Oggi più che mai, le aziende si trovano a dover affrontare rischi e minacce di ogni tipo: dagli attacchi informatici ai disastri naturali, fino a interruzioni operative impreviste. Per rispondere in modo efficace a queste sfide e garantire continuità operativa, esistono diverse metodologie e strumenti che, lavorando insieme, formano un sistema integrato di protezione.

Parliamo di Risk Assessment (RA), Business Impact Analysis (BIA), Business Continuity Plan (BCP), Disaster Recovery Plan (DRP) e Incident Response Plan (IRP).

Questi termini, apparentemente tecnici, sono in realtà facili da comprendere quando vengono collocati in un flusso logico. Vediamo cosa sono e, soprattutto, come si inseriscono nella giusta sequenza temporale per costruire una strategia efficace.

Partire dall’inizio: Risk Assessment (RA)

Il punto di partenza è sempre il Risk Assessment, ossia la valutazione dei rischi. Questo processo serve a identificare cosa potrebbe andare storto all’interno dell’organizzazione, quali sono le vulnerabilità più rilevanti e quali rischi potrebbero avere un impatto significativo. Ad esempio, si valutano le probabilità di attacchi informatici, blackout elettrici, terremoti o altri eventi critici.

Ma perché è importante iniziare da qui? Perché senza una mappa chiara dei rischi, sarebbe impossibile pianificare come mitigarli o gestirli. Il Risk Assessment diventa così la base per tutte le fasi successive: identifica le minacce, valuta i loro impatti e aiuta a stabilire le priorità.

Capire l’impatto: Business Impact Analysis (BIA)

Una volta che abbiamo capito quali rischi corriamo, dobbiamo chiederci: “Che impatto avrebbe questo rischio sulle operazioni aziendali?”. Ecco dove entra in gioco la Business Impact Analysis. Questa analisi ci permette di identificare quali processi aziendali sono davvero critici e quanto tempo possiamo sopportare un’interruzione prima che ci siano danni significativi.

Facciamo un esempio pratico: immagina un’azienda di e-commerce. La BIA ci dirà che il sito web e il sistema di pagamento sono processi critici e che un’interruzione di più di qualche ora potrebbe comportare perdite economiche importanti, oltre che danni alla reputazione. Con queste informazioni, possiamo stabilire su cosa concentrarci in caso di emergenza.

Pianificare la continuità: Business Continuity Plan (BCP)

Ora che conosciamo i rischi e i processi critici, è il momento di sviluppare un piano per mantenere l’azienda operativa anche durante una crisi: il Business Continuity Plan. Questo documento descrive cosa fare per garantire che l’azienda continui a funzionare, o riprenda il prima possibile, in caso di interruzioni.

Ad esempio, il BCP può includere strategie come spostare i dipendenti in sedi alternative, attivare backup dei dati o stabilire comunicazioni di emergenza con i clienti. È importante che il BCP sia pratico e ben testato: non basta scriverlo, bisogna assicurarsi che funzioni davvero.

Ripristinare i sistemi: Disaster Recovery Plan (DRP)

Tra le parti fondamentali del BCP c’è il Disaster Recovery Plan, che si concentra esclusivamente sui sistemi tecnologici. Se un attacco informatico manda offline i server o se un disastro naturale danneggia i data center, il DRP descrive come ripristinare i sistemi IT nel minor tempo possibile.

Perché è importante distinguere il DRP dal BCP? Perché il DRP si concentra solo sull’aspetto tecnologico, come il recupero di dati da backup o la riconfigurazione di infrastrutture IT. Senza un DRP efficace, molte aziende non riuscirebbero a riprendere le loro attività operative.

Gestire gli incidenti: Incident Response Plan (IRP)

Infine, c’è il Incident Response Plan, che si occupa di gestire gli incidenti specifici, come attacchi hacker o violazioni di dati. L’IRP descrive come rilevare e rispondere rapidamente a questi eventi, limitando i danni e minimizzando i tempi di interruzione.

Ad esempio, se un ransomware colpisce l’azienda, l’IRP stabilisce chi deve intervenire, quali azioni intraprendere immediatamente (come isolare i sistemi infetti) e come comunicare con le parti coinvolte. L’obiettivo è contenere il problema prima che si espanda.

La giusta sequenza temporale

Questi strumenti non lavorano in isolamento, ma si inseriscono in una sequenza logica che permette di costruire una strategia completa:

1. Risk Assessment (RA): Individua i rischi e le vulnerabilità.
2. Business Impact Analysis (BIA): Determina quali processi aziendali sono più critici e quali impatti avrebbe un’interruzione.
3. Business Continuity Plan (BCP): Pianifica come mantenere o ripristinare le operazioni aziendali.
4. Disaster Recovery Plan (DRP): Dettaglia come ripristinare i sistemi IT e le infrastrutture tecnologiche.
5. Incident Response Plan (IRP): Definisce come gestire incidenti specifici e contenere le emergenze.

Un sistema integrato per la resilienza aziendale

Questi strumenti non sono “a sé stanti”, ma lavorano insieme per garantire che un’organizzazione possa prevenire, affrontare e riprendersi da eventi avversi. Il Risk Assessment e la Business Impact Analysis forniscono le basi; il Business Continuity Plan rappresenta la visione strategica, mentre il Disaster Recovery Plan e l’Incident Response Plan si concentrano sulle azioni operative.

Implementare correttamente queste analisi e piani non solo riduce i rischi, ma aumenta la fiducia dei clienti, dei dipendenti e degli stakeholder, garantendo che l’azienda sia pronta ad affrontare qualsiasi sfida.

L'articolo Analisi e Pianificazione per la Resilienza Aziendale: Comprendere RA, BIA, BCP, DRP e IRP proviene da il blog della sicurezza informatica.

If you live near Central Park or some other local chess hub, you’re likely never short of opponents for a good game. If you find yourself looking for a computer opponent, or you just prefer playing online, you might like this LED chessboard from [DIY Machines] instead.

At heart, it’s basically a regular chessboard with addressable LEDs of the WS2812B variety under each square. The lights are under the command of an Arduino Nano, which is also tasked with reading button inputs from the board’s side panel. The Nano is interfaced with a Raspberry Pi, which is the true brains of the operation. The Pi handles chess tasks—checking the validity of moves, acting as a computer opponent, and connecting online for games against other humans if so desired. Everything is wrapped up with 3D printed parts, making this an easy project to build for the average DIY maker.

The video tutorial does a great job of covering the design. It’s a relatively simple project at heart, but the presentation is great and it looks awfully fun to play with. We’ve featured some other great builds from [DIY Machines] before, too. Video after the break.

youtube.com/embed/Z92TdhsAWD4?…

hackaday.com/2024/11/25/buildi…

There’s an old joke that they want to send an exploratory mission to the sun, but to save money, they are going at night. The European Space Agency’s Solar Orbiter has gotten as close as anything we’ve sent to study our star on purpose, and the pictures it took last year were from less than 46 million miles away. That sounds far away, but in space terms, that’s awfully close to the nuclear furnace. The pictures are amazing, and the video below is also worth watching.

Because the craft was so close, each picture it took was just a small part of the sun’s surface. ESA stitched together multiple images to form the final picture, which shows the entire sun as 8,000 pixels across. We’ll save you the math. We figure each pixel is worth about 174 kilometers or 108 miles, more or less.

The stunning images used the Polarimetric and Helioseismic Imager and the Extreme Ultraviolet Imager. The first instrument snapped the visible light and the magnetic field lines. It also provided a velocity map. The UV instrument took pictures of the corona.

Understanding the sun is important because it greatly impacts our life on Earth. Technology is especially sensitive, and, lest we forget, massive solar disruptions have happened before.

youtube.com/embed/SgTBMzjuqX0?…

hackaday.com/2024/11/25/solar-…

[Stephen] has a basement that depends on a sump pump. What that means is if the pump fails or the power goes out, the basement floods—which is rather undesirable. Not wanting to rely on a single point of failure, [Stephen] decided to build a monitor for the basement situation, which quickly spiralled to a greater degree of complexity than he initially expected.

The initial plan was just to have water level sensors reporting data over a modified CATS packet radio transmitter. On the other end, the plan was to capture the feed via a CATS receiver, pipe the data to the internet via FELINET, and then have the data displayed on a Grafana dashboard. Simple enough. From there, though, [Stephen] started musing on the possibilities. He thought about capturing humidity data to verify the dehumidifier was working. Plus, temperature would be handy to get early warning before any pipes were frozen in colder times. Achieving those aims would be easy enough with a BME280 sensor, though hacking it into the CATS rig was a little challenging.

The results are pretty neat, though. [Stephen] can now track all the vital signs of his basement remotely, with all the data displayed elegantly on a nice Grafana dashboard. If you’re looking to get started on a similar project, we’ve featured a great Grafana guide at a previous Supercon, just by the by. All in all, [Stephen’s] project may have a touch of the old overkill, but sometimes, the most rewarding projects are the ones you pour your heart and soul into!

hackaday.com/2024/11/25/an-ove…

Analog dials used to be a pretty common way of displaying information on test equipment and in industrial applications. They fell out of favor as more advanced display technologies became cheaper. However, if you combine an analog dial with a modern e-ink display, it turns out you get something truly fantastic indeed.

This build comes to us from [Arne]. The concept is simple—get an e-ink display, and draw a dial on it using whatever graphics and scale you choose. Then, put it behind a traditional coil-driven analog dial in place of the more traditional paper scale. Now, you have an analog dial that can display any quantity you desire. Just update the screen to display a different scale as needed. Meanwhile, if you don’t need to change the display, the e-ink display will draw zero power and still display the same thing.

[Arne] explains how it all works in the writeup. It’s basically a LilyGo T5 ESP32 board with an e-ink screen attached, and it’s combined with a MF-110A multimeter. It’s super easy to buy that stuff and start tinkering with the concept yourself. [Arne] uses it with Home Assistant, which is as good an idea as any.

You get all the benefits of a redrawable display, with the wonderful visual tactility of a real analog dial. It’s a build that smashes old and new together in the best way possible. It doesn’t heart that [Arne] chose a great retro font for the dial, either. Applause all around!

hackaday.com/2024/11/25/e-ink-…

[MindYourDecisions] presents a Babylonian tablet dating back to around 1800 BC that shows that the hypotenuse of a unit square is the square root of two or 1.41421. How did they know that? We don’t know for sure how they computed it, but experts think it is the same as the ancient Greek method written down by Hero. It is a specialized form of the Newton method. You can follow along and learn how it works in the video below.

The method is simple. You guess the answer first, then you compute the difference and use that to adjust your estimate. You keep repeating the process until the error becomes small enough for your purposes.

For example, suppose you wanted to take the square root of 85. You can observe that 9 squared is 81, so the answer is sort of 9, right? But that’s off by 4 (85-81=4). So you take that number and divide it by the current answer (9) multiplied by two. In other words, the adjustment is 4/18 or 0.2222. Putting it together, our first answer is 9.2222.

If you square that, you get about 85.05 which is not too bad, but if you wanted closer you could repeat the process using 9.2222 in place of the 9. Repeat until the error is as low as you like. Our calculator tells us the real answer is 9.2195, so that first result is not bad. A second pass gives 9.2193, You could keep going, but that’s close enough for almost any purpose.

The video shows a geographical representation, and if you are a visual thinker, that might help you. We prefer to think of it algebraically. You are essentially creating each adjustment by adding the guess and the square divided by the guess and averaging them.

The ancients loved to estimate numbers. And Hero was into a lot of different things.

youtube.com/embed/MXveVqBxFow?…

hackaday.com/2024/11/25/square…

[Folaefolc] was craving a new keyboard build a few weeks ago and got inspired by the humble 3.5″ floppy disk. So much so that he decided to make a split keyboard with each half having the exact footprint of a floppy — 90 mm x 94 mm. And you know the PCBs have floppy details silkscreened on the back. Just check out the gallery.

Image via [Folaefolc] via redditThis bad boy uses a pair of Liatris microcontrollers, which are made by splitkb and are designed to be drop-in replacements for Pro Micros and an alternative to the RP2040.

The other fun part of this build is that [Folaefolc] used RJ9 connectors to join the halves instead of something like TRRS.

Beneath those candy keycaps are 34 Kailh choc v1 switches shoved into hot swap sockets in case [Folaefolc] changes his mind. Gerbers are available if you want to build one of these cuties!

Via reddit

A Bicycle Built for Two Hands

[Lachlan Kermode] got so heavy into cycling last summer that he figured out the best possible way to do so while getting work done. Now, if only he could get some fresh air as well.

Image by [Lachlan Kermode] via OHRGPhase Zero involved simply sliding the stationary bike under the standing desk, but that didn’t really work for keyboarding. Once someone noted that [Lachlan]’s keyboard is from the ZSA family and pointed him toward the tripod mount, he was on the right track.

This mount is basically just a couple of magnets that attach to the keyboard halves and let you mount them to a standard tripod screw. A couple of camera clamps later, and Bob became [Lachlan]’s proverbial uncle.

Having used it for a while now, [Lachlan] found the most comfort with the halves pointed downward at a 45° angle, which allows him to rest his palms on the handlebars and type fairly comfortably. It’s going to take some experimentation to get it perfect, but he seems to be most of the way there.

The Centerfold: This 90s Japanese TRON Keyboard

Image via reddit
No, not TRON (1982). This keyboard refers to the Japanese operating system and Unicode alternative, where TRON stands for The Real-time Operating system Nucleus. I’m not sure how many fingers you’re supposed to have to use this thing, which looks at once both ergonomic and wildly not, what with those faraway pinkie keys. Hey, at least it’s Dvorak? See also Xah Lee’s page and this video for more about these keyboards.

youtube.com/embed/DdleC5v5O0M?…

Do you rock a sweet set of peripherals on a screamin’ desk pad? Send me a picture along with your handle and all the gory details, and you could be featured here!

Historical Clackers: The Fitch (American)

Image via The Antikey Chop
Yes there are British Fitches as well, and they were slightly different than the American Fitch. I’m guessing that both models bore that wild rear-downstrike typebar arrangement which both distinguished it and doomed it to failure. Be sure to check out the other pictures on the Antikey Chop site, including the really strange layout.

The Fitch could type 78 characters with its 26-key, double-shift keyboard. The 1u Space is of particular interest. Ink was transferred via roller, and the earliest specimens had a pair of reservoirs behind the carriage for spare rollers.

Though this machine looks heavy (at least to me), the Fitch weighed only 11 pounds and took up a cubic foot of space. It was never advertised as a portable, though the Antikey Chopkeep theorizes that they could have been. These Fitches were evidently quite well-built little machines, which makes their lightness that much more intriguing.

ICYMI: ESP32 Hosts Keyboard

Image via YouTube
You’re likely aware of the USB device mode of an ESP32. But did you know that they can act as HID hosts, too? That’s Human Interface Devices — keyboards, mice, trackballs, and the like.

For this project, [Volos] used the EspUsbHost Arduino library, which makes USB host mode a relatively simple thing to use. Tantamount to success here is the LCD board: it has a dual-role USB-C port, so the hardware required to switch roles is right there.

On the software side, [Volos] created a simple word processing program that saves and loads files from a microSD card, using a four-bit palette to save on memory.

Got a hot tip that has like, anything to do with keyboards? Help me out by sending in a link or two. Don’t want all the Hackaday scribes to see it? Feel free to email me directly.

hackaday.com/2024/11/25/keebin…

Un’altra giornata nera per gli utenti di Microsoft 365, con un blackout che sta mettendo in ginocchio Exchange Online, Microsoft Teams e SharePoint Online. Iniziato circa sei ore fa, il disservizio ha rapidamente scatenato migliaia di segnalazioni. Ma non finisce qui: anche OneDrive, Outlook (sia Web che Desktop), Copilot, Purview e altri servizi correlati stanno subendo disagi significativi.

La dichiarazione ufficiale di Microsoft

“Stiamo investigando su un problema che impatta gli utenti che tentano di accedere a Exchange Online o funzionalità del calendario di Microsoft Teams,” ha comunicato Microsoft, invitando gli amministratori IT a seguire l’incidente MO941162 per aggiornamenti.

L’azienda ha confermato che l’interruzione coinvolge diversi metodi di accesso a Exchange, inclusi Outlook Web, desktop client, REST e Exchange ActiveSync (EAS). Anche altre piattaforme, come Microsoft Fabric, Bookings e Defender for Office 365, sembrano risentire della stessa instabilità.

Cosa ha causato l’interruzione?

Microsoft ha rivelato che il malfunzionamento è legato a una “recente modifica” implementata sull’infrastruttura. Per risolvere, l’azienda ha già distribuito una patch, avviato il riavvio manuale di sistemi compromessi e monitorato la situazione. Al momento, il fix ha raggiunto circa il 70% degli ambienti colpiti.

“Abbiamo avviato riavvii manuali su una parte delle macchine che si trovano in stato critico,” ha aggiunto Microsoft, evidenziando che il processo di ripristino è ancora in corso.

Impatti sui clienti

Sei ore di interruzione rappresentano un impatto significativo per le aziende che fondano le loro attività quotidiane su Microsoft 365. Situazioni come l’impossibilità di inviare un’email cruciale o di accedere a documenti essenziali su OneDrive possono paralizzare interi processi lavorativi.

Questo incidente ci ricorda quanto la dipendenza da piattaforme centralizzate possa trasformarsi in un rischio significativo. E, mentre Microsoft si affanna per riportare la situazione alla normalità, molti utenti si chiedono quanto tempo ancora ci vorrà per ripristinare pienamente i servizi.

Conclusione

Le interruzioni di questa portata vanno ben oltre il semplice inconveniente tecnico, evidenziando l’importanza di un approccio proattivo alla continuità operativa. Le aziende dovrebbero cogliere l’occasione per riesaminare i propri piani di resilienza IT e adottare misure adeguate per garantire che eventi simili abbiano un impatto minimo sulle loro operazioni.

Questo episodio offre una lezione importante: investire nella prevenzione e nella preparazione non è un’opzione, ma una necessità per affrontare le sfide di un mondo sempre più digitale.

Per ora, resta solo da attendere e sperare che Microsoft riesca a completare il ripristino al più presto.

L'articolo Microsoft 365 in Tilt: Exchange Online, Teams e SharePoint fuori uso proviene da il blog della sicurezza informatica.

L’Italia sta vivendo un’escalation di attacchi informatici, con i cybercriminali che colpiscono sempre più frequentemente i settori finanziario, sanitario e pubblico, sfruttando vulnerabilità nei sistemi e nei dispositivi. Tecniche come ransomware e phishing, sono in continua evoluzione, mettendo a dura prova le difese tradizionali delle aziende e delle istituzioni.

In Red Hot Cyber, siamo in prima linea nella difesa contro queste minacce (anche attraverso il nostro gruppo DarkLab), attraverso attività avanzate di Cyber Threat Intelligence (CTI). Le nostre operazioni di monitoraggio e analisi ci permettono di anticipare gli attacchi e proteggere le organizzazioni italiane. Collaboriamo con aziende, enti pubblici e privati per identificare e neutralizzare le minacce in tempo reale, fornendo intelligence strategica per difendere la sicurezza digitale del nostro Paese.

Di seguito, troverete le news in tempo reale relativamente agli aggiornamenti sui nuovi attacchi informatici che riguardano il panorama italiano, per aiutarvi a rimanere informati e preparati contro le minacce emergenti.

• 
  Attacchi Hacker Oggi in Italia: News in tempo reale sugli attacchi informatici
  di Redazione RHC
  25/11/2024
• 
  Il Giallo dell’attacco ad INPS Servizi SpA. È stato Lynx? Li abbiamo sentiti
  di Alessio Stefan
  23/11/2024
• 
  Giovane 18enne Emiliano Denunciato per Truffa Nella Rivendita di Biglietti dei Concerti Falsi
  di Redazione RHC
  18/11/2024
• 
  Aziende italiane continuamente sotto pressione: Everest Rivendita un attacco alla Bio-Clima
  di Vincenzo Miccoli
  16/11/2024
• 
  180.000 Dati di Clienti italiani in Vendita! Qual è l’E-Commerce Sconosciuto?
  di Redazione RHC
  15/11/2024
• 
  900 Cyber-Attacchi in Brianza nel 2024: Le Aziende Italiane Sono Pronte a Difendersi?
  di Redazione RHC
  11/11/2024
• 
  Alpha Team rivendica un attacco informatico all’italiana Brevi nelle Underground criminali
  di Redazione RHC
  08/11/2024
• 
  Garante Privacy a Banca Intesa: 20 giorni per informare i clienti della violazione dei dati
  di Redazione RHC
  06/11/2024
• 
  Ma quali Hacker! Gli Attori dello Spygate Sono Veri Insider Threats
  di Redazione RHC
  04/11/2024
• 
  715 milioni di euro in Cyber-sicurezza! Partiamo dai Veri Esperti e Non dai Burocrati. Occorre Operatività!
  di Redazione RHC
  01/11/2024
• 
  Cybersecurity in Italia: Chi Ha Fatto I Compiti? Scandali e Smanettoni in un Ottobre Torrido del 2024
  di Stefano Gazzella
  31/10/2024
• 
  Spioni Ecclesiastici? Indiscrezioni Dalle indagini Parlano di Richieste Provenienti dalla Chiesa
  di Redazione RHC
  30/10/2024
• 
  Così Ti Elimino gli Spioni! Ecco le Linee Guida del Governo, Ma occorre un Focus sulle cose Essenziali
  di Redazione RHC
  30/10/2024
• 
  Vecchi Data Breach Rivenduti (Quasi) come Nuovi: il Caso dei 35 Milioni di Record di Amazon
  di Redazione RHC
  29/10/2024
• 
  Italia: Spioni e Incompetenti nella Cyber Security. 800 mila dossier e 51 indagati in un cyber-scandalo che mina la Democrazia
  di Redazione RHC
  28/10/2024

L’Italia e la sicurezza informatica

Le infrastrutture IT italiane sono sempre più esposte a minacce informatiche avanzate, mettendo a rischio dati sensibili e servizi critici. Tra le principali minacce spicca il ransomware, con gruppi come Lockbit, 8base, Qilin, Stormous e Cicada3301 (intervistati da Red Hot Cyber) che colpiscono regolarmente settori pubblici e privati. Questi attacchi compromettono dati personali e aziendali, causando gravi danni economici e reputazionali.

Oltre al ransomware, il panorama delle minacce comprende attacchi malware, vulnerabilità zero-day, infostealer e operazioni condotte tramite Initial Access Broker (IaB). Gli attacchi Distributed Denial of Service (DDoS), spesso utilizzati da hacktivisti, paralizzano infrastrutture vitali e interrompono i servizi.

A peggiorare il quadro, gli attacchi sponsorizzati da stati esteri tramite APT (Advanced Persistent Threats) rappresentano una sfida cruciale. Questi gruppi riescono a infiltrarsi nelle reti, rimanendo nascosti a lungo per rubare informazioni strategiche.

L’Italia mostra una fragilità informatica significativa. Solo attraverso politiche concrete e una strategia nazionale di cybersicurezza sarà possibile rafforzare la resilienza del paese contro le minacce informatiche.

L'articolo Attacchi Hacker Oggi in Italia: News in tempo reale sugli attacchi informatici proviene da il blog della sicurezza informatica.

Most RC planes follow a simple control scheme: elevators for pitch, rudder for yaw, and ailerons for roll. This one-to-one mapping keeps things straightforward, and fewer actuators means less weight. But nature has other ideas. Birds achieve flight control through complex, coordinated movements where different body parts can affect multiple degrees of freedom simultaneously. Now, researchers at EPFL have brought this biological approach to robotics with the LisEagle, a drone featuring morphing wings and tail that demonstrate remarkable stability.
All the actuators!
The LisEagle packs seven different actuation methods alongside its nose-mounted motor. Three of these control the bird-like wingtips and spreading tail, while the remaining actuators handle more conventional controls: independently twisting wing bases (similar to ailerons) and a tail assembly that combines elevator and rudder functions in its vertical stabilizer.

Testing took place in controlled indoor conditions, with the maintaining position in front of an open wind tunnel. Optical position tracking provided closed-loop feedback and power was provided via a tether to minimize weight. A PID flight controller orchestrated all seven actuators in concert, achieving impressive stability even when faced with induced turbulence or being poked with a stick. In a demonstration of redundancy, the researchers deliberately disabled the twisting wing mechanisms, and the aircraft maintained control using just its wingtips and tail.

The team went further, employing Bayesian optimization to find the most efficient actuator combinations. This revealed potential energy savings of up to 11%, with optimal configurations varying based on airspeed as lift requirements changed.

While research into the flight mechanisms of bees, bats and birds might not immediately translate to practical applications, it deepens our understanding of flight control principles. Don’t be surprised if morphing wings become a more common sight in future aircraft designs.

youtube.com/embed/5n8Mlsi7tFk?…

hackaday.com/2024/11/25/experi…

Earlier this year [Skyhawkson] got ahold of a Apollo-era printed circuit board which he believes was used in a NASA test stand. He took high quality photos of both sides of the board and superimposed them atop each other. After digging into a few obsolete parts from the 1960s, he was able to trace out the connections. I ran across the project just after making schematics for the Supercon badge and petal matrix. Being on a roll, I decided to take [Skyhawkson]’s work as a starting point and create KiCad schematics. Hopefully we can figure out what this circuit board does along the way.

The board is pretty simple:

• approximately 6.5 x 4.5 inches
• 22 circuit edge connector 0.156 in pitch
• 31 ea two-terminal parts ( resistors, diodes )
• 3 ea trimmer potentiometers
• 7 ea transistors
• parts arranged in 4 columns

The first thing I did was to create a “dumb” schematic, with no logical significance other than it matched the geometry of the board. The result should match [Skyhawkson]’s diagrams ( it did ).

The next step was to unwrap the parts and connections, with the goal of making recognizable circuits. It was easy to get circuits crossed up and lose track of the original connections. When making a PCB from schematics, if you delete connections and move parts around, you have the rats nest to guide you. But when going the other way, you’re on your own.

To mitigate this, I made a placeholder PCB whose only purpose is to hold the true netlist. Having a correct PCB design provides a way to check the schematic. Go to the PCB editor, update the PCB from schematics, and run a DRC. I little cumbersome, but better than nothing.

As I first studied the diagram, I realized there are really two independent circuits on the PCB, connected by only one signal. This made unfolding and rearranging the parts easier. Not having any clue what this board did, I just untangled each transistor circuit one by one. Knowing the basic function of a transistor, there are only so many ways to orient each one that makes any sense. Soon, familiar circuits began to appear from the jumble of parts.

Obviously this card belonged in a rack system with an interconnecting back plane. We have no idea what these signals do, and that made it more challenging. In addition, there are some signals that seem unnecessary. My speculation is that these are used in PCB testing, test equipment checkout, or perhaps to operate the board in different modes.

Parts

When researching the parts on the board, [Skyhawkson] found a few that were difficult to pin down. By coincidence, even the sketchy details of two such parts gives us clues to the board’s purpose.

Current Sense Resistor

R125 is an X.1 ohm, 3W wirewound resistor. [Skyhawkson] had to peel back conformal coating to find even a partial part number. This resistor conforms to the MIL-R-26/C, RW59 specification. Many other RWxx resistors from this family are still used today, but RW59 seems to have been dropped a long time ago. It might have already been on the way out back in 1962.

Having such low resistance, perhaps 0.1 ohms, it seems likely to be a current sensing resistor. The low value and high wattage reinforces that idea. But I later realized that almost all of the resistors on the board are 3W, which I guess that was the norm back then. This makes the 3 W power rating of R125 less special. Adding to the mystery, one leg of R125 leaves the board. But lacking of a better explanation, I will stick to my initial guess that this is a current sense circuit.

Temperature Compensated Zener

There are several zener diodes on the board, but only one of them has an elusive datasheet — the 1N2625. After combing through old semiconductor data books from the 1960s, I found some interesting information on this Zener diode in Motorola’s Semiconductor Data Book from 1966. This diode comes from a family of temperature compensated Zener diodes 1N262x. Ignoring temperature grades, there are three basic ones 22, 23, and 24, which differ only in their temperature coefficient. But there are two more special ones in the series, 25 and 26, which sport even better TC values and have a slightly lower zener voltage of 9.4 vs 9.7 V.

If you try to track this part over the decades, it seems to have become / been rolled into the 1N937 series that, though obsolete, is still available from Microchip. But this 60 year old zener has a TC that is an order of magnitude better than its modern equivalent. This suggests that the 9.4 V reference voltage on this PCB plays a key role.
1N262X Family Zener Diodes, Motorola Data Book 1966, pg 1-27

Best Guess

I see a precision voltage reference, what looks like a differential amplifier, and also know that the board was used in NASA test equipment. I immediately think “sensor interface card” — most certainly designed to interface with a strain gauge. A strain gauge is wired into one leg ( or more ) of a Wheatstone bridge excited by a precision voltage. The bridge imbalance is proportional to the strain of the material being measured. The weak signal is usually boosted by a differential amplifier followed by other conditioning circuits. And if your sensor interface card is flexible, you can also configure it to read RTDs, thermocouples, and other kinds of sensors as well. Sensor interface circuitry would certainly be a common need throughout NASA ground test equipment back in the 1960s, and today as well.

Excitation Driver

If my analysis is correct, the supply takes about +80 VDC on the input before all three zener voltage references become active. That seems a bit high. But back in the 60s, maybe this was a common B+ voltage. But, if you only supply say 28 VDC, transistors Q101 and Q102 bypass the top and bottom zeners. Maybe all that circuitry is there just to allow a wide range of input voltages?
Detail of Excitation Circuit, Best Guess
There seems to be a lot of unused edge connector signals, or at least signals I don’t understand, associated with this section. I have a nagging feeling that some of these might be used by other parts of the system to check that the interface card is present and working, and that the cables to the sensor have not shorted nor broken.

Differential Input Amplifier

On the Hackaday.io project discussion section, hacker [Lauri Pirttiaho] pointed out that four of the transistors appeared to make up a differential amplifier. He is right I believe, and if he got that by just glancing at the PCB photos, I’m really impressed. The circuit appears to drive a load located off-board, presumably generating a voltage to be recorded, plotted, converted to digital data, and/or viewed on meters. The operating point is biased by a current set by the zener and transistor combination CR109 / Q107, but the return path for that current isn’t clear. I guessed it returns through the output power supply return, as drawn on the schematics, but am not 100% confident.

This CR109 / Q107 bias circuit can be turned off by grounding edge connector signal NET17, thus disabling the difference amplifier output transistors. This could be a useful feature for multiplexing a group of sensors boards onto a single using A2D converter. Instrumentation quality A2D converters were probably more expensive back in 1962, so this seems like a reasonably guess.
Detail of Differential Amplifier, Best Guess

Edge Connector, Nets

I connected the external signals up to a 22-pin edge-card connector schematic symbol and labeled them according to my guesses. The hope was that their positions along the card edge connector would give me additional insight. They did not. Lacking any descriptive names for the nets, [Skyhawkson] numbered them. I retained that same scheme here. Note that nets 1 through 21 are go to the card edge, and nets 22 through 36 are internal to the board. He numbered the net names sequentially along the card edge connector. But because of the keying gap in the connector, the net numbers don’t match the connector pin number from pin 5 onwards. For example, connector pin 6 is NET05 and so on.
Detail of Edge Card Connector, Best Guess

Mystery Trimming

The section with the R125 current sense resistor also has a bunch of trimmer potentiometers, and almost all of the connections go off board. It might be use to adjust the gain and offset of the output signal. I also wonder these could somehow comprise the fixed legs of the bridge. I’m at a loss here.

Lessons Learned and Next Steps?

This KiCad reverse engineering project has been both easier and more difficult than previous ones. The PCB is so simple by today’s standards, and [Skyhawkson] has already done the tedious task of tracing out the connections. He’s also identified all the parts on the board and prepared a bill of materials. This was a great starting point.

In previous projects, I knew the schematic ahead of time or else I had a reasonable idea of the PCB’s functionality and flow of signals. In the case of this Apollo-era board, I knew nothing. It was just a bunch of transistors and supporting discrete components. It made me appreciate modern IC packages, where knowing a part number gives big clues about its function.

Hints can be found in even the simplest parts. Figuring out that diode 1N2625 was a zener with 0.0002 % temperature coefficient was a big clue that a precision voltage reference was present. The low value R125 is probably a current sensing resistor, but what current is being sensed is still not clear.

The redrawn schematics are found in this GitHub repository. If you have any further ideas about how this circuit board might have been used, please let us know in the comments below. If we get enough additional information, maybe [Skyhawkson] can be convinced to power up the board and test it out.

hackaday.com/2024/11/25/apollo…

Martedì 19 novembre 2024, Adam Meyers, senior Vice President delle Counter Adversary Operations di CrowdStrike,testimonia davanti alla sottocommissione giudiziaria del Senato degli Stati Uniti sulla privacy, la tecnologia e la legge sulle minacce informatiche cinesi alle infrastrutture critiche. Nel corso della sua testimonianza, Adam parla pubblicamente per la prima volta di un attore sponsorizzato dallo Stato cinese che CrowdStrike Counter Adversary Operations identifica comeLIMINAL PANDA.

Almeno dal 2020, LIMINAL PANDA ha preso di mira organizzazioni parte del settore delle telecomunicazioni utilizzando strumenti personalizzati che consentono covert access, command and control (C2) e l’esfiltrazione dei dati. L’avversario dimostra un’ampia conoscenza delle reti di telecomunicazione, compresa la comprensione delle interconnessioni tra i fornitori. LIMINAL PANDA ha utilizzato server di telecomunicazioni compromessi per dare inizio ad intrusioni in altri fornitori, in altre regioni geografiche.
Adam Meyers, senior Vice President delle Counter Adversary Operations di CrowdStrike
L’avversario conduce la sua attività di intrusione utilizzando protocolli che supportano le telecomunicazioni mobili, come l’emulazione dei protocolli del sistema globale per le comunicazioni mobili (GSM) per consentire il C2 e lo sviluppo di strumenti per recuperare informazioni sugli abbonati del servizio mobile, metadati delle chiamate e messaggi di testo (SMS).

È molto probabile che LIMINAL PANDA sia impegnato in attività di intrusione mirata a supporto della raccolta di informazioni. Questa valutazione viene effettuata con grande probabilità sulla base del profilo del bersaglio identificato dall’avversario, dei probabili obiettivi della missione e delle tattiche, tecniche e procedure osservate (TTP), che suggeriscono requisiti di accesso occulto a lungo termine.

Questo blog fornisce una panoramica della storia di CrowdStrike nel monitoraggio di LIMINAL PANDA, illustra le caratteristiche, gli obiettivi e le tattiche principali dell’avversario e suggerisce alle organizzazioni una guida per difendersi da questa minaccia.

Tracciamento e identificazione di LIMINAL PANDA

Nel 2021, CrowdStrike ha attribuito diverse intrusioni nel settore delle telecomunicazioni al gruppo di attività LightBasin, che ha costantemente preso di mira le TELCO almeno dal 2016, utilizzando vari strumenti personalizzati. Una revisione approfondita di questa attività di intrusione ha determinato che alcuni degli eventi documentati in uncrowdstrike.com/en-us/blog/an-…precedente post del blog sono attribuibili a un avversario diverso, ora identificato come LIMINAL PANDA. Questa associazione è risultata dal fatto che più attori stavano conducendo attività dannose su una rete compromessa altamente contestata.

CrowdStrike ha aggiornato il post del blog per riflettere l’attività ora tracciata come LIMINAL PANDA e fornire ulteriori dettagli e TTP, compreso l’uso da parte dell’avversario di strumenti proxy pubblicamente disponibili durante le intrusioni. Questa nuova attribuzione non influisce sull’analisi tecnica del malware di LightBasin e sulle TTP descritte nell’analisi originale.

CrowdStrike continua a monitorare tutte le altre attività di LightBasin e le famiglie di malware associate sotto il nome del cluster di attività stabilito. I rapporti di intelligence, compresi gli aggiornamenti del profilo operativo di LightBasin, sono stati resi pubblici agli abbonati acrowdstrike.com/platform/threa…CrowdStrike Falcon® Adversary Intelligence Premium. Questi aggiornamenti forniscono dettagli accurati sulla portata dell’obiettivo dell’attore, sulle TTP e sulle attuali valutazioni di attribuzione del malware.

Strumenti, tattiche e comportamenti di LIMINAL PANDA

L’avversario LIMINAL PANDA prende di mira i fornitori di telecomunicazioni con vari strumenti che consentono l’accesso occulto, il C2 e l’esfiltrazione dei dati. Nel 2020 e 2021, LIMINAL PANDA ha probabilmente preso di mira più fornitori di telecomunicazioni, utilizzando l’accesso a queste entità per compromettere le organizzazioni.

L’avversario dimostra un’ampia conoscenza delle reti di telecomunicazione, la comprensione delle interconnessioni tra i provider e dei protocolli che supportano le telecomunicazioni mobili. LIMINAL PANDA emula i protocolli del sistema globale per le comunicazioni mobili (GSM) per consentire il C2 e lo sviluppo di strumenti per recuperare informazioni sugli abbonati al servizio mobile, metadati delle chiamate e messaggi di testo.

LIMINAL PANDA utilizza una combinazione di malware personalizzata, strumenti disponibili pubblicamente e software proxy per instradare le comunicazioni C2 attraverso diversi segmenti di rete. La Tabella 1 elenca il malware e gli strumenti associati a ciascun attore.

LIMINAL PANDA conduce attività di intrusione che rappresentano una minaccia potenziale significativa per le organizzazioni del settore delle telecomunicazione. L’avversario prende di mira queste entitá per raccogliere direttamente informazioni sulla telemetria della rete e sugli abbonati o per compromettere altre organizzazioni sfruttando i requisiti di connessione interoperativa del settore. Le probabili motivazioni operative di LIMINAL PANDA – indicate dallo sviluppo e dall’impiego di strumenti specifici per la tecnologia delle telecomunicazioni – sono strettamente allineate con le operazioni di raccolta dei segnali di intelligence (SIGINT) per la raccolta di informazioni, in contrapposizione all’accesso per fini finanziari.

LIMINAL PANDA si è precedentemente concentrato sui fornitori di telecomunicazioni dell’Asia meridionale e dell’Africa, suggerendo che i loro obiettivi finali probabilmente risiedono in queste regioni; tuttavia, anche gli individui in roaming in queste aree potrebbero essere presi di mira a seconda della configurazione della rete compromessa e dell’accesso attuale di LIMINAL PANDA. Allo stesso modo, a seconda dei loro attuali requisiti di raccolta, l’avversario potrebbe utilizzare TTP simili per colpire le telecomunicazioni in altre aree.

CrowdStrike Intelligence ritiene che l’attività di LIMINAL PANDA sia in linea con le operazioni informatiche della Cina. Questa valutazione è fatta con bassa probabilità sulla base dei seguenti fattori, che da soli non indicano certezza di attribuzione a causa della loro natura non esclusiva:

• Il bersaglio sono organizzazioni che operano in Paesi associati alla Belt and Road Initiative (BRI) della Cina, una strategia a livello nazionale che cerca di creare opportunità economiche allineate con gli interessi prioritari di Pechino delineati nel 13° e 14° Piano quinquennale della Cina.
• Utilizzo di una stringa Pinyin (wuxianpinggu507) per la chiave XOR di SIGTRANslatore la password per alcuni servizi proxy remoti di LIMINAL PANDA. Questo testo Pinyin si traduce in “valutazione wireless 507” o “valutazione illimitata 507”. “Valutazione wireless” è probabilmente la traduzione corretta, dato che il malware viene utilizzato per colpire i sistemi di telecomunicazione. Questo termine è anche simile al dominio wuxiapingg[.]ga, che in precedenza era ospitato su un indirizzo IP associato a LIMINAL PANDA. Diversi altri nomi di dominio che si sovrappongono all’infrastruttura di LIMINAL PANDA utilizzano anche rappresentazioni Pinyin di termini mandarini, suggerendo ulteriormente che gli attori associati all’infrastruttura del gruppo probabilmente parlano cinese.
• Utilizzo del nome di dominio wuxiapingg[.]ga come infrastruttura di consegna e C2 per Cobalt Strike, uno strumento di accesso remoto (RAT) disponibile in commercio che gli attori di China-nexus utilizzano spesso.
• Utilizzo di Fast Reverse Proxy e della backdoor TinyShell disponibile pubblicamente, entrambi utilizzati da diversi avversari cinesi, tra cui SUNRISE PANDA e HORDE PANDA.
• Utilizzo dell’infrastruttura VPS fornita da Vultr, un provider comunemente – anche se non esclusivamente – utilizzato da avversari e attori di China-nexus.

Raccomandazioni

Le attività di intrusione note di LIMINAL PANDA hanno tipicamente abusato dei rapporti di fiducia tra i fornitori di telecomunicazioni e delle lacune nei criteri di sicurezza, consentendo all’avversario di accedere all’infrastruttura principale da host esterni.

Queste raccomandazioni possono essere implementate per contribuire alla protezione contro l’attività descritta in questo blog:

• Implementare una soluzione EDR (Endpoint Protection and Response) avanzata e in tempo reale, comecrowdstrike.com/platform/endpo…CrowdStrike Falcon®, in tutto l’ambiente di rete, compresi i server considerati inaccessibili da Internet.
• Implementare strategie di password complesse – evitando opzioni predefinite o generiche – per l’autenticazione SSH o utilizzare metodi più sicuri come l’autenticazione con chiave SSH, in particolare sui server che accettano connessioni da organizzazioni esterne (ad esempio, i server eDNS).
• Ridurre il numero di servizi accessibili al pubblico che operano su server che accettano connessioni da organizzazioni esterne a quelli necessari per l’interoperabilità organizzativa.
• Applicare le politiche di controllo dell’accesso alla rete interna per i server in base al ruolo e ai requisiti (ad esempio, ridurre al minimo le possibilità di accesso dai server eDNS ad altri dispositivi di gestione e all’infrastruttura di rete, a meno che non sia necessario per scopi di amministrazione); in questi casi, l’accesso deve essere limitato da meccanismi di autenticazione sicuri.
• Registrare le connessioni SSH tra i server interni e monitorarle per rilevare attività anomale.
• Verificare le regole iptables implementate sui server, controllando la presenza di voci anomale che consentono l’accesso in entrata da indirizzi IP esterni sconosciuti.
• Utilizzare meccanismi di controllo dell’integrità dei file sui file binari dei servizi di sistema critici, come iptables, per identificare se sono stati modificati o sostituiti in modo inaspettato.

L'articolo LIMINAL PANDA: La Minaccia Invisibile che Spia le Telecomunicazioni dal 2020 proviene da il blog della sicurezza informatica.

It is hard to imagine that there was a time when having a keyboard and screen readily available was a real problem for people who wanted to experiment with computers. In the 1970s, if you wanted a terminal, you might well have built a [Don Lancaster] “TV Typewriter” and the companion “low cost keyboard.” [Artem Kalinchuk] wanted to recreate this historic keyboard and, you know what? He did! Take a look at the video below.

The first task was to create a PCB from the old artwork from Radio Electronics magazine. [Artem] did the hard work but discovered that the original board expected a very specific kind of key. So, he created a variant that takes modern MX keyboard switches, which is nice. He does sell the PCBs, but you can also find the design files on GitHub.

Not only were the TV typewriters and related projects popular, but they also inspired many similar projects and products from early computer companies.

The board is really just a holder for keys, some jumper wires, and an edge connector. You still need an ASCII encoder board, which [Artem] also recreates. That board is simple, using diodes, a few transistors, and a small number of simple ICs.

If you weren’t there, part of installing old software was writing the code needed to read and write to your terminal. No kidding. We miss [Don Lancaster]. We wonder how many TV typewriters were built, especially if you include modern recreations.

youtube.com/embed/akgyQJSSxYs?…

hackaday.com/2024/11/25/the-la…

We at Kaspersky’s Global Research and Analysis Team monitor over 900 APT (advanced persistent threat) groups and operations. At the end of each year, we take a step back to assess the most complex and sophisticated attacks that have shaped the threat landscape. These insights enable us to anticipate emerging trends and build a clearer picture of what the APT landscape may look like in the year ahead.

In this article in the KSB series, we review the trends of the past year, reflect on the predictions we made for 2024, and offer insights into what we can expect in 2025.

Review of last year’s predictions

The rise of creative exploits for mobile, wearables and smart devices

Our discovery of Operation Triangulation last year shed light on a unique attack chain involving exploits for Apple devices, including those operating on iOS and watchOS. These exploits were leveraging multiple vulnerabilities involving components such as WebKit and the XNU kernel, as well as the Apple processor.

As expected, we continued to observe attacks in 2024 involving exploits for Apple devices. For instance, in January, Apple shared that CVE-2024-23222, a remote code execution vulnerability in Safari’s browsing engine, may have been used in cyberattacks. In addition, this fall, Apple disclosed two more exploits that have most likely been used in the wild: CVE-2024-23225 for the XNU kernel and CVE-2024-23296 for RTKit.

As for Android devices, they also remain lucrative targets for sophisticated threat actors. In November, Google published information on two vulnerabilities that “may be under limited, targeted exploitation”: CVE-2024-43093 and CVE-2024-43047. Interestingly, the latter, just like one of the exploits used in Operation Triangulation, leverages a flaw involving a hardware processor. As we can see, targeted threat actors are becoming more and more interested in exploiting vulnerabilities involving hardware components of mobile devices.

Verdict: prediction fulfilled ✅

Building new botnets with consumer and corporate software and appliances

The international cybersecurity community has begun to put significant efforts into disrupting command and control servers, making it more difficult for threat actors, including advanced ones, to conduct malicious activities from their infrastructure over prolonged periods. To counter the efforts of these researchers, several advanced threat actors recently began building their own botnets and using them to launch cyberattacks.

For example, in January of this year, the US government disrupted a botnet composed of compromised Ubiquiti Edge OS routers operated by the Sofacy (aka APT28) threat actor. The devices were initially infected with Moobot, a Mirai-based malware, which was then used to deploy additional scripts and facilitate targeted attacks against various entities, collect credentials, proxy network traffic, establish reverse SSH tunnels, host spoofed landing pages, and control other remote systems infected with a Python backdoor.

Additionally, in 2024, we observed multiple Chinese-speaking actors using botnets to conduct targeted attacks. One of these botnets was Quad7, which was installed on compromised routers by the Storm-0940 actor to conduct password spraying. Another example seen this year was KV-Botnet, which was deployed on vulnerable firewalls, routers and IP cameras and used to conceal the malicious activities of Volt Typhoon, the actor behind it.

Verdict: prediction fulfilled ✅

Barriers to kernel-level code execution increasingly evaded (kernel rootkits hot again)

Whenever a threat actor successfully breaks into a machine, they always want to escalate their privileges as much as possible. Specifically, one privilege targeted actors often want to achieve is access to the kernel. This allows adversaries to disable or tamper with security solutions, as well as install rootkit implants to stealthily carry out malicious activities.

In 2024, BYOVD (bring your own vulnerable driver) has remained the most popular technique for gaining access to the kernel, and is even more widely used than in previous years. For instance, in Q2 2024, we saw a 23% increase in BYOVD usage. This increase is most likely due to the fact that there are currently no effective methods built into operating systems to combat this technique. While Windows implements a blocklist of vulnerable drivers, it is rarely updated (only 1-2 times per year), making it extremely easy for actors to exploit known vulnerable drivers.

However, some security solutions are attempting to implement mechanisms to prevent the exploitation of vulnerable drivers, forcing threat actors to adapt by finding vulnerabilities in Windows drivers already installed on the device that can be used to perform kernel space escalations. For example, this year Lazarus exploited CVE-2024-21338, a vulnerability in the AppLocker driver, to deploy the FudModule rootkit.

Verdict: prediction fulfilled ✅

Growth in cyberattacks by state-sponsored actors

Year after year, we’re seeing more and more attacks by sophisticated threat actors, and 2024 was no exception. For instance, this year we reported a 25% rise in APT attack detections observed from January to June. Throughout the year, we’ve covered the most interesting of these attacks on our blog.

Notably, we also observed sophisticated actors increase not only the quantity, but also the quality of their campaigns. This is particularly notable in the case of Lazarus APT, specifically its attacks against cryptocurrency investors in May.

These attacks were extremely carefully orchestrated – to conduct them, Lazarus stole the source code of a cryptocurrency-related computer game, promoted social media accounts related to that game, and obtained access to a unique chain of zero-day exploits used to infect targets visiting the game website. All these activities must have taken months of work on the part of this actor, indicating an exceptional level of organizational effort.

Verdict: prediction fulfilled ✅

Hacktivism in cyber-warfare: the new normal in geopolitical conflicts

As we previously predicted, we observed an increase in attacks by hacktivist groups this year, specifically those operating in the context of the Russo-Ukrainian and Israeli-Hamas conflicts. In the case of the Russo-Ukrainian conflict, notable hacktivist groups we reported on included Twelve, Head Mare and Crypt Ghouls. In general, we’ve observed hacktivists in the Russo-Ukrainian conflict become more skilled and more focused on attacking large organizations such as government, manufacturing and energy entities. By focusing on these targets, hacktivist groups make the consequences of their attacks more visible to ordinary people.

We have also observed the same pattern of activity from hacktivists operating in the Israel-Hamas conflict. For instance, one recent attack observed in this area was a DDoS attack targeting Israel’s credit card payment system. What is particularly interesting about the cyberattacks in this conflict is that their target range has expanded far beyond the conflict area. This year, for example, the pro-Palestinian hacktivist group BlackMeta attacked the Internet Archive website, which has nothing to do with the conflict.

Verdict: prediction fulfilled ✅

Supply chain attacks as a service: operators bulk-buying access

This year, we haven’t seen any supply chain attacks that caused significant damage to their targets. However, one especially notable supply chain attack in 2024 was the XZ Utils backdoor, which we covered in a three-part blog post. Given that the backdoor affected multiple popular Linux distributions, the consequences of this attack would have been much worse had it not been spotted by the community. We might have seen access to networks of compromised companies being sold to advanced actors.

Verdict: prediction not fulfilled ❌

Spear-phishing to expand with accessible generative AI

Ever since the emergence of generative AI, multiple threat actors – both financially motivated and state-sponsored – have started using this technology to make their attacks more effective. This is especially true for phishing attacks, as generative AI tools are now capable of composing well-written, illustrated phishing emails.

One notable case of AI being used in a targeted campaign was the unsuccessful attack on the companн KnowBe4, where a hacker, allegedly from the Lazarus threat group, used AI to trick the company’s HR department when applying for a job. For example, as part of the job application, they used a stock photo manipulated with AI tools to make it more credible. With the help of AI, they were able to trick the company, get the job and gain access to the internal network; however, further hacking attempts were quickly spotted by the company’s SOC.

Verdict: prediction fulfilled ✅

Emergence of more groups offering hack-for-hire services

While we’ve seen new hack-for-hire groups emerge in the crimeware world, we haven’t observed any new notable commercially motivated threat actors carrying out sophisticated cyberattacks similar to those commonly conducted by APTs.

Verdict: prediction not fulfilled ❌

MFT systems at the forefront of cyberthreats

Last year, incidents involving MFT systems such as MOVEit and GoAnywhere caused serious damage to compromised organizations. Although these attacks took place a year ago, their impact on the affected companies is still being felt today. For instance, several days ago, personal data related to Amazon employees that was allegedly leaked over the course of the MOVEit vulnerability attack was leaked on a cybercrime forum.

This year the cybersecurity community has also discovered several vulnerabilities in MFT systems that are being exploited in the wild. One of them is CVE-2024-0204, which allows attackers to bypass authentication in the GoAnywhere MFT. Another example is CVE-2024-5806, a similar vulnerability in MOVEit Transfer. However, this year the cybersecurity community was much better prepared to counter attacks on MFT systems, so the consequences of attacks involving these vulnerabilities have not been as drastic as last year.

Verdict: prediction partially fulfilled

APT predictions for 2025

Hacktivist alliances to escalate in 2025

In recent years, hacktivist groups have begun to closely link their operations to socio-political conflicts. While their early efforts were primarily focused on generating public attention, we’re now seeing them pursue more substantial objectives with real-world impact, such as targeting GNSS systems.

This year, we’ve watched hacktivism evolve, with groups forming alliances and forums with common motivations. These alliances are not limited to military conflicts – for example, the formation of the “Holy League,” which claims to unite 70 active hacker groups. Hacktivist alliances also emerge in response to fast-moving events, such as when hacktivists united to deface French websites in response to the arrest of Telegram CEO, Pavel Durov.

While a common goal can unite and motivate malicious acts, the sharing of tools and infrastructure is also an important part of such alliances, allowing even more ambitious goals to be achieved.

Hacktivism has grown stronger with this strategy, so we can expect to see more organized and impactful campaigns in the future, possibly even including the deployment of ransomware. In some cases, hacktivist attacks may reveal a lack of funding for the security of the structures they attack.

The IoT to become a growing attack vector for APTs in 2025

The rapid proliferation of IoT devices, predicted to grow from 18 billion today to 32 billion by 2030, brings both innovation and increased security challenges. As smart devices such as cameras, switches, and plugs become more common, they add countless new connections to the internet, each with its own potential vulnerabilities.

Many IoT devices rely on remote servers for control, but the security practices of the companies managing these servers are often unclear, resulting in new potential attack vectors on their infrastructure. Additionally, IoT devices frequently run on embedded systems with firmware that can be easily analyzed for vulnerabilities. Many older devices rely on outdated libraries with known security gaps, making them susceptible to exploitation.

The surge in mobile applications for controlling these devices adds another layer of risk. With so many apps available, it’s difficult to verify the legitimacy of every single one, creating opportunities for attackers to spread fake apps to gain control of IoT devices. Supply chain risks also pose concerns; malicious actors can implant malware during the manufacturing process, as seen in some Android TV boxes.

The main problem is the absence of countermeasures. Defenders are almost blind, with no visibility on these devices. Compared to last year, the situation has not improved, and we can only expect that attackers will continue to take advantage of the vast number of unprotected devices.

Increasing supply chain attacks on open-source projects

One notorious campaign this year was the backdooring of XZ, a widely used open source compression tool in popular Linux distributions. The attackers employed social engineering techniques to gain persistent access to the software development environment and remained undetected for years. This case highlights some critical aspects of the current open source ecosystem, where many significant projects are maintained by just a handful of developers – or sometimes even a single developer – who are often unable to defend against sophisticated state-sponsored APT groups.

The XZ case was nothing unexpected, but it sheds light on a real problem. It caught the attention of the cybersecurity community and various other organizations, who will likely start to improve the monitoring of open source projects. While we may not see an increase in the number of supply chain attacks, we will definitely see an increase in the number of discoveries of supply chain attacks currently underway.

C++ and Go malware to adapt to the open-source ecosystem

As open source projects increasingly adopt the latest versions of C++ and Go, threat actors will need to adapt their malware to these widely used languages. In 2025, we can expect a significant rise in APT groups and cybercriminals migrating to these languages, capitalizing on their growing prevalence in open source projects.

While other programming languages will continue to be used less frequently, C++ and Go will become the most common for malware development as attackers exploit the strengths and vulnerabilities of these languages to infiltrate systems and bypass security defenses.

Broadening the use of AI in the hands of state-affiliated actors

Last year, we predicted that APT groups would use AI to enhance spear-phishing attacks. OpenAI has since reported terminating accounts linked to state-affiliated threat actors, highlighting how APT groups are already using large language models (LLMs) for spear-phishing, text translation, script generation, and open-source research to create more targeted content. Our latest discovery showed that Lazarus leveraged AI-generated images to promote a fake gaming site that exploited a Chrome zero-day vulnerability to steal cryptocurrency.

We believe the use of LLMs will become a standard practice for attackers, much in the same way defenders have increasingly incorporated AI and machine learning tools into their cybersecurity strategies. Attackers will likely use LLMs for reconnaissance – LLMs can automate the process of identifying vulnerabilities and gathering information about specific technologies, making it easier for attackers to find weak points in their targets. They will rely more on AI when creating malicious scripts and generating commands during post-exploitation activities to increase their chances of success.

It’s also likely that attackers will attempt to hide their activities from companies like OpenAI by creating local LLMs or masking their behavior on public platforms – using multiple accounts, being cautious with their inputs, and minimizing the data shared with corporate platforms like Google, OpenAI, Microsoft, and so on.

Deepfakes will be used by APT groups

Special attention must be given to the rise of deepfakes, which are rapidly evolving and pose significant risks. In the past, we’ve generally trusted videos, images and voices as reliable sources of information. However, as deepfake technology improves and becomes more accessible, that trust is increasingly being challenged. In 2024, deepfakes were used in high-profile scams, such as when a CEO’s voice was mimicked and used together with YouTube footage in video calls to trick employees, or when various publicly available videos and other footage were used to create a new fake video to trick an employee of a Hong Kong company into transferring approximately $25.5 million.
The reason these attacks are so effective is rooted in human psychology: when people hear a voice they recognize, they instinctively trust the message. In the past, voice impersonation wasn’t considered a major threat, which is why such scams can be so convincing. However, the advent of AI technologies has completely changed this paradigm. Today, new services mean deepfake videos and voice recordings can be generated from just a few real samples, easily collected from social media profiles or through other reconnaissance methods.

While we have seen AI voice cloning used by cybercriminals for scams, we expect APTs to increasingly incorporate this technology into their toolkit to impersonate key individuals, creating highly convincing messages or videos to deceive employees, steal sensitive information, or carry out other malicious activities.

Backdoored AI models

The widespread adoption of AI models by businesses across various industries makes these models an increasingly attractive target for cybercriminals and state-sponsored threat actors. The broad distribution of open-source and fine-tuned AI models heightens the risk of these models being trojanized or backdoored.

In 2025, we will most likely see APT groups targeting popular open-source AI models and datasets, introducing malicious code or biases that could be difficult to detect and widely shared.

The rise of BYOVD (bring your own vulnerable driver) exploits in APT campaigns

As we’ve already mentioned, the BYOVD (bring your own vulnerable driver) technique has become a trend in 2024. This technique allows attackers to leverage vulnerabilities in drivers to escalate privileges, bypass security measures, and deploy sophisticated payloads in both ransomware campaigns and APT attacks.

Drivers play a critical role in the communication between hardware and software, but they can also serve as a powerful gateway for attackers, especially when exploited at the kernel level. Vulnerable drivers allow attackers to execute malicious code with high levels of privilege, potentially leading to long-term espionage, data theft, and network infiltration. Although some security vendors implement various mechanisms to prevent such attacks, their sophistication is difficult to counter with traditional security measures. These drivers are legitimate software that may be necessary to facilitate normal system functionality, making it tricky to distinguish their legitimate use from malicious use. It’s also no easy task to ensure that they are used solely for legitimate purposes.

Looking ahead, this trend is expected to continue into 2025. As attackers become more adept at leveraging low-level vulnerabilities, the complexity of such attacks is likely to increase, and we may see even more refined techniques, such as exploiting outdated or third-party drivers that are not typically scrutinized for security flaws.

securelist.com/ksb-apt-predict…

What if GPS had existed in 1565? No satellites or microelectronics, sure—but let’s play along. Imagine the bustling streets of Antwerp, where merchants navigated the sprawling city with woodcut maps. Or sailors plotting Atlantic crossings with accuracy unheard of for the time. This whimsical intersection of history and tech was recently featured in a blog post by [Jan Adriaenssens], and comes alive with Bert Spaan’s Allmaps Here: a delightful web app that overlays your GPS location onto georeferenced historical maps.

Take Antwerp’s 1565 city map by Virgilius Bononiensis, a massive 120×265 cm woodcut. With Allmaps Here, you’re a pink dot navigating this masterpiece. Plantin-Moretus Museum? Nailed it. Kasteelpleinstraat? A shadow of the old citadel it bordered. Let’s not forget how life might’ve been back then. A merchant could’ve avoided morning traffic and collapsing bridges en route to the market, while a farmer relocating his herd could’ve found fertile pastures minus the swamp detour.

Unlike today’s turn-by-turn navigation, a 16th-century GPS might have been all about survival: avoiding bandit-prone roads, timing tides for river crossings, or tracking stars as backup. Imagine explorers fine-tuning their Atlantic crossings with trade winds mapped to the mile. Georeferenced maps like these let us re-imagine the practical genius of our ancestors while enjoying a modern hack on a centuries-old problem.

Although sites like OldMapsOnline, Google Earth Timelapse (and for the Dutch: TopoTijdreis) have been around for a while, this new match of technology and historical detail is a true gem. Curious to map your own world on antique charts? Navigate to Allmaps and start georeferencing!

hackaday.com/2024/11/25/hackin…

Gli esperti di sicurezza avvertono che gli hacker hanno violato migliaia di firewall di Palo Alto Networks utilizzando due vulnerabilità zero-day recentemente corrette.

Le vulnerabilità più recenti includono il bypass dell’autenticazione (CVE-2024-0012; punteggio CVSS 9.3) nell’interfaccia web PAN-OS, che gli aggressori remoti possono utilizzare per ottenere diritti amministrativi, e l’escalation dei privilegi in PAN-OS ( CVE-2024-9474 ; CVSS punteggio 6.9), consentendo di eseguire comandi con privilegi di root.

Sebbene le informazioni su CVE-2024-9474 non siano state divulgate pubblicamente fino al 18 novembre 2024, la società ha avvertito i clienti dei problemi all’inizio di novembre e ha raccomandato di limitare l’accesso ai firewall a causa di una potenziale vulnerabilità RCE (a cui è stato infine assegnato l’identificatore CVE-2024 -0012).
Mappa dei firewall violati dove 17 di questi sono afferenti allo stato italiano
Palo Alto Networks sta attualmente indagando sugli attacchi in corso che sfruttano queste vulnerabilità. L’azienda rileva che gli aggressori stanno distribuendo malware ed eseguendo comandi su firewall compromessi. Cioè, molto probabilmente, esiste già una certa catena di exploit.

“L’attività, originariamente segnalata il 18 novembre 2024, proveniva principalmente da indirizzi IP noti come servizi VPN anonimi per il traffico proxy/tunneling”, ha affermato la società. “Attualmente crediamo con un alto grado di sicurezza che un exploit funzionale che combina CVE-2024-0012 e CVE-2024-9474 sia già di dominio pubblico.”

Palo Alto Networks consiglia vivamente ai clienti di proteggere le interfacce di gestione dei propri dispositivi e di limitare l’accesso alla rete interna. E sebbene l’azienda affermi che gli attacchi hanno colpito “un numero molto limitato di firewall PAN-OS”, gli esperti di Shadowserver riferiscono di aver scoperto più di 2.700 dispositivi PAN-OS vulnerabili su Internet.

I ricercatori scrivono anche che stanno monitorando il numero di firewall di Palo Alto Networks che sono stati violati. Secondo i loro dati, dall’inizio di questa campagna sono già stati compromessi circa 2.000 dispositivi in tutto il mondo.

L'articolo 2.000 firewall compromessi di alo Alto Networks: scoperte gravi falle di sicurezza in PAN-OS! proviene da il blog della sicurezza informatica.

Il gruppo Stormous rappresenta una minaccia significativa nel panorama del ransomware: ha una reputazione consolidata per i suoi attacchi mirati e la sua ideologia apertamente pro-russa.

Il gruppo potrebbe aver iniziato ad operare a metà del 2021, facendosi notare poi per la sua presenza aggressiva su Telegram, per le sue motivazioni geopolitiche e la sua filosofia di attacco contro organizzazioni percepite come ostili alla Russia, alla quale ha dichiarato il suo sostegno, colpendo di seguito le organizzazioni dei paesi considerati nemici, destabilizzando le loro organizzazioni Tra questi gli Stati Uniti, i paesi occidentali, l’India e l’Ucraina dal 2022. Tuttavia I loro attacchi, non solo compromettono i sistemi delle vittime, ma contribuiscono anche alla diffusione della propaganda russa, rafforzando la percezione di una guerra cibernetica su scala globale.

Con affiliati che sembrano provenire da Russia e Medio Oriente e una struttura di business simile a quella aziendale, una delle caratteristiche distintive di Stormous è la sua preferenza per il furto e la pubblicazione di grandi quantità di dati, oltre alla crittografia dei file delle vittime, spesso con richieste di riscatto basate sulla criptovaluta.

Il gruppo ha colpito industrie critiche, come quella petrolifera, causando notevoli disagi e perdite finanziarie. Un esempio eclatante è l’attacco del settembre 2023 contro PVC-MS, una società vietnamita di assemblaggio di apparecchiature petrolifere. In questo attacco, Stormous ha sottratto 300 GB di dati sensibili, tra cui documenti aziendali e informazioni su negoziazioni di contratti. Il gruppo ha inizialmente pubblicato il 10% di questi dati, utilizzandoli come strumento di pressione per un possibile pagamento del riscatto​.
Accesso al Data Leak Site (DLS) di Stormous Group
Oltre ai suoi attacchi tradizionali, Stormous si è concentrato su attacchi ad alto impatto mediatico, puntando spesso a settori come quello energetico, sfruttando vulnerabilità non ancora corrette nei sistemi informatici delle vittime.

Questa tattica consente loro di causare danni significativi e di influenzare la stabilità operativa di aziende chiave in vari settori industriali​.Ricordiamo la violazione dell’Università di Tor Vergata, di Metal Work e in ultimo Officine Group. Stormous è riuscito anche a penetrare le difese di aziende internazionali come la Coca Cola, ma anche Comtrade Group in Serbia, Zewail City of Science and Technology in Egitto, Vietnam Electricity e Inwi in Marocco. Stormous rappresenta quindi una delle minacce più pericolose nel contesto della sicurezza informatica odierna, dove anche in italia ha colpito diverse vittime

Abbiamo voluto intervistare il gruppo Stormous per comprendere meglio il loro operato e per conoscere le loro motivazioni.

1 – RHC: Vi ringraziamo per aver accettato questa intervista. Il nome Stormous, evoca l’idea di una tempesta. Ha un significato particolare o una motivazione specifica dietro tale scelta? Rappresenta forse qualcosa di più profondo nel vostro operato o nella vostra ideologia? È stato un gruppo nato spontaneamente tra amici o colleghi, oppure è stato formato con un intento preciso fin dall’inizio?
STORMOUS: Il nome Stormous si ispira al concetto di “tempesta”, che simboleggia la forza. Può essere interpretato in molti modi, ma il suo significato ha un significato più importante per noi che per chiunque altro. Il gruppo non è stato formato a caso; lo abbiamo stabilito con una solida infrastruttura fin dall’inizio. Sebbene abbiamo dovuto affrontare alcune sfide all’inizio, queste sono state gradualmente risolte.

2 – RHC: Ad oggi come siete distribuiti su scala internazionale? Se è possibile, quante persone gravitano attorno al vostro RaaS?
STORMOUS : Ci stiamo espandendo grazie a una strategia avanzata e a prodotti RaaS. Le nostre operazioni sono distribuite in collaborazione con partner e altre entità, con una base di affiliati di medie dimensioni che supera i 50 individui.

3 – RHC: Molti ricercatori di sicurezza parlano di molte vostre operazioni come “operazioni scavenger”, ovvero la pubblicazione di informazioni già trapelate online. Cosa potete dirci in merito?
STORMOUS: Non pubblichiamo dati trapelati da altri. I problemi che abbiamo affrontato prima erano causati da alcuni affiliati, poiché inizialmente non c’era alcuna supervisione. Ciò ha consentito a molti individui di pubblicare dati copiati da altre fonti, che hanno fatto trapelare. Non è stata colpa nostra, ma loro, e sono stati gradualmente rimossi. Ora questo non è più un problema, poiché monitoriamo ogni obiettivo prima della pubblicazione. Inoltre, ogni operazione che annunciamo deriva da nuove violazioni da noi eseguite, il che rafforza la nostra reputazione. Ad esempio, molti dei nostri obiettivi (ad esempio, Transak, Econocom, Duvel, KAI) hanno confermato i nostri attacchi. Ci auguriamo che questo punto venga sottolineato pubblicamente, poiché lo chiariremo presto.

4 – RHC: Avete mai avuto rapporti di amicizia o di rivalità con altri gruppi di cybercriminali? Come descrivereste la vostra relazione con altri gruppi attivi nel panorama del ransomware?
STORMOUS: Manteniamo relazioni varie con altri gruppi. A volte, collaboriamo con gruppi come GhostSec per raggiungere obiettivi comuni, ma lavoriamo con cautela poiché queste relazioni possono essere complesse. Spesso, le nostre collaborazioni comportano la condivisione dell’accesso tra operatori o l’aggiornamento dei servizi RaaS.

5 – RHC: In un ambiente come il cybercrime, dove il tradimento è sempre un rischio, quanto è importante la fiducia tra i membri del vostro gruppo? Come fate a mantenere un legame di fiducia forte tra di voi?
STORMOUS: La fiducia è fondamentale. Facciamo affidamento su un’infrastruttura rigida nei nostri servizi in cui i membri non conoscono le identità o le operazioni degli altri. Tuttavia, esiste un forum in cui possono condividere idee, assistersi a vicenda o persino seguire le negoziazioni tra di loro.

6 – RHC: Dove vi vedete tra cinque o dieci anni? Pensate che continuerete su questa strada o avete altre ambizioni o sogni personali al di fuori del cybercrime?
STORMOUS: A lungo termine, alcuni di noi potrebbero spostarsi in campi non correlati all’hacking. Tuttavia, per ora, l’obiettivo è espandere le operazioni e proteggere il nostro marchio.

7 – RHC: La rivendita dei dati delle aziende violate è un business che permette di monetizzare i mancati pagamenti dei riscatti del ransomware. Secondo voi, quali sono oggi i dati più preziosi e più vendibili nelle underground?
STORMOUS: Vedo i dati sanitari, finanziari e personali come i tipi di informazioni più richiesti in base a ciò che abbiamo venduto o ai riscatti negoziati con successo. I clienti spesso cercano dati che possono essere sfruttati direttamente.

8 – RHC: Vi siete politicamente schierati, all’inizio del conflitto tra Russia ed Ucraina, a supporto del governo Russo. Molti gruppi inserendo la politica all’interno delle proprie operazioni li hanno portati alla rovina come ad esempio il cartello Conti ransomware. Potete commentare questa cosa?
STORMOUS: Le decisioni politiche supportano le nostre strategie. Il nostro sostegno a certe entità è una decisione attentamente ponderata basata su interessi comuni per evitare di mettere a repentaglio il nostro marchio in qualsiasi momento. Credo che Conti non sia crollata a causa di interferenze politiche, ma per motivi personali. Il nostro sostegno era semplicemente dovuto al rispetto per il luogo in cui venivano gestite le loro operazioni.

9 – RHC: Nei vostri attacchi, quante volte utilizzate il ransomware per cifrare i dati e quante volte fate solo data exfiltration?
STORMOUS: Utilizziamo entrambi i metodi a seconda del bersaglio. La crittografia viene utilizzata per fare pressione sul bersaglio e le fughe di notizie vengono utilizzate per generare profitti quando il pagamento non viene effettuato, vendendo i dati o semplicemente distruggendo la reputazione del bersaglio.

10 – RHC: Nel 2022 Stormous ha ridotto drasticamente le attività, c’è stato un preciso motivo?
STORMOUS: Ciò è stato il risultato di un’intensa pressione su di noi a causa dei nostri attacchi, pubblicati o meno. Tuttavia, siamo tornati più forti di prima e puntiamo a garantire un’infrastruttura sicura per i nostri clienti, anche se ciò ha richiesto di interrompere temporaneamente le nostre operazioni.

11 – RHC: Avete stretto alcune collaborazioni, come quella annunciata il 13 luglio 2023 con GhostSec per colpire il governo cubano. Successivamente, alcuni ministeri sono stati attaccati. Le collaborazioni in generale portano sempre un valore?
STORMOUS: Le collaborazioni portano benefici significativi se condotte con cautela. La nostra partnership con GhostSec dimostra come gli obiettivi strategici possono essere raggiunti attraverso grandi obiettivi e grandi guadagni finanziari.

12 – RHC: Vediamo spesso apparire un vostro data leak site e chiuderne un’altro. Qual’è il motivo dietro questa scelta?
STORMOUS: L’adattamento è essenziale per evitare il tracciamento e semplificare l’accesso per gli utenti che visitano il nostro blog, assicurando al contempo che le nostre operazioni non vengano interrotte.

13 – RHC: Visto che avete da sempre utilizzato come base di comunicazione Telegram, dopo i recenti cambiamenti nei termini delle policy da parte del gruppo di Pavel Durov, continuerete ad utilizzare il messenger oppure approderà su nuovi lidi?
STORMOUS: Monitoriamo costantemente le politiche di Telegram e, se necessario, migreremo presto verso piattaforme più sicure.
Canale Telegram di Stormous
14 – RHC: Da quanto abbiamo già visto gruppi come Ghosts of Palestine, GlorySec, BF Repo V3 e UserSec sono molto preoccupati per questo. Cosa si pensa nell’underground a proposito di questo cambio di rotta di Telegram?
STORMOUS: Pur rispettando i cambiamenti, scegliamo metodi che supportano le nostre operazioni e ci forniscono sicurezza. Telegram era uno dei nostri gateway principali, ma credo che sia giunto il momento di operare esclusivamente tramite la rete Tor.

15 – RHC: Nelle vostre tecniche di attacco, utilizzate credenziali violate dagli infostealer? Se si quanto?
STORMOUS: Sì, utilizziamo dati rubati nei nostri attacchi, poiché costituiscono una parte fondamentale della nostra strategia.

16 – RHC: Che potete raccontarci tecnicamente un classico processo di attacco di Stormous?
STORMOUS: Dipende dal metodo di lavoro dell’affiliato.

17 – RHC: Qual’è la logica che utilizzate per scegliere un target specifico?
STORMOUS: Ci concentriamo su grandi aziende con dati preziosi o evidenti debolezze di sicurezza, in particolare quelle con misure di sicurezza informatica limitate o inesistenti.

18 – RHC: Quali linee guida fornite ai vostri affiliati? Esistono obiettivi proibiti, come organizzazioni nei paesi della CSI, strutture sanitarie, scuole o istituzioni di sicurezza nazionale?
STORMOUS: Non attacchiamo molti obiettivi, né ne prendiamo una percentuale significativa. Questo assicura che il loro lavoro rientri nell’ambito della sicurezza piuttosto che perdere tutto. Attualmente, evitiamo di attaccare ospedali e scuole a meno che non facciano parte di un’istituzione più grande. Tuttavia, stiamo attaccando gli ospedali ora per diversi motivi, che potremo condividere in seguito.

19 – RHC: Se durante le vostre attività notate che una vittima ha comportamenti considerati errati per un paese o va contro i vostri valori come vi comportate? vi limitate alla richiesta del riscatto o fate pressioni aggiuntive?
STORMOUS: Se i valori non sono in linea con i nostri obiettivi, utilizziamo fughe di notizie per rovinare la reputazione della vittima insieme alle richieste di riscatto. Questo è un aspetto fondamentale del nostro approccio.

20 – RHC: Come la vedete la situazione geopolitica attuale? Il mondo sta creando nuovi muri e questi sono principalmente digitali. Potete darci un commento secondo voi dove ci stiamo dirigendo?
STORMOUS: Credo che il mondo si stia trasformando in una massiccia guerra informatica. Vediamo maggiori opportunità nello sfruttare questa divisione, e così fanno anche altri gruppi.

21 – RCH: Molti gruppi criticano la vulnerabilità dei sistemi di aziende e organizzazioni e spesso l’anello debole è l’errore umano. Abbiamo visto LockBit nell’operazione Cronos che per un problema di patching ha visto le forze dell’ordine infiltrarsi all’interno delle loro infrastrutture. Quanto un gruppo che persegue attività informatiche illegali è soggetto alle stesse vulnerabilità?
STORMOUS: Proprio come le aziende si concentrano sulla protezione, noi lavoriamo per proteggere la nostra infrastruttura da potenziali violazioni. Non c’è differenza tra un gruppo ransomware e una grande azienda se non sai come … Credo che verrai abbattuto rapidamente. Non dipende dal numero di obiettivi o metodi, ma dal garantire la sicurezza della struttura operativa, che è molto più critica di qualsiasi altra cosa.

22 – RHC: Cosa succede se una vittima tenta di negoziare il riscatto? Avete un protocollo per questo tipo di situazioni?
STORMOUS: Abbiamo un protocollo di negoziazione chiaro. Se una vittima cerca di negoziare, iniziamo valutando la sua serietà e la sua volontà di pagare. Le diamo una scadenza stabilita per fare un’offerta ragionevole. Se le negoziazioni sono lente o improduttive, aumentiamo la pressione divulgando dati specifici come avvertimento, mantenendo dati più sensibili come leva. Questo approccio varia a seconda della vittima o dell’individuo che la sua azienda assegna per la negoziazione, poiché ogni parola che dice può cambiare il corso delle negoziazioni.

23 – RHC: Diteci 3 RaaS che ti piacciono e perché.
STORMOSO: 1. LockBit **** Ammiriamo i servizi di LockBit per la loro professionalità e il rapido sviluppo. Sono un modello in questo campo. Nonostante la pressione che affrontano, rispetto il loro operatore per le interazioni passate con noi e altre questioni che non possono essere condivise. Classifico Akira e RansomHub al secondo posto.

24 – RHC: Se doveste dire ad una azienda da quale parte cominciare per poter essere resiliente ad attacchi informatici come i vostri che cosa consigliereste?
STORMOUS: Consiglio una cosa: la formazione dei dipendenti. Il fattore umano è spesso il primo e più critico anello debole. Questo problema deve essere preso sul serio.

25 – RHC: Grazie davvero per l’intervista. Facciamo queste interviste per far comprendere ai nostri lettori che la cybersecurity è una materia prettamente tecnica e che per poter vincere la lotta contro il cybercrime occorre essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. C’è qualcosa che vorreste dire ai nostri lettori, oppure alle potenziali vittime delle vostre operazioni?
STORMOUS: Sì, le nostre operazioni commerciali e gli attacchi associati non sono personali; sono il risultato di negligenza in materia di sicurezza. Se tenete ai dati dei vostri clienti, alla reputazione e altro ancora, aggiornate i vostri sistemi e prendete sul serio la sicurezza informatica. Per le potenziali vittime, collaborare con noi è l’opzione più sicura se volete recuperare rapidamente i vostri dati e ridurre al minimo i danni. Non siamo cattivi, né stupidi. Come abbiamo detto prima, le negoziazioni dipendono dall’approccio del rappresentante: possono cambiare l’esito in meglio o in peggio.

L'articolo RHC Intervista Stormous Ransomware. Tra Storia, ideologia, tecniche e tattiche proviene da il blog della sicurezza informatica.

redhotcyber.com/post/utenza-am…

Il gruppo Stormous rappresenta una minaccia significativa nel panorama del ransomware: ha una reputazione consolidata per i suoi attacchi mirati e la sua ideologia apertamente pro-russa.

Il gruppo potrebbe aver iniziato ad operare a metà del 2021, facendosi notare poi per la sua presenza aggressiva su Telegram, per le sue motivazioni geopolitiche e la sua filosofia di attacco contro organizzazioni percepite come ostili alla Russia, alla quale ha dichiarato il suo sostegno, colpendo di seguito le organizzazioni dei paesi considerati nemici, destabilizzando le loro organizzazioni Tra questi gli Stati Uniti, i paesi occidentali, l’India e l’Ucraina dal 2022. Tuttavia I loro attacchi, non solo compromettono i sistemi delle vittime, ma contribuiscono anche alla diffusione della propaganda russa, rafforzando la percezione di una guerra cibernetica su scala globale.

Con affiliati che sembrano provenire da Russia e Medio Oriente e una struttura di business simile a quella aziendale, una delle caratteristiche distintive di Stormous è la sua preferenza per il furto e la pubblicazione di grandi quantità di dati, oltre alla crittografia dei file delle vittime, spesso con richieste di riscatto basate sulla criptovaluta.

Il gruppo ha colpito industrie critiche, come quella petrolifera, causando notevoli disagi e perdite finanziarie. Un esempio eclatante è l’attacco del settembre 2023 contro PVC-MS, una società vietnamita di assemblaggio di apparecchiature petrolifere. In questo attacco, Stormous ha sottratto 300 GB di dati sensibili, tra cui documenti aziendali e informazioni su negoziazioni di contratti. Il gruppo ha inizialmente pubblicato il 10% di questi dati, utilizzandoli come strumento di pressione per un possibile pagamento del riscatto​.
Accesso al Data Leak Site (DLS) di Stormous Group
Oltre ai suoi attacchi tradizionali, Stormous si è concentrato su attacchi ad alto impatto mediatico, puntando spesso a settori come quello energetico, sfruttando vulnerabilità non ancora corrette nei sistemi informatici delle vittime.

Questa tattica consente loro di causare danni significativi e di influenzare la stabilità operativa di aziende chiave in vari settori industriali​.Ricordiamo la violazione dell’Università di Tor Vergata, di Metal Work e in ultimo Officine Group. Stormous è riuscito anche a penetrare le difese di aziende internazionali come la Coca Cola, ma anche Comtrade Group in Serbia, Zewail City of Science and Technology in Egitto, Vietnam Electricity e Inwi in Marocco. Stormous rappresenta quindi una delle minacce più pericolose nel contesto della sicurezza informatica odierna, dove anche in italia ha colpito diverse vittime

Abbiamo voluto intervistare il gruppo Stormous per comprendere meglio il loro operato e per conoscere le loro motivazioni.

1 – RHC: Vi ringraziamo per aver accettato questa intervista. Il nome Stormous, evoca l’idea di una tempesta. Ha un significato particolare o una motivazione specifica dietro tale scelta? Rappresenta forse qualcosa di più profondo nel vostro operato o nella vostra ideologia? È stato un gruppo nato spontaneamente tra amici o colleghi, oppure è stato formato con un intento preciso fin dall’inizio?
STORMOUS: Il nome Stormous si ispira al concetto di “tempesta”, che simboleggia la forza. Può essere interpretato in molti modi, ma il suo significato ha un significato più importante per noi che per chiunque altro. Il gruppo non è stato formato a caso; lo abbiamo stabilito con una solida infrastruttura fin dall’inizio. Sebbene abbiamo dovuto affrontare alcune sfide all’inizio, queste sono state gradualmente risolte.

2 – RHC: Ad oggi come siete distribuiti su scala internazionale? Se è possibile, quante persone gravitano attorno al vostro RaaS?
STORMOUS : Ci stiamo espandendo grazie a una strategia avanzata e a prodotti RaaS. Le nostre operazioni sono distribuite in collaborazione con partner e altre entità, con una base di affiliati di medie dimensioni che supera i 50 individui.

3 – RHC: Molti ricercatori di sicurezza parlano di molte vostre operazioni come “operazioni scavenger”, ovvero la pubblicazione di informazioni già trapelate online. Cosa potete dirci in merito?
STORMOUS: Non pubblichiamo dati trapelati da altri. I problemi che abbiamo affrontato prima erano causati da alcuni affiliati, poiché inizialmente non c’era alcuna supervisione. Ciò ha consentito a molti individui di pubblicare dati copiati da altre fonti, che hanno fatto trapelare. Non è stata colpa nostra, ma loro, e sono stati gradualmente rimossi. Ora questo non è più un problema, poiché monitoriamo ogni obiettivo prima della pubblicazione. Inoltre, ogni operazione che annunciamo deriva da nuove violazioni da noi eseguite, il che rafforza la nostra reputazione. Ad esempio, molti dei nostri obiettivi (ad esempio, Transak, Econocom, Duvel, KAI) hanno confermato i nostri attacchi. Ci auguriamo che questo punto venga sottolineato pubblicamente, poiché lo chiariremo presto.

4 – RHC: Avete mai avuto rapporti di amicizia o di rivalità con altri gruppi di cybercriminali? Come descrivereste la vostra relazione con altri gruppi attivi nel panorama del ransomware?
STORMOUS: Manteniamo relazioni varie con altri gruppi. A volte, collaboriamo con gruppi come GhostSec per raggiungere obiettivi comuni, ma lavoriamo con cautela poiché queste relazioni possono essere complesse. Spesso, le nostre collaborazioni comportano la condivisione dell’accesso tra operatori o l’aggiornamento dei servizi RaaS.

5 – RHC: In un ambiente come il cybercrime, dove il tradimento è sempre un rischio, quanto è importante la fiducia tra i membri del vostro gruppo? Come fate a mantenere un legame di fiducia forte tra di voi?
STORMOUS: La fiducia è fondamentale. Facciamo affidamento su un’infrastruttura rigida nei nostri servizi in cui i membri non conoscono le identità o le operazioni degli altri. Tuttavia, esiste un forum in cui possono condividere idee, assistersi a vicenda o persino seguire le negoziazioni tra di loro.

6 – RHC: Dove vi vedete tra cinque o dieci anni? Pensate che continuerete su questa strada o avete altre ambizioni o sogni personali al di fuori del cybercrime?
STORMOUS: A lungo termine, alcuni di noi potrebbero spostarsi in campi non correlati all’hacking. Tuttavia, per ora, l’obiettivo è espandere le operazioni e proteggere il nostro marchio.

7 – RHC: La rivendita dei dati delle aziende violate è un business che permette di monetizzare i mancati pagamenti dei riscatti del ransomware. Secondo voi, quali sono oggi i dati più preziosi e più vendibili nelle underground?
STORMOUS: Vedo i dati sanitari, finanziari e personali come i tipi di informazioni più richiesti in base a ciò che abbiamo venduto o ai riscatti negoziati con successo. I clienti spesso cercano dati che possono essere sfruttati direttamente.

8 – RHC: Vi siete politicamente schierati, all’inizio del conflitto tra Russia ed Ucraina, a supporto del governo Russo. Molti gruppi inserendo la politica all’interno delle proprie operazioni li hanno portati alla rovina come ad esempio il cartello Conti ransomware. Potete commentare questa cosa?
STORMOUS: Le decisioni politiche supportano le nostre strategie. Il nostro sostegno a certe entità è una decisione attentamente ponderata basata su interessi comuni per evitare di mettere a repentaglio il nostro marchio in qualsiasi momento. Credo che Conti non sia crollata a causa di interferenze politiche, ma per motivi personali. Il nostro sostegno era semplicemente dovuto al rispetto per il luogo in cui venivano gestite le loro operazioni.

9 – RHC: Nei vostri attacchi, quante volte utilizzate il ransomware per cifrare i dati e quante volte fate solo data exfiltration?
STORMOUS: Utilizziamo entrambi i metodi a seconda del bersaglio. La crittografia viene utilizzata per fare pressione sul bersaglio e le fughe di notizie vengono utilizzate per generare profitti quando il pagamento non viene effettuato, vendendo i dati o semplicemente distruggendo la reputazione del bersaglio.

10 – RHC: Nel 2022 Stormous ha ridotto drasticamente le attività, c’è stato un preciso motivo?
STORMOUS: Ciò è stato il risultato di un’intensa pressione su di noi a causa dei nostri attacchi, pubblicati o meno. Tuttavia, siamo tornati più forti di prima e puntiamo a garantire un’infrastruttura sicura per i nostri clienti, anche se ciò ha richiesto di interrompere temporaneamente le nostre operazioni.

11 – RHC: Avete stretto alcune collaborazioni, come quella annunciata il 13 luglio 2023 con GhostSec per colpire il governo cubano. Successivamente, alcuni ministeri sono stati attaccati. Le collaborazioni in generale portano sempre un valore?
STORMOUS: Le collaborazioni portano benefici significativi se condotte con cautela. La nostra partnership con GhostSec dimostra come gli obiettivi strategici possono essere raggiunti attraverso grandi obiettivi e grandi guadagni finanziari.

12 – RHC: Vediamo spesso apparire un vostro data leak site e chiuderne un’altro. Qual’è il motivo dietro questa scelta?
STORMOUS: L’adattamento è essenziale per evitare il tracciamento e semplificare l’accesso per gli utenti che visitano il nostro blog, assicurando al contempo che le nostre operazioni non vengano interrotte.

13 – RHC: Visto che avete da sempre utilizzato come base di comunicazione Telegram, dopo i recenti cambiamenti nei termini delle policy da parte del gruppo di Pavel Durov, continuerete ad utilizzare il messenger oppure approderà su nuovi lidi?
STORMOUS: Monitoriamo costantemente le politiche di Telegram e, se necessario, migreremo presto verso piattaforme più sicure.
Canale Telegram di Stormous
14 – RHC: Da quanto abbiamo già visto gruppi come Ghosts of Palestine, GlorySec, BF Repo V3 e UserSec sono molto preoccupati per questo. Cosa si pensa nell’underground a proposito di questo cambio di rotta di Telegram?
STORMOUS: Pur rispettando i cambiamenti, scegliamo metodi che supportano le nostre operazioni e ci forniscono sicurezza. Telegram era uno dei nostri gateway principali, ma credo che sia giunto il momento di operare esclusivamente tramite la rete Tor.

15 – RHC: Nelle vostre tecniche di attacco, utilizzate credenziali violate dagli infostealer? Se si quanto?
STORMOUS: Sì, utilizziamo dati rubati nei nostri attacchi, poiché costituiscono una parte fondamentale della nostra strategia.

16 – RHC: Che potete raccontarci tecnicamente un classico processo di attacco di Stormous?
STORMOUS: Dipende dal metodo di lavoro dell’affiliato.

17 – RHC: Qual’è la logica che utilizzate per scegliere un target specifico?
STORMOUS: Ci concentriamo su grandi aziende con dati preziosi o evidenti debolezze di sicurezza, in particolare quelle con misure di sicurezza informatica limitate o inesistenti.

18 – RHC: Quali linee guida fornite ai vostri affiliati? Esistono obiettivi proibiti, come organizzazioni nei paesi della CSI, strutture sanitarie, scuole o istituzioni di sicurezza nazionale?
STORMOUS: Non attacchiamo molti obiettivi, né ne prendiamo una percentuale significativa. Questo assicura che il loro lavoro rientri nell’ambito della sicurezza piuttosto che perdere tutto. Attualmente, evitiamo di attaccare ospedali e scuole a meno che non facciano parte di un’istituzione più grande. Tuttavia, stiamo attaccando gli ospedali ora per diversi motivi, che potremo condividere in seguito.

19 – RHC: Se durante le vostre attività notate che una vittima ha comportamenti considerati errati per un paese o va contro i vostri valori come vi comportate? vi limitate alla richiesta del riscatto o fate pressioni aggiuntive?
STORMOUS: Se i valori non sono in linea con i nostri obiettivi, utilizziamo fughe di notizie per rovinare la reputazione della vittima insieme alle richieste di riscatto. Questo è un aspetto fondamentale del nostro approccio.

20 – RHC: Come la vedete la situazione geopolitica attuale? Il mondo sta creando nuovi muri e questi sono principalmente digitali. Potete darci un commento secondo voi dove ci stiamo dirigendo?
STORMOUS: Credo che il mondo si stia trasformando in una massiccia guerra informatica. Vediamo maggiori opportunità nello sfruttare questa divisione, e così fanno anche altri gruppi.

21 – RCH: Molti gruppi criticano la vulnerabilità dei sistemi di aziende e organizzazioni e spesso l’anello debole è l’errore umano. Abbiamo visto LockBit nell’operazione Cronos che per un problema di patching ha visto le forze dell’ordine infiltrarsi all’interno delle loro infrastrutture. Quanto un gruppo che persegue attività informatiche illegali è soggetto alle stesse vulnerabilità?
STORMOUS: Proprio come le aziende si concentrano sulla protezione, noi lavoriamo per proteggere la nostra infrastruttura da potenziali violazioni. Non c’è differenza tra un gruppo ransomware e una grande azienda se non sai come … Credo che verrai abbattuto rapidamente. Non dipende dal numero di obiettivi o metodi, ma dal garantire la sicurezza della struttura operativa, che è molto più critica di qualsiasi altra cosa.

22 – RHC: Cosa succede se una vittima tenta di negoziare il riscatto? Avete un protocollo per questo tipo di situazioni?
STORMOUS: Abbiamo un protocollo di negoziazione chiaro. Se una vittima cerca di negoziare, iniziamo valutando la sua serietà e la sua volontà di pagare. Le diamo una scadenza stabilita per fare un’offerta ragionevole. Se le negoziazioni sono lente o improduttive, aumentiamo la pressione divulgando dati specifici come avvertimento, mantenendo dati più sensibili come leva. Questo approccio varia a seconda della vittima o dell’individuo che la sua azienda assegna per la negoziazione, poiché ogni parola che dice può cambiare il corso delle negoziazioni.

23 – RHC: Diteci 3 RaaS che ti piacciono e perché.
STORMOSO: 1. LockBit **** Ammiriamo i servizi di LockBit per la loro professionalità e il rapido sviluppo. Sono un modello in questo campo. Nonostante la pressione che affrontano, rispetto il loro operatore per le interazioni passate con noi e altre questioni che non possono essere condivise. Classifico Akira e RansomHub al secondo posto.

24 – RHC: Se doveste dire ad una azienda da quale parte cominciare per poter essere resiliente ad attacchi informatici come i vostri che cosa consigliereste?
STORMOUS: Consiglio una cosa: la formazione dei dipendenti. Il fattore umano è spesso il primo e più critico anello debole. Questo problema deve essere preso sul serio.

25 – RHC: Grazie davvero per l’intervista. Facciamo queste interviste per far comprendere ai nostri lettori che la cybersecurity è una materia prettamente tecnica e che per poter vincere la lotta contro il cybercrime occorre essere più forti di voi, che notoriamente siete spesso un passo avanti a tutti. C’è qualcosa che vorreste dire ai nostri lettori, oppure alle potenziali vittime delle vostre operazioni?
STORMOUS: Sì, le nostre operazioni commerciali e gli attacchi associati non sono personali; sono il risultato di negligenza in materia di sicurezza. Se tenete ai dati dei vostri clienti, alla reputazione e altro ancora, aggiornate i vostri sistemi e prendete sul serio la sicurezza informatica. Per le potenziali vittime, collaborare con noi è l’opzione più sicura se volete recuperare rapidamente i vostri dati e ridurre al minimo i danni. Non siamo cattivi, né stupidi. Come abbiamo detto prima, le negoziazioni dipendono dall’approccio del rappresentante: possono cambiare l’esito in meglio o in peggio.

L'articolo RHC DarkLab Intervista Stormous Ransomware. Tra Storia, ideologia, tecniche e tattiche proviene da il blog della sicurezza informatica.

[Kevin] doesn’t stock zener diodes anymore. Why? Because for everything he used to use zeners, he now uses bandgap voltage references. These look like zener diodes but have an extra terminal. That extra terminal allows you to set the threshold to any value you want (within specifications, of course). Have a look at the video below for an introduction to these devices and a practical circuit on a breadboard.

Inside, there’s a voltage reference, an op-amp, and a transistor, so these are tiny 3-terminal ICs. The chip powers itself from the load, so there are no separate power supply pins.

Note that just before the five-minute mark, he had a typo on the part number, but he corrected that in the comments. He goes on to put a demonstration schematic in KiCad. Once it was all worked out, it was breadboard time.

As always, there were a few real-world things to resolve, but the circuit worked as expected. As [Kevin] points out, the faux-zeners are about four for a dollar and even less in quantity. A zener might be a few pennies cheaper, but unless you are making thousands of copies of your circuit, who cares?

We don’t see zeners as often as we used to. As for the TL431, we’ve seen one torn apart for your amusement.

youtube.com/embed/7RQVgR9cbnY?…

hackaday.com/2024/11/24/progra…

I residenti in Svizzera riferiscono di aver ricevuto in massa lettere cartacee presumibilmente dall’Ufficio federale di meteorologia e climatologia Alertswiss.

Le e-mail suggeriscono di scaricare una “app di avviso di catastrofi meteorologiche” utilizzando un codice QR. Tuttavia, invece di un’applicazione, sullo smartphone viene scaricato un malware.

Scansione di una lettera cartacea inviata dagli aggressori

Il Centro nazionale per la sicurezza informatica (NCSC) e l’Ufficio federale della protezione della popolazione (UFPP) confermano che queste lettere sono false. I truffatori stanno cercando di scaricare sui telefoni degli utenti un virus chiamato “Coper” (o “Octo2”), che ruba dati da oltre 380 applicazioni, comprese quelle bancarie.

L’app falsa si maschera da app ufficiale Alertswiss, utilizzata per avvisare il pubblico. Tuttavia ci sono differenze evidenti: sull’app falsa l’icona è diversa e ha una grafia diversa: “AlertSwiss” invece di “Alertswiss“. Anche visivamente ha un aspetto diverso: l’icona del falso è rettangolare su sfondo bianco, mentre quella dell’originale è rotonda.

Il malware prende di mira esclusivamente i dispositivi con sistema operativo Android. Una volta insediato sullo smartphone, il virus tenta di accedere a dati sensibili come conti e password bancarie. Si consiglia ai proprietari dei dispositivi di controllare attentamente l’origine di eventuali e-mail o applicazioni prima di scansionare i codici QR.

NCSC invita tutti i destinatari di tali lettere a inviare un reclamo tramite un apposito modulo sul sito e poi a distruggere la lettera. E a tutti coloro che hanno installato accidentalmente un’applicazione falsa si consiglia di ripristinare le impostazioni di fabbrica del dispositivo per rimuovere il virus dalla memoria del gadget.

L'articolo Lettere Cartacee di Allerta Meteo in Svizzera Portano al download del Malware proviene da il blog della sicurezza informatica.

When it comes to space exploration, we often think of billion-dollar projects—NASA’s Artemis missions, ESA’s Mars rovers, or China’s Tiangong station. Yet, a group of U.S. students at USC’s Rocket Propulsion Lab (RPL) has achieved something truly extraordinary—a reminder that groundbreaking work doesn’t always require government budgets. On October 20, their homemade rocket, Aftershock II, soared to an altitude of 470,000 feet, smashing the amateur spaceflight altitude and speed records held for over two decades. Intrigued? Check out the full article here.

The 14-foot, 330-pound rocket broke the sound barrier within two seconds, reaching hypersonic speeds of Mach 5.5—around 3,600 mph. But Aftershock II didn’t just go fast; it climbed higher than any amateur spacecraft ever before, surpassing the 2004 GoFast rocket’s record by 90,000 feet. Even NASA-level challenges like thermal protection at hypersonic speeds were tackled using clever tricks. Titanium-coated fins, specially engineered heat-resistant paint, and a custom telemetry module ensured the rocket not only flew but returned largely intact.

This achievement feels straight out of a Commander Keen adventure—scrappy explorers, daring designs, and groundbreaking success against all odds. The full story is a must-read for anyone dreaming of building their own rocket.

youtube.com/embed/piX4VbWdADc?…

hackaday.com/2024/11/24/afters…

We received belated word this week of the passage of Ward Christensen, who died unexpectedly back in October at the age of 78. If the name doesn’t ring a bell, that’s understandable, because the man behind the first computer BBS wasn’t much for the spotlight. Along with Randy Suess and in response to the Blizzard of ’78, which kept their Chicago computer club from meeting in person, Christensen created an electronic version of a community corkboard. Suess worked on the hardware while Christensen provided the software, leveraging his XMODEM file-sharing protocol. They dubbed their creation a “bulletin board system” and when the idea caught on, they happily shared their work so that other enthusiasts could build their own systems.

BBSs were the only show in town for a long time, and the happy little modem negotiation tones were like a doorbell you rang to get into a club where people understood your obsession. Perhaps it’s just the BBS nostalgia talking, but despite the functional similarities to today’s social media, the BBS experience seemed a lot more civilized. It’s not that people were much better behaved back then; any BBS regular can tell you there were plenty of jerks online then, too. But the general tone of BBS life was a little more sedate, probably due in part to the glacial pace of dial-up connections. Even at a screaming 2,400 baud, characters scrolled across your screen slower than you could read them, and that seemed to have a sedating effect on your passions. By the time someone’s opinion on the burning issues of the day had finally been painted on your monitor, you’d had a bit of time to digest it and perhaps cool down a bit before composing a reply. We still had our flame wars, of course, but it was like watching slow-motion warfare and the dynamic was completely different from today’s Matrix.

Speaking of yearning for a probably mythical Golden Age, Casio has announced a smart ring that looks like a miniature version of their classic sports chronograph wristwatch. The ring celebrates Casio’s 50th anniversary of making watches, and features a stainless steel case made by metal injection molding. The six-digit LCD is pretty limited in what it can display, and the ring doesn’t do much other than tell the time and date and sound alarms. So we’re not sure where the smarts are here, except for the looks, of course.

We got a tip recently on a series of really interesting videos that you might want to check out, especially if you’re into EMC simulations. Panire’s channel is chock full of videos showing how to use openEMS, the open-source electromagnetic field solver, with KiCad EDA software to simulate the RF properties of high-speed circuits. He’s got some in-depth videos on getting things set up plus some great tutorials on creating simulations that let you see how your PCB designs are radiating, allowing you to make changes and see the results right away. Very useful stuff, and pretty fun to look at, too.

Here at Hackaday, we get a surprising and disappointingly regular stream of projects that claim to finally have beaten the laws of thermodynamics. So the words “Perpetual Motion” are especially triggering to us, but we instantly put that aside when we saw the title card on this video about the Atmos Clock. No, it’s not perpetual motion, but since as the name suggests, being powered by atmospheric pressure and temperature changes, it’s about as close as you can get. We remember one of these beautiful timepieces on the mantle in our grandparents’ house, gifted to “Grampy” for years of faithful service by his employer. It was a delicate machine and fascinating to watch work, which it only briefly did once we grandkids got near it. Still, watching how the mechanism worked is pretty interesting stuff.

youtube.com/embed/Jzl8HutWvw0?…

And finally, if you haven’t checked out The Analog, you really should. It’s a weekly newsletter written by our friend Mihir Shah and is full of interesting tidbits from the world of electronics and technology. This time around he gifted us with a video that looks inside optical sorting in food processing. You’ve probably seen these in action before, where cascades of objects — grapes in this case, obviously in a winery — are spread out on a high-speed conveyor belt under the watchful gaze of a computer vision system, which spots the bad grapes and yeets them into oblivion with a precisely controlled jet of compressed air. The mind boggles on the control loops needed to get the jet and the bad grape to meet up at just the right time so that good grapes stay in the game.

youtube.com/embed/vbSww5SBqN4?…

hackaday.com/2024/11/24/hackad…

These days, oscilloscope hacking is all about enabling features that the manufacturer baked into the hardware but locked out in the firmware. Those hacks are cool, of course, but back in the days of analog scopes, unlocking new features required a decidedly more hardware-based approach.

For an example of this, take a look at this oscilloscope beam splitter by [Lockdown Electronics]. It’s a simple way to turn a single-channel scope into a dual-channel scope using what amounts to time-division multiplexing. A 555 timer is set up as an astable oscillator generating a 2.5-kHz square wave. That’s fed into the bases of a pair of transistors, one NPN and the other PNP. The collectors of each transistor are connected to the two input signals, each biased to either the positive or negative rail of the power supply. As the 555 swings back and forth it alternately applies each input signal to the output of the beam splitter, which goes to the scope. The result is two independent traces on the analog scope, like magic.

More after the break…

If you’re wondering how this would work on a modern digital scope, so was [Lockdown Electronics]. He gave it a go with his little handheld scope meter and the results were surprisingly good and illustrative of how the thing works. You can clearly see the 555’s square wave on the digital scope sandwiched between the two different input sine waves. Analog scopes always have trouble showing these rising and falling edges, which explains why the beam splitter looks so good on the CRT versus the LCD.

Does this circuit serve any practical purpose these days? Probably not, although you could probably use the same principle to double the number of channels on your digital scope. Eight channels on a four-channel scope for the price of a 555? Sounds like a bargain to us.

youtube.com/embed/grrBe0joqJY?…

hackaday.com/2024/11/24/double…

A common part used to create a high voltage is a CRT flyback transformer, having been a ubiquitous junk pile component. So many attempts to use them rely on brute force, with power transistors in simple feedback oscillators dropping high currents into hand-wound primaries, so it’s refreshing to see a much more nuanced approach from [Alex Lungu]. His flyback driver board drives the transformer as it’s meant to be used, in flyback mode relying on the sudden collapse of a magnetic field to generate an output voltage pulse rather than simply trying to create as much field as possible. It’s thus far more efficient than all those free running oscillators.

On the PCB is a UC3844 switch mode power supply controller driving the transformer at about 25 kHz through an IGBT. We’d be curious to know how closely the spec of the transformer is tied to the around 15 kHz it would have been run at in a typical TV, and thus what frequency would be the most efficient for it. The result as far as we can see it a stable and adjustable high voltage source with out all the high-current and over heating, something of which we approve.

Need to understand more about free running versus flyback? Read on.

hackaday.com/2024/11/24/flybac…

Last time we checked in on [Inkbox], he had made a 16-bit CPU in Excel. Impressive, but not really practical. Presumably, his latest project isn’t any more practical, but we suspect an 8-bit RISC CPU was easier to implement in Excel and probably runs faster, too. The new machine uses a stack architecture with a simplified instruction set of ten instructions. You can follow along with his Excel adventure in the video below.

If you think about it, you may decide that doing something like this in Excel is easy because you could just script it and use Excel as the user interface. That’s true, but that’s now how [Inkbox] does it. He won’t use scripts or IF statements in a cell. That makes things much harder.

If you are curious about what goes on in a CPU, this is worth watching, even if you don’t expect you’ll use it. If you really want to become a CPU designer, we’d suggest skipping Excel and go straight into Verilog, VHDL, or something similar that you could actually use.

Don’t get us wrong. Seeing it done in Excel can be very educational, but no one designs CPUs like this in practice.

If you want to see the 16-bit version, we covered that, too. We always say that building the CPU is the easy part of developing a new architecture.

youtube.com/embed/MNRKi7Rum_c?…

hackaday.com/2024/11/24/risc-c…

Flight time remains the Achilles’ heel of electric multi-rotor drones, with even high-end commercial units struggling to stay airborne for an hour. Enter Modovolo, a startup that’s shattered this limitation with their modular drone system achieving flights exceeding two hours.

The secret? Lightweight modular “lift pods” inspired by bicycle wheels using tensioned lines similar to spokes. The lines suspend the hub and rotor within a duct. It’s all much lighter than of traditional rigid framing. The pods can be configured into quad-, hex-, or octocopter arrangements, featuring large 671 mm propellers. Despite their size, the quad configuration weighs a mere 3.5 kg with batteries installed. From the demo-day video, it appears the frame, hub, and propeller are all FDM 3D printed. The internal structure of the propeller looks very similar to other 3D-printed RC aircraft.

The propulsion system operates at just 1000 RPM – far slower than conventional drones. The custom propellers feature internal ring gears driven by small brushless motors through a ~20:1 reduction. This design allows each motor to hover at a mere 60 W, enabling the use of high-density lithium-ion cells typically unsuitable for drone applications. The rest of the electronics are off-the-shelf, with the flight controller running ArduPilot. Due to the unconventional powertrain and large size, the PID tuning was very challenging.

We like the fact this drone doesn’t require fancy materials or electronics, it just uses existing tech creatively. The combination of extended flight times, rapid charging, and modular construction opens new possibilities for applications like surveying, delivery, and emergency response where endurance is critical.

youtube.com/embed/P6nYBNGj9hA?…

hackaday.com/2024/11/24/modula…

While the Sahara Desert is an important ecosystem in its own right, its human neighbors in the Sahel would like it to stop encroaching on their environment. [Andrew Millison] took a look at how the people in the region are using “half moons” and zai pits to fight desertification.

With assistance from the World Food Program, people in Niger and all throughout the Sahel have been working on restoring damaged landscapes using traditional techniques that capture water during the rainy season to restore the local aquifer. The water goes to plants which provide forage during the 9 drier months of the year.

The main trick is using pits and contouring of the soil to catch rain as it falls. Give the ground time to absorb the water instead of letting it run off. Not only does this restore the aquifers, it also reduces flooding during during the intense rain events in the area. With the water constrained, plants have time to develop, and a virtuous cycle of growth and water retention allows people to have a more pleasant microclimate as well as enhanced food security. In the last five years, 500,000 people in Niger no longer need long-term food assistance as a result of these resiliency projects.

If this seems familiar, we previously covered the Great Green Wall at a more macro level. While we’re restoring the environment with green infrastructure, can we plant a trillion trees?

youtube.com/embed/xbBdIG--b58?…

hackaday.com/2024/11/24/hackin…

Google ha introdotto nuove funzionalità di sicurezza che aiutano a migliorare la sicurezza degli utenti preservando la privacy. Le nuove funzionalità includono il rilevamento delle frodi nel telefono da parte di Google e la protezione di Google Play con rilevamento delle minacce in tempo reale.

Il rilevamento delle frodi basato sull’intelligenza artificiale aiuta a proteggersi dalle telefonate fraudolente che stanno diventando sempre più complesse e sofisticate.

Questa funzionalità analizza la natura della conversazione e identifica i segnali di un potenziale inganno, come le richieste di trasferimento urgente di denaro presumibilmente a causa di un problema con un conto bancario.

Se si sospetta una frode, all’utente viene inviato un avviso acustico, vibrante e visivo. Il sistema funziona esclusivamente sul dispositivo, senza memorizzare né trasmettere dati ai server di Google. L’impostazione della funzione è completamente sotto il controllo dell’utente: può essere disabilitata in qualsiasi momento.

La tecnologia di rilevamento delle frodi è disponibile per gli utenti di Pixel 6 e modelli più recenti negli Stati Uniti, con supporto in inglese. La funzionalità si basa sull’avanzato modulo Gemini Nano AI, già utilizzato nei dispositivi della serie Pixel 9.

Un’altra nuova funzionalità è il rilevamento delle minacce in tempo reale all’interno di Google Play Protect. Il sistema analizza il comportamento delle applicazioni, inclusa la loro interazione con autorizzazioni e altri servizi, per trovare programmi potenzialmente dannosi. Se l’app rileva attività dannose, l’utente riceve una notifica immediata con la possibilità di agire immediatamente. Nella prima fase, la funzionalità si concentrerà sul rilevamento di stalkerware in grado di raccogliere dati sensibili senza il consenso dell’utente.

Tutta l’elaborazione dei dati avviene sul dispositivo tramite Private Compute Core, che elimina la raccolta e la trasmissione dei dati. Il rilevamento delle minacce è disponibile sui dispositivi Pixel 6 e versioni successive e verrà gradualmente esteso ad altri dispositivi Android.

Queste innovazioni rafforzano l’impegno di Google nello sviluppo di tecnologie che mantengano gli utenti al sicuro proteggendo al tempo stesso la loro privacy.

L'articolo Protezione in tempo reale DA Google! Le nuove armi contro le minacce digitali proviene da il blog della sicurezza informatica.

[My Ham Radio Journey] wanted to see if a “common person” (in his words) could build an effective vertical ham radio antenna. If you look at the video below, the answer is apparently yes.

He started with a 24-foot fishing rod and a roll of 22 gauge wire. The height of the antenna wire is just over 20 feet long and he has several ground radials, as you might expect for a vertical antenna.

You also need a toroid to make an unun for the feed point. The details of how he mounted everything will be useful if you want to experiment with making your own version.

Vertical antennas have plusses and minuses. One advantage is they have a low angle of radiation, which is good for long distance communication. It is possible to make arrays of vertical antennas, and we are surprised we haven’t seen any of those lately.

In the end, it looks like the antenna works well. With the 4:1 transformer, the SWR on all the ham bands is within range of the radio’s tuner.

We recently saw a fishing pole antenna that used no wire at all. If you want portable and fishing isn’t your thing, try a tape measure.

youtube.com/embed/4AuFceHBcFU?…

hackaday.com/2024/11/23/40-ham…

[Dale Cook] has cats, and as he readily admits, cats are jerks. We’d use stronger language than that, but either way it became a significant impediment to making progress with an RFID-based sensor to allow his cats access to their litterbox. Luckily, though, he was able to salvage the project enough to give a great talk on RFID from first principles and learn about a potentially tragic mistake.

If you don’t have 20 minutes to spare for the video below, the quick summary is that [Dale]’s cats are each chipped with an RFID tag using the FDX-B protocol. He figured he’d be able to build a scanner to open the door to their playpen litterbox, but alas, the read range on the chip and the aforementioned attitude problems foiled that plan. He kept plugging away, though, to better understand RFID and the electronics that make it work.

To that end, [Dale] rolled his own RFID reader pretty much from scratch. He used an Arduino to generate the 134.2-kHz clock signal for the FDX-B chips and to parse the returned data. In between, he built a push-pull driver for the antenna coil and an envelope detector to pull the modulated data off the carrier. He also added a low-pass filter and a comparator to clean up the signal into a nice square wave, which was fed into the Arduino to parse the Differential Manchester-encoded data.

Although he was able to read his cats’ chips with this setup, [Dale] admits it was a long road compared to just buying a Flipper Zero or visiting the vet. But it provided him a look under the covers of RFID, which is worth a lot all by itself. But more importantly, he also discovered that one cat had a chip that returned a code different than what was recorded in the national database. That could have resulted in heartache, and avoiding that is certainly worth the effort too.

youtube.com/embed/yirEXUiZuOM?…

Thanks for the tip, [Gustavo].

hackaday.com/2024/11/23/rfid-f…

[Japhy Riddle] was tired of creating pixel art. He went to subpixel art. The idea is that since each color pixel is composed of three subpixels, your display is actually three times as dense as you think it is. As long as you don’t care about the colors, of course.

Is it practical? No, although it is related to the Bayer filter algorithm and font antialiasing. You can also use subpixel manipulation to hide messages in plain sight.

[Japhy] shows how it all works using Photoshop, but you could do the same steps with anything that can do advanced image manipulation. Of course, you are assuming the subpixel mask is identical is for any given device, but apparently, they are mostly the same these days. You could modify the process to account for different masks.

Of course, since the subpixels are smaller, scaling has to change. In the end, you get a strange-looking image made up of tiny dots. Strange? Yes. Surreal? You bet. Useful? Well, tell us why you did it in the comments!

Pixel art isn’t just for CRTs. However, subpixel art assumes that the pixels can be divided up, which is not always the case.

youtube.com/embed/SlS3FOmKUbE?…

hackaday.com/2024/11/23/forget…

When you tear into an old piece of test equipment, you’re probably going to come up against some surprises. That’s especially true of high-precision gear like oscilloscopes from the time before ASICs and ADCs, which had to accomplish so much with discrete components and a lot of engineering ingenuity.

Unfortunately, though, those clever hacks that made everything work sometimes come back to bite you, as [Void Electronics] learned while bringing this classic Tektronix 466 scope back to life. A previous video revealed that the “Works fine, powers up” eBay listing for this scope wasn’t entirely accurate, as it was DOA. That ended up being a bad op-amp in the power supply, which was easily fixed. Once powered up, though, another, more insidious problem cropped up with the vertical attenuator, which failed with any setting divisible by two.

With this curious symptom in mind, [Void] got to work on the scope. Old analog Tek scopes like this use a bank of attenuator modules switched in and out of the signal path by a complex mechanical system of cams. It seemed like one of the modules, specifically the 4x attenuator, was the culprit. [Void] did the obvious first test and compared the module against the known good 4x module in the other channel of the dual-channel scope, but surprisingly, the module worked fine. That meant the problem had to be on the PCB that the module lives on. Close examination with the help of some magnification revealed the culprit — tin whiskers had formed, stretching out from a pad to chassis ground. The tiny metal threads were shorting the signal to ground whenever the 4x module was switched into the signal path. The solution? A quick flick with a sticky note to remove the whiskers!

This was a great fix and a fantastic lesson in looking past the obvious and being observant. It puts us in the mood for breaking out our old Tek scope and seeing what wonders — and challenges — it holds.

youtube.com/embed/PXAUGl8KqbU?…

hackaday.com/2024/11/23/close-…

Boats normally get around with propellers or water jets for propulsion. Occasionally, they use paddles. [Engineering After Hours] claims he is “changing the boat game forever” with his new 3D printed boat design that uses a tank tread for propulsion instead. Forgive him for the hyperbole of the YouTuber. It’s basically a modified paddle design, but it’s also pretty cool.
It works on land, even if it doesn’t steer well!
The basic idea is simple enough—think “floating snowmobile” and you’re in the ballpark. In the water, the chunky tank track provides forward propulsion with its paddle-like treads. It’s not that much different from a paddle wheel steamer. However, where it diverges is that it’s more flexible than a traditional paddle wheel.

The tracked design is actually pretty good at propelling the boat in shallow water without getting stuck. In fact, it works pretty well on dirt, too! The video covers the basic concept, but it also goes into some detail regarding optimizing the design, too. Getting the float and track geometry right is key to performance, after all.

If you’re looking to build an oddball amphibious craft, maybe working with the snowmobile concept is worth your engineering time.

youtube.com/embed/6WXm4mThifs?…

hackaday.com/2024/11/23/3d-pri…

The open-source hardware business landscape is no doubt a tough one, but is it actually tougher than for closed-source hardware? That question has been on our minds since the announcement that the latest 3D printer design from former open-source hardware stalwarts Prusa Research seems like it’s not going to come with design files.

Ironically, the new Core One is exactly the printer that enthusiasts have been begging Prusa to make for the last five years or more. Since seeing hacker printers like the Voron and even crazy machines like The 100 whip out prints at incredible speed, the decade-old fundamental design of Prusa’s i3 series looks like a slow and dated, if reliable, workhorse. “Bed slinger” has become a bit of a pejorative for this printer architecture in some parts of the 3DP community. So it’s sweet to see Prusa come out with the printer that everyone wants them to make, only it comes with the bitter pill of their first truly closed-source design.

Is the act of not sharing the design files going to save them? Is it even going to matter? We would argue that it’s entirely irrelevant. We don’t have a Core One in our hands, but we can’t imagine that there is anything super secret going on inside that couldn’t be reverse engineered by any other 3DP company within a week or so. If anything, they’re playing catch up with other similar designs. So why not play to one of their greatest strengths – the engaged crowd of hackers who would most benefit from having the design files?

Of course, Prusa’s decision to not release the design files doesn’t mean that they’re turning their backs on the community. They are also going to offer an upgrade package to turn your current i3 MK4 printer into the new Core One, which is about as hacker-friendly a move as is possible. They still offer kit versions of the printers at a discount, and they continue to support their open-source slicer software.

But this one aspect, the move away from radical openness, still strikes us as bittersweet. We don’t have access to their books, of course, but we can’t imagine that not providing the design files gains them much, and it will certainly damage them a little in the eyes of their most devoted fans. We hope the Core One does well, but we also hope that people don’t draw the wrong lesson from this – that it does well because it went closed source. If we could run the experiment both ways, we’d put our money on it doing even better if they released the design files.

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2024/11/23/open-s…

Gli analisti di ESET hanno scoperto una nuova backdoor per Linux chiamata WolfsBane. Secondo i ricercatori questo malware è simile alla backdoor di Windows che il gruppo di hacker cinese Gelsemium utilizza dal 2014.

Alla scoperta di WolfsBane

WolfsBane è un malware a tutti gli effetti, che include un dropper, un launcher e una backdoor stessa e utilizza un rootkitopen source modificato per eludere il rilevamento. Non è ancora chiaro come si verifichi l’infezione iniziale, ma i ricercatori ritengono che gli aggressori stiano sfruttando qualche tipo di vulnerabilità nelle applicazioni web per creare web shell e ottenere un accesso remoto persistente.

WolfsBane stesso viene inserito nel sistema utilizzando un dropper che avvia un componente camuffato da componente desktop KDE. A seconda dei privilegi che riceve, disabilita SELinux, crea file di servizio di sistema o modifica i file di configurazione dell’utente per prendere piede nel sistema.

Il launcher scarica quindi il componente dannoso udevd, che scarica tre librerie crittografate contenenti le funzionalità principali e la configurazione C&C. E per nascondere processi, file e traffico di rete associati all’attività di WolfsBane, una versione modificata del rootkit userland open source BEURK viene caricata tramite /etc/ld.so.preload .

Linux la nuova frontiera del malware

“Il rootkit WolfsBane Hider intercetta molte funzioni standard della libreria C, tra cui open, stat, readdir e access”, spiega ESET. “Anche se finiscono per richiamare le funzioni originali, tutti i risultati relativi a WolfsBane vengono filtrati.” Il compito principale di WolfsBane è eseguire i comandi ricevuti dal server di controllo degli aggressori utilizzando collegamenti di funzioni di comando predefiniti. Inoltre, lo stesso meccanismo viene utilizzato nell’analogo del malware per Windows.

Questi comandi includono operazioni sui file, furto di dati e varie manipolazioni del sistema che forniscono a Gelsemium il controllo completo sui dispositivi compromessi. I ricercatori menzionano anche di aver scoperto un altro malware Linux, FireWood, che è chiaramente correlato al malware Project Wood che prende di mira Windows. Tuttavia, FireWood, secondo gli analisti, è uno strumento di spionaggio comune utilizzato da diverse APT cinesi. Cioè, questo non è uno sviluppo esclusivo del citato gruppo Gelsemium.

“Sembra esserci una tendenza in via di sviluppo tra gli APT verso lo spostamento del malware verso i sistemi Linux”, concludono gli analisti. “Dal nostro punto di vista, questo sviluppo può essere spiegato da una serie di progressi nel campo della sicurezza della posta elettronica e degli endpoint. L’adozione diffusa di soluzioni EDR, così come la strategia di Microsoft di disabilitare le macro VBA per impostazione predefinita, significa che gli aggressori sono costretti a cercare altri modi per attaccare”.

L'articolo WolfsBane: Il malware si sposta su Linux e sta facendo tremare gli esperti di sicurezza proviene da il blog della sicurezza informatica.

Tiling a space with a repeated pattern that has no gaps or overlaps (a structure known as a tessellation) is what led mathematician [Gábor Domokos] to ponder a question: how few corners can a shape have and still fully tile a space? In a 2D the answer is two, and a 3D space can be tiled in shapes that have no corners at all, called soft cells.

These shapes can be made in a few different ways, and some are shown here. While they may have sharp edges there are no corners, or points where two or more line segments meet. Shapes capable of tiling a 2D space need a minimum of two corners, but in 3D the rules are different.

A great example of a natural soft cell is found in the chambers of a nautilus shell, but this turned out to be far from obvious. A cross-section of a nautilus shell shows a cell structure with obvious corners, but it turns out that’s just an artifact of looking at a 2D slice. When viewed in full 3D — which the team could do thanks to a micro CT scan available online — there are no visible corners in the structure. Once they knew what to look for, it was clear that soft cells are present in a variety of natural forms in our world.

[Domokos] not only seeks a better mathematical understanding of these shapes that seem common in our natural world but also wonders how they might relate to aperiodicity, or the ability of a shape to tile a space without making a repeating pattern. Penrose Tiles are probably the most common example.

hackaday.com/2024/11/23/3d-spa…

Il produttore americano di satelliti Maxar Technologies ha confermato una fuga di dati che ha interessato i dati personali dei dipendenti. La società ha segnalato l’hacking alle agenzie governative statunitensi.

Maxar gestisce una delle più grandi costellazioni di satelliti commerciali ed è un produttore di veicoli spaziali. Maxar è da tempo un fornitore chiave di immagini satellitari per il governo degli Stati Uniti, che utilizza i dati per l’intelligence, la pianificazione operativa e la gestione dei disastri.

Il 4 ottobre un aggressore proveniente da un indirizzo IP registrato a Hong Kong è penetrato nella rete Maxar ed è riuscito ad accedere ai file con i dati personali dei dipendenti. Non è ancora stata stabilita la posizione esatta dell’hacker, poiché il server utilizzato potrebbe nascondere la reale ubicazione.

L’azienda ha scoperto la violazione l’11 ottobre e ha adottato misure rapide per impedire ulteriori accessi non autorizzati. La società ha chiarito che nessuna informazione sui conti bancari è stata divulgata a seguito dell’incidente. Tuttavia, agli attuali dipendenti interessati dalla violazione viene offerta la protezione dell’identità e il monitoraggio del credito, mentre gli ex dipendenti hanno tempo fino a metà febbraio 2025 per iscriversi ai servizi di protezione dal furto di identità.

Il sito web ufficiale della società afferma che Maxar impiega 2.600 persone, più della metà delle quali hanno accesso a informazioni riservate necessarie per svolgere compiti nell’interesse della sicurezza nazionale degli Stati Uniti. Che sia correlato o meno, a luglio uno degli aggressori ha affermato di aver raccolto la base di utenti di GeoHIVE, una piattaforma di intelligence geospaziale di Maxar Technologies.

Non è ancora stato chiarito quanti dipendenti siano stati interessati e se siano stati interessati dati riservati. Maxar ha completato la vendita della società alla società di investimento Advent International per 6,4 miliardi di dollari lo scorso anno, ma non ci sono stati commenti immediati da parte dei rappresentanti.

L'articolo I Dati Della Maxar Technologies Compromessi: L’Hacking Satellitare Fa Rumore proviene da il blog della sicurezza informatica.

Il 18 Novembre 2024 è stato protagonista di un presunto attacco malware INPS Servizi S.P.A, azienda di house providing partecipata da INPS. L’attacco è stato poi confermato il 22 Novembre dal sito ufficiale di INPS tramite un breve comunicato ma ancor prima da QuAS il 19 Novembre.

Nonostante non ci siano fonti ufficiali a confermarli stanno girando rumors su una possibile responsabilità del gruppo Ransomware Lynx [1][2][3] che non ha però pubblicato nulla a riguardo sul loro Data Leak Site DLS.
Home Page del portale di INPS Servizi alle 8:44 del 23/11/2024
Il gruppo ha delle linee guida specifiche che includono il divieto di impattare istituzioni pubbliche, governative o healthcare. Il team di DarkLab, che ha intervista Lynx recentemente, si è messa in contatto con lo staff di Lynx chiedendo spiegazioni.

Lynx, dopo aver controllato nel loro backend le vittime attualmente dichiarate dai loro attaccanti/affiliati, ci ha detto che non ha attaccato INPS Servizi S.P.A.

Lynx ha tenuto a precisare che non attaccano questo tipo di istituzioni ed aziende ed invita INPS Servizi S.P.A a contattarli in caso i loro sistemi siano davvero stati impattati dal loro ransomware per poter scusarsi e mitigare al problema vista la natura della istituzione in questione.

Siccome non abbiamo dichiarazioni ufficiali chiare su questo attacco informatico, se i rumors fossero veri diamo la nostra collaborazione per aiutare INPS Servizi S.P.A a mettersi in contatto con Lynx.

Lynx fino ad oggi non ha mai attaccato alcuna organizzazione governativa o critica.

Le linee guida e le motivazioni del gruppo sono pubblicate nel loro DLS e sono sempre stati chiari (anche nella nostra intervista) nel non avere intenzione a creare danni a questo tipo di infrastrutture.

L'articolo Il Giallo dell’attacco ad INPS Servizi SpA. È stato Lynx? Li abbiamo sentiti proviene da il blog della sicurezza informatica.

Drilling holes can be quite time consuming work, particularly if you have to drill a lot of them. Think about all the hassle of grabbing a part, fixturing it in the drill press, lining it up, double checking, and then finally making the hole. That takes some time, and that’s no good if you’ve got lots of parts to drill. There’s an easy way around that, though. Build yourself a rad jig like [izzy swan] did.

The first jig we get to see is simple. It has a wooden platter, which hosts a fixture for a plastic enclosure to slot perfectly into place. Also on the platter is a regular old power drill. The platter also has a crank handle which, when pulled, pivots the platter, runs the power drill, and forces it through the enclosure in the exact right spot. It’s makes drilling a hole in the enclosure a repeatable operation that takes just a couple of seconds. The jig gets it right every time.

The video gets better from there, though. We get to see even niftier jigs that feature multiple drills, all doing their thing in concert with just one pull of a lever. [izzy] then shows us how these jigs are built from the ground up. It’s compelling stuff.

If you’re doing any sort of DIY manufacturing in real numbers, you’ve probably had to drill a lot of holes before. Jig making skills could really help you if that’s the case. Video after the break.

youtube.com/embed/AtskUPaoRio?…

hackaday.com/2024/11/23/drilli…

Vehicles that change their shape and form to adapt to their operating environment have long captured the imagination of tech enthusiasts, and building one remains a perennial project dream for many makers. Now, [Michael Rechtin] has made the dream a bit more accessible with a 3D printed quadcopter that seamlessly transforms into a tracked ground vehicle.

The design tackles a critical engineering challenge: most multi-mode vehicles struggle with the vastly different rotational speeds required for flying and driving. [Michael]’s solution involves using printed prop guards as wheels, paired with lightweight tracks. An extra pair of low-speed brushless motors are mounted between each wheel pair, driving the system via sprockets that engage directly with the same teeth that drive the tracks.

The transition magic happens through a four-bar linkage mounted in a parallelogram configuration, with a linear actuator serving as the bottom bar. To change from flying to driving configuration the linear actuator retracts, rotating the wheels/prop guards to a vertical position. A servo then rotates the top bar, lifting the body off the ground. While this approach adds some weight — an inevitable compromise in multi-purpose machines — it makes for a practical solution.

Powering this transformer is a Teensy 4.0 flight controller running dRehmFlight, a hackable flight stabilization package we’ve seen successfully adapted for everything from VTOLs to actively stabilized hydrofoils.

youtube.com/embed/f1GSzysrYtw?…

hackaday.com/2024/11/22/transf…