Η Microsoft διερευνά μια συνεχιζόμενη διακοπή λειτουργίας που εμποδίζει τους πελάτες του OneDrive να έχουν πρόσβαση στην υπηρεσία φιλοξενίας αρχείων cloud παγκοσμίως, την ώρα που ένας φορέας απειλής γνωστός ως "Anonymous Sudan" ισχυρίζεται ότι κάνει DDoSing στην υπηρεσία. Οι χρήστες που προσπαθούν να ανοίξουν τον ιστότοπο του OneDrive βλέπουν επί του παρόντος μηνύματα σφάλματος

• "Συγγνώμη, προέκυψε σφάλμα" και "Αυτή η σελίδα δεν λειτουργεί αυτή τη στιγμή".
• "Διερευνούμε ένα πιθανό πρόβλημα και ελέγχουμε για επιπτώσεις στον οργανισμό σας. Θα παράσχουμε ενημέρωση εντός 30 λεπτών", ανέφερε η εταιρεία σε μια ενημέρωση στη σελίδα κατάστασης της υπηρεσίας.
• "Εξετάζουμε την τηλεμετρία του OneDrive που καταγράφει αυτό το σενάριο επιπτώσεων για να προσδιορίσουμε την πηγή των αποτυχιών πρόσβασης στην υπηρεσία και να αρχίσουμε να προσδιορίζουμε ένα σχέδιο μετριασμού".

Ενώ η εταιρεία δεν έδωσε λεπτομέρειες σχετικά με το τι προκαλεί τη διακοπή λειτουργίας, το σημερινό περιστατικό ανέλαβαν οι χακτιβιστές που είναι γνωστοί ως "Anonymous Sudan", οι οποίοι ορισμένοι πιστεύουν ότι συνδέονται με τη Ρωσία. Είπαν επίσης ότι έθεσαν εκτός λειτουργίας μια σειρά από υπηρεσίες της Microsoft νωρίτερα αυτή την εβδομάδα σε κατανεμημένες επιθέσεις άρνησης παροχής υπηρεσιών (DDoS).

Microsoft, νομίζετε ότι σας ξεχάσαμε; Έχουμε κίνητρο να σας δώσουμε στους ψεύτες ένα πολύ καλό μάθημα ειλικρίνειας που κανένας από τους γονείς σας δεν σας δίδαξε ποτέ. Το Onedrive έχει καταρρεύσει. Ας δούμε τώρα τη νέα σας δικαιολογία"

ανέφεραν στη δημόσια ομάδα τους στο Telegram.

Το σημερινό περιστατικό ακολουθεί μια άλλη μακρά διακοπή λειτουργίας στις αρχές της εβδομάδας που επηρέασε πολλές υπηρεσίες και λειτουργίες της Microsoft, όπως το Outlook, το SharePoint Online και το OneDrive for Business. Η διακοπή λειτουργίας ξεκίνησε το βράδυ της Δευτέρας και αντιμετωπίστηκε τελικά τις πρώτες πρωινές ώρες της Τετάρτης, ενώ η διακοπή αυτή δηλώθηκε επίσης από τους Anonymous Sudan ως αποτέλεσμα των επιθέσεων DDoS που πραγματοποίησαν.

Η Microsoft δήλωσε στο BleepingComputer ότι διερευνά τους ισχυρισμούς και λαμβάνει μέτρα για την προστασία των πελατών. "Γνωρίζουμε αυτούς τους ισχυρισμούς και τους διερευνούμε. Λαμβάνουμε τα απαραίτητα μέτρα για την προστασία των πελατών και τη διασφάλιση της σταθερότητας των υπηρεσιών μας", δήλωσε η Microsoft στο BleepingComputer σε δήλωσή της. Σε μια μεταγενέστερη ενημέρωση στη σελίδα κατάστασης της υπηρεσίας, η Microsoft επιβεβαίωσε ότι αυτή η διακοπτόμενη διακοπή επηρεάζει μόνο τον τομέα onedrive.live.com.

Η επηρεαζόμενη διεύθυνση URL του προγράμματος περιήγησης είναι onedrive.live.com. Η πρόσβαση στην υπηρεσία OneDrive μέσω του προγράμματος για επιτραπέζιους υπολογιστές, ενός προγράμματος συγχρονισμού ή των προγραμμάτων του Office δεν επηρεάζεται. Συνεχίζουμε να αναλύουμε την τηλεμετρία παρακολούθησης και να εκτελούμε διαδικασίες εξισορρόπησης φορτίου για την παροχή λύσης

Οι κωδικοί πρόσβασης έχουν αρχίσει και ξεπερνιόνται από την τρέχουσα τεχνολογική εξέλιξη. Όσοι ενδιαφέρονται σοβαρά για την ασφάλεια μετακινούνται προς το Zero Trust Security ή άλλα συστήματα διαχείρισης ταυτότητας και πρόσβασης (IAM) χωρίς κωδικούς πρόσβασης. Τώρα, η Bitwarden, η εταιρία διαχείρισης κωδικών πρόσβασης ανοιχτού κώδικα με το ίδιο όνομα, έχει ξεκινήσει επίσημα το Bitwarden Passwordless. dev. Πρόκειται για μια ολοκληρωμένη εργαλειοθήκη για προγραμματιστές για την ενσωμάτωση κωδικών πρόσβασης με βάση το FIDO2 WebAuthn σε ιστότοπους καταναλωτών και εταιρικές εφαρμογές. 

Η εταιρία πιστεύει ότι η στιγμή είναι κατάλληλη για το Bitwarden να επεκταθεί πέρα από τον κορυφαίο διαχειριστή κωδικών πρόσβασης που διαθέτει. Η τεχνολογία χωρίς κωδικό πρόσβασης κερδίζει έδαφος. Μια έρευνα της Bitwarden διαπίστωσε ότι το 56% των ατόμων είναι ενθουσιασμένοι με την τεχνολογία χωρίς κωδικούς πρόσβασης. Αυτό ισχύει μιας και οι παραβιάσεις κωδικών πρόσβασης αυξάνονται συνεχώς με τη πάροδο του χρόνου. Αυτό αποδεικνύεται από το πλήθος των καταχωρήσεων στο δικτυακό τόπο haveibeenpwned.com

Τα σχέδια για σύνδεση χωρίς κωδικό πρόσβασης είναι ένας από αυτούς, το οποίο δεν είναι τόσο απλό να εφαρμοστεί. Οι περισσότεροι οργανισμοί δεν έχουν ακόμη υιοθετήσει αυτή την τεχνολογία. Περίπου οι μισοί από τους υπεύθυνους λήψης αποφάσεων στον τομέα της πληροφορικής αναφέρουν ως κύριο λόγο την έλλειψη σχεδιασμού χωρίς κωδικό πρόσβασης στις εφαρμογές που χρησιμοποιούν.

Σε αυτό το σημείο έρχεται στο προσκήνιο το Bitwarden. Η τελευταία της προσφορά στοχεύει να γεφυρώσει αυτό το κενό. Τα passkeys όχι μόνο εξαλείφουν την ανάγκη για κωδικούς πρόσβασης, ονόματα χρήστη και έλεγχο ταυτότητας δύο παραγόντων (2FA), αλλά ενισχύουν επίσης την ασφάλεια των χρηστών, μειώνοντας τον κίνδυνο επιθέσεων phishing.

Το Bitwarden Passwordless.dev χρησιμοποιεί μια εύχρηστη διεπαφή προγραμματισμού εφαρμογών (API) για να παρέχει μια απλουστευμένη προσέγγιση για την εφαρμογή του ελέγχου ταυτότητας με βάση τα κλειδιά πρόσβασης με τον υπάρχοντα κώδικά σας. Αυτό επιτρέπει στους προγραμματιστές να δημιουργούν απρόσκοπτες εμπειρίες ελέγχου ταυτότητας γρήγορα και αποτελεσματικά. Για παράδειγμα, μπορείτε να το χρησιμοποιήσετε για την ενσωμάτωση με εφαρμογές FIDO2 WebAuthn, όπως Face ID, δακτυλικό αποτύπωμα και Windows Hello.

Οι επιχειρήσεις αντιμετωπίζουν επίσης προκλήσεις κατά την ενσωμάτωση του ελέγχου ταυτότητας με βάση το κλειδί πρόσβασης στις υπάρχουσες εφαρμογές τους. Ένας άλλος τρόπος με τον οποίο το Bitwarden Passwordless.dev αντιμετωπίζει αυτό το ζήτημα είναι η ενσωμάτωση μιας κονσόλας διαχειριστή. Αυτό επιτρέπει στους προγραμματιστές να ρυθμίζουν τις εφαρμογές, να διαχειρίζονται τα χαρακτηριστικά των χρηστών, να παρακολουθούν τη χρήση του passkey, να αναπτύσσουν κώδικα και να ξεκινούν αμέσως.

"Ο έλεγχος ταυτότητας χωρίς κωδικό πρόσβασης κερδίζει γρήγορα τη δημοτικότητά του λόγω της ενισχυμένης ασφάλειας και της βελτιωμένης εμπειρίας σύνδεσης των χρηστών", δήλωσε ο Michael Crandell, CEO της Bitwarden. "Το Bitwarden εξοπλίζει τους προγραμματιστές με τα απαραίτητα εργαλεία και την ευελιξία για να εφαρμόσουν ταχέως και αβίαστα τον έλεγχο ταυτότητας με βάση το passkey, βελτιώνοντας έτσι την εμπειρία των χρηστών, διατηρώντας παράλληλα τα βέλτιστα επίπεδα ασφάλειας".

Η Lundatech AB, πελάτης της Bitwarden και πάροχος επιχειρηματικού cloud, χρησιμοποιεί ήδη το Bitwarden Passwordlessdev για να βελτιώσει την εγγραφή και τη σύνδεση των υπαλλήλων και των πελατών της. Είναι ευχαριστημένοι με αυτό. Ο Henrik Doverhill, CTO και ιδρυτής της Lundatech δήλωσε

Το πελατολόγιό μας περιλαμβάνει προμηθευτές λογισμικού, μεγάλες ιδιωτικές εταιρείες και κυβερνητικούς οργανισμούς, οι οποίοι έχουν αυστηρές απαιτήσεις ασφάλειας και αξιοπιστίας. Στόχος μας ήταν να τους παρέχουμε ανώτερη ασφάλεια και μια σύγχρονη, βελτιωμένη εμπειρία αυθεντικοποίησης. Το Bitwarden Passwordless.dev μείωσε σημαντικά τη διαδικασία ανάπτυξής μας - είχαμε τον έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης λειτουργικό μέσα σε μία ώρα

Κοιτάζοντας μπροστά, η Bitwarden παρουσίασε επίσης πρόσφατα την ανοιχτή beta έκδοση του Bitwarden Secrets Manager. Αυτό έχει σχεδιαστεί για την ασφαλή διαχείριση ευαίσθητων διαπιστευτηρίων ελέγχου ταυτότητας εντός των προνομιακών περιβαλλόντων προγραμματιστών και DevOps.

Μια κινεζική κυβερνητική ομάδα hacking έχει αποκτήσει σημαντική θέση μέσα σε περιβάλλοντα υποδομών ζωτικής σημασίας σε όλες τις ΗΠΑ και το Γκουάμ και κλέβει διαπιστευτήρια δικτύου και ευαίσθητα δεδομένα, ενώ παραμένει σε μεγάλο βαθμό απαρατήρητη, δήλωσαν την Τετάρτη η Microsoft και κυβερνήσεις από τις ΗΠΑ και άλλες τέσσερις χώρες.

Η ομάδα, η οποία εντοπίζεται από τη Microsoft με το όνομα Volt Typhoon, δραστηριοποιείται εδώ και τουλάχιστον δύο χρόνια με επίκεντρο την κατασκοπεία και τη συλλογή πληροφοριών για τη Λαϊκή Δημοκρατία της Κίνας, δήλωσε η Microsoft. Για να παραμείνουν απαρατήρητοι, οι χάκερ χρησιμοποιούν εργαλεία που είναι ήδη εγκατεστημένα ή ενσωματωμένα σε μολυσμένες συσκευές που ελέγχονται χειροκίνητα από τους επιτιθέμενους αντί να αυτοματοποιούνται, μια τεχνική γνωστή ως "living off the land". Εκτός από την αποκάλυψη από τη Microsoft, η εκστρατεία καταγράφηκε επίσης σε μια συμβουλευτική που δημοσιεύθηκε από κοινού από:

• Αμερικανικό Οργανισμό Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA)
• Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI)
• Αυστραλιανό Κέντρο Κυβερνοασφάλειας (ACSC)
• Καναδικό Κέντρο για την Ασφάλεια στον Κυβερνοχώρο (CCCS)
• Εθνικό κέντρο ασφάλειας στον κυβερνοχώρο της Νέας Ζηλανδίας (NCSC-NZ)
• Εθνικό κέντρο ασφάλειας στον κυβερνοχώρο του Ηνωμένου Βασιλείου (NCSC-UK)

Εκτός από την τεχνική του "living-off-the-land", οι χάκερς συγκάλυψαν περαιτέρω τη δραστηριότητά τους χρησιμοποιώντας παραβιασμένους routers για το σπίτι και μικρά γραφεία ως ενδιάμεση υποδομή που επιτρέπει στις επικοινωνίες με τους μολυσμένους υπολογιστές να προέρχονται από ISP που είναι τοπικοί στη γεωγραφική περιοχή. Στη συμβουλευτική της Microsoft, οι ερευνητές έγραψαν:

Για την επίτευξη του στόχου τους, ο φορέας της απειλής δίνει μεγάλη έμφαση στη μυστικότητα σε αυτή την εκστρατεία, βασιζόμενος σχεδόν αποκλειστικά σε τεχνικές "living-off-the-land" και σε "χειροκίνητες" δραστηριότητες. Εκτελούν εντολές μέσω της γραμμής εντολών για να (1) συλλέξουν δεδομένα, συμπεριλαμβανομένων των διαπιστευτηρίων από τοπικά συστήματα και συστήματα δικτύου, (2) να τοποθετήσουν τα δεδομένα σε ένα αρχείο αρχειοθέτησης για να τα προετοιμάσουν για την απομόνωση και στη συνέχεια (3) να χρησιμοποιήσουν τα κλεμμένα έγκυρα διαπιστευτήρια για να διατηρήσουν τη διατήρηση. Επιπλέον, το γκρούπ Volt Typhoon προσπαθεί να ενσωματωθεί στην κανονική δραστηριότητα του δικτύου, δρομολογώντας την κυκλοφορία μέσω παραβιασμένου εξοπλισμού δικτύου μικρών γραφείων και οικιακών γραφείων (SOHO), συμπεριλαμβανομένων δρομολογητών, τειχών προστασίας και υλικού VPN. Έχει επίσης παρατηρηθεί ότι χρησιμοποιούν προσαρμοσμένες εκδόσεις εργαλείων ανοιχτού κώδικα για να δημιουργήσουν ένα κανάλι διοίκησης και ελέγχου (C2) μέσω διακομιστή μεσολάβησης για να παραμείνουν περαιτέρω κάτω από το ραντάρ.

Οι ερευνητές της Microsoft δήλωσαν ότι η εκστρατεία είναι πιθανότατα σχεδιασμένη για την ανάπτυξη δυνατοτήτων για τη "διατάραξη κρίσιμων υποδομών επικοινωνίας μεταξύ των Ηνωμένων Πολιτειών και της περιοχής της Ασίας κατά τη διάρκεια μελλοντικών κρίσεων". Το Γκουάμ είναι σημαντικό για τον αμερικανικό στρατό λόγω των λιμανιών του στον Ειρηνικό και της αεροπορικής βάσης που παρέχει. Καθώς οι εντάσεις σχετικά με την Ταϊβάν έχουν υποχωρήσει, η στρατηγική σημασία του Γκουάμ έχει γίνει κεντρικό θέμα.

Το αρχικό σημείο εισόδου για τις παραβιάσεις του Volt Typhoon είναι μέσω των συσκευών Fortinet FortiGuard που έχουν πρόσβαση στο Διαδίκτυο, οι οποίες τα τελευταία χρόνια έχουν αποδειχθεί σημαντικό προγεφύρωμα για τη μόλυνση δικτύων. Εκμεταλλευόμενοι ευπάθειες στις συσκευές FortiGuard που οι διαχειριστές έχουν αμελήσει να επιδιορθώσουν, οι χάκερς αποσπούν διαπιστευτήρια για το Active Directory ενός δικτύου, το οποίο αποθηκεύει ονόματα χρηστών, password hashes και άλλες ευαίσθητες πληροφορίες για όλους τους άλλους λογαριασμούς. Στη συνέχεια, οι χάκερ χρησιμοποιούν αυτά τα δεδομένα για να μολύνουν άλλες συσκευές στο δίκτυο. Ερευνητές της Microsoft έγραψαν ότι:

Το Volt Typhoon μεταβιβάζει μεσολάβηση όλη την κυκλοφορία του δικτύου του στους στόχους του μέσω παραβιασμένων συσκευών άκρου δικτύου SOHO (συμπεριλαμβανομένων των δρομολογητών). Η Microsoft έχει επιβεβαιώσει ότι πολλές από τις συσκευές, στις οποίες περιλαμβάνονται αυτές που κατασκευάζονται από τις ASUS, Cisco, D-Link, NETGEAR και Zyxel, επιτρέπουν στον ιδιοκτήτη να εκθέσει διεπαφές διαχείρισης HTTP ή SSH στο Διαδίκτυο

Μεταξύ των κλάδων που επηρεάζονται, είναι οι επικοινωνίες, η μεταποίηση, οι υπηρεσίες κοινής ωφέλειας, οι μεταφορές, οι κατασκευές, η ναυτιλία, η κυβέρνηση, η τεχνολογία των πληροφοριών και η εκπαίδευση. 

Οι υπηρεσίες cloud της Microsoft σαρώνουν για κακόβουλο λογισμικό "κρυφοκοιτάζοντας" μέσα στα αρχεία zip των χρηστών, ακόμη και όταν αυτά προστατεύονται με κωδικό πρόσβασης, ανέφεραν αρκετοί χρήστες στο Mastodon τη Δευτέρα. Η συμπίεση των περιεχομένων αρχείων σε κρυπτογραφημένα αρχεία zip είναι εδώ και καιρό μια τακτική που χρησιμοποιούν οι κακόβουλοι φορείς για να αποκρύψουν κακόβουλο λογισμικό που εξαπλώνεται μέσω ηλεκτρονικού ταχυδρομείου ή απευθείας λήψεων. Τελικά, ορισμένοι φορείς απειλών προσαρμόστηκαν προστατεύοντας τα κακόβουλα αρχεία zip με έναν κωδικό πρόσβασης που πρέπει να πληκτρολογήσει ο τελικός χρήστης κατά τη μετατροπή του αρχείου πίσω στην αρχική του μορφή. Η Microsoft ξεπερνάει αυτή την κίνηση επιχειρώντας να παρακάμψει την προστασία με κωδικό πρόσβασης σε αρχεία zip και, όταν είναι επιτυχής, τα σαρώνει για κακόβουλο κώδικα.

Ενώ η ανάλυση των αρχείων που προστατεύονται με κωδικό πρόσβασης σε περιβάλλοντα cloud της Microsoft είναι γνωστή σε ορισμένους, αποτέλεσε έκπληξη για τον Andrew Brandt. Ο ερευνητής ασφάλειας αρχειοθετεί εδώ και καιρό κακόβουλο λογισμικό μέσα σε αρχεία zip που προστατεύονται με κωδικό πρόσβασης πριν τα ανταλλάξει με άλλους ερευνητές μέσω του SharePoint. Τη Δευτέρα, πήρε το Mastodon για να αναφέρει ότι το εργαλείο συνεργασίας της Microsoft είχε πρόσφατα επισημάνει ένα αρχείο zip, το οποίο είχε προστατευτεί με τον κωδικό πρόσβασης "μολυσμένο".

Ενώ καταλαβαίνω απόλυτα να το κάνει αυτό οποιοσδήποτε άλλος εκτός από έναν αναλυτή κακόβουλου λογισμικού, αυτό το είδος του αδιάκριτου, μπαίνω μέσα στην επιχείρησή σας τρόπου χειρισμού πρόκειται να γίνει μεγάλο πρόβλημα για ανθρώπους σαν εμένα που πρέπει να στείλουν στους συναδέλφους τους δείγματα κακόβουλου λογισμικού. Ο διαθέσιμος χώρος για να γίνει αυτό συνεχίζει να συρρικνώνεται και αυτό θα επηρεάσει την ικανότητα των ερευνητών κακόβουλου λογισμικού να κάνουν τη δουλειά τους
- Andrew Brandt

Ο συνάδελφος ερευνητής Kevin Beaumont συμμετείχε στη συζήτηση για να πει ότι η Microsoft διαθέτει πολλαπλές μεθόδους για τη σάρωση του περιεχομένου των προστατευμένων με κωδικό πρόσβασης αρχείων zip και τις χρησιμοποιεί όχι μόνο σε αρχεία που είναι αποθηκευμένα στο SharePoint αλλά σε όλες τις υπηρεσίες cloud 365. Ένας τρόπος είναι να εξάγονται τυχόν κωδικοί πρόσβασης από τα σώματα ενός email ή από το όνομα του ίδιου του αρχείου. Ένας άλλος τρόπος είναι να ελέγξετε το αρχείο για να δείτε αν προστατεύεται με έναν από τους κωδικούς πρόσβασης που περιέχονται σε μια λίστα.

Αν στείλετε στον εαυτό σας κάτι και πληκτρολογήσετε κάτι σαν 'ZIP password is Soph0s', κάνετε ZIP up το EICAR και ZIP password με το Soph0s, θα βρει (τον) κωδικό πρόσβασης, θα εξάγει και θα βρει (και θα τροφοδοτήσει την ανίχνευση της MS)
- Kevin Beaumont

Ο Brandt δήλωσε ότι πέρυσι το OneDrive της Microsoft άρχισε να δημιουργεί αντίγραφα ασφαλείας κακόβουλων αρχείων που είχε αποθηκεύσει σε έναν από τους φακέλους του στα Windows, αφού δημιούργησε μια εξαίρεση (δηλαδή, επέτρεψε την καταχώριση) στα εργαλεία ασφαλείας του τελικού σημείου. Αργότερα ανακάλυψε ότι μόλις τα αρχεία έφτασαν στο OneDrive, σβήστηκαν από τον σκληρό δίσκο του φορητού υπολογιστή του και ανιχνεύθηκαν ως κακόβουλο λογισμικό στον λογαριασμό του στο OneDrive. Σαν αποτέλεσμα ήταν να χάσει όλα τα αρχεία αυτά. Στη συνέχεια, ο Brandt άρχισε να αρχειοθετεί τα κακόβουλα αρχεία σε αρχεία zip που προστατεύονταν με τον κωδικό πρόσβασης "infected". Μέχρι την περασμένη εβδομάδα, είπε, το SharePoint δεν σημείωνε τα αρχεία. Τώρα το κάνει.

Εκπρόσωποι της Microsoft επιβεβαίωσαν τη λήψη ενός email που ρωτούσε για τις πρακτικές παράκαμψης της προστασίας με κωδικό πρόσβασης των αρχείων που αποθηκεύονται στις υπηρεσίες cloud της. Η εταιρεία δεν ακολούθησε απάντηση. Εκπρόσωπος της Google δήλωσε ότι η εταιρεία δεν σαρώνει αρχεία zip που προστατεύονται με κωδικό πρόσβασης, αν και το Gmail τα επισημαίνει όταν οι χρήστες λαμβάνουν ένα τέτοιο αρχείο. Ο λογαριασμός εργασίας μου που διαχειρίζεται το Google Workspace με εμπόδισε επίσης να στείλω ένα αρχείο zip που προστατεύεται με κωδικό πρόσβασης.

Η πρακτική αυτή καταδεικνύει τη λεπτή γραμμή που συχνά ακολουθούν οι διαδικτυακές υπηρεσίες όταν προσπαθούν να προστατεύσουν τους τελικούς χρήστες από κοινές απειλές, σεβόμενοι παράλληλα την ιδιωτική ζωή. Όπως σημειώνει ο Brandt, το ενεργό σπάσιμο ενός αρχείου zip που προστατεύεται με κωδικό πρόσβασης μοιάζει επεμβατικό. Ταυτόχρονα, η πρακτική αυτή έχει σχεδόν σίγουρα αποτρέψει μεγάλο αριθμό χρηστών από το να πέσουν θύματα επιθέσεων κοινωνικής μηχανικής που επιχειρούν να μολύνουν τους υπολογιστές τους.

Ένα άλλο πράγμα που πρέπει να θυμούνται οι αναγνώστες: τα αρχεία zip που προστατεύονται με κωδικό πρόσβασης παρέχουν ελάχιστη διασφάλιση ότι το περιεχόμενο μέσα στα αρχεία δεν μπορεί να διαβαστεί. Όπως σημείωσε ο Beaumont, το ZipCrypto, το προεπιλεγμένο μέσο για την κρυπτογράφηση αρχείων zip στα Windows, είναι τετριμμένο να παρακαμφθεί. Ένας πιο αξιόπιστος τρόπος είναι η χρήση μιας κρυπτογράφησης AES-256 που είναι ενσωματωμένη σε πολλά προγράμματα αρχειοθέτησης κατά τη δημιουργία αρχείων 7z.

Σύμφωνα με ερευνητές της Trend Micro στο Black Hat Asia, κακόβουλοι παράγοντες έχουν μολύνει εκατομμύρια Androids παγκοσμίως με κακόβουλο firmware πριν καν αποσταλούν οι συσκευές από τα εργοστάσιά τους. Αυτό το υλικό είναι κυρίως φτηνές κινητές συσκευές Android, αν και smartwatches, τηλεοράσεις και άλλα πράγματα έχουν παγιδευτεί σε αυτό.

Η κατασκευή των gadgets έχει ανατεθεί σε έναν κατασκευαστή αρχικού εξοπλισμού (OEM). Αυτή η εξωτερική ανάθεση καθιστά δυνατό για κάποιον στον κατασκευαστική αλυσίδα -όπως έναν προμηθευτή firmware- να μολύνει τα προϊόντα με κακόβουλο κώδικα καθώς αυτά αποστέλλονται, δήλωσαν οι ερευνητές. Αυτό συμβαίνει εδώ και καιρό, με αναφορές να καταγράφονται από το 2017. Πηγές από την Trend Micro, χαρακτήρισαν την απειλή σήμερα ως "ένα αυξανόμενο πρόβλημα για τους απλούς χρήστες και τις επιχειρήσεις". 

Ποιος είναι ο ευκολότερος τρόπος για να μολυνθούν εκατομμύρια συσκευές;

διερωτήθηκε ο ανώτερος ερευνητής της Trend Micro Fyodor Yarochkin, μιλώντας μαζί με τον συνάδελφο Zhengyu Dong στο συνέδριο στη Σιγκαπούρη. Ο Yarochkin παρομοίασε τη διείσδυση σε συσκευές σε ένα τόσο πρώιμο στάδιο του κύκλου ζωής τους με ένα δέντρο που απορροφά υγρό: εισάγετε τη μόλυνση στη ρίζα και αυτή διανέμεται παντού, σε κάθε κλαδί και φύλλο. Αυτή η εισαγωγή κακόβουλου λογισμικού ξεκίνησε καθώς έπεσε η τιμή του firmware των κινητών τηλεφώνων, όπως μας είπαν. Ο ανταγωνισμός μεταξύ των διανομέων firmware έγινε τόσο λυσσαλέος που τελικά οι πάροχοι δεν μπορούσαν να χρεώσουν χρήματα που αξίζει το προϊόν τους.

Αλλά φυσικά δεν υπάρχουν δωρεάν πράγματα

, δήλωσε ο Yarochkin, ο οποίος εξήγησε ότι, ως αποτέλεσμα αυτής της κατάστασης εκβιασμού, το firmware άρχισε να διατίθεται με ένα ανεπιθύμητο χαρακτηριστικό - τα σιωπηλά plugins. Η ομάδα ανέλυσε δεκάδες εικόνες firmware αναζητώντας κακόβουλο λογισμικό. Βρήκαν πάνω από 80 διαφορετικά plugins, αν και πολλά από αυτά δεν ήταν ευρέως διαδεδομένα. Τα plugins που είχαν τον μεγαλύτερο αντίκτυπο ήταν εκείνα που είχαν ένα επιχειρηματικό μοντέλο χτισμένο γύρω από αυτά, πωλούνταν κρυφά και διακινούνταν ανοιχτά σε μέρη όπως το Facebook, τα blogs και το YouTube. Ο στόχος του κακόβουλου λογισμικού είναι να κλέψει πληροφορίες ή να βγάλει χρήματα από τις πληροφορίες που συλλέγονται ή παραδίδονται. Το κακόβουλο λογισμικό μετατρέπει τις συσκευές σε proxies τα οποία χρησιμοποιούνται για την κλοπή και την πώληση μηνυμάτων SMS, την κατάληψη λογαριασμών κοινωνικής δικτύωσης και διαδικτυακών μηνυμάτων και χρησιμοποιούνται ως ευκαιρίες κερδοφορίας μέσω διαφημίσεων και απάτης με κλικ.

Ένας τύπος πρόσθετου, τα proxy plugins, επιτρέπουν στον εγκληματία να νοικιάζει συσκευές για έως και περίπου πέντε λεπτά κάθε φορά. Για παράδειγμα, όσοι νοικιάζουν τον έλεγχο της συσκευής θα μπορούσαν να αποκτήσουν δεδομένα σχετικά με τις πληκτρολογήσεις, τη γεωγραφική θέση, τη διεύθυνση IP και πολλά άλλα. "Ο χρήστης του proxy θα μπορεί να χρησιμοποιήσει το τηλέφωνο κάποιου άλλου για μια περίοδο 1200 δευτερολέπτων ως κόμβο εξόδου", δήλωσε ο Yarochkin. Είπε επίσης ότι η ομάδα βρήκε ένα πρόσθετο cookie του Facebook που χρησιμοποιήθηκε για τη συλλογή δραστηριότητας από την εφαρμογή του Facebook.

Μέσω των δεδομένων τηλεμετρίας, οι ερευνητές εκτίμησαν ότι υπάρχουν τουλάχιστον εκατομμύρια μολυσμένες συσκευές σε παγκόσμιο επίπεδο, αλλά έχουν συγκεντρωθεί στη Νοτιοανατολική Ασία και την Ανατολική Ευρώπη. Μια στατιστική που αυτοαναφέρθηκε από τους ίδιους τους εγκληματίες, δήλωσαν οι ερευνητές, ήταν περίπου 8,9 εκατομμύρια. Όσον αφορά το από πού προέρχονται οι απειλές, το δίδυμο δεν θα έλεγε συγκεκριμένα, αν και η λέξη "Κίνα" εμφανίστηκε πολλές φορές στην παρουσίαση, συμπεριλαμβανομένης μιας ιστορίας που σχετίζεται με την ανάπτυξη του ύποπτου firmware. Ο Yarochkin δήλωσε ότι το ακροατήριο θα πρέπει να αναλογιστεί πού βρίσκονται οι περισσότεροι κατασκευαστές ΟΕΜ στον κόσμο και να βγάλει τα δικά του συμπεράσματα.

Ακόμα κι αν πιθανόν να γνωρίζουμε τους ανθρώπους που δημιουργούν την υποδομή για αυτή την επιχείρηση, είναι δύσκολο να εντοπίσουμε πώς ακριβώς η μόλυνση αυτή τοποθετείται σε αυτό το κινητό τηλέφωνο, επειδή δεν γνωρίζουμε με βεβαιότητα ποια στιγμή μπήκε στην αλυσίδα εφοδιασμού

Η ομάδα επιβεβαίωσε ότι το κακόβουλο λογισμικό εντοπίστηκε στα τηλέφωνα τουλάχιστον 10 προμηθευτών, αλλά ότι πιθανόν να έχουν επηρεαστεί περίπου 40 ακόμη. Για όσους επιδιώκουν να αποφύγουν τα μολυσμένα κινητά τηλέφωνα, θα μπορούσαν να προστατευτούν κάπως με την αγορά υψηλών προδιαγραφών. Δηλαδή, θα βρείτε αυτού του είδους το κακό firmware στο φθηνότερο άκρο του οικοσυστήματος Android, και το να επιμείνετε σε μεγαλύτερες μάρκες είναι μια καλή ιδέα, αν και δεν αποτελεί απαραίτητα εγγύηση ασφάλειας. "Οι μεγάλες μάρκες όπως η Samsung, όπως η Google φρόντισαν σχετικά καλά για την ασφάλεια της εφοδιαστικής τους αλυσίδας, αλλά για τους φορείς απειλών, αυτή εξακολουθεί να είναι μια πολύ προσοδοφόρα αγορά", δήλωσε ο Yarochkin.

Η T-Mobile ανακοίνωσε ότι υπέστη παραβίαση των συστημάτων ασφαλείας, η οποία είχε σαν αποτέλεσμα την έκθεση σε κακόβουλους τρίτους τους κωδικούς PIN λογαριασμών και άλλα δεδομένα πελατών, στη δεύτερη εισβολή στο δίκτυο της εταιρείας φέτος και την ένατη από το 2018. Η παραβίαση αυτή, ξεκίνησε στις 24 Φεβρουαρίου και διήρκεσε έως τις 30 Μαρτίου, επηρέασε 836 πελάτες, σύμφωνα με κοινοποίηση στον ιστότοπο του Γενικού Εισαγγελέα του Μέιν Άαρον Φρέι.

"Οι πληροφορίες που ελήφθησαν για κάθε πελάτη ποικίλλουν, αλλά μπορεί να περιλάμβαναν το πλήρες όνομα, στοιχεία επικοινωνίας, τον αριθμό λογαριασμού και τους σχετικούς αριθμούς τηλεφώνου, τον κωδικό PIN του λογαριασμού T-Mobile, τον αριθμό κοινωνικής ασφάλισης, την κυβερνητική ταυτότητα, την ημερομηνία γέννησης, το οφειλόμενο υπόλοιπο, εσωτερικούς κωδικούς που χρησιμοποιεί η T-Mobile για την εξυπηρέτηση των λογαριασμών των πελατών (για παράδειγμα, κωδικούς τιμολογίου και χαρακτηριστικών) και τον αριθμό των γραμμών", έγραψε η εταιρεία σε επιστολή που απέστειλε στους επηρεαζόμενους πελάτες. Οι κωδικοί PIN των λογαριασμών, τους οποίους οι πελάτες χρησιμοποιούν για να αλλάζουν κάρτες SIM και να εξουσιοδοτούν άλλες σημαντικές αλλαγές στους λογαριασμούς τους, μηδενίστηκαν μόλις η T-Mobile ανακάλυψε την παραβίαση στις 27 Μαρτίου.

Το περιστατικό είναι το δεύτερο hack που πλήττει την T-Mobile φέτος. Είναι το ένατο από το 2018, με βάση την αναφορά του TechCrunch. Τον Ιανουάριο, η T-Mobile δήλωσε ότι "κακόβουλοι παράγοντες" έκαναν κατάχρηση του προγραμματισμού εφαρμογών της με τρόπο που τους επέτρεψε να αποκτήσουν πρόσβαση στα δεδομένα 37 εκατομμυρίων πελατών. Το hack ξεκίνησε στις 25 Νοεμβρίου 2022 και δεν ανακαλύφθηκε από την T-Mobile μέχρι τις 5 Ιανουαρίου, ανέφερε το TechCrunch. Τα δεδομένα που αποκτήθηκαν σε αυτό το περιστατικό περιλάμβαναν ονόματα, διευθύνσεις χρέωσης, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου, ημερομηνίες γέννησης, αριθμούς λογαριασμών της T-Mobile και πληροφορίες όπως ο αριθμός των γραμμών στους λογαριασμούς και τα χαρακτηριστικά του προγράμματος. Από το 2018 έως το 2022, η T-Mobile αποκάλυψε άλλες επτά παραβιάσεις. Στην πιο πρόσφατη από αυτές, που αναφέρθηκε τον Απρίλιο του 2022, μια συμμορία χάκερ που ακούει στο όνομα Lapsus$ απέκτησε πρόσβαση στα εσωτερικά εργαλεία της εταιρείας και, από εκεί, πραγματοποίησε τις λεγόμενες ανταλλαγές SIM, ένα είδος hack που επιτρέπει σε μη εξουσιοδοτημένα άτομα να μεταφέρουν τον αριθμό τηλεφώνου κάποιου στο τηλέφωνο του δράστη της απειλής.

Άλλες παραβιάσεις δεδομένων περιλαμβάνουν μια παραβίαση το 2021 που εξέθεσε δεδομένα που ανήκαν σε 49 εκατομμύρια πελάτες.

Το Google Authenticator αποκτά κρυπτογράφηση από άκρο σε άκρο - τελικά. Αφού ερευνητές ασφαλείας επέκριναν την εταιρεία για τη μη συμπερίληψή της στην ενημέρωση συγχρονισμού λογαριασμών του Authenticator, ο διευθυντής προϊόντων της Google Christiaan Brand απάντησε στο Twitter λέγοντας ότι η εταιρεία έχει "σχέδια να προσφέρει E2EE" στο μέλλον. Πιο συγκεκριμένα δήλωσε ότι "αυτή τη στιγμή, πιστεύουμε ότι το τρέχον προϊόν μας επιτυγχάνει τη σωστή ισορροπία για τους περισσότερους χρήστες και παρέχει σημαντικά πλεονεκτήματα σε σχέση με τη χρήση εκτός σύνδεσης. Ωστόσο, η δυνατότητα χρήσης της εφαρμογής εκτός σύνδεσης θα παραμείνει μια εναλλακτική λύση για όσους προτιμούν να διαχειρίζονται μόνοι τους τη στρατηγική δημιουργίας αντιγράφων ασφαλείας".

Νωρίτερα αυτή την εβδομάδα, το Google Authenticator άρχισε επιτέλους να δίνει στους χρήστες τη δυνατότητα συγχρονισμού των κωδικών ελέγχου ταυτότητας δύο παραγόντων με τους λογαριασμούς τους Google, καθιστώντας πολύ πιο εύκολη την είσοδο σε λογαριασμούς σε νέες συσκευές. Αν και αυτή είναι μια ευπρόσδεκτη αλλαγή, δημιουργεί επίσης κάποιες ανησυχίες για την ασφάλεια, καθώς οι χάκερς που παραβιάζουν το λογαριασμό Google κάποιου θα μπορούσαν ενδεχομένως να αποκτήσουν πρόσβαση σε ένα σωρό άλλους λογαριασμούς ως αποτέλεσμα. Εάν η λειτουργία υποστήριζε το E2EE, οι χάκερ και άλλοι τρίτοι, συμπεριλαμβανομένης της Google, δεν θα μπορούσαν να δουν αυτές τις πληροφορίες.

Οι ερευνητές ασφαλείας Mysk υπογράμμισαν μερικούς από αυτούς τους κινδύνους σε μια ανάρτηση στο Twitter, σημειώνοντας ότι "αν υπάρξει ποτέ παραβίαση δεδομένων ή αν κάποιος αποκτήσει πρόσβαση στο λογαριασμό σας Google, όλα τα μυστικά σας 2FA θα εκτεθούν σε κίνδυνο". Πρόσθεσαν ότι η Google θα μπορούσε δυνητικά να χρησιμοποιήσει τις πληροφορίες που συνδέονται με τους λογαριασμούς σας για να προβάλλει εξατομικευμένες διαφημίσεις και συμβούλευσαν επίσης τους χρήστες να μην χρησιμοποιούν τη λειτουργία συγχρονισμού μέχρι να υποστηριχθεί το E2EE.

Η Brand αντέδρασε στην κριτική, δηλώνοντας ότι ενώ η Google κρυπτογραφεί "τα δεδομένα κατά τη μεταφορά και σε κατάσταση ηρεμίας, σε όλα τα προϊόντα μας, συμπεριλαμβανομένου του Google Authenticator", η εφαρμογή του E2EE έρχεται με το "κόστος που επιτρέπει στους χρήστες να αποκλείονται από τα δικά τους δεδομένα χωρίς ανάκτηση". Ωστόσο, δεν υπάρχει ακόμη χρονοδιάγραμμα για το πότε η Google θα φέρει πραγματικά το E2EE στη νέα λειτουργία συγχρονισμού λογαριασμών του Authenticator, αφήνοντας στους χρήστες την επιλογή να χρησιμοποιούν τη λειτουργία χωρίς E2EE ή απλά να συνεχίσουν να χρησιμοποιούν το Google Authenticator εκτός σύνδεσης.

Ένα νέο εργαλείο ελέγχου ταυτότητας δύο παραγόντων (2FA) από την Google δεν είναι κρυπτογραφημένο από άκρο σε άκρο, γεγονός που θα μπορούσε να εκθέσει τους χρήστες σε σημαντικούς κινδύνους ασφαλείας, όπως διαπιστώθηκε σε δοκιμή από ερευνητές ασφαλείας. Η εφαρμογή Authenticator της Google παρέχει μοναδικούς κωδικούς τους οποίους μπορεί να ζητούν οι συνδέσεις σε ιστότοπους ως ένα δεύτερο επίπεδο ασφάλειας πάνω από τους κωδικούς πρόσβασης. Τη Δευτέρα, η Google ανακοίνωσε ένα πολυαναμενόμενο χαρακτηριστικό, το οποίο σας επιτρέπει να συγχρονίσετε το Authenticator με έναν λογαριασμό Google και να το χρησιμοποιείτε σε πολλές συσκευές. Αυτά είναι σπουδαία νέα, επειδή στο παρελθόν, θα μπορούσατε να καταλήξετε να κλειδώσετε τον λογαριασμό σας αν χάνατε το τηλέφωνο με εγκατεστημένη την εφαρμογή ελέγχου ταυτότητας.

Όταν όμως οι προγραμματιστές της εφαρμογής και οι ερευνητές ασφαλείας της εταιρείας λογισμικού Mysk έλεγξαν την εφαρμογή, διαπίστωσαν ότι τα υποκείμενα δεδομένα δεν είναι κρυπτογραφημένα από άκρο σε άκρο. "Δοκιμάσαμε τη λειτουργία αμέσως μόλις η Google την κυκλοφόρησε. Συνειδητοποιήσαμε ότι η εφαρμογή δεν ζητούσε ή δεν προσέφερε επιλογή για τη χρήση μιας φράσης πρόσβασης (passphrase) για την προστασία των μυστικών", έγραψε η εταιρεία στο Twitter. "Αναλύσαμε την κυκλοφορία του δικτύου όταν η εφαρμογή συγχρονίζει τα "μυστικά" και αποδεικνύεται ότι η κυκλοφορία δεν είναι κρυπτογραφημένη από άκρο σε άκρο", πρόσθεσε η εταιρεία. "Όπως φαίνεται στα στιγμιότυπα οθόνης, αυτό σημαίνει ότι η Google μπορεί να δει τα μυστικά, πιθανότατα ακόμη και ενώ είναι αποθηκευμένα στους διακομιστές της". Στην κοινότητα της ασφάλειας, "μυστικά" είναι ο όρος για τα διαπιστευτήρια που λειτουργούν ως κλειδί για το ξεκλείδωμα ενός λογαριασμού ή ενός εργαλείου.

Μπορείτε να χρησιμοποιήσετε το Google Authenticator χωρίς να το συνδέσετε με το λογαριασμό σας στο Google ή να το συγχρονίσετε σε όλες τις συσκευές, γεγονός που αποφεύγει την έκθεσή σας σε αυτό το ζήτημα. Δυστυχώς, αυτό σημαίνει ότι ίσως είναι καλύτερο να αποφύγετε μια χρήσιμη λειτουργία για την οποία οι χρήστες ζητούσαν εδώ και χρόνια. "Το συμπέρασμα: αν και ο συγχρονισμός των μυστικών 2FA σε όλες τις συσκευές είναι βολικός, γίνεται εις βάρος της ιδιωτικής σας ζωής", δήλωσε η εταιρεία. "Συνιστούμε να χρησιμοποιείτε την εφαρμογή χωρίς τη νέα λειτουργία συγχρονισμού προς το παρόν". Η Google δεν απάντησε αμέσως σε αίτημα για σχολιασμό.

Οι δοκιμές διαπίστωσαν ότι η μη κρυπτογραφημένη κίνηση περιέχει έναν "σπόρο" (seed) ο οποίος χρησιμοποιείται για την αρχικοποίηση μιας γεννήτριας ψευδοτυχαίων αριθμών για τη δημιουργία των κωδικών ελέγχου ταυτότητας δύο παραγόντων. Σύμφωνα με τον Tommy Mysk, έναν από τους ερευνητές που αποκάλυψαν το πρόβλημα, οποιοσδήποτε με πρόσβαση σε αυτόν τον "σπόρο" μπορεί να δημιουργήσει τους δικούς του κωδικούς για τους λογαριασμούς σας και να εισέλθει. "Εάν οι διακομιστές της Google παραβιάζονταν, τα μυστικά θα διαρρέονταν", δήλωσε εκπρόσωπος της εταιρίας Mysk στο Gimodo. Προσθέτοντας προσβολή στο τραύμα, οι κωδικοί QR που εμπλέκονται με τη ρύθμιση του ελέγχου ταυτότητας δύο παραγόντων περιέχουν επίσης το όνομα του λογαριασμού ή της υπηρεσίας (Amazon ή Twitter, για παράδειγμα). "Ο επιτιθέμενος μπορεί επίσης να γνωρίζει ποιους λογαριασμούς έχετε. Αυτό είναι ιδιαίτερα επικίνδυνο αν είστε ακτιβιστής και διαχειρίζεστε άλλους λογαριασμούς Twitter ανώνυμα".

Αλλά δεν είναι μόνο οι εγκληματίες του κυβερνοχώρου για τους οποίους πρέπει να ανησυχείτε. "Η Google ή το προσωπικό της Google μπορεί να έχει πρόσβαση σε αυτά τα δεδομένα", δήλωσε η εταιρία Mysk.

Η έλλειψη κρυπτογράφησης σημαίνει ότι η Google θα μπορούσε θεωρητικά να εξετάσει τα δεδομένα και να μάθει ποιες εφαρμογές και υπηρεσίες χρησιμοποιείτε, κάτι που μπορεί να είναι πολύτιμο για διάφορους σκοπούς, συμπεριλαμβανομένων των στοχευμένων διαφημίσεων. Σύμφωνα με την Mysk, "το να επιτρέπεται σε έναν τεχνολογικό γίγαντα που διψάει για δεδομένα όπως η Google να δημιουργήσει ένα γράφημα όλων των λογαριασμών και των υπηρεσιών που έχει κάθε χρήστης δεν είναι καλό πράγμα".

Το θέμα αποτελεί έκπληξη, δεδομένης της ιστορίας της Google με παρόμοια εργαλεία. Η Google διαθέτει μια αμυδρά παρόμοια λειτουργία που σας επιτρέπει να συγχρονίζετε δεδομένα από το Google Chrome σε όλες τις συσκευές. Εκεί, η εταιρεία δίνει στους χρήστες τη δυνατότητα να ορίσουν έναν κωδικό πρόσβασης για την προστασία αυτών των δεδομένων, κρατώντας τα μακριά από τα αδιάκριτα μάτια της Google και προστατεύοντάς τα από οποιονδήποτε άλλον μπορεί να τα υποκλέψει. Σύμφωνα με την Mysk, "τα μυστικά 2FA θεωρούνται ευαίσθητα δεδομένα, όπως ακριβώς και οι κωδικοί πρόσβασης. Η Google υποστηρίζει ήδη φράσεις πρόσβασης για τον συγχρονισμό δεδομένων του Chrome. Έτσι, περιμέναμε ότι τα μυστικά 2FA θα αντιμετωπίζονταν με τον ίδιο τρόπο". Μέχρι στιγμής, η Google δεν έχει ανακοινώσει σχέδια για την προσθήκη προστασίας με κωδικό πρόσβασης στη λειτουργία συγχρονισμού Authenticator.

Νωρίτερα αυτή την εβδομάδα, η Google κυκλοφόρησε μια επείγουσα ενημερωμένη έκδοση ασφαλείας για το πρόγραμμα περιήγησης Chrome λόγω μιας ευπάθειας που χρησιμοποιείται ενεργά αυτή τη στιγμή. Αναρτήθηκε σε ένα δελτίο την Παρασκευή, η Google ενημέρωσε για το CVE-2023-2033, το οποίο αναφέρθηκε από τον Clément Lecigne της ομάδας ανάλυσης απειλών (TAG) της ίδιας της Google. Αυτή η ευπάθεια είναι ένα σφάλμα "σύγχυσης τύπων" (type confusion) στη μηχανή JavaScript για τα προγράμματα περιήγησης Chromium που χρησιμοποιούν τη μηχανή V8 Javascript. Εν συντομία, το type confusion, είναι ένα σφάλμα που επιτρέπει την πρόσβαση στη μνήμη με λάθος τύπο, επιτρέποντας την ανάγνωση ή εγγραφή μνήμης εκτός ορίων. Η σελίδα του CVE αναφέρει ότι ένας επιτιθέμενος θα μπορούσε να δημιουργήσει μια σελίδα HTML που επιτρέπει την εκμετάλλευση της "καταστροφής σωρού" (heap corruption). Παρόλο που δεν υπάρχει ακόμη βαθμολογία CVSS (Common Vulnerability Scoring System) που να συνδέεται με την ευπάθεια, η Google το παρακολουθεί ως ζήτημα "υψηλής" σοβαρότητας. Αυτό πιθανότατα οφείλεται εν μέρει στο γεγονός ότι "η Google γνωρίζει ότι ένα exploit για το CVE-2023-2033 είναι ενεργό αυτή τη στιγμή".

Πέρα από αυτή την ευπάθεια, πολλά άλλα ανώνυμα ζητήματα διορθώθηκαν με αυτή την ενημέρωση, οπότε θα ήταν συνετό να ενημερώσετε την έκδοση v112.0.5615.121. Αυτό θα γίνει γενικά αυτόματα, αλλά οι χρήστες μπορούν επίσης να το ελέγξουν μόνοι τους για να διασφαλίσουν ότι είναι προστατευμένοι. Κάποιος μπορεί να ελέγξει για ενημερώσεις κάνοντας κλικ στο μενού με τις τρεις τελείες στο Chrome στην επάνω δεξιά γωνία, κάνοντας κλικ στο "Βοήθεια" και στη συνέχεια στο "Σχετικά με το Chrome".

Φυσικά, όλοι θα πρέπει να αναζητούν ενημερώσεις και να επιδιορθώνουν το λογισμικό τους το συντομότερο δυνατό, αλλά αυτή είναι μια ειδική περίπτωση. Με την ενεργή εκμετάλλευση μιας ευπάθειας, οι χρήστες του Chrome θα πρέπει να ελέγξουν για ενημέρωση τώρα για να διατηρήσουν τα δεδομένα και τον υπολογιστή τους ασφαλή πριν είναι αργά.

Οι χάκερς που παραβίασαν την Western Digital, ισχυρίζονται ότι έκλεψαν περίπου 10 terabytes δεδομένων από την εταιρεία, συμπεριλαμβανομένων πλήθους πληροφοριών πελατών. Οι εκβιαστές πιέζουν την εταιρεία να διαπραγματευτεί λύτρα ύψους - "τουλάχιστον 8 ψηφίων" - με αντάλλαγμα να μην δημοσιευθούν τα κλεμμένα δεδομένα.

Στις 3 Απριλίου, η Western Digital αποκάλυψε "ένα περιστατικό ασφάλειας δικτύου" λέγοντας ότι χάκερς είχαν διαρρεύσει δεδομένα μετά από παραβίαση "ορισμένων συστημάτων της εταιρείας". Εκείνη την εποχή, η Western Digital παρείχε λίγες λεπτομέρειες σχετικά με το ποια ακριβώς δεδομένα έκλεψαν οι χάκερς, λέγοντας σε δήλωσή της ότι οι χάκερς "απέκτησαν ορισμένα δεδομένα από τα συστήματά της και [η Western Digital] εργάζεται για να κατανοήσει τη φύση και το εύρος αυτών των δεδομένων". Ένας από τους χάκερ μίλησε με το TechCrunch και έδωσε περισσότερες λεπτομέρειες, με στόχο να επαληθεύσει τους ισχυρισμούς τους. Ο χάκερ μοιράστηκε ένα αρχείο που ήταν ψηφιακά υπογεγραμμένο με το πιστοποιητικό υπογραφής της Western Digital, δείχνοντας ότι μπορούσαν πλέον να υπογράψουν ψηφιακά αρχεία για να υποδυθούν τη Western Digital. Δύο ερευνητές ασφαλείας εξέτασαν επίσης το αρχείο και συμφώνησαν ότι είναι υπογεγραμμένο με το πιστοποιητικό της εταιρείας.

Οι χάκερς μοιράστηκαν επίσης αριθμούς τηλεφώνου που φέρονται να ανήκουν σε διάφορα στελέχη της εταιρείας. Το TechCrunch κάλεσε τους αριθμούς. Οι περισσότερες κλήσεις χτύπησαν αλλά πήγαν σε αυτοματοποιημένα μηνύματα φωνητικού ταχυδρομείου. Δύο από τους τηλεφωνικούς αριθμούς είχαν χαιρετισμούς στον τηλεφωνητή που ανέφεραν τα ονόματα των στελεχών που οι χάκερ ισχυρίστηκαν ότι συνδέονταν με τους αριθμούς. Οι δύο τηλεφωνικοί αριθμοί δεν είναι δημόσιοι. Τα στιγμιότυπα οθόνης που μοιράστηκε ο χάκερ δείχνουν έναν φάκελο από έναν λογαριασμό Box που προφανώς ανήκει στη Western Digital, ένα εσωτερικό μήνυμα ηλεκτρονικού ταχυδρομείου, αρχεία που είναι αποθηκευμένα σε PrivateArk instance (ένα προϊόν κυβερνοασφάλειας) και ένα στιγμιότυπο οθόνης από μια ομαδική κλήση όπου ένας από τους συμμετέχοντες αναγνωρίζεται ως ο υπεύθυνος ασφάλειας πληροφοριών της Western Digital. Είπαν επίσης ότι μπόρεσαν να κλέψουν δεδομένα από το SAP Backoffice της εταιρείας, ένα back-end interface που βοηθά τις εταιρείες να διαχειρίζονται δεδομένα ηλεκτρονικού εμπορίου. Ο χάκερ δήλωσε ότι ο στόχος τους όταν παραβίασαν τη Western Digital ήταν να βγάλουν χρήματα, αν και αποφάσισαν να μην χρησιμοποιήσουν ransomware για να κρυπτογραφήσουν τα αρχεία της εταιρείας. "Θέλω να τους δώσω την ευκαιρία να πληρώσουν, αλλά ενώ τους έχουμε καλέσει αρκετές φορές, δεν απαντούν και αν απαντήσουν ακούνε και κλείνουν το τηλέφωνο", δήλωσε ο χάκερ.

Ο χάκερ είπε ότι έχουν επίσης στείλει email σε διάφορα στελέχη - χρησιμοποιώντας τις προσωπικές τους διευθύνσεις ηλεκτρονικού ταχυδρομείου επειδή το εταιρικό σύστημα ηλεκτρονικού ταχυδρομείου είναι προς το παρόν εκτός λειτουργίας - απαιτώντας μια "εφάπαξ πληρωμή". "Είμαστε αυτοί που παραβίασαν την εταιρεία σας. Ίσως χρειάζεται η προσοχή σας!", έγραψαν οι χάκερς, σύμφωνα με αντίγραφο του email που μοιράστηκαν οι χάκερς με το TechCrunch. "Συνεχίστε να ακολουθείτε αυτόν τον δρόμο και θα σας εκδικηθούμε. Χρειαζόμαστε μόνο μια εφάπαξ πληρωμή και μετά θα φύγουμε από το δίκτυό σας και θα σας ενημερώσουμε για τις αδυναμίες σας. Δεν έχει γίνει καμία μόνιμη ζημιά. Αλλά αν υπάρξουν προσπάθειες να παρέμβετε σε εμάς, στα συστήματά μας ή σε οτιδήποτε άλλο. Θα αντεπιτεθούμε", συνέχισαν. "Είμαστε ακόμα θαμμένοι στο δίκτυό σας και θα συνεχίσουμε να σκάβουμε εκεί μέχρι να βρούμε μια πληρωμή από εσάς. Μπορούμε να το αποκρύψουμε πλήρως και να το κάνουμε να εξαφανιστεί. Πριν είναι πολύ αργά, ας το κάνουμε αυτό. Μέχρι τώρα ήσασταν ευγενικοί- ας ελπίσουμε ότι δεν θα συνεχίσετε να ακολουθείτε τον λάθος δρόμο. Κόψτε τις βλακείες, πάρτε τα χρήματα και ας τραβήξουμε και οι δύο χωριστούς δρόμους. Με απλά λόγια, ας αφήσουμε στην άκρη τους εγωισμούς μας και ας εργαστούμε για να βρούμε μια λύση σε αυτό το χαοτικό σενάριο".

Ο εκπρόσωπος της Western Digital, Τσάρλι Σμόλινγκ, δήλωσε ότι η εταιρεία αρνήθηκε να σχολιάσει ή να απαντήσει σε ερωτήσεις σχετικά με τους ισχυρισμούς των χάκερ, όπως αν η εταιρεία μπορεί να επιβεβαιώσει το ποσό των δεδομένων που εκλάπησαν, αν αυτά περιλαμβάνουν δεδομένα πελατών και αν η εταιρεία είχε έρθει σε επαφή με τους χάκερ. Ο χάκερ που μίλησε στο TechCrunch αρνήθηκε να διευκρινίσει τι είδους δεδομένα πελατών έχουν, πώς εισέβαλαν αρχικά στο δίκτυο της Western Digital και πώς διατήρησαν την πρόσβαση στο δίκτυο της εταιρείας. "Μπορώ να πω ότι εκμεταλλευτήκαμε τρωτά σημεία στην υποδομή τους και φτάσαμε στον παγκόσμιο διαχειριστή του Tenant [Microsoft] Azure", δήλωσε ο χάκερ.

Όσο για το γιατί χάκαραν τη Western Digital, ο χάκερ δήλωσε ότι απλά βρίσκουν στόχους "τυχαία". Αρνήθηκαν επίσης να πουν κάτι για τους ίδιους ή την ομάδα, λέγοντας ότι δεν έχουν κάποιο όνομα. Αν η Western Digital δεν τους απαντήσει, είπε ο χάκερ, είναι έτοιμοι να αρχίσουν να δημοσιεύουν τα κλεμμένα δεδομένα στον ιστότοπο της συμμορίας ransomware Alphv. Ο χάκερ δήλωσε ότι δεν έχουν άμεση σχέση με την Alphv, αλλά "τους γνωρίζω ως επαγγελματίες".

Μια ισραηλινή εταιρεία παρακολούθησης βρέθηκε να μολύνει iPhones με spyware, πιθανώς εκμεταλλευόμενη το σύστημα πρόσκλησης ημερολογίου iCloud της Apple. Τα ευρήματα προέρχονται από τη Microsoft και την ομάδα παρακολούθησης Citizen Lab, η οποία διερεύνησε δείγματα spyware που φέρεται να προέρχονται από την ισραηλινή QuaDream. Το spyware, με την ονομασία "EndofDays", χρησιμοποιήθηκε το 2021 και αξιοποίησε μια εκμετάλλευση "zero-click" - το οποίο πρόκειται για μια επίθεση που μπορεί να καταλάβει ένα iPhone χωρίς να απαιτεί από τον χρήστη να κάνει κλικ σε οτιδήποτε. Μόλις μολυνθεί, το EndofDays μπορεί να καταγράφει ήχο από τηλεφωνικές κλήσεις, να τραβάει κρυφά φωτογραφίες και να ψάχνει στη συσκευή για αρχεία, μεταξύ άλλων δυνατοτήτων, συμπεριλαμβανομένης μιας λειτουργίας αυτοκαταστροφής που μπορεί να σβήσει τα ίχνη του spyware. Οι ικανότητες αυτοκαταστροφής καθιστούν δύσκολη την κατανόηση του πλήρους εύρους της επίθεσης. Αλλά στην έκθεσή της, η Citizen Lab αποκάλυψε στοιχεία που αποδεικνύουν ότι το QuaDream πιθανότατα χρησιμοποιούσε "αόρατες προσκλήσεις ημερολογίου iCloud που αποστέλλονται από τον χειριστή του spyware, στα θύματα" προκειμένου να πραγματοποιήσει την επίθεση. Τα ίδια τα δείγματα spyware περιέχουν τη δυνατότητα διαγραφής συμβάντων από το ημερολόγιο του iOS που σχετίζονται με μια συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου. Η Citizen Lab εξέτασε επίσης τα iPhones που ανήκαν σε δύο θύματα του spyware, τα οποία έδειξαν ίχνη αλλοίωσης μέσω των αρχείων ICS.

"Υποψιαζόμαστε ότι η χρήση από τον επιτιθέμενο των ετικετών CDATA που κλείνουν και ανοίγουν στο .ics θα μπορούσε ενδεχομένως να διευκολύνει τη συμπερίληψη πρόσθετων δεδομένων XML που θα επεξεργάζονταν από το τηλέφωνο του χρήστη, προκειμένου να ενεργοποιηθεί κάποια συμπεριφορά που επιθυμεί ο επιτιθέμενος", δήλωσε η Citizen Lab. Ως εκ τούτου, είναι πιθανό το spyware να έφτασε μέσω των emails που μεταφέρουν τις κακόβουλες προσκλήσεις ημερολογίου. Ο ερευνητής της Citizen Lab, Bill Marczak, σημειώνει επίσης ότι οι κακόβουλες προσκλήσεις ημερολογίου αφορούσαν γεγονότα που είχαν καταγραφεί στο παρελθόν, γεγονός που εμπόδισε το iCloud να ειδοποιεί αυτόματα τους χρήστες για τις προσκλήσεις. Ωστόσο, οι ερευνητές δεν μπόρεσαν να ανακτήσουν δεδομένα XML από τα αρχεία ICS. 

Η έκθεση της Citizen Lab συνεχίζει λέγοντας ότι το EndofDays μόλυνε τουλάχιστον πέντε θύματα, συμπεριλαμβανομένων δημοσιογράφων, στελεχών της πολιτικής αντιπολίτευσης και ενός εργαζόμενου σε ΜΚΟ. Τα θύματα βρίσκονταν στη Βόρεια Αμερική, την Κεντρική Ασία, τη Νοτιοανατολική Ασία, την Ευρώπη και τη Μέση Ανατολή.  Παρόλο που η Apple φαίνεται να έχει επιδιορθώσει το exploit του spyware το 2021 μέσω διαφόρων ενημερώσεων λογισμικού, η Microsoft αναφέρει ότι είναι "πολύ πιθανό" η QuaDream να έχει αναβαθμίσει την τακτική της για να καταλάβει iPhones στις τελευταίες εκδόσεις του iOS.  

Η QuaDream διατηρεί μια σκιώδη παρουσία- η εταιρεία δεν έχει δημόσιο ιστότοπο ή λογαριασμούς στα μέσα κοινωνικής δικτύωσης. Αλλά σύμφωνα με το Reuters, η QuaDream έχει πουλήσει τις τεχνολογίες κατασκοπευτικού λογισμικού της σε πελάτες των υπηρεσιών επιβολής του νόμου στο Μεξικό, τη Σαουδική Αραβία και τη Σιγκαπούρη. Το Citizen Lab δημοσίευσε επίσης στοιχεία που δείχνουν ότι η QuaDream διατηρεί διακομιστές σε 10 χώρες για την εκροή δεδομένων από συσκευές που έχουν μολυνθεί με το spyware της εταιρείας, συμπεριλαμβανομένης της Τσεχικής Δημοκρατίας, του Μεξικού, της Ρουμανίας, της Γκάνας και των Ηνωμένων Αραβικών Εμιράτων. 

"Τελικά, αυτή η έκθεση είναι μια υπενθύμιση ότι η βιομηχανία spyware επί πληρωμή είναι μεγαλύτερη από οποιαδήποτε εταιρεία και ότι απαιτείται συνεχής επαγρύπνηση τόσο από τους ερευνητές όσο και από τους δυνητικούς στόχους", πρόσθεσε η Citizen Lab.  Ένας εκπρόσωπος της Apple δήλωσε στο PCMag ότι δεν υπάρχουν αποδείξεις ότι το exploit από την QuaDream χρησιμοποιήθηκε μετά την διάθεση του iOS 14.4.2 τον Μάρτιο του 2021. Η εταιρεία έχει επίσης αναπτύξει ένα προαιρετικό νέο "Lockdown Mode", το οποίο μπορεί να εμποδίσει τις προσπάθειες hacking από επαγγελματικές εταιρείες spyware.

Ο κατασκευαστής υλικού παιχνιδιών MSI επιβεβαίωσε σήμερα ότι έπεσε θύμα κυβερνοεπίθεσης. Σε μια σύντομη δήλωση στον ιστότοπό της, η εταιρεία ανέφερε ότι η επίθεση έπληξε "μέρος των πληροφοριακών της συστημάτων", τα οποία έκτοτε έχουν επιστρέψει σε κανονική λειτουργία.

Η εταιρεία συμβουλεύει τους πελάτες της να λαμβάνουν ενημερώσεις BIOS και firmware μόνο από την ιστοσελίδα της MSI και όχι από άλλες πηγές. Δεν δίνει πολλές λεπτομέρειες, λέγοντας ότι μετά την "ανίχνευση ανωμαλιών στο δίκτυο", η MSI εφάρμοσε "μηχανισμούς άμυνας και πραγματοποίησε μέτρα ανάκαμψης" και στη συνέχεια ενημέρωσε την κυβέρνηση και τις διωκτικές αρχές.

"Η MSI δεσμεύεται να προστατεύει την ασφάλεια των δεδομένων και την ιδιωτικότητα των καταναλωτών, των εργαζομένων και των συνεργατών και θα συνεχίσει να ενισχύει την αρχιτεκτονική και τη διαχείριση της κυβερνοασφάλειας για να διατηρήσει την επιχειρηματική συνέχεια και την ασφάλεια του δικτύου στο μέλλον", αναφέρεται σε blog ανάρτηση. Η ανάρτηση αυτή, δεν αναφέρει αν τα δεδομένα των πελατών εκλάπησαν ή επηρεάστηκαν. Το Tom's Hardware επικοινώνησε με την MSI, αλλά δεν έλαβε απάντηση επί του θέματος. Επιπλέον, τα μηνύματα ηλεκτρονικού ταχυδρομείου προς τις επίσημες διευθύνσεις εκπροσώπων που παρατίθενται στον ιστότοπο της εταιρείας γύρισαν πίσω.

Τα πρώτα σημάδια της κυβερνοεπίθεσης εμφανίστηκαν χθες σε μια έκθεση από το BleepingComputer, η οποία έδειξε ότι μια ομάδα ransomware με την ονομασία Money Message είχε ισχυριστεί ότι είχε κλέψει τον πηγαίο κώδικα, ένα "πλαίσιο για την ανάπτυξη bios [sic]" και ιδιωτικά κλειδιά. Επιπλέον, ο ιστότοπος είδε συνομιλίες που έδειχναν ότι η ομάδα ισχυριζόταν ότι είχε κλέψει 1,5TB δεδομένων και ζητούσε την καταβολή λύτρων άνω των τεσσάρων εκατομμυρίων δολαρίων. Δεν είναι σαφές αν αυτά σχετίζονται ή αν η MSI πλήρωσε λύτρα. Αυτός δεν είναι ο πρώτος κατασκευαστής υλικού που βλέπει αυτού του είδους την επίθεση. Μόλις τον περασμένο μήνα, ένας χάκερ έκλεψε 160GB δεδομένων από την Acer από έναν διακομιστή εγγράφων που προοριζόταν για τεχνικούς επισκευών. (Στην Acer κλάπηκαν επίσης 60GB δεδομένων τον Οκτώβριο του 2021).

Τα τελευταία χρόνια, έχουμε δει την Quanta, τη Nvidia και άλλους μεγάλους κατασκευαστές υλικού να διερευνούν πιθανές κυβερνοεπιθέσεις. Είναι σαφές ότι η επιθυμία κακόβουλων χρηστών να αποκτήσουν πρόσβαση σε δεδομένα από μεγάλους προμηθευτές υλικού, τα οποία στη συνέχεια θα μπορούσαν ενδεχομένως να εξαπλωθούν σε υπολογιστές-πελάτες, δεν πρόκειται να εξαφανιστεί σύντομα.