На устранение последствий сбоя в работе IT-систем «Аэрофлота», произошедшего утром 28 июля, может уйти до нескольких месяцев, утверждают эксперты. Официального разъяснения администрации «Аэрофлота» о причинах сбоя пока не поступало, но уже есть подтверждение Генеральной прокуратуры РФ о том, что он произошёл из-за хакерской атаки.

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор смартфона HONOR 400: реаниматор

Пять причин полюбить HONOR 400

HUAWEI Pura 80 Ultra глазами фотографа

Источник изображения: Ivan Shimko/unsplash.com

По словам экспертов, сроки восстановления систем «Аэрофлота» напрямую связаны с масштабами взлома, о которых пока ничего не известно, помимо заявлений самих хакеров. Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI, сообщил ресурсу Hi-Tech Mail, что текущая ситуация с массовой отменой рейсов «показывает значительные проблемы в IT-инфраструктуре авиаперевозчика». По данным «РИА Новости», только в аэропорту Шереметьево задержали свыше 80 и отменили порядка 60 рейсов.

По мнению Оганесяна, если сохранились резервные копии, восстановление IT-систем займёт от одного-двух дней до недели. Если нет — на восстановление могут уйти месяцы. Кроме того, если хакеры, как утверждается, действительно находились в инфраструктуре «Аэрофлота» более года, можно с высокой вероятностью предполагать, что и бэкапы заражены бэкдорами, которые могут быть использованы при повторных атаках.

Как полагает директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев, с учётом важности «Аэрофлота», восстановление его работы можно ожидать в ближайшие сутки. Однако на полное возобновление работы, проверку всех систем и их перенастройку уйдёт гораздо больше времени — при интенсивном темпе работ на это потребуется 2-3 недели. Матвеев отметил, что при серьёзной кибератаке рейсы будут отменять, поскольку речь идёт о безопасности полётов.

Как сообщается, у «Аэрофлота» есть соглашение о сотрудничестве в сфере кибербезопасности с компанией по управлению цифровыми рисками BI.Zone. В пресс-службе BI.Zone отказались дать комментарий ресурсу Hi-Tech Mail по сложившейся ситуации в связи с тем, что не раскрывают информацию о взаимоотношениях с любыми организациями и клиентами, хотя было бы интересно узнать, как хакеры могли находиться в компьютерных системах «Аэрофлота» более года, оставаясь незамеченными.

Российский авиаперевозчик «Аэрофлот» сообщил о сбое в работе внутренних систем, из-за чего возможна корректировка расписания рейсов, в том числе путём переноса и отмены. Компания уже отменила более 40 рейсов из Москвы в разных направлениях, предложив пассажирам вернуть потраченные средства или перерегистрироваться на рейсы, проведение которых запланировано в ближайшие 10 дней.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Пять причин полюбить HONOR 400

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: Dmitriy Soloduhin/unsplash.com

«В работе информационных систем авиакомпании произошёл сбой. Возможны перебои в работе сервисов. В связи с этим ожидается вынужденная корректировка в расписании выполняемых рейсов, в том числе путём переноса и отмены <…> В настоящее время команда специалистов работает над минимизацией рисков выполнения производственного плана полётов и скорейшего восстановления штатной работы сервисов. Авиакомпания приносит извинения за доставленные неудобства», — говорится в сообщении на сайте «Аэрофлота».

На этом фоне появилась информация о том, что сбой в работе информационных систем «Аэрофлота» может быть связан с хакерской атакой. По данным Telegram-канала Максима Горшенина imaxai, о причаcтности к маcштабной атаке на IT-инфраструктуру «Аэрофлота» заявили хакерские группировки. В их заявлении сказано, что операция длилась около года и завершилась «полным уничтожением внутренний IT-инфраструктуры авиакомпании».

Хакеры утверждают, что им удалось получить доступ и осуществить выгрузку полного массива баз данных истории полётов, скомпрометировать критические корпоративные системы, в том числе CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1C и DLP. В сообщении говорится, что хакеры взяли под контроль компьютеры сотрудников компании, включая высшее руководство, а также скопировали данные с серверов прослушки, включая аудиозаписи телефонных разговоров и перехваченные коммуникации.

Злоумышленники утверждают, что они извлекли данные систем наблюдения и контроля за персоналом, получили доступ к 122 гипервизорам, 43 инсталляциям виртуализации ZVIRT, около сотни iLO-интерфейсов для управления серверами, четырём кластерам Proxmox. В результате этих действий, как утверждается, было уничтожено около 7 тыс. физических и виртуальных серверов, а объём похищенной информации составил 12 Тбайт.

Несколько позже в Генпрокуратуре России подтвердили, что сбой в работе систем «Аэрофлота» является результатом хакерской атаки. Возбуждено уголовное дело по признакам преступления, предусмотренного ч. 4 ст. 272 УК РФ — неправомерный доступ к компьютерной информации.

На этом фоне акции «Аэрофлота» начали терять в цене. По состоянию на 11:38 мск они торговались на Московской бирже по 56,8 рублей за одну ценную бумагу. На закрытии торгов 27 июля стоимость одной акции компании составляла 58,91 рублей.

Известный банковский троян Coyote, способный атаковать десятки криптовалютных и банковских приложений, получил обновление, с которым он теперь отслеживает работу с этими сервисами через браузеры.

Пять причин полюбить HONOR 400

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

HUAWEI Pura 80 Ultra глазами фотографа

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: Xavier Cee / unsplash.com

Об опасности, исходящей от Coyote, эксперты в области кибербезопасности из компании Akamai впервые предупредили в декабре 2024 года. В предыдущих версиях троян сохранял журналы нажатий клавиш на клавиатуре или выводил поддельные окна авторизации поверх настоящих для кражи данных из банковских и криптовалютных приложений. При работе с этими службами через браузер Coyote до недавнего времени не срабатывал, но в последнем обновлении у него открылась и эта возможность — вредонос получил поддержку фреймворка Microsoft UI Automation (UIA).

UIA предназначен для реализации специальных возможностей — фреймворк помогает одним приложениям взаимодействовать с другими. Это полезно для программ, обеспечивающих чтение с экрана, или автоматизированного тестирования — он даёт приложениям возможность «видеть» кнопки, меню и другие элементы интерфейса целевых программ, нажимать на них и читать экранный текст. Получив поддержку UIA, Coyote считывает во вкладках браузера веб-адреса и сверяет их со статическим списком 75 целевых сервисов; установив совпадение, троян при помощи того же фреймворка анализирует элементы пользовательского интерфейса на ресурсе.

В обнаруженном экспертами Akamai варианте Coyote ориентирован в первую очередь на бразильских пользователей и нацелен на работающие в этой стране банки; но также различает криптовалютные биржи, в том числе Binance, Electrum, Bitcoin и Foxbit, что делает троян угрозой для пользователей по всему миру.

Хакеры, предположительно связанные с Китаем, получили доступ к системам около 400 правительственных учреждений, корпораций и других организаций по всему миру, воспользовавшись уязвимостью в Microsoft SharePoint. Об этом сообщила голландская компания по кибербезопасности Eye Security, которая первой выявила атаки на прошлой неделе. Изначально сообщалось о взломе примерно 60 организаций, но за несколько дней число пострадавших увеличилось более чем в шесть раз.

Пять причин полюбить HONOR 400

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

Источник изображения: AI

По сообщению Bloomberg, большинство атак пришлось на США, также пострадали Маврикий, Иордания, Южно-Африканская Республика и Нидерланды. Среди жертв оказались и Национальное управление ядерной безопасности США, и национальные институты здоровья. Представитель Министерства здравоохранения США Эндрю Никсон (Andrew Nixon) отметил, что на данный момент нет подтверждения утечки данных, однако ведомство совместно с Microsoft и агентством кибербезопасности США проводит работы по устранению уязвимости. Национальная казначейская служба ЮАР также сообщила о наличии вредоносного ПО в своих сетях, хотя уточнила, что системы и сайты продолжают работать в обычном режиме.

Эксперты отмечают, что реальное число жертв может быть выше, поскольку злоумышленники могли применять методы, не оставляющие следов. По словам сооснователя Eye Security Вайши Бернард (Vaisha Bernard), атаки продолжаются, и другие хакерские группы также начали использовать уязвимость. Среди пострадавших — организации из сфер государственного управления, образования и IT-услуг. Атаки зафиксированы в Европе, Азии, на Ближнем Востоке и в Латинской Америке.

Аналитик компании Recorded Future Свева Сценарелли (Sveva Scenarelli) подчеркнула, что кибергруппировки, связанные с государствами, действуют поэтапно: сначала проводят точечные атаки, а затем начинают массово эксплуатировать уязвимости. После проникновения в сеть они могут выбирать наиболее ценные цели для дальнейшего доступа и сбора данных.

Министерство иностранных дел Китая отвергло обвинения, заявив, что страна выступает против кибератак и призывает к совместному решению проблем в этой сфере. Пресс-секретарь министерства Го Цзякунь (Guo Jiakun) подчеркнул, что Китай против использования темы кибербезопасности для «клеветы и провокаций».

Между тем исследователи отмечают, что хакеры могли получить доступ к конфиденциальным данным, включая информацию, связанную с ядерными технологиями. Однако Эдвин Лайман (Edwin Lyman), эксперт по ядерной безопасности, указал, что наиболее секретные сведения в США хранятся в изолированных сетях, что снижает риск их утечки. Тем не менее нельзя исключать, что менее защищённые данные, например сведения о ядерных материалах, могли оказаться под угрозой.

Эти атаки стали одними из последних инцидентов, которые Microsoft частично связывает с Китаем, на фоне обострения отношений между Вашингтоном и Пекином по вопросам безопасности и торговли. Компания уже выпустила обновления для устранения уязвимости, однако, по мнению специалистов, многие серверы могли быть скомпрометированы ещё до выхода патчей.

Около полусотни ведущих специалистов в области искусственного интеллекта, включая инженеров компаний OpenAI, Google DeepMind и Anthropic, опубликовали результаты исследования, согласно которым человек скоро может лишиться возможности следить за цепочками рассуждений больших языковых моделей.

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HONOR 400: реаниматор

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Источник изображения: Igor Omilaev / unsplash.com

ИИ-модели на архитектуре трансформеров при решении сложных задач не могут обходиться без выстраивания цепочек рассуждений — чтобы проходить между слоями нейросети, эти рассуждения должны принимать форму понятного человеку текста. Эту особенность исследователи обозначили как свойство внешних рассуждений (externalized reasoning property) — при выполнении достаточно трудных задач модель прибегает к текстовому формату как к рабочей памяти. Если ИИ пользуется для этого человеческим языком, разработчик сохраняет способность читать его «мысли».

В эти цепочки попадают достаточно откровенные рассуждения. Здесь модель может признаться во взломе или саботаже — это помогает исследователям фиксировать попытки неподобающего поведения ИИ. Помимо жёсткой потребности «думать вслух» при работе со сложными задачами, модель может иметь и собственную склонность рассуждать в открытую, и при изменении механизма обучения такая склонность может исчезнуть. Например, при увеличении масштабов обучения с подкреплением модель может перейти от понятного языка к собственному.

Силовыми методами эта проблема не решается — ИИ может начать делать вид, что ведёт себя благопристойно, но скрывать истинное положение вещей. Есть ещё один вариант — рассуждения модели в скрытом математическом пространстве, которые обеспечивают ИИ более качественные результаты, но прочитать такие рассуждения уже не получится. Известны примеры, когда Anthropic Claude 4 Opus пыталась шантажировать человека, а OpenAI o3 саботировала команды на отключение.

Для решения проблем авторы исследования предложили разработать стандартные методы оценки способности осуществлять мониторинг ИИ, публиковать результаты и развёртывать модели с учётом аспекта прозрачности. Это важнее, чем гонка за производительностью, указывают учёные.

Громкая история с уязвимостью в Microsoft SharePoint продолжает обрастать подробностями. Ранее сообщалось, что китайские хакеры взломали свыше 100 серверов по всему миру. Теперь выяснилось, что среди жертв атаки — Национальное управление ядерной безопасности США, Министерство образования США, налоговые и другие государственные ведомства, а также университеты и компании, передаёт Bloomberg.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

Пять причин полюбить HONOR 400

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

HUAWEI Pura 80 Ultra глазами фотографа

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Источник изображения: Flipsnack / unsplash.com

Корпорация Microsoft уже подтвердила в своём блоге, что две китайские хакерские группировки, связанные с правительством КНР, — Linen Typhoon и Violet Typhoon, — эксплуатируют уязвимости популярного офисного пакета. Также в атаках замечена группировка Storm-2603, которую также связывают с китайскими властями.

«Это угроза высокой серьёзности и срочности», — сказал технический директор Microsoft Майкл Сикорски (Michael Sikorski). По его словам, особенную опасность таит в себе глубокая интеграция SharePoint с другими продуктами Microsoft, например, Outlook и Teams.

Даже установка всех последних обновлений на данный момент не помогает, поскольку у злоумышленников остаётся доступ в скомпрометированные системы через различные модифицированные компоненты и бэкдоры. В Microsoft сейчас говорят лишь, что расследуют инциденты.

Упомянутые атаки ведутся примерно с 7 июля. Помимо целей в США, пострадали госучреждения в Испании, Бразилии, Канаде, Швейцарии, Индонезии и ряде других стран. Хотя только за последние несколько дней Microsoft опубликовала несколько патчей для своего ПО, эксперты по кибербезопасности продолжают фиксировать атаки. Количество взломанных серверов превысило 100, отдельных организаций — 60. Среди них даже Национальное управление ядерной безопасности США, которое отвечает за производство и утилизацию ядерного оружия.

Официальный Пекин уже опроверг свою причастность к атакам, заявив, что Китай решительно выступает против любых форм кибератак.

SharePoint — это пакет приложений для организации совместной работы в организации. В него входят инструменты для создания сайтов и форм, поиска информации в базах данных, управления рабочими процессами, бизнес-аналитики и т. д.

Компании по всему миру начали срочно обновлять свои системы после того, как службы безопасности Google и Microsoft сообщили о масштабной кибератаке, использующей критическую уязвимость в программном обеспечении Microsoft SharePoint. Уязвимость CVE-2025-53770 была обнаружена на прошлой неделе и сразу же получила классификацию «нулевого дня». Это означает, что хакеры начали её эксплуатировать до того, как Microsoft успела выпустить патч.

Пять причин полюбить HONOR 400

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: Luther.M.E. Bottrill/Unsplash

По сообщению TechCrunch, проблема затронула программное обеспечение сервера SharePoint, который широко используются организациями по всему миру для хранения и обмена внутренними документами. Уязвимость позволяет злоумышленникам похищать закрытые ключи, а затем устанавливать вредоносное ПО, с помощью которого происходит проникновение к корпоративным файлам и другим системам в пределах одной сети.

Впервые «дыра» в SharePoint была обнаружена в мае на конкурсе хакеров в Берлине, организованный компанией по кибербезопасности Trend Micro с целью обнаружения ошибок в популярном программном обеспечении. После чего, в прошлом месяце, Microsoft выпустила исправляющий патч. Однако, как утверждает Reuters, патч оказался неэффективен и не устранил проблему. По крайне мере, представители компании во вторник не смогли предоставить агентству комментарий относительно исправления ошибки и эффективности патча.

Microsoft в своём блоге сообщила, что за атаками стоят как минимум три хакерские группы, связанные с Китаем. Две из них — Linen Typhoon и Violet Typhoon — ранее уже фигурировали в расследованиях компании. Первая специализируется на краже интеллектуальной собственности, вторая — на сборе конфиденциальной информации для целей шпионажа. Третья группа, которую Microsoft обозначила как Storm-2603, менее изучена, но, по данным компании, ранее была замешана в атаках с использованием вымогательского ПО. Активность этих групп в связи с эксплуатацией уязвимости в SharePoint зафиксирована как минимум с 7 июля, то есть за несколько недель до публичного раскрытия уязвимости.

Чарльз Кармакал (Charles Carmakal), технический директор подразделения реагирования на инциденты Mandiant, входящего в Google, в письме изданию TechCrunch также подтвердил, что по меньшей мере один из участников атак связан с хакерскими группами, действующими в интересах Китая. По его словам, угроза продолжает нарастать, а число скомпрометированных систем может быть значительным. Десятки организаций, в том числе в государственном секторе, уже подтвердили факт взлома.

Представитель посольства Китая в Вашингтоне пока не ответил на запрос о комментарии. При этом ранее китайское правительство неоднократно отвергало обвинения в проведении кибератак, хотя и не всегда прямо опровергало свою причастность к отдельным инцидентам.

Киберпреступники нашли способ кражи учётных данных для авторизации на сайтах даже в тех случаях, когда такая авторизация первоначально предусматривает работу с физическими ключами. Для этого они подключают резервный механизм входа через QR-коды — он срабатывает лишь в определённых сценариях.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Пять причин полюбить HONOR 400

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: charlesdeluvio / unsplash.com

Ключи FIDO представляют собой аппаратные или программные средства аутентификации, которые при помощи криптографических решений обеспечивают безопасный вход на сайты и в приложения. Они выступают в качестве инструментов многофакторной авторизации, не позволяющих хакерам получать доступ к целевым аккаунтам, даже если они завладели учётными данными. Чтобы использовать аутентификатор, в большинстве случаев его необходимо физически подключить; но в некоторых случаях предусмотрен механизм сканирования QR-кода — он подвержен взлому при помощи атаки типа «посредник-злоумышленник» (AitM).

Начальный этап атаки — фишинговое письмо, рассказали эксперты по кибербезопасности из компании Expel. Переход по ссылке из этого письма ведёт на целевую страницу, имитирующую внешний вид и функции стандартной процедуры авторизации. Обычно после ввода учётных данных требуется подключить физический ключ FIDO, но в сценарии хакеров потенциальной жертве выводится QR-код. Аварийное срабатывание резервного способа входа провоцируется искусственно — в фоновом режиме злоумышленники запрашивают «вход с нескольких устройств». Когда жертва сканирует QR-код, производится вход, и киберпреступники успешно входят в систему.

Лучший способ защититься от такой атаки — включить функцию проверки непосредственной близости через Bluetooth, чтобы QR-коды срабатывали только на смартфоне, который находится рядом с компьютером пользователя. Можно также обучить работников компании выявлять подозрительные страницы входа, например, по URL-адресу. Наконец, ещё одним индикатором взлома могут служить подозрительные авторизации с помощью QR-кодов и новые регистрации FIDO — их можно отследить силами профильного отдела в компании.

Microsoft опубликовала предупреждение, в котором говорится об активных атаках хакеров на серверное оборудование компании, а также о выпуске патча для исправления сложившейся ситуации. Речь идёт об уязвимости нулевого дня в программном обеспечении SharePoint, которая подвергает риску десятки тысяч серверов по всему миру.

HUAWEI Pura 80 Ultra глазами фотографа

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Пять причин полюбить HONOR 400

Обзор смартфона HONOR 400: реаниматор

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Источник изображения: Bender / Unsplash

Специалисты компании Eye Security, работающей в сфере информационной безопасности, обнаружили упомянутую уязвимость 18 июля. С её помощью злоумышленники могут получить доступ к локальным серверам SharePoint с целью кражи криптографических ключей, что даёт им несанкционированный доступ к инфраструктуре жертв. Наличие криптографических ключей позволяет злоумышленникам выдавать себя за легитимных пользователей даже после перезагрузки скомпрометированного сервера или установки патча. Это означает, что уже скомпрометированные серверы могут представлять опасность для бизнеса даже после установки исправления. Отмечается, что проблема не затрагивает облачную версию сервиса SharePoint Online, которая доступна на платформе Microsoft 365.

Хакеры могут использовать уязвимость SharePoint для кражи конфиденциальных данных, включая учётные данные пользователей. Они также могут перемещаться внутри скомпрометированной сети, используя сервисы, которые часто подключаются к SharePoint, такие как Outlook, Teams и OneDrive. Предполагается, что эксплойт создан на основе двух уязвимостей, которые были продемонстрированы на конкурсе хакеров Pwn2Own в мае.

К настоящему моменту Microsoft выпустила исправление для серверов SharePoint 2019 и SharePoint Subscription Edition, а также продолжает работать над патчем для SharePoint 2016. Агентство по кибербезопасности и защите инфраструктуры (CISA) США продолжает оценку масштабов проблемы. В ведомстве заявили, что все скомпрометированные серверы необходимо отключить от интернета до тех пор, пока не станет ясен масштаб проблемы. По данным The Washington Post, уязвимость SharePoint активно используется хакерами для атак на федеральные агентства и муниципальные учреждения США и других стран, а также на энергетические и телекоммуникационные компании, университеты и другие организации по всему миру.

Правительство Великобритании во главе с Киром Стармером (Keir Starmer) пытается найти решение в споре с администрацией Дональда Трампа (Donald Trump) из-за требований к Apple предоставить доступ к зашифрованным данным пользователей. По сообщению Financial Times со ссылкой на слова двух высокопоставленных британских чиновников, Лондон, скорее всего, будет вынужден отступить под давлением Вашингтона.

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

HUAWEI Pura 80 Ultra глазами фотографа

Пять причин полюбить HONOR 400

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор смартфона HONOR 400: реаниматор

Источник изображения: Omid Armin/Unsplash

В январе Министерство внутренних дел Великобритании (Home Office) потребовало от Apple создать бэкдор для доступа правоохранительных органов и служб безопасности к защищённому облачному хранилищу, к которому даже сама компания не имеет полного доступа. Это было сделано через специальное «уведомление о технической возможности» в рамках закона о следственных полномочиях. Однако теперь британские власти оказались в сложном положении, так как эти действия могут затруднить заключение технологических соглашений между странами. Один из чиновников отметил, что вопрос шифрования стал красной линией для США, которые не готовы допустить вмешательства извне в работу своих технологических компаний.

Apple отказалась выполнять требования и в феврале отключила в Великобритании свой защищённый сервис облачного хранилища, а затем оспорила решение Home Office. К ней присоединился WhatsApp, принадлежащий Meta✴, что стало редким случаем сотрудничества между конкурентами из Кремниевой долины.

Ситуацию осложняет резкая реакция со стороны США. Дональд Трамп сравнил требования Лондона к Apple с методами Китая и заявил, что лично предупредил Стармера о недопустимости таких действий. Одновременно директор национальной разведки США Тулси Габбард (Tulsi Gabbard) назвала это решение грубым нарушением приватности американцев, которое может поставить под угрозу соглашение о передаче данных между странами.

Министерство внутренних дел Великобритании ранее заявляло, что подобные меры применяются исключительно в случаях, связанных с расследованием тяжких преступлений, и сопровождаются строгим контролем. Однако теперь, по словам одного из чиновников, ведомство оказалось в нелёгкой ситуации и ищет решение. Apple со своей стороны ранее в феврале 2025 года заявила, что никогда не создавала и не будет создавать бэкдоров в своих продуктах

Британские власти активно продолжают судебное разбирательство, но внутри правительства нет единого мнения о дальнейших действиях. Тем временем один из чиновников сообщил, что вице-президент США Джей Ди Вэнс (James David Vance) назвал ситуацию крайне раздражающей и требующей срочного разрешения.

В конце этой недели в США разразился скандал, поскольку журналистское расследование выявило использование труда находящихся в Китае технических специалистов для обслуживания облачных систем Пентагона, работающих на вычислительных мощностях Microsoft. Компании пришлось пообещать, что подобная практика прекращена.

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Пять причин полюбить HONOR 400

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Источник изображения: Unsplash, Sam Torres

Представитель Microsoft Фрэнк Шоу (Frank Shaw) со страниц социальной сети X в конце рабочей недели заявил, что корпорация изменила подход к обслуживанию американских правительственных клиентов, чтобы обеспечить отсутствие китайских инженеров среди лиц, выполняющих данные виды работ для систем, используемых Пентагоном. Напомним, ранее обнаружилось, что китайским субподрядчикам разрешалось работать с облачными системами Пентагона при условии, что их курируют американские специалисты с необходимым уровнем доступа. Выяснилось, что последние чаще всего не обладали достаточной технической квалификацией, чтобы понять характер осуществляемых китайскими подрядчиками действий и вовремя выявить возможную угрозу для национальной безопасности.

Microsoft пришлось столкнуться с парламентским запросом одного из американских сенаторов, который назвал недопустимым использование китайских инженеров в столь чувствительной сфере. Министр обороны США Пит Хегсет (Pete Hegseth) накануне заявил, что запущено двухнедельное расследование, целью которого является исключение доступа китайских инженеров к любым облачным системам, имеющим отношение к деятельности ведомства. Он добавил, что иностранные инженеры в целом, включая китайских, никогда не должны иметь доступа к системам Министерства обороны США. Пентагон будет постоянно отслеживать угрозы для своей военной инфраструктуры и противодействовать им адекватно.

Американский сенатор Том Коттон (Tom Cotton) направил письмо министру обороны США с требованием предоставить подробную информацию о привлечении китайских инженеров компанией Microsoft к работе с военными облачными системами. С копией письма ознакомилось агентство Reuters. Поводом для запроса стало расследование издания ProPublica, в котором утверждается, что корпорация использовала специалистов из Китая для обслуживания критической инфраструктуры Пентагона.

HUAWEI Pura 80 Ultra глазами фотографа

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

Источник изображения: Simon Ray/Unsplash

Согласно материалам ProPublica, китайские инженеры работали с американскими военными облачными системами под наблюдением так называемых «цифровых сопровождающих » (digital escorts) — сотрудников, имеющих допуск к секретной информации. Однако, как отмечает издание, эти сопровождающие зачастую не обладали достаточной технической квалификацией, чтобы оценить, представляет ли деятельность китайских специалистов угрозу в каком-либо плане.

Microsoft отказалась комментировать Reuters как расследование ProPublica, так и письмо сенатора. Однако ранее компания заявляла изданию, что раскрывала свои методы работы правительству США в рамках процедуры авторизации. При этом, являясь крупным подрядчиком американских госструктур, Microsoft неоднократно становилась жертвой хакерских атак со стороны Китая и некоторых других стран.

В своём письме Коттон, возглавляющий комитет по разведке Сената и входящий в состав комитета по вооружённым силам, потребовал от Министерства обороны предоставить список всех подрядчиков, использующих китайский персонал, а также информацию о подготовке «цифровых сопровождающих». Сенатор подчеркнул, что кибервозможности Китая представляют одну из самых серьёзных угроз для США, о чём свидетельствуют случаи проникновения в критическую инфраструктуру, телекоммуникационные сети и цепочки поставок. Военное ведомство, по его словам, обязано учитывать все потенциальные риски, включая угрозы со стороны субподрядчиков.

Специалист по кибербезопасности выявил уязвимость в системе Meta✴ AI, позволявшую получать доступ к чужим запросам и ответам ИИ. Проблему обнаружил Сандип Ходкасиа (Sandeep Hodkasia), основатель компании AppSecure, который сообщил о ней Meta✴ и получил $10 000 в рамках программы поощрения за обнаружение багов.

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Пять причин полюбить HONOR 400

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

HUAWEI Pura 80 Ultra глазами фотографа

Источник изображения: AI

Как пишет TechCrunch, Ходкасиа выявил проблему ещё 26 декабря 2024 года, изучая механизм редактирования запросов в Meta✴ AI. Оказалось, что при изменении текста или изображения серверы Meta✴ присваивали каждому запросу и ответу уникальный номер (ID). Однако исследователь заметил, что, подменив этот номер в сетевом запросе, можно получить доступ к чужим диалогам с искусственным интеллектом (ИИ).

Проблема заключалась в том, что система не проверяла, имеет ли пользователь право просматривать конкретный запрос. Ходкасиа отметил, что номера запросов были предсказуемыми, что теоретически позволяло злоумышленникам массово собирать данные, автоматически перебирая возможные комбинации. Meta✴ устранила уязвимость 24 января 2025 года. При этом представитель компании Райан Дэниелс (Ryan Daniels) заявил изданию TechCrunch, что не было обнаружено каких-либо свидетельств злонамеренного использования бага.

Стоит сказать, что инцидент произошёл на фоне активного развития ИИ-продуктов крупными технологическими компаниями, которые нередко сталкиваются с проблемами безопасности. Ранее Meta✴ AI уже оказывался в центре скандала, когда пользователи по ошибке публиковали приватные диалоги с чат-ботом, ошибочно полагая, что они остаются конфиденциальными.

Чаще всего персональные данные россиян раскрывают третьим лицам сотрудники отрасли связи, сообщили «Ведомости» со ссылкой на исследование компании «Серчинформ». Аналитики изучили более сотни судебных актов за 2024–2025 годы по уголовным делам, связанным с инцидентами в сфере информационной безопасности, виновниками которых стали сотрудники организаций.

HUAWEI Pura 80 Ultra глазами фотографа

Пять причин полюбить HONOR 400

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор смартфона HONOR 400: реаниматор

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Источник изображения: Kevin Ku/unsplash.com

Более половины судебных дел (63 %) были связаны с неправомерным доступом к компьютерной информации по статье 272 УК РФ. Из них значительная часть (68 %) приходится на отрасль связи. В 55 % случаев к уголовной ответственности за нарушения в сфере информационной безопасности привлекались сотрудники из отрасли связи, в 16 % — представители органов власти, в 15 % — сотрудники финансового сектора. В четверти случаев ограничивались наказанием в виде штрафа или лишения права занимать определённые должности, и лишь в 9 % — лишением свободы.

Почти половина правонарушений (47 %) приходилась на так называемый пробив — продажу данных абонентов и детализации их звонков. Этот вид правонарушения может квалифицироваться по статьям 272 и 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). По последней статье предусмотрено наказание — от штрафа в размере от 500 тыс. до 5 млн рублей (или в размере дохода осуждённого за период до пяти лет) до лишения свободы сроком от двух до семи лет.

Согласно данным «Серчинформа», в 33 % инцидентов правонарушение заключалось во внесении ложных данных в системы, в том числе для выпуска SIM-карт, а в 16 % — в выгрузке и передаче иных данных.

В большинстве случаев (87 %) виновниками нарушений становились рядовые сотрудники, которым, как правило, выносился обвинительный приговор. В 45 % случаев применялся штраф, в 26 % — условное лишение свободы, в 23 % — лишение права занимать определённые должности, и в 6 % — лишение свободы.

В этом году была законодательно повышена ответственность операторов, собирающих и обрабатывающих персональные данные, отметил руководитель направления «Разрешение IT & IP споров» юрфирмы «Рустам Курмаев и партнёры» Ярослав Шицле. В частности, были введены оборотные штрафы для компаний за повторные утечки — в размере от 1 до 3 % от годовой выручки, но не более 0,5 млрд рублей.

Директор департамента методологии ИБ «Ростелекома» Михаил Савельев уточнил, что у бывших сотрудников нет возможности осуществлять пробив, поскольку в день увольнения они лишаются доступа ко всей инфраструктуре и данным компании. Мелкие инциденты, зачастую связанные с ошибками и невнимательностью пользователей, происходят регулярно, но, как правило, не приводят к разглашению персональных данных клиентов. «Ростелеком» придерживается концепции «минимальных полномочий», которая ограничивает доступ сотрудников как к отдельным системам, так и к конкретным данным клиентов, добавил Савельев.

Отрасль связи действительно входит в число наиболее уязвимых с точки зрения вербовки сотрудников и выманивания персональных и коммерческих данных, подтвердили в ГК «Солар». Пробив уже давно перестал быть единичным криминальным эпизодом — это полукриминальный рынок, в котором взаимодействуют сотрудники операторов, посредники, сборщики информации и заказчики, сообщил представитель разработчика технологий для борьбы с киберпреступностью F6.

По данным источника «Ведомостей» на рынке информационной безопасности, средняя цена пробива в тематических Telegram-каналах составляет от 5000 до 20 000 рублей за данные одного человека. По словам директора департамента расследований T.Hunter Игоря Бедерова, за эту сумму можно получить ФИО, дату рождения, паспортные данные, номер мобильного телефона, адрес регистрации и проживания, детализацию звонков и SMS (информация о входящих и исходящих вызовах, их времени, номерах собеседников), банковские реквизиты (номера счетов, остатки, сведения по картам, история операций), СНИЛС, ИНН и водительское удостоверение.

В F6 назвали одной из причин устойчивой популярности услуги пробива её востребованность не только у мошенников, но и у служб безопасности российских компаний, часто выступающих основными заказчиками. Также к этому приводит недостаточный контроль за движением персональных данных у операторов сотовой связи.

AMD предупредила о новом классе атак по побочному каналу — Transient Scheduler Attack (TSA), основанном на особенностях микроархитектуры её процессоров. Подобно атакам Meltdown и Spectre, TSA использует аппаратные уязвимости, позволяющие обойти системные механизмы защиты. Уязвимости были выявлены специалистами AMD после изучения отчёта Microsoft.

Обзор смартфона HUAWEI Pura 80 Ultra: зум, которому нет равных

Обзор рейтингового режима Warface: просто освоиться, сложно оторваться

Обзор смартфона HONOR 400: реаниматор

HUAWEI Pura 80 Ultra глазами фотографа

Пять причин полюбить HONOR 400

Обзор ноутбука Acer Swift Go 14 (SFG14-63-R7T4) с процессором Ryzen 9 8945HS и OLED-экраном

Источник изображения: Rubaitul Azad / Unsplash

Новый класс уязвимостей состоит из четырёх компонентов: две проблемы получили средний уровень критичности, две другие — низкий. Несмотря на такую формальную классификацию, эксперты из Trend Micro и CrowdStrike оценивают угрозу как критическую. Причина не в легкости эксплуатации, а в глубинной природе самих атак, которые затрагивают фундаментальные механизмы выполнения команд внутри процессора и при определённых условиях позволяют злоумышленнику получать доступ к защищённым данным, включая данные ядра операционной системы (ОС) и изолированных виртуальных машин.

Атака TSA применима ко многим моделям процессоров AMD, включая мобильные, настольные и серверные решения. Особенно подвержены чипы EPYC третьего и четвёртого поколений, используемые в облачных средах и дата-центрах. Для реализации атаки требуется локальный доступ к машине — через вредоносное ПО, пользовательскую сессию или скомпрометированную виртуальную машину. При этом достаточно минимальных пользовательских прав. Уязвимость нельзя эксплуатировать через вредоносные сайты — в отличие от ранее известных атак типа Spectre.

Чтобы извлечь данные, злоумышленнику необходимо многократное воспроизведение атаки на целевом оборудовании. Это обусловлено её природой: атака использует механизм ложного завершения инструкций загрузки, когда процессор предполагает, что данные успешно загружены, хотя на самом деле они ещё недоступны. Такие ошибки становятся основой таймингового побочного канала: инструкции, зависящие от загрузки, выполняются с иной задержкой, и это позволяет определить, какие данные были затронуты.

Источник изображения: Wesley Tingey / Unsplash

В TSA выделены два типа атак: TSA-L1 и TSA-SQ. Первая использует ложные попадания в кеш первого уровня (L1), возникающие из-за ошибок в работе микротегов. Процессор ошибочно считает, что нужные данные находятся в кеше, и производит загрузку ложного значения, на основании которого можно восстановить содержимое памяти. Вторая атака — TSA-SQ — связана с тем, что инструкция загрузки преждевременно обращается к очереди хранения и извлекает данные, которые могли быть записаны ранее в другом потоке или контексте. Это позволяет обойти изоляцию между виртуальными машинами или процессами.

По наихудшему сценарию, TSA позволяет получить доступ к данным ядра ОС, что открывает возможности для повышения привилегий, отключения защитных механизмов, внедрения бэкдоров и обеспечения долговременного присутствия в системе. Даже уязвимости с низкой формальной оценкой, которые позволяют определить поведение внутренних буферов или очередей, могут повысить точность более сложных атак. Поэтому специалисты по информационной безопасности (ИБ) рекомендуют отнестись к проблеме максимально серьёзно.

AMD опубликовала подробный технический отчёт с описанием TSA и перечнем затронутых процессоров. В него входят серверные EPYC, пользовательские Ryzen, ускорители вычислений Instinct и чипы Athlon. Компания рекомендует системным администраторам как можно скорее установить последние версии Windows, содержащие обновления микрокода и патчи ядра. Альтернативно можно задействовать инструкцию VERW, которая очищает критические буферы процессора, но такая мера может снизить производительность. Выбор подхода требует отдельной оценки соотношения рисков и ресурсов в каждом конкретном случае.

Источник изображения: Tadas Sar / Unsplash

Согласно заявлению Microsoft, по состоянию на 10 июля в открытом доступе отсутствует какой-либо эксплойт, способный использовать TSA. Более того, успешное проведение атаки требует значительных технических ресурсов и глубокого понимания архитектуры процессоров AMD. Это делает её доступной лишь для самых подготовленных злоумышленников — например, прогосударственных APT-групп (Advanced Persistent Threat). Тем не менее, само наличие таких уязвимостей требует оперативного реагирования и обновления ПО и аппаратного стеков защиты.