Știri
Știri din categoria Securitate cibernetică
Un atac atribuit unui singur operator a folosit intensiv Claude și GPT‑4.1 pentru a scurta drastic timpii de compromitere ai unor instituții publice, într-o campanie care a vizat nouă agenții guvernamentale din Mexic și s-a soldat cu furtul a „sute de milioane” de înregistrări ale cetățenilor, potrivit TechRadar, care citează un raport al cercetătorilor de la Gambit. Miza pentru organizații este operațională: folosirea inteligenței artificiale generative (modele care pot produce text și cod) comprimă etapele atacului sub ferestrele obișnuite de detecție și răspuns.
Conform Gambit, campania s-a derulat de la finalul lui decembrie 2025 până la mijlocul lui februarie 2026. Cercetătorii afirmă că atacatorul a folosit „Claude Code” și GPT‑4.1 pe tot parcursul, de la planificare la execuție, iar aproximativ 75% din activitatea de „remote command execution” (RCE – execuție de comenzi la distanță pe sisteme compromise) ar fi fost generată și rulată cu ajutorul Claude Code.
Raportul mai indică folosirea unui instrument personalizat în Python, de 17.550 de linii, pentru a trimite date colectate de pe servere prin API-ul OpenAI. Rezultatul ar fi fost generarea a „2.597 de rapoarte de informații structurate” pe baza datelor din 305 servere interne.
În analiza post-incident, Gambit spune că a identificat peste 400 de scripturi de atac personalizate și 20 de exploit-uri (cod care exploatează vulnerabilități) adaptate pentru 20 de CVE-uri (identificatori standard pentru vulnerabilități). AI ar fi fost folosită pentru a decide ce vulnerabilități merită exploatate și pentru a genera codul de exploatare.
Un alt indicator al automatizării: atacatorul ar fi rulat peste 1.000 de solicitări (prompts), care au produs peste 5.300 de comenzi executate de AI, în 34 de sesiuni pe infrastructura reală a victimelor.
Gambit formulează explicit efectul operațional:
„Campania a comprimat cronologiile atacului sub ferestrele standard de detecție și răspuns.”
Și, în aceeași logică, cercetătorii susțin că metoda a permis unui singur operator să proceseze volume de date care, în mod normal, ar fi necesitat o echipă, transformând rapid recunoașterea inițială în ținte mapate și exploit-uri adaptate „în ore, nu în zile”.
Potrivit concluziilor Gambit, această abordare asistată de AI „reprezintă o evoluție semnificativă a capacității ofensive”, dar ar fi putut fi prevenită prin controale de securitate considerate standard, precum:
Contextul mai larg, subliniat de raport, este că utilizarea AI în criminalitatea cibernetică nu este nouă, însă eficiența obținută aici ridică presiunea pe organizații să-și reducă timpii de reacție și să-și întărească disciplina de bază în managementul vulnerabilităților și al accesului.
Recomandate
Rockstar Games confirmă că a fost accesată o cantitate limitată de date interne , după ce un grup de hackeri ar fi cerut bani și a amenințat cu publicarea informațiilor, potrivit Rockstar Games . Incidentul ar fi implicat acces neautorizat la serverele companiei „folosind un instrument terț”, în contextul unei breșe care ar avea legătură cu Snowflake, un serviciu de stocare și analiză în cloud folosit de unele organizații. Neowin notează că informațiile despre atac au apărut inițial pe forumuri din „dark web”, unde atacatorii ar fi susținut că au compromis instanțe Snowflake ale Rockstar. Declarația oficială a companiei, preluată de Kotaku , încearcă să limiteze impactul perceput al incidentului și să transmită că nu sunt afectate operațiunile sau utilizatorii: „Putem confirma că a fost accesată o cantitate limitată de informații ale companiei, fără caracter material, în legătură cu o breșă de date a unei terțe părți. Acest incident nu are niciun impact asupra organizației noastre sau asupra jucătorilor noștri.” Dincolo de formularea prudentă („informații fără caracter material”), Rockstar nu a detaliat ce tip de date ar fi fost accesate, iar nici atacatorii nu ar fi oferit dovezi publice complete privind conținutul. În același timp, mesajul companiei indică o linie de apărare uzuală în astfel de situații: încadrarea evenimentului ca incident provenit din lanțul de furnizori (terță parte), nu ca o compromitere directă a sistemelor critice interne. Neowin amintește că nu este prima situație de acest tip pentru Rockstar: în 2022, compania a confirmat un atac informatic, după ce au ajuns online materiale din dezvoltarea GTA VI, iar în 2023 autorul atacului a fost condamnat la internare pe termen nedeterminat într-un spital din Regatul Unit. Separat de incidentul actual, publicația mai notează că GTA VI este programat, în acest moment, pentru lansare pe 19 noiembrie 2026, pe PlayStation 5 și Xbox Series X|S, pe fondul unor amânări anterioare. [...]
Un atac printr-un furnizor terț a dus la confirmarea unui scurt „data leak” la Rockstar Games , după ce gruparea ShinyHunters a cerut răscumpărare și a amenințat cu publicarea unor fișiere până la 14 aprilie 2026, potrivit WinFuture . Miza pentru companie nu este doar reputațională: incidentul indică un risc operațional tipic infrastructurilor cloud, în care accesul obținut prin „chei” digitale (token-uri) poate ocoli controale precum autentificarea în doi pași. Ce s-a întâmplat și care este termenul-limită ShinyHunters susține că a compromis rețeaua dezvoltatorului GTA 6 și cere o plată până la 14 aprilie 2026 , amenințând că va publica documentele obținute dacă nu primește banii. Publicația notează că atacul se abate de la scenariul clasic „intrăm direct în sistemele companiei”, fiind descris ca o compromitere printr-un lanț de furnizori. Vectorul de atac: furnizor terț, token-uri și acces la Snowflake Conform informațiilor din articol, atacatorii ar fi exploatat o vulnerabilitate la Anodot , un furnizor folosit de Rockstar pentru monitorizarea costurilor. De acolo, ar fi obținut chei de acces digitale (token-uri) și s-ar fi autentificat în mediul de baze de date Snowflake utilizat de Rockstar, „ca și cum” ar fi fost un serviciu intern legitim. WinFuture menționează că, potrivit CybersecGuru, metoda ar fi permis ocolirea autentificării standard cu doi factori (2FA), iar accesul a arătat inițial ca un proces normal de sistem, astfel că nu ar fi declanșat imediat alerte. Ce confirmă Rockstar și ce tip de date ar fi vizate Un purtător de cuvânt al Rockstar Games a confirmat un abuz de acces și un scurt flux de date , precizând că persoane neautorizate ar fi văzut, printr-un furnizor terț, o cantitate limitată de informații interne considerate „neesențiale”. Compania susține că incidentul nu ar afecta organizația sau jucătorii . Totuși, în material se arată că datele obținute ar include, „probabil”, documente precum: contracte, date financiare, planuri de marketing. Nu este clar dacă Rockstar intenționează să plătească răscumpărarea, iar compania-mamă Take-Two Interactive nu ar fi oferit detalii despre circumstanțe. De ce contează: riscul structural al dependenței de furnizori în cloud Cazul scoate în evidență o vulnerabilitate operațională: atunci când un furnizor extern primește permisiuni extinse, compromiterea lui poate deveni o poartă de acces către datele clientului. Într-un astfel de scenariu, „automatizarea” și interconectarea sistemelor — un avantaj în exploatare — se poate transforma într-un risc dacă token-urile sau integrările sunt deturnate. Următorul reper este 14 aprilie 2026 , când ar putea deveni mai limpede ce anume a fost extras și dacă amenințarea cu publicarea se materializează, în funcție de reacția companiei. [...]
O breșă care a expus zeci de conturi ale Forțelor Aeriene Române arată cât de vulnerabile rămân comunicațiile instituționale în fața spionajului cibernetic , după ce datele unei campanii atribuite unor hackeri cu legături în Rusia au ajuns online „din greșeală”, potrivit HotNews , care citează o analiză Reuters bazată pe date descoperite de cercetători. Datele au fost găsite de Ctrl-Alt-Intel , un colectiv de cercetători britanici și americani specializați în amenințări cibernetice, după ce hackerii ar fi expus din eroare pe internet informații rămase pe un server. Potrivit aceleiași analize, jurnalele operațiunilor și mii de e-mailuri furate indică faptul că au fost compromise cel puțin 284 de căsuțe de e-mail între septembrie 2024 și martie 2026. România: cel puțin 67 de conturi ale Forțelor Aeriene, compromise În România, datele analizate arată compromiterea a cel puțin 67 de conturi de e-mail ale Forțelor Aeriene Române, inclusiv conturi asociate unor baze aeriene NATO și cel puțin contul unui ofițer militar de rang înalt. Ministerul Apărării Naționale nu a răspuns solicitărilor de declarații, potrivit Reuters. Cercetătorii de la Ctrl-Alt-Intel au descris expunerea accidentală a datelor drept o „greșeală operațională uriașă”, care a oferit o ocazie rară de a vedea cum funcționează o campanie de spionaj. „Au comis pur și simplu o greșeală operațională uriașă. Au lăsat ușa din față larg deschisă.” Ținte și în Grecia, Bulgaria și Serbia În afara Ucrainei, atacurile au vizat și țări NATO vecine cu Ucraina și state din Balcani, conform datelor: Grecia : 27 de căsuțe de e-mail gestionate de Statul Major General al Apărării Naționale Elene; între conturile compromise sunt menționați atașați militari greci din India și Bosnia, dar și o adresă de contact public a unui centru medical militar. Bulgaria : cel puțin patru căsuțe de e-mail ale unor oficiali locali din provincia Plovdiv. Serbia : conturi ale unor academicieni și oficiali militari; Ministerul Apărării din Serbia nu a răspuns solicitărilor de comentarii. Keir Giles, de la think-tank-ul londonez Chatham House, citat în material, afirmă că nici măcar o relație apropiată cu Moscova nu ar fi o garanție împotriva spionajului rus. Cine este suspectat și ce rămâne neconfirmat Ctrl-Alt-Intel a atribuit campania grupului „Fancy Bear”, una dintre etichetele folosite pentru o echipă militară rusă de hackeri. Totuși, doi cercetători care au analizat independent concluziile au nuanțat atribuirea: Matthieu Faou (ESET) a spus că nu a putut verifica implicarea „Fancy Bear”, iar Feike Hacquebord (TrendAI) a contestat această implicare, deși ambii au fost de acord că atacatorii au legături cu Moscova. În paralel, în anunțul de săptămâna trecută menționat în articol, Departamentul de Justiție al SUA și FBI au indicat că, cel puțin din 2024, actori cibernetici asociați Centrului 85 al GRU (cunoscuți și ca APT28/Fancy Bear/Forest Blizzard) ar fi colectat date de autentificare și ar fi exploatat routere vulnerabile la nivel mondial, inclusiv prin compromiterea unor routere TP-Link folosind vulnerabilitatea CVE-2023-50224. Context: anchete și cooperare internațională Informațiile apar după ce președintele Nicușor Dan și Departamentul de Justiție al SUA au anunțat o operațiune în care FBI, împreună cu instituții din 15 state (inclusiv SRI), ar fi destructurat un atac informatic prelungit asupra infrastructurii sensibile din mai multe state occidentale, potrivit unui material HotNews anterior: HotNews . Potrivit SRI, citat în articol, GRU ar fi compromis „o gamă largă de entități” la nivel global, inclusiv din România, vizând în special infrastructuri critice și informații din domeniile militar și guvernamental. De ce contează Dincolo de numărul de conturi, miza este operațională: compromiterea e-mailurilor asociate unei structuri militare poate afecta fluxuri de lucru, expune contacte și proceduri și poate crea puncte de plecare pentru atacuri ulterioare (de tip „phishing” – mesaje înșelătoare care urmăresc furtul de parole). În acest caz, vizibilitatea asupra campaniei a venit nu dintr-o detectare internă, ci dintr-o eroare a atacatorilor, ceea ce ridică întrebări despre capacitatea de identificare timpurie a unor astfel de intruziuni. [...]
OpenAI limitează accesul la GPT‑5.4‑Cyber la utilizatori verificați, pe fondul relaxării deliberate a restricțiilor modelului pentru scenarii de apărare cibernetică , potrivit 9to5Mac . Noua variantă, descrisă drept „cyber-permissive”, nu este destinată utilizării publice și este poziționată ca un pas pregătitor pentru modele „mai capabile” pe care compania spune că le va lansa în acest an. Modelul GPT‑5.4‑Cyber este o variantă a GPT‑5.4 „ajustată fin” pentru cazuri de utilizare defensive în securitate cibernetică. Miza operațională este că OpenAI reduce intenționat pragul de refuz („refusal boundary”) pentru activități legitime de securitate, ceea ce poate crește utilitatea pentru echipele de apărare, dar impune și un control mai strict al accesului. Ce se schimbă, concret, pentru utilizatorii din securitate OpenAI afirmă că GPT‑5.4‑Cyber este „antrenat” pentru capabilități suplimentare în zona cyber și are „mai puține restricții” decât variantele standard. În acest context, compania indică drept exemplu fluxuri defensive avansate, inclusiv: capabilități de inginerie inversă pe binare (analiza software-ului compilat) pentru evaluarea potențialului de malware, a vulnerabilităților și a robusteții de securitate, fără acces la codul sursă. Publicația notează că abordarea este similară cu cea a unui model concurent, Claude Mythos de la Anthropic, menționat în context ca reper de piață. Acces „ Trusted Access for Cyber ”: verificare și implementare graduală Accesul la GPT‑5.4‑Cyber este restricționat la „cel mai înalt nivel” de utilizatori care acceptă să colaboreze cu OpenAI pentru a se autentifica drept apărători în securitate cibernetică. Condiția de intrare este programul „Trusted Access for Cyber” (TAC), extins față de inițiativa lansată de OpenAI la începutul anului. Sunt descrise două căi de acces: utilizatorii individuali își pot verifica identitatea la chatgpt.com/cyber ; companiile pot solicita acces pentru echipe prin formularul OpenAI de „trusted access” ( OpenAI ). OpenAI justifică limitarea prin faptul că modelul este mai permisiv și, tocmai de aceea, implementarea începe „iterativ”, către furnizori de securitate, organizații și cercetători validați. De ce contează pentru companii Din perspectivă operațională, GPT‑5.4‑Cyber semnalează o direcție în care modelele devin mai utile în activități de apărare (de exemplu, analiză de malware și vulnerabilități), dar numai în regim controlat. Pentru companii, asta înseamnă că accesul la astfel de capabilități ar putea depinde tot mai mult de procese de verificare, relația contractuală cu furnizorul și eligibilitatea în programe de tip „trusted access”, nu doar de achiziția unui abonament standard. OpenAI spune că această variantă este menită să „pregătească terenul” pentru modele mai capabile care urmează în acest an; articolul nu oferă un calendar sau detalii despre ce modele ar urma să fie lansate. [...]
Microsoft a livrat actualizările de securitate din aprilie pentru Windows 10 și 11, iar pachetul aduce schimbări care pot reduce riscul de phishing prin fișiere Remote Desktop și poate limita trecerile neașteptate în modul de recuperare BitLocker după update-uri de Secure Boot , potrivit WinFuture . Actualizările sunt recomandate tuturor utilizatorilor și vizează atât închiderea de vulnerabilități, cât și corecții de fiabilitate. Update-urile sunt disponibile pentru versiunile încă suportate complet din Windows 11 și pentru utilizatorii Windows 10 aflați în programul ESU (Extended Security Updates – actualizări de securitate extinse, contra cost, după încheierea suportului standard). Pachetele pot fi instalate prin Windows Update, prin Microsoft Update Catalog sau prin Windows Server Update Services (WSUS), canalul folosit frecvent în companii pentru distribuția controlată a actualizărilor. Ce se schimbă operațional: Secure Boot, BitLocker și protecția Remote Desktop Un element comun în acest Patch Tuesday este zona Secure Boot (mecanismul care verifică integritatea procesului de pornire a sistemului). În Windows Security poate apărea statusul actualizărilor de certificate Secure Boot, însă îmbunătățirile sunt dezactivate implicit pe dispozitive comerciale și pe servere. Tot în această zonă, update-urile urmăresc să reducă situațiile în care un dispozitiv ajunge în modul de recuperare BitLocker după instalarea actualizărilor Secure Boot. În plus, pachetele de calitate includ „date de direcționare” mai fiabile pentru a extinde acoperirea dispozitivelor care pot primi automat noile certificate Secure Boot, dar într-un mod gradual, după ce sistemul „demonstrează” suficient de multe instalări reușite de update-uri. Pe partea de protecție împotriva phishing-ului, Remote Desktop primește un comportament mai strict la deschiderea fișierelor.rdp: înainte de conectare sunt afișate setările cerute, fiecare fiind dezactivată implicit, iar la prima deschidere pe un dispozitiv apare și o avertizare de securitate unică. Ce update-uri sunt vizate (KB-uri) și cum verifici versiunea instalată WinFuture listează actualizările pentru principalele ramuri: Windows 10 22H2 : KB5082200 Windows 11 26H1 : KB5083768 Windows 11 24H2 și 25H2 : KB5083769 Windows 11 23H2 : KB5082052 Pentru verificarea rapidă a build-ului instalat, publicația recomandă comanda „WinVer” (Windows + R → „winver”). Mai notează că, la începutul distribuției, articolele KB pot să nu fie imediat accesibile, dar update-urile apar în Microsoft Update Catalog . Corecții punctuale menționate: autentificare, rețea și resetarea PC-ului În Windows 10 22H2, una dintre corecțiile evidențiate vizează probleme de autentificare în aplicații cu cont Microsoft, unde putea apărea mesajul „No internet” chiar și cu conexiune funcțională, blocând accesul la servicii Microsoft și aplicații precum Teams. În Windows 11 24H2/25H2, update-ul include și îmbunătățiri de fiabilitate pentru SMB Compression peste QUIC (un protocol de transport bazat pe UDP), cu scopul de a reduce timeout-urile. Tot aici este menționată remedierea unui „known issue” care putea face să eșueze resetarea PC-ului („Păstrează fișierele mele” / „Elimină tot”) după un hotpatch de securitate din martie 2026. Separat, este menționat și un Servicing Stack Update pentru Windows 11 (SSU – componenta care instalează update-urile), care urmărește să mențină stabilitatea mecanismului de actualizare. Vulnerabilități: ce zone sunt atinse Materialul indică faptul că Microsoft a adresat vulnerabilități care includ, între altele, Applocker (filter driver),.NET Framework, GitHub Copilot și Visual Studio Code, Windows File Server, kernel-ul Windows, serviciul de mapare a dispozitivelor, precum și mai multe vulnerabilități în Office. Pentru detalii complete, trimiterea este către Security Update Guide . În practică, pentru organizații, combinația dintre întărirea fluxului Remote Desktop și ajustările din zona Secure Boot/BitLocker poate însemna mai puține incidente generate de fișiere.rdp malițioase și mai puține întreruperi operaționale după update-uri, însă efectul depinde de configurarea și politicile de administrare din fiecare mediu. [...]
Un model AI testat de guvernul britanic arată că atacurile autonome devin plauzibile pe sisteme slab apărate , iar implicația practică pentru companii este nevoia de a-și valida apărarea în scenarii în care atacatorul folosește AI, potrivit Ars Technica . Evaluările au fost realizate de AISI (AI Safety Institute), care a folosit teste standardizate pentru a separa riscul real de „hype”. Ce arată testele: progres măsurabil în „lanțul” unui atac În testul TLO, AISI spune că Mythos a depășit modelele anterioare, devenind „primul model” care a rezolvat scenariul de la început până la final. În comparație, un model nou de la Anthropic a reușit doar 3 din 10 încercări, iar „Mythos Preview” a avut, în medie, 22 din 32 de pași de infiltrare finalizați, față de media de 16 pași pentru Claude 4.6. Din perspectivă operațională, diferența contează deoarece testul măsoară execuția unei secvențe complete de acțiuni necesare pentru compromitere, nu doar „abilități” izolate (de exemplu, scriere de cod sau găsirea unei vulnerabilități). Limite și incertitudini: cât de aproape e de lumea reală AISI notează că Mythos Preview încă se lovește de limite în „Cooling Tower”, un test mai dificil, în 7 pași, care simulează o tentativă de perturbare a software-ului de control al unei centrale electrice. Institutul mai precizează că se așteaptă ca evaluările să se îmbunătățească dacă se depășește bugetul de 100 de milioane de tokeni impus în teste (tokenii fiind unități de text folosite de modele pentru a procesa și genera răspunsuri). În plus, AISI avertizează că „poligoanele” simulate de atac nu includ apărători activi și instrumente defensive de tipul celor întâlnite în sisteme critice. Testul TLO este construit și cu vulnerabilități specifice, care pot să nu existe în infrastructuri reale, iar modelul nu este penalizat pentru situații de „detecție” care, în practică, ar putea opri o infiltrare. De ce contează pentru companii: ținta probabilă sunt sistemele mici și slab apărate Concluzia AISI este că performanța Mythos în TLO sugerează că modelul „este cel puțin capabil” să atace autonom sisteme enterprise mici, vulnerabile și slab apărate, odată ce a fost obținut acces la rețea. În același timp, institutul spune că nu poate afirma cu certitudine că sisteme „bine apărate” ar cădea în fața unui astfel de atac automatizat. Avertismentul pentru cei care proiectează protecții este însă direct: pe măsură ce modelele viitoare egalează sau depășesc aceste capabilități, apărătorii ar trebui să folosească, la rândul lor, modele AI pentru a-și întări defensiva, inclusiv prin testare și simulare. Context suplimentar pe această direcție este menționat de AISI printr-un material al NCSC (Marea Britanie) despre necesitatea ca apărătorii să fie pregătiți pentru „frontier AI” (modele de vârf): https://www.ncsc.gov.uk/blogs/why-cyber-defenders-need-to-be-ready-for-frontier-ai . [...]
