Звонок невозможен: ФСИН внедряет «умные» глушилки в московских СИЗО
Федеральная служба исполнения наказаний (ФСИН) начала испытания систем интеллектуальной блокировки мобильной связи в московских следственных изоляторах. Как сообщил РИА Новости заместитель главы ведомства Сергей Щербаков, успешные тесты уже проведены в СИЗО-1 и СИЗО-4. «Мы добились практически 100-процентного успеха», — отметил он. Щербаков уточнил, что в ходе эксперимента были протестированы различные подходы, и результаты оказались максимально эффективными. Однако, по его словам, технологии ещё требуют доработки — в частности, необходимо научиться точно ограничивать зону действия блокировки только территорией учреждения, чтобы не мешать связи у обычных граждан за его пределами. Он также подчеркнул, что новые системы интеллектуального подавления стоят недешево, но позволяют добиться полного подавления мобильной связи в пределах изоляторов. С марта 2021 года в России действует закон, обязывающий операторов связи по письменному запросу руководителей региональных подразделений ФСИН блокировать мобильные номера, используемые в исправительных учреждениях. При этом любое использование сотовой связи на территории мест лишения свободы, включая сотрудниками и посетителями, считается незаконным.
Хакеры добрались до ИИ-трейдинга: взлом на $107 000
Хакеры получили доступ к защищённой панели управления автономной системы aixbt, что привело к краже 55 ETH (около $107000) из кошелька Simulacrum — инструмента для построения модельных портфелей. Разработчик бота, Rxbt, подтвердил инцидент, заявив, что злоумышленник вставил 2 вредоносных ответа, позволивших вывести средства. Aixbt — автономный ИИ-агент, запущенный в конце 2024 года на платформе Virtuals Protocol. Агент быстро стал популярным среди трейдеров как аналитический инструмент для рыночных трендов, доступ к которому предоставляется через покупку токена AIXBT. Rxbt утверждает, что атака не повлияла на основные системы бота и его развитие, подчеркнув, что средства пользователей не пострадали. Разработчик также отметил, что злоумышленник не манипулировал самим ИИ-агентом, так как за последние месяцы были внедрены строгие меры безопасности. В ответ на инцидент команда разработчиков провела миграцию серверов, изменила ключи доступа, временно приостановила доступ к панели управления и передала данные об адресах хакеров криптовалютным биржам. Сама aixbt подтвердила , что кошелёк Simulacrum пострадал, но это не затронуло основные системы. Представитель также заверил пользователей, что безопасность будет усилена после завершения миграции серверов. В другом посте отмечается, что потеря 55 ETH — «не так уж и страшно» и сравнивается произошедшее с обычным рабочим днём в индустрии. Некоторые пользователи предположили, что кража могла быть организована изнутри. В ответ на это Rxbt заявил, что предпринимает дополнительные меры по усилению безопасности. На фоне инцидента токен AIXBT потерял 5% стоимости за день, а месячные потери достигли 55%.
WhatsApp устранил 0day-брешь, позволявшую шпионить за активистами и журналистами
WhatsApp устранила уязвимость нулевого дня , использовавшуюся для установки шпионского ПО Paragon Graphite, после сообщений исследователей из Citizen Lab при Университете Торонто. Компания закрыла вектор атаки ещё в конце прошлого года без необходимости в обновлении со стороны пользователей. Было решено не присваивать уязвимости идентификатор CVE, так как это не соответствовало рекомендациям MITRE и внутренним стандартам WhatsApp. Представители сервиса сообщили, что они уведомили пострадавших пользователей, включая журналистов и активистов, о том, что их устройства могли подвергнуться взлому. WhatsApp также подчеркнул важность привлечения к ответственности компаний, занимающихся разработкой шпионского ПО. 31 января, после устранения эксплойта, WhatsApp предупредил около 90 пользователей Android из более чем двух десятков стран, среди которых были журналисты и активисты из Италии. Уязвимость позволяла злоумышленникам загружать шпионское ПО Graphite на устройства жертв без их ведома. Атака начиналась с добавления цели в группу WhatsApp и отправки PDF-файла, который автоматически обрабатывался системой и приводил к установке вредоносного импланта. После заражения Graphite получал доступ к другим приложениям на устройстве, обходя механизмы защиты Android. В результате злоумышленники могли перехватывать сообщения жертв, прослушивать звонки и собирать конфиденциальные данные. Эксперты из Citizen Lab выявили характерный артефакт BIGPRETZEL, который может помочь в обнаружении заражения, однако отсутствие следов в логах не гарантирует, что устройство не подверглось атаке. Исследователи также проанализировали инфраструктуру Paragon, используемую для доставки вредоносного ПО, и обнаружили возможные связи с правительственными структурами нескольких стран, включая Австралию, Канаду, Кипр, Данию, Израиль и Сингапур. Исследование доменов, цифровых сертификатов и IP-адресов позволило выявить 150 сертификатов, связанных с десятками серверов управления. Часть этой инфраструктуры, вероятно, арендована Paragon или его клиентами, другая часть может находиться в распоряжении самих государственных заказчиков. В частности, на серверах были обнаружены ссылки на «Paragon», а также сертификаты, содержащие название «Graphite» и термин «installerserver» — аналогично тому, как конкурирующее ПО Pegasus использует «Installation Server» для заражения устройств. Компания Paragon Solutions Ltd. была основана в 2019 году бывшим премьер-министром Израиля Эхудом Бараком и экс-командиром израильского подразделения 8200 Эхудом Шнеорсоном. В декабре 2024 года её приобрела американская инвестиционная группа AE Industrial Partners. Paragon утверждает, что продаёт свои технологии только правоохранительным и разведывательным органам демократических стран для борьбы с преступностью. Однако ряд случаев свидетельствует о том, что Graphite мог использоваться в ситуациях, не связанных с его заявленными целями, включая слежку за журналистами и активистами. Это вызывает вопросы о том, насколько строго контролируется применение данного шпионского ПО.
Уязвимость в PHP превратила тысячи серверов в теневые криптофермы
Специалисты по кибербезопасности зафиксировали активное использование уязвимости CVE-2024-4577 в PHP для внедрения криптомайнеров и троянов удалённого доступа (RAT), таких как Quasar RAT. Данная уязвимость связана с инъекцией аргументов в PHP на системах Windows, работающих в режиме CGI, что позволяет злоумышленникам выполнять произвольный код. По данным Bitdefender, атаки на CVE-2024-4577 резко участились с конца прошлого года, особенно в Тайване (54,65% всех атак), Гонконге (27,06%), Бразилии (16,39%), Японии (1,57%) и Индии (0,33%). Примерно 15% зафиксированных атак включали базовые тесты уязвимости, такие как выполнение команд «whoami» или «echo
DollyWay: бессмертный вредонос уже 9 лет взламывает сайты WordPress
С 2016 года в ходе вредоносной кампании DollyWay было взломано более 20 000 сайтов на WordPress по всему миру путем перенаправления пользователей на мошеннические ресурсы. За 9 лет атака значительно эволюционировала, добавив сложные механизмы уклонения, повторного заражения и монетизации. По данным GoDaddy, в последней версии (v3) DollyWay функционирует как система массовых мошеннических перенаправлений. Однако в прошлом злоумышленники использовали систему для распространения программ-вымогателей и банковских троянов. Ранее считавшиеся отдельными атаки на самом деле связаны между собой, имеют общую инфраструктуру, схожие программные шаблоны и одинаковые методы монетизации. DollyWay v3 атакует уязвимые сайты WordPress, используя эксплойты в плагинах и темах. По состоянию на февраль 2025 года вредоносная кампания генерирует около 10 миллионов мошеннических показов в месяц, перенаправляя посетителей взломанных сайтов на фейковые платформы знакомств, азартных игр, криптовалют и розыгрышей призов. Монетизация атаки осуществляется через партнёрские сети. Для этого используется система перенаправления трафика (Traffic Direction System, TDS), которая анализирует посетителей по различным параметрам — местоположению, типу устройства, источнику перехода — и распределяет их на целевые мошеннические ресурсы. Заражение начинается с внедрения скрипта с помощью функции wp_enqueue_script, который загружает второй этап атаки. Далее система анализирует источник трафика, после чего подключает TDS, определяющую, какие пользователи будут перенаправлены. Только посетители, не являющиеся ботами (проверяется список из 102 известных ботов), не авторизовавшиеся в WordPress и пришедшие с внешних ресурсов, считаются «подходящими» для перенаправления. Затем выбираются три случайных заражённых сайта, выполняющих функцию узлов TDS, с которых загружается скрытый JavaScript, ведущий на мошеннические страницы партнеров. DollyWay — крайне устойчивый вредонос, который автоматически восстанавливает своё присутствие на взломанном сайте при каждом его открытии, усложняя процесс удаления. Для этого программа внедряет вредоносный код в активные плагины WordPress и при необходимости добавляет WPCode — легальный плагин для управления фрагментами кода. WPCode маскируется в системе, так что администраторы сайта не могут его обнаружить или удалить через стандартный интерфейс WordPress. Кроме того, вредонос создаёт скрытые учётные записи администраторов, названные случайными 32-значными шестнадцатеричными строками, которые не отображаются в панели управления, а могут быть найдены только при анализе базы данных. Специалисты GoDaddy опубликовали список индикаторов компрометации (IoC) для выявления и блокировки DollyWay. Специалисты продолжают анализировать структуру и новые тактики операции.
