«Гигант» усиливает позиции на рынке кибербезопасности – получена двойная лицензия ФСТЭК
5 сентября. / C.NEWS /. ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку собственных решений в сфере технической защиты конфиденциальной информации и персональных данных. Об этом CNews сообщили представители компании «Гигант — Компьютерные системы»
Получение лицензии ФСТЭК — это строгий аудит всех бизнес-процессов компании. Партнерство с лицензированным вендором минимизирует риски, обеспечивает соответствие требованиям 152-ФЗ и 187-ФЗ, и, как следствие, защищает бизнес от многомиллионных штрафов и репутационных потерь. «Гигант» подтвердил свой статус, получив две важные лицензии
Первая лицензия – на деятельность по технической защите конфиденциальной информации. Это означает, что «Гигант» обладает верифицированными государством компетенциями и квалифицированным персоналом для полного цикла работ с данными, составляющими коммерческую, служебную или иную тайну, а также с персональными данными. Теперь компании могут доверить «Гиганту»: полное сопровождение процессов хранения и обработки персональных данных с гарантией соблюдения всех нормативных требований, построение отказоустойчивых и безопасных облачных сред (защищенное облако), а также внедрение оборудования и программ для защиты данных. Каждый проект будет реализован с учетом последних требований регуляторов и лучших отраслевых практик, что снимает с руководства компаний-заказчиков нагрузку по обеспечению compliance.
Вторая лицензия — на разработку и производство средств защиты конфиденциальной информации. Она подтверждает, что собственные технологические решения «Гиганта» соответствуют высшим стандартам качества, эффективности и безопасности и открывает принципиально новое направление деятельности. А именно: возможность участия компании в государственных и корпоративных тендерах на поставку и внедрение СЗИ. Это не только расширяет портфель возможностей компании, но и укрепляет всю экосистему отечественных производителей, предлагая заказчикам проверенную альтернативу импортным решениям.
Сергей Семикин, генеральный директор компании «Гигант — Компьютерные системы»: «В условиях ужесточения регуляторных требований и роста киберугроз российские компании ищут надежных технологических партнеров, обладающих не только экспертизой, но и официальным правовым статусом для работы с конфиденциальной информацией. Ответом на этот запрос стало стратегическое достижение компании «Гигант – Компьютерные системы»: получение пакета лицензий ФСТЭК России. Это событие выводит компанию в узкий круг интеграторов, способных оказывать максимально полный спектр услуг в области защиты данных и участвовать в наиболее значимых государственных и коммерческих проектах».
5 сентября. / C.NEWS /. ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку собственных решений в сфере технической защиты конфиденциальной информации и персональных данных. Об этом CNews сообщили представители компании «Гигант — Компьютерные системы»
Получение лицензии ФСТЭК — это строгий аудит всех бизнес-процессов компании. Партнерство с лицензированным вендором минимизирует риски, обеспечивает соответствие требованиям 152-ФЗ и 187-ФЗ, и, как следствие, защищает бизнес от многомиллионных штрафов и репутационных потерь. «Гигант» подтвердил свой статус, получив две важные лицензии
Первая лицензия – на деятельность по технической защите конфиденциальной информации. Это означает, что «Гигант» обладает верифицированными государством компетенциями и квалифицированным персоналом для полного цикла работ с данными, составляющими коммерческую, служебную или иную тайну, а также с персональными данными. Теперь компании могут доверить «Гиганту»: полное сопровождение процессов хранения и обработки персональных данных с гарантией соблюдения всех нормативных требований, построение отказоустойчивых и безопасных облачных сред (защищенное облако), а также внедрение оборудования и программ для защиты данных. Каждый проект будет реализован с учетом последних требований регуляторов и лучших отраслевых практик, что снимает с руководства компаний-заказчиков нагрузку по обеспечению compliance.
Вторая лицензия — на разработку и производство средств защиты конфиденциальной информации. Она подтверждает, что собственные технологические решения «Гиганта» соответствуют высшим стандартам качества, эффективности и безопасности и открывает принципиально новое направление деятельности. А именно: возможность участия компании в государственных и корпоративных тендерах на поставку и внедрение СЗИ. Это не только расширяет портфель возможностей компании, но и укрепляет всю экосистему отечественных производителей, предлагая заказчикам проверенную альтернативу импортным решениям.
Сергей Семикин, генеральный директор компании «Гигант — Компьютерные системы»: «В условиях ужесточения регуляторных требований и роста киберугроз российские компании ищут надежных технологических партнеров, обладающих не только экспертизой, но и официальным правовым статусом для работы с конфиденциальной информацией. Ответом на этот запрос стало стратегическое достижение компании «Гигант – Компьютерные системы»: получение пакета лицензий ФСТЭК России. Это событие выводит компанию в узкий круг интеграторов, способных оказывать максимально полный спектр услуг в области защиты данных и участвовать в наиболее значимых государственных и коммерческих проектах».
CNews.ru
«Гигант» усиливает позиции на рынке кибербезопасности – получена двойная лицензия ФСТЭК - CNews
ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку...
США пообещали $10 млн за информацию о хакерах ФСБ, взломавших Cisco
5 сентября. / CYBER MEDIA /. Правительство США объявило вознаграждение в $10 млн за сведения, которые помогут задержать трёх сотрудников ФСБ, обвиняемых в масштабных кибератаках на критическую инфраструктуру. По данным Минюста, россияне взламывали сетевое оборудование Cisco, используемое энергетическими компаниями и операторами жизнеобеспечения.
Под удар попали более 500 предприятий в 135 странах, включая США. Эксперты отмечают, что атаки затрагивали электросети, трубопроводы и коммунальные сервисы. Хакеры внедряли кастомное вредоносное ПО и бэкдоры в маршрутизаторы и коммутаторы Cisco, что позволяло перехватывать и контролировать сетевой трафик.
В розыск объявлены Марат Валерьевич Тюков, Михаил Михайлович Гаврилов и Павел Александрович Акулов. ФБР опубликовало их фотографии и запустило программу Rewards for Justice. Сообщить информацию можно анонимно через Tor; информаторам обещают защиту и возможную релокацию.
В киберсообществе решение США назвали сигналом о том, что атаки на инфраструктуру воспринимаются как прямая угроза национальной безопасности. На фоне инцидента ведущие IT-компании усилили меры защиты и ускорили выпуск патчей для Cisco-оборудования.
5 сентября. / CYBER MEDIA /. Правительство США объявило вознаграждение в $10 млн за сведения, которые помогут задержать трёх сотрудников ФСБ, обвиняемых в масштабных кибератаках на критическую инфраструктуру. По данным Минюста, россияне взламывали сетевое оборудование Cisco, используемое энергетическими компаниями и операторами жизнеобеспечения.
Под удар попали более 500 предприятий в 135 странах, включая США. Эксперты отмечают, что атаки затрагивали электросети, трубопроводы и коммунальные сервисы. Хакеры внедряли кастомное вредоносное ПО и бэкдоры в маршрутизаторы и коммутаторы Cisco, что позволяло перехватывать и контролировать сетевой трафик.
В розыск объявлены Марат Валерьевич Тюков, Михаил Михайлович Гаврилов и Павел Александрович Акулов. ФБР опубликовало их фотографии и запустило программу Rewards for Justice. Сообщить информацию можно анонимно через Tor; информаторам обещают защиту и возможную релокацию.
В киберсообществе решение США назвали сигналом о том, что атаки на инфраструктуру воспринимаются как прямая угроза национальной безопасности. На фоне инцидента ведущие IT-компании усилили меры защиты и ускорили выпуск патчей для Cisco-оборудования.
Шпион на основе Stealerium — находка для бытового шантажиста
5 сентября. / ANTI-MALWARE /. В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.
Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.
Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.
Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.
Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.
Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.
5 сентября. / ANTI-MALWARE /. В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.
Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.
Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.
Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.
Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.
Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.
9,9 из 10 и финансовый шпионаж в SAP. Корпоративная ERP-система стала мишенью для хакеров по всему миру
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
Атака s1ngularity взломала 2180 GitHub-аккаунтов и раскрыла тысячи секретов
8 сентября. / CYBER MEDIA /. Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома. В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев.
Атака проходила в несколько этапов. Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx, которые автоматически устанавливали у разработчиков бэкдоры. Затем происходил сбор токенов доступа и секретов репозиториев, а финальным шагом стало распространение украденных данных через сторонние каналы.
По оценке Wiz, масштабы утечки могут оказаться ещё больше: скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub, включая кражу исходного кода и заражение других проектов. Особую опасность атака представляет для компаний, которые используют Nx в корпоративной разработке.
Эксперты рекомендуют немедленно отозвать все скомпрометированные токены, обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям. Инцидент с s1ngularity стал одним из самых показательных примеров того, как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source.
8 сентября. / CYBER MEDIA /. Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома. В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев.
Атака проходила в несколько этапов. Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx, которые автоматически устанавливали у разработчиков бэкдоры. Затем происходил сбор токенов доступа и секретов репозиториев, а финальным шагом стало распространение украденных данных через сторонние каналы.
По оценке Wiz, масштабы утечки могут оказаться ещё больше: скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub, включая кражу исходного кода и заражение других проектов. Особую опасность атака представляет для компаний, которые используют Nx в корпоративной разработке.
Эксперты рекомендуют немедленно отозвать все скомпрометированные токены, обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям. Инцидент с s1ngularity стал одним из самых показательных примеров того, как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source.
securitymedia.org
Атака s1ngularity взломала 2180 GitHub-аккаунтов и раскрыла тысячи секретов
Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома.…
Думали, WAF вас защищает? Исследователи обошли 17 файрволов с помощью одного трюка с запятой
9 сентября. / Securitylab /. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве объекта проверки использовалось ASP.NET-приложение с максимально жёсткими правилами фильтрации. Любые попытки внедрить стандартные XSS-конструкции блокировались, однако благодаря особенностям обработки дублирующихся параметров исследователям удалось собрать рабочую полезную нагрузку, которую межсетевой экран даже не заметил.
Ключ к обходу заключался в том, что метод ASP.NET HttpUtility.ParseQueryString() объединяет одинаковые параметры через запятую. Так, строка запроса вида q=1'&q=alert(1)&q='2 превращается в последовательность 1',alert(1),'2. При вставке в JavaScript это преобразуется в jsuserInput = '1',alert(1),'2; — то есть код становится синтаксически корректным, а оператор запятой выполняет вызов alert. Подобное поведение позволяет разнести вредоносные фрагменты на несколько параметров и уйти от классических сигнатурных проверок. В то время как ASP.NET и классический ASP объединяют значения, другие платформы вроде Golang или Python Zope работают с массивами, поэтому методика применима не везде.
Для проверки устойчивости были протестированы семнадцать конфигураций разных производителей: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb и NGINX App Protect. Применялось четыре типа нагрузок — от простого внедрения вида q=';alert(1), до более сложных с разделителями и эвристическими обходами. Полностью блокировать все варианты смогли только Google Cloud Armor с ModSecurity, Azure WAF Default Rule Set 2.1 и все уровни чувствительности open-appsec. В то время как AWS WAF, F5 и решения Cyber Security Cloud проваливались во всех сценариях. Общий процент обходов вырос с 17,6% для базового инъекционного запроса до 70,6% для продвинутого загрязнения параметров.
Автономный хакбот, использованный исследователями, сумел найти и обход тех решений, что выдержали ручные тесты. В Azure WAF удалось использовать несогласованную обработку экранированных символов через последовательность test\';alert(1);//. В open-appsec инструмент за полминуты подобрал рабочий вариант даже для «критического» профиля, варьируя вызовы от alert до confirm и переходя к более хитрым конструкциям вроде q='+new Function('a'+'lert(1)')()+'. Для Google Cloud Armor обойти фильтрацию не получилось, однако анализ показал, что серверная логика чувствительна к регистру параметров, что может дать лазейки в будущем.
Результаты подчёркивают системные ограничения сигнатурных и даже эвристических WAF. Полноценное выявление атак, распределённых между параметрами, потребовало бы глубокого понимания логики конкретного фреймворка и анализа в контексте JavaScript , что трудно реализовать на прокси-уровне. Попытки внедрить машинное обучение также не гарантируют устойчивости, поскольку адаптивные боты быстро подстраиваются и находят безопасные для себя шаблоны.
В итоге исследователи напоминают, что межсетевые экраны не могут быть единственным барьером — необходима валидация ввода, корректное экранирование и надёжные практики разработки. Сочетание творческого подхода человека и автоматизированных средств показывает, насколько быстро могут раскрываться даже нестандартные уязвимости, и почему непрерывная проверка остаётся обязательной.
9 сентября. / Securitylab /. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве объекта проверки использовалось ASP.NET-приложение с максимально жёсткими правилами фильтрации. Любые попытки внедрить стандартные XSS-конструкции блокировались, однако благодаря особенностям обработки дублирующихся параметров исследователям удалось собрать рабочую полезную нагрузку, которую межсетевой экран даже не заметил.
Ключ к обходу заключался в том, что метод ASP.NET HttpUtility.ParseQueryString() объединяет одинаковые параметры через запятую. Так, строка запроса вида q=1'&q=alert(1)&q='2 превращается в последовательность 1',alert(1),'2. При вставке в JavaScript это преобразуется в jsuserInput = '1',alert(1),'2; — то есть код становится синтаксически корректным, а оператор запятой выполняет вызов alert. Подобное поведение позволяет разнести вредоносные фрагменты на несколько параметров и уйти от классических сигнатурных проверок. В то время как ASP.NET и классический ASP объединяют значения, другие платформы вроде Golang или Python Zope работают с массивами, поэтому методика применима не везде.
Для проверки устойчивости были протестированы семнадцать конфигураций разных производителей: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb и NGINX App Protect. Применялось четыре типа нагрузок — от простого внедрения вида q=';alert(1), до более сложных с разделителями и эвристическими обходами. Полностью блокировать все варианты смогли только Google Cloud Armor с ModSecurity, Azure WAF Default Rule Set 2.1 и все уровни чувствительности open-appsec. В то время как AWS WAF, F5 и решения Cyber Security Cloud проваливались во всех сценариях. Общий процент обходов вырос с 17,6% для базового инъекционного запроса до 70,6% для продвинутого загрязнения параметров.
Автономный хакбот, использованный исследователями, сумел найти и обход тех решений, что выдержали ручные тесты. В Azure WAF удалось использовать несогласованную обработку экранированных символов через последовательность test\';alert(1);//. В open-appsec инструмент за полминуты подобрал рабочий вариант даже для «критического» профиля, варьируя вызовы от alert до confirm и переходя к более хитрым конструкциям вроде q='+new Function('a'+'lert(1)')()+'. Для Google Cloud Armor обойти фильтрацию не получилось, однако анализ показал, что серверная логика чувствительна к регистру параметров, что может дать лазейки в будущем.
Результаты подчёркивают системные ограничения сигнатурных и даже эвристических WAF. Полноценное выявление атак, распределённых между параметрами, потребовало бы глубокого понимания логики конкретного фреймворка и анализа в контексте JavaScript , что трудно реализовать на прокси-уровне. Попытки внедрить машинное обучение также не гарантируют устойчивости, поскольку адаптивные боты быстро подстраиваются и находят безопасные для себя шаблоны.
В итоге исследователи напоминают, что межсетевые экраны не могут быть единственным барьером — необходима валидация ввода, корректное экранирование и надёжные практики разработки. Сочетание творческого подхода человека и автоматизированных средств показывает, насколько быстро могут раскрываться даже нестандартные уязвимости, и почему непрерывная проверка остаётся обязательной.
Научно-практический семинар 4 сентября 2025 г.
RSS-лента новостей ФСТЭК России
Управлением ФСТЭК России по Сибирскому федеральному округу 4 сентября 2025 г. совместно с ТГУ, Сибирским таможенным управлением и экспертными организациями был проведен научно-практический семинар по вопросам экспортного контроля.
В работе указанного мероприятия приняли участие в очном и дистанционном формате более 120 представителей организаций-экспортеров Томской области, вузов и научных учреждений ТНЦ СО РАН, а также организации, аккредитовавшие свои ВПЭК (АО "Швабе", г. Москва, ТПУ, г. Томск, УрФУ, г. Екатеринбург).
На семинаре было уделено внимание проблемным вопросам, связанным с открытым опубликованием, применением специальных экономических и мер экспортного контроля, а также типовым ошибкам, допускаемым в ходе реализации внешнеэкономических сделок, осуществления международного научного сотрудничества, а также образовательной деятельности.
RSS-лента новостей ФСТЭК России
Управлением ФСТЭК России по Сибирскому федеральному округу 4 сентября 2025 г. совместно с ТГУ, Сибирским таможенным управлением и экспертными организациями был проведен научно-практический семинар по вопросам экспортного контроля.
В работе указанного мероприятия приняли участие в очном и дистанционном формате более 120 представителей организаций-экспортеров Томской области, вузов и научных учреждений ТНЦ СО РАН, а также организации, аккредитовавшие свои ВПЭК (АО "Швабе", г. Москва, ТПУ, г. Томск, УрФУ, г. Екатеринбург).
На семинаре было уделено внимание проблемным вопросам, связанным с открытым опубликованием, применением специальных экономических и мер экспортного контроля, а также типовым ошибкам, допускаемым в ходе реализации внешнеэкономических сделок, осуществления международного научного сотрудничества, а также образовательной деятельности.
«Диасофт» получил бессрочную лицензию ФСТЭК России для проведения аттестации объектов информатизации
9 сентября. / C.NEWS /. Компания «Диасофт» объявляет о расширении лицензии, выданной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) решению «Государственные информационные системы». Компания получила право проводить полный цикл аттестационных испытаний средств и систем информатизации, помещений и защищаемых зон в соответствии с требованиями регулятора. Об этом CNews сообщили представители компании «Диасофт».
Теперь «Диасофт» может не только проектировать и внедрять системы защиты, но и проводить их официальное аттестационное тестирование с последующим оформлением пакета необходимой разрешительной документации.
Получение расширенной лицензии позволяет «Диасофт» предлагать государственным учреждениям, органам власти и организациям оборонно-промышленного комплекса (ОПК) услуги полного цикла аттестации ГИС: от первичного обследования до получения положительного заключения о соответствии объекта защиты требованиям регулятора. Заказчикам больше не требуется привлекать сторонние организации для проведения аттестации, весь процесс – от проектирования до ввода в эксплуатацию – обеспечивает одна компания. Все работы проводятся в строгом соответствии с требованиями ФСТЭК России, что гарантирует успешное прохождение любых проверок.
«Расширение лицензии ФСТЭК – это стратегический шаг, который укрепляет наши позиции на рынке безопасности критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС). Теперь мы можем быть единым ответственным исполнителем для наших заказчиков из государственного сектора, предлагая им законченное, юридически значимое решение. Это значительно повышает эффективность сотрудничества и снижает риски для всех участников процесса», – отметил Игорь Кетов, руководитель продуктового направления «Федеральные государственные системы» компании «Диасофт».
«Диасофт» обладает всеми необходимыми ресурсами и экспертизой для выполнения работ по аттестации объектов информатизации, включая штат сертифицированных специалистов и современное диагностическое оборудование.
9 сентября. / C.NEWS /. Компания «Диасофт» объявляет о расширении лицензии, выданной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) решению «Государственные информационные системы». Компания получила право проводить полный цикл аттестационных испытаний средств и систем информатизации, помещений и защищаемых зон в соответствии с требованиями регулятора. Об этом CNews сообщили представители компании «Диасофт».
Лицензия предоставлена бессрочно.
Теперь «Диасофт» может не только проектировать и внедрять системы защиты, но и проводить их официальное аттестационное тестирование с последующим оформлением пакета необходимой разрешительной документации.
Получение расширенной лицензии позволяет «Диасофт» предлагать государственным учреждениям, органам власти и организациям оборонно-промышленного комплекса (ОПК) услуги полного цикла аттестации ГИС: от первичного обследования до получения положительного заключения о соответствии объекта защиты требованиям регулятора. Заказчикам больше не требуется привлекать сторонние организации для проведения аттестации, весь процесс – от проектирования до ввода в эксплуатацию – обеспечивает одна компания. Все работы проводятся в строгом соответствии с требованиями ФСТЭК России, что гарантирует успешное прохождение любых проверок.
«Расширение лицензии ФСТЭК – это стратегический шаг, который укрепляет наши позиции на рынке безопасности критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС). Теперь мы можем быть единым ответственным исполнителем для наших заказчиков из государственного сектора, предлагая им законченное, юридически значимое решение. Это значительно повышает эффективность сотрудничества и снижает риски для всех участников процесса», – отметил Игорь Кетов, руководитель продуктового направления «Федеральные государственные системы» компании «Диасофт».
«Диасофт» обладает всеми необходимыми ресурсами и экспертизой для выполнения работ по аттестации объектов информатизации, включая штат сертифицированных специалистов и современное диагностическое оборудование.
Форум XSS оказался под контролем украинца и спецслужб Киева
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак
10 сентября. / SecurityLab /. В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.
Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.
Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.
Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.
В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.
Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.
Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на ЭТОЙ странице.
10 сентября. / SecurityLab /. В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.
Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.
Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.
Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.
В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.
Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.
Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на ЭТОЙ странице.
SecurityLab.ru
Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак
Не только Microsoft в огне, весь IT-мир встал на защиту.
Импортозамещение АРМ: Tera стала дистрибьютором офисного пакета «АльтерОфис» с сертификатом ФСТЭК
10 сентября. / C.NEWS /. Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения, и Tera, дистрибьютор ИТ-оборудования для бизнеса, объявляют о заключении партнерского соглашения. Основным направлением сотрудничества станет коммерческое продвижение продуктов «АЛМИ Партнер»: операционной системы «АльтерОС», офисного пакета «АльтерОфис», а также платформ для совместной работы «АльтерСофт ВебПоинт Сервер» и «АльтерСофт Проджект Сервер». Об этом CNews сообщили представители Tera.
В состав версии «АльтерОфис», сертифицированной ФСТЭК, входят: текстовый редактор «АТекст»; табличный редактор «АТаблица»; редактор презентаций «АКонцепт»; редактор векторной графики «АГраф».
Продукт полностью совместим с основными сертифицированными российскими ОС, включая «АльтерОС», Astra Linux Special Edition, «Альт 8 СП» и «Ред ОС».
«Для Tera партнерство с "АЛМИ Партнер" — это стратегически важный шаг в расширении портфолио программных решений. Сертифицированный пакет "АльтерОфис" с четвертым уровнем доверия ФСТЭК России позволяет нашим партнерам предлагать клиентам надежное решение для задач импортозамещения, соответствующее строгим требованиям информационной безопасности. Мы видим большой потенциал в совместной работе и готовы обеспечить комплексную техническую поддержку и развитие продукта для наших общих клиентов», — сказала Юлиана Павлова, старший продакт-менеджер департамента программного обеспечения Tera.
«Партнерство с компанией Tera открывает новые горизонты для продвижения наших продуктов и позволяет расширить географию присутствия "АЛМИ Партнер". Для нас крайне важно выстраивать сильные партнёрские отношения, которые обеспечивают нашим клиентам доступ к решениям отечественного производства с высоким уровнем сервиса и поддержки. Совместно с Tera мы сможем ускорить внедрение наших программных продуктов в крупнейших компаниях и государственных организациях по всей стране, гарантируя качество и своевременность поставок», — сказала Светлана Спирина, коммерческий директор компании «АЛМИ Партнер».
В рамках стратегии развития «АЛМИ Партнер» нацелена на создание комплексной экосистемы решений, которая объединит операционную систему, офисный пакет и платформы для совместной работы. Компания планирует не только расширять функциональные возможности этих продуктов, но и обеспечивать максимальную совместимость с различными ИТ-инфраструктурами российских компаний и госструктур.
Особое внимание уделяется удобству пользователей, безопасности и технологическому лидерству с учетом растущих требований цифровой трансформации. Параллельно компания инвестирует в развитие партнерской сети и образовательных программ, чтобы обеспечить качественную поддержку решений и сделать переход на отечественное ПО максимально простым и эффективным для заказчиков.
10 сентября. / C.NEWS /. Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения, и Tera, дистрибьютор ИТ-оборудования для бизнеса, объявляют о заключении партнерского соглашения. Основным направлением сотрудничества станет коммерческое продвижение продуктов «АЛМИ Партнер»: операционной системы «АльтерОС», офисного пакета «АльтерОфис», а также платформ для совместной работы «АльтерСофт ВебПоинт Сервер» и «АльтерСофт Проджект Сервер». Об этом CNews сообщили представители Tera.
В состав версии «АльтерОфис», сертифицированной ФСТЭК, входят: текстовый редактор «АТекст»; табличный редактор «АТаблица»; редактор презентаций «АКонцепт»; редактор векторной графики «АГраф».
Продукт полностью совместим с основными сертифицированными российскими ОС, включая «АльтерОС», Astra Linux Special Edition, «Альт 8 СП» и «Ред ОС».
«Для Tera партнерство с "АЛМИ Партнер" — это стратегически важный шаг в расширении портфолио программных решений. Сертифицированный пакет "АльтерОфис" с четвертым уровнем доверия ФСТЭК России позволяет нашим партнерам предлагать клиентам надежное решение для задач импортозамещения, соответствующее строгим требованиям информационной безопасности. Мы видим большой потенциал в совместной работе и готовы обеспечить комплексную техническую поддержку и развитие продукта для наших общих клиентов», — сказала Юлиана Павлова, старший продакт-менеджер департамента программного обеспечения Tera.
«Партнерство с компанией Tera открывает новые горизонты для продвижения наших продуктов и позволяет расширить географию присутствия "АЛМИ Партнер". Для нас крайне важно выстраивать сильные партнёрские отношения, которые обеспечивают нашим клиентам доступ к решениям отечественного производства с высоким уровнем сервиса и поддержки. Совместно с Tera мы сможем ускорить внедрение наших программных продуктов в крупнейших компаниях и государственных организациях по всей стране, гарантируя качество и своевременность поставок», — сказала Светлана Спирина, коммерческий директор компании «АЛМИ Партнер».
В рамках стратегии развития «АЛМИ Партнер» нацелена на создание комплексной экосистемы решений, которая объединит операционную систему, офисный пакет и платформы для совместной работы. Компания планирует не только расширять функциональные возможности этих продуктов, но и обеспечивать максимальную совместимость с различными ИТ-инфраструктурами российских компаний и госструктур.
Особое внимание уделяется удобству пользователей, безопасности и технологическому лидерству с учетом растущих требований цифровой трансформации. Параллельно компания инвестирует в развитие партнерской сети и образовательных программ, чтобы обеспечить качественную поддержку решений и сделать переход на отечественное ПО максимально простым и эффективным для заказчиков.
CNews.ru
Импортозамещение АРМ: Tera стала дистрибьютором офисного пакета «АльтерОфис» с сертификатом ФСТЭК - CNews
Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения...
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
11 сентября. / ANTI - MALWARE /. В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.
Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.
Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).
Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.
В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.
Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.
Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.
11 сентября. / ANTI - MALWARE /. В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.
Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.
Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).
Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.
В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.
Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.
Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.
Anti-Malware
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90
Т-Банк аттестовал биометрические сервисы на соответствие требованиям ФСТЭК
11 сентября. / РИА Новости /. Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора, хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе, сообщает банк.
В набор биометрических сервисов Т-Банка входят биоэквайринг - технология бесконтактной оплаты покупок с помощью биометрии, доступ к сервисам банка в банкоматах с биометрической аутентификацией, система биометрического контроля доступа для прохода в офисы, выездной сбор данных для внесения в Единую биометрическую систему (ЕБС), а также биометрическая аутентификация в мобильном приложении (0+).
Как отметили в банке, биометрическая идентификация - один из самых безопасных и удобных способов подтверждения личности. Банк получает только уникальный цифровой код — биометрический вектор, а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы. Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам.
11 сентября. / РИА Новости /. Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора, хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе, сообщает банк.
В набор биометрических сервисов Т-Банка входят биоэквайринг - технология бесконтактной оплаты покупок с помощью биометрии, доступ к сервисам банка в банкоматах с биометрической аутентификацией, система биометрического контроля доступа для прохода в офисы, выездной сбор данных для внесения в Единую биометрическую систему (ЕБС), а также биометрическая аутентификация в мобильном приложении (0+).
Как отметили в банке, биометрическая идентификация - один из самых безопасных и удобных способов подтверждения личности. Банк получает только уникальный цифровой код — биометрический вектор, а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы. Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам.
РИА Новости
Т-Банк получил комплексную аттестацию на свои биометрические сервисы
Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора,... РИА Новости, 11.09.2025
В Москве пройдет BIS Summit 2025
12 сентября. /ТАСС/. В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 (18+).
Свое участие подтвердили представители Банка России, Госдумы, Минпромторга России, Минцифры России, Минэнерго России, Московской биржи, НКЦКИ, Роскомнадзора и ФСТЭК России. Тема события - "Технологический суверенитет: новая эра ответственности".
Конференция откроется пленарной сессией "Диалог с регулятором", модератором которой выступит президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская. Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры, а также обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений.
"В России IT-рынок развивался снизу, то есть предприниматели создавали компании, далее эти компании занимались продажей чего-либо или создавали свои собственные продукты, в результате чего сформировался практически нерегулируемый рынок. Примерно с 2015 года к IT-компаниям и продуктам стали применять все больше требований, и, с одной стороны, это правильно, но при этом снижается конкуренция, так как появляется большое количество новых вводных. Возникает вопрос, как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке, чтобы продукты оставались качественными и у заказчиков был выбор. На саммите вместе с регуляторами и представителями ИТ- и ИБ- компаний мы обсудим, где должны пролегать эти границы, как пройти между Сциллой и Харибдой, чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT-рынка", - поделилась Наталья Касперская.
12 сентября. /ТАСС/. В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 (18+).
Свое участие подтвердили представители Банка России, Госдумы, Минпромторга России, Минцифры России, Минэнерго России, Московской биржи, НКЦКИ, Роскомнадзора и ФСТЭК России. Тема события - "Технологический суверенитет: новая эра ответственности".
Конференция откроется пленарной сессией "Диалог с регулятором", модератором которой выступит президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская. Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры, а также обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений.
"В России IT-рынок развивался снизу, то есть предприниматели создавали компании, далее эти компании занимались продажей чего-либо или создавали свои собственные продукты, в результате чего сформировался практически нерегулируемый рынок. Примерно с 2015 года к IT-компаниям и продуктам стали применять все больше требований, и, с одной стороны, это правильно, но при этом снижается конкуренция, так как появляется большое количество новых вводных. Возникает вопрос, как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке, чтобы продукты оставались качественными и у заказчиков был выбор. На саммите вместе с регуляторами и представителями ИТ- и ИБ- компаний мы обсудим, где должны пролегать эти границы, как пройти между Сциллой и Харибдой, чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT-рынка", - поделилась Наталья Касперская.
TACC
В Москве пройдет BIS Summit 2025
Тема мероприятия - "Технологический суверенитет: новая эра ответственности"
Secure Boot пал в четвёртый раз. HybridPetya обходит главную защиту современных ПК
13 сентября. / SecurityLab /. Исследователи из компании ESET сообщили о появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей — установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: «0» — готово к шифрованию, «1» — диск уже зашифрован, «2» — выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл \EFI\Microsoft\Boot\verify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение «2». Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление «синего экрана». Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованным независимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.
13 сентября. / SecurityLab /. Исследователи из компании ESET сообщили о появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей — установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: «0» — готово к шифрованию, «1» — диск уже зашифрован, «2» — выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл \EFI\Microsoft\Boot\verify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение «2». Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление «синего экрана». Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованным независимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.
Красивая иконка оказалась приманкой. Разработчик Ethereum потерял всё за один клик
15 сентября. / SecurityLab /. Хакерская группа WhiteCobra развернула масштабную атаку против пользователей популярных редакторов кода VS Code, Cursor и Windsurf. Исследователи из компании Koi Security обнаружили 24 вредоносных расширения , размещённых в официальных репозиториях Visual Studio Marketplace и Open VSX. Несмотря на удаление части из них, злоумышленники продолжают загружать новые версии, поддерживая кампанию в активном состоянии.
Одним из пострадавших стал разработчик Ethereum Зак Коул, чей криптокошелёк оказался опустошён после установки дополнения contractshark.solidity-lang для редактора Cursor. Расширение выглядело вполне правдоподобно: у него был профессионально оформленный значок, подробное описание и десятки тысяч скачиваний.
Подобная маскировка позволила WhiteCobra привлечь внимание большого числа пользователей. При этом ранее та же группировка уже была замечена в июльском эпизоде кражи криптовалюты на сумму около полумиллиона долларов, когда они распространяли поддельное расширение для Cursor.
Атака эксплуатирует уязвимость самой экосистемы: единый формат пакетов VSIX используется сразу в нескольких редакторах, а проверка загружаемых дополнений остаётся минимальной. Это позволяет злоумышленникам быстро адаптировать и масштабировать кампанию.
Koi Security отмечает, что каждое из созданных расширений имитирует легальные проекты, копируя названия и описание. В списке выявленных фиктивных пакетов оказались ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Ethereum.solidity-ethereum и многие другие. Их можно было встретить как в Open-VSX, так и в VS Code Marketplace.
Технически вредоносные дополнения устроены достаточно просто. Основной файл extension.js почти полностью повторяет шаблон «Hello World», но содержит скрытый вызов к другому скрипту — prompt.js. Он, в свою очередь, загружает полезную нагрузку с серверов Cloudflare Pages. Для Windows поставляется PowerShell-скрипт, запускающий Python-код и внедряющий шелл-код, после чего активируется LummaStealer — известный троян для кражи данных. Он нацелен на криптовалютные кошельки, браузерные расширения, сохранённые пароли и переписку в мессенджерах. На macOS используется бинарный файл Mach-O для ARM и Intel, загружающий другой, пока не классифицированный, вредонос .
В распоряжении специалистов оказался внутренний плейбук WhiteCobra, где подробно описаны финансовые цели кампаний, методы продвижения поддельных расширений и инструкции по развёртыванию инфраструктуры управления. Судя по этим данным, группировка действует организованно и может запускать новые волны атак всего за три часа после блокировки предыдущих. В документах фигурируют суммы от 10 тысяч до полумиллиона долларов, которые преступники планируют получить за одну серию операций.
Специалисты подчёркивают, что привычные ориентиры вроде количества скачиваний, положительных отзывов и рейтинга больше не являются надёжным индикатором безопасности. Эти показатели легко накручиваются, а поддельные проекты нередко копируют имена известных разработчиков или организаций. Поэтому рекомендуется внимательно проверять расширения перед установкой, обращать внимание на подозрительные совпадения в названиях и остерегаться проектов, которые за короткое время набрали десятки тысяч загрузок.
WhiteCobra наглядно продемонстрировала слабые места в экосистеме VS Code и совместимых редакторов, где отсутствие строгой модерации позволяет внедрять вредоносные дополнения, маскируя их под популярные инструменты. Для пользователей это означает необходимость дополнительной осторожности, ведь даже привычный рабочий инструмент может оказаться каналом для кражи криптовалюты и учётных данных.
15 сентября. / SecurityLab /. Хакерская группа WhiteCobra развернула масштабную атаку против пользователей популярных редакторов кода VS Code, Cursor и Windsurf. Исследователи из компании Koi Security обнаружили 24 вредоносных расширения , размещённых в официальных репозиториях Visual Studio Marketplace и Open VSX. Несмотря на удаление части из них, злоумышленники продолжают загружать новые версии, поддерживая кампанию в активном состоянии.
Одним из пострадавших стал разработчик Ethereum Зак Коул, чей криптокошелёк оказался опустошён после установки дополнения contractshark.solidity-lang для редактора Cursor. Расширение выглядело вполне правдоподобно: у него был профессионально оформленный значок, подробное описание и десятки тысяч скачиваний.
Подобная маскировка позволила WhiteCobra привлечь внимание большого числа пользователей. При этом ранее та же группировка уже была замечена в июльском эпизоде кражи криптовалюты на сумму около полумиллиона долларов, когда они распространяли поддельное расширение для Cursor.
Атака эксплуатирует уязвимость самой экосистемы: единый формат пакетов VSIX используется сразу в нескольких редакторах, а проверка загружаемых дополнений остаётся минимальной. Это позволяет злоумышленникам быстро адаптировать и масштабировать кампанию.
Koi Security отмечает, что каждое из созданных расширений имитирует легальные проекты, копируя названия и описание. В списке выявленных фиктивных пакетов оказались ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Ethereum.solidity-ethereum и многие другие. Их можно было встретить как в Open-VSX, так и в VS Code Marketplace.
Технически вредоносные дополнения устроены достаточно просто. Основной файл extension.js почти полностью повторяет шаблон «Hello World», но содержит скрытый вызов к другому скрипту — prompt.js. Он, в свою очередь, загружает полезную нагрузку с серверов Cloudflare Pages. Для Windows поставляется PowerShell-скрипт, запускающий Python-код и внедряющий шелл-код, после чего активируется LummaStealer — известный троян для кражи данных. Он нацелен на криптовалютные кошельки, браузерные расширения, сохранённые пароли и переписку в мессенджерах. На macOS используется бинарный файл Mach-O для ARM и Intel, загружающий другой, пока не классифицированный, вредонос .
В распоряжении специалистов оказался внутренний плейбук WhiteCobra, где подробно описаны финансовые цели кампаний, методы продвижения поддельных расширений и инструкции по развёртыванию инфраструктуры управления. Судя по этим данным, группировка действует организованно и может запускать новые волны атак всего за три часа после блокировки предыдущих. В документах фигурируют суммы от 10 тысяч до полумиллиона долларов, которые преступники планируют получить за одну серию операций.
Специалисты подчёркивают, что привычные ориентиры вроде количества скачиваний, положительных отзывов и рейтинга больше не являются надёжным индикатором безопасности. Эти показатели легко накручиваются, а поддельные проекты нередко копируют имена известных разработчиков или организаций. Поэтому рекомендуется внимательно проверять расширения перед установкой, обращать внимание на подозрительные совпадения в названиях и остерегаться проектов, которые за короткое время набрали десятки тысяч загрузок.
WhiteCobra наглядно продемонстрировала слабые места в экосистеме VS Code и совместимых редакторов, где отсутствие строгой модерации позволяет внедрять вредоносные дополнения, маскируя их под популярные инструменты. Для пользователей это означает необходимость дополнительной осторожности, ведь даже привычный рабочий инструмент может оказаться каналом для кражи криптовалюты и учётных данных.
SecurityLab.ru
Красивая иконка оказалась приманкой. Разработчик Ethereum потерял всё за один клик
Хакеры WhiteCobra превратили редакторы кода в орудие массового поражения.
SVG-картинки превратились в оружие - через них распространяют XWorm и Remcos RAT
15 сентября. / CYBER MEDIA /. Исследователи в области кибербезопасности зафиксировали новые кампании по распространению вредоносного ПО, в которых впервые активно используются SVG-файлы как вектор атаки. Под видом изображений жертвам подсовывают заражённые файлы, внутри которых спрятан JavaScript-код. Он автоматически скачивает ZIP-архив с загрузчиком, запускающим цепочку инфицирования.
В основе схемы лежит BAT-скрипт с многоуровневой обфускацией. После запуска он активирует PowerShell-загрузчик, который выполняет внедрение вредоносного кода прямо в память, обходя антивирусы и системы обнаружения. Для закрепления троян копирует себя в автозагрузку Windows, обеспечивая повторный запуск при каждом включении компьютера.
Ключевой особенностью атак стало отключение системных механизмов безопасности Windows. Загрузчик модифицирует в памяти функции AMSI и ETW, отвечающие за сканирование и логирование, превращая их в «пустышки». После этого он расшифровывает скрытые в BAT-файле .NET-модули и запускает основные полезные нагрузки — XWorm и Remcos RAT.
Оба семейства RAT обладают широким спектром функций: от кейлоггинга и кражи файлов до удалённого управления системой и снятия скриншотов. В сочетании с нестандартной доставкой через SVG такие атаки становятся особенно опасными. Эксперты советуют компаниям усиливать проверку вложений любых форматов, отслеживать аномалии в работе PowerShell и внедрять решения, способные выявлять вредоносные процессы при выполнении в памяти.
15 сентября. / CYBER MEDIA /. Исследователи в области кибербезопасности зафиксировали новые кампании по распространению вредоносного ПО, в которых впервые активно используются SVG-файлы как вектор атаки. Под видом изображений жертвам подсовывают заражённые файлы, внутри которых спрятан JavaScript-код. Он автоматически скачивает ZIP-архив с загрузчиком, запускающим цепочку инфицирования.
В основе схемы лежит BAT-скрипт с многоуровневой обфускацией. После запуска он активирует PowerShell-загрузчик, который выполняет внедрение вредоносного кода прямо в память, обходя антивирусы и системы обнаружения. Для закрепления троян копирует себя в автозагрузку Windows, обеспечивая повторный запуск при каждом включении компьютера.
Ключевой особенностью атак стало отключение системных механизмов безопасности Windows. Загрузчик модифицирует в памяти функции AMSI и ETW, отвечающие за сканирование и логирование, превращая их в «пустышки». После этого он расшифровывает скрытые в BAT-файле .NET-модули и запускает основные полезные нагрузки — XWorm и Remcos RAT.
Оба семейства RAT обладают широким спектром функций: от кейлоггинга и кражи файлов до удалённого управления системой и снятия скриншотов. В сочетании с нестандартной доставкой через SVG такие атаки становятся особенно опасными. Эксперты советуют компаниям усиливать проверку вложений любых форматов, отслеживать аномалии в работе PowerShell и внедрять решения, способные выявлять вредоносные процессы при выполнении в памяти.
«АЛМИ Партнер» представила стратегическую дорожную карту развития «АльтерОС» и «АльтерОфис» до 2027 года
15 сентября. / C.NEWS /. Компания «АЛМИ Партнер» представила стратегическую дорожную карту развития ключевых продуктов — операционной системы «АльтерОС» и офисного пакета «АльтерОфис» до 2027 г. Об этом CNews сообщили представители «АЛМИ Партнер».
В развитии «АльтерОС» особое внимание уделяется повышению безопасности и производительности. До конца 2025 г. планируется внедрить усовершенствованные механизмы защиты системы и подключаемых устройств, расширить возможности мониторинга и безопасности событий, а также выпустить обновленный сертифицированный дистрибутив версии, одобренной ФСТЭК.
В 2026 г. запланирован запуск специализированного портала безопасности и обновление службы каталогов, а также улучшение поиска файлов и расширение функционала сертифицированной версии. К 2027 г. компания планирует обновить механизм бесшовной миграции на новые версии, расширить интеграцию с ПО сторонних производителей и продолжить развитие систем защиты и мониторинга безопасности.
Офисный пакет «АльтерОфис» также будет постепенно совершенствоваться. До конца 2025 г. пользователи получат расширенные возможности шифрования и создания писем, а также улучшенные настройки групповых политик. Ожидается запуск веб-версии редакторов. В пакет будет добавлена новая среда разработки макросов на Python, она упростит процесс автоматизации задач. Все эти улучшения направлены на повышение стабильности и удобства работы.
В 2026 г. «АЛМИ Партнер» планирует расширить поддержку дополнительных операционных систем, оптимизировать производительность редакторов и сделать их доступными для домашних компьютеров, а также внедрить функции ИИ-ассистентов. Запланированы улучшения интерфейса «АМэйл» и расширение функционала сертифицированной версии. К 2027 г. появится поддержка плагинов и новых пользовательских тем в редакторах, будет расширено применение искусственного интеллекта, а также доработан функционал сертифицированной ФСТЭК версии продукта.
15 сентября. / C.NEWS /. Компания «АЛМИ Партнер» представила стратегическую дорожную карту развития ключевых продуктов — операционной системы «АльтерОС» и офисного пакета «АльтерОфис» до 2027 г. Об этом CNews сообщили представители «АЛМИ Партнер».
В развитии «АльтерОС» особое внимание уделяется повышению безопасности и производительности. До конца 2025 г. планируется внедрить усовершенствованные механизмы защиты системы и подключаемых устройств, расширить возможности мониторинга и безопасности событий, а также выпустить обновленный сертифицированный дистрибутив версии, одобренной ФСТЭК.
В 2026 г. запланирован запуск специализированного портала безопасности и обновление службы каталогов, а также улучшение поиска файлов и расширение функционала сертифицированной версии. К 2027 г. компания планирует обновить механизм бесшовной миграции на новые версии, расширить интеграцию с ПО сторонних производителей и продолжить развитие систем защиты и мониторинга безопасности.
Офисный пакет «АльтерОфис» также будет постепенно совершенствоваться. До конца 2025 г. пользователи получат расширенные возможности шифрования и создания писем, а также улучшенные настройки групповых политик. Ожидается запуск веб-версии редакторов. В пакет будет добавлена новая среда разработки макросов на Python, она упростит процесс автоматизации задач. Все эти улучшения направлены на повышение стабильности и удобства работы.
В 2026 г. «АЛМИ Партнер» планирует расширить поддержку дополнительных операционных систем, оптимизировать производительность редакторов и сделать их доступными для домашних компьютеров, а также внедрить функции ИИ-ассистентов. Запланированы улучшения интерфейса «АМэйл» и расширение функционала сертифицированной версии. К 2027 г. появится поддержка плагинов и новых пользовательских тем в редакторах, будет расширено применение искусственного интеллекта, а также доработан функционал сертифицированной ФСТЭК версии продукта.
CNews.ru
«АЛМИ Партнер» представила стратегическую дорожную карту развития «АльтерОС» и «АльтерОфис» до 2027 года - CNews
Компания «АЛМИ Партнер» представила стратегическую дорожную карту развития ключевых продуктов — операционной...
Хакеры показали, как легко взломать инфраструктуру Burger King и других сетей RBI
16 сентября. / CYBER MEDIA /. Корпорация Restaurant Brands International, которая управляет Burger King, Popeyes и Tim Hortons, стала примером того, как огромная сеть может рухнуть на элементарных ошибках в коде. Два исследователя под псевдонимами BobDaHacker и BobTheShoplifter доказали: для взлома внутренних сервисов RBI не нужны суперкомпьютеры и сложные эксплойты, достаточно чуть-чуть настойчивости и логина «admin».
Главная уязвимость выглядела почти абсурдно. Через API можно было выдавать себе права администратора без всякой аутентификации. Внутренняя база ресторанов открывалась без сопротивления, а вместе с ней — данные сотрудников и настройки оборудования. Нашлись и страницы для диагностики с паролем, зашитым прямо в код. Более того, сайт для заказа техники позволял оформить поставку планшетов и комплектов оборудования, потому что пароль там тоже лежал в открытом HTML.
Но самое неприятное скрывалось не в каталогах и не в коде. Исследователи смогли получить доступ к аудиозаписям реальных заказов в drive-thru. Это именно те файлы, что использовались для анализа качества сервиса и обучения искусственного интеллекта. На плёнках — голоса клиентов, детали заказов, иногда личная информация. И всё это можно было прослушать со стороны, словно подслушиваешь разговор в окне ресторана.
В довесок обнаружился ещё один штрих: система отзывов о туалетах. Любой желающий мог оставить «оценку» от имени любого ресторана — никакой проверки не было. Исследователи уверяют, что не собирали пользовательские данные и сообщили о находках в рамках ответственного раскрытия. Но компания, по их словам, не только не поблагодарила, но и поспешила удалить отчёт с подробностями. В итоге уязвимости остались в памяти специалистов, а у RBI — неприятная репутационная отметка.
16 сентября. / CYBER MEDIA /. Корпорация Restaurant Brands International, которая управляет Burger King, Popeyes и Tim Hortons, стала примером того, как огромная сеть может рухнуть на элементарных ошибках в коде. Два исследователя под псевдонимами BobDaHacker и BobTheShoplifter доказали: для взлома внутренних сервисов RBI не нужны суперкомпьютеры и сложные эксплойты, достаточно чуть-чуть настойчивости и логина «admin».
Главная уязвимость выглядела почти абсурдно. Через API можно было выдавать себе права администратора без всякой аутентификации. Внутренняя база ресторанов открывалась без сопротивления, а вместе с ней — данные сотрудников и настройки оборудования. Нашлись и страницы для диагностики с паролем, зашитым прямо в код. Более того, сайт для заказа техники позволял оформить поставку планшетов и комплектов оборудования, потому что пароль там тоже лежал в открытом HTML.
Но самое неприятное скрывалось не в каталогах и не в коде. Исследователи смогли получить доступ к аудиозаписям реальных заказов в drive-thru. Это именно те файлы, что использовались для анализа качества сервиса и обучения искусственного интеллекта. На плёнках — голоса клиентов, детали заказов, иногда личная информация. И всё это можно было прослушать со стороны, словно подслушиваешь разговор в окне ресторана.
В довесок обнаружился ещё один штрих: система отзывов о туалетах. Любой желающий мог оставить «оценку» от имени любого ресторана — никакой проверки не было. Исследователи уверяют, что не собирали пользовательские данные и сообщили о находках в рамках ответственного раскрытия. Но компания, по их словам, не только не поблагодарила, но и поспешила удалить отчёт с подробностями. В итоге уязвимости остались в памяти специалистов, а у RBI — неприятная репутационная отметка.
securitymedia.org
Хакеры показали, как легко взломать инфраструктуру Burger King и других сетей RBI
Корпорация Restaurant Brands International, которая управляет Burger King, Popeyes и Tim Hortons, стала примером того, как огромная сеть может рухнуть на элементарных ошибках в коде
Эксперты нашли 224 вредоносных приложения в Google Play. Вы ведь не устанавливали их, верно?
17 сентября. / SecurityLab /. Масштабная схема рекламного мошенничества под названием SlopAds скрывалась за витриной из сотен «безобидных» Android-приложений и разрослась до мировых масштабов. На днях команда Satori компании HUMAN описала , как 224 программы набрали суммарно 38 млн установок в 228 странах и территориях и в пике генерировали до 2,3 млрд заявок на участие в рекламных аукционах в сутки. Google удалил все обнаруженные приложения из Play, но сама тактика заслуживает отдельного разбора — она показывает, насколько изощрёнными стали мошеннические схемы с кликами и показами .
Сборка построена на условном запуске вредоносного поведения. После инсталляции приложение обращается к SDK атрибуции мобильного маркетинга и выясняет источник установки — органический переход из Play или попадание в магазин по рекламному объявлению. Только во втором случае включается мошенническое поведение: программа подтягивает с управляющего сервера модуль под названием FatModule, а при «чистом» источнике ведёт себя так, как описано на странице магазина. Такой фильтр создаёт для операторов схемы удобную обратную связь — риск наткнуться на анализ ниже, а фальшивый трафик тонет в легитимных кампаниях.
Доставка FatModule реализована нетривиально. Приложение получает четыре PNG-изображения, внутри которых стеганографически спрятаны части APK-файла. Компоненты расшифровываются и собираются на устройстве, после чего модуль собирает сведения об окружении — параметры девайса и браузера — и разворачивает невидимую активность в скрытых WebView: открывает страницы, прокручивает, инициирует клики и показ рекламы. Одним из способов монетизации выступают игровые и новостные сайты, где показ объявлений идёт крайне часто; пока невидимое окно не закрыто, счётчик показов и кликов растёт.
Сеть поддерживающих доменов выстроена в несколько уровней. Продвигающие приложения площадки сходятся на узле «ad2.cc», который выполняет роль Tier-2 C2. Всего выявлено порядка 300 доменных имён, связанных с распространением и управлением. На управляющем сервере исследователи нашли ИИ-сервисы с «говорящими» названиями — StableDiffusion, AIGuide, ChatGLM, — что намекает на конвейерный характер производства контента и приложений. По данным HUMAN, основной поток трафика приходился на США — около 30%, затем следовали Индия — 10% и Бразилия — 7%.
Схема дополнительно маскируется за счёт многоуровневой обфускации, а условное выполнение по источнику установки делает отладку затруднительной. В результате рекламные платформы и антифрод-системы получают смесь реальных и поддельных сигналов, где второй тип намеренно запускается лишь тогда, когда вероятность присутствия аналитика минимальна.
17 сентября. / SecurityLab /. Масштабная схема рекламного мошенничества под названием SlopAds скрывалась за витриной из сотен «безобидных» Android-приложений и разрослась до мировых масштабов. На днях команда Satori компании HUMAN описала , как 224 программы набрали суммарно 38 млн установок в 228 странах и территориях и в пике генерировали до 2,3 млрд заявок на участие в рекламных аукционах в сутки. Google удалил все обнаруженные приложения из Play, но сама тактика заслуживает отдельного разбора — она показывает, насколько изощрёнными стали мошеннические схемы с кликами и показами .
Сборка построена на условном запуске вредоносного поведения. После инсталляции приложение обращается к SDK атрибуции мобильного маркетинга и выясняет источник установки — органический переход из Play или попадание в магазин по рекламному объявлению. Только во втором случае включается мошенническое поведение: программа подтягивает с управляющего сервера модуль под названием FatModule, а при «чистом» источнике ведёт себя так, как описано на странице магазина. Такой фильтр создаёт для операторов схемы удобную обратную связь — риск наткнуться на анализ ниже, а фальшивый трафик тонет в легитимных кампаниях.
Доставка FatModule реализована нетривиально. Приложение получает четыре PNG-изображения, внутри которых стеганографически спрятаны части APK-файла. Компоненты расшифровываются и собираются на устройстве, после чего модуль собирает сведения об окружении — параметры девайса и браузера — и разворачивает невидимую активность в скрытых WebView: открывает страницы, прокручивает, инициирует клики и показ рекламы. Одним из способов монетизации выступают игровые и новостные сайты, где показ объявлений идёт крайне часто; пока невидимое окно не закрыто, счётчик показов и кликов растёт.
Сеть поддерживающих доменов выстроена в несколько уровней. Продвигающие приложения площадки сходятся на узле «ad2.cc», который выполняет роль Tier-2 C2. Всего выявлено порядка 300 доменных имён, связанных с распространением и управлением. На управляющем сервере исследователи нашли ИИ-сервисы с «говорящими» названиями — StableDiffusion, AIGuide, ChatGLM, — что намекает на конвейерный характер производства контента и приложений. По данным HUMAN, основной поток трафика приходился на США — около 30%, затем следовали Индия — 10% и Бразилия — 7%.
Схема дополнительно маскируется за счёт многоуровневой обфускации, а условное выполнение по источнику установки делает отладку затруднительной. В результате рекламные платформы и антифрод-системы получают смесь реальных и поддельных сигналов, где второй тип намеренно запускается лишь тогда, когда вероятность присутствия аналитика минимальна.
Инженер Яндекса помог закрыть опасную уязвимость в Chromium
17 сентября. / ANTI-MALWARE /. Инженер по информационной безопасности «Яндекса» нашёл и помог исправить серьёзную уязвимость в проекте Chromium — на его базе работают такие браузеры, как Google Chrome, Microsoft Edge и Яндекс Браузер.
Баг обнаружили в движке V8, который отвечает за работу JavaScript в браузере. Уязвимость могла стать частью сложных атак, позволяя злоумышленникам выполнять нежелательные действия через браузер.
Инженер «Яндекса» не только нашёл ошибку, но и предложил вариант исправления. Google включила его в обновление движка, выпущенное в сентябре.
Важно, что Яндекс Браузер уязвимости не содержал — там использовалась версия V8 без ошибки. Теперь в продукте будут доступны обновления с уже исправленным кодом.
В компании напоминают, что они регулярно выпускают патчи безопасности для браузера, не дожидаясь глобальных апдейтов Chromium. Это помогает быстрее закрывать потенциальные угрозы и защищать пользователей.
17 сентября. / ANTI-MALWARE /. Инженер по информационной безопасности «Яндекса» нашёл и помог исправить серьёзную уязвимость в проекте Chromium — на его базе работают такие браузеры, как Google Chrome, Microsoft Edge и Яндекс Браузер.
Баг обнаружили в движке V8, который отвечает за работу JavaScript в браузере. Уязвимость могла стать частью сложных атак, позволяя злоумышленникам выполнять нежелательные действия через браузер.
Инженер «Яндекса» не только нашёл ошибку, но и предложил вариант исправления. Google включила его в обновление движка, выпущенное в сентябре.
Важно, что Яндекс Браузер уязвимости не содержал — там использовалась версия V8 без ошибки. Теперь в продукте будут доступны обновления с уже исправленным кодом.
В компании напоминают, что они регулярно выпускают патчи безопасности для браузера, не дожидаясь глобальных апдейтов Chromium. Это помогает быстрее закрывать потенциальные угрозы и защищать пользователей.
Anti-Malware
Инженер Яндекса помог закрыть опасную уязвимость в Chromium
Инженер по информационной безопасности «Яндекса» нашёл и помог исправить серьёзную уязвимость в проекте Chromium — на его базе работают такие браузеры, как Google Chrome, Microsoft Edge и Яндекс