🥷 50 лет молчания: NRO показало спутники, которые подслушивали СССР

Спустя полвека Национальное управление военно-космической разведки США (NRO) официально признало существование программы JUMPSEAT. С 1971 по 1987 год эти аппараты буквально «зависали» над Северным полюсом, используя уникальную высокоэллиптическую орбиту. Пока мир следил за гонкой вооружений на земле, секретные «барабаны» в космосе часами слушали переговоры советских военных и перехватывали телеметрию ракетных испытаний.

Главный секрет JUMPSEAT заключался в траектории «Молния», которую американцы позаимствовали у СССР. Благодаря сильно вытянутой орбите спутники замедлялись в самой высокой точке (39 000 км), обеспечивая непрерывную радиоразведку над Арктикой и территорией Союза. Ведомство впервые показало архивные фото и схемы аппаратов с гигантскими антеннами, которые десятилетиями помогали Пентагону узнавать о планах противника.

Программа оказалась невероятно живучей: последние спутники использовали как ретрансляторы вплоть до 2006 года. Рассекречивание данных в начале 2026 года стало возможным, так как современные коммерческие системы уже догнали технологии тех лет. Сегодня JUMPSEAT признан «прародителем» всех высокоорбитальных систем разведки, которые продолжают следить за планетой и в наши дни.

#космос #разведка #история

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🚨 767 миллионов строк на свободе: как нас «вынесли» в 2025 году

Компания F6 представила ежегодный отчет по ИБ в России и Беларуси. Главный тренд — сдвиг от массовых атак к сценариям с максимальным ущербом. В 2026 году ожидается рост числа группировок и сумм выкупов на фоне геополитического конфликта. Аналитики отмечают «симбиоз» кибервымогателей и APT-групп: хакеры заимствуют тактики друг у друга, а политически мотивированные команды все чаще шифруют данные ради выкупа или диверсии.

В 2025 году зафиксирован парадокс: число публичных утечек снизилось (250 против 455), но объем похищенных данных вырос почти вдвое — до 767 млн строк. В топе пострадавших — госсервисы, на которые пришлось около 600 млн записей. Злоумышленников интересуют связки e-mail, телефонов и паролей для каскадных атак. Также растет активность APT-групп: в 2025 году выявлено 27 группировок, включая 7 абсолютно новых (Silent Lynx, SkyCloak и др.).

Самыми атакуемыми отраслями остаются госучреждения, ВПК и ТЭК. Группировки стали активно использовать 0-day эксплойты и доступы, купленные в даркнете. Эксперты прогнозируют, что в 2026 году продолжатся атаки через цепочки поставок, а реальные взломы будут чаще сопровождаться инфооперациями и фейковыми новостями. Рекордный запрос выкупа в прошлом году уже достиг 50 BTC (около 500 млн рублей).

#Кибербезопасность #F6 #ИБ

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

⚠️Notepad++ под атакой: инфраструктурный взлом длиною в полгода

Разработчик Notepad++ Дон Хо сообщил о серьезном инциденте: государственные хакеры (предположительно из КНР) скомпрометировали хостинг-провайдера проекта. Это позволило злоумышленникам перехватывать трафик домена notepad-plus-plus.org и перенаправлять пользователей на вредоносные серверы вместо официальных. Атака носила выборочный характер и оставалась незамеченной с июня по декабрь 2025 года.

Проблема крылась не в коде редактора, а в уязвимости механизма обновлений WinGUp. Из-за недостатков проверки целостности файлов хакеры подменяли легитимные апдейты вредоносным ПО. Даже после частичного устранения дыр в версии 8.8.9, атакующие сохраняли доступ к внутренним сервисам провайдера, продолжая манипуляции с трафиком вплоть до конца года.

На данный момент проект переехал к новому хостинг-провайдеру. Всем пользователям рекомендуется вручную проверить установленную версию и чистоту системы. Если вы обновлялись во второй половине 2025 года, есть риск компрометации.

#Notepad #кибератака #supplychain

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🙃 Дуров достал «скелеты из шкафа» Цукерберга

Павел Дуров снова атакует WhatsApp. Глава Telegram заявил, что пользователи слишком наивны, когда верят обещаниям мессенджера о защите данных и шифровании. Он уверен: репутация владельцев платформы и их отношение к приватности за годы не изменились.

В подтверждение Дуров вспомнил скандальную переписку 2004 года. В ней Марк Цукерберг предлагал «слить» данные 4 тысяч студентов Гарварда, называя доверчивых пользователей «тупицами». Эти архивы стали публичными еще в 2010-м во время судов, но Дуров считает этот эпизод показательным для всей бизнес-модели Meta*.

По мнению Дурова, с тех пор вырос только масштаб. Сегодня владелец WhatsApp «втайне смеется» уже не над тысячами, а над 4 миллиардами человек, которые продолжают верить в безопасность его сервисов. Как подчеркнул основатель Telegram, суть происходящего осталась прежней.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

#Дуров #WhatsApp #Безопасность

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

Манифест шифрования: EFF требует радикальных изменений от Big Tech

Правозащитники из Electronic Frontier Foundation (EFF) запустили масштабную кампанию «Encrypt It Already». Активисты требуют от техгигантов перестать откладывать внедрение сквозного шифрования (E2EE) и сделать его стандартом безопасности по умолчанию. По мнению фонда, только такая защита гарантирует, что доступ к переписке и файлам будет исключительно у пользователей, а не у владельцев платформ или ИИ-алгоритмов.

В список ключевых требований вошли конкретные шаги: внедрение E2EE в групповых чатах Facebook и личных сообщениях Bluesky, а также полная совместимость защиты RCS между Apple и Google. Особое внимание уделили настройкам «из коробки». EFF настаивает, что защищенные чаты в Telegram, резервные копии в Android и записи камер Ring должны шифроваться автоматически, не требуя от пользователя ручного включения.

Кроме того, правозащитники призывают компании к прозрачности: технические протоколы должны быть открыты, а инструкции написаны понятным языком. Пользователям же рекомендуют не ждать обновлений, а уже сейчас активировать доступные функции защиты и требовать от разработчиков конфиденциальности. Безопасность данных должна стать нормой для всех сервисов, а не привилегией отдельных мессенджеров.

#EFF #шифрование #безопасность

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

❤️ Устали от ручного управления аудитами, рисками и Excel-таблиц?

✅как доказать бизнесу эффективность?
✅как связать внешние требования регуляторов с внутренними бизнес-процессами?
✅как обеспечить оценку текущего состояния и спланировать целевое?
✅как добиться высокого уровня автоматизации и связать процессы с практическими инструментами?

NG SGRC от Security Vision — это полноценная автоматизация и управляемость в единой платформе: общая база, полноценная ресурсно-сервисная модель, оценка рисков, поддержка непрерывности бизнеса, аудит и комплаенс с применением No-code инструментов для простейшей эксплуатации.

🛡Сделайте вашу безопасность прозрачной и управляемой.

👾Vibe coding и «боги» из кода: что не так с Moltbook

Проект Moltbook стал главной темой обсуждений: это соцсеть, где миллионы ИИ-агентов спорят о религии и якобы планируют закат человечества. Илон Маск увидел в этом признаки сингулярности, но реальная картина прозаичнее. Создатель платформы Мэтт Шлихт признался, что сайт полностью написал ИИ через vibe coding. Он дал общие инструкции нейросети, а та сама создала код и теперь автономно модерирует площадку.

На практике «восстание машин» оказалось дырявым софтом. Исследователи Wiz нашли в коде критические баги, из-за которых в сеть утекли 1,5 млн API-ключей и личные переписки. Уязвимость позволяет любому человеку писать сообщения от лица «агентов». Эксперты полагают: пугающие манифесты могли создавать обычные тролли или сами разработчики, пользуясь отсутствием защиты для привлечения внимания.

Анализ показал, что 93% постов — это мусор, на который никто не отвечает. Зато финансовая схема сработала: токен MOLT взлетел на 7000%. Moltbook доказал, что когда маркетинг опережает безопасность, мы получаем не новый разум, а наглядный пример манипуляции аудиторией.

#Moltbook #VibeCoding #Кибербезопасность

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

📱«Цифровые локдауны» под запрет: в Госдуме предлагают мораторий на блокировки

Депутаты КПРФ подготовили законопроект о бессрочном моратории на блокировку соцсетей и мессенджеров, включая Telegram и WhatsApp. Поправки предлагают внести в законы «Об информации…» и «О связи».

Соавтор инициативы Сергей Обухов говорит, что блокировки и «цифровые локдауны» граждане воспринимают как посягательство на конституционные права, а законопроект должен «способствовать ослаблению общественного раздражения». По его словам, сейчас «явный дисбаланс» между безопасностью и конституционными правами.

При этом, как подчеркивают авторы, речь не о запрете точечных ограничений: возможность блокировать отдельную информацию сохраняется. Мораторий предлагается именно на блокировку платформ целиком и должен подтолкнуть власти к диалогу с обществом и снижению «цифровой тревожности».

#КПРФ #Госдума #Telegram

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

👁Секретная директива 1989 года: как КГБ столкнулся с первыми вирусами

В 1989 году Комитет государственной безопасности СССР разослал секретную директиву о новой угрозе — вредоносных программах. Выяснилось, что опасность для ведомственных компьютеров несут не только иностранные «жучки», но и невидимый код на дискетах. Документ предписывал усилить защиту при использовании зарубежного ПО, в котором могли скрываться «чужеродные программные вставки», созданные спецслужбами противника с подрывными целями.

В ведомстве отмечали, что заражения фиксировали даже внутри самого КГБ из-за неконтролируемого копирования программ через личные связи. Описывались первые известные вирусы: «Вена», приводившая к сбросу системы, и «Каскад», из-за которого символы на экране «осыпались». Для борьбы предлагалось использовать проверочные стенды, ограничивать доступ к носителям и работать только с «эталонными» копиями операционных систем.

Хотя система пыталась решить проблему централизованно, гражданские специалисты часто реагировали быстрее. Программа «АИДС-тест» Дмитрия Лозинского начала лечить вирусы еще до того, как ведомственные инструкции дошли до адресатов. Этот опыт показал, что профессиональное сообщество и обмен находками стали фундаментом, из которого позже выросла современная отрасль информационной безопасности.

#КГБ #информационнаябезопасность #историяПО

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🛡Google обвинили в скрытой помощи израильским военным

Бывший сотрудник Google подал жалобу в SEC США, утверждая, что в 2024 году компания помогала израильскому военному подрядчику в анализе видеозаписей с беспилотников. По данным The Washington Post, для распознавания бронетехники и людей использовалась модель Gemini. Автор обращения считает, что это нарушает внутренние запреты Google на использование ИИ для слежки и военных задач, а также вводит в заблуждение инвесторов, перед которыми компания отчитывалась о соблюдении этических норм.

В качестве доказательства представлена переписка облачного подразделения с пользователем, чей адрес связан с ЦАХАЛ. В письмах запрашивалась помощь в повышении точности распознавания объектов на видео, на что специалисты Google дали технические рекомендации. Ранее в корпорации прошли массовые протесты и увольнения сотрудников, требовавших прекратить сотрудничество с израильскими ведомствами в рамках контракта Project Nimbus на $1,2 млрд.

В Google обвинения отвергают, заявляя, что активность аккаунта была минимальной (менее нескольких сотен долларов в месяц), а поддержка носила стандартный характер. Представители компании подчеркнули, что их инструменты доступны широкому кругу клиентов и не используются для секретных задач. При этом отмечается, что в прошлом году Google изменила свои правила, разрешив помогать «демократически избранным правительствам» в сфере ИИ-технологий.

#Google #Gemini #ИИ

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🥹Шантаж, суды и криминал: реальная цена работы в кибербезе

Опрос более 100 ИБ-экспертов и журналистов показал, что 75% из них получали угрозы из-за своей работы. Давление оказывается через суды, письма от юристов и прямые обращения преступных групп. Многие инциденты остаются непубличными: участники предпочитают молчать, чтобы не провоцировать новые атаки и не усугублять текущую ситуацию.

Около половины участников получали юридические претензии. Прямые угрозы со стороны криминала чаще поступают журналистам, так как они работают под реальными именами и их проще идентифицировать. Несмотря на риск физической расправы, большинство респондентов принципиально не отзывают и не переписывают свои материалы о взломах и утечках данных.

Систематическое давление создает «эффект охлаждения», ограничивая огласку общественно значимых инцидентов. Авторы исследования призывают к разработке мер защиты для расследователей и репортеров. Это одна из первых попыток количественно оценить масштаб прессинга на сферу, где поиск информации сопровождается юридическими и уголовными рисками.

#ИБ #Кибербезопасность #Расследования

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

😎 ANet: на GitHub выложили альтернативный стек для защищённых туннелей

На GitHub опубликован проект ANet, написанный с нуля на языке Rust под лицензией MIT. По словам разработчиков, стек предназначен для создания защищенных туннелей в условиях, когда стандартные решения вроде WireGuard неприменимы. Архитектура исключает использование компонентов под лицензиями GPL и не поддерживает устаревшие криптографические алгоритмы ради обратной совместимости.

Система строится по модели «сети друзей», где соединения устанавливаются между заранее известными участниками без обязательной привязки к центру. Для обеспечения устойчивости предусмотрен режим Dead Man’s Hand, сохраняющий работу узлов при потере управляющих компонентов. За безопасность отвечают примитивы ChaCha20-Poly1305, X25519 и Ed25519.

Транспортный протокол ASTP работает поверх UDP и маскирует трафик под случайный шум. Для защиты от анализа DPI используются механизмы jitter и паддинга, скрывающие типичные сетевые отпечатки. Проект поддерживает Linux, Windows, macOS и Android.

#ANet #Rust #NetworkSecurity

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

❤️ Стратегическая безопасность нового поколения – переходим от «накликивания» к реальной автоматизации для оценки соответствия

🗓 12 февраля, начало в 11:00

ИБ сегодня — это стратегия устойчивости бизнеса. Компании всё чаще сталкиваются с тем, что ручные проверки, «накликивание» и субъективные оценки не дают целостной картины и не позволяют управлять рисками в реальном времени.

На вебинаре разберем, как подход SGRC создает единую автоматизированную систему для:

1️⃣ Автоматической инвентаризации активов и оценки соответствия.
2️⃣ Выявления и анализа киберрисков для быстрого реагирования.
3️⃣ Оценки инцидентов и тестирования планов непрерывности бизнеса.

Переходите от формального контроля к управляемой и прозрачной системе безопасности.

Участие бесплатное.

⚔️16 лет колонии за кибератаки: вынесен приговор по делу о госизмене

ФСБ сообщила, что вступил в законную силу приговор Кемеровского областного суда по делу о государственной измене. Гражданина РФ Андрея Смирнова (1987 г.р.) признали виновным в оказании «иной помощи» иностранной организации в деятельности против безопасности России.

По версии следствия, Смирнов вступил в Telegram-сообщество запрещенной в России организации и далее действовал «по заданию киберподразделения». Утверждается, что он проводил компьютерные атаки с использованием вредоносного ПО на информационные ресурсы РФ, а последствиями стало нарушение работоспособности объектов критической информационной инфраструктуры.

Суд назначил 16 лет лишения свободы, штраф 100 тыс. рублей и 1 год ограничения свободы. Дело расследовали по ст. 275 (госизмена), ч. 1 ст. 274.1 (воздействие на КИИ) и ч. 1 ст. 273 (вредоносные программы) УК РФ. Отдельно в релизе ФСБ предупреждает, что в интернете и мессенджерах продолжают искать людей для диверсий, и напоминает о максимально строгой ответственности, вплоть до пожизненного срока.

#безопасность #госизмена #ФСБ

🛡SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🛡Как эффективно ослепить Касперского и еще 58 антивирусов

Атака в начале февраля 2026 года наглядно продемонстрировала, насколько уязвим периметр, если он защищен только паролем. Получив доступ через SonicWall, преступники не стали рассылать фишинг, а занялись методичной подготовкой плацдарма. Их целью была полная нейтрализация всех эшелонов защиты на конечных точках. В современных реалиях это делается через легальные инструменты с известными уязвимостями, которые система считает доверенными.

Главным калибром выступил уязвимый драйвер из криминалистического софта EnCase. Особенность архитектуры Windows такова, что проверка подписи на раннем этапе загрузки часто игнорирует статус отзыва сертификата. Это позволило хакерам создать системную службу, которая методично убивала процессы защиты. Касперский, SentinelOne и даже встроенный Defender отключались каждую секунду, не успевая отправить уведомление в консоль админа. Чтобы не привлекать внимания, вредонос маскировался под системные обновления и подменял временные метки файлов.

Проблема носит системный характер и требует от администраторов перехода к модели нулевого доверия даже на уровне системных компонентов. Маскировка вредоносного контента под обычный словарь слов лишь подтверждает, что злоумышленники адаптируются быстрее, чем развиваются статические сканеры. Сейчас критически важно включать контроль целостности памяти и проверять логи входа в VPN, иначе Вы рискуете узнать о взломе слишком поздно.

#Кибербезопасность #BYOVD #ИБ

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🔓Зачем бомбить, если можно выключить? Как США тестируют новую концепцию войны

США официально подтвердили использование цифровых атак для подавления ПВО Ирана в рамках операции Midnight Hammer. Целью стали сети, обслуживающие ядерные объекты в Фордо, Натанзе и Исфахане. Вместо прямого взлома защищенных систем, Киберкомандование при поддержке АНБ сфокусировалось на вспомогательной инфраструктуре. Это позволило американской авиации выполнить задачу на трех объектах менее чем за тридцать минут.

Успех обеспечил захват так называемых узловых целей. Речь идет о сетевом оборудовании и периферийных устройствах, которые часто защищены слабее основных контроллеров. Нарушение работы связующих звеньев привело к каскадному отказу всей системы ПВО. Военные специалисты использовали фундаментальные уязвимости в архитектуре сети, где критические процессы зависели от работоспособности вспомогательных узлов. Конкретные типы атакованных устройств не раскрываются, но акцент сделан именно на инфраструктурном слое.

Кибероперации окончательно перешли из разряда разведки в категорию средств огневой поддержки. Безопасность периферии и жесткая сегментация сетей становятся решающими факторами, так как даже при защищенном ядре компрометация одного коммутатора способна парализовать стратегический объект. Опыт в Иране и Венесуэле подтверждает, что цифровое воздействие стало обязательным этапом подготовки любого масштабного столкновения.

#кибервойна #кибербезопасность #пентагон

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🎭Провал на саммите REAIM: только 35 стран поддержали правила военного ИИ

На саммите REAIM в Ла-Корунье только 35 из 85 стран поддержали декларацию об управлении ИИ в военной сфере. США и Китай не присоединились к документу. Это значительный спад по сравнению с 2023 и 2024 годами, когда аналогичные инициативы одобряли около 60 государств. Основной причиной называют напряженность между США и Европой, а также политическую неопределенность, из-за которой многие страны предпочли не брать на себя даже политические обязательства.

Министр обороны Нидерландов Рубен Брекельманс описал ситуацию как «дилемму заключенного»: правительства боятся ограничений, чтобы не оказаться в худшем положении перед противниками. По его словам, Россия и Китай продвигаются очень быстро, что заставляет остальных ускорять разработки. При этом стремительное развитие технологий повышает риски случайных инцидентов и эскалации, так как правила использования ИИ не успевают за прогрессом.

Декларация содержит 20 принципов, включая ответственность человека за применение оружия и прозрачность цепочек командования. Документ не является юридически обязательным, однако многие страны сочли его содержание слишком конкретным. В отличие от прошлых «дорожных карт», нынешний текст предложил более детальные подходы к надзору и обучению персонала, к чему часть государств-участников оказалась не готова.

#ИскусственныйИнтеллект #REAIM2026 #ГонкаВооружений

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

Еженедельный обзор киберновостей

Хакеры украли $17 млн через смарт-контракты, крупнейшие вымогательские группировки создают "картель киберпреступников", а системы защиты взламывают через драйверы возрастом с iPhone первого поколения. Неделя выдалась жаркой — разбираем главные киберугрозы, которые нельзя пропустить.

🌎В мире

Anthropic и Пентагон не могут договориться, как армия США будет использовать нейросети — никакой слежки и автономных убийств в военных системах.

Штурм по Wi-Fi — Киберкомандование США провело одну из самых сложных операций против ядерной программы Ирана, отключая ПВО дистанционно.

Amazon, Google и Microsoft признаны угрозой — Евросоюз официально взял под особый контроль американские облачные провайдеры из-за рисков для цифровой стабильности.

Терминатор может спать спокойно — мировые державы не смогли договориться о контроле над военным ИИ на конференции REAIM.

Хакеры атаковали Jaguar Land Rover — масштабная кибератака привела к убытку в $421 млн и остановке заводов компании.

🇷🇺В России

ФСТЭК проверила объекты КИИ — базовая безопасность обнаружена только у 35% критической информационной инфраструктуры, возбуждено более 400 дел.

ФСБ запретила банкам попадать в белые списки без установки СОРМ — крупнейшие банки могут исчезнуть из сети в экстренной ситуации.

584 новых вируса за квартал — российские компании переживают рекордный год кибератак, APT-группировки перешли на индивидуальный подход.

IT-рынок РФ замедляется — продажи достигли 2,3 трлн рублей (+19%), но темпы роста упали вдвое на фоне затухающего импортозамещения и охлаждения экономики.

Касперский раскрыл кампанию Stan Ghouls — группировка "Кровавый волк" через фишинговые письма "из суда" заразила около 50 организаций в Узбекистане и ~10 устройств в России.

🔒Новости в сфере ИБ

ShinyHunters украли всё из OneDrive — хакерская группа провела мастер-класс по социальной инженерии, удаляя уведомления о вторжении раньше, чем их успевают прочитать.

Cloudflare раскрыла новогодние DDoS-атаки — пока все резали салаты, ботнеты AISURU и Kimwolf атаковали планету с рекордной скоростью.

Касперский, ESET и еще 57 жертв — хакеры используют драйвер 16-летней давности для отключения любой защиты через уязвимости SSL VPN.

DragonForce призвала к "хакерскому картелю — крупнейшие вымогательские группировки призывают договориться о правилах с моделью RaaS и автоматической регистрацией.

Group-IB раскрыла ShadowSyndicate — маскировка крупнейшего теневого провайдера вымогательского ПО начала разваливаться по швам из-за ошибок в SSH-отпечатках.

📚 Аналитика

Цифровой детокс: хватит скроллить, идите спать — россияне проводят в сети 8 часов 38 минут ежедневно, а каждый час экранов перед сном увеличивает риск бессонницы на 59%.

ИИ-термины без боли: 20 слов, которые нужно знать всем — больше не спутаете ML с LLM и легко отличите «галлюцинации» от «предвзятости», краткий переводчик с технического на человеческий.

Пять самых заметных российских open-source проектов для ИБ — от безопасных репозиториев до runtime-защиты контейнеров, что использовать в 2026 году.

Большой гид по выбору чат-бота в 2026 — сравнение ChatGPT, Claude, Gemini, Copilot, DeepSeek и других: где сильнее логика, где лучше источники, а где удобнее экосистема.

Домашние веб-камеры и умные колонки: как настроить безопасность — admin/admin это приглашение для вора, закрываем доступ к камерам и колонкам за 10 минут.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила.

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🧑‍💻Связь через «рубильник»: как иранский «Принц Персии» выдал себя тишиной

SafeBreach Labs детально разобрали эволюцию группировки «Принц Персии» после недавних разоблачений. Пытаясь скрыть следы, хакеры полностью сменили инфраструктуру: от Telegram-аккаунтов до алгоритмов генерации доменов. Масштабная зачистка логов и использование фейковых IP не помогли — исследователи зафиксировали переход группы на новую, более гибкую модель управления и маскировки.

Главной новинкой стал софт Tornado v51, использующий блокчейн и Telegram для связи с серверами. Группа активно эксплуатирует уязвимости WinRAR для закрепления в автозагрузке и даже атакует самих ИБ-специалистов. Под видом ценных дампов в каналах распространялись ZIP-архивы с ZZ Stealer. Это прямой ответный удар по аналитикам, пытающимся деанонимизировать участников кампании.

Связь с госсектором Ирана выдал график работы. Исследователи зафиксировали полную остановку активности с 8 по 24 января — именно в этот период в Иране произошел общенациональный блэкаут интернета. Как только доступ к сети восстановили, группировка вернулась к подготовке серверов буквально на следующий день.

#APT #Iran #CyberSecurity

SecurityLab в Telegram | MAX | Поддержите нас «бустами»