Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Israele sotto attacco da Moses Staff: tra hacktivism e possibili sponsorizzazioni.

Davide Santoro : 6 Novembre 2021 20:39

Autore: Davide Santoro

Data Pubblicazione: 06/11/2021


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Moses Staff è un gruppo comparso recentemente che, a differenza dei gruppi di cui siamo abituati a parlare dediti al ransomware ed all’esfiltrazione di dati a scopo estorsivo, sembrerebbe principalmente un gruppo dedito all’attività di hacktivismo, ovvero un gruppo che utilizza le proprie capacità per portare avanti iniziative di rivendicazione politica, sociale, etica ecc…

Il gruppo attualmente utilizza due domini noti (il primo .se ed il secondo .onion), come possiamo vedere da questi due screenshots sembrerebbe che il logo sia stato caricato – in entrambi i domini – a settembre del 2021.

Inoltre, analizzando la versione .onion dalla dicitura /wp-content possiamo dedurre che il sito sia stato fatto utilizzando WordPress, il sito è molto basico e si compone essenzialmente di 3 sezioni:

1) La sezione “Activities” dove troviamo le aziende e società israeliane da cui sono stati esfiltrati dei dati, per ognuna di esse troviamo una pagina dedicata contenente il logo dell’azienda, una breve descrizione del materiale contenuto nell’archivio, un bottone con un link anonfiles.com dove è stato caricato l’archivio (il bottone contiene anche le dimensioni dei singoli archivi) in formato .rar e la password per aprire l’archivio (in alcuni troviamo anche dei samples). Ecco uno screen a titolo esemplificativo:

2) La sezione PGP contenente una breve guida all’utilizzo di un noto tool (gpg4win) di cui viene consigliato l’utilizzo per mettersi in contatto con il gruppo, in questa sezione notiamo subito questo particolare:

Il link destinato al download della loro chiave pubblica PGP non è cliccabile, il che ci spinge ovviamente ad utilizzare l’analisi della pagina per identificare la problematica e questo è ciò che ci troviamo davanti:

Il link è incompleto, è presente l’alberatura dove è stata caricata la chiave pubblica PGP ma manca il link, questo ci spinge a testare l’alberatura utilizzando il link del loro sito e, come potete vedere, il tentativo è andato a buon fine:

Visto il livello della guida(molto elementare e spiegata step by step) sono più propenso a pensare ad una dimenticanza del gruppo piuttosto che ad una volontà di testare le competenze degli utenti

3) La pagina di contatto che funziona nella versione .se mentre nella versione .onion dovrebbe reindirizzare ad una pagina /wp-contentactus mentre in realtà reindirizza alla loro homepage:

Nella sezione contatti viene sostanzialmente proposto un reclutamento per il gruppo “per esporre i crimini dei sionisti” e viene fornita un’email:

Oltre a questo all’interno del sito troviamo il link al loro canale Telegram ed al loro account su Twitter.

Ovviamente non sappiamo la reale provenienza del gruppo ma dal modo di scrivere in inglese, dal suggerimento di gpg4win (molto usato in Iran), dai recenti attacchi informatici subiti dall’Iran e dei quali – neanche troppo velatamente – è stato accusato Israele possiamo ipotizzare che si tratti di un gruppo hacktivism iraniano e, se sia sponsorizzato o meno, dalle unità cyber riconducibili alle Guardie Rivoluzionarie dell’Iran lo scopriremo soltanto con il tempo.

Davide Santoro
Da sempre patito di sicurezza informatica e geopolitica cerca da sempre di unire queste due passioni, ultimamente ho trovato soddisfazione nell’analisi dei gruppi ransomware, si occupa principalmente di crittografia ed è un sostenitore del software libero.

Lista degli articoli

Articoli in evidenza

Il kernel Linux verso il “vibe coding”? Le regole per l’utilizzo degli assistenti AI sono alle porte
Di Redazione RHC - 26/07/2025

Sasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...

Google trasforma il web in una vetrina per l’AI! Un disastro a breve per l’economia digitale
Di Redazione RHC - 26/07/2025

Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...

Gli Exploit SharePoint sono in corso: aziende e enti nel mirino
Di Sandro Sana - 26/07/2025

Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...