Ειδήσεις: Ειδήσεις

Οι περισσότερες επιχειρήσεις δεν μπορούν να αντιμετωπίσουν τις απειλές AI agents τρίτου σταδίου

Sun, 19 Apr 2026 17:04:26 +0000

Μόνο το 21% των επιχειρήσεων έχει runtime visibility σε ό,τι κάνουν οι AI agents τους, σύμφωνα με έρευνα του VentureBeat σε 108 εταιρείες.
Το 97% των security leaders αναμένει σοβαρό περιστατικό AI-agent μέσα στους επόμενους 12 μήνες, σύμφωνα με την Arkose Labs.
Το OWASP Top 10 for Agentic Applications 2026 τυποποίησε 10 νέες κατηγορίες επίθεσης που δεν έχουν ανάλογο στις παραδοσιακές LLM εφαρμογές.

Έρευνα του VentureBeat σε 108 επιχειρήσεις, που δημοσιεύτηκε στις 17 Απριλίου 2026, διαπιστώνει ότι η συντριπτική πλειονότητα των οργανισμών αδυνατεί να εντοπίσει και να αντιμετωπίσει απειλές που προέρχονται από AI agents στο τρίτο στάδιο ωριμότητας, δηλαδή agents που λειτουργούν αυτόνομα σε παραγωγικά περιβάλλοντα με πλήρη πρόσβαση σε εργαλεία, APIs και εσωτερικά συστήματα. Μόνο το 21% των εταιρειών έχει runtime visibility σε ό,τι κάνουν οι agents τους. Παράλληλα, η Arkose Labs στο 2026 Agentic AI Security Report της διαπίστωσε ότι το 97% των security leaders επιχειρήσεων αναμένει ένα σοβαρό περιστατικό AI-agent μέσα στους επόμενους 12 μήνες.

Το πρόβλημα ορατότητας: δεν ξέρουν τι τρέχει στο δίκτυό τους

Οι περισσότερες επιχειρήσεις δεν έχουν ακριβές inventory των AI agents που λειτουργούν στο περιβάλλον τους: ποιοι agents υπάρχουν, τι δικαιώματα έχουν, ποιος τους εξουσιοδότησε και για ποιον σκοπό κατασκευάστηκαν. Σύμφωνα με έρευνα της Gravitee για το 2026, μόνο το 24,4% των οργανισμών έχει πλήρη ορατότητα σε ποιοι agents επικοινωνούν μεταξύ τους, ενώ περισσότεροι από τους μισούς agents λειτουργούν χωρίς κανένα security oversight ή logging. Το πρόβλημα επιδεινώνεται από το φαινόμενο του shadow AI: πολλοί agents που λειτουργούν μέσα σε εταιρικά περιβάλλοντα έχουν αναπτυχθεί από μεμονωμένες ομάδες engineering χωρίς να έχουν περάσει από security review, συνδέοντας tools, MCP servers και εξωτερικά APIs που οι security teams δεν έχουν ποτέ χαρτογραφήσει.

Ο CTO της CrowdStrike, Elia Zaitsev, περιέγραψε το πρόβλημα σε αποκλειστική συνέντευξη στο VentureBeat κατά το RSAC 2026: «Φαίνεται αδιακρίτως αν ένας agent τρέχει τον browser σου ή αν τον τρέχεις εσύ ο ίδιος.» Η διάκριση απαιτεί ανάλυση του process tree, και οι περισσότερες εταιρικές διαμορφώσεις logging δεν μπορούν να κάνουν αυτή τη διάκριση.

OWASP Agentic Top 10: 10 νέες κατηγορίες επίθεσης

Το OWASP Top 10 for Agentic Applications 2026 τυποποίησε την επιφάνεια επίθεσης τον Δεκέμβριο του 2025. Οι δέκα κίνδυνοι περιλαμβάνουν: goal hijack (ASI01), tool misuse (ASI02), identity and privilege abuse (ASI03), agentic supply chain vulnerabilities (ASI04), unexpected code execution (ASI05), memory poisoning (ASI06), insecure inter-agent communication (ASI07), cascading failures (ASI08), human-agent trust exploitation (ASI09) και rogue agents (ASI10). Οι περισσότερες από αυτές τις κατηγορίες δεν έχουν ανάλογο στις παραδοσιακές LLM εφαρμογές. Το Agent Goal Hijacking (ASI01) κατατάσσεται ως ο πιο κρίσιμος κίνδυνος: ο agent διαβάζει ένα έγγραφο ή επεξεργάζεται ένα ticket, και κρυμμένη μέσα στο περιεχόμενο βρίσκεται μια adversarial εντολή που μοιάζει με δεδομένα. Επειδή ο agent δεν μπορεί να τα ξεχωρίσει αξιόπιστα, ακολουθεί την εντολή του επιτιθέμενου αντί για τη νόμιμη εργασία του.

Παράλληλα, η Invariant Labs αποκάλυψε τον Απρίλιο 2025 την επίθεση MCP Tool Poisoning: κακόβουλες οδηγίες στην περιγραφή tool ενός MCP server μπορούν να αναγκάσουν έναν agent να εκχωρήσει αρχεία ή να παραβιάσει ένα trusted server. Η CSO της Enkrypt AI, Merritt Baer, πρώην Deputy CISO της AWS, επεσήμανε στο VentureBeat ότι «οι επιχειρήσεις πιστεύουν ότι έχουν "εγκρίνει" vendors AI, αλλά αυτό που έχουν εγκρίνει στην πραγματικότητα είναι ένα interface, όχι το υποκείμενο σύστημα.»

Ρυθμιστικό πλαίσιο και κόστος παραβιάσεων

Η έλλειψη ελέγχου στα AI agents δεν αφορά μόνο τεχνικά ζητήματα. Το HIPAA's 2026 Tier 4 willful-neglect maximum ανέρχεται σε 2,19 εκατομμύρια δολάρια ανά κατηγορία παράβασης ετησίως. Στον τομέα της υγείας, έρευνα της Gravitee διαπίστωσε ότι το 92,7% των οργανισμών αντιμετώπισε περιστατικά ασφαλείας AI agents, έναντι 88% στον μέσο όρο. Για ένα σύστημα υγείας που χρησιμοποιεί agents με πρόσβαση σε PHI (Protected Health Information), η διαφορά αυτή μπορεί να σημαίνει εύρεση willful neglect. Σύμφωνα με την IBM, οι παραβιάσεις που συνδέονται με shadow AI κοστίζουν κατά μέσο όρο 4,63 εκατομμύρια δολάρια ανά περιστατικό, δηλαδή 670.000 δολάρια περισσότερο από μια τυπική παραβίαση.

Το FINRA στην Oversight Report 2026 συστήνει ρητά ανθρώπινα checkpoints πριν εκτελέσουν οι agents ενέργειες ή συναλλαγές, μαζί με στενά scopes, granular permissions και πλήρη audit trails των ενεργειών των agents. Ο Mike Riemer, Field CISO της Ivanti, συμπλήρωσε ότι «οι threat actors αντιστρέφουν τα patches μέσα σε 72 ώρες», ενώ οι περισσότερες επιχειρήσεις χρειάζονται εβδομάδες για να εφαρμόσουν ενημερώσεις.

Η ταχύτητα των επιθέσεων ξεπερνά την ανθρώπινη αντίδραση

Έρευνα του Dark Reading διαπίστωσε ότι το 48% των cybersecurity professionals αναγνωρίζει το agentic AI ως την κορυφαία επιφάνεια επίθεσης για το 2026, ξεπερνώντας απειλές deepfake, αναγνώριση cyber-risk σε επίπεδο board και passwordless authentication.

Windows Recall: Ερευνητής δείχνει νέο τρόπο εξαγωγής ιστορικού χρήστη, η Microsoft αρνείται ότι πρόκειται για ευπάθεια

Fri, 17 Apr 2026 22:01:57 +0000

Ο ερευνητής Alexander Hagenah κυκλοφόρησε το εργαλείο TotalRecall Reloaded, το οποίο σύμφωνα με τον ίδιο εξάγει το σύνολο των δεδομένων του Windows Recall μετά από authentication μέσω Windows Hello.
Η αδυναμία δεν βρίσκεται στο encrypted vault, αλλά στη διαδικασία AIXHost.exe που παραλαμβάνει τα αποκρυπτογραφημένα δεδομένα χωρίς προστασία PPL, AppContainer ή code integrity enforcement.
Η Microsoft αξιολόγησε την αναφορά και την έκλεισε στις 3 Απριλίου 2026 ως "not a vulnerability", επικαλούμενη τον υπάρχοντα σχεδιασμό ασφαλείας του Recall.

Ο ερευνητής ασφαλείας Alexander Hagenah κυκλοφόρησε το εργαλείο TotalRecall Reloaded, το οποίο εξάγει και εμφανίζει δεδομένα από το Windows Recall, την AI-powered λειτουργία των Windows που καταγράφει με screenshots σχεδόν ό,τι κάνει ο χρήστης στον υπολογιστή του. Πρόκειται για ενημερωμένη έκδοση του αρχικού εργαλείου TotalRecall, το οποίο είχε αναδείξει τις αδυναμίες της πρώτης έκδοσης του Recall, πριν η Microsoft το ανασχεδιάσει.

Η αρχιτεκτονική του προβλήματος: το AIXHost.exe

Το πρόβλημα, όπως το περιγράφει ο Hagenah στη σελίδα του TotalRecall στο GitHub, δεν έγκειται στην ασφάλεια γύρω από τη βάση δεδομένων του Recall, την οποία χαρακτηρίζει "rock solid". Το πρόβλημα είναι ότι, μόλις ο χρήστης πιστοποιήσει την ταυτότητά του, το σύστημα μεταβιβάζει τα δεδομένα του Recall σε μια άλλη διαδικασία που ονομάζεται AIXHost.exe, η οποία δεν επωφελείται από τις ίδιες προστασίες ασφαλείας. Το AIXHost.exe δεν διαθέτει PPL, AppContainer ή code integrity enforcement. Οποιαδήποτε διαδικασία εκτελείται ως ο συνδεδεμένος χρήστης μπορεί να εισάγει κώδικα σε αυτό και να καλεί τα ίδια COM APIs που χρησιμοποιεί το νόμιμο UI. Μόλις ο χρήστης πιστοποιηθεί μέσω Windows Hello, αποκρυπτογραφημένα screenshots, OCR text και metadata ρέουν μέσα από το AIXHost.exe ως live COM objects. Το TotalRecall Reloaded εγκαθίσταται μέσα σε αυτή τη διαδικασία και εξάγει τα πάντα, χωρίς admin privileges, χωρίς kernel exploit, χωρίς crypto bypass.

Σύμφωνα με τον Hagenah, "το vault είναι πραγματικό, αλλά το trust boundary τελειώνει πολύ νωρίς." Το TotalRecall Reloaded μπορεί να εκτελείται αθόρυβα στο παρασκήνιο και να ενεργοποιεί το Recall timeline, αναγκάζοντας τον χρήστη να πιστοποιηθεί μέσω Windows Hello. Μόλις ολοκληρωθεί η πιστοποίηση, το εργαλείο μπορεί να εξαγάγει ό,τι έχει καταγράψει ποτέ το Windows Recall. Επιπλέον, το TotalRecall Reloaded μπορεί να εξάγει το τελευταίο cached screenshot του Windows Recall χωρίς Windows Hello authentication, ή να διαγράψει εντελώς το ιστορικό.

Τι καταγράφει το Recall και γιατί αυτό έχει σημασία

Τα δεδομένα που αποθηκεύει το Recall ξεπερνούν κατά πολύ τα απλά screenshots. Περιλαμβάνουν on-screen text, μηνύματα, emails, έγγραφα, δραστηριότητα περιήγησης, χρονικές σημάνσεις και AI-generated context, δομώντας μια λεπτομερή εικόνα του τρόπου με τον οποίο ο χρήστης αλληλεπιδρά με τη συσκευή του. Οποιοσδήποτε έχει πρόσβαση στον υπολογιστή και στο Windows Hello fallback PIN μπορεί να αποκτήσει πρόσβαση στη βάση δεδομένων, και παρόλο που τα content filters του Recall κάνουν αξιοπρεπή δουλειά στον αποκλεισμό ευαίσθητων οικονομικών πληροφοριών, κάποιος με πρόσβαση στο σύστημα μπορεί να δει emails, μηνύματα, web activity και άλλα.

Η αποκάλυψη και η αντίδραση της Microsoft

Ο Hagenah υπέβαλε πλήρη αναφορά στο Microsoft Security Response Centre (MSRC) στις 6 Μαρτίου 2026, η οποία περιελάμβανε source code και build instructions. Η Microsoft άνοιξε υπόθεση εννέα ημέρες αργότερα και, μετά από ένα μήνα αξιολόγησης, την έκλεισε στις 3 Απριλίου λέγοντας ότι η συμπεριφορά "λειτουργεί εντός του τρέχοντος, τεκμηριωμένου σχεδιασμού ασφαλείας του Recall."

Σε δήλωσή του προς το The Verge, ο David Weston, corporate vice president of Microsoft Security, ανέφερε ότι "μετά από προσεκτική διερεύνηση, διαπιστώσαμε ότι τα μοτίβα πρόσβασης που παρουσιάστηκαν είναι συνεπή με τις προβλεπόμενες προστασίες και τα υπάρχοντα controls, και δεν αποτελούν παράκαμψη security boundary ή μη εξουσιοδοτημένη πρόσβαση σε δεδομένα." Η Microsoft ισχυρίζεται ότι η περίοδος εξουσιοδότησης έχει timeout και anti-hammering protection. Ο Hagenah, ωστόσο, δηλώνει ότι το εργαλείο του μπορεί να παρακάμψει αυτές τις προστασίες.

Ιστορικό και τρέχουσα διαθεσιμότητα

Στην αρχική του υλοποίηση, το Recall δεν ήταν ούτε ιδιωτικό ούτε ασφαλές: αποθήκευε screenshots και μια τεράστια βάση δεδομένων με όλη τη δραστηριότητα χρήστη σε εντελώς αδιάκριτα αρχεία στον δίσκο. Αφού δημοσιογράφοι και ερευνητές ανακάλυψαν και τεκμηρίωσαν αυτά τα ελαττώματα, η Microsoft καθυστέρησε την κυκλοφορία του Recall σχεδόν ένα χρόνο και αναθεώρησε σε μεγάλο βαθμό την ασφάλειά του. Όλα τα τοπικά αποθηκευμένα δεδομένα πλέον κρυπτογραφούνται και είναι προσβάσιμα μόνο μέσω Windows Hello authentication, η λειτουργία απενεργοποιείται από προεπιλογή και κάνει καλύτερη δουλειά στον εντοπισμό και αποκλεισμό ευαίσθητων πληροφοριών.

Αυτή τη στιγμή, λιγότερο από το 10% των Windows 11 PC μπορούν να τρέξουν το Recall, με τη λειτουργία διαθέσιμη μόνο ως opt-in για χρήστες Copilot+ PC από τον Απρίλιο του 2025. Τον Ιανουάριο του 2026, ο δημοσιογράφος Zac Bowden ανέφερε ότι η Microsoft "pulls back its Windows 11 AI push with a major Copilot and Recall rethink." Εφαρμογές όπως το Signal Messenger έχουν ήδη αναλάβει ιδία πρωτοβουλία, αναγκάζοντας το Recall να τις αγνοεί από προεπιλογή. Το TotalRecall Reloaded είναι διαθέσιμο στο GitHub.

Πηγές

Booking.com: Επιβεβαιώνει περιστατικό με πιθανή πρόσβαση σε δεδομένα κρατήσεων πελατών

Wed, 15 Apr 2026 14:08:01 +0000

Η Booking.com επιβεβαίωσε περιστατικό ασφαλείας στο οποίο μη εξουσιοδοτημένοι τρίτοι ενδέχεται να απέκτησαν πρόσβαση σε ορισμένα δεδομένα κρατήσεων πελατών, όπως ονόματα, email, τηλέφωνα και λεπτομέρειες κράτησης.
Η εταιρεία ενημέρωσε τους επηρεαζόμενους χρήστες και άλλαξε τα PIN των σχετικών κρατήσεων, χωρίς να αποκαλύψει πόσοι πελάτες επηρεάστηκαν.
Τουλάχιστον ένας χρήστης ανέφερε ότι έλαβε phishing μήνυμα μέσω WhatsApp με ακριβή στοιχεία κράτησης, πριν από την επίσημη ειδοποίηση.

Η Booking.com ανακοίνωσε τη Δευτέρα ότι εντόπισε ύποπτη δραστηριότητα που συνδέεται με μη εξουσιοδοτημένη πρόσβαση σε ορισμένες πληροφορίες κρατήσεων πελατών. Σύμφωνα με την εταιρεία, τα δεδομένα που ενδέχεται να εκτέθηκαν περιλαμβάνουν ονόματα, διευθύνσεις email, αριθμούς τηλεφώνου, λεπτομέρειες κρατήσεων και πληροφορίες που είχαν κοινοποιηθεί στο κατάλυμα. Οι επηρεαζόμενοι χρήστες ειδοποιήθηκαν την προηγούμενη εβδομάδα.

Τι γνωρίζουμε για την παραβίαση

Η εκπρόσωπος της εταιρείας Courtney Camp δήλωσε στο TechCrunch ότι η Booking.com παρατήρησε ύποπτη δραστηριότητα από μη εξουσιοδοτημένους τρίτους με πρόσβαση σε ορισμένες πληροφορίες κρατήσεων επισκεπτών. Η εταιρεία ανέφερε ότι περιόρισε το περιστατικό, ενημέρωσε τους πελάτες και άλλαξε τα PIN των επηρεαζόμενων κρατήσεων. Σύμφωνα με τη νεότερη διευκρίνιση που μεταφέρει το TechCrunch, δεν αποκτήθηκαν οικονομικά στοιχεία ούτε φυσικές ταχυδρομικές διευθύνσεις.

Ο αριθμός των επηρεαζόμενων χρηστών παραμένει άγνωστος, καθώς η Booking.com δεν απάντησε στο σχετικό ερώτημα. Ως ένδειξη μεγέθους της πλατφόρμας, η εταιρεία αναφέρει στα επίσημα στοιχεία της ότι από το 2010 έχει καταγράψει πάνω από 6,8 δισεκατομμύρια guest arrivals, όχι 6,8 δισεκατομμύρια μοναδικούς χρήστες.

Υπάρχουν ενδείξεις στοχευμένου phishing

Χρήστης που ανάρτησε στο Reddit την ειδοποίηση που έλαβε από την Booking.com ανέφερε στο TechCrunch ότι περίπου δύο εβδομάδες νωρίτερα είχε λάβει μήνυμα phishing μέσω WhatsApp με ακριβή στοιχεία της κράτησής του. Πρόκειται για μεμονωμένη δημόσια αναφορά, όχι για επιβεβαιωμένο μοτίβο μεγάλης κλίμακας, αλλά δείχνει πώς δεδομένα αυτού του τύπου μπορούν να αξιοποιηθούν σε ιδιαίτερα πειστικές επιθέσεις κοινωνικής μηχανικής.

Η Booking.com δεν έχει δημοσιοποιήσει πότε ακριβώς σημειώθηκε η μη εξουσιοδοτημένη πρόσβαση ούτε πόσο διήρκεσε. Για όσους έλαβαν ειδοποίηση, το βασικό ρίσκο αυτή τη στιγμή είναι η λήψη email, SMS ή μηνυμάτων WhatsApp που επικαλούνται υπαρκτά στοιχεία κράτησης και επιχειρούν να αποσπάσουν πληρωμές ή επιπλέον προσωπικά δεδομένα.

Πηγές

Παραβίαση CPUID: Τα CPU-Z και HWMonitor μοίραζαν malware για έξι ώρες

Sat, 11 Apr 2026 17:02:00 +0000

Άγνωστοι επιτέθηκαν στο API διανομής του cpuid.com στις 9-10 Απριλίου 2026 και για περίπου έξι ώρες εξυπηρετούσαν trojanized εκδόσεις των CPU-Z και HWMonitor αντί για τα νόμιμα αρχεία.
Το malware, που η ομάδα vx-underground χαρακτήρισε πολυεπίπεδο και εξελιγμένο, στόχευε κυρίως αποθηκευμένα credentials από browsers, ειδικά από το Google Chrome.
Σύμφωνα με την Kaspersky, τουλάχιστον 150 χρήστες κατέβασαν τα κακόβουλα αρχεία. Η CPUID επιβεβαίωσε ότι το πρόβλημα έχει διορθωθεί και τα signed αρχεία της δεν παραβιάστηκαν ποτέ.

Η ιστοσελίδα της CPUID, της εταιρείας πίσω από τα δημοφιλή εργαλεία HWMonitor και CPU-Z, παραβιάστηκε από άγνωστους επιτιθέμενους, με αποτέλεσμα όσοι κατέβαζαν αυτά τα προγράμματα να λαμβάνουν μολυσμένα αρχεία αντί για τα νόμιμα. Οι hackers απέκτησαν πρόσβαση σε ένα API του project και άλλαξαν τους download links στην επίσημη ιστοσελίδα, ώστε να εξυπηρετούν κακόβουλα executables. Το περιστατικό αποκαλύφθηκε στις 10 Απριλίου 2026, αρχικά μέσα από αναρτήσεις χρηστών στο Reddit.

Πώς έγινε η παραβίαση

Οι επιτιθέμενοι δεν παραβίασαν τα ίδια τα builds του λογισμικού ή τη διαδικασία signing. Αντ' αυτού, απέκτησαν πρόσβαση σε ένα secondary API που χρησιμοποιεί η CPUID για να εξυπηρετεί τους download links στην ιστοσελίδα της, και ανακατεύθυναν τους χρήστες σε κακόβουλα αρχεία που φιλοξενούνταν στο Cloudflare R2 storage. Σύμφωνα με τον Samuel Demeulemeester της CPUID, «η έρευνα συνεχίζεται, αλλά φαίνεται ότι ένα secondary feature (ουσιαστικά ένα side API) παραβιάστηκε για περίπου έξι ώρες μεταξύ 9ης και 10ης Απριλίου, με αποτέλεσμα η κύρια ιστοσελίδα να εμφανίζει τυχαία κακόβουλους links. Τα signed αρχεία μας δεν παραβιάστηκαν. Η παραβίαση εντοπίστηκε και έχει από τότε διορθωθεί.»

Σύμφωνα με την ομάδα vx-underground, ο threat actor παραβίασε το cpuid.com και οι χρήστες που προσπαθούσαν να κατεβάσουν την τελευταία έκδοση εξυπηρετούνταν με ένα compromised installer από το supp0v3[.]com, το οποίο χρησιμοποιήθηκε επίσης σε μια εκστρατεία malware που ξεκίνησε τον Μάρτιο του 2026. Το όνομα του κακόβουλου αρχείου ήταν HWiNFO_Monitor_Setup, και η εκτέλεσή του εκκινούσε ένα Russian installer με Inno Setup wrapper, κάτι εξαιρετικά ύποπτο. Βάσει των δεδομένων της Kaspersky, περισσότεροι από 150 χρήστες κατέβασαν κακόβουλη παραλλαγή των προϊόντων της CPUID. Αν και οι περισσότεροι ήταν ιδιώτες, αρκετοί οργανισμοί από τους τομείς retail, manufacturing, consulting, τηλεπικοινωνιών και γεωργίας, κυρίως σε Βραζιλία, Ρωσία και Κίνα, συγκαταλέγονταν επίσης μεταξύ των θυμάτων.

Τεχνική ανάλυση του malware

Το malware είναι «deeply trojanized, διανέμεται από παραβιασμένο domain (cpuid.com), εκτελεί file masquerading, είναι multi-staged, λειτουργεί σχεδόν εξ ολοκλήρου στη μνήμη, και χρησιμοποιεί ενδιαφέρουσες μεθόδους για την αποφυγή EDR και AV, όπως το proxying NTDLL functionality από ένα .NET assembly», ανέφερε η vx-underground. Οι επιτιθέμενοι ονόμασαν το κακόβουλο payload CRYPTBASE.dll, για να μεταμφιεστεί ως νόμιμη Windows library που χρησιμοποιεί το ίδιο το HWMonitor. Το DLL αυτό επικοινωνούσε με command-and-control server για να κατεβάσει επιπλέον payloads, ενώ το malware επιχειρούσε να παραμείνει όσο το δυνατόν εκτός δίσκου, χρησιμοποιώντας PowerShell και λειτουργώντας κυρίως στη μνήμη. Επίσης, κατέβαζε επιπλέον κώδικα και μεταγλώττιζε ένα .NET payload στο μηχάνημα-θύμα πριν το εγχύσει σε άλλες διεργασίες.

Το τελικό payload ταυτοποιήθηκε ως STX RAT, ένα malware που έχει τεκμηριωθεί από ερευνητές της eSentire ως έχον infostealer δυνατότητες. Υπάρχουν επίσης ενδείξεις ότι το malware στόχευε browser data. Σε tests, παρατηρήθηκε να αλληλεπιδρά με το IElevation COM interface του Google Chrome, το οποίο μπορεί να χρησιμοποιηθεί για πρόσβαση και αποκρυπτογράφηση αποθηκευμένων credentials. Το αρχείο ελέγχθηκε στο VirusTotal και επιβεβαιώθηκε ως κακόβουλο, με σήμανση από τουλάχιστον 32 security vendors ως trojan.

Μέρος ευρύτερης εκστρατείας

Η ανάλυση υποδηλώνει συνδέσεις με infrastructure που χρησιμοποιήθηκε σε προηγούμενες εκστρατείες, συμπεριλαμβανομένης μιας που στόχευε χρήστες του FileZilla, υποδηλώνοντας ότι αυτό δεν ήταν ένα μεμονωμένο πείραμα, αλλά μέρος ενός ευρύτερου playbook. Επιπλέον, αναφέρεται ότι οι hackers επιτέθηκαν σε χρόνο που ο κύριος developer βρισκόταν σε διακοπές, κάτι που δεν φαίνεται τυχαίο. Το περιστατικό αποκτά επιπλέον βαρύτητα καθώς η CPUID ήταν ήδη στο επίκεντρο νωρίτερα εντός του 2026 λόγω ενός ξεχωριστού security θέματος: το NVD καταγράφει μια information disclosure ευπάθεια στο kernel driver του CPU-Z 2.17 και παλαιότερων, υπό την CVE-2025-65264.

Τι πρέπει να κάνουν οι χρήστες που επηρεάστηκαν

Το Windows Defender συνήθως εντόπιζε το malware πριν εγκατασταθεί, και όσοι το παρέκαμψαν πιθανώς παρατήρησαν το ασυνήθιστο Russian install program. Ωστόσο, υπάρχει μια μικρή πιθανότητα κάποιοι να προχώρησαν στην εγκατάσταση και να έθεσαν σε κίνδυνο το σύστημά τους και τα αποθηκευμένα credentials τους. Αν κατεβάσατε CPU-Z ή HWMonitor κατά τη διάρκεια του affected window, θεωρήστε ότι το σύστημα έχει παραβιαστεί, αλλάξτε όλους τους κωδικούς που θα μπορούσαν να έχουν κλαπεί (ιδιαίτερα όσους είναι αποθηκευμένοι στον browser σας), ενεργοποιήστε MFA παντού, και εκτελέστε security scans ή ακόμα και επανεγκαταστήστε το λειτουργικό σύστημα αν θέλετε να είστε σίγουροι. Αν κατεβάσατε ένα αρχείο με όνομα «HWiNFO_Monitor_Setup.exe» από την ιστοσελίδα της CPUID, έχετε λάβει την κακόβουλη έκδοση. Από αυτή τη στιγμή, τα κακόβουλα downloads έχουν αφαιρεθεί και η ιστοσελίδα δεν εξυπηρετεί πλέον μολυσμένα installers. Δεν υπάρχουν ενδείξεις ότι το ίδιο το λογισμικό backdooρ-αρίστηκε ή ότι το build environment της CPUID παραβιάστηκε.

Πηγές

H Google βάζει deadline το 2029 για το Q Day, νωρίτερα από κάθε άλλη εκτίμηση

Sat, 11 Apr 2026 12:04:02 +0000

H Google έθεσε το 2029 ως deadline για την πλήρη μετάβαση σε post-quantum cryptography, υπερβαίνοντας κατά πολύ τους στόχους κυβερνήσεων και άλλων οργανισμών.
Το Android 17 θα ενσωματώσει τον αλγόριθμο ML-DSA στο hardware root of trust, στο Android Verified Boot, στο Keystore και στο Google Play.
Η κίνηση προκάλεσε έκπληξη ακόμα και σε έμπειρους cryptographers, καθώς η Google δεν έχει δημοσιοποιήσει τους ακριβείς λόγους της επιτάχυνσης.

Η Google ανακοίνωσε στις 25 Μαρτίου 2026 ότι δίνει στον εαυτό της ως το 2029 για να ολοκληρώσει την πλήρη μετάβαση σε post-quantum cryptography (PQC), θέτοντας αυτό το έτος ως εσωτερικό deadline για την προστασία των υποδομών της από quantum υπολογιστές. Η Google επιτάχυνε δραματικά το timeline της για την ασφάλεια έναντι quantum απειλών, βάζοντας ως στόχο το 2029, χρόνια μπροστά από τους κυβερνητικούς και τους άλλους στόχους της βιομηχανίας. Η ανακοίνωση υπογράφεται από την Heather Adkins, VP of Security Engineering της Google, και την Sophie Schmieg, Senior Cryptography Engineer.

Γιατί το 2029 είναι ασυνήθιστα επιθετικό deadline

Το 2029 timeline είναι σημαντικά πιο επιθετικό από τα υπάρχοντα κυβερνητικά benchmarks. Η NSA είχε θέσει στόχο το 2031 για την εφαρμογή PQC, ενώ η ευρύτερη αμερικανική κυβερνητική καθοδήγηση έδειχνε στο 2035 για πλήρη ετοιμότητα των υπηρεσιών. Η ανακοίνωση περιγράφει τον στόχο του 2029 ως απάντηση σε ταχείες εξελίξεις στο quantum hardware, στη διόρθωση σφαλμάτων και στις εκτιμήσεις πόρων για quantum factoring. Η Google δεν έχει αναλύσει δημόσια τη συγκεκριμένη αιτία της αναθεώρησης, και εκπρόσωπος της εταιρείας δεν απάντησε άμεσα σε ερωτήσεις.

Ο Brian LaMacchia, cryptography engineer που επέβλεψε την post-quantum μετάβαση της Microsoft από το 2015 ως το 2022 και εργάζεται τώρα στο Farcaster Consulting Group, δήλωσε ότι πρόκειται για «σημαντική επιτάχυνση σε σχέση με τα public timelines που έχουμε δει μέχρι σήμερα, και επιταχυμένη ακόμα και σε σχέση με ό,τι έχουμε δει να ζητά η αμερικανική κυβέρνηση». «Το 2029 timeline είναι επιθετική επιτάχυνση, αλλά εγείρει το ερώτημα τι τους παρακινεί», πρόσθεσε. Ο Bas Westerbaan, principal research engineer στο Cloudflare, χαρακτήρισε την απόφαση της Google να μετακινήσει το PQC migration timeline στο 2029 ως «very big deal».

Σύμφωνα με την Google, το νέο timeline αντικατοπτρίζει τις ανάγκες μετάβασης στην εποχή PQC υπό το πρίσμα της προόδου στην ανάπτυξη quantum computing hardware, στη διόρθωση quantum σφαλμάτων και στις εκτιμήσεις πόρων για quantum factoring. Βασικό ρόλο στην αναθεώρηση παίζει και η έρευνα που δημοσίευσαν τον Ιούνιο του 2025 επιστήμονες της Google: σύμφωνα με τα ευρήματα, ένας quantum υπολογιστής με ένα εκατομμύριο qubits θα μπορούσε να σπάσει ένα 2.048-bit RSA κλειδί σε λιγότερο από μια εβδομάδα. Για σύγκριση, το 2012 η αντίστοιχη εκτίμηση απαιτούσε ένα δισεκατομμύριο physical qubits.

Το «harvest now, decrypt later» απειλεί ήδη σήμερα

Η απειλή για την κρυπτογράφηση είναι ήδη άμεση λόγω των λεγόμενων «store-now-decrypt-later» επιθέσεων, ενώ οι ψηφιακές υπογραφές αποτελούν μελλοντική απειλή που απαιτεί τη μετάβαση σε PQC πριν εμφανιστεί ένας Cryptographically Relevant Quantum Computer (CRQC). Γι' αυτό η Google αναθεώρησε το threat model της ώστε να δώσει προτεραιότητα στη μετάβαση PQC για τις υπηρεσίες authentication. Ο Simon Pamplin, CTO της Certes, υπογράμμισε ότι «το πιο επικίνδυνο παράθυρο δεν είναι όταν έρθουν οι quantum υπολογιστές, αλλά τώρα», καθώς αντίπαλοι ήδη εκτελούν «Harvest Now, Decrypt Later» εκστρατείες, εκμηδενίζοντας κρυπτογραφημένα δεδομένα σήμερα με σκοπό να τα αποκρυπτογραφήσουν αργότερα.

Android 17: ML-DSA μέχρι το hardware root of trust

Η post-quantum μετάβαση της Google ξεκίνησε ήδη από το 2016, και το Android 17 σηματοδοτεί την πρώτη φάση της αντίστοιχης μετάβασης για το Android. Σύμφωνα με ξεχωριστή ανακοίνωση, η εταιρεία θα προσθέσει υποστήριξη για ML-DSA, ψηφιακό αλγόριθμο υπογραφής τυποποιημένο από το NIST, ξεκινώντας από την beta έκδοση του Android 17. Το ML-DSA θα ενσωματωθεί στο hardware root of trust του Android, επιτρέποντας στους developers να χρησιμοποιούν PQC κλειδιά για υπογραφή εφαρμογών και επαλήθευση software signatures.

Το Android Verified Boot θα ενσωματώσει ML-DSA για να ασφαλίσει τις υπογραφές στην αλυσίδα εκκίνησης έναντι μελλοντικών quantum επιθέσεων. Παράλληλα, το Android 17 ξεκινά τη μετάβαση του Remote Attestation σε πλήρως PQC-συμβατή αρχιτεκτονική, με τις certificate chains του KeyMint να μεταβαίνουν σε quantum-resistant αλγορίθμους, ώστε οι συσκευές να μπορούν να αποδεικνύουν κρυπτογραφικά την αξιόπιστη κατάστασή τους. Το Android Keystore αποκτά native υποστήριξη για ML-DSA-65 και ML-DSA-87, και οι εφαρμογές μπορούν να χρησιμοποιούν αυτές τις μεθόδους μέσω του standard API, ενώ τα κλειδιά παραμένουν εξ ολοκλήρου εντός του secure hardware.

Κατά τη διάρκεια του release cycle του Android 17, το Google Play θα αναλαμβάνει τη δημιουργία quantum-safe ML-DSA signing keys για νέες εφαρμογές και για υπάρχουσες εφαρμογές που επιλέγουν να συμμετάσχουν, ανεξάρτητα από το target API των εφαρμογών. Η υλοποίηση lattice-based κρυπτογραφίας, που απαιτεί σημαντικά μεγαλύτερα key sizes και memory footprints σε σχέση με την κλασική elliptic curve cryptography, εντός του Trusted Execution Environment με περιορισμένους πόρους, αντιπροσωπεύει σημαντική τεχνική επίτευξη.

Αντιδράσεις βιομηχανίας και ρυθμιστικό πλαίσιο

Η επιταχυνόμενη απόφαση της Google για PQC ωθεί ήδη άλλους προμηθευτές να αναθεωρήσουν τα δικά τους σχέδια. Software vendors όπως το Signal, το Cloudflare και η Apple έχουν ήδη αρχίσει να ενσωματώνουν NIST-εγκεκριμένους PQC αλγόριθμους, συμπεριλαμβανομένων των CRYSTALS-Kyber και ML-KEM-768, αλλά συνήθως σε περιορισμένο εύρος. Αξιοσημείωτο είναι ότι το 2029 δεν αποτελεί μόνο τον στόχο ολοκλήρωσης PQC migration της Google, αλλά είναι επίσης η χρονιά κατά την οποία το CA/Browser Forum θα θέσει σε ισχύ μέγιστη διάρκεια ζωής SSL/TLS πιστοποιητικών 47 ημερών, αντιπροσωπεύοντας 12πλάσια αύξηση στη συχνότητα ανανέωσης πιστοποιητικών σε σχέση με τα σημερινά πρότυπα.

Ο Mark Pecen, πρόεδρος της τεχνικής επιτροπής για quantum τεχνολογίες στον ETSI, δήλωσε ότι «το επιταχυνόμενο deadline του 2029 της Google αντικατοπτρίζει μετατόπιση από την προσπάθεια πρόβλεψης του Q-Day στη διαχείριση pre-Q-Day κινδύνου». «Το πραγματικό πρόβλημα δεν είναι πότε θα έρθουν οι quantum υπολογιστές, αλλά ότι αντίπαλοι ήδη συλλέγουν κρυπτογραφημένα δεδομένα σήμερα για να τα αποκρυπτογραφήσουν αργότερα», πρόσθεσε, σημειώνοντας ότι τα δεδομένα με μακροχρόνια ευαισθησία, νομικά αρχεία, πνευματική ιδιοκτησία, ιατρική έρευνα και επικοινωνίες κρίσιμων υποδομών βρίσκονται ήδη σε κίνδυνο.

Πηγές

Quantum computing και κρυπτογραφία: Δύο νέες έρευνες μειώνουν δραστικά τους πόρους για να σπάσει το ECC

Sat, 11 Apr 2026 06:03:00 +0000

Δύο ανεξάρτητες έρευνες που δημοσιεύθηκαν στις 31 Μαρτίου 2026 δείχνουν ότι το ECC-256 μπορεί να σπάσει με κατά 20x έως 100x λιγότερους πόρους από τις προηγούμενες εκτιμήσεις.
Η Google δεν δημοσίευσε τα ίδια τα quantum circuits, αλλά έναν zero-knowledge proof για να αποφύγει τη διάδοση ενός ολοκληρωμένου attack blueprint.
Κανένα από τα δύο papers δεν έχει υποβληθεί σε peer review, και κανένα υπαρκτό quantum σύστημα σήμερα δεν πλησιάζει τα απαιτούμενα hardware specs.

Στις 31 Μαρτίου 2026 δημοσιεύθηκαν δύο ανεξάρτητα whitepapers που συμφωνούν στο ίδιο συμπέρασμα: η κατασκευή ενός κβαντικού υπολογιστή ικανού να σπάσει elliptic-curve cryptography δεν απαιτεί τους πόρους που θεωρούνταν απαραίτητοι μέχρι πρόσφατα. Έρευνα από Caltech και το quantum startup Oratomic κατέληξε ότι η κρυπτογραφία που προστατεύει τα wallets Bitcoin και Ether θα μπορούσε να σπάσει με μόλις 10.000 physical qubits, πολύ κάτω από προηγούμενες εκτιμήσεις εκατοντάδων χιλιάδων. Ταυτόχρονα, η Google Quantum AI δημοσίευσε ένα 57σέλιδο whitepaper που αποδεικνύει ότι οι quantum πόροι για να σπάσει το ECC που προστατεύει το Bitcoin, το Ethereum και ουσιαστικά κάθε μεγάλο cryptocurrency είναι κατά μια τάξη μεγέθους μικρότεροι από ό,τι εκτιμούσαμε. Το paper, που συν-υπογράφουν ερευνητές από το Ethereum Foundation και το Stanford University, παρουσιάζει δύο βελτιστοποιημένα quantum circuits για την επίλυση του 256-bit Elliptic Curve Discrete Logarithm Problem (ECDLP-256) στην καμπύλη secp256k1.

Neutral atoms και optical tweezers: η προσέγγιση του Caltech

Η ομάδα του Caltech, με επικεφαλής τους Dolev Bluvstein και Madelyn Cain, ανέπτυξε αρχιτεκτονική quantum computer βασισμένη σε neutral atom qubits και προηγμένους κώδικες error correction γνωστούς ως quantum low-density parity-check (qLDPC) codes. Οι προσομοιώσεις τους δείχνουν ότι αυτή η αρχιτεκτονική θα μπορούσε να σπάσει ECC-256 σε λίγες μέρες με μόλις 26.000 qubits. Η βασική διαφορά αυτής της προσέγγισης από τις superconducting αρχιτεκτονικές έγκειται στο πώς αλληλεπιδρούν τα qubits μεταξύ τους: στα neutral atom συστήματα, κάθε qubit μπορεί να επικοινωνεί με οποιοδήποτε άλλο qubit, και όχι μόνο με τους άμεσους γείτονές του σε ένα 2D grid. Η ομάδα του Oratomic χρησιμοποιεί τα quantum circuits της Google για να σπάσει το 256-bit ECC, και αποδεικνύει ότι ένα neutral-atom setup, με atoms που ελέγχονται από laser ως qubits, θα μπορούσε να τα εκτελέσει με περίπου το 1/50 των qubits που εκτιμούσε η Google.

Οι εκτιμώμενες απαιτήσεις για την εκτέλεση του αλγορίθμου Shor, της quantum μεθόδου για να σπάσει public-key encryption, έχουν πέσει κατά πέντε τάξεις μεγέθους σε δύο δεκαετίες, από περίπου 1 δισεκατομμύριο physical qubits το 2012 σε περίπου 10.000 σήμερα. Αξίζει να σημειωθεί ότι χρησιμοποιώντας ως βάση τα quantum circuits της Google, ένας neutral-atom quantum computer με περίπου 26.000 qubits θα μπορούσε να σπάσει ECC-256 σε περίπου 10 μέρες, ενώ RSA-2048 θα απαιτούσε περίπου 102.000 qubits και τρεις μήνες.

Το paper της Google: 9 λεπτά, 500.000 physical qubits, και κρυφός αλγόριθμος

Η Google εκφράζει τις εκτιμήσεις της σε αριθμό logical qubits (error-corrected qubits που αποτελούνται από εκατοντάδες physical qubits) και Toffoli gates (ακριβές βασικές πράξεις πάνω σε qubits που αποτελούν τον κύριο παράγοντα για τον χρόνο εκτέλεσης πολλών αλγορίθμων). Συγκεκριμένα, η εταιρεία έχει συντάξει δύο quantum circuits που υλοποιούν τον αλγόριθμο Shor για ECDLP-256: ένα που χρησιμοποιεί λιγότερα από 1.200 logical qubits και 90 εκατομμύρια Toffoli gates, και ένα άλλο με λιγότερα από 1.450 logical qubits και 70 εκατομμύρια Toffoli gates. Σύμφωνα με τις εκτιμήσεις, αυτά τα circuits μπορούν να εκτελεστούν σε superconducting qubit CRQC με λιγότερα από 500.000 physical qubits σε λίγα λεπτά.

Το κρίσιμο στοιχείο του paper της Google είναι η επίδραση στο Bitcoin. Ο αλγόριθμος Shor μπορεί να "προετοιμαστεί" εκ των προτέρων, δηλαδή το πρώτο μισό της υπολογιστικής διαδικασίας, που εξαρτάται μόνο από σταθερές παραμέτρους της καμπύλης, μπορεί να υπολογιστεί εκ των προτέρων. Μόλις αποκαλυφθεί ένα συγκεκριμένο public key, η υπόλοιπη υπολογιστική διαδικασία διαρκεί περίπου εννέα λεπτά. Ο μέσος χρόνος ανά block στο Bitcoin είναι δέκα λεπτά. Υπό ιδανικές συνθήκες, η Google εκτιμά πιθανότητα περίπου 41% ένας primed quantum computer να εξάγει ένα private key πριν επιβεβαιωθεί μια Bitcoin συναλλαγή. Παρόλα αυτά, αυτά τα στοιχεία προϋποθέτουν ένα μοντέλο ευνοϊκό για τον επιτιθέμενο: ένα μόνο signature ως στόχο, γρήγορη διάδοση public key, και καμία προστασία σε επίπεδο δικτύου. Περιγράφουν θεωρητική δυνατότητα υπό ιδανικές συνθήκες, όχι επιχειρησιακή βεβαιότητα.

Zero-knowledge proof αντί για δημοσίευση circuits: μια νέα πολιτική disclosure

Σε μια κίνηση που έχει προκαλέσει αντιπαράθεση στους κύκλους της ασφάλειας, η Google δεν δημοσιοποίησε τον αλγόριθμο. Αντ' αυτού, δημοσίευσε έναν λεγόμενο zero-knowledge proof, ο οποίος επιτρέπει σε εξωτερικούς ερευνητές να επαληθεύσουν τον αλγόριθμο χωρίς να μάθουν πώς λειτουργεί. Σύμφωνα με τους ερευνητές, αυτή η επιλογή οφείλεται στο ότι "η πρόοδος στο quantum computing έχει φτάσει σε σημείο όπου είναι συνετό να σταματήσουμε να δημοσιεύουμε λεπτομέρειες βελτιωμένης quantum κρυπτανάλυσης, για να αποφύγουμε κακή χρήση." Κριτική, όμως, δεν άργησε να εμφανιστεί. Ο Matt Green, καθηγητής κρυπτογραφίας στο Johns Hopkins University, δήλωσε χαρακτηριστικά ότι θεωρεί αλαρμιστική την εκτίμηση για άμεσο κίνδυνο ασφάλειας από αλγόριθμο που απαιτεί υπολογιστή που δεν υπάρχει ακόμη, και το χαρακτήρισε περισσότερο ως "PR trick" παρά ως σοβαρή ανησυχία.

Επίσης έντονη είναι η κριτική για τη στόχευση της Google αποκλειστικά στον χώρο των cryptocurrencies, αγνοώντας ευρύτερες εφαρμογές. Ο Brian LaMacchia, cryptography engineer που επέβλεψε τη μετάβαση της Microsoft στο post-quantum από το 2015 έως το 2022, δήλωσε ότι "ενώ τα CRQCs αποτελούν απειλή για blockchain-based τεχνολογίες, είναι απλώς ένα από τα πολλά συστήματα που πρέπει να μεταβούν γρήγορα σε post-quantum cryptography", εκφράζοντας έκπληξη για το γεγονός ότι η Google εστιάζει σε policy frameworks για προβλήματα μοναδικά στο cryptocurrency space αντί για τη γενική απειλή που ταυτόχρονα αφορά TLS, ψηφιακά πιστοποιητικά και κάθε σύστημα που χρησιμοποιεί public-key cryptography.

Το hardware gap: η απόσταση μεταξύ θεωρίας και πραγματικότητας

Τα αποτελέσματα αφορούν θεωρητικές εκτιμήσεις πόρων για μηχανήματα που δεν υπάρχουν ακόμη. Ο μεγαλύτερος superconducting quantum processor που έχει κατασκευαστεί μέχρι σήμερα είναι ο IBM Condor με 1.121 physical qubits (Δεκέμβριος 2023). Η IBM έχει από τότε απομακρυνθεί από τον αριθμό raw qubits ως μετρική, εστιάζοντας σε modular error-corrected αρχιτεκτονικές. Το Google Willow έχει 105 physical qubits (Δεκέμβριος 2024). Η επίθεση που περιγράφεται στο paper απαιτεί λιγότερα από 500.000 physical qubits υπό συγκεκριμένο μοντέλο, και ακόμα και ο Condor απέχει 446x από αυτό το κατώφλι, χωρίς να υλοποιεί την fault-tolerant error correction που η επίθεση προϋποθέτει. Ο τρέχων fault-tolerant roadmap της IBM στοχεύει περίπου 200 logical qubits έως το 2029 με το σύστημα Starling, πολύ κάτω από τα 1.200 έως 1.450 logical qubits που χρειάζεται η επίθεση.

Παρά το hardware gap, η Google έχει θέσει εσωτερική προθεσμία για το 2029 για τη δική της μετάβαση σε post-quantum cryptography, ένα σήμα με ιδιαίτερο βάρος δεδομένου ότι οι ίδιοι ερευνητές της Google παράγουν τις εκτιμήσεις που ορίζουν την απειλή. Σύμφωνα με τον ερευνητή του Ethereum Justin Drake, έναν εκ των συν-υπογραφόντων του paper της Google, υπάρχει τουλάχιστον 10% πιθανότητα ένας quantum computer να ανακτήσει ένα secp256k1 ECDSA private key έως το 2032. Ανεξάρτητα από τις διαφωνίες για το χρονοδιάγραμμα, οι περισσότερες blockchain τεχνολογίες και cryptocurrencies βασίζονται στο ECDLP-256 για κρίσιμες πτυχές της ασφάλειάς τους, και η μετάβαση σε post-quantum cryptography αντιπροσωπεύει έναν καλά κατανοητό δρόμο προς post-quantum blockchain ασφάλεια.

Πηγές

Κυβερνοεπίθεση στη Stryker: Ιρανικό hacking group σβήνει χιλιάδες συσκευές μέσω Microsoft Intune

Fri, 10 Apr 2026 18:02:58 +0000

Το Iran-linked group Handala ανέλαβε την ευθύνη για την επίθεση στη Stryker στις 11 Μαρτίου 2026, διεκδικώντας το wipe χιλιάδων συσκευών σε 79 χώρες μέσω Microsoft Intune.
Η Stryker επιβεβαίωσε ότι δεν εντοπίστηκε malware ή ransomware, ενώ η CISA εξέδωσε ειδική προειδοποίηση για την ασφάλεια συστημάτων MDM.
Η εταιρεία ανακοίνωσε πλήρη επαναφορά λειτουργιών στις 26 Μαρτίου, αλλά η έρευνα για τον αρχικό φορέα εισβολής παραμένει ανοιχτή.

Στις 11 Μαρτίου 2026, η αμερικανική εταιρεία ιατρικής τεχνολογίας Stryker Corporation γνωστοποίησε κυβερνοεπίθεση που διέκοψε τα εσωτερικά δίκτυα και τα Microsoft συστήματά της παγκοσμίως, αφήνοντας χιλιάδες εργαζόμενους χωρίς πρόσβαση σε εταιρικά συστήματα και συσκευές. Το γνωστό ιρανικό hacktivist group Handala ανέλαβε δημόσια την ευθύνη μέσω μηνυμάτων σε παραβιασμένα συστήματα και στα social media, παρουσιάζοντας την επίθεση ως αντίποινα για αμερικανικά αεροπορικά πλήγματα στο Ιράν.

Microsoft Intune ως όπλο: η τεχνική ανάλυση

Στις 16 Μαρτίου, η Stryker επιβεβαίωσε ότι ο φορέας της απειλής χρησιμοποίησε το Microsoft Intune για να διαγράψει την εσωτερική virtual υποδομή της, καθιστώντας laptops, κινητές συσκευές και virtual servers ανενεργά. Σύμφωνα με πηγή με γνώση της επίθεσης που μίλησε στο KrebsOnSecurity υπό συνθήκες ανωνυμίας, οι δράστες φαίνεται να χρησιμοποίησαν το Microsoft Intune για να εκδώσουν εντολή «remote wipe» εναντίον όλων των συνδεδεμένων συσκευών. Το Intune είναι cloud-based λύση για IT teams που παρέχει ενιαία web-based κονσόλα διαχείρισης και ελέγχου συσκευών ανεξαρτήτως τοποθεσίας. Οι hackers παραβίασαν έναν λογαριασμό Windows domain admin και τον χρησιμοποίησαν για να δημιουργήσουν νέο Global Administrator account, από τον οποίο εκτέλεσαν το remote wipe μέσω Intune.

Το πρωί της 11ης Μαρτίου, εργαζόμενοι σε γραφεία της Stryker σε 79 χώρες άνοιξαν τους υπολογιστές τους και τους βρήκαν κενούς. Οι οθόνες login είχαν αντικατασταθεί με το λογότυπο ενός ξυπόλητου αγοριού που κρατά σφεντόνα. Πολλοί εργαζόμενοι είχαν εντάξει τα προσωπικά τους κινητά στο BYOD (Bring-Your-Own-Device) πρόγραμμα της εταιρείας, οπότε αυτά διαχειρίζονταν επίσης από τα IT συστήματα της Stryker. Και αυτά τα τηλέφωνα έκαναν factory reset, σβήνοντας όχι μόνο εταιρικές εφαρμογές αλλά τα πάντα: φωτογραφίες, eSIM και authenticator apps. Στη Μέριλαντ, οι υπηρεσίες έκτακτης ιατρικής ανέφεραν ότι το σύστημα Lifenet ECG της Stryker, που χρησιμοποιούν οι παραϊατρικοί για να στέλνουν καρδιολογικά δεδομένα στα νοσοκομεία πριν την άφιξη του ασθενή, έπεσε εκτός λειτουργίας σε μεγάλο μέρος της πολιτείας, αναγκάζοντας σε χρήση ραδιοεπικοινωνίας.

Ποιο είναι το Handala και ποια η σύνδεσή του με το Ιράν

Δυτικοί αναλυτές υποψιάζονται ότι το Handala συνδέεται με το Ιρανικό Υπουργείο Πληροφοριών (MOIS), με το Wired να το χαρακτηρίζει ως suspected front για το υπουργείο. Το αμερικανικό Υπουργείο Δικαιοσύνης το χαρακτήρισε ως πλαστή ταυτότητα που χρησιμοποιεί το MOIS για να συγκαλύπτει τον ρόλο του σε «influence operations και ψυχολογικές εκστρατείες εκφοβισμού». Πολλαπλές ανεξάρτητες εταιρείες threat intelligence, συμπεριλαμβανομένων των Check Point, CrowdStrike, Microsoft και Palo Alto Networks, αξιολογούν το Handala ως ένα από τα online personas που λειτουργεί το Void Manticore, μια μονάδα καταστροφικών επιχειρήσεων εντός του MOIS. Το group παίρνει το όνομά του από τον Handala, έναν ξυπόλητο Παλαιστίνιο πρόσφυγα που δημιούργησε ο πολιτικός γελοιογράφος Naji al-Ali το 1969, σύμβολο παλαιστινιακής ταυτότητας και αντίστασης.

Το Handala Hack Team έχει πραγματοποιήσει τουλάχιστον 131 τεκμηριωμένες επιθέσεις από τον Δεκέμβριο του 2023, με επιταχυνόμενο ρυθμό το 2026. Η ομάδα λειτουργεί μέσω ενός τεκμηριωμένου two-actor handoff: το Scarred Manticore (Storm-0861) εξασφαλίζει αρχική πρόσβαση μέσω μακροχρόνιων επιχειρήσεων, και στη συνέχεια παραδίδει στο Void Manticore (Storm-0842/Handala) για την καταστροφική φάση. Το Handala manifesto ανέφερε ρητά την εξαγορά της ισραηλινής εταιρείας OrthoSpace από τη Stryker το 2019 ως αιτία για τη στόχευσή της.

Τα claims της Handala και η απάντηση των αρχών

Η Handala ισχυρίστηκε ότι η επίθεσή της έπληξε 79 γραφεία της Stryker παγκοσμίως, με πάνω από 200.000 συστήματα, servers και κινητές συσκευές να υποστούν wipe, και 50 terabytes δεδομένων να εξαχθούν. Η Handala δημοσίευσε επιπλέον screenshots με ισχυρισμούς για wipe 12 petabytes δεδομένων και πρόσβαση σε Rubrik Secure Vault backups και vSphere control panels. Οι ισχυρισμοί αυτοί παραμένουν αναπόδεικτοι και πρέπει να αντιμετωπίζονται με επιφύλαξη, καθώς σε επιθέσεις καταστροφικού χαρακτήρα τα claims των επιτιθέμενων συχνά υπερβάλλουν για να μεγιστοποιήσουν την αντιληπτή επίπτωση. Το FBI κατέσχεσε δύο domains που χρησιμοποιούσε η Handala για τη διαρροή των κλεμμένων δεδομένων. Η CISA προειδοποίησε εταιρείες να θωρακίσουν τα συστήματα διαχείρισης του στόλου συσκευών τους, επιβεβαιώνοντας ότι είναι ενήμερη για τη χρήση του Intune στην επίθεση κατά της Stryker.

Επίπτωση στις λειτουργίες και ανάκτηση

Η Stryker επιβεβαίωσε ότι η επίθεση επηρέασε την επεξεργασία παραγγελιών, την παραγωγή και τις αποστολές, αλλά δεν έπληξε υπηρεσίες σχετικές με ασθενείς ή συνδεδεμένα ιατρικά προϊόντα. Προκλήθηκε κάποια διαταραχή σε τμήματα των εφοδιαστικών αλυσίδων, με αντίκτυπο σε ορισμένα health systems που αναγκάστηκαν να αναβάλουν χειρουργικές επεμβάσεις λόγω της αδυναμίας της Stryker να παραδώσει patient-specific προϊόντα. Η Stryker ανέθεσε στην Palo Alto Networks τη διεξαγωγή threat hunting, forensic analysis, containment, eradication και infrastructure review. Η Palo Alto Networks επιβεβαίωσε ότι δεν βρέθηκαν στοιχεία μη εξουσιοδοτημένης δραστηριότητας μετά την 11η Μαρτίου 2026. Η εταιρεία ανακοίνωσε στις 26 Μαρτίου ότι είχε κατά κύριο λόγο ανακάμψει από την κυβερνοεπίθεση.

Γιατί η επίθεση σε εταιρεία ιατρικής τεχνολογίας

Το περιστατικό της Stryker καταδεικνύει πώς οι επιτιθέμενοι μπορούν να αξιοποιήσουν το Microsoft Entra ID και το Intune ως καταστροφικά control planes, σβήνοντας συσκευές και διαταράσσοντας λειτουργίες χωρίς την ανάπτυξη malware. Σύμφωνα με τον Paddy Harrington, senior analyst της Forrester, η επίθεση δεν αξιοποίησε κάποια εγγενή αδυναμία του Microsoft Intune, αλλά ουσιαστικά χρησιμοποίησε living-off-the-land τεχνικές για να παρακάμψει τα υφιστάμενα συστήματα ασφαλείας. Η CISA σύστησε στους διαχειριστές δικτύων να διασφαλίσουν ότι ευαίσθητες ή υψηλής επίπτωσης ενέργειες στο Intune, όπως το remote wipe, απαιτούν έγκριση από δεύτερο administrator. Μετά την επίθεση, η Microsoft εξέδωσε οδηγίες για πελάτες σχετικά με την ενίσχυση της ασφάλειας Windows domains και την προστασία του Intune.

Πηγές

Malware στα επίσημα downloads του CPUID: CPU-Z και HWMonitor υπό διερεύνηση

Fri, 10 Apr 2026 09:01:58 +0000

Τα επίσημα download links για CPU-Z 2.19 και HWMonitor 1.63 στο cpuid.com φέρεται να διένειμαν malware στις 10 Απριλίου 2026.
Το κακόβουλο payload αναλύθηκε από το VX Underground ως multi-stage trojan που λειτουργεί in-memory και στοχεύει αποθηκευμένα credentials browser.
Η CPUID δεν έχει εκδώσει καμία επίσημη ανακοίνωση. Αποφύγετε νέα downloads από cpuid.com μέχρι επιβεβαίωση ακεραιότητας αρχείων.

Επίσημα installers με malware payload

Στις 10 Απριλίου 2026, χρήστες άρχισαν να αναφέρουν ότι τα επίσημα download links του cpuid.com για το HWMonitor 1.63 και το CPU-Z 2.19 δεν παρείχαν τα αναμενόμενα installers. Το Igor's Lab ανέφερε ότι το επίσημο download για το HWMonitor v1.63 περιείχε ενσωματωμένο malware. Το κύριο σήμα ήταν ένα εκτελέσιμο με όνομα HWiNFO_Monitor_Setup.exe αντί για το κανονικό installer, συνοδευόμενο από alerts του Windows Defender και, σε ορισμένες περιπτώσεις, από παράθυρο εγκατάστασης στα ρωσικά.

Τι αποκάλυψε η ανάλυση του κακόβουλου κώδικα

Η ομάδα VX Underground ανέλαβε την τεχνική ανάλυση. Σύμφωνα με τα ευρήματά της, το malware εκτελεί file masquerading, είναι multi-stage, λειτουργεί σχεδόν αποκλειστικά in-memory και χρησιμοποιεί τεχνικές αποφυγής EDR και antivirus — μεταξύ άλλων, proxying της NTDLL λειτουργικότητας μέσω .NET assembly. Το VX Underground αναφέρει επίσης ότι πρόκειται για την ίδια ομάδα που πλαστοπροσωπούσε το FileZilla στις αρχές Μαρτίου 2026.

Στόχος: αποθηκευμένα credentials browser

Το payload λειτουργεί ως information stealer που στοχεύει δεδομένα αποθηκευμένα στον browser, συμπεριλαμβανομένων credentials και άλλων ευαίσθητων πληροφοριών. Detections από πολλαπλά security engines στο VirusTotal αποκλείουν το ενδεχόμενο false positive. Στα binaries εντοπίστηκε C2 domain που αποτελεί Indicator of Compromise (IoC), επιβεβαιώνοντας ότι η υποδομή command-and-control ήταν ενεργή.

Η έκταση του προβλήματος παραμένει αδιευκρίνιστη

Η τρέχουσα έκδοση CPU-Z 2.19 περιλαμβάνει στις release notes fix για ευπάθεια DLL hijacking. Το CVE-2025-65264 αφορά ευπάθεια information disclosure στο CPU-Z v2.17 και παλαιότερα, που επιτρέπει πρόσβαση σε ευαίσθητα δεδομένα μέσω του IOCTL interface του kernel driver. Το περιστατικό της 10ης Απριλίου είναι ωστόσο ανεξάρτητο: αφορά τον τρόπο διανομής, όχι την ευπάθεια του λογισμικού. Τα διαθέσιμα στοιχεία δεν αποδεικνύουν κατ' ανάγκη πλήρη παραβίαση της υποδομής του CPUID — ένα poisoned redirect ή endpoint θα αρκούσε για να προκαλέσει την παρατηρούμενη συμπεριφορά.

Καμία ανακοίνωση από CPUID, site ξανά online

Αργότερα την ίδια μέρα το cpuid.com επέστρεψε online μετά από περίοδο που ήταν απροσπέλαστο. Η διαθεσιμότητα του site δεν επιβεβαιώνει από μόνη της ότι τα αρχεία είναι ασφαλή. Η CPUID δεν έχει εκδώσει καμία ανακοίνωση σχετικά με το περιστατικό μέχρι τη στιγμή σύνταξης αυτού του άρθρου. Όποιος κατέβασε και εκτέλεσε ένα από τα ύποπτα installers θα πρέπει να υποθέσει πιθανή έκθεση, να τρέξει πλήρη σάρωση με ενημερωμένο security software και να αλλάξει κωδικούς αποθηκευμένους στον browser. Νέα downloads από τα κανάλια διανομής της CPUID δεν συνίστανται μέχρι να υπάρξει επίσημη επιβεβαίωση ακεραιότητας αρχείων.

Πηγές

Ιρανοί hackers χτυπούν αμερικανικές κρίσιμες υποδομές μέσω PLCs: έκτακτη προειδοποίηση FBI και CISA

Thu, 09 Apr 2026 20:54:38 +0000

Έξι αμερικανικές υπηρεσίες (FBI, CISA, NSA, EPA, DOE, US Cyber Command) εξέδωσαν έκτακτη κοινή προειδοποίηση για ιρανικές κυβερνοεπιθέσεις σε PLCs κρίσιμων υποδομών, με επιβεβαιωμένες διακοπές λειτουργίας και οικονομικές ζημίες.
Οι επιτιθέμενοι χρησιμοποιούν νόμιμο λογισμικό του κατασκευαστή Rockwell Automation (Studio 5000 Logix Designer) για πρόσβαση σε εκτεθειμένα στο internet CompactLogix και Micro850 PLCs, χωρίς να απαιτούνται zero-day vulnerabilities.
Ανησυχία για διεύρυνση της επίθεσης και σε συσκευές άλλων κατασκευαστών, συμπεριλαμβανομένων Siemens S7 PLCs.

Έξι αμερικανικές ομοσπονδιακές υπηρεσίες εξέδωσαν στις 7 Απριλίου 2026 κοινή έκτακτη προειδοποίηση για ιρανικές κυβερνοεπιθέσεις που έχουν ήδη προκαλέσει διακοπές σε αμερικανικές κρίσιμες υποδομές. Οι επιθέσεις, τις οποίες οι αρχές συνδέουν με τις εχθροπραξίες μεταξύ Ιράν, ΗΠΑ και Ισραήλ, στοχεύουν PLCs των Rockwell Automation και Allen-Bradley σε εγκαταστάσεις ύδρευσης και αποχέτευσης, ενέργειας και κυβερνητικών υπηρεσιών, και είναι ενεργές τουλάχιστον από τον Μάρτιο του 2026. Η κοινή προειδοποίηση συνυπογράφεται από το FBI, τη CISA, την NSA, την EPA, το Υπουργείο Ενέργειας και το US Cyber Command.

Τι έχει ήδη συμβεί

Σύμφωνα με το advisory, τουλάχιστον από τον Μάρτιο 2026 ο ιρανικός APT έχει διαταράξει τη λειτουργία PLCs σε πολλαπλούς τομείς κρίσιμης υποδομής, μεταξύ των οποίων κυβερνητικές εγκαταστάσεις, συστήματα ύδρευσης και αποχέτευσης (WWS) και τομέας ενέργειας. Ορισμένα από τα θύματα υπέστησαν διακοπές λειτουργίας και οικονομικές ζημίες. Το FBI επιβεβαίωσε ότι η δραστηριότητα είχε ως αποτέλεσμα την εξαγωγή project files των συσκευών και την παραποίηση δεδομένων που εμφανίζονται σε HMI και SCADA displays.

Οι επιτιθέμενοι παραποιούσαν τα δεδομένα που εμφανίζονται στα SCADA HMI displays, με αποτέλεσμα οι χειριστές να βλέπουν ψευδείς ενδείξεις διεργασιών ενώ οι κακόβουλες τροποποιήσεις στη λογική ελέγχου εκτελούνταν στο παρασκήνιο αήττητα. Το advisory αποτελεί την πρώτη δημόσια προειδοποίηση αυτού του είδους για απειλές κατά εγχώριων κρίσιμων υποδομών από την έναρξη του πολέμου ΗΠΑ-Ιράν.

Η τεχνική μέθοδος: νόμιμο software ως όπλο

Οι επιτιθέμενοι, οι οποίοι παρακολουθούνται ως CyberAv3ngers (γνωστοί επίσης ως Shahid Kaveh Group, Hydro Kitten, Storm-0784, Bauxite και UNC5691), στοχεύουν CompactLogix και Micro850 PLCs της Rockwell Automation που είναι άμεσα εκτεθειμένα στο internet ή προσβάσιμα χωρίς επαρκείς ελέγχους αυθεντικοποίησης. Εκμεταλλεύονται την απουσία περιορισμών δικτυακής πρόσβασης και αδύναμα ή default credentials, χρησιμοποιώντας το ίδιο το λογισμικό Studio 5000 Logix Designer της Rockwell Automation ως εργαλείο πρόσβασης. Αυτό σημαίνει ότι δεν χρειάστηκαν zero-day exploits: η επίθεση αξιοποιεί αποκλειστικά εκτεθειμένες συσκευές και νόμιμα εργαλεία του κατασκευαστή.

Αφού αποκτούσαν αρχική πρόσβαση, οι επιτιθέμενοι ανέπτυσσαν το Dropbear SSH software στην πόρτα 22 για να εγκαθιδρύσουν ένα persistent κανάλι command and control, και στη συνέχεια εξήγαν, τροποποιούσαν και αναδιανέμανταν τα project files των PLCs. Για command and control χρησιμοποιούσαν ports 44818, 2222, 102, 22 και 502, και ανέπτυσσαν SSH tools όπως το Dropbear για απομακρυσμένη πρόσβαση. Η εταιρεία ασφαλείας Censys εντόπισε σε internet scan που πραγματοποίησε 5.219 τέτοιες συσκευές εκτεθειμένες στο διαδίκτυο, με το 75% αυτών να βρίσκεται στις ΗΠΑ.

Πιθανή διεύρυνση σε Siemens και άλλους κατασκευαστές

Το advisory επεσήμανε επίσης ότι δραστηριότητα σε ports που σχετίζονται με Siemens S7 PLC protocols "υποδηλώνει ότι οι επιτιθέμενοι ενδεχομένως στοχεύουν και συσκευές άλλων κατασκευαστών πέραν της Rockwell Automation." Σύμφωνα με τη CISA, άλλες μάρκες PLCs ενδέχεται να βρίσκονται σε κίνδυνο, συμπεριλαμβανομένης της Siemens S7, που χρησιμοποιείται ευρέως σε Ευρώπη και Ασία. Το εύρος της επίθεσης, συνεπώς, δεν περιορίζεται στη βορειοαμερικανική αγορά όπου κυριαρχεί η Rockwell.

Threat intelligence από την Check Point Research επισήμανε ότι πανομοιότυπα targeting patterns εμφανίστηκαν εναντίον ισραηλινών PLCs τον Μάρτιο 2026, πριν εκδοθεί το αμερικανικό advisory, γεγονός που δείχνει προς μια συντονισμένη, πολυμέτωπη επιχείρηση. Ο Sergey Shykevich, threat intelligence group manager στη Check Point Research, δήλωσε ότι "η κυβερνο-κλιμάκωση του Ιράν ακολουθεί γνωστό playbook" και ότι "οι ιρανικοί threat actors κινούνται πλέον γρηγορότερα και σε μεγαλύτερη κλίμακα, στοχεύοντας τόσο IT όσο και OT υποδομές."

Ιστορικό: από τους CyberAv3ngers του 2023 στη σημερινή εκστρατεία

Το advisory συνδέει την τρέχουσα δραστηριότητα με ένα μοτίβο ιρανικής κρατικής στόχευσης αμερικανικών βιομηχανικών συστημάτων. Οι αρχές έχουν αναφέρει παρόμοια δραστηριότητα από τους CyberAv3ngers, θυγατρική ομάδα του IRGC Cyber Electronic Command, οι οποίοι είχαν παραβιάσει τουλάχιστον 75 Unitronics PLC συσκευές σε εγκαταστάσεις ύδρευσης και αποχέτευσης τον Νοέμβριο 2023. Η τρέχουσα δραστηριότητα αποδίδεται σε ξεχωριστή, αν και συγγενή, ομάδα ιρανικών APT actors. Η σημερινή εκστρατεία στοχεύει διαφορετικό κατασκευαστή και χρησιμοποιεί νόμιμο λογισμικό για την εγκαθίδρυση συνδέσεων, αποτελώντας τεχνικά πιο εξελιγμένη προσέγγιση.

Τον Οκτώβριο 2024, η OpenAI είχε αποκαλύψει ότι οι CyberAv3ngers χρησιμοποίησαν το ChatGPT για τον σχεδιασμό ICS επιθέσεων. Λογαριασμοί που συνδέονταν με την ομάδα χρησιμοποίησαν το εργαλείο για reconnaissance, αλλά και για βοήθεια σε exploitation vulnerabilities, αποφυγή ανίχνευσης και post-compromise δραστηριότητες.

Συστάσεις και δομικά προβλήματα

Οι αρχές συστήνουν αποσύνδεση των PLCs από το internet ή προστασία τους με firewall, παρακολούθηση των OT ports για ύποπτη κίνηση, έλεγχο logs για indicators of compromise, ενεργοποίηση multi-factor authentication, ενημέρωση firmware, απενεργοποίηση αχρησιμοποίητων υπηρεσιών ή default keys και συνεχή παρακολούθηση της δικτυακής δραστηριότητας. Ωστόσο, αξίζει να σημειωθεί ότι περίπου το 60% του προσωπικού της CISA τέθηκε σε διαθεσιμότητα από τις 14 Φεβρουαρίου 2026, μειώνοντας τη λειτουργική ικανότητα της υπηρεσίας ακριβώς τη στιγμή που η ιρανική κυβερνοδραστηριότητα εντάθηκε. Σύμφωνα με τον Steve Povolny, VP of AI strategy and security research στην Exabeam, η εκστρατεία αντικατοπτρίζει "διαρθρωτικές αδυναμίες που υπάρχουν εδώ και χρόνια σε OT περιβάλλοντα," με PLCs και HMI stacks που συχνά εκτελούν παρωχημένο firmware επί χρόνια.

Πηγές

Νέες επιθέσεις Rowhammer σε GPU NVIDIA αποδίδουν πλήρη έλεγχο του συστήματος

Fri, 03 Apr 2026 18:08:57 +0000

Τρεις ερευνητικές ομάδες παρουσίασαν επιθέσεις Rowhammer σε GPU της NVIDIA με μνήμη GDDR6, επιτυγχάνοντας αυθαίρετη πρόσβαση στη μνήμη του κεντρικού επεξεργαστή και κέλυφος υπερχρήστη.
Η τρίτη εργασία, με τίτλο GPUBreach, φέρεται να λειτουργεί ακόμη και με ενεργό το IOMMU, αμφισβητώντας την επάρκεια του βασικού αντιμέτρου που είχαν προτείνει οι δύο προηγούμενες ομάδες.
Επιβεβαιωμένα ευάλωτες στις νέες επιθέσεις είναι η RTX 3060 και η RTX A6000 της γενιάς Ampere, ενώ η NVIDIA αναφέρει ότι νεότερες GPU με ενσωματωμένο on-die ECC προσφέρουν καλύτερη προστασία.

Τρεις ερευνητικές ομάδες παρουσίασαν μέσα στην ίδια εβδομάδα νέες επιθέσεις τύπου Rowhammer σε GPU της NVIDIA με μνήμη GDDR6, επιτυγχάνοντας αυθαίρετη πρόσβαση ανάγνωσης και εγγραφής στη μνήμη του κεντρικού επεξεργαστή και, τελικά, απόκτηση κελύφους υπερχρήστη στο σύστημα-ξενιστή. Οι δύο πρώτες επιθέσεις, GDDRHammer και GeForge, δημοσιοποιήθηκαν στις 2 Απριλίου μέσω της σελίδας gddr.fail και πρόκειται να παρουσιαστούν στο 47ο IEEE Symposium on Security and Privacy τον Μάιο του 2026. Μια τρίτη εργασία, με τίτλο GPUBreach, εμφανίστηκε επίσης δημόσια στις 3 Απριλίου.

Από αναστροφές bit σε πλήρη παραβίαση συστήματος

Η τεχνική Rowhammer είναι γνωστή εδώ και περισσότερο από μία δεκαετία. Η επαναλαμβανόμενη και εντατική πρόσβαση σε συγκεκριμένες γραμμές DRAM μπορεί να προκαλέσει ηλεκτρική παρεμβολή σε γειτονικές γραμμές, οδηγώντας σε αναστροφές bit σε περιοχές μνήμης που ο επιτιθέμενος κανονικά δεν μπορεί να τροποποιήσει. Μέχρι πρόσφατα, οι αντίστοιχες επιθέσεις σε μνήμη GDDR είχαν συνδεθεί κυρίως με υποβάθμιση μοντέλων τεχνητής νοημοσύνης και όχι με πλήρη κατάληψη του συστήματος.

Η ομάδα του GDDRHammer, με ερευνητές από τα UNC Chapel Hill, Georgia Tech και MBZUAI, ανέλυσε 25 GPU με μνήμη GDDR6 και ανέπτυξε τεχνικές παράκαμψης των ενσωματωμένων αντιμέτρων της μνήμης. Σύμφωνα με τους ερευνητές, η μέθοδος πετυχαίνει κατά μέσο όρο περίπου 64 φορές περισσότερες αναστροφές bit από προηγούμενη εργασία. Η εκμετάλλευση βασίζεται σε αδυναμία του προεπιλεγμένου διαχειριστή μνήμης του CUDA, ώστε να γίνουν αναστροφές bit στους πίνακες σελίδων της GPU και να διασπαστεί η απομόνωση μεταξύ διεργασιών, ανοίγοντας τον δρόμο για πρόσβαση σε ολόκληρη τη μνήμη του κεντρικού επεξεργαστή. Η επίθεση επαληθεύτηκε στην RTX A6000 της γενιάς Ampere.

Η ομάδα του GeForge, με ερευνητές από Purdue, Clemson, University of Rochester, University of Western Australia και HydroX AI, ακολουθεί διαφορετικό μονοπάτι. Αντί να στοχεύει τους πίνακες σελίδων, επιτίθεται στον κατάλογο σελίδων, καταγράφοντας 1.171 αναστροφές bit στην RTX 3060 και 202 στην RTX A6000 κατά τις δοκιμές. Και στις δύο περιπτώσεις, οι ερευνητές καταλήγουν σε αυθαίρετη εγγραφή στη μνήμη του κεντρικού επεξεργαστή και σε κέλυφος υπερχρήστη, όπως δείχνουν και τα δημόσια βίντεο επίδειξης.

Η τρίτη εργασία, GPUBreach, αποδίδεται επίσης σε επίθεση Rowhammer κατά της μνήμης GDDR6 και, σύμφωνα με τις μέχρι στιγμής δημόσιες αναφορές, πετυχαίνει κλιμάκωση προνομίων έως κέλυφος υπερχρήστη στην RTX A6000 ακόμη και με ενεργό το IOMMU. Αυτό έχει ιδιαίτερη σημασία, επειδή μέχρι τώρα το IOMMU προβαλλόταν ως το βασικό πρακτικό αντίμετρο απέναντι σε επιθέσεις που επιχειρούν να περάσουν από τη μνήμη της GPU στη μνήμη του κεντρικού επεξεργαστή.

Ποιες GPU έχουν επιβεβαιωθεί ως ευάλωτες

Οι επιβεβαιωμένες επιτυχείς εκμεταλλεύσεις αφορούν μέχρι στιγμής δύο μοντέλα της αρχιτεκτονικής Ampere με μνήμη GDDR6, την GeForce RTX 3060 και την RTX A6000. Οι ερευνητές του GDDRHammer αναφέρουν επίσης ότι δοκίμασαν μοντέλα όπως RTX 3080, RTX 4060, RTX 4060 Ti και RTX 5050 χωρίς να παρατηρήσουν αναστροφές bit στις δοκιμές τους.

Η NVIDIA αναφέρει ότι οι GeForce RTX 50 series, που χρησιμοποιούν GDDR7 με ενσωματωμένο on-die ECC, διαθέτουν ισχυρότερη προστασία απέναντι σε bit flips που προκαλούνται από Rowhammer. Αντίστοιχα, οι επιταχυντές με μνήμη HBM, όπως οι A100 και H100, διαθέτουν επίσης ενσωματωμένο ECC σε επίπεδο chip. Αυτό δεν ισοδυναμεί με απόλυτη ανοσία, αλλά σημαίνει ότι δεν έχουν μέχρι στιγμής επιβεβαιωθεί ως ευάλωτοι από τις συγκεκριμένες εργασίες.

Αντιμετώπιση, υπολογιστικό νέφος και πρακτικός κίνδυνος

Μέχρι την εμφάνιση της τρίτης εργασίας, η ενεργοποίηση του IOMMU στο BIOS παρουσιαζόταν ως η κύρια διαθέσιμη άμυνα, επειδή περιορίζει την πρόσβαση της GPU σε προστατευμένες περιοχές της μνήμης του κεντρικού επεξεργαστή. Αν οι ισχυρισμοί για το GPUBreach επιβεβαιωθούν πλήρως, τότε το IOMMU παύει να επαρκεί ως καθολικό αντίμετρο και μετατρέπεται σε μερικό μόνο φράγμα.

Η άλλη διαθέσιμη επιλογή είναι η ενεργοποίηση ECC στη GPU, όπου αυτή υποστηρίζεται, με γνωστό κόστος σε διαθέσιμη χωρητικότητα μνήμης και επιδόσεις. Ωστόσο, ούτε αυτό το μέτρο θεωρείται απόλυτο σε θεωρητικό επίπεδο, καθώς προηγούμενες παραλλαγές επιθέσεων Rowhammer έχουν δείξει ότι ακόμη και ECC μηχανισμοί μπορούν υπό προϋποθέσεις να παρακαμφθούν.

Ο μεγαλύτερος πρακτικός κίνδυνος αφορά περιβάλλοντα υπολογιστικού νέφους όπου πολλοί μισθωτές μοιράζονται την ίδια φυσική GPU. Σε ένα τέτοιο σενάριο, ένας κακόβουλος χρήστης θα μπορούσε θεωρητικά να εκτελέσει κώδικα CUDA χωρίς ειδικά προνόμια και να περάσει από τη μνήμη της GPU στη μνήμη του συστήματος-ξενιστή, θέτοντας σε κίνδυνο δεδομένα και φόρτους εργασίας άλλων μισθωτών.

Μέχρι στιγμής δεν υπάρχουν δημόσιες ενδείξεις ενεργής εκμετάλλευσης αυτών των τεχνικών σε πραγματικά περιβάλλοντα. Η ταυτόχρονη αποκάλυψη τριών εργασιών, όμως, αυξάνει αισθητά την πίεση προς παρόχους cloud και διαχειριστές υποδομών που βασίζονται σε διαμοιραζόμενες GPU, ιδίως ενόψει της επίσημης παρουσίασής τους στο IEEE S&P τον Μάιο του 2026.

Πηγές

KadNap: Botnet σε 14.000 δρομολογητές αποκρύπτει την υποδομή του μέσα σε κίνηση P2P

Thu, 12 Mar 2026 14:36:04 +0000

Ερευνητές της Lumen ανακάλυψαν το KadNap, ένα botnet που μολύνει κατά μέσο όρο 14.000 δρομολογητές την ημέρα, κυρίως μοντέλα Asus, εκμεταλλευόμενο γνωστά, αμελημένα κενά ασφαλείας.
Οι μολυσμένες συσκευές εντάσσονται σε αποκεντρωμένο δίκτυο ομότιμων κόμβων (P2P) βασισμένο στο πρωτόκολλο Kademlia, καθιστώντας την εξουδετέρωση του botnet ιδιαίτερα δύσκολη με τις παραδοσιακές μεθόδους.
Οι παραβιασμένοι δρομολογητές ενσωματώνονται σε εμπορική υπηρεσία ανώνυμης πρόσβασης που, σύμφωνα με εκτίμηση της Lumen, εξυπηρετεί εγκληματικές δραστηριότητες στο διαδίκτυο.

Η ομάδα Black Lotus Labs της Lumen δημοσίευσε την Τετάρτη αναλυτική έκθεση για ένα νέο κακόβουλο λογισμικό που έχει λάβει την κωδική ονομασία KadNap. Σύμφωνα με τα στοιχεία που παρουσιάστηκαν, ο αριθμός των μολυσμένων συσκευών ανέρχεται κατά μέσο όρο σε 14.000 την ημέρα, αυξημένος από τις 10.000 που είχαν εντοπιστεί τον Αύγουστο του 2025, όταν και έγινε η πρώτη ανακάλυψη. Πάνω από το 60% των θυμάτων βρίσκεται στις Ηνωμένες Πολιτείες, ενώ μικρότερος αριθμός μολύνσεων έχει καταγραφεί σε Ταϊβάν, Χονγκ Κονγκ, Ρωσία, Ηνωμένο Βασίλειο, Αυστραλία, Βραζιλία, Γαλλία, Ιταλία και Ισπανία.

Στόχος είναι κυρίως δρομολογητές Asus για οικιακή και μικρή επαγγελματική χρήση (SOHO), αν και το KadNap έχει εντοπιστεί και σε άλλες κατηγορίες συσκευών περιμέτρου δικτύου. Ο ερευνητής Chris Formosa της Black Lotus Labs δήλωσε στο Ars Technica ότι η έντονη συγκέντρωση συσκευών Asus στο botnet πιθανότατα οφείλεται στο ότι οι χειριστές του απέκτησαν αξιόπιστο εκμεταλλευτή (exploit) για γνωστά κενά ασφαλείας συγκεκριμένων μοντέλων, χωρίς να αξιοποιούνται, σύμφωνα με την εκτίμησή του, κάποιες αγνώστου τύπου ευπάθειες (zero-days). Οι χρησιμοποιούμενοι φορείς εκμετάλλευσης δεν έχουν αποκαλυφθεί δημόσια.

Ο μηχανισμός μόλυνσης: από cron job σε αποκεντρωμένο δίκτυο κόμβων

Η αλυσίδα επίθεσης ξεκινά με ένα κακόβουλο shell script με την ονομασία aic.sh, το οποίο μεταφορτώνεται από έναν εξυπηρετητή ελέγχου. Το script δημιουργεί μια προγραμματισμένη εργασία (cron job) που εκτελείται κάθε ώρα, ανακτά εκ νέου το κακόβουλο φορτίο, το μετονομάζει σε .asusrouter και το αποθηκεύει στο μονοπάτι /jffs/.asusrouter. Αυτός ο μηχανισμός εξασφαλίζει την επιμονή της μόλυνσης ακόμα και μετά από επανεκκίνηση. Στη συνέχεια, αναπτύσσεται ένα αρχείο ELF με την ονομασία kad, το οποίο αποτελεί τον πυρήνα του KadNap. Το κακόβουλο λογισμικό υποστηρίζει συσκευές που εκτελούνται σε επεξεργαστές ARM και MIPS.

Κατά τη λειτουργία του, το KadNap συνδέεται σε εξυπηρετητή πρωτοκόλλου ώρας (NTP) για να ανακτήσει την τρέχουσα ώρα, την οποία συνδυάζει με το χρόνο λειτουργίας της συσκευής για να παραγάγει ένα μοναδικό κλειδί (hash). Με αυτό εντοπίζει άλλους μολυσμένους κόμβους στο αποκεντρωμένο δίκτυο. Παράλληλα, τα αρχεία fwr.sh και .sose αναλαμβάνουν να κλείσουν την πόρτα 22 (πρότυπη πόρτα SSH) και να παραδώσουν λίστα με συντεταγμένες IP/port των εξυπηρετητών ελέγχου.

Η αρχιτεκτονική Kademlia DHT που δυσκολεύει την εξουδετέρωση

Το διακριτικό τεχνικό χαρακτηριστικό του KadNap είναι η χρήση μιας παραλλαγμένης υλοποίησης του πρωτοκόλλου Kademlia, ενός κατανεμημένου πίνακα κατακερματισμού (Distributed Hash Table, DHT) που χρησιμοποιείται ευρέως σε νόμιμα δίκτυα P2P όπως το BitTorrent. Στην περίπτωση του KadNap, το πρωτόκολλο αξιοποιείται για να αποκρύψει τις διευθύνσεις IP των εξυπηρετητών εντολών και ελέγχου (C2): αντί για κεντρικό εξυπηρετητή, ο κόμβος αναζητά τους εξυπηρετητές C2 μέσω αναζήτησης DHT, ακριβώς όπως γίνεται με οποιοδήποτε αρχείο σε ένα νόμιμο BitTorrent swarm.

Αυτό καθιστά αναποτελεσματικές τις κλασικές μεθόδους αντιμετώπισης, όπως η κατάσχεση κεντρικού εξυπηρετητή ή η ανακατεύθυνση κακόβουλου domain (sinkholing). Επιπλέον, η κυκλοφορία του botnet αναμειγνύεται με τεράστιους όγκους νόμιμης κίνησης BitTorrent DHT, καθιστώντας την ανίχνευσή της με βαθύ έλεγχο πακέτων (DPI) ιδιαίτερα δαπανηρή. Αξίζει να σημειωθεί ότι οι τεχνικές DHT σε botnet έχουν εμφανιστεί και παλαιότερα, ιδίως στο Mozi (2019-2023), επομένως η αρχιτεκτονική αυτή δεν αποτελεί εφεύρεση του KadNap, αλλά ένα σχετικά ώριμο επιχειρησιακό πρότυπο.

Η υπηρεσία Doppelgänger και η εμπορευματοποίηση του botnet

Σύμφωνα με την έκθεση της Lumen, οι μολυσμένοι δρομολογητές δεν χρησιμοποιούνται ως τελικά εργαλεία επίθεσης αλλά ως ενδιάμεσοι κόμβοι ανωνυμοποίησης της κυκλοφορίας. Η υπηρεσία που τους εκμεταλλεύεται εμπορικά φέρεται με την ονομασία Doppelgänger (doppelganger.shop) και ισχυρίζεται ότι προσφέρει πρόσβαση μέσω οικιακών συνδέσεων (residential proxies) σε άνω των 50 χωρών. Η Lumen εκτιμά ότι το Doppelgänger αποτελεί "επανεκκίνηση" της παλιάς υπηρεσίας Faceless, η οποία είχε συνδεθεί με το κακόβουλο λογισμικό TheMoon. Η εν λόγω αξιολόγηση παρουσιάζεται ως εκτίμηση και όχι ως επιβεβαιωμένο συμπέρασμα.

Ερευνητές της Black Lotus Labs σημειώνουν ότι οι κόμβοι του Doppelgänger χρησιμοποιούνται ήδη από κακόβουλους παράγοντες. Το γεγονός ότι ορισμένες μολυσμένες συσκευές εμφανίζουν ταυτόχρονη μόλυνση από άλλα κακόβουλα λογισμικά δυσκολεύει την απόδοση συγκεκριμένων δραστηριοτήτων σε έναν μόνο παράγοντα, σύμφωνα με τους ίδιους.

Αντίμετρα: τι κάνει η Lumen και τι πρέπει να κάνουν οι κάτοχοι συσκευών

Η Lumen ανακοίνωσε ότι έχει αποκλείσει προληπτικά την κυκλοφορία από και προς την υποδομή του KadNap σε ολόκληρο το δίκτυο ραχοκοκαλιάς (backbone) της, και διανέμει δείκτες παραβίασης (Indicators of Compromise, IoC) σε δημόσιες ροές για να διευκολύνει άλλους παρόχους να λάβουν αντίστοιχα μέτρα. Παρά ταύτα, η δομή P2P του botnet σημαίνει ότι η πλήρης εξάρθρωσή του απαιτεί αποσύνδεση όλων των μολυσμένων κόμβων, κάτι που πρακτικά δεν είναι εφικτό στο σύνολό του.

Για τους κατόχους δρομολογητών, η επανεκκίνηση της συσκευής δεν επαρκεί, δεδομένης της επιμονής του μηχανισμού cron. Η αποκατάσταση απαιτεί πλήρη επαναφορά εργοστασιακών ρυθμίσεων (factory reset), ακολουθούμενη από ενημέρωση του firmware στην τελευταία έκδοση, χρήση ισχυρού κωδικού πρόσβασης στο διαχειριστικό πάνελ και απενεργοποίηση της απομακρυσμένης διαχείρισης (remote administration) εφόσον δεν είναι απολύτως απαραίτητη. Η Lumen παρέχει σελίδα επαλήθευσης με διευθύνσεις IP και κατακερματισμούς (hashes) αρχείων που οι χρήστες μπορούν να αναζητήσουν στα αρχεία καταγραφής (logs) της συσκευής τους.

Πρακτικά, το KadNap αξιοποιεί μία από τις πιο επίμονες αδυναμίες στην ασφάλεια του οικιακού εξοπλισμού δικτύου: τα firmware που δεν ενημερώνονται ποτέ. Σε συσκευές που παραμένουν εκτεθειμένες στο διαδίκτυο χωρίς καμία ενημέρωση ασφαλείας για χρόνια, η ύπαρξη αξιόπιστου exploit για γνωστά κενά είναι αρκετή για να εντάξει χιλιάδες νοικοκυριά σε ένα λειτουργικό εγκληματικό δίκτυο.

Εάν η τάση αύξησης που καταγράφεται από τον Αύγουστο του 2025 παραμείνει, το botnet ενδέχεται να συνεχίσει να επεκτείνεται. Η αρχιτεκτονική DHT έχει αποδειχθεί ανθεκτική σε παλαιότερες περιπτώσεις και, ελλείψει ευρύτερης συντονισμένης δράσης στο επίπεδο των παρόχων πρόσβασης και των κατασκευαστών, η πλήρης αντιμετώπισή της παραμένει ανοιχτό ζήτημα.

Πηγές

"Αρνητικό φως" για κρυφές επικοινωνίες: η νέα μέθοδος που καμουφλάρει δεδομένα στη θερμική ακτινοβολία

Tue, 10 Mar 2026 15:24:25 +0000

Μηχανικοί από το UNSW Sydney και το Πανεπιστήμιο Monash ανέπτυξαν σύστημα μετάδοσης δεδομένων που καμουφλάρει τα σήματα στη φυσική υπέρυθρη ακτινοβολία, χρησιμοποιώντας το φαινόμενο της αρνητικής φωτεινότητας (negative luminescence).
Σε αντίθεση με την κρυπτογράφηση, που κρύβει το περιεχόμενο ενός μηνύματος, η νέα μέθοδος επιχειρεί να κρύψει και την ίδια την παρουσία της επικοινωνίας μέσα στο θερμικό υπόβαθρο.
Η τεχνολογία βρίσκεται σε πρώιμο στάδιο (πρωτότυπο εργαστηρίου στα 100 KB/s), αλλά θα μπορούσε να αποτελέσει νέο επίπεδο ασφάλειας σε εφαρμογές άμυνας, οικονομικών και ευαίσθητων επικοινωνιών.

Μηχανικοί από το UNSW Sydney και το Πανεπιστήμιο Monash δημοσίευσαν στο επιστημονικό περιοδικό Light: Science and Applications (Nature Publishing Group) μια νέα μέθοδο απόκρυφης μετάδοσης δεδομένων, την οποία αποκαλούν «θερμοακτινοβόλο επικοινωνία χωρίς υπογραφή» (thermoradiative signatureless communication). Η βασική αρχή είναι απλή στη σύλληψη αλλά εξαιρετικά δύσκολη στην υλοποίηση: αντί να εκπέμπει ένα αναγνωρίσιμο σήμα, το σύστημα προκαλεί ελαφρά μείωση της θερμικής ακτινοβολίας σε σχέση με το περιβαλλοντικό υπόβαθρο, κάτι που αποδίδεται στο φαινόμενο της αρνητικής φωτεινότητας (negative luminescence).

Κάθε αντικείμενο εκπέμπει φυσική υπέρυθρη ακτινοβολία ανάλογα με τη θερμοκρασία του — αυτό είναι αυτό που απεικονίζουν οι θερμικές κάμερες. Η ομάδα εκμεταλλεύτηκε το γεγονός ότι ορισμένα ημιαγώγιμα υλικά, υπό συγκεκριμένες συνθήκες, μπορούν να κάνουν μια επιφάνεια να φαίνεται πιο σκοτεινή από το περιβάλλον της στο υπέρυθρο. «Είναι σαν έναν φακό που μπορεί κατά κάποιο τρόπο να γίνει σκοτεινότερος από το "σβηστό"», περιέγραψε ο δρ Michael Nielsen, επικεφαλής συγγραφέας από τη Σχολή Φωτοβολταϊκής και Ανανεώσιμης Ενέργειας του UNSW.

Πώς λειτουργεί

Το σύστημα χρησιμοποιεί συσκευές γνωστές ως θερμοακτινοβόλες δίοδοι (thermoradiative diodes), οι οποίες εναλλάσσουν γρήγορα την εκπομπή τους μεταξύ ελαφρώς υψηλότερης και ελαφρώς χαμηλότερης θερμικής ακτινοβολίας. Το αποτέλεσμα είναι ένα μοτίβο που εντάσσεται στον φυσικό «θόρυβο» του περιβάλλοντος. Για έναν εξωτερικό παρατηρητή, ακόμα και με θερμική κάμερα, δεν φαίνεται να μεταδίδεται τίποτα. Μόνο ένας δέκτης με τον κατάλληλο εξοπλισμό μπορεί να αποκωδικοποιήσει το κρυφό μήνυμα.

Η έρευνα αναπτύχθηκε εν μέρει από τη συνεχιζόμενη δουλειά της ίδιας ομάδας στην «ηλιακή ενέργεια νύχτας» (night-time solar), μια τεχνολογία που αντλεί ηλεκτρισμό από τη θερμική ακτινοβολία ακόμα και απουσία ηλιακού φωτός. Κατά τη διάρκεια εκείνης της έρευνας, οι επιστήμονες αναγνώρισαν ότι η αρνητική φωτεινότητα ήταν κρίσιμη για την απόδοση των θερμοακτινοβόλων διόδων — και αντιλήφθηκαν την εφαρμογή της στις κρυφές επικοινωνίες.

Στα εργαστηριακά πειράματα, η ομάδα κατάφερε ταχύτητα μετάδοσης περίπου 100 kilobytes ανά δευτερόλεπτο, χρησιμοποιώντας τελλουρίδιο υδραργύρου-καδμίου (mercury cadmium telluride) ως ημιαγωγό. Ο καθηγητής Ned Ekins-Daukes δήλωσε ότι ένα εμπορικό προϊόν με ταχύτητες megabit θα μπορούσε να γίνει πραγματικότητα μέσα σε λίγα χρόνια, ενώ συνεργάτες από το Monash έχουν υποδείξει τη χρήση γραφενίου ως πιθανό δρόμο για ρυθμούς τάξης gigabit ανά δευτερόλεπτο. Οι αναφορές αυτές ανήκουν στο επίπεδο ερευνητικής προοπτικής — δεν έχουν επιδειχθεί από το τρέχον πρωτότυπο.

Από το κρυπτογραφημένο στο αόρατο

Η σημαντικότερη διαφορά από τις υπάρχουσες μεθόδους ασφάλειας είναι ότι η αρνητική φωτεινότητα στοχεύει στο να καμουφλάρει και την ύπαρξη της ίδιας της επικοινωνίας μέσα στο θερμικό υπόβαθρο, όχι μόνο το περιεχόμενό της. Επιπλέον, η μέθοδος μπορεί να συνδυαστεί με παραδοσιακή κρυπτογράφηση, προσθέτοντας ένα επιπλέον επίπεδο προστασίας. Δυνητικές εφαρμογές περιλαμβάνουν στρατιωτικές επικοινωνίες, χρηματοοικονομικές υποδομές και διπλωματικά κανάλια, τομείς όπου ακόμα και η αποκάλυψη του γεγονότος της επικοινωνίας μπορεί να έχει συνέπειες.

Οι περιορισμοί του πρωτοτύπου

Η τεχνολογία βρίσκεται ακόμα σε στάδιο απόδειξης ιδέας (proof of concept). Η ταχύτητα των 100 KB/s απέχει πολύ από τις ανάγκες πρακτικής ανάπτυξης, και η χρήση τελλουρίδιου υδραργύρου-καδμίου εγείρει ερωτήματα τοξικότητας που η ίδια η ομάδα αναγνωρίζει. Ο δρόμος προς εφαρμογές γραφενίου και υψηλότερους ρυθμούς μετάδοσης παραμένει ερευνητική πρόταση, όχι αποδεδειγμένο αποτέλεσμα. Τέλος, η μέθοδος απαιτεί εξειδικευμένο εξοπλισμό και στον πομπό και στον δέκτη, κάτι που θέτει φραγμούς στη μαζική υιοθέτηση βραχυπρόθεσμα.

Αν η τεχνολογία αναπτυχθεί όπως προβλέπουν οι ερευνητές, θα μπορούσε να αλλάξει τη λογική του τομέα της κρυπτογραφικής ασφάλειας: από το «κάνε το μήνυμα αδύνατον να διαβαστεί» στο «κάνε το μήνυμα αδύνατον να εντοπιστεί». Κατά εκτίμηση, οι πιθανότερες πρώτες εφαρμογές θα αφορούν στρατιωτικά και κρατικά κανάλια, πριν — αν ποτέ — φτάσει σε ευρύτερη εμπορική χρήση.