24322
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot РКН: https://vk.cc/cN3VGo
📱 Как ФБР запустило стартап для наркокартелей и три года читало их переписку — история Anom.
• Очень интересная статья от ребят из Бастион, где представлен подробный разбор операции «Троянский щит», одной из самых изощренных цифровых ловушек ФБР в истории, основанный на докладах с DEF CON, внутренних документах и свидетельствах участников по обе стороны закона.
Наркоторговец из Южной Австралии Доменико Катанзарати был уверен, что провернул сделку века. Он использовал Anom — свой анонимный защищенный смартфон — для координации поставки кокаина, спрятанного внутри промышленного сварочного аппарата.
Катанзарати был спокоен. Anom считался «Роллс-Ройсом» в мире шифрованной связи, его рекомендовали влиятельные люди из криминального мира. Устройство работало на кастомной операционке, а сообщения шифровались так надежно, что, казалось, никакие спецслужбы не вскроют переписку. «Окей, давай заработаем миллионы», — беспечно писал Катанзарати своему подельнику в защищенном чате.
Когда пришло время забирать «сварочник» из порта, получателей ждал сюрприз: груза не было. Через несколько дней Доменико сообщили: «Ваш груз изъят пограничной службой Австралии». Подельники Катанзарати написали в тот же безопасный чат: «Pigs grabbed him» («Менты его взяли»).
Оказалось, каждое сообщение наркоторговца и его подельников читал специальный агент ФБР. «Безопасный» Anom был тщательно продуманной ловушкой, которую втайне создало и финансировало Федеральное бюро расследований.
Тем временем, TeamPCP переключается с открытого программного обеспечения на среду AWS. После перероверки украденных учетных данных с помощью TruffleHog хакерская группа приступила к нацеливанию на сервисы AWS.
Как сообщает Wiz, злоумышленник, стоящий за масштабной мартовской кампанией, направленной на разработчиков ПО с открытым исходным кодом, использовал скомпрометированные учетные данные для доступа к средам AWS и кражи дополнительных данных.
TeamPCP (DeadCatx3, PCPcat и ShellForce) действует с 2024 года, первоначально сосредоточившись на облачных средах, в середине 2025 года группа переключилась на атаки на цепочки поставок, нацеленные на кражу учетных данных CI/CD в больших масштабах.
В последние две недели TeamPCP попала в заголовки новостных лент после взлома сканера уязвимостей Trivy от Aqua Security в рамках кампании, которая с тех пор распространилась на NPM, PyPI и OpenVSX.
По данным OpenSourceMalware, различные инциденты, приписываемые этой группе за последние недели, взаимосвязаны, поскольку все они были вызваны взломом Trivy, который, в свою очередь, произошел из-за неправильной смены учетных данных после взлома в феврале.
Вредоносное ПО, внедренное в пакеты Trivy и GitHub Actions, выполнялось при работе Trivy в нижестоящих конвейерах, что позволило TeamPCP скомпрометировать токены публикации разработчиков NPM, а также токен PyPI, принадлежащий гендиректору LiteLLM Крришу Дхолакии.
LiteLLM скачивают более 90 млн. раз в месяц, так что последствия его взлома были колоссальными. Среди прочего, был раскрыт токен Telnyx PyPI, что привело к внедрению вредоносного ПО в пакеты Telnyx PyPI.
По оценкам специалистов, в рамках этой кампании пострадали десятки тысяч репозиториев, поскольку вредоносное ПО TeamPCP было разработано для сбора учетных данных, токенов API, токенов SSH и других секретов из зараженных систем разработчиков.
Согласно отчету Wiz, хакерская группа не стала тратить время на проверку украденных учетных данных.
Они попросту задействовали инструмент с открытым исходным кодом TruffleHog, дабы убедиться, что украденные ключи доступа AWS, секреты приложений Azure и различные токены SaaS по-прежнему действительны и используются.
В течение 24 часов после подтверждения группа перешла к операциям по обнаружению уязвимостей в скомпрометированных средах AWS, перечисляя различные сервисы, уделяя особое внимание контейнерам, где хакеры составляли карты кластеров и определений задач. Она также атаковала менеджеры секретов AWS у жертв.
После подтверждения доступа и определения структуры, злоумышленники использовали различные методы для дальнейшего осуществления своей схемы, выполняя дополнительный код и получая доступ к другим частям среды жертвы.
Хакеры использовали рабочие процессы GitHub для выполнения кода в средах жертв, а также функцию ECS Exec для выполнения команд Bash и скриптов Python непосредственно в контейнерах, работающих в средах AWS.
Злоумышленники похищали исходный код, файлы конфигурации и встроенные секреты из репозиториев GitHub, а также получали доступ к хранилищам S3, Secrets Manager и базам данных для массовой кражи данных из сред AWS.
После взлома TeamPCP фокусирвяоалась на компрометации дополнительных секретных данных и извлечении огромных объемов данных из репозиториев кода и облачных ресурсов.
Извлеченные данные и скомпрометированные секреты потенциально передавались другим группам для осуществления целого ряда операций.
В частности, TeamPCP, вероятно, сотрудничает в рамках реализации монетизации доступа к скомпрометированным средам, с Lapsus$ и Vect Ransomware.
Как уже отмечали в Socket, Lapsus$ хвастались будущими операциями TeamPCP, как будто обладали инсайдерской информацией, а Vect прямо заявила на известном хакерском форуме о партнерстве с TeamPCP. Продолжаем следить.
Большинство систем безопасности слепы не из-за отсутствия инструментов, а из-за отсутствия данных. Если аудит в Windows настроен формально — система событий есть, но пользы от неё нет.
На открытом уроке разберём, как превратить операционную систему в полноценный источник данных для систем класса SIEM. Мы покажем, как работает журнал событий Windows, как настраивать расширенный аудит, какие события действительно важны и как организовать их сбор.
Разберём установку агента Wazuh и практические подходы к построению наблюдаемости. Вы получите чёткое понимание, как формируется телеметрия и как сделать её пригодной для анализа и выявления инцидентов.
🗓 Урок пройдет 8 апреля в 20:00 МСК в преддверии старта курса «Специалист по внедрению SIEM».
👉Зарегистрируйтесь и начните работать с данными, а не просто собирать их: https://otus.pw/Th3q/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
👨💻 Киберкухня: как «готовят» атаки и какие ингредиенты нужны для защиты.
• Кибератаки становятся быстрее и разрушительнее. Злоумышленники действуют быстрее, используют методы социальной инженерии, deepfake-инструменты и более избирательно выбирают цель. Результат - не просто утечки, а серьезные финансовые и репутационные потери компании.
• 7 апреля у F6, Контур.Эгиды и Staffcop пройдет бесплатный вебинар, где мы обсудим современные киберугрозы, реальные сценарии взломов и практические шаги — от цифровой гигиены сотрудников до резервного копирования и Zero Trust.
➡ Зарегистрироваться можно по ссылке.
#ИБ #Вебинар
👩💻 Пост выходного дня: Git для самых маленьких. От первой команды до настройки SSH.
• Нужно отметить, что Git - это одна из систем контроля версий проекта, которая позволяет фиксировать все изменения файлов выбранной директории (проекта) и при желании откатить эти изменения до выбранной версии. Это не единственная система контроля версий, но одна из самых популярных.
• В этой статье будут рассмотрены начальные аспекты работы с Git (ключевые команды для управления репозиториями, включая создание, редактирование и управление ветками), настройка SSH для Git (пошаговое руководство по настройке подключения по SSH для безопасной и удобной работы с удаленными репозиториями), а также подписью коммитов. Надеюсь, что эта статья станет началом большого пути для тех, кто начинает осваивать Git.
➡ Читать статью [10 min].
• Напоминаю про дополнительный материал:
➡89 things I know about Git commits - объемный чек-лист, который может оказаться полезным при работе с Git.
➡Oh My Git - увлекательная игра для изучения GIT. Тут Вам и отдельный режим для новичков (в виде карточек) и для продвинутых пользователей (в терминале), можете даже создавать свои собственные уровни. В общем и целом, игра действительно полезная: Вы подключаете реальный репозиторий, изучаете и выполняете команды, наблюдаете результат в режиме реального времени.
➡Pro Git - бесплатная книга на русском языке, которая содержит всю необходимую информацию по работу с Git.
➡Базовый курс по Git - этот бесплатный курс станет отличным дополнение к книге Pro Git. Опубликован на YT и представлен на русском языке.
#Git
🎮 Пост выходного дня: Quake III Arena 🔥 мультиплеер в браузере.
• Если помните, то в январе я делился с вами новостью о том, что игру "Герои Меча и Магии III" можно запустить в браузере!
• Так вот, автор проделал какую-то невероятную работу и реализовал web-порт игры: Quake III: Arena. Культовая игра во многом определившая развитие жанра сетевых соревновательных баталий теперь доступна практически на любом устройстве в браузере. Думаю олды вспомнят и оценят! Хороших выходных ❤️
➡️ https://dos.zone/ru/q3/
#оффтоп
Опрос о DevOps-практиках от MWS Cloud Platform и DevOpsConf 2026
Вместе с MWS Cloud Platform изучаем DevOps-практики. Какие инструменты используют команды, какие есть боли в безопасности и IDP, что происходит с внедрением AI в реальные процессы?
Заполните опрос и получите:
✅ Доступ к результатам опроса (презентация 3 апреля на DevOpsConf и в сообществе MWS Cloud Platform
✅ Возможность выиграть билеты на HighLoad++, TeamLead Conf, FrontendConf или другие конференции Онтико (оплачиваем проживание, если вы из региона)
✅ Подарки от MWS Cloud Platform авторам самых интересных комментариев к разделам
👉 Пройти опрос о DevOps-практиках
Время прохождения: около 7 минут. Итоги розыгрыша билетов подведем 7 апреля в сообществе MWS Cloud Platform.
#реклама
О рекламодателе
• Всем уже давно известно, что GitHub звезды можно накрутить на абсолютно любой репозиторий. Такой метод создает доверие к проекту и повышает его "популярность".
• Как раз вчера был опубликован отчет, где была представлена интересная статистика: с июля 2019 по декабрь 2024 года специалисты зафиксировали около 6 миллионов накрученных звезд, а рост такой практики пришелся на 2022 год и продолжал расти до 2024. Отмечено, что на данный момент 16% репозиториев связаны с накруткой.
➡️ https://techxplore.com/fake-stars
• От себя добавлю, что любые проекты необходимо тщательно проверять перед использованием и быть максимально осторожным. Для анализа используйте тулзу Shotstars, которая имеет весь необходимый функционал:
➡Помогает найти и определить факт накрутки звезд в различных репозиториях;
➡Проверяет репозитории на предмет накрутки звезд за выбранный период времени;
➡Сообщает реальную дату создания репозитория;
➡Покажет ~ размер любого публичного репозитория;
➡Предоставит краткое описание репозитория;
➡Есть история сканирований с выбором ранее учтенных проектов для быстрой проверки;
➡Генерирует CLI/HTML отчеты (статистика, периоды времени, дублирующая активность пользователей, url's и графики);
➡Находит пересекающихся у Github-проектов пользователей, в т.ч. и тех, у кого профиль скрыт/приватный;
➡Создан для людей и работает из коробки, поддержка OS: Windows7+, GNU/Linux, Android;
➡Отрабатывает задачи с реактивной скоростью и является полностью бесплатным.
➡ https://github.com/snooppr/shotstars
#Новости #Отчет
• Нашел очень крутую тулзу (Miner Search), которая разработанна для поиска и уничтожения скрытых майнеров. Является вспомогательным инструментом для поиска подозрительных файлов, каталогов, процессов и тд. и НЕ является антивирусом.
• Софт с открытым исходным кодом, активно поддерживается автором, есть документация на русском языке и активное сообщество! Всё что вам потребуется - это NET Framework 4.7.1!
➡️ https://github.com/BlendLog/MinerSearch
#Tools
👨💻 Как австралийский хакер канализацию ломал...
• Эта история произошла 25 лет назад, когда 49-летний компьютерщик Витек Боден учинил настоящую экологическую катастрофу в одном из районов Квинсленда (в шире Маручи, Автралия).
• Все началось в 1997 году, когда Боден начал работать в Hunter Watertech. В период с 1997 по 1999 годы эта компания установила на 142 насоса местной канализации свою систему SCADA. Обширная сеть канализационных протоков в шире Маручи в совокупности имеет длину 880 километров, и связать всё это проводной связью посчитали слишком затратным.
• Сама система из 142 автоматизированных насосов и 2 центральных компьютеров управлялась через радиосигналы, позволявшие получать цифровой доступ к терминалам контроллеров насосов и даже их ПО. Именно этой работой в её цифровой части Боден и руководил со стороны подрядчика — и в подробностях знал, как и что здесь работает. В декабре 1999 года Боден уволился из Hunter Watertech и подал заявление в администрацию шира Маручи, предложив им свои услуги как специалиста по IT широкого профиля. Ему дважды отказали — и окончательно взбешённый компьютерщик решил отомстить администрации!
• С января 2000 года, Боден начал реализовывать свой план мести. Как предполагается, ещё во время работы в компании, задумав уйти, он оставил в ПО управления бэкдоры. При увольнении он прихватил с собой список всех рабочих частот, запасной контроллер с рацией Motorola M120, состыковал их с ноутбуком — и стал ломать систему.
• Насосные станции были оборудованы цифровыми контроллерами HWT PDS Compact 500, связанными с центральными компьютерами системы по радиосигналам через сеть ретрансляторов, каждый со своей частотой. Они как принимали сигналы на управления насосами, так и передавали на центральные компьютеры данные с разнообразных датчиков: от работоспособности систем до химического состава воды. Через любой из контроллеров на насосах можно было получать доступ к обоим центральным управляющим компьютерам, а также к остальным 141 контроллеру.
• Витек Боден самописным способом «научил» свой ноутбук «прикидываться» для системы различными контроллерами — и стал манипулировать действиями сети насосных станций через другие контроллеры, создавая сбои в её работе. Операторы стали замечать, что число сбоев резко увеличилось: насосы произвольно выключались, не подавали сигналы о проблемах, вываливались из сети, давали ошибочные данные о содержании веществ в воде и степени её очищенности на выходе из очистных сооружений. Полная переустановка ПО на контроллерах и замена проблемных контроллеров ничего не давали. Проблема усугублялась и тем, что контроллеры не вели логи подключений, а быстро прописать их ведение не получилось. Чтобы его было трудно засечь, взломы Боден устраивал с оборудованного рацией ноутбука из салона своего автомобиля, разъезжая по разным уголкам Маручи.
• Разобраться в ситуации поручили одному из инженеров-программистов Hunter Watertech по фамилии Ягер. Он принялся отслеживать, записывать и анализировать все сигналы с контроллеров, сообщения и трафик в радиосети системы. Вскоре он пришёл к выводу, что речь идёт не о технических сбоях, а о злонамеренном вмешательстве в работу SCADA канализации. Удалось вычислить и наиболее вероятную точку взлома: контроллер на насосной станции №14, который технически был совершенно исправен, но раз за разом давал в систему странные команды. Тем временем ситуация ухудшалась: 10 марта произошёл эпизод выброса 264 тысяч галлонов канализационных вод с переполненной насосной станции с весьма неприятными последствиями для местных жителей и природы, а также отеля сети Hyatt в семи милях ниже по реке...
Часть 2 ⬇
• Нашел очень крутой Roadmap по сертификации в ИБ! За основу этой карты был взят проект "Security Certification Roadmap", которым я делился еще в 2023 году.
• Помимо актуальности, красоты и разбивки по уровням (для начинающих, опытных и экспертов) есть еще куча разных фишек:
➡Присутствует возможность сравнения сертификаций между собой.
➡Есть фильтр по вендорам и цене в разной валюте.
➡У каждой сертификации есть подробное описание.
• На данный момент Roadmap содержит 354 сертификата / 57 вендоров. Изучаем по ссылке ниже:
➡ https://dragkob.com/security-certification-roadmap
#Roadmap #ИБ
👩💻 Структура файловой иерархии Linux.
• Файловая система Linux (FHS) используется для хранения всего — от программ и настроек до личных файлов пользователя. Она начинается с корневого каталога / и организует структуру в виде специальных папок, каждая из которых выполняет свою задачу. Вы можете сколько угодно изучать структуру файловой системы, но без практики в реальных инструментах это останется теорией.
• Сегодня поделюсь с вами крутой шпаргалкой, которая окажется полезной при изучении и работе с Linux. В хорошем качестве можете скачать по ссылке ниже:
➡️ https://www.blackmoreops.com/Linux-File-System
#Linux #CheatSheet
• Хорошая статья от специалистов "Бастион", в которой описаны пять векторов атак на умные замки. Материал демонстрирует, что красивая технологическая оболочка не всегда означает настоящую защиту.
• Тема весьма интересная и ее редко обсуждают в паблике, поэтому рекомендую к прочтению.
➡ Читать статью [7 min].
#RE #Пентест
Исследователи раскрыли 9 критических уязвимостей IP KVM, которые позволяют получать несанкционированный доступ с правами root и контроль над скомпрометированными хостами.
Устройства IP KVM обеспечивают удаленный доступ к клавиатуре, видеовыходу и мыши целевого компьютера на уровне BIOS/UEFI.
Обнаруженные Eclypsium проблемы затрагивают четыре различных продукта: GL-iNet Comet RM-1, Angeet/Yeeso ES3 KVM, Sipeed NanoKVM и JetKVM. Наиболее серьезные из них позволяют неавторизованным пользователям получить root-доступ или запустить вредоносный код.
Среди общих дефектов исследователи выделили: отсутствие проверки подписи прошивки, отсутствие защиты от брута, неработающие механизмы контроля доступа и открытые интерфейсы отладки, а их перечень выглядит следующим образом:
- CVE-2026-32290 (CVSS: 4.2): недостаточная проверка подлинности прошивки в KVM-переключателе GL-iNet Comet (планируется исправление);
- CVE-2026-32291 (CVSS: 7.6): проблема доступа к корневому каталогу универсального асинхронного приемопередатчика (UART) в KVM-сервере GL-iNet Comet (планируется исправление);
- CVE-2026-32292 (CVSS: 5.3): недостаточная защита от брут-атак в GL-iNet Comet KVM (исправлено в версии 1.8.1 BETA);
- CVE-2026-32293 (CVSS: 3.1): небезопасное первоначальное выделение ресурсов через неаутентифицированное облачное соединение в GL-iNet Comet KVM (исправлено в версии 1.8.1 BETA);
- CVE-2026-32294 (CVSS: 6.7): недостаточная проверка обновлений в JetKVM (исправлено в версии 0.5.4);
- CVE-2026-32295 (CVSS: 7.3): недостаточное ограничение скорости запросов в JetKVM (исправлено в версии 0.5.4);
- CVE-2026-32296 (CVSS: 5.4): раскрытие конфигурации конечной точки в Sipeed NanoKVM (исправлено в NanoKVM версии 2.3.1 и Pro 1.2.4);
- CVE-2026-32297 (CVSS: 9.8): отсутствие аутентификации для критической функции в Angeet ES3 KVM, приводящая к RCE (исправление отсутствует);
- CVE-2026-32298 (CVSS: 8.8): внедрение команд ОС в Angeet ES3 KVM (исправление отсутствует).
Как отмечает исследователи, это не какие-то экзотические 0-day, а просчеты в фундаментальных мерах безопасности, которые должны быть реализованы на любом сетевом устройстве.
Злоумышленник может использовать эти уязвимости для внедрения нажатий клавиш, загрузки со съемных носителей с целью обхода шифрования диска или защиты Secure Boot, обхода экранов блокировки и доступа к системам, и, что более важно, оставаться незамеченным ПО безопасности, установленным на уровне ОС.
Причем, это уже не первый случай обнаружения проблем в IP KVM-устройствах. Так, в июле 2025 года Positive Technologies выявляла пять уязвимостей в коммутаторах ATEN International (CVE-2025-3710, CVE-2025-3711, CVE-2025-3712, CVE-2025-3713 и CVE-2025-3714), которые могли привести к DoS и RCE.
В качестве мер по снижению рисков рекомендуется внедрить MFa там, где это поддерживается, изолировать KVM-устройства в выделенной управляющей VLAN, ограничить доступ в Интернет, использовать такие инструменты, как Shodan, для проверки на наличие внешних угроз, отслеживать неожиданный сетевой трафик к/от устройств и поддерживать прошивку в актуальном состоянии.
Ведь, как заявляют в Eclypsium, злоумышленник, взломавший KVM-переключатель, способен скрывать инструменты и бэкдоры на самом устройстве, повторно заражая хост-системы даже после устранения проблемы.
📶 Matrix и XMPP на своем сервере для самых маленьких.
• Очередное пошаговое руководство (думаю, что со временем их будет становиться все больше, в свете последних событий), где автор сравнивает между Matrix и XMPP для обмена текстовыми сообщениями и голосой связью. В статье описаны плюсы и минусы каждого варианта, а в комментах можно найти ценную информацию:
➡ Читать статью [14 min].
#Разное
• Самый первый компьютерный баг.
• 9 сентября 1947 года кое-что любопытное нашли операторы компьютера Mark II. Это что-то — моль. История гласит, что легендарная Грейс Хоппер обнаружила насекомое между точками на реле N70 панели F. После этого Грейс вклеила маленького диверсанта в свой технический отчет (на фото) и написала: «First actual case of bug being found» (Первый реальный случай обнаружения бага).
• Кстати, журнал с записью в настоящее время проживает в Национальном музее американской истории. Но на всеобщее обозрение по неизвестным причинам не выставлен.
#Разное
🏘 Необычные Дата Центры.
• Изучая географию дата-центров по всему миру, можно найти необычные и интересные места их расположения. Например, в ядерном бункере или в церкви....
• Вот вы бы догадались, что за пределами часовни расположен ЦОД? А вот в хитрые испанцы взяли и построили. В 2005 году серверная площадью около 120 кв. м. успешно начала функционировать в бывшей часовне Torre Girona, где разместили один из самых мощных (на тот момент) суперкомпьютеров Европы, производительностью около 94 терафлопс.
• Таким образом «модернизированная» часовня помогала ученым решать различные задачи, такие как прогнозирование погоды, исследование генома человека или же изобретение нового лекарства. Несколько фото можете глянуть выше.
• Но есть еще один интересный ЦОД (фото 3 и 4), который находится в Стокгольме и очень напоминает строение из фильмов о Джеймсе Бонде, его имя Bahnhof или Pionen White Mountains (кодовое название, сохранившееся у объекта со времен войны). Он расположился в 30 метрах под скалой в бывшем ядерном убежище. От внешнего мира Дата Центр отделяет 40-сантиметровая стальная дверь, так же на территории убежища расположен офис телекоммуникационной компании и точка обмена трафиком. Кстати, вот несколько интересных фактов:
➡ЦОД может выдержать взрыв водородной бомбы;
➡Является офисом одного из самых крупных Интернет-провайдеров Швеции;
➡Система резервного питания времен Холодной войны Maybach MTU позволяет обеспечить около 1,5 МВатт мощности;
➡Тройное резервирование каналов связи (оптические линки заведены из трех различных вводов);
➡Система охлаждения позволяет спокойно отвести тепло с нескольких сотен шкафов полностью заполненных оборудованием (при потреблении мощности до 1,5 МВатт);
➡Имитируется дневное освещение, есть оранжерея и искусственные водопады, что создает комфортную рабочую атмосферу;
➡15 сотрудников только старшего технического персонала находятся на объекте постоянно.
➡️ Красивые фоточки можете найти тут: https://www.archdaily.com
#Разное
👨💻 Как превратить старый ноутбук в домашний сервер для хранения данных и удаленной работы.
• Автор этого материала поделиться личным опытом превращения старенького ноутбука ASUS, который был выпущен 12 лет назад, в полноценный домашний сервер под Linux Ubuntu Server 24.04.5 LTS.
• Получилось что-то вроде мини-датацентра — он хранит файлы на жёстком диске с бэкапом в облаке, Docker-контейнеры крутит для дата-аналитики и даже имеет легковесный интерфейс XFCE, при этом есть потенциал к росту до терминала для управления умным домом. В статье описано, почему было решено отказаться от WSL на ноутбуке Huawei, как настроить удалённый доступ через xRDP (чтобы не было чёрного экрана), запустить там Docker, сборку Superset и JupyterLab с Anaconda (с разными версиями Python), прикрутить Samba-шару для домашнего использования и организовать бэкап в облачное хранилище.
• В общем и целом, статья окажется полезной всем желающим и особенно тем, кто не знает, куда девать и что делать со своим старым ноутбуком \ ПК.
• P.S. Читайте комменты, там много советов и другой ценной информации.
➡ Читать статью [10 min].
#Разное #Linux
Apple добавила в macOS скрытую функцию безопасности, предупреждающую пользователей о возможных атаках ClickFix. Она была незаметно реализована в macOS 26.4, выпущенную на прошлой неделе.
Принцип заключается во введении всплывающего окна на экране всякий раз, когда пользователь пытается скопировать и вставить команды из браузера в окно Терминала.
Такое всплывающее окно призвано привлечь внимание менее технически подкованных пользователей macOS к новой технике атаки.
ClickFix впервые была обнаружена в реальных условиях в 2024 году. Злоумышленники используют веб-сайты с поддельными ошибками или неработающими CAPTCHA, которые предлагают пользователям скопировать и вставить фрагмент кода в окно командной строки терминала.
Блок кода обычно содержит закодированные или замаскированные команды операционной системы, которые загружают и устанавливают вредоносное ПО.
Первоначально атаки были направлены на Windows, но в прошлом году расширились на macOS и впоследствии на Linux. При этом ClickFix на macOS стала особенно популярна к концу 2025 года.
В настоящее время это один из наиболее распространенных методов распространения вредоносного ПО, столь же популярный, как электронная почта и загрузка бесплатного программного обеспечения с ловушками.
Huntress сообщила, что более половины инцидентов с вредоносным ПО, отслеженных ею в прошлом году, произошли через ClickFix.
Всплывающее окно, изображенное ниже, не блокирует пользователям возможность вставки команд, но выдаст предупреждение тем, кто не знаком с методом ClickFix.
Помимо этого в ответ на Coruna и DarkSword Apple теперь также отправляет уведомления на экран блокировки iPhone и iPad с более старыми версиями iOS и iPadOS, предупреждая пользователей о веб-атаках с призывом установить обновление.
Это произошло спустя неделю после того, как Apple выпустила бюллетень, в котором просила пользователей старых версий iOS и iPadOS обновить свои устройства в связи с обнаружением новых эксплойт-комплектов.
Но обольщаться по поводу «яблочной» заботы не стоит.
Согласно недавно рассекреченным судебным документам, Apple предоставляла правоохранительным органам США подлинные данные анонимизированного адреса электронной почты iCloud, сгенерированного с помощью функции «Скрыть мою электронную почту».
В документах подробно описывается расследование ФБР по поводу электронного письма с угрозами, отправленного 28 февраля 2026 года Алексис Уилкинс, которая в своем заявлении под присягой указана как подруга директора ФБР Кеша Пателя.
Согласно показаниям под присягой, Уилкинс получила сообщение с адреса созданного с помощью функции Apple. После обращения агентов к Apple, компания предоставила все исчерпывающие данные пользователя, связывающие псевдоним с основным Apple ID.
В числе дополнительных технических данных, предоставленных Apple, были указаны устройства, связанные с учетной записью, такие как iPhone 17 Pro, iPad Mini и Apple Watch Ultra 3.
Все эти сведения, наряду с журналами и метаданными в сервисах Apple, включая IP и историю активности учетной записи, помогли следователям установить причастность к инциденту.
📘 На Stepik вышел курс — «DevOps-инженер: От основ до продакшена»
Хотите автоматизировать деплой и выстраивать надёжные CI/CD процессы? Этот курс — полный путь DevOps-инженера: от первого сервера до продакшена.
• CI/CD: Jenkins, GitLab CI/CD, GitHub Actions, Blue-Green, Canary, rollback
• Контейнеризация: Docker (образы, Compose, networking), безопасность контейнеров
• Kubernetes: Pods, Services, Deployments, Helm
• Infrastructure as Code: Terraform, Ansible, ArgoCD и Flux для GitOps
• Мониторинг: Prometheus, Grafana, ELK Stack, OpenTelemetry, SLI/SLO/SLA
• Продакшен практики: High Availability, Disaster Recovery, Chaos Engineering
• В стоимость включено: поддержка на протяжении курса, разбор задач и вопросов, рецензирование итогового проекта и помощь в составлении резюме
🎓 Сертификат — добавьте в резюме или LinkedIn
🔥 Цена со скидкой: 9 990 ₽ → 5 990 ₽, действует ограниченное время
👉 Пройти курс на Stepik
• В 2003 году был обнаружен компьютерный вирус Slammer, который наделал очень много шума во всем мире. А знаете, что было самым интересным? Размер вируса был чрезвычайно мал — всего 376 байт, однако распространялся он так активно, что буквально забил интернет-каналы своими копиями. Но, обо всем по порядку.
• Данный компьютерный червь буквально ворвался с двух ног в просторы Интернета, заразив более 75.000 машин за первые 10 минут своего существования.
• Технология Slammer, как вредоносной программы, была очень проста и базировалась на недостатках в Microsoft's SQL и Desktop Engine. За пол года до распространения червя вышел патч MS02-039, который должен был закрыть все дыры и ликвидировать уязвимости, но далеко не все владельцы ПК этот патч установили. Это и дало лазейку для распространения Slammer.
• Червь, состоящий из пары строчек кода, всего лишь генерировал случайный IP и пересылал себя на него. Если выбранный IP принадлежал устройству с непропатченым Microsoft's SQL, червь его инфицировал и уже через это устройство распространялся дальше.
• Slammer вызвал самую настоящую цепную реакцию. Когда через маршрутизатор проходит слишком много трафика, то он его либо замедляет либо прерывает передачу. Однако, маршрутизаторы, зараженные червем, просто выходили из строя. Другие маршрутизаторы получали своего рода уведомление об этом и передавали его другим маршрутизаторам. Поток уведомлений об обновлении таблиц маршрутизации приводил к сбою работы новых маршрутизаторов, которые при перезагрузке заново начинали обновлять свой статус в таблице. Все это стало возможно еще и потому, что Slammer занимал всего 376 байт, и мог поместится в один единственный пакет. Как говорится, мал, да удал.
• В результате нагрузка на интернет возросла в среднем на 25%, а в отдельных случаях сеть была почти полностью парализована. Южная Корея была фактически отрезана от глобальной сети, прекратили работу часть банкоматов Bank of America, чуть не было сорвано первое электронное голосование на выборах главы одной из партий в Канаде, а в штате Вашингтон отказала система экстренной помощи 911.
• Кстати, автор, который создал Slammer, так и не был найден. А еще существует теория, что авторов вируса было несколько, так как в Slammer задействовано как минимум два стиля, что предполагает наличие более одного автора. Но это всего лишь теория.
#Разное
iOS и macOS 26.4 получили новые обновления безопасности. Apple также выпустила исправления и для более старых устройств в iOS 18.7.7, iPadOS 18.7.7, macOS Sequoia 15.7.5 и macOS Sonoma 14.8.5.
В целом, в рамках новой волны обновлений устранено более 80 уязвимостей.
Для устройств iPhone и iPad последнего поколения были выпущены iOS 26.4 и iPadOS 26.4, содержащие исправления почти для 40 уязвимостей.
В WebKit были исправлены 8 ошибок, которые могли быть использованы вредоносными сайтами для обхода мер безопасности, проведения XSS-атак, идентификации пользователей, выхода из песочницы или сбоя процесса.
Уязвимости в других компонентах потенциально могли привести к перехвату сетевого трафика, доступу к приложениям, защищенным биометрической идентификацией, сбоям процессов, завершению работы приложений, DoS, перечислению установленных приложений, выходу из песочницы и доступу к конфиденциальной информации.
В рамках обновлений для iOS 18.7.7 и iPadOS 18.7.7 пользователям более старых устройств были предоставлены исправления примерно для двух десятков таких уязвимостей.
Apple также выпустила macOS Tahoe 26.4 с исправлениями более чем 75 ошибок, включая примерно 30 уязвимостей, которые были устранены в обновлениях iOS 26.4 и iPadOS 26.4.
Патчи устраняют проблемы в десятках собственных компонентов, а также уязвимости в сторонних зависимостях с открытым исходным кодом, включая несколько библиотек Apache, Curl и LibPNG.
Кроме того, Apple представила macOS Sequoia 15.7.5 и macOS Sonoma 14.8.5 с исправлениями для более чем 50 подобных уязвимостей в каждой из них.
TvOS 26.4 и watchOS 26.4 также получили патчи для исправления более десятка уязвимостей в каждой, а в visionOS 26.4 - для 30 ошибок.
Apple анонсировала выпуск Safari 26.4 с исправлениями восьми ошибок WebKit. Xcode 26.4 получил патч для двух уязвимостей.
В компании не сообщают о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях. Но будем посмотреть, прекрасно помним и Триангуляцию, и Coruna, и…
Защита корпоративной почты: тренды и автоматизация 2026
Почта остается одной из главных целей для атак, поэтому руководителю важно выстроить стратегию защиты. 31 марта мы обсудим тренды угроз на ближайшие годы и разберем причины, по которым большинство атак сейчас идет из-за рубежа.
В программе вебинара:
— Ландшафт угроз 2025–2026 и причины смещения векторов атак.
— Базовые меры защиты от обновлений до харденинга TLS.
Спикеры объяснят, как новые инструменты помогают экономить ресурcы команды и создать надежный барьер для внешних угроз.
Участие бесплатное, регистрация открыта
#реклама
О рекламодателе
• Для проверки своей версии, Ягер временно переписал идентификатор станции №14 на №3. 16 марта 2000 года, когда в системе в очередной раз возникли сбои, Ягер отследил появление насосной станции №14. С её контроллера поступали инструкции, направленные на очередное нарушение работы системы. Ягеру удалось на какое-то время отсечь злоумышленника и заблокировать вредоносное вмешательство, но вскоре его собственный компьютер оказался отключён от сети.
• Теперь Боден использовал идентификационный номер 1 для отправки сообщений, и вернулся к своим действиям с ещё большим размахом. Число и масштабы сбоев и сбросов канализационных вод росли. И Ягер, и его коллеги днями и ночами пытались пресечь взломы и вернуть систему в штатное состояние, но с весьма сомнительными успехами.
• Шансы на поимку хакера, который всегда действовал из разных мест шира Маручи из салона автомобиля, были крайне малы. Однако вечером 23 апреля Боден в очередной раз вошёл в систему под видом контроллера №4, и вырубил уведомления о переполнении сразу четырёх насосных станций. Вскоре после этого его внезапно остановила дорожная полиция за нарушение ПДД. Содержимое салона показалось копам, уже знавшим о выбросах канализации и предполагаемой вине некого хакера, подозрительным — и не зря. В машине нашли «позаимствованные» им у Hunter Watertech контроллер и рацию, а также ноутбук, на котором обнаружилось ПО для управления автоматикой канализации.
• Логи показали, что только с 7 апреля имел место 31 взлом, общее количество доказанных в итоге эпизодов составило 46 — а реальное, вероятно, было выше, но логи старше 29 февраля отсутствовали из-за переустановки программы либо установки новой версии с правками. Впрочем, Боден после задержания всё яростно отрицал, утверждал, что все вещи в машине законно принадлежат ему, а ноутбук он использовал для подработки в соседнем городе — и потребовал его немедленно вернуть. Но история завершилась по стандартному сценарию, 31 октября суд Maroochy Shire в австралийском Квинсленде приговорил Бодена к двум годам заключения и штрафу в 5 тыс. баксов. Такая вот история...
➡ Источник.
• P.S. Спустя несколько лет историей заинтересовалась американская корпорация MITRE, работающая с американскими силовыми структурами в том числе по вопросам компьютерной безопасности, что не помешало ей, как было рассказано в цикле о хакерской группе Карла Коха, долгое время не замечать у себя же эпичную дыру. В 2008 году она выпустила пространный доклад о произошедшем с точки зрения (не)соблюдения мер цифровой защиты компьютерных сетей с точки зрения американского стандарта NIST Special Publication 800-53, введённого в 2005 году.
• А в 2017 году своё исследование взлома канализации в Маручи выпустил и MIT — впрочем, оно больше касалось вопросов предотвращения подобного в организационном и управленческом измерениях.
#Разное
Без предисловий — Dell PowerEdge 15G на складе в Москве!
Линейка подходит и для высокой нагрузки (R750, R650, R6525), и для типовой инфраструктуры (R450, R550, R750xs), и для базовых решений (R250).
Да, не DDR5. Но для многих корпоративных задач производительности четвертого поколения вполне достаточно. К тому же цена вкуснее, поставки быстрее и платформа надежная.
От нас:
— отгрузка со склада в Москве за 3-5 рабочих дня
— предпродажное тестирование и консультация
Исследователи Лаборатории Касперского предупредили о новой вредоносной кампании группировки Head Mare, нацеленной на образовательные и научные учреждения, а также организации в энергетическом секторе в России.
Зедетектить активность удалось в феврале 2026 года, сама же кампания была активна как минимум с декабря 2025 года.
Жертвы получали ссылку - приглашение на видеоконференцию, после перехода по которой пользователю предлагалось установить сервис для подключения к видеозвонку.
В процессе установки происходило заражение системы - на устройство устанавливался ранее неизвестный бэкдор, который в ЛК назвали PhantomPxPigeon.
В настоящее время, как отмечают исследователи, наблюдается новая волна схожей активности, в частности в поле зрения попал целый ряд скомпрометированных серверов TrueConf у различных организаций из области транспорта, а также у научных и образовательных учреждений.
Дистрибутивы клиентского приложения TrueConf, которое скачивается с этих серверов, были подменены на вредоносные.
Таким образом, потенциально могли быть скомпрометированы и другие организации, сотрудники которых могли установить вредоносные версии клиентского приложения.
Вектор атаки, приводящий к подмене клиентского приложения на текущий момент непонятен, но злоумышленники предположительно могли использовать уже известную уязвимость BDU:2025-10116, которая была выявлена исследователями и исправлена вендором в августе 2025 года.
В связи с этим в Лаборатории Касперского рекомендуют всем использующим ПО TrueConf установить актуальную версию сервера в соответствии с рекомендациями вендора.
Кроме того, следует убедиться, что клиентские дистрибутивы, загружающиеся с сервера TrueConf, используемого в организации, имеют действительную цифровую подпись TrueConf и не подменены.
Обнаруженные ЛК вредоносные дистрибутивы не имеют действительной цифровой подписи.
Проверить подлинность можно также на сайте производителя.
Решения Лаборатории Касперского эффективно детектируют и блокируют вредоносные инсталляторы. В рамках сервиса Kaspersky Managed Detection and Response вредоносная активность также обнаруживается.
Актуальные IOCs - на сайте Лаборатории Касперского.
• Уникальный в своём роде принтер IBM 1403 Model 3 (на фото) вышел в 1963 году вместе с компьютерной системой IBM 1460, апгрейдом легендарной IBM 1401 — тот был одним из первых транзисторных компьютеров в мире, поступившем в открытую продажу. Эта революционная система осуществила переход от перфокарт и коммутационных панелей к магнитным лентам.
• Представленный в октябре 1959 года компьютер IBM 1401 оказался ещё и в несколько раз дешевле ламповых компьютеров предыдущего поколения — его можно было установить на фирме всего за $6500 в месяц (около $68 000 на современные деньги), и он был на порядок компактнее, не занимал уже целую комнату. В течение месяца IBM получила 3000 заказов на IBM 1401 — больше заказов, чем в то время вообще существовало компьютеров в мире.
• В 1963 году вышла более продвинутая версия IBM 1460 с вдвое большей производительностью. А с ней — принтер-рекордсмен IBM 1403 Model 3, невероятно быстрый даже по современным стандартам. Он выдавал 1100 строк текста в минуту, с сумасшедшей скоростью поглощая рулон бумаги. Только успевай менять рулоны.
• Больше всего «литерный» принцип печати IBM 1403 напоминают матричную печать. Как и в ней, краска наносится путём соприкосновения бумаги с печатающими головками через красящую ленту. Но в остальном есть важные отличия.
• Во-первых, в принтере были установлены пять одинаковых наборов из 48 тиснёных металлических символов, словно в печатной машинке, все соединённые в горизонтальную цепь, которая вращалась со скоростью 5,2 метра в секунду перед поступающим рулоном бумаги и красящей лентой.
• Во-вторых, печать символов осуществлялась не прижатием символа к красящей ленте с бумагой, как в печатной машинке, а наоборот, прижатием бумаги к нужному месту вращающейся цепи с металлическими символами — с помощью маленьких электромагнитных молоточков.
• Такая технология оказалась на редкость плодотворной. За годы вышло восемь моделей IBM 1403. В некоторых было по 132 молоточка, по одному на каждую печатную колонку. Каждый такой элемент приводился в действие электромагнитом. Как только нужный символ в металлической цепи появлялся за красящей лентой в нужном месте — молоточек срабатывал за 11 микросекунд. Тут стоит отметить, что когда 132 молоточка стучали одновременно на бешеной скорости, это создавало невыносимый шум.
• В IBM 1403 Model 3 первоначальную металлическую цепь с символами заменили на отдельные элементы в дорожках, которые приводились в движение отдельными шестерёнками. За счёт этого скорость печати удалось увеличить до рекордного показателя 55 миллисекунд на строчку, что соответствует 1100 строчкам в минуту. А если ограничить печать только определённым подмножеством символов, то скорость возрастала и вовсе до 1400 строк. Такое количество строк (1100 в минуту) примерно соответствует 47 машинописным страницам (по стандарту, машинописная страница содержит 29-31 строки). То есть древний офисный принтер 1963 года печатал 47 страниц текста в минуту. Только представьте, что 62 года назад принтер имел такую скорость!
• Так что все эти чудеса современных технологий вполне сравнимы по скорости с электромагнитными молоточками от IBM образца 1963 года. Хотя лазерная печать позволила печатать с такой же скоростью ещё в 70-е годы, но IBM продолжала продажу принтеров серии IBM 1403 вплоть до 80-х годов...
#Разное
Готовишься к собеседованию по Linux? 🐧
Обычная зубрежка теории — это скучно и малоэффективно. Гораздо лучше работает игровой формат!
Ловите ссылку на полезный журнал 📖: в нём собрали популярные вопросы с собеседований и превратили их в головоломки и кроссворды. Учить теорию стало интереснее (и правда работает!).
📍 ЗАБРАТЬ ЖУРНАЛ
📊 Хотите усилить подготовку?
В боте также есть тест, который оценит ваш текущий уровень владения Linux. Так вы будете максимально готовы собеседованию.
🔐 Больше кибератак → выше спрос на специалистов по ИБ
По данным Positive Technologies, в 2025 году в России сформировался острый дефицит ИБ‑специалистов, который будет только усиливаться. Освоить как никогда актуальную профессию можно на расширенном курсе Нетологии.
Две основные специализации: администрирование СЗИ и форензика. И ещё одна на выбор: DevSecOps или пентест. На курсе вы:
🔸 научитесь настраивать Linux и Windows, Wi-Fi и DNS;
🔸 освоите Python и C, работу с Git, реверс-инжиниринг и анализ вредоносного ПО;
🔸 решите 74 задания и добавите 5 крупных проектов в портфолио;
🔸 научитесь применять ИИ и модели машинного обучения в кибербезопасности и для поиска работы.
🌿Купите в марте эту или другую программу с дополнительной скидкой 10% по промокоду NETONEW10 и получите ещё один курс в записи бесплатно. Стоимость подарочного курса — не выше суммы покупки. Записаться со скидкой
Реклама. ООО “Нетология” ОГРН 1207700135884 Erid: 2VSb5xSY6xH