Μια νέα, εξαιρετικά σύνθετη επίθεση supply chain που δρα εδώ και ένα χρόνο έχει εντοπιστεί από ερευνητές ασφαλείας. Οι επιτιθέμενοι χρησιμοποιούν κακόβουλες τροποποιήσεις σε ανοιχτό κώδικα λογισμικό από GitHub και NPM, στοχεύοντας τόσο σε κακόβουλους όσο και σε καλοπροαίρετους ερευνητές ασφαλείας για να κλέψουν ευαίσθητα διαπιστευτήρια.

Η εκστρατεία, που αναφέρθηκε πρώτα από την Checkmarx και πρόσφατα από τα Datadog Security Labs, περιλαμβάνει πολλαπλές μεθόδους επίθεσης. Οι επιτιθέμενοι χρησιμοποιούν πακέτα που ήταν διαθέσιμα για περισσότερο από ένα χρόνο και περιέχουν καλοσχεδιασμένα backdoors, ενώ παράλληλα χρησιμοποιούν στοχευμένο spear phishing για να εξαπατήσουν χιλιάδες ερευνητές που δημοσιεύουν στο arXiv.

Η εκστρατεία αποδίδεται σε μια ομάδα που οι ερευνητές της Datadog αποκαλούν MUT-1244 (Mysterious Unattributed Threat). Ένα από τα κύρια εργαλεία της ομάδας είναι το πακέτο @0xengine/xmlrpc, το οποίο ξεκίνησε ως ένα αθώο εργαλείο για το πρωτόκολλο XML-RPC αλλά εξελίχθηκε σε κακόβουλο λογισμικό μέσω 16 στρατηγικών ενημερώσεων σε διάστημα ενός έτους.

Το @0xengine/xmlrpc επιτυγχάνει μόνιμη παραμονή στις συσκευές και κάθε 12 ώρες συλλέγει δεδομένα, όπως:

• Κλειδιά SSH και ρυθμίσεις.
• Ιστορικό εντολών.
• Περιβάλλοντα συστήματος και διευθύνσεις IP.
• Διαπιστευτήρια από WordPress και άλλες πλατφόρμες.

Τα δεδομένα μεταφορτώνονται σε λογαριασμούς στο Dropbox ή σε άλλες υπηρεσίες cloud, ενώ το κακόβουλο λογισμικό εγκαθιστά επίσης λογισμικό εξόρυξης κρυπτονομισμάτων.

Εκτός από τα Trojanized πακέτα, οι επιτιθέμενοι χρησιμοποιούν τουλάχιστον 49 κακόβουλα proof-of-concept exploits και spear phishing emails. Τα emails στοχεύουν ερευνητές, πείθοντάς τους να εγκαταστήσουν υποτιθέμενες ενημερώσεις microcode για βελτίωση της απόδοσης. Επιπλέον, τα κακόβουλα πακέτα ενσωματώνονται σε νόμιμες πηγές όπως το Feedly Threat Intelligence, ενισχύοντας την αξιοπιστία τους.

Παρά την πολυπλοκότητα της εκστρατείας, τα κίνητρα της ομάδας παραμένουν ασαφή. Ενώ η εξόρυξη κρυπτονομισμάτων φαίνεται να αποτελεί στόχο, η στόχευση ερευνητών ασφαλείας δεν ταιριάζει με τις τυπικές πρακτικές τέτοιων επιθέσεων. Παράλληλα, η συλλογή διαπιστευτηρίων WordPress υποδηλώνει πιθανές επιθέσεις σε ιστότοπους.

Η εκστρατεία της MUT-1244 καταδεικνύει τον κίνδυνο που ενέχει η ανοιχτή φύση του λογισμικού. Οι χρήστες πρέπει να είναι εξαιρετικά προσεκτικοί με τα πακέτα που χρησιμοποιούν, ειδικά αν προέρχονται από μη επαληθευμένες πηγές. Οι ερευνητές προτείνουν εργαλεία για την ανίχνευση της παρουσίας του MUT-1244 και την απομάκρυνση του κακόβουλου λογισμικού.

Η ασφάλεια στον ανοιχτό κώδικα παραμένει κρίσιμη, και η εκστρατεία αυτή υπενθυμίζει τη σημασία της αυστηρής επαλήθευσης και της συνεργασίας για την προστασία της κοινότητας από τέτοιες επιθέσεις.

Μια πρόσφατη έκθεση της Positive Technologies αποκάλυψε την ευπάθεια DaMAgeCard, η οποία επιτρέπει σε επιτιθέμενους να εκμεταλλευτούν κάρτες μνήμης SD Express για άμεση πρόσβαση στη μνήμη του συστήματος. Η ευπάθεια αυτή βασίζεται στη λειτουργία Direct Memory Access (DMA), που εισήχθη στις SD Express για την επιτάχυνση της μεταφοράς δεδομένων, αλλά ταυτόχρονα αφήνει συσκευές ευάλωτες σε επιθέσεις. Ερευνητές απέδειξαν πως τροποποιημένες κάρτες SD Express μπορούν να παρακάμψουν προστασίες, όπως το IOMMU, και να θέσουν σε κίνδυνο κονσόλες παιχνιδιών, φορητούς υπολογιστές και άλλες συσκευές υψηλής ταχύτητας.

Η Positive Technologies εντόπισε το πρόβλημα κατά την εξέταση του προτύπου SD Express, το οποίο συνδυάζει τις παραδοσιακές τεχνολογίες SD με τα PCIe και NVMe για ταχύτητες μεταφοράς έως 985 MB/s. Παρότι το SD Express προσφέρει εξαιρετική απόδοση, οι ερευνητές ανακάλυψαν κενά ασφαλείας στη διαχείριση της λειτουργίας DMA. Αυτά τα κενά επιτρέπουν την άμεση πρόσβαση στη μνήμη του συστήματος μέσω τροποποιημένων καρτών.

Με τη χρήση ειδικά προσαρμοσμένου εξοπλισμού, η Positive Technologies έδειξε ότι συστήματα όπως τα gaming laptops της MSI και οι φορητές κονσόλες AYANEO Air Plus είναι ευάλωτα, καθώς δεν διαθέτουν επαρκείς μηχανισμούς προστασίας κατά τη μετάβαση μεταξύ των λειτουργιών SDIO (παραδοσιακό πρωτόκολλο SD) και PCIe.

Οι συσκευές που υποστηρίζουν το SD Express περιλαμβάνουν φορητούς υπολογιστές, κονσόλες παιχνιδιών και συσκευές πολυμέσων υψηλής ταχύτητας. Τα κυριότερα προβλήματα εντοπίζονται σε συστήματα που:

• Δεν ενεργοποιούν το IOMMU, επιτρέποντας την ανεξέλεγκτη πρόσβαση στη μνήμη.
• Υποστηρίζουν τροποποιημένες κάρτες SD Express που εκμεταλλεύονται το PCIe NVMe για μη εξουσιοδοτημένη πρόσβαση.

Οι επιθέσεις αυτές είναι ιδιαίτερα επικίνδυνες σε φορητούς υπολογιστές, εξωτερικούς αναγνώστες καρτών και συσκευές όπως φωτογραφικές μηχανές ή κάμερες που βασίζονται στο SD Express για υψηλές ταχύτητες μεταφοράς.

Η Positive Technologies συνιστά τα εξής για την αντιμετώπιση της ευπάθειας DaMAgeCard:

• Ενεργοποίηση του IOMMU σε όλες τις συσκευές που υποστηρίζουν PCIe.
• Περιορισμός της πρόσβασης DMA σε αξιόπιστες συσκευές μόνο.
• Ενημέρωση του firmware για ασφαλή μετάβαση μεταξύ λειτουργιών SDIO και PCIe.
• Απενεργοποίηση του hotplugging αν δεν είναι απαραίτητο.
• Αποφυγή χρήσης άγνωστων καρτών SD ή αναγνωστών σε ευαίσθητα συστήματα.
• Τακτικός έλεγχος για τυχόν αλλοιώσεις στις συσκευές.

Η ευπάθεια DaMAgeCard υπογραμμίζει την ανάγκη για ισορροπία μεταξύ απόδοσης και ασφάλειας στα σύγχρονα πρότυπα περιφερειακών, όπως το SD Express. Καθώς η υιοθέτηση του SD Express αυξάνεται, οι κατασκευαστές συσκευών οφείλουν να εφαρμόσουν πιο ανθεκτικούς μηχανισμούς ασφαλείας. Μέχρι τότε, οι χρήστες καλούνται να είναι προσεκτικοί, ενημερώνοντας τα συστήματά τους και αποφεύγοντας την έκθεση σε μη επαληθευμένες συσκευές.

Η γνωστή ομάδα κυβερνοκατασκοπείας Turla (γνωστή και ως Secret Blizzard), που συνδέεται με τη ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB), έχει υιοθετήσει μια νέα τακτική: χακάρει άλλους χάκερς για να χρησιμοποιήσει τις υποδομές τους σε δικές της επιθέσεις. Πρόσφατα, σύμφωνα με αναφορές της Lumen's Black Lotus Labs και της Microsoft Threat Intelligence Team, η Turla εκμεταλλεύθηκε τις υποδομές της πακιστανικής ομάδας Storm-0156 για να επιτεθεί σε δίκτυα που είχαν ήδη παραβιαστεί, όπως κυβερνητικές υπηρεσίες στο Αφγανιστάν και την Ινδία.

Από τα τέλη του 2022, η Turla διείσδυσε σε servers της Storm-0156, εγκαθιστώντας δικά της κακόβουλα λογισμικά, όπως το TinyTurla backdoor και το TwoDash backdoor. Η τακτική αυτή της επιτρέπει να παραμένει κρυφή, αποφεύγοντας την άμεση σύνδεση με τις επιθέσεις. Οι αναλυτές διαπίστωσαν ότι η Turla κινήθηκε περαιτέρω, παραβιάζοντας ακόμη και τους ίδιους τους σταθμούς εργασίας της Storm-0156, αποκτώντας πρόσβαση σε πολύτιμα δεδομένα, όπως κωδικούς πρόσβασης, εργαλεία malware και ευαίσθητες πληροφορίες.

Η χρήση των υποδομών της Storm-0156 επιτρέπει στη Turla να συγκεντρώνει πληροφορίες χωρίς να εκθέτει τα δικά της εργαλεία. Αυτό περιπλέκει την απόδοση των επιθέσεων, αφού η ευθύνη φαίνεται να βαραίνει την ομάδα που είχε ήδη παραβιαστεί. Η Microsoft σημειώνει ότι οι προσεκτικές κινήσεις της Turla μπορεί να συνδέονται με πολιτικούς παράγοντες, καθώς οι επιθέσεις επικεντρώθηκαν σε στόχους όπως το Υπουργείο Εξωτερικών του Αφγανιστάν και στρατιωτικούς θεσμούς στην Ινδία.

Η στρατηγική της Turla να χρησιμοποιεί τις υποδομές άλλων ομάδων δεν είναι νέα. Από το 2019, έχει αξιοποιήσει παρόμοιες τακτικές, όπως τη χρήση υποδομών της ιρανικής ομάδας OilRig και την εγκατάσταση backdoors σε θύματα malware όπως το Andromeda. Αυτή η προσέγγιση ενισχύει τη μυστικότητα των επιχειρήσεών της, ενώ μεταφέρει τις υποψίες σε άλλους κυβερνοεγκληματίες.

Η Lumen έχει πλέον αποκλείσει την κυκλοφορία δεδομένων από γνωστές υποδομές που σχετίζονται με την Turla στο δίκτυό της. Ωστόσο, η στρατηγική της Turla υπογραμμίζει την πολυπλοκότητα της σύγχρονης κυβερνοκατασκοπείας, όπου ακόμη και οι πιο εξειδικευμένες ομάδες γίνονται στόχοι άλλων κρατικών φορέων. Αυτές οι εξελίξεις αναδεικνύουν την ανάγκη για προηγμένα μέτρα κυβερνοασφάλειας σε εθνικό και διεθνές επίπεδο.

Στις 14 Νοεμβρίου 2024, η Cloudflare ανακοίνωσε ότι περίπου το 55% των δεδομένων καταγραφής που διαβιβάζονται στους πελάτες χάθηκαν εξαιτίας σφάλματος στη διαδικασία συλλογής logs. Το συμβάν διήρκησε 3,5 ώρες, που επηρέασε την πλειοψηφία των πελατών που χρησιμοποιούν τις υπηρεσίες Cloudflare Logs. Το πρόβλημα αποδόθηκε σε σφάλμα διαμόρφωσης στο Logfwdr, έναν κρίσιμο μηχανισμό υπεύθυνο για τη διαβίβαση καταγραφών από το δίκτυο της Cloudflare σε εξωτερικά συστήματα.

Το Logfwdr εισήγαγε κατά λάθος μια άδεια διαμόρφωση, η οποία έδινε εντολή στο σύστημα να θεωρεί ότι δεν υπήρχαν πελάτες για τους αποσταλούν logs. Αν και το σύστημα διαθέτει μηχανισμούς ασφαλείας, αυτό το λάθος προκάλεσε τεράστια αύξηση του όγκου επεξεργασίας, υπερφορτώνοντας το Buftee, το σύστημα προσωρινής αποθήκευσης των logs. Μέσα σε πέντε λεπτά, το Buftee κατέρρευσε, απαιτώντας πλήρη επανεκκίνηση και οδηγώντας σε επιπλέον απώλεια δεδομένων.

Για την αποτροπή άλλων τέτοιων περιστατικών στο μέλλον, η Cloudflare έχει εφαρμόσει νέα μέτρα ασφαλείας. Ανέπτυξε ένα σύστημα ανίχνευσης και ειδοποίησης για τέτοια σφάλματα και προχώρησε σε σωστή διαμόρφωση του Buftee για την αποφυγή υπερφόρτωσης. Παράλληλα, προγραμματίζει τακτικές δοκιμές προσομοίωσης απρόσμενων αυξήσεων στον όγκο δεδομένων, ώστε να διασφαλίσει την ανθεκτικότητα των μηχανισμών ασφαλείας.

Το περιστατικό αυτό τονίζει τη σημασία του σχολαστικού ελέγχου στις διαμορφώσεις και την προσοχή στους μηχανισμούς failsafe. Για την Cloudflare, αποτελεί υπενθύμιση ότι η διατήρηση της αξιοπιστίας απαιτεί συνεχή επένδυση στην πρόληψη και τη διαχείριση κρίσεων. Οι πελάτες της αναμένουν πλέον αποτελεσματική προστασία από παρόμοια περιστατικά.

Ανησυχία έχει προκαλέσει στους χρήστες της QNAP το τελευταίο firmware update για συσκευές NAS, το οποίο φαίνεται να τους αποκλείει από τις συσκευές τους. Η αναβάθμιση QTS 5.2.2.2950, build 20241114, κυκλοφόρησε πρόσφατα αλλά γρήγορα αποσύρθηκε από την εταιρία μετά από παράπονα χρηστών ότι δεν μπορούσαν να συνδεθούν στις συσκευές τους, ακόμα και μετά από επαναφορά εργοστασιακών ρυθμίσεων. Τα παράπονα πλημμύρισαν τα forums της QNAP, με χρήστες να αναφέρουν σοβαρά προβλήματα πρόσβασης και ελλιπή υποστήριξη από την εταιρία.

Η QNAP, γνωστή για την κατασκευή συστημάτων NAS, παραδέχτηκε ότι το πρόβλημα επηρέασε μόνο συγκεκριμένα μοντέλα, όπως τα TS-653D, TS-451D και TS-453D. Παρόλα αυτά, πολλοί χρήστες αναφέρουν ότι δεν τους δόθηκαν σαφείς οδηγίες για την αντιμετώπιση του προβλήματος. Ένας τεχνικά καταρτισμένος χρήστης ανέφερε ότι, παρά τη χρήση εργαλείων όπως το Qfinder και η πλήρης επαναφορά συσκευής, δεν μπόρεσε να αποκτήσει πρόσβαση χρησιμοποιώντας τους προκαθορισμένους κωδικούς.

Η εταιρία δήλωσε ότι μέσα σε 24 ώρες επανακυκλοφόρησε σταθερή έκδοση του firmware, ωστόσο, οι αντιδράσεις συνεχίζονται. Ορισμένοι χρήστες εξέφρασαν παράπονα για αργή ανταπόκριση της τεχνικής υποστήριξης, υποστηρίζοντας ότι η μόνη επιλογή που τους δόθηκε ήταν είτε η υποβάθμιση λογισμικού είτε η απευθείας επικοινωνία με την υποστήριξη, η οποία, σύμφωνα με τις καταγγελίες, δεν ήταν επαρκώς προετοιμασμένη.

Το περιστατικό φέρνει στο φως ξανά την ανάγκη για σχολαστικό έλεγχο των ενημερώσεων λογισμικού πριν την κυκλοφορία τους. Ανάλογα περιστατικά, όπως αυτά της CrowdStrike και της Microsoft, δείχνουν ότι η βιαστική ανάπτυξη και διάθεση αναβαθμίσεων μπορεί να οδηγήσει σε σοβαρά προβλήματα για τους χρήστες. Για την QNAP, το ζήτημα αυτό αποτελεί μια υπενθύμιση ότι η αξιοπιστία των προϊόντων της εξαρτάται όχι μόνο από την τεχνολογία της, αλλά και από την ποιότητα της υποστήριξης που παρέχει στους πελάτες της.

Κινέζοι ερευνητές από το Πανεπιστήμιο της Σανγκάης ισχυρίζονται ότι ανακάλυψαν μια "πραγματική και ουσιαστική απειλή" για την κλασική κρυπτογραφία, σύμφωνα με την SCMP. Χρησιμοποιώντας έναν D-Wave κβαντικό υπολογιστή, η ομάδα διεξήγαγε επιτυχημένη επίθεση σε αλγορίθμους αντικατάστασης–μεταθέσεως (SPN), που αποτελούν τη βάση ευρέως χρησιμοποιούμενων προτύπων όπως οι RSA και AES. Αυτή η εξέλιξη θέτει σοβαρά ερωτήματα για την ασφάλεια ακόμη και των πιο προηγμένων τεχνολογιών κρυπτογράφησης.

Η έρευνα, με τίτλο Quantum Annealing Public Key Cryptographic Attack Algorithm Based on D-Wave Advantage, περιγράφει δύο μεθόδους που βασίζονται στην κβαντική ανόπτηση. Η πρώτη μέθοδος χρησιμοποιεί εξολοκλήρου τον D-Wave, μετατρέποντάς τον σε εργαλείο επίθεσης μέσω μοντέλων Ising και QUBO. Η δεύτερη μέθοδος συνδυάζει την κλασική κρυπτογραφία, όπως ο αλγόριθμος υπογραφών Schnorr και η τεχνική Babai, με κβαντικές διαδικασίες, επιτυγχάνοντας αποτελέσματα που είναι πέρα από τις δυνατότητες των παραδοσιακών υπολογιστικών μεθόδων.

Οι ερευνητές, υπό την καθοδήγηση του Wang Chao, ισχυρίζονται ότι πέτυχαν να παραβιάσουν τη δομή SPN, που βρίσκεται στον πυρήνα της κρυπτογραφίας AES-256. Παρά τη σοβαρότητα των ευρημάτων, οι λεπτομέρειες παραμένουν περιορισμένες λόγω της ευαίσθητης φύσης του θέματος. Αυτή η εξέλιξη ενισχύει την ανησυχία ότι ακόμα και οι στρατιωτικής κλάσης αλγόριθμοι ενδέχεται να είναι πιο ευάλωτοι από ποτέ.

Παρά τους κινδύνους, οργανισμοί όπως το NIST εργάζονται ήδη για την ανάπτυξη μετα-κβαντικών κρυπτογραφικών αλγορίθμων. Αυτές οι τεχνολογίες στοχεύουν στην αντιμετώπιση των μελλοντικών προκλήσεων που θέτουν οι κβαντικοί υπολογιστές, ενισχύοντας την ασφάλεια για τραπεζικά, στρατιωτικά και επιχειρηματικά δεδομένα. Με την απειλή της κβαντικής υπεροχής να πλησιάζει, η μετάβαση σε μετα-κβαντικές λύσεις γίνεται πιο επιτακτική από ποτέ.

Σύμφωνα με αναφορά από τους ερευνητές ασφάλειας της FortiGuard Labs, το κακόβουλο λογισμικό Winos4.0 στρέφεται κατά των χρηστών Windows που ασχολούνται με το gaming. Το malware κρύβεται σε εφαρμογές που σχετίζονται με το gaming, όπως προγράμματα βελτιστοποίησης ταχύτητας και εργαλεία επιτάχυνσης. Αποτελεί εξέλιξη του GhostRat, ενός παλαιότερου malware σχεδιασμένου για την πλήρη κατάληψη του υπολογιστή-στόχου.

Όπως και το GhostRat, το Winos4.0 επιτρέπει στους χάκερ να αποκτήσουν πλήρη έλεγχο της συσκευής που προσβάλλει. Πρόκειται για ένα προηγμένο malware framework που προσφέρει πολλές λειτουργίες ελέγχου online endpoints, δίνοντας στους επιτιθέμενους τη δυνατότητα να αξιοποιήσουν το σύστημα με πολλαπλούς τρόπους. Με την εγκατάσταση μιας μολυσμένης εφαρμογής, κατεβαίνει μια ψεύτικη εικόνα bitmap από έναν απομακρυσμένο server, η οποία εξάγει μια βιβλιοθήκη δυναμικής σύνδεσης (DLL), που εισχωρεί βαθιά στο σύστημα-στόχο, επιτυγχάνοντας τον πλήρη έλεγχο.

Η επιτυχής εγκατάσταση του Winos4.0 δίνει στους χάκερ πρόσβαση σε όλα τα δεδομένα του συστήματος. Μπορούν να ελέγξουν για επεκτάσεις πορτοφολιού κρυπτονομισμάτων και antivirus, να συλλέξουν κωδικοποιημένες πληροφορίες συστήματος και να τις στείλουν στον κεντρικό server, να τραβήξουν στιγμιότυπα οθόνης, ακόμα και να διαχειριστούν έγγραφα. Το malware αυτό είναι πολύ πιο επικίνδυνο από απλούς ιούς που συνήθως κλέβουν χρήματα ή διαγράφουν λογαριασμούς· μπορεί να ελέγχει ολοκληρωτικά το σύστημα και κάθε πρόσβαση που αυτό έχει.

Για την αποφυγή του Winos4.0, οι χρήστες πρέπει να είναι ιδιαίτερα προσεκτικοί με τις πηγές των λήψεών τους, ελέγχοντας την αξιοπιστία των εφαρμογών πριν την εγκατάσταση.

Η NVIDIA ανακοίνωσε σημαντικές ενημερώσεις ασφαλείας για τους οδηγούς GPU Display Driver, επηρεάζοντας χρήστες σε Windows και Linux. Οι νέες εκδόσεις αντιμετωπίζουν ευπάθειες με υψηλές βαθμολογίες CVSS, που επιτρέπουν εκτέλεση κακόβουλου κώδικα, κλιμάκωση προνομίων, και διαρροή δεδομένων. Τα τρωτά σημεία εντοπίζονται στον kernel driver και στο user mode layer, επηρεάζοντας προϊόντα όπως οι σειρές GeForce, RTX, Quadro και Tesla.

Οι ευπάθειες περιλαμβάνουν CVE-ταυτοποιήσεις που σχετίζονται με εκμεταλλεύσεις όπως out-of-bounds read, και προβλήματα input validation στον vGPU Manager. Αυτά τα τρωτά σημεία ενδέχεται να οδηγήσουν σε code execution, denial of service, και data tampering. Η εταιρεία ενθαρρύνει τους χρήστες να κατεβάσουν τις ενημερώσεις μέσω της σελίδας λήψεων της NVIDIA και του NVIDIA Licensing Portal για όσους χρησιμοποιούν vGPU και cloud gaming.

Οι πίνακες της ανακοίνωσης αναφέρουν λεπτομερώς τις εκδόσεις οδηγών που επηρεάζονται, όπως και τις εκδόσεις που επιδιορθώνουν τις ευπάθειες. Για παράδειγμα, η έκδοση 537.58 είναι η ενημερωμένη για τους GeForce οδηγούς στα Windows. Η NVIDIA συνιστά στους διαχειριστές IT να αξιολογήσουν τον αντίκτυπο αυτών των ζητημάτων στα συστήματά τους και να προχωρήσουν άμεσα στις ενημερώσεις για την προστασία από πιθανές επιθέσεις.

Οι χρήστες που επηρεάζονται από τις εκδόσεις των οδηγών θα πρέπει να προχωρήσουν σε άμεσες αναβαθμίσεις για να διασφαλίσουν ότι τα συστήματά τους προστατεύονται από τις εν λόγω ευπάθειες. Η εταιρεία αναγνωρίζει την υποστήριξη από εξωτερικούς ερευνητές ασφαλείας που συνέβαλαν στον εντοπισμό αυτών των προβλημάτων, υπογραμμίζοντας τη σημασία της συνεργασίας για την ενίσχυση της ασφάλειας των προϊόντων της

Τα τελευταία χρόνια, οι ιστοσελίδες WordPress αποτελούν στόχο για κυβερνοεγκληματίες, οι οποίοι παραβιάζουν τις σελίδες για να εγκαταστήσουν κακόβουλα plugins που εμφανίζουν ψεύτικες ενημερώσεις λογισμικού και προειδοποιήσεις σφαλμάτων. Αυτές οι προειδοποιήσεις έχουν ως στόχο να πείσουν τους χρήστες να κατεβάσουν και να εγκαταστήσουν κακόβουλο λογισμικό που κλέβει πληροφορίες, γνωστό και ως malware κλοπής πληροφοριών (infostealers).

Μια νέα καμπάνια με το όνομα ClickFix που ξεκίνησε το 2024 εμφανίζει ψεύτικα σφάλματα λογισμικού και προσφέρει "διορθώσεις" που στην πραγματικότητα είναι PowerShell scripts. Όταν οι χρήστες εκτελούν αυτά τα σενάρια, το κακόβουλο λογισμικό εγκαθίσταται και συλλέγει πληροφορίες από τον υπολογιστή τους. Αυτή η νέα εκστρατεία παρουσιάζει ομοιότητες με την προγενέστερη καμπάνια ClearFake, η οποία χρησιμοποιούσε ψεύτικα banners ενημερώσεων προγραμμάτων περιήγησης για την προώθηση του malware.

Σύμφωνα με αναφορές, οι κυβερνοεγκληματίες έχουν παραβιάσει πάνω από 6.000 WordPress ιστοσελίδες για να εγκαταστήσουν κακόβουλα plugins. Αυτά τα plugins μιμούνται δημοφιλή εργαλεία όπως το Wordfence Security και το LiteSpeed Cache, αλλά κρύβουν κακόβουλους κώδικες που εμφανίζουν τα ψεύτικα μηνύματα ενημερώσεων. Ορισμένα από τα plugins που χρησιμοποιούνται περιλαμβάνουν ονόματα όπως SEO Booster Pro, Admin Bar Customizer, και Social Media Integrator. Ο πλήρης κατάλογος των κακόβουλων plugins που εμφανίστηκαν σε αυτή την εκστρατεία μεταξύ Ιουνίου και Σεπτεμβρίου 2024 είναι:

Η παραβίαση γίνεται μέσω κλεμμένων διαχειριστικών διαπιστευτηρίων, τα οποία οι εισβολείς αποκτούν μέσω επιθέσεων brute force, phishing, ή malware κλοπής πληροφοριών. Μόλις αποκτήσουν πρόσβαση, εγκαθιστούν αυτόματα το κακόβουλο plugin, το οποίο ενσωματώνει έναν κακόβουλο JavaScript κώδικα στον ιστότοπο.

Για τους ιδιοκτήτες WordPress ιστοσελίδων, η άμεση λήψη μέτρων είναι απαραίτητη. Εάν εντοπίζονται ψεύτικες ειδοποιήσεις σε επισκέπτες, πρέπει να ελεγχθούν τα εγκατεστημένα plugins και να αφαιρεθούν αυτά που δεν έχουν εγκατασταθεί από τον διαχειριστή. Επιπλέον, είναι σημαντικό να γίνει επανεκκίνηση των κωδικών πρόσβασης για όλους τους διαχειριστές με ισχυρούς, μοναδικούς κωδικούς.

Η χρήση κακόβουλων προσθηκών για την παραβίαση ιστοσελίδων υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση στην ασφάλεια των WordPress ιστότοπων, ειδικά καθώς οι απειλές στον κυβερνοχώρο συνεχώς εξελίσσονται.

Η περιοχή της Φινμάρκ στη βορειοανατολική Νορβηγία έχει μετατραπεί σε μια επικίνδυνη ζώνη για πιλότους λόγω των συνεχών παρεμβολών στα σήματα GPS. Αυτές οι παρεμβολές, που προέρχονται από τη ρωσική πλευρά των συνόρων, έχουν γίνει τόσο συχνές που οι νορβηγικές αρχές αποφάσισαν να σταματήσουν να καταγράφουν τα περιστατικά, αναγνωρίζοντας την κατάσταση ως ένα «ανεπιθύμητο νέο καθεστώς». Οι πιλότοι, ιδιαίτερα εκείνοι της νορβηγικής αεροπορικής εταιρείας Widerøe, αναφέρουν ότι αντιμετωπίζουν παρεμβολές σχεδόν καθημερινά όταν πετούν πάνω από τα 6.000 πόδια, με τα συστήματα GPS στα αεροσκάφη τους να αχρηστεύονται προσωρινά.

Όταν οι παρεμβολές πλήττουν τα αεροσκάφη, τα συστήματα προειδοποίησης που βασίζονται στο GPS, όπως εκείνα που αποτρέπουν τη σύγκρουση με το έδαφος, σταματούν να λειτουργούν. Παρά το γεγονός ότι οι πιλότοι μπορούν να συνεχίσουν την πτήση τους με τη βοήθεια επίγειων σταθμών, οι παρεμβολές αυτές τους αφήνουν να αισθάνονται ότι πετούν «30 χρόνια πίσω στον χρόνο», όπως ανέφερε χαρακτηριστικά ο Odd Thomassen, κυβερνήτης της Widerøe.

Από το 2022, με την πλήρη εισβολή της Ρωσίας στην Ουκρανία, η κατάσταση έχει επιδεινωθεί σε όλη την ανατολική Ευρώπη, με τις χώρες της Βαλτικής να κατηγορούν ανοιχτά τη Ρωσία για παρεμβολές που υπερφορτώνουν τους δέκτες GPS με «αθώα» σήματα, καθιστώντας τους ανενεργούς. Μάλιστα, τον Απρίλιο, ένα αεροσκάφος της Finnair αναγκάστηκε να εγκαταλείψει την προσγείωσή του στην Εσθονία λόγω αδυναμίας λήψης ακριβούς σήματος GPS. Αυτή η κατάσταση απειλεί ιδιαίτερα τα μικρότερα, απομακρυσμένα αεροδρόμια, τα οποία βασίζονται αποκλειστικά σε συστήματα GPS για την καθοδήγηση των πτήσεων, καθώς πολλές εγκαταστάσεις δεν διαθέτουν πιο ακριβά επίγεια συστήματα προσέγγισης.

Η επιδείνωση του προβλήματος δεν επηρεάζει μόνο τα αεροσκάφη. Στη Φινλανδία, αυτόματα τρακτέρ που λειτουργούν με GPS έχουν επίσης υποστεί διακοπές λειτουργίας, υποδηλώνοντας ότι οι παρεμβολές μπορεί να είναι αποτέλεσμα των νέων συστημάτων άμυνας κατά drones που χρησιμοποιεί η Ρωσία μετά από επιθέσεις στην ενεργειακή της υποδομή από την Ουκρανία. Παρόμοια περιστατικά έχουν αναφερθεί και σε άλλους τομείς, όπως η αλιεία και οι κατασκευές, όπου τα πλοία και τα μηχανήματα που βασίζονται στο GPS δεν μπορούν να εκτελέσουν με ακρίβεια τις εργασίες τους.

Οι πιλότοι της Widerøe ανησυχούν ότι οι κατασκευαστές των συστημάτων πλοήγησης, κυρίως αμερικανικές εταιρείες, ενδέχεται να μην αναλάβουν δράση για να βελτιώσουν την ανθεκτικότητα στις παρεμβολές, καθώς οι αμερικανικές εταιρείες δεν επηρεάζονται άμεσα από τις παρεμβολές στη Νορβηγία. Παρότι η Νορβηγία διοργανώνει ετήσιες δοκιμές, γνωστές ως Jammerfest, για την ανάπτυξη αντιμέτρων, η κατάσταση είναι ιδιαίτερα ανησυχητική. Τον Απρίλιο, για πρώτη φορά, σημειώθηκε περιστατικό παρεμβολής GPS κατά τη διάρκεια προσγείωσης σε χαμηλό υψόμετρο, κάτι που μέχρι πρόσφατα θεωρούνταν απίθανο λόγω της καμπυλότητας της γης.

Οι παρεμβολές αυτές συνιστούν σοβαρή απειλή για την ασφάλεια των πτήσεων, ιδιαίτερα σε περιοχές με ορεινό ανάγλυφο, όπως η υπόλοιπη Νορβηγία. Αν το φαινόμενο συνεχιστεί χωρίς κατάλληλη παρέμβαση, οι επιπτώσεις θα μπορούσαν να είναι σημαντικές για τις αερομεταφορές στην ευρύτερη περιοχή.

Η Google έχει ξεκινήσει να προειδοποιεί τους χρήστες του Chrome ότι δημοφιλείς επεκτάσεις, όπως το uBlock Origin, ενδέχεται σύντομα να σταματήσουν να υποστηρίζονται. Αυτό σχετίζεται με την επικείμενη απόσυρση της υποστήριξης για το Manifest V2, το οποίο χρησιμοποιεί η επέκταση. Σύμφωνα με ανακοίνωση της Google, οι επεκτάσεις που δεν συμβαδίζουν με τις νέες προδιαγραφές ενδέχεται να απενεργοποιηθούν για την προστασία της ασφάλειας και της ιδιωτικότητας των χρηστών.

Το Manifest V3, που αντικαθιστά το Manifest V2, εισήχθη το 2020 και θέτει νέους περιορισμούς που δυσκολεύουν τη λειτουργία των ad blockers. Το uBlock Origin, που βασίζεται στο Manifest V2, δεν έχει προς το παρόν έκδοση συμβατή με το Manifest V3. Για το λόγο αυτό, ο δημιουργός του, Raymond Hill, έχει αναπτύξει το uBlock Origin Lite, το οποίο συμβιβάζεται με τις απαιτήσεις του Manifest V3, αλλά προσφέρει λιγότερες δυνατότητες.

Οι χρήστες του Chrome έχουν τη δυνατότητα να χρησιμοποιούν επεκτάσεις βασισμένες στο Manifest V2 μέχρι τον Ιούνιο του 2025 μέσω της πολιτικής ExtensionManifestV2Availability. Ωστόσο, πολλοί χρήστες δηλώνουν την πρόθεσή τους να στραφούν σε άλλα προγράμματα περιήγησης, όπως το Firefox, το Brave ή το Vivaldi, τα οποία θα συνεχίσουν να υποστηρίζουν το Manifest V2.

Η μετάβαση στο Manifest V3 δεν είναι χωρίς προβλήματα για τους δημιουργούς επεκτάσεων, καθώς περιορίζει την πρόσβασή τους σε βασικές λειτουργίες. Ενώ το uBlock Origin Lite μπορεί να καλύψει τις βασικές ανάγκες φιλτραρίσματος, δεν προσφέρει τις ίδιες προηγμένες δυνατότητες με την αρχική έκδοση. Η αλλαγή αυτή επιφέρει σημαντικές συνέπειες για την εμπειρία περιήγησης των χρηστών και το οικοσύστημα επεκτάσεων του Chrome.

Η τιμή του μελανιού inkjet παραμένει τεχνητά υψηλή, ωθώντας πολλούς χρήστες να στραφούν σε εναλλακτικές λύσεις τρίτων κατασκευαστών, συχνά ανακατασκευασμένες κασέτες μελανιού. Αυτές οι κασέτες γεμίζονται ξανά από τρίτους προμηθευτές, κάτι που γίνεται όλο και πιο συνηθισμένο λόγω των μηχανισμών διαχείρισης ψηφιακών δικαιωμάτων (DRM) που προσθέτουν οι κατασκευαστές στις κασέτες τους, όπως το σύστημα Dynamic Security της HP.

Η προσθήκη τσιπ παρακολούθησης στις κασέτες έχει σκοπό να αποτρέπει τους χρήστες από το να γεμίζουν χειροκίνητα τις κασέτες με σύριγγα, αλλά υπάρχουν επιθέσεις που παρακάμπτουν αυτούς τους περιορισμούς. Ο Jay Summet παρουσίασε μια φυσική επίθεση man-in-the-middle που παρακάμπτει το DRM σε κασέτες HP με ένα εύκαμπτο PCB.

Η φυσική επίθεση "man-in-the-middle"

Το bypass αποτελείται από ένα ευλύγιστο PCB με επαφές και στις δύο πλευρές, που συνδέεται μεταξύ της κασέτας και του εκτυπωτή. Ένα IC (ολοκληρωμένο κύκλωμα) βρίσκεται στην πλευρά της κασέτας, χωμένο σε μια εγκοπή στο πλαστικό της κασέτας, επιτρέποντας στο PCB να παρακολουθεί την επικοινωνία μεταξύ της κασέτας και του εκτυπωτή. Έτσι, ο εκτυπωτής παραπλανάται, επιτρέποντας την εκτύπωση χωρίς να απαιτείται η χρήση ακριβών γνήσιων κασετών της HP.

Η απάντηση της HP και οι νομικές προκλήσεις

Η HP γνωρίζει για αυτήν την πρακτική. Πρόσφατα απείλησε να μπλοκάρει εκτυπωτές που εντοπίζουν τη χρήση κασετών τρίτων, επικαλούμενη την προστασία των χρηστών από "χάκερς" και "ιούς". Το σύστημα DRM της εταιρείας βρίσκεται ήδη στο επίκεντρο πολλών δικαστικών διαφορών.