В 2025-м произошло много интересных ИБ-инцидентов и новостей. Традиционно в канун Нового года попросили нашего начИБ Алексея Дрозда (aka @labyrinth), поделиться его личным топом самых запомнившихся ИБ-событий года.
Попытка не пытка
Что случилось: хакер попытался подкупить сотрудника BBC, чтобы через него попасть в инфраструктуру компании.
Как это п��оизошло: в июле 2025 года Джо Тайди, журналист BBC, специализирующийся на теме кибербезопасности, получил сообщение в Signal от пользователя с ником Syndicate. Неизвестный предложил Джо заработать денег: пустить хакера в инфраструктуру BBC, предоставив за оплату доступ к своему рабочему ноутбуку, чтобы он мог зашифровать корпоративные данные.
За это Syndicate предлагал журналисту 15% от суммы выкупа, который он планировал потребовать. Также он пообещал полную анонимность и рассказал, что в прошлом он уже проворачивал подобные схемы при помощи инсайдеров.
Вовремя переписки хакер настаивал, чтобы журналист выполнил некий скрипт. Тайди позже написал об этом случае статью, в которой предположил, что его перепутали с ИБ-специалистом BBC. В погоне за эксклюзивом он стал тянуть время, но его телефон завалили запросы многофакторной аутентификации. Возможно, злоумышленник применил технику, схожую с СМС-бомбингом, для психологического давления.
В любом случае, журналист не поддался на уловку. Он связался с коллегами из ИБ-отдела и в качестве меры предосторожности его отключили от сети организации.
Менее удачливой оказалась печально известная CrowdStrike. 20 ноября хакеры из Scattered Lapsus$ Hunters сообщили о том, что скомпрометировали инфраструктуру компании и в качестве доказательств предоставили скриншоты ее внутренних систем. В CrowdStrike взлом опровергли и рассказали, что скриншоты третьим лицам передал один из сотрудников.
По данным СМИ, хакеры договорились с виновником инцидента, чтобы помимо скриншотов он предоставил им доступ к инфраструктуре компании за $25 тыс. Однако ИБ-отдел CrowdStrike заблаговременно обнаружил неладное и заблокировала доступ сотрудника.
@labyrinth «Читая об этих инцидентах, в очередной раз вспоминаю мультфильм Golden Gate. Там тоже защита была на высшем уровне, но только в контексте внешних атак. Внутренний же сотрудник, будучи злоумышленником, может зайти в любое помещение и выйти с территории не через главный вход, а через дырку в заборе. В реальности ситуация с ИБ схожа и, по моему мнению, инсайдеры потенциально гораздо опаснее хакеров. Потому что они уже находятся внутри организации, име��т легитимные доступы, могут втираться в доверие к коллегам и потихоньку «тестировать» систему ИБ на прочность».
Лень – двигатель прогресса
Что случилось: сотрудники городского комитета в Китае нашли интересный способ обмана системы учета рабочего времени.
Как это произошло: муниципальные служащие города Вэньчжоу в Китае несколько месяцев получали зарплату, не ходя на работу. Они использовали уязвимость в системе распознавания лиц, при помощи которой нужно было отмечаться на рабочем месте.
Находчивые сотрудники распечатали фото своих коллег и использовали их как маски. Так один сотрудник мог отмечаться сразу за нескольких других, просто прикладывая фото другого человека к своему лицу.
В октябре 2025 года об этом сообщил неравнодушный гражданин по имени Ли. В качестве доказательств он предоставил фото с камеры видеонаблюдения, расположенной над терминалом регистрации. Как Ли получил доступ к камерам – неизвестно, но в любом случае он передал информацию о нарушении в вышестоящие органы власти. Они пообещали ответить к 31 декабря.
@labyrinth «Автоматизация – это модно и круто. Но только когда она правильно продумана и используется там, где действительно нужна. Бездумно внедрять современные технологии (как, например, сейчас происходит с ИИ), чтобы оптимизировать процессы или вообще заменять людей – плохая затея. Всегда найдется хитрец, который будет соблюдать только формальные правила, проверяемые машиной, чтобы получать для себя «плюшки». В контексте этого случая старый-добрый охранник на проходной, возможно, был бы эффективнее, чем умные системы распознавания лиц. Он бы, может, хоть записи с камер в здании вовремя смотрел».
Grok, is this true?
Что случилось: снимок, сгенерированный ИИ, остановил движение поездов в Великобритании.
Как это произошло: в декабре 2025 года в округе британского города Ланкашир произошло землетрясение магнитудой 3,3 балла. Местные власти стали изучать его последствия и наткнулись на фото разрушенного моста, которое разлетелось по соцсетям. В итоге чиновники незамедлительно отправили ремонтную бригаду и остановили или задержали 32 состава. Когда рабочие приехали на место, то поняли, что разлетевшееся по интернету фото было сгенерированного ИИ.
И если этот случай кажется вам тревожным – это только цветочки. По сообщениям ФБР, в 2025 году злоумышленники стали брать фото и видео людей из открытого доступа, чтобы генерировать при помощи ИИ фейковые материалы. На них люди якобы находятся в заложниках, просят о помощи и умоляют перевести выкуп злоумышленникам. Такие дипфейки мошенники рассылают родственникам и часто отслеживают объявления о настоящих исчезновениях, чтобы сделать схему максимально правдоподобной.
@labyrinth «Дипфейки набрали критическую массу. Их стало значительно больше, чем год назад, а качество при этом выросло и уже вызывает серьезные вопросы, а не смех. Тот же YouTube еще в 2024 потребовал маркировать ИИ-контент. А в Китае уже пятый год действует закон, согласно которому публикация любой заведомо ложной информации, включая дипфейки – это уголовное преступление. Что касается России, то, кажется, точка невозврата уже тоже либо пройд��на, либо мы ее скоро проскочим, когда введут обязательную маркировку ИИ-контента».
Прогресс в (без)опасности
Что случилось: в 2025 году компания OpenAI несколько раз оказалась в эпицентре сомнительных ИБ-новостей.
Как это произошло: 26 ноября разработчик ChatGPT сообщил о том, что стал жертвой утечки данных. Инцидент затронул саму OpenAI и компании, которые используют их API.
Взлом произошел на стороне подрядчика, аналитической платформы Mixpanel. 9 ноября компания обнаружила, что злоумышленники получили доступ к части их систем и выгрузили данные пользователей OpenAI API. В том числе адреса электронной почты, имена пользователей и примерное местоположение на основе данных браузера. Mixpanel тут же предупредила OpenAI, но ИИ-гигант все равно прекратил сотрудничество и был вынужден извиняться перед пострадавшими.
А вот в июле 2025 года разработчик «ославился» без всякой помощи со стороны. Тогда выяснилось, что личные чаты пользователей с ChatGPT, в том числе с конфиденциальными корпоративными данными, оказались в поисковой выдаче Google. Некоторые СМИ писали о том, что у OpenAI произошла утечка. На деле поисковик проиндексировал чаты, которыми делились через публичные ссылки, и не убрали флажок «Сделать чат доступным для поиска». И хотя функция с виду безобидная и добавлена разработчиками вполне легитимно, осадочек остался: пользователи жаловались, что компания не предупреждала о потенциальных рисках их конфиденциальности.
@labyrinth «На самом деле бизнес давно осознает риски утечек через ИИ – например, наши клиенты еще несколько лет назад приходили за консультацией, как защищаться от таких угроз с помощью DLP. ИИ действительно облегчает сотрудникам жизнь и используется повсеместно – и если в компании нет локальной инсталляции LLM, то все пользовательские данные, с корпоративными секретами или нет, оказываются у вендора публичного ИИ-сервиса. Соответственно, могут попасть в ответ нейросети для другого пользователя или в руки хакеров, если они взломают подрядчика или разработчика ИИ. Также сотрудник может не заметить флажок «Сделать чат доступным для поиска», как в примере выше, и тогда все самое сокровенное попадет в самый широкий доступ.
Локальные же LLM обучают на корпоративных данных, чтобы сотрудники могли использовать ИИ для рабочих задач безопасно. В таком случае ИИ не передает ничего наружу – вроде бы все хорошо. Но появляются другие проблемы, например, распределение доступа. Как добиться, чтобы ИИ выдавал условные зарплатные ведомости и данные по ним только бухгалтерам, а не всем сотрудникам подряд?
Еще есть ИИ-агенты, которые могут совершать определенные действия в ИТ-системах. Если разрешить им слишком много, то можно неожиданно обнаружить, что вместо сетевого диска «умный» помощник отформатировал локальный, как это произошло у одного вайбкодера.
В общем, новые технологии решают старые проблемы, но порождают новые».
Одиночество – сволочь
Что случилось: бухгалтер воровала деньги компании, чтобы донатить стримерам и платить в хост-клубах.
Как это произошло: китаянка по фамилии Чжоу страдала от одиночества. Чтобы почувствовать себя лучше, она начала смотреть особые стримы. Их ведущие отыгрывали роль бармена, готового за «чаевые» поговорить о личном. Один из стример особенно полюбился Чжоу: он называл ее своей женой и обещал позаботиться о женщине, когда она состарится.
Чжоу была замужем, но из-за непомерных трат на стримы она влезла в долги, сбережения семьи кончились, и тогда муж развелся с ней. После развода она поняла, что стримы больше не могут удовлетворить ее и она стала искать утешения в хост-клубах. Там мужчины-модели делают почти то же самое, что и стримеры, но только их услуги стоят намного дороже.
Тогда китаянка начала красть деньги своего работодателя. За три месяца бухгалтер перевела со счетов компании 4,5 млн юаней (50 млн руб.). Теперь Чжоу находится под стражей по подозрению в краже.
@labyrinth «Безопасники» ожидают рациональных действий со стороны нарушителей, когда речь заходит про внутрикорпоративное мошенничество. И на основе логической цепочки выстраивают сценарии работы. Например, менеджер по продажам, если хочет обогатиться за счет компании, может создать компанию-боковик и начать передавать лиды работодателя сотрудникам своей конторы. Такие риски понятны и их ожидают в первую очередь.
Но, как ни странно, человек – существо еще и иррациональное. И в погоне за деньгами его может мотивировать не личное обогащение, а внутренний конфликт, как в случае с китайским бухгалтером. Поэтому важно помнить, что стремление сотрудника к заработку за счет работодателя – это не всегда четкие и строго выверенные действия, а иногда и непреодолимое чувство одиночества или неудовлетворенности жизнью».
Пивной коллапс
Что случилось: хакеры взломали японского производителя алкоголя Asahi.
Как это произошло: 29 сентября 2025 года Asahi сообщила о том, что стала жертвой кибератаки. ИБ-инцидент полностью остановил выпуск и дистрибуцию продукции в японских подразделениях компании.
Из-за этого пиво флагманского бренда Super Dry и другие напитки Asahi почти исчезли с полок магазинов. С учетом того, что компания, по данным 2024 года, производит около 6,7 млн бутылок пенного в сутки – ущерб для бизнеса от простоя явно катастрофический.
Ответственность за атаку взяла группировка Qilin. Они разместили компанию в «списке жертв» на своем веб-ресурсе и сообщили, что похитили более 9 тыс. файлов общим объемом 27 ГБ.
27 ноября Asahi поделилась результатами расследования инцидента. Из них стало известно, что злоумышленники попали в сеть ЦОДа компании через сетевое оборудование и внедрили вирус-шифровальщик. Также неизвестные получили доступ к файлам на компьютерах сотрудников. В Asahi не уверены, попали ли они в интернет, но в любом случае под угрозой утечки оказались сведения клиентов, контрагентов и бывших сотрудников. Всего – более 1,5 млн записей с именами, полом, адресами и контактной информацией.
По последним данным компания так и не оправилась от инцидента и работает только на десятую часть от прежних возможностей. Производство Super Dry так же не восстановлено, сотрудники Asahi работают вручную. Принимают заказы по телефону или факсу.
@labyrinth: «Как ни защищайся, на 100% от кибератак не застрахован никто: любой подобный инцидент – лишний повод пойти и перепроверить, что у вас в компании с готовностью СЗИ и планами восстановления инфраструктуры на самый крайний случай. А еще лучше пойти и отработать их на практике. Да, прямо сейчас (даже если вы уже мысленно выбираете свитер с оленями для новогодних посиделок).
Дело в том, что в любой праздничный или предпраздничный сезон компания особенно уязвима. Во-первых, потому что все мы люди: ИБ-шники, например, думая о годовых отчетах или скором отпуске, тоже склонны отвлекаться. По такой рассеянности как-то в майские крупная нефтяная компания упустила появление фишингового сайта – вместо обычных для таких ресурсов пары дней (а то и часов) он «прожил» две недели, и наверняка успел собрать достаточно данных от обманутых клиентов.
Во-вторых, потому что от атаки под праздники бизнес может потерять больше – особенно если его деятельность связана с потребительскими товарами. Представьте, сколько пива не допродал Asahi японским барам перед Новым годом!
Поэтому, прежде чем отправиться за праздничный стол к салатикам, распределите с коллегами дежурства, отработайте сценарии экстренного реагирования и убедитесь, что все СЗИ настроены правильно. Береженого ИБ бережет (кто ж виноват, что ИБ – это мы).
С наступающим, коллеги!»
