Содержание статьи
Замедление Telegram в России
В феврале Роскомнадзор перешел к активному замедлению Telegram. Пользователи по всей стране столкнулись с проблемами при загрузке фото, видео и голосовых сообщений, а сервисы мониторинга зафиксировали свыше 10 тысяч жалоб за сутки.
10 февраля представители РКН официально подтвердили, что вводят «последовательные ограничения» против мессенджера. По словам представителей ведомства, администрация Telegram продолжает игнорировать российское законодательство и не принимает реальных мер для противодействия мошенничеству и использованию его в преступных и террористических целях, а также не обеспечивает защиту персональных данных:
В связи с этим по решению уполномоченных органов Роскомнадзор продолжит введение последовательных ограничений с целью добиться исполнения российского законодательства и обеспечить защиту граждан.
Параллельно из Национальной системы доменных имен исчезли записи для WhatsApp, Facebook, Instagram (принадлежат компании Meta, деятельность которой признана экстремистской и запрещена в РФ), YouTube и Tor Project. По информации СМИ, причина может быть технической: оборудование ТСПУ (технические средства противодействия угрозам) работает на пределе мощностей и не может одновременно замедлять несколько крупных сервисов.
18 февраля глава Минцифры Максут Шадаев на заседании комитета Госдумы заявил, что у правоохранительных органов есть «прямые подтверждения» доступа иностранных спецслужб к переписке в Telegram и проблема приобрела «систематический характер»:
У нас есть прямые подтверждения со стороны правоохранительных органов, что, к сожалению, если в начале СВО Telegram рассматривался как достаточно анонимный сервис, им пользовались наши военные, то сейчас много фактов, которые подтверждены нашими органами, о том, что доступ к перепискам в Telegram имеют иностранные спецслужбы, — рассказал глава Минцифры. — Если раньше это все‑таки носило эпизодический характер, то сейчас это носит уже систематический характер.
Кроме того, администрация мессенджера, по словам Шадаева, проигнорировала около 150 тысяч запросов об удалении запрещенного контента (в том числе 1500 каналов с CSAM, 4000 фишинговых ботов, 18 тысяч материалов нацистской тематики и более 100 тысяч требований, связанных с дискредитацией вооруженных сил).
На вопрос о дальнейших планах Шадаев ответил: «Сначала штрафы, потом голосовые, потом замедление, дальше я не могу сказать». Он уточнил, что основная функциональность пока доступна — замедляется только загрузка больших файлов, а в зоне СВО работу мессенджера пока решили не ограничивать.
Представители Telegram назвали заявления о взломе шифрования мессенджера «преднамеренной фальсификацией, призванной оправдать запрет и принуждение граждан к использованию контролируемой государством платформы для обмена сообщениями».
Основатель мессенджера Павел Дуров высказался о замедлении Telegram дважды. Сначала он заявил, что Россия пытается заставить граждан перейти на «приложение, созданное для слежки и политической цензуры», и напомнил о провале аналогичной стратегии в Иране.
Позже Дуров разобрал аргумент о «китайском пути» с WeChat. По его словам, ни один успешный национальный мессенджер (ни WeChat, ни KakaoTalk, ни LINE) не стал лидером благодаря блокировке конкурентов, все победили в свободной рыночной конкуренции. Дуров писал:
Конкуренция — движущая сила инноваций. Ее устранение лишь снизит качество жизни и безопасность общения людей.
Также Дуров пообещал придерживаться принципов свободы слова и защиты конфиденциальности пользователей, «невзирая на любое давление».
Напомним, что ограничения работы мессенджеров начались еще в августе 2025 года с блокировки голосовых звонков в WhatsApp и Telegram. В октябре РКН перешел к частичному ограничению работы сервисов, а в ноябре предупредил о возможной полной блокировке WhatsApp.
4,7 миллиона сайтов с противоправным контентом заблокировал РКН
- Роскомнадзор ограничил доступ или добился удаления контента для более чем 4,7 миллиона сайтов. Мониторинг охватывает свыше 30 видов запрещенной информации, сообщила руководитель профильного управления ведомства Татьяна Денискина на круглом столе в Мосгордуме.
- Среди заблокированных материалов — более 641 тысячи связанных с детской порнографией, свыше 858 тысяч — с пропагандой наркотиков и более 255 тысяч — с пропагандой нетрадиционных сексуальных отношений.
- Владельцев иностранных соцсетей оштрафовали в общей сложности на 77 миллионов рублей за неисполнение обязанностей по самомодерации и еще на 48 миллионов рублей — за невыполнение предписаний регулятора.
Взлом механизма обновлений Notepad++
Еще в конце 2025 года пользователи заметили, что система обновлений Notepad++ раздает малварь вместо легитимных обновлений. Вредонос выполнял классическую разведку — собирал информацию о системе через netstat, systeminfo, tasklist и whoami, а результаты передавал на temp[.]sh с помощью curl.
Уже тогда ИБ‑специалист Кевин Бомонт (Kevin Beaumont) предупреждал, что ему известно минимум о трех пострадавших организациях, и все они имели бизнес‑интересы в Восточной Азии.
2 февраля разработчик Notepad++ Дон Хо (Don Ho) обнародовал результаты проведенного расследования. Оказалось, что атака началась еще в июне 2025 года и осуществлялась через компрометацию инфраструктуры хостинг‑провайдера сайта notepad-plus-plus.org: злоумышленники перехватывали и выборочно перенаправляли трафик обновлений на свои серверы.
После планового обслуживания 2 сентября атакующие потеряли доступ к самому серверу, но сохраняли контроль над внутренними сервисами провайдера вплоть до 2 декабря, продолжая подменять обновления. Как писал Хо, сразу несколько независимых экспертов связали эту атаку с некой китайской «правительственной» хакерской группировкой:
Я приношу глубокие извинения всем пользователям, пострадавшим от этого взлома. Благодаря внесенным изменениям и усилению защиты, я считаю, ситуация полностью решена. Скрестим пальцы.
Позднее специалисты Rapid7 и «Лаборатории Касперского» опубликовали подробные отчеты и сообщили, что за кампанией стоит хакгруппа Lotus Blossom (она же Lotus Panda, Billbug) — китайская APT, специализирующаяся на кибершпионаже против госструктур, телекомов и критической инфраструктуры в Юго‑Восточной Азии и Центральной Америке.
Исследователи выяснили, что масштаб компрометации был шире, чем предполагалось. В частности, аналитики «Лаборатории Касперского» обнаружили еще две цепочки заражения, активные с июля по сентябрь 2025 года, — атакующие ежемесячно полностью меняли инфраструктуру (IP-адреса, домены, файлы). Целями оказались ИТ‑поставщики, госучреждения и финансовые организации в Австралии, Латинской Америке и Юго‑Восточной Азии.
В Rapid7, в свою очередь, описали ранее неизвестный бэкдор Chrysalis, который доставлялся через троянизированный NSIS-установщик. Для загрузки малвари использовался DLL sideloading через переименованную легитимную утилиту Bitdefender Submission Wizard — прием, характерный именно для Lotus Blossom.
Бэкдор предоставлял атакующим интерактивный шелл, мог создавать процессы, выполнять файловые операции и загружать/скачивать файлы. Среди примечательных особенностей — кастомное хеширование API, множественные уровни обфускации и использование Microsoft Warbird, недокументированного внутреннего фреймворка Microsoft.
Для защиты Дон Хо рекомендовал всем пользователям вручную установить версию 8.9.1, которая уже включает проверку сертификата и подписи загружаемого установщика.
4% коммитов на GitHub пишет Claude Code
- По данным специалистов компании SemiAnalysis, 4% публичных коммитов на GitHub сейчас создаются с помощью Claude Code. Аналитики прогнозируют, что к концу 2026 года этот показатель превысит 20%.
- Исследователи отмечают, что, по данным METR, горизонт автономной работы ИИ‑агентов удваивается каждые 4–7 месяцев. Если на отметке в 30 мин агент дописывает код, то на 4,8 ч — рефакторит целый модуль, а при многодневных задачах способен автоматизировать полноценный аудит.
- При этом подчеркивается, что стоимость ИИ‑инструментов снижается: подписка Claude Pro или ChatGPT стоит 20 долларов США в месяц, тогда как средний американский специалист обходится работодателю в 350–500 долларов США в день.
Бумажные фишинговые письма
Обнаружена необычная фишинговая кампания, нацеленная на пользователей аппаратных криптовалютных кошельков Trezor и Ledger. Вместо традиционных электронных писем злоумышленники рассылают бумажные письма на официальных бланках, стремясь завладеть seed-фразами и похитить средства жертв.
Письма выглядят как официальные уведомления от отделов безопасности Trezor и Ledger. В них говорится о якобы новой обязательной процедуре — проверке аутентификации или проверке транзакций. Получателям предлагают отсканировать QR-код и пройти верификацию на специальном сайте до определенной даты, иначе они потеряют доступ к функциям своего кошелька.
Одним из получателей таких писем стал ИБ‑эксперт Дмитрий Смилянец, который и рассказал о новой уловке мошенников. В письме, которое Смилянец получил от лица компании Trezor, утверждалось, что пользователю необходимо завершить процесс проверки до 15 февраля 2026 года.
Как сообщали другие пользователи, аналогичные послания, написанные от лица представителей Ledger, содержали дату 15 октября 2025 года. Оба письма создавали искусственное чувство срочности, подталкивая жертв к немедленным действиям.
QR-коды из писем ведут на вредоносные сайты, имитирующие официальные страницы настройки Trezor и Ledger. На момент проведения расследования один из фишинговых доменов уже был заблокирован, но сайт — двойник Trezor оставался активным.
Мошенническая схема проста и строится на психологическом давлении. Поддельные страницы предупреждают о возможных серьезных последствиях: ограничении доступа к кошельку, ошибках при подписании транзакций, проблемах с обновлениями. На финальном этапе от пользователей требуют ввести seed-фразу, состоящую из 12, 20 или 24 слов. Якобы это необходимо для подтверждения владения устройством. Объяснение на фишинговом сайте гласило:
Завершите настройку проверки аутентификации до 15 февраля 2026 года, только если вы не приобрели Trezor Safe 7, Trezor Safe 5, Trezor Safe 3 или Trezor Safe 1 после 30 ноября 2025 года. После указанной даты устройство уже предварительно настроено, и никаких действий не требуется.
После ввода данных они немедленно попадают в руки атакующих через API-интерфейс. Узнав seed-фразу, мошенники получают полный контроль над всеми средствами жертвы.
Стоит отметить, что это не первый случай, когда атакующие переходят в офлайн. К примеру, в 2021 году злоумышленники вообще рассылали потенциальным жертвам модифицированные устройства Ledger, которые воровали данные во время первичной настройки. А весной 2025 года пользователи аппаратных кошельков уже сообщали о получении фальшивых бумажных писем, якобы написанных представителями Ledger.
Специалисты напоминают: производители аппаратных кошельков никогда и ни при каких обстоятельствах не запрашивают у пользователей seed-фразы. Вводить их можно только непосредственно на самом устройстве при восстановлении доступа, но ни в коем случае не на компьютере, смартфоне или каком‑то сайте.
Тим Бернерс-Ли об интернете
Создатель World Wide Web Тим Бернерс‑Ли (Tim Berners-Lee) дал интервью The Guardian. Изобретатель веба признался, что разочарован тем, во что превратилось его детище: соцсети вроде X, Snapchat и YouTube манипулируют вовлеченностью, вызывают зависимость и распространяют дезинформацию. Бернерс‑Ли назвал свою миссию «битвой за душу веба» и заявил, что еще не поздно все исправить:
Это лишь небольшая часть всего интернета, но проблема в том, что люди проводят на этих сайтах очень много времени, потому что они вызывают зависимость. [Эта часть веба] оптимизирована для злобы.
Раньше существовала мантра, что технологии нейтральны, а люди бывают хорошими и плохими. На самом деле это неправда применительно к вебу. То, как вы проектируете сайт — будь то Reddit, Pinterest или Snapchat, — может быть явным благом. Или, если приоритетом становится вовлеченность, его алгоритм может быть явным злом.
Мы можем починить интернет. Еще не поздно.
Хакеры копируют Gemini
Команда Google Threat Intelligence Group (GTIG) опубликовала отчет о масштабных злоупотреблениях большой языковой моделью Gemini. По данным компании, злоумышленники используют ИИ на всех этапах своих атак — от разведки до эксфильтрации данных. Более того, отдельные группы пытаются клонировать саму модель с помощью дистилляции.
Аналитики зафиксировали даже попытки извлечения знаний из Gemini через массовые запросы. В одном из случаев атакующие отправили модели более 100 тысяч промптов на разных языках, собирая ответы для обучения собственной, более дешевой копии модели, воспроизводящей процессы принятия решений для имитации функциональности.
Такая практика называется дистилляцией и представляет собой серьезную коммерческую и конкурентную проблему защиты интеллектуальной собственности. Принцип прост: вместо того чтобы тратить миллиарды долларов и годы на обучение собственной LLM, злоумышленники пытаются использовать уже существующую модель как шорткат. Атакующие засыпают Gemini тысячами тщательно подобранных промптов, собирают все ответы, а затем используют полученные данные для тренировки меньшей и более дешевой модели.
Также специалисты GTIG отметили, что «правительственные» хакгруппы из Китая (APT31, Temp.HEX), Ирана (APT42), Северной Кореи (UNC2970) и России активно используют Gemini для поддержки всех стадий своих атак — от разведки и создания фишинговых приманок до разработки управляющей инфраструктуры и кражи данных.
К примеру, китайские хакеры притворялись ИБ‑экспертом, чтобы попросить Gemini автоматизировать анализ уязвимостей и предоставить планы тестирования в рамках вымышленного сценария. Другая группировка тестировала инструментарий Hexstrike MCP и просила модель анализировать удаленное выполнение кода, техники обхода WAF и результаты SQL-инъекций против конкретных американских целей.
В свою очередь, иранская APT42 использовала LLM для социальной инженерии, а также как платформу для ускорения создания кастомных вредоносных инструментов — от отладки до генерации кода и изучения техник эксплуатации.
Также аналитики зафиксировали использование ИИ для внедрения новых возможностей в существующие семейства малвари, включая фишинг‑кит CoinBait и загрузчик малвари HonestCue.
CoinBait представляет собой фишинговый набор, обернутый в SPA на React и маскирующийся под криптовалютный обменник для сбора учетных данных. Артефакты в коде указывают на то, что его разработка велась с использованием ИИ. К примеру, одним из признаков использования LLM служат сообщения с префиксом «Analytics:».
Исследователи полагают, что эта малварь была создана с применением платформы Lovable AI, поскольку разработчик использовал клиент Lovable Supabase и приложение lovable.app.
Загрузчик HonestCue, в свою очередь, представляет собой PoC-фреймворк, который с помощью Gemini API генерирует код на C# для второй стадии малвари, а затем компилирует и исполняет пейлоады в памяти.
Специалисты Google подчеркивают, что уже заблокировали аккаунты и инфраструктуру всех обнаруженных злоумышленников, а также внедрили новые защитные меры, чтобы усложнить подобные атаки в будущем.
675 тысяч ИТ-преступлений зарегистрировали в России за 2025 год
- По данным Генпрокуратуры РФ, в 2025 году в России зарегистрировали 675 тысяч ИТ‑преступлений — на 11,8% меньше, чем годом ранее. ИТ‑преступления составляют 38% в общей структуре преступности.
- Раскрываемость тоже улучшилась: число нераскрытых дел снизилось на 13,5%, до 494 тысяч.
- Половину всех ИТ‑преступлений составляют кибермошенничества — 350 тысяч за 2025 год. При этом около 85% от общего числа мошенничеств в стране приходится именно на киберпреступления.
Атака на телекомы Сингапура
Агентство кибербезопасности Сингапура (CSA) сообщило, что прошлый год оказался тяжелым для телекоммуникационного сектора страны. Выяснилось, что китайская хакгруппа UNC3886 проникла в сети всех четырех крупнейших операторов связи Сингапура: Singtel, StarHub, M1 и Simba.
Обнаружив атаку, власти запустили масштабную операцию Cyber Guardian, чтобы остановить злоумышленников и очистить инфраструктуру. Операция длилась 11 месяцев и стала крупнейшей в истории страны. В ней были задействованы более 100 специалистов из шести правительственных ведомств, силовых структур и разведки.
По официальным данным, атакующие проникли в системы операторов связи еще в начале 2025 года. Первые сигналы о странной активности власти получили летом, когда сами телекомы начали докладывать о подозрительных событиях в своих сетях. С этого момента началась долгая и скрытная борьба с хакерами без остановки критических сервисов.
Сообщается, что UNC3886 использовала комбинацию неназванных 0-day-уязвимостей и кастомных руткитов для скрытного проникновения в сети и сохранения своих позиций. В CSA подчеркивают, что атака была хирургически точной и тщательно спланированной. Группировка продуманно выбирала цели, обходила защиту и закреплялась в наиболее важных участках инфраструктуры.
Хотя власти не раскрывают подробности об использованных хакерами уязвимостях, ранее ИБ‑специалисты Mandiant отмечали, что UNC3886 эксплуатировала проблемы нулевого дня в файрволах FortiGate (CVE-2022-41328), VMware ESXi (CVE-2023-20867) и VMware vCenter Server (CVE-2023-34048).
При этом сингапурские власти заявляют, что хакеры не сумели получить доступ к пользовательским данным. Хотя группа закрепилась в сетях телекомов, украденная информация ограничилась топологией сетей, конфигурациями и другой информацией, полезной в рамках долгосрочной разведки.
Никаких нарушений в работе сервисов не было зафиксировано. Министр цифрового развития и информации Жозефин Тео (Josephine Teo) подчеркнула, что Сингапур избежал катастрофических последствий, к которым обычно приводят подобные атаки.
В конце 2024 года стало известно о похожей операции китайской группировки Salt Typhoon, в рамках которой хакеры скомпрометировали инфраструктуру нескольких американских телекомов и получили доступ к системам законного прослушивания. После этого ФБР предложило награду в размере до 10 миллионов долларов США за информацию об участниках хакгруппы.
1,5 миллиона хищений со счетов зафиксировали в России за 2025 год
- Как сообщило издание «Коммерсант», по данным Банка России, в 2025 году количество хищений со счетов впервые превысило 1,5 миллиона операций. Общий объем украденного вырос по сравнению с 2024 годом на 1,8 миллиарда рублей.
- Мошенники смещают фокус с карт на дистанционное банковское обслуживание (ДБО) и систему быстрых платежей (СБП). Объем хищений по картам снизился на 1,5 миллиарда рублей, зато через ДБО вырос на 1 миллиард рублей, через СБП — на 1,7 миллиарда рублей, а в электронных кошельках — на 70% (до 170 миллионов рублей).
- Средний размер хищения снизился с 23 тысяч до 18,7 тысячи рублей — минимум за всю историю наблюдений. Частично это объясняется запуском обязательного сервиса для пострадавших в мобильных приложениях банков (с 1 октября 2025 года): заявлять о мелких хищениях стало проще.
- Эксперты связывают рост хищений через ДБО и СБП с эволюцией мошеннических схем. Карточный антифрод стал значительно жестче, а переводы через мобильное приложение или СБП клиент подтверждает сам — технически операция выглядит легитимной.
Кампания VK Styles
Эксперты компании Koi Security обнаружили, что около 500 тысяч пользователей «Вконтакте» стали жертвами атаки через вредоносные расширения для Chrome. В общей сложности исследователи выявили пять опасных расширений, замаскированных под инструменты кастомизации VK. Самое популярное из них, VK Styles, насчитывало свыше 400 тысяч загрузок.
Кампания длилась около семи месяцев и затронула в основном русскоязычных пользователей из стран Восточной Европы, Центральной Азии и русскоязычных диаспор по всему миру.
На первый взгляд расширения выглядели безобидно и якобы содержали кастомные темы оформления и дополнительные функции для «Вконтакте». Однако система оценки рисков Koi Security обнаружила, что расширение для Chrome внедряло скрипты контекстной рекламы «Яндекса» на каждую страницу, открываемую пользователем. Дальнейшее расследование обнаружило странность в коде расширения — ID метрики «Яндекса» вычислялся динамически (по формуле R-A- + 843 079 ⋅ 2), чтобы обойти статический анализ.
Исследователи установили, что за этой кампанией стоял злоумышленник под ником 2vk, использовавший инфраструктуру VK для управления малварью. Так, вредонос загружал код из метаданных профиля vk[.]com/m0nda, который работал как замаскированный управляющий сервер: в HTML-метатегах были закодированы ссылки на GitHub и «Яндекс», откуда скачивалась основная полезная нагрузка — обфусцированный JavaScript, внедрявшийся на каждую страницу VK.
Анализ 17 коммитов на GitHub 2vk (с июня 2025-го по январь 2026 года) показал постоянную эволюцию малвари: от манипуляции CSRF-cookie до автоподписки на группы, сброса настроек и отслеживания донатов через VK Donut API.
Специалисты подчеркивают, что это не наспех написанный вредонос, а полноценный поддерживаемый проект с контролем версий и итеративными доработками.
C вероятностью 75% при каждом визите в VK малварь подписывала жертву на группу VK Styles (1,4 миллиона участников), создавая видимость популярности, — друзья пострадавших видели подписку и тоже начинали доверять расширению. Даже после отписки сохранялся 75%-й шанс повторной подписки.
Кроме того, каждые 30 дней вредонос сбрасывал настройки профиля жертвы, а также внедрял скрипты контекстной рекламы «Яндекса» на все страницы, при этом ID метрики вычислялся динамически, чтобы обойти статический анализ.
Отдельно исследователи отмечают, что малварь манипулировала CSRF-токенами VK (remixsec_redir), что потенциально позволяло обходить защиту и выполнять действия от имени пользователя, которые выглядели легитимными для систем безопасности.
Сама по себе кампания VK Styles оказалась относительно безобидной — никаких украденных паролей или похищенных данных, только темные паттерны, манипуляции аккаунтами и принудительные подписки. Однако эксперты предупреждают, что следующая полезная нагрузка, распространяемая аналогичным способом, может оказаться куда серьезнее.
Мейнтейнеры Godot об ИИ-слопе
Реми Вершельде (Rémi Verschelde), мейнтейнер опенсорсного игрового движка Godot, пожаловался на поток сгенерированных ИИ пул‑реквестов. По его словам, рецензентам приходится по несколько раз в день разбираться, написан ли код хотя бы частично человеком, понимает ли автор, что он отправляет, и не сфабрикованы ли результаты тестов. Сейчас в очереди Godot на GitHub скопилось более 4600 открытых пул‑реквестов. Вершельде отметил:
ИИ‑слоп в пул‑реквестах становится все более изматывающим и деморализующим для мейнтейнеров Godot. Мы гордимся тем, что открыты для новых контрибьюторов и предоставляем любому пользователю движка возможность внести свой вклад в его развитие. Но мейнтейнеры уделяют очень много времени помощи новым участникам в подготовке пул‑реквестов, и я не знаю, как долго мы сможем это выдерживать.
Предустановленная малварь Keenadu
Эксперты «Лаборатории Касперского» обнаружили новый Android-бэкдор Keenadu, который проникает на устройства сразу несколькими путями: через зараженные прошивки, системные приложения и официальный магазин Google Play. В компании предупредили, что пользователи рискуют купить уже зараженные «из коробки» гаджеты.
По состоянию на февраль 2026 года решения компании зафиксировали более 13 тысяч атакованных Keenadu устройств. Больше всего пострадавших находятся в России, Японии, Германии, Бразилии и Нидерландах.
Схема встраивания бэкдора в прошивку выглядит следующим образом: вредоносная статическая библиотека libVndxUtils.a линкуется с libandroid_runtime.so и заражает процесс Zygote — родительский для всех приложений в системе. Копия бэкдора оказывается в адресном пространстве каждого запущенного приложения, что делает изоляцию приложений друг от друга бессмысленной.
Исследователи отследили путь заражения на примере планшетов Alldocube, а именно модели Alldocube iPlay 50 mini Pro (T811M). Выяснилось, что вредоносная зависимость попала в репозиторий с исходным кодом прошивки еще на этапе сборки. Подчеркивается, что зараженные прошивки имели действительную подпись, а все последующие обновления для пострадавших моделей также были заражены (в том числе выпущенные уже после того, как вендор публично признал проблему).
Keenadu встречается и в устройствах других производителей, и, по заключению исследователей, речь идет об атаке на цепочку поставок: скомпрометированная зависимость попала в исходники прошивки, и производители, вероятно, даже не подозревали о заражении.
Стоит отметить, что при этом Keenadu не активируется, если язык или часовой пояс устройства жертвы связаны с Китаем.
Архитектура Keenadu построена по клиент‑серверной модели: серверная часть (AKServer) работает в привилегированном процессе system_server, клиентская (AKClient) встраивается во все остальные приложения. Это дает операторам малвари практически неограниченный контроль над устройством: они могут выдавать и отзывать разрешения у любого приложения, получать данные геолокации, IMEI, MAC-адрес и прочую информацию об устройстве.
Отмечается, что в новых версиях Android доставка APK реализована через установочные сессии. Вероятно, таким образом малварь пытается обойти ограничения, введенные в последних версиях ОС: приложения из сторонних источников не могут получить доступ к опасным разрешениям, в частности к «специальным возможностям».
По словам специалистов, бэкдор применяется для реализации нескольких криминальных схем. Основная — рекламное мошенничество путем скрытого взаимодействия с рекламными элементами и монетизации установок приложений (путем имитации переходов из рекламы).
Кроме того, отдельный модуль для Chrome перехватывает поисковые запросы пользователя (включая набранные в режиме инкогнито) и может подменять поисковик.
Отдельный загрузчик нацелен на приложения Amazon, SHEIN и Temu и, согласно жалобам пользователей, может без ведома владельца устройства добавлять товары в корзины.
Особого внимания заслуживает случай, когда Keenadu был найден внутри системного приложения для распознавания лиц. Теоретически это давало злоумышленникам доступ к биометрическим данным жертв.
Помимо этого, в ряде прошивок бэкдор был встроен не в libandroid_runtime.so, а в отдельные системные приложения. Также вредонос был найден как в некоторых неофициальных источниках, так и в магазинах Google Play и Xiaomi GetApps.
В официальном магазине Google Play нашли сразу несколько зараженных малварью приложений для умных камер, общее количество загрузок которых превышало 300 тысяч. В настоящее время они уже удалены.
Также сообщается, что в ходе исследования удалось установить связь Keenadu с другими крупными Android-ботнетами: Triada, BADBOX и Vo1d. К примеру, выяснилось, что BADBOX скачивал один из модулей Keenadu, а код обоих вредоносов имеет заметные сходства (хотя различий тоже немало). Из‑за этого исследователи предполагают, что авторы Keenadu вдохновлялись исходниками BADBOX.
Дмитрий Калинин, старший эксперт по кибербезопасности «Лаборатории Касперского», комментирует:
Предустановленное вредоносное ПО — проблема, которая остается актуальной для множества Android-устройств. Ничего не подозревающие пользователи могут случайно приобрести уже зараженные гаджеты. Поэтому, чтобы обезопасить свои устройства и данные, необходимо устанавливать защитные программы, способные обнаруживать вредоносное ПО. Мы предполагаем, что производители не знали о компрометации цепочки поставок, в результате которой Keenadu проник на устройства, поскольку зловред имитировал легитимные компоненты системы. В свете таких угроз важно, чтобы производители тщательно контролировали каждый этап производства устройств и проверяли, что прошивка не заражена.
Удалить Keenadu штатными средствами Android невозможно: в современных версиях ОС системный раздел, где находится libandroid_runtime.so, смонтирован в режиме «только для чтения». Единственный вариант — найти и установить чистую прошивку от производителя (если таковая существует) или перепрошить устройство самостоятельно. До замены прошивки в компании рекомендуют вовсе отказаться от использования зараженных устройств.
30 лет тюрьмы получил владелец даркнет-маркетплейса Incognito
- Суд в Нью‑Йорке приговорил 24-летнего тайваньца Руй‑Сяна Линя (Rui-Siang Lin) к 30 годам лишения свободы за управление Incognito — одной из крупнейших площадок по торговле наркотиками в даркнете. Судья назвала это дело самым серьезным наркопреступлением за 27 лет своей карьеры.
- Маркетплейс работал с октября 2020-го по март 2024 года. За это время через него продали более тонны наркотиков и обработали свыше 640 тысяч транзакций для 400 тысяч покупателей и 1,8 тысячи продавцов. Общая выручка площадки превысила 83,6 миллиона долларов США.
- Суд также обязал конфисковать у Лина 105 045 109 долларов США и назначил пять лет надзора после освобождения.
RCE-уязвимость в «Блокноте»
Разработчики Microsoft исправили уязвимость в «Блокноте» (Notepad) для Windows 11. Проблема позволяла запускать локальные или удаленные файлы через Markdown-ссылки, что могло привести к удаленному выполнению кода.
С выходом Windows 11 компания Microsoft решила упразднить WordPad и серьезно переработала классический «Блокнот», превратив его из простого текстового редактора в инструмент с поддержкой форматирования и Markdown. Теперь «Блокнот» умеет открывать и редактировать файлы в формате .md, а Markdown-ссылки в нем становятся кликабельными.
Именно эта функциональность и стала вектором атаки. В рамках февральского «вторника обновлений» Microsoft раскрыла информацию об уязвимости CVE-2026-20841.
В бюллетене безопасности Microsoft сообщается:
Некорректная нейтрализация специальных элементов, используемых в командах, в приложении Windows Notepad позволяет неавторизованному злоумышленнику удаленно выполнить код.
По словам разработчиков, для эксплуатации бага достаточно обманом заставить пользователя кликнуть по вредоносной ссылке в Markdown-файле, открытом в «Блокноте»:
Вредоносный код выполняется в контексте прав текущего пользователя, открывшего Markdown-файл, и дает атакующему те же привилегии, что у этого пользователя.
«Блокнот» в Windows 11 обновляется через Microsoft Store, так что патч распространится автоматически и уязвимость вряд ли успеет нанести серьезный ущерб.
Публикация информации об этой проблеме привлекла внимание ИБ‑сообщества. Исследователи разобрались в механизме эксплуатации бага и выяснили, что достаточно создать файл .md со ссылками вида file://, указывающими на исполняемые файлы, или использовать специальные URI вроде ms-appinstaller://.
Если пользователь открывал такой файл в «Блокноте» версии 11.2510 или более ранней, переключался в режим Markdown и кликал по ссылке, указанная программа запускалась без какого‑либо предупреждения со стороны Windows. Более того, ссылки могли указывать на файлы в удаленных SMB-шарах, что расширяло возможности для атаки.
Microsoft исправила проблему, добавив диалог подтверждения для любых ссылок, использующих протоколы, отличные от http:// и https://. Теперь при клике на ссылки с URI-схемами file:, ms-settings:, ms-appinstaller:, mailto: и другими «Блокнот» будет отображать предупреждение.
Однако теперь специалисты задаются вопросом, почему Microsoft изначально не ограничила набор допустимых протоколов. Ведь злоумышленник по‑прежнему может убедить пользователя нажать «Да» в новом диалоговом окне с помощью социальной инженерии.
27 бит энтропии — надежность паролей, сгенерированных LLM
- Специалисты компании Irregular 50 раз попросили ChatGPT, Claude и Gemini сгенерировать пароль из 16 символов с заглавными и строчными буквами, цифрами и спецсимволами.
- Из 50 паролей, созданных Claude, только 30 были уникальными — 20 дублировались и 18 из них оказались одной и той же строкой.
- У всех трех моделей обнаружились характерные паттерны: совпадающие начальные и конечные символы, предсказуемые последовательности.
- По формуле Шеннона реальная энтропия LLM-паролей составила около 27 бит (по символьной статистике) и около 20 бит (по логарифмическим вероятностям). Тогда как по‑настоящему случайный пароль той же длины дает 98–120 бит. На практике это означает, что пароль от ИИ можно взломать за несколько часов даже на старом железе.
- Исследователи подчеркивают: проблему нельзя решить «правильным промптом» — LLM по природе оптимизированы на предсказуемость, а не на случайность. Для генерации паролей рекомендуют использовать специализированные инструменты.
ИИ-скандал в HackerOne
Багбаунти‑платформа HackerOne оказалась в центре скандала: исследователи заподозрили, что компания может использовать их отчеты об уязвимостях для обучения ИИ‑моделей. В итоге отвечать специалистам пришлось CEO компании Каре Спраг (Kara Sprague).
Поводом для случившегося послужила запущенная в прошлом месяце платформа Agentic PTaaS — новый продукт HackerOne, который компания описывает как «непрерывную проверку безопасности с автономными ИИ‑агентами и человеческой экспертизой». В описании отдельно подчеркивалось, что агенты «проходят обучение и совершенствуются на проприетарной базе знаний об эксплоитах, накопленной HackerOne за годы тестирования реальных корпоративных систем».
В итоге багхантеры задались очевидным вопросом: откуда взялись эти данные для обучения? Бывший исследователь под ником YShahinzadeh писал:
Как бывший багхантер на H1, надеюсь, что вы не использовали мои репорты для обучения ваших ИИ‑агентов.
Другой специалист под ником AegisTrail сформулировал свое мнение еще мрачнее:
Когда white hat’ы чувствуют, что правовая система работает против них, привлекательность темной стороны становится вопросом злости и выживания, а не этики.
На ситуацию была вынуждена отреагировать CEO HackerOne Кара Спраг, которая дала развернутый комментарий о ситуации через LinkedIn. Глава компании заявила:
HackerOne не обучает генеративные ИИ‑модели — ни внутри компании, ни через сторонних провайдеров — на отчетах исследователей или конфиденциальных данных клиентов.
Также она подчеркнула, что отчеты специалистов не используются для тонкой настройки и иного улучшения моделей, а сторонним поставщикам моделей прямо запрещено «хранить или использовать данные исследователей или клиентов для обучения собственных моделей».
По словам Спраг, агентная ИИ‑система HackerOne Hai создана «для ускорения получения результатов, таких как верифицированные отчеты, исправления ошибок и выплаченные вознаграждения, при сохранении целостности и конфиденциальности вклада исследователей».
Скандал подтолкнул к публичным заявлениям и конкурентов HackerOne. Так, основатель и глава компании Intigriti Стейн Янс (Stijn Jans) сообщил, что хочет четко обозначить позицию компании, и заверил исследователей: «Ваша работа принадлежит вам». По его словам, компания использует ИИ только для взаимной выгоды исследователей и заказчиков, чтобы усилить человеческую креативность и обеспечить более быструю и точную обработку результатов.
Политика Bugcrowd в отношении ИИ уже зафиксирована в условиях использования: третьим сторонам запрещено обучать на данных исследователей и клиентов любые ИИ и LLM-модели. Также платформа обязывает самих исследователей соблюдать правила при работе с генеративным ИИ: автоматизированные или непроверенные результаты не принимаются к рассмотрению.
HackerOne, в свою очередь, анонсировала обновление Terms and Conditions. Судя по всему, скандал убедил компанию зафиксировать свои обещания письменно.
Ошибка ценой 620 тысяч BTC
Южнокорейская криптовалютная биржа Bithumb случайно отправила своим пользователям 620 тысяч биткоинов (около 40 миллиардов долларов США) вместо небольших промовыплат.
Вечером 6 февраля 2026 года на бирже Bithumb запустили обычную промоакцию с символическими призами — около 2000 вон (примерно 1,4 доллара США). Однако что‑то пошло не так на уровне конфигурации систем. Вместо скромных наград сотни пользователей получили по 2000 биткоинов каждый.
За считаные минуты на 695 аккаунтов было зачислено около 620 тысяч BTC. По курсу на тот момент речь шла примерно о 40 миллиардах долларов США. Некоторые владельцы неожиданного богатства спешно попытались продать биткоины. Резкий всплеск предложения обрушил цену BTC на Bithumb примерно на 17% по сравнению с другими площадками, хотя внутреннее падение длилось недолго.
Представители биржи отреагировали на сбой быстро. Примерно через 35 мин после начала инцидента торговля и вывод средств на затронутых аккаунтах были заблокированы. В итоге почти все биткоины удалось вернуть. Bithumb заявила, что восстановила уже 99,7% от ошибочно отправленных пользователям 620 тысяч BTC.
В компании подчеркнули, что инцидент произошел из‑за внутренней операционной ошибки, а не из‑за взлома или внешней атаки:
Хотим прояснить: этот инцидент не связан с какими‑либо внешними хакерскими атаками или нарушениями безопасности и не создает проблем для защиты систем или управления активами клиентов. Средства пользователей находятся под надежной защитой, как и прежде, а торговые операции, депозиты и вывод средств работают в обычном режиме.
Однако южнокорейские регуляторы жестко отреагировали на случившееся. После инцидента представители финансового надзора страны провели экстренные совещания. Чиновники выразили обеспокоенность уязвимостями в системах криптотрейдинга и дали понять, что могут организовать внеплановые проверки работы Bithumb, если будут выявлены новые нарушения.
Дело в том, что это не первый случай, когда Bithumb привлекает внимание властей и СМИ, а также страдает от хакерских атак.
- Первый взлом Bithumb произошел еще в июле 2017 года, и тогда со счетов ресурса было похищено неизвестное количество Bitcoin и Ethereum (общей стоимостью несколько миллионов долларов).
- Второй взлом произошел летом 2018 года, и злоумышленники похитили 35 миллиардов вон, то есть около 31 миллиона долларов в криптовалюте (преимущественно Ripple).
- Третий взлом произошел в 2019 году. По данным исследователей, тогда с горячего кошелька биржи было выведено более 3 миллионов токенов EOS (около 13 миллионов долларов) и 20 миллионов токенов Ripple (примерно 6 миллионов долларов). Взломщики вывели похищенные средства в различные биржи и обменщики, включая Huobi, HitBTC, WB, EXmo.
Создатель Claude Code о профессии программиста
Борис Черни (Boris Cherny), создатель Claude Code в компании Anthropic, дал интервью подкасту Y Combinator Lightcone. Черни заявил, что 2026 год принесет «безумные» перемены в ИИ‑индустрии и радикально изменит работу разработчиков. По его словам, уже сейчас от 70 до 90% кода в Anthropic пишет ИИ, а Claude Code на 90% написан самим собой.
Черни рассказал, что недавно отправил 22 пул‑реквеста, в которых каждая строчка была сгенерирована ИИ:
Я думаю, что для меня написание кода — практически решенная задача, и скоро так будет для всех, независимо от области. Думаю, скоро мы увидим, как должность инженер‑программист постепенно исчезнет. Возможно, ее заменит билдер, продакт‑менеджер, или мы сохраним старое название просто по привычке.
Другие интересные события месяца
- Более 220 тысяч инстансов OpenClaw доступны через интернет
- Разработчиков SmarterMail взломали через уязвимость в их продукте
- ЦБ РФ создаст единую БД карт российских пользователей
- Аккаунты Telegram угоняют через вредоносные веб‑приложения
- СМИ: пользователи не могут войти в «Госуслуги» без мессенджера Max
- Госдума одобрила в первом чтении законопроект о создании базы IMEI
- Операторов обязали отключать связь по требованию ФСБ
- Обнаружен первый инфостилер, похитивший секреты из OpenClaw
- Claude Opus 4.6 нашел более 500 уязвимостей в опенсорсных библиотеках
- В Microsoft создали сканер для обнаружения бэкдоров в LLM