КиберСек

Автор: kibersec

  • Android-шпион от спецслужб через WhatsApp и операторов

    Android-шпион от спецслужб через WhatsApp и операторов

    В компании Lookout провели анализ подозрительных приложений для Android, которые были предоставлены TechCrunch, и подтвердили, что это вредоносное ПО. По всей видимости, создателем трояна является итальянская компания SIO, которая предоставляет инструменты слежки спецслужбам и правоохранительным органам.

    Этот вредонос, именуемый Spyrtacus, маскируется под приложение WhatsApp (принадлежащее компании Meta, которая признана экстремистской и запрещена в России) и другие популярные программы. Представители Google утверждают, что подобных фейков в их магазине приложений нет.

    Шпион интересуется сообщениями в WhatsApp, Signal, Facebook Messenger (соцсеть также признана экстремистской и запрещена в России), а также SMS. Он может собирать информацию о контактах жертвы, записывать звонки, управлять камерой и микрофоном.

    Некоторые серверы, используемые Spyrtacus как C2, принадлежат компании ASIGINT — дочерней компании SIO, занимающейся разработкой программного обеспечения для прослушивания проводных линий связи.

    Интересно, что как фейковые приложения, так и поддельные сайты, с которых они распространяются, выполнены на итальянском языке. Пока неизвестно, кто именно использует их для шпионажа.

    Аналитики из Lookout нашли еще 13 образцов Spyrtacus в Сети; самый старый датируется 2019 годом, а самый новый — октябрем 2024 года. Некоторые из них выдают себя за приложения итальянских мобильных операторов TIM, Vodafone, WINDTRE.

    По данным «Лаборатории Касперского», шпион Spyrtacus впервые появился в интернете в 2018 году. Сначала вредоносные APK распространяли через Google Play, затем были созданы фейковые сайты.

    Помимо версии для Android, эксперты обнаружили вариант для Windows и признаки существования имплантов для iOS и macOS.

    Недавно стало известно о другой шпионской кампании, нацеленной на журналистов и активистов, использующих WhatsApp. На их устройства через уязвимость 0-click устанавливалось специализированное программное обеспечение от израильской компании Paragon без предупреждений, исключительно на русском языке.

  • 12% трафика в России — ботнеты, половина атак DDoS

    12% трафика в России — ботнеты, половина атак DDoS

    Преступники все чаще используют арендованные или взломанные серверы для вредоносных действий в интернете. Они могут проводить DDoS-атаки или распространять вирусы, скрывая свое местоположение и обходя блокировки.

    По данным компании RUVDS, в России в 2024 году около 12% интернет-трафика было нелегитимным. Половина этого трафика была создана ботнетами для мощных DDoS-атак.

    Злоумышленники могут использовать специальные акции хостинг-провайдеров, чтобы получить ресурсы для атаки. Чаще всего такие атаки происходят на высоком уровне.

    Преступники могут эксплуатировать уязвимости в серверах, что делает их источником вредоносного трафика. Размещение атакующих серверов в России помогает им обойти защитные фильтры, используемые компаниями.

    Провайдерам сложно защитить арендованные серверы, так как они не могут обновлять программное обеспечение без согласия пользователей. Для них важно быстро обнаруживать атаки с арендованных серверов, чтобы предотвратить сбои в работе клиентов.

  • 5 хакеров разработали способы обвести IT-гигантов вокруг пальца

    5 хакеров разработали способы обвести IT-гигантов вокруг пальца

    Отдел анализа угроз Google сообщил о новой группировке хакеров под названием Triplestrength, которая начала свою деятельность в 2020 году. Группа состоит из нескольких человек, но их атаки очень разнообразны и масштабны.

    Хакеры заражают компьютеры жертв вредоносными программами и одновременно взламывают облачные аккаунты для майнинга криптовалюты. Они также активно общаются на хакерских форумах, предлагая доступ к взломанным серверам.

    Triplestrength атакует сервера таких крупных облачных платформ, как Google Cloud, Amazon Web Services, Microsoft Azure и другие. Они используют вредоносную программу Raccoon для кражи информации с зараженных компьютеров.

    Группировка отличается от других преступных групп тем, что не крадет данные, а просто шифрует файлы и требует выкуп за их восстановление. Они используют различные программы-шифровальщики, такие как Phobos, LokiLocker и RCRU64.

    Хакеры не используют сложные методы для проникновения в системы жертв, а просто перебирают пароли для доступа к серверам удаленного рабочего стола. Они также отключают антивирусное ПО и используют общедоступные инструменты для манипуляций в сети организации.

    Благодаря Telegram аналитики Google установили связь между вымогательством и криптомайнингом группировки Triplestrength. Хакеры начали использовать облачные ресурсы для добычи криптовалюты около 2022 года, применяя приложение unMiner и майнинговый пул unMineable.

    Несмотря на маленький размер группы, их атаки приносят значительные убытки организациям. Google обнаружили множество адресов криптовалюты TRX, связанных с деятельностью Triplestrength. Их жертвами становятся компании разных отраслей и регионов, что свидетельствует о высокой организации и эффективности группировки.

  • BI.ZONE EDR 1.36: улучшенные механизмы выявления угроз

    BI.ZONE EDR 1.36: улучшенные механизмы выявления угроз

    В новой версии BI.ZONE EDR появились улучшенные возможности для настройки и автоматизации задач, а также инструменты для мониторинга и реагирования на угрозы. Теперь пользователи могут устанавливать расписание выполнения задач, включая регулярное сканирование операционной системы с использованием YARA-правил.

    Windows-агент теперь позволяет выявлять вредоносную активность, присваивать объектам пользовательские атрибуты и сохранять данные для анализа. Для Linux добавлен мониторинг операций над объектами инвентаризации, что позволяет отслеживать изменения в критически важных элементах системы.

    Также улучшены возможности автоматического реагирования и анализа событий в контейнерных средах. Добавлена поддержка Podman, что позволяет инвентаризировать запущенные контейнеры и связывать события с данными о них.

    Другие улучшения включают новый графический интерфейс агента для Windows, оптимизированный сбор телеметрии в Linux с использованием eBPF и механизмы кеширования для увеличения производительности на Linux-платформах.

  • Кибербитва 15: города в опасности, данные в угрозе

    Кибербитва 15: города в опасности, данные в угрозе

    Кибербитва Standoff 15 пройдет с 21 по 24 мая в рамках фестиваля Positive Hack Days на стадионе Лужники в Москве. В соревновании участвуют российские и зарубежные команды хакеров. Лучшие из них получат приз в 5 миллионов рублей.

    В мире все больше кибератак на компании. Злоумышленники используют искусственный интеллект, увеличивается число атак и взломов. Киберучения помогут специалистам в области кибербезопасности улучшить свои навыки.

    В этом году Standoff 15 будет проведен как онлайн, так и офлайн. Участники будут атаковать и защищать виртуальное государство с разными отраслями, такими как банки, энергетика, авиация и другие.

    В мае в соревновании участвуют тридцать команд. Некоторые из них уже участвовали в прошлых битвах, другие прошли квалификацию или получили приглашение. Лучшие команды будут атаковать системы компаний, а другие будут защищать их.

    Команды будут зарабатывать баллы за успешные атаки или защиту от них. Всем участникам предоставят менторскую поддержку опытных специалистов по безопасности.

  • Ограничение fair use: угроза для искусственного интеллекта

    Ограничение fair use: угроза для искусственного интеллекта

    Федеральный суд США решил, что использование защищенного авторским правом контента для обучения искусственного интеллекта без разрешения не является честным использованием. Однако это решение не дает однозначного ответа на вопрос о том, можно ли использовать этот принцип для генеративных ИИ-моделей.

    Судебное дело возникло между компанией Thomson Reuters и стартапом Ross Intelligence, который создавал базу данных судебных решений с помощью машинного обучения. В 2020 году Thomson Reuters подала иск против Ross Intelligence, обвиняя его в незаконном копировании материалов для создания своей платформы.

    Судья из Апелляционного суда решил в пользу Thomson Reuters, отклонив аргументы Ross о честном использовании. Он сказал, что компания просто использовала контент других для создания конкурентного продукта, не добавив ничего нового. Суд сосредоточился на процессе обучения модели, а не на ее конечных результатах.

    Это решение имеет большое значение для индустрии искусственного интеллекта, медиа и развлекательной сферы. Оно подчеркивает, что компании, использующие авторский контент, не могут просто так полагаться на честное использование. Важно соблюдать права интеллектуальной собственности, особенно при использовании чужих баз данных для обучения моделей.

    Однако остается неясным, как это решение повлияет на компании, разрабатывающие генеративные ИИ-модели. Судья сказал, что в данном случае использовался не генеративный ИИ, а просто анализирующий существующие решения. Это означает, что для других компаний, таких как OpenAI и Anthropic, ситуация может быть иной.

    Сейчас индустрия ждет дальнейших судебных разбирательств. Например, The New York Times подала иск против OpenAI и Microsoft за незаконное использование статей для обучения ChatGPT. Издания, такие как The Atlantic, Politico и Vox, судятся с AI-стартапом Cohere за нарушение авторских и товарных прав.

    Эксперты говорят, что различия между генеративным и негенеративным ИИ могут запутать суды, если они не учитывают технические аспекты. Судебные иски против ИИ-компаний участились, и будущее разбирательство с Cohere может стать важным шагом в определении правового статуса искусственного интеллекта.

  • Рекордная DDoS-атака в 2024 году: итоги

    Рекордная DDoS-атака в 2024 году: итоги

    С июля по декабрь 2024 года компания Selectel столкнулась с 80 735 DDoS-атаками, что в 2,6 раза больше, чем в первой половине года. Самая мощная атака достигла 412 Гбит/с, а скорость составила 103 миллиона пакетов в секунду.

    Наиболее интенсивные атаки произошли в июле и ноябре, а самые длительные — в октябре. В среднем в месяц компания регистрировала 13 455 атак, с пиком в октябре. В сентябре число атак на одного клиента достигло максимального значения — 4 621 в месяц.

    За полгода общая продолжительность атак составила 9 718 часов, с пиком активности в октябре и минимумом в ноябре. В среднем одна атака длилась менее 7 минут, за исключением случаев в июле.

    Самая длительная атака продолжалась 202 часа в декабре. В среднем клиент был под атакой около 10 часов, с максимальным временем воздействия в 492 часа, что почти в три раза больше, чем в первой половине года.

    Повторные атаки стали чаще встречаться в 2024 году, увеличивая общую продолжительность атак на одного клиента с 172 часов в апреле до 492 часов в декабре. Максимальная длительность одной атаки также возросла с 156 часов в апреле до 202 часов в декабре.

    Самыми распространенными типами атак стали TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, которые составили 70% всех инцидентов. Такие же результаты показало и исследование ГК «Гарда».

  • Тайны H3+: молекула-создатель звезд раскрывает новые тайны

    Тайны H3+: молекула-создатель звезд раскрывает новые тайны

    Ученые из Мичиганского государственного университета нашли новый способ, как образуется тригидроген (H3+), который играет важную роль в космосе и на Земле. Обычно H3+ образуется при столкновении молекул H2 и H2+. Но теперь ученые обнаружили, что особые органические молекулы под воздействием космических лучей могут превращаться в дважды ионизированные частицы с сильным положительным зарядом. В межзвездных облаках эти частицы могут захватывать ионы водорода из молекул H2 и превращаться в H3+. Этот процесс происходит в тех же местах, где давным-давно возникли первичные химические структуры, из которых позже появилась жизнь на Земле. Понимание образования и распространенности H3+ поможет узнать, как образуются другие сложные соединения в космосе.

  • Россиянам грозит опасность от мошенников-сейлов

    Россиянам грозит опасность от мошенников-сейлов

    В конце января 2025 года специалисты из «Лаборатории Касперского» обнаружили увеличение случаев мошеннических писем, которые направлены на кражу логинов и паролей от почтовых ящиков сотрудников российских компаний.

    К началу февраля было заблокировано несколько сотен таких писем, но угроза все еще остается актуальной. Эти атаки, по мнению экспертов, в основном направлены на маленькие компании.

    Мошенники представляются менеджерами по продажам и отправляют электронные письма с просьбой подписать и вернуть договор, который, как им кажется, прикреплен к сообщению. Однако, когда пользователь открывает прикрепленный PDF-файл, ему показывается сообщение об ошибке. Затем ему предлагается ввести свои учетные данные для доступа к облачному хранилищу, где, якобы, находится документ. На самом деле логин и пароль попадают к мошенникам.

    Эксперты отмечают, что эта схема основана на методах социальной инженерии: злоумышленники пытаются вызвать доверие у потенциальной жертвы и заставить ее совершить неразмышленные действия.

    Поэтому сотрудникам компаний и обычным пользователям рекомендуется быть бдительными по отношению к подозрительным сообщениям и повышать свою цифровую грамотность.

    Специалисты также отмечают, что атаки все чаще направлены на малый бизнес, что противоречит мнению о его низкой привлекательности для киберпреступников.

  • Искусственный интеллект превращен в фабрику мошенничества

    Искусственный интеллект превращен в фабрику мошенничества

    Мошенничество с криптовалютой становится все более популярным, и это связано с использованием технологий искусственного интеллекта. За последний год количество таких случаев выросло на 1216%. В январе 2025 года было выявлено более 150 случаев мошенничества с криптовалютой. Эту информацию поделились эксперты издания Cybernews.

    Киберпреступники заинтересованы в цифровых активах по нескольким причинам. Краденые средства легко могут быть отмыты, а рост биткоина делает криптовалюту еще более привлекательной. Мошенники также используют такие атаки как BEC, когда они выдают себя за сотрудников компании и заставляют переводить деньги или предоставлять доступ к конфиденциальным данным.

    Подарочные карты до сих пор остаются популярным способом вывода украденных средств (20,7% случаев), но криптовалютные платежи тоже используются (8,3%). В январе 2025 года было обнаружено 122 уникальных криптокошелька, связанных с мошенническими схемами. Средняя сумма пополнений составляла $5075, а диапазон варьировался от $0.17 до $53438.

    Автоматизация мошенничества с использованием искусственного интеллекта делает аферы более эффективными. Современные алгоритмы позволяют создавать безупречно составленные сообщения, которые массово рассылаются потенциальным жертвам вместе с адресами криптокошельков.

    Дополнительным фактором роста мошенничества являются sextortion-kits, которые распространяются на теневых форумах. Эти инструменты позволяют даже новичкам в киберпреступности проводить кампании по вымогательству, используя утекшие базы данных.

    Рост стоимости криптовалют, автоматизация обмана и появление простых инструментов для мошенников создают благоприятную среду для аферистов. Исследователи предупреждают, что в ближайшие месяцы масштабы криптовалютного мошенничества могут только увеличиться.

  • Опасность киберкатастрофы: 60% компаний на грани

    Опасность киберкатастрофы: 60% компаний на грани

    Новое исследование компании Zscaler показало, что 60% мировых компаний ожидают крупных проблем с кибербезопасностью в ближайший год. Организации думают, что они готовы к атакам, но на самом деле у них есть большие пробелы в защите.
    Опрос 1700 специалистов из 12 стран показал, что почти половина считает свою IT-инфраструктуру защищенной, а 94% думают, что их киберзащита эффективна. Но количество атак, таких как вирусы-вымогатели, по-прежнему растет и наносит огромные убытки.
    Многие компании не обновляли свои защитные стратегии уже давно, и только немногие адаптировали их к современным угрозам, включая угрозы, связанные с искусственным интеллектом. Это показывает, что между уверенностью и действиями в области защиты есть проблемы.
    Zscaler рекомендует компаниям изменить свой подход к кибербезопасности, готовясь заранее к возможным атакам, а не только пытаясь их предотвратить. Они предлагают использовать концепцию Zero Trust, которая помогает уменьшить уязвимости.
    Хотя все больше людей понимают важность киберзащиты, только 39% считают ее приоритетом для высшего руководства. Ограничения бюджета также остаются проблемой, так как инвестиции в защиту не соответствуют уровню угроз. Многие компании не включают директора по информационной безопасности в разработку стратегии защиты, и только немногие интегрируют киберзащиту в общий план бизнеса.
    Zscaler подчеркивает, что важно не только предотвращать кибератаки, но и готовиться к ним заранее. Компании должны использовать Zero Trust для уменьшения угроз и защиты данных.

  • Фальшивые факты и подтасовка доказательств в суде

    Фальшивые факты и подтасовка доказательств в суде

    Суд в округе Вайоминг запросил объяснения у группы адвокатов, которые представили суду фальшивые судебные прецеденты. Оказалось, что юристы использовали искусственный интеллект для создания документов, но система сгенерировала вымышленные дела.

    История началась с иска против Walmart и Jetson Electronic Bikes, Inc., который был подан в 2023 году. Семья из шести человек утверждает, что аккумулятор гироборда, купленного в Walmart, загорелся ночью, разрушив дом и причинив серьезные травмы. В январе 2024 года адвокаты попросили исключить определенные доказательства, ссылаясь на 8 судебных решений, которых на самом деле не существовало.

    Судья обратил внимание, что указанные дела не были найдены в базе Westlaw и в системе судов Вайоминга, и потребовал объяснений от адвокатов. Юристы признали ошибку, объяснив, что их система ИИ при создании ходатайства выдумала дела. Этот случай вызвал обсуждения о контроле и использовании ИИ в их фирме.

    Подобные случаи уже случались ранее. Например, в 2023 году адвокаты использовали несуществующие прецеденты, созданные ChatGPT, в случае иск против авиакомпании Avianca. Когда обман был выявлен, юристы продолжали настаивать на фиктивных цитатах и были оштрафованы на $5000.

    В 2024 году адвокат Майкл Коэн представил ложные ссылки на дела, полученные от чат-бота Gemini. Хотя наказания не последовало, судья назвал ситуацию «нелепой и постыдной».

    Использование искусственного интеллекта в юридической сфере становится все популярнее, но подобные инциденты показывают, что без должного контроля технология может привести к серьезным последствиям, включая санкции и дисквалификацию юристов.