6242
Регулярные новости и интересные публикации в сфере ITsec. По вопросам сотрудничества писать @cyberhackGL
⚡️Сообщение о 0-day уязвимости в 7-Zip оказалось фейком
💬В понедельник пользователь социальной сети с подозрительным псевдонимом @NSA_Employee39 заявил о наличии 0-day уязвимости в популярном бесплатном архиваторе 7-Zip. На своей верифицированной странице в X он пообещал публиковать уязвимости «всю неделю», чтобы поблагодарить своих подписчиков, которых чуть более 1400.
В качестве первого «подарка» пользователь выложил на Pastebin код, якобы демонстрирующий возможность выполнения произвольного кода (ACE) через специально подготовленный архив .7z с повреждённым потоком LZMA. Этот код, по его словам, вызывает переполнение буфера в функции RC_NORM.
Однако ни один из специалистов по безопасности не смог подтвердить работоспособность кода. Один из экспертов отметил: «Возможно, я просто не умею, но это не похоже на реальный эксплойт».
Разработчик 7-Zip Игорь Павлов выступил с официальным опровержением на форуме программы: «Этот репорт в Twitter — фейк. Такой уязвимости в 7-Zip или LZMA не существует».
Аккаунт @NSA_Employee39 пока не прокомментировал случившееся.
Почему пользователь решил выпустить недостоверную информацию остаётся загадкой. Тем не менее, праздники могут быть сложным периодом для многих, и важно помнить, что помощь всегда доступна.
🔔 ITsec NEWS
⚡️WinGet превращает сложную установку программ в простую команду
💬Windows 11 предоставляет пользователям инструмент, который способен кардинально упростить управление приложениями. Речь идёт о Windows Package Manager, известном как WinGet . Этот пакетный менеджер позволяет искать, устанавливать, удалять и обновлять приложения через командную строку, делая привычные операции более удобными и быстрыми.
WinGet — это решение для тех, кто устал скачивать установочные файлы из интернета, проходить через длинные мастера установки или сталкиваться с нежелательным дополнительным ПО. Теперь для установки или обновления достаточно ввести простую команду. WinGet работает с репозиториями проверенных пакетов, что сводит к минимуму риск загрузки вредоносного или ненужного ПО. Кроме того, установка проходит автоматически, без лишних окон и подтверждений.
Инструмент также помогает эффективно управлять уже установленными приложениями. Например, можно узнать список всех программ на компьютере, увидеть их версии и обновить их одной командой. Это особенно удобно, если требуется обновить несколько программ сразу, не открывая каждую из них по отдельности. С помощью WinGet пользователь может массово обновить все свои приложения до актуальных версий, избежав необходимости взаимодействовать с каждым из них вручную.
В отличие от традиционных установочных файлов, которые часто сопровождаются нежелательным ПО, WinGet загружает только нужные файлы приложения. Это повышает уровень безопасности и минимизирует риск установки чего-то лишнего. Для пользователей Windows 11 WinGet уже предустановлен. Владельцы Windows 10 могут скачать его бесплатно из Microsoft Store.
Хотя использование командной строки может пугать некоторых пользователей, WinGet предлагает простой набор команд, освоить которые под силу каждому. Например, команда winget search позволяет искать программы по названию или категории, а winget list показывает список всех установленных приложений с указанием их версий. Чтобы обновить программы, достаточно воспользоваться командой winget upgrade --all.
Пользователи, которые хотят настроить источник загрузки программ, также могут сделать это с помощью WinGet, добавляя или изменяя репозитории. Однако это требует осторожности: загрузка из непроверенных источников может нарушить безопасность системы.
WinGet открывает новые возможности для управления приложениями в Windows. Он автоматизирует процессы, экономит время и обеспечивает высокую безопасность, делая управление программным обеспечением максимально простым и удобным. Для тех, кто хочет использовать возможности Windows на полную, этот инструмент станет незаменимым помощником.
🔔 ITsec NEWS
⚡️С наступающим 2025 годом
💬Мы ценим каждый комментарий, каждый лайк и
каждый раз, когда вы делитесь нашими новостями. Именно вы делаете ITsec NEWS живым и интересным!
В 2025 году мы продолжим быть надежным источником информации. Впереди еще больше важных новостей из мира кибербезопасности, полезных материалов и, конечно же, приятных сюрпризов.
Пусть наступающий год будет наполнен счастливыми моментами, добрыми новостями и новыми победами!
🔔 ITsec NEWS
⚡️Армия цифровых клерков: ИИ готовится украсть ваше рабочее место в 2025-ом
💬На фоне повсеместной шумихи вокруг искусственного интеллекта его реальное влияние на бизнес-процессы остается довольно скромным. После неожиданного успеха ChatGPT в конце 2022 года в индустрию ИИ хлынули миллиарды долларов инвестиций – как от стартапов, так и от крупных технологических компаний, стремящихся монетизировать потенциал технологии.
Сотни миллионов пользователей по всему миру регулярно обращаются к чат-ботам, однако эффективное применение этих инструментов на практике оказалось более сложной задачей. Текущие версии технологии выступают скорее в роли второго пилота – они способны повысить эффективность выполнения некоторых задач, но требуют постоянного надзора из-за риска ошибок.
Марк Бениофф, генеральный директор Salesforce и владелец журнала Time, активно продвигает идею автономных ИИ-агентов. В своей недавней статье он подчеркнул, что новое поколение искусственного интеллекта способно не только выполнять задачи самостоятельно, но и адаптироваться, обучаясь в процессе работы.
В октябре Microsoft представила платформу Copilot Studio, позволяющую компаниям создавать специализированные модели для обработки клиентских запросов и поиска потенциальных клиентов. В том же месяце Salesforce запустила платформу Agentforce с аналогичными возможностями. В интервью TechCrunch Бениофф заявил, что планирует развернуть один миллиард ИИ-помощников в течение года.
Согласно данным The Verge, несмотря на многомиллиардные инвестиции в исследования и разработки, компании, занимающиеся искусственным интеллектом, пока не могут похвастаться солидными доходами. Они все еще находятся в поиске killer-приложения, которое оправдало бы их рекордно высокую рыночную оценку.
Издание Quartz отмечает, что необходимость внедрения многоуровневых систем безопасности для предотвращения ошибок создает существенные накладные расходы для компаний. С увеличением количества агентов эта проблема становится еще более острой, требуя разработки специализированных платформ контроля.
Чтобы решить задачу, агенты вынуждены раз за разом обращаться к языковой модели для анализа каждого шага. На это уходит много ресурсов: компании либо платят крупные суммы провайдерам LLM за каждый запрос, либо тратят огромное количество электроэнергии на собственные сервера.
По прогнозам Deloitte Global 2025 Predictions Report, среди компаний, уже использующих генеративный ИИ, 25% запустят пилотные проекты или программы проверки концепции с цифровыми ассистентами. К 2027 году этот показатель вырастет до 50%. Во второй половине 2025 года ожидается полноценное внедрение нейросетей в некоторые рабочие процессы.
Кари Бриски, отвечающая за разработку генеративного ИИ в Nvidia, считает, что в будущем появятся специальные ИИ-менеджеры, которые возьмут на себя управление всеми агентами, работающими в компании
За первые девять месяцев года количество инвестиционных сделок в секторе выросло более чем на 80% по сравнению с аналогичным периодом предыдущего года. При этом медианная стоимость сделки увеличилась почти на 50%, что свидетельствует о растущем интересе инвесторов.
В интервью Bloomberg аналитик Sequoia Capital Константин Бюлер рассказал о новом тренде: в компаниях скоро ИИ-агенты будут раюотать целыми группами. Подобно пчелиному рою, они будут совместными усилиями справляться со сложными задачами.
Технологические гиганты продолжают наращивать инвестиции в разработку агентов. Anthropic уже продемонстрировала версию модели Claude 3.5 Sonnet, способную управлять компьютером пользователя. Google обучает свою новую модель Gemini 2 аналогичным навыкам, а OpenAI готовится представить в начале года ассистента под кодовым названием "Operator".
Эксперты сходятся во мнении, что 2025 год станет решающим для развития технологий ИИ-агентов, а успешное внедрение этих систем может радикально изменить организацию рабочих процессов во многих отраслях к концу года.
🔔 ITsec NEWS
⚡️Короли криптомошенничества ответят за все свои NFT-аферы
💬В Лос-Анджелесе были задержаны двое жителей Калифорнии, обвиняемые в организации крупнейшей схемы мошенничества с NFT, когда-либо расследуемой в США.
Мужчинам предъявлены обвинения по шести пунктам, включая заговор с целью мошенничества и преследование. По версии следствия, Габриэль Хэй и Гэвин Майо обманным путём завладели криптовалютой инвесторов на сумму более $22 млн, используя метод Rug Pull — вид мошеннических схем, в которых разработчики цифровых проектов, включая NFT, собирают средства под ложными предлогами, а затем прекращают работу, присваивая деньги себе.
Согласно материалам дела, в период с мая 2021 года по май 2024 года Хэй и Майо запускали различные проекты, обещая инвесторам реализацию детализированных «дорожных карт», которые на деле не выполнялись. Среди проектов, участвовавших в мошенничестве, были Vault of Gems, Faceless, Sinful Souls, Clout Coin и другие.
Так, в рамках Vault of Gems мошенники утверждали, что проект станет «первым NFT, привязанным к физическому активу». Однако после сбора значительных средств проекты забрасывались.
В дополнение к финансовым махинациям, Хэй и Майо обвиняются в преследовании бывшего участника проекта Faceless, который пытался разоблачить их роль в мошеннических схемах. Им инкриминируются угрозы и запугивание, направленные на дискредитацию этого человека и его семьи.
Если обвинение будет доказано, каждому из обвиняемых грозит до 20 лет тюремного заключения по каждому из пунктов о мошенничестве и до пяти лет за преследование. Дело ведёт Управление по борьбе с киберпреступностью США (HSI), а также Национальная команда по борьбе с преступлениями, связанными с криптовалютами (NCET).
🔔 ITsec NEWS
⚡️Кибератака на Cyberhaven: хакеры внедрили вредоносное обновление в расширение Chrome
💬В рождественский день хакеры взломали аккаунт администратора швейцарской компании Cyberhaven и распространили вредоносное обновление для расширения браузера Chrome. Специалисты компании обнаружили и удалили вредоносный код из Chrome Web Store в течение часа после его выявления.
Однако браузеры с установленным скомпрометированным расширением оставались уязвимыми более суток. За это время злоумышленники могли похитить конфиденциальную информацию пользователей, включая данные авторизованных сессий и файлы cookie.
Представители Cyberhaven сообщили , что один из сотрудников компании подвергся «продвинутой атаке». Сторонние исследователи предполагают, что административный аккаунт был скомпрометирован через фишинговое письмо.
Cyberhaven специализируется на помощи организациям в борьбе с инсайдерскими угрозами. Расширение для браузера — основной инструмент компании для мониторинга и блокировки утечек данных при работе с электронной почтой, инструментами искусственного интеллекта и веб-приложениями.
Точное количество пострадавших от атаки и её основная цель пока неизвестны. Расследование продолжается при поддержке компании Mandiant, принадлежащей Google, и федеральных правоохранительных органов.
Специалисты Cyberhaven рекомендуют клиентам обновить расширение, сменить пароли и токены, очистить сессии и проверить логи на наличие подозрительной активности. При этом удалять расширение не рекомендуется — это поможет сохранить артефакты вредоносного кода для анализа.
В июне 2024 года Cyberhaven привлекла инвестиции в размере 88 миллионов долларов в ходе раунда финансирования под руководством американской инвестиционной компании Adams Street Partners. Оценка компании достигла 488 миллионов долларов. Среди крупных клиентов Cyberhaven — Canon, Reddit и Motorola.
Атака затронула только устройства с браузерами на базе Chrome, обновлёнными через Google Chrome Web Store. Аналитики безопасности отмечают , что подобным образом могли быть скомпрометированы и другие расширения. Специалисты выявили более десятка подозрительных доменов, связанных с инфраструктурой злоумышленников.
По мнению эксперта по безопасности Мэтта Йохансена, этот случай демонстрирует, как доверенные инструменты безопасности могут быть использованы против пользователей. Атака была стратегически спланирована на праздничный период, когда команды безопасности обычно работают в сокращённом составе.
Йохансен подчёркивает, что к расширениям браузера нельзя относиться легкомысленно, поскольку они имеют глубокий доступ к данным, включая авторизованные сессии и конфиденциальную информацию. Функция автоматического обновления расширений позволяет злоумышленникам мгновенно распространять вредоносный код среди всех пользователей после компрометации канала распространения.
🔔 ITsec NEWS
⚡️Программное обновление превратило десятки Cybertruck в груду металла
💬Владельцы Tesla Cybertruck сообщают о серьёзных проблемах после установки обновления программного обеспечения 2024.45.25.5. На специализированном форуме пользователи массово делятся историями о том, как их автомобили перестали реагировать на команды и фактически «замерли», становясь полностью неуправляемыми.
Один из владельцев описал, как после установки обновления его машина оставалась неработоспособной более 10 часов, пока он не вызвал эвакуатор для доставки машины в сервисный центр Tesla. Другой пользователь столкнулся с похожей ситуацией, когда 48-вольтовая батарея Cybertruck полностью разрядилась, что заблокировало основные функции, включая возможность открыть багажник или отсоединить зарядный кабель.
Сервисные центры Tesla быстро реагируют на такие случаи, отправляя мобильных специалистов или эвакуаторы. Однако попытки устранить проблему на месте не всегда успешны. Некоторые пользователи отмечают, что после подключения внешнего питания автомобиль частично восстанавливает функции, но не до конца — остаются заблокированными зарядные порты и двери.
По словам одного из владельцев, даже использование аварийного механизма разблокировки зарядного кабеля невозможно, так как он требует открытия багажника, что, в свою очередь, требует питания. Пользователи называют это серьёзным конструктивным недостатком.
Причиной таких сбоев, как предполагается, может быть неисправность в работе низковольтной системы, которая, по словам пользователей, разряжается во время обновления прошивки.
Компания Tesla пока не дала официальных комментариев по этой ситуации. Владельцы надеются, что проблема будет оперативно решена, особенно в праздничный период, когда автомобили необходимы для поездок.
🔔 ITsec NEWS
⚡️Срочно обновите MobSF до 3.9.8: пентестеры под угрозой атак
💬 Разработчики популярного инструмента для анализа безопасности мобильных приложений Mobile Security Framework (MobSF) устранили уязвимость, обнаруженную специалистом PT SWARM. Уязвимость, зарегистрированная как CVE-2024-31215 ( BDU:2024-03055 ), получила оценку 6,3 балла по шкале CVSS 3.1. Для предотвращения потенциальных атак пользователям рекомендуется обновить платформу до версии 3.9.8 или выше.
MobSF активно используется как независимыми исследователями, так и компаниями, занимающимися разработкой мобильных приложений и проведением пентестов. Этот инструмент входит в состав популярных дистрибутивов для тестирования на проникновение, таких как BlackArch, и помогает выстраивать процессы безопасной разработки.
В случае отсутствия обновления уязвимость позволяла злоумышленнику провести атаку при загрузке вредоносного мобильного приложения в MobSF. Такая ситуация могла возникнуть, например, в ходе расследования инцидентов, когда специалисты по информационной безопасности анализируют программы, которые могут представлять угрозу.
В мобильных приложениях часто используются облачные базы данных Firebase, предоставляемые Google по модели «бэкенд как услуга». Система MobSF в процессе анализа проверяет их защищенность, включая доступ без авторизации. Злоумышленник мог настроить вредоносное приложение таким образом, чтобы вместо обращения к базе данных Firebase анализатор MobSF направлял запрос на специально подготовленную вредоносную ссылку. Такая ссылка могла перенаправлять на ресурсы внутри сетевого контура компании или исследователя.
Потенциальные последствия варьировались в зависимости от используемого внутри сети программного обеспечения. Возможные угрозы включали выполнение вредоносного кода, кражу конфиденциальных данных или другие нарушения.
Как отметил руководитель группы исследования безопасности мобильных приложений PT SWARM Олег Сурнин, подобные уязвимости появляются из-за отсутствия механизмов проверки легитимности ресурсов, к которым отправляются запросы. Такие ошибки подчеркивают важность строгих мер контроля при обработке данных в инструментах для анализа безопасности.
🔔 ITsec NEWS
⚡️Трамп 2.0: что ждёт кибербезопасность США в 2025 году
💬Администрация Дональда Трампа планирует значительные изменения в сфере кибербезопасности США после его победы на выборах 2024 года. Главным образом это коснётся работы Агентства кибербезопасности и защиты инфраструктуры (CISA), созданного во время первого президентского срока Трампа в 2018 году.
Нынешний директор агентства Джен Истерли заявила, что уйдёт в отставку в день инаугурации. За четыре года её руководства CISA достигло значительных успехов, включая создание программы совместной киберзащиты и каталога уязвимостей. По словам эксперта по кибербезопасности Джейка Уильямса, Истерли прекрасно справилась с задачей укрепления роли молодого агентства.
Предыдущий директор CISA Крис Кребс был уволен после выборов 2020 года из-за отказа поддержать заявления администрации Трампа о фальсификациях. В преддверии выборов 2024 года Кребс продолжал публично опровергать утверждения предвыборного штаба Трампа о подтасовках.
Сенатор Рэнд Пол, который возглавит комитет по надзору за CISA, пообещал ввести строгие ограничения на деятельность агентства. Хотя полностью упразднить CISA не удастся, агентство, вероятно, лишится полномочий по расследованию дезинформации и контролю за безопасностью выборов.
Эксперты ожидают, что новая администрация будет придерживаться более открытого подхода к кибербезопасности с меньшим регулированием. По мнению основателя Bugcrowd Кейси Эллиса, это может включать изменения в структуре Агентства национальной безопасности и Киберкомандования, а также привлечение частного сектора к операциям по защите и противодействию угрозам.
🔔 ITsec NEWS
⚡️DeepSeek-V3 вышла в топ языковых моделей по редактированию кода
💬Китайская компания DeepSeek, финансируемая хедж-фондом High-Flyer, представила новую языковую модель DeepSeek-V3 с 685 миллиардами параметров. В основе архитектуры лежит подход Mixture of Experts (MoE) с 256 экспертами , из которых восемь активируются при обработке каждого токена. По сравнению с предыдущей версией, модель способна работать с большим объёмом данных, обладает расширенным словарным запасом и обновлённой архитектурой.
DeepSeek-V3 продемонстрировала результаты в тестировании Aider Polyglot Benchmark, где оцениваются возможности моделей в решении 225 сложных задач на языках C++, Go, Java, JavaScript, Python и Rust. В ходе тестирования модель справилась с 48,4% задач, заняв второе место в рейтинге. Она уступила модели o1-2024-12-17 с результатом 61,7%, но обошла Claude-3-5-sonnet-20241022 (45,3%) и Gemini-exp-1206 (38,2%). Модель также достигла 98,7% успешного форматирования изменений в коде.
Эти результаты опубликованы в рейтинге Aider LLM Leaderboards. Кроме работы с кодом, DeepSeek-V3 продемонстрировала мультимодальные возможности, включая анализ диаграмм, обработку научных текстов, понимание изображений и создание текстов. Модель доступна для тестирования на сайте chat.deepseek.com .
Отдельной особенностью является различие в самоидентификации модели. На английском языке она представляется как «искусственный интеллект, разработанный исключительно компанией DeepSeek», а в русскоязычной версии указывает, что основана на архитектуре GPT-4.
🔔 ITsec NEWS
⚡️Российские пользователи теряют доступ к VPN через App Store
💬Apple удаляет приложения VPN и СМИ из магазина App Store для российской аудитории, объяснив это необходимостью соблюдения местного законодательства. В компании подчеркнули, что невыполнение законных требований может привести к тому, что Apple больше не сможет поддерживать App Store или распространять контент в стране.
«Правительство США поощряет компании предоставлять российским гражданам услуги связи, поскольку доступность этих услуг наилучшим образом способствует соблюдению демократических принципов», — процитировал РБК представителя Apple.
В последние месяцы из магазина были удалены различные медиаприложения и подкасты. Кроме того, в июле Роскомнадзор сообщал, что Apple по требованию ведомства удалила 25 приложений VPN-cервисов из российского App Store.
Американский бренд Apple вернулся в тройку лидеров по интернет-продажам смартфонов в России. За 10 месяцев 2024 г. было продано 1,3 млн iPhone, что на 39% больше, чем в тот же период прошлого года. В онлайн-продажах доля бренда увеличилась в годовом выражении на 2 п. п. до 12% от общего числа проданных устройств.
🔔 ITsec NEWS
⚡️В Ханое подпишут первый глобальный договор против киберпреступности
💬После пяти лет переговоров 193 государства-члена ООН приняли историческую юридически обязывающую Конвенцию по киберпреступности — первую в своём роде. Исполнительный директор Управления ООН по наркотикам и преступности Гада Вали назвала это событие «знаменательным шагом», отметив, что документ стал первым за более чем 20 лет международным правовым актом ООН по вопросам, связанным с преступностью.
Согласно данным Всемирного банка, в 2023 году 67,4% населения мира использовали интернет для решения повседневных задач, таких как общение и покупки, а также для более сложных целей, включая исследования и инновации. Однако такая активность делает более двух третей мирового населения уязвимыми перед киберпреступностью. При этом люди и страны, находящиеся по другую сторону цифрового разрыва, остаются ещё менее защищёнными.
Киберпреступники используют цифровые системы для распространения программ-вымогателей, хакерских атак, кражи денег, данных и другой ценной информации. Также информационные технологии применяются для совершения таких преступлений, как торговля наркотиками, оружием, людьми, отмывание денег, мошенничество и другие правонарушения. Эти угрозы подрывают экономики, нарушают работу критической инфраструктуры и разрушают доверие к цифровому миру.
Принятая Конвенция обеспечивает возможность более быстрого, скоординированного и эффективного ответа на киберпреступления, делая цифровую и физическую среду безопаснее. До этого момента не существовало глобально согласованного текста по киберпреступности.
Расследование транснациональных преступлений, совершённых как онлайн, так и оффлайн, требует электронных доказательств. Однако они могут находиться в разных юрисдикциях, что создаёт сложности для правоохранительных органов. Конвенция регулирует доступ и обмен такими данными для упрощения расследований и судебного преследования. Государства-участники также получат доступ к сети оперативной помощи 24/7.
Кроме обмена электронными доказательствами, эта сеть будет использоваться для содействия расследованиям, идентификации, заморозки, изъятия и возврата доходов от преступлений, а также для правовой помощи и экстрадиции.
Конвенция стала первым глобальным соглашением, направленным на защиту детей от сексуального насилия, совершаемого с использованием информационных технологий. Криминализация таких преступлений предоставляет правительствам больше инструментов для защиты несовершеннолетних.
Документ также включает меры по оказанию помощи жертвам киберпреступлений. Он поощряет предоставление поддержки, включая восстановление, компенсацию, реституцию и удаление незаконного контента. Эти действия будут выполняться в соответствии с национальным законодательством государств-участников.
Одного реагирования на киберинциденты недостаточно. Конвенция требует от государств разработки мер по снижению рисков и угроз киберпреступности, включая обучение для государственных и частных секторов, программы реабилитации правонарушителей, помощь жертвам и многое другое.
Документ станет доступным для подписания в 2025 году на официальной церемонии в Ханое, Вьетнам.
🔔 ITsec NEWS
⚡️Zebo и Cometlogger: как два PyPI-пакета похитили данные сотен разработчиков
💬Исследователи компании Fortinet выявили два вредоносных пакета, размещённых в репозитории Python Package Index (PyPI), которые предназначались для кражи конфиденциальной информации с заражённых устройств. Пакеты под названиями zebo и cometlogger успели привлечь 118 и 164 загрузки соответственно до их удаления. Согласно статистике ClickPy, большинство загрузок пришлось на США, Китай, Россию и Индию.
Zebo представляет собой типичный пример вредоносного ПО с функциями для слежки, эксфильтрации данных и несанкционированного управления. Как отмечает исследователь Дженна Ван, cometlogger также обладает вредоносными характеристиками, включая динамическое изменение файлов, внедрение веб-хуков, кражу данных и механизмы защиты от виртуальных машин.
Пакет zebo использует методы обфускации, такие как шифрование строк в шестнадцатеричном формате, чтобы скрыть URL-адрес своего С2-сервера. Среди его возможностей — захват нажатий клавиш с помощью библиотеки pynput и создание скриншотов с интервалом в час через библиотеку ImageGrab.
Полученные изображения сохраняются локально, а затем загружаются на бесплатный хостинг изображений ImgBB с использованием API-ключа, полученного от C2-сервера. Для обеспечения постоянной работы вредоносного кода zebo создаёт скрипт, добавляющий его в автозагрузку Windows.
Cometlogger является более сложным инструментом. Он способен похищать куки-файлы, пароли, токены и данные аккаунтов из популярных приложений, таких как Discord, Steam, Instagram, X, TikTok, Reddit, Twitch, Spotify и Roblox. Кроме того, он собирает метаданные системы, информацию о сети и Wi-Fi, список запущенных процессов и содержимое буфера обмена.
Для сокрытия своей активности cometlogger проверяет наличие виртуальных сред и завершает процессы, связанные с браузерами, чтобы обеспечить полный доступ к файлам. Благодаря асинхронному выполнению задач этот пакет способен быстро извлекать большие объёмы данных.
Специалисты предупреждают: даже если отдельные функции таких скриптов могут казаться полезными, их непрозрачность и подозрительное поведение делают использование небезопасным. Рекомендуется тщательно проверять код перед запуском и избегать взаимодействия с программами из непроверенных источников.
🔔 ITsec NEWS
⚡️Мессенджеры столкнулись с перспективой потери голосового трафика
💬Роскомнадзор подтвердил , что рассматривается возможность ограничения голосового трафика в мессенджерах как способ понудить компании выполнять требования по борьбе с мошенничеством. В ведомстве пояснили, что операторы связи уже могут блокировать звонки из-за границы по умолчанию, оставляя пользователю возможность разблокировать их полностью или только для номеров из его списка контактов. Эти меры находятся в зоне возможностей и ответственности операторов связи, добавили в РКН.
По данным ведомства, некоторые операторы связи уже активно работает над введением самостоятельных запретов пользователями входящих звонков из-за рубежа. «Однако возможно и законодательное введение этих требований. Такие же требования могут быть введены и в отношении мессенджеров. Как мера понуждения для них может быть использована блокировка голосового трафика в них» - сообщили в РКН.
В Роскомнадзоре уточнили, что новые подходы и технические возможности противодействия голосовому мошенническому трафику, включая мессенджеры, находятся на стадии обсуждения. Также рассматриваются другие меры, например, выявление операторами связи нелегальных колл-центров, использующих такие инструменты, как сим-боксы. При этом в ведомстве подчеркнули, что операторы связи не должны получать доход от подобного трафика.
По данным ведомтсва, в настоящее время фиксируется значительное количество мошеннических звонков, поступающих преимущественно из-за рубежа, как через сети российских операторов связи, так и через иностранные мессенджеры. В РКН отметили важность того, чтобы операторы связи и владельцы мессенджеров внедряли превентивные меры для защиты своих пользователей. Уже сейчас часть крупных операторов самостоятельно и эффективно борется с мошенничеством.
В качестве примера Роскомнадзор привел установку операторами связи дополнительных систем на своей инфраструктуре, включая использование технологий искусственного интеллекта для предотвращения мошеннических вызовов. Также операторы активно взаимодействуют друг с другом, обмениваясь сведениями о факторах риска при звонках, поступающих из-за рубежа.
Кроме того, в ведомстве напомнили, что борьбе с мошенничеством внутри страны способствует система «Антифрод», которая не пропускает голосовые звонки с подменных номеров. К системе подключены все операторы связи, и с момента ее запуска в конце 2022 года было заблокировано более одного миллиарда таких вызовов. В то же время Роскомнадзор подчеркнул, что для звонков из-за границы требуются дополнительные меры.
Ранее сообщалось , что Минцифры и Роскомнадзор обсуждают возможность введения ограничений на звонки в мессенджерах в связи с активностью мошенников. Рассматриваются два сценария: блокировка голосового трафика только из-за границы и полный запрет на голосовые звонки в мессенджерах.
🔔 ITsec NEWS
⚡️CVE-2024-56337: новая угроза, способная обойти защиту Tomcat
💬Фонд Apache Software Foundation (ASF) выпустил обновление безопасности для устранения важной уязвимости в серверном ПО Tomcat, которая могла позволить выполнение произвольного кода (RCE) при определённых условиях. Уязвимость, получившая идентификатор CVE-2024-56337, является частично исправленной версией проблемы CVE-2024-50379 (оценка CVSS: 9.8), которая была закрыта 17 декабря 2024 года.
Согласно официальному уведомлению, пользователи, работающие с Tomcat на файловых системах с нечувствительностью к регистру и включённым параметром записи для сервлета по умолчанию (значение readonly установлено в false), должны внести дополнительные изменения в конфигурацию для полного устранения уязвимости, в зависимости от версии Java.
Обе уязвимости связаны с состоянием гонки типа (Race Condition) Time-of-check Time-of-use (TOCTOU). Они позволяют выполнить код на файловых системах, нечувствительных к регистру, когда активирован сервлет по умолчанию с функцией записи.
Проблема проявляется при одновременном чтении и загрузке одного файла под нагрузкой, что может обходить проверки чувствительности к регистру и приводить к обработке загруженного файла как JSP, что открывает возможность удалённого выполнения кода.
Уязвимость CVE-2024-56337 затрагивает следующие версии Apache Tomcat:
Apache Tomcat 11.0.0-M1 до 11.0.1 (исправлено в 11.0.2 и выше);
Apache Tomcat 10.1.0-M1 до 10.1.33 (исправлено в 10.1.34 и выше);
Apache Tomcat 9.0.0.M1 до 9.0.97 (исправлено в 9.0.98 и выше).
Для устранения проблемы также необходимо внести изменения в настройки в зависимости от версии Java:
Для Java 8 и Java 11: установить системное свойство sun.io.useCanonCaches в значение false (по умолчанию — true).
Для Java 17: проверить, что свойство sun.io.useCanonCaches отключено (по умолчанию оно уже отключено).
Для Java 21 и новее: дополнительных действий не требуется, так как данное свойство уже было удалено.
ASF поблагодарила исследователей Nacl, WHOAMI, Yemoli и Ruozhi за выявление и сообщение об уязвимостях, а также KnownSec 404 Team за независимое обнаружение CVE-2024-56337 и предоставление PoC-эксплойта.
🔔 ITsec NEWS
⚡️Военный 5G Китая соединит десятки тысяч боевых роботов
💬Китай представил первый в мире мобильный 5G-базовый узел, который после успешного прохождения испытаний готов к использованию на поле боя. Устройство, созданное совместно China Mobile Communications Group и Народно-освободительной армией Китая (НОАК), способно обеспечивать сверхскоростную, низколатентную и безопасную передачу данных для 10 тысяч пользователей в радиусе 3 км.
Система сохраняет стабильность соединения даже при движении войск со скоростью до 80 км/ч в сложных условиях, таких как горы и города, с электромагнитными помехами. Она поддерживает общую пропускную способность в 10 гигабит в секунду и задержку менее 15 миллисекунд.
Новое достижение позволяет масштабировать использование интеллектуальных военных технологий. Китай уже создает крупнейшую армию беспилотных устройств, таких как дроны, роботы и другие автономные платформы, способных превзойти численностью человеческие силы. Однако для их координации требуются технологии передачи данных, которые традиционные средства связи обеспечить не могут.
Военный 5G отличается от гражданского. Он должен работать без наземных станций и спутниковых сигналов. Чтобы решить проблемы ограничения высоты антенн на военных машинах, инженеры разработали систему с дронами. Дроны, устанавливаемые на крышу автомобилей, поочередно взлетают, служат воздушными базовыми станциями и возвращаются для зарядки, передавая задачи друг другу.
НОАК провела многочисленные испытания системы, подтвердив ее эффективность в условиях реальных боевых операций. Решение проблем, таких как электромагнитные помехи, было достигнуто с помощью инноваций, включая сверхмощные терминалы с низким энергопотреблением.
Технология военного 5G частично заимствует наработки из гражданской сферы. Китай, построивший около 4,2 миллиона гражданских 5G-базовых станций, использовал автоматизированные инструменты, адаптировав их для армии. Это позволило автоматизировать переключение между дронами и наземными станциями.
США, также работающие над милитаризацией 5G, значительно отстают. Их система 5G.MIL , разработанная Lockheed Martin и Verizon, имеет задержку передачи данных до 30 миллисекунд, что заметно хуже китайских стандартов.
🔔 ITsec NEWS
⚡️От информатора до преступника: ИИ обернулся против создателя запретного контента
💬Спецслужбы задержали жителя Аляски Энтани О'Коннора, который ранее являлся информатором полиции, но в ходе расследования сам оказался под следствием.
О'Коннор в августе уведомил полицию о военнослужащем ВВС США, который делился с ним CSAM-материалами. В ходе расследования, с согласия О'Коннора, федеральные власти провели обыск его телефона для получения дополнительной информации. При проверке электронных устройств выяснилось, что О'Коннор предлагал военнослужащему создать подобные материалы сексуального характера с использованием технологий виртуальной реальности.
По материалам дела, военнослужащий поделился фотографией ребенка в продуктовом магазине, после чего собеседники обсуждали создание ИИ-изображений CSAM. О'Коннор предложил изготовить виртуальное изображение за $200, планируя разместить ИИ-модель в виртуальном бассейне.
В ходе обыска в доме О'Коннора правоохранители обнаружили компьютер и несколько жестких дисков, спрятанных в вентиляционном отверстии. На электронных носителях находились 6 изображений, созданных с помощью ИИ, а также реальные CSAM-материалы. На допросе О'Коннор заявил, что скачивал запрещенные материалы «непреднамеренно» и даже сообщал о подобном контенте интернет-провайдерам. Однако подозреваемый признался в «получении удовольствия» от просмотра данных материалов.
Прокуратура на Аляске, ведущая дело О'Коннора, не предоставила дополнительной информации. Адвокат подозреваемого также пока не прокомментировал ситуацию. О'Коннор на данный момент содержится под стражей до следующего судебного заседания, назначенного на 6 января.
Эксперты отмечают, что создание противоправных материалов с использованием ИИ не является «преступлением без жертв», поскольку часто такой контент смешивается с реальными изображениями, что усугубляет проблему эксплуатации несовершеннолетних.
🔔 ITsec NEWS
⚡️Уволенный программист атаковал московскую компанию вирусом-шифровальщиком
💬Следственный комитет России завершил расследование уголовного дела против инженера-программиста, обвиняемого в вымогательстве 27 млн рублей у крупной интернет-компании. Обвиняемый, используя вирус-шифровальщик, зашифровал клиентские базы данных организации и требовал выкуп в криптовалюте за их разблокировку.
По информации Следственного комитета, преступление было совершено в мае 2023 года после увольнения подозреваемого из компании, где он занимал должность ведущего инженера. Используя вредоносное программное обеспечение, злоумышленник получил доступ к корпоративной сети, зашифровал данные и выдвинул требование о выплате крупной суммы в обмен на пароль.
В ходе следствия была проведена совместная работа сотрудников СК, ФСБ и МВД. В результате задержания у обвиняемого изъяли сетевые хранилища, жесткие диски, банковские карты и другие технические средства, использовавшиеся в преступной деятельности.
Следствие собрало достаточно доказательств, чтобы направить дело в Гагаринский суд Москвы. Обвиняемому инкриминируются преступления по нескольким статьям Уголовного кодекса России, включая неправомерный доступ к компьютерной информации, создание и использование вредоносных программ, а также вымогательство.
Имя обвиняемого и название компании, пострадавшей от действий программиста, не раскрываются.
🔔 ITsec NEWS
⚡️LockBit 4.0: как вымогатели планируют возвращать утраченные позиции
💬Группировка вымогателей LockBit планирует громко вернуться на арену киберугроз с релизом LockBit 4.0, который намечен на февраль 2025 года. Об этом сообщили исследователи Cyble, изучающие активность преступников в даркнете.
Восстановление работы LockBit произойдёт спустя почти год после масштабной международной операции правоохранительных органов, которая привела к значительным потерям для группировки, включая аресты участников и восстановление почти 7000 ключей для дешифровки данных. На фоне этого доминирующей силой среди вымогателей стала другая группировка — RansomHub.
В объявлении LockBit, распространённом в даркнете, содержался призыв к новым участникам. «Хотите ламборгини, феррари и пышногрудых красоток? Регистрируйтесь и начните свой путь миллиардера-пентестера за 5 минут с нами».
Несмотря на столь громкие заявления, возвращение LockBit остаётся под вопросом. После серьёзных ударов, таких как аресты, утечка дешифраторов и конкуренция с другими RaaS-группами, их позиции значительно ослабли.
Последняя версия программного обеспечения LockBit, 3.0, была выпущена более двух лет назад. Вероятно, разработка новой версии была существенно затруднена из-за возможного доступа правоохранительных органов к исходному коду.
LockBit 4.0 планируется распространять как часть популярной сейчас RaaS-модели, когда вымогательское ПО, инфраструктура и руководства продаются в обмен на долю от прибыли. Однако группировка также сталкивается с конкуренцией даже от собственных утечек исходного кода, что делает их положение особенно сложным.
Эксперты предполагают, что LockBit может сменить целевые регионы или типы атак, чтобы избежать внимания международных правоохранительных органов. Напомним, что атака 2022 года на госпиталь SickKids в Торонто вызвала широкую критику и даже вынудила группировку извиниться, предоставив бесплатный дешифратор. Это стало примером крайне неудачной стратегии, которая ещё больше подорвала их репутацию.
Официальный запуск LockBit 4.0, включая доступ к их новому ресурсу в даркнете, намечен на 3 февраля 2025 года. Интересно, сколько группировка продержится на этот раз?
🔔 ITsec NEWS
⚡️Фальшивый звонок из Google опустошил криптокошелек на $450 000
💬Современные хакерские атаки становятся всё изощрённее, и Gmail остаётся одной из главных целей злоумышленников. Недавний случай продемонстрировал, как тщательно спланированная атака привела к потере почти $500 000 в криптовалюте, несмотря на то, что жертва соблюдала стандартные меры предосторожности.
Инцидент, расследованный известным экспертом по кибербезопасности Брайаном Кребсом, произошёл с начальником пожарного батальона в Сиэтле. Злоумышленники использовали серию тщательно продуманных шагов, включая поддельные уведомления о взломе и звонок с официального номера Google, чтобы завоевать доверие жертвы.
Хакеры отправили электронное письмо, якобы от Google, с предупреждением о взломе Gmail-аккаунта. Письмо содержало идентификатор обращения в службу поддержки, что делало его ещё более правдоподобным. Злоумышленники использовали сервис Google Forms, чтобы отправить сообщение с настоящего домена Google.
Далее последовал звонок с номера, который, как выяснилось, принадлежал Google Assistant, а не службе поддержки. В ходе разговора жертве сообщили, что для предотвращения взлома необходимо подтвердить восстановление доступа через уведомление на смартфоне.
На устройство действительно поступило уведомление с запросом: «Вы пытаетесь восстановить учётную запись?». Уверенная в легитимности ситуации, жертва нажала «да», тем самым передав полный контроль над аккаунтом мошенникам.
Получив доступ к Gmail, злоумышленники изучили связанные с аккаунтом данные и нашли фотографию с seed-фразой криптовалютного кошелька. Это позволило им моментально вывести криптовалюту из кошелька Exodus, стоимость которой составила около $450 000.
Эксперты подчёркивают, что атака основывалась на использовании социальной инженерии, без сложных технологий или искусственного интеллекта. Злоумышленники эксплуатировали доверие жертвы и особенности работы системы восстановления Google.
Google напоминает, что нельзя подтверждать восстановление аккаунта, если процесс не был запущен самим пользователем. Также важно не поддаваться на давление и сохранять спокойствие в подобных ситуациях.
Пользователи Gmail должны помнить, что Google не предоставляет поддержку через звонки. Все запросы безопасности необходимо проверять через официальные каналы.
🔔 ITsec NEWS
⚡️Ботнеты атакуют: CAPSAICIN и FICORA нацелились на устройства D-Link
💬Исследователи в области кибербезопасности выявили резкий рост активности ботнетов, которые используют уязвимости маршрутизаторов D-Link. Основными угрозами стали модификации Mirai под названием FICORA и Kaiten (также известный как Tsunami), получивший имя CAPSAICIN.
Как отмечают эксперты Fortinet FortiGuard Labs , распространение этих ботнетов осуществляется через известные уязвимости D-Link. В частности, через функцию GetDeviceSettings на интерфейсе HNAP (Home Network Administration Protocol), позволяющую злоумышленникам удалённо выполнять вредоносные команды. Эти уязвимости были впервые обнаружены почти десять лет назад и задокументированы в таких CVE, как CVE-2015-2051 , CVE-2019-10891 , CVE-2022-37056 и CVE-2024-33112 .
Ботнет FICORA, по данным телеметрии Fortinet, охватил широкий круг стран, тогда как CAPSAICIN сконцентрировался на восточноазиатских регионах, включая Японию и Тайвань. Активность CAPSAICIN наблюдалась в основном 21–22 октября 2024 года.
Механизмы работы ботнетов
FICORA заражает устройства через скрипт-загрузчик «multi», скачивающий основной вредоносный файл с удалённого сервера (103.149.87[.]69). Вредоносное ПО поддерживает работу на различных архитектурах Linux, используя команды wget, ftpget, curl и tftp. Ботнет включает функцию брутфорса, направленную на подбор паролей, и средства для проведения DDoS-атак через протоколы UDP, TCP и DNS.
CAPSAICIN, в свою очередь, использует скрипт «bins.sh» с IP-адреса 87.10.220[.]221. Его подход схож: загрузка ботнета для разных архитектур Linux для максимального охвата. Этот ботнет блокирует процессы других вредоносных программ, чтобы оставаться единственным активным ПО на заражённом устройстве.
После заражения CAPSAICIN подключается к серверу управления (192.110.247[.]46), отправляя информацию о системе жертвы и присвоенное ей имя. Затем ботнет ожидает команды, включая удалённое выполнение команд, изменение серверов управления и проведение DDoS-атак.
Основные команды CAPSAICIN
GETIP: получение IP-адреса устройства;
CLEARHISTORY: очистка истории команд;
INSTALL: загрузка и установка файла;
DNS: усиленная атака через DNS;
HTTP: HTTP-флуд;
KILL: завершение сессии.
CAPSAICIN также может запускать атаки типа BlackNurse и проводить TCP-флудинг.
Рекомендации по защите
Несмотря на то, что уязвимости, эксплуатируемые ботнетами, были обнаружены и закрыты почти десять лет назад, атаки продолжают угрожать пользователям по всему миру. Эксперты настоятельно рекомендуют регулярно обновлять прошивку устройств и внедрять постоянный мониторинг сетевой активности.
🔔 ITsec NEWS
⚡️Цена дропперских карт взлетела с 6 до 40 тысяч
💬В 2024 году стоимость дропперских карт на черном рынке значительно выросла, достигнув 30–40 тысяч рублей за единицу. Это стало заметным скачком по сравнению с началом года, когда цена составляла 5–6 тысяч рублей. Рост цен связан с ужесточением контроля со стороны банков и Центробанка России, что сделало операции с такими картами более сложными и рисковыми.
Как пояснил глава Службы финансового мониторинга и валютного контроля Банка России Богдан Шабля, дропперские карты используются для обналичивания денег или других сомнительных операций. Увеличение их стоимости обусловлено тем, что банки начали активно выявлять и блокировать счета дропперов сотнями и тысячами ежедневно. По его словам, использование технологий искусственного интеллекта позволило крупным банкам значительно сократить время на выявление подозрительных операций. Многие из них могут обнаружить дропперов в течение одного дня, а некоторые – за считаные минуты. В результате объем переводов между физлицами через счета дропперов сократился почти втрое за последний год.
Как отмечают в Банке России, дропперские карты активно используются теневыми площадками, предлагающими нелегальные финансовые услуги. Эти площадки имеют сложные технические структуры, включая программное обеспечение для управления сотнями и тысячами счетов и карт. Оно устанавливается на мобильных устройствах, сим-боксах и серверах организаторов. Участники таких структур называют себя «процессингом», проводят конференции и мероприятия, где рассказывают о доходах, стараясь привлечь к противоправной деятельности новых участников.
Одной из популярных тактик стало проведение «прогрева» карт: после покупки на черном рынке они некоторое время используются для обычных операций, таких как покупки в магазинах или оплата услуг. Это позволяет снизить уровень риска, присваиваемый банком, и усыпить его внимание. После этого начинаются подозрительные транзакции. Также организаторы схем предпочитают дробить переводы на небольшие суммы и распределять их между разными банками, чтобы усложнить обнаружение. «Но когда организатор схемы с помощью специализированного программного обеспечения управляет тысячами таких карт, «на выходе» получается внушительная сумма», — резюмирует глава службы финмониторинга ЦБ. По оценкам регулятора, в сомнительных операциях уже «засветились» как минимум 700 тыс. банковских карт физлиц.
Центральный банк России ставит своей целью максимально затруднить использование банковских карт в теневых операциях. В числе основных мер — создание централизованной платформы , которая позволит отслеживать и передавать информацию о дропперах во все банки, даже в те, где они еще не обслуживаются. Концепция платформы разрабатывается совместно с Росфинмониторингом и крупнейшими банками страны, однако сроки ее внедрения пока не определены.
Шабля также подчеркнул, что необходимо донести до граждан информацию о рисках, связанных с продажей своих карт. Люди, которые соглашаются на подобные сделки, могут столкнуться с блокировкой счетов, потерей репутации и внесением в базы данных банков и правоохранительных органов. В ряде случаев им грозит уголовная ответственность. Однако для тех, кто активно сотрудничает со следствием или самостоятельно обращается в правоохранительные органы, предусмотрено освобождение от наказания.
Центробанк поддержал разработанный МВД законопроект об уголовной ответственности за участие в таких схемах. Документ был передан в правительство в сентябре 2024 года.
«Действительно, надо включить этот красный сигнал светофора. Кого-то от дропперства сдерживают убеждения, а кого-то — только ответственность», — говорит Шабля. Он при этом подчеркивает, что в ужесточении регулирования важно «не перегнуть палку».
«Учитывая огромное количество так или иначе вовлеченных лиц, мы должны исключить излишнюю криминализацию населения. Поэтому в законопроекте есть важные пункты об освобождении от ответственности, если дроппер активно сотрудничал со следствием или сам обратился в правоохранительные органы», — сказал глава службы ЦБ.
⚡️Тайны округа Блора: 82 ГБ государственных данных попали в лапы хакеров
💬 Хакеры атаковали правительственную информационную систему управления финансами в Индонезии. В результате взлома злоумышленники получили доступ к 82 гигабайтам конфиденциальных данных из Региональной информационной системы финансового управления (SIPKD).
Атаке подверглось Региональное агентство по управлению доходами, финансами и активами (BPPKAD) округа Блора. Хакеры разместили сообщение о взломе на специализированном киберпреступном форуме. Похищенные данные охватывают период с 2018 года по настоящее время.
SIPKD представляет собой интегрированную онлайн-платформу для контроля региональной финансовой администрации. Среди украденной информации находятся пользовательские данные, включая имена пользователей, хешированные пароли и адреса электронной почты сотрудников системы.
В распоряжении злоумышленников оказались сведения о финансовых операциях, бюджетных ассигнованиях и расходах регионального правительства. Также были похищены данные налогоплательщиков, включая их имена, идентификационные номера и записи об уплате налогов.
Масштаб утечки затрагивает и другие конфиденциальные сведения: информацию о государственных программах, данные об административных структурах, записи финансовых транзакций и нормативно-правовую документацию.
Эксперты предупреждают, что подобная масштабная утечка данных может привести к краже личной информации, финансовому мошенничеству и разглашению конфиденциальной правительственной деятельности. На данный момент неизвестно, знает ли правительство округа Блора о взломе и предприняло ли меры по устранению последствий инцидента.
🔔 ITsec NEWS
⚡️«Эльбрус» станет сердцем первой российской игровой консоли
💬Российская игровая консоль будет базироваться на процессоре «Эльбрус». Об этом стало известно из протокола заседания профильной рабочей группы, на который ссылается заместитель председателя комитета Госдумы по информационной политике Антон Горелкин
Разработка консоли ведётся Министерством промышленности и торговли по поручению Президента. Помимо процессора, устройство будет оснащено другими электронными компонентами российского производства. В качестве операционной системы рассматриваются две отечественные разработки — «Аврора» и «Альт Линукс».
Фонд «Сколково» займётся созданием бизнес-модели и определением конкурентных преимуществ будущей консоли.
«Надеюсь, коллеги отнесутся к этой задаче со всей ответственностью и придумают что-то действительно прорывное. Ведь всем очевидно: процессоры “Эльбрус” ещё не на той ступени развития, чтобы обеспечить равноценную конкуренцию с PS5 и Xbox, а значит, решение должно быть нестандартным», — написал Антон Горелкин.
Он также отметил, что российская консоль создаётся не для портирования туда сотни старых игр и формального выполнения президентского поручения. По его словам, платформа должна прежде всего служить целям продвижения и популяризации отечественных видеоигр, расширяя их аудиторию за пределы персональных компьютеров и мобильного гейминга.
🔔 ITsec NEWS
⚡️ИИ разрушает защиту CAPTCHA: интернет-ловушки больше не работают
💬Система проверки CAPTCHA, призванная отличать людей от ботов, сталкивается с серьезными проблемами из-за развития искусственного интеллекта. Современные нейросети способны за миллисекунды решать задачи, которые должны были быть сложными для машин: распознавать искажённые символы, определять объекты на изображениях и имитировать естественные действия пользователя.
Изначально CAPTCHA, разработанная в начале 2000-х годов, была простым решением: пользователи должны были ввести текст с искажённых изображений, недоступных для понимания алгоритмами того времени. Позже появились усовершенствованные версии, такие как ReCaptcha, включающая проверку старых текстов из книг, и ReCaptcha v2 с задачами на выбор изображений.
Сегодняшние системы, такие как Google Vision и OpenAI Clip, распознают изображения быстрее и точнее человека. Это позволяет ботам обходить проверки, создавая фальшивые аккаунты, скупая билеты или распространяя спам. В результате многие пользователи сталкиваются с проблемами доступа, в то время как системы остаются беззащитными перед автоматизированными атаками.
С введением ReCaptcha v3 в 2018 году подход изменился. Теперь система анализирует поведение пользователя: движения курсора, скорость набора текста и другие характеристики, чтобы отличить человека от бота. Однако это вызвало критику из-за вопросов конфиденциальности и всё ещё недостаточной надёжности.
Другие методы, такие как биометрические данные — отпечатки пальцев, сканирование лица или голоса, — пока остаются ограниченными. Они требуют дорогого оборудования и могут быть недоступны для некоторых пользователей.
Появление новых технологий, включая автономных ИИ-агентов, усложняет ситуацию. Будущие системы проверки должны не только распознавать людей, но и различать «хороших» и «плохих» ботов. Одним из решений могут стать цифровые сертификаты аутентификации, однако эта область ещё требует доработки.
Развитие искусственного интеллекта вынуждает пересматривать подходы к проверке пользователей. Будущие инструменты должны быть удобными, безопасными и на шаг впереди злоумышленников, чтобы сохранить баланс между защитой данных и доступностью.
🔔 ITsec NEWS
⚡️Skuld возвращается: сотни разработчиков пострадали от скрытой атаки на npm
💬В экосистеме npm обнаружена очередная вредоносная кампания с применением Skuld Infostealer — известного вредоносного ПО, нацеленного на разработчиков. Исследователи компании Socket сообщили, что атаки связаны со зловредной активностью профиля под псевдонимом «k303903». Пострадали как отдельные разработчики, так и целые компании.
Атакующий использовал npm-пакеты, замаскированные под полезные инструменты. windows-confirm, windows-version-check, downloadsolara и solara-config. Эти пакеты были загружены более 600 раз, прежде чем их удалили из реестра.
Socket отмечает, что в рассмотренной кампании применялась обфускация кода, методы тайпосквоттинга и стандартное вредоносное ПО. В отчёте также указано, что возвращение Skuld в npm подчёркивает цикличность подобных атак.
Skuld Infostealer опасен тем, что способен похищать пароли, куки, конфиденциальные файлы и историю браузеров на базе Chromium (Chrome) и Gecko (Firefox). Для сокрытия вредоносного кода используется Obfuscator.io. При установке пакетов полезная нагрузка скачивается с поддельных доменов, внешне напоминающих ресурсы Cloudflare. Данные жертв отправлялись через Discord webhooks, имитируя законное взаимодействие.
Эксперты подчёркивают, что подобные атаки активно используют доверие к цепочкам поставок. Замаскировавшись под полезные инструменты, злоумышленники незаметно устанавливали вредоносный код на машины разработчиков.
Администрация npm быстро удалила вредоносные пакеты. Однако последствия для пользователей остаются значительными. Украденные учётные данные, токены и другая конфиденциальная информация могут быть использованы спустя длительное время после окончания атаки. Этот инцидент вновь подтверждает уязвимость платформ для разработчиков, уж слишком легко разместить там вредоносный код.
🔔 ITsec NEWS
⚡️Иран снимает цифровой занавес: WhatsApp снова доступен пользователям
💬В Иране начали снимать ограничения с популярных цифровых сервисов. Власти страны приняли решение разблокировать WhatsApp и Google Play после более чем 27 месяцев блокировки.
Ограничения были введены в сентябре 2022 года на фоне массовых протестов в стране. Тогда же были заблокированы Instagram*, Viber, SoundCloud, App Store, LinkedIn и популярная игра Clash of Clans. В ноябре того же года ограничения коснулись ряда сервисов Google, включая Firebase и Play Protect.
Блокировка Google Play создала значительные трудности для пользователей, которым требовалось устанавливать безопасные версии приложений. Людям приходилось использовать средства обхода блокировок, которые часто работали нестабильно.
Спустя 27 месяцев правительство Ирана перешло к поэтапному снятию ограничений. Верховный совет по киберпространству одобрил разблокировку WhatsApp и Google Play в качестве первого шага.
Хотя для многих иранцев этого недостаточно, решение знаменует начало выполнения обещаний депутата Масуда Пезешкиана о снятии ограничений. Ситуация особенно показательна на фоне того, что другие развивающиеся страны региона активно развивают цифровые технологии и стремятся сократить отставание от развитых государств.
Бывший министр связи Иса Зарепур ранее сообщал о трёх безуспешных попытках снять ограничения с Google Play. По его словам, большинство в профильной рабочей группе не поддерживало это решение.
Теперь же правительство нашло способ убедить противников снятия ограничений и сделало первый шаг к нормализации доступа к цифровым сервисам в стране.
Instagram* остается в Иране недоступен, как и Facebook*, X** (в прошлом Twitter) и YouTube — эти три платформы были запрещены к использованию в 2009 году. Не работают в Исламской Республике и TikTok с Telegram
🔔 ITsec NEWS
⚡️10 миллионов россиян совершали переводы на карты дропперов
💬Банк России в сотрудничестве с Росфинмониторингом, кредитными организациями и экспертами работает над созданием платформы, которая централизованно будет передавать информацию о подозрительных операциях физических лиц в банки для ограничения активности таких клиентов. Об этом сообщил глава Службы финансового мониторинга и валютного контроля ЦБ Богдан Шабля.
Центральный банк сосредоточился на борьбе с так называемыми дропперами — людьми, предоставляющими свои банковские карты для обналичивания средств или проведения переводов в интересах нелегального бизнеса. Среди примеров использования таких карт могут быть переводы для наркошопов, онлайн-казино, криптовалютных обменников и пиратских ресурсов.
По словам Шабли, Центробанк уже внедрил с рядом банков механизмы онлайн-контроля за транзакциями физических лиц. На данный момент регулятор может передавать информацию о выявленных дропперах только в те банки, клиентами которых они являются. Однако дропперы обычно открывают счета сразу в нескольких банках, что создает необходимость в централизованном сборе данных и их передаче всем кредитным организациям. Вопрос о том, как реализовать такую систему, пока находится в стадии проработки. Новое решение планируется представить в формате платформы или централизованной базы данных.
Такая система, по словам Шабли, позволит банкам пользоваться информацией и принимать превентивные меры по недопуску физлиц-дропов к открытию карт или ограничению некоторых банковских продуктов. Он выразил надежду, что в результате возможности дропперов и их организаторов сократятся в несколько раз.
Глава службы ЦБ отметил, что новая система не станет копией существующей платформы «Знай своего клиента» (ЗСК), которая применяется для контроля операций юридических лиц и индивидуальных предпринимателей.
С 1 июля 2022 года российские банки начали оценивать всех своих клиентов-юридических лиц и индивидуальных предпринимателей по степени риска участия в сомнительных операциях, обмениваясь соответствующей информацией с Центральным банком. Регулятор, используя свои данные, распределяет клиентов на три категории по «принципу светофора»: в красной зоне находятся клиенты с высоким уровнем риска, в желтой — со средним, а в зеленой — с низким. Аналогичную классификацию проводят и банки. При совпадении оценки банка и ЦБ клиенты из красной зоны сталкиваются с серьезными ограничениями на проведение финансовых операций, вплоть до отказа в обслуживании. Компании и предприниматели из зеленой зоны находятся под меньшим контролем со стороны кредитных организаций.
По данным ЦБ, после запуска платформы «Знай своего клиента» объем сомнительных операций значительно сократился. Так, в 2023 году через банки было обналичено 59,5 млрд рублей против 63 млрд рублей годом ранее, когда система только начала работать. Объем операций через карты и счета юридических лиц и ИП уменьшился в 1,8 раза и составил 14,6 млрд рублей. За девять месяцев 2024 года этот показатель снизился до 5 млрд рублей, сообщил Богдан Шабля. Однако сократить объемы обналичивания через карты физических лиц пока сложно: в 2022 году такие операции составили 37 млрд рублей, в 2023 году — 44,9 млрд рублей, а за январь–сентябрь 2024 года — 39 млрд рублей.
Сектор теневых финансовых услуг переместился в область переводов между физическими лицами, отметил Богдан Шабля. Основным инструментом для расчетов и операций в теневом бизнесе стали счета и карты, оформленные на подставных лиц-дропов. Их используют заказчики из числа крупных онлайн-казино, криптовалютных обменников, пиратских сайтов и наркошопов, несмотря на блокировку таких ресурсов.
🔔 ITsec NEWS
⚡️Цифровизация автопрома создаёт новые риски кибербезопасности
💬Активная цифровизация в автомобильной промышленности создаёт значительные проблемы в области кибербезопасности. Современные производственные предприятия сталкиваются с расширением зон атаки и сложностью управления операционными технологиями (OT). Многие руководители и специалисты по безопасности шокированы количеством уязвимостей, которые остаются незамеченными в их рабочих средах.
Внедрение новых технологий и большое число поставщиков усложняют защиту производственных систем. Уязвимости появляются на всех уровнях производственного процесса, делая автомобильные заводы привлекательной мишенью для киберпреступников.
Автомобильная отрасль, объединяющая крупные корпорации и небольших поставщиков, отличается разнообразием операционных систем, часто устаревших и не поддерживаемых производителями. Это делает её особенно уязвимой перед атаками, такими как вымогательство, шпионаж и саботаж.
Известные группировки, такие как LockBit и Black Basta, ранее уже использовали сложные методы, включая двойное вымогательство, чтобы наносить удары по автопроизводителям. Атаки сопровождались не только шифрованием данных и их кражей, но и частичной остановкой производства.
Наиболее опасными остаются так называемые атаки «нулевого дня», где злоумышленники используют неизвестные уязвимости в программном обеспечении. Такие атаки могут привести к утечке данных, нарушению производственных процессов и значительным финансовым потерям.
В современных производственных системах проблема усугубляется «плоской» архитектурой сетей, где отсутствует сегментация. Это позволяет злоумышленникам легко проникать в системы и перемещаться между ключевыми элементами производственного цикла. Кроме того, отсутствие чёткого контроля за подключаемыми устройствами и сторонними системами создаёт дополнительные риски.
Эксперты подчёркивают, что одних только инструментов мониторинга недостаточно для обеспечения безопасности. Производителям необходимо немедленно внедрять меры защиты критически важных компонентов, таких как сегментация сетей, виртуальные патчи и защита конечных точек. Также важно обучать сотрудников и внедрять принципы Zero Trust, чтобы предотвратить распространение угроз.
Для повышения безопасности автопроизводители должны взаимодействовать с партнёрами, специализирующимися на защите OT-сред, и адаптироваться к международным стандартам, таким как NIST и IEC. Только активные действия помогут минимизировать риски и сохранить бизнес-процессы, несмотря на сложности и угрозы.
🔔 ITsec NEWS
⚡️35 лет программам-вымогателям: от первой атаки до наших дней
💬В декабре 1989 года биолог-эволюционист с докторской степенью Гарварда, Джозеф Попп, запустил первую в истории массовую кибератаку с целью получения выкупа. Злоумышленник разослал 20 000 дискет участникам конференции Всемирной организации здравоохранения по СПИДу в Стокгольме, охватив таким образом 90 стран мира.
Вредонос, получивший название AIDS Trojan или Aids Info Drive, при установке захватывал контроль над файлом AUTOEXE.BAT и начинал отсчитывать количество перезагрузок компьютера. После 90-й перезагрузки система блокировалась, требуя от пользователя приобрести лицензию для дальнейшей работы с устройством.
Расследованием первой масштабной атаки занялся Скотланд-Ярд, выдавший ордер на арест создателя вируса. Случай с рассылкой зараженных дискет стал поворотным моментом в истории кибербезопасности и открыл дорогу новому типу цифровых угроз, которые хакеры продолжают совершенствовать и по сей день.
По словам Кевина Каррана, профессора кибербезопасности Ольстерского университета и старшего члена IEEE, за прошедшие десятилетия тактика киберпреступников сильно изменилась, хотя их главные мотивы, получение денег и нарушение работы систем, остались прежними.
Современные варианты вредоносного ПО стали агрессивнее своих предшественников. Если раньше жертвы страдали только от простоев и недоступности данных, то теперь хакеры применяют двойной и даже тройной шантаж, угрожая не только блокировкой, но и публикацией конфиденциальных данных.
В 2021 году атака на трубопровод Colonial Pipeline в США наглядно проиллюстрировала, насколько серьезный урон могут нанести злоумышленники критической инфраструктуре. Инцидент парализовал систему, обеспечивающую 50% поставок топлива в Северной Америке, что привело к временному топливному кризису в нескольких штатах.
Киберпреступность эволюционировала в полноценную индустрию. Хакерские группировки создали структуры, копирующие легальный бизнес: с партнерскими сетями, реселлерами, поставщиками и даже колл-центрами для общения с жертвами атак. Представители этих центров консультируют пострадавших по вопросам оплаты выкупа и восстановления доступа к данным.
Появилась модель "вредоносное ПО как услуга" (RaaS), в рамках которой хакеры предоставляют коллегам готовые вирусы по подписке, включая обучение их использованию. Конечно, круг потенциальных киберпреступников расширился, так как продвинутые инструменты стали доступны даже самым неопытным.
В 2024 году средний размер требуемого выкупа достиг 2 миллионов долларов - это в несколько раз выше показателей предыдущих лет. По прогнозам Cybersecurity Ventures , к 2031 году ежегодный ущерб от атак программ-шифровальщиков может достигнуть астрономической суммы в 265 миллиардов долларов.
Среди наиболее известных группировок, определяющих современный ландшафт киберугроз, выделяются Black Cat, LockBit, Cl0p, Revil и Conti. Каждая из них специализируется на определенных типах атак и секторах экономики. Группировка Cl0p прославилась взломом популярной системы передачи файлов Moveit, затронувшим множество крупных организаций.
Российские власти в 2022 году объявили о ликвидации группировки Revil, которая считалась одной из самых опасных в киберпространстве. В этом году появилась информация о захвате даркнет-сайта банды ALPHV/BlackCat правоохранительными органами, однако позже возникли подозрения, что картель инсценировал собственное закрытие.
🔔 ITsec NEWS
