Știri
Știri din categoria Securitate cibernetică
O campanie de phishing pe Signal care ar fi vizat miniștri și oficiali germani ridică riscuri operaționale pentru securitatea comunicațiilor guvernamentale, într-un dosar în care procurorii federali investighează atacuri pe care Berlinul le leagă de Rusia, potrivit G4Media.
Țintele ar fi inclus politicieni, diplomați, ofițeri militari și jurnaliști de top, iar suspiciunile privind implicarea Rusiei sunt menționate de surse guvernamentale citate de Reuters. Guvernul german nu a comentat oficial informațiile despre persoanele vizate.
Procurorii federali germani au confirmat că investighează atacurile, iar presa locală a relatat că acestea ar fi ajuns până la nivelul executivului. Conform agenției dpa și publicației Der Spiegel, printre cei vizați s-ar număra miniștrii Karin Prien și Verena Hubertz.
În acest stadiu, amploarea exactă a breșei și consecințele asupra securității informațiilor guvernamentale nu sunt încă stabilite, ancheta fiind în desfășurare.
Potrivit informațiilor prezentate, atacul nu ar fi exploatat o vulnerabilitate tehnică a aplicației Signal, ci ar fi mizat pe manipularea utilizatorilor (phishing – încercarea de a obține date sensibile prin mesaje care imită surse legitime).
Mecanismul descris include mesaje care par să vină de la „Signal Support” și cer utilizatorilor să:
Dacă victima urmează instrucțiunile, atacatorii pot obține acces la conversații private, contacte și grupuri interne – un risc direct pentru funcționarea și confidențialitatea comunicării între instituții.
Autoritățile germane ar fi fost alertate încă de la începutul anului, după ce serviciul de informații interne și structurile de securitate cibernetică au emis avertismente privind posibile atacuri asupra utilizatorilor de aplicații de mesagerie, atribuite unui actor susținut de stat. Primele avertizări publice ar fi apărut în februarie, urmate de recomandări mai detaliate.
Cazul este plasat într-un context mai larg de creștere a atacurilor cibernetice atribuite Rusiei; serviciile de informații din Țările de Jos au avertizat anterior că Moscova își intensifică operațiunile hibride, inclusiv tentative de sabotaj cibernetic asupra infrastructurii publice. Rusia a negat în repetate rânduri acuzațiile de hacking împotriva altor state.
Recomandate
Un presupus sabotaj coordonat online arată cum rețelele rusești pot transforma recrutarea pe Telegram în atacuri fizice în Marea Britanie , potrivit Focus , care citează o investigație a Financial Times despre incendieri ce au vizat locuința lui Keir Starmer și alte ținte din anturajul premierului britanic. Investigația Financial Times indică faptul că în spatele atacurilor s-ar afla o rețea de sabotaj operată online, cu legături în Rusia. În acest context, un muncitor în construcții ucrainean în vârstă de 22 de ani, Roman Lavrynovych, care locuiește la Londra, a fost găsit vinovat luni, după un proces de șase săptămâni la Old Bailey, pentru implicarea sa în incendieri. Starmer calificase anterior faptele drept „un atac asupra democrației”. Recrutare și coordonare pe Telegram, cu piste către Rusia Potrivit materialului, procurorii nu au oferit detalii despre identitatea persoanei care l-ar fi contactat pe Lavrynovych. A fost făcut public doar faptul că aceasta folosea Telegram sub numele „El Money” și comunica atât în rusă, cât și în ucraineană. Investigația Financial Times, bazată pe date de pe Telegram, portofele de criptomonede (instrumente digitale folosite pentru stocarea și transferul de active cripto), documente judiciare și discuții cu oficiali occidentali din securitate, concluzionează că „El Money” s-ar fi aflat în Rusia. Legături cu grupări de hacktiviști și obiectivul de a amplifica tensiunile sociale Aceeași investigație susține că „El Money” ar fi avut legături strânse cu gruparea de hacktiviști pro-Kremlin NoName057(16), pe care SUA o clasifică drept un „proiect sprijinit de stat” de către Rusia. Conform constatărilor anchetatorilor citate, NoName și alte grupuri cibernetice rusești cu orientare naționalistă ar fi încercat să recruteze „interpuși” prin internet, pentru a susține interesele de politică externă ale Kremlinului și, simultan, pentru a accentua tensiunile sociale în Europa, inclusiv prin distribuirea de conținut de extremă dreapta și anti-migrație. În plus, presupusul organizator al incendiilor ar fi recrutat persoane în Marea Britanie pentru a realiza graffiti islamofobe pe moschei și în alte locuri din Londra, potrivit informațiilor prezentate. [...]
Rusia își înăsprește controlul asupra comunicațiilor și camerelor pe fondul temerilor că tehnologii avansate de recunoaștere facială și analiză video, alimentate de inteligență artificială, ar putea fi folosite pentru localizarea și țintirea conducerii de la Kremlin, potrivit unei analize publicate de Kyiv Post . Textul susține că Vladimir Putin ar fi ordonat pe 8 iunie ca cele două fiice adulte ale sale și cei trei copii ai acestora să se adăpostească într-un buncăr familial de la Marea Neagră, după ce ar fi aflat că o tehnologie de recunoaștere facială bazată pe inteligență artificială ar fi contribuit la identificarea liderului suprem al Iranului în februarie. În acest context, autorul afirmă că Putin ar fi dispus schimbări și ar fi oprit o rețea specializată de camere CCTV (supraveghere video) pentru a reduce riscul de exploatare sau compromitere. Măsuri cu efect direct asupra infrastructurii digitale și a mobilității Analiza descrie o serie de măsuri de securitate care, dacă sunt aplicate la scară, au implicații operaționale pentru comunicații și pentru utilizarea infrastructurii digitale în Rusia: restricții extinse de internet și întreruperi localizate („blackout-uri”), invocate după ce Rusia a susținut în mai că Ucraina ar fi încercat să-l asasineze pe Putin printr-un atac cu dronă asupra Kremlinului; limitarea utilizării telefoanelor conectate la internet pentru persoanele din proximitatea liderului rus, de la generali la personal auxiliar; obligativitatea folosirii transportului guvernamental, nu a vehiculelor private, pentru a permite monitorizarea deplasărilor; consolidarea supravegherii și securizării perimetrului Kremlinului și a zonelor asociate personalului. În același material este citată o formulare atribuită unui ziar, potrivit căreia „Putin se teme de camere”, în contextul reducerii expunerii la rețele de supraveghere care ar putea fi exploatate. De ce contează: AI-ul mută riscul din câmpul de luptă în rețelele urbane Piesa argumentează că o „mașină de producție a țintelor” bazată pe inteligență artificială — descrisă ca fiind dezvoltată de Israel împreună cu armata SUA — ar fi folosit fluxuri video din camere de trafic pentru a reconstrui mișcări, obiceiuri și rețele de contacte, inclusiv prin extragerea și analizarea imaginilor pe perioade lungi. În plus, autorul afirmă că înaintea unei operațiuni din februarie ar fi fost dezactivate rețelele celulare din Iran pentru a preveni avertizări. În paralel, analiza susține că Ucraina ar utiliza drone cu capabilități de identificare (inclusiv contururi faciale și semnături termice), ceea ce ar amplifica presiunea asupra Rusiei de a-și „închide” ecosistemul digital și de supraveghere. Context de securitate: atacuri în interiorul Rusiei Materialul mai afirmă că pe 10 iunie un general rus de rang înalt ar fi fost ucis într-o explozie, iar până în prezent ar fi avut loc aproximativ 15 asasinate ale unor lideri militari ruși. În același episod, presa de stat rusă ar fi relatat și despre o tentativă de asasinare a unui angajat dintr-o întreprindere științifico-industrială. Articolul din Kyiv Post este o opinie semnată de Diane Francis și include afirmații prezentate ca „rapoarte credibile”, fără a detalia public sursele primare; unele elemente rămân, așadar, dificil de verificat independent din textul disponibil. [...]
Identificarea a șase sateliți ruși ca sursă a întreruperilor GPS din Europa ridică miza operațională pentru infrastructuri critice , pentru că mută bruiajul din zona emițătoarelor locale la o capacitate cu acoperire continentală, potrivit Focus . În ultimii ani, Europa a înregistrat întreruperi scurte, sub 10 secunde, dar repetate, iar o echipă de la Universitatea Texas a concluzionat că acestea provin din orbită. Cercetătorii spun că, între 2019 și prezent, au fost consemnate 75 de astfel de „căderi” ale comunicației cu sateliții, pe un areal larg – între Islanda și Italia, respectiv Norvegia și Spania. Cu ajutorul unor colegi din Spania, echipa a calculat ce sateliți ar putea fi responsabili și a ajuns la satelitul „ Kosmos 2546 ”, parte a sistemului rusesc de avertizare timpurie (destinat, oficial, detectării lansărilor de rachete balistice și a atacurilor nucleare). Ce se știe și ce rămâne neclar din date Din cele 75 de întreruperi, doar trei au putut fi atribuite direct acestui grup de sateliți; pentru restul, datele au fost considerate insuficiente pentru o atribuire fermă. Totuși, cercetătorii afirmă că, la fiecare impuls de bruiaj, cel puțin un satelit de avertizare timpurie se afla deasupra zonei afectate. Până acum, episoadele nu ar fi produs pagube majore, deoarece sateliții moderni pot compensa tehnic întreruperile foarte scurte. De ce contează pentru Europa: GPS ca infrastructură de bază Miza este mai degrabă operațională decât „de confort”: GPS este descris ca fiind la fel de central pentru o societate modernă precum internetul, de la navigație personală până la funcționarea industriei și a armatei. În articol sunt date exemple concrete de utilizare: coordonarea intervențiilor de urgență (ambulanță, poliție, pompieri); sincronizarea rețelelor de electricitate și a rețelelor radio. În acest context, întreruperi mai ample ar deveni o amenințare directă pentru continuitatea serviciilor și pentru infrastructurile critice. „Revoluția” în războiul electronic: bruiaj cu rază continentală Potrivit echipei, semnalele de bruiaj afectează cea mai utilizată frecvență globală pentru comunicații spațiale. În interpretarea citată de Focus din The New York Times , Rusia ar putea astfel perturba GPS nu doar în Europa, ci și în China și SUA, în timp ce propriile comunicații ar fi protejate prin folosirea unei frecvențe separate. Rămâne însă deschisă întrebarea intenției. Articolul notează că nu este sigur dacă perturbările sunt deliberate; o ipoteză alternativă, atribuită cercetătorului Richard Bowden, este că întreruperile ar putea fi efectul unor mesaje scurte transmise de sateliții ruși. În sprijinul acestei idei este citat și cotidianul austriac Der Standard , care argumentează că sateliții de avertizare timpurie sunt prea importanți pentru a li se adăuga „sarcini secundare” neobișnuite. Indiferent de intenție, concluzia operațională rămâne aceeași: trecerea de la bruiajul realizat de pe nave sau vehicule (cu rază limitată și, de regulă, dependent de linia de vizare) la bruiaj din spațiu schimbă regulile jocului. Focus citează aprecierea șefului proiectului, Todd Humphreys, despre o „escaladare masivă” a conflictului de fond din zona războiului electronic, iar liderul Royal Institute of Navigation din Londra avertizează că un emițător de bruiaj în spațiu ar putea „în fiecare zi să perturbe țintit un întreg continent”. [...]
Un grup de hackeri asociați Chinei a exploatat o funcție legitimă din Google Workspace pentru a exfiltra date sensibile și a rămâne nedetectat peste un an , vizând organizații medicale, academice și de cercetare, inclusiv din zona de apărare, potrivit TechRadar . Miza pentru companii și instituții este una operațională: atacul nu s-a bazat doar pe „malware”, ci și pe abuzul unor reguli de conformitate din suita de productivitate, ceea ce complică detectarea și răspunsul. Google Threat Intelligence Group (GTIG) descrie activitatea actorului UNC6508 , asociat Republicii Populare Chineze (PRC), care ar fi exploatat servere REDCap (Research Electronic Data Capture) expuse la internet pentru a instala un malware personalizat, numit INFINITERED. Prin acesta, atacatorii au furat credențiale de autentificare, au accesat conținutul serverelor și au rămas neobservați mai mult de un an, după care s-au deplasat lateral în rețea și au scos date folosind o tehnică bazată pe manipularea regulilor de conformitate pentru conținut. Cum a fost folosit Google Workspace ca „canal” de exfiltrare Potrivit raportului Google, atacatorii au abuzat de „content compliance rules” – reguli de conformitate pentru conținut, o funcție legitimă întâlnită în multe suite cloud pentru companii. Folosind conturi de administrator, aceștia au creat reguli care identificau mesaje pe baza unor seturi predefinite de cuvinte, expresii sau tipare de text. În cazul descris, regula a fost denumită „Patroit” și a fost configurată să trimită automat copii ascunse (BCC) ale anumitor e-mailuri către conturi Gmail controlate de atacatori. Google spune că a dezactivat conturile Gmail asociate actorului și campaniei. Cine a fost vizat și de ce contează pentru organizații Google afirmă că „campania a vizat un set divers de entități medicale naționale, de stat și private”, incluzând furnizori clinici, centre academice, instituții de sănătate militară din America de Nord, grupuri profesionale și organisme de reglementare din sănătate. „Aceste organizații […] angajează mii de oameni, cu un buget cumulat de cercetare de ordinul miliardelor de dolari.” Din perspectivă operațională, cazul arată cum compromiterea credențialelor și accesul la conturi cu privilegii (administrator) pot transforma instrumente standard de productivitate în mecanisme de scurgere de date greu de observat, mai ales când sunt folosite funcții legitime, nu doar atașamente malițioase sau linkuri evidente. Ce recomandă Google administratorilor În material, cercetătorii Google indică o listă de măsuri pentru reducerea riscului în fața UNC6508 și a unor actori similari, între care: impunerea autentificării cu doi factori rezistente la phishing (MFA – autentificare multifactor); înscrierea conturilor foarte sensibile în Advanced Protection Program; aplicarea „Device Bound Session Credentials” cu CAA pentru conturile foarte sensibile, cu scopul de a reduce riscul de furt de cookie-uri (date de sesiune folosite la autentificare). Pentru organizațiile care folosesc Google Workspace, mesajul practic este că protecția nu ține doar de filtrarea „malware”, ci și de controlul strict al conturilor de administrator și de monitorizarea/guvernanța regulilor de conformitate care pot redirecționa automat comunicații interne. [...]
CISA a impus agențiilor federale americane un termen de trei zile pentru a securiza serverele împotriva unei vulnerabilități exploatate activ într-un plugin LiteSpeed pentru cPanel, o situație care poate afecta operațional și furnizorii de găzduire partajată prin riscul de escaladare la drepturi „root” (control total asupra sistemului), potrivit BleepingComputer . Vulnerabilitatea este urmărită ca CVE-2026-48172 și a fost raportată de Namecheap. Conform informațiilor, un atacator care are deja acces prin FTP sau printr-un „web shell” (un instrument care permite rularea de comenzi pe server) poate escalada privilegiile până la „root” pe servere de găzduire partajată care rulează CloudLinux/CageFS. Problema afectează toate versiunile pluginului „user-end” mai vechi de 2.4.8 și are la bază o slăbiciune de tip „UNIX symlink following” (urmărirea unor legături simbolice care pot redirecționa accesul către fișiere nepermise). Ce cere CISA și de ce contează pentru operațiuni CISA a adăugat luni vulnerabilitatea în Known Exploited Vulnerabilities Catalog (KEV) și a ordonat agențiilor din Federal Civilian Executive Branch (FCEB) să își securizeze sistemele în termen de trei zile, în baza directivei Binding Operational Directive (BOD) 26-04 . Directiva, emisă săptămâna trecută, a înlocuit BOD 19-02 și 22-01 și cere prioritizarea remedierilor în funcție de riscul de exploatare. În evaluarea riscului, CISA indică drept factori-cheie: includerea în KEV, expunerea publică a activelor, posibilitatea automatizării exploatării la scară și dacă atacul oferă control parțial sau total asupra sistemului țintă. Ce recomandă LiteSpeed: actualizare și verificări în loguri LiteSpeed a semnalat exploatarea activă la începutul lunii iunie și a publicat actualizări de securitate, recomandând actualizarea pluginului cPanel „user-end” (livrat împreună cu pluginul WHM) la cea mai recentă versiune. Compania indică și o comandă pentru a verifica dacă serverul ar putea fi vulnerabil sau deja vizat: grep -rE 'cpanel_jsonapi_func=(generateEcCert|packageUserSize)|cert_action_entry.*geneccert' /usr/local/cpanel/logs/ /var/cpanel/logs/ 2>/dev/null Dacă această comandă produce rezultate, LiteSpeed spune că vulnerabilitatea ar fi putut fi exploatată și recomandă examinarea jurnalelor de sistem pentru acțiunile inițiate de adresele IP detectate. Context: o nouă alertă după un caz similar luna trecută CISA avertizase și luna trecută asupra unei alte vulnerabilități LiteSpeed pentru cPanel, despre care a spus că a fost exploatată de atacatori neautentificați pentru a executa scripturi arbitrare cu privilegii „root”. [...]
Suspiciunile Casei Albe că un grup legat de China ar fi avut acces la modelele avansate Mythos și Fable ale Anthropic au stat, potrivit The Verge , la baza deciziei SUA de a impune restricții de export — un semnal că reglementarea AI începe să fie tratată ca măsură de securitate națională, nu doar ca politică industrială. Informația pornește dintr-un raport Semafor , citat de publicație, care susține că temerile privind un posibil acces al unui grup conectat la China la Mythos au influențat decizia administrației americane. Miza, în scenariul descris, este ca un astfel de acces să permită utilizarea modelului în scopuri considerate sensibile de guvernul SUA. De ce contează: exporturile de AI, legate direct de riscul de compromitere Materialul indică faptul că, dacă guvernul chinez ar fi avut acces la Mythos 5 sau Fable 5, riscul invocat ar fi unul de securitate națională. În plus, este menționată posibilitatea de „distilare” — o tehnică prin care un model mai simplu („elev”) este antrenat pe ieșirile unui model mai avansat pentru a-i reproduce comportamentul — ceea ce ar putea facilita „reconstruirea” funcțională a modelului. Ce este confirmat și ce rămâne neclar Casa Albă nu a confirmat raportul, iar o postare pe X a consilierului lui Trump, David Sacks , nu a menționat China. În schimb, Sacks s-a concentrat pe o presupusă posibilitate ca Fable și Mythos să poată fi „jailbreak-uite” (adică ocolite mecanismele de siguranță), lucru pe care Anthropic l-a negat. Anthropic nu a răspuns solicitării de comentarii, însă un purtător de cuvânt a declarat pentru Semafor că guvernul SUA nu a adus în discuție China în conversațiile despre controalele la export. Context: Mythos a mai fost expus anterior Publicația amintește că nu ar fi prima breșă jenantă legată de cel mai puternic model al Anthropic: un grup de pe Discord ar fi avut acces la Mythos timp de două săptămâni, înainte ca Anthropic să descopere incidentul și să taie accesul. Compania a susținut, în același context, că Mythos este prea periculos și prea puternic pentru a fi oferit publicului larg. În lipsa unei confirmări oficiale din partea Casei Albe, rămâne de urmărit dacă suspiciunile privind accesul „China-linked” vor fi detaliate public și dacă vor conduce la extinderea controalelor de export pentru alte modele AI de vârf. [...]
