Информационная безопасность

Искусственный интеллект уже давно перестал быть исключительно инструментом добра. Он помогает врачам ставить диагнозы и разработчикам писать код. Но теми же самыми возможностями всё чаще пользуются злоумышленники. 

При этом барьер входа в кибератаки резко снизился: чтобы создать вредоносную кампанию, больше не нужно быть тёмным хакером со знанием всевозможных языков программирования. Достаточно пары нейросетевых сервисов и минимального понимания, как устроена социальная инженерия.

В этом материале поговорим, как искусственный интеллект приносит пользу не только добрякам, но и злодеям. Разберём, как злоумышленники используют ИИ и какие мошеннические схемы применяют, обсудим практические способы противодействия кибератакам и порассуждаем о будущем. Поехали 🤖

В 2025 году атаки на резервные копии стали одной из самых опасных киберугроз — они лишают бизнес последней возможности восстановиться после инцидента.

По данным Sophos, в 94% случаев вирусы-шифровальщики целенаправленно атакуют бэкапы. Исследование Wipro показывает, что более 30% таких атак приводят к простою бизнеса на 11–30 дней.

Сегодня на реальном примере покажем, как защититься от подобных угроз. К нам обратилась компания с сообщением о взломе. Несмотря на настроенную двухфакторную аутентификацию, злоумышленники c помощью социальной инженерии получили одноразовый код и обошли защиту ИТ-инфраструктуры.

Привет, меня зовут Андрей, я руковожу группой обнаружения и реагирования на угрозы в Yandex Cloud. 2025 год стал беспрецедентным по тому, как развитие ИИ повлияло на индустрию, — в том числе и в сфере информационной безопасности. Но спектр всех угроз облачной инфраструктуре не ограничивается только этим фактором. 

В этой статье вместе с моими коллегами попробовали проанализировать тренды прошлого года, и сделать прогноз на 2026-й: каким в этом году будет облачный ландшафт безопасности.

Инциденты есть всегда, а разборов почти не бывает!

Если честно, в России мало компаний, которые действительно умеют разбирать инциденты так, как это делают зрелые ИБ-команды. Формально разбор проводится почти везде — есть акты, журналы, протоколы, отчёты, ссылки на регламенты. Но если посмотреть на содержание этих документов и на то, что происходит после каждого инцидента, картинка становится совсем другой. Чаще всего разбор — это формальность, а не инструмент повышения устойчивости.

Привет, Хабр! На связи снова Иван Глинкин, руководитель группы аппаратных исследований из команды Бастиона. 

«Флешка с кодовым замком», «флешка с аппаратным шифрованием», «зашифрованный USB-накопитель», наконец, эталонное название — «криптографический модуль» (Cryptographic Module). У криптофлешки aka encrypted USB много имен, но суть от этого не меняется.

Задача такого устройства — защитить чувствительную информацию от несанкционированного доступа на программно-аппаратном уровне: при помощи шифрования, механизмов антивскрытия и прочих «семи печатей». Однако так ли надежны эти защищенные USB-накопители, как принято считать, или это всё от лукавого? 

Мы решили не доверять маркетинговым заявлениям и провели собственное исследование: попытались взломать несколько таких устройств методами аппаратного реверс-инжиниринга. Попробовали извлечь данные, определить применяемые типы шифрования, вскрыть криптофлешки и прочитать чипы памяти.

Результаты получились интересными. Подробности — под катом.

Я работаю в компании-интеграторе, и в числе прочего мы проектируем, внедряем и сопровождаем инфраструктурные решения, в том числе системы резервного копирования. За последние годы мы все чаще сталкиваемся с тем, что бэкапы перестают быть просто ИТ-задачей и становятся полноценным элементом кибербезопасности.

На практике, при целенаправленной атаке под угрозой оказываются не только продуктивные системы, но и сами резервные копии. Если злоумышленник получает доступ к инфраструктуре, он почти всегда пытается уничтожить или зашифровать бэкапы в первую очередь. В таких сценариях классические схемы резервного копирования перестают выполнять свою основную функцию — обеспечивать восстановление.

Один из подходов, позволяющих защитить резервные копии даже при попытке взлома основной инфраструктуры — резервное копирование с воздушным зазором, или air gap backup. Это метод хранения данных, при котором копии размещаются на носителях или системах, изолированных от сети и недоступных для прямого удаленного доступа.

И здесь идея air gap проста: нельзя повредить или украсть то, к чему невозможно подключиться. Несмотря на то, что технологию придумали еще наши деды, она остается актуальной – особенно в условиях роста числа атак. В этой статье разберем, зачем нужен airgap, какие варианты его эксплуатации существуют и каких случаях он действительно оправдан.

Push-уведомления сами по себе — полезный инструмент для легальной коммуникации с пользователями: новости, события, обновления сервисов.

Однако существуют вредоносные SDK, которые используют Push API для скрытого спама, трекинга и монетизации через сторонние рекламные серверы. Они используют легальные браузерные API, но наносят серьёзный вред пользователю и репутации сайтов.

В этой статье разберём реальный вредоносный скрипт https://kidecyg.com/13850.js, покажем как он работает, зачем каждый элемент кода нужен и как его выявить.

Вы подняли свой прокси-сервер, настроили навороченный sing-box на Android, всё летает, 4K видео грузится мгновенно. Но стоит положить телефон в карман на пять минут и магия исчезает. Соединение залипает, SSH-сессии рвутся, а WhatsApp-звонки превращаются в тишину

Как только вы включаете экран сеть оживает. Казалось бы, типичный агрессивный энергосберегатор Android, но всё гораздо глубже. Я обнаружил там проблему на стыке рантайма Go, логики ядра Linux

Улика №1: conntrack и чистка сети

Первое, что бросается в глаза при анализе логов это странное поведение системы при событиях Pause и Wake. В Android-клиенте sing-box при выключении экрана срабатывает механизм приостановки

DEBUG inbound/hysteria2[hy2-in]: connection failed: timeout: no recent network activity
panic: runtime error: index out of range [0] with length 0
goroutine 615 [running]:
github.com/sagernet/sing/common/bufio.(*SyscallVectorisedWriter).WriteVectorised(...)

В современных сборках sing-box включен флаг with_conntrack. Когда Android сообщает приложению, что пора уходить в спячку (Pause), срабатывает метод ResetNetwork(). Внутри он вызывает conntrack.Close()

Разработчики хотели как лучше: очистить таблицу состояний, чтобы при смене сети (например, переход с Wi-Fi на LTE) не оставалось мертвых записей.
К чему это приводит? На мобилке это буквально рубит все активные TCP-сессии при каждом засыпании экрана. Если ваше приложение не умеет мгновенно переподнимать сессию, вы получаете обрыв

Улика №2: Проблема замершего времени

Почему WireGuard в официальном приложении работает стабильно, а в Go-клиентах (вроде sing-box или других форков) постоянно отваливается?

Всё дело в том, как Go считает время. По умолчанию рантайм Go для всех таймеров и time.Sleep использует системные часы CLOCK_MONOTONIC

В режиме глубокого сна на Android часы CLOCK_MONOTONIC останавливаются

Если вы настроили WireGuard на отправку keepalive каждые 20 секунд:

На прошлой неделе команда Google Project Zero опубликовала целую серию статей, анализирующих обнаруженные ею уязвимости в ОС Android. Это довольно редкий вид публикаций, в которых уязвимости, а также методика их обнаружения и способы построения атаки на их основе анализируются максимально подробно. С некоторой натяжкой обнаруженный безопасниками Google баг можно привязать к развитию ИИ-сервисов. На самом деле главная проблема присутствовала в коде, отвечающем за декодирование звука в формате Dolby Digital; такие уязвимости обнаруживаются довольно часто. А искусственный интеллект в данной истории появляется потому, что в мессенджере Google Messages, который обрабатывает входящие SMS и сообщения формата Rich Communication Services, входящие аудиосообщения автоматически декодируются для дальнейшей расшифровки и, возможно, для демонстрации транскрипции или краткого содержания пользователю.

Именно такие «неожиданности» делают возможными наиболее опасные атаки класса zero-click, когда никаких действий от пользователя не требуется. Атака происходит сама по себе — достаточно знать номер телефона жертвы и отправить подготовленное сообщение. Но, вместе с тем, статьи Project Zero показывают, насколько сложны подобные атаки, даже если в руках потенциального злоумышленника оказывается такой ценный артефакт, как максимально удобная для эксплуатации уязвимость.

Всем привет! Недавно закрылось расследование атаки APT-группировки Charming Kitten с онлайн марафона, который проходил на онлайн-полигоне Standoff Defend, созданный для тренировки синих команд. Сейчас я бы хотел показать решение и полную цепочку, которую нужно было составить

Привет, Хабр!

Новогодние праздники остались позади, а вместе с первыми рабочими днями подъехал и первый Patch Tuesday от Microsoft. Меня зовут Сергей Близнюк, я пентестер в команде PT SWARM, и в этот раз мне удалось внести свой вклад в кибербезопасность в виде CVE-2026-20931 – уязвимости RCE в службе телефонии под Windows Server.

В этой статье подробно расскажу, что это за сервис, в чем заключается уязвимость и как её могут проэксплуатировать зоумышленники.

В ноябре 2025 года эксперты по реагированию на инциденты Angara MTDR столкнулись с несколькими инцидентами с участием группировки Warlock (Lenient Wolf, Storm-2603, GOLD SALEM). Данный кластер активности использует уязвимости внешнего контура как один из первоначальных векторов атак, например, CVE-2023-24955, CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771, в опубликованном веб-приложении SharePoint. В октябре 2025 года этот ряд пополнился свежей уязвимостью WSUS — CVE-2025-59287, которая имеет рейтинг критичности 9,8 из 10 по CVSS.

Меня зовут Ильдар Ишкинин, я ведущий инженер Центра компетенций Innostage. После лабораторного тестирования производительности NGFW «Континент 4» в условиях высокой нагрузки мы перешли ко второму этапу. На этот раз мы оценивали не силу, а интеллект устройства — его способность обнаруживать угрозы в режиме работы «Детектор атак». Также в течении месяца мы проводили сравнительный анализ, насколько эффективно отечественный NGFW «Континент 4» справляется с обнаружением атак по сравнению с зарубежным межсетевым экраном нового поколения Palo Alto производства компании Palo Alto Networks.

В каждой крупной компании со временем накапливается огромное количество ценной информации — инструкций, регламентов, технологических карт, аналитических отчетов. Однако в большинстве случаев эти данные висят «мертвым» грузом в архивах и папках. Все необходимое где-то есть, но найти вовремя невозможно. Чтобы знания действительно начали работать на бизнес, нужен инструмент, который сможет оперативно доставить их тем, кому они нужны. И именно такую задачу решает ИИ чат-бот на основе технологии RAG (Retrieval-Augmented Generation).

Когда знаний много, но они не работают

Корпоративные знания — это стратегический актив. В них — опыт, регламенты, правила, накопленные решения и наработки. Но вся эта ценность бесполезна, если сотрудники не могут быстро найти нужную информацию. А именно с этим сталкиваются компании в самых разных отраслях, от промышленности до финансов.

Проблема не в нехватке данных — проблема в доступе к ним. Как итог:

У технарей есть такая фраза: «Если нет в Google, значит, нет в интернете». Смысла обычно два:

• Про доминирующую роль Google в сфере поиска информации и Интернете в целом;

• И о том, что далеко не все способны найти то, чего в гугле нет.

Но иногда мы даже не подозреваем, насколько Google может затруднить доступ к сайту для миллиардов пользователей, и отсутствие в выдаче — лишь верхушка айсберга!

В этой статье я расскажу о том, как без какой-либо причины интернет-гигант забанил наших клиентов, насколько длинны его «руки», можно ли было это предупредить, что делать, когда вас уже «забанили» в Интернете?

Интересно? Добро пожаловать под кат!

Бесплатная вводная часть курса «Специалист по информационной безопасности» в Практикуме — это не рекламная презентация, а интерактивная история с расследованием, в которой вы становитесь напарником героини. Вместо сухой теории — реальный взлом, поиск улик в соцсетях, работа с Git-репозиториями и знакомство с инструментами OSINT. 

Всего за четыре часа вы сможете понять, интересна ли вам эта сфера, и получите знания, которые пригодятся даже тем, кто не планирует карьеру в ИБ. Предыдущий опыт в IT не требуется — формат доступен новичкам и не перегружает терминологией. В статье рассказываем об устройстве вводного курса подробнее.

В данной статье разбирается JavaScript‑файл, предназначенный для выполнения в Windows Script Host (WSH). Представленный код является вредоносным фреймворком, маскирующимся под вспомогательную библиотеку.

Для тестирования, разработки и внутреннего использования часто используются самозаверенные (самоподписанные) сертификаты. Технически такой сертификат ничем не отличается от публичного, только вместо передачи на подпись в удостоверяющий центр (УЦ) пользователь создаёт свою собственную подпись.

Под Linux мы можем сгенерировать сертификат командой mkcert или OpenSSL. Единственная проблема в том, что браузер не доверяет такому сертификату, поскольку он не подписан доверенным УЦ. Поэтому нужно ещё запустить и настроить собственный УЦ, который подписывает наши сертификаты — и добавить этот УЦ в список доверенных центров сертификации УЦ (или браузера).

Возьмите программу любой крупной отраслевой конференции. Сосчитайте доклады, которые начинаются со слов «Мы внедриили...» и заканчиваются названием продукта.

Теперь посчитайте доклады со словами «Мы нашли уязвимость...» или «Мы сломали...». Первых будет в пять раз больше. Такая пропорция не эволюция формата. Скорее, полная смена функции. Профессиональное собрание стало торговой площадкой. Знания в нём теперь просто упаковка для рекламы.

В данном цикле статей мы пытаемся разобрать лаборатории по форензике так, как это делается в реальных «боевых» условиях - без подсказок и наводящих вопросов, только инцидент, триаж и логические цепочки. И в итоге оформляем расследование в нечто подобное настоящему DFIR-отчёту.

В сегодняшей статье расследуем атаку, используя дамп сетевой трафик, дамп оперативной памяти атакованного хоста, а также изучим образец ВПО.