В стандарте TETRA нашли множество проблем
Исследователи выявили пять уязвимостей в стандарте TETRA (Terrestrial Trunked Radio), который используют правоохранительные органы, военные и операторы критической инфраструктуры по всему миру. Уязвимости получили общее название TETRA:BURST и позволяют расшифровывать данные в режиме реального времени. При этом эксперты считают, что обнаружили бэкдор, который, похоже, был создан намеренно.
Стандарт TETRA разработан Европейским институтом телекоммуникационных стандартов (ETSI) в 1995 году и с тех пор широко применяется более чем в 100 странах мира. Часто TETRA используется в качестве полицейской системы радиосвязи, а также для управления критическими системами, включая электрические сети, газопроводы и железные дороги. В России и в странах ЕС TETRA применяется в служебных и технологических сетях связи (речевой и для передачи данных) железнодорожного транспорта.
По информации издания Wired, TETRA используют как минимум двадцать критически важных инфраструктур в США. В их число входят электроэнергетические предприятия, пограничная служба, нефтеперерабатывающий завод, химические заводы, крупная система общественного транспорта, три международных аэропорта и учебная база армии США.
Проблемы были выявлены голландской компанией Midnight Blue еще в 2021 году, и на сегодняшний день нет доказательств того, что уязвимости использовались злоумышленниками.
В настоящее время для некоторых уязвимостей из списка TETRA:BURST уже выпущены исправления, и теперь исследователи смогли рассказать о багах публично. При этом не все проблемы в целом можно исправить с помощью патчей, и пока неясно, какие производители уже подготовили исправления для своих клиентов.
«В зависимости от конфигурации инфраструктуры и конкретных устройств, уязвимости позволяют выполнять расшифровку данных в реальном времени, атаки типа „сбор сейчас — расшифровка позже“, а также осуществлять инъекции сообщений, деанонимизацию пользователей и привязку сеансового ключа», — сообщают специалисты.
В основе TETRA лежит набор секретных проприетарных криптографических алгоритмов: набор TETRA Authentication Algorithm (TAA1), предназначенный для аутентификации и распределения ключей, а также набор TETRA Encryption Algorithm (TEA) для Air Interface Encryption (AIE).
В целом стандарт включает четыре алгоритма шифрования — TEA1, TEA2, TEA3 и TEA4, которые могут использоваться производителями в различных продуктах (в зависимости от их предназначения и заказчика). Так, TEA1 рекомендован для коммерческого использования и применяется в критической инфраструктуре ЕС и других стран мира, однако, согласно ETSI, он также ориентирован на использование службами общественной безопасности и военными. Сами исследователи обнаружили, что некоторые полицейские ведомства тоже полагаются на TEA1.
TEA2 предназначен для европейской полиции, служб экстренной помощи, военных и спецслужб. TEA3 доступен для полиции и служб экстренной помощи за пределами ЕС — в странах, считающихся «дружественными» по отношению к европейским, включая Мексику и Индию. «Недружественные» страны, например Иран, могут использовать только TEA1. Что касается TEA4, по словам исследователей, он почти нигде не применяется.
Все алгоритмы охраняются как коммерческая тайна и защищены строгими соглашениями о неразглашении.
Чтобы добраться до алгоритмов и изучить их, исследователи приобрели на eBay радиостанцию Motorola MTM5400 и потратили четыре месяца на поиск и извлечение алгоритмов из защищенного анклава в прошивке устройства. Им пришлось использовать ряд 0-day-эксплоитов, чтобы обойти защиту Motorola (компании сообщили о них и дали возможность исправить). В итоге в ходе реверс‑инжиниринга TAA1 и TEA исследователи выявили пять проблем, от незначительных до критических:
Исследователи объясняют, что влияние перечисленных уязвимостей в значительной степени зависит от того, как TETRA используется, например от того, передаются ли этим способом голос или данные, а также какой именно криптографический алгоритм применен.
Серьезнее всех среди обнаруженных проблем CVE-2022-24401, которая может использоваться для раскрытия текстовых и голосовых сообщений или данных без ключа шифрования.
Вторая критическая уязвимость, CVE-2022-24402, обнаруженная в TEA1, позволяет злоумышленникам выполнять инжекты в трафик, который используется для мониторинга и контроля промышленного оборудования.
По словам экспертов, расшифровка трафика и инъекции вредоносного трафика могут позволить злоумышленниками совершать различные опасные действия, включая размыкание автоматических выключателей на электрических подстанциях, что, например, может привести к отключению электроэнергии, как происходило во время атак малвари Industroyer.
«Уязвимость в TEA1 (CVE-2022-24402), очевидно, является результатом преднамеренного ослабления», — утверждают специалисты Midnight Blue. По их словам, эффективная энтропия ключа уменьшена намеренно и, судя по всему, речь идет о самом настоящем бэкдоре.
В ответ на эти обвинения в ETSI заявили, что «стандарты безопасности TETRA были определены совместно с национальными службами безопасности, разработаны в соответствии с правилами экспортного контроля и подпадают под их действие, что определяет стойкость шифрования». В Европейском институте телекоммуникационных стандартов отметили, что в 1995 году 32-битный ключ обеспечивал должную безопасность, однако его надежность ослабили доступные теперь вычислительные мощности.
Исследователи Midnight Blue планируют представить свои выводы в следующем месяце на конференции Black Hat в Лас‑Вегасе, после чего будет опубликован детальный технический анализ и секретные алгоритмы шифрования TETRA, которые раньше были недоступны широкой общественности. Специалисты надеются, что их коллеги, обладающие большим опытом, смогут изучать алгоритмы и, вероятно, выявить другие проблемы TETRA.
Трафик ChatGPT снижается
Илья Сачков приговорен к 14 годам тюрьмы
Основатель и бывший глава компании Group-IB Илья Сачков приговорен к 14 годам колонии строгого режима и штрафу в 500 тысяч рублей по делу о госизмене (ст. 275 УК РФ). Свою вину Сачков не признает, его защитники заявили о намерении обжаловать приговор и обратиться к президенту РФ.
26 июля 2023 года Московский городской суд вынес обвинительный приговор основателю компании Group-IB (теперь FACCT). Дело рассматривалось в закрытом режиме тройкой судей, и, в чем именно суд признал Сачкова виновным, неизвестно, так как дела по госизмене засекречены. Согласно решению суда, один день в СИЗО будет зачтен за один день срока в колонии.
Напомним, что Илья Сачков был арестован в сентябре 2021 года по подозрению в госизмене, а в офисах Group-IB тогда прошли обыски. С этого момента он находился под следствием в СИЗО «Лефортово».
Как теперь сообщают СМИ, сторона обвинения запрашивала для Сачкова 18 лет колонии, и 24 июня в Telegram-канале Сачкова появился комментарий о запрошенном прокуратурой сроке заключения:
«Эта цифра не мешает мне с улыбкой, достоинством и четким холоднокровным профессионализмом делать, что должно. Я всю жизнь работаю с цифрами, числами, кодами, и ни одна из них меня в ступор не вводила. <...> Если будет обвинительный приговор, это будет одна из самых успешных операций американских спецслужб и очередной спланированный удар по российскому IT-сектору».
Представители компании FACCT уже опубликовали официальное заявление о вынесенном Сачкову приговоре. В компании отметили, что сотрудники стойко восприняли случившееся, они продолжают поддерживать Илью и надеются, что он выйдет на свободу и будет реабилитирован, «как это неоднократно происходило в истории».
«Это тяжелый момент для всех нас и черный день для рынка кибербезопасности. Илья Сачков, мой друг, коллега, создатель одной из самых успешных высокотехнологичных компаний в сфере кибербезопасности — в результате „скорого суда“ отправлен в колонию. Илья — культовая фигура в мире кибербезопасности. Выбрав делом своей жизни создание инженерных технологий мирового класса для противодействия киберпреступности, он многое сделал, чтобы очистить российское и международное киберпространство от криминала. И я уверен, сделал бы намного больше, тем более сейчас, когда на кону — кибербезопасность государства, а масштаб и частота кибератак растут с каждым месяцем. Потенциал Ильи как человека, как личности, как профессионала огромен. Он создал отечественные конкурентоспособные экспортные технологии, они успешны и признаны во всем мире. Как Илья лично, так и компания имеют множество наград и благодарственных писем от правоохранительных органов. Его изоляция — это потеря для всего ИТ‑рынка, и вместе с тем, вероятно, она обрадует тех, с кем он боролся, — реальных киберпреступников. Но мы продолжим его дело и, как прежде, будем разрабатывать решения для информационной безопасности, опережающие время, следовать нашей миссии и защищать как компании, так и всех пользователей. Делаем», — говорит Валерий Баулин, генеральный директор компании FAССT.
В компании сообщают, что несмотря на заключение под стражу, Сачков продолжает работать над проектами и технологиями кибербезопасности, и, по его словам, он продолжит эту работу, где бы ни находился.
Также подчеркивается, что все подразделения FACCT работают в штатном режиме, и компания благодарит клиентов, партнеров, представителей комьюнити по кибербезопасности и журналистов за слова поддержки.
Аппетиты вымогателей растут
Google создает «DRM для интернета»
Команда из четырех инженеров Google работает над новым веб-API под названием Web Environment Integrity, который позволит сайтам блокировать клиентские приложения, изменяющие их код. Плюсы с точки зрения безопасности очевидны, но, помимо того, новый API фактически поможет Google и операторам сайтов эффективно бороться с блокировщиками рекламы.
Основная цель проекта — узнать больше о человеке по ту сторону браузера, удостовериться, что он не робот, а браузер не был модифицирован или подделан каким‑либо образом.
Разработчики заявляют, что такие данные будут полезны рекламодателям для подсчета показов рекламы, помогут бороться с ботами в социальных сетях, защитят права на интеллектуальную собственность, будут противостоять читерству в веб‑играх, а также повысят безопасность финансовых транзакций.
То есть, на первый взгляд, Web Environment Integrity API разрабатывается как защитное решение, чтобы сайты могли обнаруживать вредоносные модификации кода на стороне клиента и отключать вредоносных клиентов.
При этом авторы Web Integrity API пишут, что вдохновлялись «существующими нативными сигналами аттестации, включая Apple App Attest и Android Play Integrity API».
Здесь стоит пояснить, что Play Integrity (ранее SafetyNet) представляет собой API для Android, позволяющий приложениям выяснить, было ли устройство рутировано. Root-доступ позволяет получить полный контроль над устройством, и многим разработчикам приложений такое не нравится. Поэтому после получения соответствующего сигнала от Android Integrity API некоторые типы приложений могут просто отказаться запускаться.
Как правило, в таких случаях отказываются работать банковские приложения, Google Wallet, онлайн‑игры, Snapchat, а также некоторые мультимедийные приложения (например, Netflix). Ведь считается, что root-доступ может использоваться для читерства в играх или фишинга банковских данных. Хотя root-доступ также может понадобиться для настройки устройства, удаления вредоносного ПО или создания системы резервного копирования, Play Integrity такие варианты применения не рассматривает и в любом случае блокирует доступ.
Как теперь предполагают ИБ‑специалисты, Google стремится реализовать то же самое в масштабах всего интернета.
По замыслу Google, в ходе транзакции веб‑страницы сервер может потребовать от пользователя пройти тест environment attestation, прежде чем тот получит какие‑либо данные. В этот момент браузер свяжется со сторонним сервером аттестации, и пользователь должен будет пройти определенный тест. Если проверка пройдена, пользователь получает подписанный Integrity Token, который подтверждает целостность его среды и указывает на контент, который нужно разблокировать. Затем токен передается обратно на сервер, и если сервер доверяет компании‑аттестатору, то контент разблокируется, а человек наконец получит доступ к нужным данным.
Как теперь опасаются многие, если браузером в таком примере будет выступать Chrome и сервер аттестации тоже будет принадлежать Google, то именно Google будет решать, предоставить или не предоставить человеку доступ к сайтам.
При этом в компании уверяют, что Google не собирается использовать описанную функциональность во вред. Так, создатели Web Integrity API «твердо уверены», что их API не должен использоваться для фингерпринтинга людей, хотя вместе с этим они хотят получить «некий индикатор, позволяющий ограничить скорость по отношению к физическому устройству».
Также заявлено, что компания не хочет «вмешиваться в функциональность браузера, включая плагины и расширения». Таким образом разработчики дают понять, что якобы не собираются бороться с блокировщиками рекламы, хотя в компании много лет работают над скандальным Manifest V3, чья цель состоит именно в этом. А новый API можно использовать для обнаружения того, что блокировщик рекламы вмешивается в рекламный код. После этого оператор сайта будет волен попросту прекратить предоставление услуг.
Обсуждение этой темы в сети уже спровоцировало волну критики в адрес Google, а проект окрестили «DRM для интернета». К примеру, разработчики, ИБ‑специалисты и простые пользователи отмечают, что проект Web Integrity API намеренно размещается на GitHub одного из разработчиков, а Google старается дистанцироваться от разработки, которая может отравить существующие веб‑стандарты, помогая компании сохранить рекламный бизнес.
Дискуссия на Issues-странице проекта на GitHub также касается преимущественно этических аспектов происходящего, а Google обвиняют в попытке стать монополистом в очередной области и «убить» блокировщики рекламы.
Павел Жовнер подтвердил разработку Flipper One
В этом месяце «Хакер» поговорил с одним из авторов «хакерского тамагочи» Flipper Zero Павлом Жовнером. В интервью Павел подтвердил, что работа над вторым и более продвинутым вариантом хакерского мультитула, Flipper One, уже ведется.
Исходно старшая модель «хакерского тамагочи» планировалась как более продвинутая версия Flipper, ориентированная на атаки на проводные и беспроводные сети. One должен был обладать всей функциональностью Zero, а также иметь отдельный ARM-компьютер с Kali Linuх на борту.
«Мы сейчас работаем над Flipper One, но пока не совсем понимаем, каким он должен быть. Мы хотим вообще жирный комбайн с FPGA и SDR, в котором все протоколы можно будет определить программно, но пока есть сомнения, будут ли покупать устройство за 300–500 долларов.
Так что проект в активном R&D, но пока нет понимания по важным частям. Например, не выбрали модуль Wi-Fi, потому что все существующие чипы, пригодные для атак, уже устарели. Возможно, придется спонсировать разработку своего драйвера. В общем, увидим», — сообщил Жовнер.
Сертификаты Let’s Encrypt перестанут работать в Android 7
Разработчики предупреждают, что с 8 февраля 2024 года сертификаты Let’s Encrypt перестанут работать в Android 7 и более старых версиях мобильной ОС.
Создатели Let’s Encrypt вернулись к проблеме старых Android-устройств, о которой впервые заговорили еще в 2020 году. Они напоминают, что после запуска сервиса им нужно было убедиться, что сертификаты Let’s Encrypt пользуются широким доверием. С этой целью была организована перекрестная подпись промежуточных сертификатов с IdenTrust DST Root X3. Это означало, что все сертификаты, выданные опосредованно, также будут доверенными, даже если собственный ISRG Root X1 компании таковым еще не был.
Проблемы начались, когда выяснилось, что в конце 2021 года истекает срок действия промежуточных сертификатов с перекрестными подписями, а также срок партнерства между Let’s Encrypt и организацией IdenTrust (и продлять его не планировалось).
Хотя современные браузеры на тот момент уже доверяли корневому сертификату Let’s Encrypt, более трети всех Android-устройств по‑прежнему работали под управлением старых версий ОС, которые могли внезапно перестать доверять сайтам, использующим сертификаты Let’s Encrypt.
В итоге предполагалось, что осенью 2021 года пользователи старых устройств начнут массово испытывать сложности с доступом к сайтам, а также получать сообщения об ошибках сертификатов. Тогда инженеры Let’s Encrypt подсчитали, что на таких пользователей приходится примерно 1–5% всего трафика.
Так как подобный глобальный сбой был недопустим, в компании решили проблему, организовав новую перекрестную подпись, которая должна была прослужить дольше самого DST Root CA X3. Эта временная мера позволила старым устройствам на базе Android продолжать доверять сертификатам компании еще три года. Однако срок вновь истекает 30 сентября 2024 года.
Как теперь пишут разработчики, за последние три года процент устройств на Android, которые доверяют ISRG Root X1, вырос с 66 до 93,9%. Ожидается, что этот процент еще увеличится в течение следующего года, особенно когда выйдет Android 14, где появится возможность обновить корневые сертификаты без полного обновления ОС.
Так как продолжать поддерживать совместимость больше не нужно (и это поможет компании значительно снизить операционные расходы), в Let’s Encrypt сообщают, что за период с 8 февраля 2024 года по 30 сентября 2024 года откажутся от старой перекрестной подписи. Из‑за этого у владельцев устройств, работающих под управлением Android 7 и более старых версий операционной системы, возникнут проблемы.
«Если вы используете Android 7.0 или более раннюю версию ОС, вам может потребоваться принять меры, чтобы обеспечить себе доступ к сайтам, защищенным сертификатами Let’s Encrypt. Мы рекомендуем установить и использовать Firefox Mobile, который использует собственное хранилище доверенных сертификатов вместо хранилища доверенных сертификатов ОС Android и, следовательно, доверяет ISRG Root X1», — пишут разработчики.
Владельцам сайтов, которые могут заметить падение трафика во втором и третьем кварталах 2024 года, рекомендуется дать своим посетителям такой же совет: использовать Firefox Mobile или обновить устройство.
Никто не любит голосовые сообщения
У Microsoft украли важный криптографический ключ
В середине июля 2023 года стало известно, что у компании Microsoft был похищен криптографический ключ MSA (Microsoft account consumer signing key), что привело к массовой атаке на Exchange Online и Azure Active Directory (AD) более 25 организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы.
Как оказалось, еще в середине мая злоумышленникам из китайской группировки Storm-0558 удалось получить доступ к учетным записям, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не были раскрыты. Известно лишь, что в числе пострадавших Госдеп и Министерство торговли США.
Как объясняли тогда в Microsoft, для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью криптографического ключа MSA, который применяется для подписания токенов. Из‑за 0-day-проблемы, связанной с валидацией в GetAccessTokenForResourceAPI, хакеры смогли подделать чужие подписанные токены Azure Active Directory (Azure AD или AAD) и выдать себя за своих жертв.
При этом в Microsoft до сих пор не объяснили, как именно такой важный ключ MSA вообще оказался в руках хакеров.
Более того, по данным аналитиков компании Wiz, специализирующейся на облачной безопасности, проблема куда серьезнее, чем ее преподносит Microsoft. Исследователи считают, что проблема затронула все приложения Azure AD, работающие с Microsoft OpenID v2.0. Дело в том, что украденный ключ мог подписать любой токен доступа OpenID v2.0 для личных учетных записей (например, Xbox, Skype) и мультитенантных приложений AAD при определенных условиях.
Хотя Microsoft заявляла, что пострадали только Exchange Online и Outlook, по мнению специалистов Wiz, хакеры могли использовать скомпрометированный ключ, чтобы выдать себя за любую учетную запись в любом пострадавшем клиентском или облачном приложении Microsoft. В их число входят managed-приложения Microsoft, такие как Outlook, SharePoint, OneDrive и Teams, а также клиентские приложения, поддерживающие аутентификацию Microsoft Account, включая те, которые позволяют использовать функциональность Login with Microsoft.
«Всё в экосистеме Microsoft использует для доступа токены аутентификации Azure Active Directory, — объясняют исследователи. — Злоумышленник с ключом подписи AAD — это самый сильный злоумышленник, которого только можно представить, поскольку он может получить доступ практически к любому приложению под видом любого пользователя. Это настоящая суперспособность — кибероборотень».
В ответ на эти обвинения исследователей в Microsoft подчеркнули, что компания отозвала все ключи MSA, чтобы гарантировать, что злоумышленники не имеют доступа к другим скомпрометированным ключам. Что полностью предотвращает любые попытки создания новых токенов. Также в компании говорят, что многие заявления экспертов Wiz «являются спекулятивными и не основаны на фактах».
Сообщается, что после аннулирования украденного ключа специалисты Microsoft не обнаружили дополнительных доказательств, указывающих на несанкционированный доступ к учетным записям клиентов с использованием того же метода подделки токенов. Кроме того, Microsoft отмечает, что тактика Storm-0558 изменилась и хакеры больше не имеют доступа к каким‑либо ключам подписи.
«На данном этапе трудно определить полные масштабы инцидента, поскольку потенциально уязвимыми были миллионы приложений (как приложений Microsoft, так и приложений клиентов) и в большинстве из них отсутствуют необходимые журналы, чтобы понять, были ли они скомпрометированы», — объясняют эксперты Wiz.
Дело в том, что до этого инцидента возможности ведения журналов были доступны только клиентам Microsoft, которые оплатили соответствующую лицензию Purview Audit (Premium). Из‑за этого Microsoft столкнулась с серьезной критикой со стороны ИБ‑сообщества, когда эксперты заявили, что, по сути, сама Microsoft мешала организациям оперативно обнаружить атаки Storm-0558.
В результате под давлением сообщества и Агентства по кибербезопасности и защите инфраструктуры США (CISA) компания согласилась бесплатно расширить доступ к данным облачных журналов, чтобы защитники могли обнаруживать подобные попытки взлома в будущем.
В 2,5 раза больше фишинга
WormGPT помогает устраивать фишинговые атаки
Специалисты SlashNext обратили внимание, что преступники все чаще используют генеративный ИИ в своих атаках. В частности, на хакерских форумах рекламируется инструмент WormGPT, который предлагается применять для организации фишинговых рассылок и компрометации деловой почты (business email compromise, BEC).
«Этот инструмент представляет собой blackhat-альтернативу известным моделям GPT, разработанную специально для вредоносных действий, — пишут исследователи. — Киберпреступники могут использовать эту технологию для автоматизированного создания очень убедительных фейковых писем, персонализированных для получателя, что увеличивает шансы на успех атаки».
WormGPT основан на языковой модели GPTJ, созданной в 2021 году. Он может похвастаться рядом функций, включая неограниченную поддержку символов, сохранение истории чатов и возможность форматирования кода. Авторы называют его «злейшим врагом ChatGPT», который позволяет совершать «всевозможные незаконные действия».
Также создатели инструмента утверждают, что он обучен на разных наборах данных, с упором на данные, связанные с вредоносными программами. Однако конкретные наборы данных, использованные для обучения, не раскрываются.
Получив доступ к WormGPT, эксперты провели собственные тесты. Так, в одном эксперименте они поручили WormGPT сгенерировать мошенническое письмо, которое должно вынудить ничего не подозревающего менеджера по работе с клиентами оплатить мошеннический счет.
В SlashNext говорят, что результаты оказались «тревожными»: WormGPT создал письмо, которое получилось весьма убедительным, что «демонстрирует потенциал для использования в изощренных фишинговых и BEC-атаках».
Созданное исследователями фишинговое письмо
«Генеративный ИИ может создавать электронные письма с безупречной грамматикой, повышая их [внешнюю] легитимность и снижая вероятность того, что они будут помечены как подозрительные, — пишут специалисты. — Использование генеративного ИИ значительно упрощает выполнение сложных BEC-атак. Даже злоумышленники с ограниченными навыками могут использовать эту технологию, что делает ее доступным инструментом для очень широкого круга киберпреступников».
Также исследователи отмечают тенденцию, о которой еще в начале года предупреждали их коллеги из компании Check Point: на хакерских форумах по‑прежнему активно обсуждаются различные «джейлбрейки» для ИИ типа ChatGPT.
Такие «джейлбрейки» представляют собой тщательно продуманные запросы, составленные особым образом. Они предназначены для манипулирования чат‑ботами с ИИ, чтобы генерировать ответы, которые могут содержать конфиденциальную информацию, нежелательный контент и даже вредоносный код.
Другие интересные события месяца
Исследователи выявили пять уязвимостей в стандарте TETRA (Terrestrial Trunked Radio), который используют правоохранительные органы, военные и операторы критической инфраструктуры по всему миру. Уязвимости получили общее название TETRA:BURST и позволяют расшифровывать данные в режиме реального времени. При этом эксперты считают, что обнаружили бэкдор, который, похоже, был создан намеренно.
Стандарт TETRA разработан Европейским институтом телекоммуникационных стандартов (ETSI) в 1995 году и с тех пор широко применяется более чем в 100 странах мира. Часто TETRA используется в качестве полицейской системы радиосвязи, а также для управления критическими системами, включая электрические сети, газопроводы и железные дороги. В России и в странах ЕС TETRA применяется в служебных и технологических сетях связи (речевой и для передачи данных) железнодорожного транспорта.
По информации издания Wired, TETRA используют как минимум двадцать критически важных инфраструктур в США. В их число входят электроэнергетические предприятия, пограничная служба, нефтеперерабатывающий завод, химические заводы, крупная система общественного транспорта, три международных аэропорта и учебная база армии США.
Проблемы были выявлены голландской компанией Midnight Blue еще в 2021 году, и на сегодняшний день нет доказательств того, что уязвимости использовались злоумышленниками.
В настоящее время для некоторых уязвимостей из списка TETRA:BURST уже выпущены исправления, и теперь исследователи смогли рассказать о багах публично. При этом не все проблемы в целом можно исправить с помощью патчей, и пока неясно, какие производители уже подготовили исправления для своих клиентов.
«В зависимости от конфигурации инфраструктуры и конкретных устройств, уязвимости позволяют выполнять расшифровку данных в реальном времени, атаки типа „сбор сейчас — расшифровка позже“, а также осуществлять инъекции сообщений, деанонимизацию пользователей и привязку сеансового ключа», — сообщают специалисты.
В основе TETRA лежит набор секретных проприетарных криптографических алгоритмов: набор TETRA Authentication Algorithm (TAA1), предназначенный для аутентификации и распределения ключей, а также набор TETRA Encryption Algorithm (TEA) для Air Interface Encryption (AIE).
В целом стандарт включает четыре алгоритма шифрования — TEA1, TEA2, TEA3 и TEA4, которые могут использоваться производителями в различных продуктах (в зависимости от их предназначения и заказчика). Так, TEA1 рекомендован для коммерческого использования и применяется в критической инфраструктуре ЕС и других стран мира, однако, согласно ETSI, он также ориентирован на использование службами общественной безопасности и военными. Сами исследователи обнаружили, что некоторые полицейские ведомства тоже полагаются на TEA1.
TEA2 предназначен для европейской полиции, служб экстренной помощи, военных и спецслужб. TEA3 доступен для полиции и служб экстренной помощи за пределами ЕС — в странах, считающихся «дружественными» по отношению к европейским, включая Мексику и Индию. «Недружественные» страны, например Иран, могут использовать только TEA1. Что касается TEA4, по словам исследователей, он почти нигде не применяется.
Все алгоритмы охраняются как коммерческая тайна и защищены строгими соглашениями о неразглашении.
Чтобы добраться до алгоритмов и изучить их, исследователи приобрели на eBay радиостанцию Motorola MTM5400 и потратили четыре месяца на поиск и извлечение алгоритмов из защищенного анклава в прошивке устройства. Им пришлось использовать ряд 0-day-эксплоитов, чтобы обойти защиту Motorola (компании сообщили о них и дали возможность исправить). В итоге в ходе реверс‑инжиниринга TAA1 и TEA исследователи выявили пять проблем, от незначительных до критических:
CVE-2022-24400 — ошибка в алгоритме аутентификации позволяет злоумышленникам установить для Derived Cypher Key (DCK) значение 0;
CVE-2022-24401 — генератор ключевых последовательностей Air Interface Encryption (AIE) использует сетевое время, которое передается открыто, без аутентификации, что допускает расшифровку и oracle-атаки;
CVE-2022-24402 — TEA1 имеет бэкдор, который сокращает исходный 80-битный ключ до таких размеров (32 бита — меньше половины длины ключа), что его можно за считаные минуты подобрать брутфорсом на обычном потребительском ноутбуке;
CVE-2022-24403 — криптографическая схема, используемая для обфускации радиоидентификаторов, позволяет злоумышленникам деанонимизировать и отслеживать пользователей;
CVE-2022-24404 — отсутствует ciphertext-аутентификация в AIE, что позволяет проводить так называемые атаки на гибкость (malleability attack).
Исследователи объясняют, что влияние перечисленных уязвимостей в значительной степени зависит от того, как TETRA используется, например от того, передаются ли этим способом голос или данные, а также какой именно криптографический алгоритм применен.
Серьезнее всех среди обнаруженных проблем CVE-2022-24401, которая может использоваться для раскрытия текстовых и голосовых сообщений или данных без ключа шифрования.
Вторая критическая уязвимость, CVE-2022-24402, обнаруженная в TEA1, позволяет злоумышленникам выполнять инжекты в трафик, который используется для мониторинга и контроля промышленного оборудования.
По словам экспертов, расшифровка трафика и инъекции вредоносного трафика могут позволить злоумышленниками совершать различные опасные действия, включая размыкание автоматических выключателей на электрических подстанциях, что, например, может привести к отключению электроэнергии, как происходило во время атак малвари Industroyer.
«Уязвимость в TEA1 (CVE-2022-24402), очевидно, является результатом преднамеренного ослабления», — утверждают специалисты Midnight Blue. По их словам, эффективная энтропия ключа уменьшена намеренно и, судя по всему, речь идет о самом настоящем бэкдоре.
В ответ на эти обвинения в ETSI заявили, что «стандарты безопасности TETRA были определены совместно с национальными службами безопасности, разработаны в соответствии с правилами экспортного контроля и подпадают под их действие, что определяет стойкость шифрования». В Европейском институте телекоммуникационных стандартов отметили, что в 1995 году 32-битный ключ обеспечивал должную безопасность, однако его надежность ослабили доступные теперь вычислительные мощности.
Исследователи Midnight Blue планируют представить свои выводы в следующем месяце на конференции Black Hat в Лас‑Вегасе, после чего будет опубликован детальный технический анализ и секретные алгоритмы шифрования TETRA, которые раньше были недоступны широкой общественности. Специалисты надеются, что их коллеги, обладающие большим опытом, смогут изучать алгоритмы и, вероятно, выявить другие проблемы TETRA.
Трафик ChatGPT снижается
- По данным аналитиков Similarweb, эффект новизны прошел и трафик ChatGPT впервые стал демонстрировать снижение. Так, в июне 2023 года трафик чат‑бота сократился на 9,7% по сравнению с маем текущего года.
- Также на 8,5% сократилось количество времени, которое посетители проводят на сайте. Вместе с вовлеченностью падает и количество уникальных посетителей, которое в июне «просело» на 5,7%. Однако отмечается, что ChatGPT по‑прежнему привлекает больше посетителей, чем bing.com или Character.AI.
Илья Сачков приговорен к 14 годам тюрьмы
Основатель и бывший глава компании Group-IB Илья Сачков приговорен к 14 годам колонии строгого режима и штрафу в 500 тысяч рублей по делу о госизмене (ст. 275 УК РФ). Свою вину Сачков не признает, его защитники заявили о намерении обжаловать приговор и обратиться к президенту РФ.
26 июля 2023 года Московский городской суд вынес обвинительный приговор основателю компании Group-IB (теперь FACCT). Дело рассматривалось в закрытом режиме тройкой судей, и, в чем именно суд признал Сачкова виновным, неизвестно, так как дела по госизмене засекречены. Согласно решению суда, один день в СИЗО будет зачтен за один день срока в колонии.
Напомним, что Илья Сачков был арестован в сентябре 2021 года по подозрению в госизмене, а в офисах Group-IB тогда прошли обыски. С этого момента он находился под следствием в СИЗО «Лефортово».
Как теперь сообщают СМИ, сторона обвинения запрашивала для Сачкова 18 лет колонии, и 24 июня в Telegram-канале Сачкова появился комментарий о запрошенном прокуратурой сроке заключения:
«Эта цифра не мешает мне с улыбкой, достоинством и четким холоднокровным профессионализмом делать, что должно. Я всю жизнь работаю с цифрами, числами, кодами, и ни одна из них меня в ступор не вводила. <...> Если будет обвинительный приговор, это будет одна из самых успешных операций американских спецслужб и очередной спланированный удар по российскому IT-сектору».
Представители компании FACCT уже опубликовали официальное заявление о вынесенном Сачкову приговоре. В компании отметили, что сотрудники стойко восприняли случившееся, они продолжают поддерживать Илью и надеются, что он выйдет на свободу и будет реабилитирован, «как это неоднократно происходило в истории».
«Это тяжелый момент для всех нас и черный день для рынка кибербезопасности. Илья Сачков, мой друг, коллега, создатель одной из самых успешных высокотехнологичных компаний в сфере кибербезопасности — в результате „скорого суда“ отправлен в колонию. Илья — культовая фигура в мире кибербезопасности. Выбрав делом своей жизни создание инженерных технологий мирового класса для противодействия киберпреступности, он многое сделал, чтобы очистить российское и международное киберпространство от криминала. И я уверен, сделал бы намного больше, тем более сейчас, когда на кону — кибербезопасность государства, а масштаб и частота кибератак растут с каждым месяцем. Потенциал Ильи как человека, как личности, как профессионала огромен. Он создал отечественные конкурентоспособные экспортные технологии, они успешны и признаны во всем мире. Как Илья лично, так и компания имеют множество наград и благодарственных писем от правоохранительных органов. Его изоляция — это потеря для всего ИТ‑рынка, и вместе с тем, вероятно, она обрадует тех, с кем он боролся, — реальных киберпреступников. Но мы продолжим его дело и, как прежде, будем разрабатывать решения для информационной безопасности, опережающие время, следовать нашей миссии и защищать как компании, так и всех пользователей. Делаем», — говорит Валерий Баулин, генеральный директор компании FAССT.
В компании сообщают, что несмотря на заключение под стражу, Сачков продолжает работать над проектами и технологиями кибербезопасности, и, по его словам, он продолжит эту работу, где бы ни находился.
Также подчеркивается, что все подразделения FACCT работают в штатном режиме, и компания благодарит клиентов, партнеров, представителей комьюнити по кибербезопасности и журналистов за слова поддержки.
Аппетиты вымогателей растут
- Специалисты Chainalysis подсчитали, что вымогательство стало единственной категорией криптовалютных преступлений, в которой в этом году наблюдается рост. Так, в 2023 году хакеры вымогали у своих жертв на 175,8 миллиона долларов больше, чем год назад.
- Только за июнь 2023 года хакеры потребовали у жертв 449,1 миллиона долларов. Если такие темпы сохранятся, злоумышленники суммарно затребуют у своих жертв около 898,6 миллиона долларов в 2023 году, уступая лишь рекордным 939,9 миллиона долларов в 2021 году.
- Движущей силой этого резкого роста доходов вымогателей считают так называемую «охоту на крупную дичь», поскольку киберпреступники сосредоточились на атаках на крупные организации, у которых можно требовать большие суммы денег.
- Эта тенденция отчетливо видна на графике распределения вымогательских платежей, который демонстрирует заметный рост крупных выкупов.
- Лидерами в списке получателей крупных платежей стали группировки BlackBasta, ALPHV/Blackcat и Clop.
- Средний размер выкупа Clop составляет 1,7 миллиона долларов, а медианный — 1,9 миллиона долларов.
Google создает «DRM для интернета»
Команда из четырех инженеров Google работает над новым веб-API под названием Web Environment Integrity, который позволит сайтам блокировать клиентские приложения, изменяющие их код. Плюсы с точки зрения безопасности очевидны, но, помимо того, новый API фактически поможет Google и операторам сайтов эффективно бороться с блокировщиками рекламы.
Основная цель проекта — узнать больше о человеке по ту сторону браузера, удостовериться, что он не робот, а браузер не был модифицирован или подделан каким‑либо образом.
Разработчики заявляют, что такие данные будут полезны рекламодателям для подсчета показов рекламы, помогут бороться с ботами в социальных сетях, защитят права на интеллектуальную собственность, будут противостоять читерству в веб‑играх, а также повысят безопасность финансовых транзакций.
То есть, на первый взгляд, Web Environment Integrity API разрабатывается как защитное решение, чтобы сайты могли обнаруживать вредоносные модификации кода на стороне клиента и отключать вредоносных клиентов.
При этом авторы Web Integrity API пишут, что вдохновлялись «существующими нативными сигналами аттестации, включая Apple App Attest и Android Play Integrity API».
Здесь стоит пояснить, что Play Integrity (ранее SafetyNet) представляет собой API для Android, позволяющий приложениям выяснить, было ли устройство рутировано. Root-доступ позволяет получить полный контроль над устройством, и многим разработчикам приложений такое не нравится. Поэтому после получения соответствующего сигнала от Android Integrity API некоторые типы приложений могут просто отказаться запускаться.
Как правило, в таких случаях отказываются работать банковские приложения, Google Wallet, онлайн‑игры, Snapchat, а также некоторые мультимедийные приложения (например, Netflix). Ведь считается, что root-доступ может использоваться для читерства в играх или фишинга банковских данных. Хотя root-доступ также может понадобиться для настройки устройства, удаления вредоносного ПО или создания системы резервного копирования, Play Integrity такие варианты применения не рассматривает и в любом случае блокирует доступ.
Как теперь предполагают ИБ‑специалисты, Google стремится реализовать то же самое в масштабах всего интернета.
По замыслу Google, в ходе транзакции веб‑страницы сервер может потребовать от пользователя пройти тест environment attestation, прежде чем тот получит какие‑либо данные. В этот момент браузер свяжется со сторонним сервером аттестации, и пользователь должен будет пройти определенный тест. Если проверка пройдена, пользователь получает подписанный Integrity Token, который подтверждает целостность его среды и указывает на контент, который нужно разблокировать. Затем токен передается обратно на сервер, и если сервер доверяет компании‑аттестатору, то контент разблокируется, а человек наконец получит доступ к нужным данным.
Как теперь опасаются многие, если браузером в таком примере будет выступать Chrome и сервер аттестации тоже будет принадлежать Google, то именно Google будет решать, предоставить или не предоставить человеку доступ к сайтам.
При этом в компании уверяют, что Google не собирается использовать описанную функциональность во вред. Так, создатели Web Integrity API «твердо уверены», что их API не должен использоваться для фингерпринтинга людей, хотя вместе с этим они хотят получить «некий индикатор, позволяющий ограничить скорость по отношению к физическому устройству».
Также заявлено, что компания не хочет «вмешиваться в функциональность браузера, включая плагины и расширения». Таким образом разработчики дают понять, что якобы не собираются бороться с блокировщиками рекламы, хотя в компании много лет работают над скандальным Manifest V3, чья цель состоит именно в этом. А новый API можно использовать для обнаружения того, что блокировщик рекламы вмешивается в рекламный код. После этого оператор сайта будет волен попросту прекратить предоставление услуг.
Обсуждение этой темы в сети уже спровоцировало волну критики в адрес Google, а проект окрестили «DRM для интернета». К примеру, разработчики, ИБ‑специалисты и простые пользователи отмечают, что проект Web Integrity API намеренно размещается на GitHub одного из разработчиков, а Google старается дистанцироваться от разработки, которая может отравить существующие веб‑стандарты, помогая компании сохранить рекламный бизнес.
Дискуссия на Issues-странице проекта на GitHub также касается преимущественно этических аспектов происходящего, а Google обвиняют в попытке стать монополистом в очередной области и «убить» блокировщики рекламы.
Павел Жовнер подтвердил разработку Flipper One
В этом месяце «Хакер» поговорил с одним из авторов «хакерского тамагочи» Flipper Zero Павлом Жовнером. В интервью Павел подтвердил, что работа над вторым и более продвинутым вариантом хакерского мультитула, Flipper One, уже ведется.
Исходно старшая модель «хакерского тамагочи» планировалась как более продвинутая версия Flipper, ориентированная на атаки на проводные и беспроводные сети. One должен был обладать всей функциональностью Zero, а также иметь отдельный ARM-компьютер с Kali Linuх на борту.
«Мы сейчас работаем над Flipper One, но пока не совсем понимаем, каким он должен быть. Мы хотим вообще жирный комбайн с FPGA и SDR, в котором все протоколы можно будет определить программно, но пока есть сомнения, будут ли покупать устройство за 300–500 долларов.
Так что проект в активном R&D, но пока нет понимания по важным частям. Например, не выбрали модуль Wi-Fi, потому что все существующие чипы, пригодные для атак, уже устарели. Возможно, придется спонсировать разработку своего драйвера. В общем, увидим», — сообщил Жовнер.
Сертификаты Let’s Encrypt перестанут работать в Android 7
Разработчики предупреждают, что с 8 февраля 2024 года сертификаты Let’s Encrypt перестанут работать в Android 7 и более старых версиях мобильной ОС.
Создатели Let’s Encrypt вернулись к проблеме старых Android-устройств, о которой впервые заговорили еще в 2020 году. Они напоминают, что после запуска сервиса им нужно было убедиться, что сертификаты Let’s Encrypt пользуются широким доверием. С этой целью была организована перекрестная подпись промежуточных сертификатов с IdenTrust DST Root X3. Это означало, что все сертификаты, выданные опосредованно, также будут доверенными, даже если собственный ISRG Root X1 компании таковым еще не был.
Проблемы начались, когда выяснилось, что в конце 2021 года истекает срок действия промежуточных сертификатов с перекрестными подписями, а также срок партнерства между Let’s Encrypt и организацией IdenTrust (и продлять его не планировалось).
Хотя современные браузеры на тот момент уже доверяли корневому сертификату Let’s Encrypt, более трети всех Android-устройств по‑прежнему работали под управлением старых версий ОС, которые могли внезапно перестать доверять сайтам, использующим сертификаты Let’s Encrypt.
В итоге предполагалось, что осенью 2021 года пользователи старых устройств начнут массово испытывать сложности с доступом к сайтам, а также получать сообщения об ошибках сертификатов. Тогда инженеры Let’s Encrypt подсчитали, что на таких пользователей приходится примерно 1–5% всего трафика.
Так как подобный глобальный сбой был недопустим, в компании решили проблему, организовав новую перекрестную подпись, которая должна была прослужить дольше самого DST Root CA X3. Эта временная мера позволила старым устройствам на базе Android продолжать доверять сертификатам компании еще три года. Однако срок вновь истекает 30 сентября 2024 года.
Как теперь пишут разработчики, за последние три года процент устройств на Android, которые доверяют ISRG Root X1, вырос с 66 до 93,9%. Ожидается, что этот процент еще увеличится в течение следующего года, особенно когда выйдет Android 14, где появится возможность обновить корневые сертификаты без полного обновления ОС.
Так как продолжать поддерживать совместимость больше не нужно (и это поможет компании значительно снизить операционные расходы), в Let’s Encrypt сообщают, что за период с 8 февраля 2024 года по 30 сентября 2024 года откажутся от старой перекрестной подписи. Из‑за этого у владельцев устройств, работающих под управлением Android 7 и более старых версий операционной системы, возникнут проблемы.
«Если вы используете Android 7.0 или более раннюю версию ОС, вам может потребоваться принять меры, чтобы обеспечить себе доступ к сайтам, защищенным сертификатами Let’s Encrypt. Мы рекомендуем установить и использовать Firefox Mobile, который использует собственное хранилище доверенных сертификатов вместо хранилища доверенных сертификатов ОС Android и, следовательно, доверяет ISRG Root X1», — пишут разработчики.
Владельцам сайтов, которые могут заметить падение трафика во втором и третьем кварталах 2024 года, рекомендуется дать своим посетителям такой же совет: использовать Firefox Mobile или обновить устройство.
Никто не любит голосовые сообщения
- По результатам исследования «Лаборатории Касперского», около половины опрошенных российских пользователей (56%) в принципе не готовы часто отвечать на голосовые сообщения. Еще 64% респондентов нормально относятся к таким сообщениям только в том случае, если они пришли от друзей или родственников.
79% пользователей считают, что в публичных местах слушать голосовые сообщения некомфортно, а 50% — что информацию из них трудно запоминать или перепроверять.
У Microsoft украли важный криптографический ключ
В середине июля 2023 года стало известно, что у компании Microsoft был похищен криптографический ключ MSA (Microsoft account consumer signing key), что привело к массовой атаке на Exchange Online и Azure Active Directory (AD) более 25 организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы.
Как оказалось, еще в середине мая злоумышленникам из китайской группировки Storm-0558 удалось получить доступ к учетным записям, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений не были раскрыты. Известно лишь, что в числе пострадавших Госдеп и Министерство торговли США.
Как объясняли тогда в Microsoft, для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью криптографического ключа MSA, который применяется для подписания токенов. Из‑за 0-day-проблемы, связанной с валидацией в GetAccessTokenForResourceAPI, хакеры смогли подделать чужие подписанные токены Azure Active Directory (Azure AD или AAD) и выдать себя за своих жертв.
При этом в Microsoft до сих пор не объяснили, как именно такой важный ключ MSA вообще оказался в руках хакеров.
Более того, по данным аналитиков компании Wiz, специализирующейся на облачной безопасности, проблема куда серьезнее, чем ее преподносит Microsoft. Исследователи считают, что проблема затронула все приложения Azure AD, работающие с Microsoft OpenID v2.0. Дело в том, что украденный ключ мог подписать любой токен доступа OpenID v2.0 для личных учетных записей (например, Xbox, Skype) и мультитенантных приложений AAD при определенных условиях.
Хотя Microsoft заявляла, что пострадали только Exchange Online и Outlook, по мнению специалистов Wiz, хакеры могли использовать скомпрометированный ключ, чтобы выдать себя за любую учетную запись в любом пострадавшем клиентском или облачном приложении Microsoft. В их число входят managed-приложения Microsoft, такие как Outlook, SharePoint, OneDrive и Teams, а также клиентские приложения, поддерживающие аутентификацию Microsoft Account, включая те, которые позволяют использовать функциональность Login with Microsoft.
«Всё в экосистеме Microsoft использует для доступа токены аутентификации Azure Active Directory, — объясняют исследователи. — Злоумышленник с ключом подписи AAD — это самый сильный злоумышленник, которого только можно представить, поскольку он может получить доступ практически к любому приложению под видом любого пользователя. Это настоящая суперспособность — кибероборотень».
В ответ на эти обвинения исследователей в Microsoft подчеркнули, что компания отозвала все ключи MSA, чтобы гарантировать, что злоумышленники не имеют доступа к другим скомпрометированным ключам. Что полностью предотвращает любые попытки создания новых токенов. Также в компании говорят, что многие заявления экспертов Wiz «являются спекулятивными и не основаны на фактах».
Сообщается, что после аннулирования украденного ключа специалисты Microsoft не обнаружили дополнительных доказательств, указывающих на несанкционированный доступ к учетным записям клиентов с использованием того же метода подделки токенов. Кроме того, Microsoft отмечает, что тактика Storm-0558 изменилась и хакеры больше не имеют доступа к каким‑либо ключам подписи.
«На данном этапе трудно определить полные масштабы инцидента, поскольку потенциально уязвимыми были миллионы приложений (как приложений Microsoft, так и приложений клиентов) и в большинстве из них отсутствуют необходимые журналы, чтобы понять, были ли они скомпрометированы», — объясняют эксперты Wiz.
Дело в том, что до этого инцидента возможности ведения журналов были доступны только клиентам Microsoft, которые оплатили соответствующую лицензию Purview Audit (Premium). Из‑за этого Microsoft столкнулась с серьезной критикой со стороны ИБ‑сообщества, когда эксперты заявили, что, по сути, сама Microsoft мешала организациям оперативно обнаружить атаки Storm-0558.
В результате под давлением сообщества и Агентства по кибербезопасности и защите инфраструктуры США (CISA) компания согласилась бесплатно расширить доступ к данным облачных журналов, чтобы защитники могли обнаруживать подобные попытки взлома в будущем.
В 2,5 раза больше фишинга
- За первые шесть месяцев 2023 года общее количество фишинговых писем, которые злоумышленники отправляют на корпоративные почты российским компаниям, выросло в 2,5 раза, предупредили эксперты сервиса защиты корпоративной электронной почты BI.ZONE. За указанный период специалисты сервиса заблокировали более 120 миллионов потенциально опасных писем.
- Средняя доля нежелательных писем, отправленных российским компаниям, составляет 75% от общего числа. Так, из 250 писем, отправленных по электронной почте, хотя бы одно оказывается фишинговым.
WormGPT помогает устраивать фишинговые атаки
Специалисты SlashNext обратили внимание, что преступники все чаще используют генеративный ИИ в своих атаках. В частности, на хакерских форумах рекламируется инструмент WormGPT, который предлагается применять для организации фишинговых рассылок и компрометации деловой почты (business email compromise, BEC).
«Этот инструмент представляет собой blackhat-альтернативу известным моделям GPT, разработанную специально для вредоносных действий, — пишут исследователи. — Киберпреступники могут использовать эту технологию для автоматизированного создания очень убедительных фейковых писем, персонализированных для получателя, что увеличивает шансы на успех атаки».
WormGPT основан на языковой модели GPTJ, созданной в 2021 году. Он может похвастаться рядом функций, включая неограниченную поддержку символов, сохранение истории чатов и возможность форматирования кода. Авторы называют его «злейшим врагом ChatGPT», который позволяет совершать «всевозможные незаконные действия».
Также создатели инструмента утверждают, что он обучен на разных наборах данных, с упором на данные, связанные с вредоносными программами. Однако конкретные наборы данных, использованные для обучения, не раскрываются.
Получив доступ к WormGPT, эксперты провели собственные тесты. Так, в одном эксперименте они поручили WormGPT сгенерировать мошенническое письмо, которое должно вынудить ничего не подозревающего менеджера по работе с клиентами оплатить мошеннический счет.
В SlashNext говорят, что результаты оказались «тревожными»: WormGPT создал письмо, которое получилось весьма убедительным, что «демонстрирует потенциал для использования в изощренных фишинговых и BEC-атаках».
«Генеративный ИИ может создавать электронные письма с безупречной грамматикой, повышая их [внешнюю] легитимность и снижая вероятность того, что они будут помечены как подозрительные, — пишут специалисты. — Использование генеративного ИИ значительно упрощает выполнение сложных BEC-атак. Даже злоумышленники с ограниченными навыками могут использовать эту технологию, что делает ее доступным инструментом для очень широкого круга киберпреступников».
Также исследователи отмечают тенденцию, о которой еще в начале года предупреждали их коллеги из компании Check Point: на хакерских форумах по‑прежнему активно обсуждаются различные «джейлбрейки» для ИИ типа ChatGPT.
Такие «джейлбрейки» представляют собой тщательно продуманные запросы, составленные особым образом. Они предназначены для манипулирования чат‑ботами с ИИ, чтобы генерировать ответы, которые могут содержать конфиденциальную информацию, нежелательный контент и даже вредоносный код.
Другие интересные события месяца
- Инструмент Snappy поможет обнаружить мошеннические точки доступа Wi-Fi
- Rowhammer-атаку предложили использовать для фингерпринтинга устройств
- Почти 40% установок Ubuntu уязвимы перед новыми уязвимостями повышения привилегий
- Для регистрации на российских сайтах может потребоваться российский email-адрес
- Firefox будет блокировать работу аддонов на некоторых сайтах ради безопасности
- Энтузиасты запустили сайт для обновления старых версий Windows, включая 95, 98, NT 4.0, ME
- Microsoft отозвала сертификаты, которыми подписали более 100 вредоносных драйверов ядра
- Исходники UEFI-буткита BlackLotus опубликовали на GitHub
- Атака Zenbleed раскрывает конфиденциальные данные на процессорах AMD Zen2
- Google создает red team для атак на ИИ‑системы
