L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2023/06/23 9:05. Questo articolo è disponibile anche in versione podcast.

Dopo avervi raccontato un attacco informatico dilettantesco, quello di NoName, e un attacco più professionale, quello ai danni degli utenti di Minecraft, è il turno di vedere come operano i criminali informatici più sofisticati, visto che in questi giorni hanno seminato il caos nelle aziende di mezzo mondo, colpendo per esempio British Airways, la BBC, la società di consulenza internazionale EY [nota ai più col suo nome precedente, Ernst and Young (BBC)], nonché molti siti governativi statunitensi e banche di vari paesi, rubando dati sensibili e poi chiedendo un riscatto per non pubblicarli.

Gli esperti attribuiscono questi attacchi a un gruppo criminale russofono denominato Cl0p. Almeno due organizzazioni svizzere sono state colpite, secondo l’elenco geografico dei bersagli basato sui dati pubblicati dai criminali sul dark web [presso il seguente indirizzo, che ho opportunamente alterato]:

hxxp://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad[.]onion

Il primo sintomo di un attacco sofisticato è la sua natura indiretta. Oggigiorno è raro che un’azienda venga attaccata direttamente, frontalmente, perché il crimine informatico organizzato ha capito da tempo che è molto più efficiente colpire i grandi fornitori di servizi delle aziende, in un cosiddetto supply-chain attack. In questo modo, con un solo attacco si riesce a entrare nei sistemi di tutte le aziende che usano quei fornitori. In questo caso il fornitore è la Progress Software, che produce un software di trasferimento di file molto diffuso, chiamato MOVEit, che aveva un difetto sconosciuto all’azienda ma purtroppo noto ai criminali.

Questo è il secondo sintomo di un attacco informatico di alto livello: l’uso di una vulnerabilità non ancora nota e documentata, ossia di una cosiddetta falla zero day (che si chiama così perché viene sfruttata dai criminali prima che sia nota agli esperti di sicurezza, e quindi la casa produttrice del software fallato ha avuto zero giorni di tempo per rimediarla prima che venisse utilizzata).

I criminali hanno scoperto che l’interfaccia Web del software MOVEit aveva un difetto classico: non filtrava eventuali comandi annidati opportunamente nei dati immessi dagli utenti. Questi comandi venivano quindi eseguiti, permettendo di visualizzare ed esportare dati confidenziali, di avere privilegi di amministratore sui sistemi attaccati e altro ancora.

Per fare un esempio ipotetico, immaginate di avere davanti a voi un sito web che vi chiede di immettere il vostro nome e cognome, e immaginate di rispondere scrivendo che vi chiamate Cancella di nome e Database filesdb di cognome. Immaginate inoltre che cancella sia un comando valido per la gestione del database, e che quel database si chiami proprio filesdb. Un sito che non filtra le immissioni degli utenti interpreterà queste parole come comandi... e cancellerà il proprio database.

Nella realtà non è così semplice come in questo esempio, ma il principio è lo stesso: i criminali hanno immesso nell’interfaccia Web dei comandi opportunamente confezionati e hanno ottenuto in risposta i dati sensibili delle aziende, senza dover indovinare password, installando anche del software per poter proseguire l’attacco anche in seguito. 

Tutte le installazioni aziendali di MOVEit consultabili via Internet erano vulnerabili in questo modo, in quello che gli esperti chiamano injection attack. Il motore di ricerca specialistico Shodan rileva attualmente circa 2300 siti che usano MOVEit e lo espongono a Internet. In Svizzera, i siti di questo genere sono una quarantina.

Quattro giorni dopo l’inizio degli attacchi, la Progress Software ha corretto la falla e ha informato i propri clienti della situazione, distribuendo due aggiornamenti di MOVEit che risolvono il problema e delle istruzioni molto dettagliate su come procedere. 

Le aziende che hanno installato l’aggiornamento ora sono al sicuro da questo specifico metodo di attacco, ma i loro dati possono essere già stati saccheggiati dai criminali, e resta il problema dei fornitori di servizi aziendali: molte organizzazioni che non usavano direttamente MOVEit, infatti, sono state coinvolte lo stesso perché per la gestione degli stipendi si appoggiavano a una società esterna, Zellis, che usava appunto MOVEit ed è stata attaccata, permettendo così ai criminali di ottenere i dati sensibili delle aziende clienti.

In sintesi: se usate MOVEit, controllate di averlo aggiornato; se non usate MOVEit, chiedete ai vostri fornitori di servizi se lo usano e quali misure hanno già preso. Nel frattempo, i criminali hanno iniziato a pubblicare parte dei dati sottratti, nominando le aziende coinvolte, e il governo degli Stati Uniti ha messo una taglia da 10 milioni di dollari sugli autori di questi attacchi. C’è insomma parecchio da fare per tutti.

Fonti aggiuntive: TechCrunch, BBC, Reliaquest, Sophos, Ars Technica, Bitdefender, Reddit, Graham Cluley, NIST, Socradar.

Moltissime testate giornalistiche [per esempio Corriere della Sera, Open, Secolo XIX, CBS, El Pais, Fortune], compresa la RSI, hanno pubblicato la notizia dell’allarme diffuso via Twitter dall’FBI a proposito delle prese pubbliche di ricarica per telefonini e altri dispositivi elettronici: queste prese sarebbero pericolose perché potrebbero essere usate da criminali informatici per infettare i dispositivi, leggere e rubare dati e anche tracciare smartphone, tablet e computer dopo che sono stati scollegati. Sarebbero maggiormente esposti gli utenti Android, ma anche gli utenti Apple non dovrebbero sentirsi al sicuro.

La tecnica usata dai malfattori ha un nome specifico: si chiama juice jacking, che in inglese significa “presa di controllo tramite la corrente” (juice è un modo informale per indicare la corrente elettrica e jacking è un troncamento di hijacking, ossia “dirottamento, presa di controllo”).

L’idea di non poter usare queste comodissime prese di ricarica, così preziose quando si è in viaggio e il telefonino, il tablet e il computer sono a corto di energia, è preoccupante e riguarda moltissime persone, e la fonte dell’allarme, l’FBI, sembra assolutamente attendibile; è quindi comprensibile che i giornalisti l’abbiano diffuso con entusiasmo. Ma scavando un pochino viene fuori che l’allarme è basato sul nulla: o meglio, su un corto circuito. Non elettrico, ma informativo.

L’avviso dal quale è partita tutta la preoccupazione è infatti un tweet della sede distaccata dell’FBI di Denver, datato 6 aprile 2023, che dice che “attori ostili hanno trovato modi per usare le porte USB pubbliche per inserire malware e software di monitoraggio nei dispositivi” e raccomanda di portare con sé un proprio caricatore e un proprio cavetto USB e di usare le prese elettriche normali invece dei cavetti offerti.

Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T

— FBI Denver (@FBIDenver) April 6, 2023

Questo tweet dell’FBI, però, non fornisce dettagli tecnici o fonti.

Così il giornalista informatico Dan Goodin ha contattato l’FBI, un cui portavoce gli ha spiegato che la sede di Denver ha basato il proprio allarme su informazioni provenienti dalla FCC, la Federal Communications Commission, l’autorità governativa statunitense che regola e amministra l’uso delle frequenze radio e delle telecomunicazioni. E in effetti sul sito della FCC c’è un avviso, datato 11 aprile 2023, che ripete sostanzialmente le raccomandazioni dell’FBI, anche qui senza fornire dettagli tecnici o fonti.

Ma a sua volta, spiega sempre Goodin, la FCC dice che le sue informazioni si basano su un articolo del New York Times del 2019 [probabilmente questo, paywallato], che si basava su un avviso diffuso dall’ufficio del procuratore distrettuale di Los Angeles. Ma quell’avviso è stato rimosso a dicembre 2021, dopo che era emerso che i funzionari del procuratore distrettuale non avevano alcuna prova del fenomeno. Anche la FCC non è in grado di citare un singolo caso in cui questo juice jacking su prese pubbliche sia realmente avvenuto.

In altre parole, l’allarme dell’FBI si basa su un complicato passaparola alla cui origine c’è il nulla. 

---

Possiamo quindi stare tranquilli e collegare i nostri dispositivi alle prese negli aeroporti e nei luoghi pubblici e dimenticarci di questo falso allarme? Probabilmente sì. La capacità di infettare uno smartphone semplicemente collegandolo a un cavetto di ricarica sarebbe una tecnica troppo potente e pericolosa per sprecarla su bersagli comuni in luoghi pubblici, e se esistesse da ben quattro anni, le case produttrici di dispositivi avrebbero nel frattempo rimediato, diffondendo aggiornamenti correttivi. Quindi le prese USB e i cavetti che trovate nei normali luoghi pubblici sono quasi sicuramente privi di pericoli informatici.

Detto questo, esiste un rischio teorico. Le prese di ricarica dei dispositivi includono quasi sempre dei contatti elettrici che accettano dati e comandi. Sarebbe quindi possibile mandare dei comandi a un dispositivo connesso attraverso un cavetto appositamente costruito, come per esempio l’OMG Cable di Hak5. Questi comandi permetterebbero di prendere il controllo di un dispositivo sbloccato quanto basta per infettarlo o estrarne dati. Ma cavetti speciali come questi hanno un costo piuttosto alto (oltre 100 dollari). Troppo alto per lasciarli in giro in un luogo pubblico.

Il rischio reale, insomma, è minimo, e infatti non ci sono casi documentati di questo juice jacking nonostante se ne parli a livello teorico da anni. Ma se preferite evitare anche quel minimo rischio, usate il vostro caricatore, quello che si inserisce nella presa elettrica, o una vostra batteria esterna o powerbank. E se proprio siete paranoici, esistono anche dei cavetti speciali e degli isolatori per cavetti di ricarica, i cosiddetti data blocker, che fanno passare solo la corrente elettrica ma non i dati.

Fonte aggiuntiva: Graham Cluley.

Ultimo aggiornamento: 2023/04/13 12:40.

Se avete una Hyundai acquistata in Italia o in Francia, o se avete anche solo partecipato recentemente a un test di guida di un’auto Hyundai in questi paesi, fate attenzione a eventuali messaggi e chiamate da parte di sedicenti rappresentanti dell'azienda. 

Il ricercatore di sicurezza Troy Hunt segnala infatti una comunicazione “riservata e confidenziale” da parte di Hyundai in italiano che annuncia che “una terza parte non autorizzata ha avuto accesso” a “e-mail, indirizzi e numeri di telefono” dei clienti e a “dati dei veicoli (come i numeri di telaio)”. L’azienda aggiunge che ha “messo in atto tutte le misure” per arginare l’accesso e ha “informato tempestivamente il Garante per la Protezione dei Dati Personali.”

Data breach at @Hyundai_Italia: pic.twitter.com/oMMcFiG2Ud

— Troy Hunt (@troyhunt) April 11, 2023

Hyundai invita “a prestare particolare attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del Gruppo Hyundai” e raccomanda in particolare “di evitare di premere qualsivoglia link che possa essere contenuto nel tentativo di contatto”. 

L’azienda offre anche un indirizzo di mail da usare “per qualsiasi verifica o supporto”: databreach@hyundai.it.

Questo è il testo integrale della comunicazione citata da Hunt:

Gentile [omissis]

a nome di Hyundai Motor Company Italy, sono spiacente di informarla che la nostra azienda ha recentemente appreso che una terza parte non autorizzata ha avuto accesso ad alcune informazioni contenute nel nostro database clienti.

Non appena ci è stato comunicato l'incidente abbiamo immediatamente avviato un'indagine e messo in atto tutte le misure per arginarlo. Ci siamo rivolti ai migliori specialisti di cybersecurity ed ai nostri avvocati per farci supportare nella gestione dell'incidente. Abbiamo informato tempestivamente il Garante per la Protezione dei Dati Personali e tra le varie misure di sicurezza adottate, abbiamo bloccato il server interessato e lo abbiamo rimosso definitivamente dalla rete. Stiamo continuando a lavorare con i nostri team IT per garantire che i nostri sistemi mantengano un elevato standard di sicurezza.

Le nostre indagini informatiche hanno confermato che alcuni dati dei nostri clienti potrebbero essere effettivamente stati impattati. Nello specifico, i dati comprendono informazioni di contatto (come e-mail, indirizzi e numeri di telefono) e dati dei veicoli (come i numeri di telaio). Non sono stati invece colpiti né dati finanziari, né numeri di identificazione ufficiali.

Sebbene non vi siano prove che i dati interessati siano stati utilizzati per scopi fraudolenti, per estrema cautela, la invitiamo a prestare particolare attenzione ed a verificare qualsiasi tentativo di contatto via e-mail, posta e/o sms che possa sembrare provenire da Hyundai Italia o da altre entità del Gruppo Hyundai. In particolare, le raccomandiamo di evitare di premere qualsivoglia link che possa essere contenuto nel tentativo di contatto che potrebbe ricevere.

Come sempre, può contattarci direttamente per qualsiasi verifica o supporto.

A questo proposito, abbiamo predisposto un canale dedicato che potrà raggiungere all'indirizzo databreach@hyundai.it.

Per noi di Hyundai Motor Company Italy la protezione dei dati personali dei nostri clienti è sempre stata una priorità assoluta.

Ci impegniamo ogni giorno per garantire i massimi standard di sicurezza ed assicurare una risposta pronta e esaustiva in caso di qualsiasi rischio, anche solo potenziale.

Hyundai Motor Company Italy si scusa per qualsiasi preoccupazione che questo incidente possa averle causato.

Anche Hyundai Motor France ha diffuso una comunicazione analoga [in francese, che mi è stata segnalata su Mastodon e fornisce un indirizzo di contatto (hyundaivousrepond@hyundai.fr)]:

Il testo francese (troncato in coda nello screenshot) è questo:

Chère Madame, Cher Monsieur,
Notre base de données clients a récemment fait l'objet d'une attaque informatique par un tiers non autorisé qui a accédé à certaines données personnelles de nos clients (nom, prénom, date de naissance, adresse email et postale, numéro de téléphone, numéro de client et numéro de châssis). Aucune donnée financière ou sensible n'a été affectée.
Des que nous en avons pris connaissance, nous avons diligenté une enquête interne avec des experts en informatique et nos avocats qui ont d'ores et déjà pris les mesures techniques afin d'y remédier. Parmi les diverses mesures techniques mises en œuvre, nous avons aussitôt bloqué le serveur concerné et l'avons définitivement retiré de notre réseau. Nous prenons également toutes les mesures complémentaires qui s'imposent afin d'éviter qu'un tel incident se reproduise. Sachez que cet incident a également fait l'objet d'une notification à la CNIL.
A ce stade, rien n'indique que vos données personnelles ont été réutilisées à des fins frauduleuses. Toutefois, nous vous demandons de rester vigilant dès maintenant et dans les mois qui viennent aux communications que vous pourriez recevoir de la part de Hyundai Motor France ou d'une autre entité du groupe Hyundai Motor et qui vous paraitraient suspectes.
Si un email, courrier et/ou SMS vous semble suspect, n'y répondez pas, ne cliquez pas sur les liens qu'il contient et prévenez-nous en nous écrivant à l'adresse suivante:
hyundaivousrepond@hyundai.fr
Nous vous indiquerons en retour si cette communication émane effectivement de Hyundai ou non.
Chez Hyundai Motor France, la protection des données personnelles de nos clients est une priorité absolue. Bien que cet incident soit indépendant de notre volonté, nous vous prions de bien vouloir accepter toutes nos excuses.
L'équipe Hyundai reste à votre entière disposition pour toute information
complémentaire (hyundaivousrepond@hyundai.fr)
Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées
Lionel FRENCH KEOGH
Président
Conformément à la réglementation sur la protection des données personnelles, vous disposez d'un droit d'accès, de modification et de retrait de vos données. Pour toute demande, vous pouvez nous contacter via l'adresse hyundaivousrepond@hyundai.fr. Pour plus d'informations sur vos droits et l'utilisation de vos données personnelles, vous pouvez consulter notre politique relative à la [...]

Violazioni come questa solitamente vengono sfruttate dai criminali informatici per compiere attacchi mirati. Per esempio, uno scenario banale ma frequente è la richiesta di denaro per qualche fantomatica pratica burocratica, fatta via SMS, mail o telefono e resa credibile dal fatto che il truffatore scrive o chiama citando correttamente e con precisione gli estremi e i dettagli del cliente-vittima. Se aveste comprato un’auto di una certa marca e vi arrivasse una mail di qualcuno che dice di rappresentare proprio quella marca e sa che modello avete appena acquistato, sareste abbastanza scettici da sospettare che si tratti di un impostore?

Un altro modo per sfruttare questi dati è l’estorsione ai danni dell’azienda. È capitato a Ferrari a fine marzo 2023: ignoti aggressori informatici hanno acquisito nomi, indirizzi fisici, indirizzi di mail e numeri telefonici di clienti di questa marca, che sono ovviamente molto interessanti sotto molti punti di vista, e poi hanno chiesto a Ferrari del denaro per non pubblicare questi dati. Secondo il comunicato ufficiale della casa costruttrice di Maranello, la somma imprecisata richiesta dai criminali non è stata pagata [e i clienti interessati sono stati allertati; non si sa se i loro dati siano stati poi diffusi come minacciato dagli aggressori].

Fonte aggiuntiva: BleepingComputer.

Durante il fine settimana appena concluso numerosi distributori di sigarette in Italia sono stati violati da intrusi informatici che hanno alterato i prezzi di vendita delle sigarette, portandoli a 10 centesimi, e hanno sostituito le immagini visualizzate sugli schermi di questi distributori con immagini in favore di Alfredo Cospito, un detenuto in sciopero della fame da oltre cinque mesi per protesta contro il regime di carcere duro al quale è sottoposto.

Trovate tutti i dettagli della vicenda su Il Post. Il presidente nazionale di AssoTabaccai ha dichiarato al Corriere che gli risulta che una delle aziende interessate, la Laservideo, “utilizzi un sistema per cui è il server centrale a inviare informazioni ai distributori. Quindi hackerando il server centrale, è stato possibile entrare contemporaneamente in tutti i distributori”.

Non entro nel merito politico della notizia: segnalo soltanto che i distributori di sigarette della Laservideo sono facilissimi da trovare online tramite un comune motore di ricerca per l’Internet delle Cose come Shodan, nel quale è sufficiente immettere la richiesta

http.html:'laservideo' country:IT

per ottenere un elenco degli indirizzi IP e delle porte aperte di questi distributori. Non perdo neanche tempo a mascherare i dati, visto che reperirli è assolutamente banale:

Risulta insomma che questi distributori non sono protetti dietro una VPN, ma sono accessibili direttamente su Internet e con un normale browser tramite la porta 90:

Questo è il contenuto pubblicamente accessibile della pagina di login di uno di questi distributori:

Ovviamente non ho modo di sapere se le password di questi distributori sono robuste e diversificate, come richiederebbe la sicurezza informatica più elementare, ma sulla base di questi fatti sospetto che la tesi dell’hackeraggio del “server centrale” non sia quella più plausibile.

---

2023/03/28 9:20. Dai commenti emerge che i distributori sono reperibili anche semplicemente in Google, una volta che si sa qual è la stringa di testo che li caratterizza: è sufficiente cercare “Inserire Nome Utente e Password forniti da Laservideo”.

Inoltre Laservideo ha dichiarato pubblicamente che “Contrariamente a quanto riportato da molti organi di stampa, l'attacco hacker di sabato 25 marzo non ha riguardato i server centrali Laservideo ma ha colpito puntualmente solo una parte minoritaria dei distributori, agendo direttamente attraverso la connessione delle singole tabaccherie.”

Scrive Rainews: “Agenzia per la cybersicurezza: "E' in corso un massiccio attacco hacker"
I tecnici dell'Agenzia hanno già censito "decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi""”.

Come al solito, siccome in tante redazioni linkare le fonti è considerato un abominio, non viene riportata l’indicazione più importante, ossia l’informazione tecnica del CSIRT. È qui. E dice una cosa che Rainews ha tralasciato di mettere in evidenza: la falla di VMware ESXi sfruttata per l’attacco è stata corretta dal vendor due anni fa.

No, dico, due anni fa. L’avviso del CSIRT lo dice chiaramente: “vulnerabilità CVE-2021–21974 – già sanata dal vendor nel febbraio 2021”.

Parliamoci chiaro: se non patchi un sistema da due anni e per di più lo esponi direttamente a Internet, prendi una canna da pesca e smetti di fare danni, perlamordiddio.

E per favore piantiamola con i titoli sensazionalisti: il titolo corretto, qui, non è “È in corso un massiccio attacco hacker” ma “Imbecilli non aggiornano da 2 anni computer esposti a Internet, si beccano quello che si meritano”.

Gli anglofoni hanno un modo di dire perfettamente azzeccato per queste occasioni: FAFO. Fuck around, find out. Ossia, grosso modo, “Fai una cretinata, scoprine le conseguenze”.

---

Se vi interessano i dettagli tecnici, BleepingComputer ha pubblicato un ottimo articolo in proposito; Censys ha un elenco dei server colpiti; e qui ci sono istruzioni per proteggere i server e per tentare il recupero dei file cifrati dal ransomware.

Look at the world! look how many OLD ESXi servers are exposed :D https://t.co/z2ykKB3sGB pic.twitter.com/Jeqr9veyRr

— mRr3b00t (@UK_Daniel_Card) February 5, 2023

Secondo Censys, in Italia i server colpiti (non quelli vulnerabili, ma quelli che sono già stati infettati) sono almeno una ventina; in Svizzera sono più o meno altrettanti.

---

Ho parlato della vicenda a Teleticino (video) e a Radio Radicale (registrazione audio).

La nota del governo italiano è molto netta (evidenziazioni mie): “L’aggressione informatica, emersa già dalla serata del 3 febbraio e culminata ieri in modo così diffuso, era stata individuata da ACN [Agenzia per la Cybersicurezza Nazionale] come ipoteticamente possibile fin dal febbraio 2021, e a tal fine l’Agenzia aveva allertato tutti i soggetti sensibili affinché adottassero le necessarie misure di protezione. Taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze. Per fare una analogia con l’ambito sanitario, è accaduto come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo siano emersi i danni alla salute per chi a quella prevenzione non abbia ottemperato".”

Non avrei saputo dirlo meglio.

---

2023/02/09 22:20. Anche la CISA (Cybersecurity and Infrastructure Security Agency) statunitense ha pubblicato uno script e delle istruzioni per il recupero dei dati in caso di attacco con questo ransomware.

Questo articolo è disponibile anche in versione podcast audio.

Con tempismo perfetto per Halloween arriva un avviso di sicurezza per le lampadine smart di IKEA, che hanno due vulnerabilità (CVE-2022-39064 e CVE-2022-39065) sfruttabili per farle sfarfallare come se fossero infestate o provenissero da una delle case della serie Stranger Things.

Jonathan Knudsen, del Synopsys Cybersecurity Research Center, ha scoperto infatti che le lampadine Tradfri e il loro gateway o dispositivo di controllo possono essere indotte a fare un reset semplicemente mandando loro un segnale radio apposito (tecnicamente, se ci tenete a saperlo, si chiama frame Zigbee malformato).

Una volta resettate, le lampadine restano tutte accese al massimo della luminosità e l’utente non riesce più a comandarle, né con l’app né con il telecomando apposito. Per riprenderne il controllo, l’utente deve riaggiungere manualmente alla propria rete domestica ciascuna lampadina. Ma siccome non esiste un aggiornamento correttivo completo, l’aggressore può ripetere l’attacco tutte le volte che vuole, usando semplicemente un laptop e un radiotrasmettitore che costa una trentina di euro o franchi e può agire anche da un centinaio di metri di distanza.

IKEA è stata avvisata delle falle e ha messo a disposizione un aggiornamento parziale, che conviene sicuramente installare, ma la vulnerabilità in questo caso deriva dalla natura stessa del sistema di trasmissione e di comando utilizzato, chiamato Zigbee, e quindi non è completamente rimediabile.

Un attacco di questo genere non comporta fughe di dati, ma può essere comunque un fastidio notevolissimo. Se avete queste lampadine smart e vedete che sfarfallano o lampeggiano e non rispondono ai comandi, i casi sono due: o avete un vicino informaticamente dispettoso, oppure qualcuno sta cercando di comunicare con voi dal Sottosopra.

Fonte aggiuntiva: The Register.

Pubblicazione iniziale: 2022/09/15 9:41. Ultimo aggiornamento: 2022/09/15 11:45.

9:41. Il profilo ufficiale del Ministero della transizione ecologica italiano (https://twitter.com/MiTE_IT/) al momento in cui scrivo ha questo aspetto:

Promuove una truffa basata sulle criptovalute: lo schema è quello classico del “fidati di me che sono famoso, dammi la tua criptovaluta e te la restituisco moltiplicata”. Infatti l’account Twitter rubato ora si fa chiamare Vitalik.eth, come quello autentico di Vitalik Buterin, fondatore della criptovaluta Ethereum, e mostra la sua foto; inoltre il sito reclamizzato nei tweet, ethmerges[.]blogspot.com, dice proprio “To participate you just need to send from 0.5+ ETH to 500+ ETH to the contribution address and we will immediately send you back from 1+ ETH to 1000+ ETH (x2) to the address you sent it from.”

Inutile dire che la criptovaluta data a questi truffatori non verrà mai restituita.

Fate attenzione a truffe come questa, nelle quali il truffatore prende il controllo di un account molto conosciuto e addirittura autenticato con il bollino blu, per poi offrire i propri “servizi” ai numerosi follower dell’account. E fate attenzione anche agli sciacalli, che dicono di essere in grado di aiutarvi a recuperare il maltolto o consigliano qualcuno che lo è: vorranno essere pagati per il tentativo di recupero, che ovviamente fallirà e resterete doppiamente fregati. Uno di questi sciacalli è già comparso nei commenti alla mia segnalazione su Twitter.

L’account del Ministero è così almeno dalle 8.37 italiane di stamattina, ora del primo tweet del truffatore.

---

11.05. Sembra che il controllo dell’account del Ministero sia stato ripreso: alcuni tweet promozionali del truffatore sono stati rimossi e il profilo sta riprendendo il suo aspetto normale.

11.45. Intanto Repubblica (copia permanente), Rainews (copia permanente) e Fatto Quotidiano (copia permanente) scrivono fandonie sulla vicenda spacciandole per notizie, addirittura accusando pubblicamente Buterin di un reato informatico che non ha commesso (e fra l’altro Buterin è russo di origini ma naturalizzato canadese). Il tweet di Angelo Bonelli è archiviato qui. 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Questo articolo è disponibile anche in versione podcast audio.

Non tutti i criminali informatici sono dei geni del male. Pochi giorni fa un aspirante truffatore ha tentato di prendersela con me e rubare il mio account Instagram. Non è andata come sperava, e la sua disavventura mi offre l’occasione di ripassare un paio di trucchi di sicurezza e di trappole di Instagram che è meglio conoscere per difendersi. Ma c’è anche parecchio da ridere.

Tutto comincia con una trappola classica. Un mio conoscente su Instagram mi manda un messaggio privato usando un italiano improbabile: “voglio disturbarti affatto, ma ho bisogno del aiuto per qualcosa, per favore”, condito con vari emoji di supplica. Gli chiedo come lo posso aiutare.

Lui risponde così: “Sto cercando di iscrivermi con il mio Instagram il mio nuovo telefono e Instagram non mi permette che mi hanno mostrato 2 amici che posso contattare per aiutarmi a ricevere un link. Per favore, se ricevi il link mandamelo così posso effettuare il login”.

Nei suoi messaggi successivi mi spiega insistentemente che dovrei ricevere tramite SMS un link, che dovrei poi mandargli subito. In effetti mi arriva sul telefonino un SMS che indica come mittente Facebook, dice “Tocca per accedere al tuo account Instagram” e prosegue con un link del tipo https://ig.me/ seguito da tante lettere e tanti numeri. Attenzione: è questa la trappola da evitare. Questo link non va dato assolutamente a nessuno, perché è un link temporaneo che permette a chi ce l’ha di prendere il controllo dell’account senza dover immettere password.

In pratica, un ladro di account ha preso il controllo dell’account Instagram del mio conoscente e mi sta contattando, fingendo di essere lui. Vuole rubare anche il mio account, e quindi è andato su Instagram, ha immesso il mio nome utente nella schermata di login e ha cliccato su “Hai dimenticato la password?”, e così Instagram lo ha portato alla schermata di reset della password.

Questa schermata è pensata per consentire a un utente di rientrare nel proprio account anche se non si ricorda la password: cliccando sul pulsante Invia il link di accesso, l’utente riceve sul proprio smartphone un SMS che contiene un link temporaneo di accesso diretto. Ma se l’utente manda quel link a qualcun altro, sarà quel qualcun altro a prendere il controllo del suo account Instagram.

Purtroppo Instagram commette il grave errore di non includere in questo SMS un avvertimento che dica chiaramente che il link non va mandato a nessuno. Le vittime di questa truffa ricevono l’SMS e la richiesta di quello che credono sia un loro amico che ha bisogno di aiuto e quindi mandano questo SMS all’impostore. E così si fanno rubare l’account Instagram.

Quindi mi raccomando: se ricevete un SMS contenente un link che invita a toccarlo per accedere al vostro account Instagram, non condividetelo con nessuno.

È chiaro, insomma, che sto interagendo con un ladro, e in particolare con un ladro particolarmente sprovveduto, perché nella mia bio su Instagram c’è chiaramente indicato che mi occupo di sicurezza informatica e quindi non sono un bersaglio facile.

A questo punto posso permettermi di giocare un po’ con l’aspirante ladro. Faccio finta di cadere nella trappola e gli mando un link leggermente alterato: al posto delle lettere e dei numeri che mi sono arrivati nell’SMS gli scrivo 1IcIVhfLkRicKR0LL. Qualunque ladro anche solo vagamente attento dovrebbe notare che le ultime lettere di questo link compongono la parola rickroll, che è il nome di una burla classica di Internet descritta in una puntata precedente di questo podcast. Non solo il ladro non se ne accorge, ma mi ringrazia anche con un cuoricino.

Passano alcuni minuti, durante i quali il truffatore evidentemente digita pazientemente il link falso e si rende conto che non funziona. Così mi chiede di mandargli uno screenshot, probabilmente perché pensa che io sia un imbranato.

A questo punto decido di dargli corda e fargli perdere tempo credendo di essere a un passo dal mettere a segno il furto di account. Parte un lungo dialogo: fingo di non essere esperto, e mi invento le scuse più bislacche. Cose del tipo “Non riesco, il telefono mi dice che ho il cirbione vagolato e manca la notifica di hotlinking. Cosa vuol dire? Non capisco”. E lui, pazientemente, risponde. "Non hai nulla di cui preoccuparti. Mandami il link dopo di che andrà tutto bene”.

“Sì, ma cos'è questo cirbione vagolato?” Sono due parole prese dal lessico fantastico del fumettista Jacovitti. Il truffatore non si rende conto che lo sto prendendo in giro.

“Non è niente. Mandami il link”, risponde. Gli chiedo scusa, dicendogli “Mamma mia scusami ma sono molto lento perché ho la malattia della tafazzite da quando avevo 13 anni ho solo due dita che funzionano”. Lui, imperterrito, insiste. Gli chiedo altre cose assurde: “Tu stai bene? Hai qualche malattia? Ti piacciono i film dei gladiatori? A me piace parlare con le persone ma non posso perché ho la tafazzite contagiosa”.

Niente. Neanche la citazione di malattie inesistenti come la tafazzite contagiosa o di battute celebri del film L’aereo più pazzo del mondo gli fa accendere la lampadina. Mi manda uno screenshot del mio profilo, dicendomi “Mandami uno screenshot di questa parte del tuo account Instagram ora”. È una mia impressione o il suo tono comincia a essere esasperato?

Il tempo passa e lo scambio di messaggi prosegue. Gli dico che mi sono spaventato perché temo che lui sia un hacker e questo mi ha causato problemi di incontinenza, e lui mi risponde “Oh, mi dispiace tanto. Ti aiuterò con 1.000€”, dimostrando così che è una persona in carne e ossa e non un bot o sistema automatico. Poi gli dico che faccio intervenire la mia inesistente figlia Giuditta e gli mando, finalmente, il link che continua insistemente a chiedermi. Ma il link che gli mando è un canary token, ossia un link speciale, che si può creare gratuitamente per esempio presso Canarytokens.org e che quando viene cliccato manda a chi l’ha creato delle informazioni su chi ha cliccato.

In altre parole, se il truffatore clicca sul link, riceverò le sue coordinate: il suo indirizzo IP, il tipo di telefono che sta usando, e altre informazioni interessanti. Ma il link è chiaramente riconoscibile, perché contiene il nome del sito Canarytokens, per cui non mi aspetto che ci caschi. Per confonderlo e come ulteriore presa in giro, gli dico che Giuditta, la mia figlia immaginaria che mi sta aiutando, gli ha mandato per errore il link alle sue foto intime e gli chiedo di non guardarle.

Ovviamente il truffatore non resiste alla tentazione e clicca sul link. Mi arrivano le informazioni su di lui. Risulta che usa un iPhone e che il suo indirizzo IP è svizzero, ma è quello di un servizio di VPN, per cui probabilmente l’aspirante ladro di account sta altrove [probabilmente in Nigeria, a giudicare dal parametro en_NG, che è il locale di quel paese; la dicitura “Instagram phisher” l’ho generata io come promemoria della funzione di questo token].

A questo punto l’ho già tenuto in ballo per oltre un’ora, e ho ottenuto tutto quello che mi serviva, per cui lancio la burla finale: “BUONGIORNO” gli scrivo “QUESTO È IL SERVIZIO SVIZZERO DI SICUREZZA DIGITALE. QUESTO ACCOUNT VIENE MONITORATO. SIGNOR MONI [è questo il nome dell’account rubato] LEI È PREGATO DI IDENTIFICARSI CON UNA IMMAGINE DI UN DOCUMENTO DI IDENTITÀ E DI PRESENTARSI ALLA CENTRALE DI SICUREZZA DI EGERKINGEN ENTRO 24 ORE PER UN INTERROGATORIO. FIRMATO AGENTE HUBER.”

Improvvisamente cala il silenzio. Il truffatore non si fa più vivo; non risponde ai miei messaggi successivi. Gli lascio un messaggio di congedo, nel quale gli spiego chi sono e che ho raccontato il suo tentativo di furto in diretta su Twitter per far divertire chi mi legge. Gli dico anche che so benissimo che lui è un criminale che sa bene che sta commettendo un reato e aggiungo che spero che la conversazione gli sia stata di lezione: le vittime, insomma, a volte sanno reagire.

Per me la vicenda sarebbe finita, ma a sorpresa, alcune ore più tardi, mi chiede ancora di mandargli il link. Probabilmente sta gestendo contemporaneamente vari tentativi di truffa e ha perso il filo del discorso.

Decisamente non tutti i criminali sono geni del male. Siate più svegli di loro.

Se vi interessa l’intera conversazione che qui vi ho riassunto, gli screenshot sono qui sotto. Buon divertimento e prudenza. 

Fonti aggiuntive: Punto Informatico, Mobileworld.it.

Questo articolo è disponibile anche in versione podcast audio.

La gestione elettronica dei veicoli è una gran bella cosa, con tanti vantaggi, ma va fatta bene: se è fatta male, può avere conseguenze catastrofiche e inattese. 

Un esempio in questo senso arriva nientemeno che dalla Cybersecurity and Infrastructure Security Agency del governo statunitense, che si occupa di sicurezza informatica delle infrastrutture ai più alti livelli.

Il CISA ha pubblicato un avviso a proposito della pericolosità di un dispositivo di tracciamento GPS dotato di ricetrasmettitore cellulare, molto usato dalle flotte di veicoli commerciali. Si chiama MV720 e lo fabbrica la MiCODUS. Questo dispositivo ha una serie di difetti informatici che possono permettere a un aggressore addirittura di prendere il controllo del veicolo, per esempio disattivandone l’antifurto e anche interrompendo l’erogazione di carburante oltre a tracciarne la posizione e i percorsi.

Fra questi difetti spicca un classico: una cosiddetta hardcoded password, ossia una password di amministrazione fissa e non modificabile, una sorta di passepartout, che permetterebbe a un aggressore di accedere al server di controllo e mandare comandi ai dispositivi di tracciamento tramite SMS.

Come se non bastasse, un altro difetto consente a un malintenzionato di mandare comandi, tramite SMS, senza aver bisogno di autenticarsi. E poi c’è un’altra falla, che permette di accedere ai dati degli altri utenti perché il server non verifica l’identificativo del dispositivo che viene inviato dall’utente. Il problema, quindi, rischia di riguardare tutti i dispositivi di tracciamento di questa marca.

Un vero disastro di incompetenza, insomma, che apre la porta ad attacchi di vario genere: a parte quelli strategici o politici e ideologici, ci sono quelli del crimine informatico organizzato. Con falle di questo livello, un’organizzazione criminale potrebbe per esempio ricattare un’azienda di trasporti, minacciando di fermare tutta la sua flotta di veicoli se non viene pagato un riscatto, oppure potrebbe acquisire i dati delle spedizioni e compiere furti mirati.

La scoperta di queste vulnerabilità è stata fatta dai ricercatori della società di sicurezza informatica statunitense Bitsight ed è stata descritta in un rapporto pubblico molto dettagliato dopo aver tentato inutilmente di avvisare la casa produttrice del dispositivo, la cinese MiCODUS, e dopo aver comunicato privatamente il problema alle autorità governative statunitensi per la sicurezza informatica.

Circa un milione e mezzo di utenti privati e di aziende che usano questi dispositivi in quasi 170 paesi, comprese forze militari, agenzie governative e corrieri, a questo punto hanno una sola strada per eliminare il rischio: assicurarsi che questi tracciatori non siano accessibili da Internet e usare accessi remoti sicuri, protetti per esempio da VPN. O, meglio ancora, rimuovere completamente questi dispositivi e sostituirli con alternative meno vulnerabili. 

Il problema è ovviamente capire quali lo sono e quali no, ma grazie ai ricercatori almeno adesso sappiamo che questo, perlomeno, è da evitare.

Questo articolo è disponibile anche in versione podcast audio.

Il 27 giugno scorso una delle più grandi acciaierie in Iran, la Mobarakeh Steel Company (info su Wikipedia), ha vissuto momenti drammatici: stando a vari video non confermati ma ritenuti attendibili, poco dopo che alcuni operai si erano allontanati da una zona dell’impianto nella quale si lavorano grandi quantità di metallo fuso, si è formata una enorme fiammata e il metallo incandescente si è riversato fuori dai suoi contenitori, spandendosi nelle vicinanze in una luminosissima, rovente cascata di scintille.

L’incidente merita attenzione perché tutto indica che si sia trattato di un sabotaggio effettuato tramite un attacco informatico: un caso piuttosto raro di conseguenze molto concrete, e potenzialmente fatali, di crimine digitale che agisce direttamente sulle cose del mondo reale invece di limitarsi, si fa per dire, a cancellare e danneggiare dati.

L’attacco è stato rivendicato su Telegram e Twitter da un gruppo che si fa chiamare Predatory Sparrow (passero predatore). Il gruppo ha presentato come conferma i video tratti dalle telecamere di sorveglianza interna dell’acciaieria e ha anche pubblicato una ventina di gigabyte di dati che dice di aver trafugato da questa e altre due acciaierie iraniane che ha preso di mira. I media di stato iraniani hanno fornito conferme indirette degli attacchi, ma hanno dichiarato che non ci sarebbero stati danni alle linee di produzione (Cyberscoop.com).

L’idea che un attacco informatico possa causare la fuoriuscita di colate di metallo fuso dove lavorano gli operai è decisamente inquietante, ma non è la prima volta che ci sono conseguenze fisiche molto gravi a seguito di un’incursione digitale. 

Sempre in Iran, nel 2010, il malware Stuxnet danneggiò o distrusse le centrifughe dell’impianto di arricchimento dell’uranio di Natanz (come ho raccontato in dettaglio nel podcast del 9 luglio 2021). Nel 2014 l’autorità tedesca per la sicurezza informatica, la BSI, parlò di gravi danni a un’acciaieria nazionale causati da un attacco informatico basato sul phishing, senza però fornire molti dettagli. E nel 2015 in Ucraina un’azienda che gestiva la rete elettrica per la maggior parte del paese fu colpita da un attacco informatico che tolse la corrente a 200.000 persone per varie ore.

Questi attacchi così devastanti avvengono raramente, per fortuna, ma sono gli effetti più sensazionali di una tecnica di attacco molto diffusa ai danni delle industrie: quella che consiste nel prendere il controllo dei sistemi di comando remoto che gestiscono i grandi impianti e sabotarli in modo che questi impianti vadano in avaria o causino danni. 

I sistemi di controllo industriale sono sempre più diffusi, perché costano meno e sono più precisi rispetto a una squadra di addetti, che oltretutto spesso rischierebbero la propria incolumità, e perché a volte non c’è altro modo per comandare gli impianti: basti pensare ai macchinari che operano in condizioni che sarebbero fatali per un operatore umano o che sono difficilmente accessibili, come le pale eoliche o i ripetitori cellulari o radiotelevisivi in alta montagna. In questi casi il controllo remoto è indispensabile.

Il problema nasce quando questi sistemi di controllo remoto non sono ben protetti e vengono installati disinvoltamente, senza pensare troppo alle loro implicazioni di sicurezza. Infatti se un impianto è accessibile da remoto da parte dei suoi addetti, potrebbe essere accessibile tramite la stessa via anche da parte di malintenzionati. Questi sistemi di controllo sono spesso connessi via Internet, e molte aziende non si rendono conto che oggi esistono motori di ricerca appositi, come Shodan, Binaryedge, Zoomeye o Censys, che permettono a chiunque di trovare tipi specifici di dispositivi accessibili via Internet e di ottenere informazioni sul loro funzionamento. Questi motori di ricerca esistono per segnalare o prevenire violazioni di sicurezza, ma ovviamente sono utilizzabili anche per trovare bersagli per attacchi. 

Incidenti come quello iraniano sono spesso di matrice politica, e si sospetta che dietro il gruppo Predatory Sparrow ci sia un governo che lo appoggia o addirittura lo dirige. Questo sospetto è avvalorato, secondo alcuni addetti ai lavori, dal fatto che il gruppo è stato molto attento a causare la fiammata nell’acciaieria in un momento nel quale non c’erano addetti nelle vicinanze e ha ribadito questa sua attenzione nelle rivendicazioni, e questo tipo di scrupolo è caratteristico di organizzazioni che devono rispettare delle linee guida politiche o governative, per esempio per causare danni strategici senza essere viste negativamente perché hanno colpito degli innocenti.

Sia come sia, episodi drammatici come quello dell’acciaieria iraniana sono un rumoroso campanello d’allarme per qualunque azienda che abbia sistemi gestiti da remoto, in qualunque paese: è opportuno irrobustire le proprie difese, invece di fare quello che fanno molti, ossia usare semplicemente Teamviewer senza password perché tanto è comodo e si ritiene che se nessuno sa l’indirizzo IP dell’impianto nessuno lo troverà mai. Shodan esiste proprio per questo, e ho vissuto personalmente due casi nei quali un generatore elettrico italiano e una mini-centrale elettrica francese erano comandabili da remoto da chiunque, perché i loro gestori non si curavano della sicurezza. Non è stato uno spettacolo rincuorante.

E anche se pensate che la vostra azienda non sia nel mirino dei gruppi politici internazionali, esistono sempre il sottobosco del crimine informatico, che è ben contento di chiedere riscatti per non sabotare i vostri impianti, e anche il sotto-sottobosco, quello dei semplici vandali, quelli che causano sabotaggi for the lulz, ossia per puro, asociale divertimento. Forse è il caso di approfittare della pausa estiva per fermarsi un momento a ragionare sulle proprie procedure di accesso remoto e rinforzarle un pochino.

Fonti aggiuntive: BBC, The Cyberwire.

Pochi giorni fa il ricercatore ha raccontato la bizzarra vicenda nel suo sito: ha ordinato per sé una di queste vasche aggiungendo l’opzione, denominata SmartTub, che aggiunge alla vasca un modulo ricetrasmettitore che usa la rete cellulare per mandare informazioni a un’app che permette di comandare a distanza la vasca, accendendo le luci, regolando i getti e la temperatura dell’acqua, e così via. Lo so, può sembrare una funzione extralusso, ma sono oltre 10.000 le persone che hanno scaricato l’app da Google Play e quindi, si presume, la usano.

Durante la configurazione dell’app, il ricercatore ha visto comparire sul suo schermo per un attimo una tabella piena di dati. L’ha catturata usando uno screen recorder per registrare quell’immagine fugace e ha scoperto che si trattava di un pannello di controllo per amministratori, strapieno di dati di utenti di vasche con idromassaggio di varie marche.

Da bravo informatico, ha approfondito l’indagine e ha scoperto che il pannello di controllo era accessibile a chiunque senza immettere credenziali e consentiva di vedere e modificare i dettagli dei proprietari delle vasche, con nomi, cognomi e indirizzi di mail, e anche di disabilitare completamente gli account.

In maniera molto responsabile, Eaton Zveare ha contattato il supporto tecnico dell’app di Jacuzzi per avvisare l’azienda del problema. Ha ricevuto risposta e ha fornito tutti i dettagli tecnici, ma poi non ha sentito più nulla per mesi, mentre la falla rimaneva aperta. Ha dovuto tentare vari altri indirizzi di contatto e infine rivolgersi alla società di sicurezza informatica Auth0, che gestisce il sistema di accesso alle vasche da bagno “smart”, prima di ottenere risposta. Un copione che chiunque lavori nella sicurezza informatica ha già vissuto tante volte.

Ma alla fine, dopo sei mesi, la falla è stata chiusa, senza neppure un cenno di riconoscimento o ringraziamento da parte della casa produttrice di vasche, alla quale il ricercatore ha risolto gratuitamente un guaio che avrebbe potuto avere conseguenze legali molto onerose. Anche questo silenzio fa parte del copione.

C’è di più. Secondo le leggi della California, dove ha sede la Jacuzzi, questa fuga di dati dei clienti dovrebbe essere annunciata ai clienti stessi e segnalata alle autorità, ma finora non risulta che ci sia stato alcun annuncio o segnalazione. Se questo è il modo in cui si gestiscono i dati degli utenti e i comandi remoti dei loro elettrodomestici, forse conviene cercare elettrodomestici che non siano così tanto “smart”.

All’inizio dell’invasione russa dell’Ucraina, il 24 febbraio scorso, una parte significativa delle comunicazioni militari ucraine è diventata impossibile a causa di un attacco informatico al sistema di telecomunicazioni satellitari di Viasat usato appunto dalle forze militari del paese. L’attacco ha avuto ripercussioni anche in altri paesi che usano Viasat, dal Regno Unito alla Repubblica Ceca al Marocco. Fra i sistemi colpiti dagli effetti collaterali dell’attacco ci sono anche circa 2000 pale eoliche in Germania. Non risultano interessate le compagnie aeree che usano i sistemi Viasat o i clienti Viasat del governo statunitense. I modem degli utenti colpiti sono stati resi inservibili.

ℹ️ Commercial satellite operator Viasat is investigating a suspected cyberattack that caused a partial outage of its KA-SAT network in Europe.

Network data indicate that the incident began on 24 February ~4 a.m. UTC and is currently ongoing 📉

📰 https://t.co/vsg9NA2V03 pic.twitter.com/vW8qQwF5TF

— NetBlocks (@netblocks) February 28, 2022

La vicenda è stata raccontata inizialmente dal Washington Post, da The Hill e in dettaglio da Ars Technica.  Anche Wired.it ne ha parlato in questo articolo, indicando che sarebbero stati colpiti dall’attacco circa 27.000 utenti.

Oggi, finalmente, l’azienda direttamente interessata, Viasat, ha pubblicato il proprio resoconto dell’attacco, che spiega come si è svolto e quale punto debole dell’infrastruttura è stato sfruttato. La lettura è molto interessante, perché mostra un modo poco hollywoodiano e per nulla intuitivo di portare alla paralisi una rete di telecomunicazioni satellitari. Non c’è bisogno di “hackerare il satellite” se qualcuno configura maldestramente un accesso VPN al sistema di gestione della rete a terra e da lì qualcun altro manda comandi ai modem degli utenti, inducendoli a sovrascrivere le proprie memorie flash e diventare incapaci di ricollegarsi.

Lo scenario più plausibile è un attacco da parte russa o di affiliati o simpatizzanti del governo russo, ma al momento non ci sono prove.

L’offerta è scritta in inglese maccheronico e in italiano quasi completamente corretto ma non idiomatico.

Lascio in chiaro l’indirizzo di mail del sedicente venditore perché tanto l’offerta è facilmente reperibile con un motore di ricerca e la pubblicazione potrebbe facilitare il lavoro delle autorità, oltre a consentire di ostacolare l’attività del venditore con un flooding delle sue caselle di mail.

ENGLISH:
- I sell Green Passes by registering directly from the Italian health system "Cartella Sole" and "ASL".-
The price amounts to 150EUR, I only accept Bitcoin payment.

I only comunicate via this two MAIL:  

seriously3@onionmail.org
seriouslyy@onionmail.org

I am new online and have always sold to patients of a doctor.
Want more info? I'll answer in this thread or via PM.
Please don't ask for discounts lol.

As proof I have access to the panel, here is the screenshots:

[omissis]

Warning: Don't lose my time asking stupid questions and don't write random commets about scam and shit only because you want it for free or because you sell my same service, i already sold a lot of GP all over the world and i have proof of it, about all the conversation with the customers.


ITALIAN:

- Vendo Green Passes registrandomi direttamente dal Sistema sanitario italiano "Cartella Sole" e "ASL".-
Il prezzo ammonta a 150EUR, accetto solo pagamenti Bitcoin.

Io comunico SOLO tramite queste due MAIL: 

seriously3@onionmail.org
seriouslyy@onionmail.org

Sono nuovo online e ho sempre venduto ai pazienti di un medico.
Vuoi maggiori informazioni? Risponderò in questo thread o tramite PM.
Si prega di non chiedere sconti lol.

Come prova ho accesso al pannello, ecco gli screenshot:

[omissis]

Attenzione: non perdere il mio tempo a fare domande stupide e non scrivere commenti casuali sul fatto che sia truffa e cazzate solo perché lo vuoi gratuitamente o perché vendi il mio stesso servizio, ho già venduto un sacco di GP in tutto il mondo e ne ho la prova, su tutte le conversazioni con i clienti.

Va detto che il modus operandi di questo aspirante criminale (o troll) non è particolarmente brillante: pubblicare queste offerte in forum notoriamente monitorati, con tanto di indirizzo di mail facilmente tracciabile e schermate che identificano il sistema usato, significa lasciare una pista diretta che porta a casa sua.

Le schermate mostrate dall’offerente sono infatti queste e credo che contengano informazioni sufficienti a consentire agli inquirenti di identificare l’incosciente che sta mettendo a rischio tutti con questa frode:

Anche questo caso sembra indicare una violazione a basso livello del sistema (uso illecito da parte di un addetto o di qualcuno che simula di essere un addetto) e non un furto delle chiavi crittografiche di generazione dei “green pass”.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Ultimo aggiornamento: 2021/11/03 10:50.

Il 2 novembre scorso Andrea Draghetti di D3Lab ha segnalato un annuncio, pubblicato il giorno precedente su un noto forum di hacking, secondo il quale il sito del Ministero della Salute italiano sarebbe stato violato. 

⚠️🚨🚨⚠️

"Italy's Ministery of Healthcare hacked and Blackmails WhiteHat"

ℹ️ A user claims to have violated the Italian Ministry of Health (Ministero della Salute)!

😱 To prove it publishes an extract of the Apache LOGs, that also contain CLEAR passwords and a curious story... pic.twitter.com/ev4WjtRelz

— Andrea Draghetti 👨🏻‍💻 🎣 (@AndreaDraghetti) November 2, 2021

L’autore della violazione ha portato come prove un estratto dei log di Apache che fa riferimento a nsis.sanita.it e contiene login e password in chiaro (nella forma Ecom_User_ID=ID[omissis]&Ecom_Password=[omissis]).

Le prove sono accompagnate da un racconto molto bizzarro, che accusa i tecnici del Ministero di aver falsificato delle mail a nome di “giudici del Ministero della Giustizia” [sic] e di averle usate per minacciare chi aveva segnalato ai tecnici la vulnerabilità del sito, per farlo tacere. Ci sono di mezzo, secondo l’autore, anche degli accessi ai vaccini. Accusa gravissima che al momento, sottolineo, non è confermata.

Una persona addetta ai lavori mi ha invece confermato che la violazione del sito del Ministero della Salute è reale. Un’altra fonte, in attesa di conferme, mi ha segnalato che il 13 ottobre ci sarebbe stato un reset generale delle password del sito.

Le password contenute nel dump sono di questo genere (ometto per sicurezza alcuni caratteri e gli userid corrispondenti):

FAJKSKSF***
f2a***
a2g2ga***
ads**
Acquamarina**
Vaccini.20******
Appell***
Ekibio20***
Gabriel***
Gambuzzel****
Boletus*****

Come sempre, se qualcuno ha ulteriori informazioni, il mio Signal è aperto alle coordinate che trovate nella barra laterale di questo blog. 

Qui sotto riporto pari pari il racconto bizzarro pubblicato dall’autore della violazone, senza per questo voler dare particolare credito alla sua storia. Segnalazioni-vanteria di questo genere sono frequentissime e spesso false; se non avessi ricevuto una conferma della violazione da una fonte attendibile non avrei nemmeno segnalato questo annuncio. 

Long story of how this happened:

I'm online writing a script for some 0's i wanna test, here comes a contact asking me if i could get vaccines, asks for EU, he specifically asked for Italy.
I thought "No problem" italian devs are chimps, it will be ez if it all works by web.
I did not think it would be THAT ez, after less than 1h i found a hole and it took me 8 hours to have complete control over the DB's, Linux shell with 90% privilege (and i had 0 knowledge of the underlying infostructure or system lmao) .
I got some credentials, gave the vaccine to my friend and started getting to know better the system,
low and behold,
there was access to too much critical infostructure, I could've made people arrested by cancelling their vaccines, i could've get data about shipments, containers, anything ANYTHING healthcare related, i had access to 100%, mail servers, bla bla bla, 100% pwned.

Due to there being too much critical info-structure and not having any fitting operation to do with it, i decided to pay a jabber advert and find a buyer.

I get contacted by a guy,
he asks screenshots
tells me that hes starting a cyber sec company and he would like to buy it (the access) to report it,
i tell him to not do it because in Italy they are chimps and he is only wasting money,
he ignores me and keeps asking for the access
i sell him the accesses for 15k$ in monero
he contacts the technicians to report it, tells them his name and company
> technician tells they were not aware of the hack and it was not possible (they were hacked from 7 days~ already, they are most surely not able to do their job) they asked him to send proofs by email, he asks me proofs and he forwards them to the 'technicians'
> one day goes by, then they write to him an email asking more information and more about a possible "partnership"
> they stop answering
> my client sends them an email asking to notify everyone (millions) as per GDPR law of the breach,
> (the technicians department of the Ministery of Healthcare people) start forging emails with Ministery of Justice Judges names people and they blackmail him
1) The technicians did not lawfully oblige to disclose breaches as per GDPR european law.
2) They blackmailed a whitehat security researcher by email with fake names,
3) They blackmailed him on instagram (WTF)
4) They removed a page thinking it would fix the problem, instead of hiring someone professional. they are still vulnerable.
By not going trough the official and right way, they have achieved shitting on any law and leaving one of the most if not the most critical infostructure vulnerable.

tl;dr
Don't target Italian systems because they are poor retarded chimps, this poor guy wasted 15k in hope to, since millions of people and the most critical info-structure got hacked, he thought that by reporting it they would then publish a statement of breach to notify the millions involved and quote his company for notifying them.
He learned the hard way Italy is not a country but instead a mafia,
since I've never heard of a legit country like Germany or Denmark Ministery being notified of a breach and blackmailing the person that let them know it for this information to not become public.
btw i spoke with him (my customer) and he told me so today, he told me that "I attempted writing to the Media and got no response, I attempted disclosing it to the technicians and i got blackmailed, i got no use of this anymore i consider my money wasted, do as you please with it"
so, take this as a reminder from a BH to both WH and BH's onhere, don't work with Italy, let them be abused and die as a country, because surely they don't have a system that is worth defending (nor pwning).

List of the DUMP:
SAML Keys:
[omissis]

Authentication Cerfiticates:
[omissis]

[16:52] [server1.[omissis].me var] # cat accounts.log
[omissis]

Conclusion Thoughts.
The servers were vulnerable from 11+ Years already,
there was no monitoring of any kind, I did not delete any log or hidden my access in any way as my customer had asked as he would've preferred to report it and showcase there was no malicious intent, rather, just report it and get a deal written.
There was no security, it got hacked in 8 hours.
Governative servers are rented on the same subnets, due to dumped keys, I think it's very much possible You could query the other DB's, other just than the Healthcare one, aka Police etc, so was not done since when I thought of this i had already sold the access and he requested for no damage or further compromise to be done.
In Italy the Tax is 40% (1-time, or 80% if you count also buying it and reselling it), just imagine going to work 40% of your working day EVERY DAY to pay people salary for 12 Years for them to do NOTHING, do not setup any security, get hacked in 8h, instead of following laws and notifying everyone go out of their way to blackmail the white hat guy.
When even the people in the state start doing unlawful things, You might start to wonder if such state should exist.
From today I surely deem Italy no longer a state but rather a Mafia.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.