#news Занятный международный кейс из Штатов: против экстремистов из Meta подали иск по шифрованию в WhatsApp. Утверждают, что никакого E2EE в мессенджере нет, и компания имеет доступ ко всем сообщениям.
Компания это отрицает и называет “фривольными выдумками”, обещая санкции самим обвинителям. Владелец мессенджера ссылается на протокол Signal, на котором WhatsApp крутится уже 10 лет — шифрование есть. Заявители же утверждают, что у них есть источники в компании, доказавшие обратное. И есть хранение и анализ всех переписок и доступ к ним — миллиарды юзеров обмануты. Напрашивается, вопрос, а пруфы где? Пруфов пока нет, только обвинения. За делом можно следить, но пока сенсационных разоблачений по незадокументированным фичам на стороне сервера нет. Поди опять всё перепутали и намешали в кучу E2EE с бэкапами и всем сопутствующим.
@tomhunter
Компания это отрицает и называет “фривольными выдумками”, обещая санкции самим обвинителям. Владелец мессенджера ссылается на протокол Signal, на котором WhatsApp крутится уже 10 лет — шифрование есть. Заявители же утверждают, что у них есть источники в компании, доказавшие обратное. И есть хранение и анализ всех переписок и доступ к ним — миллиарды юзеров обмануты. Напрашивается, вопрос, а пруфы где? Пруфов пока нет, только обвинения. За делом можно следить, но пока сенсационных разоблачений по незадокументированным фичам на стороне сервера нет. Поди опять всё перепутали и намешали в кучу E2EE с бэкапами и всем сопутствующим.
@tomhunter
😁4🤡3👍1🔥1
#news ESET возложила декабрьскую атаку по польским энергосетям России — со "средней уверенностью" утверждают, что это была приписываемая к ГРУ Sandworm. Пишут про новый вайпер DynoWiper и спекулируют, что атака была привязана к десятой годовщине атак SandWiper’ом.
В принципе, здесь удивительного мало: нашли вайпер, значит, ГРУ — здесь и думать нечего. Пиджаки в высоких кабинетах сходу покивают головами и удовлетворятся отчётом. А так, в TTP якобы оверлап с предыдущими вайперами, но сэмплов что-то не видать. Поляки хотя бы могут хвастаться тем, что всё у них продолжило работать. У UK в этом плане поскромнее: недавно снова предупредили об атаках хактивистов DDoSsia из России. Если вашу госуху беспокоят дарования из Дудосии, то в инфре страны явно есть проблемы понасущнее, чем, собственно, сами эти дарования — ИБ-ночь темна и полна ужасов. От апэтэшечек.
@tomhunter
В принципе, здесь удивительного мало: нашли вайпер, значит, ГРУ — здесь и думать нечего. Пиджаки в высоких кабинетах сходу покивают головами и удовлетворятся отчётом. А так, в TTP якобы оверлап с предыдущими вайперами, но сэмплов что-то не видать. Поляки хотя бы могут хвастаться тем, что всё у них продолжило работать. У UK в этом плане поскромнее: недавно снова предупредили об атаках хактивистов DDoSsia из России. Если вашу госуху беспокоят дарования из Дудосии, то в инфре страны явно есть проблемы понасущнее, чем, собственно, сами эти дарования — ИБ-ночь темна и полна ужасов. От апэтэшечек.
@tomhunter
🤡9❤2😁2💯2👍1🤔1
#news Увлекательные приключения русского рансомварщика в Америке. Янис Антропенко, по документам суда гражданин России, признал вину по делу рансомвари Zeppelin, активной с 2018-го по 2022-й.
Оператора Zeppelin приняли спустя несколько лет, после того как операция свернулась. Из интересного, сид-фразу от кошелька с 40 битками нашли у его жены в яблочном хранилище, там же налоговые декларации и фото с пачками кэша. О — опсек. Жинка Беднарчик, согласно суду, была сообщницей Антропенко и отмывала деньги — такие себе крипто-Бонни и Клайд на минималках аля Лихтенштейн. При этом Беднарчик обвинения не предъявили, и сам Антропенко был под залогом, хотя трижды нарушал условия и попадался в пьяном виде. Видимо, хорошо посотрудничал на благо новой родины. Но пункт финального назначения близок, увы: сроки и штрафы солидные, в перспективе депортация.
@tomhunter
Оператора Zeppelin приняли спустя несколько лет, после того как операция свернулась. Из интересного, сид-фразу от кошелька с 40 битками нашли у его жены в яблочном хранилище, там же налоговые декларации и фото с пачками кэша. О — опсек. Жинка Беднарчик, согласно суду, была сообщницей Антропенко и отмывала деньги — такие себе крипто-Бонни и Клайд на минималках аля Лихтенштейн. При этом Беднарчик обвинения не предъявили, и сам Антропенко был под залогом, хотя трижды нарушал условия и попадался в пьяном виде. Видимо, хорошо посотрудничал на благо новой родины. Но пункт финального назначения близок, увы: сроки и штрафы солидные, в перспективе депортация.
@tomhunter
❤4👍3😁3🫡2
#news ClickFix настолько хорош, что по нему можно изучать методы доставки малвари и обхода обнаружения — скоро вариации соберут их все. В свежем варианте запуск через скрипт Microsoft Application Virtualization в Win Enterprise — редкая диковинка.
App-V скрипты в таком контексте часто не встретишь: Enterprise мало где найдёшь, и нормальный SOC шум от него всё равно словит. Абьюз App-V светился у китайских умельцев — они любят всё обскурное в винде. Но ClickFix теперь вместо учебника: есть и крутая социнженерия, и нишевые вещи на любой вкус. Бонусом в этом варианте стеганография и подтягивание конфигурации из Google Calendar — а почему бы и нет? В сухом остатке ещё один подписанный скрипт, который надо порезать. И напоминание о том, что если Майкрософт что-то релизит, это кто-нибудь обязательно заабьюзит.
@tomhunter
App-V скрипты в таком контексте часто не встретишь: Enterprise мало где найдёшь, и нормальный SOC шум от него всё равно словит. Абьюз App-V светился у китайских умельцев — они любят всё обскурное в винде. Но ClickFix теперь вместо учебника: есть и крутая социнженерия, и нишевые вещи на любой вкус. Бонусом в этом варианте стеганография и подтягивание конфигурации из Google Calendar — а почему бы и нет? В сухом остатке ещё один подписанный скрипт, который надо порезать. И напоминание о том, что если Майкрософт что-то релизит, это кто-нибудь обязательно заабьюзит.
@tomhunter
😁3👍2
#news У нас первое решение по делу о рекламе VPN-сервисов: вологодское УФАС признало её ненадлежащей и рассматривает административку для какого-то несчастного страдальца с Telegram-каналом, продвигавшим надёжный® и проверенный™ за мелкий прайс.
Аналогичных решений пока не видать, но это пока: второе дело уже возбудилось в Хабаровском крае. Здесь у нас каталог в WhatsApp со ссылкой на бот в Telegram с доступом к сервису для совершения всякого экстремистского в этих ваших интернетах. Аккаунт в свободном доступе, а это уже, как водится, реклама… В общем, раскочегарились спустя полгода после принятия — теперь увидим закон на практике. Юристы нагнетают, что независимо от формулировок за упоминания VPN будет а-та-та — они ведь по природе своей созданы для обхода ограничений. А порядочный человек, как известно, ограничения обходить не станет, не так ли, юзернейм?
@tomhunter
Аналогичных решений пока не видать, но это пока: второе дело уже возбудилось в Хабаровском крае. Здесь у нас каталог в WhatsApp со ссылкой на бот в Telegram с доступом к сервису для совершения всякого экстремистского в этих ваших интернетах. Аккаунт в свободном доступе, а это уже, как водится, реклама… В общем, раскочегарились спустя полгода после принятия — теперь увидим закон на практике. Юристы нагнетают, что независимо от формулировок за упоминания VPN будет а-та-та — они ведь по природе своей созданы для обхода ограничений. А порядочный человек, как известно, ограничения обходить не станет, не так ли, юзернейм?
@tomhunter
🤬11😁3👍2😱1💯1
#news К вопросу о британцах и их ИБ. Telegraph выступил с “расследованием”, что у китайских APT был доступ к разговорам высших должностных лиц. И всё это как минимум с 2021-го по 2024-й год.
Упомянуты помощники Джонсона, Трасс и Сунака — вплоть до ключевых коммуникаций на Даунинг-стрит. Скомпрометированы, возможно, звонки и сообщения, а также метаданные. Расследование в кавычках: деталей не приводят, и многое неясно. Взлом вскрыли в 2024-м, но предполагают, что доступ был и позже, атаки шли много и со вкусом, MI5 било тревогу в ноябре, но публично масштабы не раскрывает... Похоже, просто набрасывают политических интрижек ради перед поездкой премьер-министра в Китай по чувствительным вопросам. Но сам факт зафиксирован: китайские апэтэшечки щупают UK за самые мягкие места. Глядишь, застанем и подробности, если их сольют прессе — потеха будет не хуже штатовских телекомов.
@tomhunter
Упомянуты помощники Джонсона, Трасс и Сунака — вплоть до ключевых коммуникаций на Даунинг-стрит. Скомпрометированы, возможно, звонки и сообщения, а также метаданные. Расследование в кавычках: деталей не приводят, и многое неясно. Взлом вскрыли в 2024-м, но предполагают, что доступ был и позже, атаки шли много и со вкусом, MI5 било тревогу в ноябре, но публично масштабы не раскрывает... Похоже, просто набрасывают политических интрижек ради перед поездкой премьер-министра в Китай по чувствительным вопросам. Но сам факт зафиксирован: китайские апэтэшечки щупают UK за самые мягкие места. Глядишь, застанем и подробности, если их сольют прессе — потеха будет не хуже штатовских телекомов.
@tomhunter
👍6😁3💯1
#news Google наносит ответный удар по резидентским прокси: компания шатает одну из их крупнейших сетей IPIDEA. Десятки доменов перехвачены, заявляют о серьёзном ущербе. Сомнительно, но окэй.
IPIDEA — масштабная китайская сетка проксей: 6 миллионов ежедневных айпи. Гугл утверждает, что на момент перехвата сервисом пользовались ~550 разных группировок, от сайберкрайма до APT со всего мира. Его же абьюзили самые горячие ботнеты сезона Kimwolf и Aisuru. Инфра IPIDEA повсюду: от предустановленной на девайсах из Китая и SDK до приложений за мелкий прайс и троянизированных версий. А также в народных ускорителях ютуба: проверяйте устройства на наличие Galleon *** и Radish ***. По итогам, как обычно, у нас кратковременный удар по операции, пускай и с миллионами отвалившихся эндпоинтов. Но заголовки-то какие: “Мощный удар по китайскому кибероружию!” Для человека, далёкого от индустрии, она полна романтики.
@tomhunter
IPIDEA — масштабная китайская сетка проксей: 6 миллионов ежедневных айпи. Гугл утверждает, что на момент перехвата сервисом пользовались ~550 разных группировок, от сайберкрайма до APT со всего мира. Его же абьюзили самые горячие ботнеты сезона Kimwolf и Aisuru. Инфра IPIDEA повсюду: от предустановленной на девайсах из Китая и SDK до приложений за мелкий прайс и троянизированных версий. А также в народных ускорителях ютуба: проверяйте устройства на наличие Galleon *** и Radish ***. По итогам, как обычно, у нас кратковременный удар по операции, пускай и с миллионами отвалившихся эндпоинтов. Но заголовки-то какие: “Мощный удар по китайскому кибероружию!” Для человека, далёкого от индустрии, она полна романтики.
@tomhunter
😁5👍1💯1
#news Исполняющий обязанности руководителя штатовской CISA попался на пикантном: товарищ загрузил конфиденциальные документы в ChatGPT. Ничего секретного, только служебные. Но это как бы глава CISA…
На попытку скормить LLM’ке документы триггернулась СБ, и неудачливого креслогрея при главном агентстве кибербезопасности США поймали с поличным. То, что всё слитое ИИ-моделям останется на серверах, к этому есть доступ их сотрудников, и оно может банально утечь, господина Мадху Готтумуккала не смутило. Вероятно, это как-то связано с тем, что до назначения опыта в ИБ у него особо не было. Как такое возможно? С нынешней штатовской администрацией и не такое возможно! Бонусом Мадху недавно провалил полиграф и начал от обиды кошмарить сотрудников. Что-то подсказывает, с противостоянием хакерской угрозе из-за океана у CISA в ближайшие годы всё будет складываться не очень.
@tomhunter
На попытку скормить LLM’ке документы триггернулась СБ, и неудачливого креслогрея при главном агентстве кибербезопасности США поймали с поличным. То, что всё слитое ИИ-моделям останется на серверах, к этому есть доступ их сотрудников, и оно может банально утечь, господина Мадху Готтумуккала не смутило. Вероятно, это как-то связано с тем, что до назначения опыта в ИБ у него особо не было. Как такое возможно? С нынешней штатовской администрацией и не такое возможно! Бонусом Мадху недавно провалил полиграф и начал от обиды кошмарить сотрудников. Что-то подсказывает, с противостоянием хакерской угрозе из-за океана у CISA в ближайшие годы всё будет складываться не очень.
@tomhunter
😁10
#news В Китае радикально решают вопрос скам-центров: 11 членов криминальной семьи, ответственной за рассадник онлайн-мошенничества, казнили. Мошенник не нажмёт на кнопку, если вы лишите его руки! И не только руки.
Преступный клан Мин родом из Мьянмы, у них в послужном списке те самые скам-центры, про которые разносят хоррор-истории по сети: с вовлечением в мошенничество, рабством и вплоть до убийств бегущих. Китайские СМИ утверждают, что на пике в центрах держали 10 тысяч человек. Мин схватили ещё в 2023-м и передали Китаю, в прошлом сентябре их приговорили к высшей мере. Сообщают, что исполнили. При этом это далеко не единственная группировка, ждущая казни — коллег по бизнесу из городка Лауккаинг ждёт та же судьба. Представитель МИД подтвердил, что Пекин наращивает усилия по борьбе с мошенничеством — специфика региона такая, что и в скам-центрах адок, и меры соответствуют. Это вам не уютный офис под Днепром.
@tomhunter
Преступный клан Мин родом из Мьянмы, у них в послужном списке те самые скам-центры, про которые разносят хоррор-истории по сети: с вовлечением в мошенничество, рабством и вплоть до убийств бегущих. Китайские СМИ утверждают, что на пике в центрах держали 10 тысяч человек. Мин схватили ещё в 2023-м и передали Китаю, в прошлом сентябре их приговорили к высшей мере. Сообщают, что исполнили. При этом это далеко не единственная группировка, ждущая казни — коллег по бизнесу из городка Лауккаинг ждёт та же судьба. Представитель МИД подтвердил, что Пекин наращивает усилия по борьбе с мошенничеством — специфика региона такая, что и в скам-центрах адок, и меры соответствуют. Это вам не уютный офис под Днепром.
@tomhunter
❤5👍3😱3🤡2🔥1
#news Очередная ИИ-платформа засветилась в абьюзе и доставке малвари. На Hugging Face масштабная кампания по хостингу инфостилера под Android и его доставке через CDN сервиса.
На Hugging Face раньше попадали вредоносные ИИ-модели, но здесь интереснее. Начинается всё со scareware про компрометацию устройства, затем с HF тянется APK с малварью. При этом на стороне сервера полиморфизм с новыми вариантами APK каждые 15 минут — ~6,000 коммитов меньше чем за месяц. И после удаления с платформы злоумышленники тут же подняли операцию под другим именем. В общем, дивный новый ИИ-мир не поспевает за привычными угрозами и в их ландшафт вписывается с большим скрипом. Хотя здесь, конечно, больше доверенная платформа пополняет список на абьюз под вредонос. Всё бывает в первый раз — особенно у сервиса без толковых фильтров на загрузку.
@tomhunter
На Hugging Face раньше попадали вредоносные ИИ-модели, но здесь интереснее. Начинается всё со scareware про компрометацию устройства, затем с HF тянется APK с малварью. При этом на стороне сервера полиморфизм с новыми вариантами APK каждые 15 минут — ~6,000 коммитов меньше чем за месяц. И после удаления с платформы злоумышленники тут же подняли операцию под другим именем. В общем, дивный новый ИИ-мир не поспевает за привычными угрозами и в их ландшафт вписывается с большим скрипом. Хотя здесь, конечно, больше доверенная платформа пополняет список на абьюз под вредонос. Всё бывает в первый раз — особенно у сервиса без толковых фильтров на загрузку.
@tomhunter
👍2🔥2😁2❤1
#news В n8n закрыли ещё пару уязвимостей, критическую и высокую, обе под RCE. А вы думали, Ni8mare для сервиса закончился? На то он и ночной кошмар. Из плюсов, обе с auth.
@tomhunter
CVE-2026-1470 с аутентификацией, но от любого юзера и достаточно серьёзная, чтобы выбить 9.9 по CVSS; вторая CVE-2026-0863 на 8.5. Обе уязвимости на внедрение вредоносного кода и побег из песочницы, первая допускает полную компрометацию инстанса на internal-конфигах. По сути привычные питонопроблемы в песочнице: из-за мелкого изменения в интерпретаторе в Python 3.10 санитизация малость поломалась. Подробнее в отчёте. Всё это, как водится, ответственное раскрытие, и патчи уже доступны в свежих версиях. Так что если кого из юзеров и Ni8mare не впечатлила, есть отличный повод запоздало обновиться по итогам января.@tomhunter
👍3🔥2😁2