Some Mondays are worse than others, but April 28 2025 was particularly bad for millions of people in Spain and Portugal. Starting just after noon, a number of significant grid oscillations occurred which would worsen over the course of minutes until both countries were plunged into a blackout. After a first substation tripped, in the span of only a few tens of seconds the effects cascaded across the Iberian peninsula as generators, substations, and transmission lines tripped and went offline. Only after the HVDC and AC transmission lines at the Spain-France border tripped did the cascade stop, but it had left practically the entirety of the peninsula without a functioning power grid. The event is estimated to have been the biggest blackout in Europe ever.

Following the blackout, grid operators in the affected regions scrambled to restore power, while the populace tried to make the best of being plummeted suddenly into a pre-electricity era. Yet even as power gradually came back online over the course of about ten hours, the question of what could cause such a complete grid collapse and whether it might happen again remained.

With recently a number of official investigation reports having been published, we have now finally some insight in how a big chunk of the European electrical grid suddenly tipped over.

Oscillations

Electrical grids are a rather marvelous system, with many generators cooperating across thousands of kilometers of transmission lines to feed potentially millions of consumers, generating just enough energy to meet the amount demanded without generating any more. Because physical generators turn more slowly when they are under heavier load, the frequency of the AC waveform has been the primary coordination mechanism across power plants. When a plant sees a lower grid frequency, it is fueled up to produce more power, and vice-versa. When the system works well, the frequency slowly corrects as more production comes online.

The greatest enemy of such an interconnected grid is an unstable frequency. When the frequency changes too quickly, plants can’t respond in time, and when it oscillates wildly, the maximum and minumum values can exceed thresholds that shut down or disconnect parts of the power grid.

In the case of the Iberian blackout, a number of very significant oscillations were observed in the Spanish and Portuguese grids that managed to also be observable across the entire European grid, as noted in an early analysis (PDF) by researchers at Germany’s Friedrich-Alexander-Universität (FAU).
European-wide grid oscillations prior to the Iberian peninsula blackout. (Credit: Linnert et al., FAU, 2025)
This is further detailed in the June 18th report (direct PDF link) by Spain’s Transmission System Operator (TSO) Red Eléctrica (REE). Much of that morning the grid was plagued by frequency oscillations, with voltage increases occurring in the process of damping said oscillations. None of this was out of the ordinary until a series of notable events, with the first occurring after 12:02 with an 0.6 Hz oscillation repeatedly forced by a photovoltaic (PV) solar plant in the province of Badajoz which was feeding in 250 MW at the time. After stabilizing this PV plant the oscillation ceased, but this was followed by the second event with an 0.2 Hz oscillation.

After this new oscillation was addressed through a couple of measures, the grid was suffering from low-voltage conditions caused by the oscillations, making it quite vulnerable. It was at this time that the third major event occurred just after 12:32, when a substation in Granada tripped. The speculation by REE being that its transformer tap settings had been incorrectly set, possibly due to the rapidly changing grid conditions outpacing its ability to adjust.

Subsequently more substations, solar- and wind farms began to go offline, mostly due to a loss of reactive power absorption causing power flow issues, as the cascade failure outpaced any isolation attempts and conventional generators also threw in the towel.

Reactive Power

Grid oscillations are a common manifestation in any power grid, but they are normally damped either with no or only minimal interaction required. As also noted in the earlier referenced REE report, a big issue with the addition of solar generators on the grid is that these use grid-following inverters. Unlike spinning generators that have intrinsic physical inertia, solar inverters can rapidly follow the grid voltage and thus do not dampen grid oscillations or absorb reactive power. Because they can turn on and off essentially instantaneously, these inverters can amplify oscillations and power fluctuations across the grid by boosting or injecting oscillations if the plants over-correct.

In alternating current (AC) power systems, there are a number of distinct ways to describe power flow, including real power (Watt), complex power (VA) and reactive power (var). To keep a grid stable, all of these have to be taken into account, with the reactive power management being essential for overall stability. With the majority of power at the time of the blackout being generated by PV solar farms without reactive power management, the grid fluctuations spun out of control.

Generally, capacitors are considered to create reactive power, while inductors absorb it. This is why transformer-like shunt reactors – a parallel switchyard reactor – are an integral part of any modern power grid, as are the alternators at conventional power plants which also absorb reactive power through their inertia. With insufficient reactive power absorption capacity, damping grid oscillations becomes much harder and increases the chance of a blackout.

Ultimately the cascade failure took the form of an increasing number of generators tripping, which raised the system voltage and dropped the frequency, consequently causing further generators and transmission capacity to trip, ad nauseam. Ultimately REE puts much of the blame at the lack of reactive power which could have prevented the destabilization of the grid, along with failures in voltage control. On this Monday PV solar in particular generated the brunt of grid power in Spain at nearly 60%.
Generating mix in Spain around the time of the blackout. (Credit: ENTSO-E)

Not The First Time

Despite the impression one might get, this wasn’t the first time that grid oscillations have resulted in a blackout. Both of the 1996 Western North America blackouts involved grid oscillations and a lack of reactive power absorption, and the need to dampen grid oscillations remains one of the highest priorities. This is also where much of the criticism directed towards the current Spanish grid comes from, as the amount of reactive power absorption in the system has been steadily dropping with the introduction of more variable renewable energy (VRE) generators that lack such grid-stabilizing features.

To compensate for this, wind and solar farms would have to switch to grid-forming inverters (GFCs) – as recommended by the ENTSO-E in a 2020 report – which would come with the negative effect of making VREs significantly less economically viable. Part of this is due to GFCs still being fairly new, while there is likely a strong need for grid-level storage to be added to any GFC in order to make especially Class 3 fully autonomous GFCs work.

It is telling that five years after the publication of this ENTSO-E report not much has changed, and GFCs have not yet made inroads as a necessity for stable grid operation. Although the ENTSO-E’s own investigation is still in progress with a final report not expected for a few more months at least, in light of the available information and expert reports, it would seem that we have a good idea of what caused the recent blackout.

The pertinent question is thus more likely to be what will be done about it. As Spain and Portugal move toward a power mix that relies more and more heavily on solar generation, it’s clear that these generators will need to pick up the slack in grid forming. The engineering solution is known, but it is expensive to retrofit inverters, and it’s possible that this problem will keep getting kicked down the road. Even if all of the reports are unanimous in their conclusion as to the cause, there are unfortunately strong existing incentives to push the responsibility of avoiding another blackout onto the transmission system operators, and rollout of modern grid-forming inverters in the solar industry will simply take time.

In other words, better get used to more blackouts and surviving a day or longer without power.

hackaday.com/2025/06/30/the-20…

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportato solo di recente da Hackread, ha riacceso i riflettori sulla fragilità dei sistemi OT (Operational Technology), un ambito critico ma ancora troppo spesso trascurato nella cybersecurity moderna.

Secondo le prime ricostruzioni, ignoti attori sono riusciti a violare il sistema di controllo della diga forzando l’apertura di una valvola di scarico per quasi tre ore, causando un flusso d’acqua incontrollato. La polizia norvegese ha confermato la natura deliberata dell’azione, scartando fin da subito malfunzionamenti accidentali. Fortunatamente, l’attacco non ha provocato danni a persone o infrastrutture a valle, ma ha evidenziato quanto possa essere concreta e pericolosa una minaccia informatica nei confronti dei sistemi SCADA.

Gli attacchi a infrastrutture critiche non sono una novità. In passato, casi celebri come Stuxnet, il blackout ucraino del 2015 o le campagne mirate in Medio Oriente avevano già dimostrato quanto i sistemi ICS (Industrial Control Systems) fossero esposti. Tuttavia, ciò che cambia oggi è il livello di accessibilità a queste tecnologie e la mancanza di segregazione tra rete IT e rete OT.

Molti dispositivi SCADA, Programmable Logic Controller (PLC) e HMI (Human Machine Interface) sono esposti su Internet o malconfigurati, spesso privi di aggiornamenti o autenticazione robusta. Una condizione che può trasformare un semplice ricognitore OSINT in un attore capace di interagire con impianti fisici reali.

GhostSec: “Gli ICS sono come giocattoli nelle mani dei cyber attivisti”

Proprio su RedHot Cyber, poche settimane fa, abbiamo intervistato in esclusiva l’admin del gruppo hacktivista GhostSec. Nel dialogo, l’attore ha sottolineato come i sistemi industriali, e in particolare i dispositivi SCADA, siano da tempo nel mirino del gruppo:

Ciò che ci attira è l’impatto visibile. L’idea che un click possa spegnere una pompa dell’acqua o attivare un allarme industriale è molto potente. È simbolico.
(GhostSec, intervista RHC – giugno 2025)

Questa affermazione, ora più che mai, suona come un sinistro presagio. L’attacco alla diga norvegese potrebbe non essere un caso isolato ma un segnale d’allarme su un trend in crescita, dove gruppi ideologici o statali cercano visibilità tramite azioni dirette su infrastrutture critiche.

L’urgenza di proteggere il mondo OT

Il caso norvegese deve fungere da sveglia per i responsabili della sicurezza OT. Le misure di protezione – segmentazione di rete, aggiornamenti firmware, MFA, monitoraggio continuo e simulazioni di attacco – non possono più essere rimandate. È tempo di considerare i sistemi OT non più come entità isolate, ma come parte integrante del perimetro cyber aziendale.

Serve una strategia nazionale ed europea, un quadro normativo più rigido, e una cultura della sicurezza che coinvolga sia tecnici OT che specialisti IT, ancora troppo spesso scollegati nei processi decisionali.

Conclusioni

L’attacco informatico alla diga norvegese non è solo un atto di sabotaggio: è un campanello d’allarme globale. In un’epoca in cui l’interconnessione tra IT e OT è totale, l’illusione di sicurezza non basta più. Serve consapevolezza, collaborazione e azione.

Ne parleremo ancora, su RedHot Cyber.

Fonte: hackread.com/norwegian-dam-val…

L'articolo Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA proviene da il blog della sicurezza informatica.

KIA ORA. IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and this week's edition comes to you from New Zealand. I'm taking a couple weeks off, so the next newsletter will hit your inboxes on July 14.

I'm trying something different this week.

Ahead of the 2024 global megacycle of elections, I had the idea of explaining the links between the digital tactics that have now become all too common in how politicians get elected from Pakistan and Portugal to the United Kingdom and the United States.

Life, however, got in the way. (The best I did was this package around artificial intelligence, disinformation and elections.) So, I'm taking another crack at how we all now live in the Fake News Factory.

Let's get started:

digitalpolitics.co/newsletter0…

In the 1980s, there was a truly staggering amount of choice for a consumer looking to purchase a home computer. On the high end, something like an Apple Lisa, a business-class IBM PC, or a workstation from Sun Microsystems could easily range from $6,000 to $20,000 (not adjusted for inflation). For the time, these mind-blowing prices might have been worth the cost, but for those not willing to mortgage their homes for their computing needs, there were also some entry-level options. One of these was the Sinclair ZX-80, which was priced at an astounding $100, which caused RadioShack to have a bit of a panic and release this version of the TRS-80 computer to compete with it.

As [David] explains in his deep dive into this somewhat obscure machine, the TRS-80 MC-10 was a commercial failure, although not for want of features. It had a color display, a chicklet keyboard, and 4K of RAM, which were all things that the ZX-80 lacked.

Unfortunately, it also had a number of drawbacks compared to some of its other contemporaries that made consumers turn away. Other offerings by Commodore, Atari, Texas Instruments, and even RadioShack themselves were only marginally more expensive and had many more features, including larger memory and better storage and peripheral options, so most people chose these options instead.

The TRS-80 MC-10 is largely a relic of the saturated 80s home computer market. It’s drop in price to below $50, and the price competition between other PC manufacturers at the time was part of the reason for the video game crash of the 1980s, and even led to Steve Jobs getting fired from Apple. There’s not a huge retro scene for these machines either (although there’s at least one game developer you can see in the video below from [Spriteworx]). If you want to experiment with some of the standard TRS-80 software, there are emulators that have everything you need.

youtube.com/embed/YcUABR1f-yo?…

Thanks to [Stephen] for the tip!

hackaday.com/2025/06/30/behind…

E’ stata rilevata una nuova serie di attacchi informatici dai tecnici specialisti di ESET, che vede come protagonista il settore dei pagamenti contactless con tecnologia NFC. Inizialmente questo tipo di attacco era stato individuato fra i clienti delle banche della Repubblica Ceca, ma al momento risulta essere in rapida espansione su scala mondiale.

Secondo l’ultimo ESET Threat Report relativo al primo semestre del 2025, il numero di attacchi NFC è aumentato di 35 volte rispetto alla fine del 2024. Questo aumento allarmante dimostra la rapidità con cui i criminali stanno sfruttando le vulnerabilità della tecnologia alla base dei pagamenti contactless, che funziona trasmettendo dati a distanze di pochi centimetri tramite segnali radio.

Mentre il mercato NFC continua a crescere rapidamente (si prevede che le sue dimensioni aumenteranno da 21,69 miliardi di dollari nel 2024 a 30,55 miliardi di dollari entro il 2029), i meccanismi di sicurezza sviluppati in precedenza, come la crittografia e la tokenizzazione, stanno iniziando a cedere il passo ad aggressori sofisticati.

E’ stato ESET a evidenziare che il nuovo schema unisce tecniche tradizionali di ingegneria sociale, malware Android e phishing a uno strumento inizialmente progettato per la ricerca universitaria, noto come NFCGate. Gli studenti dell’Università Tecnica di Darmstadt avevano originariamente creato questo progetto per testare in modo sicuro la tecnologia NFC, tuttavia è stato ben presto adottato dai criminali con il nome di NGate.

L’attacco inizia con l’invio di SMS con link di phishing a falsi siti web bancari. Tramite questi, alla vittima viene chiesto di installare un’applicazione web progressiva (PWA), che bypassa i controlli dell’app store e viene installata senza avvisi di sicurezza. Dopo aver inserito login e password, i truffatori ottengono l’accesso al conto bancario e contattano telefonicamente la vittima, fingendosi impiegati di banca. Con questo pretesto, la vittima viene convinta a installare il malware NGate, presumibilmente per proteggere il conto.

Questo virus utilizza NFCGate per intercettare i dati della carta di credito quando la vittima la avvicina al proprio smartphone. Le informazioni ottenute consentono agli aggressori di emulare la carta sul proprio dispositivo ed effettuare pagamenti o prelevare contanti senza lasciare traccia.

In seguito è comparsa anche una variante dell’attacco, chiamata Ghost Tap. In questo caso, i dati delle carte rubate e i codici di conferma monouso vengono collegati ai portafogli elettronici degli aggressori, come Apple Pay o Google Pay. Ciò consente loro di organizzare transazioni fraudolente di massa tramite pagamenti contactless. Come sottolineano gli esperti, tali schemi possono essere implementati utilizzando intere farm di dispositivi Android, dove i dati compromessi vengono caricati in massa.

Nonostante l’elevata complessità degli attacchi, gli utenti possono ridurre significativamente il rischio adottando semplici precauzioni. ESET sottolinea l’importanza di non cliccare su link sospetti o di installare applicazioni da fonti dubbie. Si raccomanda inoltre di impostare limiti minimi per i pagamenti contactless e di utilizzare custodie protettive o carte con funzione di blocco RFID per impedire la lettura non autorizzata dei dati.

L'articolo Aumentano gli attacchi informatici ai pagamenti contactless NFC, nuova minaccia globale proviene da il blog della sicurezza informatica.

For those of us who aren’t blessed with a green thumb and who are perhaps a bit forgetful, plants can be surprisingly difficult to keep alive. In those cases, some kind of automation, such as [Justin Buchanan]’s Oasis smart terrarium, is a good way to keep our plants from suffering too much.

The Oasis has an ultrasonic mister to water the plants from a built-in tank, LED grow lights, fans to control airflow, and a temperature and humidity sensor. It connects to the local WiFi network and can set up recurring watering and lighting schedules based on network time. Most of the terrarium is 3D-printed, with a section of acrylic tubing providing the clear walls. Before installing the electronics, it’s a good idea to waterproof the printed parts with low-viscosity epoxy, particularly since the water tank is located at the top of the terrarium, where a leak would drip directly onto the control electronics.

An ESP32-C3 controls the terrarium; it uses a MOSFET circuit to drive the ultrasonic mister, an SHT30 sensor to measure humidity and temperature, and a PWM driver circuit to control the LEDs. Conveniently, [Justin] also wrote a piece of command-line client software that can find online terrariums on the local network, configure WiFi, set the terrarium’s schedule, control its hardware, and retrieve data from its sensors. Besides this, Oasis also exposes a web interface that performs the same functions as the command-line client.

This isn’t the first automated terrarium we’ve seen, though it is the most aesthetically refined. They aren’t just for plants, either; we’ve seen a system to keep geckos comfortable.

hackaday.com/2025/06/30/preser…

La crescente ascesa della Cina ha spinto i funzionari americani a sottolineare con forza la necessità di migliorare le proprie capacità informatiche offensive. Tuttavia, alcuni dubbi persistono circa la capacità di far fronte alla sfida, considerando la forte dipendenza da fornitori esteri e la mancanza di adeguate competenze informatiche a livello nazionale, che potrebbero incidere negativamente sulla disponibilità di risorse e forza lavoro.

Specialisti del settore sottolineano come la Cina abbia ormai convertito l’ecosistema di sicurezza dell’Asia orientale in un’opportunità unica per sé. A partire dal 2016, Pechino ha intrapreso una strategia di acquisto e acquisizione di strumenti esclusivi per hacking, destinati a fini militari e di intelligence, precludendo agli Stati Uniti l’accesso a tali tecnologie. Contrariamente all’impostazione statunitense, basata su accordi di ampia portata, affidamento e prudenza, l’approccio cinese risulta essere versatile, decentralizzato e propenso a correre rischi calcolati.

Gli autori del rapporto sottolineano che lo sviluppo di exploit sta diventando sempre più difficile e costoso. Vulnerabilità affidabili richiedono mesi di lavoro e il numero di specialisti in grado di creare tali strumenti si misura in centinaia in tutto il mondo. Gli Stati Uniti dipendono fortemente dalla comunità di ricerca internazionale, mentre la Cina si affida al proprio sistema di formazione su larga scala, in cui università, concorsi e aziende.

Gli appalti americani spesso passano attraverso grandi appaltatori della difesa, ma sono piccole aziende e singoli sviluppatori a creare molti degli strumenti più preziosi. Tuttavia, ostacoli burocratici, la mancanza di supporto legale e le complesse autorizzazioni scoraggiano molti. E la crescente sicurezza informatica da parte di giganti tecnologici americani come Google e Apple rende il lavoro ancora più difficile, limitando al contempo la possibilità di sfruttarli.

La Cina, d’altra parte, ha attivamente integrato le sue aziende tecnologiche nei programmi informatici statali. Le vulnerabilità scoperte nei concorsi cinesi o dai ricercatori vengono spesso immediatamente trasferite allo Stato. Invece di puntare alla massima segretezza, come fanno gli Stati Uniti, la Cina punta sulla velocità e sulla diffusione massiva, senza timore di riutilizzo e divulgazione delle vulnerabilità. Grazie a ciò, una vulnerabilità può essere sfruttata da più gruppi contemporaneamente e il suo ciclo di vita viene notevolmente esteso.

Gli autori del rapporto chiedono riforme negli Stati Uniti. Propongono la creazione di acceleratori di ricerca delle vulnerabilità, l’aumento dei finanziamenti per club e competizioni di hacker, la semplificazione delle procedure di appalto e il rafforzamento della protezione dei ricercatori. Propongono inoltre la creazione di un centro governativo per collaborare direttamente con i fornitori di exploit e attrarre specialisti stranieri, senza dare priorità a metodi autoritari.

Se gli Stati Uniti vogliono mantenere il loro vantaggio nel cyberspazio, dovranno riconsiderare seriamente il loro approccio al cyberpotere offensivo. Senza questo, sostengono gli autori, il Paese rischia di perdere posizioni chiave nella guerra digitale a favore della Cina .

Recentemente le attività condotte dal gruppo state sponsored Liminal Panda sulle reti telefoniche, hanno portato all’attenzione quanto le capacità offensive della Cina siano importanti. Tali centri consentono di condurre analisi approfondite, eseguire reverse engineering, sviluppare malware e creare killchain di elevata complessità. Tutto ciò richiede competenze specialistiche, notevoli investimenti di tempo e risorse, nonché un notevole impegno finanziario.

L'articolo La corsa agli 0day! La Cina avanza nel cyberpotere offensivo, mentre gli USA sono costretti a rincorrere proviene da il blog della sicurezza informatica.

I dispositivi Bluetooth di decine di noti produttori si sono dimostrati vulnerabili ad attacchi che possono trasformare cuffie o altoparlanti wireless in strumenti di spionaggio. Lo hanno annunciato gli specialisti di ERNW alla conferenza TROOPERS tenutasi in Germania. Secondo loro, i chip Airoha problematici sono utilizzati in 29 modelli di dispositivi di marchi come Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs e Teufel.

La lista non si limita a cuffie convenzionali e auricolari, ma comprende anche diffusori portatili, microfoni a trasmissione wireless e ulteriore strumentazione audio. Viene rilevata la presenza di vulnerabilità nel sistema su chip Airoha, estesamente impiegato in vari accessori wireless, come le popolari cuffie TWS.

In totale, gli esperti hanno identificato tre vulnerabilità, a cui sono stati assegnati identificatori ufficiali:

• CVE-2025-20700 (6,7 sulla scala CVSS) – mancanza di autenticazione per i servizi GATT;
• CVE-2025-20701 (6,7 sulla scala CVSS) – mancanza di autenticazione durante la connessione tramite Bluetooth BR/EDR;
• CVE-2025-20702 (7,5 sulla scala CVSS): vulnerabilità critiche nel protocollo del produttore.

Sebbene gli attacchi richiedano la presenza fisica dell’attaccante all’interno dell’area di copertura Bluetooth e un elevato livello di competenza tecnica, gli scenari di sfruttamento delle vulnerabilità appaiono piuttosto allarmanti. Gli specialisti di ERNW hanno sviluppato un prototipo funzionante dell’attacco che consente di leggere la traccia corrente o altri contenuti audio in streaming dalle cuffie.

Un rischio più serio è la possibilità di intercettare la connessione tra il telefono e le cuffie. Attraverso il profilo Bluetooth Hands-Free (HFP), un aggressore può impartire comandi allo smartphone. Secondo gli esperti, tutte le principali piattaforme mobili consentono almeno di avviare o ricevere chiamate dalle cuffie.

Grazie alle vulnerabilità scoperte, gli esperti hanno dimostrato di essere in grado di estrarre le chiavi di connessione Bluetooth dalla memoria delle cuffie. Ciò consente di sostituire il dispositivo originale e di intercettare la connessione, riuscendo in alcuni casi ad accedere al registro delle chiamate o ai contatti del proprietario del telefono.

Inoltre, con una determinata configurazione dello smartphone, un aggressore può chiamare un numero qualsiasi e poi ascoltare le conversazioni o i suoni provenienti dal telefono, utilizzandolo di fatto come un dispositivo di ascolto. Di particolare preoccupazione è la possibilità che i dispositivi vulnerabili vengano riprogrammati, il che potrebbe aprire la porta a codice dannoso o, nel peggiore dei casi, a un exploit “auto-propagante” che potrebbe infettare altri dispositivi tramite Bluetooth.

Tuttavia, nonostante la gravità della minaccia, gli esperti sottolineano che gli attacchi sono estremamente difficili da implementare su larga scala. La loro implementazione richiede non solo una profonda conoscenza dell’architettura Bluetooth e dei dispositivi Airoha, ma anche la prossimità fisica alla vittima. Per questo motivo, i bersagli più probabili potrebbero essere persone di particolare valore: giornalisti, diplomatici, rappresentanti aziendali o attivisti.

L'articolo Vulnerabilità Bluetooth: cuffie e altoparlanti wireless possono essere trasformati in strumenti di spionaggio proviene da il blog della sicurezza informatica.

People have been talking about switching from Windows to Linux since the 1990s, but in the world of open-source operating systems, there is much more variety than just the hundreds of flavors of Linux-based operating systems today. Take FreeBSD, for example. In a recent [GNULectures] video, we get to see a user’s attempt to switch from desktop Linux to desktop FreeBSD.

The interesting thing here is that both are similar and yet very different, mainly owing to their very different histories, with FreeBSD being a direct derivative of the original UNIX and its BSD derivative. One of the most significant differences is probably that Linux is just a kernel, with (usually) the GNU/Hurd userland glued on top of it to create GNU/Linux. GNU and BSD userland are similar, and yet different, with varying levels of POSIX support. This effectively means that FreeBSD is a singular OS with rather nice documentation (the FreeBSD handbook).

The basic summary here is that FreeBSD is rather impressive and easy to set up for a desktop, especially if you use a customized version like GhostBSD. Despite Libreboot, laptop power management, OSB NVENC, printer, and WiFi issues, it was noted that none of these are uncommon with GNU/Linux either. Having a single package manager (pkg) for all of FreeBSD (and derivatives) simplifies things a lot. The bhyve hypervisor makes running VMs a snap. A robust ZFS filesystem is also a big plus.

What counts against desktop FreeBSD in the end is a less refined experience in some areas, despite FreeBSD being able to run Linux applications courtesy of binary compatibility. With some developer love and care, FreeBSD might make for a nice desktop alternative to GNU/Linux before long, one that could be tempting even for the die-hard Windows holdouts among us.

youtube.com/embed/Rk5kJ2iWYaU?…

hackaday.com/2025/06/29/switch…

Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la continua mercificazione dei dati personali e aziendali nel sottobosco criminale online.

Cos’è una “Collezione Strutturata di Dati” nel Contesto Cybercriminale?

Nel mondo della criminalità informatica, una “collection strutturata di dati” si riferisce a un database organizzato contenente informazioni dettagliate su individui e aziende. Come descritto nel post, queste collezioni sono “pulite, strutturate per qualsiasi piattaforma di mailing o validazione” e includono contatti per privati e imprese.

La loro natura “strutturata” li rende immediatamente utilizzabili per attività su larga scala, come l’invio massivo di email o la verifica telefonica.

Origine e Utilizzo di Tali Collezioni

pesso, queste collezioni di dati provengono da “data breach” freschi, ovvero violazioni di sicurezza che espongono informazioni sensibili. I cybercriminali compromettono database, siti web o sistemi aziendali per estrarre grandi quantità di dati, che vengono poi aggregati, validati e venduti su mercati neri come i forum underground.

Lo scopo principale di queste collezioni è facilitare attività illecite, tra cui:

• Phishing e Malspam: Le liste di contatti dettagliate consentono ai criminali di condurre campagne di phishing (tentativi di frode per ottenere credenziali o informazioni sensibili) e malspam (invio di email contenenti malware) su larga scala e in modo più mirato. L’obiettivo è ingannare le vittime e ottenere accesso non autorizzato o diffondere software dannoso.
• Test di Truffe e Arricchimento di Lead Illegali: I dati vengono utilizzati per testare l’efficacia di nuove truffe o per arricchire database esistenti con informazioni aggiuntive, rendendo gli attacchi futuri ancora più sofisticati.
• Verifica di Numeri Telefonici e Frodi SMS: La presenza di numeri di telefono consente frodi via SMS (smishing) o chiamate (vishing), dove i criminali si spacciano per entità legittime per estorcere informazioni.

Il Ruolo degli IAB (Initial Access Brokers) nel Contesto Cybercriminale

È importante distinguere tra la vendita di collezioni di dati e il ruolo degli Initial Access Brokers (IAB). Sebbene il post in questione venda una collezione di dati di contatto, il termine “IAB” si riferisce a criminali informatici specializzati nell’ottenere e vendere accessi non autorizzati a reti e sistemi informatici.

Gli IAB agiscono come un anello cruciale nella catena del cybercrime, fornendo ad altri gruppi (come quelli che implementano ransomware) la “porta d’ingresso” a un’organizzazione. Questo accesso può essere ottenuto tramite phishing, sfruttamento di vulnerabilità o altre tecniche. Sebbene la vendita di dati e l’attività degli IAB siano entrambe prevalenti su forum come XSS, il post qui analizzato rientra nella categoria della vendita di database di contatti, piuttosto che di accessi a sistemi.

Conclusioni

La presenza di offerte come questa sul forum XSS sottolinea la costante minaccia rappresentata dal mercato sotterraneo dei dati.

La disponibilità di collezioni di “lead” strutturate e verificate abbassa la soglia per i criminali meno esperti, consentendo loro di lanciare attacchi più efficaci. È fondamentale che individui e organizzazioni adottino misure di sicurezza robuste, come l’autenticazione a due fattori, l’aggiornamento costante dei sistemi e la formazione sulla consapevolezza del rischio, per difendersi da queste minacce persistenti.

L'articolo Un milione di Lead Italiani del 2025 in vendita nelle underground. Per un Phishing senza domani! proviene da il blog della sicurezza informatica.

I ricercatori di sicurezza informatica hanno descritto nei dettagli una nuova campagna denominata OneClik che sfrutta la tecnologia di distribuzione del software ClickOnce di Microsoft e backdoor Golang personalizzate per compromettere le organizzazioni nei settori dell’energia, del petrolio e del gas.

“La campagna mostra caratteristiche in linea con quelle degli autori di minacce affiliati alla Cina, sebbene l’attribuzione rimanga cauta”, hanno affermato i ricercatori di Trellix Nico Paulo Yturriaga e Pham Duy Phuc in un articolo tecnico.”

In poche parole, gli attacchi di phishing sfruttano un loader basato su .NET denominato OneClikNet per distribuire una sofisticata backdoor basata su Go, nome in codice RunnerBeacon, progettata per comunicare con un’infrastruttura controllata dall’aggressore e oscurata tramite i servizi cloud di Amazon Web Services (AWS).

ClickOnce è offerto da Microsoft per installare e aggiornare applicazioni basate su Windows con un’interazione minima da parte dell’utente. È stato introdotto in .NET Framework 2.0. Tuttavia, la tecnologia può rivelarsi un mezzo interessante per gli autori di minacce che desiderano eseguire i propri payload dannosi senza destare sospetti.

Come indicato nel framework MITRE ATT&CK, le applicazioni ClickOnce possono essere utilizzate per eseguire codice dannoso tramite un binario Windows attendibile, “dfsvc.exe”, responsabile dell’installazione, dell’avvio e dell’aggiornamento delle app. Le app vengono avviate come processo figlio di “dfsvc.exe”.

“Poiché le applicazioni ClickOnce ricevono solo permessi limitati, non richiedono autorizzazioni amministrative per l’installazione”, spiega il MITRE . I ricercatori di Trellix hanno affermato che le catene di attacco iniziano con e-mail di phishing contenenti un collegamento a un falso sito Web di analisi hardware che funge da canale per la distribuzione di un’applicazione ClickOnce, la quale, a sua volta, esegue un file eseguibile utilizzando dfsvc.exe.

L’impianto Golang può comunicare con un server di comando e controllo (C2) tramite HTTP, WebSocket, TCP raw e pipe denominate SMB, consentendogli di eseguire operazioni sui file, enumerare e terminare processi in esecuzione, eseguire comandi shell, aumentare i privilegi tramite furto di token e impersonificazione e ottenere movimenti laterali.

Inoltre, la backdoor incorpora funzionalità anti-analisi per eludere il rilevamento e supporta operazioni di rete come la scansione delle porte, l’inoltro delle porte e il protocollo SOCKS5 per facilitare le funzionalità di proxy e routing. “Il design di RunnerBeacon è molto simile ai beacon Cobalt Strike basati su Go (ad esempio la famiglia Geacon/Geacon plus/Geacon Pro)”, hanno affermato i ricercatori.

Solo nel marzo 2025 sono state osservate tre diverse varianti di OneClick: v1a, BPI-MDM e v1d, con ogni iterazione che dimostra capacità progressivamente migliorate, consentendo di passare inosservate. Una variante di RunnerBeacon è stata invece identificata nel settembre 2023 presso un’azienda mediorientale operante nel settore petrolifero e del gas.

Sebbene in passato tecniche come l’iniezione di AppDomainManager siano state utilizzate da attori di minacce collegati alla Cina e alla Corea del Nord, l’attività non è mai stata formalmente attribuita ad alcun attore o gruppo di minacce noto.

Questo sviluppo arriva mentre QiAnXin ha descritto in dettaglio una campagna condotta da un autore di minacce che identifica come APT-Q-14, che ha anche utilizzato app ClickOnce per propagare malware sfruttando una falla di cross-site scripting (XSS) zero-day nella versione web di una piattaforma di posta elettronica anonima. La vulnerabilità, ha affermato, è stata nel frattempo risolta.

La sequenza di intrusione funge da escamotage nel manuale di istruzioni di una casella di posta, mentre un trojan dannoso viene installato furtivamente sull’host Windows per raccogliere ed esfiltrare informazioni di sistema su un server C2 e ricevere payload di fase successiva sconosciuti.

L’azienda cinese di sicurezza informatica ha affermato che APT-Q-14 si concentra anche sulle vulnerabilità zero-day nei software di posta elettronica per la piattaforma Android.

L'articolo Il malware OneClik prende di mira il settore energetico con backdoor Microsoft ClickOnce e Golang proviene da il blog della sicurezza informatica.

Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war.

Non è solo uno scenario futuristico o una minaccia ipotetica. È realtà. Dai conflitti tra Russia e Ucraina, passando per gli attacchi paralleli che si sono verificati durante lo scontro tra Israele e Hamas, fino alle recenti tensioni tra Israele e Iran, il cyberspazio è ormai diventato un vero campo di battaglia.

Il cyberspazio come nuovo dominio di guerra

Il cyberspace non è più soltanto l’ambiente dove si realizzano truffe informatiche, divulgazioni di materiale pedopornografico o accessi abusivi. È stato ufficialmente riconosciuto dalla NATO come quinto dominio della guerra, accanto a terra, mare, aria e spazio. Questo significa che operazioni offensive e difensive condotte attraverso sistemi informatici possono avere lo stesso peso strategico e geopolitico degli attacchi convenzionali.

Nel contesto delle relazioni internazionali, la cyber war si distingue da altre attività digitali come il cyber crimine, l’info war, il cyber terrorismo o la sorveglianza digitale statale.

Qui si parla di veri e propri attacchi portati da uno Stato contro un altro, con obiettivi di destabilizzazione, sabotaggio o acquisizione strategica di dati sensibili.

Il diritto internazionale e le sfide della cyber war

Una delle grandi questioni aperte è quella giuridica: come si regolano i conflitti cibernetici? Serve un diritto “su misura” per il cyberspazio?

La posizione prevalente, sostenuta anche dagli Stati Uniti, è che le regole del diritto internazionale – sia in tempo di pace che di guerra – si applicano anche nel cyberspazio. Tuttavia, permangono criticità evidenti:

• l’attribuzione dell’attacco: nel cyber spazio è difficile identificare con certezza l’aggressore;
• il concetto di arma cibernetica: quando un attacco informatico può essere considerato “militare”? Quando si può reagire anche con la forza?
• la proporzionalità della risposta: il diritto internazionale richiede che la risposta a un attacco armato sia proporzionata. Ma come si misura un attacco digitale?

Secondo molti esperti, un attacco cyber diventa “armato” se produce danni fisici, morti o distruzione di infrastrutture critiche. In questo contesto, si parla di cyber arma quando l’attacco:

1. avviene nel contesto di un conflitto tra attori statali o equiparabili;
2. ha lo scopo di danneggiare fisicamente o informaticamente infrastrutture sensibili;
3. è portato avanti tramite strumenti tecnologici avanzati.

Le operazioni cibernetiche: CNA, CNE e CND

Per il Dipartimento della Difesa degli Stati Uniti, le operazioni cibernetiche si dividono in:

• CNA (Computer Network Attack): attacchi finalizzati a disturbare, degradare o distruggere sistemi informativi (sono le vere operazioni da “cyber war”);
• CNE (Computer Network Exploitation): raccolta segreta di informazioni – si tratta di operazioni di intelligence;
• CND (Computer Network Defence): azioni difensive per proteggere reti e sistemi.

Solo le CNA che rappresentano una minaccia o un uso della forza rientrerebbero nella cyber war vera e propria. Le altre si collocano più propriamente nell’ambito dello spionaggio o della guerra dell’informazione.

Cyber attacco e articolo 5: quando può scattare la difesa collettiva della NATO?

L’articolo 5 del Trattato del Nord Atlantico, sottoscritto nel 1949, prevede che:

“Un attacco armato contro uno o più membri dell’Alleanza sarà considerato un attacco contro tutti, e ciascuno di essi prenderà le misure necessarie per aiutare lo Stato attaccato, anche con l’uso della forza armata.”

In origine, questa norma era pensata per attacchi militari convenzionali (terrestri, navali o aerei). Tuttavia, dal 2014 in poi – in particolare dopo gli attacchi hacker a infrastrutture occidentali e l’annessione della Crimea – la NATO ha esteso ufficialmente il concetto di “attacco armato” anche al cyberspazio.

Quando un cyber attacco può attivare l’art. 5?

Un cyber attacco può teoricamente innescare l’articolo 5 se raggiunge una soglia paragonabile a un attacco armato convenzionale in termini di: