Опрос
|
реклама
Быстрый переход
Хакеры ShinyHunters взломали больше сотни организаций из-за уязвимости нулевого дня в ПО Oracle PeopleSoft
12.06.2026 [14:00],
Павел Котов
Специализирующаяся на краже данных и вымогательстве киберпреступная группировка ShinyHunters, эксплуатируя уязвимость нулевого дня в программе Oracle PeopleSoft, взломала ресурсы более сотни организаций на 300 серверах. 
Источник изображения: Towfiqu / unsplash.com Речь идёт об уязвимости за номером CVE-2026-35273. Из-за неё хакеры, в частности, взломали систему Oracle PeopleSoft Ноттингемского университета (Великобритания) и похитили 40 Гбайт данных, в том числе персональную информацию и платёжные записи сотен тысяч бывших и нынешних студентов. «Ноттингемский университет, информация о котором появилась на нашем сайте, — один из первых публично подтверждённых инцидентов. Мы только начали устанавливать контакты с пострадавшими организациями и активно стремимся договориться с ними», — цитирует The Register заявление представителя ShinyHunters. Факт взлома сотни организаций группировкой ShinyHunters подтвердили в Google. Это эксперты поискового гиганта обнаружили подозрительную активность, связанную с возможной эксплуатацией уязвимости CVE-2026-35273, в период с 27 мая по 9 июня, и уведомили всех вероятных жертв. Большинство из них находятся в США, и 68 % относятся к сектору высшего образования. Программный пакет PeopleSoft используется крупными организациями для управления персоналом, расчёта заработной платы, выставления счетов, взаимодействия с цепочками поставок и студенческими записями. Oracle выпустила предупреждение о безопасности, но уточнить, подготовила ли она закрывающий уязвимость с рейтингом 9,8 из 10 патч, так и не удалось — по некоторым сведениям, компания приняла некоторые меры, но обновление ПО ещё не вышло. Колонку Creative превратили в инструмент для взлома ПК — компания уязвимость отрицает и исправлять не будет
03.06.2026 [18:51],
Сергей Сурабекянц
Исследователь безопасности Расмус Мурац (Rasmus Moorats) обнаружил две опасные уязвимости в компьютерной колонке Creative Sound Blaster Katana V2X, позволяющие удалённо загружать пользовательскую прошивку через Bluetooth, а затем использовать её в качестве клавиатуры для ввода любых команд в ПК. Компания Creative отказалась признать эту проблему и выпускать исправление не планирует. 
Источник изображений: Rasmus Moorats Исследование описывает две критические уязвимости. Во-первых, интерфейс Bluetooth Low Energy колонки раскрывает весь протокол команд любому ближайшему устройству без аутентификации — команды, требующие подтверждения по USB, проходят совершенно беспрепятственно и без проверки по BLE. Во-вторых, колонка принимает обновления прошивки без криптографической подписи. Защита осуществляется только с помощью контрольной суммы SHA-256, которую легко модифицировать. В совокупности перечисленные уязвимости позволяют злоумышленнику незаметно загрузить в устройство собственную прошивку по беспроводной сети, без сопряжения или какого-либо вмешательства в устройство. Затем эта прошивка использует тот факт, что Katana V2X является доверенным USB-периферийным устройством на хост-компьютере. Она добавляет признак клавиатуры к существующему дескриптору HID и внедряет произвольные нажатия клавиш после перезагрузки. В демонстрационном примере взломанная версия отображается в терминале.  Bluetooth-модуль динамика не имеет выключателя и остаётся активным даже в спящем режиме, что постоянно оставляет устройство доступным для атаки. Компания Creative была уведомлена об этой уязвимости, но признавать и исправлять проблему отказалась. По словам Мураца, последняя официальная прошивка по-прежнему уязвима. Исследователь опубликовал эксплойт для Creative Sound Blaster Katana V2X, который не требует физического доступа или сопряжения. Он превращает компьютерную звуковую панель в скрытый инжектор нажатий клавиш, и все это на расстоянии до 15 метров. На странице исследователя доступен сторонний инструмент защиты, v2x-patcher, который блокирует CTP-over-Bluetooth на уровне прошивки. Такой способ исправления уязвимости, вероятно, приведёт к отказу мобильного приложения Creative. GitHub признала взлом 3800 репозиториев по вине своего сотрудника — он установил вредоносное расширение VS Code
20.05.2026 [15:53],
Павел Котов
Администрация GitHub подтвердила, что около 3800 репозиториев подверглись взлому после того, как один из её сотрудников установил вредоносное расширение для VS Code. Компания удалила это расширение из магазина и обеспечила безопасность скомпрометированного устройства. 
Источник изображения: Rubaitul Azad / unsplash.com «Накануне мы обнаружили и локализовали взлом устройства сотрудника, связанный с заражённым расширением VS Code. Мы удалили вредоносную версию расширения, изолировали рабочее место и немедленно начали реагирование на инцидент. Согласно нашей текущей оценке, в ходе атаки произошла только утечка данных из внутренних репозиториев GitHub. Текущие заявления злоумышленника о взломе примерно 3800 репозиториев в целом соответствуют результатам нашего расследования», — гласит заявление администрации платформы. Источник утечки в GitHub пока не назвали, но хакерская группировка TeamPCP накануне заявила на профильном форуме о доступе к исходному коду GitHub и «примерно 4000 репозиториям с закрытым кодом», потребовав за украденные данные не менее $50 000 и пригрозив в противном случае опубликовать данные бесплатно. Ранее TeamPCP связывали с масштабными атаками на цепочки поставок, в результате которых взламывались платформы для разработки кода, в том числе GitHub, PyPI, NPM и Docker, а также с кампанией Mini Shai-Hulud, которая затронула двух сотрудников OpenAI. Плагины VS Code устанавливаются из официального магазина, и это уже не первый случай, когда расширение содержит троян — иногда вредоносные плагины набирают несколько миллионов скачиваний. Платформу GitHub сегодня используют более 4 млн организаций, в том числе 90 % компаний из списка Fortune 100, и более 180 млн разработчиков, которые вносят вклад в более чем 420 млн репозиториев кода. Хакеры атаковали интернет-магазин Škoda — данные клиентов могли утечь
13.05.2026 [16:59],
Павел Котов
Автопроизводитель Škoda сообщил о кибератаке на его интернет-магазин и признал, что злоумышленники могли получить доступ к персональным данным клиентов. Когда именно произошла атака, в компании не уточнили, но сообщили, что обнаружили инцидент в ходе мониторинга безопасности. 
Источник изображений: skoda-auto.com Компания была вынуждена отключить магазин; злоумышленников из системы удалили. Работу с инцидентом делегировали специализированной группе экспертов по IT-криминалистке; о происшествии уведомили правоохранительные органы. Характер инцидента в Škoda также не раскрыли, поэтому трудно сказать, была ли атака связана с использованием вирусов-вымогателей, и сколько клиентов пострадали. Киберпреступники получили доступ к именам клиентов, адресам их электронной почты, а также, в некоторых случаях, к номерам их телефонов. Была скомпрометирована информация о заказах, а также имена пользователей и пароли в системе — правда, они были захешированы. Данные банковских карт и прочая финансовая информация украдены не были, заверили в Škoda. «Технический анализ показал, что доступ к хранящимся в магазине данным был в принципе возможен. Однако из-за особенностей доступных протоколов невозможно отследить во всех подробностях, были ли данные фактически скопированы или извлечены, и в какой степени», — добавил автопроизводитель. В компании подчеркнули, что не удалось получить доказательств, что эти данные использовались в реальных условиях. Но клиентов предупредили, что в их адрес могут осуществляться фишинговые атаки. ФБР удалённо сбросило настройки на домашних роутерах в США, чтобы доказать их взлом
13.05.2026 [13:27],
Павел Котов
ФБР и АНБ заявили, что хакерская группировка APT28, известная также как Fancy Bear, минимум с 2024 года систематически осуществляет массовый взлом домашних и офисных маршрутизаторов в США.  Оба ведомства получили разрешение суда на удалённый сброс настроек у нескольких тысяч взломанных устройств в США — владельцам оборудования, которое подверглось этому воздействию, рекомендуется оперативно его заменить. Представители ФБР и АНБ 7 апреля заявили, что группировка APT28 как минимум с 2024 года систематически осуществляет взлом домашних и офисных роутеров. Доступ к ним используется для перехвата учётных данных, токенов аутентификации и конфиденциальной связи. Чтобы подтвердить факт наличия проблемы, правоохранительные органы предприняли необычный шаг и удалённо сбросили настройки нескольких тысяч устройств в США. Они также предупредили, что без действий со стороны владельцев этого оборудования решить проблему не получится: все модели маршрутизаторов перестали получать обновления безопасности, и их следует заменить. Ведомства привели список этих устройств — все они носят марку TP-Link. Владельцам роутеров рекомендовали выбрать в настройках автоматическое получение обновлений и изменить установленные по умолчанию имя пользователя и пароль для входа в систему. Если удалённый доступ к маршрутизатору не требуется, рекомендуется его отключить. Наконец, тем, кто работает по удалёнке, в ФБР посоветовали пользоваться VPN при пересылке конфиденциальных данных. Найден новый способ обхода шифрования Google Chrome для кражи паролей
07.05.2026 [11:07],
Павел Котов
Создатели трояна VoidStealer обнаружили способ обходить шифрование Google App-Bound Encryption (ABE) для кражи учётных данных из браузера Chrome и его производных под Windows, обратили внимание эксперты «Лаборатории Касперского». 
Источник изображения: kaspersky.ru В июле 2024 года Google представила технологию ABE для защиты данных в Chrome и других браузерах на той же платформе, в том числе Microsoft Edge, Opera, Vivaldi и Brave. При работе Chrome в Apple macOS за защиту данных отвечает системная служба Keychain, в Linux также есть аналогичные средства, а вот в Windows инструменты Data Protection API (DPAPI) не обеспечивают достаточной защиты файлов cookie и паролей от доступа вредоносных приложений, маскирующихся под запросы легитимных пользователей. Технология ABE была призвана решить эту проблему — она позволяет производить расшифровку только самому приложению Chrome, а не любому другому процессу, даже если он запущен от имени пользователя. В действительности эту защиту взломали довольно быстро — так появились трояны Meduza Stealer, Whitesnake, Lumma Stealer и Lumar, которые успешно собирали файлы cookie и другие данные из Chrome. Собственные способы делать это выработали и исследователи в области кибербезопасности. Алекс Хагена (Alex Hagenah), например, предложил схему, в которой сочетаются бесфайловое выполнение кода напрямую в памяти, внедрение процессов, прямые системные вызовы и другие скрытые способы; в минувшем году была разработана техника атаки C4, позволяющая добиться того же результата даже пользователю с низкими привилегиями. Разработчики трояна VoidStealer предложили новую схему. Ключевым этапом является момент, в который Chrome для расшифровки данных извлекает ключ шифрования в открытом виде в памяти браузера. Вредоносная программа подключается к нему под видом отладчика — легитимного механизма для устранения неполадок — определяет момент, когда начинает производиться расшифровка, и приостанавливает процесс. В результате злоумышленник извлекает ключ шифрования непосредственно из памяти, обходя тем самым средства защиты. Возникновение этой схемы подтверждает, что браузеры становятся популярной целью атак у киберпреступников. Предприятия всё чаще переносят свои рабочие процессы в веб-приложения, и взлом браузеров открывает доступ к токенам аутентификации, учётным данным, финансовой информации и другим сведениям конфиденциального характера. Инструмент анализа данных на Python на полдня стал вредоносным — он крал ключи и токены
01.05.2026 [15:12],
Павел Котов
Неизвестный киберпреступник загрузил на платформу PyPI модифицированную версию 0.23.3 утилиты elementary-data, предназначенной для мониторинга информации. Вредоносный вариант приложения производит кражу учётных данных: ключей SSH, данных доступа к ресурсам AWS, токенов API и криптовалютных кошельков. Легитимный разработчик удалил скомпрометированный пакет, но тот оставался доступным для широкой аудитории в течение половины дня и, вероятно, успел нанести ущерб. 
Источник изображения: Towfiqu barbhuiya / unsplash.com Злоумышленник воспользовался уязвимостью в одном из рабочих процессов GitHub Actions проекта разработки elementary-data. Используя автоматически предоставленный ему GITHUB_TOKEN, он создал запрос на слияние (pull request) легитимного пакета с вредоносным кодом и сумел добиться автоматического выпуска заражённой новой версии пакета. Этот пакет предназначался для сбора широкого спектра конфиденциальных данных: ключей SSH, учётных данных облачных ресурсов Amazon Web Services (AWS), контейнеров Docker и Kubernetes, а также файлов криптовалютных кошельков, в том числе Bitcoin, Litecoin, Dogecoin и Ethereum. Украденные данные компилировались в файл trin.tar.gz и отправлялись на подконтрольный злоумышленнику сервер. Киберпреступник воспользовался свежезарегистрированной учётной записью GitHub, 25 апреля в 2:20 мск загрузил в проект вредоносную версию elementary-data на PyPI, а в 2:24 загрузил в GitHub Container Registry заражённый образ Docker с этим пакетом, расширив тем самым вектор вредоносной кампании. Администраторы проекта Elementary удалили вредоносные файлы только в 13:45 того же дня, то есть более чем через 11 часов, и заменили пакет очищенной версией elementary-data 0.23.4. Связанные с ним пакет Elementary dbt, ресурсы Elementary Cloud и другие версии самого проекта в ходе инцидента не пострадали, сообщили разработчики. Пользователям, установившим заражённую версию elementary-data 0.23.3, настоятельно рекомендуется удалить её и заменить безопасным вариантом 0.23.4. Необходимо также удалить файлы кеша и файл-маркер «.trinny-security-update» вредоносного пакета — если этот файл присутствует в системе, значит, вредонос в ней запускался. Разработчики Elementary обновили токен публикации PyPI, токен GitHub, учётные данные GitHub Container Registry, удалили уязвимый рабочий процесс GitHub Actions и проверили все остальные. Vimeo признала, что допустила утечку «некоторых данных пользователей»
29.04.2026 [16:52],
Павел Котов
Администрация видеоплатформы Vimeo сообщила, что в результате взлома облачной аналитической службы Anodot доступ к некоторым данным её пользователей получили киберпреступники. 
Источник изображения: Kevin Horvat / unsplash.com Основанный на искусственном интеллекте сервис Anodot помогает отслеживать инциденты и аномалии в бизнесе, упрощая компаниям выявление внезапных падений продаж, всплесков затрат или технических сбоев ещё до того, как они окажут существенное влияние на организацию и её клиентов. В начале апреля систему взломали хакеры группировки ShinyHunters, которые, используя функции интеграции со сторонними сервисами, получили доступ к учётным записям клиентов Anodot в облачном хранилище Snowflake. Помимо Vimeo, жертвой инцидента стала Rockstar Games, ответственная за знаменитые игры Grand Theft Auto и Red Dead Redemption. «Мы установили, что в результате взлома Anodot доступ к некоторым данным пользователей и клиентов Vimeo получил злоумышленник. Предварительные данные указывают, что базы данных, к которым был получен доступ, в основном содержат техническую информацию, названия видео и метаданные, а в некоторых случаях — адреса электронной почты клиентов», — сообщила администрация платформы. Число пострадавших от атаки не сообщили, но подчеркнули, что доступ к видеоконтенту, действительным учётным данным пользователей, а также к информации о платёжных картах киберпреступникам получить не удалось. «Учётные данные пользователей и клиентов Vimeo защищены. Этот инцидент не вызвал никаких сбоев в работе наших систем или сервиса», — заключили там. Vimeo заблокировала все учётные данные Anodot, удалила механизмы интеграции и привлекла сторонних экспертов в области кибербезопасности, чтобы провести анализ причин произошедшего. Компания также уведомила правоохранительные органы. Ответственность за кибератаку взяли на себя хакеры из группировки ShinyHunters, занимающейся распространением вирусов-вымогателей. Они пригрозили, что опубликуют украденные файлы, если компания не заплатит выкуп до 30 апреля 2026 года. Китаец разработал универсальный ключ для взлома электромобильных зарядок и не только
24.04.2026 [13:50],
Павел Котов
Операторы служб аренды, например, электровелисипедов или зарядных устройств для электромобилей пренебрегают безопасностью, используя архитектуру интернета вещей. Это делается в угоду удобству пользователей, но инфраструктура оказывается уязвимой перед кибератаками. 
Источник изображения: JUICE / unsplash.com Уязвимость подобных сервисов перед типовыми кибератаками продемонстрировал на профильной конференции китайский эксперт Хэтянь Ши (Hetian Shi). Сервисы аренды, использующие технологии интернета вещей, уязвимы на уровне архитектуры, установил он: арендное оборудование комплектуется портами, подключившись к которым обладающий соответствующими навыками злоумышленник может находить уязвимости. В прошивках устройств и в серверных службах могут использоваться общие ключи аутентификации; слабой защитой отличаются и клиентские приложения арендных сервисов. Обойдя защиту приложения, хакер может, например, создавать фантомных клиентов, которых поставщики услуг не смогут отличить от действительных — фантомные клиенты позволяют пользоваться арендной техникой бесплатно. Под угрозой оказывается и личная информация клиентов этих служб, потому что доступ к серверной части оказывается относительно несложной задачей. Свои слова Хэтянь Ши подкрепил эффектной демонстрацией. Он создал универсальное средство взлома арендных сервисов IDScope и показал как оно работает с iOS-приложением одной из популярных в Китае сетей зарядных станций для электромобилей. Он попросил аудиторию выбрать город — выбор пал на Шанхай, — после чего указал на одну из станций в центре города, установил в приложении её идентификатор и ввёл его в свой скрипт. Через секунду или две соответствующий зарядному устройству зелёный значок («Свободно») сменился на серый («Отключено»). Слабая защита в реализации сервисов на архитектуре интернета вещей позволяет не только взламывать оборудование, но и производить на такие сервисы DDoS-атаки, выводя тем самым из строя целые городские сети зарядных устройств для электромобилей. Исследователь также протестировал 11 приложений европейских поставщиков услуг и обнаружил в них аналогичные проблемы, сделав вывод, что подобные уязвимости характерны для этих сервисов по всему миру. Российскую криптобиржу Grinex взломали и украли активы на 1 млрд рублей
17.04.2026 [09:57],
Павел Котов
Неизвестные взломали ресурсы российской криптовалютной биржи Grinex и похитили цифровые активы на сумму более 1 млрд руб. Платформа приостановила работу и подала заявление в правоохранительные органы. 
Источник изображения: Traxer / unsplash.com В результате кибератаки с криптовалютных кошельков биржи Grinex похищены средства российских клиентов на сумму более 1 млрд руб., сообщает РБК со ссылкой на пресс-службу сервиса. Средства удалось отследить: через обменные сервисы злоумышленники конвертировали украденное в криптовалюту Tron (TRX) и собрали их в одном кошельке, адрес которого известен — его баланс на момент сообщения составлял около $15 млн в эквиваленте. «Цифровые следы и характер атаки свидетельствуют о беспрецедентном уровне ресурсов и технологий, доступных исключительно структурам недружественных государств», — заявили в Grinex. Криптовалютная биржа является крупным российским игроком, производящим обмен рублей на цифровые деньги. Она выступает фактической преемницей закрывшейся ранее Garantex. В марте прошлого года Garantex сообщила, что выступающая эмитентом стейблкоина USDT компания Tether заблокировала её средства на сумму 2,5 млрд руб. На следующий день американские власти обвинили платформу в нарушении санкций и отмывании денег; были заблокированы её сайты и криптовалютные активы на сумму $26 млн. В августе США ввели санкции и против Grinex, обвинив её в связи с Garantex и проведении криптовалютных операций, направленных на обход санкций. Злоумышленники похитили данные о бронированиях клиентов Booking.com — пострадавших уже известили
13.04.2026 [20:15],
Сергей Сурабекянц
В воскресенье вечером платформа онлайн-бронирования Booking.com сообщила, что «неуполномоченные третьи стороны» получили доступ к информации о бронировании клиентов. По словам компании, ситуация «сейчас под контролем», а «пострадавшие гости» проинформированы. Некоторые клиенты Booking.com подтвердили получение электронных писем от компании о возможной утечке данных. 
Источник изображений: unsplash.com В опубликованном сообщении говорится, что Booking.com «недавно заметил подозрительную активность», которая «затрагивает ряд бронирований». Начатое расследование возможной утечки показало, что неуполномоченные лица могли просмотреть «данные бронирования, имя или имена, адреса электронной почты и физические адреса», а также «номера телефонов, связанные с бронированием, и любую другую информацию, которой вы могли поделиться с местом размещения». Информация о том, когда произошёл взлом и сколько человек могло пострадать, отсутствует. Сервис Booking.com пока не ответил на журналистские запросы по этому поводу. OpenAI обнаружила взлом стороннего компонента своих приложений — данные пользователей в безопасности
11.04.2026 [15:39],
Павел Котов
OpenAI сообщила, что обнаружила угрозу безопасности, связанную со сторонним компонентом Axios, который используется в нескольких её приложениях. Компании пришлось принять меры, чтобы защитить процесс сертификации своих приложений под Apple macOS. 
Источник изображения: Mariia Shalabaieva / unsplash.com Компания не обнаружила доказательств того, что третьи лица получили доступ к данным пользователей, скомпрометировали системы или интеллектуальную собственность OpenAI либо сумели изменить работу её ПО. Чтобы закрыть уязвимость, OpenAI обновила сертификаты безопасности и настоятельно рекомендовала всем пользователям её приложений под macOS обновить их до последних версий — это позволит исключить попытки распространения поддельного ПО. Широко используемая сторонняя библиотека Axios 31 марта подверглась взлому, а используемое в разработке средство GitHub Actions загрузило и запустило её «вредоносный» вариант. Оно имело доступ к сертификатам, использовавшимся для подписи приложений ChatGPT Desktop, Codex, Codex-cli и Atlas. В результате анализа выяснилось, что использовавшийся в GitHub Actions сертификат, скорее всего, не был похищен с помощью вредоносной полезной нагрузки. Старые версии десктопных приложений OpenAI для macOS с 8 марта перестанут получать обновления и поддержку, после чего могут лишиться работоспособности. Пароли и ключи API OpenAI в результате инцидента не пострадали, подчеркнули в компании, а его первопричиной оказалась неверная конфигурация GitHub Actions, которую уже исправили. Утилиты CPU-Z и HWMonitor подменили вредоносами на официальном сайте — разработчики уже всё исправили
10.04.2026 [15:01],
Павел Котов
В течение некоторого времени вместо файлов установщиков популярных утилит HWMonitor и CPU-Z с официального сайта разработчика CPUID загружались данные, которые антивирусные программы помечали как вредоносные. К настоящему моменту ошибку удалось исправить. 
Источник изображения: Philipp Katzenberger / unsplash.com При попытке скачать обновление HWMonitor 1.63 с сайта CPUID загружался файл с именем «HwiNFO_Monitor_Setup.exe», который встроенный антивирус Windows Defender помечал как вредоносный. При этом на самом сайте последними версиями указывались HWMonitor 1.63 от 3 апреля 2026 года, а также CPU-Z 2.19. Ссылки на установочные файлы в обоих случаях вели на поддомен download.cpuid.com, а архив ZIP сайт предлагал скачивать с хоста Cloudflare R2. Это поведение не соответствовало обычной схеме работы CPUID, что насторожило пользователей, и в сообществе рекомендовали не пытаться скачать популярные утилиты с сайта разработчика. Впоследствии разработчик опубликовал пояснение: «Расследование всё ещё продолжается, но, похоже, вторичная функция (то есть сторонний API) была скомпрометирована примерно в течение шести часов в период с 9 по 10 апреля, в результате чего основной сайт случайным образом выводил вредоносные ссылки (наши оригинальные подписанные файлы скомпрометированы не были). Взлом был обнаружен и уже устранён. Приносим извинения за неудобства». Microsoft раскрыла кампанию по взлому десятков тысяч домашних роутеров MikroTik и TP-Link
09.04.2026 [11:49],
Павел Котов
Хакерская группировка APT28, также известная как Forest Blizzard, развернула крупномасштабную кампанию, в ходе которой были скомпрометированы маршрутизаторы MikroTik и TP-Link. Настройки сетевого оборудования изменили, сформировав из него вредоносную инфраструктуру; кампания действовала с мая 2025 года. 
Источник изображения: microsoft.com Крупномасштабную хакерскую кампанию назвали FrostArmada — он ней рассказали эксперты отдела Black Lotus Labs компании Lumen, а также специалисты Microsoft. В ходе атаки злоумышленники взломали уязвимое оборудование, предназначенное для дома и небольших компаний, изменили на нём настройки DNS и перехватывали трафик пользователей. Когда пользователи обращались на интересующие злоумышленников домены, их трафик направлялся на узлы класса «атакующий посередине» (AitM), где собирались учётные данные жертв: пароли, токены OAuth и другая информация, необходимая для доступа к веб-сервисам и электронной почте. 
Источник изображения: lumen.com В рамках совместной «Операции Маскарад» (Operation Masquerade), проведённой Министерством юстиции США, Федеральным бюро расследований и зарубежными партнёрами американских ведомств, правоохранительным органом удалось нарушить работу, а впоследствии отключить используемую злоумышленниками инфраструктуру. Жертвами оказались военнослужащие, служащие правительственных структур и сотрудники объектов критической инфраструктуры. Кампания началась в мае 2025 года, в августе она развернулась в крупномасштабную атаку с эксплуатацией маршрутизаторов и перенаправлением DNS-трафика. На пике активности с инфраструктурой APT28 взаимодействовали более 18 000 уникальных IP-адресов из не менее чем 120 стран. 
Источник изображения: lumen.com Действия хакеров были направлены преимущественно против государственных учреждений, в том числе министерств иностранных дел, правоохранительных органов, сторонних поставщиков услуг электронной почты и облачных сервисов в странах Северной Африки, Центральной Америки, Юго-Восточной Азии и Европы. По данным Microsoft, в результате кампании были взломаны более 5000 потребительских устройств и более 200 организаций. Компания также выявила активность AitM, направленную на сторонние ресурсы как минимум в трёх правительственных организациях в Африке. Одним из векторов атаки стали маршрутизаторы TP-Link WR841N, на которых эксплуатировалась уязвимость CVE-2023-50224 с рейтингом 6,5. Злоумышленники развернули автоматизированный процесс фильтрации, чтобы выделить DNS-обращения к представляющим для них интерес ресурсам. В одних случаях использовалась имитация легитимных сервисов, таких как Microsoft Outlook Web Access; в других группа серверов направляла запросы на инфраструктуру злоумышленников. Дополнительным вектором атаки стало относительно небольшое число маршрутизаторов MikroTik в Восточной Европе. Кампания была направлена только на сбор информации, но не на развёртывание вредоносного ПО и DDoS-атак. Хакеры взломали китайский суперкомпьютер и украли 10 Пбайт секретных данных, включая схемы ракет и военные исследования
09.04.2026 [11:48],
Павел Котов
Некий хакер взломал принадлежащий китайским властям суперкомпьютер и, сохраняя доступ к нему в течение полугода, незаметно для его администраторов похитил из системы 10 петабайтов секретных данных, в том числе документы министерства обороны и схемы ракет. 
Источник изображения: Arif Riyanto / unsplash.com Данные были похищены из Национального суперкомпьютерного центра в Тяньцзине, который предлагает услуги более чем 6000 клиентам по всему Китаю, в том числе научным и оборонным ведомствам. Хакер выложил под псевдонимом FlamingChina в Telegram образцы похищенных документов — по его словам, они включают материалы исследований в области аэрокосмической техники, военного направления, биоинформатики, моделирования термоядерного синтеза и многого другого. Информация принадлежит ведущим организациям страны, в том числе Китайской корпорации авиационной промышленности, Китайской корпорации коммерческого самолётостроения и Национальному университету оборонных технологий. За несколько тысяч долларов предлагается ограниченный предварительный обзор набора данных, стоимость полного доступа к ним исчисляется сотнями тысяч долларов — оплата принимается в криптовалюте. В образцах данных приводятся документы на китайском языке с пометкой «секретно», технические файлы, анимированные симуляции, а также изображения военной техники, включая ракеты и бомбы. Материалы в целом соответствуют тому, что предполагается обнаружить в суперкомпьютерном центре — большинству его клиентов нет смысла строить и поддерживать собственную инфраструктуру суперкомпьютера, считают эксперты. Центр в Тяньцзине открылся в 2009 году и был первым в своём роде в Китае, сейчас подобные работают также в Гуанчжоу, Шэньчжэне и Чэнду. Учитывая объём похищенных данных, изучить эти материалы под силу разве что государственным разведслужбам недружественных Китаю государств, потому что только у них могут быть достаточные ресурсы для этого. Хакер сообщил, что получил доступ к суперкомпьютеру в Тяньцзине через скомпрометированный VPN-домен. Осуществив взлом, он развернул ботнет — сеть систем, которые смогли проникнуть в сеть, извлечь, загрузить и сохранить данные. Скачивание 10 Пбайт данных заняло около шести месяцев. Распределив задачу по большому числу систем одновременно, злоумышленник снизил угрозу обнаружения: у администраторов было меньше шансов зафиксировать небольшие объёмы данных, передаваемых из системы одновременно, тогда как большой поток информации, передаваемый в одно место, привлёк бы внимание. Инцидент указывает на уязвимость технологической инфраструктуры Китая, и власти страны признают это проблему, отмечают эксперты. Сейчас Китай стремится повышать надёжность средств киберзащиты. |
© 1997—2026 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
