Группа из восьмерых учёных и специалистов в области кибербезопасности обнаружила уязвимость ....bleed в системе «Золотой щит», также известной как «Великий китайский файрвол». С 2021 года они постоянно эксплуатировали её в стремлении изучить механизмы работы системы, информация о которой практически отсутствует.


Своё название ....bleed уязвимость получила по образцу Heartbleed в OpenSSL, обнаруженной более десяти лет назад. Ошибка связана с утечкой памяти и чтением данных за пределами разрешённого диапазона, но авторам исследования удалось заставить китайское оборудование раскрывать данные порциями всего по 125 байтов. Система «Золотой щит» предназначена для блокирования запрещённой в Китае информации и замедления иностранного трафика. Она начала работу ещё в девяностые годы и с течением лет становилась всё более сложной. Для мониторинга онлайн-активности пользователей и фильтрации информации используются различные методы.

....bleed была обнаружена в подсистеме DNS-инъекций, которая отвечает за генерацию поддельных ответов DNS. Когда китайский пользователь пытается зайти на заблокированный сайт, его компьютер запрашивает через DNS IP-адрес, соответствующий домену сайта, чтобы можно было установить с ним соединение. «Золотой щит» обнаруживает и перехватывает этот запрос и отправляет ответ с поддельным IP-адресом, ведущим в никуда. С точки зрения пользователя доступ, таким образом, блокируется.


При определённых условиях система возвращала пользователю не только поддельный IP-адрес, но и 125 байтов дополнительных данных. Утечка происходила с любой машины, которая проверяет запрос и в зависимости от его содержания блокирует его. Тщательно подготовив такой запрос, можно было захватить 125 байтов из памяти машины в системе. Для каждого пользователя в системе «Золотой щит» одновременно работают не менее трёх машин с DNS-инъекциями; но существуют и другие подсистемы, которые срабатывают, если пользователь каким-то образом получает правильный IP-адрес.

....bleed — не первая уязвимость, обнаруженная в китайской системе блокировки ресурсов. В 2010 году некий аккаунт в ....... (сейчас X) опубликовал однострочный скрипт, который из-за уязвимости в DNS позволял получать 122 байта дополнительных данных из памяти машин. Открывшие ....bleed непрерывно эксплуатировали уязвимость с октября 2021 по март 2024 года. До сентября-октября 2023 года это была уязвимость ....bleed v1, которую китайские эксперты уcтранили, но вскоре была обнаружена ....bleed v2 — её в марте 2024 года закрыли уже окончательно.

Исследователи эксплуатировали уязвимость, чтобы получить некоторую информацию об оборудовании в системе «Золотой щит», о котором неизвестно практически ничего. В частности, они выяснили, что данные оставались в памяти оборудования от нуля до пяти секунд, а его центральные процессоры имели архитектуру x86_64. Они также установили, что уязвимые промежуточные узлы обрабатывали трафик с сотен миллионов китайских IP-адресов, то есть практически со всей страны.

Сеть Apple Find My позволяет владельцам устройств и аксессуаров Apple отслеживать их — специально для этих целей компания выпустила трекеры AirTag. Но, несмотря на принятые производителем меры защиты, существует способ превратить любое устройство с Bluetooth в средство для слежки за человеком, обнаружили исследователи в Университете Джорджа Мейсона (США).


Они нашли способ, по сути, превратить любое устройство, в том числе телефон или ноутбук в AirTag и сделать это так, чтобы его владелец ничего не узнал. В результате злоумышленники могут удалённо отслеживать местоположение данного устройства. Принцип работы сети Apple Find My таков, что AirTag и другие совместимые трекеры отправляют сообщения по Bluetooth на ближайшие устройства Apple — эти устройства через серверы производителя анонимно передают владельцу местоположение трекера. Используя подходящий ключ, можно отслеживать через сеть Find My любое устройство с Bluetooth.

Трекер AirTag на основе криптографического ключа может изменять свой адрес в сети Bluetooth, но учёные разработали систему, способную быстро находить такие ключи — для этого требуется ресурс «нескольких сотен» графических процессоров. Получивший название эксплойт nRootTag имеет показатель успешности 90 % и не требует привилегий администратора. Авторы исследования провели эксперимент и установили местоположение заданного компьютера с точностью до 10 футов (3,05 м), а затем отследили движущийся по городу велосипед. В другом опыте они восстановили маршрут полёта человека, которого отследили через игровую консоль.

Авторы проекта поделились его результатами с Apple в июле 2024 года и рекомендовали компании изменить механизм работы сети Find My, чтобы повысить защиту при проверке устройств Bluetooth. Компания подтвердила, что изучила доклад, но до сих пор не внесла никаких изменений в архитектуру сети и не сообщила, когда намеревается это сделать. Полноценное исправление ошибки может занять несколько лет, указывают исследователи: даже если Apple выпустит закрывающие уязвимость обновления ПО, пользователи едва ли оперативно их установят. Владельцам устройств Apple рекомендовано не давать разрешений на доступ приложений к Bluetooth, если не уверенности, что это необходимо, и регулярно обновлять прошивку устройств.

Роскомнадзор за январь 2025 года зафиксировал десять фактов утечек личных данных граждан, что привело к попаданию 6,9 млн записей о россиянах в открытый доступ. В 2024 году регулятор выявил в общей сложности 135 случаев утечек баз данных, содержавших свыше 710 млн записей о гражданах России.


По данным отчёта компании InfoWatch «Утечки конфиденциальной информации из финансовых организаций», общее число утечек из российских финансовых компаний снизилось в прошлом году почти на 60 %. Но это снижение отнюдь не свидетельствует о резком повышении уровня информационной безопасности — просто в 2023 году произошёл всплеск утечек до 170,3 млн записей, что в 3,2 раза больше результата 2022 года и в 57 (!) раз превышает уровень 2021 года.

В отчёте InfoWatch утверждается, что в 2024 году из банков, микрофинансовых организаций и страховых компаний в открытый доступ попало 68 млн записей с персональными данными. Из них 40 % утечек допустили банки, 28 % – микрофинансовые организации, а 20 % – страховые компании. Общее число утечек снизилось на 58,8 % по сравнению с 2023 годом, количество утечек из финансовых организаций сократилось на 68,3 %, составив 25 инцидентов. Доля утечек данных, содержащих коммерческую тайну, резко возросла с 8,9 % в 2023 г. до 20 % в 2024 г.

88 % случаев утечек стали результатом кибератак, а в восьми процентах случаев персональные данные попали в открытый доступ в результате умышленных действий персонала, причём доля кибератак повысилась на 7 п.п., а доля умышленных действий снизилась на 4,6 п.п. Эксперты объясняют это повышением уровня систем безопасности, а также сложностью выявления внутренних нарушений: «Речь прежде всего идёт о реализации сложных, многоступенчатых схем кражи информации с участием как внутренних нарушителей, так и внешних (так называемый гибридный вектор атак)».

28 ноября 2024 года в России был принят закон, ужесточающий ответственность за утечки персональных данных, вплоть до уголовной. Штрафы для компаний составляют от 5 до 15 млн рублей за первый инцидент и до 3 % от годового оборота компании за повторные нарушения. Максимальная сумма штрафа достигает 500 млн рублей. В то же время предусмотрены послабления: компании, которые в течение трёх лет инвестировали в информационную безопасность не менее 0,1 % от своей выручки и соблюдали требования регулятора, смогут рассчитывать на снижение штрафов.

Тем не менее бизнес, по мнению экспертов, не готов к ужесточению требований. Вице-президент по информационной безопасности ПАО «ВымпелКом» Алексей Волков заявил, что компании не успеют адаптироваться к нововведениям до 2025 года. Он подчеркнул, что создание системы информационной безопасности требует не только значительных ресурсов, но и долгосрочного изменения организационной культуры. «Безопасность нельзя купить или построить – её можно только взрастить», — отметил Волков.

Microsoft заявила об обнаружении американских и зарубежных хакеров, которые обходили ограничения генеративных инструментов на базе искусственного интеллекта, включая службы OpenAI в облаке Azure, для создания вредоносного контента, в том числе интимных изображений знаменитостей и другого контента сексуального характера. По данным компании, в этой деятельности участвовали хакеры из США, Ирана, Великобритании, Гонконга и Вьетнама.


В сообщении сказано, что злоумышленники извлекали логины пользователей сервисов генеративного ИИ из открытых источников и использовали их для собственных целей. После получения доступа к ИИ-сервису хакеры обходили установленные разработчиками ограничения и продавали доступ к ИИ-сервисам вместе с инструкциями по созданию вредоносного контента.

Microsoft предполагает, что все идентифицированные хакеры являются членами глобальной киберпреступной сети, которую в компании именуют Storm-2139. Двое из них территориально находятся во Флориде и Иллинойсе, но компания не раскрывает личностей, чтобы не навредить уголовному расследованию. Софтверный гигант заявил, что ведёт подготовку соответствующих запросов в правоохранительные органы США и ряда других стран.

Эти меры Microsoft принимает на фоне растущей популярности генеративных нейросетей и опасения людей по поводу того, что ИИ может использоваться для создания фейковых изображений общественных деятелей и простых граждан. Такие компании, как Microsoft и OpenAI, запрещают генерацию подобного контента и соответствующим образом ограничивают свои ИИ-сервисы. Однако хакеры всё равно пытаются обойти эти ограничения, что зачастую им успешно удаётся сделать.

«Мы очень серьёзно относимся к неправомерному использованию искусственного интеллекта и признаём серьёзные и долгосрочные последствия злоупотребления изображениями для потенциальных жертв. Microsoft по-прежнему стремится защитить пользователей, внедряя надёжные меры ИИ-безопасности на платформах и защищая сервисы от незаконного и вредоносного контента», — заявил Стивен Масада (Steven Masada), помощник главного юрисконсульта подразделения Microsoft по борьбе с киберпреступлениями.

Это заявление последовало за декабрьским иском Microsoft, который компания подала в Восточном округе Вирджинии против 10 неизвестных в попытке собрать больше информации о хакерской группировке и пресечь её деятельность. Решение суда позволило Microsoft взять под контроль один из основных веб-сайтов хакеров. Это и обнародование ряда судебных документов в прошлом месяце посеяло панику в рядах злоумышленников, что могло установить личности некоторых участников группировки.

Платформа видео YouTube остаётся недоступной в России, заявили в пресс-службе Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), который входит в Роскомнадзор.

«ЦМУ проверил доступность сервиса YouTube. Сервис в России недоступен», — сообщили в ведомстве. Вопрос оказался актуальным после того, как Telegr*am-канал .... сообщил о восстановлении штатного доступа к YouTube у абонентов «Ростелекома», МТС и «Билайна»; схожее сообщение опубликовал ....

Тема возможной блокировки YouTube в России начала обсуждаться ещё весной 2022 года. Более двух лет платформа продолжала работать в России без ограничений, но в августе 2024 года доступ к YouTube у отечественных операторов начал замедляться. В конце ноября администрация платформы обратилась к некоторым пользователям с просьбой самостоятельно удалить видео, содержащие запрещённую в России информацию.

После замедления YouTube выбыл из пятёрки платформ — лидеров по охвату аудитории в России. Его обошли соцсеть «ВКонта*кте» и мессенджер Telegr*am. Альтернативная российская платформа Rutube нарастила аудиторию, а проект МТС Nuum не «взлетел», и его разработку приостановили.

На этой неделе в магазине цифрового контента Apple App Store появилось приложение Flashes, которое представляет собой аналог .........✴, связанный с социальной сетью Bluesky. Сервис предлагает подобный .........✴ пользовательский интерфейс и позволяет загружать до четырёх фото и видео продолжительностью до минуты. Всего за первые сутки приложение Flashes скачали более 30 тыс. раз.


Новый сервис создан немецким разработчиком Себастьяном Фогельсангом (Sebastian Vogelsang). Приложение работает на основе протокола AT Protocol, разработкой которого занимается Bluesky. Поскольку приложение Flashes связано с соцсетью Bluesky, которая насчитывает около 32 млн пользователей, оно сразу имело доступ к достаточно большой аудитории. Это означает, что посты из Flashes могут отображаться в Bluesky, т.е. они могут охватить более широкую аудиторию, чем если бы их могли видеть только пользователи приложения.

Хотя Flashes сильно напоминает .........✴, новое приложение более гибкое. Вместо того, чтобы получать контент, рекомендуемый алгоритмами соцсети, пользователи Flashes могут получить доступ к любой из примерно 50 тыс. пользовательских лент Bluesky. Кроме того, приложение позволяет просматривать ленту самых свежих и лучших постов из Bluesky.


Ещё в приложении есть инструменты для фотографов, которые хотят продемонстрировать свои работы. Например, в процессе настройки профиля можно выбрать, какие именно изображения будут демонстрироваться другим пользователям. Это позволит выставить на передний план лучшие снимки, которые будут демонстрироваться людям, просматривающим профиль пользователя. В дополнение к этому публикуемые снимки можно редактировать с помощью встроенных фильтров.

Автор приложения рассказал, что с ним уже связывались потенциальные инвесторы, готовые вложить средства в развитие проекта Flashes. Вероятно, это означает, что Flashes продолжит развиваться, а пользовательская база будет расширяться.

Проанализировав данные клиентов, эксперты Storm.... обнаружили, что за отчетный период 38 % DDoS-атак на API пришлось на ритейл (рост на 26 %), 32 % — на банковскую индустрию (рост на 22 %). На рост инцидентов повлияла потребительская активность в дни распродаж «Черная пятница» и подготовка к Новому году, в том числе возрастающий пик платежей в Новогодние праздники.

Как поясняют в компании, DDoS-атаки на API направлены на перегрузку серверов, обрабатывающих запросы к API, путем отправки огромного количества запросов. В итоге компании теряют доступ к сервисам, что приводит к простоям и ухудшению пользовательского опыта, финансовым потерям из-за остановки бизнес-процессов.



Атаки на API могут иметь такие последствия, как потеря данных, компрометация системы, изменение логики работы приложения или полный выход из строя системы. Достаточно найти уязвимость или вызвать чрезмерную нагрузку на конкретный эндпойнт. Запросы к API часто выглядят как легитимный трафик, что затрудняет их обнаружение и фильтрацию по сравнению с более очевидными атаками типа HTTP Flood.

Противостоять DDoS-атакам на API помогут системы мониторинга трафика для обнаружения аномалий, использование WAF для фильтрации вредоносного трафика, создание резервных копий данных и план действий при инцидентах.

Согласно исследованию компании по кибербезопасности Human Security, не менее 1 млн устройств на базе Android, изготовленных малоизвестными брендами и продающиеся на китайских интернет-площадках, заражены вредоносным ПО, которое превращает их в ботнет, контролируемый мошенниками. Заражение устройств производится с помощью вредоносных приложений и прошивок или даже на стадии производства.

Источник изображения: Mika Baumeister/unsplash.com
Источник изображения: Mika Baumeister / unsplash.com
Как сообщает ресурс Wired, сеть киберпреступников Badbox, ставшая известной в 2023 году из-за внедрения секретных бэкдоров в десятках тысяч ТВ-приставок на Android, используемых в домах, школах и на предприятиях, запустила кампанию следующего поколения Badbox 2.0, которая шире по масштабу и ещё более изобретательна.

Заражённые телевизионные потоковые приставки, планшеты, проекторы и автомобильные информационно-развлекательные системы используются злоумышленниками для мошенничества с рекламой или как часть прокси-сервиса для маршрутизации и маскировки веб-трафика. При этом владельцы скомпрометированных устройств даже не подозревают об этом.

Согласно исследованию, большинство заражённых устройств находятся в Южной Америке, преимущественно в Бразилии. В частности, заражению подверглись десятки потоковых ТВ-приставок, но большей частью бэкдор Badbox 2.0 получил распространение в семействах устройств TV98 и X96, которые широко представлены, например, на Aliexpress. Практически все целевые устройства используют ОС Android с открытым исходным кодом, то есть они работают на версиях Android, но не входят в экосистему защищённых устройств Google.

Google сообщила, что сотрудничала с исследователями, чтобы удалить учётные записи издателей, связанных с мошенничеством, и заблокировать возможность этих аккаунтов получать доход через рекламную экосистему Google.

В рамках проекта Badbox 2.0 злоумышленники используют традиционное вредоносное ПО, распространяемое с помощью, например, попутных загрузок, когда пользователь случайно загружает вредоносное ПО, не осознавая этого.

Исследователи из нескольких фирм полагают, что нынешняя кампания проводится несколькими киберпреступными группами, у каждой из которых есть свои версии бэкдора Badbox 2.0 и вредоносных модулей, и они распространяют программное обеспечение различными способами.

К примеру, злоумышленники создают безобидную программу, ту же игру, размещают её в магазине Google Play, чтобы показать, что оно проверено, но затем обманом заставляют пользователей загружать почти идентичные версии приложения, но уже вредоносные, и не из официальных магазинов ПО.

«Масштаб операции огромен», — отметил Фёдор Ярочкин, старший исследователь угроз в Trend Micro. По его словам, многие из групп, участвующих во вредоносной кампании, похоже, имеют связи с китайскими рекламными и маркетинговыми фирмами серого рынка. Сообщается, что Human, Trend Micro и Google также сотрудничали с группой интернет-безопасности Shadow Server, чтобы максимально нейтрализовать инфраструктуру Badbox 2.0.

«Как потребитель, вы должны помнить, что если устройство слишком дешёвое, вы должны быть готовы к тому, что в нём могут скрываться некоторые дополнительные “сюрпризы”, — говорит эксперт. — Бесплатный сыр бывает только в мышеловке».

Згідно із заявою окружного прокурора Квінса, двох хакерів, які, як стверджується, вкрали понад 900 електронних квитків на концерти Тейлор Свіфт, заарештували та притягнули до суду. Про це повідомляє Deadline.
Тайрон Роуз та Шамара П. Сіммонс звинувачуються у великій крадіжці у другому ступені, несанкціонованому втручанні в комп'ютерні системи першого ступеня, змові четвертого ступеня та комп'ютерному зломі четвертого ступеня. Тепер їм загрожує від 3 до 15 років в'язниці.

Хакери скористалися популярністю Свіфт та перепродали квитки на шоу в рамках концертного туру Eras Tour. На цьому злодіям вдалося заробити понад 600 тисяч доларів.

"Затримані нібито використовували лазівку і вкрали квитки на найбільший концертний тур останнього десятиліття, а потім перепродали їх, отримавши неймовірний прибуток у розмірі понад 600 000 доларів", – йдеться в заяві поліції.

Наразі прокуратура намагається знайти спільників.

Microsoft сообщила о вредоносной рекламной кампании, обнаруженной в декабре прошлого года, которая «затронула почти миллион устройств по всему миру в ходе атаки с целью кражи информации», пишет ресурс PCMag.com. Атака затронула широкий спектр организаций, включая как потребительские, так и корпоративные устройства, что говорит о её неизбирательном характере, отметила компания.


Команда безопасности Microsoft отследила заражение двух пиратских видеосервисов, movies7 и 0123movie, реклама на которых перенаправляла пользователей на мошеннические сайты технической поддержки, которые затем перенаправляли их на страницы Discord, Dropbox и GitHub, где было размещено вредоносное ПО.

Microsoft не уточнила, каким образом мошеннические сайты привлекали пользователей к загрузке программ, которые были скрытым вредоносным ПО, позволявшим похищать системную информацию или даже удалённо брать под контроль компьютер пользователя.

Для маскировки хакеры использовали подписанные сертификаты ПО, одновременно доставляя поначалу некоторые легитимные файлы. «По состоянию на середину января 2025 года обнаруженные загрузки первого этапа были подписаны цифровой подписью с помощью недавно созданного сертификата. Всего были идентифицированы двенадцать различных сертификатов, которые все были отозваны», — сообщила Microsoft.

Атака была разработана для доставки вредоносного софта, который позволяет собирать информацию о ПК и отправлять её на сервер киберпреступников. С его помощью хакеры также могли устанавливать на компьютер дополнительное вредоносное ПО, чтобы шпионить за «активностью просмотра и взаимодействовать с активным экземпляром браузера», в том числе Firefox, Chrome и Edge, заявила Microsoft.

Как сообщает PCMag, GitHub, Discord и Dropbox уже удалили страницы, на которых размещалось вредоносное ПО. Microsoft также отметила, что встроенный в Windows Microsoft Defender может обнаружить и пометить вредоносное ПО, используемое в хакерской атаке.

Зазначається, що у "ПриватБанку" наразі можуть виникати складнощі під час виконання деяких транзакцій. У банку вже працюють над вирішенням ситуації та перепрошують за тимчасові незручності.

"Наразі можуть спостерігатися складнощі під час проведення деяких операцій. Фахівці вже займаються усуненням труднощів, перепрошуємо за тимчасові незручності!" - повідомили в банку.

Крім того, збій торкнувся й користувачів у Грузії, де не проходять платежі в торгових центрах та магазинах. Користувачі соцмереж також повідомляють про проблеми з оплатою через Apple Pay та Google Pay. "У багатьох користувачів не проходять картки в торгових центрах і магазинах. Також не проходить оплата через Apple Pay і Google Pay. Враховуйте це сьогодні і беріть із собою готівку", - зазначають у грузинському сегменті соцмереж.

Збій стався на рівні Visa та Mastercard не тільки в Україні та Грузії, а й у кількох інших країнах.