Știri
Știri din categoria Securitate cibernetică
O nouă platformă de phishing numită „VENOM” vizează conturile Microsoft ale executivilor de top, potrivit BleepingComputer. Atacurile urmăresc furtul de credențiale pentru persoane din conducerea companiilor (CEO, CFO, vicepreședinți) din mai multe industrii, iar operațiunea ar fi activă cel puțin din noiembrie anul trecut.
Platforma este descrisă ca un serviciu de tip „phishing-as-a-service” (PhaaS), adică o infrastructură „la cheie” pe care infractorii o pot folosi pentru a derula campanii de furt de date de autentificare. Cercetătorii citați de publicație spun că VENOM pare să fie cu acces restricționat, nefiind promovat pe canale publice sau pe forumuri clandestine, ceea ce îi reduce vizibilitatea pentru comunitatea de securitate.
Cercetătorii companiei de securitate Abnormal au observat e-mailuri care imitau notificări Microsoft SharePoint privind partajarea de documente, prezentate ca parte a comunicării interne. Mesajele sunt personalizate și includ „zgomot” în codul HTML (de exemplu clase CSS false și comentarii), plus fire de conversație fabricate, adaptate țintei, pentru a crește credibilitatea.
Un element central este folosirea unui cod QR redat în Unicode, pe care victima este îndemnată să îl scaneze pentru „acces”. Scopul este ocolirea unor mecanisme automate de analiză a linkurilor și mutarea interacțiunii pe dispozitive mobile, unde controalele pot fi diferite față de cele de pe stațiile de lucru din companie.
„Fragmentele nu sunt niciodată transmise în cererile HTTP, făcând e-mailul țintei invizibil pentru jurnalele de pe server și pentru fluxurile de reputație ale URL-urilor”, explică cercetătorii Abnormal.
După scanarea codului QR, victima ajunge pe o pagină intermediară care filtrează cercetătorii și mediile de analiză (sandbox), astfel încât doar țintele „reale” să fie redirecționate către pagina de phishing. Utilizatorii care nu sunt de interes sunt trimiși către site-uri legitime, pentru a reduce suspiciunile.
Pentru colectarea datelor, VENOM folosește o metodă de tip „adversary-in-the-middle” (AiTM), în care atacatorul intermediază în timp real fluxul de autentificare Microsoft, retransmițând credențialele și codurile de autentificare multifactor (MFA) către interfețele Microsoft și capturând „tokenul de sesiune” (cheia care poate menține accesul fără reintroducerea parolei). Separat, Abnormal a observat și o tactică de tip „device-code phishing”, în care victima este păcălită să aprobe accesul la cont pentru un dispozitiv controlat de atacator.
În ambele scenarii, obiectivul este obținerea rapidă a accesului persistent în timpul autentificării: fie prin înregistrarea unui dispozitiv nou în contul victimei (în fluxul AiTM), fie prin obținerea unui token care oferă acces (în fluxul „device code”).
Cercetătorii avertizează că MFA, de una singură, nu mai este suficientă și recomandă autentificare FIDO2 (chei de securitate sau metode rezistente la phishing), dezactivarea fluxului „device code” când nu este necesar și politici mai stricte de acces condiționat pentru a limita abuzul de tokenuri.
Recomandate
Iranul amenință direct giganți tehnologici americani cu atacuri asupra infrastructurii din Orientul Mijlociu , potrivit Tom’s Hardware , într-o escaladare a tensiunilor dintre Teheran și Occident. Mesajul atribuit Gardienilor Revoluției (IRGC) vizează companii precum Nvidia, Microsoft, Apple, Google, Meta, IBM, Cisco și Tesla. Declarația, transmisă prin canale oficiale, indică faptul că aceste companii ar putea deveni ținte, în special facilitățile lor din Orientul Mijlociu. Oficialii iranieni susțin că reacția ar veni ca răspuns la ceea ce numesc „acte de agresiune” împotriva Iranului. Companiile vizate Lista include aproximativ 18 companii din tehnologie și sectorul financiar, printre care: Nvidia Microsoft Apple Google Meta IBM Cisco Tesla Acestea au infrastructură sau operațiuni în regiune, ceea ce le face vulnerabile în contextul actual. O escaladare a retoricii Deși astfel de avertismente au mai fost emise anterior, noul mesaj este considerat mai direct și mai explicit. IRGC a transmis inclusiv avertismente pentru angajații acestor companii, sugerând să își părăsească locurile de muncă pentru a evita riscuri. Context geopolitic tensionat Amenințările apar pe fondul conflictelor din Orientul Mijlociu și al acuzațiilor reciproce între Iran și SUA sau aliații săi. În ultimele zile, autoritățile iraniene au extins lista țintelor considerate „legitime”, incluzând și entități economice. Nu există, în acest moment, informații privind măsuri concrete sau reacții oficiale din partea companiilor vizate, însă situația indică o posibilă extindere a conflictului din zona militară către infrastructura economică și tehnologică. Evoluțiile ulterioare vor depinde de reacțiile internaționale și de modul în care tensiunile vor fi gestionate în perioada următoare. [...]
Un actor care se prezintă drept „FlamingChina” susține că a furat peste 10 petaocteți de date militare din Centrul Național de Supercalcul din Tianjin, potrivit TechRadar . Incidentul nu este confirmat independent, însă atacatorul a publicat mostre și oferă setul de date la vânzare pentru „sute de mii de dolari” în criptomonede. Ce susține atacatorul și ce ar conține mostrele Conform relatării, mostrele publicate ar indica „cercetare în diverse domenii, inclusiv inginerie aerospațială, cercetare militară, bioinformatică, simulare de fuziune și altele”, iar datele ar proveni din infrastructura Centrului Național de Supercalcul din Tianjin, folosită atât de entități militare, cât și civile. Atacatorul afirmă că ar fi extras date din organizații „de top”, între care Aviation Industry Corporation of China (AVIC), Commercial Aircraft Corporation of China (COMAC) și China’s National University of Defense Technology. O analiză împărtășită de CNN, citată de TechRadar, ar sugera că materialele ar putea fi autentice și ar include scheme și randări pentru echipamente militare, precum aeronave, rachete și bombe. Data publicării la vânzare: 6 februarie 2026 Durata presupusei exfiltrări (scoaterea datelor din rețea): câteva luni, respectiv șase luni, potrivit declarațiilor atribuite atacatorului Volumul revendicat: peste 10 petaocteți (aprox. 10.240 teraocteți, adică peste 10 milioane de gigaocteți) Cum ar fi fost obținut accesul, potrivit unor surse citate TechRadar notează că cercetătorul în securitate cibernetică Marc Hofer, autorul blogului NetAskari, susține că ar fi discutat pe Telegram cu o persoană care pretinde că este „FlamingChina”. Aceasta ar fi indicat că accesul ar fi fost obținut printr-un domeniu VPN compromis (VPN fiind o rețea privată virtuală, folosită pentru acces la distanță). În aceeași versiune, datele ar fi fost extrase treptat cu ajutorul unui botnet (o rețea de dispozitive controlate de atacatori), în „pachete” mici, din mai multe servere simultan, pentru a reduce șansele de detecție a unui flux mare de date către exterior. TechRadar mai consemnează ipoteza că operațiunea s-ar fi bazat mai puțin pe programe malițioase și mai mult pe vulnerabilități ale arhitecturii supercalculatorului. De ce contează și ce implicații sunt sugerate Într-o declarație pentru CNN, citată de TechRadar, Dakota Cary, consultant la compania de securitate cibernetică SentinelOne, spune că mostrele sunt compatibile cu tipul de activitate a unui astfel de centru de calcul. „Mostrele furate sunt exact ceea ce m-aș aștepta să văd de la centrul de supercalcul.” Dacă incidentul se confirmă, miza depășește dimensiunea financiară a tranzacției propuse: un set de date cu simulări și proiecte avansate ar putea fi relevant pentru servicii de informații străine, în special în zona de apărare și cercetare. TechRadar mai notează că o astfel de breșă „ar putea ajuta” la explicarea unei situații separate, neelucidate în articol: dispariția, în martie 2026, a unor experți de profil înalt (aviație, arme nucleare, radar și sisteme de rachete) de pe site-ul China’s Academy of Engineering (CAE), fără explicații publice. Ce este Centrul Național de Supercalcul din Tianjin Centrul din Tianjin a fost deschis în 2009 și deservește peste 6.000 de entități, oferind putere de calcul pentru simulări complexe, potrivit TechRadar. Astfel de infrastructuri sunt utilizate în mod obișnuit pentru modelare în aviație, simulări legate de detonări nucleare și antrenarea unor sisteme de inteligență artificială. În descrierea citată de TechRadar, site-ul Tianjin Economic Development Area prezintă supercalculatorul drept „un suport tehnologic indispensabil pentru inovația științifică și tehnologică de vârf și modernizarea industriei”, care „deservește clienți tot mai diverși, de la institute de cercetare, universități, agenții guvernamentale până la companii și dincolo de acestea”. [...]
FBI și SRI au participat la destructurarea unei rețele rusești de spionaj cibernetic , potrivit Euronews , care îl citează pe președintele Nicușor Dan. Operațiunea a vizat o campanie de atacuri informatice îndreptată împotriva unor infrastructuri sensibile din mai multe state occidentale. Conform relatării, rețeaua ar fi fost coordonată de GRU, serviciul de informații al armatei ruse, iar țintele urmărite includeau informații militare, guvernamentale și date despre infrastructuri critice. În informarea FBI sunt menționate grupări asociate unității 85 GRU, între care Fancy Bear și Forest Blizzard, active cel puțin din 2024. Atacatorii au exploatat în special echipamente de tip SOHO (small-office/home-office, adică routere și dispozitive folosite în birouri mici sau acasă), descrise ca fiind insuficient securizate. Prin acestea, ar fi facilitat deturnarea traficului DNS (mecanismul care „traduce” numele site-urilor în adrese tehnice), pentru a intercepta date. Euronews notează că, prin această metodă, GRU ar fi colectat parole, token-uri de autentificare (chei digitale temporare folosite la logare) și informații sensibile, inclusiv e-mailuri și date de navigare web, care în mod normal sunt protejate de criptare SSL/TLS (protocoale care securizează conexiunile pe internet). Potrivit federalilor americani, compromiterea a vizat „fără discriminare” o gamă largă de victime din SUA și din alte țări, după care atacatorii ar fi filtrat utilizatorii afectați pentru a se concentra pe informații legate de armată, guvern și infrastructură critică. La efortul internațional ar fi participat și NSA, alături de agenții de informații din mai multe state, inclusiv România, Canada și o serie de țări europene, precum și Ucraina. Pentru mediul de afaceri, cazul este relevant prin expunerea riscurilor generate de echipamente periferice slab administrate și prin faptul că astfel de campanii pot viza, direct sau colateral, operatori din lanțurile de furnizare ale infrastructurilor critice. [...]
FBI avertizează asupra amenințării persistente a Iranului pentru ținte din SUA , conform unui raport de inteligență care indică riscuri pentru militari și instituții evreiești, informează Reuters . Raportul, datat 20 martie, a fost emis de FBI și alte agenții federale de inteligență, avertizând asupra amenințărilor persistente ale guvernului iranian la adresa personalului militar și guvernamental american, precum și a instituțiilor evreiești și israeliene din SUA. Deși aceste avertismente au fost emise, Casa Albă a minimalizat riscul unui atac, blocând anterior un raport similar. Președintele Donald Trump a declarat public că nu este îngrijorat de posibilitatea unui atac iranian pe teritoriul american, în ciuda altor evaluări de inteligență care sugerează contrariul. Detalii din raportul de inteligență Raportul intitulat „Public Safety Awareness Report” a fost obținut prin cereri de acces la informații publice de către organizația non-profit Property of the People și distribuit către Reuters. Documentul subliniază amenințările fizice crescute la adresa țintelor din SUA de către guvernul iranian, în contextul conflictului în curs. Raportul menționează că serviciile de securitate iraniene au încercat să răpească și să ucidă americani în ultimii ani. Metodele folosite în comploturile din SUA au inclus arme de foc, dar și alte metode precum înjunghieri, atacuri cu vehicule, bombardamente, otrăviri și incendieri. Reacția Casei Albe Casa Albă a justificat blocarea unui raport similar anterior, susținând că informațiile trebuie verificate corespunzător înainte de publicare. Abigail Jackson, purtătoare de cuvânt a Casei Albe, a declarat că administrația Trump lucrează împreună pentru a proteja teritoriul și poporul american, acuzând presa de răspândirea unor temeri nejustificate. „Întreaga administrație Trump lucrează împreună pentru a proteja patria și poporul american – așa cum fac întotdeauna”, a afirmat Abigail Jackson. „Instituțiile media nu ar trebui să încerce să răspândească frica iresponsabilă raportând memorii individuale ale forțelor de ordine care pot lipsi de context mai larg.” Amenințări și metode utilizate Raportul detaliază cum guvernul iranian preferă să folosească agenți cu statut legal existent în SUA sau cu acces facil la țară. Iranul a monitorizat rețelele sociale și aplicațiile de hărți pentru a alege ținte și a evalua măsurile de securitate. De asemenea, guvernul a folosit tactici de hacking, precum emailuri de tip phishing, pentru a-și atinge scopurile. Raportul avertizează autoritățile de aplicare a legii să rămână vigilente și să împărtășească informațiile îngrijorătoare cu autoritățile federale. În ciuda acestor avertismente, FBI și Centrul Național de Contraterorism nu au identificat amenințări largi la adresa publicului american. Percepția publicului american Un sondaj Reuters/Ipsos realizat luna trecută a arătat că majoritatea americanilor au o percepție negativă asupra conflictului, două treimi dintre aceștia dorind ca SUA să își încheie rapid implicarea. Această percepție publică face ca orice amenințare să fie deosebit de relevantă în contextul actual. [...]
Viktor Orbán spune că au fost găsiți explozibili lângă o conductă de gaze , care relatează despre o alertă de securitate în zona infrastructurii critice ce leagă Serbia de Ungaria. Premierul ungar a anunțat duminică, după o convorbire telefonică cu președintele sârb Aleksandar Vučić, că autoritățile din Serbia ar fi descoperit explozibili de mare putere și dispozitive necesare detonării în apropierea conductei. Informația este atribuită de publicație agenției MEDIAFAX . Orbán a precizat că ancheta este în desfășurare și că a convocat pentru după-amiază un consiliu extraordinar de apărare. Presa apropiată guvernului ungar ar fi reluat afirmația, indicând că descoperirea ar viza zona conductei TurkStream, în apropierea graniței cu Ungaria. Miza este una energetică: TurkStream este prezentată drept singura rută rămasă pentru exporturile rusești de gaze către Europa prin conducte, după ce invazia Ucrainei de către Rusia, în 2022, a întrerupt celelalte coridoare de export. Contextul politic amplifică impactul mesajului. Declarația vine cu o săptămână înaintea alegerilor parlamentare din Ungaria, programate pentru 12 aprilie 2026, într-o campanie în care tema securității energetice și a infrastructurii strategice are un rol important. În paralel, Vučić se confruntă cu presiune politică internă și proteste antiguvernamentale, iar în ultimele zile a readus în discuție posibilitatea unor alegeri anticipate. Pe fond, tensiunile legate de securitatea energetică apar și pe fundalul unui conflict mai larg între Budapesta și Kiev privind petrolul: Ungaria rămâne dependentă de țițeiul rusesc livrat prin conducta Druzhba, via Ucraina, iar Orbán a folosit în ultimele luni disputa privind tranzitul ca temă politică împotriva autorităților ucrainene. [...]
Peste 500 de militari britanici au expus date sensibile prin activități publice pe Strava , potrivit TechRadar , care citează o investigație realizată de The i Paper. Cazul vine la câteva zile după ce un ofițer naval francez ar fi dezvăluit locația navei sale de război printr-o alergare înregistrată în aplicație. Investigația The i Paper a identificat trasee și informații de profil publicate de personal militar britanic în mai multe locații din Regatul Unit, inclusiv în apropierea bazelor din Northwood, Faslane și North Yorkshire. Unul dintre traseele publice era etichetat „Security Breach”, ceea ce sugerează că unii utilizatori sunt conștienți de riscuri, dar continuă să lase activitățile vizibile. Deși amplasarea bazelor nu este secretă, problema ține de detaliile care pot fi deduse din datele publice: cine este detașat într-o anumită zonă, tipare de deplasare și, în timp, indicii despre rotația personalului. Astfel de informații pot fi agregate în timp de actori ostili, chiar dacă fiecare activitate, luată separat, pare banală. Conform investigației, The i Paper a putut identifica submariniști și membri ai familiilor acestora pe baza jurnalelor de activitate publicate în jurul HMNB Clyde din Faslane, baza care găzduiește submarinele nucleare Trident ale Regatului Unit. În plus, ar fi fost încărcate și fotografii cu nave de război care intră în port, tot prin intermediul aplicației. „Faptul că indivizii folosesc conturi personale într-o zonă restricționată permite statelor străine să pună cap la cap mici fragmente de informații pe care, potențial, le poți construi despre viața unui individ”, a declarat expertul în securitate Dan Lomas pentru The i Paper. Un oficial din serviciile de informații militare britanice, contactat pentru comentarii, a spus că este „frankly ridiculous” ca un asemenea volum de informații să fie publicat, inclusiv de personal militar „la toate nivelurile”, potrivit TechRadar. Publicația notează că o măsură simplă pentru utilizatori este trecerea activităților pe privat și ajustarea setărilor din secțiunea de controale de confidențialitate a aplicației. [...]
