В США обнаружили, что пользователи WhatsApp стали уязвимы из-за бреши в нем
2 сентября. /ТАСС/. Пользователи мессенджера WhatsApp оказались уязвимы и, вероятно, уже были атакованы хакерами из-за недавно выявленной бреши в нем, которая использовалась в связке с уязвимостью в системном компоненте операционных систем от Apple, следует из данных Национального репозитория уязвимостей правительства США.
Компания Meta (признана на территории РФ экстремистской и запрещена) оценила эту уязвимость в WhatsApp в 5,4 балла из 10 по шкале оценки их опасности, при этом в Агентстве по кибербезопасности и защите инфраструктуры США присвоили ей рейтинг в 8 из 10, что соответствует "высокому" уровню. Брешь заключается в "неполной авторизации сообщений синхронизации связанных устройств в WhatsApp и WhatsApp Business" для iOS и macOS. Хакер с ее помощью мог бы обрабатывать содержимое URL на устройстве жертвы.
Эту дыру в безопасности WhatsApp использовали в связке с уязвимостью компонента ImageIO, доступного на iOS 4.0+, iPadOS 4.0+ и macOS 10.8+ и на других ОС от Apple. Как уточнил ТАСС ведущий эксперт PT Expert Security Center в компании Positive Technologies Александр Леонов, хакерам даже не нужно было контактировать с пользователями, чтобы эксплуатировать эти недостатки.
Уязвимость в ImageIO, о которой уже писал ТАСС, была оценена Нацрепозиторием США в 8,8 из 10 по шкале опасности, причем в банке данных угроз ФСТЭК России также приводились оценка в 10 из 10 по более ранней версии шкалы. ImageIO позволяет приложениям считывать и записывать файлы большинства форматов изображений, а недостаток в нем был связан с "выходом операции за границы буфера в памяти". Та уязвимость была устранена, и пользователям было рекомендовано обновиться.
2 сентября. /ТАСС/. Пользователи мессенджера WhatsApp оказались уязвимы и, вероятно, уже были атакованы хакерами из-за недавно выявленной бреши в нем, которая использовалась в связке с уязвимостью в системном компоненте операционных систем от Apple, следует из данных Национального репозитория уязвимостей правительства США.
Компания Meta (признана на территории РФ экстремистской и запрещена) оценила эту уязвимость в WhatsApp в 5,4 балла из 10 по шкале оценки их опасности, при этом в Агентстве по кибербезопасности и защите инфраструктуры США присвоили ей рейтинг в 8 из 10, что соответствует "высокому" уровню. Брешь заключается в "неполной авторизации сообщений синхронизации связанных устройств в WhatsApp и WhatsApp Business" для iOS и macOS. Хакер с ее помощью мог бы обрабатывать содержимое URL на устройстве жертвы.
Эту дыру в безопасности WhatsApp использовали в связке с уязвимостью компонента ImageIO, доступного на iOS 4.0+, iPadOS 4.0+ и macOS 10.8+ и на других ОС от Apple. Как уточнил ТАСС ведущий эксперт PT Expert Security Center в компании Positive Technologies Александр Леонов, хакерам даже не нужно было контактировать с пользователями, чтобы эксплуатировать эти недостатки.
Уязвимость в ImageIO, о которой уже писал ТАСС, была оценена Нацрепозиторием США в 8,8 из 10 по шкале опасности, причем в банке данных угроз ФСТЭК России также приводились оценка в 10 из 10 по более ранней версии шкалы. ImageIO позволяет приложениям считывать и записывать файлы большинства форматов изображений, а недостаток в нем был связан с "выходом операции за границы буфера в памяти". Та уязвимость была устранена, и пользователям было рекомендовано обновиться.
TACC
В США обнаружили, что пользователи WhatsApp стали уязвимы из-за бреши в нем
Брешь заключается в "неполной авторизации сообщений синхронизации связанных устройств в WhatsApp и WhatsApp Business" для iOS и macOS, следует из данных Национального репозитория уязвимостей правит...
Программное обеспечение «Турбо» получило сертификат ФСТЭК России
2 сентября. / C.NEWS /. Программная платформа «Турбо Х» (входит в портфель ИТ-холдинга Lansoft) прошла сертификацию ФСТЭК России. На платформе «Турбо» реализованы все продукты вендора, включая флагманское решение «Турбо ERP». Получено подтверждение соответствия требованиям безопасности по четвертому уровню доверия и техническим условиям (ТУ). Это является одним из ключевых требований для использования программного обеспечения на объектах критической информационной инфраструктуры.
Четвертый уровень доверия
ФСТЭК России — федеральная служба, отвечающая за безопасность в области технического и экспортного контроля, разработку и реализацию политики защиты информации, лицензирование деятельности, связанной с государственной тайной. Четвертый уровень доверия по классификации этого госоргана подтверждает, что программное обеспечение «Турбо» подходит для применения в критически важных для страны инфраструктурных системах и сетях. В частности, использование сертифицированного ПО обязательно в банках, финансовых, медицинских организациях, предприятиях ТЭК, тяжелой промышленности, химии, телекома, транспорта, государственных учреждениях и других компаниях, где обрабатываются конфиденциальные данные.
Что было сделано для сертификации
Полученный сертификат ФСТЭК России свидетельствует, что решения «Турбо» обеспечат заказчикам дополнительную гарантию защиты от несанкционированного доступа, утечек и других угроз. Также поможет соответствовать требованиям российского законодательства в области защиты персональных данных и информации ограниченного доступа.
Для подтверждения соответствия ТУ функционал платформы «Турбо Х» получил дополнительные изменения. Были усовершенствованы механизмы идентификации и аутентификации, управления доступом и регистрации событий безопасности, что позволило полностью соблюсти все требования ФСТЭК России.
2 сентября. / C.NEWS /. Программная платформа «Турбо Х» (входит в портфель ИТ-холдинга Lansoft) прошла сертификацию ФСТЭК России. На платформе «Турбо» реализованы все продукты вендора, включая флагманское решение «Турбо ERP». Получено подтверждение соответствия требованиям безопасности по четвертому уровню доверия и техническим условиям (ТУ). Это является одним из ключевых требований для использования программного обеспечения на объектах критической информационной инфраструктуры.
Четвертый уровень доверия
ФСТЭК России — федеральная служба, отвечающая за безопасность в области технического и экспортного контроля, разработку и реализацию политики защиты информации, лицензирование деятельности, связанной с государственной тайной. Четвертый уровень доверия по классификации этого госоргана подтверждает, что программное обеспечение «Турбо» подходит для применения в критически важных для страны инфраструктурных системах и сетях. В частности, использование сертифицированного ПО обязательно в банках, финансовых, медицинских организациях, предприятиях ТЭК, тяжелой промышленности, химии, телекома, транспорта, государственных учреждениях и других компаниях, где обрабатываются конфиденциальные данные.
Что было сделано для сертификации
Полученный сертификат ФСТЭК России свидетельствует, что решения «Турбо» обеспечат заказчикам дополнительную гарантию защиты от несанкционированного доступа, утечек и других угроз. Также поможет соответствовать требованиям российского законодательства в области защиты персональных данных и информации ограниченного доступа.
Для подтверждения соответствия ТУ функционал платформы «Турбо Х» получил дополнительные изменения. Были усовершенствованы механизмы идентификации и аутентификации, управления доступом и регистрации событий безопасности, что позволило полностью соблюсти все требования ФСТЭК России.
CNews.ru
Программное обеспечение «Турбо» получило сертификат ФСТЭК России - CNews
Программная платформа «Турбо Х» (входит в портфель ИТ-холдинга Lansoft) прошла сертификацию ФСТЭК России. На платформе...
Velociraptor в руках хакеров: инструмент защиты превратился в оружие атаки
2 сентября. / CYBER MEDIA /. Обычно Velociraptor ассоциируется у специалистов с цифровой криминалистикой и мониторингом конечных точек. Но теперь этот открытый инструмент оказался на службе у киберпреступников. Эксперты Sophos фиксируют тревожный тренд: злоумышленники всё чаще переходят к тактике Living-off-the-Land, когда для атаки используются легитимные программы, а не самописные трояны.
В последнем инциденте хакеры установили Velociraptor в корпоративной сети жертвы с помощью утилиты msiexec, загрузив инсталлятор с домена, размещённого на платформе Cloudflare Workers. После этого был запущен PowerShell с зашифрованной командой, который подгрузил Visual Studio Code в режиме туннелирования. По версии исследователей, это позволяло операторам незаметно подключаться к удалённому серверу управления.
Для закрепления в инфраструктуре применялись и другие утилиты: от Cloudflare Tunnel до классического Radmin. Повторные вызовы msiexec использовались для установки дополнительных модулей с ресурсов в зоне workers[.]dev. Подобная схема, по мнению Sophos, может быть подготовительным этапом перед более разрушительными действиями — от вывода данных до запуска шифровальщиков.
Специалисты подчёркивают: тот факт, что в атаках применяются легальные инструменты, сильно усложняет задачу защиты. Лог Velociraptor или PowerShell-команда выглядят рутинно, а не как подозрительная активность. Поэтому компаниям рекомендуется усиливать мониторинг, отслеживать нетипичное использование админских утилит и ограничивать доступ к инструментам, которые в теории могут обернуться против самой инфраструктуры.
2 сентября. / CYBER MEDIA /. Обычно Velociraptor ассоциируется у специалистов с цифровой криминалистикой и мониторингом конечных точек. Но теперь этот открытый инструмент оказался на службе у киберпреступников. Эксперты Sophos фиксируют тревожный тренд: злоумышленники всё чаще переходят к тактике Living-off-the-Land, когда для атаки используются легитимные программы, а не самописные трояны.
В последнем инциденте хакеры установили Velociraptor в корпоративной сети жертвы с помощью утилиты msiexec, загрузив инсталлятор с домена, размещённого на платформе Cloudflare Workers. После этого был запущен PowerShell с зашифрованной командой, который подгрузил Visual Studio Code в режиме туннелирования. По версии исследователей, это позволяло операторам незаметно подключаться к удалённому серверу управления.
Для закрепления в инфраструктуре применялись и другие утилиты: от Cloudflare Tunnel до классического Radmin. Повторные вызовы msiexec использовались для установки дополнительных модулей с ресурсов в зоне workers[.]dev. Подобная схема, по мнению Sophos, может быть подготовительным этапом перед более разрушительными действиями — от вывода данных до запуска шифровальщиков.
Специалисты подчёркивают: тот факт, что в атаках применяются легальные инструменты, сильно усложняет задачу защиты. Лог Velociraptor или PowerShell-команда выглядят рутинно, а не как подозрительная активность. Поэтому компаниям рекомендуется усиливать мониторинг, отслеживать нетипичное использование админских утилит и ограничивать доступ к инструментам, которые в теории могут обернуться против самой инфраструктуры.
Огромная дыра зияет в безопасности многих стран. Россия не исключение
2 сентября. / C.NEWS /. Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через иностранные сети и даже не шифруется – во многих странах администраторы таких сайтов не используют протокол HTTPS. Россия в этом плане исключением не стала – HTTPS внедрен в менее чем в половину отечественных госсайтов.
Какая такая безопасность?
В госсекторах десятков стран мира выявлена огромная прореха в стене кибербезопасности, потенциально открывающая перед хакерами широкие возможности по взлому. The Register со ссылкой на исследование, проведенное Северо-Западным университетом США (Northwestern University), пишет, что трафик до таких сайтов очень часто идет через зарубежные сети.
Исследователи выявили три недостатка в безопасности – пересечение трафиком иностранных границ; игнорирование зашифрованного протокола HTTPS, который существует с 2000 г.; привязка почти всего трафика к единственному внутреннему провайдеру.
Первая проблема – трафик пересекает границы других государств, притом в ряде случаев несколько раз. Иногда используются зарубежные точки обмена трафиком. Вторая проблема – как оказалось, этот трафик очень часто вообще не шифруется.
Все очень плохо
В рамках исследования была составлена карта мира, на которой авторы пометили страны по уровню внедрения в их госсайты протокола HTTPS. От обычного и давно устаревшего HTTP от отличается функцией шифрования. Исследование затронуло госсайты 58 стран мира, в том числе и России.
Отметим, что Россия оказалась в антилидерах по числу госсайтов, не использующих HTTPS. Их в стране насчитывается 50,23%.
Другими словами, лишь 49,77% сайтов российских госструктур используют HTTPS. Для сравнения, в США таковых набралось 62,94%, в Канаде – 68,37%.
Чем все это грозит
Перенаправление трафика через зарубежные сети вкупе с отсутствием шифрования – это настоящий подарок киберпреступникам, находящимся за пределами границ страны, чьи госсайты они хотят атаковать. Они могут провести множество атак, в том числе «человек посередине» (Man in the Middle, MITM) и банально перехватить трафик.
А если этот трафик еще и не будет зашифрован, киберпреступники сразу получат полный доступ к передаваемой информации .
Что касается зависимости от сети одного провайдера, то это тоже не сулит ничего хорошего, отмечают исследователи. В таких условиях единичный сбой, неправильная настройка или преднамеренное нарушение работы провайдера (взлом или саботаж) могут повлиять на все государственные услуги.
2 сентября. / C.NEWS /. Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через иностранные сети и даже не шифруется – во многих странах администраторы таких сайтов не используют протокол HTTPS. Россия в этом плане исключением не стала – HTTPS внедрен в менее чем в половину отечественных госсайтов.
Какая такая безопасность?
В госсекторах десятков стран мира выявлена огромная прореха в стене кибербезопасности, потенциально открывающая перед хакерами широкие возможности по взлому. The Register со ссылкой на исследование, проведенное Северо-Западным университетом США (Northwestern University), пишет, что трафик до таких сайтов очень часто идет через зарубежные сети.
Исследователи выявили три недостатка в безопасности – пересечение трафиком иностранных границ; игнорирование зашифрованного протокола HTTPS, который существует с 2000 г.; привязка почти всего трафика к единственному внутреннему провайдеру.
Первая проблема – трафик пересекает границы других государств, притом в ряде случаев несколько раз. Иногда используются зарубежные точки обмена трафиком. Вторая проблема – как оказалось, этот трафик очень часто вообще не шифруется.
Все очень плохо
В рамках исследования была составлена карта мира, на которой авторы пометили страны по уровню внедрения в их госсайты протокола HTTPS. От обычного и давно устаревшего HTTP от отличается функцией шифрования. Исследование затронуло госсайты 58 стран мира, в том числе и России.
Отметим, что Россия оказалась в антилидерах по числу госсайтов, не использующих HTTPS. Их в стране насчитывается 50,23%.
Другими словами, лишь 49,77% сайтов российских госструктур используют HTTPS. Для сравнения, в США таковых набралось 62,94%, в Канаде – 68,37%.
Чем все это грозит
Перенаправление трафика через зарубежные сети вкупе с отсутствием шифрования – это настоящий подарок киберпреступникам, находящимся за пределами границ страны, чьи госсайты они хотят атаковать. Они могут провести множество атак, в том числе «человек посередине» (Man in the Middle, MITM) и банально перехватить трафик.
А если этот трафик еще и не будет зашифрован, киберпреступники сразу получат полный доступ к передаваемой информации .
Что касается зависимости от сети одного провайдера, то это тоже не сулит ничего хорошего, отмечают исследователи. В таких условиях единичный сбой, неправильная настройка или преднамеренное нарушение работы провайдера (взлом или саботаж) могут повлиять на все государственные услуги.
CNews.ru
Огромная дыра зияет в безопасности многих стран. Россия не исключение - CNews
Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через...
NVIDIA спешно закрыла бреши: под угрозой данные и сервисы
4 сентября. / CYBER MEDIA /. Компания NVIDIA выпустила срочные обновления безопасности для линейки ключевых продуктов: BlueField, ConnectX, DOCA, Mellanox DPDK, Cumulus Linux и NVOS. Патчи устраняют критические уязвимости, которые могли привести к отказу в обслуживании, повышению привилегий и раскрытию конфиденциальной информации.
В бюллетене партнёров указывается сразу несколько CVE с высоким уровнем опасности. Например, CVE-2025-23256 получил оценку 8.7 по шкале CVSS и позволяет злоумышленнику не только вызвать сбой работы системы, но и изменить данные или получить доступ к закрытой информации. Другие уязвимости также затрагивают механизмы повышения прав и могут использоваться для дальнейших атак на корпоративные сети.
Исправления уже доступны для загрузки через портал безопасности NVIDIA. Владельцам продуктов рекомендуется немедленно обновить прошивки и программное обеспечение: BlueField и ConnectX обновлены до версии 45.1020 и соответствующих LTS-сборок, Mellanox DPDK — до 25.07, а Cumulus Linux — до релизов 5.13 и выше. Обновления для ConnectX-4 обещают выпустить до конца сентября.
Промедление с установкой патчей может оставить критическую инфраструктуру открытой для атак. Помимо обновлений, NVIDIA советует ограничить доступ к интерфейсам управления и проверить системные журналы на предмет возможных утечек паролей. Быстрая реакция в данном случае — вопрос не удобства, а защиты корпоративных данных.
4 сентября. / CYBER MEDIA /. Компания NVIDIA выпустила срочные обновления безопасности для линейки ключевых продуктов: BlueField, ConnectX, DOCA, Mellanox DPDK, Cumulus Linux и NVOS. Патчи устраняют критические уязвимости, которые могли привести к отказу в обслуживании, повышению привилегий и раскрытию конфиденциальной информации.
В бюллетене партнёров указывается сразу несколько CVE с высоким уровнем опасности. Например, CVE-2025-23256 получил оценку 8.7 по шкале CVSS и позволяет злоумышленнику не только вызвать сбой работы системы, но и изменить данные или получить доступ к закрытой информации. Другие уязвимости также затрагивают механизмы повышения прав и могут использоваться для дальнейших атак на корпоративные сети.
Исправления уже доступны для загрузки через портал безопасности NVIDIA. Владельцам продуктов рекомендуется немедленно обновить прошивки и программное обеспечение: BlueField и ConnectX обновлены до версии 45.1020 и соответствующих LTS-сборок, Mellanox DPDK — до 25.07, а Cumulus Linux — до релизов 5.13 и выше. Обновления для ConnectX-4 обещают выпустить до конца сентября.
Промедление с установкой патчей может оставить критическую инфраструктуру открытой для атак. Помимо обновлений, NVIDIA советует ограничить доступ к интерфейсам управления и проверить системные журналы на предмет возможных утечек паролей. Быстрая реакция в данном случае — вопрос не удобства, а защиты корпоративных данных.
Frostbyte10: уязвимости в контроллерах Copeland грозят удалённым взломом
5 сентября. / CYBERMEDIA /. Armis Labs обнаружила десять критических уязвимостей в контроллерах управления зданиями Copeland E2 и E3. Эти устройства применяются в торговле, логистике и инфраструктуре для контроля за холодильным оборудованием, вентиляцией, освещением и другими системами. Ошибки, получившие общее название Frostbyte10, позволяют удалённым злоумышленникам менять настройки, отключать оборудование и даже красть данные.
Старые контроллеры E2, снятые с поддержки ещё в октябре 2024 года, и более новые E3 подвержены одинаковым рискам. Исследователи показали, что уязвимости можно объединить в цепочку для получения неограниченного root-доступа без авторизации. Потенциальные последствия — от порчи продуктов и перебоев в цепочке поставок до отключения аварийного освещения, что напрямую угрожает безопасности людей.
В числе проблем — предсказуемые пароли по умолчанию, обход авторизации, возможность загружать специально созданные файлы для чтения любых данных, а также установка поддельной прошивки из-за отсутствия проверки подписи. Несколько багов признаны критическими и получили оценки CVSS свыше 9 баллов.
Copeland совместно с Armis выпустила обновления: для E3 доступна прошивка версии 2.31F01, для E2 — специальные пакеты исправлений. Эксперты настоятельно рекомендуют немедленно установить патчи, изолировать оборудование в сети и отказаться от использования стандартных учётных записей. В противном случае Frostbyte10 может стать удобной точкой входа для атак на критическую инфраструктуру.
5 сентября. / CYBERMEDIA /. Armis Labs обнаружила десять критических уязвимостей в контроллерах управления зданиями Copeland E2 и E3. Эти устройства применяются в торговле, логистике и инфраструктуре для контроля за холодильным оборудованием, вентиляцией, освещением и другими системами. Ошибки, получившие общее название Frostbyte10, позволяют удалённым злоумышленникам менять настройки, отключать оборудование и даже красть данные.
Старые контроллеры E2, снятые с поддержки ещё в октябре 2024 года, и более новые E3 подвержены одинаковым рискам. Исследователи показали, что уязвимости можно объединить в цепочку для получения неограниченного root-доступа без авторизации. Потенциальные последствия — от порчи продуктов и перебоев в цепочке поставок до отключения аварийного освещения, что напрямую угрожает безопасности людей.
В числе проблем — предсказуемые пароли по умолчанию, обход авторизации, возможность загружать специально созданные файлы для чтения любых данных, а также установка поддельной прошивки из-за отсутствия проверки подписи. Несколько багов признаны критическими и получили оценки CVSS свыше 9 баллов.
Copeland совместно с Armis выпустила обновления: для E3 доступна прошивка версии 2.31F01, для E2 — специальные пакеты исправлений. Эксперты настоятельно рекомендуют немедленно установить патчи, изолировать оборудование в сети и отказаться от использования стандартных учётных записей. В противном случае Frostbyte10 может стать удобной точкой входа для атак на критическую инфраструктуру.
«Гигант» усиливает позиции на рынке кибербезопасности – получена двойная лицензия ФСТЭК
5 сентября. / C.NEWS /. ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку собственных решений в сфере технической защиты конфиденциальной информации и персональных данных. Об этом CNews сообщили представители компании «Гигант — Компьютерные системы»
Получение лицензии ФСТЭК — это строгий аудит всех бизнес-процессов компании. Партнерство с лицензированным вендором минимизирует риски, обеспечивает соответствие требованиям 152-ФЗ и 187-ФЗ, и, как следствие, защищает бизнес от многомиллионных штрафов и репутационных потерь. «Гигант» подтвердил свой статус, получив две важные лицензии
Первая лицензия – на деятельность по технической защите конфиденциальной информации. Это означает, что «Гигант» обладает верифицированными государством компетенциями и квалифицированным персоналом для полного цикла работ с данными, составляющими коммерческую, служебную или иную тайну, а также с персональными данными. Теперь компании могут доверить «Гиганту»: полное сопровождение процессов хранения и обработки персональных данных с гарантией соблюдения всех нормативных требований, построение отказоустойчивых и безопасных облачных сред (защищенное облако), а также внедрение оборудования и программ для защиты данных. Каждый проект будет реализован с учетом последних требований регуляторов и лучших отраслевых практик, что снимает с руководства компаний-заказчиков нагрузку по обеспечению compliance.
Вторая лицензия — на разработку и производство средств защиты конфиденциальной информации. Она подтверждает, что собственные технологические решения «Гиганта» соответствуют высшим стандартам качества, эффективности и безопасности и открывает принципиально новое направление деятельности. А именно: возможность участия компании в государственных и корпоративных тендерах на поставку и внедрение СЗИ. Это не только расширяет портфель возможностей компании, но и укрепляет всю экосистему отечественных производителей, предлагая заказчикам проверенную альтернативу импортным решениям.
Сергей Семикин, генеральный директор компании «Гигант — Компьютерные системы»: «В условиях ужесточения регуляторных требований и роста киберугроз российские компании ищут надежных технологических партнеров, обладающих не только экспертизой, но и официальным правовым статусом для работы с конфиденциальной информацией. Ответом на этот запрос стало стратегическое достижение компании «Гигант – Компьютерные системы»: получение пакета лицензий ФСТЭК России. Это событие выводит компанию в узкий круг интеграторов, способных оказывать максимально полный спектр услуг в области защиты данных и участвовать в наиболее значимых государственных и коммерческих проектах».
5 сентября. / C.NEWS /. ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку собственных решений в сфере технической защиты конфиденциальной информации и персональных данных. Об этом CNews сообщили представители компании «Гигант — Компьютерные системы»
Получение лицензии ФСТЭК — это строгий аудит всех бизнес-процессов компании. Партнерство с лицензированным вендором минимизирует риски, обеспечивает соответствие требованиям 152-ФЗ и 187-ФЗ, и, как следствие, защищает бизнес от многомиллионных штрафов и репутационных потерь. «Гигант» подтвердил свой статус, получив две важные лицензии
Первая лицензия – на деятельность по технической защите конфиденциальной информации. Это означает, что «Гигант» обладает верифицированными государством компетенциями и квалифицированным персоналом для полного цикла работ с данными, составляющими коммерческую, служебную или иную тайну, а также с персональными данными. Теперь компании могут доверить «Гиганту»: полное сопровождение процессов хранения и обработки персональных данных с гарантией соблюдения всех нормативных требований, построение отказоустойчивых и безопасных облачных сред (защищенное облако), а также внедрение оборудования и программ для защиты данных. Каждый проект будет реализован с учетом последних требований регуляторов и лучших отраслевых практик, что снимает с руководства компаний-заказчиков нагрузку по обеспечению compliance.
Вторая лицензия — на разработку и производство средств защиты конфиденциальной информации. Она подтверждает, что собственные технологические решения «Гиганта» соответствуют высшим стандартам качества, эффективности и безопасности и открывает принципиально новое направление деятельности. А именно: возможность участия компании в государственных и корпоративных тендерах на поставку и внедрение СЗИ. Это не только расширяет портфель возможностей компании, но и укрепляет всю экосистему отечественных производителей, предлагая заказчикам проверенную альтернативу импортным решениям.
Сергей Семикин, генеральный директор компании «Гигант — Компьютерные системы»: «В условиях ужесточения регуляторных требований и роста киберугроз российские компании ищут надежных технологических партнеров, обладающих не только экспертизой, но и официальным правовым статусом для работы с конфиденциальной информацией. Ответом на этот запрос стало стратегическое достижение компании «Гигант – Компьютерные системы»: получение пакета лицензий ФСТЭК России. Это событие выводит компанию в узкий круг интеграторов, способных оказывать максимально полный спектр услуг в области защиты данных и участвовать в наиболее значимых государственных и коммерческих проектах».
CNews.ru
«Гигант» усиливает позиции на рынке кибербезопасности – получена двойная лицензия ФСТЭК - CNews
ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку...
США пообещали $10 млн за информацию о хакерах ФСБ, взломавших Cisco
5 сентября. / CYBER MEDIA /. Правительство США объявило вознаграждение в $10 млн за сведения, которые помогут задержать трёх сотрудников ФСБ, обвиняемых в масштабных кибератаках на критическую инфраструктуру. По данным Минюста, россияне взламывали сетевое оборудование Cisco, используемое энергетическими компаниями и операторами жизнеобеспечения.
Под удар попали более 500 предприятий в 135 странах, включая США. Эксперты отмечают, что атаки затрагивали электросети, трубопроводы и коммунальные сервисы. Хакеры внедряли кастомное вредоносное ПО и бэкдоры в маршрутизаторы и коммутаторы Cisco, что позволяло перехватывать и контролировать сетевой трафик.
В розыск объявлены Марат Валерьевич Тюков, Михаил Михайлович Гаврилов и Павел Александрович Акулов. ФБР опубликовало их фотографии и запустило программу Rewards for Justice. Сообщить информацию можно анонимно через Tor; информаторам обещают защиту и возможную релокацию.
В киберсообществе решение США назвали сигналом о том, что атаки на инфраструктуру воспринимаются как прямая угроза национальной безопасности. На фоне инцидента ведущие IT-компании усилили меры защиты и ускорили выпуск патчей для Cisco-оборудования.
5 сентября. / CYBER MEDIA /. Правительство США объявило вознаграждение в $10 млн за сведения, которые помогут задержать трёх сотрудников ФСБ, обвиняемых в масштабных кибератаках на критическую инфраструктуру. По данным Минюста, россияне взламывали сетевое оборудование Cisco, используемое энергетическими компаниями и операторами жизнеобеспечения.
Под удар попали более 500 предприятий в 135 странах, включая США. Эксперты отмечают, что атаки затрагивали электросети, трубопроводы и коммунальные сервисы. Хакеры внедряли кастомное вредоносное ПО и бэкдоры в маршрутизаторы и коммутаторы Cisco, что позволяло перехватывать и контролировать сетевой трафик.
В розыск объявлены Марат Валерьевич Тюков, Михаил Михайлович Гаврилов и Павел Александрович Акулов. ФБР опубликовало их фотографии и запустило программу Rewards for Justice. Сообщить информацию можно анонимно через Tor; информаторам обещают защиту и возможную релокацию.
В киберсообществе решение США назвали сигналом о том, что атаки на инфраструктуру воспринимаются как прямая угроза национальной безопасности. На фоне инцидента ведущие IT-компании усилили меры защиты и ускорили выпуск патчей для Cisco-оборудования.
Шпион на основе Stealerium — находка для бытового шантажиста
5 сентября. / ANTI-MALWARE /. В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.
Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.
Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.
Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.
Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.
Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.
5 сентября. / ANTI-MALWARE /. В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.
Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.
Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.
Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.
Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.
Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.
9,9 из 10 и финансовый шпионаж в SAP. Корпоративная ERP-система стала мишенью для хакеров по всему миру
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
Атака s1ngularity взломала 2180 GitHub-аккаунтов и раскрыла тысячи секретов
8 сентября. / CYBER MEDIA /. Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома. В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев.
Атака проходила в несколько этапов. Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx, которые автоматически устанавливали у разработчиков бэкдоры. Затем происходил сбор токенов доступа и секретов репозиториев, а финальным шагом стало распространение украденных данных через сторонние каналы.
По оценке Wiz, масштабы утечки могут оказаться ещё больше: скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub, включая кражу исходного кода и заражение других проектов. Особую опасность атака представляет для компаний, которые используют Nx в корпоративной разработке.
Эксперты рекомендуют немедленно отозвать все скомпрометированные токены, обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям. Инцидент с s1ngularity стал одним из самых показательных примеров того, как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source.
8 сентября. / CYBER MEDIA /. Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома. В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев.
Атака проходила в несколько этапов. Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx, которые автоматически устанавливали у разработчиков бэкдоры. Затем происходил сбор токенов доступа и секретов репозиториев, а финальным шагом стало распространение украденных данных через сторонние каналы.
По оценке Wiz, масштабы утечки могут оказаться ещё больше: скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub, включая кражу исходного кода и заражение других проектов. Особую опасность атака представляет для компаний, которые используют Nx в корпоративной разработке.
Эксперты рекомендуют немедленно отозвать все скомпрометированные токены, обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям. Инцидент с s1ngularity стал одним из самых показательных примеров того, как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source.
securitymedia.org
Атака s1ngularity взломала 2180 GitHub-аккаунтов и раскрыла тысячи секретов
Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома.…
Думали, WAF вас защищает? Исследователи обошли 17 файрволов с помощью одного трюка с запятой
9 сентября. / Securitylab /. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве объекта проверки использовалось ASP.NET-приложение с максимально жёсткими правилами фильтрации. Любые попытки внедрить стандартные XSS-конструкции блокировались, однако благодаря особенностям обработки дублирующихся параметров исследователям удалось собрать рабочую полезную нагрузку, которую межсетевой экран даже не заметил.
Ключ к обходу заключался в том, что метод ASP.NET HttpUtility.ParseQueryString() объединяет одинаковые параметры через запятую. Так, строка запроса вида q=1'&q=alert(1)&q='2 превращается в последовательность 1',alert(1),'2. При вставке в JavaScript это преобразуется в jsuserInput = '1',alert(1),'2; — то есть код становится синтаксически корректным, а оператор запятой выполняет вызов alert. Подобное поведение позволяет разнести вредоносные фрагменты на несколько параметров и уйти от классических сигнатурных проверок. В то время как ASP.NET и классический ASP объединяют значения, другие платформы вроде Golang или Python Zope работают с массивами, поэтому методика применима не везде.
Для проверки устойчивости были протестированы семнадцать конфигураций разных производителей: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb и NGINX App Protect. Применялось четыре типа нагрузок — от простого внедрения вида q=';alert(1), до более сложных с разделителями и эвристическими обходами. Полностью блокировать все варианты смогли только Google Cloud Armor с ModSecurity, Azure WAF Default Rule Set 2.1 и все уровни чувствительности open-appsec. В то время как AWS WAF, F5 и решения Cyber Security Cloud проваливались во всех сценариях. Общий процент обходов вырос с 17,6% для базового инъекционного запроса до 70,6% для продвинутого загрязнения параметров.
Автономный хакбот, использованный исследователями, сумел найти и обход тех решений, что выдержали ручные тесты. В Azure WAF удалось использовать несогласованную обработку экранированных символов через последовательность test\';alert(1);//. В open-appsec инструмент за полминуты подобрал рабочий вариант даже для «критического» профиля, варьируя вызовы от alert до confirm и переходя к более хитрым конструкциям вроде q='+new Function('a'+'lert(1)')()+'. Для Google Cloud Armor обойти фильтрацию не получилось, однако анализ показал, что серверная логика чувствительна к регистру параметров, что может дать лазейки в будущем.
Результаты подчёркивают системные ограничения сигнатурных и даже эвристических WAF. Полноценное выявление атак, распределённых между параметрами, потребовало бы глубокого понимания логики конкретного фреймворка и анализа в контексте JavaScript , что трудно реализовать на прокси-уровне. Попытки внедрить машинное обучение также не гарантируют устойчивости, поскольку адаптивные боты быстро подстраиваются и находят безопасные для себя шаблоны.
В итоге исследователи напоминают, что межсетевые экраны не могут быть единственным барьером — необходима валидация ввода, корректное экранирование и надёжные практики разработки. Сочетание творческого подхода человека и автоматизированных средств показывает, насколько быстро могут раскрываться даже нестандартные уязвимости, и почему непрерывная проверка остаётся обязательной.
9 сентября. / Securitylab /. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве объекта проверки использовалось ASP.NET-приложение с максимально жёсткими правилами фильтрации. Любые попытки внедрить стандартные XSS-конструкции блокировались, однако благодаря особенностям обработки дублирующихся параметров исследователям удалось собрать рабочую полезную нагрузку, которую межсетевой экран даже не заметил.
Ключ к обходу заключался в том, что метод ASP.NET HttpUtility.ParseQueryString() объединяет одинаковые параметры через запятую. Так, строка запроса вида q=1'&q=alert(1)&q='2 превращается в последовательность 1',alert(1),'2. При вставке в JavaScript это преобразуется в jsuserInput = '1',alert(1),'2; — то есть код становится синтаксически корректным, а оператор запятой выполняет вызов alert. Подобное поведение позволяет разнести вредоносные фрагменты на несколько параметров и уйти от классических сигнатурных проверок. В то время как ASP.NET и классический ASP объединяют значения, другие платформы вроде Golang или Python Zope работают с массивами, поэтому методика применима не везде.
Для проверки устойчивости были протестированы семнадцать конфигураций разных производителей: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb и NGINX App Protect. Применялось четыре типа нагрузок — от простого внедрения вида q=';alert(1), до более сложных с разделителями и эвристическими обходами. Полностью блокировать все варианты смогли только Google Cloud Armor с ModSecurity, Azure WAF Default Rule Set 2.1 и все уровни чувствительности open-appsec. В то время как AWS WAF, F5 и решения Cyber Security Cloud проваливались во всех сценариях. Общий процент обходов вырос с 17,6% для базового инъекционного запроса до 70,6% для продвинутого загрязнения параметров.
Автономный хакбот, использованный исследователями, сумел найти и обход тех решений, что выдержали ручные тесты. В Azure WAF удалось использовать несогласованную обработку экранированных символов через последовательность test\';alert(1);//. В open-appsec инструмент за полминуты подобрал рабочий вариант даже для «критического» профиля, варьируя вызовы от alert до confirm и переходя к более хитрым конструкциям вроде q='+new Function('a'+'lert(1)')()+'. Для Google Cloud Armor обойти фильтрацию не получилось, однако анализ показал, что серверная логика чувствительна к регистру параметров, что может дать лазейки в будущем.
Результаты подчёркивают системные ограничения сигнатурных и даже эвристических WAF. Полноценное выявление атак, распределённых между параметрами, потребовало бы глубокого понимания логики конкретного фреймворка и анализа в контексте JavaScript , что трудно реализовать на прокси-уровне. Попытки внедрить машинное обучение также не гарантируют устойчивости, поскольку адаптивные боты быстро подстраиваются и находят безопасные для себя шаблоны.
В итоге исследователи напоминают, что межсетевые экраны не могут быть единственным барьером — необходима валидация ввода, корректное экранирование и надёжные практики разработки. Сочетание творческого подхода человека и автоматизированных средств показывает, насколько быстро могут раскрываться даже нестандартные уязвимости, и почему непрерывная проверка остаётся обязательной.
Научно-практический семинар 4 сентября 2025 г.
RSS-лента новостей ФСТЭК России
Управлением ФСТЭК России по Сибирскому федеральному округу 4 сентября 2025 г. совместно с ТГУ, Сибирским таможенным управлением и экспертными организациями был проведен научно-практический семинар по вопросам экспортного контроля.
В работе указанного мероприятия приняли участие в очном и дистанционном формате более 120 представителей организаций-экспортеров Томской области, вузов и научных учреждений ТНЦ СО РАН, а также организации, аккредитовавшие свои ВПЭК (АО "Швабе", г. Москва, ТПУ, г. Томск, УрФУ, г. Екатеринбург).
На семинаре было уделено внимание проблемным вопросам, связанным с открытым опубликованием, применением специальных экономических и мер экспортного контроля, а также типовым ошибкам, допускаемым в ходе реализации внешнеэкономических сделок, осуществления международного научного сотрудничества, а также образовательной деятельности.
RSS-лента новостей ФСТЭК России
Управлением ФСТЭК России по Сибирскому федеральному округу 4 сентября 2025 г. совместно с ТГУ, Сибирским таможенным управлением и экспертными организациями был проведен научно-практический семинар по вопросам экспортного контроля.
В работе указанного мероприятия приняли участие в очном и дистанционном формате более 120 представителей организаций-экспортеров Томской области, вузов и научных учреждений ТНЦ СО РАН, а также организации, аккредитовавшие свои ВПЭК (АО "Швабе", г. Москва, ТПУ, г. Томск, УрФУ, г. Екатеринбург).
На семинаре было уделено внимание проблемным вопросам, связанным с открытым опубликованием, применением специальных экономических и мер экспортного контроля, а также типовым ошибкам, допускаемым в ходе реализации внешнеэкономических сделок, осуществления международного научного сотрудничества, а также образовательной деятельности.
«Диасофт» получил бессрочную лицензию ФСТЭК России для проведения аттестации объектов информатизации
9 сентября. / C.NEWS /. Компания «Диасофт» объявляет о расширении лицензии, выданной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) решению «Государственные информационные системы». Компания получила право проводить полный цикл аттестационных испытаний средств и систем информатизации, помещений и защищаемых зон в соответствии с требованиями регулятора. Об этом CNews сообщили представители компании «Диасофт».
Теперь «Диасофт» может не только проектировать и внедрять системы защиты, но и проводить их официальное аттестационное тестирование с последующим оформлением пакета необходимой разрешительной документации.
Получение расширенной лицензии позволяет «Диасофт» предлагать государственным учреждениям, органам власти и организациям оборонно-промышленного комплекса (ОПК) услуги полного цикла аттестации ГИС: от первичного обследования до получения положительного заключения о соответствии объекта защиты требованиям регулятора. Заказчикам больше не требуется привлекать сторонние организации для проведения аттестации, весь процесс – от проектирования до ввода в эксплуатацию – обеспечивает одна компания. Все работы проводятся в строгом соответствии с требованиями ФСТЭК России, что гарантирует успешное прохождение любых проверок.
«Расширение лицензии ФСТЭК – это стратегический шаг, который укрепляет наши позиции на рынке безопасности критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС). Теперь мы можем быть единым ответственным исполнителем для наших заказчиков из государственного сектора, предлагая им законченное, юридически значимое решение. Это значительно повышает эффективность сотрудничества и снижает риски для всех участников процесса», – отметил Игорь Кетов, руководитель продуктового направления «Федеральные государственные системы» компании «Диасофт».
«Диасофт» обладает всеми необходимыми ресурсами и экспертизой для выполнения работ по аттестации объектов информатизации, включая штат сертифицированных специалистов и современное диагностическое оборудование.
9 сентября. / C.NEWS /. Компания «Диасофт» объявляет о расширении лицензии, выданной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) решению «Государственные информационные системы». Компания получила право проводить полный цикл аттестационных испытаний средств и систем информатизации, помещений и защищаемых зон в соответствии с требованиями регулятора. Об этом CNews сообщили представители компании «Диасофт».
Лицензия предоставлена бессрочно.
Теперь «Диасофт» может не только проектировать и внедрять системы защиты, но и проводить их официальное аттестационное тестирование с последующим оформлением пакета необходимой разрешительной документации.
Получение расширенной лицензии позволяет «Диасофт» предлагать государственным учреждениям, органам власти и организациям оборонно-промышленного комплекса (ОПК) услуги полного цикла аттестации ГИС: от первичного обследования до получения положительного заключения о соответствии объекта защиты требованиям регулятора. Заказчикам больше не требуется привлекать сторонние организации для проведения аттестации, весь процесс – от проектирования до ввода в эксплуатацию – обеспечивает одна компания. Все работы проводятся в строгом соответствии с требованиями ФСТЭК России, что гарантирует успешное прохождение любых проверок.
«Расширение лицензии ФСТЭК – это стратегический шаг, который укрепляет наши позиции на рынке безопасности критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС). Теперь мы можем быть единым ответственным исполнителем для наших заказчиков из государственного сектора, предлагая им законченное, юридически значимое решение. Это значительно повышает эффективность сотрудничества и снижает риски для всех участников процесса», – отметил Игорь Кетов, руководитель продуктового направления «Федеральные государственные системы» компании «Диасофт».
«Диасофт» обладает всеми необходимыми ресурсами и экспертизой для выполнения работ по аттестации объектов информатизации, включая штат сертифицированных специалистов и современное диагностическое оборудование.
Форум XSS оказался под контролем украинца и спецслужб Киева
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак
10 сентября. / SecurityLab /. В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.
Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.
Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.
Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.
В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.
Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.
Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на ЭТОЙ странице.
10 сентября. / SecurityLab /. В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.
Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.
Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.
Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.
В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.
Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.
Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на ЭТОЙ странице.
SecurityLab.ru
Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак
Не только Microsoft в огне, весь IT-мир встал на защиту.
Импортозамещение АРМ: Tera стала дистрибьютором офисного пакета «АльтерОфис» с сертификатом ФСТЭК
10 сентября. / C.NEWS /. Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения, и Tera, дистрибьютор ИТ-оборудования для бизнеса, объявляют о заключении партнерского соглашения. Основным направлением сотрудничества станет коммерческое продвижение продуктов «АЛМИ Партнер»: операционной системы «АльтерОС», офисного пакета «АльтерОфис», а также платформ для совместной работы «АльтерСофт ВебПоинт Сервер» и «АльтерСофт Проджект Сервер». Об этом CNews сообщили представители Tera.
В состав версии «АльтерОфис», сертифицированной ФСТЭК, входят: текстовый редактор «АТекст»; табличный редактор «АТаблица»; редактор презентаций «АКонцепт»; редактор векторной графики «АГраф».
Продукт полностью совместим с основными сертифицированными российскими ОС, включая «АльтерОС», Astra Linux Special Edition, «Альт 8 СП» и «Ред ОС».
«Для Tera партнерство с "АЛМИ Партнер" — это стратегически важный шаг в расширении портфолио программных решений. Сертифицированный пакет "АльтерОфис" с четвертым уровнем доверия ФСТЭК России позволяет нашим партнерам предлагать клиентам надежное решение для задач импортозамещения, соответствующее строгим требованиям информационной безопасности. Мы видим большой потенциал в совместной работе и готовы обеспечить комплексную техническую поддержку и развитие продукта для наших общих клиентов», — сказала Юлиана Павлова, старший продакт-менеджер департамента программного обеспечения Tera.
«Партнерство с компанией Tera открывает новые горизонты для продвижения наших продуктов и позволяет расширить географию присутствия "АЛМИ Партнер". Для нас крайне важно выстраивать сильные партнёрские отношения, которые обеспечивают нашим клиентам доступ к решениям отечественного производства с высоким уровнем сервиса и поддержки. Совместно с Tera мы сможем ускорить внедрение наших программных продуктов в крупнейших компаниях и государственных организациях по всей стране, гарантируя качество и своевременность поставок», — сказала Светлана Спирина, коммерческий директор компании «АЛМИ Партнер».
В рамках стратегии развития «АЛМИ Партнер» нацелена на создание комплексной экосистемы решений, которая объединит операционную систему, офисный пакет и платформы для совместной работы. Компания планирует не только расширять функциональные возможности этих продуктов, но и обеспечивать максимальную совместимость с различными ИТ-инфраструктурами российских компаний и госструктур.
Особое внимание уделяется удобству пользователей, безопасности и технологическому лидерству с учетом растущих требований цифровой трансформации. Параллельно компания инвестирует в развитие партнерской сети и образовательных программ, чтобы обеспечить качественную поддержку решений и сделать переход на отечественное ПО максимально простым и эффективным для заказчиков.
10 сентября. / C.NEWS /. Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения, и Tera, дистрибьютор ИТ-оборудования для бизнеса, объявляют о заключении партнерского соглашения. Основным направлением сотрудничества станет коммерческое продвижение продуктов «АЛМИ Партнер»: операционной системы «АльтерОС», офисного пакета «АльтерОфис», а также платформ для совместной работы «АльтерСофт ВебПоинт Сервер» и «АльтерСофт Проджект Сервер». Об этом CNews сообщили представители Tera.
В состав версии «АльтерОфис», сертифицированной ФСТЭК, входят: текстовый редактор «АТекст»; табличный редактор «АТаблица»; редактор презентаций «АКонцепт»; редактор векторной графики «АГраф».
Продукт полностью совместим с основными сертифицированными российскими ОС, включая «АльтерОС», Astra Linux Special Edition, «Альт 8 СП» и «Ред ОС».
«Для Tera партнерство с "АЛМИ Партнер" — это стратегически важный шаг в расширении портфолио программных решений. Сертифицированный пакет "АльтерОфис" с четвертым уровнем доверия ФСТЭК России позволяет нашим партнерам предлагать клиентам надежное решение для задач импортозамещения, соответствующее строгим требованиям информационной безопасности. Мы видим большой потенциал в совместной работе и готовы обеспечить комплексную техническую поддержку и развитие продукта для наших общих клиентов», — сказала Юлиана Павлова, старший продакт-менеджер департамента программного обеспечения Tera.
«Партнерство с компанией Tera открывает новые горизонты для продвижения наших продуктов и позволяет расширить географию присутствия "АЛМИ Партнер". Для нас крайне важно выстраивать сильные партнёрские отношения, которые обеспечивают нашим клиентам доступ к решениям отечественного производства с высоким уровнем сервиса и поддержки. Совместно с Tera мы сможем ускорить внедрение наших программных продуктов в крупнейших компаниях и государственных организациях по всей стране, гарантируя качество и своевременность поставок», — сказала Светлана Спирина, коммерческий директор компании «АЛМИ Партнер».
В рамках стратегии развития «АЛМИ Партнер» нацелена на создание комплексной экосистемы решений, которая объединит операционную систему, офисный пакет и платформы для совместной работы. Компания планирует не только расширять функциональные возможности этих продуктов, но и обеспечивать максимальную совместимость с различными ИТ-инфраструктурами российских компаний и госструктур.
Особое внимание уделяется удобству пользователей, безопасности и технологическому лидерству с учетом растущих требований цифровой трансформации. Параллельно компания инвестирует в развитие партнерской сети и образовательных программ, чтобы обеспечить качественную поддержку решений и сделать переход на отечественное ПО максимально простым и эффективным для заказчиков.
CNews.ru
Импортозамещение АРМ: Tera стала дистрибьютором офисного пакета «АльтерОфис» с сертификатом ФСТЭК - CNews
Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения...
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
11 сентября. / ANTI - MALWARE /. В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.
Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.
Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).
Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.
В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.
Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.
Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.
11 сентября. / ANTI - MALWARE /. В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.
Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.
Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).
Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.
В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.
Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.
Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.
Anti-Malware
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90
Т-Банк аттестовал биометрические сервисы на соответствие требованиям ФСТЭК
11 сентября. / РИА Новости /. Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора, хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе, сообщает банк.
В набор биометрических сервисов Т-Банка входят биоэквайринг - технология бесконтактной оплаты покупок с помощью биометрии, доступ к сервисам банка в банкоматах с биометрической аутентификацией, система биометрического контроля доступа для прохода в офисы, выездной сбор данных для внесения в Единую биометрическую систему (ЕБС), а также биометрическая аутентификация в мобильном приложении (0+).
Как отметили в банке, биометрическая идентификация - один из самых безопасных и удобных способов подтверждения личности. Банк получает только уникальный цифровой код — биометрический вектор, а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы. Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам.
11 сентября. / РИА Новости /. Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора, хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе, сообщает банк.
В набор биометрических сервисов Т-Банка входят биоэквайринг - технология бесконтактной оплаты покупок с помощью биометрии, доступ к сервисам банка в банкоматах с биометрической аутентификацией, система биометрического контроля доступа для прохода в офисы, выездной сбор данных для внесения в Единую биометрическую систему (ЕБС), а также биометрическая аутентификация в мобильном приложении (0+).
Как отметили в банке, биометрическая идентификация - один из самых безопасных и удобных способов подтверждения личности. Банк получает только уникальный цифровой код — биометрический вектор, а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы. Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам.
РИА Новости
Т-Банк получил комплексную аттестацию на свои биометрические сервисы
Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора,... РИА Новости, 11.09.2025
В Москве пройдет BIS Summit 2025
12 сентября. /ТАСС/. В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 (18+).
Свое участие подтвердили представители Банка России, Госдумы, Минпромторга России, Минцифры России, Минэнерго России, Московской биржи, НКЦКИ, Роскомнадзора и ФСТЭК России. Тема события - "Технологический суверенитет: новая эра ответственности".
Конференция откроется пленарной сессией "Диалог с регулятором", модератором которой выступит президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская. Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры, а также обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений.
"В России IT-рынок развивался снизу, то есть предприниматели создавали компании, далее эти компании занимались продажей чего-либо или создавали свои собственные продукты, в результате чего сформировался практически нерегулируемый рынок. Примерно с 2015 года к IT-компаниям и продуктам стали применять все больше требований, и, с одной стороны, это правильно, но при этом снижается конкуренция, так как появляется большое количество новых вводных. Возникает вопрос, как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке, чтобы продукты оставались качественными и у заказчиков был выбор. На саммите вместе с регуляторами и представителями ИТ- и ИБ- компаний мы обсудим, где должны пролегать эти границы, как пройти между Сциллой и Харибдой, чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT-рынка", - поделилась Наталья Касперская.
12 сентября. /ТАСС/. В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 (18+).
Свое участие подтвердили представители Банка России, Госдумы, Минпромторга России, Минцифры России, Минэнерго России, Московской биржи, НКЦКИ, Роскомнадзора и ФСТЭК России. Тема события - "Технологический суверенитет: новая эра ответственности".
Конференция откроется пленарной сессией "Диалог с регулятором", модератором которой выступит президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская. Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры, а также обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений.
"В России IT-рынок развивался снизу, то есть предприниматели создавали компании, далее эти компании занимались продажей чего-либо или создавали свои собственные продукты, в результате чего сформировался практически нерегулируемый рынок. Примерно с 2015 года к IT-компаниям и продуктам стали применять все больше требований, и, с одной стороны, это правильно, но при этом снижается конкуренция, так как появляется большое количество новых вводных. Возникает вопрос, как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке, чтобы продукты оставались качественными и у заказчиков был выбор. На саммите вместе с регуляторами и представителями ИТ- и ИБ- компаний мы обсудим, где должны пролегать эти границы, как пройти между Сциллой и Харибдой, чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT-рынка", - поделилась Наталья Касперская.
TACC
В Москве пройдет BIS Summit 2025
Тема мероприятия - "Технологический суверенитет: новая эра ответственности"
Secure Boot пал в четвёртый раз. HybridPetya обходит главную защиту современных ПК
13 сентября. / SecurityLab /. Исследователи из компании ESET сообщили о появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей — установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: «0» — готово к шифрованию, «1» — диск уже зашифрован, «2» — выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл \EFI\Microsoft\Boot\verify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение «2». Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление «синего экрана». Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованным независимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.
13 сентября. / SecurityLab /. Исследователи из компании ESET сообщили о появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей — установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: «0» — готово к шифрованию, «1» — диск уже зашифрован, «2» — выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл \EFI\Microsoft\Boot\verify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение «2». Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление «синего экрана». Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованным независимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.