POTÆbox: la minaccia hardware che bypassa la cybersecurity

Dall’intervento di Luca Bongiorni, Director del Cybersecurity Lab di ZTE Italia, alla 14ª Cyber Crime Conference (Roma, 6-7 maggio 2026).

Una sfida al SOC, prima ancora che una presentazione

Luca Bongiorni apre il suo intervento con una frase che è insieme titolo e provocazione: «POTÆbox, la minaccia hardware che bypassa la cybersecurity». Il sottotitolo, ammette lui stesso, ha il sapore di un sales pitch, ma è in realtà una sfida lanciata direttamente al pubblico in sala. La proposta è disarmante nella sua semplicità: costruite un pentest dropbox, installatelo nella vostra azienda o nel vostro dipartimento, e cronometrate quanto tempo impiegherà il SOC ad accorgersene. Se la detection arriva, fatemelo sapere.

Bongiorni, Director del Cybersecurity Lab di ZTE Italia e fondatore della community WHID (We Hack In Disguise), porta sul palco vent’anni di ricerca applicata su un tema che la narrazione mainstream tende a trascurare: l’impianto hardware malevolo. Un oggetto fisico, di pochi centimetri, capace di vanificare investimenti milionari in Endpoint Detection and Response, Network Access Control e Security Information and Event Management.

Il caso TechEx: il precedente più recente

Il primo esempio scelto da Bongiorni per inquadrare il fenomeno è di una freschezza sorprendente: 24 marzo 2026. I servizi di controintelligence ucraini rendono pubblica la scoperta di un impianto hardware nascosto dai servizi segreti russi all’interno del telaio di una porta, negli uffici di TechEx, contractor della difesa ucraina specializzato in sistemi counter-drone contro gli Shahed iraniani e i Geran-2 e Geran-3 russi.

Il dispositivo, mostrato nelle foto pubblicate da Kyiv, non è un capolavoro di spycraft sovietico: è una banale board di telecamera IP, modello XM 3MP Network Camera Module Chip IVG-G3H H.265 GK7201V200, acquistabile online per 8,72 euro. Una scheda che si collega via Wi-Fi o Ethernet (la versione installata sul campo era cablata, come si nota dall’immagine del cavo Ethernet) e che viene impiegata per condurre acoustic surveillance sulle conversazioni interne all’azienda.

La scelta operativa della controintelligence ucraina merita attenzione. Una volta scoperto l’impianto, anziché rimuoverlo subito, il personale di TechEx è stato istruito a immettere deliberatamente informazioni false nelle conversazioni captabili dal microfono: un’operazione di deception a costo zero, resa possibile proprio dalla natura passiva del bug hardware.

Una storia che si ripete: dai porti alle banche

La cronologia presentata da Bongiorni dimostra come l’uso offensivo di impianti hardware non sia né nuovo né confinato all’ambito nation-state. Alcuni esempi tra quelli citati:

• NASA / Jet Propulsion Laboratory (2018): un Raspberry Pi collegato abusivamente alla rete del laboratorio di Pasadena permette l’esfiltrazione di 500 MB di dati relativi a missioni. Il Single Board Computer viene rilevato solo dopo mesi.
• Caso Raspberry Pi in our network closet (2019): un’azienda austriaca scopre nel proprio rack un Raspberry Pi collegato alla LAN interna, dotato di chiavette USB Wi-Fi e Bluetooth, occupato a esfiltrare dati verso l’esterno. L’episodio, documentato sul blog di Christian Haschek, è diventato un classico della threat intel hardware-side.
• Porto di Anversa (2011-2013), Operation Ocean’s 13: uno dei casi più studiati nella letteratura sul cybercrime organizzato. Trafficanti olandesi ingaggiano black hat per violare i sistemi informatici dei porti di Anversa e Rotterdam con un obiettivo preciso: tracciare i container, dirottarne il ritiro e sottrarli ai controlli doganali. Dopo una prima fase di compromissione via spear phishing (rilevata e contenuta dalle autorità portuali), gli attaccanti cambiano strategia e passano al canale fisico, introducendo nelle sedi degli operatori portuali power strip modificate, farcite di Single Board Computer, keylogger hardware e connettività cellulare. Il caso, raccontato in dettaglio nell’inchiesta Bloomberg The Mob’s IT Department e in fonti Europol, si chiude con il sequestro di circa una tonnellata di cocaina e una di eroina.
• DarkVishnya (2017-2018): Kaspersky documenta una campagna contro istituti finanziari dell’Europa orientale in cui gli attaccanti accedono fisicamente alle filiali bancarie e collegano direttamente ai segmenti di rete interni dispositivi hardware a basso costo (notebook entry-level, Raspberry Pi, Bash Bunny) per condurre lateral movement e operazioni di exfiltration a scopo di lucro.

A unire questi episodi è un denominatore comune: il vettore d’attacco non arriva dal perimetro esterno, ma viene dall’interno, sotto forma di hardware fisicamente innestato nella rete della vittima.

Pentest Dropbox: vent’anni di evoluzione

Tracciata la cornice operativa, Bongiorni ripercorre l’evoluzione dei pentest dropbox dal lato Red Team e Adversary Simulation.

Tre generazioni, scandite da un crollo verticale dei costi:

• Prima generazione (2006): dispositivi bulky, prezzo medio attorno ai 30 euro per chi sapesse autocostruirseli;
• Seconda generazione (dopo il 2011): form factor più compatto, prezzo tra 40 e 200 euro;
• Terza generazione (dal 2016 in poi): miniaturizzazione spinta, costo sotto i 15 euro per i kit autocostruiti.

In parallelo, il mercato propone soluzioni commerciali. Bongiorni cita PowerPwn, dispositivo lanciato circa quindici anni fa al prezzo di 2.000 dollari: 1,2 GHz ARM CPU, 512 MB di RAM, 2 GB di NAND più 16 GB di SD, Wi-Fi, Bluetooth, modem 3G, due porte Ethernet Gigabit, USB 2.0 host e UART. Specifiche oggi modeste, prezzo all’epoca competitivo. Da qui la battuta del relatore proiettata in slide, diventata celebre: «Ma guarda che il mio falegname con trentamila lire la fa meglio!»

Il commento non è autobiografico: è metaforico. Segna la presa di coscienza, da parte di un tecnico, che con Components Off The Shelf è possibile replicare le funzionalità di un prodotto commerciale risparmiando il 95% del prezzo di listino. Da quella consapevolezza nasce, dopo qualche settimana di R&D, il primo prototipo POTÆbox.

POTÆbox: anatomia di un impianto offensivo

POTÆbox è acronimo di Penetration Over The {Air, Ethernet} box. La versione attuale, sviluppata da Bongiorni nei suoi laboratori e nel proprio tempo libero, è un Single Board Computer personalizzato, camuffato in un involucro che riproduce una comune ciabatta multipresa. Queste le specifiche tecniche presentate in slide:

• CPU ARM quad-core Allwinner (H5 o H6);
• 2 GB di RAM, 8 GB di NAND;
• Due porte Gigabit Ethernet (RTL8363SB);
• Due porte USB 2.0, una USB 2.0 OTG, una USB 3.0 (versione H6);
• Slot mini-PCIe (versione H6);
• Microfono integrato, connettore per camera CSI;
• Modulo 2G/3G con slot SIM, slot per microSD;
• Chipset Wi-Fi Atheros 2,4 / 5 GHz, AR9580 mini-PCIe, AR9344 collegato via USB 2.0;
• Relè controllati via GPIO;
• Modulo opzionale per attacchi wireless (NRF24L01, CC1101).

L’autonomia, garantita da una batteria LiFePO integrata, arriva fino a 24 ore in alcune varianti tascabili. Bongiorni mostra in slide implementazioni alternative: stazioni di ricarica wireless, altoparlanti Bluetooth, adattatori Powerline (con NanoPi NEO e OrangePi R1) e, naturalmente, power strip. Tutti involucri del tutto plausibili in un ambiente di ufficio.

Lo scenario operativo: il bypass del NAC e l’attacco in the middle

Lo scenario più rappresentativo che Bongiorni descrive è il classico bypass del Network Access Control (802.1X) in infrastrutture protette da autenticazione a livello di MAC address. Se un attaccante riesce a introdurre fisicamente un dispositivo nell’ambiente target, ad esempio dietro a una stampante di rete, può collocare la POTÆbox come bridge trasparente tra la stampante stessa e il jack Ethernet a muro.

Da quel momento, il Single Board Computer lavora in the middle: in fase di setup inoltra i pacchetti in modo trasparente, ereditando il MAC address whitelistato della stampante; nei momenti in cui la stampante non comunica con la rete, la POTÆbox sfrutta la sessione disponibile, spoofando l’identità del dispositivo legittimo per condurre operazioni di lateral movement, recon e exfiltration. Il tutto, beninteso, sotto controllo remoto via 4G o 5G: il dispositivo «chiama casa» non appena viene alimentato, e da quel momento risponde al Command and Control del Red Team.

A questa funzione di base si aggiungono, nei form factor più completi, capacità di:

• Acoustic surveillance tramite microfono integrato (lo stesso vettore impiegato a Kiev contro TechEx);
• Wardriving e attacchi wireless sulle bande 2,4 e 5 GHz;
• Attacchi di MouseJacking (vedi sezione successiva);
• Iniezione di pacchetti Wi-Fi in modalità monitor e injection.

L’ingegneria sociale che accompagna il deployment è altrettanto raffinata. Bongiorni racconta di simulazioni passate in cui, nei panni del consulente, individuava un IT guy o un dipendente HR della società target e gli faceva recapitare un pacchetto: una falsa brochure aziendale e un «gadget» (in realtà la POTÆbox camuffata). Una volta accesa, la box chiamava casa. La kill chain tipica di un threat actor fisico.

MouseJacking 101: la minaccia radio che resta in ufficio

Una sezione dell’intervento è dedicata al MouseJacking, vulnerabilità resa pubblica da Bastille Networks nel febbraio 2016. Questa classe di vulnerabilità interessa tastiere, mouse e clicker di presentazione wireless non-Bluetooth basati sui transceiver Nordic Semiconductor nRF24L: dispositivi che trasmettono in chiaro sulla banda ISM dei 2,4 GHz, senza alcuna cifratura del canale tra periferica e dongle USB.

Le conseguenze sono di due ordini:

1. Sniffing passivo: l’attaccante intercetta i pacchetti radio come un keylogger a distanza, leggendo in tempo reale ciò che la vittima sta digitando.
2. Iniezione attiva: l’attaccante impersona la periferica e invia al dongle USB pacchetti propri, eseguendo comandi sul sistema target come se fosse l’utente legittimo a digitare sulla tastiera.

Bongiorni sottolinea la portata pratica del rischio: l’attacco si può condurre fino a oltre 100 metri di distanza, e poche righe iniettate bastano a installare malware, esfiltrare file o avviare una reverse shell. Il vero problema riguarda il turnover: tastiere, mouse e clicker restano negli uffici per anni, senza essere sostituiti. Anche un dispositivo del 2016 ancora in produzione rimane vulnerabile.

Il punto si fa ancora più tagliente se si pensa che lo stesso clicker usato dal relatore per scorrere le slide della conferenza era, in linea teorica, un potenziale vettore. Una sessione di wardriving in un edificio aziendale ha alte probabilità di intercettare almeno un dispositivo ancora vulnerabile in produzione.

In una POTÆbox dotata del modulo NRF24L01 opzionale, la capacità di MouseJacking diventa una funzione built-in, attivabile da remoto su qualsiasi target in linea di vista radio.

Detection: il piano di risposta deve evolvere

La parte conclusiva dell’intervento è dedicata alla detection e all’incident response. Bongiorni richiama il Digital Evidence Life Cycle tradizionale (Identification, Collection, Examination, Analysis, Reporting, Presentation, Archiving) e sottolinea come, di fronte a impianti hardware del tipo descritto, l’analisi forense debba spingersi oltre il livello di rete e arrivare fino al livello fisico: ispezione dei rack, audit delle prese di corrente, bill of materials dei dispositivi periferici, sweep radio nelle frequenze ISM, controllo dei form factor anomali (le famigerate power strip dotate di scheda SIM, le stampanti con un secondo cavo Ethernet «di troppo»).

In altre parole: la minaccia evolve, e la response deve evolvere allo stesso ritmo. Un SOC che monitora soltanto eventi log-based è strutturalmente cieco rispetto a un impianto come POTÆbox; il presidio fisico, il controllo degli accessi ai locali tecnici e la hardware bill of materials tornano a essere componenti irrinunciabili di una strategia di sicurezza credibile.

La sfida resta aperta

Bongiorni chiude rilanciando l’invito iniziale: provate a costruirla, provate a installarla, cronometrate il tempo di rilevamento. Il riferimento per la build è la guida pubblicata su hardwaresecurity.it, raggiungibile anche tramite il QR code mostrato in questa slide:

L’auditorium ringrazia, e l’invito resta sul tavolo. È, nei fatti, lo stesso invito che ICT Security Magazine raccoglie e gira al lettore: in quanti SOC italiani, nelle prossime settimane, qualcuno proverà davvero a misurare il proprio tempo di detection?