Всё самое интересное из мира кибербезопасности /** с моими комментариями.
1) Вредоносное ПО для Linux, распространяемое через вредоносные имена файлов RAR, обходит антивирусное обнаружение.
«Цепочка заражения вредоносным ПО, специфичным для Linux, начинается со спам-письма с вредоносным архивным файлом RAR», — сообщил исследователь Trellix Сагар Бэйд в техническом отчете.
Полезная нагрузка не скрыта внутри содержимого файла или макроса, она закодирована непосредственно в самом имени файла. Благодаря умелому использованию внедрения команд оболочки и полезных нагрузок Bash, закодированных в Base64, злоумышленник превращает простую операцию по листингу файлов в автоматический триггер запуска вредоносного ПО.
Компания по кибербезопасности добавила, что данная технология использует простую, но опасную схему, часто наблюдаемую в скриптах оболочки, которая возникает, когда имена файлов оцениваются без должной очистки, в результате чего простая команда, такая как eval или echo, облегчает выполнение произвольного кода.
Более того, этот метод дает дополнительное преимущество — он позволяет обойти традиционные средства защиты, поскольку антивирусные движки обычно не сканируют имена файлов.
/** Люблю сам узнавать и вам рассказывать про какие-то новые вектора атак. Вот вы слышали про вектор, когда нагрузка закодирована в имени файла? Я ранее не слышал. А представляете, сколько гипотетических систем могут быть уязвимы к подобному вектору? Да, очень много!
2) С 2027 будут проверять на актуальность номера, привязанные к Госуслугам.
О том, что проверка сотовых номеров вошла в утвержденный правительством план, сообщил ТАСС. Выполнить задачу поручено Минцифры, Минфину, МВД, Минэкономразвития, Роскомнадзору и ФСБ. Завершить работу необходимо в 4 квартале 2026 года.
В ходе проверки будет установлено, действительно ли номер принадлежит тому человеку, на чье имя оформлен аккаунт на Госуслугах или других значимых онлайн-сервисах. Если выявятся несоответствия, такие номера будут открепляться от учетных записей.
По данным МВД, мошенники ищут номера, когда-то использовавшиеся для входа на Госуслуги, но позже выставленные операторами на продажу. С помощью процедуры восстановления доступа через СМС с кодом авторизации злоумышленники перехватывают учетную запись. При этом бывший владелец номера может даже не подозревать о взломе. Доступ к чужим аккаунтам открывает мошенникам широкий спектр возможностей. Чаще всего они используют его для оформления кредитов на имя настоящего владельца или регистрации на его жилой площади приезжих.
/** 4 квартал 2026 года. А что не 2028? Почему операторы не могут уведомлять Госуслуги об аннулировании номера, переоформлении номера, блокировке номера и т.п. в режиме реального времени уже с 1 ноября этого года, например? Я не понимаю этого срока, т.к. никаких технических сложностей я не вижу в реализации этого защитного механизма. От себя лишь рекомендую каждому проверить все номера, которые подключены к вашем Госуслугам, на актуальность.
3) BadCam превращает веб-камеры в бэкдоры.
Исследователи Eclypsium Джесси Майкл и Микки Шкатов продемонстрировали атаку BadCam, позволяющую дистанционно cкомпрометировать прошивку веб-камер Lenovo 510 FHD и Performance FHD.
Атака BadCam может быть реализована полностью удаленно на уже скомпрометированной системе. Получив доступ к хосту, злоумышленник проводит рекогносцировку подключенных USB устройств для выявления уязвимых моделей. В исследовании целями стали веб-камеры Lenovo 510 FHD и Lenovo Performance FHD, работающие на базе SoC (System on Chip) SigmaStar с ядром Linux. Атакующий сканирует USB-шину и идентифицирует устройства, чья прошивка поддается модификации.
Затем, атакующий отправляет последовательность команд на веб-камеру через USB-интерфейс, стирая оригинальную прошивку из SPI флеш-памяти и записывая на её место модифицированную. После успешной перепрошивки вредоносная программа заставляет веб-камеру переподключиться к USB-порту. Модифицированное устройство сообщает ОС, что оно теперь является не просто камерой, а составным устройством, включающим в себя Human Interface Device (HID), то есть клавиатуру или мышь.
Как только операционная система распознает веб-камеру как клавиатуру, вредоносная прошивка начинает эмулировать нажатия клавиш для выполнения команд на хост машине. Сценарии могут быть различными, от открытия командной строки и загрузки дополнительного вредоносного ПО до отключения защитных решений и кражи данных. Действия выполняются с правами текущего пользователя и выглядят для системы вполне легитимно.
Скомпрометированная веб-камера становится аппаратным бэкдором, способным пережить полную переустановку ОС на хосте. Lenovo присвоили уязвимости идентификатор CVE-2025-4371.
/** Да, интересный вектор. Мне вот только одно интересно, а что мешает некоему "вендору" сразу поставлять камеры с "правильной" прошивкой? И почему только камеры? Сюда также входят и мышки, клавиатуры, принтеры и даже кабели - да во что угодно можно встроить аппаратный бэкдор. Вы доверяете вендорам своей периферии?
4) 79 млн загрузок в неделю: российский код в американских военных системах.
Библиотека fast-glob используется более чем в 5 тысячах публичных проектов и более чем в тридцати системах Министерства обороны США. Её загружают свыше 79 миллионов раз в неделю, а с учётом закрытых систем число зависимых решений может быть гораздо выше.
Единственным автором оказался российский программист Денис Малиночкин, который разрабатывает проект уже более семи лет. Американская компания Hunted Labs подчеркнула, что никаких связей разработчика с хакерскими группировками не выявлено.
Хотя у библиотеки нет зарегистрированных уязвимостей, эксперты указывают на теоретические риски из-за широкого доступа к файловым системам. Сам Малиночкин подтвердил авторство и подчеркнул, что утилита работает исключительно локально без сетевых функций.
/** Денису от меня большой респект! Вот, что он сказал:
«Утилита полностью контролируется пользователем: шаблоны поиска задаются им самим, а выполнение можно проверить, изучив исходный код на GitHub или в менеджере пакетов. Никто никогда не просил меня встроить скрытые возможности, собирать данные или изменять проект. Я убеждён, что open source строится на доверии и разнообразии».
Да, доверие - это очень слабое место open source в последние 3 года, хотя, изначально это базис, вокруг которого все концепция open source и строилась. Кризис сейчас в open source )
Чуть позже вышла статья где приводятся данные, что вице-президент по безопасности в компании Anchore Джош Брессерс проанализировал данные проекта ecosyste.ms и пришёл к выводу, что большинство open source проектов поддерживается одиночными разработчиками.
5) 80% Швеции «легли» из-за единого поставщика.
Захват одной никому не известной конторы, которая делает софт для кадровиков, а в результате парализуете треть европейской страны. Именно это произошло со шведской Miljödata — компанией, которая умудрилась стать единой точкой отказа для 200 из 290 муниципалитетов королевства.
Классический антипаттерн: когда 80% критической инфраструктуры висит на одном поставщике, любая атака превращается в национальную катастрофу. Злоумышленники это прекрасно понимают и требуют смешные 1,5 биткоина — всего $168 000 за разблокировку целой страны. Коэффициент полезного действия впечатляет: вложить копейки и получить хаос государственного масштаба.
Теперь шведам предстоит болезненный редизайн всей системы. Проблема не в том, что Miljödata плохо защищалась — проблема в том, что её вообще допустили до такой монополии в критически важной сфере. Это урок для всех: децентрализация — не модное слово, а вопрос национальной безопасности.
/** Есть чему поучиться на этом кейсе. Тема централизации сейчас очень модная тема в РФ и как видно, у неё есть очевидный минус. Когда какая-то важная система становится единой точкой отказа - это не лучший сценарий для бизнеса.
6) NX взломан с целью кражи кошельков и учётных данных. Но взломан не просто...
Хакеры взломали npm аккаунт разработчиков пакета NX (2.5 млн пользователей) и слегка его модифицировали, добавив вредоноса. Но особенность в том, что вредонос не простой. Он ищет и использует локальные Claude Code и Gemini CLI в своих целях. Сценарий простой: вирус проверяет, есть ли на компе эти инструменты. Если да, то ИИ получает промпт: «найди все кошельки, ключи и пароли». Дальше ИИ аккуратно собирает данные, складывает в JSON и отправляет куда надо.
Антивирусам пока невозможно обнаружить такой зловред, потому что формально выполняется просто запрос к ИИ.
/** Красиво. Я думаю, что в целом уже понятно, что ИИ будет использоваться в вирусне повсеместно и широко. А вот как от этого защититься, пока не совсем понятно.
7) Новые статьи УК РФ и КоАП РФ вступающие в силу с 1 сентября 2025 года, т.е. завтра.
В рамках Федеральных законов от 31 июля 2025 года № 281-ФЗ и № 282-ФЗ:
С 1 сентября 2025 года будут закрыты правовые пробелы, связанные с технологиями, используемыми преступниками для связи со своими жертвами. Источник.
Статья 274.3 УК РФ нацелена на борьбу с оборудованием для организации массовых мошеннических звонков. Под запрет попадает незаконное использование или обеспечение работы «абонентских терминалов пропуска трафика» (например, GSM-шлюзы, SIM-боксы) и виртуальных АТС. Недобросовестное использование данного оборудования позволяет иностранным кол-центрам связываться с гражданами через сети мобильных операторов.
Статьи 274.4 и 274.5 УК РФ направлены против незаконного оборота SIM-карт и учетных данных для доступа к аккаунтам в разных платформах. Уголовно наказуемыми становятся организация передачи SIM-карт третьим лицам в обход установленных правил и организация и участие в торговле данными для авторизации в интернет-аккаунтах (например, аккаунты WhatsApp).
Поправки в КоАП РФ дополняют уголовные нормы и направлены на пресечение смежных правонарушений:
Статья 13.29.1: Передача абонентского номера или предоставление доступа к услугам связи с нарушением законодательства.
Статья 13.29.2: Передача данных для авторизации в интернет-ресурсах третьим лицам.
Статья 13.29.3: Нарушение требований к использованию абонентских терминалов пропуска трафика или виртуальных АТС.
Таким образом, если ранее привлечь к ответственности добровольных помощников можно было только доказав их осведомленность о противоправной деятельности, то сейчас появились правовые инструменты для борьбы с организаторами и пособниками киберпреступности, которые используют технические средства и схемы массовой анонимизации.
/** я уже разбирал ранее в отдельной статье многие из этих поправок. Изучите сами и предупредите своих близких!
8) Новости одной строкой:
Августовский отчет Threat Intelligence от компании Anthropic подробно разбирает три случая, которые наглядно демонстрируют качественное изменение ландшафта киберугроз под влиянием ИИ-агентов. В отчёте об угрозах рассматриваются недавние примеры злоупотребления Claude, включая крупномасштабную операцию по вымогательству с использованием Claude Code, мошенническую схему трудоустройства из Северной Кореи и продажу созданного с помощью ИИ вируса-вымогателя киберпреступником, владеющим лишь базовыми навыками программирования;
ESET Research сообщила об интересной находке – первом (по их мнению) известном случае использования ИИ в реальном программном коде вымогателя. Новый образец они назвали PromptLock. Вопрос первенства открыт, так как ранее уже разбирались с LAMEHUG и FunkSec.
Google введёт обязательную верификацию для всех разработчиков. С сентября 2026 года установка приложений на сертифицированные Android устройства станет возможной исключительно для программных продуктов, зарегистрированных подтвержденными разработчиками. Усиление мер безопасности направлено на упреждающее противодействие распространению вредоносного программного обеспечения и повышение общего доверия к открытой среде Android.
Участники кибератаки на Московскую электронную школу (МЭШ) получили предложение поработать над улучшением ее защиты и других цифровых сервисов столичной администрации, сообщила заммэра Москвы Анастасия Ракова.
/** Персональный респект московским властям от меня и за то, что взяли ребят на работу, и за то, что это широко это осветили в новостях!
В Минцифры РФ предложили пакет мер по борьбе с кибермошенничеством. Среди них — запрет на распространение информации, связанной с практикой ИБ.
/** В случае вступления в силу этих мер, мой канал окажется вне закона. Уйдём в подполье... в МАХ, например ))) Шучу конечно, лучше красиво убить канал...
Безопасной вам недели!
Больше новостей в моём Telegram. Подписывайтесь!
Предыдущая неделя <-- weekSecNews
