Обнаружена уязвимость, которая может дать злоумышленникам полный контроль над тысячами серверов, многие из которых выполняют критически важные задачи. Уязвимость CVE-2024-54085 обнаружена в популярном контроллере AMI MegaRAC, который позволяет удалённо получать доступ к большим паркам серверных машин. Уязвимости присвоен рейтинг опасности 10 из возможных 10.

Источник изображения: unsplash.com

AMI MegaRAC — это микроконтроллер на основе архитектуры BMC (baseboard management controller — «контроллер управления основной платой»). Администраторы используют BMC для удалённой переустановки операционных систем, установки или настройки приложений и внесения изменений в конфигурацию. Успешный взлом одного BMC может быть использован для перехода во внутренние сети и взлома всех остальных BMC.

Уязвимость CVE-2024-54085 позволяет злоумышленнику обходить аутентификацию, выполняя простой веб-запрос к уязвимому устройству BMC по HTTP. Уязвимость была обнаружена в марте компанией компьютерной безопасности Eclypsium. Раскрытие информации об уязвимости включало код эксплойта, позволяющий хакеру удалённо создать учётную запись администратора без прохождения аутентификации. На момент раскрытия сообщений об активной эксплуатации уязвимости не поступало.

Исследователи Eclypsium предоставили список основных угроз:

• Внедрение вредоносного кода непосредственно в прошивку BMC.
• Обход защиты конечной точки, журналирования и большинства традиционных инструментов безопасности.
• Возможность удалённого включения, выключения, перезагрузки и переустановки образа сервера, независимо от состояния основной ОС.
• Похищение учётных данных, включая использующиеся для удалённого управления.
• Доступ к системной памяти и сетевым интерфейсам для перехвата конфиденциальные данных.
• Повреждение прошивки, вызывающее отказ сервера.

По данным Eclypsium, линейка уязвимых устройств AMI MegaRAC использует интерфейс, известный как Redfish. Среди производителей серверов, оказавшихся под угрозой — AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro и Qualcomm. Некоторые из этих поставщиков уже выпустили исправления для своих устройств.

Учитывая возможный ущерб от эксплуатации злоумышленниками уязвимости CVE-2024-54085, администраторам следует проверить все BMC в своих парках, а в случае сомнений — проконсультироваться с производителем оборудования.

На полях ПМЭФ-2025 зампред правления «Сбера» Станислав Кузнецов сообщил, что в 2025 году ущерб российским компаниям от DDoS-атак увеличился в три или даже более раз. Это произошло на фоне снижения за год общего количества атак. Но они стали значительно сложнее, что в итоге вылилось в большие потери. Российские компании плохо готовятся противостоять зловредному воздействию, что требует системного подхода.

Источник изображения: ИИ-генерация Grok 3

«Атак стало меньше, но успешных DDoS-атак на российские компании и организации стало в три раза больше. Это означает, что потери этих компаний в бизнесе либо в своей деятельности резко увеличились. По нашей оценке, не менее чем в три раза», — сказал Кузнецов в интервью изданию «РИА Новости».

«И всё это связано с недостаточным уровнем киберзащиты», — заключил топ-менеджер. Он напомнил, что в этом году были десятки случаев, когда злоумышленники атаковали федеральные органы исполнительной власти и ряд крупнейших компаний. О росте атак на российские организации сообщают также другие эксперты в области киберзащиты. Это явление начало набирать обороты уже с самого начала года.

Отдельную тревогу вызывает неудержимый рост центров обработки данных, которые открывают доступ к искусственному интеллекту. Эти ресурсы наверняка можно использовать для гиператаки на тот или иной сервис или государственную структуру. Пока Cloudflare с коллегами по цеху справляются с гиператаками, но в будущем всё может измениться. Учитывают ли это специалисты или нет, покажет только время. А пока в России предложен проект по тюремному заключению для совершивших DDoS-атаку. Тоже вариант.

Дзержинский районный суд Санкт-Петербурга вынес приговор четырём участникам хакерской группировки REvil. Все они признаны виновными в неправомерном обороте платежей и распространении вредоносного софта. Осужденные были освобождены в зале суда в связи с отбытием срока наказания. Одна из самых известных в мире хакерских группировок REvil была ликвидирована ФСБ в январе 2022 года.

Источник изображений: unsplash.com

Приговор суда был вынесен в отношении Андрея Бессонова, Михаила Головачука, Романа Муромского и Дмитрия Коротаева. Всем им было назначено наказание в виде 5 лет лишения свободы в колонии общего режима. Суд учёл время содержания обвиняемых под стражей, поэтому они были освобождены прямо в зале суда. У Бессонова суд конфисковал два автомобиля BMW и денежные средства в размере 51,85 млн рублей и $497 435. Коротаев по приговору суда лишился автомобиля Mercedes. Дополнительных штрафов фигурантам назначено не было.

Все четверо признали себя виновными в совершении преступлений, предусмотренных частью 2 статьи 187 («Неправомерный оборот средств платежей в составе организованной группы», до семи лет лишения свободы) и частью 2 статьи 273 УК России («Создание, использование и распространение вредоносных компьютерных программ по предварительному сговору и в составе группы», до пяти лет лишения свободы). От дачи показаний фигуранты отказались.

Ранее, в октябре 2024 года Петербургский гарнизонный военный суд приговорил к лишению свободы на сроки от четырёх с половиной до шести лет других четырёх участников хакерской группировки REvil, не признавших свою вину. Сейчас Артем Заец, Алексей Малоземов, Руслан Хансвяров и Даниил Пузыревский отбывают наказание в исправительных учреждениях.

Хакерская группировка REvil прославилась требованием рекордно больших выкупов — криминальные доходы преступников в 2020 году достигали $100 млн. Группу ассоциируют с Россией, так как её участники общались между собой на русском языке. По версии обвинения, REvil, созданная Даниилом Пузыревским в 2015 году, занималась неправомерным приобретением и хранением электронных средств платежей. Большинство жертв группировки составили граждане США.

14 января 2022 года пресс-служба ФСБ сообщила о ликвидации хакерской группировки REvil при содействии компетентных органов США.

«Лаборатория Касперского» обнаружила вредоносную кампанию, в рамках которой члены группировки Librarian Ghouls в ночное время атаковали сотни корпоративных пользователей из России. Злоумышленники начали атаки в декабре прошлого года и преимущественно проводят их в период с 01:00 до 05:00 по времени местоположения жертвы.

Источник изображения: Xavier Cee / Unsplash

В сообщении сказано, что чаще всего в качестве жертв хакеры выбирали сотрудников производственных предприятий и технических вузов. Ранее эта же группировка занималась продвижением сложных атак на цели в России и странах СНГ. В рамках новой вредоносной кампании хакеры стремятся заполучить удалённый доступ к атакуемым компьютерам, на которые, в случае успеха, устанавливается майнер для скрытой добычи криптовалюты. Также отмечается, что у хакеров есть фишинговые сайты, выдающие себя за «известный российский почтовый сервис».

На начальном этапе злоумышленники рассылают фишинговые письма с вредоносными архивами, которые защищены паролем. После распаковки и открытия содержимое архивов перемещается в одну из папок на локальном диске, а хакеры получают удалённый доступ к устройству. В дальнейшем они действуют аккуратно, стараясь ничем не выдать своего присутствия. Вредоносное ПО на заражённом компьютере активируется в 01:00 по местному времени, а в 05:00 устройство выключается через планировщик задач. За это время хакеры успевают собрать важные данные, включая ключевые фразы криптовалютных кошельков.

«После передачи украденной информации группе вредонос стирает из компьютера жертвы файлы, созданные в ходе атаки, и загружает в систему майнер, а затем удаляет себя с устройства», — пояснили в «Лаборатории Касперского».

Coinbase сегодня подтвердила, что личная и финансовая информация по меньшей мере 69 461 клиента криптобиржи стала достоянием преступников в результате многомесячной утечки данных, о которой компания сообщила на прошлой неделе. Хакеры потребовали $20 млн за удаление данных, но Coinbase платить отказалась.

Источник изображения: Pixabay

Компания заявила, что хакеры подкупили сотрудников службы поддержки клиентов Coinbase и таким образом смогли получать доступ к внутренним ресурсам компании на протяжении нескольких месяцев. По сообщению Coinbase, активность киберпреступников началась 26 декабря 2024 года и продолжалась до начала этого месяца, когда компания получила «достоверное» сообщение от преступников с требованием выкупа за неразглашение и удаление данных.

По имеющейся информации, преступники похитили данные об именах клиентов, адресах электронной почты и почтовых адресах, номерах телефонов, удостоверениях личности, остатках на счетах и ​​истории транзакций. Coinbase утверждает, что пароли, приватные ключи или прямой доступ к средствам клиентов хакерам получить не удалось.

Количество пострадавших клиентов подтверждается заявлением от Coinbase генеральному прокурору штата Мэн в соответствии с требованием соответствующего закона штата. Предполагаемая сумма ущерба от действий злоумышленников может составить от $180 млн до $400 млн.

Компания PCAutomotive из Венгрии, занимающаяся вопросами кибербезопасности, на конференции Black Hat Asia 2025 представила эксплойт и демонстрацию удалённого доступа к электромобилю Nissan LEAF 2020 года выпуска. Используя уязвимости Bluetooth и оборудование автомобиля, хакеры смогли следить за машиной, её пассажирами и даже перехватили управление рулевым колесом — и не только.

Источник изображения: PCAutomotive

Обнаруженная уязвимость представляет собой набор из десяти ошибок в протоколах Bluetooth и системах электромобиля. Информация об уязвимости была передана компании Nissan ещё в 2024 году. Фактически всё, что команда PCAutomotive показала в видеоролике и рассказала во время презентации, уже закрыто патчами как со стороны автопроизводителя, так и компаниями в цепочке поставок. Потеря управления автомобилем в процессе движения — это крайне серьёзная угроза, хотя и утечка конфиденциальных данных также не сулит ничего хорошего.

С помощью «пары штуковин с eBay», клавиатуры и эксплойта специалисты смогли удалённо подключиться к электромобилю Nissan LEAF. Они получили доступ к данным GPS, к разговорам в салоне, могли делать снимки с помощью встроенной камеры и воспроизводить звук через мультимедийную систему автомобиля. Также был получен доступ к большинству систем машины — от управления зеркалами и стеклоочистителями до вращения рулевого колеса.

Подобную уязвимость команда PCAutomotive ранее обнаружила и в автомобилях Škoda. Однако в случае с этой маркой дело ограничилось перехватом мультимедийных функций и слежением — доступ к системам управления получить не удалось. С Nissan LEAF ситуация зашла гораздо дальше и приняла особенно тревожный оборот.

Хакерская группировка TheWizards развернула кампанию с использованием уязвимости в SLAAC — одной из функций сетевого протокола IPv6, которая активно применяется злоумышленниками для взлома ресурсов определённых организаций и перехвата обновлений ПО. Кампанию обнаружили эксперты ESET.

Источник изображения: Glen Carrie / unsplash.com

В ходе атаки злоумышленники используют программное средство Spellbinder, которое отправляет на ресурсы своих целей поддельные сообщения Router Advertisement (RA). Получив такое сообщение, целевое устройство воспринимает подконтрольный хакерам сервер как маршрутизатор и направляет через него весь свой трафик. Атака построена на манипулировании процессом Stateless Address Autoconfiguration (SLAAC), поэтому она получила название «подмена SLAAC» (SLAAC spoofing).

Получив контроль над трафиком, хакеры TheWizards при помощи Spellbinder перехватывают запросы устройств к доменам с обновлениями ПО и перенаправляют их. В результате жертвы получают обновления с троянами, в частности, с бэкдором WizardNet. Злоумышленники пользуются удалённым доступом к устройствам цели, осуществляют взаимодействие с ними через зашифрованные сокеты TCP или UDP и используют SessionKey на основе системных идентификаторов для шифрования AES. WizardNet загружает и выполняет в памяти модули .NET, извлекает системные данные, составляет список запущенных процессов и поддерживает присутствие.

Кампания активна как минимум с 2022 года, утверждают эксперты ESET; целями являются частные лица и организации преимущественно в Китае, Гонконге, Камбодже, ОАЭ и на Филиппинах. Есть версия, что сервер с поддельными обновлениями продолжает работать и в настоящий момент. Программа Spellbinder отслеживает обращения к доменам Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 и Baofeng. Единственный способ защититься от атаки — отслеживать трафик IPv6 или отключать протокол, если в нём нет явной потребности, заявили в ESET.

Современные хакеры с помощью искусственного интеллекта и мощных видеокарт (GPU) могут взламывать даже сложные пароли за считанные дни, а в некоторых случаях — мгновенно. Новое исследование по кибербезопасности, о котором сообщил HotHardware, показало, что традиционные комбинации символов больше не обеспечивают надёжной защиты.

Источник изображения: AI

Системы безопасности давно используют метод хеширования — преобразование пароля в случайную последовательность символов. Например, пароль «Hot2025hard@» может храниться в базе данных сайта как зашифрованная строка вида «M176рге8739sheb647398nsjfetwuha63». Однако злоумышленники научились обходить эту защиту, создавая огромные списки возможных комбинаций и сравнивая их с утёкшими в сеть хешами.

Согласно исследованию Hive Systems, такие нейросети, как ChatGPT-3, в сочетании с 10 000 видеокарт Nvidia A100 способны за короткое время подобрать 8-символьный пароль, состоящий из цифр, заглавных и строчных букв. Если же пароль ранее уже утёк в сеть, содержит словарные слова или повторяется на разных сайтах, взлом происходит ещё быстрее.

Особую угрозу представляют мощные GPU-кластеры. Так, получив доступ, например, к 20 000 чипов Nvidia A100, хакеры могут взламывать даже длинные пароли. При этом исследователи подчёркивают, что речь идёт о случайно сгенерированных комбинациях, а простые пароли вроде «123456» или «qwerty» взламываются моментально.

Вывод исследования очевиден: привычные способы защиты становятся неэффективными. Некоторые крупные компании, такие как Microsoft, уже переходят на passkey — более безопасную форму аутентификации без использования паролей. Она представляет собой защищённый цифровой ключ, хранящийся в специальном аппаратном или программном модуле непосредственно на устройстве пользователя, например, в Trusted Platform Module (TPM) или в облаке Microsoft с шифрованием. Тем не менее большинство пользователей всё ещё полагаются на устаревшую систему паролей.

Пока же эксперты советуют использовать пароли длиной не менее 12 символов, включающие цифры, спецсимволы (например, «@» или «~») и буквы разного регистра. Также важно не применять один и тот же пароль на разных сайтах и, по возможности, активировать двухфакторную аутентификацию.

По данным провайдера комплексной кибербезопасности ГК «Солар», за первый квартал нынешнего года хакеры совершили 801,2 млн атак на сайты российских компаний, что вдвое больше по сравнению с аналогичным показателем за первые три месяца прошлого года. Чаще всего атакам подвергались веб-ресурсы логистических сервисов, госструктур и кредитно-финансовых организаций.

Источник изображения: Hack Capital / Unsplash

Выборка ГК «Солар» включает в себя сайты 134 компаний из России, представляющих разные отрасли и использующих для защиты сервис Solar WAF. В числе компаний — представители госсектора, IT-сегмента, логистики, ритейла, финансового сектора, промышленности и телекома. За отчётный период хакеры чаще всего проводили атаки против логистических сервисов. Количество атак на один из веб-сайтов выросло в 5,5 тыс. раз до 18,3 млн. В большинстве случаев в атаках использовались боты, перехватывающие с фишинговых сайтов номера заказов и создающие множество запросов на сайт атакуемой компании для повышения нагрузки на серверы.

В пятёрку самых атакуемых отраслей также вошли госсектор, ритейл, грузопассажирские перевозки и нефтегазовый сектор. Отмечается, что киберпреступники стали чаще атаковать сайты для выявления их уязвимостей: количество сканирований увеличилось в 5,4 раза до 678 млн. Количество сложных кибератак выросло втрое.

Ранее СМИ со ссылкой на экспертов Curator писали, что в первом квартале количество L3-L4 (сетевой и транспортный уровни) DDoS-атак выросло на 110 %. При этом средняя продолжительность таких атак снизилась с 71,7 до 11,5 минут, тогда как интенсивность упала ещё сильнее.

Федеральное бюро расследований США (FBI) объявило о вознаграждении до $10 млн за любую информацию о китайской хакерской группировке «Соляной тайфун» (Salt Typhoon), взломавшей сети ведущих телекоммуникационных компаний США в 2024 году. Бюро также упростило приём анонимных сообщений через даркнет и мессенджер Signal, рассчитывая привлечь информаторов в условиях жёсткой интернет-цензуры в Китае.

Источник изображения: Wesley Tingey / Unsplash

Эта группировка, предположительно действующая в интересах китайского правительства, осуществила масштабную кибершпионскую операцию, атаковав сети нескольких американских телекоммуникационных компаний. Помимо денежного вознаграждения, ФБР предлагает информаторам помощь в переезде, а также иные меры обеспечения безопасности. Для приёма сведений агентство открыло сайт в даркнете и организовало специальную линию связи через Signal.

Salt Typhoon, известная также под именами RedMike, Ghost Emperor, FamousSparrow, Earth Estries и UNC2286, активно занимается кибершпионажем с 2019 года. Основная цель её операций — сбор стратегически важной информации, в том числе с целью подготовки к возможным будущим военным конфликтам. В ходе своей деятельности Salt Typhoon осуществила множество атак против телекоммуникационных компаний по всему миру, включая США.

Одной из наиболее масштабных стала кибератака 2024 года, когда хакеры проникли в сети Verizon, AT&T и Lumen/CenturyLink, получив доступ к огромным массивам интернет-трафика. Целями атаки стали сети интернет-провайдеров, обслуживающих как бизнес-клиентов, так и миллионы частных пользователей в США. По данным The Washington Post, в результате атак злоумышленники, вероятно, получили доступ к системам санкционированной судом прослушки коммуникаций, хотя прямых доказательств этого обнаружено не было. Факт возможного проникновения в указанные системы подтверждается заявлением ФБР.

Расследование показало, что хакеры похитили журналы звонков, ограниченный объём частной переписки, а также данные, находившиеся под контролем американских правоохранительных органов в рамках судебных запросов. Полученная информация могла быть использована как для проведения шпионской деятельности, так и для подготовки к осуществлению киберопераций против США и их союзников.

В декабре 2024 года представители администрации предыдущего президента США Джо Байдена (Joe Biden) сообщили журналистам, что атаки Salt Typhoon затронули телекоммуникационные компании в десятках стран, включая восемь американских операторов связи, что вдвое превышало ранее известные масштабы. Чиновники отметили, что атаки могли продолжаться в течение одного-двух лет. При этом, по их словам, полной уверенности в полном устранении злоумышленников из скомпрометированных сетей не было.

По данным аналитиков Insikt Group, подразделения Recorded Future, опубликованным в феврале 2025 года, активность Salt Typhoon продолжилась. Злоумышленники сосредоточили внимание на атаках сетевых устройств Cisco, подключённых к интернету. Они использовали две уязвимости — CVE-2023-20198 и CVE-2023-20273, что свидетельствует о серьёзных проблемах в области своевременного обновления оборудования у операторов связи.

Компания «Яндекс» сообщила о расширении программы «Охоты за ошибками» и запуске нового направления, связанного с генеративными нейросетями. Теперь исследователи, которым удастся отыскать технические уязвимости в семействах моделей YandexGPT, YandexART и сопутствующей инфраструктуре, могут получить вознаграждение до миллиона рублей.

Источник изображения: yandex.ru/bugbounty

Участникам «Охоты» предстоит искать технические ошибки, которые могут повлиять на результаты работы и процесс обучения нейросетевых моделей: например, привести модель к сбою или изменить её поведение так, чтобы она повлияла на работу других сервисов «Яндекса». В программе участвуют все сервисы и ИИ-продукты «Яндекса», использующие модели семейства YandexGPT и YandexART. В числе таковых: «Алиса», «Поиск с Нейро», «Шедеврум» и другие облачные службы, включая те, где ML-модель используется неявно для ранжирования и поиска.

Размер выплаты зависит от серьёзности ошибки и простоты её применения. К критичным относятся уязвимости, которые позволяют раскрыть сведения о внутренней конфигурации модели, её служебный промт с техническими данными или другую чувствительную информацию. Максимальное вознаграждение за такие ошибки — 1 млн рублей.

Программу поиска уязвимостей «Яндекс» запустил в 2012 году — компания была первой в России. Теперь программа «Охота за ошибками» действует в «Яндексе» постоянно, а принять в ней участие может любой желающий.

Компания Oracle сообщила своим клиентам в сфере здравоохранения о взломе, произошедшем 22 января, в результате которого хакеры получили доступ к её серверам и скопировали данные пациентов, пишет Bloomberg. Согласно данным его источника, хакеры затем пытались вымогать деньги у нескольких провайдеров медицинских услуг в США, угрожая опубликовать похищенную информацию в открытом доступе.

Источник изображения: Oracle

Oracle поставляет программное обеспечение для управления записями пациентов больницам и другим медицинским учреждениям.

Расследованием инцидента занимается ФБР. На данный момент неизвестно, сколько данных хакеры успели скопировать и у скольких провайдеров они пытались вымогать деньги. Oracle заявила, что узнала о взломе примерно 20 февраля. Компания сообщила клиентам, что хакеры получили доступ к старым серверам Cerner, где хранились данные, ещё не перенесённые в облачную службу хранения Oracle.

«Имеющиеся доказательства свидетельствуют о том, что злоумышленник незаконно получил доступ к среде, используя украденные учётные данные клиентов», — указано в уведомлении компании.

В сообщении для клиентов также говорится, что украденные данные могли включать информацию о пациентах из электронных медицинских карт. По словам источника Bloomberg, похищенные сведения касались недавних обращений пациентов к врачам.

«Oracle поддержит вашу организацию в проверке информации о пациентах, чьи данные были украдены», — сообщила компания клиентам.

Следует отметить, что ещё несколько дней назад Oracle категорически отрицала факт взлома, несмотря на то, что хакер опубликовал в даркнете доказательства того, что ему удалось завладеть данными, хранившимися на серверах Oracle Cloud.

С начала 2025 года Roblox, одна из самых популярных онлайн-игр среди несовершеннолетних, стала антилидером по числу зафиксированных преступлений на территории России. МВД сообщает примерно о сорока инцидентах, связанных с попытками получить доступ к аккаунтам, конфиденциальной информации и платёжным данным под видом розыгрышей внутриигровой валюты Robux.

Источник изображения: Wesley Tingey / Unsplash

Согласно данным МВД России, в период с января по март 2025 года было зафиксировано около сорока преступлений, в которых использовалась платформа Roblox. Как уточнили в ведомстве, в большинстве случаев действия злоумышленников были направлены на получение доступа к аккаунтам несовершеннолетних, а также к персональной информации и финансовым средствам их родителей.

Мошеннические схемы, связанные с Roblox, были впервые официально раскрыты МВД России 3 февраля. Наиболее часто фиксируются два типа обмана. В первом случае ребёнку предлагают приобрести внутриигровую валюту Robux по заниженной цене вне официального магазина, убеждая предоставить реквизиты банковской карты или платёжных средств родителей. Во втором — обещают бесплатное получение Robux или скинов в рамках фальшивого «розыгрыша», после чего просят ввести данные от учётной записи в игре. В результате злоумышленники получают полный контроль над аккаунтом, включая доступ к привязанным платёжным средствам.

Источник изображения: Wesley Tingey / Unsplash

Помимо Roblox, в антирейтинг по числу преступлений также вошли Standoff 2 и Minecraft. В Standoff 2 мошенники активно предлагают поддельные скины и аккаунты, тогда как в Minecraft злоумышленники запускают фиктивные серверы с ложными обещаниями «премиум-доступа» или предложениями «о модераторстве». Во всех перечисленных случаях злоумышленники прибегают к методам социальной инженерии с целью получения доступа к личным данным или финансовым средствам.

МВД подчёркивает, что все игры с развитой внутриигровой экономикой представляют собой лакомый кусок и благоприятную среду для действий злоумышленников. Ведомство рекомендует родителям настраивать функции родительского контроля, ограничивать доступ к банковским картам и мобильным устройствам, а также объяснять детям, что обещания бесплатного получения цифровых ценностей чаще всего являются обманом.

Власти КНДР начали формировать новое подразделение специалистов по киберборьбе — оно будет специализироваться на взломе с использованием искусственного интеллекта. Подразделение получило название «Научно-исследовательский центр 227», и входить оно будет в Разведывательное управление Генерального штаба Корейской народной армии. Об этом сообщил ресурс Daily NK.

Источник изображения: Micha Brändli / unsplash.com

«Научно-исследовательский центр 227» был создан для улучшения сбора разведывательной информации у иностранных источников, но его непосредственной задачей является не собственно сбор информации, а разработка технологий и программ наступательного назначения, то есть используемых при взломе систем. Специалистам подразделения будет поручено находить новые способы нейтрализации систем кибербезопасности других стран, и усиливать средства, направленные на кражу данных, активов и нарушение работы компьютерных сетей.

Основными задачами «Научно-исследовательского центра 227» значатся: изучение методов нейтрализации средств сетевой безопасности, разработка технологий для кражи данных на основе ИИ, взлом финансовых систем, а также создание программ для автоматизации сбора и анализа информации. Подразделение будет работать в круглосуточном режиме, благодаря чему сможет в реальном времени реагировать на информацию, которая поступает от других хакерских группировок КНДР, развёрнутых за рубежом. Его ресурсы будут сосредоточены на разработке сложных хакерских программ.

Сейчас Разведывательное управление отбирает специалистов для «Научно-исследовательского центра 227» — на начальном этапе это будут около 90 экспертов, показавших лучшие результаты в крупных университетах и прошедших послевузовскую научную подготовку.

На протяжении последних восьми лет злоумышленники эксплуатируют уязвимость в Windows, связанную с обработкой ярлыков .LNK, для скрытого распространения вредоносного ПО. Этот метод активно применяли различные хакерские группировки для атак на государственные предприятия и организации финансового сектора. Несмотря на отчёты специалистов, Microsoft отказалась выпускать экстренные патчи для своих систем.

Источник изображения: Tadas Sar / Unsplash

Исследователи из Trend Micro обнаружили в Windows уязвимость, позволяющую скрытно исполнять вредоносный код при открытии ярлыков .LNK. По их данным, этот метод использовался как минимум с 2017 года. В сентябре 2023 года специалисты Zero Day Initiative (ZDI) направили в Microsoft официальный отчёт с описанием проблемы, однако корпорация не выпустила исправление, объяснив это тем, что рассматривает уязвимость не как угрозу безопасности, а как особенность пользовательского интерфейса. В Microsoft отметили, что уязвимость не соответствует критериям экстренного исправления, однако её могут устранить в одном из будущих обновлений Windows.

По данным Trend Micro, на момент выявления уязвимости в обороте находилось более 1 000 модифицированных LNK-файлов, но исследователи полагают, что реальное количество атак могло быть значительно выше Файлы .LNK в Windows представляют собой ярлыки, указывающие на исполняемые файлы или другие ресурсы. В стандартных условиях пользователь может увидеть путь к файлу и передаваемые командной строке аргументы, однако злоумышленники нашли способ замаскировать вредоносные команды, используя чрезмерное количество пробелов.

Подобные LNK-файлы попадают на устройства жертв через подозрительные загрузки или вложения в электронных письмах. Как только пользователь открывает такой ярлык, Windows незаметно исполняет скрытые команды, что приводит к автоматической загрузке и попытке запуска вредоносного кода. Ключевая особенность атаки заключается в маскировке команд: злоумышленники заполняют командную строку мегабайтами пробелов, из-за чего вредоносные инструкции оказываются за пределами видимой части интерфейса и остаются незаметными для пользователя.

По данным Trend Micro, около 70 % атак с использованием этой уязвимости осуществлялись хакерскими группировками, специализирующимися на кибершпионаже и краже данных. Ещё 20 % атак были связаны с финансовыми преступлениями. В распределении кибератак ведущую роль играет Северная Корея, на которую приходится 46 % атак, тогда как на Россию, Китай и Иран приходится по 18 % активности.

Основными целями атакующих стали государственные учреждения, за ними следуют частный сектор, финансовые организации, аналитические центры, телекоммуникационные компании, военные и энергетические структуры. Это подтверждает, что уязвимость .LNK активно используется в кибервойне и шпионской деятельности, а также в схемах, направленных на финансовую выгоду.

По мнению экспертов, одной из возможных причин отказа Microsoft от выпуска исправления является сложность его технической реализации. Устранение уязвимости требует существенного изменения механизма обработки .LNK, что выходит за рамки стандартного обновления безопасности. Такая ситуация оставляет миллионы пользователей Windows под угрозой атак, в которых ярлыки .LNK могут использоваться для скрытого распространения вредоносов. Microsoft, в свою очередь, советует пользователям проявлять осторожность при скачивании файлов из неизвестных источников и обращать внимание на системные предупреждения о потенциально опасных объектах.