В этом месяце: Qualcomm покупа­ет Arduino и анон­сиру­ет одноплат­ник UNO Q, в Рос­комнад­зоре под­твер­дили, что работа WhatsApp и Telegram огра­ниче­на «для про­тиво­дей­ствия прес­тупни­кам», новое шпи­онское ПО свя­зали с Hacking Team и опе­раци­ей «Форум­ный тролль», работу белых хакеров пред­ложили передать под кон­троль ФСБ, Евро­пол зак­рыл круп­ную сеть SIM-ферм, а так­же дру­гие важ­ные и инте­рес­ные события ушед­шего октября.
 

Telegram-бот Роскомнадзора

Пред­ста­вите­ли Рос­комнад­зора (РКН) сооб­щили, что все вла­дель­цы каналов в Telegram, ауди­тория которых пре­выша­ет 10 тысяч человек, дол­жны добавить в канал бота trustchannelbot и дать ему пра­ва адми­нис­тра­тора. В ведомс­тве заяв­ляют, что это единс­твен­ный спо­соб под­твер­дить вла­дение каналом.

Сог­ласно закону № 303-ФЗ от 8 августа 2024 года, каналы и стра­ницы с ауди­тори­ей более 10 тысяч человек обя­заны регис­три­ровать­ся в переч­не Рос­комнад­зора, ина­че им зап­реща­ется рас­простра­нять рек­ламу, при­нимать пожер­тво­вания, а дру­гие каналы и стра­ницы не впра­ве репос­тить их пуб­ликации.

Так, вла­дель­цы каналов и стра­ниц обя­заны передать информа­цию о себе в Рос­комнад­зор, и сде­лать это мож­но через пор­тал «Госус­луг» или сайт РКН. Пос­ле добав­ления информа­ции в реестр бло­гер получа­ет ссыл­ку, которую нуж­но добавить на стра­ницу или в опи­сание канала в течение двух дней.

С 1 янва­ря 2025 года соци­аль­ные сети обя­заны бло­киро­вать стра­ницы, вла­дель­цы которых не переда­ли дан­ные о себе в Рос­комнад­зор.

Как теперь сооб­щили в Рос­комнад­зоре, для Telegram опи­сан­ной выше про­цеду­ры недос­таточ­но:

Пос­ле подачи заяв­ления на регис­тра­цию через пор­тал Госус­луг необ­ходимо обя­затель­но из сво­его акка­унта в Telegram запус­тить спе­циаль­ный бот [trustchannelbot]. Это единс­твен­ный спо­соб под­твержде­ния для Telegram вла­дения вами регис­три­руемым каналом. Пос­ле запус­ка бота получен­ный на Госус­лугах номер регис­тра­ции све­ряет­ся с вве­ден­ным в бот. Дру­гой про­цеду­ры под­твержде­ния вла­дения каналом в этой соци­аль­ной сети нет. Если вы про­пус­тите этот шаг, заяв­ление вер­нется с фор­маль­ным приз­наком отка­за. Тог­да при­дет­ся прой­ти регис­тра­цию пов­торно.

Как гла­сит при­ложен­ная к пос­ту инс­трук­ция, бота trustchannelbot нуж­но добавить в спи­сок адми­нис­тра­торов канала и выдать ему пра­ва для добав­ления учас­тни­ков, а так­же изме­нения про­филя. Уда­лять бота из канала или отби­рать у него пра­ва нель­зя.

Эта пуб­ликация выз­вала боль­шой резонанс в Рунете, и вско­ре в Telegram-канале РКН появи­лась еще одна запись, в которой пред­ста­вите­ли ведомс­тва попыта­лись отве­тить на воз­никшие у сооб­щес­тва воп­росы. В РКН заяви­ли, что бот «при­над­лежит соци­аль­ной сети Telegram», работа­ет с апре­ля 2025 года и более 3000 каналов уже прош­ли про­цеду­ру регис­тра­ции с его помощью. Ниже цитиру­ем эту пуб­ликацию пол­ностью.

Бот при­над­лежит соци­аль­ной сети Telegram и соз­дан в целях исполне­ния рос­сий­ско­го законо­датель­ства. Начал работу в апре­ле 2025 года. Поряд­ка 3 тыс. каналов прош­ли про­цеду­ру регис­тра­ции через бот.

❔ Дол­жны ли бло­геры под­тверждать пра­ва вла­дель­ца стра­ницы в Telegram через бота? Это единс­твен­ный спо­соб?

Да. Вла­делец стра­ницы дол­жен * в течение 3 рабочих дней передать прис­воен­ный на «Госус­лугах» номер заяв­ления (сооб­щает­ся заяви­телю пос­ле подачи заяв­ления) в спе­циали­зиро­ван­ный сер­вис соци­аль­ной сети. Это каса­ется «Вкон­такте», «Одноклас­сни­ков», Дзе­на, Rutube и Telegram.

❔ Зачем пре­дос­тавлять боту пра­ва?

Что­бы бот мог прис­воить каналу отметку «А+», вла­делец дол­жен пре­дос­тавить ему пра­ва на добав­ление учас­тни­ков канала (что­бы видеть количес­твен­ные показа­тели ауди­тории канала — более 10 тыс.) и изме­нение про­филя канала (для прос­тавле­ния зна­ка «А+»).

❔ Какие фун­кции у бота? Может ли он отнять пра­ва у дру­гих адми­нис­тра­торов или уда­лить канал?

При добав­лении бота в качес­тве адми­нис­тра­тора нуж­но пре­дос­тавить ему толь­ко два пра­ва: «Изме­нение про­филя канала» и «Добав­ление под­писчи­ков». Дру­гие пра­ва боту пре­дос­тавлять не нуж­но. Он не может отнять пра­ва у вла­дель­ца, дру­гих адми­нис­тра­торов или уда­лить канал.

❔ Тре­бова­ние пре­дос­тавлять пра­ва адми­нис­тра­тора каса­ется толь­ко новых каналов или и тех, что были зарегис­три­рова­ны ранее?

Для получе­ния мар­кера «А+» Telegram-каналы, которые уже были зарегис­три­рова­ны в Переч­не, дол­жны прой­ти про­цеду­ру верифи­кации через бота. Для это­го дос­таточ­но ука­зать номер заяв­ления, получен­ный при пер­воначаль­ной регис­тра­ции. Новое заяв­ление на пор­тале «Госус­луги» подавать не нуж­но.

  • Смот­рим пункт 7 Пра­вил пре­дос­тавле­ния поль­зовате­лем соци­аль­ной сети, объ­ем ауди­тории пер­сональ­ной стра­ницы которо­го сос­тавля­ет более 10 тыс. поль­зовате­лей соци­аль­ной сети, све­дений, поз­воля­ющих его иден­тифици­ровать, утвер­жден­ных пос­танов­лени­ем Пра­витель­ства Рос­сий­ской Федера­ции от 28.12.2024 № 1963.

При этом, по информа­ции Telegram-канала «Агентство. Новос­ти» (изда­ние вне­сено в спи­сок инос­тран­ных аген­тов), бот trustchannelbot не при­над­лежит Telegram. Пред­ста­вите­ли мес­сен­дже­ра сооб­щили жур­налис­там, что «@trustedChannelBot был соз­дан самим агентством с исполь­зовани­ем откры­той плат­формы ботов Telegram».

Так­же сле­дует отме­тить, что в пун­кте 7 пос­танов­ления Пра­витель­ства РФ от 28.12.2024 № 1963, на которое ссы­лают­ся в Рос­комнад­зоре, говорит­ся лишь о необ­ходимос­ти «раз­мещения номера, прис­воен­ного при пре­дос­тавле­нии све­дений, в прог­рамме для элек­трон­ных вычис­литель­ных машин». В докумен­те не содер­жится тре­бова­ний о добав­лении в канал бота trustchannelbot и пре­дос­тавле­нии ему прав адми­нис­тра­тора.

ИИ пишет больше людей

  • Агентство Graphite про­ана­лизи­рова­ло 65 тысяч англо­языч­ных ста­тей, опуб­ликован­ных с мая 2020-го по май 2025 года. Ока­залось, ИИ впер­вые срав­нялся с людь­ми по объ­ему соз­дава­емо­го кон­тента — соот­ношение сос­тавля­ет при­мер­но 52% на 48% в поль­зу LLM.
  • Пос­ле запус­ка ChatGPT в нояб­ре 2022 года доля ИИ‑ста­тей рез­ко вырос­ла и к 2024 году срав­нялась с количес­твом челове­чес­ких пуб­ликаций.
  • Нес­мотря на рост чис­ла сге­нери­рован­ных тек­стов, ауди­тория голосу­ет за живых авто­ров: 86% перехо­дов из Google при­ходят­ся на статьи, написан­ные людь­ми. ИИ‑кон­тент получа­ет лишь 14% тра­фика из поис­ковой выдачи.
  • С вес­ны 2024 года рост ИИ‑пуб­ликаций замед­лился. Так­же в отче­те отме­чает­ся, что алго­рит­мы Google по‑преж­нему отда­ют при­ори­тет написан­ным людь­ми тек­стам, которые содер­жат ссыл­ки и уни­каль­ные дан­ные.
 

Qualcomm покупает Arduino

Ком­пания Qualcomm, раз­рабаты­вающая и про­изво­дящая мик­росхе­мы для мобиль­ных телефо­нов и дру­гой элек­тро­ники, при­обре­тает Arduino — италь­янскую ком­панию, извес­тную сво­ей опен­сор­сной эко­сис­темой железа и ПО. В заяв­лении Qualcomm под­черки­вает, что Arduino «сох­ранит свой бренд и мис­сию», опен­сор­сную филосо­фию, а так­же «под­дер­жку чипов мно­жес­тва про­изво­дите­лей».

Всту­пая в новую гла­ву в сос­таве семьи Qualcomm, Arduino сох­ранит свой незави­симый бренд, инс­тру­мен­ты и мис­сию, про­дол­жая под­держи­вать широкий спектр мик­рокон­трол­леров и мик­ропро­цес­соров раз­личных про­изво­дите­лей полуп­ровод­ников, — говорит­ся в пресс‑релизе Qualcomm. — Пос­ле это­го при­обре­тения более 33 мил­лионов активных поль­зовате­лей сооб­щес­тва Arduino получат дос­туп к мощ­ному тех­нологи­чес­кому сте­ку Qualcomm Technologies и гло­баль­ному охва­ту. При под­дер­жке передо­вых тех­нологий Qualcomm Technologies и обширной пар­тнерской эко­сис­темы пред­при­нима­тели, биз­нес, спе­циалис­ты в сфе­ре тех­нологий, сту­ден­ты, пре­пода­вате­ли и энту­зиас­ты смо­гут быс­тро соз­давать про­тоти­пы и тес­тировать новые решения с проз­рачным перехо­дом от про­тоти­па к ком­мерчес­кому про­дук­ту.

Сум­ма сдел­ки не рас­кры­вает­ся, и отме­чает­ся, что ее еще дол­жны одоб­рить регуля­торы и она дол­жна соот­ветс­тво­вать «дру­гим стан­дар­тным усло­виям».

Хо­тя Qualcomm мно­гок­ратно под­черки­вает, что Arduino про­дол­жит сущес­тво­вать как самос­тоятель­ная эко­сис­тема, поль­зовате­ли уже выс­казыва­ют опа­сения. Ведь зачас­тую, ког­да круп­ная ком­пания при­обре­тает опен­сор­сный про­ект, в ито­ге она начина­ет огра­ничи­вать эко­сис­тему. Так, в сооб­щес­тве опа­сают­ся, что это может при­вес­ти к сок­ращению под­дер­жки чипов сто­рон­них про­изво­дите­лей, а так­же может озна­чать пере­ориен­тацию уси­лий Arduino на более круп­ных кор­поратив­ных кли­ентов Qualcomm.

Пер­вым пло­дом гря­дущей сдел­ки ста­нет устрой­ство Arduino UNO Q — одноплат­ный компь­ютер, который позици­они­рует­ся как самая мощ­ная пла­та Arduino из ког­да‑либо соз­данных, осна­щен­ная мик­рокон­трол­лером STM32U585 (MCU) и чипом Qualcomm Dragonwing QRB2210.

Раз­работ­чики пишут, что у одноплат­ника будет «двой­ной мозг»: CPU, спо­соб­ный запус­кать «стан­дар­тный Debian Linux» (это шпиль­ка в адрес Raspberry Pi OS, которая явля­ется фор­ком Debian), и мик­рокон­трол­лер для real-time-задач, что дол­жно объ­еди­нить «высокоп­роиз­водитель­ные вычис­ления с real-time-управле­нием».

QRB2210 осна­щен четырехъ­ядер­ным про­цес­сором ARM Cortex-A53 и GPU Qualcomm Adreno 702, под­держи­вает Bluetooth 5.1, Wi-Fi, eMMC-память и клас­сичес­кие Arduino-разъ­емы для сов­мести­мос­ти с пла­тами рас­ширения UNO, сочетая все это с real-time-мик­рокон­трол­лером.

На обратной сто­роне пла­ты появи­лись новые разъ­емы, рас­счи­тан­ные на работу с воз­можнос­тями SoC Dragonwing.

UNO Q мож­но исполь­зовать как самос­тоятель­ный девайс, под­клю­чив к нему кла­виату­ру, мышь и монитор (как в слу­чае с Raspberry Pi). Но так­же мож­но исполь­зовать его в связ­ке с ПК, на котором запуще­на сре­да раз­работ­ки.

Из­началь­но UNO Q будет пос­тавлять­ся в двух вер­сиях: 2 Гбайт ОЗУ и 16 Гбайт eMMC-памяти сто­имостью 44 дол­лара, а так­же в вер­сии с 4 Гбайт ОЗУ и 32 Гбайт eMMC-памяти, которая пос­тупит в про­дажу в сле­дующем месяце по цене 59 дол­ларов.

Кро­ме того, вмес­те с UNO Q была пред­став­лена новая сре­да раз­работ­ки — Arduino App Lab. Она приз­вана уни­фици­ровать про­цесс real-time-работы с кодом, Linux-при­ложе­ниями и — бла­года­ря учас­тию Qualcomm — ИИ.

App Lab интегри­рова­на с плат­формой Edge Impulse, ори­енти­рован­ной на ИИ и при­обре­тен­ной Qualcomm ранее в этом году. Ожи­дает­ся, что это упростит соз­дание и опти­миза­цию ИИ‑моделей. Кро­ме того, поль­зовате­ли смо­гут импорти­ровать уже обу­чен­ные модели с плат­формы Qualcomm AI Hub.

Объ­еди­нение уси­лий с Qualcomm Technologies поз­волит нам уско­рить реали­зацию нашей мис­сии — сде­лать тех­нологии дос­тупны­ми и инно­ваци­онны­ми, — ком­менти­рует CEO Arduino Фабио Виолан­те (Fabio Violante). — Запуск UNO Q — лишь начало. Мы хотим дать гло­баль­ному сооб­щес­тву мощ­ные инс­тру­мен­ты, которые сде­лают раз­работ­ку ИИ инту­итив­но понят­ной, мас­шта­биру­емой и откры­той для всех.

РКН заблокировал 258 VPN-сервисов в 2025 году

  • Рос­комнад­зор сооб­щил, что заб­локиро­вал в Рос­сии 258 VPN-сер­висов в 2025 году с помощью ТСПУ — на 31% боль­ше, чем годом ранее.
  • Для срав­нения: в октябре 2024 года было заб­локиро­вано 197 сер­висов, а с 2021-го по октябрь 2023 года — 167 VPN-сер­висов.
  • По­мимо это­го, РКН заб­локиро­вал 252 ано­ним­ных поч­товых сер­виса (+20% к прош­лому году), 173 при­ложе­ния (+28%), 410 цен­тров рас­простра­нения мал­вари, более 1,2 мил­лиона ресур­сов (+50%) и 119 тысяч фишин­говых сай­тов (+441%).
  • Под­черки­вает­ся, что с августа 2023 года все узлы свя­зи в Рос­сии на 100% обо­рудо­ваны ТСПУ для филь­тра­ции тра­фика.
 

Европол закрывает SIM-фермы

Ев­ропей­ские пра­воох­ранитель­ные орга­ны в рам­ках опе­рации SIMCARTEL лик­видиро­вали сеть SIM-ферм, опе­рато­ры которой управля­ли 1200 SIM-бок­сами с 40 тысяча­ми SIM-карт. Такие телефон­ные номера исполь­зовались для фишин­га, инвести­цион­ного мошен­ничес­тва, вымога­тель­ства и дру­гих прес­тупных опе­раций.

Со­обща­ется, что SIM-фер­мы спо­собс­тво­вали более чем 3200 слу­чаям мошен­ничес­тва и при­чини­ли пос­тра­дав­шим ущерб в раз­мере не менее 4,5 мил­лиона евро.

По информа­ции Евро­пола, опе­рато­ры ферм пред­лагали свои услу­ги через два сай­та — gogetsms[.]com и apisim[.]com, которые теперь отклю­чены и отоб­ража­ют бан­нер об опе­рации пра­воох­ранитель­ных орга­нов.

Лик­видация инфраструк­туры ста­ла резуль­татом сов­мес­тных уси­лий Евро­пола и спе­циалис­тов Shadowserver Foundation. Так­же в опе­рации при­няли учас­тие пра­воох­раните­ли из Авс­трии, Эсто­нии, Фин­ляндии и Лат­вии.

Мо­шен­ничес­кий сер­вис пред­лагал телефон­ные номера, зарегис­три­рован­ные на физичес­ких лиц более чем в 80 стра­нах. Номера сда­вали в арен­ду кли­ентам, которым нуж­но было соз­давать и верифи­циро­вать фаль­шивые акка­унты, что поз­воляло скрыть нас­тоящую лич­ность и мес­тополо­жение. Пра­воох­раните­ли пишут:

Прес­тупная сеть и ее инфраструк­тура были тех­ничес­ки слож­ными и поз­воляли зло­умыш­ленни­кам по все­му миру исполь­зовать этот сер­вис для совер­шения широко­го спек­тра телеком­муника­цион­ных кибер­прес­тупле­ний, а так­же дру­гой про­тивоп­равной деятель­нос­ти.

По дан­ным влас­тей, сер­вис исполь­зовал­ся для соз­дания более 49 мил­лионов мошен­ничес­ких учет­ных записей, и его уже уда­лось свя­зать с 1700 слу­чаями мошен­ничес­тва в Авс­трии и 1500 — в Лат­вии.

Сре­ди прес­тупле­ний, совер­шению которых спо­собс­тво­вал сер­вис, перечис­лены: мошен­ничес­тво, вымога­тель­ство, нелегаль­ная миг­рация, скам на мар­кет­плей­сах, зап­росы на перевод денег в WhatsApp, инвести­цион­ное мошен­ничес­тво, под­дель­ные магази­ны и бан­ков­ские сай­ты, а так­же выдача себя за сот­рудни­ков полиции.

Со­обща­ется, что в ходе опе­рации SIMCARTEL были арес­тованы пять граж­дан Лат­вии и еще двое подоз­рева­емых, а так­же кон­фиско­ваны:

  • 1200 SIM-бок­сов с 40 тысяча­ми работа­ющих SIM-карт;
  • сот­ни тысяч SIM-карт;
  • пять сер­веров и два сай­та;
  • 431 тысяча евро (500 тысяч дол­ларов США) на заморо­жен­ных бан­ков­ских сче­тах и 333 тысячи дол­ларов США на крип­тосче­тах;
  • че­тыре люк­совых авто­моби­ля.

Тим Бернерс-Ли о будущем свободного интернета

Соз­датель Все­мир­ной паути­ны сэр Тим Бер­нерс‑Ли опуб­ликовал в The Guardian эссе, в котором раз­мышля­ет о будущем интерне­та и о том, почему он отдал свое изоб­ретение миру бес­плат­но.

По мне­нию Бер­нерса‑Ли, сегод­ня веб находит­ся под угро­зой из‑за цен­тра­лиза­ции влас­ти в руках ряда тех­нологи­чес­ких гиган­тов, манипу­ляций с дан­ными и попыток пра­витель­ств кон­тро­лиро­вать онлайн‑прос­транс­тво.

Веб был задуман как децен­тра­лизо­ван­ная плат­форма, где каж­дый мог бы пуб­ликовать информа­цию без раз­решения влас­тей. Но сегод­ня мы видим, как кон­цен­тра­ция влас­ти в руках нес­коль­ких ком­паний и пра­витель­ств угро­жает самой идее откры­того интерне­та. Если мы не будем дей­ство­вать сей­час, то рис­куем потерять все то, что делало веб по‑нас­тояще­му сво­бод­ным.

Где‑то меж­ду моим изна­чаль­ным видени­ем веба 1.0 и раз­вити­ем соци­аль­ных сетей (как час­ти веба 2.0) мы свер­нули не туда. Сей­час мы находим­ся на новом перепутье, где нам пред­сто­ит решить, будет ли ИИ исполь­зовать­ся на бла­го общес­тва или во вред. Как нам извлечь уро­ки из оши­бок прош­лого? Преж­де все­го, мы дол­жны гаран­тировать, что полити­ки не будут играть в ту же игру в догонял­ки, которую они десяти­лети­ями вели в отно­шении соци­аль­ных сетей. Вре­мя опре­делить­ся с моделью управле­ния для ИИ было вче­ра, поэто­му мы дол­жны дей­ство­вать безот­лагатель­но.

 

РКН ограничил WhatsApp и Telegram

С 21 октября 2025 года на юге Рос­сии фик­сиру­ются мас­совые сбои в работе WhatsApp (при­над­лежит ком­пании Meta, приз­нанной экс­тре­мист­ской и зап­рещен­ной в РФ) и Telegram. Как сегод­ня сооб­щили СМИ пред­ста­вите­ли Рос­комнад­зора, ведомс­тво при­нима­ет меры по час­тично­му огра­ниче­нию работы мес­сен­дже­ров для про­тиво­дей­ствия прес­тупни­кам.

Сбои в работе Telegram и WhatsApp дваж­ды фик­сирова­лись в 20-х чис­лах октября на юге РФ и про­дол­жают­ся до сих пор.

В час­тнос­ти, жалобы на работу Telegram пос­тупа­ют из Крас­нодар­ско­го края (16%), Рес­публи­ки Ады­гея (14%), Рос­тов­ской области (12%), Астра­хан­ской области (8%) и Став­рополь­ско­го края (8%). На работу WhatsApp жалу­ются поль­зовате­ли из Рес­публи­ки Север­ная Осе­тия (24%), Рес­публи­ки Ады­гея (12%), Астра­хан­ской области (10%), Крас­нодар­ско­го края (10%), а так­же Став­рополь­ско­го края (10%).

Как сооб­щил СМИ источник в телеком­муника­цион­ной отрасли, сбои в работе мес­сен­дже­ров свя­заны с пла­новы­ми работа­ми в нас­трой­ке тех­ничес­ких средств про­тиво­дей­ствия угро­зам (ТСПУ). Источник пред­полагал, что «как толь­ко работы завер­шатся, все будет как преж­де».

Од­нако 22 октября пред­ста­вите­ли Рос­комнад­зора офи­циаль­но под­твер­дили, что работа мес­сен­дже­ров на юге Рос­сии дей­стви­тель­но час­тично огра­ничи­вает­ся с целью про­тиво­дей­ствия прес­тупни­кам.

Для про­тиво­дей­ствия прес­тупни­кам в соот­ветс­твии с матери­ала­ми пра­воох­ранитель­ных орга­нов при­нима­ются меры по час­тично­му огра­ниче­нию работы инос­тран­ных мес­сен­дже­ров.

В ведомс­тве заяв­ляют, что, по дан­ным пра­воох­ранитель­ных орга­нов и мно­гочис­ленных обра­щений граж­дан, инос­тран­ные мес­сен­дже­ры Telegram и WhatsApp ста­ли основны­ми сер­висами, исполь­зуемы­ми для обма­на и вымога­тель­ства денег, вов­лечения в дивер­сион­ную и тер­рорис­тичес­кую деятель­ность рос­сий­ских граж­дан. Так­же под­черки­вает­ся, что неод­нократ­но нап­равляв­шиеся тре­бова­ния о при­нятии мер про­тиво­дей­ствия были про­игно­риро­ваны вла­дель­цами мес­сен­дже­ров.

На­пом­ним, что 13 августа 2025 года в Рос­комнад­зоре под­твер­дили час­тичное огра­ниче­ние звон­ков в мес­сен­дже­рах Telegram и WhatsApp в соот­ветс­твии с матери­ала­ми пра­воох­ранитель­ных орга­нов для про­тиво­дей­ствия прес­тупни­кам.

Тог­да в РКН заяв­ляли, что, «по дан­ным пра­воох­ранитель­ных орга­нов и мно­гочис­ленных обра­щений граж­дан», мес­сен­дже­ры ста­ли «основны­ми голосо­выми сер­висами, исполь­зуемы­ми для обма­на и вымога­тель­ства денег, вов­лечения в дивер­сион­ную и тер­рорис­тичес­кую деятель­ность рос­сий­ских граж­дан».

Вымогателям не платят

  • До­ля ком­паний, которые сог­лаша­ются пла­тить выкуп вымога­телям, опус­тилась до 23% в треть­ем квар­тале 2025 года — это исто­ричес­кий минимум. Для срав­нения: в начале 2024 года выкуп зап­латили 28% пос­тра­дав­ших.
  • Сни­жение доходов ransomware-груп­пировок про­дол­жает­ся уже шесть лет. Ана­лити­ки ком­пании Coveware свя­зыва­ют это с дав­лени­ем пра­воох­раните­лей на жертв и внед­рени­ем новых мер защиты.
  • Из‑за этих тен­денций хакеры боль­ше не огра­ничи­вают­ся шиф­ровани­ем: теперь их основной инс­тру­мент — кра­жа дан­ных и угро­за их пуб­ликации. В треть­ем квар­тале 2025 года такие инци­ден­ты сос­тавили более 76% от всех атак.
  • Сред­няя сум­ма вып­лачен­ного выкупа упа­ла до 377 тысяч дол­ларов США, а меди­анная — до 140 тысяч дол­ларов США. Круп­ные ком­пании перес­тают пла­тить ата­кующим и пред­почита­ют нап­равлять средс­тва на уси­ление защиты.
 

Neon слил разговоры пользователей

В кон­це сен­тября 2025 года на вто­рое мес­то по популяр­ности в Apple App Store выш­ло при­ложе­ние Neon, которое пла­тило поль­зовате­лям за запись их телефон­ных звон­ков и про­дава­ло дан­ные ИИ‑ком­пани­ям. Одна­ко вско­ре в Neon обна­ружи­ли уяз­вимость, которая поз­воляла любому жела­юще­му получить дос­туп к телефон­ным номерам, записям звон­ков и рас­шифров­кам раз­говоров поль­зовате­лей.

Офи­циаль­ный сайт Neon Mobile гла­сит, что ком­пания пла­тит 30 цен­тов в минуту за звон­ки дру­гим поль­зовате­лям Neon и до 30 дол­ларов в день за звон­ки дру­гим людям. Так­же при­ложе­ние пред­лагало воз­награж­дения за прив­лечение новых поль­зовате­лей. Раз­работ­чики при­ложе­ния про­дают соб­ранные дан­ные ИИ‑ком­пани­ям, так как звон­ки помога­ют обу­чать, улуч­шать и тес­тировать ИИ‑модели.

Сог­ласно ста­тис­тике Appfigures, толь­ко за 24 сен­тября 2025 года Neon заг­рузили более 75 тысяч раз, поэто­му сов­сем неуди­витель­но, что оно вош­ло в топ-5 при­ложе­ний в катего­рии «Соци­аль­ные сети» в аме­рикан­ском App Store.

Од­нако вско­ре при­ложе­ние было вре­мен­но отклю­чено, и неиз­вес­тно, ког­да Neon зарабо­тает сно­ва.

Уяз­вимость в при­ложе­нии обна­ружи­ли сами жур­налис­ты изда­ния TechCrunch во вре­мя корот­кого тес­тирова­ния. Проб­лема зак­лючалась в том, что сер­веры Neon не огра­ничи­вали дос­туп авто­ризо­ван­ных поль­зовате­лей к дан­ным дру­гих акка­унтов.

Жур­налис­ты соз­дали новую учет­ную запись на отдель­ном iPhone, под­твер­дили свой номер телефо­на и исполь­зовали инс­тру­мент ана­лиза сетево­го тра­фика Burp Suite, что­бы понять, как Neon вза­имо­дей­ству­ет со сво­ими сер­верами.

Пос­ле нес­коль­ких тес­товых звон­ков при­ложе­ние отоб­разило спи­сок недав­них вызовов и сум­му, которую поль­зовате­лю при­нес каж­дый из них. При этом ана­лиз тра­фика выявил тек­сто­вые рас­шифров­ки раз­говоров, а так­же веб‑адре­са ауди­офай­лов звон­ков. Эти фай­лы мож­но было открыть, прос­то имея ссыл­ку. На скрин­шоте ниже пред­став­лен фраг­мент рас­шифров­ки тес­тового звон­ка меж­ду дву­мя жур­налис­тами TechCrunch, под­твержда­ющи­ми, что запись работа­ет.

Проб­лема усу­губ­лялась тем, что сер­веры Neon поз­воляли получить дос­туп к записям звон­ков и их рас­шифров­кам для дру­гих поль­зовате­лей. В ряде слу­чаев иссле­дова­телям уда­лось получить дан­ные о пос­ледних звон­ках поль­зовате­лей при­ложе­ния, вклю­чая ссыл­ки на ауди­офай­лы и тек­сто­вые рас­шифров­ки (записы­вались толь­ко поль­зовате­ли Neon, но не их собесед­ники).

Кро­ме того, сер­веры при­ложе­ния поз­воляли получить спи­сок пос­ледних звон­ков любого поль­зовате­ля вмес­те со все­ми метадан­ными: номера­ми телефо­нов обе­их сто­рон, вре­менем и дли­тель­ностью звон­ка, а так­же сум­мой, зарабо­тан­ной на записи раз­говора. Жур­налис­ты отме­чают, что изу­чение нес­коль­ких записей показа­ло, что поль­зовате­ли Neon зво­нили нас­тоящим людям, тай­но записы­вая раз­говоры, что­бы зарабо­тать через при­ложе­ние.

Ис­сле­дова­тели сооб­щили об этой опас­ной наход­ке осно­вате­лю при­ложе­ния Алек­су Киаму (Alex Kiam). Пос­ле это­го Киам, ранее не отве­чав­ший на зап­росы изда­ния, отклю­чил сер­веры Neon и начал уве­дом­лять поль­зовате­лей о при­оста­нов­ке работы при­ложе­ния. При этом в сооб­щении не упо­мина­лось об обна­ружен­ной уяз­вимос­ти, из‑за которой номера телефо­нов, записи и рас­шифров­ки раз­говоров были дос­тупны любому жела­юще­му.

Кон­фиден­циаль­ность ваших дан­ных — наш глав­ный при­ори­тет, — гла­сило уве­дом­ление. — Мы хотим убе­дить­ся, что они пол­ностью защище­ны даже в пери­од активно­го рос­та. Поэто­му мы вре­мен­но отклю­чаем при­ложе­ние, что­бы добавить допол­нитель­ные уров­ни безопас­ности.

Раз­работ­чики Neon не отве­тили на воп­рос жур­налис­тов о том, про­ходи­ло ли при­ложе­ние про­вер­ку безопас­ности перед запус­ком. Так­же неиз­вес­тно, есть ли у ком­пании тех­ничес­кие средс­тва (нап­ример, логи), что­бы опре­делить, обна­ружи­вал ли эту уяз­вимость кто‑либо дру­гой и не были ли похище­ны поль­зователь­ские дан­ные.

Не­извес­тно, ког­да Neon зарабо­тает сно­ва и обра­тят ли вни­мание на инци­дент модера­торы магази­нов при­ложе­ний. Пред­ста­вите­ли Apple и Google не отве­тили на зап­рос изда­ния о ком­мента­рии и о том, соот­ветс­тву­ет ли Neon пра­вилам их пло­щадок.

DDoS-ботнеты выросли в 25 раз

  • В треть­ем квар­тале 2025 года ком­пания Curator зафик­сирова­ла ата­ку круп­ней­шего из извес­тных бот­нетов — в ней учас­тво­вало 5,76 мил­лиона заражен­ных устрой­ств (пре­иму­щес­твен­но из Аргенти­ны, Бра­зилии, Вьет­нама, Индии и США).
  • Для срав­нения: в прош­лом году круп­ней­ший обна­ружен­ный DDoS-бот­нет вклю­чал око­ло 227 тысяч устрой­ств — мас­шта­бы вырос­ли в 25 раз.
  • Эк­спер­ты свя­зыва­ют рост с активным исполь­зовани­ем кибер­прес­тупни­ками инс­тру­мен­тов на осно­ве ИИ, помога­ющих авто­мати­зиро­вать про­цес­сы обна­руже­ния и ком­про­мета­ции уяз­вимых устрой­ств.
  • Так­же в треть­ем квар­тале Бра­зилия впер­вые обог­нала Рос­сию и США, став круп­ней­шим источни­ком L7 DDoS-атак — 19% от обще­го объ­ема вре­донос­ного тра­фика.
 

GlassWorm атаковал OpenVSX и VS Code

Ис­сле­дова­тели Koi Security замети­ли мас­штаб­ную ата­ку на цепоч­ку пос­тавок в OpenVSX и Visual Studio Code Marketplace. Хакеры рас­простра­няют самореп­лициру­ющуюся мал­варь под наз­вани­ем GlassWorm, которую уже уста­нови­ли око­ло 35 800 раз.

Спе­циалис­ты обна­ружи­ли как минимум один­надцать заражен­ных GlassWorm рас­ширений в OpenVSX и одно в Visual Studio Code Marketplace:

  • codejoy.codejoy-vscode-extension@1.8.3 и 1.8.4;
  • l-igh-t.vscode-theme-seti-folder@1.2.3;
  • kleinesfilmroellchen.serenity-dsl-syntaxhighlight@0.3.2;
  • JScearcy.rust-doc-viewer@4.2.1;
  • SIRILMP.dark-theme-sm@3.11.4;
  • CodeInKlingon.git-worktree-menu@1.0.9 и 1.0.91;
  • ginfuru.better-nunjucks@0.3.2;
  • ellacrity.recoil@0.7.4;
  • grrrck.positron-plus-1-e@0.0.71;
  • jeronimoekerdt.color-picker-universal@2.8.91;
  • srcery-colors.srcery-colors@0.3.9;
  • cline-ai-main.cline-ai-agent@3.1.3 (Microsoft VS Code).

Мал­варь скры­вает вре­донос­ный код с помощью невиди­мых Unicode-сим­волов. Кро­ме того, GlassWorm обла­дает фун­кци­ональ­ностью чер­вя и уме­ет рас­простра­нять­ся самос­тоятель­но: исполь­зуя укра­ден­ные учет­ные дан­ные жертв, он заража­ет дру­гие рас­ширения, к которым у пос­тра­дав­ших есть дос­туп.

Ата­кующие исполь­зуют блок­чейн Solana для управле­ния сво­им бот­нетом, а в качес­тве резер­вно­го канала свя­зи выс­тупа­ет Google Calendar.

Пос­ле уста­нов­ки мал­варь стре­мит­ся похитить учет­ные дан­ные от акка­унтов GitHub, npm и OpenVSX, а так­же дан­ные крип­токошель­ков из 49 раз­личных рас­ширений. Помимо это­го, GlassWorm раз­ворачи­вает SOCKS-прок­си для мар­шру­тиза­ции вре­донос­ного тра­фика через машину жер­твы и уста­нав­лива­ет VNC-кли­енты (HVNC) для скры­того уда­лен­ного дос­тупа.

В коде чер­вя при­сутс­тву­ет адрес кошель­ка с тран­закци­ями в блок­чей­не Solana, которые содер­жат Base64-закоди­рован­ные ссыл­ки на пей­лоады сле­дующей ста­дии ата­ки. Исполь­зование блок­чей­на для сок­рытия пей­лоадов набира­ет популяр­ность сре­ди прес­тупни­ков из‑за мно­жес­тва опе­раци­онных пре­иму­ществ: устой­чивос­ти к бло­киров­кам, ано­ним­ности, низ­кой сто­имос­ти и гиб­кости на слу­чай обновле­ний.

По дан­ным иссле­дова­телей, финаль­ный пей­лоад этой ата­ки называ­ется ZOMBI и пред­став­ляет собой «мак­сималь­но обфусци­рован­ный JavaScript-код», прев­раща­ющий заражен­ные сис­темы в час­ти бот­нета.

Ре­зер­вный метод заг­рузки полез­ных наг­рузок работа­ет через наз­вание событий в Google Calendar, которые содер­жат Base64-закоди­рован­ный URL. Тре­тий спо­соб дос­тавки исполь­зует пря­мое под­клю­чение к под­кон­троль­ному ата­кующим IP-адре­су (217.69.3[.]218).

До­пол­нитель­ную мас­киров­ку и устой­чивость мал­варь обес­печива­ет с помощью Distributed Hash Table (DHT) BitTorrent и децен­тра­лизо­ван­ного рас­пре­деле­ния команд.

Эта ситу­ация осо­бен­но серь­езна из‑за того, что рас­ширения VS Code обновля­ются авто­мати­чес­ки, — отме­чают иссле­дова­тели. — Ког­да CodeJoy выпус­тил вер­сию 1.8.3 с невиди­мой мал­варью, все поль­зовате­ли с уста­нов­ленным CodeJoy авто­мати­чес­ки получи­ли заражен­ную вер­сию. Никако­го вза­имо­дей­ствия с поль­зовате­лем. Никаких пре­дуп­режде­ний. Тихое авто­мати­чес­кое зараже­ние.

На момент пуб­ликации отче­та Koi Security как минимум четыре ском­про­мети­рован­ных рас­ширения все еще были дос­тупны для ска­чива­ния в OpenVSX, а Microsoft уда­лила вре­донос­ное рас­ширение из сво­его мар­кет­плей­са пос­ле пре­дуп­режде­ния иссле­дова­телей. Так­же отме­чает­ся, что раз­работ­чики vscode-theme-seti-folder и git-worktree-menu обно­вили свои рас­ширения и уда­лили вре­донос­ный код.

Сто­ит отме­тить, что в прош­лом месяце похожая ата­ка чер­вя Shai-Hulud зат­ронула эко­сис­тему npm, ском­про­мети­ровав 187 пакетов. Мал­варь исполь­зовала ска­нер TruffleHog для поис­ка сек­ретов, паролей и клю­чей.

В Koi Security называ­ют GlassWorm «одной из наибо­лее изощ­ренных атак на цепоч­ку пос­тавок» и пер­вым задоку­мен­тирован­ным слу­чаем ата­ки чер­вя на VS Code. Спе­циалис­ты пре­дуп­режда­ют, что управля­ющие сер­веры и сер­веры с пей­лоада­ми GlassWorm по‑преж­нему активны и кам­пания может про­дол­жить­ся.

Сооснователь Reddit согласен с теорией мертвого интернета

Алек­сис Ога­нян (Alexis Ohanian), соос­нователь Reddit, заявил в интервью Business Insider, что зна­читель­ная часть сов­ремен­ного интерне­та прев­ратилась в «мер­твую зону», запол­ненную ботами, спа­мом и авто­мати­чес­ки генери­руемым кон­тентом.

Он отме­чает, что эпо­ха живого, соз­данно­го людь­ми кон­тента ухо­дит в прош­лое, усту­пая мес­то ИИ‑генера­ции и авто­мати­зиро­ван­ным сис­темам, которые ими­тиру­ют челове­чес­кую активность, но не несут никакой реаль­ной цен­ности.

Зна­читель­ная часть интерне­та теперь мер­тва. Это боты, раз­говари­вающие с ботами, кон­тент, генери­руемый ИИ для ИИ‑ауди­тории. Нас­тоящее челове­чес­кое вза­имо­дей­ствие ста­новит­ся ред­костью. Мы соз­дали сис­тему, где алго­рит­мы опти­мизи­руют кон­тент для дру­гих алго­рит­мов, а не для людей.

 

Белые хакеры под контролем ФСБ

СМИ со ссыл­кой на собс­твен­ные источни­ки сооб­щили, что в работе находит­ся новая вер­сия законоп­роек­та о легали­зации белых хакеров. Совет Федера­ции, ФСБ, МВД и ИБ‑ком­пании обсужда­ют воз­можность соз­дания реес­тра белых хакеров и их сер­тифика­цию. Работу спе­циалис­тов будут регули­ровать силовые ведомс­тва, вклю­чая ФСБ.

Ини­циати­ва пред­полага­ет соз­дание еди­ной сис­темы гос­регули­рова­ния для всех видов иссле­дова­тель­ской работы по поис­ку уяз­вимос­тей. В новой вер­сии законоп­роек­та вво­дит­ся понятие «мероп­риятие по поис­ку уяз­вимос­тей», которое может охва­тывать все фор­мы поис­ка уяз­вимос­тей, сти­рая сущес­тву­ющее в отрасли раз­деление.

Сог­ласно докумен­ту, под это опре­деле­ние могут попасть:

  • ком­мерчес­кие прог­раммы bug bounty;
  • внут­ренние bug bounty, где ком­пании силами собс­твен­ных сот­рудни­ков ищут уяз­вимос­ти в сво­ей инфраструк­туре;
  • лю­бые незави­симые иссле­дова­ния: дей­ствия оди­ноч­ных иссле­дова­телей, которые без приг­лашения про­веря­ют ПО на уяз­вимос­ти;
  • пен­тесты, которые про­водят­ся по сог­лашению пра­вовых догово­ров с опи­сани­ем всех необ­ходимых момен­тов вза­имо­дей­ствия ком­пании‑кли­ента и ком­пании, пре­дос­тавля­ющей услу­ги иссле­дова­телей.

Ис­точни­ки сооб­щают, что регули­рова­ние всех «мероп­риятий по поис­ку уяз­вимос­тей» пла­ниру­ется пол­ностью передать силово­му бло­ку: Федераль­ной служ­бе безопас­ности (ФСБ), Федераль­ной служ­бе по тех­ничес­кому и экспортно­му кон­тро­лю (ФСТЭК), а так­же Наци­ональ­ному коор­динаци­онно­му цен­тру по компь­ютер­ным инци­ден­там (НКЦКИ).

Они могут получить пра­во уста­нав­ливать обя­затель­ные тре­бова­ния по клю­чевым нап­равле­ниям поис­ка уяз­вимос­тей вне зависи­мос­ти от того, ком­мерчес­кие это прог­раммы, для внут­ренне­го поль­зования или прог­раммы, каса­ющиеся кри­тичес­ки важ­ного биз­неса либо госс­трук­тур.

Речь идет как об обя­затель­ной иден­тифика­ции и верифи­кации white hat’ов, так и о пра­вилах аккре­дита­ции и деятель­нос­ти орга­низа­ций, про­водя­щих мероп­риятия по поис­ку уяз­вимос­тей; пра­вилах, регули­рующих обра­бот­ку и защиту дан­ных о най­ден­ных уяз­вимос­тях; рег­ламен­те, как имен­но информа­ция об уяз­вимос­ти дол­жна быть переда­на вла­дель­цу ресур­са и госор­ганам, и так далее.

Спис­ки опе­рато­ров, которые соот­ветс­тву­ют тре­бова­ниям, будут пуб­ликовать­ся на сай­тах силовых ведомств, а работа вне аккре­дито­ван­ных пло­щадок, а так­же работа не соот­ветс­тву­ющих пра­вилам ком­паний будет зап­рещена.

Кро­ме того, пред­лага­ется ввес­ти обя­зан­ность для всех, кто обна­ружил уяз­вимость, сооб­щать о ней не толь­ко вла­дель­цу прог­рам­мно­го обес­печения, но и силовым ведомс­твам. В ст. 274 Уго­лов­ного кодек­са («Наруше­ние пра­вил экс­плу­ата­ции средств хра­нения, обра­бот­ки или переда­чи компь­ютер­ной информа­ции») пред­лага­ется внес­ти поп­равку, по которой «неп­равомер­ная переда­ча уяз­вимос­тей», не соот­ветс­тву­ющая уста­нов­ленным пра­вилам, будет ква­лифи­циро­вать­ся как прес­тупле­ние. Так­же обсужда­ется соз­дание реес­тра белых хакеров.

Пред­ста­витель Мин­цифры заявил, что «минис­терс­тво находит­ся в диало­ге с отраслью и кол­легами из Гос­думы по дан­ному законоп­роек­ту», отме­тив, что к ним не пос­тупало пред­ложений по соз­данию реес­тра белых хакеров.

Про­екти­руемые изме­нения пре­дус­матри­вают «легали­зацию» деятель­нос­ти белых хакеров, что исклю­чает воз­можные негатив­ные пос­ледс­твия при осу­щест­вле­нии ими сво­ей деятель­нос­ти, — говорят в Мин­цифры. — До при­нятия закона и под­писания его пре­зиден­том документ может менять­ся с уче­том пред­ложений отрасли и заин­тересо­ван­ных ведомств.

Воп­рос легали­зации bug bounty и деятель­нос­ти белых хакеров Рос­сии обсужда­ется с 2022 года. Так, в фев­рале 2023 года быв­ший гла­ва комите­та Гос­думы по информа­цион­ной полити­ке Алек­сандр Хин­штейн пред­ложил осво­бодить белых хакеров от ответс­твен­ности, одна­ко ФСБ и ФСТЭК выс­тупили про­тив. Поз­же Ген­про­кура­тура, МВД и СК так­же откло­нили поп­равки, опа­саясь, что зло­умыш­ленни­ки будут прик­рывать­ся догово­рами на тес­тирова­ние.

В декаб­ре 2023 года внес­ли законоп­роект, раз­реша­ющий иссле­дова­телям искать уяз­вимос­ти без сог­ласия пра­вооб­ладате­ля при усло­вии сооб­щения о наход­ках в течение пяти рабочих дней. Документ при­няли в пер­вом чте­нии в октябре 2024 года, но летом 2025 года Гос­дума откло­нила его, так как про­ект не учи­тывал осо­бен­ности информа­цион­ного обес­печения работы госор­ганов.

Не­кото­рые из учас­тни­ков рын­ка ука­зыва­ют на рис­ки обсужда­емых идей. Наибо­лее кри­тич­ной они называ­ют идею реес­тра белых хакеров. Так, прод­жект‑менед­жер MD Audit (вхо­дит в ГК Softline) Кирилл Лев­кин пре­дуп­редил, что обя­затель­ная иден­тифика­ция ИБ‑иссле­дова­телей соз­дает угро­зу для их безопас­ности и при­ват­ности, осо­бен­но если про­изой­дет утеч­ка дан­ных:

Бе­лые хакеры неред­ко ста­новят­ся мишенью со сто­роны кибер­прес­тупни­ков, осо­бен­но в слу­чаях, ког­да они пуб­лично рас­кры­вают опас­ные уяз­вимос­ти. Кро­ме того, деано­ними­зация может сни­зить количес­тво учас­тни­ков bug bounty прог­рамм, ведь мно­гие спе­циалис­ты работа­ют под псев­донима­ми не из желания скрыть­ся, а для миними­зации лич­ных рис­ков.

Пред­ста­витель неназ­ванной рос­сий­ской плат­формы bug bounty под­чер­кнул необ­ходимость раз­гра­ниче­ния: «Ком­мерчес­кое bug bounty дол­жно раз­вивать­ся по рыноч­ным механиз­мам. Bug bounty для гос­ресур­сов и кри­тичес­кой инфраструк­туры дол­жно регули­ровать­ся по всем пра­вилам, так как есть кри­тичес­кие рис­ки госуров­ня».

Два миллиарда долларов в крипте

  • По дан­ным блок­чейн‑ана­лити­ков Elliptic, за девять месяцев 2025 года северо­корей­ские хакеры похити­ли крип­товалют­ные акти­вы на сум­му свы­ше 2 мил­лиар­дов дол­ларов США — это новый рекорд. Объ­ем похищен­ного поч­ти в три раза пре­выша­ет показа­тель 2024 года.
  • Об­щая под­твержден­ная сум­ма крип­товалют, похищен­ных зло­умыш­ленни­ками из КНДР за все вре­мя, уже пре­выша­ет 6 мил­лиар­дов дол­ларов США.
  • Боль­шая часть рекор­дной сум­мы 2025 года приш­лась на взлом бир­жи Bybit в фев­рале — тог­да хак­груп­па Lazarus похити­ла око­ло 1,46 мил­лиар­да дол­ларов США.
  • Ана­лити­ки при­писы­вают северо­корей­ским хакерам око­ло 30 слу­чаев кра­жи крип­товалю­ты в 2025 году. Сре­ди замет­ных инци­ден­тов — ата­ки на LND.fi, WOO X, Seedify и тай­вань­скую бир­жу BitoPro, у которой похити­ли око­ло 11 мил­лионов дол­ларов США.
  • Глав­ный тренд 2025 года — переход от мас­совых атак к взло­му час­тных лиц с круп­ными крип­тоак­тивами и сот­рудни­ков бирж. Со­циаль­ная инже­нерия при­ходит на сме­ну экс­плу­ата­ции багов в DeFi-инфраструк­туре.
 

Hacking Team и «Форумный тролль»

Спе­циалис­ты «Лабора­тории Кас­пер­ско­го» впер­вые обна­ружи­ли исполь­зование в реаль­ных ата­ках шпи­онско­го ПО Dante, соз­данно­го италь­янской ком­пани­ей Memento Labs (ранее Hacking Team). Отсле­дить активность мал­вари уда­лось бла­года­ря ана­лизу опе­рации «Форум­ный тролль», нацелен­ной на сот­рудни­ков рос­сий­ских орга­низа­ций.

Hacking Team — один из ста­рей­ших про­изво­дите­лей шпи­онско­го ПО. Ком­пания была осно­вана в 2003 году и занима­лась раз­работ­кой и про­дажей «легаль­ной» спай­вари. Флаг­ман­ским про­дук­том Hacking Team было шпи­онское ПО Remote Control Systems (RCS), которым поль­зовались государс­твен­ные орга­ны по все­му миру. Спай­варь поз­воляла ска­чивать фай­лы с заражен­ного компь­юте­ра, перех­ватывать пись­ма и сооб­щения, уда­лен­но управлять веб‑камерой и мик­рофоном.

Од­нако широкую извес­тность Hacking Team получи­ла в 2015 году, ког­да ста­ла жер­твой взло­ма, в резуль­тате которо­го в сеть утек­ло более 400 Гбайт информа­ции, вклю­чая исходный код шпи­онско­го соф­та и внут­ренние докумен­ты ком­пании. В ито­ге Hacking Team была вынуж­дена про­сить кли­ентов при­оста­новить исполь­зование RCS.

В 2019 году Hacking Team купила ком­пания InTheCyber Group, пос­ле чего ее пере­име­нова­ли в Memento Labs. Спус­тя четыре года на кон­ферен­ции пра­воох­ранитель­ных орга­нов и служб раз­ведки ISS World MEA 2023 ком­пания заяви­ла о соз­дании нового шпи­онско­го ПО — Dante. Одна­ко до сих пор эта мал­варь не встре­чалась в реаль­ных ата­ках, и о ее воз­можнос­тях было извес­тно мало.

Операция «Форумный тролль»

Ис­сле­дова­тели напоми­нают, что в мар­те 2025 года они обна­ружи­ли слож­ную целевую кам­панию, получив­шую наз­вание опе­рация «Форум­ный тролль». В этой APT-ата­ке исполь­зовалась цепоч­ка экс­пло­итов нулево­го дня и 0-day-уяз­вимость в бра­узе­ре Chrome (CVE-2025-2783).

Тог­да зло­умыш­ленни­ки рас­сылали пер­сонали­зиро­ван­ные фишин­говые пись­ма сот­рудни­кам СМИ, государс­твен­ных, обра­зова­тель­ных и финан­совых учрежде­ний в Рос­сии с пред­ложени­ем поучас­тво­вать в науч­но‑экспертном форуме «При­маков­ские чте­ния».

Ес­ли жер­тва перехо­дила по ссыл­ке и откры­вала бра­узер Chrome, устрой­ство под­верга­лось зараже­нию. Никаких дру­гих дей­ствий от поль­зовате­ля не тре­бова­лось, и основной целью этой кам­пании был кибер­шпи­онаж.

Как теперь рас­ска­зыва­ют экспер­ты, в опе­рации «Форум­ный тролль» исполь­зовалась спай­варь LeetAgent. Все коман­ды были написа­ны на Leet (leetspeak), что ред­ко встре­чает­ся в слож­ных целевых ата­ках. Про­дол­жая рас­сле­дова­ние, спе­циалис­ты прос­ледили активность LeetAgent до 2022 года и выяви­ли дру­гие ата­ки той же груп­пы, нацелен­ные на орга­низа­ции и час­тных лиц в Рос­сии и Белару­си.

Изу­чая арсе­нал этих зло­умыш­ленни­ков, иссле­дова­тели обна­ружи­ли ранее неиз­вес­тный вре­донос. Вско­ре ста­ло понят­но, что это не что иное, как ком­мерчес­кое шпи­онское ПО Dante, раз­работан­ное италь­янской ком­пани­ей Memento Labs.

Dante

Об­наружен­ная в коде мал­вари стро­ка «Dante» ста­ла не единс­твен­ным, на чем осно­выва­ется атри­буция иссле­дова­телей. К при­меру, было обна­руже­но ука­зание на наз­вание Dante и вер­сию 2.0, что соот­ветс­тву­ет наз­ванию пре­зен­тации Memento Labs на упо­мяну­той выше кон­ферен­ции.

Так­же ана­лиз показал, что в Dante и некото­рых инс­тру­мен­тах, исполь­зован­ных в опе­рации «Форум­ный тролль», при­сутс­тво­вал похожий код, а зна­чит, эти инс­тру­мен­ты тоже были раз­работа­ны Memento Labs.

Эк­спер­ты пишут, что шпи­онское ПО упа­кова­но с помощью инс­тру­мен­та VMProtect, который обфусци­рует поток управле­ния, скры­вает импорти­рован­ные фун­кции и добав­ляет про­вер­ки на запуск в отла­доч­ной сре­де.

Для защиты от динами­чес­кого ана­лиза Dante исполь­зует сле­дующий при­ем про­тив хуков: ког­да необ­ходимо выпол­нить API-фун­кцию, мал­варь раз­реша­ет ее адрес при помощи хеша, пар­сит ее код, что­бы извлечь номер сис­темно­го вызова, а затем соз­дает новую фун­кцию для сис­темно­го вызова и исполь­зует ее.

В допол­нение к анти­отла­доч­ным тех­никам VMProtect Dante исполь­зует рас­простра­нен­ные методы обна­руже­ния дебаге­ров. В час­тнос­ти, про­веря­ет отла­доч­ные регис­тры (Dr0 — Dr7) с помощью фун­кции NtGetContextThread, инспек­тиру­ет поле KdDebuggerEnabled в струк­туре KUSER_SHARED_DATA и выяв­ляет отла­доч­ные сре­ды пос­редс­твом фун­кции NtQueryInformationProcess, опра­шивая клас­сы ProcessDebugFlags, ProcessDebugPort, ProcessDebugObjectHandle и ProcessTlsInformation.

Для защиты от обна­руже­ния Dante исполь­зует инте­рес­ный метод про­вер­ки сре­ды и выяс­нения, безопас­но ли про­дол­жать работу: ищет в логах Windows события, которые могут ука­зывать на исполь­зование инс­тру­мен­тов ана­лиза или вир­туаль­ных машин (на уров­не хос­та или гос­тя).

По­мимо это­го, мал­варь про­водит ряд про­верок на запуск в песоч­нице: ищет «пло­хие» биб­лиоте­ки, изме­ряет вре­мя выпол­нения фун­кции sleep() и инс­трук­ции cpuid, а так­же про­веря­ет фай­ловую сис­тему.

Пос­ле всех про­верок Dante рас­шифро­выва­ет кон­фигура­цию и оркес­тра­тор, находит в пос­леднем стро­ку «DANTEMARKER», записы­вает кон­фигура­цию на ее мес­то и запус­кает оркес­тра­тор.

Кон­фигура­ция содер­жится в сек­ции дан­ных и рас­шифро­выва­ется с помощью прос­того XOR-шиф­ра. Оркес­тра­тор находит­ся в сек­ции ресур­сов и мас­киру­ется под файл шриф­тов. Так­же Dante может заг­рузить оркес­тра­тор из фай­ловой сис­темы, если дос­тупна обновлен­ная вер­сия.

Ана­лити­ки отме­чают, что качес­тво кода оркес­тра­тора соот­ветс­тву­ет ком­мерчес­кому про­дук­ту, но сам по себе он не пред­став­ляет инте­реса. Он отве­чает за связь с управля­ющи­ми сер­верами по про­токо­лу HTTPS, управле­ние модуля­ми и кон­фигура­цией, самоза­щиту и само­уда­ление.

Мо­дули могут сох­ранять­ся в фай­ловую сис­тему и заг­ружать­ся отту­да или же заг­ружать­ся из памяти. Для вычис­ления пути к пап­ке с модуля­ми исполь­зуют­ся час­ти стро­ки, получен­ной путем кодиро­вания иден­тифика­тора инфекции (GUID) в Base64. Таким же спо­собом выводит­ся путь к допол­нитель­ным нас­трой­кам, сох­ранен­ным в реес­тре.

Для самоза­щиты оркес­тра­тор исполь­зует мно­гие из опи­сан­ных выше тех­ник, а так­же про­вер­ки на наличие опре­делен­ных имен про­цес­са и драй­веров.

Ес­ли Dante не получа­ет команд в течение задан­ного в кон­фигура­ции количес­тва дней, мал­варь уда­ляет себя и все сле­ды сво­ей активнос­ти.

На момент написа­ния отче­та спе­циалис­там не уда­лось изу­чить допол­нитель­ные модули, пос­коль­ку сре­ди поль­зовате­лей не было активных зараже­ний Dante.

Ве­дущий эксперт Kaspersky GReAT Борис Ларин ком­менти­рует:

Соз­датели шпи­онско­го ПО хорошо извес­тны спе­циалис­там по кибер­безопас­ности. Одна­ко вре­донос­ные прог­раммы быва­ет слож­но иден­тифици­ровать и отнести кон­крет­ной груп­пе, осо­бен­но в слу­чае целевых атак. Что­бы уста­новить про­исхожде­ние Dante, нам приш­лось разоб­рать­ся в нес­коль­ких сло­ях запутан­ного кода, отсле­дить явные приз­наки его исполь­зования в течение нес­коль­ких лет и сопос­тавить с воз­можны­ми соз­дателя­ми. Похоже, раз­работ­чики злов­реда не прос­то так выб­рали наз­вание Dante, пос­коль­ку тому, кто пыта­ется разоб­рать­ся в его про­исхожде­нии, пред­сто­ит нелег­кий путь.

57 утечек за девять месяцев 2025 года

  • За январь — сен­тябрь 2025 года в откры­тый и огра­ничен­ный дос­туп попали 57 уте­чек дан­ных, содер­жащих 34,7 мил­лиона уни­каль­ных телефон­ных номеров и 28 мил­лионов email-адре­сов, под­счи­тали в Data Leakage & Breach Intelligence (DLBI).
  • По срав­нению с ана­логич­ным пери­одом прош­лого года чис­ло уте­чек сни­зилось поч­ти в че­тыре раза, а их объ­ем — поч­ти в шесть раз.
  • Ли­дером по количес­тву уте­чек стал сег­мент логис­тики — поч­ти 60% утек­ших дан­ных. Экспер­ты отме­чают, что сни­жение чис­ла пуб­личных уте­чек свя­зано с тем, что вла­дель­цы Telegram-ботов‑про­бив­щиков выкупа­ют базы на экс­клю­зив­ных усло­виях за тысячи и даже де­сят­ки тысяч дол­ларов США.
 

Проблемы спутникового трафика

Уче­ные из Калифор­ний­ско­го уни­вер­ситета в Сан‑Диего и Уни­вер­ситета Мэрилен­да обна­ружи­ли, что при­мер­но полови­на ком­муника­ций геос­таци­онар­ных спут­ников переда­ется без какого‑либо шиф­рования. За три года иссле­дова­ний коман­да перех­ватила кон­фиден­циаль­ные дан­ные кор­пораций, пра­витель­ств и мил­лионов обыч­ных поль­зовате­лей, исполь­зуя обо­рудо­вание сто­имостью все­го 800 дол­ларов.

Ко­ман­да наз­вала свое иссле­дова­ние «Не смот­ри вверх», намекая на то, что вла­дель­цы спут­никовых сис­тем полага­лись на прин­цип «безопас­ность через неяс­ность» (security through obscurity), исхо­дя из того, что ник­то не будет ска­ниро­вать спут­ники и наб­людать за ними.

Ис­сле­дова­тели соб­рали сис­тему перех­вата спут­никовых сиг­налов из готовых сво­бод­но дос­тупных ком­понен­тов: спут­никовая антенна за 185 дол­ларов, креп­ление для кры­ши с мотором за 335 дол­ларов и тюнер‑кар­та за 230 дол­ларов. Уста­новив обо­рудо­вание на кры­ше уни­вер­ситет­ско­го зда­ния в Сан‑Диего, они смог­ли перех­ватывать переда­чи геосин­хрон­ных спут­ников, видимых с их позиции. При этом их обо­рудо­вание «видело» лишь око­ло 15% всех спут­никовых ком­муника­ций — в основном над запад­ной частью США и Мек­сикой.

Клю­чевым объ­ектом иссле­дова­ния стал так называ­емый backhaul-тра­фик. В отда­лен­ных реги­онах, где прок­ладка опто­волок­на эко­номи­чес­ки нецеле­сооб­разна, опе­рато­ры уста­нав­лива­ют базовые стан­ции, которые переда­ют дан­ные не по назем­ным каналам, а через спут­никовый аплинк. Сиг­нал от або­нен­та пос­тупа­ет на выш­ку, затем тран­сли­рует­ся на геос­таци­онар­ный спут­ник, который рет­ран­сли­рует его на назем­ную стан­цию опе­рато­ра, под­клю­чен­ную к основной сети. Проб­лема зак­люча­ется в том, что любой, кто находит­ся в зоне пок­рытия (а это могут быть тысячи километ­ров), может при­нять этот сиг­нал, исполь­зуя ана­логич­ную антенну. Если дан­ные не зашиф­рованы, весь тра­фик ока­зыва­ется дос­тупен для перех­вата.

По­лучен­ные спе­циалис­тами резуль­таты ока­зались тре­вож­ными. К при­меру, все­го за девять часов наб­людения иссле­дова­тели перех­ватили телефон­ные номера более 2700 або­нен­тов T-Mobile, а так­же содер­жимое их звон­ков и SMS-сооб­щений. Как уже ска­зано выше, опе­рато­ры неред­ко исполь­зуют спут­никовую связь для переда­чи дан­ных от уда­лен­ных вышек сотовой свя­зи, рас­положен­ных в пус­тынных или гор­ных реги­онах, к основной сети. И эти дан­ные переда­вались в откры­том виде.

Дэйв Левин (Dave Levin), про­фес­сор компь­ютер­ных наук Уни­вер­ситета Мэрилен­да, учас­тво­вав­ший в иссле­дова­нии, рас­ска­зыва­ет:

Ког­да мы уви­дели все это, мой пер­вый воп­рос был: не совер­шили ли мы толь­ко что уго­лов­ное прес­тупле­ние? Не прос­лушива­ем ли мы чужие телефо­ны?

Од­нако на деле коман­да экспер­тов не занима­лась активным перех­ватом каких‑либо ком­муника­ций, а лишь пас­сивно слу­шала то, что улав­ливала их антенна. Левин добав­ляет, что эти сиг­налы «прос­то тран­сли­руют­ся на более чем 40% повер­хнос­ти Зем­ли в любой момент вре­мени».

Уче­ные получи­ли дос­туп не толь­ко к сотовым ком­муника­циям, но и к дан­ным бор­тового Wi-Fi десяти раз­личных ави­аком­паний, вклю­чая исто­рию прос­мотра веб‑стра­ниц пас­сажира­ми и даже аудио тран­сли­руемых им передач. Кро­ме того, были перех­вачены кор­поратив­ные дан­ные мек­сикан­ско­го под­разде­ления Walmart, ком­муника­ции бан­коматов Santander Mexico и дру­гих бан­ков.

Од­нако осо­бую тре­вогу выз­вали перех­вачен­ные воен­ные и пра­витель­ствен­ные ком­муника­ции. Так, иссле­дова­тели получи­ли незашиф­рован­ные дан­ные с аме­рикан­ских воен­ных кораб­лей, вклю­чая их наз­вания. Но еще более серь­езные проб­лемы обна­ружи­лись у мек­сикан­ских воен­ных: уче­ные перех­ватили сооб­щения коман­дных цен­тров, дан­ные сле­жения за воен­ной тех­никой, вклю­чая вер­толеты Ми-17 и UH-60 Black Hawk, информа­цию об их мес­тополо­жении и деталях мис­сий, а так­же раз­ведыва­тель­ные дан­ные, свя­зан­ные с борь­бой с нар­котра­фиком.

Не менее серь­езной ока­залась ситу­ация с кри­тичес­кой инфраструк­турой. Нап­ример, Comisión Federal de Electricidad — мек­сикан­ская государс­твен­ная элек­тро­энер­гетичес­кая ком­пания с 50 мил­лиона­ми кли­ентов — переда­вала все внут­ренние ком­муника­ции откры­тым тек­стом, от рабочих заказов с адре­сами кли­ентов до дан­ных о неис­прав­ностях обо­рудо­вания. Такие же проб­лемы были выяв­лены на мор­ских неф­тегазо­вых плат­формах.

Ру­ково­дитель иссле­дова­ния про­фес­сор Аарон Шуль­ман (Aaron Schulman) пишет:

Это нас прос­то шокиро­вало. Кри­тичес­ки важ­ные эле­мен­ты нашей инфраструк­туры полага­ются на спут­никовую связь, и мы были уве­рены, что все зашиф­ровано. Но раз за разом все ока­зыва­лось откры­тым.

С декаб­ря 2024 года иссле­дова­тели начали пре­дуп­реждать о проб­леме пос­тра­дав­шие ком­пании и ведомс­тва. Пред­ста­вите­ли T-Mobile отре­аги­рова­ли быс­тро, зашиф­ровав переда­чи все­го за нес­коль­ко недель, одна­ко некото­рые вла­дель­цы кри­тичес­кой инфраструк­туры до сих пор не при­няли никаких мер.

Эк­спер­ты ука­зыва­ют, что с уче­том низ­кой сто­имос­ти обо­рудо­вания такой перех­ват дан­ных дос­тупен прак­тичес­ки любому. Более того, раз­ведыва­тель­ные служ­бы круп­ных государств, веро­ятно, годами экс­плу­ати­руют эту уяз­вимость с помощью гораз­до более мощ­ного обо­рудо­вания. Так, еще в 2022 году Агентство наци­ональ­ной безопас­ности США пре­дуп­режда­ло о проб­леме отсутс­твия шиф­рования спут­никовой свя­зи.

По­мимо самой науч­ной работы, иссле­дова­тели опуб­ликова­ли на GitHub опен­сор­сный инс­тру­мен­тарий, который они соз­дали для ана­лиза получен­ных от спут­ников дан­ных, наде­ясь, что широкая пуб­личность проб­лемы наконец под­тол­кнет вла­дель­цев уяз­вимых сис­тем к внед­рению шиф­рования.

В сво­ей работе экспер­ты пре­дуп­режда­ют: учи­тывая, что изу­чено лишь 15% спут­никовых ком­муника­ций, реаль­ный мас­штаб проб­лемы может ока­зать­ся куда серь­езнее.

Дуров о конце свободного интернета

В день его 41-летия Павел Дуров опуб­ликовал в сво­ем Telegram-канале пост, в котором заявил, что не намерен праз­дно­вать. Он пишет, что у его поколе­ния закан­чива­ется вре­мя, что­бы спас­ти сво­бод­ный интернет.

Ос­нователь Telegram перечис­лил анти­уто­пичес­кие меры, которые вво­дят ког­да‑то сво­бод­ные стра­ны: циф­ровые ID в Великоб­ритании, онлайн‑про­вер­ки воз­раста в Авс­тра­лии, мас­совое ска­ниро­вание лич­ных сооб­щений в ЕС. Дуров пишет, что Гер­мания прес­леду­ет тех, кто кри­тику­ет чинов­ников в сети, Бри­тания сажа­ет в тюрь­мы за тви­ты, а Фран­ция воз­бужда­ет уго­лов­ные дела про­тив тех­нологи­чес­ких лидеров, защища­ющих сво­боду и при­ват­ность.

Тем­ный, анти­уто­пич­ный мир приб­лижа­ется быс­тро — пока мы спим. Наше поколе­ние рис­кует вой­ти в исто­рию как пос­леднее, у которо­го были сво­боды — и которое поз­волило их отоб­рать. Нас кор­мили ложью. Нас зас­тавили поверить, что величай­шая бит­ва нашего поколе­ния — унич­тожить все, что оста­вили нам пред­ки: тра­диции, при­ват­ность, сувере­нитет, сво­бод­ный рынок и сво­боду сло­ва. Пре­дав нас­ледие наших пред­ков, мы вста­ли на путь само­унич­тожения — мораль­ного, интеллек­туаль­ного, эко­номи­чес­кого и, в конеч­ном сче­те, биоло­гичес­кого. Поэто­му нет, я не собира­юсь праз­дно­вать сегод­ня. У меня закан­чива­ется вре­мя. У нас закан­чива­ется вре­мя.

 

Атака Mic-E-Mouse

Ис­сле­дова­тели из Калифор­ний­ско­го уни­вер­ситета в Ирвай­не пред­ста­вили ата­ку Mic-E-Mouse. Спе­циалис­ты де­монс­три­руют, как опти­чес­кие сен­соры с высоким DPI в сов­ремен­ных мышах улав­лива­ют малей­шие виб­рации повер­хнос­ти, что поз­воля­ет с высокой точ­ностью вос­ста­новить про­изне­сен­ные рядом с гад­жетом сло­ва.

Ата­ка осно­вана на работе свер­хчувс­тви­тель­ных опти­чес­ких сен­соров, при­меня­емых в сов­ремен­ных игро­вых и про­фес­сиональ­ных устрой­ствах. Такие сен­соры, отсле­жива­ющие дви­жения с высокой точ­ностью (20 000 DPI и выше), дос­таточ­но чувс­тви­тель­ны, что­бы фик­сировать малей­шие виб­рации, выз­ванные зву­ковы­ми вол­нами, про­ходя­щими через повер­хность сто­ла.

То есть, ког­да рядом раз­говари­вает человек, повер­хность сто­ла слег­ка виб­риру­ет, и сен­сор мыши улав­лива­ет эти мик­роколе­бания. Иссле­дова­тели рас­ска­зали, что эту осо­бен­ность мож­но прев­ратить в side-channel-ата­ку.

В сво­ем док­ладе экспер­ты опи­сыва­ют про­цесс, поз­воля­ющий прев­ратить необ­работан­ные и на пер­вый взгляд хаотич­ные дан­ные о дви­жении мыши в понят­ные ауди­осиг­налы. Хотя исходные дан­ные в ходе такой ата­ки получа­ются спу­тан­ными и непол­ными, иссле­дова­тели раз­работа­ли мно­гос­тупен­чатый пай­плайн, осно­ван­ный на методах циф­ровой обра­бот­ки сиг­налов и машин­ного обу­чения, который отфиль­тро­выва­ет шумы и вос­ста­нав­лива­ет речь.

Так, необ­работан­ные дан­ные про­ходят циф­ровую обра­бот­ку с исполь­зовани­ем филь­тра Винера, а затем дан­ные допол­нитель­но очи­щают­ся с помощью ней­рон­ной модели, что поз­воля­ет получить прак­тичес­ки чис­тый звук.

Во вре­мя тес­тирова­ния ата­ки спе­циалис­там уда­лось повысить качес­тво сиг­нала до +19 дБ, а точ­ность рас­позна­вания речи сос­тавила от 42% до 61% на стан­дар­тных датасе­тах.

При этом для ата­ки Mic-E-Mouse не тре­бует­ся мал­варь или глу­бокий дос­туп к сис­теме. Дос­таточ­но получить дан­ные пакетов мыши, а это мож­но осу­щес­твить даже через обыч­ные при­ложе­ния вро­де виде­оигр или гра­фичес­ких редак­торов, которые тре­буют высокос­корос­тной переда­чи дан­ных от мыши.

Про­цесс сбо­ра информа­ции пол­ностью незаме­тен для поль­зовате­ля, пос­коль­ку здесь исполь­зует­ся стан­дар­тная телемет­рия, а реконс­трук­ция зву­ка выпол­няет­ся на сто­роне ата­кующе­го.

Ис­поль­зуя лишь уяз­вимую мышь и компь­ютер жер­твы, на котором уста­нов­лено ском­про­мети­рован­ное или даже без­вред­ное ПО (в слу­чае веб‑ата­ки), мож­но собирать дан­ные о пакетах мыши, а затем извле­кать из них ауди­осиг­налы.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии