PhantomRPC: новый вектор повышения привилегий в Windows RPC

В Windows обнаружили ещё одну поверхность атак в старом механизме межпроцессного взаимодействия. Техника PhantomRPC позволяет локально повысить привилегии за счёт особенностей архитектуры RPC, а не ошибки в одной конкретной службе.

«Межпроцессное взаимодействие (IPC) — одна из наиболее сложных технологий в операционной системе Windows. В основе этой экосистемы лежит механизм удаленного вызова процедур (RPC), который может функционировать как самостоятельный канал связи или выступать базовым транспортным уровнем для более продвинутых технологий межпроцессного взаимодействия», - пишет «Лаборатория Касперского», обнаружившая проблему.

Механика атаки такова. Атакующий поднимает поддельный RPC-сервер и регистрирует тот же идентификатор UUID и ту же конечную точку, который ожидает клиент. Если легитимный сервер в этот момент недоступен, клиент обращается к подменённому серверу.

Дальше срабатывает штатная возможность Windows – RpcImpersonateClient, применяемая при авторизации и позволяющая серверу проверить доступ к ресурсам. Поддельный сервер получает контекст клиента и начинает действовать от его имени. Если запрос пришёл от процесса с высокими привилегиями, итогом может стать доступ уровня SYSTEM или администратора.

Ключевое условие — наличие у атакующего процесса привилегии SeImpersonatePrivilege. Она часто есть у учётных записей Network Service и Local Service. В исследовании показано, что этого достаточно для эксплуатации в ряде сценариев, особенно когда нужная служба отключена или не запущена.

Исследователи обращают внимание, что данная атака имеет существенное отличие от семейства эксплойтов Potato, которые так же предназначены для повышения привилегий в операционных системах Windows. В Potato обычно эксплуатируются уязвимости отдельных компонентов. Новая же проблема является следствием того, что RPC-рантайм не проверяет легитимность RPC-сервера и позволяет другому процессу зарегистрировать ту же конечную точку, что и у легитимного сервера.

Атака невидима для стандартных проверок, посколкьу с точки зрения системы вызов уходит на корректный эндпойнт, а подмена происходит на уровне регистрации сервера, где явной проверки подлинности нет.

До появления исправлений «Лаборатория Касперского» предлагает несколько временных мер:
— сократить использование SeImpersonatePrivilege у нестандартных процессов;
— по возможности держать штатные RPC-службы включёнными, чтобы их конечные точки не оставались свободными;
— включить ETW-мониторинг событий RPC и отслеживать RPC_S_SERVER_UNAVAILABLE у привилегированных клиентов.

В отчете также сказано, что сценарии эксплуатации подтверждены на Windows Server 2022 и Windows Server 2025 с актуальными обновлениями. Описанная техника рассматривается как архитектурная проблема, поэтому затронутыми могут оказаться и другие версии Windows.

Источник: https://eyes.etecs.ru/r/37408b

#уязвимость

Dragos: атаки на АСУ ТП смещаются к изучению физического процесса

В новом отчёте Dragos Year in Review 2026 исследователи приходят к выводу, что противники в промышленных сетях всё чаще изучают контуры управления, а не просто закрепляются в инфраструктуре. Злоумышленники собирают данные с инженерных станций, выгружают конфигурации, аварийные сигналы и сведения о процессе. Это сокращает путь от компрометации до попытки повлиять на физический процесс.

В 2025 году Dragos наблюдала 26 групп, нацеленных на OT, и считает это минимальной, а не полной картиной рынка угроз. Из них три – это новые хакерские группы: AZURITE, PYROXENE и SYLVANITE. Все действуют по общей схеме: сначала получить доступ через внешние устройства, подрядчиков, VPN и пограничные сервисы, затем передать точку входа тем, кто работает уже ближе к АСУ ТП.

Особенно показателен союз группировок KAMACITE и ELECTRUM. По данным Dragos, KAMACITE в 2025 году расширила разведку на европейскую цепочку поставок и вела целевое сканирование доступных в интернете промышленных устройств в США. Последовательность интереса к человеко-машинному интерфейсу, приводам, счётчикам и шлюзам указывает на попытку понять как именно проходит управление процессом.

Из других наблюдений. В 2025 году компания отслеживала 119 групп программ-вымогателей и более 3300 затронутых промышленных организаций.

Интересно и упоминание о «чисто ИТ-инцидентах». Dragos пишет, что такие случаи часто неверно классифицируют.

Наиболее практичная часть отчёта касается видимости. В 30% расследований поводом к расследованию была фраза вроде «что-то работает странно», а нужных данных для ответа, была ли это кибератака, просто не существовало. Dragos оценивает, что мониторинг есть менее чем у 10% АСУ ТП в мире.

По уязвимостям картина тоже приземлённая. Медианное время от публикации до появления публичного эксплойта — 24 дня. При этом 26% бюллетеней не содержали исправления, а 15% записей имели ошибки в оценке CVSS. Для АСУ ТП это ещё один аргумент в пользу приоритизации по доступности актива, роли в процессе и факту внешней экспозиции, а не только по баллу.

Если свести отчёт к одной мысли, то она такая: главный риск в АСУ ТП сейчас создают внешние точки входа, слабая сегментация, удалённый доступ и нехватка телеметрии. Экзотика встречается реже, чем компрометация VPN, шлюза, гипервизора или учётной записи подрядчика.

Источник: https://eyes.etecs.ru/r/ced321

#отчет #АСУТП

В России смягчили требования к разработчикам ИИ

Правительство России не станет предъявлять требования к наборам данных, предназначенных для обучения моделей искусственного интеллекта (ИИ), пишет РБК. Соответствующие изменения внесены в законопроект «Об основах государственного регулирования сфер применения технологий искусственного интеллекта в России». Отсутствие требований дает разработчикам свободу для использования любых доступных данных для обучения моделей.

Ранее представители бизнеса раскритиковали требование, чтобы модели, претендующие на статус суверенных и национальных, обучались только на данных российского происхождения. Эксперты отрасли поясняли, что русскоязычных данных из открытых источников недостаточно, а запрет на иностранные приведет к деградации качества моделей.

Авторы законопроекта убрали требование о разработке и обучении суверенных и национальных моделей гражданами России. Теперь для получения подобного статуса достаточно, чтобы разработку вело российское юрлицо и чтобы было подтверждено, что модель соответствует отечественному законодательству и традиционным духовно-нравственным ценностям, уточняют источники РБК.

Источник РБК, участвующий в обсуждении документа, рассказал, что из новой версии также исключили требование для сервисов с аудиторией более 500 тыс. пользователей регистрироваться в качестве организатора распространения информации (ОРИ). Это призвано облегчить работу соцсетей, мессенджеров, сервисов электронной почты и других площадок. Вместе с с тем все ОРИ должны устанавливать системы оперативно-розыскных мероприятий (СОРМ), через которые спецслужбы могут получать доступ к переписке и данным пользователей.

Кроме того, по данным РБК, в новой редакции законопроекта авторы отказались от распределения ответственности между всеми участниками рынка.

Напомним, в марте на портале Regulation.gov.ru был опубликован законопроект об основах регулирования ИИ, который описывает три категории ИИ-моделей: «суверенные», «национальные» и «доверенные». Документ предлагал допускать к работе в госинформсистемах и на объектах критической информационной инфраструктуры только те модели, которые обрабатывают данные исключительно на территории России.

Проект вызвал бурное недовольство со стороны экспертов рынка. Они предупреждали, что принятие законопроекта в первоначальном виде приведет к росту затрат на внедрение ИИ на 20–40% и замедлит вывод продуктов на рынок в полтора-два раза. Кроме того, участники дискуссии указывали на то, что в России нет моделей, соответствующих всем заявленным критериям.

Источник: https://eyes.etecs.ru/r/2fe360

#ИИ #законопроект

Когда ИИ-агент ищет лишние полномочия

Практический риск в системах с языковыми моделями упирается не только в качество кода. Важнее то, как модель видит инфраструктуру и какие переходы между сервисами ей доступны. Даже если агент изолирован в отдельном сетевом пространстве и имеет только формально ограниченный доступ, этого может хватить для построения нового пути к исполнению команд.

Именно такой сценарий описывает один из пользователей Telegram. Модель жила в отдельном namespace, ходила наружу через socks5, имела доступ к API внешней модели и к нескольким сервисам только на чтение: мониторингу, журналам, отладочным интерфейсам.

На таком наборе прав агент помогал с персонализированной автономной средой homelab, отладкой и скриптами выкладки. То есть работал как сильный администраторский помощник. Но затем модель сама предложила зайти на узел через внутренний API, запустить задачу и получить данные через ethtool.

Ключевой момент в том, что новый путь доступа возник через комбинацию уже разрешённых интерфейсов, причем модель сама дописала код для API запуска задач.

Это хороший пример того, как ИИ может участвовать в поиске уязвимых переходов по цепочке доверия. Достаточно заметить, что:
- один сервис даёт обзор инфраструктуры;
- другой позволяет запускать действия;
- вместе они образуют фактическое повышение полномочий.

Как видно, здесь нет никакой «магии». Агент быстро сопоставляет документацию, журналы, API и собственный код. В результате он находит рабочие маршруты там, где оператор видит набор разрозненных ограничений.

Источник: https://eyes.etecs.ru/r/8aa862

#ИИ

VPN для избранных: россиянам, возможно, придется платить по 4500 рублей за 1 Гб

В Минцифры обсуждается схема, при которой мобильные операторы смогут отдельно тарифицировать иностранный трафик. Дело в том, что отличать VPN-трафик от обычного трафика сложно, а считать весь внешний трафик отдельно технически проще. Об этом сообщил глава совета Фонда развития цифровой экономики Герман Клименко изданию НСН.

Таким образом, акцент смещается с точечной блокировки сервисов на управление всей трансграничной связностью.

По словам Клименко, только 20-30% россиян будут готовы платить за зарубежный трафик.

«При этом это не отменяет работу международных сим-карт, - уточняет он. – Сегодня можно купить eSIM за 60 долларов в месяц, это примерно гигабайт. Вот примерно такие расценки могут быть. В таком случае примерно 20-30% готовы будут платить, 70% - не будут. Конечно, все это направлено на снижение потребления запрещенных соцсетей».

Для операторов такая модель выглядит реалистично. Маршрутизация по зарубежным направлениям, учёт объёма и раздельная тарификация являются штатной функцией телекоммуникационных сетей. На практике сложность будет в деталях: как считать трафик к CDN, облакам, зарубежным API, системам обновлений и корпоративным сервисам, которые встроены в рабочие процессы.

Для пользователей это уже не вопрос доступа к соцсетям. Под возможное влияние попадают мобильные рабочие сценарии: внешние панели управления, облачные средства защиты, MDM, зарубежные репозитории, уведомления, телеметрия, резервные каналы связи. Если мера коснётся мобильного интернета, часть служебного трафика может перейти из «прозрачного фона» в отдельную статью затрат или ограничений.

Параллельно с этим обсуждается белый список VPN, которые будут разрешены к использованию.

Источник: https://eyes.etecs.ru/r/c886e2

#блокировки #зарубежныйтрафик

McKinsey: эпоха ИИ-агентов упирается в доверие и управление

По данным опроса McKinsey AI Trust Maturity Survey 2026, главный барьер для масштабирования ИИ-агентов сегодня — безопасность и риск. Аналитики опросили около 500 организаций в конце 2025 — начале 2026 года и выявили десять ключевых выводов о доверии к искусственному интеллекту (ИИ).

С точки зрения доверия к ИИ сегодня, отмечаются следующие тренды:

- зрелость ответственного ИИ продолжает улучшаться, однако стратегия, управление и агентные средства контроля ИИ отстают, и только около 30% организаций могут заявлять о зрелом ИИ;
- зрелость ответственного ИИ варьируется в зависимости от отрасли и региона: Азиатско-Тихоокеанский регион лидирует в мире, а технологии, СМИ, телекоммуникации и финансовые услуги превосходят другие сектора;
- инвестиции в ИИ тесно связаны с более высокой зрелостью ИИ и реализованной стоимостью.

Что касается возникающих рисков и проблем, то здесь аналитики видят следующие особенности:

- проблемы безопасности и рисков являются главным препятствием для масштабирования агентного ИИ;
- неточность и кибербезопасность остаются наиболее часто упоминаемыми рисками ИИ по мере расширения его внедрения;
- активное смягчение рисков отстает от осведомленности о рисках практически по всем категориям рисков ИИ;
- частота инцидентов с ИИ остается стабильной, но уверенность в реагировании организаций снизилась.

Если говорить о том, как реагируют предприятия и организации, то здесь вырисовываются следующие моменты:

- пробелы в знаниях и обучении являются основным барьером для внедрения RAI;
- организации с четкой ответственностью за RAI достигают более высоких показателей зрелости, чем те, у которых нет четкой ответственности;
- доверие к ИИ все чаще рассматривается как инструмент, способствующий развитию бизнеса, а не как процедура соблюдения требований.

Источник: https://eyes.etecs.ru/r/ffa7f6

#отчет

Хакеры Geo Likho атакуют российскую авиацию и водный транспорт

Киберпреступная APT-группа Geo Likho, известная атаками на организации в России и Беларуси с июля 2024 года, замечена в новой вредоносной кампании.

Согласно «Лаборатории Касперского», как и в предыдущих случаях, целью группы является кибершпионаж. Злоумышленники стараются закрепиться в скомпрометированной инфраструктуре надолго, осуществляя постоянное наблюдение за жертвой.

Новая серия атак начиналась с фишинговых писем, содержащих ссылки на вредоносные VBE-скрипты. Это само по себе нетипично для злоумышленников и является отличительной чертой Geo Likho.

Еще одним индикатором злоумышленников является использование уникальных вредоносных файлов для каждой жертвы. Идентификатор жертвы жестко зашит в каждом вредоносном образце. Кроме того, Geo Likho часто меняет свою инфраструктуру, чтобы оставаться неуловимой для защитников.

Фишинговое письмо, как правило, содержит архив, который запускает вредоносный скрипт, закодированный при помощи алгоритма Microsoft (MD5: 9299e7ac2d5d4902bb04be201b41b2ac). Начальный запрос, который этот скрипт отправлял в командный центр, содержал уникальный идентификатор жертвы. В ходе обмена информации с сервером управления и контроля, злоумышленники получали информацию о жертве – установленной операционной системе, наличия средств защиты.

Вторым этапом вредоносный загрузчик скачивает APT-имплант, написанный на Delphi. Модуль-шпион с расширением .exe собирает некоторые файлы, включая различные системные журналы и офисные документы, расположенные как на зараженной машине, так и на подключаемых носителях. Кроме того, вредоносный модуль периодически делает снимки экрана, которые также передает на командный сервер.

Также этот модуль загружает третий компонент атаки и для его загрузки создает ярлык в пользовательской папке автозапуска. Третий модуль, написанный на C++, собирает уже более широкий набор файлов – офисные документы, изображения, электронные таблицы, электронные письма, презентации, архивы и другие текстовые документы.

«Лаборатория Касперского» сообщает о 260 организациях в России и 20 в Беларуси, ставших целью кибершпионской кампании. Атакующие как правило нацелены на компании в сфере авиации, судоходства, машиностроения, образования, а также государственные учреждения.

Источник: https://eyes.etecs.ru/r/049149

#кибершпионаж #APT

Дата-центры стали настолько токсичным предприятием, что их владельцы опасаются народного гнева

В США вокруг дата-центров быстро формируется политический и общественный конфликт. Для отрасли это уже не вопрос репутации. На уровне штатов обсуждают моратории, налоговые льготы и новые ограничения для проектов, связанных с ИИ-инфраструктурой, пишет Business Insider.

Суть претензий повторяется от штата к штату: рост тарифов на электроэнергию, потребление воды, нагрузка на сети, выбросы и отсутствие явной пользы для местных жителей. На рост негативных настроений влияет и тот факт, что центры обработки данных строятся под искусственный интеллект (ИИ), который многие стали воспринимать как конкурента, который меняет рынок труда.

«Индустрия центров обработки данных зашла слишком далеко. Они перенаселили некоторые районы, и люди их не хотят, — говорит Чап Петерсен, адвокат, представлявший интересы двух некоммерческих организаций, подавших иск об отмене изменения зонирования. – Сообщества понимают, что это не бесплатные деньги, они влияют на уровень жизни и восприятие людьми своего района».

«Я не думаю, что кто-то скажет: «Да, я хочу платить больше за электроэнергию, чтобы субсидировать некоторые из самых богатых компаний в мире», - поясняет позицию населения Кристи Хикс, юрист из Earthjustice.

Власти уже не могут игнорировать рост общественного недовольства. Штат Вирджиния обсуждает пересмотр щедрых налоговых льгот на оборудование для дата-центров. В ряде штатов, включая Мэн, рассматриваются временные запреты или паузы для новых проектов. На федеральном уровне также звучат предложения о более жёстком ограничении строительства.

Для бигтеха это означает, что при выборе площадки теперь важны не только мощность, каналы связи и сроки подключения, но и позиция местных властей, судебные споры, тарифная политика и доступ к воде и генерации.

Это затрагивает операторов дата-центров, облачных провайдеров, крупных заказчиков ИИ-вычислений и компании, которые планируют долгосрочные договоры размещения. Если объект попадает в зону общественного конфликта, срок запуска может сдвинуться из-за суда, пересмотра зонирования или отмены льгот. Для зависимых сервисов это уже вопрос бюджета и резервирования мощностей.

Индустрия отвечает в основном через публичные обещания: не перекладывать стоимость энергоинфраструктуры на домохозяйства, бережнее расходовать воду, создавать рабочие места, финансировать местные сервисы. Однако, как пишет Business Insider, единой линии у рынка пока нет. Крупные игроки действуют разрозненно, а это снижает их влияние на обсуждение правил.

Как замечает сенатор Берни Сандрес, невозможно заставить представителей бигтеха действовать в одном русле, когда Илон Маск и Марк Цукерберг хотят устроить бой в клетке.

Тем не менее начале марта Amazon, Google, Meta (признана экстремистской и запрещена в РФ), Microsoft, xAI, OpenAI и Oracle объявили об одном из своих крупнейших скоординированных пиар-кампаний, подписав соглашение с президентом Дональдом Трампом, в котором они обязались, что расходы на их энергетическую инфраструктуру «не будут переложены на американские домохозяйства».

Источник: https://eyes.etecs.ru/r/7cd8ef

#ЦОД

Один git push открывает путь к выполнению произвольного кода в GitHub

Исследователи Wiz нашли обнаружили уязвимость во внутреннем git-конвейере GitHub, где обычный аутентифицированный пользователь мог добиться удалённого выполнения кода на серверной стороне. Для GitHub.com это означало выполнение кода на общих узлах хранения, для GitHub Enterprise Serve (GHES) — полную компрометацию сервера.

Недостаток получил идентификатор CVE-2026-3854 и оценку CVSS 8,8.

«Во время операции git push значения параметров отправки, предоставленные пользователем, не были должным образом проверены перед включением во внутренние заголовки сервиса, — говорится в уведомлении GitHub об уязвимости. – Поскольку во внутреннем формате заголовка использовался символ-разделитель, который также может присутствовать во входных данных пользователя, злоумышленник может внедрить дополнительные поля метаданных с помощью специально сформированных значений параметров отправки».

Цепочка удаленного выполнения кода объединяет три инъекции:

- внедрение значения rails_env, не предназначенного для продакшена, чтобы обойти песочницу;
- внедрение custom_hooks_dir для управления перенаправлением каталога хуков;
- внедрение repo_pre_receive_hooks с специально созданной записью хука, которая запускает обход пути для выполнения произвольных команд от имени пользователя git.

Стандартные проверки не помогли, потому что каждый компонент по отдельности вёл себя «логично»: один доверял экранированию входа, второй — внутреннему заголовку, третий — значению режима среды. Уязвимость возникла на стыке сервисов и их разных предположений о доверенных данных.

Компания Wiz отметила, что уязвимость «на удивление легко» эксплуатируется, добавив, что она позволяет удаленно выполнять код на узлах общего хранилища. На момент публичного раскрытия информации около 88% экземпляров были уязвимы.

GitHub закрыл проблему на GitHub.com за несколько часов и выпустил исправления для GHES.

Источник: https://eyes.etecs.ru/r/4edc74

#уязвимость

Нидерланды запустили собственную государственную площадку для открытого кода

Тема цифрового суверенитета в европейских странах уходит из деклараций на уровень базовой инженерной инфраструктуры. Так, 27 апреля правительственный портал Нидерландов сообщил о запуске единой площадки для публикации и разработки открытого программного обеспечения (ПО) государственными структурами.

Платформа полностью размещена на собственной инфраструктуре. В качестве основы выбран Forgejo — европейский сервис с открытым исходным кодом для совместной разработки, который позиционируется как альтернатива GitHub и GitLab. Пока это пилот, и доступ открыт не всем ведомствам.

Инициатор проекта — Офис программы открытого исходного кода при министерстве внутренних дел Нидерландов. Государство строит не просто витрину репозиториев, а контролируемую среду разработки с собственными правилами публикации, доступа и сопровождения.

Репозиторий кода сегодня — это часть цепочки поставок, поэтому вопрос доверия далеко не праздный. Выбор Forgejo тоже показателен, когда речь идет о гостайне или жестких требованиях к размещению данных.

При этом Нидерланды не объявляют резкий отказ от глобальных платформ. Запуск описан как пилот, к которому ведомства будут подключаться постепенно. Такой формат снижает организационный риск и даёт время проверить, как собственная площадка справляется с реальной нагрузкой, сопровождением и безопасностью.

Источник: https://eyes.etecs.ru/r/efa6f6

#цифровойсуверенитет

Китай представил гигантский суперкомпьютер без графических процессоров
 
Китайский национальный суперкомпьютерный центр в Шэньчжэне представили суперкомпьютер LineShine — систему мощностью 2 экзафлопса, в архитектуре которой нет графических ускорителей. При этом, как пишет HPCwire, компьютер полностью собран на китайской элементной базе.
 
По опубликованным данным, полная конфигурация включает 20 480 вычислительных узлов. В каждом — два процессора Huawei LX2 на базе архитектуры ARMv9, всего 304 ядра на процессор. Для межсоединения используется сеть LingQi с пропускной способностью 1,6 Тбит/с на узел. Узлы суперкомпьютера будут соединены с помощью миллиона портов. Архитектура также включает 36 стоек коммутаторов, 67 стоек систем хранения данных и 428 узлов накопителей с пропускной способностью 10 ТБ/с. Объем хранилища составит 650 ПБ.
 
С инженерной точки зрения это выглядит как попытка решить сразу две задачи — уйти от зависимости от зарубежных ускорителей и предложить платформу, где научные расчёты, инженерное моделирование и обучение ИИ идут на единой отечественной архитектуре.
 
После санкционных ограничений Китай перестал публиковать результаты в TOP500, хотя раньше активно участвовал в рейтинге, поэтому такие анонсы сейчас работают как форма демонстрации суверенности вычислительного стека.
 
С показателем производительности в два экзофлопса суперкомпьютер LineShineстанет одним из самых мощных на планете и безоговорочно займет первое место среди машин, работающих исключительно на базе CPU. LineShine планируется запустить в 2029-2030 годах, он сможет выполнять инженерные и научные вычисления, а также использоваться для задач искусственного интеллекта в сферах молекулярной динамики, гидродинамического моделирования, биологических исследований, а также для обучения и внедрения ИИ-моделей.
 
Источник: https://eyes.etecs.ru/r/515a9b
 
#суперкомпьютер

Starlink и прост, и сложен для обхода интернет-блэкаута в Иране

В Иране сформировалась подпольная сеть ввоза терминалов Starlink. По данным BBC, эти устройства стали одним из немногих устойчивых способов выйти в глобальный интернет во время длительного отключения связи в стране.

Текущий блэкаут продолжается более двух месяцев. Он начался после ударов США и Израиля 28 февраля 2026 года. Государство объясняет отключения вопросами безопасности, но фактически речь идёт о централизованном контроле информации.

Схема обхода проста по идее, но сложна на практике. Активисты за пределами Ирана закупают терминалы и нелегально переправляют их через границу. Один из собеседников BBC сообщил, что с января отправил около десятка устройств. Терминал подключается к спутниковой сети SpaceX и позволяет обойти национальную инфраструктуру связи.

Правозащитная организация Witness оценивала число терминалов в Иране как минимум в 50 тысяч ещё в январе.

Стоит отметить, что с 2025 года покупка, продажа и использование Starlink в Иране караются лишением свободы до двух лет. За ввоз или распространение более десяти устройств срок может достигать 10 лет. По оценке одной из групп цифровых прав, за владение терминалами уже задержали как минимум 100 человек.

При этом для большинства иранцев доступен внутренний государственный сегмент с банками, доставкой, транспортом и официальными медиа. Полный доступ к внешней сети сохраняется лишь у ограниченного круга лиц, включая часть чиновников и сотрудников государственных СМИ, через так называемые белые SIM-карты.

Что касается экономического эффекта, то иранский министр в январе оценивал ущерб от каждого дня отключения интернета минимум в 50 трлн риалов (около 35 млн долларов). Власти уже запустили специальный режим Internet Pro для отдельных компаний.

Источник: https://eyes.etecs.ru/r/8a823d

#интернет #блокировки

РКН намерен контролировать 98% трафика рунета к 2030 году

Из документов о предоставлении субсидий стало известно о цели Роскомнадзора к 31 декабря 2030 года обеспечить технический контроль до 98% всего трафика в российском сегменте сети.

Финансирование планируют направить на несколько связанных задач. В списке есть повышение эффективности блокировки VPN до 92%, рост пропускной способности ТСПУ примерно в 6 раз и развитие автоматизированной «системы обеспечения безопасности» интернета. Это описывает будущую архитектуру довольно прямо: больше трафика будет проходить через инструменты анализа, фильтрации и централизованного управления.

Эффект для операторов связи очевиден. Нагрузка на инфраструктуру ТСПУ вырастет, а вместе с ней — требования к интеграции, устойчивости и совместимости сетей с механизмами фильтрации. Для крупных интернет-сервисов это означает более плотную зависимость доступности сервисов от настроек и правил на стороне операторской инфраструктуры.

Отдельная деталь — ставка на автоматизацию. Если система обеспечения безопасности интернета будет работать в более автоматическом режиме, возрастает роль централизованных правил и быстрых массовых изменений. В такой модели ошибки классификации или слишком широкие сигнатуры отражаются сразу на большом числе сервисов.

Пока это не новый закон и не отдельный нормативный запрет для бизнеса. Но это бюджетный документ с измеримыми показателями, сроками и техническими целями. Обычно такие формулировки хорошо показывают, куда именно будет двигаться практика регулирования и операторского контроля в ближайшие годы.

Источник: https://eyes.etecs.ru/r/28ecc2

#РКН #блокировки #VPN

В Linux обнаружена активно эксплуатируемая уязвимость Copy-Fail, позволяющая получить root-доступ

Исследователи предупреждают о новой серьезной уязвимости, которая позволяет злоумышленникам повышать привилегии до root в ядре Linux и выполнять произвольный код.

Проблема, отслеживаемая по идентификатору CVE-2026-31431, также известна как Copy-Fail. Она находится в подсистеме algif_aead, связанной с интерфейсом AF_ALG.

Сбой связан с обработкой данных между user space и ядром при работе с криптографическим интерфейсом. Согласно опубликованным разборам, ошибка может использоваться для повреждения page cache и контролируемой записи в данные читаемых файлов. Публичные материалы по Copy-Fail также указывают на возможность эксплуатации через связку AF_ALG и splice().

Проблема присутствовала в ветках, унаследовавших изменение, появившееся ещё в 2017 году. Это означает, что под риск попадает большое количество mainstream-дистрибутивов с уязвимыми версиями ядра, включая серверные и контейнерные хосты.

В отдельных сценариях CVE-2026-31431 может эксплуатироваться для выхода от ограниченного пользователя к полному контролю над хостом.

Эксплойт для уязвимости был публично продемонстрирован на Debian 13.

Пользователям рекомендуется обновить ядро до безопасной версии из репозиториев дистрибутивов. Если обновление нельзя установить сразу, стоит применять временные ограничения на поверхность атаки, а именно – ограничить создание AF_ALG-сокетов, в том числе через seccomp.

Источник: https://eyes.etecs.ru/r/c7b005

#уязвимость

IBM X-Force: кража учётных данных чаще всего становится началом кибератак

IBM X-Force Threat Intelligence Index 2026 обрисовал главные тренды в информационной безопасности:

1. Хотя искусственный интеллект ускорил разведку и социальную инженерию, многие нарушения безопасности по-прежнему связаны с фундаментальными ошибками, такими как слабая аутентификация, неправильная конфигурация и плохая видимость в облачных и средах разработки.

2. Начало кибератак чаще всего начинается с учетных данных, которые становятся способом первоначального доступа. Например, вредоносное ПО Infostealer привело к утечке более 300 000 учетных данных ChatGPT, обнаруженных в продаже на торговых площадках даркнета в 2025 году. За пять лет X-Force также зафиксировала почти четырехкратное увеличение числа крупных утечек данных в цепочках поставок или у третьих сторон.

3. Отдельный акцент сделан на фишинг, кражу сеансов, повторное использование паролей и доступы через облачные сервисы. Такая модель дешевле и тише прямой эксплуатации. Она хорошо сочетается с покупкой доступов, инфостилерами и данными из старых утечек. Число активных групп, использующих программы-вымогатели, увеличилось на 49% по сравнению с 2024 годом, из теперь насчитывается 109 у IBM.

4. При этом в качестве стартовой точки в 2025 году злоумышленники по-прежнему активно использовали уязвимости общедоступных приложений, незащищенных систем и хрупких цепочек поставок программного обеспечения. Согласно индексу, количество случаев эксплуатации общедоступных приложений выросло на 44% в 2025 году, поскольку злоумышленники все чаще нацеливались на цепочки поставок программного обеспечения, экосистемы разработки и доверенную инфраструктуру для получения первоначального доступа. X-Force отследила почти 40 000 уязвимостей за год, и 56% обнаруженных недостатков не требовали аутентификации для эксплуатации.

5. Производственный сектор пятый год подряд оставался отраслью, наиболее подверженной атакам, на его долю приходилось 27,7% инцидентов, что немного выше, чем 26% в 2024 году. За ним следовали финансовый и страховой секторы с 27% в 2025 году, по сравнению с 23% в предыдущем году.

Источник: https://eyes.etecs.ru/r/c4656d

#отчет

Microsoft меняет подход к Windows 11: меньше навязанных функций, больше управляемости обновлений

В новом отчёте для участников Windows Insider техгигант Microsoft описал сдвиг в политике продукта, обещая снизить шумность интерфейса и сделать обновления более предсказуемыми, давая пользователям контроль над экспериментальными возможностями операционной системы.

Microsoft обещает один ежемесячный перезапуск за счёт объединения обновлений ОС, .NET и драйверов. Особенно порадует пользователей тот факт, что даже если обновление уже ожидает установки, перезапустить или выключить компьютер теперь будет возможно. Это уменьшает число ситуаций, когда пользователь непредсказуемо завершает сеанс с установкой патчей.

Отдельный блок касается программы предварительной оценки Windows Insider. Она до двух основных каналов: Experimental и Beta. В канале Beta, по словам Microsoft, убирают выборочные раскатки функций: если функция объявлена и обновление установлено, она должна появиться у всех участников канала. Для тестирования и внутренней валидации это более удобная модель.

Есть и показательный разворот по линии искусственного интеллекта (ИИ). Microsoft убирает кнопку Copilot из «Ножниц» и «Фото», а вместо «Блокнота» появится общий значок Writing Tools («Инструменты для письма»).

Компания отдельно заявляет об ускорении Проводника, снижении зависаний, экономии памяти в виджетах и корректировках планировщика задач Windows.

При этом тон обсуждения в сообществе сдержанный. В комментариях на Hacker News публикацию встретили с недоверием: часть читателей восприняла текст как попытку вернуть доверие без достаточных доказательств результата.

Источник: https://eyes.etecs.ru/r/bf5450

#Windows

Северная Корея украла 76% криптовалюты, взломанной в 2026 году, всего двумя атаками

Исследователи TRM Lab опубликовали отчет о кражах криптовалюты в текущем году, представив ряд интересных цифр.

Северокорейские хакеры из двух разных групп украли примерно 577 миллионов долларов США с начала 2026 года, что составляет 76% всех потерь от взломов криптовалютных активов по состоянию на апрель. Вся сумма была получена злоумышленниками в рамках двух инцидентов.

Взлом Drift Protocol, в ходе которого злоумышленники получили 285 миллионов долларов США, включал в себя три недели подготовки к атаке и месяцы социальной инженерии для компрометации подписантов протокола. В результате полная утечка средств произошла примерно за 12 минут.

Взлом KelpDAO, в результате которого украдено 292 миллиона долларов США, был осуществлен с использованием уязвимости в архитектуре моста LayerZero, предусматривающей наличие одного верификатора. Доходы от взлома были отмыты через децентрализованной кроссчейн-протокол THORChain.

Исследователи отмечают, что THORChain обработал подавляющую часть доходов от взлома Bybit в 2025 году и KelpDAO в 2026 году, конвертировав сотни миллионов украденных ETH в биткоины, при этом ни один оператор не захотел заморозить или отклонить переводы. Это сделало THORChain предпочтительным инструментом для крупнейших ограблений, совершенных Северной Кореей.

Совокупный объем краж криптовалюты, совершенных Северной Кореей, с 2017 года превышает 6 миллиардов долларов США.

Источник: https://eyes.etecs.ru/r/e52c35

#криптовалюта #кражи #СевернаяКорея

Автоматизация исследований ИИ стала практической гипотезой

В новом выпуске подкаста Import AI сооснователь Anthropic и бывший директор по вопросам политики OpenAI Джек Кларк заявил, что искусственный интеллект (ИИ) сможет создать своего преемника без прямого участия человека к 2028 году. Вероятность этого он оценивает в 60%.

Кларк поясняет, что современная разработка ИИ — это в большой степени код, эксперименты, проверка результатов, настройка параметров и повторение цикла. Во многих таких задачах модели уже перешли от помощи к полному выполнению фрагментов работы.

Кларк ссылается на несколько линий прогресса. В задачах программирования модели почти упёрлись в потолок SWE-Bench, оценивающий способности ИИ агентов в решении реальных задач по программированию. В оценках METR вырос горизонт автономной работы: если в 2022 году автономность длилась секунды, то в 2026 – до 12 часов. Это уже диапазон, в который попадают типичные исследовательские подзадачи: подготовка данных, запуск серий экспериментов, воспроизведение результатов.

Отдельно показателен прогресс в научных задачах. В CORE-Bench системы научились воспроизводить результаты статей по репозиторию. В MLE-Bench — собирать полноценные решения для соревнований по машинному обучению. Есть и более прикладные примеры: оптимизация ядер вычислений, дообучение моделей, ускорение обучающих конвейеров.

Если ИИ получает способность автономно вести длинные технические цепочки, то тот же механизм работает в обе стороны: для ускорения исследований, для автоматизации атак, для поиска уязвимостей, для сборки вредоносных сценариев и для перебора гипотез в инфраструктуре цели.

При этом сам Кларк оговаривает пределы. Публичные тесты измеряют в основном инженерную дисциплину, а не способность к редким прорывным идеям. Поэтому речь идет все-таки о рутинном исследовательском цикле, в то время как идейный вдохновитель, постановщик и контролер – это по-прежнему человек.

Источник: https://eyes.etecs.ru/r/0a02ed

#ИИ

Уязвимость у подрядчика Минобороны США: чужие данные открывались через обычный аккаунт

Исследователи из Strix рассказали о проблеме в Schemata — американской платформе для военной подготовки, которую используют для работы с учебными материалами и данными военнослужащих.

Самое показательное в этой истории: никакой «сложной атаки» не понадобилось. Исследователи зарегистрировали обычную учётную запись с минимальными правами, открыли приложение в браузере, посмотрели, какие API-запросы оно отправляет, и просто повторили их со своей же сессией.

И этого оказалось достаточно, чтобы увидеть данные других организаций.

То есть проблема была не во взломе паролей, не в обходе защиты и не в редкой ошибке. Сервер, по сути, недостаточно проверял, имеет ли пользователь право запрашивать конкретный объект.

Согласно Strix, обычный пользователь мог просматривать:
— списки пользователей и организаций;
— курсы и учебные метаданные;
— адреса электронной почты;
— сведения о зачислении на курсы;
— в некоторых случаях — информацию о месте службы;
— прямые ссылки на документы в AWS S3.

Отдельно упоминается, что часть маршрутов могла допускать не только чтение, но и изменение или удаление курсов.

Проще говоря, в системе, где у разных клиентов должны быть строго разделены данные, изоляция работала плохо. Если знаешь, какой объект запросить, сервер мог отдать его даже пользователю из другой организации.

Это классическая ошибка логики доступа: запрос выглядит нормальным, сессия действительна, но сервер не проверяет право на сам объект.

Именно поэтому такие истории особенно неприятны. Снаружи всё может выглядеть «штатно»: пользователь авторизован, запрос корректный, ответ приходит без ошибок. Но по факту обычный аккаунт превращается почти в универсальный ключ.

Ещё важная деталь: исследователи Strix подчёркивают, что не использовали ни внутренний доступ, ни исходный код, ни специальные привилегии. Хватило только стандартной сессии и внимательного просмотра обычной работы приложения.

По данным Strix, компания подтвердила проблему и исправила её до публикации. Между первым уведомлением и устранением прошло около 150 дней.

Источник: https://eyes.etecs.ru/r/9a6a08

#уязвимость