Power distribution units, as the name implies, are indispensable tools to have available in a server rack. They can handle a huge amount of power for demands of intensive computing and do it in a way that the wiring is managed fairly well. Plenty of off-the-shelf solutions have remote control or automation capabilities as well, but finding none that fit [fmarzocca]’s needs or price range, he ended up building his own essentially from scratch that powers his home automation system.

Because it is the power supply for a home automation system, each of the twelve outlets in this unit needed to be individually controllable. For that, three four-channel relay boards were used, each driven by an output on an ESP32. The ESP32 is running the Tasmota firmware to keep from having to reinvent the wheel, while MQTT was chosen as a protocol for controlling these outlets to allow for easy integration with the existing Node-RED-based home automation system. Not only is control built in to each channel, but the system can monitor the power consumption of each outlet individually as well. The entire system is housed in a custom-built sheet metal enclosure and painted to blend in well with any server rack.

Adding a system like this to a home automation system can simplify a lot of the design, and the scalable nature means that a system like this could easily be made much smaller or much larger without much additional effort. If you’d prefer to keep your hands away from mains voltage, though, we’ve seen similar builds based on USB power instead, with this one able to push around 2 kW.

L’automazione nella sicurezza informatica operativa è una realtà innegabile. Troppo spesso, tuttavia, viene considerata la soluzione miracolosa in risposta all’aumento degli attacchi informatici. Benjamin Leroux, esperto di Cybersecurity a questo proposito spiega che: “nella sicurezza informatica, l’automazione non è una bacchetta magica. È uno strumento potente che può essere incredibilmente vantaggioso se usato con saggezza. Noi di Advens, con mySOC, crediamo nell’automazione controllata, implementata all’interno di perimetri ben definiti, per semplificare le attività di basso valore e consentire ai nostri team di fornire supporto e competenze ancora maggiori ai nostri clienti”. Alessandro Rossi Ceo di Advens Italia suggerisce inoltre: “Come tutti gli strumenti di difesa estremamente efficaci e potenti, l’automazione va conosciuta e gestita con cura”.

Ad alcuni piace anche perpetuare questo mito per nascondere i limiti dell’automazione, che possono compromettere gravemente la qualità del servizio. Advens promuove la sua visione unica dell’automazione e la mette in pratica attraverso il suo Security Operations Center (SOC).

Automazione nella sicurezza informatica operativa: basta con l’hype

Nella sicurezza informatica, l’automazione è spesso ridotta a un concetto di marketing – SOAR. Questo descrive le azioni, una volta eseguite manualmente dagli analisti informatici, che ora possono essere automatizzate. L’adozione dell’automazione nella sicurezza informatica operativa è diventata cruciale per:

• Valutare e rispondere rapidamente a determinati incidenti di sicurezza quando ogni minuto conta (ad esempio attacchi ransomware).
• Ottimizzare il tempo impiegato dagli esperti lavorando e prevenire l’affaticamento informatico (limitando le attività noiose, ripetitive e dispendiose in termini di tempo).

Alte aspettative vs promesse: un circolo potenzialmente vizioso

Di fronte a una minaccia crescente e ad attacchi sempre più rapidi e sofisticati, le aziende hanno accresciuto le aspettative sulla loro protezione informatica, in particolare per quanto riguarda i tempi di reazione (identificazione e risposta agli incidenti) e gli avvisi pertinenti (evitando falsi positivi).

In risposta, gli editori di software sono inclini a offrire soluzioni rapide, che inevitabilmente faticano a mantenere le promesse. Queste soluzioni un po’ ipervendute servono principalmente a consentire agli analisti di ordinare e valutare gli avvisi più rapidamente, ma sono meno utili per rispondere agli incidenti.

Tre limiti dell’automazione nella sicurezza informatica

#1 Limitazioni tecniche

In genere è possibile automatizzare le azioni di rilevamento, classificazione e identificazione. Ma per eseguire azioni correttive, le soluzioni tecniche dei clienti devono essere orchestrabili, aiutate dalla presenza di un’API per amministrare la tecnologia mirata. È inoltre essenziale garantire la scalabilità di una soluzione di orchestrazione in modo che possa gestire più automazioni.

Una soluzione on-premise, che può essere gestita solo tramite un’interfaccia utente grafica, è molto più complicata da orchestrare in remoto.

# 2 Mancanza di contesto

Per automatizzare il processo decisionale, sono necessari contesto e modelli e modelli ripetibili e controllati. Ma mantenere i repository di contesto completi e aggiornati è quasi impossibile! Le informazioni sono spesso sparse e incomplete, o addirittura archiviate solo nella testa degli esperti all’interno dell’organizzazione. E automatizzare telepaticamente la sicurezza informatica operativa non è (ancora) possibile.

# 3 Lungo processo di approvazione

È possibile stabilire strategie di reazione automatica all’interno di aree specifiche che il cliente ha validato. Ma di solito è necessaria l’approvazione per poter intraprendere azioni concrete.

Alcuni cicli di approvazione coinvolgono più di una persona: il contatto principale potrebbe non essere autorizzato ad accettare, oppure una terza parte potrebbe dover approvare le informazioni prima che venga presa una decisione, ecc.

Come Advens sfrutta la potenza dell’automazione: un approccio incentrato sui dati e automatizzato fin dalla progettazione

In Advens, la gestione di un incidente di sicurezza è un processo composto da diverse fasi, ognuna delle quali può essere ottimizzata. I dati di background e la Cyber Threat Intelligence (CTI) devono essere integrati il prima possibile nel processo di gestione degli incidenti (approccio incentrato sui dati) per risparmiare tempo durante l’analisi e limitare il numero di avvisi.

Una parte cruciale dell’ottimizzazione di un processo è l’eliminazione delle “attività non necessarie”. Questa è l’essenza dell’automazione fin dalla progettazione: ottimizzare il flusso di lavoro e automatizzare attività banali, ripetitive o costose eseguite dagli analisti.

È così che Advens ha progettato l’automazione SOC. Integra e aggiunge valore a ogni fase del processo di risposta agli incidenti (raccolta, arricchimento, rilevamento delle minacce, classificazione, comunicazione e risoluzione).

Sinergia e intelligenza collettiva

Automatizzando la CTI e la revisione dei piani di monitoraggio, Advens è in grado di fornire una base di conoscenza condivisa a tutte le organizzazioni che protegge.

La piattaforma Advens mySoc può anche essere orchestrata tramite API. Consente a esperti e analisti di creare automazioni per processi aziendali specifici, rendendoli sia operatori che progettisti di soluzioni.

L’approccio Advens: quattro vantaggi per gli utenti finali

• Un processo di gestione degli incidenti di sicurezza ottimizzato in ogni fase.
• Tempi di classificazione e bonifica più brevi.
• Un tasso ridotto di falsi positivi.

4. Una visione adattiva e in evoluzione della sicurezza informatica: quando è necessario proteggere altre aree o vengono introdotti nuovi algoritmi, le aziende possono integrarli perfettamente nel loro processo di sicurezza.

“Automatizzare la cyber security operativa significa integrare l’intero flusso di elaborazione, dall’arricchimento dei dati raccolti alle azioni di remediation. In Advens, ciò è reso possibile dall’approccio incentrato sui dati e sull’automazione fin dalla progettazione della nostra piattaforma”.

Mickaël Beaumont, Product Manager di Advens ha chiarito: “Automatizzare la sicurezza informatica operativa significa integrare l’intero flusso di elaborazione, dall’arricchimento dei dati raccolti alle azioni di remediation. In Advens, ciò è reso possibile dall’approccio incentrato sui dati e sull’automazione fin dalla progettazione della nostra piattaforma”. Mickaël Beaumont, Product Manager di Advens”

Alla luce degli attacchi sempre più aggressivi e frequenti, l’automazione è una necessità. Ma non è una soluzione miracolosa! Il rilevamento e la gestione degli incidenti possono essere automatizzati, ma le azioni correttive devono essere eseguite manualmente. Il contesto dei dati, l’intelligenza collettiva e l’eccellenza operativa sono essenziali per raggiungere questo obiettivo. Questo è il fulcro del funzionamento della soluzione mySOC di Advens.

L'articolo Guardando oltre le aspettative: la realtà dell’automazione nella sicurezza informatica operativa proviene da il blog della sicurezza informatica.

In a Universe ruled by the harsh and unyielding laws of Physics, it’s often tempting to dream of mechanisms which defy these rigid restrictions. Although over the past hundred years we have made astounding progress in uncovering ways to work within these restrictions — including splitting and fusing atoms to liberate immense amounts of energy — there are those who dream of making reality a bit more magical. The concept of asymmetrical electrostatic propulsion is a major player here, with the EmDrive the infamous example. More recently [Dr. Charles Buhler] proposed trying it again, as part of his company Exodus Propulsion Technologies.
This slide from Dr. Buhler’s APEC presentation shows the custom-made vacuum chamber built to test their propellantless Propulsion drive in a simulated space environment. Image Credit: Exodus Propulsion Technologies, Buhler, et al.
The problem with such propellantless space propulsion proposals is that they violate the core what we know about the physical rules, such as the conclusion by Newton that for any action there has to be an opposite reaction. If you induce an electrostatic field or whatever in some kind of device, you’d expect any kind of force (‘thrust’) this creates to act in all directions equally, ergo for thrust to exist, it has to push on something in the other direction. Rocket and ion engines (thrusters) solve this by using propellant that create the reaction mass.

The EmDrive was firmly disproven 2021 by [M. Tajmar] and colleagues in their paper titled High-accuracy thrust measurements of the EMDrive and elimination of false-positive effects as published in CEAS Space Journal, which had the researchers isolate the EmDrive from all possible outside influences. Since the reported thrust was on the level of a merest fraction of a Newton, even the impact from lighting in a room and body heat from the researchers can throw off the results, not to mention the heat developed from a microwave emitter as used in the EmDrive.

Meanwhile True Believers flock to the ‘Alt Propulsion Engineering Conference’ (APEC), as no self-respecting conference or scientific paper will accept such wishful claims. In the case of [Buhler], he claims that their new-and-improved EmDrive shows a force of 10 mN in a ‘stacked system’, yet no credible paper on the experiments can be found other than APEC presentations. Until their prototype is tested the way the EmDrive was tested by [M. Tajmar] et al., it seems fair to assume that the rules of physics as we know them today remain firmly intact.

Non è la prima volta che gli hacker criminali colpiscono l’industria alcolica. Lo abbiamo visto prima con la Campari, poi con Il birrificio belga Duvel e questo è un duro colpo per tutti gli altri hacker.

La Svezia sta affrontando seri problemi con la fornitura di alcol dopo che il principale distributore Systembolaget ha subito un attacco informatico. Systembolaget è l’unico rivenditore nel paese con il diritto di vendere bevande alcoliche con una gradazione alcolica superiore al 3,5%.

A seguito dell’hacking del sistema Skanlog, responsabile della logistica di circa il 25% dei prodotti Systembolaget, molti prodotti, tra cui alcolici ed elettrodomestici, potrebbero scomparire dagli scaffali dei negozi in Svezia, Danimarca, Norvegia e Finlandia.

Skanlog ha suggerito che l’attacco sia stato effettuato da hacker nordcoreani utilizzando il ransomware LockBit 3.0. L’attacco ha colpito il “software aziendale Microsoft” e il sistema di gestione del magazzino Dynaman.

Un portavoce di Systembolaget ha avvertito che le scorte di alcuni tipi di prodotti quali birra, vino e liquori, nonché di sacchetti di carta, potrebbero presto esaurirsi. Nonostante ciò, Systembolaget ha assicurato che i prodotti alcolici non scompariranno del tutto, ma alcuni marchi potrebbero scomparire temporaneamente dagli scaffali.

Non è ancora chiaro quando Skanlog potrà riprendere integralmente il suo lavoro.

Se i problemi di consegna continuano, Systembolaget ha affermato di avere un piano di riserva. In risposta a possibili carenze di prodotti, Systembolaget ha iniziato a collaborare con altri distributori per ridurre al minimo l’impatto sui consumatori.

L'articolo Stop a Birra e Alcolici! Il ransomware porta la Svezia al proibizionismo forzato proviene da il blog della sicurezza informatica.

Recentemente, una Local Privilege Escalation per Windows è stata messa in vendita su Exploit.in al prezzo di 100.000 dollari. Il 2 aprile scorso, avevamo rilevato la messa in vendita di un analoga falla di sicurezza 0day sul forum undergrond XSS al costo di 80.000 dollari.

Premesso che il contatto Telegram e TOX non risultano gli stessi tra i due annunci, cosa significa tutto questo e perché dovrebbe preoccupare sia gli esperti di sicurezza che gli utenti comuni?

Cos’è Exploit.in?

Prima di tutto, Exploit.in è un noto forum clandestino frequentato da hacker e cyber criminali. Il forum è su presentazione e quindi a circuito chiuso o su pagamento di una quota di iscrizione.

Nel forum, vengono scambiate e vendute vulnerabilità informatiche, exploit e altre risorse che possono essere utilizzate per compromettere la sicurezza dei sistemi informatici. È un luogo oscuro e pericoloso nel vasto sottobosco dell’hacking.

Cos’è una Local Privilege Escalation e a cosa può servire?

Una Local Privilege Escalation (LPE) è una vulnerabilità che consente a un utente con accesso limitato a un sistema di ottenere privilegi di amministratore o di altro tipo superiori a quelli concessi. In poche parole, un hacker malintenzionato può sfruttare questa falla per ottenere un maggiore controllo e accesso al sistema di quanto dovrebbe avere.

Le LPE sono estremamente utili per gli hacker, poiché consentono loro di aumentare il livello di accesso a un sistema compromesso.

Una volta ottenuti privilegi più elevati, gli aggressori possono eseguire azioni dannose come installare malware, accedere a dati sensibili, modificare le impostazioni di sicurezza o addirittura assumere il pieno controllo del sistema. Questo può portare a gravi conseguenze per l’organizzazione o l’individuo colpito, inclusi furti di dati, violazioni della privacy e danni finanziari.

Cos’è una falla 0day?

Una falla 0day è una vulnerabilità informatica sconosciuta al produttore del software interessato o per la quale non è ancora stata rilasciata una patch correttiva. Queste vulnerabilità sono particolarmente pericolose perché gli sviluppatori non hanno avuto il tempo di creare una soluzione e gli hacker possono sfruttarle senza restrizioni. Le vulnerabilità 0day sono spesso molto ricercate e possono essere vendute a prezzi elevati sui mercati clandestini come Exploit.in.

In conclusione, la vendita di una Local Privilege Escalation per Windows su Exploit.in è un chiaro segnale dell’attività incessante degli hacker nel cercare di sfruttare le vulnerabilità dei sistemi informatici. È un promemoria della costante necessità di vigilanza e della rapida risposta alle minacce informatiche da parte della comunità della sicurezza informatica e delle aziende che desiderano proteggere i propri dati e sistemi.

Chi è l’hacker che ha pubblicato l’annuncio? E’ un possibile SCAM?

L’hacker che ha pubblicato l’annuncio vanta solo 5 messaggi pubblicati sul forum e non gode di una grande reputazione all’interno della comunità di Exploit.in. Questo solleva domande sulla sua credibilità e sulla veridicità delle sue affermazioni. Senza una storia consolidata di pubblicazioni o feedback positivi da altri membri del forum, è difficile prendere sul serio le sue rivendicazioni.

E’ anche vero che spesso si tratta di ricercatori di sicurezza informatica passati “al lato oscuro della forza”, per un breve periodo di tempo per monetizzare le proprie ricerche.

Non possiamo quindi determinare con certezza se questo presunto bug di sicurezza sia autentico o se si tratti di una truffa. Senza prove concrete o dettagli tecnici che dimostrino l’efficacia dell’exploit, è prudente mantenere un atteggiamento di scetticismo. È possibile che l’hacker stia cercando di ingannare gli acquirenti inesperti con promesse vuote al fine di lucrare sul loro denaro.

L'articolo In vendita una Local Privilege Escalation su Windows a 100.000 dollari su Exploit.in proviene da il blog della sicurezza informatica.

Many readers will be aware of the trend for disposable vapes, and how harvesting them for lithium-ion batteries has become a popular pastime in our community. We’re all used to the slim ones about the size of a marker pen, but it’s a surprise to find that they also come in larger sizes equipped with colour LCD screens. [Jason Gin] received one of this type of vape, and set about reverse engineering it.

What he found inside alongside the lithium-ion cell (we love his use of the term ” street lithium” by the way) was an ARM Cortex M0 microcontroller, 1 MB of flash, and that 80×160 display. Some investigation revealed this last part to have an ST7735S controller with an SPI interface. He turned his attention to the flash, which was filled with the bitmaps for the display. Seeing an opportunity there, this lead to the creation of a Windows 95 theme for the device.

Finally, the microcontroller turned out to be accessible with programming tools, with an unprotected firmware. The reverse engineering effort is ongoing, but we hope the result is a small dev board that will at least save some of the from being e-waste. If you’re curious, all the tools used are in a GitHub repository.

Meanwhile, we’ve looked at street lithium harvesting before.

Thanks [DeadFishOnTheLanding] for the tip!

Image by [SrBlonde] via Hackaday.IOOkay, so we’re opening with more than just a keyboard, and that’s fine. In fact, it’s more than fine, it’s probably the cutest lil’ ZX Spectrum you’ll see today.

[SrBlonde]’s wonderful micro Spectrum project has only the essential inputs, which makes for an interesting-looking keyboard for sure. Inside you’ll find an Orange Pi Zero 2 board loaded with Batocera so [SrBlonde] can play all their favorite childhood games on the 5″ IPS display.

Something else that’s interesting is that the switches are a mix of blues and blacks — clickies and linears. I can’t figure out how they’re distributed based on the numbers in the components list, but I could see using clickies on the alphas and linears everywhere else (or vice versa). At any rate, it’s a great project, and you can grab the STL files from Thingiverse if you’re so inclined.

Zoom Keyboard Keeps It Simple

Image by [Olga Pavlova] via Hackaday.IOIf you’ve ever used Zoom with any regularity, you may have longed for a keyboard much like this macro pad from [Olga Pavlova].

[Olga] is using this bad boy in an educational setting, so the hot keys are set up as follows: raise/lower hand, mute/un-mute audio, and show/hide the in-meeting chat panel. Simple plus useful equals elegant in my book. This keyboard is built on the ATtiny85, and you can find more details on GitHub including the code.

I’m quite drawn to the interesting design of this one, and I’m not quite sure what it reminds me of. Maybe an upside-down Steam logo. What do you think it looks like?

The Centerfold: Peel Slowly and See

Image by [ItsameDoody] via redditYep, this time we’re going with nature’s energy bar, the KBDFans banana desk mat. Although there’s no edible banana for scale, there is a nice Mammoth75 keyboard, and a really lovely wrist rest that totally blends in with the desk. Believe it or not, those creamy keycaps aren’t from a group buy or anything crazy, they’re just some milky white PBTs from the Bezos Barn.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: the Yetman Transmitting Typewriter

Image via Oz Typewriter
The remarkably heavy Yetman Transmitting Typewriter of 1903 was a bit like a laptop of its time in that you could hook into the telegraph wires and send a message from anywhere. (Well, anywhere with telegraph wires.) And, at the same time, if you wanted, you could produce a hard copy of that message. Or, you could just use the thing as a normal typewriter.

And as far as normal typewriters go, the Yetman isn’t too outstanding aside from its transmitting capabilities. In order to transmit, you simply pressed the lever on the left side of the keyboard. To engage the typebars, you pressed a lever on the right.

You may have noticed the shelf above the keyboard with the strange knob. That is a Morse keyer for sending messages the traditional way. Many sources claimed that the Yetman could also receive transmissions, but that’s not the case.

There are many mysteries surrounding the Yetman, its inventor, and the company’s president, which you can read all about on the Oz Typewriter blog.

ICYMI: KanaChord, the Japanese Macro Pad

The red light means an invalid combination was pressed. Image by [Mac Cody] via Hackaday.IOWant to input a little Japanese here and there on your computer? Normally you’d need to switch languages, but why not switch peripherals instead? That’s the idea behind [Mac Cody]’s KanaChord, which generates Unicode macros that render Japanese Kana characters by way of chords — multiple keys at once, like on a piano.

It’s simple, really, as long as you know your table of Kana — that’s how the Hirigana and Katakana elements of the Japanese language are collectively known. There’s also the Kanji, or Chinese characters that round it all out. This version of the KanaChord lacks the Kanji, but the KanaChord Plus Keyboard will have 6,000+ characters.

KanaChord uses color to differentiate between character types, to indicate Kana mode, and even provide error feedback whenever an invalid chord is pressed. Inside you’ll find a Raspberry Pi Pico and an Adafruit NeoKey 5×6 Ortho Snap-Apart keyboard PCB, which simplifies things considerably. Underneath those cool 3D-printed keycaps are thirty Cherry MX switches of unknown color, but which I choose to believe are blue.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

Let’s face it — electronics are hard. Difficult concepts, tiny parts, inscrutable datasheets, and a hundred other factors make it easy to screw up in new and exciting ways. Sometimes the Magic Smoke is released, but more often things just don’t work even though they absolutely should, and no amount of banging your head on the bench seems to change things.

It’s at times like this that one questions their sanity, as [Gili Yankovitch] probably did when he discovered that not all CH32V003s are created equal. In an attempt to recreate the Linux-on-a-microcontroller project, [Gili] decided to go with the A4M6 variant of the dirt-cheap RISC-V microcontroller. This variant lives in a SOP16 package, which makes soldering a bit easier than either of the 20-pin versions, which come in either QFN or TSSOP packages.

Wisely checking the datasheet before proceeding, [Gili] was surprised and alarmed that the clock line for the SPI interface didn’t appear to be bonded out to a pin. Not believing his eyes, he turned to the ultimate source of truth and knowledge, where pretty much everyone came to the same conclusion: the vendor done screwed up.

Now, is this a bug, or is this a feature? Opinions will vary, of course. We assume that the company will claim it’s intentional to provide only two of the three pins needed to support a critical interface, while every end user who gets tripped up by this will certainly consider it a mistake. But forewarned is forearmed, as they say, and hats off to [Gili] for taking one for the team and letting the community know.

Battery technology is the major limiting factor for the large-scale adoption of electric vehicles and grid-level energy storage. Marginal improvements have been made for lithium cells in the past decade but the technology has arguably been fairly stagnant, at least on massive industrial scales. At smaller levels there have been some more outside-of-the-box developments for things like embedded systems and, at least in the case of this battery that can recharge itself, implantable batteries for medical devices.

The tiny battery uses sodium and gold for the anode and cathode, and takes oxygen from the body to complete the chemical reaction. With a virtually unlimited supply of oxygen available to it, the battery essentially never needs to be replaced or recharged. In lab tests, it took a bit of time for the implant site to heal before there was a reliable oxygen supply, though, but once healing was complete the battery’s performance leveled off.

Currently the tiny batteries have only been tested in rats as a proof-of-concept to demonstrate the chemistry and electricity generation capabilities, but there didn’t appear to be any adverse consequences. Technology like this could be a big improvement for implanted devices like pacemakers if it can scale up, and could even help fight diseases and improve healing times. For some more background on implantable devices, [Dan Maloney] catches us up on the difficulties of building and powering replacement hearts for humans.

[samsuksiri] frequently uses a laptop and has an external drive to store projects. The drive flops around on the end of its tether and gets in the way, so they repurposed their old iPod pouch and attached it to the laptop lid with double-sided tape. You can guess how that went — the weight of the drive caused the pocket to sag and eventually detach over time.

Then [samsuksiri] remembered that they had LEGO DOTS patch stashed somewhere. It’s an 8×8 plate with adhesive on the back so you can build almost anywhere. Then the problem was this: how to attach LEGO to the drive itself? You’d think this is where the hot glue comes in, but that didn’t work because the drive is too slippery.

Nothing worked, really — not until [samsuksiri] flipped the drive over to work with the dimpled side that has un-coated plastic. Finally, the answer turned out to be mounting tape. Now, [samsuksiri] can attach the drive in any orientation, or even attach a second drive. Be sure to check it out after the break.

Looking for slightly more astounding LEGO creations? Check out this hydroelectric dam.

https://www.youtube.com/embed/gXnPz3bdTRc?feature=oembed

Thanks to [Keith Olson] for the tip!

Gli esperti di Avast hanno scoperto che gli hacker nordcoreani hanno utilizzato il meccanismo di aggiornamento dell’antivirus indiano eScan per distribuire il malware GuptiMiner, con il quale hanno installato backdoor in grandi reti aziendali e hanno anche distribuito minatori di criptovalute.

I ricercatori descrivono GuptiMiner come una “minaccia altamente sofisticata” in grado di eseguire query DNS contro i server degli aggressori, estrarre payload dalle immagini, firmare i propri payload ed eseguire il caricamento delle DLL.

Gli autori di GuptiMiner hanno utilizzato attacchi MitM (Man-in-the-Middle) per intercettare pacchetti di aggiornamento antivirus autentici (forniti tramite HTTP almeno dal 2019) e sostituirli con un file updll62.dlz dannoso. Questo file conteneva gli aggiornamenti necessari ai database antivirus, nonché il malware GuptiMiner (sotto forma di file DLL denominato version.dll).

I ricercatori di Avast non hanno avuto il tempo di capire come esattamente gli aggressori siano riusciti a effettuare l’intercettazione. Si ritiene che le reti prese di mira siano state probabilmente compromesse in anticipo per reindirizzare il traffico agli aggressori.

Dopo aver ricevuto l’aggiornamento, eScan ha elaborato il pacchetto normalmente, lo ha decompresso e lo ha eseguito. In questa fase, la DLL è stata caricata con file binari eScan legittimi, che alla fine hanno concesso al malware privilegi a livello di sistema.

La DLL ha quindi ricevuto ulteriori payload dall’infrastruttura degli aggressori, si è bloccata sull’host utilizzando attività pianificate, ha eseguito manipolazioni DNS, ha inserito shellcode in processi legittimi, ha utilizzato la virtualizzazione del codice, ha archiviato payload crittografati XOR nel registro di Windows ed ha estratto PE dai file. PNG.

Inoltre, GuptiMiner ha verificato se il sistema infetto disponeva di un processore con quattro core o più e di 4 GB di RAM (per evitare sandboxing) e ha determinato se Wireshark, WinDbg, TCPView, 360 Total Security, Huorong Internet Security, Process Explorer, Process Monitor e OllyDbg erano in esecuzione. Inoltre, i prodotti di sicurezza AhnLab e Cisco Talos venivano disattivati ​​sulla macchina infetta, se erano in esecuzione, e alcune varianti della catena di infezione nascondevano codice dannoso nelle immagini per renderne più difficile il rilevamento.

I ricercatori Avast ritengono che GuptiMiner possa essere associato al gruppo APT nordcoreano Kimsuki. Questa ipotesi si basa sulle somiglianze tra la funzionalità di furto dei dati e il keylogger Kimsuky, nonché sull’uso del dominio mygamesonline[.]org, che si trova spesso nelle operazioni del raggruppamento.

Secondo quanto riferito, gli hacker hanno utilizzato GuptiMiner per distribuire una varietà di malware sui sistemi delle vittime, tra cui due diverse backdoor e il minatore XMRig.

La prima backdoor è una versione migliorata di Putty Link, implementata nei sistemi aziendali per scansionare la rete locale alla ricerca di sistemi vulnerabili e punti di partenza per il movimento laterale. Questa backdoor cerca specificamente i sistemi che eseguono Windows 7 e Windows Server 2008, hackerandoli attraverso il tunneling del traffico SMB.

La seconda backdoor è un malware modulare complesso che scansiona l’host alla ricerca di chiavi private memorizzate e dati del portafoglio di criptovaluta e crea anche una chiave nel registro per indicare la fine della scansione per evitare scansioni ripetute rumorose. Questa backdoor è in grado di ricevere comandi dai suoi operatori per installare moduli aggiuntivi nel registro, espandendo ulteriormente le sue capacità.

L'articolo Gli hacker Nordcoreani Utilizzano gli Aggiornamenti Antivirus per diffondere il malware GuptiMiner proviene da il blog della sicurezza informatica.

Il costante evolversi della tecnologia porta con sé nuove sfide per la sicurezza informatica. I dispositivi progettati per proteggere le reti, come i firewall, diventano sempre più bersaglio degli hacker, che li sfruttano come punto di ingresso per compromettere i sistemi che dovrebbero difendere. In un recente caso di campagna di hacking, Cisco ha rivelato che i suoi firewall sono stati utilizzati come ponti per infiltrarsi nelle reti governative in tutto il mondo.

Cisco ha segnalato che i suoi dispositivi Adaptive Security Appliances (ASA), che combinano firewall, VPN e altre funzionalità di sicurezza, sono stati bersagliati da spie sponsorizzate dallo stato. Questi hacker hanno sfruttato due vulnerabilità zero-dayper compromettere obiettivi governativi in una campagna di hacking denominata ArcaneDoor.

“Questo attore ha utilizzato strumenti su misura che hanno dimostrato una chiara attenzione allo spionaggio e una conoscenza approfondita dei dispositivi presi di mira, tratti distintivi di un sofisticato attore sponsorizzato dallo stato”, si legge in un post sul blog dei ricercatori Talos di Cisco.

Le intrusioni sono state condotte da un gruppo che Cisco Talos, il dipartimento di sicurezza di Cisco, ha identificato come UAT4356, mentre i ricercatori di Microsoft coinvolti nelle indagini lo hanno chiamato STORM-1849. Questi attacchi sembrano essere stati sponsorizzati da uno stato a causa della loro complessità e mira precisa.

La campagna di hacking è iniziata nel novembre 2023 e si è concentrata principalmente tra dicembre e gennaio di quest’anno, coinvolgendo reti governative in tutto il mondo.

Gli hacker hanno sfruttato due vulnerabilità nei prodotti ASA di Cisco: Line Dancer, che consente l’esecuzione di codice dannoso nella memoria dei dispositivi, e Line Runner, che mantiene l’accesso anche dopo riavvii o aggiornamenti.

Cisco ha rilasciato aggiornamenti software per correggere queste vulnerabilità e ha consigliato ai clienti di implementarli immediatamente. Tuttavia, rilevare l’accesso degli hacker ai dispositivi ASA rimane difficile.

La campagna ArcaneDoor evidenzia una tendenza più ampia di hacker sponsorizzati dallo stato che prendono di mira dispositivi perimetrali di rete come firewall e VPN per ottenere un punto di ingresso nella rete della vittima.

Mandiant, società di sicurezza di Google, ha evidenziato nel suo rapporto annuale M-Trends anche hacker russi che sfruttano dispositivi edge, come server di posta elettronica e firewall, per attacchi informatici contro obiettivi ucraini. Queste tendenze sottolineano l’importanza di proteggere non solo il cuore della rete, ma anche i dispositivi periferici.

In un panorama sempre più pericoloso della sicurezza informatica, è essenziale per le organizzazioni rimanere vigili e implementare le migliori pratiche di sicurezza per proteggere le proprie reti da minacce sempre più sofisticate.

L'articolo ArcaneDoor: l’attacco zero-day su scala mondiale che sfrutta i dispositivi Cisco! proviene da il blog della sicurezza informatica.

I ricercatori di sicurezza informatica di Perception Point hanno recentemente scoperto una vulnerabilità sul sito web del produttore di macchine da caffè e capsule Nespresso, che viene attivamente utilizzata dai truffatori per reindirizzare gli utenti a siti dannosi.

Una vulnerabilità Open Redirect consente agli aggressori di reindirizzare un utente a un sito dannoso o addirittura di inserire contenuti dannosi direttamente in un sito web legittimo.

Gli aggressori sono in grado di manipolare il valore di un URL, creando collegamenti che sembrano provenire da Nespresso ma portano a risorse dannose. Uno di questi collegamenti inizia con “t.uk.nespresso.com/r/?id[…]”, ma alla fine reindirizza al sito Web degli aggressori.

Come accennato in precedenza, questa vulnerabilità viene sfruttata attivamente. L’attacco inizia con un’e-mail mascherata da richiesta di autenticazione a più fattori di Microsoft, sebbene il mittente non abbia nulla a che fare con essa. Il messaggio è progettato per sembrare essere stato inoltrato più volte e sembra provenire da Microsoft.

Il contenuto dell’e-mail incoraggia il destinatario a verificare l’attività del suo ultimo accesso. Quando fai clic sul collegamento nel tuo browser, si apre una falsa pagina di accesso Microsoft, il cui scopo è rubare le tue credenziali.

I ricercatori sottolineano che l’utilizzo di un dominio Nespresso legittimo e affidabile consente di aggirare i filtri antispam e altre misure di sicurezza, poiché alcuni sistemi di sicurezza controllano solo il collegamento iniziale, senza analizzare i collegamenti incorporati o nascosti.

Perception Point ha notato numerosi attacchi che utilizzano il dominio Nespresso da parte di diversi mittenti. Oltre alle e-mail su attività sospette presumibilmente provenienti da Microsoft, i ricercatori hanno osservato anche e-mail simili che imitavano Bank of America.

Al 18 aprile, cioè al momento in cui i ricercatori hanno pubblicato il loro articolo, la vulnerabilità non era ancora stata risolta. I media attendono una risposta dal servizio stampa di Nespresso.

In effetti, questo tipo di attacco che utilizza domini ad alta reputazione è abbastanza comune. Così, a gennaio è stato fatto per la BMW con attacchi di reindirizzamento. Lo sfruttamento di una falla nel suo sito ha portato a unphishing mirato a lungo termine e alla distribuzione attiva di malware.

Gli utenti dovrebbero prestare attenzione a fare clic su collegamenti sospetti contenuti nelle e-mail, anche se il mittente sembra legittimo. Gli aggressori dispongono da tempo di metodi per falsificare sia il mittente che i collegamenti stessi all’interno di una email, che è il difetto di reindirizzamento aperto descritto sopra.

L'articolo Un caffè con gli hacker! Il sito di Nespresso utilizzato per attacchi di Phishing proviene da il blog della sicurezza informatica.

Un produttore di cani robot con sede a Filadelfia è diventato il bersaglio delle proteste per la guerra a Gaza. Ghost Robotics, con sede presso il centro di ricerca Pennovation Works dell’Università della Pennsylvania, sta promuovendo attivamente l’uso militare dei suoi dispositivi robotici.

Gli attivisti hanno espresso insoddisfazione per il fatto che i prodotti Ghost Robotics vengano utilizzati dall’esercito israeliano nella Striscia di Gaza. Negli ultimi mesi ci sono state diverse marce e proteste contro l’azienda a Filadelfia. I manifestanti chiedono che l’università smetta di collaborare con l’azienda. Un membro del movimento Shut Down Ghost Robotics ha dichiarato: “Siamo preoccupati che le nostre tasse possano sostenere la produzione di questi cani robotici. Questo è inaccettabile”.

A differenza del noto concorrente Boston Dynamics, Ghost Robotics non solo ha abbandonato gli accordi internazionali per disarmare i suoi robot, ma sta anche collaborando attivamente con altre aziende per installare armi sui suoi dispositivi. L’azienda afferma che armare i robot è parte della sua missione. “Se hanno bisogno di montare un’arma sul nostro robot per completare le attività, lo accogliamo con favore”, ha affermato il dirigente dell’azienda.

Il prodotto di punta dell’azienda, il robot Vision 60, è progettato per l’uso in ambienti urbani e naturali difficili. Costando 165.000 dollari, questi dispositivi terrestri autonomi a quattro zampe sono dotati di più telecamere e microfoni. Sono in grado di rialzarsi indipendentemente dalle cadute e di raccogliere informazioni dai sensori per scopi che includono il targeting di armi.

I robot Vision 60 sono già utilizzati per monitorare i perimetri delle basi militari dell’aeronautica americana e ai confini degli Stati Uniti per rilevare i migranti. In Giappone, questi robot sono stati utilizzati per aiutare a evacuare le vittime del terremoto.

Nell’ottobre 2021, in una conferenza militare a Washington, l’azienda ha presentato il suo cane robot con un fucile telecomandato montato sulla schiena. “Permettiamo che il nostro robot venga utilizzato in applicazioni militari e altre applicazioni governative per proteggere la nostra gente”, ha osservato un rappresentante dell’azienda in un’intervista a una pubblicazione tecnologica.

In risposta alle critiche e alla luce degli ultimi eventi, il capo del laboratorio di ricerca GRASP, dove sono state sviluppate le tecnologie per Ghost Robotics, ha espresso il suo disaccordo con la direzione di sviluppo militare. Ha invitato l’azienda a rimuovere i riferimenti al suo gruppo da tutte le pubblicazioni perché armare i robot “oltrepassa importanti confini etici” e potrebbe portare ad abusi nell’uso civile e di polizia.

L’azienda deve affrontare anche una causa legale da parte della Boston Dynamics, che accusa Ghost Robotics di aver violato diversi brevetti sui progetti dei suoi cani robot. Ghost Robotics ha definito la causa “un tentativo infondato di rallentare lo sviluppo di un nuovo arrivato sul mercato”.

Inoltre, in risposta all’uso dei robot nelle operazioni militari a Gaza, dove vengono utilizzati per ispezionare i tunnel e cercare militanti, sono emerse preoccupazioni che i robot potrebbero essere utilizzati per selezionare autonomamente obiettivi e uccidere senza diretta supervisione umana, sollevando allarme tra gli oppositori.

Le armi robotiche stanno sempre più portando una richiesta di una nuova legislazione che regoli l’uso di sistemi d’arma autonomi.

L'articolo Cani robot nella striscia di Gaza. La Ghost Robotics sotto accusa per l’uso di cani armati proviene da il blog della sicurezza informatica.

Gli aggressori prendono di mira le reti globali in un massiccio attacco di compromissione delle credenziali. Cisco Talos ha lanciato l’allarme riguardo a questa campagna su larga scala, che mira ad ottenere l’accesso a account VPN, SSH e applicazioni web.

Gli attacchi, che non discriminano regioni o settori specifici, sono iniziati il ​​18 marzo 2024 e continuano a crescere. I ricercatori Talos avvertono che questa minaccia potrebbe compromettere l’intera rete e gli account degli utenti. Gli aggressori utilizzano una serie di nomi utente e password aziendali valide per ottenere l’accesso.

La difficoltà nel tracciare gli aggressori è ulteriormente complicata dal fatto che gli attacchi provengono da nodi di uscita TOR e altri servizi di anonimizzazione come VPN Gate, Proxy Rack e TOR.

Cisco ha reagito aggiungendo gli indirizzi IP utilizzati agli elenchi di blocchi per i suoi prodotti VPN.

Tra i servizi colpiti ci sono i firewall VPN di Cisco, checkpoint VPN, Fortinet VPN, SonicWall VPN, servizi di desktop remoto, Microtik, Draytek e Ubiquiti.

Gli esperti consigliano agli utenti di bloccare i tentativi di connessione da fonti dannose, abilitare la registrazione dettagliata per monitorare gli attacchi su diversi endpoint di rete e proteggere gli account di accesso remoto bloccandoli per impostazione predefinita.

Implementare un sistema di controllo e gestione degli accessi a livello di interfaccia può anche rivelarsi cruciale nella difesa contro tali minacce.

L'articolo VPN in pericolo. Un attacco globale con milioni di tentativi di accesso colpisce le Reti Globali proviene da il blog della sicurezza informatica.