Хакеры, взломы, вирусы

[vladimir1949]

Google объявляет об инициативе AI Cyber ​​Defense для защиты от хакеров

Google только что объявил о чем-то довольно важном: они используют искусственный интеллект (ИИ) для борьбы с киберугрозами. Это называется «Инициатива киберзащиты ИИ». Идея состоит в том, чтобы сделать Интернет более безопасным местом для всех, оставаясь на шаг впереди хакеров и кибератак.

Google научит ИИ распознавать признаки кибератак до того, как они произойдут

Проблема с обеспечением безопасности цифровых пространств в наши дни заключается в том, что хакерам достаточно найти только одно слабое место, чтобы создать проблемы. С другой стороны, люди, защищающие наш цифровой мир, должны всегда быть идеальными, а это действительно сложно. Google считает, что ИИ может помочь решить эту проблему. Используя искусственный интеллект, Google хочет облегчить специалистам по безопасности поиск и устранение угроз до того, как они превратятся в большие проблемы.

► Показать

План Google включает использование искусственного интеллекта для определения того, когда и где могут произойти кибератаки. Они обучают системы искусственного интеллекта распознавать признаки киберугроз, просматривая данные со всего мира. Это может помочь остановить хакеров до того, как они нанесут какой-либо ущерб.

Одна интересная вещь, которую делает Google, — это поделиться созданным ими инструментом под названием Magika. Он предназначен для обнаружения вредоносных программ , то есть программного обеспечения, предназначенного для нанесения вреда системам или взлома их. Magika действительно хорошо умеет определять, какие файлы безопасны, а какие нет, что упрощает обнаружение вредоносного программного обеспечения до того, как оно вызовет проблемы.

Google также считает, что борьба с киберугрозами — это командная работа. Они призывают компании и правительства работать вместе, обмениваться информацией и использовать искусственный интеллект, чтобы сделать Интернет безопаснее для всех. Короче говоря, Google использует ИИ не только для реагирования на киберугрозы, но и для их предотвращения. Это большой шаг на пути к тому, чтобы сделать Интернет более безопасным, и он показывает, как ИИ можно использовать во благо.

[vladimir1949]

Правоохранители нескольких стран захватили сервера хакерской группировки LockBit
20.02.2024 [12:18]

В результате совместной операции «Хронос» (Operation Cronos), проведённой правоохранительными органами США, Европы, Австралии и Японии, была взломана часть ресурсов, принадлежащих хакерской группировке LockBit, ответственной за разработку одноимённого вируса-вымогателя.

На сайте LockBit появилось сообщение о том, что во взломе ресурсов киберпреступников участвовали сотрудники Национального агентства по борьбе с преступностью (NCA, Великобритания), ФБР США, Европола, а также национальных правоохранительных ведомств Франции, Японии, Швейцарии, Канады, Австралии, Швеции, Нидерландов, Финляндии и Германии. Операция всё ещё «продолжается и развивается», сообщили представители NCA и Минюста США. Только в Соединённых Штатах LockBit поразил ресурсы более 1700 организаций практически во всех отраслях от финансового сектора до поставщиков продуктов питания для школ, транспортных предприятий и государственных ведомств; группировка считается крупнейшей в сегменте разработчиков вирусов-вымогателей.

► Показать

В распоряжении группировки остались резервные серверы, на которые не повлияли действия правоохранительных органов, сообщили в LockBit — ФБР атаковало только ресурсы на языке PHP, а резервные серверы без PHP якобы продолжили работать в штатном режиме. Для взлома хакерских ресурсов была использована уязвимость CVE-2023-3824 в языке PHP, уточнили представители группировки.

Вирус LockBit был обнаружен в 2020 году — он начал распространяться с русскоязычных форумов киберпреступников, что дало специалистам по кибербезопасности причины считать группировку российской. На своём ныне несуществующем сайте в даркнете группировка, однако, заявила, что она «располагается в Нидерландах, совершенно аполитична и заинтересована только в деньгах». В начале прошлого года вирус LockBit атаковал ресурсы Британской Королевской почты; в ноябре жертвой хакеров стала компания Boeing, чьи внутренние данные были выложены в открытый доступ.

По сведениям группы исследователей в области кибербезопасности vx-underground, при попытке входа в панель управления вирусом аффилированные с LockBit хакерские группировки увидели сообщение, что правительственным агентам удалось заполучить исходный код, подробности о жертвах атак, суммы полученных в результате незаконной деятельности средств, журналы чатов и многое другое. Дополнительную информацию правоохранители обещали предоставить на сайте LockBit уже сегодня, 20 февраля, в 11:30 по Гринвичу (14:30 мск).

Lockbit является доминирующим оператором вирусов-вымогателей в мире, сообщил вице-президент компании Secureworks (входит в Dell Technologies) Дон Смит (Don Smith) — группировка заняла 25 % этого рынка. Их ближайшим конкурентом была Blackcat с долей около 8,5 %.

[vladimir1949]

Исследователи придумали, как бороться с хакерами, имеющими физический доступ к системам
29.02.2024 [16:40]

На конференции ISSCC 2024 среди прочих докладов прозвучало несколько интересных предложений для защиты электронных схем и компонентов от хакерских атак с физическим доступом к системе. Это наиболее уязвимая для оборудования ситуация, когда злоумышленник не ограничен временем и средствами.

Самый действенный метод взлома системы — это набросить контакты для считывания сигналов на сигнальные линии процессора. Команда исследователей из Колумбийского университета во главе с ведущим инженером Intel Вивеком Ди (Vivek De) предложила решение, которое автоматически противодействует этому виду атак. Они создали чип, который измеряет ёмкостное сопротивление шины передачи данных от процессора. Чип откалиброван определять изменение ёмкости от 0,5 пФ в широком диапазоне температур. Попытка набросить щуп на контролируемую чипом линию сразу обнаруживает физическое вмешательство и запускает процесс автоматического шифрования данных.

► Показать

Исследователи считают, что постоянное шифрование абсолютно всех данных — это перерасход процессорной мощности. Предложенный ими метод детектирования щупа, напротив, нагружает систему шифрованием только во время начала вмешательства злоумышленника.

Также данные можно похищать из системы с помощью регистрации электромагнитного излучения или по пульсациям потребления. Для этого физический контакт с атакуемой системой не нужен. Тогда для защиты данных можно использовать другую схему, предложенную исследователями Техасского университета в Остине. Поскольку по электромагнитному излучению можно получить данные о ключе AES, исследователи предложили размыть сигнал в процессе генерации ключа. В частности, они разбили алгоритм генерации на четыре вычислительных компонента, и запустили их параллельно с небольшим сдвигом друг относительно друга. Это сделало сигнал нечитаемым.

Для ещё более сильного запутывания злоумышленников на атакуемой системе запускались сигналы-обманки, имитирующие процессы генерации ключа. Всё вместе резко повысило защиту от атаки по побочным каналам, к которым также относится вид атак с чтением электромагнитных возмущений от вычислительных платформ. Это утверждение было проверено на практике. Попытки взломать ключ с помощью высокочувствительного электромагнитного сканера закончились ничем после 40 млн подходов, тогда как обычно на взлом требовалось около 500 попыток.

Наконец, было предложено решение для физического уничтожения электронных схем при попытке считать с них информацию тем или иным способом. Этим отметилась группа Вермонтского университета с привлечением технологии Marvell. Предложение группы опирается на два момента. Во-первых, разработан механизм определения компрометации электронной схемы. Во-вторых, предложены механизмы по физическому уничтожению электронных схем. Всё вместе обещает привести к самоуничтожению чипов при обнаружении вмешательства или попытки считать критически важные данные с электронных компонентов.

Для определения вмешательства исследователи воспользовались методологией слепков PUF или физически неклонируемой функции. Это своего рода дактилоскопический отпечаток чипа, который формируется на основе крошечных отклонений в характеристиках транзисторов. Все они по определению не могут быть идентичными с вполне детектируемыми отличиями в токовых характеристиках, по коэффициенту усиления и так далее. Если чип скомпрометирован, его характеристики, выраженные в PUF, также претерпят изменения и это станет сигналом для самоуничтожения защищённого блока чипа или всего чипа целиком.

Уничтожить чип исследователи предлагают двумя способами. Например, можно подать больше тока на самые длинные проводники защищаемого узла. Тогда в наиболее узких местах нагруженного участка произойдёт электромиграция — автоматическое повышение там уровня тока приведёт к физическому переносу атомов проводника и к образованию пустот или разомкнутых участков. Другой вариант предусматривает банальное повышение напряжения транзисторов в чипе с 1 В, например, до 2,5 В. Это вызовет пробой и выход электронных приборов из строя.

[vladimir1949]

Появился сетевой червь, работающий через сервисы ИИ — он размножается, рассылает спам и похищает данные
02.03.2024 [16:36]

Международная группа исследователей в области кибербезопасности разработала червя, способного самостоятельно распространяться между сервисами генеративного искусственного интеллекта, похищать данные и рассылать спам по электронной почте.

По мере развития систем генеративного ИИ, таких как OpenAI ChatGPT и Google Gemini, они всё чаще используются для решения конкретных задач, например, создания событий в календарях или заказа продуктов. Исследователи технологий кибербезопасности, однако, решили продемонстрировать, что подобные системы могут нести угрозу — они создали новый вид атак, которого прежде не существовало в принципе. Учёные разработали червя, получившего название Morris II в честь первого компьютерного червя Morris, который в 1988 году заразил 6200 компьютеров — 10 % всех компьютеров, на тот момент подключённых к интернету. Morris II через электронную почту разворачивает атаку на виртуальных помощников, основанных на генеративном ИИ, производит кражу данных из электронных писем и рассылает спам, минуя средства защиты ChatGPT и Gemini.

► Показать

Авторы исследования испытали новую модель атаки в изолированных средах — она оказалась возможной из-за мультимодального характера больших языковых моделей, то есть их способности работать с текстом, изображениями и видео. Атакующие генеративный ИИ черви ещё не были обнаружены на практике, но исследователи предупреждают, что эту угрозу следует принимать в расчёт и одиночным разработчикам, и стартапам, и технологическим компаниям.

Большинство систем генеративного ИИ работает, получая текстовые команды — просьбы ответить на вопрос или создать изображение. Эти команды можно использовать против системы, заставив её проигнорировать меры безопасности и выдать недопустимый контент; ей можно дать неявные инструкции, например, предложив ей адрес вредоносной страницы со скрытым текстом таких команд. Принцип работы атакующего генеративный ИИ червя состоит в механизме «состязательной самовоспроизводящейся команды» (adversarial self-replicating prompt). Такая команда заставляет модель генеративного ИИ выдавать в ответе ещё одну команду. Это во многом напоминает традиционные схемы атак вроде SQL-инъекций и переполнения буфера.

Чтобы продемонстрировать работу червя, исследователи создали службу электронной почты, способную получать и отправлять сообщения с помощью генеративного ИИ — для этого она подключается к ChatGPT, Gemini и открытой модели LlaVA. Затем они применили два способа эксплуатации уязвимости ИИ: при помощи самовоспроизводящейся текстовой инструкции и аналогичной инструкции, встроенной в файл изображения.

Осуществляя тестовую атаку, исследователи подготовили электронное письмо с вредоносной командой на генерацию ответа с использованием поиска в интернете, при котором большая языковая модель обращается за дополнительной информацией в Сеть. Получив такое письмо, служба для генерации ответа направляет запрос в GPT-4 или Gemini Pro — этот запрос производит «взлом генеративного ИИ» и осуществляет кражу данных из электронных писем. Ответ ИИ, содержащий конфиденциальные данные пользователя, далее сам при ответе на электронное письмо заражает новые хосты и сохраняется в базе нового клиента. Во втором примере такой командой стал файл изображения: заложив в файл картинки команду на самовоспроизводство, можно одной отправкой электронного письма спровоцировать дальнейшую массовую рассылку изображения любого содержания, включая оскорбительные или экстремистские материалы. Исследователи утверждают, что таким способом можно извлекать данные электронных писем, в том числе номера телефонов, кредитных карт, номеров социального страхования — любую конфиденциальную информацию.

Авторы исследования отмечают, что эти методы атак оказались возможными из-за ошибок при проектировании архитектуры в экосистеме ИИ. Они поделились своим открытием с Google и OpenAI — в OpenAI подтвердили наличие угрозы, но добавили, что компания работает над повышением устойчивости своих систем, а в Google от комментариев отказались. Чтобы защититься от подобных атак, эксперты предлагают не только повысить надёжность систем, но и изменить модель их эксплуатации: пользователям не следует предоставлять ИИ привилегий, таких как возможность отправки электронной почты от их имени — все действия система должна согласовывать с человеком. Кроме того, многократное повторение одной и той же команды ИИ в системе вызовет подозрение у защитных механизмов. Тем не менее, исследователи считают, что атакующие генеративный ИИ черви начнут работать в ближайшие два или три года.

[vladimir1949]

Популярная платформа Microsoft для обмена кодом GitHub подверглась атаке, потенциально затрагивающей миллионы людей

Миллионы разработчиков и пользователей обеспокоены тем, что популярная платформа обмена кодом GitHub сталкивается с крупномасштабной атакой. Исследователи безопасности из Apiiro выявили тревожную тенденцию, когда злоумышленники атакуют репозитории GitHub, потенциально ставя под угрозу более 100 000 проектов.

Атака включает в себя технику, называемую «злонамеренная обфускация репозитория», при которой злоумышленники клонируют законные репозитории, внедряют вредоносный код и повторно загружают их на платформу. Эти подделанные репозитории могут затем быть загружены ничего не подозревающими пользователями, потенциально ставя под угрозу их системы или заражая их вредоносным ПО.

В отчете Apiiro подчеркивается несколько факторов, делающих GitHub уязвимым для таких атак. Простота использования платформы, легкодоступные API-интерфейсы и наличие многочисленных скрытых репозиториев создают идеальную среду для злоумышленников для запуска «атак на водопой».

► Показать

В ходе этих атак злоумышленники нацелены на популярные и часто загружаемые репозитории. Они внедряют в эти репозитории вредоносный код, а затем повторно загружают его. Чтобы еще больше расширить свой охват, злоумышленники создают многочисленные фальшивые форки скомпрометированных репозиториев, используя автоматизированные методы. Эти фальшивые форки затем могут распространяться через социальные сети, онлайн-форумы и другие каналы, заставляя пользователей загружать вредоносные версии.

В отчете признается, что GitHub был уведомлен и удалил большинство выявленных вредоносных репозиториев. Однако эта деятельность продолжается: злоумышленники постоянно пытаются внедрить вредоносный код. Эта продолжающаяся борьба напоминает игру в «ударь крота», в которой GitHub догоняет пользователя, удаляя вредоносный код после того, как он уже загружен, потенциально подвергая пользователей риску.

В отчете также указывается, что эта атака началась в мае 2023 года и неуклонно растет. Эта непрерывная деятельность вызывает опасения, что в будущем может быть скомпрометировано еще больше репозиториев и пользователей. Разработчикам и пользователям рекомендуется проявлять осторожность при загрузке кода с GitHub, особенно из незнакомых репозиториев. Крайне важно проверить источник и легитимность кода перед его интеграцией в проекты.

[vladimir1949]

Северокорейские хакеры похитили секреты производства чипов у компаний из Южной Кореи
04.03.2024 [13:28]

Китайские производители чипов остро нуждаются в зарубежном оборудовании и технологиях, но их от силы подозревают в обходе санкций США и союзников, либо в скандалах с торговлей коммерческой тайной. Южная Корея обвиняет своего северного соседа в хакерской атаке на двух производителей оборудования для выпуска чипов, причём делает это с высокой политической трибуны.

Агентство Reuters в понедельник сообщило, что силовые ведомства Южной Кореи подозревают КНДР в хакерской атаке на две компании, занимающихся поставками оборудования для производства чипов. Ещё с конца прошлого года, как сообщает Национальная разведывательная служба Южной Кореи, северокорейские хакеры предпринимают попытки добыть необходимую информацию о технологиях производства чипов, атакуя южнокорейских производителей оборудования. Хакерские атаки были осуществлены в отношении серверов двух компаний из Южной Кореи в декабре и феврале. Среди похищенной информации упоминаются фотографии производственных помещений и чертежи оборудования для производства чипов.

Как заявили представители южнокорейского ведомства, у них есть основания полагать, что Северная Корея предпринимает попытки наладить самостоятельный выпуск полупроводниковых компонентов в условиях существующих сложностей с их получением из-за рубежа, возникших из-за санкционных ограничений. По мнению южнокорейской разведки, потребность северных соседей в чипах растёт по мере развития спутниковой и ракетной отраслей, а также оборонной сферы в целом. Как поясняют источники, хакеры из Северной Кореи использовали существующие уязвимости в серверной инфраструктуре, чтобы вызывать минимум подозрений и не оставлять следов, минимизируя использование специального программного обеспечения.

[vladimir1949]

На GitHub выявлено более 100 тысяч репозиториев с вредоносным кодом

Исследователи безопасности из компании Apiiro выявили активность злоумышленников, размещающих на GitHub модифицированные клоны репозиториев различных проектов, в которые вносятся небольшие изменения, нацеленные на совершение вредоносных действий. Как правило, вредоносный репозиторий создаётся с тем же именем, но прикреплённым к другой организации ("github.org/org1/proj" -> "github.org/org2/proj"), или с немного отличающимся от оригинала именем (тайпсквотинг), с расчётом, что жертва не заметит отличий и воспользуется кодом с вредоносными изменениями. Для завлечения пользователей ссылки на вредоносные репозитории активно размещаются в различных социальных сетях, форумах и чатах.

► Показать

Сообщается о выявлении более 100 тысяч подобных репозиториев, но по предположению исследователей общее число размещённых репозиториев с вредоносными изменениями может исчисляться миллионами, так как подавляющая часть автоматически созданных репозиториев удаляется силами GitHub через несколько часов после их размещения. Среди масок, которые можно использовать для определения наличия вредоносных вставок в загруженных репозиториях, упоминаются:


exec(Fernet
exec(requests
exec(__import
exec(bytes
exec(“””\nimport
exec(compile
__import__(“builtins”).exec(
Прикрепляемый вредоносный код представляет собой модифицированную версию BlackCap-Grabber, после запуска осуществляющую поиск конфиденциальных данных, таких как параметры учётных записей, токены, сохранённые в браузере пароли и Cookie, и выполняющую их отправку на сервер атакующих. Вредоносный код также поддерживает подмену адресов криптовалют, передаваемых через буфер обмена, может создавать скриншоты и принимать команды от управляющего сервера (C&C).

[vladimir1949]

Microsoft: российские хакеры похитили часть исходного кода и продолжают атаки
09.03.2024 [00:14]

Компания Microsoft, обвинившая в начале года хакерскую группировку Nobelium с российскими корнями во взломе электронной почты некоторых своих руководителей, заявила, что хакерам также удалось похитить некоторые фрагменты исходного кода, и сейчас они продолжают попытки проникновения в её системы с помощью имеющихся данных.

По словам Microsoft, атаки группировки Nobelium, которой она дала название Midnight Blizzard, и которая якобы стояла за взломом SolarWinds в 2020 году, не прекращались с момента их обнаружения. «В последние недели мы увидели доказательства того, что Midnight Blizzard [Nobelium] использует информацию, первоначально украденную из наших корпоративных систем электронной почты, для получения или попытки получить несанкционированный доступ, — сообщила Microsoft в своём блоге. — Это включает доступ к некоторым репозиториям исходного кода и внутренним системам компании». Вместе с тем компания заверила, что не обнаружила никаких доказательств того, что её системы взаимодействия с клиентами были скомпрометированы.

► Показать

Microsoft предупредила, что группа Nobelium теперь пытается использовать «найденные ею секреты разных типов», чтобы попытаться взломать её другое программное обеспечение и, потенциально, её клиентов. «Некоторыми из этих секретов клиенты и Microsoft обменивались по электронной почте, и по мере того, как мы обнаруживаем их в похищенной у нас электронной переписке, мы обращаемся к этим клиентам, чтобы помочь им принять меры по смягчению последствий (кражи)», — сообщила Microsoft.

Компания отметила, что продолжает активно заниматься расследованием деятельности Midnight Blizzard, пообещав делиться результатами с общественностью и клиентами.

[vladimir1949]

Белые хакеры обнаружили уязвимостей на $730 тысяч в Chrome, Safari, Windows 11 и софте Tesla
21.03.2024 [18:32]

За первый день проходящего в канадском Ванкувере хакатона Pwn2Own белые хакеры заработали более $730 тыс., обнаружив уязвимости в ПО от Google, Apple, Microsoft, Adobe и других разработчиков.

Этичные хакеры нашли уязвимости в ПО Tesla, а также в популярных браузерах Apple Safari, Google Chrome и Microsoft Edge. Команда экспертов Synacktiv взломала электронный блок управления на автомобиле Tesla, за что получила вознаграждение в $200 тысяч и новый автомобиль Tesla Model 3 — этот эксплойт оказался лидером в рейтинге мероприятия. Synacktiv демонстрировала эксплойты систем Tesla на трёх предыдущих мероприятиях — хакеры взламывали модем и информационно-развлекательную систему электромобиля. Уязвимости в системах Tesla также удалось выявить хакеру-одиночке в 2022 году — тогда он получил удалённый контроль над 25 машинами в 13 странах.

Хакер-одиночка Манфред Пол (Manfred Paul) осуществил удалённое выполнение кода через браузер Apple Safari, за что получил вознаграждение в $60 тыс., и показал эксплойты в браузерах Google Chrome и Microsoft Edge, получив дополнительную премию в $42,5 тыс. «Три браузера повержены, остался один», — написал он в соцсети X, возможно, намекая, что ещё не закончил. Вознаграждение в $60 тыс. получил хакер Сынхён Ли (Seunghyun Lee), который реализовал эксплойт для Google Chrome при помощи всего одной ошибки. АбдулАзиз Харири (AbdulAziz Hariri) обнаружил уязвимость Adobe Reader и, обойдя ограничения API, произвёл атаку с выполнением кода. Наконец, команда Devcore Research выявила две ошибки Windows 11 и осуществила локальную атаку с повышением привилегий, получив за это $30 тыс.

По итогам прошлого года в рамках программы обнаружения ошибок HackerOne были выплачены $300 млн — для сравнения, действующие за рамками закона хакеры за тот же период получили на вирусах-вымогателях более $1 млрд.

[vladimir1949]

Взломщик Apex Legends сорвал финал крупного турнира по игре «веселья ради» — откровения хакера
21.03.2024 [14:29]

История со взломом участников турнира по условно-бесплатной королевской битве Apex Legends получила продолжение. Ситуацию прокомментировали разработчики игры из Respawn Entertainment и один из хакеров в ответе за случившееся.

Напомним, прямо по ходу матчей североамериканского финала Apex Legends Global Series (ALGS) хакеры Destroyer2009 и R4ndom наделили двух игроков — Genburten и ImperialHal — читами.

Представители античита Easy Anti-Cheat, задействованного в Apex Legends, ответственность за инцидент с себя сняли: механизм не содержит уязвимостей, допускающих удалённое выполнение кода (RCE).

► Показать

Respawn подтвердила факт взлома и сообщила о выпуске для Apex Legends первого из нескольких «многослойных обновлений», направленных на повышение безопасности игроков. Подробностями патчей разработчики не поделились.



Тем временем в интервью TechCrunch хакер Destroyer2009 взял ответственность за взлом на себя и заявил, что сделал это «веселья ради», и чтобы вынудить разработчиков залатать использованную им уязвимость.

Что ещё сказал Destroyer2009:

подробностями взлома хакер делиться не будет, пока Respawn всё не исправит;
у разработчиков есть возможность устранить уязвимость без предупреждения от Destroyer2009;
хакер не предупредил разработчиков об уязвимости, потому что ни Respawn, ни Electronic Arts не предлагают программу финансовых вознаграждений за обнаружение ошибок;
уязвимость не связана с серверами, компьютеры затронутых игроков хакер напрямую не взламывал;
простым игрокам насчёт уязвимости волноваться не стоит — Destroyer2009 сомневается, что ещё кто-то найдёт способ использовать эту лазейку;
целями взлома стали Genburten и ImperialHal, потому что они «хорошие ребята» — «бесплатное внимание и просмотры для них».

Из-за взлома финал ALGS в Северной Америке отложили на неопределённый срок, однако плей-оффы первого сплита на данном этапе переносить не собираются — они пройдут со 2 по 5 мая.