Un attacco ransomware devastante ha paralizzato Blue Yonder, il gigante globale nella gestione delle supply chain, scatenando una crisi operativa senza precedenti che ha colpito supermercati nel Regno Unito e ha generato preoccupazioni a livello globale. L’azienda, che ha costruito la propria reputazione come fornitore di soluzioni AI-driven per la logistica e la distribuzione, si trova ora ad affrontare una delle sfide più difficili della sua lunga storia. Le ripercussioni di questo attacco sono enormi, non solo per Blue Yonder, ma per l’intero settore delle supply chain.

Blue Yonder: Un pilastro della Supply Chain globale

Blue Yonder, ex JDA Software, è una delle aziende leader mondiali nel fornire soluzioni di gestione della supply chain attraverso l’intelligenza artificiale. Con oltre 3.000 clienti, tra cui alcuni dei nomi più conosciuti al mondo come DHL, Renault, Morrisons, Starbucks, Nestlé, Tesco e 7-Eleven, Blue Yonder ha rivoluzionato il modo in cui le aziende gestiscono la domanda, l’inventario e la logistica. Con un fatturato annuo superiore a un miliardo di dollari e un team di 6.000 dipendenti, l’azienda ha costruito una solida reputazione nel settore della gestione delle supply chain.

Ma questa fiducia, guadagnata nel tempo, è stata messa a dura prova dal recente attacco ransomware che ha paralizzato i sistemi critici di Blue Yonder, mostrando quanto siano vulnerabili anche le più grandi aziende globali a minacce informatiche sempre più sofisticate.

L’attacco alla Supply Chain

Il 21 novembre 2024, Blue Yonder ha confermato di aver subito un attacco ransomware che ha compromesso gravemente il suo ambiente di hosting gestito. Questo incidente ha avuto un impatto immediato e devastante su numerosi clienti, in particolare supermercati nel Regno Unito come Morrisons e Sainsbury’s. Le catene di approvvigionamento, fondamentali per il rifornimento dei punti vendita, sono state paralizzate, con ritardi nelle consegne e una disponibilità di prodotti ridotta fino al 60%.

Morrisons ha dovuto ricorrere a processi di backup più lenti, mentre Sainsbury’s ha messo in atto i suoi piani di emergenza per cercare di mitigare i danni. La perdita di controllo su questi sistemi critici ha avuto effetti tangibili e immediati sulla disponibilità di beni essenziali per i consumatori, dimostrando quanto dipendenti siano i retailer e i produttori da soluzioni tecnologiche affidabili per gestire le proprie operazioni quotidiane.

La risposta di Blue Yonder

Da quando l’attacco è stato rilevato, Blue Yonder ha intrapreso una corsa contro il tempo per ripristinare i propri sistemi e contenere il danno. L’azienda ha collaborato con esperti di cybersecurity per implementare misure difensive e per avviare il processo di recupero, ma i tempi di ripristino non sono ancora chiari. Nonostante l’impegno profuso nel recupero dei dati e nel rafforzamento delle difese, le interruzioni nei sistemi gestiti continuano a persistere, alimentando un senso crescente di incertezza tra i suoi clienti.

Blue Yonder ha rassicurato i suoi partner dichiarando che non sono state rilevate attività sospette nel loro ambiente cloud pubblico, ma la mancanza di tempistiche certe per il ripristino completo continua a generare preoccupazioni. I clienti sono stati invitati a monitorare continuamente la pagina di aggiornamenti sul sito ufficiale dell’azienda, ma la situazione rimane critica.

Un’industria vulnerabile: L’attacco Ransomware e la sicurezza delle Supply Chain

Questo attacco ransomware solleva un’importante riflessione sulla sicurezza delle infrastrutture digitali moderne. Le supply chain globali, che dipendono sempre più dalle soluzioni SaaS e dai sistemi cloud, sono vulnerabili a questi attacchi sofisticati. Se una realtà come Blue Yonder, con ingenti risorse e anni di esperienza, può essere colpita così gravemente, è chiaro che anche altre aziende, in particolare quelle più piccole, potrebbero trovarsi in difficoltà ad affrontare minacce simili.

L’incidente mette in evidenza una vulnerabilità diffusa nell’industria tecnologica, dove attacchi ransomware come quello a Blue Yonder potrebbero causare danni per miliardi di dollari, con effetti a lungo termine sulla fiducia dei consumatori e sulla continuità operativa delle imprese. Le aziende devono comprendere che la protezione delle loro infrastrutture critiche non è più una questione di scelta, ma una necessità assoluta per garantire la loro sopravvivenza.

Nessuna rivendicazione al momento

Al momento, nessun gruppo di ransomware ha rivendicato la responsabilità dell’attacco, ma il fatto che questo tipo di attacco abbia preso di mira un attore così critico nella supply chain globale parla da sé sulla sofisticazione dei cybercriminali odierni. La portata di questa violazione suggerisce che la base clienti di Blue Yonder, che spazia tra settori e continenti, potrebbe trovarsi a gestire le ripercussioni di questo attacco per mesi a venire.

Conclusione

L’attacco a Blue Yonder è un monito chiaro per tutte le aziende che operano nel campo della supply chain: la sicurezza informatica non è solo una priorità, ma una necessità critica per la continuità operativa. Questo incidente ha messo in luce quanto sia fragile l’intero ecosistema delle supply chain quando le difese informatiche non sono adeguate.

Con il panorama delle minacce in continua evoluzione, le aziende devono adottare un approccio più aggressivo e proattivo verso la cybersecurity, investendo risorse per proteggere i propri sistemi critici e i dati sensibili. L’esperienza di Blue Yonder, per quanto dolorosa, offre una lezione fondamentale: una solida preparazione e una risposta tempestiva possono fare la differenza tra il superamento di una crisi e un danno irreparabile.

L'articolo Attacco Ransomware a Blue Yonder: Supermercati e giganti del Retail in crisi proviene da il blog della sicurezza informatica.

Questa è la continuazione della storia di Conti. Potete leggere la parte precedente, che riguardava le origini del gruppo, nell’articolo apposito. In questa sede esploreremo le componenti interne del gruppo e come il loro ecosistema abbia iniziato lentamente a collassare. Wizard Spider è ancora pieno di sorprese e in questo episodio sveleremo quelle più proibite.

The Fool – Trick or Treat

Metà del 2021, Conti domina le prime pagine dei giornali con attacchi costanti e guadagni dai riscatti dalle vittime. L’operazione RaaS ha fatto parlare di sé nell’ecosistema, attirando l’attenzione di tutti i soggetti coinvolti, comprese le vittime, gli affiliati e le forze dell’ordine. Ma questo è solo un pezzo dell’intero puzzle.

Le operazioni Trickbot non si sono mai fermate e anzi continuavano ad evolversi. Come scritto nell’articolo precedente, Trickbot è diventato uno strumento popolare anche al di fuori delle operazioni Conti grazie al passaggio ad un modello Malware-as-a-Service (MaaS). Con un canone mensile, chiunque poteva utilizzare il famigerato Trojan modulare, che è stato costantemente sotto sviluppo (in questo articolo di CyberInt potete trovare alcuni dei moduli e dei metodi di distribuzione).

Il governo federale degli Stati Uniti aveva bisogno di contrastare gli attacchi ransomware e digitali, che hanno ricevuto un’enorme spinta grazie a questo nuovo ambiente sotterraneo esploso dopo il Ransom Cartel. Un piccolo passo indietro al 2020, le elezioni americane sono state previste per il 20 novembre. Quando abbiamo descritto il toolset di Wizard Spider/Conti nell’articolo precedente, abbiamo trattato anche le capacità di Ryuk Stealer. Alcune delle caratteristiche includevano l’esfiltrazione automatica di file che contenevano parole chiave specifiche (nel nome e nei contenuti) altamente correlate ad asset dei vari governi occidentali.

Tutto ciò ha evidenziato come il gruppo dietro Ryuk, TrickBot e Conti avesse particolari interessi politici al di là dei meri scopi economici. Ovviamente l’origine degli attacchi è stata attribuita ai russi. Gli Stati Uniti erano preoccupati per la potenziale influenza o il sabotaggio delle imminenti elezioni, il che ha motivato le forze dell’ordine a lanciare operazioni offensive contro l’infrastruttura botnet TrickBot.

Il Cyber Command statunitense (mai confermato dall’agenzia stessa), guidato dal direttore dell’NSA Paul M. Nakasone, ha effettuato un’operazione di disturbo dell’intera infrastruttura della botnet TrickBot nel 2020. A settembre la botnet è stata invasa da file di configurazione intenzionalmente falsati per impostare la comunicazione con il server C2 sull’indirizzo IP localhost.

Snippet of the configuration files (KrebOnSecurity)

La nuova configurazione ha interrotto le comunicazioni del Trojan, bloccando di fatto parte delle sue operazioni, in particolare gli attacchi Ransomware. Inoltre, Microsoft ha intrapreso una serie di azioni legali per bloccare completamente le macchine di TrickBot. In meno di due settimane l’azienda è riuscita a spegnere 120 dei 128 server (fonte Microsoft).

Un duro colpo per TrickBot, ma non per molto tempo… in realtà più breve del previsto. In qualche modo gli sviluppatori “evil” hanno incorporato un meccanismo di recupero con l’obiettivo di recuperare i canali di comunicazione interrotti con gli agents di TrickBot nel caso in cui l’infrastruttura venisse modificata. La resilienza sembrava essere la priorità più importante per il gruppo TrickBot. L’operazione non è un buco nell’acqua solo perché la rapidità di recupero e l’adattabilità della minaccia sul piano tecnico sia stata repentina, ma è stata un messaggio per tutti che mostra la posizione del governo statunitense contro gli attacchi digitali e gli ambienti criminali con un approccio proattivo.

La direzzione di Paul M. Nakasone, sotto l’amministrazione, Trump è stata chiara: “impegno persistente”, “difesa in avanti” e “caccia in avanti” piuttosto che prevenzione e mitigazione passiva. Non ci sono prove che TrickBot sia stato utilizzato specificamente su obiettivi con finalità di sabotaggio elettorale, ma gli attacchi ransomware tramite il trojan sono continuati con lo stesso ritmo anche dopo l’elezione di Biden.

Paul M. Nakasone

Un mandato di arresto per gli sviluppatori e i manutentori di TrickBot è stato emesso nell’Agosto 2020. Abbiamo dovuto aspettare fino all’inizio del 2021 per avere alcuni di questi individui ammanettati, a Febbraio “Max” è il primo membro di TrickBot che ha dovuto affrontare la dea bendata.

Ladies and gentelmen, Alla Witte, 55 anni, in arte “Max”.

Prima di parlare delle accuse che ha dovuto affrontare, facciamo una piccola nota su come Alla Witte è stata (presumibilmente) scoperta. Prima di tutto date un’occhiata alla pagina URL haus sul sito personale di “Max”. Notate la parola chiave “RED”.

Non è la prima volta che Witte mescola la vita personale con le sue attività underground: nel Dicembre 2019, ha infettato uno dei suoi dispositivi con TrickBot rubando i dati e memorizzando tutto ciò che conteneva sul server C2 (fonte Hold Security). Inoltre, sui profili dei social media, Witte cita “Max” come una persona a lei molto vicina. In breve, l’Operational Security (OPSEC) non era tra le abilità più acute di Alla Witte, creando lacune utili alle forze dell’ordine che stavano cercando di de-anonimizzare “Max”.

All’epoca dei fatti, Witte viveva in Suriname e lavorava come sviluppatrice web freelancer. L’arresto è avvenuto a Miami il 6 febbraio 2021. L’accusa nei suoi confronti comprendeva :

1. Frode informatica e furto d’identità (aggravato)
2. Sviluppo, amministrazione e manutenzione di TrickBot
3. Distribuzione di TrickBot
4. Frode telematica e bancaria
5. Riciclaggio di denaro

È possibile trovare l’intero mandato d’arresto sul sito ufficiale del USA Justice department, dalle indagini risulta qualcosa di interessante: la reputazione di Alla Witte all’interno del gruppo. La maggior parte dei membri conosceva il suo sesso e il suo vero nome, riferendosi a lei come un figlio farebbe con la madre. Aveva prestigio per le sue capacità tecniche, i membri di TrickBot furono davvero felici di sapere che Witte era a capo del processo di sviluppo.

Le indagini hanno scoperto che l’origine di TrickBot risiede nel trojan bancario Dyre, nel 2023 Alla Witte è stata condannata a 2 anni e 8 mesi di carcere.

L’elenco era ancora lungo e Witte era solo la punta dell’iceberg. Il prossimo individuo è Vladimir Dunaev, alias “FFX” (38 anni). Residente in Russia (regione di Yakutsk), a metà ottobre 2021 Vladimir è stato arrestato in Corea del Sud (non sono stati resi noti i motivi del trasferimento) ed estradato negli Stati Uniti. Dovrà affrontare un processo con un massimo di 60 anni di carcere.

Vladimir Dunaev

BleepingComputer, a suo tempo, ha pubblicato una tabella tratta dal documento di accusa che mostra le attività di Dunaev all’interno del gruppo TrickBot

FFX si è dichiarato colpevole nel 2023 e il 20 marzo 2024 è stato condannato a 5 anni e 3 mesi di carcere. Gli sviluppatori di TrickBot sono stati messi sotto pressione da questi due arresti. I funzionari governativi statunitensi hanno dichiarato di aver identificato altri individui responsabili della distribuzione, dello sviluppo o delle attività di riciclaggio di denaro relative al gruppo del Trojan modulare.

Le operazioni di TrickBot non si sono fermate ma è chiaro che il campo di battaglia è cambiato, Conti e i governi dei principali paesi occidentali si avrebbero lottato testa a testa!

The Hermit – Snatch & Snitches

Nell’agosto 2021 la scena del ransomware si è trasformata da gatto randagio a pantera urbana: LockBit 2.0 è fuori, il flusso di denaro è più grande che mai, l’attacco Colonial Pipeline e il mercato degli Initial Access Brokers sono diventati più popolari. L’ecosistema è ormai maturo con un pizzico di “professionalità”, ma cosa succede quando sono le “dark-companies” mancano di trasparenza e onestà?

Dovremmo analizzare cosa è successo con l’utente del forum XSS chiamato m1Geelka.

Questo ex affiliato di Conti (davvero arrabbiato) ha fatto trapelare i manuali forniti agli aggressori per esfiltrare i dati e distribuire il loro ransomware. Le guide riguardavano l’ambiente Active Directory, enumeration e attacchi comuni abusando una configurazione errata o vulnerabilità note (PrintNightmare, EternalBlue e ZeroLogon).

Con un ordine, perché questa persona si è arrabbiata? Nel suo blogpost è abbastanza chiaro che la motivazione era quella di pagamenti minori basati esclusivamente su “quanto loro [Conti] faranno sapere che la vittima paga”. Il programma di affiliazione era 70/30, 70% agli attaccanti e 30% al RaaS, il punto è la differenza tra la richiesta di Conti e l’importo reale del riscatto. Purtroppo non è trapelato nulla di critico, nessun codice sorgente, nessuna chat segreta e nessuna identità rivelata. Aspettate un po’ per questo )).

Sono state scoperte alcune specifiche utilizzate dagli affiliati: un forte uso di Cobalt Strike, script powershell e procedure per esfiltrare i dati (installare agenti RDP e caricare tutto su MEGA/FileZilla upload). Le figure più tecniche si alzerebbero per un attimo con un’espressione di sorpresa sul volto, la procedura descritta è semplice, davvero basilare.

In qualche modo lo staff di Conti ha voluto creare una documentazione per gli attaccanti inesperti, probabilmente per due motivi: facilità di inganno e “quantity over quality” con attacchi standardizzati. Se le parole dell’affiliato fossero vere, significherebbe che il pagamento totale per un attacco è stato di $2100, anche senza conoscere lavittima in questione è piuttosto irrealistico dato che il riscatto medio ammontava (all’epoca) a +$100K. Possiamo credere alle parole dell’affiliato con un ampio margine di sicurezza.

Come fanno le aziende “legali”, Conti si stava approfittando di alcuni dipendenti solo per profitto. La guida conteneva alcuni indirizzi IP e alcuni IOC minori che alcuni importanti fornitori avevano aggiunto alle loro soluzioni utile per la profilazione della minaccia Conti.

Screenshot of Conti’s Active Directory Manual

Nel caso in cui vogliate entrare in contatto con i contenuti del leak, ForbiddenProgrammer ha creato un GitHub pubblico con tutto il necessario.

Four of Swords – Operational Briefing

Finora abbiamo trattato molto di Conti in termini di evoluzione e di tempistica, ma prima di continuare il nostro viaggio è necessario fermarsi e menzionare alcuni attacchi effettuati da Conti RaaS nel 2021. Abbiamo già parlato dell’attacco ransomware ai danni del HSE irlandese, quindi vediamo di analizzare altre operazioni significative.

• London Graff Jewellers: Alla fine di ottobre Conti è riuscita a esfiltrare e criptare i dati di Graff Jewellers, un noto marchio britannico. Conti ha pubblicato 61.000 file sul proprio DLS, affermando che si trattava solo dell’1% del totale dei file esfiltrati; i file contenevano informazioni sulla fatturazione e sulle spedizioni di VIP come David Beckham, Donald Trump e membri delle famiglie reale arabe. Graff ha dovuto chiudere le proprie reti e durante le indagini forensi ha ritenuto che fossero stati rubati 11.000 dati di clienti. Conti ha chiesto decine di milioni come riscatto. L’11 novembre Conti decise di pubblicare un aggiornamento sull’attacco londinese di Graff, affermando che cancellerà definitivamente i file relativi alle famiglie arabe, dell’EAU e del Qatar, mentre rilascerà i dati relativi alla “plutocrazia neoliberale USA-Regno Unito-UE”. Dichiarazione interessante, l’“anima” del gruppo li ha spinti a danneggiare il più possibile i Paesi occidentali in ogni attacco che compiono. Si cita anche il Daily Mail per l’articolo che ha fatto capire al RaaS che tipo di dati sono stati trafugati, rimanendo fedele alle parole di Conti che non ha analizzato correttamente i contenuti esfiltrati.

• JVCKenwood: Anche la multinazionale giapponese ha avuto l’onore di essere pubblicata su Conti DLS. 7 MLN di dollari di riscatto per il decryptor e la non pubblicazione di 1,7 TB che sono stati rubati, come prova hanno fornito una scansione PDF del passaporto di un dipendente. I server colpiti sono stati quelli responsabili delle vendite in Europa. L’azienda ha dichiarato che l’accesso non autorizzato ai propri server ha avuto origine da un gruppo sussidiario residente in Europa, l’ipotesi dei professionisti è che Conti abbia acquistato l’accesso da uno IAB.

• Exagrid: Dopo meno di un mese dall’attacco dell’HSE irlandese, una nuova vittima è stata costretta a fare i conti con Conti: si tratta di Exagrid, una società di backup a livelli. Il gruppo ha dichiarato di aver criptato server SQL e file server, rubando 800 GB di dati. Sono rimasti all’interno della rete per un mese “abbastanza per studiare tutta la vostra documentazione”. L’azienda ha negoziato fino al 13 maggio, quando è stato raggiunto un accordo: in un primo momento il RaaS ha offerto uno sconto di 1 MLN di dollari, ma le trattative si sono concluse con un accordo di pagamento di 2,6 MLN di dollari. Un dettaglio curioso è che dopo l’invio del decriptatore Exagrid ne ha richiesto uno nuovo perché quello originale era stato distrutto per errore. Questo attacco è stato un colpo critico al prestigio dell’azienda, che è stata premiata 7 volte con riconoscimenti del settore per essere tra “le migliori soluzioni per le procedure di recupero a seguito di attacchi ransomware”.

• Broward County Schools: Il 7 marzo 2021, il distretto delle scuole pubbliche della contea di Broward ha trovato l’infrastruttura distrutta e non disponibile. Non ci è voluto molto prima che trovassero una nota di riscatto da parte del “ContiLocker Team” con un link alla chat di negoziazione. Qui abbiamo alcune schermate della chat che sono piuttosto interessanti da leggere. Conti ha chiesto un riscatto di 40 MLN di dollari poiché, come hanno dichiarato, il distretto colpito ha un fatturato di 2 BLN di dollari. Per il RaaS sembrava un prezzo “ragionevole” per il recupero. La contea di Broward è un distretto scolastico pubblico e non privato, ma Conti ha sostenuto il contrario: quando il rappresentante della vittima ha chiesto un pagamento di 500.000 dollari, il gruppo ha risposto con “Ragazzi, siete stati assunti dalle Broward Schools e sappiamo esattamente chi siete […] Abbiamo pagato e assunto la società di outsourcing e sappiamo esattamente che la vostra società di recupero ha ricevuto un bonifico da Broward (bankofamerica), ecco perché siamo pronti ad accettare 10 milioni di dollari”. Il rappresentante mantiene la sua posizione, Conti decide di abbandonare la trattativa e di caricare pubblicamente la chat.

Al di fuori degli attacchi Conti nel 2021 ha deciso di vendere l’accesso delle vittime terzi con una nuova funzionalità del proprio modello di business. Il RaaS estendeva le funzionalità del malware e gli strumenti per far saltare il backup delle vittime. Conti è cresciuta in termini di denaro, affiliati e capacità. Non perdono occasione per fare l’occhiolino o per far vergognare i paesi occidentali (Stati Uniti, Regno Unito e Unione Europea) e nel frattempo guadagnare il più possibile.

The World – No Angels in the game, just Demons

Il 2022 è iniziato e Conti ha continuato a popolare il DLS. Tutto stava tornando al normale benessere dopo 2 anni di COVID-19 e di perdite economiche, lentamente il mondo si stava riprendendo ed era pronto a stabilizzarsi. Il 24 febbraio il presidente Putin annunciò il dispiegamento di truppe russe nel Donbass per sostenere i corpi separatisti nelle regioni di Donetsk e Luhansk proteggendoli dal “genocidio” causato dall’Ucraina, pochi minuti dopo le sue parole si trasformarono in realtà. Il resto è storia pronta ad essere scritta quando la guerra avrà raggiunto la sua conclusione.

In quel periodo i gruppi di ransomware non erano troppo espliciti sulle loro posizioni politiche pubblicamente, non è una buona idea mischiare la politica con il business. Il 25 febbraio Conti pubblica un nuovo post sul DLS, questa volta senza nuove vittime. Solo un messaggio al mondo.

Si tratta di una novità nel panorama dei ransomware. Conti non si limita a prendere posizione, ma minaccia anche gli altri Paesi di non attaccare con “qualsiasi attività di guerra” contro la Russia, pena ritorsioni digitali.

I titoli dei giornali sono stati inondati dalle loro dichiarazioni, mentre i non addetti ai lavori erano confusi, scettici o spaventati. È difficile da digerire quando lo stesso gruppo che ha bloccato buona parte del sistema sanitario irlandese è pronto a premere il grilletto sulle tue infrastrutture critiche.

Per un po’ il silenzio e la tensione sono stati gli unici elementi che hanno dominato la stanza. In meno di una settimana qualcosa di nuovo ha scosso, ancora una volta, l’ambiente dell’infosec, ma questa volta non da Conti.

Il 27 febbraio Conti ha capito che la sua posizione e le sue minacce avevano un prezzo e un security researcher ucraino era lì pronto a rispondere una volta per tutte. L’account ContiLeaks su Twitter/X ha annunciato con un link che sono trapelati 13 mesi di registri di chat di Conti.

twitter.com/ContiLeaks/status/…

Tutti i messaggi dal 29 gennaio (2021) al 27 febbraio (2022) sono ora disponibili per tutti. I messaggi provengono da un server Jabber e dai log di Rocket Chat. Alcuni nomi utente sono ricorrenti: Defender, Stern, Mango e Target (quest’ultimo da tenere presente), solo per citarne alcuni. Anche “Max” (Alla Witte) è presente nei log di chat.

Check Point Research ha fatto un lavoro straordinario con un’analisi approfondita dei log delle chat, e qualcosa di speciale è il loro grafico che rappresenta l’organigramma del gruppo.

Anche se si trattava solo di un piccolo graffio, ciò che è emerso dall’analisi è stato tra il brillante e il sorprendente. La struttura del gruppo è davvero lontana da un semplice gruppo di specialisti informatici. Risorse umane, sysadmin, affiliati, negoziatori, operatori e sviluppatori sono ben distinti tra loro, con orari e giorni di riposo come in una normale azienda. Hanno anche progetti esterni al malware, come la creazione di un social media per i blackhats. Anche il programma “dipendente del mese” faceva parte della struttura aziendale di Conti: gli individui che ottenevano risultati migliori venivano ricompensati con una busta paga extra.

Per capire quanto siano professionali queste persone si tenga conto che quando è uscito Windows 11 Conti aveva un team responsabile proprio del reverse engineering del software alla ricerca di nuovi exploit e abusi.

Le chat includono reclutamento, aggiornamenti, richieste di eseguibili/DLL per la crittografia e relazioni con altre famiglie di ransomware come Ryuk, Maze e LockBit (a quanto pare, LockBitSupp in persona si è unito alla chat con lo pseudonimo “Brom”). Una buona parte del processo di sviluppo riguardava l’elusione degli AV, dove i “dipendenti” chiedevano al loro “supervisore” di acquistare CarbonBlack AV e altri importanti prodotti AV/EDR. Lo stesso vale per il Reverse Engineering e i test, per i quali è stato acquistato un SonicWall ricondizionato (SMA 410, il nuovo modello dell’epoca).

ContiLeaks non era abbastanza soddisfatto e così l’1 e il 2 marzo ha rilasciato nuovi log freschi dai jabbers

twitter.com/ContiLeaks/status/…

twitter.com/ContiLeaks/status/…

twitter.com/ContiLeaks/status/…

Su queste nuove chat abbiamo una conversazione tra Mango e JhonyBoy77 in cui si parla di una email esfiltrata riguardo Alexei Navalny

Inoltre, le chat hanno incluso l’opinione dei membri sull’Ucraina, la Russia e la guerra nel Donbass.

Patrick: La guerra era inevitabile, l’Ucraina ha presentato una richiesta per le armi nucleari in suo possesso
Weldon: le scimmie non spiegano le cose, si arrampicano sugli alberi
Elijah: @patrick ben fatto e fatto. Comunque, nessuno la userà mai. Sì, solo per spaventare
Elijah: Guardate, i missili della Corea del Nord arrivano periodicamente nelle acque territoriali della Federazione Russa. Ma nessuno se ne preoccupa. E tra l’altro hanno armi nucleari. Ma in qualche modo nessuno si è allarmato
Patrick: vecchio mio, ti sbagli, non ci sono dubbi sulla Corea del Nord ora. Nessuno è contento della guerra, fratelli, ma è ora di processare questa banda neonazista di figli adottivi di Canaris.

La loro idea su Zelensky non è ovviamente tenera e hanno colto l’occasione per sottolineare le sue origini ebraiche

Weldon: Zelensky è un ebreo. Oh, cazzo!
Kermit: Ebrei. Oh, fantastico. I miei preferiti
Weldon: Esatto, non ebreo, ma ebreo.
Kermit: cazzo, vorrei essere ebreo. basta nascere ebreo per essere considerato membro di una società segreta e incasinare la vita dei russi.
Weldon: è nato un tartaro – ha pianto un ebreo
Gelmut: tartaro nero di Crimea nato a Odessa, che ha ricevuto la cittadinanza russa 😀
Weldon: Obama?
Gelmut: Un bambino ebreo si avvicina ai genitori e dice: “Voglio essere russo”. Al che i genitori rispondono: – Se vuoi essere russo, vai all’angolo e stai lì tutto il giorno senza cibo. Mezza giornata dopo, i genitori chiedono: “Come fai a vivere da russo? E il ragazzo risponde: – Sono russo solo da due ore, ma già odio voi ebrei.

Sempre in riferimento all’Ucraina, definiscono Holomodor come una sorta di “favola”.

Molti messaggi sessisti e omofobici sono stati inviati nella chat di rocket senza alcun problema con gli altri membri a seguirli.

La cosa più disturbante è il “black humor” sugli abusi ai danni dei bambini

Angelo: è possibile scopare le ragazze mentre dormono?
Elroy: No, dormi abbastanza, poi, la sera…
Angelo: ok, rimetto la cassetta a posto
Benny: filmato iconico…

Inoltre, condividono con gli altri ciò che stanno guardando

Kermit: dopo il mio link tutti sono andati a provare sicuramente
Angelo: cp che cos’è?
Kermit: Pornografia infantile (“child porngraphy”)
Angelo: No, anche sotto i 17 anni non c’è modo
Kermit: Dai
Angelo: Beh, 16
Kermit: A 16 anni ci sono certe ”lyali”

A prescindere da questi argomenti di discussione problematici e inquietanti, la maggior parte dei messaggi mostra che i ragazzi di Conti sono persone normali con la loro vita quotidiana, i loro vizi e le loro famiglie. Le loro tesi sull’Ucraina e altri individui anti-russi sono in linea con la narrativa russa, la decisione di sostenere esplicitamente la Russia non è un qualcosa della quale sorprendersi.

Le chat non sono state l’unica cosa a provenire dalla clandestinità: sono stati leakati anche i codici sorgente del ransomware Conti e del backend di TrickBot. Quest’ultimo è stato estremamente utile per raccogliere tutti gli IoC e prevenire alcuni degli attacchi che utilizzavano quell’infrastruttura, un buon colpo visto che lo strumento è stato pesantemente utilizzato nelle operazioni di ransomware.

Il codice sorgente di Conti ha una storia completamente diversa, il vero ritorno di fiamma deve ancora arrivare. Un gruppo di hacker sotto l’etichetta NB65 ha infranto le regole non scritte del Ransomware: Mai. Attaccare. paesi. CIS. Hanno preso il codice sorgente trapelato, modificato alcune parti e rimosso le salvaguardie linguistiche che evitava la crittografia all’interno della macchina dei Paesi della CSI. Quando tutto era pronto, hanno iniziato ad attaccare le aziende russe e, invece delle tipiche note di riscatto che richiedono il pagamento di un riscatto, hanno scritto una nota testuale che avverte che gli attacchi sono dovuti all’invasione dell’Ucraina da parte della Russia.

Le aziende colpite sono Tensor (operatore gestionale di documenti), Roscosmos (industria spaziale) e VGTKR (nota azienda radiotelevisiva di proprietà della Russia). VGTKR è stata colpita da un’enorme esfiltrazione di dati, 786,2 GB, la maggior parte dei quali sono e-mail e file. Questa volta non c’è DLS, tutto può essere trovato sulla pagina web di Distributed Denial of Secret. I documenti sensibili trapelati includono prove dell’influenza del Cremlino sulla direzione dei contenuti trasmessi e alcuni “consigli” su come coprire eventi specifici direttamente dall’FSB.

twitter.com/xxNB65/status/1507…

twitter.com/xxNB65/status/1534…

Conti ha imparato che le provocazioni non sono sempre la scelta migliore, la sua posizione sull’Ucraina ha probabilmente fatto arrabbiare molte persone anche all’interno del suo stesso gruppo. ContiLeaks ha rilasciato un’intervista alla CNN fornendo alcune informazioni sulla propria missione.

Ha confermato di essere ucraino e ha motivato la fuga di notizie con “Non so sparare, ma posso combattere con una tastiera e un mouse”. Secondo l’intervista, passava le giornate all’interno di un bunker con il suo computer portatile ad esfiltrare ogni possibile messaggio. Ha aggiunto che l’FBI lo ha contattato direttamente chiedendogli di fermarsi per non intralciare le loro indagini, lui si è fermato per un po’ ma ha completato la fuga di notizie indipendentemente dalle raccomandazioni dell’FBI.

L’FBI ha suggerito di rimanere con un accesso segreto e di contribuire direttamente con le forze dell’ordine, il motivo è (probabilmente) la tensione che era già in gioco con la guerra. Biden e Putin hanno avuto una telefonata nel 2021, dopo la quale alcuni importanti membri del REvil sono stati arrestati in Russia, questa è stata la prima sorta di collaborazione tra i due Stati in termini di arresti relativi a crimini digitali. Probabilmente le azioni di ContiLeaks hanno contribuito a rompere la sottile collaborazione tra l’aquila e la grande orso.

The FBI suggested to remain with a covert access and contribute directly with law enforcement, the reason behind this is (probably) for the tension that was already in play with the war. Biden and Putin had a call in 2021, after that some major REvil members have been arrested in Russia, this was the first sort of collaboration between the two states in terms of digital crime arrests. Probably the actions of ContiLeaks have contributed to broke the thin collaboration between the eagle and the bear.

• Conti leaks (originale & tradotto)
• Codice Sorgente di Conti

Ace of Pentacles – 406, Not Accettable

Il leak di Conti può essere descritto come i Panama Papers del Ransomware-as-a-Service, si sono definiti e hanno agito come patrioti. Mostrare cosa c’è dietro le tende è stato sensazionale, la sostanza dietro la forma era altamente organizzata con un fitto flusso di lavoro e scadenze. La “società” ha anche aiutato Alla Witte con le spese processuali donandole 10.000 dollari.

Avevano risorse umane, campagne di reclutamento e tutto ciò che è analogo a un’azienda reale. Semplicemente sorprendente. D’ora in poi la comunità CTI sarà davvero consapevole della portata di ogni gruppo, un esempio perfetto è stato LockBit che ha fatto della professionalità l’attributo principale del primo e unico “marchio” ransomware mai esistito.

I legami con il governo russo non erano un problema, ma avere le prove di fronte a voi vi può comunque fare un certo effetto. Non solo prendevano il loro nazionalismo molto seriamente, ma agivano per dimostrarlo ogni volta che ne avevano l’opportunità.

I primi arresti e il fuoco amico hanno messo Conti, in questa parte della storia, in una situazione pericolosa. L’uso di un proprio ransomware nello stesso territorio che sostenevano di proteggere è stato un duro colpo per la reputazione del gruppo.

Ai lettori: Non si deve confondere ciò che si legge in questo articolo con la norma di ogni RaaS o minaccia digitale in circolazione. Lo stereotipo del “malvagio hacker russo”, come tutti gli stereotipi, ha una base reale ma non è sufficiente per generalizzare l’intero panorama. La maggior parte dei gruppi non parla (almeno esplicitamente) di politica e nazionalismo come ha fatto Conti. Ovviamente, hanno solo vantaggi finché rispettano la regola “No CIS”, ma questo non significa automaticamente che le loro azioni siano sponsorizzate dallo Stato o motivate dal nazionalismo. Per favore, prendete con attenzione dei titoli di testate non tecniche e fate una distinzione tra attori sponsorizzati dallo Stato e gruppi RaaS.

La storia di Conti è ancora lontana dalla sua conclusione, ci sono molte sorprese che vale la pena raccontare. Nel prossimo episodio scopriremo cosa succede quando il RaaS più malato della scena viene umiliato. Ricordate l’utente chiamato “Target”? Sarà lui uno dei nuovi protagonisti del prossimo episodio, godetevi l’immagine qui sotto come trailer per la prossima parte.

To be CONTInued…

• Link al primo episodio

L'articolo La Storia Di Conti Ransomware – La guerra all’epoca del Ransomware (Episodio 2) proviene da il blog della sicurezza informatica.

Oggi più che mai, le aziende si trovano a dover affrontare rischi e minacce di ogni tipo: dagli attacchi informatici ai disastri naturali, fino a interruzioni operative impreviste. Per rispondere in modo efficace a queste sfide e garantire continuità operativa, esistono diverse metodologie e strumenti che, lavorando insieme, formano un sistema integrato di protezione.

Parliamo di Risk Assessment (RA), Business Impact Analysis (BIA), Business Continuity Plan (BCP), Disaster Recovery Plan (DRP) e Incident Response Plan (IRP).

Questi termini, apparentemente tecnici, sono in realtà facili da comprendere quando vengono collocati in un flusso logico. Vediamo cosa sono e, soprattutto, come si inseriscono nella giusta sequenza temporale per costruire una strategia efficace.

Partire dall’inizio: Risk Assessment (RA)

Il punto di partenza è sempre il Risk Assessment, ossia la valutazione dei rischi. Questo processo serve a identificare cosa potrebbe andare storto all’interno dell’organizzazione, quali sono le vulnerabilità più rilevanti e quali rischi potrebbero avere un impatto significativo. Ad esempio, si valutano le probabilità di attacchi informatici, blackout elettrici, terremoti o altri eventi critici.

Ma perché è importante iniziare da qui? Perché senza una mappa chiara dei rischi, sarebbe impossibile pianificare come mitigarli o gestirli. Il Risk Assessment diventa così la base per tutte le fasi successive: identifica le minacce, valuta i loro impatti e aiuta a stabilire le priorità.

Capire l’impatto: Business Impact Analysis (BIA)

Una volta che abbiamo capito quali rischi corriamo, dobbiamo chiederci: “Che impatto avrebbe questo rischio sulle operazioni aziendali?”. Ecco dove entra in gioco la Business Impact Analysis. Questa analisi ci permette di identificare quali processi aziendali sono davvero critici e quanto tempo possiamo sopportare un’interruzione prima che ci siano danni significativi.

Facciamo un esempio pratico: immagina un’azienda di e-commerce. La BIA ci dirà che il sito web e il sistema di pagamento sono processi critici e che un’interruzione di più di qualche ora potrebbe comportare perdite economiche importanti, oltre che danni alla reputazione. Con queste informazioni, possiamo stabilire su cosa concentrarci in caso di emergenza.

Pianificare la continuità: Business Continuity Plan (BCP)

Ora che conosciamo i rischi e i processi critici, è il momento di sviluppare un piano per mantenere l’azienda operativa anche durante una crisi: il Business Continuity Plan. Questo documento descrive cosa fare per garantire che l’azienda continui a funzionare, o riprenda il prima possibile, in caso di interruzioni.

Ad esempio, il BCP può includere strategie come spostare i dipendenti in sedi alternative, attivare backup dei dati o stabilire comunicazioni di emergenza con i clienti. È importante che il BCP sia pratico e ben testato: non basta scriverlo, bisogna assicurarsi che funzioni davvero.

Ripristinare i sistemi: Disaster Recovery Plan (DRP)

Tra le parti fondamentali del BCP c’è il Disaster Recovery Plan, che si concentra esclusivamente sui sistemi tecnologici. Se un attacco informatico manda offline i server o se un disastro naturale danneggia i data center, il DRP descrive come ripristinare i sistemi IT nel minor tempo possibile.

Perché è importante distinguere il DRP dal BCP? Perché il DRP si concentra solo sull’aspetto tecnologico, come il recupero di dati da backup o la riconfigurazione di infrastrutture IT. Senza un DRP efficace, molte aziende non riuscirebbero a riprendere le loro attività operative.

Gestire gli incidenti: Incident Response Plan (IRP)

Infine, c’è il Incident Response Plan, che si occupa di gestire gli incidenti specifici, come attacchi hacker o violazioni di dati. L’IRP descrive come rilevare e rispondere rapidamente a questi eventi, limitando i danni e minimizzando i tempi di interruzione.

Ad esempio, se un ransomware colpisce l’azienda, l’IRP stabilisce chi deve intervenire, quali azioni intraprendere immediatamente (come isolare i sistemi infetti) e come comunicare con le parti coinvolte. L’obiettivo è contenere il problema prima che si espanda.

La giusta sequenza temporale

Questi strumenti non lavorano in isolamento, ma si inseriscono in una sequenza logica che permette di costruire una strategia completa:

1. Risk Assessment (RA): Individua i rischi e le vulnerabilità.
2. Business Impact Analysis (BIA): Determina quali processi aziendali sono più critici e quali impatti avrebbe un’interruzione.
3. Business Continuity Plan (BCP): Pianifica come mantenere o ripristinare le operazioni aziendali.
4. Disaster Recovery Plan (DRP): Dettaglia come ripristinare i sistemi IT e le infrastrutture tecnologiche.
5. Incident Response Plan (IRP): Definisce come gestire incidenti specifici e contenere le emergenze.

Un sistema integrato per la resilienza aziendale

Questi strumenti non sono “a sé stanti”, ma lavorano insieme per garantire che un’organizzazione possa prevenire, affrontare e riprendersi da eventi avversi. Il Risk Assessment e la Business Impact Analysis forniscono le basi; il Business Continuity Plan rappresenta la visione strategica, mentre il Disaster Recovery Plan e l’Incident Response Plan si concentrano sulle azioni operative.

Implementare correttamente queste analisi e piani non solo riduce i rischi, ma aumenta la fiducia dei clienti, dei dipendenti e degli stakeholder, garantendo che l’azienda sia pronta ad affrontare qualsiasi sfida.

L'articolo Analisi e Pianificazione per la Resilienza Aziendale: Comprendere RA, BIA, BCP, DRP e IRP proviene da il blog della sicurezza informatica.

If you live near Central Park or some other local chess hub, you’re likely never short of opponents for a good game. If you find yourself looking for a computer opponent, or you just prefer playing online, you might like this LED chessboard from [DIY Machines] instead.

At heart, it’s basically a regular chessboard with addressable LEDs of the WS2812B variety under each square. The lights are under the command of an Arduino Nano, which is also tasked with reading button inputs from the board’s side panel. The Nano is interfaced with a Raspberry Pi, which is the true brains of the operation. The Pi handles chess tasks—checking the validity of moves, acting as a computer opponent, and connecting online for games against other humans if so desired. Everything is wrapped up with 3D printed parts, making this an easy project to build for the average DIY maker.

The video tutorial does a great job of covering the design. It’s a relatively simple project at heart, but the presentation is great and it looks awfully fun to play with. We’ve featured some other great builds from [DIY Machines] before, too. Video after the break.

youtube.com/embed/Z92TdhsAWD4?…

hackaday.com/2024/11/25/buildi…

There’s an old joke that they want to send an exploratory mission to the sun, but to save money, they are going at night. The European Space Agency’s Solar Orbiter has gotten as close as anything we’ve sent to study our star on purpose, and the pictures it took last year were from less than 46 million miles away. That sounds far away, but in space terms, that’s awfully close to the nuclear furnace. The pictures are amazing, and the video below is also worth watching.

Because the craft was so close, each picture it took was just a small part of the sun’s surface. ESA stitched together multiple images to form the final picture, which shows the entire sun as 8,000 pixels across. We’ll save you the math. We figure each pixel is worth about 174 kilometers or 108 miles, more or less.

The stunning images used the Polarimetric and Helioseismic Imager and the Extreme Ultraviolet Imager. The first instrument snapped the visible light and the magnetic field lines. It also provided a velocity map. The UV instrument took pictures of the corona.

Understanding the sun is important because it greatly impacts our life on Earth. Technology is especially sensitive, and, lest we forget, massive solar disruptions have happened before.

youtube.com/embed/SgTBMzjuqX0?…

hackaday.com/2024/11/25/solar-…

[Stephen] has a basement that depends on a sump pump. What that means is if the pump fails or the power goes out, the basement floods—which is rather undesirable. Not wanting to rely on a single point of failure, [Stephen] decided to build a monitor for the basement situation, which quickly spiralled to a greater degree of complexity than he initially expected.

The initial plan was just to have water level sensors reporting data over a modified CATS packet radio transmitter. On the other end, the plan was to capture the feed via a CATS receiver, pipe the data to the internet via FELINET, and then have the data displayed on a Grafana dashboard. Simple enough. From there, though, [Stephen] started musing on the possibilities. He thought about capturing humidity data to verify the dehumidifier was working. Plus, temperature would be handy to get early warning before any pipes were frozen in colder times. Achieving those aims would be easy enough with a BME280 sensor, though hacking it into the CATS rig was a little challenging.

The results are pretty neat, though. [Stephen] can now track all the vital signs of his basement remotely, with all the data displayed elegantly on a nice Grafana dashboard. If you’re looking to get started on a similar project, we’ve featured a great Grafana guide at a previous Supercon, just by the by. All in all, [Stephen’s] project may have a touch of the old overkill, but sometimes, the most rewarding projects are the ones you pour your heart and soul into!

hackaday.com/2024/11/25/an-ove…

GreenTrek.it si affaccia nel Poliverso di Friendica!

Pubblicheremo anche qui le nostre iniziative ed i nostri appuntamenti.

Rimani in contatto con noi per conoscere le date delle prossime escursioni!

Per tutte le altre info vieni su: www.greentrek.it

Buon cammino a tutti!

#escursioni #trekking #montagna #natura #lazio #abruzzo #guidaAIGAE

greentrek.it

Analog dials used to be a pretty common way of displaying information on test equipment and in industrial applications. They fell out of favor as more advanced display technologies became cheaper. However, if you combine an analog dial with a modern e-ink display, it turns out you get something truly fantastic indeed.

This build comes to us from [Arne]. The concept is simple—get an e-ink display, and draw a dial on it using whatever graphics and scale you choose. Then, put it behind a traditional coil-driven analog dial in place of the more traditional paper scale. Now, you have an analog dial that can display any quantity you desire. Just update the screen to display a different scale as needed. Meanwhile, if you don’t need to change the display, the e-ink display will draw zero power and still display the same thing.

[Arne] explains how it all works in the writeup. It’s basically a LilyGo T5 ESP32 board with an e-ink screen attached, and it’s combined with a MF-110A multimeter. It’s super easy to buy that stuff and start tinkering with the concept yourself. [Arne] uses it with Home Assistant, which is as good an idea as any.

You get all the benefits of a redrawable display, with the wonderful visual tactility of a real analog dial. It’s a build that smashes old and new together in the best way possible. It doesn’t heart that [Arne] chose a great retro font for the dial, either. Applause all around!

hackaday.com/2024/11/25/e-ink-…

[MindYourDecisions] presents a Babylonian tablet dating back to around 1800 BC that shows that the hypotenuse of a unit square is the square root of two or 1.41421. How did they know that? We don’t know for sure how they computed it, but experts think it is the same as the ancient Greek method written down by Hero. It is a specialized form of the Newton method. You can follow along and learn how it works in the video below.

The method is simple. You guess the answer first, then you compute the difference and use that to adjust your estimate. You keep repeating the process until the error becomes small enough for your purposes.

For example, suppose you wanted to take the square root of 85. You can observe that 9 squared is 81, so the answer is sort of 9, right? But that’s off by 4 (85-81=4). So you take that number and divide it by the current answer (9) multiplied by two. In other words, the adjustment is 4/18 or 0.2222. Putting it together, our first answer is 9.2222.

If you square that, you get about 85.05 which is not too bad, but if you wanted closer you could repeat the process using 9.2222 in place of the 9. Repeat until the error is as low as you like. Our calculator tells us the real answer is 9.2195, so that first result is not bad. A second pass gives 9.2193, You could keep going, but that’s close enough for almost any purpose.

The video shows a geographical representation, and if you are a visual thinker, that might help you. We prefer to think of it algebraically. You are essentially creating each adjustment by adding the guess and the square divided by the guess and averaging them.

The ancients loved to estimate numbers. And Hero was into a lot of different things.

youtube.com/embed/MXveVqBxFow?…

hackaday.com/2024/11/25/square…

Un’altra giornata nera per gli utenti di Microsoft 365, con un blackout che sta mettendo in ginocchio Exchange Online, Microsoft Teams e SharePoint Online. Iniziato circa sei ore fa, il disservizio ha rapidamente scatenato migliaia di segnalazioni. Ma non finisce qui: anche OneDrive, Outlook (sia Web che Desktop), Copilot, Purview e altri servizi correlati stanno subendo disagi significativi.

La dichiarazione ufficiale di Microsoft

“Stiamo investigando su un problema che impatta gli utenti che tentano di accedere a Exchange Online o funzionalità del calendario di Microsoft Teams,” ha comunicato Microsoft, invitando gli amministratori IT a seguire l’incidente MO941162 per aggiornamenti.

L’azienda ha confermato che l’interruzione coinvolge diversi metodi di accesso a Exchange, inclusi Outlook Web, desktop client, REST e Exchange ActiveSync (EAS). Anche altre piattaforme, come Microsoft Fabric, Bookings e Defender for Office 365, sembrano risentire della stessa instabilità.

Cosa ha causato l’interruzione?

Microsoft ha rivelato che il malfunzionamento è legato a una “recente modifica” implementata sull’infrastruttura. Per risolvere, l’azienda ha già distribuito una patch, avviato il riavvio manuale di sistemi compromessi e monitorato la situazione. Al momento, il fix ha raggiunto circa il 70% degli ambienti colpiti.

“Abbiamo avviato riavvii manuali su una parte delle macchine che si trovano in stato critico,” ha aggiunto Microsoft, evidenziando che il processo di ripristino è ancora in corso.

Impatti sui clienti

Sei ore di interruzione rappresentano un impatto significativo per le aziende che fondano le loro attività quotidiane su Microsoft 365. Situazioni come l’impossibilità di inviare un’email cruciale o di accedere a documenti essenziali su OneDrive possono paralizzare interi processi lavorativi.

Questo incidente ci ricorda quanto la dipendenza da piattaforme centralizzate possa trasformarsi in un rischio significativo. E, mentre Microsoft si affanna per riportare la situazione alla normalità, molti utenti si chiedono quanto tempo ancora ci vorrà per ripristinare pienamente i servizi.

Conclusione

Le interruzioni di questa portata vanno ben oltre il semplice inconveniente tecnico, evidenziando l’importanza di un approccio proattivo alla continuità operativa. Le aziende dovrebbero cogliere l’occasione per riesaminare i propri piani di resilienza IT e adottare misure adeguate per garantire che eventi simili abbiano un impatto minimo sulle loro operazioni.

Questo episodio offre una lezione importante: investire nella prevenzione e nella preparazione non è un’opzione, ma una necessità per affrontare le sfide di un mondo sempre più digitale.

Per ora, resta solo da attendere e sperare che Microsoft riesca a completare il ripristino al più presto.

L'articolo Microsoft 365 in Tilt: Exchange Online, Teams e SharePoint fuori uso proviene da il blog della sicurezza informatica.

[Folaefolc] was craving a new keyboard build a few weeks ago and got inspired by the humble 3.5″ floppy disk. So much so that he decided to make a split keyboard with each half having the exact footprint of a floppy — 90 mm x 94 mm. And you know the PCBs have floppy details silkscreened on the back. Just check out the gallery.

Image via [Folaefolc] via redditThis bad boy uses a pair of Liatris microcontrollers, which are made by splitkb and are designed to be drop-in replacements for Pro Micros and an alternative to the RP2040.

The other fun part of this build is that [Folaefolc] used RJ9 connectors to join the halves instead of something like TRRS.

Beneath those candy keycaps are 34 Kailh choc v1 switches shoved into hot swap sockets in case [Folaefolc] changes his mind. Gerbers are available if you want to build one of these cuties!

Via reddit

A Bicycle Built for Two Hands

[Lachlan Kermode] got so heavy into cycling last summer that he figured out the best possible way to do so while getting work done. Now, if only he could get some fresh air as well.

Image by [Lachlan Kermode] via OHRGPhase Zero involved simply sliding the stationary bike under the standing desk, but that didn’t really work for keyboarding. Once someone noted that [Lachlan]’s keyboard is from the ZSA family and pointed him toward the tripod mount, he was on the right track.

This mount is basically just a couple of magnets that attach to the keyboard halves and let you mount them to a standard tripod screw. A couple of camera clamps later, and Bob became [Lachlan]’s proverbial uncle.

Having used it for a while now, [Lachlan] found the most comfort with the halves pointed downward at a 45° angle, which allows him to rest his palms on the handlebars and type fairly comfortably. It’s going to take some experimentation to get it perfect, but he seems to be most of the way there.

The Centerfold: This 90s Japanese TRON Keyboard

Image via reddit
No, not TRON (1982). This keyboard refers to the Japanese operating system and Unicode alternative, where TRON stands for The Real-time Operating system Nucleus. I’m not sure how many fingers you’re supposed to have to use this thing, which looks at once both ergonomic and wildly not, what with those faraway pinkie keys. Hey, at least it’s Dvorak? See also Xah Lee’s page and this video for more about these keyboards.

youtube.com/embed/DdleC5v5O0M?…

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: The Fitch (American)

Image via The Antikey Chop
Yes there are British Fitches as well, and they were slightly different than the American Fitch. I’m guessing that both models bore that wild rear-downstrike typebar arrangement which both distinguished it and doomed it to failure. Be sure to check out the other pictures on the Antikey Chop site, including the really strange layout.

The Fitch could type 78 characters with its 26-key, double-shift keyboard. The 1u Space is of particular interest. Ink was transferred via roller, and the earliest specimens had a pair of reservoirs behind the carriage for spare rollers.

Though this machine looks heavy (at least to me), the Fitch weighed only 11 pounds and took up a cubic foot of space. It was never advertised as a portable, though the Antikey Chopkeep theorizes that they could have been. These Fitches were evidently quite well-built little machines, which makes their lightness that much more intriguing.

ICYMI: ESP32 Hosts Keyboard

Image via YouTube
You’re likely aware of the USB device mode of an ESP32. But did you know that they can act as HID hosts, too? That’s Human Interface Devices — keyboards, mice, trackballs, and the like.

For this project, [Volos] used the EspUsbHost Arduino library, which makes USB host mode a relatively simple thing to use. Tantamount to success here is the LCD board: it has a dual-role USB-C port, so the hardware required to switch roles is right there.

On the software side, [Volos] created a simple word processing program that saves and loads files from a microSD card, using a four-bit palette to save on memory.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2024/11/25/keebin…

L’Italia sta vivendo un’escalation di attacchi informatici, con i cybercriminali che colpiscono sempre più frequentemente i settori finanziario, sanitario e pubblico, sfruttando vulnerabilità nei sistemi e nei dispositivi. Tecniche come ransomware e phishing, sono in continua evoluzione, mettendo a dura prova le difese tradizionali delle aziende e delle istituzioni.

In Red Hot Cyber, siamo in prima linea nella difesa contro queste minacce (anche attraverso il nostro gruppo DarkLab), attraverso attività avanzate di Cyber Threat Intelligence (CTI). Le nostre operazioni di monitoraggio e analisi ci permettono di anticipare gli attacchi e proteggere le organizzazioni italiane. Collaboriamo con aziende, enti pubblici e privati per identificare e neutralizzare le minacce in tempo reale, fornendo intelligence strategica per difendere la sicurezza digitale del nostro Paese.

Di seguito, troverete le news in tempo reale relativamente agli aggiornamenti sui nuovi attacchi informatici che riguardano il panorama italiano, per aiutarvi a rimanere informati e preparati contro le minacce emergenti.

• 
  Attacchi Hacker Oggi in Italia: News in tempo reale sugli attacchi informatici
  di Redazione RHC
  25/11/2024
• 
  Il Giallo dell’attacco ad INPS Servizi SpA. È stato Lynx? Li abbiamo sentiti
  di Alessio Stefan
  23/11/2024
• 
  Giovane 18enne Emiliano Denunciato per Truffa Nella Rivendita di Biglietti dei Concerti Falsi
  di Redazione RHC
  18/11/2024
• 
  Aziende italiane continuamente sotto pressione: Everest Rivendita un attacco alla Bio-Clima
  di Vincenzo Miccoli
  16/11/2024
• 
  180.000 Dati di Clienti italiani in Vendita! Qual è l’E-Commerce Sconosciuto?
  di Redazione RHC
  15/11/2024
• 
  900 Cyber-Attacchi in Brianza nel 2024: Le Aziende Italiane Sono Pronte a Difendersi?
  di Redazione RHC
  11/11/2024
• 
  Alpha Team rivendica un attacco informatico all’italiana Brevi nelle Underground criminali
  di Redazione RHC
  08/11/2024
• 
  Garante Privacy a Banca Intesa: 20 giorni per informare i clienti della violazione dei dati
  di Redazione RHC
  06/11/2024
• 
  Ma quali Hacker! Gli Attori dello Spygate Sono Veri Insider Threats
  di Redazione RHC
  04/11/2024
• 
  715 milioni di euro in Cyber-sicurezza! Partiamo dai Veri Esperti e Non dai Burocrati. Occorre Operatività!
  di Redazione RHC
  01/11/2024
• 
  Cybersecurity in Italia: Chi Ha Fatto I Compiti? Scandali e Smanettoni in un Ottobre Torrido del 2024
  di Stefano Gazzella
  31/10/2024
• 
  Spioni Ecclesiastici? Indiscrezioni Dalle indagini Parlano di Richieste Provenienti dalla Chiesa
  di Redazione RHC
  30/10/2024
• 
  Così Ti Elimino gli Spioni! Ecco le Linee Guida del Governo, Ma occorre un Focus sulle cose Essenziali
  di Redazione RHC
  30/10/2024
• 
  Vecchi Data Breach Rivenduti (Quasi) come Nuovi: il Caso dei 35 Milioni di Record di Amazon
  di Redazione RHC
  29/10/2024
• 
  Italia: Spioni e Incompetenti nella Cyber Security. 800 mila dossier e 51 indagati in un cyber-scandalo che mina la Democrazia
  di Redazione RHC
  28/10/2024

L’Italia e la sicurezza informatica

Le infrastrutture IT italiane sono sempre più esposte a minacce informatiche avanzate, mettendo a rischio dati sensibili e servizi critici. Tra le principali minacce spicca il ransomware, con gruppi come Lockbit, 8base, Qilin, Stormous e Cicada3301 (intervistati da Red Hot Cyber) che colpiscono regolarmente settori pubblici e privati. Questi attacchi compromettono dati personali e aziendali, causando gravi danni economici e reputazionali.

Oltre al ransomware, il panorama delle minacce comprende attacchi malware, vulnerabilità zero-day, infostealer e operazioni condotte tramite Initial Access Broker (IaB). Gli attacchi Distributed Denial of Service (DDoS), spesso utilizzati da hacktivisti, paralizzano infrastrutture vitali e interrompono i servizi.

A peggiorare il quadro, gli attacchi sponsorizzati da stati esteri tramite APT (Advanced Persistent Threats) rappresentano una sfida cruciale. Questi gruppi riescono a infiltrarsi nelle reti, rimanendo nascosti a lungo per rubare informazioni strategiche.

L’Italia mostra una fragilità informatica significativa. Solo attraverso politiche concrete e una strategia nazionale di cybersicurezza sarà possibile rafforzare la resilienza del paese contro le minacce informatiche.

L'articolo Attacchi Hacker Oggi in Italia: News in tempo reale sugli attacchi informatici proviene da il blog della sicurezza informatica.

Most RC planes follow a simple control scheme: elevators for pitch, rudder for yaw, and ailerons for roll. This one-to-one mapping keeps things straightforward, and fewer actuators means less weight. But nature has other ideas. Birds achieve flight control through complex, coordinated movements where different body parts can affect multiple degrees of freedom simultaneously. Now, researchers at EPFL have brought this biological approach to robotics with the LisEagle, a drone featuring morphing wings and tail that demonstrate remarkable stability.
All the actuators!
The LisEagle packs seven different actuation methods alongside its nose-mounted motor. Three of these control the bird-like wingtips and spreading tail, while the remaining actuators handle more conventional controls: independently twisting wing bases (similar to ailerons) and a tail assembly that combines elevator and rudder functions in its vertical stabilizer.

Testing took place in controlled indoor conditions, with the maintaining position in front of an open wind tunnel. Optical position tracking provided closed-loop feedback and power was provided via a tether to minimize weight. A PID flight controller orchestrated all seven actuators in concert, achieving impressive stability even when faced with induced turbulence or being poked with a stick. In a demonstration of redundancy, the researchers deliberately disabled the twisting wing mechanisms, and the aircraft maintained control using just its wingtips and tail.

The team went further, employing Bayesian optimization to find the most efficient actuator combinations. This revealed potential energy savings of up to 11%, with optimal configurations varying based on airspeed as lift requirements changed.

While research into the flight mechanisms of bees, bats and birds might not immediately translate to practical applications, it deepens our understanding of flight control principles. Don’t be surprised if morphing wings become a more common sight in future aircraft designs.

youtube.com/embed/5n8Mlsi7tFk?…

hackaday.com/2024/11/25/experi…

Earlier this year [Skyhawkson] got ahold of a Apollo-era printed circuit board which he believes was used in a NASA test stand. He took high quality photos of both sides of the board and superimposed them atop each other. After digging into a few obsolete parts from the 1960s, he was able to trace out the connections. I ran across the project just after making schematics for the Supercon badge and petal matrix. Being on a roll, I decided to take [Skyhawkson]’s work as a starting point and create KiCad schematics. Hopefully we can figure out what this circuit board does along the way.

The board is pretty simple:

• approximately 6.5 x 4.5 inches
• 22 circuit edge connector 0.156 in pitch
• 31 ea two-terminal parts ( resistors, diodes )
• 3 ea trimmer potentiometers
• 7 ea transistors
• parts arranged in 4 columns

The first thing I did was to create a “dumb” schematic, with no logical significance other than it matched the geometry of the board. The result should match [Skyhawkson]’s diagrams ( it did ).

The next step was to unwrap the parts and connections, with the goal of making recognizable circuits. It was easy to get circuits crossed up and lose track of the original connections. When making a PCB from schematics, if you delete connections and move parts around, you have the rats nest to guide you. But when going the other way, you’re on your own.

To mitigate this, I made a placeholder PCB whose only purpose is to hold the true netlist. Having a correct PCB design provides a way to check the schematic. Go to the PCB editor, update the PCB from schematics, and run a DRC. I little cumbersome, but better than nothing.

As I first studied the diagram, I realized there are really two independent circuits on the PCB, connected by only one signal. This made unfolding and rearranging the parts easier. Not having any clue what this board did, I just untangled each transistor circuit one by one. Knowing the basic function of a transistor, there are only so many ways to orient each one that makes any sense. Soon, familiar circuits began to appear from the jumble of parts.

Obviously this card belonged in a rack system with an interconnecting back plane. We have no idea what these signals do, and that made it more challenging. In addition, there are some signals that seem unnecessary. My speculation is that these are used in PCB testing, test equipment checkout, or perhaps to operate the board in different modes.

Parts

When researching the parts on the board, [Skyhawkson] found a few that were difficult to pin down. By coincidence, even the sketchy details of two such parts gives us clues to the board’s purpose.

Current Sense Resistor

R125 is an X.1 ohm, 3W wirewound resistor. [Skyhawkson] had to peel back conformal coating to find even a partial part number. This resistor conforms to the MIL-R-26/C, RW59 specification. Many other RWxx resistors from this family are still used today, but RW59 seems to have been dropped a long time ago. It might have already been on the way out back in 1962.

Having such low resistance, perhaps 0.1 ohms, it seems likely to be a current sensing resistor. The low value and high wattage reinforces that idea. But I later realized that almost all of the resistors on the board are 3W, which I guess that was the norm back then. This makes the 3 W power rating of R125 less special. Adding to the mystery, one leg of R125 leaves the board. But lacking of a better explanation, I will stick to my initial guess that this is a current sense circuit.

Temperature Compensated Zener

There are several zener diodes on the board, but only one of them has an elusive datasheet — the 1N2625. After combing through old semiconductor data books from the 1960s, I found some interesting information on this Zener diode in Motorola’s Semiconductor Data Book from 1966. This diode comes from a family of temperature compensated Zener diodes 1N262x. Ignoring temperature grades, there are three basic ones 22, 23, and 24, which differ only in their temperature coefficient. But there are two more special ones in the series, 25 and 26, which sport even better TC values and have a slightly lower zener voltage of 9.4 vs 9.7 V.

If you try to track this part over the decades, it seems to have become / been rolled into the 1N937 series that, though obsolete, is still available from Microchip. But this 60 year old zener has a TC that is an order of magnitude better than its modern equivalent. This suggests that the 9.4 V reference voltage on this PCB plays a key role.
1N262X Family Zener Diodes, Motorola Data Book 1966, pg 1-27

Best Guess

I see a precision voltage reference, what looks like a differential amplifier, and also know that the board was used in NASA test equipment. I immediately think “sensor interface card” — most certainly designed to interface with a strain gauge. A strain gauge is wired into one leg ( or more ) of a Wheatstone bridge excited by a precision voltage. The bridge imbalance is proportional to the strain of the material being measured. The weak signal is usually boosted by a differential amplifier followed by other conditioning circuits. And if your sensor interface card is flexible, you can also configure it to read RTDs, thermocouples, and other kinds of sensors as well. Sensor interface circuitry would certainly be a common need throughout NASA ground test equipment back in the 1960s, and today as well.

Excitation Driver

If my analysis is correct, the supply takes about +80 VDC on the input before all three zener voltage references become active. That seems a bit high. But back in the 60s, maybe this was a common B+ voltage. But, if you only supply say 28 VDC, transistors Q101 and Q102 bypass the top and bottom zeners. Maybe all that circuitry is there just to allow a wide range of input voltages?
Detail of Excitation Circuit, Best Guess
There seems to be a lot of unused edge connector signals, or at least signals I don’t understand, associated with this section. I have a nagging feeling that some of these might be used by other parts of the system to check that the interface card is present and working, and that the cables to the sensor have not shorted nor broken.

Differential Input Amplifier

On the Hackaday.io project discussion section, hacker [Lauri Pirttiaho] pointed out that four of the transistors appeared to make up a differential amplifier. He is right I believe, and if he got that by just glancing at the PCB photos, I’m really impressed. The circuit appears to drive a load located off-board, presumably generating a voltage to be recorded, plotted, converted to digital data, and/or viewed on meters. The operating point is biased by a current set by the zener and transistor combination CR109 / Q107, but the return path for that current isn’t clear. I guessed it returns through the output power supply return, as drawn on the schematics, but am not 100% confident.

This CR109 / Q107 bias circuit can be turned off by grounding edge connector signal NET17, thus disabling the difference amplifier output transistors. This could be a useful feature for multiplexing a group of sensors boards onto a single using A2D converter. Instrumentation quality A2D converters were probably more expensive back in 1962, so this seems like a reasonably guess.
Detail of Differential Amplifier, Best Guess

Edge Connector, Nets

I connected the external signals up to a 22-pin edge-card connector schematic symbol and labeled them according to my guesses. The hope was that their positions along the card edge connector would give me additional insight. They did not. Lacking any descriptive names for the nets, [Skyhawkson] numbered them. I retained that same scheme here. Note that nets 1 through 21 are go to the card edge, and nets 22 through 36 are internal to the board. He numbered the net names sequentially along the card edge connector. But because of the keying gap in the connector, the net numbers don’t match the connector pin number from pin 5 onwards. For example, connector pin 6 is NET05 and so on.
Detail of Edge Card Connector, Best Guess

Mystery Trimming

The section with the R125 current sense resistor also has a bunch of trimmer potentiometers, and almost all of the connections go off board. It might be use to adjust the gain and offset of the output signal. I also wonder these could somehow comprise the fixed legs of the bridge. I’m at a loss here.

Lessons Learned and Next Steps?

This KiCad reverse engineering project has been both easier and more difficult than previous ones. The PCB is so simple by today’s standards, and [Skyhawkson] has already done the tedious task of tracing out the connections. He’s also identified all the parts on the board and prepared a bill of materials. This was a great starting point.

In previous projects, I knew the schematic ahead of time or else I had a reasonable idea of the PCB’s functionality and flow of signals. In the case of this Apollo-era board, I knew nothing. It was just a bunch of transistors and supporting discrete components. It made me appreciate modern IC packages, where knowing a part number gives big clues about its function.

Hints can be found in even the simplest parts. Figuring out that diode 1N2625 was a zener with 0.0002 % temperature coefficient was a big clue that a precision voltage reference was present. The low value R125 is probably a current sensing resistor, but what current is being sensed is still not clear.

The redrawn schematics are found in this GitHub repository. If you have any further ideas about how this circuit board might have been used, please let us know in the comments below. If we get enough additional information, maybe [Skyhawkson] can be convinced to power up the board and test it out.

hackaday.com/2024/11/25/apollo…

A me pare che i nostri governi stiano assumendo la posizione di Göring, quando nell'intervista a Gustave Gilbert (*) esprimeva il famoso concetto:
"Perché, naturalmente, il popolo non vuole la guerra. Perché mai un poveraccio in una fattoria dovrebbe rischiare la vita in una guerra quando il massimo che può ottenere è tornare alla sua fattoria tutto intero? Naturalmente, la gente comune non vuole la guerra; né in Russia, né in Inghilterra, né in America, né tanto meno in Germania. Questo si capisce. Ma, dopo tutto, sono i leader dei Paesi che determinano la politica, ed è sempre semplice trascinare il popolo, che si tratti di una democrazia, di una dittatura fascista, di un parlamento o di una dittatura comunista[...]È facile. Basta dire che sono stati attaccati e denunciare i pacifisti per mancanza di patriottismo e per aver esposto il Paese al pericolo. Funziona allo stesso modo in qualsiasi Paese."

(*) Gustave Gilbert "Nuremberg Diary", raccolte delle interviste fatte ad alcuni gerarchi nazisti durante il processo di Norimberga

In gazzetta europea il Regolamento (UE) 2024/2847, noto come Cyber Resilience Act (CRA) che introduce requisiti di cibersicurezza obbligatori per i prodotti digitali distribuiti nell’Unione Europea. Approvato il 23 ottobre 2024, entrerà pienamente in vigore l’11 dicembre 2027, segnando una svolta nella gestione della sicurezza informatica per produttori e distributori.

Prodotti soggetti alla CRA

Il CRA si applica a tutti i prodotti con elementi digitali importanti (Allegato III) e critici (Allegato IV) che sono collegati, direttamente o indirettamente, a una rete. Questo include dispositivi connessi come altoparlanti intelligenti, videocamere di sorveglianza, dispositivi IoT, software e componenti per infrastrutture critiche. Tuttavia, alcune categorie di prodotti sono escluse, tra cui dispositivi medici, automobili, aerei e attrezzature marine che sono già regolati da normative specifiche.

Requisiti fondamentali

Il CRA impone ai produttori di soddisfare una serie di requisiti di sicurezza essenziali (Allegato I), tra cui:

1. Sicurezza per progettazione: i prodotti devono essere progettati per garantire un livello adeguato di sicurezza in base ai rischi valutati.
2. Gestione delle vulnerabilità: i prodotti devono consentire aggiornamenti automatici per correggere le vulnerabilità e proteggere contro l’accesso non autorizzato.
3. Confidenzialità e integrità dei dati: i prodotti devono proteggere i dati personali e non personali, garantendo la loro integrità e riservatezza.
4. Minimizzazione dei dati: i prodotti devono elaborare solo i dati necessari, rispettando i principi di minimizzazione.
5. Resilienza agli incidenti: i prodotti devono continuare a funzionare in modo sicuro anche dopo un incidente, riducendo l’impatto sugli altri servizi.

Gestione delle vulnerabilità

I produttori devono identificare e documentare le vulnerabilità e creare un documento che identifica i componenti e le dipendenze software e dei sistemi. Devono inoltre affrontare prontamente le vulnerabilità tramite aggiornamenti di sicurezza separati da quelli delle funzionalità.

Sanzioni

Il mancato rispetto del CRA può comportare sanzioni severe, comprese multe fino a 15 milioni di euro o il 2,5% del fatturato annuo globale. Le violazioni possono anche portare al ritiro dei prodotti dal mercato europeo. La fornitura di informazioni errate, incomplete o fuorvianti agli organismi notificati e alle autorità di vigilanza del mercato può comportare sanzioni pecuniarie fino a 5 milioni di euro.

Tempistiche di implementazione

La legge prevede una cronologia di attuazione:

• 11 dicembre 2025: adozione delle descrizioni tecniche per le categorie di prodotti.
• 11 settembre 2026: obbligo di segnalazione allo CSIRT e ad ENISA delle vulnerabilità attivamente sfruttate e degli incidenti gravi attraverso la piattaforma unica di segnalazione.
• 11 dicembre 2027: piena applicazione del regolamento.

Conclusioni

Il Cyber Resilience Act (CRA) segna una pietra miliare nella regolamentazione della sicurezza informatica in Europa, con l’obiettivo di innalzare gli standard di protezione per i prodotti digitali connessi. Questa normativa impone obblighi rigorosi ai produttori, incentivando un approccio proattivo alla sicurezza attraverso requisiti chiave come la progettazione sicura, la gestione delle vulnerabilità e la resilienza agli incidenti.

Con sanzioni severe per i trasgressori e una cronologia ben definita per l’attuazione, il CRA si pone come uno strumento cruciale per garantire la sicurezza dell’ecosistema digitale europeo. Non solo protegge i consumatori, ma promuove anche una maggiore trasparenza e responsabilità lungo tutta la filiera dei prodotti tecnologici.

A partire dal 2027, l’entrata in vigore completa del regolamento rappresenterà un cambio di paradigma, spingendo l’industria verso una cultura della sicurezza più robusta e consapevole. Per le aziende che operano nel settore, questo non sarà solo un obbligo normativo, ma un’opportunità per differenziarsi e guadagnare la fiducia di un mercato sempre più attento alla sicurezza digitale.

L'articolo Pillola sul Cyber Resilience Act: Le nuove regole per la cibersicurezza dei prodotti digitali in UE proviene da il blog della sicurezza informatica.

Martedì 19 novembre 2024, Adam Meyers, senior Vice President delle Counter Adversary Operations di CrowdStrike,testimonia davanti alla sottocommissione giudiziaria del Senato degli Stati Uniti sulla privacy, la tecnologia e la legge sulle minacce informatiche cinesi alle infrastrutture critiche. Nel corso della sua testimonianza, Adam parla pubblicamente per la prima volta di un attore sponsorizzato dallo Stato cinese che CrowdStrike Counter Adversary Operations identifica comeLIMINAL PANDA.

Almeno dal 2020, LIMINAL PANDA ha preso di mira organizzazioni parte del settore delle telecomunicazioni utilizzando strumenti personalizzati che consentono covert access, command and control (C2) e l’esfiltrazione dei dati. L’avversario dimostra un’ampia conoscenza delle reti di telecomunicazione, compresa la comprensione delle interconnessioni tra i fornitori. LIMINAL PANDA ha utilizzato server di telecomunicazioni compromessi per dare inizio ad intrusioni in altri fornitori, in altre regioni geografiche.
Adam Meyers, senior Vice President delle Counter Adversary Operations di CrowdStrike
L’avversario conduce la sua attività di intrusione utilizzando protocolli che supportano le telecomunicazioni mobili, come l’emulazione dei protocolli del sistema globale per le comunicazioni mobili (GSM) per consentire il C2 e lo sviluppo di strumenti per recuperare informazioni sugli abbonati del servizio mobile, metadati delle chiamate e messaggi di testo (SMS).

È molto probabile che LIMINAL PANDA sia impegnato in attività di intrusione mirata a supporto della raccolta di informazioni. Questa valutazione viene effettuata con grande probabilità sulla base del profilo del bersaglio identificato dall’avversario, dei probabili obiettivi della missione e delle tattiche, tecniche e procedure osservate (TTP), che suggeriscono requisiti di accesso occulto a lungo termine.

Questo blog fornisce una panoramica della storia di CrowdStrike nel monitoraggio di LIMINAL PANDA, illustra le caratteristiche, gli obiettivi e le tattiche principali dell’avversario e suggerisce alle organizzazioni una guida per difendersi da questa minaccia.

Tracciamento e identificazione di LIMINAL PANDA

Nel 2021, CrowdStrike ha attribuito diverse intrusioni nel settore delle telecomunicazioni al gruppo di attività LightBasin, che ha costantemente preso di mira le TELCO almeno dal 2016, utilizzando vari strumenti personalizzati. Una revisione approfondita di questa attività di intrusione ha determinato che alcuni degli eventi documentati in uncrowdstrike.com/en-us/blog/an-…precedente post del blog sono attribuibili a un avversario diverso, ora identificato come LIMINAL PANDA. Questa associazione è risultata dal fatto che più attori stavano conducendo attività dannose su una rete compromessa altamente contestata.

CrowdStrike ha aggiornato il post del blog per riflettere l’attività ora tracciata come LIMINAL PANDA e fornire ulteriori dettagli e TTP, compreso l’uso da parte dell’avversario di strumenti proxy pubblicamente disponibili durante le intrusioni. Questa nuova attribuzione non influisce sull’analisi tecnica del malware di LightBasin e sulle TTP descritte nell’analisi originale.

CrowdStrike continua a monitorare tutte le altre attività di LightBasin e le famiglie di malware associate sotto il nome del cluster di attività stabilito. I rapporti di intelligence, compresi gli aggiornamenti del profilo operativo di LightBasin, sono stati resi pubblici agli abbonati acrowdstrike.com/platform/threa…CrowdStrike Falcon® Adversary Intelligence Premium. Questi aggiornamenti forniscono dettagli accurati sulla portata dell’obiettivo dell’attore, sulle TTP e sulle attuali valutazioni di attribuzione del malware.

Strumenti, tattiche e comportamenti di LIMINAL PANDA

L’avversario LIMINAL PANDA prende di mira i fornitori di telecomunicazioni con vari strumenti che consentono l’accesso occulto, il C2 e l’esfiltrazione dei dati. Nel 2020 e 2021, LIMINAL PANDA ha probabilmente preso di mira più fornitori di telecomunicazioni, utilizzando l’accesso a queste entità per compromettere le organizzazioni.

L’avversario dimostra un’ampia conoscenza delle reti di telecomunicazione, la comprensione delle interconnessioni tra i provider e dei protocolli che supportano le telecomunicazioni mobili. LIMINAL PANDA emula i protocolli del sistema globale per le comunicazioni mobili (GSM) per consentire il C2 e lo sviluppo di strumenti per recuperare informazioni sugli abbonati al servizio mobile, metadati delle chiamate e messaggi di testo.

LIMINAL PANDA utilizza una combinazione di malware personalizzata, strumenti disponibili pubblicamente e software proxy per instradare le comunicazioni C2 attraverso diversi segmenti di rete. La Tabella 1 elenca il malware e gli strumenti associati a ciascun attore.

LIMINAL PANDA conduce attività di intrusione che rappresentano una minaccia potenziale significativa per le organizzazioni del settore delle telecomunicazione. L’avversario prende di mira queste entitá per raccogliere direttamente informazioni sulla telemetria della rete e sugli abbonati o per compromettere altre organizzazioni sfruttando i requisiti di connessione interoperativa del settore. Le probabili motivazioni operative di LIMINAL PANDA – indicate dallo sviluppo e dall’impiego di strumenti specifici per la tecnologia delle telecomunicazioni – sono strettamente allineate con le operazioni di raccolta dei segnali di intelligence (SIGINT) per la raccolta di informazioni, in contrapposizione all’accesso per fini finanziari.

LIMINAL PANDA si è precedentemente concentrato sui fornitori di telecomunicazioni dell’Asia meridionale e dell’Africa, suggerendo che i loro obiettivi finali probabilmente risiedono in queste regioni; tuttavia, anche gli individui in roaming in queste aree potrebbero essere presi di mira a seconda della configurazione della rete compromessa e dell’accesso attuale di LIMINAL PANDA. Allo stesso modo, a seconda dei loro attuali requisiti di raccolta, l’avversario potrebbe utilizzare TTP simili per colpire le telecomunicazioni in altre aree.

CrowdStrike Intelligence ritiene che l’attività di LIMINAL PANDA sia in linea con le operazioni informatiche della Cina. Questa valutazione è fatta con bassa probabilità sulla base dei seguenti fattori, che da soli non indicano certezza di attribuzione a causa della loro natura non esclusiva:

• Il bersaglio sono organizzazioni che operano in Paesi associati alla Belt and Road Initiative (BRI) della Cina, una strategia a livello nazionale che cerca di creare opportunità economiche allineate con gli interessi prioritari di Pechino delineati nel 13° e 14° Piano quinquennale della Cina.
• Utilizzo di una stringa Pinyin (wuxianpinggu507) per la chiave XOR di SIGTRANslatore la password per alcuni servizi proxy remoti di LIMINAL PANDA. Questo testo Pinyin si traduce in “valutazione wireless 507” o “valutazione illimitata 507”. “Valutazione wireless” è probabilmente la traduzione corretta, dato che il malware viene utilizzato per colpire i sistemi di telecomunicazione. Questo termine è anche simile al dominio wuxiapingg[.]ga, che in precedenza era ospitato su un indirizzo IP associato a LIMINAL PANDA. Diversi altri nomi di dominio che si sovrappongono all’infrastruttura di LIMINAL PANDA utilizzano anche rappresentazioni Pinyin di termini mandarini, suggerendo ulteriormente che gli attori associati all’infrastruttura del gruppo probabilmente parlano cinese.
• Utilizzo del nome di dominio wuxiapingg[.]ga come infrastruttura di consegna e C2 per Cobalt Strike, uno strumento di accesso remoto (RAT) disponibile in commercio che gli attori di China-nexus utilizzano spesso.
• Utilizzo di Fast Reverse Proxy e della backdoor TinyShell disponibile pubblicamente, entrambi utilizzati da diversi avversari cinesi, tra cui SUNRISE PANDA e HORDE PANDA.
• Utilizzo dell’infrastruttura VPS fornita da Vultr, un provider comunemente – anche se non esclusivamente – utilizzato da avversari e attori di China-nexus.

Raccomandazioni

Le attività di intrusione note di LIMINAL PANDA hanno tipicamente abusato dei rapporti di fiducia tra i fornitori di telecomunicazioni e delle lacune nei criteri di sicurezza, consentendo all’avversario di accedere all’infrastruttura principale da host esterni.

Queste raccomandazioni possono essere implementate per contribuire alla protezione contro l’attività descritta in questo blog:

• Implementare una soluzione EDR (Endpoint Protection and Response) avanzata e in tempo reale, comecrowdstrike.com/platform/endpo…CrowdStrike Falcon®, in tutto l’ambiente di rete, compresi i server considerati inaccessibili da Internet.
• Implementare strategie di password complesse – evitando opzioni predefinite o generiche – per l’autenticazione SSH o utilizzare metodi più sicuri come l’autenticazione con chiave SSH, in particolare sui server che accettano connessioni da organizzazioni esterne (ad esempio, i server eDNS).
• Ridurre il numero di servizi accessibili al pubblico che operano su server che accettano connessioni da organizzazioni esterne a quelli necessari per l’interoperabilità organizzativa.
• Applicare le politiche di controllo dell’accesso alla rete interna per i server in base al ruolo e ai requisiti (ad esempio, ridurre al minimo le possibilità di accesso dai server eDNS ad altri dispositivi di gestione e all’infrastruttura di rete, a meno che non sia necessario per scopi di amministrazione); in questi casi, l’accesso deve essere limitato da meccanismi di autenticazione sicuri.
• Registrare le connessioni SSH tra i server interni e monitorarle per rilevare attività anomale.
• Verificare le regole iptables implementate sui server, controllando la presenza di voci anomale che consentono l’accesso in entrata da indirizzi IP esterni sconosciuti.
• Utilizzare meccanismi di controllo dell’integrità dei file sui file binari dei servizi di sistema critici, come iptables, per identificare se sono stati modificati o sostituiti in modo inaspettato.

L'articolo LIMINAL PANDA: La Minaccia Invisibile che Spia le Telecomunicazioni dal 2020 proviene da il blog della sicurezza informatica.

La polizia tailandese afferma di aver scoperto il furgone del truffatore e di aver arrestato il suo autista, un cittadino cinese di 35 anni, per aver utilizzato un dispositivo per inviare messaggi SMS di phishing di massa. Da questo furgone venivano inviati ogni ora più di 100.000 SMS di phishing, indirizzati ai residenti di Bangkok.

È stato riferito che il dispositivo, che aveva una portata di circa tre chilometri, poteva inviare messaggi ad una velocità di 100.000 ogni ora. Secondo gli investigatori, in tre giorni i truffatori hanno inviato quasi 1.000.000 di messaggi SMS che dicevano: “I tuoi 9.268 punti stanno per scadere! Affrettati ad approfittare subito del regalo.”

Questi messaggi contenevano un collegamento a un sito di phishing con la stringa “aisthailand” nel nome, ovvero la risorsa veniva spacciata per il sito di Advanced Info Service (AIS), il più grande operatore di telefonia mobile in Thailandia.

Gli utenti che cliccavano su un link di phishing venivano indirizzati ad una pagina dove venivano richiesti i dati della carta bancaria. Alla fine questi dati finivano nelle mani dell’aggressore utilizzati per effettuare transazioni non autorizzate in altri paesi.

youtube.com/embed/LELn9cpMvs4?…

Secondo quanto riferito, gli esperti dell’AIS hanno aiutato la polizia a localizzare il dispositivo SMS in blocco. Tuttavia, l’operatore delle telecomunicazioni non ha rivelato alcun dettaglio su come ciò sia stato fatto esattamente. I membri del gruppo fraudolento, alcuni dei quali si trovavano in Tailandia e altri in altri paesi, hanno coordinato le loro azioni attraverso i canali chiusi di Telegram, dove hanno anche scambiato i testi per gli SMS fraudolenti da inviare.

Oltre al già arrestato conducente del furgone, che conteneva apparecchiature per l’invio di messaggi di massa, la polizia sta cercando almeno altri due componenti del gruppo. Tali attacchi sono possibili a causa delle vulnerabilità note da tempo negli standard di comunicazione mobile. Di conseguenza, i dispositivi collegati a una fake Base Station possono ricevere quasi immediatamente un messaggio SMS di phishing.

Gli emulatori di stazioni radio base attraverso i quali le connessioni vengono solitamente intercettate vengono chiamati IMSI-catcher o Stingray. Essenzialmente, si tratta di un dispositivo che si maschera da torre cellulare, costringendo i dispositivi nel raggio d’azione a connettersi ad essa. Gli IMSI catcher vengono spesso utilizzati dalle stesse forze dell’ordine per triangolare i dispositivi bersaglio e talvolta per intercettare le loro comunicazioni.

Si noti che un incidente simile si è verificato nel dicembre 2022, quando la polizia francese ha scoperto un IMSI catcher che una donna stava portando in giro per Parigi. Il dispositivo è stato utilizzato per diffondere messaggi che incoraggiavano i parigini a condividere i propri dati personali su un falso sito di assicurazione sanitaria. Come si è scoperto in seguito, il dispositivo è stato trasportato in giro per la città su una vecchia ambulanza.

L'articolo Phishing dal Furgone! Una Falsa Stazione Radio Base ha inviato un Milione di Fake SMS proviene da il blog della sicurezza informatica.

It is hard to imagine that there was a time when having a keyboard and screen readily available was a real problem for people who wanted to experiment with computers. In the 1970s, if you wanted a terminal, you might well have built a [Don Lancaster] “TV Typewriter” and the companion “low cost keyboard.” [Artem Kalinchuk] wanted to recreate this historic keyboard and, you know what? He did! Take a look at the video below.

The first task was to create a PCB from the old artwork from Radio Electronics magazine. [Artem] did the hard work but discovered that the original board expected a very specific kind of key. So, he created a variant that takes modern MX keyboard switches, which is nice. He does sell the PCBs, but you can also find the design files on GitHub.

Not only were the TV typewriters and related projects popular, but they also inspired many similar projects and products from early computer companies.

The board is really just a holder for keys, some jumper wires, and an edge connector. You still need an ASCII encoder board, which [Artem] also recreates. That board is simple, using diodes, a few transistors, and a small number of simple ICs.

If you weren’t there, part of installing old software was writing the code needed to read and write to your terminal. No kidding. We miss [Don Lancaster]. We wonder how many TV typewriters were built, especially if you include modern recreations.

youtube.com/embed/akgyQJSSxYs?…

hackaday.com/2024/11/25/the-la…

PA Digitale S.p.A. annuncia oggi di aver siglato un accordo con TIM Enterprise che diventa così il nuovo provider per la fornitura di servizi cloud. La partnership consentirà a PA Digitale di garantire i più alti livelli di sicurezza e resilienza per offrire servizi ai cittadini e con le migliori pratiche istituzionali.

Grazie a questa intesa PA Digitale adotterà l’innovativa soluzione TIM Cloud Flex, la piattaforma di servizi Cloud di TIM Enterprise dedicata alle imprese e sviluppata per offrire alti standard di sicurezza e di affidabilità, tra cui la qualifica ACN QI2, che consente di allineare lo sviluppo delle applicazioni alle nuove funzionalità introdotte, semplificando il rapporto tra cittadino e Istituzioni favorendo così sempre più l’interoperabilità di sistema, con l’obiettivo di migliorare l’esperienza dell’utente e agevolare l’adozione di nuovi servizi.

PA Digitale ha scelto la soluzione di TIM Enterprise che assicura un’architettura interamente presente sul territorio nazionale grazie alla rete dei Data Center del Gruppo TIM, costruiti secondo i più alti standard di sicurezza, efficienza e sostenibilità. La soluzione TIM Cloud Flex per PA Digitale metterà a disposizione un ambiente infrastrutturale interamente gestito, distribuito su due Data Center nazionali ad alta affidabilità, personalizzato in funzione delle specifiche esigenze di PA Digitale.

“Siamo convinti che l’accordo con TIM Enterprise ci permetta di realizzare l’architettura tecnologicamente più avanzata, ma soprattutto rispondente ai princìpi di disponibilità, integrità e riservatezza dei dati, in linea con la nostra storia e la strategia attuata a favore della Pubblica Amministrazione e della normativa europea e nazionale sulla cybersecurity e sulla protezione dei dati personali,” ha dichiarato l’Amministratore Delegato di PA Digitale, Renato Trapattoni. “Grazie anche alle competenze del personale delle due aziende che hanno consentito la realizzazione di un’operazione così articolata, la stabilità dell’infrastruttura cloud viene così fortemente accresciuta. Questa partnership consentirà infatti a PA Digitale di avviare un nuovo modello di interazione con le Pubbliche Amministrazioni, con processi sempre più efficaci e livelli di sicurezza operativa attivi, garantiti da un monitoraggio 24 ore su 24 e sette giorni su sette, e di fornire evidenze concrete alle Amministrazioni sulle modalità con cui i dati sono trattati assicurando livelli di sicurezza, continuità e resilienza basati su evidenze misurabili di capacità, continuità e sicurezza dei servizi erogati” ha concluso Trapattoni.

PA Digitale rafforza e amplia con nuovi investimenti economici i livelli di sicurezza di base e di compliance già in linea con la regolamentazione nazionale dotandosi di un nuovo coordinamento di cybersecurity di Gruppo.

Fondata nel 2009, PA Digitale S.p.A. ha fatto della digitalizzazione di dati, documenti, attività e processi la sua mission ideando e sviluppando soluzioni applicative e servizi per la Pubblica Amministrazione e per il settore privato, che rispondono all’esigenza di cambiamento e al processo di trasformazione verso il digitale. Nel 2016 PA Digitale S.p.A. è entrata a far parte del Gruppo Buffetti-Dylog, uno dei principali player nazionali nel settore dell’Information Technology. L’azienda impiega circa 200 professionisti sull’intero territorio nazionale, offrendo i propri servizi a oltre 1.100 Enti Pubblici tra Istituzioni Locali e Centrali, Aziende Pubbliche, Utility, Parchi Nazionali, Aziende Private, Ordini Professionali.

L'articolo PA Digitale sigla accordo con TIM Enterprise per la fornitura dei servizi cloud proviene da il blog della sicurezza informatica.