In 1962, unlike today, most things didn’t have computers in them. After all, the typical computer of the day was a fragile room-sized box that required a gaggle of high priests to service it. But the Minuteman I nuclear missile was stuffed full of pre-GPS navigation equipment and a computer. In a few years, by 1970, the Minuteman III could deliver a warhead 13,000 km with an accuracy of 200 meters. Each one cost about a half million dollars, but that’s almost five million in today’s money. [Ken] takes on a very detailed tour of the computers and avionics that were nothing short of a miracle — and a highly classified miracle — in the 1960s.

The inertial navigation relied on a gyroscope, which in those days, were large and expensive. The Minuteman I required alignment with a precise angle relative to the North Star which naturally wasn’t visible from inside the silo. By the time Minuteman II arrived, they’d figured out an easier way to orient the missiles.

The name Minuteman, by the way, came from the weapon’s ability to launch in a minute. The gyros ran, more or less, all the time, and the solid-fuel rocket was always ready to go.
D-37 Computer
What really interested us, though, was the onboard computer. There was a basic model, the D17-B, in the Minuteman I. Later missiles used the D-37 computer. The D-17B was made to fit in a rocket casing and used a serial CPU, presumably to reduce “SWAP” (size, weight, and power). That means the 24-bit CPU was painfully slow, doing, at best, 12,800 additions per second.

The computer had no RAM, but did have a “disk” which was really more like a magnetic drum — common at the time — flattened out. The D-17B was made with discrete transistors — lots of them. The D-37 actually used integrated circuits. There is a picture of a D-17B looking like half of a washing machine tub alongside a D-37, about the size of a serious oscilloscope of those days. Fun fact: the surplus D-17B computers were given away to universities and other organizations for use as a general-purpose microcomputer.

There’s a lot more in the post. Be prepared to spend some time reading and looking at the detailed pictures. While we know nuclear weapons are frightening, we can’t help but admire a radiation-hardened computer built with ICs and able to withstand the shock of a rocket launch built back then.

If you want your own nuclear bunker keyboard, we’ve seen one. If you want to administer a Linux system with virtual counter-rotating keys, that’s possible, too.

Il gruppo Lazarus ha utilizzato una vulnerabilità zero-day nel driver Windows AFD.sys per aumentare i privilegi e installare il rootkit FUDModule, che disabilita le funzioni di monitoraggio di Windows e consente di nascondere attività dannose.

Il driver Windows AFD.sys viene utilizzato per funzionare con il protocollo Winsock e funge da punto di ingresso nel kernel del sistema operativo.

Il CVE-2024-38193 (punteggio CVSS: 7,8) è stato corretto come parte del Patch Tuesday di agosto. Il CVE-2024-38193 si distingue dagli altri perché consente un attacco Bring Your Own Vulnerable Driver (BYOVD). In questo caso, gli aggressori installano driver con vulnerabilità sui sistemi di destinazione e poi li utilizzano per ottenere privilegi a livello di kernel.

Il pericolo particolare della vulnerabilità AFD.sys è che il driver è installato per impostazione predefinita su tutti i dispositivi Windows. Ciò consente agli hacker di attaccare i sistemi senza dover installare driver vecchi e vulnerabili, che possono essere bloccati e facilmente rilevati dai meccanismi di sicurezza di Windows. Pertanto, lo sfruttamento della vulnerabilità diventa meno evidente e più efficace.

La vulnerabilità è stata scoperta per la prima volta da Gen Digital. Gli esperti hanno notato che il gruppo Lazarus ha utilizzato il problema per installare il rootkit FUDModule, che è in grado di nascondere le sue azioni agli strumenti di sicurezza.

Gli esperti sottolineano che tali attacchi rappresentano una seria minaccia alla sicurezza perché consentono agli aggressori di ottenere un accesso non autorizzato alle aree critiche del sistema.

Gen Digital non ha rivelato dettagli su chi è stato preso di mira dall’attacco o quando è avvenuto. Vale la pena notare che il gruppo Lazarus ha utilizzato tecniche simili in passato, sfruttando i driver vulnerabili come appid.sys e dbutil_2_3.sys per installare FUDModule.

L'articolo FUDModule: il Rootkit utilizzato da Lazarus che parte da un attacco BYOVD proviene da il blog della sicurezza informatica.

Il 16 agosto, OpenAI ha annunciato un massiccio ban di account associati a un’operazione di influenza segreta iraniana che utilizzava ChatGPT per creare contenuti, anche relativi alle imminenti elezioni presidenziali americane. La società ha dichiarato in una nota che si trattava di attività malevole da parte di un gruppo chiamato “Storm-2035”.

L’operazione Storm 2035 ha utilizzato l’intelligenza artificiale per generare contenuti su una varietà di argomenti, tra cui le elezioni americane, i conflitti a Gaza e gli eventi politici in Venezuela. Il contenuto di questi materiali è stato diffuso attraverso i social network e attraverso siti web posizionati come portali di notizie che rappresentano le opinioni politiche dell’opposizione.

OpenAI ha sottolineato che la maggior parte dei post creati nell’ambito dell’operazione non hanno ricevuto una risposta significativa, raccogliendo un numero minimo di Mi piace, condivisioni e commenti. Inoltre, si è scoperto che articoli lunghi e scritti utilizzando ChatGPT difficilmente venivano condivisi sui social network.

I contenuti sono stati creati in inglese e spagnolo e pubblicati su più account su X e Instagram. In alcuni casi, l’IA ha utilizzato i commenti di altri utenti per potenziare il proprio impatto.

Il gruppo ha utilizzato anche temi molto diversi, come la moda e la bellezza, per creare l’apparenza di autenticità dei racconti e attirare il pubblico più vasto possibile. Oltre ad argomenti politici, Storm 2035 ha utilizzato piattaforme per discutere questioni relative ai diritti LGBT, all’indipendenza scozzese e alla presenza di Israele alle Olimpiadi.

Questa operazione era una di quelle su cui Microsoft aveva precedentemente messo in guardia. Secondo lei, “Storm-2035” ha cercato attivamente di influenzare gruppi di elettori negli Stati Uniti con l’obiettivo di incitare al caos, indebolire il governo e seminare dubbi sull’integrità delle elezioni.

In risposta alle maggiori misure di controllo, come il ban degli account e la riduzione dell’attività, gli aggressori hanno iniziato a cambiare tattica, creando contenuti non politici e falsificando portali mediatici popolari. Meta e Google hanno segnalato tentativi simili da parte di altri gruppi di diffondere propaganda e attacchi di phishing.

Questi eventi evidenziano la crescente minaccia dell’influenza esterna sui processi politici in diversi paesi, che richiede un costante monitoraggio e rafforzamento delle misure di sicurezza a livello globale.

L'articolo L’influenza esterna sui processi politici. L’IA entra prepotentemente nella corsa alle elezioni statunitensi proviene da il blog della sicurezza informatica.

The new Raspberry Pi Pico 2 with its RP2350 microcontroller has only been with us for a short time, and thus its capabilities are still being tested. One of the new peripherals is HSTX, for which the description “High speed serial port” does not adequately describe how far it is from the humble UART which the name might suggest. CNX Software have taken a look at its capabilities, and it’s worth a read.

With a 150 MHz clock and 8 available pins, it’s a serial output with a combined bandwidth of 2400 Mbps, which immediately leaves all manner of potential for streamed outputs. On the RP2040 for example a DVI output was made using the PIO peripherals, while here the example code shows how to use these pins instead. We’re guessing it will be exploited for all manner of pseudo-analogue awesomeness in the manner we’re used to with the I2S peripherals on the EP32. Of course, there’s no corresponding input, but that still leaves plenty of potential.

Have a quick read of our launch coverage of the RP2350, and the Pico 2 board it’s part of.

Negli ultimi mesi, una nuova minaccia informatica ha fatto il suo ingresso sulla scena globale: un malware chiamato UULoader. Questo sofisticato software malevolo sta suscitando preoccupazioni significative tra i ricercatori di sicurezza, in particolare per la sua capacità di distribuire altri potenti strumenti di hacking come Gh0st RAT e Mimikatz. Concentrandosi principalmente su utenti dell’Asia orientale, UULoader rappresenta un esempio preoccupante di come gli attacchi informatici stiano diventando sempre più subdoli e difficili da rilevare. È probabile che il malware sia di origine cinese, vista la presenza di stringhe cinesi nei file. Inoltre, i siti di phishing legati alle criptovalute continuano a crescere, aumentando i rischi per gli utenti.

Come Funziona UULoader

UULoader utilizza una tecnica chiamata DLL side-loading, sfruttando file DLL legittimi per eseguire codice dannoso. Questo metodo consiste nel mascherare il malware come parte di un software di installazione apparentemente innocuo, come un aggiornamento di Google Chrome o un driver Realtek. Durante il processo di installazione, UULoader esegue in background un payload malevolo, eludendo i controlli di sicurezza e nascondendo le sue operazioni agli utenti.

Uno degli aspetti più ingannevoli di UULoader è la sua capacità di camuffarsi all’interno di software legittimo. Ad esempio, in uno degli attacchi documentati, l’installatore di UULoader includeva un file MSI che, oltre a installare il software desiderato, caricava anche un eseguibile dannoso in una directory nascosta. Questo eseguibile poteva poi attivare ulteriori fasi dell’attacco, come il download e l’esecuzione di altri strumenti malevoli.

Cos’è il DLL Side-Loading?

Il DLL side-loading è una tecnica di attacco in cui un file DLL (Dynamic Link Library) legittimo viene sostituito o imitato da una versione malevola. Questa versione dannosa viene poi caricata ed eseguita da un’applicazione legittima, sfruttando il fatto che molte applicazioni caricano dinamicamente le loro dipendenze senza verificare l’integrità del file.

Come Funziona:

1. Scelta del Bersaglio: L’attaccante sceglie un’applicazione legittima che carica una DLL durante il suo funzionamento. Spesso, queste applicazioni non verificano l’autenticità della DLL, il che rende l’attacco possibile.
2. Creazione della DLL Malevola: L’attaccante crea una versione malevola della DLL che ha lo stesso nome della DLL legittima che l’applicazione dovrebbe caricare. Questa DLL malevola contiene codice dannoso che viene eseguito quando la DLL viene caricata.
3. Posizionamento della DLL: La DLL malevola viene posizionata nella stessa directory dell’eseguibile legittimo o in una directory specificata nelle variabili di ambiente del sistema. Quando l’applicazione viene eseguita, carica la DLL malevola invece di quella legittima.
4. Esecuzione del Codice Malevolo: Una volta caricata, la DLL esegue il codice malevolo. Questo può includere il download di ulteriori malware, il furto di dati, o l’esecuzione di comandi remoti.

Implicazioni del DLL Side-Loading in UULoader

Nel caso di UULoader, il malware utilizza il DLL side-loading per eseguire codice dannoso senza destare sospetti. Il processo di installazione di UULoader inizia con un file MSI che sembra installare un software legittimo. Durante questo processo, una DLL malevola viene caricata al posto di una legittima, permettendo al malware di installarsi nel sistema in modo furtivo.

Una volta che la DLL malevola è stata caricata, UULoader può procedere a scaricare e installare ulteriori strumenti dannosi come Gh0st RAT e Mimikatz. Questi strumenti consentono agli attaccanti di prendere il controllo del sistema, rubare credenziali, e monitorare le attività dell’utente.

Esempi di DLL Side-Loading

Il DLL side-loading è stato utilizzato in numerosi attacchi informatici nel corso degli anni. Ad esempio, molti attaccanti sfruttano software comunemente utilizzati, come lettori PDF o software multimediali, per caricare DLL malevoli. Questo metodo è particolarmente efficace contro sistemi meno protetti o dove il software di sicurezza non è aggiornato.

Difendersi dal DLL Side-Loading

Per proteggersi dal DLL side-loading, è essenziale adottare alcune misure:

• Verifica della Firma Digitale: Le applicazioni dovrebbero verificare la firma digitale delle DLL prima di caricarle, assicurandosi che provengano da fonti attendibili.
• Controllo delle Directory di Caricamento: Limitare le directory da cui un’applicazione può caricare DLL può ridurre il rischio di attacchi di side-loading.
• Monitoraggio del Sistema: L’implementazione di strumenti di monitoraggio avanzati può aiutare a rilevare attività sospette legate al caricamento di DLL malevoli.

Gh0st RAT: Controllo Remoto dei Sistemi Infetti

Uno dei principali payload distribuiti da UULoader è Gh0st RAT, un Remote Access Trojan (RAT) che consente agli attaccanti di controllare da remoto i computer infetti. Gh0st RAT non è una novità nel panorama delle minacce informatiche, ma le sue varianti recenti, modificate con l’ausilio di progetti open-source, hanno migliorato notevolmente le sue capacità. Questo malware è in grado di registrare le attività dell’utente, catturare schermate, rubare informazioni sensibili e persino installare ulteriori software dannosi​ (eSentire).

Gh0st RAT viene spesso distribuito attraverso falsi installatori di software popolari, come Google Chrome, e mira principalmente a utenti di lingua cinese. Una volta installato, questo strumento permette agli hacker di monitorare e controllare in remoto i dispositivi compromessi, con gravi rischi per la privacy e la sicurezza delle vittime.

Mimikatz: Il Furto di Credenziali

Un altro strumento distribuito da UULoader è Mimikatz, un famigerato tool utilizzato per rubare credenziali dagli ambienti Windows. Mimikatz può estrarre password in chiaro, hash delle password, PIN e altri dati sensibili direttamente dalla memoria del sistema, anche in presenza di protezioni avanzate come la LSA Protection (Local Security Authority). Sebbene Windows abbia implementato misure per ridurre la memorizzazione di password in chiaro, Mimikatz è ancora in grado di aggirare molte di queste protezioni utilizzando driver appositamente creati​ (HackTricks | HackTricks).

Questo strumento è particolarmente pericoloso negli attacchi mirati, dove gli hacker utilizzano le credenziali rubate per muoversi lateralmente all’interno di una rete aziendale, aumentando il loro accesso e causando potenzialmente danni estesi.

Implicazioni Geopolitiche e di Sicurezza

L’emergere di UULoader non è solo un segnale di allarme per la sicurezza informatica, ma anche un indicatore delle crescenti tensioni geopolitiche. Gli attacchi informatici mirati che sfruttano UULoader sono stati rilevati principalmente in Asia orientale, suggerendo che potrebbero esserci attori statali o gruppi sponsorizzati dallo stato dietro queste operazioni. Questa regione, già teatro di complesse dinamiche geopolitiche, potrebbe essere ulteriormente destabilizzata da attacchi informatici che mirano a infrastrutture critiche e settori strategici.

Le capacità di UULoader di diffondere malware avanzati come Gh0st RAT e Mimikatz pongono seri rischi non solo per le singole organizzazioni, ma anche per la sicurezza nazionale, specialmente se utilizzati in attacchi mirati contro infrastrutture critiche.

Implicazioni per la Sicurezza

La scoperta di UULoader e la sua capacità di distribuire software malevolo come Gh0st RAT e Mimikatz sottolinea l’importanza di mantenere elevati standard di sicurezza informatica. Le organizzazioni devono essere vigili e adottare misure proattive per proteggere i propri sistemi, inclusa la formazione del personale sulla sicurezza, l’implementazione di controlli di accesso rigorosi e l’uso di soluzioni antivirus aggiornate.

Conclusioni

UULoader rappresenta un’evoluzione significativa nel panorama delle minacce informatiche, combinando tecniche avanzate come il DLL side-loading con la distribuzione di malware pericolosi come Gh0st RAT e Mimikatz. La sua diffusione in Asia orientale e il potenziale coinvolgimento di attori statali sollevano preoccupazioni non solo per la sicurezza informatica, ma anche per la stabilità geopolitica.

Per contrastare queste minacce, è essenziale che le organizzazioni adottino misure di sicurezza proattive, tra cui l’implementazione di tecniche di verifica dell’integrità dei file, il monitoraggio continuo delle attività di rete, e l’aggiornamento costante dei sistemi di sicurezza. Solo un approccio multilivello alla sicurezza informatica può sperare di contrastare minacce sofisticate come UULoader e i suoi strumenti associati.Il continuo sviluppo di minacce come UULoader dimostra che gli attaccanti informatici stanno affinando le loro tecniche per eludere i tradizionali metodi di rilevamento, rendendo essenziale un approccio multilivello alla sicurezza informatica.

L'articolo UULoader: Un’Analisi Tecnica Approfondita del Malware e delle Tecniche di Attacco proviene da il blog della sicurezza informatica.