Чертовка

Крупнейшую южнокорейскую биржу Upbit обчистили на 54 миллиарда вон, что эквивалентно $36,8 млн в криптовалюте Solana.

Утром 27 ноября система зафиксировала несанкционированный вывод активов из горячего кошелька на неизвестные адреса. Преступники в основном выводили популярные мемкойны, например, Bonk, Moodeng, Official Trump и DeFi-токены Sonic SVM, Access Protocol, Jito, SOL и Raydium. Среди украденного засветился и стейблкоин USDC.

Компания-владелец биржи, моментально отрубила ввод и вывод средств, перекинула остатки на холодный кошелёк и начала переговоры с создателями похищенных токенов. Блокировка Solayer на 23 млрд вон принесла плоды, обездвижив $15,7 млн из награбленного. Остальное ищут вместе с силовиками и кибербез-структурами.

Upbit обещает погасить весь ущерб из собственных активов и запустила полный аудит инфраструктуры. Это уже не первый раз, когда биржу взламывают — в 2019-м Lazarus стащили 342 тысячи ETH или же $48,5 млн.

НеКасперский

Кошерный день

Иранское киберподразделение Department 40 полностью деанонимизировано.

В сеть утекли внутренние архивы с именами, фото и паспортами. Утечка показывает всю структуру, включая командира Аббаса Рахрови, более 60 оперативников, разделенных на мужские хакерские команды под названием «Братья» и женское подразделение «Сёстры».

Расследование показало, что хакеры взламывали базы авиакомпаний и отелей, чтобы отслеживать цели через свою платформу Kashef и передавали данные боевым группам для ликвидаций. Именно через эту платформу ранее готовилось покушение на израильских туристов в Стамбуле в 2022 году.

Анализ данных также раскрывает, что группа создала разветвленную сеть подставных компаний для прикрытия, а ее мишенью были госструктуры многих стран, включая ОАЭ и Канаду.

От хакера до террориста один шаг

НеКасперский

Рада не рада

Пророссийские хакеры получили доступ к БД украинского Центра профессионального развития Винницкой городской рады.

Ответственность за нападение взяли на себя участники группировки IT ARMY OF RUSSIA. Сделать это удалось в результате успешного взлома сайта пострадавшей организации. В своих соцсетях они опубликовали соответствующий пост с образцами полученной информации.

Атакованный ресурс подвергся дефейсу, бэкапы были удалены, а на главной странице появился логотип хакерского форума. Группировкой были выгружены файлы объёмом 15 ГБ, содержащие более 400 тысяч записей с ПДн граждан.

Утечка затрагивает БД украинских образовательных и государственных сайтов. Группировка предоставила нам образец первых 5 тыс. строк полученного дампа для анализа.

Внутри видна информация об учениках образовательных учреждений, преимущественно школьниках. Были раскрыты ФИО родителей и детей, возраст, класс, номер телефона, адрес проживания, вплоть до номера квартиры и др.

НеКасперский

Досье Венесуэлы

В открытый доступ попали конфиденциальные данные около 30 важнейших госструктур Венесуэлы в области безопасности, энергетики и управления.

В публикации указано, что среди пострадавших организаций оказались нефтяная компания PDVSA, спецслужба SEBIN, полицейское ведомство CICPC и администрация главы государства.

По словам автора, дамп содержит информацию о доходах сотрудников венесуэльского правительства, включая их бонусы и премии. Также утверждается, что в файлах прописаны точные названия должностей и структурных подразделений, паспортные данные и идентификационные номера всех служащих.

Скомпрометированные сведения выложены в открытый доступ бесплатно. Как удобно появилась утечка на фоне обострения международной обстановки вокруг Венесуэлы. Никак дело рук бургер хакер 🇺🇸💵🍔🦅

НеКасперский

Поле боя

Хакеры тоже любят похайповать, поэтому направили своё внимание на игроков Battlefield 6.

Об этом сообщили специалисты из Bitdefender. По их словам, атакующие распространяют через торренты и загрузочные сайты «программы с читами» и «взломанные» версии сомнительного качества.

По классике, наивные своими руками устанавливают на устройства инфостилеры, трояны и средства для дистанционного управления компьютером. У загружаемого букета вирусов для каждого компонента своя задача.

Одна программа крадёт пароли, учётные данные и коды доступа к криптовалютным кошелькам. Другая выполняет роль защитного механизма, проверяя региональные настройки и избегая запуска в виртуальной среде. Третья позволяет атакующим управлять заражённым ПК.

При этом ни одно из фейковых приложений не предоставляет непосредственного доступа к игре. Все они нацелены на похищение конфиденциальной информации, установку вредоносного ПО и контроль над устройствами.

НеКасперский

Домофонный беспредел

В IP-домофонах Zenitel обнаружились пять критических дыр, три из которых получили 10 баллов по CVSS.

Проблема затрагивает все версии модели TCIV-3+ до 9.3.3. Главная угроза кроется в уязвимостях с инъекцией OS-команд. Разработчики не подумали, что нужно как-то валидировать пользовательский ввод, что и дало хакерам возможность без авторизации вклинивать вредоносные команды прямо в систему.

Злоумышленники так получают полный контроль над устройством, могут прослушивать переговоры, манипулировать системой контроля доступа или использовать устройство как точку входа в корпоративную сеть.

Устройство управляется через веб-интерфейс, в котором нашлась ещё и XSS. Админ заходит в панель настроек, на которой уже внедрен JavaScript, ворующий сессию или учетки. Кроме этого, выход за границы буфера позволяет удаленно крашить домофон специальным TCP-пакетом. Система контроля доступа падает, двери могут заблокироваться или наоборот остаться открытыми.

Zenitel выпустила патч и призывает всех обновиться немедленно. Трудно представить, что кто-то будет обновлять свой домофон, а , учитывая, что эти домофоны стоят на входах зданий и промышленных объектах, последствия могут быть серьезными 🫣

НеКасперский

Кому тут еще кредитный мониторинг?

Взлом британского телеком-провайдера Brsk поставил под угрозу 230 тыс. клиентов.

База данных оператора, содержащая записи более 230 тыс. клиентов, обнаружена в даркнете и выставлена на продажу. Среди утекшей информации не только имена, адреса и телефоны, но и специальные отметки о том, является ли абонент уязвимым лицом, например, пожилым или нуждающимся в опеке, что делает их лёгкой мишенью для мошенников.

Компания подтвердила факт взлома, заявив, что финансовые данные и пароли не пострадали. Пострадавшим, по-классике, предложили год бесплатного мониторинга кредитной истории 😮‍💨🤙

НеКасперский

Почти вся Корея

Данные 33 млн клиентов популярного южнокорейского e-commerce Coupang слиты.

Так информация утекала с июня по ноябрь этого года и оставалась незамеченной. Это почти вся клиентская база сервиса в Корее.

Скомпрометированы были имена, телефоны, адреса электронной почты и доставки, история заказов. По данным компании, платежные реквизиты не пострадали.

Расследование показало, что утечку мог совершить бывший сотрудник китайского происхождения, использовавший свой, всё еще активный, ключ доступа после увольнения.

Акции компании просели на 5%, а более 10 тысяч пострадавших планируют подать коллективный иск. CEO компании пришлось на камеру извиняться перед местными СМИ.

НеКасперский

Надюпал алмазы

Хакер нарисовал 235 септендециллионов yETH из воздуха и сумел вывести $9 миллионов из них с пулов Yearn Finance. Это число с 54 нулями.

Атака оказалась двухэтапной, и её изящество пугает. Сначала злоумышленник довёл supply пула до нуля через комбинацию вызовов update_rates() и remove_liquidity(). Когда баланс обнулился, сработал underflow. Атакующий внес суммарно 16 wei по восьми LST-токенам. За эту пыль контракт выдал ему 57-значное число в yETH.

Злоумышленник обменял 100 квинтиллионов yETH на 1079 ETH и повторял процедуру, пока не опустошил StableSwap пул на $8 миллионов и yETH-WETH на Curve ещё на $900 тысяч. Около 1000 ETH уже прогнали через Tornado Cash, остальные $6 миллионов в LST-деривативах лежат на его кошельке.

Yearn подчёркивает, что V2 и V3 Vaults не пострадали. Команда сравнивает сложность атаки с недавним взломом Balancer, о котором мы писали. Расследование ведётся совместно с SEAL 911 и ChainSecurity.

НеКасперский

Азиатские небеса

Индия подтвердила массовые случаи GPS-спуфинга в крупнейших аэропортах страны, затронувшие сотни рейсов.

Министерство гражданской авиации раскрыло масштабы бедствия. 7 ноября задержано более 800 рейсов, 20 отменено, хаос продолжался свыше 12 часов. По данным Flightradar24, задержки в Дели стали вторыми по величине в мире за тот день, а показатель точности GPS рухнул с нормальных 8 до абсолютного нуля.

Механика проста и жестока. Злоумышленники транслируют поддельные спутниковые сигналы, мощнее настоящих. Бортовая навигация выбирает более сильный источник и начинает показывать пилотам неверное местоположение, высоту и скорость. Системы предотвращения столкновений и предупреждения о рельефе автоматически отключаются, пилоты вынуждены переходить на ручное управление.

С ноября 2023 года зафиксировано 465 подобных инцидентов, преимущественно у границы с Пакистаном. Тайминг случился подозрительный, так как главная взлётная полоса Дели как раз проходила модернизацию ILS, что сделало самолёты максимально зависимыми от GPS.

Офис Национального советника по безопасности запустил расследование. Эксперты указывают на противодроновые системы у пакистанской границы, где пограничники перехватили сотни беспилотников с контрабандой. Спуфинг изначально применялся для борьбы с дронами, а гражданская авиация могла попасть под горячую руку.

Власти внедрили обязательную отчётность о спуфинге в течение 10 минут, ускорили модернизацию наземных систем. Пока источник ищут, пилоты летают по старинке через резервные маяки.

НеКасперский

Из кармана в карман

Почту России привлекли к административной ответственности за утечку ПДн.

Всё началось с того, что Роскомнадзор обнаружил в сети дамп объёмом более 26 миллионов строк. Скомпрометированные файлы включают в себя ФИО, номера телефонов, электронную почту и сведения о посылках.

Хотя данные утекли ещё в декабре прошлого года, разбирательство началось только в ноябре. Исследование показало, что среди полученных хакерами сведений есть совпадения с реальной информацией клиентов из сервиса для отслеживания регистрируемых почтовых отправлений.

В результате заседания арбитражный суд Москвы обязал Почту России выплатить штраф в размере 150 тысяч рублей за нарушение закона о персональных данных.

С 1 октября 2019 года Почта России была преобразована из ФГУПа в АО, единственным учредителем которого является правительство РФ в лице Росимущества.

Получается, государство назначает штраф организации, которую оно одновременно контролирует и несёт ответственность за соблюдение ею норм права 🫠

НеКасперский

Цепная Reacция

В React Server Components нашли критическую уязвимость с максимальным баллом CVSS 10.0, позволяющую выполнить произвольный код на сервере без авторизации.

При десериализации данных React обращается к свойствам модуля через квадратные скобки, не проверяя принадлежность объекту. JavaScript в таком случае лезет по всей прототипной цепочке, включая Object.prototype и конструкторы. Злоумышленник отправляет запрос такого вида:

{
  "id": "vm#runInThisContext",
  "bound": ["code here"]
}

А синтаксис с решёткой позволяет указать любой экспорт, включая constructor.

В запросе можно передать цепочки вроде $1:constructor:constructor, что даёт доступ к конструктору функций через обход прототипов. Но создать функцию мало, нужно заставить её выполниться. Для этого используется встроенный модуль виртуальной машины Node.js, который исполняет код сразу при вызове. React связывает аргументы с функцией, и когда приложение её дёргает, runInThisContext('...') отрабатывает, выполняя вредоносный код.

Кстати, наш любимый Next.js тоже уязвим к этому. Патчи выпустили и добавили проверку собственных свойств перед доступом. Обновляться нужно вчера 😲

НеКасперский

Штирлиц уже на лобовом

Автомобильные видеорегистраторы собирают конфиденциальную информацию и сливают её третьим лицам даже без выхода в Интернет.

Таким открытием поделились исследователи из Сингапура на конференции Security Analyst Summit 2025. По их словам, с помощью этих устройств атакующие могут получить доступ к записям разговоров, видеороликам и координатам автомобиля благодаря встроенному GPS-модулю.

Несмотря на то, что большинство приборов не предполагают использование SIM-карт и Интернета, многие модели имеют возможность подключения к Wi-Fi. При этом к большинству видеорегистраторов можно подключиться с чужого устройства и выгрузить данные в обход аутентификации.

Скомпрометированные материалы позволяют следить за перемещениями владельца автомобиля, узнавать маршруты поездок, места парковки, видеть пассажиров, а иногда даже слышать беседы в салоне.

Для обработки полученной информации исследователи разработали систему, позволяющую делать это централизованно через облако с приминением функций передачи данных через LTE-модуль, если таковой имеется.

НеКасперский

Теперь только в МФЦ

Пользователи массово жалуются, что при входе в аккаунт Госуслуг исчезла кнопка «Пропустить», которая позволяла не устанавливать государственный мессенджер Max для подтверждения личности.

В ответе разработчика в Google Play указано, что это не ошибка, а запланированное изменение. Разработчик решил перевести подтверждение входа в Max, назвав его «более безопасным» способом по сравнению с SMS. Подтверждение по SMS обещают оставить только пользователям без смартфона.

Однако, наша редакция не смогла найти подтверждения исходящим от СМИ сообщениям, кроме ответа на отзыв от компании. Возможно, нововведение раскатили не на всех пользователей. По крайней мере, с веб-приложения и на мобильных устройствах на данный момент все работает без нами любимого Макса.

Что ж, теперь без Госуслуг 😪

НеКасперский

Подсмотрено

WhatsApp делится координатами, даже если геолокация для приложения отключена.

Об этом сообщил специалист по цифровой криминалистике Элом Дэниел. Такое открытие он сделал, когда общался со своим другом. Экспертиза показала, что в метаданных переписки содержались точные GPS-данные, которые записывались телефоном автоматически.

Ими могут завладеть третьи лица, если на момент разговора на устройстве были включены настройки определения местоположения. Также атакующие могут похитить учётные записи и пароли, статистику пользования приложениями и внутреннюю информацию о работе системы.

В ответ на это заявление представители WhatsApp сообщили, что шифрование мессенджера надёжно защищает сами сообщения и их содержимое, но если провести экспертизу устройства или его резервной копии, можно получить технические данные. Причина кроется не в самом приложении WhatsApp, а в особенностях гаджета и ОС.

Иным словами, шифрование защищает саму переписку, но не данные с телефона.

НеКасперский

Любопытный контрактник

Пророссийские хакеры из Killnet, Beregini и Кибер Серп получили доступ к данным боевиков ВМС Украины.

Атакующие скомпрометировали файлы, содержащие имена, звания и специальности 117 человек, принимавших участие в атаках на объекты в Чёрном море.

Сделать это удалось через взлом аккаунта контрактника, который в перерывах от службы любит разглядывать откровенные фото и общаться с девушками на сомнительных сайтах знакомств.

В результате атаки хакеры раскрыли данные военных ВСУ, управляющих беспилотными катерами Sea Baby и ответственных за нападения на юг России, гражданские суда и международные предприятия ТЭК.

НеКасперский

Не ищи себя

В Южной Корее арестовали четверых хакеров, взломавших более 120 тысяч IP-камер по всей стране.

Злоумышленники действовали независимо друг от друга, но методика у всех одинаковая. Брали камеры со стандартными паролями вроде «1111» или «admin», качали контент и монтировали ролики для продажи на неназванном зарубежном порно-сайте. Камеры стояли не только в домах, но и в студиях пилатеса, караоке-барах и клиниках гинекологов.

Один подозреваемый взломал 63 тысячи камер и заработал $23 тысячи на 545 роликах. Второй прошёлся по 70 тысячам устройств, продав 648 видео за $12 тысяч. Эти двое в прошлом году обеспечили 62% всего контента на сайте. Третий подозреваемый успел собрать материал с участием несовершеннолетних, но, к счастью, не продал его.

Полиция уведомила владельцев в 58 локациях о проблеме и арестовала трёх покупателей контента.

НеКасперский

Заскамили дрочера

Мы как-то писали про хакера, похищавшего конфиденциальные данные людей в аэропортах Австралии, через два года появились подробности о целях и методах этих кампаний.

В ходе нападения мужчина размещал на территории аэропорта Wi-Fi Pineapple, создающее поддельную точку доступа к беспроводным сетям с таким же SSID, как у официальной сети.

При подключении к фальшивому Wi-Fi на телефоне жертвы отображалась ложная страница, где якобы для присоединения к интернету пользователю предлагалось совершить вход в социальные сети.

По канонам атак Evil Twin, при вводе учётных данных юзеры подключались к хакерскому узлу. Атакующий использовал эти сведения для доступа к чужим аккаунтам, преимущественно женским. Основной целью такой кампании была добыча приватных фотографий и видеозаписей.

Похожее он успел проделать в аэропортах Перта, Мельбурна и Аделаиды. Сейчас мужчина арестован и приговорён к семи годам лишения свободы.

При осмотре изъятого оборудования правоохранительные органы обнаружили тысячи файлов с конфиденциальными данными пользователей и материалами интимного характера.

НеКасперский

Реклама Моссада

Израильское шпионское ПО может завладеть вашим устройством даже если вы ничего не устанавливали.

В СМИ сообщают, что компания Intellexa, основанная бывшим израильским разведчиком, могла распространять вредонос через рекламные объявления.

Чтобы заразить устройство, юзеру было достаточно лишь посмотреть одну такую рекламу, после чего ПО получало доступ ко всем пользовательским данным, которые находились на смартфоне.

Скомпрометированные материалы могли использоваться в интересах государственных структур для разведки и различных махинаций. К широкому обсуждению тему слежки привели многочисленные публикации о деятельности Intellexa и их связь с цитатами местных политиков.

Как сказал премьер-министр Биньямин Нетаньяху, если у тебя есть смартфон, ты держишь частичку Израиля.

НеКасперский

Дорогие подписчики, статья!

В новом материале поговорим о роли искусственного интеллекта в современной кибербезопасности.

Расскажем, как ИИ меняет подходы к защите, сокращает риски и повышает эффективность, а также поведаем об особенностях отечественных решений и перспективах развития технологий в условиях усиливающейся борьбы между защитой и атаками.

Приглашаем к прочтению и обсуждению 👇🏼

НеКасперский

Зачастили

Последний масштабный сбой Cloudflare, положивший половину интернета, вызван обновлением для защиты от уязвимости React2Shell 🙃

Как выяснилось, неисправность была связана с попыткой оперативно внедрить защиту от бреши в React. В обработку HTTP‑трафика внесли низкоуровневые изменения вплоть до байта. Спешная интеграция этих фильтров вызвала сбои у прокси-узлов со старым ПО, они начали сыпаться и пятисотить.

Первый случай мы описывали в ноябре, когда баг в конфигурационном файле для защиты от ботов привёл к одновременной остановке работы трёх тысяч сайтов.

Второй сбой был зафиксирован два дня назад. Часть узлов Cloudflare выдавала ошибки в течение получаса. В самый разгар проблемы около 28% запросов оказались недоступны.

Баг затронул миллионы пользователей и онлайн‑сервисов, которые используют CDN, веб‑фильтры и защиту Cloudflare. Больше всего пострадали сайты, полностью зависящие от этой платформы.

НеКасперский