Video Baby Monitor Repair Uncovers Private Data
As the name of the channel implies, [BuyItFixIt] likes to pick up cheap gadgets that are listed as broken and try to repair them. It’s a pastime we imagine many Hackaday readers can appreciate, because even if you can’t get a particular device working, you’re sure to at least learn something useful along the way.
But after recently tackling a VTech video baby monitor from eBay, [BuyItFixIt] manages to do both. He starts by opening up the device and going through some general electronics troubleshooting steps. The basics are very much worth following along with if you’ve ever wondered how to approach a repair when you don’t know what the problem is. He checks voltages, makes sure various components are in spec, determines if the chips are talking to each other with the oscilloscope, and even pulls out the thermal camera to see if anything is heating up. But nothing seems out of the ordinary.
While poking around with the oscilloscope, however, he did notice what looked like the output of a serial debug port. Sure enough, when connected to a USB serial adapter, the camera’s embedded Linux operating system started dumping status messages into the terminal. But before it got too far along in the boot process, it crashed with a file I/O error — which explains why the hardware all seemed to check out fine.
Now that [BuyItFixIt] knew it was a software issue, he started using the tools built into the camera’s bootloader to explore the contents of the device’s flash chip. He uncovered the usual embedded Linux directories, but when he peeked into one of the partitions labeled Vtech_data2, he got a bit of a shock: the device seemed to be holding dozens of videos. This is particularly surprising considering the camera is designed to stream video to the parent unit, and the fact that it could record video internally was never mentioned in the documentation.
While copying the chip’s contents over serial would have been possible, [BuyItFixIt] instead pulled it out and physically dumped the whole thing with a reader. With a bit of Linux-fu, he’s able to mount the chip dump and confirm that the videos in question are of the previous owner’s infant. Yikes. Of course, he promptly deleted the files once he realized what the camera had stored, but it makes us wonder how many cameras like these are holding private video files waiting for a bad actor to uncover them. This is an important reminder of the inherent dangers of tossing away “broken” smart devices.
As for the repair itself, [BuyItFixIt] reasoned that some file — maybe the database of videos — must have been corrupted on the chip, so he took the nuclear option and wiped it all out. He had to use the bootloader commands to recreate the partition table, but once that was done, the firmware seemed to understand that it had been returned to a factory state and was finally able to boot up normally. He’s documented the commands he used to get it back up and running in the hopes he can help out somebody else with a similarly ailing camera.
We can never get enough of this sort of firmware hacking, and the fact that this particular bout opened up with a great real-world example of hardware diagnosis makes it all the better. This is a long video, but one that’s well worth your time to check out. If you’d like to see more repairs from [BuyItFixIt], we’ve got you covered.
youtube.com/embed/eQ9uW95OJ3s?…
La funzione “Persone Vicine” di Telegram è scomparsa in alcune regioni dopo l’arresto di Durov
Il 25 agosto 2024, il fondatore di Telegram Pavel Durov è stato arrestato in Francia. Le autorità francesi sospettano che Telegram sia stato utilizzato per sostenere varie attività criminali come il traffico di droga, il terrorismo e la criminalità informatica. In particolare, le funzionalità del messenger come “Persone nelle vicinanze” hanno attirato l’attenzione delle forze dell’ordine.
La funzione Persone nelle vicinanze di Telegram consente agli utenti di trovare altre persone e gruppi locali nelle vicinanze utilizzando i dati di geolocalizzazione. Nel corso della sua esistenza, acquisì una reputazione controversa, poiché veniva spesso utilizzato dai criminali per perseguitare e rintracciare le persone.
Inoltre, è stato utilizzato attivamente in strumenti come CCTV (Close-Circuit Telegram Vision), sviluppato da Ivan Glinkin. Questo strumento permetteva di inserire le coordinate e ottenere un elenco di utenti in un raggio massimo di 500 metri, il che lo rendeva conveniente per l’uso per scopi criminali.
Gli utenti di Telegram hanno recentemente notato che la funzione Persone nelle vicinanze ha smesso di funzionare. Non è noto se ciò sia dovuto a un problema tecnico o a un’interruzione intenzionale. Vale anche la pena notare che il giorno prima la funzione di visualizzazione del contatore degli utenti attivi per i bot ha smesso di funzionare, il che potrebbe indicare possibili modifiche tecniche o aggiornamenti nel messenger.
Questi sviluppi avvengono in un contesto di crescente pressione su Telegram da parte delle autorità di regolamentazione europee, soprattutto dopo l’approvazione del Digital Services Act (DSA) nel 2023, che ha aumentato il controllo sulle piattaforme digitali e le ha obbligate ad adottare misure più attive per moderare i contenuti.
La disabilitazione della funzione Persone nelle vicinanze potrebbe essere dovuta sia a questa pressione che al recente abuso di questa funzione.
L'articolo La funzione “Persone Vicine” di Telegram è scomparsa in alcune regioni dopo l’arresto di Durov proviene da il blog della sicurezza informatica.
A Digital Replacement For Your Magic Eye
Magic Eye tubes were popular as tuning guides on old-school radio gear. However, the tubes, the 6U5 model in particular, have become rare and remarkably hard to come by of late. When the supply dried up, [Bjørner Sandom] decided to build a digital alternative instead.
The build relies on a small round IPS display, measuring an inch in diameter and with a resolution of 128×115 pixels. One can only presume it’s round but not perfectly so. It was then fitted with a 25mm glass lens in order to give it a richer, deeper look more akin to a real Magic Eye tube. In any case, a STM32F103CBT was selected to drive the display, with the 32-bit ARM processor running at a lovely 72 MHz for fast and smooth updates of the screen.
The screen, controller, and supporting circuitry are all built onto a pair of PCBs and installed in a 3D-printed housing that lives atop a tube base. The idea is that the build is a direct replacement for a real 6U5 tube. The STM32 controller receives the automatic gain control voltage from the radio set it’s installed in, and then drives the screen to behave as a real 6U5 tube would under those conditions.
By virtue of the smart design, smooth updates, and that nifty glass lens, the final product is quite a thing to behold. It really does look quite similar to the genuine article. If you’ve got a beloved old set with a beleagured magic eye, you might find this a project worth replicating. Video after the break.
youtube.com/embed/ghJo8rc5Zvc?…
youtube.com/embed/Q379PuWvB2U?…
🔁🖼 Oggi si lavora sulle bozze finali dell'Handbook in lingua inglese che stiamo preparando con la Milano University Press per il corso di "smart...
Oggi si lavora sulle bozze finali dell'Handbook in lingua inglese che stiamo preparando con la Milano University Press per il corso di "smart cities, artificial intelligence and digital transformation law" dell'Università di Milano che inizierà a fin…
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 likes this.
🔁 Cerchi Unrwa su Google e finisci… sui siti pagati dal governo di Tel Aviv pillole.graffio.org/pillole/ce…
Cerchi Unrwa su Google e finisci… sui siti pagati dal governo di Tel Aviv
pillole.graffio.org/pillole/ce…
Informa Pirata: informazione e notizie
Cerchi Unrwa su Google e finisci… sui siti pagati dal governo di Tel Aviv https://pillole.graffio.org/pillole/cerchi-unrwa-su-google-e-finisci-sui-siti-pagati-dal-governo-di-tel-avivTelegram
Informa Pirata: informazione e notizie
➡️ https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10051239Telegram
🔁 E anch oggi il Fediverso è all'ordine del giorno. Ah, forse no... feddit.it/post/10572086 Il nuovo post di informapirata è su feddit.it/c...
E anch oggi il Fediverso è all'ordine del giorno. Ah, forse no...
feddit.it/post/10572086
Il nuovo post di informapirata è su feddit.it/c/fediverso
E anch oggi il Fediverso è all’ordine del giorno.
Informa Pirata: informazione e notizie
E anch oggi il Fediverso è all'ordine del giorno. Ah, forse no... https://feddit.it/post/10572086 Il nuovo post di informapirata è su feddit.it/c/fediverso E anch oggi il Fediverso è all’ordine del giorno.Telegram
2024 Tiny Games Contest: Morse Quest Goes Where You Do
Do you know Morse code already? Or are you maybe trying to learn so you can be an old school ham? Either way, you could have a lot of fun with [felix]’s great little entry into the 2024 Tiny Games Contest — Morse Quest.
This minimalist text-based adventure game is played entirely in Morse code. That is, the story line, all the clues, and the challenges along the way are presented by a blinking LED. In turn, commands like LOOK, TAKE, and INVENTORY are entered with the slim key on the lower right side. A wee potentiometer allows the player to adjust the blink rate of the LED, so it’s fun for all experience levels. Of course, one could always keep a Morse chart handy.
The brains of this operation is an Arduino Nano, and there’s really not much more to the BOM than that. It runs on a 9 V, so theoretically it could be taken anywhere you want to escape reality for a while. Be sure to check out the demo video after the break.
youtube.com/embed/rrmVYNtu1S4?…
Elly, per favore, lascia perdere Renzi in Liguria e dai la linea al centrosinistra per la Regione
@Politica interna, europea e internazionale
Questo è un appello, anzi una richiesta pressante, una supplica angosciata rivolta ai dirigenti, nazionali e locali, dei partiti della cosiddetta opposizione, e in particolare al Partito democratico. In particolare mi rivolgo alla segretaria Elly Schlein
Palestinesi denunciano: gravi le condizioni della deputata Khalida Jarrar in carcere in Israele
@Notizie dall'Italia e dal mondo
La parlamentare del Fronte popolare, detenuta senza processo da otto mesi, verrebbe tenuta in uno stretto isolamento e sottoposta a gravi restrizioni nonostante le sue precarie condizioni di salute
L'articolo
Una SQL Injection Espone le Cabine di Pilotaggio! I Ricercatori Scoprono una Minaccia nei Sistemi Aerei
Gli specialisti della sicurezza informatica hanno scoperto una vulnerabilità in uno dei principali sistemi di sicurezza del trasporto aereo, che consentiva alle persone non autorizzate di aggirare i controlli di sicurezza dell’aeroporto e ottenere l’accesso alle cabine degli aerei.
I ricercatori Ian Carroll e Sam Curry hanno scoperto una vulnerabilità in FlyCASS, un servizio web di terze parti che alcune compagnie aeree utilizzano per gestire il loro programma Known Crewmember (KCM) e Cockpit Access Security System (CASS). KCM è un progetto TSA che consente ai piloti e agli assistenti di volo di aggirare i controlli di sicurezza, mentre CASS consente ai piloti autorizzati di sedersi nelle cabine degli aerei durante il viaggio.
Il sistema KCM, gestito da ARINC (una filiale di Collins Aerospace), verifica le credenziali dei dipendenti delle compagnie aeree attraverso una piattaforma online dedicata. Per aggirare lo screening, è necessario seguire un processo di verifica, che include la scansione di un codice a barre KCM o l’inserimento di un numero identificativo del dipendente, quindi il controllo incrociato nel database della compagnia aerea.
I ricercatori hanno scoperto che il sistema di registrazione FlyCASS era suscettibile a un problema di SQL injection. Utilizzando questo bug, gli esperti sono riusciti ad accedere al sistema con diritti di amministratore per una determinata compagnia aerea (Air Transport International) e sono stati in grado di modificare i dati dei dipendenti. Così, durante i test, i ricercatori hanno aggiunto al sistema un dipendente fittizio con il nome e cognome “Test TestOnly”, e poi hanno dato a questo account l’accesso a KCM e CASS.
“Chiunque abbia una conoscenza di base delle SQL injection potrebbe andare su questo sito e aggiungere chiunque a KCM e CASS, il che gli ha permesso di aggirare i controlli di sicurezza e ottenere l’accesso alle cabine di pilotaggio degli aerei di linea commerciali”, afferma Carroll.
Rendendosi conto della gravità della situazione, i ricercatori hanno immediatamente segnalato la vulnerabilità alle autorità contattando il Dipartimento per la Sicurezza Nazionale degli Stati Uniti (DHS) il 23 aprile 2024.
Di conseguenza, il DHS ha riconosciuto la gravità della vulnerabilità e ha confermato che FlyCASS era stato disconnesso dal sistema KCM/CASS il 7 maggio 2024 come misura precauzionale. Poco dopo la vulnerabilità in FyCASS è stata risolta. Tuttavia,
Carroll sottolinea inoltre che la vulnerabilità potrebbe portare a violazioni della sicurezza su larga scala, come l’alterazione dei profili dei membri KCM esistenti per aggirare eventuali controlli richiesti per i nuovi membri.
L'articolo Una SQL Injection Espone le Cabine di Pilotaggio! I Ricercatori Scoprono una Minaccia nei Sistemi Aerei proviene da il blog della sicurezza informatica.
Sull’arresto del fondatore di Telegram e le accuse di illiberalismo
[quote]Ma davvero cercare di regolamentare il Web e di responsabilizzarne gli attori sarebbero propositi illiberali? L’arresto, in Francia, del fondatore di Telegram Pavel Durov, l’avvio di un’indagine a suo carico da parte della Commissione europea e la sospensione di X decretata dalla Corte
Lumma Stealer viene distribuito tramite 29.000 commenti su GitHub
Gli hacker stanno abusando di GitHub per distribuire il malware Lumma Stealer, che ruba informazioni. Gli aggressori mascherano il malware sotto false correzioni, che pubblicano nei commenti ai progetti.
Questa campagna è stata scoperta per la prima volta da uno degli autori della libreria teloxide , che ha avvertito su Reddit di aver ricevuto cinque diversi commenti sui suoi problemi su GitHub. Erano tutti mascherati da correzioni, ma in realtà promuovevano malware.
Bleeping Computer riferisce di aver identificato migliaia di commenti simili su una varietà di progetti su GitHub che contenevano correzioni false. Pertanto, gli aggressori invitano le persone a scaricare un archivio protetto da password da mediafire.com o tramite un breve URL su bit.ly, per poi eseguire il file eseguibile in esso contenuto.
Facendo clic su questo collegamento si accede a una pagina di download per il file fix.zip, che contiene diverse DLL e un file eseguibile chiamato x86_64-w64-ranlib.exe. La password per prire l’archivio trovato in tutti i commenti era la stessa: “changeme“.
L’esecuzione del file eseguibile tramite Any.Run ha dimostrato che si tratta di un malware per rubare informazioni: Lumma Stealer.
Lo specialista in sicurezza informatica Nicholas Sherlock riferisce che in soli tre giorni, aggressori sconosciuti hanno pubblicato più di 29.000 commenti su GitHub che distribuisce Lumma.
Ricordiamo che sul sistema della vittima questo malware tenta di rubare cookie, credenziali, password, dati di carte bancarie e cronologia di navigazione da Google Chrome, Microsoft Edge, Mozilla Firefox e altri browser Chromium.
Lumma può anche rubare dati del portafoglio di criptovaluta, chiavi private e file di testo con i nomi seed.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, parole, wallet.txt, *.txt e * .pdf perché probabilmente contengono chiavi private e password.
Sebbene lo staff di GitHub rimuova i commenti dannosi non appena vengono scoperti, molte persone hanno riferito di essere state colpite da questo attacco.
Si consiglia a chiunque abbia lanciato il malware di cambiare le password di tutti i propri account il prima possibile, impostando una password univoca per ogni sito e di trasferire la criptovaluta su un nuovo portafoglio.
L'articolo Lumma Stealer viene distribuito tramite 29.000 commenti su GitHub proviene da il blog della sicurezza informatica.
Deca – Strategia esoterica
“Ogni mio nuovo lavoro rappresenta la summa e la sintesi di tutti quelli realizzati prima, evolvendone nuovamente il significato e la portata artistica. Credo che “Strategia Esoterica” abbia comunque una forza molto superiore perché frutto di una trasmutazione molto potente”- Deca @Musica Agorà
iyezine.com/deca-strategia-eso…
Deca - Strategia esoterica
Deca - Strategia esoterica - “Ogni mio nuovo lavoro rappresenta la summa e la sintesi di tutti quelli realizzati prima, evolvendone nuovamente il significato e la portata artistica.Massimo Argo (In Your Eyes ezine)
Spiders Are Somehow Hacking Fireflies to Lure More Victims
What happens when an unfortunate bug ends up in a spider’s web? It gets bitten and wrapped in silk, and becomes a meal. But if the web belongs to an orb-weaver and the bug is a male firefly, it seems the trapped firefly — once bitten — ends up imitating a female’s flash pattern and luring other males to their doom.
Fireflies communicate with flash patterns (something you can experiment with yourself using nothing more than a green LED) and males looking to mate will fly around flashing a multi-pulse pattern with their two light-emitting lanterns. Females will tend to remain in one place and flash single-pulse patterns on their one lantern.
When a male spots a female, they swoop in to mate. Spiders have somehow figured out a way to actively take advantage of this, not just inserting themselves into the process but actively and masterfully manipulating male fireflies, causing them to behave in a way they would normally never do. All with the purpose of subverting firefly behavior for their own benefit.
It all started with an observation that almost all fireflies in webs were male, and careful investigation revealed it’s not just some odd coincidence. When spiders are not present, the male fireflies don’t act any differently. When a spider is present and detects a male firefly, the spider wraps and bites the firefly differently than other insects. It’s unknown exactly what happens, but this somehow results in the male firefly imitating a female’s flash patterns. Males see this and swoop in to mate, but with a rather different outcome than expected.
The research paper contains added details but it’s clear that there is more going on in this process than meets the eye. Spiders are already fascinating creatures (we’ve seen an amazing eye-tracking experiment on jumping spiders) and it’s remarkable to see this sort of bio-hacking going on under our very noses.
L’Arma Segreta di RansomHub per disabilitare gli EDR. Il PoC del BYOVD usato da EDRKillShifter
Negli ultimi anni, la sicurezza informatica ha subito un’evoluzione rapida per contrastare le minacce sempre più sofisticate. Tuttavia, i cybercriminali continuano a trovare nuove modalità per aggirare le difese implementate dalle organizzazioni.
Un esempio recente è rappresentato dall’utilizzo di driver vulnerabili in attacchi mirati, una tecnica conosciuta come Bring Your Own Vulnerable Driver (BYOVD). In questo contesto, il gruppo di ransomware noto come RansomHub ha sfruttato un driver vulnerabile per disabilitare i sistemi di rilevamento e risposta degli endpoint (EDR) utilizzando uno strumento chiamato EDRKillShifter del quale avevamo parlato recentemente.
Descrizione del Driver Vulnerabile
Il driver utilizzato da RansomHub è TFSysMon (come riportato da Sophos), sviluppato da ThreatFire System Monitor, come dalle analisi svolte dal ricercatore di sicurezza Alex Necula di ACS Data System S.p.A che ha fornito a Red Hot Cyber una anteprima del suo rapporto di analisi.
Questo driver presenta una vulnerabilità critica dovuta alla mancanza di controlli di accesso adeguati in una chiamata IOCTL (0xB4A00404).
L’hash SHA256 del driver è 1c1a4ca2cbac9fe5954763a20aeb82da9b10d028824f42fff071503dcbe15856.
Il problema principale risiede in una subroutine chiamata dalla funzione IOCTL, che utilizza l’API ZwTerminateProcess senza verificare i permessi dell’utente che effettua la chiamata.
Funzionamento di EDRKillShifter
EDRKillShifter è lo strumento impiegato da RansomHub per sfruttare questa vulnerabilità. Esso sfrutta la mancanza di controllo nell’accesso alla funzione sub_1837C del driver, la quale accetta un argomento a1[3] senza verificare se chi invoca la funzione possieda i permessi necessari per terminare un processo. In altre parole, un attore malevolo può invocare il codice IOCTL per terminare in modo improprio un processo EDR, bypassando così le misure di sicurezza.
L’uso di EDRKillShifter da parte di RansomHub rappresenta una minaccia significativa per la sicurezza informatica. La capacità di disabilitare i sistemi EDR consente agli attaccanti di eludere la rilevazione e di eseguire le proprie operazioni malevole senza essere scoperti. In un attacco documentato, RansomHub ha sfruttato questa vulnerabilità per compromettere diversi sistemi, disabilitando con successo 5 su 7 software EDR testati.
POC (Proof of Concept)
In seguito alla scoperta della vulnerabilità nel driver TFSysMon, è stato sviluppato un Proof of Concept (POC) per dimostrare la fattibilità e l’impatto dell’exploit. Questo POC è stato realizzato per testare l’efficacia dell’attacco su diversi software EDR. Durante i test condotti nel mese di maggio, tre mesi prima che RansomHub iniziasse a utilizzare il driver vulnerabile, il POC ha dimostrato la capacità di terminare con successo cinque su sette software EDR testati.
Il POC sfrutta la chiamata IOCTL (0xB4A00404) che, come descritto, invoca la funzione sub_1837C senza eseguire controlli sui permessi. La mancanza di controllo di accesso permette al POC di terminare impropriamente i processi EDR, mostrando chiaramente come un attore malevolo potrebbe sfruttare questa vulnerabilità per disabilitare le difese di sicurezza di un sistema.
Per motivi di sicurezza, il codice del Proof of Concept non è stato pubblicato. Tuttavia, l’esperimento ha fornito prove concrete che questa vulnerabilità rappresenta una seria minaccia per i sistemi di sicurezza aziendali. L’esistenza di strumenti come EDRKillShifter, capaci di sfruttare tali debolezze, richiede che le organizzazioni adottino misure preventive efficaci, come l’aggiornamento regolare dei driver e la verifica della sicurezza delle proprie infrastrutture.
L’esperimento POC sottolinea inoltre l’importanza di una collaborazione continua tra ricercatori di sicurezza e fornitori di software, per identificare e correggere prontamente le vulnerabilità prima che possano essere sfruttate in attacchi reali.
Il POC sviluppato ha dimostrato non solo l’esistenza della vulnerabilità nel driver TFSysMon, ma anche la sua pericolosità se utilizzata da attori malevoli. Questo esperimento ha rafforzato l’importanza di adottare un approccio proattivo nella gestione delle vulnerabilità, includendo test regolari e aggiornamenti tempestivi. La condivisione delle scoperte tra la comunità della sicurezza è cruciale per prevenire attacchi futuri e proteggere le infrastrutture critiche da minacce sempre più sofisticate.
Conclusioni
Il caso di EDRKillShifter utilizzato da RansomHub è un promemoria inquietante della creatività e della persistenza dei cybercriminali. La mancanza di controlli di accesso nei driver al momento può avere conseguenze devastanti, permettendo agli attori malevoli di compromettere i sistemi di sicurezza più avanzati. È fondamentale che le organizzazioni mantengano un approccio proattivo alla sicurezza, includendo la valutazione continua delle vulnerabilità e la pronta applicazione di patch e aggiornamenti per mitigare tali rischi.
Un ringraziamento speciale va ad Alex Necula di ACS Data System S.p.A per aver condotto il Proof of Concept che ha permesso di evidenziare la vulnerabilità critica del driver TFSysMon. Il suo lavoro ha fornito un contributo fondamentale alla comprensione e alla mitigazione di questa minaccia. Senza la sua dedizione e competenza, sarebbe stato più difficile per la comunità della sicurezza riconoscere e affrontare efficacemente questo potenziale vettore d’attacco.
La sua collaborazione e il suo impegno per la sicurezza informatica sono altamente apprezzati e rappresentano un esempio di come il lavoro di un singolo ricercatore possa avere un impatto significativo sulla protezione collettiva contro le minacce informatiche.
L'articolo L’Arma Segreta di RansomHub per disabilitare gli EDR. Il PoC del BYOVD usato da EDRKillShifter proviene da il blog della sicurezza informatica.
Zero Erre Quattro reshared this.
Cox si vanta di spiare gli utenti con i microfoni dei dispositivi per vendere annunci mirati, ma non è chiaro se sia effettivamente in grado di farlo
Cox Communications,fornitore americano di televisione digitale via cavo, è accusata di aver svilupp…
LIBRI. Laboratorio Palestina: l’esperienza sul campo si vende in armi
@Notizie dall'Italia e dal mondo
Antony Loeweisten, giornalista investigativo australiano, traccia la linea delle relazioni tra l’industria bellica israeliana e molti paesi del mondo. La vendita di armi emerge come priorità impellente per Tel Aviv a dispetto della natura politica dell’acquirente
L'articolo
🔁 🩸 Il costo umano e ambientale per fabbricare una console per videogiochi Smontando una PlayStation 4, il critico videoludico Lewis Gordon ha i...
🩸 Il costo umano e ambientale per fabbricare una console per videogiochi
Smontando una PlayStation 4, il critico videoludico Lewis Gordon ha individuato, tra gli elementi che la compongono, quelli che vengono definiti "minerali del conflitto", così …
Informa Pirata: informazione e notizie
🩸 Il costo umano e ambientale per fabbricare una console per videogiochi Smontando una PlayStation 4, il critico videoludico Lewis Gordon ha individuato, tra gli elementi che la compongono, quelli che vengono definiti "minerali del conflitto", così …Telegram
Perù: FSC sospende la certificazione alla società di disboscamento, una vittoria per le organizzazioni indigene
@Notizie dall'Italia e dal mondo
La revoca completa della certificazione è stata richiesta dalle organizzazioni indigene peruviane in seguito alla pubblicazione delle immagini che mostrano che l'area è abitata da un
GAZA. Israele costruisce un nuovo corridoio per il controllo permanente
@Notizie dall'Italia e dal mondo
Cominciata a inizio novembre, secondo il Forensic Architecture, la costruzione della strada è costata la distruzione di fattorie, terreni agricoli, abitazioni, frutteti e garantirà alle truppe un accesso sicuro fin dentro Gaza City
L'articolo GAZA. Israele
The Strangest Way to Stick PLA to Glass? With a Laser and a Bit of Foil
Ever needed a strong yet adhesive-free way to really stick PLA to glass? Neither have we, but nevertheless there’s a way to use aluminum foil and an IR fiber laser to get a solid bond with a little laser welding between the dissimilar materials.
It turns out that aluminum can be joined to glass by using a pulsed laser process, and PLA can be joined to aluminum with a continuous wave laser process. Researchers put them together, and managed to reliably do both at once with a single industrial laser.
By putting a sacrificial sheet of thin aluminum foil between 3D printed PLA and glass, then sending the laser through the glass into the aluminum, researchers were able to bond it all together in an adhesive-free manner with precise control, and very little heat to dissipate. No surface treatment of any kind required. The bond is at least as strong as any adhesive-based solution, so there’s no compromising on strength.
When it comes to fabrication, having to apply and manage adhesives is one of the least-preferable options for sticking two things together, so there’s value in the idea of something like this.
Still, it’s certainly a niche application and we’ll likely stick to good old superglue, but we honestly didn’t know laser welding could bond aluminum to glass or to PLA, let along both at once like this.
Head Mare: adventures of a unicorn in Russia and Belarus
Head Mare is a hacktivist group that first made itself known in 2023 on the social network X (formerly Twitter)[1]. In their public posts, the attackers reveal information about some of their victims, including organization names, internal documents stolen during attacks, and screenshots of desktops and administrative consoles.
By analyzing incidents in Russian companies, we identified how Head Mare conducts its attacks, the tools it uses, and established the group’s connection with the PhantomDL malware (article in Russian).
Key findings
- Head Mare exclusively targets companies in Russia and Belarus.
- For initial access, the group conducts various phishing campaigns distributing RAR archives that exploit the CVE-2023-38831 vulnerability in WinRAR.
- Some of the discovered tools overlap with previously investigated groups attacking Russian organizations.
- The group encrypts victims’ devices using two ransomware families: LockBit for Windows and Babuk for Linux (ESXi).
Technical details
Historical context
Since the beginning of the Russo-Ukrainian conflict, we’ve seen the emergence of numerous hacktivist groups whose main goal is often not financial gain but causing as much damage as possible to companies on the opposing side of the conflict. Head Mare is one such group, exclusively targeting organizations located in Russia and Belarus. This is confirmed by open-source information and telemetry from the Kaspersky Security Network – a system for collecting anonymized threat data voluntarily provided by users of our solutions.
Hacktivist groups attacking Russian organizations in the context of the Russo-Ukrainian conflict use similar techniques and tools and, when analyzed using the Unified Kill Chain method, generally resemble one another. However, unlike other similar groups, Head Mare uses more up-to-date methods for obtaining initial access. For instance, the attackers took advantage of the relatively recent CVE-2023-38831 vulnerability in WinRAR, which allows the attacker to execute arbitrary code on the system via a specially prepared archive. This approach allows the group to deliver and disguise the malicious payload more effectively.
Like most hacktivist groups, Head Mare maintains a public account on the social network X, where they post information about some of their victims. Below is an example of one of their posts:
Head Mare post on X
At the time of carrying out the study, the group has claimed nine victims from various industries:
- Government institutions;
- Transportation;
- Energy;
- Manufacturing;
- Entertainment.
The ultimate goal of the attackers is likely to cause maximum damage to companies in Russia and Belarus. However, unlike some other hacktivist groups, Head Mare also demands a ransom for data decryption.
Head Mare’s toolkit
In their attacks, Head Mare mainly uses publicly available software, which is typical of most hacktivist groups targeting Russian companies in the context of the Russo-Ukrainian conflict. However, while some hacktivists have no proprietary developments in their toolkit at all, Head Mare uses their custom malware PhantomDL and PhantomCore in phishing emails for initial access and exploitation.
Below is a list of software discovered in Head Mare attacks:
- LockBit ransomware;
- Babuk ransomware;
- PhantomDL;
- PhantomCore;
- Sliver;
- ngrok;
- rsockstun;
- XenAllPasswordPro;
- Mimikatz.
Most of these tools are available on the internet, be it LockBit samples generated using the publicly available builder leaked in 2022, or the Mimikatz utility, whose code is available on GitHub.
Initial access
During our investigation of Head Mare’s activities, we discovered that this group is associated with targeted attacks on Russian organizations using malicious PhantomDL and PhantomCore samples. The detected samples were distributed in various phishing campaigns in archives with decoy documents of the same name. The malicious archives exploit the CVE-2023-38831 vulnerability in WinRAR. If the user attempts to open the legitimate-seeming document, they trigger the execution of the malicious file. The same sample could be distributed in different archives with decoy documents on various topics.
Verdicts with which our products detect PhantomDL samples: the malware is recognized, among other things, as an exploit for CVE-2023-38831
After execution, PhantomDL and PhantomCore establish communication with one of the attackers’ command servers and attempt to identify the domain to which the infected host belongs. Below are the results of dynamic analysis of several samples in Kaspersky Sandbox (detonation graphs), reflecting the malware’s behavior immediately after launch.
Detonation graph of a PhantomDL sample reflecting its behavior in Kaspersky Sandbox
In the image above, the PhantomDL sample connects to the C2 server 91.219.151[.]47 through port 80 and performs domain identification using the command
cmd.exe /c "echo %USERDOMAIN%".
PhantomDL communication with C2
The PhantomCore sample establishes a connection with another C2 (45.11.27[.]232) and checks the host’s domain using the WinAPI function
NetGetJoinInformation.
PhantomCore sample detonation in Kaspersky Sandbox
Suspicious activity of the PhantomCore sample
Another PhantomCore sample, after execution, establishes a connection with C2 5.252.178[.]92:
PhantomCore C2 connection
During our research, we also found several PhantomDL and PhantomCore samples, which we cannot attribute with complete certainty to the same cluster of activity as the samples found in Head Mare’s attacks. Information about these samples can be found in the section “Samples similar to Head Mare’s toolkit”.
Persistence in the system
The attackers used several methods to persist in the system. For example, in one incident, they added a PhantomCore sample to the Run registry key. After execution, the sample automatically established a connection with the attackers’ C2 5.252.176[.]47:
PhantomCore C2 connection
We observed the following commands adding a value to the Run registry key:
| Command | Description |
| cmd /c “cd /d $selfpath\ && reg add HKCU\Software\Microsoft\Windows\CurrentVersion \Run /v \”MicrosoftUpdateCoree\” /t REG_SZ /d \”$selfpath\$selfname.exe\ /f” | Adding a value to the Run registry key named MicrosoftUpdateCoree with content $appdata\Microsoft\Windows\srvhostt.exe (PhantomCore) with the /f parameter (no confirmation prompt) |
| reg add HKCU\Software\Microsoft\Windows\CurrentVersion \Run /v \”MicrosoftUpdateCoree\” /t REG_SZ /d \”$appdata\Microsoft\Windows\srvhostt.exe\” /f | |
| reg add HKCU\Software\Microsoft\Windows\CurrentVersion \Run /v \”MicrosoftUpdateCore\” /t REG_SZ /d \”$appdata\Microsoft\Windows\srvhost.exe\” /f | A similar method of adding to the registry key, but the value is named MicrosoftUpdateCore |
In some other cases, the attackers created scheduled tasks to persist in the victim’s system. The following tasks were used to launch a PhantomCore sample:
| Command | Description |
| schtasks /create /tn \”MicrosoftUpdateCore\” /tr \”$appdata\Microsoft\Windows\srvhost.exe\” /sc ONLOGON | Creates a scheduled task named MicrosoftUpdateCore that launches $appdata\Microsoft\Windows\srvhost.exe (PhantomCore) each time the user logs in |
| schtasks /create /tn “MicrosoftUpdateCore” /tr “$appdata\Microsoft\Windows\srvhost.exe” /sc ONLOGON /ru “SYSTEM” | A similar method of creating a scheduled task, but in this case, the task runs with SYSTEM privileges |
Detection evasion
As mentioned in the previous section, the attackers create scheduled tasks and registry values named MicrosoftUpdateCore and MicrosoftUpdateCoree to disguise their activity as tasks related to Microsoft software.
We also found that some LockBit samples used by the group had the following names:
- OneDrive.exe;
- VLC.exe.
These samples were located in the C:\ProgramData directory, disguising themselves as legitimate OneDrive and VLC applications.
In general, many of the tools used by Head Mare had names typical of legitimate programs and were located in standard paths or lookalikes:
| Software | Path |
| Sliver | C:\Windows\system32\SrvLog.exe |
| rsockstun | c:\Users\<user>\AppData\Local\microsoft\windows\srvhosts.exe |
| c:\Users\<user>\AppData\Roaming\microsoft\windows\srvhostt.exe | |
| Phantom | c:\windows\srvhost.exe |
| c:\Users\<user>\appdata\roaming\microsoft\windows\srvhost.exe | |
| LockBit | c:\ProgramData\OneDrive.exe |
As can be seen in the table, the attackers primarily attempted to disguise their samples as legitimate svchost.exe files in the C:\Windows\System32 directory.
The attackers also used disguise tactics in their phishing campaigns – samples of PhantomDL and PhantomCore were named to resemble business documents and had double extensions. Here are some examples we encountered:
- Счет-Фактура.pdf .exe
- договор_ №367кх_от_29.04.2024_и_доп_соглашение_ртсс 022_контракт.pdf .exe
- решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf .exe
- тз на разработку.pdf .exe
- исходящее письмо от 29.04.2024 n 10677-020-2024.pdf .exe
- возврат средств реквизиты.pdf .exe
Additionally, all the samples of PhantomDL and PhantomCore we found were obfuscated, possibly using a popular obfuscator for Go called Garble.
Management and infrastructure
During our research, we discovered that the main C2 framework used by the attackers is Sliver, an open-source C2 framework designed for simulating cyberattacks and pentesting. Such frameworks are used to manage compromised systems after initial access, allowing attackers (or pentesters) to execute commands, gather data, and manage connections.
Sliver’s architecture includes an agent (implant) installed on compromised devices to execute commands from the server, a server for managing agents and coordinating their actions, and a client in the form of a command-line interface (CLI) for operator-server interaction. Sliver’s core functionality includes managing agents, executing commands via a command shell, creating tunnels to bypass network restrictions, and automating routine tasks with built-in scripts.
The Sliver implant samples we found had default configurations and were created using the following command:
generate --http [IP] --os windows --arch amd64 --format exe
To disguise the implants, the attackers used the popular Garble tool, which is available on GitHub.
The attackers also frequently used VPS/VDS servers as C2 servers. Below is a list of servers we observed in attacks:
| IP | First detection | ASN |
| 188.127.237[.]46 | March 31, 2022 | 56694 |
| 45.87.246[.]169 | June 26, 2024 | 212165 |
| 45.87.245[.]30 | – | 57494 |
| 185.80.91[.]107 | July 10, 2024 | 212165 |
| 91.219.151[.]47 | May 02, 2024 | 56694 |
| 5.252.176[.]47 | – | 39798 |
| 5.252.176[.]77 | October 29, 2023 | 39798 |
Various utilities used at different stages of the attacks were found on the attackers’ C2 servers. The same utilities often appeared on different servers with identical file names.
Analysis of Head Mare’s C2 infrastructure
Below is a list of tools found on one of the attackers’ command servers:
Contents of one of the C2 server directories
| Utility name | Description |
| 2000×2000.php | PHP shell for executing commands on the server. This shell is called p0wny@shell:~# and is available on GitHub at hxxps://github[.]com/flozz/p0wny-shell. |
| LEGISLATIVE_COUSIN.exe | Sliver implant. Connects to 5.252.176[.]77:8888. |
| SOFT_KNITTING.exe | |
| sherlock.ps1 | PowerShell script for quickly finding vulnerabilities for local privilege escalation, available on GitHub at hxxps://github[.]com/rasta-mouse/Sherlock/tree/master. |
| ngrok.exe | ngrok utility. |
| reverse.exe | Meterpreter. Connects to 5.252.176[.]77:45098. |
| servicedll.exe | nssm utility for managing services. |
| sysm.elf | Unix reverse shell using the sys_connect function to connect to the attacker’s C2. If the connection attempt fails, the program enters sleep mode for 5 seconds using the sys_nanosleep function before trying again. Connects to 5.252.176[.]77:45098. |
| Xmrig* | XMRig miner. Not used in any attacks known to us. |
Pivoting
Pivoting is a set of methods that allow an attacker to gain access to private network segments using compromised machines as intermediate nodes. For this purpose, the attackers use the ngrok and rsockstun utilities.
The rsockstun utility creates a reverse SOCKS5 tunnel with SSL and proxy server support. It allows a client behind a NAT or firewall to connect to a server via a secure connection and use SOCKS5 to forward traffic.
We analyzed the utility’s code and identified its key functions:
| Client | Server |
ConnectViaProxy function:
ConnectForSocks function:
| listenForSocks function:
listenForClients function:
|
Fragment of rsockstun code containing one of the Head Mare C2 addresses
Ngrok is a cross-platform utility designed to create secure tunnels to local web servers over the internet. It allows quick and easy access to local services and applications by providing public URLs that can be used to access the server externally.
Network exploration
After successfully gaining a foothold on the initial node, attackers execute a series of commands to further explore the node, domain, and network environment:
| Command | Description |
| cmd /c “echo %USERDOMAIN%” | Retrieve the victim’s domain name |
| arp -a | Retrieve the ARP cache for all network interfaces on the compromised system |
| “cmd /c “cd /d $selfpath && whoami | Gather information about the current user’s name and domain |
| cmd /c “cd /d $appdata && powershell Get-ScheduledTask -TaskName “WindowsCore” | Search for a scheduled task named WindowsCore |
Credential harvesting
To collect credentials, attackers use the mimikatz utility.
In addition, to obtain additional credentials from the system, attackers use the console version of the XenArmor All-In-One Password Recovery Pro3 utility (XenAllPasswordPro), which can extract user credentials from registry hives.
"c:\ProgramData\update\XenAllPasswordPro.exe" -a
"c:\ProgramData\update\report.html"
End goal: file encryption
While studying Head Mare attacks, we discovered the use of two ransomware families:
- LockBit for Windows;
- Babuk for ESXi.
Babuk
The Babuk variant we discovered is a 64-bit build for ESXi, created using a publicly available configurator. The Trojan uses standard encryption algorithms for Babuk builds for ESXi – X25519 + SHA256 + Sosemanuk, as well as the standard extension for encrypted files, *.babyk.
Kaspersky Threat Attribution Engine results for the found Babuk samples
The distinctive features of the discovered Trojan are:
- Ability to log its activities in /tmp/locker.log.
- Ability to destroy running virtual machines, the list of which is taken from the vm-list.txt file. This file is populated when the esxcli vm process listd command is called.
The Babuk sample we found encrypts files with the following extensions:
| .vmdk | .vmem | .vswp |
| .vmsn | .bak | .vhdx |
After encryption is complete, it leaves a ransom note. Below is an example of the note, which contains a unique identifier for the Session messenger and the message “Message us for decryption ^_^.”
Babuk sample ransom note
LockBit
The LockBit builds we found in Head Mare attacks are identical to samples generated by the publicly available LockBit builder, which was leaked online in 2022. The attackers distributed LockBit under the following names:
- lb3.exe
- lock.exe
- OneDrive.exe
- lockbithard.exe
- lockbitlite.exe
- phdays.exe
- l.exe
- VLC.exe
The ransomware was located in the following paths:
- c:\Users\User\Desktop;
- c:\ProgramData\.
The attackers used two of these ransomware versions sequentially – lockbitlite.exe and then lockbithard.exe. First, they encrypted files using LockbitLite, and then additionally encrypted the output with the LockbitHard variant.
The configuration of these variants differed slightly.
| LockbitLite | LockbitHard |
| “encrypt_filename”: false, | “encrypt_filename”: true, |
| “wipe_freespace”: false, | “wipe_freespace”: true, |
| “white_folders”: “$recycle.bin;config.msi;$windows.~bt;$w indows.~ws;windows;boot”, | “white_folders”: “”, |
Examples of the notes from both samples, which are generated when the Trojan is created in the configurator, are presented below.
Ransom note from LockBit sample
Ransom note from another LockBit sample
Victimology
According to Kaspersky Threat Intelligence, all samples related to Head Mare were detected only in Russia and Belarus. The screenshot below shows the analysis of the PhantomDL sample on the Threat Intelligence Portal.
Information about the PhantomDL sample from TIP
Samples similar to Head Mare’s toolkit
To get a more complete picture, we analyzed samples seen in Head Mare attacks using the Similarity technology, which helps us find similar malware samples. While we can’t say for certain that the discovered files were also used by Head Mare, their similarity may help in attributing cyberattacks and further analyzing the group’s activities.
PhantomDL
| MD5 of the original sample | MD5 of similar samples |
| 15333D5315202EA428DE43655B598EDA | A2BD0B9B64FBDB13537A4A4A1F3051C0 |
PhantomCore
| MD5 of the original sample | MD5 of similar samples |
| 16F97EC7E116FE3272709927AB07844E | 855B1CBA23FB51DA5A8F34F11C149538 |
| 55239CC43BA49947BB1E1178FB0E9748 | 0E14852853F54023807C999B4FF55F64 99B0F80E9AE2F1FB15BFE5F068440AB8 |
LockBit
Conclusions
The tactics, methods, procedures, and tools used by the Head Mare group are generally similar to those of other groups associated with clusters targeting organizations in Russia and Belarus within the context of the Russo-Ukrainian conflict. However, the group distinguishes itself by using custom-made malware such as PhantomDL and PhantomCore, as well as exploiting a relatively new vulnerability, CVE-2023-38831, to infiltrate the infrastructure of their victims in phishing campaigns. This is an important aspect that Russian and Belarusian organizations should pay attention to: attackers are evolving and improving their TTPs.
Indicators of compromise
Please note: The network addresses provided in this section are valid at the time of publication but may become outdated in the future.
Hashes:
201F8DD57BCE6FD70A0E1242B07A17F489C5F873278475AF2EAF82A751C24FA8
9F5B780C3BD739920716397547A8C0E152F51976229836E7442CF7F83ACFDC69
08DC76D561BA2F707DA534C455495A13B52F65427636C771D445DE9B10293470
6A889F52AF3D94E3F340AFE63615AF4176AB9B0B248490274B10F96BA4EDB263
33786D781D9C492E17C56DC5FAE5350B94E9722830D697C3CBD74098EA891E5A
5D924A9AB2774120C4D45A386272287997FD7E6708BE47FB93A4CAD271F32A03
9B005340E716C6812A12396BCD4624B8CFB06835F88479FA6CFDE6861015C9E0
5A3C5C165D0070304FE2D2A5371F5F6FDD1B5C964EA4F9D41A672382991499C9
DC3E4A549E3B95614DEE580F73A63D75272D0FBA8CA1AD6E93D99E44B9F95CAA
053BA35452EE2EA5DCA9DF9E337A3F307374462077A731E53E6CC62EB82517BD
2F9B3C29ABD674ED8C3411268C35E96B4F5A30FABE1AE2E8765A82291DB8F921
015A6855E016E07EE1525BFB6510050443AD5482039143F4986C0E2AB8638343
9D056138CFB8FF80B0AA53F187D5A576705BD7954D36066EBBBF34A44326C546
22898920DF011F48F81E27546FECE06A4D84BCE9CDE9F8099AA6A067513191F3
2F1EE997A75F17303ACC1D5A796C26F939EB63871271F0AD9761CDBD592E7569
AF5A650BF2B3A211C39DCDCAB5F6A5E0F3AF72E25252E6C0A66595F4B4377F0F
9E9FABBA5790D4843D2E5B027BA7AF148B9F6E7FCDE3FB6BDDC661DBA9CCB836
B8447EF3F429DAE0AC69C38C18E8BDBFD82170E396200579B6B0EFF4C8B9A984
92804FAAAB2175DC501D73E814663058C78C0A042675A8937266357BCFB96C50
664B68F2D9F553CC1ACFB370BCFA2CCF5DE78A11697365CF8646704646E89A38
311EDF744C2E90D7BFC550C893478F43D1D7977694D5DCECF219795F3EB99B86
4C218953296131D0A8E67D70AEEA8FA5AE04FD52F43F8F917145F2EE19F30271
2D3DB0FF10EDD28EE75B7CF39FCF42E9DD51A6867EB5962E8DC1A51D6A5BAC50
DC47D49D63737D12D92FBC74907CD3277739C6C4F00AAA7C7EB561E7342ED65E
EDA18761F3F6822C13CD7BEAE5AF2ED77A9B4F1DC7A71DF6AB715E7949B8C78B
File paths:
$appdata\Microsoft\Windows\srvhostt.exe
$appdata\Microsoft\Windows\srvhost.exe
C:\Windows\system32\SrvLog.exe
c:\Users\User\AppData\Local\microsoft\windows\srvhosts.exe
c:\windows\srvhost.exe
c:\ProgramData\OneDrive.exe
c:\ProgramData\update\XenAllPasswordPro.exe
c:\ProgramData\update\report.html
$user\desktop\rsockstun.exe
C:\ProgramData\resolver.exe
$user\desktop\lockbitlite.exe
$user\desktop\lb3.exe
C:\ProgramData\lock.exe
$user\desktop\x64\mimikatz.exe
c:\Users\User\Documents\srvhost.exe
c:\microsoft\windows\srchost.exe
IP addresses
188.127.237[.]46
45.87.246[.]169
45.87.245[.]30
185.80.91[.]107
188.127.227[.]201
5.252.176[.]47
45.11.27[.]232
URLs
188.127.237[.]46/winlog.exe
188.127.237[.]46/servicedll.exe
194.87.210[.]134/gringo/splhost.exe
194.87.210[.]134/gringo/srvhost.exe
94.131.113[.]79/splhost.exe
94.131.113[.]79/resolver.exe
45.156.21[.]178/dlldriver.exe
5.252.176[.]77/ngrok.exe
5.252.176[.]77/sherlock.ps1
5.252.176[.]77/sysm.elf
5.252.176[.]77/servicedll.rar
5.252.176[.]77/reverse.exe
5.252.176[.]77/soft_knitting.exe
5.252.176[.]77/legislative_cousin.exe
5.252.176[.]77/2000×2000.php
[1] x.com/head_mare is the account supposedly associated with the hacktivist group. Use this source with caution.
securelist.com/head-mare-hackt…
È disponibile il nuovo numero della newsletter del Ministero dell’Istruzione e del Merito.
Ministero dell'Istruzione
#NotiziePerLaScuola È disponibile il nuovo numero della newsletter del Ministero dell’Istruzione e del Merito.Telegram
Pavel Durov, Telegram: la libertà di espressione non è priva di responsabiltà
L’”arresto” di Pavel Durov all’aeroporto Parigi-Le Bourget, poco dopo essere atterrato su un jet privato proveniente da Baku (Azerbaigian) non solo possiede contorni poco nitidi, ma ha scatenato il caos, le critiche di Elon Musk sulla libertà di parola, quelle di Edward Snowden sulla libertà di espressione e associazione e gli interventi degli Emirati Arabi e della Russia, affinché i suoi diritti fossero rispettati. Contemporaneamente però sono arrivate anche parole dure, tra queste quelle di Dmitry Medvedev – Vicepresidente del Consiglio di Sicurezza della Federazione Russa – sul suo canale Telegram. In passato infatti a Durov il governo russo chiese di collaborare con le forze dell’ordine. In risposta al suo rifiuto Medvedev gli avrebbe risposto: “Allora sarai in grossi guai con tutti i paesi”. “Ha sbagliato i calcoli“, scrive Medvedev “per tutti i nostri comuni nemici lui è russo e per questo imprevedibile e pericoloso […] Durov deve capire che la Patria non è scelta“. Tuttavia, dopo aver lasciato la Russia, Durov vi sarebbe tornato diverse decine di volte, almeno sino allo scoppio della guerra in Ucraina, questo secondo un rapporto di Important Stories, basato su una fuga di dati dell’intelligence russa.
IN BREVE:
- Pavel Durov / Telegram: tre capi di imputazione riguardano la crittografia
- Una questione politica o di sicurezza?
- Non tutti i messaggi di telegram sono criptati di default
- Si può giocare da soli contro tutto il mondo?
- Mike Benz: Telegram è un potente veicolo per mobilitare le proteste
- Proteggere i dati degli utenti “a tutti i costi”
- L’età oscura dell’informazione: “The hacker spirit breaks any spell”
Pavel Durov / Telegram: tre capi di imputazione riguardano la crittografia
Ma alla base della custodia cautelare di Durov – di patria russo ma che ha la doppia cittadinanza francese e quella degli Emirati Arabi Uniti, a cui si aggiunge la cittadinanza dell’isola caraibica di Saint Kitts e Nevis – non compare il nome di Vladimir Putin. L’indagine preliminare – aperta l’8 luglio “contre personne non dénommée” – come recita la comunicazione della Procura della Repubblica francese – da parte del Centro per il contrasto alla criminalità digitale (C3N) e all’Ufficio nazionale antifrode (ONAF), contiene 12 capi d’imputazione tra cui tre che riguardano la crittografia:
- Fornitura di servizi di crittografia volti a garantire funzioni di riservatezza senza dichiarazione conforme,
- Fornitura di mezzi di crittografia che non garantiscano esclusivamente funzioni di autenticazione o di controllo dell’integrità senza previa dichiarazione,
- Importazione di un mezzo di crittografia che non fornisce esclusivamente funzioni di autenticazione o di controllo dell’integrità senza previa dichiarazione.
Secondo un investigatore locale Durova sapeva di essere ricercato, il che sarebbe collimante con le dichiarazioni del canale Telegram: “Durov non ha nulla da nascondere”. Le accuse però sono anche quelle di essersi rifiutato di di comunicare alle autorità “le informazioni o i documenti necessari per effettuare e sfruttare le intercettazioni autorizzate dalla legge”. In men che non si dica la notizia ha scatenato una serie di attacchi Ddos contro siti web governativi francesi e in questo quadro non solo la commissione Europa ha aperto un’inchiesta parallela per sincerarsi che il Digital Services Act (Dsa) non sia stato ‘violato’ – dichiarando anche di avere un modo per determinare quanto siano accurati i dati sui cittadini europei (?) – un’indagine è stata aperta anche dal Cybercrime Coordination Centre (I4C) indiano. Sembra quindi essere solo l’inzio. Intanto il CEO di Telegram è stato rilasciato dietro una cauzione di 5 milioni di euro e non può lasciare la Francia, con l’obbligo di presentarsi due volte a settimana in una stazione di polizia. Non è ancora però chiaro che tipo di pressione potrebbe essere esercitata per liberarlo.
Una questione politica o di sicurezza?
Dimitri Peskov, ha avvertito che i procedimenti giudiziari contro un “cittadino russo” non dovrebbero “trasformarsi in persecuzione politica”, tuttavia se si trattasse di una questione politica – che Macron assolutamente nega riportando le decisioni ai giudici ai quali spetta stabilire se le leggi o di diritti umani siano stati infranti – non sarebbe la prima volta: in un’ intervista passata di Tucker Carlson, Durov spiega come mai si terrebbe lontano – per suddetti motivi – da Russia, Cina e Stati Uniti. Alcuni governi – sue parole – infatti hanno cercato di fargli pressione ma l’app dovrebbe rimanere una piattaforma neutrale e non un “attore nella geopolitica”. “Preferirei essere libero piuttosto che prendere ordini da chiunque”.
Per poi dissipare ogni dubbio sulla cittadinanza francese di Durov sarebbe intervenuto Macron: avrebbe infatti dichiarato di avergli concesso personalmente il passaporto -procedura eseguita anche per il CEO americano di Snapchat, Evan Spiegel – decisione che risalirebbe ad un incontro del 2018 rimasto segreto e durante il quale era stato chiesto a Durov di trasferire la sede dell’app di messaggistica nella capitale francese. Ad oggi però la sede è a Dubai. E’ poi il Wall Street Journal a rivelare che nel 2018 lo smartphme di Durov era sotto il controllo dell’intelligence francese in un’operazione congiunta con gli Emirti Arabi Uniti nell’ambito di un’operazione contro lo Stato islamico che usava l’applicazione per reclutare militanti e pianificare attentati.
Non tutti i messaggi di telegram sono criptati di default
Tuttavia, il founder dell’app Signal, Moxie Marlinspike su X ha chiarito che: “I messaggi di Telegram non sono criptati E2E (almeno in deafult). È anche un “cloud messenger”, il che significa che tutti i messaggi risiedono sui server di Telegram anziché sul dispositivo dell’utente. Con una query, il team russo di Telegram può ottenere ogni messaggio inviato o ricevuto dal presidente francese ai suoi contatti, ogni messaggio inviato o ricevuto da quei contatti ai loro contatti, ogni messaggio inviato o ricevuto dai contatti di quei contatti, ecc”.
“È solo testo in chiaro” osserva Marlinspike “non ci sono limiti a ciò che possono fare, come usare un LLM per esaminare tutto quel materiale e tirare fuori lo sporco, mappare le relazioni, capire chi nasconde segreti a chi, ecc. Per i politici e i membri del gabinetto francesi, è un po’ troppo tardi per fare qualcosa. Anche se provassero a eliminare tutti i loro messaggi ora, il team di Telegram potrebbe semplicemente contrassegnare i messaggi come “eliminati” in modo che non vengano più visualizzati dall’utente, ma non eliminerebbe effettivamente i dati a cui mantengono l’accesso”.
Ora riguardo a ciò che è successo in Francia, Politico in un articolo del 27 agosto ci spiega qualcosa che potrebbe sembrarci scontato: “Basta aprire la chat Telegram di chiunque faccia parte dell’orbita politica francese e si noteranno legislatori, membri del governo e consiglieri presidenziali online o connessi di recente”. Lo stesso presidente francese Emanuel Macron utilizza Telegram. E proprio quando Pavel Durov era sotto custodia, un ex parlamentare francese ha mostrato a Politico l’accesso recente del presidente Macron a Telegram. Ma il problema nn riguarda solo i politici francesi, bensì i nazionalisti ucraini e russi che conducono proprio su Telegram le loro guerre di propaganda.
Già nel novembre 2023, il governo francese per voce del primo ministro – Élisabeth Borne – aveva avvisato ministri e team di lavoro di non usare app di messggistica come WhatsApp, Telegram e Signal, sottolineando che “questi strumenti digitali non sono privi di falle di sicurezza e pertanto non possono garantire la sicurezza delle conversazioni e delle informazioni condivise tramite essi”. Consentite invece le app francesi Tchap e Olvid, certificata dall’agenzia francese per la sicurezza informatica ANSSI.
Si può giocare da soli contro tutto il mondo?
Ma Pavel Durov non è solo. Anche Elon Musk con X ha le sue grane: la corte suprema del Brasile infatti non solo ha fatto sospendere l’app bloccando l’accesso degli utenti alla piattaforma, tanto da fare aumentare vertiginosamente l’utilizzo delle VPN nel paese, ma sta rendendo difficile la vita anche a Starlink bloccando le transazioni finanziarie. La motivazione dichiarata? La richiesta di bloccare determinati account, accusati di diffondere fake news, che Musk ha definito “censura”. Così a controllare i contenuti pubblicati dagli utenti non sarebbe solo il “Deep State” americano.
A tutto ciò si aggiunge la lettera ufficiale di Mark Zuckerberg, il quale il 26 agosto ha inviato una lettera al repubblicano Jim Jordan ha ammesso di aver ceduto al pressing della Casa Bianca per la censura di alcuni contenuti relativi al Covid-19 contro la sua volontà. Oltre a ciò nella lettera viene chiarito che l’FBI li aveva avvertito circa un’operazione di disinformazione russa sulla famiglia Biden e Zuckerberg ammette di aver così declassato la storia e avere scoperto invece che si trattava di una notizia genuina: “non avremmo dovuto declassare la storia”. Allo stesso tempo ha dichiarato che il suo obiettivo in questa campagna presidenziale sia quello di rimanere neutrale.
Mike Benz: Telegram è un potente veicolo per mobilitare le proteste
Nell’intervista di Tucker Carlson a Mike Benz emergono fatti più o meno noti riguardo la vicenda Pavel Durov/Telegram. C’è motivo di pensare che USA e Francia abbiano condiviso intelligence militare ed interessi diplomatici ed economici nell’arrestare Pavel, per ottenere finalmente il controllo su Telegram, la pratica di moderazione dei contenuti, il divieto di tutti i canali di propaganda russi, dall’Ucraina alla Bielorussia all’Africa subsahariana, e l’accesso back-end per leggere efficacemente ogni messaggio di testo russo o meno. Dall’altra parte invece la Russia ha un accesso al backend di Telegram? La risposta secondo Benz è no. Nel cao però che “lo abbia decifrato tramite i suoi hacker informatici o che Pavel avesse qualche accordo segreto, potrebbe includere il fatto che se ogni rivoluzione colorata organizzata su Telegram possa essere monitorata segretamente dai russi allora questo potrebbe essere il motivo per cui molte di quest non hanno avuto successo”.
Mike Benz, direttore della Foundation for Freedom Online, ex funzionario del Dipartimento di Stato (con responsabilità nella formulazione e negoziazione della politica estera degli Stati Uniti su questioni di comunicazioni internazionali e tecnologie dell’informazione) – assicura: se non c’è libertà di parola “non c’è movimento politico che puoi rafforzare le capacità per cambiare il regime del governo o per mantenere elementi di controllo sul governo esistente”.
Questo sarebbe il motivo per cui il Dipartimento di Stato ha rafforzato le capacità delle ONG, che nel 2018 hanno condannato la Russia per aver tentato di vietare Telegram. Benz afferma il Dipartimento di Stato degli Stati Uniti avrebbe “armato” Telegram – attraverso la potenza della sua chat crittografata e tutte le sue funzionalità – per fomentare proteste e rivolte in Russia, proprio come hanno fatto in Bielorussia, proprio come hanno fatto in Iran, proprio come hanno fatto a Hong Kong, proprio come hanno tentato di fare in Cina. Telegram ha quasi un miliardo di utenti, sui quali non solo agisce la propaganda americana ma anche quella russa e questo è un problema in questo momento in Ucraina. “Solo due settimane dopo la tua intervista con Pavel, Radio Free Europe, che è un’istituzione creata dalla CIA che l’ha gestita direttamente per i suoi primi 20 anni – ha definito Telegram una spia nelle tasche di ogni ucraino e ha sostenuto che l’Ucraina deve avere il controllo su Telegram”.
“Forse il motivo per cui l’Ucraina sta perdendo è perché la Russia sa tutto quello che fa l’Ucraina”, conclude ma è una cosa di pura fantasia pensare che l’Ucraina stia “perdendo una guerra di terra contro un paese con 100 milioni di persone in più perché Pavel Durov ha un accordo segreto con Putin”. Ciò non toglie che la libertà di parola su Internet, “sta consentendo l’ascesa di Marine Le Pen in Francia” che sta perdendo anche la capacità di tenere sotto controllo il continente africano dove in alcuni paesi vengono bruciate le bandiere francesi e issate quelle russe al pari del taglio dei legami diplomatici con l’Ucrana.. In Europa “sta consentendo l’ascesa del partito Vox in Spagna, AfD in Germania” e così via.
Proteggere i dati degli utenti “a tutti i costi”
Ora però mi verrebbe da dire che dovremmo francamente domandarci se la libertà di parola debba dipendere solo da un social o un servizio di messaggistica. Dovremmo – ma questa è solo una mia considerazione che può anche non essere condivisa – farci un esame di coscienza sulla nostra dipendenza digitale, perchè se si finisce all’interno di un Panopticon per essere osservati da chiuqnue la scelta è anche nostra, non dei paladini del free speech.
A questo si aggiunge che gli sforzi di monetizzazione vengono fatti da tutte queste app, che per rendersi “autosostenibili finanziariamente” introducono abbonamenti e offerte pubblicitarie, soprattutto nel caso di Telegram che guarderebbe – parole di Durov – ad una possibile quotazione in borsa: nel marzo del 2024 Telegram ha raccolto 330 milioni di dollari tramite vendite obbligazionarie.
La società è poi legata alle transazioni in criptovalute e strettamente associata a Grab – token decentralizzato e completamente gestito dalla comunità – e a Toncoin, una criptovaluta inizialmente sviluppata dal team di Telegram e che ha attirato investitori russi individuali e istituzionali, tra gli altri, che hanno sofferto negli ultimi giorni perdite significative.
L’età oscura dell’informazione: “The hacker spirit breaks any spell”
Il 19 agosto è uscita una nuova pubblicazione di Phrack Magazine (71): nell’introduzione si evidenzia come oggi non solo le buone informazioni siano più difficili da trovare, ma che quelle cattive le stanno
sommergendo. Fortunatamente però, ci sono ancora gli hacker, che possiamo lavorare insieme per mantenere le buone informazioni e amplificare le voci di coloro che le creano e le curano.
“The hacker spirit breaks any spell”: “lo spirito hacker distrugge ogni incantesimo, ha il potere di creare nuovi metodi di comunicazione e collaborazione, di modellare il mondo e creare un percorso attorno ad ogni nuovo muro eretto. Non è solo questione di computer, si tratta di capire come funziona il mondo. Perché “un hacker è qualcuno che capisce come funziona il mondo” e “Se qualcuno ti dice che l’hacking è morto, è perché non è coinvolto nel vero e proprio hacking. Potrebberlo essere stati. Potrebbero volerlo essere. E questo non ha nulla a che fare con le loro conoscenze o abilità tecniche. Lo è e basta. E se chiunque cerchi di parlare a nome di tutti gli hacker, o di tutto l’hacking, non lo fa”. [Rodrigo Branco].
L'articolo Pavel Durov, Telegram: la libertà di espressione non è priva di responsabiltà proviene da il blog della sicurezza informatica.
Ultra-Black Material, Sustainably Made from Wood
Researchers at the University of British Columbia leveraged an unusual discovery into ultra-black material made from wood. The deep, dark black is not the result of any sort of dye or surface coating; it’s structural change to the wood itself that causes it to swallow up at least 99% of incoming light.
The discovery was partially accidental, as researchers happened upon it while looking at using high-energy plasma etching to machine the surface of wood in order to improve it’s water resistance. In the process of doing so, they discovered that with the right process applied to the right thickness and orientation of wood grain, the plasma treatment resulted in a surprisingly dark end result. Fresh from the plasma chamber, a wood sample has a thin coating of white powder that, once removed, reveals an ultra-black surface.
The resulting material has been dubbed Nxylon (the name comes from mashing together Nyx, the Greek goddess of darkness, with xylon the Greek word for wood) and has been prototyped into watch faces and jewelry. It’s made from natural materials, the treatment doesn’t create or involve nasty waste, and it’s an economical process. For more information, check out UBC’s press release.
You have probably heard about Vantablack (and how you can’t buy any) and artist Stuart Semple’s ongoing efforts at making ever-darker and accessible black paint. Blacker than black has applications in optical instruments and is a compelling thing in the art world. It’s also very unusual to see an ultra-black anything that isn’t the result of a pigment or surface coating.
Allarme Quishing! I Codici QR e Microsoft Sway in un Nuovo Attacco Phishing
I ricercatori di cybersecurity hanno scoperto una nuova e allarmante minaccia: una campagna di phishing basata su codici QR, chiamata “quishing“. Questo attacco sfrutta in modo ingegnoso l’infrastruttura di Microsoft Sway, un popolare strumento cloud per la creazione di presentazioni e documenti, per ospitare pagine fraudolente. Questa scoperta mette in luce un pericolo insidioso: anche i servizi cloud più affidabili possono essere trasformati in potenti armi nelle mani dei cybercriminali.
“Utilizzando applicazioni cloud riconosciute, gli attaccanti riescono a infondere fiducia nelle vittime, che si sentono più sicure nell’interagire con i contenuti forniti“, spiega Jan Michael Alcantara, ricercatore presso Netskope Threat Labs. “Quando una vittima apre una pagina Sway (Pagina web interattiva), spesso lo fa già autenticata con il proprio account Microsoft 365, il che può contribuire a legittimare l’attacco agli occhi dell’utente. Sway, inoltre, può essere facilmente condiviso tramite link o incorporato in un sito web tramite un tag iframe.”
Gli attacchi hanno preso di mira principalmente utenti in Asia e Nord America, con particolare attenzione ai settori della tecnologia, della produzione e della finanza.
Microsoft Sway, lanciato nel 2015, è uno strumento cloud-based per la creazione di newsletter, presentazioni e documentazione. Secondo quanto riportato da una nota azienda di sicurezza, si è registrato un aumento di 2.000 volte nel traffico verso pagine di phishing uniche ospitate su Sway a partire da luglio 2024. L’obiettivo di questi attacchi è rubare le credenziali degli utenti Microsoft 365, utilizzando falsi codici QR che, una volta scansionati, reindirizzano a siti web di phishing.
In alcune di queste campagne di quishing, gli aggressori utilizzano Cloudflare Turnstile per nascondere i domini agli scanner di URL statici, complicando ulteriormente i tentativi di rilevamento. L’attività si distingue anche per l’impiego di tecniche di phishing Adversary-in-the-Middle (AitM), che sottraggono sia le credenziali sia i codici di autenticazione a due fattori (2FA), riproducendo pagine di login identiche a quelle originali.
“L’uso di codici QR per reindirizzare le vittime a siti di phishing pone una sfida considerevole per i difensori della sicurezza”, osserva Alcantara. “Poiché l’URL è incorporato in un’immagine, gli scanner di e-mail che analizzano solo testo possono essere facilmente ingannati. Inoltre, quando una vittima scansiona un codice QR con un dispositivo mobile, spesso meno protetto rispetto a laptop o desktop, si espone a rischi maggiori.”
Non è la prima volta che Microsoft Sway viene sfruttato per attacchi di phishing. Già nell’aprile 2020, Group-IB aveva documentato una campagna chiamata PerSwaysion, che aveva compromesso gli account e-mail aziendali di oltre 150 dirigenti in Germania, Regno Unito, Paesi Bassi, Hong Kong e Singapore.
Questo nuovo sviluppo arriva in un momento in cui le campagne di quishing stanno diventando sempre più sofisticate. Mentre i fornitori di sicurezza affinano le loro tecnologie di rilevamento, gli aggressori rispondono con nuove tecniche, come il “Unicode QR Code Phishing“.
J. Stephen Kowski, CTO di SlashNext, sottolinea come questi codici QR, composti interamente da caratteri Unicode, riescano a bypassare le tradizionali misure di sicurezza. Questi codici appaiono normali sugli schermi, ma risultano diversi quando visualizzati come testo, rendendo ancora più complessi i tentativi di rilevamento.
L'articolo Allarme Quishing! I Codici QR e Microsoft Sway in un Nuovo Attacco Phishing proviene da il blog della sicurezza informatica.
Pibiesse, la tipografia che guarda al futuro
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
La Pibiesse è una tipografia, ma anche un progetto di innovazione sociale che vuole diventare modello per la riqualificazione del territorio
L'articolo Pibiesse, la tipografia che guarda al futuro proviene da Valori.
Luglio e Agosto Infuocati anche in Italia: Nuove Tendenze Ransomware ee Evoluzione degli Attacchi RaaS
Nel bel mezzo nella stagione fatta da spiagge e temperature aride i movimenti dei RaaS si sono fatti altrettanto caldi. Tra TTPs e nuovi metodi per nascondere attività maligne, il periodo di Luglio ed Agosto hanno portato alla luce interessanti metodi operativi con risultati da non sottovalutare.
Qilin – Brokers & Credentials Harvesting
Il RaaS Qilin è noto per operazioni non standardizzate ed omogenee tra loro ma ultimamente, grazie ai professionisti di Incident Response e Digital Forensics, stanno venendo alla luce pattern in quanto alle attività d’attacco. La prima componente è un uso sempre più massiccio di Initital Access Brokers comprando credenziali raccolte in precedenza, queste credenziali vengono spesso usate per accedere a VPN aziendali sfruttando la mancanza di MFA. Gli operator di Qilin hanno mostrato una estrema pazienza rispetto alla concorrenza mantenendo la loro presenza tra i 10 e 20 giorni prima di schierare il decryptor.
Una volta ottenuta la persistenza gli operator iniziano ad enumerare la rete in cerca di asset critici (come domain controllers) cercando di ottenere i permessi necessari per i loro obiettivi. Una volta ottenuti viene creata una GPO (Group Policy Domain) con incluso uno script powershell chiamato IPScanner.ps1, tale strumento permette di eseguire lo script (tramite un file .bat) all’interno di ogni singola macchina connessa al dominio vittima. È stato scoperto che l’esecuzione dello script permette l’estrazione di credenziali all’interno del Google Chrome estraendo dalle decine alle centinaia di password salvate all’interno del browser. Tramite le credenziali ottenute si riesce in maniera (relativamente) facile ad eseguire movimenti orizzontali e verticali fino all’utilizzo del ransomware.
Abusare Google Chrome non dovrebbe stupire nessuno visto che il browser con più di 50% di utilizzo nel mercato e gli utenti tendono a salvare le credenziali per comodità. La quantità di dati ottenuti con facilità non è solamente strettamente neccessaria all’operazion in se ma possono essere riutilizzati o venduti. Importante spiegare agli utenti e/o dipendenti di non utilizzare dispositivi a scopo lavorativo per attività personali, in caso contrario si ottiene un rischio (non necessario) di exfiltration di dati personali e non solamente aziendali rendendo vittime gli utenti e i loro asset personali.
Nonostante le dense attività di Qilin e la loro reputazione li renda un bersaglio favorito alle forze dell’ordine non hanno fermato il gruppo a reinventarsi, la loro pazienza è stata ripagata con il furto di dati di valore che potrebbero permettere un ulteriore pivot dalla quale monetizzare o costruire nuovi attacchi.
3AM & INC Ransomware – No More (Healthy) Rules
Per chi non segue in maniera periodica la scena ransomware gli attacchi ad asset di servizi healtcare potrebbero sembrare eccezzioni visti i regolamenti interni ai RaaS che hanno da sempre contraddistinto queste attività criminali. Purtroppo i codici di onore sono sempre più assenti oppure rimangono una semplice facciata senza un nulla di fatto, il sopracitato Qilin RaaS ha alzato (o abbassato, dipende dai punti di vista) il livello colpendo la non-profit Promise2Kids ma tutto l’ecosistema sta ormai abbandonando i valori che contrasstiguevano i predecessori.
3AM (RaaS di cui RHC ha descritto le potenzialità nel Report Ransomware H1 2024) ha colpito un’altra azienda healtcare no-profit chiamata Kootenai Health (Idaho, USA) rubando circa 464,000 record di pazienti contenenti social security numbers, record medici, diagnosi ed altro legato alla salute di quest’ultimi. Dopo aver eseguito il loro ransomware (scritto in Rust) per criptare i dati nella giornata del 24 Marzo 2024 hanno rilasciato i dati per intero solo di recente nel 13 Agosto 2024.
Come gia discusso in queste sedi 3AM è sembrato sin da subito un RaaS funzionale, spawnato in un periodo ideale (dove LockBit ha dato i primi segni di cedimento) per potersi afferrare una fetta di mercato. Le indagini ed analisi svolte portano a pensare che Conti sia in qualche modo correlato a 3AM, cosa da non escludere vista l’alta efficenza di questo nuovo gruppo.
Inolte abbiamo una ulteriore azienda di Healtcare chiamata McLaren dove nella prima settimana sono stati sorpresi da un disruption di computer e telefoni ne mentre le stampanti hanno iniziato a far uscire ransom note rivendicando l’attacco al gruppo ransomware INC RANSOM
Tale gruppo ha un focus importatne su healthcare e government preferendo un approccio Big Bounty Game preferendo poche vittime ma con un potenziale di pagamento più alto rispetto ad un alto numero di attacchi. McLaren ha fatto uno statement pubblico scusandosi con i suoi clienti che sono stati impattati dall’attacco :
“We understand this situation may be frustrating to our patients – and to our team members – and we deeply and sincerely apologize for any inconvenience this may cause […] We kindly ask for your patience while our caregivers and support teams work as diligently as ever to provide our communities the care they need and deserve.”
McLaren è gia stata precedentemente attaccata con successo il 4 Ottobre 2023 da BLACKHAT/ALPHV che gli è costato un leak di 2.5 millioni di persone con record simili a quelli ottenuti da 3AM sopra citati. Questo conferma che essere vittima di un attacco non comporta in nessun modo periodi di “immunità” e che le misure di resilienza devono essere applicate da subito, un secondo attacco a distanza di 8/9 mesi evidenzia inufficenti procedure di security mantenendo vulnerabile McLaren.
BlackSuit – Enough is enough?
CISA e FBI hanno voluto portare l’attenzione su BLACKSUIT, le loro indagini hanno rilevato come questo gruppo sia un rebrand di Royal vista la condivisione di IoC e TTPs. Ultimamente BlackSuit sta chiedendo dei ransom molto elevati rispetto alla media con un range che varia da 1 ai 10 millioni di dollari di riscatto. Il massimo raggiunto è stato di $60 millioni con un guadagno totale di $500 millioni, una quantità non da poco considerando la loro breve presenza nella scena. Da considerare che mediamente i ransom risiedono nel range $200k-$2 MLN.
Rimamendo sull’economia del settore, ChainAnalysis ha pubblicato un report dichiarando e dimostrando con i dati collezzionati come il 2024 promette di essere l’anno più remunerativo per i RaaS. Ad esempio nello stesso periodo (Luglio) del 2023 il totale ottenuto ammontava a $200k ma nel 2024 è più che triplicata raggiungendo la cifra di $1,500,000. Da notare come la top 6 dei RaaS è responsabile del 50% degli attacchi mostrando come il settore si stia evolvendo con vere e proprie “multinazionali” che riescono a raccogliere un alto numero di affiliati (vedi RansomHub) e conseguente numero di attacchi. La top 6 è composta da LockBit, 8Base, Play, RansomHub, Akira e BlackBasta.
Conclusioni – Lo scenario italiano
Le reti all’interno dello stivale non sono state risparmiate, alla scrittura di questo articolo il numero di attacchi da inizio anno ammonta a 95. Chiaramente si tratta solamente degli attacchi rivendicati pubblicamente con Akira e RansomHub in cima alla classifica. Nel mese di Luglio l’Italia è il paese europeo con il più alto numero di attacchi (ben 13).
Abbiamo cambiamenti riguardo al settore di government & compliance con l’introduzione di NIS2 ma sopratutto ACN, in accordo con DNA e Polizia Di Stato, hanno instaurato un accordo per lo scambio di informazioni riguardante gli attacchi informatici. Una buona notizia che può finalmente aiutare tutti gli stakeholder italiani portando ad una protezione proattiva basata sul reciproco scambio ed una trasparenza da tanto ricercata nel settore.
Nonostante il relativo basso numero di attacchi rispetto alla scena internazionale l’Italia non è stata risparmiata di attacchi ad asset notevoli. Tra l’Università di Siena e SynLab anche noi abbiamo ricevuto furti, con conseguente cifratura, di alta quantità di dati sensibili. Tutto ciò che è stato scritto sopra provengono da fonti estere dove la cultura della trasparenza sembra essere ormai lo standard e che effettivamente aiutano la community ad ottenere informazioni importanti per la costruzione di un threat model e metodi di difesa adeguati.
In nessuna operazione che ha necessitato la presenza di ACN o CSIRT sono state spiegate TTP, risultati di forensics e neanche il nome del Threat Actor dovendosi affidare a ciò che viene rivendicato dal lato criminale. Fondamentale l’importanza a dichiarare pubblicamente da dove è stato originato l’attacco, i metodi utilizzati per muoversi all’interno della rete e il risultato di tale attacco in maniera trasparente donando al pubblico informazioni preziose per potersi difendere.
Si augura che questo nuovo accordo possa segnare l’inizio di una nuova frontiera per la sicurezza digitale italiana basata sulla collaborazione ed apertura totale da parte delle istituzioni. Potersi finalmente affidare ad informazioni interne al territorio senza dover usare esclusivamente fonti esterne (e quindi targettizate per il pubblico non italiano) è ciò che si è atteso da tempo ma che finalmente sembra essere una realtà anche in Italia permettendo un continuo miglioramento dell’industria.
L'articolo Luglio e Agosto Infuocati anche in Italia: Nuove Tendenze Ransomware ee Evoluzione degli Attacchi RaaS proviene da il blog della sicurezza informatica.
Aerei e navi nella tassonomia europea: Bruxelles dovrà risponderne in tribunale
@Notizie dall'Italia e dal mondo
Il nuovo articolo di @valori@poliversity.it
Bruxelles etichetta come “investimenti verdi” aerei e navi inquinanti: una coalizione di ong la trascina in tribunale
L'articolo Aerei e navi nella tassonomia europea: Bruxelles dovrà risponderne in tribunale proviene da Valori.
A Mini NUC Rack for Your Desktop
We (well, some of us) are complete suckers for things that are both much smaller and much larger than life. And if that thing actually does what its supposed to? Squee! So naturally, we rushed to bring you news of this mini NUC rack designed by [Jeremy Weatherford].
Inspiration comes from a lot of places, often times from stuff that lives on your desk. [Jeremy] had a pile of NUCs and thought they resembled a mini rack already, so why not build them one to live in? It was the perfect excuse to learn CAD, so off [Jeremy] went. Although this is a mini rack, the parts were too big to print. Another opportunity presented itself, and [Jeremy] tried out an online service to get the acrylic cut.
Assembly may have been fiddly with super glue all over the nice black acrylic, but [Jeremy] learned an important tip: excess glue can be removed with vegetable oil. Once it was built, he decided to make it into a control system lab and even found a perfect little five-port switch to top it off. The logo plate, of course, is the icing on this cake.
If you prefer your tower of mini-computers to be extruded, we covered a clever design from [Jay Doscher] back in May.
La minaccia di LOCKBIT ritorna in Italia: Attacco ransomware contro GB Ricambi
Il famoso gruppo di cybercriminali LockBit ha rivendicato un nuovo attacco informatico ai danni di GB Ricambi, azienda italiana specializzata nella produzione e distribuzione di ricambi e componenti per macchine agricole e movimento terra.
L’attacco è stato rivendicato sul Data Leak Site (DLS) di LockBit 3.0, dove il gruppo ha dichiarato di aver violato i sistemi di GB Ricambi. Tuttavia, non sono stati forniti dettagli specifici sui dati compromessi, lasciando in sospeso l’entità effettiva della violazione e l’impatto potenziale per i clienti coinvolti.
L’attacco a GB Ricambi
La ransomware gang ha rilasciato poche informazioni sull’attacco, non specificando né la tipologia né la quantità dei dati esfiltrati. Si sono limitati a impostare un conto alla rovescia di circa 11 giorni per la pubblicazione e la diffusione dei dati sottratti.
La Situazione Attuale
In data 18/06/2024, GB Ricambi ha rilasciato un comunicato in cui affermano che, GB RICAMBI S.p.A. ha rilevato un accesso non autorizzato a documenti commerciali contenenti dati anagrafici di alcuni clienti, come nome, cognome, comune, provincia e indirizzo email.
Non sono state compromesse le credenziali di accesso al portale di e-commerce. L’azienda ricorda ai clienti di non fornire mai codici personali o password via email o telefono. Hanno preso provvedimenti immediati e informato l’Autorità Garante per la protezione dei dati personali.
Difatti, in tale data è stato confermato un attacco da parte di un altro gruppo ransomware, RansomHub, che ha pubblicato i dati esfiltrati di circa 400 GigaByte.
Conclusioni
Attualmente, non siamo in grado di confermare se i dati esfiltrati da LockBit coincidano con quelli pubblicati da RansomHub. Questa incertezza ci impedisce di escludere la possibilità che GB Ricambi possa aver subito un ulteriore attacco, distinto da quello inizialmente rivendicato.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
L'articolo La minaccia di LOCKBIT ritorna in Italia: Attacco ransomware contro GB Ricambi proviene da il blog della sicurezza informatica.
VR Headset with HDMI Input Invites a New Kind of Cyberdeck
Meta’s Quest VR headset recently got the ability to accept and display video over USB-C, and it’s started some gears turning in folks’ heads. [Ian Hamilton] put together a quick concept machine consisting of a Raspberry Pi 400 that uses a VR headset as its monitor, which sure seems like the bones of a new breed of cyberdeck.
The computer-in-a-keyboard nature of the Pi 400 means that little more than a mouse and the VR headset are needed to get a functional computing environment. Well, that and some cables and adapters.
What’s compelling about this is that the VR headset is much more than just a glorified monitor. In the VR environment, the external video source (in this case, the Raspberry Pi) is displayed in a window just like any other application. Pass-through can also be turned on, so that the headset’s external cameras display one’s surroundings as background. This means there’s no loss of environmental awareness while using the rig.
Video over USB-C is technically DisplayPort altmode, and both the video source and the USB-C cable have to support it. In [Ian]’s case, the Raspberry Pi 400 outputs HDMI and he uses a Shadowcast 2 capture card to accept HDMI on one end and outputs video over USB-C on the other.
As a concept it’s an interesting one for sure. Perhaps we’ll see decks of this nature in our next cyberdeck contest?
🔁 L’ultimo scontro «per i diritti» di un tycoon che obbedisce solo alla destra | il manifesto ilmanifesto.it/lultimo-scontro…
L’ultimo scontro «per i diritti» di un tycoon che obbedisce solo alla destra | il manifesto
ilmanifesto.it/lultimo-scontro…
Informa Pirata: informazione e notizie
L’ultimo scontro «per i diritti» di un tycoon che obbedisce solo alla destra | il manifesto https://ilmanifesto.it/lultimo-scontro-per-i-diritti-di-un-tycoon-che-obbedisce-solo-alla-destraTelegram
𝔻𝕚𝕖𝕘𝕠 🦝🧑🏻💻🍕 likes this.
Hackaday Links: September 1, 2024
Why is it always a helium leak? It seems whenever there’s a scrubbed launch or a narrowly averted disaster, space exploration just can’t get past the problems of helium plumbing. We’ve had a bunch of helium problems lately, most famously with the leaks in Starliner’s thruster system that have prevented astronauts Butch Wilmore and Suni Williams from returning to Earth in the spacecraft, leaving them on an extended mission to the ISS. Ironically, the launch itself was troubled by a helium leak before the rocket ever left the ground. More recently, the Polaris Dawn mission, which is supposed to feature the first spacewalk by a private crew, was scrubbed by SpaceX due to a helium leak on the launch tower. And to round out the helium woes, we now have news that the Peregrine mission, which was supposed to carry the first commercial lander to the lunar surface but instead ended up burning up in the atmosphere and crashing into the Pacific, failed due to — you guessed it — a helium leak.
Thankfully, there’s a bit more technical detail on that last one; it seems that a helium pressure control valve, designated PCV2 and controlling helium to pressurize an oxidizer tank, got stuck open thanks to “vibration-induced relaxation” in threaded components within the valve. So, launch vibrations shook a screw loose inside the valve, which kept it from sealing and over-pressurized an oxidizer tank with helium to the point of tank failure — kablooie, end of mission. All of these failures are just another way of saying that space travel is really, really hard, of course. But still, with helium woes figuring so prominently in so many failures, we’re left wondering if there might not be an upside to finding something else to pressurize tanks.
Back on terra firma, we got a tip from a reader going by the name of [Walrus] who is alarmed by an apparent trend in the electronics testing market toward a subscription model for the software needed to run modern test gear. Specifically, the tip included a link to a reseller offering a deal on an “Ultimate Software Bundle” for Tektronix 4 Series Mixed-Signal Oscilloscopes. The offer expired at the end of 2023 and prices aren’t mentioned, but given that a discount of up to $5,670 with purchase of a scope was advertised, we’d imagine the Ultimate Software Bundle comes at a pretty steep price. The chief concern [Walrus] expressed was about the possibility that used instruments whose software is tied to a subscription may have little to no value in the secondary market, where many up-and-coming engineers shop for affordable gear. We haven’t had any personal experience with subscription models for test equipment software, and a quick read of the Tektronix site seems to suggest that subscriptions are only one of the models available for licensing instrument software. Still, the world seems to be moving to one where everything costs something forever, and that the days of a “one and done” purchase are going away. We’d love to hear your thoughts on subscription software for test gear, especially if we’ve misread the situation with Tek. Sound off in the comments below.
In this week’s edition of “Dystopia Watch,” we’re alarmed by a story about how police departments are experimenting with generative AI to assist officers in report writing. The product, called Draft One, is from Axon, a public safety technology concern best known for its body-worn cameras and tasers. Using Azure OpenAI, Draft One transcribes the audio from body cam footage and generates a “draft narrative” of an officer’s interaction with the public. The draft is then reviewed by the officer, presumably corrected if needed, and sent on to a second reviewer before becoming the official report. Axon reports that it had to adjust the LLM’s settings to keep AI hallucinations from becoming part of the narrative. While we can see how this would be a huge benefit to officers, who generally loathe everything about report writing, and would get them back out on patrol rather than sitting in a parking lot tapping at a keyboard, we can also see how this could go completely sideways in a hurry. All it will take is one moderately competent defense attorney getting an officer to admit under oath that the words of the report were not written by him or her, and this whole thing goes away.
And finally, getting three (or more) monitors to all agree on what white is can be quite a chore, and not just a little enraging for the slightly obsessive-compulsive — it’s one of the reasons we favor dark mode so much, to be honest. Luckily, if you need a screen full of nothing but #FFFFFF pixels so you can adjust color balance in your multi-monitor setup, it’s as easy as calling up a web page. The White Screen Tool does one thing — paints all the pixels on the screen whatever color you want. If you need all white, it’s just a click away — no need to start up MS Paint or GIMP and futz around with making it bezel-to-bezel. There are plenty of other presets, if white isn’t your thing, plus a couple of fun animated screens that imitate Windows update screens — let the office hijinks begin! You can also set custom colors, which is nice; might we suggest #1A1A1A and #F3BF10?
Film, As You Have Never Had It Explained Before
For all the advances in digital photography, there remains a mystique for photographers and filmmakers about chemical film. Using it presents an artistic and technical challenge, and it lends an aesthetic to your work which is difficult to find in other ways. But particularly when it comes to moving pictures, how many of us have ever ventured beyond the Super 8 cartridge? If you’re not lucky enough to have a Spielberg budget, [Stand-Up Maths] is here with a video taking the viewer through the various movie film formats. He claims it’s the first video shot for YouTube in 35mm, and given that his first point is about the costs involved, we can see why.
In particular it serves as an introduction to the various film terms and aspect ratios. We all know what full frame and IMAX are, but do many of us know what they really mean in camera terms. A particularly neat demonstration comes when he has two cameras side by side with the same stock as a split screen, one 35mm and the other 16mm. The cheaper smaller framed format is good quality, but using a profession resolution chart you can see some of the differences clearly. The full film is below the break, and we’d suggest you watch it in the full 4K resolution if you are able to.
Meanwhile, some of us have been known to dabble in 8mm film, and even sometimes shoot footage with it.
youtube.com/embed/QYUE696k6GY?…
Thanks [Jurjen] for the tip.
controinformazione.info/lucrai…
Bluesky experiences a massive new wave of signups from Brazil, Premium feeds with sub.club, and much more.
[share author='Laurens Hof' profile='https://fediversereport.com/author/laurenshof/' avatar='https://poliverso.org/photo/206608119366e42c304ffac007248590-5.jpeg?ts=1734620326' link='https://fediversereport.com/last-week-in-fediverse-ep-82/' posted='2024-09-01 18:04:28' guid='08552256-1db60dc7714646e3-cb23b587' message_id='https://fediversereport.com/last-week-in-fediverse-ep-82/']Last Week in Fediverse – ep 82
1 million new accounts on Bluesky as Brazil bans X, and premium feeds with Sub.club, and much much more.
Brazil bans X, and a signup wave to Bluesky
The Brazilian supreme court has banned the use of X in an ongoing legal fight with Elon Musk. The ban follows after a long trajectory of legal issues between the Brazilian government and Musk’s X. In April 2024, the Brazilian court ordered X to block certain X accounts that were allegedly related to the 2023 coup attempt, which Musk refused to do. In that same time period, President Luiz Inácio Lula da Silva opened an account on Bluesky, and there was already an inflow of a Brazilian community into Bluesky. Now, the legal fight has further escalated over X’s refusal to appoint a legal representative in the country, and Musk’s continuing refusal to comply with Brazil’s laws and regulation has resulted in the supreme court banning the use of X in the country altogether.
The ban on X has caused a massive signup wave to Bluesky, with over 1 million new accounts created in just three days, of which the large majority are from Brazil. The user statistics shot up even more than that, suggesting that there are a lot of people with an existing account logging back in as well.
The new inflow of people to Bluesky is having some significant effects on the network, as well as on the state of decentralised social networks more broadly:
- President Lula is putting actual focus on Bluesky. In one of his final posts on X, Luala listed in non-alphabetical order all other platforms that he is active on, and placed Bluesky at the top of the list. Posts by Lula that are placed on Bluesky (134k followers) as well as on Threads (2.4m followers) get more than 5 times as much likes on Bluesky. Today, Lula explicitly asked people on Bluesky what they thought about the platform, in a post that got over 30k likes and counting. It is hard to imagine that the Brazilian government is not paying attention to this all, and is looking which platform(s) the Brazilian community is moving towards in the wake of the ban on X.
- Brazilians are a very active community on the internet (see Orkut), and bring with them their own unique culture to Bluesky. The current decentralised social networks are heavily focused on US politics, judged by top posts on both Mastodon and Bluesky, and beyond shitposts and memes there is surprisingly little space for mainstream pop culture and sports. The Brazilian community does seem to bring a large number of pop culture and sports to Bluesky, significantly diversifying the topics of discussion, and in turn, creating more space for other people who are interested in that in the future. The activity of Brazilians on microblogging can also be seen in the like counts on popular posts of Bluesky: before this week, the most popular posts of any given day usually got around 3k likes, this has sprung up to 30k to 50k likes. Brazilians are so chatty in fact, that currently 81% of the posts on the network are in Portugese, and the amount of accounts of people who post on a given day has gone up from a third to over 50%.
- The Bluesky engineers have build a very robust infrastructure system, and the platform has largely cruised along fine without issues, even when faced with a 15x increase in traffic. This all without having to add any new servers. For third party developers, such as the Skyfeed developer, this increase in traffic did came with downtime and more hardware requirements however. It shows the complications of engineering an open system, while the Bluesky team itself was prepared with their core infrastructure, third party infrastructure, on which a large number of custom feeds rely, was significantly less prepared for the massive increase in traffic.
In contrast, the ban on X in Brazil has made little impact on Mastodon, with 3.5k new signups from Brazil on Mastodon.social. I’d estimate that this week has seen 10k new accounts above average, with 15k new accounts the previous week and 25k in this week. That places Mastodon two orders of magnitude behind Bluesky in signups from Brazil. There are a variety of reasons for this, which deserve their own analysis, this newsletter is long enough as it is. One thing I do want to point out is within fediverse community there are two sub communities that each have their own goals and ideas about the fediverse and growth. Some people responded with the news that most Brazilians went to Bluesky with type of response that indicated that they appreciate the small, quiet and cozy community that the fediverse currently provides, and a distrust of the growth-at-all-costs model for social networks. For other people however, their goal of the fediverse is to build a global network that everyone is a part of and everyone uses (‘Big Fedi’), a view of the fediverse that is also represented in the latest episode of the Waveform podcast (see news below). And if the goal is to build ActivityPub into the default protocol for the social web, it is worth paying attention to what is happening right now in the Brazilian ATmosphere.
The News
Sub.club is a new way to monetise feeds on the fediverse, with the goal of bringing the creator economy to the fediverse. It gives people the ability to create premium feeds that people can only access via a subscription. People can follow this feed from any Mastodon account (work on other fediverse platforms is ongoing). Sub.club handles the payment processes and infrastructure, for which they charge 6% of the subscription fee (compared to 8-12% Patreon charges). Sub.club also makes it possible for other apps to integrate, both IceCubes and Mammoth have this option. Bart Decrem, who is one of the people behind Sub.club, is also the co-founder of the Mastodon app Mammoth. Sub.club also explicitly positions itself as a way for server admins to fund their server. Most server admins rely on donations by their users, often via services like Patreon, Ko-fi, Open Collective or other third party options. By integration payments directly into the fediverse, Sub.club hopes that the barrier for donations will be lower, and more server admins can be financially sustainable.
Newsmast has build a new version of groups software for the fediverse, and the first group is dedicated to the Harris campaign. There are few types of groups available that integrate with Mastodon, such as with Friendica or a.gup.pe. These groups function virtually identical to hashtags, by boosting out posts where the group account is tagged in to everyone who follows the group account. As there is no moderation in these types of group accounts, it allows anyone to hijack the group account. A group account dedicated to a political campaign is especially vulnerable to this. On Mastodon a volunteer Harris Campaign group used a Friendica group for campaign organising, but the limited moderation tools (blocking a user from following the group) that are available are not working, which allowed blocked users to still get their posts boosted by the group account. Newsmast’s version of Groups gives (working) moderation tools, and only boosts top level comments and not replies, to cut down on the noise. For now, the new Group is only available to the Harris Campaign group for testing, but it will come later to Mastodon servers that run the upcoming Patchwork plugin.
Bluesky added quite a number of new anti-toxicity features in their most recent app update. Bluesky has added quote posting controls, allowing people to set on a per-post basis if people can quote the post or not. There is also the option to remove quotes after the fact as well: if you’ve allowed quote posts on a post you’ve made, but someone made a quote post that you do not feel comfortable with, you have the possibility to detach your post. Another update is the possibility to hide replies on your posts. Bluesky already hides comments under a ‘show more’ button if the comment is labeled by a labeler you subscribe to. You now have the option to do so on all comments that are made on your posts, and the hidden comment will be hidden for everyone. Finally, Bluesky has changed how replies are shown in the Following feed, which is an active subject of discussion. I appreciate the comments made by Bluesky engineer Dan Abramov here, who notes there are two different ways of using Bluesky, who each prioritise comments in conflicting ways. As new communities grow on Bluesky, prioritising their (conflicting) needs becomes more difficult, and I’m curious to see how this further plays out.
The WVFRM (Waveform) podcast of popular tech YouTuber MKBHD has a special show about the fediverse, ‘Protocol Wars – The Fediverse Explained!’. It is partially a discussion podcast, partial explainer, and partial interview with many people within the community. They talk with Mastodon’s Eugen Rochko, Bluesky’s Jay Graber, Threads’s Adam Mosseri, and quite some more people. It is worth noting for a variety of reason. The show is quite a good introduction, that talks to many of the most relevant names within the community. MKBHD is one of the biggest names in the tech creator scene, and many people are paying attention to what he and his team is talking about. Furthermore, I found the framing as ‘protocol wars’ interesting, as the popularity of Bluesky in Brazil as an X replacement indicates that there is indeed a race between platforms to be build on top of the new dominant protocol.
Darnell Clayton has a very interesting blog post, in which he discovers that there is a discrepancy in follower count for Threads accounts that have turned on fediverse sharing. Clayton notes that the follower count shown in the Threads app is lower than the one shown in a fediverse client, for both Mastodon and Flipboard. He speculates that this difference is the number of fediverse accounts that follow a Threads account. It should be noted that this is speculation and has not been confirmed, but if this is true, it would give us a helpful indication of how many fediverse accounts are using the connection with Threads. While we’re talking about Threads accounts, Mastodon CEO Eugen Rochko confirmed that the mastodon.social server has made a connection with 15.269 Threads accounts who have turned on fediverse sharing.
The Links
- Threads has figured out how maximise publicity by making minimal incremental updates to their ActivityPub implementation, edition 500.
- A Developer’s Guide to ActivityPub and the Fediverse – The New Stack interviews Evan Prodromou about his new book about ActivityPub.
- FedIAM is a research project where people can use fediverse and Indieweb protocols for logging in.
- You can now test Forgejo’s federation implementation.
- This week’s fediverse software updates.
- Ghost’s latest update on their work on implementing ActivityPub: “With this milestone, Ghost is for the first time exceeding the functionality of a basic RSS reader. This is 2-way interaction. You publish, and your readers can respond.”
- Dhaaga is a multiplatform fediverse client that adds unique client-side functionalities.
- Lotide, a experimental link-aggregator fediverse platform, ceases development.
- A custom QR code generator, which some pretty examples of custom QR codes for your fediverse profile.
- Custom decentralised badges on atproto with badges.blue, a new work in process by the create of atproto event planner Smoke Signal.
- Smoke Signal will be presenting at the next version of the (third party organised) ATproto Tech Talk.
That’s all for this week, thanks for reading.