Running Code On a PAX Credit Card Payment Machine
These days Points of Sale (PoS) usually include a digital payment terminal of some description, some of which are positively small, such as the Mini PoS terminals that PAX sells. Of course, since it has a CPU and a screen it must be hacked to run something else, and maybe discover something fun about the hardware in the process. Thus [Lucas Tuske] set out to do exactly this with a PAX D177 PoS, starting with purchasing three units: one to tear apart, one to bypass tamper protections on and one to keep as intact reference.
As expected, there are a few tamper protections in place, starting with pads that detect when the back cover is removed and a PCB that’s densely covered in fine traces to prevent sneaky drilling. Although tripping the tamper protections does not seem to affect the contents of the Flash, the firmware is signed. Furthermore the secrets like keys that are stored in NVRAM are purged, rendering the device effectively useless to any attacker.
The SoC that forms the brains of the whole operations is the relatively obscure MH1903, which is made by MegaHunt and comes in a dizzying number of variants that are found in applications like these PoS terminals. Fortunately the same SoC is also found on a development board with the AIR105 MCU that turns out to feature the same MH1903 core. These are ARM Cortex-M3 cores, which makes targeting them somewhat easier.
Rather than try to break the secure boot of the existing SoC, [Lucas] opted to replace the SoC package with a brand new one, which was its own adventure. Although one could say that this is cheating, it made getting a PoC of custom code running on one of these devices significantly easier. In a foll0w-up article [Lucas] expects to have Doom running on this device before long.
A Breadboard Computer in Three Chips
Building a computer on a breadboard is a seminal project for many builders, but it can become complicated quite quickly, not to mention that all the parts needed for a computer are being placed on a medium which often lends itself to loose wires and other hardware bugs. [3DSage] has a working breadboard computer that is as simple as it can possibly be, putting it together piece by piece to show exactly what’s needed to get a computer which can count, access memory, and even perform basic mathematical operations.
The first step for any computer is to build a clock, and in this case it’s being provided by a 555 timer which is configured to provide an adjustable time standard and which steps through the clock pulses when a button is pressed. The next piece is a four-bit counter and a memory chip, which lets the computer read and write data. A set of DIP switches allows a user to write data to memory, and by using the last three bits of the data as opcodes, the computer can reset, halt, and jump to various points in a simple program.
Although these three chips make it possible to perform basic programming, [3DSage] takes this a bit further in his video by demonstrating some other simple programs, such as one which can play music or behave as an alarm clock. He also shows how to use a fourth chip in the form of a binary adder to perform some basic math, and then packages it all into a retro-styled computer kit. Of course you can take these principles and build them out as far as they will go, like this full 8-bit computer built on a breadboard or even this breadboard computer that hosts a 486.
youtube.com/embed/8aiYJxvh4r0?…
Reify Your GitHub Commit History With Contrib Cal
Over on Instructables, [Logan Fouts] shows us the Contrib Cal GitHub desk gadget. This build will allow you to sport your recent GitHub commit activity on your wall or desk with an attractive diffuse light display backed by a 7×4 matrix of multicolor LEDs. Motivate yourself and impress your peers!
This humble project is at the same time multifaceted. You will build a case with 3D printing, make a diffuse screen by gluing and cutting, design a LED matrix PCB using KiCad, solder everything together, and then program it all with Python. The brains of the operation are a Raspberry Pi Zero W.
The Instructables article will run you through the required supplies, help you to print the case, explain how to solder the LEDs, tell how to install the heat-set inserts for high quality screw attachments, explain wiring and power, tell you about how to use the various screws, then tell you about where to get more info and the required software on GitHub: Contrib Cal v2.
Of course this diffuse LED matrix is only one way to display your GitHub progress, you can also Track Your GitHub Activity With This E-Ink Display.
L’Italia tra i grandi degli Spyware! Un grande terzo posto dopo Israele e USA
Non brilliamo molto nella sicurezza informatica, ma sugli Spyware siamo tra i primi della classe!
Secondo una ricerca dell’Atlantic Council, il settore dello spyware è in piena espansione, poiché gli investitori rivolgono sempre più la loro attenzione a questo settore eticamente discutibile ma altamente redditizio. La maggior parte del denaro è destinata ad aziende negli Stati Uniti e in Israele, ma al terzo posto troviamo l’Italia.
E gli investimenti americani nello spyware sono triplicati nell’ultimo anno.
L’Italia al terzo posto nella guerra degli spyware
Lo studio dell’Atlantic Council ha preso in esame 561 organizzazioni provenienti da 46 paesi dal 1992 al 2024. Nel farlo, gli esperti sono riusciti a identificare 34 nuovi investitori, portando il loro numero totale a 128 (rispetto ai 94 del 2024).
Si nota che il maggiore interesse per lo spyware è dimostrato dagli investitori americani: nel 2024 sono state identificate 20 nuove società investitrici negli Stati Uniti, per un totale di 31. Questa crescita ha superato di gran lunga quella di altri Paesi, tra cui Israele, Italia e Regno Unito.
Pertanto, il numero di investitori identificati nell’UE e in Svizzera è stato di 31, con l’Italia, considerata un hub chiave per lo spyware, che ha rappresentato la quota maggiore con 12 investitori. Il numero di investitori in Israele è stato di 26.
Tra gli investitori americani, gli analisti dell’Atlantic Council annoverano i grandi hedge fund DE Shaw & Co. e Millennium Management, la nota società commerciale Jane Street e la grande società finanziaria Ameriprise Financial.
Secondo il rapporto, tutti loro hanno inviato fondi al fornitore israeliano di spyware legale Cognyte. Si sottolinea che questa azienda è stata precedentemente collegata a violazioni dei diritti umani in Azerbaigian, Indonesia e altri paesi.
L’acquisto di Paragon Solution
Un altro esempio degno di nota degli investimenti americani nello spyware è la recente acquisizione del noto fornitore israeliano di spyware Paragon Solutions da parte di AE Industrial Partners, una società di private equity con sede in Florida specializzata in sicurezza nazionale.
Gli autori del rapporto sottolineano che, sebbene i politici americani abbiano sistematicamente combattuto la diffusione e l’abuso di spyware, talvolta con misure politiche severe, esiste una significativa discrepanza tra loro e gli investitori statunitensi, perché “i dollari statunitensi continuano a finanziare proprio le entità che i politici statunitensi stanno cercando di combattere”.
Un esempio citato è il fornitore di spyware Saito Tech (ex Candiru), presente nell’elenco delle sanzioni del Dipartimento del Commercio degli Stati Uniti dal 2021 e che ha ricevuto nuovi investimenti dalla società statunitense Integrity Partners nel 2024.
Oltre a concentrarsi sugli investimenti, l’Atlantic Council scrive che il mercato globale degli spyware è “in crescita ed evoluzione”, e ora include quattro nuovi fornitori, sette nuovi rivenditori o broker, 10 nuovi fornitori di servizi e 55 nuovi individui associati al settore.
Ad esempio, tra i fornitori recentemente identificati figurano l’israeliana Bindecy e l’italiana SIO. Tra i rivenditori figurano società di facciata associate ai prodotti del Gruppo NSO (come la panamense KBH e la messicana Comercializadora de Soluciones Integrales Mecale). Tra i nuovi fornitori di servizi figurano la britannica Coretech Security e la statunitense ZeroZenX.
youtube.com/embed/jkMy6OaFOyo?…
Broker e rivenditori, sono il cuore pulsante degli spyware
Il rapporto evidenzia il ruolo centrale svolto da tali rivenditori e broker, che rappresentano un “gruppo di attori poco studiato”.
“Queste organizzazioni agiscono da intermediari, oscurando i collegamenti tra venditori, fornitori e acquirenti. Spesso, gli intermediari mettono in contatto i fornitori con nuovi mercati regionali. Questo crea una catena di fornitura complessa e opaca per lo spyware, rendendo estremamente difficile comprendere le strutture aziendali, le manipolazioni giurisdizionali e le responsabilità“, hanno dichiarato gli autori dello studio a Wired .
Ma attenzione: realizzare spyware è solo fare un puzzle
Quasi sempre non si tratta di aziende che sviluppano internamente malware costruiti sfruttando vulnerabilità scoperte da loro stesse (0day): le società che commercializzano spyware spesso non cercano e non scoprono direttamente i bug. Al contrario, la filiera vede la presenza di broker di exploit 0day che fungono da intermediari: questi broker acquistano vulnerabilità da ricercatori o scopritori e le rivendono—talvolta tramite aste private—a operatori che poi le integrano in strumenti di sorveglianza.
Quindi non bisogna pensare che realizzare uno spyware richieda necessariamente capacità tecniche di scoperta di vulnerabilità; nella pratica commerciale descritta basta produrre il software che sfrutta gli exploit 0day ottenuti di ricercatori di sicurezza, che li hanno venduti a loro volta ai broker. Questo spiega perché il mercato dello spyware può funzionare anche separando nettamente il lavoro di ricerca delle vulnerabilità dalla loro applicazione operativa.
L'articolo L’Italia tra i grandi degli Spyware! Un grande terzo posto dopo Israele e USA proviene da il blog della sicurezza informatica.
Hackaday Podcast Episode 337: Homebrew Inductors, Teletypes in the Bedroom, and Action!
Fresh hacks here! Get your fresh hot hacks right here! Elliot and Dan teamed up this week to go through every story published on our pages to find the best of the best, the cream of the crop, and serve them up hot and fresh for you. The news this week was all from space, with the ISS getting its latest push from Dragon, plus <<checks notes>> oh yeah, life on Mars. Well, maybe, but it’s looking more and more like we are not alone, or at least not a few million years ago.
But even if we are, plenty is still going on down here to keep you interested. Like homebrewing? Good, because we looked at DIY inductors, wire nuts, and even a dope — but nope — ultralight helicopter. Into retro? We’ve got you covered with a loving look at IRC, a 60s bedside computer guaranteed to end your marriage, and a look at the best 8-bit language you never heard of.
We looked at a rescued fume hood, sensors galore on your phone, a rug that should have — and did, kind of — use a 555, and raytracing for the rest of your natural life. As for “Can’t Miss Articles,” Elliot could barely contain himself with the bounty of projects written up by our Hackaday writers, not to mention Arya’s deep dive into putting GPS modules to work in your builds.
html5-player.libsyn.com/embed/…
Download this MP3, full of twisty little podcasts, all alike. Plugh!
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 337 Show Notes:
News:
- Dragon Is The Latest, And Final, Craft To Reboost ISS
- NASA Presser Reveals New Clues About Ancient Life on Planet Mars – YouTube
What’s that Sound?
- Have a listen, guess where the music is from, and enter your guess right here!
Interesting Hacks of the Week:
- Give Your Twist Connections Some Strength
- Tips For Homebrewing Inductors
- Was Action! The Best 8-Bit Language?
- Retrotechtacular: The Noisy Home Computer From 1967
- A Love Letter To Internet Relay Chat
- Making An Ultralight Helicopter
Quick Hacks:
- Elliot’s Picks
- Old Phone Upcycled Into Pico Projector, ASMR
- Reverse Engineering A Robot Mower’s Fence
- The 555 As You’ve Never Seen It: In Textile!
- A Look At Not An Android Emulator
- No Plans For The Weekend? Learn Raytracing!
- Dan’s Picks:
- Restoring A Cheap Fume Hood
- Smartphone Sensors Unlocked: Turn Your Phone Into A Physics Lab
- Heart Rate Monitoring Via WiFi
Can’t-Miss Articles:
- FreeCAD Foray: From Brick To Shell
- Bootstrapping Android Development: A Survival Guide
- The Android Linux Commander
- GPS And Its Little Modules
hackaday.com/2025/09/12/hackad…
Windows 11: Microsoft Rinnova Esplora file introducendo l’intelligenza artificiale
Microsoft ha iniziato a testare nuove funzionalità basate sull’intelligenza artificiale in Esplora file di Windows 11. Queste funzionalità consentiranno agli utenti di interagire con immagini e documenti direttamente da Esplora file, senza dover aprire i file in app separate.
La nuova funzionalità si chiama “Azioni AI” e attualmente funziona con immagini JPG, JPEG e PNG, consentendo di effettuare le seguenti operazioni:
- Rimuovi sfondo in Paint: ritaglia rapidamente lo sfondo di un’immagine, lasciando solo il soggetto;
- Rimuovi oggetti con l’app Foto: consente di rimuovere elementi indesiderati dalle foto utilizzando l’intelligenza artificiale generativa;
- Sfoca lo sfondo utilizzando l’app Foto: mette a fuoco il soggetto sfocando lo sfondo;
- Ricerca immagini con Bing Visual Search : la ricerca visiva con Bing trova immagini, oggetti, punti di riferimento e altro simili sul Web.
“Le azioni AI” in Esplora file semplificano e velocizzano il lavoro con i file: basta fare clic con il pulsante destro del mouse, ad esempio, per modificare un’immagine o ottenere un riepilogo di un documento”, affermano i rappresentanti Microsoft Amanda Langowski e Brandon LeBlanc.
Queste nuove funzionalità sono disponibili in Windows 11 Insider Preview Build 27938. Insieme a queste, è stata introdotta un’altra utile funzionalità: in Impostazioni > Privacy e sicurezza > Generazione di testo e immagini, viene ora visualizzato un elenco delle app di terze parti che hanno utilizzato di recente modelli di intelligenza artificiale generativa locale di Windows.
L’utente può visualizzare questa attività e gestire l’accesso di queste app alle funzionalità di intelligenza artificiale.
A inizio maggio, Microsoft ha anche introdotto gli agenti di intelligenza artificiale , assistenti intelligenti in grado di modificare le impostazioni di Windows con un comando vocale o di testo. Queste funzionalità sono ora disponibili sui PC Copilot+ e sui processori Snapdragon.
L'articolo Windows 11: Microsoft Rinnova Esplora file introducendo l’intelligenza artificiale proviene da il blog della sicurezza informatica.
This Week in Security: NPM, Kerbroasting, and The Rest of the Story
Two billion downloads per week. That’s the download totals for the NPM packages compromised in a supply-chain attack this week. Ninety-nine percent of the cloud depends on one of the packages, and one-in-ten cloud environments actually included malicious code as a result of the hack. Take a moment to ponder that. In a rough estimate, ten percent of the Internet was pwned by a single attack.
What extremely sophisticated technique was used to pull off such an attack? A convincing-looking phishing email sent from the newly registered npmjs.help domain. [qix] is the single developer of many of these packages, and in the midst of a stressful week, fell for the scam. We could refer to the obligatory XKCD 2347 here. It’s a significant problem with the NPM model that a single developer falling for a phishing email can expose the entire Internet to such risk.
And once that account was compromised, it didn’t take long for the mystery attacker to push malicious code. Within an hour, cryptocurrency stealing code was added to two dozen packages. Within a couple hours, the compromise was discovered and the cleanup effort began.
BREAKINGLARGEST SUPPLY CHAIN ATTACK IN HISTORY PULLS OFF MASSIVE CRYPTO HEIST
ATTACKS STEAL $20.05 OF ETH. ENTIRE WORLD CRUMBLING
— vx-underground (@vxunderground) September 8, 2025
While the attack was staggering in its breadth, in the end only a few hundred dollars worth of cryptocurrency was actually stolen as a result. Why was such a successful attack, when measured by deployment, so minimal in actual theft? Two reasons: First, the malware was only live for two hours before takedowns began. And a related second reason, the malicious code was specifically aimed at developer and end-user machines, while the majority of the installs were on servers and cloud deployments, where cryptocurrency transactions weren’t happening.
It brings to mind the question, what could have happened? Instead of looking for cryptocurrency to steal, if the malicious code was tailored to servers and stealth, how long would it have taken to detect? And is there malicious code on NPM and in other places that we just haven’t discovered yet?
SAP ERP CVEs
Let’s break down this Alphabet soup. SAP is an acronym for “Systems, Applications and Products in Data Processing”, a German company providing business software. ERP is their Enterprise Resource Planning software, and of course a CVE is a Common Vulnerabilities and Exposure. So to translate the acronyms, SAP’s accounting software has vulnerabilities. And in this case, CVE-2025-42944 is a ten out of ten on the CVSS severity scale.
In fact, there are four vulnerabilities altogether, all CVSS of nine or higher, and all in the underlying NetWeaver platform. SAP owned up to the problems, commenting that they operated as a backdoor, allowing unauthorized access. Patches are available for all of these issues, but some of them have been found in use in the wild.
Kerbroasting
You know it’s bad when a sitting US Senator can tell that your security has problems. Though before I read the article, I had a feeling it would be [Ron Wyden].
The issue here is Microsoft’s support for RC4 encryption in Active Directory. RC4, also known as ARC4, is a pseudorandom number generator developed at RSA in 1987. This continuing support leads to an attack known as kerberoasting.
Kerberos is one of the protocols that powers Active Directory. It works through a sort of ticket signing system. The server doing the signing takes a hash of a password and uses that hash as an encryption key to encrypt the Kerberos ticket. There are two possible problems. First, that password may be a human generated password, and therefore a weak password. And second, the legacy combination of RC4 and original NT hashing makes for extremely fast offline password guessing.
So here’s the kerberoasting attack: Take any account in the Active Directory, and request a Kerberos ticket, specifying the legacy RC4 encryption. Take this offline ticket to a modern CPU/GPU, and use Hashcat to crack that password, at a guess rate measured in the billions per second. Once that password is discovered, arbitrary Kerberos tickets can be signed, providing access to basically any account on the AD system.
This was part of the 2024 ransomware attack on Ascension health, and why the US senate is taking notice. What’s strange is how resistant Microsoft has been to fixing this issue. Microsoft states that RC4 only makes up .1% of traffic, which is nonsense, since the attack doesn’t rely on traffic. Finally in 2026, new installs of Windows server 2025 will disable RC4 by default.
Reverse Engineering and TLS Hacking
We get a great primer from [f0rw4rd] on how to defeat TLS certificates, in a very specific scenario. That scenario is reverse engineering an embedded or industrial Linux system. One of the tools you might want to use is to intercept traffic from the embedded system to some web server, but if that system uses HTTPS, it will fail to verify that certificate. What is a researcher to do?
One possible solution is to abuse LD_PRELOAD to poison the application. This approach uses dynamic library loading to insert a “malicious” library before program execution. tls-preloader is a tool to do exactly this, and supports multiple SSL/TLS libraries, allowing sniffing all that useful TLS data.
The Rest of the Story
Just recently we mentioned several 0-day vulnerabilities that were being used for in-the-wild attacks. This week we have updates on a couple of those. First is the iOS and macOS vulnerability in DNG image file processing. The basic issue is that this file type has a TIFF header that includes a SamplesPerPixel metadata, and a SOF3 section with a component count. A properly formatted file will have consistency between these two elements, and the Apple file processing didn’t handle such an inconsistency correctly, leading to memory corruption and potentially Remote Code Execution (RCE).
The other recent 0-day is a FreePBX flaw that was discovered through the presence of a clean.sh script on multiple FreePBX installs. The flaw was an automatic class loader that allowed an unauthenticated user to include module files when calling the ajax.php endpoint. One way to turn this into an exploit is SQL injection in one of the modules. This is what has been patched, meaning there are likely more exploits to find using this php injection quirk.
Bits and Bytes
The Apple CarPlay SDK had a buffer overflow that was reachable by a device connecting to the vulnerable head unit. Researchers from oligo discovered this flaw, and presented it at Def Con this year. The end result is root-level RCE, and while Apple has already published an SDK update, most cars are still vulnerable to this one.
And finally, enjoy [LaurieWired] taking a look at this year’s International Obfuscated C Code Contest (IOCCC) winners. This contest is all about pushing the limits in how terrifying C code can be, while still compiling and doing something interesting. And these entries don’t disappoint.
youtube.com/embed/by53T03Eeds?…
Everything You Ever Wanted to Know about the Manhattan Project (But Were Afraid to Ask)
There have been plenty of books and movies about how the Manhattan Project brought together scientists and engineers to create the nuclear bomb. Most of them don’t have a lot of technical substance, though. You know — military finds genius, genius recruits other geniuses, bomb! But if you want to hear the story of the engineering, [Brian Potter] tells it all. We mean, like, all of it.
If you’re looking for a quick three-minute read, you’ll want to give this a pass. Save it for a rainy afternoon when you can settle in. Even then, he skips past a lot of what is well known. Instead, he spends quite a bit of time discussing how the project addressed the technical challenges, like separating out U235.
Four methods were considered for that task. Creating sufficient amounts of plutonium was also a problem. Producing a pound of plutonium took 4,000 pounds of uranium. When you had enough material, there was the added problem of getting it together fast enough to explode instead of just having a radioactive fizzle.
There are some fascinating tidbits in the write-up. For example, building what would become the Oak Ridge facility required conductors for electromagnets. Copper, however, was in short supply. It was wartime, after all. So the program borrowed another good conductor, silver, from the Treasury Department. Presumably, they eventually returned it, but [Brian] doesn’t say.
There’s the old story that they weren’t entirely sure they wouldn’t ignite the entire atmosphere but, of course, they didn’t. Not that the nuclear program didn’t have its share of bad luck.
How Strong of a Redbull Can You Make?
Energy drinks are a staple of those who want to get awake and energetic in a hurry. But what if said energy is not in enough of a hurry for your taste? After coming across a thrice concentrated energy drink, [Nile Blue] decided to make a 100 times concentrated Redbull.
Energy drinks largely consist of water with caffeine, flavoring and sugar dissolved inside. Because a solution can only be so strong, so instead of normal Redbull, a sugar free variant was used. All 100 cans were gathered into a bucket to dry the mixture, but first, it had to be de-carbonated. By attaching a water agitator to a drill, all the carbon dioxide diffused in the water fell out of solution. A little was lost after the Redbull was lost, but the process worked extremely well.
From there, the Redbull was moved to a fancy vortex drying machine. While simply evaporating the water in a food dehydrator is an option, it takes a very long time and does not preserve the flavor. The solution to patience is expensive machines from China. This particular machine works by shooting in a mist of liquid into a vortex of hot air. This causes the solids to fall out of solution and separate into a powder which is collected. Much of the powder got caked in the vortex funnel and with much effort, a portion of it was removed by a chisel, and washing with water. Of course, the portion washed with water had to be dried in a food dehydrator, which took ten days. Unfortunately, the machine did not work perfectly and about 33.5 cans worth of Redbull powder where lost along the way.
To math the volume of a standard can of Redbull, all 250 grams of powder would need to be dissolved in a mere 250ml of water, a theoretical 67 times concentrated Redbull. While it did mostly dissolve into a somewhat grainy thick sludge, the powder added so much volume it ended up being equivalent to a 37 times concentration. A mere 7ml of this concoction amounts to a single Redbull, likely the strongest concentration of Redbull possible. Of course, for the full Redbull experience, the sludge was carbonated and finally packaged in an appropriate jar.
If you like strange and potentially dangerous chemistry hacks, make sure to check out this gold nonparticipant fabrication project next!
youtube.com/embed/7arjH-sGWFM?…
Presunta violazione al Comune di Firenze: accesso e dati in vendita nel Dark Web
Un nuovo annuncio comparso in un forum underground solleva preoccupazioni sulla sicurezza dei dati dei cittadini italiani. L’utente con nickname krektti ha messo in vendita quello che descrive come l’accesso e i database del Comune di Firenze, per la cifra di 1.500 dollari.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
I dettagli del post
Nel messaggio pubblicato poche ore fa, il venditore specifica:
- Target: Comune di Firenze (comune.fi.it)
- Prezzo richiesto: 1.500 dollari
- Contatto: messaggi privati o session key
- Contenuto presunto: campioni di dati strutturati che richiamerebbero un archivio anagrafico, con campi come idVia, idResidente, codice fiscale, nome, cognome, data di nascita, numero civico e codice famiglia.
Se i dati fossero autentici, sarebbero altamente sensibili e appetibili per attività criminali come frodi, furti d’identità o attacchi di social engineering mirati.
La reputazione del threat actor
Nel contesto dei forum underground, la reputazione è un elemento fondamentale che determina la credibilità e l’affidabilità di un venditore. L’utente krektti, autore del post, risulta avere un livello di reputazione elevato all’interno della piattaforma (81 punti) e lo status di “GOD”, segno che ha già effettuato numerose interazioni con successo nella community.
Questo non certifica automaticamente l’autenticità dei dati messi in vendita, ma rappresenta un segnale importante: in ambienti cybercriminali, una buona reputazione riduce il rischio per gli acquirenti di cadere in truffe e rende più probabile che l’autore sia realmente in possesso del materiale offerto. Di conseguenza, gli annunci di krektti vengono percepiti con maggiore serietà rispetto a quelli di venditori alle prime armi o con scarsa affidabilità.
Nessuna conferma ufficiale, ma un precedente
Al momento, non esistono comunicati stampa o note ufficiali da parte del Comune di Firenze o delle autorità competenti. Non è quindi possibile stabilire se si tratti di una reale violazione, di una frode (con dati falsi o riciclati da altre fonti) o di un tentativo di trarre profitto sfruttando l’effetto annuncio.
È interessante notare che lo stesso utente, solo nella giornata di ieri, aveva pubblicato un altro annuncio relativo al Comune di Canegrate, in provincia di Milano. Anche in quel caso sosteneva di aver ottenuto accesso ai sistemi e ai dati anagrafici. Questa sequenza di post fa sorgere spontanee alcune domande: perché concentrare l’attenzione sull’Italia?
Initial Access Broker e dinamiche criminali
Il comportamento osservato richiama quello degli Initial Access Broker (IAB): attori che si specializzano nel penetrare reti e sistemi, per poi rivendere l’accesso o i dati a gruppi più organizzati, ad esempio operatori di ransomware.
In questo caso, krektti potrebbe non avere alcun interesse diretto a sfruttare i dati, ma solo a monetizzare la compromissione vendendo il “pass” a qualcun altro.
La presunta violazione al Comune di Firenze, insieme al precedente annuncio riguardante Canegrate, rafforza l’idea che l’Italia sia sempre più attenzionata nei mercati cybercriminali. Anche se non ci sono conferme ufficiali, la sola pubblicazione di questi annunci dovrebbe spingere enti locali e istituzioni a rafforzare i propri sistemi di difesa e ad avviare monitoraggi preventivi.
L'articolo Presunta violazione al Comune di Firenze: accesso e dati in vendita nel Dark Web proviene da il blog della sicurezza informatica.
How the TI-99/4A Home Computer Worked
Over on YouTube [The 8-Bit Guy] shows us how the TI-99/4A home computer worked.
[The 8-Bit Guy] runs us through this odd 16-bit home computer from back in the 1980s, starting with a mention of the mysterious extra “space” key on its antiquated keyboard. The port on the side is for two joysticks which share a bus, but you can find boards for compatibility with “newer” hardware, particularly the Atari-style joysticks which are easier to find. The AV port on the back is an old 5-pin DIN such as was typical from Commodore and Atari at the time (also there is a headphone port on the front). The other DB9 port on the back of the device is the port for the cassette interface.
The main cartridge interface is on the front right of the machine, and there’s a smaller expansion socket on the right hand side. The front interface is for loading software (on cartridges) and the side interface is for peripherals. The system boots to a now famous “press any key” prompt. (We know what you’re thinking: “where’s the any key!?” Thanks Homer.)
One curiosity is that when the system is waiting for a command the screen background color is a light blue, and when it’s running a command the background color changes to a light green. [The 8-bit Guy] demos some equation calculator software which has support for variables and expressions. In addition to the equation calculator the same cartridge has a version of BASIC (called TI BASIC) and a version of Space Invaders (called TI INVADERS). (Yes, the interface is all uppercase.)
When they were designing the system the TI-99/4A engineers had been considering an 8-bit CPU but they settled on the 16-bit TMS9900 instead. However, much of the board had already been designed for an 8-bit CPU, which lead it to being a bit of a weird hybrid. The CPU only has 15 address lines but it makes up for it by addressing two bytes at a time, allowing it to read up to 64K.
[The 8-Bit Guy] goes on to discuss the computer architecture, the Graphic Programming Language (GPL), and its various BASIC implementations. Also the internals of the cartridges are explored along with the Video Display Processor (VDP) which supported rudimentary graphics mode (32×24 characters with 15 colors and 32 sprites) in addition to a text mode (40×24 characters). The 4-voice sound generator chip was the SN76489, this chip proved to be useful in many other products as well.
[The 8-Bit Guy] finishes his video with a look at the expansion capabilities, which basically just daisy chain off the right hand side. Each of the peripheral devices demands its own power supply too!
If you’re interested in the TI-99/4A check out Persistence Pays In TI-99/4A Cassette Tape Data Recovery and Don’t Mess With Texas – The TI-99/4A Megademo.
youtube.com/embed/-0Jtv8hvau4?…
Analog Optical Computer for Inference and Combinatorial Optimization
Although computers are overwhelmingly digital today, there’s a good point to be made that analog computers are the more efficient approach for specific applications. The authors behind a recent paper in Nature are arguing that inference – essential for LLMs – can be done significantly more efficiently using an analog optical computer (AOC).
As the authors describe it, the function of this AOC is to perform a fixed-point search using only optical and analog electronic components. The optics handle the matrix-vector multiplications, while the analog components handle the non-linear operations, subtractions and annealing. This is performed in 20 ns cycles until noise has been reduced to an acceptable level, considering the analog nature of the computer. A big advantage here is that no analog-digital conversions are required as with other (digital) hybrid systems.
So far a small-scale AOC has been constructed for tasks like image classification and non-linear regression tasks, with the authors claiming the AOC being over a hundred times more efficient than current GPU-derived vector processors.
6502 Puts on an SDR Hat
The legendary 6502 microprocessor recently turned 50 years old, and to celebrate this venerable chip which brought affordable computing and video gaming to the masses [AndersBNielsen] decided to put one to work doing something well outside its comfort zone. Called the PhaseLoom, this project uses a few other components to bring the world of software-defined radio (SDR) to this antique platform.
The PhaseLoom is built around an Si5351 clock generator chip, which is configurable over I2C. This chip is what creates the phase-locked loop (PLL) for the radio. The rest of the components, including antenna connectors and various filters, are in an Arduino-compatible form factor that let it work as a shield or hat for the 65uino platform, an Arduino-form-factor 6502 board. The current version [Anders] has been working on is dialed in to the 40-meter ham band, with some buttons on the PCB that allow the user to tune around within that band. He reports that it’s a little bit rough around the edges and somewhat noisy, but the fact that the 6502 is working as an SDR at all is impressive on its own.
For those looking to build their own, all of the schematics and code are available on the project’s GitHub page. [Anders] has some future improvements in the pipe for this project as well, noting that with slightly better filters and improved software even more SDR goodness can be squeezed out of this microprocessor. If you’re looking to experiment with SDR using something a little bit more modern, though, this 10-band multi-mode SDR based on the Teensy microcontroller gets a lot done without breaking the bank.
Multi-Use Roof Eliminates Roof
One of the biggest downsides of installing solar panels on a rooftop is that maintenance of the actual roof structure becomes much more difficult with solar panels in the way. But for many people who don’t have huge tracts of land, a roof is wasted space where something useful could otherwise go. [Mihai] had the idea of simply eliminating traditional roofing materials altogether and made half of this roof out of solar panels directly, with the other half being put to use as a garden.
Normally solar panels are installed on top of a roof, whether it’s metal or asphalt shingles or some other material, allowing the roof to perform its normal job of keeping weather out of the house while the solar panels can focus on energy generation. In this roof [Mihai] skips this step, having the solar panels pull double duty as roof material and energy generation. In a way this simplifies things; there’s less to maintain and presumably any problems with the roof can be solved by swapping out panels. But we would also presume that waterproofing it might be marginally more difficult.
On the antisolar side of the roof, however, [Mihai] foregoes the solar panels in favor of a system that can hold soil for small garden plants. Putting solar panels on this side of the roof wouldn’t generate as much energy but the area can still be useful as a garden. Of course we’d advise caution when working on a garden at height, but at least for the solar panels you can save some trips up a ladder for maintenance by using something like this robotic solar panel scrubber.
youtube.com/embed/yZRalp4EQG4?…
Round and Round with a Tape Delay Synth
Over the years we’ve been entertained by an array of musical projects from [Look Mum No Computer], and his latest is no exception. It’s a tape delay, loop generator, and synth all in one. Confused? That’s what you get if you position a load of tape heads around a rotating disk with magnetic tape on its perimeter.
Taking a circular piece of inch-thick Perspex, he wraps a length of one inch tape round its perimeter. This is placed as though it were a turntable on a stepper motor with variable speed, and the tape heads are positioned around its edge. Each read head feeds its own preamp which in turn drives a mixer array, and there’s also a record head and an erase head. If you’ve ever played with tape loops you’ll immediately understand the potential for feedback and sequence generation to make interesting sounds. There’s a lot of nuance to the build, in designing the mount for the motor to stop the enclosure flexing, in using a gearbox for increased torque, and in balancing the disk.
The result is as much an effect as it is an instrument in its own right, particularly in its prototype phase when the read head was movable. We’re treated to a demo/performance, and we look forward to perhaps seeing this in person at some point. There’s a future video promised in which a fix should come for a click caused by the erase circuitry, and he’ll male a more compact enclosure for it.
youtube.com/embed/0QbylUT7fos?…
Dragon is the Latest, and Final, Craft to Reboost ISS
The International Space Station has been in orbit around the Earth, at least in some form, since November of 1998 — but not without help. In the vacuum of space, an object in orbit can generally be counted on to remain zipping around more or less forever, but the Station is low enough to experience a bit of atmospheric drag. It isn’t much, but it saps enough velocity from the Station that without regular “reboosts” to speed it back up , the orbiting complex would eventually come crashing down.
Naturally, the United States and Russia were aware of this when they set out to assemble the Station. That’s why early core modules such as Zarya and Zvezda came equipped with thrusters that could be used to not only rotate the complex about all axes, but accelerate it to counteract the impact of drag. Eventually the thrusters on Zarya were disabled, and its propellant tanks were plumbed into Zvezda’s fuel system to provide additional capacity.
Visiting spacecraft attached to the Russian side of the ISS can transfer propellant into these combined tanks, and they’ve been topped off regularly over the years. In fact, the NASA paper A Review of In-Space Propellant Transfer Capabilities and Challenges for Missions Involving Propellant Resupply, notes this as one of the most significant examples of practical propellant transfer between orbital vehicles, with more than 40,000 kgs of propellants pumped into the ISS as of 2019.
But while the thrusters on Zvezda are still available for use, it turns out there’s an easier way to accelerate the Station; visiting spacecraft can literally push the orbital complex with their own maneuvering thrusters. Of course this is somewhat easier said than done, and not all vehicles have been able to accomplish the feat, but over the decades several craft have taken on the burden of lifting the ISS into a higher orbit.
Earlier this month, a specially modified SpaceX Cargo Dragon became the newest addition to the list of spacecraft that can perform a reboost. The craft will boost the Station several times over the rest of the year, which will provide valuable data for when it comes time to reverse the process and de-orbit the ISS in the future.
Reboosting the Russian Way
By far the easiest way for a visiting spacecraft to reboost the ISS is to dock with the rear of the Zvezda module. This not only places the docked spacecraft at what would be considered the “rear” of the Station given its normal flight orientation, but puts the craft as close as possible to the Station’s own thrusters. This makes it relatively easy to compute the necessary parameters for the thruster burn.
Historically, reboosts from this position have been performed by the Russian Progress spacecraft. Introduced in 1978, Progress is essentially an uncrewed version of the Soyuz spacecraft, and like most of Russia’s space hardware, has received various upgrades and changes over the decades. Progress vehicles are designed specifically for serving long-duration space stations, and were used to bring food, water, propellants, and cargo to the Salyut and Mir stations long before the ISS was even on the drawing board.
Reboosts could also be performed by the Automated Transfer Vehicle (ATV). Built by the European Space Agency (ESA), the ATV was essentially the European counterpart to Progress, and flew similar resupply missions. The ATV had considerably greater cargo capacity, with the ability to bring approximately 7,500 kg of materials to the ISS compared to 2,400 kg for Progress.
Only five ATVs were flown, from 2008 to 2014. There were several proposals to build more ATVs, including modified versions that could potentially even carry crew. None of these versions ever materialized, although it should be noted that the design of the Orion spacecraft’s Service Module is based on the ATV.
American Muscle
Reboosting the ISS from the American side of the Station is possible, but involves a bit more work. For one thing, the entire Station needs to flip over, as the complex’s normal orientation would have the American docking ports facing fowards. Of course, there’s really no such thing as up or down in space, so this maneuver doesn’t impact the astronauts’ work. There are however various experiments and devices aboard the Station that are designed to point down towards Earth, so this reorientation can still be disruptive.
As described in the “AUTO REBOOST” section of the STS-129 Orbit Operations Checklist, the Shuttle’s computer would actually be given control of the maneuvering systems of the ISS so the entire linked structure can be rotated into the correct position. A diagram in the Checklist even shows the approximate angle the vehicle’s should be at for the Shuttle’s maneuvering thrusters to line up properly.
With the retirement of the Space Shuttle in 2011, maintaining the Station’s orbit became the sole domain of the Russians until 2018, when the Cygnus became the first commercial spacecraft to perform a reboost. The cargo spacecraft had a swiveling engine which helped get the direction of thrust aligned, but the Station did still need to rotate to get into the proper position.
After performing a second reboost in 2022, the Cygnus spacecraft was retired. It’s replacement, the upgraded Cygnus XL — is currently scheduled to launch its first mission to the ISS no earlier than September 14th.
Preparing for the Final Push
That brings us to the present day, and the Cargo Dragon. SpaceX had never designed the spacecraft to perform a reboost, and indeed, it would at first seem uniquely unsuited for the task as its “Draco” maneuvering thrusters are actually located on the front and sides of the capsule. When docked, the primary thrusters used for raising and lowering the Dragon’s own orbit are essentially pressed up against the structure of the ISS, and obviously can’t be activated.
To make reboosting with the Dragon possible, SpaceX added additional propellant tanks and a pair of rear-firing Draco thrusters within the spacecraft’s un-pressurized “trunk” module. This hollow structure is usually empty, but occasionally will hold large or bulky cargo that can’t fit inside the spacecraft itself. It’s also occasionally been used to deliver components destined to be mounted to the outside of the ISS, such as the for the outside of the ISS, such as the International Docking Adapter (IDA) and the roll-out solar panels.
While the ability to have the Dragon raise the orbit of the International Space Station obviously has value to NASA, the implications of this experiment go a bit farther.
SpaceX has already been awarded the contract to develop and operate the “Deorbit Vehicle” which will ultimately be used to slow down the ISS and put it on a targeted reentry trajectory sometime after 2030. Now that the company has demonstrated the ability to add additional thrusters and propellant to a standard Dragon spacecraft via a module installed in the trunk, it’s likely that the Deorbit Vehicle will take a similar form.
So while the development of this new capability is exciting from an operational standpoint, especially given deteriorating relations with Russia, it’s also a reminder that the orbiting laboratory is entering its final days.
4-bit Single Board Computer Based on the Intel 4004 Microprocessor
[Scott Baker] is at it again and this time he has built a 4-bit single board computer based on the Intel 4004 microprocessor.
In the board design [Scott] covers the CPU (both the Intel 4004 and 4040 are supported), and its support chips: the 4201A clock-generator, its crystal, and the 4289 Standard Memory Interface. The 4289 irons out the 4-bit interface for use with 8-bit ROMs. Included is a ATF22V10 PLD for miscellaneous logic, a 74HCT138 for chip-select, and a bunch of inverters for TTL compatibility (the 4004 itself uses 15 V logic with +5 V Vss and -10 V Vdd).
[Scott] goes on to discuss the power supply, ROM and page mapper, the serial interface, the RC2014 bus interface, RAM, and the multimodule interface. Then comes the implementation, a very tidy custom PCB populated with a bunch of integrated circuits, some passive components, a handful of LEDs, and a few I/O ports. [Scott] credits Jim Loo’s Intel 4004 SBC project as the genesis of his own build.
If you’re interested in seeing this board put to work check out the video embedded below. If you’d like to know more about the 4004 be sure to check out Supersize Your Intel 4004 By Over 10 Times, The 4004 Upgrade You’ve Been Waiting For, and Calculating Pi On The 4004 CPU, Intel’s First Microprocessor.
youtube.com/embed/ylq7cijFTRA?…
FreeCAD Foray: Good Practices
Last time, we built a case for a PCB that handles 100 W of USB-C power, an old project that I’ve long been aiming to revive. It went well, and I’d like to believe you that the article will give you a much-needed easy-to-grasp FreeCAD introduction, Matrix knowledge upload style, having you designing stuff in no time.
Apart from my firm belief in the power of open-source software, I also do believe in social responsibilities, and I think I have a responsibility to teach you some decent FreeCAD design practices I’ve learned along the way. Some of them are going to protect your behind from mistakes, and some of them will do that while also making your project way easier to work with, for you and others.
You might not think the last part about “others” matters, but for a start, it matters in the ideal world that we’re collectively striving towards, and also, let’s be real, things like documentation are half intended for external contributors, half for you a year later. So, here’s the first FreeCAD tip that will unquestionably protect you while helping whoever else might work with the model later.
Okay, we’re all hackers, so I’ll start with zero-th FreeCAD tip – press Ctrl+S often. That’ll help a ton. Thankfully, FreeCAD’s autorecovery system has made big leaps, and it’s pretty great in case FreeCAD does crash, but the less you have to recover, the better. Now, onto the first tip.
Name Your Bodies, Always
The button is F2. That’s it. Click on your models in the tree view and give them a name. Do it for all extrudes, cuts, and even fillets/chamfers. You don’t have to do it for sketches, since those are always contained within an extrusion. If at all possible, do it immediately, make it a habit.
Why? Because names make it clear what the extrusion/cut/fillet is for, and you’ll be thankful for it multiple times over when modifying your model or even just looking at it the next morning. Also, it makes it way easier to avoid accidentally sending the wrong 3D model to your printer.
How to make naming easier? I’ve figured out an easy and apt naming scheme, that you’ve seen in action in the previous article. For Fusions, I do “primary object +addition” or “with addition”, mentioning just the last addition. So, “Bottom case +cutouts” is a cut that contains “Bottom case +logo” and “Cutouts”, “Bottom case +logo” is a cut that contains “Bottom case” and “Logo”, and “Bottom case” contains “Bottom floor” and “Bottom walls”.
It’s not a perfect scheme, but it avoids verbosity and you have to barely think of the names. Don’t shy away from using words like “pip” and “doohickey” if the word just doesn’t come to your mind at the moment – you’re choosing between a project that’s vaguely endearing and one that’s incomprehensible, so the choice is obvious. Naming your models lets you avoid them becoming arcane magic, which might sound fun at a glance until you realize there’s already an object of arcane magic in your house, it’s called a “3D printer”, and you’ve had enough arcane magic in your life.
Last but not least, to hack something is know learn its true name, and whatever your feature is, there’s no truth in “Cut034”. By the way, about FreeCAD and many CAD packages before it, they’ve been having a problem with true names, actually, it’s a whole thing called Topological Naming Problem.
Naming Is Hard, Topology Is Harder
How do you know where a feature really is? For instance, you take a cube, and you cut two slots into the same side. How does the CAD package ensure that the slots are on the same side? One of the most popular options for it is topological naming. So, a cube gets its faces named Face1 through Face6, and as you slowly turn that cube into, say, a Minecraft-style hand showing a middle finger, each sketch remembers the name of the side you wanted it attached to.
Now, imagine the middle finger hand requires a hole inside of it, and it has to be done at from very start, which means you might need to go back to the base cube and add that hole. All of a sudden, there will be four new faces to the internal cube that holds the finger sketches, and these new faces will need names, too. Best case, they’ll be named Face7 through Face10 – but that’s a best case and the CAD engine needs to ensure to always implement it properly, whereas real world models aren’t as welcoming. Worst case, the faces will be renumbered anew, the sketch-to-face mapping will change which faces get which names, and the model of the hand will turn into a spider. Spooky!
It’s not Halloween just yet, and most regretfully, people don’t tend to appreciate spiders in unexpected places. Even more sadly, this retrospective renaming typically just results in your sketches breaking in a “red exclamation mark” way, since it’s not just sketch-to-face mappings that get names, it’s also all the little bits of external geometry that you’ll definitely invoke if you want to avoid suffering. Every line in your sketch has an invisible name and a number, and external geometry lines will store – otherwise, they couldn’t get updated when you change the base model under their feet, as one inevitably does.
This used to be a big problem with FreeCAD, and it still kind of is, but it’s by no means exclusive to FreeCAD. Hell, I remember dealing with something similar back when my CAD (computer-aided despair) suite of choice was SolidWorks. It’s not an easy problem to solve, because of the innumerable ways you can create and then modify a 3D object; every time you think you’ll have figured out a solution to the horrors, your users will come up with new and more intricate horrors beyond your comprehension.
FreeCAD v1.0 has clamped down on a large amount of topological naming errors. They still exist; one simple way I can trigger it is to make a cutout in a cube, make a sketch that external-geometry-exports the cut-in-half outwards-facing line of the cube, and then go back and delete the cutout. It makes sense that it happens, but oh do I wish it didn’t, and it makes for unfun sketch fixing sessions.
How To Stay Well Away
Now, I’m no stranger to problems caused by name changes, and I’m eager to share some of what I’ve learned dealing with FreeCAD’s names in particular.
The first solution concerns cutouts, as they specifically might become the bane of your model. If you have a ton of features planned, just delay doing the cutouts up until you’ve done all the basics of the case that you might ever want to rely on. Cutouts might and often will change, and if your board changes connector or button positions, you want to be able to remake them without ever touching the rest of the sketch. So, build up most of your model, and closer to the end, do the case cutouts, so that external geometry can rely on walls and sides that will never change.
Next, minimize the number of models you’re dealing with, so that you have less places where external geometry has to be involved. If you need to make a block with a hole all the way through, do it in one sketch instead of doing two extrudes and a cut. You’ll thank yourself, both because you’ll have less opportunity for topo naming errors, but also because you have fewer model names to think up.
The third thing is what I call the cockroach rule. If you see a cockroach in your house, you back off slowly, set the house on fire, and then you get yourself a different house, making sure you don’t bring the cockroach into the new house while at it. Same can apply here – if you remove a feature in the base model and you see the entire tree view light up with red exclamation marks, click “Close” on the document, press “Discard changes”, open the document again, and do whatever you wanted to do but in a different way.
Why reload? Because Ctrl+Z does not always help with such problems, as much as it’s supposed to. This does require that you follow the 0th rule – press Ctrl+S often, and it also requires that you don’t press Ctrl+S right after making those changes, so, change-verify-enter. Thankfully, FreeCAD will unroll objects in the model tree when one of the inner object starts to, so just look over the model tree after doing changes deep inside the model, and you’ll be fine. This is also where keeping your models in a Git repo is super helpful – that way, you can always have known-good model states to go back to.
Good Habits Create Good Models
So, to recap. Save often, give your models names, understand topo naming, create cutouts last if at all possible, keep your models simple, and when all fails, nuke it from orbit and let your good habits cushion the fall. Simple enough.
I’ll be on the lookout for further tips for you all, as I’ve got a fair few complex models going on, and the more I work with them, the more I learn. Until then, I hope you can greatly benefit from these tips, and may your models behave well through your diligent treatment.
Una RCE in Apple CarPlay consente l’accesso root ai sistemi di infotainment dei veicoli
Alla conferenza di sicurezza DefCon, è stata presentata una rilevante catena di exploit da parte dei ricercatori, la quale permette a malintenzionati di acquisire l’autorizzazione di amministratore ai sistemi di intrattenimento dei veicoli attraverso Apple CarPlay.
L’attacco noto come “Pwn My Ride” prende di mira una serie di vulnerabilità presenti nei protocolli che governano il funzionamento del CarPlay wireless. Queste vulnerabilità possono essere sfruttate per eseguire codice remoto (RCE) sull’unità multimediale del veicolo, mettendo a rischio la sicurezza del sistema.
L’attacco, nella sua natura, consiste in una sequenza di debolezze insite nei protocolli che regolano il CarPlay wireless. Ciò consente l’esecuzione remota di codice sull’unità multimediale del veicolo, permettendo potenzialmente agli aggressori di assumere il controllo del sistema.
Al centro di questo exploit c’è CVE-2025-24132, un grave stack buffer overflow all’interno dell’SDK del protocollo AirPlay. Gli studiosi di Oligo Security hanno spiegato in dettaglio come questa falla possa attivarsi quando un intruso si infiltra nella rete Wi-Fi del veicolo.
La vulnerabilità colpisce un ampio spettro di dispositivi che utilizzano versioni di AirPlay Audio SDK precedenti alla 2.7.1, versioni di AirPlay Video SDK precedenti alla 3.6.0.126, nonché versioni specifiche del plug-in di comunicazione CarPlay.
Sfruttando questo stack buffer overflow, un aggressore può eseguire codice arbitrario con privilegi elevati, prendendo di fatto il controllo del sistema di infotainment. L’attacco inizia prendendo di mira la fase iniziale di connessione wireless di CarPlay, che si basa su due protocolli fondamentali: iAP2 (iPod Accessory Protocol) tramite Bluetooth e AirPlay tramite Wi-Fi.
I ricercatori hanno scoperto una falla fondamentale nel processo di autenticazione iAP2. Sebbene il protocollo imponga che l’auto autentichi il telefono, trascura l’autenticazione reciproca, consentendo al telefono di non essere verificato dal veicolo. Questa autenticazione unilaterale consente al dispositivo di un hacker di mascherarsi da iPhone legittimo.
Successivamente, l’intruso può effettuare l’associazione con il Bluetooth del veicolo, spesso senza un codice PIN a causa della prevalenza della modalità di associazione non sicura “Just Works” su molti sistemi. Una volta effettuato l’accoppiamento, l’hacker sfrutta la vulnerabilità iAP2 inviando un RequestAccessoryWiFiConfigurationInformationcomando, ingannando di fatto il sistema e inducendolo a rivelare l’SSID e la password Wi-Fi del veicolo.
Con le credenziali Wi-Fi in mano, l’aggressore ottiene l’accesso alla rete del veicolo e attiva CVE-2025-24132 per proteggere l’accesso root. L’intero processo può essere eseguito come un attacco senza clic su numerosi veicoli, senza richiedere alcuna interazione da parte del conducente.
Sebbene Apple abbia rilasciato una patch per l’SDK AirPlay vulnerabile nell’aprile 2025, i ricercatori hanno notato che, secondo il loro ultimo rapporto, nessun produttore automobilistico aveva implementato la correzione, secondo Oligo Security.
A differenza degli smartphone, che beneficiano di regolari aggiornamenti over-the-air (OTA), i cicli di aggiornamento del software dei veicoli sono notoriamente lunghi e frammentati.
L'articolo Una RCE in Apple CarPlay consente l’accesso root ai sistemi di infotainment dei veicoli proviene da il blog della sicurezza informatica.
Old Phone Upcycled Into Pico Projector, ASMR
To update an old saying for the modern day, one man’s e-waste is another man’s bill of materials. Upcycling has always been in the hacker’s toolkit, and cellphones provide a wealth of resources for those bold enough to seize them. [Huy Vector] was bold enough, and transformed an old smartphone into a portable pico projector and an ASMR-style video. That’s what we call efficiency!
Kidding aside, the speech-free video embedded below absolutely gives enough info to copy along with [Huy Vector] even though he doesn’t say a word the whole time. You’ll need deft hands and a phone you really don’t care about, because one of the early steps is pulling the LCD apart to remove the back layers to shine an LED through. You’ll absolutely need an old phone for that, since that trick doesn’t apply to the OLED displays that most flagships have been rocking the past few years.
The projected image looks surprisingly good considering the only optics in this thing are the LCD and the lens from a 5x magnifying glass from AliExpress. The foam board case, too, ends up looking surprisingly good once the textured vinyl wrap is applied. That’s a quick and easy way to get a nice looking prototype, if you don’t particularly need durability.
It’s not the brightest screen you can build, nor the highest resolution projector we’ve seen– but it might just be the easiest such build we’ve featured. As long as you handle the tricky LCD disassembly step, this is absolutely something we could see doing with children, which isn’t always the case on Hackaday.
youtube.com/embed/hx1keLrcFGw?…
Un bug in Google Drive consente l’accesso ai file di altre persone su desktop condivisi
Milioni di persone e aziende si affidano a Google Drive per archiviare contratti, report, foto e documenti di lavoro, utilizzando il client desktop di Windows per sincronizzare i file tra cartelle locali e cloud. Ma è stata proprio questa applicazione a rivelarsi vulnerabile: è stato scoperto un grave bug che consente a chiunque, su un computer condiviso, di ottenere l’accesso completo ai contenuti dell’account Google Drive di qualcun altro senza dover richiedere una nuova autorizzazione.
I ricercatori hanno scoperto che il programma salva copie dei dati sincronizzati in una cartella DriveFS nascosta all’interno del profilo di Windows. Questa directory dovrebbe essere accessibile solo al proprietario, ma l’applicazione non verifica i diritti di accesso quando si connette alla cache. È sufficiente copiare il contenuto della cartella DriveFS di un altro utente sul proprio profilo, dopodiché il client caricherà i dati di qualcun altro come se fossero propri. All’avvio, Google Drive Desktop percepisce la cache trasferita come legittima, aggirando i controlli di autenticazione e consentendo l’accesso ai file personali e aziendali.
Un test pratico ha dimostrato che su Windows 10 e 11 con versione client 112.0.3.0 la procedura è elementare: l’aggressore accede a Google Drive con il proprio account, chiude l’applicazione, copia la directory DriveFS della vittima (C:/Users/[vittima]/AppData/Local/Google/DriveFS/[ID]) nella propria directory (C:/Users/[attaccante]/AppData/Local/Google/DriveFS/[ID]) e riavvia il programma. Di conseguenza, ottiene pieno accesso all’unità principale della vittima, nonché a tutte le unità condivise, senza password o notifiche.
Codici sorgente, bilanci finanziari, foto personali e qualsiasi altro documento sono in formato aperto.
Questo meccanismo viola i principi fondamentali di Zero Trust, che richiedono la verifica obbligatoria dell’identità a ogni accesso, e compromette anche la protezione associata alla crittografia dei dati. I file nella cache vengono archiviati in chiaro e possono essere utilizzati da chiunque abbia accesso al sistema. Ciò è in contrasto con gli standard e le normative NIST, ISO 27001, GDPR e HIPAA, che prevedono un rigoroso isolamento e una verifica periodica delle credenziali.
Fino al rilascio di una correzione, si consiglia alle organizzazioni di interrompere l’utilizzo di Google Drive Desktop su computer con più utenti. Le misure temporanee includono la cancellazione della cache quando si cambia account, l’utilizzo di profili Windows separati con diritti di accesso rigorosi e la limitazione dell’esecuzione del client solo su dispositivi attendibili. Per risolvere definitivamente il problema, Google dovrebbe implementare la crittografia individuale dei dati memorizzati nella cache, un nuovo accesso obbligatorio quando si monta una cartella e autorizzazioni rigorose a livello di file system.
Dato che una percentuale significativa di perdite è causata da personale interno, affidarsi a una cache non protetta diventa una minaccia diretta. Finché l’azienda non colma questa lacuna, utenti e reparti IT corrono il rischio di accesso non autorizzato ai dati più critici .
L'articolo Un bug in Google Drive consente l’accesso ai file di altre persone su desktop condivisi proviene da il blog della sicurezza informatica.
Comune di Canegrate: presunta violazione e vendita di database e accessi
Nella giornata di ieri, su un noto forum underground frequentato da cyber criminali, è apparso un post che riguarda direttamente il Comune di Canegrate (Milano, Italia).
L’annuncio è stato pubblicato da un utente con nickname “krek1i”, attivo dal mese di aprile 2025 e con una reputazione di 81 punti, indice di una certa affidabilità all’interno della community underground. Lo stesso utente vanta decine di post e thread aperti, fattori che lo rendono un profilo consolidato nell’ambiente.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Nel messaggio, il criminale informatico sostiene di essere in possesso di un database e degli accessi ai sistemi del Comune di Canegrate, offrendo il tutto in vendita per la cifra di 500 dollari.
A corredo dell’annuncio sono stati pubblicati alcuni sample per dimostrare l’autenticità del materiale. Dall’analisi di tali sample emergono i seguenti elementi potenzialmente sensibili:
- dati personali di cittadini e utenti;
- account e password associati ai sistemi compromessi;
- schemi di database con numerose tabelle, a conferma di un’ampia quantità di informazioni potenzialmente esfiltrate.
Al momento, sul sito ufficiale del Comune di Canegrate non sono presenti comunicazioni in merito alla presunta violazione. Non si hanno quindi conferme ufficiali su quanto dichiarato dal criminale informatico.
Se confermata, la compromissione rappresenterebbe un grave incidente di sicurezza informatica ai danni di un ente pubblico locale, con possibili ripercussioni sulla protezione dei dati personali dei cittadini.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione dell’organizzazione qualora voglia darci degli aggiornamenti su questa vicenda e saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.
L'articolo Comune di Canegrate: presunta violazione e vendita di database e accessi proviene da il blog della sicurezza informatica.
Debugging vs Printing
We’ll admit it. We have access to great debugging tools and, yes, sometimes they are invaluable. But most of the time, we’ll just throw a few print statements in whatever program we’re running to better understand what’s going on inside of it. [Loop Invariant] wants to point out to us that there are things a proper debugger can do that you can’t do with print statements.
So what are these magical things? Well, some of them depend on the debugger, of course. But, in general, debuggers will catch exceptions when they occur. That can be a big help, especially if you have a lot of them and don’t want to write print statements on every one. Semi-related is the fact that when a debugger stops for an exception or even a breakpoint, you can walk the call stack to see the flow of code before you got there.
In fact, some debuggers can back step, although not all of them do that. Another advantage is that you can evaluate expressions on the fly. Even better, you should be able to alter program flow, jumping over some code, for example.
So we get it. There is more to debugging than just crude print statements. Then again, there are plenty of Python libraries to make debug printing nicer (including IceCream). Or write your own debugger. If gdb’s user interface puts you off, there are alternatives.
Data breach: cosa leggiamo nella relazione del Garante Privacy
All’interno della relazione presentata da parte dell’Autorità Garante per la protezione dei dati personali con riferimento all’attività svolta nel 2024, un capitolo è dedicato ai data breach. Saltano all’occhio il numero di notifiche e la particolare frequenza delle violazioni di riservatezza e disponibilità. Non solo: nel 66,6 % dei casi (quindi: 2 su 3), è avvenuta una notifica per fasi con una notifica preliminare e successive notifiche integrative.
Doverosa considerazione di metodo: il rapporto riguarda i settori che hanno notificato o per cui sono stati rilevati data breach da parte dell’autorità di controllo. Questo impone pertanto di fare attenzione a non incappare nel pregiudizio di sopravvivenza facendo l’errore di ritenere che riguardi tutti i soggetti che hanno subito un data breach. Ad ogni modo è un campione comunque rappresentativo, quanto meno dei soggetti che hanno inteso notificare l’evento di violazione dei dati personali. Che comprende anche quanti, spinti da moventi decisamente meno virtuosi, si sono trovati costretti a non poterli più nascondere.
Ad ogni modo, i settori più colpiti in ambito pubblico sono stati comuni, strutture sanitarie e istituti scolastici. Mentre nel settore privato sono state principalmente le grandi telco, energetiche, bancarie e dei servizi, nonché PMI e professionisti. Questo dato può confermare dunque che nessuno può dirsi esente dall’essere oggetto di attenzioni da parte dei cybercriminali.
Gli attacchi ransomware rimangono i grandi protagonisti della scena, con compromissione di disponibilità e riservatezza dei dati per effetto della doppia estorsione. Sono state riportate come maggiormente significative le violazioni dolose causate da accessi non autorizzati o illeciti a sistemi informativi e compromissione di credenziali. Le divulgazioni accidentali sono invece riconducibili per lo più da errori di configurazione o errori nell’impiego di piattaforme informatiche o sistemi di gestione della posta elettronica.
Comuni denominatori delle istruttorie in caso di data breach.
L’apertura di un’istruttoria in seguito alla ricezione di una notifica di violazione non può essere ridotta ad un “atto dovuto” da parte del Garante di natura meramente burocratica. Piuttosto, è condotta allo scopo di verificare se c’è un’adeguata protezione degli interessati, sia nelle misure adottate o che il titolare altrimenti intende adottare per porre rimedio alla violazione ed attenuare gli effetti negativi nei confronti degli interessati, sia nell’analisi dei rischi svolta.
Bisogna infatti ricordare che queste misure sono prescritte come contenuto essenziale della notifica dall’art. 33 par. 3 GDPR:
La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
L’esito dell’attività istruttoria è dunque innanzitutto quello di constatare se queste misure sono adeguate, fornendo i correttivi del caso, nonché quello di verificare se il titolare del trattamento sia stato in grado di analizzare compiutamente i rischi. Assumendo, anche con attività ispettive e acquisizioni documentali, tutti gli elementi necessari per valutare tanto i rischi quanto l’adeguatezza delle misure adottate ed esercitare i provvedimenti correttivi del caso. Fra cui, nelle ipotesi di rischi elevati, quello di ingiungere la comunicazione agli interessati coinvolti e fornire le indicazioni specifiche per proteggersi da eventuali conseguenze pregiudizievoli.
In particolare, all’interno del settore sanitario i provvedimenti sanzionatori derivanti da data breach per inadeguatezza delle misure di sicurezza predisposte sono stati talmente significativi da essersi meritati un capo dedicato all’interno della relazione (par. 5.4.1.), con la ricognizione di alcuni casi particolarmente significativi ed esemplari.
Alcuni dubbi sugli obblighi collegati al data breach (che però il Garante non può risolvere).
La relazione conferma alcuni dubbi sugli obblighi di gestione del data breach. Dubbi che richiederebbero un intervento da parte del legislatore in nome di una semplificazione ben più efficace di quella annunciata da Bruxelles e dalle tinte blu ridicolo cui siamo purtroppo abituati. Mettiamo i primi tre sul podio.
Il termine di gestione del data breach di 72 ore serve davvero a qualcosa?
Piuttosto, sembra che i migliori intenti della norma non superino il reality check. Nella realtà è un onere burocratico, svolto per lo più (in 2 casi su 3 da relazione del Garante) con un: compiliamo subito ora, integriamo poi. Con buona pace degli interessati che invece spesse volte dovranno attendere l’intervento del Garante successivo (e ben oltre le 72 ore) per leggere una comunicazione di data breach non sempre chiara, talvolta ridotta a un formalismo, e spesso inefficace per una serie di ragioni legate al fattore tempo. Ne è infatti trascorso abbastanza perchè i più attenti abbiano già appreso l’evento dai media e i più disattenti ne abbiano subito gli effetti negativi. Top timing!
Ben diversa natura ha invece la notifica degli incidenti informatici ad ACN (e che riguarda soggetti PSNC e NIS 2), che va oltre la tutela degli interessati ma segue scopi di sicurezza nazionale, per cui invece la tempestività è d’obbligo.
Non sarebbe meglio prescrivere 72 ore per comunicare agli interessati?
Forse il termine di 72 ore è maggiormente adeguato per la comunicazione agli interessati, senza lasciare quella formula “senza ingiustificato ritardo” che invece comporta continui ritardi o comunicazioni sgangherate. Questo sì che gioverebbe agli interessati consentendo loro di essere consapevoli dell’accaduto adottare tempestivamente misure a loro protezione.
Inoltre, enfatizzerebbe quell’approccio di responsabilizzazione previsto dal GDPR: rendicontare la gestione dell’incidente, dunque dare priorità alle garanzie a tutela degli interessati.
Magari gioverebbe anche una maggiore attenzione da parte del Garante e conseguenti sanzioni per comunicazioni inadeguate. Just to say. Speriamo di trovare un capo dedicato nelle prossime relazioni di attività.
Perchè parlare di rischio improbabile?
Questa è una perla. Semantica e concettuale. Quel concetto di improbabilità riferito al rischio porta con sé il retrogusto dell’ineffabile.
L’art. 33 par. 1 GDPR prevede infatti che:
In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Certo, il considerando n. 85 propone che stia al titolare comprovare il fatto che” è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. In nome dell’accountability, che viene spesso citata quando non si sa come spiegare le cose.
Ma dal momento che anche l’EDPB fatica a fornire indicazioni e criteri di carattere generale, profondendosi piuttosto in una miriade di esempi, forse sarebbe meglio riformulare il trigger che fa scattare un esonero dall’obbligo di notifica.
Che so, ad esempio citando un rischio basso. E lasciando (vedi sopra circa le 72 ore) tempo al titolare per valutare correttamente il rischio prima di spammar notifiche di data breach “perchè non si sa mai”. Con buona pace dell’accountability.
L'articolo Data breach: cosa leggiamo nella relazione del Garante Privacy proviene da il blog della sicurezza informatica.
65F02 is an FPGA 6502 with a Need For Speed
Does the in 65F02 “F” stand for “fast” or “FPGA”? [Jurgen] doesn’t know, but his drop-in replacement board for the 6502 and 65c02 is out there and open source, whatever you want it to stand for.
The “f” could easily be both, since at 100 MHz, the 65f02 is blazing fast by 6502 standards–literally 100 times the speed of the first chips from MOS. That speed comes from the use of a Spartan 6 FPGA core to implement the 6502 logic; making the “f” stand for “FPGA” makes sense, given that the CMOS version of the chip was dubbed the 65c02. The 65f02 is a tiny PCB containing the FPGA and all associated hardware that shares the footprint of a DIP-40 package, making it a drop-in replacement. A really fast drop-in replacement.
You might be thinking that that’s insane, and that (for example) the memory on an Apple ][ could never run at 100 MHz and so you won’t get the gains. This is both true, and accounted for: the 65F02 has an internal RAM “cache” that it mirrors to external memory at a rate the bus can handle. When memory addresses known to interact with peripherals change, the 65f02 slows down to match for “real time” operations.
Because of this the memory map of the external machine matters; [Jurgen] has tested the Commodore PET and Apple ][, along with a plethora of German chess computers, but, alas, this chip is not currently compatible with the Commodore 64, Atari 400/800 or BBC Micro (or at least not tested). The project is open source, however, so you might be able to help [Jurgen] change that.
We admit this project isn’t totally new– indeed, it looks like [Jurgen]’s last update was in 2024– but a fast 6502 is just as obsolete today as it was when [Jurgen] started work in 2020. That’s why when [Stephen Walters] sent us the tip (via electronics-lab), we just had to cover it, especially considering the 6502’s golden jubilee.
We also recently featured a 32-bit version of the venerable chip that may be of interest, also on FPGA.
Reverse Engineering a Robot Mower’s Fence
There are a variety of robot mower systems on the market employing different navigation methods, and [Eelco] has the story of how one of these was reverse engineered. Second hand Roomba lawnmowers kept appearing for very low prices without the electronics driving the buried-wire fence that keeps them from going astray. The story of their reverse engineering provides us with a handy insight into their operation.
The wire fence is a loop of wire in the ground, so it was modeled using a few-ohm resistor and the waveform across it from a working driver captured with an oscilloscope. The resulting 3 kHz waveform surprisingly to us at least doesn’t appear to encode any information, so it could be replicated easily enough with an ESP32 microcontroller. An LM386 audio amplifier drives the loop, and with a bit of amplitude adjustment the mower is quite happy in its fake fence.
Robot mower hacking has become quite the thing around here.
Using an MCU’s Own Debug Peripheral to Defeat Bootrom Protection
Released in July of 2025, the Tamagotchi Paradise may look somewhat like the late 90s toy that terrorized parents and teachers alike for years, but it’s significantly more complex and powerful hardware-wise. This has led many to dig into its ARM Cortex-M3-powered guts, including [Yukai Li] who recently tripped over a hidden section in the bootrom of the dual-core Sonix SNC73410 MCU that makes up most of the smarts inside this new Tamagotchi toy.
Interestingly, [Yukai] did see that the visible part of the bootrom image calls into the addresses that make up the hidden part right in the reset handler, which suggests that after reset this hidden bootrom section is accessible, just not when trying to read it via e.g. SWD as the hiding occurs before the SWD interface becomes active. This led [Yukai] to look at a way to make this ROM section not hidden by using the Cortex-M3’s standard Flash Patch and Breakpoint (FPB) unit. This approach is covered in the project’s source file.
With this code running, the FPB successfully unset the responsible ROM hide bit in the OSC_CTRL register, allowing the full bootrom to be dumped via SWD and thus defeating this copy protection with relatively little effort.
Heading image: PCB and other components of a torn-down Tamagotchi Paradise. (Credit: Tamagotchi Center)
LockBit 5.0: segnali concreti di una possibile rinascita?
Il panorama del ransomware continua a essere caratterizzato da dinamiche di adattamento e resilienza. Anche quando un’operazione internazionale sembra decretare la fine di un gruppo criminale, l’esperienza ci mostra che la scomparsa è spesso solo temporanea.
È questo il caso di LockBit, una delle gang più prolifiche e strutturate dell’ultimo quinquennio, la cui parabola sembrava essersi chiusa con l’operazione Cronos del febbraio 2024. Oggi, tuttavia, nuove evidenze provenienti dal dark web stanno alimentando l’ipotesi di un ritorno sotto una nuova veste: LockBit 5.0.
LockBit: dal dominio incontrastato al declino apparente
LockBit ha rappresentato negli anni un modello di riferimento per l’ecosistema criminale, grazie al suo approccio Ransomware-as-a-Service (RaaS), alla struttura capillare di affiliati e a una costante innovazione nelle tecniche di cifratura e propagazione. L’introduzione dei data leak site (DLS) come strumento di pressione ha reso LockBit una vera e propria icona del cybercrime.
Con l’operazione Cronos, culminata nel sequestro di numerose infrastrutture e nella compromissione dei pannelli affiliati, il gruppo sembrava destinato a un declino definitivo. Tuttavia, come già analizzato nel precedente articolo, tracce residue di attività e segnali sparsi sul dark web lasciavano presagire una possibile riorganizzazione.
L’emergere di LockBit 5.0
Nelle ultime ore è emersa un’immagine che sembra confermare questa ipotesi: una schermata di autenticazione relativa a un nuovo DLS legato al brand LockBit. A differenza dei portali tradizionali, liberamente consultabili per massimizzare l’effetto coercitivo sulle vittime, questa nuova infrastruttura richiede l’inserimento di una chiave privata per poter accedere ai contenuti.
Questa scelta introduce elementi di novità e apre a scenari interpretativi differenti:
- un tentativo di aumentare la segretezza operativa, riducendo l’esposizione verso ricercatori e forze dell’ordine;
- una logica di selezione degli interlocutori, limitando l’accesso a partner fidati o affiliati;
- oppure un esperimento di rebranding, utile a testare nuove modalità di gestione dei dati esfiltrati.
Un ecosistema in evoluzione: AI e automazione
La ricomparsa di LockBit deve essere letta nel contesto di un’evoluzione più ampia. Diversi gruppi ransomware stanno infatti sperimentando nuove tecniche di attacco, integrando automazione, moduli di evasione avanzata e strategie di doppia estorsione più aggressive.
In questo quadro, il dibattito sull’impiego dell’intelligenza artificiale come fattore dirompente è sempre più centrale. Come sottolineato anche nel post di Anastasia Sentsova, la possibilità che in futuro si affermino campagne di AI-orchestrated ransomware apre a scenari in cui targeting, movimento laterale e negoziazione potrebbero essere ottimizzati in tempo reale. In questo senso, la potenziale rinascita di LockBit 5.0 potrebbe segnare l’inizio di una nuova fase sperimentale.
Conclusioni
La schermata di login trapelata dal nuovo DLS, con la richiesta di una chiave privata, non rappresenta soltanto un dettaglio tecnico, ma un indizio capace di alimentare una serie di domande aperte:
- chi gestisce realmente questa infrastruttura?
- è davvero LockBit a orchestrare la riapparizione, o un nuovo attore che sfrutta il brand?
- quale sarà la prossima evoluzione nel modello di estorsione e pubblicazione dei dati?
Al momento, non vi sono risposte definitive. Tuttavia, un elemento è certo: il vuoto lasciato da LockBit nel panorama del ransomware è troppo grande perché rimanga tale a lungo. Se LockBit 5.0 dovesse confermarsi come realtà, il settore potrebbe trovarsi di fronte a un nuovo punto di svolta, con impatti significativi su tattiche, tecniche e procedure del cybercrime internazionale.
L'articolo LockBit 5.0: segnali concreti di una possibile rinascita? proviene da il blog della sicurezza informatica.
ARTO: la piattaforma italiana che rivoluziona l’arte con la blockchain e NFT certificati
Nel 2024 avevamo raccontato ARTO come un’intuizione coraggiosa: un progetto che univa arte e blockchain con l’obiettivo di ridurre le frodi nel mercato artistico e di aprire a un nuovo modo di intendere la creatività.
Oggi, a distanza di mesi, quell’intuizione si è trasformata in una piattaforma concreta, già online pronta a raccogliere la sfida di rendere l’arte più sicura, trasparente e accessibile.
Una rete di innovazione e cultura
ARTO non è nato dal nulla: dietro questa visione ci sono tre realtà italiane che da anni lavorano su ricerca, innovazione e cultura.IAD S.r.l., capofila del progetto (cofinanziato dall’Unione Europea Programma PR FESR Regione Lazio 2021- 2027 Avviso pubblico Riposizionamento competitivo RSI Ambito 4 industrie creative e digitali e patrimonio culturale e tecnologie della cultura – Approv. dalla Regione Lazio con Det. n. G14831 del 09/11/2023 – CUP F89J23000910007 e con COR 16161824 – 1661828 – 16161827), ha guidato il percorso insieme a Ulteriora S.r.l. e Mirart Point S.r.l., con il sostegno della Regione Lazio.
(Scopri di più sul sito à artetoken.it/)
Un ecosistema per l’arte digitale
È grazie a questa alleanza che ARTO è diventato molto più di un’idea: oggi è una piattaforma attiva, online, capace di accogliere opere, trasformarle in NFT certificati e proporle in asta in un contesto sicuro, trasparente e scalabile.
Oltre il marketplace: una nuova esperienza culturale
ARTO non è solo un marketplace di NFT. È un ecosistema culturale e tecnologico che ha saputo intrecciare linguaggi diversi in un’unica architettura: l’espressione artistica, le aste digitali, la tracciabilità immutabile della blockchain.
Gli artisti possono caricare le proprie opere, digitalizzarle e trasformarle in certificati unici, mentre il pubblico e i collezionisti possono finalmente vivere un’esperienza libera da intermediazioni opache, basata sulla sicurezza e sulla trasparenza.
Le aste come motore del cambiamento
Il cuore pulsante della piattaforma sono le aste. Non parliamo di aste tradizionali, ma di eventi digitali costruiti su smart contract che garantiscono regole certe e risultati inviolabili. Ogni opera che entra in ARTO trova un palcoscenico dove il suo valore non è stabilito a tavolino, ma riconosciuto da chi partecipa, in un meccanismo che restituisce dignità e autenticità al processo creativo. In questo modo, il mercato dell’arte smette di essere un territorio riservato a pochi e si apre a una comunità più ampia, inclusiva e consapevole.
Una piattaforma aperta e partecipativa
La piattaforma è oggi viva e consultabile. Aspetta soltanto gli artisti pronti a mettersi in gioco, a caricare le loro opere, a dare al mondo nuovi sguardi e nuove possibilità. ARTO non nasce solo per creare opportunità economiche, ma per portare l’arte fuori dai recinti elitari e trasformarla in esperienza culturale diffusa, accessibile a tutti.
Emergenza Arte: creatività come cura
Dentro questo impianto trova spazio anche una delle sfide più ambiziose: il progetto “Emergenza Arte”. L’obiettivo è portare l’arte nei reparti pediatrici come strumento di cura, offrendo ai bambini un linguaggio con cui raccontare paure e desideri. Non è ancora una sperimentazione attiva, ma una direzione precisa e dichiarata: sono stati definiti protocolli e strumenti, e la volontà è quella di trasformare questa idea in realtà, convinti che potrà dare un contributo enorme ai piccoli pazienti e alle loro famiglie. ARTO ha già le basi tecnologiche e organizzative per custodire quelle esperienze e trasformarle in NFT unici, che diventerebbero memorie eterne di resilienza e creatività.
Tecnologia al servizio della fiducia
Il percorso compiuto fin qui è stato tutt’altro che semplice. Creare una piattaforma che unisse sicurezza, user experience e tracciabilità ha richiesto mesi di lavoro, test e validazioni. Le componenti tecnologiche più delicate, come gli smart contract per le aste, sono state sviluppate e messe alla prova con rigore. Il risultato è un’infrastruttura robusta, pronta a scalare, in grado di affrontare le sfide di un mercato che sempre più chiede trasparenza e affidabilità.
Le persone dietro il progetto
Questo lavoro è stato possibile grazie anche alle competenze delle persone coinvolte. Tra i protagonisti ci sono Daniele Fiungo, responsabile dell’area Ricerca e Sviluppo di IAD, e Flaviano Cardone, coordinatore tecnico-scientifico del progetto. Entrambi hanno guidato lo sviluppo e la definizione dei processi chiave di ARTO, unendo visione e pragmatismo. E a conferma del loro impegno verso la sicurezza e la qualità, hanno conseguito di recente la certificazione Cyber Threat Intelligence Professional (CTIP) rilasciata da Red Hot Cyber Academy. Un segno di come in ARTO la tecnologia non sia mai separata dal tema della sicurezza, ma al contrario ne rappresenti la spina dorsale.
Il debutto ufficiale: ottobre 2025, Arte Parma Fair
Il futuro è già scritto nel calendario: ottobre 2025, Arte Parma Fair. Qui ARTO avrà il suo debutto ufficiale davanti al grande pubblico, con uno stand pensato per stupire e coinvolgere. Ci saranno NFT visibili in realtà aumentata, aste live, installazioni multimediali e persino un omaggio speciale al maestro Arnaldo Pomodoro, reinterpretato con linguaggi digitali per intrecciare memoria e innovazione. Sarà il momento per mostrare che ARTO non è più un esperimento, ma un modello che può fare scuola, pronto a replicarsi e a crescere.
ARTO: un ponte tra tecnologia e umanità
Oggi ARTO rappresenta un punto di incontro tra digitale e cultura, tra tecnologia e umanità. È la prova che la blockchain non serve solo alla finanza, ma può generare valore reale per artisti, collezionisti e comunità. È un progetto che guarda avanti, con l’ambizione di connettere mondi che spesso restano separati: il mercato dell’arte, le pratiche terapeutiche, la dimensione sociale.
Perché l’arte, se accompagnata da strumenti giusti, può diventare molto più di un segno su una tela. Può trasformarsi in esperienza collettiva, in memoria condivisa, in valore che resta. ARTO è già questo: un modello concreto che nasce dall’innovazione e dalla ricerca, e che oggi è pronto a dare voce a chiunque voglia farsi ascoltare.
L'articolo ARTO: la piattaforma italiana che rivoluziona l’arte con la blockchain e NFT certificati proviene da il blog della sicurezza informatica.
The 555 as You’ve Never Seen It: In Textile!
The Diné (aka Navajo) people have been using their weaving as trade goods at least since European contact, and probably long before. They’ve never shied from adopting innovation: churro sheep from the Spanish in the 17th century, aniline dies in the 19th, and in the 20th and 21st… integrated circuits? At least one Navajo Weaver, [Marilou Schultz] thinks they’re a good match for the traditional geometric forms. Her latest creation is a woven depiction of the venerable 555 timer.
This isn’t the first time [Marilou] has turned an IC into a Navajo rug; she’s been weaving chip rugs since 1994– including a Pentium rug commissioned by Intel that hangs in USA’s National Gallery of Art–but it’s somehow flown below the Hackaday radar until now. The closest thing we’ve seen on these pages was a beaded bracelet embedding a QR code, inspired by traditional Native American forms.
That’s why we’re so thankful to [VivCocoa] for the tip. It’s a wild and wonderful world out there, and we can’t cover all of it without you. Are there any other fusions of tradition and high-tech we’ve been missing out on? Send us a tip.
FLOSS Weekly Episode 846: Mastering Embedded Linux Programming
This week Jonathan and Dan chat with Frank Vasquez and Chris Simmonds about Embedded Linux, and the 4th edition of the Mastering Embedded Linux Programming book. How has this space changed in the last 20 years, and what’s the latest in Embedded Linux?
- Mastering Embedded Linux Development on Amazon
- 2net.co.uk/
- The Linux Plumbers Conference Call For Proposals page
- AOSP and AAOS meetup on Wednesday 17 September
- aosp-devs.org/
youtube.com/embed/6JKmZAQMgh0?…
Did you know you can watch the live recording of the show right on our YouTube Channel? Have someone you’d like us to interview? Let us know, or contact the guest and have them contact us! Take a look at the schedule here.
play.libsyn.com/embed/episode/…
Direct Download in DRM-free MP3.
If you’d rather read along, here’s the transcript for this week’s episode.
Places to follow the FLOSS Weekly Podcast:
Theme music: “Newer Wave” Kevin MacLeod (incompetech.com)
Licensed under Creative Commons: By Attribution 4.0 License
hackaday.com/2025/09/10/floss-…
Gli hacker criminali di The Gentlemen pubblicano la prima vittima italiana
Nella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana.
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
All’interno del post, la gang riporta quanto segue:
Laboratorio Clinico Santa Rita
Santa Rita Laboratorios offers a wide range of medical laboratory services, including hematology, immunology, microbiology, and molecular biology. The company is committed to preserving health through accurate diagnostics and operates with state-of-the-art technology and high-resolution equipment. They provide personalized medical assistance 24/7, as well as home sample collection services for client convenience. Intended clients include individuals seeking reliable laboratory tests and diagnostics.”
Chi sono i criminali informatici di The gentlemen
La cyber gang The Gentlemen è emersa di recente nello scenario del cybercrime distinguendosi per un approccio organizzato e un’infrastruttura ben strutturata. Il gruppo opera attraverso un proprio data leak site nel dark web, dove pubblica avvisi di compromissione e minacce di esposizione dei dati.
La loro comunicazione è caratterizzata da uno stile curato e studiato, con un’immagine pubblica che mira a costruire credibilità e timore nel settore della criminalità informatica, nonostante la relativa novità della loro presenza. Questo aspetto lascia intendere che dietro al progetto possano esserci attori già esperti di ransomware e data extortion.
Il modus operandi dei The Gentlemen ricalca i modelli tipici del ransomware moderno: compromissione iniziale delle infrastrutture, esfiltrazione dei dati sensibili e successiva estorsione basata sulla minaccia di pubblicazione. Le prime vittime individuate dal gruppo appartengono a settori sensibili come sanità, manifattura e servizi, aree particolarmente appetibili per la pressione che la perdita o la fuga di informazioni può generare. Il loro sito non si limita a elencare le vittime, ma fornisce anche dettagli sui dati sottratti, aumentando così la pressione psicologica sulle aziende colpite.
La rapidità con cui il gruppo si è imposto nell’ecosistema del cybercrime solleva interrogativi sulla sua reale origine e sulla possibilità che sia una riorganizzazione o una “costola” di operatori già noti. La capacità di attrarre l’attenzione della comunità di sicurezza informatica. In un panorama già saturo di gang ransomware, i The Gentlemen puntano a differenziarsi con uno stile comunicativo elegante ma allo stesso tempo aggressivo, posizionandosi rapidamente come una minaccia emergente di cui monitorare attentamente le mosse future.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
Cos’è il ransomware as a service (RaaS)
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
- Il ransomware cos’è. Scopriamo il funzionamento della RaaS
- Perché l’Italia è al terzo posto negli attacchi ransomware
- Difficoltà di attribuzione di un attacco informatico e false flag
- Alla scoperta del gruppo Ransomware Lockbit 2.0
- Intervista al rappresentante di LockBit 2.0
- Il 2021 è stato un anno difficile sul piano degli incidenti informatici
- Alla scoperta del gruppo Ransomware Darkside
- Intervista al portavoce di Revil UNKNOW, sul forum XSS
- Intervista al portavoce di BlackMatter
Come proteggersi dal ransomware
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
- Formare il personale attraverso corsi di Awareness;
- Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware. I backup critici devono essere isolati dalla rete per una protezione ottimale;
- Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
- Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
- Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
- Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
- Non seguire i collegamenti Web non richiesti nelle e-mail;
- Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
- Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.
- Implementare una piattaforma di sicurezza XDR, nativamente automatizzata, possibilmente supportata da un servizio MDR 24 ore su 24, 7 giorni su 7, consentendo di raggiungere una protezione e una visibilità completa ed efficace su endpoint, utenti, reti e applicazioni, indipendentemente dalle risorse, dalle dimensioni del team o dalle competenze, fornendo altresì rilevamento, correlazione, analisi e risposta automatizzate.
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
L'articolo Gli hacker criminali di The Gentlemen pubblicano la prima vittima italiana proviene da il blog della sicurezza informatica.
Everything in a Linux Terminal
Here at Hackaday Central, we fancy that we know a little something about Linux. But if you’d tasked us to run any GUI program inside a Linux terminal, we’d have said that wasn’t possible. But, it turns out, you should have asked [mmulet] who put together term.everything.
You might be thinking that of course, you can launch a GUI program from a terminal. Sure. That’s not what this is. Instead, it hijacks the Wayland protocol and renders the graphics as text. Or, if your terminal supports it, as an image. Performance is probably not your goal if you want to do this. As the old saying goes, “It’s not that the dog can sing well; it’s that the dog can sing at all.”
If, like us, you are more interested in how it works, there’s a write up explaining the nuances of the Wayland protocol. The article points out that Wayland doesn’t actually care what you do with the graphical output. In particular, “… you could print out the graphics and give them to a league of crochet grandmas to individually tie together every single pixel into the afghan of legend!” We expect to see this tested at an upcoming hacker conference. Maybe even Supercon.
We generally don’t like Wayland very much. We use a lot of hacks like xdotool and autokey that Wayland doesn’t like. We also think people didn’t understand X11’s network abilities until it was too late. If you think of it as only a video card driver, then you get what you deserve. But we have to admit, we are humbled by term.everything.
Phishing in Classe! 115.000 email per 13.500 organizzazioni con Google Classroom
I ricercatori di Check Point hanno scoperto una campagna di phishing attiva su larga scala che sfrutta Google Classroom, una piattaforma a cui si affidano milioni di studenti ed educatori in tutto il mondo.
Nel corso di una sola settimana, gli aggressori hanno lanciato cinque ondate coordinate, distribuendo più di 115.000 e-mail di phishing rivolte a 13.500 organizzazioni di diversi settori. Sono state prese di mira organizzazioni in Europa, Nord America, Medio Oriente e Asia.
Uno strumento affidabile trasformato in un vettore di minacce
Google Classroom è progettato per mettere in contatto insegnanti e studenti attraverso inviti a partecipare a classi virtuali. Gli aggressori hanno sfruttato questa fiducia inviando inviti fasulli che contenevano offerte commerciali non correlate, che andavano dalla rivendita di prodotti ai servizi SEO.
Ogni e-mail indirizzava i destinatari a contattare i truffatori tramite un numero di telefono WhatsApp, una tattica spesso legata a schemi di frode.
L’inganno funziona perché i sistemi di sicurezza tendono a fidarsi dei messaggi provenienti da servizi Google legittimi. Sfruttando l’infrastruttura di Google Classroom, gli aggressori sono stati in grado di aggirare alcuni livelli di sicurezza tradizionali, tentando di raggiungere le caselle di posta elettronica di oltre 13.500 aziende prima che le difese venissero attivate.
Anatomia della campagna
- Scala: 115.000 e-mail di phishing inviate tra il 6 e il 12 agosto 2025.
- Obiettivi: 13.500 organizzazioni in tutto il mondo, in diversi settori.
- Esca: Falsi inviti a Google Classroom contenenti offerte non correlate all’istruzione
- Invito all’azione (call to action): Un numero di telefono WhatsApp, progettato per spostare la conversazione al di fuori della posta elettronica e del monitoraggio aziendale.
- Metodo di consegna: Cinque ondate principali, ognuna delle quali ha sfruttato la legittimità di Google Classroom per eludere i filtri.
Come Check Point ha bloccato l’attacco
Nonostante l’uso sofisticato da parte degli aggressori della fidata infrastruttura, la tecnologia SmartPhish di Check Point Harmony Email & Collaboration ha rilevato e bloccato automaticamente la maggior parte dei tentativi di phishing. Ulteriori livelli di sicurezza hanno impedito ai messaggi rimanenti di raggiungere gli utenti finali.
Questo incidente sottolinea l’importanza delle difese a più livelli. Gli aggressori utilizzano sempre più spesso servizi cloud legittimi, rendendo i gateway di posta elettronica tradizionali insufficienti a bloccare le tattiche di phishing in continua evoluzione.
Cosa devono fare le organizzazioni
- Educare: Istruire utenti, studenti e dipendenti a trattare con cautela gli inviti inattesi (anche quelli provenienti da piattaforme familiari).
- Prevenzione avanzata delle minacce: Utilizzate un rilevamento basato sull’intelligenza artificiale che analizza il contesto e l’intento, non solo la reputazione del mittente.
- Monitorare le applicazioni cloud: Estendete la protezione dal phishing oltre le e-mail anche alle app di collaborazione, alle piattaforme di messaggistica e ai servizi SaaS.
- Difendersi dall’ingegneria sociale: Essere consapevoli che gli aggressori spingono sempre più spesso le vittime verso comunicazioni al di fuori dei canali “ufficiali” (come WhatsApp) per eludere i controlli aziendali.
Gli aggressori continuano a trovare modi creativi per sfruttare servizi legittimi come Google Classroom per ottenere fiducia, aggirare le difese e raggiungere obiettivi su larga scala. Con oltre 115.000 e-mail in una sola settimana, questa campagna evidenzia la facilità con cui i criminali informatici possono armare le piattaforme digitali a scopo di frode.
Riconosciuto come Leader e Outperformer nel GigaOm Radar 2025 per l’Anti-Phishing, Check Point Harmony Email & Collaboration fornisce la difesa avanzata e stratificata necessaria per proteggere le organizzazioni dagli attacchi di phishing, anche quando si nascondono in bella vista.
L'articolo Phishing in Classe! 115.000 email per 13.500 organizzazioni con Google Classroom proviene da il blog della sicurezza informatica.
Notes of cyber inspector: three clusters of threat in cyberspace
Hacktivism and geopolitically motivated APT groups have become a significant threat to many regions of the world in recent years, damaging infrastructure and important functions of government, business, and society. In late 2022 we predicted that the involvement of hacktivist groups in all major geopolitical conflicts from now on will only increase and this is what we’ve been observing throughout the years. With regard to the Ukrainian-Russian conflict, this has led to a sharp increase of activities carried out by groups that identify themselves as either pro-Ukrainian or pro-Russian.
The rise in cybercrime amid geopolitical tensions is alarming. Our Kaspersky Cyber Threat Intelligence team has been observing several geopolitically motivated threat actors and hacktivist groups operating in various conflict zones. Through collecting and analyzing extensive data on these groups’ tactics, techniques, and procedures (TTPs), we’ve discovered a concerning trend: hacktivists are increasingly interconnected with financially motivated groups. They share tools, infrastructure, and resources.
This collaboration has serious implications. Their campaigns may disrupt not only business operations but also ordinary citizens’ lives, affecting everything from banking services to personal data security or the functioning of the healthcare system. Moreover, monetized techniques can spread exponentially as profit-seeking actors worldwide replicate and refine them. We consider these technical findings a valuable resource for global cybersecurity efforts. In this report, we share observations on threat actors who identify themselves as pro-Ukrainian.
About this report
The main goal of this report is to provide technical evidence supporting the theory we’ve proposed based on our previous research: that most of the groups we describe here actively collaborate, effectively forming three major threat clusters.
This report includes:
- A library of threat groups, current as of 2025, with details on their main TTPs and tools.
- A technical description of signature tactics, techniques, procedures, and toolsets used by these groups. This information is intended for practical use by SOC, DFIR, CTI, and threat hunting professionals.
What this report covers
This report contains information on the current TTPs of hacktivists and APT groups targeting Russian organizations particularly in 2025, however they are not limited to Russia as a target. Further research showed that among some of the groups’ targets, such as CloudAtlas and XDSpy, were assets in European, Asian, and Middle Eastern countries. In particular, traces of infections were discovered in 2024 in Slovakia and Serbia. The report doesn’t include groups that emerged in 2025, as we didn’t have sufficient time to research their activity. We’ve divided all groups into three clusters based on their TTPs:
- Cluster I combines hacktivist and dual-purpose groups that use similar tactics, techniques, and tools. This cluster is characterized by:
- Shared infrastructure
- A unique software suite
- Identical processes, command lines, directories, and so on
- Distinctive TTPs
Example: Cyberthreat landscape in Russia in 2025
Hacktivism remains the key threat to Russian businesses and businesses in other conflict areas today, and the scale and complexity of these attacks keep growing. Traditionally, the term “hacktivism” refers to a blend of hacking and activism, where attackers use their skills to achieve social or political goals. Over the past few years, these threat actors have become more experienced and organized, collaborating with one another and sharing knowledge and tools to achieve common objectives.
Additionally, a new phenomenon known as “dual-purpose groups” has appeared in the Russian threat landscape in recent years. We’ve detected links between hacktivists and financially motivated groups. They use the same tools, techniques, and tactics, and even share common infrastructure and resources. Depending on the victim, they may pursue a variety of goals: demanding a ransom to decrypt data, causing irreparable damage, or leaking stolen data to the media. This suggests that these attackers belong to a single complex cluster.
Beyond this, “traditional” categories of attackers continue to operate in Russia and other regions: groups engaged in cyberespionage and purely financially motivated threat actors also remain a significant problem. Like other groups, geopolitically motivated groups are cybercriminals who undermine the secure and trustworthy use of digitalization opportunities and they can change and adapt their target regions depending on political developments.
That is why it is important to also be aware of the TTPs used by threat actors who appear to be attacking other targets. We will continue to monitor geopolitically motivated threat actors and publish technical reports about their TTPs.
Recommendations
To defend against the threats described in this report, Kaspersky experts recommend the following:
- Provide your SOC teams with access to up-to-date information on the latest attacker tactics, techniques, and procedures (TTPs). Threat intelligence feeds from reliable providers, like Kaspersky Threat Intelligence, can help with this.
- Use a comprehensive security solution that combines centralized monitoring and analysis, advanced threat detection and response, and security incident investigation tools. The Kaspersky NEXT XDR platform provides this functionality and is suitable for medium and large businesses in any industry.
- Protect every component of modern and legacy industrial automation systems with specialized OT security solutions. Kaspersky Industrial CyberSecurity (KICS) — an XDR-class platform — ensures reliable protection for critical infrastructure in energy, manufacturing, mining, and transportation.
- Conduct regular security awareness training for employees to reduce the likelihood of successful phishing and other social engineering attacks. Kaspersky Automated Security Awareness Platform is a good option for this.
The report is available for our partners and customers. If you are interested, please contact report@kaspersky.com
Bare Metal STM32: the Various Real Time Clock Flavors
Keeping track of time is essential, even for microcontrollers, which is why a real-time clock (RTC) peripheral is a common feature in MCUs. In the case of the STM32 family there are three varieties of RTC peripherals, with the newest two creatively called ‘RTC2′ and RTC3’, to contrast them from the very basic and barebones RTC that debuted with the STM32F1 series.
Commonly experienced in the ubiquitous and often cloned STM32F103 MCU, this ‘RTC1’ features little more than a basic 32-bit counter alongside an alarm feature and a collection of battery-backed registers that requires you to do all of the heavy lifting of time and date keeping yourself. This is quite a contrast with the two rather similar successor RTC peripherals, which seem to insist on doing everything possible themselves – except offer you that basic counter – including giving you a full-blown calendar and today’s time with consideration for 12/24 hour format, DST and much more.
With such a wide gulf between RTC1 and its successors, this raises the question of how to best approach these from a low-level perspective.
You Can Count On Me
If it was just about counting seconds, then any of the timer peripherals in an MCU would be more than up to the task, limited only by the precision of the used system clock. The RTC requirements are a bit more extensive, however, as indicated by what is called the backup domain in F1 and the backup registers in the RTC2 and RTC3 peripherals. Powered by an external power source, this clock and register data are expected to survive any power event, the CPU being reset, halted or powered off, while happily continuing to count the progress of time until the rest of the MCU and its firmware returns to check up on its progress.
Naturally, this continuation requires two things: the first is a power source to the special power pin on the MCU (VBAT), often provided from a ubiquitous 3 V lithium cell, along with a clock source that remains powered when the rest of the MCU isn’t. This provides the first gotcha as the RTC clock can be configured to be one of these three:
- Low Speed External (LSE): usually an external 32,768 Hz oscillator which is powered via VBAT.
- Low Speed Internal (LSI): a simple internal ~40-ish kHz oscillator that is only powered by VDD.
- High Speed External (HSE): the external clock signal that’s generally used to clock the MCU’s CPU and many of its peripherals. Also not available in all low-power modes.
Thus, the logical RTCCLK choice for an RTC that has to survive any and all adverse power events is the LSE as it feeds into the RTC. Take for example the STM32F103 RTC block diagram:
Here we can see the elements of the very basic RTC1 peripheral, with the sections that are powered by VBAT marked in grey. The incoming RTCCLK is used to generate the RTC time base TR_CLK in the RTC prescaler, which increases the value in the RTC_CNT register. It being a 32-bit register and TR_CLK usually being 1 Hz means that this counter can be run for approximately 136 years if we ignore details like leap years, without overflowing.
For initializing and using the RTC1 peripheral, we can consult application note AN2821 alongside reference manual RM0008, which covers a clock and calendar implementation, specifically on the STM3210B-EVAL board, but applicable to all STM32F10x MCUs. If you want to keep a running calendar going, it’s possible to use the backup registers for this whenever the counter reaches a certain number of seconds.
That said, where having just this counter is rather pleasant is when using the C <time.h> functions with Newlib, such as time(). As Newlib on STM32 requires you to implement at least [url=https://www.man7.org/linux/man-pages/man2/gettimeofday.2.html]_gettimeofday()[/url], this means that you can just let RTC_CNT do its thing and copy it into the seconds member of a timeval struct – after converting from BCD to binary – before returning it. This is significantly easier than with RTC2 and 3, with my own implementation in Nodate’s RTC code currently fudging things with mktime() to get a basic seconds counter again from the clock and calendar register values.
All The Bells And Whistles
If the RTC1 peripheral was rather basic with just a counter, an alarm and some backup registers, its successor and the rather similar RTC3 peripheral are basically the exact opposite. A good, quick comparison is provided here, with AN4759 providing a detailed overview, initialization and usage of these newest RTCs. One nice thing about RTC3 is that it adds back an optional counter much like the – BCD-based – RTC1 counter by extending the RTC_SSR register to 32-bit and using it as a binary counter. However as the summary by Efton notes, this counter and some other features are not present on every MCU, so beware.
Correspondingly, the block diagram for the RTC2 peripheral is rather more complicated:
Although we can still see the prescaler and backup/tamper registers, the prescaler is significantly more complex with added calibration options, the alarms span more registers and there are now three shadow registers for the time, date and sub-seconds in RTC_TR, RTC_DR and RTC_SSR respectively. This is practically identical to the RTC3 block diagram.
These shadow registers lay out the individual values as for example in the RTC_TR register:
RTC_TR register in the STM32F401. (Source: ST, RM0368)
Taking the seconds as an example, we got the tens (ST) and units (SU), both in BCD format which together form the current number of seconds. For the minutes and hours the same pattern is used, with PM keeping track of whether it’s AM or PM if 12 hour format is used. Effectively this makes these shadow registers a direct source of time and calendar information, albeit generally in BCD format and unlike with the basic RTC1 peripheral, using it as the source for C-style functions via Newlib has become rather tricky.
Unix Time Things
In the world of computing the ‘seconds since the Unix Epoch’ thing has become rather defining as the starting point for many timing-related functions. One consequence of this is that indicating a point in time often involves listing the number of seconds since said epoch on January 1st of 1970, at 00:00:00 UTC. This includes the time-related functions in the standard C libraries, such as Newlib, as discussed earlier.
This is perhaps the most frustrating point with these three-ish different STM32 RTC peripherals, as although the RTC1 is barebones, making it work with Newlib is a snap, while RTC2 and RTC3 are for the most part a nightmare, except for the RTC3 implementations that support the binary mode, although even that is a down-counter instead of an up-counter. This leaves one with the dreadful task of turning those shadow register values back into a Unix timestamp.
One way to do this is by using the mktime() function as mentioned earlier. This takes a tm struct whose fields define the elements of a date, e.g. for seconds:
tm tt;
tt.tm_sec = (uint8_t) bcd2dec32(RTC_TR & (RTC_TR_ST | RTC_TR_SU));
By repeating this for each part of RTC_TR and RTC_DR, we end up with a filled in struct that we can pass to mktime which will then spit out our coveted Unix timestamp in the form of a time_t integer. Of course, that would be far too easy, and thus we run head-first into the problem that mktime is incredibly picky about what it likes, and makes this implementation-dependent.
For example, despite the claims made about ranges for the tm struct, running a simple local test case in an MSYS2 environment indicated that negative years since 1970 wasn’t allowed, so that not having the RTC set to a current-ish date will always error out when the year is less than 71. It’s quite possible that a custom alternative to mktime will be less headache-inducing here.
Of course, ST could just have been nice and offered the basic counter of RTC1 along with all of the good stuff added with RTC2 and RTC3, but maybe for that we’ll have to count the seconds until the release of RTC4.
Rackintosh Plus Is the Form Factor Nobody Has Been Waiting For
For all its friendly countenance and award-winning industrial design, there’s one thing the venerable Macintosh Plus can’t do: fit into a 1U rack space. OK, if we’re being honest with ourselves, there are a lot of things a Mac from 1986 can’t do, but the rack space is what [identity4] was focused on when they built the 2025 Rackintosh Plus.
For those of you already sharpening your pitchforks, worry not: [identity4]’s beloved vintage Mac was not disassembled for this project. This rack mount has instead become the home for a spare logic board they had acquired Why? They wanted to use a classic Mac in their studio, and for any more equipment to fit the space, it needed to go into the existing racks. It’s more practical than the motivation we see for a lot of hacks; it’s almost surprising it hasn’t happened before. (We’ve seen Mac Minis in racks, but not the classic hardware.)
Aside from the genuine Apple logic board, the thin rack also contains a BlueSCSI hard drive emulator, a Floppy Emu for SD-card floppy emulator, an RGB-to-HDMI converter to allow System 7 to shine on modern monitors, and of course a Mean Well power supply to keep everything running.The Floppy Emu required a little light surgery to move the screen so it would fit inside the low-profile rack. [identity4] also broke out the keyboard and mouse connectors to the front of the rack, but all other connectors stayed on the logic board at the rear.
Sound is handled by a single 8-ohm speaker that lives inside the rack mount, because even if the Rackintosh can now fit into a 1U space, it still can’t do stereo sound…or anything else a Macintosh Plus with 4 MB of RAM couldn’t do. Still, it’s a lovely hack. and the vintage-style advertisement was an excellent touch.
Now they just need the right monochrome display.
A Look at Not an Android Emulator
Recently, Linux has been rising in desktop popularity in no small part to the work on WINE and Proton. But for some, the year of the Linux desktop is not enough, and the goal is now for the year of the Linux phone. To that end, an Android Linux translation layer called Android Translation Layer (we never said developers were good at naming) has emerged for those running Linux on their phones.
Android Translation Layer (ATL) is still in very early days, and likely as not, remains unpackaged on your distro of choice. Fortunately, a workaround is running an Alpine Linux container with graphics pass through via a tool like Distrobox or Toolbox. Because of the Alpine derived mobile distribution postmarketOS, ATL is packaged in the Alpine repos.
In many ways, running Android apps on Linux is much easier then Windows apps. Because Android apps are architecture independent, hardware emulation is unnecessary. With such similar kernels, on paper at least, Android software should run with minimal effort on Linux. Most of what ATL provides is a Linux/Android hardware abstraction layer glue to ensure Android system calls make their way to the Linux kernel.
Of course, there is a lot more to running Android apps, and the team is working to implement the countless Android system APIs in ATL. For now, older Android apps such as Angry Birds have the best support. Much like WINE, ATL will likely devolve into a game of wack-a-mole where developers implement fresh translation code as new APIs emerge and app updates break. Still, WINE is a wildly successful project, and we hope to see ATL grow likewise!
If you want to get your Android phone to talk to Linux, make sure to check out this hack next!
Preludio alla compromissione: è boom sulle scansioni mirate contro Cisco ASA
A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulnerabilità nei prodotti. Questa volta, si tratta di due picchi: in entrambi i casi, gli aggressori hanno controllato massicciamente le pagine di autorizzazione ASA e l’accesso Telnet/SSH in Cisco IOS.
Il 26 agosto è stato osservato un attacco particolarmente esteso, avviato da una botnet brasiliana, che ha utilizzato circa 17.000 indirizzi univoci e ha gestito fino all’80% del traffico. In totale, sono state osservate fino a 25.000 sorgenti IP. È interessante notare che entrambe le ondate hanno utilizzato intestazioni di browser simili, mascherate da Chrome, a indicare un’infrastruttura comune.
Gli Stati Uniti erano l’obiettivo principale, ma anche Regno Unito e Germania sono stati monitorati.
Secondo GreyNoise, circa l’80% di tali ricognizioni si traduce nella successiva scoperta di nuove problematiche di sicurezza, sebbene la correlazione statistica sia notevolmente più debole per Cisco rispetto ad altri produttori. Ciononostante, tali indicatori consentono agli amministratori di rafforzare in anticipo le proprie difese.
In alcuni casi, questi potrebbero essere tentativi falliti di sfruttare bug già chiusi, ma una campagna su larga scala potrebbe anche essere mirata a mappare i servizi disponibili per un ulteriore sfruttamento di vulnerabilità non ancora divulgate.
Un amministratore di sistema indipendente con il nickname NadSec – Rat5ak, ha segnalato un’attività simile iniziata a fine luglio e che ha preso slancio fino al 28 agosto. Ha registrato oltre 200.000 richieste ad ASA in 20 ore con un carico uniforme di 10.000 richieste da ciascun indirizzo, il che indica una profonda automazione. Le fonti erano tre sistemi autonomi: Nybula, Cheapy-Host e Global Connectivity Solutions LLP.
Si consiglia agli amministratori di installare gli ultimi aggiornamenti di Cisco ASA il prima possibile per chiudere le falle note, abilitare l’autenticazione a più fattori per tutti gli accessi remoti e non pubblicare direttamente pagine /+CSCOE+/logon.html, Web VPN , Telnet o SSH.
In casi estremi, si consiglia di esternalizzare l’accesso tramite un concentratore VPN, un reverse proxy o un gateway con verifica aggiuntiva.
È inoltre possibile utilizzare gli indicatori di attacco pubblicati da GreyNoise e Rat5ak per bloccare le richieste sospette sul perimetro e, se necessario, abilitare il geo-blocking e la limitazione della velocità. Cisco non ha ancora rilasciato dichiarazioni in merito.
L'articolo Preludio alla compromissione: è boom sulle scansioni mirate contro Cisco ASA proviene da il blog della sicurezza informatica.
The Gentlemen ransomware: analisi di una minaccia emergente nel dark web
Nel Q3 2025 è stato osservato un nuovo gruppo ransomware, identificato come The Gentlemen, che ha lanciato un proprio Data Leak Site (DLS) nella rete Tor.
L’infrastruttura e le modalità operative del gruppo indicano un livello di organizzazione medio-alto, con particolare attenzione alla gestione dell’immagine e alla sicurezza operativa. Il DLS di The Gentlemen è accessibile tramite un indirizzo .onion e si presenta come segue:
- Homepage minimalista con logo, motto e branding coerente.
- TOX ID pubblico per comunicazioni cifrate P2P, probabilmente utilizzato per le negoziazioni.
- QR code ridondante per facilitare l’accesso ai contatti.
- Sezione dedicata alle vittime, organizzata in schede con descrizioni e riferimenti a dati esfiltrati.
L’assenza di funzionalità superflue e la scelta di protocolli decentralizzati riducono la superficie d’attacco contro la loro infrastruttura.
Victimology
Le vittime osservate appartengono a settori ad alto valore strategico:
- Manifatturiero/Automotive (EU)
- Servizi tecnologici/IT consulting (Asia)
- Energia e Telecomunicazioni (global)
L’approccio suggerisce una strategia mirata verso entità con bassa tolleranza alla disruption e forte esposizione reputazionale.
Distinguishing Factors
- Branding marcato: stile grafico coerente e naming che punta a differenziarsi da gruppi caotici.
- OpSec rafforzata: uso di TOX invece di portali centralizzati.
- DLS modulare: struttura scalabile, pronta a ospitare un numero crescente di vittime.
Considerazioni finali
Il debutto di The Gentlemen conferma che il panorama ransomware è in continua evoluzione. L’attenzione ai dettagli, la costruzione di un DLS pulito e funzionale, e la scelta di obiettivi nei settori industriali più redditizi lasciano intuire che questo gruppo non sia un’iniziativa improvvisata, ma il risultato di un’organizzazione con risorse e competenze consolidate.
Per le aziende, la lezione è chiara: rafforzare le difese di rete e i processi di incident response è ormai imprescindibile, soprattutto in quei comparti che rappresentano un target primario per attori malevoli di nuova generazione.
L'articolo The Gentlemen ransomware: analisi di una minaccia emergente nel dark web proviene da il blog della sicurezza informatica.