Supercon 2024 Flower SAO Badge Redrawing in KiCad
Out of curiosity, I redrew the Supercon Vectorscope badge schematics in KiCad last year. As you might suspect, going from PCB to schematic is opposite to the normal design flow of KiCad and most other PCB design tools. As a result, the schematics and PCB of the Vectorscope project were not really linked. I decided to try it again this year, but with the added goal of making a complete KiCad project. As usual, [Voja] provided a well drawn schematic diagram in PDF and CorelDRAW formats, and a PCB design using Altium’s Circuit Maker format (CSPcbDoc file). And for reference, this year I’m using KiCad v8 versus v7 last year.
Importing into KiCad
This went smoothly. KiCad imports Altium files, as I discovered last year. Converting the graphic lines to traces was easier than before, since the graphical lines are deleted in the conversion process. There was a file organizational quirk, however. I made a new, empty project and imported the Circuit Maker PCB file. It wasn’t obvious at first, but the importing action didn’t make use the new project I had just made. Instead, it created a completely new project in the directory holding the imported Circuit Maker file. This caused a lot of head scratching when I was editing the symbol and footprint library table files, and couldn’t figure out why my edits weren’t being seen by KiCad. I’m not sure what the logic of this is, was an easy fix once you know what’s going on. I simply copied everything from the imported project and pasted it in my new, empty project.
While hardly necessary for this design, you can also import graphics into a KiCad schematic in a similar manner to the PCB editor. First, convert the CorelDRAW file into DXF or SVG — I used InkScape to make an SVG. Next do Import -> Graphics
in the Kicad schematic editor. However, you immediately realize that, unlike the PCB editor, the schematic editor doesn’t have any concept of drawing layers. As a work around, you can instead import graphics into a new symbol, and place this symbol on a blank page. I’m not sure how helpful this would be in tracing out schematics in a real world scenario, since I just drew mine from scratch. But it’s worth trying if you have complex schematics.
Note: this didn’t work perfectly, however. For some reason, the text doesn’t survive being imported into KiCad. I attribute this to my poor InkScape skills rather than a shortcoming in KiCad or CorelDRAW. Despite having no text, I put this symbol on its own page in sheet two of the schematic, just for reference to see how it can be done.
Just like last year, the footprints in the Circuit Maker PCB file were imported into KiCad in a seemingly random manner. Some footprints import as expected. Others are imported such that each individual pad is a standalone footprint. This didn’t cause me any problems, since I made all new footprints by modifying standard KiCad ones. But if you wanted to save such a footprint-per-pad part into a single KiCad footprint, it would take a bit more effort to get right.
Recreating Schematics and Parts
After redrawing the schematics, I focused on getting the part footprints sorted out. I did them methodically one by one. The process went as follows for each part:
- Start with the equivalent footprint from a KiCad library
- Duplicate it into a local project library
- Add the text SAO to the footprint name to avoid confusion.
- Position and align the part on the PCB atop the imported footprint
- Note and adjust for any differences — pad size and/or shape, etc.
- Update the part in the project library
- Attach it to the schematic symbols in the usual manner.
- Delete the imported original footprint (can be tricky to select)
Some parts were more interesting than others. For example, the six SAO connectors are placed at various non-obvious angles around the perimeter. I see that [Voja] slipped up once — the angle between connectors 4 and 5 is at a definitely non-oddball angle of 60 degrees.
SAO Angle Difference
#1 326 102 6->1
#2 8 42 1->2
#3 61 53 2->3
#4 118 57 3->4
#5 178 60 4->5
#6 224 46 5->6
With all this complete, the PCB artwork consists of all new footprints but uses the original traces. I needed to tweak a few traces here and there, but hopefully without detracting too much from [Voja]’s style. Speaking of style, for those interested in giving that free-hand look to hand-routed tracks in KiCad, check the options in the Interactive Router Settings
menu. Choose the Highlight collisions / Free angle mode
and set the PCB grid to a very small value. Free sketch away.
Glitches
I used two photos of the actual board to check when something wasn’t clear. One such puzzle was the 3-pad SMT solder ball jumper. This was shown on the schematic and on the fully assembled PCB, but it was not in the Circuit Maker design files. I assumed that the schematics and photos were the truth, and the PCB artwork was a previous revision. There is a chance that I got it backwards, but it’s an easy to fix if so. Adding the missing jumper took a bit of guesswork regarding the new and adjusted traces, because they were hard to see and/or underneath parts in the photo. This redrawn design may differ slightly in appearance but not in functionality.
DRC checks took a little more iterating than usual, and at one point I did something to break the edge cuts layer. The irregular features on this PCB didn’t help matters, but I eventually got everything cleaned up.
I had some trouble sometimes assigning nets to the traces. If I was lucky, putting the KiCad footprint on top of the traces assigned them their net names. Other times, I had traces which I had to manually assign to a net. This operation seemed to work sporatically, and I couldn’t figure out why. I was missing a mode that I remember from another decade in a PCB tool, maybe PCAD?, where you would first click on a net. Then you just clicked on any number of other items to stitch them into the net. In KiCad it is not that simple, but understandable given the less-frequent need for this functionality.
You may notice the thru hole leads on the 3D render are way too long. Manufacturers provide 3D files describing the part as they are shipped, which reasonably includes the long leads. They are only trimmed at installation. The virtual technician inside KiCad’s 3D viewer works at inhuman speeds, but has had limited training. She can install or remove all through hold or SMT parts on the board, in the blink of an eye. She can reposition eight lamps and change the background color in mere seconds. These are tasks that would occupy a human technician for hours. But she doesn’t know how to trim the leads off of thru hole parts. Maybe that will come in future versions.
Project Libraries
I like to extract all symbols, part footprints, and 3D files into separate project libraries when the design wraps up. KiCad experts will point out that for several versions now this is not necessary. All (or most) of this information is now stored in the design files, alghouth with one exception — the 3D files. Even so, I still feel safer making these project libraries, probably because I understand the process.
KiCad can now do this with a built-in function. See the Export -> Symbols to New Library
and Export -> Footprints to New Library
in the schematic and PCB editors, respectively. These actions give you the option to additionally change all references in the design to use this new library. This didn’t work completely for me, for reasons unclear. Eventually I just manually edited the sch and pcb file and fixed the library names with a search and replace operation.
Hint: When configuring project libraries in KiCad, I always give them a nickname that begins with a dot. For example,.badge24
or.stumbler
. This always puts project libraries at the top of the long list of libraries, and it makes it easier to do manual search and replaces in the design files if needed.
What about 3D files, you say? That isn’t built into KiCad, but have no fear. [Mitja Nemec] has you covered with the Archive 3D Models KiCad plugin. It was trivial to activate and use in KiCad’s Plugin and Content Manager
.
All Done
In the end, the design passed all DRCs, and I could run Update PCB from Schematic...
without errors. I went out on a limb and immediately placed an order for five PCBs, hoping I hadn’t overlooked something. But it’s only US$9.00 risk. They are on the way from China as I type this.
All the files can be found in this GitHub repo. If you find any errors, raise an issue there. I have not done this procedure for any of the SAO petals, but when I do, I will place a link in the repository.
Schematics showing jumper
Mandrake spyware sneaks onto Google Play again, flying under the radar for two years
Introduction
In May 2020, Bitdefender released a white paper containing a detailed analysis of Mandrake, a sophisticated Android cyber-espionage platform, which had been active in the wild for at least four years.
In April 2024, we discovered a suspicious sample that appeared to be a new version of Mandrake. Ensuing analysis revealed as many as five Mandrake applications, which had been available on Google Play from 2022 to 2024 with more than 32,000 installs in total, while staying undetected by any other vendor. The new samples included new layers of obfuscation and evasion techniques, such as moving malicious functionality to obfuscated native libraries, using certificate pinning for C2 communications, and performing a wide array of tests to check if Mandrake was running on a rooted device or in an emulated environment.
Our findings, in a nutshell, were as follows.
- After a two-year break, the Mandrake Android spyware returned to Google Play and lay low for two years.
- The threat actors have moved the core malicious functionality to native libraries obfuscated with OLLVM.
- Communication with command-and-control servers (C2) uses certificate pinning to prevent capture of SSL traffic.
- Mandrake is equipped with a diverse arsenal of sandbox evasion and anti-analysis techniques.
Kaspersky products detect this threat as
HEUR:Trojan-Spy.AndroidOS.Mandrake.*.
Technical details
Background
The original Mandrake campaign with its two major infection waves, in 2016–2017 and 2018–2020, was analyzed by Bitdefender in May 2020. After the Bitdefender report was published, we discovered one more sample associated with the campaign, which was still available on Google Play.
The Mandrake application from the previous campaign on Google Play
In April 2024, we found a suspicious sample that turned out to be a new version of Mandrake. The main distinguishing feature of the new Mandrake variant was layers of obfuscation designed to bypass Google Play checks and hamper analysis. We discovered five applications containing Mandrake, with more than 32,000 total downloads. All these were published on Google Play in 2022 and remained available for at least a year. The newest app was last updated on March 15, 2024 and removed from Google Play later that month. As at July 2024, none of the apps had been detected as malware by any vendor, according to VirusTotal.
Mandrake samples on VirusTotal
Applications
Package name | App name | MD5 | Developer | Released | Last updated on Google Play | Downloads |
com.airft.ftrnsfr | AirFS | 33fdfbb1acdc226eb177eb42f3d22db4 | it9042 | Apr 28, 2022 | Mar 15, 2024 | 30,305 |
com.astro.dscvr | Astro Explorer | 31ae39a7abeea3901a681f847199ed88 | shevabad | May 30, 2022 | Jun 06, 2023 | 718 |
com.shrp.sght | Amber | b4acfaeada60f41f6925628c824bb35e | kodaslda | Feb 27, 2022 | Aug 19, 2023 | 19 |
com.cryptopulsing.browser | CryptoPulsing | e165cda25ef49c02ed94ab524fafa938 | shevabad | Nov 02, 2022 | Jun 06, 2023 | 790 |
com.brnmth.mtrx | Brain Matrix | – | kodaslda | Apr 27, 2022 | Jun 06, 2023 | 259 |
Mandrake applications on Google Play
We were not able to get the APK file for
com.brnmth.mtrx, but given the developer and publication date, we assume with high confidence that it contained Mandrake spyware.
Application icons
Malware implant
The focus of this report is an application named AirFS, which was offered on Google Play for two years and last updated on March 15, 2024. It had the biggest number of downloads: more than 30,000. The malware was disguised as a file sharing app.
According to reviews, several users noticed that the app did not work or stole data from their devices.
Infection chain
Like the previous versions of Mandrake described by Bitdefender, applications in the latest campaign work in stages: dropper, loader and core. Unlike the previous campaign where the malicious logic of the first stage (dropper) was found in the application DEX file, the new versions hide all the first-stage malicious activity inside the native library
libopencv_dnn.so, which is harder to analyze and detect than DEX files. This library exports functions to decrypt the next stage (loader) from the assets/raw folder.
Contents of the main APK file
Interestingly, the sample
com.shrp.sght has only two stages, where the loader and core capabilities are combined into one APK file, which the dropper decrypts from its assets.
While in the past Mandrake campaigns we saw different branches (“oxide”, “briar”, “ricinus”, “darkmatter”), the current campaign is related to the “ricinus” branch. The second- and third-stage files are named “ricinus_airfs_3.4.0.9.apk”, “ricinus_dropper_core_airfs_3.4.1.9.apk”, “ricinus_amber_3.3.8.2.apk” and so on.
When the application starts, it loads the native library:
To make detection harder, the first-stage native library is heavily obfuscated with the OLLVM obfuscator. Its main goal is to decrypt and load the second stage, named “loader“. After unpacking, decrypting and loading into memory the second-stage DEX file, the code calls the method
dex_load and executes the second stage. In this method, the second-stage native library path is added to the class loader, and the second-stage main activity and service start. The application then shows a notification that asks for permission to draw overlays.
When the main service starts, the second-stage native library
libopencv_java3.so is loaded, and the certificate for C2 communications, which is placed in the second-stage assets folder, is decrypted. The treat actors used an IP address for C2 communications, and if the connection could not be established, the malware tried to connect to more domains. After successfully connecting, the app sends information about the device, including the installed applications, mobile network, IP address and unique device ID, to the C2. If the threat actors find their target relevant on the strength of that data, they respond with a command to download and run the “core” component of Mandrake. The app then downloads, decrypts and executes the third stage (core), which contains the main malware functionality.
Second-stage commands:
Command | Description |
start | Start activity |
cup | Set wakelock, enable Wi-Fi, and start main parent service |
cdn | Start main service |
stat | Collect information about connectivity status, battery optimization, “draw overlays” permission, adb state, external IP, Google Play version |
apps | Report installed applications |
accounts | Report user accounts |
battery | Report battery percentage |
home | Start launcher app |
hide | Hide launcher icon |
unload | Restore launcher icon |
core | Start core loading |
clean | Remove downloaded core |
over | Request “draw overlays” permission |
opt | Grant the app permission to run in the background |
Third stage commands:
Command | Description |
start | Start activity |
duid | Change UID |
cup | Set wakelock, enable Wi-Fi, and start main parent service |
cdn | Start main service |
stat | Collect information about connectivity status, battery optimization, “draw overlays” permission, adb state, external IP, Google Play version |
apps | Report installed applications |
accounts | Report user accounts |
battery | Report battery percentage |
home | Start launcher app |
hide | Hide launcher icon |
unload | Restore launcher icon |
restart | Restart application |
apk | Show application install notification |
start_v | Load an interactive webview overlay with a custom implementation of screen sharing with remote access, commonly referred to by the malware developers “VNC” |
start_a | Load webview overlay with automation |
stop_v | Unload webview overlay |
start_i, start_d | Load webview overlay with screen record |
stop_i | Stop webview overlay |
upload_i, upload_d | Upload screen record |
over | Request “draw overlays” permission |
opt | Grant the app permission to run in the background |
When Mandrake receives a
start_v command, the service starts and loads the specified URL in an application-owned webview with a custom JavaScript interface, which the application uses to manipulate the web page it loads.
While the page is loading, the application establishes a websocket connection and starts taking screenshots of the page at regular intervals, while encoding them to base64 strings and sending these to the C2 server. The attackers can use additional commands to adjust the frame rate and quality. The threat actors call this “vnc_stream”. At the same time, the C2 server can send back control commands that make application execute actions, such as swipe to a given coordinate, change the webview size and resolution, switch between the desktop and mobile page display modes, enable or disable JavaScript execution, change the User Agent, import or export cookies, go back and forward, refresh the loaded page, zoom the loaded page and so on.
When Mandrake receives a
start_i command, it loads a URL in a webview, but instead of initiating a “VNC” stream, the C2 server starts recording the screen and saving the record to a file. The recording process is similar to the “VNC” scenario, but screenshots are saved to a video file. Also in this mode, the application waits until the user enters their credentials on the web page and then collects cookies from the webview.
The
start_a command allows running automated actions in the context of the current page, such as swipe, click, etc. If this is the case, Mandrake downloads automation scenarios from the URL specified in the command options. In this mode, the screen is also recorded.
Screen recordings can be uploaded to the C2 with the
upload_i or upload_d commands.
The main goals of Mandrake are to steal the user’s credentials, and download and execute next-stage malicious applications.
Data decryption methods
Data encryption and decryption logic is similar across different Mandrake stages. In this section, we will describe the second-stage data decryption methods.
The second-stage native library
libopencv_java3.so contains AES-encrypted C2 domains, and keys for configuration data and payload decryption. Encrypted strings are mixed with plain text strings.
To get the length of the string, Mandrake XORs the first three bytes of the encrypted array, then uses the first two bytes of the array as keys for custom XOR encoding.
The key and IV for decrypting AES-encrypted data are encoded in the same way, with part of the data additionally XORed with constants.
Mandrake uses the OpenSSL library for AES decryption, albeit in quite a strange way. The encrypted file is divided into 16-byte blocks, each of these decrypted with AES-CFB128.
The encrypted certificate for C2 communication is located in the
assets/raw folder of the second stage as a file named cart.raw, which is decrypted using the same algorithm.
Installing next-stage applications
When Mandrake gets an
apk command from the C2, it downloads a new separate APK file with an additional module and shows the user a notification that looks like something they would receive from Google Play. The user clicking the notification initiates the installation process.
Android 13 introduced the “Restricted Settings” feature, which prohibits sideloaded applications from directly requesting dangerous permissions. To bypass this feature, Mandrake processes the installation with a “session-based” package installer.
Installing additional applications
Sandbox evasion techniques and environment checks
While the main goal of Mandrake remains unchanged from past campaigns, the code complexity and quantity of the emulation checks have significantly increased in recent versions to prevent the code from being executed in environments operated by malware analysts. However, we were able to bypass these restrictions and discovered the changes described below.
The versions of the malware discovered earlier contained only a basic emulation check routine.
Emulator checks in an older Mandrake version
In the new version, we discovered more checks.
To start with, the threat actors added Frida detection. When the application starts, it loads the first-stage native library
libopencv_dnn.so. The init_array section of this library contains the Frida detector function call. The threat actors used the DetectFrida method. First, it computes the CRC of all libraries, then it starts a Frida detect thread. Every five seconds, it checks that libraries in memory have not been changed. Additionally, it checks for Frida presence by looking for specific thread and pipe names used by Frida. So, when an analyst tries to use Frida against the application, execution is terminated. Even if you use a custom build of Frida and try to hook a function in the native library, the app detects the code change and terminates.
Next, after collecting device information to make a request for the next stage, the application checks the environment to find out if the device is rooted and if there are analyst tools installed. Unlike some other threat actors who seek to take advantage of root access, Mandrake developers consider a rooted device dangerous, as average users, their targets, do not typically root their phones. First, Mandrake tries to find a su binary, a SuperUser.apk, Busybox or Xposed framework, and Magisk and Saurik Substrate files. Then it checks if the system partition is mounted as read-only. Next, it checks if development settings and ADB are enabled. And finally, it checks for the presence of a Google account and Google Play application on the device.
C2 communication
All C2 communications are maintained via the native part of the applications, using an OpenSSL static compiled library.
To prevent network traffic sniffing, Mandrake uses an encrypted certificate, decrypted from the
assets/raw folder, to secure C2 communications. The client needs to be verified by this certificate, so an attempt to capture SSL traffic results in a handshake failure and a breakdown in communications. Still, any packets sent to the C2 are saved locally for additional AES encryption, so we are able to look at message content. Mandrake uses a custom JSON-like serialization format, the same as in previous campaigns.
Example of a C2 request:
node #1
{
uid "a1c445f10336076b";
request "1000";
data_1 "32|3.1.1|HWLYO-L6735|26202|de||ricinus_airfs_3.4.0.9|0|0|0||0|0|0|0|Europe/Berlin||180|2|1|41|115|0|0|0|0|loader|0|0|secure_environment||0|0|1|0||0|85.214.132.126|0|1|38.6.10-21 [0] [PR] 585796312|0|0|0|0|0|";
data_2 "loader";
dt 1715178379;
next #2;
}
node #2
{
uid "a1c445f10336076b";
request "1010";
data_1 "ricinus_airfs_3.4.0.9";
data_2 "";
dt 1715178377;
next #3;
}
node #3
{
uid "a1c445f10336076b";
request "1003";
data_1 "com.airft.ftrnsfr\n\ncom.android.calendar\n\[redacted]\ncom.android.stk\n\n";
data_2 "";
dt 1715178378;
next NULL;
}
Example of a C2 response:
node #1
{
response "a1c445f10336076b";
command "1035";
data_1 "";
data_2 "";
dt "0";
next #2;
}
node #2
{
response "a1c445f10336076b";
command "1022";
data_1 "20";
data_2 "1";
dt "0";
next #3;
}
node #3
{
response "a1c445f10336076b";
command "1027";
data_1 "1";
data_2 "";
dt "0";
next #4;
}
node #4
{
response "a1c445f10336076b";
command "1010";
data_1 "ricinus_dropper_core_airfs_3.4.1.9.apk";
data_2 "60";
dt "0";
next NULL;
}
Mandrake uses opcodes from 1000 to 1058. The same opcode can represent different actions depending on whether it is used for a request or a response. See below for examples of this.
- Request opcode 1000: send device information;
- Request opcode 1003: send list of installed applications;
- Request opcode 1010: send information about the component;
- Response opcode 1002: set contact rate (client-server communication);
- Response opcode 1010: install next-stage APK;
- Response opcode 1011: abort next-stage install;
- Response opcode 1022: request user to allow app to run in background;
- Response opcode 1023: abort request to allow app to run in background;
- Response opcode 1027: change application icon to default or Wi-Fi service icon.
Attribution
Considering the similarities between the current campaign and the previous one, and the fact that the C2 domains are registered in Russia, we assume with high confidence that the threat actor is the same as stated in the Bitdefender’s report.
Victims
The malicious applications on Google Play were available in a wide range of countries. Most of the downloads were from Canada, Germany, Italy, Mexico, Spain, Peru and the UK.
Conclusions
The Mandrake spyware is evolving dynamically, improving its methods of concealment, sandbox evasion and bypassing new defense mechanisms. After the applications of the first campaign stayed undetected for four years, the current campaign lurked in the shadows for two years, while still available for download on Google Play. This highlights the threat actors’ formidable skills, and also that stricter controls for applications before being published in the markets only translate into more sophisticated, harder-to-detect threats sneaking into official app marketplaces.
Indicators of Compromise
File Hashes
141f09c5d8a7af85dde2b7bfe2c89477
1b579842077e0ec75346685ffd689d6e
202b5c0591e1ae09f9021e6aaf5e8a8b
31ae39a7abeea3901a681f847199ed88
33fdfbb1acdc226eb177eb42f3d22db4
3837a06039682ced414a9a7bec7de1ef
3c2c9c6ca906ea6c6d993efd0f2dc40e
494687795592106574edfcdcef27729e
5d77f2f59aade2d1656eb7506bd02cc9
79f8be1e5c050446927d4e4facff279c
7f1805ec0187ddb54a55eabe3e2396f5
8523262a411e4d8db2079ddac8424a98
8dcbed733f5abf9bc5a574de71a3ad53
95d3e26071506c6695a3760b97c91d75
984b336454282e7a0fb62d55edfb890a
a18a0457d0d4833add2dc6eac1b0b323
b4acfaeada60f41f6925628c824bb35e
cb302167c8458e395337771c81d5be62
da1108674eb3f77df2fee10d116cc685
e165cda25ef49c02ed94ab524fafa938
eb595fbcf24f94c329ac0e6ba63fe984
f0ae0c43aca3a474098bd5ca403c3fca
Domains and IPs
45.142.122[.]12
ricinus[.]ru
ricinus-ca[.]ru
ricinus-cb[.]ru
ricinus-cc[.]ru
ricinus[.]su
toxicodendron[.]ru
securelist.com/mandrake-apps-r…
RHC intervista RADAR and DISPOSSESSOR: “Quando si tratta di sicurezza, la migliore difesa è un buon attacco”
Nelle nostre consuete attività di analisi delle underground, siamo venuti a contatto con la cyber gang DISPOSSESSOR, venuta all’attenzione a Febbraio 2024 nel panorama delle minacce cyber.
Accedendo al loro Data Leak Site (DLS) si capisce immediatamente una forte somiglianza con quello della nota cyber-gang LockBit e anche il numero di visualizzazioni dei singoli post, tenendo conto che si tratta di un blog nella rete onion, non ha nulla da invidiare alla cyber-gang d’èlite.
Questa profonda somiglianza suggerisce una possibile riorganizzazione da parte degli affiliati della cybergang più longeva al mondo, LockBit, anche a causa delle due operazioni Cronos, che hanno visto le forze dell’ordine irrompere nell’infrastruttura di LockBit e sequestrarla per ben due volte.
DISPOSSESSOR è una cyber-gang particolare perchè oltre ad abbracciare il classico modello Ransomware-as-a-Service (RaaS), fornisce anche servizi di rivendita di dati, visto anche l’interesse da parte di altre cybergang di monetizzare gli attacchi che non hanno portato al pagamento di un riscatto.
All’interno del loro Data Leak Site (DLS) nella sezione “Rules”, vengono pubblicate le regole che la cyber-gang adotta, e le moltissime funzionalità fornite agli affiliati, comprensiva la pubblicazione delle corrispondenze con le aziende colpite direttamente nel DLS.Si tratta di una soluzione di alto valore, in quanto progettata anche per colpire sistemi ESXi e permettere di lavorare su diverse versioni Linux (14 architetture per crittografia NAS, RedHat, KVM e altre).
Nella sezione “Rules” vengono anche specificati quali target non potranno essere colpiti e viene riportato quanto segue: “È illegale crittografare file in infrastrutture critiche, come centrali nucleari, centrali termiche, centrali idroelettriche e altre organizzazioni simili. Autorizzato a rubare dati senza crittografia. Se non riesci a capire se un’organizzazione è un’infrastruttura critica, chiedi aiuto”.
Abbiamo avuto l’opportunità di intervistare questa interessante Cyber-Gang e di seguito riportiamo l’intervista.
1 – RHC: Grazie ragazzi per averci concesso questa intervista. Siete un gruppo comparso ad inizio del 2024 nelle underground, potete parlarci di voi in generale?
RADAR & DISPOSSESSOR: In primo luogo, vorremmo offrire un saluto caloroso e sincero, insieme alla nostra sentita gratitudine, alle persone riflessive e intelligenti. Apprezziamo davvero il tempo che avete dedicato alla nostra intervista e apprezziamo il vostro interesse e la vostra attenzione per questa esperienza condivisa. Un grande ringraziamento all’incredibile team di Red Hot Cyber (RHC) per aver partecipato attivamente a questa discussione e per le loro domande penetranti! Icontributi di RHC hanno davvero arricchito la conversazione, rendendola più coinvolgente e significativa. Attendiamo con ansia scambi più fruttuosi per il futuro!
Il motto principale del nostro Gruppo DISPOSSESSOR è racchiuso nella frase: “Quando si tratta di sicurezza, la migliore difesa è un buon attacco”. Questa potente affermazione sottolinea l’importanza di adottare misure proattive quando si tratta di garantire la sicurezza informatica. Piuttosto che limitarsi a reagire alle minacce non appena si verificano, riteniamo che la strategia più efficace sia anticipare le potenziali minacce e affrontarle prima che possano essere sfruttate.
Questa mentalità è fondamentale nel panorama digitale odierno, dove le minacce informatiche diventano sempre più sofisticate. Restando un passo avanti, le organizzazioni possono ridurre significativamente il rischio di cadere vittime di attacchi informatici come i nostri. Con questa filosofia in mente, la nostra missione presso DISPOSSESSOR Group è assistere le aziende nel controllo della sicurezza operativa aziendale (OPSEC). In questo modo, miriamo a fornire ai nostri clienti gli strumenti necessari e le conoscenze di cui hanno bisogno per salvaguardare efficacemente le loro informazioni e infrastrutture.
Siamo i principali affiliati di LockBit, specialisti altamente qualificati nel campo della sicurezza informatica, il nostro team ha accumulato una vasta esperienza nel corso di molti anni, questa ci consente di identificare velocemente potenziali punti deboli. Abbiamo acquisito conoscenze dirette studiando e simulando attacchi alle reti, identificando così difetti di sicurezza e punti di ingresso nei sistemi.
E’ fondamentale per le organizzazioni stare al passo con i potenziali rischi impiegando protocolli e pratiche di sicurezza robusti. Questo tipo di informazioni e approfondimenti che forniamo sono vitali e hanno un valore inestimabile, ma hanno anche un costo significativo. Tuttavia, la collaborazione con il nostro gruppo può far risparmiare alle organizzazioni molto tempo e denaro. In conclusione, il nostro gruppo DISPOSSESSOR è pronto ad assistere le aziende a migliorare la loro sicurezza informatica. Con la nostra esperienza e conoscenza, offriamo una prospettiva unica su come proteggere le reti in modo efficace.
Dove si è svolta l’intervista a RADAR & DISPRESSOR; all’interno del loro Data Leak SIte
2 – RHC: Negli ultimi anni abbiamo assistito a un’evoluzione delle tecniche di attacco da parte delle cyber-gang. Come avete visto questa evoluzione nel panorama delle minacce, e come vi siete adattati a questi cambiamenti?
RADAR and DISPOSSESSOR: L’evoluzione delle tecniche di attacco da parte delle cyber-gang negli ultimi anni è stata notevole. Le bande informatiche stanno ora impiegando tattiche di doppia estorsione, in cui non solo crittografano i dati ma minacciano anche di divulgare informazioni sensibili a meno che non venga pagato un riscatto. Il dark web sta diventando un mercato per la criminalità informatica, dove vengono acquistati e venduti dati rubati, malware e servizi di hacking.
I nostri affiliati e partner DISPOSSESSOR seguono attivamente tutte le ultime tendenze nel campo degli attacchi informatici, in particolare: sfruttamento delle vulnerabilità CVE pubbliche, RCE.
Inoltre, conduciamo sessioni di formazione regolari per i nostri affiliati e partner per garantire che siano a conoscenza delle minacce più recenti, delle tecniche di bypass AV/EDR e dotati delle conoscenze per eseguire attacchi in modo efficace. C’è una citazione molto famosa di Bruce Schneier che si adatta alla nostra motivazione: “La sicurezza non è un prodotto, ma un processo”. Questa citazione evidenzia che il raggiungimento della sicurezza richiede sforzi continui e non può essere acquistato a titolo definitivo.
Le organizzazioni devono comprendere che la sicurezza non è un investimento una tantum o una semplice installazione software. Si tratta invece di un ciclo continuo di valutazione, adattamento e miglioramento.
I team DISPOSSESSOR sviluppano costantemente nuove tecniche, che richiedono un approccio flessibile alla sicurezza. Abbracciando l’idea che la sicurezza è un viaggio continuo, le organizzazioni possono prepararsi meglio per le sfide future. In conclusione, l’intuizione di Schneier serve a ricordare che la vera sicurezza si basa sulla vigilanza e sull’adattabilità piuttosto che fare affidamento esclusivamente su soluzioni o prodotti esterni.
I team DISPOSSESSOR sviluppano costantemente nuove tecniche di sicurezza che richiedono flessibilità e adattabilità, seguendo il principio che la sicurezza è un processo continuo. L’intuizione di Schneier sottolinea l’importanza della vigilanza rispetto al semplice affidamento su prodotti esterni. Per proteggersi dalle minacce in evoluzione, le organizzazioni devono adottare un approccio proattivo e adattivo, investire in tecnologia, formare il personale e collaborare tra settori.
3 – RHC: Guardando il vostro DLS, viene automatico pensare a LockBit. Siete ex affiliati o sviluppatori di LockBit che avete voluto mettervi in proprio? Ci potete raccontare le motivazioni per le quali avete aperto questo nuovo RaaS?
RADAR and DISPOSSESSOR: Siamo ex affiliati e partner di Lockbit. Abbiamo creato un blog simile al design di Lockbit perché pensavamo fosse il più informativo. Il nostro obiettivo era fornire spunti e informazioni preziose al nostro pubblico, traendo ispirazione dal layout e dalla presentazione efficaci delle risorse di Lockbit. Nel prossimo futuro, potremmo modificare il design in uno ancora più informativo. Questa potenziale riprogettazione mira a migliorare l’esperienza dell’utente rendendo le informazioni più accessibili e coinvolgenti.
Stiamo valutando la possibilità di integrare funzionalità come elementi interattivi, contenuti visivi aggiornati e navigazione semplificata per garantire che i nostri lettori possano trovare facilmente le informazioni di cui hanno bisogno. Inoltre, stiamo esplorando la possibilità di incorporare tipi di contenuti più diversificati, inclusi video di file, infografiche e interviste a esperti di diritto, per arricchire l’esperienza di apprendimento per il nostro pubblico. Crediamo che evolvendo continuamente la nostra piattaforma, possiamo servire meglio la nostra comunità e tenerla informata sugli ultimi sviluppi nel nostro campo.
Il motivo principale per aprire il nostro nuovo RAAS chiamato DISPOSSESSOR è l’indipendenza. Ci impegniamo ogni giorno a sviluppare e imparare dai nostri errori, distinguendoci dagli altri team e gruppi del settore. A differenza di molti concorrenti, non teniamo tra le nostre fila persone che potrebbero danneggiare la nostra attività, poiché comprendiamo che tali problemi possono mettere a repentaglio la nostra reputazione in qualsiasi momento. Prendiamo molto sul serio la nostra attività, provando un profondo senso di responsabilità nei confronti dei dipendenti delle aziende (nostri clienti) che serviamo. La nostra priorità è aiutarli a migliorare la loro sicurezza e protezione, il che richiede non solo un’intelligenza sobria, ma anche una buona memoria e reazioni rapide al mercato high-tech in rapida crescita.
Stiamo valutando l’integrazione di elementi interattivi, contenuti visivi aggiornati e una navigazione semplificata per facilitare l’accesso alle informazioni. Stiamo anche esplorando nuovi tipi di contenuti, come video, infografiche e interviste a esperti, per migliorare l’esperienza di apprendimento. Il nostro nuovo servizio RAAS, “DISPOSSESSOR”, si distingue per l’indipendenza e l’impegno nel miglioramento continuo, evitando di collaborare con individui che potrebbero compromettere la nostra reputazione. Ci concentriamo sulla sicurezza dei clienti, richiedendo intelligenza, memoria e prontezza per rispondere rapidamente al mercato high-tech in evoluzione.
Riconosciamo l’importanza di mantenere una mente lucida e un approccio mirato. Il nostro decryptor è progettato per decrittografare il 100% dei file, garantendo che i nostri clienti possano fidarsi dei nostri servizi. Garantiamo la rimozione completa dei dati esfiltrati dai nostri server (a differenza di LockBit) e invitiamo tutti a verificarlo tramite motori di ricerca e social network. La trasparenza è fondamentale per creare fiducia; pertanto, siamo orgogliosi del nostro track record pulito. Non ci sono recensioni negative o tag come #hunt associati al nostro gruppo DISPOSSESSOR sui social media, riflettendo la nostra dedizione all’eccellenza e alla responsabilità. Inoltre, investiamo continuamente in formazione e tecnologia per stare al passo con le potenziali minacce. Il nostro team è composto da professionisti qualificati che non sono solo esperti nei loro campi ma condividono anche un impegno collettivo verso pratiche etiche. Ciò garantisce il mantenimento di standard elevati in tutti gli aspetti delle nostre operazioni. Dando priorità all’integrità e alla professionalità, DISPOSSESSOR mira a stabilire un nuovo standard nel settore, dimostrando che è possibile operare con indipendenza e responsabilità. La nostra missione va oltre la mera redditività; ci impegniamo a creare un ambiente sicuro per tutti i nostri clienti, favorendo relazioni a lungo termine basate sulla fiducia e sul rispetto reciproco.
DISPOSSESSOR si concentra su trasparenza, affidabilità e standard etici elevati. Il nostro decryptor è progettato per decrittografare il 100% dei file e garantiamo la completa rimozione dei dati esfiltrati dai nostri server, diversamente da LockBit. Siamo orgogliosi della nostra reputazione pulita senza recensioni negative sui social media. Investiamo costantemente in formazione e tecnologia per affrontare le minacce emergenti. Il nostro team di professionisti qualificati condivide un impegno per pratiche etiche, puntando a stabilire nuovi standard di integrità nel settore. La nostra missione è creare un ambiente sicuro per i clienti e promuovere relazioni basate su fiducia e rispetto reciproco.
4 – RHC: Anche se avete iniziato a febbraio, il vostro DLS conta già 340 post tra attacchi ransomware effettuati e rivendita dei dati. Il RaaS deve sempre monetizzare e rivendere i dati è sempre un modo per poter recuperare i soldi investiti in un attacco. Quanto risulta importante questa necessità per il crimine informatico di oggi?
RADAR and DISPOSSESSOR: Sempre un modo per poter recuperare il denaro investito in un attacco. Quanto è importante questa esigenza per la criminalità informatica di oggi? Al momento stiamo ricevendo molti messaggi attraverso il modulo “Contattaci” del nostro blog con diverse offerte e una di queste è la vostra richiesta di intervista. 340 post sul blog sono solo l’inizio e quasi tutte queste aziende sono state violate dai nostri team, mentre eravamo in LockBit. Tutti i file sono conservati con cura su server di archiviazione sicuri e sui nostri backup a freddo. Per darvi la certezza, potete selezionare una qualsiasi delle aziende con cui lavoriamo e possiamo inviarvi un archivio contenente i dati relativi. I nostri team di analisti dei dati possiedono una conoscenza approfondita e sono pienamente consapevoli dei quadri giuridici dei Paesi Tier 1. Questa comprensione è fondamentale perché l’exfiltrato è un’attività che non può essere svolta da nessuno.Questa conoscenza è fondamentale perché i dati esfiltrati sono un aspetto fondamentale della nostra attività.
Il furto di informazioni critiche può causare gravi problemi, tra cui la perdita di proprietà intellettuale, problemi di GDPR, costose risposte agli incidenti, uso improprio delle informazioni, perdita di fiducia dei clienti, e danni alla reputazione e al marchio. Le conseguenze legali e normative possono complicare ulteriormente la situazione. Una violazione dei dati può avere effetti duraturi e rendere difficile il recupero, poiché i dati rubati possono continuare a circolare.Alla luce di queste gravi implicazioni, sconsigliamo vivamente di ignorare i nostri servizi. L’importanza di salvaguardare i vostri dati non può essere sopravvalutata e noi siamo qui per fornire la protezione necessaria a mitigare efficacemente questi rischi. Ignorare le potenziali minacce potrebbe lasciare la vostra organizzazione vulnerabile agli attacchi in corso e alle conseguenti ricadute. Oltre 900 giornalisti, reporter, redattori, analisti di dati, avvocati, ecc. si sono messi in contatto con noi.
5 – RHC: Quante sono le violazioni dei vostri affiliati in relazione alla totalità dei post emessi rispetto alla rivendita di dati?
RADAR and DISPOSSESSOR: Poiché quasi tutte le circa 340 aziende e organizzazioni attualmente pubblicate sul nostro blog sono state violate da noi, solo noi abbiamo accesso a tutti i file e siamo pronti a dimostrarlo con tutto il rispetto per te o per qualsiasi altra azienda rispettabile. L’unico modo per rimuovere questi file dai nostri server e dai backup a freddo è pagare il riscatto. Per divertimento, puoi chiedere a LockBit la stessa conferma dei file di alcune aziende che sono pubblicati sul suo blog e lui non te li darà, dato che non li ha ed è irresponsabile nei suoi affari e non li rispetta neanche i suoi partner o i suoi clienti.
6 – RHC: Parliamo ora della vostra soluzione. Abbiamo visto moltissime funzionalità offerte ai vostri affiliati con una infrastruttura completa sia come beckend che come encryption lockers. Se doveste dire, in che modo il vostro programma si differenzia dagli altri ransomware come ad esempio i famosi LockBit 3.0 o Akira? Se doveste spiegare ad un potenziale affiliato perchè iniziare una collaborazione con voi, cosa direste dal punto di vista tecnico relativamente alla vostra soluzione?
RADAR and DISPOSSESSOR: I nostri strumenti di crittografia forniscono una copertura completa di tutti i tipi di NAS, qNAP, ESXi, ecc. sistemi UNIX in reti AD DS.- Lockbit per Windows completamente riscritto, con una forza crittografica e una velocità di cifratura migliorate del 50% – Un encryptor UNIX scritto interamente da zero per tutti i tipi di architetture. 4 build per tutte le architetture unix (ARM build encryptor, AMD64 build encryptor, aarch64 build encryptor, ESXi x32build encryptor per ESXi v4 e v5, ESXi x64 encryptor per tutte le altre versioni (v6, v7 ecc.) | .
Il file encrypt deve essere eliminato sulla macchina/host/server/nas/esxi/etc dopo aver usato il comando: chmod +x encrypt | ./encrypt -d -p /path/to/folder,/path/to/folder2 | . /encrypt -d -p /vmfs/volumes/55a3a43d-60556f88-31a2-3ca82a20e28c,/vmfs/volumes/55a3a43d-60556f88-31a2-3ca82a20e11b | L’opzione -p elenca i percorsi separati da virgole senza spazi, mentre l’opzione -d mette il processo di crittografia in background, in modo che rimanga anche quando si esce dalla sessione, cosa molto importante durante la crittografia. Quando si specificano i percorsi, non si devono specificare i collegamenti alle cartelle, ma i percorsi completi delle cartelle! Abbiamo testato il nostro sistema di crittografia/decrittografia molte volte su diversi sistemi, i nostri clienti sono stati felici e soddisfatti della decifrazione dei file al 100%, a differenza di altri RAAS.
7 – RHC: Quali sono le capacità specifiche del tool StealBit e come consente di aggirare le politiche di sicurezza di rete?
RADAR and DISPOSSESSOR: Utilizziamo i nostri sviluppi privati in linguaggi C++/asm principalmente per aggirare l’EDR/AV e le politiche di sicurezza di rete nelle reti AD DS.
8 – RHC: Potete dirci come viene garantita la sicurezza dei decrypter e quali sono le opzioni per massimizzare questa sicurezza?
RADAR and DISPOSSESSOR: Le informazioni sul nostro decrypt sono classificate come segrete. Ma come abbiamo risposto in precedenza, tutti i nostri clienti sono stati soddisfatti della decriptazione di successo al 100% di tutti i file, a differenza di altri RaaS, e soprattutto, in ogni caso abbiamo cancellato tutti i file dai nostri server e dai backup a freddo. Non possiamo inoltre indicare i nomi delle aziende che hanno acquistato da noi il decriptatore + la rimozione dei file esfiltrati, poiché si tratta di informazioni riservate.
9 – RHC: Potete descrivere il tipo di crittografia utilizzata dal vostro ransomware? Quali algoritmi di crittografia impiegate e come garantite che i file delle vittime rimangano inaccessibili senza la chiave di decrittazione?
RADAR and DISPOSSESSOR: Il nostro crittografo privato RADAR & DISPOSSESSOR impiega un sofisticato meccanismo di crittografia che combina tecniche di crittografia RSA e AES per le sue operazioni. Il ransomware si distingue in particolare per l’uso dell’algoritmo RSA-1024 per criptare in modo sicuro le chiavi di crittografia dei file, che vengono poi utilizzate con l’algoritmo AES-256 per criptare i file veri e propri. Dettagli chiave della crittografia RADAR & DISPOSSESSOR:
- 1. Crittografia RSA-1024: Il nostro strumento genera una coppia di chiavi pubbliche e private utilizzando RSA con una dimensione di 1024 bit. La chiave pubblica viene utilizzata per crittografare una chiave di crittografia del file unica per ogni vittima. In questo modo si garantisce che la decodifica possa essere eseguita solo da chi possiede la chiave privata corrispondente.
- 2. Crittografia AES-256: Dopo aver generato la chiave di crittografia dei file, RADAR & DISPOSSESSOR utilizza AES-256, un algoritmo di crittografia simmetrica noto per la sua forza e velocità, per crittografare i singoli file sul sistema infetto. L’algoritmo AES-256 offre un solido livello di sicurezza ed è ampiamente considerato uno dei metodi di crittografia più sicuri attualmente disponibili.
- 3. Meccanismo operativo: Il builder di RADAR & DISPOSSESSOR crea un ambiente in cui questi processi di crittografia possono avvenire senza soluzione di continuità. Cancella le directory di build precedenti, genera le chiavi necessarie e quindi applica la crittografia ai file vittima in modo sistematico.
- 4. Comportamento del ransomware: Una volta che i file sono stati crittografati, RADAR & DISPOSSESSOR non solo li rinomina, ma rilascia anche una nota di riscatto, spesso modificando le impostazioni di sistema per visualizzare il suo marchio in modo evidente, rendendo chiaro alle vittime che i loro dati sono stati compromessi e che devono pagare un riscatto per riottenere l’accesso.
Nel complesso, la combinazione di RSA per lo scambio di chiavi e AES per la crittografia dei file crea un modello di sicurezza a più livelli che aumenta l’efficacia del ransomware RADAR & DISPOSSESSOR, complicando al contempo la decrittografia senza chiavi adeguate.
10 – RHC: Ci potete raccontare un esempio tipico di un attacco da parte dei vostri affiliati? Ad esempio, vengono svolte tecniche di phishing e successivo injection di specifici loader, oppure vengono utilizzati exploit per specifici bug di sicurezza o misconfiguration, come ad esempio Remote code Execution o password banali su RDP?
RADAR and DISPOSSESSOR: Per trovare la risposta a questa domanda, potete fare riferimento alla seconda risposta che abbiamo fornito in precedenza. Questa risposta contiene informazioni dettagliate che affrontano la domanda in modo esauriente.
11 – RHC: Ci potete spiegare le tecniche che avete sviluppato, anche ad alto livello, per evitare che il vostro ransomware possa essere rilevato da parte degli antivirus o dei sistemi di protezione delle reti aziendali?
RADAR and DISPOSSESSOR: Ogni singolo team di ransomware RADAR & DISPOSSESSOR è composto da affiliati e partner che utilizzano le proprie tecnologie proprietarie per aggirare efficacemente varie misure di sicurezza, tra cui Endpoint Detection and Response (EDR), Antivirus (AV), Intrusion Prevention Systems (IPS) e Host Intrusion Prevention Systems (HIPS). Queste tecniche sono specificamente progettate per sfruttare le vulnerabilità all’interno delle reti delle aziende che utilizzano i servizi di dominio Active Directory (AD DS), consentendo loro di svolgere le proprie attività dannose senza essere rilevati. È importante capire che i metodi e gli strumenti impiegati da questi gruppi sono segreti strettamente custoditi. Ogni gruppo evolve continuamente le proprie strategie per rimanere al passo con i protocolli di sicurezza e i sistemi di monitoraggio, rendendo difficile per le organizzazioni difendersi da queste minacce. Con tutto il rispetto, dobbiamo sottolineare che non abbiamo il diritto di divulgare alcuna informazione specifica su queste tecnologie o tattiche. La riservatezza di queste operazioni è fondamentale non solo per l’integrità delle misure di sicurezza, ma anche per la sicurezza delle persone e delle organizzazioni colpite da attacchi ransomware.
12 – RHC: Quante persone ad oggi lavorano all’interno della vostra organizzazione? Avete una soluzione complessa e allo stesso tempo completa. Quanti sono gli sviluppatori che ci lavorano full time?
RADAR and DISPOSSESSOR: We have internal rules in team to not distribute this kind of information to third parties.
13 – RHC: All’interno delle vostre regole c’è scritto chiaramente “È illegale crittografare file in infrastrutture critiche, come centrali nucleari, centrali termiche, centrali idroelettriche e altre organizzazioni simili” ma anche “È vietato crittografare istituti in cui il danneggiamento dei file potrebbe portare alla morte, come centri di cardiologia, reparti di neurochirurgia, ospedali di maternità e simili, cioè quegli istituti in cui possono essere eseguiti interventi chirurgici su apparecchiature ad alta tecnologia utilizzando computer”. Quali sono a vostro avviso le regole non scritte oltre le quali ogni programma RaaS non dovrebbe spingersi oltre?
RADAR and DISPOSSESSOR: Diversi team di ransomware RADAR & DISPOSSESSOR, affiliati e partner selezionano varie aziende e organizzazioni da colpire in base ai risultati generati dai loro strumenti, che aiutano a identificare potenziali vulnerabilità e punti di ingresso per l’accesso iniziale. Questi strumenti spesso analizzano un’ampia gamma di dati, tra cui le configurazioni di rete, le misure di sicurezza e gli incidenti passati, per determinare quali entità potrebbero essere più suscettibili a un attacco. Una volta identificato l’obiettivo, i team pianificano meticolosamente il loro approccio, spesso utilizzando tecniche sofisticate per aggirare i protocolli di sicurezza. Ciò può comportare schemi di phishing, lo sfruttamento di vulnerabilità del software o persino l’utilizzo di informazioni privilegiate. L’obiettivo finale è quello di infiltrarsi nei sistemi dell’organizzazione e distribuire il ransomware per criptare i dati critici, chiedendo un riscatto per il loro rilascio. Inoltre, questi team possono prendere in considerazione fattori come le dimensioni dell’organizzazione, la sua situazione finanziaria e il suo settore, poiché alcuni settori sono obiettivi più redditizi di altri.
L’aggiornamento regolare dei protocolli di sicurezza, la formazione dei dipendenti e l’investimento in sistemi avanzati di rilevamento delle minacce sono strategie essenziali che possono contribuire a ridurre la probabilità di cadere vittima di attacchi ransomware. La dichiarazione evidenzia una preoccupazione cruciale riguardo all’uso di programmi di crittografia e ransomware-as-a-service (RaaS) in ambienti sensibili, come ospedali e centri chirurgici. Ecco alcune regole non scritte che dovrebbero guidare le considerazioni etiche degli sviluppatori e degli utenti di RaaS:
- 1. Protezione dei servizi salvavita. Qualsiasi programma RaaS dovrebbe evitare di rivolgersi a istituzioni in cui la perdita di dati potrebbe portare direttamente alla perdita di vite umane. Ciò include ospedali, servizi di emergenza e qualsiasi altra infrastruttura critica che supporta la salute e la sicurezza pubblica.
- 2. Considerazioni etiche nella selezione degli obiettivi. Gli operatori RaaS devono astenersi consapevolmente dall’attaccare organizzazioni che svolgono ruoli essenziali nella società.
- 3. Ridurre al minimo il danno. Anche nelle situazioni in cui gli obiettivi sono selezionati in base a motivazioni di profitto, i programmi RaaS dovrebbero mirare a ridurre al minimo i danni collaterali. Ciò include la garanzia che le violazioni dei dati non abbiano inavvertitamente un impatto sulle operazioni critiche per la vita.
Aderendo a questi principi guida, coloro che sono coinvolti nello sviluppo o nell’utilizzo di RaaS possono contribuire a garantire che le loro azioni non contribuiscano a creare danni, in particolare in aree critiche dove sono in gioco vite umane.
14 – RHC: Abbiamo notato regole molto rigide per le affiliazioni, come il requisito di depositare un Bitcoin. Escludendo le forze dell’ordine, curiosi o neofiti, come vi comportate nei confronti dei ricercatori di sicurezza che cercano di infiltrarsi nella vostra community per ottenere informazioni di prima mano, magari per i rispettivi tool di cyber threat intelligence?
RADAR and DISPOSSESSOR: Le regole per il deposito di 1 bitcoin sono obbligatorie per eliminare gli individui frivoli e le persone che hanno intenzione di estrarre informazioni riservate dal nostro team. Queste linee guida assicurano che solo i partecipanti seri siano coinvolti nelle nostre operazioni, creando un ambiente sicuro per tutti i membri. Richiedendo un deposito, non solo filtriamo chi ha intenzioni discutibili, ma promuoviamo anche un senso di impegno e responsabilità tra i nostri collaboratori.
È fondamentale per mantenere l’integrità della nostra comunità e salvaguardare la fiducia che abbiamo costruito nel tempo. Tutti i partecipanti devono comprendere che il deposito serve come barriera all’ingresso, promuovendo una cultura della responsabilità e migliorando al contempo la sicurezza generale della nostra piattaforma.
15 – RHC: Come funziona la suddivisione delle revenue con i vostri affiliati? Esiste una percentuale fissa oppure è mobile rispetto alle revenue dell’azienda colpita?
RADAR and DISPOSSESSOR: In genere, l’80% va ai redteamers, mentre il 20% è distribuito tra i team RADAR e DISPOSSESSOR. Questa percentuale non è fissa, ma può variare in base a diversi fattori, tra cui i requisiti specifici del progetto, le prestazioni del team e le priorità generali. Discutiamo con ogni singolo team per assicurarci che l’assegnazione rifletta le loro capacità e il loro carico di lavoro attuale. Ad esempio, se i redteamers hanno un progetto particolarmente impegnativo che richiede un maggiore supporto, possiamo modificare la distribuzione per assegnare temporaneamente risorse aggiuntive. Al contrario, se i team RADAR o DISPOSSESSOR stanno svolgendo compiti critici che richiedono maggiore attenzione, potrebbero ricevere una quota maggiore. Questo approccio flessibile ci permette di ottimizzare i nostri sforzi e di garantire che ogni team abbia ciò di cui ha bisogno per avere successo. Mantenendo una comunicazione aperta e rivedendo regolarmente la situazione, possiamo adattarci a circostanze mutevoli e prendere decisioni informate sull’allocazione delle risorse. In definitiva, il nostro obiettivo è migliorare la collaborazione tra i team e massimizzare l’efficienza e l’efficacia nel raggiungimento dei nostri obiettivi.
16 – RHC: La pressione verso la vittima genera senso di angoscia creando quel cocktail esplosivo che permette di facilitare il pagamento di un riscatto. Abbiamo visto che pubblicate sul DLS gli scambi delle email con le vostre vittime e addirittura dei video che le riportano tutte cronologicamente. Quanto è efficace questa procedura?
RADAR and DISPOSSESSOR: Non siamo pigri nel fare ogni sforzo possibile per raggiungere i nostri obiettivi, in particolare quando si tratta di documentare file critici, corrispondenza e altre informazioni essenziali. Diamo valore al nostro tempo e ci aspettiamo che le aziende ci trattino con il rispetto che meritiamo. Nel frenetico ambiente digitale di oggi, è fondamentale che le organizzazioni riconoscano l’importanza di salvaguardare i dati sensibili. Gli eventi recenti hanno sottolineato le vulnerabilità che molte aziende devono affrontare, in particolare per quanto riguarda le minacce alla sicurezza informatica. Per rimanere informati sull’evoluzione del panorama del ransomware e sugli sforzi del nostro team Dispossessor, prendete in considerazione la possibilità di consultare questi rapporti di ricerca completi:
Approfondimenti LinkedIn su Dispossessor: Top #2 Ransomware Team in 2024. Per conoscere le prestazioni e le statistiche del nostro team, consultate questi articoli di LinkedIn:
Analisi svolta d TechTales sulle cyber gang più prolifiche del 2024
Implicazioni legali per le aziende colpite. Tutte le aziende colpite dagli attacchi dei team RADAR e DISPOSSESSOR devono comprendere che qualsiasi violazione che coinvolga informazioni riservate, come quelle di clienti, studenti, pazienti, partner o dipendenti, o qualsiasi altro dato riservato, può portare a gravi ripercussioni legali. Ciò include potenziali azioni legali per fughe di dati, che potrebbero avere conseguenze finanziarie e reputazionali significative. Le aziende devono dare priorità alla sicurezza dei dati per evitare tali rischi e mantenere la fiducia dei propri stakeholder.
17 – RHC: In certe circostanze vengono inviate le informazioni esfiltrate a clienti e agli impiegati. Tentate quindi quella che viene chiamata “terza estorsione” con lo scopo di farvi pagare il riscatto dall’azienda violata, oppure è perchè chiedete riscatti specifici alle singole persone?
RADAR and DISPOSSESSOR: Sì, in casi eccezionali effettuiamo la terza estorsione di ransomware dovuta a una fuga di dati riservati. Ciò avviene se l’azienda si rifiuta di pagare il riscatto o ignora la crittografia e la fuga di file riservati. Tale negligenza può esporre partner, dipendenti, clienti e altre parti interessate a rischi significativi. In queste situazioni, valutiamo la portata della violazione dei dati e le potenziali conseguenze delle informazioni trapelate Inoltre, sottolineiamo l’importanza delle pratiche di cybersecurity e la necessità per le aziende di implementare misure solide per salvaguardare i propri dati. In definitiva, il nostro obiettivo è quello di evidenziare le gravi implicazioni che derivano dall’ignorare tali minacce, incoraggiando le aziende ad assumersi la responsabilità e ad agire con decisione di fronte a potenziali violazioni dei dati.
18 – RHC: Avete delle regole specifiche che vi siete dati, come ad esempio non colpire determinate zone come la CSI? Ce ne potete parlare?
RADAR and DISPOSSESSOR: Tutte le regole speciali sono descritte nel nostro blog.
19 – RHC: Che tipo di supporto fornite agli affiliati durante le operazioni in caso di problemi con la cifratura o l’upload dei dati sul data leak site?
RADAR and DISPOSSESSOR: Abbiamo già affrontato questa domanda in messaggi precedenti, dove abbiamo fornito spiegazioni e approfondimenti dettagliati. Se avete bisogno di ulteriori chiarimenti o desiderate approfondire altri aspetti di questo argomento, fatecelo sapere e saremo lieti di aiutarvi.
20 – RHC: Qual è la visione a lungo termine per RADAR and DISPOSSESSOR? Avete intenzione di espandere le vostre attività ad altri settori o regioni geografiche? Che novità avete in mente per il prossimo futuro?
RADAR and DISPOSSESSOR: I team di RADAR e DISPOSSESSOR mirano a sviluppare il settore della Cybersecurity Law per proteggere i terzi dalle conseguenze delle fughe di dati causate da attacchi informatici. L’iniziativa prevede la creazione di normative che responsabilizzino le aziende sulla sicurezza dei dati, promuovendo responsabilità e vigilanza. Saranno stabilite linee guida per la protezione dei dati, inclusa la segnalazione obbligatoria delle violazioni e l’adozione di misure di sicurezza solide. Verranno promossi programmi di formazione per sensibilizzare i dipendenti sulle minacce informatiche e collaboreremo con stakeholder, esperti legali e fornitori di tecnologia per rafforzare la sicurezza e stimolare l’innovazione. L’obiettivo è creare un panorama di cybersecurity resiliente e un ambiente digitale più sicuro.
21 – RHC: Quali tecnologie emergenti pensate che avranno un impatto significativo sul futuro del cybercrime? Ad esempio l’intelligenza artificiale, ad oggi è una tecnologia matura oppure no?
RADAR and DISPOSSESSOR: L’opinione del nostro team RADAR e DISPOSSESSOR è che l’intelligenza artificiale avrà un impatto significativo sul futuro della criminalità informatica, ma anche della difesa informatica. Le aziende che hanno subito attacchi informatici dovrebbero temere maggiormente la fuga di dati, poiché con l’aiuto dell’IA sta diventando sempre più facile elaborare rapidamente terabyte di informazioni. Questa capacità consente ai criminali informatici di analizzare grandi quantità di dati, identificare le vulnerabilità ed eseguire attacchi con un’efficienza senza precedenti. In prospettiva, la prossima catena di sviluppo potrebbe essere una legge sulla sicurezza informatica basata sull’intelligenza artificiale e sul trasferimento decentralizzato di file tramite blockchain.
Questo nuovo quadro giuridico potrebbe stabilire le linee guida per l’utilizzo delle tecnologie di intelligenza artificiale nella cybersecurity, garantendo che siano impiegate in modo etico ed efficace per proteggere le informazioni sensibili. Implementando soluzioni basate sull’IA, le organizzazioni potrebbero essere in grado di migliorare le proprie capacità di rilevamento e risposta alle minacce. Inoltre, l’integrazione della tecnologia blockchain potrebbe fornire un ulteriore livello di sicurezza creando registrazioni immutabili delle transazioni e dei trasferimenti di file. Questa decentralizzazione può contribuire a mitigare i rischi associati all’archiviazione centralizzata dei dati, rendendo molto più difficile per gli aggressori l’accesso o la manipolazione di informazioni critiche.
In definitiva, l’intersezione tra IA e cybersecurity potrebbe rimodellare il nostro approccio alla sicurezza digitale, sottolineando la necessità di strategie adattive che sfruttino la tecnologia per stare un passo avanti ai criminali informatici. Con l’evoluzione di questo settore, le parti interessate devono dare priorità alla collaborazione tra governi, settori privati e sviluppatori di tecnologie per creare un ambiente digitale più sicuro per tutti.
22 – RHC: Ci sono collaborazioni o rivalità significative tra voi e altre cyber-gang? Come influenzano queste relazioni le vostre operazioni?
RADAR and DISPOSSESSOR: Il nostro team RADAR e DIPOSSESSOR non collabora con alcuna cyber gang di terze parti, in quanto siamo orgogliosi di essere professionisti indipendenti e tradizionali. motivati a stabilire una propria nicchia sulla scena della sicurezza. I team di RADAR e DISPOSSESSOR devono conoscere le normative pertinenti, tra cui il Regolamento generale sulla protezione (PR) e il Computer Fraud and Abuse Act (CFAA), nonché il Regolamento generale sulla protezione dei dati (GDPR) e normative simili, per garantire la conformità e la responsabilità dei dati. Il nostro team è impegnato a sostenere gli standard etici nel panorama legislativo della cybersecurity.
Rivolgersi a un consulente legale esperto in leggi sulla cybersecurity può aiutare ulteriormente a destreggiarsi tra le complessità di queste normative e a garantire che tutte le pratiche siano in linea con gli standard legali più recenti e con le migliori prassi in materia di protezione dei dati.
23 – RHC: Le operazioni di law enforcement come Cronos hanno avuto un impatto significativo su molte organizzazioni criminali. Come gestite il rischio di essere individuati o catturati dalle autorità?
RADAR and DISPOSSESSOR: Le operazioni di applicazione della legge, come l’operazione CRONOS, devono affrontare sfide significative in paesi come la Cina a causa di quadri giuridici, strutture governative e protocolli di applicazione diversi. In queste giurisdizioni, fattori quali la sovranità dello Stato, il ruolo delle forze dell’ordine locali e la cooperazione internazionale possono complicare l’attuazione di tali operazioni. In Cina, la natura centralizzata del governo e la sua attenzione al mantenimento della stabilità sociale possono limitare le attività delle forze dell’ordine straniere. Il sistema legale cinese opera secondo principi diversi, tra cui la priorità degli interessi dello Stato rispetto ai diritti individuali, che possono creare ulteriori ostacoli alla cooperazione internazionale nelle operazioni di contrasto. Inoltre, entrambi i Paesi hanno sfide uniche legate alla criminalità informatica, alla criminalità organizzata e all’attuazione di accordi legali transnazionali. L’assenza di trattati di mutua assistenza legale (MLAT) e la complessità dei processi di estradizione complicano ulteriormente le attività di contrasto in queste regioni. All’interno dei nostri team RADAR e DISPOSSESSOR vige la regola non scritta di non criptare i file in Cina.
24 – RHC: Se doveste dire ad una azienda da quale parte cominciare per poter essere resiliente agli attacchi informatici come i vostri, cosa consigliereste?
RADAR and DISPOSSESSOR: Per aiutare un’azienda a costruire la resilienza contro gli attacchi informatici di RADAR e DISPOSSESSORE RAAS, raccomanderei i seguenti passi:
- Costruire una cultura della sicurezza:
Promuovete una cultura in cui la sicurezza informatica sia prioritaria a tutti i livelli dell’organizzazione. Incoraggiate una comunicazione aperta sui problemi di sicurezza e assicuratevi che tutti comprendano il proprio ruolo nella protezione delle risorse aziendali. Implementando queste raccomandazioni, un’azienda può migliorare la propria resilienza contro gli attacchi informatici, riducendo il rischio di violazioni di successo da parte di RADAR e DISPOSSESSOR RAAS e garantendo al contempo un approccio proattivo alla sicurezza informatica. - Promuovere la cybersecurity a tutti i livelli dell’organizzazione e incoraggiare una comunicazione aperta sui problemi di sicurezza, chiarendo il ruolo di ciascuno nella protezione delle risorse aziendali.
- Valutazione del rischio: Eseguite una valutazione approfondita per identificare le potenziali vulnerabilità dei vostri sistemi e processi. Ciò include la valutazione delle misure di sicurezza esistenti e la comprensione delle minacce specifiche poste da RADAR e DISPOSSESSORE RAAS.
- Formazione dei dipendenti: Implementare sessioni di formazione regolari per i dipendenti
.essa deve riguardare il riconoscimento dei tentativi di phishing, le abitudini di navigazione sicure e l’importanza di utilizzare password forti. - Piano di risposta agli incidenti: Sviluppare un piano completo di risposta agli incidenti che delinei le azioni da intraprendere in caso di attacco informatico. Il piano deve definire ruoli e responsabilità, strategie di comunicazione e fasi di contenimento e recupero.
- Sicurezza a più livelli: Adottare un approccio alla sicurezza a più livelli che includa firewall, sistemi di rilevamento delle intrusioni e protezione degli endpoint.Ciò può contribuire a mitigare i rischi fornendo più barriere contro gli attacchi.
- Aggiornamenti regolari del software: Assicurarsi che tutto il software, compresi i sistemi operativi e le applicazioni, sia aggiornato con le ultime patch di sicurezza.In questo modo si riduce la probabilità che le vulnerabilità vengano sfruttate.
- Crittografia dei dati: Implementare la crittografia dei dati sensibili sia a riposo che in transito. Questo aggiunge un ulteriore livello di sicurezza, rendendo più difficile per gli aggressori accedere a informazioni preziose anche se violano altre difese.
- Controlli di accesso: Stabilire controlli di accesso rigorosi per limitare chi può accedere ai dati e ai sistemi sensibili. Utilizzate controlli di accesso basati sui ruoli (RBAC) per garantire che i dipendenti abbiano accesso solo alle informazioni necessarie per le loro funzioni lavorative.
- Audit e test regolari: Effettuate regolarmente controlli di sicurezza e test di penetrazione per identificare i punti deboli delle vostre difese.
- Informazioni sulle minacce: Rimanete informati sulle ultime minacce e tendenze informatiche abbonandovi a servizi di threat intelligence. Questa conoscenza può aiutarvi ad anticipare i potenziali attacchi e a regolare le vostre difese di conseguenza.
25 – RHC: Qual è la vostra opinione sulle politiche globali di cybersecurity e sulle regolamentazioni? Pensate che possano influenzare il modo in cui operate?
RADAR and DISPOSSESSOR: Le politiche e le normative globali in materia di cybersecurity svolgono un ruolo cruciale nel plasmare il panorama della sicurezza digitale in tutte le nazioni e i settori. Queste politiche sono progettate per affrontare le crescenti minacce poste dai cyberattacchi, dalle violazioni dei dati e da altre forme di crimine digitale. Stabiliscono un quadro di riferimento all’interno del quale le organizzazioni devono operare, delineando le migliori pratiche per la protezione dei dati, la risposta agli incidenti e la gestione del rischio. Non possono influenzare il nostro modo di operare.
26 – RHC: Grazie davvero per l’intervista. Facciamo queste interviste per far comprendere ai nostri lettori che la cybersecurity è una materia prettamente tecnica e che per poter vincere la lotta contro il cybercrime occorre essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. C’è qualcosa che vorreste dire ai nostri lettori, oppure alle potenziali vittime delle vostre operazioni?
RADAR and DISPOSSESSOR: Grazie anche a voi. Caro team di RHC, apprezziamo il modo in cui lavorate e vi siamo grati per la vostra conoscenza qualificata e approfondita delle domande che ci avete posto. La vostra esperienza apporta un immenso valore alle nostre discussioni e aiuta a navigare in argomenti complessi con chiarezza. Non vediamo l’ora di continuare la nostra collaborazione e di imparare dalle vostre intuizioni. I vostri contributi fanno una differenza significativa e vi siamo grati per la vostra dedizione e il vostro rapido supporto.
Nel contesto di un attacco ransomware, decidere se pagare il riscatto può influire notevolmente su operazioni, finanze e reputazione dell’azienda. Se un’azienda non paga, le conseguenze superano le ripercussioni finanziarie, includendo rischi legati alla sicurezza dei dati e alla potenziale esposizione di dati esfiltrati. Anche se i backup a freddo offrono protezione, è cruciale considerare le implicazioni a lungo termine. La decisione di pagare comporta una valutazione tra le preoccupazioni finanziarie immediate e la protezione delle informazioni sensibili.
Nel mondo di oggi, mantenere una reputazione positiva è obbligatorio, soprattutto per i team che si occupano di settori sensibili come RADAR e DISPOSSESSOR. Il nostro team è orgoglioso di non avere recensioni negative o tag dannosi sulle piattaforme dei social media. Questo non solo riflette il nostro impegno verso l’eccellenza, ma assicura anche che i clienti possano rivolgersi a noi con fiducia, sapendo che aderiamo ai più alti standard di integrità e professionalità. Quando le persone vedono che non ci sono recensioni negative, sono più propense a fidarsi dei vostri servizi. Un marchio positivo di RADAR e DISPOSSESSOR è l’obiettivo principale per noi. Riflette il nostro impegno per la qualità e la soddisfazione del cliente, che può portare a un’attività ripetuta e a referenze.
Se vuoi accedere all’intervista integrale clicca qua
L'articolo RHC intervista RADAR and DISPOSSESSOR: “Quando si tratta di sicurezza, la migliore difesa è un buon attacco” proviene da il blog della sicurezza informatica.
Reviewing Nuclear Accidents: Separating Fact From Fiction
Few types of accidents speak as much to the imagination as those involving nuclear fission. From the unimaginable horrors of the nuclear bombs on Nagasaki and Hiroshima, to the fever-pitch reporting about the accidents at Three Mile Island, Chernobyl and Fukushima, all of these have resulted in many descriptions and visualizations which are merely imaginative flights of fancy, with no connection to physical reality. Due to radiation being invisible with the naked eye and the interpretation of radiation measurements in popular media generally restricted to the harrowing noise from a Geiger counter, the reality of nuclear power accidents in said media has become diluted and often replaced with half-truths and outright lies that feed strongly into fear, uncertainty, and doubt.
Why is it that people are drawn more to nuclear accidents than a disaster like that at Bhopal? What is it that makes the one nuclear bomb on Hiroshima so much more interesting than the firebombing of Tokyo or the flattening of Dresden? Why do we fear nuclear power more than dam failures and the heavy toll of air pollution? If we honestly look at nuclear accidents, it’s clear that invariably the panic afterwards did more damage than the event itself. One might postulate that this is partially due to the sensationalist vibe created around these events, and largely due to a poorly informed public when it comes to topics like nuclear fission and radiation. A situation which is worsened by harmful government policies pertaining to things like disaster response, often inspired by scientifically discredited theories like the Linear No-Threshold (LNT) model which killed so many in the USSR and Japan.
In light of a likely restart of Unit 1 of the Three Mile Island nuclear plant in the near future, it might behoove us to wonder what we might learn from the world’s worst commercial nuclear power disasters. All from the difficult perspective of a world where ideology and hidden agendas do not play a role, as we ask ourselves whether we really should fear the atom.
The TMI PR Disaster
Three Mile Island, including the training center and access road. (Credit: Groupmesa, Wikimedia)
What truly happened at the Three Mile Island (TMI) nuclear plant’s #2 reactor on March 28 of 1979? The technical explanation is that the main feedwater pumps in the secondary, non-nuclear, coolant loop failed, which led to a shutdown of the reactor as a whole. As a pressurized water reactor (PWR), the primary coolant loop is pressurized, the levels of which began to increase due to the failed secondary coolant loop and loss of cooling capacity. This triggered a pressure relief valve, which should have closed again when pressure normalized, but due to a technical malfunction it remained open.
The resulting open valve led to a loss-of-coolant situation in the primary coolant loop that went unnoticed in the control room. Due to missing and conflicting information, the operators undertook improper actions that ultimately led to the core overheating and the fuel rods partially melting. During this process, some radioactive gases escaped via the relief valve into the environment surrounding the plant, mostly xenon and krypton isotopes. The effect of this on the local population was estimated to be at most 1.4 millirem (14 µSv), effectively half of a chest X-ray and a fraction of the average annual natural background levels in the US of 3,100 µSv, or ~1% of the local background radiation.
Ultimately, the #2 reactor was quite damaged, and it was decided to decommission it rather than try to repair the damage. Reactor #1 operated uneventfully until 2019 until it was shut down for economic reasons. The lessons learned from the 1979 accident were pivotal for nuclear safety in the US, and is a big part of why for the past decades, nuclear power in the US has been among the safest sources of power.
Objectively considered, the 1979 TMI accident was a big financial loss for the plant owner and investors, but no physical injuries or worse occurred. The real harm of TMI came not from the accident itself, but from the bungled interaction with the press by the people in charge of the accident response. This is excellently detailed in a documentary created by Kyle Hill, who also contrasts the real accident with the imaginary accident dreamed up in the 4-part Netflix series Meltdown: Three Mile Island.
youtube.com/embed/cL9PsCLJpAA?…
As anti-nuclear groups swooped in on Three Mile Island to amplify their messaging, and panicked citizens as far as hundreds of kilometers away worried about having to evacuate and potential nuclear fallout, or even the plant somehow turning into a nuclear bomb, the federal and local official response was weak and incompetent, further adding to the narrative of a terrible disaster unfolding with unwitting officials unable to prevent the apocalyptic events that would inevitably follow.
The TMI accident didn’t kill or harm anyone, of course. Despite it being assigned an INES 5 rating, it was inarguably less severe than the non-commercial accident at the SL-1 reactor, which killed three and caused massive contamination, albeit in a more remote location. SL-1’s accident was assigned INES 4 on this logarithmic scale. If anything, the only enduring legacy of the TMI Unit 2 accident was the toxic fallout of the PR disaster that still contaminates discourse on nuclear power to this day.
Substituted Soviet Reality
The New Safe Confinement in final position over reactor 4 at Chernobyl Nuclear Power Plant.
The one nuclear disaster that looms above all is of course that of Chernobyl, or rather the Chernobyl Nuclear Power Plant (ChNPP, today the Chornobyl NPP) with its accompanying city of Pripyat. The city of Chernobyl, now Chornobyl, is located some distance from ChNPP in the Chornobyl Exclusion Zone, and unlike Pripyat was not fully abandoned after the events of April 26, 1986 when a complete lack of safety culture in the 1980s USSR combined with a sketchy turbine spin-up experiment using residual core heat culminated in what in hindsight was a very much preventable accident.
With Soviet leadership choosing to override any engineering concerns and technical issues that might be inconvenient to the USSR narrative, issues with the RBMK reactor design were classified as state secrets already years before the ChNPP Unit 4 accident. This left plant staff both uninformed and untrained about what was to come. Yet despite of the horrors of the immediate aftermath of the ChNPP Unit 4 reactor’s steam explosion, graphite fire and subsequent radioactive cloud, the worst harm was caused by the denial by Soviet authorities that anything was wrong, which resulted in delayed evacuations, the lack of distribution of iodine tablets to prevent harm from radioactive iodine-131 isotope, and the consumption of radiologically contaminated milk and other foodstuffs in the surrounding area rather than these being destroyed.
Yet despite the RBMK reactor design as at ChNPP being at best a sketchy hybrid military/commercial reactor, the world’s unquestioned worst nuclear accident led to only a few dozen attributable deaths, mostly among the first responders who were fighting the raging graphite fire in the exposed core when radiation levels from short-lived isotopes like iodine-131 were at their highest. Cases of thyroid cancer likely increased due to the exposure to iodine-131, but it’s hard to quantify exact numbers here, especially amidst the statistical noise of forced evacuations and the resulting stress and substance abuse, as well as the breakup of the USSR only a few years later.
As a comparison, in the US, parts of the populace got regularly exposed to iodine-131 during the 1940s through the 1960s courtesy of nuclear weapons testing, but despite a lack of precautions at the time a causal effect is elusive.
Sadly, when HBO chose to make a series about the ChNPP nuclear accident, it leaned heavily into the sensationalist angle, with many analyses showing just how it plays it fast and loose with the truth to create a more exciting narrative. Despite what the series claims, there was no surge in birth defects, only elective abortions, and no surge in cancer cases.
Today, many people remain jumpy about anything to do with ‘Chernobyl’, leading to panicked headlines in 2021 about a ‘neutron surge’ at the ChNPP, which likely was just due to the New Safe Confinement (NSC) structure above the #4 reactor blocking rainwater intrusion. As water is a neutron moderator, this consequently is merely a logical and totally expected result.
Similarly, when during the 2022 invasion of Ukraine Russian forces rolled heavy equipment into the Chornobyl Exclusion Zone (CEZ), there was again panicked reporting about ‘elevated gamma radiation levels’. Although occupying forces destroyed much of the forensic evidence including much of the sensor network, it’s likely that the high gamma readings observed on the public radiation monitoring dashboard were spoofed or at least invalid values, rather than actual readings.
Ultimately, the CEZ was a thriving tourist attraction until the Russian invasion, with no radiological hazard if you take basic precautions in the worst affected areas. Back in 2019 discussions were already underway to reduce the size of the CEZ due to decreasing background radiation levels. Rather than a monument to the hazards of nuclear power, ChNPP is a testament to its safety even when used by a totalitarian regime whose idea of ‘safety culture’ involves the KGB and vanishings of those lacking in loyalty.
Japanese Unsafety Culture
When in March of 2011 a massive tsunami slammed into the coast of Fukushima prefecture after the 9.0 level Touhoku earthquake, it led to 19,759 deaths, 6,242 injured and 2,553 people missing but presumed killed and vanished with the water back into the ocean. There also were multiple meltdowns at the Fukushima Daiichi nuclear power plant, after the tsunami’s water bypassed the inadequate tsunami defenses and submerged the basement which held the emergency generators.
The reactors all shut down as soon as the earthquake occurred, but required power for their cooling pumps. As external power was cut off and their emergency generators drowned in the basement, the first responders simply had to plug in the backup external power. Unfortunately, this procedure had never been practiced, they could not establish the physical connection, and the cores overheated, resulting in them melting and the corium solidifying in the core catchers. That’s when the lack of hydrogen vents in the spent fuel pools at the top of the buildings resulted in hydrogen – generated by the steam in the spent fuel pools reacting with the zirconium cladding – finding an ignition source and blowing off multiple roofs, spreading parts of the fuel rods on the plant’s terrain.
Some lighter radioactive isotopes were scattered further away from the plant, but ultimately nobody died or suffered injuries from radiation. Despite this, a large exclusion zone was established and thousands of people were evacuated for what turned out to be years. Government reports since 2011 have noted rampant mental health issues among these evacuees, as well as high rates of substance abuse and suicides. Meanwhile many questions have been raised about whether most of the evacuations and the in-progress top soil removal was ever needed.
youtube.com/embed/Z4YsXeX8c7M?…
Multiple cracks were found in the concrete of the plant, which allow for seawater to seep into the reactor buildings. This water consequently has to be pumped out before it is treated with ALPS (Advanced Liquid Processing System), which can remove all radioactive isotopes except tritium, as this is just a form of hydrogen and thus effectively impossible to easily segregate from hydrogen and deuterium.
The treated water has been released back into the ocean, which has led to much international outrage. This despite that the tritium levels in the treated and diluted water (as released) are lower than those of any nuclear plant operating today, and lower than the naturally produced tritium levels from the Earth’s atmosphere.
youtube.com/embed/UwFoOVyB40s?…
Ultimately, it was the botched evacuation and disaster response, per the 2012 Diet report, that led to hundreds if not thousands of needless deaths. The flawed messaging around Fukushima Daiichi brings to mind the PR disaster around TMI Unit 2, with anti-nuclear groups hijacking the conversation and drowning any sensible communication that could have occurred with stress-inducing FUD when a calm and objective approach was needed. Unsurprisingly, the biggest outcome for Japan was the complete restructuring of its nuclear safety model, with the newly formed NRA, based on the US’s NRC, turning a whole new leaf in Japanese safety culture.
Today, many of the nuclear reactors that were shutdown after the 3/11 event are now either already back online, or are in the process of getting the last safety upgrades needed before receiving an operating license from the NRA. Despite middling enthusiasm for nuclear power in Japan, there’s an increase in support along with a move towards new reactor construction.
Radiophobia
Radiophobia is defined as an irrational or excessive fear of ionizing radiation. It leads people to overestimate the health implications of radiation, suspect the presence of radiation where there is none, like microwaved food, and easily miss actual sources of radiation, such as taking an airplane flight, having a granite counter top, the presence of radon gas in the basement, inhaling cigarette smoke, or frequenting certain Brazilian beaches.
The TMI Unit 1 reactor restarting should be met with joy, as it means more reliable (95+% capacity factor) low-carbon electricity and well-paying jobs. The country to have suffered the worst nuclear disaster in history – Ukraine – is finishing construction on two nuclear plants today, and will be constructing many more. Japan is coming to terms with the reality of nuclear power, as it grapples with the economic cost of importing the LNG and coal that have kept its economy going since 2011.
If there is one thing that we can learn from nuclear accidents in this Atomic Age, it is that the fear of the atom has done more harm than respect for it. We can only hope that more people will learn this lesson.
Andrea R. likes this.
This Week in Security: Chat Control, Vulnerability Extortion, and Emoji Malware
Way back in 2020, I actually read the proposed US legislation known as EARN IT, and with some controversy, concluded that much of the criticism of that bill was inaccurate. Well what’s old is new again, except this time it’s the European Union that’s wrestling with how to police online Child Sexual Abuse Material (CSAM). And from what I can tell of reading the actual legislation (pdf), this time it really is that bad.
The legislation lays out two primary goals, both of them problematic. The first is detection, or what some are calling “upload moderation”. The technical details are completely omitted here, simply stating that services “… take reasonable measures to mitigate the risk of their services being misused for such abuse …” The implication here is that providers would do some sort of automated scanning to detect illicit text or visuals, but exactly what constitutes “reasonable measures” is left unspecified.
The second goal is the detection order. It’s worth pointing out that interpersonal communication services are explicitly mentioned as required to implement these goals. From the bill:
Providers of hosting services and providers of interpersonal communications services that have received a detection order shall execute it by installing and operating technologies approved by the Commission to detect the dissemination of known or new child sexual abuse material or the solicitation of children…
This bill is careful not to prohibit end-to-end encryption, nor require that such encryption be backdoored. Instead, it requires that the apps themselves be backdoored, to spy on users before encryption happens. No wonder Meredith Whittaker has promised to pull the Signal app out of the EU if it becomes law. As this scanning is done prior to encryption, it’s technically not breaking end-to-end encryption.
You may wonder why that’s such a big deal. Why is it a non-negotiable for the Signal app to not look for CSAM in messages prior to encryption? For starters, it’s a violation of user trust and an intentional weakening of the security of the Signal system. But maybe most importantly, it puts a mechanism in place that will undoubtedly prove too tempting for future governments. If Signal can be forced into looking for CSAM in the EU, why not anti-government speech in China?
This story is ongoing, with the latest news that the EU has delayed the next step in attempting to ratify the proposal. It’s great news, but the future is still uncertain. For more background and analysis, see our conversation with the minds behind Matrix, on this very topic:
youtube.com/embed/00Dg0vRc2Zg?…
Bounty or Extortion?
A bit of drama played out over Twitter this week. The Kraken cryptography exchange had a problem where a deposit could be interrupted, and funds added to the Kraken account without actually transferring funds to back the deposit. A security research group, which turned out to be the CertiK company, discovered and disclosed the flaw via email.
Kraken Security Update:On June 9 2024, we received a Bug Bounty program alert from a security researcher. No specifics were initially disclosed, but their email claimed to find an “extremely critical” bug that allowed them to artificially inflate their balance on our platform.
— Nick Percoco (@c7five) June 19, 2024
All seemed well, and the Kraken team managed to roll a hotfix out in an impressive 47 minutes. But things got weird when they cross referenced the flaw to see if anyone had exploited it. Three accounts had used it to duplicate money. The first use was for all of four dollars, which is consistent with doing legitimate research. But additionally, there were more instances from two other users, totaling close to $3 million in faked transfers — not to mention transfers of *real* money back out of those accounts. Kraken asked for the details and the money back.
According to the Kraken account, the researchers refused, and instead wanted to arrange a call with their “business development team”. The implication is that the transferred money was serving as a bargaining chip to request a higher bug bounty payout. According to Kraken, that’s extortion.
There is a second side to this story, of course. CertiK has a response on their x.com account where they claim to have wanted to return the transferred money, but they were just testing Kraken’s risk control system. There are things about this story that seem odd. At the very least, it’s unwise to transfer stolen currency in this way. At worst, this was an attempt at real theft that was thwarted. The end result is that the funds were eventually completed.
There are two fundamental problems with vuln disclosure/bounty:
#1 companies think security researchers are trying to extort them when they are not
#2 security researchers trying to extort companies t.co/I7vnk3oXi5— Robert Graham 𝕏 (@ErrataRob) June 20, 2024
Report Bug, Get Nastygram
For the other side of the coin, [Lemon] found a trivial flaw in a traffic controller system. After turning it in, he was rewarded with an odd letter that was a combination of “thank you” and your work “may have constituted a violation of the Computer Fraud and Abuse Act”. This is not how you respond to responsible disclosure.
I received my first cease and desist for responsibly disclosing a critical vulnerability that gives a remote unauthenticated attacker full access to modify a traffic controller and change stoplights. Does this make me a Security Researcher now? pic.twitter.com/ftW35DxqeF— Lemon (@Lemonitup) June 18, 2024
Emoji Malware
We don’t talk much about malware in South Asia, but this is an interesting one. DISGOMOJI is a malware attributed to a Pakistani group, mainly targeting government Linux machines in India. What really makes it notable is that the command and control system uses emoji in Discord channels. The camera emoji instructs the malware to take a screenshot. A fox triggers a hoovering of the Firefox profiles, and so on. Cute!
Using Roundcube to break PHP
This is a slow moving vulnerability, giving that the core is a 24-year old buffer overflow in iconv()
in glibc. [Charles Fol] found this issue, which can pop up when using iconv()
to convert to the ISO-2022-CN-EXT
character set, and has been working on how to actually trigger the bug in a useful way. Enter PHP. OK, that’s not entirely accurate, since the crash was originally found in PHP. It’s more like we’re giving up on finding something else, and going back to PHP.
The core vulnerability can only overwrite one, two, or three bytes past the end of a buffer. To make use of that, the PHP bucket structure can be used. This is a growable doubly-linked list that is used for data handling. Chunked HTTP messages can be used to build a multi-bucket structure, and triggering the iconv()
flaw overwrites one of the pointers in that structure. Bumping that pointer by a few bytes lands in attacker controlled data, which can land in a fake data structure, and continuing the dechunking procedure gives us an arbitrary memory write. At that point, a function pointer just has to be pointed at system()
for code execution.
That’s a great theoretical attack chain, but actually getting there in the wild is less straightforward. There has been a notable web application identified that is vulnerable: Roundcube. Upon sending an email, the user can specify the addresses, as well as the character set parameter. Roundcube makes an iconv()
call, triggering the core vulnerability. And thus an authenticated user has a path to remote code execution.
Bits and Bytes
Speaking of email, do you know the characters that are allowed in an email address? Did you know that the local user part of an email address can be a quoted string, with many special characters allowed? I wonder if every mail server and email security device realized that quirk? Apparently not, at least in the case of MailCleaner, which had a set of flaws allowing such an email to lead to full appliance takeover. Keep an eye out for other devices and applications to fall to this same quirk.
Nextcloud has a pair of vulnerabilities to pay attention to, with the first being an issue where a user with read and share permissions to an object could reshare it with additional permissions. The second is more troubling, giving an attacker a potential method to bypass a two-factor authentication requirement. Fixes are available.
Pointed out by [Herr Brain] on Hackaday’s Discord, we have a bit of bad news about the Arm Memory Tagging Extensions (MTE) security feature. Namely, speculative execution can reveal the needed MTE tags about 95% of the time. While this is significant, there is a bit of chicken-and-egg problem for attackers, as MTE is primarily useful to prevent running arbitrary code at all, which is the most straightforward way to achieve a speculative attack to start with.
And finally, over at Google Project Zero, [Seth Jenkins] has a report on a trio of Android devices, and finding vulnerabilities in their respective kernel drivers. In each case, the vulnerable drivers can be accessed from unprivileged applications. [Seth]’s opinion is that as the Android core code gets tighter and more secure, these third-party drivers of potentially questionable code quality will quickly become the target of choice for attack.