Un attore malevolo sta presumibilmente vendendo l’accesso a un sistema RDWeb nel Regno Unito, appartenente a una società di contabilità. Questa violazione rappresenta una grave minaccia alla sicurezza dei dati sensibili di oltre 600 clienti, contenendo file di dichiarazioni fiscali e altri documenti riservati.

Dettagli dell’Offerta

L’annuncio pubblicato in un forum online descrive in dettaglio l’accesso al sistema compromesso:

• Sistema: RDWeb
• Localizzazione: Regno Unito
• Settore: Contabilità
• Diritti Utente: Completi
• Rete Locale: Presente
• Computers di Dominio: 57
• Dati Totali: 1TB

L’inserzionista afferma che i file contengono oltre 600 clienti con documenti di dichiarazione fiscale e altri documenti correlati. È specificato che ci sono molti altri file non ancora verificati, suggerendo la possibile presenza di ulteriori dati sensibili.

Prezzo dell’Accesso

L’accesso al sistema RDWeb è messo in vendita con i seguenti termini finanziari:

• Prezzo di Partenza: $9,000
• Incremento: $500
• Prezzo Blitz: $10,000

Veridicità della Violazione

Al momento, non possiamo confermare con precisione la veridicità della violazione. L’organizzazione interessata non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo dovrebbe essere considerato come una ‘fonte di intelligence’ e non come una conferma definitiva dell’avvenuto incidente.

Implicazioni e Raccomandazioni

Se confermata, questa violazione potrebbe avere gravi conseguenze per la privacy e la sicurezza dei dati dei clienti coinvolti. Gli attori malevoli potrebbero utilizzare queste informazioni per una serie di attività fraudolente, tra cui il furto di identità e frodi finanziarie.

Le aziende, specialmente quelle che trattano dati sensibili come le dichiarazioni fiscali, devono implementare misure di sicurezza robuste per proteggere i loro sistemi. Questo include l’uso di firewall avanzati, software antivirus aggiornati, crittografia dei dati e formazione continua del personale sulle migliori pratiche di sicurezza informatica.

Conclusione

Questa potenziale vendita di accesso a un sistema RDWeb di una società di contabilità nel Regno Unito sottolinea l’importanza critica della sicurezza informatica. Le organizzazioni devono rimanere vigili e proattive nella protezione dei dati dei clienti per prevenire simili incidenti e salvaguardare la loro reputazione e fiducia del cliente.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

L'articolo Vendesi Accesso a Sistema Contabile UK: 600 Clienti e 1TB di Dati a Rischio proviene da il blog della sicurezza informatica.

Il gruppo Kimsuky, noto per le sue operazioni di cyber spionaggio, ha sviluppato un nuovo malware chiamato “HappyDoor”. Questo backdoor, progettato per infiltrarsi e rubare dati dai sistemi compromessi, è stato analizzato dettagliatamente dall’AhnLab Security Emergency Response Center (ASEC). Di seguito, una descrizione approfondita delle caratteristiche tecniche e del funzionamento di HappyDoor, oltre a un profilo del gruppo Kimsuky.

Chi è il Gruppo Kimsuky

Kimsuky, anche noto come Thallium, Velvet Chollima e Black Banshee, è un gruppo di cyber spionaggio con presunti legami con la Corea del Nord. Attivo dal 2012, il gruppo è noto per prendere di mira principalmente enti governativi, organizzazioni politiche, istituzioni accademiche, e think tank, soprattutto in Corea del Sud e Stati Uniti. L’obiettivo principale di Kimsuky è raccogliere informazioni strategiche e politiche sensibili.

Topologia e Metodi Operativi

• Tecniche di Social Engineering: Kimsuky utilizza spesso email di phishing personalizzate per ingannare i destinatari e indurli a fornire credenziali o a installare malware.
• Malware e Backdoor: Il gruppo sviluppa e utilizza una varietà di malware, inclusi keylogger, trojan di accesso remoto (RAT) e backdoor come HappyDoor.
• Infrastrutture C&C: Kimsuky gestisce una rete di server di comando e controllo (C&C) per coordinare le attività di spionaggio e raccogliere dati esfiltrati.
• Obiettivi Geopolitici: Gli attacchi del gruppo sono spesso mirati a raccogliere informazioni utili alla strategia politica e militare della Corea del Nord.

Caratteristiche Tecniche del Malware

1. Registry Data

HappyDoor utilizza il registro di Windows per configurare dati essenziali per le sue operazioni. I principali percorsi del registro utilizzati sono:

• Notepad:
  
  • Percorso: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Notepad
  • Valore: IfChar
  • Descrizione: Contiene chiavi RSA (pubbliche e private), interruttori ON/OFF per la funzione di furto di informazioni e backdoor, e indirizzi delle funzioni di furto di informazioni.
  • Dimensione dei Dati: Varia tra 0x17E0 e 0x17D8 a seconda della versione.

  
  La struttura dei dati include:
  

  • Backdoor Packet Encryption ON/OFF: Un valore che decide se i comandi backdoor ricevuti devono essere cifrati. Di default è impostato su ON e utilizza una chiave RSA privata o una chiave RC4 per la decifratura.
  • interval_cmd, interval_ssht, ssht_width, ssht_height: Intervalli di raccolta delle informazioni e risoluzione degli screenshot.

  
  

• FTP:
  
  • Percorso: HKEY_CURRENT_USER\Software\Microsoft\FTP
  • Valore: Use Https
  • Descrizione: Include dati per l’autenticazione dei pacchetti e l’indirizzo del server C&C.
  • Dimensione dei Dati: Varia in base al numero di server C&C configurati.

  
  La struttura dei dati include:
  

  • USER ID: Un valore di 8 byte utilizzato per l’autenticazione dei pacchetti.
  • C2 (C&C) Address: L’indirizzo del server di comando e controllo utilizzato per il furto di informazioni e backdoor.

  
  

2. Packet Data

HappyDoor utilizza il protocollo HTTP per comunicare con i server C&C. I dati inviati sono cifrati utilizzando una combinazione di XOR e Base64, garantendo che le comunicazioni siano difficili da intercettare e decifrare.

• Metodo di Cifratura: XOR con una chiave fissa (ad esempio, DD 33 99 CC) e successiva codifica Base64.
• Struttura del Pacchetto: Include funzioni di furto di informazioni come allarmi, keylogger e screenshot, cifrate e inviate al server C&C.

3. Flusso di Comunicazione

Il flusso di comunicazione di HappyDoor si divide in tre tipi di pacchetti:

1. Autenticazione del Server:
   
   • Invia un comando di inizializzazione “init” al server e riceve una conferma “OK”.

   
   

2. Furto di Informazioni:
   
   • Invia uno stato di trasmissione (Trans Status: 0x1) per notificare l’invio di dati.
   • Trasferisce i dati in blocchi, ciascuno fino a una dimensione massima di 0x100000. Se i dati sono più grandi, vengono suddivisi in pacchetti successivi.
   • Una volta completato il trasferimento, invia un numero di ordine (Data Ord Number: 0x100000000) per confermare la fine della trasmissione e verifica la risposta del server.
   • Invia le informazioni del file trasferito, inclusi nome e dimensioni.

   
   

3. Comunicazione di Backdoor:
   
   • Scambia ID dei comandi (CMD ID: 0x3E) per eseguire istruzioni specifiche inviate dal server C&C.

   
   

Implicazioni e Raccomandazioni

HappyDoor rappresenta una minaccia significativa per la sicurezza delle informazioni, specialmente per le organizzazioni. È fondamentale che vengano adottate misure di sicurezza adeguate, tra cui:

• Aggiornamento Regolare: Assicurarsi che tutti i software di sicurezza siano aggiornati.
• Monitoraggio del Traffico: Implementare soluzioni per il monitoraggio del traffico di rete per rilevare attività sospette.
• Formazione del Personale: Educare i dipendenti sulle pratiche di sicurezza informatica per ridurre il rischio di compromissioni.

Conclusione

L’analisi di HappyDoor mette in luce la continua evoluzione delle tecniche di attacco utilizzate da gruppi avanzati come Kimsuky. Le organizzazioni devono rimanere vigili e aggiornate sulle minacce emergenti per proteggere efficacemente i propri dati e infrastrutture.

L'articolo “HappyDoor”: La nuova Backdoor del Gruppo Kimsuky proviene da il blog della sicurezza informatica.

Today’s memory sticks have hundreds of pins and many gigabytes of RAM on board. Decades ago, though, the humble 30-pin SIMM was the state of the art where memory was concerned. If you’ve got vintage gear, you can try and hunt down old RAM, or you can copy [Bits und Bolts] and make your own.

Previously, [Bits und Bolts] built a 4 MB SIMM, but he’s now ramped up to building 16 MB RAM sticks — the largest size supported by the 30-pin standard. That’s a ton compared to most 30-pin sticks from the 1980s, which topped out at a feeble 1 MB.

We get to see four of his 16 MB sticks installed in a 386 motherboard, set up to operate in the appropriate Fast Page Mode. He was able to get the system operating with 64 MB of RAM, an amount still considered acceptable in the early Pentium 3 era. Hilariously, memtest took a full ten hours to complete a single pass with this configuration. [Bits and Bolts] also tried to push the motherboard further, but wasn’t able to get it to POST with over 64 MB of RAM.

As [Bits und Bolts] demonstrates, if you can read a schematic and design a PCB, it’s not that hard to design RAM sticks for many vintage computers. We’ve seen some other RAM hacks in this vein before, too.

youtube.com/embed/oXZWF6gDNLI?…

Art.609-bis c.p. : Chiunque, con violenza o minaccia o mediante abuso di autorità costringe taluno a compiere o subire atti sessuali è punito con la reclusione da sei a dodici anni.

Alla stessa pena soggiace chi induce taluno a compiere o subire atti sessuali:
1) abusando delle condizioni di inferiorità fisica o psichica della persona offesa al momento del fatto;
2) traendo in inganno la persona offesa per essersi il colpevole sostituito ad altra persona.

Nei casi di minore gravità la pena è diminuita in misura non eccedente i due terzi.

Il contenuto della norma

Un tema relativamente nuovo è quello della violenza sessuale realizzata a distanza attraverso le tecnologie dell’informazione. Sempre più frequenti, infatti, sono i casi in cui un soggetto, attraverso l’installazione di una web cam chiede prestazioni sessuali ad altra persona o impone alla stessa di assistere a suoi atti di autoerotismo.

Sul piano giuridico, non essendovi norma specifica, occorre necessariamente far riferimento all’art.609-bis, che punisce, come violenza sessuale, la condotta di colui che con violenza o minaccia o mediante abuso di autorità costringa taluno a compiere o subire atti sessuali e quella di colui che induca un altro soggetto a compiere o subire atti sessuali abusando delle condizioni di inferiorità fisica o psichica della persona offesa al momento del fatto o traendo in inganno la persona offesa per essersi il colpevole sostituito ad altra persona.

Vista la formulazione dell’art.609- bis si è posto il problema di comprendere se sia ipotizzabile una violenza sessuale attraverso la rete.

La Giurisprudenza, come illustriamo di seguito, pare dare al momento risposta affermativa.

Cosa dice la giurisprudenza

Risponde di violenza sessuale – e non di estorsione – colui che, dietro la minaccia di diffusione di video sessualmente espliciti, costringa la vittima ad inviargli su Whatsapp foto delle proprie parti intime ( Cass., Sez. II, sent. n. 41985/21).

Perfeziona la fattispecie di violenza sessuale la condotta consistente nell’invio di una serie di messaggi whatsapp allusivi e sessualmente espliciti ad una minorenne , costringendola a realizzare selfie da contenuti intimi da inviare al soggetto agente, con la minaccia di pubblicare la chat su un social network (Cass.,Sez.III,sent.n.25266/20).

La Corte di Cassazione ha confermato la condanna per violenza sessuale realizzata mediante l’utilizzo di social network e webcam. Nel caso di specie, in particolare, il soggetto, attraverso le suddette tecnologie, aveva compiuto atti di autoerotismo dopo essersi assicurato che alcune minori lo avrebbero guardato attraverso webcam (Cass., Sez. III, sent. n. 16616/15).

In relazione all’art. 609-bis, c.1, c.p. si è più volte ribadito che il reato di violenza sessuale non sia esclusivamente caratterizzato dal contatto corporeo, potendosi estrinsecare anche nel compimento di atti di autoerotismo effettuati a seguito di costrizione o induzione ( Cass. , Sez.III, sent.n.37076/12).

Si è esclusa la possibilità di applicare “automaticamente” ai casi di violenza sessuale virtuale la circostanza attenuante speciale del fatto di lieve entità. Si è a tal riguardo precisato, infatti, che, ai fini dell’accertamento della diminuente prevista dall’art. 609 – bis, c. 3, c.p., debba farsi riferimento, oltre che alla materialità del fatto, a tutte le modalità che hanno caratterizzato la condotta criminosa, nonché al danno arrecato alla parte lesa, anche e soprattutto in considerazione dell’età della stessa o di altre condizioni psichiche in cui versi (Cass., Sez.III, sent.n.16615/15; Cass., Sez.III, sent. n. 45604/07).

L'articolo Digital Crime: La violenza sessuale virtuale proviene da il blog della sicurezza informatica.

When thinking about loops in programming languages, they often get simplified down to a conditions section and a body, but this belies the dizzying complexity that emerges when considering loop edge cases within the context of static analysis. A paper titled Misconceptions about Loops in C by [Martin Brain] and colleagues as presented to SOAP 2024 conference goes through a whole list of false assumptions when it comes to loops, including for languages other than C. Perhaps most interesting is the conclusion that these ‘edge cases’ are in fact a lot more common than generally assumed, courtesy of how creative languages and their users can be when writing their code, with or without dragging in the meta-language of C’s preprocessor.

Assumptions like loop equivalence can fall apart when considering the CFG ( control flow graph) interpretation versus a parse tree one where the former may e.g. merge loops. There are also doozies like assuming that the loop body will always exist, that the first instruction(s) in a loop are always the entry point, and the horrors of estimating loop exits in the context of labels, inlined functions and more. Some languages have specific loop control flow features that differ from C (e.g. Python’s for/else and Ada’s loop), all of which affect a static analysis.

Ultimately, writing a good static analysis tool is hard, and there are plenty of cases where it’s likely to trip up and give an invalid result. A language which avoids ambiguity (e.g. Ada) helps immensely here, but for other languages it helps to write your code as straightforward as possible to give the static analysis tool a fighting chance, or just get really good at recognizing confused static analysis tool noises.

(Heading image: Control flow merges can create multiple loop entry
edges (Credit: Martin Brand, et al., SOAP 2024) )

@Notizie dall'Italia e dal mondo

A Rio de Janeiro si è recentemente svolto il corso “I Caschi Blu della Cultura. Il Patrimonio Culturale in caso di catastrofe: rischi e interventi di sicurezza””. La giornata conclusiva si è tenuta il 2 luglio al Paço Imperial (Palazzo Imperial).

I "caschi blu della cultura" sono una idea italiana, sviluppatasi sin dal 2016 nell’ambito della campagna #Unite4Heritage. Il governo italiano e l’Unesco siglarono un memorandum d’intesa per la creazione di una task force di sessanta unità, composta da carabinieri, storici dell’arte, studiosi e restauratori, pronti a intervenire per salvaguardare il patrimonio culturale in zone di crisi. Con Decreto firmato il 31 marzo 2022 dal Ministro della Cultura pro–tempore Franceschini fu perfezionata la Task Force, formalmente denominata “Caschi Blu della Cultura”, unità operativa concepita per intervenire in aree colpite da emergenze, quali calamità o crisi prodotte dall’uomo, in una cornice di sicurezza, al fine di: – salvaguardare i siti archeologici, i luoghi della cultura ed i beni culturali; – contrastare il traffico internazionale di beni culturali illecitamente sottratti; – supportare l’Autorità dei Paesi esteri richiedenti, nella predisposizione di misure atte a limitare i rischi che situazioni di crisi o emergenziali potrebbero arrecare al patrimonio culturale di quella Nazione. L' #Armadeicarabinieri – con personale tratto dal Comando Tutela Patrimonio Culturale (#TPC) assegnato al Ministero della Cultura – hanno la gestione operativa–logistica delle missioni.

Tornando al corso in Brasile, questo è stato realizzato dall’Organizzazione Internazionale Italo-Latino Americana (#IILA), con il finanziamento della Direzione Generale per la Cooperazione allo Sviluppo del Ministero degli Affari Esteri e della Cooperazione Internazionale (#MAECI), in collaborazione con il Ministero della Cultura italiano (#MIC), il Comando Carabinieri Tutela Patrimonio Culturale e, da parte brasiliana, con il Ministério das Relações Exteriores, Ministerio da Cultura, Centro Lucio Costa, IPHAN – Instituto do Patrimônio Histórico e Artístico Nacional, SBM – Sistema Brasiliero de Museus, IBRAM – Instituto Brasileiro de Museus, Instituto Guimarães Rosa, #PoliciaFederal e #INTERPOL Brasil. Hanno partecipato 55 funzionari pubblici latinoamericani, provenienti da forze di polizia, forze armate, protezione civile e vigile del fuoco, Ministero della Cultura oltre a restauratori e conservatori di beni culturali, per formare di una task force italo-latinoamericana per la protezione del patrimonio culturale

Tra gli altri intervenuti alla giornata finale il Generale D. Francesco Gargaro, Comandante Carabinieri Tutela Patrimonio Culturale; Paolo Iannelli, Rappresentante del MIC – Caschi Blu della Cultura; Marcos Moreira Nizio, Capo del Settore Protezione del Patrimonio storico e culturale della Polizia Federale brasiliana.

Il Generale Gargaro (foto sopra) ha dichiarato nella circostanza:“Il corso che oggi si conclude è stato concepito per dotarvi degli strumenti necessari per affrontare queste sfide. Attraverso questo confronto tra diverse esperienze si sono volute trasmettere competenze tecniche e operative che permetteranno di intervenire sempre più efficacemente in situazioni di emergenza. Avete imparato l’importanza dell’identificazione e catalogazione dei beni culturali anche in situazioni emergenziali, della collaborare con le comunità locali e con le diverse istituzioni in contesti complessi. In un’epoca in cui i conflitti, crisi e catastrofi naturali minacciano di cancellare la memoria storica e culturale dei popoli, l’importanza del nostro lavoro non può essere sottovalutata. La distruzione di beni culturali non è solo una perdita per le comunità direttamente coinvolte, ma per tutta l’umanità.
È la cancellazione della nostra storia condivisa, delle nostre identità e dei valori che ci uniscono come esseri umani”.

La missione addestrativa, tenuta dal 24 giugno al 2 luglio 2024 da esperti italiani del Ministero della Cultura e del Comando Carabinieri Tutela del Patrimonio Culturale, ha voluto trasmettere ai paesi partecipanti quali Brasile, Cile, Colombia e Paraguay il modello italiano di tutela del patrimonio culturale attraverso sessioni teoriche ed esercitazioni pratiche, tra cui la simulazione di una inondazione e un focus rivolto alla sicurezza di beni archivistici e librari in ragione delle esigenze di tutela del territorio ospitante.

Durante la consegna dei diplomi, la Segretaria Generale dell'Organizzazione internazionale italo-latino americana Cavallari, nel ringraziare tutte le istituzioni partners che hanno reso possibile il successo del corso, ha sottolineato che l’obiettivo principale dell’IILA è proprio quello di stimolare la reciproca conoscenza e integrazione fra i paesi membri. Il programma addestrativo di quest’anno, come quello realizzato nel giugno 2023 a Città del Messico con la partecipazione di esperti di Bolivia, Costa Rica, Ecuador, Guatemala, Messico, Perù e Repubblica Dominicana, ha conseguito l’obiettivo di promuovere la condivisione di esperienze e buone pratiche per la possibile creazione di Caschi Blu della Cultura in Brasile, Colombia, Cile e Paraguay.

Importante infine sottolineare come la partecipazione dei carabinieri esalta il loro ruolo nella difesa a livello internazionale del patrimonio culturale italiano e mondiale: ruolo che l’Arma svolge nella protezione dei beni culturali da più di cinque decenni .

@Notizie dall'Italia e dal mondo

Anche la #PoliziadiStato italiana (a mezzo del Servizio Polizia Postale e per la Sicurezza Cibernetica) ha partecipato al Referral Action Day di #Europol mirato ad identificare e combattere i contenuti antisemiti online (a sua volta mediante l'Unità europea per le segnalazioni su Internet denominata EU IRU - Internet Referral Unit - che rileva e indaga sui contenuti dannosi presenti su Internet e nei social media).

Si è trattato di una operazione coordinata, guidata dalle autorità di Svizzera e Regno Unito, svoltasi il 27 giugno scorso, che ha coinvolto le forze dell'ordine di 18 paesi (leggi nora a conclusione), che hanno lavorato in tandem come cennato all'Unità EU IRU di Europol e i principali fornitori di servizi online.

Il Referral Action Day ha preso di mira un'ampia gamma di contenuti antisemiti, tra cui incitamento all'odio, negazione dell'Olocausto e glorificazione della violenza contro la comunità ebraica. L'obiettivo principale era rimuovere i contenuti illegali e garantire che le piattaforme online aderissero alle normative europee in materia di incitamento all'odio e discriminazione.

In totale, sono stati identificati e segnalati circa 2.000 contenuti antisemiti ai fornitori di servizi online per la rimozione.

Il focus del Referral Action Day nasce dall'aumento di un antisemitismo diffuso, giustificato e coltivato nelle sfere jihadiste e nei gruppi estremisti di destra e di sinistra online. Questo contenuto antisemita viene diffuso anche da individui non affiliati su varie piattaforme online. A quanto è risultato la ondata di discorsi d'odio è stata innescata dall'attacco del 7 ottobre dell'organizzazione terroristica Hamas contro Israele e dalla successiva risposta militare israeliana.

Le National Internet Referral Unit e le unità di polizia specializzate dei seguenti paesi hanno preso parte a questo Referral Action Day: Albania, Austria, Bosnia-Erzegovina, Danimarca, Francia, Germania, Ungheria, Irlanda,Italia, Lituania, Malta, Portogallo, Romania, Spagna, Svezia, Svizzera, Ucraina e Regno Unito.
#EUIRU