Το Google Authenticator αποκτά κρυπτογράφηση από άκρο σε άκρο - τελικά. Αφού ερευνητές ασφαλείας επέκριναν την εταιρεία για τη μη συμπερίληψή της στην ενημέρωση συγχρονισμού λογαριασμών του Authenticator, ο διευθυντής προϊόντων της Google Christiaan Brand απάντησε στο Twitter λέγοντας ότι η εταιρεία έχει "σχέδια να προσφέρει E2EE" στο μέλλον. Πιο συγκεκριμένα δήλωσε ότι "αυτή τη στιγμή, πιστεύουμε ότι το τρέχον προϊόν μας επιτυγχάνει τη σωστή ισορροπία για τους περισσότερους χρήστες και παρέχει σημαντικά πλεονεκτήματα σε σχέση με τη χρήση εκτός σύνδεσης. Ωστόσο, η δυνατότητα χρήσης της εφαρμογής εκτός σύνδεσης θα παραμείνει μια εναλλακτική λύση για όσους προτιμούν να διαχειρίζονται μόνοι τους τη στρατηγική δημιουργίας αντιγράφων ασφαλείας".

Νωρίτερα αυτή την εβδομάδα, το Google Authenticator άρχισε επιτέλους να δίνει στους χρήστες τη δυνατότητα συγχρονισμού των κωδικών ελέγχου ταυτότητας δύο παραγόντων με τους λογαριασμούς τους Google, καθιστώντας πολύ πιο εύκολη την είσοδο σε λογαριασμούς σε νέες συσκευές. Αν και αυτή είναι μια ευπρόσδεκτη αλλαγή, δημιουργεί επίσης κάποιες ανησυχίες για την ασφάλεια, καθώς οι χάκερς που παραβιάζουν το λογαριασμό Google κάποιου θα μπορούσαν ενδεχομένως να αποκτήσουν πρόσβαση σε ένα σωρό άλλους λογαριασμούς ως αποτέλεσμα. Εάν η λειτουργία υποστήριζε το E2EE, οι χάκερ και άλλοι τρίτοι, συμπεριλαμβανομένης της Google, δεν θα μπορούσαν να δουν αυτές τις πληροφορίες.

Οι ερευνητές ασφαλείας Mysk υπογράμμισαν μερικούς από αυτούς τους κινδύνους σε μια ανάρτηση στο Twitter, σημειώνοντας ότι "αν υπάρξει ποτέ παραβίαση δεδομένων ή αν κάποιος αποκτήσει πρόσβαση στο λογαριασμό σας Google, όλα τα μυστικά σας 2FA θα εκτεθούν σε κίνδυνο". Πρόσθεσαν ότι η Google θα μπορούσε δυνητικά να χρησιμοποιήσει τις πληροφορίες που συνδέονται με τους λογαριασμούς σας για να προβάλλει εξατομικευμένες διαφημίσεις και συμβούλευσαν επίσης τους χρήστες να μην χρησιμοποιούν τη λειτουργία συγχρονισμού μέχρι να υποστηριχθεί το E2EE.

Η Brand αντέδρασε στην κριτική, δηλώνοντας ότι ενώ η Google κρυπτογραφεί "τα δεδομένα κατά τη μεταφορά και σε κατάσταση ηρεμίας, σε όλα τα προϊόντα μας, συμπεριλαμβανομένου του Google Authenticator", η εφαρμογή του E2EE έρχεται με το "κόστος που επιτρέπει στους χρήστες να αποκλείονται από τα δικά τους δεδομένα χωρίς ανάκτηση". Ωστόσο, δεν υπάρχει ακόμη χρονοδιάγραμμα για το πότε η Google θα φέρει πραγματικά το E2EE στη νέα λειτουργία συγχρονισμού λογαριασμών του Authenticator, αφήνοντας στους χρήστες την επιλογή να χρησιμοποιούν τη λειτουργία χωρίς E2EE ή απλά να συνεχίσουν να χρησιμοποιούν το Google Authenticator εκτός σύνδεσης.

Ένα νέο εργαλείο ελέγχου ταυτότητας δύο παραγόντων (2FA) από την Google δεν είναι κρυπτογραφημένο από άκρο σε άκρο, γεγονός που θα μπορούσε να εκθέσει τους χρήστες σε σημαντικούς κινδύνους ασφαλείας, όπως διαπιστώθηκε σε δοκιμή από ερευνητές ασφαλείας. Η εφαρμογή Authenticator της Google παρέχει μοναδικούς κωδικούς τους οποίους μπορεί να ζητούν οι συνδέσεις σε ιστότοπους ως ένα δεύτερο επίπεδο ασφάλειας πάνω από τους κωδικούς πρόσβασης. Τη Δευτέρα, η Google ανακοίνωσε ένα πολυαναμενόμενο χαρακτηριστικό, το οποίο σας επιτρέπει να συγχρονίσετε το Authenticator με έναν λογαριασμό Google και να το χρησιμοποιείτε σε πολλές συσκευές. Αυτά είναι σπουδαία νέα, επειδή στο παρελθόν, θα μπορούσατε να καταλήξετε να κλειδώσετε τον λογαριασμό σας αν χάνατε το τηλέφωνο με εγκατεστημένη την εφαρμογή ελέγχου ταυτότητας.

Όταν όμως οι προγραμματιστές της εφαρμογής και οι ερευνητές ασφαλείας της εταιρείας λογισμικού Mysk έλεγξαν την εφαρμογή, διαπίστωσαν ότι τα υποκείμενα δεδομένα δεν είναι κρυπτογραφημένα από άκρο σε άκρο. "Δοκιμάσαμε τη λειτουργία αμέσως μόλις η Google την κυκλοφόρησε. Συνειδητοποιήσαμε ότι η εφαρμογή δεν ζητούσε ή δεν προσέφερε επιλογή για τη χρήση μιας φράσης πρόσβασης (passphrase) για την προστασία των μυστικών", έγραψε η εταιρεία στο Twitter. "Αναλύσαμε την κυκλοφορία του δικτύου όταν η εφαρμογή συγχρονίζει τα "μυστικά" και αποδεικνύεται ότι η κυκλοφορία δεν είναι κρυπτογραφημένη από άκρο σε άκρο", πρόσθεσε η εταιρεία. "Όπως φαίνεται στα στιγμιότυπα οθόνης, αυτό σημαίνει ότι η Google μπορεί να δει τα μυστικά, πιθανότατα ακόμη και ενώ είναι αποθηκευμένα στους διακομιστές της". Στην κοινότητα της ασφάλειας, "μυστικά" είναι ο όρος για τα διαπιστευτήρια που λειτουργούν ως κλειδί για το ξεκλείδωμα ενός λογαριασμού ή ενός εργαλείου.

Μπορείτε να χρησιμοποιήσετε το Google Authenticator χωρίς να το συνδέσετε με το λογαριασμό σας στο Google ή να το συγχρονίσετε σε όλες τις συσκευές, γεγονός που αποφεύγει την έκθεσή σας σε αυτό το ζήτημα. Δυστυχώς, αυτό σημαίνει ότι ίσως είναι καλύτερο να αποφύγετε μια χρήσιμη λειτουργία για την οποία οι χρήστες ζητούσαν εδώ και χρόνια. "Το συμπέρασμα: αν και ο συγχρονισμός των μυστικών 2FA σε όλες τις συσκευές είναι βολικός, γίνεται εις βάρος της ιδιωτικής σας ζωής", δήλωσε η εταιρεία. "Συνιστούμε να χρησιμοποιείτε την εφαρμογή χωρίς τη νέα λειτουργία συγχρονισμού προς το παρόν". Η Google δεν απάντησε αμέσως σε αίτημα για σχολιασμό.

Οι δοκιμές διαπίστωσαν ότι η μη κρυπτογραφημένη κίνηση περιέχει έναν "σπόρο" (seed) ο οποίος χρησιμοποιείται για την αρχικοποίηση μιας γεννήτριας ψευδοτυχαίων αριθμών για τη δημιουργία των κωδικών ελέγχου ταυτότητας δύο παραγόντων. Σύμφωνα με τον Tommy Mysk, έναν από τους ερευνητές που αποκάλυψαν το πρόβλημα, οποιοσδήποτε με πρόσβαση σε αυτόν τον "σπόρο" μπορεί να δημιουργήσει τους δικούς του κωδικούς για τους λογαριασμούς σας και να εισέλθει. "Εάν οι διακομιστές της Google παραβιάζονταν, τα μυστικά θα διαρρέονταν", δήλωσε εκπρόσωπος της εταιρίας Mysk στο Gimodo. Προσθέτοντας προσβολή στο τραύμα, οι κωδικοί QR που εμπλέκονται με τη ρύθμιση του ελέγχου ταυτότητας δύο παραγόντων περιέχουν επίσης το όνομα του λογαριασμού ή της υπηρεσίας (Amazon ή Twitter, για παράδειγμα). "Ο επιτιθέμενος μπορεί επίσης να γνωρίζει ποιους λογαριασμούς έχετε. Αυτό είναι ιδιαίτερα επικίνδυνο αν είστε ακτιβιστής και διαχειρίζεστε άλλους λογαριασμούς Twitter ανώνυμα".

Αλλά δεν είναι μόνο οι εγκληματίες του κυβερνοχώρου για τους οποίους πρέπει να ανησυχείτε. "Η Google ή το προσωπικό της Google μπορεί να έχει πρόσβαση σε αυτά τα δεδομένα", δήλωσε η εταιρία Mysk.

Η έλλειψη κρυπτογράφησης σημαίνει ότι η Google θα μπορούσε θεωρητικά να εξετάσει τα δεδομένα και να μάθει ποιες εφαρμογές και υπηρεσίες χρησιμοποιείτε, κάτι που μπορεί να είναι πολύτιμο για διάφορους σκοπούς, συμπεριλαμβανομένων των στοχευμένων διαφημίσεων. Σύμφωνα με την Mysk, "το να επιτρέπεται σε έναν τεχνολογικό γίγαντα που διψάει για δεδομένα όπως η Google να δημιουργήσει ένα γράφημα όλων των λογαριασμών και των υπηρεσιών που έχει κάθε χρήστης δεν είναι καλό πράγμα".

Το θέμα αποτελεί έκπληξη, δεδομένης της ιστορίας της Google με παρόμοια εργαλεία. Η Google διαθέτει μια αμυδρά παρόμοια λειτουργία που σας επιτρέπει να συγχρονίζετε δεδομένα από το Google Chrome σε όλες τις συσκευές. Εκεί, η εταιρεία δίνει στους χρήστες τη δυνατότητα να ορίσουν έναν κωδικό πρόσβασης για την προστασία αυτών των δεδομένων, κρατώντας τα μακριά από τα αδιάκριτα μάτια της Google και προστατεύοντάς τα από οποιονδήποτε άλλον μπορεί να τα υποκλέψει. Σύμφωνα με την Mysk, "τα μυστικά 2FA θεωρούνται ευαίσθητα δεδομένα, όπως ακριβώς και οι κωδικοί πρόσβασης. Η Google υποστηρίζει ήδη φράσεις πρόσβασης για τον συγχρονισμό δεδομένων του Chrome. Έτσι, περιμέναμε ότι τα μυστικά 2FA θα αντιμετωπίζονταν με τον ίδιο τρόπο". Μέχρι στιγμής, η Google δεν έχει ανακοινώσει σχέδια για την προσθήκη προστασίας με κωδικό πρόσβασης στη λειτουργία συγχρονισμού Authenticator.

Νωρίτερα αυτή την εβδομάδα, η Google κυκλοφόρησε μια επείγουσα ενημερωμένη έκδοση ασφαλείας για το πρόγραμμα περιήγησης Chrome λόγω μιας ευπάθειας που χρησιμοποιείται ενεργά αυτή τη στιγμή. Αναρτήθηκε σε ένα δελτίο την Παρασκευή, η Google ενημέρωσε για το CVE-2023-2033, το οποίο αναφέρθηκε από τον Clément Lecigne της ομάδας ανάλυσης απειλών (TAG) της ίδιας της Google. Αυτή η ευπάθεια είναι ένα σφάλμα "σύγχυσης τύπων" (type confusion) στη μηχανή JavaScript για τα προγράμματα περιήγησης Chromium που χρησιμοποιούν τη μηχανή V8 Javascript. Εν συντομία, το type confusion, είναι ένα σφάλμα που επιτρέπει την πρόσβαση στη μνήμη με λάθος τύπο, επιτρέποντας την ανάγνωση ή εγγραφή μνήμης εκτός ορίων. Η σελίδα του CVE αναφέρει ότι ένας επιτιθέμενος θα μπορούσε να δημιουργήσει μια σελίδα HTML που επιτρέπει την εκμετάλλευση της "καταστροφής σωρού" (heap corruption). Παρόλο που δεν υπάρχει ακόμη βαθμολογία CVSS (Common Vulnerability Scoring System) που να συνδέεται με την ευπάθεια, η Google το παρακολουθεί ως ζήτημα "υψηλής" σοβαρότητας. Αυτό πιθανότατα οφείλεται εν μέρει στο γεγονός ότι "η Google γνωρίζει ότι ένα exploit για το CVE-2023-2033 είναι ενεργό αυτή τη στιγμή".

Πέρα από αυτή την ευπάθεια, πολλά άλλα ανώνυμα ζητήματα διορθώθηκαν με αυτή την ενημέρωση, οπότε θα ήταν συνετό να ενημερώσετε την έκδοση v112.0.5615.121. Αυτό θα γίνει γενικά αυτόματα, αλλά οι χρήστες μπορούν επίσης να το ελέγξουν μόνοι τους για να διασφαλίσουν ότι είναι προστατευμένοι. Κάποιος μπορεί να ελέγξει για ενημερώσεις κάνοντας κλικ στο μενού με τις τρεις τελείες στο Chrome στην επάνω δεξιά γωνία, κάνοντας κλικ στο "Βοήθεια" και στη συνέχεια στο "Σχετικά με το Chrome".

Φυσικά, όλοι θα πρέπει να αναζητούν ενημερώσεις και να επιδιορθώνουν το λογισμικό τους το συντομότερο δυνατό, αλλά αυτή είναι μια ειδική περίπτωση. Με την ενεργή εκμετάλλευση μιας ευπάθειας, οι χρήστες του Chrome θα πρέπει να ελέγξουν για ενημέρωση τώρα για να διατηρήσουν τα δεδομένα και τον υπολογιστή τους ασφαλή πριν είναι αργά.

Οι χάκερς που παραβίασαν την Western Digital, ισχυρίζονται ότι έκλεψαν περίπου 10 terabytes δεδομένων από την εταιρεία, συμπεριλαμβανομένων πλήθους πληροφοριών πελατών. Οι εκβιαστές πιέζουν την εταιρεία να διαπραγματευτεί λύτρα ύψους - "τουλάχιστον 8 ψηφίων" - με αντάλλαγμα να μην δημοσιευθούν τα κλεμμένα δεδομένα.

Στις 3 Απριλίου, η Western Digital αποκάλυψε "ένα περιστατικό ασφάλειας δικτύου" λέγοντας ότι χάκερς είχαν διαρρεύσει δεδομένα μετά από παραβίαση "ορισμένων συστημάτων της εταιρείας". Εκείνη την εποχή, η Western Digital παρείχε λίγες λεπτομέρειες σχετικά με το ποια ακριβώς δεδομένα έκλεψαν οι χάκερς, λέγοντας σε δήλωσή της ότι οι χάκερς "απέκτησαν ορισμένα δεδομένα από τα συστήματά της και [η Western Digital] εργάζεται για να κατανοήσει τη φύση και το εύρος αυτών των δεδομένων". Ένας από τους χάκερ μίλησε με το TechCrunch και έδωσε περισσότερες λεπτομέρειες, με στόχο να επαληθεύσει τους ισχυρισμούς τους. Ο χάκερ μοιράστηκε ένα αρχείο που ήταν ψηφιακά υπογεγραμμένο με το πιστοποιητικό υπογραφής της Western Digital, δείχνοντας ότι μπορούσαν πλέον να υπογράψουν ψηφιακά αρχεία για να υποδυθούν τη Western Digital. Δύο ερευνητές ασφαλείας εξέτασαν επίσης το αρχείο και συμφώνησαν ότι είναι υπογεγραμμένο με το πιστοποιητικό της εταιρείας.

Οι χάκερς μοιράστηκαν επίσης αριθμούς τηλεφώνου που φέρονται να ανήκουν σε διάφορα στελέχη της εταιρείας. Το TechCrunch κάλεσε τους αριθμούς. Οι περισσότερες κλήσεις χτύπησαν αλλά πήγαν σε αυτοματοποιημένα μηνύματα φωνητικού ταχυδρομείου. Δύο από τους τηλεφωνικούς αριθμούς είχαν χαιρετισμούς στον τηλεφωνητή που ανέφεραν τα ονόματα των στελεχών που οι χάκερ ισχυρίστηκαν ότι συνδέονταν με τους αριθμούς. Οι δύο τηλεφωνικοί αριθμοί δεν είναι δημόσιοι. Τα στιγμιότυπα οθόνης που μοιράστηκε ο χάκερ δείχνουν έναν φάκελο από έναν λογαριασμό Box που προφανώς ανήκει στη Western Digital, ένα εσωτερικό μήνυμα ηλεκτρονικού ταχυδρομείου, αρχεία που είναι αποθηκευμένα σε PrivateArk instance (ένα προϊόν κυβερνοασφάλειας) και ένα στιγμιότυπο οθόνης από μια ομαδική κλήση όπου ένας από τους συμμετέχοντες αναγνωρίζεται ως ο υπεύθυνος ασφάλειας πληροφοριών της Western Digital. Είπαν επίσης ότι μπόρεσαν να κλέψουν δεδομένα από το SAP Backoffice της εταιρείας, ένα back-end interface που βοηθά τις εταιρείες να διαχειρίζονται δεδομένα ηλεκτρονικού εμπορίου. Ο χάκερ δήλωσε ότι ο στόχος τους όταν παραβίασαν τη Western Digital ήταν να βγάλουν χρήματα, αν και αποφάσισαν να μην χρησιμοποιήσουν ransomware για να κρυπτογραφήσουν τα αρχεία της εταιρείας. "Θέλω να τους δώσω την ευκαιρία να πληρώσουν, αλλά ενώ τους έχουμε καλέσει αρκετές φορές, δεν απαντούν και αν απαντήσουν ακούνε και κλείνουν το τηλέφωνο", δήλωσε ο χάκερ.

Ο χάκερ είπε ότι έχουν επίσης στείλει email σε διάφορα στελέχη - χρησιμοποιώντας τις προσωπικές τους διευθύνσεις ηλεκτρονικού ταχυδρομείου επειδή το εταιρικό σύστημα ηλεκτρονικού ταχυδρομείου είναι προς το παρόν εκτός λειτουργίας - απαιτώντας μια "εφάπαξ πληρωμή". "Είμαστε αυτοί που παραβίασαν την εταιρεία σας. Ίσως χρειάζεται η προσοχή σας!", έγραψαν οι χάκερς, σύμφωνα με αντίγραφο του email που μοιράστηκαν οι χάκερς με το TechCrunch. "Συνεχίστε να ακολουθείτε αυτόν τον δρόμο και θα σας εκδικηθούμε. Χρειαζόμαστε μόνο μια εφάπαξ πληρωμή και μετά θα φύγουμε από το δίκτυό σας και θα σας ενημερώσουμε για τις αδυναμίες σας. Δεν έχει γίνει καμία μόνιμη ζημιά. Αλλά αν υπάρξουν προσπάθειες να παρέμβετε σε εμάς, στα συστήματά μας ή σε οτιδήποτε άλλο. Θα αντεπιτεθούμε", συνέχισαν. "Είμαστε ακόμα θαμμένοι στο δίκτυό σας και θα συνεχίσουμε να σκάβουμε εκεί μέχρι να βρούμε μια πληρωμή από εσάς. Μπορούμε να το αποκρύψουμε πλήρως και να το κάνουμε να εξαφανιστεί. Πριν είναι πολύ αργά, ας το κάνουμε αυτό. Μέχρι τώρα ήσασταν ευγενικοί- ας ελπίσουμε ότι δεν θα συνεχίσετε να ακολουθείτε τον λάθος δρόμο. Κόψτε τις βλακείες, πάρτε τα χρήματα και ας τραβήξουμε και οι δύο χωριστούς δρόμους. Με απλά λόγια, ας αφήσουμε στην άκρη τους εγωισμούς μας και ας εργαστούμε για να βρούμε μια λύση σε αυτό το χαοτικό σενάριο".

Ο εκπρόσωπος της Western Digital, Τσάρλι Σμόλινγκ, δήλωσε ότι η εταιρεία αρνήθηκε να σχολιάσει ή να απαντήσει σε ερωτήσεις σχετικά με τους ισχυρισμούς των χάκερ, όπως αν η εταιρεία μπορεί να επιβεβαιώσει το ποσό των δεδομένων που εκλάπησαν, αν αυτά περιλαμβάνουν δεδομένα πελατών και αν η εταιρεία είχε έρθει σε επαφή με τους χάκερ. Ο χάκερ που μίλησε στο TechCrunch αρνήθηκε να διευκρινίσει τι είδους δεδομένα πελατών έχουν, πώς εισέβαλαν αρχικά στο δίκτυο της Western Digital και πώς διατήρησαν την πρόσβαση στο δίκτυο της εταιρείας. "Μπορώ να πω ότι εκμεταλλευτήκαμε τρωτά σημεία στην υποδομή τους και φτάσαμε στον παγκόσμιο διαχειριστή του Tenant [Microsoft] Azure", δήλωσε ο χάκερ.

Όσο για το γιατί χάκαραν τη Western Digital, ο χάκερ δήλωσε ότι απλά βρίσκουν στόχους "τυχαία". Αρνήθηκαν επίσης να πουν κάτι για τους ίδιους ή την ομάδα, λέγοντας ότι δεν έχουν κάποιο όνομα. Αν η Western Digital δεν τους απαντήσει, είπε ο χάκερ, είναι έτοιμοι να αρχίσουν να δημοσιεύουν τα κλεμμένα δεδομένα στον ιστότοπο της συμμορίας ransomware Alphv. Ο χάκερ δήλωσε ότι δεν έχουν άμεση σχέση με την Alphv, αλλά "τους γνωρίζω ως επαγγελματίες".

Μια ισραηλινή εταιρεία παρακολούθησης βρέθηκε να μολύνει iPhones με spyware, πιθανώς εκμεταλλευόμενη το σύστημα πρόσκλησης ημερολογίου iCloud της Apple. Τα ευρήματα προέρχονται από τη Microsoft και την ομάδα παρακολούθησης Citizen Lab, η οποία διερεύνησε δείγματα spyware που φέρεται να προέρχονται από την ισραηλινή QuaDream. Το spyware, με την ονομασία "EndofDays", χρησιμοποιήθηκε το 2021 και αξιοποίησε μια εκμετάλλευση "zero-click" - το οποίο πρόκειται για μια επίθεση που μπορεί να καταλάβει ένα iPhone χωρίς να απαιτεί από τον χρήστη να κάνει κλικ σε οτιδήποτε. Μόλις μολυνθεί, το EndofDays μπορεί να καταγράφει ήχο από τηλεφωνικές κλήσεις, να τραβάει κρυφά φωτογραφίες και να ψάχνει στη συσκευή για αρχεία, μεταξύ άλλων δυνατοτήτων, συμπεριλαμβανομένης μιας λειτουργίας αυτοκαταστροφής που μπορεί να σβήσει τα ίχνη του spyware. Οι ικανότητες αυτοκαταστροφής καθιστούν δύσκολη την κατανόηση του πλήρους εύρους της επίθεσης. Αλλά στην έκθεσή της, η Citizen Lab αποκάλυψε στοιχεία που αποδεικνύουν ότι το QuaDream πιθανότατα χρησιμοποιούσε "αόρατες προσκλήσεις ημερολογίου iCloud που αποστέλλονται από τον χειριστή του spyware, στα θύματα" προκειμένου να πραγματοποιήσει την επίθεση. Τα ίδια τα δείγματα spyware περιέχουν τη δυνατότητα διαγραφής συμβάντων από το ημερολόγιο του iOS που σχετίζονται με μια συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου. Η Citizen Lab εξέτασε επίσης τα iPhones που ανήκαν σε δύο θύματα του spyware, τα οποία έδειξαν ίχνη αλλοίωσης μέσω των αρχείων ICS.

"Υποψιαζόμαστε ότι η χρήση από τον επιτιθέμενο των ετικετών CDATA που κλείνουν και ανοίγουν στο .ics θα μπορούσε ενδεχομένως να διευκολύνει τη συμπερίληψη πρόσθετων δεδομένων XML που θα επεξεργάζονταν από το τηλέφωνο του χρήστη, προκειμένου να ενεργοποιηθεί κάποια συμπεριφορά που επιθυμεί ο επιτιθέμενος", δήλωσε η Citizen Lab. Ως εκ τούτου, είναι πιθανό το spyware να έφτασε μέσω των emails που μεταφέρουν τις κακόβουλες προσκλήσεις ημερολογίου. Ο ερευνητής της Citizen Lab, Bill Marczak, σημειώνει επίσης ότι οι κακόβουλες προσκλήσεις ημερολογίου αφορούσαν γεγονότα που είχαν καταγραφεί στο παρελθόν, γεγονός που εμπόδισε το iCloud να ειδοποιεί αυτόματα τους χρήστες για τις προσκλήσεις. Ωστόσο, οι ερευνητές δεν μπόρεσαν να ανακτήσουν δεδομένα XML από τα αρχεία ICS. 

Η έκθεση της Citizen Lab συνεχίζει λέγοντας ότι το EndofDays μόλυνε τουλάχιστον πέντε θύματα, συμπεριλαμβανομένων δημοσιογράφων, στελεχών της πολιτικής αντιπολίτευσης και ενός εργαζόμενου σε ΜΚΟ. Τα θύματα βρίσκονταν στη Βόρεια Αμερική, την Κεντρική Ασία, τη Νοτιοανατολική Ασία, την Ευρώπη και τη Μέση Ανατολή.  Παρόλο που η Apple φαίνεται να έχει επιδιορθώσει το exploit του spyware το 2021 μέσω διαφόρων ενημερώσεων λογισμικού, η Microsoft αναφέρει ότι είναι "πολύ πιθανό" η QuaDream να έχει αναβαθμίσει την τακτική της για να καταλάβει iPhones στις τελευταίες εκδόσεις του iOS.  

Η QuaDream διατηρεί μια σκιώδη παρουσία- η εταιρεία δεν έχει δημόσιο ιστότοπο ή λογαριασμούς στα μέσα κοινωνικής δικτύωσης. Αλλά σύμφωνα με το Reuters, η QuaDream έχει πουλήσει τις τεχνολογίες κατασκοπευτικού λογισμικού της σε πελάτες των υπηρεσιών επιβολής του νόμου στο Μεξικό, τη Σαουδική Αραβία και τη Σιγκαπούρη. Το Citizen Lab δημοσίευσε επίσης στοιχεία που δείχνουν ότι η QuaDream διατηρεί διακομιστές σε 10 χώρες για την εκροή δεδομένων από συσκευές που έχουν μολυνθεί με το spyware της εταιρείας, συμπεριλαμβανομένης της Τσεχικής Δημοκρατίας, του Μεξικού, της Ρουμανίας, της Γκάνας και των Ηνωμένων Αραβικών Εμιράτων. 

"Τελικά, αυτή η έκθεση είναι μια υπενθύμιση ότι η βιομηχανία spyware επί πληρωμή είναι μεγαλύτερη από οποιαδήποτε εταιρεία και ότι απαιτείται συνεχής επαγρύπνηση τόσο από τους ερευνητές όσο και από τους δυνητικούς στόχους", πρόσθεσε η Citizen Lab.  Ένας εκπρόσωπος της Apple δήλωσε στο PCMag ότι δεν υπάρχουν αποδείξεις ότι το exploit από την QuaDream χρησιμοποιήθηκε μετά την διάθεση του iOS 14.4.2 τον Μάρτιο του 2021. Η εταιρεία έχει επίσης αναπτύξει ένα προαιρετικό νέο "Lockdown Mode", το οποίο μπορεί να εμποδίσει τις προσπάθειες hacking από επαγγελματικές εταιρείες spyware.

Ο κατασκευαστής υλικού παιχνιδιών MSI επιβεβαίωσε σήμερα ότι έπεσε θύμα κυβερνοεπίθεσης. Σε μια σύντομη δήλωση στον ιστότοπό της, η εταιρεία ανέφερε ότι η επίθεση έπληξε "μέρος των πληροφοριακών της συστημάτων", τα οποία έκτοτε έχουν επιστρέψει σε κανονική λειτουργία.

Η εταιρεία συμβουλεύει τους πελάτες της να λαμβάνουν ενημερώσεις BIOS και firmware μόνο από την ιστοσελίδα της MSI και όχι από άλλες πηγές. Δεν δίνει πολλές λεπτομέρειες, λέγοντας ότι μετά την "ανίχνευση ανωμαλιών στο δίκτυο", η MSI εφάρμοσε "μηχανισμούς άμυνας και πραγματοποίησε μέτρα ανάκαμψης" και στη συνέχεια ενημέρωσε την κυβέρνηση και τις διωκτικές αρχές.

"Η MSI δεσμεύεται να προστατεύει την ασφάλεια των δεδομένων και την ιδιωτικότητα των καταναλωτών, των εργαζομένων και των συνεργατών και θα συνεχίσει να ενισχύει την αρχιτεκτονική και τη διαχείριση της κυβερνοασφάλειας για να διατηρήσει την επιχειρηματική συνέχεια και την ασφάλεια του δικτύου στο μέλλον", αναφέρεται σε blog ανάρτηση. Η ανάρτηση αυτή, δεν αναφέρει αν τα δεδομένα των πελατών εκλάπησαν ή επηρεάστηκαν. Το Tom's Hardware επικοινώνησε με την MSI, αλλά δεν έλαβε απάντηση επί του θέματος. Επιπλέον, τα μηνύματα ηλεκτρονικού ταχυδρομείου προς τις επίσημες διευθύνσεις εκπροσώπων που παρατίθενται στον ιστότοπο της εταιρείας γύρισαν πίσω.

Τα πρώτα σημάδια της κυβερνοεπίθεσης εμφανίστηκαν χθες σε μια έκθεση από το BleepingComputer, η οποία έδειξε ότι μια ομάδα ransomware με την ονομασία Money Message είχε ισχυριστεί ότι είχε κλέψει τον πηγαίο κώδικα, ένα "πλαίσιο για την ανάπτυξη bios [sic]" και ιδιωτικά κλειδιά. Επιπλέον, ο ιστότοπος είδε συνομιλίες που έδειχναν ότι η ομάδα ισχυριζόταν ότι είχε κλέψει 1,5TB δεδομένων και ζητούσε την καταβολή λύτρων άνω των τεσσάρων εκατομμυρίων δολαρίων. Δεν είναι σαφές αν αυτά σχετίζονται ή αν η MSI πλήρωσε λύτρα. Αυτός δεν είναι ο πρώτος κατασκευαστής υλικού που βλέπει αυτού του είδους την επίθεση. Μόλις τον περασμένο μήνα, ένας χάκερ έκλεψε 160GB δεδομένων από την Acer από έναν διακομιστή εγγράφων που προοριζόταν για τεχνικούς επισκευών. (Στην Acer κλάπηκαν επίσης 60GB δεδομένων τον Οκτώβριο του 2021).

Τα τελευταία χρόνια, έχουμε δει την Quanta, τη Nvidia και άλλους μεγάλους κατασκευαστές υλικού να διερευνούν πιθανές κυβερνοεπιθέσεις. Είναι σαφές ότι η επιθυμία κακόβουλων χρηστών να αποκτήσουν πρόσβαση σε δεδομένα από μεγάλους προμηθευτές υλικού, τα οποία στη συνέχεια θα μπορούσαν ενδεχομένως να εξαπλωθούν σε υπολογιστές-πελάτες, δεν πρόκειται να εξαφανιστεί σύντομα.

Ερευνητές ασφαλείας ανακάλυψαν μια νέα κακόβουλη επέκταση προγράμματος περιήγησης με την ονομασία Rilide, η οποία στοχεύει σε προϊόντα που βασίζονται στο Chromium, όπως το Google Chrome, το Brave, το Opera και το Microsoft Edge. Το κακόβουλο λογισμικό έχει σχεδιαστεί για την παρακολούθηση της δραστηριότητας του προγράμματος περιήγησης, τη λήψη στιγμιότυπων οθόνης και την κλοπή κρυπτονομισμάτων μέσω σεναρίων που εισάγονται σε ιστοσελίδες. Οι ερευνητές της Trustwave SpiderLabs διαπίστωσαν ότι το Rilide μιμείται τις νόμιμες επεκτάσεις του Google Drive για να κρύβεται σε κοινή θέα, ενώ κάνει κατάχρηση των ενσωματωμένων λειτουργιών του Chrome. Η εταιρεία κυβερνοασφάλειας εντόπισε δύο ξεχωριστές εκστρατείες που διακινούσαν το Rilide. Η μία χρησιμοποιούσε τις διαφημίσεις Google και το Aurora Stealer για να φορτώσει την επέκταση χρησιμοποιώντας έναν φορτωτή Rust. Η άλλη διακινούσε την κακόβουλη επέκταση χρησιμοποιώντας το Ekipa trojan απομακρυσμένης πρόσβασης (RAT).

Δύο εκστρατείες που προωθούν το Rilide (Trustwave)

Ενώ η προέλευση του κακόβουλου λογισμικού είναι άγνωστη, η Trustwave αναφέρει ότι έχει επικαλύψεις με παρόμοιες επεκτάσεις που πωλούνται σε εγκληματίες του κυβερνοχώρου. Ταυτόχρονα, τμήματα του κώδικά του διέρρευσαν πρόσφατα σε ένα υπόγειο φόρουμ λόγω μιας διαμάχης μεταξύ κυβερνοεγκληματιών για ανεκπλήρωτη πληρωμή.

Ο loader του Rilide τροποποιεί τα αρχεία συντόμευσης του προγράμματος περιήγησης ιστού για να αυτοματοποιήσει την εκτέλεση της κακόβουλης επέκτασης που πέφτει στο μολυσμένο σύστημα.

Κακόβουλη επέκταση στον Edge (Trustwave)

Κατά την εκτέλεση, το κακόβουλο λογισμικό εκτελεί ένα σενάριο για να προσαρτήσει έναν ακροατή που παρακολουθεί πότε το θύμα αλλάζει καρτέλες, λαμβάνει περιεχόμενο ιστού ή ολοκληρώνει τη φόρτωση ιστοσελίδων. Επίσης, ελέγχει εάν η τρέχουσα τοποθεσία ταιριάζει με μια λίστα στόχων που είναι διαθέσιμη από τον (C2) διακομιστή εντολών και ελέγχου. Εάν υπάρχει ταύτιση, η επέκταση φορτώνει πρόσθετα σενάρια που εισάγονται στην ιστοσελίδα για να κλέψουν από το θύμα πληροφορίες που σχετίζονται με κρυπτονομίσματα, διαπιστευτήρια λογαριασμού ηλεκτρονικού ταχυδρομείου κ.λπ. Η επέκταση απενεργοποιεί επίσης την "Πολιτική ασφάλειας περιεχομένου", ένα χαρακτηριστικό ασφαλείας που έχει σχεδιαστεί για την προστασία από επιθέσεις cross-site scripting (XSS), για να φορτώνει ελεύθερα εξωτερικούς πόρους που κανονικά θα μπλοκάρει το πρόγραμμα περιήγησης. Εκτός από τα παραπάνω, η επέκταση αποκρύπτει τακτικά το ιστορικό περιήγησης και μπορεί επίσης να καταγράφει στιγμιότυπα οθόνης και να τα στέλνει στο C2.

Γράφημα δυνατοτήτων του Rilide (Trustwave)

Ένα ενδιαφέρον χαρακτηριστικό του Rilide είναι το σύστημα παράκαμψης του 2FA, το οποίο χρησιμοποιεί πλαστά παράθυρα διαλόγου για να εξαπατήσει τα θύματα ώστε να εισάγουν τους προσωρινούς κωδικούς τους. Το σύστημα ενεργοποιείται όταν το θύμα ξεκινά αίτημα ανάληψης κρυπτονομισμάτων σε μια υπηρεσία ανταλλαγής που στοχεύει το Rilide. Το κακόβουλο λογισμικό παρεμβαίνει την κατάλληλη στιγμή για να εισάγει το σενάριο στο παρασκήνιο και να επεξεργαστεί αυτόματα το αίτημα. Μόλις ο χρήστης εισάγει τον κωδικό του στον ψεύτικο διάλογο, το Rilide τον χρησιμοποιεί για να ολοκληρώσει τη διαδικασία ανάληψης στη διεύθυνση πορτοφολιού του δράστη. "Οι επιβεβαιώσεις ηλεκτρονικού ταχυδρομείου αντικαθίστανται επίσης on the fly, εάν ο χρήστης εισέλθει στο γραμματοκιβώτιο χρησιμοποιώντας το ίδιο πρόγραμμα περιήγησης ιστού", εξηγεί η Trustwave στην έκθεση. "Το email με το αίτημα ανάληψης αντικαθίσταται με ένα αίτημα εξουσιοδότησης συσκευής που εξαπατά τον χρήστη ώστε να δώσει τον κωδικό εξουσιοδότησης".

Αντικατάσταση του νόμιμου email (δεξιά) ενώ εξάγεται ο κωδικός 2FA (Trustwave)

To Rilide αναδεικνύει την αυξανόμενη πολυπλοκότητα των κακόβουλων επεκτάσεων του προγράμματος περιήγησης που διαθέτουν πλέον συστήματα ζωντανής παρακολούθησης και αυτοματοποιημένης κλοπής χρημάτων. Ενώ η εξάπλωση του Manifest v3 σε όλα τα προγράμματα περιήγησης που βασίζονται στο Chromium θα βελτιώσει την αντίσταση κατά των κακόβουλων επεκτάσεων, η Trustwave σχολιάζει ότι δεν θα εξαλείψει το πρόβλημα.

Ειδικοί σε θέματα ασφάλειας αυτοκινήτων δηλώνουν ότι έχουν αποκαλύψει μια μέθοδο κλοπής αυτοκινήτων που βασίζεται στην άμεση πρόσβαση στο σύστημα bus του οχήματος μέσω της καλωδίωσης ενός έξυπνου προβολέα. Όλα ξεκίνησαν όταν ένα Toyota RAV4 που ανήκε σε έναν από τους γκουρού της τεχνολογίας υπέστη ύποπτη ζημιά στο μπροστινό φτερό και στο περίβλημα των προβολέων και τελικά εκλάπη με επιτυχία. Κάποια έρευνα και αντίστροφη μηχανική αποκάλυψε πώς έγινε η κλοπή.

Ο Ken Tindell, CTO της Canis Automotive Labs, δήλωσε ότι τα στοιχεία έδειξαν ότι οι κλέφτες εκτέλεσαν επιτυχώς τη λεγόμενη έγχυση CAN (CAN Injection). Ένας δίαυλος Controller Area Network (CAN) υπάρχει σχεδόν σε όλα τα σύγχρονα αυτοκίνητα και χρησιμοποιείται από μικροελεγκτές και άλλες συσκευές για να συνομιλούν μεταξύ τους μέσα στο όχημα και να εκτελούν τις εργασίες που πρέπει να κάνουν. Σε μια επίθεση CAN injection, οι κλέφτες αποκτούν πρόσβαση στο δίκτυο και εισάγουν πλαστά μηνύματα σαν να προέρχονται από τον δέκτη έξυπνων κλειδιών του αυτοκινήτου. Αυτά τα μηνύματα προκαλούν ουσιαστικά το σύστημα ασφαλείας να ξεκλειδώσει το όχημα και να απενεργοποιήσει το σύστημα ακινητοποίησης κινητήρα, επιτρέποντας την κλοπή του. Για να αποκτήσουν αυτή την πρόσβαση στο δίκτυο, οι απατεώνες μπορούν, για παράδειγμα, να σπάσουν έναν προβολέα και να χρησιμοποιήσουν τη σύνδεσή του με τον δίαυλο για να στείλουν μηνύματα. Από εκείνο το σημείο, μπορούν απλά να χειριστούν άλλες συσκευές για να κλέψουν το όχημα. "Στα περισσότερα αυτοκίνητα που κυκλοφορούν σήμερα στους δρόμους, αυτά τα εσωτερικά μηνύματα δεν προστατεύονται: οι παραλήπτες απλώς τα εμπιστεύονται", ανέφερε λεπτομερώς ο Tindell σε ένα τεχνικό κείμενο αυτή την εβδομάδα.

Η ανακάλυψη έγινε μετά από έρευνα του Ian Tabor, ερευνητή κυβερνοασφάλειας και συμβούλου μηχανικών αυτοκινήτων που εργάζεται για την EDAG Engineering Group. Αφορμή στάθηκε η κλοπή του RAV4 του Tabor. Ερευνώντας το έγκλημα, ο Tabor παρατήρησε ότι ο μπροστινός προφυλακτήρας και η ζάντα της καμάρας είχαν αφαιρεθεί από κάποιον και ότι είχε αφαιρεθεί το βύσμα καλωδίωσης του προβολέα. Η γύρω περιοχή ήταν γδαρμένη με σημάδια από κατσαβίδι, τα οποία, σε συνδυασμό με το γεγονός ότι η ζημιά ήταν στην μεριά του πεζοδρομίου, φάνηκε να αποκλείουν τη ζημιά που προκλήθηκε από διερχόμενο όχημα. Αργότερα έγιναν κι άλλοι βανδαλισμοί στο αυτοκίνητο: χαρακιές στη βαφή, αφαιρεμένα κλιπς χύτευσης και χαλασμένοι προβολείς. Λίγες ημέρες αργότερα, το Toyota κλάπηκε. Αρνούμενος να δεχτεί την κλοπή, ο Tabor χρησιμοποίησε την εμπειρία του για να προσπαθήσει να καταλάβει πώς οι κλέφτες είχαν κάνει τη δουλειά. Η εφαρμογή MyT της Toyota - η οποία, μεταξύ άλλων, σας επιτρέπει να επιθεωρείτε τα αρχεία καταγραφής δεδομένων του οχήματός σας - βοήθησε. Παρείχε αποδείξεις ότι οι ηλεκτρονικές μονάδες ελέγχου (ECU) στο RAV4 είχαν εντοπίσει δυσλειτουργίες, οι οποίες καταγράφηκαν ως διαγνωστικοί κώδικες προβλημάτων (DTC), πριν από την κλοπή. Διάφορα συστήματα φαίνεται να είχαν αποτύχει ή υποστεί βλάβες, συμπεριλαμβανομένων των μπροστινών καμερών και του συστήματος ελέγχου του υβριδικού κινητήρα. Με κάποια περαιτέρω ανάλυση κατέστη σαφές ότι τα ECU πιθανώς δεν είχαν χαλάσει, αλλά η επικοινωνία μεταξύ τους είχε χαθεί ή διακοπεί. Ο κοινός παράγοντας ήταν ο δίαυλος CAN.

Στην πραγματικότητα, οι βλάβες δημιουργήθηκαν καθώς οι κλέφτες έσπασαν έναν μπροστινό προβολέα και έβγαλαν την καλωδίωση και χρησιμοποίησαν αυτές τις εκτεθειμένες συνδέσεις για να αποκτήσουν ηλεκτρική πρόσβαση στον δίαυλο CAN και να στείλουν μηνύματα που έλεγαν σε άλλα μέρη του συστήματος να δώσουν ουσιαστικά στους κλέφτες το αυτοκίνητο. Η αποσύνδεση του προβολέα προκάλεσε το κύμα των προαναφερθέντων αποτυχιών επικοινωνίας του δικτύου. Αλλά πώς στάλθηκαν στην πραγματικότητα τα κρίσιμα μηνύματα ξεκλειδώματος; Ο Tabor μπήκε στο σκοτεινό διαδίκτυο για να αναζητήσει εξοπλισμό που μπορεί να εμπλέκεται στην κλοπή του αυτοκινήτου του και βρήκε μια σειρά από συσκευές που στοχεύουν στο δίαυλο CAN. Συνεργάστηκε με τον Noel Lowdon από την εταιρεία εγκληματολογικών ερευνών οχημάτων Harper Shaw για να εξετάσει την αντίστροφη μηχανική ενός contender - ένα gadget ικανό να μιλάει σε ένα συνδεδεμένο CAN bus και πονηρά κρυμμένο μέσα σε ένα κανονικό έξυπνο ηχείο Bluetooth. Το ψεύτικο ηχείο συνοδεύεται από καλώδια που εισάγετε σε έναν εκτεθειμένο σύνδεσμο του διαύλου, πατάτε ένα κουμπί στο κουτί και αυτό στέλνει τα απαιτούμενα μηνύματα για να ξεκλειδώσει το αυτοκίνητο. Δεδομένου ότι ο Tindell είχε συμβάλει στην ανάπτυξη της πρώτης πλατφόρμας αυτοκινήτων της Volvo που βασίζεται στο CAN, κλήθηκε να βοηθήσει στην κατανόηση της συμμετοχής του gadget στην κλοπή του αυτοκινήτου. Περισσότερες τεχνικές λεπτομέρειες παρέχονται στο προαναφερθέν τεχνικό κείμενο.

Καθώς η αυτοκινητοβιομηχανία αναπτύσσει ολοένα και πιο εξελιγμένα τεχνολογικά συστήματα για τα οχήματά της, οι κλέφτες βρίσκουν όλο και πιο εφευρετικούς τρόπους για να καταχραστούν αυτά τα συστήματα για τους δικούς τους σκοπούς. Πέρυσι, επιδείχθηκε ένα exploit για την είσοδο χωρίς κλειδί σε Honda Civic που κατασκευάστηκαν μεταξύ 2016 και 2020. Η αδύναμη κρυπτογράφηση που χρησιμοποιείται στο σύστημα εισόδου χωρίς κλειδί στο Model S της Tesla ενοχοποιήθηκε για την ευκολία με την οποία οι ερευνητές μπορούσαν να αποκτήσουν πρόσβαση. Πίσω στο 2016, ερευνητές ασφαλείας έδειξαν πώς οι απατεώνες μπορούσαν να εισβάλουν σε αυτοκίνητα κατά βούληση χρησιμοποιώντας ασύρματα σήματα που θα μπορούσαν να ξεκλειδώσουν εκατομμύρια ευάλωτα VW. 

Η Western Digital ανακοίνωσε σήμερα ότι το δίκτυό της έχει παραβιαστεί και ένα μη εξουσιοδοτημένο μέρος απέκτησε πρόσβαση σε πολλά συστήματα της εταιρείας.

Η εταιρεία κατασκευής δίσκων υπολογιστών και παροχής υπηρεσιών αποθήκευσης δεδομένων με έδρα την Καλιφόρνια αναφέρει σε δελτίο τύπου ότι το περιστατικό ασφαλείας του δικτύου εντοπίστηκε την περασμένη Κυριακή, στις 26 Μαρτίου.

Η έρευνα βρίσκεται σε πρώιμο στάδιο και η εταιρεία συντονίζει τις προσπάθειές της με τις αρχές επιβολής του νόμου.

"Με την ανακάλυψη του συμβάντος, η εταιρεία εφάρμοσε προσπάθειες αντιμετώπισης του συμβάντος και ξεκίνησε έρευνα με τη βοήθεια κορυφαίων εξωτερικών εμπειρογνωμόνων ασφάλειας και εγκληματολογίας", αναφέρει η Western Digital στην ανακοίνωση.

Με βάση τα στοιχεία που έχουν βρεθεί μέχρι στιγμής, η εταιρεία πιστεύει ότι ο εισβολέας είχε πρόσβαση σε ορισμένα από τα δεδομένα της εταιρείας. "Με βάση τη μέχρι σήμερα έρευνα, η εταιρεία πιστεύει ότι ο μη εξουσιοδοτημένος έλαβε ορισμένα δεδομένα από τα συστήματά της και εργάζεται για να κατανοήσει τη φύση και το εύρος αυτών των δεδομένων.", δήλωσαν από την Western Digital

Στον απόηχο της επίθεσης, η κατασκευάστρια εταιρεία αποθήκευσης εφάρμοσε πρόσθετα μέτρα ασφαλείας για τη διασφάλιση των συστημάτων και των λειτουργιών της. Τα μέτρα αυτά ενδέχεται να επηρεάσουν ορισμένες από τις υπηρεσίες της Western Digital.

Η εταιρεία δήλωσε ότι το περιστατικό "έχει προκαλέσει και μπορεί να συνεχίσει να προκαλεί διαταραχές σε τμήματα των επιχειρηματικών δραστηριοτήτων της εταιρείας".

Από την Κυριακή, πολλοί χρήστες της υπηρεσίας My Cloud της Western Digital ανέφεραν ότι δεν μπορούσαν να έχουν πρόσβαση στα αποθετήρια πολυμέσων που φιλοξενούνται στο cloud. Τη στιγμή που γράφεται το άρθρο, η προσπάθεια σύνδεσης στην υπηρεσία, συμπεριλαμβανομένης της έκδοσης Home, εμφανίζει το σφάλμα "503 Service Temporarily Unavailable".

Έχουν περάσει περισσότερες από 24 ώρες από τις πρώτες αναφορές για τη διακοπή λειτουργίας, με το cloud, το proxy, το web, τον έλεγχο ταυτότητας, τα email και τις ειδοποιήσεις push να μην είναι διαθέσιμα.

Η σελίδα κατάστασης της υπηρεσίας My Cloud σημειώνει ότι το πρόβλημα επηρεάζει τα ακόλουθα προϊόντα: My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi, SanDisk Ixpand Wireless Charger.

Ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποίησαν για απειλητικούς παράγοντες που κάνουν κατάχρηση ενός κενού ασφαλείας σε μια υπηρεσία εταιρίας VoIP που χρησιμοποιείται από ορισμένες από τις μεγαλύτερες εταιρίες παγκοσμίως.

Πολλές εταιρείες κυβερνοασφάλειας έχουν κρούσει τον κώδωνα του κινδύνου για την 3CX, συμπεριλαμβανομένης της Sophos, και της CrowdStrike, λέγοντας ότι οι απειλητικοί φορείς στοχεύουν ενεργά τους χρήστες των παραβιασμένων εφαρμογών της 3CX τόσο στα Windows όσο και στο macOS.

Η πλατφόρμα VoIP από την 3CX έχει περισσότερους από 600.000 πελάτες και περισσότερους από 12 εκατομμύρια καθημερινούς χρήστες, σύμφωνα με έκθεση του BleepingComputer, με πελάτες όπως η American Express, η Coca-Cola, η McDonald's, η BMW και πολλοί άλλοι. 

Οι ευάλωτες εκδόσεις της εφαρμογής 3CXDesktop App περιλαμβάνουν τις 18.12.407 και 18.12.416 για Windows και 18.11.1213 για macOS. Ένας από τους trojanized clients υπογράφηκε ψηφιακά στις αρχές Μαρτίου, με ένα νόμιμο πιστοποιητικό της 3CX που εκδόθηκε από την DigiCert, όπως διαπίστωσε η δημοσίευση.

"Η κακόβουλη δραστηριότητα περιλαμβάνει beaconing σε υποδομές που ελέγχονται από τους δράστες, ανάπτυξη ωφέλιμων φορτίων δεύτερου σταδίου και, σε μικρό αριθμό περιπτώσεων, δραστηριότητα πληκτρολογίου", αναφέρει η CrowdStrike. "Η πιο συνηθισμένη δραστηριότητα μετά την εκμετάλλευση που έχει παρατηρηθεί μέχρι σήμερα είναι η δημιουργία ενός διαδραστικού κελύφους εντολών (command shell)", αναφέρει η έκθεση της Sophos.

Μια άλλη εταιρεία κυβερνοασφάλειας, η SentinelOne, πρόσθεσε ότι το κακόβουλο λογισμικό είναι ικανό να κλέψει πληροφορίες συστήματος, καθώς και δεδομένα που είναι αποθηκευμένα στα προγράμματα περιήγησης Chrome, Edge, Brave και Firefox. Αυτά συχνά περιλαμβάνουν στοιχεία σύνδεσης και πληροφορίες πληρωμής.

Ενώ οι ερευνητές δεν μπορούν να καταλήξουν σε συναίνεση σχετικά με την ταυτότητα των επιτιθέμενων, η CrowdStrike υποψιάζεται την Labyrinth Collima, μια ομάδα χάκερ που χρηματοδοτείται από το κράτος της Βόρειας Κορέας.

"Η Labyrinth Collima είναι ένα υποσύνολο αυτού που έχει περιγραφεί ως Lazarus Group (@DEADLAZARUS), το οποίο περιλαμβάνει άλλους αντιπάλους που συνδέονται με τη Λαϊκή Δημοκρατία της Βόρειας Κορέας, συμπεριλαμβανομένων των Silent Chollima και Stardust Chollima ".

Η εταιρεία αναγνώρισε την επίθεση μέσω μιας δημοσίευσης στο ιστολόγιό της και επιβεβαίωσε ότι εργάζεται πάνω σε μια διόρθωση:

"Με λύπη μας ενημερώνουμε τους συνεργάτες και τους πελάτες μας ότι η εφαρμογή Electron Windows App που παραδόθηκε με την ενημέρωση 7, με αριθμούς έκδοσης 18.12.407 & 18.12.416, περιλαμβάνει ένα πρόβλημα ασφαλείας. Οι πωλητές Anti Virus έχουν επισημάνει το εκτελέσιμο αρχείο 3CXDesktopApp.exe και σε πολλές περιπτώσεις το απεγκαθιστούν", αναφέρεται στην ανακοίνωση. "Το πρόβλημα φαίνεται να αφορά μία από τις βιβλιοθήκες που συνοδεύουν το πακέτο και τις οποίες μεταγλωττίσαμε στην εφαρμογή Windows Electron App μέσω του GIT. Εξακολουθούμε να ερευνούμε το θέμα για να είμαστε σε θέση να δώσουμε μια πιο εμπεριστατωμένη απάντηση αργότερα σήμερα. Εν τω μεταξύ, ζητάμε συγγνώμη για ό,τι συνέβη και θα κάνουμε ό,τι περνάει από το χέρι μας για να επανορθώσουμε αυτό το σφάλμα".

Κατά την πρώτη ημέρα του Pwn2Own Vancouver 2023, ερευνητές ασφαλείας παρουσίασαν με επιτυχία τα exploits και τις αλυσίδες exploits μηδενικής ημέρας (0-day) για τα Tesla Model 3, Windows 11 και macOS για να κερδίσουν 375.000 δολάρια και ένα Tesla Model 3.

Ο πρώτος που έπεσε ήταν το Adobe Reader στην κατηγορία των επιχειρηματικών εφαρμογών, αφού ο Abdul Aziz Hariri (@abdhariri) της Haboob SA χρησιμοποίησε μια αλυσίδα exploit που στόχευε σε μια λογική αλυσίδα 6 σφαλμάτων που έκανε κατάχρηση πολλαπλών αποτυχημένων επιδιορθώσεων, η οποία ξέφυγε από το sandbox και παρέκαμψε μια απαγορευμένη λίστα API στο macOS για να κερδίσει 50.000 δολάρια.

Η ομάδα STAR Labs (@starlabs_sg) παρουσίασε μια αλυσίδα εκμετάλλευσης μηδενικής ημέρας που στόχευε την πλατφόρμα ομαδικής συνεργασίας SharePoint της Microsoft και τους απέφερε αμοιβή 100.000 δολαρίων, ενώ παραβίασε επιτυχώς το Ubuntu Desktop με ένα ήδη γνωστό exploit για 15.000 δολάρια.

Η Synacktiv (@Synacktiv) πήρε 100.000 δολάρια και ένα Tesla Model 3 μετά την επιτυχή εκτέλεση μιας επίθεσης TOCTOU (time-of-check to time-of-use) εναντίον του Tesla - Gateway στην κατηγορία Automotive. Χρησιμοποίησαν επίσης μια ευπάθεια μηδενικής ημέρας TOCTOU για την κλιμάκωση προνομίων στο macOS της Apple και κέρδισαν 40.000 δολάρια.

Το Oracle VirtualBox παραβιάστηκε χρησιμοποιώντας μια OOB Read και μια αλυσίδα εκμετάλλευσης υπερχείλισης buffer overflow που βασίζεται σε στοίβες (αξίας 40.000 δολαρίων) από τον Bien Pham (@bienpnn) της Qrious Security.

Τέλος, ο Marcin Wiązowski αύξησε τα προνόμιά του στα Windows 11 χρησιμοποιώντας μια μη ορθή επικύρωση εισόδου zero-day που συνοδεύτηκε από έπαθλο 30.000 δολαρίων.

Καθ' όλη τη διάρκεια του διαγωνισμού Pwn2Own Vancouver 2023, οι ερευνητές ασφαλείας θα στοχεύουν σε προϊόντα των κατηγοριών εταιρικών εφαρμογών, εταιρικών επικοινωνιών, τοπικής κλιμάκωσης προνομίων (EoP), διακομιστών, εικονικοποίησης και αυτοκινήτων.

Τη δεύτερη ημέρα, οι διαγωνιζόμενοι του Pwn2Own θα παρουσιάσουν εκμεταλλεύσεις μηδενικής ημέρας που στοχεύουν στις Microsoft Teams, Oracle VirtualBox, Tesla Model 3 Infotainment Unconfined Root και Ubuntu Desktop.

Την τελευταία ημέρα του διαγωνισμού, οι ερευνητές ασφαλείας θα θέσουν ξανά ως στόχο το Ubuntu Desktop και θα επιχειρήσουν να παραβιάσουν τα Microsoft Teams, τα Windows 11 και το VMware Workstation.

Μεταξύ 22 και 24 Μαρτίου, οι διαγωνιζόμενοι μπορούν να κερδίσουν 1.080.000 δολάρια σε μετρητά και βραβεία, συμπεριλαμβανομένου ενός αυτοκινήτου Tesla Model 3. Το κορυφαίο βραβείο για το hacking ενός Tesla είναι τώρα 150.000 δολάρια, καθώς και το ίδιο το αυτοκίνητο.

Μετά την επίδειξη και την αποκάλυψη των ευπαθειών μηδενικής ημέρας κατά τη διάρκεια του Pwn2Own, οι προμηθευτές έχουν 90 ημέρες για να δημιουργήσουν και να κυκλοφορήσουν διορθώσεις ασφαλείας για όλες τις αναφερθείσες ατέλειες πριν η πρωτοβουλία Zero Day Initiative της Trend Micro τις δημοσιοποιήσει.

Κατά τη διάρκεια του περσινού διαγωνισμού Pwn2Own στο Βανκούβερ, οι ερευνητές ασφαλείας κέρδισαν 1.155.000 δολάρια αφού χάκαραν έξι φορές τα Windows 11, τέσσερις φορές το Ubuntu Desktop και επέδειξαν με επιτυχία τρία zero-day του Microsoft Teams.

Ανέφεραν επίσης πολλά zero-days στο Apple Safari, στο Oracle Virtualbox και στο Mozilla Firefox και χάκαραν το σύστημα Infotainment του Tesla Model 3.

Εδώ και χρόνια, μια συνηθισμένη απάτη περιλαμβάνει ένα τηλεφώνημα από κάποιον που παριστάνει κάποιον κρατικό υπάλληλο, π.χ. έναν αστυνομικό, και σας ζητά επειγόντως να πληρώσετε χρήματα για να βοηθήσετε κάποιον φίλο ή μέλος της οικογένειας να βγει από τη δύσκολη θέση.

Τώρα, προειδοποιούν οι ομοσπονδιακές ρυθμιστικές αρχές, μια τέτοια κλήση μπορεί να προέρχεται από κάποιον που ακούγεται ακριβώς όπως αυτός ο φίλος ή το μέλος της οικογένειας - αλλά στην πραγματικότητα είναι απατεώνας που χρησιμοποιεί κλωνοποιημένη τη φωνή τους.

Η Ομοσπονδιακή Επιτροπή Εμπορίου (FTC) εξέδωσε αυτή την εβδομάδα μια προειδοποίηση για τους καταναλωτές, προτρέποντας τους να είναι σε επαγρύπνηση για κλήσεις που χρησιμοποιούν κλώνους φωνής που παράγονται από τεχνητή νοημοσύνη, μια από τις τελευταίες τεχνικές που χρησιμοποιούν οι εγκληματίες που ελπίζουν να εξαπατήσουν τους ανθρώπους για να τους αποσπάσουν χρήματα.

"Το μόνο που χρειάζεται [ο απατεώνας] είναι ένα σύντομο ηχητικό απόσπασμα της φωνής του μέλους της οικογένειάς σας - το οποίο θα μπορούσε να πάρει από περιεχόμενο που έχει αναρτηθεί στο διαδίκτυο - και ένα πρόγραμμα κλωνοποίησης φωνής", προειδοποίησε η Επιτροπή. "Όταν ο απατεώνας σας καλεί, θα ακούγεται ακριβώς όπως το αγαπημένο σας πρόσωπο".

Αν δεν είστε σίγουροι ότι πρόκειται για φίλο ή συγγενή, κλείστε το τηλέφωνο και καλέστε τους
Η FTC προτείνει ότι αν κάποιος που ακούγεται σαν φίλος ή συγγενής σας ζητά χρήματα -ιδιαίτερα αν θέλει να πληρωθεί μέσω εμβάσματος, κρυπτονομίσματος ή δωροκάρτας- θα πρέπει να κλείσετε το τηλέφωνο και να καλέσετε απευθείας το άτομο για να επαληθεύσετε την ιστορία του. Εκπρόσωπος της FTC δήλωσε ότι ο οργανισμός δεν μπορεί να παράσχει εκτίμηση του αριθμού των αναφορών που έχουν εξαπατηθεί από κλέφτες που χρησιμοποιούν τεχνολογία φωνητικής κλωνοποίησης.

Αλλά αυτό που ακούγεται σαν πλοκή από ιστορία επιστημονικής φαντασίας δεν είναι καθόλου επινοημένο. Το 2019, απατεώνες που παρίσταναν το αφεντικό ενός διευθύνοντος συμβούλου ενεργειακής εταιρείας με έδρα το Ηνωμένο Βασίλειο απαίτησαν 243.000 δολάρια. Ένας διευθυντής τράπεζας στο Χονγκ Κονγκ ξεγελάστηκε από κάποιον που χρησιμοποίησε τεχνολογία φωνητικής κλωνοποίησης για να κάνει μεγάλες μεταφορές στις αρχές του 2020. Τουλάχιστον οκτώ ηλικιωμένοι πολίτες στον Καναδά έχασαν συνολικά 200.000 δολάρια νωρίτερα φέτος σε μια προφανή απάτη φωνητικής κλωνοποίησης.

Τα "Deepfake" βίντεο που υποτίθεται ότι δείχνουν διασημότητες να κάνουν και να λένε πράγματα που δεν έκαναν, γίνονται όλο και πιο εξελιγμένα και οι ειδικοί λένε ότι η τεχνολογία κλωνοποίησης φωνής εξελίσσεται επίσης.

Ο Subbarao Kambhampati, καθηγητής πληροφορικής στο Κρατικό Πανεπιστήμιο της Αριζόνα, δήλωσε στο NPR ότι το κόστος της κλωνοποίησης φωνής μειώνεται επίσης, καθιστώντας την πιο προσιτή στους απατεώνες.

"Πριν, απαιτούσε μια εξελιγμένη επιχείρηση", δήλωσε ο Kambhampati. "Τώρα πλέον, οι μικροαπατεώνες μπορούν να το χρησιμοποιήσουν".