Всё самое интересное из мира кибербезопасности /** с моими комментариями

1) В ГД в 1 чтении поддержали законопроект о 6-летнем тюремном сроке для дропперов.

Госдума на пленарном заседании приняла в первом чтении правительственный законопроект, которым устанавливается уголовная ответственность сроком до 6 лет лишения свободы для дропперов. Максимальное наказание составляет до 6 лет лишения свободы и штрафы до ₽1 млн.

Законопроектом предлагается дополнить статью 187 Уголовного кодекса РФ - Неправомерный оборот средств платежей.

/** Это только первое чтение, но динамика понятна. Я думаю, что закон примут. Главное, что нужно сделать каждому взрослому человеку - это объяснить своим детям и своим родителям что это такое и как избежать ситуации, чтобы самому не стать невольным дроппером после "обработки" мошенниками.

2) Компания F6 представила результаты исследования дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ.

По данным специалистов:

• Дороже всего обходятся доступы в партнерские программы вымогателей — до $100 000, а также 0-day-уязвимости — до $250 000. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 000;

• Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт.

/** Это вам для сравнения цен с "белыми" программами bug bounty и т. п. Пока есть покупатели, будут расти цены в darkweb'е, а вслед за ними, правда часто с опозданием и с неохотой, будут расти вознаграждения и "белых" программах.

3) Фан-сайт звёздных войн оказался шпионской сетью ЦРУ.

Наивный сайт с Йодой и играми времён Xbox 360 оказался не просто ретро-артефактом — это была дверь в шпионскую инфраструктуру ЦРУ. Под видом поп-культуры скрывалась сеть цифровых тайников, через которую США передавали задания агентам по всему миру.

Система работала просто: вводишь пароль в строку поиска — попадаешь в зашифрованный интерфейс. Но уязвимости были банальны — последовательные IP, неаккуратный код, следы в архивах. Исследователь Сиро Сантили разгрёб эти завалы, используя Tor, архивы и открытые инструменты. Началось как любопытство — закончилось сотнями найденных доменов.

Самое парадоксальное: сегодня эти сайты — музей провалов. Их можно открыть, изучить код, увидеть, как разрушилась одна из крупнейших операций ЦРУ.

/** Люблю подобные истории. Почему-то мне кажется, что раскрыли только какую-то старую, может даже заброшенную сеть. Уж очень какая-то странная устаревшая механика. После бума мобильного интернета надо искать нечто подобное в популярных (а может и не очень) мобильных приложениях.

4) Трое исследователей из Университета Тель-Авива выпустили статью, посвященную отчетам западных инфобез компаний о прогосударственных хакерских группах (APT), в которой пришли к выводу, что в этих отчетах в последнее время все данные о западных же APT замалчиваются.

В результате анализа материалов за период с 2010 по 2022 годы, эксперты пришли к выводу, что западные компании из отрасли информационной безопасности все больше интегрируют свои геополитические пристрастия в процессы принятия решений и публикации информации о расследованиях.

Это "вносит систематически предубеждения в ландшафт отчетности об угрозах, включая политические искажения, которые влияют на общественное мнение и широкое понимание динамики киберконфликтов".

Говоря простым языком, западные инфобез исследователи ездят по ушам широкой публике рассказывая о том, какие страшные киберпреступления совершают прогосударственные хакерские группы из России, Китая, Ирана и КНДР, тотально замалчивая активность прозападных APT, в первую очередь американских и британских.

Это формирует искаженное представление у обываетелей, что есть "кибер ось зла", которая ломает всех подряд, и есть белые и пушистые западные демократии, которые даже компьютер выключать из розетки боятся, вдруг там файлик не сохранится. Как будто Stuxnet и Regin случайно появились.

/** Очевидно, что с 2022 по настоящее время ситуация сильно усугубилась. "Russian Hackers" даже стало чем-то вроде торговой марки. Но и их (американцев и британцев) понять можно - счастье любит тишину ) Это вопрос к нашим исследователям и СМИ - почему мы не находим результаты работы АРТ- групп наших "не партнёров" и не показываем миру всю их сущность?

5) Альфа-Банк представил обзор отечественного рынка кибербезопасности в 2025 году с перспективами до 2030 года.

В нем использованы данные МТС Web Services, Б1, UserGate, Positive Technologies и других компаний. В обзоре дана оценка ИБ-сектора по разным метрикам, структура продуктов и услуг, ключевые поставщики, возможные направления роста, а также наиболее заметные сделки M&A за прошлый год.

/** Имеет смысл почитать на досуге. Один из выводов в отчёте полностью повторяет мой вывод, который я вам писал уже несколько раз в этом году, только другими словами:

"Инновационно-технологическая составляющая глобального развития ИБ-решений до 2030 года будет заключаться в обеспечении комплексного проактивного подхода к защите, основанного на искусственном интеллекте, преимущественно применительно к сетевым и облачным инфраструктурам".

6) MathWorks подверглась атаке с использованием вируса-вымогателя. 

MathWorks разрабатывает числовую вычислительную платформу MATLAB и симуляцию Simulink, которые используют более 100 000 организаций и более 5 миллионов клиентов.

Пока ни одна из группировок, занимающихся вымогательством, не взяла на себя ответственность за взлом, что позволяет предположить, что MathWorks либо выплатила требуемый злоумышленниками выкуп, либо все еще ведет переговоры.

/** Это конечно гораздо серьёзнее, чем у Victoria Secrets, которые тоже уже неделю лежат по аналогичной причине. Когда инфра является единой точной отказа, то надо быть готовым к чему-то подобному.

7) Более 100 000 сайтов WordPress подвержены риску из-за критической уязвимости CVSS 10.0 в плагине Wishlist.

TI WooCommerce Wishlist, имеющий более 100 000 активных установок, — это инструмент, позволяющий клиентам сайтов электронной коммерции сохранять свои любимые продукты для дальнейшего использования и делиться списками в социальных сетях.

«Плагин уязвим к уязвимости произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы на сервер без аутентификации», — сообщил исследователь.

Уязвимость, отслеживаемая как CVE-2025-47577, имеет оценку CVSS 10,0. Она затрагивает все версии плагина ниже, включая 2.9.2, выпущенную 29 ноября 2024 года. В настоящее время нет доступного исправления.

/** Рекомендуют удалить плагин до тех пор, пока не выйдет исправление. И общее правило - чем меньше разных плагинов, тем безопаснее.

8) Исследователь Шон Хилан обнаружил критическую 0-day уязвимость CVE‑2025‑37899 в Linux SMB-сервере ksmbd с помощью модели ИИ o3 от OpenAI.

Уязвимость типа use-after-free, обнаруженная в обработчике SMB-команды LOGOFF, при определённых условиях могла привести к удалённому выполнению кода с привилегиями ядра. По мнению ресерчера, это первый случай, когда o3 выявила уязвимость такого "специфического рода".

Он заключает, что современные продвинутые модели, подобные o3, уже достигли той точки, когда их интеграция в рабочие процессы аудита безопасности становится целесообразной, даже с учетом необходимости фильтрации результатов.

/** Я прочитал статью про его работу и у меня не сложилось такого радостного настроения, как у этой новости. Он провел сотни экспериментов, изучал вообще другой вопрос и это открытие получилось случайно. И то, явно, из-за того, что исследователь профи и понимал что есть серьёзное, а что мусор. Поиск серьёзных уязвимостей с помощью нейронок - это пока далеко не массовый кейс.

Безопасной вам недели!

Подписывайтесь на мой Телеграм!

Предыдущая неделя <-- week Sec News