🇮🇷🇺🇸 Проиранские хакеры Handala парализовали медицинского гиганта Stryker с помощью 🧹 вайпера

Хакерская группировка Handala провела кибероперацию [1,2,3,4] против американской медицинской корпорации Stryker, заявив об успешном удалении данных на более чем 200 000 систем, серверов и мобильных устройств. Handala официально заявляет об успешной краже 50 терабайт (ТБ) корпоративных данных.

Атака спровоцировала масштабный сбой в IT-инфраструктуре производителя медицинского оборудования с годовой выручкой 25 миллиардов долларов, серьезно нарушив доступ к корпоративным системам и бизнес-приложениям. На фоне новостей о масштабном ущербе и критических сбоях в бизнес-процессах акции корпорации упали на 3,6%, а в Белом доме заявили о пристальном мониторинге ситуации и потенциальных киберугроз.

Stryker является одним из ключевых поставщиков 🧑‍⚕️💊хирургических инструментов и медицинского оборудования, которое используется практически в каждой больнице США, проводящей хирургические операции. В качестве меры предосторожности ряд медицинских центров принял решение временно приостановить подключение к онлайн-системам и облачным сервисам компании для защиты собственной инфраструктуры. В частности, в штате Мэриленд была зафиксирована приостановка работы платформы LifeNet, которая позволяет парамедикам оперативно передавать ЭКГ пациентов с инфарктами врачам отделения неотложной помощи для ускорения процесса лечения.

Кроме того, в 🇮🇪ирландском представительстве компании (крупнейшем хабе за пределами США) из-за атаки более 5000 сотрудников были отправлены домой.

🥷 По всей видимости, атака началась с брутфорса корпоративных VPN-шлюзов и компрометации внешних ИТ-провайдеров для получения первоначального доступа. Закрепившись во внутренней сети на несколько месяцев и повысив привилегии до администратора домена путем извлечения учетных данных из памяти процесса LSASS и выгрузки кустов реестра, злоумышленники отключили встроенные средства защиты и применили утилиту NetBird для создания теневых туннелей и горизонтального перемещения. Кульминацией операции стал скоординированный запуск алгоритмов уничтожения информации, главным элементом которого оказался перехват управления облачной платформой Microsoft Intune для массовой рассылки команды дистанционного стирания (Remote Wipe) на 200 000 корпоративных устройств. Для максимизации ущерба атакующие дополнительно задействовали logon-скрипты групповых политик (GPO) Active Directory для бесфайлового исполнения вайпера, который затёр главную загрузочную запись (MBR) дисков. Параллельно применялся сгенерированный ИИ PowerShell-скрипт для рекурсивного удаления данных, а также производилось шифрование серверов с помощью VeraCrypt и уничтожение виртуальных машин непосредственно через консоли управления платформами виртуализации.

Эксперты по кибербезопасности из компаний Palo Alto Networks и Check Point напрямую связывают нападавших с 🎩Министерством разведки Исламской Республики Иран, которое осуществляет свои операции через хакерскую группировку, отслеживаемую как Void Manticore. Руководство Stryker в официальном отчете для Комиссии по ценным бумагам и биржам США подтвердило факт глобального сбоя в своей инфраструктуре Microsoft.

👆Своим главным мотивом взломщики назвали месть за февральский ракетный удар ✈️вооруженных сил США по школе в иранском городе Минаб, жертвами которого стали около 150 человек. Мотивация группировки Handala не ограничивалась исключительно экономическим масштабом корпорации. Stryker имеет действующие контракты на поставку медицинского оборудования с Министерством войны США (DoW) и Министерством по делам ветеранов (VA) на общую сумму около $450 000 000. Оборудование компании активно используется американскими военными для лечения раненого персонала.

Атака на сектор здравоохранения и производства медицинского оборудования преследует цель максимизации психологического эффекта. В отличие от атак на финансовые институты, сбои в логистике медицинских устройств напрямую ассоциируются в общественном сознании с угрозой человеческой жизни.

✋ @Russian_OSINT

📉Медиакомпания BuzzFeed близка к банкротству после отказа от классической журналистики в пользу ИИ

Три года назад генеральный директор Джона Перетти, вдохновившись хайпом ChatGPT и ИИ, закрыл профессиональную редакцию BuzzFeed News, которая ранее получила Пулитцеровскую премию. Ставка на ИИ привела к тому, что опытных журналистов пришлось выгнать с работы, дабы минимизировать затраты. После увольнения профи — сайт заполонили низкокачественные статьи, созданные с помощью генеративного ИИ. Перетти думал, что нейросети «заменят большую часть статического контента».

Спустя время компания зафиксировала многомиллионные убытки, а стоимость её акций рухнула с $15 до 70 центов. Теперь имеющихся денежных ресурсов критически не хватает для покрытия накопившихся долгов. Вместо того, чтобы пересмотреть политику ведения контента, руководство всё ещё упрямо надеется исправить ситуацию запуском новых ИИ-приложений.

В официальном отчете за 2025 год руководство прямо заявляет о наличии «существенных сомнений в способности компании продолжать свою деятельность в качестве непрерывно действующего предприятия».

С момента выхода на биржу в 2021 году, когда стоимость BuzzFeed оценивалась в 1,5 миллиарда долларов. После активного внедрения ИИ — акции компании потеряли 98% своей стоимости, а её текущая рыночная капитализация сократилась всего до $28,3 млн. Именно слепая вера в 🤖ИИ сыграла злую шутку с компанией.

✋ @Russian_OSINT

🥷❗️AdGuardHome: неаутентифицированный доступ к API через апгрейд соединения до HTTP/2 Cleartext (h2c)

Разработчики AdGuard Home выпустили версию 0.107.73 для устранения критической уязвимости CVE-2026-32136 с практически максимальной оценкой CVSS 9.8 балла. Ошибка инициализации HTTP-сервера позволяет злоумышленникам без аутентификации получать полный административный доступ к уязвимому сервису путем инициирования апгрейда соединения и отправки последующих HTTP/2 запросов к API.

Корень проблемы кроется в механизме обновления соединения до незашифрованного протокола HTTP/2 Cleartext при обращении к публичным путям, таким как /control/login. Внешний слой аутентификации успешно пропускает первоначальный запрос HTTP/1.1, после чего обработчик h2c перехватывает соединение TCP и передает управление внутреннему мультиплексору без дополнительных проверок безопасности. Все последующие запросы в рамках установленного соединения HTTP/2 обрабатываются сервером как полностью аутентифицированные, предоставляя полный доступ к административному API сервиса.

ИБ-исследователь Мэтт Андреко опубликовал PoC на языке Python для автоматического извлечения истории запросов DNS и списка выданных адресов DHCP. Эксплуатация позволяет атакующим изменять конфигурацию серверов DNS для проведения фишинговых атак, перенаправления DNS-трафика подключенных устройств и отключения встроенных механизмов защиты.

AdGuardHome — это устанавливаемый локально блокировщик рекламы на уровне DNS, который многие люди, и я в том числе, используют в своих домашних сетях. Он фильтрует весь ваш DNS-трафик и блокирует рекламу, трекеры и вредоносные домены еще до того, как они успеют загрузиться. Его часто развертывают на домашних роутерах, Raspberry Pi и небольших виртуальных машинах, при этом многие пользователи открывают доступ к интерфейсу администратора прямо в своей локальной сети без какого-либо дополнительного уровня аутентификации.

— комментирует исследователь.

Автор исследования настоятельно рекомендует пользователям AdGuard Home обновить систему до версии 0.107.73.

✋ @Russian_OSINT

📲 Блокировка мессенджера Telegram усиливается с каждым днем

Как пишет “Ъ”, доля неудачных запросов к доменам Telegram из России в среднем достигла почти 80%, при этом в отдельных федеральных округах этот показатель близится к 90%.

Ранее в мессенджере блокировались мультимедиа, то теперь и сообщения отправляются со значительной задержкой.

Основные потери от блокировки Telegram понесут не крупные компании, а малый и средний бизнес, который выстроил в Telegram маркетинговые воронки, ботов для приема заказов и клиентскую поддержку.

«Сильнее всего блокировка ударит по сервисному бизнесу и онлайн-торговле — для этих компаний Telegram является основным каналом привлечения клиентов. IT-компании пострадают иначе: для них Telegram — это прежде всего инструмент внутренней координации, и разрыв коммуникаций во время развертывания или инцидента может стоить дневной выручки»

— комментирует партнер практики «Цифровая трансформация» Strategy Partners Сергей Кудряшов.

✋ @Russian_OSINT

🇪🇺ЕС вводит санкции против 🇨🇳китайских и 🇮🇷иранских компаний за кибератаки

Европейский союз ввёл санкции против двух китайских и одной иранской компании за кибератаки на государства-члены ЕС. Речь идёт о китайских компаниях Integrity Technology Group и Anxun Information Technology, а также иранской компании Emennet Pasargad.

Согласно заявлению ЕС, считается, что компания Integrity Technology способствовала взлому более 65 000 устройств в шести государствах-членах союза.

По данным ЕС, компания Anxun якобы предоставляла хакерские услуги, которые были направлены против критически важной инфраструктуры. Два соучредителя Anxun также были индивидуально внесены в санкционный список ЕС за их причастность к кибератакам.

Иранскую Emennet обвиняют во взломе рекламных щитов для распространения дезинформации во время Олимпийских игр 2024 года в Париже. Санкции включают замораживание активов и запрет на поездки для физических лиц.

✋ @Russian_OSINT

🖥 NVIDIA делает ставку на безопасность: представлен NemoClaw для запуска автономных ИИ-агентов

Компания NVIDIA анонсировала новые инструменты с открытым исходным кодом, призванные сделать работу автономных ИИ-агентов более быстрой, безопасной и экономически эффективной. В центре внимания релиз NemoClaw — стека с открытым исходным кодом, который добавляет средства контроля конфиденциальности и безопасности в архитектуру OpenClaw.

Как заявляют разработчики, развернуть постоянно работающего и саморазвивающегося агента теперь можно всего одной командой, причем запустить его можно практически где угодно.

NemoClaw использует программное обеспечение NVIDIA Agent Toolkit для обеспечения безопасности OpenClaw. Он устанавливает NVIDIA OpenShell для применения мер по защите конфиденциальности и безопасности на основе заданных политик, предоставляя пользователям контроль над тем, как агенты функционируют и обрабатывают данные.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи Qualys обнаружили многочисленные уязвимости в модуле AppArmor ядра Linux, которые могут быть использованы непривилегированными пользователями для обхода защиты ядра, повышения привилегий до уровня root и подрыва изоляции контейнеров.

В общей сложности девять уязвимостей второго уровня получили общее кодовое название CrackArmor и существуют с 2017 года. Идентификаторы CVE для этих уязвимостей пока не присвоены.

AppArmor - это модуль безопасности Linux, обеспечивающий обязательный контроль доступа (MAC) и защищающий ОС от внешних и внутренних угроз, предотвращая использование известных и неизвестных уязвимостей приложений. Включен в основное ядро Linux начиная с версии 2.6.36.

Как отмечают исследователи, уязвимость в механизме замещенияс позволяет манипулировать профилями безопасности с помощью псевдофайлов, обходить ограничения пространства имен пользователей и выполнять произвольный код в ядре.

Ошибки облегчают локальное повышение привилегий до уровня root посредством сложного взаимодействия с такими инструментами, как Sudo и Postfix, а также DoS-атаки путем исчерпания стека и обхода алгоритма рандомизации адресного пространства ядра (KASLR) посредством чтения за пределы допустимого диапазона.

По сути, проблема заключается в использовании доверия, связанного с более привилегированным инструментом, для выполнения команды, которая приводит к повышению привилегий.

Qualys отмечает, что субъект, не имеющий разрешений на выполнение какого-либо действия, может манипулировать профилями AppArmor для отключения критически важных средств защиты служб или применять политики «запретить все», что приведет к DoS.

Манипулирование политиками компрометирует весь хост, а обход пространств имен облегчает сложные эксплойты ядра, такие как произвольное раскрытие памяти.

Возможности DoS-атак и LPE приводят к сбоям в работе служб, подделке учетных данных с помощью root-прав без пароля или раскрытию KASLR, что позволяет создавать дальнейшие цепочки удаленной эксплуатации.

Ситуация усугубляется тем, что CrackArmor позволяет непривилегированным пользователям создавать полнофункциональные пользовательские пространства имен, фактически обходя ограничения на пользовательские пространства имен Ubuntu, реализованные через AppArmor, а также подрывая критически важные гарантии безопасности (изоляция контейнеров, обеспечение минимальных привилегий и усиление защиты сервисов).

В Qualys пока воздерживаются от публикации демонстрационных PoC для выявленных уязвимостей, дабы дать пользователям время определить приоритетность установки исправлений и минимизировать риски.

Проблема затрагивает все ядра Linux, начиная с версии 4.11, на любых дистрибутивах, использующих AppArmor.

Учитывая, что более 12,6 миллионов корпоративных экземпляров Linux работают с включенным по умолчанию AppArmor в нескольких основных дистрибутивах, таких как Ubuntu, Debian и SUSE, рекомендуется немедленно установить патчи ядра для устранения этих уязвимостей.