So far in the “Field Guide” series, we’ve mainly looked at critical infrastructure systems that, while often blending into the scenery, are easily observable once you know where to look. From the substations, transmission lines, and local distribution systems that make up the electrical grid to cell towers and even weigh stations, most of what we’ve covered so far are mega-scale engineering projects that are critical to modern life, each of which you can get a good look at while you’re tooling down the road in a car.

This time around, though, we’re going to switch things up a bit and discuss a less-obvious but vitally important infrastructure system: the cold chain. While you might never have heard the term, you’ve certainly seen most of the major components at one time or another, and if you’ve ever enjoyed fresh fruit in the dead of winter or microwaved a frozen burrito for dinner, you’ve taken advantage of a globe-spanning system that makes sure environmentally sensitive products can be safely stored and transported.

What’s A Cold Chain?

Simply put, the cold chain is a supply chain that’s capable of handling items that are likely to be damaged or destroyed unless they’re kept within a specific temperature range. The bulk of the cold chain is devoted to products intended for human consumption, mainly food but also pharmaceuticals and vaccines. Certain non-consumables also fall under the cold chain umbrella, including cosmetics, personal care products, and even things like cut flowers and vegetable seedlings. We’ll be mainly looking at the food cold chain for this article, though, since it uses most of the major components of a cold chain.

As the name implies, the cold chain is designed to maintain a fixed temperature over the entire life of a product. “Farm to fork” is a term often used to describe the cold chain, since the moment produce is harvested or prepared foods are manufactured, the clock starts ticking. The exact temperature required varies by food type. Many fruits and vegetables that ripen in the summer or early autumn can stand pretty high temperatures, at least for a while after harvesting, but some produce, like lettuces and fresh greens, will start wilting very quickly after harvest.

For extremely sensitive crops, the cold chain might start almost the second the crop is harvested. Highly perishable crops such as sweet corn, greens, asparagus, and peas require rapid cooling to remove field heat and to slow the biological processes that were still occurring within the plant tissues at the time of harvest. This is often accomplished right in the field with a hydrocooler, which uses showers or flumes of chilled water. Extremely perishable crops such as broccoli might even be placed directly into flaked ice in the field. Other, less-sensitive crops that can wait an hour or two will enter the cold chain only when they’re trucked a short distance to an initial processing plant.

Many foods, including different kinds of produce, fresh meat and fish, and lots of prepared meals, benefit from flash freezing. Flash freezing aims to reduce damage to the food by controlling the size and number of ice crystals that form within the cells of the plant or animal tissue. Simply putting a food item in a freezer and waiting for the heat to passively transfer out of it tends to form few but large ice crystals, which are far more damaging than the many tiny ice crystals that form when the heat is rapidly removed. Flash freezing methods include cryogenic baths using liquid nitrogen or liquid carbon dioxide, blast cooling with high-velocity jets of chilled air, fluidized bed cooling, where pressurized chilled air is directed upward through a bed of produce while it’s being agitated, and plate cooling, where chilled metal plates lightly contact flat, thin foods such as pizza or sliced fish.

youtube.com/embed/i0f-ychdTdE?…

Big and Cold

A very large public refrigerated warehouse. Note the high-bay storage area to the left, which houses a fully automated AS/RS freezer section. Source: Lineage Logistics.
Once food is chilled to the proper temperature, it needs to be kept at that temperature until it can be sold. This is where cold warehousing comes in, an important part of the cold chain that provides controlled-temperature storage space that individual producers simply can’t afford to maintain. The problem for farmers is that many crops are determinate, meaning that all the fruits or vegetables are ready for harvest more or less at the same time. Outsourcing their cold warehousing to companies that specialize in that part of the cold chain allows them to concentrate on growing and harvesting their crop instead of having to maintain a huge amount of storage space, which would sit unused for the entire growing season.

Cold warehouses, or public refrigerated warehouses (PRWs) as they’re known in the trade, benefit greatly from economies of scale, and since they accept produce from hundreds or even thousands of producers, their physical footprints can be staggering. The average PRW in the United States has grown in size dramatically since the post-pandemic e-commerce boom and now covers almost 185,000 square feet, or more than 4 acres. Most PRWs have four temperature zones: deep freeze (-20°F to -10°F) for items such as ice cream and frozen vegetables; freezer (0°F to 10°F) for meats and prepared foods; refrigerated (35°F to 45°F), for fresh fruits and vegetables; and cool storage, which is basically just consistent room-temperature storage for shelf-stable food items. What’s more, each zone can have sub-zones tailored specifically for foods that prefer a specific temperature; bananas, for example, do best around 46°F, making the fridge section too cold and the cool section too warm. Sub-zones allow goods to be stored just right.
A map of some of the key public refrigerated warehouses in the United States. Notice how there are practically none in the areas that raise primarily cereal grains. Source: map via ArcGIS, data from Global Cold Chain Alliance (public use).
Due to the nature of their business, location is critical to PRWs. They have to be close to where the food is produced as well as handy to transportation hubs, which means you’ve probably seen one of these behemoth buildings from a highway and not even known it. The map above highlights the main agricultural regions of the United States, such as the fruit and vegetable producers in the Central Valley of California and the Willamette Valley in Oregon, meat packing plants in the Upper Midwest, the hog and chicken producers in the South, and seafood producers along both coasts. It also shows a couple of areas with no PRWs, which are areas where agriculture is limited to cereal grains, which don’t require refrigeration after harvest, and livestock, which are usually shipped for slaughter somewhere other than where they were raised.

Thanks to the complicated logistics of managing multiple shippers and receivers, most cold warehouses have a level of automation that rivals that of an Amazon distribution center. A lot of the automation is found in the high-bay freezer, a space often three or four stories tall that has rack after rack of space for storing palletized products. Automated storage and retrieval systems (AS/RS) store and fetch pallets using large X-Y gantry systems running between the racks. Algorithms determine the best storage location for pallets based on their contents, the temperature regime they require, and the predicted length of stay within the warehouse.

While AS/RS reduces the number of workers needed to run a cold warehouse, and there are some fully automated PRWs, most cold warehouses maintain a large workforce to run forklifts, pick pallets, and assemble orders for shipping. These workers face significant health and safety challenges, risking everything from slips and falls on icy patches to trench foot and chill-induced arthritis and dermatitis. Cold-stress injuries, such as hypothermia and frostbite, are possible too. Warehouses often have to limit the number of hours their employees work in the cold zones, and they have to provide thermal wear along with the standard complement of PPE.

youtube.com/embed/mW11jmZUHoE?…

Reefer Madness

Once an order is assembled and ready to ship from the cold warehouse, food enters perhaps the most visible — and riskiest — link in the cold chain: refrigerated trucks and shipping containers. Known as reefers, these are specialized vehicles that have the difficult task of keeping their contents at a constant temperature no matter what the outside conditions might be. A reefer might have to deliver a load of table grapes from a PRW in California to a supermarket distribution center in Massachusetts, continue to Maine to pick up a load of live lobsters, and drop that off at a PRW in Florida before running a load of oranges to Washington.
Reefer trailers are one of the last links in the “farm to fork” cold chain. The diesel tank, which fuels the reefer and allows it to run with no tractor attached, can barely be seen between the legs of the trailer. Source: Felix Mizioznikov – stock.adobe.com
Meeting the challenge of all these conditions is the job of the refrigeration unit. Typically mounted in an aerodynamic fairing on the front of a semi-trailer unit, the refrigeration unit is essentially a heat pump on steroids. For over-the-road (OTR) reefers, as opposed to railcar reefers or shipping container reefers, the refrigeration unit is powered by a small but powerful diesel engine. Typically either three- or four-cylinder engines making 20 to 30 horsepower, these engines run the compressor that pumps the refrigerant through the condenser and evaporator, as well as the powerful fan that circulates air inside the trailer. Fuel for the engine is stored in a tank mounted under the trailer, allowing the reefer to run even when the trailer is parked with no tractor attached. The refrigeration unit is completely automatic, with a computer taking input from temperature sensors inside the trailer to make sure the interior remains at the setpoint. The computer also logs everything going on in the reefer, making the data available via a USB drive or to a central dispatcher via a telematics link.

The trailer body itself is carefully engineered, with thick insulation to minimize heat transfer to and from the outside environment while maximizing heat transfer between the produce and the air inside the trailer. For maximum cooling — or heating; if a load of bananas has to be kept at their happy place of 46°F while being trucked across eastern Wyoming in January, the refrigeration unit will probably have to run its cycle in reverse to add heat to the trailer — the air must reach the back of the unit. Reefer units use flexible ducts in the ceiling to direct the air 48 to 53 feet to the very back of the trailer, where it bounces off the rear doors and returns to the front of the trailer with the help of channels built into the floor. Shippers need to be careful when loading a reefer to obey load height limits and to correctly orient pallets so as not to block air circulation inside the trailer.

In addition to the data logging provided by the refrigeration unit, shippers will often include temperature loggers inside their shipments. Known generically to produce truckers as a “Ryan” for a popular brand, these analog strip chart recorders use a battery-powered motor to move a strip of paper past a bimetallic arm. Placed in a tamper-evident container, the recorder is placed within a pallet and records the temperature over a 10- to 40-day period. The receiver can break the seal open and see a complete temperature history of the shipment, detecting any accidental (or intentional; drivers sometimes find it hard to sleep with the reefer motor roaring right behind the sleeper cab) interruptions in the operation of the reefer.

Featured image: “Close Up of Frozen Vegetables” by Tohid Hashemkhani

hackaday.com/2025/07/17/a-fiel…

3D printing is arguably over-used in the maker community. It’s just so easy to run off a quick prototype and then… well, it’s good enough, right? Choosing the right plastic can go a long way to making sure your “good enough” prototype really is good enough for long term use. If you’re producing anything with gearing, you might want to cast your eyes to a study by [Mert Safak Tunalioglu] and [Bekir Volkan Agca] titled: Wear and Service Life of 3-D Printed Polymeric Gears.
No spin doctoring here, spinning gears.
The authors printed simple test gears in ABS, PLA, and PETG, and built a test rig to run them at 900 rpm with a load of 1.5 Nm against a steel drive gear. The gears were pulled off and weighed every 10,000 rotations, and allowed to run to destruction, which occurred in the hundreds-of-thousands of rotations in each case. The verdict? Well, as you can tell from the image, it’s to use PETG.

The authors think that this is down to PETG’s ductility, so we would have liked to see a hard TPU added to the mix, to say nothing of the engineering filaments. On the other hand, this study was aimed at the most common plastics in the 3D printing world and also verified a theoretical model that can be applied to other polymers.

This tip was sent in by [Benjamin], who came across it as part of the research to build his first telescope, which we look forward to seeing. As he points out, it’s quite lucky for the rest of us that the U.S. government provides funding to make such basic research available, in a way his nation of France does not. All politics aside, we’re grateful both to receive your tips and for the generosity of the US taxpayer.

We’ve seen similar tests done by the community — like this one using worm gears — but it’s also neat to see how institutional science approaches the same problem. If you need oodles of cycles but not a lot of torque, maybe skip the spurs and print a magnetic gearbox. Alternatively you break out the grog and the sea shanties and print yourself a capstan.

hackaday.com/2025/07/17/this-s…

Nel 2021, durante una delle mie esplorazioni sul confine sempre più sfumato tra hardware e cybersecurity, scrivevo un articolo dal titolo che oggi suona quasi profetico: “Anche un cavo prende vita”.
Allora si parlava degli albori del progetto OMG Cable: un innocuo cavo USB che, nascosto dietro l’aspetto di un semplice accessorio di ricarica, celava un cuore digitale capace di compiere operazioni di compromissione da far impallidire molti malware tradizionali.

E proprio in questi giorni, a distanza di quattro anni, mi è capitato di averne uno tra le mani, reale, fisico, pronto all’uso, inserito in un’attività di penetration test commissionata a un team che supporto.
Questa volta non si trattava di teoria, né di un test da laboratorio, ma di un vero scenario aziendale in cui l’obiettivo era colpire e far riflettere.

Il risultato è stato sorprendente. L’innocuo cavetto lasciato su una scrivania ha fatto il suo sporco lavoro in pochi secondi, dimostrando ancora una volta come la sicurezza fisica sia la porta d’ingresso più sottovalutata e più pericolosa di molte infrastrutture digitali.
E così, mentre riprendevo in mano quel cavo camuffato, non ho potuto fare a meno di tornare con la mente a quell’articolo del 2021. Ma questa volta con una consapevolezza in più: l’OMG Cable non è più una curiosità tecnologica. È una realtà operativa. E lo è oggi, qui, nel 2025.

Cos’è davvero l’OMGCable?

Immagina di avere tra le mani un cavo USB. Niente di strano: può essere USB-A, USB-C, Lightning, o magari un ibrido. Ha l’aspetto perfetto, identico all’originale Apple o Samsung. Funziona come un vero cavo: ricarica, trasferisce dati, collega dispositivi. Ma quello che non si vede è tutto il resto.
Dentro quel guscio di plastica, apparentemente innocuo, si nasconde un microcontrollore Wi-Fi programmabile. Non un giocattolo da maker, ma un modulo studiato con maniacale attenzione all’invisibilità.
Attraverso un’interfaccia accessibile da browser – o direttamente da uno smartphone – è possibile connettersi al cavo, caricare script, inviare comandi, aprire shell, trasferire file. E il tutto può essere fatto da remoto, senza che l’utente finale si accorga di nulla.
Una volta collegato a un computer, l’OMG Cable si comporta come una tastiera umana. Inietta comandi. Simula input. Può aprire terminali, eseguire codice, scaricare payload. E se questo non bastasse, può anche rilevare la geolocalizzazione, attivarsi solo in determinate aree, registrare sequenze di tasti, o cancellare la sua memoria con un comando di autodistruzione.

L’utilizzo legittimo: uno strumento da red team

In mano a un professionista del settore, questo strumento è semplicemente straordinario. Chi lavora in ambito red team lo sa bene: le simulazioni di attacco devono essere realistiche, efficaci e soprattutto imprevedibili.
Inserire un OMG Cable in uno scenario controllato permette di testare la sicurezza fisica, la consapevolezza del personale, l’efficacia delle policy aziendali.
Durante una simulazione di attacco mirato, il cavo può essere lasciato strategicamente in un’area comune, o usato da un operatore per valutare la risposta dei sistemi di difesa in caso di intrusione fisica.
In ambito formativo, poi, è uno strumento didattico eccezionale. Niente sensibilizza più di un attacco riuscito: far vedere a un dipendente che bastano due secondi per compromettere un sistema con un semplice cavo può cambiare radicalmente il suo approccio alla sicurezza.

Ma il confine è pericolosamente sottile

Tutto questo però ha un rovescio inquietante. Perché la stessa potenza che lo rende uno strumento utile e legittimo in ambito professionale, lo rende anche pericolosamente facile da abusare.
L’OMG Cable non richiede conoscenze avanzate per essere usato. Bastano pochi clic e una connessione Wi-Fi. Non serve scrivere malware, aggirare antivirus, bypassare protezioni. È sufficiente collegarlo.
E qui si apre un abisso. Perché chiunque, e dico chiunque, può acquistarlo online. Non ci sono controlli, né registrazioni. Nessun limite. Nessun avviso legale che accompagni l’acquisto.
Immagina una sala riunioni. Un collaboratore lascia un cavo attaccato a una presa. Un altro collega, ignaro, lo utilizza per collegare il proprio laptop. In quel momento, l’attaccante, che può essere seduto al bar a cento metri di distanza, apre una shell, esegue comandi, esfiltra dati. Tutto in silenzio. Nessuna finestra. Nessun allarme.
E immagina ora uno scenario domestico. O peggio, relazionale. Un cavo “dimenticato” in casa di qualcuno. Una tastiera invisibile che registra tutto. Che invia tutto. Che controlla tutto.
Non siamo lontani dalla fantascienza. Siamo esattamente lì.

Le implicazioni legali sono gravi. Ma chi le conosce?

In molti Paesi – Italia inclusa – strumenti come questo, se utilizzati per registrare comunicazioni senza consenso, possono rientrare nel reato di intercettazione illecita.
La legge italiana, ad esempio, punisce severamente l’uso di dispositivi atti a captare comunicazioni o informazioni private.
Eppure, l’OMG Cable non è soggetto ad alcun tipo di regolamentazione. Non esistono avvisi legali, licenze, autorizzazioni. Lo compri come un caricabatterie da viaggio.
Il problema, quindi, è duplice: da un lato la tecnologia corre veloce e propone soluzioni sempre più potenti. Dall’altro, la cultura e la consapevolezza di chi la utilizza restano pericolosamente indietro.

Serve una nuova etica. E serve ora.

Nel nostro mondo ci piace categorizzare: white hat, grey hat, black hat. Ma la realtà è molto più complessa. Uno strumento come l’OMG Cable mette in crisi queste categorie. Perché il confine tra uso etico e abuso criminale si gioca tutto sul contesto.
Ed è proprio questo contesto che manca. Le scuole, le aziende, i responsabili della sicurezza devono iniziare a includere l’etica hacker tra i temi fondamentali.
Non basta più insegnare a difendersi da un attacco. Bisogna anche insegnare perché certi attacchi non devono essere condotti.
Perché oggi, chiunque può essere un attaccante. E se non gli spieghi il confine, non è detto che lo riconosca da solo.

Ma allora come ci si difende?

Non esiste una risposta semplice. Non basta installare un antivirus o blindare i firewall. Il pericolo, in questo caso, entra dalla porta principale, con il consenso implicito dell’utente.
Bisogna rivedere le policy. Bisogna formare le persone. Bisogna controllare i dispositivi fisici con lo stesso rigore con cui si analizza un pacchetto di rete.
Il concetto di sicurezza fisica, da sempre sottovalutato nel digitale, oggi torna prepotentemente d’attualità.
Serve un cambio di paradigma. Una cultura nuova. Una consapevolezza che metta l’essere umano, con i suoi errori, le sue abitudini, le sue ingenuità, al centro della strategia difensiva.

Una conclusione che non conclude

L’OMG Cable non è il male. Non è il colpevole. È uno specchio. Riflette chi lo usa e per cosa lo usa.
È uno strumento potentissimo, che può fare bene o può fare male. Dipende da noi.
Ma una cosa è certa: chi lavora in cybersecurity non può permettersi di ignorarlo.
Perché la prossima compromissione potrebbe arrivare non da un allegato di phishing, non da una vulnerabilità CVE, ma da un semplice cavo lasciato sulla scrivania.

Nel 2021 scrivevo che anche il cavo ha una vita.
Oggi aggiungo: sta a noi decidere che direzione prenderà quella vita.

L'articolo OMGCable: la sottile linea rossa tra penetration testing e sorveglianza occulta proviene da il blog della sicurezza informatica.

HackerHood, il team di hacker etici di Red Hot Cyber, ha realizzato qualcosa che raramente si vede fuori dalle conferenze più esclusive: un workshop live in cui viene mostrato, passo dopo passo, un attacco ransomware completo.

Non si tratta di una simulazione teorica, ma di un vero e proprio viaggio all’interno del lato oscuro della rete, dove da una semplice email di phishingsi arriva in pochi minuti a compromettere completamente un sistema informatico. Tutto questo è stato possibile grazie alla collaborazione con OMNIA e Whit Secure, due realtà che puntano da sempre sulla cultura della sicurezza.

Infatti questo workshop esclusivo presentato da Antonio Montillo e Alessandro Moccia di Framework Security è stato mostrato all’interno di un evento a porte chiuse organizzato da Omnia e WithSecure, il 2 luglio 2025 presso il moderno datacenter Tier IV a Siziano (PV).

L’obiettivo? vedere, comprendere e proteggersi per tempo!

I due professionisti hanno saputo raccontare in modo semplice e dettagliato la complessità tecnica che si cela dietro un attacco informatico. Quello che normalmente leggiamo nei report, tra sigle e diagrammi, qui prende vita davanti ai nostri occhi: dall’esca iniziale che induce la vittima a cliccare, all’esecuzione del malware, fino alla crittografia dei dati e alla classica schermata di riscatto. Un percorso che non è spettacolare con un attacco informatico visto all’interno di un film primo in classifica, ma è reale e profondamente educativo.

youtube.com/embed/wAa7zT-ithI?…

Il bello di questo workshop è che non si è limitato solo a mostrare “cosa” fa un ransomware, ma spiega anche “come” e “perché” funziona. Si vede chiaramente quanto sia importante la preparazione tecnica di chi lavora nella difesa: conoscere le tattiche, le tecniche e le procedure usate dai criminali è l’unico modo per costruire barriere efficaci.

Spesso si pensa che basti un buon antivirus o qualche aggiornamento per stare tranquilli, ma la realtà è ben diversa: la cybersecurity è un lavoro continuo, condiviso, fatto di studio, test, simulazioni e aggiornamento costante.

L’infrastruttura predisposta è stata composta dalle seguenti componenti software:

• Postazioni client
• Controller di dominio Windows
• Server di posta Microsoft Echange
• Server SQL Server

Fase di sfruttamento degli exploit e pivoting all’interno dell’infrastruttura
Proprio per questo motivo abbiamo deciso di non tenere questo contenuto solo per chi era presente all’evento, ma di condividerlo con tutti.

Sul nostro canale YouTube è disponibile il video di una parte del workshop: sì, dura un po’, ma credeteci, vale ogni secondo. Guardandolo capirete non solo la potenza distruttiva di un ransomware, ma anche quanto possa essere sottile e convincente l’attacco iniziale. È un modo concreto per sensibilizzare aziende, professionisti e semplici curiosi su una minaccia che colpisce ogni giorno organizzazioni grandi e piccole.

In un mondo dove la tecnologia corre sempre più veloce, iniziative come questa realizzata da Omnia e With Secure servono a fermarsi un attimo e osservare davvero i rischi che corriamo.

HackerHood e Red Hot Cyber vogliono portare la cultura della sicurezza fuori dagli ambienti tecnici e renderla accessibile a tutti, perché solo capendo come funziona un attacco possiamo davvero imparare a difenderci. E ora tocca a voi: guardate il workshop, condividetelo e diventate anche voi parte di questa battaglia quotidiana contro le minacce informatiche.

Perché il ransomware non si ferma. E neanche noi dobbiamo farlo!

L'articolo Il Video di un Attacco Ransomware in Diretta! Il workshop di HackerHood per Omnia e WithSecure proviene da il blog della sicurezza informatica.

Google ha rilasciato un aggiornamento di emergenza per il browser Chrome, eliminando sei vulnerabilità contemporaneamente, una delle quali è già attivamente sfruttata in attacchi reali. Il problema riguarda componenti critici associati al motore grafico del browser e può portare all’uscita dalla sandbox, un meccanismo di protezione che isola i processi di Chrome dal resto del sistema.

La vulnerabilità più grave tra quelle risolte è stata il CVE-2025-6558, con un punteggio CVSS di 8,8. Riguarda la gestione non corretta di dati non attendibili nei componenti ANGLE e GPU. ANGLE, o Almost Native Graphics Layer Engine, che fungono da livello tra il browser e i driver dell’hardware grafico. È attraverso di esso che una pagina web dannosa può avviare una cosiddetta “sandbox escape” e interagire con il resto del sistema a un livello inferiore.

Questo metodo è particolarmente pericoloso in caso di attacchi mirati: è sufficiente aprire una pagina per ricevere un’infezione impercettibile, senza clic o download di file. Gli sviluppatori di Google hanno osservato che l’exploit per questa vulnerabilità è già utilizzato in attacchi reali, sebbene i dettagli e gli obiettivi specifici non siano stati divulgati. La scoperta del problema è attribuita agli specialisti del Threat Analysis Group, Clement Lesin e Vlad Stolyarov, che hanno segnalato la vulnerabilità il 23 giugno 2025.

Il fatto che la vulnerabilità venga sfruttata in attacchi reali ed è stata scoperta da un team di esperti in minacce di uno Stato nazionale indica il possibile coinvolgimento di attori informatici di livello nazionale. L’aggiornamento di Chrome risolve altre cinque vulnerabilità, tra cui il CVE-2025-6554, scoperto anch’esso da Lesin il 25 giugno. Questa è la quinta volta quest’anno che Google corregge vulnerabilità proof-of-concept attivamente sfruttate. L’elenco include anche CVE-2025-2783 , CVE-2025-4664 e CVE-2025-5419 .

Per proteggere gli utenti, si consiglia di aggiornare Chrome alla versione 138.0.7204.157 o 138.0.7204.158 per Windows e macOS, e alla 138.0.7204.157 per Linux. La versione più recente può essere installata tramite la sezione “Informazioni” nelle impostazioni. Anche i possessori di browser basati su Chromium come Edge, Brave, Opera e Vivaldi dovrebbero tenere d’occhio il rilascio degli aggiornamenti.

Le vulnerabilità relative ai componenti grafici e ai meccanismi di isolamento dei processi non sempre fanno notizia, ma vengono spesso sfruttate nelle catene di attacco. Particolarmente degni di nota sono i bypass dei limiti di privilegio, i bug di GPU e WebGL e la corruzione della memoria durante il rendering: queste sono le aree che spesso diventano la base per successive vulnerabilità critiche.

L'articolo Google Chrome, fix in emergenza per un bug critico che porta ad una sandbox escape proviene da il blog della sicurezza informatica.

In a recent incident response (IR) case, we discovered highly customized malware targeting Exchange infrastructure within government environments. Analysis of detection logs and clues within the sample suggests that the Exchange server was likely compromised via a known N-day vulnerability. Our in-depth analysis of the malware revealed a sophisticated, multi-functional backdoor that can be dynamically extended with arbitrary functionality through the download of additional modules. Notably, the attackers leveraged several open-source projects to build this backdoor. Once loaded, the backdoor grants the attackers full control over the Exchange server, allowing them to execute a range of malicious activities. To evade detection by security products, the malware employs various evasion techniques and disguises itself as a common server component to blend in with normal operations. Furthermore, it can function as a proxy or tunnel, potentially exposing the internal network to external threats or facilitating the exfiltration of sensitive data from internal devices. Our telemetry data indicates that this malware may be part of an APT campaign targeting high-value organizations, including high-tech companies, in Asia. Our team is currently investigating the scope and extent of these attack activities to better understand the threat landscape.

GhostContainer: the backdoor

The name of this file is App_Web_Container_1.dll. As the file name suggests, it serves as a “container”. It contains three key classes (Stub, App_Web_843e75cf5b63, and App_Web_8c9b251fb5b3) and one utility class (StrUtils). Once the file is loaded by the Exchange service, the Stub class is executed first. It acts as a C2 command parser, capable of executing shellcode, downloading files, running commands, and loading additional .NET byte code. One of the most notable features is that it creates an instance of the App_Web_843e75cf5b63, which serves as a loader for the web proxy class (App_Web_8c9b251fb5b3) via a virtual page injector.

Stub: C2 parser and dispatcher

At the beginning of execution, The Stub class attempts to bypass AMSI (Antimalware Scan Interface) and Windows Event Log. This is accomplished by overwriting specific addresses in amsi.dll and ntdll.dll, which allows evading AMSI scanning and Windows event logging.

Next, it retrieves the machine key from the ASP.NET configuration, specifically the validation key, and converts it to a byte array. The code used to generate the validation key was simply copied from the open-source project machinekeyfinder-aspx. The validation key is then hashed using SHA-256 to ensure it is 32 bytes long, and the resulting byte array is returned for use in AES encryption and decryption (to protect the data transferred between the attacker and the Exchange server).

The malware’s primary functionality is to receive requests from the attacker and parse them as follows:

• Receive the value of x-owa-urlpostdata from the attacker’s request data and then decode it as Base64.
• Utilize the AES key generated above to perform AES decryption on decoded data. The first 16 bytes of the decoded data are used as the initialization vector (IV).
• Decompress the decrypted data and dispatch operations based on the command ID (first byte).

To execute commands, Stub checks if the current user is a system account. If it is not, it attempts to impersonate a user by utilizing a token stored in the application domain’s data storage. This allows the application to perform actions under a different identity.

C2 commands and functionality:

Each time the command is executed, an XML-formatted response is generated, containing the execution result or return value. The value element in the XML starts with a hardcoded string /wEPDwUKLTcyODc4, and the same string is used in another open-source project, ExchangeCmdPy.py, to exploit the Exchange vulnerability CVE-2020-0688.
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUKLTcyODc4[BASE64_ENCODED_RESULT]" />
By further comparing the code of GhostContainer with the ExchangeCmdPy.py open-source project, we observe a high degree of similarity in their entry function structures and keyword strings. This leads us to speculate that the code of the Stub class was developed based on the open-source project. We suspect that the vulnerability exploited in the Exchange attack may be related to CVE-2020-0688.

App_Web_843e75cf5b63: virtual page injector

This class is based on yet another open-source project, PageLoad_ghostfile.aspx, and it is designed to create ghost pages using classes like VirtualProvider. It contains a few classes which inherit from multiple system classes responsible for creating virtual ASPX pages and override some of their methods. It will create a virtual page using the two provided arguments: fakePageName and fakePath. The purpose of this approach is to run a .NET reflection loader (the fake page – see Appendix II) and bypass file checks. The loader is hardcoded into the program as a Base64-encoded .aspx source code.

This fake page is used to locate the web proxy class App_Web_8c9b251fb5b3 in the current domain and execute its static method AppWebInit. As soon as it is created, the attacker starts sending requests to it, which will then be received and parsed by App_Web_8c9b251fb5b3.

App_Web_8c9b251fb5b3: web proxy

App_Web_8c9b251fb5b3 is one core component in the GhostContainer sample, typically loaded indirectly through the fake page (App_Web_843e75cf5b63). This class includes web proxy, socket forwarding, and covert communication capabilities, serving as a typical example of a combined web proxy and tunneling module.

When an instance of this class is created, the static value utcDate is initialized with the current date and time. To identify the current version of the class, the fake page selects and invokes the one with the maximum utcDate value.

There are only two functions in this class. The AppWebInit() function serves as the actual entry point of the module, and it is dynamically invoked through reflection in the fake .aspx page. In the function StrTr, it implements a custom string translation mechanism before decoding Base64-encoded strings.

Again, we linked this algorithm to an open-source project, this time Neo-reGeorg. The function name StrTr and its code are identical. By comparing the code, it becomes clear that this class is a highly customized version of Neo-reGeorg.

The primary behavior of the module is focused on parsing requests the attacker sends to the fake web page. When receiving a request, it first inspects the header. Its further behavior may vary depending on the identified header:

• The Qprtfva header: identifies proxy forwarding requests.
• The Dzvvlnwkccf header: identifies socket communication requests.
• In other cases, the malware will respond with the string "<!-- 5lxBk9Zh7MDCyVAaxD8 -->".

If the header is Qprtfva, the malware establishes a web proxy by completing the following steps:

• Decode a Base64-encoded string to obtain the target URL.
• Clone the original request content (headers other than Qprtfva and body).
• Forward the request to the decoded target address.
• Return the target response content as the local response.

If the header is Dzvvlnwkccf, the malware establishes or manages a long-lived TCP tunnel connection between the internet and intranet. In order to identify and maintain different socket objects simultaneously, it defines a name for each socket object and then saves that name in pairs with the socket object in global storage. The name of the socket is contained in the first 22 bytes of the value of the header Dzvvlnwkccf. The exact activity is contained in the command section of the request, which starts from byte 23. The module accepts the following socket communication commands.

StrUtils: string and XML format processing class

StrUtils looks like a utility class for splitting and trimming strings, as well as splitting, extracting, and unescaping XML elements. However, only a few functions are currently referenced by the other three classes, namely the functions responsible for:

• Splitting the received data into multiple parts
• Trimming the closing character of the file path

We found no references to the XML unescaping functions in any class.

Infrastructure

The GhostContainer backdoor does not establish a connection to any C2 infrastructure. Instead, the attacker connects to the compromised server from the outside, and their control commands are hidden within normal Exchange web requests. As a result, we have not yet identified any relevant IP addresses or domains.

Victims

So far, we have identified two targets of this campaign: a key government agency and a high-tech company. Both organizations are located in the Asian region.

Attribution

The sample used in this APT attack does not share structural similarities with any known malware. It incorporates code from several open-source projects, which are publicly accessible and could be utilized by hackers or APT groups worldwide. As a result, attribution based on code similarity is not reliable. Based on our telemetry, the attack could not be correlated with other attack campaigns because the attackers did not expose any infrastructure.

Conclusions

Based on all the analysis conducted, it is evident that attackers are highly skilled in exploiting Exchange systems and leveraging various open-source projects related to infiltrating IIS and Exchange systems. They possess an in-depth understanding of how Exchange web services operate and show remarkable expertise in assembling and extending publicly available code to create and enhance sophisticated espionage tools. We believe this is a mature and highly professional team. We continue tracking their activity.

Indicators of compromise

01d98380dfb9211251c75c87ddb3c79c App_Web_Container_1.dll

securelist.com/ghostcontainer/…

Machine learning and neural nets can be pretty handy, and people continue to push the envelope of what they can do both in high end server farms as well as slower systems. At the extreme end of the spectrum is [ExploratoryStudios]’s Hermes Optimus Neural Net for a TI-84 Plus Silver Edition.

This neural net is setup as an autocorrect system that can take four character inputs and match them to a library of twelve words. That’s not a lot, but we’re talking about a device with 24 kB of RAM, so the little machine is doing its best. Perhaps more interesting than any practical output is the puzzle solving involved in getting this to work within the memory constraints.

The neural net “employs a feedforward neural network with a precisely calibrated 4-60-12 architecture and sigmoid activation functions.” This leads to an approximate 85% accuracy being able to identify and correct the given target words. We appreciate the readout of the net’s confidence as well which is something that seems to have gone out the window with many newer “AI” systems.

We’ve seen another TI-84 neural net for handwriting recognition, but is the current crop of AI still headed in the wrong direction?

youtube.com/embed/HwAXgKRZZow?…

hackaday.com/2025/07/17/a-neur…

L’operazione internazionale “Eastwood” rappresenta uno spartiacque nella lotta contro il cyberterrorismo. Per la prima volta, un’azione coordinata su scala mondiale ha inferto un colpo durissimo a una delle più attive cellule di hacktivisti filorussi: il collettivo “NoName057(16)”.

Un’operazione che non si è limitata a individuare i responsabili, ma ha decapitato l’infrastruttura criminale dietro migliaia di attacchi contro le democrazie europee.

Un’indagine globale contro il cyber terrorismo

Condotta dalla procura di Roma con il coordinamento della Direzione nazionale antimafia e antiterrorismo, “Eastwood” ha visto il coinvolgimento simultaneo delle autorità di Germania, Stati Uniti, Olanda, Svizzera, Svezia, Francia e Spagna, oltre al contributo fondamentale di Eurojust ed Europol. Al centro dell’indagine, cinque individui ritenuti membri attivi del gruppo “NoName057”, individuati grazie al lavoro sinergico del CNAIPIC (Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche) e dei reparti della Polizia Postale di sei regioni italiane.

NoName057 non è un semplice gruppo di cybercriminali: è una macchina bellica digitale al servizio della propaganda filorussa, nata nel marzo 2022 all’indomani dell’invasione dell’Ucraina. Il loro obiettivo è sabotare l’infrastruttura informatica delle nazioni europee considerate ostili alla Russia, colpire trasporti, sanità, telecomunicazioni, servizi finanziari, paralizzare governi e istituzioni.

Attraverso canali Telegram criptati, in particolare il famigerato “DDosia Project”, il gruppo reclutava simpatizzanti e coordinava gli attacchi. I membri aderivano scaricando un software dedicato, contribuendo con la potenza di calcolo dei propri dispositivi a sovraccaricare i server di enti pubblici e privati tramite attacchi DDoS (Distributed Denial of Service).

Le indagini hanno smantellato la complessa rete tecnologica che faceva capo a server localizzati principalmente in Russia, con centinaia di nodi intermedi utilizzati per offuscare l’origine dei segnali. Più di 600 server sono stati sequestrati o disattivati. Non solo sono stati emessi cinque mandati di arresto internazionali nei confronti di cittadini russi, ma due di questi sono considerati i vertici operativi del collettivo.

L’accusa è gravissima: associazione con finalità di terrorismo internazionale ed eversione dell’ordine democratico, ex art. 270-bis del codice penale italiano.

Cyberterrorismo e cybercriminalità: linee sottili, frontiere mobili

Il caso NoName057 evidenzia come la linea di demarcazione tra cybercriminalità e cyberterrorismo si sta progressivamente assottigliando.

In teoria, la distinzione esiste. I cybercriminali sono mossi dal profitto: furti di dati, truffe online, estorsioni ransomware. I cyberterroristi agiscono per motivazioni ideologiche o politiche: vogliono terrorizzare, destabilizzare, creare il caos per fini geopolitici o ideologici.

Nella realtà operativa, tuttavia, i confini sono sfumati. Gruppi nati con finalità economiche possono politicizzarsi, cavalcando tensioni internazionali, così come organizzazioni terroristiche possono ricorrere a tecniche tipiche della cybercriminalità – come il ransomware – per autofinanziarsi.

L’emergere del cyberwarfare, delle guerre ibride, della propaganda digitale alimentata da attori statali rende il quadro ancora più opaco. Non esistono più compartimenti stagni. L’hacker attivista, il criminale digitale e il terrorista online spesso si confondono, si sovrappongono, si scambiano strumenti e know-how.

Un ulteriore aspetto critico è che spesso risulta estremamente complesso stabilire se dietro un attacco vi sia la mano di un altro Stato. In questi casi si entra nel campo del cyberwarfare, non del terrorismo classico, e l’attribuzione diventa un’operazione molto difficile. Oltre alla digital forensic serve una sofisticata attività di intelligence, fatta di analisi incrociate, raccolta di fonti e monitoraggi strategici, senza la quale non è possibile distinguere tra l’azione di un gruppo terroristico e quella di attori statali o statalmente sponsorizzati.

A complicare ulteriormente il quadro vi è un’altra criticità operativa. Anche quando gli autori degli attacchi vengono identificati, le indagini internazionali si scontrano con la difficoltà di procedere a una loro estradizione e a un processo in presenza. Non di rado i cyberterroristi si trovano o si rifugiano in Paesi che rifiutano la cooperazione giudiziaria o addirittura li proteggono per ragioni geopolitiche, rendendo inefficaci i provvedimenti giudiziari emessi in ambito europeo o internazionale.

L’evoluzione del terrorismo nell’era digitale

Il cyberterrorismo non è che l’ultima evoluzione della minaccia terroristica tradizionale. Il tratto distintivo rispetto alla semplice criminalità informatica non è lo strumento utilizzato, ma il fine perseguito: panico, destabilizzazione politica, sovversione dell’ordine democratico.

La rivoluzione informatica ha offerto ai gruppi terroristici vantaggi enormi: possibilità di agire a distanza, mantenere l’anonimato, cancellare le tracce, coordinarsi su scala globale con costi minimi.

Nell’ecosistema hacker esistono categorie ben distinte:

• hacktivisti politici, che agiscono per protesta contro governi o multinazionali;
• terroristi informatici, che mettono le proprie competenze al servizio di ideologie radicali;
• cybermercenari, spesso ex membri di servizi segreti o accademici, pronti a vendere le proprie competenze al miglior offerente, sia esso un gruppo criminale o un’organizzazione terroristica.

Non mancano gli esempi di propaganda online, canali criptati, newsgroup estremisti, vere e proprie piattaforme digitali dedicate al reclutamento e al finanziamento occulto. Internet consente ai gruppi terroristici di propagandare le proprie idee con costi irrisori, raggiungendo platee planetarie, e di bypassare i tradizionali sistemi di controllo investigativo.

Cyberterrorismo: il fronte normativo

La guerra al terrorismo informatico si combatte non solo sui server, ma anche nei tribunali. In Italia, la normativa si è evoluta per affrontare il nuovo scenario.

La legge n.547 del 1993 ha introdotto per la prima volta i reati informatici.

La legge 48 del 2008, che ha ratificato la Convenzione di Budapest sulla cyber criminalità, ha armonizzato il quadro normativo con le direttive europee.

• La legge n.438 del 2001 ha rafforzato la disciplina contro il terrorismo internazionale, riformulando l’art. 270-bis c.p.
• Ulteriori aggravanti sono state introdotte nel 2015 con la legge n.43, che punisce più severamente l’addestramento terroristico via internet e l’istigazione tramite strumenti telematici.

In particolare, l’art. 270-quinquies punisce chi diffonde tecniche di addestramento terroristico in rete, mentre l’art. 414 prevede pene più severe per l’apologia e l’istigazione se veicolate attraverso il web.

Una minaccia in continua mutazione

L’operazione “Eastwood” conferma che il cyberterrorismo non è un fenomeno marginale, ma una minaccia concreta e in espansione. Non bastano più firewall e antivirus. Serve una risposta sistemica, che integri tecnologia, intelligence, cooperazione internazionale e un robusto impianto giuridico.

La guerra informatica si combatte in silenzio, tra linee di codice e server anonimi, ma ha effetti devastanti sul mondo reale. E quando a colpire non sono solo criminali, ma organizzazioni motivate da obiettivi politici e geopolitici, il rischio diventa sistemico.

Nel cyberspazio, il terrorismo ha trovato un nuovo campo di battaglia. E il primo passo per contrastarlo è riconoscerne le forme, comprenderne le logiche, rafforzare gli strumenti giuridici e investigativi.

L'articolo Dentro l’Operazione “Eastwood”: tra le ombre del cyberterrorismo e la propaganda proviene da il blog della sicurezza informatica.