Sicurezza Informatica
Meta emette un rapporto sulle minacce di influenza AI-Driven
Tempo di lettura: 4 minuti. Meta: rapporto sulle minacce di influenza del primo trimestre 2024 evidenzia reti di comportamento AI-Driven e aggiorna Doppelganger
![Meta logo](https://www.matricedigitale.it/wp-content/uploads/2024/01/image-109.jpg)
Nel primo trimestre del 2024, il rapporto sulle minacce redatto da Meta ha rivelato nuove operazioni di influenza da sei paesi: Bangladesh, Cina, Croazia, Iran, Israele e una rete di origine sconosciuta che ha preso di mira Moldavia e Madagascar. Inoltre, il rapporto include aggiornamenti sull’operazione russa di lunga data, nota come Doppelganger, e le tendenze chiave emerse dalle nostre ricerche sulle minacce globali.
Meta: Cracked Down on AI-Driven Propaganda Campaigns
Meta ha recentemente intensificato gli sforzi per contrastare campagne di propaganda sui propri piattaforme, comprese quelle che utilizzano l’intelligenza artificiale (AI) per influenzare il discorso politico e creare l’illusione di un ampio supporto per determinati punti di vista. Secondo il rapporto trimestrale sulle minacce pubblicato oggi, alcune campagne hanno promosso narrazioni politiche su eventi attuali, tra cui campagne provenienti da Israele e Iran che pubblicavano a favore del governo israeliano.
Propaganda Globale Attraverso Fake Accounts
![](https://www.matricedigitale.it/wp-content/uploads/2024/05/image-280-2.jpg)
Le reti di propaganda hanno utilizzato account su Facebook e Instagram per cercare di influenzare le agende politiche in tutto il mondo. Queste campagne, alcune delle quali sono originarie del Bangladesh, della Cina e della Croazia, hanno utilizzato account falsi per pubblicare a sostegno di movimenti politici, promuovere falsi organi di informazione o commentare i post delle organizzazioni di notizie legittime.
Le campagne di influenza sono regolarmente scoperte sulle piattaforme di social media. A maggio, TikTok ha dichiarato di aver scoperto e interrotto una dozzina di tali reti sulla propria piattaforma, inclusa una tracciata in Cina. Meta, con il suo ultimo rapporto, dimostra un impegno costante nel contrastare le campagne di propaganda, utilizzando strumenti avanzati di rilevamento per mantenere un ambiente digitale sicuro e autentico per gli utenti. Dal 2016, le nostre indagini sulle reti di comportamento coordinato inautentico (CIB) si sono ampliate per rispondere a una gamma più ampia di comportamenti avversari. Questi rapporti trimestrali forniscono una visione completa dei rischi che affrontiamo, condividendo tendenze e indagini significative per aiutare la comunità a comprendere le minacce in evoluzione. I nostri sforzi includono la pubblicazione di indicatori di minaccia per contribuire alla sicurezza globale.
Insight Principali
- Tattiche AI-Driven: Non sono state osservate nuove tattiche guidate dall’AI che ostacolino la nostra capacità di interrompere le reti avversarie. Abbiamo rilevato l’uso di foto generate da reti generative avversarie (GAN), video di notiziari generati dall’AI e testo generato. Tuttavia, queste tattiche non hanno influito significativamente sulla nostra capacità di rilevare le reti inautentiche.
- Operazione Doppelganger: Questa operazione russa mira principalmente a indebolire il supporto internazionale per l’Ucraina. Malgrado l’alta rilevabilità e la perdita quotidiana di asset, l’operazione persiste con tattiche come il blocco di domini imitanti e l’uso di proxy per anonimizzare le attività.
- Minacce Domestiche nell’UE: La maggior parte dei comportamenti inautentici focalizzati sull’UE sono di natura domestica, legati a elezioni locali piuttosto che alle elezioni parlamentari europee. Questi includono attività CIB in Croazia e piccoli cluster in Francia, Germania, Polonia e Italia.
Rete del Bangladesh
Abbiamo rimosso 50 account Facebook e 98 pagine per violazione delle nostre politiche contro il CIB. La rete, originata in Bangladesh, ha usato account falsi per gestire pagine che pubblicavano contenuti contro il Bangladesh Nationalist Party (BNP) e favorevoli al governo in carica. Le indagini hanno rivelato legami con il partito Awami League e il Center for Research and Information.
Rete della Cina
Abbiamo rimosso 37 account Facebook, 13 pagine, cinque gruppi e nove account Instagram. La rete cinese ha preso di mira la comunità Sikh globale, creando account falsi e generando contenuti pro-Sikh per promuovere il movimento indipendentista Khalistan. Gli account utilizzavano foto manipolate o generate dall’AI.
Rete della Croazia
Abbiamo rimosso 104 account Facebook, 39 pagine e sette account Instagram. Questa rete croata ha utilizzato account falsi per supportare il partito Unione Democratica Croata (HDZ) e criticare le figure dell’opposizione. Gli account falsi sono stati utilizzati per creare interazioni inautentiche e amplificare il supporto per l’HDZ.
Rete dell’Iran
Abbiamo rimosso 22 account Facebook, otto pagine, otto gruppi e 23 account Instagram. Questa rete iraniana ha utilizzato account falsi per creare persone fittizie che pubblicavano contenuti pro-Netanyahu e critiche a Hamas. Gli account utilizzavano un’opsec relativamente consistente per nascondere la loro origine.
Rete di Israele
Abbiamo rimosso 510 account Facebook, 11 pagine, un gruppo e 32 account Instagram. La rete israeliana ha preso di mira principalmente gli Stati Uniti e il Canada, utilizzando account falsi e compromessi per pubblicare contenuti pro-Israele e anti-Hamas. La campagna ha acquistato engagement inautentico per sembrare più popolare.
Rete di origine Sconosciuta
Abbiamo rimosso 1.326 account Facebook, 80 pagine, un gruppo e un account Instagram. La rete ha preso di mira la Moldavia e il Madagascar, utilizzando account compromessi per promuovere politici locali e criticare i governi in carica. Le attività includevano l’uso di proxy per anonimizzare l’origine delle operazioni.
Update su Doppelganger
![](https://www.matricedigitale.it/wp-content/uploads/2024/05/image-280-3.jpg)
L’operazione continua a essere persistente, con frequenti tentativi di adattarsi per evadere la rilevazione. Nonostante la rilevazione aggressiva, l’operazione ha degradato la qualità complessiva delle sue attività, utilizzando tattiche di obfuscation del testo per evitare la rilevazione.
Raccomandazioni per una risposta più forte dell’industria
La collaborazione tra aziende tecnologiche, registratori di domini, fornitori di hosting e governi è essenziale per contrastare efficacemente le operazioni di influenza persistente. La condivisione delle informazioni può aiutare a interrompere le attività maligne e aumentare le difese contro minacce come Doppelganger. Leggi il report
Sicurezza Informatica
Europol, dopo la crittografia, accusa l’home routing
Tempo di lettura: 2 minuti. Europol contesta le tecnologie di home routing nazionale per gli SMS, sostenendo che ostacolano le indagini criminali.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/aldebaran33_Europol_dopo_la_crittografia_accusa_lhome_routing_a98f3d0e-35b2-4e55-a0ce-29a713d6dca0_0.jpg)
Europol ha recentemente pubblicato un documento esprimendo preoccupazioni riguardo a una tecnologia che, secondo l’agenzia, ostacola le indagini criminali. Questa volta, il bersaglio non è la crittografia end-to-end, ma il “home routing” degli SMS. Questa tecnologia permette ai fornitori di servizi di telecomunicazione di continuare a offrire i loro servizi quando i clienti visitano un altro paese, ma sta creando problemi significativi per le forze dell’ordine.
Problemi di Home Routing
La tecnologia di home routing fa sì che le comunicazioni mobili di un utente in roaming vengano elaborate attraverso la loro rete domestica. Ad esempio, se un cittadino britannico commette un crimine in Germania, la polizia tedesca non può richiedere dati non criptati come farebbe con un operatore domestico come Deutsche Telekom. Questo processo implica l’uso di crittografia a livello di servizio, rendendo difficile per le forze dell’ordine accedere ai dati in modo utile.
Europol ha evidenziato che, con la crittografia a livello di servizio, l’attrezzatura dell’abbonato scambia chiavi di crittografia basate su sessioni con il fornitore di servizi nella rete domestica. Se è abilitata la tecnologia di protezione della privacy (PET), la rete visitata non ha accesso alle chiavi usate dalla rete domestica e quindi non può recuperare i dati in chiaro.
Soluzioni proposte
Per affrontare questo problema, Europol ha suggerito due possibili soluzioni. La prima opzione, preferita dall’agenzia, è vietare legalmente le PET nel home routing, mantenendo lo stesso livello di crittografia delle comunicazioni che il sospetto avrebbe nel suo paese d’origine. Questa soluzione è considerata tecnicamente fattibile e facilmente implementabile, mantenendo l’attuale livello di sicurezza e privacy per utenti locali e in roaming.
La seconda opzione, meno preferita, prevede che uno Stato membro dell’UE possa richiedere le comunicazioni da un altro paese. Tuttavia, questa soluzione presenta diversi svantaggi, tra cui la mancanza di un metodo stabilito per condividere e interpretare i dati richiesti dalle autorità di polizia, e il rischio che gli sforzi delle forze dell’ordine dipendano dai fornitori di servizi stranieri.
Prossimi passi
Europol sottolinea l’urgenza di trovare una soluzione che consenta alle autorità di intercettare legalmente le comunicazioni dei sospetti nel loro territorio, senza compromettere in modo sproporzionato le comunicazioni sicure. L’agenzia invita a un dibattito su questo problema tecnico, che attualmente ostacola gravemente la capacità delle forze dell’ordine di accedere a prove cruciali.
Il documento di posizione di Europol mira a sensibilizzare sul problema del home routing e sulla necessità di una soluzione che equilibri le esigenze di sicurezza pubblica con la privacy delle comunicazioni. Il dibattito proposto dovrebbe considerare aspetti operativi, tecnici, di privacy e politici per trovare un compromesso efficace.
Sicurezza Informatica
Contenuti antisemiti online: Polizia Postale e Europol in Azione
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/aldebaran33_Operazione_Europea_Contro_i_Contenuti_Antisemiti__0306f409-122c-4518-8928-99a7f0666aa9_0.jpg)
La Polizia Postale italiana e Europol hanno recentemente collaborato in un’operazione su scala europea per combattere i contenuti antisemiti online. Questa iniziativa, denominata “Referral Action Day Against Antisemitism”, ha coinvolto le forze dell’ordine di 18 Paesi e ha portato alla rimozione di quasi 2.000 contenuti illegali.
Operazione della Polizia Postale Italiana
I poliziotti del Servizio Polizia Postale e per la Sicurezza Cibernetica hanno partecipato attivamente all’operazione coordinata da Europol, mirata alla rimozione di contenuti negazionisti e suprematisti. Gli investigatori hanno identificato e segnalato circa 2.000 contenuti illeciti. Tra questi, circa 160 indirizzi web di account presenti sui social e app di messaggistica sono stati inseriti in Perci, la piattaforma dell’Unione Europea per la lotta ai contenuti illegali online, dagli esperti della Sezione Cyberterrorismo della Polizia Postale.
I contenuti presi di mira includevano la negazione dell’Olocausto e la glorificazione della violenza contro la comunità ebraica. L’operazione è nata dal notevole incremento di contenuti eversivi, dovuto anche agli eventi del 7 ottobre, quando i terroristi di Hamas uccisero oltre 300 persone a un festival musicale nel sud di Israele, e all’attuale contesto geopolitico internazionale. Questi contenuti erano spesso diffusi anche all’interno di piattaforme di comunicazioni online riservate, animate da utenti legati da ideologie estremiste, perfino jihadiste.
Operazione di Europol
Europol ha concluso con successo la giornata di azione di riferimento mirata all’identificazione e alla lotta contro i contenuti antisemiti online. Questa operazione coordinata, guidata dalle autorità della Svizzera e del Regno Unito, ha avuto luogo il 27 giugno 2024 e ha coinvolto agenzie di polizia di 18 Paesi, lavorando in tandem con l’Unità di Riferimento su Internet dell’Unione Europea (EU IRU) e i principali fornitori di servizi online.
La giornata di azione ha preso di mira una vasta gamma di contenuti antisemiti, tra cui discorsi di odio, negazione dell’Olocausto e glorificazione della violenza contro la comunità ebraica. L’obiettivo principale era rimuovere contenuti illegali e garantire che le piattaforme online rispettino le normative europee in materia di discorsi di odio e discriminazione. In totale, quasi 2.000 contenuti antisemiti sono stati identificati e segnalati da Europol e dai Paesi partecipanti ai fornitori di servizi online per la rimozione.
La giornata di azione nasce dall’aumento dell’antisemitismo diffuso e coltivato nelle sfere jihadiste e nei gruppi estremisti di destra e di sinistra online. Questo contenuto antisemita è diffuso anche da individui non affiliati su varie piattaforme online. L’impennata dei discorsi di odio è stata scatenata dall’attacco del 7 ottobre da parte dell’organizzazione terroristica Hamas contro Israele e dalla successiva risposta militare israeliana.
Paesi Coinvolti
Le unità nazionali di riferimento su Internet e le unità di polizia specializzate dei seguenti Paesi hanno partecipato a questa giornata di azione: Albania, Austria, Bosnia-Erzegovina, Danimarca, Francia, Germania, Ungheria, Irlanda, Italia, Lituania, Malta, Portogallo, Romania, Spagna, Svezia, Svizzera, Ucraina e Regno Unito.
L’operazione congiunta tra la Polizia Postale italiana e Europol ha rappresentato un passo significativo nella lotta contro i contenuti antisemiti online. La collaborazione tra le forze dell’ordine di diversi Paesi e le principali piattaforme online è cruciale per contrastare la diffusione di discorsi di odio e garantire un ambiente online sicuro e rispettoso.
Sicurezza Informatica
GootLoader: analisi delle attività crescenti del Malware
Tempo di lettura: 3 minuti. Aumento delle attività del malware GootLoader e le sue tecniche di infezione. Analisi delle minacce e raccomandazioni pratiche da Cybereason Security Services.
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/gootloader.jpg)
Cybereason Security Services ha emesso un rapporto di analisi delle minacce per informare sulle minacce emergenti e fornire raccomandazioni pratiche per proteggersi da esse e nello specifico sta indagando su sull’aumento delle attività del malware GootLoader.
Punti Chiave
- Non fermarmi ora: GootLoader rimane attivamente utilizzato e sviluppato da attori malintenzionati, senza perdere popolarità.
- GootLoader evoluto: Gli aggiornamenti al payload di GootLoader hanno portato a diverse versioni, con GootLoader 3 attualmente in uso.
- Se non è rotto, non aggiustarlo: Sebbene alcuni dettagli dei payload di GootLoader siano cambiati nel tempo, le strategie di infezione e la funzionalità complessiva rimangono simili a quelle del 2020.
GootLoader è un malware loader noto per abusare di JavaScript per scaricare malware o strumenti di post-sfruttamento e persistere all’interno della macchina infetta. GootLoader fa parte della famiglia di malware GootKit, un trojan bancario scritto in NodeJS attivo dal 2014. Gli attori dietro GootKit, tracciati come UNC2565, hanno iniziato a consegnare GootLoader invece del trojan bancario GootKit.
UNC2565
UNC2565, l’attore di minacce legato a GootLoader, utilizza GootLoader per distribuire vari malware di post-sfruttamento. In passato, il gruppo ha distribuito Cobalt Strike attraverso siti SEO manipolati per ottenere accessi non autorizzati. Una volta entrati, hanno eseguito attività di ricognizione e furto di credenziali, utilizzando tecniche come Kerberoast e BloodHound.
Tecnica di infezione
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-53.png)
GootLoader utilizza il SEO poisoning per l’infezione iniziale, distribuendo il suo payload JavaScript dannoso tramite file che spesso si mascherano da documenti legali. UNC2565 impiega GootLoader per distribuire malware come BlueCrab Ransomware, Cobalt Strike, GootKit, IcedID, Kronos, REvil Ransomware e SystemBC.
Analisi Tecnica
Panoramica
La catena di infezione di GootLoader è semplice: siti compromessi ospitano archivi che contengono il payload JavaScript di GootLoader con nomi che attirano gli utenti aziendali in cerca di modelli o documenti legali. Una volta eseguito, si stabilisce la persistenza, viene eseguito il payload di seconda fase e il payload di terza fase viene eseguito da PowerShell per raccogliere informazioni di sistema e gestire la comunicazione C2.
Infezione Iniziale
![](https://www.matricedigitale.it/wp-content/uploads/2024/07/image-54.png)
L’infezione iniziale avviene quando un utente scarica un archivio da un sito compromesso ed esegue il file JavaScript contenuto, che è il primo stadio del payload GootLoader. I siti che ospitano questi file di archivio sfruttano tecniche di SEO poisoning per attirare le vittime che cercano file aziendali come modelli di contratti o documenti legali.
Esecuzione
L’esecuzione del payload di primo stadio avviene tramite il processo Windows Script Host (wscript), dove il malware rilascia il payload di seconda fase (anch’esso un grande file JavaScript offuscato) su disco e registra un’attività pianificata per eseguirlo.
Persistenza
La persistenza viene stabilita tramite un’attività pianificata creata dal payload di primo stadio di GootLoader, con un nome di attività costituito da parole inglesi casuali hard-coded nel payload. L’attività contiene i parametri per eseguire il payload di seconda fase di GootLoader.
Raccolta
La raccolta dei dati della macchina infetta viene eseguita dal payload di terza fase di GootLoader tramite PowerShell. Ciò include la raccolta di dati specifici della macchina come la versione del sistema operativo, i processi in esecuzione, l’uso del disco e le variabili di ambiente.
- Smartphone1 settimana fa
Aggiornamenti e novità per i Galaxy A54, A05s, Watch 6 e S24
- Smartphone1 settimana fa
Samsung One UI 7.0 e One UI 6.1: novità e miglioramenti
- Smartphone1 settimana fa
Samsung Galaxy S25 Ultra: design nuovo e specifiche potenti
- Smartphone1 settimana fa
Novità SmartTag 2 e per il Galaxy S25 Ultra
- Economia1 settimana fa
DnF Mobile sbanca la Cina: 100 Milioni di Dollari in 10 Giorni
- Smartphone1 settimana fa
Aggiornamenti Software per Galaxy A53, A55 e specifiche del nuovo A06
- Smartphone1 settimana fa
Ultime dal Galaxy Z Flip 6 e Fold 6, ma la novità sono i sensori ISOCELL e l’S25
- Economia1 settimana fa
Julian Assange riceve una donazione di 500K in Bitcoin da un Anonimo