👺 Oracle Classic или 🚰 искусство отрицания

По делу Oracle пришли свежие новости. Как стало известно, злоумышленники смогли проникнуть в так называемую «наследуемую среду», то есть устаревшие серверы платформы Gen 1, также известной под брендом Oracle Cloud Classic. Согласно информации, полученной от CybelAngel и впоследствии подтверждённой CrowdStrike, а также 🇺🇸 ФБР, атакующие воспользовались уязвимостью в Java от 2020 года, чтобы внедрить вебшелл и установить вредоносное ПО. Доступ к серверам злоумышленники получили, по всей видимости, ещё в январе 2025 года, а сама атака была обнаружена лишь в конце февраля.

По данным BleepingComputer, хакеры эксфильтровали из базы данных Oracle Identity Manager (IDM) адреса электронной почты, хэшированные пароли и имена пользователей. Стоит напомнить, что один из злоумышленников, действующий под псевдонимом «rose87168», выставил на продажу 6 миллионов записей, включая данные LDAP и данные корпоративных клиентов.

Как отмечают эксперты, Oracle Classic является переименованной версией старых облачных сервисов, которые продолжают управляться корпорацией. Компания настаивает на том, что Oracle Cloud 🎩 не подвергался взлому, а утечка якобы касается лишь «устаревших сервисов».

🤔📖В чём нюанс? Использование так называемой терминологической эквилибристики или «кручу, верчу, запутать хочу» позволяет Oracle уходить от юридической ответственности, но для пострадавших клиентов это мало что меняет. Oracle отрицает «взлом Oracle Cloud» как юридически маркированного термина и тем самым создаёт PR-иллюзию невиновности, хотя ответственность объективно остаётся.

Ключевая риторическая конструкция Oracle строится вокруг терминологического разделения между «Oracle Cloud» и «Oracle Cloud Classic». Под первым компания понимает только современную платформу, тогда как взлом коснулся более ранней версии — Gen 1, также известной как Oracle Classic. Несмотря на то что инфраструктура Classic продолжает управляться самой корпорацией, Oracle использует это различие, чтобы формально утверждать, что «Oracle Cloud не пострадал». Подмена понятий позволяет избежать признания масштабной компрометации действующих облачных сервисов, хотя, по сути, речь идёт о данных, подконтрольных Oracle и хранящихся в её экосистеме.

👮В расследовании участвуют CrowdStrike и ФБР. BleepingComputer подтвердил подлинность утечки, получив верифицированные фрагменты данных от пострадавших компаний.

Более того, в середине марта были зафиксированы признаки вторичного инцидента, а именно в сфере здравоохранения (экс-Cerner). Хакеры, получившие доступ к серверам миграции данных, предположительно воспользовались скомпрометированными учётными записями, чтобы начать 🦠шантажировать американские больницы, требуя выкуп в криптовалюте.

🎯 Подтверждено:
▪️ Утечка миграционных данных Cerner
▪️ Использование украденных учётных данных
▪️ Шантаж и сайты в clearnet для давления

Блипинг пытались связаться с Oracle Health, но безуспешно, после нескольких попыток.

Oracle воздерживается от публичных комментариев и отрицает очевидное. Проверка, проведённая рядом компаний, подтвердила подлинность части утекших данных, включая имена, адреса электронной почты и другие идентификаторы. Факт свидетельствует о масштабной компрометации, охватывающей как бизнес-пользователей, так и учреждения здравоохранения.

Таким образом, Oracle столкнулась с кризисом доверия, вызванным не только техническими уязвимостями, но и стратегией коммуникации, построенной на формальных отрицаниях. Будем посмотреть, что дальше...

✋ @Russian_OSINT

📂 WinRAR снова под ударом 🥷 хакеров

Эксперты обнаружили критическую уязвимость в WinRAR (CVE-2025-31334), которая позволяет обойти механизм защиты Windows Mark of the Web (MotW) и выполнить вредоносный код на Windows без предупреждения. Несмотря на среднюю оценку по CVSS (6.8), уязвимость может иметь высокий риск эксплуатации в реальной среде из-за широкого распространения WinRAR и обхода встроенной защиты Windows.

Сценарий атаки предельно прост. Пользователь загружает на первый взгляд безвредный архив. Внутри, наряду с легитимными файлами, размещена символическая ссылка, замаскированная под обычный документ или исполняемый файл. Открытие этой ссылки активирует вредоносное ПО без каких-либо признаков опасности.

📖 Вектор атаки: посещение сайта с вредоносным архивом;

🦠 Доставка малвари: пока подтверждённых атак нет, но аналогичная уязвимость (CVE-2023-38831) использовалась для распространения DarkMe и Agent Tesla.

⛔️⚠️ Уязвимость не эксплуатируется массово, но угроза критична для систем с неправильно настроенными политиками безопасности.

🔧Что делать?

✅ Обновить WinRAR до версии 7.11 или выше;
✅ Запретить создание символьных ссылок обычным пользователям;
✅ Не открывать и не распаковывать подозрительные архивы из Интернета.

💡 Уязвимость найдена экспертом Тайхэй Симаминэ из 🇯🇵Mitsui Bussan Secure Directions и подтверждена JPCERT/CC. Это уже второй MotW-обход за год, после аналогичной уязвимости в 7-Zip (CVE-2025-0411).

Примечательно то, что это уже второй случай обхода MotW за год, после обнаружения уязвимости в 7-Zip (CVE-2025-0411).

👆WinRAR используется более чем 500 миллионами пользователей по всему миру.

✋ @Russian_OSINT

👩‍💻 OpenAI планирует выпустить GPT-5 через несколько месяцев

Альтман пишет, что через пару недель OpenAI представит новые модели o3 и o4-mini. Выпуск более фундаментальной модели GPT-5 ожидается через несколько месяцев.

По прогнозам OpenAI, ожидается беспрецедентный уровень интереса к новому продукту, поэтому стабильная работа всей системы становится ключевым приоритетом для компании. По словам главы OpenAI, новая GPT-5 будет лучше, чем он ожидал ранее.

Промежуточный выпуск моделей o3 и o4-mini позволит снять часть нагрузки и протестировать важнейшие элементы будущей архитектуры в реальных условиях. Последовательность релизов новых моделей обеспечит более плавный переход к GPT-5.

✋ @Russian_OSINT

📲 Новый закон о рекламе затронет все белые Telegram-каналы и заставит блогеров платить 3% от дохода с рекламы

Госдума, Совет Федерации и президент одобрили закон, который обязывает распространителей онлайн-рекламы отчислять в федеральный бюджет 3% дохода за квартал. Поправки вступают в силу с 1 апреля. В соответствии с документом, сведения должны предоставляться участниками рынка интернет-рекламы в Роскомнадзор. Отчисления должен уплачивать тот, кто заключил договор с рекламодателем.

🤔Все те, кто работает с рекламой в Telegram легально, включая ИП на УСН и самозанятых, подпадают под действие этого закона. С каждой рекламы нужно будет уплачивать +3% отчислений с доходов, которые идут плюсом к основной налоговой нагрузке в 6% (в сумме 9%). И не забываем про то, что ещё страховые взносы для ИП надо платить + 1% дополнительных страховых взносов с дохода свыше 300 000 рублей.

"Если блогер или автор Telegram-канала распространяет рекламу, он является рекламораспространителем и должен уплатить обязательный трехпроцентный сбор вне зависимости от количества подписчиков. Рекламодатели не платят".

— пояснила председатель Союза юристов-блогеров, заместитель заведующего кафедрой интеллектуальных прав МГЮА О. Е. Кутафина Елена Гринь.

Следить за сбором средств будет Роскомнадзор. Для расчёта он будет использовать информацию, которую компании уже загружают в Единый реестр интернет-рекламы через оператора рекламных данных.

Утверждается, что штрафы будут за неуплату:
💠для самозанятых — от 2 000 до 2 500 рублей.
💠для индивидуальных предпринимателей — от 4 000 до 20 000 рублей.
💠для юридических лиц — от 100 000 до 500 000 рублей.

Куда пойдут 3%?
«отчисления будут направлены на развитие и поддержку российских IT-компаний и отечественных информационных ресурсов».

Ожидает ли рынок интернет-рекламы в РФ подорожание? По самым разным оценкам экспертов, совокупный рост стоимости размещения рекламы в 2025 может составить от 15 до 30% по сравнению с 2024 годом.

😒Час от часу не легче.

✋ @Russian_OSINT

🌐 Google представила новую ИБ-модель на базе ИИ под названием Sec-Gemini v1 для обороны в киберпространстве

На фоне стремительного усложнения киберугроз корпорация Google анонсировала экспериментальную ИИ-модель для ИБ-специалистов и не только под названием Sec-Gemini v1. Разработкой LLM занималась команда Sec-Gemini под руководством Эли Бурштейна и Марианны Тищенко.

По замыслу авторов, разработка Sec-Gemini v1 представляет собой ИИ-систему, способную существенно повысить эффективность аналитики в сфере кибербезопасности за счёт более быстрой и точной обработки данных.

Модель объединяет данные из Google Threat Intelligence, базы уязвимостей с открытым исходным кодом OSV и аналитики от киберразведки Mandiant, формируя единую среду для высокоточной оценки угроз. Интеллектуальная система обеспечивает повышение эффективности киберзащиты за счёт ускорения процессов интерпретации инцидентов, анализа первопричин и оценки последствий уязвимостей. Утверждается, что в комплексе всё это обеспечивает высокую точность выводов и глубину контекста при оценке угроз.

Алгоритмы демонстрируют неплохую производительность:

🔻По метрике CTI-MCQ модель превосходит конкурентов не менее чем на 11 %;
🔻По критерию CTI-RCM — более чем на 10,5 %. Последний особенно важен, поскольку оценивает способность ИИ извлекать причины уязвимостей и классифицировать их в соответствии с таксономией CWE.

Утверждается, что при анализе объекта, связанного с 🇨🇳 Salt Typhoon, система не только корректно определила, что речь идёт о конкретной группе угроз, но и предоставила расширенное описание её активности. Далее модель сопоставила связанный с данной группой набор уязвимостей, используя данные из OSV, и встроила их в соответствующий контекст, извлечённый из разведданных Mandiant.

Google подчёркивает, что прогресс в области интеллектуальной киберзащиты требует отраслевого взаимодействия. В целях стимулирования сотрудничества модель будет предоставлена ограниченному числу исследовательских центров, вузов, профильных организаций и некоммерческих организаций (НПО).

✋ @Russian_OSINT

🤖 Компания Meta* выпустила новые ИИ-модели Llama 4

Запрещённая в РФ Meta* представила две новые модели Llama 4, которые, по заявлению самой компании, опережают OpenAI и Google по целому ряду ключевых метрик.

🟢 Llama 4 Scout — компактная модель, рассчитанная на запуск всего на одном GPU Nvidia H100, при этом с контекстным окном 10 млн токенов. Meta утверждает, что Scout превосходит Gemma 3, Gemini 2.0 Flash-Lite и Mistral 3.1 по результатам публичных бенчмарков.

🟡 Llama 4 Maverick — модель GPT-4o-класса, также превосходящая Gemini 2.0 Flash и GPT-4o, но при этом использующая менее половины активных параметров по сравнению с аналогами. В задачах программирования и логического вывода результаты сравнимы с DeepSeek-V3.

🔴 Llama 4 Behemoth (в разработке) — гигант на 2 трлн параметров (288 млрд активных). Meta утверждает, что Behemoth способен превзойти GPT-4.5 и Claude Sonnet 3.7 на STEM-бенчмарках.

🧠 Все модели построены по архитектуре MoE (Mixture of Experts).

🗓 Подробности обещают раскрыть на LlamaCon 29 апреля.

🤔Хотя Meta называет Llama 4 open-source, лицензия запрещает коммерческое использование компаниям с аудиторией свыше 700 млн MAU без отдельного разрешения.

🤨lmarena пишут, что Llama 4 Maverick заняла 2-е место в общем зачете. И якобы она №1 открытая модель, превосходящая DeepSeek. Как было сказано выше, у экспертного ИИ-сообщества есть вопросики к открытости.

Пользователи в комментариях очень неоднозначно отнеслись к benchmarks и результатам арены:

Я могу со 100% уверенностью сказать, что GPT 4.5 пишет лучше, чем Gemini 2.5. Забейте на бенчамарк, если он не соответствует реальности.

Каждый раз, когда я вижу этот чарт, а Claude в нем нет, это напоминает мне о том, насколько несерьезным является этот бенчмарк.

Первое впечатление от кодирования с помощью Maverick: не соответствует бенчмаркам; DeepSeek v3 значительно лучше.
модель 400b llama4... отстой

Такое ощущение, что эта модель обучалась на инфомусоре из Instagram, Messanger, Whatsapp.

Open source? 🤣

Те, кто пишет, что новые модели Llama 4 "рвут" ChatGPT и Gemini — не тестировали их от слова совсем. Maverick подвергается критике за слабую производительность в задачах кодирования. Отдельные пользователи сообщают о галлюцинациях и ошибках в задачах программирования.

Llama 4 (все модели) не просто плохи, а просто мусор, их контекстное окно в 10 миллионов токенов — не более чем маркетинговая ерунда, поскольку качество ответов снижается пропорционально длине предоставленного контекста.

— пишут в X.

Llama 4 Maverick набрала мизерные 16% в бенчмарке aider polyglot coding. Llama 4 находится на одном уровне с Qwen 2.5-Coder32B-Instruct. До Claude, Gemini, DeepSeek, GPT-4o, как до Китая раком.

По мнению отдельных конспирологов, топовые ИИ-компании в погоне за рейтингами платят "кому нужно", чтобы быть в топе lmarena, хотя пруфов не дают.

Глянуть можно на Hugging.

Модель недоступна в ЕС из-за регуляторных ограничений.

*Деятельность Meta (соцсети Facebook, Instagram, Threads) запрещена в России как 🏴‍☠️ экстремистская.

✋ @Russian_OSINT

🐶Четыре лапы, два ядра и одна дыра в безопасности: бэкдор в китайской 🤖«робособаке» Unitree Go1

ИБ-исследователи Андреас Макрис и Кевин Финистерр обнаружили в роботах-собаках 🇨🇳 Unitree Go1 предустановленный удалённый туннель, обеспечивающий полный контроль над устройством извне. По утверждению авторов, устройства компании Unitree Robotics, независимо от модификации и ценовой категории, поставляются вместе с клиентом туннелирования, автоматически активирующимся при наличии интернет-соединения. Речь идёт не о заводском отладочном модуле, а о полноценной бэкдор-системе, встроенной в прошивку всех моделей Go1 — Air ($2 500), Pro ($3 500) и Edu ($8 500). Центральный вычислительный узел робота построен на базе одноплатного компьютера Raspberry Pi, который взаимодействует с остальными компонентами системы через предопределённый набор служб, автоматически активируемых при загрузке.

📡 Туннель реализуется через сервис CloudSail (Zhexi), китайскую систему удалённого доступа, аналог ngrok или Cloudflare Tunnel. Она обходит NAT и фаерволы, позволяя установить доступ к любому сервису, включая SSH и web-интерфейс Go1. С точки зрения кибербезопасности наибольшее беспокойство вызывает именно универсальность и неотключаемость данного клиента.

👨‍💻 При подключении к CloudSail с валидным API-ключом атакующий может:

➡️ Получить список всех устройств;
➡️ Открывать удалённые туннели и получать неавторизованный доступ к web-интерфейсу;
➡️ Использовать камеры робота для слежки в реальном времени;
➡️ Выполнять вход по SSH через дефолтные учётные данные (pi / 123);
➡️ Перемещаться по внутренней сети, к которой подключён робот.

🚠 В общей сложности ИБшниками идентифицировано 1 919 уникальных устройств, связанных с инфраструктурой CloudSail. И хотя большинство IP-адресов являются китайскими, значительная доля устройств эксплуатируется в США и Канаде, включая:

• MIT
• Princeton
• Carnegie Mellon
• University of Waterloo

Ещё интересно то, что некоторые пользователи запускают роботов через сеть Starlink. Авторы исследования не знают для чего.

Исследователи отмечают, что компонент csclient запускается автоматически при загрузке и наличии подключения к интернету.

В сценариях запуска обнаружены следы неиспользуемого клиента туннелирования, основанного на проекте NPC. Хотя он неактивен, исследователи считают его наличие свидетельством плохой чистки кода и отсутствия полноценной проверки безопасности.

Такие туннельные решения действительно могут иметь широкий спектр легитимных применений, однако основная проблема — в их скрытной активации без ведома пользователя. В данной ситуации, поскольку служба установлена и работает без согласия пользователя, мы, по мнению авторов, вынуждены квалифицировать её как бэкдор.

...роботы-собаки рекламируются для широкого применения — от академических исследований и спасательных операций полиции до военного применения в условиях боевых действий. Сам факт, что такое устройство может иметь активный туннель к производителю, через который возможен удалённый контроль, вызывает серьёзную озабоченность.

На текущий момент мы не проводили проверку модели Go2, гуманоидных или других устройств Unitree. Не исключено, что аналогичный бэкдор установлен и в них.

— подчёркивают исследователи.

✋ @Russian_OSINT