Russian OSINT
46.6K subscribers
5.06K photos
327 videos
115 files
4.6K links
Авторский канал: кибербезопасность, искусственный интеллект и IT.

🚀Лаборатория OSINT
@russian_osint_lab

🤝Реклама
@russian_osint_pr
https://telega.in/c/Russian_OSINT

📲Связь
@russian_osint_bot

👉MAX (резерв)
https://max.ru/russian_osint
Download Telegram
📱WhatsApp* добавит usernames

WhatsApp внедряет систему 👨🏻‍💻имен пользователей (usernames), позволяющую взаимодействовать в мессенджере без раскрытия номера телефона. На текущей неделе откроется резервирование имен пользователей, а сама функция будет запущена позже в текущем году. Об этом сообщается в официальном блоге WhatsApp.

✒️ Основные параметры обновления:
— Имена пользователей являются опциональными. Их можно изменять или удалять в настройках аккаунта.
— Связь между пользователями строится на знании точного имени (username). Для защиты от нежелательных контактов вводится дополнительный уровень аутентификации — 🔑четырехзначный ключ. Без этого ключа инициировать диалог с пользователем, активировавшим данную защиту, невозможно.
— Имена публичных фигур и государственных организаций удерживаются платформой, чтобы их могли занять только законные владельцы.
— В период запуска пользователям предоставляется приоритет на закрепление идентификаторов, соответствующих их аккаунтам в Facebook* и Instagram*.

Функция будет доступна в меню настроек по пути «Настройки» > «Аккаунт» > «Имя пользователя».

*Деятельность компании Meta (владеет Facebook, Instagram, WhatsApp) запрещена в РФ и признана 🏴‍☠️экстремистской.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
❗️🥷Трехкратный рост интенсивности кибератак на Израиль в 2026

Как пишет Reuters, генеральный директор Национального кибердиректората Израиля Йосси Каради в интервью немецкой газете Die Welt заявил о резком увеличении кибератак на Израиль. Эскалация в киберпространстве произошла после начала в этом году совместной наступательной операции 🇺🇸США и 🇮🇱Израиля против 🇮🇷Ирана.

В июне 2026 года число зафиксированных киберинцидентов против израильской инфраструктуры достигло примерно 4 800 случаев. Для сравнения, в июне 2025 года во время проведения израильских военных операций против Ирана этот показатель составлял около 1 600 инцидентов.
Атакующие группировки выбирают в качестве мишеней государственные организации, объекты критической инфраструктуры, предприятия малого и среднего бизнеса, включая небольшие юридические и бухгалтерские организации.

Йосси Каради отмечает высокий уровень подготовки некоторых атакующих хакерских групп. Он также подчеркнул, что в отличие от традиционных военных действий в киберпространстве не существует режима прекращения огня.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🎴Под видом раннего доступа к GTA 6 злоумышленники распространяют вредоносное ПО и похищают криптовалюту

На фоне огромного ожидания игры Grand Theft Auto VI, релиз которой запланирован на 19 ноября 2026 года, специалисты компаний Malwarebytes и Nord**N зафиксировали масштабную волну мошенничества. Злоумышленники используют высокую популярность проекта, чтобы похищать деньги пользователей и распространять вредоносное ПО (ВПО).

Аналитики выделили несколько основных векторов атак, которые в первую очередь угрожают пользователям персональных компьютеров и мобильных устройств под управлением Android, поскольку официальный релиз изначально запланирован только для консолей PlayStation 5 и Xbox Series X/S.

Мошенники создают сайты с премиальным дизайном с использованием логотипов игры, изображений вымышленного города Вайс-Сити и графики, сгенерированной ИИ-моделями. Жертвам предлагают приобрести ранний ⭐️VIP-доступ за $250. К оплате принимаются исключительно криптовалюты Bitcoin, Ethereum и USDT. После отправки средств и ввода идентификатора транзакции пользователи не получают обещанный продукт. Поскольку криптовалютные платежи невозможно отозвать, вернуть похищенные средства не удается.

В рамках других кампаний вместо игровых файлов пользователи загружают вредоносное ПО. Аналитики зафиксировали следующие типы атак:

🦠 Троянизированные репаки для Windows. Злоумышленники создают клоны известных пиратских сайтов. При запуске установочного файла Setup.exe легитимный игровой лончер Ren’Py подвергается атаке методом боковой загрузки динамических библиотек (DLL sideloading). Вместо стандартной библиотеки отрисовки NVIDIA загружается вредоносный файл nvdrs.dll, который позволяет модифицировать память устройства, скачивать дополнительное вредоносное ПО и связываться с C2.

🦠Вредоносное рекламное ПО для Android. Пользователям предлагают скачать приложение под названием GTA 6 Beta. Программа создана на движке Unity и использует правдоподобный брендинг, однако она полностью лишена игрового кода. При нажатии на кнопку Download OBB приложение перенаправляет пользователя на сторонние домены, которые распространяют инфостилеры, банковские трояны, вредоносное рекламное ПО и программы-вымогатели. Для скрытия трафика программа использует обфускацию IL2CPP и протокол DNS-over-HTTPS через серверы Google.

🎣Также исследователи обнаружили сотни фишинговых страниц, нацеленных на кражу учетных данных пользователей Rockstar Social Club. Многие из таких страниц размещаются на легитимных платформах вроде GitHub и Vercel. Впоследствии скомпрометированные аккаунты перепродаются на даркнет-маркетплейсах.

👆Отмечается, что любые предложения скачать или купить игру на неофициальных сайтах до её официального релиза являются мошенничеством.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
📱Forbes: Базу идентификаторов мобильных устройств (IMEI) планируется использовать для блокировки украденных, потерянных и незаконно ввезенных телефонов

Как пишет Forbes, в проекте приказа правительства, детализирующего принятый недавно второй пакет против кибермошенников, операторы в течение часа должны будут фиксировать в этой базе смену телефона их абонентом. В Минцифры подтвердили, что любой факт активации сим-карты в телефоне оператор связи передаст в базу IMEI.

Документ размещен на портале regulation.gov.ru 20 июня. Создание такой базы мобильных устройств предусмотрено вторым пакетом антифрод-мер. Он был принят в третьем чтении 9 июля 2026 года. Согласно закону, операторы связи должны вносить IMEI своих абонентов в базу и отключать сим-карты скомпрометированных телефонов.


Органы власти, определенные правительством, будут вносить в базу данные телефонов, которые «не соответствуют установленным требованиям безопасности», а также если есть решение суда о конфискации или ином ограничении оборота или же, если установлен запрет на использование этого мобильного оборудования на территории России.

Кроме того, операторы обязаны передавать в базу данные о новом телефоне, на котором заработала сим-карта клиента, в течение часа с момента его подключения к сети. Если абонент сообщил оператору об утере или краже телефона, оператор обязан заблокировать сим-карту в течение одного рабочего дня. Кроме того, оператор должен заблокировать в течение часа номер, если он включен в базу как запрещенный. Предполагается, что постановление вступит в силу 1 марта 2027 года.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🍏Компания Apple изменила многолетний подход к выпуску обновлений безопасности для операционной системы iOS

Согласно официальному заявлению компании для агентства Reuters, такое решение продиктовано тем, что искусственный интеллект способен ускорить разработку вредоносных хакерских инструментов. ИИ сокращает временное окно, необходимое злоумышленникам для эксплуатации известных уязвимостей, поэтому время между публикацией обновлений и их получением пользователями должно быть уменьшено.

Компания заявила, что признаков эксплуатации закрытых уязвимостей в реальных атаках нет, но временной разрыв между анонсом исправлений безопасности и их развертыванием на смартфонах пользователей необходимо сократить.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🖥 Минцифры: С 1 сентября введут единый идентификатор пользователя на платформах

Как сообщает "Российская газета", с 1 сентября Минцифры введет единый идентификатор пользователя для всех цифровых платформ, чтобы точнее считать аудиторию. Об этом рассказала директор Департамента развития массовых коммуникаций и международного сотрудничества Минцифры Екатерина Ларина.

По ее словам, новый идентификатор поможет лучше считать аудиторию российских интернет-платформ. "Ранее мало у кого сохранялся идентификатор, даже на протяжении 24 часов. Поэтому получалось, что один и тот же пользователь посмотрел фильм, прервался, отошел попить воды и включился еще раз. Это уже было засчитано как два пользователя по меньшей мере", - объясняет Ларина.

"На самом деле рынок сам заинтересован в том, чтобы вот эта прозрачность данных была обеспечена, и чтобы они были максимально адекватны. Поэтому с сентября вступает в силу новый механизм: будет вводится единый идентификатор пользователя", - рассказала Ларина.

Важно, что данные пользователей будут защищены. По словам Лапиной, будет стоять трехкратная защита и шифрование. "Никто ничего не узнает о том, кто стоит за конкретным идентификатором", - подчеркивает она.

Источник: https://rg.ru/2026/06/30/mincifry-s-1-sentiabria-vvedut-edinyj-identifikator-polzovatelia-na-platformah.html

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🇨🇳 Китайские ИИ-модели в сфере кибербезопасности сравнялись с передовыми LLM уровня 🈁Mythos

The Wall Street Journal
пишет о сокращении технологического разрыва между китайскими и американскими разработчиками в сфере ИБ

Китайские ИИ-модели сравнялись с передовыми американскими аналогами в поиске уязвимостей в программном обеспечении, что меняет баланс сил в глобальной гонке технологий и вынуждает администрацию США пересматривать политику регулирования отрасли.

Исследователи безопасности отмечают, что китайская компания Zhipu AI выпустила ИИ-модель GLM-5.2 с открытыми весами. По данным исследователей, в некоторых тестах она превосходит Claude Opus 4.8 от Anthropic, а при уточнении инструкций догоняет флагманскую американскую ИИ-модель Mythos в задачах поиска уязвимостей.

Параллельно компания 360 Security Technology представила инструмент Tulongfeng, который также сопоставим с Mythos по эффективности. Исполнительный директор 360 Security Чжоу Хунъи на конференции по кибербезопасности в Пекине заявил, что Китай столкнется с неприемлемыми рисками, если американские структуры будут использовать передовые ИИ-модели для сканирования критических китайских сетевых систем, лишая китайские компании аналогичных возможностей.

🈁♋️Из-за регуляторных опасений и стремления сократить издержки компании по всему миру все чаще выбирают более доступные китайские ИИ-модели с открытыми весами от Zhipu AI и DeepSeek. 😕 А могли бы писать про LLM от Яндекса, Сбера или других российских компаний...

Заместитель госсекретаря по экономическим вопросам Джейкоб Хелберг подтвердил, что американское правительство внимательно отслеживает развитие китайских ИИ-моделей с открытым исходным кодом.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
💚 Исследование GReAT выявило около 250 000 потенциальных проблем с безопасностью в публично доступных GitHub Actions

Исследование команды GReAT («Лаборатория Касперского») показало, что из 30 тысяч популярных публичных репозиториев лишь в 10% пайплайны автоматизации настроены безопасно. Всего эксперты выявили более 250 000 потенциальных проблем. Наиболее часто встречавшиеся недочеты, обнаруженные в проверенных GitHub Actions:

1️⃣ неявно заданные или чрезмерно широкие права доступа
2️⃣ отсутствие фиксации версий используемых компонентов
3️⃣ настройки, примененные на уровне всего workflow

Подавляющее большинство недочетов несет низкий или средний риск, но в 8 проектах были найдены критические проблемы. Затронутые репозитории охватывали широкий спектр сценариев использования, включая интеграцию ИИ в корпоративных средах, сервисы для разработчиков и автоматизации, а также инструменты для тестирования безопасности. Эксперты сообщили о критических проблемах мейнтейнерам соответствующих репозиториев.

Мисконфигурации в GitHub Actions потенциально могут превратить пайплайны разработки в инструменты злоумышленников, позволяющие скомпрометировать среду разработки или атаковать инфраструктуру компании. Вовремя выявленные проблемы позволят разработчикам выстроить более безопасные процессы и минимизировать шансы компрометации цепочки поставок.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🈁Компания Anthropic представила Claude Sonnet 5, а также открывает доступ к Fable и Mythos

Новая ИИ-модель Claude Sonnet 5 позиционируется как более мощная и автономная версия среднеразмерной ИИ-модели, разработанная для экономичного запуска агентов. Выпуск Claude Sonnet 5 подтверждает, что агентные возможности становятся базовым стандартом индустрии.Модель способна самостоятельно планировать действия, использовать инструменты в виде браузеров или терминалов, а также работать автономно на уровне, который всего несколько месяцев назад требовал более крупных и дорогих ИИ-моделей. Компании OpenAI и Google также активно развивают это направление. На прошлой неделе OpenAI выпустила предварительную версию GPT-5.6 Sol, а Google в мае представила Gemini 3.5 Flash.

С 30 июня 2026 года Claude Sonnet 5 становится стандартной ИИ-моделью для бесплатных и платных тарифов Pro, а также доступна для любой подписки.

До 31 августа 2026 года стоимость ИИ-модели составляет $2 за 1 млн входных токенов и $10 за 1 млн выходных токенов.

С сентября цена входных токенов увеличится до $3 за 1 млн. Это делает Claude Sonnet 5 дешевле, чем Opus 4.8, GPT-5.5 от OpenAI и Gemini 3.1 Pro от Google, хотя она остается дороже, чем Gemini 3.5 Flash.

По заявлению Anthropic, Claude Sonnet 5 демонстрирует значительный рост показателей по сравнению с выпущенной в феврале версией Sonnet 4.6 в логическом рассуждении, использовании инструментов, написании кода и интеллектуальной работе.

🤖В тесте на агентное написание кода Claude Sonnet 5 набирает 63,2%, в то время как результат Sonnet 4.6 составляет 58,1%, а Opus 4.8 набирает 69,2%.

🤖 В тесте на выполнение интеллектуальной работы новая ИИ-модель незначительно превосходит Opus 4.8, однако последняя сохраняет преимущество в решении самых сложных проблем, таких как принятие тонких решений и глубокие исследования.

Утверждается, что Claude Sonnet 5 реже совершает нежелательные действия, реже галлюцинирует и демонстрирует меньше угодничества по сравнению с Sonnet 4.6. ИИ-модель эффективнее отклоняет вредоносные запросы и лучше защищена от компрометации через внедрение инструкций в промпт (prompt injection).

Сооснователь Lovable Фабиан Хедин (Fabian Hedin) заявил, что ИИ-модель «чисто и последовательно отклоняет небезопасные запросы». При этом ее способность выполнять опасные задачи в ИБ задачах значительно ниже, чем у текущих ИИ-моделей линейки Opus, а в том, что касается несогласованного поведения, она пока не находится на одном уровне с Opus 4.8 и Claude Mythos Preview.

--------------------------

Techcrunch пишут, что компания Anthropic официально восстанавливает доступ к своим флагманским ИИ-моделям Fable и Mythos по всему миру. Власти США пошли на уступки из-за растущего давления рынка, на котором азиатские разработчики начали выпускать ИИ-модели схожего уровня. Администрация президента Дональда Трампа отменила экспортные ограничения.

По заявлению министра торговли США Говарда Лютника, компания Anthropic согласилась самостоятельно выявлять риски безопасности, плотно сотрудничать с правительством при разработке стандартов и сообщать о любой вредоносной активности.

Да, вот ещё:

Claude Fable 5 снова станет доступен глобально завтра.

После серии продуктивных переговоров с правительством США мы возобновляем развертывание модели с новым набором классификаторов, чтобы точнее выявлять и блокировать задачи, связанные с кибербезопасностью.

В ближайшее время некоторые рутинные задачи, такие как программирование и отладка, будут переключаться на Opus 4.8. Мы продолжим дорабатывать эти классификаторы в ближайшие недели, чтобы уменьшить количество ложных срабатываний и лучше различать реальное злоупотребление от законных запросов.

....

Наконец, мы расширяем сотрудничество с правительством США по тестированию моделей и мерам защиты. Это будет включать предрелизный доступ к моделям и мерам защиты для оценки, обмен информацией о взломах и злоупотреблениях...

подтвердила Anthropic.

Похоже, что 🎩🇺🇸АНБ и 🛡 Пентагон дали добро.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
👆🙂Есть нюанс по Fable:

До 7 июля использование Fable 5 включено в стоимость подписки (Pro, Max, Team и некоторые аккаунты Enterprise). На неё может приходиться до 50% от вашего еженедельного лимита запросов.

После 7 июля бесплатный доступ прекращается. Дальнейшая работа с Fable 5 станет возможна только через покупку платных кредитов (usage credits). Если кредитов нет, то модель перестанет отвечать.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🈁 Пользователи обнаружили незадокументированный функционал в Claude Code для идентификации 🇨🇳китайских пользователей

Переполох начался на платформе Reddit, где независимый исследователь под ником LegitMichel777 во время реверс-инжиниринга ИИ-агента Claude Code (версии 2.1.196) обнаружил подозрительную скрытую логику внутри бинарного файла. Новость мгновенно разошлась в соцсети X и на Reddit. Прозвучали громкие заявления о том, что Anthropic тайно внедрила ❗️🥷«шпионское ПО». Если говорить более точно, то речь идёт о незадокументированном функционале скрытого фингерпринтинга окружения с использованием стеганографии промптов.

Говоря простыми словами, Anthropic встроила в свой инструмент для разработчиков невидимый механизм проверки, который срабатывает исключительно тогда, когда пользователь переопределяет системную переменную ANTHROPIC_BASE_URL, направляя запросы не на официальный сервер api.anthropic.com, а через кастомные API-прокси или сторонние шлюзы.

Текущий алгоритм жёстко заточен под 🇨🇳Китай и незаметно анализирует две метрики:

Часовой пояс. Если система использует таймзоны Шанхая (Asia/Shanghai) или Урумчи (Asia/Urumqi), разделитель в строке даты скрытого системного промпта меняется с дефиса на слэш (например, 2026-06-30 превращается в 2026/06/30).

API-эндпоинт. Имя прокси-хоста сверяется со списком доменов и ключевых слов китайских ИИ-лабораторий (DeepSeek, Moonshot, MiniMax, Stepfun, Baichuan, Xaminim, Zhipu, BigModel, 01AI, Dashscope, Volces и др.). При совпадении стандартный апостроф в слове Today's заменяется на один из визуально идентичных Unicode-символов.

Сам список триггеров зашифрован внутри бинарного файла с помощью кодирования Base64 и XOR-преобразования с ключом 91.

Пользователи предполагают, что цель этой скрытой телеметрии — защита интеллектуальной собственности (предотвращение дистилляции ИИ-моделей конкурентами) и борьба с чёрным рынком API.

🤔 Более того, высказывается гипотеза, что секретный цифровой маркер служит сигналом для сервера: обнаружив его, система может искусственно ухудшить качество инференса, осуществить саботаж или даже кражу данных. При этом сам фильтр примитивен. Он легко обходится сменой доменного имени, поэтому алгоритм в основном бьёт по обычным разработчикам с легитимными, но нестандартными настройками.

Для обхода недавнего обнаружения Anthropic самым простым способом является изменение системной временной зоны на Asia/Hong_Kong.Таким образом, обнаружение не сработает, при этом сохранится часовой пояс UTC+8, что практически не повлияет на пользователя. Запуск команды: sudo systemsetup -gettimezone — выполнено (требуются права root).

— пишет пользователь 0xJustVibe.

Мнения на Reddit по поводу всей этой истории традиционно разделились. Часть пользователей отмечает, что сбор данных о сети является обычной практикой телеметрии для любого софта (например, веб-браузеров), а в политике конфиденциальности Anthropic формально прописан сбор системных метаданных.

Однако профессиональная среда настроена критически. Хотя алгоритм не ворует файлы и не является классическим вредоносным ПО, Anthropic нанесла серьезный удар по своей репутации. Фактически компания обфусцировала код и намеренно скрыла телеметрию методами стеганографии внутри высокопривилегированного агента, имеющего прямой доступ к файлам и командной строке. Передача данных через невидимую подмену символов вместо открытых полей телеметрии вызвала понятную жесткую критику. Сообщество требует открыто задекларировать этот функционал в документации и добавить официальную возможность его отключения.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Фактически Anthropic целенаправленно использует скрытый фингерпринтинг для 🎖охоты на китайских разработчиков и конкурирующие компании из Китая. Гипотетически под прицелом могут оказаться не только пользователи на территории 🇨🇳КНР, но и пользователи из 🇷🇺 России.

🤔Что получается в сухом остатке? Американская корпорация технически способна выборочно влиять на качество ответов своих ИИ-моделей. В теории это открывает дверь для прямой цифровой дискриминации на уровне алгоритмов: система определяет, что запрос пришел из РФ или Китая, и решает — окей, вот вам код похуже. Хотите безопасную и передовую архитектуру? Нет, для вас сейчас сгенерируем что-нибудь послабее или с сюрпризом под видом галлюцинации в коде, приберегая лучшие решения и качество ответов для пользователей из стран НАТО.

Шутки шутками, но когда скрытый незадокументированный фингерпринтинг вшивают в инструменты для разработчиков...кто его знает, что будет дальше.

Как пишут пользователи, именно осознание этой угрозы заставляет Китай так отчаянно трудиться над развитием собственных суверенных моделей мирового уровня вроде GLM, Qwen и DeepSeek.
--------------------------

🍿Забавно. Инженер команды Claude Code в компании Anthropic Тарик прокомментировал новость, назвав незадокументированный фингерпринтинг 🎩"экспериментом", запущенным еще в марте.

🙂Прекрасная игра слов и никакого мошенничества.

Основной задачей "эксперимента" для Anthropic была защита интеллектуальной собственности компании от дистилляции ИИ-моделей, а также выявление неавторизованных реселлеров, продающих доступ к API в обход ограничений. Гипотеза о борьбе с 🇨🇳дистилляцией подтвердилась.

После критики со стороны общественности — функцию решили откатить, пока шумиха не уляжется.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
6
Расширения для 🧊Chrome и🧊 Firefox под видом бесплатных VPN похищали данные из буфера обмена через вредоносные обновления

Специалисты компании Socket Кирилл Бойченко и Куш Пандья обнаружили вредоносную кампанию, в рамках которой расширения для Chrome и Firefox похищали данные из буфера обмена пользователей. Вредоносные инструменты маскировались под бесплатные VPN-сервисы и распространялись под названием 🕷⚠️VPN Go: Free VPN. На момент публикации отчета расширение для Chrome насчитывало 146 пользователей, а версию для Firefox установили 3 499 человек.

🥷Злоумышленники использовали тактику отложенного обновления. Кто помнит, уже бывали такие случаи.

Первоначальные версии расширений вели себя как обычные прокси-инструменты и не содержали механизма кражи данных из буфера обмена, а вредоносный код внедрялся позже через поэтапные обновления.

В расширении для Chrome опасные функции появились в версии 1.1 от 31 мая 2026 года. Версии 1.1 и 1.2 отправляли перехваченные данные на управляющий сервер. В версии 1.3 злоумышленники перенесли сетевую инфраструктуру на адрес hxxp://77[.]91[.]123[.]187/html/continue[.]php.

Расширение для Firefox развивалось по аналогичной схеме. Версии до 1.3.2 включительно вели себя как прокси-расширения и не содержали механизма кражи данных из буфера обмена, но в версии 1.3.3 появился клиппер. В версии 1.3.4 злоумышленники сменили сервер на тот же IP-адрес 77[.]91[.]123[.]187, который использовался в версии для Chrome.

Технический анализ показывает, что расширения непрерывно контролировали буфер обмена для перехвата паролей, кодов MFA, токенов OAuth, ключей API и адресов криптовалютных кошельков. В Chrome вредоносный контентный скрипт scripts/version.js внедрялся на все страницы через правило <all_urls> при событии document_start. Скрипт каждые 500 миллисекунд вызывал метод navigator.clipboard.readText. Полученный текст разбивался на фрагменты примерно по 1 000 символов, маркировался уникальным идентификатором сессии и передавался в фоновый скрипт scripts/background.js, который отправлял HTTP GET-запросы на C2-сервер.

В Firefox злоумышленники упростили архитектуру и перенесли весь цикл перехвата напрямую в фоновый скрипт scripts/background.js. Проверка буфера обмена там выполнялась каждые 1,5 секунды. Сетевой адрес управляющего сервера авторы скрыли в коде с помощью математических выражений, из которых динамически собиралась итоговая строка URL.

Связь между расширениями подтверждается не только общими серверами, но и совпадениями в исходном коде. В манифесте версии 1.3 для Chrome исследователи обнаружили блок настроек browser_specific_settings с Gecko ID vpngo@vpngo[.]com. Эти параметры характерны исключительно для Firefox и не имеют практического смысла в Chrome, что указывает на общий процесс сборки или единый источник кода.


Специалисты Socket уведомили компании Google и Mozilla о проблеме, после чего расширения были отправлены на проверку для удаления. Пользователям рекомендуется немедленно удалить VPN Go: Free VPN и сменить пароли + секретные ключи (в идеале).

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🇺🇸 ЦРУ сосредоточится на ускорении внедрения искусственного интеллекта в разведывательную деятельность

Директор ЦРУ Джон Рэтклифф в своём выступлении на саммите Amazon Web Services в Вашингтоне объявил о некоторых изменениях внутри ведомства. Главная цель изменений заключается в ускорении внедрения искусственного интеллекта, квантовых вычислений и других передовых технологий в разведывательную практику.

До 2025 года процесс внедрения новых технологий на уровне всего ведомства занимал в среднем 24 месяца, а проведение оценки безопасности требовало еще 9 месяцев. Из-за этого технологии устаревали еще до начала использования. Новая система централизованной проверки поставщиков и упрощенной авторизации нацелена на сокращение общего цикла до 6 месяцев. За последние полгода ведомство уже провело около 400 закупок по новой схеме благодаря сокращению бюрократии и передаче полномочий на нижние уровни.

Реформу снабжения возглавляет директор по закупкам ЦРУ Эфстатия Фрагояннис (Efstathia Fragogiannis), которая перешла в ведомство в ноябре прошлого года из DARPA. Руководитель признал, что ранее ведомство было сложным партнером для взаимодействия с частным сектором. Для исправления ситуации создано Управление корпоративного партнерства, которое уже открыло свои двери и начало активное взаимодействие с такими крупными технологическими компаниями, как SpaceX, Amazon, Google и Dell.

На этом же саммите компания AWS объявила о запуске специализированной программы поощрения для разведывательного сообщества США с выделением облачных кредитов на сумму до $1 млрд. Инициатива продлится до октября 2030 года, а ее цель заключается в существенном снижении финансовых барьеров и компенсации затрат спецслужб на перенос ИТ-нагрузок из локальных систем в облачную среду. По заявлению Amazon, ЦРУ, которое является давним клиентом AWS, намерено активно использовать эту программу.

Утверждается, что разработки ЦРУ помогли провести несколько недавних операций, включая похищение президента Венесуэлы Николаса Мадуро в январе 2026 года и спасение американского пилота в Иране в начале апреля 2026 года. Джон Рэтклифф сравнил поисковую операцию с поиском иголки в стогу сена и подчеркнул, что успех зависел от инноваций, креативности и технологических возможностей ведомства.

Для закрепления этих успехов ЦРУ проводит масштабную реструктуризацию. Директорат цифровых инноваций переименован в Директорат систем обеспечения миссий (Directorate of Mission Systems, DMS). Из его ведения убрали проведение наступательных киберопераций и ведение OSINT, перенацелив структуру на базовые функции: кибербезопасность, передовые данные и инфраструктурные услуги. Джон Рэтклифф назвал этот директорат щитом ведомства.

Наступательным мечом ЦРУ в сфере кибербезопасности станет Центр киберразведки (Center for Cyber Intelligence, CCI), отвечающий за секретные кибероперации. Он повышен до статуса полноценного Центра выполнения задач (Mission Center), позволяя объединить под одним руководством операционные, аналитические, вспомогательные, технические и цифровые возможности.

Джон Рэтклифф подчеркнул, что эта реформа является фундаментальным изменением технологического подхода ведомства, а не просто перекладыванием бумаг на схеме организационной структуры. По его словам, сотрудникам ЦРУ придется научиться работать со строками кода так же уверенно, как они работают с агентурными источниками. При этом он добавил, что качественная разведка всегда требует человеческого суждения, поэтому принимать финальные решения должны только люди.

🔬 Руководитель ведомства также подчеркнул, что ИИ буквально трансформирует методы работы спецслужбы, поэтому ЦРУ готово идти на разумные риски и экспериментировать с новыми инструментами. По его мнению, разведка не может позволить себе ждать абсолютно безопасных подходов к новым технологиям, так как в ИТ-сфере их просто не существует в природе.

👀 Источники: 1,2,3,4

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🌐Google начала тестирование нового метода проверки в reCAPTCHA, который требует доступа к камере устройства для распознавания жестов рук

Верификация по жестам рук (hand gesture verification) — компонент системы Google Cloud Fraud Defense, предназначенный для защиты от автоматизированных угроз.

Функция выполняет проверку «живости» (liveness detection). В процессе пользователь должен совершить жест перед камерой. Система записывает короткий видеофрагмент, из которого извлекает 21 координату — узлы суставов пальцев и геометрию ладони. Этот набор данных используется алгоритмом для того, чтобы убедиться, что действие совершает человек, а не автоматизированный скрипт.

📸 Для использования функции требуется доступ к камере устройства.

Согласно документации Google, компания заявляет о следующих мерах защиты приватности:

▪️Видеозапись не сохраняется и удаляется сразу после завершения процесса проверки.
▪️Аудиозапись не ведется.
▪️Биометрические данные не привязываются к личности пользователя и не передаются третьим лицам.
▪️Пользователи, которые не могут выполнить жесты, могут воспользоваться традиционными визуальными или аудио-задачами.

Внедрение функции вызвало обеспокоенность среди защитников приватности. Скептики отмечают, что запрос на использование 📲камеры для простой проверки — биометрическое сканирование, требующее включения камеры для Google. Существует недоверие к статусу «опциональности» функции. Критики полагают, что в будущем подобные методы могут стать обязательными, вытеснив более простые способы подтверждения личности.

Учитывая бизнес-модель Google, основанную на сборе данных, пользователи выражают сомнения относительно того, как долго и в каком объеме данные о жестах будут оставаться защищенными.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Excel-опросники врут, а сканировать нельзя. Как реально контролировать ИБ контрагентов и ДЗО?

Любой опытный CISO знает: аудит третьих сторон - это вечная головная боль.

Контрагенты присылают отписки: в анкетах у всех «всё защищено», а на деле - внутренние процессы "на нуле".
Активный аудит нелегален: сканировать инфраструктуру подрядчика без письменного разрешения нельзя (чревато ст. 272 УК РФ), а ставить агенты в их сеть никто не позволит.
Ресурсы ограничены: вручную проверить безопасность 200+ поставщиков силами ИБ-отдела физически невозможно.

Приглашаем на вебинар CICADA8, где мы без маркетингового хайпа обсудим методологию и автоматизацию контроля внешней экосистемы бизнеса.

🗓 Когда: 16 июля, 11.00 (МСК)
📍 Формат: Онлайн-трансляция для практиков (CISO, GRC, ИБ-аудиторов)
Кейс CICADA8: архитектура экспресс-аудита ИБ в холдинге с распределенной сетью ДЗО.

Регистрируйтесь уже сейчас
#реклама
О рекламодателе