MEGANews. Cамые важные события в мире инфосека за июнь

Содержание статьи

Взлом CoinMarketCap
Телефоны от Google-аккаунтов
Kali Linux 2025.2
Android-малварь с виртуализацией
Проблемы udisks
Уничтожение активов Nobitex
ChatGPT запомнит все
Ошибка ботнета DanaBot
Атака на Cock.li
Отказ от устаревших драйверов

В этом месяце: хакеры атаковали пользователей CoinMarketCap, исследователь подобрал номера телефонов для аккаунтов Google, вышла Kali Linux 2025.2 с тринадцатью новыми инструментами, средства криптобиржи Nobitex украли и уничтожили, у почтового хостера Cock(.)li утекли данные миллиона человек, а также другие важные и интересные события июня.

Взлом CoinMarketCap

Популярный сайт для отслеживания курсов криптовалют CoinMarketCap пострадал от хакерской атаки. Злоумышленники пытались похитить криптовалюту у посетителей ресурса.

Все началось с того, что пользователи CoinMarketCap заметили странные всплывающие окна, которые предлагали им подключить кошельки к сайту. Если люди следовали инструкциям, вредоносный скрипт похищал у них криптовалюту.

Вскоре представители компании подтвердили, что злоумышленники использовали уязвимость в дудле (анимированном логотипе компании) на главной странице сайта и внедрили на страницы ресурса вредоносный JavaScript.

«20 июня 2025 года наша команда по безопасности обнаружила уязвимость, связанную с изображением дудла на нашей домашней странице. Это изображение содержало ссылку, которая запускала вредоносный код через вызов API, что приводило к появлению всплывающего окна при посещении домашней страницы у некоторых пользователей. Обнаружив это, мы незамедлительно удалили проблемный контент, определили первопричину и приняли комплексные меры по изоляции и устранению проблемы. В настоящее время все системы работают штатно, а CoinMarketCap безопасен для всех пользователей», — заявили разработчики CoinMarketCap.

Как объяснили специалисты ИБ‑компании c/side, злоумышленники каким‑то образом изменили API, с помощью которого сайт загружал дудл для отображения на главной странице. В подмененный JSON-ответ был добавлен вредоносный тег script, внедрявший скрипт для кражи криптовалюты из кошельков, который подгружался с внешнего сайта (static.cdnkit(.)io).

Когда пользователь заходил на страницу, скрипт выполнялся и отображал фальшивое всплывающее окно для подключения кошелька, имитируя легитимный запрос на Web3-транзакцию. Однако на самом деле скрипт был предназначен для кражи активов из подключенных кошельков.

«Это была атака на цепочку поставок, то есть взлом был направлен не на собственные серверы CoinMarketCap, а на сторонний инструмент или ресурс, используемый CoinMarketCap, — поясняют в c/side. — Такие атаки сложно обнаружить, поскольку они используют доверенные элементы платформы».

Позже исследователь, известный под ником Rey, поделился деталями этой атаки. На опубликованных им скриншотах видно, что в рамках атаки у 110 жертв было украдено 43 266 долларов в криптовалюте, а участники атаки говорили на французском языке в своем Telegram-канале.

В отличие от традиционного фишинга, криптовалютные дрейнеры чаще всего продвигаются через посты в социальных сетях, рекламу, поддельные сайты и вредоносные расширения для браузеров.

Согласно отчетам исследователей, только в 2024 году злоумышленники похитили почти 500 миллионов долларов в результате подобных атак, нацеленных более чем на 300 тысяч кошельков. Совсем недавно мы посвятили этой проблеме отдельную статью.

Раскрываемость взломов — 2%

По информации МВД России, в 2024 году количество преступлений, связанных со взломом компьютерной информации, увеличилось в три раза — с 36 200 до 104 600.
При этом из них было раскрыто лишь 2100 преступлений, то есть 2,07%.
В МВД связывают рост преступлений с «применением схемы мошенничества в отношении микрофинансовых организаций с использованием неправомерного доступа к учетным записям пользователей» портала «Госуслуги». На такие случаи приходится 90% от всех преступлений со взломом.

Телефоны от Google-аккаунтов

Независимый исследователь обнаружил уязвимость, которая позволяла подобрать номер телефона для любого аккаунта Google. Проблема создавала серьезные риски фишинговых атак и атак на подмену SIM-карт.

Проблему нашел ИБ‑специалист, известный под псевдонимом BruteCat. Напомним, что в начале текущего года он рассказывал о другом баге, благодаря которому можно было узнать адрес электронной почты для любого аккаунта на YouTube.

Новая атака строится вокруг использования устаревшей формы Google с отключенным JavaScript (accounts.google(.)com/signin/usernamerecovery), в которой отсутствовали современные механизмы защиты от злоупотреблений.

Эта страница создавалась для того, чтобы пользователи могли проверить, связан ли резервный адрес электронной почты или номер телефона с определенным отображаемым именем — display name (например, John Smith).

Как объясняет BruteCat в своем отчете, в итоге новая атака позволяла узнать номер телефона, который человек использовал, настраивая восстановление для аккаунта Google. В подавляющем большинстве случаев этот номер совпадает с основным телефонным номером жертвы.

Старая форма без JavaScript помогала узнать, связан ли конкретный номер телефона с аккаунтом Google, с помощью пары запросов, основываясь на отображаемом имени пользователя.

Исследователь без труда обошел примитивную защиту от массовых запросов, реализованную в этой форме, используя ротацию IPv6-адресов для генерации триллионов уникальных IP через подсети /64.

Обмануть CAPTCHA, которая отображалась при запросах, удалось, подставив в параметр bgresponse=js_disabled действительный токен BotGuard, взятый из формы с поддержкой JS.

В итоге специалист создал брутфорс‑инструмент, который перебирал диапазоны номеров, используя форматы, характерные для разных стран, и отфильтровывал ложные срабатывания.

Также BruteCat использовал решение libphonenumber от Google для генерации корректных форматов номеров, создал базу масок телефонных номеров разных стран для определения форматов номеров по регионам, а также написал скрипт для генерации токенов BotGuard через headless Chrome.

В результате получилось решение, способное осуществлять перебор со скоростью около 40 тысяч запросов в секунду. Таким образом, на поиск телефонных номеров в США требовалось около 20 мин, в Великобритании — 4 мин, в Нидерландах — менее 15 с, а в Сингапуре — менее 5 с.

Но чтобы провести атаку на конкретного человека, требовалось выполнить еще несколько дополнительных шагов. Дело в том, что еще несколько лет назад узнать чужой display name не составляло труда, но с 2023 года разработчики Google начали скрывать отображаемое имя, если перед этим не было взаимодействия между жертвой и атакующим, а в 2024 году практически полностью отключили отображение display name для большинства сервисов.

BruteCat обнаружил, что для обхода этих ограничений можно создать документ Looker Studio и назначить жертву его владельцем (используя ее адрес на Gmail). В этом случае отображаемое имя учетной записи Google появлялось в Looker Studio, где пользователь становился владельцем документа.

Вооружившись полученной информацией, атакующий получал возможность выполнять повторяющиеся запросы, чтобы извлечь все телефонные номера, связанные с конкретным display name.

Поскольку учетных записей с одинаковыми отображаемыми именами могли быть тысячи, исследователь сужал круг поиска, используя частичный номер телефона цели. Чтобы узнать частичный номер телефона жертвы, он воспользовался функцией восстановления аккаунта Google (https://g(.)co/AccountRecoveryRequest), которая позволяет увидеть две последние цифры номера, использующегося для восстановления (например, ** ******03).

«Время брутфорса можно значительно сократить за счет подсказок о номере телефона, взятых из процедуры сброса пароля в других сервисах (например, PayPal), которые показывают еще несколько цифр (например, +14*****1779)», — отмечает BruteCat.

Видеодемонстрацию эксплуатации этой уязвимости можно увидеть здесь.

Исходно BruteCat уведомил Google о проблеме через программу bug bounty в апреле 2025 года. Однако тогда разработчики Google сочли риски от уязвимости низкими, и только 22 мая 2025 года компания повысила уровень опасности этой проблемы до среднего и применила временные меры для ее устранения. В итоге BruteCat получил за свою находку вознаграждение в размере 5000 долларов.

6 июня 2025 года Google окончательно закрыла доступ к уязвимому эндпоинту без JavaScript. То есть осуществить описанную исследователем атаку уже нельзя, однако неизвестно, не использовались ли обнаруженные BruteCat проблемы злоумышленниками ранее.

Новый мощнейший DDoS в истории

Компания Cloudflare сообщила, что еще в мае 2025 года она нейтрализовала мощнейшую на данный момент DDoS-атаку, пиковая мощность которой достигла 7,3 Тбит/с. Атака была направлена на неназванного хостинг‑провайдера.

Атака на 12% превзошла предыдущий рекорд, установленный в январе текущего года и составлявший 5,6 Тбит/с.
Всего за 45 с был передан огромный объем данных — 37,4 Тбайт. Это эквивалентно примерно 7500 ч потокового HD-вещания или передаче 12 500 000 фотографий в формате JPEG.
Атака исходила со 122 145 IP-адресов. Основными источниками трафика стали: Бразилия, Вьетнам, Индонезия, Китай, Саудовская Аравия, США, Таиланд, Тайвань, Украина и Эквадор.

Основной объем трафика атакующих представлял собой UDP-флуд (99,996% от общего объема трафика).

Kali Linux 2025.2

Второй в этом году релиз Kali Linux (2025.2) уже доступен для загрузки, оснащен тринадцатью новыми инструментами и получил расширенные возможности для взлома автомобилей.

В этом выпуске разработчики добавили множество новых функций и усовершенствовали пользовательский интерфейс. Среди заметных изменений можно выделить:

переименование и обновление набора инструментов для взлома автомобилей;
обновление меню и пользовательского интерфейса Kali;
обновление Kali NetHunter;
новые инструменты для хакинга.

С релизом Kali Linux 2025.2 CAN Arsenal был переименован в CARsenal, что лучше отражает предназначение набора инструментов, ориентированного на взлом автомобилей. Кроме того, теперь он обладает более удобным интерфейсом.

В обновленный CARsenal вошли следующие новые инструменты:

hlcand — модифицированный slcand для использования ELM327;
VIN Info — расшифровывает VIN-номер;
CaringCaribou — предоставляет модули Listener, Dump, Fuzzer, Send, UDS и XCP;
ICSim — симулятор VCAN для тестирования CARsenal без необходимости использования аппаратных средств.

Меню Kali было реорганизовано в соответствии с MITRE ATT&CK, что должно упростить поиск нужных инструментов как для красных, так и для синих команд. Ранее структура меню строилась на старых системах (WHAX и BackTrack), которые затрудняли масштабирование и добавление новых инструментов, что вызывало путаницу при попытке найти похожие инструменты.

«Мы создали новую систему и автоматизировали многие аспекты, что облегчает нам управление, а вам — поиск. Все в выигрыше. Со временем мы надеемся добавить все это на сайт kali.org/tools/, — пишут разработчики Kali Team. — Однако в настоящее время Kali Purple все еще использует NIST CSF (National Institute of Standards and Technology Critical Infrastructure Cybersecurity), а не MITRE D3FEND».

Также следует отметить, что GNOME обновился до версии 48, а KDE Plasma — до версии 6.3; пользовательский интерфейс стал более четким, темы были улучшены, а приложение для чтения документов Evince заменили новым приложением Papers.

Что касается новых инструментов, их в Kali Linux 2025.2 насчитывается целых тринадцать:

azurehound — сборщик данных BloodHound из Microsoft Azure;
binwalk3 — инструмент для анализа прошивок;
bloodhound-ce-python — сборщик данных для BloodHound CE на базе Python;
bopscrk — генератор умных и эффективных списков слов;
chisel-common-binaries — готовые бинарники для chisel;
crlfuzz — быстрый инструмент для проверки CRLF-уязвимостей, написанный на Go (добавлено @Arszilla);
donut-shellcode — генератор позиционно независимого шелл‑кода с запуском из памяти;
gitxray — сканирует репозитории GitHub и контрибьюторов для сбора данных (добавлено @weirdlantern);
ldeep — утилита для глубокой энумерации LDAP;
ligolo-ng-common-binaries — готовые бинарники для Advanced ligolo-ng;
rubeus — инструмент для низкоуровневых операций с Kerberos и проведения атак;
sharphound — сборщик для BloodHound CE;
tinja — CLI-инструмент для тестирования веб‑страниц на предмет инъекций шаблонов.

Помимо перечисленного, в Kali Linux 2025.2 появилась поддержка беспроводных инъекций, деаутентификации и перехвата хендшейков WPA2 для первых смарт‑часов TicWatch Pro 3 (все варианты с чипсетом bcm43436b0).

Кроме того, команда Kali поделилась тизером, демонстрирующим работу Kali NetHunter KeX на головных устройствах Android Auto, и представила новые и обновленные ядра Kali NetHunter, включая:

Xiaomi Redmi 4/4X (A13, новое от @MomboteQ);
Xiaomi Redmi Note 11 (A15, новое от @Madara273);
Realme C15 (A10) (обновление от @Frostleaft07);
Samsung Galaxy S10 (A14, A15, exynos9820, обновление от @V0lk3n);
Samsung Galaxy S9 (A13, exynos9810, обновление от @V0lk3n).

Дуров ответил на обвинения

Павел Дуров выступил на конференции, посвященной правам человека (организована международной НКО Human Rights House Foundation, деятельность которой признана нежелательной в РФ).

В начале своего выступления основатель Telegram ответил на обвинения в том, что он зависим от той или иной государственной структуры.

«Я русский и скорее умру, чем стану чьим‑либо активом. Полагаю, люди, которые высказывают такое мнение, мало знают о моем жизненном пути — о том, чем я занимался до Telegram, какую роль „ВКонтакте“ и Telegram сыграли в вопросах защиты свободы, выражения мнений, свободы собраний и неприкосновенности частной жизни в Восточной Европе», — заявил Дуров.

Android-малварь с виртуализацией

Новая версия Android-малвари Godfather создает изолированные виртуальные среды на мобильных устройствах, чтобы похищать данные из банковских приложений.

Впервые Godfather был замечен еще в марте 2021 года исследователями из компании ThreatFabric. С тех пор банкер претерпел заметные изменения и сильно отличается от последнего образца, изученного Group-IB в декабре 2022 года. Тогда вредонос атаковал 400 криптовалютных и банковских приложений в 16 странах мира, используя HTML-оверлеи.

Как теперь рассказали специалисты Zimperium, нашедшие новую модификацию Godfather, малварь выполняется на устройстве в контролируемой виртуальной среде, что позволяет в режиме реального времени шпионить, похищать учетные данные, а также манипулировать транзакциями, при этом сохраняя надежную маскировку.

Впервые подобная тактика была применена в конце 2023 года в малвари FjordPhantom для Android, которая тоже использовала виртуализацию для выполнения банковских приложений внутри контейнеров, чтобы избежать обнаружения.

Однако если FjordPhantom был нацелен только на пользователей из Юго‑Восточной Азии, то область атак Godfather гораздо шире: он нацелен более чем на 500 банковских, криптовалютных и e-commerce-приложений по всему миру. В атаках Godfather применяется виртуальная файловая система, виртуальный идентификатор процесса, подмена Intent’ов и StubActivity.

В результате, по словам экспертов, пользователь видит только реальный интерфейс приложения, а защитные механизмы Android не замечают вредоносной активности, поскольку в манифесте заявлены только действия хост‑приложения.

Godfather распространяется в формате APK-файла, содержащего встроенный фреймворк виртуализации. Малварь использует в работе такие опенсорсные инструменты, как VirtualApp и Xposed для перехвата вызовов.

После активации на устройстве жертвы вредонос проверяет наличие установленных целевых приложений и, если они найдены, помещает их в свою виртуальную среду, используя StubActivity для запуска внутри хост‑контейнера.

StubActivity фактически является пустышкой, подставной Activity, встроенной во вредоносный APK с движком виртуализации. Она не имеет UI или собственной логики — служит лишь прокси, создает контейнер и запускает настоящие Activity из целевых (например, банковских) приложений внутри виртуальной среды. Тем самым Godfather обманывает Android, заставляя систему считать, что запускается легитимное приложение, тогда как на самом деле малварь перехватывает и контролирует его.

Когда пользователь запускает настоящее банковское приложение, Godfather, ранее получивший разрешение на использование Accessibility Service, перехватывает Intent и перенаправляет его в StubActivity внутри хост‑приложения. В итоге виртуализированная копия банковского приложения запускается внутри контейнера. Таким образом, пользователь видит реальный интерфейс приложения, но все связанные с ним конфиденциальные данные могут быть легко перехвачены.

Упомянутый выше Xposed применяется для API-хукинга, и Godfather получает возможность сохранять учетные данные, пароли, PIN-коды, отслеживать касания и получать ответы от банковского бэкенда.

Кроме того, в ключевые моменты малварь отображает поддельный оверлей, чтобы обманом вынудить жертву ввести PIN-код или пароль.

После сбора и передачи всех данных своим операторам Godfather ожидает дальнейшей команды от хакеров, чтобы разблокировать устройство, совершить определенные операции с пользовательским интерфейсом, открыть приложение и осуществить платеж или перевод из настоящего банковского приложения.

Причем пользователь в это время видит фальшивый экран «обновления» или черный экран, чтобы подозрительная активность не привлекла его внимание.

Хотя обнаруженная Zimperium кампания нацелена только на ряд турецких банковских приложений, исследователи предупреждают, что другие операторы Godfather могут выбрать любые подмножества из 500 целевых приложений для атаки на другие регионы.

Трафик Cloudflare снизился на 30%

С начала июня 2025 года трафик Cloudflare в России снизился примерно на треть.

При этом более 40% сайтов в Рунете используют Cloudflare (около 300 тысяч ресурсов), и около 45% сайтов малого и среднего бизнеса используют бесплатные сертификаты Let’s Encrypt от Cloudflare.
Хотя ранее Роскомнадзор призывал владельцев российских интернет‑ресурсов отказаться от использования сервиса, сейчас в ведомстве объяснили снижение объемов трафика проблемами у «отдельных зарубежных хостинг‑провайдеров».

Проблемы udisks

Две свежие уязвимости локального повышения привилегий могут использоваться для получения root-привилегий в системах, работающих под управлением популярных дистрибутивов Linux.

Первая ошибка (CVE-2025-6018) была обнаружена в конфигурации фреймворка Pluggable Authentication Modules (PAM) в openSUSE Leap 15 и SUSE Linux Enterprise 15. Проблема позволяет локальным атакующим получить привилегии пользователя allow_active.

Вторая ошибка (CVE-2025-6019) обнаружена в libblockdev и позволяет пользователю allow_active получить права root через демон udisks (служба управления хранением данных, которая по умолчанию используется в большинстве дистрибутивов Linux).

Хотя объединение этих уязвимостей в цепочку local-to-root позволяет злоумышленникам быстро получить root-привилегии и полностью захватить контроль над системой, подчеркивается, что проблема libblockdev/udisks чрезвычайно опасна даже сама по себе.

«Хотя формально для эксплуатации уязвимости требуются привилегии allow_active, по умолчанию udisks входит в состав почти всех дистрибутивов Linux, поэтому практически любая система уязвима, — объяснили эксперты Qualys Threat Research Unit, обнаружившие обе проблемы. — Техники получения прав allow_active, включая раскрытую выше проблему с PAM, еще больше снижают этот барьер. Злоумышленник может использовать эти уязвимости для немедленной компрометации системы с минимальными усилиями».

Специалисты Qualys создали PoC-эксплоиты и успешно применили уязвимость CVE-2025-6019 для получения root-прав в системах под управлением Ubuntu, Debian, Fedora и openSUSE Leap 15.

В своем отчете команда Qualys Security Advisory поделилась более подробной технической информацией об уязвимостях, а ссылки на исправления можно найти в Openwall.

«Учитывая повсеместное распространение udisks и простоту эксплуатации, организации должны рассматривать эту уязвимость как критический и постоянный риск и незамедлительно развернуть исправления», — говорят эксперты.

Cookie в даркнете

Аналитики NordVPN подсчитали, что в даркнете и в Telegram продаются миллиарды украденных файлов cookie. Около 7–9% этих cookie все еще активны и могут использоваться злоумышленниками.
Суммарно преступникам доступны для покупки более 93,7 миллиарда файлов cookie.
Подавляющее большинство украденных cookie (90,25%) содержат данные, которые предназначены для идентификации пользователей и доставки целевой рекламы.
Также cookie могут содержать имена, домашние адреса и адреса электронной почты, данные местоположения, пароли, номера телефонов. Но такая информация присутствует только в 0,5% всех украденных cookie.

Еще сookie могут содержать сведения о сеансах пользователей. Более 1,2 миллиарда таких файлов все еще активны (примерно 6% от общего числа).
Чаще всего cookie попадают в руки злоумышленников благодаря инфостилерам. Лидером в этой области исследователи назвали стилер Redline (с ним были связаны 44% всех обнаруженных файлов cookie). Второе, третье и четвертое места в списке занимают Vidar, LummaC2 и Meta.

Рекомендуем почитать:

Хакер #314. Разведка по плану

Уничтожение активов Nobitex

Произраильская хакгруппа Predatory Sparrow взяла на себя ответственность за взлом крупнейшей иранской криптобиржи Nobitex. Хакеры похитили более 90 миллионов долларов в криптовалюте и умышленно «сожгли» эти средства.

«Сегодня утром 19 июня наша техническая команда обнаружила признаки несанкционированного доступа к части нашей инфраструктуры и горячему кошельку, — гласит официальное сообщение Nobitex. — Сразу же после обнаружения инцидента все доступы были отозваны, и наши внутренние специалисты по безопасности тщательно расследуют масштабы инцидента».

Вскоре после этого группировка Predatory Sparrow взяла на себя ответственность за атаку. В соцсети X хакеры пообещали вскоре опубликовать исходные коды Nobitex и внутреннюю информацию, похищенную в результате взлома. Атакующие предупреждают, что после публикации данных любые активы, которые останутся на Nobitex, «будут под угрозой».

«Биржа Nobitex является сердцем усилий режима по финансированию террора по всему миру, а также любимым инструментом режима для нарушения санкций», — заявили Predatory Sparrow.

Блокчейн‑аналитики из компании Elliptic рассказали, что из кошельков Nobitex было украдено более 90 миллионов долларов в криптовалюте, после чего эти средства направились на адреса, контролируемые хакерами.

Но похоже, Predatory Sparrow не пыталась извлечь выгоду из этого взлома. Дело в том, что хакгруппа отправила почти всю криптовалюту на vanity-адреса с антиисламскими сообщениями (например, F%ckIRGCterrorists).

Исследователи объяснили, что для создания таких адресов требуются огромные вычислительные мощности и создание столь длинных строк в vanity-адресах невозможно технически. То есть хакеры намеренно «сожгли» криптовалюту, чтобы никто не смог получить к ней доступ.

«Эта атака не выглядит финансово мотивированной, — пишут в Elliptic. — Vanity-адреса, использованные хакерами, генерируются посредством брутфорса — с помощью создания большого количества пар криптографических ключей, пока одна из них не будет содержать нужный текст. Но создание vanity-адресов с такими длинными текстовыми строками, какие использовались в этом случае, невыполнимо с вычислительной точки зрения».

Стоит отметить, что за день до атаки Nobitex группировка Predatory Sparrow взломала иранский банк Bank Sepah. Эта атака тоже была ориентирована на нарушение работы банка и нанесение ущерба, и хакеры не преследовали финансовую выгоду.

Шадаев о кадрах в ИТ

Выступая на форуме на TAdviser Summit, министр цифрового развития связи и массовых коммуникаций Максут Шадаев рассказал, что число ИТ‑специалистов в России превысило миллион человек и спрос на них сохраняется, хотя сейчас востребованы более опытные кадры.

«Пока мы не видим какой‑то тотальной заморозки найма и того, что компании, условно, увольняют айтишников, потому что искусственный интеллект пишет код и они больше не нужны. Нам кажется, что здесь такой ажиотаж немножко раздутый. За пять лет количество сотрудников ИТ‑компаний увеличилось на 50%. Их было 990 тысяч на конец 2024 года, а сейчас мы, очевидно, перешагнули миллион. В целом, я считаю, спрос остается.

Другое дело, что ажиотаж привел к тому, что очень многие пошли в эту профессию, прошли курсы онлайн, сейчас они джуны, которые говорят, что они все умеют, а компаниям нужны мидлы, нужны сильные разработчики. В этом есть проблема.

(Все больше) людей хочет устроиться в индустрию, но качество их подготовки пока не соответствует ожиданиям наших крупных компаний, потому что они как раз идут в сторону все более сложных разработок.

Но потребность в кадрах в моем понимании остается. И я призываю молодое поколение связывать свою судьбу с ИТ. Только чуть‑чуть надо смещаться в сторону робототехники, ИИ — это более сложные специальности, но прогресс неостановим», — заявил Шадаев.

ChatGPT запомнит все

Пользователей OpenAI обеспокоило постановление суда, в котором компанию обязали сохранять журналы чатов с ChatGPT, включая удаленные. Компания уже подала апелляцию на постановление, утверждая, что оно затрагивает личную жизнь сотен миллионов пользователей ChatGPT по всему миру.

В официальном заявлении COO OpenAI Брэд Лайткэп (Brad Lightcap) объяснил, что постановление суда было вынесено по иску The New York Times и других новостных организаций. Истцы утверждают, что удаленные беседы с чат‑ботом могут содержать доказательства того, что пользователи побуждали ChatGPT генерировать тексты, в которых могли воспроизводиться фрагменты статей, защищенных авторским правом (например, материалы новостных изданий).

Дело в том, что, по заявлениям истцов, OpenAI неправомерно использовала их материалы для обучения своих моделей. В итоге модели могут генерировать очень близкие к оригиналу тексты и выдавать целые отрывки из защищенных авторским правом публикаций.

Решение суда о сохранении логов было вынесено после того, как новостные организации выразили обеспокоенность тем, что люди, использующие ChatGPT для обхода платного доступа, могут быть напуганы ходом разбирательства и «удалят все свои поисковые запросы и промпты, чтобы замести следы».

Чтобы выполнить судебное предписание, OpenAI обязана «хранить весь пользовательский контент в течение неопределенного периода времени», основываясь на предположении, что истцы могут найти в логах «что‑то, подтверждающее их доводы», объясняют в компании.

Постановление затрагивает все чаты пользователей ChatGPT Free, Plus и Pro, а также пользователей API OpenAI. При этом подчеркивается, что постановление не касается клиентов ChatGPT Enterprise или ChatGPT Edu, а также всех, кто заключил соглашение Zero Data Retention (по сути, специальный режим работы с API компании, при котором данные пользователя вообще не сохраняются и не используются ни для анализа, ни для обучения моделей).

В OpenAI сообщают, что уже подали ходатайство о приостановлении исполнения постановления. Однако в настоящее время компания вынуждена отступить от «давно устоявшихся норм конфиденциальности» и ослабить правила, на которые опираются пользователи в соответствии с условиями предоставления услуг ChatGPT.

Кроме того, в заявлении компании отмечается, что теперь OpenAI не уверена в том, что сможет соблюсти строгий закон ЕС о защите данных — General Data Protection Regulation (GDPR), который предоставляет пользователям «право на забвение».

«Мы твердо убеждены, что The New York Times выходит за рамки, — заявляет Лайткэп. — Мы будем работать над обжалованием этого постановления, чтобы и дальше ставить ваше доверие и конфиденциальность на первое место».

К своему заявлению OpenAI приложила FAQ, в котором объясняет, какие именно данные пользователей компания хранит и как они могут быть раскрыты. Например, как уже отмечалось выше, постановление не затрагивает бизнес‑клиентов OpenAI API и пользователей, заключивших соглашения Zero Data Retention, поскольку их данные не сохраняются вообще.

Что касается всех остальных, OpenAI заявляет, что доступ к удаленным чатам пользователей действительно может быть получен, однако они «не будут автоматически переданы The New York Times». Вместо этого данные будут «храниться в отдельной защищенной системе», и к ним нельзя будет получить доступ или использовать в иных целях, кроме выполнения юридических обязательств.

В компании успокаивают пользователей, подчеркивая, что «только небольшая, проверенная команда юристов и сотрудников службы безопасности OpenAI сможет получить доступ к этим данным, если это будет необходимо для выполнения наших юридических обязательств».

232 материала не удалила Wikipedia

В Роскомнадзоре сообщили, что Wikimedia Foundation, которой принадлежит Wikipedia, не удалила 232 противоправных материала, 133 из которых содержат фейки о ходе специальной военной операции.
В ведомстве заявляют, что в доступе остаются материалы экстремистской и террористической направленности, информация о вовлечении несовершеннолетних в совершение противоправных действий (руфинг, зацепинг), статьи об изготовлении взрывчатых веществ, суицидальный, пронаркотический и иной запрещенный контент.
Wikimedia Foundation уже неоднократно привлекалась к административной ответственности в РФ за неудаление контента. Так, в 2024 году суды назначили в отношении компании штрафы на общую сумму 9 миллионов рублей, в 2025 году сумма штрафов составила 3,5 миллиона рублей.

Ошибка ботнета DanaBot

Эксперты рассказали об уязвимости в DanaBot, которая появилась в коде малвари еще в июне 2022 года. Этот баг позволил исследователям выявить операторов DanaBot, предъявить им обвинения, а также нарушить работу ботнета в мае 2025 года.

Ботнет DanaBot появился еще в 2018 году. Изначально вредонос был нацелен на Украину, Польшу, Австрию, Италию, Германию и Австралию, но вскоре расширился и на Северную Америку.

Он распространялся по модели MaaS (malware-as-a-service, «малварь как услуга») и сначала был банковским трояном, позволявшим похищать конфиденциальные данные из зараженных систем. Однако позже он превратился в платформу распространения и загрузчик для других семейств вредоносных программ, включая вымогательское ПО.

Кроме того, позже администраторы DanaBot создали вторую версию своего ботнета для кибершпионажа, нацеленную на военные, дипломатические и правительственные организации в Северной Америке и странах Европы.

Специалисты компании Zscaler, обнаружившие в коде малвари уязвимость, которая получила название DanaBleed, объясняют, что эта утечка памяти позволяла проникнуть во внутренние операции злоумышленников и узнать, кто за ними стоит.

Благодаря уязвимости была собрана ценная информация о киберпреступниках, что позволило правоохранительным органам провести операцию «Эндшпиль» и вывести инфраструктуру DanaBot из строя, а также выдать ордера на арест шестнадцати граждан России, которые якобы связаны с активностью малвари.

По словам специалистов, проблема DanaBleed появилась в коде вредоноса в июне 2022 года, в версии 2380, куда был добавлен новый C&C-протокол. Ошибка в логике нового протокола оказалась связана с механизмом генерации ответов сервера клиентам. Так, сервер должен был включать в ответы случайно сгенерированные байты (padding bytes), однако не инициализировал для них недавно выделенную память.

В итоге исследователи Zscaler смогли собрать и проанализировать большое количество C&C-ответов, которые из‑за бага содержали фрагменты данных из памяти сервера. Проблема получила название DanaBleed, так как напоминала уязвимость HeartBleed, обнаруженную в 2014 году и затронувшую OpenSSL.

С помощью DanaBleed исследователи собрали широкий спектр данных, включая:

информацию об участниках группировки (имена пользователей, IP-адреса);
данные о бэкенд‑инфраструктуре (IP-адреса, домены управляющих серверов);
данные о жертвах (IP-адреса, учетные данные, похищенная информация);
логи внесенных в малварь изменений;
приватные криптографические ключи;
SQL-запросы и журналы отладки;
фрагменты HTML и веб‑интерфейса панели управления C&C.

Более трех лет DanaBot оставался уязвимым, а разработчики и клиенты малвари даже не подозревали, что все это время за ними внимательно наблюдают ИБ‑специалисты.

После операции «Эндшпиль» подозреваемым были предъявлены лишь заочные обвинения, и арестов не последовало. Исследователи полагают, что конфискация серверов, 2650 доменов и почти 4 миллионов долларов в криптовалюте позволит временно нейтрализовать угрозу. Однако не исключается, что в будущем DanaBot вновь вернется в строй и возобновит активность.

Сколько стоят данные

Специалисты компании F6 представили результаты исследования даркнета, проанализировав криминальные сделки по продаже доступа к корпоративным сетям, БД и вредоносных программ.

Дешевле всего на хакерских форумах стоят учетные записи — в среднем от 10 долларов за штуку.
Дороже всего обходятся доступы в партнерские программы вымогателей — до 100 тысяч долларов, а также 0-day-уязвимости, цена которых доходит до 250 тысяч долларов.

Кроме того, востребованными у злоумышленников оказались доступы к корпоративным сетям. Их стоимость начинается от 100–200 долларов, но может доходить до 10 тысяч долларов в зависимости от масштаба организации, отрасли и уровня доступа.

Атака на Cock.li

Почтовый хостинг‑провайдер Cock.li пострадал от утечки данных. Хакеры воспользовались уязвимостями в Roundcube Webmail и похитили более миллиона пользовательских записей.

Инцидент затронул всех пользователей, которые заходили в почтовый сервис с 2016 года (согласно подсчетам, это 1 023 800 человек). Также были раскрыты контактные данные еще 93 тысяч пользователей.

Cock.li — это расположенный в Германии бесплатный почтовый хостинг‑провайдер, ориентированный на конфиденциальность. Сервис существует с 2013 года, и им управляет единственный администратор, известный под псевдонимом Винсент Кенфилд (Vincent Canfield). Сервис рекламируется как альтернатива обычным почтовым провайдерам и поддерживает стандартные протоколы, включая SMTP, IMAP и TLS.

В основном Cock.li используют люди, которые не доверяют крупным провайдерам, а также члены ИБ- и опенсорс‑сообществ. Кроме того, сервис весьма популярен среди киберпреступников, например связанных с вымогательскими группировками Dharma и Phobos.

В прошлом у платформы уже возникали юридические проблемы: в 2015 году немецкие правоохранители конфисковали сервер и жесткие диски Cock.li после того, как неизвестный разослал в учебные учреждения США письма с ложным сообщением о заложенной бомбе.

Теперь же работа Cock.li неожиданно прервалась в начале июня, и какое‑то время пользователи могли только гадать, что произошло.

Однако вскоре на хакфоруме XSS появилось сообщение от злоумышленника, который заявил, что продает две базы данных с дампом Cock.li, содержащие конфиденциальную информацию о пользователях. Хакер оценил дамп как минимум в один биткоин (около 104 тысяч долларов по курсу на момент размещения поста).

Лишь несколько дней спустя на сайте Cock.li было опубликовано официальное заявление, подтверждающее факт взлома. Выяснилось, что хакерам действительно удалось похитить информацию для 1 023 800 учетных записей, включая:

адреса электронной почты;
временные метки первого и последнего входа в систему;
данные о неудачных попытках входа и их количестве;
языковые настройки;
сериализованный блоб настроек Roundcube и email-подпись;
имена контактов (только для 10 400 аккаунтов);
email-адреса контактов (только для 10 400 аккаунтов);
vCards (только для 10 400 аккаунтов);
комментарии (только для 10 400 аккаунтов).

В заявлении подчеркивалось, что пароли пользователей, содержимое писем и IP-адреса не были скомпрометированы, поскольку их не было в украденных БД. Также сообщалось, что 10 400 пользователей, у которых похитили контактную информацию третьих лиц, получат отдельные уведомления.

В итоге всем, кто пользовался сервисом с 2016 года, рекомендуется как можно скорее сбросить пароли для своих учетных записей.

В Cock.li полагают, что данные были украдены с помощью старой уязвимости SQL-инъекций в Roundcube Webmail (CVE-2021-44026). При этом незадолго до взлома представители сервиса изучали более свежую RCE-уязвимость в Roundcube (CVE-2025-49113), которая уже применяется в атаках. По результатам этого анализа, в июне 2025 года Roundcube был полностью удален с платформы.

«Cock.li больше не будет предлагать пользователям Roundcube Webmail, — пишут представители сервиса. — Неважно, была ли наша версия уязвима, мы узнали о Roundcube достаточно, чтобы навсегда от него отказаться. Мы определенно рассматриваем возможность использования другой веб‑почты, но это не является приоритетной задачей».

В официальном сообщении упоминалось, что более эффективные методы обеспечения безопасности могли бы предотвратить взлом и утечку пользовательских данных. Также представители сервиса признали, что «Cock.li вообще не стоило использовать Roundcube».

Теперь ИБ‑специалисты полагают, что эта утечка может оказаться ценным материалом для исследователей и правоохранительных органов. Дело в том, что раскрытая информация может помочь получить дополнительные данные о злоумышленниках, использующих эту платформу.

80% медицинских организаций уязвимы для хакеров

По данным «Информзащиты», 83% российских организаций, работающих в сфере здравоохранения, имеют критические уязвимости в ИТ‑инфраструктуре. То есть подавляющее большинство клиник и медучреждений уязвимы перед кибератаками.
Такая ситуация складывается из‑за недооценки рисков, нехватки денег и специалистов, а также использования старого оборудования и устаревших систем.
На информационную безопасность тратится лишь 5–10% бюджета медучреждений.
С начала 2025 года 76% медорганизаций столкнулись с атаками (чаще всего — с фишингом и шифровальщиками). У каждой четвертой организации под угрозой оказались данные пациентов: диагнозы, планы лечения и прочая конфиденциальная информация.

Отказ от устаревших драйверов

Компания Microsoft объявила, что будет периодически удалять устаревшие драйверы из каталога Windows Update, чтобы снизить риски и улучшить совместимость.

«Целью этой инициативы является предоставление оптимального набора драйверов в Windows Update для различных аппаратных решений в экосистеме Windows, а также обеспечение безопасности Microsoft Windows, — гласит сообщение компании. — Эта инициатива предполагает периодическую очистку драйверов в Windows Update, в результате чего некоторые драйверы не будут предоставляться системам в нашей экосистеме».

Как уточнили в компании, первый этап процедуры «очистки» затронет драйверы, для которых в Windows Update уже имеются более новые альтернативы.

Под «очисткой» понимается удаление привязки драйверов с истекшим сроком действия к аудиториям в Windows Update, в результате чего они не будут предлагаться ни одной системе под управлением Windows. Это будет реализовано путем удаления соответствующих назначений аудиторий старых драйверов в Hardware Development Center.

Также сообщается, что в будущем Microsoft расширит перечень категорий, которые могут быть исключены из Windows Update ради повышения безопасности. Отмечается, что при этом партнеры по‑прежнему смогут повторно публиковать драйверы, удаленные Microsoft, если предоставят для этого бизнес‑обоснование.

«Удаление устаревших драйверов из Windows Update — это проактивная мера компании Microsoft, направленная на обеспечение безопасности и повышение качества драйверов для пользователей Windows, — добавляют разработчики. — В дальнейшем следует ожидать, что очистка станет обычной практикой, а также будут введены новые рекомендации по публикации, которые помогут всем пользователям Windows поддерживать свои системы в безопасном и надежном состоянии».

Другие интересные события месяца

← Ранее Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother

Далее → Специалисты Cloudflare объяснили, что происходит с российским трафиком