👮 Как дев ушёл красиво: на 4 года в тюрьму.

😐 55-летний айтишник Дэвис Лю отработал в Eaton Corporation больше 12 лет. Но страх, что его работу скоро отожмёт нейронка, буквально свёл мужика с ума. Он решил: «если меня уволят — вместе со мной сдохнет всё».

💣 За месяц до увольнения он прописал на серваках kill switch:

— Как только его учётку отключили, скрипт сработал;
— Компания потеряла доступ к серверам;
— Внутри активировались вечные циклы, которые жрали систему, параллельно удаляя файлы.

💸 В итоге контора получила убытки на сотни тысяч долларов, а на полное восстановление инфраструктуры ушло больше года.

👨‍⚖️ Судья приговорил, хитрого Дэвиса к четырёхлетнему отпуску от выгорания в отеле «Тюрьма».

Тот самый случай, когда один обиженный дев смог положить корпорацию. 😏

@overbafer1

🇩🇪Хакеру из 🥷 Anonymous предъявили обвинение за атаку на Rosneft

Прокуратура Берлина выдвинула официальное обвинение 30-летнему гражданину Германии, предположительно связанному с немецкой ячейкой Anonymous, за кибератаку на Rosneft Deutschland GmbH («Роснефть Дойчланд ГмбХ»). Кибератака произошла в марте 2022 года, сразу после начала специальной военной операции на Украине. Потерпевшая компания отнесена к объектам критически важной инфраструктуры (нем. Kritische Infrastruktur, KRITIS) в секторе энергетики. Обвиняемому вменяется два эпизода неправомерного сбора данных, один из которых совершен в совокупности с компьютерным саботажем при особо отягчающих обстоятельствах.

По данным расследования, проведенного👮BKA и прокуратурой Берлина, обвиняемый в ходе кибератак на «Роснефть Дойчланд ГмбХ» похитил в совокупности около 20 терабайт данных и вайпнул системы, относящихся к КИИ. Впоследствии похищенные данные были опубликованы на интернет-ресурсе, администрируемом обвиняемым и двумя другими участниками группировки Anonymous. С середины 2023 года данный ресурс неактивен.

Кибератака на дочернее предприятие российского энергетического концерна «Роснефть» повлекла за собой ущерб в размере нескольких миллионов евро. Компания была вынуждена перевести все свои системы в автономный режим и по горячим следам инициировать компьютерно-техническую экспертизу.

👺 Финансовые последствия цифрового саботажа колоссальны: общий ущерб превысил €12,3 млн, из которых €9,756 млн пошли на восстановление IT-архитектуры и форензику, а €2,59 млн — прямые убытки от паралича логистики и бизнес-процессов.

✋ @Russian_OSINT

👨‍💻 Киберпреступники целятся в разработчиков, распространяя ВПО через открытые репозитории и выдавая его за легитимные проекты

Наше исследование актуальных киберугроз за первое полугодие 2025 года показало, что использование вредоносного ПО — по-прежнему самый популярный метод успешных атак (63% случаев). При этом злоумышленники в два раза чаще, чем год назад, распространяют ВПО через сайты. По данным наших аналитиков, это связано с ростом популярности схем, нацеленных на разработчиков.

🪲 Атаки через открытые репозитории

Киберпреступники размещают на популярных платформах GitHub и GitLab фиктивные проекты. А потом обманом заставляют пользователей запускать вредоносную полезную нагрузку, отвечающую за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория и их выполнение. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.

Например, в России, Бразилии и Турции от такой вредоносной кампании пострадали геймеры и криптовалютные инвесторы. На их устройства загружался инфостилер, крадущий адреса криптокошельков, личные и банковские данные. В США, Европе и Азии обнаружено не менее 233 жертв кампании группировки Lazarus: она внедряла JavaScript-имплант, предназначенный для сбора системной информации.

👾 Атаки с маскировкой под легальные пакеты

Также с начала года злоумышленники активно использовали в экосистемах с открытым исходным кодом технику тайпсквоттинга (создания вредоносных пакетов с названиями, похожими на легальные), рассчитывая на ошибки и опечатки пользователей при вводе этих названий.

Специалисты PT ESC выявили в репозитории PyPI вредоносную кампанию, нацеленную на разработчиков, ML-специалистов и энтузиастов, заинтересованных в интеграции DeepSeek в свои системы. Вредоносные пакеты deepseeek и deepseekai могли собирать данные о пользователе и его компьютере, а также похищать переменные окружения.

🔥 Мнение и советы наших экспертов

«Внедряя вредоносное ПО в процессы разработки, злоумышленники наносят двойной удар: поражают не только саму жертву, но и проекты, с которыми она связана. Мы прогнозируем, что этот тренд будет набирать обороты: атаки на ИТ-компании и разработчиков с целью подрыва цепочек поставок будут происходить чаще», — поделилась Анастасия Осипова, младший аналитик исследовательской группы Positive Technologies.

Эксперты рекомендуют вендорам, производящим ПО, выстроить процессы безопасной разработки и обеспечить защиту цепочки поставок. А именно — внедрить инструменты, позволяющие выявлять уязвимости в коде и тестировать безопасность приложений, а также решения для динамического анализа кода и анализаторы пакетов. Ну и конечно, нужно своевременно обновлять системы управления исходным кодом, которые используются в процессе разработки.

💡 Полный текст нового исследования со всеми подробностями ищите на сайте.

#PositiveЭксперты
@Positive_Technologies

🤒 79 миллионов загрузок в неделю от одного российского разработчика | Cотрудник «Яндекса» стал невольным поставщиком ПО для Минобороны США

Библиотека fast-glob, используемая в тысячах публичных проектов на Node.js и более чем в тридцати системах Министерства обороны США, оказалась проектом одного единственного разработчика.

Его онлайн-профили указывают , что это российский программист Денис Малиночкин, сотрудник «Яндекса».

Fast-glob — это утилита для поиска файлов и папок по заданным шаблонам. Её автор на GitHub использует никнейм mrmlnc, а связанные с ним профили и сайт подтверждают личность разработчика.

Hunted Labs подчёркивает, что никаких связей Малиночкина с хакерскими группировками не выявлено.

↘️ SecurityLab

☑️ Записки Безопасника

👴 Инструмент автоматизированной беспроводной атаки

WiFite – инструмент для автоматизированной атаки беспроводных сетей, зашифрованных с помощью технологий WEP, WPA, WPA2 и WPS

— Этот инструмент сможет настраивается до автоматизма всего лишь несколькими аргументами

Особенности:
1. сортирует цели по сигналу (в dB); первыми взламывает самые близкие точки доступа;
2. автоматически деаутентифицирует клиентов скрытых сетей для раскрытия их SSID;
3. набор фильтров для точного указания, что именно атаковать (wep/wpa/обе, выше определённой силы сигнала, каналы и т.д.);
4. гибкие настройки (таймауты, пакеты в секунду, другое);
5. функции «анонимности»: смена MAC на случайный адрес перед атакой, затем обратная смена, когда атака завершена;
6. все захваченные рукопожатия WPA копируются в текущую директорию wifite.py;
7. умная деаутентификация WPA; циклы между деаутентификацией всех клиентов и широковещательной;
8. остановка любого взлома по Ctrl+C с опциями для продолжения, переход к следующей цели, пропуск взлома или выход;
9. отображение общей информации по сессии при выходе; показ всех взломанных ключей;
10. все пароли сохраняются в cracked.txt.

⏺ github.com

#Tools #Network #WPS #WPA #WEP // ❓ cyber in network security

🖥 Репозиторий: BruteSpray — автоматизация перебора паролей

BruteSpray — Python-утилита для автоматизации атак перебора паролей на найденные сервисы. 

— Инструмент анализирует XML-отчёт, выделяет сервисы и по шаблону запускает атаки. BruteSpray поддерживает множество сервисов, включая SSH, FTP, Telnet, VNC, RDP, SMB, HTTP, PostgreSQL и другие. 

Некоторые возможности BruteSpray:
1. позволяет использовать свои словари логинов и паролей;
2. умеет «размазывать» атаки по времени или параллелить;
3. предоставляет подробную статистику, ведёт логи и сохраняет успешные результаты.

⏺ Ссылка на GitHub

#Python #Brutespray

😐 Минцифры хотят запретить кибербез?

🇷🇺Ведомство выкатило новый пакет мер по борьбе с «кибермошенничеством» и предложило поправки в закон №149-ФЗ.

👮 Благодаря чему, теперь под запрет может попасть любая инфа, связанная с практикой ИБ. Формулировка такая, что даже публикация о найденной уязвимости или разбор эксплойта будет приравнена к раздаче малвари и нарушению закона.

🥷 То есть ресёрчеры, блогеры, журналисты и белые-хацкеры автоматически становятся «преступниками», если опубликуют что-то про дыры в ПО. Даже обсуждать публично будет незаконно.

Фактически это может стать обнулением всей индустрии кибербеза в РФ. 😐

@overlamer1

🖥 Репозиторий: Snort — система обнаружения и предотвращения вторжений

Snort — это мощная система обнаружения и предотвращения вторжений (IDS/IPS), которая помогает защитить сеть от различных типов атак.

— Она анализирует трафик в реальном времени и использует сигнатуры для выявления потенциальных угроз и аномалий в сети.

Snort подходит для использования как в малых, так и в крупных корпоративных сетях, обеспечивая высокий уровень безопасности и гибкость в настройках.

⏺ Ссылка на GitHub

#NetworkSecurity #IntrusionDetection #OpenSource #IDS #IPS #Sniffing

❗️Две опасные уязвимости в 📲Whatsapp принуждают пользователей откатить 🍏айфон к заводским настройкам

Как сообщалось ранее, атака ❗️«zero-click» (CVE-2025-55177) позволяла злоумышленникам (которым не требовалось быть в списке контактов жертвы) добиться того, чтобы WhatsApp на устройстве жертвы обрабатывал контент с произвольного URL-адреса. Нашли уязвимость WhatsApp Security Team.

Уязвимость связана с механизмом обработки сообщений для синхронизации привязанных устройств (linked device synchronization messages).

🗳Сама по себе уязвимость CVE-2025-55177 была лишь средством доставки.

🕷Для взлома устройства и кражи данных уязвимость эксплуатировалась в связке с другой — CVE-2025-43300.

Уязвимость Apple связана с системной библиотекой обработки изображений (ImageIO). Когда WhatsApp по команде злоумышленника обрабатывал вредоносное изображение, то срабатывала уязвимость в iOS, которая приводит к компрометации устройства.

В официальном бюллетене Apple подчеркивается, что уязвимость использовали в «чрезвычайно сложной атаке против конкретных лиц».

Именно сочетание CVE-2025-55177 и CVE-2025-43300 создавало эксплойт-цепочку для незаметного взлома устройств Apple через WhatsApp.

✋WhatsApp сообщил, что отправил уведомления с предупреждением пользователям, которые могли стать целью вредоносной киберкампании. По имеющимся данным, таких пользователей менее 200 человек.

Представитель WhatsApp отказалась комментировать, есть ли у компании данные атрибуции по атаке. Пока неизвестно ничего про конкретного про разработчика шпионского ПО или государство, которое может стоять за этой атакой.

Аналитики в сфере кибербезопасности отмечают явные признаки, указывающие на использование высокотехнологичного шпионского ПО (уровня 🇮🇱NSO Group, Cytrox, Candiru и др.), учитывая сложность цепочки эксплойтов и характер целей.

👆Пострадавшим настоятельно ⚙️рекомендуется выполнить полный сброс устройства до заводских настроек и после обязательно обновить ОС до последней версии, включая само приложение Whatsapp.
--------------------------

Похоже, что ещё одна CVE на подходе...

Неделю назад я сообщил об уязвимости в Meta*, которая может позволить злоумышленникам узнать данные устройств любых пользователей WhatsApp.

— сообщает об ещё об одной проблеме с приватностью в Whatsapp исследователь (CTO ZenGo) Таль Беэри из 🇮🇱Израиля.

Уязвимость позволяет 🥷злоумышленникам узнать детали📱устройства любого пользователя WhatsApp: операционную систему и онлайн-статус.

🔎Отчёт от 23 августа 2025 года всё ещё на стадии оценки Meta, без присвоенного CVE на момент публикации поста (31 августа).

*Meta (соцсети Facebook, Instagram) запрещена в РФ как экстремистская.

✋ @Russian_OSINT

🖥 Репозиторий: ModSecurity — веб-аппликационный брандмауэр

ModSecurity — это открытый веб-аппликационный брандмауэр (WAF) для защиты веб-приложений от различных угроз, таких как SQL-инъекции, XSS и другие виды атак.

— Он может интегрироваться с различными веб-серверами, включая Apache, Nginx и IIS, обеспечивая высокий уровень безопасности для веб-приложений.

Данный инструмент предоставляет возможность создания условных правил для фильтрации трафика и защиты от уязвимостей, а также позволяет анализировать и логировать запросы.

⏺ Ссылка на GitHub

#WebSecurity #WAF #OpenSource #ApplicationSecurity

✍ Михаил Шуфутинский печатает