare il sistema informatico della società Elta Systems, filiale di Israel Aerospace Industries (IAI), che ha sviluppato il radar utilizzato nel sistema di difesa missilistico Iron Dome; Fox Kitten/Br0k3r avrebbe diffuso dati sensibili sul dark web”.

“Knock Knock! Tonight is longer than longest night for @ILAerospaceIAI”

“Toc Toc! Questa notte è più lunga della notte più lunga per @ILAerospaceIAI”

ha twittato dopo l’attacco del 2024.

Tattiche, tecniche e procedure (TTP)

Panoramica delle tattiche, delle tecniche e delle procedure osservate secondo il rapporto CISA. Le intrusioni iniziali di questo attore iraniano si basano sullo sfruttamento di servizi esterni remoti su risorse esposte in Internet per ottenere l’accesso iniziale alle reti delle vittime.

A partire dal luglio 2024, questo attore è stato osservato scansionare indirizzi IP che ospitano gateway di sicurezza Check Point, alla ricerca di dispositivi potenzialmente vulnerabili a CVE2024-24919. Da aprile 2024, ha condotto una scansione di massa degli indirizzi IP che ospitano i sistemi PAN-OS e GlobalPOS di Palo Alto Networks: era molto probabilmente in atto una ricognizione ed un rilevamento di dispositivi vulnerabili a CVE-2024-3400. Storicamente, questo gruppo ha violato le aziende sfruttando CVE-2019-19781 e CVE-2023-3519 relative a Citrix Netscaler e CVE-2022-1388 relative ai dispositivi BIG-IP F5.

Ricognizione, accesso iniziale, persistenza e accesso alle credenziali

L’attore è stato osservato mentre utilizzava il motore di ricerca Shodan per identificare ed enumerare gli indirizzi IP che ospitano dispositivi vulnerabili a un particolare CVE. L’accesso iniziale degli attori è solitamente ottenuto sfruttando un dispositivo di rete esposto al pubblico, come Citrix Netscaler (CVE-2019-19781 e CVE-2023-3519), F5 BIG-IP (CVE-2022-1388), Pulse Secure/Ivanti VPN (CVE-2024-21887) e, più recentemente, PanOS (CVE-2024-3400).

Dopo aver violato i dispositivi vulnerabili, vengono utilizzate le seguenti tecniche:

• Cattura di credenziali di accesso tramite webshell sui dispositivi Netscaler compromessi e aggiunta di esse al file denominato netscaler.1 nella stessa directory della webshell.
• Creazione della directory /var/vpn/themes/imgs/ sui dispositivi Citrix Netscaler per distribuire una webshell. I file dannosi distribuiti in questa directory includono:
  
  • netscaler.1
  • netscaler.php
  • ctxHeaderLogon.php

  
  

• Per quanto riguarda specificamente Netscaler, posizionamento di ulteriori webshell sui dispositivi compromessi immediatamente dopo che i proprietari del sistema hanno applicato una patch alla vulnerabilità sfruttata. Sui dispositivi sono stati osservati i seguenti percorsi e nomi di file:
  
  • /netscaler/logon/LogonPoint/uiareas/ui_style.php
  • /netscaler/logon/sanpdebug.php

  
  

• Creazione della directory “/xui/common/images/” su indirizzi IP mirati.
• Creazione di account sulle reti delle vittime; i nomi osservati includono “sqladmin$”, “adfsservice“, “IIS_Admin“, “iis-admin” e “John McCain“.
• Richiesta di esenzioni alle politiche di sicurezza e di applicazione zero-trust per gli strumenti che intendono distribuire come malevoli sulla rete della vittima.
• Creazione di un’attività pianificata dannosa SpaceAgentTaskMgrSHR nella cartella delle attività di Windows/Spaceport. Questo task utilizza una tecnica di side-loading di DLL contro l’eseguibile firmato Microsoft SysInternals contig.exe, che può essere rinominato in dllhost.ext, per caricare un payload da version.dll. Questo file è stato osservato mentre veniva eseguito dalla directory “Download” di Windows.
• Creazione di una backdoor maligna “version.dll” nella directory C:\Windows\ADFS\.
• Creazione di un’attività pianificata per caricare il malware attraverso le backdoor installate.
• Distribuzione di “Meshcentral” per connettersi ai server compromessi per l’accesso remoto.
• Creazione di un’attività di servizio Windows giornaliera con otto caratteri casuali e tentativo di esecuzione di una DLL dal nome simile contenuta in un file in C:\Windows\system32\drivers\. Ad esempio, è stato osservato un servizio denominato “test” che tentava di caricare un file il cui percorso completo era C:\WINDOWS\system32\drivers\test.sys.

Execution, Privilege Escalation, and Defense Evasion

• Riutilizzo di credenziali compromesse dallo sfruttamento di dispositivi di rete, come Citrix Netscaler, per accedere ad altre applicazioni (ad esempio, Citrix XenDesktop).
• Riutilizzo di credenziali amministrative degli amministratori di rete per accedere ai controller di dominio e ad altre infrastrutture sulle reti delle vittime.
• Utilizzo di credenziali di amministratore per disabilitare il software antivirus e di sicurezza e abbassare i criteri PowerShell a un livello di sicurezza inferiore.
• Tentativo di inserire i tool usati dall’attore malevolo nella white list dei tool permessi dai sw di sicurezza dei dispositivi e della rete.
• Utilizzo di un account amministratore compromesso per avviare una sessione desktop remota su un altro server della rete. In un caso, l’FBI ha osservato che questa tecnica è stata utilizzata per tentare di avviare Microsoft Windows PowerShell Integrated Scripted Environment (ISE) per eseguire il comando “InvokeWebRequest” con un URI che include files.catbox[.]moe. Catbox è un sito di file hosting online gratuito che gli attori utilizzano come repository/meccanismo di hosting.

Discovery

• Esportazione degli hives del registro di sistema e delle configurazioni del firewall di rete sui server compromessi.
• Esfiltrazione dei nomi degli account dal controller di dominio vittima, nonché accesso ai file di configurazione, ai log e ai registri, presumibilmente per raccogliere informazioni sugli account di rete e degli utenti da utilizzare per un ulteriore violazione.

Command e control

• Installazione di un programma di accesso remoto tipo “AnyDesk” come metodo di accesso di backup
• Abilitazione di server all’uso di Windows PowerShell Web Access
• Utilizzo di uno strumento di tunneling open source Ligolo (ligolo/ligolo-ng)
• Utilizzo della distribuzione NGROK (ngrok[.]io) per creare connessioni in uscita a un sottodominio casuale.

IoC

Il rapporto CISA Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations | CISA contiene anche IoC in formato STYX scaricabili.

Conclusione

FBI e CISA raccomandano a tutte le organizzazioni di implementare le misure di mitigazione per migliorare la propria postura di sicurezza informatica in base alla attività del gruppo informatico iraniano. FBI ritiene che l’obiettivo del gruppo si basi principalmente sull’identificazione di dispositivi vulnerabili alle CVE citate quindi, qualsiasi organizzazione dovrebbe difendersi dallo sfruttamento delle vulnerabilità note con politiche di patching e sostituzione degli apparati e dei software deprecati/obsoleti soprattutto se esposti su IP pubblici.

Sono sempre da tenere in considerazione, inoltre, le best practice descritte nel precedente articolo sullo IAB miyako al paragrafo “Strategie di difesa contro gli IAB”:

• Controlli di Accesso Forti
• Segmentazione/micro segmentazione della rete
• Monitoraggio Continuo e Rilevamento delle Minacce
• Formazione e Consapevolezza dei Dipendenti
• Piani di risposta agli incidenti
• Soluzioni di Backup e recupero Sicure
• Servizi di Intelligence sulle minacce

L33t / 1337 code

Leet (a volte scritto come “1337” o “l33t”), noto anche come eleet o leetspeak, è un altro alfabeto per la lingua inglese o italiana (o altra lingua) utilizzato soprattutto su Internet. Utilizza varie combinazioni di caratteri ASCII per sostituire le lettere latine con numeri che assomigliano alle lettere o numeri che le possono ricordare.

Br0k3r … ricorda Broker … come m13l3, ricorda miele e scu014, scuola … un ottimo approcio per rendere più complicate le nostre password.

1337 41n’t s0 7rIckY!

Bibliografica

• Outpost24.com IAB-and-links-to-ransomware.pdf
• Risky Biz news.risky.biz/risky-biz-news-…
• Sekoia blog.sekoia.io/cyber-threats-i…
• WatchGuard watchguard.com/it/wgrd-ransomw…
• Checkpoint research.checkpoint.com/2020/r…
• Cisco DUO su UNC757 duo.com/decipher/u-s-governmen…
• CrowStrike su Pioneer Kitten crowdstrike.com/en-us/blog/who…
• TechRepublic su Fox Kitten techrepublic.com/article/iran-…
• CISA.gov report Iran-based Cyber Actors Enabling Ransomware Attacks on US Organizations | CISA
• CISA.gov report tech details ic3.gov/CSA/2024/240828.pdf
• JNS Iranian hacker group claims to have penetrated IAI subsidiary – JNS.org
• MITRE su FOX Kitten attack.mitre.org/groups/G0117

L'articolo Fox Kitten e Br0k3r: Il Cyber Contractor Iraniano che Collabora con le Ransomware Gang proviene da il blog della sicurezza informatica.

Vi ricordate della famigerata cyber gang REvil? Il gruppo di hacker russi responsabile di alcuni dei più devastanti attacchi ransomware agli albori di questa minaccia globale, noti per pubblicare le loro “imprese” criminali sul celebre forum underground “Happy Blog”.

Il Tribunale Dzerzhinsky di San Pietroburgo ha condannato altri quattro partecipanti al caso del gruppo di hacker REvil (alias Sodinokibi), secondo quanto riportato dai media. A tutti i condannati sono state inflitte pene detentive effettive, ma gli imputati sono stati rilasciati, avendo già scontato integralmente la pena in custodia cautelare, durante le indagini e il processo.

Le attività di REvil cessarono a gennaio 2022, dopo che l’FSB ha annunciato l’arresto di 14 persone associate al gruppo e ha effettuato perquisizioni in 25 indirizzi nelle regioni di Mosca, San Pietroburgo, Leningrado e Lipetsk. All’epoca, è stato riferito che “la base per le attività di perquisizione era un appello delle competenti autorità statunitensi”. Di conseguenza, il Tribunale Tverskoj di Mosca ha disposto la custodia cautelare in carcere di otto presunti membri del gruppo di hacker. Sono stati accusati di aver acquisito e conservato mezzi elettronici destinati al trasferimento illegale di fondi da parte di un gruppo organizzato (Parte 2 dell’Articolo 187 del Codice Penale della Federazione Russa).

Tuttavia, l’indagine è riuscita ad incriminare gli otto presunti autori solo per due furti di denaro remoti, commessi negli Stati Uniti, senza che nessuno sappia da chi, dove e per quale importo. I media hanno riferito che non ci sono state vittime né danni nel procedimento penale. Nel maggio 2022, si è appreso che le autorità americane si erano rifiutate di collaborare ulteriormente con la Russia. Di conseguenza, è stato possibile accusare i sospettati solo di frode con le carte di credito di due messicani residenti negli Stati Uniti.

Di conseguenza, il caso del gruppo di hacker è sostanzialmente giunto a un punto morto. Nella versione finale del caso, tutti gli imputati sono stati accusati di 24 episodi di “fabbricazione e vendita di carte di credito o di debito contraffatte” (articolo 187 del Codice Penale della Federazione Russa), e il presunto leader del gruppo, Daniil Puzyrevsky, residente a San Pietroburgo, è stato anche incriminato ai sensi dell’articolo 273 del Codice Penale della Federazione Russa, che prevede la responsabilità per “la creazione o l’utilizzo di programmi informatici per distruggere o bloccare informazioni informatiche, nonché per la neutralizzazione dei mezzi di protezione delle stesse”.

Il fatto è che uno dei programmi trovati nei computer portatili degli imputati è stato ritenuto dannoso in seguito all’esame degli esperti ordinato dall’inchiesta. In effetti, l’indagine ha stabilito che gli imputati non avevano commesso alcun reato in Russia e il Dipartimento di Stato non ha mai fornito le prove promesse sul loro possibile coinvolgimento in truffe finanziarie negli Stati Uniti.

Pertanto, secondo l’indagine, le vittime di REvil erano due cittadine statunitensi di origine messicana, una certa Otilia Pevez e una certa Otilia Sisniega Pevez. Le imputate avrebbero rubato una certa somma di denaro dalle loro carte di credito a distanza, spendendola per acquistare beni su negozi online. Tuttavia, queste donne non sono state trovate. Di conseguenza, i presunti partecipanti a REvil potevano essere accusati solo di uso illegale di carte di credito e di archiviazione di malware. Non è stato inoltre possibile determinare l’origine del denaro contante sequestrato agli imputati (426 milioni di rubli, 600.000 dollari o 500.000 euro), e gli esperti non si sono nemmeno impegnati a valutare la criptovaluta in loro possesso.

Nell’autunno del 2024, il tribunale ha dichiarato Artem Zayets, Aleksey Malozemov, Daniil Puzyrevsky e Ruslan Khansvyarov colpevoli di circolazione illegale di strumenti di pagamento (Parte 2 dell’articolo 187 del Codice Penale della Federazione Russa). Puzyrevsky e Khansvyarov sono stati inoltre ritenuti colpevoli del già citato utilizzo e distribuzione di malware (Parte 2 dell’articolo 273 del Codice Penale della Federazione Russa).

Di conseguenza, Zayets e Malozemov furono condannati a 4,5 e 5 anni in una colonia penale di regime generale, mentre Khansvyarov e Puzyrevsky ricevettero rispettivamente 5,5 e 6 anni. Come reso noto questa settimana, il tribunale ha dichiarato tutti e quattro colpevoli di molteplici reati. Di conseguenza, Bessonov, Golovachuk, Muromskoy e Korotayev sono stati condannati a cinque anni di carcere in una colonia penale a regime generale. Prima dell’entrata in vigore della sentenza, la misura cautelare per gli imputati è stata trasformata in un impegno scritto a non lasciare il paese.

Il tribunale ha inoltre ordinato la confisca di due BMW del 2020 a Bessonov, per un valore di 51,8 milioni di rubli e 497.000 dollari, e di una Mercedes Benz C 200 del 2019 a Korotaev. Contemporaneamente, l’ufficio stampa congiunto dei tribunali cittadini riporta sul suo canale Telegram che tutti e quattro sono stati rilasciati dalla custodia cautelare in aula, poiché avevano già scontato la pena in un centro di detenzione preventiva, nella fase delle indagini e del processo. Dopotutto, un giorno di arresto equivale a un giorno e mezzo in una colonia penale.

L'articolo REvil: Condannati ma poi liberi. Il caso giudiziario più controverso di sempre proviene da il blog della sicurezza informatica.

Every Thursday of the week, Bastian’s Night is broadcast from 21:30 CET (new time).

Bastian’s Night is a live talk show in German with lots of music, a weekly round-up of news from around the world, and a glimpse into the host’s crazy week in the pirate movement aka Cabinet of Curiosities.

If you want to read more about @BastianBB: –> This way

piratesonair.net/bastians-nigh…

La politica e la sicurezza europea ti appassionano? Non perdere l’occasione di partecipare alla Pirate Academy, che si terrà da settembre a novembre 2025. Trenta candidati selezionati prenderanno parte a sessioni online incentrate su sfide e aree problematiche chiave, dove acquisiranno una comprensione più approfondita del funzionamento delle istituzioni europee. Dieci di loro avranno l’…

Source

Il Governo ha pubblicato sul sito del Dipartimento per le Politiche Antidroga il testo della Relazione 2025 sul fenomeno delle tossicodipendenze in Italia un documento solitamente presentato il 26 giugno in occasione della giornata mondiale per la lotta al narcotraffico e le dipendenze. Il 26 giugno, invece, nella sala stampa della Camera si presenta il XVI Libro Bianco sulle droghe della società civili con contributi anche dell’Associazione Luca Coscioni.

“Per approfondire seriamente il fenomeno delle sostanze stupefacenti illecite, il loro impatto sulla società e le necessarie risposte socio-sanitarie nel nostro paese occorrerà leggere il Libro Bianco delle organizzazioni della Società civile e non la Relazione del Governo al Parlamento” ha affermato Marco Perduca, che per l’Associazione Luca Coscioni segue le leggi e politiche nazionali e internazionali sugli stupefacenti “il documento del Governo, con prefazione del sottosegretario Mantovano non è purtroppo all’altezza del compito. Infatti, oltre a essere sempre più breve, la Relazione segnala una leggerissima flessione nell’uso degli stupefacenti a fronte dell’aumento delle operazioni ‘anti-droga’ ma, in entrambi i casi, si ragiona in termini percentuali e non assoluti. Altrove invece ci si intrattiene su campioni molto ristretti (39 città su oltre 8000) magnificando l’efficacia rilevatrice della acque reflue, con metodologie non del tutto riconosciuti come attendibili dalla comunità scientifica internazionale e presentando la presenza di sostanze illecite ogni 100.000 persone. Una formulazione che se proposta in termini percentuali evidenzierebbe che si tratta, si e no, al massimo allo 0,7 grammi a persona!”

“Il Sottosegretario Mantovano, che l’anno scorso aveva annunciato una nuova modalità di composizione della Relazione, ci tiene a segnalare che non è stato necessario cambiare norme, omettendo di ricordare che tanto nel decreto cosiddetto Caivano quanto in quello cosiddetto Sicurezza, per non parlare della famigerata norma anti-rave del 2022, passando per il nuovo codice della strada, sono state introdotte decine di nuove norme che hanno aumentato segnalazioni, denunce, procedimenti e infine arresti per detenzione personale o piccolo spaccio di sostanze illecite che hanno interessato in particolare migliaia di persone sotto i 24 anni”.

“Ed è proprio sulla questione dell’età delle persone che la Relazione dal ‘il meglio’” continua Perduca “gli studi riguardano un vasto campione di 18-24enni che, ci viene detto, usa meno sostanze illecite ma sempre più alcol, tabacco e psicofarmaci senza ricetta – a oggi non ufficialmente incluse nelle cosiddette “tossicodipendenze”. Studi internazionali segnalano che l’età media del consumo problematico è invece intorni ai 35 anni di eà (proprio come l’età media dei decessi per overdose). Di punto in bianco, la Relazione ci offre poi numeri su dipendenze comportamentali dal gioco d’azzardo online ai telefonini e internet fino ad arrivare al cyberbullismo. Insomma un gran polverone per tentare di descrivere il cosiddetto disagio giovanile agganciando fenomeni illeciti e leciti (in grande espansione) denunciandone la pari pericolosità.

“Nella parte relativa all’offerta terapeutica o socio-sanitaria, la Relazione riempie di numeri non di facile lettura tra servizi e strutture pubbliche e private e censura la ‘riduzione del danno’, una serie di interventi che pure sono previsti dal 2019 tra i livelli essenziali di assistenza”.

“Mentre ci si dilunga sui prezzi e le quantità sequestrate, il sottosegretario Mantovano che firma l’introduzione mistifica il passato recente là dove parla della conferenza nazionale del 2021 che secondo lui sarebbe stata tenuta “nel periodo Covid in formato ristretto e con minore impatto” – mentre è noto che, tranne il Ministro della Salute Speranza, tutti gli altri dicasteri coinvolti furono rappresentati dai relativi ministri e centinaia di persone presero parte al percorso preparatorio nonché alle fasi finali in presenza in plenaria a Genova”.

“La Relazione poi informa di un giro d’affari illecito per un totale intorno ai 17,2 miliardi di euro – in crescita rispetto alla pandemia ma inferiore agli anni precedenti. Nel mercato illegale l’hashish costa 10,77 euro al grammo, la marihuana 9,33 euro, l’eroina brown 39,17, quella bianca 52,12, la cocaina 76,90. Il prezzo medio per singola dose è 22,61 euro per ecstasy, 26,32 per amfetamine, 34,99 per metamfetamine e 25,17 per LSD. Per il primo semestre del ‘24 il crack (mai rilevato prima) si attesta sui 57 euro al grammo, mentre 6-MAM e ketamina hanno il costo medio di circa 25 euro al grammo” .

“Infine” conclude Perduca “pur restando numeri drammatici, la relazione ricorda che se nel 2014 le morti per overdose registrate dalla forze dell’ordine nell’87% dei casi era legate agli oppiacei, nel 2024 questa percentuale è scesa al 48% mentre una medesima quota è stata attribuita a cocaina/crack – percentuale che nel 2014 si attesta al 13%. Nell’ultimo anno il 3% dei decessi con sostanza nota è stato attribuito al consumo di sostanze sintetiche (5 casi). Non sono chiari i numeri totali, però, secondo il sito indipendente geoverdose.it, nel periodo coperto dalla Relazione le morti sarebbero state 70, di cui 44,3% per oppiacei, 24,3% per sostanza non determinata, 8,6% cocaina e 4,3% per cocktail di sostanze, zero per cannabis. Un numero alto ma se messe in relazione con la popolazione generale (che nel corso dell’anno raddoppia per via delle presenze turistiche) o con la popolazione che fa uso abituale, ci conferma che a fronte di un immutato quadro normativo proibizionista l’autoregolamentazione dei consumi funziona come efficace riduzione di danni e rischi”.

“Se la Relazione fosse stato un compito per la maturità il Governo non l’avrebbe superata per insufficienze di merito e metodo”.

Segue dettaglio della popolazione che usa sostanze illecite tratto dalla Relazione

Nel 2024 quasi 910 mila giovani tra 15 e 19 anni, pari al 37% della popolazione studentesca, riferiscono di aver consumato una sostanza psicoattiva illegale almeno una volta nella vita e 620 mila studenti (25%) nel corso dell’ultimo anno.

Il consumo di queste sostanze è più comune tra i ragazzi (28%) rispetto alle ragazze (22%). Il trend risulta in lieve calo rispetto al biennio precedente, soprattutto se si considerano i consumi nella vita e nel corso degli ultimi 12 mesi. 660 mila studenti (27%) riferiscono di aver utilizzato cannabis almeno una volta nella vita, 520 mila lo hanno fatto nell’ultimo anno (21%) e per 67mila studenti (2,7%) si è trattato di un consumo frequente (20 o più volte nel mese).

La diffusione del consumo aumenta con l’età e si riscontra una prevalenza maggiore tra i ragazzi rispetto alle coetanee. Più di 6 consumatori su 10 hanno utilizzato cannabis per la prima volta fra i 15 e i 17 anni, mentre oltre un terzo (35%) l’ha provata a 14 anni o meno. Quest’ultimo dato è in aumento rispetto al 2023, quando la percentuale si attesta al 29%. A eccezione di coloro che riferiscono di utilizzare 20 o più volte al mese (consumo frequente) che restano in percentuale sovrapponibili a quelli dello scorso anno, diminuiscono gli studenti che riferiscono sia l’esperienza d’uso almeno una volta nella vita che coloro che hanno utilizzato cannabis nell’ultimo anno.

Poco più di 280mila studenti (12%) hanno fatto uso di almeno una Nuova Sostanza Psicoattiva (NPS) nella vita e circa 140mila (5,8%) nel corso dell’anno. Tra le NPS più utilizzate ci sono cannabinoidi sintetici (5,5%), oppioidi sintetici (2,8%) e ketamina (1,5%). I consumi di cannabinoidi sintetici e di ketamina tendono ad aumentare con l’età, raggiungendo tra i 18enni prevalenze più elevate; il consumo di oppioidi sintetici, invece, mostra una tendenza opposta con prevalenze più elevate tra i 15enni. In tutte le altre NPS, le prevalenze sono stabili indipendentemente dall’età. I consumi maschili risultano più elevati rispetto a quelli femminili e, nel 2024, il consumo di queste sostanze risulta in diminuzione.

I consumi relativi alle sostanze appartenenti al gruppo degli oppioidi sintetici mostrano un quadro in controtendenza con i consumi femminili più elevati rispetto a quelli dei coetanei e un importante aumento che riporta la prevalenza ai livelli massimi osservati nel 2015.

Oltre 110 mila ragazzi (4,7%) riferiscono uso di stimolanti (amfetamine, ecstasy, GHB, MD e MDMA) nel corso della vita, quasi 59 mila (2,4%) nel corso dell’ultimo anno e 16mila studenti li hanno consumati almeno 10 volte negli ultimi 30 giorni (0,7%). Nel corso dell’ultimo anno, il consumo di stimolanti ha riguardato in particolare i ragazzi, specialmente i 15 e i 18 anni.

Poco più della metà dei consumatori (54%) riferisce di aver usato per la prima volta stimolanti tra i 15 e i 17 anni e il 45% li ha utilizzati prima dei 15 anni. Dopo il picco del 2023, si registra nel 2024 una significativa diminuzione del consumo di sostanze stimolanti.

L'articolo La Relazione sulle tossicodipendenze al Parlamento confonde i numeri, nasconde termini, diffama governi precedenti e più in generale mente proviene da Associazione Luca Coscioni.