ápr 24, 2024 | Adatbiztonsági cikkek, hírek
Új kihívások a kiberbiztonságban: AI kihasználása kriptovaluta bányászat céljából
Az Oligo Security kutatói nemrégiben tárta fel egy jelentős kiberbiztonsági fenyegetést, amely az AI számítási kapacitásokat kihasználva érint számos vállalatot. A támadók egy nyílt forráskódú szoftvert, a Ray-t célozták meg, amelyet általában AI modellek skálázására használnak. Ez az első ismert eset, amikor ilyen jellegű kibertámadás történik, amely az AI technológia alapvető sebezhetőségeit használja ki.
A támadások százakat érintettek, beleértve három nagyon ismert, nagy szervezetet is. Az egyik ilyen szervezet gyógyszerkutatással foglalkozik, míg egy másik egy neves amerikai főiskola. Gal Elbaz, az Oligo Security technológiai igazgatója szerint potenciálisan ezrekben mérhető a kompromittált gépek száma. A támadók ezen gépeken kriptovaluta bányászokat telepítettek, amivel nemcsak hogy elterelik az AI képzéséhez szükséges számítási erőforrásokat, de érzékeny adatokhoz is hozzáférhetnek.
A sebezhetőség maga a Ray szoftver API-jából ered, amely úgy van beállítva, hogy nem igényel kulcsot vagy jelszót a hozzáféréshez, így rendkívül sebezhetővé válik az illetéktelen támadásokkal szemben. A rosszindulatú szereplők könnyedén megtalálhatják ezeket a nyílt szervereket és telepíthetnek rájuk kriptovaluta bányászokat vagy egyéb kártékony szoftvereket. Anyscale, a Ray fejlesztését felügyelő cég kezdetben vitatta ezt a sebezhetőséget, állítva, hogy ez a funkció szándékos, mivel a terjesztett munkaterheléseknek szükségük van arra, hogy egyik szerver futtathassa a kódot a másikon.
Az Oligo által történt felfedezés után az Anyscale elkezdett új biztonsági funkciókat bevezetni, amelyek figyelmeztetik a felhasználókat, ha úgy konfigurálták a Ray rendszereiket, hogy azok hozzáférhetők legyenek a nyílt interneten. Azonban a kiberbiztonsági szakemberek szerint alapvető API biztonsági intézkedések sürgősen szükségesek a felhasználók védelme érdekében.
Ez az eset rávilágít az AI infrastruktúra szélesebb körű biztonsági sebezhetőségeire, különösen, mivel az AI modellek jelentős számítási kapacitást igényelnek és gyakran működnek elosztott hálózatokon. Az, hogy a támadók képesek bejutni ezekre a hálózatokra és több gépet is irányításuk alá vonni, jelentős kockázatot jelent az AI műveletek integritására és funkcionalitására nézve.
Összegzésképpen, ahogy egyre mélyebben integráljuk az AI-t különböző szektorokba, az ezzel kapcsolatos kiberbiztonsági kockázatok felismerése és mérséklése válik kiemelten fontossá. Ez az eset emlékeztet minket a szigorú biztonsági protokollok szükségességére és az AI infrastruktúrák szigorú monitorozására, hogy megvédhessük őket a fejlődő kibertámadásokkal szemben.
Forrás: www.forbes.com
ápr 15, 2024 | Adatbiztonsági cikkek, hírek
2022 júliusában Shakeeb Ahmed, aki korábban egy nemzetközi technológiai vállalatnál dolgozott mint senior biztonsági mérnök, és szakértője volt a blokklánc-auditoknak és intelligens szerződések visszafejtésében, az Egyesült Államokban három év börtönbüntetésre ítélték. Az ítéletet 2023 decemberében hozták meg, miután Ahmed beismerő vallomást tett egy számítógépes csalás vádpontban.
Az Amerikai Igazságügyi Minisztérium (DoJ) szerint Ahmed az elkövetett bűncselekmények során egy biztonsági rést kihasználva, egy meg nem nevezett kriptotőzsde intelligens szerződéseiben hamis árazási adatokat illesztett be, ezzel mesterségesen növelve a tranzakciós díjakat milliók dollár értékben, amely összegeket később sikeresen felvett.
Ezen túlmenően, Ahmed tárgyalásokat folytatott a cégvezetéssel, és beleegyezett, hogy visszatéríti a lopott összegek nagy részét, kivéve 1,5 millió dollárt, amennyiben a tőzsde beleegyezik, hogy nem értesíti a hatóságokat a gyors kölcsön támadásról. A CoinDesk hírügynökség arról számolt be, hogy egy ismeretlen támadó visszaadott több mint 8 millió dollár értékű kriptovalutát a Solana-alapú kriptotőzsdének, Crema Finance-nek, miközben 1,68 millió dollárt megtartott „fehér kalapos” jutalomként.
Ahmed egy második támadást is végrehajtott a Nirvana Finance nevű másik decentralizált kriptotőzsde ellen is, ahonnan 3,6 millió dollárt sikkasztott el, ami végül a tőzsde bezárásához vezetett.
A lopott összegeket Ahmed kriptovalutákon keresztüli áthidaló hálózatok használatával mosta tisztára, és a zsákmányt Moneróvá váltotta át, mixerek, mint a Samourai Whirlpool segítségével.
A hároméves szabadságvesztés mellett Ahmedet további három év felügyelet melletti szabadlábra helyezték, és kötelezték, hogy kifizesse a kártérítést, amely több mint 5 millió dollárt tesz ki, valamint vissza kell fizetnie a megközelítőleg 12,3 millió dollárt is.
Forrás: www.thehackernews.com
márc 25, 2024 | Adatbiztonsági cikkek, hírek
A MobSF, azaz a Mobile Security Framework, amely a pen-tesztelés, a malware elemzés és a biztonsági felülvizsgálat terén elterjedt keretrendszer, egy kritikus bemeneti érvényesítési hibával rendelkezik, amely szerveroldali kérés-hamisítás (SSRF) támadásokhoz vezethet. Ez a sebezhetőség a CVE-2024-29190 azonosító alatt van nyilvántartva, és a MobSF 3.9.5 Béta verzióját és az azt megelőző kiadásokat érinti.
A Sebezhetőség slapjai:
A Trendyol Alkalmazásbiztonsági csapatának vizsgálata során, mely az „App Link assetlinks.json fájl nem található” sebezhetőséget tanulmányozta, felfedezték, hogy a MobSF GET kérést küld a „/.well-known/assetlinks.json” végpontnak minden olyan házigazdánál, amelyet az „android:host” attribútummal jelöltek az AndroidManifest.xml fájlban. Azonban a MobSF nem végez bemeneti érvényesítést a házigazdák neveinek kinyerésekor az android:host attribútumból, ami lehetővé teszi, hogy a rendszer véletlenül helyi házigazdáknak küldjön kéréseket, potenciálisan SSRF sebezhetőséghez vezetve.
A GitHub nemrégiben közzétett egy blogbejegyzést, amely egy SSRF sebezhetőségre hívja fel a figyelmet, amely az assetlinks_check funkciót érinti.
Műszaki leírás
Sebezhető konfiguráció példája:
A fenti példában az android:host „192.168.1.102/user/delete/1#”-ként van meghatározva.
A házigazda végén található „#” karakter kritikus, mivel ez akadályozza meg a kérések küldését a „/.well-known/assetlinks.json” végponthoz, biztosítva, hogy a kérések a megadott végpontra kerüljenek előtte.
Bizonyíték a koncepcióra
A Trendyol Alkalmazásbiztonsági csapata egy demonstrációs videót is közzétett, amely bemutatja az SSRF sebezhetőséget.
Az SSRF sebezhetőség jelentős kockázatot jelent, mivel lehetővé teszi a támadó számára, hogy az áldozat szerverét olyan nem engedélyezett kapcsolatok létrehozására kényszerítse, amelyek csak a szervezet infrastruktúráján belüli szolgáltatásokhoz érhetők el. Ennek eredményeképpen kiszolgáltathatja a szervezet érzékeny belső rendszereit és adatokat.
Mitigációs és gyorsjavítási lépések
A probléma gyorsjavítását a 5a8eeee73c5f504a6c3abdf2a139a13804efdb77 commitban vezették be. A MobSF felhasználóit arra ösztönzik, hogy frissítsék szoftverüket a legújabb verzióra, ezzel minimalizálva a CVE-2024-29190-nel kapcsolatos kockázatokat.
A CVE-2024-29190 felfedezése kiemeli a gondos bemeneti érvényesítés fontosságát a szoftverfejlesztésben, különösen a biztonságkritikus alkalmazások, mint a MobSF esetében. A MobSF-re támaszkodó szervezeteknek azonnali lépéseket kell tenniük a gyorsjavítás alkalmazása érdekében, hogy megvédjék infrastruktúrájukat a lehetséges SSRF támadásoktól.
Összegzés
Az SSRF sebezhetőség a MobSF eszközben jelentős biztonsági kihívást jelent, amely figyelmet igényel a biztonsági szakemberek és a fejlesztők részéről egyaránt. A CVE-2024-29190 azonosítójú sebezhetőség felfedezése és a hozzá kapcsolódó gyorsjavítás kidolgozása fontos lépés a biztonságos szoftverfejlesztés felé. A MobSF legújabb verziójára való frissítéssel a felhasználók csökkenthetik az ilyen típusú sebezhetőségekből eredő kockázatokat és védelmet nyújthatnak infrastruktúrájuk számára. A folyamatos figyelem és a biztonsági frissítések alkalmazása elengedhetetlen az információs biztonság fenntartásában.
Forrás: www.cybersecuritynews.com
márc 19, 2024 | Adatbiztonsági cikkek, hírek
A mesterséges intelligencia (AI) felhasználása a kiberbiztonság terén egyre inkább előtérbe kerül, az önfejlesztő kártékony szoftverektől a hihetetlenül valóságos deepfake technológiákig. A Recorded Future által közzétett legújabb kutatás szerint a legfejlettebb nyelvi modellekkel (LLM-ekkel) működő eszközök képesek a malware YARA szabályok elleni védelmének kijátszására.
„A generatív AI segítségével lehetőség nyílik a kártevők forráskódjának olyan módosítására, amely megnehezíti a YARA szabályok alapú észlelést, így csökken az azonosítás valószínűsége,” – fogalmaz a jelentés, amely a The Hacker News által is bemutatásra került.
Ezek a megállapítások egy kiberbiztonsági elemzés során születtek, amelynek célja az AI technológiák kártékony célú felhasználásának felderítése volt. Ezen technológiák már most is használatosak kártékony kódok létrehozásában, csaló e-mailek generálásában, és potenciális támadási célpontok kikémlelésében.
A biztonsági kutatók bemutatták, hogy hogyan képes egy LLM egy ismert kártevőt, például az APT28 hacker csoport által használt STEELHOOK malware-t és annak YARA szabályait úgy módosítani, hogy a detekció elkerülése mellett az eredeti funkcionalitás megőrzése mellett a forráskód szintaktikailag is hibátlan legyen.
Ezeknek a módosításoknak köszönhetően a LLM által átdolgozott malware képes volt elkerülni az egyszerű string-alapú YARA szabályokon alapuló észleléseket, amely korlátokkal bír, különösen az adatfeldolgozás méretét tekintve, ami megnehezíti a nagyobb méretű kódbázisok kezelését.
Az AI nem csak a kártékony programok átalakítására használható elkerülve ezzel a detekciót, hanem képes valósághű deepfake tartalmak létrehozására is, amelyek befolyásolhatják a közvéleményt vagy hamisított vezetői kommunikációt állíthatnak elő. Ezen felül a generatív AI lehetőséget biztosít a támadóknak arra, hogy gyorsabban végezzenek el kritikus infrastruktúrák feltérképezését, olyan információkat gyűjtve, amelyek stratégiai előnyt jelenthetnek a következő lépések során.
„A többmódusú modellek segítségével, beleértve a nyilvános képek és videók elemzését is, további információk, mint például geolokációs adatok, berendezések gyártói és modellei, valamint szoftververziók ismerhetők fel,” – említi meg a jelentés.
A Microsoft és az OpenAI nemrég arra figyelmeztetett, hogy az APT28 hacker csoport LLM-eket használt a műholdas kommunikációs protokollok és radar képalkotási technológiák, valamint specifikus technikai paraméterek megértésére, ezzel mélyreható ismereteket szerezve a műholdképességekről.
Ajánlott, hogy a szervezetek alaposan átvizsgálják és szükség esetén anonimizálják azokat a nyilvánosan elérhető képeket és videókat, amelyek érzékeny berendezéseket ábrázolnak, csökkentve ezzel a kiberfenyegetések kockázatát.
A legfrissebb kutatások szerint lehetséges az LLM-ek „megkerülése” és veszélyes tartalmak generálása olyan módon, hogy a bemeneti parancsokat ASCII art formájában adják meg (például „hogyan készítsünk bombát”, ahol a BOMB szót „*” karakterek és szóközök alkotják), kihasználva az LLM-ek ezen művészeti formák felismerésében mutatott gyengeségeit, így áthidalva a biztonsági intézkedéseket.
Forrás: thehackernews.com
márc 4, 2024 | Adatbiztonsági cikkek, hírek
Phobos Ransomware veszélyei az amerikai infrastruktúrákra
Amerikai kiberbiztonsági és titkosszolgálati szervezetek figyelmeztetnek, hogy a Phobos ransomware jelentős fenyegetést jelent a nemzeti és alapvető infrastruktúrák biztonságára. A támadók különböző módszereket és stratégiákat alkalmaznak ennek a zsaroló szoftvernek a elterjesztésére.
A RaaS (Ransomware, mint Szolgáltatás) keretein belül működő Phobos több célterületet vesz célba, mint például a helyi és állami kormányzati épületeket, sürgősségi reagáló szolgáltatásokat, oktatási intézményeket, egészségügyi létesítményeket és egyéb kritikus infrastruktúrákat. Ezek a támadások jelentős anyagi károkat okoznak az USA-ban.
Riasztást adó szervezetek
- Amerikai Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA)
- Szövetségi Nyomozó Hivatal (FBI)
- Több Állami Információmegosztási és Elemzési Központ (MS-ISAC)
Megvalósított támadói módszerek és technikák
A támadások során a támadók gyakran használnak adathalász módszereket, vagy kihasználják a hálózati rendszerek sebezhetőségeit. Sikeres bejutás esetén különféle távoli elérési eszközöket telepítenek a kártékony szoftver rejtőzködésének és terjesztésének elősegítésére.
Speciális támadások és eszközök
A támadók felhasználják a Windows rendszerbe épített API funkcióit a jogosultságok szélesítésére és a célrendszer azonosítására. Az ilyen célú fölfedezésekhez nyílt forráskódú eszközöket, mint a Bloodhound és Sharphound, valamint adatlopáshoz a WinSCP és Mega.io platformokat használnak.
Kiemelkedő támadási esetek
A Bitdefender részletezte egy szinkronizált támadás esetét, amely két különböző vállalatot érintett egyszerre, a CACTUS nevű zsaroló szoftver csoport által végrehajtva. Ez a támadás figyelemre méltó, mert a célpontok között szerepeltek virtualizációs infrastruktúrák is.
Záró megjegyzések és védelmi lépések
A zsaroló szoftverek továbbra is kiemelkedő bevételi forrásai maradnak a kiberbűnözőknek. A váltságdíj kifizetése után az áldozatok gyakorta ismételt támadásoknak vannak kitéve, ami növeli a financiális kockázatokat.
Forrás: www.thehackernews.com
márc 1, 2024 | Adatbiztonsági cikkek, hírek
A kiberbiztonsági elemzők a neves ESET csapatából egy rendkívül bonyolult és innovatív kibertámadási hálózatra bukkantak, amit „Operáció Texonto” néven azonosítottak. Ez a kifinomult támadási módszertan kettős veszélyt jelent: egyrészről dezinformációs kampányokon keresztül pszichológiai hadviselést folytat az ukrán lakosság és vállalkozások ellen, a konfliktus kapcsán félrevezető információkkal manipulálva a közvéleményt. Másrészről, adathalászati technikákat is alkalmaz, ezzel tovább növelve a biztonsági kihívásokat. Az Operáció Texonto által kiváltott pszichológiai és dezinformációs tevékenységek jelentős próbatételt jelentenek a kiberbiztonsági szakemberek számára, mivel a védekezés nem csak technikai lépéseket, hanem a közösség tájékoztatását és tudatosságának növelését is követeli meg.
A dezinformációs és adathalászati kampányok kettőssége
Az ESET szakemberei által feltárt ‘Operáció Texonto’ kampány 2023 novemberében és decemberében két fázisban küldött pszichoaktív üzeneteket. Ezek az üzenetek tipikus orosz propagandisták narratíváit követik, olyan kérdésekre összpontosítva, mint a gyógyszerhiányok, az élelmezési problémák és az ukrán fűtésellátás zavarai. A dezinformáció elsődleges célja nyilvánvalóan az volt, hogy megkérdőjelezze Oroszország háborús előnyeit az ukrán lakosság szemében.
Ezen kívül, a kampány egy másik része spam e-mailek segítségével terjesztett háborús téves információkat, és egy adathalász kampány is megfigyelhető volt, amely kifejezetten az ukrán intézményeket és az EU-s ügynökségeket vette célba, a Microsoft Office 365 fiókok belépési adatainak ellopására irányulva.
Az Operáció Texonto és Orosz kapcsolatai
Az ESET által végzett kutatás során az Operáció Texonto tevékenységét „magas szintű biztonsággal” köthető egy Oroszországgal kapcsolatos csoport tevékenységéhez, ami összhangban van korábban hasonló módszereket alkalmazó csoportokkal. A technikai egyezések hiánya ellenére az ESET nem tudja egyértelműen meghatározni a Texonto tevékenységét egy konkrét fenyegető szereplőhöz.
A Callisto csoport és a dezinformációs műveletek közötti kapcsolat
Matthieu Faou, az ESET kutatója szerint a kiberkémkedési műveletekben az utóbbi időben bekövetkezett növekedés figyelemre méltó. A Callisto csoport, amely egy ismerten Oroszországhoz köthető kiberkémkedési szervezet, hasonló típusú tevékenységeket végzett, és korábban az Amerikai Egyesült Államok Igazságügyi Minisztériumának vádemelési dokumentumaiban is szerepelt.
A dezinformációs üzenetek és a spam hadjáratok közötti összefüggés
A kezdeti üzenetsorok nem tartalmaztak kártékony szoftvereket vagy rosszindulatú linkeket, viszont egy e-mail a hiányzó gyógyszerek gyógynövényekkel való pótlását javasolta, míg egy másik a galamb risotto elfogyasztását ajánlotta. A második üzenetsor már komolyabb tanácsokat adott, többek között amputációkat javasolva a katonai szolgálat elkerülése érdekében.
A Meta jelentése az Orosz befolyásolási műveletekről
A Meta legújabb jelentése szerint az orosz befolyásolási műveletek hatékonyan csökkentették a hivatalos médiumok által megosztott tartalmak mennyiségét és az elköteleződési szinteket. A jelentés kiemeli, hogy a nyilvánvalóan hamis profilok elleni küzdelem folytatódik, és 2024-ben is számítani kell a tömeges spam hadjáratokra.
Az Operáció Texonto esete rávilágít a kiberháború és pszichooperatív hadjáratok összetett és sokszínű világára, amelyek globális szinten egyre nagyobb kihívást jelentenek a nemzetbiztonsági szervezetek és kiberbiztonsági szakemberek számára.
Forrás: www.forbes.com
