UNC3886: Кибершпионская группировка, атаковавшая телеком-операторов Сингапура
Министр цифрового развития и информации Сингапура Жозефина Тео раскрыла детали масштабной кибератаки на телеком-инфраструктуру страны. Все четыре крупнейших оператора связи — Singtel, StarHub, M1 и Simba Telecom — стали мишенями группировки UNC3886. Атака началась в 2025 году и была обнаружена в марте того же года, что привело к запуску Operation Cyber Guardian — крупнейшей кибероборонительной операции в истории Сингапура.
Профиль группировки
UNC3886 впервые идентифицирована компанией Mandiant в начале 2023 года, хотя её активность прослеживается с конца 2021 года. Mandiant классифицирует UNC3886 как "suspected China-nexus espionage group". География операций охватывает США, Европу, Азию, Океанию и Африку. Приоритетные цели включают государственные учреждения, телекоммуникационные компании, оборонные предприятия и критическую информационную инфраструктуру.
Технический арсенал
UNC3886 специализируется на атаках против систем виртуализации и сетевого оборудования. Группа эксплуатирует zero-day уязвимости в продуктах VMware vCenter/ESXi, Fortinet FortiOS, Juniper Junos OS и Ivanti VPN.
Ключевой инструмент — TINYSHELL, легковесный бэкдор с поддержкой HTTP/HTTPS каналов. Второй основной инструмент — Reptile, Linux rootkit на уровне ядра, скрывающий файлы, процессы и сетевую активность. В атаках на маршрутизаторы Juniper MX группа разработала технику инъекции кода, обходящую защитный механизм variexec. Для усложнения атрибуции используются ORB networks — ботнеты из скомпрометированных устройств для проксирования трафика.
Атака на Сингапур
UNC3886 использовала zero-day эксплойт для обхода периметрового файрволла. Затем группа развернула руткит для поддержания доступа и уклонения от обнаружения. Атакующие проникли в некоторые критические системы, но были остановлены до нарушения работы сервисов. Была эксфильтрирована небольшая порция технических данных — преимущественно сетевая информация. 5G-сети и персональные данные клиентов остались нетронутыми благодаря архитектурной сегрегации критических систем.
Operation Cyber Guardian задействовала более 100 специалистов из шести правительственных агентств, включая Cyber Security Agency, Centre for Strategic Infocomm Technologies и Singapore Armed Forces' Digital and Intelligence Service. Операция включала purple teaming — симуляцию TTPs UNC3886 для тестирования защитных механизмов.
Геополитический контекст
18 июля 2025 года Сингапур впервые в истории публично назвал конкретную кибершпионскую группировку. Министр национальной безопасности K. Shanmugam заявил: "UNC3886 атакует нашу критическую инфраструктуру прямо сейчас". Это беспрецедентный шаг для Сингапура, ранее избегавшего публичной атрибуции.
Выбор формулировки был выверен — Сингапур назвал UNC3886 (обозначение Mandiant), но слово "Китай" не прозвучало. Для специалистов связь была кристально ясна. Такая формулировка — это был сигнал без прямой конфронтации, оставляющий пространство для дипломатического маневра.
Китайское посольство в Сингапуре отвергло обвинения, заявив, что СМИ полагаются на "непроверенные утверждения иностранной компании" и что Китай против всех форм кибератак.
@gostev_future
Министр цифрового развития и информации Сингапура Жозефина Тео раскрыла детали масштабной кибератаки на телеком-инфраструктуру страны. Все четыре крупнейших оператора связи — Singtel, StarHub, M1 и Simba Telecom — стали мишенями группировки UNC3886. Атака началась в 2025 году и была обнаружена в марте того же года, что привело к запуску Operation Cyber Guardian — крупнейшей кибероборонительной операции в истории Сингапура.
Профиль группировки
UNC3886 впервые идентифицирована компанией Mandiant в начале 2023 года, хотя её активность прослеживается с конца 2021 года. Mandiant классифицирует UNC3886 как "suspected China-nexus espionage group". География операций охватывает США, Европу, Азию, Океанию и Африку. Приоритетные цели включают государственные учреждения, телекоммуникационные компании, оборонные предприятия и критическую информационную инфраструктуру.
Технический арсенал
UNC3886 специализируется на атаках против систем виртуализации и сетевого оборудования. Группа эксплуатирует zero-day уязвимости в продуктах VMware vCenter/ESXi, Fortinet FortiOS, Juniper Junos OS и Ivanti VPN.
Ключевой инструмент — TINYSHELL, легковесный бэкдор с поддержкой HTTP/HTTPS каналов. Второй основной инструмент — Reptile, Linux rootkit на уровне ядра, скрывающий файлы, процессы и сетевую активность. В атаках на маршрутизаторы Juniper MX группа разработала технику инъекции кода, обходящую защитный механизм variexec. Для усложнения атрибуции используются ORB networks — ботнеты из скомпрометированных устройств для проксирования трафика.
Атака на Сингапур
UNC3886 использовала zero-day эксплойт для обхода периметрового файрволла. Затем группа развернула руткит для поддержания доступа и уклонения от обнаружения. Атакующие проникли в некоторые критические системы, но были остановлены до нарушения работы сервисов. Была эксфильтрирована небольшая порция технических данных — преимущественно сетевая информация. 5G-сети и персональные данные клиентов остались нетронутыми благодаря архитектурной сегрегации критических систем.
Operation Cyber Guardian задействовала более 100 специалистов из шести правительственных агентств, включая Cyber Security Agency, Centre for Strategic Infocomm Technologies и Singapore Armed Forces' Digital and Intelligence Service. Операция включала purple teaming — симуляцию TTPs UNC3886 для тестирования защитных механизмов.
Геополитический контекст
18 июля 2025 года Сингапур впервые в истории публично назвал конкретную кибершпионскую группировку. Министр национальной безопасности K. Shanmugam заявил: "UNC3886 атакует нашу критическую инфраструктуру прямо сейчас". Это беспрецедентный шаг для Сингапура, ранее избегавшего публичной атрибуции.
Выбор формулировки был выверен — Сингапур назвал UNC3886 (обозначение Mandiant), но слово "Китай" не прозвучало. Для специалистов связь была кристально ясна. Такая формулировка — это был сигнал без прямой конфронтации, оставляющий пространство для дипломатического маневра.
Китайское посольство в Сингапуре отвергло обвинения, заявив, что СМИ полагаются на "непроверенные утверждения иностранной компании" и что Китай против всех форм кибератак.
@gostev_future
❤2👍2🔥1
Что я писал неделю назад:
Positive Technologies — тут пока туман. Финансовый отчёт за четвёртый квартал ждём 9 февраля, мнения самые разные. Если предположить рост на 30%, получаем результат по нижней границе их собственного гайденса (33–38 млрд) — то есть примерно 32–33 млрд. Но чтобы выйти на первое место, Позитивам нужен результат заметно лучше 30%.
Что сегодня объявили Позитивы:
Исходя из текущих управленческих данных, объем отгрузок составил 35 млрд рублей. Принимая во внимание увеличение доли «больших чеков» в общей структуре продаж, ожидаемый менеджментом объем оплаченных отгрузок (до конца марта), признаваемых в итоговой финансовой отчетности, составит от 32 до 34 млрд рублей. Часть сделок 2025 года, оплата по которым поступит позднее, ожидаемо попадет в финансовый результат 2026 года.
В общем, выяснение лидерства откладывается еще на год! 😂
@gostev_future
Positive Technologies — тут пока туман. Финансовый отчёт за четвёртый квартал ждём 9 февраля, мнения самые разные. Если предположить рост на 30%, получаем результат по нижней границе их собственного гайденса (33–38 млрд) — то есть примерно 32–33 млрд. Но чтобы выйти на первое место, Позитивам нужен результат заметно лучше 30%.
Что сегодня объявили Позитивы:
Исходя из текущих управленческих данных, объем отгрузок составил 35 млрд рублей. Принимая во внимание увеличение доли «больших чеков» в общей структуре продаж, ожидаемый менеджментом объем оплаченных отгрузок (до конца марта), признаваемых в итоговой финансовой отчетности, составит от 32 до 34 млрд рублей. Часть сделок 2025 года, оплата по которым поступит позднее, ожидаемо попадет в финансовый результат 2026 года.
В общем, выяснение лидерства откладывается еще на год! 😂
@gostev_future
🔥6
В основе популярного AI-агента OpenClaw лежит концепция «навыков» — это расширения, которые добавляют вашему AI-помощнику новые способности. Хотите, чтобы он мог заказывать еду, бронировать билеты или следить за курсом акций? Просто установите нужный навык из маркетплейса ClawHub и готово!
Вот тут возникает важный вопрос безопасности. Навыки — это код, который получает доступ к вашим данным и инструментам. Навык теоретически может украсть личную информацию, отправить сообщения от вашего имени или выполнить вредоносные команды.
Просто три первые заголовка произвольных новости на тему:
- Hundreds of Malicious Skills Found in OpenClaw’s ClawHub;
- Researchers Find 341 Malicious ClawHub Skills Stealing Data from OpenClaw Users;
- OpenClaw’s AI ‘skill’ extensions are a security nightmare
Ага, подумали разработчики. Надо что-то делать. Ну и сделали.
Команда OpenClaw объявила о партнёрстве с VirusTotal. Теперь каждый навык, публикуемый в ClawHub, автоматически проходит проверку на безопасность.
Как это работает? Когда разработчик публикует новый навык, система отправляет его на анализ в VirusTotal. Там происходит двойная проверка: сначала хеш файла сравнивается с базой известных угроз (ах-ха-ха), а затем в дело вступает Code Insight — система на базе AI Gemini от Google.
Code Insight анализирует весь пакет навыка: изучает, что код реально делает, проверяет, не скачивает ли он подозрительные файлы, не обращается ли к чувствительным данным, не содержит ли скрытых команд или инструкций, которые могут заставить AI-агента действовать небезопасно.
Безопасные навыки получают зелёный свет и становятся доступны для установки. Подозрительные помечаются предупреждением. А откровенно вредоносные блокируются мгновенно. Проверка повторяется ежедневно для всех активных навыков.
Создатели OpenClaw честно признают: особо изощрённые атаки, замаскированные под обычные инструкции на естественном языке, могут проскочить. Команда уже привлекла к работе специалиста по безопасности (пишите на security@openclaw.ai) и планирует целый комплекс мер: детальную модель угроз, публичный план развития безопасности, аудит всего кода и формальную процедуру отчётности о проблемах.
Для тех, кто использует OpenClaw, это неплохая новость. Теперь на странице каждого навыка можно увидеть результаты проверки и перейти к полному отчёту VirusTotal. Конечно, чистая проверка не даёт стопроцентной гарантии, но это ещё один ориентир при выборе мозгов для вашего AI-агента.
@gostev_future
Вот тут возникает важный вопрос безопасности. Навыки — это код, который получает доступ к вашим данным и инструментам. Навык теоретически может украсть личную информацию, отправить сообщения от вашего имени или выполнить вредоносные команды.
Просто три первые заголовка произвольных новости на тему:
- Hundreds of Malicious Skills Found in OpenClaw’s ClawHub;
- Researchers Find 341 Malicious ClawHub Skills Stealing Data from OpenClaw Users;
- OpenClaw’s AI ‘skill’ extensions are a security nightmare
Ага, подумали разработчики. Надо что-то делать. Ну и сделали.
Команда OpenClaw объявила о партнёрстве с VirusTotal. Теперь каждый навык, публикуемый в ClawHub, автоматически проходит проверку на безопасность.
Как это работает? Когда разработчик публикует новый навык, система отправляет его на анализ в VirusTotal. Там происходит двойная проверка: сначала хеш файла сравнивается с базой известных угроз (ах-ха-ха), а затем в дело вступает Code Insight — система на базе AI Gemini от Google.
Code Insight анализирует весь пакет навыка: изучает, что код реально делает, проверяет, не скачивает ли он подозрительные файлы, не обращается ли к чувствительным данным, не содержит ли скрытых команд или инструкций, которые могут заставить AI-агента действовать небезопасно.
Безопасные навыки получают зелёный свет и становятся доступны для установки. Подозрительные помечаются предупреждением. А откровенно вредоносные блокируются мгновенно. Проверка повторяется ежедневно для всех активных навыков.
Создатели OpenClaw честно признают: особо изощрённые атаки, замаскированные под обычные инструкции на естественном языке, могут проскочить. Команда уже привлекла к работе специалиста по безопасности (пишите на security@openclaw.ai) и планирует целый комплекс мер: детальную модель угроз, публичный план развития безопасности, аудит всего кода и формальную процедуру отчётности о проблемах.
Для тех, кто использует OpenClaw, это неплохая новость. Теперь на странице каждого навыка можно увидеть результаты проверки и перейти к полному отчёту VirusTotal. Конечно, чистая проверка не даёт стопроцентной гарантии, но это ещё один ориентир при выборе мозгов для вашего AI-агента.
@gostev_future
👍8❤3
Вот меня часто спрашивают (шутка про "да кто тебя спрашивает!) — почему я не открываю комменты в канале ?
Да вот почему. А то потом будут говорить, что сапожник без сапог!
@gostev_future
Да вот почему. А то потом будут говорить, что сапожник без сапог!
@gostev_future
😁15❤2
11 февраля Microsoft порадовала индустрию февральским Patch Tuesday на 58 уязвимостей, включая шесть активно эксплуатируемых zero-day. Компания повторила рекорд марта 2025 — обычно закрывают 1-2 активных 0day в месяц.
CVE-2026-21510 вредоносная ссылка — код выполняется без предупреждений. Пользователь кликает, SmartScreen молчит,
CVE-2026-21513 эксплуатирует MSHTML. HTML через email, один клик — welcome.
CVE-2026-21514 обходит OLE защиту в Word. Microsoft уже патчила похожую CVE-2026-21509 26 января. Атакующие продолжили тот же вектор.
CVE-2026-21519 в Desktop Window Manager и CVE-2026-21533 в Remote Desktop Services — классика elevation of privilege.
CVE-2026-21525 — скромный DoS в Remote Access Connection Manager.
Google Threat Intelligence Group нашла три: CVE-2026-21510, CVE-2026-21513, CVE-2026-21514. GTIG охотится на spyware и state-sponsored APTs. Похоже, что тут все найдено в ходе одной и той же атаки.
CrowdStrike выловила CVE-2026-21533, Acros Security — CVE-2026-21525.
U.S. CISA добавила все шесть в Known Exploited Vulnerabilities catalog — федеральные агентства обязаны патчить немедленно.
@gostev_future
CVE-2026-21510 вредоносная ссылка — код выполняется без предупреждений. Пользователь кликает, SmartScreen молчит,
CVE-2026-21513 эксплуатирует MSHTML. HTML через email, один клик — welcome.
CVE-2026-21514 обходит OLE защиту в Word. Microsoft уже патчила похожую CVE-2026-21509 26 января. Атакующие продолжили тот же вектор.
CVE-2026-21519 в Desktop Window Manager и CVE-2026-21533 в Remote Desktop Services — классика elevation of privilege.
CVE-2026-21525 — скромный DoS в Remote Access Connection Manager.
Google Threat Intelligence Group нашла три: CVE-2026-21510, CVE-2026-21513, CVE-2026-21514. GTIG охотится на spyware и state-sponsored APTs. Похоже, что тут все найдено в ходе одной и той же атаки.
CrowdStrike выловила CVE-2026-21533, Acros Security — CVE-2026-21525.
U.S. CISA добавила все шесть в Known Exploited Vulnerabilities catalog — федеральные агентства обязаны патчить немедленно.
@gostev_future
🔥2👏1
И про деньги! из будущего 😀
Alphabet (Google) провела масштабное размещение облигаций и получила около $32 миллиардов. Ключевой особенностью стал 100-летний bond в фунтах стерлингов — первый century bond от технологической компании с 1997 года.
Alphabet разместила $20 миллиардов в семи траншах, увеличив первоначальный план с $15 миллиардов из-за высокого спроса. Самый длинный транш — 40-летняя облигация с погашением в 2066 году. Сделка привлекла заявок на более чем $100 миллиардов, показав пятикратное превышение спроса.
Компания также выпустила дебютные облигации в фунтах стерлингов, включая £1 млрд century bond с погашением в 2126 году. Это один из пяти траншей в фунтах. Спрос на 100-летнюю облигацию достиг почти 10x от предложенного объёма.
Размещение последовало за объявлением Alphabet о рекордных капитальных затратах в $185 миллиардов в 2026 году — вдвое больше, чем в 2025. Средства направляются на развитие искусственного интеллекта, включая модель Gemini, облачную инфраструктуру, дата-центры, квантовые процессоры Willow, автономные транспортные средства и робототехнику.
За год долг Alphabet вырос в 4 раза до $46.5 млрд (2025), а февральское размещение $32 млрд поднимет его до ~$78.5 млрд — рост в 6 раз за 15 месяцев. При этом компания располагает более чем $125 миллиардами наличности, что подчёркивает стратегический подход к финансированию через дешёвый долг вместо использования кэша.
Историческая редкость century bonds
100-летние облигации крайне редки для корпоративного сектора. Обычно такие инструменты выпускают государства, университеты. В общем, те кто скорее всего протянет 100 лет :) Из технологических компаний century bonds размещали только IBM (1996) и Motorola (1997).
История Motorola поучительна: в 1997 году компания входила в топ-25 крупнейших американских корпораций, но к 2026 году опустилась на 232-е место с выручкой всего $11 миллиардов. А платить по облигациям им еще 70 с лишним лет.
@gostev_future
Alphabet (Google) провела масштабное размещение облигаций и получила около $32 миллиардов. Ключевой особенностью стал 100-летний bond в фунтах стерлингов — первый century bond от технологической компании с 1997 года.
Alphabet разместила $20 миллиардов в семи траншах, увеличив первоначальный план с $15 миллиардов из-за высокого спроса. Самый длинный транш — 40-летняя облигация с погашением в 2066 году. Сделка привлекла заявок на более чем $100 миллиардов, показав пятикратное превышение спроса.
Компания также выпустила дебютные облигации в фунтах стерлингов, включая £1 млрд century bond с погашением в 2126 году. Это один из пяти траншей в фунтах. Спрос на 100-летнюю облигацию достиг почти 10x от предложенного объёма.
Размещение последовало за объявлением Alphabet о рекордных капитальных затратах в $185 миллиардов в 2026 году — вдвое больше, чем в 2025. Средства направляются на развитие искусственного интеллекта, включая модель Gemini, облачную инфраструктуру, дата-центры, квантовые процессоры Willow, автономные транспортные средства и робототехнику.
За год долг Alphabet вырос в 4 раза до $46.5 млрд (2025), а февральское размещение $32 млрд поднимет его до ~$78.5 млрд — рост в 6 раз за 15 месяцев. При этом компания располагает более чем $125 миллиардами наличности, что подчёркивает стратегический подход к финансированию через дешёвый долг вместо использования кэша.
Историческая редкость century bonds
100-летние облигации крайне редки для корпоративного сектора. Обычно такие инструменты выпускают государства, университеты. В общем, те кто скорее всего протянет 100 лет :) Из технологических компаний century bonds размещали только IBM (1996) и Motorola (1997).
История Motorola поучительна: в 1997 году компания входила в топ-25 крупнейших американских корпораций, но к 2026 году опустилась на 232-е место с выручкой всего $11 миллиардов. А платить по облигациям им еще 70 с лишним лет.
@gostev_future
🔥3❤1
Не мог пройти мимо изумительного образца пост-иронии...
Смотрите, Мокси Марлинспайк, создатель мессенжера Signal, сидя в своей плавучей бане(!!), рассуждает про Телеграм.
"Telegram не частный мессенджер. В нём нет ничего частного. Это противоположность. Это облачный мессенджер, где каждое сообщение, которое вы когда-либо отправили или получили, находится в открытом тексте в базе данных, которую контролирует организация Telegram и имеет к ней доступ"
"Это как 'российский олигарх запускает незашифрованную версию WhatsApp', пиксель в пиксель клон WhatsApp. Это должно быть довольно сложным брендом для работы. И каким-то образом они проделали действительно потрясающую работу, убедив весь мир, что это зашифрованное приложение для обмена сообщениями и что основатель - какой-то российский диссидент, хотя он ездит туда раз в месяц, вся команда живёт там, и их семьи там."
"То, что произошло во Франции - они просто решили не отвечать на повестку. И это нарушение закона. И он был арестован во Франции, верно? И все такие: ох, Франция, но я думаю, ключевой момент в том, что у них есть данные, они могут ответить на повестки, тогда как Signal, например, не имеет доступа к данным и не мог бы ответить на тот же запрос. Для меня совершенно очевидно, что у России была бы гораздо менее вежливая версия этого разговора с Павлом Дуровым и командой Telegram до этого момента"
P.S. According to John Ratcliffe, as of 2025 Signal is installed by default on the devices of most CIA employees and its usage is covered by standard onboarding training.
@gostev_future
Смотрите, Мокси Марлинспайк, создатель мессенжера Signal, сидя в своей плавучей бане(!!), рассуждает про Телеграм.
"Telegram не частный мессенджер. В нём нет ничего частного. Это противоположность. Это облачный мессенджер, где каждое сообщение, которое вы когда-либо отправили или получили, находится в открытом тексте в базе данных, которую контролирует организация Telegram и имеет к ней доступ"
"Это как 'российский олигарх запускает незашифрованную версию WhatsApp', пиксель в пиксель клон WhatsApp. Это должно быть довольно сложным брендом для работы. И каким-то образом они проделали действительно потрясающую работу, убедив весь мир, что это зашифрованное приложение для обмена сообщениями и что основатель - какой-то российский диссидент, хотя он ездит туда раз в месяц, вся команда живёт там, и их семьи там."
"То, что произошло во Франции - они просто решили не отвечать на повестку. И это нарушение закона. И он был арестован во Франции, верно? И все такие: ох, Франция, но я думаю, ключевой момент в том, что у них есть данные, они могут ответить на повестки, тогда как Signal, например, не имеет доступа к данным и не мог бы ответить на тот же запрос. Для меня совершенно очевидно, что у России была бы гораздо менее вежливая версия этого разговора с Павлом Дуровым и командой Telegram до этого момента"
P.S. According to John Ratcliffe, as of 2025 Signal is installed by default on the devices of most CIA employees and its usage is covered by standard onboarding training.
@gostev_future
🤣6
В индустрии Cyber Threat Intelligence происходит тихая революция. Специалисты по безопасности больше не хотят работать в проприетарных интерфейсах вендоров — они создают собственные инструменты с помощью AI.
Десятилетие TI-платформы продавались так: "Смотрите, какой у нас красивый дашборд! Сколько графиков! Какие удобные фильтры!" Компании инвестировали миллионы в UI/UX, заставляя клиентов работать именно в их интерфейсах.
Но вот в чём загвоздка: каждая команда работает по-своему. И у каждого аналитика свой воркфлоу. Универсальный интерфейс — это компромисс, который не устраивает никого полностью.
Раньше команды использовали Jupyter Notebooks для анализа данных угроз. Это работало, но требовало времени на разработку и тестирование. Теперь аналитик просто говорит: "Создай дашборд для мониторинга IOC из этого API" — и через минуты получает рабочий инструмент на HTML/JS или React.
Умные вендоры уже поняли тренд. CrowdStrike интегрирует threat intel прямо в endpoint-телеметрию через API. Это пример, который движется в правильном направлении (API-first), но ещё имеет проблемы с лимитами запросов и стабильностью API.
Другой пример - Anomali ThreatStream требует сложный "Integrator SDK" для настройки — пользователи жалуются, что это "challenging to configure and maintain". Их доля упоминаний на профильных платформах упала с 5.8% до 3.8% за год — признак снижающегося интереса в сообществе.
Команды будут строить собственные инструменты под свои нужды. Вместо того чтобы адаптироваться под чужой UI, они создают идеальные инструменты для своих задач. Python REPL + pandas для анализа CSV. Node.js для обработки JSON. Кастомные дашборды на React для визуализации.
Конкуренция смещается с "у кого красивее интерфейс" на "у кого лучше данные и удобнее API". Появятся вендоры, предлагающие только API с качественным threat intelligence — без UI вообще.
@gostev_future
Десятилетие TI-платформы продавались так: "Смотрите, какой у нас красивый дашборд! Сколько графиков! Какие удобные фильтры!" Компании инвестировали миллионы в UI/UX, заставляя клиентов работать именно в их интерфейсах.
Но вот в чём загвоздка: каждая команда работает по-своему. И у каждого аналитика свой воркфлоу. Универсальный интерфейс — это компромисс, который не устраивает никого полностью.
Раньше команды использовали Jupyter Notebooks для анализа данных угроз. Это работало, но требовало времени на разработку и тестирование. Теперь аналитик просто говорит: "Создай дашборд для мониторинга IOC из этого API" — и через минуты получает рабочий инструмент на HTML/JS или React.
Умные вендоры уже поняли тренд. CrowdStrike интегрирует threat intel прямо в endpoint-телеметрию через API. Это пример, который движется в правильном направлении (API-first), но ещё имеет проблемы с лимитами запросов и стабильностью API.
Другой пример - Anomali ThreatStream требует сложный "Integrator SDK" для настройки — пользователи жалуются, что это "challenging to configure and maintain". Их доля упоминаний на профильных платформах упала с 5.8% до 3.8% за год — признак снижающегося интереса в сообществе.
Команды будут строить собственные инструменты под свои нужды. Вместо того чтобы адаптироваться под чужой UI, они создают идеальные инструменты для своих задач. Python REPL + pandas для анализа CSV. Node.js для обработки JSON. Кастомные дашборды на React для визуализации.
Конкуренция смещается с "у кого красивее интерфейс" на "у кого лучше данные и удобнее API". Появятся вендоры, предлагающие только API с качественным threat intelligence — без UI вообще.
@gostev_future
👍7🤔1
Про изменения в CTI из-за AI написал. Наверное, пора поговорить о краеугольном камне всей индустрии кибербезопасности – реверс-инжиниринге.
23 года назад свою карьеру в Касперском я начинал вирусным аналитиком. И все последующие 16 лет, по сути, воркфлоу не менялся – берешь подозрительный бинарный файл, загружаешь в дизассемблер и пытаешься воссоздать (в голове) исходный код. Это надо делать тщательно, долго, ничего не пропуская. И опыт решает.
В общем, все это мы уже рассказали в книге «Вирье мое». Кстати, весь тираж уже распродан издательством, так что кое-где книгу перепродают за 5 тыщ 🙃
Потом появилась Ghidra, open-source декомпилятор от американской спецслужбы NSA. Это увеличило армию реверсеров – появилась отличная альтернатива дорогущей проприетарной IDA Pro. Но и угрозы менялись: новые языки программирования, фреймворки, библиотеки.
Итак, что же AI? Скоро ли начнут сокращать вирусных аналитиков и когда свой вирлаб сможет себе позволить даже небольшой банк?
Команда исследователей из Quesma провела эксперимент: взяли несколько известных программ — веб-сервер lighttpd, DNS/DHCP-сервер dnsmasq, SSH-сервер Dropbear, балансировщик Sozu — и вручную внедрили в них бэкдоры. Например, добавили механизм выполнения произвольных команд через недокументированный HTTP-заголовок. По сути, воспроизвели популярные пути атак через цепочку поставок.
AI-моделям дали скомпилированные бинарные файлы без исходного кода и отладочных символов, плюс доступ к свободным инструментам реверс-инжиниринга (Ghidra, Radare2). Лучший результат показал Claude Opus 4.6 с 49% успешных обнаружений, за ним Gemini 3 Pro (44%) и Claude Opus 4.5 (37%).
Подчеркиваю – в бинарных файлах, а не в исходном коде. Искать что-то в исходниках AI уже давно умеют.
В одном тесте Claude Opus 4.5 успешно нашёл бэкдор в lighttpd всего за 5 минут. Модель обнаружила подозрительную функцию popen(), проследила её до кода, который выполнял shell-команды из HTTP-заголовка X-Forwarded-Debug, и правильно идентифицировала это как бэкдор.
Но даже очевидные угрозы проходят мимо. Claude Opus 4.6 нашёл в dnsmasq код, выполняющий команды из сетевых пакетов через execl("/bin/sh"), но убедил сам себя, что это "легитимное выполнение DHCP-скриптов". Модель не проверила, откуда берётся командная строка, и пропустила явный бэкдор.
Ещё хуже ситуация с ложными срабатываниями: в 28% случаев модели видят "бэкдоры" в абсолютно чистых файлах. Gemini 3 Pro, например, "обнаружил" вредоносный код в обычном парсинге аргументов командной строки, придумав несуществующие детали. Для реального использования нужны показатели на порядки лучше: уровень ложных срабатываний должен быть ниже 0.001%, а не 28%.
Но год назад модели вообще не умели работать с Ghidra, теперь они могут сами грузить бинарники, анализировать код. Как только AI демонстрирует способность решать некоторые задачи (как сейчас), последующие модели обычно резко улучшаются.
Дальнейшее развитие событий вполне предсказуемо:
— Атакующие будут оптимизировать вредоносы для обхода публичных моделей.
— Вендоры начнут (уже начали, если уж честно) создавать собственные AI, заточенные под анализ бинарей. Вместо «Автодятла» — Айдятел. Появятся и стартапы, которые будут паразитировать на LLM, но это, конечно, тупик.
— Организации, чувствительные к безопасности, не могут загружать бинарники в сервисы вроде VirusTotal. Для своего анализа обычно используют sandbox, но собственный реверс решает все проблемы. Вот и покупатели Айдятла.
В общем, не смотрите на результаты публичных LLM. Битва будет невидимой. Как, впрочем, всегда.
@gostev_future
23 года назад свою карьеру в Касперском я начинал вирусным аналитиком. И все последующие 16 лет, по сути, воркфлоу не менялся – берешь подозрительный бинарный файл, загружаешь в дизассемблер и пытаешься воссоздать (в голове) исходный код. Это надо делать тщательно, долго, ничего не пропуская. И опыт решает.
В общем, все это мы уже рассказали в книге «Вирье мое». Кстати, весь тираж уже распродан издательством, так что кое-где книгу перепродают за 5 тыщ 🙃
Потом появилась Ghidra, open-source декомпилятор от американской спецслужбы NSA. Это увеличило армию реверсеров – появилась отличная альтернатива дорогущей проприетарной IDA Pro. Но и угрозы менялись: новые языки программирования, фреймворки, библиотеки.
Итак, что же AI? Скоро ли начнут сокращать вирусных аналитиков и когда свой вирлаб сможет себе позволить даже небольшой банк?
Команда исследователей из Quesma провела эксперимент: взяли несколько известных программ — веб-сервер lighttpd, DNS/DHCP-сервер dnsmasq, SSH-сервер Dropbear, балансировщик Sozu — и вручную внедрили в них бэкдоры. Например, добавили механизм выполнения произвольных команд через недокументированный HTTP-заголовок. По сути, воспроизвели популярные пути атак через цепочку поставок.
AI-моделям дали скомпилированные бинарные файлы без исходного кода и отладочных символов, плюс доступ к свободным инструментам реверс-инжиниринга (Ghidra, Radare2). Лучший результат показал Claude Opus 4.6 с 49% успешных обнаружений, за ним Gemini 3 Pro (44%) и Claude Opus 4.5 (37%).
Подчеркиваю – в бинарных файлах, а не в исходном коде. Искать что-то в исходниках AI уже давно умеют.
В одном тесте Claude Opus 4.5 успешно нашёл бэкдор в lighttpd всего за 5 минут. Модель обнаружила подозрительную функцию popen(), проследила её до кода, который выполнял shell-команды из HTTP-заголовка X-Forwarded-Debug, и правильно идентифицировала это как бэкдор.
Но даже очевидные угрозы проходят мимо. Claude Opus 4.6 нашёл в dnsmasq код, выполняющий команды из сетевых пакетов через execl("/bin/sh"), но убедил сам себя, что это "легитимное выполнение DHCP-скриптов". Модель не проверила, откуда берётся командная строка, и пропустила явный бэкдор.
Ещё хуже ситуация с ложными срабатываниями: в 28% случаев модели видят "бэкдоры" в абсолютно чистых файлах. Gemini 3 Pro, например, "обнаружил" вредоносный код в обычном парсинге аргументов командной строки, придумав несуществующие детали. Для реального использования нужны показатели на порядки лучше: уровень ложных срабатываний должен быть ниже 0.001%, а не 28%.
Но год назад модели вообще не умели работать с Ghidra, теперь они могут сами грузить бинарники, анализировать код. Как только AI демонстрирует способность решать некоторые задачи (как сейчас), последующие модели обычно резко улучшаются.
Дальнейшее развитие событий вполне предсказуемо:
— Атакующие будут оптимизировать вредоносы для обхода публичных моделей.
— Вендоры начнут (уже начали, если уж честно) создавать собственные AI, заточенные под анализ бинарей. Вместо «Автодятла» — Айдятел. Появятся и стартапы, которые будут паразитировать на LLM, но это, конечно, тупик.
— Организации, чувствительные к безопасности, не могут загружать бинарники в сервисы вроде VirusTotal. Для своего анализа обычно используют sandbox, но собственный реверс решает все проблемы. Вот и покупатели Айдятла.
В общем, не смотрите на результаты публичных LLM. Битва будет невидимой. Как, впрочем, всегда.
@gostev_future
🔥10
Американская кибербез-компания Palo Alto удалила упоминание Китая из отчёта о масштабной шпионской кампании — и теперь ее обвиняют в политической самоцензуре.
5 февраля Palo Alto опубликовала отчёт о хакерской группе TGR-STA-1030, которая атаковала правительства и критическую инфраструктуру 37 стран.
Reuters говорят, что в черновике отчета исследователи прямо написали: за атаками стоит Пекин. Но в финальной версии Китай исчез — вместо него появилась размытая формулировка: "государственная группа, действующая из Азии".
Атакующие работали в китайском часовом поясе, атаковали Чехию после встречи её президента с Далай-ламой, а Таиланд — накануне визита короля в Пекин. Исследователи были уверены в атрибуции.
Palo Alto раньше не боялась называть Китай — последний раз публично обвиняла Пекин в сентябре прошлого года. У Palo Alto в Китае 5 офисов и 70+ сотрудников в Пекине, Шанхае, Гуанчжоу.
В январе Palo Alto попала в китайский чёрный список — власти КНР запретили ПО ~15 американских и израильских кибербез-компаний по соображениям нацбезопасности.
Официально компания открестилась: "Атрибуция не имеет значения", а вице-президент по коммуникациям назвала связь с китайским баном "спекулятивной и ложной".
Вот так вот годами аттрибутируешь все на Китай, а потом пытаешься выйти из строя – и тут же инсайдеры бегут к Reuters.
@gostev_future
5 февраля Palo Alto опубликовала отчёт о хакерской группе TGR-STA-1030, которая атаковала правительства и критическую инфраструктуру 37 стран.
Reuters говорят, что в черновике отчета исследователи прямо написали: за атаками стоит Пекин. Но в финальной версии Китай исчез — вместо него появилась размытая формулировка: "государственная группа, действующая из Азии".
Атакующие работали в китайском часовом поясе, атаковали Чехию после встречи её президента с Далай-ламой, а Таиланд — накануне визита короля в Пекин. Исследователи были уверены в атрибуции.
Palo Alto раньше не боялась называть Китай — последний раз публично обвиняла Пекин в сентябре прошлого года. У Palo Alto в Китае 5 офисов и 70+ сотрудников в Пекине, Шанхае, Гуанчжоу.
В январе Palo Alto попала в китайский чёрный список — власти КНР запретили ПО ~15 американских и израильских кибербез-компаний по соображениям нацбезопасности.
The change, the sources said, was ordered by Palo Alto executives because they were concerned by the software ban and feared drawing retaliation from Chinese authorities, either against the company’s personnel in China or its clients elsewhere.
The sources did not identify which executives made the decision to soften the report’s conclusions or provide the precise language that had been in the report ahead of the change. They spoke on condition of anonymity as they were not authorized to discuss the matter.
Официально компания открестилась: "Атрибуция не имеет значения", а вице-президент по коммуникациям назвала связь с китайским баном "спекулятивной и ложной".
Вот так вот годами аттрибутируешь все на Китай, а потом пытаешься выйти из строя – и тут же инсайдеры бегут к Reuters.
@gostev_future
👍2
Юрий Максимов, основной акционер Позитива, выложил отчет по выручке 2007 - 2025 годов. Редкий пример открытости в цифрах по периодам, когда компания еще не была публичной.
Цифры, конечно, не бьются с официальными отчетами для инвесторов в 2021-24 годах, но там есть объяснение почему. Я не инвестор, так что пусть так.
Юра говорит что ChatGPT хвалил и предлагал разные метрики – показав рост в 1000 раз за 18 лет.
Ну и вопрос от него – «Что видите вы?»
Вижу, что ChatGPT не предложил учесть инфляцию в рублях за эти годы. Лично я считаю что сравнивать 100 рублей из 2007 и 100 рублей в 2025 это немного странно.
А еще я привык пересчитывать все в доллары. Потому как если считать в национальной валюте, хоть и при 100% выручки в ней же – то самыми быстрорастущими компаниями в мире будут турецкие или аргентинские.
В общем, я пересчитал все про помощи Claude 😀
ok, 2025 год я нарисовал им 33 млрд.
Инфляция:
• 🇷🇺 Россия: 272.3% (цены выросли в 3.72 раза)
• 🇺🇸 США: 56.4% (цены выросли в 1.56 раза)
Рост выручки:
• Номинальный в рублях: +1,065 раз (с 31 до 33,000 млн)
• Номинальный в долларах: +326 раз (с $1.21 до $394 млн)
• Реальный рост (с учетом инфляции):
o В рублях: +286 раз (1,065 / 3.72)
o В долларах: +209 раз (326 / 1.56)
Спасибо, было интересно.
@gostev_future
Цифры, конечно, не бьются с официальными отчетами для инвесторов в 2021-24 годах, но там есть объяснение почему. Я не инвестор, так что пусть так.
Юра говорит что ChatGPT хвалил и предлагал разные метрики – показав рост в 1000 раз за 18 лет.
Ну и вопрос от него – «Что видите вы?»
Вижу, что ChatGPT не предложил учесть инфляцию в рублях за эти годы. Лично я считаю что сравнивать 100 рублей из 2007 и 100 рублей в 2025 это немного странно.
А еще я привык пересчитывать все в доллары. Потому как если считать в национальной валюте, хоть и при 100% выручки в ней же – то самыми быстрорастущими компаниями в мире будут турецкие или аргентинские.
В общем, я пересчитал все про помощи Claude 😀
ok, 2025 год я нарисовал им 33 млрд.
Инфляция:
• 🇷🇺 Россия: 272.3% (цены выросли в 3.72 раза)
• 🇺🇸 США: 56.4% (цены выросли в 1.56 раза)
Рост выручки:
• Номинальный в рублях: +1,065 раз (с 31 до 33,000 млн)
• Номинальный в долларах: +326 раз (с $1.21 до $394 млн)
• Реальный рост (с учетом инфляции):
o В рублях: +286 раз (1,065 / 3.72)
o В долларах: +209 раз (326 / 1.56)
Спасибо, было интересно.
@gostev_future
👍8🤣5❤1
Интересно, что мой пост про генеалогию вызвал больше реакций, чем про всякий кибербез и инновации. Ну ладно — значит, по выходным будет тут рубрика «Гостев из прошлого».
Вот вам история первого известного мне путешественника в роду.
В Тульском архиве хранится протокол допроса от 25 февраля 1724 года. Перед полковником Афанасием Никитичем Головиным, воеводой Тульской провинции, предстал Анисим Евсеевич, двадцати пяти лет от роду, родной брат моего пра(7)деда Тимофея Евсеевича Гостева. Беглый крепостной, который добровольно вернулся к помещику после девяти лет странствий.
В 1715 году шестнадцатилетний Анисим сбежал из тульского сельца Нефедово. На допросе он показал: ушёл сам, не по чьему-то подговору. Просто решил, что хочет другой жизни.
Первым пристанищем стала Москва. У Красной церкви на Полянке Анисим нашёл приют у крестьянина князя Юсупова — портного мастера Василия Кузьмина. Два года работал без платы — учился ремеслу.
Но Анисим мечтал о большем. С помощью крестьянина фельдмаршала Шереметева он добрался до новой столицы — Санкт-Петербурга. И там ему повезло: устроился к придворному закройщику императора Алексею Баранову. Двадцать недель шил для императорского двора за 10 алтын в неделю. Беглый парень из тульской деревни работал на дворец.
Были и тяжёлые времена — два года он провёл в болезни в Татарской слободе. Но выздоровел и вернулся к работе. Шил у разных мастеров, даже полгода трудился в доме сенатора князя Долгорукова.
Вернувшись в Москву опытным портным, Анисим начал работать у иноземцев — немецких мастеров. На Никитской улице у Филипа Петрова, потом в Старой Басманной слободе у Мартына Яковлева, где ему платили уже 13 алтын в неделю — отличные деньги по тем временам.
А потом Анисим добровольно вернулся в Нефедово к своему помещику Афанасию Данилову.
Почему? Документ не отвечает. Устал скрываться? Соскучился по дому?
Девять лет он прожил вольным человеком. Увидел обе столицы, освоил ремесло, поработал и на дворец, и на иноземцев.
В 1768 году, во времена Екатерины Второй, его сына — Александра Анисимовича — за какие-то провинности новый помещик «отдал на поселение», что по тем временам означало: сослал в Сибирь. На этом факте следы этой ветви теряются, но, возможно, и поныне существуют «сибирские» Гостевы — потомки Анисима-путешественника.
@gostev_future
Вот вам история первого известного мне путешественника в роду.
В Тульском архиве хранится протокол допроса от 25 февраля 1724 года. Перед полковником Афанасием Никитичем Головиным, воеводой Тульской провинции, предстал Анисим Евсеевич, двадцати пяти лет от роду, родной брат моего пра(7)деда Тимофея Евсеевича Гостева. Беглый крепостной, который добровольно вернулся к помещику после девяти лет странствий.
В 1715 году шестнадцатилетний Анисим сбежал из тульского сельца Нефедово. На допросе он показал: ушёл сам, не по чьему-то подговору. Просто решил, что хочет другой жизни.
«Збежав, куда ты пришёл, у кого имянно жил, и в которых городех и уездех, и в сёлах, и в деревнях — по коликому числу у кого жил?»
Первым пристанищем стала Москва. У Красной церкви на Полянке Анисим нашёл приют у крестьянина князя Юсупова — портного мастера Василия Кузьмина. Два года работал без платы — учился ремеслу.
Но Анисим мечтал о большем. С помощью крестьянина фельдмаршала Шереметева он добрался до новой столицы — Санкт-Петербурга. И там ему повезло: устроился к придворному закройщику императора Алексею Баранову. Двадцать недель шил для императорского двора за 10 алтын в неделю. Беглый парень из тульской деревни работал на дворец.
Были и тяжёлые времена — два года он провёл в болезни в Татарской слободе. Но выздоровел и вернулся к работе. Шил у разных мастеров, даже полгода трудился в доме сенатора князя Долгорукова.
Вернувшись в Москву опытным портным, Анисим начал работать у иноземцев — немецких мастеров. На Никитской улице у Филипа Петрова, потом в Старой Басманной слободе у Мартына Яковлева, где ему платили уже 13 алтын в неделю — отличные деньги по тем временам.
А потом Анисим добровольно вернулся в Нефедово к своему помещику Афанасию Данилову.
«И в сем феврале месяце, на Сырной неделе, пришёл я возвратно к помещику своему Афонасью Данилову в Тульской уезд, в сельцо Нефедово, по-прежнему».
Почему? Документ не отвечает. Устал скрываться? Соскучился по дому?
«А во время побегу своего в поданных сказках ни за кем я не написан, и, бегаючи, крепостей никому на себя не давал, и в драгуны, и в солдаты, и в матросы ни от кого в отдаче не был, и собою в Санкт-Питербурхе и в Москве не записывался».
Девять лет он прожил вольным человеком. Увидел обе столицы, освоил ремесло, поработал и на дворец, и на иноземцев.
В 1768 году, во времена Екатерины Второй, его сына — Александра Анисимовича — за какие-то провинности новый помещик «отдал на поселение», что по тем временам означало: сослал в Сибирь. На этом факте следы этой ветви теряются, но, возможно, и поныне существуют «сибирские» Гостевы — потомки Анисима-путешественника.
@gostev_future
1🔥25🤯3❤1✍1
Меня спрашивают, насколько глубоко можно забраться в российской генеалогии? Это интересная тема, напрямую связанная с данными, бэкапами и моделями угроз.
Для подавляющего большинства людей в лучшем случае удаётся дойти до периода 1620–1640-х годов. Всё, что раньше этого, — исключительная редкость, если только вы не исследуете какого-нибудь своего предка-князя или боярина.
Причина банальна и печальна: пожары.
В 1626 году полностью сгорел Поместный приказ, в собрании которого находились документы, фиксировавшие государственные земли, раздаваемые в поместья за службу. До того в московских пожарах уже горели документы Разрядного приказа и Царский архив.
Кое-что дьякам удалось восстановить из бэкапов — документов, которые хранились в уездах, на местах. Но и там многое погибло двадцатью годами ранее, во времена Смуты.
Модель угроз, видимо, доработали (стали строить из камня): глобальных пожаров с архивами потом не случалось почти 200 лет.
Практически полностью сохранившаяся перепись населения страны, прошла в 1646 году и именно до нее добраться наиболее реально.
В 1812 году, как мы знаем из истории, целиком сгорела Москва. Но с архивами там вышла некрасивая история — их сожгли французы. Наполеоновские солдаты жгли ревизские сказки и переписи Москвы на кострах: иногда чтобы согреться, а иногда просто забавы ради. К счастью, основное всё уже хранилось в Петербурге, но по истории Москвы в 17 веке теперь имеется дыра.
Монастыри как резервное хранилище
Добраться хоть до какого-то документа из XVI века (времён Ивана Грозного), в котором будет упомянут хоть кто-то из ваших предков, — это редкая удача. И в основном она приходит из архивов монастырей. Именно они были главным бэкапом.
Монастыри (в основном) не горели, их не жгли, а монахи скрупулёзно записывали и переписывали все документы по монастырским владениям, включая историю владения ими. Она обычно начиналась с того, что кто-то пожертвовал монастырю село или деревушку — иногда с выписками чуть ли не из 14-15 веков.
Собственно, только благодаря одному из таких монастырских «бэкапов» я и нашёл документ с самым ранним упоминанием одного из предков, датированный 1568 годом.
Это и будет историей для следующих выходных 🧐
@gostev_future
Для подавляющего большинства людей в лучшем случае удаётся дойти до периода 1620–1640-х годов. Всё, что раньше этого, — исключительная редкость, если только вы не исследуете какого-нибудь своего предка-князя или боярина.
Причина банальна и печальна: пожары.
В 1626 году полностью сгорел Поместный приказ, в собрании которого находились документы, фиксировавшие государственные земли, раздаваемые в поместья за службу. До того в московских пожарах уже горели документы Разрядного приказа и Царский архив.
Кое-что дьякам удалось восстановить из бэкапов — документов, которые хранились в уездах, на местах. Но и там многое погибло двадцатью годами ранее, во времена Смуты.
Модель угроз, видимо, доработали (стали строить из камня): глобальных пожаров с архивами потом не случалось почти 200 лет.
Практически полностью сохранившаяся перепись населения страны, прошла в 1646 году и именно до нее добраться наиболее реально.
В 1812 году, как мы знаем из истории, целиком сгорела Москва. Но с архивами там вышла некрасивая история — их сожгли французы. Наполеоновские солдаты жгли ревизские сказки и переписи Москвы на кострах: иногда чтобы согреться, а иногда просто забавы ради. К счастью, основное всё уже хранилось в Петербурге, но по истории Москвы в 17 веке теперь имеется дыра.
Монастыри как резервное хранилище
Добраться хоть до какого-то документа из XVI века (времён Ивана Грозного), в котором будет упомянут хоть кто-то из ваших предков, — это редкая удача. И в основном она приходит из архивов монастырей. Именно они были главным бэкапом.
Монастыри (в основном) не горели, их не жгли, а монахи скрупулёзно записывали и переписывали все документы по монастырским владениям, включая историю владения ими. Она обычно начиналась с того, что кто-то пожертвовал монастырю село или деревушку — иногда с выписками чуть ли не из 14-15 веков.
Собственно, только благодаря одному из таких монастырских «бэкапов» я и нашёл документ с самым ранним упоминанием одного из предков, датированный 1568 годом.
Это и будет историей для следующих выходных 🧐
@gostev_future
🔥15👍6
С возвращением в трудовые будни!
Кратенько про главные события последних дней в Кореях — от северокорейских хакеров, охотящихся на разработчиков, до южнокорейской полиции, которая снова умудрилась потерять биткойны из cold wallet, не вынимая флешку из сейфа.
🎭 Lazarus Group: вакансия мечты с сюрпризом
Lazrus запустили кампанию "Graphalgo" — создают фейковые криптокомпании (вроде Veltrix Capital), публикуют вакансии на LinkedIn и Reddit, зовут разработчиков на "собеседование" с тестовым заданием. Кандидату присылают ссылку на GitHub-репозиторий с чистым кодом, но в зависимостях прописан вредоносный пакет из npm/PyPI. Запустил npm install для отладки — поздравляю, получил RAT с кражей MetaMask.
💸 Южная Корея: кто-то теряет, кто-то находит
В конце января я писал о том, как прокуратура Кванджу потеряла 320 BTC — следователи попали на фишинг, пароли не меняли 2+ года. После этого по всей стране устроили ревизию и, сюрприз-сюрприз, полиция Каннама обнаружила пропажу 22 BTC (1,5 млн долларов), изъятых ещё в 2021 году. Физический cold wallet остался нетронутым, но монеты вывели удалённо.
А биржа Bithumb случайно раздала 620 000 "фантомных" BTC (около 40 млрд долларов) — сотрудник на промо-раздаче вместо 2000 вон ввёл "2000 BTC" — для 695 пользователей. Монеты существовали только в базе (не в блокчейне) биржи, но 1786 BTC успели продать там же за реальные деньги.
👜 LVMH оштрафовали на 25 млн долларов за халатность с Salesforce
Южная Корея наказала Louis Vuitton (14,8 млн долларов), Dior (8,4 млн долларов) и Tiffany (1,65 млн долларов) за утечку данных 5,5 млн клиентов. Атакующие из ShinyHunters проэксплуатировали Salesforce через фишинг и малварь на устройствах сотрудников — компании не внедрили IP-фильтрацию, 2FA и контроль массовой выгрузки данных. У Dior утечку обнаружили только через 3 месяца, а уведомили регулятора на 5 дней позже положенного срока.
🤖 Северная Корея использует Google Gemini для разведки
Google подтвердил: группа UNC2970 (связана с КНДР) применяет нейросеть Gemini для OSINT-разведки и профилирования целей в APT-кампаниях. Атакующие запрашивают информацию о должностях, зарплатах и структуре компаний в оборонке и кибербезе. Google назвал это "размытием границ между легитимным исследованием и вредоносной разведкой" — когда тот же инструмент используют и журналисты, и хакеры.
@gostev_future
Кратенько про главные события последних дней в Кореях — от северокорейских хакеров, охотящихся на разработчиков, до южнокорейской полиции, которая снова умудрилась потерять биткойны из cold wallet, не вынимая флешку из сейфа.
🎭 Lazarus Group: вакансия мечты с сюрпризом
Lazrus запустили кампанию "Graphalgo" — создают фейковые криптокомпании (вроде Veltrix Capital), публикуют вакансии на LinkedIn и Reddit, зовут разработчиков на "собеседование" с тестовым заданием. Кандидату присылают ссылку на GitHub-репозиторий с чистым кодом, но в зависимостях прописан вредоносный пакет из npm/PyPI. Запустил npm install для отладки — поздравляю, получил RAT с кражей MetaMask.
💸 Южная Корея: кто-то теряет, кто-то находит
В конце января я писал о том, как прокуратура Кванджу потеряла 320 BTC — следователи попали на фишинг, пароли не меняли 2+ года. После этого по всей стране устроили ревизию и, сюрприз-сюрприз, полиция Каннама обнаружила пропажу 22 BTC (1,5 млн долларов), изъятых ещё в 2021 году. Физический cold wallet остался нетронутым, но монеты вывели удалённо.
А биржа Bithumb случайно раздала 620 000 "фантомных" BTC (около 40 млрд долларов) — сотрудник на промо-раздаче вместо 2000 вон ввёл "2000 BTC" — для 695 пользователей. Монеты существовали только в базе (не в блокчейне) биржи, но 1786 BTC успели продать там же за реальные деньги.
👜 LVMH оштрафовали на 25 млн долларов за халатность с Salesforce
Южная Корея наказала Louis Vuitton (14,8 млн долларов), Dior (8,4 млн долларов) и Tiffany (1,65 млн долларов) за утечку данных 5,5 млн клиентов. Атакующие из ShinyHunters проэксплуатировали Salesforce через фишинг и малварь на устройствах сотрудников — компании не внедрили IP-фильтрацию, 2FA и контроль массовой выгрузки данных. У Dior утечку обнаружили только через 3 месяца, а уведомили регулятора на 5 дней позже положенного срока.
🤖 Северная Корея использует Google Gemini для разведки
Google подтвердил: группа UNC2970 (связана с КНДР) применяет нейросеть Gemini для OSINT-разведки и профилирования целей в APT-кампаниях. Атакующие запрашивают информацию о должностях, зарплатах и структуре компаний в оборонке и кибербезе. Google назвал это "размытием границ между легитимным исследованием и вредоносной разведкой" — когда тот же инструмент используют и журналисты, и хакеры.
@gostev_future
🤔1
О, я смотрю все кинулись пересказывать очередной наброс Кима Доткома?
Даже не читая, просто по фразе «Дотком утверждает, что», совершенно понятно, что у когда-то известного персонажа очередное обострение.
За Кимом я слежу внимательно года эдак с 2008 и эволюция тамошнего сознания мне прекрасно знакома. Я, конечно, не врач и диагнозы не ставлю, но в последние годы ничего кроме теорий заговора – там не рождалось. Последние месяцы персонаж занят исключительно разоблачениями «всемирного еврейского заговора». Со всеми вытекающими из этого набросами.
В общем, даже странно что кто-то еще пытается это анализировать.
P.S.Dotcom, напомню, это надутый хайпом пузырь, который в итоге лопнул.
P.P.S. Пикча не моя, его.
@gostev_future
Даже не читая, просто по фразе «Дотком утверждает, что», совершенно понятно, что у когда-то известного персонажа очередное обострение.
За Кимом я слежу внимательно года эдак с 2008 и эволюция тамошнего сознания мне прекрасно знакома. Я, конечно, не врач и диагнозы не ставлю, но в последние годы ничего кроме теорий заговора – там не рождалось. Последние месяцы персонаж занят исключительно разоблачениями «всемирного еврейского заговора». Со всеми вытекающими из этого набросами.
В общем, даже странно что кто-то еще пытается это анализировать.
P.S.Dotcom, напомню, это надутый хайпом пузырь, который в итоге лопнул.
P.P.S. Пикча не моя, его.
@gostev_future
😁8
В некоторых компаниях существует прямой запрет на релизы новых продуктов/обновлений в пятницу вечером или перед длинными выходными.
Но китайцам эти «суеверия» чужды, поэтому четко под сегодняшний Китайский Новый Год, все AI-вендоры Поднебесной бахнули в продакшн:
- Алибаба выкатила Qwen 3.5
- ByteDance запустил Doubao 2.0 (LLM) + Seedream 5.0 (генерация изображений) + Seedance 2.0 (видео) — последняя сразу стала вирусной благодаря реалистичному видео с "дракой" Тома Круза и Брэда Питта
- Zhipu AI выпустила GLM-5, обученную на 100 000 чипах Huawei Ascend (без Nvidia!) и претендующую на уровень Claude Opus 4.5 в кодинге
Но битва двух якодзун еще впереди – вот-вот выйдет Deepseek v4, на что Илон Маск приготовил ответ в виде Grok 4.20 (ага).
А Китай уходит в отпуск до 1 марта, так что патчей не будет 🤣
Happy New Year!
@gostev_future
Но китайцам эти «суеверия» чужды, поэтому четко под сегодняшний Китайский Новый Год, все AI-вендоры Поднебесной бахнули в продакшн:
- Алибаба выкатила Qwen 3.5
- ByteDance запустил Doubao 2.0 (LLM) + Seedream 5.0 (генерация изображений) + Seedance 2.0 (видео) — последняя сразу стала вирусной благодаря реалистичному видео с "дракой" Тома Круза и Брэда Питта
- Zhipu AI выпустила GLM-5, обученную на 100 000 чипах Huawei Ascend (без Nvidia!) и претендующую на уровень Claude Opus 4.5 в кодинге
Но битва двух якодзун еще впереди – вот-вот выйдет Deepseek v4, на что Илон Маск приготовил ответ в виде Grok 4.20 (ага).
А Китай уходит в отпуск до 1 марта, так что патчей не будет 🤣
Happy New Year!
@gostev_future
👍7😁2
Telegram
Кибервойна
Андроиды от Unitree Robotics показывают навыки единоборств на фестивале в честь китайского нового года. Вполне можно представить этих железных товарищей на поле боя уже в обозримом будущем. Как раз укладываемся в таймлайн «Терминатора».
Робот Aidol пока…
Робот Aidol пока…
Сегодня много обсуждают и показывают пляски китайских роботов на концерте в честь Нового Года. Конечно, у западной аудитории превалирует мнение, что это не просто танцы, а демонстрация будущей армии.
А я бы хотел остановиться вот на каком аспекте – электроэнергия.
Есть такой Джордж Фридман, основатель Stratfor и автор книги «Следующие 100 лет». В конце нулевых я часто ее рекомендовал знакомым, сейчас уже нет, но периодически к прогнозам из нее я возвращаюсь.
Так вот, что пишет Фридман, описывая будущий военный конфликт между турецко-немецким альянсом против Польши, американского сателлита:
Вот такая технология, которой еще нет, которая явно нужна человечеству, но разработок в этом направлении пока не видно.
И хочется, чтобы они начались не из-за того, что это понадобится для роботозированных армий.
@gostev_future
А я бы хотел остановиться вот на каком аспекте – электроэнергия.
Есть такой Джордж Фридман, основатель Stratfor и автор книги «Следующие 100 лет». В конце нулевых я часто ее рекомендовал знакомым, сейчас уже нет, но периодически к прогнозам из нее я возвращаюсь.
Так вот, что пишет Фридман, описывая будущий военный конфликт между турецко-немецким альянсом против Польши, американского сателлита:
Подзарядка достаточным количеством энергии бронированных костюмов пехотинцев и роботов также будет представлять проблему. Костюмы приводятся в действие электричеством, их необходимо перезаряжать или ежедневно менять их огромные батареи. В сохранении электроэнергии будет сделан огромный прорыв, однако в конце концов любые аккумуляторы садятся. Следовательно, важнейшим ресурсом будет электрическая сеть, связанная с электростанциями. Стоит разрушить электростанции — и нападающим придется завозить огромные заряженные батареи оттуда, где есть доступ к электроэнергии, а затем распределять их по полю боя. Чем дальше продвигаются войска, тем длиннее будет линия доставки. Все будет зависеть от тактики в доставке электричества.
В течение 1-й половины XXI в. консорциум американских предпринимателей потратит немало денег, осуществляя множество запусков недорогих спутников, которые американцы будут использовать для попыток получения электроэнергии в космосе, ее передачи на Землю в форме микроволн и превращения в используемое электричество.
Основную технологию еще предстоит разработать. Пусковые установки можно построить быстро, так же как и солнечные панели и системы передачи микроволн. Самая сложная задача — создать ресиверы и доставить их на поле боя, однако вновь неограниченный бюджет и мотивация позволяют Америке творить чудеса. Новая «боевая звезда», о которой не знает коалиция, будет создана с двоякой целью: там начнет осуществляться как боевое командование, так и управление строительством и функционированием огромного количества солнечных батарей и систем передачи микроволновой энергии. На поле боя доставят мобильные ресиверы.
После простого нажатия кнопки включения тысячи ресиверов на польской стороне фронта начнут получать микроволновое излучение из космоса и превращать его в электроэнергию. В чем-то это окажется подобным тому, как сотовые телефоны заменили стационарные телефонные линии. Вся структура энергетики изменится.
Во время войны 50-х годов XXI в. США начнут по-настоящему использовать эту новую систему. А космический энергетический проект последующих 60-х годов сделает его частью повседневной жизни. На геостационарной орбите или на поверхности Луны будут размещены в огромном количестве фотоэлектрические ячейки, превращающие солнечную энергию в электричество, а оно, в свою очередь, преобразуется в микроволны, передаваемые на Землю, которые затем вновь будут преобразовываться в электроэнергию и распределяться через существующие и вновь построенные электрические сети.
Очевидно, что на Земле ресиверы должны быть установлены в пустынной местности, поскольку локализованное излучение микроволн будет очень высоким, однако они станут представлять меньшую опасность для окружающей среды, чем ядерный реактор или углеводородные виды топлива.
Вот такая технология, которой еще нет, которая явно нужна человечеству, но разработок в этом направлении пока не видно.
И хочется, чтобы они начались не из-за того, что это понадобится для роботозированных армий.
@gostev_future
🤔4👍3
Сначала штрафы, потом голосовые, потом замедление, дальше я не могу сказать — глава Минцифры Шадаев о судьбе Telegram в России.
Я могу сказать. Дальше будет тоже самое, что с автомобилями, вместо того чтобы пересаживаться на Ладу ... тотальный переход в китайский WeChat. С каждым днем вижу все больше случаев, что люди уходят именно туда.
@gostev_future
👍6🥴2😁1
Anthropic выпустил интересный ресерч, основанный на собранной ими статистике с миллионов агентов Claude Code и public API.
Там много всяких выводов и цифр, но меня заинтересовали данные о том, в каких областях применяются агенты.
Разумеется, почти половина всех задач – это программирование. Затем автоматизация офиса и маркетинг/копирайтинг.
И! В десятку самых популярных вошло Cybersecurity, c показателем в 2.4%, что как по мне, так громадная цифра. Это примерно 24 000 агентов из миллиона, по кому собрали данные. Это чуть меньше, чем научный ресерч и больше, чем создание презентаций и документов.
Wow.
@gostev_future
Там много всяких выводов и цифр, но меня заинтересовали данные о том, в каких областях применяются агенты.
Разумеется, почти половина всех задач – это программирование. Затем автоматизация офиса и маркетинг/копирайтинг.
И! В десятку самых популярных вошло Cybersecurity, c показателем в 2.4%, что как по мне, так громадная цифра. Это примерно 24 000 агентов из миллиона, по кому собрали данные. Это чуть меньше, чем научный ресерч и больше, чем создание презентаций и документов.
Wow.
@gostev_future
😱2👍1
Но вот с названием компании им явно надо что-то делать.
http://antrophic.com
Как думаете, судиться с сквоттером будут ? 😂
P.S. Некоторые не поняли — поясняю. Open AI это не они, это ChatGPT,заклятый враг.
@gostev_future
http://antrophic.com
Как думаете, судиться с сквоттером будут ? 😂
P.S. Некоторые не поняли — поясняю. Open AI это не они, это ChatGPT,
@gostev_future
Openai
We believe our research will eventually lead to artificial general intelligence, a system that can solve human-level problems. Building safe and beneficial AGI is our mission.
Любовь ChatGPT и Anthropic наглядно отразилась на AI саммите в Дели. Сэм Альтман и Дарио Амодеи не захотели взяться за руки.
И теперь все угорают с них, конечно.
@gostev_future
И теперь все угорают с них, конечно.
@gostev_future
😁7