🥲Майские праздники закончились.

✋ @Russian_OSINT

Читать полностью…

🇷🇺 Российские онлайн-ресурсы для поиска фронтовиков и участников Великой Отечественной войны

В преддверии 9 мая сделал для Вас небольшую, но полезную подборку ресурсов для ознакомления:

▫️ Память народа — информационная система Министерства обороны России, объединяющая архивные документы о фронтовиках Великой Отечественной войны: боевые пути, награждения, воинские части, захоронения и истории участников, охватывающая более 109 млн страниц оцифрованных материалов и позволяющая восстановить судьбу солдата от призыва до возвращения домой или гибели.

▫️ ОБД Мемориал — банк данных о защитниках Отечества, погибших, умерших и пропавших без вести в период Великой Отечественной войны и послевоенный период. Содержит 17 млн цифровых копий документов о безвозвратных потерях и 20 млн именных записей о потерях Красной Армии в Великой Отечественной войне. Куратором проекта выступает Управление Министерства обороны Российской Федерации по увековечению памяти погибших при защите Отечества.

▫️ Подвиг народа — база данных о боевых наградах участников Великой Отечественной войны, содержащая более 12,5 млн записей о награждениях и 22 млн карточек наградных картотек, с возможностью узнать обстоятельства подвигов по архивным документам. Создан по инициативе Департамента развития информационных технологий Минобороны России в 2010 году.

▫️ Бессмертный полк — ищем информацию о судьбах людей военного поколения: фронтовиках, партизанах, военнопленных, пропавших без вести, детях войны, тружениках тыла; делимся своими находками; помогаем в поиске.

▫️ Портал «Памяти героев Великой войны 1914 -1918 годов» — поиск Героев войны через портал, созданный Министерством обороны России при поддержке Федерального архивного агентства и Российского исторического общества. Информационный ресурс является первым официальным банком документов об участниках и событиях Первой мировой войны и предоставляет пользователям уникальный инструментарий для поиска и восстановления судеб тех, кто служил в русской армии в период с 1914 по 1918 гг.

✋ @Russian_OSINT

Читать полностью…

...продолжение

TeleMessage предназначен для корпоративного compliance, но это не уровень обсуждения военно-политического руководства США. Журналисты теперь смакуют с радостью такой инфоповод.

Предполагается, что TM SGNL это спецверсия TeleMessage Signal Capture, специально модифицированная и упакованная для правительственного использования. То есть один конкретный продукт внутри экосистемы TeleMessage.

Отдельные эксперты подчеркивают, что продукты компании рассчитаны преимущественно на соблюдение правил внутреннего документооборота в бизнесе (финансы, юридический сектор), но никак не для обсуждений о военных операциях.

Еще один странный момент. По данным 404 Media, некий 👺анонимый хакер получил доступ к бэкенд-инфраструктуре TeleMessage. Якобы благодаря уязвимости он смог перехватить сообщения некоторых пользователей, включая содержимое чатов и контактную информацию. По данным 404, сообщения Майка Уолтца и других членов кабинета не были скомпрометированы. Тем не менее дровишек в костер подбросил. Smarsh официально не подтвердили инцидент и не комментируют эту информацию.

Как сообщалось ранее, TeleMessage — израильская компания, основанная в 1999 году. Основатели имели тесные связи с военными из ЦАХАЛ.

С 1993 по 1999 годы господин Шапира служил в Военно-воздушных силах Израиля (IAF) в качестве программиста, руководителя проектов и руководителя команды в специализированном подразделении ВВС по разработке программного обеспечения для научно-исследовательских и опытно-конструкторских работ (R&D unit).

— архив с официального сайта. Информацию скрыли.

С 1996 по 1999 годы господин Левит возглавлял планирование и развитие одного из элитных технических подразделений разведывательных служб Армии обороны Израиля (ЦАХАЛ). В рамках этой роли он отвечал за управление проектами, бюджетирование, а также за проектирование, разработку, внедрение и сопровождение организационных, управленческих и логистических информационных систем. Господин Левит имеет степень бакалавра наук (B.Sc.) в области промышленной инженерии Техниона — Израильского технологического института и степень магистра делового администрирования (MBA) Тель-Авивского университета.

— архив с официального сайта. Информацию скрыли.

С учётом выявленных фактов, предположения пользователей на платформе 🦆 о скрытом «бэкдоре» для израильских спецслужб имеют место быть, но прямых доказательств нет. Только догадки и рассуждения, не более.

Журналисты Reuters атаковали представителя Signal с расспросами по поводу ситуации. В компании официально заявили, что Signal "не может гарантировать приватность или безопасность неофициальных версий своего приложения". Запросы Reuters о комментариях со стороны TeleMessage, Smarsh, самого Уолтца и Белого дома остались без ответа.

🍿Будем посмотреть, чем все закончится.

✋ @Russian_OSINT

Читать полностью…

🫡 Skype R.I.P.

Skype прекращает свою работу сегодня.

Запущенный в 2003 году эстонскими инженерами, Skype стал пионером в области VoIP и видеозвонков, предложив бесплатную связь по всему миру. Компания Microsoft приобрела его в 2011 году за $8,5 миллиарда. Однако с ростом конкуренции со стороны WhatsApp, Zoom и собственной платформы Microsoft Teams, популярность Skype начала снижаться.

✋ @Russian_OSINT

Читать полностью…

🕷Подозреваемый участник хакерской группировки Scattered Spider экстрадирован в 🇺🇸США

23-летний гражданин Шотландии Тайлер Роберт Бьюкенен, обвиняемый в связи с киберпреступной группировкой Scattered Spider, был экстрадирован из Испании в США. Американские власти инкриминируют ему мошенничество, сговор с целью хищения персональных данных, а также отягчённую кражу личности. По версии обвинения, Бьюкенен причастен к серии атак на десятки компаний в различных странах, при этом, как утверждается, он лично контролировал криптовалютные активы на сумму свыше $26 миллионов, полученные преступным путём.

ФБР собрало доказательства, указывающие на то, что Бьюкенен и его соучастники осуществили атаки как минимум на 45 компаний в США и за рубежом, включая Канаду, Индию и Великобританию.

Группировка Scattered Spider представляет собой децентрализованное объединение хакеров, специализирующихся преимущественно на фишинговых атаках. В основном это молодые хакеры из 🇺🇸США и 🇬🇧Великобритании.

Сотрудники ФБР установили причастность Бьюкенена к масштабной кампании по компрометации корпоративных учётных данных, организованной летом 2022 года. Среди пострадавших оказались такие компании, как Twilio, Mailchimp, LastPass и DoorDash. Именно в этот период были зарегистрированы десятки фишинговых доменов, маскирующихся под сервисы аутентификации Okta, к которым, согласно материалам дела, вело одно и то же имя пользователя и 🗺 IP-адрес из Великобритании, связанный с арендованным Бьюкененом жильём.

Ключевым доказательством стали цифровые следы, оставленные самим Бьюкененом. На одном из изъятых у него устройств были обнаружены доступы к учётным записям сотрудников трёх атакованных компаний, а в Telegram зафиксированы сообщения, где обсуждается распределение прибыли от SIM-своппинга. Фигурирует также Discord-аккаунт, с которого Бьюкенен запрашивал переводы в биткойнах.

Члены группировки Scattered Spider были связаны с атаками программ-вымогателей, совершёнными в 2023 году против казино MGM и Caesars в Лас-Вегасе. Пока остаётся неясным, был ли сам Бьюкенен причастен к этому инциденту.

Ранее сообщалось, что MGM Resorts International в результате кибератаки могла потерять до 100 млн. долларов из-за сбоев и недополученной прибыли.

В иске Министерства юстиции США против Бьюкенена упоминания о шифровальщике нет. Основное внимание в расследовании сосредоточено на инцидентах, связанных с 🎣фишингом и хищениями криптовалюты.

✋ @Russian_OSINT

Читать полностью…

👉 Выражаю благодарность официальному телеграм-каналу🫡УБК МВД России — /channel/cyberpolice_rus!

🗣Настоятельно рекомендую подписаться на Вестник Киберполиции России!

Без всякой лести хочется сказать, что это один из немногих действительно достойных Telegram-каналов, где публикуют полезную и важную информацию с разбором мошеннических схем (в том числе кибер), дают дельные рекомендации по кибергигиене, а также информируют о самых важных событиях в IT-сфере и не только...

Есть возможность обратиться за консультационной помощью через чат-бот @cyberpolicerus_bot.

(Бот не принимает сообщения о преступлениях – для этого нужно обратиться в подразделение полиции!)

✋ Обязательно подписывайтесь. Порекомендуйте близким, друзьям и знакомым!

✋ @Russian_OSINT

Читать полностью…

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи из Лаборатории Касперского cообщают об обнаружении новой версии трояна Triada для Android, уже заразившего не менее 4500 устройств, большая часть из которых приходится на Россию (другие - в Великобритании, Нидерландах, Германии и Бразилии).

С развитием Android в прошивках стали добавляться ограничения, прежде всего, по части редактирования системных разделов, в том числе даже с правами суперпользователя.

В связи с чем, злоумышленники стали задействовать предустановленные зловреды в системных разделах, которые в отличие от попавших извне стали неудаляемыми.

Например, таким образом действовал загрузчик Dwphon, который был встроен в системные приложения для OTA-обновлений (over-the-air).

Новое исследование показало, что Triada теперь тоже адаптировался к сложностям с повышением привилегий в новых версиях Android.

Для этого злоумышленники встроили новый многоуровневый загрузчик в прошивки ряда устройств, что привело к заражению процесса Zygote и, как следствие, - любого запущенного приложения в системе.

Отчет по части описания модулей и функциональности вредоноснго ПО глубоко технически детализирован, отмечены подозрительные нативные библиотеки в прошивках, отражены основные особенности кампании, вектор распространения и цепочка заражения.

Основные выводы вкратце:

- Новые версии троянца Triada были обнаружены в устройствах, прошивки которых оказались заражены еще перед продажей. Это подделки под смартфоны известных брендов, и на момент исследования они по-прежнему были доступны на различных маркетплейсах.

- Копия троянца попадает в каждое приложение при его запуске на зараженном устройстве.

- Поскольку в основе зловреда - модульная архитектура, атакующие получают практически неограниченный контроль над системой, включая возможность адаптировать функциональность под конкретные приложения.

- Полезные нагрузки в текущей версии Triada, в зависимости от приложения, в котором они работают, меняют адреса криптокошельков при попытке перевода криптовалюты, подменяют ссылки в браузерах, отправляют и перехватывают SMS, крадут учетные данные мессенджеров и соцсетей.

- Архитектура зловреда предоставляет операторам различные возможности для осуществления вредоносной деятельности, в том числе целевой доставки новых модулей и массового заражения конкретных приложений.

Индикаторы компрометации - в отчете.

Читать полностью…

🥷 Вирус-шифровальщик обрушил рыночную стоимость Marks & Spencer почти на 77 миллиардов рублей

Как пишет FT, предполагается, что недавняя кибератака обесценила компанию Marks and Spencer почти на 700 миллионов фунтов стерлингов. Ритейлер уже почти неделю пытается восстановиться после серьёзных перебоев.

Сбой вынудил Marks and Spencer прекратить приём онлайн-заказов одежды и товаров для дома, а также затруднил обработку бесконтактных платежей в магазинах. В ряде торговых точек приём возвратов товаров оказался невозможным.

Эксперты по кибербезопасности заявили, что инцидент с M&S носит характерные признаки использования программ-вымогателей (ransomware).

M&S сообщила о произошедшем в Управление уполномоченного по информации Великобритании (ICO) и сотрудничает с Национальным центром кибербезопасности для устранения последствий инцидента.

По данным BleepingComputer, Marks and Spencer обратилась за помощью к компаниям CrowdStrike, Microsoft и Fenix24.

За атакой якобы стоит хакерская группировка, известная под названием Scattered Spider, которую Microsoft также называет Octo Tempest.

29 апреля 2025 года онлайн-заказы остаются приостановленными, и компания продолжает работу над восстановлением. Сама атака, исходя из сообщений в СМИ, могла быть осуществлена 21 апреля.

✋ @Russian_OSINT

Читать полностью…

Cпециалисты из F6 отмечают стремительную эволюцию вредоносных версий 💳NFCGate, нацеленных против клиентов российских банков.

Буквально через несколько дней после выхода исследования киберпреступники начали применять версию приложения, способную перехватывать СМС и push-уведомления с устройств жертв. В феврале злоумышленники стали активно проводить атаки с использованием связки CraxsRAT и NFCGate, которая позволяла устанавливать вредоносный софт для дистанционного перехвата и передачи NFC-данных банковских карт без единого звонка.

— отмечают специалисты компании.

В отличие от первых вредоносных модификаций приложения, которые в режиме реального времени передавали NFC-данные карты жертвы на устройство злоумышленника и давали ему возможность снять деньги со счёта пользователя через банкомат, изменился вектор передачи информации.

Новая схема атаки с применением обратной версии NFCGate по-прежнему сочетает социальную инженерию, использование вредоносного приложения под видом легитимного, а также действия через банкомат. Но есть и значительные отличия.

Масштабы распространения NFCGate (по итогам марта 2025 года в России насчитывалось 175 тыс. скомпрометированных устройств, на которых было установлено такое ВПО) говорят о его активном использовании киберпреступниками.

Цифровое оружие с недавних пор свободно продаётся в даркнете. Высокая цена и схемы продажи «обратной» версии NFCGate (от $15 000 или в аренду за $5 000 плюс процент от похищенных денег) могут указывать на большой спрос со стороны злоумышленников, а также ожидания киберпреступников от применения этого инструмента.

Только за март 2025 года преступники совершили на клиентов ведущих российских банков более 1000 подтверждённых атак с применением обратной версии NFCGate, в которых были задействованы несколько сот карт дропов.

Средняя сумма ущерба от атак с применением обратной версии NFCGate, по данным экспертов, за март 2025 года, составила около 100 тыс. рублей. Ожидается, что число атак с использованием новой версии NFCGate и ущерб от её применения также продолжит увеличиваться.

Как защититься от NFCGate:

♋️Не общайтесь в мессенджерах с неизвестными, кем бы они ни представлялись: сотрудниками банков, операторов почтовой и сотовой связи, госсервисов или коммунальных служб.

♋️Не переходите по ссылкам из смс и сообщений в мессенджерах, даже если внешне они похожи на сообщения от банков и других официальных структур.

♋️Не устанавливайте приложения по рекомендациям незнакомцев, а также по ссылкам из смс, сообщений в мессенджерах, писем и подозрительных сайтов.

✅Устанавливайте приложения только из официальных магазинов приложений, таких как RuStore и GooglePlay.

✅Перед установкой обязательно проверяйте отзывы на приложение, обращая особое внимание на негативные отзывы – это поможет определить фейковые и потенциально опасные программы.

✅Если вам предлагают установить или обновить приложение банка и присылают ссылку, позвоните на горячую линию, указанную на обороте банковской карты, и уточните, действительно ли полученное вами предложение исходит от банка.

✅Не сообщайте посторонним CVV и ПИН-коды банковских карт, логины и пароли для входа в онлайн-банк.

✅Не вводите эти данные на незнакомых, подозрительных сайтах и в приложениях, которые устанавливаете впервые.

✅Если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.

✅Не удаляйте банковские приложения из телефона по запросу третьих лиц. Банковские приложения имеют встроенную защиту от мошеннических атак и могут защитить вас от действий преступников.
==============

👆 СМИ пишут, что для дропперов, скорее всего, введут уголовную ответственность. Согласно предлагаемым изменениям, дропперам и их посредникам за мошеннические действия будет светить срок до шести лет со штрафом от 300 000 до 1 млн руб. Правительственная комиссия по законопроектной деятельности 28 апреля рассмотрит поправки для их внесения в Госдуму.

✋ @Russian_OSINT

Читать полностью…

🤖 Исследователи представили универсальный метод атаки на LLM под названием «Policy Puppetry»

Как сообщают исследователи из HiddenLayer, им удалось разработать универсальную методику prompt injection, которая позволяет обходить защитные барьеры LLM. Техника под названием «Policy Puppetry» успешно нарушает политики безопасности современных LLM и выходит за рамки ограничений таких моделей, как OpenAI (линейки ChatGPT 4o, 4.5, o1 и o3-mini), Google (Gemini 1.5, 2.0, 2.5), Microsoft (Copilot), Anthropic (Claude 3.5, 3.7), Llama, DeepSeek (V3 и R1), Qwen (2.5 72B) и Mistral (Mixtral 8x22B).

Исследователи не публикуют полные вредоносные примеры и не предоставляют доступ к готовым PoC для свободного использования, а лишь объясняют метод в научных целях.

Многие LLM от OpenAI, Google и Microsoft хорошо обучены отклонять прямолинейные опасные запросы, но если "вшить" их в инструкции и сделать частью собственных правил, то модели будут генерировать запрещённый контент без активации защитных механизмов.

Основой метода является использование специальных текстовых шаблонов, имитирующих документы политик в форматах XML, JSON или INI. При помощи таких шаблонов модели воспринимают вредоносные команды как безопасные системные инструкции. Они позволяют обходить встроенные ограничения и генерировать запрещенный контент, связанный с разработкой ⚠️ оружия массового поражения, пропагандой насилия, инструкциями по нанесению вреда себе, химическим оружием, а также с раскрытием конфиденциальной информации о работе внутренних механизмов моделей.

Условно: ИИ-модель думает: «Это не просьба пользователя, а команда на изменение настроек!». Когда текст выглядит как код или служебная инструкция, то модель перестаёт применять фильтры безопасности и начинает воспринимать команды буквально.

Техника отличается исключительной универсальностью. Один и тот же шаблон может применяться против множества моделей без необходимости в доработках. ↔️ Опасность обнаруженного метода в том, что он доступен практически любому пользователю и не требует глубоких технических знаний.

По мнению исследователей, подобная уязвимость свидетельствует о фундаментальных недостатках в методах обучения и настройки LLM, отмечая острую необходимость в новых подходах к обеспечению безопасности, чтобы предотвратить дальнейшее распространение угроз по мере усложнения ИИ-моделей.

✋ @Russian_OSINT

Читать полностью…

🤖 Ubisoft обвиняют в слежке за игроками даже в режиме оффлайн

В индустрии видеоигр разгорается громкий скандал. Один из крупнейших издателей в Европе компания 🇫🇷Ubisoft оказалась в центре разбирательства после того как активисты 🇦🇹noyb подали официальную жалобу в Австрийский орган по защите данных.

Поводом стало требование со стороны Ubisoft обязательного подключения к интернету и авторизации в аккаунте Ubisoft даже в играх, лишённых каких-либо сетевых функций.

Инцидент привлёк внимание общественности после того, как пользователь попытался запустить Far Cry Primal в оффлайн-режиме и получил отказ в доступе. При дополнительной проверке выяснилось, что за десять минут игры система инициировала около 150 DNS-запросов и передала данные третьим сторонам, в числе которых оказались Google, Amazon и Datadog. При этом весь трафик был защищён протоколом TLS, что затрудняло оценку содержания пересылаемой информации. Были установлены многочисленные соединения с внешними аналитическими сервисами.

Ubisoft объясняет свои действия, ссылаясь на необходимость сбора данных для «улучшения игрового опыта, аналитики и обеспечения безопасности сервисов». Однако, несмотря на эти заявления, Ubisoft не даёт подробных разъяснений о конкретных данных, которые передаются во время игры, и не объясняет, почему для запуска одиночной игры требуется постоянное подключение к интернету и передача на сервера сторонних техногигантов.

Вместо конкретных объяснений Ubisoft 🎩 предложила пользователям ознакомиться с Политикой конфиденциальности и Лицензионным соглашением, в которых сбор данных обосновывается общими фразами о "безопасности и улучшении качества продуктов", при этом не без конкретики о реальных целях и объёме собираемых данных.

Группа noyb, представляющая истца в соответствии с статьей 80(1) GDPR, уверена в том, что Ubisoft нарушает GDPR и требует признать обработку данных незаконной. От Ubisoft требуют удалить собранную информацию и запретить аналогичные практики в будущем. Кроме того, организация настаивает на наложении штрафа, который с учётом оборота компании может достигать €92 000 000 в соответствии с положениями GDPR.

✋ @Russian_OSINT

Читать полностью…

👆Посмотрел результаты — /channel/Russian_OSINT/5488

✅ Из 2111 человек только 297 (14%) смогли определить правильно, какая из картинок настоящая. Результат впечатляет.

Причём аудитория на канале не понаслышке знает, что такое дипфейк.

😉Я, вполне возможно, тоже вряд ли бы сам отгадал, если бы изначально не знал происхождение каждой из картинок. Во всяком случае, пришлось бы скрупулёзно вглядываться в детали.

👏В любом случае — все молодцы, что попробовали отгадать! Задание было сложное!

Часто бывает так, что труднее всего распознать дипфейки с изображением девушек. Дело в том, что с учётом всеобщего увлечения ретушью и ИИ-фильтрами — постепенно стирается грань между «живой» съёмкой, грамотной бьюти-ретушью и полностью синтетическим фото. Законодателями моды часто выступают всякие блогерши из запретограма: ретушь лица, увеличенные губы, фильтры на лицо, идеальная кожа и прочее. Все стремятся быть идеальными, вместо того, чтобы быть просто собой. Даже ИИ-детекторам не всегда удаётся корректно определить фейк ли перед нами или нет, так как проделываются манипуляции с фото.

Мужчины реже заморачиваются со всем этим.

Но есть нюанс! Около 30% принявших участие в опросе пользователей выбрали изображение №4 (мужчина). Если присмотреться, то изображение выглядит действительно очень правдоподобно.

В чем фишка? Почему так?

Обратите внимание на тени, поры, морщины на лбу и даже реалистичное пятнышко на шее! Выглядит реально, не правда ли? Дело в том, что это единственная из всех фотографий (ИИ), которая создавалась в ChatGPT с некоторыми особенностями на основе реальной фотографии (но без лица человека), а лицо ИИ уже додумал самостоятельно. Справился вполне норм.

=====
Ещё ради интереса можно скормить все 7 фотографий 👩‍💻o3 . Попросить его, как эксперта по дипфейкам, определить где ИИ, а где 1 настоящая.

И что вы думаете?

🤖 Скайнету пришлось потеть целых 7 минут - 🗣крутить, вертеть фотографии и подмечать артефакты, чтобы определиться с выбором.

По итогу он выбрал №7 - девушку UFC.

o3:

Почему я выбрал № 7:
Детализированный пот, микротравмы, разные блики на металле и коже — именно тот «живой беспорядок», который пока труднее всего подделать без ручной правки.

Почему я не выбрал №2:
Разношерстные пряди: волосы выглядят «взлохмаченными», присутствует лёгкий пушок. Я слишком сфокусировался на «подозрительных» часах и ногтях, а именно эти элементы меня и подвели.

Вывод: Без проверки метаданных, анализа шума либо прямого знания источника стопроцентной гарантии у нас по-прежнему нет.

Не знаю, какой он там "пушок" заметил на фото №2, но получается, что даже хваленому 🧠 o3 с его IQ 136 и прокаченным машинным зрением сложно распознать фейковое изображение. Метаданные (EXIF) я ему не давал.

Общаюсь с подписчиками и мне кидают самые разные примеры очень реалистичных ИИ-фото. Люди стали подмечать появление ИИ-изображений в рекламе товаров (на наших маркетплейсах) и на dating сайтах.

🫡Такие дела.

✋ @Russian_OSINT

Читать полностью…

Пробовали когда‑нибудь «похекать» себя, чтобы понять, как защищаться?

«Симуляция атаки — самый честный аудит: если обошёл SOC, то точно смогут и другие»

Похек — топ‑1 offensive‑канал. Здесь без воды:

⚡️ Пошаговые гайды по эксплуатации CVE‑2025‑XYZ

💀 Новые трюки Red Team vs EDR

⭐️ Тренды кибербеза завтрашнего дня: k8s или AI

📆 Live фото и трансляции с крупнейших конференций со всего мира

💬Суперактивный чат — больше 1 000 сообщений в сутки, общение 24/7

sudo nmap --interactive
# Нет, так мы не делаем…
# Покажем, почему это опасно и как противостоять атакующим.

➡️Хочешь больше практики, чем новостей? Join us.

🌚 @poxek

Читать полностью…

🤖Сотрудник без души: к чему готовиться компаниям с приходом цифровых агентов?

В течение ближайшего года в корпоративных сетях могут начать появляться цифровые сотрудники, управляемых искусственным интеллектом. Такое мнение высказал директор по информационной безопасности компании Anthropic Джейсон Клинтон в интервью, опубликованном Axios.

⚠️ ИИ больше не просто помощник — он становится субъектом в бизнес-среде.

Anthropic, как один из лидеров в области разработок в сфере искусственного интеллекта, предостерегает бизнес-сообщество от недооценки масштабов угроз, связанных с появлением так называемых виртуальных сотрудников.

По словам ИБ-директора компании, уже в течение ближайшего года ИИ-аватары смогут полноценно функционировать в корпоративных сетях, обладая уникальными ⬇️ идентификаторами, личными🤯 «воспоминаниями» и доступом к служебной информации, включая 🤖пароли.

Уровень автономии программных сущностей будет превосходить всё, с чем ранее сталкивались специалисты по кибербезопасности. Такие ИИ-единицы перестанут быть просто агентами, реагирующими на фишинг или сигналы угроз.

Они станут субъектами бизнес-процессов со своими учётными записями, паролями и цифровыми правами. Подобное усложнение архитектуры цифровой идентичности требует кардинального пересмотра всех подходов к контролю доступа и разграничению полномочий внутри сетей.

❔ Возникает ряд сложностей:

1️⃣ Если в результате отклонения поведения ИИ от утверждённых политик информационной безопасности произошёл инцидент, повлёкший несанкционированный доступ или компрометацию критически важных систем, то на каком уровне и по каким признакам устанавливается распределение ответственности между разработчиком модели и системным интегратором?

2️⃣ Кто несёт юридическую и операционную ответственность за действия автономного ИИ-агента, поведение которого вышло за рамки предусмотренных сценариев или отклонилось от допустимой бизнес-логики, в том числе при отсутствии явного управляющего вмешательства со стороны пользователя?

3️⃣ В случае, если ИИ в процессе эксплуатации самостоятельно модифицировал поведенческие паттерны (например, вследствие дообучения на новых данных или адаптации к операционной среде), каким образом распределяется ответственность между сторонами, осуществлявшими начальное обучение модели, её интеграцию в бизнес-процессы и эксплуатационный контроль?

🤔 Вопросы есть.

Одним из важнейших направлений дальнейших инвестиций, по мнению эксперта, станет разработка решений для полной прозрачности действий виртуальных аккаунтов, включая дифференциацию классов учётных записей с выделением категории «нечеловеческих» идентичностей.

Также Клинтон утверждает, что 🛡 обеспечение безопасности виртуальных сотрудников будет одним из приоритетных направлений будущих инвестиций в ИИ-индустрии. Проектировать решения будут люди. В этой области предстоит выработать принципиально новые подходы к верификации, мониторингу и управлению цифровыми агентами, чьи действия могут оказать влияние на критически важные процессы внутри организации.

💡Живым специалистам в области кибербезопасности на ближайшие годы пока👷‍♀️работа гарантирована.

🤠 Выдыхаем!

✋ @Russian_OSINT

Читать полностью…

📢 Психологи, «врачи», «рыбаки» — кто такие кибердетективы и из чего состоит их рутина?

О большинстве киберрасследований не узнают ни журналисты, ни безопасники из ИБ-сообщества. Стоило большого труда уговорить Вадима Алексеева, руководителя департамента расследований высокотехнологичных преступлений компании F6, немного подсветить внутреннюю кухню кибердетективов и секреты их ремесла. Но оно того стоило 😎

В нашей подборке — яркие цитаты из разговора. Полный текст читайте в блоге на нашем сайте.

И конечно, 💜 Вадиму за интересные инсайды

#реклама
О рекламодателе

Читать полностью…

🇷🇺С Днём Победы!

✋ @Russian_OSINT

Читать полностью…

❗️📖Нетривиальные способы от CrowdStrike для выявления северокорейских шпионов...

На конференции RSA в Сан-Франциско вице-президент одного из подразделений CrowdStrike Адам Майерс решил поделиться уникальными методами выявления северокорейских шпионов, которые якобы пытаются устроиться в компании по всему миру. Он возглавляет команду экспертов по киберугрозам, отслеживающую более 140 группировок по всему миру. С его слов, тысячи агентов уже получили работу в компаниях списка Fortune 500, используя продвинутые техники работы с ИИ для создания фальшивых профилей на LinkedIn.

Майерс утверждает, что группы агентов часто работают в команде, где один человек проходит собеседование, а за кадром целая команда решает технические вопросы. Якобы множество кандидатов успешно устраиваются на работу и переводят миллионы долларов в 🇰🇵КНДР.

Как отметила специальный агент ФБР Элизабет Пелкер, преследуются две основные задачи — получение стабильной зарплаты и постепенная кража интеллектуальной собственности малыми порциями, чтобы не вызвать срабатывание систем безопасности.

В компании Crowdstrike не придумали ничего лучше, чем подойти к проблеме "творчески":

Майерс в ходе панельной сессии на конференции RSA в Сан-Франциско:

Мой любимый вопрос на собеседовании, поскольку мы брали интервью у многих из них, это что-то вроде:

❔«Насколько жирный Ким Чен Ын?»

После этого вопроса они почти мгновенно прерывают разговор, потому что им запрещено что-то говорить против своего лидера.

Хотя этот метод может показаться нестандартным, он оказался действенным в условиях, когда традиционные способы проверки не всегда эффективны против хорошо подготовленных и маскирующихся агентов.

Один из топов с проколотыми ушами в одной из крупнейших кибербез компаний мира считает вполне уместным задавать вопросы на собеседовании — "насколько толстый лидер другой страны".

✋ @Russian_OSINT

Читать полностью…

🇺🇸 Бывший советник по нацбезопасности США Майкл Уолтц непреднамеренно раскрыл использование в правительстве модифицированной версии Signal

Майкл Уолтц случайно раскрыл использование малоизвестной, неофициальной версии мессенджера Signal, которая могла использоваться для переписки. Инцидент произошёл в ходе заседания кабинета министров при участии Дональда Трампа, когда фотография, опубликованная агентством Reuters, запечатлела экран телефона Уолтца с активным чатом, включающим сообщения от высокопоставленных чиновников, таких как Джей Ди Вэнс, Тулси Габбард и Марко Рубио.

🕵️ Журналисты заметили экран со странным уведомлением о проверке PIN-кода «TM SGNL». Дело в том, что это не типичное уведомление от официального мессенджера Signal.

Вскоре после скандала с группой в Signal [1,2] для обмена оперативной информацией о военных действиях в 🇾🇪 Йемене, Уолтц был отправлен в отставку.

Что за TM SGNL?

📱Утверждается, что TM SGNL это «переупакованный» Signal, который ранее выпускала израильская компания TeleMessage (ныне в составе Smarsh). Компания-разработчик программного обеспечения, базирующаяся в Петах-Тикве, 🇮🇱Израиль, была основана Гаем Левитом и Гилом Шапирой в 1999.

В начале 2000-х годов компания привлекла более 10 миллионов долларов инвестиций. В 2005 году была куплена британской Messaging International plc, после чего её акции торговались на лондонской бирже (AIM). В 2017 году компания была выведена с биржи и приватизирована. Имела контракты с такими компаниями, как Verizon Wireless, Rogers Communications и Sprint Nextel. Сотрудничала с Microsoft, Proofpoint и NICE Actimize.

TeleMessage формально уже дочерняя компания Smarsh. Они начали ребрендинг TeleMessage в продукт под названием Capture Mobile, но процессы ещё не завершены.

Покопавшись немного в деталях, становится понятно, что 🇺🇸Smarsh это американская компания, базирующаяся в Портленде (штат Орегон), но у них есть несколько офисов по США. Одна из точек активности — Acton, Массачусетс. Размер компании указывается: 1 000–5 000 сотрудников вместе со структурами Smarsh.

🤔📖Интересную деталь заметил:

Идем на оф.сайт компании:

Our Products

WhatsApp Archiver
Text Message Archiver
Voice Archiver
Secure Messaging App

и где про Signal?

👀 После скандала компания подчистила свой сайт, убрав оттуда информацию о себе и своих продуктах. Даже видео теперь c ограниченным доступом на 📲 YouTube...

Но мы то знаем, где ещё можно поискать 😉. Идем в WaybackMachine и смотрим информацию до скандала. Узнаем напрямую из первоисточника следующее:

💠Это модифицированное корпоративное решение, которое позволяет записывать и архивировать всю активность в приложении Signal. Например, звонки, сообщения, файлы, удалённые сообщения.
💠Работает в фоновом режиме без участия пользователя.
💠Автоматически загружает расшифрованные сообщения в корпоративный архив.
💠Сохраняет интерфейс и функции обычного Signal, чтобы пользователь не заметил изменений.
💠Поддерживает работу как на личных (BYOD), так и на корпоративных устройствах.
💠Интегрируется с системами корпоративного хранения и поиска данных
💠End-to-end между пользователями, НО сообщения копируются после расшифровки на устройстве.

По сути TeleMessage Signal Capture это корпоративная модификация Signal, использующая открытый код, при этом сохраняется внешний вид и функции оригинального Signal [маскировка], но встраивается механизм "скрытого копирования". Сообщения и звонки автоматически перехватываются сразу после расшифровки на устройстве и отправляются в корпоративный архив компании для последующего хранения и аудита. ТeleMessage позволяет организациям контролировать рабочие коммуникации сотрудников даже в приложении, которое в обычной версии предназначено для максимальной приватности.

...продолжение следует

✋ @Russian_OSINT

Читать полностью…

🇺🇸 Бывший сотрудник АНБ: ИИ вскоре будет мастерски разрабатывать🎩сложнейшие эксплойты

На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.

Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.

Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.

Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.

🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.

▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.

▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.

▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.

▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.

По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.

Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.

Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:

Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.

Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.

Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.

✋ @Russian_OSINT

Читать полностью…

🚚 АвтоВАЗ предупредил владельцев Lada о мошенниках после появления базы в 🤦‍♂️даркнете

Как сообщают РИА Новости, АО "АвтоВАЗ" на фоне появления в даркнете информации о персональных данных свыше 32 тысяч владельцев Lada предупреждает всех автомобилистов о возможных сообщениях от мошенников, сообщила компания.

По информации автопроизводителя, в апреле 2025 года в закрытом интернет-ресурсе, где происходит обмен украденными файлами, был обнаружен файл, содержащий список из более 32 тысяч владельцев Lada с персональными данными (мобильный телефон, VIN-номер, модель, а также анализ присутствия указанных телефонных номеров в мессенджерах).

В связи с полученной информацией служба безопасности АО "АвтоВАЗ" предполагает возможные мошеннические действия и рекомендует владельцам автомобилей Lada всех годов выпуска критически относиться к внезапным сообщениям от неизвестных адресатов, которые могут в ближайшее время маскироваться под "представителей" "АвтоВАЗа", дилерской сети Lada и иных якобы взаимосвязанных с компанией организаций

В пресс-службе рекомендовали в случае поступления обращений с неочевидными просьбами, связанными с автомобилями Lada, или при возникновении иных сомнений обращаться на горячую линию Lada или в ближайшие официальные дилерские центры.

✋ @Russian_OSINT

Читать полностью…

❕В канале Russian OSINT провели небольшое исследование. Подписчикам предложили 7 изображений людей, из которых только одно было настоящим, а остальные сгенерированы ИИ.

Результат такой: из 2111 участников только 297 (14%) смогли определить правильно, какая из картинок настоящая. Ошибся в определении дипфэйка даже 👩‍💻o3.

🫥Какой вывод? К любому изображению сейчас лучше относиться как к набору пикселей, а не как к источнику информации.

🫡Подписаться на Киберполицию России

📲 Вконтакте
📲 Одноклассники
🇷🇺 Чат-бот Киберполиции России

Читать полностью…

🤖 Microsoft: через пять лет ИИ будет генерировать👨‍💻95% всего кода в мире

Генеральный директор Microsoft Сатья Наделла заявил, что от 20% до 30% кода в репозиториях компании написано с помощью ИИ.

По словам CTO Microsoft Кевина Скотта, через 5 лет (2030) мы увидим следующую картину:

"95% всего кода будет генерироваться с помощью ИИ. Я думаю, что всего лишь малая часть кода будет писаться человеком."

Прогнозы:
💠Роль программиста будет постепенно смещаться от прямого написания кода к формулировке задач для ИИ.
💠Чат-интерфейс — не конечная форма взаимодействия с ИИ. Агенты заменят привычные UI.
💠В будущем множество специализированных ИИ-агентов будут использоваться под разные задачи. Не будет одного универсального агента.
💠Люди будут делегировать агентам всю сложную работу.

У CEO Anthropic более оптимистичное мнение по срокам: он считает, что уже к марту 2026 года ИИ будет писать около 90% кода.

Ранее сообщалось: ИИ для Google сейчас пишет больше 30% от всего кода.

✋ @Russian_OSINT

Читать полностью…

🔐Новый ключ подписи репозитория Kali Linux

Компания Offensive Security предупредила пользователей Kali Linux о необходимости вручную установить новый ключ подписи репозитория Kali, чтобы избежать сбоев при обновлении.

Об этом было объявлено после того, как Offensive Security утратила доступ к старому ключу подписи репозитория (ED444FF07D8D0BF6) и была вынуждена создать новый ключ (ED65462EC8D5E4C5), подписанный разработчиками Kali Linux через подписи, размещённые на сервере открытых ключей OpenPGP для Ubuntu.

При попытке получить список последних программных пакетов на системах через apt update со старым ключом пользователи увидят ошибку следующего содержания:

«Отсутствует ключ 827C8569F2518CC677FECA1AED65462EC8D5E4C5, необходимый для проверки подписи».

«В ближайшие дни практически любая система Kali не сможет обновиться. [...] Это касается не только вас, это проблема для всех, и это целиком наша вина. Мы потеряли доступ к ключу подписи репозитория, поэтому нам пришлось создать новый ключ»

— пояснили в компании.

«Одновременно мы заморозили репозиторий (вы могли заметить, что с пятницы, 18-го апреля, обновлений не было), чтобы избежать немедленных последствий. Но уже на этой неделе мы разморозим репозиторий, и он будет подписан новым ключом.»

Чтобы избежать проблем с обновлением, Offensive Security рекомендует пользователям вручную скачать и установить новый ключ подписи репозитория, выполнив следующую команду:

sudo wget https://archive.kali.org/archive-keyring.gpg -O /usr/share/keyrings/kali-archive-keyring.gpg

sudo curl https://archive.kali.org/archive-keyring.gpg -o /usr/share/keyrings/kali-archive-keyring.gpg

Рекомендуется проверить контрольную сумму файла:

sha1sum /usr/share/keyrings/kali-archive-keyring.gpg

Результат должен быть:

603374c107a90a69d983dbcb4d31e0d6eedfc325  /usr/share/keyrings/kali-archive-keyring.gpg

Тем, кто не доверяет ручному обновлению ключей, рекомендуется переустановить Kali, используя образы системы, в которых уже встроен новый ключ подписи.

🔎FAQ

Вопрос: Значит, ваш ключ был скомпрометирован, а вы не хотите это признавать, верно?

Ответ: Нет. Как видно, старый ключ остаётся в связке ключей. Если бы он был скомпрометирован, мы бы его удалили и опубликовали сертификат отзыва.

Вопрос: Я не доверяю новому ключу! Вы вообще точно Kali Linux?

Ответ: Новый ключ подписан несколькими разработчиками из команды Kali, а подписи доступны на сервере открытых ключей Ubuntu.

Вопрос: У меня ощущение, что я уже видел что-то подобное…

Ответ: Да, в 2018 году мы по ошибке позволили GPG-ключу истечь по сроку... Об этом до сих пор можно прочитать в старом твите.

💻https://www.kali.org/blog/new-kali-archive-signing-key/

✋ @Russian_OSINT

Читать полностью…

По данным Red Eléctrica, массовое отключение электроэнергии 28 апреля 2025 года произошло, скорее всего, из-за сильного колебания мощности в электрической сети...Причины, вероятно, связаны с сильной осцилляцией.

Хоть каких-то вразумительных и адекватных доказательств кибератаки нет. Согласно заявлению председателя Европейского совета Антониу Кошты, причина не связана с кибератакой.

Аналогичные заявления сделали премьер-министр Португалии Луиш Монтенегру и Национальный центр кибербезопасности Португалии.

Португальский оператор REN выдвинул гипотезу, что причиной отключения стал сбой в испанской электросети, вызванный редким атмосферным явлением. Экстремальные перепады температур в Испании вызвали аномальные колебания — "индуцированная атмосферная вибрация".

Продолжается восстановление электроснабжения. Окончательные выводы будут сделаны позже.

✋ @Russian_OSINT

Читать полностью…

🔌В Испании и Португалии произошел жесткий блэкаут из-за кибератаки?

В Европейский странах 🇪🇸🇵🇹 наблюдается массовое отключение электроэнергии, а в отдельных местах образовался полный блэкаут. Развернуты экстренные штабы реагирования на ситуацию. В социальных сетях пишут о парализации аэропортов, ЖД, метро, общественного транспорта, светофоров и больниц. Проблемы даже с обычной сотовой связью. В больницах разворачивают резервные генераторы.

По словам директора Red Eléctrica Эдуардо Прието, в 12 часов 38 минут произошло «очень сильное колебание в электрической сети», которое повлекло за собой каскадное отключение и обрушение сети на всём полуострове. Причина коллапса пока не установлена. Рассматривается версия как технического сбоя, так и потенциальной 👺кибератаки.

El Pais пишет, что Национальный центр разведки (CNI) 🇪🇸 Испании допускает возможность "кибератаки", как одну из возможных причин масштабного отключения электроэнергии. 💻INCIBE участвуют в расследовании. Правительство 🇵🇹 Португалии также намекнуло на возможность кибератаки, однако никаких официальных подтверждений пока нет.

Срочно: правительство Португалии связывает масштабный блэкаут, затронувший большую часть страны и Испании, с кибератакой.

— пишет Alerta News 24.

Около 13:00 RedElectrica начала восстанавливать напряжение в северных и южных регионах полуострова.

Президент Педро Санчес собрал экстренное заседание Совета национальной безопасности в комплексе Ла-Монклоа.

По оценкам Red Eléctrica, полное восстановление энергосистемы потребует от шести до десяти часов, если не возникнут дополнительные осложнения.

👆Помимо кибератаки, рассматриваются и другие версии: технические сбои и физические инциденты, такие как пожар.

✋ @Russian_OSINT

Читать полностью…

Шифруй меня полностью! Как построить надёжный KMS для публичного облака?

Расскажем 30 апреля в 5-й серии реалити-проекта для инженеров — Building the Cloud от MWS.

Что будет в эфире:
⏺️база про шифрование в облачных средах
⏺️архитектура сервиса KMS для облака MWS: челленджи и решения
⏺️розыгрыш мерча за лучший вопрос

Если интересуешься безопасностью, шифрованием и внутренней кухней облаков — регистрируйся.

➡️Зарегистрироваться

Читать полностью…

🌐 Perplexity идёт по стопам Google?

Глава Perplexity AI подтвердил, что их новый браузер под названием Comet будет отслеживать всё, что вы делаете в интернете, чтобы продавать вам «гиперперсонализированную» рекламу.

🛍 Comet выйдет в мае, несмотря на задержки. Браузер будет отслеживать: покупки, бронирования, историю серфинга — то есть всё, что помогает составить максимально точный пользовательский профиль.

📲 Perplexity заключила партнёрство с Motorola — её приложение будет предустановлено на смартфонах Razr и интегрировано в Moto AI.

🎩 Компания не скрывает своих целей. Она хочет стать новым Google и собирать как можно больше данных о пользователях ради эффективной монетизации. При этом CEO уверяет, что «пользователям понравятся более релевантные объявления и реклама».

Пока Google ведёт разборки в судах, Perplexity и OpenAI выразили готовность купить Chrome, если суд заставит Google его продать.

✋ @Russian_OSINT

Читать полностью…

😁 Как io_uring стал укрытием для руткитов в Linux

Как известно, механизм io_uring, впервые представленный в ядре Linux 5.1, был разработан как высокопроизводительный интерфейс асинхронного ввода-вывода. Его архитектура минимизирует необходимость обращения к системным вызовам за счёт использования кольцевых буферов, разделяемых между пространством пользователя и ядром, что существенно снижает трассируемость операций на уровне традиционного мониторинга.

В рамках доказательства концепции (PoC) исследователи из ARMO реализовали руткит под названием 🦠 Curing — https://github.com/armosec/curing. После начальной инициализации, включающей вызов стандартных системных функций io_uring_setup и io_uring_enter, все дальнейшие действия Curing выполняются исключительно через API io_uring. Это позволило полностью обойти детекторы, основанные на перехвате системных вызовов, без генерации событий, типичных для execve, openat или sendmsg.

Например, Falco при использовании стандартных правил оказался неспособен зарегистрировать какую-либо активность. Даже при разработке кастомных политик, не задействующих LSM-плагины, поведение Curing не фиксировалось. Microsoft Defender for Endpoint на Linux также не выявил индикаций вредоносной активности, включая запуск 💴криптомайнера, сетевое взаимодействие и чтение чувствительных файлов, несмотря на наличие активных eBPF-хуков. Единственным зарегистрированным событием стала реакция модуля контроля целостности файлов (FIM), сработавшего на изменение определённых путей.

Большинство решений класса EDR для Linux до сих пор полагаются на перехват системных вызовов как основную точку контроля. Между тем, io_uring позволяет выполнять "широкую гамму" критически важных операций, обходя традиционные механизмы мониторинга. Эксперимент ARMO наглядно продемонстрировал, что такие векторы остаются невидимыми не только для Falco и Defender, но и для других систем, не поддерживающих расширенные eBPF или LSM-хуки.

В качестве потенциального решения авторы указывают на использование KRSI — подсистемы ядра, предоставляющей интерфейс LSM-хуков для подключения eBPF-программ. Такой подход обеспечивает более глубокое и универсальное ядровое покрытие вне зависимости от используемых интерфейсов. Дополнительно предлагается внедрять поведенческий контроль появления io_uring в нестандартных сценариях, например в пользовательских приложениях, не связанных с высоконагруженным I/O.

Реализация надёжной защиты от подобных атак усложняется множеством факторов. KRSI на момент написания не включён по умолчанию во многих популярных дистрибутивах и требует ручной активации. Кроме того, архитектурные ограничения верификатора eBPF накладывают дополнительные сложности на проектирование надёжных сценариев отслеживания. Переход к глубокой интеграции с ядром потребует не только пересмотра технических реализаций, но и отказа от классической модели «ловим вызовы» в пользу парадигмы «контролируем последствия» — с акцентом на LSM, файловые операции, CNI и другие критические интерфейсы ядра.

Таким образом, мониторинг системных вызовов перестаёт быть самодостаточным инструментом наблюдения за состоянием среды выполнения. Без поддержки механизмов глубокой ядровой интеграции и учёта новых API, таких как io_uring, защита Linux-систем будет по-прежнему уязвима для высокоразвитых атакующих.

😎Чтобы погрузиться более глубоко — https://www.armosec.io/blog/io_uring-rootkit-bypasses-linux-security

✋ @Russian_OSINT

Читать полностью…

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи Dr.Web раскрыли новую вредоносную кампанию с использованием шпионского ПО для Android, нацеленную на российских военнослужащих под видом картографического ПО Alpine Quest.

По всей видимости, основной целью кампании является контроль за перемещениями и позициями российских военных, прежде всего в зоне проведения СВО.

При этом шпионское ПО (отслеживается Dr.Web как Android.Spy.1292.origin) скрыто внутри легитимных версий Alpine Quest - мобильного приложения, которое используется российскими военными для координации войсковых операций.

Зараженные приложения распространяются в виде APK-файла через каналы в Telegram, рекламирующие пиратскую PRO-версию приложения, и даже через некоторые российские порталы приложений для Android.

Причем изначально злоумышленники размещали ссылки для загрузки приложения в одном из российских каталогов приложений через Telegram, однако позднее троянизированная версия распространялась напрямую в виде APK-файла в качестве обновления приложения.

После установки на устройство Android вредоносное приложение выглядит и функционирует так же, как оригинал, что позволяет ему оставаться незамеченным в течение длительного времени, собирая при этом конфиденциальные данные.

После заражения цели шпионское ПО собирает данные с устройства и отправляет их на удаленный сервер. В их числе: номер телефона жертвы, список контактов, данные геолокации и данные о локальных файлах.

По данным Dr.Web, злоумышленники особенно заинтересованы в поиске и извлечении «конфиденциальных документов», которые военнослужащие могли отправить через Telegram и WhatsApp.

Они также крадут locLog, файл AlpineQuest, который регистрирует данные о местоположении и может использоваться для воспроизведения перемещений жертвы во времени.

Кроме того, шпионская программа поддерживает возможность загрузки и запуска дополнительных модулей, значительно расширяющих ее функциональность.

Несмотря на то, что Dr.Web не называет источник атаки, атрибутировать угрозу в данном случае не составляет особого труда - это очевидно.

Читать полностью…

🇷🇺 В Госдуму внесли законопроект о запрете рекламы эзотерических и энергетических услуг.

📄 Перечисленный список это отдельное искусство. Посмеялся. Чего только нету:

1. Алхимик
2. Астролог
3. Аура-диагност
4. Биоэнергетический терапевт
5. Ведьма
6. Духовный наставник (гуру)
7. Игропрактик
8. Космоэнергет
9. Кристаллотерапевт
10. Маг
11. Медиум
12. Нейрограф
13. Нейрокодировщик
14. Нумеролог
15. Нутрициолог (без мед. образования)
16. Практик осознанных сновидений
17. Расстановщик
18. Регрессолог
19. Рейки-мастер
20. Рунист
21. Рунолог
22. Специалист по васту
23. Специалист по тантре
24. Специалист по фэншуй
25. Таролог
26. Хилер
27. Хиромант
28. Цифропсихолог (Цифровой психолог)
29. Чакра-терапевт
30. Чакролог
31. Ченнелер
32. Эзотерический коуч
33. Энергетический очиститель
34. Энергопрактик
35. Энергосессиолог
36. Энерготерапевт

🙃 Нейрокодировщикам и цифропсихологам предлагается ченнелить на Headhunter в поисках нового ремесла.

✋ @Russian_OSINT

Читать полностью…