Σήμερα το πρωί, η Kyivstar, ο μεγαλύτερος πάροχος κινητής τηλεφωνίας στην Ουκρανία, πλήγηκε από μια ισχυρή κυβερνοεπίθεση, με αποτέλεσμα περίπου 24,3 εκατομμύρια συνδρομητές να χάσουν τις υπηρεσίες τους τηλεφώνου και internet. Οι επιπτώσεις επεκτείνονται και σε επιχειρήσεις, καθώς καταστήματα σε όλη τη χώρα αντιμετωπίζουν προβλήματα επεξεργασίας πληρωμών με πιστωτικές κάρτες.

Στην πόλη της Λβιβ, οι δημόσιες υπηρεσίες όπως ο δημόσιος φωτισμός επηρεάζονται, καθώς ο έλεγχος γίνεται από το δίκτυο της Kyivstar. Η αντιμετώπιση των προβλημάτων απαιτεί ανθρώπινη παρέμβαση, ενώ οι αρχές αναφέρουν προσωρινή ανεπάρκεια στο σύστημα συναγερμού κατά αεροπορικών επιθέσεων στη πόλη Σούμι.

Η Kyivstar ανακοίνωσε στις πρώτες του ώρες το μεγαλεπήβολο χτύπημα, χαρακτηρίζοντάς το ως "μεγάλη κυβερνοεπίθεση." Οι αρχές της Ουκρανίας έχουν ξεκινήσει ποινική έρευνα για την επίθεση, με μία από τις πιθανές υποθέσεις να αναφέρει τις ειδικές υπηρεσίες της Ρωσικής Ομοσπονδίας. Η Kyivstar έχει χαρακτηρίσει το γεγονός ως "πόλεμο," υπογραμμίζοντας πως ο πόλεμος διεξάγεται όχι μόνο στο πεδίο μάχης, αλλά και στον εικονικό χώρο, επισημαίνοντας παράλληλα την ευαισθησία της τηλεπικοινωνιακής υποδομής ως στρατηγικού σημασίας στις σύγχρονες συγκρούσεις.

Σημαντικό είναι ότι, παρά την επίθεση, η Kyivstar διαβεβαιώνει ότι τα προσωπικά δεδομένα των χρηστών δεν κινδύνευσαν. Η κυβερνο-αμυντική ικανότητα της Ουκρανίας, εκφρασμένη μέσω του "Κυβερνο-στρατού" της, την State Service of Special Communications and Information Protection of Ukraine (SSSCIP), φαίνεται να ανταποκρίνεται σε αποτελεσματικό βαθμό, περιορίζοντας τις επιτυχίες των κυβερνοεπιθέσεων της Ρωσίας.

Η κυβερνοεπίθεση στην Kyivstar αναδεικνύει τον συνεχή αγώνα της Ουκρανίας στον εικονικό χώρο, καθώς η Ρωσία συνεχίζει να χρησιμοποιεί τις κυβερνο-δυνατότητές της ως συμπληρωματικό μέσο υποστήριξης της εισβολής της.

Ένα νέο σύνολο ευπαθειών σε μόντεμ 5G των Qualcomm και MediaTek, που ονομάζονται συλλογικά "5Ghoul", επηρεάζουν 710 μοντέλα smartphone 5G από συνεργάτες της Google (Android) και της Apple, router και μόντεμ USB. Το 5Ghoul ανακαλύφθηκε από πανεπιστημιακούς ερευνητές από τη Σιγκαπούρη και αποτελείται από 14 ευπάθειες σε συστήματα κινητών επικοινωνιών, 10 από τις οποίες έχουν αποκαλυφθεί δημοσίως και τέσσερις αποκρύπτονται για λόγους ασφαλείας. Οι επιθέσεις του 5Ghoul κυμαίνονται από προσωρινές διακοπές των υπηρεσιών έως υποβαθμίσεις του δικτύου, οι οποίες μπορεί να είναι πιο σοβαρές από άποψη ασφάλειας. Οι ερευνητές ανακάλυψαν τις αδυναμίες ενώ πειραματίζονταν με την ανάλυση firmware από μόντεμ 5G και αναφέρουν ότι οι αδυναμίες είναι εύκολο να αξιοποιηθούν over-the-air, υποδυόμενοι έναν νόμιμο σταθμό βάσης 5G.

Αυτό ισχύει ακόμη και όταν οι επιτιθέμενοι δεν διαθέτουν πληροφορίες σχετικά με την κάρτα SIM του στόχου, καθώς η επίθεση πραγματοποιείται πριν από το βήμα ελέγχου ταυτότητας NAS.

"Ο επιτιθέμενος χρειάζεται μόνο να υποδυθεί το νόμιμο gNB χρησιμοποιώντας τις γνωστές παραμέτρους σύνδεσης του Πύργου Κυψέλης (π.χ. SSB ARFCN, Κωδικός περιοχής παρακολούθησης, Φυσικό αναγνωριστικό κυψέλης, Συχνότητα σημείου Α)".

Τα παραπάνω είναι εφικτά με κόστος μερικών χιλιάδων δολαρίων ΗΠΑ, χρησιμοποιώντας λογισμικό ανοικτού κώδικα για ανάλυση δικτύων και fuzzing, ένα μίνι PC, ένα software defined radio (SDR) και διάφορα είδη εξοπλισμού, όπως καλώδια, κεραίες, τροφοδοτικά κ.λπ.

Λεπτομέρειες για την ευπάθεια 5Ghoul

Οι δέκα ευπάθειες του 5Ghoul που έχουν αποκαλυφθεί δημοσίως στην Qualcomm και τη MediaTek από τις 7 Δεκεμβρίου 2023, είναι οι εξής:

1. CVE-2023-33043: Άκυρο MAC/RLC PDU που προκαλεί άρνηση παροχής υπηρεσιών (DoS) στα μόντεμ Qualcomm X55/X60. Οι επιτιθέμενοι μπορούν να στείλουν ένα άκυρο πλαίσιο MAC downlink στο 5G UE-στόχο από ένα κοντινό κακόβουλο gNB, οδηγώντας σε προσωρινή παύση λειτουργίας και επανεκκίνηση του μόντεμ.
2. CVE-2023-33044: Άγνωστο PDU NAS που προκαλεί DoS σε μόντεμ Qualcomm X55/X60. Αυτή η ευπάθεια επιτρέπει στους επιτιθέμενους να στείλουν ένα άκυρο NAS PDU στον UE-στόχο, με αποτέλεσμα την αποτυχία του μόντεμ και την επανεκκίνηση.
3. CVE-2023-33042: Απενεργοποίηση 5G/Downgrade μέσω Invalid RRC pdcch-Config σε Qualcomm X55/X60 modems, που οδηγεί είτε σε downgrade είτε σε άρνηση υπηρεσίας. Ένας εισβολέας μπορεί να στείλει ένα malformed πλαίσιο RRC κατά τη διάρκεια της διαδικασίας RRC Attach, απενεργοποιώντας τη συνδεσιμότητα 5G και απαιτώντας χειροκίνητη επανεκκίνηση για την αποκατάσταση.
4. CVE-2023-32842: Μη έγκυρο RRC Setup spCellConfig που προκαλεί DoS σε μόντεμ της MediaTek Dimensity 900/1200. Η ευπάθεια αφορά την αποστολή malformed RRC Connection Setup, οδηγώντας σε αποτυχία του μόντεμ και επανεκκίνηση στις επηρεαζόμενες συσκευές.
5. CVE-2023-32844: Το άκυρο RRC pucch CSIReportConfig προκαλεί DoS σε μόντεμ MediaTek Dimensity 900/1200. Οι επιτιθέμενοι μπορούν να στείλουν ένα malformed RRC Connection Setup, προκαλώντας αποτυχία και επανεκκίνηση του μόντεμ.
6. CVE-2023-20702: Άκυρη ακολουθία δεδομένων RLC που προκαλεί DoS (null pointer dereference) στα μόντεμ MediaTek Dimensity 900/1200. Ένας εισβολέας μπορεί να το εκμεταλλευτεί αυτό στέλνοντας ένα malformed  RLC Status PDU, οδηγώντας σε κατάρρευση και επανεκκίνηση του μόντεμ.
7. CVE-2023-32846: Το περικομμένο RRC physicalCellGroupConfig προκαλεί DoS (null pointer dereference) στα μόντεμ MediaTek Dimensity 900/1200. Malformed RRC Connection Setup μπορεί να προκαλέσει σφάλματα πρόσβασης στη μνήμη, οδηγώντας σε κατάρρευση του μόντεμ.
8. CVE-2023-32841: Μη έγκυρο RRC searchSpacesToAddModList που προκαλεί DoS στα μόντεμ MediaTek Dimensity 900/1200. Πρόκειται για την αποστολή ενός malformed RRC Connection Setup, που προκαλεί κατάρρευση του μόντεμ στις επηρεαζόμενες συσκευές.
9. CVE-2023-32843: Μη έγκυρο στοιχείο RRC Uplink Config Element που προκαλεί DoS σε μόντεμ MediaTek Dimensity 900/1200. Η αποστολή ενός malformed RRC Connection Setup μπορεί να προκαλέσει βλάβη του μόντεμ και επανεκκίνηση στις επηρεαζόμενες συσκευές.
10. CVE-2023-32845: Null RRC Uplink Config Element που προκαλεί DoS σε μόντεμ MediaTek Dimensity 900/1200. Η malformed εγκατάσταση σύνδεσης RRC μπορεί να προκαλέσει κατάρρευση του μόντεμ θέτοντας ορισμένα πεδία ωφέλιμου φορτίου RRC σε null.

Το CVE-2023-33042 είναι ιδιαίτερα ανησυχητικό επειδή μπορεί να αναγκάσει μια συσκευή να αποσυνδεθεί από ένα δίκτυο 5G και να επιστρέψει στο 4G, εκθέτοντάς την σε πιθανές ευπάθειες στον τομέα 4G που την εκθέτουν σε ένα ευρύτερο φάσμα επιθέσεων.

Τα ελαττώματα DoS σε αυτές τις ευπάθειες προκαλούν τη διακοπή κάθε συνδεσιμότητας των συσκευών μέχρι την επανεκκίνησή τους. Αυτό δεν είναι τόσο κρίσιμο, αν και μπορεί να έχει ακόμα σημαντικές επιπτώσεις σε κρίσιμα για την αποστολή περιβάλλοντα που βασίζονται στην υπηρεσία κινητής τηλεφωνίας.

Είναι σημαντικό να σημειωθεί ότι τα αποκαλυπτόμενα ελαττώματα δεν περιορίζονται στις συσκευές που αναφέρονται στην παραπάνω λίστα. Ο εντοπισμός όλων των επηρεαζόμενων μοντέλων βρίσκεται σε εξέλιξη, αλλά οι ερευνητές έχουν ήδη επιβεβαιώσει ότι επηρεάζονται 714 smartphones από 24 μάρκες. Ορισμένες ευάλωτες μάρκες περιλαμβάνουν τηλέφωνα από τις εταιρείες POCO, Black, Lenovo, AGM, Google, TCL, Redmi, HTC, Microsoft και Gigaset, με την πλήρη λίστα στην παρακάτω εικόνα.

Για να μάθετε περισσότερα σχετικά με τα ελαττώματα 5Ghoul, τις δυνατότητες εκμετάλλευσης και τις επιπτώσεις τους, καθώς και τεχνικές πληροφορίες μπορείτε να βρείτε στο whitepaper των ερευνητών.

Ένα κιτ αξιοποίησης του Proof of Concept (PoC) μπορεί επίσης να βρεθεί στο αποθετήριο GitHub.

Ανταπόκριση και διορθώσεις του προμηθευτή

Τόσο η Qualcomm όσο και η MediaTek κυκλοφόρησαν τη Δευτέρα δελτία ασφαλείας για τις αποκαλυπτόμενες ευπάθειες 5Ghoul, 

Οι ενημερώσεις ασφαλείας τέθηκαν στη διάθεση των πωλητών συσκευών πριν από δύο μήνες. Παρόλα αυτά, δεδομένης της πολυπλοκότητας της προμήθειας λογισμικού, ειδικά στο Android, θα περάσει αρκετός καιρός μέχρι οι διορθώσεις να φτάσουν στους τελικούς χρήστες μέσω ενημερώσεων ασφαλείας.

Αναπόφευκτα, ορισμένα επηρεαζόμενα μοντέλα smartphone και άλλες συσκευές δεν θα λάβουν ποτέ τις διορθώσεις, καθώς πιθανότατα θα φτάσουν πρώτα στο τέλος της υποστήριξης.

Αν ανησυχείτε υπερβολικά για τα ελαττώματα του 5Ghool, η μόνη πρακτική λύση είναι να αποφύγετε εντελώς τη χρήση του 5G μέχρι να είναι διαθέσιμες οι διορθώσεις.

Τα σημάδια μιας επίθεσης 5Ghool περιλαμβάνουν την απώλεια συνδέσεων 5G, την αδυναμία επανασύνδεσης μέχρι την επανεκκίνηση της συσκευής και τη συνεχή πτώση σε 4G παρά τη διαθεσιμότητα δικτύου 5G στην περιοχή.

Σύμφωνα με έρευνα που παρουσιάστηκε στο Black Hat Europe από ερευνητές του πανεπιστημίου IIIT Hyderabad, διάφορες δημοφιλείς εφαρμογές διαχείρισης κωδικών πρόσβασης για κινητά αντιμετωπίζουν ένα πρόβλημα ασφαλείας που ονομάζεται "AutoSpill". Η ευπάθεια αφορά τη λειτουργία αυτόματης συμπλήρωσης στις εφαρμογές Android και μπορεί να εκθέσει τα διαπιστευτήρια των χρηστών αφού παρακάμπτει το ασφαλές μηχανισμό αυτόματης συμπλήρωσης του Android.

Οι ερευνητές ανέφεραν ότι όταν μια εφαρμογή Android φορτώνει μια σελίδα σύνδεσης στο WebView, οι διαχειριστές κωδικών πρόσβασης μπορεί να "χαθούν" σχετικά με το πού πρέπει να στοχεύσουν τις πληροφορίες σύνδεσης του χρήστη και, αντί αυτού, να εκθέσουν τα διαπιστευτήριά τους στα φυσικά πεδία της βασικής εφαρμογής. Αυτό συμβαίνει όταν η αυτόματη συμπλήρωση ενεργοποιείται εντός του WebView, του προεγκατεστημένου κινητού κινητού περιηγητή από τη Google.

Οι ερευνητές ελέγχοντας την ευπάθεια στις δημοφιλέστερες εφαρμογές διαχείρισης κωδικών πρόσβασης, όπως το 1Password, το LastPass, το Keeper και το Enpass, σε νέες και ενημερωμένες συσκευές Android, διαπίστωσαν ότι οι περισσότερες εφαρμογές ήταν ευπαθείς στη διαρροή διαπιστευτηρίων. Ενημερώθηκαν οι εταιρείες, συμπεριλαμβανομένης της Google και των εμπλεκομένων διαχειριστών κωδικών πρόσβασης.

Οι ερευνητές εξετάζουν επίσης το ενδεχόμενο της εξόρυξης διαπιστευτηρίων από την εφαρμογή προς το WebView, ενώ διερευνούν αν η ευπάθεια μπορεί να αντιγραφεί στο iOS. Εταιρίες όπως η 1Password αναφέρουν ότι εργάζονται σε διορθώσεις για το πρόβλημα, ενώ άλλες όπως η Keeper αντιδρούν στις κατηγορίες και υποστηρίζουν ότι έχουν μέτρα προστασίας για τους χρήστες τους.

Η Check Point Research ανακάλυψε και ανέλυσε πρόσφατα ένα νέο "σκουλήκι" με δυνατότητες εξάπλωσης μέσω USB, ένα φαινομενικά "απλούστερο" κακόβουλο λογισμικό που δημιουργήθηκε από την Gamaredon, μια γνωστή ομάδα που συνεργάζεται με τη Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB). Γνωστό επίσης ως Primitive Bear, ACTINIUM και Shuckworm, το Gamareddon είναι ένας ασυνήθιστος παίκτης στο οικοσύστημα της ρωσικής κατασκοπείας, που στοχεύει σχεδόν αποκλειστικά στην παραβίαση στόχων στην Ουκρανία. Η Check Point δήλωσε ότι ενώ άλλες ρωσικές ομάδες κυβερνοκατασκοπείας προτιμούν να κρύβουν την παρουσία τους όσο το δυνατόν περισσότερο, η Gamaredon είναι γνωστή για τις εκστρατείες μεγάλης κλίμακας, ενώ εξακολουθεί να εστιάζει σε περιφερειακούς στόχους.

Το σκουλίκι LitterDrifter, ανακαλύφθηκε πρόσφατα και φαίνεται να τηρεί τη συνήθη συμπεριφορά της Gamaredon, καθώς πιθανότατα έχει ξεπεράσει κατά πολύ τους αρχικούς του στόχους. Το LitterDrifter είναι γραμμένο σε VBScript (VBS) με δύο κύριες λειτουργίες: την "αυτόματη" εξάπλωση μέσω USB flash drives και την ακρόαση απομακρυσμένων εντολών που προέρχονται από τους διακομιστές command&control (C2) των δημιουργών του. Το κακόβουλο λογισμικό φαίνεται να αποτελεί εξέλιξη των προηγούμενων προσπαθειών του Gamaredon με τη διάδοση μέσω USB, εξήγησαν οι ερευνητές της Check Point.

Το LitterDrifter χρησιμοποιεί δύο ξεχωριστές ενότητες για να επιτύχει τους στόχους του, οι οποίες εκτελούνται από ένα "έντονα συγκεκαλυμμένο" παράγοντα VBS που βρίσκεται στη βιβλιοθήκη trash.dll. Το σκουλήκι προσπαθεί να εγκατασταθεί στα συστήματα Windows προσθέτοντας νέες προγραμματισμένες εργασίες και κλειδιά μητρώου, εκμεταλλευόμενο το πλαίσιο Windows Management Instrumentation (WMI) για τον εντοπισμό στόχων USB και τη δημιουργία συντομεύσεων με τυχαία ονόματα.

Το σκουλήκι προσπαθεί να μολύνει έναν στόχο USB μόλις η μονάδα flash συνδεθεί στο σύστημα. Μετά τη μόλυνση, το LitterDrifter προσπαθεί να επικοινωνήσει με έναν διακομιστή C2 που κρύβεται πίσω από ένα δίκτυο δυναμικών διευθύνσεων IP, οι οποίες συνήθως διαρκούν έως και 28 ώρες. Μόλις δημιουργηθεί μια σύνδεση, το LitterDrifter μπορεί να κατεβάσει πρόσθετα ωφέλιμα φορτία, να τα αποκωδικοποιήσει και τελικά να τα εκτελέσει σε ένα μολυσμένο σύστημα.

Η Check Point Research δήλωσε ότι δεν ανακτήθηκαν περαιτέρω ωφέλιμα φορτία κατά τη διάρκεια της εργασίας ανάλυσης, γεγονός που σημαίνει ότι το LitterDrifter είναι πιθανότατα το πρώτο στάδιο μιας πιο σύνθετης, συνεχιζόμενης επίθεσης. Η πλειονότητα των μολύνσεων του LitterDrifter ανακαλύφθηκε στην Ουκρανία, αλλά το σκουλήκι εντοπίστηκε επίσης σε υπολογιστές που βρίσκονται στις ΗΠΑ, τη Γερμανία, το Βιετνάμ, τη Χιλή, την Πολωνία. Η Gamaredon έχει πιθανότατα χάσει τον έλεγχο του σκουληκιού της, το οποίο τελικά εξαπλώθηκε σε ακούσιους στόχους πριν αναπτυχθεί η πλήρης επίθεση.

Ο έλεγχος ταυτότητας δακτυλικού αποτυπώματος Windows Hello της Microsoft έχει παρακαμφθεί σε φορητούς υπολογιστές της Dell, της Lenovo και ακόμη και της Microsoft. Οι ερευνητές ασφαλείας της Blackwing Intelligence ανακάλυψαν πολλαπλές ευπάθειες στους τρεις κορυφαίους αισθητήρες δακτυλικών αποτυπωμάτων που είναι ενσωματωμένοι σε φορητούς υπολογιστές και χρησιμοποιούνται ευρέως από τις επιχειρήσεις για την ασφάλεια των φορητών υπολογιστών με τον έλεγχο ταυτότητας δακτυλικών αποτυπωμάτων Windows Hello.

Η Offensive Research and Security Engineering (MORSE) της Microsoft ζήτησε από την Blackwing Intelligence να αξιολογήσει την ασφάλεια των αισθητήρων δακτυλικών αποτυπωμάτων και οι ερευνητές παρέθεσαν τα ευρήματά τους σε μια παρουσίαση στο συνέδριο BlueHat της Microsoft τον Οκτώβριο. Η ομάδα εντόπισε δημοφιλείς αισθητήρες δακτυλικών αποτυπωμάτων από τις Goodix, Synaptics και ELAN ως στόχους για την έρευνά της, ενώ σε μια πρόσφατα δημοσιευμένη ανάρτηση στο blog περιγράφεται λεπτομερώς η λεπτομερής διαδικασία κατασκευής μιας συσκευής USB που μπορεί να εκτελέσει επίθεση man-in-the-middle (MitM). Μια τέτοια επίθεση θα μπορούσε να παρέχει πρόσβαση σε έναν κλεμμένο φορητό υπολογιστή, ή ακόμη και μια επίθεση "evil maid" σε μια αφύλακτη συσκευή.

Ένα Dell Inspiron 15, ένα Lenovo ThinkPad T14 και ένα Microsoft Surface Pro X έπεσαν όλα θύματα επιθέσεων με αναγνώστη δακτυλικών αποτυπωμάτων, επιτρέποντας στους ερευνητές να παρακάμψουν την προστασία του Windows Hello, εφόσον κάποιος χρησιμοποιούσε προηγουμένως έλεγχο ταυτότητας δακτυλικών αποτυπωμάτων σε μια συσκευή. Οι ερευνητές της Blackwing Intelligence πραγματοποίησαν αντίστροφη μηχανική τόσο στο λογισμικό όσο και στο υλικό και ανακάλυψαν σφάλματα κρυπτογραφικής υλοποίησης σε ένα προσαρμοσμένο TLS στον αισθητήρα Synaptics. Η περίπλοκη διαδικασία για την παράκαμψη του Windows Hello περιελάμβανε επίσης αποκωδικοποίηση και εκ νέου υλοποίηση ιδιόκτητων πρωτοκόλλων.

Οι αισθητήρες δακτυλικών αποτυπωμάτων χρησιμοποιούνται πλέον ευρέως από τους χρήστες φορητών υπολογιστών με Windows, χάρη στην ώθηση της Microsoft προς το Windows Hello και ένα μέλλον χωρίς κωδικό πρόσβασης. Η Microsoft αποκάλυψε πριν από τρία χρόνια ότι σχεδόν το 85 τοις εκατό των καταναλωτών χρησιμοποιούν το Windows Hello για να συνδεθούν σε συσκευές Windows 10 αντί να χρησιμοποιούν κωδικό πρόσβασης (η Microsoft όμως υπολογίζει ένα απλό PIN ως χρήση του Windows Hello).

Αυτή δεν είναι η πρώτη φορά που ο βιομετρικός έλεγχος ταυτότητας που βασίζεται στα Windows Hello έχει σπάσει. Η Microsoft αναγκάστηκε να διορθώσει μια ευπάθεια παράκαμψης του ελέγχου ταυτότητας του Windows Hello το 2021, μετά από μια μέθοδο η οποία περιελάμβανε τη λήψη μιας υπέρυθρης εικόνας ενός θύματος για την παραποίηση της λειτουργίας αναγνώρισης προσώπου του Windows Hello.

Ωστόσο, δεν είναι σαφές αν η Microsoft θα μπορέσει να διορθώσει μόνη της αυτές τις τελευταίες ατέλειες. "Η Microsoft έκανε καλή δουλειά σχεδιάζοντας το Secure Device Connection Protocol (SDCP) για να παρέχει ένα ασφαλές κανάλι μεταξύ του κεντρικού υπολογιστή και των βιομετρικών συσκευών, αλλά δυστυχώς οι κατασκευαστές συσκευών φαίνεται να παρερμηνεύουν ορισμένους από τους στόχους", γράφουν οι Jesse D'Aguanno και Timo Teräs, ερευνητές της Blackwing Intelligence, στην εμπεριστατωμένη έκθεσή τους σχετικά με τα ελαττώματα. "Επιπλέον, το SDCP καλύπτει μόνο ένα πολύ στενό πεδίο λειτουργίας μιας τυπικής συσκευής, ενώ οι περισσότερες συσκευές έχουν εκτεθειμένη μια σημαντική επιφάνεια επίθεσης που δεν καλύπτεται καθόλου από το SDCP".

Οι ερευνητές διαπίστωσαν ότι η προστασία SDCP της Microsoft δεν ήταν ενεργοποιημένη σε δύο από τις τρεις συσκευές που έβαλαν στο στόχαστρο. Η Blackwing Intelligence συνιστά τώρα στους κατασκευαστές ΟΕΜ να βεβαιώνονται ότι το SDCP είναι ενεργοποιημένο και να διασφαλίζουν ότι η εφαρμογή του αισθητήρα δακτυλικών αποτυπωμάτων ελέγχεται από εξειδικευμένο εμπειρογνώμονα. Η Blackwing Intelligence διερευνά επίσης επιθέσεις διαφθοράς μνήμης στο firmware του αισθητήρα και ακόμη και την ασφάλεια του αισθητήρα δακτυλικών αποτυπωμάτων σε συσκευές Linux, Android και Apple.

Ένα νέο ισχυρό κακόβουλο λογισμικό που κυκλοφόρησε στις αρχές του 2023 με την ονομασία Atomic macOS Stealer (AMOS) στοχεύει τους χρήστες της Apple και έχει γίνει μια αυξανόμενη απειλή. Τώρα, στη τελευταία έκδοση του κακόβουλου λογισμικού, αυτό εγκαθίσταται μέσα σε ψεύτικες ενημερώσεις των προγραμμάτων περιήγησης Safari και Chrome για Mac. 

Το AMOS είναι ένα ισχυρό κακόβουλο λογισμικό που, μόλις εγκατασταθεί στο μηχάνημα ενός θύματος, μπορεί να κλέψει κωδικούς πρόσβασης iCloud Keychain, αριθμούς πιστωτικών καρτών, πορτοφόλια κρυπτονομισμάτων, αρχεία και πολλά άλλα. Μετά την ανακάλυψη των πρώτων απειλών του AMOS τον Μάρτιο και τον Απρίλιο, οι ερευνητές ασφαλείας της Malwarebytes ανακάλυψαν τον Σεπτέμβριο ότι οι χρήστες Mac εγκαθιστούσαν το AMOS μέσω ψεύτικων διαφημίσεων αναζήτησης Google. Στο τελευταίο κεφάλαιο του επιβλαβούς λογισμικού, η Malwarebytes αναφέρει ότι ψεύτικες ενημερώσεις των προγραμμάτων περιήγησης Safari και Chrome χρησιμοποιούνται τώρα για να περάσει κρυφά το AMOS στους Mac των θυμάτων (μέσω του Ankit Anubhav).

Η νέα προσέγγιση με το AMOS ονομάζεται "ClearFake", η οποία ήταν μια αξιοσημείωτη επίθεση που είχε παρατηρηθεί προηγουμένως εναντίον μηχανημάτων Windows.

Η προσέγγιση λειτουργεί με τη χρήση απειλητικών παραγόντων που χρησιμοποιούν παραβιασμένους ιστότοπους για να παραδώσουν ψεύτικες ενημερώσεις Safari και Chrome. Εδώ είναι η ψεύτικη ενημέρωση του Safari - η οποία είναι εύκολο να εντοπιστεί από τους βετεράνους της Apple με τα σούπερ παλιά εικονίδια Safari και iCloud - αλλά φυσικά, πολλοί άνθρωποι μπορεί να ξεγελαστούν καθώς χρησιμοποιεί την κανονική γλώσσα ενημέρωσης της Apple:

Και εδώ είναι η ψεύτικη ενημέρωση του Chrome που είναι πιο πειστική:

Για μια πιο προσεκτική ματιά στο πώς λειτουργεί η παράδοση του AMOS από το ClearFake, δείτε την πλήρη δημοσίευση από τη Malwarebytes. Αν θέλετε να κάνετε έναν έλεγχο στο Mac σας για να βεβαιωθείτε ότι δεν υπάρχει κακόβουλο λογισμικό ή adware, το Malwarebytes προσφέρει μια δωρεάν εφαρμογή (για ιδιώτες) για την εύρεση και την αφαίρεσή του. Η Malwarebytes προσφέρει επίσης το Browser Guard για Chrome, Firefox και Edge χωρίς κόστος για προσωπική χρήση.

Ένα ισχυρό κακόβουλο λογισμικό μεταμφιέζεται σε ένα πρόγραμμα εξόρυξης κρυπτονομισμάτων για να αποφύγει την ανίχνευση για περισσότερα από πέντε χρόνια, σύμφωνα με τον πάροχο antivirus Kaspersky. Το κακόβουλο λογισμικό "StripedFly" έχει μολύνει πάνω από 1 εκατομμύριο υπολογιστές Windows και Linux σε όλο τον κόσμο από το 2016, αναφέρει η Kaspersky σε έκθεση που δημοσιεύθηκε σήμερα.

Οι ερευνητές ασφαλείας της εταιρείας άρχισαν να ερευνούν την απειλή πέρυσι, όταν παρατήρησαν ότι τα προϊόντα antivirus της Kaspersky σημείωσαν δύο ανιχνεύσεις στο WINNIT.exe, το οποίο βοηθά στην εκκίνηση του λειτουργικού συστήματος των Windows. Οι ανιχνεύσεις εντοπίστηκαν στη συνέχεια στο StripedFly, το οποίο αρχικά είχε ταξινομηθεί ως εξορύκτης κρυπτονομισμάτων. Αλλά κατά την περαιτέρω εξέταση, οι ερευνητές της Kaspersky παρατήρησαν ότι ο miner είναι απλώς ένα συστατικό ενός πολύ πιο σύνθετου κακόβουλου λογισμικού που υιοθετεί τεχνικές που πιστεύεται ότι προέρχονται από την Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ. Συγκεκριμένα, το StripedFly ενσωμάτωσε μια έκδοση του EternalBlue, του διαβόητου exploit που ανέπτυξε η NSA, το οποίο διέρρευσε αργότερα και χρησιμοποιήθηκε στην επίθεση ransomware WannaCry για να μολύνει εκατοντάδες χιλιάδες μηχανήματα Windows το 2017. 

Σύμφωνα με την Kaspersky, το StripedFly χρησιμοποιεί τη δική του προσαρμοσμένη επίθεση EternalBlue για να διεισδύσει σε μη ενημερωμένα συστήματα Windows και να εξαπλωθεί αθόρυβα σε όλο το δίκτυο του θύματος, συμπεριλαμβανομένων των μηχανημάτων Linux που μπορεί αυτό να διαθέτει. Το κακόβουλο λογισμικό μπορεί στη συνέχεια να συλλέξει ευαίσθητα δεδομένα από τους μολυσμένους υπολογιστές, όπως διαπιστευτήρια σύνδεσης και προσωπικά δεδομένα.

Για να αποφύγουν την ανίχνευση, οι δημιουργοί πίσω από το StripedFly κατέληξαν σε μια νέα μέθοδο, προσθέτοντας μια μονάδα εξόρυξης κρυπτονομισμάτων για να εμποδίσουν τα συστήματα antivirus να ανακαλύψουν τις πλήρεις δυνατότητες του κακόβουλου λογισμικού. "Περιοδικά, η λειτουργικότητα του κακόβουλου λογισμικού εντός της κύριας μονάδας παρακολουθεί τη διαδικασία εξόρυξης και την επανεκκινεί, εάν είναι απαραίτητο", πρόσθεσε η Kaspersky. "Αναφέρει επίσης υπάκουα στον διακομιστή C2 το hash rate, χρόνο εργασίας, ανακαλυφθέντα nonces και στατιστικά στοιχεία σφαλμάτων".

Δεν είναι σαφές ποιος ανέπτυξε το StripedFly. Παρόλο που το κακόβουλο λογισμικό περιέχει μια επίθεση που προέρχεται από την NSA, το exploit EternalBlue της υπηρεσίας διέρρευσε στο κοινό τον Απρίλιο του 2017 μέσω μιας μυστηριώδους ομάδας που είναι γνωστή ως "Shadow Brokers".

Ένα χρόνο νωρίτερα, πριν από τη διαρροή, Κινέζοι χάκερς είχαν επίσης εντοπιστεί να χρησιμοποιούν το exploit EternalBlue. Εν τω μεταξύ, η Kaspersky σημειώνει ότι η πρώτη ανίχνευση του StripedFly χρονολογείται από τις 9 Απριλίου 2016.  Συν τοις άλλοις, μια έκδοση του StripedFly χρησιμοποιήθηκε σε επίθεση ransomware με την ονομασία ThunderCrypt, καθιστώντας τον απώτερο στόχο του κακόβουλου λογισμικού λιγότερο σαφή.

Αλλά τελικά, φαίνεται ότι το κακόβουλο λογισμικό πέτυχε τους στόχους του. Παρόλο που η Microsoft κυκλοφόρησε ένα patch για το EternalBlue τον Μάρτιο του 2017, πολλά συστήματα Windows απέτυχαν να το εγκαταστήσουν, επιτρέποντας στο StripedFly να συνεχίσει τη λειτουργία του.

Τα διαπιστευτήρια ασφαλείας, όπως τα ονόματα χρήστη και οι κωδικοί πρόσβασης, αποτελούν δελεαστικό στόχο για τους χάκερ και ακόμη και οι καλύτεροι διαχειριστές κωδικών πρόσβασης μπορεί να απειλούνται από καιρό σε καιρό. Αυτό συνέβη πρόσφατα με τον δημοφιλή διαχειριστή κωδικών πρόσβασης 1Password, ο οποίος αποκάλυψε πρόσφατα, ότι το σύστημα υποστήριξης Okta παραβιάστηκε από κακόβουλους χάκερ.

Ευτυχώς, δεν φαίνεται να εκλάπησαν δεδομένα πελατών, οπότε αν χρησιμοποιείτε το 1Password, οι πληροφορίες σύνδεσής σας θα πρέπει να είναι ασφαλείς προς το παρόν. Ωστόσο, είναι πάντα καλό να ενημερώνετε τακτικά τους κωδικούς σας (ή να χρησιμοποιείτε passkeys) σε περίπτωση που πέσουν σε λάθος χέρια.

Σε μια ανάρτηση στο ιστολόγιό της, η 1Password εξήγησε την κατάσταση. "Εντοπίσαμε ύποπτη δραστηριότητα στην παρουσία μας στην Okta που σχετίζεται με το περιστατικό του συστήματος υποστήριξης", δήλωσε η 1Password. "Μετά από ενδελεχή έρευνα, καταλήξαμε στο συμπέρασμα ότι δεν υπήρξε πρόσβαση σε δεδομένα χρηστών της 1Password". Μετά τον εντοπισμό ύποπτης δραστηριότητας στις 29 Σεπτεμβρίου, η 1Password "τερμάτισε αμέσως τη δραστηριότητα, διερεύνησε και δεν διαπίστωσε καμία παραβίαση των δεδομένων των χρηστών ή άλλων ευαίσθητων συστημάτων, είτε σε επίπεδο εργαζομένων είτε σε επίπεδο χρηστών".

Η σύνδεση του περιστατικού με την Okta είναι ενδιαφέρουσα επειδή αποκαλύπτει μια βασική ευπάθεια. Η Okta βοηθά τις εταιρείες να διαχειρίζονται τους χρήστες τους και να διασφαλίζουν ότι όλοι μπορούν να συνδεθούν με ασφάλεια και προσφέρει επίσης υποστήριξη για αυτή τη διαδικασία. Στο πλαίσιο αυτό, οι πελάτες μερικές φορές ανεβάζουν αρχεία για να βοηθήσουν στη διάγνωση προβλημάτων, αλλά αυτά τα αρχεία μπορεί να περιέχουν ευαίσθητα δεδομένα, όπως tokens συνεδρίας και δεδομένα σύνδεσης.

Σύμφωνα με μια λεπτομερή αναφορά από την 1Password, ένας χάκερ έκλεψε ένα cookie συνεδρίας από έναν υπάλληλο πληροφορικής της 1Password και στη συνέχεια προσπάθησε να αποκτήσει πρόσβαση στο ταμπλό του εργαζομένου και να ζητήσει μια λίστα με τους χρήστες διαχειριστές. Ευτυχώς, η πρώτη ενέργεια μπλοκαρίστηκε από την Okta, ενώ η δεύτερη οδήγησε στην αποστολή ενός αυτοματοποιημένου email σε άλλους διαχειριστές της 1Password, το οποίο τους ειδοποίησε για την παραβίαση.

Ενώ οι πληροφορίες σύνδεσής σας είναι ασφαλείς -δεν φαίνεται να έχει αποκτήσει πρόσβαση σε δεδομένα χρηστών ο χάκερ- δείχνει πόσο εύκολα μπορούν να παραβιαστούν φαινομενικά ασφαλή συστήματα από κακούς παράγοντες. Ως απάντηση στο περιστατικό, η 1Password αναφέρει ότι μείωσε τον αριθμό των χρηστών "super admin", εφάρμοσε αυστηρότερους κανόνες σύνδεσης για τους διαχειριστές και έλαβε άλλα μέτρα.

Παρά το επεισόδιο αυτό, θα πρέπει να εξακολουθείτε να επιλέγετε έναν από τους καλύτερους διαχειριστές κωδικών πρόσβασης για να διατηρείτε τα δεδομένα σύνδεσής σας ασφαλή. Εξάλλου, η χρήση μιας εφαρμογής για τη δημιουργία και την αποθήκευση μοναδικών κωδικών πρόσβασης για εσάς είναι πολύ πιο ασφαλής από τη χρήση των ίδιων εύκολα μαντεύσιμων στοιχείων σύνδεσης για κάθε λογαριασμό.

Η υπηρεσία έρευνας προηγμένων αμυντικών προγραµµάτων (DARPA), συγκροτεί το ερευνητικό πρόγραμμα Intrinsic Cognitive Security (ICS) "για τη δημιουργία τακτικών συστημάτων μικτής πραγματικότητας που προστατεύουν από επιθέσεις νοητικής φύσης".

Σύμφωνα με την περιγραφή του προγράμματος ICS της υπηρεσίας έρευνας προηγμένων αμυντικών προγραµµάτων, οι επιθέσεις αυτές μπορεί να περιλαμβάνουν:

• Πληροφοριακές επιθέσεις για την αύξηση της καθυστέρησης του εξοπλισμού και την πρόκληση σωματικών ασθενειών.
• Τοποθέτηση αντικειμένων του πραγματικού κόσμου για να κατακλύσουν τις οθόνες.
• Υπονόμευση δικτύου προσωπικής περιοχής για τη δημιουργία σύγχυσης.
• Εισαγωγή εικονικών δεδομένων για την απόσπαση της προσοχής του προσωπικού.
• Χρήση αντικειμένων για τον κατακλυσμό του χρήστη με σύγχυση από ψευδείς συναγερμούς.
• Αξιολόγηση της κατάστασης του χρήστη μέσω ενός συστήματος παρακολούθησης ματιών.
• Άλλες πιθανές επιθέσεις.

"Το πρόγραμμα ICS επιδιώκει την πρωτοποριακή καινοτομία στην υπολογιστική επιστήμη για την κατασκευή τακτικών συστημάτων μικτής πραγματικότητας που προστατεύουν από γνωστικές επιθέσεις
"DARPA, πρόγραμμα "Intrinsic Cognitive Security" (ICS), Οκτώβριος 2023

Εκτός από τις στρατιωτικές εφαρμογές, το νέο πρόγραμμα ICS της DARPA θα μπορούσε να μας δώσει μια γεύση από το μέλλον του εμπορικού metaverse και πώς οι κακόβουλοι φορείς θα μπορούσαν να χειρίζονται περιβάλλοντα μικτής πραγματικότητας με κακόβουλους τρόπους.
Εγκληματικές ομάδες, κυβερνήσεις και εταιρείες θα μπορούσαν να οπλοποιήσουν το metaverse χειραγωγώντας συστήματα μικτής πραγματικότητας σε πραγματικό χρόνο, ώστε να είναι σε θέση να βλέπουν ό,τι βλέπετε, να γνωρίζουν τι αισθάνεστε και να τοποθετούν ενδεχομένως παραπλανητικές πληροφορίες προκειμένου να επιτύχουν μια επιθυμητή αντίδραση.

Μια ερευνητική εργασία που δημοσιεύθηκε στο Procedia Computer Science το 2020 απαριθμεί πέντε τύπους απειλών για τα περιβάλλοντα μικτής πραγματικότητας:

• Προστασία εισόδων: Περιλαμβάνει προκλήσεις για τη διασφάλιση της ασφάλειας και της ιδιωτικότητας των δεδομένων που συλλέγονται και εισάγονται στην πλατφόρμα MR.
  • Παράδειγμα: Τα γυαλιά MR μπορούν να καταγράφουν τις ευαίσθητες πληροφορίες στην οθόνη του υπολογιστή του χρήστη, όπως μηνύματα ηλεκτρονικού ταχυδρομείου, αρχεία καταγραφής συνομιλιών. Αυτές οι απαραίτητες προστασίες μπορούν να αντιστοιχιστούν στις ιδιότητες της απόκρυψης, της μη παρατηρησιμότητας και μη ανιχνευσιμότητας και της επίγνωσης του περιεχομένου. 

• Προστασία δεδομένων: Ένας μεγάλος όγκος δεδομένων που συλλέγονται από τους αισθητήρες αποθηκεύεται στη βάση δεδομένων ή σε άλλες μορφές αποθήκευσης δεδομένων. Οι κύριες απειλές για τη συλλογή δεδομένων είναι, μεταξύ άλλων, η αλλοίωση, η άρνηση παροχής υπηρεσιών και η μη εξουσιοδοτημένη πρόσβαση.
  • Παράδειγμα: Ένας επιτιθέμενος μπορεί να αλλοιώσει τους στόχους MR για να αποσπάσει μια διαφορετική απόκριση από το σύστημα ή να απορρίψει εντελώς μια υπηρεσία. Εκτός από τις απειλές ασφάλειας, η ελκυστικότητα, η ανιχνευσιμότητα και η αναγνωρισιμότητα είναι μερικές από τις απειλές προστασίας της ιδιωτικής ζωής που προκύπτουν από τη συνεχή ή επίμονη συλλογή δεδομένων.

• Προστασία εξόδων: Μετά την επεξεργασία των δεδομένων, η εφαρμογή στέλνει την έξοδο στη συσκευή MR που πρόκειται να εμφανιστεί. Στο MR οι εφαρμογές μπορεί να έχουν πρόσβαση σε άλλες εξόδους εφαρμογών και έτσι μπορούν να τροποποιήσουν αυτές τις εξόδους καθιστώντας τες αναξιόπιστες.
  • Παράδειγμα: Οι οθόνες εξόδου είναι ευάλωτες σε απειλές φυσικών συμπερασμάτων ή σε εκμεταλλεύσεις οπτικού καναλιού, όπως επιθέσεις shoulder-surfing. Αυτές είναι οι ίδιες απειλές για τις εισόδους του χρήστη, ειδικά όταν οι διεπαφές εισόδου και εξόδου βρίσκονται στο ίδιο μέσο ή είναι ενσωματωμένες μαζί.

• Προστασία αλληλεπίδρασης χρήστη: Η MR περιλαμβάνει τη χρήση άλλων διεπαφών ανίχνευσης και απεικόνισης για να επιτρέψει την εμβυθιστική αλληλεπίδραση. Μια από τις βασικές προοπτικές είναι πώς οι χρήστες μπορούν να μοιράζονται εμπειρίες MR με εγγύηση της ασφάλειας και του απορρήτου των πληροφοριών.
  • Παράδειγμα: Ένας επιτιθέμενος χρήστης μπορεί δυνητικά να αλλοιώσει, να παραποιήσει ή να αποκηρύξει κακόβουλες ενέργειες κατά τη διάρκεια αυτών των αλληλεπιδράσεων. Κατά συνέπεια, οι πραγματικοί χρήστες ενδέχεται να υποστούν άρνηση παροχής υπηρεσιών. Επιπλέον, τα προσωπικά τους δεδομένα ενδέχεται να έχουν παραβιαστεί, διαρρεύσει και χρησιμοποιηθεί.

• Προστασία συσκευών: Οι διεπαφές MR εκτίθενται σε κακόβουλη και επιβλαβή ερμηνεία που οδηγεί στην ανακάλυψη των πληροφοριών εισόδου και εξόδου της οθόνης.
  • Παράδειγμα: Οι οθόνες που τοποθετούνται στο κεφάλι (HMD) προβάλλουν το περιεχόμενο μέσω των φακών τους, το οποίο μπορούν να δουν άλλοι άνθρωποι από έξω, οδηγώντας σε διαρροή και εξωτερική παρατήρηση. Συσκευές όπως μια κάμερα, οι οποίες κατηγοριοποιούνται επίσης ως συσκευές οπτικής σύλληψης, χρησιμοποιούνται για τη σύλληψη και την εξαγωγή αυτών των πληροφοριών που διέρρευσαν από τις HMD.

Μια έκθεση της Kaspersky προσθέτει: "Είναι σχεδόν αδύνατο να ανωνυμοποιηθούν τα δεδομένα παρακολούθησης VR και AR, επειδή τα άτομα έχουν μοναδικά μοτίβα κίνησης. Χρησιμοποιώντας τις συμπεριφορικές και βιολογικές πληροφορίες που συλλέγονται στα VR headsets, οι ερευνητές έχουν ταυτοποιήσει τους χρήστες με πολύ υψηλό βαθμό ακρίβειας - παρουσιάζοντας ένα πραγματικό πρόβλημα εάν τα συστήματα VR παραβιαστούν".

Για το πρόγραμμα ICS της DARPA, η βασική τεχνική υπόθεση είναι ότι "οι τυπικές μέθοδοι μπορούν να επεκταθούν με γνωστικές εγγυήσεις και μοντέλα για την προστασία των χρηστών μικτής πραγματικότητας από επιθέσεις νοητικής φύσης".

Καθώς "τα γνωσιακά μοντέλα αντιπροσωπεύουν πτυχές της ανθρώπινης αντίληψης, δράσης, μνήμης και συλλογισμού", το πρόγραμμα ICS της DARPA θα "επεκτείνει τις τυπικές μεθόδους δημιουργώντας και αναλύοντας ρητά γνωσιακά και άλλα μοντέλα ως μέρος της ανάπτυξης συστημάτων MR για την προστασία του εμπόλεμου φορέα από τις επιθέσεις των αντιπάλων".

"Η μεικτή πραγματικότητα ενσωματώνει εικονικούς και πραγματικούς κόσμους σε πραγματικό χρόνο και θα είναι διάχυτη στις μελλοντικές στρατιωτικές αποστολές, συμπεριλαμβανομένων των αποστολών στις οποίες εμπλέκονται και στρατιώτες χωρίς φυσική παρουσία"
DARPA, πρόγραμμα Intrinsic Cognitive Security (ICS), Οκτώβριος 2023

Εδώ και χρόνια, το Υπουργείο Άμυνας των ΗΠΑ (DoD) χρηματοδοτεί την έρευνα για να εξοπλίσει τους στρατιώτες του με τεχνολογίες που ενισχύουν τις δυνατότητές τους. Για παράδειγμα, τόσο η DARPA όσο και η Μονάδα Αμυντικής Καινοτομίας (DIU) εξετάζουν τη μεικτή πραγματικότητα και τις φορητές συσκευές για τους χειριστές ώστε να αλληλεπιδρούν με έως και 250 αυτόνομα οχήματα μέσω μιας στρατιωτικής τακτικής γνωστής ως σμήνος.
Το 2018, η DARPA ξεκίνησε το πρόγραμμα OFFensive Swarm-Enabled Tactics (OFFSET) για την αξιοποίηση της επαυξημένης και εικονικής πραγματικότητας, μαζί με τεχνολογίες που βασίζονται στη φωνή, τις χειρονομίες και την αφή, ώστε οι χρήστες να μπορούν να αλληλεπιδρούν ταυτόχρονα με εκατοντάδες μη επανδρωμένες πλατφόρμες σε πραγματικό χρόνο.
Και τον Μάρτιο του 2021, η DIU αναζητούσε εμπορικές λύσεις που θα επέτρεπαν στους στρατιώτες να χειρίζονται πολλαπλούς τύπους μη επανδρωμένων εναέριων και χερσαίων οχημάτων χρησιμοποιώντας φορητούς και φορητούς ελεγκτές.

Πλέον, το Πεντάγωνο επιδιώκει να προστατεύσει τους χρήστες από επιθέσεις νοητικής φύσης σε αυτά τα περιβάλλοντα μικτής πραγματικότητας.
Οι λύσεις που θα προκύψουν από το πρόγραμμα ICS της DARPA θα περάσουν στον εμπορικό τομέα για την προστασία των ιδιωτών στο metaverse;
Θα μπορούσαν η τεχνολογία και οι τακτικές που αναπτύχθηκαν να χρησιμοποιηθούν για μελλοντικές εκστρατείες PSYOP και επιρροής από μόνες τους;

Η ημέρα υποβολής προτάσεων για το πρόγραμμα ICS ήταν προγραμματισμένη για τις 20 Οκτωβρίου 2023 στο Άρλινγκτον της Βιρτζίνια.

Ένα από τα παλαιότερα τεχνάσματα κακόβουλου λογισμικού - οι παραβιασμένοι ιστότοποι που ισχυρίζονται ότι οι επισκέπτες πρέπει να ενημερώσουν το πρόγραμμα περιήγησής τους για να μπορέσουν να δουν οποιοδήποτε περιεχόμενο - επανήλθε στην επικαιρότητα τους τελευταίους μήνες. Η νέα έρευνα δείχνει ότι οι επιτιθέμενοι πίσω από ένα τέτοιο σύστημα έχουν αναπτύξει έναν έξυπνο τρόπο για να μην μπορούν οι ειδικοί ασφαλείας ή οι αρχές επιβολής του νόμου να καταρρίψουν το κακόβουλο λογισμικό τους: Φιλοξενώντας τα κακόβουλα αρχεία σε μια αποκεντρωμένη, ανώνυμη αλυσίδα μπλοκ με κρυπτονομίσματα.

Τον Αύγουστο του 2023, ο ερευνητής ασφαλείας Randy McEoin έγραψε σε ιστολόγιο για μια απάτη που ονόμασε ClearFake, η οποία χρησιμοποιεί παραβιασμένους ιστότοπους WordPress για να εμφανίσει στους επισκέπτες μια σελίδα που ισχυρίζεται ότι πρέπει να ενημερώσετε το πρόγραμμα περιήγησής σας για να μπορέσετε να δείτε το περιεχόμενο. Οι ψεύτικες ειδοποιήσεις του προγράμματος περιήγησης είναι συγκεκριμένες για το πρόγραμμα περιήγησης που χρησιμοποιείτε, οπότε αν σερφάρετε στον Ιστό με το Chrome, για παράδειγμα, θα λάβετε μια προτροπή ενημέρωσης του Chrome. Όσοι ξεγελαστούν και πατήσουν το κουμπί ενημέρωσης, θα πέσει στο σύστημά τους ένα κακόβουλο αρχείο που προσπαθεί να εγκαταστήσει ένα trojan που κλέβει πληροφορίες.

Νωρίτερα αυτό το μήνα, ερευνητές της εταιρείας ασφαλείας Guardio με έδρα το Τελ Αβίβ δήλωσαν ότι εντόπισαν μια ενημερωμένη έκδοση της απάτης ClearFake που περιλάμβανε μια σημαντική εξέλιξη. Προηγουμένως, η ομάδα είχε αποθηκεύσει τα κακόβουλα αρχεία ενημέρωσης στο Cloudflare. Αλλά όταν η Cloudflare μπλόκαρε αυτούς τους λογαριασμούς, οι επιτιθέμενοι άρχισαν να αποθηκεύουν τα κακόβουλα αρχεία τους ως συναλλαγές κρυπτονομισμάτων στην έξυπνη αλυσίδα Binance (BSC), μια τεχνολογία που έχει σχεδιαστεί για την εκτέλεση αποκεντρωμένων εφαρμογών και "έξυπνων συμβολαίων" ή κωδικοποιημένων συμφωνιών που εκτελούν ενέργειες αυτόματα όταν πληρούνται ορισμένες προϋποθέσεις.

Ο Nati Tal, επικεφαλής ασφάλειας της Guardio Labs, της ερευνητικής μονάδας της Guardio, δήλωσε ότι τα κακόβουλα σενάρια που έχουν συρραφεί σε χακαρισμένους ιστότοπους WordPress θα δημιουργήσουν ένα νέο έξυπνο συμβόλαιο στην αλυσίδα μπλοκ BSC, ξεκινώντας με μια μοναδική, ελεγχόμενη από τον επιτιθέμενο διεύθυνση blockchain και ένα σύνολο οδηγιών που καθορίζει τις λειτουργίες και τη δομή του συμβολαίου. Όταν το εν λόγω συμβόλαιο ερωτηθεί από έναν παραβιασμένο ιστότοπο, θα επιστρέψει ένα κακόβουλο αρχείο.

Ο Tal δήλωσε ότι η φιλοξενία κακόβουλων αρχείων στην έξυπνη αλυσίδα Binance είναι ιδανική για τους επιτιθέμενους, επειδή η ανάκτηση ενός (κακόβουλου στη περίπτωσή μας) συμβολαίου είναι μια λειτουργία χωρίς κόστος που αρχικά σχεδιάστηκε για τον σκοπό της αποσφαλμάτωσης προβλημάτων εκτέλεσης συμβολαίων χωρίς αντίκτυπο στον πραγματικό κόσμο.

"Έτσι, έχετε έναν δωρεάν, μη ανιχνεύσιμο και ισχυρό τρόπο για να αποκτήσετε τα δεδομένα σας (το κακόβουλο ωφέλιμο φορτίο) χωρίς να αφήσετε ίχνη", δήλωσε ο Tal.

Σε απάντηση σε ερωτήσεις του KrebsOnSecurity, η BNB Smart Chain (BSC) δήλωσε ότι η ομάδα της γνωρίζει ότι το κακόβουλο λογισμικό κάνει κατάχρηση της αλυσίδας μπλοκ και αντιμετωπίζει ενεργά το ζήτημα. Η εταιρεία δήλωσε ότι όλες οι διευθύνσεις που σχετίζονται με την εξάπλωση του κακόβουλου λογισμικού έχουν μπει σε μαύρη λίστα και ότι οι τεχνικοί της έχουν αναπτύξει ένα μοντέλο για τον εντοπισμό μελλοντικών έξυπνων συμβολαίων που χρησιμοποιούν παρόμοιες μεθόδους για τη φιλοξενία κακόβουλων σεναρίων.

Ο Guardio λέει ότι οι απατεώνες πίσω από το σύστημα κακόβουλου λογισμικού BSC χρησιμοποιούν τον ίδιο κακόβουλο κώδικα με τους επιτιθέμενους για τους οποίους έγραψε ο McEoin τον Αύγουστο και πιθανότατα πρόκειται για την ίδια ομάδα. Όμως, μια έκθεση που δημοσιεύθηκε σήμερα από την εταιρεία ασφάλειας ηλεκτρονικού ταχυδρομείου Proofpoint αναφέρει ότι η εταιρεία παρακολουθεί επί του παρόντος τουλάχιστον τέσσερις διαφορετικές ομάδες απειλών που χρησιμοποιούν ψεύτικες ενημερώσεις του προγράμματος περιήγησης για τη διανομή κακόβουλου λογισμικού.

Η Proofpoint σημειώνει ότι η βασική ομάδα που βρίσκεται πίσω από το σύστημα ψεύτικων ενημερώσεων του προγράμματος περιήγησης χρησιμοποιεί αυτή την τεχνική για τη διάδοση κακόβουλου λογισμικού τα τελευταία πέντε χρόνια, κυρίως επειδή η προσέγγιση εξακολουθεί να λειτουργεί καλά. "Τα δέλεαρ των ψεύτικων ενημερώσεων του προγράμματος περιήγησης είναι αποτελεσματικά επειδή οι απειλητικοί παράγοντες χρησιμοποιούν την εκπαίδευση ενός τελικού χρήστη σε θέματα ασφάλειας εναντίον τους", έγραψε ο Dusty Miller της Proofpoint. "Στην εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας, οι χρήστες ενημερώνονται να αποδέχονται μόνο ενημερώσεις ή να κάνουν κλικ σε συνδέσμους από γνωστούς και αξιόπιστους ιστότοπους ή άτομα και να επαληθεύουν ότι οι ιστότοποι είναι νόμιμοι. Οι ψεύτικες ενημερώσεις του προγράμματος περιήγησης κάνουν κατάχρηση αυτής της εκπαίδευσης, επειδή θέτουν σε κίνδυνο αξιόπιστες τοποθεσίες και χρησιμοποιούν αιτήματα JavaScript για να κάνουν αθόρυβα ελέγχους στο παρασκήνιο και να αντικαταστήσουν την υπάρχουσα ιστοσελίδα με ένα δέλεαρ ενημέρωσης του προγράμματος περιήγησης. Για τον τελικό χρήστη, εξακολουθεί να φαίνεται ότι είναι ο ίδιος ιστότοπος που σκόπευε να επισκεφθεί και τώρα του ζητάει να ενημερώσει το πρόγραμμα περιήγησής του".

Πριν από περισσότερο από μια δεκαετία, ο ιστότοπος krebsonsecurity.com, δημοσίευσε τους Τρεις Κανόνες του Krebs για την ασφάλεια στο διαδίκτυο, εκ των οποίων ο Κανόνας 1 ήταν: "Αν δεν πήγες να το ψάξεις, μην το εγκαταστήσεις". Είναι ωραίο να γνωρίζουμε ότι αυτή η τεχνολογικά αδιάφορη προσέγγιση για την ασφάλεια στο διαδίκτυο παραμένει το ίδιο επίκαιρη και σήμερα.

Ένας δράστης απειλών χρησιμοποιεί ψεύτικες αναρτήσεις στο LinkedIn και άμεσα μηνύματα σχετικά με μια θέση ειδικού στις διαφημίσεις στο Facebook στην εταιρεία κατασκευής υλικού Corsair για να παρασύρει τους χρήστες να κατεβάσουν κακόβουλο λογισμικό που κλέβει πληροφορίες, όπως το DarkGate και το RedLine.

Η εταιρεία κυβερνοασφάλειας WithSecure εντόπισε και παρακολούθησε τη δραστηριότητα της ομάδας, δείχνοντας σε σημερινή έκθεση ότι συνδέεται με βιετναμέζικες ομάδες κυβερνοεγκληματιών που είναι υπεύθυνες για τις εκστρατείες "Ducktail" που εντοπίστηκαν για πρώτη φορά πέρυσι. Οι εκστρατείες αυτές έχουν ως στόχο την κλοπή πολύτιμων επαγγελματικών λογαριασμών στο Facebook, οι οποίοι μπορούν να χρησιμοποιηθούν για κακόβουλη διαφήμιση ή να πωληθούν σε άλλους εγκληματίες του κυβερνοχώρου.

Το DarkGate εντοπίστηκε για πρώτη φορά το 2017, αλλά η ανάπτυξή του παρέμεινε περιορισμένη μέχρι τον Ιούνιο του 2023, όταν ο δημιουργός του αποφάσισε να πουλήσει την πρόσβαση στο κακόβουλο λογισμικό σε μεγαλύτερο κοινό. Πρόσφατα παραδείγματα χρήσης του DarkGate περιλαμβάνουν επιθέσεις phishing μέσω του Microsoft Teams που μεταφέρουν το "φορτίο" και την αξιοποίηση παραβιασμένων λογαριασμών Skype για την αποστολή σεναρίων VBS για την ενεργοποίηση μιας αλυσίδας μόλυνσης που οδηγεί στο κακόβουλο λογισμικό.

Το Δόλωμα της Corsair

Οι Βιετναμέζοι φορείς απειλών στόχευσαν κυρίως χρήστες στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ινδία, οι οποίοι κατέχουν θέσεις διαχείρισης κοινωνικών μέσων και είναι πιθανό να έχουν πρόσβαση σε επαγγελματικούς λογαριασμούς στο Facebook. Το δέλεαρ παραδίδεται μέσω του LinkedIn και περιλαμβάνει μια προσφορά εργασίας στην Corsair. Οι στόχοι εξαπατώνται για να κατεβάσουν κακόβουλα αρχεία από μια διεύθυνση URL("g2[.]by/corsair-JD") που ανακατευθύνει στο Google Drive ή στο Dropbox για την ανάκτηση ενός αρχείου ZIP ("Salary and new products.8.4.zip") με ένα έγγραφο PDF ή DOCX και ένα αρχείο TXT με τα ακόλουθα ονόματα:

• Job Description of Corsair.docx
• Salary and new products.txt
• PDF Salary and Products.pdf

Οι ερευνητές του WithSecure ανέλυσαν τα μεταδεδομένα για τα παραπάνω αρχεία και βρήκαν στοιχεία που οδηγούν στη διανομή του RedLine stealer. Το αρχείο που κατεβάστηκε περιέχει ένα σενάριο VBS, πιθανώς ενσωματωμένο στο αρχείο DOCX, το οποίο αντιγράφει και μετονομάζει το 'curl.exe' σε μια νέα τοποθεσία και το αξιοποιεί για να κατεβάσει το 'autoit3.exe' και ένα μεταγλωττισμένο σενάριο Autoit3. Το εκτελέσιμο αρχείο εκκινεί τη δέσμη ενεργειών, και η τελευταία "αποσυντίθεται" και κατασκευάζει το DarkGate χρησιμοποιώντας συμβολοσειρές που υπάρχουν στη δέσμη ενεργειών. Τριάντα δευτερόλεπτα μετά την εγκατάσταση, το κακόβουλο λογισμικό επιχειρεί να απεγκαταστήσει προϊόντα ασφαλείας από το παραβιασμένο σύστημα, υποδεικνύοντας την ύπαρξη μιας αυτοματοποιημένης διαδικασίας.

Το LinkedIn εισήγαγε χαρακτηριστικά για την καταπολέμηση της κατάχρησης στην πλατφόρμα στα τέλη του περασμένου έτους, τα οποία μπορούν να βοηθήσουν τους χρήστες να προσδιορίσουν αν ένας λογαριασμός είναι ύποπτος ή ψεύτικος. Ωστόσο, εναπόκειται στους χρήστες να ελέγχουν τις επαληθευμένες πληροφορίες πριν εμπλακούν σε επικοινωνία με έναν νέο λογαριασμό.

Η WithSecure δημοσίευσε έναν κατάλογο δεικτών παραβίασης (IoCs - indicators of compromise) που θα μπορούσαν να βοηθήσουν τους οργανισμούς να αμυνθούν κατά της δραστηριότητας αυτού του παράγοντα απειλής. Τα στοιχεία περιλαμβάνουν διευθύνσεις IP, τομείς που χρησιμοποιούνται, διευθύνσεις URL, μεταδεδομένα αρχείων και ονόματα αρχείων.

Η δημοφιλής εφαρμογή ανταλλαγής μηνυμάτων Telegram μπορεί να διαρρεύσει τη διεύθυνση IP σας, αν απλά προσθέσετε έναν χάκερ στις επαφές σας και δεχτείτε μια τηλεφωνική κλήση από αυτόν. Ο Denis Simonov, ένας ερευνητής ασφαλείας, ο οποίος είναι επίσης γνωστός ως n0a, ανέδειξε πρόσφατα το ζήτημα και έγραψε ένα απλό εργαλείο για την εκμετάλλευσή του. Το TechCrunch επαλήθευσε τα ευρήματα του ερευνητή προσθέτοντας τον Simonov στις επαφές ενός πρόσφατα δημιουργημένου λογαριασμού Telegram. Στη συνέχεια, ο Simonov κάλεσε τον λογαριασμό και λίγο αργότερα παρείχε στο TechCrunch τη διεύθυνση IP του υπολογιστή όπου γινόταν το πείραμα.

Το Telegram μπορεί να υπερηφανεύεται για 700 εκατομμύρια χρήστες σε όλο τον κόσμο, και ανέκαθεν διαφήμιζε τον εαυτό του ως μια "ασφαλή" και "ιδιωτική" εφαρμογή ανταλλαγής μηνυμάτων, παρόλο που οι ειδικοί έχουν επανειλημμένα προειδοποιήσει ότι το Telegram δεν είναι τόσο ασφαλές όσο η κρυπτογραφημένη από άκρο σε άκρο εφαρμογή Signal, για παράδειγμα.

Το γεγονός ότι το Telegram διαρρέει τη διεύθυνση IP σας στα άτομα στις επαφές σας κατά τη διάρκεια μιας φωνητικής κλήσης είναι γνωστό εδώ και χρόνια, αλλά είναι πιθανό ότι οι νέοι, λιγότερο τεχνικοί χρήστες μπορεί να μην το γνωρίζουν. Ο Simonov, ο οποίος εργάζεται για την εταιρεία κυβερνοασφάλειας T.Hunter, δήλωσε στο TechCrunch: "Το Telegram εστιάζει στην ασφάλεια και την ιδιωτικότητα, ωστόσο, για να παραμείνετε ασφαλείς πρέπει να γνωρίζετε τις αποχρώσεις του τρόπου λειτουργίας των φωνητικών κλήσεων του messenger".

Ο λόγος για τον οποίο το Telegram διαρρέει τις διευθύνσεις IP ενός χρήστη κατά τη διάρκεια μιας κλήσης είναι ότι, από προεπιλογή, το Telegram χρησιμοποιεί μια peer-to-peer σύνδεση μεταξύ των καλούντων "για καλύτερη ποιότητα και μειωμένη καθυστέρηση", δήλωσε στο TechCrunch ο εκπρόσωπος του Telegram Remi Vaughn. "Το μειονέκτημα αυτού είναι ότι απαιτεί και οι δύο πλευρές να γνωρίζουν τη διεύθυνση IP της άλλης (αφού πρόκειται για απευθείας σύνδεση). Σε αντίθεση με άλλους messengers, οι κλήσεις από όσους δεν βρίσκονται στη λίστα επαφών σας θα δρομολογούνται μέσω των διακομιστών του Telegram για να το αποκρύψουν αυτό", δήλωσε ο Vaughn.

Για να αποφύγετε τη διαρροή της διεύθυνσης IP σας, πρέπει να μεταβείτε στις Ρυθμίσεις του Telegram > Απόρρητο και ασφάλεια > Κλήσεις και στη συνέχεια να επιλέξετε "Ποτέ" στο μενού Peer-to-Peer.

Έχει διαπιστωθεί ότι και άλλες εφαρμογές ανταλλαγής μηνυμάτων και κλήσεων διαρρέουν διευθύνσεις IP. Το 2017, ένας ερευνητής διαπίστωσε ότι το WhatsApp διαρρέει μεταδεδομένα με τρόπο που θα μπορούσε να επιτρέψει στους χάκερ να βρουν τη διεύθυνση IP ενός χρήστη. Τον Αύγουστο, το 404 Media ανέφερε ότι οι χάκερ μπορούσαν να αποκαλύψουν τη διεύθυνση IP κάποιου χρήστη στο Skype χωρίς καμία αλληλεπίδραση.

Η Microsoft δήλωσε τότε ότι θα διορθώσει την ευπάθεια. Η Telegram, από την άλλη πλευρά, πιστεύει ξεκάθαρα ότι η εφαρμογή πρέπει να λειτουργεί ακριβώς έτσι.