Știri
Știri din categoria Securitate cibernetică
Un nou infostealer numit Storm poate ocoli în practică protecții precum 2FA, pentru că mută decriptarea datelor furate pe servere controlate de atacatori, ceea ce îl face mai greu de prins de multe soluții de securitate instalate pe dispozitive, potrivit BGR.
Cercetători ai companiei de securitate cibernetică Varonis au identificat malware-ul ca fiind un „infostealer” (un tip de program malițios care colectează date sensibile și le trimite către un atacator). În cazul Storm, țintele includ credențiale din browser (conturi și parole), cookie-uri de sesiune, portofele cripto și alte date care, odată decriptate, pot fi folosite pentru preluarea conturilor.
În mod obișnuit, astfel de malware încearcă să facă „munca grea” local, pe calculatorul infectat, inclusiv prin încărcarea unor biblioteci SQLite compromise pentru a ajunge la datele stocate. Această abordare este relativ comună și, în general, mai ușor de detectat de instrumentele de securitate de tip endpoint (soluții care monitorizează și protejează dispozitivele utilizatorilor).
BGR arată că Google a complicat acest model în iulie 2024, odată cu introducerea App-Bound Encryption în Chrome 127, care leagă cheile de criptare de browser și „face decriptarea locală și mai dificilă”, conform explicațiilor Varonis. Ca reacție, atacatorii au trecut la metode precum injectarea de cod malițios în Chrome sau folosirea protocoalelor de depanare, dar acestea puteau lăsa în continuare urme detectabile.
Storm schimbă tactica: datele colectate local rămân criptate și sunt trimise către o infrastructură „proprietară”, unde sunt decriptate pe server. Consecința practică este că multe instrumente endpoint, construite să identifice decriptarea pe dispozitiv, pot rata activitatea.
După infectare, atacatorii pot strânge date necesare pentru a „restaura” sesiuni deturnate de la distanță. Lista menționată include:
În plus, Storm ar „gestiona” pe server atât browsere bazate pe Chromium, cât și pe Gecko (precum Firefox sau Pale Moon), ceea ce extinde suprafața de atac dincolo de un singur ecosistem.
Varonis susține că Storm ar fi disponibil pentru „mai puțin de 1.000 de dolari pe lună” (aprox. 4.600 lei), ceea ce îl face relativ accesibil pentru atacatori la distanță. Compania spune că a observat „multe” cazuri de utilizare pentru furt de credențiale financiare, de social media și de criptomonede în mai multe țări, inclusiv în SUA, fără a detalia în material amploarea exactă.
Pentru utilizatori, măsurile de bază indicate în articol includ:
Recomandate
Un atac de tip „supply chain” pe GitHub poate ajunge rapid la utilizatori prin pachete npm , după ce o campanie numită Megalodon a infectat peste 5.500 de depozite cu commit-uri malițioase, potrivit TechRadar . Miza operațională pentru companii este expunerea secretelor din fluxurile CI/CD (integrare și livrare continuă), care pot deschide acces la infrastructură cloud și la medii de producție. Cum funcționează atacul și de ce e greu de prins Cercetătorii SafeDep descriu Megalodon ca o campanie „inspirată” de TeamPCP , care pornește de la un commit malițios trimis de un actor ce se prezintă drept un „build-bot” (un cont care mimează un robot de build ce face modificări automate). Dacă un maintainer acceptă commit-ul, codul introduce un infostealer (malware care fură date) și începe să se propage către alte depozite „în stil vierme”, adică prin replicare automată. Ținta principală sunt secretele din pipeline-urile DevOps, adică acele chei și tokenuri care permit automatizărilor să acceseze servicii critice. Ce date sunt vizate: chei cloud, acces SSH și configurații DevOps În observațiile SafeDep, Megalodon a urmărit să colecteze, între altele: chei secrete AWS și tokenuri de acces Google Cloud; credențiale de tip „instance role” din AWS, Google Cloud și Azure; chei private SSH; configurații Docker și Kubernetes; tokenuri Vault și credențiale Terraform. Pentru organizații, compromiterea acestor date poate însemna acces neautorizat la resurse cloud, modificări în infrastructură și risc de extindere laterală în rețea. De la maintaineri la utilizatori: riscul de propagare prin npm În etapa inițială, expuși sunt în primul rând maintainerii de pe GitHub. Riscul se extinde însă către utilizatori dacă proiectele compromise sunt publicate mai departe în npm (registrul de pachete folosit frecvent în ecosistemul JavaScript), deoarece pachetele pot ajunge în aplicații ale terților. SafeDep oferă exemplul Tiledesk, unde versiunile 2.18.6 (19 mai) până la 2.18.12 (21 mai) „conțin backdoor-ul”, iar publicarea s-a făcut din aceeași cont npm ca și versiunea curată 2.18.5, fără ca atacatorul să fi preluat contul npm. Concluzia cercetătorilor: depozitul GitHub a fost compromis, iar maintainerul a publicat din sursa „otrăvită” fără să își dea seama. „Atacatorul nu a atins niciodată contul npm. Au compromis depozitul GitHub, iar maintainerul a publicat din sursa infectată fără să realizeze.” Context: copycat după TeamPCP și listă de repo-uri compromise TechRadar notează că Megalodon pare a fi un actor separat, de tip „copycat”, nu neapărat parte din inițiativa TeamPCP menționată de The Register, care a scris despre o „competiție” de atacuri asupra lanțului de aprovizionare (supply chain) pe Breach Forums. Lista completă a depozitelor compromise este publicată de SafeDep în raportul său (linkul indicat în articol). [...]
Meta a închis o breșă operațională în suportul Instagram după ce atacatori au reușit să convingă agentul de asistență bazat pe inteligență artificială să inițieze resetări de parolă fără verificări de identitate, potrivit TechRadar . Incidentul arată riscul de a delega către sisteme automate procese sensibile, precum recuperarea conturilor. Atacul a fost unul de inginerie socială : infractorii au purtat o conversație cu chatbotul MetaAI și l-au determinat să trimită coduri de resetare a parolei pentru conturi care nu le aparțineau, fără să ceară verificare de identitate. Cercetătorii care au făcut public cazul au atras atenția că astfel de sarcini, dacă sunt automatizate, pot deveni puncte de intrare în compromiterea conturilor. De ce contează: conturi „premium” pot fi monetizate rapid Țintele au fost conturi Instagram cu nume scurte („short-handle”), considerate valoroase deoarece au, de regulă, audiențe foarte mari și pot fi revândute pe piața neagră. Conform cercetătorilor ZachXBT și Dark Web Informer, atacatorii au obținut coduri de resetare pentru conturile altor persoane. Două conturi, și , ar fi fost listate la vânzare pe canale de Telegram pentru „peste 1 milion, cumulat”, potrivit Cybersecurity News (citat de TechRadar ). Cercetătorii au urmărit apariția listărilor în mai multe comunități de hacking de pe Telegram. Ce a făcut Meta și ce spune compania Meta a remediat problema „vinerea trecută seara”, conform articolului. Compania a transmis ulterior: „Am remediat o problemă care permitea unei părți externe să solicite e-mailuri de resetare a parolei pentru unii utilizatori Instagram. Nu a existat nicio breșă a sistemelor noastre și conturile Instagram ale oamenilor rămân sigure.” Publicația notează și un aspect important pentru utilizatori: în acest caz, atacul a vizat fluxul de suport al platformei, nu utilizatorii direct, astfel că opțiunile de prevenție la nivel individual au fost limitate. Implicații pentru companii: automatizarea suportului trebuie „îngrădită” pe procese critice Cazul evidențiază o vulnerabilitate de proces: dacă un agent automat poate declanșa resetări de parolă fără controale robuste, atacatorii pot transforma conversația cu un bot într-o cale de preluare a conturilor. Pentru organizații, lecția este că automatizarea în suport trebuie însoțită de verificări stricte pentru operațiuni cu impact mare (recuperare cont, schimbare e-mail, resetare parolă), tocmai pentru a reduce suprafața de atac la inginerie socială. [...]
Microsoft a remediat o pană care a blocat configurarea MFA și accesul la My Sign-Ins , un incident cu impact operațional direct pentru organizațiile care se bazează pe autentificarea cu mai mulți factori pentru accesul utilizatorilor, potrivit BleepingComputer . Problema a afectat utilizatori care nu au putut seta MFA sau accesa site-ul mysignins.microsoft.com , iar în centrul de administrare Microsoft incidentul a fost urmărit sub codul MO1329260 . Conform actualizărilor din admin center, cei afectați au întâlnit erori „504 Gateway Timeout” la accesarea serviciului. Ce s-a întâmplat și cum a reacționat Microsoft Microsoft a confirmat incidentul în jurul orei 5:00 AM ET (12:00, ora României) și l-a încadrat ca „incident în desfășurare”, etichetă folosită pentru probleme critice cu impact vizibil asupra utilizatorilor. Pentru limitarea efectelor, compania a trecut inițial pe „infrastructură alternativă” considerată sănătoasă și a început monitorizarea telemetriei (indicatori tehnici ai funcționării serviciului) pentru a urmări revenirea completă. În paralel, Microsoft a indicat că analizează măsuri suplimentare, inclusiv optimizarea modului în care sunt procesate cererile către serviciu, pe fondul persistenței unor rate ridicate de erori. Cauza indicată: schimbare de configurare a cache-ului și suprasolicitare la failover Într-o actualizare din 1 iunie, ora 08:41 EDT (15:41, ora României), Microsoft a transmis că a restabilit accesul la My Sign-Ins și a pus incidentul pe seama unei schimbări recente de configurare a cache-ului (mecanism de stocare temporară pentru accelerarea răspunsurilor), care a necesitat un failover (comutare pe infrastructură de rezervă). „Am identificat că o schimbare recentă de configurare a cache-ului a necesitat un failover.” În timpul failover-ului, serviciul a înregistrat utilizare ridicată de CPU și memorie, pe fondul unui vârf de trafic din Europa, ceea ce a împiedicat MySignIn să proceseze volumul de solicitări. Microsoft spune că a revenit asupra acțiunilor de atenuare și a readus traficul pe infrastructura inițială. Ce rămâne neclar Compania nu a precizat ce regiuni au fost afectate, menționând doar contextul unui vârf de trafic din UE în perioada failover-ului. Pentru organizații, incidentul evidențiază un risc operațional: indisponibilitatea temporară a fluxurilor de înrolare MFA și a accesului la pagina My Sign-Ins poate întârzia onboarding-ul utilizatorilor și poate complica gestionarea accesului în intervalul afectat. [...]
NVIDIA mută securitatea „zero trust” în stocare pentru AI agențial, cu politici aplicate direct în cip , mizând pe detecție la rulare „de până la 1.000x” mai rapidă și pe aplicarea regulilor de acces la viteze de până la 800 Gb/s, potrivit NVIDIA News . Miza operațională este reducerea riscului ca agenții AI — care citesc, scriu și partajează date fără supraveghere umană directă — să devină o nouă suprafață de atac în companii, în special prin acces neautorizat la fișiere și „memorie de context”. Anunțul vizează NVIDIA Vera BlueField-4 STX , o extensie a arhitecturii accelerate de stocare a companiei, care aduce un „stack” (pachet) unificat de securitate NVIDIA DOCA și îl aplică „în siliciu” pe NVIDIA BlueField-4. Practic, interacțiunile dintre agenți, date și memoria de context pot fi inspectate și guvernate „inline” (pe flux), în calea de date a infrastructurii AI, cu obiectivul de a impune politici continuu, fără a încetini operațiunile. „AI-ul agențial transformă datele întreprinderii într-un sistem viu, în timp real — iar acel sistem trebuie protejat acolo unde datele se mișcă, unde contextul este stocat și unde agenții acționează”, a declarat Jensen Huang , fondator și CEO al NVIDIA. Ce se schimbă în practică: securitate în stratul de stocare, nu doar la aplicație NVIDIA argumentează că, pe măsură ce companiile trec de la chatboți la agenți autonomi care „raționează, recuperează și acționează” pe date interne, stocarea devine un punct de control în timp real. În acest context, Vera BlueField-4 STX ar urma să reducă expunerile generate de accesul continuu la date și de partajarea automată de informații. Conform materialului, NVIDIA DOCA permite: detecție a amenințărilor la rulare „de până la 1.000x” mai rapidă decât soluțiile existente „agentless runtime” (fără agent instalat pe sistemele monitorizate); aplicarea politicilor de acces la rețea și fișiere la viteze de până la 800 Gb/s. Componentele DOCA anunțate pentru Vera BlueField-4 STX Capabilitățile de securitate menționate includ biblioteci și microservicii DOCA aduse în stratul de stocare pentru AI: NVIDIA DOCA Vault (microservicii): pentru a se asigura că doar sarcinile de lucru AI autorizate pot accesa fișierele potrivite, cu permisiunile potrivite. NVIDIA DOCA Argus : vizibilitate asupra comportamentului agenților și activității sarcinilor de lucru AI. NVIDIA DOCA Flow : izolare a traficului de rețea și protecția datelor sensibile în medii AI multi-tenant (cu mai mulți clienți/echipe pe aceeași infrastructură). NVIDIA susține că politicile pot fi aplicate direct în cip, în timp ce datele continuă să circule la „vitezele” cerute de infrastructurile de tip „AI factory”. Ecosistem: securitate, stocare și integratori Publicația listează parteneri care integrează soluții de securitate enterprise cu Vera BlueField-4 STX, între care Akamai, Armis (ServiceNow), Check Point, Cisco, CrowdStrike, EQTY, F5, Fortinet, Palo Alto Networks, TrendAI, Xage Security și Zscaler (fără a detalia nivelul sau calendarul fiecărei integrări). Pe zona de stocare și sisteme, sunt menționați furnizori precum Cloudian, DDN, Dell Technologies, Hitachi Vantara, HPE, IBM, MinIO, NetApp, Nutanix, VAST Data și WEKA, precum și producători (AIC, ASUS, Foxconn, Gigabyte, QCT, Supermicro, Wistron, Wiwynn). La nivel de implementare, NVIDIA indică și implicarea unor integratori globali precum Accenture, Deloitte și Worldwide Technology. Disponibilitate Platformele bazate pe STX sunt „așteptate” să fie disponibile de la parteneri în a doua jumătate a lui 2026, conform anunțului. Materialul nu oferă detalii despre prețuri, configurații sau condiții comerciale. [...]
Rusia își intensifică spionajul și atacurile cibernetice în Europa pentru a compensa presiunea sancțiunilor și a războiului , iar serviciile europene avertizează că Moscova își asumă riscuri mai mari, inclusiv prin tentative de sabotaj asupra infrastructurii critice, potrivit Adevărul . Investigația, bazată pe informații relatate de Associated Press și pe declarațiile unor oficiali europeni din servicii de informații, descrie o campanie coordonată în care agenții ruși folosesc metode mai sofisticate și mai agresive: companii-paravan, intermediari și rețele de hackeri pentru colectarea de date despre infrastructură critică și programe tehnologice occidentale. Ținte: tehnologie cu utilizare duală și proiecte strategice Oficialii europeni citați susțin că Rusia urmărește cu prioritate accesul la echipamente industriale moderne, tehnologii cu utilizare duală (civilă și militară) și rezultate de cercetare care pot accelera dezvoltarea armamentului. Adjunctul șefului operațiunilor din serviciul de securitate al Suediei, Christopher Wedelin , spune că Moscova „știe foarte clar ce caută” și depune eforturi considerabile pentru a obține utilaje avansate, echipamente industriale și tehnologii cu potențial militar. În Suedia, una dintre țintele principale ar fi industria de apărare, inclusiv proiecte legate de avionul de luptă Gripen . Sunt vizate și tehnologii optice, sisteme laser și alte inovații dezvoltate inițial pentru uz civil, dar adaptabile pentru armament. Șeful Serviciului de Securitate și Informații al Finlandei, Juha Martelius, indică o plajă mai largă de interese, de la tehnologii spațiale și cuantice la soluții pentru zona arctică și tehnologii maritime. În paralel, Rusia ar încerca să obțină echipamente informatice aflate sub regimul sancțiunilor și actualizări software pentru utilaje industriale de care depinde producția militară. Escaladare în spațiul cibernetic: de la „recunoaștere” la acțiuni directe Pe lângă spionajul clasic, Rusia intensifică atacurile cibernetice asupra companiilor europene și a infrastructurii critice. Un exemplu menționat este o tentativă din 2025, atribuită unor actori cibernetici asociați Rusiei, de a compromite funcționarea unei centrale electrice din Suedia. Atacul a eșuat după ce sistemele de securitate au detectat și blocat intruziunea înainte să producă daune. Pentru serviciile suedeze, episodul indică o schimbare de tactică. Wedelin afirmă că, dacă anterior predominau activitățile de recunoaștere și colectare de informații, acum se observă „o disponibilitate mai mare de a trece la acțiuni directe”. De ce contează pentru economie și companii Mesajul central al avertismentelor este că presiunea economică internă împinge Rusia să caute accelerat tehnologie și resurse externe, iar asta crește riscul pentru companiile și infrastructurile europene. Directorul Serviciului de Informații Externe al Estoniei, Kaipo Rosin, leagă agresivitatea în creștere de dificultățile economice ale Rusiei și afirmă că aproximativ o treime din produsul intern brut ar fi direcționată către efortul de război, ceea ce amplifică nevoia de acces la tehnologii occidentale. În acest context, serviciile europene avertizează că Moscova pare mai puțin preocupată de expunerea operațiunilor și mai dispusă să își asume riscuri. Pentru mediul de afaceri, implicația este o presiune mai mare pe securitatea cibernetică, pe controlul lanțurilor de furnizori și pe protecția proprietății intelectuale, mai ales în sectoarele cu tehnologii avansate și utilizare duală. [...]
Cele trei „megabănci” din Japonia primesc acces controlat la un nou model OpenAI pentru apărare cibernetică , într-un aranjament care tratează inteligența artificială de vârf ca infrastructură critică și nu ca produs de larg consum, potrivit The Next Web . Modelul, numit GPT-5.5-Cyber , ar urma să ajungă la MUFG Bank, Sumitomo Mitsui Banking Corporation (SMBC) și Mizuho Bank printr-un program al OpenAI denumit „ Trusted Access for Cyber ”, conceput să ofere cele mai capabile instrumente doar „apărătorilor verificați” (instituții evaluate și validate ca utilizatori legitimi). De ce contează: „pază la intrare” pentru un instrument cu dublă utilizare Logica programului este una de restricționare a accesului: un model suficient de bun pentru a identifica vulnerabilități „la scară” devine periculos dacă ajunge la actori rău-intenționați. În consecință, accesul este raționalizat către organizații care pot fi verificate, într-o încercare de a reduce riscul ca aceleași capabilități să fie folosite pentru atacuri. Publicația notează explicit tensiunea de fond: modelele care pot face atacurile cibernetice mai ieftine și mai ușor de rulat sunt, în același timp, instrumente valoroase pentru apărare — iar aici sunt livrate deliberat către cei care apără. Componenta guvernamentală: nu doar un contract comercial Înțelegerea nu ar fi fost negociată exclusiv la nivel tehnic sau comercial. Ministrul japonez al finanțelor, Satsuki Katayama, și secretarul Trezoreriei SUA, Scott Bessent, ar fi fost implicați direct în discuțiile care au deschis colaborarea, ceea ce îi dă și caracterul unei înțelegeri „guvern-la-guvern”, nu doar al unui acord de furnizare. În această interpretare, Tokyo ar „achiziționa” capabilități de apărare cibernetică similar cu modul în care ar procura o altă capabilitate strategică. Context: o coaliție public-privată și competiție între laboratoare americane Acordul se înscrie într-un demers mai amplu: la mijlocul lunii mai, Japonia a creat un grup de lucru public-privat privind riscurile cibernetice legate de inteligența artificială, care reunește marile bănci, Banca Japoniei și entități locale ale unor laboratoare de AI de top. Acest grup vizează riscurile unei noi clase de sisteme orientate spre găsirea vulnerabilităților, iar printre cele mai discutate este „Claude Mythos” al Anthropic, la care instituții japoneze ar urma, separat, să aibă acces (menționat de The Next Web într-un material distinct: Claude Mythos ). În acest tablou, acordul cu OpenAI este prezentat ca al doilea laborator „de frontieră” care intră în aceeași coaliție defensivă. Riscul operațional: o securitate „în două viteze” în sectorul financiar Deși accesul controlat reduce riscul de abuz, The Next Web atrage atenția asupra unui efect secundar posibil: concentrarea celor mai puternice instrumente defensive în câteva instituții mari poate lăsa restul sistemului financiar — bănci mai mici și startup-uri fintech — într-un dezavantaj tot mai mare. Rezultatul ar putea fi un peisaj de securitate „pe două niveluri”, în care megabăncile sunt mult mai bine protejate, iar ceilalți rămân relativ mai expuși, tocmai din cauza unui program proiectat să țină instrumentele puternice departe de utilizatori nepotriviți. Ce urmează Pe termen scurt, efectul este direct: trei dintre cele mai mari bănci din lume ar urma să folosească un model de AI de vârf pentru a-și întări propriile apărări, printr-un canal de acces verificat, cu implicare guvernamentală în facilitarea acordului. Întrebarea rămasă deschisă, potrivit analizei, este dacă acest tip de distribuție face întregul sistem mai sigur sau doar „părțile” lui cele mai puternice. [...]
