Ένα ισχυρό κακόβουλο λογισμικό μεταμφιέζεται σε ένα πρόγραμμα εξόρυξης κρυπτονομισμάτων για να αποφύγει την ανίχνευση για περισσότερα από πέντε χρόνια, σύμφωνα με τον πάροχο antivirus Kaspersky. Το κακόβουλο λογισμικό "StripedFly" έχει μολύνει πάνω από 1 εκατομμύριο υπολογιστές Windows και Linux σε όλο τον κόσμο από το 2016, αναφέρει η Kaspersky σε έκθεση που δημοσιεύθηκε σήμερα.

Οι ερευνητές ασφαλείας της εταιρείας άρχισαν να ερευνούν την απειλή πέρυσι, όταν παρατήρησαν ότι τα προϊόντα antivirus της Kaspersky σημείωσαν δύο ανιχνεύσεις στο WINNIT.exe, το οποίο βοηθά στην εκκίνηση του λειτουργικού συστήματος των Windows. Οι ανιχνεύσεις εντοπίστηκαν στη συνέχεια στο StripedFly, το οποίο αρχικά είχε ταξινομηθεί ως εξορύκτης κρυπτονομισμάτων. Αλλά κατά την περαιτέρω εξέταση, οι ερευνητές της Kaspersky παρατήρησαν ότι ο miner είναι απλώς ένα συστατικό ενός πολύ πιο σύνθετου κακόβουλου λογισμικού που υιοθετεί τεχνικές που πιστεύεται ότι προέρχονται από την Εθνική Υπηρεσία Ασφαλείας των ΗΠΑ. Συγκεκριμένα, το StripedFly ενσωμάτωσε μια έκδοση του EternalBlue, του διαβόητου exploit που ανέπτυξε η NSA, το οποίο διέρρευσε αργότερα και χρησιμοποιήθηκε στην επίθεση ransomware WannaCry για να μολύνει εκατοντάδες χιλιάδες μηχανήματα Windows το 2017. 

Σύμφωνα με την Kaspersky, το StripedFly χρησιμοποιεί τη δική του προσαρμοσμένη επίθεση EternalBlue για να διεισδύσει σε μη ενημερωμένα συστήματα Windows και να εξαπλωθεί αθόρυβα σε όλο το δίκτυο του θύματος, συμπεριλαμβανομένων των μηχανημάτων Linux που μπορεί αυτό να διαθέτει. Το κακόβουλο λογισμικό μπορεί στη συνέχεια να συλλέξει ευαίσθητα δεδομένα από τους μολυσμένους υπολογιστές, όπως διαπιστευτήρια σύνδεσης και προσωπικά δεδομένα.

Για να αποφύγουν την ανίχνευση, οι δημιουργοί πίσω από το StripedFly κατέληξαν σε μια νέα μέθοδο, προσθέτοντας μια μονάδα εξόρυξης κρυπτονομισμάτων για να εμποδίσουν τα συστήματα antivirus να ανακαλύψουν τις πλήρεις δυνατότητες του κακόβουλου λογισμικού. "Περιοδικά, η λειτουργικότητα του κακόβουλου λογισμικού εντός της κύριας μονάδας παρακολουθεί τη διαδικασία εξόρυξης και την επανεκκινεί, εάν είναι απαραίτητο", πρόσθεσε η Kaspersky. "Αναφέρει επίσης υπάκουα στον διακομιστή C2 το hash rate, χρόνο εργασίας, ανακαλυφθέντα nonces και στατιστικά στοιχεία σφαλμάτων".

Δεν είναι σαφές ποιος ανέπτυξε το StripedFly. Παρόλο που το κακόβουλο λογισμικό περιέχει μια επίθεση που προέρχεται από την NSA, το exploit EternalBlue της υπηρεσίας διέρρευσε στο κοινό τον Απρίλιο του 2017 μέσω μιας μυστηριώδους ομάδας που είναι γνωστή ως "Shadow Brokers".

Ένα χρόνο νωρίτερα, πριν από τη διαρροή, Κινέζοι χάκερς είχαν επίσης εντοπιστεί να χρησιμοποιούν το exploit EternalBlue. Εν τω μεταξύ, η Kaspersky σημειώνει ότι η πρώτη ανίχνευση του StripedFly χρονολογείται από τις 9 Απριλίου 2016.  Συν τοις άλλοις, μια έκδοση του StripedFly χρησιμοποιήθηκε σε επίθεση ransomware με την ονομασία ThunderCrypt, καθιστώντας τον απώτερο στόχο του κακόβουλου λογισμικού λιγότερο σαφή.

Αλλά τελικά, φαίνεται ότι το κακόβουλο λογισμικό πέτυχε τους στόχους του. Παρόλο που η Microsoft κυκλοφόρησε ένα patch για το EternalBlue τον Μάρτιο του 2017, πολλά συστήματα Windows απέτυχαν να το εγκαταστήσουν, επιτρέποντας στο StripedFly να συνεχίσει τη λειτουργία του.

Τα διαπιστευτήρια ασφαλείας, όπως τα ονόματα χρήστη και οι κωδικοί πρόσβασης, αποτελούν δελεαστικό στόχο για τους χάκερ και ακόμη και οι καλύτεροι διαχειριστές κωδικών πρόσβασης μπορεί να απειλούνται από καιρό σε καιρό. Αυτό συνέβη πρόσφατα με τον δημοφιλή διαχειριστή κωδικών πρόσβασης 1Password, ο οποίος αποκάλυψε πρόσφατα, ότι το σύστημα υποστήριξης Okta παραβιάστηκε από κακόβουλους χάκερ.

Ευτυχώς, δεν φαίνεται να εκλάπησαν δεδομένα πελατών, οπότε αν χρησιμοποιείτε το 1Password, οι πληροφορίες σύνδεσής σας θα πρέπει να είναι ασφαλείς προς το παρόν. Ωστόσο, είναι πάντα καλό να ενημερώνετε τακτικά τους κωδικούς σας (ή να χρησιμοποιείτε passkeys) σε περίπτωση που πέσουν σε λάθος χέρια.

Σε μια ανάρτηση στο ιστολόγιό της, η 1Password εξήγησε την κατάσταση. "Εντοπίσαμε ύποπτη δραστηριότητα στην παρουσία μας στην Okta που σχετίζεται με το περιστατικό του συστήματος υποστήριξης", δήλωσε η 1Password. "Μετά από ενδελεχή έρευνα, καταλήξαμε στο συμπέρασμα ότι δεν υπήρξε πρόσβαση σε δεδομένα χρηστών της 1Password". Μετά τον εντοπισμό ύποπτης δραστηριότητας στις 29 Σεπτεμβρίου, η 1Password "τερμάτισε αμέσως τη δραστηριότητα, διερεύνησε και δεν διαπίστωσε καμία παραβίαση των δεδομένων των χρηστών ή άλλων ευαίσθητων συστημάτων, είτε σε επίπεδο εργαζομένων είτε σε επίπεδο χρηστών".

Η σύνδεση του περιστατικού με την Okta είναι ενδιαφέρουσα επειδή αποκαλύπτει μια βασική ευπάθεια. Η Okta βοηθά τις εταιρείες να διαχειρίζονται τους χρήστες τους και να διασφαλίζουν ότι όλοι μπορούν να συνδεθούν με ασφάλεια και προσφέρει επίσης υποστήριξη για αυτή τη διαδικασία. Στο πλαίσιο αυτό, οι πελάτες μερικές φορές ανεβάζουν αρχεία για να βοηθήσουν στη διάγνωση προβλημάτων, αλλά αυτά τα αρχεία μπορεί να περιέχουν ευαίσθητα δεδομένα, όπως tokens συνεδρίας και δεδομένα σύνδεσης.

Σύμφωνα με μια λεπτομερή αναφορά από την 1Password, ένας χάκερ έκλεψε ένα cookie συνεδρίας από έναν υπάλληλο πληροφορικής της 1Password και στη συνέχεια προσπάθησε να αποκτήσει πρόσβαση στο ταμπλό του εργαζομένου και να ζητήσει μια λίστα με τους χρήστες διαχειριστές. Ευτυχώς, η πρώτη ενέργεια μπλοκαρίστηκε από την Okta, ενώ η δεύτερη οδήγησε στην αποστολή ενός αυτοματοποιημένου email σε άλλους διαχειριστές της 1Password, το οποίο τους ειδοποίησε για την παραβίαση.

Ενώ οι πληροφορίες σύνδεσής σας είναι ασφαλείς -δεν φαίνεται να έχει αποκτήσει πρόσβαση σε δεδομένα χρηστών ο χάκερ- δείχνει πόσο εύκολα μπορούν να παραβιαστούν φαινομενικά ασφαλή συστήματα από κακούς παράγοντες. Ως απάντηση στο περιστατικό, η 1Password αναφέρει ότι μείωσε τον αριθμό των χρηστών "super admin", εφάρμοσε αυστηρότερους κανόνες σύνδεσης για τους διαχειριστές και έλαβε άλλα μέτρα.

Παρά το επεισόδιο αυτό, θα πρέπει να εξακολουθείτε να επιλέγετε έναν από τους καλύτερους διαχειριστές κωδικών πρόσβασης για να διατηρείτε τα δεδομένα σύνδεσής σας ασφαλή. Εξάλλου, η χρήση μιας εφαρμογής για τη δημιουργία και την αποθήκευση μοναδικών κωδικών πρόσβασης για εσάς είναι πολύ πιο ασφαλής από τη χρήση των ίδιων εύκολα μαντεύσιμων στοιχείων σύνδεσης για κάθε λογαριασμό.

Η υπηρεσία έρευνας προηγμένων αμυντικών προγραµµάτων (DARPA), συγκροτεί το ερευνητικό πρόγραμμα Intrinsic Cognitive Security (ICS) "για τη δημιουργία τακτικών συστημάτων μικτής πραγματικότητας που προστατεύουν από επιθέσεις νοητικής φύσης".

Σύμφωνα με την περιγραφή του προγράμματος ICS της υπηρεσίας έρευνας προηγμένων αμυντικών προγραµµάτων, οι επιθέσεις αυτές μπορεί να περιλαμβάνουν:

• Πληροφοριακές επιθέσεις για την αύξηση της καθυστέρησης του εξοπλισμού και την πρόκληση σωματικών ασθενειών.
• Τοποθέτηση αντικειμένων του πραγματικού κόσμου για να κατακλύσουν τις οθόνες.
• Υπονόμευση δικτύου προσωπικής περιοχής για τη δημιουργία σύγχυσης.
• Εισαγωγή εικονικών δεδομένων για την απόσπαση της προσοχής του προσωπικού.
• Χρήση αντικειμένων για τον κατακλυσμό του χρήστη με σύγχυση από ψευδείς συναγερμούς.
• Αξιολόγηση της κατάστασης του χρήστη μέσω ενός συστήματος παρακολούθησης ματιών.
• Άλλες πιθανές επιθέσεις.

"Το πρόγραμμα ICS επιδιώκει την πρωτοποριακή καινοτομία στην υπολογιστική επιστήμη για την κατασκευή τακτικών συστημάτων μικτής πραγματικότητας που προστατεύουν από γνωστικές επιθέσεις
"DARPA, πρόγραμμα "Intrinsic Cognitive Security" (ICS), Οκτώβριος 2023

Εκτός από τις στρατιωτικές εφαρμογές, το νέο πρόγραμμα ICS της DARPA θα μπορούσε να μας δώσει μια γεύση από το μέλλον του εμπορικού metaverse και πώς οι κακόβουλοι φορείς θα μπορούσαν να χειρίζονται περιβάλλοντα μικτής πραγματικότητας με κακόβουλους τρόπους.
Εγκληματικές ομάδες, κυβερνήσεις και εταιρείες θα μπορούσαν να οπλοποιήσουν το metaverse χειραγωγώντας συστήματα μικτής πραγματικότητας σε πραγματικό χρόνο, ώστε να είναι σε θέση να βλέπουν ό,τι βλέπετε, να γνωρίζουν τι αισθάνεστε και να τοποθετούν ενδεχομένως παραπλανητικές πληροφορίες προκειμένου να επιτύχουν μια επιθυμητή αντίδραση.

Μια ερευνητική εργασία που δημοσιεύθηκε στο Procedia Computer Science το 2020 απαριθμεί πέντε τύπους απειλών για τα περιβάλλοντα μικτής πραγματικότητας:

• Προστασία εισόδων: Περιλαμβάνει προκλήσεις για τη διασφάλιση της ασφάλειας και της ιδιωτικότητας των δεδομένων που συλλέγονται και εισάγονται στην πλατφόρμα MR.
  • Παράδειγμα: Τα γυαλιά MR μπορούν να καταγράφουν τις ευαίσθητες πληροφορίες στην οθόνη του υπολογιστή του χρήστη, όπως μηνύματα ηλεκτρονικού ταχυδρομείου, αρχεία καταγραφής συνομιλιών. Αυτές οι απαραίτητες προστασίες μπορούν να αντιστοιχιστούν στις ιδιότητες της απόκρυψης, της μη παρατηρησιμότητας και μη ανιχνευσιμότητας και της επίγνωσης του περιεχομένου. 

• Προστασία δεδομένων: Ένας μεγάλος όγκος δεδομένων που συλλέγονται από τους αισθητήρες αποθηκεύεται στη βάση δεδομένων ή σε άλλες μορφές αποθήκευσης δεδομένων. Οι κύριες απειλές για τη συλλογή δεδομένων είναι, μεταξύ άλλων, η αλλοίωση, η άρνηση παροχής υπηρεσιών και η μη εξουσιοδοτημένη πρόσβαση.
  • Παράδειγμα: Ένας επιτιθέμενος μπορεί να αλλοιώσει τους στόχους MR για να αποσπάσει μια διαφορετική απόκριση από το σύστημα ή να απορρίψει εντελώς μια υπηρεσία. Εκτός από τις απειλές ασφάλειας, η ελκυστικότητα, η ανιχνευσιμότητα και η αναγνωρισιμότητα είναι μερικές από τις απειλές προστασίας της ιδιωτικής ζωής που προκύπτουν από τη συνεχή ή επίμονη συλλογή δεδομένων.

• Προστασία εξόδων: Μετά την επεξεργασία των δεδομένων, η εφαρμογή στέλνει την έξοδο στη συσκευή MR που πρόκειται να εμφανιστεί. Στο MR οι εφαρμογές μπορεί να έχουν πρόσβαση σε άλλες εξόδους εφαρμογών και έτσι μπορούν να τροποποιήσουν αυτές τις εξόδους καθιστώντας τες αναξιόπιστες.
  • Παράδειγμα: Οι οθόνες εξόδου είναι ευάλωτες σε απειλές φυσικών συμπερασμάτων ή σε εκμεταλλεύσεις οπτικού καναλιού, όπως επιθέσεις shoulder-surfing. Αυτές είναι οι ίδιες απειλές για τις εισόδους του χρήστη, ειδικά όταν οι διεπαφές εισόδου και εξόδου βρίσκονται στο ίδιο μέσο ή είναι ενσωματωμένες μαζί.

• Προστασία αλληλεπίδρασης χρήστη: Η MR περιλαμβάνει τη χρήση άλλων διεπαφών ανίχνευσης και απεικόνισης για να επιτρέψει την εμβυθιστική αλληλεπίδραση. Μια από τις βασικές προοπτικές είναι πώς οι χρήστες μπορούν να μοιράζονται εμπειρίες MR με εγγύηση της ασφάλειας και του απορρήτου των πληροφοριών.
  • Παράδειγμα: Ένας επιτιθέμενος χρήστης μπορεί δυνητικά να αλλοιώσει, να παραποιήσει ή να αποκηρύξει κακόβουλες ενέργειες κατά τη διάρκεια αυτών των αλληλεπιδράσεων. Κατά συνέπεια, οι πραγματικοί χρήστες ενδέχεται να υποστούν άρνηση παροχής υπηρεσιών. Επιπλέον, τα προσωπικά τους δεδομένα ενδέχεται να έχουν παραβιαστεί, διαρρεύσει και χρησιμοποιηθεί.

• Προστασία συσκευών: Οι διεπαφές MR εκτίθενται σε κακόβουλη και επιβλαβή ερμηνεία που οδηγεί στην ανακάλυψη των πληροφοριών εισόδου και εξόδου της οθόνης.
  • Παράδειγμα: Οι οθόνες που τοποθετούνται στο κεφάλι (HMD) προβάλλουν το περιεχόμενο μέσω των φακών τους, το οποίο μπορούν να δουν άλλοι άνθρωποι από έξω, οδηγώντας σε διαρροή και εξωτερική παρατήρηση. Συσκευές όπως μια κάμερα, οι οποίες κατηγοριοποιούνται επίσης ως συσκευές οπτικής σύλληψης, χρησιμοποιούνται για τη σύλληψη και την εξαγωγή αυτών των πληροφοριών που διέρρευσαν από τις HMD.

Μια έκθεση της Kaspersky προσθέτει: "Είναι σχεδόν αδύνατο να ανωνυμοποιηθούν τα δεδομένα παρακολούθησης VR και AR, επειδή τα άτομα έχουν μοναδικά μοτίβα κίνησης. Χρησιμοποιώντας τις συμπεριφορικές και βιολογικές πληροφορίες που συλλέγονται στα VR headsets, οι ερευνητές έχουν ταυτοποιήσει τους χρήστες με πολύ υψηλό βαθμό ακρίβειας - παρουσιάζοντας ένα πραγματικό πρόβλημα εάν τα συστήματα VR παραβιαστούν".

Για το πρόγραμμα ICS της DARPA, η βασική τεχνική υπόθεση είναι ότι "οι τυπικές μέθοδοι μπορούν να επεκταθούν με γνωστικές εγγυήσεις και μοντέλα για την προστασία των χρηστών μικτής πραγματικότητας από επιθέσεις νοητικής φύσης".

Καθώς "τα γνωσιακά μοντέλα αντιπροσωπεύουν πτυχές της ανθρώπινης αντίληψης, δράσης, μνήμης και συλλογισμού", το πρόγραμμα ICS της DARPA θα "επεκτείνει τις τυπικές μεθόδους δημιουργώντας και αναλύοντας ρητά γνωσιακά και άλλα μοντέλα ως μέρος της ανάπτυξης συστημάτων MR για την προστασία του εμπόλεμου φορέα από τις επιθέσεις των αντιπάλων".

"Η μεικτή πραγματικότητα ενσωματώνει εικονικούς και πραγματικούς κόσμους σε πραγματικό χρόνο και θα είναι διάχυτη στις μελλοντικές στρατιωτικές αποστολές, συμπεριλαμβανομένων των αποστολών στις οποίες εμπλέκονται και στρατιώτες χωρίς φυσική παρουσία"
DARPA, πρόγραμμα Intrinsic Cognitive Security (ICS), Οκτώβριος 2023

Εδώ και χρόνια, το Υπουργείο Άμυνας των ΗΠΑ (DoD) χρηματοδοτεί την έρευνα για να εξοπλίσει τους στρατιώτες του με τεχνολογίες που ενισχύουν τις δυνατότητές τους. Για παράδειγμα, τόσο η DARPA όσο και η Μονάδα Αμυντικής Καινοτομίας (DIU) εξετάζουν τη μεικτή πραγματικότητα και τις φορητές συσκευές για τους χειριστές ώστε να αλληλεπιδρούν με έως και 250 αυτόνομα οχήματα μέσω μιας στρατιωτικής τακτικής γνωστής ως σμήνος.
Το 2018, η DARPA ξεκίνησε το πρόγραμμα OFFensive Swarm-Enabled Tactics (OFFSET) για την αξιοποίηση της επαυξημένης και εικονικής πραγματικότητας, μαζί με τεχνολογίες που βασίζονται στη φωνή, τις χειρονομίες και την αφή, ώστε οι χρήστες να μπορούν να αλληλεπιδρούν ταυτόχρονα με εκατοντάδες μη επανδρωμένες πλατφόρμες σε πραγματικό χρόνο.
Και τον Μάρτιο του 2021, η DIU αναζητούσε εμπορικές λύσεις που θα επέτρεπαν στους στρατιώτες να χειρίζονται πολλαπλούς τύπους μη επανδρωμένων εναέριων και χερσαίων οχημάτων χρησιμοποιώντας φορητούς και φορητούς ελεγκτές.

Πλέον, το Πεντάγωνο επιδιώκει να προστατεύσει τους χρήστες από επιθέσεις νοητικής φύσης σε αυτά τα περιβάλλοντα μικτής πραγματικότητας.
Οι λύσεις που θα προκύψουν από το πρόγραμμα ICS της DARPA θα περάσουν στον εμπορικό τομέα για την προστασία των ιδιωτών στο metaverse;
Θα μπορούσαν η τεχνολογία και οι τακτικές που αναπτύχθηκαν να χρησιμοποιηθούν για μελλοντικές εκστρατείες PSYOP και επιρροής από μόνες τους;

Η ημέρα υποβολής προτάσεων για το πρόγραμμα ICS ήταν προγραμματισμένη για τις 20 Οκτωβρίου 2023 στο Άρλινγκτον της Βιρτζίνια.

Ένα από τα παλαιότερα τεχνάσματα κακόβουλου λογισμικού - οι παραβιασμένοι ιστότοποι που ισχυρίζονται ότι οι επισκέπτες πρέπει να ενημερώσουν το πρόγραμμα περιήγησής τους για να μπορέσουν να δουν οποιοδήποτε περιεχόμενο - επανήλθε στην επικαιρότητα τους τελευταίους μήνες. Η νέα έρευνα δείχνει ότι οι επιτιθέμενοι πίσω από ένα τέτοιο σύστημα έχουν αναπτύξει έναν έξυπνο τρόπο για να μην μπορούν οι ειδικοί ασφαλείας ή οι αρχές επιβολής του νόμου να καταρρίψουν το κακόβουλο λογισμικό τους: Φιλοξενώντας τα κακόβουλα αρχεία σε μια αποκεντρωμένη, ανώνυμη αλυσίδα μπλοκ με κρυπτονομίσματα.

Τον Αύγουστο του 2023, ο ερευνητής ασφαλείας Randy McEoin έγραψε σε ιστολόγιο για μια απάτη που ονόμασε ClearFake, η οποία χρησιμοποιεί παραβιασμένους ιστότοπους WordPress για να εμφανίσει στους επισκέπτες μια σελίδα που ισχυρίζεται ότι πρέπει να ενημερώσετε το πρόγραμμα περιήγησής σας για να μπορέσετε να δείτε το περιεχόμενο. Οι ψεύτικες ειδοποιήσεις του προγράμματος περιήγησης είναι συγκεκριμένες για το πρόγραμμα περιήγησης που χρησιμοποιείτε, οπότε αν σερφάρετε στον Ιστό με το Chrome, για παράδειγμα, θα λάβετε μια προτροπή ενημέρωσης του Chrome. Όσοι ξεγελαστούν και πατήσουν το κουμπί ενημέρωσης, θα πέσει στο σύστημά τους ένα κακόβουλο αρχείο που προσπαθεί να εγκαταστήσει ένα trojan που κλέβει πληροφορίες.

Νωρίτερα αυτό το μήνα, ερευνητές της εταιρείας ασφαλείας Guardio με έδρα το Τελ Αβίβ δήλωσαν ότι εντόπισαν μια ενημερωμένη έκδοση της απάτης ClearFake που περιλάμβανε μια σημαντική εξέλιξη. Προηγουμένως, η ομάδα είχε αποθηκεύσει τα κακόβουλα αρχεία ενημέρωσης στο Cloudflare. Αλλά όταν η Cloudflare μπλόκαρε αυτούς τους λογαριασμούς, οι επιτιθέμενοι άρχισαν να αποθηκεύουν τα κακόβουλα αρχεία τους ως συναλλαγές κρυπτονομισμάτων στην έξυπνη αλυσίδα Binance (BSC), μια τεχνολογία που έχει σχεδιαστεί για την εκτέλεση αποκεντρωμένων εφαρμογών και "έξυπνων συμβολαίων" ή κωδικοποιημένων συμφωνιών που εκτελούν ενέργειες αυτόματα όταν πληρούνται ορισμένες προϋποθέσεις.

Ο Nati Tal, επικεφαλής ασφάλειας της Guardio Labs, της ερευνητικής μονάδας της Guardio, δήλωσε ότι τα κακόβουλα σενάρια που έχουν συρραφεί σε χακαρισμένους ιστότοπους WordPress θα δημιουργήσουν ένα νέο έξυπνο συμβόλαιο στην αλυσίδα μπλοκ BSC, ξεκινώντας με μια μοναδική, ελεγχόμενη από τον επιτιθέμενο διεύθυνση blockchain και ένα σύνολο οδηγιών που καθορίζει τις λειτουργίες και τη δομή του συμβολαίου. Όταν το εν λόγω συμβόλαιο ερωτηθεί από έναν παραβιασμένο ιστότοπο, θα επιστρέψει ένα κακόβουλο αρχείο.

Ο Tal δήλωσε ότι η φιλοξενία κακόβουλων αρχείων στην έξυπνη αλυσίδα Binance είναι ιδανική για τους επιτιθέμενους, επειδή η ανάκτηση ενός (κακόβουλου στη περίπτωσή μας) συμβολαίου είναι μια λειτουργία χωρίς κόστος που αρχικά σχεδιάστηκε για τον σκοπό της αποσφαλμάτωσης προβλημάτων εκτέλεσης συμβολαίων χωρίς αντίκτυπο στον πραγματικό κόσμο.

"Έτσι, έχετε έναν δωρεάν, μη ανιχνεύσιμο και ισχυρό τρόπο για να αποκτήσετε τα δεδομένα σας (το κακόβουλο ωφέλιμο φορτίο) χωρίς να αφήσετε ίχνη", δήλωσε ο Tal.

Σε απάντηση σε ερωτήσεις του KrebsOnSecurity, η BNB Smart Chain (BSC) δήλωσε ότι η ομάδα της γνωρίζει ότι το κακόβουλο λογισμικό κάνει κατάχρηση της αλυσίδας μπλοκ και αντιμετωπίζει ενεργά το ζήτημα. Η εταιρεία δήλωσε ότι όλες οι διευθύνσεις που σχετίζονται με την εξάπλωση του κακόβουλου λογισμικού έχουν μπει σε μαύρη λίστα και ότι οι τεχνικοί της έχουν αναπτύξει ένα μοντέλο για τον εντοπισμό μελλοντικών έξυπνων συμβολαίων που χρησιμοποιούν παρόμοιες μεθόδους για τη φιλοξενία κακόβουλων σεναρίων.

Ο Guardio λέει ότι οι απατεώνες πίσω από το σύστημα κακόβουλου λογισμικού BSC χρησιμοποιούν τον ίδιο κακόβουλο κώδικα με τους επιτιθέμενους για τους οποίους έγραψε ο McEoin τον Αύγουστο και πιθανότατα πρόκειται για την ίδια ομάδα. Όμως, μια έκθεση που δημοσιεύθηκε σήμερα από την εταιρεία ασφάλειας ηλεκτρονικού ταχυδρομείου Proofpoint αναφέρει ότι η εταιρεία παρακολουθεί επί του παρόντος τουλάχιστον τέσσερις διαφορετικές ομάδες απειλών που χρησιμοποιούν ψεύτικες ενημερώσεις του προγράμματος περιήγησης για τη διανομή κακόβουλου λογισμικού.

Η Proofpoint σημειώνει ότι η βασική ομάδα που βρίσκεται πίσω από το σύστημα ψεύτικων ενημερώσεων του προγράμματος περιήγησης χρησιμοποιεί αυτή την τεχνική για τη διάδοση κακόβουλου λογισμικού τα τελευταία πέντε χρόνια, κυρίως επειδή η προσέγγιση εξακολουθεί να λειτουργεί καλά. "Τα δέλεαρ των ψεύτικων ενημερώσεων του προγράμματος περιήγησης είναι αποτελεσματικά επειδή οι απειλητικοί παράγοντες χρησιμοποιούν την εκπαίδευση ενός τελικού χρήστη σε θέματα ασφάλειας εναντίον τους", έγραψε ο Dusty Miller της Proofpoint. "Στην εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας, οι χρήστες ενημερώνονται να αποδέχονται μόνο ενημερώσεις ή να κάνουν κλικ σε συνδέσμους από γνωστούς και αξιόπιστους ιστότοπους ή άτομα και να επαληθεύουν ότι οι ιστότοποι είναι νόμιμοι. Οι ψεύτικες ενημερώσεις του προγράμματος περιήγησης κάνουν κατάχρηση αυτής της εκπαίδευσης, επειδή θέτουν σε κίνδυνο αξιόπιστες τοποθεσίες και χρησιμοποιούν αιτήματα JavaScript για να κάνουν αθόρυβα ελέγχους στο παρασκήνιο και να αντικαταστήσουν την υπάρχουσα ιστοσελίδα με ένα δέλεαρ ενημέρωσης του προγράμματος περιήγησης. Για τον τελικό χρήστη, εξακολουθεί να φαίνεται ότι είναι ο ίδιος ιστότοπος που σκόπευε να επισκεφθεί και τώρα του ζητάει να ενημερώσει το πρόγραμμα περιήγησής του".

Πριν από περισσότερο από μια δεκαετία, ο ιστότοπος krebsonsecurity.com, δημοσίευσε τους Τρεις Κανόνες του Krebs για την ασφάλεια στο διαδίκτυο, εκ των οποίων ο Κανόνας 1 ήταν: "Αν δεν πήγες να το ψάξεις, μην το εγκαταστήσεις". Είναι ωραίο να γνωρίζουμε ότι αυτή η τεχνολογικά αδιάφορη προσέγγιση για την ασφάλεια στο διαδίκτυο παραμένει το ίδιο επίκαιρη και σήμερα.

Ένας δράστης απειλών χρησιμοποιεί ψεύτικες αναρτήσεις στο LinkedIn και άμεσα μηνύματα σχετικά με μια θέση ειδικού στις διαφημίσεις στο Facebook στην εταιρεία κατασκευής υλικού Corsair για να παρασύρει τους χρήστες να κατεβάσουν κακόβουλο λογισμικό που κλέβει πληροφορίες, όπως το DarkGate και το RedLine.

Η εταιρεία κυβερνοασφάλειας WithSecure εντόπισε και παρακολούθησε τη δραστηριότητα της ομάδας, δείχνοντας σε σημερινή έκθεση ότι συνδέεται με βιετναμέζικες ομάδες κυβερνοεγκληματιών που είναι υπεύθυνες για τις εκστρατείες "Ducktail" που εντοπίστηκαν για πρώτη φορά πέρυσι. Οι εκστρατείες αυτές έχουν ως στόχο την κλοπή πολύτιμων επαγγελματικών λογαριασμών στο Facebook, οι οποίοι μπορούν να χρησιμοποιηθούν για κακόβουλη διαφήμιση ή να πωληθούν σε άλλους εγκληματίες του κυβερνοχώρου.

Το DarkGate εντοπίστηκε για πρώτη φορά το 2017, αλλά η ανάπτυξή του παρέμεινε περιορισμένη μέχρι τον Ιούνιο του 2023, όταν ο δημιουργός του αποφάσισε να πουλήσει την πρόσβαση στο κακόβουλο λογισμικό σε μεγαλύτερο κοινό. Πρόσφατα παραδείγματα χρήσης του DarkGate περιλαμβάνουν επιθέσεις phishing μέσω του Microsoft Teams που μεταφέρουν το "φορτίο" και την αξιοποίηση παραβιασμένων λογαριασμών Skype για την αποστολή σεναρίων VBS για την ενεργοποίηση μιας αλυσίδας μόλυνσης που οδηγεί στο κακόβουλο λογισμικό.

Το Δόλωμα της Corsair

Οι Βιετναμέζοι φορείς απειλών στόχευσαν κυρίως χρήστες στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Ινδία, οι οποίοι κατέχουν θέσεις διαχείρισης κοινωνικών μέσων και είναι πιθανό να έχουν πρόσβαση σε επαγγελματικούς λογαριασμούς στο Facebook. Το δέλεαρ παραδίδεται μέσω του LinkedIn και περιλαμβάνει μια προσφορά εργασίας στην Corsair. Οι στόχοι εξαπατώνται για να κατεβάσουν κακόβουλα αρχεία από μια διεύθυνση URL("g2[.]by/corsair-JD") που ανακατευθύνει στο Google Drive ή στο Dropbox για την ανάκτηση ενός αρχείου ZIP ("Salary and new products.8.4.zip") με ένα έγγραφο PDF ή DOCX και ένα αρχείο TXT με τα ακόλουθα ονόματα:

• Job Description of Corsair.docx
• Salary and new products.txt
• PDF Salary and Products.pdf

Οι ερευνητές του WithSecure ανέλυσαν τα μεταδεδομένα για τα παραπάνω αρχεία και βρήκαν στοιχεία που οδηγούν στη διανομή του RedLine stealer. Το αρχείο που κατεβάστηκε περιέχει ένα σενάριο VBS, πιθανώς ενσωματωμένο στο αρχείο DOCX, το οποίο αντιγράφει και μετονομάζει το 'curl.exe' σε μια νέα τοποθεσία και το αξιοποιεί για να κατεβάσει το 'autoit3.exe' και ένα μεταγλωττισμένο σενάριο Autoit3. Το εκτελέσιμο αρχείο εκκινεί τη δέσμη ενεργειών, και η τελευταία "αποσυντίθεται" και κατασκευάζει το DarkGate χρησιμοποιώντας συμβολοσειρές που υπάρχουν στη δέσμη ενεργειών. Τριάντα δευτερόλεπτα μετά την εγκατάσταση, το κακόβουλο λογισμικό επιχειρεί να απεγκαταστήσει προϊόντα ασφαλείας από το παραβιασμένο σύστημα, υποδεικνύοντας την ύπαρξη μιας αυτοματοποιημένης διαδικασίας.

Το LinkedIn εισήγαγε χαρακτηριστικά για την καταπολέμηση της κατάχρησης στην πλατφόρμα στα τέλη του περασμένου έτους, τα οποία μπορούν να βοηθήσουν τους χρήστες να προσδιορίσουν αν ένας λογαριασμός είναι ύποπτος ή ψεύτικος. Ωστόσο, εναπόκειται στους χρήστες να ελέγχουν τις επαληθευμένες πληροφορίες πριν εμπλακούν σε επικοινωνία με έναν νέο λογαριασμό.

Η WithSecure δημοσίευσε έναν κατάλογο δεικτών παραβίασης (IoCs - indicators of compromise) που θα μπορούσαν να βοηθήσουν τους οργανισμούς να αμυνθούν κατά της δραστηριότητας αυτού του παράγοντα απειλής. Τα στοιχεία περιλαμβάνουν διευθύνσεις IP, τομείς που χρησιμοποιούνται, διευθύνσεις URL, μεταδεδομένα αρχείων και ονόματα αρχείων.

Η δημοφιλής εφαρμογή ανταλλαγής μηνυμάτων Telegram μπορεί να διαρρεύσει τη διεύθυνση IP σας, αν απλά προσθέσετε έναν χάκερ στις επαφές σας και δεχτείτε μια τηλεφωνική κλήση από αυτόν. Ο Denis Simonov, ένας ερευνητής ασφαλείας, ο οποίος είναι επίσης γνωστός ως n0a, ανέδειξε πρόσφατα το ζήτημα και έγραψε ένα απλό εργαλείο για την εκμετάλλευσή του. Το TechCrunch επαλήθευσε τα ευρήματα του ερευνητή προσθέτοντας τον Simonov στις επαφές ενός πρόσφατα δημιουργημένου λογαριασμού Telegram. Στη συνέχεια, ο Simonov κάλεσε τον λογαριασμό και λίγο αργότερα παρείχε στο TechCrunch τη διεύθυνση IP του υπολογιστή όπου γινόταν το πείραμα.

Το Telegram μπορεί να υπερηφανεύεται για 700 εκατομμύρια χρήστες σε όλο τον κόσμο, και ανέκαθεν διαφήμιζε τον εαυτό του ως μια "ασφαλή" και "ιδιωτική" εφαρμογή ανταλλαγής μηνυμάτων, παρόλο που οι ειδικοί έχουν επανειλημμένα προειδοποιήσει ότι το Telegram δεν είναι τόσο ασφαλές όσο η κρυπτογραφημένη από άκρο σε άκρο εφαρμογή Signal, για παράδειγμα.

Το γεγονός ότι το Telegram διαρρέει τη διεύθυνση IP σας στα άτομα στις επαφές σας κατά τη διάρκεια μιας φωνητικής κλήσης είναι γνωστό εδώ και χρόνια, αλλά είναι πιθανό ότι οι νέοι, λιγότερο τεχνικοί χρήστες μπορεί να μην το γνωρίζουν. Ο Simonov, ο οποίος εργάζεται για την εταιρεία κυβερνοασφάλειας T.Hunter, δήλωσε στο TechCrunch: "Το Telegram εστιάζει στην ασφάλεια και την ιδιωτικότητα, ωστόσο, για να παραμείνετε ασφαλείς πρέπει να γνωρίζετε τις αποχρώσεις του τρόπου λειτουργίας των φωνητικών κλήσεων του messenger".

Ο λόγος για τον οποίο το Telegram διαρρέει τις διευθύνσεις IP ενός χρήστη κατά τη διάρκεια μιας κλήσης είναι ότι, από προεπιλογή, το Telegram χρησιμοποιεί μια peer-to-peer σύνδεση μεταξύ των καλούντων "για καλύτερη ποιότητα και μειωμένη καθυστέρηση", δήλωσε στο TechCrunch ο εκπρόσωπος του Telegram Remi Vaughn. "Το μειονέκτημα αυτού είναι ότι απαιτεί και οι δύο πλευρές να γνωρίζουν τη διεύθυνση IP της άλλης (αφού πρόκειται για απευθείας σύνδεση). Σε αντίθεση με άλλους messengers, οι κλήσεις από όσους δεν βρίσκονται στη λίστα επαφών σας θα δρομολογούνται μέσω των διακομιστών του Telegram για να το αποκρύψουν αυτό", δήλωσε ο Vaughn.

Για να αποφύγετε τη διαρροή της διεύθυνσης IP σας, πρέπει να μεταβείτε στις Ρυθμίσεις του Telegram > Απόρρητο και ασφάλεια > Κλήσεις και στη συνέχεια να επιλέξετε "Ποτέ" στο μενού Peer-to-Peer.

Έχει διαπιστωθεί ότι και άλλες εφαρμογές ανταλλαγής μηνυμάτων και κλήσεων διαρρέουν διευθύνσεις IP. Το 2017, ένας ερευνητής διαπίστωσε ότι το WhatsApp διαρρέει μεταδεδομένα με τρόπο που θα μπορούσε να επιτρέψει στους χάκερ να βρουν τη διεύθυνση IP ενός χρήστη. Τον Αύγουστο, το 404 Media ανέφερε ότι οι χάκερ μπορούσαν να αποκαλύψουν τη διεύθυνση IP κάποιου χρήστη στο Skype χωρίς καμία αλληλεπίδραση.

Η Microsoft δήλωσε τότε ότι θα διορθώσει την ευπάθεια. Η Telegram, από την άλλη πλευρά, πιστεύει ξεκάθαρα ότι η εφαρμογή πρέπει να λειτουργεί ακριβώς έτσι.

Η Microsoft σχεδιάζει να καταργήσει σταδιακά την VBScript σε μελλοντικές εκδόσεις των Windows μετά από 30 χρόνια χρήσης, καθιστώντας την ένα χαρακτηριστικό κατά παραγγελία μέχρι να καταργηθεί. Η VBScript (επίσης γνωστή ως Visual Basic Script ή Microsoft Visual Basic Scripting Edition) είναι μια γλώσσα προγραμματισμού παρόμοια με τη Visual Basic ή Visual Basic for Applications (VBA) και εισήχθη πριν από σχεδόν 30 χρόνια, τον Αύγουστο του 1996.

Έρχεται μαζί με τον Internet Explorer (ο οποίος καταργήθηκε σε ορισμένες πλατφόρμες Windows 10 τον Φεβρουάριο), ενσωματώνει ενεργό scripting σε περιβάλλοντα των Windows και επικοινωνεί με εφαρμογές υποδοχής μέσω του Windows Script.

Τα Features on Demand (FODs) είναι προαιρετικά χαρακτηριστικά στο λειτουργικό σύστημα των Windows, όπως το .NET Framework (.NetFx3), το Hyper-V και το υποσύστημα των Windows για Linux, τα οποία δεν εγκαθίστανται από προεπιλογή αλλά μπορούν να προστεθούν όποτε χρειάζεται.

Με τις αθροιστικές ενημερώσεις Patch Tuesday του Ιουλίου 2019, η Microsoft απενεργοποίησε επίσης το VBScript από προεπιλογή στον Internet Explorer 11 στα Windows 10.

Αν και δεν έχει εξηγηθεί επίσημα, η απόφαση της Microsoft να καταργήσει την VBScript συνδέεται πιθανότατα με την προηγούμενη διακοπή του Internet Explorer φέτος. Ευτυχώς, κατά συνέπεια, ένας διαδεδομένος φορέας μόλυνσης που χρησιμοποιείται από φορείς απειλών για τη μόλυνση συστημάτων Windows με κακόβουλα ωφέλιμα φορτία εξαλείφεται.

Η κίνηση αυτή αποτελεί μέρος μιας ευρύτερης στρατηγικής για τον μετριασμό της αυξανόμενης επικράτησης εκστρατειών κακόβουλου λογισμικού που εκμεταλλεύονται διάφορα χαρακτηριστικά των Windows και του Office για μολύνσεις. Κακόβουλοι φορείς έχουν χρησιμοποιήσει την VBScript για τη διανομή κακόβουλου λογισμικού, συμπεριλαμβανομένων διαβόητων στελεχών όπως τα Lokibot, Emotet, Qbot και, πιο πρόσφατα, το κακόβουλο λογισμικό DarkGate, μεταξύ άλλων, στους υπολογιστές των θυμάτων. Η προσπάθεια ανάγεται στο 2018, όταν η Microsoft επέκτεινε την υποστήριξη του AMSI στις εφαρμογές του Office 365, περιορίζοντας τις επιθέσεις που χρησιμοποιούσαν μακροεντολές VBA. Στη συνέχεια, η Microsoft απενεργοποίησε τις μακροεντολές του Excel 4.0 (XLM), εισήγαγε την προστασία των μακροεντολών XLM, επέβαλε τον προεπιλεγμένο αποκλεισμό των μακροεντολών VBA του Office και άρχισε να αποκλείει τα μη αξιόπιστα πρόσθετα XLL από προεπιλογή σε χρήστες του Microsoft 365 παγκοσμίως.

Η Google ανακοίνωσε ότι τα passkeys, που διαφημίζονται ως η "αρχή του τέλους" για τους κωδικούς πρόσβασης, θα γίνουν η προεπιλεγμένη μέθοδος σύνδεσης για όλους τους χρήστες. Τα passkeys είναι μια ανθεκτική στο phishing εναλλακτική λύση στους κωδικούς πρόσβασης που επιτρέπει στους χρήστες να συνδεθούν σε λογαριασμούς χρησιμοποιώντας τα ίδια βιομετρικά στοιχεία ή τους κωδικούς PIN που χρησιμοποιούν για να ξεκλειδώσουν τις συσκευές τους, ή με ένα φυσικό κλειδί ασφαλείας. Αυτό καταργεί την ανάγκη των χρηστών να βασίζονται στον παραδοσιακό συνδυασμό ονόματος χρήστη-συνθηματικού, ο οποίος εδώ και καιρό είναι ευάλωτος σε επιθέσεις phishing, σε επιθέσεις πλήρωσης διαπιστευτηρίων, σε κακόβουλο λογισμικό keylogger ή απλά επειδή ξεχάστηκαν.

Ενώ οι τεχνολογίες ασφάλειας για τον έλεγχο ταυτότητας πολλαπλών παραγόντων και οι διαχειριστές κωδικών πρόσβασης προσθέτουν ένα επιπλέον επίπεδο ασφάλειας στους λογαριασμούς που προστατεύονται με κωδικό πρόσβασης, δεν είναι χωρίς ελαττώματα. Οι κωδικοί πιστοποίησης που αποστέλλονται μέσω μηνυμάτων κειμένου μπορούν να υποκλαπούν από επιτιθέμενους, για παράδειγμα, και οι διαχειριστές κωδικών πρόσβασης μπορούν να παραβιαστούν (και έχουν παραβιαστεί).

Τα passkeys, από την άλλη πλευρά, αποτελούνται από δύο μέρη: το ένα μέρος παραμένει στον διακομιστή της εφαρμογής ή του ιστότοπου και το άλλο αποθηκεύεται στη συσκευή σας, γεγονός που σας επιτρέπει να αποδείξετε ότι είστε ο νόμιμος κάτοχος του λογαριασμού. Αυτό καθιστά επίσης σχεδόν αδύνατο για τους χάκερ να αποκτήσουν απομακρυσμένη πρόσβαση στο λογαριασμό σας, δεδομένου ότι απαιτείται φυσική πρόσβαση στη συσκευή του χρήστη, ακόμη και σε περίπτωση παραβίασης του διακομιστή.

Η Google έχει υποστηρίξει από νωρίς τα passkeys. Ο τεχνολογικός γίγαντας υποσχέθηκε για πρώτη φορά την υποστήριξή του για την εναλλακτική λύση του κωδικού πρόσβασης τον Μάιο του 2022 και ανακοίνωσε την υποστήριξη passkeys στο Android και το Chrome. Τον Μάιο, η Google ανακοίνωσε ότι η υποστήριξη της τεχνολογίας χωρίς κωδικό πρόσβασης επεκτείνεται στους κατόχους λογαριασμών Google παγκοσμίως.

Σήμερα, η εταιρεία έκανε ένα βήμα πιο κοντά στην εξάλειψη του κωδικού πρόσβασης με την ανακοίνωση ότι καθιστά τα passkeys την προεπιλεγμένη μέθοδο ελέγχου ταυτότητας για όλους τους κατόχους λογαριασμών Google.

"Αυτό σημαίνει ότι, την επόμενη φορά που θα συνδεθείτε στο λογαριασμό σας Google, θα αρχίσετε να βλέπετε προτροπές για τη δημιουργία και τη χρήση passkeys, απλοποιώντας τις μελλοντικές σας συνδέσεις", δήλωσαν οι υπεύθυνοι προϊόντων της Google Christiaan Brand και Sriram Karra. "Ο στόχος μας είναι ο ίδιος όπως ήταν πάντα, να σας δώσουμε τεχνολογία που είναι ασφαλής από προεπιλογή, ώστε να έχετε την ισχυρότερη ασφάλεια αλλά χωρίς το βάρος".

Η Google αναφέρει ότι από την έναρξη λειτουργίας των passkeys για τους λογαριασμούς Google, το 64% των χρηστών δήλωσαν ότι βρίσκουν τα passkeys ευκολότερα στη χρήση σε σύγκριση με τις παραδοσιακές μεθόδους όπως οι κωδικοί πρόσβασης και η επαλήθευση δύο βημάτων.

Η Google λέει ότι ενθαρρύνει όλους τους χρήστες να αρχίσουν να χρησιμοποιούν τα passkeys ως κύρια επιλογή σύνδεσης. Η δημιουργία passkeys μπορεί να φαίνεται αγγαρεία, είναι μια επένδυση που μπορεί να σας σώσει από μια πιθανή καταστροφή της ασφάλειας στην πορεία. Θα μπορούσε επίσης να σας εξοικονομήσει πολύτιμο χρόνο, καθώς η Google ισχυρίζεται ότι η σύνδεση μέσω passkeys είναι 40% ταχύτερη από τη χρήση κωδικού πρόσβασης.

Ένα ηχητικό απόσπασμα που αναρτήθηκε στα μέσα κοινωνικής δικτύωσης την Κυριακή, το οποίο υποτίθεται ότι δείχνει τον ηγέτη της βρετανικής αντιπολίτευσης Keir Starmer να βρίζει λεκτικά το προσωπικό του, διαψεύστηκε ως κατασκευασμένο από τεχνητή νοημοσύνη που ύστερα από αναλύσεις εταιριών του ιδιωτικού τομέα και της βρετανικής κυβέρνησης.

Το ηχητικό απόσπασμα με τον Κίρ Στάρμερ αναρτήθηκε στο X (πρώην Twitter) από έναν ψευδώνυμο λογαριασμό το πρωί της Κυριακής, ημέρα έναρξης του συνεδρίου του Εργατικού Κόμματος στο Λίβερπουλ. Ο λογαριασμός υποστήριξε ότι το απόσπασμα, το οποίο έχει πλέον προβληθεί περισσότερες από 1,4 εκατομμύρια φορές, ήταν γνήσιο και ότι η αυθεντικότητά του είχε επιβεβαιωθεί από έναν ηχολήπτη.

Ο Ben Colman, συνιδρυτής και διευθύνων σύμβουλος της Reality Defender - μιας επιχείρησης ανίχνευσης deepfake - αμφισβήτησε αυτή την εκτίμηση όταν επικοινώνησε με το Recorded Future News:

"Καθώς δεν έχουμε τη βασική αλήθεια, δίνουμε μια βαθμολογία πιθανότητας (στην προκειμένη περίπτωση 75%) και ποτέ μια οριστική βαθμολογία ("αυτό είναι ψεύτικο" ή "αυτό είναι αληθινό"), τείνοντας πολύ περισσότερο προς το "αυτό είναι πιθανότατα χειραγωγημένο" παρά όχι", δήλωσε ο Colman.

"Είναι επίσης η γνώμη μας ότι ο δημιουργός αυτού του αρχείου πρόσθεσε θόρυβο υποβάθρου για να προσπαθήσει να αποφύγει την ανίχνευση, αλλά το σύστημά μας λαμβάνει υπόψη του και αυτό", είπε.

Ο ήχος επικρίθηκε σε διακομματική βάση, παρά το ιδιαίτερα αμφισβητούμενο πολιτικό περιβάλλον στο Ηνωμένο Βασίλειο - με τις δημοσκοπήσεις να δείχνουν γενικά το Εργατικό Κόμμα 17 μονάδες μπροστά από τους εν ενεργεία Συντηρητικούς.

Ο Σάιμον Κλαρκ, βουλευτής του Συντηρητικού Κόμματος, προειδοποίησε στα μέσα κοινωνικής δικτύωσης: "Κυκλοφορεί σήμερα το πρωί ένα deepfake ηχητικό απόσπασμα του Keir Starmer - αγνοήστε το". Ο υπουργός Ασφάλειας Τομ Τούντενχατ, επίσης βουλευτής του Συντηρητικού Κόμματος, προειδοποίησε επίσης για την "ψεύτικη ηχογράφηση" και παρακάλεσε τους χρήστες του Twitter να μην την "προωθήσουν για να την ενισχύσουν".

"Τα deepfakes απειλούν την ελευθερία μας. Αυτός είναι ο λόγος για τον οποίο η Ομάδα Δράσης για την Υπεράσπιση της Δημοκρατίας και το έργο που επιτελεί ο πρωθυπουργός σχετικά με την τεχνητή νοημοσύνη είναι ζωτικής σημασίας για την προστασία όλων μας", πρόσθεσε ο Tugendhat. Η λέξη "deepfake" χρησιμοποιείται στην καθομιλουμένη για να αναφερθεί σε κάθε είδους συνθετικά μέσα που παράγονται από τεχνολογίες AI.

Η Ομάδα Δράσης για την Υπεράσπιση της Δημοκρατίας ιδρύθηκε τον Νοέμβριο του 2022 με αποστολή να μειώσει "τον κίνδυνο ξένης παρέμβασης στις δημοκρατικές διαδικασίες, τους θεσμούς και την κοινωνία του Ηνωμένου Βασιλείου και να διασφαλίσει ότι αυτά είναι ασφαλή και ανθεκτικά στις απειλές ξένης παρέμβασης", σύμφωνα με κοινοβουλευτική ερώτηση στην οποία είχε απαντήσει προηγουμένως ο Tugendhat.

Οι αρχές του Ηνωμένου Βασιλείου προετοιμάζονται για τέτοιου είδους παρεμβάσεις ενόψει των γενικών εκλογών της χώρας το επόμενο έτος, στον απόηχο παρόμοιων προσπαθειών επηρεασμού των πρόσφατων εκλογών στη Σλοβακία.

Δύο ημέρες πριν ανοίξουν εκεί οι κάλπες στις 30 Σεπτεμβρίου, δημοσιεύθηκαν στα μέσα κοινωνικής δικτύωσης πλαστά ηχητικά αποσπάσματα που επιχειρούσαν να ενοχοποιήσουν έναν ηγέτη κόμματος της αντιπολίτευσης και έναν δημοσιογράφο για νοθεία των εκλογών με σχέδιο αγοράς ψήφων.

Η δημόσια διάψευση του ηχητικού υλικού ήταν μια πρόκληση λόγω των εκλογικών νόμων της χώρας, οι οποίοι απαγορεύουν αυστηρά τόσο στα μέσα ενημέρωσης όσο και στους πολιτικούς να κάνουν προεκλογικές ανακοινώσεις τις δύο ημέρες πριν ανοίξουν οι κάλπες.

Όπως αναφέρει το Wired, ως ηχητική ανάρτηση το ψεύτικο επίσης "εκμεταλλεύτηκε ένα κενό στην πολιτική της Meta για τα χειραγωγημένα μέσα ενημέρωσης, η οποία υπαγορεύει ότι μόνο τα πλαστά βίντεο - όπου ένα πρόσωπο έχει υποστεί επεξεργασία για να πει λόγια που δεν είπε ποτέ - αντιβαίνουν στους κανόνες της".

Δεν είναι σαφές ποιος παρήγαγε τον ψεύτικο ήχο είτε στη σλοβακική είτε στη βρετανική περίπτωση.

Ο λογαριασμός που δημοσίευσε τη λάσπη του Keir Starmer είχε προηγουμένως γράψει στο Twitter: "Επιτρέψτε μου να είμαι σαφής. Είμαι απερίφραστα ΥΠΕΡ των τακτικών σπίλωσης εναντίον εκείνων που επιδίδονται οι ίδιοι σε τακτικές σπίλωσης. Οι άνθρωποι λένε ψέματα για τον Keir Starmer; Ωραία. Και είμαι ένας από αυτούς".

Αυτό το tweet έχει πλέον διαγραφεί, αν και ο ψεύτικος ήχος παραμένει διαθέσιμος.

Νέα έρευνα δείχνει ότι το Android TV streaming box σας μπορεί να διευκολύνει το κυβερνοέγκλημα. Τον Ιανουάριο, ένας ερευνητής ανακάλυψε ότι το φθηνό Android TV streaming box που αγόρασε από το Amazon, το οποίο είχε το όνομα T95, ήταν μολυσμένο με προεγκαταστημένο κακόβουλο λογισμικό, με πολλούς άλλους ερευνητές να επιβεβαιώνουν τα ευρήματά του.

Αυτή την εβδομάδα, η εταιρεία κυβερνοασφάλειας Human Security μοιράστηκε λίγα περισσότερα για το θέμα αυτό, κυρίως για το πόσες συσκευές έχουν μολυνθεί, αναφέρει το Wired. Η εταιρεία βρήκε επτά Android TV boxes και ένα tablet με εγκατεστημένα backdoors, ενώ η ομάδα βρήκε ενδείξεις ότι 200 διαφορετικά μοντέλα συσκευών Android μπορεί δυνητικά να έχουν επηρεαστεί, αναφέρει το περιοδικό. Συγκεκριμένα, οι εν λόγω συσκευές είναι τα T95, T95Z, T95MAX, X88, Q9, X12PLUS και MXQ Pro 5G, καθώς και ένα tablet J5-W. Οι συσκευές πωλούνται συχνά χωρίς εμπορικό σήμα ή με διαφορετικά ονόματα, γεγονός που καθιστά συχνά δύσκολο τον εντοπισμό τους.

Όταν συνδέετε τη συσκευή, αυτή κατεβάζει ένα σύνολο οδηγιών από την Κίνα και αρχίζει να "κάνει διάφορα", λένε οι ερευνητές, που κυμαίνονται από τη δημιουργία ψεύτικων λογαριασμών Gmail και WhatsApp χρησιμοποιώντας τη σύνδεσή σας μέχρι την πώληση πρόσβασης στο οικιακό σας δίκτυο σε άλλους. Επίσης, μπορεί να έχουν ληφθεί εφαρμογές εν αγνοία των ιδιοκτητών των συσκευών, για την δημιουργία κέρδους. Η Google αφαίρεσε πολλές από τις επηρεαζόμενες εφαρμογές από το Google Play μετά την έκθεση της Human Security. Σύμφωνα με την έρευνα της εταιρείας, οι εφαρμογές αυτές έκαναν 4 δισεκατομμύρια αιτήσεις διαφημίσεων την ημέρα, με 121.000 συσκευές Android και 159.000 συσκευές iOS να επηρεάζονται. Οι μολυσμένες εφαρμογές είχαν κατέβει περίπου 15 εκατομμύρια φορές.

Με το κακόβουλο λογισμικό για τους αποκωδικοποιητές να είναι δύσκολο, αν όχι αδύνατο, να αφαιρεθεί, η μεγαλύτερη συμβουλή για την προστασία σας είναι να αγοράζετε συσκευές από μάρκες που γνωρίζετε και εμπιστεύεστε. Ενώ μπορείτε να εξοικονομήσετε μερικά χρήματα αγοράζοντας μια συσκευή χωρίς μάρκα, μπορεί να πάρετε κάτι περισσότερο από ό,τι περιμένατε.

Η Arm προειδοποίησε τη Δευτέρα για ενεργές συνεχιζόμενες επιθέσεις με στόχο μια ευπάθεια σε προγράμματα οδήγησης συσκευών για τη σειρά GPU Mali, οι οποίες εκτελούνται σε πλήθος συσκευών, συμπεριλαμβανομένων των Google Pixel και άλλων κινητών Android, Chromebooks και hardware που τρέχει Linux.

"Ένας τοπικός μη προνομιούχος χρήστης μπορεί να κάνει ακατάλληλες λειτουργίες επεξεργασίας μνήμης GPU για να αποκτήσει πρόσβαση σε ήδη απελευθερωμένη μνήμη", έγραψαν οι υπεύθυνοι της Arm σε μια συμβουλευτική ενημέρωση. "Αυτό το ζήτημα έχει διορθωθεί στα Bifrost, Valhall και Arm 5th Gen GPU Architecture Kernel Driver r43p0. Υπάρχουν ενδείξεις ότι αυτή η ευπάθεια μπορεί να βρίσκεται υπό περιορισμένη, στοχευμένη εκμετάλλευση. Συνιστάται στους χρήστες να αναβαθμίσουν εάν επηρεάζονται από αυτό το ζήτημα".

Η πρόσβαση στη μνήμη του συστήματος που δεν χρησιμοποιείται πλέον είναι ένας συνηθισμένος μηχανισμός για τη φόρτωση κακόβουλου κώδικα σε μια θέση που μπορεί στη συνέχεια να εκτελέσει ένας εισβολέας. Αυτός ο κώδικας συχνά τους επιτρέπει να εκμεταλλευτούν άλλες ευπάθειες ή να εγκαταστήσουν κακόβουλα ωφέλιμα φορτία για την κατασκοπεία του χρήστη του τηλεφώνου. Οι επιτιθέμενοι συχνά αποκτούν τοπική πρόσβαση σε μια κινητή συσκευή εξαπατώντας τους χρήστες ώστε να κατεβάσουν κακόβουλες εφαρμογές από ανεπίσημα αποθετήρια. Η συμβουλευτική αναφέρει ότι τα προγράμματα οδήγησης για τις επηρεαζόμενες GPU είναι ευάλωτα, αλλά δεν κάνει καμία αναφορά στον μικροκώδικα που εκτελείται μέσα στα ίδια τα τσιπ.

Η πιο διαδεδομένη πλατφόρμα που επηρεάζεται από την ευπάθεια είναι τα τηλέφωνα Pixel της Google, τα οποία είναι ένα από τα μόνα μοντέλα Android που λαμβάνουν εγκαίρως ενημερώσεις ασφαλείας. Η Google επιδιόρθωσε το κενό ασφαλείας στα Pixel στην ενημερωμένη έκδοση του Σεπτεμβρίου κατά της ευπάθειας, η οποία εντοπίζεται ως CVE-2023-4211. Η Google έχει επίσης επιδιορθώσει τα Chromebooks που χρησιμοποιούν ευάλωτες GPU. Κάθε συσκευή που εμφανίζει επίπεδο επιδιόρθωσης 2023-09-01 ή μεταγενέστερο είναι απρόσβλητη από επιθέσεις που εκμεταλλεύονται την ευπάθεια. Το πρόγραμμα οδήγησης συσκευής στις συσκευές με επιδιόρθωση θα εμφανίζεται ως έκδοση r44p1 ή r45p0.

Το CVE-2023-4211 υπάρχει σε μια σειρά από GPUs της Arm που έχουν κυκλοφορήσει την τελευταία δεκαετία. Τα τσιπ της Arm που επηρεάζονται είναι τα εξής:

• Midgard GPU Kernel Driver: r12p0 έως r32p0.
• Bifrost GPU Kernel Driver: Όλες οι εκδόσεις από r0p0 έως r42p0
• Πρόγραμμα οδήγησης πυρήνα GPU Valhall: Όλες οι εκδόσεις από r19p0 έως r42p0
• Πρόγραμμα οδήγησης πυρήνα αρχιτεκτονικής GPU 5ης γενιάς Arm: Όλες οι εκδόσεις από r41p0 έως r42p0

Οι συσκευές που πιστεύεται ότι χρησιμοποιούν τα επηρεαζόμενα τσιπ περιλαμβάνουν τα Google Pixel 7, Samsung S20 και S21, Motorola Edge 40, OnePlus Nord 2, Asus ROG Phone 6, Redmi Note 11, 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro, Reno 8 Pro και ορισμένα τηλέφωνα της Mediatek.

Η Arm διαθέτει επίσης προγράμματα οδήγησης για τα επηρεαζόμενα τσιπ για συσκευές Linux.

Προς το παρόν ελάχιστα είναι γνωστά για την ευπάθεια- εκτός από αυτό, η Arm πίστωσε την ανακάλυψη των ενεργών εκμεταλλεύσεων στην Maddie Stone, μια ερευνήτρια της ομάδας Project Zero της Google. Το Project Zero παρακολουθεί ευπάθειες σε ευρέως χρησιμοποιούμενες συσκευές, ιδίως όταν αυτές υπόκεινται σε επιθέσεις zero-day ή n-day, οι οποίες αναφέρονται σε εκείνες που στοχεύουν σε ευπάθειες για τις οποίες δεν υπάρχουν διαθέσιμα patches ή σε εκείνες που έχουν επιδιορθωθεί πολύ πρόσφατα.

Η συμβουλευτική της Arm τη Δευτέρα αποκάλυψε δύο επιπλέον ευπάθειες που έχουν επίσης λάβει επιδιορθώσεις. Τα CVE-2023-33200 και CVE-2023-34970 επιτρέπουν και τα δύο σε έναν μη προνομιούχο χρήστη να εκμεταλλευτεί μια κατάσταση αγώνα για να εκτελέσει ακατάλληλες λειτουργίες GPU για πρόσβαση σε ήδη απελευθερωμένη μνήμη.

Και οι τρεις ευπάθειες είναι εκμεταλλεύσιμες από έναν εισβολέα με τοπική πρόσβαση στη συσκευή, η οποία συνήθως επιτυγχάνεται με την εξαπάτηση των χρηστών ώστε να κατεβάσουν εφαρμογές από ανεπίσημα αποθετήρια.

Προς το παρόν είναι άγνωστο ποιες άλλες πλατφόρμες, αν υπάρχουν, έχουν διαθέσιμα patches. Μέχρι να εντοπιστούν αυτές οι πληροφορίες, οι χρήστες θα πρέπει να απευθύνονται στον κατασκευαστή της συσκευής τους. Δυστυχώς, πολλές ευάλωτες συσκευές Android λαμβάνουν patches μήνες ή ακόμα και χρόνια μετά τη διαθεσιμότητά τους, αν καθόλου.

Το Διεθνές Ποινικό Δικαστήριο της Χάγης δήλωσε, ότι εντόπισε "ανώμαλη δραστηριότητα που επηρεάζει τα πληροφοριακά του συστήματα" την περασμένη εβδομάδα και έλαβε επείγοντα μέτρα για να ανταποκριθεί. Δεν διευκρίνισε λεπτομερώς αυτό που αποκάλεσε "περιστατικό κυβερνοασφάλειας".

Ο εκπρόσωπος του δικαστηρίου Fadi El Abdallah δήλωσε σε γραπτή δήλωση ότι επιπλέον "μέτρα αντιμετώπισης και ασφάλειας βρίσκονται τώρα σε εξέλιξη" με τη βοήθεια των αρχών της Ολλανδίας, όπου εδρεύει το δικαστήριο.

"Με το βλέμμα στο μέλλον, το Δικαστήριο θα βασιστεί στις υφιστάμενες εργασίες που βρίσκονται σε εξέλιξη για την ενίσχυση του πλαισίου ασφαλείας του στον κυβερνοχώρο, συμπεριλαμβανομένης της επιτάχυνσης της χρήσης της τεχνολογίας cloud"

Το δικαστήριο αρνήθηκε να υπεισέλθει σε περισσότερες λεπτομέρειες σχετικά με το περιστατικό, αλλά δήλωσε ότι καθώς "συνεχίζει να αναλύει και να μετριάζει τις επιπτώσεις αυτού του περιστατικού, προτεραιότητα δίνεται επίσης στη διασφάλιση της συνέχισης του βασικού έργου του Δικαστηρίου".

Το ΔΠΔ έχει σε εξέλιξη μια σειρά από έρευνες υψηλού προφίλ και προκαταρκτικές έρευνες σε έθνη σε όλο τον κόσμο και στο παρελθόν έχει γίνει στόχος κατασκοπείας. Πέρυσι, μια ολλανδική υπηρεσία πληροφοριών δήλωσε ότι απέτρεψε μια εξελιγμένη απόπειρα ενός Ρώσου κατασκόπου που χρησιμοποιούσε ψεύτικη βραζιλιάνικη ταυτότητα για να εργαστεί ως ασκούμενος στο δικαστήριο, το οποίο διερευνά ισχυρισμούς για ρωσικά εγκλήματα πολέμου στην Ουκρανία και έχει εκδώσει ένταλμα σύλληψης για εγκλήματα πολέμου κατά του προέδρου Βλαντίμιρ Πούτιν, κατηγορώντας τον για προσωπική ευθύνη για τις απαγωγές παιδιών από την Ουκρανία.

Σε γραπτή απάντησή του σε αίτημα για σχολιασμό, το ολλανδικό υπουργείο Εξωτερικών δήλωσε: "Οποιεσδήποτε κακόβουλες δραστηριότητες που υπονομεύουν την κυβερνοασφάλεια του Δικαστηρίου ή παρεμβαίνουν στην ικανότητά του να εκπληρώνει την εντολή του με ασφάλεια και προστασία, μας ανησυχούν ιδιαίτερα. Οι Κάτω Χώρες θα συνεχίσουν να βοηθούν το ΔΠΔ στην αντιμετώπιση του περιστατικού".