W tym tygodniu nie wydarzyło się jedno wielkie wydarzenie. Zamiast tego, obserwujemy kierunki, w jakich rozwijają się technologie. Systemy sieciowe, chmury, narzędzia AI oraz aplikacje powszechnego użytku są rozwijane na różne sposoby. Małe luki w kontroli dostępu, wystawione klucze oraz typowe funkcje są wykorzystywane jako punkty wejścia do systemów.
Pełen obraz staje się jasny dopiero wtedy, gdy spojrzy się na wszystkie te kwestie razem. Szybsze skanowanie, inteligentniejsze wykorzystanie zaufanych usług oraz stałe celowanie w sektory wysokiej wartości tworzą dokładniejszy kontekst. Analizując te historie, uzyskujemy lepszy pogląd na to, jak dzisiejszy krajobraz zagrożeń ewoluuje.
⚡ Zagrożenie tygodnia
Wykorzystywanie zero-day w Cisco SD-WAN — Odkryto krytyczną lukę w zabezpieczeniach kontrolera Cisco Catalyst SD-WAN (wcześniej znany jako vSmart) i menedżera Catalyst SD-WAN (wcześniej vManage), który jest obecnie aktywnie wykorzystywany w atakach złośliwych, datowanych na 2023 rok. Wrażliwość, oznaczona jako CVE-2026-20127 (wynik CVSS: 10.0), umożliwia nieautoryzowanemu zdalnemu atakującemu obejście uwierzytelnienia i uzyskanie uprawnień administracyjnych poprzez wysłanie odpowiednio skonstruowanego zapytania. Cisco podziękowało Australijskiemu Centrum Cybernetycznemu (ASD-ACSC) za zgłoszenie tej luki. Producent sprzętu networkingowego monitoruje eksploatację oraz działania po naruszeniu pod nazwą UAT-8616, określając tę grupę jako „wysoce wyrafinowanego aktora zagrożeń cybernetycznych.”
🔔 Najważniejsze wiadomości
Anthropic oskarża trzy chińskie firmy o ataki destylacyjne — Firma Anthropic oskarżyła trzy chińskie firmy zajmujące się AI o prowadzenie zorganizowanych kampanii „destylacji na dużą skalę” w celu wykradania informacji z jej modelu. To kolejna amerykańska firma technologiczna, która zgłasza takie roszczenia po podobnych skargach zgłoszonych przez OpenAI. DeepSeek, Moonshot AI i MiniMax miały zalewać model Claude dużymi ilościami specjalnie opracowanych zapytań, aby uzyskać odpowiedzi do treningu swoich własnych modeli. W zeszłym miesiącu OpenAI wysłało otwarty list do amerykańskich ustawodawców, informując o działalności „wskazującej na trwałe próby DeepSeek w destylacji modeli nowej generacji OpenAI i innych amerykańskich laboratoriów, w tym przy użyciu nowych, ukrytych metod.” To ujawnienie wznowiło debatę na temat źródeł danych do treningu i technik destylacji, z krytykami zarzucającymi firmie wykorzystanie materiałów chronionych prawem autorskim bez zezwolenia. „Anthropic dopuszcza się kradzieży danych treningowych na wielką skalę i musiała zapłacić wielomiliardowe odszkodowania za swoje kradzieże,” powiedział Elon Musk, CEO xAI.
Google przerywa kampanię GRIDTIDE związana z UNC2814 — Google ujawniło, że współpracowało z innymi firmami w celu zakłócenia infrastruktury podejrzewanej grupy cyber szpiegowskiej związanej z Chinami, oznaczonej jako UNC2814, która naruszyła co najmniej 53 organizacje w 42 krajach. Gigant technologiczny opisał UNC2814 jako powszechnego, elusywnego aktora z historią atakowania rządów międzynarodowych i organizacji telekomunikacyjnych na całym świecie. Kluczowym elementem operacji hakerskiej jest nowy backdoor o nazwie GRIDTIDE, który wykorzystuje API Google Sheets jako kanał komunikacyjny, aby zatuszować ruch C2 i umożliwić transfer surowych danych oraz komend shellowych. Chińskie grupy cyber szpiegowskie konsekwentnie priorytetowo traktują sektor telekomunikacyjny jako cel, ze względu na dostęp, jaki ich sieci mają do wrażliwych danych oraz infrastruktury do legalnego podsłuchiwania.
📰 Co nowego w cyberprzestrzeni
Grupa UNC6384 wprowadza nową wersję PlugX — IIJ-SECT i LAB52 szczegółowo opisały nową aktywność chińskiej grupy cyber szpiegowskiej UNC6384. Ataki podążają za znanym schematem działania, wykorzystując STATICPLUGIN, cyfrowo podpisanego downloadera, do dostarczania zaktualizowanych wersji PlugX za pomocą techniki DLL side-loading. Złośliwe ładunki są dystrybuowane poprzez phishingowe e-maile z zaproszeniami na spotkania lub fałszywe aktualizacje oprogramowania.
OpenAI podejmuje działania wobec kont ChatGPT wykorzystywanych do szkodliwych celów — OpenAI ogłosiło, że usunęło konta ChatGPT, które były używane do operacji wpływów, phishingu oraz rozwoju złośliwego oprogramowania. W tym przypadku pojawia się możliwa operacja wywiadowcza związana z Chinami, w której osoba związana z chińskim wymiarem sprawiedliwości używała tego narzędzia do potajemnych działań wpływowych przeciwko krajowym i zagranicznym przeciwnikom. Firma również działała przeciwko grupom prowadzącym rozpoznanie na temat osób z USA oraz lokalizacji budynków federalnych, oszustw romantycznych w internecie i rosyjskich operacji wpływu w Afryce, generując publikacje na mediach społecznościowych oraz artykuły komentacyjne w dłuższej formie.
Podsumowując, te incydenty, gdy są postrzegane indywidualnie, mogą wydawać się zawężone. Jednak spojrzenie na nie zbiorczo ujawnia, jak ryzyko rozlewa się wzdłuż połączonych systemów, z których organizacje korzystają na co dzień. Infrastruktura, platformy AI, usługi w chmurze oraz narzędzia firm trzecich są głęboko powiązane, a napięcia w jednej dziedzinie często ujawniają problemy w innej. Choć nie ma powodów do paniki, ważne jest śledzenie tych zmian, aby lepiej zrozumieć, w jakim kierunku zmienia się szersze otoczenie zagrożeń.
