🎣 Nuovo malware minaccia organizzazioni italiane: WikiLoader nel mirino di una campagna di phishing
WikiLoader è un nuovo malware utilizzato in una campagna di phishing rivolta a organizzazioni italiane. I cybercriminali dietro questa campagna utilizzano WikiLoader per consegnare un trojan bancario, un programma di furto dati e malware come Ursnif sui computer delle vittime.
Gli esperti di Proofpoint, che hanno scoperto il malware, lo hanno chiamato WikiLoader perché il codice malevolo effettua una richiesta a Wikipedia e controlla che la risposta contenga la stringa "The Free" nei contenuti.
WikiLoader è un downloader sofisticato il cui obiettivo è installare un secondo payload di malware. Il codice malevolo utilizza tecniche di elusione interessanti e una personalizzazione del codice che rende difficile la sua individuazione e analisi.
L'attacco parte da e-mail contenenti allegati di Microsoft Office "weaponized" o allegati PDF. Proofpoint ha segnalato che WikiLoader è stato distribuito da almeno due attori delle minacce, TA544 e TA551, entrambi rivolti a organizzazioni italiane.
Questo nuovo malware dimostra un'evoluzione delle minacce informatiche sempre più sofisticate. Gli attaccanti stanno costantemente migliorando il codice per eludere le misure di sicurezza e sfruttare le vulnerabilità.
Proofpoint suggerisce alcune azioni per mitigare i rischi legati a WikiLoader e simili minacce. È importante disabilitare le macro di default per tutti gli impiegati, bloccare l'esecuzione di file esterni incorporati nei documenti di OneNote e assicurarsi che i file JavaScript siano aperti di default con un blocco note o un'applicazione simile, regolando le associazioni dei file di default tramite una politica di gruppo (GPO).
WikiLoader è un nuovo malware utilizzato in una campagna di phishing rivolta a organizzazioni italiane. I cybercriminali dietro questa campagna utilizzano WikiLoader per consegnare un trojan bancario, un programma di furto dati e malware come Ursnif sui computer delle vittime.
Gli esperti di Proofpoint, che hanno scoperto il malware, lo hanno chiamato WikiLoader perché il codice malevolo effettua una richiesta a Wikipedia e controlla che la risposta contenga la stringa "The Free" nei contenuti.
WikiLoader è un downloader sofisticato il cui obiettivo è installare un secondo payload di malware. Il codice malevolo utilizza tecniche di elusione interessanti e una personalizzazione del codice che rende difficile la sua individuazione e analisi.
L'attacco parte da e-mail contenenti allegati di Microsoft Office "weaponized" o allegati PDF. Proofpoint ha segnalato che WikiLoader è stato distribuito da almeno due attori delle minacce, TA544 e TA551, entrambi rivolti a organizzazioni italiane.
Questo nuovo malware dimostra un'evoluzione delle minacce informatiche sempre più sofisticate. Gli attaccanti stanno costantemente migliorando il codice per eludere le misure di sicurezza e sfruttare le vulnerabilità.
Proofpoint suggerisce alcune azioni per mitigare i rischi legati a WikiLoader e simili minacce. È importante disabilitare le macro di default per tutti gli impiegati, bloccare l'esecuzione di file esterni incorporati nei documenti di OneNote e assicurarsi che i file JavaScript siano aperti di default con un blocco note o un'applicazione simile, regolando le associazioni dei file di default tramite una politica di gruppo (GPO).
📲 Twitter (X) Ottiene la Licenza per Pagamenti Online nel Rhode Island
X, meglio conosciuta come Twitter, ha fatto un passo significativo nel settore dei servizi finanziari ottenendo una licenza per i pagamenti online dallo stato del Rhode Island.
Questa licenza è essenziale per le aziende che facilitano l'invio e la ricezione di denaro per conto degli utenti, sia in valuta tradizionale che in criptovalute. L'approvazione permetterà a X di custodire, trasferire e scambiare valute digitali.
Secondo il Nationwide Multi-State Licensing System (NMLS), la "Rhode Island Currency Transmitter License" di X è stata approvata il 28 agosto. Con questa licenza, X raggiunge un totale di sette licenze per la trasmissione di denaro e valuta in vari Stati degli Stati Uniti.
Questa mossa è un passo importante verso l'obiettivo di X di diventare una "everything app", che offrirà una vasta gamma di servizi, tra cui i pagamenti in criptovalute e in valuta tradizionale.
Sebbene inizialmente si preveda che X offrirà servizi di transazione in valuta fiat simili a PayPal, la società sembra avere piani per integrare anche le criptovalute in futuro.
Elon Musk, che è stato uno dei fondatori di PayPal, sembra aver dato istruzioni agli sviluppatori di costruire il sistema di pagamento in modo flessibile per l'aggiunta futura delle criptovalute.
Questa approvazione nel Rhode Island segue l'ottenimento da parte di X delle licenze per i pagamenti online in Michigan, Missouri e New Hampshire, tutte approvate il 5 luglio. Anche se non è ancora chiaro quali servizi esatti verranno offerti da X nel settore finanziario, questa mossa segna chiaramente un passo avanti verso un futuro in cui l'applicazione offrirà diverse opzioni per i pagamenti e le transazioni, sia in valuta fiat che in criptovalute.
X, meglio conosciuta come Twitter, ha fatto un passo significativo nel settore dei servizi finanziari ottenendo una licenza per i pagamenti online dallo stato del Rhode Island.
Questa licenza è essenziale per le aziende che facilitano l'invio e la ricezione di denaro per conto degli utenti, sia in valuta tradizionale che in criptovalute. L'approvazione permetterà a X di custodire, trasferire e scambiare valute digitali.
Secondo il Nationwide Multi-State Licensing System (NMLS), la "Rhode Island Currency Transmitter License" di X è stata approvata il 28 agosto. Con questa licenza, X raggiunge un totale di sette licenze per la trasmissione di denaro e valuta in vari Stati degli Stati Uniti.
Questa mossa è un passo importante verso l'obiettivo di X di diventare una "everything app", che offrirà una vasta gamma di servizi, tra cui i pagamenti in criptovalute e in valuta tradizionale.
Sebbene inizialmente si preveda che X offrirà servizi di transazione in valuta fiat simili a PayPal, la società sembra avere piani per integrare anche le criptovalute in futuro.
Elon Musk, che è stato uno dei fondatori di PayPal, sembra aver dato istruzioni agli sviluppatori di costruire il sistema di pagamento in modo flessibile per l'aggiunta futura delle criptovalute.
Questa approvazione nel Rhode Island segue l'ottenimento da parte di X delle licenze per i pagamenti online in Michigan, Missouri e New Hampshire, tutte approvate il 5 luglio. Anche se non è ancora chiaro quali servizi esatti verranno offerti da X nel settore finanziario, questa mossa segna chiaramente un passo avanti verso un futuro in cui l'applicazione offrirà diverse opzioni per i pagamenti e le transazioni, sia in valuta fiat che in criptovalute.
✉️ Cyberincidente a Postel: Dati Pubblicati su Telegram
L'incidente informatico di Postel, azienda italiana, ha catturato l'attenzione mediatica, assumendo uno sviluppo insolito per un tipico attacco ransomware.
Gli attacchi ransomware seguono di solito due fasi:
• la richiesta di riscatto per la decifratura dei dati (prima estorsione)
• la richiesta di riscatto per impedire la pubblicazione dei dati trafugati dalle infrastrutture IT aziendali (seconda estorsione).
Tuttavia, in questo caso, la pubblicazione dei dati ha assunto modalità insolite.
🗃 Pubblicazione dei Dati da parte di Medusa Ransomware su Telegram
La cyber gang Medusa ransomware, che aveva rivendicato l'attacco informatico a Postel il giorno di ferragosto, aveva programmato la pubblicazione dei dati otto giorni dopo, ma ha evitato le procedure normali solitamente seguite nei propri DLS (Data Leak Site).
In seguito è calato il silenzio sulla questione per alcuni giorni, e molti si domandavano cosa fosse accaduto ai dati di Postel. Alcuni media hanno cercato di suscitare interesse pubblicando titoli come "Medusa ha pubblicato i dati rubati di Postel", ma i dati non circolavano ancora tra il dark web.
Da qualche giorno, questi dati di Postel circolano su canali Telegram in cui è riportato riportato il seguente messaggio seguito da diversi file in formato archivio contenenti diversi GB di dati.
"
Ancora non si conosce il contenuto esatto dei dati, poiché si tratta di decine di GB da scaricare e analizzare. Tuttavia, questa situazione indica chiaramente una possibile perdita di dati che darà luogo a numerose discussioni.
L'incidente informatico di Postel, azienda italiana, ha catturato l'attenzione mediatica, assumendo uno sviluppo insolito per un tipico attacco ransomware.
Gli attacchi ransomware seguono di solito due fasi:
• la richiesta di riscatto per la decifratura dei dati (prima estorsione)
• la richiesta di riscatto per impedire la pubblicazione dei dati trafugati dalle infrastrutture IT aziendali (seconda estorsione).
Tuttavia, in questo caso, la pubblicazione dei dati ha assunto modalità insolite.
🗃 Pubblicazione dei Dati da parte di Medusa Ransomware su Telegram
La cyber gang Medusa ransomware, che aveva rivendicato l'attacco informatico a Postel il giorno di ferragosto, aveva programmato la pubblicazione dei dati otto giorni dopo, ma ha evitato le procedure normali solitamente seguite nei propri DLS (Data Leak Site).
In seguito è calato il silenzio sulla questione per alcuni giorni, e molti si domandavano cosa fosse accaduto ai dati di Postel. Alcuni media hanno cercato di suscitare interesse pubblicando titoli come "Medusa ha pubblicato i dati rubati di Postel", ma i dati non circolavano ancora tra il dark web.
Da qualche giorno, questi dati di Postel circolano su canali Telegram in cui è riportato riportato il seguente messaggio seguito da diversi file in formato archivio contenenti diversi GB di dati.
"
Ciao comunità. Oggi esamineremo la fuga di dati di Postel. Un'altra azienda del settore informatico che si impegna a fornire servizi ma non è in grado di garantire una sicurezza minima dei propri dati, per non parlare dei dati dei clienti.
Come pensa che si possa organizzare una gara tra le aziende IT su quale azienda pubblicherà più dati dei propri clienti? Scrivi la tua opinione nei commenti.
Qualche parola sull'azienda: “Postel SpA offre in vendita software per computer. La Società fornisce prodotti software e servizi di gestione, tra cui gestione dei documenti, marketing diretto, software di e-procurement e servizi correlati."Ancora non si conosce il contenuto esatto dei dati, poiché si tratta di decine di GB da scaricare e analizzare. Tuttavia, questa situazione indica chiaramente una possibile perdita di dati che darà luogo a numerose discussioni.
🍎 Cina: divieto per i dipendenti pubblici di utilizzare iPhone per motivi di sicurezza
La Cina ha recentemente emanato un decreto che vieta l'uso degli iPhone da parte dei funzionari delle Agenzie Governative Centrali per motivi di lavoro, sollevando preoccupazioni sulla sicurezza informatica e il potenziale spionaggio.
Secondo il Wall Street Journal, i dipendenti statali cinesi hanno ricevuto istruzioni dai loro superiori di non portare iPhone al lavoro e di non utilizzarli per scopi lavorativi. La direttiva sembra essere stata comunicata in modo esplicito ai dipendenti di alcuni enti regolatori direttamente collegati al Governo Centrale, sebbene non sia chiaro quanti siano coinvolti.
Questa mossa rappresenta un ulteriore passo di Pechino per ridurre la sua dipendenza dalle tecnologie straniere, in particolare dagli Stati Uniti. La Cina cerca di migliorare la sicurezza informatica e di ridurre la possibilità che informazioni sensibili possano essere trasmesse al di fuori del paese.
Non è la prima volta che la Cina impone restrizioni sull'uso degli iPhone da parte dei funzionari pubblici. In passato, le autorità cinesi avevano vietato l'utilizzo di iPhone per motivi di lavoro, ma sembra che questa recente direttiva abbia ampliato ulteriormente il divieto.
La decisione della Cina giunge in un momento in cui Apple si prepara a presentare la sua nuova linea di iPhone 15 durante un evento previsto per il 12 settembre. Le informazioni trapelate nelle ultime ore hanno fornito dettagli sulle caratteristiche dei nuovi smartphone, con particolare attenzione al comparto fotografico.
La Cina continua a essere un mercato cruciale per Apple, ma queste restrizioni potrebbero rappresentare una sfida per l'azienda in un momento in cui le tensioni tra la Cina e gli Stati Uniti influenzano il panorama tecnologico globale.
La Cina ha recentemente emanato un decreto che vieta l'uso degli iPhone da parte dei funzionari delle Agenzie Governative Centrali per motivi di lavoro, sollevando preoccupazioni sulla sicurezza informatica e il potenziale spionaggio.
Secondo il Wall Street Journal, i dipendenti statali cinesi hanno ricevuto istruzioni dai loro superiori di non portare iPhone al lavoro e di non utilizzarli per scopi lavorativi. La direttiva sembra essere stata comunicata in modo esplicito ai dipendenti di alcuni enti regolatori direttamente collegati al Governo Centrale, sebbene non sia chiaro quanti siano coinvolti.
Questa mossa rappresenta un ulteriore passo di Pechino per ridurre la sua dipendenza dalle tecnologie straniere, in particolare dagli Stati Uniti. La Cina cerca di migliorare la sicurezza informatica e di ridurre la possibilità che informazioni sensibili possano essere trasmesse al di fuori del paese.
Non è la prima volta che la Cina impone restrizioni sull'uso degli iPhone da parte dei funzionari pubblici. In passato, le autorità cinesi avevano vietato l'utilizzo di iPhone per motivi di lavoro, ma sembra che questa recente direttiva abbia ampliato ulteriormente il divieto.
La decisione della Cina giunge in un momento in cui Apple si prepara a presentare la sua nuova linea di iPhone 15 durante un evento previsto per il 12 settembre. Le informazioni trapelate nelle ultime ore hanno fornito dettagli sulle caratteristiche dei nuovi smartphone, con particolare attenzione al comparto fotografico.
La Cina continua a essere un mercato cruciale per Apple, ma queste restrizioni potrebbero rappresentare una sfida per l'azienda in un momento in cui le tensioni tra la Cina e gli Stati Uniti influenzano il panorama tecnologico globale.
🪙 Italia: il Paese più costoso per il mining di Bitcoin
Il costo del mining di Bitcoin varia notevolmente da paese a paese, e l'Italia si distingue come uno dei luoghi più costosi per questa attività.
Mentre in Libano è sufficiente un modesto investimento di 266$ per estrarre un singolo BTC, in Italia la cifra sale vertiginosamente a 208.560$!
Un recente report di CoinGecko ha gettato luce su questa disparità significativa. Utilizzando l'elettricità domestica comune, il mining di Bitcoin risulta profittevole solo in 65 nazioni nel mondo, con ben 34 di esse concentrate in Asia e solo 5 in Europa.
In media, cercare di minare BTC da casa non è affatto un affare conveniente:
"
L'Italia guida la classifica come il Paese più costoso per il mining di Bitcoin, richiedendo un investimento massiccio di 208.560$. L'Austria segue a ruota con 184.352$, seguita dal Belgio con 172.382$.
D'altro canto, il Libano si distingue come la nazione con il costo più basso per l'elettricità domestica, consentendo ai minatori di generare un BTC con appena 266$. In altre parole, il mining di BTC in Libano è ben 783 volte più conveniente rispetto all'Italia.
L'Iran segue da vicino, con un costo di produzione di 532$ per Bitcoin. Tuttavia, nonostante l'Iran abbia legalizzato il mining di Bitcoin nel 2019, il Paese ha vietato questa attività in diverse occasioni, soprattutto durante i mesi invernali, quando la popolazione ha bisogno di energia elettrica per riscaldare le proprie case.
All'inizio di quest'anno, il governo iraniano ha confiscato circa 150.000 apparecchiature destinate al crypto-mining.
Il 19 agosto, il CEO di Binance, Changpeng "CZ" Zhao, ha commentato questi dati, sottolineando che le persone che vivono in paesi con costi energetici così bassi dovrebbero seriamente considerare il mining di BTC:
"
Tuttavia, ha ammesso che il costo dell'energia non è l'unico fattore da considerare:
"
Un utente su X (ex Twitter) ha commentato:
"
Il costo del mining di Bitcoin varia notevolmente da paese a paese, e l'Italia si distingue come uno dei luoghi più costosi per questa attività.
Mentre in Libano è sufficiente un modesto investimento di 266$ per estrarre un singolo BTC, in Italia la cifra sale vertiginosamente a 208.560$!
Un recente report di CoinGecko ha gettato luce su questa disparità significativa. Utilizzando l'elettricità domestica comune, il mining di Bitcoin risulta profittevole solo in 65 nazioni nel mondo, con ben 34 di esse concentrate in Asia e solo 5 in Europa.
In media, cercare di minare BTC da casa non è affatto un affare conveniente:
"
Il costo medio dell'elettricità domestica per estrarre 1 BTC è di 46.291,24$, un 35% in più rispetto al prezzo medio giornaliero di 1 BTC a luglio 2023 (30.090,08$)."L'Italia guida la classifica come il Paese più costoso per il mining di Bitcoin, richiedendo un investimento massiccio di 208.560$. L'Austria segue a ruota con 184.352$, seguita dal Belgio con 172.382$.
D'altro canto, il Libano si distingue come la nazione con il costo più basso per l'elettricità domestica, consentendo ai minatori di generare un BTC con appena 266$. In altre parole, il mining di BTC in Libano è ben 783 volte più conveniente rispetto all'Italia.
L'Iran segue da vicino, con un costo di produzione di 532$ per Bitcoin. Tuttavia, nonostante l'Iran abbia legalizzato il mining di Bitcoin nel 2019, il Paese ha vietato questa attività in diverse occasioni, soprattutto durante i mesi invernali, quando la popolazione ha bisogno di energia elettrica per riscaldare le proprie case.
All'inizio di quest'anno, il governo iraniano ha confiscato circa 150.000 apparecchiature destinate al crypto-mining.
Il 19 agosto, il CEO di Binance, Changpeng "CZ" Zhao, ha commentato questi dati, sottolineando che le persone che vivono in paesi con costi energetici così bassi dovrebbero seriamente considerare il mining di BTC:
"
Perché non dovrebbero?"Tuttavia, ha ammesso che il costo dell'energia non è l'unico fattore da considerare:
"
Probabilmente il report non ha considerato l'effettiva fattibilità e altri potenziali problemi logistici. Ma se i dati sono veritieri, il mining in queste nazioni potrebbe offrire un'ottima opportunità."Un utente su X (ex Twitter) ha commentato:
"
La maggior parte di questi paesi sta affrontando una carenza di elettricità. Solitamente, durante l'estate o le ore di punta, lo Stato interrompe le attività industriali."💰 PayPal abilita la vendita di criptovalute attraverso MetaMask per utenti USA.
PayPal sta continuando ad espandere la sua gamma di servizi legati alle criptovalute, offrendo agli utenti statunitensi la possibilità di vendere criptovalute come il Bitcoin attraverso MetaMask.
L'11 settembre, PayPal ha lanciato nuove funzionalità per consentire agli utenti degli Stati Uniti di convertire direttamente le loro criptovalute in dollari americani, collegando i loro wallet a PayPal. Questa nuova funzionalità, nota come "on- e off-ramp", è ora disponibile su MetaMask, che è una popolare interfaccia per le applicazioni decentralizzate e i marketplace di token non fungibili (NFT).
Queste aggiunte mirano a semplificare l'acquisto e la vendita di diverse criptovalute negli Stati Uniti. PayPal sta cercando di attirare i commercianti e gli utenti web3, offrendo una soluzione di pagamento affidabile e sicura, con controlli antifrode e assistenza nella gestione di controversie.
Va notato che MetaMask non supporta le transazioni Bitcoin sulla blockchain originale di Bitcoin, ma questa partnership con PayPal amplia le opzioni disponibili per gli utenti interessati alle criptovalute.
Il nuovo lancio arriva poco dopo la collaborazione tra PayPal e Ledger, un'importante società di hardware wallet, che ha permesso agli utenti PayPal verificati negli Stati Uniti di acquistare Bitcoin, Ether, Bitcoin Cash e Litecoin direttamente tramite il suo software nativo Ledger Live.
Inoltre, MetaMask aveva già iniziato a consentire agli utenti negli Stati Uniti di acquistare Ether utilizzando PayPal a maggio 2023, e la collaborazione tra ConsenSys, la società madre di MetaMask, e PayPal era stata avviata alla fine del 2022 per abilitare le transazioni in Ethereum.
PayPal sta continuando ad espandere la sua gamma di servizi legati alle criptovalute, offrendo agli utenti statunitensi la possibilità di vendere criptovalute come il Bitcoin attraverso MetaMask.
L'11 settembre, PayPal ha lanciato nuove funzionalità per consentire agli utenti degli Stati Uniti di convertire direttamente le loro criptovalute in dollari americani, collegando i loro wallet a PayPal. Questa nuova funzionalità, nota come "on- e off-ramp", è ora disponibile su MetaMask, che è una popolare interfaccia per le applicazioni decentralizzate e i marketplace di token non fungibili (NFT).
Queste aggiunte mirano a semplificare l'acquisto e la vendita di diverse criptovalute negli Stati Uniti. PayPal sta cercando di attirare i commercianti e gli utenti web3, offrendo una soluzione di pagamento affidabile e sicura, con controlli antifrode e assistenza nella gestione di controversie.
Va notato che MetaMask non supporta le transazioni Bitcoin sulla blockchain originale di Bitcoin, ma questa partnership con PayPal amplia le opzioni disponibili per gli utenti interessati alle criptovalute.
Il nuovo lancio arriva poco dopo la collaborazione tra PayPal e Ledger, un'importante società di hardware wallet, che ha permesso agli utenti PayPal verificati negli Stati Uniti di acquistare Bitcoin, Ether, Bitcoin Cash e Litecoin direttamente tramite il suo software nativo Ledger Live.
Inoltre, MetaMask aveva già iniziato a consentire agli utenti negli Stati Uniti di acquistare Ether utilizzando PayPal a maggio 2023, e la collaborazione tra ConsenSys, la società madre di MetaMask, e PayPal era stata avviata alla fine del 2022 per abilitare le transazioni in Ethereum.
✈️ Attacco Informatico: Airbus, il gigante aerospaziale, nel mirino degli hacker criminali
Airbus, il colosso dell'industria aerospaziale, è stato recentemente preso di mira in un grave attacco informatico che ha attirato l'attenzione della comunità della sicurezza informatica. Questo attacco ha comportato la compromissione di dati di grande valore, tra cui le informazioni personali di oltre 3.200 fornitori, comprendenti nomi, numeri di contatto e indirizzi email.
La situazione si è ulteriormente complicata con l'apparizione di un misterioso hacker che usa lo pseudonimo "USDoD". Questo individuo ha sostenuto che le informazioni sottratte provengono dal database InfraGrad dell'FBI, mettendo in discussione l'efficacia dei sistemi di sicurezza governativi.
Gli esperti di sicurezza informatica hanno segnalato che lo stesso hacker ha minacciato direttamente i giganti nel settore della difesa, come Raytheon e Lockheed Martin. Le sue tattiche di attacco hanno coinvolto l'utilizzo del noto malware infostealer Redline, utilizzato per sottrarre informazioni attraverso il framework Microsoft .NET.
Tutto ha avuto inizio quando "USDoD" ha divulgato dati rubati su un forum frequentato da hacker criminali nel dicembre del 2022.
In risposta, l'FBI ha immediatamente avviato un'indagine e alla fine ha interrotto le attività illegali legate al blog che diffondeva questi dati. Il gruppo dietro questa violazione è sospettato di essere affiliato al Ransomed Ransomware Group e ha intensificato le minacce, minacciando di rilasciare informazioni ancora più sensibili se le loro richieste non fossero state soddisfatte.
Dato che Airbus è un produttore di attrezzature per la difesa e l'aviazione civile, una perdita di dati potrebbe avere conseguenze non solo per l'azienda stessa, ma anche per la sicurezza nazionale, in quanto queste informazioni potrebbero essere sfruttate da stati ostili o organizzazioni terroristiche.
Di conseguenza è fondamentale non solo per Airbus, ma anche per l'intero settore della difesa, adottare tutte le misure possibili per rafforzare le proprie difese informatiche. Queste misure dovrebbero includere una maggiore sensibilizzazione tra i dipendenti, il monitoraggio costante delle minacce e lo sviluppo di competenze avanzate in materia di sicurezza informatica.
È importante sottolineare che Airbus è già stato precedentemente bersaglio di attacchi informatici, come nel 2019, quando un gruppo criminale informatico noto come Avivore ha condotto diversi attacchi di grandi dimensioni contro l'azienda nel corso di mesi. Gli aggressori hanno cercato di infiltrarsi nelle reti di Airbus attraverso società di consulenza come Expleo in Francia, il produttore di motori Rolls Royce nel Regno Unito e due fornitori Airbus non specificati.
Inoltre, nello stesso anno, aggressori sconosciuti sono riusciti ad accedere ai dati personali di Airbus, compresi i recapiti professionali di alcuni dipendenti Airbus in Europa.
Airbus, il colosso dell'industria aerospaziale, è stato recentemente preso di mira in un grave attacco informatico che ha attirato l'attenzione della comunità della sicurezza informatica. Questo attacco ha comportato la compromissione di dati di grande valore, tra cui le informazioni personali di oltre 3.200 fornitori, comprendenti nomi, numeri di contatto e indirizzi email.
La situazione si è ulteriormente complicata con l'apparizione di un misterioso hacker che usa lo pseudonimo "USDoD". Questo individuo ha sostenuto che le informazioni sottratte provengono dal database InfraGrad dell'FBI, mettendo in discussione l'efficacia dei sistemi di sicurezza governativi.
Gli esperti di sicurezza informatica hanno segnalato che lo stesso hacker ha minacciato direttamente i giganti nel settore della difesa, come Raytheon e Lockheed Martin. Le sue tattiche di attacco hanno coinvolto l'utilizzo del noto malware infostealer Redline, utilizzato per sottrarre informazioni attraverso il framework Microsoft .NET.
Tutto ha avuto inizio quando "USDoD" ha divulgato dati rubati su un forum frequentato da hacker criminali nel dicembre del 2022.
In risposta, l'FBI ha immediatamente avviato un'indagine e alla fine ha interrotto le attività illegali legate al blog che diffondeva questi dati. Il gruppo dietro questa violazione è sospettato di essere affiliato al Ransomed Ransomware Group e ha intensificato le minacce, minacciando di rilasciare informazioni ancora più sensibili se le loro richieste non fossero state soddisfatte.
Dato che Airbus è un produttore di attrezzature per la difesa e l'aviazione civile, una perdita di dati potrebbe avere conseguenze non solo per l'azienda stessa, ma anche per la sicurezza nazionale, in quanto queste informazioni potrebbero essere sfruttate da stati ostili o organizzazioni terroristiche.
Di conseguenza è fondamentale non solo per Airbus, ma anche per l'intero settore della difesa, adottare tutte le misure possibili per rafforzare le proprie difese informatiche. Queste misure dovrebbero includere una maggiore sensibilizzazione tra i dipendenti, il monitoraggio costante delle minacce e lo sviluppo di competenze avanzate in materia di sicurezza informatica.
È importante sottolineare che Airbus è già stato precedentemente bersaglio di attacchi informatici, come nel 2019, quando un gruppo criminale informatico noto come Avivore ha condotto diversi attacchi di grandi dimensioni contro l'azienda nel corso di mesi. Gli aggressori hanno cercato di infiltrarsi nelle reti di Airbus attraverso società di consulenza come Expleo in Francia, il produttore di motori Rolls Royce nel Regno Unito e due fornitori Airbus non specificati.
Inoltre, nello stesso anno, aggressori sconosciuti sono riusciti ad accedere ai dati personali di Airbus, compresi i recapiti professionali di alcuni dipendenti Airbus in Europa.
🏭 All'interno del toolkit degli hacker - Serie - 1
È innegabile che le aziende siano spesso nel mirino di potenziali criminali che cercano di sfruttarle. Sebbene le queste stiano attivamente cercando soluzioni e offrendo formazione per garantire la sicurezza del loro perimetro, spesso il punto debole risiede nei propri dipendenti, ovvero nell'elemento umano.
In questa mini serie riporteremo un'intervista con Jack Chapman per esaminare le misure e le strategie che le aziende possono adottare per rimanere un passo avanti rispetto ai loro avversari.
📋 Durante l'intervista, verranno affrontati i seguenti argomenti:
• I punti deboli che gli aggressori cercano di sfruttare.
• L'evoluzione delle toolkit.
• La protezione dell'autenticazione a più fattori (MFA) e altri aspetti correlati.
È innegabile che le aziende siano spesso nel mirino di potenziali criminali che cercano di sfruttarle. Sebbene le queste stiano attivamente cercando soluzioni e offrendo formazione per garantire la sicurezza del loro perimetro, spesso il punto debole risiede nei propri dipendenti, ovvero nell'elemento umano.
In questa mini serie riporteremo un'intervista con Jack Chapman per esaminare le misure e le strategie che le aziende possono adottare per rimanere un passo avanti rispetto ai loro avversari.
📋 Durante l'intervista, verranno affrontati i seguenti argomenti:
• I punti deboli che gli aggressori cercano di sfruttare.
• L'evoluzione delle toolkit.
• La protezione dell'autenticazione a più fattori (MFA) e altri aspetti correlati.
📝 Prosegue in un prossimo post🍀 Mercato darkweb finlandese Piilopuoti chiuso
Il sequestro del market, operativo dal maggio 2022, è stato annunciato dalla Dogana finlandese. Il mercato facilitava la distribuzione di droghe illecite in tutta la Finlandia.
Il sequestro è avvenuto in seguito a indagini condotte dalla Dogana finlandese con l'aiuto di Europol ed Eurojust, nonché delle autorità in Germania e Lituania.
Come rivelato nel banner del sequestro visualizzato sulla homepage del mercato, le autorità investigative hanno ricevuto assistenza da Bitdefender.
Alexandru Catalin Cosoi, direttore senior dell'unità di investigazioni e informatica forense di Bitdefender rivela: "
La Dogana finlandese ha reso noto di aver sequestrato i contenuti del server del mercato. Tuttavia, non hanno rivelato se il sequestro abbia portato ad arresti.
Le indagini sulle operazioni del mercato sono ancora in corso. Gli utenti del mercato dovrebbero presumere di essere sotto indagine e agire di conseguenza.
Il sequestro del market, operativo dal maggio 2022, è stato annunciato dalla Dogana finlandese. Il mercato facilitava la distribuzione di droghe illecite in tutta la Finlandia.
Il sequestro è avvenuto in seguito a indagini condotte dalla Dogana finlandese con l'aiuto di Europol ed Eurojust, nonché delle autorità in Germania e Lituania.
Come rivelato nel banner del sequestro visualizzato sulla homepage del mercato, le autorità investigative hanno ricevuto assistenza da Bitdefender.
Alexandru Catalin Cosoi, direttore senior dell'unità di investigazioni e informatica forense di Bitdefender rivela: "
Siamo estremamente soddisfatti che Piilopuoti sia stato sequestrato e desideriamo congratularci con le forze dell'ordine, la Dogana finlandese e tutti coloro coinvolti. Questa operazione è un esempio lampante della collaborazione tra settore pubblico e privato nell'unire le risorse e lavorare insieme per interrompere le attività illegali online. Dovrebbe anche servire da campanello d'allarme per i criminali che credono erroneamente che le loro infrastrutture, l'anonimato e le azioni siano completamente protetti dal dark web. Dovrebbero capire che se sono nel mirino di uno sforzo internazionale, saranno alla fine portati davanti alla giustizia."La Dogana finlandese ha reso noto di aver sequestrato i contenuti del server del mercato. Tuttavia, non hanno rivelato se il sequestro abbia portato ad arresti.
Le indagini sulle operazioni del mercato sono ancora in corso. Gli utenti del mercato dovrebbero presumere di essere sotto indagine e agire di conseguenza.
✉️ Signal verso il futuro: la crittografia post-quantum ora protegge i nostri messaggi
Signal ha annunciato un significativo miglioramento nella crittografia del suo messenger. Il suo protocollo di comunicazione end-to-end ora è dotato di chiavi crittografiche resistenti ai computer quantistici, rendendolo immune da possibili attacchi futuri da parte di tali macchine.
Attualmente, i computer quantistici, nonostante non abbiano ancora applicazioni concrete, hanno il potenziale per diventare estremamente potenti e veloci, superando di gran lunga i sistemi informatici attuali. Questo potrebbe consentire loro di decifrare rapidamente dati protetti, mettendo a rischio la sicurezza delle informazioni.
Tuttavia, sta emergendo l'idea di raccogliere informazioni crittografate per poi decifrarle una volta che i computer quantistici diventeranno una realtà. Questo problema può essere affrontato, se non risolto, mediante l'implementazione di algoritmi resistenti ai computer quantistici, come suggerito dal National Institute of Standards and Technology (NIST).
Per le app di messaggistica come Signal, che si affidano alla crittografia end-to-end per garantire la privacy delle comunicazioni, l'adozione di tali approcci e l'utilizzo di algoritmi resistenti ai computer quantistici diventano sempre più cruciali.
Signal ha spiegato che ha aggiornato il suo protocollo X3DH (Extended Triple Diffie-Hellman) a PQXDH (Post-Quantum Extended Diffie-Hellman), che ora incorpora meccanismi di generazione di chiavi resistenti ai computer quantistici nel suo protocollo di crittografia end-to-end.
Questo passo rappresenta un ulteriore miglioramento nella protezione delle comunicazioni, e Signal utilizza il meccanismo di incapsulamento della chiave CRYSTALS-Kyber, approvato dal NIST, per garantire la sicurezza. La transizione a PQXDH rappresenta solo l'inizio del percorso verso una crittografia end-to-end resistente ai computer quantistici, un passo fondamentale per proteggere le comunicazioni delle persone.
Signal ha annunciato un significativo miglioramento nella crittografia del suo messenger. Il suo protocollo di comunicazione end-to-end ora è dotato di chiavi crittografiche resistenti ai computer quantistici, rendendolo immune da possibili attacchi futuri da parte di tali macchine.
Attualmente, i computer quantistici, nonostante non abbiano ancora applicazioni concrete, hanno il potenziale per diventare estremamente potenti e veloci, superando di gran lunga i sistemi informatici attuali. Questo potrebbe consentire loro di decifrare rapidamente dati protetti, mettendo a rischio la sicurezza delle informazioni.
Tuttavia, sta emergendo l'idea di raccogliere informazioni crittografate per poi decifrarle una volta che i computer quantistici diventeranno una realtà. Questo problema può essere affrontato, se non risolto, mediante l'implementazione di algoritmi resistenti ai computer quantistici, come suggerito dal National Institute of Standards and Technology (NIST).
Per le app di messaggistica come Signal, che si affidano alla crittografia end-to-end per garantire la privacy delle comunicazioni, l'adozione di tali approcci e l'utilizzo di algoritmi resistenti ai computer quantistici diventano sempre più cruciali.
Signal ha spiegato che ha aggiornato il suo protocollo X3DH (Extended Triple Diffie-Hellman) a PQXDH (Post-Quantum Extended Diffie-Hellman), che ora incorpora meccanismi di generazione di chiavi resistenti ai computer quantistici nel suo protocollo di crittografia end-to-end.
Questo passo rappresenta un ulteriore miglioramento nella protezione delle comunicazioni, e Signal utilizza il meccanismo di incapsulamento della chiave CRYSTALS-Kyber, approvato dal NIST, per garantire la sicurezza. La transizione a PQXDH rappresenta solo l'inizio del percorso verso una crittografia end-to-end resistente ai computer quantistici, un passo fondamentale per proteggere le comunicazioni delle persone.
👾 Malware USB rinati: gli hacker cinesi diffondono il pericoloso Sogu in un'infezione globale
Le chiavette USB come veicolo per il malware sembravano appartenere al passato, ma la società di sicurezza Mandiant rivela che il gruppo di hacker cinese UNC53 ha utilizzato questo metodo per attaccare obiettivi in tutto il mondo dall'inizio dello scorso anno.
La maggior parte delle infezioni, secondo Mandiant, si sono verificate in paesi africani come Egitto, Zimbabwe, Tanzania, Kenya, Ghana e Madagascar. Il malware, noto come Sogu, ha trovato la sua strada in alcune occasioni attraverso computer pubblici in Internet café e tipografie.
Sorprendentemente, questo vecchio metodo di infezione è risultato efficace, specialmente nei paesi in via di sviluppo, dove le unità flash USB sono ancora molto utilizzate. Le aziende multinazionali con dipendenti in queste regioni sono particolarmente vulnerabili.
Il malware Sogu utilizza metodi semplici ma sofisticati per infettare i computer e sottrarre dati. La sua capacità di infettare sistemi in reti Air Gap, non connessi a Internet, è preoccupante. Una volta installato, stabilisce una connessione a un server remoto per inviare i dati rubati. Questo consente agli hacker di creare una vasta rete di sistemi infetti e selezionare le vittime con attenzione.
Sogu è solo uno dei molti malware USB che stanno facendo la loro ricomparsa. Ad esempio, i ricercatori di sicurezza di Check Point hanno scoperto che il gruppo cinese Camaro Dragon (Mustang Panda) sta utilizzando un nuovo malware chiamato WispRider, progettato per rubare dati e diffuso attraverso chiavette USB compromesse.
È evidente che i virus USB rappresentano ancora una minaccia, specialmente nelle reti globali con operazioni nei paesi in via di sviluppo. Mentre in Nord America ed Europa si crede che questo vettore sia stato ampiamente mitigato, esistono ancora vulnerabilità in altre parti del mondo che vengono sfruttate.
Le chiavette USB come veicolo per il malware sembravano appartenere al passato, ma la società di sicurezza Mandiant rivela che il gruppo di hacker cinese UNC53 ha utilizzato questo metodo per attaccare obiettivi in tutto il mondo dall'inizio dello scorso anno.
La maggior parte delle infezioni, secondo Mandiant, si sono verificate in paesi africani come Egitto, Zimbabwe, Tanzania, Kenya, Ghana e Madagascar. Il malware, noto come Sogu, ha trovato la sua strada in alcune occasioni attraverso computer pubblici in Internet café e tipografie.
Sorprendentemente, questo vecchio metodo di infezione è risultato efficace, specialmente nei paesi in via di sviluppo, dove le unità flash USB sono ancora molto utilizzate. Le aziende multinazionali con dipendenti in queste regioni sono particolarmente vulnerabili.
Il malware Sogu utilizza metodi semplici ma sofisticati per infettare i computer e sottrarre dati. La sua capacità di infettare sistemi in reti Air Gap, non connessi a Internet, è preoccupante. Una volta installato, stabilisce una connessione a un server remoto per inviare i dati rubati. Questo consente agli hacker di creare una vasta rete di sistemi infetti e selezionare le vittime con attenzione.
Sogu è solo uno dei molti malware USB che stanno facendo la loro ricomparsa. Ad esempio, i ricercatori di sicurezza di Check Point hanno scoperto che il gruppo cinese Camaro Dragon (Mustang Panda) sta utilizzando un nuovo malware chiamato WispRider, progettato per rubare dati e diffuso attraverso chiavette USB compromesse.
È evidente che i virus USB rappresentano ancora una minaccia, specialmente nelle reti globali con operazioni nei paesi in via di sviluppo. Mentre in Nord America ed Europa si crede che questo vettore sia stato ampiamente mitigato, esistono ancora vulnerabilità in altre parti del mondo che vengono sfruttate.
🗃 La divisione di ricerca Microsoft AI espone accidentalmente 38TB di dati sensibili.
L'azienda di sicurezza informatica Wiz ha scoperto che la divisione di ricerca Microsoft AI ha accidentalmente rilasciato 38 TB di dati sensibili mentre pubblicava un bucket di dati di addestramento open source su GitHub.
I dati esposti includevano un backup su disco di due workstation de dipendenti contenenti segreti, chiavi private, password e oltre 30.000 messaggi interni di Microsoft Teams.
"
Il team di ricerca di Wiz ha scoperto il repository durante la scansione di Internet alla ricerca di contenitori di archiviazione mal configurati che espongono dati ospitati nel cloud. Gli esperti hanno trovato un repository su GitHub nell'organizzazione Microsoft chiamato robust-models-transfer.
Il repository appartiene alla divisione di ricerca Microsoft AI, che lo ha utilizzato per fornire codice open source e modelli di intelligenza artificiale per il riconoscimento delle immagini. Il team di ricerca Microsoft AI ha iniziato a pubblicare dati nel luglio 2020.
Microsoft ha utilizzato token SAS Azure per condividere dati memorizzati in account di archiviazione Azure utilizzati dal suo team di ricerca.
L'URL firmato di Azure Storage utilizzato per accedere al repository è stato erroneamente configurato per concedere autorizzazioni sull'intero account di archiviazione, esponendo dati privati.
"
Wiz ha sottolineato che i token SAS non possono essere facilmente tracciati perché Microsoft non fornisce un modo centralizzato per gestirli all'interno del portale Azure.
Microsoft ha dichiarato che la fuga di dati non ha esposto dati dei clienti.
L'azienda di sicurezza informatica Wiz ha scoperto che la divisione di ricerca Microsoft AI ha accidentalmente rilasciato 38 TB di dati sensibili mentre pubblicava un bucket di dati di addestramento open source su GitHub.
I dati esposti includevano un backup su disco di due workstation de dipendenti contenenti segreti, chiavi private, password e oltre 30.000 messaggi interni di Microsoft Teams.
"
I ricercatori hanno condiviso i loro file utilizzando una funzione Azure chiamata token SAS, che consente di condividere dati da account di archiviazione Azure", recita il rapporto pubblicato da Wiz. "Il livello di accesso può essere limitato solo a file specifici; tuttavia, in questo caso, il collegamento è stato configurato per condividere l'intero account di archiviazione, compresi altri 38 TB di file privati."Il team di ricerca di Wiz ha scoperto il repository durante la scansione di Internet alla ricerca di contenitori di archiviazione mal configurati che espongono dati ospitati nel cloud. Gli esperti hanno trovato un repository su GitHub nell'organizzazione Microsoft chiamato robust-models-transfer.
Il repository appartiene alla divisione di ricerca Microsoft AI, che lo ha utilizzato per fornire codice open source e modelli di intelligenza artificiale per il riconoscimento delle immagini. Il team di ricerca Microsoft AI ha iniziato a pubblicare dati nel luglio 2020.
Microsoft ha utilizzato token SAS Azure per condividere dati memorizzati in account di archiviazione Azure utilizzati dal suo team di ricerca.
L'URL firmato di Azure Storage utilizzato per accedere al repository è stato erroneamente configurato per concedere autorizzazioni sull'intero account di archiviazione, esponendo dati privati.
"
Tuttavia, questo URL consentiva l'accesso a molto più che modelli open source. È stato configurato per concedere autorizzazioni sull'intero account di archiviazione, esponendo per errore dati privati aggiuntivi", continua l'azienda. "Il semplice passo di condivisione di un set di dati di intelligenza artificiale ha portato a una grave perdita di dati, contenente oltre 38 TB di dati privati. La causa principale è stata l'uso di token SAS dell'account come meccanismo di condivisione. A causa della mancanza di monitoraggio e governance, i token SAS rappresentano un rischio per la sicurezza e il loro utilizzo dovrebbe essere il più limitato possibile."Wiz ha sottolineato che i token SAS non possono essere facilmente tracciati perché Microsoft non fornisce un modo centralizzato per gestirli all'interno del portale Azure.
Microsoft ha dichiarato che la fuga di dati non ha esposto dati dei clienti.
"Nessun dato dei clienti è stato esposto e nessun altro servizio interno è stato messo a rischio a causa di questo problema. Non è richiesta alcuna azione da parte del cliente in risposta a questo problema", si legge nel post pubblicato da Microsoft.🇨🇳 La Cina sotto attacco: NSA e il suo arsenale di 5 malware contro le università del paese asiatico
Di recente, il National Computer Virus Response Center cinese e i dati forniti da Qihoo 360 hanno rivelato un sofisticato attacco informatico condotto da un gruppo presumibilmente sostenuto dal governo degli Stati Uniti contro la Northwestern Polytechnic University cinese. Questo attacco ha coinvolto l'uso di cinque diversi strumenti di accesso remoto, ognuno dei quali è stato descritto dettagliatamente dagli esperti:
1. NOPEN: Si tratta di un trojan progettato per sistemi Unix/Linux, compresi i firewall. Questo malware è composto da una parte client e una parte server, con la connessione stabilita su un canale crittografato. NOPEN è stato impiegato per compromettere i firewall sfruttando vulnerabilità specifiche.
2. Fury Spray: Questo è un Trojan di accesso remoto (RAT) progettato per sistemi Windows, dotato di numerose utilità tra cui keylogging, screenshot, e browser di file. Fury Spray consente di stabilire una connessione in vari modi, inclusa la comunicazione tramite HTTP. È stato utilizzato per il monitoraggio a lungo termine delle postazioni di lavoro.
3. Second Date: Si tratta di un trojan proxy progettato per intercettare il traffico su firewall e router. Questo malware permette di filtrare il traffico in base a regole specifiche e di introdurre codice dannoso. È stato utilizzato insieme alla piattaforma FoxAcid.
4. Cunning Heretics: Questo è un backdoor nascosto progettato per il controllo a lungo termine dei sistemi. È in grado di rimuovere le tracce della sua presenza ed è utilizzato per caricare altri strumenti, come ad esempio NOPEN.
5. Stoic Surgeon: Questo rootkit multifunzionale è destinato a sistemi Linux, Solaris e FreeBSD. Consente di nascondere file, processi e connessioni di rete ed è stato utilizzato per mascherare l'attività di NOPEN sui sistemi infetti.
L'utilizzo coordinato di questi strumenti ha permesso al gruppo di hacker presumibilmente supportato dal governo americano di penetrare efficacemente nella rete interna dell'università cinese e stabilire un controllo segreto sui sistemi. Questo approccio altamente sofisticato evidenzia una notevole formazione tecnica da parte degli aggressori, che dimostrano una profonda comprensione dell'architettura della rete attaccata, selezionando con precisione gli strumenti più adatti per ciascuna fase dell'attacco.
È interessante notare che alcuni di questi strumenti sembrano essere stati progettati specificamente per questo tipo di attacco, come "Second Date" e "Cunning Heretics", che non erano stati precedentemente identificati in attacchi mirati e sono scarsamente documentati dagli esperti.
Gli analisti cinesi ritengono che questi strumenti possano essere sviluppati dalla National Security Agency (NSA) degli Stati Uniti, nell'ambito del programma Tailored Access Operations (TAO), finalizzato allo spionaggio informatico e all'hacking di sistemi di informazione stranieri.
Il crescente numero di attacchi informatici di questa natura mette in luce la crescente importanza della sicurezza informatica e della protezione dei dati come aspetti chiave della sicurezza nazionale per molte nazioni. Tali incidenti complicano ulteriormente le relazioni tra le principali potenze mondiali, rendendo più difficile la ricerca di soluzioni diplomatiche a questa crescente sfida.
Di recente, il National Computer Virus Response Center cinese e i dati forniti da Qihoo 360 hanno rivelato un sofisticato attacco informatico condotto da un gruppo presumibilmente sostenuto dal governo degli Stati Uniti contro la Northwestern Polytechnic University cinese. Questo attacco ha coinvolto l'uso di cinque diversi strumenti di accesso remoto, ognuno dei quali è stato descritto dettagliatamente dagli esperti:
1. NOPEN: Si tratta di un trojan progettato per sistemi Unix/Linux, compresi i firewall. Questo malware è composto da una parte client e una parte server, con la connessione stabilita su un canale crittografato. NOPEN è stato impiegato per compromettere i firewall sfruttando vulnerabilità specifiche.
2. Fury Spray: Questo è un Trojan di accesso remoto (RAT) progettato per sistemi Windows, dotato di numerose utilità tra cui keylogging, screenshot, e browser di file. Fury Spray consente di stabilire una connessione in vari modi, inclusa la comunicazione tramite HTTP. È stato utilizzato per il monitoraggio a lungo termine delle postazioni di lavoro.
3. Second Date: Si tratta di un trojan proxy progettato per intercettare il traffico su firewall e router. Questo malware permette di filtrare il traffico in base a regole specifiche e di introdurre codice dannoso. È stato utilizzato insieme alla piattaforma FoxAcid.
4. Cunning Heretics: Questo è un backdoor nascosto progettato per il controllo a lungo termine dei sistemi. È in grado di rimuovere le tracce della sua presenza ed è utilizzato per caricare altri strumenti, come ad esempio NOPEN.
5. Stoic Surgeon: Questo rootkit multifunzionale è destinato a sistemi Linux, Solaris e FreeBSD. Consente di nascondere file, processi e connessioni di rete ed è stato utilizzato per mascherare l'attività di NOPEN sui sistemi infetti.
L'utilizzo coordinato di questi strumenti ha permesso al gruppo di hacker presumibilmente supportato dal governo americano di penetrare efficacemente nella rete interna dell'università cinese e stabilire un controllo segreto sui sistemi. Questo approccio altamente sofisticato evidenzia una notevole formazione tecnica da parte degli aggressori, che dimostrano una profonda comprensione dell'architettura della rete attaccata, selezionando con precisione gli strumenti più adatti per ciascuna fase dell'attacco.
È interessante notare che alcuni di questi strumenti sembrano essere stati progettati specificamente per questo tipo di attacco, come "Second Date" e "Cunning Heretics", che non erano stati precedentemente identificati in attacchi mirati e sono scarsamente documentati dagli esperti.
Gli analisti cinesi ritengono che questi strumenti possano essere sviluppati dalla National Security Agency (NSA) degli Stati Uniti, nell'ambito del programma Tailored Access Operations (TAO), finalizzato allo spionaggio informatico e all'hacking di sistemi di informazione stranieri.
Il crescente numero di attacchi informatici di questa natura mette in luce la crescente importanza della sicurezza informatica e della protezione dei dati come aspetti chiave della sicurezza nazionale per molte nazioni. Tali incidenti complicano ulteriormente le relazioni tra le principali potenze mondiali, rendendo più difficile la ricerca di soluzioni diplomatiche a questa crescente sfida.
🏭 All'interno del toolkit degli hacker - Serie - 2
🔗 Vai al post precedente
❓: "Ciao a tutti e benvenuti. Oggi siamo in compagnia di Jack Chapman di Egress. È il Vice Presidente dell'intelligence sulle minacce presso Egress e ha il compito di comprendere profondamente il panorama delle minacce informatiche in evoluzione per rimanere un passo avanti ai criminali informatici.
Sfruttando queste conoscenze e la sua vasta esperienza nella ricerca e sviluppo, Jack supervisiona l'intelligence sulle minacce per Egress. In precedenza, Jack ha co-fondato l'azienda anti-phishing Aquila AI e ne è stato il direttore tecnico, lavorando a stretto contatto con l'agenzia di intelligence e cyber del Regno Unito, il GCHQ, per sviluppare capacità produttive all'avanguardia. Aquila AI è stata acquisita da Egress nel 2021. Jack, benvenuto. Come stai oggi?"
👤 Jack Chapman: "Bene. Felice di essere qui."
❓: "È sempre un piacere vederti. Spero che tutto stia procedendo bene nel Regno Unito oggi. Guardando il tuo background, volevo vedere se potevamo approfondire un po' il lato più oscuro della sicurezza informatica e guardare dentro la mentalità degli aggressori. Va bene per te?"
👤 Jack Chapman: "È il mio pane quotidiano, è quello che faccio ogni giorno ed è il mio argomento preferito."
❓: "Beh, è una buona cosa, perché allora ci addentreremo un po' in esso."
🔗 Vai al post precedente
❓: "Ciao a tutti e benvenuti. Oggi siamo in compagnia di Jack Chapman di Egress. È il Vice Presidente dell'intelligence sulle minacce presso Egress e ha il compito di comprendere profondamente il panorama delle minacce informatiche in evoluzione per rimanere un passo avanti ai criminali informatici.
Sfruttando queste conoscenze e la sua vasta esperienza nella ricerca e sviluppo, Jack supervisiona l'intelligence sulle minacce per Egress. In precedenza, Jack ha co-fondato l'azienda anti-phishing Aquila AI e ne è stato il direttore tecnico, lavorando a stretto contatto con l'agenzia di intelligence e cyber del Regno Unito, il GCHQ, per sviluppare capacità produttive all'avanguardia. Aquila AI è stata acquisita da Egress nel 2021. Jack, benvenuto. Come stai oggi?"
👤 Jack Chapman: "Bene. Felice di essere qui."
❓: "È sempre un piacere vederti. Spero che tutto stia procedendo bene nel Regno Unito oggi. Guardando il tuo background, volevo vedere se potevamo approfondire un po' il lato più oscuro della sicurezza informatica e guardare dentro la mentalità degli aggressori. Va bene per te?"
👤 Jack Chapman: "È il mio pane quotidiano, è quello che faccio ogni giorno ed è il mio argomento preferito."
❓: "Beh, è una buona cosa, perché allora ci addentreremo un po' in esso."
📝 Prosegue in un prossimo post🤖 NASA: L'intelligenza artificiale contribuirà a migliorare il mondo, non a distruggerlo.
Da quando è stato lanciato ChatGPT, numerosi media si sono concentrati sulle preoccupazioni etiche legate all'intelligenza artificiale. Tra questi timori figura la paura che le macchine possano usurpare il lavoro umano o addirittura portare alla distruzione del mondo, come nel famoso scenario di Skynet dei film Terminator. Tuttavia, la NASA, l'agenzia spaziale degli Stati Uniti, sembra abbracciare una prospettiva molto diversa riguardo allo sviluppo dell'intelligenza artificiale.
Gli scienziati e gli ingegneri della NASA che lavorano con i rover su Marte utilizzano l'intelligenza artificiale non con l'obiettivo di sostituire gli esseri umani, ma piuttosto di migliorare le loro abilità.
Molte persone vedono la collaborazione tra esseri umani e robot solo come un passo verso l'automazione totale. Tuttavia, la ricerca condotta dalla NASA suggerisce che molte delle preoccupazioni etiche associate all'intelligenza artificiale possono essere superate quando si adotta un modello di collaborazione tra uomo e robot.
I risultati più promettenti si manifestano quando i robot ampliano e integrano le capacità umane. Questi robot vengono inviati a compiere compiti pericolosi, come il disarmo di mine o missioni di ricerca e soccorso, e utilizzano le loro abilità per affrontare sfide impossibili per gli esseri umani.
Gli esperti della NASA citano ad esempio i rover su Marte, dotati di telecamere capaci di registrare lunghezze d'onda nella gamma degli infrarossi, impercettibili all'occhio umano. Tuttavia, questi robot non possono trarre conclusioni scientifiche autonomamente basandosi su tali dati. È solo combinando queste informazioni con il giudizio degli esperti che gli scienziati possono scoprire nuove verità su Marte.
Un'altra questione etica legata all'intelligenza artificiale riguarda la raccolta e l'uso delle informazioni. Anche i robot su Marte dipendono dai dati raccolti, ma il loro focus è sul mondo circostante, evitando così problemi come la sorveglianza invadente, la parzialità e lo sfruttamento spesso associati all'IA moderna.
Invece di concentrarsi sulle fantasie hollywoodiane riguardanti i robot, potremmo trarre ispirazione dai team di successo formati da persone e macchine, sia nello spazio che sulla Terra.
Da quando è stato lanciato ChatGPT, numerosi media si sono concentrati sulle preoccupazioni etiche legate all'intelligenza artificiale. Tra questi timori figura la paura che le macchine possano usurpare il lavoro umano o addirittura portare alla distruzione del mondo, come nel famoso scenario di Skynet dei film Terminator. Tuttavia, la NASA, l'agenzia spaziale degli Stati Uniti, sembra abbracciare una prospettiva molto diversa riguardo allo sviluppo dell'intelligenza artificiale.
Gli scienziati e gli ingegneri della NASA che lavorano con i rover su Marte utilizzano l'intelligenza artificiale non con l'obiettivo di sostituire gli esseri umani, ma piuttosto di migliorare le loro abilità.
Molte persone vedono la collaborazione tra esseri umani e robot solo come un passo verso l'automazione totale. Tuttavia, la ricerca condotta dalla NASA suggerisce che molte delle preoccupazioni etiche associate all'intelligenza artificiale possono essere superate quando si adotta un modello di collaborazione tra uomo e robot.
I risultati più promettenti si manifestano quando i robot ampliano e integrano le capacità umane. Questi robot vengono inviati a compiere compiti pericolosi, come il disarmo di mine o missioni di ricerca e soccorso, e utilizzano le loro abilità per affrontare sfide impossibili per gli esseri umani.
Gli esperti della NASA citano ad esempio i rover su Marte, dotati di telecamere capaci di registrare lunghezze d'onda nella gamma degli infrarossi, impercettibili all'occhio umano. Tuttavia, questi robot non possono trarre conclusioni scientifiche autonomamente basandosi su tali dati. È solo combinando queste informazioni con il giudizio degli esperti che gli scienziati possono scoprire nuove verità su Marte.
Un'altra questione etica legata all'intelligenza artificiale riguarda la raccolta e l'uso delle informazioni. Anche i robot su Marte dipendono dai dati raccolti, ma il loro focus è sul mondo circostante, evitando così problemi come la sorveglianza invadente, la parzialità e lo sfruttamento spesso associati all'IA moderna.
Invece di concentrarsi sulle fantasie hollywoodiane riguardanti i robot, potremmo trarre ispirazione dai team di successo formati da persone e macchine, sia nello spazio che sulla Terra.
🇨🇳 Hacker cinesi del gruppo BlackTech attaccano aziende negli Stati Uniti e in Giappone sfruttando router
Le agenzie di sicurezza informatica del Giappone e degli Stati Uniti hanno lanciato un avvertimento riguardo agli attacchi orchestrati da un gruppo di hacker sostenuti dallo stato cinese. Questi attacchi mirano a compromettere silenziosamente i router di filiali aziendali e a utilizzarli come punti di ingresso per accedere alle reti di varie società nei due paesi.
Il gruppo di hacker, noto come BlackTech, è stato identificato dalla National Security Agency (NSA) degli Stati Uniti, dal Federal Bureau of Investigation (FBI), dalla Cybersecurity and Infrastructure Security Agency (CISA), dalla Japan National Police Agency (NPA) e dal Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) come un attore informatico malintenzionato.
BlackTech ha dimostrato abilità nel modificare il firmware dei router senza essere rilevato e sfruttare le relazioni di fiducia tra i router per muoversi dalle filiali internazionali alle sedi centrali in Giappone e negli Stati Uniti, che rappresentano gli obiettivi principali. I settori presi di mira includono il governo, l'industria, la tecnologia, i media, l'elettronica, le telecomunicazioni e le entità che supportano le forze armate degli Stati Uniti e del Giappone.
BlackTech ha una lunga storia di operazioni contro obiettivi in Asia orientale, in particolare Taiwan, Giappone e Hong Kong, risalente almeno al 2007. Questo gruppo è stato associato a una serie di backdoor, tra cui BendyBear, BIFROSE, Consock, KIVARS, PLEAD, TSCookie, XBOW e Waterbear.
Una delle loro strategie tipiche coinvolge l'invio di e-mail di spear-phishing con allegati contenenti malware progettato per raccogliere dati sensibili. L'attacco si basa spesso sull'uso di router compromessi come server di comando e controllo (C&C).
Le agenzie di sicurezza sottolineano che BlackTech ha la capacità di sviluppare malware personalizzato e meccanismi di persistenza su misura per infiltrarsi nei dispositivi di rete, spesso modificando il firmware per mantenere la presenza nascosta.
In altre parole, modificano il firmware per incorporare una backdoor SSH, che consente loro di mantenere l'accesso segreto ai router tramite l'uso di pacchetti speciali. Questo approccio non si limita ai router Cisco, ma potrebbe essere utilizzato su altre apparecchiature di rete.
È importante notare che il vettore di accesso principale per questi attacchi coinvolge credenziali amministrative deboli o rubate, e non sono state riscontrate evidenze di sfruttamento attivo di difetti di sicurezza nei software coinvolti.
Per prevenire tali attacchi, i difensori della rete dovrebbero monitorare attentamente i dispositivi di rete per individuare download non autorizzati di bootloader e immagini firmware, nonché riavvii anomali. Dovrebbero anche prestare attenzione al traffico inusuale destinato ai router, inclusi tentativi di accesso tramite SSH non autorizzati.
Le agenzie di sicurezza informatica del Giappone e degli Stati Uniti hanno lanciato un avvertimento riguardo agli attacchi orchestrati da un gruppo di hacker sostenuti dallo stato cinese. Questi attacchi mirano a compromettere silenziosamente i router di filiali aziendali e a utilizzarli come punti di ingresso per accedere alle reti di varie società nei due paesi.
Il gruppo di hacker, noto come BlackTech, è stato identificato dalla National Security Agency (NSA) degli Stati Uniti, dal Federal Bureau of Investigation (FBI), dalla Cybersecurity and Infrastructure Security Agency (CISA), dalla Japan National Police Agency (NPA) e dal Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) come un attore informatico malintenzionato.
BlackTech ha dimostrato abilità nel modificare il firmware dei router senza essere rilevato e sfruttare le relazioni di fiducia tra i router per muoversi dalle filiali internazionali alle sedi centrali in Giappone e negli Stati Uniti, che rappresentano gli obiettivi principali. I settori presi di mira includono il governo, l'industria, la tecnologia, i media, l'elettronica, le telecomunicazioni e le entità che supportano le forze armate degli Stati Uniti e del Giappone.
BlackTech ha una lunga storia di operazioni contro obiettivi in Asia orientale, in particolare Taiwan, Giappone e Hong Kong, risalente almeno al 2007. Questo gruppo è stato associato a una serie di backdoor, tra cui BendyBear, BIFROSE, Consock, KIVARS, PLEAD, TSCookie, XBOW e Waterbear.
Una delle loro strategie tipiche coinvolge l'invio di e-mail di spear-phishing con allegati contenenti malware progettato per raccogliere dati sensibili. L'attacco si basa spesso sull'uso di router compromessi come server di comando e controllo (C&C).
Le agenzie di sicurezza sottolineano che BlackTech ha la capacità di sviluppare malware personalizzato e meccanismi di persistenza su misura per infiltrarsi nei dispositivi di rete, spesso modificando il firmware per mantenere la presenza nascosta.
In altre parole, modificano il firmware per incorporare una backdoor SSH, che consente loro di mantenere l'accesso segreto ai router tramite l'uso di pacchetti speciali. Questo approccio non si limita ai router Cisco, ma potrebbe essere utilizzato su altre apparecchiature di rete.
È importante notare che il vettore di accesso principale per questi attacchi coinvolge credenziali amministrative deboli o rubate, e non sono state riscontrate evidenze di sfruttamento attivo di difetti di sicurezza nei software coinvolti.
Per prevenire tali attacchi, i difensori della rete dovrebbero monitorare attentamente i dispositivi di rete per individuare download non autorizzati di bootloader e immagini firmware, nonché riavvii anomali. Dovrebbero anche prestare attenzione al traffico inusuale destinato ai router, inclusi tentativi di accesso tramite SSH non autorizzati.
👾 Nuovo malware ZenRAT che prende di mira gli utenti Windows tramite un software di gestione password falso
Un nuovo tipo di malware, noto come ZenRAT, è stato scoperto e si diffonde attraverso pacchetti di installazione falsi del gestore di password Bitwarden, prendendo di mira gli utenti Windows. Il malware è un trojan di accesso remoto modulare (RAT) con capacità di furto di informazioni.
ZenRAT è ospitato su siti Web falsi che fanno finta di essere collegati a Bitwarden. Il payload, denominato "
Una caratteristica interessante di questa campagna è che gli utenti che visitano il sito Web fraudolento da sistemi non Windows vengono reindirizzati a un articolo clonato su "Come gestire le password con Bitwarden, un'alternativa a LastPass".
Inoltre, gli utenti Windows che cercano di scaricare il software per Linux o macOS dalla pagina di download vengono reindirizzati al sito legittimo di Bitwarden.
Il malware ZenRAT raccoglie dettagli sull'host, inclusi dettagli hardware, versione del sistema operativo, credenziali del browser e altro, inviando queste informazioni a un server di comando e controllo gestito dagli attaccanti.
Per mitigare questa minaccia, è importante scaricare software solo da fonti attendibili e verificare sempre l'autenticità dei siti Web. La scoperta di ZenRAT avviene contemporaneamente all'osservazione di un altro malware noto come Lumma Stealer, che sta compromettendo industrie manifatturiere, al dettaglio e commerciali.
I siti Web fraudolenti che impersonano servizi Google come Google Business Profile e Google Sheets sono stati utilizzati per indurre gli utenti a installare un malware stealer chiamato Stealc sotto il falso pretesto di un aggiornamento di sicurezza. L'uso di download drive-by per diffondere malware rimane un metodo comune per gli aggressori.
Un nuovo tipo di malware, noto come ZenRAT, è stato scoperto e si diffonde attraverso pacchetti di installazione falsi del gestore di password Bitwarden, prendendo di mira gli utenti Windows. Il malware è un trojan di accesso remoto modulare (RAT) con capacità di furto di informazioni.
ZenRAT è ospitato su siti Web falsi che fanno finta di essere collegati a Bitwarden. Il payload, denominato "
Bitwarden-Installer-version-2023-7-1.exe", è una versione alterata del pacchetto di installazione standard di Bitwarden, contenente un eseguibile .NET dannoso chiamato "ApplicationRuntimeMonitor.exe". Una caratteristica interessante di questa campagna è che gli utenti che visitano il sito Web fraudolento da sistemi non Windows vengono reindirizzati a un articolo clonato su "Come gestire le password con Bitwarden, un'alternativa a LastPass".
Inoltre, gli utenti Windows che cercano di scaricare il software per Linux o macOS dalla pagina di download vengono reindirizzati al sito legittimo di Bitwarden.
Il malware ZenRAT raccoglie dettagli sull'host, inclusi dettagli hardware, versione del sistema operativo, credenziali del browser e altro, inviando queste informazioni a un server di comando e controllo gestito dagli attaccanti.
Per mitigare questa minaccia, è importante scaricare software solo da fonti attendibili e verificare sempre l'autenticità dei siti Web. La scoperta di ZenRAT avviene contemporaneamente all'osservazione di un altro malware noto come Lumma Stealer, che sta compromettendo industrie manifatturiere, al dettaglio e commerciali.
I siti Web fraudolenti che impersonano servizi Google come Google Business Profile e Google Sheets sono stati utilizzati per indurre gli utenti a installare un malware stealer chiamato Stealc sotto il falso pretesto di un aggiornamento di sicurezza. L'uso di download drive-by per diffondere malware rimane un metodo comune per gli aggressori.
🔑 Microsoft aggiunge passkey a Windows 11
In un importante aggiornamento di questa settimana, Microsoft ha integrato nel sistema operativo Windows 11 il Passkeys, insieme a Windows Hello, il suo strumento di autenticazione biometrica.
Passkeys crea una credenziale unica che consente agli utenti di autenticarsi con il loro volto, l'impronta digitale o un PIN in un processo più sicuro rispetto alla tradizionale password.
Le passkeys di Microsoft saranno disponibili su diversi browser, tra cui Firefox, Google Chrome ed Edge.
La gestione delle passkey è stata disponibile nel programma Windows Insider sin da giugno di quest'anno, ma questa sarà la prima volta che la funzionalità sarà disponibile per l'intera piattaforma.
Microsoft ha annunciato per la prima volta nel maggio 2022 che Apple, Google e Microsoft avrebbero ampliato il supporto per un accesso senza password, creato da FIDO Alliance e World Wide Web Consortium.
"
In un importante aggiornamento di questa settimana, Microsoft ha integrato nel sistema operativo Windows 11 il Passkeys, insieme a Windows Hello, il suo strumento di autenticazione biometrica.
Passkeys crea una credenziale unica che consente agli utenti di autenticarsi con il loro volto, l'impronta digitale o un PIN in un processo più sicuro rispetto alla tradizionale password.
Le passkeys di Microsoft saranno disponibili su diversi browser, tra cui Firefox, Google Chrome ed Edge.
La gestione delle passkey è stata disponibile nel programma Windows Insider sin da giugno di quest'anno, ma questa sarà la prima volta che la funzionalità sarà disponibile per l'intera piattaforma.
Microsoft ha annunciato per la prima volta nel maggio 2022 che Apple, Google e Microsoft avrebbero ampliato il supporto per un accesso senza password, creato da FIDO Alliance e World Wide Web Consortium.
"
La threat intelligence globale di Microsoft elabora più di 65 trilioni di segnali di sicurezza ogni giorno. Questa intelligence ci ha mostrato che ci sono più di 4.000 attacchi alle password ogni secondo", ha dichiarato Microsoft in un post sul blog. "Windows 11 renderà molto più difficile per gli hacker che sfruttano password rubate attraverso attacchi di phishing, dando agli utenti la possibilità di sostituire le password con passkeys".🐄 Cult of the Dead Cow (cDc): la storia del gruppo hacker di risonanza mondiale - [1]
La cultura hacker rappresenta un ambito affascinante che ha subito notevoli evoluzioni nel corso del tempo, fino a giungere ai giorni attuali.
In un'epoca che coincide con gli anni '80 e '90, durante l'era delle BBS e di IRC, emersero numerosi gruppi di hacker in tutto il mondo. Questi gruppi influenzarono e contribuirono a definire la cultura hacker e la sicurezza informatica di quel periodo storico.
All'interno di questi gruppi, i più noti non erano soltanto dedicati alla sicurezza informatica. Erano luoghi in cui si discuteva di politica, musica, arte e, soprattutto, di come superare i limiti e sfidare le convenzioni con innovazione e originalità.
Nel giugno del 1984, presso il macello Farm Pac a Lubbock, in Texas, un luogo frequentato soprattutto dai giovani, si formò uno dei gruppi più antichi, rispettati e famosi di tutti i tempi: i Cult of the Dead Cow.
🛖 Le origini dei Cult of the Dead Cow
Il macello era, in quel periodo, un luogo di ritrovo per molti giovani, sebbene in seguito venne incendiato nel 1996 e utilizzato come casa infestata per gli Halloween successivi. In questo luogo misterioso, Swamp Rat (noto anche come il Gran Maestro), insieme a Franken Ghibe (Gibe) e Sid Vicious, installò tre BBS, ma in breve tempo si espansero in un collettivo di BBS in tutti gli Stati Uniti, compreso il Canada.
Fu durante questo periodo che i Cult of the Dead Cow (che abbrevieremo in cDc) coniarono il termine "1337", o "Leet", un termine diffuso nel gergo delle BBS per descrivere abilità o risultati straordinari, specialmente nei campi dei giochi online o nell'hacking dei computer.
La cultura hacker rappresenta un ambito affascinante che ha subito notevoli evoluzioni nel corso del tempo, fino a giungere ai giorni attuali.
In un'epoca che coincide con gli anni '80 e '90, durante l'era delle BBS e di IRC, emersero numerosi gruppi di hacker in tutto il mondo. Questi gruppi influenzarono e contribuirono a definire la cultura hacker e la sicurezza informatica di quel periodo storico.
All'interno di questi gruppi, i più noti non erano soltanto dedicati alla sicurezza informatica. Erano luoghi in cui si discuteva di politica, musica, arte e, soprattutto, di come superare i limiti e sfidare le convenzioni con innovazione e originalità.
Nel giugno del 1984, presso il macello Farm Pac a Lubbock, in Texas, un luogo frequentato soprattutto dai giovani, si formò uno dei gruppi più antichi, rispettati e famosi di tutti i tempi: i Cult of the Dead Cow.
🛖 Le origini dei Cult of the Dead Cow
Il macello era, in quel periodo, un luogo di ritrovo per molti giovani, sebbene in seguito venne incendiato nel 1996 e utilizzato come casa infestata per gli Halloween successivi. In questo luogo misterioso, Swamp Rat (noto anche come il Gran Maestro), insieme a Franken Ghibe (Gibe) e Sid Vicious, installò tre BBS, ma in breve tempo si espansero in un collettivo di BBS in tutti gli Stati Uniti, compreso il Canada.
Fu durante questo periodo che i Cult of the Dead Cow (che abbrevieremo in cDc) coniarono il termine "1337", o "Leet", un termine diffuso nel gergo delle BBS per descrivere abilità o risultati straordinari, specialmente nei campi dei giochi online o nell'hacking dei computer.
📝 Prosegue in un prossimo post🖥 GPU moderne vulnerabili alle nuove GPU.zip attacco side-channel
Un nuovo attacco di tipo side-channel sta mettendo in pericolo le GPU prodotte da NVIDIA, AMD, Intel e altre aziende. Questo attacco, noto come "GPU.zip", è stato sviluppato da ricercatori provenienti da quattro università americane: l'Università del Texas ad Austin, la Carnegie Mellon University, l'Università di Washington e l'Università di Illinois Urbana-Champaign. L'attacco sfrutta la compressione dei dati grafici.
Secondo quanto riportato sul loro sito dedicato, "
I ricercatori hanno informato i produttori di GPU interessati, tra cui AMD, Apple, Arm, Intel, Nvidia e Qualcomm, della vulnerabilità a marzo, ma fino ad oggi nessuno di loro, né Google, ha rilasciato una patch per risolvere il problema. Google sembra ancora in fase di valutazione per decidere "quando e come" distribuire un aggiornamento.
In genere, il software disattiva la compressione quando si trattano dati sensibili, ma i ricercatori hanno scoperto che le GPU comprimono i dati in modo visibile dal software anche quando non richiesto esplicitamente.
"
Gli algoritmi di compressione utilizzati dai produttori sono diversi tra loro e possono variare anche in base alle singole architetture. Inoltre, spesso questi algoritmi non sono documentati. Attraverso un processo di reverse engineering, i ricercatori sono riusciti a sfruttare la compressione per rivelare dati visivi dalle GPU, concentrandosi in particolare sulle GPU AMD e Intel integrate.
Nello specifico, hanno dimostrato un attacco che estrae i dati dei singoli pixel attraverso un browser web su vari dispositivi e architetture grafiche. Un esempio concreto ha mostrato che è possibile ottenere il nome utente da un iframe di Wikipedia in 30 minuti su una CPU Ryzen e in 215 minuti su una GPU Intel, con una precisione rispettivamente del 97% e del 98,3%.
GPU.zip potenzialmente può influenzare miliardi di dispositivi, ma la sua pericolosità è limitata da due fattori: la complessità e il tempo necessario per eseguire l'attacco. Inoltre, i ricercatori spiegano che l'attacco non funziona su quei siti web che impediscono l'incorporamento di iframe "cross-origin". Quindi, l'utente medio può rimanere abbastanza tranquillo.
"
Un nuovo attacco di tipo side-channel sta mettendo in pericolo le GPU prodotte da NVIDIA, AMD, Intel e altre aziende. Questo attacco, noto come "GPU.zip", è stato sviluppato da ricercatori provenienti da quattro università americane: l'Università del Texas ad Austin, la Carnegie Mellon University, l'Università di Washington e l'Università di Illinois Urbana-Champaign. L'attacco sfrutta la compressione dei dati grafici.
Secondo quanto riportato sul loro sito dedicato, "
GPU.zip è un nuovo tipo di side channel che espone i dati visivi elaborati dalla GPU. Questo canale sfrutta un'ottimizzazione che è dipendente dai dati, invisibile al software e presente in quasi tutte le GPU moderne: la compressione dei dati grafici. Questo studio presenta la prima analisi focalizzata sulla sicurezza di questa ottimizzazione e dimostra che può essere sfruttata per rivelare dati visivi. Ad esempio, utilizzando GPU.zip, una pagina web dannosa può estrarre pixel da un'altra pagina web nell'ultima versione di Google Chrome, violando il modello di sicurezza del browser".I ricercatori hanno informato i produttori di GPU interessati, tra cui AMD, Apple, Arm, Intel, Nvidia e Qualcomm, della vulnerabilità a marzo, ma fino ad oggi nessuno di loro, né Google, ha rilasciato una patch per risolvere il problema. Google sembra ancora in fase di valutazione per decidere "quando e come" distribuire un aggiornamento.
In genere, il software disattiva la compressione quando si trattano dati sensibili, ma i ricercatori hanno scoperto che le GPU comprimono i dati in modo visibile dal software anche quando non richiesto esplicitamente.
"
La compressione dei dati grafici è una caratteristica delle moderne GPU utilizzata per risparmiare larghezza di banda della memoria e migliorare le prestazioni senza coinvolgere il software. In particolare, le moderne GPU comprimono i dati grafici in modo lossless (senza perdita di informazioni, ndr) anche quando il software non richiede alcuna compressione".Gli algoritmi di compressione utilizzati dai produttori sono diversi tra loro e possono variare anche in base alle singole architetture. Inoltre, spesso questi algoritmi non sono documentati. Attraverso un processo di reverse engineering, i ricercatori sono riusciti a sfruttare la compressione per rivelare dati visivi dalle GPU, concentrandosi in particolare sulle GPU AMD e Intel integrate.
Nello specifico, hanno dimostrato un attacco che estrae i dati dei singoli pixel attraverso un browser web su vari dispositivi e architetture grafiche. Un esempio concreto ha mostrato che è possibile ottenere il nome utente da un iframe di Wikipedia in 30 minuti su una CPU Ryzen e in 215 minuti su una GPU Intel, con una precisione rispettivamente del 97% e del 98,3%.
GPU.zip potenzialmente può influenzare miliardi di dispositivi, ma la sua pericolosità è limitata da due fattori: la complessità e il tempo necessario per eseguire l'attacco. Inoltre, i ricercatori spiegano che l'attacco non funziona su quei siti web che impediscono l'incorporamento di iframe "cross-origin". Quindi, l'utente medio può rimanere abbastanza tranquillo.
"
Il più delle volte, i siti web sensibili già impediscono l'incorporamento da parte di siti web esterni. Di conseguenza, non sono vulnerabili al furto di pixel che abbiamo dimostrato utilizzando GPU.zip. Tuttavia, alcuni siti web rimangono vulnerabili. Ad esempio, se un utente che ha effettuato l'accesso a Wikipedia visita una pagina web dannosa, questa pagina può sfruttare GPU.zip per scoprire il nome utente Wikipedia dell'utente", spiegano i ricercatori.🏭 All'interno del toolkit degli hacker - Serie - 3
🔗 Vai al post precedente
❓: "Quali sono le vulnerabilità che gli aggressori cercano di sfruttare nelle aziende?"
👤 Jack Chapman: "La prima è rappresentata dalle persone. Gli attaccanti, con lo sviluppo degli ecosistemi criminali basati sui servizi, hanno adottato un approccio orientato al ritorno sugli investimenti. La stragrande maggioranza degli attaccanti è spinta principalmente da motivi finanziari. Come parte di questo approccio, valutano le loro TTP (Tactics, Techniques, and Procedures) e come attaccare le organizzazioni. Stranamente, quando lo diciamo ad alta voce, ha senso: è molto più conveniente e semplice prendere di mira un essere umano rispetto a investire mezzo milione di dollari nella prossima zero-day. Quindi, l'attenzione è molto focalizzata sull'aspetto umano e da lì si sviluppano gli altri tipi di attacchi."
❓: "Quindi sembra che non importa quanto cambiano gli anni, sarà sempre l'elemento umano il problema principale per le aziende."
👤 Jack Chapman: "Sì, assolutamente. E sembrava che stesse cambiando un paio di anni fa, ma poi, nel complesso, le organizzazioni hanno maturato la loro postura in materia di sicurezza informatica, hanno implementato le prime 10 vulnerabilità elencate dall'OWASP, i test di penetrazione e le politiche sulle password, il che è ottimo da vedere. Ed è quasi come se avessimo riportato l'attenzione degli aggressori sul metodo tradizionale, quindi siamo tornati alle persone."
❓: "E si tratta solo di phishing? Ci sono altre minacce, come so che abbiamo visto situazioni in cui le persone hanno perso chiavette USB in passato. Ma si tratta solo di phishing? È il livello più semplice o ci sono altre opzioni?"
👤 Jack Chapman: "Penso che il phishing sia la maggior parte, ma ci sono elementi marginali come l'ingegneria sociale, il phishing, lo smishing e tutti questi altri grandi termini di marketing che abbiamo in ambito cyber, il che non mi infastidisce affatto, onestamente. Ma inoltre, stiamo iniziando a vedere più attacchi di riproduzione di violazioni e la quantità di violazioni dei dati a cui sono soggetti individui e organizzazioni sembra essere il principale canale di attacco al momento, insieme al phishing e alla riproduzione di violazioni."
📝
🔗 Vai al post precedente
❓: "Quali sono le vulnerabilità che gli aggressori cercano di sfruttare nelle aziende?"
👤 Jack Chapman: "La prima è rappresentata dalle persone. Gli attaccanti, con lo sviluppo degli ecosistemi criminali basati sui servizi, hanno adottato un approccio orientato al ritorno sugli investimenti. La stragrande maggioranza degli attaccanti è spinta principalmente da motivi finanziari. Come parte di questo approccio, valutano le loro TTP (Tactics, Techniques, and Procedures) e come attaccare le organizzazioni. Stranamente, quando lo diciamo ad alta voce, ha senso: è molto più conveniente e semplice prendere di mira un essere umano rispetto a investire mezzo milione di dollari nella prossima zero-day. Quindi, l'attenzione è molto focalizzata sull'aspetto umano e da lì si sviluppano gli altri tipi di attacchi."
❓: "Quindi sembra che non importa quanto cambiano gli anni, sarà sempre l'elemento umano il problema principale per le aziende."
👤 Jack Chapman: "Sì, assolutamente. E sembrava che stesse cambiando un paio di anni fa, ma poi, nel complesso, le organizzazioni hanno maturato la loro postura in materia di sicurezza informatica, hanno implementato le prime 10 vulnerabilità elencate dall'OWASP, i test di penetrazione e le politiche sulle password, il che è ottimo da vedere. Ed è quasi come se avessimo riportato l'attenzione degli aggressori sul metodo tradizionale, quindi siamo tornati alle persone."
❓: "E si tratta solo di phishing? Ci sono altre minacce, come so che abbiamo visto situazioni in cui le persone hanno perso chiavette USB in passato. Ma si tratta solo di phishing? È il livello più semplice o ci sono altre opzioni?"
👤 Jack Chapman: "Penso che il phishing sia la maggior parte, ma ci sono elementi marginali come l'ingegneria sociale, il phishing, lo smishing e tutti questi altri grandi termini di marketing che abbiamo in ambito cyber, il che non mi infastidisce affatto, onestamente. Ma inoltre, stiamo iniziando a vedere più attacchi di riproduzione di violazioni e la quantità di violazioni dei dati a cui sono soggetti individui e organizzazioni sembra essere il principale canale di attacco al momento, insieme al phishing e alla riproduzione di violazioni."
📝
Prosegue in un prossimo post