Russian OSINT
46.8K subscribers
5.16K photos
331 videos
117 files
4.68K links
Авторский канал: кибербезопасность, искусственный интеллект и IT.

🚀Лаборатория OSINT
@russian_osint_lab

🤝Реклама
@russian_osint_pr
https://telega.in/c/Russian_OSINT

📲Связь
@russian_osint_bot

👉MAX (резерв)
https://max.ru/russian_osint
Download Telegram
📖Cloudflare представила новый инструмент под названием Precursor для борьбы со сложными ИИ-ботами

Обычно системы защиты вроде капчи или сервиса Turnstile оценивают посетителя только в определённые моменты. Например, при входе в личный кабинет или во время оплаты. Бот заходит на сайт, проходит одну проверку и дальше может делать всё, что захочет.

Современные автоматизированные ИИ-агенты научились отлично обходить такие точечные барьеры. Они запускают реальные браузеры, выполняют код JavaScript и успешно имитируют поведение человека во время короткой проверки. Написать скрипт, который выглядит естественно в течение нескольких секунд, не так сложно. Однако поддерживать реалистичное человеческое поведение на протяжении всей сессии гораздо труднее и дороже.

🕵️Система Precursor решает эту проблему за счёт непрерывного отслеживания активности. С технической точки зрения процесс устроен следующим образом:

▪️Внедрение кода. Когда на сайте включена функция Precursor, серверы Cloudflare автоматически добавляют лёгкий скрипт JavaScript в каждый HTML-ответ, проходящий через граничную сеть компании. Владельцам сайтов не нужно менять код вручную.
▪️Сбор сигналов. Скрипт постоянно собирает поведенческие сигналы в реальном времени. Он фиксирует движение мыши, нажатия клавиш, изменения фокуса и видимость страницы.
▪️Анализ траекторий. Данные отправляются на анализ, где алгоритмы оценивают физику движений. Настоящий человек двигает мышь по дуге из-за строения запястья, делает паузы для осмысления информации, а его рука совершает микроскопические колебания (физиологический тремор). Боты же обычно перемещают курсор по идеальным математическим линиям с фиксированной скоростью.
▪️Оценка сессии. Данные Precursor накапливаются в рамках всей сессии. Бот не сможет сбросить свою поведенческую подпись, даже если просто обновит страницу или запросит новую проверку.

В панели управления Cloudflare владельцы сайтов могут гибко настроить режим работы системы. Например, можно запустить её в фоновом режиме для минимизации влияния на пользователей или принудительно запрашивать проверку, если сессия ещё не подтверждена.

👆🤔 Главный редактор CyberInsider Алекс Лекандер отмечает, что технология расширяет телеметрию за пределы страниц аутентификации на рутинные действия при просмотре сайтов. Пользователи могут даже не догадываться, что за их поведением следят, если только владельцы ресурсов сами не укажут это в политике конфиденциальности.

Инженеры Cloudflare Марина Элмор и Бенедикт Вольтерс пытаются парировать и заявляют, что система спроектирована с учётом конфиденциальности. При отслеживании клавиатуры фиксируется только ритм и тайминг нажатий, а не конкретные символы. Все поведенческие сигналы анализируются в виде агрегированных шаблонов. Они не привязываются к личным профилям пользователей и даже не показываются владельцам сайтов в их панелях управления.

Сейчас Precursor развёртывается для клиентов тарифа Enterprise Bot Management. Функция останется бесплатной на этапе предварительного просмотра до полноценного релиза, который состоится позже в 2026 году.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
🇺🇸 В США запустили координационный центр GOLD EAGLE для поиска уязвимостей с помощью 🤖ИИ

Администрация президента США запустила инициативу GOLD EAGLE, которая представляет собой координационный центр по ИИ и кибербезопасности. Он объединит разработчиков передовых ИИ-моделей с операторами критической инфраструктуры, включая финансовые организации, больницы, энергетические компании и коммунальные службы. Участие частных компаний будет добровольным.

Основная задача GOLD EAGLE состоит в координации защиты и обмена информацией об уязвимостях, выявленных с помощью ИИ. Участники смогут обмениваться сведениями, проверять результаты, исключать дублирование сканирования одних и тех же систем, а также согласовывать приоритеты исправления и распространения патчей. В инициативе смогут участвовать и разработчики открытых ИИ-моделей, но Белый дом пока не раскрыл список конкретных компаний.

Создание центра предусмотрено указом Дональда Трампа № 14409 от 2 июня 2026 года. GOLD EAGLE сформировали Министерство финансов США совместно с аппаратом Национального кибердиректора, Министерством войны США через АНБ и Министерством внутренней безопасности через CISA.

👆Высока вероятность, что к инициативе в первую очередь подключатся OpenAI и Anthropic.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
👀 Платформа alphaXiv запустила интерактивную карту ИИ-исследователей Global Researcher Map

Команда платформы alphaXiv представила новый инструмент под названием Global Researcher Map, который визуализирует мировое сообщество специалистов в области искусственного интеллекта. Проект позволяет изучать связи между учёными, их проектами и научными организациями.

Инструмент представляет собой интерактивную карту, на которой ИИ-исследователи распределены по цветным кластерам в зависимости от сферы их работы. Среди ключевых направлений на карте представлены глубокое обучение (Deep Learning), выравнивание ИИ (AI Alignment), базовые модели (Foundation Models), воплощённый ИИ (Embodied AI), мультимодальный ИИ (Multimodal AI) и ИИ для науки (AI for Science).

Пользователи могут искать интересующих авторов, темы исследований или институты, чтобы наглядно увидеть структуру научного сообщества. При выборе конкретной точки на карте открывается профиль ИИ-исследователя. В нём отображаются фотография учёного, его место работы, количество цитирований и индекс Хирша.

👨‍🔬🔬Оценить масштаб научной сети можно на официальном сайте проекта:

https://www.alphaxiv.org/researchers/map

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Russian OSINT
🤔Grok Build от компании ❗️SpaceXAI тайно сливал целые Git-репозитории разработчиков в облако

Исследователи в Х и на Reddit обсуждают горячую новость про скрытую передачу конфиденциальных данных в Grok Build CLI. ИБ-исследователь Cereblab обнаружил, что версия Grok Build CLI 0.2.93 загружала в облако файлы, добавленные в Git, вместе с историей коммитов. В результате на серверы могли попадать исходный код, конфигурационные файлы и секреты, которые сохранялись в текущей или предыдущих версиях проекта.
🦆SpaceXAI решили перехватить информационную повестку в связи с последними событиями...

🚰 Спалиться на скрытом канале слива данных, судорожно дёрнуть глобальный корпоративный рубильник, а затем выложить всю тулзу в опенсорс, чтобы захватить информационную повестку. «Мы открыли исходники, чтобы вы могли сами провести аудит этой шпионской программы».

Абсолютный мастер-класс по пиар-выкрутасам.

— тонко подмечает пользователь CyberSatoshi.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Где этой осенью будут обсуждать ИТ не в теории, а по-настоящему?

На IT Elements 2026 — конференции для инженеров, архитекторов, безопасников и руководителей технических команд, которые отвечают за устойчивость критических ИТ-систем бизнеса.

Здесь не пересказывают тренды и не показывают “идеальные схемы”. Здесь разбирают, как в реальности строят инфраструктуру, мигрируют с иностранных решений, защищают системы, восстанавливают сервисы после инцидентов и обеспечивают работу ИТ под нагрузкой.

Что ждет участников:
📌 реальные инженерные кейсы из крупных компаний;
📌 лаборатории, технические воркшопы и практические разборы;
📌 дискуссии про отказоустойчивость, безопасность и эксплуатацию;
📌 общение с инженерами, архитекторами и ИТ/ИБ-руководителями.

Формат: офлайн в Москве и онлайн.
Участие бесплатное.

Регистрация уже открыта — оставляйте заявку на сайте конференции.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇮🇱🇺🇸Израильский конкурент Palantir продаёт 👮американской полиции шпионские фургоны за $1 млн

Старший автор Forbes Томас Брюстер опубликовал материал о том, как израильский разработчик систем наблюдения Cognyte активно осваивает рынок США. Компания поставляет местным правоохранительным органам спецавтомобили, оборудованные комплексами негласного отслеживания мобильных телефонов.

В основе предложения Cognyte лежит система FalcoNet. Это имитатор базовой станции сотовой связи, действующий аналогично известным устройствам Stingray от оборонного гиганта L3Harris. Комплекс имитирует вышку сотовой связи и принудительно подключает к себе все мобильные телефоны в радиусе действия. Полиция может определять местоположение устройств, принадлежащих как подозреваемым, так и случайным прохожим.

Система FalcoNet отличается высокой мобильностью. Оборудование можно незаметно разместить внутри автомобиля, переносить в рюкзаке для пеших операций или закрепить на вертолёте. По заявлениям Cognyte, развёртывание системы занимает всего 3 минуты, а за 1 минуту она способна принудительно подключить тысячи устройств. При этом решения компании дешевле предложений конкурентов. Например, в штате Нью-Мексико израильский производитель обошёл американского поставщика Jacobs Engineering, предложив цену на $100 000 ниже.

Среди ключевых американских клиентов Cognyte выделяются полиция и Военное министерство США.

Помимо FalcoNet, Cognyte 🗺 предлагает средства глобальной геолокации абонентов, известные под названиями 🥷❗️SkyLock и FirstMile. В статье упоминается Skylark, но, скорее всего, допущена ошибка в названии со стороны Forbes.

Компания также активно продаёт ИИ-инструменты для анализа больших объёмов данных, помогающие полиции искать зацепки и прогнозировать правонарушения. Генеральный директор Cognyte Элад Шарон отметил, что поставка фургонов открывает путь для дальнейших продаж аналитических платформ.

Деятельность Cognyte и её бывшей материнской компании Verint неоднократно сопровождалась скандалами, связанными с нарушением прав человека:

▪️Сбор данных в соцсетях: В конце 2021 года Meta обвинила Cognyte в создании более 100 фейковых аккаунтов для сбора информации о журналистах и политиках в таких странах, как 🇷🇸Сербия, 🇨🇴Колумбия и 🇰🇪Кения.

*Деятельность компании Meta (владеет Facebook, Instagram, WhatsApp) запрещена в РФ и признана 🏴‍☠️экстремистской.

▪️Обход санкций: До отделения от Verint в 2021 году структура Cognyte в 2020 году продала технологии перехвата звонков в 🇲🇲Мьянму в обход запрета израильского правительства.

▪️Использование против активистов: Ранее технологии Verint поставлялись в 🇸🇸Южный Судан, где их применяли для запугивания журналистов, и в 🇮🇩Индонезию для выслеживания активистов и религиозных меньшинств. Сама компания Verint, которой руководил бывший инженер Армии обороны Израиля (IDF) Дан Боднер, в 2025 году была выкуплена инвестиционной фирмой Thoma Bravo за $2 млрд и стала непубличной.

👆Для использования имитаторов базовых станций обычно 👮требуется ордер, но полиция находит лазейки. Исполнительный директор по связям с общественностью полиции штата Нью-Йорк Бо Даффи подтвердил, что фургоны Cognyte применяются без судебного решения в экстренных случаях, таких как похищение детей. В Балтиморе, где аналогичный комплекс приобрели в 2022 году за $920 000, правила разрешают использовать устройство без ордера до 48 часов для поиска подозреваемых в тяжких преступлениях.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Канал 🔨SecAtor пишет интересное:

Исследователи Лаборатории Касперского обнаружили новую APT-атаку с использованием ранее неизвестного инструментария, которая началась как минимум в мае 2026 года и остается активной на момент публикации.

Кампания получила условное наименование HelloNet и включает в себя новые вредоносные модули, которые запускаются через систему обновления ViPNet (программный комплекс для создания защищенных сетей).

В ходе исследования в ЛК выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности.

Причем это уже не первый случай, когда APT-группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году был детектирован сложный бэкдор, мимикрирующий под обновления ViPNet.

Возвращаясь к HelloNet, в одной из проанализированных систем специалисты выявили вредоносный файл c именем wtsapi32.dll в директории, которая относится к системе обновления комплекса ViPNet.

Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading - ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте ОС.

Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.

Wtsapi32.dll является загрузчиком, который был назван HelloInjector. Его основная цель - внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку.

После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в ОС.

Он ищет процесс, имя которого содержит строку svchost, а командная строка - строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.

После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.

Вредоносная нагрузка, которую назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер.

Работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown, который осуществляется с помощью Microsoft библиотеки Detours. После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера.

В ходе исследования ЛК удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:

- Имплант, который назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
- Модуль для очистки файлов журналов ПО ViPNet, который был назван HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.

Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который в ЛК назвали HelloBackdoor.

В настоящее время в ЛК с низкой долей уверенности связывают данную кампанию с деятельностью неизвестной китайскоязычной APT. Все технические подробности и IOCs - в отчете.
Please open Telegram to view this post
VIEW IN TELEGRAM
🇮🇱 Новые разоблачения шпионской программы 🇮🇱Pegasus на фоне визита премьер-министра Франции в Марокко

Официальный визит премьер-министра Франции Себастьяна Лекорню в Рабат 15–16 июля 2026 года, направленный на укрепление двусторонних отношений, проходит на фоне резонансных политических событий. Французская делегация, в которую вошли 12 министров, включая главу МИД Жана-Ноэля Барро, министра внутренних дел Лорана Нуньеса и министра экономики Ролана Лескюра, проводит встречи с марокканским премьером Азизом Аханнушем. Главными темами переговоров стали масштабные инфраструктурные инициативы, в частности проект прокладки подводного электрического кабеля французской компанией RTE, а также разработка исторического договора о дружбе. Документ, который готовят бывший глава МИД Франции Юбер Ведрин и марокканский политик Шакиб Бенмусса, должен заложить фундамент для осеннего государственного визита короля Мухаммеда VI в Париж. Однако амбициозная дипломатическая повестка оказалась омрачена недавними арестами франко-марокканского журналиста Али Лмрабета и режиссера Эль Махди Льюби, а также публикацией нового расследования о тотальном кибершпионаже со стороны Рабата.

Материалы, опубликованные консорциумом из 15 мировых СМИ (включая Forbidden Stories и Le Monde), раскрывают внутреннюю кухню марокканской разведки DGST благодаря уникальным показаниям беглого экс-агента под псевдонимом «Сафир». Согласно утечкам, до приобретения израильской системы Pegasus от NSO Group ведомство активно применяло итальянское программное обеспечение Remote Control System (RCS) от Hacking Team, целенаправленно заражая компьютеры в интернет-кафе и внедряя вредоносное ПО в смартфоны 📱Samsung Galaxy S6 Edge, которые затем продавались активистам в регионе Риф.

Осенью 2017 года представители NSO Group продемонстрировали свои технологии в Рабате, после чего высокопоставленные офицеры марокканской разведки — руководитель киберопераций DGST Абдельджалил Таки, главный IT-специалист DGEI Амин Лаббарди и архитектор программы прослушки Мохаммед Раджи — успешно перешли на Pegasus. Шпионское ПО позволило спецслужбам дистанционно извлекать все данные с устройств и активировать микрофоны атаками «нулевого клика».

Утверждается, что мощный технологический арсенал, выстроенный под контролем главы внутренней разведки Абдельлатифа Хаммуши, использовался как против зарубежных лидеров, включая президента Франции Эмманюэля Макрона и самого Себастьяна Лекорню в его бытность министром обороны, так и для жестокого подавления внутренних диссидентов. Показательным примером стала многолетняя кампания против репортера Омара Ради. Его квартиру оборудовали скрытыми камерами, за ним велась непрерывная слежка, а при задержании в 2020 году полиция использовала программный комплекс Cellebrite для взлома его телефона. Бывшие сотрудники разведки утверждают, что запросы на мониторинг высокопоставленных иностранных чиновников могли исходить напрямую от Фуада Али эль-Химмы, влиятельнейшего советника короля. Несмотря на технические доказательства, официальный Рабат отрицает использование шпионского ПО.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM