Ειδήσεις: Ειδήσεις

Κυβερνοεπίθεση στη Stryker: Ιρανικό hacking group σβήνει χιλιάδες συσκευές μέσω Microsoft Intune

Fri, 10 Apr 2026 18:02:58 +0000

Το Iran-linked group Handala ανέλαβε την ευθύνη για την επίθεση στη Stryker στις 11 Μαρτίου 2026, διεκδικώντας το wipe χιλιάδων συσκευών σε 79 χώρες μέσω Microsoft Intune.
Η Stryker επιβεβαίωσε ότι δεν εντοπίστηκε malware ή ransomware, ενώ η CISA εξέδωσε ειδική προειδοποίηση για την ασφάλεια συστημάτων MDM.
Η εταιρεία ανακοίνωσε πλήρη επαναφορά λειτουργιών στις 26 Μαρτίου, αλλά η έρευνα για τον αρχικό φορέα εισβολής παραμένει ανοιχτή.

Στις 11 Μαρτίου 2026, η αμερικανική εταιρεία ιατρικής τεχνολογίας Stryker Corporation γνωστοποίησε κυβερνοεπίθεση που διέκοψε τα εσωτερικά δίκτυα και τα Microsoft συστήματά της παγκοσμίως, αφήνοντας χιλιάδες εργαζόμενους χωρίς πρόσβαση σε εταιρικά συστήματα και συσκευές. Το γνωστό ιρανικό hacktivist group Handala ανέλαβε δημόσια την ευθύνη μέσω μηνυμάτων σε παραβιασμένα συστήματα και στα social media, παρουσιάζοντας την επίθεση ως αντίποινα για αμερικανικά αεροπορικά πλήγματα στο Ιράν.

Microsoft Intune ως όπλο: η τεχνική ανάλυση

Στις 16 Μαρτίου, η Stryker επιβεβαίωσε ότι ο φορέας της απειλής χρησιμοποίησε το Microsoft Intune για να διαγράψει την εσωτερική virtual υποδομή της, καθιστώντας laptops, κινητές συσκευές και virtual servers ανενεργά. Σύμφωνα με πηγή με γνώση της επίθεσης που μίλησε στο KrebsOnSecurity υπό συνθήκες ανωνυμίας, οι δράστες φαίνεται να χρησιμοποίησαν το Microsoft Intune για να εκδώσουν εντολή «remote wipe» εναντίον όλων των συνδεδεμένων συσκευών. Το Intune είναι cloud-based λύση για IT teams που παρέχει ενιαία web-based κονσόλα διαχείρισης και ελέγχου συσκευών ανεξαρτήτως τοποθεσίας. Οι hackers παραβίασαν έναν λογαριασμό Windows domain admin και τον χρησιμοποίησαν για να δημιουργήσουν νέο Global Administrator account, από τον οποίο εκτέλεσαν το remote wipe μέσω Intune.

Το πρωί της 11ης Μαρτίου, εργαζόμενοι σε γραφεία της Stryker σε 79 χώρες άνοιξαν τους υπολογιστές τους και τους βρήκαν κενούς. Οι οθόνες login είχαν αντικατασταθεί με το λογότυπο ενός ξυπόλητου αγοριού που κρατά σφεντόνα. Πολλοί εργαζόμενοι είχαν εντάξει τα προσωπικά τους κινητά στο BYOD (Bring-Your-Own-Device) πρόγραμμα της εταιρείας, οπότε αυτά διαχειρίζονταν επίσης από τα IT συστήματα της Stryker. Και αυτά τα τηλέφωνα έκαναν factory reset, σβήνοντας όχι μόνο εταιρικές εφαρμογές αλλά τα πάντα: φωτογραφίες, eSIM και authenticator apps. Στη Μέριλαντ, οι υπηρεσίες έκτακτης ιατρικής ανέφεραν ότι το σύστημα Lifenet ECG της Stryker, που χρησιμοποιούν οι παραϊατρικοί για να στέλνουν καρδιολογικά δεδομένα στα νοσοκομεία πριν την άφιξη του ασθενή, έπεσε εκτός λειτουργίας σε μεγάλο μέρος της πολιτείας, αναγκάζοντας σε χρήση ραδιοεπικοινωνίας.

Ποιο είναι το Handala και ποια η σύνδεσή του με το Ιράν

Δυτικοί αναλυτές υποψιάζονται ότι το Handala συνδέεται με το Ιρανικό Υπουργείο Πληροφοριών (MOIS), με το Wired να το χαρακτηρίζει ως suspected front για το υπουργείο. Το αμερικανικό Υπουργείο Δικαιοσύνης το χαρακτήρισε ως πλαστή ταυτότητα που χρησιμοποιεί το MOIS για να συγκαλύπτει τον ρόλο του σε «influence operations και ψυχολογικές εκστρατείες εκφοβισμού». Πολλαπλές ανεξάρτητες εταιρείες threat intelligence, συμπεριλαμβανομένων των Check Point, CrowdStrike, Microsoft και Palo Alto Networks, αξιολογούν το Handala ως ένα από τα online personas που λειτουργεί το Void Manticore, μια μονάδα καταστροφικών επιχειρήσεων εντός του MOIS. Το group παίρνει το όνομά του από τον Handala, έναν ξυπόλητο Παλαιστίνιο πρόσφυγα που δημιούργησε ο πολιτικός γελοιογράφος Naji al-Ali το 1969, σύμβολο παλαιστινιακής ταυτότητας και αντίστασης.

Το Handala Hack Team έχει πραγματοποιήσει τουλάχιστον 131 τεκμηριωμένες επιθέσεις από τον Δεκέμβριο του 2023, με επιταχυνόμενο ρυθμό το 2026. Η ομάδα λειτουργεί μέσω ενός τεκμηριωμένου two-actor handoff: το Scarred Manticore (Storm-0861) εξασφαλίζει αρχική πρόσβαση μέσω μακροχρόνιων επιχειρήσεων, και στη συνέχεια παραδίδει στο Void Manticore (Storm-0842/Handala) για την καταστροφική φάση. Το Handala manifesto ανέφερε ρητά την εξαγορά της ισραηλινής εταιρείας OrthoSpace από τη Stryker το 2019 ως αιτία για τη στόχευσή της.

Τα claims της Handala και η απάντηση των αρχών

Η Handala ισχυρίστηκε ότι η επίθεσή της έπληξε 79 γραφεία της Stryker παγκοσμίως, με πάνω από 200.000 συστήματα, servers και κινητές συσκευές να υποστούν wipe, και 50 terabytes δεδομένων να εξαχθούν. Η Handala δημοσίευσε επιπλέον screenshots με ισχυρισμούς για wipe 12 petabytes δεδομένων και πρόσβαση σε Rubrik Secure Vault backups και vSphere control panels. Οι ισχυρισμοί αυτοί παραμένουν αναπόδεικτοι και πρέπει να αντιμετωπίζονται με επιφύλαξη, καθώς σε επιθέσεις καταστροφικού χαρακτήρα τα claims των επιτιθέμενων συχνά υπερβάλλουν για να μεγιστοποιήσουν την αντιληπτή επίπτωση. Το FBI κατέσχεσε δύο domains που χρησιμοποιούσε η Handala για τη διαρροή των κλεμμένων δεδομένων. Η CISA προειδοποίησε εταιρείες να θωρακίσουν τα συστήματα διαχείρισης του στόλου συσκευών τους, επιβεβαιώνοντας ότι είναι ενήμερη για τη χρήση του Intune στην επίθεση κατά της Stryker.

Επίπτωση στις λειτουργίες και ανάκτηση

Η Stryker επιβεβαίωσε ότι η επίθεση επηρέασε την επεξεργασία παραγγελιών, την παραγωγή και τις αποστολές, αλλά δεν έπληξε υπηρεσίες σχετικές με ασθενείς ή συνδεδεμένα ιατρικά προϊόντα. Προκλήθηκε κάποια διαταραχή σε τμήματα των εφοδιαστικών αλυσίδων, με αντίκτυπο σε ορισμένα health systems που αναγκάστηκαν να αναβάλουν χειρουργικές επεμβάσεις λόγω της αδυναμίας της Stryker να παραδώσει patient-specific προϊόντα. Η Stryker ανέθεσε στην Palo Alto Networks τη διεξαγωγή threat hunting, forensic analysis, containment, eradication και infrastructure review. Η Palo Alto Networks επιβεβαίωσε ότι δεν βρέθηκαν στοιχεία μη εξουσιοδοτημένης δραστηριότητας μετά την 11η Μαρτίου 2026. Η εταιρεία ανακοίνωσε στις 26 Μαρτίου ότι είχε κατά κύριο λόγο ανακάμψει από την κυβερνοεπίθεση.

Γιατί η επίθεση σε εταιρεία ιατρικής τεχνολογίας

Το περιστατικό της Stryker καταδεικνύει πώς οι επιτιθέμενοι μπορούν να αξιοποιήσουν το Microsoft Entra ID και το Intune ως καταστροφικά control planes, σβήνοντας συσκευές και διαταράσσοντας λειτουργίες χωρίς την ανάπτυξη malware. Σύμφωνα με τον Paddy Harrington, senior analyst της Forrester, η επίθεση δεν αξιοποίησε κάποια εγγενή αδυναμία του Microsoft Intune, αλλά ουσιαστικά χρησιμοποίησε living-off-the-land τεχνικές για να παρακάμψει τα υφιστάμενα συστήματα ασφαλείας. Η CISA σύστησε στους διαχειριστές δικτύων να διασφαλίσουν ότι ευαίσθητες ή υψηλής επίπτωσης ενέργειες στο Intune, όπως το remote wipe, απαιτούν έγκριση από δεύτερο administrator. Μετά την επίθεση, η Microsoft εξέδωσε οδηγίες για πελάτες σχετικά με την ενίσχυση της ασφάλειας Windows domains και την προστασία του Intune.

Πηγές

Malware στα επίσημα downloads του CPUID: CPU-Z και HWMonitor υπό διερεύνηση

Fri, 10 Apr 2026 09:01:58 +0000

Τα επίσημα download links για CPU-Z 2.19 και HWMonitor 1.63 στο cpuid.com φέρεται να διένειμαν malware στις 10 Απριλίου 2026.
Το κακόβουλο payload αναλύθηκε από το VX Underground ως multi-stage trojan που λειτουργεί in-memory και στοχεύει αποθηκευμένα credentials browser.
Η CPUID δεν έχει εκδώσει καμία επίσημη ανακοίνωση. Αποφύγετε νέα downloads από cpuid.com μέχρι επιβεβαίωση ακεραιότητας αρχείων.

Επίσημα installers με malware payload

Στις 10 Απριλίου 2026, χρήστες άρχισαν να αναφέρουν ότι τα επίσημα download links του cpuid.com για το HWMonitor 1.63 και το CPU-Z 2.19 δεν παρείχαν τα αναμενόμενα installers. Το Igor's Lab ανέφερε ότι το επίσημο download για το HWMonitor v1.63 περιείχε ενσωματωμένο malware. Το κύριο σήμα ήταν ένα εκτελέσιμο με όνομα HWiNFO_Monitor_Setup.exe αντί για το κανονικό installer, συνοδευόμενο από alerts του Windows Defender και, σε ορισμένες περιπτώσεις, από παράθυρο εγκατάστασης στα ρωσικά.

Τι αποκάλυψε η ανάλυση του κακόβουλου κώδικα

Η ομάδα VX Underground ανέλαβε την τεχνική ανάλυση. Σύμφωνα με τα ευρήματά της, το malware εκτελεί file masquerading, είναι multi-stage, λειτουργεί σχεδόν αποκλειστικά in-memory και χρησιμοποιεί τεχνικές αποφυγής EDR και antivirus — μεταξύ άλλων, proxying της NTDLL λειτουργικότητας μέσω .NET assembly. Το VX Underground αναφέρει επίσης ότι πρόκειται για την ίδια ομάδα που πλαστοπροσωπούσε το FileZilla στις αρχές Μαρτίου 2026.

Στόχος: αποθηκευμένα credentials browser

Το payload λειτουργεί ως information stealer που στοχεύει δεδομένα αποθηκευμένα στον browser, συμπεριλαμβανομένων credentials και άλλων ευαίσθητων πληροφοριών. Detections από πολλαπλά security engines στο VirusTotal αποκλείουν το ενδεχόμενο false positive. Στα binaries εντοπίστηκε C2 domain που αποτελεί Indicator of Compromise (IoC), επιβεβαιώνοντας ότι η υποδομή command-and-control ήταν ενεργή.

Η έκταση του προβλήματος παραμένει αδιευκρίνιστη

Η τρέχουσα έκδοση CPU-Z 2.19 περιλαμβάνει στις release notes fix για ευπάθεια DLL hijacking. Το CVE-2025-65264 αφορά ευπάθεια information disclosure στο CPU-Z v2.17 και παλαιότερα, που επιτρέπει πρόσβαση σε ευαίσθητα δεδομένα μέσω του IOCTL interface του kernel driver. Το περιστατικό της 10ης Απριλίου είναι ωστόσο ανεξάρτητο: αφορά τον τρόπο διανομής, όχι την ευπάθεια του λογισμικού. Τα διαθέσιμα στοιχεία δεν αποδεικνύουν κατ' ανάγκη πλήρη παραβίαση της υποδομής του CPUID — ένα poisoned redirect ή endpoint θα αρκούσε για να προκαλέσει την παρατηρούμενη συμπεριφορά.

Καμία ανακοίνωση από CPUID, site ξανά online

Αργότερα την ίδια μέρα το cpuid.com επέστρεψε online μετά από περίοδο που ήταν απροσπέλαστο. Η διαθεσιμότητα του site δεν επιβεβαιώνει από μόνη της ότι τα αρχεία είναι ασφαλή. Η CPUID δεν έχει εκδώσει καμία ανακοίνωση σχετικά με το περιστατικό μέχρι τη στιγμή σύνταξης αυτού του άρθρου. Όποιος κατέβασε και εκτέλεσε ένα από τα ύποπτα installers θα πρέπει να υποθέσει πιθανή έκθεση, να τρέξει πλήρη σάρωση με ενημερωμένο security software και να αλλάξει κωδικούς αποθηκευμένους στον browser. Νέα downloads από τα κανάλια διανομής της CPUID δεν συνίστανται μέχρι να υπάρξει επίσημη επιβεβαίωση ακεραιότητας αρχείων.

Πηγές

Ιρανοί hackers χτυπούν αμερικανικές κρίσιμες υποδομές μέσω PLCs: έκτακτη προειδοποίηση FBI και CISA

Thu, 09 Apr 2026 20:54:38 +0000

Έξι αμερικανικές υπηρεσίες (FBI, CISA, NSA, EPA, DOE, US Cyber Command) εξέδωσαν έκτακτη κοινή προειδοποίηση για ιρανικές κυβερνοεπιθέσεις σε PLCs κρίσιμων υποδομών, με επιβεβαιωμένες διακοπές λειτουργίας και οικονομικές ζημίες.
Οι επιτιθέμενοι χρησιμοποιούν νόμιμο λογισμικό του κατασκευαστή Rockwell Automation (Studio 5000 Logix Designer) για πρόσβαση σε εκτεθειμένα στο internet CompactLogix και Micro850 PLCs, χωρίς να απαιτούνται zero-day vulnerabilities.
Ανησυχία για διεύρυνση της επίθεσης και σε συσκευές άλλων κατασκευαστών, συμπεριλαμβανομένων Siemens S7 PLCs.

Έξι αμερικανικές ομοσπονδιακές υπηρεσίες εξέδωσαν στις 7 Απριλίου 2026 κοινή έκτακτη προειδοποίηση για ιρανικές κυβερνοεπιθέσεις που έχουν ήδη προκαλέσει διακοπές σε αμερικανικές κρίσιμες υποδομές. Οι επιθέσεις, τις οποίες οι αρχές συνδέουν με τις εχθροπραξίες μεταξύ Ιράν, ΗΠΑ και Ισραήλ, στοχεύουν PLCs των Rockwell Automation και Allen-Bradley σε εγκαταστάσεις ύδρευσης και αποχέτευσης, ενέργειας και κυβερνητικών υπηρεσιών, και είναι ενεργές τουλάχιστον από τον Μάρτιο του 2026. Η κοινή προειδοποίηση συνυπογράφεται από το FBI, τη CISA, την NSA, την EPA, το Υπουργείο Ενέργειας και το US Cyber Command.

Τι έχει ήδη συμβεί

Σύμφωνα με το advisory, τουλάχιστον από τον Μάρτιο 2026 ο ιρανικός APT έχει διαταράξει τη λειτουργία PLCs σε πολλαπλούς τομείς κρίσιμης υποδομής, μεταξύ των οποίων κυβερνητικές εγκαταστάσεις, συστήματα ύδρευσης και αποχέτευσης (WWS) και τομέας ενέργειας. Ορισμένα από τα θύματα υπέστησαν διακοπές λειτουργίας και οικονομικές ζημίες. Το FBI επιβεβαίωσε ότι η δραστηριότητα είχε ως αποτέλεσμα την εξαγωγή project files των συσκευών και την παραποίηση δεδομένων που εμφανίζονται σε HMI και SCADA displays.

Οι επιτιθέμενοι παραποιούσαν τα δεδομένα που εμφανίζονται στα SCADA HMI displays, με αποτέλεσμα οι χειριστές να βλέπουν ψευδείς ενδείξεις διεργασιών ενώ οι κακόβουλες τροποποιήσεις στη λογική ελέγχου εκτελούνταν στο παρασκήνιο αήττητα. Το advisory αποτελεί την πρώτη δημόσια προειδοποίηση αυτού του είδους για απειλές κατά εγχώριων κρίσιμων υποδομών από την έναρξη του πολέμου ΗΠΑ-Ιράν.

Η τεχνική μέθοδος: νόμιμο software ως όπλο

Οι επιτιθέμενοι, οι οποίοι παρακολουθούνται ως CyberAv3ngers (γνωστοί επίσης ως Shahid Kaveh Group, Hydro Kitten, Storm-0784, Bauxite και UNC5691), στοχεύουν CompactLogix και Micro850 PLCs της Rockwell Automation που είναι άμεσα εκτεθειμένα στο internet ή προσβάσιμα χωρίς επαρκείς ελέγχους αυθεντικοποίησης. Εκμεταλλεύονται την απουσία περιορισμών δικτυακής πρόσβασης και αδύναμα ή default credentials, χρησιμοποιώντας το ίδιο το λογισμικό Studio 5000 Logix Designer της Rockwell Automation ως εργαλείο πρόσβασης. Αυτό σημαίνει ότι δεν χρειάστηκαν zero-day exploits: η επίθεση αξιοποιεί αποκλειστικά εκτεθειμένες συσκευές και νόμιμα εργαλεία του κατασκευαστή.

Αφού αποκτούσαν αρχική πρόσβαση, οι επιτιθέμενοι ανέπτυσσαν το Dropbear SSH software στην πόρτα 22 για να εγκαθιδρύσουν ένα persistent κανάλι command and control, και στη συνέχεια εξήγαν, τροποποιούσαν και αναδιανέμανταν τα project files των PLCs. Για command and control χρησιμοποιούσαν ports 44818, 2222, 102, 22 και 502, και ανέπτυσσαν SSH tools όπως το Dropbear για απομακρυσμένη πρόσβαση. Η εταιρεία ασφαλείας Censys εντόπισε σε internet scan που πραγματοποίησε 5.219 τέτοιες συσκευές εκτεθειμένες στο διαδίκτυο, με το 75% αυτών να βρίσκεται στις ΗΠΑ.

Πιθανή διεύρυνση σε Siemens και άλλους κατασκευαστές

Το advisory επεσήμανε επίσης ότι δραστηριότητα σε ports που σχετίζονται με Siemens S7 PLC protocols "υποδηλώνει ότι οι επιτιθέμενοι ενδεχομένως στοχεύουν και συσκευές άλλων κατασκευαστών πέραν της Rockwell Automation." Σύμφωνα με τη CISA, άλλες μάρκες PLCs ενδέχεται να βρίσκονται σε κίνδυνο, συμπεριλαμβανομένης της Siemens S7, που χρησιμοποιείται ευρέως σε Ευρώπη και Ασία. Το εύρος της επίθεσης, συνεπώς, δεν περιορίζεται στη βορειοαμερικανική αγορά όπου κυριαρχεί η Rockwell.

Threat intelligence από την Check Point Research επισήμανε ότι πανομοιότυπα targeting patterns εμφανίστηκαν εναντίον ισραηλινών PLCs τον Μάρτιο 2026, πριν εκδοθεί το αμερικανικό advisory, γεγονός που δείχνει προς μια συντονισμένη, πολυμέτωπη επιχείρηση. Ο Sergey Shykevich, threat intelligence group manager στη Check Point Research, δήλωσε ότι "η κυβερνο-κλιμάκωση του Ιράν ακολουθεί γνωστό playbook" και ότι "οι ιρανικοί threat actors κινούνται πλέον γρηγορότερα και σε μεγαλύτερη κλίμακα, στοχεύοντας τόσο IT όσο και OT υποδομές."

Ιστορικό: από τους CyberAv3ngers του 2023 στη σημερινή εκστρατεία

Το advisory συνδέει την τρέχουσα δραστηριότητα με ένα μοτίβο ιρανικής κρατικής στόχευσης αμερικανικών βιομηχανικών συστημάτων. Οι αρχές έχουν αναφέρει παρόμοια δραστηριότητα από τους CyberAv3ngers, θυγατρική ομάδα του IRGC Cyber Electronic Command, οι οποίοι είχαν παραβιάσει τουλάχιστον 75 Unitronics PLC συσκευές σε εγκαταστάσεις ύδρευσης και αποχέτευσης τον Νοέμβριο 2023. Η τρέχουσα δραστηριότητα αποδίδεται σε ξεχωριστή, αν και συγγενή, ομάδα ιρανικών APT actors. Η σημερινή εκστρατεία στοχεύει διαφορετικό κατασκευαστή και χρησιμοποιεί νόμιμο λογισμικό για την εγκαθίδρυση συνδέσεων, αποτελώντας τεχνικά πιο εξελιγμένη προσέγγιση.

Τον Οκτώβριο 2024, η OpenAI είχε αποκαλύψει ότι οι CyberAv3ngers χρησιμοποίησαν το ChatGPT για τον σχεδιασμό ICS επιθέσεων. Λογαριασμοί που συνδέονταν με την ομάδα χρησιμοποίησαν το εργαλείο για reconnaissance, αλλά και για βοήθεια σε exploitation vulnerabilities, αποφυγή ανίχνευσης και post-compromise δραστηριότητες.

Συστάσεις και δομικά προβλήματα

Οι αρχές συστήνουν αποσύνδεση των PLCs από το internet ή προστασία τους με firewall, παρακολούθηση των OT ports για ύποπτη κίνηση, έλεγχο logs για indicators of compromise, ενεργοποίηση multi-factor authentication, ενημέρωση firmware, απενεργοποίηση αχρησιμοποίητων υπηρεσιών ή default keys και συνεχή παρακολούθηση της δικτυακής δραστηριότητας. Ωστόσο, αξίζει να σημειωθεί ότι περίπου το 60% του προσωπικού της CISA τέθηκε σε διαθεσιμότητα από τις 14 Φεβρουαρίου 2026, μειώνοντας τη λειτουργική ικανότητα της υπηρεσίας ακριβώς τη στιγμή που η ιρανική κυβερνοδραστηριότητα εντάθηκε. Σύμφωνα με τον Steve Povolny, VP of AI strategy and security research στην Exabeam, η εκστρατεία αντικατοπτρίζει "διαρθρωτικές αδυναμίες που υπάρχουν εδώ και χρόνια σε OT περιβάλλοντα," με PLCs και HMI stacks που συχνά εκτελούν παρωχημένο firmware επί χρόνια.

Πηγές

Νέες επιθέσεις Rowhammer σε GPU NVIDIA αποδίδουν πλήρη έλεγχο του συστήματος

Fri, 03 Apr 2026 18:08:57 +0000

Τρεις ερευνητικές ομάδες παρουσίασαν επιθέσεις Rowhammer σε GPU της NVIDIA με μνήμη GDDR6, επιτυγχάνοντας αυθαίρετη πρόσβαση στη μνήμη του κεντρικού επεξεργαστή και κέλυφος υπερχρήστη.
Η τρίτη εργασία, με τίτλο GPUBreach, φέρεται να λειτουργεί ακόμη και με ενεργό το IOMMU, αμφισβητώντας την επάρκεια του βασικού αντιμέτρου που είχαν προτείνει οι δύο προηγούμενες ομάδες.
Επιβεβαιωμένα ευάλωτες στις νέες επιθέσεις είναι η RTX 3060 και η RTX A6000 της γενιάς Ampere, ενώ η NVIDIA αναφέρει ότι νεότερες GPU με ενσωματωμένο on-die ECC προσφέρουν καλύτερη προστασία.

Τρεις ερευνητικές ομάδες παρουσίασαν μέσα στην ίδια εβδομάδα νέες επιθέσεις τύπου Rowhammer σε GPU της NVIDIA με μνήμη GDDR6, επιτυγχάνοντας αυθαίρετη πρόσβαση ανάγνωσης και εγγραφής στη μνήμη του κεντρικού επεξεργαστή και, τελικά, απόκτηση κελύφους υπερχρήστη στο σύστημα-ξενιστή. Οι δύο πρώτες επιθέσεις, GDDRHammer και GeForge, δημοσιοποιήθηκαν στις 2 Απριλίου μέσω της σελίδας gddr.fail και πρόκειται να παρουσιαστούν στο 47ο IEEE Symposium on Security and Privacy τον Μάιο του 2026. Μια τρίτη εργασία, με τίτλο GPUBreach, εμφανίστηκε επίσης δημόσια στις 3 Απριλίου.

Από αναστροφές bit σε πλήρη παραβίαση συστήματος

Η τεχνική Rowhammer είναι γνωστή εδώ και περισσότερο από μία δεκαετία. Η επαναλαμβανόμενη και εντατική πρόσβαση σε συγκεκριμένες γραμμές DRAM μπορεί να προκαλέσει ηλεκτρική παρεμβολή σε γειτονικές γραμμές, οδηγώντας σε αναστροφές bit σε περιοχές μνήμης που ο επιτιθέμενος κανονικά δεν μπορεί να τροποποιήσει. Μέχρι πρόσφατα, οι αντίστοιχες επιθέσεις σε μνήμη GDDR είχαν συνδεθεί κυρίως με υποβάθμιση μοντέλων τεχνητής νοημοσύνης και όχι με πλήρη κατάληψη του συστήματος.

Η ομάδα του GDDRHammer, με ερευνητές από τα UNC Chapel Hill, Georgia Tech και MBZUAI, ανέλυσε 25 GPU με μνήμη GDDR6 και ανέπτυξε τεχνικές παράκαμψης των ενσωματωμένων αντιμέτρων της μνήμης. Σύμφωνα με τους ερευνητές, η μέθοδος πετυχαίνει κατά μέσο όρο περίπου 64 φορές περισσότερες αναστροφές bit από προηγούμενη εργασία. Η εκμετάλλευση βασίζεται σε αδυναμία του προεπιλεγμένου διαχειριστή μνήμης του CUDA, ώστε να γίνουν αναστροφές bit στους πίνακες σελίδων της GPU και να διασπαστεί η απομόνωση μεταξύ διεργασιών, ανοίγοντας τον δρόμο για πρόσβαση σε ολόκληρη τη μνήμη του κεντρικού επεξεργαστή. Η επίθεση επαληθεύτηκε στην RTX A6000 της γενιάς Ampere.

Η ομάδα του GeForge, με ερευνητές από Purdue, Clemson, University of Rochester, University of Western Australia και HydroX AI, ακολουθεί διαφορετικό μονοπάτι. Αντί να στοχεύει τους πίνακες σελίδων, επιτίθεται στον κατάλογο σελίδων, καταγράφοντας 1.171 αναστροφές bit στην RTX 3060 και 202 στην RTX A6000 κατά τις δοκιμές. Και στις δύο περιπτώσεις, οι ερευνητές καταλήγουν σε αυθαίρετη εγγραφή στη μνήμη του κεντρικού επεξεργαστή και σε κέλυφος υπερχρήστη, όπως δείχνουν και τα δημόσια βίντεο επίδειξης.

Η τρίτη εργασία, GPUBreach, αποδίδεται επίσης σε επίθεση Rowhammer κατά της μνήμης GDDR6 και, σύμφωνα με τις μέχρι στιγμής δημόσιες αναφορές, πετυχαίνει κλιμάκωση προνομίων έως κέλυφος υπερχρήστη στην RTX A6000 ακόμη και με ενεργό το IOMMU. Αυτό έχει ιδιαίτερη σημασία, επειδή μέχρι τώρα το IOMMU προβαλλόταν ως το βασικό πρακτικό αντίμετρο απέναντι σε επιθέσεις που επιχειρούν να περάσουν από τη μνήμη της GPU στη μνήμη του κεντρικού επεξεργαστή.

Ποιες GPU έχουν επιβεβαιωθεί ως ευάλωτες

Οι επιβεβαιωμένες επιτυχείς εκμεταλλεύσεις αφορούν μέχρι στιγμής δύο μοντέλα της αρχιτεκτονικής Ampere με μνήμη GDDR6, την GeForce RTX 3060 και την RTX A6000. Οι ερευνητές του GDDRHammer αναφέρουν επίσης ότι δοκίμασαν μοντέλα όπως RTX 3080, RTX 4060, RTX 4060 Ti και RTX 5050 χωρίς να παρατηρήσουν αναστροφές bit στις δοκιμές τους.

Η NVIDIA αναφέρει ότι οι GeForce RTX 50 series, που χρησιμοποιούν GDDR7 με ενσωματωμένο on-die ECC, διαθέτουν ισχυρότερη προστασία απέναντι σε bit flips που προκαλούνται από Rowhammer. Αντίστοιχα, οι επιταχυντές με μνήμη HBM, όπως οι A100 και H100, διαθέτουν επίσης ενσωματωμένο ECC σε επίπεδο chip. Αυτό δεν ισοδυναμεί με απόλυτη ανοσία, αλλά σημαίνει ότι δεν έχουν μέχρι στιγμής επιβεβαιωθεί ως ευάλωτοι από τις συγκεκριμένες εργασίες.

Αντιμετώπιση, υπολογιστικό νέφος και πρακτικός κίνδυνος

Μέχρι την εμφάνιση της τρίτης εργασίας, η ενεργοποίηση του IOMMU στο BIOS παρουσιαζόταν ως η κύρια διαθέσιμη άμυνα, επειδή περιορίζει την πρόσβαση της GPU σε προστατευμένες περιοχές της μνήμης του κεντρικού επεξεργαστή. Αν οι ισχυρισμοί για το GPUBreach επιβεβαιωθούν πλήρως, τότε το IOMMU παύει να επαρκεί ως καθολικό αντίμετρο και μετατρέπεται σε μερικό μόνο φράγμα.

Η άλλη διαθέσιμη επιλογή είναι η ενεργοποίηση ECC στη GPU, όπου αυτή υποστηρίζεται, με γνωστό κόστος σε διαθέσιμη χωρητικότητα μνήμης και επιδόσεις. Ωστόσο, ούτε αυτό το μέτρο θεωρείται απόλυτο σε θεωρητικό επίπεδο, καθώς προηγούμενες παραλλαγές επιθέσεων Rowhammer έχουν δείξει ότι ακόμη και ECC μηχανισμοί μπορούν υπό προϋποθέσεις να παρακαμφθούν.

Ο μεγαλύτερος πρακτικός κίνδυνος αφορά περιβάλλοντα υπολογιστικού νέφους όπου πολλοί μισθωτές μοιράζονται την ίδια φυσική GPU. Σε ένα τέτοιο σενάριο, ένας κακόβουλος χρήστης θα μπορούσε θεωρητικά να εκτελέσει κώδικα CUDA χωρίς ειδικά προνόμια και να περάσει από τη μνήμη της GPU στη μνήμη του συστήματος-ξενιστή, θέτοντας σε κίνδυνο δεδομένα και φόρτους εργασίας άλλων μισθωτών.

Μέχρι στιγμής δεν υπάρχουν δημόσιες ενδείξεις ενεργής εκμετάλλευσης αυτών των τεχνικών σε πραγματικά περιβάλλοντα. Η ταυτόχρονη αποκάλυψη τριών εργασιών, όμως, αυξάνει αισθητά την πίεση προς παρόχους cloud και διαχειριστές υποδομών που βασίζονται σε διαμοιραζόμενες GPU, ιδίως ενόψει της επίσημης παρουσίασής τους στο IEEE S&P τον Μάιο του 2026.

Πηγές

KadNap: Botnet σε 14.000 δρομολογητές αποκρύπτει την υποδομή του μέσα σε κίνηση P2P

Thu, 12 Mar 2026 14:36:04 +0000

Ερευνητές της Lumen ανακάλυψαν το KadNap, ένα botnet που μολύνει κατά μέσο όρο 14.000 δρομολογητές την ημέρα, κυρίως μοντέλα Asus, εκμεταλλευόμενο γνωστά, αμελημένα κενά ασφαλείας.
Οι μολυσμένες συσκευές εντάσσονται σε αποκεντρωμένο δίκτυο ομότιμων κόμβων (P2P) βασισμένο στο πρωτόκολλο Kademlia, καθιστώντας την εξουδετέρωση του botnet ιδιαίτερα δύσκολη με τις παραδοσιακές μεθόδους.
Οι παραβιασμένοι δρομολογητές ενσωματώνονται σε εμπορική υπηρεσία ανώνυμης πρόσβασης που, σύμφωνα με εκτίμηση της Lumen, εξυπηρετεί εγκληματικές δραστηριότητες στο διαδίκτυο.

Η ομάδα Black Lotus Labs της Lumen δημοσίευσε την Τετάρτη αναλυτική έκθεση για ένα νέο κακόβουλο λογισμικό που έχει λάβει την κωδική ονομασία KadNap. Σύμφωνα με τα στοιχεία που παρουσιάστηκαν, ο αριθμός των μολυσμένων συσκευών ανέρχεται κατά μέσο όρο σε 14.000 την ημέρα, αυξημένος από τις 10.000 που είχαν εντοπιστεί τον Αύγουστο του 2025, όταν και έγινε η πρώτη ανακάλυψη. Πάνω από το 60% των θυμάτων βρίσκεται στις Ηνωμένες Πολιτείες, ενώ μικρότερος αριθμός μολύνσεων έχει καταγραφεί σε Ταϊβάν, Χονγκ Κονγκ, Ρωσία, Ηνωμένο Βασίλειο, Αυστραλία, Βραζιλία, Γαλλία, Ιταλία και Ισπανία.

Στόχος είναι κυρίως δρομολογητές Asus για οικιακή και μικρή επαγγελματική χρήση (SOHO), αν και το KadNap έχει εντοπιστεί και σε άλλες κατηγορίες συσκευών περιμέτρου δικτύου. Ο ερευνητής Chris Formosa της Black Lotus Labs δήλωσε στο Ars Technica ότι η έντονη συγκέντρωση συσκευών Asus στο botnet πιθανότατα οφείλεται στο ότι οι χειριστές του απέκτησαν αξιόπιστο εκμεταλλευτή (exploit) για γνωστά κενά ασφαλείας συγκεκριμένων μοντέλων, χωρίς να αξιοποιούνται, σύμφωνα με την εκτίμησή του, κάποιες αγνώστου τύπου ευπάθειες (zero-days). Οι χρησιμοποιούμενοι φορείς εκμετάλλευσης δεν έχουν αποκαλυφθεί δημόσια.

Ο μηχανισμός μόλυνσης: από cron job σε αποκεντρωμένο δίκτυο κόμβων

Η αλυσίδα επίθεσης ξεκινά με ένα κακόβουλο shell script με την ονομασία aic.sh, το οποίο μεταφορτώνεται από έναν εξυπηρετητή ελέγχου. Το script δημιουργεί μια προγραμματισμένη εργασία (cron job) που εκτελείται κάθε ώρα, ανακτά εκ νέου το κακόβουλο φορτίο, το μετονομάζει σε .asusrouter και το αποθηκεύει στο μονοπάτι /jffs/.asusrouter. Αυτός ο μηχανισμός εξασφαλίζει την επιμονή της μόλυνσης ακόμα και μετά από επανεκκίνηση. Στη συνέχεια, αναπτύσσεται ένα αρχείο ELF με την ονομασία kad, το οποίο αποτελεί τον πυρήνα του KadNap. Το κακόβουλο λογισμικό υποστηρίζει συσκευές που εκτελούνται σε επεξεργαστές ARM και MIPS.

Κατά τη λειτουργία του, το KadNap συνδέεται σε εξυπηρετητή πρωτοκόλλου ώρας (NTP) για να ανακτήσει την τρέχουσα ώρα, την οποία συνδυάζει με το χρόνο λειτουργίας της συσκευής για να παραγάγει ένα μοναδικό κλειδί (hash). Με αυτό εντοπίζει άλλους μολυσμένους κόμβους στο αποκεντρωμένο δίκτυο. Παράλληλα, τα αρχεία fwr.sh και .sose αναλαμβάνουν να κλείσουν την πόρτα 22 (πρότυπη πόρτα SSH) και να παραδώσουν λίστα με συντεταγμένες IP/port των εξυπηρετητών ελέγχου.

Η αρχιτεκτονική Kademlia DHT που δυσκολεύει την εξουδετέρωση

Το διακριτικό τεχνικό χαρακτηριστικό του KadNap είναι η χρήση μιας παραλλαγμένης υλοποίησης του πρωτοκόλλου Kademlia, ενός κατανεμημένου πίνακα κατακερματισμού (Distributed Hash Table, DHT) που χρησιμοποιείται ευρέως σε νόμιμα δίκτυα P2P όπως το BitTorrent. Στην περίπτωση του KadNap, το πρωτόκολλο αξιοποιείται για να αποκρύψει τις διευθύνσεις IP των εξυπηρετητών εντολών και ελέγχου (C2): αντί για κεντρικό εξυπηρετητή, ο κόμβος αναζητά τους εξυπηρετητές C2 μέσω αναζήτησης DHT, ακριβώς όπως γίνεται με οποιοδήποτε αρχείο σε ένα νόμιμο BitTorrent swarm.

Αυτό καθιστά αναποτελεσματικές τις κλασικές μεθόδους αντιμετώπισης, όπως η κατάσχεση κεντρικού εξυπηρετητή ή η ανακατεύθυνση κακόβουλου domain (sinkholing). Επιπλέον, η κυκλοφορία του botnet αναμειγνύεται με τεράστιους όγκους νόμιμης κίνησης BitTorrent DHT, καθιστώντας την ανίχνευσή της με βαθύ έλεγχο πακέτων (DPI) ιδιαίτερα δαπανηρή. Αξίζει να σημειωθεί ότι οι τεχνικές DHT σε botnet έχουν εμφανιστεί και παλαιότερα, ιδίως στο Mozi (2019-2023), επομένως η αρχιτεκτονική αυτή δεν αποτελεί εφεύρεση του KadNap, αλλά ένα σχετικά ώριμο επιχειρησιακό πρότυπο.

Η υπηρεσία Doppelgänger και η εμπορευματοποίηση του botnet

Σύμφωνα με την έκθεση της Lumen, οι μολυσμένοι δρομολογητές δεν χρησιμοποιούνται ως τελικά εργαλεία επίθεσης αλλά ως ενδιάμεσοι κόμβοι ανωνυμοποίησης της κυκλοφορίας. Η υπηρεσία που τους εκμεταλλεύεται εμπορικά φέρεται με την ονομασία Doppelgänger (doppelganger.shop) και ισχυρίζεται ότι προσφέρει πρόσβαση μέσω οικιακών συνδέσεων (residential proxies) σε άνω των 50 χωρών. Η Lumen εκτιμά ότι το Doppelgänger αποτελεί "επανεκκίνηση" της παλιάς υπηρεσίας Faceless, η οποία είχε συνδεθεί με το κακόβουλο λογισμικό TheMoon. Η εν λόγω αξιολόγηση παρουσιάζεται ως εκτίμηση και όχι ως επιβεβαιωμένο συμπέρασμα.

Ερευνητές της Black Lotus Labs σημειώνουν ότι οι κόμβοι του Doppelgänger χρησιμοποιούνται ήδη από κακόβουλους παράγοντες. Το γεγονός ότι ορισμένες μολυσμένες συσκευές εμφανίζουν ταυτόχρονη μόλυνση από άλλα κακόβουλα λογισμικά δυσκολεύει την απόδοση συγκεκριμένων δραστηριοτήτων σε έναν μόνο παράγοντα, σύμφωνα με τους ίδιους.

Αντίμετρα: τι κάνει η Lumen και τι πρέπει να κάνουν οι κάτοχοι συσκευών

Η Lumen ανακοίνωσε ότι έχει αποκλείσει προληπτικά την κυκλοφορία από και προς την υποδομή του KadNap σε ολόκληρο το δίκτυο ραχοκοκαλιάς (backbone) της, και διανέμει δείκτες παραβίασης (Indicators of Compromise, IoC) σε δημόσιες ροές για να διευκολύνει άλλους παρόχους να λάβουν αντίστοιχα μέτρα. Παρά ταύτα, η δομή P2P του botnet σημαίνει ότι η πλήρης εξάρθρωσή του απαιτεί αποσύνδεση όλων των μολυσμένων κόμβων, κάτι που πρακτικά δεν είναι εφικτό στο σύνολό του.

Για τους κατόχους δρομολογητών, η επανεκκίνηση της συσκευής δεν επαρκεί, δεδομένης της επιμονής του μηχανισμού cron. Η αποκατάσταση απαιτεί πλήρη επαναφορά εργοστασιακών ρυθμίσεων (factory reset), ακολουθούμενη από ενημέρωση του firmware στην τελευταία έκδοση, χρήση ισχυρού κωδικού πρόσβασης στο διαχειριστικό πάνελ και απενεργοποίηση της απομακρυσμένης διαχείρισης (remote administration) εφόσον δεν είναι απολύτως απαραίτητη. Η Lumen παρέχει σελίδα επαλήθευσης με διευθύνσεις IP και κατακερματισμούς (hashes) αρχείων που οι χρήστες μπορούν να αναζητήσουν στα αρχεία καταγραφής (logs) της συσκευής τους.

Πρακτικά, το KadNap αξιοποιεί μία από τις πιο επίμονες αδυναμίες στην ασφάλεια του οικιακού εξοπλισμού δικτύου: τα firmware που δεν ενημερώνονται ποτέ. Σε συσκευές που παραμένουν εκτεθειμένες στο διαδίκτυο χωρίς καμία ενημέρωση ασφαλείας για χρόνια, η ύπαρξη αξιόπιστου exploit για γνωστά κενά είναι αρκετή για να εντάξει χιλιάδες νοικοκυριά σε ένα λειτουργικό εγκληματικό δίκτυο.

Εάν η τάση αύξησης που καταγράφεται από τον Αύγουστο του 2025 παραμείνει, το botnet ενδέχεται να συνεχίσει να επεκτείνεται. Η αρχιτεκτονική DHT έχει αποδειχθεί ανθεκτική σε παλαιότερες περιπτώσεις και, ελλείψει ευρύτερης συντονισμένης δράσης στο επίπεδο των παρόχων πρόσβασης και των κατασκευαστών, η πλήρης αντιμετώπισή της παραμένει ανοιχτό ζήτημα.

Πηγές

"Αρνητικό φως" για κρυφές επικοινωνίες: η νέα μέθοδος που καμουφλάρει δεδομένα στη θερμική ακτινοβολία

Tue, 10 Mar 2026 15:24:25 +0000

Μηχανικοί από το UNSW Sydney και το Πανεπιστήμιο Monash ανέπτυξαν σύστημα μετάδοσης δεδομένων που καμουφλάρει τα σήματα στη φυσική υπέρυθρη ακτινοβολία, χρησιμοποιώντας το φαινόμενο της αρνητικής φωτεινότητας (negative luminescence).
Σε αντίθεση με την κρυπτογράφηση, που κρύβει το περιεχόμενο ενός μηνύματος, η νέα μέθοδος επιχειρεί να κρύψει και την ίδια την παρουσία της επικοινωνίας μέσα στο θερμικό υπόβαθρο.
Η τεχνολογία βρίσκεται σε πρώιμο στάδιο (πρωτότυπο εργαστηρίου στα 100 KB/s), αλλά θα μπορούσε να αποτελέσει νέο επίπεδο ασφάλειας σε εφαρμογές άμυνας, οικονομικών και ευαίσθητων επικοινωνιών.

Μηχανικοί από το UNSW Sydney και το Πανεπιστήμιο Monash δημοσίευσαν στο επιστημονικό περιοδικό Light: Science and Applications (Nature Publishing Group) μια νέα μέθοδο απόκρυφης μετάδοσης δεδομένων, την οποία αποκαλούν «θερμοακτινοβόλο επικοινωνία χωρίς υπογραφή» (thermoradiative signatureless communication). Η βασική αρχή είναι απλή στη σύλληψη αλλά εξαιρετικά δύσκολη στην υλοποίηση: αντί να εκπέμπει ένα αναγνωρίσιμο σήμα, το σύστημα προκαλεί ελαφρά μείωση της θερμικής ακτινοβολίας σε σχέση με το περιβαλλοντικό υπόβαθρο, κάτι που αποδίδεται στο φαινόμενο της αρνητικής φωτεινότητας (negative luminescence).

Κάθε αντικείμενο εκπέμπει φυσική υπέρυθρη ακτινοβολία ανάλογα με τη θερμοκρασία του — αυτό είναι αυτό που απεικονίζουν οι θερμικές κάμερες. Η ομάδα εκμεταλλεύτηκε το γεγονός ότι ορισμένα ημιαγώγιμα υλικά, υπό συγκεκριμένες συνθήκες, μπορούν να κάνουν μια επιφάνεια να φαίνεται πιο σκοτεινή από το περιβάλλον της στο υπέρυθρο. «Είναι σαν έναν φακό που μπορεί κατά κάποιο τρόπο να γίνει σκοτεινότερος από το "σβηστό"», περιέγραψε ο δρ Michael Nielsen, επικεφαλής συγγραφέας από τη Σχολή Φωτοβολταϊκής και Ανανεώσιμης Ενέργειας του UNSW.

Πώς λειτουργεί

Το σύστημα χρησιμοποιεί συσκευές γνωστές ως θερμοακτινοβόλες δίοδοι (thermoradiative diodes), οι οποίες εναλλάσσουν γρήγορα την εκπομπή τους μεταξύ ελαφρώς υψηλότερης και ελαφρώς χαμηλότερης θερμικής ακτινοβολίας. Το αποτέλεσμα είναι ένα μοτίβο που εντάσσεται στον φυσικό «θόρυβο» του περιβάλλοντος. Για έναν εξωτερικό παρατηρητή, ακόμα και με θερμική κάμερα, δεν φαίνεται να μεταδίδεται τίποτα. Μόνο ένας δέκτης με τον κατάλληλο εξοπλισμό μπορεί να αποκωδικοποιήσει το κρυφό μήνυμα.

Η έρευνα αναπτύχθηκε εν μέρει από τη συνεχιζόμενη δουλειά της ίδιας ομάδας στην «ηλιακή ενέργεια νύχτας» (night-time solar), μια τεχνολογία που αντλεί ηλεκτρισμό από τη θερμική ακτινοβολία ακόμα και απουσία ηλιακού φωτός. Κατά τη διάρκεια εκείνης της έρευνας, οι επιστήμονες αναγνώρισαν ότι η αρνητική φωτεινότητα ήταν κρίσιμη για την απόδοση των θερμοακτινοβόλων διόδων — και αντιλήφθηκαν την εφαρμογή της στις κρυφές επικοινωνίες.

Στα εργαστηριακά πειράματα, η ομάδα κατάφερε ταχύτητα μετάδοσης περίπου 100 kilobytes ανά δευτερόλεπτο, χρησιμοποιώντας τελλουρίδιο υδραργύρου-καδμίου (mercury cadmium telluride) ως ημιαγωγό. Ο καθηγητής Ned Ekins-Daukes δήλωσε ότι ένα εμπορικό προϊόν με ταχύτητες megabit θα μπορούσε να γίνει πραγματικότητα μέσα σε λίγα χρόνια, ενώ συνεργάτες από το Monash έχουν υποδείξει τη χρήση γραφενίου ως πιθανό δρόμο για ρυθμούς τάξης gigabit ανά δευτερόλεπτο. Οι αναφορές αυτές ανήκουν στο επίπεδο ερευνητικής προοπτικής — δεν έχουν επιδειχθεί από το τρέχον πρωτότυπο.

Από το κρυπτογραφημένο στο αόρατο

Η σημαντικότερη διαφορά από τις υπάρχουσες μεθόδους ασφάλειας είναι ότι η αρνητική φωτεινότητα στοχεύει στο να καμουφλάρει και την ύπαρξη της ίδιας της επικοινωνίας μέσα στο θερμικό υπόβαθρο, όχι μόνο το περιεχόμενό της. Επιπλέον, η μέθοδος μπορεί να συνδυαστεί με παραδοσιακή κρυπτογράφηση, προσθέτοντας ένα επιπλέον επίπεδο προστασίας. Δυνητικές εφαρμογές περιλαμβάνουν στρατιωτικές επικοινωνίες, χρηματοοικονομικές υποδομές και διπλωματικά κανάλια, τομείς όπου ακόμα και η αποκάλυψη του γεγονότος της επικοινωνίας μπορεί να έχει συνέπειες.

Οι περιορισμοί του πρωτοτύπου

Η τεχνολογία βρίσκεται ακόμα σε στάδιο απόδειξης ιδέας (proof of concept). Η ταχύτητα των 100 KB/s απέχει πολύ από τις ανάγκες πρακτικής ανάπτυξης, και η χρήση τελλουρίδιου υδραργύρου-καδμίου εγείρει ερωτήματα τοξικότητας που η ίδια η ομάδα αναγνωρίζει. Ο δρόμος προς εφαρμογές γραφενίου και υψηλότερους ρυθμούς μετάδοσης παραμένει ερευνητική πρόταση, όχι αποδεδειγμένο αποτέλεσμα. Τέλος, η μέθοδος απαιτεί εξειδικευμένο εξοπλισμό και στον πομπό και στον δέκτη, κάτι που θέτει φραγμούς στη μαζική υιοθέτηση βραχυπρόθεσμα.

Αν η τεχνολογία αναπτυχθεί όπως προβλέπουν οι ερευνητές, θα μπορούσε να αλλάξει τη λογική του τομέα της κρυπτογραφικής ασφάλειας: από το «κάνε το μήνυμα αδύνατον να διαβαστεί» στο «κάνε το μήνυμα αδύνατον να εντοπιστεί». Κατά εκτίμηση, οι πιθανότερες πρώτες εφαρμογές θα αφορούν στρατιωτικά και κρατικά κανάλια, πριν — αν ποτέ — φτάσει σε ευρύτερη εμπορική χρήση.

Πηγές

Το Claude της Anthropic εντόπισε 22 τρωτά σημεία ασφαλείας στον Firefox σε δύο εβδομάδες

Sun, 08 Mar 2026 14:10:32 +0000

Το μοντέλο Claude Opus 4.6 της Anthropic εντόπισε 22 τρωτά σημεία ασφαλείας (CVE) στον Firefox σε διάστημα δύο εβδομάδων στις αρχές του 2026, εκ των οποίων τα 14 χαρακτηρίστηκαν υψηλής σοβαρότητας, ισοδυναμώντας με σχεδόν το ένα πέμπτο όλων των αντίστοιχων αναφορών για το σύνολο του 2025.
Οι περισσότερες ευπάθειες διορθώθηκαν με την έκδοση Firefox 148 (24 Φεβρουαρίου 2026), με τη Mozilla να ενεργοποιεί πολλαπλές μηχανικές ομάδες σε ρυθμούς επείγουσας αντίδρασης.
Η υπόθεση ανοίγει κρίσιμα ερωτήματα: η τεχνητή νοημοσύνη εντοπίζει ευπάθειες με ταχύτητα και κόστος που δεν συγκρίνεται με ανθρώπινες ομάδες, ενώ η ικανότητα εκμετάλλευσής τους (exploitation) υστερεί ακόμη αισθητά, αλλά αυτό το χάσμα στενεύει.

Η Anthropic ανακοίνωσε στις 6 Μαρτίου 2026 τα αποτελέσματα μιας δοκιμής ασφαλείας που πραγματοποίησε σε συνεργασία με τη Mozilla στις αρχές του χρόνου: το μοντέλο Claude Opus 4.6 εντόπισε 22 τρωτά σημεία ασφαλείας (Common Vulnerabilities and Exposures, CVE) στον περιηγητή Firefox μέσα σε δύο εβδομάδες. Από αυτά, τα 14 χαρακτηρίστηκαν υψηλής σοβαρότητας, 7 μέτριας και 1 χαμηλής. Συνολικά υποβλήθηκαν 112 μοναδικές αναφορές σφαλμάτων. Σύμφωνα με τη Mozilla, ο αριθμός των υψηλής σοβαρότητας ευπαθειών που εντοπίστηκαν ισοδυναμεί με σχεδόν το ένα πέμπτο του συνόλου των αντίστοιχων αναφορών για ολόκληρο το 2025.

Γιατί Firefox και γιατί τώρα

Η επιλογή του Firefox δεν ήταν τυχαία. Στα τέλη του 2025, η Anthropic διαπίστωσε ότι το προηγούμενο μοντέλο, Claude Opus 4.5, πλησίαζε στην τέλεια βαθμολογία στο CyberGym, ένα κριτήριο αξιολόγησης (benchmark) που ελέγχει αν τα γλωσσικά μοντέλα μπορούν να αναπαράγουν γνωστές ευπάθειες ασφαλείας. Χρειαζόταν δυσκολότερη δοκιμή. Ο Firefox είναι ένα από τα πλέον εντατικά ελεγχόμενα έργα ανοιχτού κώδικα στον κόσμο, με δεκαετίες αδιάλειπτης ανάλυσης και αυτοματοποιημένων δοκιμών (fuzzing), και εξυπηρετεί εκατοντάδες εκατομμύρια χρήστες παγκοσμίως. Αν το Claude μπορούσε να βρει νέες, άγνωστες ευπάθειες εκεί, αυτό θα σήμαινε κάτι ουσιαστικό.

Πριν στραφεί στον τρέχοντα κώδικα, η ομάδα Frontier Red Team της Anthropic δοκίμασε αν το Claude Opus 4.6 μπορούσε να αναπαράγει ιστορικά CVE σε παλαιότερες εκδόσεις του Firefox. Το αποτέλεσμα ήταν εντυπωσιακό: το μοντέλο αναπαρήγαγε υψηλό ποσοστό ιστορικών ευπαθειών. Η ομάδα, ωστόσο, επισημαίνει ότι αυτό το αποτέλεσμα έπρεπε να ληφθεί με επιφύλαξη, καθώς κάποιες από αυτές τις ευπάθειες ενδέχεται να βρίσκονταν ήδη στα δεδομένα εκπαίδευσης του μοντέλου. Γι' αυτό η εστίαση μετατοπίστηκε στον εντοπισμό εντελώς νέων σφαλμάτων, άγνωστων κατ' ορισμό.

Από το πρώτο σφάλμα στην κλιμάκωση

Μετά μόλις 20 λεπτά εξερεύνησης, το Claude Opus 4.6 εντόπισε ένα σφάλμα τύπου Use After Free στη μηχανή JavaScript του Firefox, ευπάθεια που θα μπορούσε δυνητικά να επιτρέψει σε έναν εισβολέα να εγγράψει αυθαίρετο κακόβουλο περιεχόμενο στη μνήμη. Τρεις ερευνητές της Anthropic επικύρωσαν ανεξάρτητα το εύρημα. Το Claude συνέταξε επίσης προτεινόμενη επιδιόρθωση, η οποία υποβλήθηκε μαζί με την αναφορά στο Bugzilla, το σύστημα παρακολούθησης σφαλμάτων της Mozilla. Στο χρόνο που μεσολάβησε μέχρι την υποβολή της πρώτης αναφοράς, το Claude είχε ήδη εντοπίσει πενήντα επιπλέον μοναδικές εισόδους που οδηγούσαν σε κατάρρευση του προγράμματος.

Η Mozilla επικύρωσε άμεσα το εύρημα και ζήτησε περισσότερα. Ο Brian Grinstead, ανώτερος μηχανικός στη Mozilla, περιέγραψε την αντίδραση της εταιρείας ως «απόκριση έκτακτης ανάγκης»: ενεργοποιήθηκαν πολλαπλές μηχανικές ομάδες για να τριάρουν και να διορθώσουν τις πάνω από 100 αναφορές που τελικά υποβλήθηκαν. Στο σύνολό τους, ο Claude σάρωσε σχεδόν 6.000 αρχεία C++ και υπέβαλε 112 μοναδικές αναφορές. Πέρα από τα 22 CVE, εντοπίστηκαν και 90 πρόσθετα σφάλματα μη ασφαλείας, εκ των οποίων τα περισσότερα επίσης διορθώθηκαν.

Εύρεση ευπαθειών ναι, εκμετάλλευση όχι ακόμη

Παράλληλα με την ανίχνευση σφαλμάτων, η Anthropic δοκίμασε αν το Claude μπορούσε και να τα εκμεταλλευτεί, δηλαδή να συντάξει λειτουργικό κώδικα επίθεσης (exploit). Εδώ τα αποτελέσματα ήταν πολύ πιο περιορισμένα. Ξοδεύοντας περίπου 4.000 δολάρια σε πιστώσεις χρήσης διεπαφής προγραμματισμού (API) και εκτελώντας εκατοντάδες δοκιμές, το μοντέλο κατάφερε να παράγει λειτουργικό exploit μόνο σε δύο περιπτώσεις. Και στις δύο, το exploit λειτούργησε αποκλειστικά σε περιβάλλον δοκιμών που εκ προθέσεως δεν διέθετε τους μηχανισμούς ασφαλείας του πραγματικού Firefox, και κυρίως το περιβάλλον απομόνωσης (sandbox). Κανένα από τα δύο δεν θα ήταν αποτελεσματικό στον πραγματικό Firefox.

Η Anthropic επισημαίνει ρητά μια σημαντική οικονομική αντίθεση: το κόστος εντοπισμού ευπαθειών μέσω μοντέλου τεχνητής νοημοσύνης είναι κατά μία τάξη μεγέθους χαμηλότερο από το κόστος εκμετάλλευσής τους. Αυτή η ασυμμετρία, για την ώρα, δίνει πλεονέκτημα στους αμυνόμενους. Ένα από τα δύο exploits αφορά το CVE-2026-2796, μια ευπάθεια τύπου εσφαλμένης μεταγλώττισης (JIT miscompilation) στο στοιχείο WebAssembly της μηχανής JavaScript, το οποίο αξιολογείται από τρίτες πηγές με βαθμολογία CVSS 9.8/10.

Τι σημαίνει πρακτικά

Η υπόθεση Firefox δεν είναι απομονωμένη. Η Anthropic αναφέρει ότι χρησιμοποίησε το Claude Opus 4.6 και για εύρεση ευπαθειών στον πυρήνα Linux (Linux kernel), και προαναγγέλλει επέκταση της συνεργασίας με την κοινότητα ανοιχτού κώδικα. Για τους διαχειριστές τέτοιων έργων, η Mozilla αποτελεί ήδη πρότυπο: αντί να απαιτεί πλήρη επικύρωση κάθε αναφοράς πριν την υποβολή, ενθάρρυνε την Anthropic να υποβάλει τα ευρήματα μαζικά. Η Anthropic προτείνει τη χρήση «επαληθευτών εργασίας» (task verifiers), αυτοματοποιημένων ελέγχων που επιβεβαιώνουν ότι μια επιδιόρθωση από τεχνητή νοημοσύνη διορθώνει την ευπάθεια χωρίς να προκαλεί νέα προβλήματα, ως ελάχιστη προϋπόθεση για αξιόπιστες αυτόματες επιδιορθώσεις.

Τι να προσέξουμε

Η ίδια η Anthropic προειδοποιεί ότι «ο ρυθμός προόδου καθιστά απίθανο αυτό το χάσμα μεταξύ εύρεσης και εκμετάλλευσης ευπαθειών να διατηρηθεί για πολύ». Εάν μελλοντικά μοντέλα κλείσουν αυτό το χάσμα, η εταιρεία δηλώνει ότι θα χρειαστεί να επανεξετάσει ποια δυνατότητα θα διαθέτει και σε ποιους. Επιπλέον, αν και η συνεργασία με Mozilla αποτελεί πρότυπο υπεύθυνης γνωστοποίησης (responsible disclosure), η ίδια λογική εργαλείου μπορεί να χρησιμοποιηθεί από κακόβουλους φορείς με πρόσβαση σε ισοδύναμα μοντέλα. Ο Gadi Evron, διευθύνων σύμβουλος της εταιρείας κυβερνοασφάλειας Knostic, εκτίμησε ότι «οι σημερινές μέθοδοι κυβερνοάμυνας δεν είναι σε θέση να αντιμετωπίσουν την ταχύτητα και τη συχνότητα αυτού που συμβαίνει».

Ως εκτίμηση: η μεγαλύτερη πρόκληση για τα έργα ανοιχτού κώδικα δεν θα είναι η ίδια η εύρεση ευπαθειών, αλλά η διαχείριση του αυξανόμενου όγκου αναφορών που θα παράγουν τα μοντέλα. Η Mozilla ήδη αναζητά τρόπους ενσωμάτωσης ανάλογων εργαλείων στις εσωτερικές ροές εργασίας της, κάτι που υποδηλώνει ότι η παραδοσιακή διαδικασία αναφοράς σφαλμάτων θα χρειαστεί δομική αναθεώρηση.

Πηγές

Οι αισθητήρες πίεσης ελαστικών μπορούν να λειτουργήσουν ως εργαλείο παρακολούθησης

Thu, 05 Mar 2026 16:01:46 +0000

Ερευνητές κατέγραψαν πάνω από 6 εκατομμύρια μεταδόσεις TPMS από 20.000 οχήματα σε διάστημα 10 εβδομάδων, χρησιμοποιώντας δέκτες κόστους περίπου 100 δολαρίων.
Οι αισθητήρες άμεσου TPMS εκπέμπουν μοναδικό, σταθερό αναγνωριστικό (ID) χωρίς κρυπτογράφηση, το οποίο δεν αλλάζει για όλη τη διάρκεια ζωής του ελαστικού.
Οι ισχύουσες κανονιστικές απαιτήσεις (ΟΝ Κανονισμός 155) δεν καλύπτουν κρυπτογράφηση TPMS, και δεν υπάρχει διαθέσιμη λύση για τους κατόχους οχημάτων.

Ερευνητές από το Ινστιτούτο IMDEA Networks (Ισπανία), σε συνεργασία με εταίρους από Ελβετία και Λουξεμβούργο, δημοσίευσαν εργασία που αποδεικνύει πως τα συστήματα παρακολούθησης πίεσης ελαστικών (TPMS) σε σύγχρονα οχήματα μπορούν να χρησιμοποιηθούν για αθόρυβο εντοπισμό της κίνησης οχημάτων. Η εργασία έγινε δεκτή για παρουσίαση στο συνέδριο IEEE WONS 2026.

Το σύστημα παρακολούθησης πίεσης ελαστικών (TPMS) είναι υποχρεωτικό στις ΗΠΑ από το 2007 και στην Ευρωπαϊκή Ένωση από το 2014. Λειτουργεί με μικρούς αισθητήρες τοποθετημένους μέσα σε κάθε τροχό, οι οποίοι μεταδίδουν ασύρματα δεδομένα πίεσης στη μονάδα ελέγχου του οχήματος. Η λειτουργία αυτή δεν απαιτεί σύζευξη (pairing) ούτε έλεγχο ταυτότητας (authentication), και δεν μπορεί να απενεργοποιηθεί χωρίς να τεθεί εκτός λειτουργίας η ίδια η λειτουργία ασφαλείας.

Πώς λειτουργεί η υποκλοπή

Κάθε αισθητήρας άμεσου TPMS (dTPMS) εκπέμπει σήμα στις συχνότητες 315 ή 433 MHz, και μαζί με τα δεδομένα πίεσης στέλνει ένα σταθερό μοναδικό αναγνωριστικό 24 έως 32 bit σε μη κρυπτογραφημένη μορφή. Η μετάδοση γίνεται κάθε 30 έως 120 δευτερόλεπτα εν κινήσει, ενώ ορισμένοι κατασκευαστές έχουν αισθητήρες που εκπέμπουν και σε στάση, περίπου κάθε ώρα.

Η ομάδα των ερευνητών ανέπτυξε δίκτυο από πέντε δέκτες RTL-SDR σε Raspberry Pi (κόστος περίπου 100 δολάρια ο καθένας) τοποθετημένους σε εσωτερικούς χώρους παρά τον δρόμο, καλύπτοντας συνολική επιφάνεια περίπου 10.000 τετραγωνικών μέτρων. Σε διάστημα 10 εβδομάδων κατέγραψαν άνω των 6 εκατομμυρίων μεταδόσεων από πάνω από 20.000 οχήματα. Τα σήματα ελήφθησαν σε απόσταση έως 55 μέτρων, ακόμα και μέσα από κτίρια χωρίς παράθυρα σε κατεύθυνση προς τον δρόμο.

Αντλώντας συσχετισμούς μεταξύ των ID των τεσσάρων τροχών κάθε οχήματος, οι ερευνητές κατάφεραν να αναγνωρίζουν επαναλαμβανόμενα επισκέπτες, να ανιχνεύουν μοτίβα κίνησης και να εξάγουν πληροφορίες σχετικά με τον τύπο του οχήματος ή την κατά προσέγγιση φόρτωσή του, βάσει των τιμών πίεσης.

Ποια οχήματα επηρεάζονται

Το πρόβλημα αφορά αποκλειστικά τον άμεσο TPMS (dTPMS). Σύμφωνα με τα ευρήματα, μάρκες όπως η Toyota, η Renault, η Hyundai και η Mercedes χρησιμοποιούν dTPMS με ιδιόκτητα πρωτόκολλα χωρίς κρυπτογράφηση. Ορισμένα μοντέλα του Ομίλου Volkswagen υιοθετούν έμμεσο TPMS (iTPMS), το οποίο δεν χρησιμοποιεί φυσικούς αισθητήρες στους τροχούς και άρα δεν εκπέμπει αναγνωριστικό, αν και αυτό δεν ισχύει ομοιόμορφα για όλη την γκάμα του ομίλου.

Τι σημαίνει πρακτικά

Ένα δίκτυο από φθηνούς δέκτες τοποθετημένους σε στρατηγικά σημεία (π.χ. σε πάρκινγκ, σε κτίρια κατά μήκος δρόμων ή σε κόμβους) θα μπορούσε θεωρητικά να παρακολουθεί τα κινητικά πρότυπα οχημάτων χωρίς τη γνώση ή τη συναίνεση του οδηγού. Σε αντίθεση με κάμερες ή συστήματα αναγνώρισης πινακίδων, τα σήματα TPMS διαπερνούν τοίχους και δεν απαιτούν οπτική επαφή. Δεν υπάρχει ειδοποίηση στον πίνακα οργάνων, δεν υπάρχει επιλογή εξαίρεσης.

Τι να προσέξουμε

Οι ερευνητές επισημαίνουν ότι ο Κανονισμός ΟΝ 155 της ΟΕΕ/ΗΕ, που αποτελεί το κύριο πλαίσιο κυβερνοασφάλειας οχημάτων στην Ευρώπη, δεν καλύπτει ρητά την κρυπτογράφηση TPMS. Αυτό σημαίνει πως εκατομμύρια ήδη κυκλοφορούντα οχήματα δεν μπορούν να επιδιορθωθούν λογισμικά, καθώς το πρόβλημα εντοπίζεται στο υλικό (hardware) των αισθητήρων. Η τεχνική λύση, δηλαδή η υιοθέτηση κρυπτογράφησης ή η εναλλαγή ID σε κάθε μετάδοση, αυξάνει την κατανάλωση ενέργειας σύμφωνα με τους ερευνητές, κάτι που για μπαταρίες αισθητήρων με διάρκεια ζωής 5 έως 10 ετών δεν είναι αμελητέο τεχνικό ζήτημα.

Ως εκτίμηση: η πίεση προς τους κατασκευαστές για αναθεώρηση του πρωτοκόλλου TPMS θα ενταθεί, αλλά είναι απίθανο να οδηγήσει σε γρήγορη λύση για το υφιστάμενο στόλο οχημάτων. Η αλλαγή θα έρθει, αν έρθει, στις επόμενες γενιές αισθητήρων.

Πηγές

AirSnitch: επιθέσεις παρακάμπτουν την «απομόνωση πελατών» σε Wi-Fi, από οικιακά έως εταιρικά δίκτυα

Fri, 27 Feb 2026 18:04:31 +0000

Ερευνητές από UC Riverside και KU Leuven παρουσίασαν στο NDSS 2026 το AirSnitch, μια σειρά τεχνικών που παρακάμπτουν την «απομόνωση πελατών» σε Wi-Fi.
Η επίθεση δεν δίνει απομακρυσμένη πρόσβαση από μόνη της, ο εισβολέας πρέπει ήδη να έχει πρόσβαση στο ίδιο δίκτυο ή σε συνεγκατεστημένο ανοικτό δίκτυο του ίδιου σημείου πρόσβασης.
Το συμπέρασμα είναι ότι το client isolation δεν πρέπει να αντιμετωπίζεται ως εγγύηση ασφάλειας, χωρίς τμηματοποίηση και κρυπτογράφηση άκρου σε άκρο.

Νέα έρευνα από το Πανεπιστήμιο της Καλιφόρνιας (Riverside) και το KU Leuven περιγράφει το AirSnitch, ένα σύνολο τεχνικών που μπορούν να παρακάμψουν την «απομόνωση πελατών» (client isolation, AP isolation) σε δίκτυα Wi-Fi. Η απομόνωση πελατών είναι λειτουργία που χρησιμοποιείται ευρέως, ειδικά σε δίκτυα επισκεπτών, με στόχο να εμποδίζει την άμεση επικοινωνία μεταξύ χρηστών στο ίδιο ασύρματο δίκτυο. Οι ερευνητές δείχνουν ότι, επειδή η λειτουργία δεν είναι τυποποιημένη στο IEEE 802.11 και υλοποιείται διαφορετικά από κατασκευαστή σε κατασκευαστή, ανοίγει χώρο για παρακάμψεις.

Πώς παρακάμπτεται η απομόνωση

Η μελέτη περιγράφει τρεις βασικές κατηγορίες. Πρώτον, τεχνικές που εκμεταλλεύονται το κοινό κλειδί ομάδας (Group Temporal Key, GTK) που χρησιμοποιείται για κίνηση εκπομπής και πολλαπλής διανομής (broadcast και multicast). Σε συγκεκριμένες υλοποιήσεις, αυτό μπορεί να επιτρέψει σε εισβολέα να προωθήσει πακέτα προς θύματα, χωρίς να “φαίνεται” ως άμεση πελατο-προς-πελάτο επικοινωνία. Δεύτερον, το “αναπήδημα στην πύλη” (gateway bouncing), όπου η απομόνωση εφαρμόζεται στο επίπεδο σύνδεσης (MAC), αλλά η πύλη/δρομολογητής προωθεί πακέτα στο επίπεδο δικτύου (IP), λειτουργώντας άθελά του ως μεσάζων. Τρίτον, η τεχνική “κλοπής θύρας” (port stealing), όπου ο εισβολέας πλαστογραφεί τη διεύθυνση MAC του θύματος και εκμεταλλεύεται εσωτερική λογική προώθησης του σημείου πρόσβασης, ώστε να δρομολογηθούν προς αυτόν πακέτα που κανονικά θα πήγαιναν στο θύμα.

Ποιοι κινδυνεύουν και ποιο είναι το πραγματικό μοντέλο απειλής

Το AirSnitch δεν είναι επίθεση που “σπάει” τον κωδικό του Wi-Fi από μακριά. Ο εισβολέας πρέπει ήδη να έχει πρόσβαση στο ίδιο ασύρματο δίκτυο, είτε ως νόμιμος χρήστης, είτε επειδή υπάρχει συνεγκατεστημένο ανοικτό δίκτυο στο ίδιο σημείο πρόσβασης, είτε επειδή το δίκτυο επισκεπτών είναι προσβάσιμο. Αυτό το κάνει ιδιαίτερα σχετικό για δημόσια Wi-Fi, δίκτυα επισκεπτών σε επιχειρήσεις, πανεπιστημιακά περιβάλλοντα και χώρους φιλοξενίας.

Σε επιτυχημένη θέση επίθεσης, ο κίνδυνος δεν είναι ότι “εξαφανίζεται” το WPA2/WPA3, αλλά ότι υπονομεύεται η υπόσχεση πως οι πελάτες είναι απομονωμένοι μεταξύ τους. Αυτό μπορεί να διευκολύνει επίθεση ενδιάμεσου, παρεμβολή σε κίνηση που δεν είναι κρυπτογραφημένη άκρου σε άκρο, αλλοίωση απαντήσεων DNS σε συστήματα που δεν προστατεύονται σωστά, ή στοχευμένες επιθέσεις σε συσκευές που εμπιστεύονται υπερβολικά το τοπικό δίκτυο.

Έκταση του προβλήματος και ενημερώσεις

Οι ερευνητές δοκίμασαν τις τεχνικές σε περιορισμένο δείγμα συσκευών και αναφέρουν ότι κάθε συσκευή που εξετάστηκε ήταν ευάλωτη σε τουλάχιστον μία παραλλαγή. Στη λίστα περιλαμβάνονται καταναλωτικές και εταιρικές λύσεις, καθώς και λογισμικό δρομολογητών ανοιχτού κώδικα. Ορισμένοι κατασκευαστές έχουν ήδη ξεκινήσει διαδικασία ενημερώσεων, αλλά η μελέτη τονίζει ότι μέρος του προβλήματος σχετίζεται με τον τρόπο που έχουν υλοποιηθεί μηχανισμοί σε υλικό και λογισμικό, κάτι που δεν διορθώνεται πάντα με μία απλή αναβάθμιση.

Τι σημαίνει πρακτικά

Το πιο πρακτικό συμπέρασμα είναι ότι η απομόνωση πελατών δεν πρέπει να αντιμετωπίζεται ως “τείχος” ασφάλειας. Σε δίκτυα επισκεπτών, η τμηματοποίηση σε ξεχωριστό δίκτυο με κανόνες δρομολόγησης, ή σε ξεχωριστό εικονικό δίκτυο (VLAN) με σωστούς περιορισμούς, μειώνει την έκθεση. Σε επιχειρήσεις, η χρήση πιστοποιημένης πρόσβασης (π.χ. WPA3-Enterprise με κατάλληλη ρύθμιση) και η αρχή «ελάχιστης πρόσβασης» ανά ομάδα συσκευών βοηθούν περισσότερο από ένα απλό checkbox “isolation”.

Για καθημερινή χρήση σε δημόσια Wi-Fi, η ασφαλέστερη πρακτική παραμένει η κρυπτογράφηση άκρου σε άκρο: ιστοσελίδες και εφαρμογές με HTTPS, και όπου χρειάζεται, αξιόπιστο VPN. Σε περιβάλλοντα υψηλού ρίσκου, η χρήση δεδομένων κινητής ή η κοινή χρήση σύνδεσης από το κινητό παραμένει η πιο “καθαρή” λύση.

Τι να προσέξουμε

Το AirSnitch δεν σημαίνει ότι “κατέρρευσε το Wi-Fi”, αλλά ότι ένα ευρέως διαφημιζόμενο χαρακτηριστικό προστασίας μεταξύ πελατών είναι συχνά πιο αδύναμο από όσο υπονοούν τα φυλλάδια. Αν η αγορά κινηθεί όπως σε προηγούμενα Wi-Fi ζητήματα, οι διορθώσεις θα έρθουν σταδιακά, και με ανομοιομορφία ανά κατασκευαστή. Το ενδιάμεσο διάστημα, η σωστή τμηματοποίηση και η κρυπτογράφηση άκρου σε άκρο είναι η ουσία της άμυνας.

Το πιθανότερο είναι να δούμε μεγαλύτερη πίεση προς τυποποίηση του τι σημαίνει “απομόνωση πελατών”, ώστε να μην εξαρτάται από ιδιότυπες υλοποιήσεις. Μέχρι τότε, οι διαχειριστές δικτύων θα χρειαστεί να ελέγχουν ενεργά τις συσκευές τους, όχι να θεωρούν ότι το guest Wi-Fi είναι αυτομάτως “ασφαλές”.

Πηγές

AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks — NDSS 2026
AirSnitch paper (PDF) — NDSS 2026
UCR computer scientists reveal Wi-Fi security flaws — UC Riverside News
New AirSnitch attack bypasses Wi-Fi encryption in homes, offices, and enterprises — Ars Technica
AirSnitch lets attackers on the same network intercept data and launch attacks — Tom’s Hardware
AirSnitch testing tool — GitHub

Notepad++, στοχευμένη επίθεση στην αλυσίδα ενημερώσεων μέσω παραβίασης hosting, από Ιούνιο έως 2 Δεκεμβρίου 2025

Mon, 02 Feb 2026 15:44:00 +0000

Επιτιθέμενοι παραβίασαν περιβάλλον φιλοξενίας και ανακατεύθυναν επιλεγμένους χρήστες σε κακόβουλους servers κατά τη διαδικασία ενημέρωσης (supply chain vector).
Η άμεση πρόσβαση κόπηκε στις 2/9/2025 (scheduled maintenance), αλλά η επίθεση συνεχίστηκε έως 2/12/2025 μέσω κλεμμένων διαπιστευτηρίων/εσωτερικών υπηρεσιών.
Υπάρχει εκτίμηση για κρατικά υποστηριζόμενους δράστες, η απόδοση σε συγκεκριμένη χώρα εμφανίζεται σε ορισμένα ρεπορτάζ και όχι ως δημόσια, οριστική ταυτοποίηση από το ίδιο το project.
Το WinGup (updater) σκλήρυνε με ελέγχους πιστοποιητικού και ψηφιακής υπογραφής, ενώ τα update metadata υπογράφονται πλέον ψηφιακά (XMLDSig).
Σύσταση προς χρήστες, κατέβασμα και χειροκίνητη εγκατάσταση της τελευταίας έκδοσης από τις επίσημες σελίδες του Notepad++.

Τι συνέβη

Το Notepad++ δημοσιοποίησε ότι δέχθηκε στοχευμένη επίθεση στην αλυσίδα ενημερώσεων, με την υποδομή τρίτου παρόχου φιλοξενίας να αποτελεί το σημείο παραβίασης. Η επίθεση δεν βασίστηκε σε κενό ασφαλείας του ίδιου του editor, αλλά σε δυνατότητα ανακατεύθυνσης αιτημάτων ενημέρωσης, ώστε επιλεγμένοι χρήστες να οδηγούνται σε κακόβουλους servers.

Το πρακτικό ρίσκο σε τέτοιες περιπτώσεις δεν είναι “απλώς” η αλλοίωση ενός download, αλλά η "διάβρωση εμπιστοσύνης" στο update path. Σε desktop εφαρμογές, ο updater είναι από τα πιο κρίσιμα σημεία, γιατί λειτουργεί ως προνομιακός δίαυλος εγκατάστασης κώδικα.

Το χρονικό με ημερομηνίες

Η παραβίαση τοποθετείται χρονικά στον Ιούνιο 2025, όταν οι επιτιθέμενοι απέκτησαν πρόσβαση σε κοινόχρηστο server φιλοξενίας που σχετιζόταν με υποδομές του site. Στις 2 Σεπτεμβρίου 2025, προγραμματισμένη συντήρηση (αναβάθμιση kernel και firmware) διέκοψε την άμεση πρόσβασή τους στο συγκεκριμένο σύστημα.

Ωστόσο, η επίθεση συνεχίστηκε. Με βάση τη δημόσια ενημέρωση, οι δράστες είχαν ήδη αποσπάσει διαπιστευτήρια εσωτερικών υπηρεσιών, κάτι που τους επέτρεψε να διατηρήσουν τη δυνατότητα στοχευμένων ανακατευθύνσεων έως τις 2 Δεκεμβρίου 2025. Εκείνη την ημερομηνία ο πάροχος προχώρησε σε πλήρη διορθωτικά μέτρα, μαζί με rotation διαπιστευτηρίων και πρόσθετη σκλήρυνση.

“State-sponsored” και το θέμα της απόδοσης

Η φύση της επίθεσης και η επιμονή της οδήγησαν σε εκτιμήσεις για δράστες με κρατική υποστήριξη. Ορισμένα ρεπορτάζ αποδίδουν την ενέργεια σε κινεζικά, κρατικά συνδεδεμένα σχήματα, ωστόσο το ίδιο το project, στη δημόσια ανακοίνωσή του, κινείται με πιο προσεκτική διατύπωση και περιγράφει το πλαίσιο και τα τεχνικά ευρήματα χωρίς να “κλειδώνει” δημόσια, οριστική ταυτοποίηση χώρας.

Τι άλλαξε στον updater

Σε επίπεδο μετριασμού, το project αναφέρει μετεγκατάσταση υποδομών και αναβαθμίσεις στον WinGup (updater). Συγκεκριμένα, ενισχύθηκε η επαλήθευση πιστοποιητικών και ψηφιακών υπογραφών, ενώ τα αρχεία/metadata ενημέρωσης που σερβίρονται από τον διακομιστή υπογράφονται πλέον ψηφιακά (XMLDSig), ώστε να μειώνεται η πιθανότητα “σιωπηλής” αλλοίωσης του update flow.

Το project σημειώνει επίσης ότι η τεχνική διερεύνηση συνεχίζεται για να αποσαφηνιστεί πλήρως ο μηχανισμός του hijack, όμως το βασικό hardening έχει ήδη περάσει στις πρόσφατες εκδόσεις.

Τι να κάνουν οι χρήστες

Η πρακτική σύσταση είναι σαφής, κατέβασμα της τελευταίας έκδοσης από τις επίσημες σελίδες του Notepad++ και χειροκίνητη εγκατάσταση. Σε περιβάλλοντα οργανισμών, έχει νόημα να ελεγχθεί το update policy, το egress προς domains που σχετίζονται με updates και τυχόν indicators από endpoints που έκαναν ενημέρωση στο επίμαχο διάστημα.

Πηγές

Instagram: Μαζική αποστολή emails επαναφοράς κωδικών, ερωτήματα για διαρροή δεδομένων

Tue, 13 Jan 2026 12:41:05 +0000

TL;DR

Χρήστες παγκοσμίως έλαβαν μαζικά emails “reset password” χωρίς να τα ζητήσουν.
Το Instagram λέει ότι υπήρξε bug που επέτρεπε σε τρίτο μέρος να “πυροδοτεί” νόμιμα reset emails, χωρίς παραβίαση συστημάτων.
Παράλληλα κυκλοφόρησαν ισχυρισμοί για dataset 17,5 εκατ. λογαριασμών, όμως υπάρχουν ενδείξεις ότι πρόκειται για παλαιότερα scraped δεδομένα, όχι για κωδικούς.
Πρακτικά, το ρίσκο είναι το phishing και η κόπωση χρηστών, η ασφαλής διαχείριση γίνεται από την εφαρμογή και με 2FA.

Το Instagram βρέθηκε στο επίκεντρο τις τελευταίες ημέρες, μετά από κύμα emails επαναφοράς κωδικού πρόσβασης που έφτασαν σε χρήστες χωρίς οι ίδιοι να έχουν ξεκινήσει διαδικασία αλλαγής κωδικού. Το αποτέλεσμα ήταν σύγχυση, έντονη συζήτηση στα social media και εύλογες υποψίες για phishing ή για κάποιας μορφής διαρροή στοιχείων.

Η επίσημη θέση του Instagram

Με δημόσια τοποθέτηση στις 11 Ιανουαρίου, το Instagram ανέφερε ότι διόρθωσε ένα ζήτημα που επέτρεπε σε “external party” να ζητά αποστολή emails επαναφοράς κωδικού για ορισμένους χρήστες. Η εταιρεία υποστήριξε ότι δεν υπήρξε παραβίαση των συστημάτων της και ότι οι λογαριασμοί παραμένουν ασφαλείς, προτρέποντας τους χρήστες να αγνοήσουν τα emails αν δεν τα ζήτησαν.

Το κρίσιμο σημείο είναι ότι η εταιρεία δεν κατονόμασε το τρίτο μέρος, ούτε έδωσε τεχνικές λεπτομέρειες για το πώς ήταν δυνατό να ενεργοποιείται μαζικά η αποστολή των reset emails.

Οι αντικρουόμενοι ισχυρισμοί για “διαρροή 17,5 εκατομμυρίων”

Την ίδια περίοδο, η Malwarebytes ισχυρίστηκε ότι εντόπισε dataset που αποδίδεται σε 17,5 εκατομμύρια λογαριασμούς Instagram, το οποίο κυκλοφορεί σε περιβάλλοντα κυβερνοεγκλήματος. Σε ορισμένες αναφορές, το dataset περιγράφεται ως σύνολο στοιχείων (όπως usernames, emails, τηλέφωνα και metadata) που προσφέρονται ή διακινούνται σε forums.

Ωστόσο, άλλοι ερευνητές ασφαλείας και υπηρεσίες breach notification έχουν επισημάνει ότι το συγκεκριμένο dataset μοιάζει να είναι παλαιότερο και να προέρχεται από scraping, με το σημαντικό πρακτικό συμπέρασμα ότι δεν αφορά κωδικούς πρόσβασης. Σε αυτή την ανάγνωση, η χρονική σύμπτωση ανάμεσα στο “reset email flood” και στην ανακύκλωση ενός dataset μπορεί να λειτουργεί ως επιταχυντής πανικού, όχι απαραίτητα ως απόδειξη νέου breach.

Τι πιθανόν συνέβη, και γιατί έχει σημασία

Ακόμα και αν δεν υπήρξε παραβίαση λογαριασμών, η δυνατότητα μαζικής ενεργοποίησης password reset emails έχει πραγματικό operational κόστος. Δημιουργεί κόπωση και σύγχυση, άρα αυξάνει την πιθανότητα ένας χρήστης να πατήσει βιαστικά σε λάθος link, να δώσει στοιχεία σε phishing σελίδα ή να ακολουθήσει “οδηγίες” που δεν προέρχονται από το Instagram.

Με απλά λόγια, ο κίνδυνος εδώ είναι λιγότερο “κάποιος πήρε τον κωδικό σου”, και περισσότερο “κάποιος σε πιέζει να κάνεις λάθος κίνηση” μέσα σε περιβάλλον πανικού.

Τι πρέπει να κάνουν οι χρήστες

Αγνοήστε reset emails που δεν ζητήσατε εσείς.
Μην πατάτε links από email, μπείτε από την εφαρμογή Instagram ή πληκτρολογήστε χειροκίνητα το site.
Αλλάξτε κωδικό από το app ή από το Accounts Center, αν ανησυχείτε, και χρησιμοποιήστε μοναδικό, ισχυρό password.
Ενεργοποιήστε two-factor authentication (ιδανικά μέσω authenticator app).
Ελέγξτε “Login activity”, συσκευές και sessions που είναι συνδεδεμένα στον λογαριασμό.
Μείνετε σε αυξημένη επαγρύπνηση για phishing τις επόμενες εβδομάδες, ειδικά αν λάβετε emails που ζητούν “επιβεβαίωση” ή “επείγουσα” ενέργεια.

Ανεξάρτητα από το ποια εκδοχή θα αποδειχθεί πιο κοντά στην αλήθεια, το επεισόδιο δείχνει πόσο εύκολα μια κατάχρηση “νόμιμων” μηχανισμών ασφαλείας (όπως το password reset) μπορεί να μετατραπεί σε όπλο κοινωνικής μηχανικής.

Πηγές

Instagram statement για τα password reset emails, X
Instagram says there’s been ‘no breach’ despite password reset requests, TechCrunch
Instagram says it fixed the issue that let someone send all those password reset emails, The Verge
Instagram Confirms Password-Reset Spam Flood, Denies Breach, BankInfoSecurity
Meta denies breach reports after users bombarded with reset emails, TechRadar

NGate: Το Android malware που εκμεταλλεύεται την επίθεση NFC relay

Thu, 18 Dec 2025 15:59:06 +0000

Τι έγινε: Η ESET αποκάλυψε το NGate, Android malware που χρησιμοποιεί επίθεση NFC relay για να μεταφέρει σε πραγματικό χρόνο την NFC επικοινωνία μιας κάρτας από το κινητό του θύματος στη συσκευή του δράστη.
Τι σημαίνει: Γίνεται ζωντανή αναμετάδοση του σήματος, ώστε ο δράστης να κάνει ανάληψη από contactless ATM, εφόσον έχει υποκλέψει και το PIN μέσω phishing ή ψεύτικης τραπεζικής εφαρμογής.
Πότε: Η απειλή έχει καταγραφεί σε πραγματικές επιθέσεις, αρχικά στην Τσεχία, και οι ερευνητές προειδοποιούν ότι το μοντέλο μπορεί να επεκταθεί και αλλού.

Μια νέα μορφή απάτης που συνδυάζει phishing με φυσική ανάληψη μετρητών ανέδειξε η ESET, παρουσιάζοντας το NGate, ένα Android malware που αξιοποιεί επίθεση NFC relay. Το σενάριο ξεκινά συνήθως με SMS ή μήνυμα που οδηγεί το θύμα σε εγκατάσταση ψεύτικης τραπεζικής εφαρμογής εκτός Google Play, μέσω sideloading.

Αφού εγκατασταθεί, η εφαρμογή πείθει τον χρήστη να ενεργοποιήσει το NFC και να ακουμπήσει την κάρτα στο κινητό, με πρόσχημα “επαλήθευση” ή “ενεργοποίηση”. Εκεί γίνεται το κρίσιμο σημείο: το NGate δεν χρειάζεται να κλωνοποιήσει μόνιμα την κάρτα, αναμεταδίδει σε πραγματικό χρόνο την NFC επικοινωνία προς τη συσκευή του δράστη, ο οποίος βρίσκεται κοντά σε ATM που υποστηρίζει contactless συναλλαγές.

Για να ολοκληρωθεί η ανάληψη, οι δράστες συνήθως χρειάζονται και το PIN, το οποίο επιχειρούν να αποσπάσουν νωρίτερα μέσα από τη ψεύτικη εφαρμογή ή με άλλη μορφή υποκλοπής διαπιστευτηρίων. Η τεχνική, όπως περιγράφεται από τους ερευνητές, βασίζεται σε τροποποιήσεις του εργαλείου NFCGate, το οποίο είναι γνωστό σε ερευνητικό πλαίσιο, αλλά εδώ χρησιμοποιείται επιχειρησιακά για απάτη.

Οι πρώτες επιβεβαιωμένες καμπάνιες εντοπίστηκαν στην Τσεχία, όμως το μοτίβο είναι μεταφέρσιμο. Το πρακτικό συμπέρασμα είναι ότι το ρίσκο ανεβαίνει σημαντικά όταν ο χρήστης εγκαθιστά εφαρμογές από άγνωστες πηγές και δίνει δικαιώματα που δεν “κολλάνε” με κανονική τραπεζική χρήση, ειδικά όταν του ζητείται να ακουμπήσει κάρτα στο κινητό για δήθεν επιβεβαίωση.

Πηγές

NGate Android malware relays NFC traffic to steal cash, WeLiveSecurity (ESET Research)

New NGate Android malware uses NFC chip to steal credit card data, BleepingComputer

ESET Research discovers NGate, Android malware which relays NFC traffic to steal victims’ cash from ATMs, ESET Newsroom

Android malware steals your card details and PIN to make instant ATM withdrawals, Malwarebytes

NFC malware empties Czech bank accounts, Heise