Știri
Știri din categoria Securitate cibernetică
Atacatorii nord-coreeni mizează pe „angajări” false pentru a infecta Mac-uri din companii și a fura criptomonede, iar lanțul de infectare se bazează pe inginerie socială și o aplicație care imită Zoom, potrivit TechRadar, care citează o analiză a experților Microsoft.
Gruparea descrisă de Microsoft ca Sapphire Sleet (cunoscută și ca APT38) ar viza afaceri din Occident cu malware de tip „infostealer” (care fură date), cu scopul de a obține criptomonede. Analiștii Microsoft susțin că activitatea ar fi în desfășurare „cel puțin din 2020” și că folosește una dintre tehnicile recurente ale grupării: oferte de job false.
Schema pornește de la construirea unei aparențe credibile pe rețele sociale: companii inexistente, „recruiteri”, anunțuri de angajare și alte elemente menite să facă abordarea să pară legitimă. Țintele sunt contactate prin e-mail sau canale sociale și li se propune un job, inclusiv cu promisiuni de compensații atractive.
În etapa următoare, „recruiterii” cer victimei să intre într-un apel video, însă aplicația folosită nu ar fi Zoom, ci o versiune falsă, malițioasă, care instalează pe dispozitiv un infostealer.
Într-o declarație pentru The Register, Sherrod DeGrippo, director general pentru informații despre amenințări la Microsoft, explică de ce atacatorii preferă să „atace omul”, nu sistemul:
„Ingineria socială le permite atacatorilor să ocolească perimetrele întărite convingând utilizatorii să acționeze în numele lor, transformând un om în vulnerabilitate. Este ieftină, greu de „peticit” și se scalează bine.”
„Utilizatorii sunt condiționați să accepte interacțiuni de suport la distanță, precum descărcarea de instrumente, urmarea instrucțiunilor, apăsarea de ferestre de confirmare. Atacatorii exploatează această familiaritate pentru a face acțiunile malițioase să pară de rutină, reducând scepticismul victimei în momentul critic al compromiterii.”
Din perspectivă operațională, mesajul este că riscul nu se limitează la „un malware pe Mac”, ci la un scenariu în care un angajat poate fi convins să instaleze singur software malițios, în afara fluxurilor standard de aprobare IT.
Campania ar viza utilizatori macOS, iar Microsoft spune că a contactat Apple, care a adăugat „protecții la nivel de platformă” pentru a detecta și bloca malware-ul și infrastructura asociată. Actualizările ar fi fost livrate automat, astfel încât utilizatorii nu ar trebui să intervină manual.
Pentru organizații, asta reduce o parte din risc, dar nu elimină vectorul principal descris în material: convingerea utilizatorilor să instaleze o aplicație „de lucru” care, în realitate, este un fals. Contextul indică faptul că măsurile tehnice trebuie dublate de controale interne privind instalarea de aplicații și de proceduri clare pentru interacțiuni de tip recrutare/colaborare la distanță.
Recomandate
Microsoft a remediat o pană care a blocat configurarea MFA și accesul la My Sign-Ins , un incident cu impact operațional direct pentru organizațiile care se bazează pe autentificarea cu mai mulți factori pentru accesul utilizatorilor, potrivit BleepingComputer . Problema a afectat utilizatori care nu au putut seta MFA sau accesa site-ul mysignins.microsoft.com , iar în centrul de administrare Microsoft incidentul a fost urmărit sub codul MO1329260 . Conform actualizărilor din admin center, cei afectați au întâlnit erori „504 Gateway Timeout” la accesarea serviciului. Ce s-a întâmplat și cum a reacționat Microsoft Microsoft a confirmat incidentul în jurul orei 5:00 AM ET (12:00, ora României) și l-a încadrat ca „incident în desfășurare”, etichetă folosită pentru probleme critice cu impact vizibil asupra utilizatorilor. Pentru limitarea efectelor, compania a trecut inițial pe „infrastructură alternativă” considerată sănătoasă și a început monitorizarea telemetriei (indicatori tehnici ai funcționării serviciului) pentru a urmări revenirea completă. În paralel, Microsoft a indicat că analizează măsuri suplimentare, inclusiv optimizarea modului în care sunt procesate cererile către serviciu, pe fondul persistenței unor rate ridicate de erori. Cauza indicată: schimbare de configurare a cache-ului și suprasolicitare la failover Într-o actualizare din 1 iunie, ora 08:41 EDT (15:41, ora României), Microsoft a transmis că a restabilit accesul la My Sign-Ins și a pus incidentul pe seama unei schimbări recente de configurare a cache-ului (mecanism de stocare temporară pentru accelerarea răspunsurilor), care a necesitat un failover (comutare pe infrastructură de rezervă). „Am identificat că o schimbare recentă de configurare a cache-ului a necesitat un failover.” În timpul failover-ului, serviciul a înregistrat utilizare ridicată de CPU și memorie, pe fondul unui vârf de trafic din Europa, ceea ce a împiedicat MySignIn să proceseze volumul de solicitări. Microsoft spune că a revenit asupra acțiunilor de atenuare și a readus traficul pe infrastructura inițială. Ce rămâne neclar Compania nu a precizat ce regiuni au fost afectate, menționând doar contextul unui vârf de trafic din UE în perioada failover-ului. Pentru organizații, incidentul evidențiază un risc operațional: indisponibilitatea temporară a fluxurilor de înrolare MFA și a accesului la pagina My Sign-Ins poate întârzia onboarding-ul utilizatorilor și poate complica gestionarea accesului în intervalul afectat. [...]
Microsoft a retras discret o postare în care susținea că Windows 11 nu are nevoie de antivirus terț , după ce mesajul a stârnit controverse, potrivit IT之家 . Articolul, publicat în aprilie pe site-ul „Windows Learning Center”, nu mai este accesibil, iar vechiul URL redirecționează către pagina principală a platformei; compania nu a oferit, până acum, o explicație publică pentru eliminare. Postarea avea titlul „Cel mai bun antivirus din 2026: protecția încorporată în Windows de care ai nevoie” și argumenta că funcțiile incluse în Windows 11, în special Microsoft Defender , ar fi suficiente pentru „marea majoritate” a utilizatorilor, sugerând că instalarea unei soluții terțe nu este necesară în scenarii obișnuite. Ce spunea Microsoft că acoperă protecția integrată În materialul retras, Microsoft descria un set de componente de securitate incluse în Windows 11, între care: Microsoft Defender Antivirus; Microsoft Defender SmartScreen (filtrare pentru site-uri și descărcări suspecte); Smart App Control (control suplimentar asupra aplicațiilor); mecanisme native de protecție împotriva ransomware (atacuri de tip „criptare pentru răscumpărare”). Mesajul central era că, dacă utilizatorii păstrează protecțiile implicite activate, își actualizează regulat sistemul și sunt prudenți la descărcarea de software, Defender și SmartScreen pot acoperi o parte importantă din riscurile uzuale: fișiere malițioase, site-uri de tip phishing și instalatoare nesigure. Cronologia dispariției și lipsa unei explicații oficiale Conform aceleiași surse, organizația de testare AV-Comparatives a urmărit existența postării și indică faptul că textul a fost publicat inițial la 9 aprilie 2026 și era încă accesibil cel puțin la 11 mai. În schimb, arhivele Internet Archive arată că, până la 24 mai, articolul dispăruse de pe site. Microsoft nu a comunicat public motivul retragerii, deși eliminarea a venit după reacții critice din partea utilizatorilor. De ce contează pentru utilizatori și companii Din perspectivă operațională, mesajul inițial al Microsoft putea influența decizia de a păstra sau nu un antivirus terț pe stații de lucru, mai ales în rândul utilizatorilor obișnuiți. În același timp, compania recunoștea în text că nevoia de soluții suplimentare depinde de scenariul de utilizare și de funcții extra, menționând explicit situații precum: administrarea unitară a mai multor dispozitive într-un mediu de companie; utilizarea unui dispozitiv partajat în familie; servicii suplimentare precum monitorizarea identității sau control parental. Microsoft avertiza, totodată, că instalarea mai multor instrumente de securitate poate crește activitatea în fundal și complexitatea sistemului, cu potențial impact asupra performanței, recomandând alegerea „în funcție de nevoile reale”. [...]
Apple își întărește criptarea „post-cuantică” prin verificare formală, după ce testarea clasică a ratat erori , o schimbare cu impact operațional direct asupra bibliotecii corecrypto , folosită pe iPhone, iPad și Mac, potrivit AppleInsider . Miza este pregătirea pentru un scenariu în care calculatoarele cuantice ar putea sparge o parte din criptografia cu cheie publică folosită astăzi. Apple spune că, pentru noile implementări, testarea software convențională nu mai oferă garanții suficiente pentru sisteme de criptare rulate pe peste 2,5 miliarde de dispozitive active, motiv pentru care a apelat la „verificare formală” – o metodă care folosește demonstrații matematice pentru a valida că un cod respectă exact o specificație. Ce schimbă Apple în practică: verificare formală pentru corecrypto Apple a publicat pe 22 mai cercetare și cod-sursă care descriu cum a verificat părți din „stiva” sa de criptografie post-cuantică. Efortul se concentrează pe corecrypto, biblioteca criptografică de nivel jos pe care se sprijină multiple componente de securitate din ecosistem. Compania a construit un sistem propriu de verificare formală care compară implementările post-cuantice cu specificațiile oficiale NIST (Institutul Național de Standarde și Tehnologie din SUA). În acest cadru, Apple afirmă că demonstrează matematic că implementările sale pentru ML-KEM și ML-DSA corespund standardelor acestor algoritmi. De ce contează: erori „invizibile” pot slăbi criptarea fără să se vadă Apple susține că verificarea formală a identificat probleme pe care testarea tradițională le-a ratat în timpul dezvoltării. Un exemplu menționat este o etapă lipsă într-o implementare timpurie ML-DSA, care ar fi putut produce rezultate criptografice incorecte în cazuri rare. Tot în cadrul proiectului, cercetarea a identificat și corectat o eroare într-o demonstrație (proof) realizată de o terță parte și folosită în proces. Riscul, potrivit explicațiilor din material, este că astfel de bug-uri pot „corupe” calcule criptografice fără să declanșeze testele existente și fără simptome evidente (crash-uri, avertismente, erori vizibile). Iar pentru că corecrypto stă la baza criptării, funcțiilor de hashing (amprentare criptografică), semnăturilor digitale și generării de numere aleatoare, o vulnerabilitate critică în bibliotecă poate afecta un număr mare de aplicații și servicii care folosesc cadrele de securitate Apple. Unde ajung protecțiile post-cuantice AppleInsider notează că protecțiile post-cuantice au ajuns deja în iMessage , iar Apple extinde tehnologia către: servicii VPN; rețelistică TLS (protocolul folosit pe scară largă pentru conexiuni securizate pe internet); interfețe pentru dezvoltatori, prin API-urile CryptoKit. În arhitectura Apple, corecrypto are un rol central: cadre precum Security framework, CryptoKit și CommonCrypto se bazează pe această bibliotecă, ceea ce face ca schimbările de aici să se propage în întreg ecosistemul. De ce e mai greu decât criptografia „clasică” Materialul subliniază că algoritmii post-cuantici precum ML-KEM și ML-DSA folosesc aritmetică polinomială amplă și operații matematice „adânci”, unde pot apărea erori subtile de tip carry/borrow (transport/împrumut) în calcule. În plus, industria are mai puțină experiență practică cu aceste scheme decât cu criptografia pe curbe eliptice, folosită pe scară largă în ultimii ani. Apple își poziționează astfel criptografia post-cuantică drept infrastructură de bază în propria stivă de securitate, iar trecerea de la testare la demonstrații matematice indică o schimbare de metodă pentru a reduce riscul de defecte greu de detectat înainte de o implementare mai largă. [...]
Un atac de tip „supply chain” pe GitHub poate ajunge rapid la utilizatori prin pachete npm , după ce o campanie numită Megalodon a infectat peste 5.500 de depozite cu commit-uri malițioase, potrivit TechRadar . Miza operațională pentru companii este expunerea secretelor din fluxurile CI/CD (integrare și livrare continuă), care pot deschide acces la infrastructură cloud și la medii de producție. Cum funcționează atacul și de ce e greu de prins Cercetătorii SafeDep descriu Megalodon ca o campanie „inspirată” de TeamPCP , care pornește de la un commit malițios trimis de un actor ce se prezintă drept un „build-bot” (un cont care mimează un robot de build ce face modificări automate). Dacă un maintainer acceptă commit-ul, codul introduce un infostealer (malware care fură date) și începe să se propage către alte depozite „în stil vierme”, adică prin replicare automată. Ținta principală sunt secretele din pipeline-urile DevOps, adică acele chei și tokenuri care permit automatizărilor să acceseze servicii critice. Ce date sunt vizate: chei cloud, acces SSH și configurații DevOps În observațiile SafeDep, Megalodon a urmărit să colecteze, între altele: chei secrete AWS și tokenuri de acces Google Cloud; credențiale de tip „instance role” din AWS, Google Cloud și Azure; chei private SSH; configurații Docker și Kubernetes; tokenuri Vault și credențiale Terraform. Pentru organizații, compromiterea acestor date poate însemna acces neautorizat la resurse cloud, modificări în infrastructură și risc de extindere laterală în rețea. De la maintaineri la utilizatori: riscul de propagare prin npm În etapa inițială, expuși sunt în primul rând maintainerii de pe GitHub. Riscul se extinde însă către utilizatori dacă proiectele compromise sunt publicate mai departe în npm (registrul de pachete folosit frecvent în ecosistemul JavaScript), deoarece pachetele pot ajunge în aplicații ale terților. SafeDep oferă exemplul Tiledesk, unde versiunile 2.18.6 (19 mai) până la 2.18.12 (21 mai) „conțin backdoor-ul”, iar publicarea s-a făcut din aceeași cont npm ca și versiunea curată 2.18.5, fără ca atacatorul să fi preluat contul npm. Concluzia cercetătorilor: depozitul GitHub a fost compromis, iar maintainerul a publicat din sursa „otrăvită” fără să își dea seama. „Atacatorul nu a atins niciodată contul npm. Au compromis depozitul GitHub, iar maintainerul a publicat din sursa infectată fără să realizeze.” Context: copycat după TeamPCP și listă de repo-uri compromise TechRadar notează că Megalodon pare a fi un actor separat, de tip „copycat”, nu neapărat parte din inițiativa TeamPCP menționată de The Register, care a scris despre o „competiție” de atacuri asupra lanțului de aprovizionare (supply chain) pe Breach Forums. Lista completă a depozitelor compromise este publicată de SafeDep în raportul său (linkul indicat în articol). [...]
Meta a închis o breșă operațională în suportul Instagram după ce atacatori au reușit să convingă agentul de asistență bazat pe inteligență artificială să inițieze resetări de parolă fără verificări de identitate, potrivit TechRadar . Incidentul arată riscul de a delega către sisteme automate procese sensibile, precum recuperarea conturilor. Atacul a fost unul de inginerie socială : infractorii au purtat o conversație cu chatbotul MetaAI și l-au determinat să trimită coduri de resetare a parolei pentru conturi care nu le aparțineau, fără să ceară verificare de identitate. Cercetătorii care au făcut public cazul au atras atenția că astfel de sarcini, dacă sunt automatizate, pot deveni puncte de intrare în compromiterea conturilor. De ce contează: conturi „premium” pot fi monetizate rapid Țintele au fost conturi Instagram cu nume scurte („short-handle”), considerate valoroase deoarece au, de regulă, audiențe foarte mari și pot fi revândute pe piața neagră. Conform cercetătorilor ZachXBT și Dark Web Informer, atacatorii au obținut coduri de resetare pentru conturile altor persoane. Două conturi, și , ar fi fost listate la vânzare pe canale de Telegram pentru „peste 1 milion, cumulat”, potrivit Cybersecurity News (citat de TechRadar ). Cercetătorii au urmărit apariția listărilor în mai multe comunități de hacking de pe Telegram. Ce a făcut Meta și ce spune compania Meta a remediat problema „vinerea trecută seara”, conform articolului. Compania a transmis ulterior: „Am remediat o problemă care permitea unei părți externe să solicite e-mailuri de resetare a parolei pentru unii utilizatori Instagram. Nu a existat nicio breșă a sistemelor noastre și conturile Instagram ale oamenilor rămân sigure.” Publicația notează și un aspect important pentru utilizatori: în acest caz, atacul a vizat fluxul de suport al platformei, nu utilizatorii direct, astfel că opțiunile de prevenție la nivel individual au fost limitate. Implicații pentru companii: automatizarea suportului trebuie „îngrădită” pe procese critice Cazul evidențiază o vulnerabilitate de proces: dacă un agent automat poate declanșa resetări de parolă fără controale robuste, atacatorii pot transforma conversația cu un bot într-o cale de preluare a conturilor. Pentru organizații, lecția este că automatizarea în suport trebuie însoțită de verificări stricte pentru operațiuni cu impact mare (recuperare cont, schimbare e-mail, resetare parolă), tocmai pentru a reduce suprafața de atac la inginerie socială. [...]
NVIDIA mută securitatea „zero trust” în stocare pentru AI agențial, cu politici aplicate direct în cip , mizând pe detecție la rulare „de până la 1.000x” mai rapidă și pe aplicarea regulilor de acces la viteze de până la 800 Gb/s, potrivit NVIDIA News . Miza operațională este reducerea riscului ca agenții AI — care citesc, scriu și partajează date fără supraveghere umană directă — să devină o nouă suprafață de atac în companii, în special prin acces neautorizat la fișiere și „memorie de context”. Anunțul vizează NVIDIA Vera BlueField-4 STX , o extensie a arhitecturii accelerate de stocare a companiei, care aduce un „stack” (pachet) unificat de securitate NVIDIA DOCA și îl aplică „în siliciu” pe NVIDIA BlueField-4. Practic, interacțiunile dintre agenți, date și memoria de context pot fi inspectate și guvernate „inline” (pe flux), în calea de date a infrastructurii AI, cu obiectivul de a impune politici continuu, fără a încetini operațiunile. „AI-ul agențial transformă datele întreprinderii într-un sistem viu, în timp real — iar acel sistem trebuie protejat acolo unde datele se mișcă, unde contextul este stocat și unde agenții acționează”, a declarat Jensen Huang , fondator și CEO al NVIDIA. Ce se schimbă în practică: securitate în stratul de stocare, nu doar la aplicație NVIDIA argumentează că, pe măsură ce companiile trec de la chatboți la agenți autonomi care „raționează, recuperează și acționează” pe date interne, stocarea devine un punct de control în timp real. În acest context, Vera BlueField-4 STX ar urma să reducă expunerile generate de accesul continuu la date și de partajarea automată de informații. Conform materialului, NVIDIA DOCA permite: detecție a amenințărilor la rulare „de până la 1.000x” mai rapidă decât soluțiile existente „agentless runtime” (fără agent instalat pe sistemele monitorizate); aplicarea politicilor de acces la rețea și fișiere la viteze de până la 800 Gb/s. Componentele DOCA anunțate pentru Vera BlueField-4 STX Capabilitățile de securitate menționate includ biblioteci și microservicii DOCA aduse în stratul de stocare pentru AI: NVIDIA DOCA Vault (microservicii): pentru a se asigura că doar sarcinile de lucru AI autorizate pot accesa fișierele potrivite, cu permisiunile potrivite. NVIDIA DOCA Argus : vizibilitate asupra comportamentului agenților și activității sarcinilor de lucru AI. NVIDIA DOCA Flow : izolare a traficului de rețea și protecția datelor sensibile în medii AI multi-tenant (cu mai mulți clienți/echipe pe aceeași infrastructură). NVIDIA susține că politicile pot fi aplicate direct în cip, în timp ce datele continuă să circule la „vitezele” cerute de infrastructurile de tip „AI factory”. Ecosistem: securitate, stocare și integratori Publicația listează parteneri care integrează soluții de securitate enterprise cu Vera BlueField-4 STX, între care Akamai, Armis (ServiceNow), Check Point, Cisco, CrowdStrike, EQTY, F5, Fortinet, Palo Alto Networks, TrendAI, Xage Security și Zscaler (fără a detalia nivelul sau calendarul fiecărei integrări). Pe zona de stocare și sisteme, sunt menționați furnizori precum Cloudian, DDN, Dell Technologies, Hitachi Vantara, HPE, IBM, MinIO, NetApp, Nutanix, VAST Data și WEKA, precum și producători (AIC, ASUS, Foxconn, Gigabyte, QCT, Supermicro, Wistron, Wiwynn). La nivel de implementare, NVIDIA indică și implicarea unor integratori globali precum Accenture, Deloitte și Worldwide Technology. Disponibilitate Platformele bazate pe STX sunt „așteptate” să fie disponibile de la parteneri în a doua jumătate a lui 2026, conform anunțului. Materialul nu oferă detalii despre prețuri, configurații sau condiții comerciale. [...]
