Как один текстовый файл с кодами восстановления привел к полному захвату сети

Тут Huntress опубликовала поучительную историю из своей практики реагирования на инциденты, связанной с недавними атаками на SonicWall VPN.

Атакующие, связанные с шифровальщиком Akira, получили первоначальный доступ к сети через уязвимый SonicWall VPN. А дальше им невероятно повезло. На рабочем столе одного из инженеров по безопасности они нашли текстовый файл, в котором в открытом виде хранились коды восстановления от его аккаунта в консоли Huntress. Ну с кем не бывает 🤡

Эти коды, как мы знаем, предназначены для обхода MFA в экстренных случаях. Получив их, атакующие смогли полностью обойти многофакторную аутентификацию, залогиниться в портал Huntress под видом легитимного инженера и получить полный доступ к консоли управления безопасностью.

Дальше все было по классике. Злоумышленники начали закрывать активные инциденты, выводить хосты из изоляции и даже удалять агентов Huntress с машин. Это позволило им дольше оставаться незамеченными и спокойно перемещаться по сети, отключая другие средства защиты и развертывая шифровальщик.

На MFA надейся, а пароли в KeePass храни.

Типичный 🥸 Сисадмин

Странные корни у дерева 😐

🥸 @montajniklvs

🌐 Камчатка останется без интернета

С 25 по 29 сентября на Камчатке пройдут плановые работы по укреплению береговой инфраструктуры подводного волоконно-оптического кабеля, соединяющего полуостров с глобальной сетью.

Фактическое отключение интернета займёт 48 часов, но точные сроки зависят от погодных условий. Кабель заведут в специальную подземную и морскую трубу, что защитит его от природных и человеческих воздействий.

20-21 сентября пройдёт тестирование спутникового канала. После этого опубликуют список сервисов и банкоматов, которые останутся доступными.

Типичный 🥸 Сисадмин

Китай вводит часовой дедлайн на отчеты о киберинцидентах

Китайский кибер-регулятор CAC вводит новые правила по отчетности о киберинцидентах, которые заставят иные GDPR выглядеть детской забавой. С 1 ноября китайские сетевые операторы (то есть, по сути, все, кто владеет или управляет сетями) должны будут сообщать о серьезных инцидентах в течение одного часа с момента обнаружения. А для особо крупных дедлайн и вовсе 30 минут 😱

Что считается особо крупным инцидентом? Утечка данных более 100 миллионов граждан, падение ключевых госсайтов или прямой экономический ущерб более $10.3 млн. В течение этого времени оператор должен предоставить полный отчет содержащий таймлайн атаки, тип инцидента, нанесенный ущерб, эксплуатируемые уязвимости и прогноз возможного будущего ущерба. А в течение 30 дней мельчайший разбор с поиском виноватых.

В Европе по GDPR на уведомление об утечке персональных данных дается 72 часа. В США единого федерального закона нет, сроки варьируются от штата к штату, но обычно измеряется днями. В России, согласно 187-ФЗ "О безопасности КИИ", оператор объекта КИИ обязан сообщить об инциденте в ГосСОПКА в течение 24 часов, а об утечке персональных данных сообщить в РКН в течение 24 часов (первичное уведомление) и 72 часов (детальный отчет).

За 30 минут во многих компаниях даже не успевают договориться о времени совещания по инциденту, а тут... 🙁

Типичный 🥸 Сисадмин

🎹 Пропасть между элитными хакерами и новичками стирается, мы вступаем в эпоху ИИ-агентных войн.

В репозитории PyPI обнаружили инструмент Villager (уже овер 14к скачиваний) и выглядит он как полноценная ИИ-оркестрационная платформа для атак. В основе Villager лежит MCP (Model Context Protocol), который выступает в роли коммуникационной шины между различными модулями. В качестве мозга используется DeepSeek v3, который накачали базой из более чем 4200 системных промптов для понимания контекста и выбора тактик.

Для выполнения задач Villager на лету разворачивает изолированные контейнеры с утилитами из дистрибутива Kali Linux. Эти контейнеры настроены на самоуничтожение через 24 часа, а SSH-порты внутри них рандомизируются, что максимально усложняет анализ и форензику. Управление осуществляется через FastAPI-эндпоинт, на который оператор отправляет задачу на естественном языке. ИИ самостоятельно декомпозирует ее на подзадачи, выбирает инструменты, запускает их, анализирует вывод и корректирует свою стратегию.

Получается, что теперь для проведения сложной, многоэтапной атаки не нужны глубокие знания. Нужен просто pip install villager и правильно составленный промпт. ИИ сам выберет инструменты, сам их запустит и сам проанализирует результат.

Скоро ИИ-агенты будут и атаковать, и защищаться. А наша с вами работа сведется к тому, чтобы вовремя перезагружать сервер, на котором они зависли 🏥

Типичный 🥸 Сисадмин

Процесс кормления домашнего файлового сервера 🍔

Типичный 🥸 Сисадмин

Типичный 🥸 Сисадмин

🫡 ИИ впервые выиграл финал ICPC у людей

На чемпионате мира по программированию ICPC абсолютным победителем стала reasoning-система от OpenAI. Модель решила все 12 из 12 задач за 5 часов строго по регламенту. Для сравнения, максимум среди людей в этом году — 11 задач, результат сборной СПбГУ Polar Bear Transform.

ИИ справился с 11 задачами с первой попытки, а последнюю закрыл только с девятой. Все решения были приняты без участия человека. По словам разработчиков, систему не натаскивали специально под ICPC — её тестировали и на других олимпиадах вроде IMO и IOI.

У DeepMind результат чуть скромнее — 10 задач и тоже «золото».

🥸 godnoTECH - Новости IT

Google срочно закрывает шестую zero-day уязвимость в этом году

Уязвимость (CVE-2025-10585) находится в движке V8 JavaScript и представляет собой классический type confusion. Проблема возникает, когда движок некорректно интерпретирует тип объекта в памяти, что может привести к падению системы, выполнению произвольного кода и, в связке с другими багами, к полной компрометации системы через вредоносную HTML-страницу.

Об уязвимости и ее эксплуатации в дикой природе сообщил Google Threat Analysis Group (TAG). Как всегда, Google не раскрывает, кто именно и как использует эту дыру, но, учитывая, что TAG отслеживает государственных шпионов и поставщиков коммерческого шпионского ПО, скорее всего, речь идет о целевых атаках на высокопоставленных персонажей.

Обновление до версии 140.0.7339.185/.186 для Windows и macOS, и 140.0.7339.185 для Linux решает проблему.

Типичный 🏥 Сисадмин

NVIDIA и Intel объявили о стратегическом партнерстве. Ад замерз 😬

Теперь Intel будет клепать для NVIDIA кастомные x86-процессоры, которые NVIDIA потом будет встраивать в свои AI-платформы и продавать под своим брендом. А для нас, простых смертных, Intel будет делать x86-чипы со встроенными RTX-чиплетами от NVIDIA. А чтобы закрепить дружбу, NVIDIA еще и $5 миллиардов в акции Intel вложит.

По сути, это признание очевидного. У NVIDIA лучшие GPU и AI-экосистема. У Intel заводы и все еще доминирующая x86-архитектура. Они просто посмотрели друг на друга и решили, что гораздо веселее объединиться и поделить рынок.

А теперь ироничная минута молчания в память об AMD 🏥. Пока Лиза Су героически отвоевывала у Intel проценты на рынке CPU, Дженсен Хуанг (Nvidia) просто пришел и купил себе долю в Intel.

З.Ы. Правда сделку ещё должны одобрить регуляторы.

Типичный 🥸 Сисадмин