Salta al contenuto

Piero Bosio Social Web Site Personale Logo Fediverso

Social Forum federato con il resto del mondo. Non contano le istanze, contano le persone
  • 0 Votazioni
    1 Post
    0 Visualizzazioni
    Si parla di:TogglePer anni Scattered Spider ha costruito la propria reputazione criminale sulla capacità di restare invisibile, nascondendosi dietro VPN, servizi di anonimizzazione e infrastrutture usa e getta. Ora, atti giudiziari appena desecretati mostrano come gli investigatori statunitensi abbiano comunque ricostruito l’identità di un presunto membro del gruppo grazie a un ingrediente inatteso: un identificativo univoco che Windows assegna a ogni installazione e che Microsoft ha fornito all’FBI dietro ordine del tribunale.Chi è Peter Stokes e cosa gli viene contestatoAl centro del caso c’è Peter Stokes, 19 anni, cittadino con doppio passaporto statunitense ed estone, arrestato in aprile in Finlandia mentre tentava di imbarcarsi su un volo diretto in Giappone, con la collaborazione della National Bureau of Investigation finlandese. È stato successivamente estradato negli Stati Uniti e ha affrontato la sua prima udienza davanti a un tribunale federale di Chicago il 30 giugno 2026. I procuratori lo accusano di aver fatto parte di Scattered Spider, il collettivo cybercriminale noto anche con gli alias Octo Tempest, UNC3944 e 0ktapus, e di aver partecipato a molteplici intrusioni informatiche, furti di dati e schemi di estorsione.Secondo l’accusa, le autorità federali attribuiscono al gruppo oltre 100 intrusioni di rete e più di 100 milioni di dollari in pagamenti di riscatto dal 2022 a oggi, con un modus operandi che combina ingegneria sociale, furto di credenziali, SIM swapping e compromissione di ambienti cloud enterprise.GDID: il “device fingerprint” che nessuno può disattivareIl dettaglio tecnico più rilevante della vicenda riguarda il Global Device Identifier (GDID), un identificativo univoco assegnato da Microsoft a ogni installazione di Windows per finalità di telemetria a livello di dispositivo e per l’erogazione di alcuni servizi di piattaforma. Secondo l’affidavit dell’FBI reso pubblico, un account ngrok utilizzato durante una delle intrusioni contestate era stato creato attraverso una VPN — ma Microsoft, dopo aver ricevuto un ordine del tribunale, è stata in grado di associare quell’attività a uno specifico GDID.Da lì, gli investigatori hanno incrociato il GDID con la telemetria storica di Microsoft, individuando ulteriori indirizzi IP riconducibili alla stessa installazione Windows in periodi diversi. Questi indirizzi sono stati poi correlati con i log di accesso ottenuti da Snapchat, Apple, Facebook, con i registri di viaggio e con altre fonti digitali, costruendo — secondo l’accusa — un pattern coerente che collega il dispositivo a Stokes. Microsoft, va precisato, non ha monitorato l’attività in tempo reale: ha fornito telemetria storica e informazioni sul dispositivo solo dopo un iter legale formale, e aveva già inoltrato segnalazioni penali su Stokes come possibile membro di Scattered Spider fin dal 2024.Timeline del caso2024 — Microsoft inoltra alle autorità le prime segnalazioni penali su Stokes come possibile membro di Scattered SpiderMaggio 2025 — intrusione contro un rivenditore statunitense di gioielleria di lusso: l’help desk IT viene manipolato con ingegneria sociale per resettare le credenziali di un dipendenteMaggio 2025 — esfiltrazione di circa 100 GB di dati e richiesta di riscatto da 8 milioni di dollari in criptovaluta; l’azienda rifiuta di pagare ma subisce perdite operative stimate in circa 2 milioni di dollariAprile 2026 — Stokes viene arrestato a Helsinki mentre tenta di imbarcarsi su un volo per il Giappone30 giugno 2026 — prima udienza federale a Chicago dopo l’estradizioneNon solo telemetria: un mosaico di prove digitaliNonostante il dibattito online si sia concentrato quasi esclusivamente sul ruolo di Microsoft, l’affidavit chiarisce che gli investigatori si sono basati su molteplici fonti indipendenti: log dei provider cloud, infrastruttura sequestrata, comunicazioni intercettate e prove digitali raccolte nel corso di un’indagine più ampia. È un promemoria importante per chi si occupa di threat intelligence e incident response: l’attribuzione moderna raramente si basa su un singolo indicatore, ma su una correlazione incrociata tra fonti eterogenee — piattaforma, cloud provider, social network, dati di viaggio — che insieme riducono drasticamente lo spazio delle identità plausibili, anche quando l’attaccante ha fatto ampio uso di VPN e servizi di anonimizzazione.Implicazioni per i difensori e per il settoreIl caso Stokes offre due lezioni parallele. La prima riguarda la resilienza dei processi organizzativi: l’attacco alla gioielleria di lusso è iniziato con un classico vishing/social engineering contro l’help desk IT, lo stesso schema che ha permesso a Scattered Spider di colpire catene alberghiere, compagnie aeree e assicurazioni negli ultimi anni. Rafforzare le procedure di verifica dell’identità per il reset delle credenziali — con callback verification, domande di sicurezza fuori banda o approvazione multi-step — resta la contromisura più efficace e meno costosa contro questo genere di intrusioni.La seconda lezione riguarda l’attribuzione: la vicenda GDID dimostra che le piattaforme cloud e i sistemi operativi moderni generano una quantità di telemetria sufficiente a ricostruire pattern comportamentali anche a distanza di mesi, sollevando al contempo interrogativi legittimi sulla portata e sulla durata di conservazione di questi dati per finalità che vanno ben oltre il semplice funzionamento del prodotto. Per i team SOC, il takeaway operativo è monitorare con attenzione l’uso di strumenti di tunneling come ngrok all’interno del proprio perimetro: la loro presenza, specie se associata ad accessi VPN anomali, resta uno dei segnali più affidabili di attività Scattered Spider in corso.Indicatori e TTP notiGruppo: Scattered Spider (alias Octo Tempest, UNC3944, 0ktapus) Soggetto: Peter Stokes, 19 anni, cittadinanza USA/Estonia Arresto: aprile 2026, Helsinki (Finlandia), tentata fuga verso il Giappone Estradizione/udienza: 30 giugno 2026, tribunale federale di Chicago TTP osservate: - Vishing / social engineering verso help desk IT per reset credenziali - SIM swapping - Furto di token/sessioni cloud (Azure, SaaS enterprise) - Tunneling via ngrok per infrastruttura C2 temporanea - Esfiltrazione dati seguita da estorsione in criptovaluta Caso di riferimento: intrusione maggio 2025 contro rivenditore di gioielleria di lusso USA - ~100 GB di dati esfiltrati - Richiesta riscatto: $8.000.000 in criptovaluta (rifiutata) - Perdite operative stimate: ~$2.000.000 Fonte identificativa chiave: Microsoft Global Device Identifier (GDID) - Fornito all'FBI dietro ordine del tribunale - Correlato con IP storici, login Snapchat/Apple/Facebook, dati di viaggioFonti: CyberScoop, atto d’accusa FBI (U.S. Attorney’s Office, Northern District of Illinois), BreachNews.
  • 0 Votazioni
    1 Post
    0 Visualizzazioni
    Si parla di:ToggleSei pacchetti npm, un nome quasi identico a un progetto scaricato oltre un milione di volte al mese, e in fondo alla catena un impianto capace di aprire sessioni SSH, leggere la clipboard e rovistare tra i wallet crypto della vittima. È l’ultima campagna di supply chain attribuita a gruppi legati alla Corea del Nord, documentata da JFrog Security Research il 30 giugno e ancora attiva nei repository pubblici a inizio luglio. Non è un incidente isolato: è l’ennesima iterazione di una macchina offensiva, quella riconducibile all’ecosistema Lazarus/Contagious Interview, che negli ultimi anni ha trasformato l’npm registry in un vettore di spionaggio e furto di criptovalute su scala industriale.Un travestimento quasi perfettoI ricercatori di JFrog hanno individuato due pacchetti “entry point”, rollup-packages-polyfill-core e rollup-runtime-polyfill-core, costruiti per somigliare in tutto e per tutto al legittimo rollup-plugin-polyfill-node: stesso tipo di README (“A modern Node.js polyfill for your Rollup bundle”), stesso link a repository e homepage puntati al progetto originale su GitHub, persino porzioni di codice del plugin reale copiate all’interno del pacchetto malevolo prima della logica dannosa. Il progetto legittimo conta circa 295.000 download settimanali e oltre 1,2 milioni nell’ultimo mese: un bersaglio ideale per un attacco che punta sulla somiglianza superficiale, non sul typosquatting grossolano.Il dettaglio tecnico più rilevante è che solo l’entry point CommonJS (dist/index.js) contiene la backdoor: le versioni ESM restano pulite, un accorgimento che complica le analisi automatiche basate su un singolo file di ingresso.La catena d’infezione, passo dopo passoAll’importazione del pacchetto, una funzione dal nome innocuo (ValidateSvgModule) decodifica una stringa base64 che nasconde il comando npm install swift-parse-stream --no-save --silent --no-audit --no-fund, eseguito in silenzio tramite child_process.spawn. Il secondo pacchetto, quirky-token, viene installato allo stesso modo dal gemello rollup-runtime-polyfill-core.Questi pacchetti di secondo stadio si presentano come utility di sanitizzazione SVG, e in gran parte lo sono davvero: rimuovono tag <script>, minificano il markup. Ma in coda al file, una funzione getPlugin() effettua una richiesta verso un endpoint su jsonkeeper.com, estrae un campo JSON chiamato model e lo passa direttamente a eval(). Il codice malevolo, quindi, non risiede mai nei file pubblicati sul registry: vive su un servizio di hosting JSON esterno, invisibile a qualunque analisi statica del pacchetto.Il payload recuperato da JSONKeeper effettua per primo un controllo ambientale, uscendo silenziosamente se rileva variabili tipiche di Codespaces, CodeSandbox, Vercel, AWS Lambda, Google Cloud, Azure Functions, Docker, Render o sandbox di analisi — un chiaro tentativo di colpire solo workstation di sviluppatori reali ed evitare l’esposizione in ambienti di test automatizzati. Superato il controllo, installa axios e socket.io-client e scarica da un IP grezzo (216.126.236.244) un blob cifrato in AES-256-CBC (chiave derivata via scryptSync), lo decifra, lo scrive in una directory temporanea come file pack e lo esegue con node pack.Controllo remoto, furto wallet e sorveglianza della clipboardIl modulo pack altro non è che un loader per almeno quattro componenti distinti, ricostruiti da JFrog in ambiente sandbox: scdata.js, un modulo di accesso remoto che installa ssh2, node-pty e librerie di cattura schermo/input, offrendo all’operatore sessioni terminali interattive (PowerShell su Windows, zsh altrove), sessioni SSH, screenshot, movimento del mouse e digitazione simulata tramite @nut-tree-fork/nut-js; ldata.js, dedicato al furto di dati da browser e wallet crypto, che tenta l’esfiltrazione di file come Login Data, Web Data e lo storage delle estensioni di wallet noti (incluso MetaMask, identificato tramite i suoi ID di estensione); un file collector che scandaglia il filesystem alla ricerca di chiavi SSH, file .env, cronologia di editor come VS Code, Cursor e Windsurf, e directory di configurazione di strumenti AI (.claude, .gemini, .cursor); infine un modulo di monitoraggio della clipboard, che invia ogni nuovo contenuto copiato — password, seed phrase, token — a un endpoint dedicato.La combinazione di queste capacità va ben oltre il semplice furto di credenziali una tantum: garantisce all’attaccante un accesso interattivo e persistente alla macchina compromessa, tipico degli impianti usati da attori state-sponsored per operazioni di raccolta informativa prolungata, non solo per il cash-out rapido tipico del cybercrime finanziario puro.Il contesto: non è la prima voltaQuesta campagna si inserisce in un pattern già documentato. Ad aprile 2026 la società Panther aveva descritto una campagna sostenuta con 108 pacchetti npm malevoli distribuiti in 261 versioni, veicolo dei malware BeaverTail e OtterCookie, entrambi associati al cluster Contagious Interview — l’insieme di operazioni nordcoreane che si finge selezione del personale per convincere sviluppatori a clonare repository infetti come parte di un finto colloquio tecnico. Nello stesso periodo, Google aveva collegato attori nordcoreani anche a un dirottamento di un progetto open source molto diffuso, portato a termine dopo settimane di lavoro di ingegneria sociale ai danni del maintainer. Il filo conduttore è sempre lo stesso: colpire la fiducia implicita che sviluppatori e pipeline CI/CD ripongono nelle dipendenze open source.Due righe per i difensoriPer i team di sicurezza e gli sviluppatori, la lezione operativa è chiara: la somiglianza del nome non è un indicatore affidabile di legittimità, e i controlli automatici basati su pattern di typosquotting classico (distanza di edit, caratteri sostituiti) non intercettano questo tipo di masquerading semantico. Chi ha installato uno dei pacchetti elencati dovrebbe considerare la macchina compromessa, ruotare tutte le credenziali (npm, GitHub, cloud, SSH, wallet) e verificare la presenza di processi o file residui nelle directory temporanee. Vale la pena ricordare che gran parte della logica dannosa non è mai stata pubblicata sul registry npm: bloccare gli indicatori di rete elencati sotto è quindi essenziale quanto rimuovere i pacchetti stessi.Indicatori di compromissionePacchetti npm malevoli: rollup-packages-polyfill-core rollup-runtime-polyfill-core swift-parse-stream quirky-token react-icon-svgs rollup-plugin-polyfill-connect Indicatori di rete: hxxps[:]//www[.]jsonkeeper[.]com/b/3P9BF hxxp[:]//216[.]126[.]236[.]244/api/service/98cb54c0b4ac259d30c9c1ca1ae87c68 hxxp[:]//216[.]126[.]236[.]244/api/service/makelog hxxp[:]//216[.]126[.]236[.]244/api/service/process/ hxxp[:]//216[.]126[.]236[.]244:4801 hxxp[:]//216[.]126[.]236[.]244:4806/upload hxxp[:]//216[.]126[.]236[.]244:4809/upload hxxp[:]//216[.]126[.]236[.]244:4809/cldbs Indicatori host: /pack /scdata /ldata vhost.ctl Comandi/comportamenti sospetti: npm install swift-parse-stream --no-save --silent --no-audit --no-fund npm install quirky-token --no-save --silent --no-audit --no-fund node pack node scdata node ldata
  • 0 Votazioni
    1 Post
    24 Visualizzazioni
    UNC4899 colpisce ancora: milioni di dollari di crypto sottratti con ingegneria sociale📌 Link all'articolo : https://www.redhotcyber.com/post/unc4899-colpisce-ancora-milioni-di-dollari-di-crypto-sottratti-con-ingegneria-sociale/#redhotcyber #news #cybersecurity #hacking #malware #criptovalute #ingegneriasociale #sicurezzainformatica
  • 0 Votazioni
    1 Post
    20 Visualizzazioni
    Figli criminali: Arrestato per il furto di 46 milioni di dollari il figlio di un CEO USA📌 Link all'articolo : https://www.redhotcyber.com/post/figli-criminali-arrestato-per-il-furto-di-46-milioni-di-dollari-il-figlio-di-un-ceo-usa/#redhotcyber #news #furtoDicriptovalute #arrestoperfurto #criptovalute #USMarshalsService #FBI
  • 0 Votazioni
    1 Post
    31 Visualizzazioni
    400 milioni confiscati a Helix: punizione esemplare o ultimo atto?📌 Link all'articolo : https://www.redhotcyber.com/post/400-milioni-confiscati-a-helix-punizione-esemplare-o-ultimo-atto/#redhotcyber #news #criptovalute #riciclaggio #giustizia #statiuniti #cryptonews #mixercrypto #riciclaggiodenaro
  • 0 Votazioni
    1 Post
    28 Visualizzazioni
    154 miliardi di dollari sporchi in crypto: gli Stati ora usano l’infrastruttura criminale📌 Link all'articolo : https://www.redhotcyber.com/post/154-miliardi-di-dollari-sporchi-in-crypto-gli-stati-ora-usano-linfrastruttura-criminale/#redhotcyber #news #criptovalute #mercatocrypto #attivitailegali #sanzionicrypto #restrizioniblockchain
  • 0 Votazioni
    1 Post
    26 Visualizzazioni
    KMSAuto: il falso attivatore Windows usato per rubare criptovalute📌 Link all'articolo : https://www.redhotcyber.com/post/kmsauto-il-falso-attivatore-windows-usato-per-rubare-criptovalute/#redhotcyber #news #cybersecurity #hacking #malware #ransomware #criptovalute #furtoinformatico #estradizione
  • 0 Votazioni
    1 Post
    26 Visualizzazioni
    2025, l’anno nero delle criptovalute: la Corea del Nord ruba 2 miliardi di dollari📌 Link all'articolo : https://www.redhotcyber.com/post/2025-lanno-nero-delle-criptovalute-la-corea-del-nord-ruba-2-miliardi-di-dollari/#redhotcyber #news #cybersecurity #hacking #criptovalute #nordcorea #attacchinformatici #malware
  • 0 Votazioni
    1 Post
    24 Visualizzazioni
    Smantellato Cryptomixer, il servizio di mixing che aiutava i criminali a riciclare Bitcoin📌 Link all'articolo : https://www.redhotcyber.com/post/smantellato-cryptomixer-il-servizio-di-mixing-che-aiutava-i-criminali-a-riciclare-bitcoin/#redhotcyber #news #criptovalute #cryptomixer #mixingdicriptovalute #cybersecurity #hacking #servizisegreti
  • 0 Votazioni
    1 Post
    32 Visualizzazioni
    Il patrimonio di Satoshi Nakamoto diminuisce del 34% con il crollo delle criptovalute📌 Link all'articolo : https://www.redhotcyber.com/post/il-patrimonio-di-satoshi-nakamoto-diminuisce-del-34-con-il-crollo-delle-criptovalute/#redhotcyber #news #bitcoin #satoshinakamoto #criptovalute #mercato #finanza #economia #patrimonio #richiesta #criptomonete #investimenti #blockchain #cryptocurrency
  • 0 Votazioni
    1 Post
    26 Visualizzazioni
    Trump, Hong Kong e la corsa globale a regolamentare le criptovalute📌 Link all'articolo : https://www.redhotcyber.com/post/trump-hong-kong-e-la-corsa-globale-a-regolamentare-le-criptovalute/#redhotcyber #news #criptovalute #bitcoin #trump #riservastrategica #geniusact #regolamentazione #hongkong #settorefinanziario #economia #trilionididollari #cryptocurrency #blockchain