Paris prosecutors have opened a formal investigation against Telegram founder Pavel Durov as part of a probe into organised crime-related activities on the messaging app. To break it all down, we are joined by our Paris-based technology reporter, Théophane Hartmann.

euractiv.com/section/digital/p…

A French judge put Telegram boss Pavel Durov under formal investigation on Wednesday (28 August) in a probe into organised crime on the messaging app, but granted the entrepreneur bail.

euractiv.com/section/justice-h…

GovTech has the potential to enhance public services but faces challenges like complex regulations and lack of awareness. In addition to EU-led projects such as SPIN4EIC, GovTech Connect and PSTW, such issues can be addressed by a unified EU platform for procurement, that consolidates opportunities and connects startups with public administrations, who should at the same time simplify procurement processes to ease the access for SMEs.

euractiv.com/section/digital/o…

I ricercatori di BforeAI hanno identificato una massiccia campagna di phishing contro le catene internazionali di pizzerie, con conseguenti perdite finanziarie significative. L’indagine è iniziata dopo aver ricevuto informazioni dalle forze di polizia di Singapore su una minaccia di phishing, come evidenziato in un articolo di Yahoo News Singapore. L’indicatore iniziale di compromissione ha portato alla scoperta di un attacco più complesso e in corso che si estende su più paesi e prende di mira più marchi di pizza.

La campagna è stata inizialmente rilevata tramite il dominio domino-plza[.]com, provocando la perdita di 27.000$ da parte di sette vittime attraverso pagine di ordini falsi che imitavano il sito web di Domino’s Pizza. Gli aggressori hanno utilizzato la pubblicità a pagamento sui motori di ricerca per spingere i loro domini falsi in cima ai risultati di ricerca, superando i siti originali. Questi metodi, combinati con le tecniche SEO black hat, hanno reso gli utenti vulnerabili al phishing.

Dopo gli attacchi riusciti a Singapore, gli aggressori hanno registrato i domini prendendo di mira altre importanti catene di pizzerie internazionali come PizzaPizza, Little Caesars, Blaze Pizza, 241 Pizza, Panago Pizza e Boston Pizza. Questi domini sono molto simili a quelli reali, ma contengono piccole modifiche che possono facilmente confondere gli utenti.

Gli aggressori continuano a registrare nuovi domini utilizzando indirizzi IP associati a registrazioni di domini sospetti con estensioni di dominio insolite come “.life” e “.top”, che non sono comuni per i marchi legittimi. Gli attacchi iniziano con la creazione di siti web falsi, praticamente identici a quelli originali. Quando effettuano un ordine, gli utenti inseriscono una password monouso (OTP), che consente agli aggressori di ottenere i dettagli della carta e utilizzarli per transazioni non autorizzate, con conseguente perdita di fondi da parte delle vittime.

La campagna non è limitata a un paese ed è una minaccia globale, con particolare attenzione alle catene di pizzerie canadesi. La capacità degli aggressori di registrare e mantenere più domini indica un’operazione ben organizzata volta a sfruttare la popolarità e la fiducia di questi marchi.

Sebbene i primi attacchi abbiano causato vittime significative nel 2023, la campagna continua nel 2024. Ci sono state attività rivolte alle pizzerie canadesi tra cui PizzaPizza, Little Caesars, Pizzaiolo, Panago Pizza e Boston Pizza. Gli spostamenti dei server e le modifiche alle date attive nei record DNS passivi indicano una campagna in corso.

Ricerche recenti mostrano che alcuni domini di phishing continuano ad aggiornarsi, indicando possibili attacchi futuri. L’emergere di nuove registrazioni di domini associati allo stesso gruppo di aggressori conferma la necessità di un monitoraggio costante delle minacce.

Gli attacchi si stanno espandendo ad altre organizzazioni esterne al settore della pizza, evidenziando la necessità di maggiore attenzione e azione per prevenire ulteriori perdite finanziarie.

L'articolo Una Pizza Margherita Molto Cara! Phishing e frodi telematiche che mirano allo Stomaco proviene da il blog della sicurezza informatica.

I ricercatori hanno scoperto che il gruppo sudcoreano APT-C-60 sta utilizzando una vulnerabilità critica legata all’esecuzione di codice in modalità remota in Kingsoft WPS Office per Windows per implementare una backdoor SpyGlace.

Il pacchetto WPS Office (ex Kingsoft Office) è apparso nel 1989 ed è stato creato dall’azienda cinese Kingsoft. Oggi viene utilizzato mensilmente da circa 500 milioni di persone in tutto il mondo.

ESET segnala che la vulnerabilità zero-day, identificata come CVE-2024-7262, è stata utilizzata negli attacchi almeno dalla fine di febbraio 2024 e colpisce le versioni da 12.2.0.13110 (rilasciata ad agosto 2023) alla 12.1.0.16412 (rilasciata a marzo 2024).

Kingsoft ha risolto il problema nel marzo di quest’anno, ma non ha informato i clienti che il bug era già stato attivamente sfruttato dagli hacker. Ciò ha spinto i ricercatori ESET a pubblicare un rapporto dettagliato su ciò che davvero è accaduto.

Va notato che oltre al CVE-2024-7262, l’indagine di ESET ha rivelato un altro grave difetto: CVE-2024-7263, che gli sviluppatori di Kingsoft hanno corretto alla fine di maggio 2024 nella versione 12.2.0.17119.

La radice del problema del CVE-2024-7262 è il modo in cui il programma funziona con gestori di protocollo personalizzati, in particolare ksoqing://, che consente di avviare applicazioni esterne tramite URL appositamente predisposti nei documenti.

A causa della convalida e della gestione errata di tali URL, la vulnerabilità consente agli aggressori di creare collegamenti ipertestuali dannosi che alla fine portano all’esecuzione di codice arbitrario.

Secondo gli esperti, per sfruttare il bug, i partecipanti all’APT-C-60 hanno creato fogli di calcolo (file MHTML) in cui hanno inserito collegamenti dannosi nascosti sotto un’immagine esca per indurre le vittime a cliccarvi sopra, innescando l’exploit.

Pertanto, i parametri URL contengono un comando codificato base64 per eseguire un plug-in specifico (promecefpluginhost.exe), che tenta di caricare una DLL dannosa (ksojscore.dll). Questa DLL è un componente del loader APT-C-60, progettato per ottenere il payload finale (TaskControler.dll) dal server degli aggressori, una backdoor SpyGlace personalizzata.

SpyGlace è stato precedentemente studiato in dettaglio da Threatbook quando APT-C-60 lo ha utilizzato negli attacchi contro organizzazioni legate alla formazione e al commercio.

Come accennato in precedenza, durante lo studio degli attacchi APT-C-60, i ricercatori ESET hanno scoperto un’altra vulnerabilità, il CVE-2024-7263. Consente l’esecuzione di codice arbitrario in WPS Office ed è causato da una correzione errata del problema CVE-2024-7262.

In particolare, il tentativo iniziale di Kingsoft di risolvere il bug ha comportato l’aggiunta della convalida per alcuni parametri. Tuttavia, alcuni di essi, come CefPluginPathU8, non erano ancora adeguatamente protetti, consentendo agli aggressori di fornire percorsi a DLL dannosi tramite promecefpluginhost.exe.

ESET spiega che la vulnerabilità potrebbe essere sfruttata localmente o tramite una risorsa di rete che ospitava una DLL dannosa. Allo stesso tempo, i ricercatori sottolineano di non aver trovato alcun caso in cui APT-C-60 o altri gruppi abbiano sfruttato questo bug.

Gli esperti consigliano agli utenti di WPS Office di eseguire l’aggiornamento alla versione più recente il prima possibile o di aggiornare il software almeno alla 12.2.0.17119 per eliminare entrambe le vulnerabilità di esecuzione del codice.

L'articolo Zero-day in WPS Office. Il gruppo APT-C-60 utilizza exploit per installare la backdoor SpyGlace proviene da il blog della sicurezza informatica.

Google raddoppia i pagamenti per le vulnerabilità riscontrate nel browser Chrome. Ora la ricompensa massima per un bug raggiunge i 250.000 dollari.

È stato riferito che la società ora valuterà le vulnerabilità della corruzione della memoria in base alla qualità dei rapporti e agli sforzi dei ricercatori per identificare l’impatto completo dei problemi scoperti.

Pertanto, la ricompensa per i report di base che dimostrano la corruzione della memoria in Chrome con uno stack trace e una prova di concetto (PoC) sarà fino a 25.000 dollari. I report di qualità superiore, con dimostrazioni dell’esecuzione di codice remoto (RCE) e di un exploit funzionante, saranno molto più preziosi.

“È ora di modificare il VRP (Vulnerability Reward Program) di Chrome per creare una struttura più chiara e aspettative più chiare per i ricercatori di sicurezza che ci segnalano bug e per incoraggiare segnalazioni di qualità e ricerche più approfondite sulle vulnerabilità di Chrome” scrive Amy Ressler, ingegnere della sicurezza di Chrome. – La ricompensa massima possibile per problema è ora di 250.000 dollari per la dimostrazione di RCE in un processo non sandbox. “Se l’RCE può essere raggiunto senza compromettere il renderer, l’importo della ricompensa aumenta, incluso il pagamento per l’RCE del renderer.”

Inoltre, la società ha più che raddoppiato i premi per aver aggirato MiraclePtr portandoli a 250.128 dollari (in precedenza 100.115 dollari).

Google è inoltre disposto a pagare ricompense per la segnalazione di altre classi di vulnerabilità, a seconda del loro livello, impatto e potenziale danno per gli utenti di Chrome.

“Tutti i rapporti rimangono idonei per il bonus se soddisfano tutti i requisiti richiesti. Continueremo a esplorare ulteriori opportunità di ricompensa simili al precedente programma Full Chain Exploit Reward e evolveremo il nostro programma per servire meglio la comunità della sicurezza”, aggiunge Ressler. “I rapporti che non dimostrano sufficientemente implicazioni sulla sicurezza o potenziali danni agli utenti, o che sono puramente teorici e speculativi, difficilmente potranno beneficiare dei premi VRP.”

Va notato che dal lancio del programma di ricompensa per le vulnerabilità scoperte nel 2010, Google ha pagato più di 50 milioni di dollari ai ricercatori di sicurezza informaticache hanno trovato più di 15.000 vulnerabilità.

L'articolo Nuovo Bug Bounty per Google Chrome: fino a 250.000 dollari per un exploit RCE proviene da il blog della sicurezza informatica.

Un ex funzionario della sicurezza informatica statunitense ha affermato che gli sforzi di hacking di Pechino sono “molto più avanzati di prima”. Negli ultimi mesi, gli hacker cinesi sostenuti dallo Stato sono penetrati nei fornitori di servizi Internet statunitensi per spiare i loro utenti, accedendo anche ad almeno due dei principali fornitori statunitensi con milioni di clienti, ha affermato il Washington Post, citando persone che hanno familiarità con la questione.

Gli attacchi hanno sollevato preoccupazioni e due persone hanno affermato che alcune delle tecniche e delle risorse utilizzate dagli hacker erano correlate a quelle utilizzate l’anno scorso da un gruppo sostenuto dalla Cina chiamato Volt Typhoon.

Funzionari dell’intelligence statunitense hanno affermato che il gruppo ha cercato di acquisire attrezzature nei porti del Pacifico e altre infrastrutture in modo che la Cina potesse seminare paura e panico in caso di conflitto armato e interrompere la capacità degli Stati Uniti di fornire truppe, armi e rifornimenti a Taiwan.

“Per la Cina è ormai tutto come al solito, ma è notevolmente aumentato rispetto a prima. È di un ordine di grandezza peggiore”, ha affermato Brandon Wales, che fino all’inizio di questo mese era direttore esecutivo della Cybersecurity and Infrastructure Security Agency, CISA.

Gli attacchi informatici destano preoccupazione perché si ritiene che tra i loro obiettivi vi siano personale governativo e militare che lavora sotto copertura, nonché gruppi di interesse strategico per la Cina.

“Si tratta di una connettività privilegiata e di alto livello con clienti interessanti”, ha affermato Mike Horka, ex agente dell’FBI e attuale ricercatore presso Lumen Technologies, che ha descritto una delle campagne ma non ha identificato gli ISP colpiti.

È stato degno di nota, ha aggiunto, che i gruppi hanno considerato lo sforzo abbastanza importante da sfruttare difetti software precedentemente non scoperti (0day) che avrebbero potuto essere stati utilizzati per un uso successivo.

In un rapporto separato all’inizio di questo mese, la società di sicurezza Volexity ha affermato di aver trovato un’altra tecnica di fascia alta in gioco presso un altro ISP senza nome. In quel caso, ha affermato che un gruppo di hacker statali cinesi distinto da Volt Typhoon è stato in grado di arrivare abbastanza in profondità all’interno del fornitore di servizi tanto da modificare gli indirizzi web del Domain Name System (DNS) che gli utenti stavano cercando di raggiungere e dirottarli altrove, consentendo agli hacker di inserire backdoor per lo spionaggio.

L'articolo Gli hacker Cinesi colpiscono duramente i provider internet statunitensi con bug 0day proviene da il blog della sicurezza informatica.

Gli specialisti di Kaspersky Lab hanno scoperto la versione macOS della backdoor HZ Rat, che attacca gli utenti dei servizi di messaggistica aziendale DingTalk e WeChat. Alcune versioni della backdoor si connettono ai server di comando e controllo utilizzando indirizzi IP locali, portando i ricercatori a credere che gli attacchi potrebbero essere mirati.

HZ Rat è stato scoperto per la prima volta a novembre 2022 da DCSO. Successivamente il malware si rivolgeva ai sistemi Windows e riceveva comandi sotto forma di script PowerShell. Come affermano ora i ricercatori, la versione macOS della backdoor è quasi identica alla versione per Windows, differisce solo per il payload, ricevuto anche sotto forma di script di shell dal server degli aggressori.

Il punto di distribuzione iniziale del nuovo HZ Rat è sconosciuto, ma gli esperti hanno scoperto un pacchetto di installazione per uno dei campioni di backdoor: un file chiamato OpenVPNConnect.pkg. È stato caricato su VirusTotal nel luglio 2023 e, al momento della ricerca, non è stato rilevato da nessun fornitore, come altri esempi di backdoor.

È interessante notare che questo pacchetto di installazione, secondo VirusTotal, è stato precedentemente scaricato da uno dei domini di proprietà di miHoYo, uno sviluppatore cinese di giochi per computer. Al momento non è noto come questo file sia arrivato al dominio legittimo e se l’azienda sia stata hackerata.

Al momento dell’avvio HZ Rat stabilisce una connessione con il server di controllo in base all’elenco degli indirizzi IP specificati. Nella maggior parte dei casi, per la connessione è stata utilizzata la porta 8081 e sono stati trovati anche esempi di connessione al server utilizzando indirizzi IP privati. In questo caso per la comunicazione con il server di controllo viene utilizzata la crittografia XOR con chiave 0x42.

La backdoor supporta solo quattro comandi di base: eseguire un comando shell, scrivere un file su disco, inviare un file al server e verificare la disponibilità della vittima.

Durante lo studio, gli specialisti sono riusciti a ottenere dal server di controllo comandi shell volti a raccogliere i seguenti dati:

• stato della funzione protettiva System Integrity Protection (SIP);
• informazioni sul sistema e sul dispositivo (indirizzo IP locale, informazioni sui dispositivi Bluetooth, reti Wi-Fi disponibili, adattatori di rete wireless disponibili e rete a cui è connesso il dispositivo, caratteristiche hardware, informazioni sulla memorizzazione dei dati);
• elenco delle applicazioni;
• informazioni sull’utente da WeChat;
• informazioni sull’utente e sull’organizzazione da DingTalk;
• coppie di valori nome utente-sito web dal gestore password di Google.

Da WeChat il malware tenta quindi di ottenere il WeChatID, l’e-mail e il numero di telefono della vittima. Questi dati vengono archiviati in testo non crittografato nel file userinfo.data.

In DingTalk gli aggressori sono interessati a dati più dettagliati delle vittime, vale a dire: il nome dell’organizzazione e del dipartimento in cui lavora l’utente, il nome utente, l’indirizzo e-mail aziendale e il numero di telefono.

Lo script tenta di raccogliere questi dati da orgEmployeeModel. Se il file manca, il malware cercherà il numero di telefono e l’e-mail dell’utente nel file sAlimailLoginEmail. Se fallisce, HZ Rat tenterà di trovare la posta dell’utente in uno dei file di cache dell’applicazione DingTalk chiamato .holmes.mapping. Questi file non sono crittografati e memorizzano i dati in testo non crittografato.

Gli esperti scrivono che durante lo studio erano attivi quattro server di controllo. Come accennato in precedenza, in alcuni campioni tra gli indirizzi IP indicati figuravano anche indirizzi privati.

“Questi campioni sono stati probabilmente utilizzati per controllare il dispositivo della vittima, sulla cui rete locale era già installato un computer infetto con un proxy, reindirizzando la connessione al server dell’aggressore. Questo di solito viene fatto per nascondere la presenza del malware nella rete, poiché solo il dispositivo su cui è installato il proxy comunicherà con il server di controllo dell’aggressore”, afferma il rapporto.

Si segnala inoltre che alcuni indirizzi IP sono già stati riscontrati in attacchi mirati contro dispositivi con sistema operativo Windows. Le loro prime apparizioni risalgono al 2022: uno degli indirizzi apparve negli attacchi HZ Rat di quel periodo.

Quasi tutti i server di controllo scoperti si trovavano in Cina. Le eccezioni sono due indirizzi situati negli Stati Uniti e nei Paesi Bassi.

L'articolo Backdoor HZ Rat per Apple macOS: Attacchi Mirati a WeChat e DingTalk proviene da il blog della sicurezza informatica.

Il Consiglio Nazionale delle Ricerche (CNR) ha confermato di essere stato vittima di un attacco informatico il 25 agosto 2024, che ha compromesso l’applicazione Arch-Motro, usata per la gestione dell’archivio documentale dell’ente.

In seguito all’incidente, il CNR ha emesso un comunicato stampa riportando che i dati esfiltrati non includono informazioni sensibili, e non vi è stata interruzione di servizi né richiesta di riscatto. Sono state attuate misure di sicurezza immediate per proteggere i sistemi coinvolti e per prevenire ulteriori compromissioni.
In data 25 agosto, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) ha segnalato un data leak, cioè la divulgazione non autorizzata di dati, del contenuto di un database associato al Cnr. Da un'analisi effettuata si è evidenziato che il data leak è avvenuto tramite un accesso non autorizzato al database relativo all'applicazione denominata Arch-Motro, che gestisce gli elenchi di versamento della documentazione non più di uso corrente e destinata all’Archivio di Deposito dell’Ente.

Il Cnr ha immediatamente effettuato le opportune verifiche circa lo stato delle informazioni pubblicate e al contempo attuato le relative misure per mettere in sicurezza i sistemi interessati e quelli correlati.

È stato appurato che il Cnr non è stato oggetto di alcun criptaggio dati, né c’è stata alcuna interruzione dei servizi. Inoltre, l’esfiltrazione dati non è avvenuta a seguito di alcun attacco ransomware e, ad oggi, non risulta nessuna richiesta di riscatto.

Si sottolinea che i dati oggetto della violazione sono metadati descrittivi che indentificano i faldoni conservati nell’Archivio di Deposito e non dei dati relativi ai documenti in essi contenuti.

Si precisa che nel database sottratto non sono presenti dati, riferimenti, atti e progettualità, inerenti ad affari o pratiche in corso di trattazione o svolgimento, né dati o informazioni sensibili riferibili a progetti, proprietà intellettuale e/o ai nominativi del personale Cnr su di essi impiegato, così come non sono presenti informazioni relative a interessi strategici, politici e organizzativi dell’Ente.

Il Cnr già dal 2022, con l’avvio della digitalizzazione delle attività dell’Ente, ha migliorato la postura di sicurezza concentrandosi sui sistemi più vulnerabili, riducendo significativamente i fattori di rischio seguendo il percorso indicato dalle linee guida Agid. Negli ultimi due anni questi sforzi hanno consentito di rinnovare i servizi di collaborazione digitale, sostituire il sistema di protocollo, della conservazione documentale e attivare il nuovo catalogo dei prodotti della ricerca.

Per ogni chiarimento o ulteriore informazione in relazione alla violazione in oggetto con riferimento ai dati esfiltrati ad eventuali questioni relative ai profili privacy: violazione.archmotro@cnr.it
Il comunicato stampa è stato emesso in risposta alle notizie fornite dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) della Polizia Postale e diffuse inizialmente da Red Hot Cyber, che hanno riportato la pubblicazione di un file SQL contenente metadati sottratti all’ente sul famoso forum underground Breach Forums.

Questo file, benché non contenga dati sensibili, ha destato preoccupazioni sulla sicurezza delle infrastrutture informatiche del CNR.

Il CNR ha sottolineato che l’attacco non ha avuto impatti significativi sulla sicurezza dei dati personali, ma l’incidente evidenzia la necessità di rafforzare le misure di sicurezza e la vigilanza contro minacce informatiche sempre più sofisticate.

Le autorità competenti sono state informate e sono in corso ulteriori indagini per determinare la portata dell’attacco e prevenire futuri incidenti.

L'articolo Attacco informatico al CNR. Esposto database, ma nessun dato sensibile compromesso. La Nota Stampa proviene da il blog della sicurezza informatica.

Gli analisti di Arkose Labs , una società specializzata nella lotta alle frodi e nell’identificazione dei bot, hanno parlato dell’azienda Greasy Opal, la cui attività è in una zona grigia da molti anni.

Sebbene Greasy Opal non si nasconda alle autorità e paghi le tasse, il suo strumento di soluzione CAPTCHA è ampiamente utilizzato dai criminali che prendono di mira prodotti di Amazon, Apple, Steam, Joomla, WhatsApp, VKontakte e così via.

Secondo i ricercatori che monitorano Greasy Opal da molto tempo, il sistema è attivo da più di due decenni e crea strumenti in base alle esigenze dei suoi clienti. E tra i suoi clienti c’è, ad esempio, il gruppo di hacker Storm-1152, noto per aver registrato circa 750 milioni di account Microsoft falsi nel 2023 e aver guadagnato milioni di dollari vendendoli ad altri criminali.

Lo strumento è pubblicizzato come “il miglior risolutore di CAPTCHA al mondo” e ha avuto diverse modifiche nel corso degli anni, pur essendo regolarmente aggiornato e adattato ai nuovi tipi di CAPTCHA.

Gli esperti scrivono che lo strumento è molto efficace, basato sulla tecnologia OCR avanzata (riconoscimento ottico dei caratteri) e utilizza modelli di apprendimento automatico “per la risoluzione altamente accurata di CAPTCHA di testo comuni e strumenti più specializzati per altri CAPTCHA di testo specifici“. Allo stesso tempo, i ricercatori ritengono che dietro lo sviluppo della menzionata tecnologia OCR ci sia proprio Greasy Opal.

Il risolutore di CAPTCHA è disponibile in due versioni: una versione gratuita, meno precisa e più lenta, e una versione a pagamento che identifica le immagini con una precisione del 90-100% e può riconoscere gli oggetti in meno di un secondo.

Apparentemente, Greasy Opal è guidato esclusivamente dal guadagno finanziario e non si preoccupa di chi siano i suoi clienti o cosa facciano. I ricercatori lo descrivono come uno sviluppatore di software “molto intelligente ma non molto etico“, interessato solo a fare soldi.

“I criminali possono acquistare il kit di strumenti Greasy Opal per 70 dollari. Per ulteriori 100 dollari, i clienti possono aggiornare e accedere alla versione beta. Indipendentemente dalla versione, Greasy Opal richiede ai clienti di pagare ulteriori 10 dollari al mese come quota di abbonamento”, affermano gli esperti.

Il pacchetto più costoso, che include tutti gli strumenti, costa 190 dollari (più 10 dollari di abbonamento mensile) e i ricercatori sottolineano che si tratta di un prezzo molto basso, anche se il numero di installazioni consentite in questa versione è limitato.

C’è anche un pacchetto business che costa 300 dollari (più una quota di abbonamento simile). Consente un numero maggiore di installazioni consentite.

Gli esperti stimano che questi strumenti siano utilizzati da centinaia di aggressori e Greasy Opal ha generato entrate per almeno 1,7 milioni di dollari solo lo scorso anno. Sebbene i suoi strumenti vengano utilizzati per attività illegali, Greasy Opal mantiene l’apparenza di un’attività legale e paga le tasse.

Gli analisti di Arkose Labs ritengono che Greasy Opal abbia sede nella Repubblica Ceca e, oltre a un risolutore CAPTCHA, venda strumenti per lo spamming, promozione di contenuti sui social media e SEO black hat.

Il fatto è che dopo che Microsoft ha confiscato l’infrastruttura del gruppo di hacker Storm-1152 sopra menzionato, gli specialisti di Arkose Labs sono riusciti a studiare il software Greasy Opal utilizzato negli attacchi.

Sebbene molti degli strumenti siano utilità di marketing piuttosto comuni, i ricercatori hanno notato che il risolutore CAPTCHA era specificamente mirato a prendere di mira organizzazioni specifiche. Tra i suoi obiettivi c’erano quindi: i servizi pubblici e governativi russi (Polizia stradale statale, Sistema unificato di navigazione e informazione di Mosca, Servizio fiscale, Servizio giudiziario federale, passaporti elettronici), il Ministero brasiliano delle Infrastrutture e l’Ufficio americano degli affari consolari del Dipartimento di Stato americano.

L'articolo Greasy Opal: Il Nuovo Strumento che Sconfigge i CAPTCHA proviene da il blog della sicurezza informatica.

Nei Paesi Bassi si è verificata una grave interruzione della rete integrata delle forze armate olandesi (NAFIN), causando interruzioni diffuse sia ai servizi militari che a quelli civili in tutto il paese.

Nella sua lettera al Parlamento, il ministro della Difesa Ruben Brekelmans ha spiegato che il guasto è stato causato da un bug nel codice del software che ha causato un problema di sincronizzazione dell’ora nella rete. Ciò ha reso impossibile la connessione a NAFIN, con ripercussioni su telefoni fissi, posta elettronica e telefonia.

Il fallimento ha avuto un impatto significativo sul funzionamento delle infrastrutture chiave. L’aeroporto di Eindhoven ha riscontrato gravi problemi di controllo del traffico aereo, che hanno portato a cancellazioni e ritardi dei voli. Alcuni passeggeri sono stati reindirizzati all’aeroporto di Bruxelles per proseguire il viaggio. L’aeroporto di Eindhoven funge anche da base militare, il che ha aggravato la situazione.

Inoltre, il guasto ha compromesso i sistemi di comunicazione e di allarme dei servizi di emergenza come la guardia costiera. I numeri di emergenza, compreso il 112 e le linee dei vigili del fuoco, sono rimasti operativi, ma la polizia e altri servizi sono stati costretti a utilizzare telefoni cellulari e messaggi di testo per coordinare gli sforzi.

L’incidente ha avuto un impatto anche sulla piattaforma DigiD, utilizzata dai dipartimenti governativi per gestire i conti dei cittadini. In alcuni comuni si sono verificati problemi che hanno impedito ai cittadini di ottenere passaporti o patenti di guida o di iscriversi alle vaccinazioni contro il coronavirus dai propri dispositivi mobili.

Il ministro della Giustizia David van Wel ha affermato nei suoi commenti che tali interruzioni potrebbero diventare più comuni in futuro, suscitando le critiche di alcuni parlamentari che hanno insistito sulla necessità di rafforzare le misure per prevenire tali situazioni. Si prevede che la questione verrà discussa in dettaglio nella prossima riunione della commissione difesa del parlamento olandese.

Da un lato, l’incidente ha evidenziato la vulnerabilità delle moderne infrastrutture e la dipendenza dei sistemi civili dalle reti militari. D’altro canto, i Paesi Bassi hanno dimostrato una certa resilienza: nonostante le gravi interruzioni, i servizi di emergenza sono stati in grado di utilizzare rapidamente scenari di backup e molti processi all’interno e all’esterno del Ministero della Difesa sono proseguiti come al solito.

L'articolo Olanda nel Caos! Un Blackout della Rete Militare blocca Aeroporti e Servizi di Emergenza proviene da il blog della sicurezza informatica.

Nelle ultime ore diversi siti francesi sarebbero stati presi di mira da attacchi informatici. All’origine di queste azioni: piccoli gruppi di hacker che chiedono la liberazione del boss di Telegram, arrestato sabato 24 agosto nei pressi di Parigi, o sfruttano l’evento per autopromozione.

Su Telegram gli URL dei siti francesi si susseguono. Tra due paragrafi scritti in russo, su diversi canali di messaggistica si condividono collegamenti ai siti della Corte di cassazione, del tribunale amministrativo di Parigi o della confederazione contadina. “Oggi […] colpiamo obiettivi sospetti ” , ha scritto un utente, invitando “chiunque desideri partecipare all’attacco” a inviare un messaggio a un altro utente di Internet. Il tutto adornato con emoji esplosivi, teschi e l’hashtag #FreeDurov.

Sabato 24 agosto il boss dell’applicazione Telegram, Pavel Durov, è stato arrestato dalle autorità francesi . La giustizia francese accusa il miliardario 39enne di non aver agito contro l’uso criminale del sistema di messaggistica.

Con i suoi gruppi di discussione che possono raggiungere fino a 200.000 persone, Telegram è regolarmente accusato di aumentare il potenziale virale di informazioni false e la proliferazione di contenuti odiosi, neonazisti, pedofili, cospiratori o terroristici.

Colpiti “almeno trenta” siti

Denunciando un arresto abusivo, diversi utenti del sistema di messaggistica hanno lanciato un appello per vendicarsi attaccando siti francesi. Un’operazione chiamata #opDurov si è scagliata contro la Francia.

Tra i siti colpiti l’amministrazione francese della città di Marsiglia o della rappresentanza permanente della Francia presso le Nazioni Unite. Ma anche la Confédération paysanne, La Voix du Nord e Doctolib. Mentre alcuni affermano di non aver notato alcuna attività insolita, altri confermano di essere stati presi di mira.

“Abbiamo notato che intorno alle 18 di sabato c’è stato un picco con 80.000 tentativi di connessione”, concorda il team della Confédération Paysanne, il che “confermerebbe il fatto che il sito è stato attaccato“.

Una volta presi di mira, diversi siti hanno subito rallentamenti o sono stati addirittura resi temporaneamente non disponibili. Questo lunedì, tuttavia, la maggior parte sembra funzionare di nuovo normalmente.

“Siamo ospitati su un server di grandi dimensioni, che risolve abbastanza facilmente questo tipo di problemi”, sottolinea la Confédération paysanne. “Non abbiamo invece informazioni sulle origini dell’azione. Perché siamo presi di mira? Non ne ho idea”. Il sindacato non è l’unico a porsi questa domanda. Tanto più che una miriade di siti che a priori non hanno nulla a che fare con Pavel Durov sono stati colpiti, come Syane, l’unione energetica e digitale dell’Alta Savoia.

L'articolo Dopo l’arresto di Pavel Durov, un’ondata di attacchi informatici ha preso di mira la Francia proviene da il blog della sicurezza informatica.

Le informazioni corrette dovrebbero essere disponibili per la persona o le persone giuste al momento giusto. Questo crede Alexey Soldatov, fisico nucleare, ex viceministro delle Comunicazioni (2008- 2010) e pioniere russo di Internet negli anni ‘90, che ora si troverebbe in carcere dopo la condanna a due anni da un tribunale di Mosca nel 2019. L’inchiesta penale sarebbe stata avviata da Andrei Lipov, il capo del dipartimento su Internet presso l’amministrazione presidenziale. Soldatov sarebbe stato tenuto agli arresti domiciliari per sei mesi e poi rilasciato su cauzione in attesa del processo, avvenuto questa estate nel luglio 2024. Le accuse sono state modificate in abuso di autorità, che comportano comunque una pena minore di quella del 2022.

IN BREVE:

• Le accuse di “abuso di potere”.
• Gli avvenimenti correlati: Internet Society ISOC-Bulgaria esprime la sua preoccupazione, L’instabilità politica della Bulgaria.
• Alexey Soldatov: il sogno di connettersi con il mondo e il primo collegamento al World Wide Web

Le accuse di “abuso di potere” per il traferimento illegale dei diritti di una serie di indirizzi IP

Chi ha fornito il motivo delle accuse è stato il figlio, il giornalista Andrei Soldatov – specializzato nel reportage sui servizi di sicurezza russi, tra cui l’FSB – che insieme a Irina Borog è uno degli autori di un articolo del 24 luglio 2024 pubblicato sul sito del Center for European Policy Analysis (CEPA). Nell’articolo si legge che Alexey Soldatov è accusato di “abuso di potere” per il traferimento illegale dei diritti di una serie di indirizzi IP legati a una organizzazione – il Telegraph cita una anonima società ceca – con la quale non ha alcun legame. L’agenzia di stampa Tass in un articolo del 25 dicembre 2019 citava: “Secondo Meduza il caso era legato al trasferimento di circa 490.000 indirizzi IPv4 alla società dell’imputato registrata nella Repubblica ceca“. All’epoca il tribunale si era rifiutato di accogliere la mozione dell’Unità investigativa della Direzione investigativa principale di Mosca del Ministero degli Interni russo di scegliere la custodia cautelare, mettendolo invece agli arresti domiciliari (il cui termine sarebbe scaduto il 28 gennaio 2020).

L’articolo di Andrei Soldatov evidenzia ora come l’incriminazione “una assurdità giuridica” che obbligherà Soldatov a rimanere in prigione anche se malato, nonostante la Corte non avrebbe dovuto stabilire una pena detentiva. Il giudice avrebbe emesso una sentenza più severa di quella richiesta dai pubblici ministeri e ignorato la malattia terminale del padre: a detta dei familiari, quella contro Soldatov è essenzialmente una condanna a morte.

Gli avvenimenti correlati

Internet Society ISOC-Bulgaria esprime la sua preoccupazione

Alcuni membri dell’Internet Society – Internet Society (ISOC – Bulgaria) – hanno espresso la loro seria preoccupazione per l’imprigionamento di Alexey Soldatov – e chiedono alle autorità russe di rilasciarlo urgentemente. Soldatov (72 anni) secondo quanto riportato è sopravvissuto a due interventi chirurgici correlati al cancro, ha problemi cardiovascolari cronici e altri problemi di salute. Anche se Soldatov è stato trasferito in un’altra prigione per le cure mediche, un articolo pubblicato da MK.ru lunedì 26 agosto ne riporta le condizioni critiche: “ha la febbre alta, problemi respiratori e il suo polmone sinistro non funziona” e le dure mediche di base sarebbero ben lontane da ciò di cui avrebbe bisogno una persona anziana e gravemente malata.

ISOC – Bulgaria ha invitato altre organizzazioni della Internet Society, pionieri di Internet, ingegneri, scienziati e attivisti online in tutto il mondo a sollecitare i loro governi a contattare il Cremlino e richiedere l’immediato rilascio del signor Alexey Soldatov, mentre è in corso il suo processo di appello anche tramite gli hashtag #FreeAlexeySoldatov, #RussianInternet.

L’instabilità politica della Bulgaria

Dopo lo scoppio con mosca la maggior parte dei cittadini bulgari ha iniziato a mettere in discussione i rapporti con Mosca (circa il 62% da un sondaggio Euractiv). La Bulgaria, rifiutandosi di pagare le forniture in rubli, ha inoltre ha cercato di ridurre le sue dipendenze energetiche dalla Russia che forniva il 90% delle risorse energetiche, passando a fornitori alternativi come la Turchia, Grecia, USA.

La Bulgaria vive uno stato di incertezza politica, e dopo sei elezioni in tre anni il Parlamento bulgaro non ha ancora una solida e chiara maggioranza. La prossima votazione sarebbe fissata per il 27 ottobre 2024. Il terzo gruppo più forte è rappresentato dal partito radicale filorusso (Revival) e secondo quanto riportato da Euractiv, alla fien di questo mese invierà una delegazione al forum BRICS a Mosca (mossa a sopresa dato che la Bulgaria non ha relazioni con i BRICS), rimanendo però ancorato al fatto che la Bulgaria dovrebbe rimanere “indipendente e coerente” solo con i suoi interessi nazionali.

Alexey Soldatov: il sogno di connettersi con il mondo e il primo collegamento al World Wide Web

Soldatov, fisico nucleare ha lavorato presso il Kurchatov Institute of Atomic Energy, un importante centro di ricerca nucleare sovietico durante la Guerra Fredda. Nell’articolo si afferma che “oltre alla ricerca sulle armi atomiche, gli scienziati del Kurchatov erano coinvolti in molti progetti di difesa cruciali, che spaziavano dai sottomarini nucleari sovietici alle armi laser. Di conseguenza, l’istituto godeva di uno status elevato nell’Unione Sovietica” che corrispondeva ad un maggiore grado di libertà rispetto ad altri istituti, come quello di poter essere “in grado di effettuare chiamate internazionali”. Il sogno di Soldatov era però quello di costruire una rete presso l’Istituto, quindi mise insieme un team di programmatori (1990) per iniziare a lavorare sul progetto e per collegare l’istituto con altri centri di ricerca nel paese. Il risultato fu la rete “Relcom”, che effettivamente creò una connessione tra il Kurchatov Institute di Mosca e l’Institute of Informatics and Automation di Leningrado (460 miglia di distanza), per poi stabilire “una connessione con i centri di ricerca di Dubna, Serpukhov e Novosibirsk”. Ma il sogno di Soldatov andava ben oltre allo scambio di semplici email, Soldatov voleva connettersi con il mondo.

Quello successe il 28 agosto 1990, quando fu attivata la prima connessione sovietica all’Internet globale: allora l’Istituto Kurchatov fu in grado di scambiarsi email con un’università di Helsinki, in Finlandia. Era il primo collegamento dell’Unione Sovietica al World Wide Web! Il sogno era diventato realtà ma l’idea allora andava contro i principi di ottenere una pre-autorizzazione obbligatoria, e nonostante tutto Alexey Soldatov – che credeva nella natura orizzontale di Internet – lottò per evitare lo sviluppo di un sistema operativo nazionale per computer o un motore di ricerca nazionale che avrebbe separato Internet russa dalla rete globale. Ha sempre creduto nella natura orizzontale e globale della rete.

Ma il resto della storia potete leggerlo nell’articolo di Andrei Soldatov:The Kremlin Jails the Father of Russia’s Internet

Leggi anche su Red Hot Cyber: Il Mondo Ha Bisogno di Nuovi Muri: come la Sicurezza Nazionale Sta Cambiando il Panorama Geopolitico Globale

L'articolo Alexey Soldatov uno dei padri dell’Internet russo si trova in prigione proviene da il blog della sicurezza informatica.

La diffusione della Generative AI ha consentito l’impiego massivo dell’AI in diversi contesti della vita umana, ma ha consentito anche il diffondersi di utilizzi distorti come le fake news. Per questo un uso corretto e consapevole dell’AI non può prescindere dalla guida e dalla supervisione dell’intelligenza umana

L'articolo Intelligenza e Gen AI, la convergenza di due mondi: un approccio by design e by default proviene da Cyber Security 360.

Le Pmi sono la spina dorsale del tessuto economico italiano e, spesso, per questione di budget sacrificano la cyber security. Ci sono soluzioni a costo ridotto che possono essere adottate da chiunque. Ma c’è da tenere conto di un incomodo ingombrante a cui quasi nessuno fa caso

L'articolo Cyber security e budget limitati. Queste le soluzioni per le Pmi proviene da Cyber Security 360.

Telegram è stato attenzionato dalle autorità francesi, a differenza di altre piattaforme di messaggistica, per due motivi tecnici. La crittografia di default e la conservazione dei dati sul server in chiaro. A differenza di altre piattaforme, Telegram potrebbe dare un supporto alle autorità ma sceglie di non farlo

L'articolo Ecco perché la Francia ha colpito Telegram e non le altre piattaforme proviene da Cyber Security 360.

La vicenda giudiziaria che ha coinvolto Pavel Durov mette in luce un potenziale limite della normativa europea, la quale sembra non possa, tuttavia, superare alcuni ambiti giuridici tipicamente “locali”, quale è ad esempio la normativa penale

L'articolo Telegram, così l’arresto di Durov mette in crisi l’Europa digitale proviene da Cyber Security 360.