Οι Fabian Bräunlein και Luca Melette, ερευνητές ασφαλείας, ανακάλυψαν κατά λάθος ότι το σύστημα Radio Ripple Control, το οποίο χρησιμοποιείται για τον έλεγχο δικτυακών λειτουργιών όπως φωτισμός δρόμων και διαχείριση ενέργειας, βασίζεται σε μη κρυπτογραφημένα ραδιοσήματα. Αυτό σημαίνει ότι οποιοσδήποτε μπορεί να παρακολουθήσει, να καταγράψει και να αναπαράγει τα σήματα αυτά, δημιουργώντας κίνδυνο για την ευρωπαϊκή ενεργειακή υποδομή. Το σύστημα αυτό ελέγχει έως και 60 GW ισχύος, συμπεριλαμβανομένων μονάδων ανανεώσιμης ενέργειας και συστημάτων θέρμανσης.

Η έρευνα ξεκίνησε όταν οι Bräunlein και Melette προσπάθησαν να ανακατασκευάσουν το σύστημα ελέγχου των φώτων δρόμων στο Βερολίνο. Στη διαδικασία, ανακάλυψαν ότι το ίδιο σύστημα χρησιμοποιείται για τον έλεγχο μονάδων ανανεώσιμης ενέργειας σε ολόκληρη την Κεντρική Ευρώπη. Χρησιμοποιώντας έναν ελεγκτή ESP και μια κεραία από ασύρματο φορτιστή, κατάφεραν να μιμηθούν τα σήματα και να ελέγξουν πραγματικές ηλεκτρικές εγκαταστάσεις στο εργαστήριό τους. Αυτή η δυνατότητα ανοίγει την πόρτα για πιθανές επιθέσεις που θα μπορούσαν να διαταράξουν το δίκτυο, αν και οι ειδικοί αμφισβητούν την πρακτική εφαρμογή μιας τέτοιας επίθεσης.

Το Radio Ripple Control βασίζεται σε πρωτόκολλα όπως το Versacom και το Semagyr, τα οποία δεν προσφέρουν κρυπτογράφηση ή έλεγχο ταυτότητας. Οι ερευνητές υποστηρίζουν ότι ένας κακόβουλος χρήστης θα μπορούσε να δημιουργήσει ειδικά σχεδιασμένα ραδιοσήματα για να διαταράξει τη λειτουργία του δικτύου, αν και αυτό θα απαιτούσε σημαντική υποδομή και γνώση. Ωστόσο, η πραγματική ανησυχία είναι η χρήση ενός τόσο ευάλωτου συστήματος για τον έλεγχο κρίσιμης υποδομής.

Η αντικατάσταση του Radio Ripple Control με πιο ασφαλή τεχνολογίες, όπως το iMSys που βασίζεται στο LTE, φαίνεται να είναι η λύση. Ωστόσο, η υλοποίηση τέτοιων αλλαγών προχωρά αργά, παρά το γεγονός ότι η πόλη του Αμβούργου πρόσφατα εγκατέστησε το Radio Ripple Control. Η έλλειψη κρυπτογράφησης και ελέγχου ταυτότητας σε συστήματα που ελέγχουν τόσο μεγάλα ποσά ενέργειας αποτελεί σοβαρό κίνδυνο για την ευρωπαϊκή ενεργειακή ασφάλεια.

Ένα σοβαρό κενό ασφαλείας στο σύστημα της Subaru επέτρεπε την απομακρυσμένη παρακολούθηση, ξεκλείδωμα και εκκίνηση εκατομμυρίων αυτοκινήτων με το σύστημα Starlink. Ακόμα πιο ανησυχητικό ήταν ότι το ιστορικό τοποθεσίας των οχημάτων για έναν ολόκληρο χρόνο ήταν διαθέσιμο με ακρίβεια έως πέντε μέτρα.

Η ανακάλυψη του κενού

Ο ερευνητής ασφαλείας Sam Curry ξεκίνησε την έρευνά του, αφού συμφώνησε με τη μητέρα του να της αγοράσει ένα Subaru, με αντάλλαγμα την άδεια να το «χακάρει». Αν και η εφαρμογή MySubaru Mobile App αποδείχθηκε ασφαλής, η έρευνά του κατέληξε σε έναν sub-domain για εργαζόμενους της Subaru.

Με τη βοήθεια φίλου, εντόπισαν ένα ευάλωτο σύστημα επαναφοράς κωδικού πρόσβασης μέσω JavaScript. Ένα έγκυρο email υπαλλήλου, που βρέθηκε με μια γρήγορη αναζήτηση στο διαδίκτυο, ήταν αρκετό για να αποκτήσουν πρόσβαση. Παρόλο που το σύστημα διέθετε προστασία 2FA, αυτή παρακάμφθηκε εύκολα καθώς λειτουργούσε στην πλευρά του πελάτη και μπορούσε να αφαιρεθεί τοπικά.

Τι αποκαλύφθηκε

Μόλις αποκτήθηκε πρόσβαση, ο Curry μπόρεσε να δει τις τοποθεσίες που είχε επισκεφθεί η μητέρα του τον τελευταίο χρόνο. Δοκιμάζοντας την απομακρυσμένη λειτουργικότητα σε άλλο Subaru, κατάφεραν να προσθέσουν τον εαυτό τους ως εξουσιοδοτημένους χρήστες του οχήματος. Στη συνέχεια, έστειλαν εντολή «ξεκλειδώματος», η οποία εκτελέστηκε άμεσα, χωρίς καμία ειδοποίηση στον ιδιοκτήτη του αυτοκινήτου.

Αντίδραση της Subaru

Ο Curry ενημέρωσε άμεσα τη Subaru, η οποία διόρθωσε το πρόβλημα την επόμενη ημέρα και επιβεβαίωσε ότι δεν υπήρχαν στοιχεία κακόβουλης πρόσβασης από τρίτους. Ωστόσο, η ευκολία με την οποία εκμεταλλεύτηκαν το κενό αναδεικνύει την έλλειψη ανθεκτικότητας των συστημάτων ασφαλείας της αυτοκινητοβιομηχανίας.

Ευρύτερα ερωτήματα ασφαλείας

Ο Curry σημείωσε ότι η προσβασιμότητα και οι ανοιχτές δομές που χρησιμοποιούν οι αυτοκινητοβιομηχανίες είναι μέρος του προβλήματος. Οι υπάλληλοι συχνά έχουν υπερβολικά ευρεία πρόσβαση σε προσωπικά δεδομένα, ενώ το σύστημα βασίζεται κυρίως στην εμπιστοσύνη.

Το περιστατικό αυτό υπογραμμίζει την ανάγκη για ισχυρότερες δικλείδες ασφαλείας σε συνδεδεμένα οχήματα, καθώς και για περισσότερη διαφάνεια και προληπτικά μέτρα από τις αυτοκινητοβιομηχανίες.

Η MasterCard διόρθωσε πρόσφατα ένα σοβαρό λάθος στις ρυθμίσεις του Domain Name Server (DNS) της, το οποίο επέτρεπε την εκτροπή ή παρακολούθηση της διαδικτυακής της κυκλοφορίας μέσω ενός ανενεργού domain name. Το πρόβλημα διήρκεσε σχεδόν πέντε χρόνια, μέχρι που ο ερευνητής ασφαλείας Philippe Caturegli διέγνωσε το σφάλμα και ξόδεψε 300 δολάρια για να καταχωρίσει το domain “akam.ne”, αποτρέποντας την πιθανή εκμετάλλευσή του από κυβερνοεγκληματίες.

Η παραβίαση εντοπίστηκε στο subdomain az.mastercard.com, όπου ένα μικρό τυπογραφικό λάθος στις ρυθμίσεις DNS —αντί για “akam.net” καταχωρήθηκε το “akam.ne”— προκάλεσε τη διαρροή εκατοντάδων χιλιάδων αιτημάτων DNS καθημερινά. Εάν το domain είχε πέσει στα χέρια κακόβουλων χρηστών, αυτοί θα μπορούσαν να εκτρέψουν δεδομένα, να εκδώσουν πλαστά πιστοποιητικά SSL/TLS ή ακόμα και να αποκτήσουν πρόσβαση σε διαπιστευτήρια των χρηστών της εταιρείας.

Ο Caturegli ανέφερε το πρόβλημα απευθείας στη MasterCard αφού εξασφάλισε το domain, αποδεικνύοντας τη δέσμευσή του στην υπεύθυνη αποκάλυψη. Παρόλα αυτά, η αντίδραση της εταιρείας ήταν αμφιλεγόμενη, καθώς ισχυρίστηκε πως δεν υπήρχε ουσιαστικός κίνδυνος και ζήτησε την απόσυρση της σχετικής ανάρτησης του ερευνητή στο LinkedIn. Στην ίδια ανάρτηση, ο Caturegli δημοσίευσε δεδομένα DNS που καταδεικνύουν την κλίμακα του προβλήματος, καλώντας τις εταιρείες να μην υποτιμούν τέτοιους κινδύνους και να χειρίζονται τις αποκαλύψεις με μεγαλύτερη διαφάνεια.

Το περιστατικό αυτό υπογραμμίζει τη σημασία της σωστής διαχείρισης DNS, ειδικά σε μεγάλης κλίμακας οργανισμούς που βασίζονται σε σύνθετες υποδομές cloud. Παρόμοια περιστατικά στο παρελθόν, όπως τυπογραφικά λάθη σε AWS DNS, έχουν δείξει ότι μικρές παραλείψεις μπορούν να έχουν σοβαρές συνέπειες. Η περίπτωση της MasterCard λειτουργεί ως υπενθύμιση για τις εταιρείες να δίνουν προτεραιότητα στην ασφάλεια και την υπεύθυνη αντιμετώπιση ευρημάτων που εντοπίζουν οι ερευνητές.

Η Bambu Lab βρίσκεται στο επίκεντρο της προσοχής, καθώς η τελευταία της κίνηση να περιορίσει την πρόσβαση στα δίκτυα των X1-series 3D εκτυπωτών με νέο firmware οδήγησε σε αναπάντεχες εξελίξεις. Ο ερευνητής [hWuxH] κατάφερε να εξάγει το X.509 πιστοποιητικό και το ιδιωτικό κλειδί από την εφαρμογή Bambu Connect, αφήνοντας εκτεθειμένο το μοναδικό μέσο αυθεντικοποίησης που επιτρέπει σε λογισμικό τρίτων, όπως το OrcaSlicer, να επικοινωνήσει με τους εκτυπωτές της εταιρείας.

Η εφαρμογή Bambu Connect είναι μια βασική λύση βασισμένη στο Electron, με ελάχιστη προσπάθεια για αποτελεσματική κρυπτογράφηση και απόκρυψη κώδικα. Παρά τις απόπειρες προστασίας, το αρχείο main.js αποδομήθηκε, αποκαλύπτοντας το πιστοποιητικό και το ιδιωτικό κλειδί που κρυπτογραφούν την HTTP επικοινωνία με τον εκτυπωτή. Αυτή η αποκάλυψη αναδεικνύει το πρόβλημα της ασφάλειας μέσω απόκρυψης (security through obscurity), μια προσέγγιση που αποδεικνύεται ανεπαρκής σε τέτοιες περιπτώσεις.

Η αντίδραση της Bambu Lab είναι πλέον θέμα χρόνου, με την κοινότητα των χρηστών να περιμένει με ενδιαφέρον. Θα συνεχίσει η εταιρεία να εφαρμόζει περιοριστικά μέτρα που ουσιαστικά αποξενώνουν τους πελάτες της, ή θα επιλέξει μια πιο διαφανή και συνεργατική προσέγγιση; Μέχρι στιγμής, η στρατηγική περιορισμών έχει προκαλέσει αντιδράσεις, καθώς οι χρήστες επιθυμούν την ελευθερία να χρησιμοποιούν το υλικό που αγόρασαν με τον δικό τους τρόπο.

Η υπόθεση αυτή δεν αφορά μόνο την Bambu Lab, αλλά ανοίγει τη συζήτηση για το πώς οι εταιρείες τεχνολογίας ορίζουν τα όρια μεταξύ ασφάλειας και ελευθερίας χρήσης. Η κοινότητα αναμένει όχι μόνο μια άμεση απάντηση από την εταιρεία, αλλά και έναν επαναπροσδιορισμό της σχέσης της με τους χρήστες, προωθώντας τη διαφάνεια και τον σεβασμό στις επιλογές τους.

Ένα τεράστιο σκάνδαλο διαρροής δεδομένων έχει συγκλονίσει την αυτοκινητοβιομηχανία, καθώς η VW Group άφησε εκτεθειμένα ευαίσθητα δεδομένα 800.000 ηλεκτρικών οχημάτων (EV) σε έναν κακώς ασφαλισμένο server στο Amazon cloud. Σύμφωνα με γερμανική αναφορά, η παραβίαση περιλαμβάνει πλήρη πρόσβαση σε GPS συντεταγμένες, επίπεδα φόρτισης μπαταρίας και άλλες πληροφορίες σχετικά με την κατάσταση του οχήματος, εκθέτοντας σοβαρούς κινδύνους για την ιδιωτικότητα και την ασφάλεια των ιδιοκτητών.

Τα δεδομένα περιλαμβάνουν τόσο ιδιώτες όσο και δημόσιες προσωπικότητες, όπως πολιτικούς, αστυνομικούς και ενδεχομένως μέλη υπηρεσιών πληροφοριών, αποκαλύπτοντας καθημερινές συνήθειες και κινήσεις με ακρίβεια. Σε 466.000 περιπτώσεις, η τοποθεσία ήταν τόσο ακριβής που μπορούσε να δημιουργηθεί ένα πλήρες προφίλ για τον ιδιοκτήτη, αφήνοντας περιθώρια για εκβιασμούς ή άλλες κακόβουλες ενέργειες.

Αιτία: Λάθος λογισμικού
Το πρόβλημα εντοπίζεται σε λάθος της Cariad, θυγατρικής της VW που ασχολείται με το λογισμικό. Ένας whistleblower αποκάλυψε το σφάλμα, χρησιμοποιώντας εύκολα διαθέσιμο λογισμικό για την πρόσβαση στα δεδομένα και ενημέρωσε άμεσα τον Chaos Computer Club (CCC), τον μεγαλύτερο οργανισμό hacker στην Ευρώπη. Ο CCC, με τη σειρά του, ειδοποίησε τις αρχές και έδωσε στη VW 30 ημέρες για να επιλύσει το πρόβλημα πριν το δημοσιοποιήσει.

Παρόλο που η Cariad αντέδρασε γρήγορα και έλαβε μέτρα για να μπλοκάρει την ανεπίτρεπτη πρόσβαση, η ζημιά είχε ήδη γίνει. Σε δήλωση, η εταιρεία υποστήριξε ότι δεν εκτέθηκαν κωδικοί πρόσβασης ή στοιχεία πληρωμών, ωστόσο οι κίνδυνοι παραμένουν.

Πολιτικές και βιομηχανικές αντιδράσεις
Η είδηση προκάλεσε έντονες αντιδράσεις στη Γερμανία, με πολιτικούς να απαιτούν άμεση βελτίωση της κυβερνοασφάλειας από τις αυτοκινητοβιομηχανίες. Αυτό το περιστατικό αναδεικνύει τη δυσκολία της βιομηχανίας να προσαρμοστεί στις αυξανόμενες απαιτήσεις προστασίας δεδομένων, καθώς παρόμοια συμβάντα έχουν σημειωθεί στο παρελθόν, όπως η παραβίαση δεδομένων 2,15 εκατομμυρίων οχημάτων της Toyota στην Ιαπωνία.

Η ανάγκη για καλύτερη κυβερνοασφάλεια
Με την αυξανόμενη χρήση συνδεδεμένων υπηρεσιών στα οχήματα, η ανάγκη για ισχυρότερα μέτρα ασφαλείας είναι πιο κρίσιμη από ποτέ. Αν οι καταναλωτές δεν μπορούν να εμπιστευτούν τις εταιρείες για την προστασία των προσωπικών τους δεδομένων, ίσως αρχίσουν να απορρίπτουν τις νέες τεχνολογίες συνδεσιμότητας, επιβραδύνοντας την υιοθέτηση καινοτομιών. Οι αυτοκινητοβιομηχανίες πρέπει να δώσουν στην κυβερνοασφάλεια την ίδια προτεραιότητα με την ασφάλεια στις συγκρούσεις, προκειμένου να διατηρήσουν την εμπιστοσύνη των πελατών τους.

Μια νέα, εξαιρετικά σύνθετη επίθεση supply chain που δρα εδώ και ένα χρόνο έχει εντοπιστεί από ερευνητές ασφαλείας. Οι επιτιθέμενοι χρησιμοποιούν κακόβουλες τροποποιήσεις σε ανοιχτό κώδικα λογισμικό από GitHub και NPM, στοχεύοντας τόσο σε κακόβουλους όσο και σε καλοπροαίρετους ερευνητές ασφαλείας για να κλέψουν ευαίσθητα διαπιστευτήρια.

Η εκστρατεία, που αναφέρθηκε πρώτα από την Checkmarx και πρόσφατα από τα Datadog Security Labs, περιλαμβάνει πολλαπλές μεθόδους επίθεσης. Οι επιτιθέμενοι χρησιμοποιούν πακέτα που ήταν διαθέσιμα για περισσότερο από ένα χρόνο και περιέχουν καλοσχεδιασμένα backdoors, ενώ παράλληλα χρησιμοποιούν στοχευμένο spear phishing για να εξαπατήσουν χιλιάδες ερευνητές που δημοσιεύουν στο arXiv.

Η εκστρατεία αποδίδεται σε μια ομάδα που οι ερευνητές της Datadog αποκαλούν MUT-1244 (Mysterious Unattributed Threat). Ένα από τα κύρια εργαλεία της ομάδας είναι το πακέτο @0xengine/xmlrpc, το οποίο ξεκίνησε ως ένα αθώο εργαλείο για το πρωτόκολλο XML-RPC αλλά εξελίχθηκε σε κακόβουλο λογισμικό μέσω 16 στρατηγικών ενημερώσεων σε διάστημα ενός έτους.

Το @0xengine/xmlrpc επιτυγχάνει μόνιμη παραμονή στις συσκευές και κάθε 12 ώρες συλλέγει δεδομένα, όπως:

• Κλειδιά SSH και ρυθμίσεις.
• Ιστορικό εντολών.
• Περιβάλλοντα συστήματος και διευθύνσεις IP.
• Διαπιστευτήρια από WordPress και άλλες πλατφόρμες.

Τα δεδομένα μεταφορτώνονται σε λογαριασμούς στο Dropbox ή σε άλλες υπηρεσίες cloud, ενώ το κακόβουλο λογισμικό εγκαθιστά επίσης λογισμικό εξόρυξης κρυπτονομισμάτων.

Εκτός από τα Trojanized πακέτα, οι επιτιθέμενοι χρησιμοποιούν τουλάχιστον 49 κακόβουλα proof-of-concept exploits και spear phishing emails. Τα emails στοχεύουν ερευνητές, πείθοντάς τους να εγκαταστήσουν υποτιθέμενες ενημερώσεις microcode για βελτίωση της απόδοσης. Επιπλέον, τα κακόβουλα πακέτα ενσωματώνονται σε νόμιμες πηγές όπως το Feedly Threat Intelligence, ενισχύοντας την αξιοπιστία τους.

Παρά την πολυπλοκότητα της εκστρατείας, τα κίνητρα της ομάδας παραμένουν ασαφή. Ενώ η εξόρυξη κρυπτονομισμάτων φαίνεται να αποτελεί στόχο, η στόχευση ερευνητών ασφαλείας δεν ταιριάζει με τις τυπικές πρακτικές τέτοιων επιθέσεων. Παράλληλα, η συλλογή διαπιστευτηρίων WordPress υποδηλώνει πιθανές επιθέσεις σε ιστότοπους.

Η εκστρατεία της MUT-1244 καταδεικνύει τον κίνδυνο που ενέχει η ανοιχτή φύση του λογισμικού. Οι χρήστες πρέπει να είναι εξαιρετικά προσεκτικοί με τα πακέτα που χρησιμοποιούν, ειδικά αν προέρχονται από μη επαληθευμένες πηγές. Οι ερευνητές προτείνουν εργαλεία για την ανίχνευση της παρουσίας του MUT-1244 και την απομάκρυνση του κακόβουλου λογισμικού.

Η ασφάλεια στον ανοιχτό κώδικα παραμένει κρίσιμη, και η εκστρατεία αυτή υπενθυμίζει τη σημασία της αυστηρής επαλήθευσης και της συνεργασίας για την προστασία της κοινότητας από τέτοιες επιθέσεις.

Μια πρόσφατη έκθεση της Positive Technologies αποκάλυψε την ευπάθεια DaMAgeCard, η οποία επιτρέπει σε επιτιθέμενους να εκμεταλλευτούν κάρτες μνήμης SD Express για άμεση πρόσβαση στη μνήμη του συστήματος. Η ευπάθεια αυτή βασίζεται στη λειτουργία Direct Memory Access (DMA), που εισήχθη στις SD Express για την επιτάχυνση της μεταφοράς δεδομένων, αλλά ταυτόχρονα αφήνει συσκευές ευάλωτες σε επιθέσεις. Ερευνητές απέδειξαν πως τροποποιημένες κάρτες SD Express μπορούν να παρακάμψουν προστασίες, όπως το IOMMU, και να θέσουν σε κίνδυνο κονσόλες παιχνιδιών, φορητούς υπολογιστές και άλλες συσκευές υψηλής ταχύτητας.

Η Positive Technologies εντόπισε το πρόβλημα κατά την εξέταση του προτύπου SD Express, το οποίο συνδυάζει τις παραδοσιακές τεχνολογίες SD με τα PCIe και NVMe για ταχύτητες μεταφοράς έως 985 MB/s. Παρότι το SD Express προσφέρει εξαιρετική απόδοση, οι ερευνητές ανακάλυψαν κενά ασφαλείας στη διαχείριση της λειτουργίας DMA. Αυτά τα κενά επιτρέπουν την άμεση πρόσβαση στη μνήμη του συστήματος μέσω τροποποιημένων καρτών.

Με τη χρήση ειδικά προσαρμοσμένου εξοπλισμού, η Positive Technologies έδειξε ότι συστήματα όπως τα gaming laptops της MSI και οι φορητές κονσόλες AYANEO Air Plus είναι ευάλωτα, καθώς δεν διαθέτουν επαρκείς μηχανισμούς προστασίας κατά τη μετάβαση μεταξύ των λειτουργιών SDIO (παραδοσιακό πρωτόκολλο SD) και PCIe.

Οι συσκευές που υποστηρίζουν το SD Express περιλαμβάνουν φορητούς υπολογιστές, κονσόλες παιχνιδιών και συσκευές πολυμέσων υψηλής ταχύτητας. Τα κυριότερα προβλήματα εντοπίζονται σε συστήματα που:

• Δεν ενεργοποιούν το IOMMU, επιτρέποντας την ανεξέλεγκτη πρόσβαση στη μνήμη.
• Υποστηρίζουν τροποποιημένες κάρτες SD Express που εκμεταλλεύονται το PCIe NVMe για μη εξουσιοδοτημένη πρόσβαση.

Οι επιθέσεις αυτές είναι ιδιαίτερα επικίνδυνες σε φορητούς υπολογιστές, εξωτερικούς αναγνώστες καρτών και συσκευές όπως φωτογραφικές μηχανές ή κάμερες που βασίζονται στο SD Express για υψηλές ταχύτητες μεταφοράς.

Η Positive Technologies συνιστά τα εξής για την αντιμετώπιση της ευπάθειας DaMAgeCard:

• Ενεργοποίηση του IOMMU σε όλες τις συσκευές που υποστηρίζουν PCIe.
• Περιορισμός της πρόσβασης DMA σε αξιόπιστες συσκευές μόνο.
• Ενημέρωση του firmware για ασφαλή μετάβαση μεταξύ λειτουργιών SDIO και PCIe.
• Απενεργοποίηση του hotplugging αν δεν είναι απαραίτητο.
• Αποφυγή χρήσης άγνωστων καρτών SD ή αναγνωστών σε ευαίσθητα συστήματα.
• Τακτικός έλεγχος για τυχόν αλλοιώσεις στις συσκευές.

Η ευπάθεια DaMAgeCard υπογραμμίζει την ανάγκη για ισορροπία μεταξύ απόδοσης και ασφάλειας στα σύγχρονα πρότυπα περιφερειακών, όπως το SD Express. Καθώς η υιοθέτηση του SD Express αυξάνεται, οι κατασκευαστές συσκευών οφείλουν να εφαρμόσουν πιο ανθεκτικούς μηχανισμούς ασφαλείας. Μέχρι τότε, οι χρήστες καλούνται να είναι προσεκτικοί, ενημερώνοντας τα συστήματά τους και αποφεύγοντας την έκθεση σε μη επαληθευμένες συσκευές.

Η γνωστή ομάδα κυβερνοκατασκοπείας Turla (γνωστή και ως Secret Blizzard), που συνδέεται με τη ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB), έχει υιοθετήσει μια νέα τακτική: χακάρει άλλους χάκερς για να χρησιμοποιήσει τις υποδομές τους σε δικές της επιθέσεις. Πρόσφατα, σύμφωνα με αναφορές της Lumen's Black Lotus Labs και της Microsoft Threat Intelligence Team, η Turla εκμεταλλεύθηκε τις υποδομές της πακιστανικής ομάδας Storm-0156 για να επιτεθεί σε δίκτυα που είχαν ήδη παραβιαστεί, όπως κυβερνητικές υπηρεσίες στο Αφγανιστάν και την Ινδία.

Από τα τέλη του 2022, η Turla διείσδυσε σε servers της Storm-0156, εγκαθιστώντας δικά της κακόβουλα λογισμικά, όπως το TinyTurla backdoor και το TwoDash backdoor. Η τακτική αυτή της επιτρέπει να παραμένει κρυφή, αποφεύγοντας την άμεση σύνδεση με τις επιθέσεις. Οι αναλυτές διαπίστωσαν ότι η Turla κινήθηκε περαιτέρω, παραβιάζοντας ακόμη και τους ίδιους τους σταθμούς εργασίας της Storm-0156, αποκτώντας πρόσβαση σε πολύτιμα δεδομένα, όπως κωδικούς πρόσβασης, εργαλεία malware και ευαίσθητες πληροφορίες.

Η χρήση των υποδομών της Storm-0156 επιτρέπει στη Turla να συγκεντρώνει πληροφορίες χωρίς να εκθέτει τα δικά της εργαλεία. Αυτό περιπλέκει την απόδοση των επιθέσεων, αφού η ευθύνη φαίνεται να βαραίνει την ομάδα που είχε ήδη παραβιαστεί. Η Microsoft σημειώνει ότι οι προσεκτικές κινήσεις της Turla μπορεί να συνδέονται με πολιτικούς παράγοντες, καθώς οι επιθέσεις επικεντρώθηκαν σε στόχους όπως το Υπουργείο Εξωτερικών του Αφγανιστάν και στρατιωτικούς θεσμούς στην Ινδία.

Η στρατηγική της Turla να χρησιμοποιεί τις υποδομές άλλων ομάδων δεν είναι νέα. Από το 2019, έχει αξιοποιήσει παρόμοιες τακτικές, όπως τη χρήση υποδομών της ιρανικής ομάδας OilRig και την εγκατάσταση backdoors σε θύματα malware όπως το Andromeda. Αυτή η προσέγγιση ενισχύει τη μυστικότητα των επιχειρήσεών της, ενώ μεταφέρει τις υποψίες σε άλλους κυβερνοεγκληματίες.

Η Lumen έχει πλέον αποκλείσει την κυκλοφορία δεδομένων από γνωστές υποδομές που σχετίζονται με την Turla στο δίκτυό της. Ωστόσο, η στρατηγική της Turla υπογραμμίζει την πολυπλοκότητα της σύγχρονης κυβερνοκατασκοπείας, όπου ακόμη και οι πιο εξειδικευμένες ομάδες γίνονται στόχοι άλλων κρατικών φορέων. Αυτές οι εξελίξεις αναδεικνύουν την ανάγκη για προηγμένα μέτρα κυβερνοασφάλειας σε εθνικό και διεθνές επίπεδο.

Στις 14 Νοεμβρίου 2024, η Cloudflare ανακοίνωσε ότι περίπου το 55% των δεδομένων καταγραφής που διαβιβάζονται στους πελάτες χάθηκαν εξαιτίας σφάλματος στη διαδικασία συλλογής logs. Το συμβάν διήρκησε 3,5 ώρες, που επηρέασε την πλειοψηφία των πελατών που χρησιμοποιούν τις υπηρεσίες Cloudflare Logs. Το πρόβλημα αποδόθηκε σε σφάλμα διαμόρφωσης στο Logfwdr, έναν κρίσιμο μηχανισμό υπεύθυνο για τη διαβίβαση καταγραφών από το δίκτυο της Cloudflare σε εξωτερικά συστήματα.

Το Logfwdr εισήγαγε κατά λάθος μια άδεια διαμόρφωση, η οποία έδινε εντολή στο σύστημα να θεωρεί ότι δεν υπήρχαν πελάτες για τους αποσταλούν logs. Αν και το σύστημα διαθέτει μηχανισμούς ασφαλείας, αυτό το λάθος προκάλεσε τεράστια αύξηση του όγκου επεξεργασίας, υπερφορτώνοντας το Buftee, το σύστημα προσωρινής αποθήκευσης των logs. Μέσα σε πέντε λεπτά, το Buftee κατέρρευσε, απαιτώντας πλήρη επανεκκίνηση και οδηγώντας σε επιπλέον απώλεια δεδομένων.

Για την αποτροπή άλλων τέτοιων περιστατικών στο μέλλον, η Cloudflare έχει εφαρμόσει νέα μέτρα ασφαλείας. Ανέπτυξε ένα σύστημα ανίχνευσης και ειδοποίησης για τέτοια σφάλματα και προχώρησε σε σωστή διαμόρφωση του Buftee για την αποφυγή υπερφόρτωσης. Παράλληλα, προγραμματίζει τακτικές δοκιμές προσομοίωσης απρόσμενων αυξήσεων στον όγκο δεδομένων, ώστε να διασφαλίσει την ανθεκτικότητα των μηχανισμών ασφαλείας.

Το περιστατικό αυτό τονίζει τη σημασία του σχολαστικού ελέγχου στις διαμορφώσεις και την προσοχή στους μηχανισμούς failsafe. Για την Cloudflare, αποτελεί υπενθύμιση ότι η διατήρηση της αξιοπιστίας απαιτεί συνεχή επένδυση στην πρόληψη και τη διαχείριση κρίσεων. Οι πελάτες της αναμένουν πλέον αποτελεσματική προστασία από παρόμοια περιστατικά.

Ανησυχία έχει προκαλέσει στους χρήστες της QNAP το τελευταίο firmware update για συσκευές NAS, το οποίο φαίνεται να τους αποκλείει από τις συσκευές τους. Η αναβάθμιση QTS 5.2.2.2950, build 20241114, κυκλοφόρησε πρόσφατα αλλά γρήγορα αποσύρθηκε από την εταιρία μετά από παράπονα χρηστών ότι δεν μπορούσαν να συνδεθούν στις συσκευές τους, ακόμα και μετά από επαναφορά εργοστασιακών ρυθμίσεων. Τα παράπονα πλημμύρισαν τα forums της QNAP, με χρήστες να αναφέρουν σοβαρά προβλήματα πρόσβασης και ελλιπή υποστήριξη από την εταιρία.

Η QNAP, γνωστή για την κατασκευή συστημάτων NAS, παραδέχτηκε ότι το πρόβλημα επηρέασε μόνο συγκεκριμένα μοντέλα, όπως τα TS-653D, TS-451D και TS-453D. Παρόλα αυτά, πολλοί χρήστες αναφέρουν ότι δεν τους δόθηκαν σαφείς οδηγίες για την αντιμετώπιση του προβλήματος. Ένας τεχνικά καταρτισμένος χρήστης ανέφερε ότι, παρά τη χρήση εργαλείων όπως το Qfinder και η πλήρης επαναφορά συσκευής, δεν μπόρεσε να αποκτήσει πρόσβαση χρησιμοποιώντας τους προκαθορισμένους κωδικούς.

Η εταιρία δήλωσε ότι μέσα σε 24 ώρες επανακυκλοφόρησε σταθερή έκδοση του firmware, ωστόσο, οι αντιδράσεις συνεχίζονται. Ορισμένοι χρήστες εξέφρασαν παράπονα για αργή ανταπόκριση της τεχνικής υποστήριξης, υποστηρίζοντας ότι η μόνη επιλογή που τους δόθηκε ήταν είτε η υποβάθμιση λογισμικού είτε η απευθείας επικοινωνία με την υποστήριξη, η οποία, σύμφωνα με τις καταγγελίες, δεν ήταν επαρκώς προετοιμασμένη.

Το περιστατικό φέρνει στο φως ξανά την ανάγκη για σχολαστικό έλεγχο των ενημερώσεων λογισμικού πριν την κυκλοφορία τους. Ανάλογα περιστατικά, όπως αυτά της CrowdStrike και της Microsoft, δείχνουν ότι η βιαστική ανάπτυξη και διάθεση αναβαθμίσεων μπορεί να οδηγήσει σε σοβαρά προβλήματα για τους χρήστες. Για την QNAP, το ζήτημα αυτό αποτελεί μια υπενθύμιση ότι η αξιοπιστία των προϊόντων της εξαρτάται όχι μόνο από την τεχνολογία της, αλλά και από την ποιότητα της υποστήριξης που παρέχει στους πελάτες της.

Κινέζοι ερευνητές από το Πανεπιστήμιο της Σανγκάης ισχυρίζονται ότι ανακάλυψαν μια "πραγματική και ουσιαστική απειλή" για την κλασική κρυπτογραφία, σύμφωνα με την SCMP. Χρησιμοποιώντας έναν D-Wave κβαντικό υπολογιστή, η ομάδα διεξήγαγε επιτυχημένη επίθεση σε αλγορίθμους αντικατάστασης–μεταθέσεως (SPN), που αποτελούν τη βάση ευρέως χρησιμοποιούμενων προτύπων όπως οι RSA και AES. Αυτή η εξέλιξη θέτει σοβαρά ερωτήματα για την ασφάλεια ακόμη και των πιο προηγμένων τεχνολογιών κρυπτογράφησης.

Η έρευνα, με τίτλο Quantum Annealing Public Key Cryptographic Attack Algorithm Based on D-Wave Advantage, περιγράφει δύο μεθόδους που βασίζονται στην κβαντική ανόπτηση. Η πρώτη μέθοδος χρησιμοποιεί εξολοκλήρου τον D-Wave, μετατρέποντάς τον σε εργαλείο επίθεσης μέσω μοντέλων Ising και QUBO. Η δεύτερη μέθοδος συνδυάζει την κλασική κρυπτογραφία, όπως ο αλγόριθμος υπογραφών Schnorr και η τεχνική Babai, με κβαντικές διαδικασίες, επιτυγχάνοντας αποτελέσματα που είναι πέρα από τις δυνατότητες των παραδοσιακών υπολογιστικών μεθόδων.

Οι ερευνητές, υπό την καθοδήγηση του Wang Chao, ισχυρίζονται ότι πέτυχαν να παραβιάσουν τη δομή SPN, που βρίσκεται στον πυρήνα της κρυπτογραφίας AES-256. Παρά τη σοβαρότητα των ευρημάτων, οι λεπτομέρειες παραμένουν περιορισμένες λόγω της ευαίσθητης φύσης του θέματος. Αυτή η εξέλιξη ενισχύει την ανησυχία ότι ακόμα και οι στρατιωτικής κλάσης αλγόριθμοι ενδέχεται να είναι πιο ευάλωτοι από ποτέ.

Παρά τους κινδύνους, οργανισμοί όπως το NIST εργάζονται ήδη για την ανάπτυξη μετα-κβαντικών κρυπτογραφικών αλγορίθμων. Αυτές οι τεχνολογίες στοχεύουν στην αντιμετώπιση των μελλοντικών προκλήσεων που θέτουν οι κβαντικοί υπολογιστές, ενισχύοντας την ασφάλεια για τραπεζικά, στρατιωτικά και επιχειρηματικά δεδομένα. Με την απειλή της κβαντικής υπεροχής να πλησιάζει, η μετάβαση σε μετα-κβαντικές λύσεις γίνεται πιο επιτακτική από ποτέ.