Σύμφωνα με αναφορά από τους ερευνητές ασφάλειας της FortiGuard Labs, το κακόβουλο λογισμικό Winos4.0 στρέφεται κατά των χρηστών Windows που ασχολούνται με το gaming. Το malware κρύβεται σε εφαρμογές που σχετίζονται με το gaming, όπως προγράμματα βελτιστοποίησης ταχύτητας και εργαλεία επιτάχυνσης. Αποτελεί εξέλιξη του GhostRat, ενός παλαιότερου malware σχεδιασμένου για την πλήρη κατάληψη του υπολογιστή-στόχου.

Όπως και το GhostRat, το Winos4.0 επιτρέπει στους χάκερ να αποκτήσουν πλήρη έλεγχο της συσκευής που προσβάλλει. Πρόκειται για ένα προηγμένο malware framework που προσφέρει πολλές λειτουργίες ελέγχου online endpoints, δίνοντας στους επιτιθέμενους τη δυνατότητα να αξιοποιήσουν το σύστημα με πολλαπλούς τρόπους. Με την εγκατάσταση μιας μολυσμένης εφαρμογής, κατεβαίνει μια ψεύτικη εικόνα bitmap από έναν απομακρυσμένο server, η οποία εξάγει μια βιβλιοθήκη δυναμικής σύνδεσης (DLL), που εισχωρεί βαθιά στο σύστημα-στόχο, επιτυγχάνοντας τον πλήρη έλεγχο.

Η επιτυχής εγκατάσταση του Winos4.0 δίνει στους χάκερ πρόσβαση σε όλα τα δεδομένα του συστήματος. Μπορούν να ελέγξουν για επεκτάσεις πορτοφολιού κρυπτονομισμάτων και antivirus, να συλλέξουν κωδικοποιημένες πληροφορίες συστήματος και να τις στείλουν στον κεντρικό server, να τραβήξουν στιγμιότυπα οθόνης, ακόμα και να διαχειριστούν έγγραφα. Το malware αυτό είναι πολύ πιο επικίνδυνο από απλούς ιούς που συνήθως κλέβουν χρήματα ή διαγράφουν λογαριασμούς· μπορεί να ελέγχει ολοκληρωτικά το σύστημα και κάθε πρόσβαση που αυτό έχει.

Για την αποφυγή του Winos4.0, οι χρήστες πρέπει να είναι ιδιαίτερα προσεκτικοί με τις πηγές των λήψεών τους, ελέγχοντας την αξιοπιστία των εφαρμογών πριν την εγκατάσταση.

Η NVIDIA ανακοίνωσε σημαντικές ενημερώσεις ασφαλείας για τους οδηγούς GPU Display Driver, επηρεάζοντας χρήστες σε Windows και Linux. Οι νέες εκδόσεις αντιμετωπίζουν ευπάθειες με υψηλές βαθμολογίες CVSS, που επιτρέπουν εκτέλεση κακόβουλου κώδικα, κλιμάκωση προνομίων, και διαρροή δεδομένων. Τα τρωτά σημεία εντοπίζονται στον kernel driver και στο user mode layer, επηρεάζοντας προϊόντα όπως οι σειρές GeForce, RTX, Quadro και Tesla.

Οι ευπάθειες περιλαμβάνουν CVE-ταυτοποιήσεις που σχετίζονται με εκμεταλλεύσεις όπως out-of-bounds read, και προβλήματα input validation στον vGPU Manager. Αυτά τα τρωτά σημεία ενδέχεται να οδηγήσουν σε code execution, denial of service, και data tampering. Η εταιρεία ενθαρρύνει τους χρήστες να κατεβάσουν τις ενημερώσεις μέσω της σελίδας λήψεων της NVIDIA και του NVIDIA Licensing Portal για όσους χρησιμοποιούν vGPU και cloud gaming.

Οι πίνακες της ανακοίνωσης αναφέρουν λεπτομερώς τις εκδόσεις οδηγών που επηρεάζονται, όπως και τις εκδόσεις που επιδιορθώνουν τις ευπάθειες. Για παράδειγμα, η έκδοση 537.58 είναι η ενημερωμένη για τους GeForce οδηγούς στα Windows. Η NVIDIA συνιστά στους διαχειριστές IT να αξιολογήσουν τον αντίκτυπο αυτών των ζητημάτων στα συστήματά τους και να προχωρήσουν άμεσα στις ενημερώσεις για την προστασία από πιθανές επιθέσεις.

Οι χρήστες που επηρεάζονται από τις εκδόσεις των οδηγών θα πρέπει να προχωρήσουν σε άμεσες αναβαθμίσεις για να διασφαλίσουν ότι τα συστήματά τους προστατεύονται από τις εν λόγω ευπάθειες. Η εταιρεία αναγνωρίζει την υποστήριξη από εξωτερικούς ερευνητές ασφαλείας που συνέβαλαν στον εντοπισμό αυτών των προβλημάτων, υπογραμμίζοντας τη σημασία της συνεργασίας για την ενίσχυση της ασφάλειας των προϊόντων της

Τα τελευταία χρόνια, οι ιστοσελίδες WordPress αποτελούν στόχο για κυβερνοεγκληματίες, οι οποίοι παραβιάζουν τις σελίδες για να εγκαταστήσουν κακόβουλα plugins που εμφανίζουν ψεύτικες ενημερώσεις λογισμικού και προειδοποιήσεις σφαλμάτων. Αυτές οι προειδοποιήσεις έχουν ως στόχο να πείσουν τους χρήστες να κατεβάσουν και να εγκαταστήσουν κακόβουλο λογισμικό που κλέβει πληροφορίες, γνωστό και ως malware κλοπής πληροφοριών (infostealers).

Μια νέα καμπάνια με το όνομα ClickFix που ξεκίνησε το 2024 εμφανίζει ψεύτικα σφάλματα λογισμικού και προσφέρει "διορθώσεις" που στην πραγματικότητα είναι PowerShell scripts. Όταν οι χρήστες εκτελούν αυτά τα σενάρια, το κακόβουλο λογισμικό εγκαθίσταται και συλλέγει πληροφορίες από τον υπολογιστή τους. Αυτή η νέα εκστρατεία παρουσιάζει ομοιότητες με την προγενέστερη καμπάνια ClearFake, η οποία χρησιμοποιούσε ψεύτικα banners ενημερώσεων προγραμμάτων περιήγησης για την προώθηση του malware.

Σύμφωνα με αναφορές, οι κυβερνοεγκληματίες έχουν παραβιάσει πάνω από 6.000 WordPress ιστοσελίδες για να εγκαταστήσουν κακόβουλα plugins. Αυτά τα plugins μιμούνται δημοφιλή εργαλεία όπως το Wordfence Security και το LiteSpeed Cache, αλλά κρύβουν κακόβουλους κώδικες που εμφανίζουν τα ψεύτικα μηνύματα ενημερώσεων. Ορισμένα από τα plugins που χρησιμοποιούνται περιλαμβάνουν ονόματα όπως SEO Booster Pro, Admin Bar Customizer, και Social Media Integrator. Ο πλήρης κατάλογος των κακόβουλων plugins που εμφανίστηκαν σε αυτή την εκστρατεία μεταξύ Ιουνίου και Σεπτεμβρίου 2024 είναι:

Η παραβίαση γίνεται μέσω κλεμμένων διαχειριστικών διαπιστευτηρίων, τα οποία οι εισβολείς αποκτούν μέσω επιθέσεων brute force, phishing, ή malware κλοπής πληροφοριών. Μόλις αποκτήσουν πρόσβαση, εγκαθιστούν αυτόματα το κακόβουλο plugin, το οποίο ενσωματώνει έναν κακόβουλο JavaScript κώδικα στον ιστότοπο.

Για τους ιδιοκτήτες WordPress ιστοσελίδων, η άμεση λήψη μέτρων είναι απαραίτητη. Εάν εντοπίζονται ψεύτικες ειδοποιήσεις σε επισκέπτες, πρέπει να ελεγχθούν τα εγκατεστημένα plugins και να αφαιρεθούν αυτά που δεν έχουν εγκατασταθεί από τον διαχειριστή. Επιπλέον, είναι σημαντικό να γίνει επανεκκίνηση των κωδικών πρόσβασης για όλους τους διαχειριστές με ισχυρούς, μοναδικούς κωδικούς.

Η χρήση κακόβουλων προσθηκών για την παραβίαση ιστοσελίδων υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση στην ασφάλεια των WordPress ιστότοπων, ειδικά καθώς οι απειλές στον κυβερνοχώρο συνεχώς εξελίσσονται.

Η περιοχή της Φινμάρκ στη βορειοανατολική Νορβηγία έχει μετατραπεί σε μια επικίνδυνη ζώνη για πιλότους λόγω των συνεχών παρεμβολών στα σήματα GPS. Αυτές οι παρεμβολές, που προέρχονται από τη ρωσική πλευρά των συνόρων, έχουν γίνει τόσο συχνές που οι νορβηγικές αρχές αποφάσισαν να σταματήσουν να καταγράφουν τα περιστατικά, αναγνωρίζοντας την κατάσταση ως ένα «ανεπιθύμητο νέο καθεστώς». Οι πιλότοι, ιδιαίτερα εκείνοι της νορβηγικής αεροπορικής εταιρείας Widerøe, αναφέρουν ότι αντιμετωπίζουν παρεμβολές σχεδόν καθημερινά όταν πετούν πάνω από τα 6.000 πόδια, με τα συστήματα GPS στα αεροσκάφη τους να αχρηστεύονται προσωρινά.

Όταν οι παρεμβολές πλήττουν τα αεροσκάφη, τα συστήματα προειδοποίησης που βασίζονται στο GPS, όπως εκείνα που αποτρέπουν τη σύγκρουση με το έδαφος, σταματούν να λειτουργούν. Παρά το γεγονός ότι οι πιλότοι μπορούν να συνεχίσουν την πτήση τους με τη βοήθεια επίγειων σταθμών, οι παρεμβολές αυτές τους αφήνουν να αισθάνονται ότι πετούν «30 χρόνια πίσω στον χρόνο», όπως ανέφερε χαρακτηριστικά ο Odd Thomassen, κυβερνήτης της Widerøe.

Από το 2022, με την πλήρη εισβολή της Ρωσίας στην Ουκρανία, η κατάσταση έχει επιδεινωθεί σε όλη την ανατολική Ευρώπη, με τις χώρες της Βαλτικής να κατηγορούν ανοιχτά τη Ρωσία για παρεμβολές που υπερφορτώνουν τους δέκτες GPS με «αθώα» σήματα, καθιστώντας τους ανενεργούς. Μάλιστα, τον Απρίλιο, ένα αεροσκάφος της Finnair αναγκάστηκε να εγκαταλείψει την προσγείωσή του στην Εσθονία λόγω αδυναμίας λήψης ακριβούς σήματος GPS. Αυτή η κατάσταση απειλεί ιδιαίτερα τα μικρότερα, απομακρυσμένα αεροδρόμια, τα οποία βασίζονται αποκλειστικά σε συστήματα GPS για την καθοδήγηση των πτήσεων, καθώς πολλές εγκαταστάσεις δεν διαθέτουν πιο ακριβά επίγεια συστήματα προσέγγισης.

Η επιδείνωση του προβλήματος δεν επηρεάζει μόνο τα αεροσκάφη. Στη Φινλανδία, αυτόματα τρακτέρ που λειτουργούν με GPS έχουν επίσης υποστεί διακοπές λειτουργίας, υποδηλώνοντας ότι οι παρεμβολές μπορεί να είναι αποτέλεσμα των νέων συστημάτων άμυνας κατά drones που χρησιμοποιεί η Ρωσία μετά από επιθέσεις στην ενεργειακή της υποδομή από την Ουκρανία. Παρόμοια περιστατικά έχουν αναφερθεί και σε άλλους τομείς, όπως η αλιεία και οι κατασκευές, όπου τα πλοία και τα μηχανήματα που βασίζονται στο GPS δεν μπορούν να εκτελέσουν με ακρίβεια τις εργασίες τους.

Οι πιλότοι της Widerøe ανησυχούν ότι οι κατασκευαστές των συστημάτων πλοήγησης, κυρίως αμερικανικές εταιρείες, ενδέχεται να μην αναλάβουν δράση για να βελτιώσουν την ανθεκτικότητα στις παρεμβολές, καθώς οι αμερικανικές εταιρείες δεν επηρεάζονται άμεσα από τις παρεμβολές στη Νορβηγία. Παρότι η Νορβηγία διοργανώνει ετήσιες δοκιμές, γνωστές ως Jammerfest, για την ανάπτυξη αντιμέτρων, η κατάσταση είναι ιδιαίτερα ανησυχητική. Τον Απρίλιο, για πρώτη φορά, σημειώθηκε περιστατικό παρεμβολής GPS κατά τη διάρκεια προσγείωσης σε χαμηλό υψόμετρο, κάτι που μέχρι πρόσφατα θεωρούνταν απίθανο λόγω της καμπυλότητας της γης.

Οι παρεμβολές αυτές συνιστούν σοβαρή απειλή για την ασφάλεια των πτήσεων, ιδιαίτερα σε περιοχές με ορεινό ανάγλυφο, όπως η υπόλοιπη Νορβηγία. Αν το φαινόμενο συνεχιστεί χωρίς κατάλληλη παρέμβαση, οι επιπτώσεις θα μπορούσαν να είναι σημαντικές για τις αερομεταφορές στην ευρύτερη περιοχή.

Η Google έχει ξεκινήσει να προειδοποιεί τους χρήστες του Chrome ότι δημοφιλείς επεκτάσεις, όπως το uBlock Origin, ενδέχεται σύντομα να σταματήσουν να υποστηρίζονται. Αυτό σχετίζεται με την επικείμενη απόσυρση της υποστήριξης για το Manifest V2, το οποίο χρησιμοποιεί η επέκταση. Σύμφωνα με ανακοίνωση της Google, οι επεκτάσεις που δεν συμβαδίζουν με τις νέες προδιαγραφές ενδέχεται να απενεργοποιηθούν για την προστασία της ασφάλειας και της ιδιωτικότητας των χρηστών.

Το Manifest V3, που αντικαθιστά το Manifest V2, εισήχθη το 2020 και θέτει νέους περιορισμούς που δυσκολεύουν τη λειτουργία των ad blockers. Το uBlock Origin, που βασίζεται στο Manifest V2, δεν έχει προς το παρόν έκδοση συμβατή με το Manifest V3. Για το λόγο αυτό, ο δημιουργός του, Raymond Hill, έχει αναπτύξει το uBlock Origin Lite, το οποίο συμβιβάζεται με τις απαιτήσεις του Manifest V3, αλλά προσφέρει λιγότερες δυνατότητες.

Οι χρήστες του Chrome έχουν τη δυνατότητα να χρησιμοποιούν επεκτάσεις βασισμένες στο Manifest V2 μέχρι τον Ιούνιο του 2025 μέσω της πολιτικής ExtensionManifestV2Availability. Ωστόσο, πολλοί χρήστες δηλώνουν την πρόθεσή τους να στραφούν σε άλλα προγράμματα περιήγησης, όπως το Firefox, το Brave ή το Vivaldi, τα οποία θα συνεχίσουν να υποστηρίζουν το Manifest V2.

Η μετάβαση στο Manifest V3 δεν είναι χωρίς προβλήματα για τους δημιουργούς επεκτάσεων, καθώς περιορίζει την πρόσβασή τους σε βασικές λειτουργίες. Ενώ το uBlock Origin Lite μπορεί να καλύψει τις βασικές ανάγκες φιλτραρίσματος, δεν προσφέρει τις ίδιες προηγμένες δυνατότητες με την αρχική έκδοση. Η αλλαγή αυτή επιφέρει σημαντικές συνέπειες για την εμπειρία περιήγησης των χρηστών και το οικοσύστημα επεκτάσεων του Chrome.

Η τιμή του μελανιού inkjet παραμένει τεχνητά υψηλή, ωθώντας πολλούς χρήστες να στραφούν σε εναλλακτικές λύσεις τρίτων κατασκευαστών, συχνά ανακατασκευασμένες κασέτες μελανιού. Αυτές οι κασέτες γεμίζονται ξανά από τρίτους προμηθευτές, κάτι που γίνεται όλο και πιο συνηθισμένο λόγω των μηχανισμών διαχείρισης ψηφιακών δικαιωμάτων (DRM) που προσθέτουν οι κατασκευαστές στις κασέτες τους, όπως το σύστημα Dynamic Security της HP.

Η προσθήκη τσιπ παρακολούθησης στις κασέτες έχει σκοπό να αποτρέπει τους χρήστες από το να γεμίζουν χειροκίνητα τις κασέτες με σύριγγα, αλλά υπάρχουν επιθέσεις που παρακάμπτουν αυτούς τους περιορισμούς. Ο Jay Summet παρουσίασε μια φυσική επίθεση man-in-the-middle που παρακάμπτει το DRM σε κασέτες HP με ένα εύκαμπτο PCB.

Η φυσική επίθεση "man-in-the-middle"

Το bypass αποτελείται από ένα ευλύγιστο PCB με επαφές και στις δύο πλευρές, που συνδέεται μεταξύ της κασέτας και του εκτυπωτή. Ένα IC (ολοκληρωμένο κύκλωμα) βρίσκεται στην πλευρά της κασέτας, χωμένο σε μια εγκοπή στο πλαστικό της κασέτας, επιτρέποντας στο PCB να παρακολουθεί την επικοινωνία μεταξύ της κασέτας και του εκτυπωτή. Έτσι, ο εκτυπωτής παραπλανάται, επιτρέποντας την εκτύπωση χωρίς να απαιτείται η χρήση ακριβών γνήσιων κασετών της HP.

Η απάντηση της HP και οι νομικές προκλήσεις

Η HP γνωρίζει για αυτήν την πρακτική. Πρόσφατα απείλησε να μπλοκάρει εκτυπωτές που εντοπίζουν τη χρήση κασετών τρίτων, επικαλούμενη την προστασία των χρηστών από "χάκερς" και "ιούς". Το σύστημα DRM της εταιρείας βρίσκεται ήδη στο επίκεντρο πολλών δικαστικών διαφορών. 

Η Mozilla, γνωστή για την υποστήριξή της στα δικαιώματα ιδιωτικότητας των χρηστών του διαδικτύου, βρίσκεται αντιμέτωπη με καταγγελία από την ευρωπαϊκή ομάδα προστασίας προσωπικών δεδομένων noyb. Η καταγγελία ισχυρίζεται ότι η νέα λειτουργία που εισήγαγε η Mozilla στον Firefox, με την ονομασία Privacy Preserving Attribution (PPA), μετατρέπει το πρόγραμμα περιήγησης σε εργαλείο παρακολούθησης χρηστών χωρίς τη συγκατάθεσή τους.

Παρά την ονομασία της λειτουργίας, η noyb υποστηρίζει ότι αυτή η τεχνολογία παραβιάζει τον GDPR, καθώς επιτρέπει την παρακολούθηση της συμπεριφοράς των χρηστών στο διαδίκτυο, ενώ η Mozilla δεν έχει ζητήσει τη ρητή συγκατάθεση των χρηστών για την ενεργοποίησή της. Η λειτουργία ενεργοποιήθηκε από προεπιλογή με την εγκατάσταση μιας πρόσφατης ενημέρωσης λογισμικού, γεγονός που προκαλεί ανησυχία, δεδομένου ότι η Mozilla έχει χτίσει μια φήμη ως ένας εναλλακτικός browser φιλικός προς την ιδιωτικότητα, σε αντίθεση με τα περισσότερα προγράμματα περιήγησης που βασίζονται στο Chromium της Google.

Παράλληλες εξελίξεις με την "Privacy Sandbox" της Google

Η προσπάθεια της Mozilla να μεταβεί από την παρακολούθηση μέσω cookies σε επίπεδο browser, θυμίζει την πρωτοβουλία Privacy Sandbox της Google, η οποία επιδιώκει να τερματίσει την υποστήριξη των tracking cookies στον Chrome υπέρ μιας νέας τεχνολογίας διαφημιστικής στόχευσης. Παρά τις φιλοδοξίες της Google, η κίνηση αυτή έχει προκαλέσει αντιδράσεις και καθυστερήσεις από τις ρυθμιστικές αρχές του Ηνωμένου Βασιλείου, ενώ η noyb ισχυρίζεται ότι η Mozilla ακολούθησε παρόμοια προσέγγιση, εισάγοντας ένα ακόμη μέσο παρακολούθησης χρηστών.

Ο Felix Mikolasch, δικηγόρος προστασίας δεδομένων της noyb, σχολίασε ότι η Mozilla μετέτρεψε τον Firefox σε εργαλείο μέτρησης διαφημίσεων, υποστηρίζοντας ότι αυτή η τεχνολογία δεν αντικαθιστά τα cookies, αλλά προσθέτει μια νέα μέθοδο παρακολούθησης. Επίσης, η καταγγελία επικεντρώνεται στη χρήση μηχανισμού "opt-out", αντί για "opt-in", με τους χρήστες να πρέπει να απενεργοποιήσουν τη λειτουργία μέσω των ρυθμίσεων του browser, αντί να επιλέξουν εάν θέλουν να την ενεργοποιήσουν.

Η απάντηση της Mozilla

Σε δήλωση του, ο Christopher Hilton, διευθυντής πολιτικής και επικοινωνίας της Mozilla, ανέφερε ότι η PPA βρίσκεται σε περιορισμένη δοκιμή και έχει ενεργοποιηθεί μόνο σε ιστοσελίδες της Mozilla. Η εταιρεία ισχυρίζεται ότι η λειτουργία έχει σχεδιαστεί για να μειώσει την εισβολή από τις διαφημίσεις, χρησιμοποιώντας κρυπτογραφικές τεχνικές για τη διασφάλιση της ιδιωτικότητας, και ότι οι χρήστες μπορούν εύκολα να την απενεργοποιήσουν μέσω των ρυθμίσεων του Firefox.

Η Mozilla παραδέχθηκε ότι η επικοινωνία της σχετικά με την ανάπτυξη της τεχνολογίας ήταν ανεπαρκής και δεσμεύθηκε να βελτιώσει τη διαφάνεια στο μέλλον. Η εταιρεία υποστηρίζει ότι η PPA είναι ένα σημαντικό βήμα προς τη βελτίωση της ιδιωτικότητας στο διαδίκτυο, και εξέφρασε την πρόθεσή της να συνεργαστεί με την noyb και άλλους φορείς για να ξεκαθαρίσει τυχόν παρανοήσεις σχετικά με την προσέγγισή της.

Μια νέα κινεζική ομάδα κυβερνοκατασκοπείας, με το όνομα Salt Typhoon, εντοπίστηκε να διεισδύει σε δίκτυα αμερικανικών παρόχων υπηρεσιών διαδικτύου (ISP), στοχεύοντας στην κλοπή δεδομένων και πιθανώς προετοιμάζοντας μελλοντικές κυβερνοεπιθέσεις. Το Wall Street Journal αποκάλυψε αυτές τις επιθέσεις, επικαλούμενο πηγές που είναι εξοικειωμένες με το ζήτημα, χωρίς όμως να κατονομάσει τους παρόχους που επηρεάστηκαν. Αυτή η εξέλιξη έρχεται σε συνέχεια μιας σειράς κυβερνοεπιθέσεων που αποδίδονται σε κρατικούς φορείς της Κίνας.

Η Ομοσπονδιακή Υπηρεσία Κυβερνοασφάλειας και Υποδομών των ΗΠΑ (CISA) δεν απάντησε άμεσα στα ερωτήματα που τέθηκαν για τις παραβιάσεις, ωστόσο αυτές οι επιθέσεις συνδέονται με παρόμοια περιστατικά που εντοπίστηκαν το προηγούμενο διάστημα από κινεζικές ομάδες όπως η Flax Typhoon και η Volt Typhoon. Αυτές οι ομάδες στόχευαν κρίσιμες υποδομές των ΗΠΑ, ενώ η Flax Typhoon είχε δημιουργήσει ένα botnet 260.000 συσκευών, στοχεύοντας την αμερικανική κυβέρνηση, ακαδημαϊκά ιδρύματα και κρίσιμες υποδομές.

Αυξανόμενη απειλή στις κρίσιμες υποδομές

Η νέα απειλή από την Salt Typhoon έρχεται να ενισχύσει τις ανησυχίες σχετικά με την κυβερνοκατασκοπεία από κρατικούς φορείς της Κίνας. Σύμφωνα με τον Τζον Ντουάιερ, Διευθυντή Έρευνας Ασφάλειας της Binary Defense, η Κίνα στοχεύει ολοένα και περισσότερο τις κρίσιμες υποδομές, τις αλυσίδες εφοδιασμού, και τις συσκευές του διαδικτύου. Η επίθεση στα δίκτυα των ISP αναδεικνύει τη στρατηγική των εισβολέων να εκμεταλλεύονται κομβικά σημεία της κοινωνίας για να ελέγχουν τη ροή πληροφοριών.

Ο Τέρι Ντάνλαπ, πρώην αναλυτής της Υπηρεσίας Εθνικής Ασφάλειας των ΗΠΑ (NSA), επιβεβαίωσε ότι οι πάροχοι υπηρεσιών διαδικτύου αποτελούν ελκυστικό στόχο για τους αντιπάλους των ΗΠΑ, λόγω της ποικιλίας επικοινωνιών που περνούν από τα δίκτυά τους. Ο ίδιος πρόσθεσε ότι τέτοια φαινόμενα διείσδυσης σε αλυσίδες εφοδιασμού έχουν παρατηρηθεί εδώ και χρόνια, αλλά η καθυστερημένη αναγνώρισή τους προκαλεί ανησυχία.

Η απάντηση των αρχών

Η CISA αναγνωρίζει τη σοβαρότητα της απειλής και επιβεβαιώνει ότι οι κρατικοί χορηγοί από την Κίνα συνεχίζουν να στοχεύουν κρίσιμους τομείς υποδομών στις ΗΠΑ. Η CISA ενθαρρύνει όλες τις οργανώσεις να επανεξετάσουν τις τελευταίες συμβουλές και οδηγίες τους για την αναγνώριση και μετριασμό των τεχνικών διείσδυσης, γνωστών ως "living off the land".

Η Google ανακοίνωσε την επικείμενη αναβάθμιση της κρυπτογραφίας στο Chrome για να προστατέψει τους χρήστες από επιθέσεις που θα μπορούσαν να εκμεταλλευτούν τις δυνατότητες των κβαντικών υπολογιστών. Στο πλαίσιο αυτής της προσπάθειας, το Kyber που χρησιμοποιούνταν σε υβριδικές ανταλλαγές κλειδιών, θα αντικατασταθεί από το νέο Module Lattice Key Encapsulation Mechanism (ML-KEM), το οποίο είναι πλήρως εγκεκριμένο από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) των ΗΠΑ.

Η αλλαγή αυτή έρχεται μόλις πέντε μήνες μετά την αρχική εφαρμογή του συστήματος post-quantum TLS στο Chrome, το οποίο, αν και αντιμετώπισε κάποια προβλήματα, τα επιλύθηκε γρήγορα. Ωστόσο, η μετάβαση στο ML-KEM δεν σχετίζεται με αυτά τα πρώιμα προβλήματα, αλλά αποτελεί στρατηγική επιλογή της Google να εγκαταλείψει το πειραματικό Kyber υπέρ μιας πλήρως τυποποιημένης και ασφαλούς λύσης.

Παρά το γεγονός ότι οι τεχνικές αλλαγές από το Kyber στο ML-KEM είναι μικρές, οι δύο μέθοδοι είναι ασύμβατες. Αυτό σημαίνει ότι η Google θα πρέπει να αφαιρέσει πλήρως την υποστήριξη για το Kyber, καθώς η διατήρηση και των δύο συστημάτων θα μπορούσε να επιβαρύνει σημαντικά την απόδοση του δικτύου. Η ενημέρωση αναμένεται να εφαρμοστεί στην έκδοση Chrome 131, η οποία προγραμματίζεται για κυκλοφορία στις 6 Νοεμβρίου 2024.

Η ομάδα χάκερς Lazarus από τη Βόρεια Κορέα επανέρχεται στο προσκήνιο με μια νέα καμπάνια που στοχεύει προγραμματιστές μέσω πλαστών τεστ δεξιοτήτων Python, τα οποία υποτίθεται πως αφορούν προσλήψεις από την Capital One. Οι ερευνητές της ReversingLabs εντόπισαν την κακόβουλη δραστηριότητα τον Σεπτέμβριο του 2024, επισημαίνοντας ότι πρόκειται για συνέχεια της καμπάνιας VMConnect που εντοπίστηκε τον Αύγουστο.

Η καμπάνια βασίζεται στη χρήση του ψυχολογικού παράγοντα για να παρασύρει προγραμματιστές στην εγκατάσταση κακόβουλου λογισμικού. Οι επιτιθέμενοι απαιτούν από τους στόχους να διορθώσουν κάποιο κώδικα μέσα σε ένα συγκεκριμένο χρονικό πλαίσιο, δημιουργώντας αίσθημα επείγοντος. Αυτό το τέχνασμα δυσκολεύει την ανίχνευση της απειλής, αφού μοιάζει με φυσιολογικό workflow ενός προγραμματιστή, ενώ ο κίνδυνος έγκειται στα υψηλά δικαιώματα πρόσβασης που έχουν συχνά οι developers.

Οι ειδικοί επισημαίνουν ότι η επίθεση ενσωματώνει τα τυπικά χαρακτηριστικά της τακτικής της Βόρειας Κορέας, με ψεύτικες προσκλήσεις σε συνεντεύξεις εργασίας και χρήση κακόβουλων αρχείων Python. Ενώ η Lazarus Group συνεχίζει να απειλεί τις επιχειρήσεις, η συνεχής παρακολούθηση και τακτική ενημέρωση των ομάδων ασφάλειας μπορεί να μετριάσει τις συνέπειες.

Σε μια εντυπωσιακή αποκάλυψη, ο ερευνητής ασφαλείας Benjamin Harris, ιδρυτής της εταιρείας κυβερνοασφάλειας watchTowr, κατάφερε να εκμεταλλευτεί ένα ληγμένο domain, αποκτώντας πρωτοφανή πρόσβαση σε ευαίσθητες υποδομές του διαδικτύου, αγοράζοντας το domain dotmobiregistry.net για μόλις 20 δολάρια. Ο τομέας ήταν κάποτε ο επίσημος διακομιστής WHOIS για το .mobi, έναν τομέα ανωτάτου επιπέδου που χρησιμοποιείται για να δηλώσει ότι ένας ιστότοπος είναι βελτιστοποιημένος για κινητές συσκευές. Μέσα σε λίγες ώρες, ο ψευδο-διακομιστής του έλαβε εκατομμύρια ερωτήματα από υψηλού κύρους υπηρεσίες διαδικτύου, αποκαλύπτοντας κραυγαλέα κενά ασφαλείας.

Ο Harris ανακάλυψε ότι πολυάριθμοι καταχωρητές τομέων, αρχές έκδοσης πιστοποιητικών και κυβερνητικοί φορείς εξακολουθούσαν να εμπιστεύονται τον πάλαι ποτέ διακομιστή WHOIS. Αυτή η λανθασμένη εμπιστοσύνη επέτρεψε στον Harris να δημιουργήσει πλαστά πιστοποιητικά HTTPS και να υποκλέψει ακόμη και μηνύματα ηλεκτρονικού ταχυδρομείου. Μια από τις πιο ανησυχητικές ανακαλύψεις ήταν ότι οι αρχές έκδοσης πιστοποιητικών, όπως η GlobalSign, βασίζονταν σε αυτόν τον ψευδο-διακομιστή για να επαληθεύουν τη νομιμότητα των αιτήσεων πιστοποιητικών TLS. Σε ένα πείραμα, ο Harris βρισκόταν μόλις ένα βήμα μακριά από την απόκτηση ενός πιστοποιητικού για το microsoft.mobi.

Αυτή η ανησυχητική ευπάθεια αναδεικνύει την ευθραυστότητα των συστημάτων που στηρίζουν την εμπιστοσύνη στο διαδίκτυο, όπως το δίκτυο WHOIS. Τα ευρήματα του Harris καταδεικνύουν ότι αυτά τα συστήματα, που συχνά θεωρούνται δεδομένα, μπορούν εύκολα να χειραγωγηθούν εάν δεν συντηρούνται σωστά. Η έρευνά του προκάλεσε μια βαθύτερη έρευνα από τις αρχές ασφαλείας, οι οποίες εργάζονται τώρα για την ασφάλεια της παραβιασμένης υποδομής.

Ερευνητές ανακάλυψαν μια κρίσιμη ευπάθεια στη σειρά YubiKey 5, το δημοφιλές token υλικού που χρησιμοποιείται για έλεγχο ταυτότητας δύο παραγόντων. Το ελάττωμα, που εντοπίστηκε από την εταιρεία ασφαλείας NinjaLab, επιτρέπει στους επιτιθέμενους να κλωνοποιήσουν τη συσκευή εκμεταλλευόμενοι ένα δευτερεύον κανάλι στις κρυπτογραφικές λειτουργίες του μικροελεγκτή Infineon που χρησιμοποιείται σε αυτές τις συσκευές. Αυτή η ευπάθεια επηρεάζει όλα τα μοντέλα YubiKey 5 που χρησιμοποιούν firmware πριν από την έκδοση 5.7 και εγκυμονεί σημαντικούς κινδύνους για τους χρήστες, εάν η συσκευή τους παραβιαστεί με φυσικό τρόπο.

Η ευπάθεια συνδέεται με την υλοποίηση της κρυπτογραφικής βιβλιοθήκης της Infineon για τον εκτεταμένο ευκλείδειο αλγόριθμο, η οποία δεν χρησιμοποιεί σταθερό χρόνο κατά τους υπολογισμούς σπονδυλωτής αντιστροφής. Αυτό επιτρέπει στους επιτιθέμενους με φυσική πρόσβαση στο YubiKey να μετρήσουν τις λεπτές διαφορές στους χρόνους εκτέλεσης και να αποσπάσουν το ιδιωτικό κλειδί, δημιουργώντας ουσιαστικά έναν κλώνο της συσκευής. Παρά την πολυπλοκότητα και τους πόρους που απαιτούνται για την επίθεση -που εκτιμάται ότι κόστισε περίπου 11.000 δολάρια- η ανακάλυψη αυτή αναδεικνύει μια σοβαρή αδυναμία στις εγγυήσεις ασφαλείας που παρέχει το υλικό που συμμορφώνεται με το FIDO.

Η Yubico, ο κατασκευαστής του YubiKey, αναγνώρισε το ελάττωμα, τονίζοντας ότι τα επηρεαζόμενα κλειδιά δεν μπορούν να επιδιορθωθούν λόγω της φύσης του υλικού της ευπάθειας. Συνιστάται στους χρήστες να αναβαθμίσουν σε συσκευές με firmware 5.7 ή μεταγενέστερο, το οποίο χρησιμοποιεί μια προσαρμοσμένη κρυπτογραφική βιβλιοθήκη για τον μετριασμό του προβλήματος. Παρόλο που ο κίνδυνος ευρείας εκμετάλλευσης παραμένει χαμηλός, το περιστατικό υπογραμμίζει τη σημασία της διατήρησης της φυσικής ασφάλειας των συσκευών ελέγχου ταυτότητας και της ενημέρωσης σχετικά με τις πιθανές ευπάθειες.