Новости кибербезопасности за неделю с 21 по 27 апреля 2025

Все самое интересное из мира кибербезопасности /** с моими комментариями

1) В США полицейские начали использовать ИИ-агентов для слежки за людьми под видом борьбы с преступностью.

Под видом студентов, активистов и несовершеннолетних в социальных сетях действуют виртуальные персонажи, созданные с помощью ИИ в интересах полиции. Цифровые агенты не просто имитируют реальных пользователей, но и ведут "живой" диалог, выстраивая доверительное общение с пользователем, а затем провоцируют на откровенность и эмоции. Если появляется что-то интересное, то информация фиксируется и заносится в оперативные отчёты.

Продукт Overwatch разрабатывается компанией Massive Blue и продаётся госам в США. Ключевая особенность Overwatch заключается в генерации «глубоко проработанных» личностей. Каждый ИИ-агент имеет свою уникальную биографию, реалистичную внешность, речевые шаблоны, хобби и определённый паттерн поведения в инете.

/** наступил тот момент, когда ни аудио, ни видео, ни тексту нельзя верить. ИИ крайне быстро проникает во все сферы жизни и когда вам пишут или звонят, то по умолчанию надо думать, что это не кто-то, а что-то. И да, это будет далее только усугубляться. Хакеры точно уже взяли это все к себе в арсенал, потому что социальная инженерия - самый простой и дешёвый способ добычи информации. Добро пожаловать в будущее!

2) ИИ-ассистенты вроде ChatGPT и Gemini всё чаще предлагают код с несуществующими зависимостями.

В процессе генерации кода, иногда ИИ придумывает названия несуществующих пакетов. Злоумышленники быстро адаптировались — они регистрируют эти вымышленные названия в PyPI и NPM, наполняя их вредоносным кодом.

Под особой угрозой разработчики, практикующие vibe-coding — бездумное копирование ИИ-подсказок. Некоторые фейковые пакеты выглядят убедительно: имеют документацию, GitHub-репозитории и даже блоги-однодневки.

Фонд Python называет эту тактику «слопсквоттинг» (от *slop* — «мусорный вывод ИИ») и усиливает защиту репозиториев. Источник.

/** Пока главная рекомендация — вручную проверять каждую зависимость, особенно если её рекомендует ИИ. Проверяете возраст зависимости, её комьюнити и посмотрите большие проекты, которые также её используют.

3) Исследователь Мэтт Кили показал, что GPT-4 может писать рабочие эксплойты для критических уязвимостей.

На вход — CVE-2025-32433, баг в SSH-сервере Erlang/OTP с CVSS 10.0. На выход — готовый код для удалённого выполнения без аутентификации.

ИИ сам нашёл коммит с фиксом, сравнил с уязвимой версией, локализовал проблему, написал эксплойт, отладил, доработал. Всё — за один вечер. Раньше на это ушли бы дни и экспертиза по Erlang. Теперь — достаточно знать, как правильно промтить.

/** Как же всё быстро развивается... Между раскрытием уязвимости и готовым эксплойтом — всего несколько часов. У кого до лета 2025 не будет системы автоматизации поиска, проверки и установки патчей, будет первый в очереди на взлом. И вредный совет от меня: хотите отстать от индустрии навсегда? Не читайте его статью, где он подробно всё описал по процессу.

4) Администраторов доменных имен в зонах .ru и .рф могут обязать сделать привязку личного кабинета на сайте регистратора к «Госуслугам».

К внесению в Госдуму готовится законопроект, который сделает обязательной проверку данных администраторов доменных имен через «Госуслуги». Сейчас это опциональная возможность, которая встречается далеко не у всех регистраторов (а некоторые из них даже не всегда сверяют паспортные данные).

В случае принятия этого законопроекта каждый администратор доменных имен в зонах .RU и .РФ будет обязан привязать свой личный кабинет на сайте регистратора к «Госуслугам» и пройти сверку данных.

/** в первую очередь, в случае принятия этого закона, "пострадают" все пиратские ресурсы в зонах РФ и RU. Им придётся переезжать в другие доменные зоны. Ну не знаю, насколько это будет им проблематично и дорого, но я почему-то думаю, что их это не сильно напряжёт.

5) Целевая атака на компьютеры, подключенные к сетям ViPNet.

Неизвестная APT-группа осуществляет целевые атаки на десятки организаций в России, в том числе, из госсектора, финансовой сферы и промышленности. Последние инциденты зафиксированы в этом месяце. Бэкдор распространяется, мимикрируя под обновление ViPNet Client, в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО.

Rt-solar выпустили объемное исследование, в котором описали механизм запуска бэкдора и разобрали несколько кейсов заражения через обновления ПО ViPNet.

/** ViPNet - популярная технология, а всё, что популярно - пользуется повышенным вниманием у хакеров. Рекомендую каждому прочитать исследование, т.к. все механики расписаны достаточно подробно.

6) Microsoft объявила об увеличении выплат за обнаружение уязвимостей ИИ в сервисах и продуктах Dynamics 365 и Power Platform до 30 000 долларов.

Power Platform включает приложения, призванные помочь компаниям анализировать данные и автоматизировать процессы, а Dynamics 365 — это набор бизнес-приложений, которые связывают клиентов, продукты, людей и операции.

/** Очень важно понимать, зачем они это делают. А делают они это по очень простой причине: когда хакер находит уязвимость, у него есть дилемма - где продать информацию, на чёрном рынке или на белом. И это - не что иное, как попытка составить конкуренцию чёрному рынку, на котором очень часто платят существенно больше за критические 0-day.

7) Выявлена уязвимость в SSL.com, которая позволяет выпустить поддельный TLS-сертификат для любого домена.

Уязвимость была вызвана ошибкой в реализации системы проверки владения доменом через подтверждение по электронной почте. Для получения подтверждения по email необходимо добавить в DNS-зону домена, для которого запрашивается сертификат, DNS TXT запись "_validation-contactemail". Например, "_validation-contactemail.test.com DNS TXT name@example.com". После инициирования проверки домена на email name@example.com будет отправлен код подтверждения, ввод которого подтверждает владение доменом "test.com" и позволяет получить TLS-сертификат для "test.com".

Ошибку уже признали в SSL.com и приступили к устранению. Более детальный отчет обещают опубликовать до 2 мая.

/** Ждём второго мая, но история очень интересная и очень опасная.

А я желаю вам безопасной недели!

Подписывайтесь на мой Телеграм!

Предыдущая неделя <-- week Sec News --> Следующая неделя