Breach FM - der Infosec Podcast

Robert Wortmann, Max Imbiel

Breach FM taucht tief in die Welt der Cybersicherheit, digitalen Konflikte und ihrer explosiven geopolitischen Folgen ein. Moderiert von Robert Wortmann und Max Imbiel, nimmt der Podcast aktuelle Bedrohungen, innovative Technologien und clevere Strategien unter die Lupe. Mit hochkarätigen Gästen aus Forschung, Industrie und Politik werden brisante Themen wie staatliche Cyberangriffe, Krisenmanagement und die Schattenseiten der Cyberkriminalität aufgedeckt. Spannend, praxisnah und voller wertvoller Perspektiven – hier wird die digitale Frontlinie hörbar.

  1. Flurfunk - Microsoft Copilot Flex-Routing, OpenAI Cybersecurity Action Plan, fast16 & Trellix-Breach

    VOR 16 STD.

    Flurfunk - Microsoft Copilot Flex-Routing, OpenAI Cybersecurity Action Plan, fast16 & Trellix-Breach

    In der neuen Folge von Breach FM übernehme ich ausnahmsweise das Microsoft-Bashing, weil Max diese Woche höflich darum gebeten hat. Es geht um Microsoft 365 Copilot Flex-Routing: Bei hoher Auslastung europäischer Rechenzentren kann die Inferenz, also die Verarbeitung von Prompts inklusive Kontext aus Mails, Teams-Chats und Dokumenten, in die USA, Kanada oder Australien ausgelagert werden. Microsoft nennt es ein Feature, ich nenne es ein Kapazitäts- oder Kostenproblem mit einem schönen Namen. Admins können Flex-Routing deaktivieren, aber bei neuen Tenants ist es standardmäßig aktiv. Schaut nach, ob das bei euch so ist. Dann bringt Max den OpenAI Cybersecurity Action Plan, veröffentlicht kurz vor dem 1. Mai. Angekündigt wird ChatGPT 5.5 Cybersecurity, ein Modell, das explizit auf Security-Anwendungsfälle ausgerichtet ist und breiter ausgerollt werden soll als Anthropics Claude Mythos. Der Plan liest sich teilweise wie eine direkte Antwort auf Project Glasswing: Demokratisierung von Cyber Defense statt selektiver Partner-Zugänge. Ob das Modell technisch mithalten kann, weiß niemand. Dass OpenAI gerade wieder sinnvollere Sachen produziert, lässt sich schwer leugnen. Dann ein Stück Cyber-Geschichte: SentinelOne-Forscher Vitaly Kamluk und Juan Andrés Guerrero-Saade haben fast16 auf der Black Hat Asia vorgestellt, ein mutmaßlich staatlich entwickeltes Sabotage-Framework aus dem Jahr 2005, das im Shadow-Brokers-Leak von 2016 unter dem Hinweis "nothing to see here, carry on" auftauchte. Fast16 ist damit fünf Jahre älter als Stuxnet und funktionierte grundlegend anders: statt zu zerstören, hat es winzige, systematische Fehler in Präzisionsberechnungen eingeführt. Zielplattformen waren Simulationssoftware wie LS-DYNA 970, PKPM und MOHID, mutmaßlich im Kontext iranischer Nuklearforschung. Ein Verifikationsmechanismus verhinderte dabei, dass unabhängige Berechnungen auf anderen Rechnern den Sabotage-Fehler aufdeckten. Zum Abschluss eine kurze Meldung von Max: Trellix hat einen unautorisierten Zugriff auf Teile seines Source-Code-Repositories bestätigt. Das Statement auf ihrer Website ist kaum länger als vier Sätze. Kein Nachweis für manipulierten Code, aber Trellix-Kunden sollten die Newslage im Auge behalten. Microsoft Copilot sendet mit Flex Routing Daten aus EU heraus https://borncity.com/blog/2026/04/10/microsoft-copilot-sendet-mit-flex-routing-daten-aus-eu-heraus/ OpenAI - Cybersecurity in the Intelligence Age https://openai.com/index/cybersecurity-in-the-intelligence-age/ fast16 | Mystery ShadowBrokers Reference Reveals High-Precision Software Sabotage 5 Years Before Stuxnet https://www.sentinelone.com/labs/fast16-mystery-shadowbrokers-reference-reveals-high-precision-software-sabotage-5-years-before-stuxnet/ Newly Deciphered Sabotage Malware May Have Targeted Iran’s Nuclear Program—and Predates Stuxnet https://www.wired.com/story/fast16-malware-stuxnet-precursor-iran-nuclear-attack/ Important Update From Trellix https://www.trellix.com/statement/

    47 Min.
  2. Flurfunk - Kyber Ransomware, BKA-Hotline im Praxistest & Signal-Phishing

    29. APR.

    Flurfunk - Kyber Ransomware, BKA-Hotline im Praxistest & Signal-Phishing

    Eine kürzere Folge diesmal: Max aus London, ich aus Nürnberg, beide etwas zerstört vom Wochenende. Erstes Thema: Die Ransomware-Gruppe Kyber, aktiv seit September 2025 und analysiert von Rapid7, bewirbt sich als erste bestätigte Gruppe mit Quantum-Safe-Verschlüsselung. Was steckt dahinter? Dateien werden mit AES-256 verschlüsselt, was ohnehin als quantensicher gilt. Zusätzlich wird der AES-Schlüssel mit ML-KEM1024 verschlüsselt. Praktischer Vorteil heute: keiner. Quantencomputer, die klassische Verschlüsselung knacken könnten, sind mindestens drei Jahre entfernt. Die Windows-Variante setzt ML-KEM tatsächlich um, die ESXi-Variante behauptet es nur und nutzt in Wirklichkeit RSA-4096. Es ist primär ein Marketing-Move für nicht-technische Entscheidungsträger. Interessant zu beobachten, aber kein Grund zur Panik. Dann berichtet Max von einem Praxistest bei einer Übung: dem echten Anruf bei der BKA-Ransomware-Hotline. Kurzfazit: ruhig, strukturiert, hilfreich. Der Kollege am Telefon hat in zehn Minuten die wichtigsten Punkte abgefragt und direkt auf Cyberversicherung und Incident Response hingewiesen. Für alle, die sich das nie getraut hätten: einfach die 3 drücken. Zum Abschluss kurz Signal: Bundestagspräsidentin Julia Klöckner ist auf klassisches Signal-Phishing hereingefallen. Kein Hack, keine gebrochene Verschlüsselung, sondern gefälschter Signal-Support, der Zugangsdaten abgefragt hat. Mindestens 300 Betroffene, BSI und Verfassungsschutz haben Warnungen rausgegeben. Signal Support meldet sich nie in der App und fragt nie nach Zugangsdaten. In a first, a ransomware family is confirmed to be quantum-safe https://arstechnica.com/security/2026/04/now-even-ransomware-is-using-post-quantum-cryptography/ Bundestagspräsidentin Klöckner ist Opfer des Signal-Hacks https://www.spiegel.de/politik/deutschland/phishing-alarm-in-berliner-regierungsviertel-julia-kloeckner-opfer-des-signal-hacks-a-7f5fc795-d0c2-4325-b726-4109531270bc Security Conference Intelligence https://greptalks.ai/

    49 Min.
  3. Flurfunk - NIST-CVE-Priorisierung, Polara-Ampel-Hack, Defender Zero-Day & Vercel-Breach

    22. APR.

    Flurfunk - NIST-CVE-Priorisierung, Polara-Ampel-Hack, Defender Zero-Day & Vercel-Breach

    In der neuen Folge von Breach FM starten Max und ich mit einem kurzen Mythos-Nachklang, bevor wir in die eigentlichen Themen einsteigen. NIST kündigt an, die National Vulnerability Database künftig zu priorisieren statt alles gleichmäßig anzureichern. CVEs im CISA-Katalog oder für US-Bundesbehörden werden weiterhin vollständig verarbeitet, der Rest nicht mehr zwingend. Nachvollziehbar angesichts des KI-getriebenen Vulnfloods, aber problematisch: Wer das Triage-Sieb kontrolliert, kontrolliert die Priorisierung aller anderen. Dann eine skurrile IoT-Geschichte: Ampelsteuerungen von Polara Enterprises lassen sich per Bluetooth und einer öffentlichen App konfigurieren. Default-Passwort: 1234, dokumentiert in der öffentlichen Doku. Im April 2025 spielten Unbekannte so Deepfake-Stimmen von Elon Musk, Zuckerberg und Bezos an Ampeln in Palo Alto und Seattle ein. Security-Researcher Deviant Ollam hatte das Problem bereits 2024 dokumentiert. Microsoft Defender hat eine Zero-Day namens Red Sun: Payloads können so konstruiert werden, dass der Defender beim Scanning selbst zur Angriffskette wird und aus der eigenen Sandbox ausbricht. Kein Argument gegen EDR, aber ein Argument dafür, Security-Tooling in BCM-Prozesse einzubeziehen. Ein technisch wichtiger Fall: Im Bundesterrorismus-Prozess in Texas extrahierte das FBI Signal-Nachrichten von einem iPhone, obwohl die App gelöscht war und Disappearing Messages aktiv waren. Kein gebrochenes Encryption, sondern iOS-Design: eingehende Notifications werden in einer eigenen Datenbank gecacht. Wer das vermeiden will: Signal-Einstellungen, Notifications, "No Name or Content" aktivieren. Zum Abschluss der Vercel-Breach: Ein Mitarbeiter hatte dem Third-Party-AI-Tool Context.ai weitreichende Google Workspace OAuth-Permissions erteilt. Über einen kompromittierten OAuth-Token kamen Angreifer an Environment Variables. Jemand gab sich als ShinyHunters aus, was diese dementiert haben. Robert fragt, ob Hacktivismus eine Rolle spielt: CEO Guillermo Rauch steht seit Monaten online unter Feuer, und der Breach folgte auffällig zeitnah auf die durchgesickerten IPO-Pläne. NIST Updates NVD Operations to Address Record CVE Growth https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth Microsoft Defender 0-Day Vulnerability “RedSun” Enables Full SYSTEM Access https://cybersecuritynews.com/defender-0-day-redsun/ Vercel April 2026 security incident https://vercel.com/kb/bulletin/vercel-april-2026-security-incident The Dumbest Hack of the Year Exposed a Very Real Problem https://www.wired.com/story/crosswalk-city-hack-cybersecurity-lessons/ FBI Extracts Suspect’s Deleted Signal Messages Saved in iPhone Notification Database https://www.404media.co/fbi-extracts-suspects-deleted-signal-messages-saved-in-iphone-notification-database-2/ The Sad Decline of Trenchant Exec Who Had Everything, Before Deciding to Steal and Sell Zero Days to Russian Buyer https://www.zetter-zeroday.com/trenchant-exec-says-he-had-depression-money-troubles-when-he-decided-to-sell-zero-days-to-russian-buyer-also-new-info-reveals-nature-of-his-work-for-australian-intelligence-agency/

    1 Std. 13 Min.
  4. Flurfunk - Claude Mythos & Project Glasswing, Mercor-Breach & deutsche Bankdaten zum Kauf

    15. APR.

    Flurfunk - Claude Mythos & Project Glasswing, Mercor-Breach & deutsche Bankdaten zum Kauf

    In der neuen Folge von Breach FM dreht sich fast alles um eine Pressemitteilung, die genau während unserer letzten Aufnahme erschien. Anthropic hat Claude Mythos Preview vorgestellt: ein Frontier-Modell, das im Rahmen von Project Glasswing einem geschlossenen Kreis aus zwölf Partnern zugänglich gemacht wird, darunter AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, Nvidia und Palo Alto Networks. Das Modell hat in der Preview bereits tausende Zero-Days in jedem großen Betriebssystem und Browser gefunden, autonom, ohne Human-in-the-Loop. Anthropic stellt 100 Millionen Dollar Usage Credits bereit. Meine These: Mythos löst derzeit weniger ein technisches als ein ökonomisches Problem. Es findet wahrscheinlich keine Schwachstellen, die ein Mensch nicht finden könnte, aber schneller, autonomer und in einem anderen Maßstab. Was mich mehr beschäftigt als die Zugangsdebatte: Die Verantwortung liegt bei den Herstellern, für sichere Software, ordentliche Patches und endlich echtes Hotpatching. Warum reden wir 2026 immer noch so wenig über Exploit-Schutz als Brücke bis zum nächsten Patch? Dazu der Mercor-Breach: Die KI-Datentraining-Plattform mit 10 Milliarden Dollar Bewertung, Kunde von Meta, OpenAI und Anthropic, wurde über den LiteLLM-Supply-Chain-Angriff getroffen. Lapsus$ beansprucht 4 Terabyte gestohlene Daten, darunter Trainingsdaten und proprietäre Methodiken. Meta hat die Zusammenarbeit pausiert. Zum Abschluss: Im Darknet sind Daten von über 100.000 deutschen Bankkunden aufgetaucht, IBANs und PII, ohne Passwörter, ohne Attribution, korreliert mit einem Anstieg an Fraud-Anfragen bei deutschen Finanzinstituten. Banken rufen nicht proaktiv an und bitten nie darum, Passwörter einzugeben oder Geld zu transferieren. Project Glasswing - Securing critical software for the AI era https://www.anthropic.com/glasswing Meta freezes AI data work after breach puts training secrets at risk https://thenextweb.com/news/meta-mercor-breach-ai-training-secrets-risk?utm_content=374987155&utm_medium=social&utm_source=linkedin&hss_channel=lis-Pk6K08-g_h

    58 Min.
  5. Flurfunk - Delve Update, Axios Supply-Chain, Microsoft/Artemis II & Nicholas Carlinis LLM CVE Vortrag

    8. APR.

    Flurfunk - Delve Update, Axios Supply-Chain, Microsoft/Artemis II & Nicholas Carlinis LLM CVE Vortrag

    In der neuen Folge von Breach FM starten Max Imbiel und ich mit dem Nachklang zur Delve-Compliance-Affäre. Die Gründer haben sich per Videobotschaft zu Wort gemeldet und die Lage damit eher verschlechtert. Sie nennen den Vorfall eine koordinierte Diffamierung, bieten aber gleichzeitig Re-Audits und mehr manuelle Prüfprozesse an. Für eine reine Schmierkampagne eine aufwendige Reaktion. Y Combinator hat sich still von Delve getrennt, und Elizabeth Holmes bot den Gründern öffentlich Hilfe an.Dann zum nächsten Supply-Chain-Fall: Das NPM-Paket Axios – über 100 Millionen wöchentliche Downloads – wurde über einen gezielten Spearphishing-Angriff auf seinen Maintainer kompromittiert. Angreifer tarnten sich als legitimes Unternehmen, luden ihn zu einem gefälschten Teams-Call ein und installierten dabei Malware. Darüber kamen sie an seine NPM-Credentials und schleusten einen Payload in die nächste Version ein. Sarah Gooding beschreibt parallel, wie die Lazarus-Gruppe dieses Muster systematisch gegen hochwertige Open-Source-Maintainer im Node.js-Universum betreibt.Zur wöchentlichen Microsoft-Corner: ProPublica hat einen tiefen Artikel über die GCC High Government Cloud und ihre FedRAMP-Zulassung veröffentlicht. Das Fazit interner US-Regierungsprüfer: Die Bewertung basierte auf unvollständigen Informationen, weil Microsoft zentrale Sicherheitsfragen schlicht nicht beantworten konnte. Ein Auditor bezeichnete das System als "a pile of shit" – nicht mein Zitat. Passend dazu: Commander Reid Wiseman meldete während der Artemis-II-Mission, er habe zwei Outlook-Instanzen an Bord – und keine funktioniere.Zum Abschluss empfehle ich den Vortrag von Nicholas Carlini, Research Scientist bei Anthropic, auf der [un]prompted-Konferenz. Er zeigt, wie aktuelle LLMs autonom Zero-Days in produktivem Code finden – darunter eine SQL Injection in Ghost CMS nach 90 Minuten und ein Linux-Kernel-Bug, der seit 2003 unentdeckt war. Insgesamt hat das Frontier Red Team über 500 validierte High-Severity-Schwachstellen gefunden. Die Fähigkeiten verdoppeln sich laut Carlini etwa alle vier Monate. Den Vortrag verlinken wir – mit dem transparenten Hinweis, dass Carlini für Anthropic arbeitet. Delve sets the record straight on anonymous attackshttps://delve.co/blog/delve-sets-the-record-straight-on-anonymous-attacks Federal Cyber Experts Thought Microsoft’s Cloud Was “a Pile of Shit.” They Approved It Anyway. How Axios was compromised https://x.com/flaviocopes/status/2039973060158095827?s=46 Nicholas Carlini - Black-hat LLMs | [un]prompted 2026https://www.youtube.com/watch?v=1sd26pWhfmg Artemis II crew experienced issues with Outlook this morning https://x.com/latestinspace/status/2039763355162812702?s=46

    58 Min.
  6. Flurfunk - LexisNexis-Breach, LiteLLM Supply-Chain, Delve-Compliance-Betrug & Google PQC

    1. APR.

    Flurfunk - LexisNexis-Breach, LiteLLM Supply-Chain, Delve-Compliance-Betrug & Google PQC

    In der neuen Folge von Breach FM sitzen Max und ich mal wieder beide zu Hause. Ich berichte kurz aus Brüssel, wo ich im EU-Parlament zu einer Expertenrunde zum CSA2 geladen war – und gemerkt habe, wie schwer es selbst Fachleuten fällt, die wachsende Regulierungslandschaft auseinanderzuhalten. Max bringt RSA-Nachschau mit: KI ist überall, aber die Gespräche dahinter sind spürbar substanzieller geworden. Das private E-Mail-Konto von FBI-Direktor Kash Patel wurde von derselben iranischen Gruppe geknackt, über die wir zuletzt gesprochen haben. Bisher wurden vor allem private Bilder veröffentlicht – wir diskutieren, ob das eine Tröpfchentaktik ist oder das Ende der Fahnenstange. LexisNexis bestätigt einen Breach über eine ungepatchte React-Frontend-Schwachstelle – drei Monate nach CVE-Veröffentlichung. Abgeflossen: 3,9 Millionen Datenbankeinträge, 21.000 Kundenaccounts, mehrere AWS-Secrets. Den OVHcloud-Claim aus der Vorwoche klären wir kurz: OVH hat dementiert, es sieht nach einem Fake-Data-Scam aus. Der technisch spannendste Fall: LiteLLM wurde Opfer eines mehrstufigen Supply-Chain-Angriffs durch TeamPCP. Die Angreifer kompromittierten zunächst den Trivy Security-Scanner in LiteLLMs CI/CD-Pipeline, stahlen die PyPI-Publishing-Credentials und veröffentlichten zwei manipulierte Versionen. Version 1.82.8 führte Schadcode über eine .pth-Datei automatisch bei jedem Python-Interpreter-Start aus – kein Import nötig. Wer diese Versionen betrieben hat, sollte API-Keys sofort rotieren. Dem Startup Delve – $32 Millionen Funding, $300 Millionen Valuation, Forbes-30-Under-30-Gründer – wird vorgeworfen fabrizierte SOC-2-Nachweise ausgestellt, Beobachtungsfristen übersprungen und 494 identische Compliance-Reports verschickt zu haben. Das als KI vermarktete Produkt soll in Wahrheit schlicht offshore ausgelagert gewesen sein. Von Google kommen drei Meldungen: TurboQuant verspricht massive LLM-Kompression – noch theoretisch, aber mit großem Kostenpotenzial. Google will außerdem alle Systeme bis 2029 auf Post-Quantum-Kryptographie umstellen, zwei Jahre früher als geplant – ein Hinweis, wie weit der eigene Quantencomputer-Fortschritt intern bereits ist. Und schließlich kündigt Google eine Threat Disruption Unit an, die Cybercrime-Infrastruktur proaktiv neutralisieren soll – konsequent zur White House Cyber Strategy, aber mit offenen Fragen sobald Botnetze aus legitimen Unternehmensgeräten bestehen. New LexisNexis Data Breach Confirmed After Hackers Leak Files https://www.securityweek.com/new-lexisnexis-data-breach-confirmed-after-hackers-leak-files/ Delve accused of misleading customers with ‘fake compliance’ https://techcrunch.com/2026/03/22/delve-accused-of-misleading-customers-with-fake-compliance/ TurboQuant: Redefining AI efficiency with extreme compression https://research.google/blog/turboquant-redefining-ai-efficiency-with-extreme-compression/ Iran-linked hackers breach FBI director's personal email, publish photos and documents https://www.reuters.com/world/us/iran-linked-hackers-claim-breach-of-fbi-directors-personal-email-doj-official-2026-03-27/ Google launches threat disruption unit, stops short of calling it ‘offensive’ https://www.nextgov.com/cybersecurity/2026/03/google-launches-threat-disruption-unit-stops-short-calling-it-offensive/412321/ Quantum frontiers may be closer than they appear https://blog.google/innovation-and-ai/technology/safety-security/cryptography-migration-timeline/ How a Poisoned Security Scanner Became the Key to Backdooring LiteLLM https://snyk.io/de/articles/poisoned-security-scanner-backdooring-litellm/

    52 Min.
  7. Flurfunk - Stryker-Wiper, LKA-Hausbesuche, KI-Agenten vs. EDR & reCAPTCHA-Training

    24. MÄRZ

    Flurfunk - Stryker-Wiper, LKA-Hausbesuche, KI-Agenten vs. EDR & reCAPTCHA-Training

    In der neuen Folge von Breach FM meldet sich Max direkt von B-Sides San Francisco. Sein Eindruck: KI ist auf jedem Stand, aber anders als noch vor einem Jahr wissen einige der Leute dahinter wirklich, was sie bauen. Keynote-Botschaft: die Security-Industrie braucht wieder mehr Optimismus – und die Geschichte zeigt, dass sie aus jeder Krise verbessert rausgekommen ist. Eines der Hauptthemen der Folge ist der Angriff auf Stryker. Die Iran-nahe Gruppe Handala – nach Einschätzung von Palo Alto und CrowdStrike eine staatliche Einheit aus dem Umfeld des iranischen Geheimdienstministeriums MOIS – hat Zugriff auf Strykers Microsoft-Intune-Umgebung erlangt und einen Remote-Wipe über gut 200.000 Geräte in 79 Ländern ausgelöst, inklusive privater BYOD-Geräte. Kein Ransomware, kein Malware – einfach alles weg. Wir diskutieren, warum das fehlende Multi-Admin-Approval in Intune eine strukturelle Schwäche sein kann und was es bedeutet, wenn die gefährlichste Waffe im Netzwerk das eigene IT-Management-Tool ist. Direkt anschließend eine Geschichte, die in der deutschen Security-Community gerade extreme Wellen schlägt: PTC hat das BKA über eine Schwachstelle in ihrem PLM-Tool Windchill informiert – und LKA-Beamte fuhren nachts bei Geschäftsführern vor und klingelten sie wach. Grundsätzlich richtig, Unternehmen bei realer Gefahr auch unkonventionell zu erreichen – mit dem aktuellen Wissensstand fühlt sich die Aktion aber befremdlich an. Wir hoffen noch mehr Informationen zu erlangen. Dann zur Studie, die niemanden überraschen sollte: KI-Agenten deaktivieren EDR-Lösungen eigenständig, wenn diese ihre Arbeit blockieren – nicht aus böser Absicht, sondern weil sie auf Output optimieren. Genau wie Admins, die kurz mal den EDR abschalten. Unsere These: KI-Agenten brauchen dieselben Zero-Trust-Prinzipien wie menschliche Identitäten im Netzwerk. Zum Abschluss: wie Google über reCAPTCHA jahrelang die Weltbevölkerung als kostenloses KI-Trainingsprogramm eingespannt hat – erst für Texterkennung, dann für Bilderkennung für autonomes Fahren. Ob das schlimm ist, darüber sind wir uns nicht ganz einig. Ich bekenne mich aber schuldig, durch wildes Klicken möglicherweise mitverantwortlich für Waymos heutige Schwächen in der Katzenerkennung zu sein. Emergent Cyber Behavior: When AI Agents Become Offensive Threat Actors https://www.irregular.com/publications/emergent-offensive-cyber-behavior-in-ai-agents Stryker attack raises concerns about role of device management tool https://www.cybersecuritydive.com/news/stryker-attack-device-management-microsoft-iran/814816/ How ‘Handala’ Became the Face of Iran’s Hacker Counterattacks https://www.wired.com/story/handala-hacker-group-iran-us-israel-war/ Critical RCE Vulnerability reported in Windchill https://www.ptc.com/en/support/article/CS466318?as=0 You've been training Google's AI for 15 years. You had no idea. https://x.com/sharbel/status/2033921312716882384?s=46

    1 Std. 7 Min.
  8. Flurfunk - Coruna iOS Exploit, Iran-Cyberangriffe & KI-Desinformation & Doppelspiel bei Ransomware-Verhandlungen

    18. MÄRZ

    Flurfunk - Coruna iOS Exploit, Iran-Cyberangriffe & KI-Desinformation & Doppelspiel bei Ransomware-Verhandlungen

    In der neuen Folge von Breach FM starten wir direkt mit einer Geschichte, die zeigt, wie ein staatliches Cyberweapon seinen Weg vom Rüstungskonzern bis zur organisierten Kriminalität findet. Google-Forscher haben ein 23-teiliges iPhone-Exploitation-Framework namens Coruna aufgedeckt, dessen Code laut Aussagen ehemaliger Mitarbeiter aus der Trenchant-Division von L3 Harris stammt – einer Rüstungsfirma, die Surveillance-Tools für US-Behörden und Five-Eyes-Partner entwickelt. Peter Williams, ehemaliger General Manager bei Trenchant, verkaufte das Toolkit an den russischen Zero-Day-Broker "Operation Zero", der laut US-Behörden direkt mit russischen Regierungsstellen zusammenarbeitet. Gezielt in der Ukraine eingesetzt, tauchten Teile des Frameworks später in der Operation Triangulation auf – einer iOS-Zero-Click-Kette, die 2023 von Kaspersky entdeckt wurde – und landeten schließlich bei chinesischen Gruppen für Kryptowährungsdiebstahl. Williams wurde zu gut sieben Jahren Haft verurteilt, eine Strafe, über deren Verhältnismäßigkeit wir uns nicht ganz einig sind. Dann zu den Iran-Themen von Max: Das polnische Nuklearforschungszentrum NCBJ wurde Opfer eines Cyberangriffs mit Iran-Attribution – offenbar ein Fehlschuss, eine Forschungseinrichtung statt einer operativen Nuklearanlage. Parallel dazu berichtet die New York Times über den massiven Einsatz generativer KI für iranische Desinformationskampagnen: vollautomatisierte Fake-Accounts, KI-generierte Explosionsbilder, algorithmisch gepushte Bot-Kommentare – billiger und schneller skalierbar als jede Trollfarm. Wir diskutieren das Netanyahu-Deepfake-Gerücht und warum die Faustregel "wenn es nach KI aussieht, ist es KI" dann versagt, wenn echte Videos nachträglich verfremdet werden, um ihre Authentizität zu untergraben. Zum Abschluss ein Thema, das wir schon länger auf dem Radar hatten: Incident-Responder, die gleichzeitig für Ransomware-Gruppen arbeiten. Angelo Martino von DigitalMint wurde festgenommen, nachdem Ryan Goldberg (Sygnia) und Kevin Martin (DigitalMint) sich bereits schuldig bekannt haben. Die drei saßen als ALPHV/BlackCat-Affiliates bei Fällen mit Lösegeldzahlungen von insgesamt über 75 Millionen Dollar auf beiden Seiten des Tisches – als bezahlter Responder beim Opfer und gleichzeitig als Informant für die Angreifer. Wir ordnen ein, warum Background-Checks in dieser Branche strukturell kaum ausreichen werden – und warum das trotzdem keine Entschuldigung für mangelnde Due Diligence ist. US military contractor likely built iPhone hacking tools used by Russian spies in Ukraine https://techcrunch.com/2026/03/10/us-military-contractor-likely-built-iphone-hacking-tools-used-by-russian-spies-in-ukraine/ Coruna: The Mysterious Journey of a Powerful iOS Exploit Kit https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit?hl=en WA man jailed for stealing intimate material and using ‘evil twin’ WiFi networks https://www.afp.gov.au/news-centre/media-release/wa-man-jailed-stealing-intimate-material-and-using-evil-twin-wifi Hacking Attempt Reported at Poland’s Nuclear Research Center https://www.securityweek.com/hack-attempt-reported-at-polands-nuclear-research-center/ Cascade of A.I. Fakes About War With Iran Causes Chaos Online https://www.nytimes.com/interactive/2026/03/14/business/media/iran-disinfo-artificial-intelligence.html?unlocked_article_code=1.TVA.ng5C.XptQ5HbNUCwF&smid=url-share&utm_source=doppelgaenger.beehiiv.com&utm_medium=newsletter&utm_campaign=kw12-die-petrochemische-weltordnung&_bhlid=bcb9705b6acf8d77db93b0fadc5c2292599d1547 Ransomware incident responder gave info to BlackCat cybercriminals during negotiations, DOJ alleges https://therecord.media/ransomware-blackcat-doj-incident-responder

    1 Std. 1 Min.
Alle anzeigen (132)

4,8
von 5
69 Bewertungen

Info

Breach FM taucht tief in die Welt der Cybersicherheit, digitalen Konflikte und ihrer explosiven geopolitischen Folgen ein. Moderiert von Robert Wortmann und Max Imbiel, nimmt der Podcast aktuelle Bedrohungen, innovative Technologien und clevere Strategien unter die Lupe. Mit hochkarätigen Gästen aus Forschung, Industrie und Politik werden brisante Themen wie staatliche Cyberangriffe, Krisenmanagement und die Schattenseiten der Cyberkriminalität aufgedeckt. Spannend, praxisnah und voller wertvoller Perspektiven – hier wird die digitale Frontlinie hörbar.

Informationen

  • Erstellt von
    Robert Wortmann, Max Imbiel
  • Jahre aktiv
    2022 - 2026
  • Folgen
    132
  • Bewertung
    Anstößig
  • Copyright
    © Robert Wortmann, Max Imbiel
  • Sendungswebsite
    Breach FM - der Infosec Podcast

Das gefällt dir vielleicht auch