6242
Регулярные новости и интересные публикации в сфере ITsec. По вопросам сотрудничества писать @cyberhackGL
Решили попробовать новую рубрику: “Анатомия атаки” — реальные кейсы реальных взломов. Интересна ли она вам — покажет реакция.
BlackSuit и двойной удар, который парализовал почти всю автоторговлю США. CDK Global — это не просто софт. Это позвоночник автомобильной индустрии США. Всё: дилеры, сервисы, зарплаты, инвентарь, CRM, расчёты, кредиты — проходят через эту платформу. И вот, в середине июня 2024, всё это останавливается. Мгновенно. Потому что по сети прошёл BlackSuit.
18 июня — первый удар. Хакеры проникают в инфраструктуру CDK. Вероятно — через фишинг или уязвимость. А дальше — чистая классика: Cobalt Strike, Brute Ratel, сбор инфы, боковое перемещение. Всё красиво, грамотно, без спешки. В ход идут инструменты RClone и Brute Ratel, чтобы выкачать нужное — данные, карты сети, доступы. Всё, что пригодится потом. CDK реагирует быстро, вырубает всё. Начинается восстановление.
И тут второй удар. На следующий день, когда всё только-только запускается. Системы встают снова. Значит, BlackSuit остался внутри. Значит, они всё это время сидели в сети. Ждали. Смотрели. Дождались момента — и добили. Именно так работают профи: на упреждение, с таймингом, с пониманием внутренней кухни.
И это не просто какие-то новички из даркнета. BlackSuit — детище Royal, а те — прямые наследники Conti. Код сравнили — почти клон. Сходство до 98%. По технике — всё как по учебнику: частичное шифрование через OpenSSL AES, выключение виртуалок ESXi, автоудаление теневых копий, уникальный ID для каждой жертвы. Каждый шаг рассчитан. Каждый байт зашифрован.
21 июня — выплата. 25 миллионов долларов в биткоинах. Через посредников. Через криптоадреса, связанные с фирмами, которые “помогают” жертвам ransomware. Деньги двигаются дальше — в лучших традициях отмывания: 200 транзакций, 5 бирж, 20 кошельков. Как по нотам. Утром — взлом. Через пару дней — оплата. Почти как подписка на боль.
CDK получает ключи. Начинает восстановление. Только займёт это не пару часов, а почти две недели. Потому что надо не просто расшифровать, а вычистить всё: сети, резервные копии, отладить заново каждую систему. И удостовериться, что ни одного хвоста, ни одного backdoor-а не осталось.
Эта атака стала зеркалом: в нём — и индустриализация вымогателей, и уязвимость больших инфраструктур, и то, насколько опасна централизация критически важного софта в руках одной компании. Стоит одной трещине пройти по сети — и ты не просто лежишь. Ты лежишь с сотнями других, кто зависит от тебя.
BlackSuit не просто взломали CDK. Они показали, как слаженно, грамотно и хладнокровно можно обрушить отрасль. Один ключ — и половина автосалонов Америки встала.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
В блокчейне Bitcoin всплыло нечто странное. Речь идёт о серии сообщений, зашитых прямо в транзакции через OP_RETURN. Неизвестные атакующие передают фальшивые юридические уведомления… внутри самого блокчейна. Цель у них внушительная — кошелёк, где хранятся 80 000 BTC, украденных из Mt. Gox ещё в 2011 году. На секундочку — это почти $9 миллиардов.
Началось всё с фразы: “We have taken possession of this wallet and its contents”. Потом пришёл ультиматум: “Prove it by an on-chain transaction by Sept 30th”. Далее — линк на сайт, будто бы официальный, с доменом salomonbros.com, в духе старых Wall Street времён. А финальный штрих — крипто-загадка в стиле Lost: “4 8 15 16 23 42”. Те самые цифры, что в сериале вели к катастрофе. Угроза? Предупреждение? Или просто извращённое чувство юмора?
Сайт, кстати, вполне убедителен. SSL-сертификат, фирменный стиль, даже юридическое лицо в Нью-Йорке зарегистрировали. Только вот банк Salomon Brothers закрылся 20 лет назад. А форму на сайте предлагают заполнить тем, кто, возможно, когда-то владел этим кошельком. Ввести свои данные. Предоставить подпись. Подтвердить доступ к приватному ключу. Подозрительно? Слишком.
И тут начинается самое странное. В тот же день, когда было отправлено последнее сообщение с числами Lost, с восьми старых кошельков, дремавших с 2011 года, одномоментно уходит почти 80 000 BTC. Это не совпадение. Это синхронизация уровня спецоперации. Или гениальный социальный взлом, или кто-то действительно получил доступ к старым wallet.dat — и хочет проверить, кто ещё может претендовать на эти монеты.
Сценариев немного: либо криптографическая уязвимость в старых P2PKH-адресах, либо чей-то забытый жёсткий диск проснулся, либо это финт ушами для отвлечения внимания. Но одно ясно точно — всё это стоит недешево. Транзакции в Bitcoin с OP_RETURN — не бесплатная игрушка. Кто-то заплатил комиссии, продумал тайминг, и вывел это в публичное пространство блокчейна.
На фоне роста криптомошенничеств в 2025 году (всего за полгода — $2.47 млрд убытков по данным Chainalysis) подобные атаки выглядят уже не как фантастика, а как новый рубеж. Когда фишинг приходит не на почту, а в саму цепочку блоков. Когда блокчейн становится не гарантией правды, а инструментом давления.
BitMEX Research уже предупредили: не заполняйте формы, не ведитесь на “юридические уведомления” в транзакциях, и, главное — если у вас есть старые BTC, перенесите их на новые адреса с актуальной схемой (bc1q-). В блокчейне нет службы поддержки. Только вы и ваши ключи.
Это уже не просто аферы с поддельными токенами. Это социальная инженерия, зашитая в сам протокол. И если у атакующих получится доказать работоспособность схемы — мы увидим новый тренд. Новый формат угрозы. Новый способ манипуляции доверием к неизменяемому реестру.
#Bitcoin #Мошенничество
ITsec NEWS
С июля 2024 года по российским организациям идёт точечная кибершпионская кампания с редким почерком и новым инструментом — Windows-шпионом Batavia. Злоумышленники выдают себя за деловых партнёров: письма приходят с домена oblast-ru[.]com и выглядят как обычное коммерческое предложение — только в архиве не смета и контракт, а VBE-скрипт на Visual Basic, замаскированный под документ. Открываешь — и незаметно запускается сборщик информации. В первую очередь — системные характеристики. Далее на сцену выходит модуль на Delphi, который по классике показывает жертве подложку — «документ», не вызывающий подозрений, — а в это время методично тянет из системы списки программ, конфигурацию железа, подключённые носители, делает скриншоты и копирует документы: DOC, PDF, всё подряд.
Атака не ограничивается одним этапом. После первичного сбора данных загрузчик просит у C2-сервера следующий бинарник — более прожорливый. Он умеет выкачивать изображения, презентации, архивы и практически всё, что может иметь хоть какую-то ценность. Всё это добро уходит на ru-exchange[.]com. А дальше ещё один этап — очередной бинарник с новыми возможностями. Типичная цепочка для многоступенчатой операции: разведка, закрепление, расширение доступа, эксфильтрация.
По информации от Kaspersky, такие письма за год получили более сотни адресатов в разных компаниях. Масштабы пока не критические, но характер точечный и прицельный — речь явно не о массовой рассылке, а о продуманной разведывательной кампании. В параллельной аналитике Fortinet описан схожий стилер NordDragonScan — с другим механизмом распространения (RAR-архивы, LNK-файлы, HTA через mshta.exe) и .NET-модулем, заточенным под кражу браузерных профилей и документов. Стратегия — та же: отвлекающая «декоя» и скрытая загрузка полезной нагрузки.
Все эти истории — напоминание: защита — это не один фильтр. Это комбинация. Сквозная верификация почты. Жёсткий контроль скриптов и HTA. DLP для чувствительных документов. И, конечно, непрерывный анализ трафика — потому что фаза эксфильтрации всегда оставляет следы. Вроде ничего необычного — но в контексте кампаний уровня Batavia эти шаги становятся критически важными. Потому что здесь не ломают систему лобовой атакой — здесь заходят как будто по делу, улыбаются — и тихо забирают всё, что может быть интересно.
#APT #WindowsMalware
ITsec NEWS
ChatGPT и другие нейросети стали новым вектором риска — и не из-за взломов, а из-за собственных ошибок. Исследование Netcraft показало, что языковые модели вроде GPT-4.1 регулярно выдают пользователям неправильные адреса сайтов. В каждом третьем случае совет бота уводит не на официальный ресурс, а либо в пустоту, либо сразу в лапы злоумышленников.
Сценарий уже активно используют фишеры. Они заранее анализируют «галлюцинации» ИИ — спрашивают у него домены банков, сервисов, магазинов. Если бот придумал несуществующий адрес, мошенники регистрируют его, оформляют сайт под оригинал и просто ждут. Человек, доверяющий нейросети, вводит свои данные, думая, что всё под контролем. На деле — полный контроль у киберпреступников.
Роб Дункан из Netcraft прямо говорит: то, что раньше считалось «безопасной халтурой» ИИ, теперь становится инструментом атак. Более того, схема работает и наоборот — злоумышленники засоряют интернет поддельными страницами, репозиториями и инструкциями, чтобы искусственный интеллект учился на этом мусоре и начинал сам советовать фейковые ресурсы. Такой случай уже был с экосистемой Solana — ИИ «рекомендовал» вредоносный API, потому что весь интернет вокруг этого проекта был подделан.
Главный вывод здесь неприятно очевиден: нейросеть — не авторитет, когда речь идёт о безопасности. Проверяйте адреса вручную, держите официальные закладки и не верьте ни одному «умному помощнику», если дело касается денег, доступа к аккаунтам или установки софта. ИИ может многое, но ответственность за клик — по-прежнему на вас.
#фишинг #ИИ #ChatGPT #безопасность
ITsec NEWS
Мессенджер Max снова в эпицентре скандала — приложение, которое власти планируют превратить в «национальный» коммуникационный сервис, за последний месяц собрало внушительный список вопросов к безопасности и приватности. И дело не только в сырости софта или низких оценках пользователей.
Первое, что вызвало волну критики — доступ к данным, о котором пользователь узнаёт только постфактум. Max при установке через RuStore получает список всех установленных приложений на Android, что по стандартам безопасности вызывает как минимум удивление. Дополнительно приложение имеет доступ к буферу обмена — а значит, если в нём были пароли, кошельки или другая чувствительная информация, риски очевидны.
Дальше — интереснее. Исследователи выяснили, что внутри Max используется библиотека uCrop — продукт украинской компании Yalantis. Для мессенджера, который позиционируется как безопасная альтернатива западным сервисам, это звучит как минимум странно. Политика импортозамещения, судя по всему, пока ограничивается маркетингом.
Компания-разработчик Max — «Коммуникационная платформа» — по данным реестров, состоит из двух человек. Лицензий ФСТЭК и ФСБ на использование криптографии у них нет, а это обязательное требование для работы с данными на уровне, который предполагает государственная интеграция.
Обещанная «высокая защищённость» и «локализация данных» на деле тоже вызывает вопросы. По данным Anti-Malware.ru, часть информации уходит на зарубежные сервера. Приложение не прошло сертификацию российских регуляторов, а значит, его внедрение в госуслуги или другие системы — потенциальный риск.
На практике всё это уже сказывается. Пользователи жалуются на баги, вылеты и нестабильность. Журналисты из DTF столкнулись с тем, что приложение зависало при выборе аватарки, регистрацию удалось пройти только с четвёртой попытки, помогла переустановка. В iOS-версии Max реализовали переводы между пользователями, но в Android этого нет до сих пор.
Фактор зарубежных технологий подтверждают и разборы кода на DTF и Pikabu. uCrop — лишь один из примеров, а учитывая политический и кибербезопасный контекст, такая практика — потенциальная угроза.
Конечно, есть и те, кто считает критику частью конкурентной борьбы, особенно учитывая планы Минцифры активно внедрять Max, интегрировать его с Госуслугами и другими сервисами. Но пока что реальность выглядит так: вместо безопасного госмессенджера мы получили сырое приложение с чужими библиотеками, отсутствием лицензий и рисками утечек. И вопрос о том, кто на самом деле контролирует ваши данные, остаётся открытым.
#утечка #мессенджеры #max
ITsec NEWS
В установщике популярного текстового редактора Notepad++ версии 8.8.1 обнаружена опасная уязвимость, которая позволяет злоумышленникам получить права администратора уровня SYSTEM. Проблема уже устранена в версии 8.8.2, но если вы используете более старую сборку — риск остаётся.
Суть уязвимости стандартна для классических атак на Windows — так называемый Search Order Hijacking. Это техника, которая использует особенности того, как Windows ищет исполняемые файлы. В установщике Notepad++ разработчики не указали абсолютный путь к системной утилите regsvr32. В результате, если в той же папке окажется поддельный regsvr32.exe с вредоносным кодом, система выполнит именно его.
Сценарий атаки примитивен: злоумышленнику достаточно уговорить пользователя положить в одну папку, например, «Загрузки», оригинальный установщик Notepad++ версии 8.8.1 и вредоносный файл с именем regsvr32.exe. После запуска установщика вредоносный код активируется автоматически — с правами SYSTEM, без дополнительных запросов и предупреждений.
Уязвимость уже подтверждена исследователями, опубликован рабочий PoC и видеодемонстрация. Разработчики Notepad++ оперативно исправили проблему — в обновлении 8.8.2 установочный скрипт корректно использует абсолютные пути к системным утилитам, как того требуют рекомендации Microsoft.
Подобные уязвимости — не редкость. Search Order Hijacking остаётся одним из излюбленных способов скрытых атак, поскольку позволяет обойти антивирусы и защиту системы за счёт стандартного поведения Windows. Ранее аналогичные дыры обнаруживали в продуктах Motorola Software Fix (CVE-2025-1700) и ряде других популярных приложений.
Рекомендации остаются стандартными: не храните установщики в папках с сомнительными файлами, скачивайте ПО только с официальных сайтов, проверяйте «Загрузки», своевременно обновляйте приложения и систему. Даже привычный текстовый редактор может стать точкой входа для атаки, если разработчики игнорируют базовые требования безопасности.
Чтобы проверить версию Notepad++, откройте меню «Справка» → «О программе».
#notepad #уязвимость #exploit #безопасность
ITsec NEWS
Лаборатория Касперского сообщила о новом кроссплатформенном шпионском трояне SparkKitty, который обошёл официальные проверки как Google, так и Apple — что для iOS считается крайне редким случаем.
На iPhone вредонос скрывался за приложением для отслеживания криптокурсов под названием 币coin. На Android — маскировался под мессенджер с функцией криптообмена. В Google Play приложение успели скачать более 10 тысяч раз. Параллельно злоумышленники распространяли модифицированные версии TikTok и азартных игр через поддельные сайты.
Для iOS использовалась привычная уже схема с корпоративными сертификатами, позволяющая устанавливать ПО в обход App Store. На Android троян распространялся через соцсети и рекламу в YouTube. Особенность SparkKitty — он не просто сидел в системе, а действительно выполнял заявленные функции, чтобы не вызвать подозрений. Но при этом тайно забирал данные пользователя.
Главная цель трояна — доступ к галерее устройства. SparkKitty выгружает все изображения, чтобы искать скриншоты с seed-фразами криптокошельков. Помимо этого, собирается информация об устройстве. В модифицированном TikTok вредонос умел подменять содержимое профиля, добавлять фишинговые ссылки и интегрировать магазин с оплатой в криптовалюте.
Основной удар пришёлся по пользователям из Юго-Восточной Азии и Китая, но специалисты подчёркивают — пользователи из России также находятся в зоне риска. Исследователи отмечают схожесть кода и инфраструктуры SparkKitty с более ранней шпионской кампанией SparkCat.
Чтобы минимизировать риски, эксперты рекомендуют не хранить seed-фразы и пароли в виде фотографий или скриншотов, использовать менеджеры паролей, тщательно проверять отзывы и рейтинг приложений, избегать джейлбрейка и устанавливать антивирус.
Троян уже детектируется как HEUR:Trojan-Spy.AndroidOS.SparkKitty и HEUR:Trojan-Spy.IphoneOS.SparkKitty. Apple и Google уведомлены о заражении, вредоносные приложения удалены из магазинов.
#SparkKitty #криптовалюты #троян #AppStore #GooglePlay
ITsec NEWS
Google официально подтвердила внедрение многоуровневой защиты для своих генеративных ИИ-моделей Gemini, чтобы минимизировать риск одной из ключевых уязвимостей — атак через prompt injection, особенно их косвенной (indirect) формы.
Prompt injection — это техника, когда злоумышленник внедряет скрытые инструкции в запрос к ИИ, чтобы обойти ограничения модели, получить приватные данные или заставить её выполнить нежелательные действия.
Громкие события в ITSEC: 16–20 июня 2025.
Неделя показала: киберпространство стало полем геополитики, а регуляторы — жестче. Вот главное:
Nobitex: $90M в пепел.
Иранская криптобиржа атакована группой Gonjeshke Darande. Через уязвимость в горячих кошельках похищено $90M в BTC, ETH, USDT. Сеть Tron использована для вывода с провокационными подписями:«FuckIRGCTerrorists».
Атака синхронизирована с израильскими ударами по ядерным объектам Ирана. Хакеры сожгли средства, превратив кражу в политический акт. Биржа отключена, пользователям обещают компенсации.
Двойная утечка: Aflac и WaPo.
◾️Aflac: Социнженерия привела к утечке SSN, медданных и PII клиентов. Расследование начато 12 июня.
◾️Washington Post: Взломаны почты журналистов по нацбезопасности и Китаю. Под подозрением — госшпионаж (КНР/РФ).
Критические уязвимости:
Langflow (CVE-2025-3248):
◾️RCE через эндпоинт /api/v1/validate/code. Эксплуатируется ботнетом Flodrix для DDoS-атак и кражи данных.
◾️Патч: версия 1.3.0+ с аутентификацией.
BeyondTrust (CVE-2025-5309):
◾️SSTI в чат-модуле → удалённое выполнение кода. Уязвимы Remote Support/PRA версий 24.2.2–25.1.1.
◾️Рекомендация: Срочное обновление + SAML-аутентификация.
Жёстче контроль.
Росфинмониторинг: С 1 июня блокирует переводы без суда на 10 дней при подозрении в отмывании. Под ударом: частые мелкие транзакции, "странные" траты.
Мессенджер Max: Обязательная предустановка на смартфоны с 1 сентября. Интеграция с Госуслугами, ЭЦП, цифровой ID.
Скандал: 1С-Битрикс и Ирландия.
Исследование DPA Analytics: 11 лет CMS тайно отправляла данные на сервер в Ирландии через скрипт bitrix.info/ba.js.
◾️Вендор: "Это метрики скорости из модуля «Скорость сайта»".
◾️Эксперты: Сбор поведенческих данных без согласия.
Функция отключена с 7 июня, но вопросы к ФЗ-152 остаются.
Ransomware + юристы = ад.
Группировка Qilin внедрила опцию «Call a Lawyer»:
◾️"Адвокаты" давят на жертв: оценивают ущерб, грозят исками.
◾️Цель: увеличить выкуп через легальные угрозы.
ИИ — орудие преступников.
Отчёт OpenAI: Группы из РФ, КНР, Ирана используют ИИ для:
◾️Генерации вредоносов (включая Windows-эксплойты).
◾️Фишинга и социнженерии через ChatGPT.
◾️Пропаганды (ботсети в TikTok/X).
#итоги
ITsec NEWS
Под видом мода к Minecraft — стилер, связанный с русскоязычными хакерами. 1500 игроков скомпрометированы.
Исследователи из Check Point обнаружили активную кампанию заражения, в которой обычный .jar-файл из папки модов превращается в бэкдор. Цепочка атаки начинается там, где игроки меньше всего ждут — на GitHub. Там всё выглядит прилично: аккуратный репозиторий, описание, “обновлённая версия мода”, имя, похожее на давно знакомое. Никаких признаков угрозы.
Но за этим стоит Stargazers Ghost Network — распределённая DaaS-платформа (вредонос как сервис), которая через тысячи поддельных GitHub-аккаунтов распространяет заражённые версии популярных чит-модов для Minecraft, включая Oringo, Taunahi, PolarClient и другие. При скачивании и помещении .jar-файла в папку модов заражение происходит сразу при запуске игры. Дальше начинается тихая цепочка.
Сначала активируется первый вредонос, подгружающий дополнительные компоненты с IP, закодированного в Base64 на Pastebin. Затем на машину загружается второй .jar — уже со стилером, ориентированным на Discord, Minecraft, Telegram. Но и на этом не всё. Финальный этап — это .NET-модуль, который ворует всё, до чего дотягивается: пароли, данные кошельков, логины Steam, содержимое буфера обмена, скриншоты экрана, список процессов. Всё отправляется через Discord webhook — быстро, молча и без жалоб от антивируса. На VirusTotal эти файлы не ловятся — они сделаны под конкретную, узкую аудиторию, и выглядят как “свои”.
Атака продолжается с марта 2025 года. На июнь подтверждено более 1500 заражённых машин. И все они — игроки Minecraft, которые просто хотели “улучшить клиент”.
Исследователи нашли признаки, указывающие на русскоязычное происхождение. Время коммитов совпадает с UTC+3. В коде — русские слова и метки. Один из пакетов носит имя me.baikal.club, что вряд ли случайно. В совокупности это говорит о локализации атаки, хотя формально она построена на международной площадке — GitHub.
GitHub — это не просто репозиторий. Это стал канал доставки вредоноса. Более 3000 поддельных аккаунтов работают на то, чтобы один .jar оказался в нужной папке у доверчивого игрока. Дальше — скрипты делают всё сами.
Поддельные моды, замеченные в кампании: FunnyMap, Oringo, PolarClient, SkyblockExtras, Taunahi и их вариации. Всё с привычными названиями, скомпилировано как будто “как всегда”. Отличить без анализа — невозможно.
Что делает этот кейс особенно опасным — это не просто заражение. Это инфраструктура. Stargazers Ghost Network — это сервис, который может быть адаптирован под любую аудиторию. Сегодня — Minecraft. Завтра — Genshin, Telegram-десктоп, Steam-плагины. Механизм уже отработан.
Minecraft — не мелочь. Это одна из самых массовых игр на планете. Более 200 миллионов игроков. И когда вредонос становится частью игрового клиента — он получает ключ к дому. Без предупреждения.
#Minecraft #хакеры
ITsec NEWS
С 1 июня 2025 года в России официально вступили в силу новые полномочия Росфинмониторинга. Теперь ведомство может замораживать финансовые операции граждан до 10 дней — без решения суда, только на основании “подозрения”. Если сигнал поступит от зарубежных структур — срок блокировки может растянуться до 30 дней.
В прицеле — дропперы и схемы отмывания, но задевает это не только серых игроков. Под раздачу могут попасть частые переводы от друзей, возвраты долгов, нестандартные траты или просто переводы без “обоснования”. По факту — любая операция, которую алгоритм посчитает “нестандартной”.
Подозрительно — значит под заморозку. Уведомят в день блокировки. Объяснение — в течение трёх рабочих дней, но только если запросишь. При этом блокируют не счёт, а именно сумму, которую считают “сомнительной” — и то лишь на основе внутреннего анализа без суда.
Финансовое мошенничество растёт в разы. Только в первом квартале 2025 — почти 297 тысяч операций на 6,9 млрд рублей. По данным НАФИ, 94% россиян сталкивались с попытками развода. Система захлёбывается — банки блокируют по 700 тысяч счетов дропперов в год, карточки живут не больше пары дней, иногда — минут.
Замглавы Росфинмониторинга Герман Негляд пообещал: всё будет “скрупулёзно”, “никакой компанейщины”. И добавил, что главная цель — уничтожить инфраструктуру дропперов. Потому что это не просто перевод, а способ прогнать деньги через десятки “мелких лиц”, чтобы они исчезли в белом шуме переводов.
Параллельно ужесточены и лимиты: с 30 мая без открытия счёта нельзя перевести больше 100 тысяч при упрощённой идентификации. Хочешь больше — отдай адрес, паспорт, фамилию получателя. Всё в порядке, просто “повышаем прозрачность”.
Официально — всё направлено против мошенников. Но фактически — любая нестандартная активность теперь может быть триггером. Перевёл 15 тысяч другу, а потом ещё 25 — жди звонка. Получаешь деньги “на карту” за фриланс — приготовь договор. Принимаешь деньги от пяти разных людей — добро пожаловать в зону риска.
Не передавай реквизиты, не принимай деньги от незнакомых, имей документы на переводы, предупреждай банк о необычных суммах.
А если блокировка уже случилась — можно обжаловать. Но сначала — объясняй. Быстро и внятно. Желательно — с бумагами.
#закон
ITsec NEWS
17 июня 2025 года в России официально принят закон, который делает передачу банковской карты или SIM-карты для схем с обналичкой — уголовным преступлением. Не штраф. Не административка. А реальная статья, реальный срок.
Теперь, если ты передал свои реквизиты “за вознаграждение” — это не “ошибка молодости”, а статья 187 УК РФ. Причём наказание зависит от роли. От штрафа в 100 тысяч и исправительных работ — до трёх лет лишения свободы. А если ты не просто отдал карту, а вербовал других — можешь получить до шести лет и миллион штрафа сверху. Прецеденты уже на подходе.
Формулировка жёсткая, но точная: уголовная ответственность наступает, если ты осознавал, что участвуешь в схеме и получил за это деньги. То есть — просто “дал карту другу” — ещё не приговор, если ты реально не знал, куда он её понесёт. Но если тебе кинули 5к “за оформление”, и ты молча перевёл — готовься объясняться.
Почему всё так серьёзно? Потому что масштабы лютые. По данным Центробанка, только за 2024 год через дропов прогнали деньги около 2 миллионов человек. 80 тысяч новых дропов ежемесячно. В схемах — в основном молодёжь и те, кто просто хотел “заработать быстро и без заморочек”.
В первом квартале 2025 года по таким делам уже предъявлено исков на 1,5 млрд рублей, из которых 1,2 млрд уже взыскали. Банки теперь обязаны приостанавливать переводы, если видят, что деньги идут “по цепочке”. И да, на рынке черных карт теперь ажиотаж: цена “карты дропа” уже доходит до 70 тысяч.
Есть и гуманизация — если человек передал карту впервые, не знал о схеме или помог раскрыть преступление, его могут освободить от ответственности. Это закреплено в законе. Но в остальном — мягких формулировок больше не будет.
Особый риск — у подростков. Именно их сейчас массово вербуют: через Telegram, фейковые вакансии, объявления “заработай на карте”. Нажимаешь “оформить” — и можешь стать фигурантом уголовки с очень реальным сроком.
Сигнал понятен: “не знал” теперь не работает. Даже если ты просто решил “помочь другу”, если деньги шли через тебя — это может закончиться неразговором, а приговором.
#закон #дропы
ITsec NEWS
С 1 сентября 2025 — мессенджер Max станет обязательным на всех смартфонах в России
10 июня Госдума единогласно приняла закон: с осени на каждом смартфоне, планшете и ряде других устройств, продающихся в РФ, будет стоять предустановленный мессенджер Max — без вопросов, без вариантов.
Официально это не просто мессенджер. Это “цифровая платформа” с функциями от чата до удостоверения личности.
Что внутри:
◾️авторизация через Госуслуги и поддержка усиленной электронной подписи,
◾️родительские собрания и дневники — встроены,
◾️цифровой паспорт: подтверждение возраста, учёбы, заселение в гостиницу,
◾️переводы, аренда, сделки — всё через финансовый модуль Max.
Да, одним приложением теперь можно будет подтвердить личность, подписать договор и получить справку о льготе. И всё это, конечно, “ради удобства”.
Что особенно подчёркивают в Госдуме — безопасность.
Max позиционируется как “отечественная альтернатива Telegram и WhatsApp”, где, по мнению авторов закона, «злоумышленники часто обманывают россиян». Поэтому обещают усиленную защиту, верификацию пользователей, а для пенсионеров — опцию: запрет звонков от неавторизованных номеров.
Разработчик — VK, с интеграцией в госуслуги и банковскую инфраструктуру.
Презентация новых функций ожидается этим летом, а вместе с ней — массовая кампания продвижения платформы среди населения.
Max станет обязательной предустановкой — как браузеры, как Госуслуги. И нет, отказаться при покупке смартфона будет нельзя. Всё “по закону”.
#мессенджеры
ITsec NEWS
6 июня, раннее утро. Вы хотите купить билет — а сайт РЖД не открывается. Мобильное приложение — бесконечный поиск, ошибки сервера, вечная загрузка. Никаких сообщений, просто тишина и пустота. Но это не баг — это настоящая атака. Пресс-служба подтверждает: сайт и приложение РЖД легли под тяжёлой DDoS-волной.
Купить билет онлайн стало невозможно. Работают только кассы — старые добрые окошки на вокзале. Ретрофутуризм на практике: в 2025-м билеты снова берут офлайн, потому что кто-то решил накатить терабит трафика по цифровым венам железных дорог.
Это не первый удар. Только с начала года на инфраструктуру РЖД обрушилось более полутора миллионов кибератак — от банального фишинга до сложных DDoS-кампаний. И судя по всему, атаки не просто участились — они эволюционировали. Атакующие активно тестируют защиту, ищут уязвимости, меняют тактики. Буквально вчера — SQL-инъекция, сегодня — перегрузка сетей, завтра, может быть, что-то ещё.
РЖД отвечает в стиле кибервоенной хроники:
«Кибертеррористы усилили удары по средствам защиты информации. Ответ — слаженная работа служб эксплуатации и блока безопасности РЖД».
Silent Werewolf — когда “рекомендации по кибербезопасности” воруют ваши пароли
Пока вы читаете инструкцию «Как защититься от хакеров», сам хакер уже у вас в системе — потому что этот .docx-файл с якобы полезными советами был заражён стилером. Да-да, теперь шпионское ПО маскируется под рекомендации по кибербезопасности. Ирония? Скорее, новый уровень APT-цирка.
Группировка Silent Werewolf, по данным BI.ZONE, запустила новую волну кибершпионажа — строго по расписанию: март, апрель, май. Только никаких громких атак, уничтожения инфраструктуры или баннеров на экранах. Всё тихо. Всё незаметно. Всё как надо.
Как работают?
Рассылается фишинговое письмо — вполне приличное, часто от имени реальной компании. Вложение — документ с “рекомендациями по защите от киберугроз”, красиво оформленный, никаких подозрений. Если вы его открыли — дальше всё зависит от вашей роли. Если вы интересны хакерам — получите стилер XDigo. Если вы аналитик безопасности — получите фейковый .pdf с языковой моделью LLaMA. Никакого вредоносного поведения. Песочница скажет “всё чисто”. И это ложь.
Цитата BI.ZONE:
«Многие организации, особенно крупные, используют в качестве одного из элементов киберзащиты так называемые песочницы. Чтобы выявить вредоносные программы, песочницы запускают подозрительный объект в виртуальной среде и проверяют, представляет ли он угрозу.
Однако злоумышленники Silent Werewolf предусмотрели такой вариант. После запуска загрузчика происходило обращение к серверу атакующих для скачивания другой вредоносной программы. Если страна или организация, в которых был запущен загрузчик, не интересовала атакующих, или же загрузчик был запущен повторно, то вместо ВПО загружался легитимный файл языковой модели LLaMA. Из‑за этого песочница уже не могла получить вредоносную нагрузку и собрать больше информации по цепочке атаки.»
Милан. Туман. Аэропорт. И арест китайского хакера за кражу COVID-исследований. Xu Zewei не знал, что его рейс в Италию станет последним свободным шагом на долгое время. 33-летний программист, связанный с хакерской группой Silk Typhoon, оказался в наручниках по запросу США. Его обвиняют не просто в взломах — речь идёт о целенаправленных атаках на американские университеты во время первой волны COVID-19. Не просто вирус, а шпионская охота за формулами вакцин.
С февраля 2020-го, когда мир только учился выговаривать слово “коронавирус”, Xu уже знал, где искать самое ценное. По данным Минюста США, он получил указание от китайской госбезопасности — и начал охоту: вирусологи, иммунологи, закрытые исследования. Взломы шли по университетским VPN, уязвимостям в инфраструктуре, и в какой-то момент — Техасский университет. Оттуда выкачали экспериментальные наработки по борьбе с COVID.
Дальше — масштаб. К концу года Xu оказался в эпицентре атаки Hafnium: уязвимости нулевого дня в Microsoft Exchange Server, десятки тысяч взломанных компаний, более 12 тысяч — с полным компромиссом. Silk Typhoon (они же Hafnium) действовали быстро и чисто — будто знали, куда бить. Сервера, облако, обход MFA — арсенал был как у настоящего APT, а не “доморощенных” хакеров.
И это было не хобби. Xu числился сотрудником компании Powerock из Шанхая — формально частной, но на деле одной из тех, что служат прокладкой между хакерами и китайским МГБ. Прямое финансирование? Нет. Но задачи ставятся, ресурсы предоставляются, а после — тишина и отрицание.
Теперь — девять обвинений, 77 лет максимального срока и экстрадиция на кону. Его адвокат настаивает: “фамилия Xu слишком распространена”, а телефон клиента якобы был украден. Но Госдеп уже официально заявил: атаки проводились по поручению китайских спецслужб, и арест — это предупреждение. Не абстрактное. Конкретное. С наручниками и тюремным сроком.
В Китае же всё стандартно: «мы против киберпреступности», «не нуждаемся в чужих вакцинах». Официальный Пекин делает вид, что ничего не произошло. Но произошёл прецедент. Один из «теневых» солдат APT-группы попал в ловушку за пределами своего континента. И пусть вся инфраструктура Silk Typhoon останется нетронутой — кто-то сейчас на всякий случай меняет имена в Telegram и чистит GitHub.
Этот арест не изменит расстановку сил, но может сбить пару голов. В мире, где хакер — это уже не подросток в худи, а агент с корпоративной визиткой, такие сбои — редкость. Но очень наглядные.
#арест #хакеры #COVID #Hafnium
ITsec NEWS
Google Gemini теперь видит ваши переписки в WhatsApp. Это не преувеличение и не заголовок из жёлтой прессы. 7 июля Google тихо активировала новую функцию в своём ИИ-ассистенте Gemini. Без вашего разрешения. Без уведомления в стиле «подтвердите, пожалуйста». Без кнопки «отказаться». Просто однажды утром Gemini начал читать ваши личные сообщения. Смотрит в WhatsApp, листает смартфон, анализирует сообщения и лезет в данные других приложений. Даже если вы раньше всё это отключали.
И да, это работает даже с выключенной опцией “Gemini Apps Activity”. У некоторых пользователей Gemini вообще стоит по умолчанию, как встроенный сервис, и не удаляется через обычные настройки. А Google, как водится, отправила расплывчатое уведомление — вроде как предупредили, но сделать с этим вы особо ничего не можете. Только покопаться в настройках, если знаете куда идти.
Что именно умеет этот молчаливый шпион? Он может отправлять сообщения от вашего имени, совершать звонки, читать переписки, анализировать метаданные и «улучшать свои языковые модели». Звучит безобидно, пока не понимаешь, что эти данные читают не только алгоритмы. Люди — да-да, настоящие люди, включая подрядчиков — тоже получают к ним доступ. Даже если вы всё это отключили — данные могут храниться до 72 часов. Потому что так написано в политике.
Можно ли защититься? Частично. Настройки Gemini позволяют вручную вырубить каждое расширение. Можно отключить “Gemini Apps Activity”. Можно попытаться отключить само приложение через системные настройки. А если вы в теме — удалить полностью через ADB. Но для обычного пользователя это всё звучит как магия на латыни.
Эксперты уже забили тревогу. В Tuta, разработчике защищённой почты, называют это тихим принуждением. Некоторые сравнивают ситуацию с печально известной интеграцией Internet Explorer в Windows: только теперь вместо браузера у нас ИИ, и он сидит гораздо глубже. Прямо в вашей операционной системе.
И это не единичный случай. Meta тоже незаметно внедрила Meta AI в WhatsApp — отключить нельзя. Глобально это уже не баг, а стратегический выбор: вынуждать пользователя отдать данные, чтобы натренировать всё более прожорливые модели. В Европе, кстати, такие штуки потенциально нарушают GDPR. Но пока что всё тихо.
Проверяйте настройки. Убирайте доступ к мессенджерам. Подумайте о более защищённых альтернативах. И если вы действительно цените приватность — отключайте, удаляйте, вытаскивайте ADB. Потому что завтра ваш ИИ-помощник может не просто читать переписку, а начинать предугадывать, что вы скажете, ещё до того, как вы это наберёте.
#Android #Gemini #Приватность
ITsec NEWS
Летом 2025 неизвестный атакующий клонировал голос Рубио и начал целенаправленно рассылать сообщения через Signal. Пять жертв — главы МИД, губернатор, конгрессмен. В каждом случае — личное обращение, иногда с голосом, иногда с текстом, всегда с фальшивым почтовым адресом вида Marco.Rubio@state.gov. Всё выглядело убедительно. Почти.
Госдеп заметил. 3 июля по всем дипломатическим каналам разошлось предупреждение: осторожно, deepfake-звонки. Одновременно ФБР начало расследование — к этому моменту в системе уже было зафиксировано несколько похожих атак. Кто за этим стоит — не ясно. Зато понятно, насколько всё стало просто: 20 секунд исходного голоса, один AI-сервис, и вуаля — «ты» теперь можешь говорить что угодно, кому угодно.
Это уже не про фишинг. Это про vishing нового поколения — когда подделывается не только письмо, но и голос. И если раньше это был трюк из шпионских фильмов, то теперь — сервис за $19.99 в месяц. Злоумышленник заводит диалог, выводит жертву в безопасный для себя канал (Signal, Telegram), и дальше — как повезёт: доступы, информация, даже просто записать разговор и смонтировать нужный фрагмент.
Госдеп рекомендует: подтверждать любые запросы вторым каналом. Корпоративная почта, звонок по известному номеру, что угодно — только не слепая вера в то, что «если он звучит как министр, значит это он». В реальности 2025-го слышать ≠ верить. Уже не первый месяц крупные компании теряют десятки миллионов на deepfake-звонках от «гендиректоров», «финансовых директоров» и прочих «знакомых голосов».
И нет, это не остановится. Сеть учится говорить за вас быстрее, чем вы успеваете обновить политику безопасности. У вас есть публичные выступления? Поздравляю — вы уже обучили свой персональный deepfake-движок.
Вывод? Голос больше не доказательство. Ни для судов, ни для доверия, ни для систем безопасности. Будущее — за многофакторной верификацией, биометрическими фильтрами и здоровой паранойей. Иначе рано или поздно на проводе окажетесь не вы.
#Deepfake #VoiceCloning #атака
ITsec NEWS
В США раскрыли одну из крупнейших схем трудоустройства северокорейских IT-специалистов, которая позволяла КНДР не только зарабатывать миллионы долларов, но и получать доступ к технологиям, криптоактивам и инфраструктуре американских компаний. Министерство юстиции официально подтвердило аресты, обыски и блокировку ключевых элементов этой схемы.
Центральной фигурой оказался гражданин США Чжэньсин «Дэнни» Ван из Нью-Джерси. Именно он координировал работу так называемых «лабораторий ноутбуков» — квартир и офисов, откуда северокорейцы через RMM и KVM-устройства подключались к американским работодателям, выдавая себя за граждан США или третьих стран. Сразу в 14 штатах прошли обыски, изъято почти 200 компьютеров и $7,7 млн в криптовалютах.
Схема была выстроена на высшем уровне маскировки. Украденные документы, поддельные аккаунты на GitHub и LinkedIn, VPN, миксеры вроде Tornado Cash — всё это позволяло сотням IT-специалистов из КНДР проникать в более чем 100 американских компаний, включая финтех, блокчейн и даже оборонную сферу. Посредники в США, Китае, Тайване и ОАЭ помогали логистически и финансово.
Кроме «белых» зарплат, которые затем через криптобиржи и анонимные схемы переводились в КНДР, были зафиксированы и прямые кибератаки. В одном из случаев северокорейцы украли почти $900 тысяч у блокчейн-компании из Атланты.
Группу вычислили благодаря совместной работе спецслужб и корпораций. Microsoft заблокировала более 3000 аккаунтов, связанных с хакерами. Активно использовались ML-системы для выявления фейковых профилей и подделанных портфолио — злоумышленники не только маскировались под фрилансеров, но и создавали подставные компании, нанимали фиктивных «подтверждателей» для прохождения проверок.
Власти США подчёркивают, что речь идёт не просто о трудоустройстве. Это системная угроза национальной безопасности. Деньги, добытые через такие схемы, напрямую финансируют ракетные и ядерные программы КНДР. Эксперты предупреждают: глобальный рынок удалёнки остаётся уязвимым, а подделка документов и цифровых следов с использованием ИИ становится всё более доступной для государств-изгоев.
Эта история — не локальный кейс, а показатель того, как легко сегодня разрушить границы при помощи VPN, соцсетей и фейковых профилей. И если компании не начнут пересматривать цепочки найма и проверку сотрудников, такие схемы будут только масштабироваться.
#КНДР #США #кибербезопасность
ITsec NEWS
Дзержинский суд Санкт-Петербурга поставил очередную точку в одном из самых громких киберуголовных дел последних лет. Четверо фигурантов дела хакерской группировки REvil получили реальные сроки лишения свободы. Но все они были освобождены в зале суда — срок, проведённый в СИЗО, полностью зачли.
Речь идёт об Андрее Бессонове, Михаиле Головачуке, Романе Муромском и Дмитрии Коротаеве. Все они получили по пять лет лишения свободы. Кроме того, у Бессонова конфисковали два BMW 2020 года выпуска, почти 52 миллиона рублей и почти полмиллиона долларов. У Коротаева — Mercedes-Benz C200 2019 года.
Все четверо признали вину по двум статьям: создание и использование вредоносного ПО, а также неправомерный оборот средств платежей организованной группой.
Согласно материалам дела, с 2015 по 2022 год участники схем занимались кардингом — похищением данных банковских карт, в основном граждан США, и последующим обналичиванием денег. Основной инструмент — вредоносное ПО и ресурсы группировки REvil.
Задержания прошли в январе 2022 года. Тогда ФСБ и МВД провели серию операций в Москве, Санкт-Петербурге и нескольких областях. Поводом стали данные, которые американские спецслужбы передали российской стороне о структуре и участниках REvil.
Часть фигурантов дела уже получила приговоры в 2024 году — первая четвёрка отправилась под суд ещё осенью: Пузыревский, Хансвяров, Малозёмов и Заяц. Их сроки составили от 4,5 до 6 лет.
Контекст дела со временем изменился. После начала СВО американская сторона свернула сотрудничество, и дело в России ограничили статьями о банковских картах и вредоносных программах. Обвинения в более серьёзных киберпреступлениях остались за кадром, но расследование по статье о неправомерном доступе к компьютерной информации продолжается.
REvil остаётся одной из самых известных кибергруппировок мира. За последние годы они стояли за атаками на Apple, правительство Техаса и сотни других организаций. В США в 2024 году Ярослава Васинского, одного из активных участников REvil, приговорили к 13 годам тюрьмы и штрафу в 16 миллионов долларов. Другой участник, россиянин Евгений Полянин, до сих пор находится в розыске по делу о более чем трёх тысячах кибератак.
#REvil #киберуголовка #хакеры #суд
ITsec NEWS
Минцифры официально готовит поправки к закону «О связи», которые полностью запретят гражданам менять уникальные идентификаторы мобильных устройств — IMEI. Это часть масштабного пакета по борьбе с кибермошенничеством.
Законопроект предполагает создание единой базы всех мобильных устройств в стране, чёрных списков тех IMEI, которые использовались для перепрошивки, а также государственной системы автоматической блокировки подозрительных устройств.
В первую очередь это ударит по владельцам сим-боксов для массового обзвона, мошенническим колл-центрам, контрабандистам нелегальных телефонов и тем, кто торгует крадеными устройствами.
До сих пор манипуляции с IMEI в России не регулировались — конкретных наказаний пока нет, но в планах — поправки в КоАП и УК РФ. Для сравнения: в Великобритании за такое предусмотрена уголовная ответственность.
Сейчас законопроект проходит межведомственное согласование. Если ничего не изменится, он может вступить в силу уже с 1 сентября 2025 года (но то не точно). При этом обычных пользователей нововведения почти не затронут — изменение IMEI требует специальных знаний и оборудования.
Эта инициатива — часть более широкой кампании: власти уже вводят штрафы до 500 тысяч рублей для операторов за нарушения при продаже SIM-карт, ужесточают ответственность за повторные правонарушения и вводят обязательную маркировку звонков с иностранных номеров.
По данным МВД, за пять месяцев 2025 года ущерб от кибермошенничества в России превысил 81 миллиард рублей. Новый запрет должен лишить преступников возможности «обнулять» историю устройства через смену IMEI и упростить их поиск.
#IMEI #кибербезопасность #мошенничество #закон
ITsec NEWS
В мае 2025 года инфраструктура Cloudflare столкнулась с рекордной по мощности DDoS-атакой. Пиковая нагрузка достигла 7,3 Тбит/с, что на 12% выше предыдущего мирового рекорда. За 45 секунд через сеть компании прошло более 37,4 ТБ мусорного трафика.
◾️Атаку проводили с 122 145 IP-адресов из 161 страны. Больше всего трафика шло из Бразилии, Вьетнама, Тайваня, Китая, Индонезии и Украины.
◾️Средняя интенсивность — 21 925 портов в секунду, пик — 34 517 портов/сек.
◾️99,996% трафика шло по UDP, но использовались и дополнительные векторы: отражение через QOTD/Echo, усиление NTP, Mirai UDP-флуды, Portmap и атаки на протокол RIPv1.
Cloudflare справилась без ручного вмешательства. Нагрузку перераспределили через Anycast-сеть, которая объединяет 477 дата-центров в 293 локациях по всему миру. Дополнительно работали механизмы фингерпринтинга трафика в реальном времени и автоматическая компиляция правил для фильтрации.
DDoS-атаки подобного масштаба способны выводить из строя даже крупные провайдеры, сервисы и хостинг-площадки. Cloudflare открыто делится данными о вредоносной активности — более 600 организаций уже используют DDoS Botnet Threat Feed для проактивной блокировки IP-адресов, задействованных в атаках.
С начала года Cloudflare уже отражала похожие атаки:
◾️Апрель — 6,5 Тбит/с (ботнет Eleven11bot, задействовано 30 000 IoT-устройств).
◾️Январь — 5,6 Тбит/с (ботнет Mirai, около 13 000 заражённых устройств).
Сценарии DDoS-атак усложняются, мощности растут. Если у вас нет инфраструктуры уровня Cloudflare — используйте внешние DDoS-фильтры, отслеживайте активность и не оставляйте инфраструктуру без защиты.
#DDoS #Cloudflare #botnet #Безопасность
ITsec NEWS
23 июня 2025 года один из крупнейших крипторесурсов мира — Cointelegraph — стал точкой входа для фишинговой атаки. Хакеры скомпрометировали сайт, внедрив вредоносный код, который отображал фальшивый баннер с предложением аирдропа токенов CTG на сумму $5500.
Сценарий классический, но опасный: заходишь на сайт, видишь всплывающее окно, где обещают “честный аирдроп”, “аудит CertiK”, “честный запуск”. Просят подключить криптокошелёк — якобы для получения токенов. В реальности — подключение даёт злоумышленникам полный доступ к активам пользователя.
Cointelegraph оперативно отреагировал, но стандартно:
“Не нажимайте, не подключайте, не вводите данные. Мы устраняем проблему.”
1С-Битрикс тайно отправляла данные россиян на сервер в Ирландии.
На календаре — 2025, а в коде — 2014. Именно с того года, как выяснилось, CMS 1С-Битрикс: Управление сайтом устанавливала в систему скрытый скрипт аналитики, который собирал пользовательское поведение: клики, переходы, время на страницах, айпишники. И всё это — без согласия пользователя, без предупреждения администратора и без упоминания в документации. Адрес назначения — bitrix.info/ba.js, физическое местоположение — Ирландия. Не Саратов, не Владивосток. Ирландия. Евросоюз. Трансграничная передача данных без оснований. Привет, ФЗ-152.
Скандал всплыл благодаря исследованию DPA Analytics, где эксперт по ИБ Михаил Парфенов решил покопаться в поведении CMS на уровне сетевых запросов. Результат его ревизии — мрачный: одна пятая сайтов из выборки (а это 650 российских компаний, между прочим) спокойно сливают аналитику на зарубежные сервера, даже не зная об этом. Скрипт вставляется автоматически, и вы не найдете его ни в визуальном интерфейсе, ни в описании настроек. Настоящая закладка. Только не от АНБ, а от родной 1С.
Самое пикантное — момент. Пока Роскомнадзор в марте 2025 года гонялся за Google Analytics, наказывая компании за передачу данных за рубеж, “наш отечественный” Битрикс уже 11 лет как делал то же самое. Только тихо. Безо всякого фанфара. Без pop-up с согласием. Просто, знаете, “чтобы было”.
Что это означает на практике? То, что тысячи российских компаний — от интернет-магазинов до образовательных платформ — могут внезапно оказаться в статусе нарушителей закона о персональных данных. Потому что скрипт шпионит даже тогда, когда его никто не просил. Санкции? Возможны. Штрафы? Абсолютно. Скандалы и запросы в СМИ? Гарантированы.
После публикации исследования компания 1С-Битрикс заявила, что с 7 июня 2025 года сбор данных прекращён, а функция отключена в актуальных версиях. В ближайших обновлениях модуль будет полностью удалён. Представители компании отмечают, что речь идёт о технических метриках, а не о персональных данных.
Хочешь отключить прямо сейчас? Придётся лезть в bitrix/.settings.php и вручную вставлять 'enabled' => false. Не самый дружественный UX. Особенно для того, кто полагался на “готовое решение для бизнеса”.
Что сказал эксперт? Прямо и жёстко: «Это системная история. Большинство российских сайтов даже не подозревают, что они каждый день нарушают закон через подключённые скрипты — от Яндекса до Google, от Telegram-ботов до вот таких скрытых .js». И действительно — даже у “своих” глаз на затылке не оказалось.
Проверьте свой сайт. Возможно, он годами передавал пользовательские данные за границу — и никто об этом вам не сказал. Даже Битрикс.
UPD/ Позиция компании 1С-Битрикс:
В компании поясняют, что тот самый скрипт — не тайный шпион, а часть штатного модуля “Скорость сайта”. По их словам, он собирал только технические метрики — например, скорость загрузки страниц, — а не поведенческие данные пользователей. В 1С-Битрикс подчёркивают, что модуль задокументирован, описан в курсах, а функция уже отключена в последних версиях системы. При этом саму формулировку “скрытая аналитика” вендор считает некорректной и утверждает, что публикации на эту тему искажают реальную картину.
#Bitrix #Битрикс #шпионаж
ITsec NEWS
18 июня в 9:45 по UTC крупнейшая криптоплатформа Ирана — Nobitex — перестала быть просто биржей. В один момент она превратилась в главную точку кибервойны Ближнего Востока. Горячие кошельки были вскрыты через уязвимость в системе внутренних уведомлений. Деньги начали вытекать с такой скоростью, будто их выталкивало изнутри: $10 миллионов ушло за первые 15 минут. Вся операция заняла чуть больше часа.
Основной канал вывода — сеть Tron. Через неё ушло 65% украденного объёма. И это не было незаметным движением — хакеры оставили на адресах цифровые автографы вроде “FuckIRGCTerroristsNoBiTEX”. Удар был рассчитан не только на финансы, но и на медийный эффект.
Общий ущерб оценивается в $81,7 млн. Основная сумма — $48,6 млн в USDT. Оставшееся — другие активы, учитывая, что Nobitex держит до 87% всего криптотрафика страны. Ежедневный оборот — $168 млн, годовой — $2,6 млрд. Биржа — это не сайт. Это инфраструктура. И теперь в ней — пробоина.
На себя атаку взяла хактивистская группа Gonjeshke Darande. Именно они в 2021 вывели из строя 80% иранских АЗС, в 2022 — подожгли металлургический завод через взлом SCADA, в 2023 вернулись к топливной инфраструктуре, а буквально за день до взлома Nobitex — проникли в Bank Sepah, банк, официально находящийся под санкциями США за финансирование КСИР. Их след связывают с Израильским подразделением 8200, хотя прямых доказательств, конечно, никто не покажет.
По времени атака совпала с израильскими авиаударами по ядерным объектам Ирана — за пять дней до. И заявление хакеров ясно дало понять: Nobitex, по их версии, был “инструментом обхода санкций”, “кошельком прокси-групп в Ливане и Йемене” и “цифровой обвязкой ядерной программы”.
Биржа была мгновенно остановлена. Все операции заморожены. Сайт и приложения выключены. Холодные кошельки — по официальным заявлениям — не затронуты. Пользователям пообещали компенсации через страховой фонд и резервы, но пока — тишина. Внутри идёт международное расследование. Внешне — паника.
Крипторынок отреагировал резко: USDT временно отскочил от пега до $0,998, TRX просел на 3,2%, Bitcoin отыграл вниз на 1,5% — до $92,500. Обсуждается потенциальное ужесточение контроля над Tron и стейблами в санкционных юрисдикциях. Особенно — на фоне возможной утечки исходного кода Nobitex, которую пообещали Gonjeshke Darande, если “система не признает вину”.
Биржа пока молчит. Хакеры — нет. Они уже заявили, что внутри ещё остались документы, внутренние переписки, API-ключи и скрипты. И если информация будет опубликована, последствия для иранской криптоэкосистемы будут не техническими, а стратегическими.
Это уже третий крупный взлом за 2025 год. После $1,5 млрд с Bybit и $11,5 млн с BitoPro рынок окончательно выходит из зоны “финансовой песочницы” и превращается в настоящую территорию боевых действий — с географией, диверсиями и пропагандой.
#хакеры #взлом #Иран #Nobitex
ITsec NEWS
Бывший аналитик ЦРУ Асиф Уильям Рахман получил 37 месяцев тюрьмы за утечку документов о возможном ударе Израиля по Ирану. Секретные материалы ушли в Telegram — и на этом история не закончилась.
В октябре 2024 года, находясь на рабочем месте, Рахман сфотографировал документы с грифом “Top Secret”, отредактировал изображения, убрав идентификаторы, и передал их через зашифрованные каналы третьим лицам. Оригиналы он, по данным следствия, спрятал в рюкзак и вынес из офиса. Позже эти файлы всплыли в Telegram-канале Middle East Spectator, вызвав реакцию на уровне международных ведомств.
Среди опубликованных данных — планы Израиля по удару по Ирану, что моментально превратило утечку в дипломатическую воронку. Реакция была молниеносной: внутренняя проверка, сброс логов, зачистка.
Рахман попытался замести следы. С рабочего компьютера он удалил 1,5 ГБ данных: почту, логи, внутренние документы. Также редактировал личные записи, убирая критику в адрес американской внешней политики. Но следы остались. Уже в ноябре 2024 его задержали в Камбодже, где он скрывался после увольнения.
В январе 2025 года он признал вину по двум статьям — за хранение и передачу гостайны.
Министерство юстиции заявило напрямую: он предал доверие, поставив под угрозу безопасность США и союзников.
Максимум по делу составлял до 10 лет лишения свободы. Суд учёл сотрудничество, и Рахман получил 3 года тюрьмы.
#утечка #cia
ITsec NEWS
Исследователи зафиксировали новую волну атак, в которой злоумышленники эксплуатируют уязвимость с оценкой 9.8 по CVSS — CVE-2025-3248. Бьёт она точно: через незащищённый endpoint /api/v1/validate/code во всех версиях Langflow до 1.3.0 можно безо всякой аутентификации выполнить произвольный Python-код прямо на сервере. И да, всё это работает в лоб — без сложных цепочек, без social engineering. Один POST-запрос — и ты внутри.
Сценарий атаки отлажен: сначала массовый скан через Shodan и FOFA, потом PoC-эксплойт, и дальше в ход идёт скрипт, замаскированный под innocuous docker-установщик. Только вместо контейнера на сервер летит ELF-файл вредоноса Flodrix, который мгновенно встаёт на связь с C&C по TCP и через Tor, получает команды и начинает жить своей жизнью — выполнять DDoS, собирать данные, стирать следы и исчезать при малейшем сбое.
Эта новая версия Flodrix — не какая-то шарашкина поделка. Это эволюция. У него уже есть шифрование команд, самоуничтожение при неудачной инсталляции, подмена процессов и хитрое поведение, чтобы не попасться во второй раз. Создатели явно дорабатывают инфраструктуру на лету — на одном и том же хосте замечены разные загрузчики, что говорит о масштабируемости и постоянной отладке.
И всё это происходит в экосистеме, где Langflow активно используется для быстрой сборки AI-сценариев. Платформа популярная, порог входа низкий, а безопасность — оставлена “на потом”. В итоге тысячи серверов в открытом доступе оказались точками входа в ботнет-сеть, которую уже начали использовать для атак.
Официальных данных о масштабах пока нет, но рекомендации однозначные: обновлять всё немедленно. Версия 1.3.0 закрывает дыру через авторизацию. Публичный доступ к Langflow — отключить. VPN, туннель, сегментация — не важно как, главное закрыть. И если ты запускал Langflow “на коленке” для прототипа — проверь, не забыл ли ты его где-то на VPS в фоне.
Flodrix — это не единичная атака. Это пример, как ботнеты быстро адаптируются к популярным фреймворкам и уходят глубже. Сначала — уязвимость. Потом — бэкдор. И пока ты строишь цепочки для LLM, кто-то уже встроил свои.
#Уязвимости
ITsec NEWS
Киберслежка через локальные порты Android: как Meta и Яндекс обходили приватность.
Пока вы верили в режим инкогнито и ставили VPN “на всякий”, кое-кто уже знал, кто вы, откуда вы, и какие у вас приложения установлены. Meta и Яндекс — не просто рекламные монстры, а, как выяснилось, ещё и мастера обхода систем приватности на Android. И делали это годами.
Исследователи из IMDEA Networks, KU Leuven и Университета Радбоуда раскрыли, как через локальные порты Android можно было деанонимизировать пользователей, даже если они чистили кэш, сбрасывали рекламный ID или включали VPN. Всё происходило на уровне устройства — то есть “инкогнито” был просто ролевой костюм для доверчивых.
Схема выглядела как сцена из технотриллера. Браузер, открывший сайт с Meta Pixel или Яндекс.Метрикой, стучался по 127.0.0.1 (локальный порт), искал живое приложение (Facebook, Instagram, Яндекс.Браузер), передавал идентификаторы, а дальше… всё связывалось с аккаунтом. Вы перешли по ссылке в Safari? Отлично, теперь знаем, какой у вас IMEI и где вы живёте.
Этот трекинг работал даже при сброшенном ID. Даже через VPN. Даже с режимом инкогнито. Анализ шёл через WebRTC, WebSocket, иногда с участием поддельных SDP. MAC-адрес, IMEI, deviceID, _fbp-cookie — всё это передавалось в приложение без вашего ведома.
Как развивалась история:
◾️В сентябре 2024 разработчики начали замечать странности — браузер пытался связываться с приложениями через localhost.
◾️В мае 2025 опубликован PoC: топовые сайты подключаются к нативным приложениям прямо из браузера.
◾️3 июня Meta экстренно отключает функционал после звонка из Google.
◾️5 июня Яндекс делает вид, что “ничего не было”, но под шумок выключает соединение — серверную инфраструктуру при этом не трогает.
Чем это грозит компаниям:
Европа не шутит. GDPR расследует кейс — штраф до 4% глобального оборота. В США FTC требует раскрытия всех собранных данных, включая несанкционированные. А в России Роскомнадзор бодро проверяет “на соответствие 152-ФЗ” — а чем ещё заниматься?
Как защититься:
Brave и DuckDuckGo уже блокируют localhost-трекинг. Отключите фоновую работу Facebook, Instagram и Яндекса — они не должны бегать в фоне. Чистите WebView — туда тоже пишется история. И, на всякий случай, проверьте сайты через Meta Pixel Helper — удивитесь, кто на вас смотрит.
Это была не уязвимость. Это был бизнес. Архитектурно встроенная возможность следить, даже если пользователь “ничего не дал”. Meta спрыгнула быстро. Яндекс — спустя день. Но сама идея, что можно отслеживать всех, всегда, в фоне, живёт в коде до сих пор.
И если сегодня Meta пошла на попятную — это не победа, это пауза. Потому что для больших платформ приватность — это не право. Это помеха для таргетинга.
Берегите свои порты. Даже 127.0.0.1 может стучать не вам.
P/S Автору будет приятно если вы накидаете 🔥
Hacker's TOYS
Спецоперация Endgame: домены обфускаторов под арестом.
27 мая 2025 года прошла международная операция, которую в кулуарах уже называют “антивирусной зачисткой десятилетия”. США, Нидерланды и Финляндия, при поддержке Германии, Франции, Дании, Португалии и Украины, изъяли четыре домена, напрямую связанных с подпольными сервисами маскировки вредоносного ПО.
На месте AvCheck.net, Cryptor.biz, Crypt.guru теперь красуется знакомая плашка о конфискации. Всё официально — по линии правоохранительных органов и в рамках масштабной кампании Operation Endgame, которая уже не первый месяц расчищает интернет от инфраструктуры киберпреступников.
Что это были за сервисы? По сути, легальный антивирус в руках хакера. Злоумышленник загружал свой троян — и смотрел, ловят ли его 26 антивирусов или нет. Если ловят — дорабатывал. Если нет — отправлял в рассылку или через эксплойт. AvCheck особенно любили за поддержку доменных и IP-проверок на 22 движках и блоклистах. Полный набор для «перед выходом в продакшн».
Цитата из отчёта:
«Сервисы предоставляли прямую поддержку обфускации вредоносов. Правоохранители подтвердили это под прикрытием, совершив тестовые покупки».
Hazy Hawk: как хакеры воруют домены и рассылают фейковый спам через облако
Облака — это не всегда про удобство. Иногда это про то, как вы забыли закрыть ресурс в Amazon S3, а кто-то уже рассылает с него вредоносные пуши от имени CDC. В 2025 году исследователи из Infoblox вскрыли масштабную киберкампанию под названием Hazy Hawk — и это не просто «атака через DNS». Это умное и почти незаметное переползание в вашу инфраструктуру с помощью забытых настроек и старых облаков.
Как всё устроено?
Злоумышленники сканируют DNS-записи в поисках так называемых dangling CNAME — это когда ваш домен всё ещё указывает на облачный ресурс (Amazon, Azure, GitHub, Akamai, Cloudflare), но сам ресурс уже не существует или был удалён.
Хакеры просто регистрируют этот ресурс заново — и получают полный контроль над поддоменом. Речь не о мелких сайтах: среди жертв — CDC, Deloitte, PwC, Ernst & Young, университеты, госструктуры. Даже у Минздрава США была уязвимость — и это не метафора.
А дальше — классика тёмного UX-дизайна:
На захваченные поддомены вешаются фейковые страницы, которые просят «разрешить push-уведомления» или показывают заманчивые опросы. Разрешил? Получай нескончаемый поток спама, фейковой техподдержки, scareware с надписью «ваш Android заражён», и прочий цифровой мусор. Всё это обходило фильтры, потому что технически шло с домена cdc[.]gov или финансового гиганта.
◼️Вредоносные страницы используют реальные домены крупных брендов.
◼️SEO работает на атакующего: фейковый сайт попадает в поиск, доверие есть, защита — почти нулевая.
◼️Вся инфраструктура легко перепродаётся: сегодня это пуши, завтра фишинг, послезавтра — прокси для атаки на третью сторону.
Infoblox пишет:
«Среди пострадавших — лидеры индустрии, которые просто забыли удалить CNAME-запись после отключения облачного сервиса».