Всё самое интересное из мира кибербезопасности /** с моими комментариями
1) В ГД в 1 чтении поддержали законопроект о 6-летнем тюремном сроке для дропперов.
Госдума на пленарном заседании приняла в первом чтении правительственный законопроект, которым устанавливается уголовная ответственность сроком до 6 лет лишения свободы для дропперов. Максимальное наказание составляет до 6 лет лишения свободы и штрафы до ₽1 млн.
Законопроектом предлагается дополнить статью 187 Уголовного кодекса РФ - Неправомерный оборот средств платежей.
/** Это только первое чтение, но динамика понятна. Я думаю, что закон примут. Главное, что нужно сделать каждому взрослому человеку - это объяснить своим детям и своим родителям что это такое и как избежать ситуации, чтобы самому не стать невольным дроппером после "обработки" мошенниками.
2) Компания F6 представила результаты исследования дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ.
По данным специалистов:
Дороже всего обходятся доступы в партнерские программы вымогателей — до $100 000, а также 0-day-уязвимости — до $250 000. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 000;
Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт.
/** Это вам для сравнения цен с "белыми" программами bug bounty и т. п. Пока есть покупатели, будут расти цены в darkweb'е, а вслед за ними, правда часто с опозданием и с неохотой, будут расти вознаграждения и "белых" программах.
3) Фан-сайт звёздных войн оказался шпионской сетью ЦРУ.
Наивный сайт с Йодой и играми времён Xbox 360 оказался не просто ретро-артефактом — это была дверь в шпионскую инфраструктуру ЦРУ. Под видом поп-культуры скрывалась сеть цифровых тайников, через которую США передавали задания агентам по всему миру.
Система работала просто: вводишь пароль в строку поиска — попадаешь в зашифрованный интерфейс. Но уязвимости были банальны — последовательные IP, неаккуратный код, следы в архивах. Исследователь Сиро Сантили разгрёб эти завалы, используя Tor, архивы и открытые инструменты. Началось как любопытство — закончилось сотнями найденных доменов.
Самое парадоксальное: сегодня эти сайты — музей провалов. Их можно открыть, изучить код, увидеть, как разрушилась одна из крупнейших операций ЦРУ.
/** Люблю подобные истории. Почему-то мне кажется, что раскрыли только какую-то старую, может даже заброшенную сеть. Уж очень какая-то странная устаревшая механика. После бума мобильного интернета надо искать нечто подобное в популярных (а может и не очень) мобильных приложениях.
4) Трое исследователей из Университета Тель-Авива выпустили статью, посвященную отчетам западных инфобез компаний о прогосударственных хакерских группах (APT), в которой пришли к выводу, что в этих отчетах в последнее время все данные о западных же APT замалчиваются.
В результате анализа материалов за период с 2010 по 2022 годы, эксперты пришли к выводу, что западные компании из отрасли информационной безопасности все больше интегрируют свои геополитические пристрастия в процессы принятия решений и публикации информации о расследованиях.
Это "вносит систематически предубеждения в ландшафт отчетности об угрозах, включая политические искажения, которые влияют на общественное мнение и широкое понимание динамики киберконфликтов".
Говоря простым языком, западные инфобез исследователи ездят по ушам широкой публике рассказывая о том, какие страшные киберпреступления совершают прогосударственные хакерские группы из России, Китая, Ирана и КНДР, тотально замалчивая активность прозападных APT, в первую очередь американских и британских.
Это формирует искаженное представление у обываетелей, что есть "кибер ось зла", которая ломает всех подряд, и есть белые и пушистые западные демократии, которые даже компьютер выключать из розетки боятся, вдруг там файлик не сохранится. Как будто Stuxnet и Regin случайно появились.
/** Очевидно, что с 2022 по настоящее время ситуация сильно усугубилась. "Russian Hackers" даже стало чем-то вроде торговой марки. Но и их (американцев и британцев) понять можно - счастье любит тишину ) Это вопрос к нашим исследователям и СМИ - почему мы не находим результаты работы АРТ- групп наших "не партнёров" и не показываем миру всю их сущность?
5) Альфа-Банк представил обзор отечественного рынка кибербезопасности в 2025 году с перспективами до 2030 года.
В нем использованы данные МТС Web Services, Б1, UserGate, Positive Technologies и других компаний. В обзоре дана оценка ИБ-сектора по разным метрикам, структура продуктов и услуг, ключевые поставщики, возможные направления роста, а также наиболее заметные сделки M&A за прошлый год.
/** Имеет смысл почитать на досуге. Один из выводов в отчёте полностью повторяет мой вывод, который я вам писал уже несколько раз в этом году, только другими словами:
"Инновационно-технологическая составляющая глобального развития ИБ-решений до 2030 года будет заключаться в обеспечении комплексного проактивного подхода к защите, основанного на искусственном интеллекте, преимущественно применительно к сетевым и облачным инфраструктурам".
6) MathWorks подверглась атаке с использованием вируса-вымогателя.
MathWorks разрабатывает числовую вычислительную платформу MATLAB и симуляцию Simulink, которые используют более 100 000 организаций и более 5 миллионов клиентов.
Пока ни одна из группировок, занимающихся вымогательством, не взяла на себя ответствен��ость за взлом, что позволяет предположить, что MathWorks либо выплатила требуемый злоумышленниками выкуп, либо все еще ведет переговоры.
/** Это конечно гораздо серьёзнее, чем у Victoria Secrets, которые тоже уже неделю лежат по аналогичной причине. Когда инфра является единой точной отказа, то надо быть готовым к чему-то подобному.
7) Более 100 000 сайтов WordPress подвержены риску из-за критической уязвимости CVSS 10.0 в плагине Wishlist.
TI WooCommerce Wishlist, имеющий более 100 000 активных установок, — это инструмент, позволяющий клиентам сайтов электронной коммерции сохранять свои любимые продукты для дальнейшего использования и делиться списками в социальных сетях.
«Плагин уязвим к уязвимости произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы на сервер без аутентификации», — сообщил исследователь.
Уязвимость, отслеживаемая как CVE-2025-47577, имеет оценку CVSS 10,0. Она затрагивает все версии плагина ниже, включая 2.9.2, выпущенную 29 ноября 2024 года. В настоящее время нет доступного исправления.
/** Рекомендуют удалить плагин до тех пор, пока не выйдет исправление. И общее правило - чем меньше разных плагинов, тем безопаснее.
8) Исследователь Шон Хилан обнаружил критическую 0-day уязвимость CVE‑2025‑37899 в Linux SMB-сервере ksmbd с помощью модели ИИ o3 от OpenAI.
Уязвимость типа use-after-free, обнаруженная в обработчике SMB-команды LOGOFF, при определённых условиях могла привести к удалённому выполнению кода с привилегиями ядра. По мнению ресерчера, это первый случай, когда o3 выявила уязвимость такого "специфического рода".
Он заключает, что современные продвинутые модели, подобные o3, уже достигли той точки, когда их интеграция в рабочие процессы аудита безопасности становится целесообразной, даже с учетом необходимости фильтрации результатов.
/** Я прочитал статью про его работу и у меня не сложилось такого радостного настроения, как у этой новости. Он провел сотни экспериментов, изучал вообще другой вопрос и это открытие получилось случайно. И то, явно, из-за того, что исследователь профи и понимал что есть серьёзное, а что мусор. Поиск серьёзных уязвимостей с помощью нейронок - это пока далеко не массовый кейс.
Безопасной вам недели!
Подписывайтесь на мой Телеграм!
Предыдущая неделя <-- week Sec News --> Следующая неделя
