Канал 🔨SecAtor — @true_secator пишет интересное:

По данным Лаборатории Касперского, правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке стали целью новой кампании под названием PassiveNeuron.

Впервые задетектить кибершпионскую деятельность ЛК удалось еще в июне 2024 года в ходе расследования серии атак на госсектор структуры в Латинской Америке и Восточной Азии с использованием ранее недокументированных вредоносных ПО, известных как Neursite и NeuralExecutor.

При этом операция отличалась высокой степенью сложности: злоумышленники использовали уже скомпрометированные внутренние серверы в качестве промежуточной инфраструктуры C2, чтобы оставаться незамеченными.

Злоумышленник способен перемещаться по инфраструктуре и извлекать данные, при необходимости создавая виртуальные сети, которые позволяют злоумышленникам красть нужные файлы даже с машин, изолированных от интернета.

С тех пор исследователи выявили новую волну заражений, связанных с PassiveNeuron, начиная с декабря 2024 года и вплоть до августа 2025 года.

В рамках кампании злоумышленник в основном фокусируется на машинах под управлением Windows Server, получая удаленное выполнение кода (RCE) для развертывания веб-оболочек, а затем различные импланты.

На данном этапе источник кампании не установлен, хотя некоторые признаки указывают на то, что за ней стоят китайские хакеры.

Как минимум в одном инциденте злоумышленник, получил возможность удалённого выполнения команд на скомпрометированном компьютере под управлением Windows Server через Microsoft SQL.

Однако понять, каким образом не представилось возможным.

Вероятно, злоумышленник либо подбирает пароль к учётной записи администратора, либо используют уязвимость SQL-инъекции в приложении на сервере, либо пока не выявленную уязвимость в серверном ПО.

Сначала злоумышленники попытались развернуть веб-шелл ASPX для получения базовых возможностей выполнения команд, но потерпели неудачу. Затем реализовали сложные импланты через ряд DLL-загрузчиков, размещённых в каталоге System32:

- Neursite, специализированный модульный бэкдор C++;
- NeuralExecutor - это специализированный имплант .NET для загрузки дополнительных полезных данных по протоколам TCP, HTTP/HTTPS, именованным каналам или WebSockets и их выполнения.
- легитимный фреймворк Cobalt Strike.

Neursite использует встроенную конфигурацию для подключения к серверу C2 и протоколы TCP, SSL, HTTP и HTTPS для связи.

По умолчанию поддерживает сбор системной информации, управление запущенными процессами и проксирование трафика через другие машины, зараженные бэкдором, для обеспечения горизонтального распространения.

Вредоносное ПО также оснащено компонентом для загрузки вспомогательных плагинов с целью выполнения команд оболочки, управления файловой системой и операций с сокетами TCP.

В ЛК также отметили, что образцы NeuralExecutor, обнаруженные в 2024 году, были разработаны для извлечения адресов серверов C2 непосредственно из конфигурации.

Последние образцы Neursite и NeuralExecutor получали адреса C2-серверов с GitHub, что является популярной методикой среди китайскоязычных злоумышленников (APT31 и APT27), а строка PDB в одной из проанализированных DLL указывала на APT41, что в совокупности позволило Лаборатории Касперского приписать кампанию PassiveNeuron китайскоязычной APT-группе.

Читать полностью…

🖥Власти могут отказаться от идеи введения налога на российский софт

Как пишет «Ъ», власти вроде бы согласились исключить из ранее внесенного в Госдуму налогового законопроекта норму об отмене с 2026 года освобождения от НДС реализации софта, включенного в реестр отечественного программного обеспечения.

Вице-премьер Дмитрий Григоренко заявил, что Правительство внимательно рассмотрело аргументы по вопросу отмены льготы по НДС на российское ПО, а также проанализировало позицию профильного ведомства по этому вопросу.

По итогам проведенных обсуждений с Минфином России, депутатами Госдумы и сенаторами Правительство полагает возможным отложить отмену действующей льготы по НДС, которая сейчас может негативно сказаться на темпах развития и внедрения российского ПО в экономике.

В связи с этим, заявил Григоренко, Правительство планирует ко второму чтению внести поправки, исключающие отмену льготы по НДС для разработчиков отечественного ПО.

Редкий случай, когда отрасль отстояла себя.

— комментирует Токсичная цифра.
--------------------------
Cтоит помнить о следующих моментах:

💸 Разработчики российского софта, сэкономив на налогах, смогут вложить больше средств в R&D, создание новых продуктов и улучшение существующих. Для блогеров это означает больше инфоповодов: можно будет делать обзоры новых версий ПО, анализировать новые функции (в том числе в сфере ИБ), сравнивать отечественные решения между собой и с зарубежными аналогами. Повестка сместится с «как выжить в условиях новых налогов» на «что нового и интересного появилось на рынке».

💸 IT-компании — ключевые рекламодатели для профильных блогов. Сохранение налоговой льготы означает, что у разработчиков останется больше свободных средств, которые они могут направить на маркетинг, рекламу и поддержку мероприятий. Для блогеров это означает сохранение рекламных доходов.

💸 В сфере информационной безопасности (ИБ) особенно важны постоянные инвестиции в исследования и разработку для противодействия новым угрозам. Отсутствие дополнительной налоговой нагрузки позволит российским ИБ-компаниям активнее развивать свои продукты.

👍 Cледим за ситуацией.

✋ @Russian_OSINT

Читать полностью…

🇷🇺 Обращение отечественных разработчиков ПО к Президенту РФ в связи с налоговыми изменениями в ИТ-отрасли

Как пишет АРПП «Отечественный софт», 14 октября крупнейшие ИТ-ассоциации направили Президенту РФ В.В. Путину официальное письмо в связи с предполагаемым повышением налогов в ИТ-отрасли.

Уважаемый Владимир Владимирович!

Обращаемся к вам от лица нескольких сотен ИТ-компаний, занимающихся разработкой программного обеспечения, цифровизацией промышленности и других отраслей экономики РФ в связи с неожиданным и опасным решением Правительства в отношении нашей отрасли информационных технологий (ИТ).
.......

ИТ-компании сейчас выполняют важнейшие для страны задачи:

▪️Разработка ИТ и ИИ для ОПК и военной сферы. Здесь работают не только крупные корпорации, но и «гаражный ВПК», небольшие инициативные компании и стартапы.
▪️Замещение западных технологий в области критической инфраструктуры.
▪️Разработка средств информационной безопасности, защиты от усиливающихся кибератак, мошенничества, вербовки.

Однако, этой осенью неожиданно без обсуждений с ИТ-отраслью и предупреждения Правительство Российской Федерации объявило о резком повышении 2 налогов для ИТ-компаний - 29 сентября внесло в Государственную Думу проект Федерального закона «О внесении изменений в части первую и вторую Налогового кодекса Российской Федерации и отдельные законодательные акты Российской Федерации» (законопроект № 1026190-8). Согласно проекту с 1 января 2026 года ИТ-отрасль лишится важнейших льгот: отмены нулевой ставки НДС; повышения в 2 раза льготных тарифов страховых взносов российских организаций, осуществляющих деятельность в области ИТ. И это в конце года, когда большинство контрактов на 2026 год уже заключены.

К чему это приведёт в случае принятия объявленных мер? Налоговая нагрузка на ИТ-компании фактически вырастает сразу в 6 раз (с 5% до 30% от выручки)! Поскольку у ИТ компаний нет дальнейших цепочек закупок, а основной расход – до 80% –зарплата программистов, НДС зачесть не получится, это по сути – оборотный налог.

Мы прогнозируем банкротство, поглощение или уход небольших компаний и стартапов, в том числе из сферы разработки решений для Гособоронзаказа и КИИ, которые не выдержат такой рост нагрузки; а также отток программистов за границу, который нам (государству и бизнесу) только что почти удалось компенсировать.

Чтобы выполнить решение Правительства по новым налоговым сборам, ИТ-компаниям придется существенно повысить цены в 2026 году – что для бюджетных организаций в масштабе государства будет означать просто перекладывание государственных денег из кармана в карман. А для тех, кто занимается цифровизацией - дополнительно внимание Счетной палаты и ФАС.

Просим Вас поручить Правительству пересмотреть планы Минфина и Правительства в целом, вступить в диалог с нашей отраслью, провести анализ возможных источников доходов и выработать совместно более взвешенные меры, позволяющие не допустить указанных негативных последствий для страны в условиях санкций и нарастающего военного напряжения. Современные оборонные возможности и устойчивость экономики базируются прежде всего на передовых технологиях.

Подписанты:

КОМЛЕВ Н.В. — Исполнительный директор ассоциации АПКИТ
ЛАШИН Р.Л. — Исполнительный директор АРПП «Отечественный софт»
МАКАРОВ В.Л. — Президент НП РУССОФТ

👆Уважаемая Наталья Касперская у себя в ТГ-канале пишет, что уже начали долетать сигналы о возможных послаблениях налогов. Комитет по бюджету и налогам подготовил предложения по доработке законопроекта. На заседании ГосДумы В.В.Володин высказал недовольство отсутствием бизнес-ассоциаций и пригласил их.

🤞Держим пальцы скрещёнными и надеемся на лучшее!

✋ @Russian_OSINT

Читать полностью…

🚠Сбои в работе WhatsApp и Telegram предпринимаются для противодействия преступникам

Роскомнадзор принимает меры по частичному ограничению работы иностранных мессенджеров WhatsApp (принадлежит Meta, которая признана экстремистской и запрещена в России) и Telegram «для противодействия преступникам».

"Для противодействия преступникам в соответствии с материалами правоохранительных органов принимаются меры по частичному ограничению работы иностранных мессенджеров"

— сообщили в Роскомнадзоре.

✋ @Russian_OSINT

Читать полностью…

🥷 Хакерская атака на Jaguar Land Rover обошлась экономике 🇬🇧Великобритании в 2,5 миллиарда долларов

Августовская хакерская атака на компанию Jaguar Land Rover (JLR), принадлежащую индийской Tata Motors, обошлась британской экономике в 1,9 миллиарда фунтов стерлингов (или $2,55 миллиарда), затронув более 5000 организаций в стране.

«Инцидент, по-видимому, является самым разрушительным в экономическом плане киберсобытием, затронувшим Великобританию, причем подавляющая часть финансового ущерба связана с потерей объемов производства на JLR и у ее поставщиков»

— говорится в отчете, который подготовил Центр кибермониторинга (Cyber Monitoring Centre, CMC).

JLR начал возобновлять производство в начале этого месяца после почти шестинедельной остановки, вызванной хакерской атакой. У производителя автомобилей класса люкс есть три завода в Великобритании, которые в совокупности производят около 1000 автомобилей в день.

✋ @Russian_OSINT

Читать полностью…

💴🥷 Нелегальных майнеров будет вычислять с помощью ИИ

МТС и «Россети» будут совместно бороться с хищениями электроэнергии с помощью искусственного интеллекта. Об этом сообщается на сайте yugra.mts.ru.

В рамках партнерства компании займутся выявлением нелегальных майнинговых ферм и хищений электроэнергии, а также протестируют решения на базе искусственного интеллекта, разработанные MWS AI.

В 2025 году с помощью решения МТС в России было зафиксировано на 15% больше майнинговых ферм, чем в 2024 году.

👆Наибольшее количество майнинговых ферм сосредоточено в Иркутской области, Республике Башкортостан, Москве, Самарской области и Краснодарском крае.
--------------------------

К слову сказать, в РФ прорабатывается наказание для организаторов незаконного оборота цифровой валюты. Об этом сообщил генпрокурор РФ Александр Гуцан, выступая на заседании Координационного совета генеральных прокуроров (КСГП) стран СНГ.

"При участии прокуратуры создана правовая основа для контроля за цифровой валютой и ее майнингом, а также по противодействию отмыванию преступных доходов через виртуальные активы. Закреплены механизмы отслеживания транзакций, имеющих коррупционный, террористический и экстремистский окрас, а также связанных с наркооборотом"

— отметил ⚖️Гуцан.

✋ @Russian_OSINT

Читать полностью…

✋Ждём такие же Bug Bounty награды для MAX.

*Meta (соцсети Facebook, Instagram) запрещена в РФ как 🏴‍☠️экстремистская.

✋ @Russian_OSINT

Читать полностью…

❗️ CVE-2025-59287: WSUS RCE

В ядре службы обновлений Microsoft WSUS найдена критическая уязвимость удаленного выполнения кода CVE-2025-59287, получившая оценку 9.8 по шкале CVSS.

👆HawkTrace Security пишут, что CVE-2025-59287 — это критическая уязвимость удаленного выполнения кода (RCE) в службах Microsoft Windows Server Update Services (WSUS), вызванная небезопасной десериализацией данных AuthorizationCookie посредством BinaryFormatter в методе EncryptionHelper.DecryptData().

Уязвимость позволяет неаутентифицированному злоумышленнику осуществить удаленное выполнение кода с привилегиями уровня SYSTEM путем отправки вредоносных зашифрованных cookie на конечную точку GetCookie().

Окончательное устранение уязвимости требует замены BinaryFormatter на безопасные механизмы сериализации, внедрения строгой проверки типов и обеспечения надлежащей санации (очистки) всех входных данных cookie.

✋ @Russian_OSINT

Читать полностью…

🤔Сайт 😁Linux Xubuntu взломали хакеры и подгрузили троян

Плохие новости. Пользователи обсуждают сайт популярного дистрибутива Linux Xubuntu, который подвергся успешной хакерской атаке. Злоумышленники подменили ссылки для загрузки торрент-файлов, перенаправляя пользователей на скачивание вредоносного 📂 ZIP архива — xubuntu‑safe‑download.zip. Внутри архива находился исполняемый файл для Windows, 😷замаскированный под программу установки.

Его основная зловредная функция — незаметная 🥷💴кража криптовалюты путем подмены адреса кошелька в буфере обмена. Вредоносная программа работает в фоновом режиме и постоянно следит за тем, что вы копируете в буфер обмена (например, когда нажимаете Ctrl+C). Как только вы копируете адрес криптовалютного кошелька (например, чтобы отправить кому-то Bitcoin), программа это распознает. В тот же миг вирус незаметно для вас заменяет скопированный адрес на адрес кошелька злоумышленника. Вы вставляете адрес (Ctrl+V) в своем кошельке, думая, что это правильный адрес, и отправляете деньги. В итоге, ваша криптовалюта уходит не по назначению, а напрямую к мошеннику. Такой тип вредоносного ПО называется «крипто-клиппер» (Crypto Clipper) или «перехватчик буфера обмена» (Clipboard Hijacker).

📖Внутри zip-архива:

Объект: TestCompany.SafeDownloader.exe
Хеш SHA256: ec3a45882d8734fcff4a0b8654d702c6de8834b6532b821c083c1591a0217826
Тип угрозы: Троян-дроппер (Trojan-Dropper) с полезной нагрузкой типа «Crypto Clipper» (также известный как Clipboard Hijacker).
VT: ссылка

📖Первыми тревогу забили пользователи на платформе Reddit, заметившие подозрительную активность. Представители проекта Xubuntu признали факт компрометации, временно отключив страницу загрузок. В качестве причины инцидента была названа уязвимость в используемой хостинговой среде.

👆Скорее всего, атака была нацелена в первую очередь на неопытных пользователей Windows 10, желающих перейти на Linux после окончания поддержки.

Член команды Xubuntu под ником pleia2 (Элизабет Крумбах) поблагодарила пользователей за сигнал.

Всем спасибо. Мы зависим от нашего хостинг-окружения в вопросах обновлений, и, похоже, здесь произошла небольшая оплошность. Над этим работают, но на данный момент страница «Загрузки» отключена.

Мы находимся в процессе перехода на статическое окружение, что должно сделать подобные инциденты пережитком прошлого, но наша команда довольно маленькая и занятая. Мы всегда рады новым участникам, пожалуйста, свяжитесь с нами, если вы заинтересованы!

Каких-то других развернутых извинений не последовало, к сожалению.

Как хакерам удалось скомпрометировать сервер? Остается загадкой. Также неясно, сколько людей пострадало от этого провала в безопасности.

— задаются вопросами ghacks.

Наиболее вероятным вектором атаки является эксплуатация уязвимости в одном из плагинов или теме WordPress. В качестве альтернативной, но также весьма вероятной гипотезы, рассматривается компрометация учетных данных администратора, возможно, в результате фишинговой атаки или использования слабого пароля.

👆По мнению критиков, реакция команды Xubuntu была непрозрачной, неудовлетворительной и выглядела как попытка преуменьшить серьезность ситуации, а их технические действия по восстановлению сайта были хаотичными.

✋Будьте бдительны!

✋ @Russian_OSINT

Читать полностью…

Сразу два курса от Inseca для тех, кто не ждёт инцидентов, а действует на опережение.

Threat Intelligence — Практический курс по киберразведке.

Получите навыки, необходимые для проактивного реагирования на киберугрозы. Сможете на практике пройти весь жизненный цикл TI.

🗓Старт курса: 8 ноября
Длительность 6 недель

Получить демодоступ

Threat Hunting — Практический курс по поиску киберугроз.

Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Сможете на практике пройти весь жизненный цикл TH.

🗓Старт курса: 8 ноября
Длительность 5 недель

Получить демодоступ

Читать полностью…

🇺🇸🛡Генерал армии США в 🇰🇷Южной Корее экспериментирует с чат-ботами на базе генеративного ИИ

Как пишет Business Insider, официальные лица из высшего командования армии США пользуются LLM для принятия решений в военном деле.

Так, Командующий 8-й армией в Южной Корее генерал-майор Уильям Тейлор лично экспериментирует с чат-ботами на базе генеративного ИИ, чтобы стать более эффективным в своей деятельности. Решения командующего влияют на тысячи солдат.

«Как командир, я хочу принимать более эффективные решения. Хочу быть уверен, что принимаю решения в нужное время, чтобы получить преимущество»

— сообщил генерал-майор.

Генерал признался, что они с «🤖„Чатом“ в последнее время очень сблизились». Какая именно LLMка используется — не сообщается. Некоторые СМИ пишут ChatGPT, но в оригинальной статье ничего нет про OpenAI. В любом случае точно не ChatGPT Plus за $20.

Тейлор солидарен с позицией Марк Милли (бывшего председателя Объединённого комитета начальников штабов) о том, как будет выглядеть война будущего:

🤖«Мы будем жить в мире, где решения будут приниматься не со скоростью человека, а со скоростью машины».

Главные опасения военных на текущем этапе связаны с риском утечки конфиденциальных данных и возможностью получения ошибочных ответов (галлюцинации).

👆Искусственный интеллект постепенно интегрируется в 🛸беспилотные технологии, системы ❗️для наведения на цели, 🖥обработку данных, ✈️ пилотирование в симуляциях.

✋ @Russian_OSINT

Читать полностью…

🦠Вирус-шифровальщик снова обрушил онлайн-витрины 🇯🇵Японии

Не успели ИБ-специалисты в Японии отойти от истории с 🍺Asahi, как кибератака шифровальщика на логистического оператора 👜Askul Corp. снова оказалась в центре внимания специалистов. Ещё один мощный киберудар пришёлся в самое сердце японской онлайн-торговли и парализовал работу нескольких ведущих розничных сетей, включая Muji и The Loft Co.

Askul Corporation — крупная японская компания, специализирующаяся на электронной коммерции и логистике для бизнеса и частных клиентов. Компания предлагает широкий ассортимент товаров, включая офисные принадлежности, мебель, продукты питания и медицинские товары, предоставляя услуги как в сегменте B2B, так и B2C. Количество сотрудников: 3,697 (по состоянию на май 2025 года).

Атака локера в воскресенье вывела из строя критически важные системы Askul, отвечающие за прием заказов и отгрузку товаров.

В настоящее время мы приостанавливаем доступ к нашему веб-сайту из-за системного сбоя, вызванного заражением программой-вымогателем.
Приносим искренние извинения за любые неудобства и беспокойство...В настоящее время мы работаем над восстановлением обслуживания. Приносим извинения за возможные неудобства и благодарим за понимание.

— cообщает компания в 🦆.

Muji объявила о приостановке онлайн-продаж, поскольку инцидент у ее логистического партнера сделал невозможным прием и отгрузку заказов. Компания The Loft Co. и розничная сеть Sogo & Seibu Co. также приостановили работу своих сайтов электронной коммерции из-за атаки.

*Ryohin Keikaku (владелец бренда Muji) является клиентом компании Askul Corporation. Askul предоставляет для Muji критически важные услуги в сфере логистики и выполнения онлайн-заказов, включая транспортировку и доставку товаров.

📊Акции Askul упали на 5.2%.

👆В настоящее время компания проводит расследование на предмет 🚰утечки данных и оценивает финансовый ущерб.

Аналитик Iwai Cosmo Securities Co. Дайсукэ Айба полагает, что последствия для Muji будут ограниченными, однако для самой Askul кибератака окажет значительное влияние на доходы, поскольку восстановление систем и доверия клиентов займет продолжительное время.

✋ @Russian_OSINT

Читать полностью…

🤿Житель Москвы лишился рекордных 450 миллионов рублей из-за кибермошенничества

Начальник управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий (УБК) МВД России по Москве полковник полиции Антон Кононенко рассказал в интервью "Интерфакс" о борьбе с кибермошенниками, дропперами и хакерами.

У нас разные бывают ущербы – и миллионы, и десятки миллионов, и сотни миллионов. Самая высокая сумма ущерба по кибермошенничеству в Москве – 450 млн рублей. Этот рекорд по ущербу поставлен весной текущего года.

💡Ключевые цифры:

▪️По итогам 9 месяцев 2025 года на территории Москвы отмечается снижение регистрации преступлений, совершенных с использованием информационно-коммуникационных технологий или в сфере компьютерной информации на 9,7%.

▪️ За 6 месяцев текущего года ущерб от киберпреступлений в Москве составил 34 млрд рублей. На сегодняшний день ущерб исчисляется десятками миллиардов рублей. Преступления стали совершаться за миллион рублей и выше, мелких сумм уже практически нет. В сравнении с предыдущими годами сумма ущерба от действий кибермошенников в столице имеет тенденцию к росту.

▪️По итогам прошлого года в Москве было зарегистрировано 64 тыс. преступлений, связанных с IT-технологиями. Оставшиеся 10-15% во всем массиве преступлений составляют экономические преступления.

▪️На протяжении последних трех лет фиксируется увеличение сумм ущерба от преступлений. Если раньше расследовались преступления с ущербом 15, 20 и 50 тыс. рублей, то сейчас практически все преступления относятся к категориям тяжких и особо тяжких – их порядка 80%. Для понимания, "тяжкие" начинаются от суммы в 250 тыс. рублей. То есть мы видим, что ущерб в 1 млн рублей не становится редкостью.

▪️Кроме того, современные мошенники "бьют детально": теперь это не просто какие-то переписки и смс-рассылки – идет направленное психологическое воздействие, социальная инженерия, путем прописания психологических программ и завладения доверием жертвы.

▪️Тематика дропов постепенно ушла на нет. Если раньше дропперами выступали социально-незащищенные или маргинальные лица, которые за 3-4 тысячи рублей предлагали свои услуги в телеграм-каналах, то теперь никто не хочет идти на этот риск.

▪️Большая часть киберпреступлений, а именно 70-80%, совершается лицами, которые находятся за пределами России. Это не обязательно Украина, как привыкли думать. Это может быть любое государство, даже дружественное нам. Просто в момент совершения преступления гражданин находится в той стране.

▪️Чаще всего жертвами кибермошенников становятся пожилые люди возраста 65 лет и старше, чаще женщины. Каждое четвертое преступление на сегодняшний день совершается в отношении данной категории граждан.

▪️Число IТ-мошенничеств с участием несовершеннолетних увеличилось, но не составляет значимых цифр, выявлено менее 500 случаев.

Вопрос: Рассматривается ли в управлении возможность привлечения к работе так называемых "белых хакеров" либо гражданских специалистов в IT-сфере?

Ответ: ...Российские университеты на сегодняшний день готовят высококлассных специалистов, которые могут на практике в нашем управлении получить расширенные компетенции. В этой части мы взаимодействуем не только с Министерством образования РФ, но и с кредитно-финансовыми и IT-компаниями, которые занимаются противодействием хакерских угроз. Среди них "Лаборатория Касперского", "F6", "СБЕР". Также взаимодействуем с торговыми площадками "OZON" и "Wildberries" - обмениваемся информацией о системах кибербезопасности.

🫡 На сегодняшний день МВД обеспечено необходимыми программами по противодействию киберпреступности. Дополнительные новаторские решения в УБК всегда готовы брать на вооружение и применять на практике.

*Фото пресс-службы ГУ МВД России по г. Москве

✋ @Russian_OSINT

Читать полностью…

🇨🇳 Китай обвиняет 🇺🇸 АНБ США в организации серии 🎩кибератак на Национальный центр обслуживания времени (NTSC)

Министерство государственной безопасности Китая выдвинуло обвинения против Агентства национальной безопасности США в организации продолжительной серии кибератак на Национальный центр обслуживания времени.

Согласно заявлению контрразведывательного ведомства, операция была долгосрочной, высоко скрытной и проводилась с применением кибершпионских инструментов государственного уровня, что классифицирует её как угрозу типа Advanced Persistent Threat (APT).

Китайские органы кибербезопасности установили, что большинство атак со стороны США происходило поздно ночью или в ранние утренние часы по 🕔пекинскому времени.

Национальный центр службы времени входит в состав Китайской академии наук и базируется в Сиане (провинция Шэньси). Центр отвечает за генерацию и распространение стандартного времени в Китае.

Анализ хронологии указывает на то, что атаки могли начаться в марте 2022 года с эксплуатации уязвимости в мобильных телефонах сотрудников для хищения конфиденциальных данных. В апреле 2023 года злоумышленники, используя полученные пароли, проникли в компьютерные системы для изучения сетевой архитектуры, а с августа 2023 по июнь 2024 года атаки проводились с развертыванием новой кибервоенной платформы с 🛡 42 специализированными инструментами.

Для сокрытия происхождения атак АНБ использовало сеть виртуальных серверов-«трамплинов» [джампинг по серверам] в США, Европе и Азии, а также, как утверждает эксперт Ли Цзяньхуа, АНБ эксплуатировали 0-day для обхода систем обнаружения вторжений. Согласно заявлению, китайские органы кибербезопасности установили, что большинство атак со стороны США происходило поздно ночью или в ранние утренние часы по пекинскому времени.

🤔Зачем APT понадобился какой-то центр, который отвечает за время по всей стране?

Как поясняет высокопоставленный сотрудник центра Вэй Дун, погрешность синхронизации в одну миллисекунду способна вызвать 🗣веерные отключения электроэнергии по всей стране. В микросекунду можно спровоцировать колебания на фондовых рынках на сотни миллиардов долларов, а в наносекунду привести к сбою навигационной системы BeiDou, которая способна нарушить работу мобильных телефонов и интернет-сервисов. Более того, отклонение в пикосекунду, как утверждается, может привести к неверному расчету положения 🛰лунного космического корабля на несколько километров, что потенциально может📡 помешать ему вернуться на Землю.

👆🎩 Органы государственной безопасности Китая обнаружили доказательства атак и поручили Национальному центру службы времени провести расследование, прервать цепочки атак и обновить свои протоколы безопасности для предотвращения будущих инцидентов.

✋ @Russian_OSINT

Читать полностью…

📝 TSMC ускоряет производство передовых 2-нм чипов в США для удовлетворения спроса в сфере ИИ

Taiwan Semiconductor Manufacturing Co. объявила о планах ускорить сроки начала производства передовых 2-нанометровых чипов в США. Компания также рассматривает возможность дальнейшего расширения своих мощностей в США.

«Мы готовимся к более быстрому внедрению наших технологий, переходя на N2 [2-нм] и более совершенные техпроцессы в Аризоне, учитывая высокий спрос на ИИ-решения со стороны наших клиентов»

— заявил Вэй инвесторам и журналистам на конференции.

Вэй также отметил, что TSMC близка к приобретению второго крупного земельного участка рядом со своей площадкой в Аризоне, чтобы обеспечить большую гибкость в ответ на сильный и многолетний спрос в сфере ИИ.

«Наш план позволит TSMC расшириться до независимого кластера Gigafab в Аризоне для поддержки потребностей наших ведущих клиентов в области смартфонов, ИИ и высокопроизводительных вычислений»

Заявления Вэя прозвучали вскоре после того, как американский производитель чипов Intel запустил в массовое производство в Аризоне свой самый передовой чип 18A.

TSMC отчиталась о рекордной прибыли за июль-сентябрь, поскольку волна развития ИИ-сервисов продолжает стимулировать расходы бигтеха на чипы и центры обработки данных.

👆Финансовые показатели компании демонстрируют уверенный рост, во многом благодаря буму в сфере искусственного интеллекта. За последний квартал чистая прибыль TSMC выросла почти на 40%, достигнув рекордных $15.12 млрд. Компания повысила свой прогноз по капитальным затратам на 2025 год, что может свидетельствовать о долгосрочной уверенности в стабильности спроса.

✋ @Russian_OSINT

Читать полностью…

👮‍♀️ Контроль за 💻«белыми» хакерами могут передать силовому блоку

По данным РБК, контроль за работой «белых» хакеров могут передать ФСБ, ФСТЭК и НКЦКИ. Источники утверждают, что инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей.

Речь идет о специалистах, которых компании привлекают к тестированию своих информсистем на уязвимости самостоятельно или через специализированные платформы bug bounty (программа, в рамках которой компании платят людям за обнаружение уязвимостей и багов).

В новой версии законопроекта вводится понятие «мероприятие по поиску уязвимостей». Как пояснили собеседники РБК, оно «может охватывать все формы поиска уязвимостей, стирая существующее в отрасли разделение». Согласно проекту, под это определение могут попасть:

▪️коммерческие bug bounty: программы, где компании через специальные площадки платят независимым исследователям за «находки», работая по коммерческим договорам;

▪️внутренние bug bounty (self-hosted): программы, в которых компания силами собственных сотрудников ищет уязвимости в своей инфраструктуре;

▪️любые независимые исследования: действия одиночных исследователей, которые без приглашения проверяют программное обеспечение на уязвимости;

▪️пентесты (тестирование на проникновение), которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании-клиента и компании, предоставляющей услуги исследователей.

Речь идет об обязательной 👍идентификации и верификации «белых» хакеров; правилах аккредитации и деятельности организаций, проводящих мероприятия по поиску уязвимостей; правилах, регулирующих обработку и защиту данных о найденных уязвимостях; регламенте, как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др.

✋ @Russian_OSINT

Читать полностью…

❗️ Microsoft 365 Copilot – Arbitrary Data Exfiltration Via Mermaid Diagrams

Исследователь безопасности Адам Лог обнаружил неприятную уязвимость в ИИ-сервисе Microsoft 365 Copilot, которая позволяла похищать корпоративные данные.

Атака основана на технике непрямого внедрения инструкций (indirect prompt injection), при которой вредоносная 🦠полезная нагрузка, скрытая во внешнем 📄документе, заставляет большую языковую модель выполнять произвольные команды злоумышленника. В результате конфиденциальная информация, включая содержимое 🖥 электронных писем, могла быть незаметно отправлена на внешний сервер злоумышленника.

Исследователь уведомил Мicrosoft об уязвимости и её уже пофиксили. Разбор ниже.

https://www.adamlogue.com/microsoft-365-copilot-arbitrary-data-exfiltration-via-mermaid-diagrams-fixed/

✋ @Russian_OSINT

Читать полностью…

🍏Обновление iOS 26 стирает улики атак 🥷❗️шпионского ПО. Случайность или умысел?

Как утверждает в своем новом отчёте компания iVerify, выход обновления iOS 26 ознаменовал собой серьезное препятствие для 👍цифровой криминалистики мобильных устройств.

iOS 26 ОС начала перезаписывать shutdown.log при каждой перезагрузке устройства вместо добавления новых записей. 😅 Фактически Apple лишает 💻исследователей и пользователей возможности обнаружить следы сложнейших шпионских программ, таких как Pegasus и Predator, которые активно использовали этот лог в своих операциях.

🤬Нововведение Apple, будь то непреднамеренная ошибка или целенаправленная задумка, создает ↔️опасный прецедент в условиях глобального роста кибератак с использованием шпионского ПО на высокопоставленных лиц и журналистов.

Как пишут исследователи, на протяжении нескольких лет файл shutdown.log являлся полем битвы между создателями вредоносного ПО и специалистами по цифровой криминалистике.

Анализ iVerify показывает, что в 2021 году Pegasus оставлял в нем следы, а уже к 2022 году эволюционировал до полного стирания этого файла. Сам факт очистки косвенно является признаком компрометации.

Позднее шпионское 💻ПО Predator предположительно переняло аналогичную тактику сокрытия своей активности.

Примечательно, что "новая фича" вводится в крайне неудачное время, когда угрозы становятся все более изощренными, а действия Apple ещё больше затрудняют криминалистический анализ.🤔 С какой целью это сделано? Остаётся только догадываться. Не хочется думать плохо, но и хорошего тут мало...

👆Компания iVerify призывает пользователей сохранить диагностический отчет sysdiagnose перед обновлением до iOS 26 с целью сохранения цифровых улик возможной компрометации.

Ещё будет не лишним подождать с обновлением, пока Apple не решит эту проблему, в идеале — выпустит 📖исправление, которое предотвращает перезапись файла shutdown.log при перезагрузке.

✋ @Russian_OSINT

Читать полностью…

KUMA 4.0 — мощное обновление, которое нельзя пропустить

Почти в каждом SOC есть те, кто хочет держать всё под рукой: логи, инциденты, дашборды, аналитику и матрицу MITRE. С выходом новой версии SIEM-системы «Лаборатории Касперского» KUMA это стало проще, быстрее и гибче.

27 октября в 11:00 (МСК) коллеги выходят в эфир со стримом «Безопасность в четырех измерениях: что нового в KUMA 4.0», где эксперты расскажут о ключевых обновлениях, новостях комьюнити и покажут спойлер будущих фич, которых вы ещё не видели!

Что вас ждёт:
• Самые интересные новые функции за 2025 год
• Контент в SIEM: что нового и над чем работаем сейчас
• Новости KUMA Community
• Демонстрация новых возможностей
• Спойлер следующего релиза

Когда: 27 октября 11:00 (МСК)

Требуется регистрация

Читать полностью…

📄 alphaXiv использовали ❗️DeepSeek OCR, чтобы превратить хаотичный океан научных знаний в упорядоченную библиотеку

С помощью технологии DeepSeek OCR мы извлекли все наборы данных из таблиц и диаграмм, содержащихся в более чем 500 000 научных работ по искусственному интеллекту на портале arXiv. Затраты на реализацию проекта составили 1000 долларов США.

Теперь вы можете отслеживать наиболее актуальные бенчмарки и находить наборы данных, о существовании которых ранее не было известно.

Для сравнения: выполнение аналогичной задачи с использованием технологии Mistral OCR обошлось бы в 7500 долларов США

На следующей неделе мы опубликуем набор данных статей arXiv в формате markdown, обработанных с помощью DeepSeek OCR.

Создан, чтобы предоставить преподавателям LLM высококачественный предварительный учебный ресурс, который не нагружает серверы arXiv ботами для сбора данных.

Посмотрите наши наборы данных и бенчмарки, проиндексированные DeepSeek OCR:
https://www.alphaxiv.org/?datasets=true

— делятся впечатлениями alphaXiv.

Особенность DeepSeek OCR в том, что технология не читает текст традиционным способом, а как бы фотографирует его, превращая в компактное изображение, затем анализирует изображение. Такой подход позволяет ИИ-решениям обрабатывать огромные объемы документов намного эффективнее. Главное новшество это способность сжимать текстовую информацию в 10, а иногда и в 20 раз. Модель преобразует тысячи текстовых токенов в несколько сотен визуальных токенов. Таким образом, снижается вычислительная нагрузка при обработке длинных документов, позволяя ИИ анализировать контекст быстрее и дешевле.

DeepSeek OCR умеет не просто распознавать текст, но и проводить глубокий синтаксический анализ, а также извлекать структурированную информацию из сложных элементов, таких как:

▪️Графики и диаграммы.
▪️Химические формулы.
▪️Простые геометрические чертежи.
▪️Читать текст почти на 100 разных языках.

https://github.com/deepseek-ai/DeepSeek-OCR

✋ @Russian_OSINT

Читать полностью…

😹Россияне скоро потеряют анонимность в интернете

Заместитель председателя комитета Госдумы по информационной политике Андрей Свинцов заявил, что в течение 3-5 лет доступ к интернету будет предоставляться только после 👍идентификации пользователей.

«Огромное количество лоббистов от платформ тормозят любые изменения по наведению порядка в интернете. Но в определенной перспективе — три, максимум пять лет, — все, что мы делаем в интернете, будет деанонимизировано, то есть каждый абонент в сети интернет будет регистрироваться через какой-то специализированный идентификатор, который и будет подтверждать его возраст и какие-то еще необходимые доступы. Аналог «Госуслуг»

Свинцов считает, что интернет становится 🧟‍♂️«мертвым» из-за большого количества ботов и сгенерированного контента, поэтому считает необходимой его 🧹чистку — при помощи идентификации пользователей.

✋ @Russian_OSINT

Читать полностью…

💻❗️На Pwn2Own объявили охоту на WhatsApp с наградой в $1 000 000

В Ирландии стартовало мероприятие Pwn2Own, где за взлом WhatsApp предложена рекордная награда. Компания Meta стала со-спонсором мероприятия и выделит $1 000 000 за 0-click RCE. Cостязание для хакеров-исследователей проходит в городе Корк с 21 по 24 октября 2025 года.

Организаторы надеются превзойти прошлогодний результат, когда за 70 уникальных уязвимостей было выплачено $1 066 625. Помимо мессенджеров, участники будут соревноваться во взломе мобильных телефонов, умных домашних устройств и сетевых хранилищ.

👆 На соревновании Pwn2Own Ireland исследователь по кибербезопасности Сина Хейрха из команды Summoning Team успешно продемонстрировал эксплуатацию сетевого хранилища Synology DiskStation DS925+. Атака была реализована буквально на последних секундах, что принесло команде победу в категории «Сетевые устройства хранения данных» (NAS). За свой успех исследователь получил денежный приз в размере $40 000.

*Meta (соцсети Facebook, Instagram) запрещена в РФ как 🏴‍☠️экстремистская.

✋ @Russian_OSINT

Читать полностью…

🌎Глобальный сбой AWS: 20 октября 2025 года

Amazon Web Services (AWS) столкнулся с масштабным сбоем, который парализовал сотни интернет‑платформ и нарушил работу государственных служб, банков, авиакомпаний, IoT-устройств, а также обнажил системные проблемы в инфраструктуре глобальной сети.

Сбой произошел в работе облачной платформы Amazon Web Services, затронув критически важный регион US-EAST-1 в Северной Вирджинии. В официальной сводке AWS уточняется, что расследование проблем началось 20 октября примерно в 10:11 по московскому времени, после того как было зафиксировано "повышенное количество ошибок и значительные задержки".

К 12:01 по московскому времени инженеры AWS определили вероятную первопричину: проблемы с "разрешением DNS конечной точки API DynamoDB".

Сбой спровоцировал цепную реакцию, нарушив работу внутренней подсистемы EC2, отвечающей за запуск виртуальных серверов. Вслед за этим отказали проверки работоспособности балансировщика сетевой нагрузки, что усугубило проблемы с сетевым подключением.

Процесс восстановления занял более 15 часов и потребовал от команды AWS применения комплексных мер, включая временное ограничение запуска новых серверов EC2 для стабилизации системы. Полностью нормализовать работу всех сервисов удалось лишь к 01:01 по московскому времени 21 октября.

При этом не было ни кибератаки, ни утечки данных — проблема оказалась сугубо технической.

The Register допускает крамольную мысль, что причина недавнего масштабного сбоя Amazon Web Services (AWS) кроется не столько в технологии, сколько в людях. Якобы истинным виновником коллапса стала "утечка мозгов" – массовый уход старших инженеров, обладающих уникальными знаниями о работе сложнейших систем AWS. Именно отсутствие этого опыта привело к тому, что на диагностику и устранение стандартной, по сути, проблемы с DNS ушло непозволительно много времени.

👆В качестве доказательства своей теории автор приводит данные о сокращении более 27 000 сотрудников Amazon в период с 2022 по 2025 год и ссылается на внутренние документы, согласно которым от 69% до 81% всех увольнений в компании относятся к категории нежелательных для руководства.

По данным Downdetector, о проблемах сообщили более 4 миллионов пользователей. Cбой затронул не менее тысячи компаний.

Reuters подчеркивает, что это уже как минимум третий крупный сбой за последние 5 лет, источником которого стал именно старейший и крупнейший дата-центр AWS в Северной Вирджинии, часто используемый по умолчанию для многих сервисов.

👆Несмотря на хаос и миллионные убытки для клиентов, акции Amazon каким-то чудесным образом выросли на 1.6%.

✋ @Russian_OSINT

Читать полностью…

👮 Министерство внутренней безопасности США обязало OpenAI предоставить доступ к данным пользователя ChatGPT

DHS создало юридический прецедент, впервые получив ордер на доступ к данным пользователя OpenAI на основании его запросов (prompts) в общении с ChatGPT. Теперь запросы пользователей могут рассматриваться как цифровые улики в уголовных расследованиях.

Forbes пишет, что с 2019 года следствие Министерства внутренней безопасности (DHS) вело операцию по установлению личности администратора сети сайтов в даркнете, содержащих материалы о сексуальном насилии над детьми (CSAM). Основанием для получения ордера послужили сведения, полученные в ходе оперативной работы с администратором даркнет-ресурса, который сам сообщил о своем использовании ChatGPT.

Подозреваемый предоставил агенту под прикрытием примеры своих запросов, включая безобидную на первый взгляд дискуссию, начинавшуюся с вопроса «Что бы произошло, если бы Шерлок Холмс встретил Кью из "Звёздного пути"?».

Власти потребовали от OpenAI предоставить информацию о пользователе, включая его личные данные, платежную информацию и историю взаимодействия с ИИ-сервисом.

Тем не менее идентификация подозреваемого Дрю Хенера (36 лет) была сделана традиционными способами в рамках следствия. Ключевой зацепкой в деле стала информация о его связях с🎖 вооруженными силами США, которую он раскрыл в процессе общения с агентом.

🏴‍☠️ Хенеру предъявлено обвинение в администрировании пятнадцати даркнет-площадок с совокупной аудиторией не менее 300 000 пользователей. Хенеру было предъявлено обвинение по статье о сговоре с целью рекламы CSAM.

👆Согласно документу, за последние полгода компания OpenAI получила 71 правительственный запрос на раскрытие информации, затрагивающий в общей сложности 132 учетные записи.

✋ @Russian_OSINT

Читать полностью…

💴 В Госдуме предложили разрешить признавать криптовалюту совместно нажитым в браке имуществом

Автором законопроекта выступил член комитета Госдумы по промышленности и торговле Игорь Антропенко «ЕДИНАЯ РОССИЯ».

"Законопроект предусматривает внесение изменений в статьи 34 и 36 Семейного кодекса Российской Федерации (далее Семейный кодекс РФ), которые предусматривают отнесение цифровой валюты, приобретённой кем-либо из супругов во время брака, к общему имуществу супругов, а также отнесение цифровой валюты, приобретённой одним из супругов до брака или по безвозмездным сделкам во время брака, к имуществу непосредственно супруга"

👆Отмечается, что в условиях цифровизации экономики всё больше граждан Российской Федерации используют цифровую валюту как форму инвестиций и накоплений.

🏦Законопроект направлен на отзыв в правительство РФ и председателю Центробанка Эльвире Набиуллиной.

✋ @Russian_OSINT

Читать полностью…

🇺🇸Суд США подрезал крылья 🇮🇱NSO Group в деле против📲Whatsapp

Федеральный суд США вынес судебный запрет не в пользу израильской компании NSO Group в рамках ее многолетнего спора с WhatsApp.

Постановление судьи навсегда запрещает NSO разрабатывать, использовать, продавать или распространять любую технологию (включая, но не ограничиваясь ПО Pegasus), которая каким-либо образом использует или эмулирует серверы и сервисы WhatsApp.

При этом действие запрета не распространяется на государственных клиентов NSO из других стран. Судья согласился с необходимостью исключить их, основывая свое решение на том, что иностранные клиенты не являются сторонами в данном судебном разбирательстве, и, следовательно, решение суда не может распространяться на них в соответствии с юрисдикционными правилами США.

Вместе с тем суд также резко сократил размер штрафных санкций, присужденных компании вердиктом присяжных, уменьшив их более чем на 97%, то есть штраф уменьшился со $167 млн до чуть более $4 млн.

Теперь у WhatsApp есть 14 дней, чтобы согласиться с уменьшением штрафа или начать новое судебное разбирательство исключительно по вопросу о размере штрафных санкций.

Судебный запрет также запрещает NSO Group заниматься реверс-инжинирингом кода WhatsApp, собирать данные пользователей или создавать новые учетные записи на платформе. Судья указывает на то, что NSO нанесли непоправимый ущерб бизнесу WhatsApp.

👆NSO использовала серверы WhatsApp для установки шпионского ПО Pegasus на устройства примерно 1400 пользователей.

*Meta (соцсети Facebook, Instagram) запрещена в РФ как 🏴‍☠️экстремистская.

✋ @Russian_OSINT

Читать полностью…

🎈Кремниевая долина раздувает триллионный 🤖ИИ-пузырь?

Как пишет FT, в технологическом секторе наблюдается беспрецедентный ажиотаж, в результате которого 10 убыточных стартапов в сфере ИИ за год увеличили свою совокупную стоимость почти на $1 трлн.

Лидерами этого головокружительного роста стали такие компании, как ⭕️ OpenAI, ❗️Anthropic и ❗️xAI Илона Маска, чьи оценки многократно пересматривались в сторону повышения. Феномен обусловлен массовым притоком капитала от инвесторов, стремящихся первыми занять нишу в перспективной индустрии ИИ-решений.

Масштабы финансирования достигли рекордных отметок: американские венчурные капиталисты с начала года вложили в ИИ-отрасль $161 млрд, что составляет около ⅔ от всего объема их расходов. Эксперты отмечают, что рынком движет «синдром упущенной выгоды», заставляющий фонды вкладывать огромные средства в ИИ-сервисы.

Текущие объемы инвестиций значительно превосходят показатели предыдущих технологических бумов, включая эпоху доткомов.

Несмотря на оптимизм, в индустрии растут опасения по поводу нереалистичных оценок, поскольку молодые компании с минимальной выручкой привлекают финансирование при стоимости свыше $500 млн.

Многие участники рынка признают наличие пузыря, однако считают его необходимым условием для стимулирования инноваций и создания прорывных технологий. Так, глава Salesforce Марк Бениофф прогнозирует, что $1 трлн инвестиций в ИИ может быть потрачен впустую, однако оговаривается, что в конечном итоге ИИ-технологии могут создать стоимость, в десять раз превышающую потенциальные убытки.

👆Провал амбициозных проектов может вызвать цепную реакцию и затронуть публичные рынки. Путь к прибыльности для стартапов остается долгим и капиталоемким, что усиливает неопределенность в секторе. В конечном счете инвесторы делают ставку на создание AGI, который, по их мнению, окупит любые текущие риски и финансовые потери.

✋ @Russian_OSINT

Читать полностью…

Анонимный пользователь с сомнительным ником 🥷«титушко» опубликовал сообщение о якобы утечке 👻 MAX:

Здравствуйте, у меня есть полный дамп max[.]ru, там ровно 46203590 строк, и у меня все еще есть VPN-доступ к их salesforce и другим внутренним инструментам. Похоже, это российский правительственный мессенджер, и все данные на русском языке.

🙂Ещё раз, читаем: "есть VPN-доступ к их salesforce".

🤔 Причём здесь salesforce и MAX? Какая связь между MAX и 🇺🇸Salesforce?

Posted 8:13 pm MSK, Apr 22 2025
В соответствии с действующими санкциями США, Европейского союза и Великобритании предоставление корпоративного ПО физическим или юридическим лицам в России запрещено.

*Для тех, кто не в курсе, Salesforce объявила о прекращении своих деловых отношений в России 7 марта 2022 года. У компании не было значительного бизнеса в России, и она начала процесс прекращения отношений с небольшим количеством российских клиентов, которые работали через реселлеров и другие каналы.

Специалисты Минцифры проверили информацию о якобы случившейся утечке из мессенджера Max, размещённую в анонимных каналах.

Автором информации об утечке был выложен сэмпл, содержащий 15 записей, в которых были указаны якобы ID пользователей Госуслуг. Проверка показала, что ни по одной из опубликованных записей ID Госуслуг не совпадает с ФИО реальных пользователей.

Из чего можно сделать вывод, что публикации о взломе сфабрикованы.

Новость прокомментировали Минцифры, пресс-служба мессенджера MAX (правильно, что кратко без подробностей) и топовые российские СМИ.

📖Ещё верно подмечает Владимир Дащенко из ЛК.

👆Вступая в любую дискуссию (даже техническую) с подобными анонимусами, только повышается градус интереса к 🤿троллю. Нет смысла детально обсуждать глупый вброс, привлекать сторонних экспертов и тем более компании для разбора «инцидента», при этом тратить силы, ресурсы и время. Реакция (технический отчет, пресс-конференция) только легитимизирует атакующего в инфополе. Из статуса «анонимный тролль» он попадает в статус «оппонент, с которым ведут диалог».

Реагировать нужно не на информационный шум, а на реальные факты, которые имеют место быть. Иначе происходит кормление троллей, которые этого и добиваются.

Как правильно пишет экспертное сообщество, в любом случае должны быть разработаны протоколы реагирования на подобные события. В том числе на случай реальных кризисных ситуаций, когда нельзя молчать.

Можно любить МАХ или нет, но когда незаслуженно пытаются набрасывать — это неправильно.

Получается, что анонимный аккаунт всего с ↔️4 постами на даркфоруме одним вбросом смог создать ажиотаж с обсуждениями в российском сегменте интернета.

Те, кто по журналистике мониторит сотни сообщений (Threat Intel) в день, хорошо знает, что такого добра с вбросами если не сотни, то точно десятки в сутки (например, на платформе Х постоянно TI-компании фиксируют заявления о якобы утечках). В подавляющем большинстве случаев это компиляция старых баз или какой-нибудь парсинг, который в очередной раз пытаются "впарить" начинающим киберкрайм акторам.

Одна лишь фраза при первом прочтении "есть VPN-доступ к их salesforce" заставляет усомниться в правдоподобности заявлений. Проверка сэмплов по СБП также подтверждает, что "утечка" является фейком.

✋ @Russian_OSINT

Читать полностью…

🎩Главу объединения частных детективов арестовали по делу о госизмене в Петербурге

Президент некоммерческого партнерства «Международное объединение частных детективов» Андрей Матушкин стал фигурантом уголовного дела о государственной измене.

По данным одного из собеседников РБК, следствие полагает, что Матушкин занимался сбором сведений, составляющих государственную тайну, и передавал их за границу. Его также подозревают в сотрудничестве с иностранной разведкой и содействии в реализации её задач на территории РФ. По данным источника, речь идёт о контактах с представителями стран Балтии.

🤕 Фигуранту предъявлено обвинение в госизмене.

👆Фонтанка утверждает, что он признал вину.

✋ @Russian_OSINT

Читать полностью…

🥷❗️ Якобы за атакой на F5 стоит кибершпионская группировка UNC5221, связанная с 🇨🇳Китаем

Продолжаем следить за F5.

Как уже сообщалось ранее, были похищены фрагменты исходного кода BIG-IP, а ещё информация о нераскрытых уязвимостях (zero-day) и файлы с конфигурационной информацией для небольшого числа клиентов.

По данным Bloomberg и её источников, за атакой на F5 якобы может стоять кибершпионская группировка, связанная с 🇨🇳Китаем — UNC5221. Якобы F5 уже предоставила клиентам руководство по обнаружению вредоносного ПО Brickstorm, инструментария, который эксперты Mandiant напрямую связывают с операциями UNC5221. Утверждается, что 🤦‍♂️ актор специализируется на краже исходного кода у крупных технологических компаний для последующего поиска уязвимостей и атак на клиентов потенциальной жертвы.

По заявлению Mandiant, более чем годичное присутствие в сети F5 также является характерным почерком APT UNC5221, чей средний показатель нахождения в скомпрометированной инфраструктуре около⏳393 дней.

👆Пока гипотеза журналистов основывается лишь на заявлениях анонимных источников, проинформированных о ходе расследования. Ещё можно почитать тут — 1,2,3,4,5.

🕵️ F5 продает в первую очередь безопасность и доверие. Факт взлома, да ещё и такого масштаба, ощутимо бьёт по репутации.

Как метко подмечает SecAtor, компания GreyNoise зафиксировала активность сканирования (crawling), нацеленную на BIG-IP, при этом за последние 24 часа наблюдалась минимальная активность с попытками выполнения кода на интерфейсе управления F5 BIG-IP. Трафик может исходить от исследователей и академических учреждений — от Cortex Xpanse. GreyNoise оговаривается, что "аномалии" не обязательно связаны с инцидентом 15 октября.

🧐Хотя ещё не вечер!

В форме 8-K говорится, что инцидент «не оказал существенного влияния на операционную деятельность», что является стандартной юридической формулировкой, но интереснее смотрится другая фраза: «компания оценивает влияние, которое этот инцидент может оказать на ее финансовое состояние». Она косвенно указывает на то, что в будущих квартальных отчетах могут появиться значительные финансовые убытки у F5.

📊Акции F5 упали 12.8% сразу после инцидента.

👮 CISA выпустили директиву 26-01, обязуя все федеральные агентства США установить обновления безопасности до 22 октября 2025 года.

👮Министерство юстиции США разрешило F5 отложить публичное раскрытие информации об инциденте по соображениям национальной безопасности.

Непосредственный ущерб для российской инфраструктуры пока вроде как не предвидится. Данные Shadowserver на 16.10.2025 показывают всего 107 публично доступных устройств F5 на территории 🇷🇺РФ, что является своего рода статистической погрешностью на фоне 132 700 устройств в 🇺🇸США, 12 600 в 🇯🇵Японии или 10 100 в 🇩🇪Германии.

К расследованию F5 подключились💻специалисты из CrowdStrike, Mandiant, NCC Group, IOActive, Федеральных правоохранительных органов США и как предполагают отдельные ИБ-эксперты, 🇺🇸 АНБ, а также 🎩 разведывательное сообщество CША.

--------------------------

👆🤔А что думает Китай по этому поводу?

Пекин отвергает обвинения в причастности к взлому F5, называя их "безосновательными" и "лишенными доказательств".

16 октября 2025 года официальный представитель Министерства иностранных дел КНР Линь Цзянь прокомментировал обвинения на брифинге для прессы, отвечая на вопрос журналиста Bloomberg об инциденте с F5:

Я не знаком с упомянутыми вами подробностями. Что касается подобного рода голословных, не подкрепленных доказательствами обвинений, то мы уже неоднократно разъясняли свою позицию. Китай выступает против хакерской деятельности и борется с ней в соответствии с законом. При этом Китай решительно выступает против политически мотивированного распространения дезинформации.

— заявил официальный представитель.

👆Линь Цзянь придерживается тезиса о том, что США являются 👺"главной хакерской империей в мире". По его мнению, практика обвинений в адрес 🇨🇳Китая является отражением лицемерных двойных стандартов властей США и типичным примером того, когда 🥷 «вор кричит: „держи вора!“».

✋ @Russian_OSINT

Читать полностью…