Roblox, una delle piattaforme di gioco online più popolari al mondo, ha recentemente informato tutti gli sviluppatori registrati su FNTech di una violazione dei dati che ha compromesso informazioni sensibili. Questo incidente ha sollevato preoccupazioni significative riguardo alla sicurezza dei dati e alla protezione delle informazioni personali degli utenti.

Dettagli della violazione

La violazione dei dati ha coinvolto informazioni personali importanti, tra cui i nomi completi, gli indirizzi email e gli indirizzi IP degli sviluppatori. Gli individui colpiti sono stati avvisati tramite email inviate all’indirizzo di registrazione FNTech, informandoli della compromissione delle loro informazioni personali.

Un fornitore di Roblox ha recentemente notificato all’azienda che si è verificato un accesso non autorizzato a un sottoinsieme delle informazioni degli utenti di Roblox, prelevate dall’elenco di registrazione della Roblox Developer Conference 2022-2024 tramite il suo sito web. Le categorie di informazioni personali che potrebbero essere state incluse tra i dati accessibili sono: nomi registrati, indirizzi email e indirizzi IP.

Impatto e portata

Secondo le informazioni fornite da Have I Been Pwned (HIBP), un servizio online che consente agli utenti di verificare se le loro informazioni personali sono state compromesse in violazioni di dati, la violazione ha interessato circa 10.000 indirizzi email unici, nomi e indirizzi IP. Questo numero significativo di dati compromessi evidenzia la gravità dell’incidente e la necessità di misure di sicurezza più rigorose.

Risposta di Roblox

Roblox ha immediatamente preso provvedimenti per affrontare la situazione, collaborando con FNTech per garantire che gli sviluppatori colpiti ricevano tutte le informazioni necessarie per proteggere i loro dati personali. L’azienda ha inoltre avviato un’indagine approfondita per determinare le cause della violazione e prevenire futuri incidenti simili.

In un comunicato ufficiale, Roblox ha dichiarato: “La sicurezza e la privacy dei nostri utenti sono di fondamentale importanza per noi. Stiamo lavorando instancabilmente per rafforzare le nostre misure di sicurezza e garantire che situazioni del genere non si ripetano.”

Misure di protezione consigliate

Gli esperti di sicurezza informatica consigliano agli sviluppatori colpiti di adottare misure immediate per proteggere i loro dati personali. Tra queste misure, si raccomanda di:

1. Cambiare le password: Utilizzare password uniche e complesse per ogni account e considerare l’uso di un gestore di password.
2. Abilitare l’autenticazione a due fattori (2FA): Questa misura aggiuntiva di sicurezza può impedire l’accesso non autorizzato agli account.
3. Monitorare l’attività dell’account: Tenere sotto controllo qualsiasi attività sospetta sui propri account online e segnalare immediatamente eventuali anomalie.

Conclusioni

La recente violazione dei dati degli sviluppatori di Roblox mette in luce l’importanza di una sicurezza informatica robusta, sia per le aziende che per gli individui. Mentre Roblox sta adottando misure per rafforzare la protezione dei dati, è fondamentale che gli utenti rimangano vigili e proattivi nella salvaguardia delle proprie informazioni personali. Solo attraverso una collaborazione costante e l’adozione di pratiche di sicurezza rigorose, possiamo sperare di minimizzare i rischi associati alle violazioni dei dati.

L'articolo Violazione dei Dati degli Sviluppatori di Roblox Migliaia di Informazioni Sensibili Esposte! proviene da il blog della sicurezza informatica.

Una vulnerabilità di sicurezza critica, identificata come CVE-2024-6376, è stata scoperta in MongoDB Compass, un’interfaccia grafica ampiamente utilizzata per la gestione dei dati di MongoDB. Questa falla di sicurezza potrebbe avere gravi ripercussioni, tra cui la perdita di dati e l’accesso non autorizzato ai sistemi.

Dettagli della Vulnerabilità

La vulnerabilità riguarda le versioni di MongoDB Compass precedenti alla 1.42.2. Secondo il National Vulnerability Database (NVD), la falla ha ricevuto un punteggio di 9.8 su 10 nel sistema di valutazione CVSS (Common Vulnerability Scoring System), indicando un rischio estremamente elevato. Questo punteggio sottolinea la gravità del problema e la necessità di un’azione immediata per mitigare i potenziali danni.

Implicazioni della Vulnerabilità

L’exploit della vulnerabilità CVE-2024-6376 potrebbe consentire a malintenzionati di eseguire codice arbitrario nei sistemi vulnerabili. Questo tipo di attacco, noto come code injection, può compromettere l’integrità, la riservatezza e la disponibilità dei dati gestiti da MongoDB Compass. Gli attaccanti potrebbero sfruttare questa falla per manipolare i dati, esfiltrare informazioni sensibili o prendere il controllo completo dei sistemi colpiti.

Risoluzione e Raccomandazioni

MongoDB, Inc. ha prontamente risposto alla scoperta della vulnerabilità rilasciando la versione 1.42.2 di MongoDB Compass, che include le correzioni necessarie per risolvere il problema. Gli utenti sono fortemente incoraggiati ad aggiornare immediatamente all’ultima versione per proteggere i propri sistemi da potenziali attacchi.

Conclusione

La vulnerabilità CVE-2024-6376 in MongoDB Compass rappresenta un rischio significativo per gli utenti di questa popolare interfaccia di gestione dati. Con un punteggio CVSS di 9.8, la falla evidenzia l’importanza di mantenere aggiornati i software critici e di seguire le migliori pratiche di sicurezza informatica. MongoDB, Inc. ha dimostrato un impegno proattivo nel risolvere rapidamente il problema, ma spetta agli utenti adottare le misure necessarie per proteggere i propri sistemi.

Per ulteriori dettagli sulla vulnerabilità, è possibile consultare il sito del National Vulnerability Database (NVD) al seguente link: NIST – CVE-2024-6376.

Rimanere vigili e aggiornati sulle ultime minacce di sicurezza è essenziale per proteggere le infrastrutture digitali nel panorama tecnologico odierno in continua evoluzione.

L'articolo Vulnerabilità Critica in MongoDB Compass: Sistemi a Rischi di Code Injection proviene da il blog della sicurezza informatica.

In May 2024, we discovered a new advanced persistent threat (APT) targeting Russian government entities that we dubbed CloudSorcerer. It’s a sophisticated cyberespionage tool used for stealth monitoring, data collection, and exfiltration via Microsoft Graph, Yandex Cloud, and Dropbox cloud infrastructure. The malware leverages cloud resources as its command and control (C2) servers, accessing them through APIs using authentication tokens. Additionally, CloudSorcerer uses GitHub as its initial C2 server.

CloudSorcerer’s modus operandi is reminiscent of the CloudWizard APT that we reported on in 2023. However, the malware code is completely different. We presume that CloudSorcerer is a new actor that has adopted a similar method of interacting with public cloud services.

Our findings in a nutshell:

• CloudSorcerer APT uses public cloud services as its main C2s
• The malware interacts with the C2 using special commands and decodes them using a hardcoded charcode table.
• The actor uses Microsoft COM object interfaces to perform malicious operations.
• CloudSorcerer acts as separate modules (communication module, data collection module) depending on which process it’s running, but executes from a single executable.

Technical details

Initial start up

The malware is executed manually by the attacker on an already infected machine. It is initially a single Portable Executable (PE) binary written in C. Its functionality varies depending on the process in which it is executed. Upon execution, the malware calls the GetModuleFileNameA function to determine the name of the process it is running in. It then compares this process name with a set of hardcoded strings: browser, mspaint.exe, and msiexec.exe. Depending on the detected process name, the malware activates different functions:

• If the process name is mspaint.exe, CloudSorcerer functions as a backdoor module, and performs activities such as data collection and code execution.
• If the process name is msiexec.exe, the CloudSorcerer malware initiates its C2 communication module.
• Lastly, if the process name contains the string “browser” or does not match any of the specified names, the malware attempts to inject shellcode into either the msiexec.exe, mspaint.exe, or explorer.exe processes before terminating the initial process.

The shellcode used by CloudSorcerer for initial process migration shows fairly standard functionality:

• Parse Process Environment Block (PEB) to identify offsets to required Windows core DLLs;
• Identify required Windows APIs by hashes using ROR14 algorithm;
• Map CloudSorcerer code into the memory of one of the targeted processes and run it in a separate thread.

All data exchange between modules is organized through Windows pipes, a mechanism for inter-process communication (IPC) that allows data to be transferred between processes.

CloudSorcerer backdoor module

The backdoor module begins by collecting various system information about the victim machine, running in a separate thread. The malware collects:

• Computer name;
• User name;
• Windows subversion information;
• System uptime.

All the collected data is stored in a specially created structure. Once the information gathering is complete, the data is written to the named pipe \\.\PIPE\[1428] connected to the C2 module process. It is important to note that all data exchange is organized using well-defined structures with different purposes, such as backdoor command structures and information gathering structures.

Next, the malware attempts to read data from the pipe \\.\PIPE\[1428]. If successful, it parses the incoming data into the COMMAND structure and reads a single byte from it, which represents a COMMAND_ID.

Main backdoor functionality

Depending on the COMMAND_ID, the malware executes one of the following actions:

• 0x1 – Collect information about hard drives in the system, including logical drive names, capacity, and free space.
• 0x2 – Collect information about files and folders, such as name, size, and type.
• 0x3 – Execute shell commands using the ShellExecuteExW API.
• 0x4 – Copy, move, rename, or delete files.
• 0x5 – Read data from any file.
• 0x6 – Create and write data to any file.
• 0x8 – Receive a shellcode from the pipe and inject it into any process by allocating memory and creating a new thread in a remote process.
• 0x9 – Receive a PE file, create a section and map it into the remote process.
• 0x7 – Run additional advanced functionality.

When the malware receives a 0x7 COMMAND_ID, it runs one of the additional tasks described below:

All the collected information or results of performed tasks are added to a specially created structure and sent to the C2 module process via a named pipe.

C2 module

The C2 module starts by creating a new Windows pipe named \\.\PIPE\[1428]. Next, it configures the connection to the initial C2 server by providing the necessary arguments to a sequence of Windows API functions responsible for internet connections:

• InternetCrackUrlA;
• InternetSetOptionA;
• InternetOpenA;
• InternetConnectA;
• HttpOpenRequestA;
• HttpSendRequestA

The malware sets the request type (“GET”), configures proxy information, sets up hardcoded headers, and provides the C2 URL.

Setting up internet connection

The malware then connects to the initial C2 server, which is a GitHub page located at https://github[.]com/alinaegorovaMygit. The malware reads the entire web page into a memory buffer using the InternetReadFile call.

The GitHub repository contains forks of three public projects that have not been modified or updated. Their purpose is merely to make the GitHub page appear legitimate and active. However, the author section of the GitHub page displays an interesting string:

Hex string in the author section

We found data that looks like a hex string that starts and ends with the same byte pattern – “CDOY”. After the malware downloads the entire GitHub HTML page, it begins parsing it, searching specifically for the character sequence “CDOY”. When it finds it, it copies all the characters up to the second delimiter “CDOY” and then stores them in a memory buffer. Next, the malware parses these characters, converting them from string values to hex values. It then decodes the string using a hardcoded charcode substitution table – each byte from the parsed string acts as an index in the charcode table, pointing to a substitutable byte, thus forming a new hex byte array.

Decoding algorithm

Charcode table

Alternatively, instead of connecting to GitHub, CloudSorcerer also tries to get the same data from hxxps://my.mail[.]ru/, which is a Russian cloud-based photo hosting server. The name of the photo album contains the same hex string.

The first decoded byte of the hex string is a magic number that tells the malware which cloud service to use. For example, if the byte is “1”, the malware uses Microsoft Graph cloud; if it is “0”, the malware uses Yandex cloud. The subsequent bytes form a string of a bearer token that is used for authentication with the cloud’s API.

Depending on the magic number, the malware creates a structure and sets an offset to a virtual function table that contains a subset of functions to interact with the selected cloud service.

Different virtual tables for Yandex and Microsoft

Next, the malware connects to the cloud API by:

• Setting up the initial connection using InternetOpenA and InternetConnectA;
• Setting up all the required headers and the authorization token received from the GitHub page;
• Configuring the API paths in the request;
• Sending the request using HttpSendRequestExA and checking for response errors;
• Reading data from the cloud using InternetReadFile.

The malware then creates two separate threads – one responsible for receiving data from the Windows pipe and another responsible for sending data to it. These threads facilitate asynchronous data exchange between the C2 and backdoor modules.

Finally, the C2 module interacts with the cloud services by reading data, receiving encoded commands, decoding them using the character code table, and sending them via the named pipe to the backdoor module. Conversely, it receives the command execution results or exfiltrated data from the backdoor module and writes them to the cloud.

Infrastructure

GitHub page

The GitHub page was created on May 7, 2024, and two repositories were forked into it on the same day. On May 13, 2024, another repository was forked, and no further interactions with GitHub occurred. The forked repositories were left untouched. The name of the C2 repository, “Alina Egorova,” is a common Russian female name; however, the photo on the GitHub page is of a male and was copied from a public photo bank.

Mail.ru photo hosting

This page contains the same encoded string as the GitHub page. There is no information about when the album was created and published. The photo of the owner is the same as the picture from the photo bank.

Cloud infrastructure

Attribution

The use of cloud services is not new, and we reported an example of this in our overview of the CloudWizard APT (a campaign in the Ukrainian conflict with ties to Operation Groundbait and CommonMagic). However, the likelihood of attributing CloudSorcerer to the same actor is low, as the code and overall functionality of the malware are different. We therefore assume at this point that CloudSorcerer is a new actor that has adopted the technique of interacting with public cloud services.

Victims

Government organizations in the Russian Federation.

Conclusions

The CloudSorcerer malware represents a sophisticated toolset targeting Russian government entities. Its use of cloud services such as Microsoft Graph, Yandex Cloud, and Dropbox for C2 infrastructure, along with GitHub for initial C2 communications, demonstrates a well-planned approach to cyberespionage. The malware’s ability to dynamically adapt its behavior based on the process it is running in, coupled with its use of complex inter-process communication through Windows pipes, further highlights its sophistication.

While there are similarities in modus operandi to the previously reported CloudWizard APT, the significant differences in code and functionality suggest that CloudSorcerer is likely a new actor, possibly inspired by previous techniques but developing its own unique tools.

Indicators of Compromise

File Hashes (malicious documents, Trojans, emails, decoys)

Domains and IPs

Yara Rules

rule apt_cloudsorcerer {
meta:
description = "Detects CloudSorcerer"
author = "Kaspersky"
copyright = "Kaspersky"
distribution = "DISTRIBUTION IS FORBIDDEN. DO NOT UPLOAD TO ANY MULTISCANNER OR SHARE ON ANY THREAT INTEL PLATFORM"
version = "1.0"
last_modified = "2024-06-06"
hash = "F701fc79578a12513c369d4e36c57224"

strings:
$str1 = "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"
$str2 = "c:\\windows\\system32\\mspaint.exe"
$str3 = "C:\\Windows\\system32\\msiexec.exe"
$str4 = "\\\\.\\PIPE\\"

condition:
uint16(0) == 0x5A4D and
all of ($str*)
}

MITRE ATT&CK Mapping

securelist.com/cloudsorcerer-n…

@Notizie dall'Italia e dal mondo

A Rio de Janeiro si è recentemente svolto il corso “I Caschi Blu della Cultura. Il Patrimonio Culturale in caso di catastrofe: rischi e interventi di sicurezza””. La giornata conclusiva si è tenuta il 2 luglio al Paço Imperial (Palazzo Imperial).

I "caschi blu della cultura" sono una idea italiana, sviluppatasi sin dal 2016 nell’ambito della campagna #Unite4Heritage. Il governo italiano e l’Unesco siglarono un memorandum d’intesa per la creazione di una task force di sessanta unità, composta da carabinieri, storici dell’arte, studiosi e restauratori, pronti a intervenire per salvaguardare il patrimonio culturale in zone di crisi. Con Decreto firmato il 31 marzo 2022 dal Ministro della Cultura pro–tempore Franceschini fu perfezionata la Task Force, formalmente denominata “Caschi Blu della Cultura”, unità operativa concepita per intervenire in aree colpite da emergenze, quali calamità o crisi prodotte dall’uomo, in una cornice di sicurezza, al fine di: – salvaguardare i siti archeologici, i luoghi della cultura ed i beni culturali; – contrastare il traffico internazionale di beni culturali illecitamente sottratti; – supportare l’Autorità dei Paesi esteri richiedenti, nella predisposizione di misure atte a limitare i rischi che situazioni di crisi o emergenziali potrebbero arrecare al patrimonio culturale di quella Nazione. L' #Armadeicarabinieri – con personale tratto dal Comando Tutela Patrimonio Culturale (#TPC) assegnato al Ministero della Cultura – hanno la gestione operativa–logistica delle missioni.

Tornando al corso in Brasile, questo è stato realizzato dall’Organizzazione Internazionale Italo-Latino Americana (#IILA), con il finanziamento della Direzione Generale per la Cooperazione allo Sviluppo del Ministero degli Affari Esteri e della Cooperazione Internazionale (#MAECI), in collaborazione con il Ministero della Cultura italiano (#MIC), il Comando Carabinieri Tutela Patrimonio Culturale e, da parte brasiliana, con il Ministério das Relações Exteriores, Ministerio da Cultura, Centro Lucio Costa, IPHAN – Instituto do Patrimônio Histórico e Artístico Nacional, SBM – Sistema Brasiliero de Museus, IBRAM – Instituto Brasileiro de Museus, Instituto Guimarães Rosa, #PoliciaFederal e #INTERPOL Brasil. Hanno partecipato 55 funzionari pubblici latinoamericani, provenienti da forze di polizia, forze armate, protezione civile e vigile del fuoco, Ministero della Cultura oltre a restauratori e conservatori di beni culturali, per formare di una task force italo-latinoamericana per la protezione del patrimonio culturale

Tra gli altri intervenuti alla giornata finale il Generale D. Francesco Gargaro, Comandante Carabinieri Tutela Patrimonio Culturale; Paolo Iannelli, Rappresentante del MIC – Caschi Blu della Cultura; Marcos Moreira Nizio, Capo del Settore Protezione del Patrimonio storico e culturale della Polizia Federale brasiliana.

Il Generale Gargaro (foto sopra) ha dichiarato nella circostanza:“Il corso che oggi si conclude è stato concepito per dotarvi degli strumenti necessari per affrontare queste sfide. Attraverso questo confronto tra diverse esperienze si sono volute trasmettere competenze tecniche e operative che permetteranno di intervenire sempre più efficacemente in situazioni di emergenza. Avete imparato l’importanza dell’identificazione e catalogazione dei beni culturali anche in situazioni emergenziali, della collaborare con le comunità locali e con le diverse istituzioni in contesti complessi. In un’epoca in cui i conflitti, crisi e catastrofi naturali minacciano di cancellare la memoria storica e culturale dei popoli, l’importanza del nostro lavoro non può essere sottovalutata. La distruzione di beni culturali non è solo una perdita per le comunità direttamente coinvolte, ma per tutta l’umanità.
È la cancellazione della nostra storia condivisa, delle nostre identità e dei valori che ci uniscono come esseri umani”.

La missione addestrativa, tenuta dal 24 giugno al 2 luglio 2024 da esperti italiani del Ministero della Cultura e del Comando Carabinieri Tutela del Patrimonio Culturale, ha voluto trasmettere ai paesi partecipanti quali Brasile, Cile, Colombia e Paraguay il modello italiano di tutela del patrimonio culturale attraverso sessioni teoriche ed esercitazioni pratiche, tra cui la simulazione di una inondazione e un focus rivolto alla sicurezza di beni archivistici e librari in ragione delle esigenze di tutela del territorio ospitante.

Durante la consegna dei diplomi, la Segretaria Generale dell'Organizzazione internazionale italo-latino americana Cavallari, nel ringraziare tutte le istituzioni partners che hanno reso possibile il successo del corso, ha sottolineato che l’obiettivo principale dell’IILA è proprio quello di stimolare la reciproca conoscenza e integrazione fra i paesi membri. Il programma addestrativo di quest’anno, come quello realizzato nel giugno 2023 a Città del Messico con la partecipazione di esperti di Bolivia, Costa Rica, Ecuador, Guatemala, Messico, Perù e Repubblica Dominicana, ha conseguito l’obiettivo di promuovere la condivisione di esperienze e buone pratiche per la possibile creazione di Caschi Blu della Cultura in Brasile, Colombia, Cile e Paraguay.

Importante infine sottolineare come la partecipazione dei carabinieri esalta il loro ruolo nella difesa a livello internazionale del patrimonio culturale italiano e mondiale: ruolo che l’Arma svolge nella protezione dei beni culturali da più di cinque decenni .

With both of the dominant display technologies today – LCD and OLED – being far from perfect, there is still plenty of room in the market for the Next Big Thing. One of the technologies being worked on is called PeLED, for Perovskite LED. As a semiconductor material, it can both be induced to emit photons as well as respond rather strongly to incoming photons. That is a trick that today’s displays haven’t managed without integrating additional sensors. This technology could be used to create e.g. touch screens without additional hardware, as recently demonstrated by [Chunxiong Bao] and colleagues at Linköping University in Sweden and Nanjing University in China.

Their paper in Nature Electronics describes the construction of photo-responsive metal halide perovskite pixels, covering the typical red (CsPbI3−xBrx), green (FAPbBr3), and blue (CsPbBr3−xClx) wavelengths. The article also describes the display’s photo-sensing ability to determine where a finger is placed on the display. In addition, it can work as an ambient light sensor, a scanner, and a solar cell to charge a capacitor. In related research by [Yun Gao] et al. in Nature Electronics, PeLEDs are demonstrated with 1 microsecond response time.

As usual with perovskites, their lack of stability remains their primary obstacle. In the article by [Chunxiong Bao] et al. the manufactured device with red pixels was reduced to 80% of initial brightness after 18.5 hours. While protecting the perovskites from oxygen, moisture, etc. helps, this inherent instability may prevent PeLEDs from ever becoming commercialized in display technology. Sounds like a great challenge for the next Hackaday Prize!

[Thomas Scherrer] likes to tear down old test equipment, and often, we remember the devices he opens up or — at least — we’ve heard of them. However, this time, he’s got a Hung Chang HC-F100 multifunction counter, which is a vintage 1986 instrument that can reach 100 MHz.

Inside, the product is clearly a child of its time period. There’s a transformer for the linear supply, through-hole components, and an Intersil frequency counter on a chip. Everything is easy to get to and large enough to see.

Powering it up, the display lit up readily. The counter seemed to work with no difficulties, which was a bit of a surprise.

The oscillator inside has a temperature regulator so that once warmed up, it should be more or less stable. Touching it disturbs it, but you really shouldn’t be making real measurements with the top off while you are poking around on the inside.

This would pair well with a period function generator. Compare it to a modern version.

youtube.com/embed/Zwmjk0Cpsig?…

@Notizie dall'Italia e dal mondo

Anche la #PoliziadiStato italiana (a mezzo del Servizio Polizia Postale e per la Sicurezza Cibernetica) ha partecipato al Referral Action Day di #Europol mirato ad identificare e combattere i contenuti antisemiti online (a sua volta mediante l'Unità europea per le segnalazioni su Internet denominata EU IRU - Internet Referral Unit - che rileva e indaga sui contenuti dannosi presenti su Internet e nei social media).

Si è trattato di una operazione coordinata, guidata dalle autorità di Svizzera e Regno Unito, svoltasi il 27 giugno scorso, che ha coinvolto le forze dell'ordine di 18 paesi (leggi nora a conclusione), che hanno lavorato in tandem come cennato all'Unità EU IRU di Europol e i principali fornitori di servizi online.

Il Referral Action Day ha preso di mira un'ampia gamma di contenuti antisemiti, tra cui incitamento all'odio, negazione dell'Olocausto e glorificazione della violenza contro la comunità ebraica. L'obiettivo principale era rimuovere i contenuti illegali e garantire che le piattaforme online aderissero alle normative europee in materia di incitamento all'odio e discriminazione.

In totale, sono stati identificati e segnalati circa 2.000 contenuti antisemiti ai fornitori di servizi online per la rimozione.

Il focus del Referral Action Day nasce dall'aumento di un antisemitismo diffuso, giustificato e coltivato nelle sfere jihadiste e nei gruppi estremisti di destra e di sinistra online. Questo contenuto antisemita viene diffuso anche da individui non affiliati su varie piattaforme online. A quanto è risultato la ondata di discorsi d'odio è stata innescata dall'attacco del 7 ottobre dell'organizzazione terroristica Hamas contro Israele e dalla successiva risposta militare israeliana.

Le National Internet Referral Unit e le unità di polizia specializzate dei seguenti paesi hanno preso parte a questo Referral Action Day: Albania, Austria, Bosnia-Erzegovina, Danimarca, Francia, Germania, Ungheria, Irlanda,Italia, Lituania, Malta, Portogallo, Romania, Spagna, Svezia, Svizzera, Ucraina e Regno Unito.
#EUIRU

Un sistema di commercio illegale di pesticidi e fertilizzanti contraffatti e vietati, potenzialmente pericolosi per la salute dei consumatori, è stato fermato dalle autorità rumene e italiane.
#Eurojust ed #Europol hanno favorito la costituzione e supportato la squadra investigativa comune formata da Forze di Poliza dei due Stati (#JIT). Nel corso di una serie di azioni in entrambi i paesi sono state raccolte prove di frode su larga scala, falsificazione ed evasione fiscale e un sospettato è stato arrestato.
Il commercio di tutte le sostanze è stato vietato nell'Unione europea (#UE) perché potrebbero essere pericolose per gli utilizzatori e i consumatori in quanto contengono dosi elevate di sostanze attive.
I sospettati importavano illegalmente i prodotti dalla Cina e da Singapore, ma li vendevano come fertilizzanti e pesticidi bio o organici, utilizzando etichette false. I sospettati vendevano anche prodotti contraffatti fingendo che fossero prodotti biologici legittimi.
Tra febbraio e maggio 2023, le autorità doganali rumene hanno individuato tre spedizioni sospette provenienti da paesi terzi. Successivi controlli da parte delle autorità fitosanitarie hanno confermato che si trattava di prodotti contraffatti o vietati, utilizzando etichette falsificate. Ulteriori indagini e perquisizioni in #Romania hanno dimostrato che dietro le attività illegali c'era un gruppo criminale organizzato, composto da cittadini rumeni e italiani che hanno rilevato aziende esistenti in Romania o registrato nuove società commerciali per la vendita dei prodotti in Italia. A questo scopo sono stati utilizzati moduli di dichiarazione falsificati.
L'Autorità giudiziaria italiana ha raccolto numerose prove sulla destinazione al mercato interno delle merci illegalmente introdotte in Romania e ha individuato gli indagati che avevano favorito il traffico illecito di prodotti agricoli provenienti dall'Italia.
Su richiesta delle autorità coinvolte, all’inizio di quest’anno Eurojust ha contribuito alla creazione e al finanziamento di una squadra #SIC .
Durante le attività operative, Europol ha inviato un esperto sul campo per effettuare un controllo incrociato delle informazioni operative in tempo reale e fornire agli esperti eventuali orientamenti e supporto tecnico. Questo sostegno ha portato a una serie di azioni coordinate in Romania e Italia, durante le quali sono state perquisite dieci località tra Arad, Bucarest, Verona e Napoli, raccogliendo ulteriori prove dei crimini.
Nel corso delle attività, l'Autorità Giudiziaria rumena ha arrestato anche uno degli indagati.
Le operazioni sono state effettuate da:
- Romania: Direzione per le indagini sulla criminalità organizzata e sul terrorismo, Ufficio territoriale di Costanza; Direzione delle operazioni speciali (DOS); Brigata per la lotta alla criminalità organizzata – Servizio dei porti marittimi per la lotta alla criminalità organizzata; Uffici doganali di frontiera Constanta e Constanta Sud
- Italia: Procura della Repubblica di Verona; #NAS #ArmadeiCarabinieri Padova; #Guardiadifinanza Verona