#news В Северной Ирландии пару недель назад произошла атака по школьной IT, положившая доступ к нацсистеме по всему региону. А следом поймали злоумышленника: вместо рансомвари за компрометацией стоял местный 16-летний пацан.
По следам взлома сбросили пароли всех юзеров, так что школы и ученики остались без доступа к своим аккаунтам. А большая часть школ в регионе подключена к единой системе на 20к учителей и 300к учеников, так что охват получился приличный. Судя по всему, юное дарование получило доступ к внутренним системам, скажем, нарыв где-то повторно использованный пароль, и в порядке ответа на возможную утечку админка решила снести все пользовательские креды. И образовательная система прихворала — всё онлайн же. С одной стороны, хотя бы не страшные русские хакеры, стянувшие данные на наше всё. С другой, любознательный школьник, конечно, нервы им потрепал изрядно. Будущий пентестер подрастает!
@tomhunter
По следам взлома сбросили пароли всех юзеров, так что школы и ученики остались без доступа к своим аккаунтам. А большая часть школ в регионе подключена к единой системе на 20к учителей и 300к учеников, так что охват получился приличный. Судя по всему, юное дарование получило доступ к внутренним системам, скажем, нарыв где-то повторно использованный пароль, и в порядке ответа на возможную утечку админка решила снести все пользовательские креды. И образовательная система прихворала — всё онлайн же. С одной стороны, хотя бы не страшные русские хакеры, стянувшие данные на наше всё. С другой, любознательный школьник, конечно, нервы им потрепал изрядно. Будущий пентестер подрастает!
@tomhunter
😁10
#news NIST скорректировал свои амбиции по добавлению информации об уязвимостях в NVD. Раньше они обновляли все CVE в каталоге описанием и оценкой, но больше занимающийся этим отдел просто не справляется с бесконечным потоком.
Изменения в работе грядут серьёзные: подробную информацию оперативно будут добавлять в записи о CVE из каталога активно эксплуатируемых CISA плюс в уязвимости от продуктов в критическом и стоящем в американской госухе ПО. Остальное расписывать не будут; более того, бэклог до 1 марта 2026-го отправляется в печь — добивать недоделанное тоже не хотят. А разгадка проста: за 3 месяца 2026-го новых CVE на треть больше, чем годом ранее; а в 2025-м они обработали 42к записей — почти наполовину больше, чем в 2024-м. И всем этим занимаются 21 человек. Так что понять бедолаг можно: погожим весенним деньком один в сердцах произнёс: “А может, ну их к чёрту эти ваши CVE?”, и остальные 20 с энтузиазмом согласились.
@tomhunter
Изменения в работе грядут серьёзные: подробную информацию оперативно будут добавлять в записи о CVE из каталога активно эксплуатируемых CISA плюс в уязвимости от продуктов в критическом и стоящем в американской госухе ПО. Остальное расписывать не будут; более того, бэклог до 1 марта 2026-го отправляется в печь — добивать недоделанное тоже не хотят. А разгадка проста: за 3 месяца 2026-го новых CVE на треть больше, чем годом ранее; а в 2025-м они обработали 42к записей — почти наполовину больше, чем в 2024-м. И всем этим занимаются 21 человек. Так что понять бедолаг можно: погожим весенним деньком один в сердцах произнёс: “А может, ну их к чёрту эти ваши CVE?”, и остальные 20 с энтузиазмом согласились.
@tomhunter
💯6😁3🔥2❤1
#news Вчера вечером криптобиржа Grinex заявила о взломе. Больше миллиарда рублей были похищены 15 апреля, работа биржи приостановлена. В Grinex заявили, что их ломают спецслужбы недружественных стран, но на диверсию криптоагентов-007 взлом не похож.
Grinex в своём репертуаре: атаку скоординировали ни много ни мало “с целью нанесения прямого ущерба финансовому суверенитету России”. Зачем недружественным спецслужбам взламывать наше всё от мира крипты вместо того, чтобы по запросу морозить кошельки от Tether — вопрос открытый. И уж тем более выводить скромные $13 миллионов со своей масштабной операции через De-Fi шарашку SunSwap. Но прикрыть дырявую инфру (а то и инсайдерскую работу) громкими заявлениями надо, прецеденты по шатанию суверенитета имеются, так что здесь уж, как водится, сам господин реал-политик сценарий пиар-отделу подсказал. Думаю, наш финансовый суверенитет этот страшный удар как-нибудь переживёт.
@tomhunter
Grinex в своём репертуаре: атаку скоординировали ни много ни мало “с целью нанесения прямого ущерба финансовому суверенитету России”. Зачем недружественным спецслужбам взламывать наше всё от мира крипты вместо того, чтобы по запросу морозить кошельки от Tether — вопрос открытый. И уж тем более выводить скромные $13 миллионов со своей масштабной операции через De-Fi шарашку SunSwap. Но прикрыть дырявую инфру (а то и инсайдерскую работу) громкими заявлениями надо, прецеденты по шатанию суверенитета имеются, так что здесь уж, как водится, сам господин реал-политик сценарий пиар-отделу подсказал. Думаю, наш финансовый суверенитет этот страшный удар как-нибудь переживёт.
@tomhunter
😁9💯2
#news На Украине арестовали некоего члена киберпреступной группировки, разыскиваемого ФБР. Имя не обозначено, но сумма изъятий солидная: имущество на $11 миллионов, включая $3 миллиона в крипте.
Разыскиваемого приняли в Ужгороде, он обозначен как часть синдиката, деплоящего малварь для сбора данных и последующего вымогательства в США и Европе. В общем, у нас сайберкрайм, возможно, рансомварь. Не обошлось и без восточноевропейского колорита: персонаж имел на своё имя свидетельство о смерти и жил по поддельным документам. Но фокус с преувеличенными слухами о его преждевременной кончине не удался. Судя по отсутствию публичности и суммам изъятых активов, могли арестовать кошелёк чей-то операции, но пока деталей нет, следствие идёт, и на очереди, скорее всего, увлекательное путешествие в финальный пункт назначения — экстрадиция.
@tomhunter
Разыскиваемого приняли в Ужгороде, он обозначен как часть синдиката, деплоящего малварь для сбора данных и последующего вымогательства в США и Европе. В общем, у нас сайберкрайм, возможно, рансомварь. Не обошлось и без восточноевропейского колорита: персонаж имел на своё имя свидетельство о смерти и жил по поддельным документам. Но фокус с преувеличенными слухами о его преждевременной кончине не удался. Судя по отсутствию публичности и суммам изъятых активов, могли арестовать кошелёк чей-то операции, но пока деталей нет, следствие идёт, и на очереди, скорее всего, увлекательное путешествие в финальный пункт назначения — экстрадиция.
@tomhunter
🔥3😁3❤1🤡1
#news Vercel, разработчика Next[.]js и облачного провайдера, взломали. Затронуты внутренние системы, у части клиентов, они же “limited subset of customers” на корпоративном, скомпрометированы креды. И всё это в погожий воскресный денёк.
Взлом через стороннюю ИИ-приблуду Context[.]ai одного из сотрудников, у которого стянули доступ к аккаунту на Google Workspace. Оттуда пошёл доступ к части сред, не помеченных как “чувствительные”. И одним Vercel дело не ограничивается — утверждают, что затронуты и другие компании с этим ИИ-инструментом и компрометацией его OAuth-приложения. Злоумышленник, конечно же, “highly sophisticated” — за взлом от кого-то не очень sophisticated было бы стыдно. При этом в деле интрига: взломщики говорят, что они ShinyHunters и требуют $2 миллиона. SH же утверждают, что они не при делах — на фоне этого Vercel бодрится и отказывается платить фейкам. Но по итогам дня клиентам-то будет без разницы, под каким брендом утекли их ключи.
@tomhunter
Взлом через стороннюю ИИ-приблуду Context[.]ai одного из сотрудников, у которого стянули доступ к аккаунту на Google Workspace. Оттуда пошёл доступ к части сред, не помеченных как “чувствительные”. И одним Vercel дело не ограничивается — утверждают, что затронуты и другие компании с этим ИИ-инструментом и компрометацией его OAuth-приложения. Злоумышленник, конечно же, “highly sophisticated” — за взлом от кого-то не очень sophisticated было бы стыдно. При этом в деле интрига: взломщики говорят, что они ShinyHunters и требуют $2 миллиона. SH же утверждают, что они не при делах — на фоне этого Vercel бодрится и отказывается платить фейкам. Но по итогам дня клиентам-то будет без разницы, под каким брендом утекли их ключи.
@tomhunter
🔥5💯4❤1
#news В новую неделю с новостями о продуктивности по-британски. Одно из подразделений Национальной службы здравоохранения UK до сих пор не восстановило системы после шифрования. Атака была в июне 2024-го.
Напомню, тогда особо отбитые представители рансомварь-сцены Qilin зашифровали местного поставщика медицинских услуг. Здравоохранение встало, данные миллиона пациентов утекли — многих уведомили только 1,5 года спустя. А в апреле 2026-го одно подразделение так и стоит без рабочих систем и вручную обрабатывает огромные бэклоги с запаздывающими результатами анализов. На бумаге. И всё это прямиком в Лондоне — в крупнейшем психиатрическом подразделении страны. Э — эффективность. Так что если по итогам ближайшего спринта честным ответом на вопрос “Что успел сделать за неделю” будет только “Да походу ничего не успел”, можно вспомнить уровень IR-менеджмента в британской госухе и почувствовать себя лучше.
@tomhunter
Напомню, тогда особо отбитые представители рансомварь-сцены Qilin зашифровали местного поставщика медицинских услуг. Здравоохранение встало, данные миллиона пациентов утекли — многих уведомили только 1,5 года спустя. А в апреле 2026-го одно подразделение так и стоит без рабочих систем и вручную обрабатывает огромные бэклоги с запаздывающими результатами анализов. На бумаге. И всё это прямиком в Лондоне — в крупнейшем психиатрическом подразделении страны. Э — эффективность. Так что если по итогам ближайшего спринта честным ответом на вопрос “Что успел сделать за неделю” будет только “Да походу ничего не успел”, можно вспомнить уровень IR-менеджмента в британской госухе и почувствовать себя лучше.
@tomhunter
😁6🔥4💯1
#news Очередной бэнгер от северокорейских братушек: в субботу Lazarus стянули ещё ~$300 миллионов с DeFi-платформы KelpDao. Вместе с недавним взломом Drift это $600 миллионов меньше чем за месяц.
Но не всё так радужно в стане криптоборцов с западным империализмом: сегодня совбез Arbitrum — эфирной платформы, через чью экосистему шло украденное с KelpDao — заморозил ~$70 миллионов. Говорят, решение далось нелегко: на это ушли долгие часы дебатов по техническим, этическим и политическим вопросам — блокчейн ведь должен быть свободным, и как поступать в случае экстренных ситуаций, им не до конца понятно. Пройдёт ещё лет 10, и криптаны изобретут нормативные акты и прочие криптоУК. Между тем индустрию трясёт: на фоне взломов инвесторы вывели $15 миллиардов — вера в DeFi пошатнулась. Теперь понадобится не меньше пары десятков блог-постов про регулярные аудиты и топовые меры безопасности, чтобы её восстановить.
@tomhunter
Но не всё так радужно в стане криптоборцов с западным империализмом: сегодня совбез Arbitrum — эфирной платформы, через чью экосистему шло украденное с KelpDao — заморозил ~$70 миллионов. Говорят, решение далось нелегко: на это ушли долгие часы дебатов по техническим, этическим и политическим вопросам — блокчейн ведь должен быть свободным, и как поступать в случае экстренных ситуаций, им не до конца понятно. Пройдёт ещё лет 10, и криптаны изобретут нормативные акты и прочие криптоУК. Между тем индустрию трясёт: на фоне взломов инвесторы вывели $15 миллиардов — вера в DeFi пошатнулась. Теперь понадобится не меньше пары десятков блог-постов про регулярные аудиты и топовые меры безопасности, чтобы её восстановить.
@tomhunter
😁11❤2
#news Великобритания продолжает борьбу за наше всё в интернете: регулятор открыл расследование против Telegram. Всё это, конечно же, для защиты детей по линии борьбы с ЦП — мессенджер проверят на соответствие нормам по борьбе с незаконным контентом.
В деле замешаны местныйобком Ofcom, надзорный орган, и пресловутый Online Safety Act: нашлись достоверные сведения, что Telegram используют для распространения известно каких материалов — по итогам проверок грозят штрафы и вплоть до блокировки в стране. В TG заявили, что почистили свои авгиевы конюшни ещё в 2018-м, а расследование может быть прикрытием для атаки на приватность и свободу слова. Опять эти конспирологи! При этом не самый известный в наших краях факт, но в Европе широкая публика как раз считает Telegram мессенджером для преступников, наркоторговцев и разных извращенцев. Так что почва для расследований благодатная.
@tomhunter
В деле замешаны местный
@tomhunter
😁16🤬3💯1
#news Новости невероятных ИИ-моделей, которые изменят мир, но мы вам их не покажем: к распиаренному Mythos от Anthropic был несанкционированный доступ в первый же день. И мир содрогнулся от супер-ИИ в неавторизированных руках? Да вроде нет.
Bloomberg пишет, что доступ получили обитатели сообщества в Дискорде, ковыряющиеся в свежих LLM'ках — в одном случае через среду подрядчика, сотрудник которого, вероятно, доступ и слил. Охочие до ИИ-новинок с тех пор регулярно пользуются моделькой и прислали скрины и видео её работы. А там, как водится, тысячи неизвестных науке серьёзных уязвимостей во всевозможном софте. Пишут, неясно, злоупотребляли ли Mythos для эксплойта этих самых уязвимостей. А ведь могли! Но это не точно. Смесь заголовков “Mythos вооружён и чрезвычайно опасен” и “Нерды из Дискорда на досуге нарыли к нему доступ”, конечно, получается ядрёная: сейчас какой-нибудь конгрессмен на всё это возбудится, и Anthropic придётся резко пересмотреть свою пиар-стратегию.
@tomhunter
Bloomberg пишет, что доступ получили обитатели сообщества в Дискорде, ковыряющиеся в свежих LLM'ках — в одном случае через среду подрядчика, сотрудник которого, вероятно, доступ и слил. Охочие до ИИ-новинок с тех пор регулярно пользуются моделькой и прислали скрины и видео её работы. А там, как водится, тысячи неизвестных науке серьёзных уязвимостей во всевозможном софте. Пишут, неясно, злоупотребляли ли Mythos для эксплойта этих самых уязвимостей. А ведь могли! Но это не точно. Смесь заголовков “Mythos вооружён и чрезвычайно опасен” и “Нерды из Дискорда на досуге нарыли к нему доступ”, конечно, получается ядрёная: сейчас какой-нибудь конгрессмен на всё это возбудится, и Anthropic придётся резко пересмотреть свою пиар-стратегию.
@tomhunter
😁6
#news Mozilla присоединилась к хайпу вокруг нашумевшего продукта от Anthropic. В блог-посте с громким заголовком “Дни нулевых дней сочтены” пишут про 271 уязвимость, обнаруженную Mythos в релизе Firefox 150. Но есть одна проблема: цифры не бьются. Совсем.
Какие, собственно, цифры? Из опубликованного в тот же день бюллетеня по безопасности свежей версии: в нём 41 CVE, три из них отмечены как найденные Claude. При этом в Firefox 148 51 CVE, 22 от Anthropic со 112 баг-репортов — отрицательный рост от 5:1 к 90:1. Где уязвимости, Клодовски? Скептики рассуждают, что пока наиболее вероятное объяснение — в Mozilla перешли на альтернативную метрическую систему. Иначе говоря, по-новому считают дубликаты, non-CVE, мелкие баги, проблемы с памятью и прочие edge-кейсы. 23 из 25 этих найденных Claude в большой и красивой базе кода на C++ уязвимостей — в памяти, что как бы намекает. Так что пока здоровый скептицизм призывает не поддаваться на ИИ-провокации, ждать нормальных отчётов и следить за руками.
@tomhunter
Какие, собственно, цифры? Из опубликованного в тот же день бюллетеня по безопасности свежей версии: в нём 41 CVE, три из них отмечены как найденные Claude. При этом в Firefox 148 51 CVE, 22 от Anthropic со 112 баг-репортов — отрицательный рост от 5:1 к 90:1. Где уязвимости, Клодовски? Скептики рассуждают, что пока наиболее вероятное объяснение — в Mozilla перешли на альтернативную метрическую систему. Иначе говоря, по-новому считают дубликаты, non-CVE, мелкие баги, проблемы с памятью и прочие edge-кейсы. 23 из 25 этих найденных Claude в большой и красивой базе кода на C++ уязвимостей — в памяти, что как бы намекает. Так что пока здоровый скептицизм призывает не поддаваться на ИИ-провокации, ждать нормальных отчётов и следить за руками.
@tomhunter
👍4😁2
#news Apple выпустила внеплановое обновление для iPhone и iPad, исправляющее проблему с уведомлениями от приложений. Они сохраняются на устройствах, что позволяет получить к ним доступ и прочесть, скажем, текст превью из мессенджеров.
С чего вдруг внеплановые апдейты, в Apple не говорят, но дело известное: в начале апреля на 404Media вышла новость о том, что ФБР вытянуло удалённые сообщения Signal из базы уведомлений на iPhone — информация об этом засветилась в показаниях по делу. СМИ с пониженной социальной ответственностью разнесли это по сети с подтекстом “Signal взломали, спасайся кто может”, но на деле всё скромнее — просто интересный вектор атаки для Cellebrite и прочей форензики. Да и в том же Signal можно отключить превью сообщений, чтобы они не попадали в базу. Но шуму вокруг новости среди широкой публики поднялось достаточно, чтобы Apple подсуетилась с патчем. Из Signal шлют респекты, истерика в соцсетях поутихнет, можно ждать следующей сенсации.
@tomhunter
С чего вдруг внеплановые апдейты, в Apple не говорят, но дело известное: в начале апреля на 404Media вышла новость о том, что ФБР вытянуло удалённые сообщения Signal из базы уведомлений на iPhone — информация об этом засветилась в показаниях по делу. СМИ с пониженной социальной ответственностью разнесли это по сети с подтекстом “Signal взломали, спасайся кто может”, но на деле всё скромнее — просто интересный вектор атаки для Cellebrite и прочей форензики. Да и в том же Signal можно отключить превью сообщений, чтобы они не попадали в базу. Но шуму вокруг новости среди широкой публики поднялось достаточно, чтобы Apple подсуетилась с патчем. Из Signal шлют респекты, истерика в соцсетях поутихнет, можно ждать следующей сенсации.
@tomhunter
🔥4😁3
#news Внеплановые патчи случились и у Microsoft. Компания закрыла критическую уязвимость на повышение привилегий в своём опенсорсном фреймворке ASP[.]NET Core. CVE-2026-40372, 9.1 по CVSS.
Проблема кроется в неверной верификации криптографических подписей и позволяет неаутентифицированному злоумышленнику получить привилегии уровня System. В бюллетене акцент на инстансах, стоящих на Linux и macOS, но устройства на Windows также затронуты. Хорошие новости, уязвимы только версии конкретного пакета
@tomhunter
Проблема кроется в неверной верификации криптографических подписей и позволяет неаутентифицированному злоумышленнику получить привилегии уровня System. В бюллетене акцент на инстансах, стоящих на Linux и macOS, но устройства на Windows также затронуты. Хорошие новости, уязвимы только версии конкретного пакета
Microsoft.AspNetCore.DataProtection с 10.0.0 по 10.0.6. Плохие, не каждый вспомнит о том, что он у тебя в зависимостях, плюс поддельные креды по следам экплойта после патча никуда не деваются — нужно сменить ключи и проверить приложения на предмет компрометации. Кто бюллетени невнимательно читает, остаётся в зоне повышенного риска. Особенно когда речь о исправлениях, не ждущих патчевого вторника.@tomhunter
👍3❤1
#news У Bitwarden CLI 22 апреля скомпрометировали пакет на npm под доставку инфостилера — конечно же, в атаке на цепочку поставок. При виде таких воодушевляющих новостей в ИБ-чатики полетели “it’s over” и “gg”. Но по сути отделались испугом.
Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика. По итогам у нас очередная халтурная supply chain attack — шумная, мгновенно обнаруженная и закрытая. Но после легендарных успехов LastPass на ниве защиты пользовательских данных любые шевеления в районе менеджера паролей немедленно вызывают тряску у всех причастных. В этот раз более-менее обошлось, можно расслабиться.
@tomhunter
Затронут был только механизм доставки пакета, только на npm, и только у CLI. И время реакции — моё почтение: пара часов от компрометации до митигации. Bitwarden сообщает, что данные в хранилищах юзеров затронуты не были, прод у них тоже не пострадал, а вредоносный пакет успели скачать всего 334 счастливчика. По итогам у нас очередная халтурная supply chain attack — шумная, мгновенно обнаруженная и закрытая. Но после легендарных успехов LastPass на ниве защиты пользовательских данных любые шевеления в районе менеджера паролей немедленно вызывают тряску у всех причастных. В этот раз более-менее обошлось, можно расслабиться.
@tomhunter
🔥3😁2👍1
#news К вопросу об атаке на цепочку поставок, затронувшей Bitwarden CLI. Выше был скомпрометирован сканер уязвимостей Checkmarx KICS, включая образы Docker и расширения VSCode и Open VSX.
Троянизированные версии подтягивают MCP-аддон с инфостилером, который стягивает данные, обрабатываемые KICS — всевозможные токены, креды и конфиги. Всё это заливается в публичные репозитории на GitHub. Окно компрометации как и в случае с Bitwarden CLI небольшое — около полутора часов 22 апреля, но скачивания есть. Собственно, у самой Bitwarden и скомпрометировали связанный с Checkmarx инструмент. За атакой стоят те же злоумышленники, кто ранее более успешно вскрыли Trivy и LiteLMM. Руку набили, продолжают в том же духе, а в сухом остатке у нас всю весну новости формата “Я просыпаюсь → там очередная атака на цепочку поставок”. А ведь ещё только апрель.
@tomhunter
Троянизированные версии подтягивают MCP-аддон с инфостилером, который стягивает данные, обрабатываемые KICS — всевозможные токены, креды и конфиги. Всё это заливается в публичные репозитории на GitHub. Окно компрометации как и в случае с Bitwarden CLI небольшое — около полутора часов 22 апреля, но скачивания есть. Собственно, у самой Bitwarden и скомпрометировали связанный с Checkmarx инструмент. За атакой стоят те же злоумышленники, кто ранее более успешно вскрыли Trivy и LiteLMM. Руку набили, продолжают в том же духе, а в сухом остатке у нас всю весну новости формата “Я просыпаюсь → там очередная атака на цепочку поставок”. А ведь ещё только апрель.
@tomhunter
😁2🔥1
#news В демоне PackageKit в Linux-системах закрыли высокую уязвимость, получившую название Pack2TheRoot. Как можно догадаться, локальное повышение привилегий до рута.
Согласно исследователям, следует исходить из того, что уязвимы все дистрибутивы, идущие с PackageKit в комплекте и с запущенным демоном — Pack2TheRoot успешно эксплойтнули на свежих релизах Ubuntu, Debian, Fedora и далее по списку. Плюс уязвимость затесалась в релизы ещё в ноябре 2014-го, так что затронуты версии с 1.0.2 по 1.3.4 с соответствующей поверхностью атаки. Проверка концепции и техдетали официально пока не раскрыты, чтобы дать время для патчей, но эксплуатация простая, и PoC с первыми следами эксплойта всплыли в сетевых дебрях уже 24 апреля. Что забавно, эксплойт роняет PackageKit со следами в логах. Увы, его падёж вряд ли кого-то удивит.
@tomhunter
Согласно исследователям, следует исходить из того, что уязвимы все дистрибутивы, идущие с PackageKit в комплекте и с запущенным демоном — Pack2TheRoot успешно эксплойтнули на свежих релизах Ubuntu, Debian, Fedora и далее по списку. Плюс уязвимость затесалась в релизы ещё в ноябре 2014-го, так что затронуты версии с 1.0.2 по 1.3.4 с соответствующей поверхностью атаки. Проверка концепции и техдетали официально пока не раскрыты, чтобы дать время для патчей, но эксплуатация простая, и PoC с первыми следами эксплойта всплыли в сетевых дебрях уже 24 апреля. Что забавно, эксплойт роняет PackageKit со следами в логах. Увы, его падёж вряд ли кого-то удивит.
@tomhunter
👍2😁2
#news Крайне любопытная находка SentinelLabs: исследователи обнаружили следы фреймворка для саботажа научного/инженерного оборудования аля Stuxnet. Только датируется он 2005-м годом.
Фреймворк получил кодовое название Fast16 и имеет отличную от Stuxnet модель саботажа: патчит специализированный софт из тех лет, чтобы он выдавал неправильные результаты — а это ядерка, проектирование, гидродинамика. Инструмент продвинутый даже по современным стандартам: патчинг в памяти, LUA VM, перехват файловой системы на уровня ядра и прочее. То есть это рабочий фреймворк для киберсаботажа за пять лет до Stuxnet — тот редкий случай, когда реальность чуток сближается с конспирологическими фантазиями широкой публики про возможности APT. По итогам получается, что нерды из NSA не ждали, а готовились уже в начале нулевых, и таймлайн таких операций сдвигается сильно влево.
@tomhunter
Фреймворк получил кодовое название Fast16 и имеет отличную от Stuxnet модель саботажа: патчит специализированный софт из тех лет, чтобы он выдавал неправильные результаты — а это ядерка, проектирование, гидродинамика. Инструмент продвинутый даже по современным стандартам: патчинг в памяти, LUA VM, перехват файловой системы на уровня ядра и прочее. То есть это рабочий фреймворк для киберсаботажа за пять лет до Stuxnet — тот редкий случай, когда реальность чуток сближается с конспирологическими фантазиями широкой публики про возможности APT. По итогам получается, что нерды из NSA не ждали, а готовились уже в начале нулевых, и таймлайн таких операций сдвигается сильно влево.
@tomhunter
🔥7
#news Ни дня без халтурных атак на цепочку поставок: у elementary-data скомпрометировали пакет на PyPI. Версия 0.23.3 шла в комплекте с инфостилером 24-25 апреля.
У пакета 1,1 миллиона месячных скачиваний, так что потенциальный эффект от такой атаки солидный. Но это просто очередной оппортунизм: шумно, криво, со знакомым вектором атаки через CI и мгновенно замеченной компрометацией — даже пятничный вечер не помог. Количество затронутых юзеров в постинцидентном отчёте не называют, но окно компрометации — ~12 часов, соответственно, какой-то охват есть. В сухом остатке злоумышленники средней руки продолжают работать по своей нише в формате “хватай и беги”. Легко представить нердов из исследовательских команд, мечтающих о новом SolarWinds и закатывающих на всё это глаза со словами: “Бу-у, найдите новый материал!”
@tomhunter
У пакета 1,1 миллиона месячных скачиваний, так что потенциальный эффект от такой атаки солидный. Но это просто очередной оппортунизм: шумно, криво, со знакомым вектором атаки через CI и мгновенно замеченной компрометацией — даже пятничный вечер не помог. Количество затронутых юзеров в постинцидентном отчёте не называют, но окно компрометации — ~12 часов, соответственно, какой-то охват есть. В сухом остатке злоумышленники средней руки продолжают работать по своей нише в формате “хватай и беги”. Легко представить нердов из исследовательских команд, мечтающих о новом SolarWinds и закатывающих на всё это глаза со словами: “Бу-у, найдите новый материал!”
@tomhunter
😁3❤1💯1
#news Исследователи прошлись по Internet Archive, чтобы выявить процент сгенерированного LLM текста в этом нашем интернете. Результаты удручающие: в массиве с конца 2022-го по середину 2025-го 35% новых сайтов — это ИИ-слоп.
Авторы работы “Влияние сгенерированного ИИ текста на Интернет” вдохновились теорией мёртвого интернета и решили проверить, как ChatGPT и компания сказались на сети. Треть цифрового пространства ещё год назад — продукт идентичный натуральному от LLM’ок, и сеть меняется ошеломительно быстро. Попутно проверили шесть гипотез о негативном влиянии ИИ на текст в сети, и подтвердились только две: интернет стал менее семантически разнообразным и более позитивным. Гипотеза о том, что из-за LLM'ок в сети больше фактически неверной инфы и галлюцинаций, не подтвердилась — и без них справляемся. Поводов для позитива, впрочем, немного: мёртвый интернет из теорий стремительно заменяет зомби-интернет из суровой ИИ-реальности. Добро пожаловать?
@tomhunter
Авторы работы “Влияние сгенерированного ИИ текста на Интернет” вдохновились теорией мёртвого интернета и решили проверить, как ChatGPT и компания сказались на сети. Треть цифрового пространства ещё год назад — продукт идентичный натуральному от LLM’ок, и сеть меняется ошеломительно быстро. Попутно проверили шесть гипотез о негативном влиянии ИИ на текст в сети, и подтвердились только две: интернет стал менее семантически разнообразным и более позитивным. Гипотеза о том, что из-за LLM'ок в сети больше фактически неверной инфы и галлюцинаций, не подтвердилась — и без них справляемся. Поводов для позитива, впрочем, немного: мёртвый интернет из теорий стремительно заменяет зомби-интернет из суровой ИИ-реальности. Добро пожаловать?
@tomhunter
💯6🔥2😱2😢2🤬1
#news Новости кривых ручек от мира рансомвари. В CheckPoint потыкали палочкой в образцы VECT 2.0 и обнаружили фундаментальный баг в логике шифрования, из-за которого энкриптор портит файлы. На выходе в сущности получается вайпер.
Проблема кроется в том, как энкриптор обрабатывает “крупные” файлы — всё, что больше 128 KB. VECT 2.0 разбивает их на четыре части и обрабатывает последовательно, генерируя случайный код под каждую часть. Вот только пишет их в один буфер — код каждой части перезаписывает предыдущий, и остаётся только nonce от четвёртой. Баг присутствует в вариантах энкриптора под все платформы, и файлы в итоге восстановлению не подлежат. Бонусом в варианте под Win три слоя анти-анализа, но при компиляции забыли флаг, так что код висит мёртвым грузом. В общем, хотели полностью самостоятельную разработку как в лучших рансомварь-домах СНГ, но амбиции малость разошлись с возможностями. С кем не бывает!
@tomhunter
Проблема кроется в том, как энкриптор обрабатывает “крупные” файлы — всё, что больше 128 KB. VECT 2.0 разбивает их на четыре части и обрабатывает последовательно, генерируя случайный код под каждую часть. Вот только пишет их в один буфер — код каждой части перезаписывает предыдущий, и остаётся только nonce от четвёртой. Баг присутствует в вариантах энкриптора под все платформы, и файлы в итоге восстановлению не подлежат. Бонусом в варианте под Win три слоя анти-анализа, но при компиляции забыли флаг, так что код висит мёртвым грузом. В общем, хотели полностью самостоятельную разработку как в лучших рансомварь-домах СНГ, но амбиции малость разошлись с возможностями. С кем не бывает!
@tomhunter
😁5🔥2😱1
#news На GitHub закрыли уязвимость под удалённое выполнение кода, CVE-2026-3854. Затронуты как облачные продукты компании, так и GitHub Enterprise Server. Так что накатывайте патчи.
Проблема в обработке git push и недостаточной санитизации метаданных: злоумышленник с доступом к push может внедрить дополнительные поля в метаданные, что ведёт к RCE. Эксплойт элементарный, с выходом из песочницы и 88% инстансов GHES, уязвимых к атаке на момент публикации. Из хороших новостей, с оглядкой на специфическое выполнение кода при внедрении GitHub проверил телеметрию и следов эксплуатации на своей стороне не обнаружил. А вот владельцы GHES рискуют обнаружить уже сегодня. GitHub закрыл уязвимость у себя за пару часов после получения отчёта, что как бы намекает. Берите пример! Подробнее об уязвимости здесь.
@tomhunter
Проблема в обработке git push и недостаточной санитизации метаданных: злоумышленник с доступом к push может внедрить дополнительные поля в метаданные, что ведёт к RCE. Эксплойт элементарный, с выходом из песочницы и 88% инстансов GHES, уязвимых к атаке на момент публикации. Из хороших новостей, с оглядкой на специфическое выполнение кода при внедрении GitHub проверил телеметрию и следов эксплуатации на своей стороне не обнаружил. А вот владельцы GHES рискуют обнаружить уже сегодня. GitHub закрыл уязвимость у себя за пару часов после получения отчёта, что как бы намекает. Берите пример! Подробнее об уязвимости здесь.
@tomhunter
❤5🔥2👍1
#news В ядре Linux обнаружили уязвимость под LPE. И не простую, а под практически все дистрибутивы, выпущенные с 2017-го. И без состояния гонки. Патчи в процессе выхода, проверяйте свои дистры.
CVE-2026-31431, 7.8 по CVSS, она же Copy Fail. В модуле algif_aead логическая ошибка, позволяющая локальному юзеру получить root простеньким скриптом, редактирующим PageCache любого файла, в том числе с setuid. По сути аналог Dirty Pipe, но с гораздо большим охватом. Эксплойт элементарный, портативный, надёжный, с проверкой концепции на 10 строк и длинным списком дистрибутивов за ~10 лет — потенциально худшая LPE в контексте Linux за долгое время. Иными словами, кто патчи не накатил, тот и проиграл. Подробнее об уязвимости здесь.
@tomhunter
CVE-2026-31431, 7.8 по CVSS, она же Copy Fail. В модуле algif_aead логическая ошибка, позволяющая локальному юзеру получить root простеньким скриптом, редактирующим PageCache любого файла, в том числе с setuid. По сути аналог Dirty Pipe, но с гораздо большим охватом. Эксплойт элементарный, портативный, надёжный, с проверкой концепции на 10 строк и длинным списком дистрибутивов за ~10 лет — потенциально худшая LPE в контексте Linux за долгое время. Иными словами, кто патчи не накатил, тот и проиграл. Подробнее об уязвимости здесь.
@tomhunter
🔥8❤5😁1