Исследователи использовали GPT-4 для автономного взлома сайтов — вероятность успеха 53 % 09.06.2024 [16:14]
Ранее в этом году исследователи установили, что нейросеть GPT-4 от компании OpenAI способна создавать эксплойты для уязвимостей, изучая информацию о них в интернете. Теперь же им удалось взломать более половины тестовых веб-сайтов с помощью автономных групп ботов на базе GPT-4, которые самостоятельно координировали свою работу и создавали новых ботов при необходимости.
Отмечается, что боты в своей работе создавали эксплойты для уязвимостей нулевого дня, о которых не было известно ранее. В своей предыдущей работе исследователи задействовали GPT-4 для эксплуатации уже известных уязвимостей (CVE), исправления для которых ещё не были выпущены. В итоге они установили, что нейросеть смогла создать эксплойты для 87 % критических уязвимостей CVE, представляющих высокую опасность. Те же самые исследователи из Иллинойского университета в Урбане-Шампейне опубликовали результаты новой работы, в которой боты на основе нейросети пытались взломать тестовые сайты путём эксплуатации уязвимостей нулевого дня.
Вместо того, чтобы задействовать одного бота и нагружать его большим количеством сложных задач, исследователи использовали группу автономных, самораспространяющихся агентов на основе большой языковой модели (LLM). В своей работе агенты задействовали метод иерархического планирования, предполагающий выделение разных агентов под конкретные задачи. Одним из главных элементов стал «агента планирования», который контролировал весь процесс работы и запускал несколько «субагентов» для выполнения конкретных задач. Подобно взаимодействию между начальником и подчинёнными, «агент планирования» координирует свои действия с «управляющим агентом», который делегирует выполнение задач на «экспертных субагентов», тем самым равномерно распределяя нагрузку.
Исследователи сравнили эффективность такого подхода при взаимодействии группы ботов с 15 реальными уязвимостями. Оказалось, что метод иерархического планирования на 550 % более эффективен по сравнению с тем, как с аналогичными уязвимостями работает один бот на базе нейросети. Группа ботов сумела задействовать 8 из 15 уязвимостей, тогда как одиночный бот создал эксплойт только для трёх уязвимостей.
DDoS-атака на серверы TVP во время матча Польша-Нидерланды Обновлено: 2024-06-16 16:34
В матче Польша-Нидерланды на Евро-2024. Оказалось, что не было доступа к интернет-трансляции TVP Sport с серверов Польского телевидения сразу после начала встречи поляков с голландцами(во время студии это было без проблем). Болельщики в ярости, но оказалось, что это DDoS-атака.
Примерно через 30 минут после сбоя онлайн-трансляции матча Польша-Нидерланды, в социальных сетях высказался глава TVP Sport - ранее пресс-секретарь сборной польский-Якуб Квятковски.
- Около 15:00 польский телеканал зафиксировал DDoS-атаку, осуществленную с IP-адресов, расположенных на территории Польша. Менее чем через минуту мы начали действовать в сотрудничестве с национальными операторами, что привело к мифигации атаки. ИТ-службы восстановили услуги
- написал Яков Квятковский.
Несмотря на заявление Якуба Квятковского на платформе X, жалобам не было конца. Часть болельщиков, которые могли, смотрели с других вариантов: спутник, кабельное телевидение, DVB-T2 или другой интернет-сервис, например, пульт WP.
Этичные хакеры стали активно взламывать крупные модели ИИ — у них получается обходить ограничения 21.06.2024 [18:29]
Хакеры, академические исследователи и эксперты по кибербезопасности подвергают модели искусственного интеллекта изощрённому взлому и обходят заложенные их разработчиками ограничения, чтобы доложить о выявленных уязвимостях, пишет Financial Times.
Анонимный хакер, известный под псевдонимом Pliny the Prompter, утверждает, что обычно ему требуется около 30 минут на взлом мощнейших в мире моделей ИИ. Это он обманом заставил Meta✴ Llama 3 выдать ему рецепт напалма, Grok Илона Маска (Elon Musk) — восторгаться Гитлером, и это он запустил на платформе OpenAI кастомную GODMODE GPT, которая начала давать всем желающим советы по незаконной деятельности, а потом была заблокирована разработчиком.
Энтузиаст настаивает, что в его действиях не было преступных намерений — он является одним из работающих по всему миру экспертов, кто выявляет уязвимости моделей ИИ. Технологические компании в погоне за прибылью явно поспешили представить их общественности, а хакеры утверждают, что бесплатно делают работу на благо разработчиков и пользователей систем. Эти специалисты преуспели в составлении запросов, позволяющих обойти ограничения, которые разработчики ИИ установили для безопасности своих продуктов — чат-боты при получении таких запросов начинают генерировать опасный контент, намеренно распространять дезинформацию, публиковать персональные данные граждан и писать вредоносный код.
С OpenAI, Meta✴ и Google уже работают подобные специалисты, которые проводят стресс-тестирование моделей ИИ перед их выпуском — но это не всегда эффективно, и уже сформировался рынок стартапов в области безопасности больших языковых моделей. В 2022 году стартапы в области безопасности ИИ привлекли $70 млн, а на следующий год — уже $213 млн. Регулирующие органы стран по всему миру пытаются вмешаться, чтобы ограничить исходящую от моделей ИИ угрозу. «Закон об ИИ» уже приняли в ЕС, аналогичные проекты готовят власти Великобритании и Сингапура. В августе законодатели Калифорнии намереваются проголосовать за законопроект, который потребует от работающих в штате разработчиков ИИ, включая Meta✴, Google и OpenAI, гарантий, что те не разрабатывают моделей с «опасными возможностями». «Этим критериям отвечают все [модели]», — парирует Pliny.
Неэтичные хакеры уже давно создали изменённые версии больших языковых моделей, например, WormGPT и FraudGPT — они продаются в даркнете за $90. Такие системы помогают в осуществлении кибератак, написании вирусов или создании адресных фишинговых кампаний. Есть и другие модели: EscapeGPT, BadGPT, DarkGPT и Black Hat GPT. Одни хакеры пользуются системами без защитных механизмов; другие прицельно проводят атаки на существующие модели — эта деятельность переросла в новое ремесло, а советы для обхода ограничений можно найти в Reddit или Discord. Стратегии взлома сильно различаются: в одних случаях ограничения обходят при помощи синонимов запрещённых слов, в других — прибегают к более изощрённым атакам.
В прошлом году учёные Университета Карнеги — Меллона и Центра безопасности искусственного интеллекта предложили универсальный способ взлома моделей ИИ посредством манипуляций с весами — параметрами, определяющими их работу. Исследователи компании Anthropic смогли взломать ИИ, просто забросав его вопросами, то есть злоупотребив свойственным современным системам большим контекстным окном. Нынешние ИИ представляются довольно мощными, но их взлом пока не влечёт катастрофических рисков. Но чем больше человек будет им доверять, чем значительнее будут эти риски. Это подтвердили эксперты израильской компании DeepKeep, которые заставили старую открытую модель Meta✴ Llama 2 выдать персональные данные пользователей.
Соображениями безопасности в Meta✴ объясняют свою стратегию публикации исходного кода своих моделей — это позволяет большому числу экспертов находить в них уязвимости. OpenAI и Google сами постоянно обучают свои модели более эффективной защите от эксплойтов и злонамеренных действий пользователей. Anthropic же придерживается промежуточной позиции, призывая коллег расширить обмен информацией и исследовать различные типы атак.
Злоумышленники крадут логины и пароли от почты под видом представителей компании из Дубая 24 июня 2024 11:32
Эксперты «Лаборатории Касперского» обнаружили новую фишинговую схему, в которой атакующие пытаются украсть учетные данные от почтового ящика. Она нацелена на российских пользователей, вероятно — на представителей небольших компаний, сегмента МСБ. Злоумышленники под видом главы отдела закупок дубайской компании интересуются наличием некоего продукта или аналогичной модели. Об этом CNews сообщили представители «Лаборатории Касперского».
Детали в теле письма не уточняют, но оставляют ссылку, по внешнему виду похожую на файловый хостинг. На нем якобы можно увидеть подробности заказа на поставку. Если потенциальная жертва перейдет по ссылке, то попадет на поддельную страницу авторизации популярного почтового сервиса. Все введенные на таком ресурсе данные получают атакующие. Это открывает им доступ к почтовому аккаунту, всем письмам и данным в нем, а также к другим сервисам, привязанным к скомпрометированному адресу, если код подтверждения приходит именно на почту.
Письмо написано на русском языке и не содержит опечаток. Но все же можно заметить красные флаги. Во-первых, сообщение прислано не с корпоративной почты, а с личного адреса с популярным почтовым доменом. Во-вторых, отправитель обращается на «ты» (письмо начинается со слова «Привет»), это тоже должно насторожить, ведь сообщение составлено как официальный запрос.
«Злоумышленники часто маскируют фишинговые рассылки под деловую переписку. Сотрудники компаний, особенно если речь идет про небольшие организации, рады появлению новых клиентов и, вероятно, могут менее критично относиться к наполнению письма. Мы напоминаем, что любые сообщения, связанные с просьбами ввести конфиденциальную информацию, требуют особой бдительности. Старайтесь не переходить по подозрительным ссылкам, особенно из писем от неизвестных отправителей. Используйте надежные уникальные пароли для всех учетных записей и во всех сервисах, где возможно, включайте двухфакторную аутентификацию. Это позволит снизить риски потерять доступ к аккаунтам», — сказал Роман Деденок, эксперт «Лаборатории Касперского» по кибербезопасности.
Чтобы не стать жертвой фишинговых атак, «Лаборатория Касперского» рекомендует пользователям не доверять письмам с незнакомых ящиков, особенно когда речь идет о личных данных, денежных операциях и подозрительных вложениях, даже если визуально похоже, что письмо пришло от организации с хорошей репутацией, а компаниям — установить надежное защитное решение, которое автоматически будет отправлять подобные письма в спам, а также регулярно проводить для сотрудников тренинги по кибербезопасности, обучать их распознавать техники социальной инженерии.
Хакеры-вымогатели заблокировали правительственный ЦОД в Индонезии и требуют $8 млн 25.06.2024 [11:35], Руслан Авдеев
Индонезийские государственные IT-сервисы пострадали от атаки хакеров-вымогателей. The Register сообщает, что местные власти сообщили о заражении национального дата-центра, из-за которого нарушено обслуживание как граждан страны, так и иностранцев.
Речь идёт об управляемом Министерством связи и информационных технологий (Kominfo) ЦОД National Data Center (он же Pusat Data Nasional, PDN). Инцидент зарегистрирован 20 июня, но правительство объявило о проблеме только в понедельник.
Работа PDN заблокирована, это сказалось как минимум на 210 местных организациях, серьёзно пострадали некоторые местные IT-сервисы. В частности, нарушена работа миграционной службы, из-за чего страна не может своевременно справляться с выдачей виз, паспортов и разрешений на проживание. Это уже привело к очередям в аэропортах, но власти уверяют, что автоматизированные сканеры паспортов уже вновь заработали.
Пострадала и онлайн-регистрация новых учащихся в некоторых регионах, из-за чего органы самоуправления на местах были вынуждены продлить сроки регистрации.
ПО, поразившее системы PDN, представляет собой вариант LockBit 3.0 — версию Brain Cipher. В Broadcom обнаружили этот «штамм» более недели назад. Как сообщили журналистам представители властей, вымогатели требуют выкуп в размере 131 млрд местных рупий ($8 млн), но пока неизвестно, намерены ли его выплачивать.
Для того, чтобы оценить значимость суммы для страны, стоит отметить, что президент Индонезии Джоко Видодо (Joko Widodo) в прошлом месяце приказал чиновникам прекратить разработку новых приложений после того, как те запросили 6,2 трлн рупий ($386,3 млн) для разработки нового софта в этом году. По словам президента, 27 тыс. приложений центральных и местных властей дублируют функции друг друга или не интегрированы должным образом.
Небрежность с обеспечением устойчивости работы iT-инфраструктуры может привести к непредсказуемым последствиям. В начале июня сообщалось, что вся информационная система одного из муниципалитетов Западной Австралии зависит от одного-единственного сервера без возможности оперативной замены и в случае инцидента последствия могут оказаться катастрофическими.
Microsoft обвинила российских хакеров в слежке за своими сотрудниками 28.06.2024 [12:38]
Microsoft заявила, что в начале года российские хакеры проникли во внутренние IT-системы компании и получили доступ к почтовым сообщениям сотрудников, включая переписки с клиентами софтверного гиганта. Это заявление было сделано примерно через полгода после того, как Microsoft впервые сообщила о масштабной кибератаке на свою инфраструктуру.
Раскрытие новой информации подчёркивает масштаб хакерской атаки и происходит на фоне усиления контроля со стороны регулирующих органов за безопасностью программного обеспечения Microsoft. Отметим, что российские власти оставили без внимания обвинения Microsoft во взломе, но в компании также отметили, что хакеры атаковали исследователей в сфере информационной безопасности, которые вели расследование этого киберинцидента.
«На этой неделе мы продолжили отправлять уведомления клиентам, которые переписывались с использующими корпоративные учётные записи электронной почты сотрудниками Microsoft, взломанными злоумышленниками из Midnight Blizzard», — рассказал представитель Microsoft. В сообщении компании не уточняется, какое количество клиентов затронул инцидент, а также объём писем, которые могли быть похищены хакерами.
Напомним, в январе этого года Microsoft заявила, что хакерская группировка Midnight Blizzard получила доступ к «небольшому проценту» учётных записей корпоративной электронной почты компании. Четыре месяца спустя софтверный гигант сообщил, что хакеры всё ещё предпринимают попытки взлома, что вызвало обеспокоенность со стороны регулирующих органов и экспертов в том, что компания в состоянии защитить свои внутренние IT-системы.
Мошенники создают фейковые аккаунты директоров в мессенджерах: рекомендуется не спешить выполнять указания «руководителя»
В июне выявлено более 20 мошеннических эпизодов
Команда Сбербанка предупредила о всплеске случаев мошенничества в отношении руководителей и главных бухгалтеров организаций. Злоумышленники через мессенджер связываются с генеральным директором либо с главным бухгалтером компании от лица учредителя или директора соответственно. Для большей достоверности могут загрузить в ненастоящий профиль фото из доступных источников: взять, например, с сайта компании или использовать изображение пользователя настоящего аккаунта.
После нескольких общих фраз (приветствия, вопроса), войдя в доверие, мошенники дают поручение срочно совершить оплату консультационных услуг по предоставленным ими реквизитам в различных банках или взять кредит. Если потенциальная жертва пытается перезвонить, мошенники отклоняют вызов и направляют сообщения «Занят», «Не могу говорить».
В одном из эпизодов на генерального директора оказывалось давление от имени двух учредителей. Причём мошенники знали стиль общения этих людей, точную структуру организации и внутренние процессы взаимодействия в ней. То есть, готовясь к атаке, они провели доскональное изучение своей жертвы.
В Сбербанке пояснили: В этой связи рекомендуется не предпринимать поспешных действий, если руководитель с помощью сообщения в мессенджере даёт указание о переводе денег на некий счёт, оказывает давление, торопит, но при этом не отвечает на звонки.
Схема не является новой — впервые она была выявлена в январе текущего года. Однако в последнее время мошенники вновь активизировались по этой схеме.
Хакеры добрались до данных Госдепа и других федеральных агентств США через взлом Microsoft 04.07.2024 [20:38]
Последствия взлома хакерами электронной почты нескольких руководителей Microsoft оказались более значительными, чем первоначально сообщила американская компания в январе этого года, пишет Bloomberg. В списке клиентов Microsoft, пострадавших от атаки, приписываемой группировке Midnight Blizzard, якобы поддерживаемой правительством РФ, оказались Департамент по делам ветеранов США и подразделение Госдепартамента США.
В Агентстве глобальных медиа США, входящем в состав Госдепа США, сообщили, что «пару месяцев назад» получили уведомление от Microsoft о том, что некоторые их данные могли быть украдены. Вместе с тем, представитель агентства заявил, что никакие данные, касающиеся безопасности или личные данные не были скомпрометированы. В свою очередь, Департамент по делам ветеранов США признал, что получал в марте уведомление от Microsoft о том, что его тоже коснулся инцидент с софтверной компанией.
В январе Microsoft сообщила, что хакерская группировка Midnight Blizzard получила доступ к учётным записям её корпоративной электронной почты, а позже предупредила, что хакеры пытались использовать данные, которыми обменивались компания и её клиенты для дальнейшего вторжения. Вместе с тем компания отказалась назвать клиентов, которые пострадали.
«Пока наше расследование продолжается, мы обращаемся с уведомлением к тем клиентам, которые переписывались с аккаунтом корпоративной электронной почты Microsoft, к которой (хакеры) получили доступ, — заявил представитель Microsoft в среду. — Мы продолжим координировать, поддерживать и помогать нашим клиентам в принятии мер по смягчению последствий (взлома)».
Согласно заявлению пресс-службы Microsoft, компания также связалась с федеральным правительственным агентством США «Корпус мира» (Peace Corps) и уведомила его о хакерском взломе. «На основании этого уведомления технический персонал “Корпуса мира” смог устранить уязвимость», — сообщает агентство.
Ещё до атаки Midnight Blizzard компания объявила в прошлом году, что пересматривает меры по обеспечению кибербезопасности после «каскада сбоев в системе безопасности». И совсем недавно Microsoft назвала безопасность своим «главным приоритетом», пытаясь восстановить пошатнувшееся доверие.
Хакерская группировка из Восточной Европы Lifting Zmiy атаковала российские компании через серверы, которые используются для управления лифтовым оборудованием в многоквартирных домах, сообщил ресурс РБК со ссылкой на информацию центра исследования киберугроз Solar 4RAYS ГК «Солар». Задачи нарушить работу лифтов у хакеров не было, хотя уязвимость в контроллерах позволяла это сделать. Этот взлом они использовали для атак на другие организации.
Воспользовавшись уязвимостью в контроллерах поставщика решений для лифтов «Текон-Автоматика», хакеры размещали на них серверы, используемые в атаках на другие цели: госсектор, компании из IT, телекома и других отраслей. При этом хакеры использовали для доступа в интернет сервис Starlink компании SpaceX.
Размещая серверы управления на контроллерах лифтов, хакеры, вероятно, хотели усложнить обнаружение своих операций, полагает эксперт центра исследования киберугроз Solar 4RAYS Дмитрий Маричев. Он рассказал, что 2022 году стало известно о способе взлома этого оборудования с помощью специального плагина. Авторизовавшись в системе, хакер мог получить доступ к данным с разных датчиков и т.п. После этого компания убрала со своего сайта логин и пароль по умолчанию. Поскольку обнаруженные специалистами серверы управления хакеров были развёрнуты уже после этого, это означает, что, либо пользователи систем не изменили пароль на устройствах, либо злоумышленникам удалось его подобрать перебором, отметил Маричев. «Мы рекомендуем всем организациям, которые используют подобное оборудование, принять меры по дополнительной защите от таких атак: провести оценку компрометации IT-инфраструктуры и усилить парольные политики, и как минимум ввести двухфакторную аутентификацию», — сообщил он.
Руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies Денис Кувшинов сообщил, что компания обратила внимание на попытку этой группировки скомпрометировать разработчика софта под SCADA-системы, заразив ПО, чтобы доставить его клиентам. «К счастью, это не удалось — производитель вовремя заметил неладное», — рассказал он.
Кувшинов отметил, что хакеры ищут всё более эффективные способы доставки вредоносного ПО клиентам, стремясь максимально скрыть свои действия за счёт взлома легитимных систем.
Руководитель центра противодействия киберугрозам Innostage SOC CyberART Максим Акимов сообщил, что практически все организации, обслуживающие лифты, стремятся организовать удалённое управление их системами, устанавливая дополнительные контроллеры даже на старые модели лифтов. По его словам, в данном случае важно проводить мониторинг кибербезопасности подобных систем, регулярно обновлять ПО, а также тщательно проверять подрядчиков, которые потенциально могут стать точкой входа для хакеров.
Гендиректор «Стингрей Технолоджиз» Юрий Шабалин (входит в ГК Swordfish Security) заявил, что при подобных взломах максимум, что угрожает пользователям, так это необходимость ходить по лестнице, пока лифт не работает. «Но этот инцидент подчёркивает важность универсального правила: не нужно подключать к интернету устройства, которые могут работать автономно, тогда никакие хакеры их в принципе не взломают. Не нужно создавать для злоумышленников дополнительные векторы атак», — предупреждает эксперт.
Мошенники начали звонить и предлагать «улучшение качества связи» под угрозой отключения услуг
Можно лишится личной информации, доступа к «Госуслугам» и денег
О новой схеме телефонного мошенничества рассказал оператор МТС. Злоумышленники звонят своим потенциальным жертвам якобы от имени сотового оператора и убеждают в срочной необходимости совершить технические обновления для улучшения качества связи.
Жертвам рассказывают о плановой замене оборудования на сотовых вышках, из-за которой якобы требуется выполнить ряд технических действий со стороны абонента, в том числе, обновление настроек. Если абонент оказался недоверчивым или просто отказывается выполнить «необходимые» действия, ему угрожают временным отключением интернета и вообще услуг связи.
Если абонент соглашается, то его просят продиктовать код от личного кабинета на портале «Госуслуг» или у оператора связи.
«Информзащита»: хакеры стали чаще использовать удаленный доступ для атак программами-вымогателями
Хакеры в первом полугодии 2024 г. стали на 15% чаще использовать инструменты подключения удаленного доступа для совершения атак с использованием программ-вымогателей по сравнению с аналогичным периодом 2023 г. Такие данные приводят эксперты «Информзащиты».
«Программы типа ransomware, известные также как программы-вымогатели или шифровальщики, были, есть и всегда будут одним из основных инструментов злоумышленников. Сейчас мы отмечаем рост в 15%, по сравнению с первым полугодием прошлого года. Это вполне значительные показатели, у которых к тому же сохраняется перспектива роста», – сказал эксперт третьей линии центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Шамиль Чич.
Упор хакеров на этот канал управления скомпрометированными устройствами объясняется двумя основными факторами: распространенностью и простотой. Компании продолжают увеличивать количество сотрудников, работающих в удаленном или гибридном формате, соответственно, число возможностей для злоумышленников растет физически. При этом отправить программу-вымогатель сотруднику на удаленке проще, потому что, например, он находится вне защищенного периметра.
По данным «Информзащиты», в России в первом полугодии 2024 г. количество атак с использованием шифровальщиков в целом выросло примерно на 35%. Более того, на 25% увеличилась и средняя сумма ущерба от злодеяний с использованием программ-вымогателей. Сильнее всего от них страдает сфера услуг, которая в большинстве своем состоит из представителей малого и среднего бизнеса, а также индивидуальных предпринимателей, самозанятых и фрилансеров. Все они не имеют таких возможностей для обеспечения информационной безопасности, как крупные компании.
Также, согласно данным недавнего исследования, количество использующих в своих действиях шифровальщики группировок увеличилось на 20% во II квартале 2024 г., по сравнению с первыми тремя месяцами. Самым активным месяцем стал май, когда количество организаций злоумышленников выросло на 43%. Рост их количества специалисты связывают с восстановлением сферы после действий правоохранителей.
Среди ключевых новых игроков исследователи сферы информационной безопасности называют группировки RansomHub и BlackSuit. Также выделяется деятельность LockBit, которые своими успешными действиями показали другим хакерам способы «выживать». Действия злоумышленников эксперты отмечают в разных странах мира, что говорит о глобальности активности вымогателей.
Компания из США случайно наняла северокорейского хакера, и тот сразу начал загружать вирусы 25.07.2024 [12:45]
Американская компания KnowBe4, которая специализируется на вопросах кибербезопасности, невольно наняла хакера из КНДР, который попытался загрузить вредоносное ПО в сеть компании сразу же, как приступил к «работе». Об этом рассказал её основатель и директор Стю Сьюверман (Stu Sjouwerman).
KnowBe4 работает в 11 странах мира, а её штаб-квартира располагается во Флориде. Компания проводит тренинги по вопросам кибербезопасности и защиты от фишинга для корпоративных клиентов. Однажды KnowBe4 разместила вакансию и получила резюме от кандидата на должность — он предоставил фотографию, которая была изготовлена на основе стокового снимка при помощи редактора с искусственным интеллектом. Кадровики провели удалённое собеседование, проверили биографию соискателя, рекомендации и приняли его на должность главного инженера-программиста.
Приложенная к резюме фотография была подделкой, но проходивший все четыре собеседования человек был достаточно похож на это изображение, и подозрений он не вызвал. Ему удалось успешно пройти проверку, потому что в документах использовалась украденная личность реально существующего человека. На указанный адрес ему отправили рабочую станцию Apple Mac.
Снимок из фотобанка (слева) и созданная ИИ подделка (справа). Источник изображения: blog.knowbe4.com
Как только новый сотрудник приступил к работе, он начал совершать в сети предприятия подозрительные действия, на которые отреагировала система безопасности. Сотрудники компании связались с новым работником, чтобы прояснить ситуацию — тот заявил, что у него наблюдаются проблемы со скоростью подключения, он настраивает маршрутизатор, и, возможно, это привело ко взлому. В реальности он попытался манипулировать файлами с историей сеансов, передать в сеть потенциально опасные файлы и даже запустить несанкционированное ПО. Для загрузки вредоносов он воспользовался одноплатным компьютером Raspberry Pi. Сотрудники службы безопасности продолжали контролировать происходящее и даже попытались позвонить этому работнику, но тот ответил, что не может ответить, а впоследствии и вовсе перестал выходить на связь. Через 25 минут после начала атаки его компьютер был заблокирован в сети.
Последующий анализ показал, что попытки загрузить вредоносное ПО, вероятно, были намеренными, а сам подозрительный сотрудник был «внутренней угрозой или субъектом [другого] государства». KnowBe4 поделилась информацией с экспертами по кибербезопасности компании Mandiant, а также уведомила об инциденте ФБР — выяснилось, что это действительно был фальшивый работник из Северной Кореи. У них есть отлаженная схема. Работодатели отправляют рабочие станции на адреса, где находятся целые «фермы» таких компьютеров. Хакеры подключаются к ним через VPN из КНДР или Китая и выходят в ночную смену, чтобы казалось, будто они работают днём в США. Некоторые из них действительно выполняют задачи, получают хорошую оплату, которая уходит на финансирование деятельности Пхеньяна.
Anthropic заплатит до $15 000 хакерам, которые найдут уязвимости в её ИИ-системах 09.08.2024 [17:14]
Компания Anthropic объявила о запуске расширенной программы поиска уязвимостей, предлагая сторонним специалистам по кибербезопасности вознаграждение до 15 000 долларов за выявление критических проблем в своих системах искусственного интеллекта.
Инициатива направлена на поиск «универсальных методов обхода», то есть способов взлома, которые могли бы последовательно обходить меры безопасности ИИ в таких областях высокого риска, как химические, биологические, радиологические и ядерные угрозы, а также в области киберпространства. Как сообщает ресурс VentureBeat, компания Anthropic пригласит этичных хакеров для проверки своей системы ещё до её публичного запуска, чтобы сразу предотвратить потенциальные эксплойты, которые могут привести к злоупотреблению её ИИ-системами.
Интересно, что данный подход отличается от стратегий других крупных игроков в области ИИ. Так, OpenAI и Google имеют программы вознаграждений, но они больше сосредоточены на традиционных уязвимостях программного обеспечения, а не на специфических для ИИ-индустрии эксплойтах. Кроме того, компания Meta✴ недавно подверглась критике за относительно завуалированную позицию в области исследований безопасности ИИ. Напротив, явная нацеленность Anthropic на открытость устанавливает новый стандарт прозрачности в этом вопросе.
Однако эффективность программ поиска уязвимостей в решении всего спектра проблем безопасности ИИ остаётся спорной. Эксперты отмечают, что может потребоваться более комплексный подход, включающий обширное тестирование, улучшенную интерпретируемость и, возможно, новые структуры управления, необходимые для обеспечения глобального соответствия систем искусственного интеллекта человеческим ценностям.
Программа стартует как инициатива по приглашению (закрытое тестирование) в партнёрстве с известной платформой HackerOne, но в будущем Anthropic планирует расширить программу, сделав её открытой и создав отдельную независимую модель для отраслевого сотрудничества в области безопасности ИИ.
Смартфон является одним из лучших друзей человека и, кстати, сокровищницей личных данных - от контактов, сообщений, личных фотографий до финансовых данных. При относительно небольших затратах времени и финансовых ресурсов хакеры могут взять под контроль смартфон. Из-за этого они преследуют пользователей мобильных телефонов многочисленными атаками.
Хакеры тоже любят смартфоны
К сожалению, многие люди не знают о рисках, которые влечет за собой нарушение безопасности мобильного телефона. Иногда это приводит к незначительным неудобствам, связанным с работой устройства, но при неблагоприятных обстоятельствах вы можете потерять деньги, конфиденциальную информацию и даже репутацию.
- Владельцы смартфонов все чаще оказываются беспомощными перед действиями киберпреступников. Это происходит по нескольким причинам: разнообразие угроз, сложные векторы атак и отсутствие у пользователей надлежащей защиты. Определяются и некоторые нюансы. Например, на смартфоне вы видите меньшую адресную строку в браузере по сравнению с ПК, поэтому пользователи телефонов чрезвычайно уязвимы для фишинга
- говорит Михал Лебедцкий, менеджер по маркетингу G DATA Польша.
Хакеры используют различные методы доступа к смартфонам и перехватывают голосовую почту, телефонные звонки, текстовые сообщения и даже микрофон и камеру, конечно, все это делается без согласия и ведома пользователя.
- Злоумышленники являются бенефициарами быстрого темпа эволюции, происходящего в сегменте мобильных устройств. По мере развития технологий ландшафт потенциальных угроз меняется, что требует от пользователей и организаций постоянно проявлять бдительность и проявлять инициативу.
- добавил Михаил Лебедев.
Android или iOS
Компьютеры, работающие под управлением Windows, чаще становятся жертвами киберпреступников, чем люди, использующие Linux или MacOS. Это связано с явным доминированием "окон" в сегменте операционных систем для ПК. По понятным причинам злоумышленники поражают большие сообщества, и к таким относятся пользователи Windows.
Аналогичная ситуация наблюдается и со смартфонами. Сейчас около 70%. пользователи имеют устройства с операционной системой Android, а 29%. это владельцы iPhone.
В результате телефоны Android более уязвимы, чем устройства Apple. Хакерам понравилась операционная система с зеленым человечком по нескольким причинам. Помимо его высокой популярности, важным фактором является открытый характер платформы, а также довольно мягкий подход Google к разработчикам, размещающим приложения в Google Play Store. Исследователи из Microsoft обнаружили на этой платформе уязвимые приложения, которые зарегистрировали в общей сложности более 4 миллиардов загрузок. Рекордсменом здесь является Xiaomi File Manager с более чем миллиардом загрузок.
Политика Apple по размещению приложений в AppStore гораздо более ограничительна,хотя иногда и вредоносные программы. Кроме того, существуют и другие каналы распространения вредоносных программ, и, вопреки распространенному мнению, владельцы iPhone не могут спать спокойно. В прошлом году было отмечено резкое увеличение количества вредоносных программ (MacStealer, Atomic Stealer MetaStealer, GoSorry), крадущих конфиденциальные данные, такие как имена пользователей, пароли аутентификации или кошельки криптовалюты, со смартфонов с яблочком. Интересно, что перечисленные программы доступны в модели "malware as a service" и продаются в Darknet.
Еще одна серьезная проблема, с которой сталкиваются пользователи iPhone, - это так называемое наемное шпионское ПО. Его поставщики продают свою продукцию государственным организациям и правоохранительным органам. Бывает, что политики незаконно используют эти инструменты против журналистов, политиков, диссидентов и своих граждан. Самым известным, хотя и не единственным, представителем этой группы программ является Pegasus.
Смартфон под особым контролем
Пользователи смартфонов не остаются уязвимыми в борьбе с хакерами.
Есть несколько практических и выполнимых практик, которые можно использовать для улучшения защиты мобильных устройств. Многие инциденты являются следствием устаревания протоколов безопасности, отсутствия бдительности владельцев устройств, а также неспособности владельцев устройств использовать защитные механизмы.
Производители относительно часто выпускают обновления для исправления уязвимостей.
Задержка или преуменьшение обновлений делает устройства уязвимыми для атак, в которых хакеры используют хорошо известные им уязвимости. Вот почему так важно включать автоматические обновления как для операционной системы, так и для приложений, чтобы быть уверенным в использовании последних и самых безопасных версий. Не менее важным для пользователей смартфонов является использование уникальных паролей, предпочтительно в сочетании с многофакторной аутентификацией, которая создает дополнительный уровень защиты.
- Пользователи смартфонов также должны использовать защиту в виде антивирусного программного обеспечения. Некоторые антивирусы, помимо защиты от вредоносных программ и других угроз, также защищают от последствий потери или кражи оборудования. Инвестиционные затраты на антивирус для смартфона действительно невелики по сравнению с ущербом, который могут нанести киберпреступники после взлома устройства.
- говорит Михаил Лебедев.
В настоящее время, когда тысячи приложений доступны практически у вас под рукой, вы должны проявлять исключительную бдительность не только при их установке, но и при проверке разрешений.
Многие программы требуют от пользователя предоставления разрешений, которые превышают их функциональные потребности, потенциально угрожая безопасности и конфиденциальности данных. Регулярный просмотр и управление разрешениями может остановить множество потенциальных атак. Стоит также понять, что, хотя смартфоны являются карманными устройствами, угрозы, которые подстерегают их владельцев, вовсе не имеют карманных размеров.
Новая вредоносная программа Cthulhu Stealer атакует пользователей Apple macOS
Cthulhu Stealer способен красть системную информацию, пароли и данные криптовалютных кошельков
Эксперты по кибербезопасности из Cado Security обнаружили новую вредоносную программу, которая крадёт информацию и нацелена на Apple macOS.
Вредоносное ПО называется Cthulhu Stealer и способно красть всевозможные данные, включая системную информацию, пароли связки ключей iCloud, другие учётные данные для входа, файлы cookie веб-браузера и информацию об аккаунтах Telegram.
Кроме того, Cthulhu Stealer предлагает жертвам ввести системный пароль, а также данные для входа в популярный криптовалютный кошелек MetaMask. «Основная функция Cthulhu Stealer — кража учётных данных и криптовалютных кошельков из различных магазинов, включая игровые аккаунты», — говорится в отчёте исследователей Cado Security.
Эксперты также отметили, что функциональность и особенности Cthulhu Stealer очень похожи на Atomic Stealer, что указывает на то, что разработчик Cthulhu Stealer, вероятно, взял Atomic Stealer и изменил код. Использование osascript для запроса пароля у пользователя в Atomic Stealer и Cthulhu похоже, даже включая те же орфографические ошибки.
Жертв обычно обманывают, заставляя их загрузить вредоносное ПО, поскольку оно рекламируется как легальное программное обеспечение и игры, либо CleanMyMac, Grand Theft Auto IV и Adobe GenP (инструмент с открытым исходным кодом, который позволяет пользователям Adobe обходить сервисы Creative Cloud и активировать программное обеспечение без серийного ключа).
Как только Cthulhu, запуск которого, по-видимому, обходится в $500 и работает как на архитектуре x86_64, так и на архитектуре Arm, собирает всю интересную информацию, он сжимает её в архив .ZIP, а затем неизвестным образом пересылает на сервер управления и контроля (C2).
Хорошей новостью является то, что вредоносное ПО не является особо продвинутым и, вероятно, будет обнаружено большинством лучших антивирусных продуктов, доступных сегодня.
Главная 
