Ερευνητές πιστεύουν ότι χάκερ με διασυνδέσεις με την κυβέρνηση της Βόρειας Κορέας έχουν προωθήσει μια Trojanized έκδοση του βοηθητικού προγράμματος δικτύωσης PuTTY σε μια προσπάθεια να παρακάμψουν το δίκτυο των οργανισμών που θέλουν να κατασκοπεύσουν.

Ερευνητές από την εταιρεία ασφαλείας Mandiant δήλωσαν την Πέμπτη ότι τουλάχιστον ένας πελάτης της είχε έναν υπάλληλο που εγκατέστησε το ψεύτικο βοηθητικό πρόγραμμα δικτύου κατά λάθος. Το περιστατικό έκανε τον εργοδότη να μολυνθεί με ένα backdoor που παρακολουθείται με το όνομα Airdry.v2. Το αρχείο μεταδόθηκε από μια ομάδα  που η Mandiant παρακολουθεί με τη κωδική ονομασία UNC4034.

«Η Mandiant εντόπισε αρκετές επικαλύψεις μεταξύ του UNC4034 και των ομάδων απειλών που υποπτευόμαστε ότι έχουν σχέση με τη Βόρεια Κορέα», έγραψαν ερευνητές της εταιρείας. "Οι διευθύνσεις URL AIRDRY.V2 C2 ανήκουν σε παραβιασμένη υποδομή ιστοτόπων που χρησιμοποιήθηκε προηγουμένως από αυτές τις ομάδες και αναφέρθηκε σε πολλές πηγές του OSINT."

Οι κακόβουλοι χρήστες παρουσιαζόντουσαν ως άτομα που στρατολογούσαν υπαλλήλους για δουλειά στην Amazon. Έστειλαν στον στόχο ένα μήνυμα μέσω WhatsApp που μετέδιδε ένα αρχείο με το όνομα amazon_assessment.iso. Τα αρχεία ISO χρησιμοποιούνται ολοένα και περισσότερο τους τελευταίους μήνες για να μολύνουν μηχανήματα με Windows, επειδή, από προεπιλογή, το διπλό κλικ σε αυτά προκαλεί την προσάρτησή τους ως εικονική μηχανή. Μεταξύ άλλων, η εικόνα είχε ένα εκτελέσιμο αρχείο με τίτλο PuTTY.exe.

Το PuTTY είναι μια εφαρμογή ασφαλούς κελύφους και telnet ανοιχτού κώδικα. Οι ασφαλείς εκδόσεις του υπογράφονται από τον επίσημο προγραμματιστή. Η έκδοση που στάλθηκε στο μήνυμα WhatsApp δεν ήταν υπογεγραμμένη.

Το εκτελέσιμο αρχείο εγκαθιστά την τελευταία έκδοση του Airdry, μια κερκόπορτα που η κυβέρνηση των ΗΠΑ έχει αποδώσει στην κυβέρνηση της Βόρειας Κορέας. Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ έχει μια περιγραφή εδώ. Η ομάδα αντιμετώπισης έκτακτης ανάγκης της κοινότητας της Ιαπωνίας έχει αυτήν την περιγραφή του backdoor, το οποίο παρακολουθείται επίσης ως BLINDINGCAN.

Η εταιρεία κατασκευής υλικού δικτύου QNAP προτρέπει τους πελάτες να ενημερώσουν αμέσως τις συνδεδεμένες στο δίκτυο συσκευές αποθήκευσης για να τους προστατεύσουν από ένα νέο κύμα συνεχιζόμενων επιθέσεων ransomware που μπορούν να κλειδώσουν και τελικά να καταστρέψουν terabyte δεδομένων.

Η QNAP με έδρα τη Σιγκαπούρη δήλωσε πρόσφατα ότι εντόπισε μια νέα καμπάνια επιθέσεων από μια ομάδα ransomware γνωστή ως DeadBolt. Οι επιθέσεις στοχεύουν σε συσκευές QNAP NAS που χρησιμοποιούν την εφαρμογή Photo Station. Η συμβουλή καθοδηγεί τους πελάτες να ενημερώσουν το firmware τους, υποδεικνύοντας ότι υπάρχει μια ευπάθεια που είναι υπό εκμετάλλευση, αλλά η εταιρεία δεν κάνει ρητή αναφορά σε συγκεκριμένο CVE.

«Για να προστατέψετε το NAS σας από το ransomware DeadBolt, η QNAP συνιστά ανεπιφύλακτα να ασφαλίσετε τις συσκευές και τους δρομολογητές QNAP NAS ακολουθώντας αυτές τις οδηγίες», έγραψαν οι υπεύθυνοι της εταιρείας:

1. Απενεργοποιήστε τη λειτουργία προώθησης θύρας στο δρομολογητή
2. Ρυθμίστε το myQNAPcloud στο NAS για να ενεργοποιήσετε την ασφαλή απομακρυσμένη πρόσβαση και να αποτρέψετε την έκθεση στο Διαδίκτυο
3. Ενημερώστε το υλικολογισμικό NAS στην πιο πρόσφατη έκδοση
4. Ενημερώστε όλες τις εφαρμογές στο NAS στις πιο πρόσφατες εκδόσεις τους
5. Εφαρμόστε ισχυρούς κωδικούς πρόσβασης για όλους τους λογαριασμούς χρηστών στο NAS
6. Τραβήξτε στιγμιότυπα και δημιουργήστε αντίγραφα ασφαλείας τακτικά για την προστασία των δεδομένων σας

Η συμβουλή ισχύει για τις ακόλουθες συσκευές:

• QTS 5.0.1: Photo Station 6.1.2 και νεότερη έκδοση
• QTS 5.0.0/4.5.x: Photo Station 6.0.22 και νεότερη έκδοση
• QTS 4.3.6: Photo Station 5.7.18 και νεότερη έκδοση
• QTS 4.3.3: Photo Station 5.4.15 και νεότερη έκδοση
• QTS 4.2.6: Photo Station 5.2.14 και νεότερη έκδοση

Το DeadBolt εμφανίστηκε για πρώτη φορά τον Ιανουάριο και μέσα σε λίγους μήνες το ransomware είχε μολύνει χιλιάδες συσκευές QNAP, ανέφερε η υπηρεσία σάρωσης ασφάλειας Διαδικτύου Censys. Η εταιρεία έκανε το ασυνήθιστο βήμα να προωθήσει αυτόματα την ενημέρωση σε όλες τις συσκευές, ακόμη και σε εκείνες που είχαν απενεργοποιημένη την αυτόματη ενημέρωση.

Η Google κυκλοφόρησε το Chrome 105.0.5195.102 για χρήστες Windows, Mac και Linux για να αντιμετωπίσει ένα μεμονωμένο κενό ασφαλείας υψηλής σοβαρότητας, το έκτο Chrome zero-day που αξιοποιήθηκε σε επιθέσεις φέτος και έχει διορθωθεί.

"Η Google γνωρίζει τις αναφορές ότι υπάρχει εκμετάλλευση για το CVE-2022-3075", ανέφερε η εταιρεία. Αυτή η νέα έκδοση κυκλοφορεί στο κανάλι Stable Desktop, με την Google να λέει ότι θα φτάσει σε ολόκληρη τη βάση χρηστών μέσα σε λίγες μέρες ή εβδομάδες.

Η έκδοση είναι ήδη διαθέσιμη και μπορείτε να την κατεβάσετε (αν δεν έχει γίνει ήδη αυτόματα) από το μενού του Chrome > Βοήθεια > Σχετικά με το Google Chrome.

Το σφάλμα zero-day που διορθώθηκε σήμερα (CVE-2022-3075) είναι μια ευπάθεια υψηλής σοβαρότητας που προκαλείται από ανεπαρκή επικύρωση δεδομένων στο Mojo, μια συλλογή από runtime βιβλιοθήκες που διευκολύνει τη μετάδοση μηνυμάτων μεταξύ και εντός διεργασιών. Η Google λέει ότι αυτό το ζήτημα ασφαλείας εντοπίστηκε από έναν ερευνητή ασφάλειας που επέλεξε να το αναφέρει ανώνυμα.

Παρόλο που η Google λέει ότι το zero-day έχει εκμεταλλευθεί, δεν έχει ακόμη κοινοποιήσει τεχνικές λεπτομέρειες ή πληροφορίες σχετικά με αυτά τα περιστατικά. "Η πρόσβαση σε λεπτομέρειες σφαλμάτων και συνδέσμους μπορεί να παραμείνει περιορισμένη έως ότου η πλειοψηφία των χρηστών ενημερωθεί με μια επιδιόρθωση. Θα διατηρήσουμε επίσης περιορισμούς εάν το σφάλμα υπάρχει σε μια βιβλιοθήκη τρίτου μέρους από την οποία εξαρτώνται παρομοίως άλλα έργα, αλλά δεν έχουν ακόμη επιδιορθωθεί", σημείωσε η εταιρία

Καθυστερώντας την κυκλοφορία περισσότερων πληροφοριών σχετικά με αυτές τις επιθέσεις, η Google πιθανότατα στοχεύει να παρέχει στους χρήστες του Chrome αρκετό χρόνο για να ενημερώσουν και να αποτρέψουν απόπειρες εκμετάλλευσης έως ότου περισσότεροι παράγοντες απειλών δημιουργήσουν τα δικά τους προγράμματα για χρήση σε επιθέσεις.

Η Κίνα θα πραγματοποιήσει μια τρίμηνη επιχείρηση για να καθαρίσει το τοπικό διαδίκτυο από "φήμες και ψευδείς πληροφορίες".

Η Διοίκηση Κυβερνοχώρου της χώρας ανακοίνωσε την περασμένη Παρασκευή το σχέδιο, το οποίο καλεί τις τοπικές εταιρείες τεχνολογίας να βελτιώσουν την ικανότητά τους να εντοπίζουν την πηγή των φημών και των ψεύτικων ειδήσεων και στη συνέχεια να τιμωρούν τους κατόχους λογαριασμών που τα κοινοποιούν με προειδοποιήσεις, απαγορεύσεις και μόνιμες αναστολές.

Εάν μια πλατφόρμα δεν μπορεί να συνεργαστεί, οι αρχές θα της απαγορεύσουν την εγγραφή νέων χρηστών και θα κατονομαστεί δημόσια και θα ντροπιαστεί. Οι τοπικές και περιφερειακές κυβερνήσεις κλήθηκαν να αυξήσουν τις δραστηριότητες παρακολούθησης για να βοηθήσουν την ώθηση και να βελτιώσουν τις προσπάθειές τους να διαψεύσουν πληροφορίες που η κυβέρνηση  κρίνει ακατάλληλες.

Η Κίνα πραγματοποίησε πολλές τέτοιες επιχειρήσεις τα τελευταία χρόνια, με ανάμεικτα αποτελέσματα. Η σημασία αυτού είναι πιθανώς η χρονική στιγμή του: στις 16 Οκτωβρίου το Κομμουνιστικό Κόμμα της Κίνας θα πραγματοποιήσει το 20ο Εθνικό του Συνέδριο, μια εκδήλωση στην οποία ο Κινέζος πρόεδρος Xi Jinping αναμένεται να λάβει μια άνευ προηγουμένου τρίτη πενταετή θητεία ως ηγέτης του έθνους.

Η δράση για την ελαχιστοποίηση των σχολίων στο διαδίκτυο που θα μπορούσαν με οποιονδήποτε τρόπο να αμαυρώσουν τη "λάμψη" του συνεδρίου και τις αποφάσεις που θα λάβει, φαίνεται να είναι ο στόχος αυτής της νέας επιχείρησης. Καθώς η Κίνα απαιτεί ήδη εγγραφή για πολλές διαδικτυακές υπηρεσίες που χρησιμοποιούν επαληθευμένα πραγματικά ονόματα, η ανακοίνωση της επιχείρησης πριν από τις εργασίες του συνεδρίου καταδεικνύει επίσης τους φόβους για την έκφραση διαφορετικών απόψεων.

Μεγάλη αύξηση σημειώθηκε στις επιθέσεις ransomware που στοχεύουν το Linux, καθώς οι εγκληματίες του κυβερνοχώρου προσπαθούν να επεκτείνουν τις επιλογές τους και να εκμεταλλευτούν ένα λειτουργικό σύστημα που συχνά παραβλέπεται όταν οι επιχειρήσεις σχεδιάζουν την ασφάλεια των συστημάτων τους.

Σύμφωνα με ανάλυση ερευνητών κυβερνοασφάλειας της Trend Micro, οι διακομιστές Linux «δέχονται όλο και περισσότερο πυρά» από επιθέσεις ransomware, οι οποίες ήταν αυξημένες κατά 75% κατά τη διάρκεια του περασμένου έτους, καθώς οι επιτιθέμενοι προσπαθούν να επεκτείνουν τις επιθέσεις τους πέρα από τα λειτουργικά συστήματα Windows.

Το Linux αποτελεί σημαντική εταιρική υποδομή πληροφορικής, συμπεριλαμβανομένων διακομιστών, γεγονός που το καθιστά ελκυστικό στόχο για συμμορίες ransomware – ιδιαίτερα όταν η αντίληψη της έλλειψης απειλής για τα συστήματα Linux σε σύγκριση με τα Windows σημαίνει ότι οι ομάδες κυβερνοασφάλειας μπορεί να επιλέξουν να επικεντρωθούν στην υπεράσπιση των δικτύων των Windows από το έγκλημα στον κυβερνοχώρο.

Οι ερευνητές σημειώνουν ότι οι ομάδες ransomware προσαρμόζουν όλο και περισσότερο τις επιθέσεις τους για να επικεντρωθούν ειδικά σε συστήματα Linux. Για την προστασία των συστημάτων Linux από ransomware και άλλες επιθέσεις στον κυβερνοχώρο, συνιστάται να εφαρμόζονται όλες οι ενημερώσεις κώδικα ασφαλείας το συντομότερο δυνατό για να αποτρέψουν τους εγκληματίες του κυβερνοχώρου από το να μπορούν να επωφεληθούν από γνωστά exploits που έχουν διαθέσιμες επιδιορθώσεις. Συνιστάται επίσης ο έλεγχος ταυτότητας πολλαπλών παραγόντων να εφαρμόζεται σε ολόκληρο το οικοσύστημα για να παρέχει ένα πρόσθετο επίπεδο άμυνας έναντι επιθέσεων και να αποτρέπει τους επιτιθέμενους να μπορούν να μετακινούνται στα δίκτυα.

Η Samsung επιβεβαίωσε παραβίαση δεδομένων που επηρεάζει τα προσωπικά στοιχεία των πελατών της. Σε μια σύντομη ενημέρωση, η Samsung ανακοίνωσε ότι ανακάλυψε τη παραβίαση στα τέλη Ιουλίου και ότι "ένα μη εξουσιοδοτημένο τρίτο μέρος απέκτησε πληροφορίες από ορισμένα από τα συστήματα της Samsung στις ΗΠΑ". Η εταιρεία είπε ότι διαπίστωσε ότι τα δεδομένα πελατών είχαν παραβιαστεί στις 4 Αυγούστου.

Η Samsung είπε ότι οι αριθμοί κοινωνικής ασφάλισης και οι αριθμοί πιστωτικών καρτών δεν επηρεάστηκαν, αλλά ελήφθησαν ορισμένα στοιχεία πελατών - όνομα, στοιχεία επικοινωνίας και άλλα στοιχεία όπως η ημερομηνία γέννησης και πληροφορίες εγγραφής προϊόντος.

«Οι πληροφορίες που επηρεάζονται για κάθε σχετικό πελάτη μπορεί να διαφέρουν. Ειδοποιούμε τους πελάτες για να τους ενημερώσουμε για αυτό το θέμα», ανέφερε η δήλωση.

Ο εκπρόσωπος της Samsung, Chris Langlois, είπε στο TechCrunch μέσω email ότι τα δημογραφικά δεδομένα σχετίζονται με πληροφορίες πελατών που χρησιμοποιούνται για μάρκετινγκ και διαφήμιση, αλλά δεν διευκρίνισε ποιους τύπους δεδομένων περιλαμβάνει. Ο Langlois πρόσθεσε ότι τα δεδομένα εγγραφής, που παρέχονται από πελάτες προκειμένου να έχουν πρόσβαση σε πληροφορίες υποστήριξης και εγγύησης, περιλαμβάνουν ημερομηνία αγοράς προϊόντος, μοντέλο και αναγνωριστικό συσκευής.

Ο Langlois αρνήθηκε να πει πόσοι πελάτες επηρεάστηκαν ή γιατί χρειάστηκε η Samsung περισσότερο από ένα μήνα για να ενημερώσει τους πελάτες σχετικά με την παραβίαση, η οποία ανακοινώθηκε πριν λίγες ώρες.

«Παρόλο που η έρευνα βρίσκεται σε εξέλιξη, θέλαμε να ειδοποιήσουμε τους πελάτες μας για να τους ενημερώσουμε για αυτό το θέμα, επειδή κατανοούμε πόσο σημαντικό είναι το απόρρητό τους», είπε ο Langlois.

Η εταιρεία σημείωσε ότι έχει λάβει μέτρα για την ασφάλεια των συστημάτων της και έχει προσλάβει μια εταιρεία κυβερνοασφάλειας.

Αυτή είναι η δεύτερη φορά που η Samsung επιβεβαιώνει παραβίαση δεδομένων φέτος. Τον Μάρτιο, η εταιρεία παραδέχτηκε ότι η ομάδα hacking Lapsus$ - η ίδια ομάδα που διείσδυσε στη Nvidia, τη Microsoft και την T-Mobile - απέκτησε και διέρρευσε σχεδόν 200 gigabyte εμπιστευτικών δεδομένων, συμπεριλαμβανομένου του πηγαίου κώδικα για διάφορες τεχνολογίες και αλγορίθμων για λειτουργίες βιομετρικού ξεκλειδώματος.

Ένα από τα πιο δημοφιλή εργαλεία σε αυτόν τον τομέα είναι η εφαρμογή freemium LastPass. Σήμερα, η εταιρεία ενημέρωσε τους πελάτες ότι το περιβάλλον ανάπτυξής της παραβιάστηκε σε ένα περιστατικό ασφάλειας στον κυβερνοχώρο.

Σε μια ανάρτηση ιστολογίου, ο Διευθύνων Σύμβουλος Karim Toubba δήλωσε ότι ενδείξεις ασυνήθιστης δραστηριότητας στο περιβάλλον ανάπτυξής της εφαρμογής, εντοπίστηκαν πριν από δύο εβδομάδες. Μετά από αυτό, η εταιρεία μπήκε αμέσως σε λειτουργία περιορισμού, ανέπτυξε μέτρα ασφάλειας και συνεργάστηκε με μια εταιρεία κυβερνοασφάλειας ξεκινώντας παράλληλα, μια λεπτομερή έρευνα.

Αν και αυτή η έρευνα βρίσκεται σε εξέλιξη, ο Toubba λέει ότι δεν έχουν εντοπιστεί σημάδια πρόσβασης σε δεδομένα χρηστών ή σε κρυπτογραφημένα vualts χρηστών αυτή τη στιγμή. Μόνο αποσπάσματα του πηγαίου κώδικα και της αποκλειστικής τεχνικής τεκμηρίωσης του LastPass έχουν κλαπεί.

Το LastPass δεν έχει ακόμη αποκαλύψει τις λεπτομέρειες σχετικά με αυτήν την παραβίαση που συνέβη, αλλά προς το παρόν, έχει δηλώσει ότι ένα "μη εξουσιοδοτημένο μέρος" κατάφερε να αποκτήσει πρόσβαση σε τμήματα των περιβαλλόντων ανάπτυξής του, θέτοντας σε κίνδυνο έναν μόνο λογαριασμό προγραμματιστή.

Το USB Rubber Ducky, έχει μια νέα έκδοση, που κυκλοφόρησε για να συμπέσει με το συνέδριο χάκερ Def Con φέτος, σύμφωνα με το "The Verge". Στο ανθρώπινο μάτι, το USB Rubber Ducky μοιάζει με μια ασυνήθιστη μονάδα flash USB. Αν συνδεθεί με έναν υπολογιστή, το βλέπει ως πληκτρολόγιο USB -- πράγμα που σημαίνει ότι δέχεται εντολές πληκτρολογίου από τη συσκευή ακριβώς σαν να τις πληκτρολογούσε κάποιος.

Το αρχικό Rubber Ducky κυκλοφόρησε πριν από 10 χρόνια και έγινε ένα από τα αγαπημένα των των χάκερ (εμφανίστηκε ακόμη και σε μια σκηνή του Mr. Robot). Από τότε έχουν γίνει αρκετές σταδιακές ενημερώσεις, αλλά το νεότερο Rubber Ducky κάνει ένα άλμα προς τα εμπρός με ένα σύνολο νέων χαρακτηριστικών που το καθιστούν πολύ πιο ευέλικτο και ισχυρό από πριν.

Με τη σωστή προσέγγιση, οι δυνατότητες είναι σχεδόν ατελείωτες. Ήδη, οι προηγούμενες εκδόσεις του Rubber Ducky θα μπορούσαν να πραγματοποιήσουν επιθέσεις όπως η δημιουργία ενός πλαστού αναδυόμενου πλαισίου των Windows για τη συλλογή των διαπιστευτηρίων σύνδεσης ενός χρήστη ή η αποστολή του Chrome σε όλους τους αποθηκευμένους κωδικούς πρόσβασης στον διακομιστή ιστού ενός εισβολέα. Αλλά αυτές οι επιθέσεις έπρεπε να κατασκευαστούν προσεκτικά για συγκεκριμένα λειτουργικά συστήματα και εκδόσεις λογισμικού και δεν είχαν την ευελιξία να λειτουργούν σε όλες τις πλατφόρμες. Το νεότερο Rubber Ducky στοχεύει να ξεπεράσει αυτούς τους περιορισμούς.

Η νέα έκδοση κυκλοφορεί με μια σημαντική αναβάθμιση στη γλώσσα προγραμματισμού DuckyScript, η οποία χρησιμοποιείται για τη δημιουργία των εντολών που θα εισάγει το Rubber Ducky σε μια μηχανή-στόχο. Ενώ οι προηγούμενες εκδόσεις περιορίζονταν ως επί το πλείστον στη σύνταξη ακολουθιών πληκτρολόγησης, η DuckyScript 3.0 είναι μια γλώσσα πλούσια σε χαρακτηριστικά, που επιτρέπει στους χρήστες να γράφουν συναρτήσεις, να αποθηκεύουν μεταβλητές και να χρησιμοποιούν στοιχεία ελέγχου ροής λογικής (δηλαδή, αν αυτό... τότε αυτό). Αυτό σημαίνει ότι, για παράδειγμα, το νέο Ducky μπορεί να δοκιμάσει για να δει εάν είναι συνδεδεμένο σε υπολογιστή Windows ή Mac και να εκτελέσει υπό όρους τον κατάλληλο κώδικα για καθένα ή να απενεργοποιήσει τον εαυτό του εάν έχει συνδεθεί σε λάθος στόχο. Μπορεί επίσης να δημιουργήσει ψευδοτυχαίους αριθμούς και να τους χρησιμοποιήσει για να προσθέσει μεταβλητή καθυστέρηση μεταξύ των πλήκτρων για ένα πιο ανθρώπινο αποτέλεσμα. Ίσως το πιο εντυπωσιακό είναι ότι μπορεί να κλέψει δεδομένα από ένα μηχάνημα-στόχο κωδικοποιώντας τα σε δυαδική μορφή και μεταδίδοντάς τα μέσω των σημάτων που προορίζονται να ενημερώσουν ένα πληκτρολόγιο πότε πρέπει να ανάψουν τα LED CapsLock ή NumLock. Με αυτήν τη μέθοδο, ένας εισβολέας θα μπορούσε να το συνδέσει για λίγα δευτερόλεπτα, να πει σε κάποιον: "Συγγνώμη, υποθέτω ότι η μονάδα USB είναι χαλασμένη" και να την πάρει πίσω με όλους τους κωδικούς πρόσβασης αποθηκευμένους.

Παρά το γεγονός ότι προηγουμένως είχε ισχυριστεί ότι η ευπάθεια του DogWalk δεν αποτελούσε ζήτημα ασφαλείας, η Microsoft κυκλοφόρησε τώρα μια ενημέρωση κώδικα για να εμποδίσει τους εισβολείς να εκμεταλλεύονται την ευπάθεια αυτή.  Η ευπάθεια, γνωστή ως CVE-2022-34713 ή DogWalk, επιτρέπει στους εισβολείς να εκμεταλλευτούν μια αδυναμία του Διαγνωστικού Εργαλείου Υποστήριξης των Windows (MSDT). Χρησιμοποιώντας κοινωνική μηχανική ή ηλεκτρονικό ψάρεμα, οι εισβολείς μπορούν να εξαπατήσουν τους χρήστες να επισκεφτούν έναν ψεύτικο ιστότοπο ή να ανοίξουν ένα κακόβουλο έγγραφο ή αρχείο και τελικά να αποκτήσουν την δυνατότητα απομακρυσμένης εκτέλεσης κώδικα στα συστήματα αυτά. Το DogWalk επηρεάζει όλες τις εκδόσεις των Windows που υποστηρίζονται, συμπεριλαμβανομένων των πιο πρόσφατων εκδόσεων, Windows 11 και Windows Server 2022.

Η ευπάθεια αναφέρθηκε για πρώτη φορά τον Ιανουάριο του 2020, αλλά εκείνη την εποχή, η Microsoft είπε ότι δεν θεωρούσε ότι το exploit ήταν ζήτημα ασφάλειας. Αυτή είναι η δεύτερη φορά τους τελευταίους μήνες που η Microsoft αναγκάστηκε να αλλάξει τη θέση της σε ένα γνωστό exploit, έχοντας αρχικά απορρίψει αναφορές ότι ένα άλλο Windows MSDT zero-day, γνωστό ως Follina, αποτελούσε απειλή για την ασφάλεια. Ένα patch για αυτό το exploit κυκλοφόρησε στην ενημέρωση Patch Tuesday του Ιουνίου.

Ο Matt Edmondson, ένας ειδικός στην ψηφιακή εγκληματολογία, κατασκεύασε ένα εργαλείο anti-tracking με υποστήριξη Raspberry Pi που "σαρώνει για κοντινές συσκευές και σας ειδοποιεί εάν το κάποιο τηλέφωνο εντοπιστεί πολλές φορές μέσα στα τελευταία 20 λεπτά", αναφέρει το Wired. Η συσκευή, η οποία μπορεί να μεταφερθεί ή να τοποθετηθεί σε ένα αυτοκίνητο, αποτελείται από εξαρτήματα που κοστίζουν περίπου 200 δολάρια συνολικά. 
Το σύστημα λειτουργεί σαρώνοντας για ασύρματες συσκευές γύρω του και, στη συνέχεια, ελέγχοντας τα αρχεία καταγραφής του για να διαπιστώσει εάν ανιχνεύτηκαν πολλαπλές φορές τα τελευταία 20 λεπτά. Σχεδιάστηκε για να χρησιμοποιείται ενώ οι άνθρωποι βρίσκονται σε κίνηση αντί να κάθονται, ας πούμε, σε μια καφετέρια, όπου θα έπαιρνε πάρα πολλές ψευδείς μετρήσεις. Το εργαλείο anti-tracking, το οποίο μπορεί να τοποθετηθεί μέσα σε μια θήκη μεγέθους κουτιού παπουτσιού, αποτελείται από μερικά εξαρτήματα. Ένα Raspberry Pi 3 εκτελεί το λογισμικό του, μια κάρτα Wi-Fi αναζητά κοντινές συσκευές, μια μικρή αδιάβροχη θήκη την προστατεύει και ένας φορητός φορτιστής τροφοδοτεί το σύστημα. Μια οθόνη αφής εμφανίζει τις ειδοποιήσεις που παράγει η συσκευή. Κάθε ειδοποίηση μπορεί να είναι ένα σημάδι ότι σας παρακολουθούν. Η συσκευή τρέχει το Kismet, ο οποίος είναι ένας ανιχνευτής ασύρματου δικτύου και είναι σε θέση να ανιχνεύει smartphone και tablet γύρω του που αναζητούν συνδέσεις Wi-Fi ή Bluetooth. Τα τηλέφωνα που χρησιμοποιούμε αναζητούν συνεχώς ασύρματα δίκτυα γύρω τους, συμπεριλαμβανομένων δικτύων στα οποία έχουν συνδεθεί στο παρελθόν καθώς και νέων δικτύων.

Ο Edmondson λέει ότι ο Kismet καταγράφει την πρώτη φορά που βλέπει μια συσκευή και μετά την πιο πρόσφατη φορά που ανιχνεύτηκε. Αλλά για να λειτουργήσει το σύστημα κατά της παρακολούθησης, έπρεπε να γράψει κώδικα στην Python για να δημιουργήσει λίστες με αυτά που εντοπίζει ο Kismet με την πάροδο του χρόνου. Υπάρχουν λίστες για συσκευές που εντοπίστηκαν τα τελευταία πέντε έως 10 λεπτά, 10 έως 15 λεπτά και 15 έως 20 λεπτά. Εάν μια συσκευή εμφανιστεί δύο φορές, μια ειδοποίηση αναβοσβήνει στην οθόνη. Το σύστημα μπορεί να εμφανίσει τη διεύθυνση MAC του τηλεφώνου, αν και αυτό δεν είναι πολύ χρήσιμο εάν αυτή τυχαιοποιείται. Μπορεί επίσης να καταγράψει τα ονόματα των δικτύων Wi-Fi που αναζητούν οι συσκευές γύρω του -- ένα τηλέφωνο που προσπαθεί να συνδεθεί σε ένα δίκτυο Wi-Fi που ονομάζεται "FBI Surveillance Van" μπορεί να δώσει κάποιες ενδείξεις για τον ιδιοκτήτη του.

Για να σταματήσει το σύστημα να ανιχνεύει το δικό σας τηλέφωνο ή άλλα άτομα που ταξιδεύουν μαζί σας, έχει μια λίστα "αγνοήσης". Πατώντας ένα από τα κουμπιά στην οθόνη της συσκευής, μπορείτε να "αγνοήσετε όλα όσα έχει ήδη δει". Ο Edmondson λέει ότι στο μέλλον, η συσκευή θα μπορούσε να τροποποιηθεί ώστε να στέλνει μια ειδοποίηση κειμένου αντί να τις εμφανίζει στην οθόνη. Ενδιαφέρεται επίσης να προσθέσει τη δυνατότητα ανίχνευσης συστημάτων παρακολούθησης της πίεσης των ελαστικών που θα μπορούσαν να εμφανίσουν κοντινά οχήματα. Θα μπορούσε επίσης να προστεθεί μια μονάδα GPS, ώστε να μπορείτε να δείτε πού ήσασταν όταν σας παρακολουθούσαν. Ο Edmondson δεν έχει σχέδια να κάνει τη συσκευή εμπορικό προϊόν, αλλά λέει ότι το σχέδιο θα μπορούσε εύκολα να αντιγραφεί και να επαναχρησιμοποιηθεί από οποιονδήποτε έχει κάποιες τεχνικές γνώσεις. Πολλά από τα εμπλεκόμενα εξαρτήματα είναι εύκολο να τα αποκτήσετε ή μπορεί να βρίσκονται στα σπίτια ανθρώπων που ασχολούνται με τη τεχνολογία.
Για όσους ενδιαφέρονται, ο Edmondson διάθεσε ελεύθερα τον κώδικα της εφαρμογής και σχεδιάζει να παρουσιάσει το ερευνητικό έργο στο συνέδριο ασφαλείας Black Hat στο Λας Βέγκας αυτή την εβδομάδα.

Οκτώ μήνες προτού το θέμα μονοπωλήσει την επικαιρότητα, τα πρωτοσέλιδα και τα δελτία ειδήσεων λόγω δύο ηχηρών παραιτήσεων, το inside story ξεκίνησε να φέρνει στο φως της δημοσιότητας πολλαπλές πτυχές της υπόθεσης των παρακολουθήσεων και υποκλοπών, την οποία ξένα ΜΜΕ όπως το Politico χαρακτηρίζουν πλέον «σκάνδαλο». 

Όλα ξεκίνησαν στα μέσα Δεκεμβρίου του 2021, όταν δύο ξεχωριστές έρευνες, η μία από το το εργαστήριο του Πανεπιστημίου του Τορόντο Citizen Lab, που ασχολείται με τις ψηφιακές απειλές κατά των ανθρωπίνων δικαιωμάτων και η άλλη από τη META (facebook), έκαναν λόγο για ένα «νέο» λογισμικό κατασκοπίας ονόματι Predator με πελάτες και στόχους (και) στην Ελλάδα. 

Η είδηση πέρασε σχεδόν απαρατήρητη από τα ελληνικά μέσα μαζικής ενημέρωσης, παρότι είχε ειδικό εγχώριο ενδιαφέρον, με τις δύο εκθέσεις να θεωρούν πιθανό το spyware να έχει αγοραστεί από την κυβέρνηση και να χρησιμοποιείται κατά δημοσιογράφων και πολιτικών. Το inside story άρχισε να ξετυλίγει το νήμα του Predator από τον Ιανουάριο του 2022 και συνεχίζει έως σήμερα με αμείωτη ένταση. 

Το πρώτο μας δημοσίευμα αποκάλυψε την εταιρική δομή που έχει στηθεί στην Ελλάδα για την εμπορία του Predator και τα άτομα πίσω από την εταιρεία. Eντοπίσαμε ακόμα κάτι άκρως ανησυχητικό: για τη μόλυνση κινητών στην Ελλάδα είχαν στηθεί τουλάχιστον 43 πλαστές ιστοσελίδες που θυμίζουν άλλες γνωστές  π.χ. heiiasjournai[.]com, altsantiri[.]news, kathimerini[.]news, efsyn[.]online, ebill[.]cosmote[.]center 

Το Απρίλιο αποκαλύπτουμε την πρώτη επιβεβαιωμένη χρήση του Predator κατά ευρωπαίου πολίτη και δη δημοσιογράφου. Το κινητό του Θανάση Κουκάκη, συναδέλφου που ασχολείται με υποθέσεις διαφθοράς, για τουλάχιστον 10 εβδομάδες είχε μετατραπεί σε έναν «τέλειο κοριό». Η πρώτη αντίδραση της κυβέρνησης ήταν να αρνηθεί οποιαδήποτε ανάμειξη στην υπόθεση και να συμπεράνει (χωρίς να παρουσιάσει στοιχεία) ότι πρόκειται για παρακολούθηση ιδιώτη εναντίον ιδιώτη, παρότι μιλάμε για ένα πανάκριβο λογισμικό αρκετών εκατομμυρίων. Ποσό που, όπως έχει δείξει η διεθνής εμπειρία, μόνο κράτη και κρατικές υπηρεσίες διαθέτουν. 

Λίγες ημέρες μετά την πρώτη αποκάλυψη, δημοσίευμα από τους Reporters United περιπλέκει την κατάσταση για την κυβέρνηση, αφού αποκαλύπτει ότι ο Θανάσης Κουκάκης προτού μολυνθεί με το Predator παρακολουθούνταν νόμιμα (δηλαδή με εντολή εισαγγελέα) από την ΕΥΠ.

Εδώ να κάνουμε μία χρήσιμη διευκρίνιση: μέσω της νόμιμης συνακρόασης –για την οποία πρέπει να ακολουθηθεί μία πολύ συγκεκριμένη νομική διαδικασία– ουσιαστικά γίνεται άρση απορρήτου του στόχου και παρακολουθούνται οι συμβατικές συνομιλίες του και τα μηνύματα που ανταλλάσσει μέσω του δικτύου του παρόχου τηλεπικοινωνίας. Όμως το σύστημα νόμιμης συνακρόασης είναι «τυφλό» όταν η επικοινωνία μεταφέρεται σε «επιφυείς», όπως λέγονται, εφαρμογές, δηλαδή στα γνωστά σε όλους viber, whatsapp, signal κ.λπ. Εκεί μπαίνουν στο παιχνίδι τα λογισμικά κατασκοπίας, που χωρίς να χρειαστεί να σπάσουν την κρυπτογράφηση των εφαρμογών, ακούνε και βλέπουν ό,τι κάνει ο χρήστης στη συσκευή του κινητού του – μπορούν να ανοιγοκλείνουν ακόμη και την κάμερα και το μικρόφωνο. Μία άλλη σημαντική διευκρίνιση είναι ότι η χρήση λογισμικών κατασκοπίας είναι παράνομη στην Ελλάδα. Στην περίπτωση Κουκάκη, μετά τον τερματισμό της νόμιμης παρακολούθησής του από την ΕΥΠ άρχισε η παράνομη με το Predator. 

Ενώ η κυβέρνηση συνεχίζει να αρνείται κατηγορηματικά οποιαδήποτε ανάμειξη και ενώ στο μεταξύ έχει βγει και τρίτη έκθεση για το Predator, από την Google (η οποία επιβεβαίωσε αποκλειστικά στο inside story ότι υπάρχουν και άλλοι που έχουν μολυνθεί στην Ελλάδα),  αποκαλύπτουμε τη γραμμή που συνδέει δια της τεθλασμένης (μέσα από ένα πλέγμα νομικών και φυσικών προσώπων) το ελληνικό Δημόσιο με την εταιρεία Intellexa, η οποία εμπορεύεται το spyware Predator και είναι εγκατεστημένη (και) στην Ελλάδα. Ακολουθεί νέο δημοσίευμα από τους Reporters United (δημοσιεύθηκε ταυτόχρονα στην Εφημερίδα των Συντακτών), που βάζει στο «κάδρο» και τον ανιψιό του πρωθυπουργού και (πρώην) Γενικό Γραμματέα του Μαξίμου. 

Η σκυτάλη περνά ξανά στα χέρια του inside story, που με νέο ρεπορτάζ αποκαλύπτει πως η μυστηριώδης ισραηλινή Intellexa, που συνδέεται με την παραγωγή και χρησιμοποίηση του παράνομου λογισμικού για παρακολουθήσεις στη χώρα μας, δεν είναι μία εταιρεία-φάντασμα στην Ελλάδα, αλλά έχει γραφεία και προσωπικό που εργάζεται λίγα χιλιόμετρα από το κέντρο της Αθήνας και ήρθε στην Ελλάδα με τη βοήθειας σειράς προσώπων. 

Στις 26 Ιουλίου, τρεις μήνες μετά την αποκάλυψη της παρακολούθησης του έλληνα δημοσιογράφου, έρχεται η καταγγελία του προέδρου του ΚΙΝΑΛ-ΠΑΣΟΚ Νίκου Ανδρουλάκη ότι είχε στοχοποιηθεί με το ίδιο λογισμικό κατασκοπίας. Είναι μία απολύτως αναμενόμενη εξέλιξη για εμάς εδώ στo inside story, που τονίζουμε από την πρώτη στιγμή ότι ο Θανάσης Κουκάκης δεν ήταν ο μόνος στόχος αυτού του πανίσχυρου (και πανάκριβου) κακόβουλου λογισμικού. Αν ήταν έτσι, γιατί να στηθούν δεκάδες ιστοσελίδες με σκοπό να μολύνουν κινητά στην Ελλάδα;

Σε μια ατυχή συγκυρία, λίγα 24ωρα προτού γίνει γνωστή η στοχοποίηση Ανδρουλάκη, η Εθνική Αρχή Διαφάνειας εκδίδει το πόρισμά της για την υπόθεση Κουκάκη, στο οποίο δεν αναφέρει κάτι μεμπτό για την κυβέρνηση, όπως τονίζουμε με νέο νέο ρεπορτάζ, ενώ δεν ερευνά κρίσιμες πτυχές της υπόθεσης.

Ακολουθεί ρεπορτάζ των Reporters United (με ταυτόχρονη δημοσίευση στην ΕφΣυν), με νέα στοιχεία για τη σύνδεση Δημητριάδη με πρόσωπα της Intellexa. Την Παρασκευή 5 Αυγούστου η Σόφι ιν 'τ Βελντ, εισηγήτρια της επιτροπής PEGA που συστάθηκε στο Ευρωκοινωβούλιο για να ερευνήσει την χρήση spyware στην Ευρώπη, σε συνέντευξή της στο inside story λέει πως εκτός από Ουγγαρία, Πολωνία και Ισπανία, κατάχρηση spyware γίνεται και στην Ελλάδα και πως δεν μπορεί να μην χρησιμοποιεί το spyware η ελληνική κυβέρνηση, αφού δεν υπάρχει άλλη σοβαρή εναλλακτική. 

Λίγες ώρες μετά παραιτούνται ο Γενικός Γραμματέας του πρωθυπουργού, Γρηγόρης Δημητριάδης, και ο διοικητής της ΕΥΠ Παναγιώτης Κοντολέων, για την υπόθεση των παρακολουθήσεων. Ταυτόχρονα μαθαίνουμε όλοι από κυβερνητικές διαρροές ότι ο πρόεδρος του ΠΑΣΟΚ Νίκος Ανδρουλάκης, όταν ήταν ακόμη ευρωβουλευτής και διεκδικούσε την προεδρία του κόμματος (αλλά και δύο ημέρες αφότου εξελέγη) παρακολουθούνταν νόμιμα από την ΕΥΠ. 

Στον απόηχο των δύο αναπόφευκτων παραιτήσεων και υπό την σκιά της εντολής του εισαγγελέα του Αρείου Πάγου να διερευνηθεί ποιος διέρρευσε εμπιστευτικές πληροφορίες σε ποιον, το ρεπορτάζ του inside story συνεχίζεται με αποφασιστικότητα, μέχρι να φτάσουμε στον πυρήνα του συστήματος των παράνομων παρακολουθήσεων που έχει στηθεί στην Ελλάδα. 

Στο μεταξύ, η υπόθεση των παράνομων παρακολουθήσεων στην Ελλάδα έχει τραβήξει την προσοχή της Ευρώπης, με την επιτροπή PEGA να παρακολουθεί το θέμα πολύ στενά. Σύντομα θα τεθούν ερωτήσεις στην ελληνική κυβέρνηση για το Predator, ενώ υπάρχουν σκέψεις η επιτροπή να επισκεφθεί την Ελλάδα προκειμένου να λάβει απαντήσεις. 

Στη συνεχιζόμενη εκστρατεία της κυβέρνησης των ΗΠΑ για την προστασία των δεδομένων στην εποχή των κβαντικών υπολογιστών, μια νέα και ισχυρή επίθεση που χρησιμοποίησε έναν μόνο "απλό" υπολογιστή για να "σπάσει" την κβαντική κρυπτογράφηση,  υπογραμμίζει τους κινδύνους που ενέχει η τυποποίηση της επόμενης γενιάς αλγορίθμων κρυπτογράφησης. 
Τον περασμένο μήνα, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας του Υπουργείου Εμπορίου των ΗΠΑ, ή NIST, επέλεξε τέσσερις αλγόριθμους κρυπτογράφησης μετα-κβαντικού υπολογισμού για να αντικαταστήσει αλγόριθμους όπως οι RSA, Diffie-Hellman και η ελλειπτική καμπύλη Diffie-Hellman, οι οποίοι δεν μπορούν να αντέξουν επιθέσεις από έναν κβαντικό υπολογιστή. Στην ίδια κίνηση, το NIST προώθησε τέσσερις επιπλέον αλγόριθμους ως πιθανούς αντικαταστάτες που εκκρεμούν περαιτέρω δοκιμές με την ελπίδα ότι ένας ή περισσότεροι από αυτούς μπορεί επίσης να είναι κατάλληλες εναλλακτικές λύσεις κρυπτογράφησης σε έναν μετα-κβαντικό κόσμο. Η νέα επίθεση σπάει το SIKE, το οποίο είναι ένας από τους τελευταίους τέσσερις πρόσθετους αλγόριθμους. Η επίθεση δεν έχει κανένα αντίκτυπο στους τέσσερις αλγόριθμους PQC που επιλέχθηκαν από το NIST ως εγκεκριμένα πρότυπα, τα οποία βασίζονται σε εντελώς διαφορετικές μαθηματικές τεχνικές από το SIKE.

Το SIKE - συντομογραφία για το Supersingular Isogeny Key Encapsulation - είναι πλέον πιθανότατα εκτός κούρσας χάρη στην έρευνα που δημοσιεύτηκε το Σαββατοκύριακο από ερευνητές από την ομάδα Computer Security and Industrial Cryptography στο KU Leuven. Η εργασία, με τίτλο An Efficient Key Recovery Attack on SIDH (Προκαταρκτική Έκδοση), περιέγραψε μια τεχνική που χρησιμοποιεί πολύπλοκα μαθηματικά και έναν μόνο παραδοσιακό υπολογιστή για να ανακτήσει τα κλειδιά κρυπτογράφησης που προστατεύουν τις συναλλαγές που προστατεύονται από το SIKE. Η όλη διαδικασία απαιτεί μόνο περίπου μία ώρα. Το κατόρθωμα θα δώσει στους ερευνητές, Wouter Castryck και Thomas Decru, ανταμοιβή $50.000 από το NIST.

«Η αδυναμία που ανακαλύφθηκε πρόσφατα είναι σαφώς ένα σημαντικό πλήγμα για το SIKE», έγραψε σε ένα email ο David Jao, καθηγητής στο Πανεπιστήμιο του Waterloo και συν-εφευρέτης του SIKE. «Η επίθεση είναι πραγματικά απροσδόκητη».