🆕 Еженедельный обзор киберновостей

На этой неделе искусственный интеллект окончательно вышел за рамки лабораторий - его уже вербуют в армию, обвиняют в биржевых обвалах и ловят на развязывании ядерных войн в симуляциях. Пока корпорации и правительства делят ИИ между собой - собрали самые интересные новости недели в одном месте, чтобы вы ничего не пропустили.

🌎В мире

ФБР уничтожило хакерский форум RAMP, но вместо одной площадки появилось десять — вымогатели рассредоточились и стали ещё менее уязвимы для правоохранителей.

Пентагон потребовал снять ограничения с Claude для военных нужд, однако Anthropic отказалась — и получила жёсткий ответ от администрации Трампа, а контракт в итоге ушёл Grok от Илона Маска.

Команда CrowdStrike зафиксировала, что в 2025 году хакеры тратят на взлом в среднем 27 секунд и обходятся без традиционных вирусов — антивирусы против таких атак практически бессильны.

В открытых Wi-Fi сетях обнаружена уязвимость в стандарте, позволяющая соседу перехватывать историю браузера через атаку «человек посередине» на уровне MAC-адресов.

В симуляциях кризисных сценариев крупнейшие языковые модели инициировали ядерную эскалацию в 95% случаев — исследование поставило острый вопрос о допуске ИИ к военным решениям.

🇷🇺В России

Шифровальщик C77L, пришедший на смену закрытому Phobos, методично уничтожает резервные копии и базы 1С российского бизнеса — с марта 2025 года группировка провела не менее 40 атак, используя слабые пароли и открытый RDP как главную точку входа.

Роскомнадзор заблокировал уже 469 VPN-сервисов — масштаб ограничений вырос на 31% по сравнению с 2024 годом, а с осени нарушителям грозят штрафы до 500 тысяч рублей за рекламу таких сервисов.

Счётная палата выявила системные нарушения при госзакупках программного обеспечения: цены на один и тот же софт в разных контрактах расходятся в два раза и более, а стоимость отдельных лицензий превышает рекомендованную производителем почти в 44 раза.

Российский суд оштрафовал Google на астрономическую сумму, не существующую во всей наблюдаемой вселенной — кассационная жалоба компании отклонена, и прецедент ставит под вопрос саму логику подобных санкций.

Центробанк пригрозил аудиторам исключением из реестра, если те не готовы вкладывать миллионы в собственную информационную безопасность — регулятор вынуждает участников рынка выбирать между инвестициями в ИБ и потерей права на работу.

ℹ️Новости в сфере ИБ

Исследователи Tenable обнаружили тайпсквоттинговый npm-пакет, который сдаёт пароли с 50 тысяч систем ещё до запуска кода — достаточно было одной опечатки при установке зависимости.

В коде Claude Code найдены три уязвимости, позволяющие через вредоносный коммит запустить произвольный код на машинах всей команды — патч уже выпущен, но проблема вскрыла риски ИИ-инструментов в CI/CD.

Критические zero-day уязвимости в оборудовании Cisco позволяют получить полный контроль над корпоративными сетями в обход аутентификации — CISA выпустила экстренную директиву.

Хакеры начали использовать зону .arpa для размещения фишинговых ссылок: блокировать такие домены нельзя, поскольку это обрушит глобальную систему DNS.

Группа Cloud Atlas пять раз заходила в одну и ту же систему через альтернативные потоки данных NTFS после фишинговой атаки — специалисты Solar 4RAYS зафиксировали рекордную настойчивость APT-группировки.

📖 Читайте на SecurityLab

ИИ-агент живёт в Telegram и сам разбирает почту, планирует встречи и пишет отчёты — разбираемся, как устроен OpenClaw, почему репозиторий собрал 175 000 звёзд за три месяца и чем за это придётся заплатить.

Что реально лежит в арсенале пентестера в 2026 году — 50 инструментов, от классического Nmap до ИИ-агентов, которые сами планируют атаку и пишут отчёт.

Если Telegram признают экстремистской организацией, логотип в подвале сайта, реклама в каналах и подписка Premium превратятся в юридические риски для бизнеса и авторов — разобрали, что ломается первым и что делать уже сейчас.

Делитесь в комментариях, как прошла ваша неделя и какая новость больше всего удивила👇

@SecLabNews

🥷Нейросеть в погонах. ИИ в России проверят спецслужбы

Правительство разрабатывает законопроект «Об искусственном интеллекте в РФ». Документ вводит понятия суверенной и национальной модели ИИ - первая должна создаваться исключительно в России, гражданами РФ и только на российских данных, без иностранных компонентов. Национальные модели допускают использование зарубежного open-source.

Законопроект обязывает устанавливать ИИ-приложения на все смартфоны и планшеты, маркировать синтетический контент и информировать пользователей о взаимодействии с ботами. «Доверенные» модели для критической инфраструктуры должны пройти сертификацию во ФСТЭК и ФСБ.

Рынок уже обсуждает цену и реализуемость требований: полностью суверенных решений без open-source-компонентов почти нет, а разработка самостоятельной модели уровня мировых лидеров может потребовать сотни миллиардов рублей. Закон может заработать с 1 сентября 2027 года, финальная версия пока проходит согласование в ведомствах.

#ИИ #закон #технологии

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🥹Анонимности больше нет. ИИ научился находить ваше реальное имя по случайным комментариям

Большие языковые модели вышли на новый уровень деанонимизации. Исследование Саймона Лермена показало, что современные ИИ-системы способны сопоставлять анонимные аккаунты с реальными людьми по нескольким разрозненным публикациям в интернете. Речь уже не о ручном OSINT-разборе отдельных случаев, а о масштабируемом подходе, который можно применять на уровне целых платформ.

В экспериментах использовали данные Hacker News, Reddit, LinkedIn и обезличенные интервью ученых. В одном из сценариев модель восстанавливала связь между профилем Hacker News и LinkedIn после удаления прямых идентификаторов: сначала отбирала 100 наиболее вероятных кандидатов, затем проводила дополнительную проверку и выбирала лучший вариант. В тестах с Reddit ИИ заново объединял искусственно разделенные фрагменты истории одного аккаунта, а при росте выборки до десятков тысяч кандидатов точность снижалась постепенно, без резкого падения.

Отдельно автор проверил метод на наборе Anthropic Interviewer: модель смогла установить личности 9 из 125 участников. Вывод исследования выглядит довольно прямолинейно: даже редкое хобби, город, место работы или участие в конференции уже формируют уникальный цифровой отпечаток. По мере развития ИИ стоимость такой идентификации будет снижаться, а риски для анонимности, целевого фишинга и других атак, наоборот, расти.

#кибербезопасность #анонимность #LLM

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

❤️ Новые правила КИИ (ПП № 1762): Автоматизируй или проиграешь

05 марта, начало в 11:00

Постановление № 1762 перевернуло привычный порядок категорирования. Теперь вместо него — отраслевые перечни. Как не утонуть в бюрократии и перестроить работу за считанные дни? На вебинаре покажем, как автоматизировать защиту ОКИИ с помощью готового решения:

✅сопоставление сфер деятельности с типовыми отраслевыми объектами КИИ;
✅категорирование по Постановлению №127;
✅автозаполнение формы сведений (приказ ФСТЭК №236);
✅расчёт экономической значимости;
✅автоматическая оценка показателей технической защиты по методике ФСТЭК;
✅моделирование угроз (раздел БДУ или общий перечень);
✅автоформирование регуляторной отчётности.

Сэкономьте месяцы на бумажной работе — переходите на автомат.

🔵 Участие бесплатное. Регистрируйтесь

🧟VPN с российской пропиской: 16 приложений под подозрением

Исследователи RKS Global проверили 87 популярных в России бесплатных VPN-приложений и выяснили, что 16 из них отправляют данные на серверы внутри страны. Проверка шла с октября по декабрь 2025 года и охватила 69 Android-приложений и 18 для iOS.

Во всех 16 случаях использовалась Яндекс.Метрика. Через неё, по данным авторов исследования, могут передаваться сведения об устройстве, сети, местоположении и посещаемых сайтах. Одно приложение, как утверждается, дополнительно отправляло данные на собственные российские серверы.

Авторы отмечают, что часть трафика не поддалась расшифровке, некоторые Android-приложения были защищены от декомпиляции, а iOS-приложения не позволяют провести такой разбор в принципе. Список приложений для проверки собирали по данным App Store и Google Play, поисковой выдаче, аналитическим платформам и профильным рейтингам.

#VPN #Кибербезопасность #Приватность

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

👁ИИ перестал быть опцией: бигтех начал оценивать сотрудников по работе с нейросетями

Пока многие отрасли только примеряются к ИИ, техиндустрия уже переходит к новому этапу. Крупные компании начинают не просто поощрять использование нейросетей, а измерять, кто и как часто применяет их в работе. В отдельных случаях владение ИИ уже влияет на аттестации, карьерные перспективы и даже наем новых сотрудников.

Речь идет не только о разработчиках. Amazon, Google, Meta, Microsoft и Salesforce все активнее встраивают ИИ в повседневные процессы, от написания кода до продаж, самооценок и внутренних заявок. Где-то менеджеры смотрят на вовлеченность при повышении, где-то появляются трекеры использования, а где-то сотрудников прямо подталкивают к обязательной работе с ИИ-инструментами.

Парадокс в том, что одновременно с давлением растет и тревога: сотрудники понимают, что компании хотят больше продуктивности, но не уверены, что массовая автоматизация не обернется сокращениями. Для бигтеха ставка на ИИ уже стала внутренней проверкой на выживание: если собственный штат не удается пересадить на новые инструменты, продавать такие продукты рынку будет куда сложнее.

#ИИ #Google #рынок_труда

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🥸 Ваш телефон сходил на досмотр и вернулся со шпионом. Как ResidentBat взламывает Android за минуты

Исследователи выявили новое шпионское ПО ResidentBat для Android, которое применялось против журналистов и активистов. Главная особенность: атака требует физического доступа к телефону. Злоумышленники могут заразить устройство, если получат его на несколько минут - например, на границе или контрольно-пропускном пункте. Установка происходит через ADB (Android Debug Bridge) без использования интернета.

После установки ResidentBat дает полный контроль над данными телефона: перехватывает звонки и СМС, получает доступ к зашифрованным мессенджерам, записывает с микрофона, снимает скриншоты и выгружает файлы. Критически опасна функция удаленного стирания устройства - для журналистов это грозит потерей материалов и контактов источников. Разработчики используют инфраструктуру в Европе и России с узлами в Нидерландах, Германии, Швейцарии.

Исследователи советуют в первую очередь убрать саму возможность такой установки: отключить USB-отладку, не передавать разблокированный смартфон посторонним, не ставить APK из непроверенных источников и не выключать Google Play Protect. Для дополнительной защиты упоминается Android Advanced Protection Mode, а для сетевого мониторинга полезно отслеживать подозрительные HTTPS-подключения к узлам с самоподписанным сертификатом CN=server на нетипичных портах.

#Android #кибершпионаж #ResidentBat

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🛡Приказ президента vs военная реальность: Claude оказался незаменим

Всего через несколько часов после того, как Дональд Трамп потребовал немедленно прекратить использование продуктов Anthropic, американские военные продолжили применять модель Claude в совместной операции США и Израиля против Ирана. По данным СМИ, ИИ использовался для разведывательного анализа, выбора целей и моделирования боевых сценариев.

Трамп назвал Anthropic «радикально левой ИИ-компанией», а министр обороны Пит Хегсет обвинил её в «высокомерии и предательстве», потребовав полный и неограниченный доступ ко всем моделям. Впрочем, сам же признал: мгновенно отключить Claude не получится - военным дали до шести месяцев на переход к другому поставщику.

Место Anthropic уже делят конкуренты: Сэм Альтман договорился с Пентагоном о развёртывании ChatGPT, а Илон Маск ранее заключил контракт на использование Grok в закрытой военной инфраструктуре.

#ИскусственныйИнтеллект #Anthropic #Пентагон

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🤔«Мамонт» нашёл новую жертву — мессенджер MAX и его доверчивые чаты

В мессенджере MAX зафиксирован всплеск активности мошенников, распространяющих Android-троян «Мамонт». Злоумышленники атакуют домовые, родительские чаты и сообщества дачников — пользуясь притоком аудитории из Telegram.

Сначала взламывают аккаунт реального участника чата, затем от его имени публикуют душещипательное сообщение — например, об аварии с «общими знакомыми» — и ссылку на якобы фотографии. Файл оказывается установщиком трояна, который крадёт платёжные данные и перехватывает SMS с банковскими кодами.

Однако в пресс-службе MAX сообщение опровергли: специалисты Центра безопасности заявили, что проактивно выявляют и блокируют вредоносное ПО, а данные пользователей надёжно защищены.

#MAX #кибербезопасность #мошенники

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

👀23 уязвимости в одном флаконе. Google нашла мощный набор для взлома iPhone

Специалисты Google обнаружили мощный инструмент Coruna для взлома iPhone с iOS 13 по iOS 17.2.1. В наборе содержится 23 уязвимости и пять цепочек эксплуатации. Набор несколько лет переходил между разными группами злоумышленников — сначала использовался в точечном шпионаже, затем в атаках на Украину и в конце концов попал к китайским мошенникам. Уязвимости срабатывают через JavaScript-фреймворк, который загружается со взломанных сайтов скрытым фреймом.

Атаки работали через сайты украинских сервисных компаний, магазинов и интернет-площадок, а также через поддельные китайские страницы о финансах и криптовалютах. Код отключается в режиме Lockdown Mode и приватном режиме. После взлома система проверяет версию iOS и загружает подходящие эксплойты. Вредонос PlasmaLoader встраивается в системный процесс с правами администратора.

Целью последних атак была кража криптоключей и данных банковских счётов – программа ищет QR-коды, фразы восстановления BIP39 и перехватывает MetaMask, Trust Wallet и другие кошельки. Apple рекомендует обновить iOS до последней версии или включить Lockdown Mode.

#кибербезопасность #iOS #эксплойт

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

Встреча без галстуков: обсудим будущее DevSecOps

19 марта в Москве УЦСБ проведет камерную встречу профессионального сообщества по безопасной разработке. В атмосфере дружеского квартирника эксперты отрасли подведут итоги 2025 года, расскажут о трендах отрасли и поделятся прогнозами развития DevSecOps.

Вас ждут честные истории из практики экспертов Лаборатории Касперского, СберТеха, Яндекса и других компаний.

В программе:
▪️Диванная дискуссия «Как жить с DevSecOps в 2026 году: честный разговор о зрелости, рисках и реальных изменениях»
▪️Секции докладов от экспертов и 10-минутных откровений про сложные кейсы и извлеченные из них уроки

Стратегический партнер события — «Солар».

Подробнее ознакомиться с программой и зарегистрироваться можно на сайте🔗

🇷🇺РАЭК: К 2030 году Россия может достичь полной технологической независимости

К 2028 году Россия, вероятно, завершит ключевые этапы создания автономной цифровой инфраструктуры, способной работать независимо от глобальной сети в условиях санкций. Такой прогноз дали в РАЭК. В фокусе окажутся развитие суверенного Рунета, модернизация ТСПУ и реализация новых норм закона о «суверенном интернете».

По оценке ассоциации, вложения в цифровой суверенитет могут превысить 1 трлн рублей. Основные средства направят на отечественные дата-центры, облачные платформы и системы управления трафиком. К 2028 году реестр российского ПО, как ожидается, может вырасти до 30 тыс. позиций, а процессоры «Эльбрус» и «Байкал» должны закрыть до 50% потребностей критической инфраструктуры.

В РАЭК при этом считают, что зависимость от поставок из Китая и Индии сохранится, а сама российская модель будет балансировать между контролем, безопасностью и цифровыми правами, вызывая все больше этических споров. К 2030 году Россия, по этому прогнозу, может приблизиться к почти полному технологическому суверенитету в ключевых секторах и начать строить «умный Рунет», где ИИ будет регулировать, предсказывать и фильтровать цифровые потоки.

#цифровойсуверенитет #рунет #кибербезопасность

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🥹 «Мы просто проверяем связь». Почему мессенджер MAX подозрительно часто интересуется вашим VPN

Пользователи профильного NTC-форума, который посвящен исследованиям интернет-цензуры и обхода блокировок, обратили внимание на сетевую активность российского мессенджера MAX. Речь идет об официальном APK с сайта проекта, трафик которого проверяли через PCAPdroid без root и отдельно в эмуляторе на «чистом» образе системы.

По дампам трафика участники обсуждения заметили, что MAX регулярно обращается сразу к нескольким сервисам для определения внешнего IP-адреса, включая зарубежные api.ipify.org, checkip.amazonaws.com и ifconfig.me. Само по себе обращение к таким сервисам может быть технически оправдано, например для P2P-звонков, но комментаторов насторожило количество проверок и то, что у VK есть собственные STUN-серверы, поэтому необходимость в сторонних, тем более иностранных, выглядит неочевидной.

Отдельные вопросы вызвали исходящие соединения к доменам, связанным с Telegram и WhatsApp, включая main.telegram.org и mmg.whatsapp.net, а также упоминание «триггерных» блокировок, которые часто связывают с Cloudflare и AWS. По версии участников форума, совокупность таких запросов может указывать на проверку сетевой среды: доступности конкурентов, особенностей блокировок и того, выходит ли пользователь в интернет напрямую или через VPN/прокси, что потенциально позволяет детектировать раздельную маршрутизацию и выходные IP.

#MAX #мессенджеры #сетевой_трафик

SecurityLab в Telegram | MAX | Поддержите нас «бустами»

🎙Лучше звоните PT ESC. Эпизод 5: базовые данные киберразведки

Вебинар Positive Technologies состоится 12 марта в 14:00 (МСК)

Проверка вердиктов и загрузка фидов в СЗИ — процессы понятные. Но что делать, когда вы только зафиксировали подозрительную активность и не знаете, с чего начать? Или когда индикаторы уже сработали, а дополнительной информации об угрозе нет?

В пятом эпизоде серии про threat intelligence Денис Кувшинов, руководитель Департамента TI в PT ESC сосредоточится именно на этих сценариях и на примере TI-портала PT Fusion покажет, как самостоятельно расширить контекст по угрозе.

Темы вебинара:
➡️Работа с базовыми данными киберразведки в нестандартных ситуациях
➡️Методы исследования данных для расширения контекста по угрозе
➡️Практические сценарии работы в PT Fusion

Ждём специалистов SOC всех уровней, а также тех, кто занимается реагированием на инциденты, их расследованием и киберразведкой.

Узнайте, как усовершенствовать алгоритмы обработки данных о киберугрозах и оптимизировать процессы мониторинга.