Опрос
|
реклама
Быстрый переход
Google признала, что хакеры украли данные её клиентов через взлом базы данных Salesforce
06.08.2025 [16:58],
Николай Хижняк
Google сообщила о взломе одной из её баз данных. По имеющейся информации, злоумышленники получили доступ к данным некоторых клиентов компании. ![]() Источник изображения: Glen Carrie / unsplash.com В сообщении в блоге компании специалисты Google Threat Intelligence Group сообщили, что одна из систем баз данных Salesforce, используемая для хранения контактной информации и сопутствующих заметок для малого и среднего бизнеса, была взломана хакерской группой ShinyHunters, официально обозначенной как UNC6040. «Данные, полученные злоумышленниками, ограничивались базовой и в основном общедоступной деловой информацией, такой как названия организаций и контактная информация», — заявила компания. Google не сообщила, сколько клиентов пострадали от взлома. Представитель компании на запрос TechCrunch не ответил. На данный момент неизвестно, получала ли компания какие-либо сообщения, например, с требованием выкупа. Сообщается, что ShynyHunters известна своими атаками на крупные предприятия и их облачные базы данных. Недавний взлом стал одним из последним в серии атак, нацеленных на облачные системы Salesforce. По данным Bleeping Computer, ранее хакеры похитили данные клиентов у компании Cisco, австралийской авиакомпании Qantas, розничного гиганта Pandora и других. Согласно сообщению в блоге Google, группировка ShinyHunters использует методы голосового фишинга, чтобы обманом заставить сотрудников компании предоставить им доступ к облачным базам данных Salesforce. Google заявила, что группировка ShinyHunters, вероятно, собирается опубликовать украденные данные на одном из сайтов, где публикуется подобная скомпрометированная информация. Обычно это делается с целью получения выкупа от своих корпоративных жертв. Утверждается, что группировка пересекается с другими группами, включая The Com — известное сообщество киберпреступников, которые используют различные тактики взлома сетей. Хакеры атаковали посольства в Москве, замаскировав вирусы под софт «Лаборатории Касперского»
01.08.2025 [13:50],
Владимир Фетисов
Хакерская группировка Turla, также известная как Secret Blizzard и предположительно связанная с Россией, провела масштабную кампанию по кибершпионажу за иностранными посольствами в Москве, говорится в отчёте Microsoft Threat Intelligence. Они маскировали вредоносное программное обеспечение под продукты «Лаборатории Касперского» для защиты от вирусов. ![]() Источник изображения: Kevin Ku / Unsplash В сообщении сказано, что Microsoft удалось обнаружить вредоносную кампанию в феврале 2024 года. Она представляла высокую опасность для зарубежных посольств и дипломатических представительств, в также некоторых организаций, «особенно для тех, которые пользуются услугами местных интернет-провайдеров». По данным софтверного гиганта, на устройства, подключённые к российским провайдерам, загружалось вредоносное ПО ApolloShadow, замаскированное под антивирусный продукт «Лаборатории Касперского». Данное ПО отключало на устройствах шифрование, что позволяло хакерам получать доступ ко всей интернет-активности жертв, включая историю просмотренных веб-страниц и конфиденциальные учётные данные. «Этот путь даёт им огромный объём открытого текстового трафика, который, вероятно, может быть использован в шпионских целях», — заявил Шеррод ДеГриппо, директор Microsoft по стратегии анализ угроз. Представитель «Лаборатории Касперского», комментируя данный вопрос для западных СМИ, сообщил, что «надёжные бренды часто используются в качестве приманки баз их ведома или согласия». «Мы всегда рекомендуем загружать приложения только из официальных источников и проверять подлинность любых сообщений, якобы исходящих от надёжных источников», — добавил представитель «Лаборатории Касперского». В сообщении отмечается, что целью хакеров вряд ли могли быть американские дипломаты, поскольку государственным учреждениям США запрещено использовать продукты «Лаборатории Касперского». Что касается группировки Turla, известной также под именами Secret Blizzard, Snake и Venomous Bear, то она существует более 25 лет. В 2023 году Министерство юстиции США заявило о ликвидации разветвлённой компьютерной сети, которую члены Turla использовали для проведения атак по всему миру. Российские власти неоднократно отвергали обвинения в причастности страны к хакерским атакам на ведомства США и других стран. Российские бизнесмены стали чаще нанимать хакеров, чтобы напакостить конкурентам
31.07.2025 [12:09],
Павел Котов
По итогам II квартала 2025 года отмечен 26-процентный рост в годовом исчислении количества заказных взломов IT-систем в российских компаниях, сообщили «Известия» со ссылкой на данные экспертов. Тревожная тенденция объясняется обострением конкуренции на рынке. ![]() Источник изображения: charlesdeluvio / unsplash.com Чаще всего жертвами заказных кибератак в минувшем квартале становились промышленные предприятия — на них пришлись 34 % инцидентов. Часто также отмечались взломы ресурсов финансовых организаций (28 %), IT-компаний (16 %), образовательных (12 %) и научных учреждений (8 %). Основной мотив для заказчика — получить преимущество перед конкурентом, завладев технологической информацией, базами клиентов или нарушить работу соперника и переманить его клиентов. Хакеры помогают в решении этих проблем быстро и относительно недорого по сравнению с честными методами соперничества, такими как собственные разработки товаров и услуг и маркетинговые операции, отмечают эксперты. У сотрудничества с киберпреступниками много положительных сторон. Из-за анонимности установить заказчика и доказать его причастность оказывается крайне непросто. Хакеры же действуют максимально эффективно, адаптируя методы атак под целевое предприятие: в одном случае осуществляется прямой взлом через уязвимость нулевого дня, в другом — фишинговая кампания или даже внедрение агента в штат ставшей целью организации. В отношении жертв могут производиться саботаж производственных систем, подмена или уничтожение данных, слив корпоративной переписки для удара по репутации или масштабные DDoS-атаки, парализующие ресурсы в критический момент. Заказчиков может интересовать многое — чаще всего это клиентские базы и планы конкурентов. В некоторых случаях составляются конкретные поручения: добыть сведения об определённом контракте, включая условия, цены и скидки; узнать о новых продуктах и взаимодействиях с регулирующими ведомствами; выяснить, о чём договариваются с клиентами и к каким аргументам прибегают конкуренты. Располагая этой информацией, действительно можно выбиться в лидеры рынка, но чтобы добыть её, необходим либо свой агент в штате конкурента, а это дорого и ненадёжно, либо услуги хакеров. ![]() Источник изображения: Kevin Ku / unsplash.com Финансовый ущерб от кибератак может вылиться в простои деятельности, штрафы за утечки персональных данных и потерю сделок; раскрытие сведений, составляющих коммерческую тайну, означает потерю технологического преимущества — недобросовестный конкурент может раньше настоящего разработчика выпустить на рынок более дешёвую копию продукта. Располагая сведениями о деятельности конкурента, можно пролоббировать изменения в законодательстве, не позволив новому продукту легализоваться на рынке — так можно создать сопернику ощутимые проблемы или вообще разорить его. Эти деяния, однако, включены в состав преступлений, описанных в Уголовном кодексе. Они могут квалифицироваться как неправомерный доступ к компьютерной информации (ст. 272 УК РФ — до пяти лет лишения свободы), создание или использование вредоносного ПО (ст. 273 — до четырёх лет) или незаконное получение или разглашение коммерческой тайны (ст. 183 — до семи лет). Помимо этого, Федеральная антимонопольная служба (ФАС) может наложить за недобросовестную конкуренцию штраф в размере до 15 % годового оборота; пострадавшая компания может в гражданском порядке взыскать с организатора атаки прямой ущерб и упущенную выгоду. Таким образом, наём хакеров для борьбы с конкурентами сопряжён со значительными рисками, выражающимися в вероятности уголовного преследования и многомиллионных взысканий. Но на одно только правосудие рассчитывать тоже не следует, предупреждают эксперты: на практике число приговоров по ст. 272 исчисляется единицами за десятилетия, поскольку такое дело требует раскрытия всей цепочки участников кибератаки. В итоге проще исключить саму возможность взлома: выделять бюджет на средства безопасности и не экономить на них. Следует применять комплексный подход с учётом особенностей технологической инфраструктуры, внешних ресурсов и точек удалённого доступа. Наконец, целевая кибератака менее вероятна, чем взлом в результате «неправильных настроек сетевого оборудования или открытых в интернете баз данных», подчёркивают эксперты. Атаки хакеров на промышленность стали более узконаправленными
30.07.2025 [08:37],
Владимир Фетисов
За первые шесть месяцев 2025 года количество кибератак на промышленные предприятия превысило 7,5 тыс., что втрое меньше по сравнению с аналогичным показателем 2024 года. Снижение в основном касается массовых и низкоквалифицированных атак, которые легко обнаруживаются и блокируются автоматическими средствами, тогда как количество сложных таргетированных атак (Advance Persistent Threat) растёт. Об этом пишет «Коммерсантъ» со ссылкой на данные RED Security SOC. ![]() Источник изображения: Mika Baumeister / Unsplash За отчётный период специалисты RED Security выявили две профессиональные группировки хакеров, которые осуществляли целенаправленные атаки на представителей промышленного сектора. Для этого злоумышленники задействовали кастомизированные инструменты против конкретных сотрудников или IT-систем предприятий. В зависимости от поставленной цели стоимость таких APT-атак может существенно варьироваться, однако в среднем организаций подобной кампании стоит не менее 1 млн рублей. Специалисты компания «Информзащита» и Positive Technologies оценивают рост АРТ-атак на промышленный сектор в первом полугодии 2025 года в 20 и 22 % по сравнению с прошлым годом соответственно. По данным RED Security, чаще всего злоумышленники атакуют сферы пищевой промышленности (29 %), нефтегазовый сектор (23 %) и машиностроение (17 %). Пищевая промышленность привлекает злоумышленников из-за высокой чувствительности к простоям, нефтегазовый сектор — из-за стратегической важности, а машиностроение — из-за ценной интеллектуальной собственности. Аналитик исследовательской группы Positive Technologies Валерия Беседина считает, что в текущем году ATP-группировки продолжат делать упор на проведении скрытных вредоносных кампаний, поскольку для них выгодно как можно дольше оставаться незамеченными в инфраструктуре жертв. Главный инженер ИБ-направления компании «Уралэнерготел» Сергей Ратников добавил, что ART-группировки обычно не атакуют напрямую хорошо защищённые цели. Вместо этого они пытаются провести атаку через слабое звено, например, компанию-подрядчика, IT-интегратора, поставщика программного или аппаратного обеспечения, уровень защиты которого ниже. Из-за этого вектор атак всё чаще смещается в сторону цепочек поставок. «Аэрофлот» возобновил полёты после взлома, но масштабы и ущерб от инцидента по-прежнему неизвестны
29.07.2025 [23:55],
Владимир Мироненко
28 июля авиакомпания «Аэрофлот» столкнулась с масштабным сбоем, вызванным хакерской атакой, в результате чего была вынуждена задержать и отменить более 140 рейсов. Хотя эксперты опасались, что на устранение последствий массовой атаки могут понадобиться месяцы, «Аэрофлот» уже на следующий день почти в полной мере возобновила полёты. Вместе с тем, реальные масштабы взлома пока неизвестны. ![]() Источник изображения: Erik Odiin/unsplash.com Утром 29 июля «Аэрофлот» сообщил в своём Telegram-канале о намерении выполнить 93 % всех запланированных рейсов из Москвы и обратно (216 парных рейсов из 233). В «Спарк-Интерфаксе» нет информации о подрядчиках «Аэрофлота» по кибербезопасности, отметил ресурс «Ведомости». Вместе с тем известно, что в июне 2023 года, во время проведения ПМЭФ, «Аэрофлот» и «Ростелеком» с участием экспертов ГК «Солар» договорились о сотрудничестве в области информационной безопасности (ИБ). Также у «Аэрофлота» есть соглашения с ИБ-компанией «Бастион» (входит в «Икс холдинг») и BI.Zone (входит в экосистему «Сбера») о сотрудничестве в сфере кибербезопасности. Как сообщил «Ведомостям» представитель ГК «Солар», в настоящее время выясняются причины произошедшего, и говорить о каких-либо выводах относительно кибератаки, её длительности и масштабе ущерба пока рано. Защита такой масштабной инфраструктуры, как у «Аэрофлота», является комплексной задачей, которую решают сразу несколько поставщиков ИБ, отметил он. Представители Positive Technologies, «Лаборатории Касперского» и BI.Zone отказались от комментариев. По мнению сооснователя компании 3side Антона Бочкарева, то, что «Аэрофлот» смог частично возобновить отправку рейсов за один день, может свидетельствовать о наличии резервных копий (бэкапов), с помощью которых удалось восстановить работу системы. Сейчас идет процесс восстановления, который осуществляется достаточно быстро, учитывая необходимость проверки возможно оставшихся следов хакеров, отметил эксперт. Однако дать оценку уровня восстановления всей IT-инфраструктуры авиакомпании могут только в «Аэрофлоте», подчеркнул он. По его словам, механизм взлома известен только компаниям, участвующим в расследовании атаки, но у них имеется соглашение о неразглашении информации. Эксперт также допустил, что атака могла быть проведена с использованием шифрования ключевых данных компании и бизнес-систем, поскольку других способов остановить работу компании на длительный срок в настоящее время нет. Эксперты: на устранение последствий взлома «Аэрофлота» уйдёт до нескольких месяцев
28.07.2025 [16:10],
Владимир Мироненко
На устранение последствий сбоя в работе IT-систем «Аэрофлота», произошедшего утром 28 июля, может уйти до нескольких месяцев, утверждают эксперты. Официального разъяснения администрации «Аэрофлота» о причинах сбоя пока не поступало, но уже есть подтверждение Генеральной прокуратуры РФ о том, что он произошёл из-за хакерской атаки. ![]() Источник изображения: Ivan Shimko/unsplash.com По словам экспертов, сроки восстановления систем «Аэрофлота» напрямую связаны с масштабами взлома, о которых пока ничего не известно, помимо заявлений самих хакеров. Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI, сообщил ресурсу Hi-Tech Mail, что текущая ситуация с массовой отменой рейсов «показывает значительные проблемы в IT-инфраструктуре авиаперевозчика». По данным «РИА Новости», только в аэропорту Шереметьево задержали свыше 80 и отменили порядка 60 рейсов. По мнению Оганесяна, если сохранились резервные копии, восстановление IT-систем займёт от одного-двух дней до недели. Если нет — на восстановление могут уйти месяцы. Кроме того, если хакеры, как утверждается, действительно находились в инфраструктуре «Аэрофлота» более года, можно с высокой вероятностью предполагать, что и бэкапы заражены бэкдорами, которые могут быть использованы при повторных атаках. Как полагает директор центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Александр Матвеев, с учётом важности «Аэрофлота», восстановление его работы можно ожидать в ближайшие сутки. Однако на полное возобновление работы, проверку всех систем и их перенастройку уйдёт гораздо больше времени — при интенсивном темпе работ на это потребуется 2-3 недели. Матвеев отметил, что при серьёзной кибератаке рейсы будут отменять, поскольку речь идёт о безопасности полётов. Как сообщается, у «Аэрофлота» есть соглашение о сотрудничестве в сфере кибербезопасности с компанией по управлению цифровыми рисками BI.Zone. В пресс-службе BI.Zone отказались дать комментарий ресурсу Hi-Tech Mail по сложившейся ситуации в связи с тем, что не раскрывают информацию о взаимоотношениях с любыми организациями и клиентами, хотя было бы интересно узнать, как хакеры могли находиться в компьютерных системах «Аэрофлота» более года, оставаясь незамеченными. Атака на серверы Microsoft SharePoint может стать крупнейшей кибератакой 2025 года — число пострадавших превысило четыре сотни
24.07.2025 [09:34],
Анжелла Марина
Хакеры, предположительно связанные с Китаем, получили доступ к системам около 400 правительственных учреждений, корпораций и других организаций по всему миру, воспользовавшись уязвимостью в Microsoft SharePoint. Об этом сообщила голландская компания по кибербезопасности Eye Security, которая первой выявила атаки на прошлой неделе. Изначально сообщалось о взломе примерно 60 организаций, но за несколько дней число пострадавших увеличилось более чем в шесть раз. ![]() Источник изображения: AI По сообщению Bloomberg, большинство атак пришлось на США, также пострадали Маврикий, Иордания, Южно-Африканская Республика и Нидерланды. Среди жертв оказались и Национальное управление ядерной безопасности США, и национальные институты здоровья. Представитель Министерства здравоохранения США Эндрю Никсон (Andrew Nixon) отметил, что на данный момент нет подтверждения утечки данных, однако ведомство совместно с Microsoft и агентством кибербезопасности США проводит работы по устранению уязвимости. Национальная казначейская служба ЮАР также сообщила о наличии вредоносного ПО в своих сетях, хотя уточнила, что системы и сайты продолжают работать в обычном режиме. Эксперты отмечают, что реальное число жертв может быть выше, поскольку злоумышленники могли применять методы, не оставляющие следов. По словам сооснователя Eye Security Вайши Бернард (Vaisha Bernard), атаки продолжаются, и другие хакерские группы также начали использовать уязвимость. Среди пострадавших — организации из сфер государственного управления, образования и IT-услуг. Атаки зафиксированы в Европе, Азии, на Ближнем Востоке и в Латинской Америке. Аналитик компании Recorded Future Свева Сценарелли (Sveva Scenarelli) подчеркнула, что кибергруппировки, связанные с государствами, действуют поэтапно: сначала проводят точечные атаки, а затем начинают массово эксплуатировать уязвимости. После проникновения в сеть они могут выбирать наиболее ценные цели для дальнейшего доступа и сбора данных. Министерство иностранных дел Китая отвергло обвинения, заявив, что страна выступает против кибератак и призывает к совместному решению проблем в этой сфере. Пресс-секретарь министерства Го Цзякунь (Guo Jiakun) подчеркнул, что Китай против использования темы кибербезопасности для «клеветы и провокаций». Между тем исследователи отмечают, что хакеры могли получить доступ к конфиденциальным данным, включая информацию, связанную с ядерными технологиями. Однако Эдвин Лайман (Edwin Lyman), эксперт по ядерной безопасности, указал, что наиболее секретные сведения в США хранятся в изолированных сетях, что снижает риск их утечки. Тем не менее нельзя исключать, что менее защищённые данные, например сведения о ядерных материалах, могли оказаться под угрозой. Эти атаки стали одними из последних инцидентов, которые Microsoft частично связывает с Китаем, на фоне обострения отношений между Вашингтоном и Пекином по вопросам безопасности и торговли. Компания уже выпустила обновления для устранения уязвимости, однако, по мнению специалистов, многие серверы могли быть скомпрометированы ещё до выхода патчей. Китайские хакеры взломали Управление ядерной безопасности США через уязвимость в SharePoint
23.07.2025 [13:00],
Антон Чивчалов
Громкая история с уязвимостью в Microsoft SharePoint продолжает обрастать подробностями. Ранее сообщалось, что китайские хакеры взломали свыше 100 серверов по всему миру. Теперь выяснилось, что среди жертв атаки — Национальное управление ядерной безопасности США, Министерство образования США, налоговые и другие государственные ведомства, а также университеты и компании, передаёт Bloomberg. ![]() Источник изображения: Flipsnack / unsplash.com Корпорация Microsoft уже подтвердила в своём блоге, что две китайские хакерские группировки, связанные с правительством КНР, — Linen Typhoon и Violet Typhoon, — эксплуатируют уязвимости популярного офисного пакета. Также в атаках замечена группировка Storm-2603, которую также связывают с китайскими властями. «Это угроза высокой серьёзности и срочности», — сказал технический директор Microsoft Майкл Сикорски (Michael Sikorski). По его словам, особенную опасность таит в себе глубокая интеграция SharePoint с другими продуктами Microsoft, например, Outlook и Teams. Даже установка всех последних обновлений на данный момент не помогает, поскольку у злоумышленников остаётся доступ в скомпрометированные системы через различные модифицированные компоненты и бэкдоры. В Microsoft сейчас говорят лишь, что расследуют инциденты. Упомянутые атаки ведутся примерно с 7 июля. Помимо целей в США, пострадали госучреждения в Испании, Бразилии, Канаде, Швейцарии, Индонезии и ряде других стран. Хотя только за последние несколько дней Microsoft опубликовала несколько патчей для своего ПО, эксперты по кибербезопасности продолжают фиксировать атаки. Количество взломанных серверов превысило 100, отдельных организаций — 60. Среди них даже Национальное управление ядерной безопасности США, которое отвечает за производство и утилизацию ядерного оружия. Официальный Пекин уже опроверг свою причастность к атакам, заявив, что Китай решительно выступает против любых форм кибератак. SharePoint — это пакет приложений для организации совместной работы в организации. В него входят инструменты для создания сайтов и форм, поиска информации в базах данных, управления рабочими процессами, бизнес-аналитики и т. д. Microsoft узнала о критической уязвимости SharePoint ещё два месяца назад, но не смогла её исправить
22.07.2025 [19:33],
Анжелла Марина
Компании по всему миру начали срочно обновлять свои системы после того, как службы безопасности Google и Microsoft сообщили о масштабной кибератаке, использующей критическую уязвимость в программном обеспечении Microsoft SharePoint. Уязвимость CVE-2025-53770 была обнаружена на прошлой неделе и сразу же получила классификацию «нулевого дня». Это означает, что хакеры начали её эксплуатировать до того, как Microsoft успела выпустить патч. ![]() Источник изображения: Luther.M.E. Bottrill/Unsplash По сообщению TechCrunch, проблема затронула программное обеспечение сервера SharePoint, который широко используются организациями по всему миру для хранения и обмена внутренними документами. Уязвимость позволяет злоумышленникам похищать закрытые ключи, а затем устанавливать вредоносное ПО, с помощью которого происходит проникновение к корпоративным файлам и другим системам в пределах одной сети. Впервые «дыра» в SharePoint была обнаружена в мае на конкурсе хакеров в Берлине, организованный компанией по кибербезопасности Trend Micro с целью обнаружения ошибок в популярном программном обеспечении. После чего, в прошлом месяце, Microsoft выпустила исправляющий патч. Однако, как утверждает Reuters, патч оказался неэффективен и не устранил проблему. По крайне мере, представители компании во вторник не смогли предоставить агентству комментарий относительно исправления ошибки и эффективности патча. Microsoft в своём блоге сообщила, что за атаками стоят как минимум три хакерские группы, связанные с Китаем. Две из них — Linen Typhoon и Violet Typhoon — ранее уже фигурировали в расследованиях компании. Первая специализируется на краже интеллектуальной собственности, вторая — на сборе конфиденциальной информации для целей шпионажа. Третья группа, которую Microsoft обозначила как Storm-2603, менее изучена, но, по данным компании, ранее была замешана в атаках с использованием вымогательского ПО. Активность этих групп в связи с эксплуатацией уязвимости в SharePoint зафиксирована как минимум с 7 июля, то есть за несколько недель до публичного раскрытия уязвимости. Чарльз Кармакал (Charles Carmakal), технический директор подразделения реагирования на инциденты Mandiant, входящего в Google, в письме изданию TechCrunch также подтвердил, что по меньшей мере один из участников атак связан с хакерскими группами, действующими в интересах Китая. По его словам, угроза продолжает нарастать, а число скомпрометированных систем может быть значительным. Десятки организаций, в том числе в государственном секторе, уже подтвердили факт взлома. Представитель посольства Китая в Вашингтоне пока не ответил на запрос о комментарии. При этом ранее китайское правительство неоднократно отвергало обвинения в проведении кибератак, хотя и не всегда прямо опровергало свою причастность к отдельным инцидентам. В большинстве AMD Ryzen и EPYC обнаружена уязвимость TSA, позволяющая красть пароли и другие секретные данные
10.07.2025 [11:52],
Дмитрий Федоров
AMD предупредила о новом классе атак по побочному каналу — Transient Scheduler Attack (TSA), основанном на особенностях микроархитектуры её процессоров. Подобно атакам Meltdown и Spectre, TSA использует аппаратные уязвимости, позволяющие обойти системные механизмы защиты. Уязвимости были выявлены специалистами AMD после изучения отчёта Microsoft. ![]() Источник изображения: Rubaitul Azad / Unsplash Новый класс уязвимостей состоит из четырёх компонентов: две проблемы получили средний уровень критичности, две другие — низкий. Несмотря на такую формальную классификацию, эксперты из Trend Micro и CrowdStrike оценивают угрозу как критическую. Причина не в легкости эксплуатации, а в глубинной природе самих атак, которые затрагивают фундаментальные механизмы выполнения команд внутри процессора и при определённых условиях позволяют злоумышленнику получать доступ к защищённым данным, включая данные ядра операционной системы (ОС) и изолированных виртуальных машин. Атака TSA применима ко многим моделям процессоров AMD, включая мобильные, настольные и серверные решения. Особенно подвержены чипы EPYC третьего и четвёртого поколений, используемые в облачных средах и дата-центрах. Для реализации атаки требуется локальный доступ к машине — через вредоносное ПО, пользовательскую сессию или скомпрометированную виртуальную машину. При этом достаточно минимальных пользовательских прав. Уязвимость нельзя эксплуатировать через вредоносные сайты — в отличие от ранее известных атак типа Spectre. Чтобы извлечь данные, злоумышленнику необходимо многократное воспроизведение атаки на целевом оборудовании. Это обусловлено её природой: атака использует механизм ложного завершения инструкций загрузки, когда процессор предполагает, что данные успешно загружены, хотя на самом деле они ещё недоступны. Такие ошибки становятся основой таймингового побочного канала: инструкции, зависящие от загрузки, выполняются с иной задержкой, и это позволяет определить, какие данные были затронуты. ![]() Источник изображения: Wesley Tingey / Unsplash В TSA выделены два типа атак: TSA-L1 и TSA-SQ. Первая использует ложные попадания в кеш первого уровня (L1), возникающие из-за ошибок в работе микротегов. Процессор ошибочно считает, что нужные данные находятся в кеше, и производит загрузку ложного значения, на основании которого можно восстановить содержимое памяти. Вторая атака — TSA-SQ — связана с тем, что инструкция загрузки преждевременно обращается к очереди хранения и извлекает данные, которые могли быть записаны ранее в другом потоке или контексте. Это позволяет обойти изоляцию между виртуальными машинами или процессами. По наихудшему сценарию, TSA позволяет получить доступ к данным ядра ОС, что открывает возможности для повышения привилегий, отключения защитных механизмов, внедрения бэкдоров и обеспечения долговременного присутствия в системе. Даже уязвимости с низкой формальной оценкой, которые позволяют определить поведение внутренних буферов или очередей, могут повысить точность более сложных атак. Поэтому специалисты по информационной безопасности (ИБ) рекомендуют отнестись к проблеме максимально серьёзно. AMD опубликовала подробный технический отчёт с описанием TSA и перечнем затронутых процессоров. В него входят серверные EPYC, пользовательские Ryzen, ускорители вычислений Instinct и чипы Athlon. Компания рекомендует системным администраторам как можно скорее установить последние версии Windows, содержащие обновления микрокода и патчи ядра. Альтернативно можно задействовать инструкцию VERW, которая очищает критические буферы процессора, но такая мера может снизить производительность. Выбор подхода требует отдельной оценки соотношения рисков и ресурсов в каждом конкретном случае. ![]() Источник изображения: Tadas Sar / Unsplash Согласно заявлению Microsoft, по состоянию на 10 июля в открытом доступе отсутствует какой-либо эксплойт, способный использовать TSA. Более того, успешное проведение атаки требует значительных технических ресурсов и глубокого понимания архитектуры процессоров AMD. Это делает её доступной лишь для самых подготовленных злоумышленников — например, прогосударственных APT-групп (Advanced Persistent Threat). Тем не менее, само наличие таких уязвимостей требует оперативного реагирования и обновления ПО и аппаратного стеков защиты. ИИ-рекрутер McDonald’s хранил личные данные 64 млн соискателей под паролем «123456»
09.07.2025 [23:50],
Анжелла Марина
Безопасность данных пользователей платформы McHire, которую McDonald’s использует для приёма сотрудников на работу, была серьёзно скомпрометирована. ИИ-бот Olivia хранил данные соискателей под паролем «123456», что позволяло хакерам легко получить доступ к личной информации соискателей: именам, номерам телефонов и адресам электронной почты. По оценкам экспертов, утечке могли подвергнуться до 64 миллионов записей. ![]() Источник изображения: Waid1995/Pixabay Об уязвимости стало известно после того, как независимые исследователи Иэн Кэрролл (Ian Carroll) и Сэм Карри (Sam Curry), специализирующиеся на тестировании безопасности, обнаружили дыры в системе. С помощью простых методов, включая подбор логина и пароля «123456», они получили прямой доступ к базам данных платформы. По сообщению издания Wired, исследование проводилось без злонамеренных целей: специалисты просто хотели проверить уровень защиты сервиса. Кэрролл рассказал, что заинтересовался системой найма McDonald’s именно из-за её необычного подхода. По его словам, использование ИИ-бота вместо живых рекрутеров выглядело настолько странно, что он решил проверить, насколько защищены данные кандидатов. В итоге уже через полчаса тестирования он получил доступ ко всем заявкам, поданным в McDonald’s за последние годы. Представители Paradox.ai, компании, разработавшей платформу чат-бота, подтвердили наличие уязвимости, но заявили, что лишь небольшая часть данных содержала персональную информацию. Компания также утверждает, что аккаунт с паролем «123456» не был взломан посторонними лицами, а доступ к нему получили исключительно сами исследователи. При этом главный юрист Paradox.ai Стефани Кинг (Stephanie King) заявила, что компания осознаёт серьёзность проблемы и уже работает над программой поиска уязвимостей, чтобы избежать подобных инцидентов в будущем. McDonald’s, в свою очередь, возложил ответственность на Paradox.ai, назвав ситуацию неприемлемой. В заявлении компании говорится, что уязвимость была устранена в тот же день, когда о ней стало известно, и что сеть ресторанов требует от подрядчиков строгого соблюдения стандартов защиты данных. VK заплатит до 5 млн рублей тем, кто найдёт в мессенджере Max уязвимости и ошибки
01.07.2025 [19:02],
Сергей Сурабекянц
В соответствии с законом «О создании многофункционального сервиса обмена информацией» правительство планирует запуск национального мессенджера на базе платформы Max от российской компании VK. Министр цифрового развития России Максут Шадаев пообещал представить национальный мессенджер уже этим летом. Разработчики сервиса присоединились к программе для «белых хакеров» Bug Bounty и обещают премии до 5 млн рублей за найденные в приложении уязвимости. ![]() Источник изображения: max.ru Размер премий зависит от степени критичности выявленной проблемы. На первом месте — защищённость персональных данных пользователей. Уязвимости и ошибки можно искать в мобильном приложении, а также в версии для настольных компьютеров и в веб-интерфейсе. Программа VK Bug Bounty доступна на платформах Standoff Bug Bounty, BI.ZONE Bug Bounty и BugBounty.ru. Бета-версия Max была запущена в конце марта 2025 года, а в конце июня платформа достигла отметки в 1 млн ежедневных пользователей. Сервис должен обеспечить создание доверенной и безопасной среды для общения россиян, его можно будет использовать для удостоверения личности вместо бумажных документов. Ожидается, что в дополнение к функциям обмена данными сервис обеспечит доступ к государственным и муниципальным услугам. Также на платформе разместятся образовательные сервисы. В дальнейшем, после подключения сервиса к системе «Госключ», появится возможность использовать усиленную цифровую подпись. 24 июня Владимир Путин подписал Федеральный закон № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации». Документ опубликован на официальном интернет-портале правовой информации. Хакеры могут захватить тысячи серверов — в популярном контроллере для удалённого управления найдена критическая уязвимость
27.06.2025 [15:05],
Сергей Сурабекянц
Обнаружена уязвимость, которая может дать злоумышленникам полный контроль над тысячами серверов, многие из которых выполняют критически важные задачи. Уязвимость CVE-2024-54085 обнаружена в популярном контроллере AMI MegaRAC, который позволяет удалённо получать доступ к большим паркам серверных машин. Уязвимости присвоен рейтинг опасности 10 из возможных 10. ![]() Источник изображения: unsplash.com AMI MegaRAC — это микроконтроллер на основе архитектуры BMC (baseboard management controller — «контроллер управления основной платой»). Администраторы используют BMC для удалённой переустановки операционных систем, установки или настройки приложений и внесения изменений в конфигурацию. Успешный взлом одного BMC может быть использован для перехода во внутренние сети и взлома всех остальных BMC. Уязвимость CVE-2024-54085 позволяет злоумышленнику обходить аутентификацию, выполняя простой веб-запрос к уязвимому устройству BMC по HTTP. Уязвимость была обнаружена в марте компанией компьютерной безопасности Eclypsium. Раскрытие информации об уязвимости включало код эксплойта, позволяющий хакеру удалённо создать учётную запись администратора без прохождения аутентификации. На момент раскрытия сообщений об активной эксплуатации уязвимости не поступало. Исследователи Eclypsium предоставили список основных угроз:
По данным Eclypsium, линейка уязвимых устройств AMI MegaRAC использует интерфейс, известный как Redfish. Среди производителей серверов, оказавшихся под угрозой — AMD, Ampere Computing, ASRock, ARM, Fujitsu, Gigabyte, Huawei, Nvidia, Supermicro и Qualcomm. Некоторые из этих поставщиков уже выпустили исправления для своих устройств. Учитывая возможный ущерб от эксплуатации злоумышленниками уязвимости CVE-2024-54085, администраторам следует проверить все BMC в своих парках, а в случае сомнений — проконсультироваться с производителем оборудования. Ущерб российскому бизнесу от DDoS-атак утроился в 2025 году, и это не предел
27.06.2025 [13:17],
Геннадий Детинич
На полях ПМЭФ-2025 зампред правления «Сбера» Станислав Кузнецов сообщил, что в 2025 году ущерб российским компаниям от DDoS-атак увеличился в три или даже более раз. Это произошло на фоне снижения за год общего количества атак. Но они стали значительно сложнее, что в итоге вылилось в большие потери. Российские компании плохо готовятся противостоять зловредному воздействию, что требует системного подхода. ![]() Источник изображения: ИИ-генерация Grok 3 «Атак стало меньше, но успешных DDoS-атак на российские компании и организации стало в три раза больше. Это означает, что потери этих компаний в бизнесе либо в своей деятельности резко увеличились. По нашей оценке, не менее чем в три раза», — сказал Кузнецов в интервью изданию «РИА Новости». «И всё это связано с недостаточным уровнем киберзащиты», — заключил топ-менеджер. Он напомнил, что в этом году были десятки случаев, когда злоумышленники атаковали федеральные органы исполнительной власти и ряд крупнейших компаний. О росте атак на российские организации сообщают также другие эксперты в области киберзащиты. Это явление начало набирать обороты уже с самого начала года. Отдельную тревогу вызывает неудержимый рост центров обработки данных, которые открывают доступ к искусственному интеллекту. Эти ресурсы наверняка можно использовать для гиператаки на тот или иной сервис или государственную структуру. Пока Cloudflare с коллегами по цеху справляются с гиператаками, но в будущем всё может измениться. Учитывают ли это специалисты или нет, покажет только время. А пока в России предложен проект по тюремному заключению для совершивших DDoS-атаку. Тоже вариант. Российских хакеров из группировки REvil осудили на 5 лет тюрьмы и сразу же освободили
25.06.2025 [10:32],
Сергей Сурабекянц
Дзержинский районный суд Санкт-Петербурга вынес приговор четырём участникам хакерской группировки REvil. Все они признаны виновными в неправомерном обороте платежей и распространении вредоносного софта. Осужденные были освобождены в зале суда в связи с отбытием срока наказания. Одна из самых известных в мире хакерских группировок REvil была ликвидирована ФСБ в январе 2022 года. ![]() Источник изображений: unsplash.com Приговор суда был вынесен в отношении Андрея Бессонова, Михаила Головачука, Романа Муромского и Дмитрия Коротаева. Всем им было назначено наказание в виде 5 лет лишения свободы в колонии общего режима. Суд учёл время содержания обвиняемых под стражей, поэтому они были освобождены прямо в зале суда. У Бессонова суд конфисковал два автомобиля BMW и денежные средства в размере 51,85 млн рублей и $497 435. Коротаев по приговору суда лишился автомобиля Mercedes. Дополнительных штрафов фигурантам назначено не было. Все четверо признали себя виновными в совершении преступлений, предусмотренных частью 2 статьи 187 («Неправомерный оборот средств платежей в составе организованной группы», до семи лет лишения свободы) и частью 2 статьи 273 УК России («Создание, использование и распространение вредоносных компьютерных программ по предварительному сговору и в составе группы», до пяти лет лишения свободы). От дачи показаний фигуранты отказались. ![]() Ранее, в октябре 2024 года Петербургский гарнизонный военный суд приговорил к лишению свободы на сроки от четырёх с половиной до шести лет других четырёх участников хакерской группировки REvil, не признавших свою вину. Сейчас Артем Заец, Алексей Малоземов, Руслан Хансвяров и Даниил Пузыревский отбывают наказание в исправительных учреждениях. Хакерская группировка REvil прославилась требованием рекордно больших выкупов — криминальные доходы преступников в 2020 году достигали $100 млн. Группу ассоциируют с Россией, так как её участники общались между собой на русском языке. По версии обвинения, REvil, созданная Даниилом Пузыревским в 2015 году, занималась неправомерным приобретением и хранением электронных средств платежей. Большинство жертв группировки составили граждане США. 14 января 2022 года пресс-служба ФСБ сообщила о ликвидации хакерской группировки REvil при содействии компетентных органов США. |