Buon sabato e ben ritrovato caro cyber User.

Gli attacchi informatici continuano a colpire in modo massiccio i dati sensibili e le infrastrutture critiche. Dai recenti incidenti negli USA, che hanno coinvolto informazioni sanitarie e telecomunicazioni, alle nuove minacce di malware che prendono di mira gli utenti di criptovalute, analizziamo i principali eventi cyber della settimana.

Violazione della piattaforma Change Healthcare colpisce 100 milioni di persone

Il gruppo ALPHV/BlackCat ha colpito la piattaforma di pagamento sanitario di UnitedHealth Group a febbraio 2024, esfiltrando informazioni sensibili di circa 100 milioni di pazienti. Secondo il CEO Andrew Witty, “forse un terzo” degli americani è stato colpito, rendendo questo attacco la più grande violazione di dati sanitari mai registrata negli Stati Uniti. UnitedHealth ha pagato un riscatto di 22 milioni di dollari per ripristinare i sistemi, ma il gruppo di ransomware è scomparso con il denaro, spingendo il gruppo affiliato responsabile dell’attacco a formare una nuova operazione e a chiedere un secondo riscatto.

Operazione Magnus: Stop ai malware Redline e Meta

In una massiccia operazione internazionale, la polizia olandese e l’FBI hanno sequestrato server e infrastrutture usate dai malware Redline e Meta, noti per rubare dati sensibili e credenziali di accesso. Conosciuta come Operazione Magnus, l’operazione ha permesso alle autorità di accedere al codice sorgente dei malware e ai dati dei criminali, aprendo la strada a possibili future azioni legali. È stato anche attivato un sito web dedicato con un conto alla rovescia per il rilascio di ulteriori dettagli.

La Cina nel mirino delle telecomunicazioni statunitensi

Il Cyber Safety Review Board (CSRB) degli Stati Uniti ha avviato un’indagine su presunti attacchi cibernetici cinesi contro le reti di telecomunicazione statunitensi. Secondo il New York Times, i cellulari di figure di alto profilo, inclusi l’ex presidente Donald Trump e il senatore JD Vance, sono stati presi di mira in un tentativo di raccolta d’intelligence. La CISA e l’FBI hanno confermato che le indagini sono in corso, segnalando l’ingresso non autorizzato in infrastrutture commerciali di telecomunicazioni da parte di attori cinesi.

Midnight Blizzard colpisce con spearphishing

Midnight Blizzard (noto anche come Cozy Bear o APT29), un gruppo affiliato all’intelligence russa, ha lanciato una nuova campagna di spearphishing utilizzando file RDP firmati per colpire oltre un centinaio di organizzazioni nei settori governativo, accademico e della difesa. Microsoft ha spiegato che i file .RDP consentono agli hacker di accedere ai dispositivi locali e alle risorse di rete delle vittime, mappando bidirezionalmente dispositivi e periferiche locali, e potenzialmente installando malware per mantenere l’accesso anche dopo la chiusura della sessione RDP.

Gli hacker cinesi prendono di mira le reti governative canadesi

Il Canadian Centre for Cyber Security (CCCS) ha rilasciato il suo National Cyber Threat Assessment per il 2025-2026, rivelando che almeno 20 agenzie governative canadesi sono state compromesse da attacchi sponsorizzati dalla Cina. Il rapporto evidenzia che il programma cyber della Repubblica Popolare Cinese è attualmente la minaccia statale più attiva e sofisticata per il Canada, con operazioni che includono spionaggio, furto di proprietà intellettuale e influenza maligna. Tra gli avversari del Canada, il programma cyber cinese è descritto come “senza pari in termini di portata e risorse”.

Malware PyPI prende di mira i trader di criptovalute

Un nuovo pacchetto PyPI malevolo prende di mira utenti di criptovalute tramite un’interfaccia utente grafica (GUI) che imita strumenti di trading legittimi. Checkmarx ha scoperto che il malware si presenta come una suite di strumenti per il trading sicuro, distraendo l’utente con una finta schermata di configurazione. Nel frattempo, il malware esegue operazioni in background, rubando dati e manipolando il sistema. Questo attacco evidenzia l’importanza di verificare attentamente la provenienza degli strumenti utilizzati per il trading di criptovalute.

😋 FunFact

La storia divertente di oggi ce la mette a disposizione Il Fatto Quotidiano con un articolo dirompente sulla situazione attuale della nostra ACN (Agenzia per la Cybersicurezza Nazionale), dopo le recenti polemiche che la vedono protagonista con insider che hanno prodotto materiale per Equalize e attualmente sotto inchiesta.

Secondo l’attuale paradigma le competenze vanno in secondo piano in favore della managerialità: infatti le posizioni sono piene di dirigenti (172 + 61 collaboratori) e invece scarseggiano i dipendenti del CSIRT (80), che sono pure in sciopero. Bene per l’elasticità sui curricula, ma è inutile riempiersi di manager e dirigenti che per trent’anni hanno dormito sogni profondi nell’IT, svegliandosi a novembre 2022 con l’AI, mentre fior fiore di “nerd” studiavano e sperimentavano come si butta giù Internet.

L'articolo mette in evidenza una serie di problematiche significative riguardanti l'Agenzia per la Cybersicurezza Nazionale e la sua gestione attuale. Una delle principali preoccupazioni è il nepotismo che sembra caratterizzare le assunzioni all'interno dell'Agenzia. Si segnala che molti incarichi sono stati assegnati a parenti, ex segretari e collaboratori, piuttosto che a professionisti con una solida esperienza nel campo della cybersicurezza. Questa situazione solleva dubbi sulla competenza del personale e sulla capacità dell'Agenzia di affrontare le sfide sempre più complesse della sicurezza informatica.

Inoltre, la mancanza di trasparenza nelle procedure relative a bonus e promozioni ha generato un clima di insoddisfazione tra i dipendenti, portando i sindacati a minacciare scioperi. Le critiche alla gestione di Bruno Frattasi, attuale direttore dell'Agenzia, si intensificano, con accuse di favoritismi e promozioni basate su relazioni personali piuttosto che su meriti professionali. Questo ha contribuito a una percezione di inefficacia e scarsa professionalità all'interno dell'organizzazione.

La situazione è ulteriormente complicata dalla crescente preoccupazione per la sicurezza nazionale. Nonostante l'Agenzia abbia un ruolo cruciale nella protezione dei dati e della sicurezza informatica in Italia, la sua attuale gestione potrebbe compromettere la sicurezza del paese, soprattutto in un contesto in cui gli attacchi hacker sono in aumento e il sistema appare vulnerabile.

Infine, l'articolo sottolinea anche il conflitto politico che circonda la gestione della cybersicurezza, con divergenze tra le forze politiche su come affrontare i reati cibernetici e sul ruolo dell'Agenzia. Questo scontro potrebbe influenzare negativamente le decisioni e le strategie necessarie per migliorare la sicurezza informatica in Italia. In sintesi, l'Agenzia per la Cybersicurezza Nazionale si trova di fronte a sfide significative che richiedono riforme urgenti per garantire una gestione più efficace e competente della cybersicurezza nel paese.

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

buttondown.com/ninasec/archive…

[David Shadoff] has a clear soft spot for the NEC console systems and has been collecting many tools and data about them. When developing with these old systems, having a way to upload code quickly is a real bonus, hence the creation of the PC-FX Dev Cart. Based on the Raspberry Pi RP2040, the custom cartridge PCB has everything needed to run software uploadable via a USB-C connection.

While the PC-FX is a CDROM-based system, it does sport a so-called FX-BMP or backup memory port cartridge slot, which games can use to save state and perform other special functions. Under certain circumstances, the PC-FX can be instructed to boot from this memory space, and this cartridge project is intended to enable this. Having a quick way to upload and execute code is very useful when exploring how these old systems work, developing new applications, or improving the accuracy of system emulators. The original FX-BMP cartridge has little more inside than a supercapacitor-backed SRAM and a custom interfacing IC, and of course, it would be quite a hassle to use this to develop custom code.

The RP2040 isn’t really being too tasked in this application, with one core dedicated to emulating a 128K x 8 SRAM, handling the PC-FX bus interface, and the other doing duty on the USB side. At the top of the PCB are a pair of 74LVC16T245 16-bit level shifter ICs, which need to be translated from the 5 Volt console voltage domain into the 3.3 Volts at which the microcontroller operates. Power for the board is taken from the USB, not the console, enabling code to be uploaded before powering up the target. This way, the power budget of the console isn’t compromised, and the cartridge can be initialized before powering up and booting.

[David] Needed to overclock the RP2040 to 240 MHz, way beyond the specification limit of 133 MHz, because despite the PIO block being fast enough to emulate the required interface timing, the latency passing data between the PIO and the CPU core was too large, hence the need for GPIO-based solution. The project was created in KiCAD; the design files can be found here, and only one mistake has been found so far!

[David] is also heavily involved with documenting and collecting all the PC-FX resources available in the wild. These can be found in this GitHub repo. It doesn’t look like we’ve covered the PC-FX before, but we have seen a few hacks about its older sibling, the PC Engine and the closely related TurboGrafx-16. Here’s a simple PC engine-to-TurboGrafx converter board for starters. If you lack the genuine hardware, do not despair; here is an FPGA-based emulator.

hackaday.com/2024/11/02/an-rp2…

Il giornalista Joseph Cox ha riferito della più grande operazione sotto copertura dell’FBI che prevede l’uso di reti telefoniche crittografate per tracciare attività criminali.

Nel 2018 è apparsa sul mercato la piattaforma di comunicazione sicura Anom, che è diventata presto popolare tra i gruppi criminali. È stato utilizzato attivamente da influenti trafficanti di droga in tutto il mondo, fiduciosi che i loro messaggi fossero protetti. Sulla piattaforma Anom si è discusso del contrabbando di sostanze illegali, dei crimini e di altre attività illegali. Tuttavia, Anom aveva un segreto: la piattaforma era controllata dall’FBI.

La storia è diventata l’argomento di un discorso alla conferenza annuale degli hacker DEF CON , dove l’autore ha parlato di tutti gli aspetti del lavoro di Anom. Durante i 40 minuti di conferenza è stata presentata un’analisi completa del funzionamento della piattaforma, a partire dal funzionamento dei telefoni e della rete stessa, per finire con il meccanismo backdoor attraverso il quale i servizi di intelligence hanno avuto accesso alla corrispondenza. Inoltre, sono stati rivelati i dettagli della struttura aziendale di Anom e le azioni dell’FBI volte allo sviluppo del progetto.

Per tre anni, le agenzie di intelligence hanno gestito l’azienda, fornendo telefoni sicuri ai criminali di tutto il mondo e monitorandone le attività. Ciò ha fornito agli agenti un accesso unico alle informazioni sulle attività criminali, consentendo loro di rintracciare trafficanti di droga, contrabbandieri e altri criminali in tempo reale.

Gestire Anom si è rivelata non solo una mossa tattica di successo per l’FBI, ma anche una sfida. Gli agenti hanno dovuto affrontare le sfide tipiche di qualsiasi startup tecnologica, dai servizi cloud alla logistica fino all’assistenza clienti. Alla fine, l’operazione ha avuto un tale successo che ha dovuto essere chiusa nel 2021 perché la portata della sorveglianza delle attività criminali ha superato i limiti ragionevoli.

Uno degli episodi più emozionanti è stato quando lo stock di smartphone Google Pixel utilizzati su Anom è crollato drasticamente. Quando i telefoni iniziarono a scarseggiare, l’FBI organizzò un’operazione segreta. I servizi segreti hanno consegnato un lotto di dispositivi Android in Europa su un aereo privato, per poi lasciarli in un luogo designato, da dove gli intermediari di Anom hanno prelevato i telefoni, ignari di chi ci fosse dietro.

L’operazione Anom ha rappresentato un punto di svolta nella lotta alla criminalità organizzata. Grazie alle informazioni raccolte è stato possibile prevenire numerosi reati, intercettare grandi quantità di sostanze vietate e distruggere intere reti criminali. Come risultato dell’operazione speciale, più di 800 persone furono arrestate in 16 paesi e furono sequestrate enormi quantità di droga, armi e ingenti somme di denaro guadagnate dai criminali.

L'articolo Operazione Anom: L’FBI Inganna i Criminali con Telefoni Crittografati, 800 Arresti proviene da il blog della sicurezza informatica.

Warping! It messes up your 3D printed parts, turning them into a useless, dimensionally-inaccurate mess. You can design your parts around it, or try and improve your printer in various ways. Or, you can check out some of the neat tricks [Jan] has to tackle it.

The basic concept is a particularly valuable one. [Jan] notes that ABS and PLA are relatively compatible. In turn, he found that printing ABS parts on top of a thin layer of PLA has proven a great way to improve bed adhesion and reduce warping. He’s extended this technique further to other material combinations, too. The trick is to find two materials that adhere well to each other, where one is better at adhering to typical print beds. Thus, one can be used to help stick the other to the print bed. [Jan] also explains how to implement these techniques with custom G-Code and manual filament changes.

We’ve been discussing the issue of warping prints quite often of late. It’s a common problem we all face at one time or another! Video after the break.

youtube.com/embed/gbtlL8mTqJI?…

hackaday.com/2024/11/01/a-neat…

The dialogue that greets you when you try to open an unsigned application in MacOS Sequoia 15.1.
Many MacOS users are probably used by now to the annoyance that comes with unsigned applications, as they require a few extra steps to launch them. This feature is called Gatekeeper and checks for an Apple Developer ID certificate. Starting with MacOS Sequoia 15, the easy bypassing of this feature with e.g. holding Control when clicking the application icon is now no longer an option, with version 15.1 disabling ways to bypass this completely. Not unsurprisingly, this change has caught especially users of open source software like OpenSCAD by surprise, as evidenced by a range of forum posts and GitHub tickets.

The issue of having to sign applications you run on MacOS has been a longstanding point of contention, with HomeBrew applications affected and the looming threat for applications sourced from elsewhere, with OpenSCAD issue ticket #880 from 2014 covering the saga for one OSS project. Now it would seem that to distribute MacOS software you need to have an Apple Developer Program membership, costing $99/year.

So far it appears that this forcing is deliberate on Apple’s side, with the FOSS community still sorting through possible workarounds and the full impact.

Thanks to [Robert Piston] for the tip.

hackaday.com/2024/11/01/apple-…

A button that stopped working has probably led to more than a few smashed remotes over the years. Fortunately [pescado99] has shared a beautifully simple cure for dead or dying remote buttons: graphite dry lubricant.

Most remotes operate by pushing a conductive carbon coating on the back of the button onto a pair of contacts on the PCB. Unfortunately, that conductive coating can wear off, leaving you with a dead or dying button. The video after the break [pescado99] demonstrates how to use a cotton swab to apply powdered graphite to the rear of the buttons to make them conductive again. A soft pencil can also be used, but the graphite works better.

This beautifully simple hack is too good not to share and could save many remotes from landfills. If you’re more interested in upgrading remote, you can build your own universal remote or replace it with a web browser.

youtube.com/embed/SvVgDmW9zgQ?…

hackaday.com/2024/11/01/fix-th…

Nerf blasters are fun and all, but they’re limited by the fact they have to be safe for children to play with. [Flasutie] faced no such restrictions when building his giant 40 mm foam dart launcher, and it’s all the better for it.

This thing is sizeable—maybe two to four times bigger than your typical Nerf blaster. But that’s no surprise, given the size of the foam ammunition it fires. [Flasutie] shows us the construction process on how the 3D-printed blaster is assembled, covering everything from the barrel and body assembly to the chunky magazine. Loading each round into the chamber is a manual process, vaguely akin to a bolt-action mechanism, but simplified.

It’s the method of firing that really caught our eye, though. Each round has a cartridge and a foam projectile. Inside the cartridge is a quantity of flammable HHO gas generated, presumably, from water via electrolysis. The blaster itself provides power to a spark gap in the cartridge that ignites the gas, propelling the projectile through the barrel and out of the blaster.

We’ve seen plenty of Nerf blasters and similar builds around these parts, including some with a truly impressive rate of fire. Video after the break.

youtube.com/embed/B8IMF3upHlQ?…

hackaday.com/2024/11/01/buildi…

In a world of digital monotony, the Avo DA14 digital multimeter, with its vintage J Nixie tube charm, is a refreshing gem. Recently refurbished by [Thomas Scherrer], this multimeter video review is a blend of nostalgia and tech savvy. The DA14 not only has style, but substance — delivering resistance, current, and voltage measurements that make you wonder why more multi-meters didn’t stick with this stylish glow.

As [Thomas] starts by powering up the DA14, we were instantly captivated as the Nixie tubes illuminate in their retro orange. With each twist of the dial, he demonstrates just how intuitive the multimeter is to operate, walking us viewers through each function while giving some extra love to its calibration process—a neat front-panel potentiometer that requires just a touch of finesse to get perfect readings.

But, as with all good tinkering tales, things go downhill when issues with analog inputs and the display pop up. A teardown reveals a beautifully complex inner assembly of transformers, rectifiers, and circuit boards, giving the DA14 its impressive yet fragile structure. When the critical defective display chip is found, hopes for a full repair dim. His story ends without a revival, but if you want to see a similar attempt that did get resurrected – albeit without those nixie digits – take a look at this LCD transplant we covered previously.

youtube.com/embed/1ibSeRFxB3E?…

hackaday.com/2024/11/01/the-ni…

Lo SpyGate italiano minaccia ora di estendersi oltre i suoi confini, coinvolgendo Israele, il Vaticano, il Regno Unito e la Lituania riporta Politico.

Dalle intercettazioni telefoniche della polizia sono emerse nuove accuse secondo cui tra le potenze straniere ci sarebbero coloro che si sono avvalsi della società Equalize per penetrare nei database della sicurezza dello Stato allo scopo di ottenere informazioni segrete su attività finanziarie, transazioni bancarie private e indagini di polizia.

La società di intelligence italiana Equalize, che avrebbe hackerato informazioni su migliaia di persone, tra cui politici, imprenditori, atleti e persino musicisti, è accusata di lavorare per l’intelligence israeliana e il Vaticano, come dimostrano le intercettazioni della polizia trapelate su Repubblica.

Secondo le intercettazioni i membri della rete di hacker, hanno incontrato due agenti israeliani presso la sede dell’azienda a Milano nel febbraio 2023 per discutere di un incarico dal valore di 1 milione di euro.

Il lavoro era un’operazione informatica contro obiettivi russi, tra cui il “braccio destro” non identificato del presidente Vladimir Putin, e la scoperta della pista finanziaria che portava dai conti bancari di personaggi facoltosi al gruppo mercenario russo Wagner. Le informazioni avrebbero dovuto poi essere trasmesse al Vaticano.

Dai documenti trapelati non è chiaro perché l’intelligence israeliana e il Vaticano fossero coinvolti nella controversa azienda milanese e quali fossero le loro motivazioni nel richiedere informazioni su obiettivi russi, ma la loro presenza nel dossier ha ampliato notevolmente la portata della vasta indagine.

Secondo le intercettazioni telefoniche, gli israeliani hanno suggerito una partnership per scambiarsi informazioni, offrendo “tutti i documenti originali” del cosiddetto scandalo Qatargate dell’UE, che riguardava accuse secondo cui persone legate al Parlamento europeo avrebbero accettato denaro o regali in cambio dell’esecuzione degli ordini dello Stato del Golfo a Bruxelles.

Ivan Scalfarotto, senatore del partito centrista di opposizione Italia Viva, ha dichiarato a POLITICO che il ruolo degli attori stranieri nello scandalo ha aggiunto “un’ulteriore dimensione preoccupante a un fenomeno che presenta rischi strategici per il Paese”.

Il ministro degli Esteri italiano Antonio Tajani ha affermato mercoledì che l’attacco informatico “inaccettabile“, che mirava a “ricattare, attaccare o fare pressione” sui politici, e le connessioni degli hacker oltre i confini nazionali lo hanno reso “molto più grave”. Tajani ha ordinato la creazione di una task force per proteggere il suo ministero e le ambasciate italiane all’estero.

L'articolo Lo SpyGate Italiano si estende oltre i confini: Israele e Vaticano Coinvolti proviene da il blog della sicurezza informatica.

Cameras are a funny rabbit hole to fall down as a hacker, because we have well over a century of items to pick and choose from, a lot of which can be had for relative pennies. In my case I have more of them than I’d care to mention, mostly film cameras and 8mm movie cameras, but there are one or two that are entirely different. My first interest in electronics came through PAL televisions, so it’s hardly surprising that along the way I’ve also acquired more than one chunky old tube-based video camera. These devices are now long ago supplanted by their solid state replacements, but they retain a fascination for me as the mirror of the CRT-based TV sets I know so well. It’s time for a fascinating descent into the world of analogue video.

Electrons chasing light, chasing electrons

A raster scan pattern. Ian Harvey, Public domain.
The basic mode of operation behind all but some of the very earliest electronic camera tubes is that an electron gun paints its raster of electrons onto a light-sensitive target, and the current flowing through the electron beam varies in proportion to the light at each particular point on the target. This can be used to create a voltage, which when combined with the various sync pulses makes a video signal that would be understood by a monitor. The various different types of tubes have names such as Iconoscope, Emitron, or Vidicon, and while the main differences between those various types of tube lie in the combination of materials and design of their targets. Successive generations of tube made improvements to sensitivity and noise performance, first combining photoemissive layers with electron multiplying layers to amplify the video signal in much the same way as a photomultiplier tube does, and then using photoconductive targets to vary the conductivity of the target depending on the light at a particular point.

Time for some real cameras

The RCA vidicon in place.
The tube camera I’ve owned the longest is probably the best to have the lid off and see its internals, it’s an RCA security camera from the mid 1980s. Very sturdily built in the USA, mine is the 625-line version for the European market. Opening it up there’s another echo of the CRT monitor, with the same deflection and signal panels you’d find at the other end of the chain. On top is a sync generator panel, which is far more than a simple pair of oscillators. Instead it’s stuffed with circuitry to produce the full standard sync timings with odd and even fields. Lifting out the sync panel reveals the tube, in this case a vidicon with a photoconductive target, encased in its magnetic focus and deflection coils. This is a monochrome camera, so everything is pretty easy to understand.
Matsushita were evidently proud of their one-tube colour camera tech.
When a colour analogue video camera is explained, it usually starts with a diagram of a light path with a couple of bean splitters and a set of filters to supply red, green, and blue images to three different tubes. This produced those high quality broadcast images, but at the expense of significant expense and complexity. As colour home video equipment appeared in the 1970s there appeared a demand for single-tube colour cameras, and to that end the manufacturers came up with a variety of similar tubes with RGB stripe filters over their targets. A couple of these cameras have come my way, both of which have Panasonic Newvicon tubes. These differentiate between red, green, and blue parts of the image by their amplitudes, and while the image is definitely colour, I’d be lying if I said it was broadcast quality.

Here in 2024 there’s very little reason to use a tube camera unless as I am you are seeking a partcular aesthetic, That said, they remain a fun and forgotten piece of consumer electronics to experiment with, so pick one up and have a play should you see one. Looking at the whole system of both camera and monitor it’s possible to see the beauty of analogue television, in the way that every part of the system exists in perfect synchronisation. Imagine the TV sets of a whole country tuned to the same channel, and all synchronised to within a fraction of a microsecond, and you’ll see what I mean even though the idea of everyone watching the same show together is now more than faintly ridiculous.

If this has tickled your fancy, here’s more from the PAL coalface.

Header: Kyle Senior, CC BY-SA 4.0.

hackaday.com/2024/11/01/captur…

Keyboards! They’ve been almost universally made out of plastic since the dawn of the microcomputer era. Meanwhile, wood is a rather desirable material and it lends itself rather well to touch-heavy human interface devices. As [ProcessX] shows us, though, it can take quite a bit of work to fabricate a keyboard entirely out of this material.

The video shows us the construction of a Japanese wooden keyboard from Hacoa, which retails for around $1000 USD. The video shows us how the wooden housing is produced from start to finish, beginning with the selection of some fine walnut. From there, we get to see how the frame is routed out and machined, along with the more delicate work to create all the keycaps out of wood, too. They’re laser engraved to give them high-quality markings that will last the test of time. What we don’t see is the construction of the electronics—it appears that’s handled separately, and the wooden frame and keycaps are then assembled around the otherwise complete existing keyboard.

It’s nice to see what it takes to produce commercial-quality parts like this out of wood. We’ve seen other wooden keyboard builds before, too.

youtube.com/embed/ki8je1ZMjmM?…

[Thanks to John for the tip!]

hackaday.com/2024/11/01/produc…

Wired has a fascinating story this week, about the length Sophos has gone to for the last 5 years, to track down a group of malicious but clever security researchers that were continually discovering vulnerabilities and then using those findings to attack real-world targets. Sophos believes this adversary to be overlapping Chinese groups known as APT31, APT41, and Volt Typhoon.

The story is actually refreshing in its honesty, with Sophos freely admitting that their products, and security products from multiple other vendors have been caught in the crosshairs of these attacks. And indeed, we’ve covered stories about these vulnerabilities over the past weeks and months right here on this column. The sneaky truth is that many of these security products actually have pretty severe security problems.

The issues at Sophos started with an infection of an informational computer at a subsidiary office. They believe this was an information gathering exercise, that was a precursor to the widespread campaign. That campaign used multiple 0-days to crack “tens of thousands of firewalls around the world”. Sophos rolled out fixes for those 0-days, and included just a bit of extra logging as an undocumented feature. That logging paid off, as Sophos’ team of researchers soon identified an early signal among the telemetry. This wasn’t merely the first device to be attacked, but was actually a test device used to develop the attack. The game was on.

Sophos managed to deploy it’s own spyware to these test devices, to stealthily keep an eye on this clever opponent. This even thwarted a later attack before it could really start. Among the interesting observations was a bootkit infection on one of these firewalls. This wasn’t ever found in the wild, but the very nature of such an attack makes it hard to discover.

There’s one more interesting wrinkle to this story. In at least one case, Sophos received the 0-day vulnerability used in an attack through their bug bounty program, right after the wave of attacks was launched. The timing, combined with the Chinese IP Address makes it pretty clear this was more than a coincidence. This might be a Chinese hacker making a bit of extra cash on the side. It’s also reminiscent of the Chinese law requiring companies to disclose vulnerabilities to the Chinese government.

PTA 0-Day

GreyNoise runs a honeypot and an AI threat detection system, and found something interesting with that combination. The PTZOptics network security camera was the intended target, and there were a pair of vulnerabilities that this attack was intended to exploit. The first is a simple authorization bypass, where sending HTTP packets without an authorization header to the param.cgi endpoint returns data without any authorization needed. Use the get_system_conf parameter, and the system helpfully prints out valid username and password hashes. How convenient.

Gaining arbitrary command execution is trivial, as the ntp configuration isn’t properly sanitized, and the ntp binary is called insecurely. A simple $(cmd) can be injected for easy execution. Those two were being chained together for a dead simple attack chain, presumably to add the IoT devices to a botnet. The flaws have been fixed, and law enforcement have been on the case, at least seizing the IP address observed in the attacks.

Speaking of camera hacks, we do have an impressive tale from Pwn2Own 2024, where researchers at Synacktiv used a format string vulnerability to pwn the Synology TC500 camera. The firmware in question had a whole alphabet of security features, like ASLR, PIE, NX, and Full RelRO. That’s Address Space Layout Randomization, Position Independent Executables, Non-Executable memory, and Full Relocation Read-Only protections. Oh, and the payload was limited to 128 characters, with the first 32 ASCII characters unavailable for use.

How exactly does one write an exploit in this case? A bit of a lucky break with the existing memory layout gave access to what the write-up calls a “looping pointer”. That seems to be a pointer that points to itself, which is quite useful to work from offsets instead of precise memory locations. The vulnerability allowed for writing a shell command into unused memory. Then finally a bit of Return Oriented Programming, a ROP gadget, manages to launch a system call on the saved command line. Impressive.

Maybe It Wasn’t a Great Idea

…to give LLMs code execution capabilities. That’s the conclusion we came to after reading CyberArk’s post on how to achieve Remote Code Execution on a Large Language Model. The trick here is that this particular example, LoLLMs, can run python code on the backend to perform certain tasks, like do math calculations. This implementation uses Python sandboxing, and naturally there’s a known way to defeat it. The trick can be pulled off just by getting the model to evaluate the right JSON snippet, but it’s smart enough to realize that something is off and refuse to evaluate the JSON.

The interesting detail here is that it is the LLM itself that is refusing, so it’s the LLM that needs bypassed. There has been very interesting work done on LLM jailbreaks, like DAN, the Do Anything Now prompt. That would probably have worked, but this exploit can be even sneakier than that. Simply ask the LLM to help you write some JSON. Specify the payload, and ask it to add something to it. It gladly complies, and code is executed. Who knew that LLMs were so gullible?

More Quantum Erratta

This story just keeps on giving. This time it’s [Dan Goodin] at Ars Technica that has the lowdown, filling in the last few missing details about the much over-hyped quantum computing breakthrough. One of the first of those details is that the story of the compromise of AES was published in the South China Morning Post, which has over-hyped Chinese quantum progress before. What [Goodin]’s article really adds to the discussion is opinions from experts. The important takeaway is that the performance of the D-Wave quantum computer is comparable to classical approaches.

Bits and Bytes

Remember the traffic light hacking? And part two? We now have the third installment, which is really all about you, too, can purchase and hack on one of these traffic controllers. It may or may not surprise you that the answer is to buy them on Ebay and cobble together a makeshift power supply.

It’s amazing how often printers, point of sale, and other IoT gadgets are just running stripped-down, ancient versions of Android. This point of sale system is no exception, running an old, custom Android 6 system, that seems to actually be rather well locked down. Except that it has an NFC reader, and you can program NFC tags to launch Android apps. Use this creative workaround to get into Android settings, and you’re in business.

I have long maintained that printers are terrible. That sentiment apparently is extending into security research on printers, with Lexmark moving to a new encrypted filesystem for printer firmware. Thankfully, like most of these schemes, it’s not foolproof, and [Peter] has the scoop on getting in. May you never need it. Because seriously, printers are the worst.

hackaday.com/2024/11/01/this-w…

Investitori internazionali e ma soprattutto finanzieri russi stanno trasformando l'Uzbekistan in un grande hub delle cripto.

The post L’Uzbekistan è il nuovo paradiso delle criptovalute. Peccato, forse lavora per la Russia… appeared first on InsideOver.

At this point in the tech dystopia cycle, it’s no surprise that the initial purchase price of a piece of technology is likely not the last payment you’ll make. Almost everything these days needs an ongoing subscription to do whatever you paid for it to do in the first place. It’s ridiculous, especially when all you want to do is charge your electric motorcycle with electricity you already pay for; why in the world would you need a subscription for that?

That was [Maarten]’s question when he picked up a used EVBox wall mount charger, which refused to charge his bike without signing up for a subscription. True, the subscription gave access to all kinds of gee-whiz features, none of which were necessary for the job of topping off the bike’s battery. A teardown revealed a well-built device with separate modules for mains supply and battery charging, plus a communications module with a cellular modem, obviously the bit that’s phoning home and keeping the charger from working without the subscription.

After some time going down dead ends and a futile search for documentation, [Maarten] decided to snoop into the conversation between the charger boards and the comms board, reasonably assuming that if he knew what they were talking about, he’d be able to mimic the commands that make the charger go. He managed to do exactly that, reverse engineering enough of the protocol to do a simple replay attack using a Raspberry Pi. That let him use the charger. Problem solved, right?

Not so fast — this is a “Fail of the Week,” after all. This is where [Maarten] should have called it a day, but he decided to keep poking enough to snatch defeat from the jaws of victory. He discovered that the charging module’s firmware was only doing limited validation of messages coming from the comms module, and since he’d only found fourteen of the commands in the protocol, he thought he’d take advantage of the firmware’s openness to explore all 256 possible commands. Scanning through all the commands proved fatal to the charger, though, bricking the poor thing right after he’d figured everything out. Ouch!

To his credit, [Maarten] was only trying to be complete in his exploration of the protocol, and his intention to make it easier for the next hacker is laudable in the extreme. That he took it a byte too far is unfortunate, but such is the price we sometimes pay for progress. Everything he did is thoroughly documented, so if you’ve got one of these chargers you’ve got all the tools needed to make it a standalone. Just make sure you know when to stop.

hackaday.com/2024/11/01/fail-o…

Secondo l’agenzia di stampa centrale coreana (KCNA), la Russia e la Repubblica popolare democratica di Corea (RPDC) hanno firmato un accordo di cooperazione nel campo della tecnologia dell’informazione e delle telecomunicazioni.

Il documento è stato firmato il 30 ottobre a Pyongyang.

L’accordo è stato concluso tra il Ministero dello sviluppo digitale, delle comunicazioni e dei mass media della Russia e il Ministero dell’industria dell’informazione della RPDC. Da parte russa, il documento è stato firmato dal viceministro Andrei Zarenin, da parte coreana, dal viceministro Chan Yong Gil.

Alla cerimonia della firma ha partecipato anche l’ambasciatore russo nella RPDC Alexander Matsegora. Dopo la firma si è tenuta una riunione di lavoro per discutere l’attuazione dell’accordo.

Nel frattempo, in questo giorno, Ju Yong-il, ministro dell’industria dell’informazione della Corea del Nord, ha incontrato la delegazione della mostra sui prodotti tecnologici dell’informazione Zoro, guidata dal vice ministro Andrey Zarenin, e ha avuto una conversazione (Fine).

L'articolo Accordo Storico tra Russia e Corea del Nord: Collaborazione High-Tech Siglata a Pyongyang proviene da il blog della sicurezza informatica.

noblogo.org/transit/camarillo-…

Transit

2024-11-01 09:02:42

Camarillo Brillo Sessions 10 (160)

Alla fine del mondo.

The Cure – “Songs of a Lost World”, Universal

Ho sempre il timore che, quando un disco mi piace, sia perché nel momento in cui l’ascolto è ciò che (inconsciamente?) il mio “io musicale” vuole in quel periodo della vita, che sia un giorno solo o un anno. Perciò, forse, il mio giudizio è falsato: la stessa opera, a distanza di tempo potrebbe farmi un effetto molto diverso, peggiore, magari. Naturalmente ci sono dischi che resistono allo scorrere della vita e sono di certo quelli che personalmente non posso smettere di ascoltare: hanno acquisito una valenza che supera tutto ciò che gli accade intorno.

Non so se “Songs of a Lost World” dei “Cure” possa ambire a quell’empireo, pittosto ristretto, in verità. Probabilmente è anche dovuto al fatto che i “Cure” non sono mai stati uno dei miei gruppi preferiti, nemmeno all’apice della loro carriera, quando erano di certo una delle band più importanti della scena dark-wave e Robert Smith godeva di una popolarità immensa. Ed anche per questo mi domando se sia una mia mancanza di approfondimento o semplice affermazione di gusti diversi. O, anche più probabile, distrazione.

Un tempo che potremmo pensare ad appannaggio di Peter Gabriel o dei Pink Floyd per uscire con nuova musica (seppur già proposta, in parte, dal vivo): sedici anni e viene dopo un disco, “4:13 dream” che per i più è claudicante, almeno. E si invecchia, nel mentre. Come se accadesse sempre ad altri, magari perché i musicisti si sentono una categoria a parte, ma non è così. Essere umani è eguale per tutti. Ed allora questo diventa un disco sulla difficoltà del vivere, sul dolore (la perdita del fratello, per Smith), sulle inevitabili somme che si devono tirare, su ciò che ci circonda e che peggiora ogni giorno.

Questo è un disco dove la musica prevale, in una sorta di messaggio che travalica le sensazioni date dalle parole. Ogni canzone, e sono quasi tutte lunghissime, c’è una “intro” che precede i versi ed è una scelta che qualche critico ha bollato come un ritorno, ma senza entusiasmo, agli anni ‘80. Invece funziona, eccome. Dona ai brani un’aura quasi epica, anche per il drumming potente e per la chitarra di Reeves Gabrels (recuperate i “Tin Machine” ogni tanto), nella band dal 2012, tagliente, sferzante.

Il secondo singolo, “A fragile Thing”, è esemplificativa di questo mood, con un basso potente, tocchi di chitarra che ricordano un vento gelido, il cantato chiaro, limpido. Invece “Alone”, più lugubre, più ieratica è la prova che questa è un’opra dolente, che sfocia in “I Can Never Say Goodbye” dove la perdita del fratello è un temporale acustico, una litania dolorosa. Ma forse “Endsong”, la canzone finale del disco (oltre i dieci minuti), è quella che può far risaltare di più il valore di queste canzoni. E’ un brano potente, marziale, tribale, dove Gabrels può lasciare spazio alla sua elegiaca musica, un contrappunto alle parole quasi definitive “...it’s all gone/ no hope/ no dreams/ no more” e quel “...nothing” finale che non solo chiude il disco, ma sembra far calare il sipario su una esistenza intera.

E’ un grande disco, questo: lo si intuisce subito, dal primo ascolto. E come tutti i dischi di spessore cresce nel tempo, per ora brevissimo, dopo la sua uscita. Essendo una riflessione in musica, ognuno ne può far parte, per ciò che desidera, perché i temi sono universali. Gli artisti hanno il dono di farci partecipi tutti in egual maniera, ma non a tutti riesce con convinzione. Stavolta sì, anche per uno come me che non è un “fan”. Quelli che lo sono possono gioire.

#Musica #Music #Opinioni #CamarilloBrillo #Blog

Mastodon: @alda7069@mastodon.unoX: @[url=https://mastodon.uno/users/alda7069]A&D :antifa:[/url] Telegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram

Come ha annunciato il ministro della Giustizia Carlo Nordio, sono stati stanziati 715 milioni di euro per il potenziamento della sicurezza cibernetica della pubblica amministrazione, un intervento necessario per fronteggiare il “grave e concreto pericolo di attacco alla democrazia.”

La cybersicurezza in Italia, così come è stata strutturata fino ad oggi, ha bisogno di un cambio radicale. Abbiamo per troppo tempo trattato la sicurezza informatica come un insieme di regole rigide e requisiti quantitativi che misurano il livello di protezione “al kilo” di burocrazia. Ma non c’è mai stato un ciclo di controllo e di verifica.

Si parla spesso del Ciclo di Deming il famoso ciclo suddiviso in Pianificazione, Azione, Controllo e Miglioramento. I processi di Cybersicurezza che consentono di applicare una corretta cyber-posture si ispirano al ciclo di Deming.

Ma in Italia chi Controlla?

L’essenza dei controllo e dell’operatività

Per costruire una cybersicurezza realmente efficace, non possiamo ignorare l’importanza di processi di controllo e operatività ben strutturati. Nel contesto italiano, è essenziale che vengano attuati strumenti chiave come il vulnerability assessment di Stato e il bug bounty nazionale. Queste iniziative permetterebbero di monitorare continuamente le vulnerabilità e coinvolgere esperti indipendenti nella scoperta e risoluzione delle falle, apportando quel livello di “controllo” che rende robusto e dinamico il ciclo di sicurezza, come avviene nel modello di miglioramento continuo Deming (PDCA).

Un vulnerability assessment di Stato rappresenta un controllo essenziale per garantire che i sistemi pubblici siano periodicamente valutati e messi alla prova, riducendo al minimo i punti deboli sfruttabili da attori malevoli. Parallelamente, un programma di bug bounty nazionale non solo incentiverebbe esperti di sicurezza e ethical hacker a collaborare con il governo, ma assicurerebbe un approccio trasparente e proattivo alla risoluzione delle vulnerabilità.

Questi processi operativi (ma sono solo un esempio) non possono non essere presi in considerazione, dobbiamo farlo.

Tutto questo deve essere integrato nella struttura operativa della sicurezza nazionale. Il successo della cybersicurezza in Italia dipende dalla nostra capacità di costruire un modello flessibile, che permetta un controllo reattivo e una continua ottimizzazione delle difese, facendo di ogni minaccia un’occasione di apprendimento e di rafforzamento.

Cybersicurezza Come Operatività e Innovazione

La cybersicurezza non può essere semplicemente una questione di “compliance” e adempimento normativo. Dobbiamo riconoscere che essa vive e si evolve sul campo, tra coloro che ogni giorno fronteggiano criminali informatici, spesso in ambienti poco visibili e senza il supporto adeguato.

I veri professionisti della cybersicurezza non sono i professori universitari o volti noti nei media; sono coloro che conoscono le minacce informatiche perché le affrontano ogni giorno, operativamente di persona. È a queste figure che dovremmo rivolgerci per costruire una strategia di difesa realmente efficace.

Invece di affidare decisioni cruciali a chi conosce la cybersecurity solo dai manuali o dalle normative, è fondamentale creare una rete di professionisti di spicco in grado di fornire informazioni pratiche e idee strategiche al decisore politico. Questi specialisti, che operano spesso nell’ombra, rappresentano il vero capitale umano di cui la cybersicurezza italiana ha bisogno. Sono le menti che potrebbero fare la differenza, se solo fossero messe nella condizione di contribuire.

Il Ruolo dei Fondi: Sfruttare le Risorse con Saggezza

La recente disponibilità di risorse rappresenta un’opportunità straordinaria, ma il rischio che questi fondi vengano dispersi in progetti burocratici è elevato.

Ogni euro speso senza una visione strategia e soprattutto operativa e concreta è un passo verso il fallimento. Dobbiamo evitare che la cybersicurezza in Italia diventi solo un esercizio di spesa senza risultati.

Il vero obiettivo deve essere quello di mettere questi fondi nelle mani giuste, a beneficio di iniziative che migliorino davvero la resilienza e la capacità operativa della pubblica amministrazione contro le minacce cyber.

Costruire una Cultura della Sicurezza Fin dall’Infanzia

Investire in cybersicurezza non significa soltanto potenziare le difese attuali, ma costruire una mentalità. È cruciale partire dalle scuole: la sicurezza informatica dovrebbe diventare un argomento quotidiano fin dalle elementari, creando una classe dirigente futura per la quale la cybersecurity sia un valore intrinseco.

Se vogliamo un’Italia che, tra 30 anni, sia preparata e resiliente, dobbiamo introdurre la cultura della sicurezza nei giovani, facendo sì che diventi parte integrante del loro DNA.

Il futuro della cybersicurezza in Italia non può basarsi su norme statiche e imposizioni dall’alto. È il momento di un cambiamento di paradigma: serve un approccio che valorizzi il know-how pratico e la capacità operativa, riducendo al minimo le interferenze burocratiche.

L’obiettivo è di rendere l’Italia un Paese capace di affrontare le minacce cyber con competenza e rapidità. Per farlo, dobbiamo dar voce a chi vive la cybersicurezza ogni giorno, e mettere a disposizione delle nuove generazioni gli strumenti per diventare la prima linea di difesa contro le minacce digitali.

L'articolo 715 milioni di euro in Cybersicurezza! Partiamo dai Veri Esperti e Non dai Burocrati. Occorre Operatività! proviene da il blog della sicurezza informatica.

Microsoft ha annunciato un’importante modifica che trasformerà la sicurezza degli ambienti Entra: a partire dal 2 dicembre 2024, la registrazione per l’autenticazione multifattoriale (MFA) sarà obbligatoria per tutti gli utenti in tutti i tenant dove sono attivati i “Security Defaults”. Questa decisione fa parte dell’iniziativa Secure Future, lanciata a novembre 2023, mirata a rafforzare la protezione informatica attraverso i suoi prodotti.

“Elimineremo la possibilità di saltare la registrazione all’MFA per 14 giorni quando i Security Defaults sono attivati. Ciò significa che tutti gli utenti dovranno registrarsi per l’MFA al primo accesso dopo l’abilitazione dei Security Defaults,” ha dichiarato Nitika Gupta di Microsoft. Questa mossa rappresenta una risposta diretta alla crescente minaccia delle violazioni di account, poiché, come sottolineato da Gupta, “l’MFA può bloccare oltre il 99,2% degli attacchi basati su identità”.

L’impatto della nuova politica

La nuova politica influenzerà tutti i tenant creati dopo il 2 dicembre 2024 e inizierà a essere implementata per i tenant esistenti a partire da gennaio 2025. I Security Defaults di Microsoft Entra sono impostazioni che attivano automaticamente diverse funzionalità di sicurezza per proteggere le organizzazioni da attacchi comuni, come password spray, attacchi di replay e phishing. Dal 22 ottobre 2019, i nuovi tenant hanno avuto automaticamente abilitati i Security Defaults, e quelli più vecchi li hanno attivati gradualmente se non utilizzano l’accesso condizionale.

Come attivare i Security Defaults

Per abilitare i Security Defaults, gli amministratori devono accedere al Microsoft Entra admin center (con i privilegi di Security Administrator), navigare su Identity > Overview > Properties, selezionare Manage security defaults e impostare “Security defaults” su Enabled. È fondamentale per gli amministratori che non utilizzano l’Accesso Condizionale attivare questa funzionalità per proteggere in modo semplice ed efficace utenti e risorse dalle minacce comuni.

Limitazioni e raccomandazioni

Tuttavia, anche se i Security Defaults offrono una base solida di sicurezza, non permettono la personalizzazione fornita dalle politiche di Accesso Condizionale, essenziali per le organizzazioni più complesse. A agosto, Microsoft aveva già avvisato gli amministratori globali di Entra di abilitare l’MFA per i loro tenant entro il 15 ottobre, per evitare che gli utenti perdessero l’accesso ai portali di amministrazione. Con l’obiettivo di proteggere gli account Azure contro tentativi di dirottamento e phishing, Microsoft ha anche annunciato politiche di Accesso Condizionale che richiederanno l’MFA per tutti gli accessi ai portali di amministrazione Microsoft (inclusi Entra, Microsoft 365, Exchange e Azure) e per gli accessi ad alto rischio. Inoltre, a gennaio, GitHub, di proprietà di Microsoft, ha iniziato a imporre l’autenticazione a due fattori (2FA) per tutti gli sviluppatori attivi, un’altra mossa per incentivare l’adozione dell’MFA.

Conclusione

L’introduzione dell’obbligatorietà della registrazione all’MFA in Microsoft Entra rappresenta un significativo passo avanti nella lotta contro le minacce informatiche. In un panorama di cyber attacchi sempre più sofisticato, la sicurezza non è più un’opzione, ma una necessità imperativa. Con questo cambiamento, Microsoft non solo si impegna a proteggere i propri utenti, ma stabilisce anche un nuovo standard di sicurezza che potrebbe influenzare il settore nel suo complesso. Gli utenti e le organizzazioni devono prepararsi a questa evoluzione e adottare misure proattive per garantire la loro sicurezza online.

L'articolo Microsoft rende obbligatoria l’MFA in Entra. Un passo cruciale per la sicurezza proviene da il blog della sicurezza informatica.

L’attacco di phishing recentemente denominato Massive Midnight Blizzard rivela una campagna di cyber-spionaggio estremamente sofisticata, orchestrata dal gruppo russo Midnight Blizzard (noto anche come APT29, UNC2452 o Cozy Bear). Questi attacchi, abilmente progettati per impersonare entità di fiducia, prendono di mira settori strategici come agenzie governative, istituzioni accademiche, organizzazioni di difesa e ONG, inducendo le vittime a divulgare informazioni sensibili attraverso file di configurazione RDP.

Il 22 ottobre 2024, i ricercatori di Microsoft Threat Intelligence hanno scoperto una campagna di phishing devastante, che sfrutta e-mail di spear-phishing con file .RDP malevoli. Basta un clic su questi file per connettere le vittime direttamente ai server degli attaccanti, spalancando la porta a un’intrusione estremamente precisa e mirata. Sfruttando un’identità fittizia da dipendenti Microsoft, gli hacker hanno abilmente manipolato la fiducia di fornitori dei servizi cloud per infiltrarsi nelle reti aziendali. Hanno quindi impiegato malware avanzati, come FOGGYWEB e MAGICWEB, per sferrare attacchi mirati e implacabili contro i sistemi di autenticazione AD FS (Active Directory Federation Services).

Con una strategia di compromissione delle credenziali legittime attraverso catene di fornitura e movimenti laterali tra reti on-premises e ambienti cloud, il gruppo è riuscito a violare oltre 100 organizzazioni, colpendo migliaia di utenti negli Stati Uniti e in Europa. Anche CERT-UA e Amazon hanno confermato la campagna, denominata UAC-0215, che rappresenta un’evoluzione nella capacità di intelligence di questo gruppo, in attività dal 2018.

I file RDP firmati e configurati in modo fraudolento permettono la mappatura bidirezionale di risorse locali, inclusi dischi rigidi, contenuti della clipboard, periferiche, sistemi audio e credenziali Windows (smart card e Windows Hello). Questo accesso permette ai malintenzionati di installare malware, trojan di accesso remoto (RAT) e mantenere il controllo del sistema anche dopo la chiusura delle sessioni RDP.

Questi file vengono inviati tramite e-mail, spesso da indirizzi compromessi, con soggetti come “Microsoft”, “AWS” e “Zero Trust security concepts” per aumentare la credibilità agli occhi delle vittime, soprattutto nel Regno Unito, Europa, Australia e Giappone. La configurazione delle connessioni RDP consente agli attaccanti di accedere a componenti di sistema sensibili come dischi di rete, dispositivi POS e meccanismi di autenticazione web basati su passkey e chiavi di sicurezza.

Mitigazione della minaccia

Microsoft ha rilasciato una serie di indicatori di compromissione relativi alla nuova campagna Midnight Blizzard, tra cui domini email, file RDP e domini remoti RDP associati all’attacco. Ha raccomandato di rivedere le impostazioni di sicurezza email e le misure anti-phishing e antivirus della propria organizzazione. È suggerito inoltre di attivare le impostazioni Safe Links e Safe Attachments su Microsoft 365 e di abilitare opzioni di quarantena per le email inviate, se necessario. Tra le altre misure consigliate troviamo l’uso di Firewall per bloccare le connessioni RDP, l’implementazione dell’autenticazione a più fattori (MFA) e il rafforzamento della sicurezza degli endpoint.

Conclusione

Il Massive Midnight Blizzard rappresenta una minaccia senza precedenti, sia per la sua complessità tecnica sia per la capacità di persistere nelle reti compromesse con impatti a lungo termine. Questa campagna non solo sfrutta metodi di attacco estremamente avanzati, ma è anche progettata per colpire più componenti di rete e mantenere un accesso persistente, anche dopo le sessioni RDP terminate. La combinazione di tecniche come la compromissione di credenziali legittime, il movimento laterale tra reti on-premises e cloud, e l’uso di malware sofisticati per eludere i controlli di sicurezza sottolinea l’evoluzione continua delle minacce.

Mai come ora, l’adozione di misure di sicurezza proattive e una preparazione costante risultano essenziali per difendersi da attacchi così insidiosi. Le organizzazioni devono investire nella formazione degli utenti, nell’implementazione di protocolli di autenticazione robusti e nel monitoraggio continuo delle loro infrastrutture. Il Massive Midnight Blizzard è un monito per tutti: la minaccia informatica è in costante evoluzione, e solo una vigilanza attiva può contenere i danni di campagne sempre più sofisticate.

L'articolo Massive Midnight Blizzard: La Campagna di Phishing con RDP per Colpire Settori Critici proviene da il blog della sicurezza informatica.

Gyroscopes are perfect to damper short impulses of external forces but will eventually succumb if a constant force, like gravity, is applied. Once the axis of rotation of the mass aligns with the axis of the external torque, it goes into the gimbal lock and loses the ability to compensate for the roll on that axis. [Hyperspace Pirate] tackled this challenge on a gyroscopically stabilized RC bike by shifting a weight around to help keep the bike upright.

[Hyperspace Pirate] had previously stabilized a little monorail train with a pair of control moment gyroscopes. They work by actively adjusting the tilt of gyroscopes with a servo to apply a stabilizing torque. On this bike, he decided to use the gyro as a passive roll damper, allowing it to rotate freely on the pitch axis. The bike will still fall over but at a much slower rate, and it buys time for a mass on the end of the servo-actuated arm to shift to the side. This provides a corrective torque and prevents gimbal lock.

[Hyperspace Pirate] does an excellent job of explaining the math and control theory behind the system. He implemented a PD-controller (PID without the integral) on an Arduino, which receives the roll angle (proportional) from the accelerometer on an MPU6050 MEMS sensor and the roll rate (Derivative) from a potentiometer that measures the gyro’s tilt angle. He could have just used the gyroscope output from the MPU6050, but we applaud him for using the actual gyro as a sensor.

Like [Hyperspace Pirate]’s other projects, aesthetics were not a consideration. Instead, he wants to experiment with the idea and learn a few things in the process, which we can support.

youtube.com/embed/54Htg4I_ZBA?…

hackaday.com/2024/11/01/combin…

Recentemente a Roma nella sede del Reparto Operativo del Comando Carabinieri Tutela Patrimonio Culturale, il Comandante dei Carabinieri TPC, Generale di Divisione Gargaro, ha consegnato 56 reperti archeologici all’Ambasciatore della Repubblica Popolare Cinese, Jia Guide. (immagine sopra)

I preziosi manufatti sono stati recuperati a seguito di due distinte attività di polizia giudiziaria condotte dai rispettivi Nuclei TPC di Firenze e Udine.
L'indagine del Nucleo fiorentino ha permesso ai Carabinieri di sequestrare, con decreto emesso dalla Procura della Repubblica presso il Tribunale di Firenze, 3 sculture riconducibili alla dinastia Han/Yuan e Tang per le specifiche caratteristiche morfologiche, iconografiche e di lavorazione analizzate in sede di expertise. I beni facevano parte di una collezione privata di un professionista deceduto, priva di documentazione attestante la lecita provenienza.

Ulteriori 53 manufatti, provenienti dai territori della Cina e, in particolare, pertinenti la cultura neolitica Majiayao. Tali beni, sottoposti a sequestro dal Nucleo TPC di Udine con il coordinamento delle indagini da parte della Procura di Udine, erano stati trovati nella disponibilità dell’indagato che li aveva ricevuti a seguito di rinvenimento da parte di contadini della provincia cinese del Gansu e, successivamente, portati in Italia in violazione delle norme vigenti in materia di importazione di beni culturali.

I reperti, grazie alla cooperazione fornita dalla Rappresentanza Diplomatica della Repubblica Popolare Cinese presso lo Stato Italiano, sono stati riconosciuti dalle Autorità culturali di quel paese come appartenenti al proprio patrimonio nazionale.

Alla luce di tale riscontro, l’Autorità Giudiziaria, in virtù della normativa vigente prevista dal Codice dei Beni Culturali e del Paesaggio, D.Lgs n. 42/2004, ne ha disposto la restituzione allo Stato estero.

@Notizie dall'Italia e dal mondo