🤖 Ubisoft обвиняют в слежке за игроками даже в режиме оффлайн

В индустрии видеоигр разгорается громкий скандал. Один из крупнейших издателей в Европе компания 🇫🇷Ubisoft оказалась в центре разбирательства после того как активисты 🇦🇹noyb подали официальную жалобу в Австрийский орган по защите данных.

Поводом стало требование со стороны Ubisoft обязательного подключения к интернету и авторизации в аккаунте Ubisoft даже в играх, лишённых каких-либо сетевых функций.

Инцидент привлёк внимание общественности после того, как пользователь попытался запустить Far Cry Primal в оффлайн-режиме и получил отказ в доступе. При дополнительной проверке выяснилось, что за десять минут игры система инициировала около 150 DNS-запросов и передала данные третьим сторонам, в числе которых оказались Google, Amazon и Datadog. При этом весь трафик был защищён протоколом TLS, что затрудняло оценку содержания пересылаемой информации. Были установлены многочисленные соединения с внешними аналитическими сервисами.

Ubisoft объясняет свои действия, ссылаясь на необходимость сбора данных для «улучшения игрового опыта, аналитики и обеспечения безопасности сервисов». Однако, несмотря на эти заявления, Ubisoft не даёт подробных разъяснений о конкретных данных, которые передаются во время игры, и не объясняет, почему для запуска одиночной игры требуется постоянное подключение к интернету и передача на сервера сторонних техногигантов.

Вместо конкретных объяснений Ubisoft 🎩 предложила пользователям ознакомиться с Политикой конфиденциальности и Лицензионным соглашением, в которых сбор данных обосновывается общими фразами о "безопасности и улучшении качества продуктов", при этом не без конкретики о реальных целях и объёме собираемых данных.

Группа noyb, представляющая истца в соответствии с статьей 80(1) GDPR, уверена в том, что Ubisoft нарушает GDPR и требует признать обработку данных незаконной. От Ubisoft требуют удалить собранную информацию и запретить аналогичные практики в будущем. Кроме того, организация настаивает на наложении штрафа, который с учётом оборота компании может достигать €92 000 000 в соответствии с положениями GDPR.

✋ @Russian_OSINT

По данным Red Eléctrica, массовое отключение электроэнергии 28 апреля 2025 года произошло, скорее всего, из-за сильного колебания мощности в электрической сети...Причины, вероятно, связаны с сильной осцилляцией.

Хоть каких-то вразумительных и адекватных доказательств кибератаки нет. Согласно заявлению председателя Европейского совета Антониу Кошты, причина не связана с кибератакой.

Аналогичные заявления сделали премьер-министр Португалии Луиш Монтенегру и Национальный центр кибербезопасности Португалии.

Португальский оператор REN выдвинул гипотезу, что причиной отключения стал сбой в испанской электросети, вызванный редким атмосферным явлением. Экстремальные перепады температур в Испании вызвали аномальные колебания — "индуцированная атмосферная вибрация".

Продолжается восстановление электроснабжения. Окончательные выводы будут сделаны позже.

✋ @Russian_OSINT

🥷 Вирус-шифровальщик обрушил рыночную стоимость Marks & Spencer почти на 77 миллиардов рублей

Как пишет FT, предполагается, что недавняя кибератака обесценила компанию Marks and Spencer почти на 700 миллионов фунтов стерлингов. Ритейлер уже почти неделю пытается восстановиться после серьёзных перебоев.

Сбой вынудил Marks and Spencer прекратить приём онлайн-заказов одежды и товаров для дома, а также затруднил обработку бесконтактных платежей в магазинах. В ряде торговых точек приём возвратов товаров оказался невозможным.

Эксперты по кибербезопасности заявили, что инцидент с M&S носит характерные признаки использования программ-вымогателей (ransomware).

M&S сообщила о произошедшем в Управление уполномоченного по информации Великобритании (ICO) и сотрудничает с Национальным центром кибербезопасности для устранения последствий инцидента.

По данным BleepingComputer, Marks and Spencer обратилась за помощью к компаниям CrowdStrike, Microsoft и Fenix24.

За атакой якобы стоит хакерская группировка, известная под названием Scattered Spider, которую Microsoft также называет Octo Tempest.

29 апреля 2025 года онлайн-заказы остаются приостановленными, и компания продолжает работу над восстановлением. Сама атака, исходя из сообщений в СМИ, могла быть осуществлена 21 апреля.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи из Лаборатории Касперского cообщают об обнаружении новой версии трояна Triada для Android, уже заразившего не менее 4500 устройств, большая часть из которых приходится на Россию (другие - в Великобритании, Нидерландах, Германии и Бразилии).

С развитием Android в прошивках стали добавляться ограничения, прежде всего, по части редактирования системных разделов, в том числе даже с правами суперпользователя.

В связи с чем, злоумышленники стали задействовать предустановленные зловреды в системных разделах, которые в отличие от попавших извне стали неудаляемыми.

Например, таким образом действовал загрузчик Dwphon, который был встроен в системные приложения для OTA-обновлений (over-the-air).

Новое исследование показало, что Triada теперь тоже адаптировался к сложностям с повышением привилегий в новых версиях Android.

Для этого злоумышленники встроили новый многоуровневый загрузчик в прошивки ряда устройств, что привело к заражению процесса Zygote и, как следствие, - любого запущенного приложения в системе.

Отчет по части описания модулей и функциональности вредоноснго ПО глубоко технически детализирован, отмечены подозрительные нативные библиотеки в прошивках, отражены основные особенности кампании, вектор распространения и цепочка заражения.

Основные выводы вкратце:

- Новые версии троянца Triada были обнаружены в устройствах, прошивки которых оказались заражены еще перед продажей. Это подделки под смартфоны известных брендов, и на момент исследования они по-прежнему были доступны на различных маркетплейсах.

- Копия троянца попадает в каждое приложение при его запуске на зараженном устройстве.

- Поскольку в основе зловреда - модульная архитектура, атакующие получают практически неограниченный контроль над системой, включая возможность адаптировать функциональность под конкретные приложения.

- Полезные нагрузки в текущей версии Triada, в зависимости от приложения, в котором они работают, меняют адреса криптокошельков при попытке перевода криптовалюты, подменяют ссылки в браузерах, отправляют и перехватывают SMS, крадут учетные данные мессенджеров и соцсетей.

- Архитектура зловреда предоставляет операторам различные возможности для осуществления вредоносной деятельности, в том числе целевой доставки новых модулей и массового заражения конкретных приложений.

Индикаторы компрометации - в отчете.

👉 Выражаю благодарность официальному телеграм-каналу🫡УБК МВД России — https://t.me/cyberpolice_rus!

🗣Настоятельно рекомендую подписаться на Вестник Киберполиции России!

Без всякой лести хочется сказать, что это один из немногих действительно достойных Telegram-каналов, где публикуют полезную и важную информацию с разбором мошеннических схем (в том числе кибер), дают дельные рекомендации по кибергигиене, а также информируют о самых важных событиях в IT-сфере и не только...

Есть возможность обратиться за консультационной помощью через чат-бот @cyberpolicerus_bot.

(Бот не принимает сообщения о преступлениях – для этого нужно обратиться в подразделение полиции!)

✋ Обязательно подписывайтесь. Порекомендуйте близким, друзьям и знакомым!

✋ @Russian_OSINT

🇺🇸 Бывший сотрудник АНБ: ИИ вскоре будет мастерски разрабатывать🎩сложнейшие эксплойты

На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.

Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.

Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.

Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.

🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.

▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.

▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.

▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.

▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.

По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.

Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.

Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:

Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.

Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.

Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.

✋ @Russian_OSINT