Știri
Știri din categoria Securitate cibernetică
Acuzațiile Iranului privind „backdoor”-uri în echipamente de rețea ridică un risc operațional major pentru companii: în scenariul descris, infrastructura poate cădea chiar și în condiții de izolare de Internet, potrivit Tom's Hardware. Presa de stat iraniană susține că echipamente de la Cisco, Juniper, Fortinet și MikroTik ar fi eșuat în timpul operațiunilor militare ale SUA și Israelului împotriva Iranului, prin reporniri sau ieșiri din funcțiune, deși țara ar fi fost deja deconectată de la Internetul global.
Iranul afirmă că incidentul ar indica „un sabotaj profund” și invocă posibilitatea existenței unui firmware ascuns (software-ul de bază al echipamentului) sau a unor „backdoor”-uri (mecanisme ascunse de acces) care ar fi permis sabotajul de la distanță, inclusiv prin declanșare via satelit sau la un moment prestabilit. Aceste afirmații nu au fost verificate independent, iar faptul că provin din presa de stat impune prudență în interpretare.
SUA nu au răspuns punctual acuzațiilor Iranului despre exploatarea unor „backdoor”-uri în echipamente de rețea. Totuși, Washingtonul a confirmat public că a desfășurat operațiuni cibernetice împotriva infrastructurii de comunicații a Iranului.
Într-un briefing la Pentagon din 2 martie, șeful Statului Major Interarme al SUA, generalul Dan Caine, a declarat că U.S. Cyber Command și U.S. Space Command au fost „primii care au acționat” în cadrul așa-numitei Operațiuni Epic Fury, campanie militară lansată la finalul lunii februarie. Potrivit lui Caine, operațiuni coordonate în spațiu și în mediul cibernetic au perturbat comunicațiile iraniene și rețelele de senzori înainte de începerea loviturilor.
Dincolo de disputa geopolitică, miza practică pentru organizații este riscul ca echipamentele de rețea să poată fi afectate în mod țintit, inclusiv în contexte în care conectivitatea externă este limitată sau întreruptă. În varianta descrisă de Iran, „căderea” unor dispozitive în „momentul zero” ar sugera un mecanism de declanșare care nu depinde de accesul clasic la Internet, ceea ce complică planurile de reziliență și continuitate operațională.
Tom's Hardware notează că presa de stat chineză a amplificat acuzațiile Iranului. Centrul Național pentru Răspuns de Urgență la Viruși Informatici din China a promovat aceste afirmații ca „dovezi” suplimentare privind existența unor „backdoor”-uri americane în hardware de rețea.
În același context, publicația amintește că instituția chineză a susținut în repetate rânduri că SUA ar fi „fabricat” campania Volt Typhoon pentru a distrage atenția de la propriile operațiuni cibernetice, în timp ce agențiile de informații din alianța Five Eyes au atribuit Volt Typhoon unor actori susținuți de statul chinez, care ar fi vizat infrastructură critică occidentală.
Recomandate
Accesul la spyware comercial s-a extins la circa 100 de state , ceea ce reduce pragul de intrare pentru supraveghere și crește riscul ca cetățeni și companii să fie ținte, potrivit TechCrunch , care citează evaluări ale serviciilor britanice de informații și un raport ce urmează să fie prezentat de Centrul Național de Securitate Cibernetică (NCSC) din Regatul Unit . NCSC intenționează să își facă publice concluziile miercuri, conform Politico (menționat de TechCrunch). Evaluarea indică faptul că accesul la această tehnologie de supraveghere a devenit mai ușor, ceea ce ar putea facilita atacuri cu spyware asupra cetățenilor britanici, companiilor și infrastructurii critice. Un element cheie este creșterea numărului de țări cu acces la astfel de instrumente: la 100, de la 80, cât estima Regatul Unit în 2023. De ce contează pentru companii: țintele nu mai sunt doar „suspecți de top” Spyware-ul comercial, dezvoltat de companii private (exemplele menționate sunt Pegasus al NSO Group și Graphite al Paragon), se bazează frecvent pe exploatarea unor vulnerabilități din software-ul telefoanelor și calculatoarelor pentru a pătrunde în dispozitive și a extrage date. Deși guvernele susțin că folosesc spyware doar împotriva unor suspecți importanți de criminalitate și terorism, cercetători în securitate și apărători ai drepturilor omului au avertizat de mult timp că aceste instrumente au fost folosite abuziv, inclusiv împotriva criticilor și adversarilor politici, precum jurnaliștii. Potrivit informațiilor citate, serviciile britanice spun acum că „tipologia victimelor” s-a extins în ultimii ani și include bancheri și oameni de afaceri bogați , un semnal de risc direct pentru mediul corporativ (expunere de date sensibile, șantaj, spionaj economic). Mesajul NCSC: atacurile semnificative vin mai ales de la state Richard Horne , șeful NCSC, a declarat într-un discurs la conferința CYBERUK din Glasgow că firmele britanice „nu reușesc să înțeleagă realitatea lumii de astăzi”, potrivit unei copii a discursului văzute de TechCrunch. În același context, Horne a spus că majoritatea atacurilor cibernetice „semnificative la nivel național” care vizează Regatul Unit au provenit de la state ostile , nu de la grupări de criminalitate cibernetică. Riscul operațional: instrumentele de hacking pot ajunge și la infractori Materialul notează că amenințarea nu vine doar de la guverne. Un exemplu invocat este scurgerea online, la începutul acestui an, a unui set de instrumente numit DarkSword, care ar conține mai multe exploatări capabile să compromită iPhone-uri și iPad-uri moderne. Acestea ar fi permis oricui să creeze site-uri care să atace utilizatori Apple care nu își actualizaseră sistemul de operare la cea mai recentă versiune. Concluzia implicită a acestui episod: chiar și instrumente dezvoltate „la comandă” pentru guverne pot scăpa de sub control și se pot răspândi, crescând suprafața de risc pentru un număr mare de utilizatori. [...]
Anthropic investighează o breșă de acces la modelul Claude Mythos , după ce un număr mic de utilizatori neautorizați ar fi reușit să intre în mediul de testare al modelului, potrivit IT Home . Incidentul este relevant din perspectivă de securitate cibernetică deoarece Mythos este descris chiar de companie ca având capabilități puternice de atac, iar accesul ar fi fost obținut în afara canalelor aprobate. Ce s-a întâmplat și de ce contează Publicația notează că Bloomberg a relatat pe 21 aprilie că „câțiva” utilizatori fără autorizare au accesat Claude Mythos, iar Anthropic a confirmat ulterior că investighează. Modelul Mythos ar fi fost lansat pe 7 aprilie, iar Anthropic ar fi spus anterior că acesta poate identifica și exploata vulnerabilități în sisteme de operare și browsere populare. Din acest motiv, compania ar fi limitat testarea la un număr redus de firme aprobate (inclusiv Apple și Amazon), printr-un program numit „ Glasswing ”, folosit pentru identificarea vulnerabilităților din sisteme. Ce spune Anthropic despre vectorul de acces Un purtător de cuvânt al Anthropic a confirmat că firma investighează raportări privind accesul neautorizat la „Claude Mythos Preview” printr-un mediu al unui furnizor terț. Conform informațiilor citate, Anthropic afirmă că: nu există indicii că activitatea neautorizată ar fi afectat sistemele proprii ale companiei; a fost identificată totuși „calea” (vectorul) prin care s-a realizat accesul. Cum ar fi fost ocolite restricțiile IT Home mai scrie că incidentul ar fi avut loc în aceeași zi în care Anthropic a anunțat planul de testare limitată. Grupul implicat ar proveni dintr-un canal de Discord axat pe găsirea unor modele AI nelansate și ar fi „ghicit” locația online a modelului pe baza tiparelor folosite de Anthropic la modele anterioare, reușind astfel să ocolească protecțiile. Potrivit relatării, grupul a furnizat presei capturi de ecran și o demonstrație, susținând că a folosit instrumentul timp de câteva săptămâni. Membrii ar fi afirmat că scopul a fost testarea modelului, nu producerea de pagube, și că au evitat solicitări legate de atacuri cibernetice pentru a nu declanșa alerte, limitându-se la sarcini cu risc redus (de exemplu, construirea unui site simplu). Ce urmează În acest moment, informațiile disponibile indică o investigație în curs și un vector de acces confirmat, fără efecte raportate asupra sistemelor interne Anthropic. Nu sunt oferite detalii despre amploarea accesului, identitatea utilizatorilor sau măsuri corective deja aplicate, dincolo de faptul că incidentul este investigat. [...]
Un posibil furt al bazei de date a clienților Seiko USA ridică riscuri directe de fraudă și costuri de răspuns la incident , după ce site-ul companiei a fost vandalizat, iar atacatorii au susținut că au accesat infrastructura de comerț electronic. Informațiile sunt prezentate de TechRadar . În weekend, secțiunea „Press Lounge” a site-ului Seiko USA a afișat o pagină intitulată „HACKED”, în care actori neidentificați au afirmat că au compromis „backend-ul” (zona de administrare) al magazinului Shopify al companiei și au descărcat „întreaga bază de date a clienților”. Potrivit relatării, atacatorii nu au publicat o mostră de fișiere care să susțină afirmația. Ce date ar fi fost compromise și de ce contează Atacatorii au susținut că ar fi obținut o gamă largă de informații despre clienți, inclusiv: nume, adrese de e-mail și numere de telefon; adrese și preferințe de livrare; istoricul cumpărăturilor, detalii de tranzacții și înregistrări de achiziție; date despre crearea contului și diverse note asociate clienților. Dacă aceste date au fost într-adevăr exfiltrate, ele pot fi folosite pentru tentative de fraudă și atacuri de tip „phishing” (mesaje înșelătoare care urmăresc furtul de date sau bani), inclusiv prin personalizarea mesajelor pe baza istoricului de cumpărare și a datelor de contact. Răscumpărare în 72 de ore, dar fără scurgeri confirmate Conform TechRadar, atacatorii au cerut companiei să îi contacteze în 72 de ore pentru negocierea unei răscumpărări, amenințând că, în caz contrar, vor publica datele pe „dark web” (zona greu accesibilă a internetului, folosită frecvent pentru tranzacții ilegale). Ei ar fi indicat și un cont de client specific din panoul de administrare Shopify (ID 8069776801871) și au cerut folosirea e-mailului asociat acelui cont pentru inițierea discuțiilor. Până la momentul relatării, datele nu apăruseră pe dark web și niciun grup nu își asumase public atacul. Publicația notează că acest lucru poate însemna fie că Seiko a ajuns la o înțelegere, fie că atacatorii au blufat și nu au avut, de fapt, datele. Reacția companiei și contextul unui istoric de incidente Seiko nu emisese încă o declarație oficială despre incident, însă site-ul a fost restaurat, potrivit aceleiași surse. TechRadar amintește că Seiko a mai fost lovită de un atac de tip ransomware în iulie 2023, atribuit grupării BlackCat , când compania a raportat pierderea a 60.000 de „elemente de date personale” din trei departamente (Group, Watch și Instruments), incluzând nume, numere de telefon, e-mailuri și adrese poștale. Informațiile despre incidentul curent sunt atribuite și publicației BleepingComputer , citată de TechRadar. [...]
Mozilla spune că a închis 271 de vulnerabilități în Firefox cu ajutorul unui model AI, un semnal că automatizarea începe să conteze operațional în securitate – potrivit Engadget , fundația a folosit „Claude Mythos Preview”, un model special al Anthropic, pentru a identifica și remedia probleme de securitate în cea mai recentă versiune a browserului. Mozilla susține că utilizarea modelului a ajutat echipa să găsească și să repare 271 de vulnerabilități. În mesajul său, organizația afirmă că, până acum, nu a întâlnit „nicio categorie sau complexitate de vulnerabilitate” pe care oamenii o pot descoperi și pe care modelul să nu o poată identifica. Ce înseamnă, practic, pentru operațiunile de securitate Din detaliile prezentate, valoarea principală a instrumentului pare să fie accelerarea muncii de triere și descoperire, nu „magia” de a găsi breșe imposibil de detectat altfel. Mozilla notează că, în perioada în care a lucrat cu Claude Mythos, AI-ul nu a scos la iveală erori pe care un om nu le-ar fi putut găsi „cu suficient timp și resurse” – o nuanță importantă pentru companiile care evaluează dacă astfel de modele schimbă fundamental raportul de forțe în securitate. Context: Project Glasswing și rolul unei validări din afara Anthropic Engadget plasează exemplul Mozilla în contextul Project Glasswing, inițiativa Anthropic de a folosi AI pentru a preveni atacuri cibernetice cu ajutorul AI. Publicația observă că o confirmare venită de la o terță parte (Mozilla), nu doar din comunicarea companiei care dezvoltă modelul, poate cântări în credibilitatea demersului. Opțiune pentru utilizatorii care nu vor funcții AI Pentru utilizatorii Firefox care nu doresc funcții de „AI generativ” în experiența de navigare, Mozilla oferă de câteva luni posibilitatea de a dezactiva complet aceste funcții, mai notează articolul. [...]
Rusia ar putea exploata roamingul și breșe din rețelele mobile europene pentru a-și îmbunătăți ghidarea dronelor Shahed , inclusiv în apropierea frontierelor cu Polonia și România, potrivit unei analize citate de Adevărul . Miza pentru operatorii telecom și autoritățile de reglementare este riscul ca infrastructura civilă de comunicații să fie folosită ca suport operațional într-un conflict, prin mecanisme legale precum roamingul, dar exploatate în scop militar. Analiza Institutului pentru Studiul Războiului (ISW) , publicată pe 17 aprilie, vine după ce autoritățile ucrainene au indicat că dronele Shahed ar fi echipate cu cartele SIM furnizate de operatorul rus T2, subsidiară a companiei de stat Rostelecom , informație relatată de Euromaidan Press. Consilierul Ministerului Apărării din Ucraina, Serhii „Flash” Beskrestnov, susține că guvernul rus ar comanda loturi speciale de cartele SIM T2, livrate direct producătorilor de drone. Potrivit lui Beskrestnov, fiecare dronă ar avea o astfel de cartelă, care ar permite control de la distanță, transmitere de date de telemetrie și streaming video în timp real către operatori — funcții care cresc eficiența atacurilor și capacitatea de adaptare în zbor. Cum ar fi folosite rețelele din statele vecine, inclusiv România După ce Ucraina a blocat roamingul T2 pe teritoriul său, Rusia „și-ar fi adaptat tacticile”, iar dronele ar fi dirijate de-a lungul granițelor Ucrainei pentru a putea accesa rețele mobile din țările vecine. În apropierea Belarusului, acestea s-ar conecta la operatori locali, iar în zonele de frontieră cu Polonia și România ar utiliza rețelele acestor state. ISW apreciază că Rusia profită deja de roamingul internațional al acestor cartele și este probabil să caute noi vulnerabilități în infrastructura europeană de telecomunicații pentru a-și continua operațiunile. Implicații: presiune pe operatori și pe zona de sancțiuni În contextul războiului, Rusia folosește drone Shahed pentru a ataca aproape zilnic orașe și infrastructură din Ucraina, iar rutele de zbor sunt modificate constant pentru a evita apărarea antiaeriană, inclusiv prin zone de frontieră sau deasupra Mării Negre, în apropiere de România. Beskrestnov avertizează că utilizarea acestor cartele ar putea depăși teatrul de război din Ucraina și nu exclude ca SIM-urile T2 să fie implicate în controlul unor drone neidentificate observate în diverse țări europene, pe fondul unor posibile tentative ale Rusiei de a testa apărarea aeriană europeană și de a deturna resurse de la sprijinul pentru Ucraina. Oficialul ucrainean a cerut operatorilor de telecomunicații „din întreaga lume” să înceteze orice colaborare cu T2, inclusiv acordurile de roaming și interconectare internațională, propunând izolarea operatorului și limitarea lui la statutul de operator strict intern. El a mai spus că subiectul a fost discutat cu Vladislav Vlasiuk, responsabil pentru implementarea sancțiunilor în Ucraina. În plus, potrivit materialului, este documentat că Rusia testează utilizarea infrastructurii telecom civile pentru ghidarea dronelor încă din 2024, inclusiv cu cartele SIM din state europene precum Lituania și Luxemburg. [...]
STS a atribuit contracte de zeci de milioane de lei pentru extinderea și întărirea cibernetică a serviciului 112 , într-o achiziție care vizează atât creșterea capacității tehnice, cât și reducerea vulnerabilităților, potrivit Profit . Serviciul de Telecomunicații Speciale (STS) a finalizat atribuirea mai multor loturi dintr-o licitație estimată la 40,88 milioane de lei, fără TVA, pentru produse software, hardware și soluții de securitate cibernetică destinate extinderii și eficientizării Serviciului de urgență 112. Miza operațională este directă: infrastructura 112 trebuie să gestioneze volume mari de apeluri și date, iar modernizarea urmărește să întărească reziliența (capacitatea de a funcționa și în condiții de incident) și să reducă riscurile asociate atacurilor informatice. Cine a câștigat și ce livrează Din informațiile disponibile, STS a semnat contracte cu mai multe companii, pe loturi distincte: Metaminds va livra echipamente de stocare (lot 3) în valoare de 5,22 milioane de lei , fără TVA, față de un estimat de 6,77 milioane de lei , fără TVA. Tot Metaminds va încasa 1,08 milioane de lei , fără TVA, pentru echipamente FW pentru dispozitive mobile (lot 6) , lot estimat la 3,35 milioane de lei , fără TVA. (FW se referă la echipamente de tip „firewall”, folosite pentru filtrarea și controlul traficului de rețea.) Datanet Systems a semnat contractul pentru echipamente de tip switch (lot 4) , în valoare de 3,21 milioane de lei , fără TVA, față de un estimat de 3,66 milioane de lei , fără TVA. (Switch-urile sunt echipamente care conectează și gestionează traficul într-o rețea.) Ce urmează și ce nu este încă detaliat Articolul indică atribuirea „mai multor contracte” în cadrul licitației, însă în fragmentul de text disponibil nu apar toate loturile, furnizorii și valorile finale aferente fiecăruia. În măsura în care STS va publica detalii complete despre restul contractelor (inclusiv componentele software și celelalte elemente de securitate cibernetică), acestea vor contura mai precis amploarea modernizării și calendarul de implementare. [...]
