🇨🇳На ISC[.]AI 2026 представили китайский Mythos

На 14-й Конференции по интернет-безопасности ISC[.]AI 2026, которая открылась 24 июня 2026 года, основатель компании 360 Group Чжоу Хунъи представил 2 новые ключевые разработки в сфере ИБ. Данные решения получили общее название «Итянь Тулун» (倚天屠龙). Они призваны полностью автоматизировать процессы поиска системных уязвимостей и защиты компьютерных сетей.

1️⃣ Первой анонсированной новинкой стал интеллектуальный агент для автоматического поиска уязвимостей под названием «Тулунфэн» (图龙锋). Руководитель компании назвал этот инструмент китайским аналогом известной американской ИИ-модели Mythos от компании Anthropic.

К настоящему моменту система «Тулунфэн» помогла обнаружить 3432 уязвимости. Из этого числа регулирующие органы официально подтвердили 105 уязвимостей, а национальная база данных уязвимостей классифицировала ряд из них как высокоопасные. Данная система успешно применяется для анализа открытого исходного кода, операционных систем, офисных программ и платформ для ИИ-агентов. Основатель компании 360 Group Чжоу Хунъи подчеркнул, что «Тулунфэн» уже обладает возможностями, аналогичными возможностям американской ИИ-модели Mythos.

2️⃣ Второй новинкой стала система автоматизированной сетевой защиты «Итяньчжэнь» (仪天阵). Данный комплекс предназначен для автономного управления безопасностью в реальных сетевых условиях. Система способна самостоятельно планировать задачи, оценивать сигналы тревоги и принимать скоординированные меры по устранению угроз. Даже появление китайской версии Mythos не устранит все риски, ведь уязвимости неисчерпаемы. Чжоу Хунъи считает, что единственным выходом остается противопоставление вычислительных мощностей вычислительным мощностям, что позволит перевести систему ИБ Китая от тактики привлечения огромного числа специалистов к режиму автопилота.

В своем выступлении основатель компании 360 Group Чжоу Хунъи упомянул действия американской компании Anthropic, которая недавно ограничила доступ к своей самой мощной внутренней ИИ-модели Mythos. Чжоу Хунъи пояснил, что ИИ-модель Mythos превратилась в сетевое ядерное оружие эпохи ИИ и сформировала новое стратегическое сдерживание, поскольку она способна самостоятельно находить и анализировать уязвимости, а также конструировать инструменты для совершения масштабных кибератак.

По мнению китайского предпринимателя, ИИ полностью меняет правила игры в сфере ИБ, которые оставались неизменными последние 30 лет.

Ранее поиск уязвимостей требовал колоссальных ресурсов и усилий редких высококлассных специалистов, однако новые ИИ-модели позволяют автоматизировать и масштабировать этот процесс, оперативно выявляя даже старые и глубоко скрытые дефекты кода. При этом Чжоу Хунъи отметил, что Китаю не следует просто копировать зарубежный подход, основанный на использовании вычислительных мощностей и возможностей ИИ-моделей ради достижения результата грубой силой.

В рамках конференции компания 360 Group также объявила о запуске программы сотрудничества в сфере безопасности под названием «Панши чжи дунь» (磐石之盾). Инициатива направлена на предоставление ИИ-технологий защиты ключевым отечественным ИТ-предприятиям и КИИ Китая. К проекту уже присоединился ряд ведущих китайских технологических, инфраструктурных и облачных компаний, среди которых присутствуют UnionTech (统信), Kylin (麒麟), Hillstone Networks (山石网科), Hygon (海光), Phytium (飞腾), Kingdee (金蝶), Biren Technology (壁仞), Mobile Cloud (移动云), Baoland (宝兰德) и Dameng (达梦).

👆Основатель компании 360 Group провел параллель с американским альянсом Glasswing, который использует возможности ИИ-модели Mythos для защиты критической инфраструктуры США, и призвал китайское деловое сообщество заблаговременно формировать собственные системы коллективной безопасности.

✋ @Russian_OSINT

Читать полностью…

🇺🇸 Увольнение Джастина Поэнелта из Google из-за вирусного инструмента Workspace CLI

Бывший сотрудник компании Google Джастин Поэнелт (Senior Software Engineer в Google), известный в социальных сетях под псевдонимом @JPoehnelt, опубликовал историю своего резонансного увольнения. Специалист проработал в корпорации почти 7 лет, но был вынужден покинуть Google.

Поводом для этого послужило создание интерфейса командной строки Google Workspace CLI, который вызвал серьезные внутренние споры в корпорации.

👆Речь про https://github.com/googleworkspace/cli. Проект получил колоссальную поддержку ИТ-сообщества и набрал более 28 100 звёзд на GitHub, а также 1 500 форков.

Разработанная утилита мгновенно привлекла внимание профессионального сообщества в начале марта 2026 года. Проект быстро возглавил рейтинг на платформе Hacker News, собрал тысячи звезд в репозитории на GitHub и заинтересовал множество реальных пользователей. Другие профильные специалисты отметили в своих комментариях, что данное решение позволяет эффективно взаимодействовать с API без необходимости изучать сложные инструкции.

Внезапный успех проекта спровоцировал неоднозначную реакцию со стороны руководства. Представители юридического департамента устроили ему допрос. Юристов возмутило присутствие официального логотипа и фирменных цветов бренда на страницах стороннего проекта в GitHub.

Ситуация обострилась из-за крайне неудачного для автора совпадения по времени. Буквально за 2 дня до увольнения сотрудника на конференции Google Cloud Next компания анонсировала выпуск своего собственного официального CLI для Workspace. Проект сотрудника стал вирусным на Github незадолго до этого события. По мнению автора, руководители проекта Workspace попросту испугались внутренней конкуренции со стороны его утилиты.

По мнению бывшего инженера Google, менеджеры проекта Workspace увидели в развитии технологических агентов глобальную угрозу для привычной экосистемы своих сервисов. Созданная утилита позволяла сторонним ИИ-моделям управлять почтой, облачным диском и календарями пользователей напрямую. Это полностью исключало необходимость использовать стандартные интерфейсы или изучать сложную официальную документацию для разработчиков. В результате руководство проекта Workspace испугалось дестабилизации и неопределенности, связанных с интеграцией технологических агентов.

В итоге формальным поводом для увольнения стало нарушение правил использования бренда и интеллектуальной собственности. Твит с историей набрал около 3 млн просмотров.

✋ @Russian_OSINT

Читать полностью…

💸 Студентам платили до $3 000 за ролики с несуществующими выигрышами Polymarket

Расследование журналистов издания The Wall Street Journal показало, что популярная платформа крипторынков предсказаний Polymarket массово использовала фейковые видеоролики для привлечения пользователей. Проплаченные блогеры создавали видимость крупных выигрышей на сайтах-двойниках, хотя на самом деле эти ставки были вымышленными.

Журналисты проанализировали 1105 видеороликов, которые опубликовали 10 ключевых создателей контента в период с декабря 2025 года по середину мая 2026 года. Результаты этого анализа выявили масштабную схему симуляции торгов, направленную на привлечение доверчивых пользователей на платформу Polymarket.

▪️Общая сумма вымышленных ставок. В 70% изученных видеороликов блогеры якобы заключали пари на общую сумму $1,9 млн. Проверка показала, что ни одна из этих ставок не была реальной.
▪️Сфабрикованные выигрыши. В 118 роликах авторы бурно реагировали на свои победы и демонстрировали вымышленные доходы в размере почти $900 000.
▪️Реальные убытки. Если бы эти ставки действительно были размещены на настоящей платформе, блогеры потеряли бы более $166 000.
▪️Гонорары за рекламу. Привлеченные студенты и инфлюенсеры получали от Polymarket от $2 000 до $3 000 в месяц, при этом компания требовала скрывать факт спонсорства.

🕵️Как работала схема продвижения?

Для создания убедительных видеороликов компания разработала точные копии своего интерфейса. Блогеры делали ставки на тестовых серверах или на специально созданных сайтах-двойниках. Одним из таких ресурсов был адрес poiymarket.com, где заглавная буква «i» выглядела идентично строчной «l» в оригинальном названии.

Продвижением занималось маркетинговое агентство Virality, которое нанимало армию сторонних дистрибьюторов (так называемых «клипперов») для массового перезалива контента. Эти нарезчики контента получали выплаты только в том случае, если более 60% их аудитории находилось в США. Руководство требовало удалять любые упоминания бренда из названий аккаунтов, чтобы ролики выглядели как личный органический контент обычных пользователей.

Контент создавался по общим шаблонам с использованием цепляющих фраз для привлечения внимания зрителей. Авторы часто называли свои выигрыши со ставок «легкими деньгами».

В поле зрения расследования попал известный стример Адин Росс, который заключил с платформой многомиллионный контракт. В своих трансляциях он открыто обсуждал возможность использования инсайдерской информации для ставок. В качестве примера он приводил дату выхода нового альбома рэпера Дрейка, с которым знаком лично. Маркетологи платформы намеренно платили за продвижение этих фрагментов, распространяя идею о легких манипуляциях на рынке.

👆Представители Polymarket заявили о приверженности принципам прозрачности и пообещали провести комплексный аудит рекламных материалов. Федеральная торговая комиссия США (FTC) отказалась от комментариев, в то время как представитель Комиссии по торговле товарными фьючерсами (CFTC) подчеркнула важность возвращения офшорных рынков предсказаний обратно в юрисдикцию США для более эффективного надзора.

✋ @Russian_OSINT

Читать полностью…

📖Meta* останавливает программу слежки за своими сотрудниками из-за масштабной внутренней утечки данных

Компания Meta временно остановила спорную программу по отслеживанию действий своих сотрудников после того, как конфиденциальная информация оказалась в открытом для всей компании доступе. Причиной инцидента стали неправильно настроенные списки контроля доступа, из-за которых массивы данных с рабочих ноутбуков стали видны любому сотруднику внутренней сети.

В открытом доступе оказались сведения из 45 000 таблиц базы данных Hive. По информации из внутренних документов компании, этот массив включал в себя логи нажатий клавиш, клики мыши, текстовые запросы, личные переписки и рабочие отчеты американских специалистов. Данные собирались в рамках инициативы Model Capability Initiative для того, чтобы обучать новые ИИ-модели поведению человека при работе со сложным программным обеспечением.

Выяснилось, что помимо текстовых запросов и логов в открытом доступе оказались внутренние рейтинги конфиденциальности DSS от первого до четвертого уровня. Еще в мае корреспонденты Reuters выяснили, что система собирала значительно больше информации, чем руководство заявляло изначально. При этом сведения хранились в незашифрованном виде, что вызывало опасения сотрудников по поводу конфиденциальности.

Пресс-секретарь Meta Трейси Клейтон подтвердил факт расследования инцидента и сообщил, что компания полностью останавливает программу сбора данных на неопределенный срок. При этом он добавил, что на текущий момент у руководства нет доказательств неправомерного использования утекшей информации другими сотрудниками.

Главный технический директор Meta Эндрю Босворт признал, что реализация программы не соответствовала внутренним стандартам конфиденциальности. Он пообещал сотрудникам провести аудит каждого случая несанкционированного просмотра информации и поделиться результатами расследования. Ранее руководитель заверял коллектив, что эти массивы данных защищены так же строго, как и любые другие критически важные базы компании.

Хотя руководство официально объявило о заморозке проекта, программа мониторинга продолжала вести запись действий на компьютерах американских сотрудников в понедельник днем. Представитель компании пояснил, что процесс отключения мониторинга разворачивается постепенно, поэтому для полной остановки сбора данных на всех устройствах требуется некоторое время.

👆Как отмечают эксперты, ситуация осложняется тем, что Meta находится под действием соглашения с Федеральной торговой комиссией США до 2040 года. Документ обязывает технологического гиганта строго соблюдать меры ИБ для предотвращения утечек. На фоне недавних массовых сокращений и масштабной реорганизации этот инцидент может серьезно усугубить кризис доверия внутри коллектива.

*Деятельность компании Meta (владеет Facebook, Instagram, WhatsApp) запрещена в РФ и признана 🏴‍☠️экстремистской.

✋ @Russian_OSINT

Читать полностью…

🇺🇸 Некоторые подразделения АНБ потеряли доступ к ИИ-модели 🈁Mythos 5

Как заявил американский чиновник агентству Associated Press, в ходе недавних проверок безопасности ИИ-модель Mythos компании Anthropic выявила уязвимости в высокочувствительных защищенных компьютерных системах американского правительства. По данным NYT, закрытые сети были полностью отрезаны от интернета.

По словам источника, уязвимости были обнаружены всего за несколько часов, но это не означает, что модель была способна их эксплуатировать. Red Teaming учения проводилась в рамках инициативы компании Anthropic под названием Project Glasswing. Были задействованы как специалисты компании🈁Anthropic, так и🎩🇺🇸разведывательные службы США. В ходе киберучений уполномоченные ИБ-специалисты имитируют атаки или проводят стресс-тестирование систем, чтобы организация могла обнаружить и устранить 🐞уязвимости до того, как ими воспользуются реальные злоумышленники.

По данным NYT, cпособности Mythos превзошли даже самые высокие ожидания аналитиков.

Сенатор Марк Уорнер заявил, что Mythos якобы проникла практически во все засекреченные системы не за недели, а за считанные часы. При этом он сослался на главу 👮АНБ и Киберкомандования США генерала Джошуа Радда.

Позднее редактор отдела обороны журнала The Economist Шашанк Джоши опубликовал в социальной сети X сообщение о том, что американский чиновник указал на ошибку сенатора Марка Уорнера, который неправильно понял слова генерала Джошуа Радда.

👉 Комментарии главы АНБ относились к высокой скорости поиска внутренних ошибок в ПО, так как ИИ-модель показывает поразительную способность быстро находить скрытые уязвимости в коде. При этом Mythos не способна самостоятельно эксплуатировать уязвимости для проведения реальной атаки.

🤔Примечателен тот факт, что после всех вышеупомянутых событий 🎩отдельные подразделения АНБ США ♋️лишились доступа к ИИ-модели Mythos 5 компании Anthropic. Утверждается, что АНБ все еще может использовать более ранние версии ИИ-модели в рамках прошлых соглашений, но техническая поддержка, обновления и возможности модификации теперь существенно ограничены.

👆Кроме того, пошли уже первые иски. Специализирующаяся на разработке юридического ПО IT-компания Legion LegalTech, Corp 📄 подала судебный иск против правительства США в связи с запретом ИИ-моделей Fable 5 и Mythos 5. В качестве ответчиков выступают Министерство торговли США, Бюро промышленности и безопасности, профильные руководители этих ведомств и Администрация президента США. Исковое заявление направлено в Федеральный окружной суд округа Колумбия с требованием признать незаконной и отменить правительственную директиву по блокировке передовых ИИ-моделей.

🤬Как утверждается, инженеры Legion LegalTech лишились рабочего инструмента, к которому компания имела законный коммерческий доступ. Этот запрет нарушил процесс разработки платформы компании.

⚖️В своем заявлении истец доказывает выход администрации президента за рамки правового поля и называет этот запрет кульминацией кампании возмездия, прямо указывая на свободную доступность идентичных функций в продуктах конкурентов, включая OpenAI GPT-5.5. Истинным мотивом блокировки истец считает месть администрации за отказ компании Anthropic предоставить Пентагону неограниченный доступ к своим ИИ-моделям.

В предоставленных судебных материалах и заявлениях независимых экспертов указывается, что обнаруженный способ обхода защитных барьеров ИИ-модели носил крайне ограниченный характер. То, что правительство США назвало угрозой, на деле оказалось стандартной и легитимной функцией ИИ-модели для защиты и исправления программного кода.

👆Про DOP разбор был тут.

Правительство обосновало свой запрет отчетом компании Amazon о предполагаемом «джейлбрейке» ИИ-модели Fable 5. В иске поясняется, что заявленный взлом заключался лишь в возможности пользователя попросить ИИ-модель проанализировать стороннее программное обеспечение и выявить в нем различные недостатки. Истец подчеркивает, что такой анализ кода является абсолютно типичным сценарием использования практически любой 🤖флагманской ИИ-модели.

✋ @Russian_OSINT

Читать полностью…

🇬🇧В Великобритании признаны виновными киберпреступники из Scattered Spider, взломавшие компьютерную сеть управления транспорта Лондона.

Британское NCA выпустило пресс-релиз, где утверждается, что два молодых человека признали свою вину в совершении масштабной кибератаки на компьютерную сеть Управления транспорта Лондона (Transport for London, TfL). Данный инцидент привел к многомиллионным убыткам и создал серьезные технологические проблемы для тысяч пассажиров.

Расследование в отношении двадцатилетнего жителя восточного Лондона Талхи Джубейра (Thalha Jubair) и восемнадцатилетнего Оуэна Флауэрса (Owen Flowers) из города Уолсолл, расположенного в регионе Уэст-Мидлендс, провели сотрудники Национального агентства по борьбе с преступностью (National Crime Agency, NCA) совместно с представителями Полиции Лондонского Сити (City of London Police, COLP).

Следствие установило, что злоумышленники незаконно проникли в ИТ-инфраструктуру ведомства в период с 31 августа по 3 сентября 2024 года.

Оба хакера были задержаны 16 сентября прошлого года по местам их проживания. Как выяснили правоохранительные органы, молодые люди являлись участниками преступного сообщества Scattered Spider.

😐 В результате их деструктивных действий все 28 000 сотрудников транспортного ведомства были вынуждены лично явиться в офисы для принудительного сброса паролей. Сообщается, что общая сумма финансового ущерба и затрат на ликвидацию последствий атаки составила £29 млн.

Преступники сумели получить доступ к персональным данным системы возврата денежных средств по проездным картам Oyster. Из-за этого процесс выплаты компенсаций клиентам затянулся на неопределенный срок, а электронная система подачи заявок на получение льготных детских и молодежных фотокарт Oyster оказалась полностью заблокирована.

Оуэн Флауэрс изначально был взят под стражу по делу об атаке на лондонский транспорт еще 6 сентября 2024 года. В ходе обысков сотрудники ведомства обнаружили цифровые улики, которые указывали на его причастность к взломам и повреждению сетей американских медицинских корпораций SSM Health Care Corporation и Sutter Health. На обыске в его доме правоохранители изъяли портативные и стационарные компьютеры, жесткие диски, а также флеш-накопители. На одном из ноутбуков марки Acer был обнаружен снимок экрана, который подтверждал активное сетевое подключение к серверам лондонского ведомства. Кроме того, молодой человек регулярно использовал специализированные интернет-ресурсы для приобретения ранее похищенных учетных данных.

На изъятом компьютере также содержались видеозаписи, на которых был зафиксирован сам процесс взлома транспортной системы Талхой Джубейром. Во время совершения преступления подельники координировали свои действия через мессенджер Telegram и активно применяли онлайн-платформы для совместной удаленной работы.

Судебное заседание должно было начаться в Королевском суде Вулиджа (Woolwich Crown Court) 22 июня 2026 года. В первый же день процесса оба обвиняемых изменили свою позицию и полностью признали вину, поэтому необходимость в проведении длительного разбирательства с участием присяжных отпала. Вынесение окончательного приговора назначено в том же суде на 16 июля 2026 года.

Руководитель Национального подразделения по борьбе с киберпреступностью NCA Пол Фостер подчеркнул, что расследование было продолжительным и чрезвычайно сложным. По его словам, пример данных злоумышленников отражает растущую угрозу со стороны 🇺🇸🇬🇧🥷англоязычных киберпреступных сообществ, ярким представителем которых выступает группировка Scattered Spider.

✋ @Russian_OSINT

Читать полностью…

👷‍♀️⚔️🤖Корпорация Oracle сократила 21 000 рабочих мест в пользу ИИ и автоматизации

Американская корпорация Oracle Corporation опубликовала годовой финансовый отчет для регулирующих органов, в котором сообщается о сокращении штата компании на 21 000 сотрудников по всему миру, что составляет примерно 13% от ее общей численности. Количество штатных работников сократилось со 162 000 человек в мае 2025 года до 141 000 человек к концу мая 2026 года.

Фактором оптимизации штата руководство компании назвало принятие и развертывание технологий искусственного интеллекта в своей деятельности. В официальном документе указано, что развертывание технологий искусственного интеллекта во всех внутренних процессах уже привело к сокращению штата и может продолжить влиять на численность персонала в будущем.

👆Процесс сокращения персонала привел к расходам на реструктуризацию в размере около $1,8 млрд.

✋ @Russian_OSINT

Читать полностью…

🇨🇳⚔️🇺🇸 Зеркальный ответ Пекина на ограничения 1260H против китайского 📝техсектора

Министерство коммерции КНР опубликовало постановление о внесении 10 американских компаний в список экспортного контроля. В отношении данных организаций введены строгие ограничения на поставку китайских товаров двойного назначения, однако в исключительных случаях экспорт возможен по специальному разрешению Министерства коммерции КНР. Кроме того, компаниям и частным лицам из третьих стран запрещено передавать данным американским структурам товары двойного назначения, произведенные на территории КНР.

🛡 По оценке экспертов, данный шаг стал ожидаемым и пропорциональным ответом на американские ограничения.

Ранее Министерство обороны США обновило перечень компаний, связанных с китайским военно-промышленным комплексом в рамках раздела 1260H, включив в него ведущие корпорации КНР, среди которых выделяются разработчики ИИ-моделей Alibaba и Baidu. Об этом написано тут.

💬Полный перечень американских структур представлен в приложении к официальному документу от 22 июня 2026 года.

Aveox Inc. — специализируется на производстве дронов и авиационных систем.
Red Cat Holdings Inc. и дочерняя компания Teal Drones Inc. — занимаются разработкой и массовым производством автономных военных беспилотников.
IMSAR LLC — производитель радаров с синтезированной апертурой, используемых для разведки и наблюдения.
Jaia Robotics Inc. — разработчик автономных подводных роботов и океанического оборудования для морской разведки.
Ball Aerospace & Technologies Corp. (ныне часть BAE Systems) — поставщик космического оборудования и военных сенсорных систем.
Oshkosh Defense LLC — производитель боевых машин для армии США.
L3Harris Maritime Services Inc. — подразделение корпорации L3Harris, отвечающее за морские коммуникации и интеграцию оборонных систем.
MP Materials Corp. и USA Rare Earth Inc. — компании, работающие в секторе добычи и переработки редкоземельных металлов.

Одновременно с экспортными ограничениями Министерство финансов КНР выпустило внутреннее распоряжение. Данный документ категорически запрещает всем государственным органам Китая и бюджетным учреждениям приобретать продукцию 46 американских компаний в рамках любых закупочных процедур. В официальном заявлении Министерства финансов КНР не приводится никаких исключений для американских предприятий, в том числе для компаний, имеющих собственные производственные филиалы на территории Китая.

Особое внимание привлекает включение в список компаний MP Materials Corp. и USA Rare Earth Inc. Редкоземельные элементы критически важны для производства высокотехнологичного оружия, включая истребители, боевые корабли, ракеты и разведывательные БПЛА. Ограничивая экспорт товаров двойного назначения в адрес данных компаний, КНР стремится ослабить материальную базу американских оборонных поставок на Тайвань на начальных этапах производственной цепочки. Американское военное ведомство стремится полностью избавиться от сырьевой зависимости от Китая и с 2020 года инвестировало в этот сектор более $439 млн.

Эксперты считают, что новые меры Пекина носят прицельный характер и направлены на разрушение логистических цепочек поставок вооружений, которые Соединенные Штаты направляют на Тайвань.

👆Профессор Университета иностранных дел Китая Ли Хайдун подчеркнул, что подобные действия свидетельствуют о более решительном подходе Пекина к защите своих национальных интересов.

✋ @Russian_OSINT

Читать полностью…

📝Micron и 🈁Anthropic объявили о заключении стратегического соглашения

Производитель полупроводников Micron Technology и Anthropic заключили стратегическое соглашение, направленное на совместное проектирование и оптимизацию инфраструктуры для ИИ-моделей следующего поколения.

В рамках этого партнерства Micron обеспечит долгосрочные поставки передовых решений в области памяти и хранения данных для масштабирования вычислительных мощностей семейства Claude, а также выступит стратегическим инвестором в раунде финансирования серии H компании Anthropic.

Инженеры обеих компаний займутся интеграцией технологий HBM, DRAM и твердотельных накопителей в вычислительный стек для снижения энергопотребления и улучшения экономики генерации токенов. При этом сама Micron уже внедрила ИИ-модели Claude для ускорения написания кода, развертывания автономных агентов и повышения эффективности своих инженерных, а также производственных процессов.

✋ @Russian_OSINT

Читать полностью…

🇧🇷Компрометация национальной системы оповещения Бразилии привела к массовой рассылке ложных сигналов об 👽инопланетной угрозе

В ночь на 20 июня 2026 года бразильская национальная система гражданской обороны подверглась масштабной кибератаке, которая затронула около 30 млн жителей в восьми штатах страны. Несанкционированная активность на платформе IDAP, он же Interface de Divulgação de Alertas Públicos, (Интерфейс публикации публичных оповещений) началась 19 июня в 23:41 и продолжалась до 01:23 следующего дня.

IDAP* позволяет отправлять алерты (оповещения) по SMS, WhatsApp, Telegram, TV, Google Public Alerts и, главное, через Cell Broadcast (Defesa Civil Alerta), технологию, которая рассылает сообщения напрямую на совместимые телефоны (даже в беззвучном режиме, без необходимости регистрации). Примечательно, что ложные предупреждения Defesa Civil попали не только в Cell Broadcast, SMS и WhatsApp, но и в Google Maps через механизм Google Public Alerts.

За этот промежуток времени злоумышленник успел совершить 10 ложных выпусков сигналов (пишут, что уровень уровня «Extremo»). В целях экстренного сдерживания кибератаки профильные службы приняли решение превентивно отключить систему от сети около 01:30. Оповещения максимального уровня опасности были зафиксированы в крупнейших мегаполисах, включая Сан-Паулу, Рио-де-Жанейро, Куритибу, Бразилиа и Белу-Оризонти.

Представители СМИ отмечают отсутствие признаков сложного технического взлома. Злоумышленник предпринял попытку перебора паролей с использованием ранее утекших учетных данных. Особую пикантность истории придаёт отсутствие 😹двухфакторной аутентификации в административной панели ведомства.🤦‍♂️Шёл 2026 год.

Воспользовавшись халатностью сотрудников, которые годами не меняли пароли, хакер мог получить доступ к нескольким аккаунтам. Один из аккаунтов принадлежал 2-му сержанту Корпуса военной пожарной службы штата Пара (Corpo de Bombeiros Militar do Pará), чьи учётные данные были использованы для отправки части ложных оповещений.

Основная часть ложных сигналов поступила на мобильные устройства граждан через технологию Cell Broadcast (сотовое вещание), которая автоматически блокирует экраны телефонов и активирует громкую сирену в обход беззвучного режима. Десятое по счету сообщение ушло через классический сервис SMS (служба коротких сообщений). Данные предварительного расследования говорят о том, что из-за единого ядра платформы IDAP ложные автоматические оповещения категории Alerta Extremo (экстренная тревога) просочились во все интегрированные экосистемы, включая сотовое вещание, SMS-канал и официального бота в мессенджере WhatsApp.

В результате граждане получили официальные уведомления со странными терминами вроде «мизантропия» (misantropi4) и заявлениями об «инопланетном вторжении».

Оригинальный португальский текст был набран заглавными буквами и выглядел следующим образом:

ATAQUE ALIENIGENA,HUMANOS CHEGAMOS

В переводе на русский язык эта фраза означает 👽🛸«АТАКА ИНОПЛАНЕТЯН, ЛЮДИ, МЫ ПРИБЫЛИ».

В настоящее время национальный секретарь по защите и гражданской обороне Волней Вольфф координирует работу с Федеральной полицией для установления личности хакера, который в своих социальных сетях уже намекнул на скорый арест и временное заключение в государственном учреждении Fundação CASA (центр социально-воспитательной помощи подросткам).

Главным источником эксклюзивных сведений оказалось профильное бразильское ИТ-издание TecMundo. Редактор этого ресурса Адриану Камачу сумел напрямую связаться с предполагаемым злоумышленником и взять у него развернутое интервью.

Издание первым опубликовало технические детали компрометации и скриншоты из закрытых чатов хакеров. Злоумышленник действует под сетевым псевдонимом Misantropo и использует аккаунт @mizantropiaz в социальной сети X (бывший Twitter). В своих публикациях он открыто заявляет, что совершил эту акцию не в одиночку, а в составе хакерского объединения hadmage. Представители ИБ-сообщества (информационная безопасность) в социальных сетях считают, что это script kid (начинающий взломщик с низким уровнем реальных навыков).

В ходе интервью хакер признался, что платформа IDAP (Интерфейс публикации публичных оповещений) не является его первой целью. Ранее он успешно применял метод credential stuffing (автоматический подбор паролей) против других важных государственных информационных систем Бразилии. В список скомпрометированных им ресурсов вошли база данных SIPNI (Система информации Национальной программы иммунизации), реестр CADSUS (Национальный реестр здравоохранения) и платформа SISREGIII (Система регулирования медицинских услуг третьей модели). По словам нарушителя, все эти атаки преследовали цель продемонстрировать критически низкий уровень кибербезопасности правительственного сектора.

В качестве главного повода для рассылки ложных тревог Misantropo назвал банальную скуку и острую антипатию к окружающим людям. Инцидент произошёл сразу после завершения футбольного матча между сборными Бразилии и Гаити в рамках Кубка мира 2026 года. Шум празднующей толпы, крики и взрывы пиротехники вызвали у автора раздражение, и он решил использовать государственную систему для своеобразного социального эксперимента, чтобы заставить миллионы соотечественников узнать значение слова «мизантропия».

Несмотря на попытки казаться профессиональным киберпреступником, хакер допустил массу грубых ошибок и случайно раскрыл конфиденциальные сведения в опубликованных видеоматериалах. На записях экрана внимательные исследователи обнаружили личные профили нарушителя в сервисах CapCut (видеоредактор) и Spotify, а также его собственные фотографии. В утекших логах групповых чатов hadmage присутствует прямое заявление Misantropo о том, что после этого инцидента он может оказаться под арестом на один месяц в специальном учреждении Fundação CASA (центр социально-воспитательной помощи подросткам).

👮На данный момент поиски злоумышленника и следственные действия идут полным ходом. К расследованию правительственный центр реагирования на киберинциденты CTIR Gov для оценки общего масштаба проникновения.

*Деятельность компании Meta (владеет Facebook, Instagram, WhatsApp) запрещена в РФ и признана 🏴‍☠️экстремистской.

✋ @Russian_OSINT

Читать полностью…

Вебинар: «Ландшафт киберугроз: от модного термина к рабочему инструменту»
📅 23 июня 2026

Многие компании делают всё как по учебнику: реагируют на угрозы, закрывают уязвимости, следят за отраслевыми отчётами. Но атаки всё равно происходят. Проблема не в том, что ИБ работает плохо — а в том, что одного реагирования может быть недостаточно.

Вместе с Сергеем Медведевым и Дианой Фишман из Экспертного центра безопасности Positive Technologies разберём:
— Почему реактивный подход никуда не исчезнет — и как проактивный его усиливает, а не заменяет
— Что такое ландшафт киберугроз и почему это не «ещё один отчёт на 200 страниц»
— Почему важно знать, как действуют злоумышленники и кого они атакуют
— Как один и тот же ландшафт используют аналитик SOC, пентестер, CISO и разработчик
— Демо: построим ландшафт угроз для реальной отрасли прямо в эфире — в PT Fusion

Для кого: от аналитиков SOC и исследователей угроз до CISO и директоров по ИБ

🔗 Регистрация по ссылке

Читать полностью…

🇺🇸 АНБ США: 🈁Mythos смогла проникнуть во все засекреченные государственные системы США за несколько часов

Издание The Economist пишет, что глава АНБ и Киберкомандования Пентагона генерал Джошуа Радд сообщил вице-председателю Комитета Сената по разведке США Марку Уорнеру о том, что Mythos якобы сумела проникнуть практически во все засекреченные государственные системы США. ИИ-модели потребовались даже не недели, а всего несколько часов.

Как отмечает издание, преимущество США может стать неоспоримым в случае успешной реализации американскими лабораториями рекурсивного самосовершенствования ИИ-моделей.

👆СМИ пишут, что Дональд Трамп прямо заявил, что больше не считает компанию Anthropic угрозой для национальной безопасности Соединенных Штатов. При этом он иронично добавил, что еще неделю назад его мнение могло быть совершенно иным.🙂

Он пояснил свою позицию тем, что Соединенные Штаты уверенно побеждают Китай в глобальной технологической гонке, поэтому прессовать ведущего отечественного ИИ-разработчика не имеет смысла.

✋ @Russian_OSINT

Читать полностью…

😎C удовольствием посмотрел выпуск на канале блогера Александра Соколовского, в гостях у которого был главный технологический эксперт «Лаборатории Касперского» Александр Гостев. Почти 2 часа разговоров про хакеров, ИИ, мошенников, кибербезопасность, 📲 безопасность мессенджеров...Всё, как мы любим)

👍Рекомендую найти возможность посмотреть ролик.

Как пишет сам Александр у себя на сайте, он многопрофильный эксперт по информационной безопасности. Три десятилетия находится на переднем крае индустрии как исследователь, основатель GReAT, советник и инвестор. В «Лаборатории Касперского» с 2002 года — строил систему Threat Intelligence.

В 2008 году основал Глобальный центр исследований и анализа угроз (GReAT) и был главным редактором Securelist.com. Исследования охватывают глубокий анализ вредоносного ПО, кибершпионаж, атрибуцию APT и пересечение геополитики с цифровыми войнами.

С 2020 года — главный технологический эксперт «Лаборатории Касперского»: M&A, технологический скаутинг, инвестиционный due diligence, консультации по Kaspersky OS и угрозам IoT.

📲 https://youtu.be/jlTkpLfdN78

✋ @Russian_OSINT

Читать полностью…

💻F6 исследовали атаки группировки Hive0117 на бухгалтеров компаний в 🇷🇺России и стран СНГ

Как сообщают специалисты компании F6, в 2026 году специалисты департамента противодействия финансовому мошенничеству компании зафиксировали новую волну атак финансово мотивированной группы Hive0117, нацеленных на юридические лица. Злоумышленники заражают устройства бухгалтеров, получают доступ к системам дистанционного банковского обслуживания (ДБО) и выводят деньги на счета дропов, в том числе под видом перечисления зарплаты.

Группировка Hive0117 действует с конца 2021 года. Примечательна использованием бесфайлового вредоносного ПО DarkWatchman. Нацелена на финансовые отделы организаций из различных отраслей. Помимо России, среди целей в том числе замечены пользователи из Беларуси, Узбекистана и Казахстана. Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Для группировки характерны периодические простои продолжительностью до нескольких месяцев, за которыми следуют всплески масштабной активности.

❗️🖥В 2026 году злоумышленники проводили рассылки, ориентированные на бухгалтеров, в адрес более 3000 российских компаний из разных отраслей. Пик рассылок пришёлся на февраль-март, после чего их количество пошло на спад и сократилось в десятки раз.

По данным департамента киберразведки (Threat Intelligence) компании F6, среди получателей рассылок группы Hive0117 оказались организации из СНГ, включая как минимум 6 компаний в Беларуси (из сфер телекома, промышленности, торговли и других), 3 – в Казахстане (интернет-магазины и предприятие химической промышленности) и 1 – в Узбекистане (производитель напитков).


😷 Злоумышленники использовали, например, такие темы для писем, как: «Документы от <дата>», «Уведомление об окончании срока бесплатного хранения», «Счет на оплату», «накладная», «Акт сверки», «счет», «Fwd: Fwd: Документы от <дата>», «Задолженность по оплате», «Счет на оплату СРТ-008.7z», «накладная от <дата>». Во всех случаях в этих письмах доставляли вредоносное ПО DarkWatchman.

Вредоносный файл скрывался в 📂 RAR-архивах под видом счетов на оплату, актов сверок, накладных и других документов. Пароли к этим архивам были указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов. При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платёжные операции.

↘️ Рекомендации F6 для бухгалтеров и специалистов финансовых подразделений:

▪️ Исключить загрузку неизвестных исполняемых файлов с недоверенных веб-ресурсов (например, с расширением .EXE или двойным расширением вроде .PDF.EXE, .DOC.EXE или .LNK.EXE).

▪️Запрет на открытие файлов без проверки, которые были получены от неизвестных отправителей.

▪️Не устанавливать мобильные приложения по рекомендациям незнакомцев, а также по ссылкам из QR-кодов, СМС, сообщений в мессенджерах, писем и недоверенных сайтов.

▪️При подозрении на наличие вредоносной активности на ПК 👉изолировать устройство от внешней сети.

Подробнее: https://www.f6.ru/blog/honey-trap-hive0117

✋ @Russian_OSINT

Читать полностью…

💚 Исследователи «Лаборатории Касперского» обнаружили десятки 🦠вредоносных обоев для 💨 Wallpaper Engine

Как сообщают Максим Стародубов и Денис Брылев, с конца 2025 года в Steam Workshop (встроенной в Steam мастерской для разработки и обмена пользовательским контентом) активно распространяется вредоносное программное обеспечение.

🎯Основной целью атакующих является кража аккаунтов игроков, преимущественно из 🇨🇳 Китая и 🇷🇺России.

Для заражения злоумышленники эксплуатируют Wallpaper Engine, популярную программу анимации обоев, размещенную в Steam, а именно ее механизм обмена обоями через Steam Workshop. 😷Вредоносное ПО скрывается внутри пакетов обоев, которыми пользователи делятся друг с другом. Запуск подобных обоев может привести к краже учетной записи Steam и установке в системе жертвы, например, бэкдоров или 💴криптомайнеров.

Wallpaper Engine — это приложение, которое позволяет устанавливать анимированные обои на рабочий стол пользователя. Его модификации выпускаются для операционных систем Windows и Android, однако мы исследовали только Windows-версию. Благодаря обширному сообществу Steam приложение достаточно популярно — у него около 100 тысяч активных пользователей в день и чуть меньше одного миллиона отзывов.

Сама концепция «обои в виде приложения» открывает путь для запуска чужого кода непосредственно в системе. Злоумышленники воспользовались этой функцией и начали внедрять в данный тип обоев вредоносное программное обеспечение. В Wallpaper Engine, как выше сказано, используются возможности Steam Workshop для обмена созданными обоями. Такой обмен подразумевает, что пользователи могут создавать обои и публиковать их в Steam Workshop в открытом доступе для свободного скачивания и установки, что привлекает злоумышленников.

В Steam Workshop были обнаружены десятки вредоносных обоев-приложений, каждое из которых было загружено тысячи или десятки тысяч раз.

↘️ Архив, внутри которого были исполняемые обои и вредоносные файлы. В качестве вредоносной нагрузки могли использоваться, например, EXE-файлы, DLL-библиотеки и скрипты.

↘️ В других случаях атакующие дополнительно помещали вредоносный код в архив, защищенный паролем. Пароль должна была вводить жертва, или это делал скрипт. Злоумышленники записывали пароль либо в названии самого архива, либо в файле конфигурации в формате JSON, который устанавливался вместе с исходными файлами обоев. В остальных случаях вредоносная нагрузка запускалась полностью автоматически после выбора и установки обоев пользователем.

Значительное разнообразие используемых инструментов позволяет предположить, что за атаками стоят разрозненные хакерские группы, действующие независимо друг от друга. Основной целевой аудиторией атак являются пользователи из Китая, о чем говорит стиль оформления и названия обоев, а также статистика: 89% попыток скачивания вредоносных обоев наши решения зафиксировали именно в Китае. При этом ничего не мешает злоумышленникам проводить подобные кампании и в других регионах. На втором месте по числу скачиваний находится 🇷🇺 Россия — 5,5%. Далее следуют 🇸🇬 Сингапур (1,4%), 🇭🇰 Гонконг (0,9%), 🇩🇪 Германия (0,9%), 🇻🇳 Вьетнам (0,9%), 🇮🇳 Индия и 🇨🇦 Канада (по 0,5%).

😅 Исследование показывает, что и доверенные площадки, такие как Steam Workshop, могут быть источником заражения.

👆На момент публикации обнаруженные вредоносные обои и ссылки на них были удалены командой Steam. Однако, учитывая регулярное появление новых зараженных обоев в Steam Workshop, следует обязательно использовать средства анализа вредоносного ПО перед запуском подобных обоев.

🌎 Подробнее: тут.

✋ @Russian_OSINT

Читать полностью…

🇺🇸🇨🇳Anthropic обвинила Alibaba Group Holding Limited в дистилляции знаний своих 🈁топовых моделей

Согласно позиции американской стороны, в период с апреля по июнь 2026 года со стороны Alibaba была зафиксирована якобы масштабная скоординированная кампания, которую в Anthropic назвали крупнейшей известной атакой методом дистилляции знаний на сегодняшний день. Для обхода региональных ограничений, поскольку сервисы Claude официально недоступны на территории КНР, специалисты Alibaba создали якобы около 25 000 фиктивных учетных записей. Через эти поддельные профили было проведено не менее 28,8 млн сессий взаимодействия с ИИ-моделью.

Под промышленной дистилляцией в данном контексте понимается несанкционированное извлечение интеллектуальной собственности, когда сторонние разработчики обучают собственные менее развитые ИИ-модели на базе ответов и логических цепочек более продвинутых конкурирующих систем. Представители Anthropic подчеркнули, что эта активность была направлена на копирование наиболее ценных функций Claude, в числе которых находятся агентные рассуждения и написание программного кода.

Руководство Anthropic отметило, что подобные действия позволяют конкурентам избегать затрат на исследования и разработки. При этом официальные лица США оценивают убытки лабораторий Кремниевой долины от несанкционированной дистилляции в миллиарды долларов.

👆Ситуация усугубляется общим ростом геополитической напряженности между Вашингтоном и Пекином в сфере высоких технологий. Буквально на этой же неделе представители Alibaba обратились в американский суд с требованием исключить холдинг из черного списка Пентагона, куда компания была внесена из-за предполагаемых связей с Народно-освободительной армией Китая.

✋ @Russian_OSINT

Читать полностью…

Канал 🔨SecAtor пишет интересное:

Исследователи Лаборатории Касперского обнаружили продолжающуюся кампанию по распространению вредоносного ПО, использующего взломанные учетные записи WhatsApp для распространения вредоносных VBScript-вложений.

Вложенные файлы устанавливают ManageEngine Endpoint Central, легитимный инструмент удаленного управления, который предоставляет злоумышленникам удаленный доступ к зараженным системам.

Кампания затронула пользователей Малайзии, Бразилии, Индии, Мексике, Сингапуре, Великобритании, Испании, Тайване, Австралии, России и Вьетнаме, при этом на Малайзию приходится примерно 80% выявленных случаев заражения.

При этом вредоносные вложения распространялись через взломанные аккаунты WhatsApp их контактам, что указывает на использование злоумышленниками доверительных отношений для реализации атаки. Метод взлома аккаунтов остается неизвестным.

Вредоносные файлы замаскированы под деловые и финансовые документы с использованием таких названий, как «Financial Reports.vbs», «Account Statement.vbs» и «Outstanding Payment List.vbs».

В ЛК также обнаружили локализованные варианты на португальском, французском, немецком и малайском языках, что указывает на широкомасштабную международную атаку.

Основная цель кампании - пользователи WhatsApp Desktop и WhatsApp Web. Для заражения требуется взаимодействие с пользователем: получатели должны загрузить вложение, а затем открыть его.

После выполнения скрипт VBScript запускается через Windows Script Host (WScript.exe), создает скрытые каталоги в C:\Users\Public\Documents\ и загружает дополнительные полезные нагрузки с контролируемой злоумышленником инфраструктуры.

По данным ЛК, задействовались различные методы обфускации, включая закодированные скрипты, случайные имена переменных, мусорный код и восстановление строк.

Некоторые варианты также используют легитимные утилиты Windows, такие как curl.exe, bitsadmin.exe, certutil.exe и PowerShell, для получения дополнительных полезных нагрузок.

Второй этап включает два файла VBScript. Один из них многократно пытается изменить параметр контроля учетных записей пользователей Windows (UAC) ConsentPromptBehaviorAdmin, что может уменьшить количество запросов на административные действия, если пользователь предоставит повышенные привилегии. Другой загружает и распаковывает ZIP-архив, содержащий полезную нагрузку следующего этапа.

В итоге устанавливается ManageEngine Endpoint Central, используемая для развертывания ПО, удаленной поддержки и системного администрирования.

Архив содержит установщик агента Endpoint Central (UEMSAgent.msi), сертификаты, файлы конфигурации и вредоносный скрипт запуска (setup1.vbs), который незаметно устанавливает агент с помощью msiexec.exe.

Анализ встроенного файла DCAgentServerInfo.json выявил несколько серверов С2, включая один IP, ранее связанный с инфраструктурой ValleyRAT и Gh0st.

Однако, по мнению ЛК, имеющихся артефактов недостаточно, чтобы приписать эту активность к известному злоумышленнику. Несмотря на обнаружение ряда образцов VBScript с комментариями и заметками на китайском языке, китайское происхождение актора маловероятно.

Технические подробности - в отчете.

*Деятельность компании Meta (владеет Facebook, Instagram, WhatsApp) запрещена в РФ и признана 🏴‍☠️экстремистской.

Читать полностью…

Мошенничество 2026: сколько теряет бизнес на новых схемах

Компания F6 выпустила отчёт на основе базы знаний Fraud Matrix. В нём — цифры, которые напрямую влияют на прибыль и репутацию компаний.

Как мошенники атакуют бизнес в 2026 году

▪️ 94% хищений — через звонки и фишинг, а не взлом систем. Защита от социнженерии важнее, чем Firewall.
▪️ Троян Falcon за две недели заражает на 33% больше устройств. Всего скомпрометировано >10 000 смартфонов — это потеря контроля над данными клиентов.
▪️ Одна схема («Мамонт») обошлась бизнесу в >1 млрд ₽ за полтора года. Средний чек вырос почти вдвое — атаки становятся более адресными.
▪️ Атака на юридическое лицо — 10 млн ₽ среднего ущерба. И таких кейсов уже сотни.

Отчёт — для тех, кто отвечает за финансы, безопасность и устойчивость бизнеса в цифровых каналах.

Скачать отчёт
#реклама
О рекламодателе

Читать полностью…

🥷 Критическая уязвимость CVE-2026-48908 в расширении SP Page Builder для Joomla активно эксплуатируется хакерами — ↔️CVSS 10.0

Проектная группа Joomla! Project CNA раскрыла информацию о критической уязвимости в популярном расширении SP Page Builder от разработчика JoomShaper.

Проблема представляет собой уязвимость RCE с максимальной оценкой 10 по шкале CVSS 4.0. Уязвимости подвержены все версии расширения от 1.0.0 до 6.6.1. Полное исправление содержится в выпуске 6.6.2.

Техническая суть уязвимости заключается в отсутствии проверки прав доступа при обращении к задаче asset.uploadCustomIcon. Злоумышленники без предварительной аутентификации загружают специально сформированный ZIP-архив. Система автоматически распаковывает содержимое архива в публично доступный каталог /media/com_sppagebuilder/assets/iconfont/. Обход серверных фильтров безопасности осуществляется путем использования файловых расширений в верхнем регистре и загрузки конфигурационного файла .htaccess. Это заставляет веб-сервер Apache обрабатывать загруженные файлы как исполняемые скрипты PHP.

Данный вектор атаки уже активно эксплуатируется злоумышленниками. Вредоносный пейлоад выполняет 2 основные задачи для закрепления в системе. Сначала скрипт создает скрытую учетную запись суперпользователя со случайным именем и характерным адресом электронной почты на вымышленном домене @secure.local. Затем атакующие внедряют бэкдор в виде файлового менеджера. Копии бэкдора маскируются под файл users.php в каталогах /media/com_admin/ или сохраняются в папках шрифтов.

Для устранения угрозы владельцам сайтов необходимо обновить SP Page Builder до актуальной версии 6.6.2. Простое отключение компонента не предотвращает эксплуатацию уязвимости. После обновления требуется провести глубокий аудит системы на наличие скрытых учетных записей администраторов и вредоносных PHP-файлов. Стандартные правила межсетевых экранов для блокировки недавних атак на редактор JCE пропускают запросы к уязвимой конечной точке SP Page Builder.

❗️ CVE-2026-48908 — SP Page Builder (Joomla) Unauthenticated RCE (CVE-2026-48908-PoC)

Аналитическая платформа Censys обнаружила 194 793 веб-ресурса с установленным компонентом SP Page Builder.

🇷🇺 Россия — 88 уязвимых серверов.
🇺🇸 США — 837 уязвимых хостов.
🇩🇪 Германия — 300 серверов.
🇫🇷 Франция — 204 ресурса.
🇲🇾 Малайзия — 94 хоста.

https://nvd.nist.gov/vuln/detail/CVE-2026-48908

✋ @Russian_OSINT

Читать полностью…

🛡 Утечки данных, проверки регуляторов и атаки через подрядчиков уже давно перестали быть исключительно проблемой ИБ-подразделений. Сегодня один инцидент способен остановить бизнес-процессы, привести к многомиллионным штрафам и создать риски для всей экосистемы компании.

При этом давление на организации продолжает расти сразу по нескольким направлениям: усиливается контроль со стороны регуляторов, появляются новые требования по защите информации, а злоумышленники всё чаще используют подрядчиков и дочерние структуры как наиболее удобную точку входа.

Какие угрозы сегодня вызывают наибольшее беспокойство у специалистов?

▪️ Почему последствия утечек зачастую оказываются серьезнее самого факта компрометации данных.
▪️ Как компании адаптируются к требованиям приказа ФСТЭК №117 и какие сложности возникают на практике.
▪️ Насколько бизнес готов к проверкам Роскомнадзора и где чаще всего обнаруживаются нарушения.
▪️ Как уязвимости подрядчиков и ДЗО становятся причиной масштабных инцидентов.

Эти вопросы обсудят участники онлайн-конференции «ИБ без фильтров».

Среди спикеров:

▪️ Евгений Баклушин, директор «Киберинтеллектуальная трансформация» (КИТ), автор блога BESSEC.
▪️ Екатерина Тьюринг, сетевой детектив, Sfera Intel.
▪️ Ольга Попова, эксперт по правовым вопросам Контур.Эгида и Staffcop.
▪️ Ксения Кузнецова, заместитель руководителя направления аудитов и соответствия требованиям ИБ, УЦСБ.
▪️ Никита Котиков, Product Owner CICADA8 Cyber Rating.

Дата: 8 июля в 11 по МСК
Ссылка

✋ @Russian_OSINT

Читать полностью…

👩‍💻 IBM объявила о вступлении в партнерскую программу OpenAI Daybreak Cyber Partner Program

На сайте IBM говорится, что сотрудничество призвано интегрировать передовые ИИ-модели в повседневные процессы обеспечения безопасности крупнейших предприятий. Такое решение позволит своевременно реагировать на комплексные цифровые угрозы, которые распространяются на высокой машинной скорости.

Новый этап технологического взаимодействия развивает анонсированную ранее масштабную инициативу Project Lightwell. В рамках текущего партнерства запущен специализированный сервис для безопасности приложений. Продукт задействует глубокие аналитические возможности ИИ-моделей OpenAI, позволяя находить и верифицировать уязвимости в программном обеспечении гораздо быстрее и точнее обычных автоматизированных сканеров.

Технологическим фундаментом для развертывания сервиса выступает защищенная платформа IBM Consulting Advantage. Данное решение организует полностью контролируемое подключение ИИ-моделей к инфраструктуре заказчика. Работая внутри инфраструктуры заказчика с доступом к репозиториям кода только для чтения и ограниченной средой исполнения, ИИ-модели позволяют проводить масштабный анализ уязвимостей.

Параллельно развивается проект Project Lightwell, который объединяет корпоративный центр координации безопасности и международный штат инженеров для исправления, проверки и управления открытым исходным кодом по всей цепочке поставок программного обеспечения. Инициатива поддерживается совместными инвестициями компаний IBM и Red Hat в объеме $5 млрд. В рамках проекта специалисты планируют использовать решения OpenAI и другие передовые ИИ-модели для проведения сквозного рецензирования и исправления кода.

Глобальный управляющий партнер по услугам в области кибербезопасности IBM Consulting Марк Хьюз заявил: «Злоумышленники уже используют ИИ для зондирования, эксплуатации и масштабирования угроз на машинной скорости».

Директор по информационной безопасности OpenAI Дейн Стакки согласился с коллегой и добавил, что надёжная защита является фундаментальным условием для полноценного раскрытия потенциала ИИ-моделей.

✋ @Russian_OSINT

Читать полностью…

📝 AMD без предупреждения отключила защиту TSME на потребительских процессорах Ryzen

Десять лет назад компания AMD внедрила в свои процессоры старшего сегмента специальный механизм защиты. Технология была призвана защитить устройства от атак методом ❄️холодной перезагрузки (cold boot attack) и других типов физических эксплойтов, которые позволяют извлекать конфиденциальную информацию из подключенных микросхем памяти. Механизм под названием Transparent Secure Memory Encryption (TSME) шифрует всё содержимое оперативной памяти и делает эти данные бесполезными для злоумышленников с физическим доступом.

Со временем AMD распространила поддержку TSME на более доступные процессоры, включая потребительские версии Ryzen, которые стоят дешевле моделей серии PRO.

Однако недавно и без какого-либо предупреждения эта линейка потребительских процессоров AMD лишилась защиты TSME. Причём изменения были реализованы таким образом, что на компьютерах под управлением Windows обнаружить отключение функции оказалось невозможно, а пользователям Linux для этого пришлось провести масштабное техническое расследование.

Представители AMD до сих пор не объяснили, почему TSME вообще работала на этих процессорах, и даже не подтвердили сам факт изменения. Компания отказалась отвечать на вопросы, направленные по электронной почте, ограничившись заявлением о том, что TSME «является функцией безопасности, применяемой только к процессорам PRO в составе технологий AMD PRO».

При этом нет свидетельств, что AMD когда-либо рекламировала или позиционировала TSME как технологию, доступную в потребительских процессорах. AMD уже давно заявляла, что родственная технология защиты памяти Secure Memory Encryption (SME) доступна только в линейках PRO и EPYC. SME управляется операционной системой, использует один ключ и позволяет ОС выборочно шифровать отдельные страницы памяти.

В отличие от неё, TSME управляется на уровне микропрограммы и шифрует весь объём оперативной памяти без участия операционной системы. В активном состоянии механизм защищает от физических атак, включая атаки типа cold boot, перехват данных на интерфейсе DRAM и извлечение модулей памяти. После активации в BIOS функция работает незаметно для пользователя, что делает её более практичной из двух технологий защиты.

Называющий себя «заботящимся о конфиденциальности Linux-энтузиастом» Бен Килпатрик обнаружил, что технология TSME перестала работать на его потребительском процессоре Ryzen 7 9700X, хотя в настройках BIOS она по-прежнему значилась включенной. Он потратил несколько месяцев на собственное расследование и убедил инженеров компании MSI протестировать различные процессоры, материнские платы и версии микропрограмм. В рамках своего расследования он создал отчет об ошибке в публичном инженерном репозитории AMD на платформе GitHub и впоследствии предоставил доказательства того, что изменения связаны с новыми версиями микрокода AGESA. Анализ дампов памяти показал, что в новых версиях AGESA внутренний флаг DfIsTsmeEnabled остаётся отключённым на потребительских процессорах и включённым на моделях серий PRO и EPYC, из-за чего TSME не активируется на обычных Ryzen.

🉐 Журналисты издания Ars Technica отмечают, что комментарии инженеров AMD и многолетняя работа TSME в более доступных потребительских процессорах вполне закономерно заставили Килпатрика и других пользователей воспринимать TSME как неотъемлемую часть продукта. Тот факт, что AMD без публичных уведомлений убрала эту функцию и не предоставила никаких объяснений, воспринимается такими пользователями как своего рода предательство.

-------------------------

👆На этих выходных появилась новость о том, что компания AMD объявила о намерении вернуть TSME для настольных процессоров серии Ryzen 9000. По заявлению компании, данное решение было принято на основе «ценной обратной связи от сообщества». Соответствующее обновление BIOS выйдет в июле 2026 года. Об этом пишет Tomshardware.

🏆Пользователи на профильных форумах положительно оценили возврат технологии и назвали это решение важной победой для всего сообщества.

✋ @Russian_OSINT

Читать полностью…

🔎По одному имени, почте или номеру можно собрать на человека целое досье — легально, из открытых источников.

Этим занимается OSINT: сбор, систематизация и анализ данных из открытого доступа. Навык прикладной — его используют в корпоративной разведке, проверке контрагентов, рекрутинге и комплаенсе, журналистике и расследованиях.

«OSINT: технология боевой разведки» от Академии Codeby — базовый курс, который ведёт практикующий осинтер.

Чему вы научитесь:
- Собирать информацию о физических и юридических лицах
- Работать с поисковыми системами, парсерами, API и тяжёлыми базами данных
- Применять GEOINT и физический OSINT
- Строить план расследования и оформлять готовый отчёт
- Применять OSINT в профайлинге, рекрутинге, комплаенсе и судебной практике
- Защищать себя — отдельный модуль по контр-OSINT и защите от слежки

Подойдёт специалистам по ИБ, безопасности бизнеса, HR и комплаенсу, аналитикам и журналистам — OSINT усиливает любую из этих ролей.

Запись на поток открыта до 20 июля

➡Программа и регистрация

Вопросы — @CodebyAcademyBot

Читать полностью…

🇺🇸🎩Разведывательные службы альянса «Пять глаз» ожидают появления 🎩продвинутых "хакерских ИИ-моделей" в ближайшие месяцы

Разведывательные службы альянса «Пять глаз», куда входят 🇺🇸США, 🇬🇧Великобритания, 🇨🇦Канада, 🇦🇺Австралия, 🇳🇿Новая Зеландия, опубликовали совместное предупреждение, где утверждается, что продвинутые ИИ-модели, способные нанести серьезный ущерб в киберпространстве, могут стать общедоступными уже в "ближайшие месяцы".

Свои подписи под совместным заявлением поставили директор Управления кибербезопасности 🇺🇸АНБ США Дэвид Имбордино и исполняющий обязанности директора 👮CISA Ник Андерсен.

Представители альянса ожидают, что мощные ИИ-модели, схожие по мощности с Fable 5 от компании Anthropic и решениями Daybreak от компании OpenAI, коренным образом изменят наступательные и оборонительные возможности в сфере информационной безопасности. Это произойдет вопреки всем попыткам технологических компаний ограничить доступ к своим решениям или полностью заблокировать их распространение.

ИИ-модели с открытым исходным кодом отстают от решений крупнейших технологических компаний примерно на 6-8 месяцев. Наступательные возможности, которые сегодня есть только у закрытых ИИ-моделей вроде GPT-5.5-Cyber или Mythos 5, могут стать доступными в течение ближайших 12 месяцев.

👆🤔CyberScoop упоминает Daybreak от компании OpenAI. Согласно официальной документации, экосистема объединяет возможности новой ИИ-модели GPT-5.5-Cyber, защитного плагина Codex Security и специализированных партнерских программ. Для минимизации рисков компания разделила уровни доступа к технологиям. Для большинства защитников базой остается ИИ-модель GPT-5.5 в рамках программы Trusted Access for Cyber, тогда как продвинутая ИИ-модель GPT-5.5-Cyber доступна лишь проверенным специалистам путем ограниченного релиза. Тут почитать.

💻 Главная задача заключается в поиске уязвимостей, а также генерации и тестировании патчей непосредственно в реальных рабочих процессах разработчиков и команд информационной безопасности.

👆Сэм Альтман уже 💬успел раструбить на весь Х, что обновленная ИИ-модель GPT-5.5-Cyber лидирует в бенчмарке CyberGym с результатом 85,6%, опережая модель Mythos 5 от Anthropic.

✋ @Russian_OSINT

Читать полностью…

💻 Древние уязвимости оборудования D-Link помогли создать скрытую сеть из 4300 зараженных 🖥роутеров по всему миру

Специалисты из киберразведки XLab китайской компании 🇨🇳QiAnXin опубликовали подробный технический отчет о деятельности вредоносного ботнета AryStinger. Эта кампания нацелена на компрометацию устаревших маршрутизаторов и сетевых хранилищ по всему миру с целью создания скрытой инфраструктуры для проведения масштабной сетевой разведки.

Внимание исследователей к безопасности сетевого периметра усилилось после публикации статьи Министерства государственной безопасности Китая от 20 мая 2026 года, в которой ведомство предупредило об использовании старых роутеров для кибершпионажа.

Впервые система обнаружения угроз XLab зафиксировала активность сети AryStinger 12 марта 2026 года. Вредоносное программное обеспечение распространялось с IP-адреса 107[.]150[.]106[.]14. Злоумышленники эксплуатировали уязвимости CVE-2013-3307 и CVE-2016-5681 в оборудовании компаний D-Link и Linksys, причем первая из них была обнаружена около 13 лет назад. Позже, 26 апреля 2026 года, специалисты выявили модификацию вируса для сетевых хранилищ, которая распространялась через уязвимость CVE-2025-11837. Название семейства AryStinger было выбрано аналитиками на основе обнаруженной в коде строки Ary-Attack.

Основное отличие AryStinger от типичных ботнетов заключается в его предназначении. Операторы не используют зараженные устройства для организации DDoS-атак или майнинга криптовалюты. Вместо этого они создают распределенную сеть прокси-серверов для скрытного сбора информации, сканирования портов, идентификации сетевых служб и перебора поддоменов.

Каждое зараженное устройство выступает в роли исполнительного узла. Разработчики предусмотрели распределенную архитектуру, благодаря которой объемные задачи по сканированию разделяются на мелкие блоки и выполняются множеством узлов параллельно, позволяя👀 эффективно проводить разведку на этапе подготовки к кибератакам и скрывать истинное местоположение атакующих.

Для защиты сетевого трафика применяется кодирование Protobuf и шифрование методом XOR с использованием жестко закодированного ключа sh_#@!_2024_secret. Наличие этой строки позволяет предположить, что злоумышленники могли начать свою деятельность ещё в 2024 году, но не факт.

По данным платформы мониторинга киберпространства Eagle Map, компрометации подверглись не менее 4 300 роутеров, при этом точный масштаб заражения сетевых хранилищ на данный момент установить невозможно. Основной удар пришелся на устройства компании D-Link.

Исследователи отмечают, что образцы AryStinger имеют крайне низкий уровень обнаружения антивирусными решениями. Для выявления компрометации ИТ-специалистам рекомендуется проверять сетевые соединения на предмет связи с известными индикаторами заражения, контролировать появление файлов в директории /tmp/bin, а также отслеживать запуск подозрительных процессов syswapd0h и syswapd0w. Устаревшее сетевое оборудование необходимо своевременно выводить из эксплуатации или обновлять до актуальных версий прошивок с обязательным отключением панелей удаленного управления.

✋ @Russian_OSINT

Читать полностью…

💻Специалисты компании Tenet Security описали новый тип атаки 🤖Agentjacking на ИИ-агентов

Специалисты лаборатории угроз Tenet Security описали новый класс атак под названием Agentjacking, который позволяет злоумышленникам перехватывать управление ИИ-агентами разработчиков посредством внедрения поддельных отчетов об ошибках.

Проблема заключается в неспособности ИИ-моделей отличать обычные текстовые данные от прямых инструкций к действию. Атакующий может поместить вредоносную команду в журнал ошибок инструмента мониторинга Sentry. Интеллектуальный помощник при чтении этого лога воспринимает его как доверенный системный вывод и просто выполняет команду.

Процесс атаки состоит из нескольких последовательных шагов. Сначала злоумышленник находит публичный DSN-ключ целевой организации в системе Sentry. Сама платформа Sentry намеренно разрешает внедрять этот параметр во фронтенд-код на JavaScript и документирует такое архитектурное решение как абсолютно безопасное. Затем злоумышленник отправляет сфабрикованный отчет об ошибке на конечную точку сбора данных Sentry через публичный API-интерфейс. Никакой дополнительной аутентификации помимо наличия самого DSN-ключа для этого не требуется. В тело отчета злоумышленник внедряет тщательно отформатированный текст с использованием разметки Markdown. Визуально этот контент абсолютно идентичен оригинальному системному шаблону Sentry и безупречно имитирует легитимный раздел с рекомендациями по решению проблемы.

В процессе работы разработчик просит своего ИИ-агента проанализировать нерешенные проблемы. В качестве помощника могут выступать ИИ-агенты Claude Code или Cursor. ИИ-агент запрашивает Sentry через MCP и получает внедренное событие. Интеллектуальный помощник полностью доверяет этому источнику и выполняет указанную злоумышленником команду в терминале разработчика с его текущими правами доступа.

🤖📖В блоге на видеодемонстрации Tenet Security показано самостоятельное выполнение агентом диагностической команды npx после прочтения поддельного отчета.

🥷 ❗️Злоумышленники могут похитить ключи облачной платформы AWS, токены авторизации GitHub и учетные данные от закрытых репозиториев.

🌎Команда Tenet Security подтвердила реальную опасность метода на практике. Исследователи обнаружили 2 388 уязвимых организаций по всему миру. В рамках контролируемого тестирования более 100 ИИ-агентов выполнили тестовый код исследователей. Угроза затронула независимых программистов и крупные технологические компании. В одном из задокументированных случаев атака сработала против корпорации из списка Fortune 100 с рыночной стоимостью около $250 млрд.

Утверждается, что классические инструменты защиты не способны выявить такую атаку. Исследователи назвали эту слепую зону Authorized Intent Chain. Каждый отдельный шаг процесса является технически легитимным. Отправка отчета в систему мониторинга не нарушает правил. Чтение логов агентом происходит с разрешения разработчика. Выполнение скриптов также инициируется авторизованным приложением. В результате межсетевые экраны и антивирусы не фиксируют подозрительную активность.

📲 Видео:
https://youtu.be/QSfdEQ0PE4E (Tenet uncovers "Agentjacking" Attacks Validated across 100+ enterprises)
https://youtu.be/Zq9ReXB2Kmk (Agentjacking - Explained by Tenet)

✋ @Russian_OSINT

Читать полностью…

👩‍💻 ChatGPT появится внутри защищённой платформы 🛡Пентагона GenAI[.]mil

OpenAI готовит запуск адаптированной версии ChatGPT на GenAI[.]mil, защищённой ведомственной платформе генеративного ИИ для сотрудников оборонного ведомства США. По данным Nextgov/FCW, запуск ожидается в начале июля 2026 года. Об этих планах заявил руководитель направления стратегического внедрения в кибернаправлении OpenAI Мохаммед Хусейн на саммите Defense One Tech Summit в штате Вирджиния.

Интеграция предоставит доступ к передовым алгоритмам более чем 3 миллионам военных и гражданских сотрудников Пентагона. Разработчики тесно сотрудничают с Главным управлением цифровых технологий и искусственного интеллекта Министерства обороны США над безопасным запуском ChatGPT в авторизованной государственной облачной инфраструктуре, где данные должны оставаться внутри правительственной среды и не использоваться для обучения публичных или коммерческих моделей OpenAI.

По данным Nextgov/FCW, ChatGPT в GenAI[.]mil будет сертифицирован для работы с Controlled Unclassified Information и средами DoD Impact Level 5. Такой уровень применяется к средам, которые обрабатывают чувствительную несекретную информацию.

Федеральные ведомства США используют решения OpenAI как минимум с января 2025 года, однако развёртывание в оборонной среде требует отдельной авторизации и более строгого подхода к безопасности. Масштабное внедрение более сложных ИИ-моделей также повышает требования к вычислительным ресурсам, стоимости выполнения задач и эффективности использования токенов.

По данным Defense One, к концу апреля 2026 года платформой регулярно пользовались более 1,3 млн человек, а пользователи создали свыше 100 000 ИИ-агентов. Более свежая оценка Business Insider со ссылкой на представителя Пентагона указывает уже примерно на 1,5 млн ежедневных пользователей к середине июня 2026 года.

✋ @Russian_OSINT

Читать полностью…

🇺🇸 Рыночная оценка американского стартапа в сфере кибервойн 🇺🇸Twenty достигла $1 млрд после завершения очередного раунда финансирования

И ещё пару слов о стартапах на сегодня...

Reuters сообщает, что стартап Twenty, специализирующийся на технологиях ведения 🎩кибервойн, привлек $100 млн в ходе очередного раунда финансирования. Полученные средства будут направлены на расширение исследовательских программ и инженерных разработок.

💸 Благодаря инвестициям рыночная оценка компании достигла $1 млрд.

В текущем инвестиционном раунде под руководством фонда Accel также приняли участие компании Point72 Ventures, Friends & Family Capital и Caffeinated Capital. В числе инвесторов стартапа также значатся крупный игрок венчурного рынка General Catalyst и специализированный фонд 🎩🇺🇸In-Q-Tel, созданный в интересах ЦРУ и других американских спецслужб.

Twenty занимается созданием инструментов нового поколения для оборонного сектора и разведывательного сообщества США, активно внедряя в свои продукты передовые ИИ-модели. Официальная миссия стартапа заключается в переносе стандартов высококлассной программной инженерии в сферу постоянного военного конфликта. Компания помогает США и их союзникам противостоять геополитическим противникам в киберпространстве. По словам CEO Джо Лина, Америка находится под непрерывными кибератаками, а геополитические противники осознали безнаказанность таких действий.

Согласно открытым данным на LinkedIn, ядро команды составляют элитные 👺кибероператоры и опытные разработчики. В компании работает до 40 сотрудников. Сейчас фирма проводит активную кампанию по найму инженеров различного профиля, аналитиков и финансовых специалистов. Новые рабочие места открываются в штаб-квартире компании в Арлингтоне, а также в Нью-Йорке, Вашингтоне и вблизи крупных военных объектов, включая Форт-Мид и Огасту.

Судя по открытым данным и списку вакансий, масштаб их деятельности значительно шире банального поиска уязвимостей нулевого дня. Фактически компания создает полноценные платформы автоматизации и масштабирования наступательных киберопераций.

👆Журналист Колин Демарест подчёркивает редкость подобного публичного позиционирования. Большинство участников рынка кибербезопасности специализируется на инструментах защиты и опасается открыто говорить о наступательных возможностях. Twenty избрала другую стратегию и абсолютно открыто заявляет о создании именно наступательного инструментария.

✋ @Russian_OSINT

Читать полностью…

Поддельный «антивирус от киберполиции»

❗️Выявлено распространение вредоносного программного обеспечения под видом «официального антивируса» канала «Вестник Киберполиции России». Злоумышленники упоминают МВД России и обещают функции проверки сайтов, выявления мошенничества и защиты устройств. Аналогичная схема фиксируется и под видом продуктов компании «Лаборатория Касперского».

Уверены, что наши подписчики и так об этом осведомлены, но, на всякий случай, информируем:

подразделения МВД России не занимаются разработкой антивирусных приложений и не предлагают гражданам устанавливать какое-либо программное обеспечение через мессенджеры, сторонние сайты или файлообменники. Любые подобные предложения следует рассматривать как потенциально опасные.

📎Рекомендуем загружать программное обеспечение только из официальных магазинов приложений и сайтов разработчиков. Если вы столкнулись с подобными ресурсами или рассылками, воздержитесь от установки программ и сообщите о них в службу поддержки платформы.

📌Отдельно напоминаем об ответственности за разработку и распространение вредоносного программного обеспечения. Практика показывает, что анонимность в сети часто оказывается временной, а встреча с сотрудниками правоохранительных органов — неизбежной.

🫡Подписаться на Киберполицию России

📲 Max I 📱 ВK I 📱 ОK
🇷🇺 Чат-бот Киберполиции России
🫡 Поддержать канал

Читать полностью…

🤖Positive Technologies выпустила ИИ-помощника для работы в сфере кибербезопасности

Как сообщает ТАСС, компания Positive Technologies разработала ИИ-помощника PT Naira, который может выполнить рутинную работу специалистов по кибербезопасности. Утверждается, что за счет этого расследование идет на 50-60% быстрее, а команда успевает проанализировать больше событий.

PT Naira работает в связке с системой мониторинга событий MaxPatrol SIEM и сканером защищенности приложений PT BlackBox Scanner. При расследовании инцидентов в MaxPatrol SIEM помощник избавляет аналитиков от монотонной работы.

👆Ведомости пишут, что по данным компании, число киберпреступных техник с применением ИИ за последний год выросло вдвое: языковые модели помогают автоматизировать атаки, писать вредоносный код и быстрее находить уязвимости. При этом через центр мониторинга (SOC) в сутки проходит от 4000 до 10 000 оповещений, а аналитики успевают изучить лишь около 37% из них.

✋ @Russian_OSINT

Читать полностью…