Știri
Știri din categoria Securitate cibernetică
Un atac atribuit unui singur operator a folosit intensiv Claude și GPT‑4.1 pentru a scurta drastic timpii de compromitere ai unor instituții publice, într-o campanie care a vizat nouă agenții guvernamentale din Mexic și s-a soldat cu furtul a „sute de milioane” de înregistrări ale cetățenilor, potrivit TechRadar, care citează un raport al cercetătorilor de la Gambit. Miza pentru organizații este operațională: folosirea inteligenței artificiale generative (modele care pot produce text și cod) comprimă etapele atacului sub ferestrele obișnuite de detecție și răspuns.
Conform Gambit, campania s-a derulat de la finalul lui decembrie 2025 până la mijlocul lui februarie 2026. Cercetătorii afirmă că atacatorul a folosit „Claude Code” și GPT‑4.1 pe tot parcursul, de la planificare la execuție, iar aproximativ 75% din activitatea de „remote command execution” (RCE – execuție de comenzi la distanță pe sisteme compromise) ar fi fost generată și rulată cu ajutorul Claude Code.
Raportul mai indică folosirea unui instrument personalizat în Python, de 17.550 de linii, pentru a trimite date colectate de pe servere prin API-ul OpenAI. Rezultatul ar fi fost generarea a „2.597 de rapoarte de informații structurate” pe baza datelor din 305 servere interne.
În analiza post-incident, Gambit spune că a identificat peste 400 de scripturi de atac personalizate și 20 de exploit-uri (cod care exploatează vulnerabilități) adaptate pentru 20 de CVE-uri (identificatori standard pentru vulnerabilități). AI ar fi fost folosită pentru a decide ce vulnerabilități merită exploatate și pentru a genera codul de exploatare.
Un alt indicator al automatizării: atacatorul ar fi rulat peste 1.000 de solicitări (prompts), care au produs peste 5.300 de comenzi executate de AI, în 34 de sesiuni pe infrastructura reală a victimelor.
Gambit formulează explicit efectul operațional:
„Campania a comprimat cronologiile atacului sub ferestrele standard de detecție și răspuns.”
Și, în aceeași logică, cercetătorii susțin că metoda a permis unui singur operator să proceseze volume de date care, în mod normal, ar fi necesitat o echipă, transformând rapid recunoașterea inițială în ținte mapate și exploit-uri adaptate „în ore, nu în zile”.
Potrivit concluziilor Gambit, această abordare asistată de AI „reprezintă o evoluție semnificativă a capacității ofensive”, dar ar fi putut fi prevenită prin controale de securitate considerate standard, precum:
Contextul mai larg, subliniat de raport, este că utilizarea AI în criminalitatea cibernetică nu este nouă, însă eficiența obținută aici ridică presiunea pe organizații să-și reducă timpii de reacție și să-și întărească disciplina de bază în managementul vulnerabilităților și al accesului.
Recomandate
O vulnerabilitate „zero-day” din echipamente Huawei a scos din funcțiune rețeaua operatorului de stat din Luxemburg timp de circa trei ore , un incident care ridică semne de întrebare despre cât de expuși sunt operatorii care folosesc aceeași infrastructură și despre lipsa de transparență în raportarea breșelor, potrivit WinFuture . În urma investigațiilor de după întreruperea din 2025, operatorul de stat POST (Post Luxembourg) a concluzionat că atacatori au exploatat o problemă de securitate „nedocumentată” din hardware de rețea Huawei, pentru a declanșa căderea rețelelor fixe și a celor mobile 4G și 5G. Ce s-a întâmplat tehnic și de ce a căzut rețeaua Publicația germană relatează, citând informații apărute în The Record, că atacatorii ar fi introdus în rețeaua POST date special pregătite, care au declanșat comportamentul vulnerabil în anumite sisteme de tip router enterprise (echipamente de rutare folosite în infrastructuri mari). Efectul ar fi fost trimiterea unor componente ale infrastructurii într-un „restart-loop” (reporniri repetate), ceea ce a dus la indisponibilitatea unor părți importante din rețeaua mobilă. Șeful de comunicare al Post Luxembourg a confirmat că incidentul a fost cauzat de exploatarea unei „comportări nepublice, nedocumentate” a routerelor și că, la momentul respectiv, nu exista niciun patch (actualizare de securitate) disponibil — ceea ce încadrează cazul ca atac de tip „zero-day” (exploatarea unei vulnerabilități necunoscute public și fără remediere). Implicația pentru operatori: risc sistemic și vizibilitate redusă asupra breșelor Miza, dincolo de incidentul punctual din Luxemburg, este că „numeroși operatori” la nivel global ar putea fi vulnerabili la întreruperi similare dacă folosesc hardware Huawei afectat de aceeași problemă, notează WinFuture. În plus, rămân neclare două aspecte esențiale pentru industrie: Huawei nu ar fi oferit până acum o poziție publică pe acest subiect și nu a publicat detalii despre problema care a stat la baza incidentului; nu este cunoscut dacă vulnerabilitatea a fost între timp remediată. Totuși, conform materialului, nu sunt cunoscute alte cazuri în care aceeași breșă să fi fost exploatată. Context european: raportarea către parteneri vs. obligația furnizorului Autoritățile din Luxemburg și-ar fi informat ulterior partenerii din Europa și din alte țări despre cauzele probabile ale întreruperii totale din iulie 2025, însă, în practică, informarea completă despre problemele din echipamente rămâne la latitudinea furnizorului, subliniază publicația. WinFuture mai arată că Huawei ar furniza în ultimii ani mai rar notificări standardizate la nivel internațional despre vulnerabilități (CVE — identificatori publici folosiți pentru a urmări și gestiona breșele), ceea ce complică evaluarea riscului și reacția coordonată a operatorilor. În Germania, tehnologia Huawei este folosită pe scară largă, inclusiv de Deutsche Telekom și Telefonica/O2, iar unele companii au început să reducă utilizarea echipamentelor Huawei, în special în zone considerate critice ale infrastructurii, pe fondul preocupărilor legate de securitate. [...]
Microsoft avertizează că o campanie țintită folosește resetarea parolei ca să preia conturi , iar riscul operațional pentru companii este că atacatorii pot scoate rapid date din Microsoft 365 și pot ajunge în medii de producție din Azure, potrivit TechRadar . Gruparea numită Storm-2949 abuzează fluxul de „ Self‑Service Password Reset” (SSPR) din ecosistemul Microsoft, susține un raport al Microsoft Defender Security Research Team. În mod normal, când un angajat apasă „Forgot my password”, sistemul trimite o solicitare de autentificare multifactor (MFA) pe un dispozitiv secundar înregistrat; după aprobare, utilizatorul își poate seta o parolă nouă. În atacurile descrise, actorii identifică ținta, obțin numărul de telefon și adresa de e-mail folosită la autentificare, inițiază resetarea parolei și, în paralel, sună victima. Se prezintă drept tehnicieni IT și o conving să aprobe solicitarea MFA, ceea ce le permite să seteze o parolă nouă, să scoată utilizatorul din cont și să exfiltreze date. Microsoft Threat Intelligence caracterizează campania drept „metodică, sofisticată și multistrat”, cu ținte în aplicații Microsoft 365, servicii de găzduire de fișiere și medii de producție găzduite în Azure. „Într-un caz, Storm-2949 a folosit interfața web OneDrive pentru a descărca mii de fișiere într-o singură acțiune către propria infrastructură”, a transmis Microsoft. „Acest tipar de furt de date s-a repetat în toate conturile compromise, probabil deoarece identități diferite aveau acces la foldere și directoare partajate diferite.” Ce recomandă Microsoft pentru a reduce riscul în Azure și Microsoft 365 Recomandările vizează în principal limitarea privilegiilor și creșterea capacității de audit/monitorizare în Azure: limitarea permisiunilor Azure RBAC (control al accesului pe bază de roluri); păstrarea logurilor din Azure Key Vault timp de un an; reducerea accesului la Key Vault și restricționarea accesului public la „vault”-uri; folosirea opțiunilor de protecție a datelor în Azure Storage; monitorizarea operațiunilor de administrare Azure cu risc ridicat. Pentru organizații, mesajul practic este că resetarea parolei și aprobarea MFA pot deveni o „poartă” de intrare dacă procesele de suport IT și controalele de acces nu sunt suficient de stricte, iar logarea și monitorizarea nu permit detectarea rapidă a descărcărilor masive sau a operațiunilor sensibile. (Detalii suplimentare despre incident și indicatori tehnici apar în raportul Microsoft, dar TechRadar nu publică în material o listă completă de astfel de indicatori.) [...]
Atacul asupra sistemelor de monitorizare din benzinării arată cât de expusă rămâne infrastructura critică atunci când echipamente industriale sunt lăsate online fără parole , potrivit Biziday , care citează informații obținute de CNN de la oficiali apropiați anchetei din SUA. Ținta au fost sistemele automate de măsurare a rezervoarelor (ATG – echipamente care monitorizează nivelul de combustibil), folosite la mai multe benzinării. Hackerii au exploatat faptul că aceste sisteme erau conectate la internet fără protecție prin parolă și, în unele cazuri, au reușit să modifice afișajele digitale vizibile. Oficialii spun însă că atacatorii nu au putut modifica efectiv cantitatea de combustibil din rezervoare. De ce contează: risc de siguranță și potențial de perturbare Deși incidentele nu au produs pagube fizice, întreruperi majore sau panică, autoritățile americane avertizează că accesul neautorizat la astfel de sisteme poate deveni un risc serios de siguranță, în condițiile în care sunt considerate parte din infrastructura critică. Specialiștii citați arată că, teoretic, compromiterea unui ATG ar putea: să mascheze o scurgere de combustibil; să genereze alarme false privind o posibilă penurie, cu efecte operaționale și de percepție publică. Atribuire încă neconfirmată și context geopolitic Principalii suspecți sunt hackeri posibil afiliați Iranului, pe fondul istoricului de atacuri asupra infrastructurii energetice americane, dar oficialii precizează că nu pot lega deocamdată atacurile direct de Iran , invocând lipsa unor dovezi digitale clare. Dacă implicarea ar fi confirmată, ar putea urma o escaladare a tensiunilor dintre cele două părți. În același context, Biziday notează că țintele ar putea fi alese și pentru efectul social: amplificarea nemulțumirii publice pe fondul creșterii prețurilor la combustibil, asociată situației din Orientul Mijlociu. Publicația menționează un sondaj CNN potrivit căruia 75% dintre adulții americani spun că războiul din Iran le-a afectat negativ situația financiară. Un semnal vechi, repetat: sisteme industriale expuse direct pe internet Cazul readuce în discuție avertismentele vechi ale experților privind riscurile echipamentelor industriale conectate direct la internet fără măsuri adecvate de protecție. În plus, specialiștii susțin că activitatea cibernetică iraniană s-a intensificat în ultimele luni, vizând în special sisteme online din zona petrol, gaze și apă, iar SUA au mai atribuit în trecut atacuri similare unor grupări apropiate Gărzilor Revoluționare iraniene. [...]
Sisteme americane de monitorizare a combustibilului, folosite în depozite de gaze, au fost compromise , iar autoritățile și experți din sector suspectează o implicare iraniană, pe fondul unui tipar mai vechi de atacuri asupra infrastructurii critice, potrivit The Jerusalem Post , care citează un material CNN bazat pe mai multe surse. Este vorba despre sisteme „automatic tank gauge” (ATG) – echipamente care monitorizează nivelurile de combustibil din rezervoare. Conform informațiilor citate, unele dintre aceste sisteme erau conectate la internet și nu erau protejate prin parolă, ceea ce a permis atacatorilor să modifice valorile afișate. Sursele indică însă că hackerii nu au putut schimba efectiv nivelurile de combustibil, iar până acum nu au fost raportate pagube fizice sau victime. De ce contează: risc operațional, nu doar „defacement” digital Chiar dacă incidentul pare limitat la manipularea afișajelor, accesul la un ATG poate avea consecințe operaționale serioase. CNN, citată de publicație, notează că un atacator care controlează un astfel de sistem ar putea, teoretic, să oprească detectarea unei scurgeri de gaz, potrivit unor experți privați și oficiali americani. În termeni practici, vulnerabilitatea nu ține doar de integritatea datelor, ci de capacitatea operatorilor de a detecta și gestiona rapid incidente care pot escalada în probleme de siguranță și întreruperi de activitate. Atribuire dificilă, dar Iranul este „suspectul principal” Potrivit materialului citat, Iranul este considerat principalul suspect deoarece are un istoric de țintire a sistemelor ATG. Totuși, sursele avertizează că atacatorii au lăsat puține indicii, ceea ce face imposibilă o identificare definitivă pe baza informațiilor disponibile public. Publicația mai arată că grupuri de hacking asociate Iranului au interferat și cu alte sisteme de infrastructură din SUA, inclusiv unele care interacționează cu facilități din petrol și gaze și cu sisteme de apă, în contextul în care „mulți operatori” nu și-ar fi securizat corespunzător sistemele. Context: avertismente repetate și exemple de atacuri anterioare În sprijinul ideii că ATG-urile sunt o țintă recurentă, sunt menționate mai multe episoade: în 2015, sisteme ATG „mock” (simulare) puse online au fost vizate de un grup pro-iranian; în 2021, Sky News a citat documente interne ale Corpului Gardienilor Revoluției Islamice (IRGC) care ar fi indicat ATG-urile ca ținte potențiale; după atacul din 7 octombrie, hackeri afiliați IRGC ar fi pătruns în sisteme ale unor utilități de apă din SUA și ar fi afișat mesaje anti-Israel pe echipamente de management al presiunii; de la începutul războiului, hackeri asociați Iranului ar fi produs perturbări în site-uri din petrol și gaze și apă și ar fi întârziat transporturi la producătorul de dispozitive medicale Stryker. Separat, este menționat grupul Handala, descris ca fiind asociat Iranului, care ar fi publicat e-mailuri private ale directorului FBI Kash Patel; totuși, CNN (citată de publicație) susține că grupul și-ar fi exagerat realizările, iar compromiterea ar fi vizat doar un cont Gmail mai vechi, nu sisteme interne ale FBI. Ce urmează Potrivit informațiilor prezentate, cercetători în securitate cibernetică și guvernul federal au încurajat operatorii să își securizeze mai bine sistemele. Incidentul readuce în prim-plan o problemă de bază în infrastructura critică: echipamente conectate la internet fără controale minime (precum parole) pot transforma un atac informatic într-un risc de siguranță și continuitate operațională. [...]
Un atac coordonat de inteligența artificială a scos la iveală o vulnerabilitate „zero-day ” în software-ul Google , ridicând miza operațională pentru companii: apărarea nu mai înseamnă doar patch-uri rapide, ci și capacitatea de a detecta exploatări pe care nici dezvoltatorii nu le cunosc, potrivit Mediafax . Atacul a fost respins, însă cazul evidențiază riscul ca IA să accelereze descoperirea și exploatarea breșelor. Publicația notează, citând Futurism, că atacul a folosit inteligența artificială pentru a identifica o eroare majoră în software-ul Google despre care dezvoltatorii nu aveau cunoștință. Reprezentanții companiei nu au precizat cine s-a aflat în spatele atacului. De ce contează: „zero-day” găsite cu IA pot depăși apărarea standard Google a indicat că atacatorii au identificat o „vulnerabilitate zero-day” – adică o eroare dintr-un software necunoscută până atunci celor care îl dezvoltă. În astfel de situații, apărătorii nu au, de regulă, soluții pregătite din timp, iar fereastra de risc poate fi critică. În cazul descris, vulnerabilitatea ar fi permis ocolirea autentificării cu doi factori pe un „instrument popular de administrare a sistemului, open-source, bazat pe web”. Instrumentul nu este numit în material. Potrivit informațiilor citate, accesul ar fi fost posibil dacă atacatorii ar fi avut numele de utilizator și parola unei persoane. Impact operațional: autentificarea cu doi factori nu mai e suficientă, singură Materialul subliniază că autentificarea cu doi factori este „ultima linie de apărare semnificativă” pentru majoritatea utilizatorilor, în condițiile în care parolele sunt adesea slabe. În acest context, o metodă de ocolire a autentificării cu doi factori ar fi putut avea „un efect catastrofal”, conform sursei. Experții citați au descris cazul drept primul exemplu de vulnerabilitate zero-day exploatată de hackeri cu ajutorul inteligenței artificiale și îl văd ca un semnal despre ce ar putea urma, pe fondul dezvoltării accelerate a produselor bazate pe IA. [...]
Scheme confidențiale ale serverelor Apple au fost sustrase din Foxconn , iar riscul real ține mai puțin de documentele deja văzute și mai mult de posibilitatea ca atacatorii să publice ulterior materiale mai sensibile, potrivit AppleInsider . Publicația spune că a primit mostre suplimentare de fișiere după atacul de tip ransomware atribuit grupului Nitrogen și că acestea includ peste 30 de documente Apple care „par autentice”. Ce s-a furat și ce indică mostrele analizate AppleInsider afirmă că Nitrogen a obținut scheme care descriu designul unor componente de server Apple (din martie 2026 și final de 2025), precum și specificații și manuale pentru rack-uri de server (din perioada 2020–2023). Documentele ar fi fost realizate în Siemens NX și includ dimensiuni pentru diverse elemente (brackeți, componente, distanțiere) și detalii despre șasiul unui server intern Apple. Cel mai important document din eșantion ar fi o prezentare a proiectului „Matterhorn”, cu configurații de server Apple bazate pe platforme Intel (Whitley și Eagle Stream), inclusiv layout-ul plăcii și arhitectura. De ce contează: efectul de contagiune în lanțul de furnizori Dincolo de Apple, materialul sugerează un risc operațional mai larg pentru companiile care folosesc Foxconn și entități asociate pentru proiectare, integrare sau producție de echipamente. În eșantionul descris apar documente legate de proiecte confidențiale ale mai multor jucători din zona de semiconductori și infrastructură de servere, inclusiv AMD, Broadcom, Google, Intel, Hewlett-Packard, Micron, Nvidia, Samsung și Seagate, plus o listă extinsă de furnizori de componente. AppleInsider notează și prezența unor documente asociate Cloud Network Technology (deținută de Foxconn), cu sediul în Houston, Texas, inclusiv materiale logistice (de exemplu, o etichetă de expediere pentru echipamente Hewlett-Packard). Cât de mare e riscul pentru Apple, în forma actuală Potrivit analizei, documentele Apple din mostre nu ar fi „utile pentru mare lucru” în lipsa accesului la hardware-ul respectiv și nu includ informații despre cipurile care alimentează servere bazate pe Apple Silicon sau despre scopul serverelor. În această etapă, AppleInsider apreciază că schemele de șasiu și brackeți, singure, nu ar reprezenta o problemă majoră pentru Apple. Riscul ar crește dacă grupul ar deține și ar publica detalii despre servere Apple Silicon (de exemplu layout de plăci de bază, configurații sau volume produse), caz în care competitori — inclusiv companii din zona AI — ar putea copia sau adapta designuri. Ce nu apare în eșantion și ce rămâne neclar În fișierele descrise nu ar exista documente din facilitățile Foxconn din Guanlan și Zhengzhou (care asamblează și alte produse Apple), iar AppleInsider spune că nu a văzut materiale despre asamblarea iPhone, iPad, Mac sau Apple Vision Pro. Mostrele par să fie, în principal, legate de facilități Foxconn din America de Nord și de infrastructură de tip server. Amploarea completă a incidentului rămâne nedeterminată: grupul Nitrogen susține că a sustras peste 11 milioane de fișiere, echivalentul a opt terabytes. În acest moment, concluzia publicației este că atacul nu pare să ducă la scurgeri semnificative de design Apple — însă avertizează că mostrele ar putea fi doar „vârful aisbergului”, dacă vor apărea documente mai sensibile ulterior. [...]
