В этом месяце: у Keenetic утек­ли поль­зователь­ские дан­ные, Cloudflare запус­тила лабиринт для лов­ли ИИ‑кра­уле­ров, в GitHub Actions обна­ружи­ли кас­кадную ата­ку на цепоч­ку пос­тавок, РКН пред­ложил изме­нить законо­датель­ство пос­ле DDoS-ата­ки на про­вай­дера Lovit, Android-бот­нет BadBox заразил более 500 тысяч устрой­ств, а так­же дру­гие инте­рес­ные и важ­ные события про­шед­шего мар­та.
 

Утечка Keenetic

Ком­пания Keenetic, которая про­изво­дит сетевое обо­рудо­вание, пре­дуп­редила поль­зовате­лей, зарегис­три­ровав­шихся до 16 мар­та 2023 года, о несан­кци­они­рован­ном дос­тупе к БД сво­его мобиль­ного при­ложе­ния.

Сог­ласно сооб­щению в бло­ге ком­пании, еще в середи­не мар­та 2023 года незави­симый ИБ‑иссле­дова­тель уве­домил Keenetic о том, что БД офи­циаль­ного мобиль­ного при­ложе­ния мог­ла быть ском­про­мети­рова­на. Пос­ле про­вер­ки спе­циалис­ты убе­дились, что эксперт прав, и устра­нили проб­лему в тот же день — 15 мар­та 2023 года.

Тог­да иссле­дова­тель заверил ком­панию, что не переда­вал кому‑либо обна­ружен­ные дан­ные и унич­тожил те образцы, к которым получил дос­туп. До недав­него вре­мени никаких дру­гих сви­детель­ств ком­про­мета­ции БД у ком­пании не было.

Од­нако 28 фев­раля 2025 года ком­пании ста­ло извес­тно, что часть информа­ции из базы дан­ных была рас­кры­та неназ­ванно­му незави­симо­му СМИ. Как выяс­нилось поз­же, этим изда­нием было CyberNews. Жур­налис­ты опуб­ликова­ли собс­твен­ный ана­лиз дан­ных поль­зовате­лей Keenetic, которые в редак­цию изда­ния прис­лали ано­ним­но по элек­трон­ной поч­те. Пос­ле это­го жур­налис­ты уве­доми­ли про­изво­дите­ля об утеч­ке, и ком­пания выпус­тила офи­циаль­ное пре­дуп­режде­ние.

«Мы приш­ли к выводу, что боль­ше не можем гаран­тировать, что дан­ные были дол­жным обра­зом унич­тожены, и часть информа­ции теперь может находить­ся вне нашего кон­тро­ля, — заяви­ли пред­ста­вите­ли Keenetic. — Одна­ко, учи­тывая харак­тер дан­ных, которые потен­циаль­но мог­ли быть рас­кры­ты, мы полага­ем, что риск вре­донос­ных дей­ствий оста­ется низ­ким».

В Keenetic сооб­щили, что было рас­кры­то огра­ничен­ное количес­тво полей БД, а имен­но:

  • иден­тифика­торы Keycloak;
  • ад­реса элек­трон­ной поч­ты (логины) и име­на учет­ных записей Keenetic;
  • ре­гиональ­ные нас­трой­ки;
  • кон­фигура­ции учет­ных записей поль­зовате­лей устрой­ств, вклю­чая хеши паролей MD5 и NT;
  • кас­томные име­на KeenDNS;
  • кон­фигура­ции сетевых интерфей­сов, вклю­чая иден­тифика­торы Wi-Fi SSID и pre-shared-клю­чи;
  • нас­трой­ки каналов Wi-Fi, иден­тифика­торы и клю­чи роумин­га;
  • нас­трой­ки политик IP и шей­пин­га тра­фика;
  • ад­реса уда­лен­ных peer’ов, логины и пароли VPN-кли­ентов, наз­начен­ные IP-адре­са;
  • име­на и MAC-адре­са зарегис­три­рован­ных хос­тов;
  • кон­фигура­ции IPsec site-to-site;
  • кон­фигура­ции сер­вера IPsec Virtual IP;
  • нас­трой­ки пула DHCP;
  • нас­трой­ки NTP;
  • спис­ки дос­тупа IP и MAC.

Дру­гие дан­ные не были рас­кры­ты. В час­тнос­ти, утеч­ка не кос­нулась дан­ных RMM, дан­ных учет­ных записей Keenetic, при­ват­ных клю­чей, а так­же кон­фигура­ции тун­нелей WireGuard VPN и дан­ных OpenVPN.

От­дель­но под­черки­валось, что Keenetic не собира­ет, не хра­нит и не ана­лизи­рует дан­ные о пла­теж­ных кар­тах или свя­зан­ных с ними учет­ных дан­ных, тран­закци­онных дан­ных, бан­ков­ских рек­визитах или бан­ков­ских паролях. То есть финан­совые дан­ные утеч­ка тоже не зат­ронула.

«Мас­сив дан­ных вклю­чает учет­ные дан­ные адми­нис­тра­торов, обширные поль­зователь­ские дан­ные, информа­цию о Wi-Fi, спе­цифи­чес­ких нас­трой­ках устрой­ств и све­дения о сетях. Этот инци­дент пред­став­ляет серь­езный риск для кон­фиден­циаль­нос­ти и безопас­ности, — пре­дуп­редили жур­налис­ты CyberNews. — Зло­умыш­ленни­ки, получив­шие дос­туп к этим дан­ным, могут про­ник­нуть в зат­ронутые утеч­кой сети, отсле­живать или перех­ватывать тра­фик, а так­же ском­про­мети­ровать допол­нитель­ные под­клю­чен­ные устрой­ства».

Боль­шинс­тво пос­тра­дав­ших от этой утеч­ки поль­зовате­лей, по‑видимо­му, находят­ся в Рос­сии. Так, дан­ные о локали помог­ли выявить 943 927 рус­ско­языч­ных поль­зовате­лей, 39 472 англо­языч­ных и 48 384 турец­коязыч­ных.

По утвер­жде­нию ано­ним­ного источни­ка CyberNews, сум­марно утеч­ка вклю­чает:

  • 1 034 920 записей, которые содер­жат обширные дан­ные о поль­зовате­лях: email-адре­са, име­на, локали, иден­тифика­торы Keycloak, Network Order ID, Telegram Code ID;
  • 929 501 запись с под­робной информа­цией об устрой­ствах: SSID и пароли от Wi-Fi откры­тым тек­стом, модели устрой­ств, серий­ные номера, интерфей­сы, MAC-адре­са, домен­ные име­на для внеш­него дос­тупа, клю­чи шиф­рования и мно­гое дру­гое;
  • 558 371 запись о кон­фигура­циях устрой­ств, вклю­чая дан­ные о дос­тупе поль­зовате­лей, уяз­вимые перед брут­форсом пароли с хеширо­вани­ем MD5, наз­начен­ные IP-адре­са и рас­ширен­ные нас­трой­ки мар­шру­тиза­тора;
  • ис­черпы­вающие слу­жеб­ные логи, содер­жащие более 53 869 785 записей, сре­ди которых мож­но най­ти име­на хос­тов, MAC-адре­са, IP-адре­са, све­дения о дос­тупе и даже фла­ги owner_is_pirate.

Поль­зовате­лям при­ложе­ния Keenetic, чьи дан­ные мог­ли быть ском­про­мети­рова­ны, рекомен­дует­ся сме­нить сле­дующие пароли и клю­чи:

«Мы твер­до уве­рены, что несан­кци­они­рован­ный дос­туп был осу­щест­влен без какого‑либо мошен­ничес­кого или зло­го умыс­ла и информа­ция из базы дан­ных недос­тупна пуб­лично. Тем не менее соот­ветс­тву­ющее уве­дом­ление было отправ­лено в государс­твен­ный орган по защите дан­ных.

При­носим изви­нения за любые неудобс­тва и под­твержда­ем, что при­няли все необ­ходимые меры для пре­дот­вра­щения подоб­ных ситу­аций в будущем», — завери­ли пред­ста­вите­ли ком­пании.

24 миллиона утекших записей

  • По дан­ным Рос­комнад­зора, за январь — фев­раль 2025 года в откры­тый дос­туп утек­ли 24 мил­лиона записей о рос­сиянах.
  • Сум­марно в ведомс­тве нас­читали уже 19 уте­чек пер­сональ­ных дан­ных и отме­тили, что по дан­ным фак­там сос­тавле­но пять про­токо­лов об адми­нис­тра­тив­ном пра­вона­руше­нии.
  • Для срав­нения: за весь 2024 год было зафик­сирова­но 135 слу­чаев уте­чек дан­ных, в которых содер­жались более 710 мил­лионов записей о жителях РФ.
 

Лабиринт для ИИ

Ком­пания Cloudflare анон­сирова­ла новую фун­кцию под наз­вани­ем «ИИ‑лабиринт» (AI Labyrinth), которая нап­равле­на на борь­бу с несан­кци­они­рован­ным сбо­ром дан­ных и пре­дос­тавле­ние ботам фаль­шивого ИИ‑кон­тента. Инс­тру­мент приз­ван помешать ИИ‑ком­пани­ям, кра­уле­ры которых без раз­решения посеща­ют сай­ты и собира­ют дан­ные для обу­чения боль­ших язы­ковых моделей (LLM).

По дан­ным Cloudflare, ИИ‑кра­уле­ры ежед­невно генери­руют более 50 мил­лиар­дов зап­росов к сети ком­пании, что сос­тавля­ет око­ло 1% все­го обра­баты­ваемо­го тра­фика. Мно­гие из таких кра­уле­ров собира­ют дан­ные о сай­тах для обу­чения LLM без раз­решения вла­дель­цев ресур­сов, что уже ста­ло при­чиной мно­гочис­ленных судеб­ных исков со сто­роны соз­дателей кон­тента и изда­телей.

Вмес­то прос­той бло­киров­ки ботов новая раз­работ­ка Cloudflare замани­вает их в спе­циаль­ный «лабиринт», сос­тоящий из прав­доподоб­ных, но нереле­ван­тных стра­ниц, что при­водит к тра­те кра­уле­ром вычис­литель­ных ресур­сов и вре­мени. В ком­пании объ­ясня­ют, что обыч­ная бло­киров­ка ИИ‑ботов порой при­водит к обратно­му резуль­тату, пос­коль­ку это лишь пре­дуп­режда­ет опе­рато­ров кра­уле­ров о том, что они обна­руже­ны.

«Ког­да мы обна­ружи­ваем несан­кци­они­рован­ные кра­уле­ры, вмес­то бло­киров­ки зап­роса мы даем им ссыл­ку на серию сге­нери­рован­ных ИИ стра­ниц, которые дос­таточ­но убе­дитель­ны, что­бы зас­тавить кра­улер прой­ти по ним, — объ­ясня­ют спе­циалис­ты Cloudflare. — Нес­мотря на то что такой кон­тент выг­лядит прав­доподоб­ным, на самом деле он не свя­зан с содер­жимым сай­та, который мы защища­ем, поэто­му кра­улер впус­тую тра­тит вре­мя и ресур­сы».

Ком­пания под­черки­вает, что пре­дос­тавля­емый ботам кон­тент намерен­но не име­ет никако­го отно­шения к исходным сай­там, но при этом он тща­тель­но про­рабо­тан или соз­дан с исполь­зовани­ем реаль­ных науч­ных фак­тов (нап­ример, общей информа­ции из области биоло­гии, физики или матема­тики), что­бы избе­жать рас­простра­нения дезин­форма­ции. Cloudflare под­готав­лива­ет такой кон­тент с помощью собс­твен­ного сер­виса Workers AI.

При этом стра­ницы‑ловуш­ки и ссыл­ки оста­ются невиди­мыми для обыч­ных посети­телей и недос­тупны им, что­бы люди не нат­кну­лись на них слу­чай­но. Фаль­шивые ссыл­ки содер­жат соот­ветс­тву­ющие метади­рек­тивы, что­бы пре­дот­вра­тить индекса­цию поис­ковыми сис­темами, но при этом оста­ются дос­тупны для ботов‑кра­уле­ров.

По сути, «ИИ‑лабиринт» пред­став­ляет собой ханипот нового поколе­ния, ведь сов­ремен­ные кра­уле­ры дав­но научи­лись обна­ружи­вать тра­дици­онные ловуш­ки и ссыл­ки, которые не видят люди, но могут обна­ружить боты, пар­сящие HTML-код.

«Ни один живой человек не ста­нет углублять­ся на четыре ссыл­ки в лабиринт сге­нери­рован­ной искусс­твен­ным интеллек­том чепухи, — пишут раз­работ­чики Cloudflare. — Любой посети­тель, который это сде­лает, с боль­шой веро­ятностью ока­жет­ся ботом, так что это дает нам совер­шенно новый инс­тру­мент для выяв­ления и фин­гер­прин­тинга пло­хих ботов».

От­метим, что инже­неры Cloudflare — не пер­вые, кто при­думал соз­давать лабирин­ты и хит­роум­ные ловуш­ки для ИИ‑кра­уле­ров. В начале текуще­го года мы рас­ска­зыва­ли о нес­коль­ких по­хожих про­ектах, авто­ры которых задались целью соз­дать ИИ‑ком­пани­ям как мож­но боль­ше слож­ностей и защитить свои ресур­сы и дан­ные от агрессив­ных кра­уле­ров.

К при­меру, автор про­екта Nepenthes опи­сыва­ет свое детище как агрессив­ное и умыш­ленно вре­донос­ное ПО, пре­дуп­реждая, что вла­дель­цам сай­тов не сто­ит исполь­зовать его, если им не нра­вит­ся ловить ИИ‑кра­уле­ры и отправ­лять их в «бес­конеч­ный лабиринт» из ста­тич­ных фай­лов без ссы­лок на выход, где они могут «зас­трять и бро­дить» месяца­ми.

В отли­чие от соз­дателя Nepenthes, Cloudflare позици­они­рует «ИИ‑лабиринт» как закон­ную защит­ную фун­кцию, которой может вос­поль­зовать­ся любой кли­ент.

Со­обща­ется, что AI Labyrinth пла­ниру­ется дорабо­тать таким обра­зом, что­бы фаль­шивый кон­тент ста­ло слож­нее обна­ружи­вать, а под­дель­ные стра­ницы более орга­нич­но впи­сыва­лись в струк­туру сай­тов.

Стоимость данных в даркнете

  • Ана­лити­ки Positive Technologies изу­чили в дар­кне­те око­ло 3500 объ­явле­ний, свя­зан­ных с утеч­ками информа­ции в мире, опуб­ликован­ных во вто­рой полови­не 2024 года.
  • 60% дан­ных раз­дают­ся на темати­чес­ких пло­щад­ках бес­плат­но и толь­ко 28% про­дают­ся.
  • Бо­лее чем в полови­не объ­явле­ний о про­даже (55%) сто­имость дан­ных не пре­выша­ет 1000 дол­ларов.
  • Са­мые высокие цены были уста­нов­лены на дан­ные пла­теж­ных карт: сред­няя сто­имость набора сос­тавля­ет 2500 дол­ларов.
  • Мень­ше все­го ценят­ся пер­сональ­ные дан­ные: сред­няя цена в объ­явле­ниях об их про­даже — 835 дол­ларов.
  • Нес­мотря на отно­ситель­но высокий уро­вень защищен­ности, фи­нан­совые орга­низа­ции вхо­дят в топ-3 в Рос­сии и дру­гих стра­нах СНГ по чис­лу пуб­ликаций в дар­кне­те, свя­зан­ных с утеч­ками.
  • Дан­ные ком­паний финан­сового сек­тора поль­зуют­ся спро­сом в объ­явле­ниях как о про­даже, так и о покуп­ке. Чаще все­го упо­мина­ются пер­сональ­ные дан­ные (76%), дан­ные пла­теж­ных карт (12%) и учет­ные дан­ные (11%).
  • Так­же утеч­ки информа­ции из финан­совых орга­низа­ций лидиру­ют сре­ди объ­явле­ний о про­даже со сто­имостью более 10 тысяч дол­ларов. Так, каж­дое пятое объ­явле­ние (21%) в этом ценовом сег­менте при­ходит­ся на финан­совый сек­тор, за которым сле­дуют IT-ком­пании (17%) и госуч­режде­ния (17%).
 

Операция «Форумный тролль»

Раз­работ­чики Google Chrome испра­вили уяз­вимость нулево­го дня (CVE-2025-2783), которая поз­воляла осу­щес­твить побег из песоч­ницы бра­узе­ра. Проб­лему выяви­ли спе­циалис­ты «Лабора­тории Кас­пер­ско­го», которые сооб­щили, что уяз­вимость была свя­зана с APT-опе­раци­ей «Форум­ный тролль», исполь­зовав­шей цепоч­ку экс­пло­итов нулево­го дня.

В середи­не мар­та 2025 года иссле­дова­тели обна­ружи­ли вол­ну зараже­ний ранее неиз­вес­тным слож­ным вре­донос­ным ПО. Зараже­ние про­исхо­дило сра­зу пос­ле того, как жер­тва откры­вала ссыл­ку из фишин­гового пись­ма в бра­узе­ре Google Chrome, и никаких допол­нитель­ных дей­ствий от поль­зовате­ля не тре­бова­лось.

От­меча­ется, что все вре­донос­ные ссыл­ки были пер­сонали­зиро­ваны и име­ли очень корот­кий срок «жиз­ни», одна­ко иссле­дова­тели сумели иден­тифици­ровать 0-day-экс­пло­ит, который исполь­зовал­ся для побега из песоч­ницы Google Chrome.

Ана­лиз кода экс­пло­ита и логики его работы показал, что он осно­ван на уяз­вимос­ти нулево­го дня (при­сутс­тву­ющей в том чис­ле в пос­ледней вер­сии Chrome), пос­ле чего экспер­ты уве­доми­ли о баге коман­ду безопас­ности Google. 25 мар­та 2025 года раз­работ­чики бра­узе­ра вы­пус­тили обновле­ние, исправ­ляющее уяз­вимость.

Ис­сле­дова­тели пишут, что этот экс­пло­ит был одним из самых инте­рес­ных сре­ди всех, с которы­ми им доводи­лось стал­кивать­ся. А уяз­вимость CVE-2025-2783 зас­тавила их поломать голову, так как поз­воляла лег­ко обой­ти защиту песоч­ницы Google Chrome без каких‑либо оче­вид­но вре­донос­ных или зап­рещен­ных дей­ствий, буд­то ее вооб­ще не сущес­тво­вало.

При­чиной ока­залась логичес­кая ошиб­ка на сты­ке песоч­ницы и опе­раци­онной сис­темы Windows, и тех­ничес­кие под­робнос­ти будут опуб­ликова­ны «Лабора­тори­ей Кас­пер­ско­го» пос­ле того, как боль­шинс­тво поль­зовате­лей уста­новят обновлен­ную вер­сию бра­узе­ра с пат­чем (134.0.6998.177/.178).

«Наше иссле­дова­ние еще про­дол­жает­ся, но, судя по фун­кци­ональ­нос­ти слож­ного вре­донос­ного ПО, исполь­зован­ного в ата­ке, целью зло­умыш­ленни­ков был шпи­онаж. Вре­донос­ные пись­ма содер­жали приг­лашения от лица орга­низа­торов науч­но‑экспертно­го форума „При­маков­ские чте­ния“ и были нацеле­ны на средс­тва мас­совой информа­ции, обра­зова­тель­ные учрежде­ния и пра­витель­ствен­ные орга­низа­ции в Рос­сии. Мы наз­вали эту кам­панию „Форум­ный тролль“, опи­раясь на темати­ку писем», — рас­ска­зыва­ют экспер­ты.

Вредоносное письмо
Вре­донос­ное пись­мо

Под­черки­вает­ся, что на момент пуб­ликации отче­та вре­донос­ная ссыл­ка не вела на экс­пло­ит, а перенап­равля­ла посети­телей на офи­циаль­ный сайт При­маков­ских чте­ний, но иссле­дова­тели нас­тоятель­но не рекомен­дуют перехо­дить по вре­донос­ной ссыл­ке.

Об­наружен­ный экс­пло­ит был раз­работан для запус­ка вмес­те с допол­нитель­ным экс­пло­итом, поз­воля­ющим уда­лен­но выпол­нять код. К сожале­нию, получить этот вто­рой экс­пло­ит спе­циалис­там не уда­лось.

«Мы мог­ли бы это сде­лать, но тог­да приш­лось бы дожидать­ся новой вол­ны атак и под­вергать поль­зовате­лей рис­ку зараже­ния. Исправ­ление для уяз­вимос­ти побега из песоч­ницы пре­дот­вра­щает исполь­зование всей цепоч­ки для даль­нейших атак», — объ­ясня­ют в ком­пании.

Все изу­чен­ные на дан­ный момент арте­фак­ты ука­зыва­ют на высокий тех­ничес­кий уро­вень зло­умыш­ленни­ков, поэто­му ана­лити­ки утвер­жда­ют, что за этой ата­кой сто­ит некая «прод­винутая и спон­сиру­емая государс­твом APT-груп­па».

Павел Дуров покинул Францию

С раз­решения суда осно­ватель Telegram покинул Фран­цию, где находил­ся с августа прош­лого года. Тог­да Дурова задер­жали в аэро­пор­ту Ле Бур­же и предъ­яви­ли обви­нения, свя­зан­ные с раз­личны­ми прес­тупле­ниями, выяв­ленны­ми на плат­форме (вклю­чая педофи­лию, отмы­вание денег и незакон­ный обо­рот нар­котиков).

Фран­цуз­ские пра­воох­раните­ли заяв­ляли, что коман­да Telegram не борет­ся с незакон­ным кон­тентом и не сот­рудни­чает с влас­тями.

«Как вы, воз­можно, слы­шали, я вер­нулся в Дубай пос­ле нес­коль­ких месяцев, про­веден­ных во Фран­ции, в свя­зи с рас­сле­дова­нием активнос­ти прес­тупни­ков в Telegram. Про­цесс про­дол­жает­ся, но мне очень при­ятно вер­нуть­ся домой.

Я хочу поб­лагода­рить следс­твен­ных судей за то, что они раз­решили это сде­лать, а так­же моих адво­катов и коман­ду за их неус­танные уси­лия и демонс­тра­цию того, что, ког­да дело доходит до модера­ции, сот­рудни­чес­тва и борь­бы с прес­тупностью, Telegram на про­тяже­нии мно­гих лет не толь­ко выпол­нял, но и пре­вышал свои юри­дичес­кие обя­затель­ства.

Так­же я глу­боко приз­нателен мил­лионам людей по все­му миру, которые ока­зали нам под­дер­жку в этом неожи­дан­ном испы­тании. Это очень мно­го зна­чит. Нет ничего, что не смог­ло бы пре­одо­леть наше мил­лиар­дное сооб­щес­тво», — сооб­щил Дуров в сво­ем Telegram-канале.

 

Новая волна BadBox

ИБ‑экспер­ты про­дол­жают бороть­ся с бот­нетом BadBox, в который вхо­дят раз­личные Android-устрой­ства: ТВ‑прис­тавки, план­шеты, умные телеви­зоры и смар­тфо­ны. На этот раз из офи­циаль­ного магази­на Google Play были уда­лены сра­зу 24 вре­донос­ных при­ложе­ния, а так­же уда­лось осу­щес­твить sinkhole и бло­киро­вать мал­варь на 500 тысячах заражен­ных устрой­ств.

BadBox пред­став­ляет собой мал­варь для Android, осно­ван­ную на коде вре­донос­ного семей­ства Triada. Зачас­тую вре­донос может пре­дус­танав­ливать­ся на бюд­жетные устрой­ства пря­мо «из короб­ки» или заражать их через вре­донос­ные при­ложе­ния и про­шив­ки.

Мал­варь исполь­зует­ся для кра­жи дан­ных, уста­нов­ки допол­нитель­ного вре­донос­ного ПО, а так­же поз­воля­ет зло­умыш­ленни­кам получить уда­лен­ный дос­туп к сети, в которой находит­ся заражен­ный гад­жет.

Кро­ме того, BadBox спо­собен воровать коды двух­фактор­ной аутен­тифика­ции, уста­нав­ливать дру­гие вре­донос­ные прог­раммы, соз­давать новые email-акка­унты и учет­ные записи в мес­сен­дже­рах для рас­простра­нения фей­ковых новос­тей. Опе­рато­ры BadBox свя­заны с рек­ламным мошен­ничес­твом, а заражен­ные гад­жеты порой исполь­зуют­ся в качес­тве резиден­тных прок­си.

В начале декаб­ря 2024 года немец­кие пра­воох­раните­ли попыта­лись вы­вес­ти из строя часть бот­нета BadBox. Но вско­ре иссле­дова­тели из ком­пании BitSight со­общи­ли, что эта опе­рация не силь­но пов­лияла на его работу. Так, уже в кон­це декаб­ря бот­нет сно­ва нас­читывал более 192 тысяч заражен­ных устрой­ств по все­му миру.

С тех пор BadBox раз­росся еще боль­ше и теперь нас­читыва­ет более мил­лиона заражен­ных устрой­ств на базе Android. Боль­шинс­тво пос­тра­дав­ших гад­жетов находят­ся в Бра­зилии (37,6%), США (18,2%), Мек­сике (6,3%) и Аргенти­не (5,3%).

Но­вую опе­рацию по борь­бе с бот­нетом воз­гла­вили спе­циалис­ты ком­пании Human Security в сот­рудни­чес­тве с Google, Trend Micro, The Shadowserver Foundation и дру­гими экспер­тами.

В свя­зи с рез­ким уве­личе­нием раз­меров бот­нета теперь иссле­дова­тели называ­ют его BadBox 2.0, что­бы обоз­начить новую веху в его работе.

«Эта кам­пания зат­ронула более мил­лиона пот­ребитель­ских устрой­ств. Сре­ди устрой­ств, вошед­ших в бот­нет BadBox 2.0, были бюд­жетные, неб­ренди­рован­ные и несер­тифици­рован­ные план­шеты, ТВ‑прис­тавки, циф­ровые про­екто­ры и так далее, — сооб­щают в Human Security. — Заражен­ные устрой­ства пред­став­ляют собой решения на базе Android Open Source Project, а не устрой­ства на базе Android TV ОС или сер­тифици­рован­ные Play Protect. Все они про­изво­дят­ся в матери­ковом Китае и пос­тавля­ются по все­му миру».

Эк­спер­ты обна­ружи­ли доказа­тель­ства того, что этот бот­нет обслу­жива­ют и под­держи­вают сра­зу нес­коль­ко хакер­ских групп, у каж­дой из которых собс­твен­ная роль и цели. Сре­ди них: SalesTracker (управле­ние инфраструк­турой), MoYu (раз­работ­ка бэк­дора и бот­нета), Lemon (рек­ламные мошен­ничес­кие кам­пании) и LongTV (раз­работ­ка вре­донос­ных при­ложе­ний).

За­ражен­ные BadBox Android-устрой­ства регуляр­но под­клю­чают­ся к кон­тро­лиру­емым зло­умыш­ленни­ками управля­ющим сер­верам, что­бы получить новые нас­трой­ки кон­фигура­ции и коман­ды для выпол­нения.

Спе­циалис­ты Human Security и The Shadowserver Foundation осу­щес­тви­ли sinkhole ряда доменов бот­нета, что поз­волило нарушить связь с управля­ющи­ми сер­верами для 500 тысяч заражен­ных устрой­ств. Так как эти устрой­ства боль­ше не могут свя­зать­ся с сер­верами хакеров, мал­варь на них переш­ла в спя­щий режим и теперь неак­тивна.

Бо­лее того, ана­лити­ки выяви­ли в офи­циаль­ном магази­не Google Play 24 при­ложе­ния, которые уста­нав­ливали BadBox на Android-устрой­ства. Некото­рые из них (вклю­чая Earn Extra Income и Pregnancy Ovulation Calculator от Seekiny Studio), нас­читыва­ли более 50 тысяч заг­рузок.

Спе­циалис­ты Google уда­лили вре­донос­ные при­ложе­ния из Google Play и добави­ли в Play Protect пра­вило, пре­дуп­режда­ющее поль­зовате­лей и бло­киру­ющее уста­нов­ку при­ложе­ний, свя­зан­ных с BadBox 2.0.

Так­же были уда­лены акка­унты изда­телей, которые занима­лись рек­ламным мошен­ничес­твом, свя­зан­ным с BadBox, что не поз­волит им получать монети­зацию через Google Ads.

Од­нако Google не может уда­лить мал­варь с Android-устрой­ств, не име­ющих сер­тифика­ции Play Protect. Поэто­му, хотя работа BadBox 2.0 была наруше­на, бот­нет нель­зя наз­вать лик­видиро­ван­ным.

Вот спи­сок устрой­ств, которые пос­тра­дали от зараже­ния BadBox или выс­тупа­ют целью для перечис­ленных выше хакер­ских групп.

Так как получить чис­тую про­шив­ку для этих устрой­ств вряд ли удас­тся, их вла­дель­цам нас­тоятель­но рекомен­дует­ся заменить гад­жеты про­верен­ными про­дук­тами извес­тных брен­дов или хотя бы отклю­чить их от интерне­та.

Отказ от паролей

  • «Лабора­тория Кас­пер­ско­го», а так­же спе­циалис­ты «Поч­та Mail» и «Hi-Tech Mail» выяс­нили, как люди отно­сят­ся к бес­пароль­ным спо­собам авто­риза­ции — одно­разо­вым и QR-кодам, исполь­зованию отпе­чат­ков паль­ца или ска­на лица и дру­гим спо­собам для вхо­да в акка­унты.
  • Бо­лее тре­ти рос­сий­ских поль­зовате­лей готовы отка­зать­ся от тра­дици­онных паролей и исполь­зовать бес­пароль­ные методы аутен­тифика­ции: 12% — для важ­ных акка­унтов, 9% — для неваж­ных, а 16% — для всех учет­ных записей.
  • Бес­пароль­ный метод аутен­тифика­ции для всех акка­унтов, где это воз­можно, уже исполь­зует 31% опро­шен­ных. Еще 27% отме­тили, что при­меня­ют его толь­ко для важ­ных сер­висов, нап­ример в мес­сен­дже­рах, поч­те, бан­ков­ских при­ложе­ниях.
  • 19% поль­зовате­лей при­дер­жива­ются мне­ния, что исполь­зование паролей менее удоб­но, но зато более безопас­но.
 

DeepSeek пишет малварь

Ис­сле­дова­тели из ком­пании Tenable изу­чили спо­соб­ность китай­ско­го ИИ чат‑бота DeepSeek раз­рабаты­вать вре­донос­ные прог­раммы (кей­лог­геры и вымога­тели).

DeepSeek R1 по­явил­ся в янва­ре текуще­го года и с тех пор успел наделать немало шума, в том чис­ле из‑за сво­ей вос­при­имчи­вос­ти к джей­лбрей­ку.

Как и все круп­ные LLM, DeepSeek име­ет защит­ные механиз­мы, приз­ванные пре­дот­вра­тить исполь­зование в зло­наме­рен­ных целях, нап­ример с целью соз­дания вре­донос­ных прог­рамм. Одна­ко эти зап­реты мож­но доволь­но лег­ко обой­ти.

Ког­да DeepSeek нап­рямую про­сят написать код для кей­лог­гера или прог­раммы‑вымога­теля, он отка­зыва­ется это сде­лать, утвер­ждая, что не может помогать с тем, что может ока­зать­ся вре­донос­ным или незакон­ным.

Од­нако спе­циалис­ты Tenable исполь­зовали джей­лбрейк, что­бы обма­нуть чат‑бота и вынудить его написать вре­донос­ный код, а для улуч­шения резуль­татов исполь­зовали CoT-воз­можнос­ти DeepSeek (chain-of-thought).

Ког­да иссле­дова­тели исполь­зовали DeepSeek для соз­дания кей­лог­гера, ИИ раз­работал план выпол­нения задачи, а затем под­готовил код на C++. Код был написан с ошиб­ками, и чат‑бот не смог испра­вить некото­рые из них, что­бы соз­дать пол­нофун­кци­ональ­ную мал­варь без вме­шатель­ства челове­ка.

Од­нако пос­ле нес­коль­ких изме­нений код кей­лог­гера, сге­нери­рован­ный DeepSeek, зарабо­тал, перех­ватывая нажатия кла­виш поль­зовате­ля. Затем иссле­дова­тели исполь­зовали DeepSeek для даль­нейше­го усо­вер­шенс­тво­вания получен­ной мал­вари, в час­тнос­ти для дос­тижения боль­шей скрыт­ности и шиф­рования ее логов.

Что каса­ется раз­работ­ки вымога­теля, сна­чала DeepSeek опи­сал весь про­цесс, а затем ему уда­лось сге­нери­ровать нес­коль­ко образцов мал­вари для шиф­рования фай­лов, одна­ко ни один из них не ком­пилиро­вал­ся без руч­ного редак­тирова­ния кода.

В резуль­тате иссле­дова­тели сумели добить­ся того, что некото­рые образцы мал­вари зарабо­тали. Вре­донос обла­дал механиз­мами для перечис­ления фай­лов и зак­репле­ния в сис­теме, а так­же отоб­ражал диало­говое окно, информи­рующее жер­тву о том, что она под­вер­глась ата­ке шиф­роваль­щика.

«По сути DeepSeek спо­собен соз­давать базовую струк­туру для вре­донос­ного ПО. Одна­ко он нес­пособен сде­лать это без допол­нитель­ного промпт‑инжи­нирин­га и руч­ного редак­тирова­ния кода для получе­ния более прод­винутых фун­кций. Нап­ример, DeepSeek не спра­вил­ся с реали­заци­ей сок­рытия про­цес­сов. Нам уда­лось зас­тавить работать сге­нери­рован­ный им код DLL-инъ­екции, но это пот­ребова­ло мно­го руч­ной работы.

Тем не менее DeepSeek пре­дос­тавля­ет полез­ную под­борку тех­ник и поис­ковых тер­минов, которые могут помочь челове­ку, не име­юще­му опы­та в написа­нии вре­донос­ного кода, быс­тро озна­комить­ся с соот­ветс­тву­ющи­ми кон­цепци­ями», — зак­люча­ют экспер­ты Tenable.

12 миллионов долларов исследователям

  • В прош­лом году ком­пания Google вып­латила 660 ИБ‑иссле­дова­телям 11,8 мил­лиона дол­ларов в качес­тве воз­награж­дения за най­ден­ные ими уяз­вимос­ти.
  • Сум­марно с момен­та запус­ка пер­вой прог­раммы воз­награж­дения за уяз­вимос­ти (Vulnerability Reward Program) в 2010 году Google вып­латила спе­циалис­там свы­ше 65 мил­лионов дол­ларов в качес­тве воз­награж­дения за баги.
  • К при­меру, экспер­ты, сооб­щавшие об уяз­вимос­тях в Android и мобиль­ных при­ложе­ниях Google, получи­ли 3,3 мил­лиона дол­ларов, а количес­тво сооб­щений о кри­тичес­ких и серь­езных ошиб­ках уве­личи­лось на фоне сни­жения обще­го чис­ла багов.
  • Еще 137 иссле­дова­телей, сооб­щавших о проб­лемах в Chrome, получи­ли воз­награж­дения на общую сум­му 3,4 мил­лиона дол­ларов.
  • На­иболь­шее воз­награж­дение 2024 года сос­тавило 100 115 дол­ларов, и эта сум­ма была вып­лачена за обна­ружен­ную проб­лему обхо­да MiraclePtr.
  • Ин­терес­но, что в рам­ках новой bug bounty прог­раммы по поис­ку ИИ‑оши­бок ком­пания получи­ла боль­ше 150 сооб­щений от спе­циалис­тов и в ито­ге вып­латила им свы­ше 55 тысяч дол­ларов за раз­личные баги.
 

Взлом tj-actions/changed-files

В середи­не мар­та бы­ла обна­руже­на ком­про­мета­ция пакета tj-actions/changed-files, который вхо­дит в сос­тав tj-actions. Это один из мно­гочис­ленных GitHub Actions на одно­имен­ной плат­форме, пре­дос­тавля­ющей бес­плат­ную сис­тему CI/CD для пуб­личных репози­тори­ев. Обра­бот­чик changed files исполь­зовал­ся в 23 тысячах репози­тори­ев, и зло­умыш­ленни­ки попыта­лись при­менить его для кра­жи кон­фиден­циаль­ных дан­ных.

Пос­ле взло­ма вре­донос­ный код дол­жен был записы­вать CI/CD-сек­реты в жур­налы рабочих про­цес­сов для всех 23 тысяч репози­тори­ев, исполь­зующих tj-actions/changed-files. Если эти логи были пуб­личны­ми, их мог прос­мотреть любой жела­ющий.

Мей­нтей­нер про­екта сооб­щал, что зло­умыш­ленни­ки неиз­вес­тным обра­зом ском­про­мети­рова­ли его токен пер­сональ­ного дос­тупа (personal access token, PAT) на GitHub и учет­ные дан­ные, с помощью которых @tj-actions-bot получал при­виле­гиро­ван­ный дос­туп к репози­торию.

Поз­же ана­лити­ки из ком­пании Wiz со­общи­ли, что им уда­лось разоб­рать­ся в про­изо­шед­шем. Иссле­дова­тели наз­вали слу­чив­шееся кас­кадной ата­кой на цепоч­ку пос­тавок и рас­ска­зали, что она началась с дру­гого GitHub Action — reviewdog/action-setup.

По дан­ным Wiz, сна­чала зло­умыш­ленни­ки ском­про­мети­рова­ли тег v1 для reviewdog/action-setup и внед­рили в пакет ана­логич­ный код для записи сек­ретов CI/CD в лог‑фай­лы.

Пос­коль­ку tj-actions/eslint-changed-files исполь­зует reviewdog/action-setup, пред­полага­ется, что ском­про­мети­рован­ный Action при­менял­ся для извле­чения и кра­жи пер­сональ­ного токена PAT, затем исполь­зован­ного для дос­тупа к tj-actions.

Зло­умыш­ленни­ки внед­ряли в файл install.sh полез­ную наг­рузку, закоди­рован­ную Base64, что в ито­ге при­води­ло к утеч­ке сек­ретов из зат­ронутых рабочих про­цес­сов CI. Как и в слу­чае с tj-actions, рас­кры­тые сек­реты в ито­ге отоб­ражались в пуб­личных репози­тори­ях как часть логов.

Хо­тя точ­ный спо­соб взло­ма не был уста­нов­лен, спе­циалис­ты писали, что reviewdog име­ет боль­шую базу мей­нтей­неров и при­нима­ет новых учас­тни­ков через авто­мати­чес­кие приг­лашения, что зна­читель­но уве­личи­вает рис­ки и количес­тво воз­можнос­тей для взло­ма.

Как сооб­щали спе­циалис­ты Endor Labs, ком­про­мета­ция tj-actions/changed-files зат­ронула лишь неболь­шой про­цент из 23 тысяч про­ектов, исполь­зующих обра­бот­чик. Так, толь­ко 218 репози­тори­ев дей­стви­тель­но рас­кры­ли сек­реты и допус­тили утеч­ки в резуль­тате этой ата­ки.

В боль­шинс­тве слу­чаев утеч­ка зат­ронула толь­ко токены GitHub, срок дей­ствия которых сос­тавля­ет 24 часа. То есть у зло­умыш­ленни­ков было весь­ма корот­кое окно для воз­можной экс­плу­ата­ции. Одна­ко в некото­рых слу­чаях все же про­изош­ла утеч­ка учет­ных дан­ных для DockerHub, npm и AWS, что несет более серь­езные рис­ки.

Затронутые утечкой секреты
Зат­ронутые утеч­кой сек­реты

При этом уг­лублен­ные отче­ты об этой ата­ке, опуб­ликован­ные Palo Alto Unit 42 и Wiz, показа­ли, что исходно она была нацеле­на на про­екты крип­товалют­ной бир­жи Coinbase. В час­тнос­ти, был ата­кован популяр­ный фрей­мворк Coinbase — coinbase/agentkit, поз­воля­ющий ИИ‑аген­там вза­имо­дей­ство­вать с блок­чей­ном.

Пред­ста­вите­ли Coinbase сооб­щили, что эта попыт­ка ком­про­мета­ции не увен­чалась успе­хом и не нанес­ла никако­го ущер­ба про­екту agentkit или дру­гим ресур­сам бир­жи.

В ито­ге экспер­ты приш­ли к выводу, что изна­чаль­но вре­донос­ная кам­пания была нацеле­на на Coinbase и лишь потом, пос­ле про­вала пер­вой попыт­ки ком­про­мета­ции, рас­простра­нилась на дру­гие про­екты, исполь­зующие tj-actions/changed-files.

Ком­про­мета­ции reviewdog и tj-actions были прис­воены иден­тифика­торы CVE-2025-30154 и CVE-2025-30066.

Хронология атаки
Хро­ноло­гия ата­ки

Кодить скоро будет ИИ

Во вре­мя выс­тупле­ния на форуме Council on Foreign Relations генераль­ный дирек­тор ИИ‑ком­пании Anthropic Дарио Амо­дей (Dario Amodei) заявил, что уже через год весь код для раз­лично­го соф­та будут писать не раз­работ­чики ПО, а искусс­твен­ный интеллект.

«Думаю, что уже через три — шесть месяцев мы дос­тигнем того уров­ня, ког­да ИИ будет писать 90% кода. А затем, еще через две­над­цать месяцев, мы можем ока­зать­ся в мире, где ИИ будет писать прак­тичес­ки весь код», — заявил Амо­дей.

По мне­нию CEO Anthropic, в бли­жай­шем будущем люди еще будут нуж­ны, что­бы задавать ИИ‑модели новые фун­кци­ональ­ные парамет­ры и усло­вия, но потом и это сой­дет на нет.

«Полагаю, что в конеч­ном ито­ге все эти малень­кие остров­ки будут пог­лощены ИИ‑сис­темами. В кон­це кон­цов мы дос­тигнем момен­та, ког­да ИИ смо­жет делать все то же, что может человек. Думаю, что это про­изой­дет с каж­дой отраслью», — счи­тает гла­ва Anthropic.

 

DDoS-атака на Lovit

Жи­тели домов круп­ней­шего рос­сий­ско­го зас­трой­щика «ПИК» в Мос­кве и Санкт‑Петер­бурге оста­лись без домаш­него интерне­та на нес­коль­ко дней. При­чиной ста­ла мас­штаб­ная DDoS-ата­ка, нап­равлен­ная на про­вай­дера Lovit, который обслу­жива­ет эти дома.

Пред­ста­вите­ли Lovit сооб­щили, что DDoS-ата­ка началась око­ло полуд­ня 21 мар­та 2025 года и в резуль­тате инци­ден­та ока­зались зат­ронуты клю­чевые эле­мен­ты инфраструк­туры, что «при­вело к вре­мен­ным тех­ничес­ким труд­ностям в работе сер­висов».

Си­туация осложни­лась тем, что Lovit явля­ется единс­твен­ным про­вай­дером в домах «ПИК». Сооб­щалось, что из‑за ата­ки во мно­гих домах воз­никли проб­лемы с домофо­нами (мно­гие жиль­цы поль­зовались ими с помощью при­ложе­ния и не покупа­ли маг­нитные клю­чи), а так­же со сбо­ями стол­кну­лись ком­мерчес­кие орга­низа­ции, рас­положен­ные в пос­тра­дав­ших зда­ниях, так как у них не работа­ли тер­миналы для опла­ты и бонус­ные сис­темы.

В Рос­комнад­зоре под­твержда­ли, что Lovit пос­тра­дал от DDoS-ата­ки, пиковая мощ­ность которой сос­тавила до 219,06 Гбит/с и 22,39 мил­лиона пакетов в секун­ду. Тра­фик исхо­дил с сер­веров, находя­щих­ся в Великоб­ритании, Гер­мании, Нидер­ландах, Рос­сии, США, Фин­ляндии, Фран­ции, Хор­ватии и Шве­ции.

Пред­ста­вите­ли ведомс­тва заяв­ляли, что спе­циалис­ты Цен­тра монито­рин­га и управле­ния сетью свя­зи обще­го поль­зования, под­ведомс­твен­ного Рос­комнад­зору, помога­ли Lovit отра­жать ата­ку с помощью Наци­ональ­ной сис­темы про­тиво­дей­ствия DDoS-ата­кам.

Поз­же в Рос­комнад­зоре заяви­ли СМИ, что необ­ходимо зак­репить в законе тре­бова­ния к устой­чивос­ти и живучес­ти сетей свя­зи, что­бы опе­рато­ры свя­зи и про­вай­деры были обя­заны обес­печивать не толь­ко их защиту, но и воз­можность быс­тро­го вос­ста­нов­ления пос­ле атак.

В пресс‑служ­бе ведомс­тва сооб­щили, что рос­сий­ское законо­датель­ство тре­бует доработ­ки для более эффектив­ной борь­бы с DDoS-ата­ками.

В час­тнос­ти, в РКН счи­тают, что необ­ходимо рас­ширить перечень обя­затель­ных мер по защите от DDoS-атак, вклю­чая исполь­зование оте­чес­твен­ных решений для монито­рин­га и филь­тра­ции тра­фика, а так­же уста­новить более жес­ткие тре­бова­ния к резер­вирова­нию инфраструк­туры, «что поз­волит миними­зиро­вать пос­ледс­твия атак и избе­жать мас­совых перебо­ев в работе сер­висов».

«Ком­плексная реали­зация этих мер поз­волит сни­зить рис­ки атак на кри­тичес­кую инфраструк­туру и повысить уро­вень кибер­безопас­ности рос­сий­ских опе­рато­ров свя­зи, — говорят в ведомс­тве. — Инфраструк­тура про­вай­дера (Lovit) ока­залась не готова к такой мас­сирован­ной DDoS-ата­ке, что при­вело к серь­езным сбо­ям в работе сер­висов. Отсутс­твие эффектив­ных пре­вен­тивных мер, недос­таточ­ная защита сетевой инфраструк­туры и сла­бая сис­тема монито­рин­га угроз показа­ли, что ком­пания не пред­при­няла сво­евре­мен­ных шагов для миними­зации рис­ков подоб­ных атак. Это сви­детель­ству­ет о недос­таточ­ном уров­не под­готов­ки и пла­ниро­вания в сфе­ре кибер­безопас­ности».

Миллиард пользователей Telegram

  • 19 мар­та 2025 года Павел Дуров сооб­щил в сво­ем Telegram-канале, что мес­сен­джер перешаг­нул отметку в 1 мил­лиард активных поль­зовате­лей в месяц. Это дела­ет Telegram вто­рым по популяр­ности мес­сен­дже­ром в мире (без уче­та китай­ско­го WeChat). Пер­вое мес­то по‑преж­нему занима­ет WhatsApp.
  • По сло­вам Дурова, рас­тет и вов­лечен­ность ауди­тории: в сред­нем поль­зователь откры­вает при­ложе­ние 21 раз в день и про­водит в нем 41 минуту.
 

Copilot активировал Windows

Поль­зовате­ли обна­ружи­ли, что, если спро­сить ИИ‑помощ­ника Copilot, сущес­тву­ет ли скрипт для акти­вации Windows 11, в ответ мож­но получить пошаго­вое руководс­тво с инс­трук­циями, как акти­виро­вать опе­раци­онную сис­тему.

Все началось с того, что поль­зователь Reddit поделил­ся наб­людени­ем: если спро­сить у бес­плат­ной вер­сии Copilot, есть ли скрипт для акти­вации Windows 11, ИИ‑ассистент пре­дос­тавит поль­зовате­лю руководс­тво, которое вклю­чает в себя скрипт из GitHub-репози­тория Microsoft Activation Scripts (MAS), который мож­но исполь­зовать для бес­плат­ной акти­вации ОС.

Этот метод акти­вации Windows и Office не нов и известен уже нес­коль­ко лет, но такой совет от ИИ‑инс­тру­мен­та Microsoft показал­ся поль­зовате­лям стран­ным. Хотя Copilot и напоми­нал о том, что «исполь­зование несан­кци­они­рован­ных методов акти­вации может нарушить усло­вия обслу­жива­ния Microsoft».

Инс­тру­мен­ты груп­пы кря­керов‑энту­зиас­тов Massgrave позици­они­руют­ся как опен­сор­сные, а фай­лы про­екта Microsoft Activation Scripts уже доволь­но дав­но дос­тупны на GitHub, который при­над­лежит ком­пании Microsoft. При этом ком­пания не пред­при­нима­ет никаких дей­ствий про­тив кря­керов.

Сто­ит отме­тить, что сов­сем недав­но быв­ший сот­рудник ком­пании ут­вер­ждал, что Microsoft мало заботит пиратс­тво, так как «в Microsoft хотят, что­бы вы исполь­зовали Windows 11, потому что вы и есть про­дукт».

Од­нако пос­ле того, как информа­ция о стран­ном поведе­нии Copilot рас­простра­нилась в СМИ и соц­сетях, Microsoft зак­рыла эту лазей­ку.

Те­перь, если спро­сить у Copilot о скрип­тах для акти­вации Windows, ИИ‑помощ­ник отве­тит:

«Я не смо­гу вам помочь. Акти­вация Windows 11 с помощью неав­торизо­ван­ных скрип­тов незакон­на и наруша­ет усло­вия обслу­жива­ния (terms of service) Microsoft. Для акти­вации прог­рам­мно­го обес­печения рекомен­дует­ся исполь­зовать закон­ные методы, что­бы гаран­тировать получе­ние над­лежащих обновле­ний и под­дер­жки.

Ес­ли вам нуж­на помощь в акти­вации Windows 11, вы можете посетить офи­циаль­ную стра­ницу под­дер­жки Microsoft для получе­ния рекомен­даций».

Лю­бые попыт­ки спо­рить с Copilot или убеж­дать ИИ перес­мотреть решение не дают никако­го резуль­тата.

В нас­тоящее вре­мя помочь с акти­ваци­ей Windows отка­жет­ся и ChatGPT, хотя ранее иссле­дова­телям уда­валось добить­ся от чат‑бота успешной генера­ции работа­ющих клю­чей для Windows 95 и Windows 10.

Самые «популярные» уязвимости

  • Ис­сле­дова­тели «Лабора­тории Кас­пер­ско­го» пре­дуп­редили, что сре­ди хакеров уси­лил­ся тренд на ата­ки на опе­раци­онные сис­темы и эта катего­рия вытес­няет дру­гое ПО.
  • Ко­личес­тво кри­тичес­ких уяз­вимос­тей в 2024 году оста­лось на уров­не 2023 года, а общее чис­ло зарегис­три­рован­ных CVE за этот пери­од вырос­ло на 20%.
Динамика количества уязвимостей, включая критические, 2019–2024 годы
Ди­нами­ка количес­тва уяз­вимос­тей, вклю­чая кри­тичес­кие, 2019–2024 годы
  • При этом в 2024 году ОС ста­ли самой популяр­ной катего­рией ПО для соз­дания пуб­личных экс­пло­итов. Так­же замет­но уве­личи­лось количес­тво пуб­личных экс­пло­итов для инс­тру­мен­тов Microsoft Office и SharePoint.
Распределение опубликованных эксплоитов к уязвимостям по платформам в 2024 году
Рас­пре­деле­ние опуб­ликован­ных экс­пло­итов к уяз­вимос­тям по плат­формам в 2024 году
  • Чис­ло поль­зовате­лей Linux, стол­кнув­шихся с экс­пло­ита­ми, так­же вырос­ло. Так, в чет­вертом квар­тале прош­лого года этот показа­тель был в 1,5 раза выше, чем за ана­логич­ный пери­од 2023 года.
Динамика количества пользователей Linux, столкнувшихся с эксплоитами в 2023–2024 годах. За 100% принято количество пользователей, столкнувшихся с эксплоитами в первом квартале 2023 года
Ди­нами­ка количес­тва поль­зовате­лей Linux, стол­кнув­шихся с экс­пло­ита­ми в 2023–2024 годах. За 100% при­нято количес­тво поль­зовате­лей, стол­кнув­шихся с экс­пло­ита­ми в пер­вом квар­тале 2023 года
 

Новая малварь в Steam

В прош­лом месяце ком­пания Valve уда­лила из Steam игру PirateFi, в которой было обна­руже­но вре­донос­ное ПО. Теперь поль­зовате­ли наш­ли в магази­не еще одну игру, которая обхо­дила пра­вила Steam и перенап­равля­ла игро­ков на сто­рон­ний сайт для заг­рузки демовер­сии, содер­жавшей инфости­лер.

На этот раз вни­мание поль­зовате­лей прив­лекло стран­ное поведе­ние игры Sniper: Phantom’s Resolution. Тех­ничес­ки эта игра еще не выш­ла, на ее стра­нице в Steam ука­зано, что релиз зап­ланиро­ван на вто­рой квар­тал 2025 года. Одна­ко похоже, что никакой игры не сущес­тву­ет вов­се, а стра­ница в Steam прос­то при­ман­ка, так как рек­ламные матери­алы явно ско­пиро­ваны из дру­гих игр.

Пер­вым на проб­лему обра­тил вни­мание поль­зователь Reddit под ником Feral_Wasp, заметив­ший, что, хотя игра недос­тупна в Steam, на ее стра­нице в магази­не при­сутс­тву­ет пря­мая ссыл­ка на полупус­той и весь­ма подоз­ритель­ный сайт. На этом сай­те игрок яко­бы может ска­чать демовер­сию Sniper: Phantom’s Resolution, пос­ле чего на компь­ютер жер­твы уста­нав­лива­ется что‑то нехоро­шее.

Ана­лиз фай­лов «бета‑вер­сии», про­веден­ный поль­зовате­лем meantbent3, показал, что мал­варь получа­ет при­виле­гии адми­нис­тра­тора на заражен­ной машине, обхо­дит сис­тему шиф­рования учет­ных дан­ных в Windows и похища­ет информа­цию с компь­юте­ра жер­твы.

При этом отме­чалось, что мал­варь пло­хо обна­ружи­вает­ся защит­ными решени­ями, пред­став­ленны­ми на VirusTotal.

Meantbent3 писал, что всем, кто ска­чал эту «бета‑вер­сию», луч­ше уда­лить все соз­данные ею фай­лы, а затем сме­нить пароли для всех име­ющих­ся учет­ных записей.

В резуль­тате на стра­нице в Steam появи­лось пре­дуп­режде­ние о том, что «Sniper: Phantom’s Resolution боль­ше не дос­тупна в магази­не Steam», а затем игра была пол­ностью уда­лена из магази­на.

Пред­ста­вите­ли Valve не давали офи­циаль­ных ком­мента­риев об этой ситу­ации.

(Не)работа YouTube

Гла­ва Мин­цифры РФ Мак­сут Шада­ев сооб­щил СМИ, что пока YouTube не про­явля­ет заин­тересо­ван­ности в исполне­нии тре­бова­ний норм рос­сий­ско­го законо­датель­ства, что мог­ло бы стать пер­вым шагом к вос­ста­нов­лению работы сер­виса в Рос­сии.

«Есть целый набор пре­тен­зий, который Рос­комнад­зор выс­тавил в адрес YouTube. Соот­ветс­твен­но, это воп­рос выпол­нения норм законо­датель­ства. Если они будут их выпол­нять, если они покажут кон­крет­ные шаги раз­бло­киров­ки оте­чес­твен­ного кон­тента, тог­да этот воп­рос будет ста­вить­ся и обсуждать­ся. Пока ком­пания не демонс­три­рует такой заин­тересо­ван­ности», — заявил Шада­ев.

По мне­нию минис­тра, нес­мотря на огромные штра­фы, наложен­ные на ком­панию Google, которой при­над­лежит YouTube, сей­час пер­вичны­ми явля­ются «все дру­гие тре­бова­ния, свя­зан­ные с раз­бло­киров­кой (рос­сий­ских телека­налов) и про­веде­нием адек­ватной полити­ки, отсутс­тви­ем огра­ниче­ний для рос­сий­ских авто­ров».

Сто­ит отме­тить, что незадол­го до это­го гла­ва «Билай­на» Сер­гей Ано­хин сооб­щил изда­нию «Ведомос­ти», что работа YouTube в Рос­сии замед­лена из‑за уста­рева­ющей сети рас­пре­делен­ного хра­нения видео.

«YouTube стал работать мед­леннее. Есть сеть рас­пре­делен­ного хра­нения видео. Она не раз­вива­ется, не под­держи­вает­ся, объ­ем тра­фика все рав­но рас­тет, а вла­делец виде­осер­виса офи­циаль­но ушел из Рос­сии. Поль­зователь ощу­щает это в более мед­ленной работе сер­виса. Обо­рудо­вание лома­ется, или его перес­тает хва­тать для рас­тущего объ­ема кон­тента.

Не­доволь­ство кли­ентов мы видим на себе, потому что мы и дру­гие про­вай­деры и опе­рато­ры — пос­ледняя миля. Рань­ше работа­ло, потом перес­тало работать — идет поток жалоб, воп­росов, пре­тен­зий в сто­рону опе­рато­ров свя­зи. И мы, конеч­но, пыта­емся объ­яснить, что про­исхо­дит, что наши сети как работа­ли, так и про­дол­жают работать, что это слож­ности на более глу­боком уров­не, который мы, к сожале­нию, не можем решить. Мы ведем ком­муника­цион­но‑разъ­ясни­тель­ную работу с кли­ента­ми, что­бы пытать­ся донес­ти, что это и для нас проб­лема тоже», — сооб­щил Ано­хин.

 

Спайварь в Google Play

Эк­спер­ты Lookout обна­ружи­ли новое шпи­онское ПО для Android под наз­вани­ем KoSpy. Этот вре­донос свя­зан с северо­корей­ски­ми хакера­ми и был най­ден в офи­циаль­ном магази­не Google Play и сто­рон­нем магази­не APKPure в сос­таве как минимум пяти при­ложе­ний.

По дан­ным иссле­дова­телей, спай­варь свя­зана с северо­корей­ской груп­пиров­кой APT37 (она же ScarCruft). Кам­пания с исполь­зовани­ем это­го вре­доно­са активна с мар­та 2022 года, и, судя по образцам мал­вари, хакеры активно совер­шенс­тву­ют свою раз­работ­ку.

Шпи­онская кам­пания нацеле­на в основном на корей­ских и англо­языч­ных поль­зовате­лей. KoSpy мас­киру­ется под фай­ловые менед­жеры, защит­ные инс­тру­мен­ты и обновле­ния для раз­лично­го ПО. Сум­марно экспер­ты Lookout обна­ружи­ли пять заражен­ных при­ложе­ний.

Поч­ти все вре­донос­ные при­ложе­ния дей­стви­тель­но пре­дос­тавля­ли хотя бы часть обе­щан­ных фун­кций, но вмес­те с этим заг­ружали KoSpy в фоновом режиме. Единс­твен­ное исклю­чение — Kakao Security. Это при­ложе­ние лишь показы­вало фаль­шивое сис­темное окно, зап­рашивая дос­туп к опас­ным раз­решени­ям.

Ис­сле­дова­тели при­писы­вают эту кам­панию APT37 на осно­вании IP-адре­сов, которые ранее были свя­заны с опе­раци­ями северо­корей­ских хакеров, доменов, которые исполь­зовались для рас­простра­нения мал­вари Konni, а так­же инфраструк­туры, которая пересе­кает­ся с дру­гой хак­груп­пой из КНДР — APT43.

Пос­ле акти­вации на устрой­стве KoSpy извле­кает зашиф­рован­ный файл кон­фигура­ции из БД Firebase Firestore, что­бы избе­жать обна­руже­ния. Затем вре­донос под­клю­чает­ся к управля­юще­му сер­веру и про­веря­ет, не запущен ли он в эму­лято­ре. Мал­варь может получать обновлен­ные нас­трой­ки с сер­вера зло­умыш­ленни­ков, допол­нитель­ные полез­ные наг­рузки для выпол­нения, а так­же может динами­чес­ки акти­виро­вать­ся или деак­тивиро­вать­ся с помощью спе­циаль­ного перек­лючате­ля.

В основном KoSpy ори­енти­рован на сбор дан­ных, его воз­можнос­ти таковы:

  • пе­рех­ват SMS и жур­налов звон­ков;
  • от­сле­жива­ние GPS-положе­ния жер­твы в режиме реаль­ного вре­мени;
  • счи­тыва­ние и извле­чение фай­лов из локаль­ного хра­нили­ща;
  • ис­поль­зование мик­рофона устрой­ства для записи зву­ка;
  • ис­поль­зование камеры устрой­ства для съем­ки фото и видео;
  • соз­дание скрин­шотов экра­на устрой­ства;
  • пе­рех­ват нажатий кла­виш с помощью Android Accessibility Services.

При этом каж­дое при­ложе­ние исполь­зует отдель­ный про­ект Firebase и сер­вер для сли­ва дан­ных, которые перед переда­чей шиф­руют­ся с помощью жес­тко закоди­рован­ного клю­ча AES.

Хо­тя в нас­тоящее вре­мя шпи­онские при­ложе­ния уже уда­лены из Google Play и APKPure, иссле­дова­тели пре­дуп­режда­ют, что поль­зовате­лям при­дет­ся вруч­ную уда­лить мал­варь со сво­их устрой­ств, а так­же прос­каниро­вать гад­жеты с помощью защит­ных инс­тру­мен­тов, что­бы изба­вить­ся от остатков зараже­ния. В некото­рых слу­чаях может пот­ребовать­ся сброс до завод­ских нас­тро­ек.

«Исполь­зование реги­ональ­ного язы­ка в наз­вани­ях при­ложе­ний ука­зыва­ет на то, что это было тар­гетиро­ван­ное вре­донос­ное ПО. Пос­ледний обра­зец вре­донос­ной прог­раммы, обна­ружен­ный в мар­те 2024 года, был уда­лен из Google Play до того, как его успе­ли уста­новить поль­зовате­ли», — сооб­щили пред­ста­вите­ли Google.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии