Форум XSS оказался под контролем украинца и спецслужб Киева
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак
10 сентября. / SecurityLab /. В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.
Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.
Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.
Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.
В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.
Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.
Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на ЭТОЙ странице.
10 сентября. / SecurityLab /. В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.
Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.
Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.
Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.
В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.
Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.
Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на ЭТОЙ странице.
SecurityLab.ru
Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак
Не только Microsoft в огне, весь IT-мир встал на защиту.
Импортозамещение АРМ: Tera стала дистрибьютором офисного пакета «АльтерОфис» с сертификатом ФСТЭК
10 сентября. / C.NEWS /. Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения, и Tera, дистрибьютор ИТ-оборудования для бизнеса, объявляют о заключении партнерского соглашения. Основным направлением сотрудничества станет коммерческое продвижение продуктов «АЛМИ Партнер»: операционной системы «АльтерОС», офисного пакета «АльтерОфис», а также платформ для совместной работы «АльтерСофт ВебПоинт Сервер» и «АльтерСофт Проджект Сервер». Об этом CNews сообщили представители Tera.
В состав версии «АльтерОфис», сертифицированной ФСТЭК, входят: текстовый редактор «АТекст»; табличный редактор «АТаблица»; редактор презентаций «АКонцепт»; редактор векторной графики «АГраф».
Продукт полностью совместим с основными сертифицированными российскими ОС, включая «АльтерОС», Astra Linux Special Edition, «Альт 8 СП» и «Ред ОС».
«Для Tera партнерство с "АЛМИ Партнер" — это стратегически важный шаг в расширении портфолио программных решений. Сертифицированный пакет "АльтерОфис" с четвертым уровнем доверия ФСТЭК России позволяет нашим партнерам предлагать клиентам надежное решение для задач импортозамещения, соответствующее строгим требованиям информационной безопасности. Мы видим большой потенциал в совместной работе и готовы обеспечить комплексную техническую поддержку и развитие продукта для наших общих клиентов», — сказала Юлиана Павлова, старший продакт-менеджер департамента программного обеспечения Tera.
«Партнерство с компанией Tera открывает новые горизонты для продвижения наших продуктов и позволяет расширить географию присутствия "АЛМИ Партнер". Для нас крайне важно выстраивать сильные партнёрские отношения, которые обеспечивают нашим клиентам доступ к решениям отечественного производства с высоким уровнем сервиса и поддержки. Совместно с Tera мы сможем ускорить внедрение наших программных продуктов в крупнейших компаниях и государственных организациях по всей стране, гарантируя качество и своевременность поставок», — сказала Светлана Спирина, коммерческий директор компании «АЛМИ Партнер».
В рамках стратегии развития «АЛМИ Партнер» нацелена на создание комплексной экосистемы решений, которая объединит операционную систему, офисный пакет и платформы для совместной работы. Компания планирует не только расширять функциональные возможности этих продуктов, но и обеспечивать максимальную совместимость с различными ИТ-инфраструктурами российских компаний и госструктур.
Особое внимание уделяется удобству пользователей, безопасности и технологическому лидерству с учетом растущих требований цифровой трансформации. Параллельно компания инвестирует в развитие партнерской сети и образовательных программ, чтобы обеспечить качественную поддержку решений и сделать переход на отечественное ПО максимально простым и эффективным для заказчиков.
10 сентября. / C.NEWS /. Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения, и Tera, дистрибьютор ИТ-оборудования для бизнеса, объявляют о заключении партнерского соглашения. Основным направлением сотрудничества станет коммерческое продвижение продуктов «АЛМИ Партнер»: операционной системы «АльтерОС», офисного пакета «АльтерОфис», а также платформ для совместной работы «АльтерСофт ВебПоинт Сервер» и «АльтерСофт Проджект Сервер». Об этом CNews сообщили представители Tera.
В состав версии «АльтерОфис», сертифицированной ФСТЭК, входят: текстовый редактор «АТекст»; табличный редактор «АТаблица»; редактор презентаций «АКонцепт»; редактор векторной графики «АГраф».
Продукт полностью совместим с основными сертифицированными российскими ОС, включая «АльтерОС», Astra Linux Special Edition, «Альт 8 СП» и «Ред ОС».
«Для Tera партнерство с "АЛМИ Партнер" — это стратегически важный шаг в расширении портфолио программных решений. Сертифицированный пакет "АльтерОфис" с четвертым уровнем доверия ФСТЭК России позволяет нашим партнерам предлагать клиентам надежное решение для задач импортозамещения, соответствующее строгим требованиям информационной безопасности. Мы видим большой потенциал в совместной работе и готовы обеспечить комплексную техническую поддержку и развитие продукта для наших общих клиентов», — сказала Юлиана Павлова, старший продакт-менеджер департамента программного обеспечения Tera.
«Партнерство с компанией Tera открывает новые горизонты для продвижения наших продуктов и позволяет расширить географию присутствия "АЛМИ Партнер". Для нас крайне важно выстраивать сильные партнёрские отношения, которые обеспечивают нашим клиентам доступ к решениям отечественного производства с высоким уровнем сервиса и поддержки. Совместно с Tera мы сможем ускорить внедрение наших программных продуктов в крупнейших компаниях и государственных организациях по всей стране, гарантируя качество и своевременность поставок», — сказала Светлана Спирина, коммерческий директор компании «АЛМИ Партнер».
В рамках стратегии развития «АЛМИ Партнер» нацелена на создание комплексной экосистемы решений, которая объединит операционную систему, офисный пакет и платформы для совместной работы. Компания планирует не только расширять функциональные возможности этих продуктов, но и обеспечивать максимальную совместимость с различными ИТ-инфраструктурами российских компаний и госструктур.
Особое внимание уделяется удобству пользователей, безопасности и технологическому лидерству с учетом растущих требований цифровой трансформации. Параллельно компания инвестирует в развитие партнерской сети и образовательных программ, чтобы обеспечить качественную поддержку решений и сделать переход на отечественное ПО максимально простым и эффективным для заказчиков.
CNews.ru
Импортозамещение АРМ: Tera стала дистрибьютором офисного пакета «АльтерОфис» с сертификатом ФСТЭК - CNews
Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения...
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
11 сентября. / ANTI - MALWARE /. В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.
Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.
Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).
Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.
В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.
Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.
Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.
11 сентября. / ANTI - MALWARE /. В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.
Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.
Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).
Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.
В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.
Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.
Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.
Anti-Malware
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90
Т-Банк аттестовал биометрические сервисы на соответствие требованиям ФСТЭК
11 сентября. / РИА Новости /. Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора, хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе, сообщает банк.
В набор биометрических сервисов Т-Банка входят биоэквайринг - технология бесконтактной оплаты покупок с помощью биометрии, доступ к сервисам банка в банкоматах с биометрической аутентификацией, система биометрического контроля доступа для прохода в офисы, выездной сбор данных для внесения в Единую биометрическую систему (ЕБС), а также биометрическая аутентификация в мобильном приложении (0+).
Как отметили в банке, биометрическая идентификация - один из самых безопасных и удобных способов подтверждения личности. Банк получает только уникальный цифровой код — биометрический вектор, а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы. Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам.
11 сентября. / РИА Новости /. Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора, хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе, сообщает банк.
В набор биометрических сервисов Т-Банка входят биоэквайринг - технология бесконтактной оплаты покупок с помощью биометрии, доступ к сервисам банка в банкоматах с биометрической аутентификацией, система биометрического контроля доступа для прохода в офисы, выездной сбор данных для внесения в Единую биометрическую систему (ЕБС), а также биометрическая аутентификация в мобильном приложении (0+).
Как отметили в банке, биометрическая идентификация - один из самых безопасных и удобных способов подтверждения личности. Банк получает только уникальный цифровой код — биометрический вектор, а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы. Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам.
РИА Новости
Т-Банк получил комплексную аттестацию на свои биометрические сервисы
Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора,... РИА Новости, 11.09.2025
В Москве пройдет BIS Summit 2025
12 сентября. /ТАСС/. В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 (18+).
Свое участие подтвердили представители Банка России, Госдумы, Минпромторга России, Минцифры России, Минэнерго России, Московской биржи, НКЦКИ, Роскомнадзора и ФСТЭК России. Тема события - "Технологический суверенитет: новая эра ответственности".
Конференция откроется пленарной сессией "Диалог с регулятором", модератором которой выступит президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская. Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры, а также обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений.
"В России IT-рынок развивался снизу, то есть предприниматели создавали компании, далее эти компании занимались продажей чего-либо или создавали свои собственные продукты, в результате чего сформировался практически нерегулируемый рынок. Примерно с 2015 года к IT-компаниям и продуктам стали применять все больше требований, и, с одной стороны, это правильно, но при этом снижается конкуренция, так как появляется большое количество новых вводных. Возникает вопрос, как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке, чтобы продукты оставались качественными и у заказчиков был выбор. На саммите вместе с регуляторами и представителями ИТ- и ИБ- компаний мы обсудим, где должны пролегать эти границы, как пройти между Сциллой и Харибдой, чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT-рынка", - поделилась Наталья Касперская.
12 сентября. /ТАСС/. В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 (18+).
Свое участие подтвердили представители Банка России, Госдумы, Минпромторга России, Минцифры России, Минэнерго России, Московской биржи, НКЦКИ, Роскомнадзора и ФСТЭК России. Тема события - "Технологический суверенитет: новая эра ответственности".
Конференция откроется пленарной сессией "Диалог с регулятором", модератором которой выступит президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская. Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры, а также обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений.
"В России IT-рынок развивался снизу, то есть предприниматели создавали компании, далее эти компании занимались продажей чего-либо или создавали свои собственные продукты, в результате чего сформировался практически нерегулируемый рынок. Примерно с 2015 года к IT-компаниям и продуктам стали применять все больше требований, и, с одной стороны, это правильно, но при этом снижается конкуренция, так как появляется большое количество новых вводных. Возникает вопрос, как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке, чтобы продукты оставались качественными и у заказчиков был выбор. На саммите вместе с регуляторами и представителями ИТ- и ИБ- компаний мы обсудим, где должны пролегать эти границы, как пройти между Сциллой и Харибдой, чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT-рынка", - поделилась Наталья Касперская.
TACC
В Москве пройдет BIS Summit 2025
Тема мероприятия - "Технологический суверенитет: новая эра ответственности"
Secure Boot пал в четвёртый раз. HybridPetya обходит главную защиту современных ПК
13 сентября. / SecurityLab /. Исследователи из компании ESET сообщили о появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей — установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: «0» — готово к шифрованию, «1» — диск уже зашифрован, «2» — выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл \EFI\Microsoft\Boot\verify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение «2». Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление «синего экрана». Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованным независимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.
13 сентября. / SecurityLab /. Исследователи из компании ESET сообщили о появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей — установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: «0» — готово к шифрованию, «1» — диск уже зашифрован, «2» — выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл \EFI\Microsoft\Boot\verify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение «2». Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление «синего экрана». Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованным независимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.
Красивая иконка оказалась приманкой. Разработчик Ethereum потерял всё за один клик
15 сентября. / SecurityLab /. Хакерская группа WhiteCobra развернула масштабную атаку против пользователей популярных редакторов кода VS Code, Cursor и Windsurf. Исследователи из компании Koi Security обнаружили 24 вредоносных расширения , размещённых в официальных репозиториях Visual Studio Marketplace и Open VSX. Несмотря на удаление части из них, злоумышленники продолжают загружать новые версии, поддерживая кампанию в активном состоянии.
Одним из пострадавших стал разработчик Ethereum Зак Коул, чей криптокошелёк оказался опустошён после установки дополнения contractshark.solidity-lang для редактора Cursor. Расширение выглядело вполне правдоподобно: у него был профессионально оформленный значок, подробное описание и десятки тысяч скачиваний.
Подобная маскировка позволила WhiteCobra привлечь внимание большого числа пользователей. При этом ранее та же группировка уже была замечена в июльском эпизоде кражи криптовалюты на сумму около полумиллиона долларов, когда они распространяли поддельное расширение для Cursor.
Атака эксплуатирует уязвимость самой экосистемы: единый формат пакетов VSIX используется сразу в нескольких редакторах, а проверка загружаемых дополнений остаётся минимальной. Это позволяет злоумышленникам быстро адаптировать и масштабировать кампанию.
Koi Security отмечает, что каждое из созданных расширений имитирует легальные проекты, копируя названия и описание. В списке выявленных фиктивных пакетов оказались ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Ethereum.solidity-ethereum и многие другие. Их можно было встретить как в Open-VSX, так и в VS Code Marketplace.
Технически вредоносные дополнения устроены достаточно просто. Основной файл extension.js почти полностью повторяет шаблон «Hello World», но содержит скрытый вызов к другому скрипту — prompt.js. Он, в свою очередь, загружает полезную нагрузку с серверов Cloudflare Pages. Для Windows поставляется PowerShell-скрипт, запускающий Python-код и внедряющий шелл-код, после чего активируется LummaStealer — известный троян для кражи данных. Он нацелен на криптовалютные кошельки, браузерные расширения, сохранённые пароли и переписку в мессенджерах. На macOS используется бинарный файл Mach-O для ARM и Intel, загружающий другой, пока не классифицированный, вредонос .
В распоряжении специалистов оказался внутренний плейбук WhiteCobra, где подробно описаны финансовые цели кампаний, методы продвижения поддельных расширений и инструкции по развёртыванию инфраструктуры управления. Судя по этим данным, группировка действует организованно и может запускать новые волны атак всего за три часа после блокировки предыдущих. В документах фигурируют суммы от 10 тысяч до полумиллиона долларов, которые преступники планируют получить за одну серию операций.
Специалисты подчёркивают, что привычные ориентиры вроде количества скачиваний, положительных отзывов и рейтинга больше не являются надёжным индикатором безопасности. Эти показатели легко накручиваются, а поддельные проекты нередко копируют имена известных разработчиков или организаций. Поэтому рекомендуется внимательно проверять расширения перед установкой, обращать внимание на подозрительные совпадения в названиях и остерегаться проектов, которые за короткое время набрали десятки тысяч загрузок.
WhiteCobra наглядно продемонстрировала слабые места в экосистеме VS Code и совместимых редакторов, где отсутствие строгой модерации позволяет внедрять вредоносные дополнения, маскируя их под популярные инструменты. Для пользователей это означает необходимость дополнительной осторожности, ведь даже привычный рабочий инструмент может оказаться каналом для кражи криптовалюты и учётных данных.
15 сентября. / SecurityLab /. Хакерская группа WhiteCobra развернула масштабную атаку против пользователей популярных редакторов кода VS Code, Cursor и Windsurf. Исследователи из компании Koi Security обнаружили 24 вредоносных расширения , размещённых в официальных репозиториях Visual Studio Marketplace и Open VSX. Несмотря на удаление части из них, злоумышленники продолжают загружать новые версии, поддерживая кампанию в активном состоянии.
Одним из пострадавших стал разработчик Ethereum Зак Коул, чей криптокошелёк оказался опустошён после установки дополнения contractshark.solidity-lang для редактора Cursor. Расширение выглядело вполне правдоподобно: у него был профессионально оформленный значок, подробное описание и десятки тысяч скачиваний.
Подобная маскировка позволила WhiteCobra привлечь внимание большого числа пользователей. При этом ранее та же группировка уже была замечена в июльском эпизоде кражи криптовалюты на сумму около полумиллиона долларов, когда они распространяли поддельное расширение для Cursor.
Атака эксплуатирует уязвимость самой экосистемы: единый формат пакетов VSIX используется сразу в нескольких редакторах, а проверка загружаемых дополнений остаётся минимальной. Это позволяет злоумышленникам быстро адаптировать и масштабировать кампанию.
Koi Security отмечает, что каждое из созданных расширений имитирует легальные проекты, копируя названия и описание. В списке выявленных фиктивных пакетов оказались ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Ethereum.solidity-ethereum и многие другие. Их можно было встретить как в Open-VSX, так и в VS Code Marketplace.
Технически вредоносные дополнения устроены достаточно просто. Основной файл extension.js почти полностью повторяет шаблон «Hello World», но содержит скрытый вызов к другому скрипту — prompt.js. Он, в свою очередь, загружает полезную нагрузку с серверов Cloudflare Pages. Для Windows поставляется PowerShell-скрипт, запускающий Python-код и внедряющий шелл-код, после чего активируется LummaStealer — известный троян для кражи данных. Он нацелен на криптовалютные кошельки, браузерные расширения, сохранённые пароли и переписку в мессенджерах. На macOS используется бинарный файл Mach-O для ARM и Intel, загружающий другой, пока не классифицированный, вредонос .
В распоряжении специалистов оказался внутренний плейбук WhiteCobra, где подробно описаны финансовые цели кампаний, методы продвижения поддельных расширений и инструкции по развёртыванию инфраструктуры управления. Судя по этим данным, группировка действует организованно и может запускать новые волны атак всего за три часа после блокировки предыдущих. В документах фигурируют суммы от 10 тысяч до полумиллиона долларов, которые преступники планируют получить за одну серию операций.
Специалисты подчёркивают, что привычные ориентиры вроде количества скачиваний, положительных отзывов и рейтинга больше не являются надёжным индикатором безопасности. Эти показатели легко накручиваются, а поддельные проекты нередко копируют имена известных разработчиков или организаций. Поэтому рекомендуется внимательно проверять расширения перед установкой, обращать внимание на подозрительные совпадения в названиях и остерегаться проектов, которые за короткое время набрали десятки тысяч загрузок.
WhiteCobra наглядно продемонстрировала слабые места в экосистеме VS Code и совместимых редакторов, где отсутствие строгой модерации позволяет внедрять вредоносные дополнения, маскируя их под популярные инструменты. Для пользователей это означает необходимость дополнительной осторожности, ведь даже привычный рабочий инструмент может оказаться каналом для кражи криптовалюты и учётных данных.
SecurityLab.ru
Красивая иконка оказалась приманкой. Разработчик Ethereum потерял всё за один клик
Хакеры WhiteCobra превратили редакторы кода в орудие массового поражения.
SVG-картинки превратились в оружие - через них распространяют XWorm и Remcos RAT
15 сентября. / CYBER MEDIA /. Исследователи в области кибербезопасности зафиксировали новые кампании по распространению вредоносного ПО, в которых впервые активно используются SVG-файлы как вектор атаки. Под видом изображений жертвам подсовывают заражённые файлы, внутри которых спрятан JavaScript-код. Он автоматически скачивает ZIP-архив с загрузчиком, запускающим цепочку инфицирования.
В основе схемы лежит BAT-скрипт с многоуровневой обфускацией. После запуска он активирует PowerShell-загрузчик, который выполняет внедрение вредоносного кода прямо в память, обходя антивирусы и системы обнаружения. Для закрепления троян копирует себя в автозагрузку Windows, обеспечивая повторный запуск при каждом включении компьютера.
Ключевой особенностью атак стало отключение системных механизмов безопасности Windows. Загрузчик модифицирует в памяти функции AMSI и ETW, отвечающие за сканирование и логирование, превращая их в «пустышки». После этого он расшифровывает скрытые в BAT-файле .NET-модули и запускает основные полезные нагрузки — XWorm и Remcos RAT.
Оба семейства RAT обладают широким спектром функций: от кейлоггинга и кражи файлов до удалённого управления системой и снятия скриншотов. В сочетании с нестандартной доставкой через SVG такие атаки становятся особенно опасными. Эксперты советуют компаниям усиливать проверку вложений любых форматов, отслеживать аномалии в работе PowerShell и внедрять решения, способные выявлять вредоносные процессы при выполнении в памяти.
15 сентября. / CYBER MEDIA /. Исследователи в области кибербезопасности зафиксировали новые кампании по распространению вредоносного ПО, в которых впервые активно используются SVG-файлы как вектор атаки. Под видом изображений жертвам подсовывают заражённые файлы, внутри которых спрятан JavaScript-код. Он автоматически скачивает ZIP-архив с загрузчиком, запускающим цепочку инфицирования.
В основе схемы лежит BAT-скрипт с многоуровневой обфускацией. После запуска он активирует PowerShell-загрузчик, который выполняет внедрение вредоносного кода прямо в память, обходя антивирусы и системы обнаружения. Для закрепления троян копирует себя в автозагрузку Windows, обеспечивая повторный запуск при каждом включении компьютера.
Ключевой особенностью атак стало отключение системных механизмов безопасности Windows. Загрузчик модифицирует в памяти функции AMSI и ETW, отвечающие за сканирование и логирование, превращая их в «пустышки». После этого он расшифровывает скрытые в BAT-файле .NET-модули и запускает основные полезные нагрузки — XWorm и Remcos RAT.
Оба семейства RAT обладают широким спектром функций: от кейлоггинга и кражи файлов до удалённого управления системой и снятия скриншотов. В сочетании с нестандартной доставкой через SVG такие атаки становятся особенно опасными. Эксперты советуют компаниям усиливать проверку вложений любых форматов, отслеживать аномалии в работе PowerShell и внедрять решения, способные выявлять вредоносные процессы при выполнении в памяти.
«АЛМИ Партнер» представила стратегическую дорожную карту развития «АльтерОС» и «АльтерОфис» до 2027 года
15 сентября. / C.NEWS /. Компания «АЛМИ Партнер» представила стратегическую дорожную карту развития ключевых продуктов — операционной системы «АльтерОС» и офисного пакета «АльтерОфис» до 2027 г. Об этом CNews сообщили представители «АЛМИ Партнер».
В развитии «АльтерОС» особое внимание уделяется повышению безопасности и производительности. До конца 2025 г. планируется внедрить усовершенствованные механизмы защиты системы и подключаемых устройств, расширить возможности мониторинга и безопасности событий, а также выпустить обновленный сертифицированный дистрибутив версии, одобренной ФСТЭК.
В 2026 г. запланирован запуск специализированного портала безопасности и обновление службы каталогов, а также улучшение поиска файлов и расширение функционала сертифицированной версии. К 2027 г. компания планирует обновить механизм бесшовной миграции на новые версии, расширить интеграцию с ПО сторонних производителей и продолжить развитие систем защиты и мониторинга безопасности.
Офисный пакет «АльтерОфис» также будет постепенно совершенствоваться. До конца 2025 г. пользователи получат расширенные возможности шифрования и создания писем, а также улучшенные настройки групповых политик. Ожидается запуск веб-версии редакторов. В пакет будет добавлена новая среда разработки макросов на Python, она упростит процесс автоматизации задач. Все эти улучшения направлены на повышение стабильности и удобства работы.
В 2026 г. «АЛМИ Партнер» планирует расширить поддержку дополнительных операционных систем, оптимизировать производительность редакторов и сделать их доступными для домашних компьютеров, а также внедрить функции ИИ-ассистентов. Запланированы улучшения интерфейса «АМэйл» и расширение функционала сертифицированной версии. К 2027 г. появится поддержка плагинов и новых пользовательских тем в редакторах, будет расширено применение искусственного интеллекта, а также доработан функционал сертифицированной ФСТЭК версии продукта.
15 сентября. / C.NEWS /. Компания «АЛМИ Партнер» представила стратегическую дорожную карту развития ключевых продуктов — операционной системы «АльтерОС» и офисного пакета «АльтерОфис» до 2027 г. Об этом CNews сообщили представители «АЛМИ Партнер».
В развитии «АльтерОС» особое внимание уделяется повышению безопасности и производительности. До конца 2025 г. планируется внедрить усовершенствованные механизмы защиты системы и подключаемых устройств, расширить возможности мониторинга и безопасности событий, а также выпустить обновленный сертифицированный дистрибутив версии, одобренной ФСТЭК.
В 2026 г. запланирован запуск специализированного портала безопасности и обновление службы каталогов, а также улучшение поиска файлов и расширение функционала сертифицированной версии. К 2027 г. компания планирует обновить механизм бесшовной миграции на новые версии, расширить интеграцию с ПО сторонних производителей и продолжить развитие систем защиты и мониторинга безопасности.
Офисный пакет «АльтерОфис» также будет постепенно совершенствоваться. До конца 2025 г. пользователи получат расширенные возможности шифрования и создания писем, а также улучшенные настройки групповых политик. Ожидается запуск веб-версии редакторов. В пакет будет добавлена новая среда разработки макросов на Python, она упростит процесс автоматизации задач. Все эти улучшения направлены на повышение стабильности и удобства работы.
В 2026 г. «АЛМИ Партнер» планирует расширить поддержку дополнительных операционных систем, оптимизировать производительность редакторов и сделать их доступными для домашних компьютеров, а также внедрить функции ИИ-ассистентов. Запланированы улучшения интерфейса «АМэйл» и расширение функционала сертифицированной версии. К 2027 г. появится поддержка плагинов и новых пользовательских тем в редакторах, будет расширено применение искусственного интеллекта, а также доработан функционал сертифицированной ФСТЭК версии продукта.
CNews.ru
«АЛМИ Партнер» представила стратегическую дорожную карту развития «АльтерОС» и «АльтерОфис» до 2027 года - CNews
Компания «АЛМИ Партнер» представила стратегическую дорожную карту развития ключевых продуктов — операционной...
Хакеры показали, как легко взломать инфраструктуру Burger King и других сетей RBI
16 сентября. / CYBER MEDIA /. Корпорация Restaurant Brands International, которая управляет Burger King, Popeyes и Tim Hortons, стала примером того, как огромная сеть может рухнуть на элементарных ошибках в коде. Два исследователя под псевдонимами BobDaHacker и BobTheShoplifter доказали: для взлома внутренних сервисов RBI не нужны суперкомпьютеры и сложные эксплойты, достаточно чуть-чуть настойчивости и логина «admin».
Главная уязвимость выглядела почти абсурдно. Через API можно было выдавать себе права администратора без всякой аутентификации. Внутренняя база ресторанов открывалась без сопротивления, а вместе с ней — данные сотрудников и настройки оборудования. Нашлись и страницы для диагностики с паролем, зашитым прямо в код. Более того, сайт для заказа техники позволял оформить поставку планшетов и комплектов оборудования, потому что пароль там тоже лежал в открытом HTML.
Но самое неприятное скрывалось не в каталогах и не в коде. Исследователи смогли получить доступ к аудиозаписям реальных заказов в drive-thru. Это именно те файлы, что использовались для анализа качества сервиса и обучения искусственного интеллекта. На плёнках — голоса клиентов, детали заказов, иногда личная информация. И всё это можно было прослушать со стороны, словно подслушиваешь разговор в окне ресторана.
В довесок обнаружился ещё один штрих: система отзывов о туалетах. Любой желающий мог оставить «оценку» от имени любого ресторана — никакой проверки не было. Исследователи уверяют, что не собирали пользовательские данные и сообщили о находках в рамках ответственного раскрытия. Но компания, по их словам, не только не поблагодарила, но и поспешила удалить отчёт с подробностями. В итоге уязвимости остались в памяти специалистов, а у RBI — неприятная репутационная отметка.
16 сентября. / CYBER MEDIA /. Корпорация Restaurant Brands International, которая управляет Burger King, Popeyes и Tim Hortons, стала примером того, как огромная сеть может рухнуть на элементарных ошибках в коде. Два исследователя под псевдонимами BobDaHacker и BobTheShoplifter доказали: для взлома внутренних сервисов RBI не нужны суперкомпьютеры и сложные эксплойты, достаточно чуть-чуть настойчивости и логина «admin».
Главная уязвимость выглядела почти абсурдно. Через API можно было выдавать себе права администратора без всякой аутентификации. Внутренняя база ресторанов открывалась без сопротивления, а вместе с ней — данные сотрудников и настройки оборудования. Нашлись и страницы для диагностики с паролем, зашитым прямо в код. Более того, сайт для заказа техники позволял оформить поставку планшетов и комплектов оборудования, потому что пароль там тоже лежал в открытом HTML.
Но самое неприятное скрывалось не в каталогах и не в коде. Исследователи смогли получить доступ к аудиозаписям реальных заказов в drive-thru. Это именно те файлы, что использовались для анализа качества сервиса и обучения искусственного интеллекта. На плёнках — голоса клиентов, детали заказов, иногда личная информация. И всё это можно было прослушать со стороны, словно подслушиваешь разговор в окне ресторана.
В довесок обнаружился ещё один штрих: система отзывов о туалетах. Любой желающий мог оставить «оценку» от имени любого ресторана — никакой проверки не было. Исследователи уверяют, что не собирали пользовательские данные и сообщили о находках в рамках ответственного раскрытия. Но компания, по их словам, не только не поблагодарила, но и поспешила удалить отчёт с подробностями. В итоге уязвимости остались в памяти специалистов, а у RBI — неприятная репутационная отметка.
securitymedia.org
Хакеры показали, как легко взломать инфраструктуру Burger King и других сетей RBI
Корпорация Restaurant Brands International, которая управляет Burger King, Popeyes и Tim Hortons, стала примером того, как огромная сеть может рухнуть на элементарных ошибках в коде
Эксперты нашли 224 вредоносных приложения в Google Play. Вы ведь не устанавливали их, верно?
17 сентября. / SecurityLab /. Масштабная схема рекламного мошенничества под названием SlopAds скрывалась за витриной из сотен «безобидных» Android-приложений и разрослась до мировых масштабов. На днях команда Satori компании HUMAN описала , как 224 программы набрали суммарно 38 млн установок в 228 странах и территориях и в пике генерировали до 2,3 млрд заявок на участие в рекламных аукционах в сутки. Google удалил все обнаруженные приложения из Play, но сама тактика заслуживает отдельного разбора — она показывает, насколько изощрёнными стали мошеннические схемы с кликами и показами .
Сборка построена на условном запуске вредоносного поведения. После инсталляции приложение обращается к SDK атрибуции мобильного маркетинга и выясняет источник установки — органический переход из Play или попадание в магазин по рекламному объявлению. Только во втором случае включается мошенническое поведение: программа подтягивает с управляющего сервера модуль под названием FatModule, а при «чистом» источнике ведёт себя так, как описано на странице магазина. Такой фильтр создаёт для операторов схемы удобную обратную связь — риск наткнуться на анализ ниже, а фальшивый трафик тонет в легитимных кампаниях.
Доставка FatModule реализована нетривиально. Приложение получает четыре PNG-изображения, внутри которых стеганографически спрятаны части APK-файла. Компоненты расшифровываются и собираются на устройстве, после чего модуль собирает сведения об окружении — параметры девайса и браузера — и разворачивает невидимую активность в скрытых WebView: открывает страницы, прокручивает, инициирует клики и показ рекламы. Одним из способов монетизации выступают игровые и новостные сайты, где показ объявлений идёт крайне часто; пока невидимое окно не закрыто, счётчик показов и кликов растёт.
Сеть поддерживающих доменов выстроена в несколько уровней. Продвигающие приложения площадки сходятся на узле «ad2.cc», который выполняет роль Tier-2 C2. Всего выявлено порядка 300 доменных имён, связанных с распространением и управлением. На управляющем сервере исследователи нашли ИИ-сервисы с «говорящими» названиями — StableDiffusion, AIGuide, ChatGLM, — что намекает на конвейерный характер производства контента и приложений. По данным HUMAN, основной поток трафика приходился на США — около 30%, затем следовали Индия — 10% и Бразилия — 7%.
Схема дополнительно маскируется за счёт многоуровневой обфускации, а условное выполнение по источнику установки делает отладку затруднительной. В результате рекламные платформы и антифрод-системы получают смесь реальных и поддельных сигналов, где второй тип намеренно запускается лишь тогда, когда вероятность присутствия аналитика минимальна.
17 сентября. / SecurityLab /. Масштабная схема рекламного мошенничества под названием SlopAds скрывалась за витриной из сотен «безобидных» Android-приложений и разрослась до мировых масштабов. На днях команда Satori компании HUMAN описала , как 224 программы набрали суммарно 38 млн установок в 228 странах и территориях и в пике генерировали до 2,3 млрд заявок на участие в рекламных аукционах в сутки. Google удалил все обнаруженные приложения из Play, но сама тактика заслуживает отдельного разбора — она показывает, насколько изощрёнными стали мошеннические схемы с кликами и показами .
Сборка построена на условном запуске вредоносного поведения. После инсталляции приложение обращается к SDK атрибуции мобильного маркетинга и выясняет источник установки — органический переход из Play или попадание в магазин по рекламному объявлению. Только во втором случае включается мошенническое поведение: программа подтягивает с управляющего сервера модуль под названием FatModule, а при «чистом» источнике ведёт себя так, как описано на странице магазина. Такой фильтр создаёт для операторов схемы удобную обратную связь — риск наткнуться на анализ ниже, а фальшивый трафик тонет в легитимных кампаниях.
Доставка FatModule реализована нетривиально. Приложение получает четыре PNG-изображения, внутри которых стеганографически спрятаны части APK-файла. Компоненты расшифровываются и собираются на устройстве, после чего модуль собирает сведения об окружении — параметры девайса и браузера — и разворачивает невидимую активность в скрытых WebView: открывает страницы, прокручивает, инициирует клики и показ рекламы. Одним из способов монетизации выступают игровые и новостные сайты, где показ объявлений идёт крайне часто; пока невидимое окно не закрыто, счётчик показов и кликов растёт.
Сеть поддерживающих доменов выстроена в несколько уровней. Продвигающие приложения площадки сходятся на узле «ad2.cc», который выполняет роль Tier-2 C2. Всего выявлено порядка 300 доменных имён, связанных с распространением и управлением. На управляющем сервере исследователи нашли ИИ-сервисы с «говорящими» названиями — StableDiffusion, AIGuide, ChatGLM, — что намекает на конвейерный характер производства контента и приложений. По данным HUMAN, основной поток трафика приходился на США — около 30%, затем следовали Индия — 10% и Бразилия — 7%.
Схема дополнительно маскируется за счёт многоуровневой обфускации, а условное выполнение по источнику установки делает отладку затруднительной. В результате рекламные платформы и антифрод-системы получают смесь реальных и поддельных сигналов, где второй тип намеренно запускается лишь тогда, когда вероятность присутствия аналитика минимальна.
Инженер Яндекса помог закрыть опасную уязвимость в Chromium
17 сентября. / ANTI-MALWARE /. Инженер по информационной безопасности «Яндекса» нашёл и помог исправить серьёзную уязвимость в проекте Chromium — на его базе работают такие браузеры, как Google Chrome, Microsoft Edge и Яндекс Браузер.
Баг обнаружили в движке V8, который отвечает за работу JavaScript в браузере. Уязвимость могла стать частью сложных атак, позволяя злоумышленникам выполнять нежелательные действия через браузер.
Инженер «Яндекса» не только нашёл ошибку, но и предложил вариант исправления. Google включила его в обновление движка, выпущенное в сентябре.
Важно, что Яндекс Браузер уязвимости не содержал — там использовалась версия V8 без ошибки. Теперь в продукте будут доступны обновления с уже исправленным кодом.
В компании напоминают, что они регулярно выпускают патчи безопасности для браузера, не дожидаясь глобальных апдейтов Chromium. Это помогает быстрее закрывать потенциальные угрозы и защищать пользователей.
17 сентября. / ANTI-MALWARE /. Инженер по информационной безопасности «Яндекса» нашёл и помог исправить серьёзную уязвимость в проекте Chromium — на его базе работают такие браузеры, как Google Chrome, Microsoft Edge и Яндекс Браузер.
Баг обнаружили в движке V8, который отвечает за работу JavaScript в браузере. Уязвимость могла стать частью сложных атак, позволяя злоумышленникам выполнять нежелательные действия через браузер.
Инженер «Яндекса» не только нашёл ошибку, но и предложил вариант исправления. Google включила его в обновление движка, выпущенное в сентябре.
Важно, что Яндекс Браузер уязвимости не содержал — там использовалась версия V8 без ошибки. Теперь в продукте будут доступны обновления с уже исправленным кодом.
В компании напоминают, что они регулярно выпускают патчи безопасности для браузера, не дожидаясь глобальных апдейтов Chromium. Это помогает быстрее закрывать потенциальные угрозы и защищать пользователей.
Anti-Malware
Инженер Яндекса помог закрыть опасную уязвимость в Chromium
Инженер по информационной безопасности «Яндекса» нашёл и помог исправить серьёзную уязвимость в проекте Chromium — на его базе работают такие браузеры, как Google Chrome, Microsoft Edge и Яндекс
Названы результаты масштабного тестирования российских решений для управления уязвимостями в 2025 году
18 сентября. / CYBER MEDIA /. Представлены результаты масштабного независимого тестирования актуальных версий российских продуктов по управлению уязвимостями (Vulnerability Management, VM). Исследование, охватившее популярные на рынке решения, провели на базе лаборатории «Инфосистемы Джет».
С помощью открытой методики были протестированы пять продуктов:
🔹Max Patrol VM V.2.8 (27.3);
🔹Security Vision V.5.0.1748968449;
🔹ScanFactory V.6.12.55;
🔹RedCheck V.2.9.1;
🔹Vulns.io Enterprise VM V 1.35.3.
Эксперты провели функциональное тестирование каждого продукта по 94 критериям. Каждое решение проверялось по единому сценарию — от обнаружения уязвимостей до формирования отчетов и интеграции с другими системами безопасности. Эксперты учитывали и ожидания, которые ставятся перед современным требованиям к функционалу и удобству их использования.
Наиболее функциональным признано решение Security Vision — например, в отличие от Max Patrol VM, ScanFactory и Vulns.io Enterprise VM, в нем присутствует интеграция с SIEM в части отправки событий.
В «Инфосистемы Джет» заявляют, что данные тестирования помогут организациям при выборе решений и для дальнейшего проведения пилотных тестов. В процессе тестирования лабораторией еще три продукта, результаты которого также будут опубликованы.
Напомним, портал Cyber Media в 2024 году провел собственное независимое аналитическое сравнение российских продуктов по управлению уязвимостями.
18 сентября. / CYBER MEDIA /. Представлены результаты масштабного независимого тестирования актуальных версий российских продуктов по управлению уязвимостями (Vulnerability Management, VM). Исследование, охватившее популярные на рынке решения, провели на базе лаборатории «Инфосистемы Джет».
С помощью открытой методики были протестированы пять продуктов:
🔹Max Patrol VM V.2.8 (27.3);
🔹Security Vision V.5.0.1748968449;
🔹ScanFactory V.6.12.55;
🔹RedCheck V.2.9.1;
🔹Vulns.io Enterprise VM V 1.35.3.
Эксперты провели функциональное тестирование каждого продукта по 94 критериям. Каждое решение проверялось по единому сценарию — от обнаружения уязвимостей до формирования отчетов и интеграции с другими системами безопасности. Эксперты учитывали и ожидания, которые ставятся перед современным требованиям к функционалу и удобству их использования.
Наиболее функциональным признано решение Security Vision — например, в отличие от Max Patrol VM, ScanFactory и Vulns.io Enterprise VM, в нем присутствует интеграция с SIEM в части отправки событий.
В «Инфосистемы Джет» заявляют, что данные тестирования помогут организациям при выборе решений и для дальнейшего проведения пилотных тестов. В процессе тестирования лабораторией еще три продукта, результаты которого также будут опубликованы.
Напомним, портал Cyber Media в 2024 году провел собственное независимое аналитическое сравнение российских продуктов по управлению уязвимостями.
securitymedia.org
Названы результаты масштабного тестирования российских решений для управления уязвимостями в 2025 году
Представлены результаты масштабного независимого тестирования актуальных версий российских продуктов по управлению уязвимостями (Vulnerability Management, VM). Исследование, охватившее популярные на рынке решения, провели на базе лаборатории «Инфосистемы…
«Лаборатория Касперского»: идёт волна кибератак на отели с использованием ИИ
18 сентября. / C.NEWS /. Летом 2025 г. эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новую волну кибератак группы RevengeHotels. Злоумышленники атакуют информационные системы отелей в разных странах с целью кражи данных банковских карт постояльцев. Группа активна с 2015 г. и с тех пор усовершенствовала свои методы. Отличительной особенностью этой кампании стало то, что многие из новых образцов вредоносного ПО были созданы с применением ИИ.
Основные мишени кибератак — гостиницы в Бразилии, однако цели выявлены и в нескольких испаноговорящих странах — Аргентине, Боливии, Чили, Коста-Рике, Мексике, Испании. В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России, Белоруссии, Турции, Малайзии, Италии и Египте.
Как происходит заражение. Злоумышленники рассылают фишинговые письма, которые маскируются под запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса. Они содержат вложение со ссылкой на вредоносный сайт. Если перейти по ней, на устройство загрузится троянец VenomRAT, позволяющий удалённо контролировать скомпрометированные системы, красть данные банковских карт постояльцев и другую конфиденциальную информацию.
Чтобы не стать жертвой таких атак, «Лаборатория Касперского» рекомендует владельцам и ИТ-отделам отелей: проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, например, с помощью платформы Kaspersky Automated Security Awareness Platform; для комплексной безопасности использовать решение для защиты рабочих мест, например, такое как Kaspersky Security для бизнеса, а в дополнение к нему — специализированный инструмент для корпоративной почты — Kaspersky Security для почтовых серверов, который автоматически будет отправлять подобные письма в спам.
Чтобы защитить свои данные во время поездок и проживания в отелях, «Лаборатория Касперского» рекомендуют пользователям: обращать внимание на репутацию онлайн-ресурсов: при заказе билетов пользоваться проверенными и известными платформами бронирования, сайтами авиакомпаний и отелей; остерегаться незнакомых или подозрительных площадок, предлагающих невероятно низкие цены или требующих предоставления избыточной персональной информации; проверять подлинность сайтов: прежде чем совершать какие-либо операции или предоставлять личные данные, дважды просматривать URL-адрес на наличие безопасного соединения, не вводить свои данные на ресурсах с опечатками или необычными доменными именами; использовать на всех устройствах надёжное защитное решение с защитой от онлайн-мошенничества и фишинга, например, Kaspersky Premium.
18 сентября. / C.NEWS /. Летом 2025 г. эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского») обнаружили новую волну кибератак группы RevengeHotels. Злоумышленники атакуют информационные системы отелей в разных странах с целью кражи данных банковских карт постояльцев. Группа активна с 2015 г. и с тех пор усовершенствовала свои методы. Отличительной особенностью этой кампании стало то, что многие из новых образцов вредоносного ПО были созданы с применением ИИ.
Основные мишени кибератак — гостиницы в Бразилии, однако цели выявлены и в нескольких испаноговорящих странах — Аргентине, Боливии, Чили, Коста-Рике, Мексике, Испании. В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России, Белоруссии, Турции, Малайзии, Италии и Египте.
Как происходит заражение. Злоумышленники рассылают фишинговые письма, которые маскируются под запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса. Они содержат вложение со ссылкой на вредоносный сайт. Если перейти по ней, на устройство загрузится троянец VenomRAT, позволяющий удалённо контролировать скомпрометированные системы, красть данные банковских карт постояльцев и другую конфиденциальную информацию.
Чтобы не стать жертвой таких атак, «Лаборатория Касперского» рекомендует владельцам и ИТ-отделам отелей: проводить тренинги по кибербезопасности для сотрудников, обучать их распознавать техники социальной инженерии, например, с помощью платформы Kaspersky Automated Security Awareness Platform; для комплексной безопасности использовать решение для защиты рабочих мест, например, такое как Kaspersky Security для бизнеса, а в дополнение к нему — специализированный инструмент для корпоративной почты — Kaspersky Security для почтовых серверов, который автоматически будет отправлять подобные письма в спам.
Чтобы защитить свои данные во время поездок и проживания в отелях, «Лаборатория Касперского» рекомендуют пользователям: обращать внимание на репутацию онлайн-ресурсов: при заказе билетов пользоваться проверенными и известными платформами бронирования, сайтами авиакомпаний и отелей; остерегаться незнакомых или подозрительных площадок, предлагающих невероятно низкие цены или требующих предоставления избыточной персональной информации; проверять подлинность сайтов: прежде чем совершать какие-либо операции или предоставлять личные данные, дважды просматривать URL-адрес на наличие безопасного соединения, не вводить свои данные на ресурсах с опечатками или необычными доменными именами; использовать на всех устройствах надёжное защитное решение с защитой от онлайн-мошенничества и фишинга, например, Kaspersky Premium.
CNews.ru
«Лаборатория Касперского»: идёт волна кибератак на отели с использованием ИИ - CNews
Летом 2025 г. эксперты Kaspersky GReAT (Глобального центра исследования и анализа угроз «Лаборатории Касперского»)...
ФСТЭК: стандарт безопасной разработки систем ИИ появится до конца года
19 сентября. / RSpectr /. Об этом на конференции BIS Summit заявил заместитель директора ФСТЭК России Виталий Лютиков.
19 сентября. / RSpectr /. Об этом на конференции BIS Summit заявил заместитель директора ФСТЭК России Виталий Лютиков.
«Мы представим проект стандарта безопасной разработки систем ИИ как дополнение к стандарту безопасной разработки ПО именно в части уязвимостей и угроз, характерных для этих технологий. До конца года появится проект документа, который мы представим экспертному сообществу для обсуждения», – сообщил Виталий Лютиков.
Взломан сайт аэропорта Пулково
19 сентября. / Anti-Malware /. Аэропорт Пулково сообщил о взломе официального сайта. При этом сам аэропорт продолжает работать в штатном режиме. Сначала при заходе на сайт пользователи видели сообщение о технических работах, а позже страница начала перенаправлять на онлайн-табло Яндекса.
Как уточнили в пресс-службе аэропорта, атака не затронула другие системы: приём и отправка рейсов проходит без сбоев.
19 сентября. / Anti-Malware /. Аэропорт Пулково сообщил о взломе официального сайта. При этом сам аэропорт продолжает работать в штатном режиме. Сначала при заходе на сайт пользователи видели сообщение о технических работах, а позже страница начала перенаправлять на онлайн-табло Яндекса.
«Сайт аэропорта Пулково сегодня был взломан. Его работа на данный момент ограничена. Приносим извинения за временные неудобства. Ведутся работы по восстановлению», — сообщили в телеграм-канале Пулково.
Как уточнили в пресс-службе аэропорта, атака не затронула другие системы: приём и отправка рейсов проходит без сбоев.
«Взлом сайта — это не взлом компании. Да, подобные случаи заметны и сразу попадают в новости, но сам сайт — лишь точка входа. Если инфраструктура выстроена правильно, дальше дело не пойдёт. Обычно сайты размещаются в изолированной среде и имеют только необходимые подключения к внешним сервисам. Поэтому пока причин для паники нет», — прокомментировал ТАСС Сергей Полунин, глава группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».
Простои заводов и $300 млрд в труху: Германия в осаде киберпреступников
20 сентября. / SecurityLab /. Кибератаки, исходящие не только от преступных группировок, но и от иностранных разведок, нанесли немецкой экономике почти 300 миллиардов евро ущерба за последний год. К такому выводу пришёл отраслевой союз Bitkom, опросивший около тысячи компаний. По их данным, предприятия всё чаще сталкиваются с целенаправленными атаками, и всё чаще за ними стоят государственные структуры.
Почти половина организаций, которым удалось отследить источник взломов, заявили о следах, ведущих в Китай. Ещё около четверти указали на страны ЕС и США. Наибольший урон наносит вымогательское ПО: если в 2022 году его жертвами становились 12% компаний, то в 2025-м этот показатель вырос до 34%. Каждое седьмое предприятие признало, что выплатило выкуп за разблокировку данных.
Крупные корпорации лучше подготовлены к противодействию таким угрозам, тогда как малый и средний бизнес, являющийся опорой немецкой экономики, зачастую остаётся уязвимым. Из общей суммы потерь в 289,2 миллиарда евро основная часть пришлась на прямые убытки — простои производства и хищения, значимыми оказались также расходы на юристов и восстановление инфраструктуры.
Заместитель руководителя Федерального ведомства по охране конституции Германии Зинан Селен подчеркнул, что граница между киберпреступностью и кибершпионажем всё сильнее размывается. По его словам, государственные акторы всё чаще покупают на теневых площадках похищенные учётные данные у обычных преступников, а в некоторых случаях напрямую используют возможности частных группировок. К основным источникам атак Зинан Селен также отнёс Иран и Северную Корею.
20 сентября. / SecurityLab /. Кибератаки, исходящие не только от преступных группировок, но и от иностранных разведок, нанесли немецкой экономике почти 300 миллиардов евро ущерба за последний год. К такому выводу пришёл отраслевой союз Bitkom, опросивший около тысячи компаний. По их данным, предприятия всё чаще сталкиваются с целенаправленными атаками, и всё чаще за ними стоят государственные структуры.
Почти половина организаций, которым удалось отследить источник взломов, заявили о следах, ведущих в Китай. Ещё около четверти указали на страны ЕС и США. Наибольший урон наносит вымогательское ПО: если в 2022 году его жертвами становились 12% компаний, то в 2025-м этот показатель вырос до 34%. Каждое седьмое предприятие признало, что выплатило выкуп за разблокировку данных.
Крупные корпорации лучше подготовлены к противодействию таким угрозам, тогда как малый и средний бизнес, являющийся опорой немецкой экономики, зачастую остаётся уязвимым. Из общей суммы потерь в 289,2 миллиарда евро основная часть пришлась на прямые убытки — простои производства и хищения, значимыми оказались также расходы на юристов и восстановление инфраструктуры.
Заместитель руководителя Федерального ведомства по охране конституции Германии Зинан Селен подчеркнул, что граница между киберпреступностью и кибершпионажем всё сильнее размывается. По его словам, государственные акторы всё чаще покупают на теневых площадках похищенные учётные данные у обычных преступников, а в некоторых случаях напрямую используют возможности частных группировок. К основным источникам атак Зинан Селен также отнёс Иран и Северную Корею.
ФСТЭК готовит правила безопасности для искусственного интеллекта
22 сентября. / ВЕДОМОСТИ /. До конца 2025 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК) планирует представить проект стандарта по безопасной разработке систем искусственного интеллекта (ИИ) в дополнение к стандарту по безопасной разработке программного обеспечения (ПО). Об этом заявил первый заместитель директора ФСТЭК Виталий Лютиков на форуме BIS-2025. Лютиков уточнил, что речь идет о тех уязвимостях и угрозах, которые специфичны для ИИ, связанных с дата-центричностью, с моделями машинного обучения и т. д.
22 сентября. / ВЕДОМОСТИ /. До конца 2025 г. Федеральная служба по техническому и экспортному контролю (ФСТЭК) планирует представить проект стандарта по безопасной разработке систем искусственного интеллекта (ИИ) в дополнение к стандарту по безопасной разработке программного обеспечения (ПО). Об этом заявил первый заместитель директора ФСТЭК Виталий Лютиков на форуме BIS-2025. Лютиков уточнил, что речь идет о тех уязвимостях и угрозах, которые специфичны для ИИ, связанных с дата-центричностью, с моделями машинного обучения и т. д.
«Мы сейчас прорабатываем и в ближайшее время представим проект стандарта по безопасной разработке системы ИИ как дополнение к стандарту по безопасной разработке ПО. <...> Я думаю, что до конца года у нас появится документ, который мы представим для обсуждения экспертному сообществу», – заявил Лютиков.
Подписан приказ ФСТЭК о сертификации безопасной разработки ПО
22 сентября. / d-russia.ru /. Опубликован приказ ФСТЭК «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утверждённый приказом ФСТЭК России от 1 декабря 2023 г. № 240».
Документ подготовлен в связи с утверждением приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. № 1504-ст новой редакции национального стандарта РФ ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
В соответствии с порядком сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утверждённым приказом ФСТЭК России от 1 декабря 2023 г. № 240, сертификация процессов проектирования и производства программного обеспечения средств защиты информации осуществляется на соответствие требованиям национального стандарта РФ ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», утверждённого и введённого в действие приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. № 458-ст. При этом приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. № 1504-ст указанный национальный стандарт отменён и взамен него утверждён ГОСТ Р 56939-2024, чем и вызвано внесение изменений в порядок сертификации процессов безопасной разработки ПО.
22 сентября. / d-russia.ru /. Опубликован приказ ФСТЭК «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утверждённый приказом ФСТЭК России от 1 декабря 2023 г. № 240».
Документ подготовлен в связи с утверждением приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. № 1504-ст новой редакции национального стандарта РФ ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
В соответствии с порядком сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утверждённым приказом ФСТЭК России от 1 декабря 2023 г. № 240, сертификация процессов проектирования и производства программного обеспечения средств защиты информации осуществляется на соответствие требованиям национального стандарта РФ ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», утверждённого и введённого в действие приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. № 458-ст. При этом приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. № 1504-ст указанный национальный стандарт отменён и взамен него утверждён ГОСТ Р 56939-2024, чем и вызвано внесение изменений в порядок сертификации процессов безопасной разработки ПО.
Digital Russia
Подписан приказ ФСТЭК о сертификации безопасной разработки ПО
Опубликован приказ ФСТЭК «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки программного обеспечения средств защиты
L1TF Reloaded. Атака, которая заставила Intel и Google понервничать
22 сентября. / securitylab.ru /. Исследователи VUSec и инженеры Google подробно описывают в совместном тексте цепочку уязвимостей и эксплойт «L1TF Reloaded», который нацеливается на процессоры Intel семейства Skylake и старше. Вкратце — уязвимость позволяет виртуальной машине договориться с процессором так, чтобы в кэш L1 попали произвольные байты оперативной памяти хоста, а затем извлечь их через так называемый тайминг-канал, что даёт атакующему примитив произвольного чтения памяти хоста и возможность украсть секреты соседних гостевых систем.
Чтобы понять, как это работает, достаточно вспомнить два свойства современных x86-CPU: спекулятивное выполнение и иерархические SRAM-кэши. Процессор заранее выполняет инструкции по прогнозу ветвления, и хотя результаты спекулятивных вычислений обычно откатываются, побочные эффекты в кэше остаются. Эксплойт комбинирует «half-Spectre»-приём — когда код ядра по ошибке спекулятивно загружает в L1 данные по контролируемому индексу — и «L1 Terminal Fault» (L1TF), аппаратную ошибку трансляции адреса, при которой процессор при ошибке трансляции всё же может обратиться к L1 так, словно адрес был физическим. В сумме это позволяет загрузить в L1 нужный байт памяти и затем закодировать его в виде выбора строки в буфере атакующего, а потом восстановить значение по измерению времени доступа (Flush+Reload).
VUSec показали, что на практике эта связка даёт гораздо больше, чем утечку отдельных байтов: атакующий гость сначала «пересекает» указатели в структуре physmap ядра хоста и восстанавливает базу отображения физической памяти, затем идёт по цепочке указателей — от объектов KVM к task_struct и корневым таблицам страниц — и в итоге способен проводить «поразмерную» расшифровку таблиц страниц. Это позволяет переводить гостевые виртуальные адреса в физические адреса хоста и массово считывать чужую память, вплоть до приватных ключей TLS в примере с Nginx.
Вывод прост: «лечить» по одному гаджету после каждой новой аппаратной атаки ненадёжно и затратнее в долгосрочной перспективе, чем архитектурные контрмеры, которые разрывают фундаментальную возможность спекулятивных утечек. Address Space Isolation — пример такого подхода: он закрывает целый класс атак, оставаясь при этом приемлем по производительности, что критично для широкого распространения и реальной безопасности облачных сред.
22 сентября. / securitylab.ru /. Исследователи VUSec и инженеры Google подробно описывают в совместном тексте цепочку уязвимостей и эксплойт «L1TF Reloaded», который нацеливается на процессоры Intel семейства Skylake и старше. Вкратце — уязвимость позволяет виртуальной машине договориться с процессором так, чтобы в кэш L1 попали произвольные байты оперативной памяти хоста, а затем извлечь их через так называемый тайминг-канал, что даёт атакующему примитив произвольного чтения памяти хоста и возможность украсть секреты соседних гостевых систем.
Чтобы понять, как это работает, достаточно вспомнить два свойства современных x86-CPU: спекулятивное выполнение и иерархические SRAM-кэши. Процессор заранее выполняет инструкции по прогнозу ветвления, и хотя результаты спекулятивных вычислений обычно откатываются, побочные эффекты в кэше остаются. Эксплойт комбинирует «half-Spectre»-приём — когда код ядра по ошибке спекулятивно загружает в L1 данные по контролируемому индексу — и «L1 Terminal Fault» (L1TF), аппаратную ошибку трансляции адреса, при которой процессор при ошибке трансляции всё же может обратиться к L1 так, словно адрес был физическим. В сумме это позволяет загрузить в L1 нужный байт памяти и затем закодировать его в виде выбора строки в буфере атакующего, а потом восстановить значение по измерению времени доступа (Flush+Reload).
VUSec показали, что на практике эта связка даёт гораздо больше, чем утечку отдельных байтов: атакующий гость сначала «пересекает» указатели в структуре physmap ядра хоста и восстанавливает базу отображения физической памяти, затем идёт по цепочке указателей — от объектов KVM к task_struct и корневым таблицам страниц — и в итоге способен проводить «поразмерную» расшифровку таблиц страниц. Это позволяет переводить гостевые виртуальные адреса в физические адреса хоста и массово считывать чужую память, вплоть до приватных ключей TLS в примере с Nginx.
Вывод прост: «лечить» по одному гаджету после каждой новой аппаратной атаки ненадёжно и затратнее в долгосрочной перспективе, чем архитектурные контрмеры, которые разрывают фундаментальную возможность спекулятивных утечек. Address Space Isolation — пример такого подхода: он закрывает целый класс атак, оставаясь при этом приемлем по производительности, что критично для широкого распространения и реальной безопасности облачных сред.