В этом месяце: «белый спи­сок» Рос­комнад­зора содер­жит 75 тысяч IP-адре­сов, Павел Жов­нер рас­ска­зал о работе над Flipper One, в бюд­жетных Android-смар­тфо­нах сно­ва наш­ли пре­дус­танов­ленную мал­варь, иссле­дова­тели взло­мали Nissan Leaf, «гал­люцина­ции» ИИ могут исполь­зовать­ся для атак на раз­работ­чиков, и дру­гие инте­рес­ные события про­шед­шего апре­ля.
 

«Белый список» РКН

По информа­ции СМИ, в «белый спи­сок», который был соз­дан Цен­тром монито­рин­га и управле­ния сетью свя­зи обще­го поль­зования (ЦМУ ССОП), под­ведомс­твен­ным Рос­комнад­зору (РКН), вхо­дит уже 75 тысяч IP-адре­сов, исполь­зующих инос­тран­ные про­токо­лы шиф­рования. Это в шесть раз боль­ше, чем в 2023 году (тог­да спи­сок нас­читывал лишь 12 тысяч записей).

Ком­пании все активнее вно­сят дан­ные об исполь­зовании инос­тран­ных про­токо­лов в сво­их кор­поратив­ных сетях в «белый спи­сок» РКН. Пред­ста­вите­ли биз­неса наде­ются, что попада­ние в этот перечень дол­жно легали­зовать работу IT-сис­тем, ведь переход на «рос­сий­ские аль­тер­нативы» не всег­да воз­можен.

Рос­комнад­зор про­сит вла­дель­цев час­тных инос­тран­ных вир­туаль­ных сетей (virtual private network — VPN) пре­дос­тавлять для вне­сения в этот спи­сок дан­ные об IP-адре­сах, про­токо­лах и их наз­начени­ях в слу­чае, если отка­зать­ся от них по тех­ничес­ким при­чинам невоз­можно.

На­пом­ним, что в апре­ле на сай­те Рос­комнад­зора появи­лось уве­дом­ление, сог­ласно которо­му вла­дель­цам рос­сий­ских VPN рекомен­довалось отка­зать­ся от исполь­зования инос­тран­ных про­токо­лов шиф­рования при переда­че дан­ных.

«Рекомен­дуем при переда­че дан­ных отка­зать­ся от инос­тран­ных про­токо­лов шиф­рования, исполь­зуемых в том чис­ле при­ложе­ниями, пре­дос­тавля­ющи­ми дос­туп к зап­рещен­ной информа­ции, — заяви­ли тог­да пред­ста­вите­ли РКН. — В слу­чае тех­ничес­кой необ­ходимос­ти про­сим нап­равлять для про­вер­ки заяв­ления с обос­новани­ем и ука­зани­ем IP-адре­сов, в отно­шении которых необ­ходимо сде­лать исклю­чение, в ЦМУ ССОП по элек­трон­ной поч­те: white_list@cmu.gov.ru. Пре­дос­тавлен­ные дан­ные будут вне­сены в спис­ки исклю­чений».

Тог­да экспер­ты заос­тря­ли вни­мание на том, что преж­девре­мен­но говорить о при­нуди­тель­ных бло­киров­ках по фак­ту исполь­зования инос­тран­ных про­токо­лов шиф­рования, а сам зап­рос пре­дос­тавить дан­ные соч­ли ско­рее мерой для монито­рин­га, которая нап­равле­на на опре­деле­ние количес­тва поль­зовате­лей зарубеж­ных про­токо­лов. Одна­ко, по их сло­вам, такая так­тика укла­дыва­ется в общий тренд раз­вития сис­тем бло­киро­вок со сто­роны Рос­комнад­зора.

Так, по сло­вам гла­вы отде­ла иссле­дова­ний в области ИИ «Уни­вер­ситета 2035» Ярос­лава Селивер­сто­ва, модер­низация тех­ничес­ких средств про­тиво­дей­ствия угро­зам на 60 мил­лиар­дов руб­лей, заложен­ная в федераль­ный про­ект «Инфраструк­тура кибер­безопас­ности», нап­равле­на на ана­лиз тра­фика по сиг­натурам про­токо­лов, вклю­чая VPN, что «повысит уро­вень эффектив­ности огра­ниче­ния дос­тупа к средс­твам обхо­да бло­киро­вок VPN до 96%». Одна­ко Селивер­стов обра­щает вни­мание на риск лож­ных сра­баты­ваний бло­киро­вок для легаль­ных биз­нес‑про­цес­сов и уве­личе­ние бюрок­ратичес­кой наг­рузки на ком­пании.

Фе­дераль­ная служ­ба по тех­ничес­кому и экспортно­му кон­тро­лю и Федераль­ная служ­ба безопас­ности Рос­сии ранее утверди­ли ряд тех­нологи­чес­ких решений, которые исполь­зуют рос­сий­ские алго­рит­мы шиф­рования. Раз­рабаты­вают­ся они рос­сий­ски­ми ИБ‑ком­пани­ями, вклю­чая ГК «Солар», «Код безопас­ности» и «Инфо­ТеКС». К при­меру, «ГОСТ VPN» уже исполь­зует­ся в крип­тошлю­зах «Кон­тинент» и ViPNet.

Как сооб­щает ведущий инже­нер CorpSoft24 Миха­ил Сер­геев, они кон­курен­тоспо­соб­ны в сфе­рах, где тре­бует­ся соот­ветс­твие нац­стан­дартам, нап­ример в гос­секто­ре и кри­тичес­кой инфраструк­туре. Одна­ко сегод­ня их исполь­зование огра­ниче­но в отраслях, завися­щих от гло­баль­ных стан­дартов, таких как меж­дународ­ная тор­говля и IT-раз­работ­ка, из‑за несов­мести­мос­ти с запад­ными сис­темами.

При этом экспер­ты отме­чают, что для боль­шинс­тва внут­ренних про­цес­сов рос­сий­ские ком­пании исполь­зуют VPN с инос­тран­ными про­токо­лами, потому что те про­ще в исполь­зовании и пред­став­лены в откры­том дос­тупе.

«Если Рос­комнад­зор будет бло­киро­вать все ком­муника­ции не по ГОС­Там, то рос­сий­ский биз­нес сдаст свои адре­са регуля­тору, что­бы не потерять воз­можность вес­ти ком­муника­ции как со сво­ими уда­лен­ными сот­рудни­ками и офи­сами, так и с дру­гими ком­пани­ями», — сооб­щает кон­суль­тант по интернет‑безопас­ности ком­пании Positive Technologies Алек­сей Лукац­кий.

Ген­дирек­тор хос­тинг‑про­вай­дера RUVDS Никита Цап­лин добавил, что, по его мне­нию, в будущем дос­туп к VPN может носить «раз­решитель­ный харак­тер» со сто­роны РКН.

47 дней для сертификатов

  • Кон­сорци­ум удос­товеря­ющих цен­тров и раз­работ­чиков ПО CA/Browser Forum про­голо­совал за зна­читель­ное сок­ращение сро­ка служ­бы сер­тифика­тов SSL/TLS: к 2029 году срок служ­бы сер­тифика­тов будет сос­тавлять все­го 47 дней.
  • В нас­тоящее вре­мя срок дей­ствия сер­тифика­тов и их Domain Control Validation (DCV) сос­тавля­ет 398 дней, но боль­шинс­тво цен­тров сер­тифика­ции сог­ласны с тем, что это слиш­ком дол­гий срок в усло­виях сов­ремен­ного лан­дшаф­та безопас­ности.
  • Ос­новная цель этих изме­нений — умень­шение рис­ков, свя­зан­ных с уста­рев­шими сер­тифика­тами, уста­рев­шими крип­тогра­фичес­кими алго­рит­мами и дли­тель­ным исполь­зовани­ем ском­про­мети­рован­ных учет­ных дан­ных.
 

Подробности о Flipper One

Один из авто­ров Flipper Zero Павел Жов­нер поделил­ся под­робнос­тями о том, как идет работа над новым вари­антом хакер­ско­го муль­титула — Flipper One.

В сво­ем Telegram-канале раз­работ­чик опуб­ликовал поч­ти получа­совое ви­део, в котором рас­ска­зал о соз­дании интерфей­са для нового устрой­ства.

На­пом­ним, что еще в 2020 году Flipper Zero был анон­сирован как млад­шая модель в линей­ке пен­тестер­ских инс­тру­мен­тов. Тог­да Павел Жов­нер рас­ска­зывал на «Хаб­ре», что стар­шая модель, Flipper One, пла­ниро­валась как более прод­винутая вер­сия для атак на про­вод­ные и бес­про­вод­ные сети. One дол­жен был обла­дать всей фун­кци­ональ­ностью Zero, а так­же иметь отдель­ный ARM-компь­ютер с Kali Linux на бор­ту.

Хо­тя пос­ле это­го прак­тичес­ки никаких известий о раз­работ­ке Flipper One не было, в 2023 году Павел Жов­нер рас­ска­зал в ин­тервью Дане Шепова­лову, что прод­винутую вер­сию муль­титула рано спи­сывать со сче­тов и активная работа над Flipper One ведет­ся.

«Мы хотим вооб­ще жир­ный ком­байн с FPGA и SDR, в котором все про­токо­лы мож­но будет опре­делить прог­рам­мно, но пока есть сом­нения, будут ли покупать устрой­ство за 300–500 дол­ларов.

Так что про­ект в активном R&D, но пока нет понима­ния по важ­ным час­тям. Нап­ример, не выб­рали модуль Wi-Fi, потому что все сущес­тву­ющие чипы, при­год­ные для атак, уже уста­рели. Воз­можно, при­дет­ся спон­сировать раз­работ­ку сво­его драй­вера. В общем, уви­дим», — сооб­щал тог­да Жов­нер.

Как ста­ло извес­тно из нового видео, форм‑фак­тор девай­са поч­ти утвер­жден и для Flipper One изго­тав­лива­ется кас­томный экран с раз­решени­ем 256 на 144 пик­селя. Экран и раз­решение подоб­раны исхо­дя из муль­тиязыч­ности, кла­виатур и соот­ношения сто­рон в новом про­дук­те.

В нас­тоящее вре­мя раз­работ­чики занима­ются «при­думы­вани­ем вооб­ража­емо­го интерфей­са» и работа­ют над эрго­номи­кой устрой­ства.

«Для начала нуж­но понять, что устрой­ство сущес­тву­ет в двух режимах. То есть у него есть соп­роцес­сор, то есть какой‑то мик­рокон­трол­лер, который работа­ет всег­да. И ког­да сис­тема вык­лючена, он реали­зует фун­кцию отоб­ражения уров­ня заряда и powerbank. То есть ког­да ты вты­каешь во Flipper что‑то зарядить­ся, он показы­вает, какой power delivery сог­ласовал­ся, сколь­ко пот­ребле­ния. Он может вклю­чить под­свет­ку на экра­не, там работа­ют все кноп­ки, может быть, есть какое‑то прос­тое меню. Его мож­но исполь­зовать как USB-тес­тер: допус­тим, под­клю­чить к какому‑то бло­ку питания, пос­мотреть, есть ли там power delivery.

Вто­рой режим — это ког­да запущен основной про­цес­сор. То есть пер­вый шаг: ког­да заг­ружа­ется bootloader и спра­шива­ет, какую опе­раци­онную сис­тему ты хочешь (у тебя может быть Android TV, Linux, какой‑то дру­гой Linux). Даль­ше, ког­да уже запуще­на и работа­ет сама опе­раци­онная сис­тема. Эти три режима, три шага дол­жны управлять­ся на экра­не с помощью кно­пок, пос­ледова­тель­но», — рас­ска­зыва­ет Жов­нер в ролике.

Раз­работ­чики приш­ли к выводу, что для управле­ния устрой­ством понадо­бит­ся восемь кно­пок: стик, D-pad с кноп­кой «OK», кноп­ка для Alt + Tab (для перек­лючения меж­ду прог­рамма­ми), четыре соф­товых кноп­ки и кноп­ка питания.

«Это тупо компь­ютер, без NFC, RFID, SubGhz, Infrared, — пишет Павел Жов­нер в ком­мента­риях под видео. — Все радио будет встав­лять­ся пла­тами рас­ширения M.2. Так что вос­при­нимать это сто­ит как Raspberry Pi с экра­ном на батарей­ке или как мини‑ноут­бук в кар­мане, есть еще сло­во cyberdeck».

Кро­ме того, в видео раз­работ­чик делит­ся пла­нами по соз­данию FLIPCTL:

«Идея в том, что­бы этот интерфейс, который здесь живет, был отдель­ным соф­том, самодос­таточ­ным. Пред­ста­вим, что оно называ­ется FLIPCTL и это TMUX-подоб­ный интерфейс, который живет, допус­тим, на SPI-экра­не в 256 × 144. И точ­но так же, если ты под­клю­чил­ся к Flipper по SSH и написал flipctl attach, ты уви­дишь такой же оран­жевый экран малень­кого раз­мера, как Flipper, и смо­жешь поль­зовать­ся им с кла­виату­ры. Он будет точ­но так же дуб­лировать­ся, если ты его запус­тишь, допус­тим, на Rockchip’овской прис­тавке, и он понима­ет, что это Wayland или „Иксы“, и рису­ет это уже в „Иксах“.

У тебя может быть тачс­крин, дру­гое раз­решение, дру­гое соот­ношение сто­рон, и он точ­но так же, как TMUX, адап­тиру­ется под это раз­решение».

Жов­нер объ­ясня­ет, что, по его мне­нию, все кибер­деки пло­хи тем, что ник­то не пишет для них спе­циаль­ный GUI, а пол­ноцен­ной ОС на кро­хот­ном экра­не поп­росту неудоб­но поль­зовать­ся.

«Ник­то никог­да не пишет GUI, а я хочу сде­лать GUI, который реали­зует сис­темные фичи: SystemD кру­тит, NetworkManager и про­чее. Плюс врап­перы для прик­ладно­го соф­та. То есть какой‑то свой язык, Python-саб­про­цесс и обер­тка для прик­ладных userspace-прог­рамм, и что­бы комь­юни­ти туда допили­вало. То есть сегод­ня сде­лали обер­тку для Nmap, зав­тра — обер­тку для прог­раммы Traceroute, пос­лезав­тра — для htop и так далее. Как мне кажет­ся, это нам­ного про­ще, поэто­му я ожи­даю, что комь­юни­ти таких врап­перов под свои прог­раммы напишет мно­го», — рас­ска­зыва­ет Жов­нер.

Он отме­чает, что было бы здо­рово, если бы идея GUI для встра­иваемых сис­тем мог­ла раз­вивать­ся и при­носи­ла поль­зу сто­рон­ним раз­работ­чикам.

«Пред­ста­вим, что какой‑то Supermicro дела­ет свой сер­вер. И хочет встро­ить в него GUI. Для Supermicro это край­не тяжело, он не напишет свой GUI. Что мы можем ему пред­ложить? Пред­ста­вим, что китай­цы изго­тав­лива­ют модуль, в котором есть интерфейс FLIPCTL. То есть это сущес­тву­ет как отдель­ный прог­рам­мный про­дукт. И он про­дает такой „экранчик“, который под­клю­чает­ся по USB или еще как‑то, и говорит, что это FLIPCTL Compatible. И любой OpenWrt-роутер, любой сер­вер смо­жет пос­тавить себе эту шту­ку и запус­тить кон­крет­но свой врап­пер, для сво­ей обо­лоч­ки, которая ему нуж­на для кон­крет­ного прик­ладно­го соф­та. Единс­твен­ное, что ему надо писать, — этот врап­пер. Это идея, как мож­но при­нес­ти поль­зу челове­чес­тву, делая этот GUI, который ник­то и никог­да в жиз­ни не возь­мет­ся делать, я абсо­лют­но уве­рен», — говорит Жов­нер.

Компании не знают собственную инфраструктуру

  • Спе­циалис­ты Positive Technologies опро­сили более 130 ком­паний из сфер ИT, про­мыш­ленно­го про­изводс­тва, ритей­ла, финан­сов, из топ­ливно‑энер­гетичес­кого ком­плек­са и дру­гих сек­торов эко­номи­ки.
  • Ока­залось, что 54% рес­понден­тов зна­ют не про все устрой­ства и сис­темы, исполь­зуемые в орга­низа­ции, хотя и стре­мят­ся к пол­ной видимос­ти.
  • Каж­дая третья ком­пания не уве­рена, что обла­дает точ­ной информа­цией об аппа­рат­ном обес­печении и ПО, которое фор­миру­ет осно­ву ее опе­раци­онной деятель­нос­ти.
  • Око­ло чет­верти рес­понден­тов (22%) сооб­щили, что счи­тают важ­ным толь­ко управлять акти­вами при их закуп­ке, под­дер­жке и экс­плу­ата­ции.
  • При этом око­ло 80% ком­паний вво­дят или выводят из экс­плу­ата­ции акти­вы как минимум раз в квар­тал, что может при­вес­ти к появ­лению уяз­вимос­тей и незащи­щен­ных мест в инфраструк­туре орга­низа­ции.
 

Вредоносный WhatsApp «из коробки»

Эк­спер­ты «Док­тор Веб» пре­дуп­редили, что в бюд­жетных Android-смар­тфо­нах, ими­тиру­ющих модели извес­тных брен­дов, обна­руже­но пре­дус­танов­ленное вре­донос­ное ПО. Вре­донос­ный код добав­лен в мес­сен­джер WhatsApp и нап­равлен на кра­жу крип­товалют через буфер обме­на.

Эта кам­пания была замече­на еще в прош­лом году: с июня 2024 года в «Док­тор Веб» начали обра­щать­ся кли­енты, которые уста­нови­ли анти­вирус Dr.Web Security Space на све­жеп­риоб­ретен­ные Android-телефо­ны. При ска­ниро­вании сис­темно­го раз­дела про­шив­ки анти­вирус обна­ружи­вал подоз­ритель­ное при­ложе­ние, замас­кирован­ное под мес­сен­джер WhatsApp.

Кра­жу информа­ции путем перех­вата или под­мены дан­ных, которые поль­зователь копиру­ет в буфер обме­на, называ­ют тер­мином «клип­пинг». Чаще все­го клип­перы нацеле­ны на поиск в буфере пос­ледова­тель­нос­тей сим­волов, соот­ветс­тву­ющих адре­сам крип­токошель­ков. В сред­нем такие стро­ки содер­жат от 25 до 42 сим­волов. Для удобс­тва работы с такими дан­ными поль­зовате­ли обыч­но исполь­зуют стан­дар­тные опе­рации «копиро­вать» и «вста­вить». Клип­пер может вос­поль­зовать­ся этим, перех­ватив содер­жимое буфера обме­на и незамет­но под­менив все адре­са крип­товалют­ных кошель­ков при­над­лежащи­ми опе­рато­рам мал­вари.

По сло­вам спе­циалис­тов, зло­умыш­ленни­ки каким‑то обра­зом получи­ли дос­туп к цепоч­ке пос­тавок ряда китай­ских про­изво­дите­лей смар­тфо­нов на базе Android. Жалобы имен­но на такие смар­тфо­ны и пос­тупали от поль­зовате­лей.

В боль­шинс­тве слу­чаев ском­про­мети­рован­ные «из короб­ки» устрой­ства были пред­став­лены в ниж­нем ценовом сег­менте и име­ли наз­вания, соз­вучные с моделя­ми извес­тных брен­дов: S23 Ultra, Note 13 Pro, P70 Ultra и так далее.

Карточки зараженных устройств
Кар­точки заражен­ных устрой­ств

При этом их тех­ничес­кие харак­терис­тики были далеки от заяв­ленных. Дело в том, что в сос­тав про­шив­ки вхо­дило скры­тое при­ложе­ние, поз­воля­ющее с лег­костью изме­нить всю отоб­ража­емую тех­ничес­кую информа­цию об устрой­стве не толь­ко в сис­темном меню, но и в отче­тах таких при­ложе­ний, как AIDA64 и CPU-Z.

Кро­ме того, нес­мотря на то что в раз­деле «Об устрой­стве» было заяв­лено об уста­нов­ленной пос­ледней вер­сии Android 14, на самом деле все устрой­ства работа­ли под управле­нием одно­го и того же бил­да Android 12.

Как выяс­нилось, треть перечис­ленных ниже моделей, в которых была обна­руже­на мал­варь, выпус­кает­ся под брен­дом SHOWJI. Про­изво­дите­лей осталь­ных моделей иссле­дова­телям иден­тифици­ровать не уда­лось.

Тро­яни­зиро­ван­ная вер­сия WhatsApp была соз­дана с помощью инс­тру­мен­та LSPatch. Этот фрей­мворк поз­воля­ет изме­нять поведе­ние основно­го при­ложе­ния, не вме­шива­ясь в его код, а заг­ружая для это­го допол­нитель­ные прог­рам­мные модули. В дан­ном слу­чае мошен­ники помес­тили в пап­ку assets вре­донос­ный модуль com.whatsHook.apk, выпол­няющий сле­дующие фун­кции:

  • под­мена адре­са обновле­ний WhatsApp сер­верами зло­умыш­ленни­ков;

  • по­иск и под­мена в сооб­щени­ях адре­са кошель­ков Tron (34 сим­вола, начина­ется с T) и Ethereum (42 сим­вола, начина­ется с 0x);

  • от­прав­ка зло­умыш­ленни­кам всех сооб­щений и изоб­ражений из папок DCIM, PICTURES, SCREENSHOTS и так далее, что­бы най­ти скрин­шоты с seed-фра­зами от кошель­ков.

Так­же вся информа­ция об устрой­стве (про­изво­дитель, модель, язы­ковые нас­трой­ки и имя тро­яни­зиро­ван­ного при­ложе­ния) тоже переда­ется на управля­ющий сер­вер.

В клас­сифика­ции «Док­тор Веб» этот тро­ян получил наз­вание Shibai из‑за стро­ки в коде, которая, видимо, явля­ется отсылкой к наз­ванию крип­товалю­ты Shiba Inu (SHIB).

Ис­сле­дова­тели под­черки­вают, что эта кам­пания очень мас­штаб­на и ана­логич­ным обра­зом мошен­ники модифи­циро­вали поряд­ка 40 при­ложе­ний. Сре­ди них — WhatsApp и Telegram, а так­же дру­гие мес­сен­дже­ры, ска­неры QR-кодов и так далее. В боль­шинс­тве слу­чаев вме­шатель­ству под­верга­лись при­ложе­ния крип­токошель­ков (MathWallet, Trust Wallet и дру­гие).

В общей слож­ности было обна­руже­но более 60 управля­ющих сер­веров, а для рас­простра­нения вре­донос­ных при­ложе­ний задей­ство­ваны поряд­ка 30 доменов.

Так­же экспер­там уда­лось получить некото­рые све­дения о финан­совых успе­хах авто­ров этой мал­вари. В одном из отсле­жива­емых кошель­ков были замече­ны пос­тупле­ния за два года в раз­мере более мил­лиона дол­ларов США. В дру­гом кошель­ке обна­ружи­ли еще пол­милли­она. Осталь­ные кошель­ки (при­мер­но 20 штук) хра­нили сум­мы до 100 тысяч дол­ларов. Пол­ную кар­тину доход­ности этой кам­пании сос­тавить невоз­можно, так как адре­са кошель­ков получа­ются с сер­вера зло­умыш­ленни­ков и могут быть раз­ными.

Один из кошельков злоумышленников
Один из кошель­ков зло­умыш­ленни­ков

Роскомнадзор о зарубежных хостингах

В пресс‑служ­бе ведомс­тва сооб­щили, что могут огра­ничить работу некото­рых зарубеж­ных про­вай­деров хос­тинга с уче­том рис­ков для рос­сий­ских ресур­сов.

«С уче­том рис­ков, которым под­верже­ны ресур­сы, раз­мещен­ные на мощ­ностях этих ком­паний, работа таких про­вай­деров хос­тинга может быть огра­ниче­на на тер­ритории РФ. В таком слу­чае они не смо­гут ока­зывать услу­ги хос­тинга рос­сий­ским орга­низа­циям», — сооб­щили в Рос­комнад­зоре.

Речь идет о ком­пани­ях, под­лежащих «при­зем­лению». В этот спи­сок на сегод­няшний день вклю­чены 12 хос­тинг‑про­вай­деров, и вес­ной прош­лого года Рос­комнад­зор уже ог­раничил дос­туп к сай­там нес­коль­ких инос­тран­ных хос­теров из это­го переч­ня.

В пресс‑служ­бе ведомс­тва под­чер­кну­ли, что орга­низа­ции, которые раз­меща­ют свои ресур­сы на мощ­ностях зарубеж­ных про­вай­деров хос­тинга, могут стол­кнуть­ся с серь­езны­ми угро­зами.

«Так, инос­тран­ные хос­тинг‑про­вай­деры могут в любой момент разор­вать сот­рудни­чес­тво с вла­дель­цем ресур­са, нап­ример по полити­чес­ким при­чинам или внут­ренним решени­ям ком­пании, оста­вив сайт недос­тупным для поль­зовате­лей. На сер­верах зарубеж­ных про­вай­деров информа­ция не всег­да защище­на от несан­кци­они­рован­ного дос­тупа. Это ста­вит под угро­зу кон­фиден­циаль­ность дан­ных поль­зовате­лей и безопас­ность биз­неса, пос­коль­ку утеч­ка информа­ции может при­вес­ти к финан­совым и репута­цион­ным потерям», — пояс­нили в РКН.

 

Удаленный взлом Nissan Leaf

Ис­сле­дова­тели из ком­пании PCAutomotive про­демонс­три­рова­ли ряд уяз­вимос­тей в элек­тро­моби­ле Nissan Leaf. Спе­циалис­ты показа­ли, что баги мог­ли исполь­зовать­ся для уда­лен­ного взло­ма авто­моби­лей, слеж­ки и пол­ного перех­вата раз­личных фун­кций.

Ком­пания PCAutomotive спе­циали­зиру­ется на пен­тестах и ана­лизе угроз для авто­мобиль­ной и финан­совой отраслей. О взло­ме Nissan Leaf экспер­ты рас­ска­зали на кон­ферен­ции Black Hat Asia 2025.

Объ­ектом изу­чения стал элек­тро­мобиль Nissan Leaf вто­рого поколе­ния, выпущен­ный в 2020 году. Обна­ружен­ные в нем уяз­вимос­ти поз­воляли исполь­зовать фун­кции Bluetooth в информа­цион­но‑раз­вле­катель­ной сис­теме авто для про­ник­новения во внут­реннюю сеть.

Эк­спер­ты рас­ска­зыва­ют, что эти проб­лемы поз­воляли повысить при­виле­гии и уста­новить канал свя­зи с управля­ющим сер­вером с помощью сотовой свя­зи, что обес­печива­ло скры­тый и пос­тоян­ный дос­туп к элек­тро­моби­лю непос­редс­твен­но через интернет.

Зло­умыш­ленник мог исполь­зовать обна­ружен­ные уяз­вимос­ти для слеж­ки за вла­дель­цем Nissan Leaf, отсле­живая мес­тополо­жение авто, делая скрин­шоты информа­цион­но‑раз­вле­катель­ной сис­темы и даже записы­вая раз­говоры людей в салоне.

Кро­ме того, проб­лемы поз­воляли уда­лен­но кон­тро­лиро­вать раз­личные фун­кции авто, вклю­чая откры­тие две­рей, работу стек­лоочис­тителей, клак­сона, зер­кал, окон, фар и даже рулево­го колеса, в том чис­ле во вре­мя дви­жения.

Уяз­вимос­тям были прис­воены восемь иден­тифика­торов CVE: от CVE-2025-32056 до CVE-2025-32063.

Ис­сле­дова­тели рас­ска­зали, что про­цесс рас­кры­тия информа­ции о багах начал­ся еще в августе 2023 года, но спе­циалис­ты ком­пании Nissan под­твер­дили наличие проб­лем толь­ко в янва­ре 2024 года, а прис­воение иден­тифика­торов CVE заняло еще око­ло года.

В допол­нение к сво­ему док­ладу спе­циалис­ты опуб­ликова­ли ви­део, в котором наг­лядно про­демонс­три­рова­ли, как исполь­зовали свои экс­пло­иты для уда­лен­ного взло­ма Nissan Leaf.

Пред­ста­вите­ли Nissan сооб­щили СМИ, что ком­пания не может рас­кры­вать детали уяз­вимос­тей и пред­при­нятых защит­ных мер из сооб­ражений безопас­ности. При этом в ком­пании под­чер­кну­ли, что будут про­дол­жать раз­рабаты­вать и внед­рять тех­нологии для борь­бы с кибера­така­ми «ради безопас­ности и спо­кой­ствия кли­ентов».

40% российских компаний уничтожают данные вручную

  • Сог­ласно иссле­дова­нию ком­пании «Гар­да», поч­ти 40% опе­раций по унич­тожению пер­сональ­ных дан­ных совер­шают­ся вруч­ную, а в 12% слу­чаев — не совер­шают­ся вов­се.
  • Так, 39% ком­паний исполь­зуют руч­ной поиск дан­ных с уда­лени­ем в базах, фай­ловых хра­нили­щах и на отдель­ных рабочих мес­тах, 25% при­меня­ют шре­деры и сжи­гание сов­мес­тно со спе­циали­зиро­ван­ным ПО, 10% — толь­ко механи­чес­кое унич­тожение, 10% — дру­гие методы, и толь­ко у 3% име­ется сер­тифици­рован­ное ПО. Еще 12% ком­паний не уда­ляют дан­ные вов­се.
  • Глав­ными проб­лемами при уда­лении дан­ных явля­ются отсутс­твие инс­тру­мен­тов авто­мати­зации (22%), хра­нение информа­ции в раз­ных сис­темах (20%) и стро­гие тре­бова­ния к докумен­тирова­нию про­цес­са (2%).
 

Перезагрузка раз в три дня

Ком­пания Google внед­ряет новый защит­ный механизм для устрой­ств под управле­нием Android. Он будет авто­мати­чес­ки перезаг­ружать заб­локиро­ван­ные и неис­поль­зуемые устрой­ства пос­ле трех дней без­дей­ствия, воз­вра­щая их память в зашиф­рован­ное сос­тояние.

Хо­тя в ком­пании не объ­ясня­ют, какие имен­но мотивы кро­ются за добав­лени­ем этой фун­кции, судя по все­му, она дол­жна зат­руднить извле­чение дан­ных с устрой­ств при помощи кибер­кри­мина­лис­тичес­ких инс­тру­мен­тов.

От­метим, что еще в янва­ре 2024 года раз­работ­чики защищен­ной GrapheneOS, ори­енти­рован­ной на кон­фиден­циаль­ность и безопас­ность, пред­ложили добавить в Android фун­кцию авто­мати­чес­кой перезаг­рузки, что­бы зат­руднить экс­плу­ата­цию неких уяз­вимос­тей в про­шив­ке таких устрой­ств, как Google Pixel и Samsung Galaxy. По дан­ным спе­циалис­тов, эти уяз­вимос­ти исполь­зовались кри­мина­лис­тами для извле­чения информа­ции с устрой­ств.

Но­вая фун­кция авто­пере­заг­рузки вош­ла в пос­леднее обновле­ние сер­висов Google Play (25.14), в раз­дел Security & Privacy.

«Бла­года­ря этой фун­кции ваше устрой­ство авто­мати­чес­ки перезаг­ружа­ется, если оно заб­локиро­вано в течение трех дней под­ряд», — пишут раз­работ­чики.

Де­ло в том, что спон­танная перезаг­рузка перево­дит устрой­ство из режима «пос­ле пер­вой раз­бло­киров­ки» (After First Unlock, AFU), в котором дан­ные поль­зовате­ля рас­шифро­выва­ются, ста­новясь дос­тупны­ми для извле­чения, в режим «до пер­вой раз­бло­киров­ки» (Before First Unlock, BFU), в котором боль­шинс­тво поль­зователь­ских дан­ных оста­ются зашиф­рован­ными и недос­тупны­ми до пер­вой раз­бло­киров­ки устрой­ства.

Изъ­ятые пра­воох­ранитель­ными орга­нами или укра­ден­ные устрой­ства, как пра­вило, находят­ся в режиме AFU, поэто­му, даже если они заб­локиро­ваны, экспер­ты могут извлечь хотя бы часть дан­ных.

В 2024 году раз­работ­чики GrapheneOS пред­лагали внед­рить в Android-устрой­ства механизм авто­пере­заг­рузки, который перезаг­ружал бы сис­тему пос­ле 18 часов без­дей­ствия, воз­вра­щая устрой­ство в режим BFU. Теперь Google дей­стви­тель­но добав­ляет такую фун­кци­ональ­ность, толь­ко выб­рав в качес­тве интерва­ла не 18 часов прос­тоя, а 72 часа.

На­пом­ним, что в прош­лом году кибер­кри­мина­лис­ты были удив­лены стран­ным поведе­нием iPhone: устрой­ства самос­тоятель­но перезаг­ружались, если какое‑то вре­мя не под­клю­чались к сети сотово­го опе­рато­ра. Поз­же под­твер­дилось, что с релизом iOS 18.1 раз­работ­чики Apple добави­ли в ОС защит­ную фун­кцию авто­мати­чес­кой перезаг­рузки.

Пираты предпочитают зону .ru

  • По информа­ции ана­лити­ков F6 (быв­шая FAССT и Group-IB), вес­ной 2025 года на домен­ную зону .ru при­ходи­лась наиболь­шая часть регис­три­руемых пират­ских сай­тов — 22,8%. Домен­ная зона .сom ока­залась менее популяр­на — 12,7% регис­тра­ций, а за ней сле­дует зона .online c 10,8%.
  • По дан­ным экспер­тов, хотя доходы пиратов сни­зились с 87 мил­лионов дол­ларов до 36 мил­лионов за шесть лет, объ­ем кон­тента про­дол­жает уве­личи­вать­ся. Так, в 2024 году заб­локиро­вано 12,5 мил­лиона еди­ниц пират­ско­го кон­тента — на 42% боль­ше, чем годом ранее.
  • При этом 39% пират­ских сай­тов содер­жат мал­варь, уяз­вимос­ти и фишин­говые ссыл­ки.
  • Под­черки­вает­ся, что важ­но бороть­ся не толь­ко с самими сай­тами, но и с тех­ничес­кой базой пиратс­тва — CDN и виде­оба­лан­серами, которые снаб­жают кон­тентом до 90% нелегаль­ных онлайн‑киноте­атров.
  • Ин­фраструк­тура пират­ских CDN, нап­ротив, обыч­но раз­меща­ется не в Рос­сии, а у хос­теров, зарегис­три­рован­ных в Ни­дер­ландах, США, Гер­мании, Ук­раине и Фран­ции, что зат­рудня­ет их бло­киров­ку.
  • Изу­чив 1400 пират­ских сай­тов, иссле­дова­тели сос­тавили рей­тинг самых популяр­ных у рос­сий­ских пиратов CDN. Лидером ста­ла Alloha: ее выбира­ет 61% адми­нис­тра­торов нелегаль­ных ресур­сов. На вто­ром мес­те — Rewall (42%), замыка­ет трой­ку Lumex (11%). Мень­шей популяр­ностью поль­зуют­ся CDN Kodik (9%) и HDVB (7%).
  • Ба­за одно­го пират­ско­го балан­сера может содер­жать более 550 тысяч еди­ниц видео, а в общей слож­ности инфраструк­тура всех круп­ных виде­оба­лан­серов вклю­чает более 4400 доменов.
 

Атаки через «галлюцинации»

Эк­спер­ты пре­дуп­редили о новом типе атак на цепоч­ку пос­тавок, получив­шем наз­вание слопс­квот­тинг (slopsquatting). Такие ата­ки ста­новят­ся воз­можны бла­года­ря широко­му при­мене­нию генера­тив­ных ИИ‑инс­тру­мен­тов для кодин­га, так как модели склон­ны к «гал­люцина­циям» и могут при­думы­вать несущес­тву­ющие пакеты.

Тер­мин «слопс­квот­тинг» был пред­ложен ИБ‑иссле­дова­телем Сетом Лар­соном (Seth Larson) и родс­тве­нен сло­ву «тай­псквот­тинг». В отли­чие от тай­псквот­тинга, слопс­квот­тинг свя­зан не с экс­плу­ата­цией опе­чаток, а с тем фак­том, что зло­умыш­ленни­ки могут соз­давать вре­донос­ные пакеты в PyPI или npm, исполь­зуя наз­вания, которые час­то «выдумы­вают» ИИ‑модели.

Ис­сле­дова­ние, пос­вящен­ное изу­чению «гал­люцина­ций» ИИ, показа­ло, что при­мер­но в 20% слу­чаев (576 тысяч сге­нери­рован­ных при­меров кода на Python и JavaScript) рекомен­дуемые искусс­твен­ным интеллек­том пакеты не сущес­тво­вали.

При­чем ситу­ация выг­лядит хуже для опен­сор­сных LLM (CodeLlama, DeepSeek, WizardCoder и Mistral), а ком­мерчес­кие инс­тру­мен­ты, такие как ChatGPT-4, гал­люцини­руют при­мер­но в 5% слу­чаев, что тоже сов­сем немало.

Ко­личес­тво уни­каль­ных имен таких несущес­тву­ющих пакетов пре­выси­ло 200 тысяч, при­чем 43% из них пос­тоян­но появ­лялись в отве­тах LLM при похожих пром­птах, а 58% пов­торялись хотя бы один раз из десяти.

От­меча­ется, что 38% наз­ваний несущес­тву­ющих пакетов явно были вдох­новле­ны нас­тоящи­ми пакета­ми, 13% были резуль­татом опе­чаток, а осталь­ные 51% ока­зались пол­ностью вымыш­ленны­ми.

Общая схема атаки
Об­щая схе­ма ата­ки

Хо­тя пока нет никаких приз­наков того, что зло­умыш­ленни­ки уже взя­ли на воору­жение новый тип атак, иссле­дова­тели из ком­пании Socket пре­дуп­редили, что «гал­люцина­ции» в наз­вани­ях пакетов встре­чают­ся час­то, регуляр­но пов­торя­ются и выг­лядят семан­тичес­ки прав­доподоб­но, что мож­но лег­ко при­менить во вре­донос­ных целях.

«В целом 58% „гал­люцина­ций“ пов­торялись более одно­го раза. Это сви­детель­ству­ет о том, что боль­шинс­тво „гал­люцина­ций“ — не прос­то слу­чай­ный шум, а пов­торя­ющиеся арте­фак­ты того, как модели реаги­руют на опре­делен­ные пром­пты, — объ­ясня­ют иссле­дова­тели Socket. — Такая пов­торя­емость повыша­ет их цен­ность для зло­умыш­ленни­ков, потому что помога­ет выяв­лять жиз­неспо­соб­ные цели для слопс­квот­тинга, прос­то наб­людая за резуль­татами работы моделей даже на неболь­ших выбор­ках».

Единс­твен­ным спо­собом сни­жения рис­ков в дан­ном слу­чае явля­ется про­вер­ка имен пакетов вруч­ную. Так­же всег­да сто­ит пом­нить о том, что любой пакет, упо­мяну­тый ИИ, может не сущес­тво­вать в реаль­нос­ти и не быть безопас­ным.

Так­же спе­циалис­ты рекомен­дуют исполь­зовать ска­неры зависи­мос­тей, lockfile и про­вер­ки хешей для уста­нов­ления свя­зи пакетов с извес­тны­ми и надеж­ными вер­сиями.

Кро­ме того, отме­чает­ся, что сни­жение «тем­перату­ры» ИИ помога­ет сни­зить количес­тво гал­люцина­ций, что тоже сле­дует учи­тывать всем вайб‑кодерам. Одна­ко запус­кать и раз­верты­вать соз­данный ИИ код в любом слу­чае рекомен­дует­ся толь­ко пос­ле тес­тирова­ния в безопас­ной и изо­лиро­ван­ной сре­де.

373 тысячи блокировок в Telegram

  • С 2017 года по нас­тоящее вре­мя по тре­бова­нию Рос­комнад­зора в мес­сен­дже­ре Telegram были уда­лены свы­ше 373 тысяч пуб­ликаций и каналов, сооб­щили в пресс‑служ­бе ведомс­тва.
  • При этом в РКН отме­тили, что воп­росы о при­чинах бло­киров­ки отдель­ных матери­алов сле­дует адре­совать непос­редс­твен­но адми­нис­тра­ции мес­сен­дже­ра. Ведь Telegram самос­тоятель­но при­нима­ет окон­чатель­ное решение об уда­лении кон­тента пос­ле получе­ния уве­дом­лений.
 

Враг в обновлении

В ходе сов­мес­тно­го иссле­дова­ния экспер­ты «Лабора­тории Кас­пер­ско­го» и экспер­ты кибер­безопас­ности «Т‑Тех­нологий» обна­ружи­ли новый бэк­дор. Неиз­вес­тная APT-груп­пиров­ка исполь­зовала его для кибер­шпи­она­жа в сетях десят­ков рос­сий­ских орга­низа­ций.

По дан­ным экспер­тов, с этой вре­донос­ной кам­пани­ей стол­кну­лись в том чис­ле орга­низа­ции из гос­секто­ра, финан­совой сфе­ры и про­мыш­леннос­ти. Пос­ледние инци­ден­ты зафик­сирова­ны сов­сем недав­но — в апре­ле 2025 года.

Мал­варь была нацеле­на на компь­юте­ры, под­клю­чен­ные к сети ViPNet — прог­рам­мно­го ком­плек­са для соз­дания защищен­ных сетей. Вре­донос рас­простра­няет­ся, мимик­рируя под обновле­ние ViPNet Client, в архи­вах с рас­ширени­ем .lzh, име­ющих струк­туру, харак­терную для обновле­ния это­го ПО. Архи­вы содер­жали сле­дующие фай­лы:

  • action.inf — тек­сто­вый файл;

  • lumpdiag.exe — легитим­ный исполня­емый файл;

  • msinfo32.exe — вре­донос­ный исполня­емый файл неболь­шого раз­мера;

  • за­шиф­рован­ный файл, содер­жащий полез­ную наг­рузку (имя фай­ла раз­лича­ется от архи­ва к архи­ву).

Изу­чение этой кам­пании еще про­дол­жает­ся, и опуб­ликова­но не так мно­го деталей, но иссле­дова­тели соч­ли, что важ­но поделить­ся с сооб­щес­твом пред­варитель­ными резуль­татами рас­сле­дова­ния, что­бы орга­низа­ции мог­ли защитить себя от этой угро­зы.

Про­ана­лизи­ровав содер­жимое архи­ва, иссле­дова­тели уста­нови­ли, что тек­сто­вый файл action.inf содер­жит дей­ствие, которое исполня­ется ком­понен­том служ­бы обновле­ния ViPNet (itcsrvup64.exe). При обра­бот­ке коман­ды extra_command служ­бой обновле­ния запус­кает­ся файл lumpdiag.exe с аргу­мен­том --msconfig. Этот файл легитим­ный, одна­ко он под­вержен тех­нике под­мены пути исполне­ния, что поз­воля­ет зло­умыш­ленни­кам запус­тить вре­донос­ный файл msinfo32.exe.

Файл msinfo32.exe пред­став­ляет собой заг­рузчик, который чита­ет зашиф­рован­ный файл с полез­ной наг­рузкой. Он обра­баты­вает содер­жимое дан­ного фай­ла, что­бы заг­рузить в память бэк­дор.

Сам бэк­дор обла­дает уни­вер­саль­ными воз­можнос­тями — может соеди­нять­ся с управля­ющим сер­вером зло­умыш­ленни­ков с помощью TCP, поз­воляя, в час­тнос­ти, красть с заражен­ных компь­юте­ров фай­лы и запус­кать допол­нитель­ные вре­донос­ные ком­понен­ты.

«Зло­умыш­ленни­ки пос­тоян­но раз­вива­ют свои методы и ищут новые лазей­ки для кибера­так. Поэто­му орга­низа­циям край­не важ­но фокуси­ровать­ся на информа­цион­ной безопас­ности: обу­чать сот­рудни­ков циф­ровой гра­мот­ности, дер­жать их в кур­се акту­аль­ных так­тик, тех­ник и про­цедур, а так­же исполь­зовать надеж­ные защит­ные решения от про­верен­ных вен­доров, что­бы сво­евре­мен­но реаги­ровать на воз­ника­ющие угро­зы. Мы про­дол­жаем иссле­дова­ние и в бли­жай­шее вре­мя пла­ниру­ем рас­крыть новые детали», — сооб­щил Игорь Куз­нецов, дирек­тор Kaspersky GReAT.

Дуров о раскрытии данных пользователей

Вес­ной текуще­го года сенат Фран­ции одоб­рил законоп­роект, который тре­бует встро­ить в мес­сен­дже­ры механизм, поз­воля­ющий пра­воох­ранитель­ным орга­нам иметь дос­туп к перепис­ке поль­зовате­лей (то есть бэк­дор). Законоп­роект был откло­нен Наци­ональ­ной ассам­бле­ей, одна­ко недав­но в под­дер­жку этой ини­циати­вы выс­казал­ся пре­фект полиции Парижа.

В ответ на это Павел Дуров заявил в сво­ем Telegram-канале, что ком­пания ско­рее прек­ратит работу во Фран­ции, чем отка­жет­ся от шиф­рования и сог­ласит­ся на внед­рение бэк­дора.

«Чле­ны Наци­ональ­ной ассам­блеи пос­тупили муд­ро, откло­нив закон, который сде­лал бы Фран­цию пер­вой стра­ной в мире, лишив­шей сво­их граж­дан пра­ва на час­тную жизнь. Даже стра­ны, которые мно­гие евро­пей­цы счи­тают недос­таточ­но сво­бод­ными, никог­да не зап­рещали шиф­рование. Почему?

По­тому что тех­ничес­ки невоз­можно гаран­тировать, что дос­туп к бэк­дору получит толь­ко полиция. Если бэк­дор появит­ся, им смо­гут вос­поль­зовать­ся дру­гие сто­роны — от инос­тран­ных аген­тов до хакеров. В резуль­тате лич­ные сооб­щения всех законо­пос­лушных граж­дан могут ока­зать­ся под угро­зой.

За­кон, нап­равлен­ный на пре­дот­вра­щение нар­котор­говли, все рав­но не помог бы бороть­ся с прес­тупностью. Даже если основные зашиф­рован­ные при­ложе­ния будут ослабле­ны бэк­дором, прес­тупни­ки все рав­но смо­гут безопас­но общать­ся через десят­ки более мел­ких при­ложе­ний, и их ста­нет еще слож­нее отсле­дить из‑за VPN.

По­это­му, как я уже говорил, Telegram ско­рее уйдет с рын­ка, чем подор­вет свое шиф­рование с помощью бэк­доров и нарушит основные пра­ва челове­ка. В отли­чие от некото­рых наших кон­курен­тов, мы не готовы обме­нять кон­фиден­циаль­ность на долю рын­ка.

За свою 12-лет­нюю исто­рию Telegram никог­да не рас­кры­вал ни одно­го бай­та лич­ных сооб­щений (поль­зовате­лей). В соот­ветс­твии с законом ЕС о циф­ровых услу­гах, при наличии дей­стви­тель­ного судеб­ного орде­ра Telegram может рас­крыть информа­цию об IP-адре­сах и номерах телефо­нов подоз­рева­емых в совер­шении прес­тупле­ний, но не их сооб­щения.

В прош­лом месяце сво­бода вос­торжес­тво­вала. Но это ста­ло напоми­нани­ем: мы дол­жны про­дол­жать объ­яснять законо­дате­лям, что шиф­рование соз­дано не для защиты прес­тупни­ков, — оно защища­ет час­тную жизнь и безопас­ность обыч­ных людей. Потеря этой защиты ста­нет тра­геди­ей.

Эта борь­ба еще далека от завер­шения. В этом месяце Евро­пей­ская комис­сия пред­ложила ана­логич­ную ини­циати­ву по внед­рению бэк­доров в при­ложе­ния для обме­на сооб­щени­ями. Ни одна стра­на не зас­тра­хова­на от мед­ленной эро­зии сво­бод. Каж­дый день эти сво­боды под­верга­ются напад­кам, и каж­дый день мы обя­заны их защищать», — пишет Дуров.

 

Подозрительные расширения

Спе­циалис­ты Secure Annex обна­ружи­ли 57 опас­ных рас­ширений для Chrome, которы­ми поль­зуют­ся око­ло 6 мил­лионов человек. Рас­ширения могут отсле­живать поведе­ние бра­узе­ра, получать дос­туп к cookie доменов и выпол­нять уда­лен­ные скрип­ты.

При этом рас­ширения явля­ются «скры­тыми», то есть их нель­зя най­ти поис­ком в Chrome Web Store, они не индекси­руют­ся поис­ковыми сис­темами и могут быть уста­нов­лены, толь­ко если у поль­зовате­ля есть пря­мой URL.

Как пра­вило, «скры­тые» рас­ширения пред­став­ляют собой внут­ренние инс­тру­мен­ты ком­паний или про­дук­ты, находя­щиеся в ста­дии раз­работ­ки. Одна­ко в дан­ном слу­чае зло­умыш­ленни­ки могут исполь­зовать эту осо­бен­ность для укло­нения от обна­руже­ния, к при­меру агрессив­но прод­вигая рас­ширения через рек­ламу и вре­донос­ные сай­ты.

Все началось с того, что спе­циалист Secure Annex Джон Так­нер (John Tuckner) обна­ружил подоз­ритель­ное рас­ширение Fire Shield Extension Protection. Его код был силь­но обфусци­рован и исполь­зовал обратные вызовы API для переда­чи информа­ции, соб­ранной в бра­узе­ре.

Че­рез домен unknow(.)com, исполь­зующий­ся этим рас­ширени­ем, Так­нер выявил и дру­гие аддо­ны, исполь­зующие тот же домен, который яко­бы обес­печива­ет бло­киров­ку рек­ламы и защища­ет кон­фиден­циаль­ность поль­зовате­лей.

Все 35 най­ден­ных рас­ширений име­ли избы­точ­ные пра­ва, поз­воля­ющие выпол­нять сле­дующие дей­ствия:

  • получать дос­туп к фай­лам cookie, вклю­чая кон­фиден­циаль­ные хедеры (нап­ример, Authorization);

  • отсле­живать поведе­ние поль­зовате­ля в бра­узе­ре;

  • изме­нять поис­ковую сис­тему (и резуль­таты поис­ка);

  • внед­рять и выпол­нять уда­лен­ные скрип­ты на посеща­емых стра­ницах через iframes;

  • уда­лен­но акти­виро­вать рас­ширен­ное отсле­жива­ние.

Хо­тя рас­ширения не ворова­ли поль­зователь­ские пароли или cookie, их избы­точ­ные пра­ва, силь­но обфусци­рован­ный код и скрыт­ность поз­волили отнести их к катего­рии опас­ных, и Так­нер пред­положил, что обна­ружил шпи­онское ПО.

«Сре­ди дру­гих фун­кций при­сутс­тву­ют допол­нитель­ные обфусци­рован­ные сиг­налы, ука­зыва­ющие на наличие серь­езно­го C&C-потен­циала. Нап­ример, есть воз­можность перечис­ления наибо­лее посеща­емых челове­ком сай­тов, информа­ции об откры­тии/зак­рытии вкла­док, получе­ния дан­ных о наибо­лее посеща­емых сай­тах и запус­ка боль­шинс­тва вышепе­речис­ленных фун­кций в про­изволь­ном поряд­ке, — пишет иссле­дова­тель. — Мно­гие из этих воз­можнос­тей не уда­лось про­верить, но серь­езное бес­покой­ство вызыва­ет сам факт их наличия в 35 рас­ширени­ях, которые яко­бы пред­назна­чены для прос­тых задач, нап­ример для защиты от вре­донос­ных рас­ширений».

Хо­тя изна­чаль­но экспер­ту уда­лось обна­ружить 35 опас­ных рас­ширений, через нес­коль­ко дней он допол­нил свой отчет и сооб­щил об обна­руже­нии еще 22 рас­ширений, пред­положи­тель­но свя­зан­ных с этой вре­донос­ной кам­пани­ей. При­чем некото­рые из них явля­ются пуб­личны­ми.

Та­ким обра­зом, в нас­тоящее вре­мя най­дено уже 57 подоз­ритель­ных рас­ширений, которы­ми поль­зуют­ся око­ло 6 мил­лионов человек. Инте­рес­но, что десять из них отме­чены зна­ком Featured, который ком­пания Google прис­ваивает раз­работ­чикам, лич­ности которых были про­вере­ны и которые «сле­дуют луч­шим тех­ничес­ким прак­тикам».

Так­нер отме­чает, что пос­ле пуб­ликации его отче­та некото­рые из рас­ширений были уда­лены из Chrome Web Store, одна­ко дру­гие по‑преж­нему активны.

Пол­ный спи­сок рас­ширений мож­но най­ти здесь, а ниже перечис­лены толь­ко самые популяр­ные из них, с наиболь­шим количес­твом заг­рузок:

  • Cuponomia — Coupon and Cashback (700 тысяч поль­зовате­лей, пуб­личное);

  • Fire Shield Extension Protection (300 тысяч поль­зовате­лей, скры­тое);

  • Total Safety for Chrome™ (300 тысяч поль­зовате­лей, скры­тое);

  • Protecto for Chrome™ (200 тысяч поль­зовате­лей, скры­тое);

  • Browser WatchDog for Chrome (200 тысяч поль­зовате­лей, пуб­личное);

  • Securify for Chrome™ (200 тысяч поль­зовате­лей, скры­тое);

  • Browser Checkup for Chrome by Doctor (200 тысяч поль­зовате­лей, пуб­личное);

  • Choose Your Chrome Tools (200 тысяч поль­зовате­лей, скры­тое).

Пред­ста­вите­ли Google сооб­щили, что им извес­тно об опуб­ликован­ном Так­нером отче­те и они про­водят рас­сле­дова­ние.

Каждый второй житель РФ сталкивался с телефонным мошенничеством

  • По информа­ции «Лабора­тории Кас­пер­ско­го», в пер­вом квар­тале 2025 года доля рос­сий­ских поль­зовате­лей, стол­кнув­шихся с телефон­ными звон­ками с подоз­рени­ем на мошен­ничес­тво с неиз­вес­тных номеров, вырос­ла поч­ти на 3% и сос­тавила 43%.
  • При этом количес­тво людей, получав­ших вызовы от зло­умыш­ленни­ков в WhatsApp, уве­личи­лось сра­зу в 3,5 раза.
  • Эк­спер­ты отме­тили, что в боль­шинс­тве слу­чаев зло­умыш­ленни­ки теперь стре­мят­ся свя­зать­ся с жер­тва­ми через мес­сен­джер: зво­нят, уста­новив вмес­то ника набор цифр, пов­торя­ющих номер офи­циаль­ных орга­низа­ций, пишут, ими­тируя информа­цион­ную рас­сылку, или при­сыла­ют голосо­вое сооб­щение яко­бы от зна­комых.
 

Спайварь атакует военных

Ана­лити­ки «Док­тор Веб» обна­ружи­ли шпи­онское ПО для Android, основной целью которо­го явля­ются рос­сий­ские воен­нослу­жащие. Тро­ян скры­вает­ся в модифи­циро­ван­ной вер­сии кар­тогра­фичес­кой прог­раммы Alpine Quest и рас­простра­няет­ся в том чис­ле и через неназ­ванный рос­сий­ский магазин при­ложе­ний.

Мал­варь (Android.Spy.1292.origin в клас­сифика­ции ком­пании) переда­ет сво­им опе­рато­рам информа­цию о кон­тактах из телефон­ной кни­ги и геоло­кацию заражен­ных устрой­ств. Кро­ме того, шпи­онское ПО собира­ет дан­ные о хра­нящих­ся на устрой­ствах фай­лах и по коман­де зло­умыш­ленни­ков может заг­ружать допол­нитель­ные модули для их кра­жи.

Ис­сле­дова­тели объ­ясня­ют, что Alpine Quest поз­воля­ет исполь­зовать раз­личные кар­ты как в онлайн‑режиме, так и при отсутс­твии под­клю­чения к интерне­ту. Прог­рамма популяр­на сре­ди спорт­сме­нов, путешес­твен­ников и охот­ников, но так­же наш­ла широкое при­мене­ние сре­ди рос­сий­ских воен­нослу­жащих в зоне СВО.

Зло­умыш­ленни­ки интегри­рова­ли мал­варь в одну из ста­рых вер­сий Alpine Quest и рас­простра­няли вре­донос­ный вари­ант под видом обще­дос­тупной вер­сии прог­раммы с рас­ширен­ной фун­кци­ональ­ностью, Alpine Quest Pro. Для это­го был соз­дан под­дель­ный Telegram-канал при­ложе­ния, через который рас­простра­нялась ссыл­ка на заг­рузку прог­раммы в одном из рос­сий­ских катало­гов при­ложе­ний. Поз­днее эта же вер­сия прог­раммы рас­простра­нялась и в самом канале под видом обновле­ния.

Пос­коль­ку Android.Spy.1292.origin был встро­ен в копию нас­тояще­го при­ложе­ния, пос­ле уста­нов­ки оно выг­лядит и работа­ет как ори­гиналь­ная прог­рамма, не вызывая подоз­рений у поль­зовате­ля.

При каж­дом запус­ке тро­ян собира­ет и переда­ет на управля­ющий сер­вер сле­дующие дан­ные:

  • учет­ные записи поль­зовате­ля и номер мобиль­ного телефо­на;

  • кон­такты из телефон­ной кни­ги;

  • те­кущую дату;

  • те­кущую геоло­кацию;

  • све­дения о хра­нящих­ся на устрой­стве фай­лах;

  • вер­сию при­ложе­ния.

Мал­варь дуб­лиру­ет часть информа­ции в при­над­лежащий ата­кующим Telegram-бот. Нап­ример, отправ­ляет боту дан­ные о новых коор­динатах при каж­дой сме­не мес­тополо­жения устрой­ства.

По­лучив информа­цию о дос­тупных фай­лах, зло­умыш­ленни­ки могут дать тро­яну коман­ду заг­рузить и запус­тить вспо­мога­тель­ные модули, с помощью которых тот смо­жет похитить нуж­ные дан­ные.

Про­веден­ный ана­лиз показал, что соз­дателей спай­вари инте­ресу­ют кон­фиден­циаль­ные докумен­ты, которые поль­зовате­ли переда­ют через мес­сен­дже­ры Telegram и WhatsApp, а так­же файл жур­нала локаций locLog, соз­дава­емый непос­редс­твен­но Alpine Quest.

Боты лидируют в мировом трафике

  • До­ля мирово­го тра­фика, при­ходя­щего­ся на ботов, впер­вые пре­выси­ла долю тра­фика, генери­руемо­го людь­ми, сооб­щили ана­лити­ки ком­пании Imperva. Иссле­дова­тели объ­ясня­ют, что это свя­зано с активностью ИИ и инно­ваци­ями в кри­миналь­ной сре­де.
  • В нас­тоящее вре­мя боты генери­руют 51% от обще­го количес­тва интернет‑тра­фика в мире. При этом 37% из них — это вре­донос­ные боты и толь­ко 14% — полез­ные.
  • В сво­ем отче­те ком­пания выделя­ет две тен­денции: рост чис­ла API-атак ботов (44% всех прод­винутых ботов нацеле­ны на API) и уве­личе­ние количес­тва атак на зах­ват учет­ных записей (на 40% боль­ше, чем в пре­дыду­щем году).
  • На­ибо­лее рас­простра­нен­ные типы API-атак нацеле­ны на сбор дан­ных (31%), мошен­ничес­тво с пла­тежа­ми (26%), зах­ват учет­ных записей (12%) и скаль­пинг (11%).
  • «Общим зна­мена­телем» этих атак явля­ется исполь­зование уяз­вимос­тей API, от неп­равиль­ной кон­фигура­ции и не­дос­таточ­ных огра­ниче­ний до сла­бых про­токо­лов аутен­тифика­ции.
  • Сре­ди наибо­лее рас­простра­нен­ных ИИ‑ботов иссле­дова­тели перечис­ляют ByteSpider Bot (на него при­ходит­ся 54% всех атак с исполь­зовани­ем ИИ), AppleBot (26%), Claude Bot (13%) и ChatGPT User Bot (6%).
  • Ус­пех бота ByteSpider спе­циалис­ты объ­ясня­ют тем, что его час­то пута­ют с легаль­ным кра­уле­ром ByteSpider, управля­емым ком­пани­ей ByteDance.
  • Сум­марно в 2024 году Imperva заб­локиро­вала око­ло 13 трил­лионов зап­росов ботов, обна­ружи­вая око­ло 2 мил­лионов атак с исполь­зовани­ем ИИ каж­дый день.
 

Разоблачение EncryptHub

Спе­циалис­ты швед­ской ИБ‑ком­пании Outpost24 KrakenLabs приш­ли к выводу, что извес­тный хакер EncryptHub (он же LARVA-208 и Water Gamayun), свя­зан­ный со взло­мами 618 орга­низа­ций, явля­ется одновре­мен­но кибер­прес­тупни­ком и баг­ханте­ром. Дело в том, что EncryptHub уве­домил Microsoft о двух уяз­вимос­тях нулево­го дня в Windows.

Уяз­вимос­ти, о которых идет речь, — это CVE-2025-24061 (обход Mark of the Web) и CVE-2025-24071 (спу­финг File Explorer). Microsoft устра­нила их в текущем году, в рам­ках мар­тов­ско­го втор­ника обновле­ний. Тог­да в ком­пании поб­лагода­рили за обна­руже­ние багов неко­его иссле­дова­теля под ником SkorikARI with SkorikARI.

Как пишут иссле­дова­тели, им уда­лось свя­зать EncryptHub и SkorikARI, так как зло­умыш­ленник слу­чай­но заразил собс­твен­ную сис­тему мал­варью, в резуль­тате чего рас­крыл свои учет­ные дан­ные.

Пред­полага­ется, что око­ло десяти лет назад EncryptHub уехал из род­ного города Харь­кова, пос­ле чего обос­новал­ся где‑то на побережье Румынии. Пос­ле пере­езда он не прив­лекал к себе вни­мания и самос­тоятель­но раз­бирал­ся в ИТ, записав­шись на онлайн‑кур­сы, и парал­лель­но искал работу, свя­зан­ную с компь­юте­рами.

При этом деятель­ность EncryptHub рез­ко прер­валась в начале 2022 года, пос­ле начала спе­циаль­ной воен­ной опе­рации. Иссле­дова­тели заяв­ляют, что наш­ли доказа­тель­ства, поз­воля­ющие пред­положить, что в это вре­мя EncryptHub был зак­лючен в тюрь­му.

«Пос­ле осво­бож­дения он возоб­новил поис­ки работы, на этот раз пред­лагал услу­ги по раз­работ­ке сай­тов и при­ложе­ний как фри­лан­сер, что при­носи­ло опре­делен­ные пло­ды, — говорит­ся в отче­те ком­пании. — Но опла­та, веро­ятно, ока­залась слиш­ком низ­кой. Мы полага­ем, что пос­ле неп­родол­житель­ных попыток учас­тия в прог­раммах bug bounty, которые не увен­чались успе­хом, в пер­вой полови­не 2024 года он перек­лючил­ся на кибер­прес­тупную деятель­ность».

Упо­мяну­тая выше утеч­ка помог­ла свя­зать зло­умыш­ленни­ка с раз­личны­ми онлайн‑акка­унта­ми и сос­тавить про­филь челове­ка, который череду­ет работу ИБ‑иссле­дова­теля и кибер­прес­тупни­ка. Одним из таких акка­унтов стал SkorikARI, с помощью которо­го хакер уве­домил Microsoft о двух уяз­вимос­тях нулево­го дня.

По сло­вам ана­лити­ка Outpost24 Гек­тора Гар­сии (Hector Garcia), на связь меж­ду SkorikARI и EncryptHub ука­зыва­ет мно­жес­тво доказа­тель­ств. Иссле­дова­тели пишут, что хакер пос­тоян­но перек­люча­ется со свя­зан­ного с раз­работ­кой фри­лан­са на кибер­прес­тупную деятель­ность.

«Самым весомым доказа­тель­ством ста­ло то, что в фай­лах паролей, которые EncryptHub слил из собс­твен­ной сис­темы, фигури­рова­ли учет­ные записи, свя­зан­ные как с EncryptHub (нап­ример, учет­ные дан­ные для EncryptRAT, который еще находил­ся в раз­работ­ке, или его акка­унт на xss.is), так и со SkorikARI (нап­ример, дос­тупы к фри­ланс‑сай­там или его акка­унт Gmail), — пояс­няет Гар­сия. — Так­же был най­ден логин для hxxps://github(.)com/SkorikJR, который упо­минал­ся в июль­ской статье спе­циалис­тов Fortinet о Fickle Stealer, что поз­волило объ­еди­нить все эти дан­ные. Еще одним весомым под­твержде­нием свя­зи меж­ду ними ста­ли чаты с ChatGPT, в которых мож­но наб­людать активность, свя­зан­ную как с EncryptHub, так и со SkorikARI».

В ком­пании отме­чают, что, нес­мотря на замет­ные поз­нания в области ИТ, хакер стал жер­твой неб­режно­го отно­шения к опе­раци­онной безопас­ности (OPSEC), что и рас­кры­ло его лич­ную информа­цию. К при­меру, EncryptHub исполь­зовал ChatGPT как для раз­работ­ки вре­донос­ных и фишин­говых сай­тов, так и для интегра­ции сто­рон­него кода и изу­чения уяз­вимос­тей. Нап­ример, в одном слу­чае он про­сит помощи чат‑бота в орга­низа­ции мас­штаб­ной, но совер­шенно «безобид­ной» кам­пании, которая зат­ронет десят­ки тысяч компь­юте­ров.

По­рой он и вов­се вел с чат‑ботом OpenAI лич­ные диало­ги: в одном из них он рас­ска­зал ИИ о сво­их дос­тижени­ях и поп­росил чат‑бота при­чис­лить себя к катего­рии кру­тых хакеров или вре­донос­ных иссле­дова­телей. Тог­да, осно­выва­ясь на пре­дос­тавлен­ных дан­ных, ChatGPT оце­нил EncryptHub как black hat на 40%, white hat на 30%, gray hat на 20% и оста­вил 10% на неоп­ределен­ность, которая отра­жает мораль­ный и жиз­ненный кон­фликт хакера.

EncryptHub повер­хностно свя­зан с вымога­тель­ски­ми груп­пиров­ками, занима­ющи­мися раз­работ­кой такой мал­вари, как RansomHub и BlackSuit. Одна­ко в пос­леднее вре­мя он боль­ше известен бла­года­ря раз­личным фишин­говым ата­кам и соз­данию собс­твен­ного PowerShell-инфости­лера под наз­вани­ем Fickle Stealer.

Так­же EncryptHub был замечен за про­веде­нием кам­паний с исполь­зовани­ем соци­аль­ной инже­нерии, в ходе которых он соз­дает про­фили в соци­аль­ных сетях и сай­ты для фей­ковых при­ложе­ний. К при­меру, недав­но он соз­дал акка­унт в соц­сети X и сайт для несущес­тву­юще­го при­ложе­ния управле­ния про­екта­ми GartoriSpace.

Ссыл­ка на сайт фаль­шивого при­ложе­ния рас­простра­нялась через лич­ные сооб­щения в соци­аль­ных сетях. При заг­рузке соф­та устрой­ства в Windows жер­твы получа­ли PPKG-файл, который уста­нав­ливал Fickle Stealer, а на устрой­ства под управле­нием Mac заг­ружал­ся сти­лер AMOS, тоже вору­ющий информа­цию.

Кро­ме того, недав­но EncryptHub уда­лось свя­зать с ата­ками на поль­зовате­лей Windows с при­мене­нием уяз­вимос­ти Microsoft Management Console (CVE-2025-26633). Эта уяз­вимость была устра­нена в мар­те текуще­го года и при­меня­лась для дос­тавки инфости­леров и ранее не докумен­тирован­ных бэк­доров (SilentPrism и DarkWisp).

По дан­ным ана­лити­ков ком­пании Prodaft, которые недав­но тоже пос­вятили активнос­ти EncryptHub отдель­ный отчет, зло­умыш­ленник сто­ит за взло­мом более 600 орга­низа­ций, рас­простра­няя сти­леры и вымога­тель­ское ПО.

«Слу­чай EncryptHub под­черки­вает, что сла­бая опе­раци­онная безопас­ность оста­ется одной из самых опас­ных сла­бос­тей для кибер­прес­тупни­ков. Нес­мотря на тех­ничес­кую иску­шен­ность, базовые ошиб­ки (вклю­чая пов­торное исполь­зование паролей, незащи­щен­ную инфраструк­туру и сме­шива­ние лич­ной деятель­нос­ти с прес­тупной) в ито­ге при­вели к его разоб­лачению», — резюми­руют в Outpost24.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии