Gli Stati Uniti hanno annunciato l’identificazione della nona compagnia di telecomunicazioni vittima di un’importante campagna di spionaggio legata alla Cina, nota come Salt Typhoon. Secondo Anne Neuberger, viceconsigliere per la sicurezza nazionale per le tecnologie informatiche e emergenti, il nuovo nome è apparso dopo la pubblicazione delle raccomandazioni del governo per gli operatori di telecomunicazioni. Queste raccomandazioni descrivevano i metodi degli hacker cinesi e come rilevarli.

“Sulla base di queste informazioni è stata identificata una nona società”, ha detto Neuberger ai giornalisti, aggiungendo che il nome della società non è stato ancora reso noto. Le autorità cinesi hanno negato categoricamente il coinvolgimento nell’attacco, che ha intercettato dati non classificati, inclusi metadati telefonici di alti funzionari statunitensi, nonché del presidente eletto Donald Trump e del vicepresidente eletto J.D. Vance.

L’incidente ha sollevato preoccupazioni tra i legislatori di entrambi i partiti e ha spinto a chiedere maggiori misure di sicurezza. Mike Waltz, consigliere per la sicurezza nazionale di Trump, ha affermato che una “contromisura offensiva” dovrebbe essere una priorità.

L’amministrazione sta sviluppando misure per combattere le conseguenze dell’hacking. Il mese prossimo, la Federal Communications Commission (FCC) prenderà in considerazione una norma che imponga alle società di telecomunicazioni di fornire rapporti annuali sulle loro pratiche di sicurezza informatica, pena sanzioni. Le raccomandazioni includono la segmentazione della rete, che limiterà le azioni degli aggressori in caso di hacking.

Neuberger ha sottolineato che alcune aziende hanno commesso gravi errori nella gestione delle proprie reti. In un caso, un singolo amministratore aveva accesso a più di 100mila router, consentendo agli hacker di assumere il controllo dell’intera rete.

La portata complessiva dell’hacking rimane sconosciuta a causa degli sforzi degli hacker per coprire le proprie tracce e della mancanza di acquisizione dei dati da parte delle aziende. A tal fine Neuberger ha invitato la FCC ad adottare standard minimi di sicurezza informatica per rafforzare la sicurezza delle reti e prevenire ulteriori attacchi.

Parallelamente, l’Amministrazione Generale sta rivedendo i contratti governativi per rafforzare i requisiti di sicurezza informatica per gli appaltatori. Inoltre, il Ministero del Commercio continua a spingere per un divieto di China Telecom, che sarà deciso dalla nuova amministrazione.

Neuberger ha inoltre affermato che nei prossimi mesi si possono prevedere ulteriori azioni volte a rafforzare la sicurezza informatica e a prevenire le minacce provenienti da paesi stranieri.

L'articolo Spionaggio Cinese: Svelata la Nona Vittima di Salt Typhoon negli USA proviene da il blog della sicurezza informatica.

Il gruppo di hacker Charming Kitten continua a sviluppare il suo software dannoso, come confermato dalla recente scoperta di una nuova variante di BellaCiao scritta in C++ da parte dei ricercatori di Kaspersky Lab.

Questo campione, chiamato BellaCPP, è stato trovato sullo stesso computer precedentemente infettato dalla versione originale di BellaCiao basata su .NET. Gli esperti hanno scoperto che la nuova versione conservava le funzioni chiave dell’originale, ma perdeva la web shell integrata.

L’analisi del Debug Path (PDB) ha rivelato che BellaCiao conteneva informazioni che potevano identificare il paese e l’organizzazione target. Il nome “MicrosoftAgentServices” si trova spesso nelle stringhe PDB, seguito da suffissi numerici per denotare le versioni. Ciò indica che gli sviluppatori hanno lavorato diligentemente per migliorare la funzionalità e rendere gli attacchi più efficaci.

BellaCPP, registrato come file DLL denominato “adhapl.dll“, presenta un comportamento simile alle versioni precedenti. Il programma utilizza la crittografia XOR per decodificare le stringhe, esegue funzioni DLL e genera domini utilizzando un modello specifico. Se i risultati della query DNS corrispondono all’indirizzo IP codificato, il malware esegue i comandi, inclusa la configurazione di tunnel SSH.

Un comportamento simile è stato osservato nelle versioni precedenti di BellaCiao, tuttavia BellaCPP utilizza un meccanismo di interazione semplificato senza dipendere dalla web shell. Si ritiene che il file mancante “D3D12_1core.dll” sia coinvolto nella creazione di tunnel SSH, il che aumenta la persistenza degli attacchi.

Sulla base della somiglianza dei meccanismi e dell’uso di domini noti, gli esperti associano BellaCPP a Charming Kitten con un alto grado di sicurezza. Inoltre, la scoperta sia del BellaCPP che del BellaCiao originale sullo stesso dispositivo conferma la strategia generale di utilizzare campioni modificati per aggirare i sistemi di sicurezza.

Questo caso evidenzia l’importanza di un’analisi approfondita delle reti infette, poiché gli aggressori stanno sviluppando attivamente nuove versioni di software che non vengono rilevate dalle soluzioni di sicurezza standard.

L'articolo Charming Kitten colpisce ancora: scoperta la nuova variante BellaCPP del malware BellaCiao! proviene da il blog della sicurezza informatica.

I criminali informatici utilizzano sempre più una combinazione di metodi nuovi e tradizionali per rubare informazioni sensibili utilizzando strumenti di accesso remoto (RAT) come AsyncRAT e SectopRAT. Queste attività includono SEO Poisoning, typosquatting e abuso di software legittimi di monitoraggio e gestione remota (RMM).

Pertanto, Microsoft ha recentemente registrato un uso insolito del programma ScreenConnect. In precedenza veniva utilizzato per mantenere l’accesso ai sistemi infetti, ma ora viene utilizzato per diffondere AsyncRAT. Le vittime vengono indotte con l’inganno dai truffatori a fornire volontariamente l’accesso ai loro dispositivi, consentendo l’installazione di potenti malware sui loro computer.

AsyncRAT ha una vasta gamma di funzionalità: dal furto di dati all’esecuzione di comandi. Queste azioni sono spesso accompagnate da tattiche di ingegneria sociale, quando i truffatori fingono di essere supporto tecnico.

Un’altra minaccia è SectopRAT, che si diffonde attraverso il SEO Poisoning e il typosquatting. Nel primo caso, gli aggressori manipolano i risultati dei motori di ricerca, promuovendo i siti dannosi nelle prime posizioni. Nella seconda vengono registrati domini simili a siti popolari in modo che gli utenti accedano accidentalmente a pagine contenenti malware. SectopRAT si concentra sul furto di dati del browser e portafogli crittografici. La sua caratteristica unica è la creazione di un desktop nascosto, che consente di effettuare attacchi senza essere rilevati.

Tutti questi metodi dimostrano la crescente sofisticazione dei criminali informatici.

Per proteggersi è importante seguire questi consigli:

• Controllare i contatti del supporto tecnico per evitare di concedere accidentalmente l’accesso.
• Fai attenzione ai collegamenti sospetti nei motori di ricerca.
• Aggiorna i browser e le estensioni in modo tempestivo.
• Utilizza antivirus e sistemi di sicurezza.
• Sensibilizzare dipendenti e familiari sugli schemi fraudolenti.

Questi casi evidenziano la necessità di una vigilanza costante di fronte alle nuove minacce.

Gli esperti di sicurezza informatica continuano a monitorare lo sviluppo di questo tipo di malware, ma è importante che gli utenti adottino misure per proteggere i propri dispositivi e dati.

L'articolo AsyncRAT e SectopRAT: i malware che sfruttano SEO e typosquatting proviene da il blog della sicurezza informatica.

Sometimes, all it takes is looking at an existing piece of tech in a new way to come up with something unique. That’s the whole idea behind FallingWater, a gorgeous Art Deco inspired clock created by [Mark Wilson] — while the vertical LCD might look like some wild custom component, it’s simply a common DM8BA10 display module that’s been rotated 90 degrees.

As demonstrated in the video below, by turning the LCD on its side, [Mark] is able to produce some visually striking animations. At the same time the display is still perfectly capable of showing letters and numbers, albeit in a single column and with noticeably wider characters.

In another application it might look odd, but when combined with the “sunburst” style enclosure, it really comes together. Speaking of the enclosure, [Mark] used OpenSCAD to visualize the five layer stack-up, which was then recreated in Inkscape so it could ultimately be laser-cut from acrylic.

Rounding out the build is a “Leonardo Tiny” ATmega32U4 board, a DS3221 real-time clock (RTC), a couple of pushbuttons, and a light dependent resistor (LDR) used to dim the display when the ambient light level is low. All of the electronics are housed on a small custom PCB, making for a nicely compact package.

This build is as simple as it is stylish, and we wouldn’t be surprised if it inspired more than a few clones. At the time of writing, [Mark] hadn’t published the source code for the ATmega, but he has provided the code to generate the cut files for the enclosure, as well as the Gerber files for the PCB. If you come up with your own version of this retro-futuristic timepiece, let us know.

youtube.com/embed/mzzxlmcXxEY?…

hackaday.com/2024/12/27/fallin…

Among the current challenges with creating quantum computers is that the timespan that a singular qubit remains coherent is quite limited, restricting their usefulness. Usually such qubits consist of an electromagnetic resonator (boson), which have the advantage of possessing discrete energy states that lend themselves well to the anharmonicity required for qubits. Using mechanical resonators would be beneficial due to the generally slower decoherence rate, but these have oscillations (phonons) that are harmonic in nature. Now researchers may have found a way to use both electromagnetic qubits and mechanical resonators to create a hybrid form that acts like a mechanical qubit, with quite long (200 µs) coherence time.

As per the research paper by [Yu Yang] and colleagues in Science (open access preprint), their experimental mechanical qubit (piezoelectric disc and superconducting qubit on sapphire) was able to be initialized and read out, with single-qubit gates demonstrated. The experimental sequence for the phonon anharmonicity measurement is shown in the above image (figure 2 in the paper), including the iSWAP operations which initialize the hybrid qubit. Effectively this demonstrates the viability of such a hybrid, mechanical qubit, even if this experimental version is not impressive yet compared to the best electromagnetic qubit. Those have managed to hit a coherence time of 1 ms.

The lead researcher, [Yu Yang] expresses his confidence that they can improve this coherence time with more optimized designs and materials, with future experiments likely to involve more complex quantum gates as well as sensor designs.

hackaday.com/2024/12/27/creati…

If you’ve ever worked with adding lithium-ion batteries to one of your projects, you’ve likely spent some quality time with a TP4056. Whether you implemented the circuit yourself, or took the easy way out and picked up one of the dirt cheap modules available online, the battery management IC is simple to work with and gets the job done.

But there’s always room for improvement. In a recent video, [Det] and [Rich] from Learn Electronics Repair go over using a more modern battery management board that’s sold online as the MH-CD42. This board, which is generally based on a clone of the IP5306, seems intended for USB battery banks — but as it so happens, plenty of projects that makers and hardware hackers work on have very similar requirements.

So not only will the MH-CD42 charge your lithium-ion cells when given a nominal USB input voltage (4.5 – 5 VDC), it will also provide essential protections for the battery. That means looking out for short circuits, over-charge, and over-discharge conditions. It can charge at up to 2 A (up from 1 A on the TP4056), and includes a handy LED “battery gauge” on the board. But perhaps best of all for our purposes, it includes the necessary circuitry to boost the output from the battery up to 5 V.

If there’s a downside to this board, it’s that it has an automatic cut-off for when it thinks you’ve finished using it; a feature inherited from its USB battery bank origins. In practice, that means this board might not be the right choice for projects that aren’t drawing more than a hundred milliamps or so.

youtube.com/embed/N0LQqFpSggo?…

hackaday.com/2024/12/27/playin…

When you think of making something using a lathe, you usually think of turning a screw, a table leg, or a toothpick. [Uri Tuchman] had a different idea. He wanted to make a clock out of the gears used in the lathe. Can he do it? Of course, as you can see in the video below.

Along the way, he used several tools. A mill, a laser cutter, and a variety of hand tools all make appearances. There’s also plenty of CAD. Oh yeah, he uses a lathe, too.

Initially, the clock ran a little fast. A longer pendulum was the answer, but that required the clock to sit on a table edge because the pendulum now extends below the bottom of the clock!

We have to admit there is a lot going into this, but it looks great by the time it is done. We are impressed with the range of different tools used and the clever design. Of course, he could have made the gears, too, but using the metal gears already available is a nice touch.

You can, of course, get by with less. Much less. Or, you might elect to try something even more elaborate.

youtube.com/embed/CFVxZ0DowQg?…

hackaday.com/2024/12/27/lathe-…

Many things have combined to make very high-frequency RF gear much more common, cheaper, and better performing. Case in point: [dereksgc] is tearing apart a 20 GHz low-noise block (LNB). An LNB is a downconverter, and this one is used for some Irish satellite TV services.

The scale of everything matters when your wavelength is only 15 mm. The PCB is small and neatly laid out. There are two waveguides printed on the board, each feeding essentially identical parts of the PCB. Printed filters use little patterns on the board that have particular inductance and capacitance — no need for any components. Try doing that at 2 MHz!

The LNB is a single-band unit, so it only needs to worry about the two polarizations. However, [dereksgc] shows that some have multiple bands, which makes everything more complex. He also mentions that this LNB doesn’t use a PLL, and he’d like to find a replacement at this frequency that is a bit more modern.

After the teardown, it is time to test the device to see how it works. If you want to experiment at this frequency, you need special techniques. For example, we’ve seen people try to push solderless breadboards this high (spoiler: it isn’t easy). Maybe that’s why many people settle for modifying existing LNBs like this one.

youtube.com/embed/5xBqoIFQGb0?…

hackaday.com/2024/12/27/20-ghz…

Alfred Vail (public domain)
We talk about Morse code, named after its inventor, Samuel Morse. However, maybe we should call it Vail code after Alfred Vail, who may be its real inventor. Haven’t heard of him? You aren’t alone. Yet he was behind the first telegraph key and improved other parts of the fledgling telegraph system.

The story starts in 1837 when Vail visited his old school, New York University, and attended one of Morse’s early telegraph experiments. His family owned Speedwell Ironworks, and he was an experienced machinist. Sensing an opportunity, he arranged with Morse to take a 25% interest in the technology, and in return, Vail would produce the necessary devices at the Ironworks. Vail split his interest with his brother George.

By 1838, a two-mile cable carried a signal from the Speedwell Ironworks. Morse and Vail demonstrated the system to President Van Buren and members of Congress. In 1844, Congress awarded Morse $30,000 to build a line from Washington to Baltimore. That was the same year Morse sent the famous message “What Hath God Wrought?” Who received and responded to that message? Alfred Vail.

The Original Telegraph

Telegraphs were first proposed in the late 1700s, using 26 wires, one for each letter of the alphabet. Later improvements by Wheatstone and Cooke reduced the number of wires to five, but that still wasn’t very practical.

Samuel Morse, an artist by trade, was convinced he could reduce the number of wires to one. By 1832, he had a crude prototype using a homemade battery and a relatively weak Sturgeon electromagnet.

Morse’s original plan for code was based on how semaphore systems worked. Messages would appear in a dictionary, and each message would be assigned a number. The telegraph produced an inked line on a paper strip like a ticker tape. By counting the dips in the line, you could reconstruct the digits and then look up the message in the dictionary.

Morse’s partners, Vail and a professor named Gale, didn’t get their names on the patents, and for the most part, the partners didn’t take any credit — Vail’s contract with Morse did specify that Vail’s work would benefit Morse. However, there is evidence that Vail came up with the dot/dash system and did much of the work of converting the hodgepodge prototype into a reliable and manufacturable system.

Improvements

Vail’s sending key is instantly recognizable (photo from Smithsonian Institute) 3D View
For example, Morse’s telegraph used a pencil to mark paper, while Vail used a steel-pointed pen. The sending key was also Vail’s work, along with other improvements to the receiving apparatus (we’ve seen some nice replicas of this key).
A typical case for type used by printers (public domain)
As you may have noticed, the length of Morse code characters is inversely proportional to their frequency in English. That is, “E,” a common letter, is much shorter than a “Z,” which is far less common. Supposedly, Vail went to a local newspaper and used the type cases as a guide for letter frequencies.

Two Types of Code

American Morse Code (public domain)
It is worth noting that the code in question isn’t the one we use today. It was “American Morse Code” which was used most often by railroads. The modern International Morse Code is somewhat similar, but several differences exist. The most notable is that dashes are not always the same length. An L is a “long dash,” and a zero is an even longer dash (you occasionally hear this as shorthand on the ham bands if the sender uses a straight key).

In addition, some letters use longer than normal spaces. For example, the letters “A” and “B” are exactly like modern code, but the letter “C” is two dots, a double space, and another dot. An “O” is a dot, a double space, and another dot.
Gerke’s code from 1848 (Public Domain)
The gaps and different lengths caused problems with long cables, which led to Friedrich Gerke developing a derivative code in 1848. His code is essentially what we use today and uses a fixed length for dots, dashes, and spaces. There is one exception. The original Gerke code used the long-dash zero. Most of the letters in the International code are the same as the ones in the Gerke code, although when International Morse was codified in 1865, there were a few changes to some letters and numbers.

The telegraph was a huge success. By 1854, around 23,000 miles of lines were in operation. Western Union formed in 1851, and by 1866, there was a trans-Atlantic cable.

Will Success Spoil Alfred Vail?

Vail, however, was not a huge success. Morse took on an influential congressman as a partner and cut Vail’s shares in half. That left the Vail brothers with 12.5% of the profits. In 1848, Vail was disillusioned with his $ 900-a-year salary for running the Washington and New Orleans Telegraph Company. He wrote to Morse:

“I have made up my mind to leave the Telegraph to take care of itself, since it cannot take care of me. I shall, in a few months, leave Washington for New Jersey, … and bid adieu to the subject of the Telegraph for some more profitable business.”

He died less than 11 years later, in 1859. Other than researching genealogy, we didn’t find much about what he did in those years.

The Lone Inventor Fiction

Like most inventions, you can’t just point to one person who made the leap alone. In addition to Vail and his assistant William Baxter, Joseph Henry (the inductor guy) created practical electromagnets that were essential to the operation of the telegraph. In fact, he demonstrated how an electromagnet could ring a bell at a distance, which is really all you need for a telegraph, so he has some claim, too.

Part of the Speedwell Ironworks is now a historic site you can visit. It might not be a coincidence that the U.S. Army Signal Corps school was located in New Jersey at Camp Alfred Vail in 1919. Camp Alfred Vail would later become Fort Monmouth and was the home to the Signal Corps until the 1970s.

These old wired telegraphs made a clicking noise instead of a beep. Of course, wired telegraphs would give way to radio, and telegraphy of all kinds would mostly succumb to digital modes. However, you can still find the occasional Morse station.

hackaday.com/2024/12/27/do-you…

LEGO bricks might look simplistic, but did you know there’s an actual science behind their sizes? Enter LDUs — LEGO Draw Units — the minuscule measurement standard that allows those tiny interlocking pieces to fit together seamlessly. In a recent video [Brick Sculpt] breaks down this fascinating topic.

So, what is an LDU precisely? It’s the smallest incremental size used to define LEGO’s dimensions. For context, a standard LEGO brick is 20 LDUs wide, and a single plate is 8 LDUs tall. Intriguingly, through clever combinations of headlight bricks, jumper plates, and even rare Minifig neck brackets, builders can achieve offsets as tiny as 1 LDU! That’s the secret sauce behind those impossibly detailed LEGO creations.

We already knew that LEGO is far more than a toy, but this solidifies that theory. It’s a means of constructing for anyone with an open mind – on its own scale. The video below explains in detail how to achieve every dimension possible. If that inspires you to build anything, dive into these articles and see if you can build upon this discovery!

youtube.com/embed/opRelue2ypU?…

hackaday.com/2024/12/27/ldu-de…

We’re covering two weeks of news today, which is handy, because the week between Christmas and New Years is always a bit slow.

And up first is the inevitable problem with digital license plates. Unless very carefully designed to be bulletproof, they can be jailbroken, and the displayed number can be changed. And the Reviver plates were definitely not bulletproof, exposing a physical programming port on the back of the plate. While it’s not explicitly stated, we’re guessing that’s a JTAG port, given that the issue is considered unpatchable, and the port allows overwriting the firmware. That sort of attack can be hardened against with signed firmware, and using an MCU that enforces it.

This does invite comparisons to the James Bond revolving license plate — and that comparison does put the issue into context. It’s always been possible to swap license plates. If someone really wants to cause mischief, traditional plates can be stolen, or even faked. What a digital plate adds to the equation is the ability to switch plate numbers on the fly, without stopping or turning a screwdriver. Regardless, this seems like it will be an ongoing problem, as so many manufacturers struggle to create secure hardware.

Malicious RDP

There’s a clever attack, that uses Microsoft’s Remote Desktop Protocol (RDP), to give away way too much control over a desktop. That’s accomplished by sending the target a .rdp file that shares local resources like the clipboard, filesystem, and more. What’s new is that it seems this theoretical attack has now shown up in the wild.

The attack campaign has been attributed to APT29, CozyBear, a threat actor believed to be associated with Russia’s Foreign Intelligence Service. This attribution tracks with the victims of choice, like government, research, and Ukrainian targets in particular. To escape detection, the malicious RDP endpoints are set up behind RDP proxies, running on services like AWS. The proxies and endpoints are accessed through TOR and other anonymous proxies. The .rdp files were spread via spear-phishing emails sent through compromised mail servers. The big push, with about 200 targets, was triggered on October 22nd. Researchers at TrendMicro believe this was the end of a targeted campaign. The idea being that at the end of the campaign, it no longer matters if the infrastructure and methods get discovered, so aim for maximum impact.

Free* Mcdonalds?

Here we learn that while McDonald’s USA dosn’t have a bug bounty program, McDonald’s India does — and that’s why researcher [Eaton Zveare] looked there. And found a series of Broken Object Level Authorization (BOLA) bugs. That’s a new term to this column, but a concept we’ve talked about before. BOLA vulnerabilities happen when a service validates a user’s authentication token, but doesn’t properly check that the user is authorized to access the specific resources requested.

In the McDonald’s case, any user of the web app is issued a guest JWT token, and that token is then valid to access any Order ID in the system. That allows some interesting fun, like leaving reviews on other users’ orders, accessing delivery maps, and getting copies of receipts. But things got really interesting when creating an account, and then ordering food. A hidden, incomplete password login page allowed breaking the normal user verification flow, and creating an account. Then after food is added to the cart, the cart can be updated to have a total price of a single rupee, about the value of a penny.

This research earned [Eaton] a $240 Amazon gift card, which seems a little stingy, but the intent behind the gesture is appreciated. The fixes landed just over 2 months after reported, and while [Eaton] notes that this is slower than some companies, it’s significantly faster than some of the less responsive vendors that we’ve seen.

Banning TP-Link

The US Government has recently begun discussing a plan to ban TP-Link device purchases in the United States. The reported reason is that TP-Link devices have shipped with security problems. One notable example is a botnet that Microsoft has been tracking, that primarily consists of TP-Link devices.

This explanation rings rather hollow, particularly given the consistent security failings from multiple vendors that we’ve covered on this very column over the years. Where it begins to make more sense is when considered in light of the Chinese policy that all new vulnerabilities must first be reported to the Chinese government, and only then can fixes be rolled out. It suggests that the US Commerce Department suspects that TP-Link is still following this policy, even though it’s technically now a US company.

I’m no stranger to hacking TP-Link devices. Many years ago I wrote a simple attack to put the HTTPD daemon on TP-Link routers into debug mode, by setting the wifi network name. Because the name was used to build a command run with bash, it was possible to do command injection, build a script in the device’s /tmp space, and then execute that script. Getting to debug mode allowed upgrading to OpenWRT on the device. And that just happens to be my advice for anyone still using TP-Link hardware: install OpenWRT on it.

Developers Beware

We have two separate instances of malware campaigns directly targeting developers. The first is malicious VSCode extensions being uploaded to the marketplace. These fakes are really compelling, too, with lots of installs, reviews, and links back to the real pages. These packages seem to be droppers for malware payloads, and seem to be targeting cryptocurrency users.

If malware in your VSCode extensions isn’t bad enough, OtterCookie is a campaign believed to come from North Korea, spreading via fake job interviews. The interview asks a candidate to run a Node.js project, or install an npm package as part of prep. Those are malicious packages, and data stealers are deployed upon launch. Stay frosty, even on the job hunt.

Bits and Bytes

PHP has evolved over the years, but there are still a few quirks that might trip you up. One of the dangerous ones is tied up in $_SERVER['argv'], a quick way to test if PHP is being run from the command line, or on a server. Except, that relies on register_argc_argv set to off, otherwise query strings are enough to fool a naive application into thinking it’s running on the command line. And that’s exactly the footgun that caught Craft CMS with CVE-2024-56145.

Australia may know something we don’t, setting 2030 as the target for retiring cryptography primitives that aren’t quantum resistant. That’s RSA, Elliptic-curve, and even SHA-256. It’s a bit impractical to think that those algorithms will be completely phased out by then, but it’s an interesting development to watch.

Fuzzing is a deep subject, and the discovery of 29 new vulnerabilities found in GStreamer is evidence that there’s still plenty to discover. This wasn’t coverage-guided fuzzing, where the fuzzer mutates the fuzzing input to maximize. Instead, this work uses a custom corpus generator, where the generator is aware of how valid MP4 files are structured.

hackaday.com/2024/12/27/this-w…

Un team di ricercatori del Korea Advanced Institute of Technology (KAIST), guidato dal professor Kwang-Hyun Cho, ha presentato un metodo in grado di trasformare le cellule tumorali in cellule sane. In futuro, lo sviluppo sostituirà i metodi esistenti di trattamento del cancro, che spesso hanno gravi effetti collaterali.

Gli scienziati hanno osservato a lungo il processo di oncogenesi: come le cellule sane degenerano gradualmente in cellule maligne. Durante lo studio è stato possibile stabilire: durante la trasformazione perdono le loro caratteristiche specializzate e ritornano allo stato primitivo. Così è nata un’idea: perché non invertire questo processo?

Per implementare l’idea, il team ha creato un modello digitale della rete genetica che controlla il normale sviluppo cellulare. Utilizzando la modellazione computerizzata, hanno ricostruito il percorso di maturazione cellulare e hanno trovato gli interruttori molecolari chiave che innescano il processo. Quando gli interruttori furono attivati ​​nel tumore del colon, il tessuto cominciò effettivamente a ritornare al suo stato sano originale.

La tecnica si basa sulla reinclusione dei geni responsabili della differenziazione cellulare. Nei tumori, questi geni sono solitamente inattivi o contengono mutazioni. Quando il loro lavoro viene ripristinato, i tessuti non solo ritornano alle normali funzioni, ma in alcuni casi possono anche trasformarsi in un altro tipo di cellule specializzate: avviene la transdifferenziazione. Ad esempio, le cellule del cancro al seno possono essere convertite in cellule epatiche sane.

Studi simili sono stati condotti in precedenza. Gli scienziati sono riusciti a ottenere risultati simili anche per diversi tipi di cancro: leucemia mieloide, tumori al seno e carcinoma epatocellulare del fegato. Tuttavia, mentre in precedenza la scienza si basava su scoperte casuali, il nuovo approccio è molto più sistematico. La tecnologia sviluppata consente di determinare con precisione i geni e le proteine ​​che controllano la trasformazione cellulare.

In futuro, il metodo potrebbe costituire la base di una terapia personalizzata che tenga conto delle caratteristiche genetiche di ciascun paziente. Il gruppo di ricerca sta ora lavorando per espandere l’uso della tecnologia per trattare altre forme di cancro.

L'articolo Cellule tumorali Riprogrammate: il futuro della medicina rigenerativa parte da qui proviene da il blog della sicurezza informatica.

When you think of languages you might read about on Hackaday, COBOL probably isn’t one of them. The language is often considered mostly for business applications and legacy ones, at that. The thing is, there are a lot of legacy business applications out there, so there is still plenty of COBOL. Not only is it used, but it is still improved, too. So [Meyfa] wanted to set the record straight and created a Minecraft server called CobolCraft.

The system runs on GnuCOBOL and has only been tested on Linux. There are a few limitations, but nothing too serious. The most amazing thing? Apparently, [Meyfa] had no prior COBOL experience before starting this project!

Even if you don’t care about COBOL or Minecraft, the overview of the program is interesting because it shows how many things require workarounds. According to the author:

Writing a Minecraft server was perhaps not the best idea for a first COBOL project, since COBOL is intended for business applications, not low-level data manipulation (bits and bytes) which the Minecraft protocol needs lots of. However, quitting before having a working prototype was not on the table! A lot of this functionality had to be implemented completely from scratch, but with some clever programming, data encoding and decoding is not just fully working, but also quite performant.

Got the urge for Cobol? We’ve been there. Or write Minecraft in… Minecraft.

hackaday.com/2024/12/27/minecr…

Statistics across all threats

In the third quarter of 2024, the percentage of ICS computers on which malicious objects were blocked decreased by 1.5 pp to 22% when compared to the previous quarter.

Percentage of ICS computers on which malicious objects were blocked, by quarter, 2022–2024

Compared to the third quarter of 2023, the percentage decreased by 1.7 pp.

The percentage of ICS computers on which malicious objects were blocked during the third quarter of 2024 was highest in July and September, and lowest in August. In fact, the percentage in August 2024 was the lowest of any month in the observation period.

Percentage of ICS computers on which malicious objects were blocked, Jan 2023–Sep 2024

Region rankings

Regionally^[1], the percentage of ICS computers that blocked malicious objects during the quarter ranged from 9.7% in Northern Europe to 31.5% in Africa.

Regions ranked by percentage of ICS computers where malicious objects were blocked, Q3 2024

Six regions: Africa, South Asia, South-East Asia, the Middle East, Latin America and East Asia, saw their percentages increase from the previous quarter.

Regions and the world. Changes in the percentage of attacked ICS computers in Q3 2024

Selected industries

The biometrics sector led the surveyed industries in terms of the percentage of ICS computers on which malicious objects were blocked.

Percentage of ICS computers on which malicious objects were blocked in selected industries

In the third quarter of 2024, the percentage of ICS computers on which malicious objects were blocked decreased across most industries, with the exception of the biometrics and manufacturing sectors.

Changes in the percentage of ICS computers on which malicious objects were blocked in selected industries

Diversity of detected malicious objects

In the third quarter of 2024, Kaspersky’s protection solutions blocked malware from 11,882 different malware families in various categories on industrial automation systems.

Percentage of ICS computers on which the activity of malicious objects in various categories was prevented

The most notable proportional growth during this period was in the percentage of ICS computers on which malicious scripts and phishing pages were blocked, representing an increase of 1.1 times.

Main threat sources

The internet, email clients and removable storage devices remain the primary sources of threats to computers in an organization’s technology infrastructure. Note that the source of the blocked threats cannot be reliably identified every time.

In the third quarter of 2024, the percentage of ICS computers on which threats from various sources were blocked decreased for all threat sources described in this report.

Percentage of ICS computers on which malicious objects from various sources were blocked

Moreover, the percentage of ICS computers on which threats from email clients, removable media and network folders were blocked in the third quarter was the lowest in the observation period.

Threat categories

Malicious objects used for initial infection

Malicious objects used for initial infection of ICS computers include denylisted dangerous internet resources, malicious scripts and phishing pages, and malicious documents.

In the third quarter of 2024, the percentage of ICS computers on which denylisted internet resources and malicious documents were blocked increased to 6.84% (by 0.21 pp) and 1.97% (by 0.01 pp), respectively. The rate of malicious scripts and phishing pages increased more significantly to 6.24% (by 0.55 pp), although in the previous quarter it reached its lowest level since the beginning of 2022.

Next-stage malware

Malicious objects used to initially infect computers deliver next-stage malware: spyware, ransomware, and miners, to victims’ computers. As a rule, the higher the percentage of ICS computers on which the initial infection malware is blocked, the higher the percentage for next-stage malware.

The percentage of ICS computers on which spyware (spy Trojans, backdoors and keyloggers) was blocked decreased by 0.17 pp to 3.91% when compared to the previous quarter.

The percentage of ICS computers on which ransomware was blocked continued to vary from quarter to quarter within 0.03 p.p. It decreased to 0.16% in the observation period.

The percentage of ICS computers on which miners in the form of executable files for Windows were blocked decreased by 0.18 pp to 0.71%.

The percentage of ICS computers on which web miners were blocked decreased by 0.09 pp to 0.41%.

Self-propagating malware

Self-propagating malware (worms and viruses) is a category unto itself. Worms and virus-infected files were originally used for initial infection, but as botnet functionality evolved, they took on next-stage characteristics.

To spread across ICS networks, viruses and worms rely on removable media, network folders, infected files including backups, and network attacks on outdated software.

In the third quarter of 2024, the percentage of ICS computers on which worms were blocked continued to decrease (by 0.18 pp), reaching 1,30%. This is the lowest point since the beginning of 2022. The rate of viruses decreased slightly to 1.53%.

AutoCAD malware

AutoCAD malware is typically a low-level threat, coming last in the malware category rankings in terms of the percentage of ICS computers on which it was blocked.

In the third quarter of 2024, the percentage of ICS computers on which AutoCAD malware was blocked showed a slight decrease to 0.40%.

You can find the full Q3 2024 report on the Kaspersky ICS CERT website.

^[1] The report takes into account statistics for the USA received before September 29, 2024.

securelist.com/ics-cert-q3-202…

Do you ever have clothes that you only wore for a few hours, so you don’t want to wash them, but it still seems icky to put them back in the drawer or closet? What if you had a dedicated place to put them instead of on your floor or piled on a chair in the corner? [Simone Giertz] has a tidier solution for you.

On top of the quasi-dirty clothing conundrum, [Giertz]’s small space means she wanted to come up with a functional, yet attractive way to wrangle these clothes. By combining the time-honored tradition of hanging clothes on the back of a chair and the space-saving efficiency of a Lazy Susan, she was able to create a chair with a rotating rack to tuck the clothes out of the way when not wearing them.

The circular rack attached to the chair orbits around a circular seat and arm rests allowing clothes to be deposited on the chair from the front and conveniently pushed to the back so they remain out of sight and out of mind until you need them. The hardware chosen seems to be pretty strong as well given the number of items placed on the rail during the demonstration portion of the video. We also really like how [Giertz] challenged herself to “CAD celibacy” for the duration of the build to try to build it quick.

If you want to see some other clever furniture hacks, how about repurposing the seats from an old subway, or hacking IKEA furniture to be more accessible?

youtube.com/embed/H175G8NH2Cg?…

hackaday.com/2024/12/27/uncann…

Il gruppo di hacker APT29 (Midnight Blizzard) ha lanciato una massiccia campagna utilizzando 193 server proxy per attacchi man-in-the-middle (MiTM) tramite Remote Desktop Protocol (RDP ). Lo scopo degli attacchi è rubare dati, account e installare malware.

Per eseguire attacchi MiTM, i Red Team utilizzano lo strumento PyRDP, che consente di scansionare i file system delle vittime, estrarre dati in background e avviare in remoto applicazioni dannose in un ambiente compromesso.

Trend Micro sta monitorando le attività di un gruppo chiamato “Earth Koshchei” e riferisce che gli attacchi sono mirati a organizzazioni governative e militari, missioni diplomatiche, società IT, fornitori di servizi cloud, società di telecomunicazioni e sicurezza informatica. La campagna si rivolge a organizzazioni negli Stati Uniti, Francia, Australia, Ucraina, Portogallo, Germania, Israele, Grecia, Turchia e Paesi Bassi.

Il metodo di attacco prevede di indurre gli utenti a connettersi a falsi server RDP creati dopo aver eseguito un file ricevuto tramite e-mail di phishing. Una volta stabilita una connessione, le risorse del sistema locale (dischi, reti, appunti, stampanti e dispositivi I/O) diventano disponibili agli aggressori.

Il rapporto Trend Micro rivela i dettagli dell’infrastruttura, che comprende 193 server proxy RDP che reindirizzano le connessioni a 34 server controllati dagli aggressori. Ciò consente agli hacker di dirottare le sessioni RDP utilizzando PyRDP. I criminali informatici possono registrare le credenziali in testo non crittografato o come hash NTLM, rubare dati dagli appunti e dai file system ed eseguire comandi tramite la console o PowerShell.

Gli esperti notano che la tecnica è stata descritta per la prima volta nel 2022 da Mike Felch, il che potrebbe aver ispirato APT29 a utilizzarla. Una volta stabilita la connessione, il server falso imita il comportamento di un server RDP legittimo, consentendo agli aggressori di inserire script dannosi, modificare le impostazioni di sistema e manipolare il file system della vittima.

Tra le configurazioni dannose ce n’è una che invia all’utente una falsa richiesta di connessione ad AWS Secure Storage Stability Test, creando l’impressione di un processo legittimo e fuorviando l’utente.
Richiesta di connessione falsa (Trend Micro)
Per mascherare gli attacchi, gli aggressori utilizzano servizi VPN commerciali che pagano in criptovaluta, nodi di uscita TOR e servizi proxy che utilizzano gli indirizzi IP di altri utenti. Tali misure rendono difficile risalire ai reali indirizzi IP dei server dannosi.

Gli esperti sottolineano che prevenire gli attacchi richiede maggiore attenzione alle e-mail di phishing inviate da indirizzi legittimi precedentemente compromessi. Si consiglia di utilizzare connessioni RDP solo con server attendibili ed evitare di eseguire applicazioni ricevute tramite posta elettronica.

L'articolo APT29 Svela la Nuova Arma: Attacchi MITM con RDP per Rubare Dati e Installare Malware proviene da il blog della sicurezza informatica.

I ricercatori di sicurezza informatica di Akamai hanno identificato una nuova rete botnet basata su Mirai che sta sfruttando attivamente una vulnerabilità legata all’esecuzione di codice in modalità remota nei DVR DigiEver DS-2105 Pro. La vulnerabilità è Zero-day, non le è stato ancora assegnato un CVE e non è stata rilasciata alcuna correzione. Questo fatto rende i dispositivi delle vittime un facile bersaglio per gli hacker.

L’attacco informatico è iniziato in ottobre e ha colpito diversi videoregistratori e router di rete TP-Link dotati di software obsoleto. Una delle vulnerabilità utilizzate nella campagna è stata presentata dal ricercatore TXOne Ta-Lun Yen alla conferenza DefCamp a Bucarest. Secondo lui, il problema riguarda molti dispositivi DVR.

Akamai ha rilevato uno sfruttamento attivo di questa vulnerabilità da metà novembre, anche se le prove indicano che gli attacchi sono iniziati già a settembre. Oltre a DigiEver, la botnet prende di mira le vulnerabilità CVE-2023-1389 nei dispositivi TP-Link e CVE-2018-17532 nei router Teltonika RUT9XX.

La vulnerabilità del dispositivo DigiEver sfrutta un bug nella gestione dell’URI ‘/cgi-bin/cgi_main.cgi’, che non convalida correttamente i dati dell’utente. Ciò consente agli aggressori non autenticati di iniettare in remoto comandi come curl e chmod tramite parametri di richiesta HTTP come il campo ntp.

Gli hacker utilizzano il command injection per scaricare un file dannoso da un server esterno, dopodiché il dispositivo viene connesso alla botnet. I payload vengono aggiunti in Cron per mantenere l’accesso. I dispositivi compromessi vengono utilizzati per sferrare attacchi DDoS o per diffondere ulteriormente la botnet.

La nuova versione di Mirai si distingue per l’utilizzo della crittografia XOR e ChaCha20, nonché per il supporto di più architetture, tra cui x86, ARM e MIPS. Secondo Akamai ciò indica un’evoluzione nel modo in cui operano gli operatori di botnet.

La maggior parte di queste reti utilizza ancora gli algoritmi di crittografia originali del codice sorgente di Mirai. Tuttavia, nuovi metodi come ChaCha20 indicano un aumento del livello di minaccia. Il rapporto Akamai fornisce inoltre indicatori di compromissione (IoC) e regole Yara che aiuteranno a rilevare e bloccare questa minaccia.

Le moderne botnet mostrano una crescente sofisticazione e adattabilità, trasformando ogni vulnerabilità in uno strumento per attacchi su larga scala. Una difesa digitale adeguatamente costruita richiede non solo aggiornamenti tempestivi, ma anche un’analisi proattiva delle minacce.

L'articolo Nuova botnet Mirai sfrutta vulnerabilità Zero-Day nei DVR DigiEver proviene da il blog della sicurezza informatica.

Gli hacktivisti filorussi di NoName057(16) non mollano la presa nemmeno nel giorno di Santo Stefano. Le loro attività ostili hanno colpito diversi siti istituzionali attraverso attacchi di Distributed Denial-of-Service (DDoS). Colpire in questo periodo dell’anno significa sfruttare il momento in cui le aziende sono meno presidiate sul fronte della sicurezza informatica.

NoName057(16) è un gruppo di hacker che si è dichiarato a marzo del 2022 a supporto della Federazione Russa. Hanno rivendicato la responsabilità di attacchi informatici a paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei. Questi attacchi vengono in genere eseguiti su agenzie governative, media e siti Web di società private come protesta verso il supporto all’Ucraina.

I siti rivendicati nella giornata del 26 Dicembre 2024 dagli hacktivisti filorussi sono:

• Ministero italiano delle Infrastrutture e dei Trasporti
• Ministero dello Sviluppo Economico
• Guardia di Finanza
• Forze Armate Italiane
• L’industria aerospaziale italiana di potenza
• Carabinieri
• Marina Militare

Di seguito quanto riportato all’interno del loro canale telegram:
Lunedì il governo italiano ha prorogato la fornitura di equipaggiamento militare a Kiev fino alla fine del 2025. Il primo ministro Giorgia Meloni ha dichiarato di essere pronta a sostenere l'Ucraina fino alla fine della guerra, nonostante i possibili cambiamenti nella posizione degli Stati Uniti dopo l'insediamento di Donald Trump.

Il capo della NATO Mark Rutte ha esortato gli alleati a intensificare il sostegno militare all'Ucraina per rafforzare la sua posizione in vista di potenziali colloqui di pace🤬

Mentre il governo russofobico italiano continua a sostenere il regime criminale di Zelensky, noi sosteniamo gli attacchi all'infrastruttura internet di quel Paese

❌Ministero italiano delle Infrastrutture e dei Trasporti (morto al ping)
check-host.net/check-report/21c2c12bk6c4

Ministero dello Sviluppo Economico
check-host.net/check-report/21c2c114k417

❌Guardia di Finanza d'Italia (chiuso per motivi geo)
check-host.net/check-report/21c2c15ck998

❌Forze Armate Italiane (morto su ping)
check-host.net/check-report/21c2ca8ekde

❌L'industria aerospaziale italiana di potenza
check-host.net/check-report/21c2c7bdkd43

❌Organizzazione dei Carabinieri d'Italia (morto al ping)
check-host.net/check-report/21c2ceafkc00

❌Marina Militare Italiana (morto su ping)
check-host.net/check-report/21c2ccfek9e6

#OpItaly

Che cos’è un attacco Distributed Denial of Service

Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico in cui vengono inviate una grande quantità di richieste a un server o a un sito web da molte macchine diverse contemporaneamente, al fine di sovraccaricare le risorse del server e renderlo inaccessibile ai suoi utenti legittimi.

Queste richieste possono essere inviate da un grande numero di dispositivi infetti da malware e controllati da un’organizzazione criminale, da una rete di computer compromessi chiamata botnet, o da altre fonti di traffico non legittime. L’obiettivo di un attacco DDoS è spesso quello di interrompere le attività online di un’organizzazione o di un’azienda, o di costringerla a pagare un riscatto per ripristinare l’accesso ai propri servizi online.

Gli attacchi DDoS possono causare danni significativi alle attività online di un’organizzazione, inclusi tempi di inattività prolungati, perdita di dati e danni reputazionali. Per proteggersi da questi attacchi, le organizzazioni possono adottare misure di sicurezza come la limitazione del traffico di rete proveniente da fonti sospette, l’utilizzo di servizi di protezione contro gli attacchi DDoS o la progettazione di sistemi resistenti agli attacchi DDoS.

Occorre precisare che gli attacchi di tipo DDoS, seppur provocano un disservizio temporaneo ai sistemi, non hanno impatti sulla Riservatezza e Integrità dei dati, ma solo sulla loro disponibilità. pertanto una volta concluso l’attacco DDoS, il sito riprende a funzionare esattamente come prima.

Che cos’è l’hacktivismo cibernetico

L’hacktivismo cibernetico è un movimento che si serve delle tecniche di hacking informatico per promuovere un messaggio politico o sociale. Gli hacktivisti usano le loro abilità informatiche per svolgere azioni online come l’accesso non autorizzato a siti web o a reti informatiche, la diffusione di informazioni riservate o il blocco dei servizi online di una determinata organizzazione.

L’obiettivo dell’hacktivismo cibernetico è di sensibilizzare l’opinione pubblica su questioni importanti come la libertà di espressione, la privacy, la libertà di accesso all’informazione o la lotta contro la censura online. Gli hacktivisti possono appartenere a gruppi organizzati o agire individualmente, ma in entrambi i casi utilizzano le loro competenze informatiche per creare un impatto sociale e politico.

È importante sottolineare che l’hacktivismo cibernetico non deve essere confuso con il cybercrime, ovvero la pratica di utilizzare le tecniche di hacking per scopi illeciti come il furto di dati personali o finanziari. Mentre il cybercrime è illegale, l’hacktivismo cibernetico può essere considerato legittimo se mira a portare all’attenzione pubblica questioni importanti e a favorire il dibattito democratico. Tuttavia, le azioni degli hacktivisti possono avere conseguenze legali e gli hacktivisti possono essere perseguiti per le loro azioni.

Chi sono gli hacktivisti di NoName057(16)

NoName057(16) è un gruppo di hacker che si è dichiarato a marzo del 2022 a supporto della Federazione Russa. Hanno rivendicato la responsabilità di attacchi informatici a paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei. Questi attacchi vengono in genere eseguiti su agenzie governative, media e siti Web di società private

Le informazioni sugli attacchi effettuati da NoName057(16) sono pubblicate nell’omonimo canale di messaggistica di Telegram. Secondo i media ucraini, il gruppo è anche coinvolto nell’invio di lettere di minaccia ai giornalisti ucraini. Gli hacker hanno guadagnato la loro popolarità durante una serie di massicci attacchi DDOS sui siti web lituani.

Le tecniche di attacco DDoS utilizzate dal gruppo sono miste, prediligendo la “Slow http attack”.

La tecnica del “Slow Http Attack”

L’attacco “Slow HTTP Attack” (l’articolo completo a questo link) è un tipo di attacco informatico che sfrutta una vulnerabilità dei server web. In questo tipo di attacco, l’attaccante invia molte richieste HTTP incomplete al server bersaglio, con lo scopo di tenere occupate le connessioni al server per un periodo prolungato e impedire l’accesso ai legittimi utenti del sito.

Nello specifico, l’attacco Slow HTTP sfrutta la modalità di funzionamento del protocollo HTTP, che prevede che una richiesta HTTP sia composta da tre parti: la richiesta, la risposta e il corpo del messaggio. L’attaccante invia molte richieste HTTP incomplete, in cui il corpo del messaggio viene inviato in modo molto lento o in modo incompleto, bloccando la connessione e impedendo al server di liberare le risorse necessarie per servire altre richieste.

Questo tipo di attacco è particolarmente difficile da rilevare e mitigare, poiché le richieste sembrano legittime, ma richiedono un tempo eccessivo per essere elaborate dal server. Gli attacchi Slow HTTP possono causare tempi di risposta molto lenti o tempi di inattività del server, rendendo impossibile l’accesso ai servizi online ospitati su quel sistema.

Per proteggersi da questi attacchi, le organizzazioni possono implementare soluzioni di sicurezza come l’uso di firewall applicativi (web application firewall o WAF), la limitazione delle connessioni al server e l’utilizzo di sistemi di rilevamento e mitigazione degli attacchi DDoS

L'articolo Santo Stefano con DDoS! Carabinieri, MISE, Marina colpiti dagli attacchi di NoName057(16) proviene da il blog della sicurezza informatica.