Офіційний npm-пакет Bitwarden CLI протягом приблизно півтори години 22 квітня 2026 року містив шкідливий код, здатний викрадати облікові дані розробників і поширюватися на інші проєкти. Bitwarden підтвердила інцидент і запевнила, що дані сховищ користувачів не постраждали.

Що сталося

За даними дослідників із компаній Socket, JFrog та OX Security, зловмисники завантажили до реєстру npm шкідливу версію пакету @bitwarden/cli під номером 2026.4.0. Вона була доступна з 17:57 до 19:30 за східноамериканським часом 22 квітня, після чого її видалили.

Bitwarden підтвердила факт атаки та зазначила, що інцидент зачепив лише механізм розповсюдження через npm — тільки ті, хто завантажив шкідливу версію. Цілісність основного коду Bitwarden CLI та даних у сховищах користувачів порушена не була.

«Розслідування не виявило жодних доказів того, що дані сховищ кінцевих користувачів були доступні або перебували під загрозою, або що виробничі дані чи системи було скомпрометовано. Щойно проблему було виявлено, скомпрометований доступ відкликали, шкідливий npm-реліз деактивували, а заходи з усунення наслідків розпочали негайно», — йдеться в офіційній заяві компанії.

Як здійснювалась атака

За висновком Socket, зловмисники скористалися скомпрометованою GitHub Action у конвеєрі CI/CD Bitwarden, щоб впровадити шкідливий код у npm-пакет CLI.

Згідно з аналізом JFrog, модифікований пакет використовував попередній інсталяційний скрипт і спеціальний завантажувач bw_setup.js, який перевіряв наявність середовища виконання Bun і завантажував його за відсутності. Завантажувач запускав обфускований JavaScript-файл bw1.js, який виступав шкідливим ПЗ для крадіжки облікових даних.

Після запуску шкідливий код збирав широкий спектр секретних даних із заражених систем, зокрема:

• npm-токени
• токени автентифікації GitHub
• SSH-ключі
• хмарні облікові дані AWS, Azure та Google Cloud

Зібрані дані шифрувалися за допомогою алгоритму AES-256-GCM, а потім викрадалися шляхом створення публічних репозиторіїв на GitHub під обліковим записом жертви, де й зберігалися зашифровані дані.

OX Security зауважила, що створені репозиторії містили рядок «Shai-Hulud: The Third Coming» — посилання на попередні атаки на ланцюжок постачання npm, які використовували аналогічний метод і той самий текстовий рядок для ексфільтрації вкрадених даних.

Самопоширення та загроза для CI/CD

Шкідливе ПЗ також мало здатність до самопоширення: за даними OX Security, воно могло використовувати вкрадені npm-облікові дані для визначення пакетів, які жертва має право модифікувати, і впроваджувати до них шкідливий код. Socket також зафіксував, що payload цілеспрямовано атакував середовища CI/CD та намагався зібрати секрети для розширення атаки.

Зв’язок з атакою на Checkmarx

Bitwarden повідомила виданню BleepingComputer, що інцидент пов’язаний з атакою на ланцюжок постачання компанії Checkmarx, яку було розкрито напередодні. Скомпрометований інструмент розробки, пов’язаний із Checkmarx, дозволив зловмисникам зловжити механізмом доставки npm для CLI протягом обмеженого часового вікна.

Socket також підтвердив збіг індикаторів між двома інцидентами. «Зв’язок простежується на рівні шкідливого ПЗ та інфраструктури. У випадку Bitwarden шкідливий payload використовує той самий endpoint audit.checkmarx[.]cx/v1/telemetry, що фігурував в інциденті з Checkmarx. Він також застосовує ту саму процедуру обфускації __decodeScrambled із початковим значенням 0x3039 і демонструє той самий загальний патерн крадіжки облікових даних, ексфільтрації через GitHub та поширення по ланцюжку постачання», — прокоментував Socket.

Обидві кампанії пов’язують із загрозовим актором під назвою TeamPCP, якого раніше ідентифікували в масштабних атаках на ланцюжки постачання Trivy та LiteLLM.

Рекомендації для розробників

Розробникам, які встановлювали пакет у зазначений проміжок часу, фахівці радять вважати свої системи та облікові дані скомпрометованими та негайно замінити всі потенційно відкриті секрети — насамперед ті, що використовуються в конвеєрах CI/CD, хмарних сховищах і середовищах розробки.

Ця стаття Менеджер паролів Bitwarden атаковано через ланцюжок постачання: npm-пакет містив шкідливий код раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Apple випустила позапланове оновлення безпеки для iPhone та iPad, яке закриває вразливість iOS у сховищі сповіщень. Через цей недолік сповіщення, позначені для видалення, могли залишатися на пристрої — саме так ФБР відновило переписку Signal навіть після видалення застосунку.

Деталі патчу: CVE-2026-28950

Оновлення вийшло 22 квітня 2026 року одразу у двох гілках: iOS 26.4.2 / iPadOS 26.4.2 та iOS 18.7.8 / iPadOS 18.7.8. Вразливість отримала ідентифікатор CVE-2026-28950.

У бюлетені безпеки Apple йдеться, що «сповіщення, позначені для видалення, могли несподівано залишатися збереженими на пристрої». Проблему усунуто через покращену редакцію даних. Технічних деталей компанія не розкрила — зокрема, скільки часу дані могли зберігатися та яким чином їх можна було відновити.

Apple не підтвердила й того, чи використовувалась вразливість в реальних атаках. Причину позапланового, а не звичайного циклового оновлення компанія також не пояснила.

Як ФБР відновило переписку Signal: деталі справи

Зв’язок між патчем і гучним розслідуванням розкрило видання 404 Media: за його даними, ФБР відновило копії повідомлень Signal зі смартфона підозрюваного, попри те що їх було видалено в застосунку.

Згідно з нотатками судового процесу, оприлюдненими прихильниками обвинувачених, дані потрапили не з зашифрованого сховища Signal, а з внутрішньої системи зберігання сповіщень iOS. «Повідомлення були відновлені з телефону Шарпа через внутрішнє сховище сповіщень Apple — Signal було видалено, але вхідні сповіщення зберігалися у внутрішній пам’яті», — йдеться у офіційному повідомленні.

404 Media також повідомило, що дані сповіщень збереглися навіть після повного видалення Signal із пристрою.

Apple у своєму бюлетені не посилається на цю справу, однак опис вразливості — несподіване збереження сповіщень — безпосередньо відповідає механізму, описаному у судових матеріалах.

Signal подякував Apple за оперативну реакцію

Компанія Signal позитивно оцінила дії Apple: «Вдячні Apple за швидкі дії та за розуміння ставок у питанні такого роду. Для захисту фундаментального права людини на приватне спілкування потрібна злагоджена робота всієї екосистеми», — йдеться у публічній заяві компанії.

Що варто зробити прямо зараз

Щоб захиститися від несанкціонованого збереження видалених сповіщень, користувачам рекомендується:

Встановити оновлення. Перейдіть до «Параметри» → «Загальні» → «Оновлення ПЗ» та встановіть iOS 26.4.2 / iPadOS 26.4.2 або iOS 18.7.8 / iPadOS 18.7.8 залежно від версії вашого пристрою.

Обмежити вміст сповіщень Signal. Навіть до встановлення патчу можна запобігти потраплянню тексту повідомлень у сховище сповіщень. Для цього відкрийте Signal → «Налаштування» → «Сповіщення» → «Вміст сповіщень» і виберіть «Лише імʼя» або «Без імені й вмісту».

Ця стаття Apple усунула вразливість iOS, через яку ФБР відновило видалені повідомлення Signal раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Microsoft попереджає про нову схему атак, у якій зловмисники використовують можливості зовнішніх чатів Microsoft Teams, щоб видавати себе за IT-персонал і обманом отримувати віддалений доступ до комп’ютерів співробітників. Особливістю цих атак є те, що зловмисники переважно покладаються на легальні інструменти, що ускладнює їхнє виявлення.

Як працює схема

Зловмисники виходять на контакт із жертвою через зовнішній чат Teams, представляючись співробітниками IT-служби або helpdesk. Вони стверджують, що потрібно вирішити проблему з обліковим записом або виконати оновлення безпеки, і переконують жертву розпочати сесію віддаленої підтримки — зазвичай через програму Quick Assist, яка надає атакувальнику повний контроль над комп’ютером співробітника.

Microsoft зафіксувала кілька атак зі схожим ланцюжком дій, у яких використовувалося комерційне програмне забезпечення для віддаленого керування (зокрема Quick Assist) та утиліта Rclone для передачі файлів у зовнішні хмарні сховища.

«Зловмисники дедалі частіше зловживають функцією зовнішньої співпраці в Microsoft Teams, видаючи себе за IT-персонал або службу підтримки та переконуючи користувачів надати віддалений доступ», — зазначає Microsoft.

Дев’ять етапів атаки

У своєму звіті Microsoft описує дев’ятиетапний ланцюжок атаки:

• Перший контакт. Зловмисник звертається до жертви через зовнішній чат Teams під виглядом IT-фахівця компанії.
• Отримання доступу. Жертву переконують запустити сесію віддаленої підтримки через Quick Assist, після чого атакувальник отримує пряме керування машиною.
• Розвідка. За допомогою Command Prompt і PowerShell зловмисник перевіряє привілеї, приналежність до домену та доступність мережевих ресурсів для оцінки можливостей подальшого поширення.
• Впровадження шкідливого коду. У загальнодоступні директорії (наприклад, ProgramData) розміщується невеликий шкідливий пакет, який запускається через підписані легальні програми — Autodesk, Adobe Acrobat/Reader, Windows Error Reporting або ПЗ для захисту від втрати даних — за допомогою техніки DLL side-loading.
• Приховане з’єднання з командним сервером. HTTPS-комунікація з командно-контрольним сервером (C2) маскується під звичайний мережевий трафік.
• Закріплення в системі. Зловмисник забезпечує постійну присутність через модифікації реєстру Windows.
• Горизонтальне переміщення мережею. Через Windows Remote Management (WinRM) атака поширюється на інші системи домену, зокрема контролери домену та інші цінні ресурси.
• Встановлення додаткових інструментів. На доступних системах розгортаються додаткові засоби віддаленого керування.
• Викрадення даних. За допомогою Rclone або аналогічних інструментів зібрані дані передаються до зовнішніх хмарних сховищ. Цей етап є цілеспрямованим: застосовуються фільтри для вибору лише цінної інформації, що зменшує обсяг трафіку та підвищує непомітність операції.

Чому атаки складно виявити

Microsoft особливо наголошує на тому, що шкідлива активність важко відрізняється від звичайної IT-діяльності, оскільки зловмисники використовують виключно легальні програми та стандартні адміністративні протоколи. «Зловмисники використовують довірені інструменти та нативні адміністративні протоколи для горизонтального переміщення мережею та підготовки чутливих даних до викрадення — часто маскуючись під рутинну діяльність IT-підтримки протягом усього циклу вторгнення», — йдеться у повідомленні компанії.

Рекомендації

Microsoft нагадує, що зовнішні контакти в Teams слід за замовчуванням вважати ненадійними. Компанія також звертає увагу на вбудовані попередження безпеки Teams, які явно позначають комунікацію від осіб поза організацією та можливі спроби фішингу.

Адміністраторам корпоративних мереж рекомендується:

• обмежити або ретельно моніторити використання інструментів віддаленої підтримки;
• обмежити використання WinRM виключно контрольованими системами;
• розглядати будь-які запити на віддалений доступ від нібито IT-персоналу через Teams як потенційно підозрілі.

Ця стаття Зловмисники маскуються під IT-підтримку в Microsoft Teams, щоб отримати доступ до корпоративних мереж раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Уявіть замок на вхідних дверях, який ви щодня перевіряєте. Але у вашому будинку є ще один вхід — захований за стіною, про існування якого ви навіть не підозрюєте. Саме так працює бекдор у цифровому світі: він обходить будь-який захист, будь-яку автентифікацію й будь-яку систему виявлення загроз — тихо, непомітно, іноді роками. Для зловмисника це ідеальний інструмент. Для жертви — катастрофа, яку виявляють занадто пізно.

Що таке бекдор: прихований хід у вашу систему

Бекдор (від англ. backdoor — «чорний хід») — це будь-який механізм, що дозволяє отримати несанкціонований або прихований доступ до комп’ютерної системи, мережі чи пристрою в обхід звичайних процедур автентифікації та захисту. На відміну від більшості шкідливого ПЗ, бекдор не обов’язково завдає миттєвої шкоди — його головна цінність у тому, що він залишається непоміченим.

Бекдори бувають двох принципово різних типів за походженням:

• Навмисні бекдори — свідомо вбудовані розробником, виробником або третьою стороною. Їх причини варіюються від технічно виправданих (сервісний доступ для налагодження) до злочинних (шпигунство, саботаж) або юридично примусових (вимоги державних органів).
• Ненавмисні бекдори — вразливості, що виникають через помилки у коді, архітектурні прорахунки або вади криптографічних реалізацій. Технічно вони не є «дверима», але функціонально надають ті самі можливості несанкціонованого доступу.

За рівнем впровадження бекдори класифікують на:

• Апаратні — вбудовані безпосередньо у мікросхеми, процесори, мережеве обладнання або прошивку пристроїв. Найважче виявити та усунути.
• Програмні — закладені в операційні системи, прикладне програмне забезпечення або бібліотеки. Широко поширені та різноманітні за технікою реалізації.
• Криптографічні — слабкі місця у стандартах шифрування або їх реалізаціях, що дозволяють зламати захист без знання ключа.
• Мережеві — приховані точки доступу в маршрутизаторах, комутаторах або мережевих протоколах, що дозволяють перехоплювати або перенаправляти трафік.

Від академічного експерименту до зброї держав: коротка історія бекдорів

Концепція бекдорів з’явилася практично одночасно зі становленням комп’ютерної індустрії — і першими, хто їх задокументував, були самі ж програмісти.

Перше попередження: Thompson і «Роздуми про довіру»

У 1984 році лауреат премії Т’юрінга Кен Томпсон у своїй знаменитій лекції «Reflections on Trusting Trust» описав концептуально бездоганний бекдор, що й досі вважається еталонним прикладом у галузі кібербезпеки. Томпсон продемонстрував, як можна модифікувати компілятор мови C таким чином, щоб він автоматично вбудовував прихований код у будь-яку програму під час компіляції — включно зі своїм власним кодом при наступній перекомпіляції. Навіть бездоганний початковий код програми не міг захистити від такого бекдора, оскільки шкідливий код існував лише у скомпільованому компіляторі.

Цей приклад є актуальним і сьогодні: він демонструє фундаментальну проблему ланцюжка довіри в програмному забезпеченні.

Держави входять у гру: Clipper chip і «законні» бекдори

У 1993 році адміністрація президента США Клінтона запропонувала «Clipper chip» — апаратний чіп для шифрування телефонних розмов із вбудованим механізмом «ескроу»: спецслужби зберігали б копії ключів шифрування і могли розшифровувати переговори за судовим рішенням. Криптографічна спільнота та правозахисники піднялися проти цієї ідеї — вони цілком слушно вказували, що «ключ для держави» неминуче стає ціллю для злочинців. Ініціативу було відкинуто, але дискусія про “законний доступ” (lawful access) не припинилася й донині.

Хронологія ключових подій

Трансформація загрози: як бекдори еволюціонували

Протягом чотирьох десятиліть бекдори пройшли шлях від академічних концепцій та поодиноких технічних витівок до системної, промислово масштабованої зброї. Простежити цю еволюцію — значить зрозуміти, як змінилися ставки у кіберпросторі.

1980–2000-ті: ера одинаків і скрипт-кідів

Перші бекдори були здебільшого справою окремих програмістів — або допитливих дослідників, або зловмисників-одинаків. Їхня мета була відносно проста: збереження прихованого адміністративного доступу до зламаних систем. Технічно це були переважно модифікації системних файлів, встановлення прихованих служб або зміна конфігурацій автентифікації. Масштаб шкоди обмежувався окремими системами або невеликими мережами.

2000–2010-ті: корпоративне шпигунство і перші державні актори

Із розвитком інтернет-комерції та зростанням цінності корпоративних даних бекдори перетворилися на інструмент промислового шпигунства. Організовані злочинні угруповання почали систематично впроваджувати їх у банківське програмне забезпечення та торгові платформи. Одночасно державні структури, передусім США, Китай, Росія та Ізраїль, почали інвестувати в розвиток кіберзброї, у якій бекдори стали ключовим компонентом. Концепція «Advanced Persistent Threat» (APT) — тривалої прихованої присутності в інфраструктурі жертви — нерозривно пов’язана з бекдорами.

2010-ті: атаки на ланцюжки постачання

Коли периметровий захист корпоративних мереж суттєво зріс, найбільш просунуті ініціатори загроз змінили тактику: замість прямої атаки на ціль вони стали атакувати ланцюжки постачання програмного забезпечення. Логіка очевидна: якщо неможливо зламати добре захищену організацію напряму, можна скомпрометувати постачальника програмного забезпечення, яким вона користується. Одне шкідливе оновлення — і бекдор потрапляє до тисяч жертв одночасно. Саме цю тактику блискуче реалізувала атака SolarWinds у 2020 році.

2020-ті: соціальна інженерія, ШІ та відкритий код

Найтривожніша тенденція сучасності — це бекдори, впроваджені через довгострокову соціальну інженерію у проєктах з відкритим кодом. Інцидент із XZ Utils у 2024 році показав, що зловмисники готові витрачати роки, щоб здобути довіру спільноти та права мейнтейнера у критично важливих проєктах. Окремо варто відзначити появу ШІ-інструментів, здатних автоматично генерувати або виявляти потенційно вразливий код — ця технологія стала доступною для обох сторін протистояння.

Сучасні загрози: хто стоїть за бекдорами сьогодні

У 2024–2025 роках ландшафт загроз, пов’язаних із бекдорами, є більш різноманітним і небезпечним, ніж будь-коли. Основні категорії зловмисників принципово відрізняються за мотивацією, ресурсами і техніками.

Державні кібергрупи: найнебезпечніший рівень

Росія. Найбільш документовані угруповання — Cozy Bear (APT29), асоційоване з російською СЗР, та Sandworm, пов’язаний із ГРУ. Їхній арсенал включає бекдори SUNBURST, GraceWire, QUIETCANARY та десятки інших спеціалізованих інструментів. Пріоритетні цілі — урядові установи, критична інфраструктура, оборонний сектор та ЗМІ. В умовах повномасштабного вторгнення проти України використовуються деструктивні бекдори типу WhisperGate і HermeticWiper як підготовча фаза перед кінетичними ударами.

Китай. Угруповання APT40, APT41 та Volt Typhoon спеціалізуються на довготривалому шпигунстві та позиціюванні в критичній інфраструктурі. Характерна риса — вбудовування бекдорів у мережеве обладнання та телекомунікаційні системи для масового перехоплення даних.

Північна Корея. Lazarus Group і суміжні угруповання поєднують кібершпигунство з фінансовими злочинами. Зокрема, бекдори використовуються для атак на криптовалютні біржі та банківські системи з метою обходу міжнародних санкцій.

Атаки на ланцюжки постачання: масштабне ураження через одну точку

Атаки на ланцюжки постачання перетворилися на один із найдієвіших векторів для впровадження бекдорів. Серед найбільш резонансних випадків:

• SolarWinds (2020): бекдор «Sunburst» у платформі Orion потрапив до мереж понад 100 американських компаній і 9 федеральних відомств, включно з Міністерством фінансів і Держдепартаментом. Зловмисники перебували у мережах жертв від 9 до 14 місяців до виявлення.
• Kaseya VSA (2021): бекдор, впроваджений через платформу управління ІТ-інфраструктурою, уразив понад 1500 компаній через їхніх провайдерів керованих послуг (MSP).
• XZ Utils (2024): зловмисник під псевдонімом «Jia Tan» протягом двох років методично будував репутацію надійного розробника, поки не отримав права мейнтейнера та не впровадив бекдор у бібліотеку стиснення, яку використовує SSH-демон у більшості систем Linux.

IoT та вбудовані системи: мільярди незахищених точок входу

Інтернет речей став справжнім раєм для бекдорів. Більшість IoT-пристроїв — від домашніх роутерів до промислових контролерів — розробляються з жорсткими обмеженнями бюджету і без належної уваги до безпеки. Типові проблеми:

• Жорстко закодовані облікові дані в прошивці (hardcoded credentials) — класичний навмисний або ненавмисний бекдор.
• Недокументовані сервісні акаунти для технічної підтримки виробника.
• Прихований SSH/Telnet-доступ, який не відображається в інтерфейсі налаштування.
• Функції автоматичного оновлення без криптографічної верифікації — вектор для впровадження шкідливого ПЗ.

За даними звіту Forescout Vedere Labs за 2024 рік, у понад 50 000 активних мережевих пристроїв різних виробників виявлено відкриті адміністративні інтерфейси з дефолтними або слабкими обліковими даними, що фактично є функціональним аналогом бекдора.

ШІ і майбутнє бекдорів

Поширення великих мовних моделей та ШІ-асистентів для розробки програмного забезпечення відкриває нові вектори загроз. По-перше, ШІ-системи самі можуть містити бекдори — через отруєння навчальних даних або маніпуляції з процесом тонкого налаштування моделей. По-друге, зловмисники активно використовують ШІ для автоматизованого аналізу мільйонів рядків коду у пошуках вразливостей, придатних для перетворення на бекдори. По-третє, ШІ значно спрощує написання складного шкідливого ПЗ із прихованими можливостями доступу — навіть для не надто досвідчених атакувальників.

Бекдори та Україна: контекст повномасштабного вторгнення

Для українських користувачів і організацій загроза бекдорів набуває додаткового вектора. Задокументовані кібератаки, що супроводжували або передували ракетним ударам (NotPetya 2017, BlackEnergy, атаки на енергетичну інфраструктуру), використовували бекдори як початковий вектор доступу. CERT-UA фіксує постійні спроби впровадити бекдори в державні інформаційні системи, системи критичної інфраструктури та медійний сектор.

Окремо: будь-яке програмне забезпечення російського або білоруського походження слід вважати потенційно скомпрометованим і відмовитися від його використання — незалежно від технічного функціоналу та попередньої репутації.

Методи захисту: як виявити бекдор і не допустити його появи

Захист від бекдорів потребує комплексного підходу: жодне окреме рішення не забезпечить повний захист. Нижче — практичні методи для різних рівнів і типів організацій.

Для звичайних користувачів

• Оновлюйте програмне забезпечення та прошивку. Більшість відомих бекдорів і вразливостей закриваються у патчах. Автоматичне оновлення — базовий захід, яким нехтує значна частина користувачів.
• Використовуйте програмне забезпечення з перевіреним походженням. Завантажуйте застосунки лише з офіційних джерел. Піратське або «зламане» програмне забезпечення — один із найпоширеніших векторів поширення бекдорів.
• Змінюйте стандартні облікові дані. На кожному мережевому пристрої — роутері, IP-камері, NAS-сховищі — негайно замінюйте заводські логіни та паролі на унікальні та надійні.
• Моніторте мережеву активність. Незвичний вихідний трафік у нічний час, з’єднання з невідомими IP-адресами або підозріло великі обсяги переданих даних можуть сигналізувати про активний бекдор.
• Використовуйте міжмережевий екран. Програмний брандмауер, що контролює і блокує несанкціоновані з’єднання, ускладнює роботу більшості бекдорів.
• Уникайте програмного забезпечення російського та білоруського походження. Це стосується антивірусів, корпоративних рішень, браузерів, менеджерів файлів та будь-яких інших категорій ПЗ.

Для організацій і ІТ-спеціалістів

• Zero Trust Architecture (ZTA). Відмовтеся від концепції «довіреної внутрішньої мережі». Кожен запит на доступ — незалежно від джерела — має проходити повноцінну автентифікацію та авторизацію.
• Software Bill of Materials (SBOM). Ведіть детальний облік усіх компонентів програмного стеку, включно з відкритими бібліотеками та фреймворками. SBOM дозволяє оперативно реагувати на нові CVE, що стосуються ваших залежностей.
• Аудит коду та статичний аналіз. Регулярний перегляд вихідного коду та використання інструментів SAST (Static Application Security Testing) для виявлення підозрілих конструкцій, прихованих каналів зв’язку або нестандартних механізмів автентифікації.
• EDR/XDR-рішення. Системи Endpoint Detection and Response відстежують поведінку процесів у реальному часі і можуть виявляти аномальні дії, характерні для активного бекдора: незвичні мережеві з’єднання, несподіване виконання коду, маніпуляції з привілейованими обліковими записами.
• Моніторинг мережевого трафіку (NTA/NDR). Аналіз вихідного трафіку за допомогою рішень Network Detection and Response дозволяє виявити Command & Control (C2) з’єднання, що є ознакою активного бекдора або шкідливого ПЗ.
• Управління вразливостями та патч-менеджмент. Систематичне відстеження CVE для всіх компонентів інфраструктури та пріоритизоване усунення критичних вразливостей.
• Перевірка цілісності критичних файлів (FIM). File Integrity Monitoring відстежує несанкціоновані зміни у системних файлах, конфігураціях та бібліотеках — саме там найчастіше «приживаються» програмні бекдори.
• Принцип найменших привілеїв. Кожна служба, акаунт і процес повинні мати рівно стільки прав, скільки потрібно для виконання своєї функції — не більше. Це обмежує можливості бекдора навіть після успішного впровадження.
• Безпека ланцюжка постачання. Верифікуйте цифрові підписи оновлень, використовуйте системи перевірки цілісності артефактів (наприклад, Sigstore), а для критичних компонентів розгляньте власне відтворювання збірок (reproducible builds).

Специфічний захист для України

• Контролюйте програмне забезпечення в організації: проведіть інвентаризацію і позбудьтеся будь-яких продуктів із прив’язкою до росії або білорусі.
• У разі виявлення підозрілої активності — звертайтеся до CERT-UA(cert.gov.ua) або Кіберполіції України (cyberpolice.gov.ua). Для критичної інфраструктури — негайне повідомлення обов’язкове за законом.
• Резервні копії за правилом 3-2-1: три копії на двох різних носіях, одна — офлайн або поза межами мережі. В умовах можливих перебоїв із електропостачанням офлайн-копія має особливе значення.
• Розгляньте переведення критичних систем на рішення з відкритим кодом або продукти від перевірених виробників із прозорою юрисдикцією.

Висновок

Бекдори — не просто технічний артефакт. Це дзеркало відносин між владою та громадянином, між корпорацією та користувачем, між державами у цифровому просторі. Кожна нова велика атака із використанням бекдора підносить один і той самий урок: безпека — це не продукт, який можна купити одного разу, а процес, що вимагає постійної уваги.

Жоден патч не закриє людську довірливість. Жодна система моніторингу не замінить культуру кібербезпеки в організації. І жодне законодавство, яке вимагає «легальних бекдорів» для спецслужб, не може гарантувати, що цим же входом не скористається ворог.

Найкращий захист від бекдора — це знати, що він може існувати. І діяти відповідно.

Ця стаття Бекдор: прихований хід, який ви не бачите — але він бачить вас раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

CERT-UA зафіксувала нову хвилю цілеспрямованих кібератак — під загрозою опинилися комунальні лікарні, органи місцевого самоврядування та оператори FPV-дронів Сил оборони України. Зловмисники використовують шкідливе ПЗ AgingFly, яке практично непомітне для традиційних антивірусів, і починають атаку з листів про «гуманітарну допомогу».

Хто за цим стоїть: угруповання UAC-0247

Протягом березня—квітня 2026 року Національна команда реагування на кіберінциденти CERT-UA зафіксувала активізацію хакерського угруповання UAC-0247. Головними цілями зловмисників стали комунальні заклади охорони здоровʼя — зокрема клінічні лікарні та станції екстреної медичної допомоги, — а також органи місцевого самоврядування. Серед постраждалих виявилися й військовослужбовці Сил оборони України, передусім оператори FPV-безпілотників.

Схема атаки: гуманітарна допомога як приманка

Атака на цивільний сектор починається з електронного листа. Зловмисники представляються представниками благодійної організації та пропонують обговорити надання гуманітарної допомоги. Для більшої переконливості вони або зламують легітимні вебсайти, або створюють підроблені сторінки за допомогою інструментів ШІ.

Жертві пропонують завантажити архів. Усередині знаходиться файл-ярлик, після запуску якого на екрані зʼявляється форма-приманка — вона відволікає увагу, поки у фоновому режимі непомітно встановлюється основний інструмент шпигунства.

Для атак на операторів FPV-дронів хакери обрали інший вектор: через месенджер Signal розповсюджуються архіви під виглядом оновлення програми «BACHU» — спеціалізованого ПЗ для роботи з безпілотниками. Після відкриття такого файлу запускається той самий інструмент.

AgingFly: чим небезпечне нове шкідливе ПЗ

AgingFly — це бекдор, написаний мовою програмування C#. Він надає зловмисникам повний дистанційний доступ до зараженого пристрою: вони можуть виконувати команди, красти файли, робити знімки екрана та перехоплювати введення з клавіатури.

Головна особливість AgingFly полягає в тому, що він отримує команди із сервера керування у вигляді коду та одразу виконує їх безпосередньо в оперативній памʼяті — без запису на диск. Така поведінка дозволяє шкідливому ПЗ обходити більшість антивірусних систем.

Додатковий арсенал: паролі, браузери, WhatsApp

Разом із AgingFly угруповання використовує цілий набір допоміжних інструментів:

• SilentLoop — скрипт, що отримує адресу сервера керування через канали у Telegram.
• ChromElevator — програма для крадіжки збережених паролів та файлів сесії автентифікації з браузерів Chrome, Edge і Brave.
• ZapiXDesk — утиліта, яка дозволяє читати зашифровані бази даних повідомлень WhatsApp.

Після проникнення в систему зловмисники намагаються поширитися по всій локальній мережі установи. У ряді випадків на зламаних компʼютерах фахівці виявляли майнери криптовалют, замасковані під легітимні системні процеси.

Рекомендації CERT-UA: що зробити прямо зараз

CERT-UA рекомендує системним адміністраторам вжити таких заходів:

• Обмежити запуск файлів із розширеннями LNK, HTA та JS
• Заблокувати виконання системних утиліт mshta.exe та powershell.exe для звичайних (не адміністративних) облікових записів — саме ці інструменти найчастіше застосовуються на початкових етапах атак
• Посилити увагу до вхідної електронної пошти — особливо до листів із пропозиціями гуманітарної чи іншої зовнішньої допомоги, до яких додаються архіви або посилання
• Бути обережними з файлами, отриманими через Signal або інші месенджери, навіть якщо вони виглядають як знайомі програмні оновлення

Повідомити про кіберінцидент до CERT-UA можна за адресою: cert@cert.gov.ua або через вебформу на сайті cert.gov.ua.

Ця стаття AgingFly: нове шкідливе ПЗ атакує українські лікарні, місцеву владу та операторів FPV-дронів раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Невідомий зловмисник придбав на торговому майданчику Flippa портфель із понад 30 безкоштовних WordPress-плагінів з багаторічною репутацією — і додав до кожного з них прихований бекдор. Шкідливий код непомітно існував на сайтах вісім місяців, перш ніж був активований у квітні 2026 року. WordPress.org закрив усі 31 плагін в один день.

Купівля репутації: як усе починалося

Портфель плагінів під назвою Essential Plugin (раніше — WP Online Support) будувала індійська команда розробників починаючи з 2015 року. За понад десять років вони створили понад 30 безкоштовних плагінів із преміум-версіями: слайдери, галереї, таймери зворотного відліку, спливаючі вікна, тестимоніали тощо.

Наприкінці 2024 року доходи бізнесу впали на 35–45%, і один із засновників виставив весь портфель на продаж через майданчик Flippa. Покупець, відомий лише як «Kris» із досвідом у SEO, криптовалюті та гемблінг-маркетингу, придбав бізнес за шестизначну суму. Flippa навіть опублікував кейс-стаді про цей правочин у липні 2025 року.

Перший же SVN-коміт нового власника виявився бекдором. Засновник хостингової компанії Anchor Hosting Остін Гіндер опублікував у своєму блозі детальний опис атаки на ланцюг постачання.

Бекдор: вісім місяців очікування

8 серпня 2025 року новий власник випустив версію 2.6.7 плагіна Countdown Timer Ultimate. У журналі змін значилося лише «перевірка сумісності з WordPress 6.8.2». Насправді оновлення додавало прихований модуль, який дозволяв зловмисникові дистанційно керувати сайтом.

Шкідливий код нічого не робив протягом восьми місяців — аж до 5–6 квітня 2026 року, коли атака була активована. Модуль зв’язався із зовнішнім сервером і завантажив файл із назвою, навмисне схожою на стандартний файл WordPress. Далі у файл налаштувань сайту wp-config.php інжектувався масивний блок прихованого коду.

Шкідливе ПЗ показувало спам-посилання та підроблені сторінки лише пошуковим роботам — власники сайтів нічого не бачили. Щоб ускладнити блокування, зловмисники використовували адресу управляючого сервера, закодовану в смарт-контракті Ethereum: традиційне блокування домену не спрацювало б, адже нову адресу можна оновити прямо в блокчейні.

WordPress.org закрив усі плагіни за один день

7 квітня 2026 року команда WordPress.org Plugins Team остаточно закрила всі 31 плагін від автора essentialplugin. 8 квітня платформа примусово оновила плагіни на всіх сайтах до версії 2.6.9.1, яка нейтралізувала механізм зв’язку з сервером зловмисника. Однак примусове оновлення не очистило wp-config.php — якщо сайт вже встиг отримати шкідливий код, той продовжував працювати.

Список уражених плагінів

Перевірте свій сайт на наявність будь-якого з наведених нижче плагінів та негайно видаліть їх:

• Accordion and Accordion Slider
• Album and Image Gallery Plus Lightbox
• Audio Player with Playlist Ultimate
• Blog Designer for Post and Widget
• Countdown Timer Ultimate
• Featured Post Creative
• Footer Mega Grid Columns
• Hero Banner Ultimate
• HTML5 VideoGallery Plus Player
• Meta Slider and Carousel with Lightbox
• Popup Anything on Click
• Portfolio and Projects
• Post Category Image with Grid and Slider
• Post Grid and Filter Ultimate
• Preloader for Website
• Product Categories Designs for WooCommerce
• Responsive WP FAQ with Category (sp-faq)
• SlidersPack — All in One Image Sliders
• SP News And Widget
• Styles for WP PageNavi — Addon
• Ticker Ultimate
• Timeline and History Slider
• Woo Product Slider and Carousel with Category
• WP Blog and Widgets
• WP Featured Content and Slider
• WP Logo Showcase Responsive Slider and Carousel
• WP Responsive Recent Post Slider
• WP Slick Slider and Image Carousel
• WP Team Showcase and Slider
• WP Testimonial with Widget
• WP Trending Post Slider and Widget

Що робити: покроковий алгоритм дій

1. Перевірте список встановлених плагінів. У панелі керування WordPress перейдіть до розділу «Плагіни» і порівняйте з наведеним вище списком.
2. Деактивуйте та видаліть уражені плагіни. Не просто деактивуйте — видаляйте повністю. Шукайте альтернативи від перевірених авторів.
3. Перевірте файл wp-config.php. Відкрийте файл через файловий менеджер хостингу або FTP. Нормальний розмір — близько 3–4 КБ. Якщо файл значно більший (6+ КБ) або ви бачите незрозумілий код у кінці рядка require_once ABSPATH . wp-settings.php — сайт скомпрометований.
4. Якщо wp-config.php заражений — зверніться до фахівця. Просте видалення плагіна не допоможе: необхідне повне очищення сайту, перевірка всіх файлів і, можливо, відновлення з резервної копії, зробленої до 5 квітня 2026 року.
5. Перевірте резервні копії. Порівняйте розмір wp-config.php у резервних копіях за різні дати. Якщо резервні копії зберігаються на хостингу, звернення до служби підтримки допоможе встановити точний момент зараження.
6. Змініть паролі. Після очищення сайту змініть паролі адміністратора WordPress, бази даних та облікового запису хостингу.
7. Встановіть плагін безпеки. Плагіни на кшталт Wordfence або iThemes Security допоможуть виявляти підозрілі зміни файлів у майбутньому.
8. Відстежуйте сповіщення WordPress.org. Коли платформа закриває плагін через безпеку, у панелі адміністратора WordPress з’являється відповідне попередження. Ніколи не ігноруйте ці повідомлення.

Системна проблема: WordPress не перевіряє нових власників плагінів

Це вже не перший подібний випадок. Тижнем раніше аналогічна атака була виявлена з плагіном Widget Logic. У 2017 році покупець плагіна Display Widget (200 000 активних встановлень) так само впровадив спам-код після придбання.

WordPress.org не має жодного механізму для перевірки зміни власника плагіна. Ні сповіщення користувачів, ні додаткової перевірки коду при появі нового коміттера. Команда безпеки платформи відреагувала швидко після виявлення атаки — але між впровадженням бекдора і його виявленням минуло вісім місяців.

Цей інцидент ілюструє ключовий ризик ланцюжка постачання програмного забезпечення: навіть багаторічний надійний інструмент може стати загрозою після зміни власника. Перевіряйте, хто розробляє плагіни, які ви використовуєте, і стежте за змінами в їхньому авторстві.

Ця стаття Хтось купив 31 WordPress-плагін і вбудував бекдор у кожен з них раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

У офіційному Chrome Web Store виявлено понад 100 шкідливих розширень, які викрадають токени автентифікації Google, встановлюють бекдори та здійснюють рекламне шахрайство. Попри те, що компанію Google вже повідомили про проблему, більшість розширень на момент публікації залишаються доступними для завантаження.

Скоординована кампанія під виглядом корисних інструментів

Дослідники компанії Socket, що спеціалізується на безпеці застосунків, встановили, що шкідливі розширення є частиною скоординованої кампанії — всі вони використовують спільну командно-контрольну інфраструктуру (C2). Зловмисники опублікували розширення від імені п’яти різних видавців у кількох категоріях: клієнти бічної панелі Telegram, ігрові автомати та ігри Keno, інструменти для покращення YouTube і TikTok, перекладач тексту, а також різноманітні утиліти.

Кампанія використовує центральний бекенд, розміщений на VPS-сервері Contabo, з кількома піддоменами, які відповідають за перехоплення сесій, збір даних, виконання команд і монетизацію. Дослідники знайшли в коді коментарі, що вказують на російське походження операції та свідчать про модель «шкідливе ПЗ як послуга» (malware-as-a-service, MaaS).

Що саме роблять шкідливі розширення

Дослідники виділили кілька груп розширень залежно від методу атаки:

• 78 розширень впроваджують HTML-код, підконтрольний зловмисникам, безпосередньо в інтерфейс браузера через властивість innerHTML.
• 54 розширення збирають електронну адресу, ім’я, фото профілю та ідентифікатор облікового запису Google жертви, а також викрадають токен Google OAuth2 Bearer — короткочасний токен доступу, що дозволяє застосункам отримувати дані користувача або діяти від його імені.
• 45 розширень містять приховану функцію, яка запускається при старті браузера без будь-якої взаємодії з боку користувача, фактично виконуючи роль бекдора: вона отримує команди від C2 та може відкривати довільні URL-адреси.

Найнебезпечніше розширення — крадіжка сесій Telegram

Окремим випадком дослідники Socket назвали розширення, яке кожні 15 секунд викрадає сесії Telegram Web. Воно витягує дані сесії з localStorage браузера та сесійний токен Telegram Web і надсилає їх на C2-сервер.

«Розширення також обробляє вхідне повідомлення set_session_changed, яке виконує зворотну операцію: очищає localStorage жертви, перезаписує його даними сесії від зловмисника і примусово перезавантажує Telegram», — пояснюють у Socket.

Це дозволяє оператору непомітно підмінити обліковий запис Telegram у браузері будь-якої жертви.

Крім того, виявлено три розширення, які вимикають заголовки безпеки та впроваджують рекламу на YouTube і TikTok, одне, що перенаправляє запити перекладу через шкідливий сервер, а також неактивне розширення для крадіжки сесій Telegram із поетапною інфраструктурою.

Google повідомлено, але розширення досі доступні

Компанія Socket повідомила Google про виявлену кампанію, однак попередила, що всі шкідливі розширення на момент публікації звіту залишаються в Chrome Web Store. Видання BleepingComputer підтвердило доступність більшості з них. Google не відповіла на запити щодо коментаря.

Що варто зробити

Фахівці Socket рекомендують власникам браузера Chrome перевірити список встановлених розширень, порівнявши їхні ідентифікатори з переліком, опублікованим у звіті Socket. У разі збігу — видалити відповідні розширення негайно.

Ця стаття Понад 100 шкідливих розширень Chrome крадуть акаунти Google та Telegram раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Дослідники з кібербезпеки розкрили нову схему рекламного шахрайства, яка поєднує отруєння пошукової видачі (SEO poisoning) та ШІ-генерований контент для просування оманливих новин через стрічку Google Discover. Кінцевою метою кампанії є змусити користувачів підписатися на push-сповіщення зі scareware та фінансовими шахрайствами.

Масштаб та цілі кампанії

Операцію, що отримала назву Pushpaganda, виявила команда Satori Threat Intelligence and Research Team компанії HUMAN. Схема спрямована насамперед на персоналізовані стрічки контенту користувачів Android та Chrome. На піку активності за семиденний період дослідники зафіксували близько 240 мільйонів запитів на ставки (bid requests), пов’язаних із 113 доменами кампанії. Спочатку атаки фіксувалися переважно в Індії, проте згодом операція поширилася на США, Австралію, Канаду, Південну Африку та Велику Британію.

Механізм атаки

Схема побудована на залученні користувачів через Google Discover до підроблених новинних матеріалів, наповнених ШІ-генерованим контентом. Потрапивши на підконтрольний зловмисникам домен, відвідувач отримує пропозицію дозволити push-сповіщення — і після згоди починає отримувати фіктивні юридичні погрози та шахрайські повідомлення. При кліці на такі сповіщення користувач потрапляє на додаткові сайти зловмисників, де вбудована реклама приносить шахраям незаконний дохід.

«Ця операція генерує недійсний органічний трафік із реальних мобільних пристроїв, обманюючи користувачів і змушуючи їх підписуватися на сповіщення, які містять тривожні повідомлення», — йдеться у звіті дослідників Louisa Abel, Vikas Parthasarathy, João Santos та Adam Sell.

ШІ як зброя для маніпуляцій

Гавін Рід (Gavin Reid), директор з інформаційної безпеки HUMAN, зазначив, що знахідки демонструють, як зловмисники використовують ШІ для захоплення довірених платформ виявлення контенту та перетворення їх на інструменти поширення скерлякерів, діпфейків і фінансових шахрайств. Google вже випустила виправлення для усунення проблеми зі спамом.

Варто зауважити, що це не перший випадок, коли зловмисники застосовують push-сповіщення для перенаправлення на підозрілі сайти. У вересні 2025 року компанія Infoblox описала загрозливого актора Vane Viper, який систематично зловживав push-сповіщеннями для показу реклами та проведення соціоінженерних атак у стилі ClickFix.

«Загрози на основі шкідливого ПЗ, що залучають push-сповіщення — як для веб, так і для мобільних платформ, — не є новим явищем, особливо з огляду на те, як вони створюють відчуття терміновості. У багатьох випадках користувачі поспішно клацають — або щоб позбутися сповіщення, або щоб дізнатися більше, — що робить їх ефективним інструментом в арсеналі авторів шкідливого ПЗ», — прокоментувала Ліндсі Кей (Lindsay Kaye), віцепрезидент з аналізу загроз HUMAN Security.

Позиція Google

Представник Google повідомив, що компанія утримує переважну більшість спаму подалі від Discover завдяки надійним системам боротьби зі спамом та правилам щодо нових форм низькоякісного маніпулятивного контенту. За словами представника, ще до ознайомлення зі звітом HUMAN компанія вже запровадила виправлення для виявленої проблеми.

Google також підтвердила, що регулярно оновлює алгоритми для виявлення контенту, що порушує правила та намагається маніпулювати рейтингами Search і Discover. Згідно з настановами компанії щодо ШІ-генерованого контенту в пошуку, будь-яке використання ШІ для виробництва контенту з метою маніпуляції рейтингами є порушенням антиспамових правил.

Зв’язок з операцією Low5

Нові дані опубліковані менш ніж через місяць після того, як HUMAN виявила колекцію із понад 3 000 доменів та 63 Android-застосунків, що формують одну з найбільших коли-небудь виявлених торгових майданчиків для відмивання коштів від рекламного шахрайства. Операція отримала назву Low5 — через використання ігрових та новинних сайтів на основі HTML5 — і на піку активності генерувала близько 2 мільярдів запитів на ставки на день, потенційно охоплюючи до 40 мільйонів пристроїв по всьому світу.

Схема Low5 пов’язана зокрема з кампанією BADBOX 2.0, а застосунки, задіяні в операції, наказували пристроям відвідувати підключені домени та клікати на вбудовану рекламу. Усі причетні Android-застосунки вже видалено з Google Play Store.

«Спільний монетизаційний шар, що охоплює понад 3 000 доменів, дозволяє різним зловмисникам підключатися до одної інфраструктури, створюючи розподілену систему відмивання, яка підвищує стійкість загрози, ускладнює атрибуцію та уможливлює швидке тиражування», — зазначили у HUMAN.

Компанія також підкреслила: монетизаційна інфраструктура здатна пережити навіть ліквідацію конкретної шахрайської кампанії. Навіть якщо певний шкідливий застосунок або мережу пристроїв буде відключено, ті самі домени для виведення коштів можуть бути повторно використані іншими зловмисниками.

Ця стаття Операція Pushpaganda: як ШІ-контент і push-сповіщення перетворили Google Discover на інструмент шахраїв раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Booking.com підтвердив факт кіберінциденту: зловмисники отримали доступ до персональних даних частини користувачів, пов’язаних з їхніми бронюваннями. Компанія вжила негайних заходів — примусово скинула PIN-коди для активних і завершених бронювань та повідомила постраждалих користувачів електронною поштою.

Що таке Booking.com і чому це важливо

Booking.com — одна з найбільших онлайн-платформ для подорожей у світі. Сервіс дозволяє бронювати житло, авіаквитки, оренду автомобілів, таксі до аеропортів і туристичні враження, виступаючи посередником між мандрівниками та постачальниками послуг гостинності. Щороку через платформу проходять сотні мільйонів бронювань.

Які дані могли бути скомпрометовані

Упродовж вихідних численні користувачі повідомили про отримання листів з офіційної адреси noreply@booking.com із попередженням про кіберінцидент. У листах йшлося про можливий несанкціонований доступ до персональних даних, зокрема:

• повних імен;
• електронних адрес;
• поштових адрес;
• номерів телефонів;
• переписки з постачальниками житла.

До того ж повідомлення містило оновлений PIN-код для конкретного номера бронювання та закликало з обережністю ставитися до підозрілих листів і дзвінків. Компанія нагадала, що ніколи не запитує конфіденційну інформацію та не просить здійснювати банківські перекази.

Читайте також: Що таке шахрайство на Booking.com і як його уникнути?

Офіційне підтвердження інциденту

Інцидент підтвердила керівниця відділу комунікацій Booking.com Сейдж Гантер: «Нещодавно ми зафіксували підозрілу активність — несанкціоновані треті сторони отримали доступ до деяких даних бронювань наших гостей. Після виявлення активності ми вжили заходів для усунення проблеми, оновили PIN-коди для відповідних бронювань і повідомили постраждалих гостей».

Компанія не розкрила кількість постраждалих, однак запевнила, що кожен з них отримає індивідуальне повідомлення. Служба підтримки клієнтів кількома мовами, за словами представників компанії, доступна цілодобово.

Варто бути обережними

Окремі користувачі в Reddit повідомляли, що стали жертвами шахраїв, які, вочевидь, мали доступ до приватних даних їхніх бронювань. Чи пов’язані ці випадки з нещодавно підтвердженим витоком — наразі невідомо.

Компанія також звертає увагу: слід бути обережними з листами, що нібито надходять від забронійованого об’єкта розміщення або від самого Booking.com. Переходити за посиланнями в таких листах не рекомендується. Примітно, що частина користувачів, які отримали попереджувальні листи, не побачила жодних сповіщень у мобільному застосунку сервісу — це спричинило додаткову плутанину щодо автентичності повідомлень.

Ця стаття Новий витік даних Booking.com: сервіс примусово скидає PIN-коди бронювань раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Спецслужби Німеччини, ФБР та АНБ попереджають про масштабну хакерську кампанію, спрямовану проти роутерів TP-Link та інших виробників. За атаками стоїть російське угруповання Fancy Bear (APT 28), яке використовує вразливості у маршрутизаторах для перехоплення інтернет-трафіку та викрадення конфіденційної інформації.

Хто атакує і навіщо

Угруповання Fancy Bear, пов’язане з російською військовою розвідкою ГРУ, раніше здійснювало кібератаки на компанії, що підтримують Україну, на німецьку службу управління авіарухом та штаб-квартиру партії СДПН у Німеччині. Тепер хакери переключилися на інфраструктуру звичайних користувачів і організацій.

Федеральне відомство із захисту конституції Німеччини (BfV) повідомило, що угруповання «інфільтрувало вразливі роутери TP-Link по всьому світу з метою отримання військової інформації, державних даних або відомостей про критичну інфраструктуру». За даними Spiegel Netzwelt, ще в середині березня низку компаній та приватних осіб було повідомлено про загрозу — зокрема, з переліком уражених пристроїв. У розслідуванні також беруть участь ФБР та АНБ США. Перші задокументовані інциденти датуються щонайменше 2024 роком, а в Німеччині вже ідентифіковано 30 пристроїв, які могли бути використані для таких атак.

Як працює атака

Застосована техніка отримала назву DNS hijacking — «викрадення DNS». Зламавши роутер, хакери змінюють налаштування DNS-серверів, унаслідок чого користувач замість справжнього сайту потрапляє на підроблений. Мета — змусити людину ввести логін, пароль або банківські дані. В окремих випадках шкідливе ПЗ потрапляє на пристрій через завантаження файлів із таких фальшивих ресурсів.

Як захиститися

Уразливість у роутерах TP-Link, яку використовують зловмисники, вже виправлена виробником. Власникам таких пристроїв рекомендується якнайшвидше перевірити наявність актуального оновлення прошивки та встановити його через панель адміністрування роутера.

Також варто звертати увагу на типові ознаки DNS hijacking:

• часті перенаправлення на сторонні сайти;
• попередження від браузера або антивірусного програмного забезпечення;
• помітне збільшення кількості спливаючих вікон і підозрілої реклами;
• незвично тривале завантаження сторінок попри стабільне з’єднання;
• змінені адреси DNS-серверів у налаштуваннях роутера.

Ця стаття Fancy Bear: російські хакери атакують роутери TP-Link для викрадення паролів і держданих раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Євросоюз готується замінити символічну кнопку «мені вже є 18 років» на справжню технічну систему верифікації віку. Після формальних розслідувань проти великих порнографічних платформ та Snapchat Єврокомісія просуває концепцію так званого Age Verification Blueprint — цифрового гаманця для перевірки віку без розкриття особистих даних.

Що передувало змінам

У травні 2025 року Єврокомісія відкрила офіційні провадження проти Pornhub, Stripchat, XNXX та XVideos за підозрою у порушенні Акту про цифрові послуги (Digital Services Act, DSA). Цей закон, що набрав чинності у 2024 році, зобов’язує великі платформи дотримуватися прозорості, оперативно видаляти незаконний контент і управляти системними ризиками — зокрема, захищати неповнолітніх.

У березні 2026 року розслідування дійшло попередніх висновків: усі чотири сайти дозволяють неповнолітнім отримувати доступ до своїх послуг через просте одноклікове підтвердження. Єврокомісія визнала такий механізм цілковито неприйнятним з погляду правових вимог.

Паралельно у полі зору Комісії опинився Snapchat. За результатами окремого розслідування, платформа, імовірно, порушила DSA, піддаючи неповнолітніх ризику грумінгу та вербування для злочинних цілей, а також контенту, пов’язаному з продажем наркотиків, електронних сигарет та алкоголю.

DSA прямо не зобов’язує платформи запроваджувати перевірку віку, однак для так званих дуже великих онлайн-платформ (Very Large Online Platforms, VLOP) — тих, що мають понад 45 мільйонів активних користувачів на місяць у ЄС, — Комісія очікує конкретних кроків для зниження системних ризиків, пов’язаних із захистом дітей. Штраф за невиконання може сягати 18 мільйонів євро або 10% річного глобального обороту компанії.

Як працюватиме Age Verification Blueprint

На пресконференції за участю посадовців Єврокомісії Прабхата Агарвала та Ренате Ніколай було роз’яснено технічну концепцію нової системи. Її мета — підтвердити, що користувач досяг певного віку, не передаючи платформі ані імені, ані дати народження, ані будь-яких інших персональних даних.

Age Verification Blueprint — це мобільний застосунок, що функціонує як цифровий гаманець. Користувач завантажує застосунок, один раз підтверджує свій вік за допомогою електронного посвідчення особи, паспорта, банківського застосунку або іншої національної системи ідентифікації, — і після цього може довести, що йому виповнилося 18 років, на будь-якому сумісному сайті, не пред’являючи документи щоразу заново.

В основі системи лежить принцип selective disclosure — вибіркового розкриття даних. Застосунок не повідомляє сайту дату народження користувача. Він лише відповідає на запитання «Чи досягла ця особа 18 років?» криптографічно верифікованим «так» або «ні». Облікові дані передаються у вигляді одноразових токенів, що теоретично унеможливлює відстеження активності між різними сесіями на одному сайті.

Зв’язок із загальноєвропейськими цифровими посвідченнями

Age Verification Blueprint розроблено як проміжний крок до загальноєвропейських цифрових гаманців (EU Digital Identity Wallets, EUDI Wallets), які деякі країни ЄС мають запровадити до кінця 2026 року. Ці гаманці дозволять громадянам зберігати в одному застосунку не лише підтвердження віку, а й посвідчення особи, документи про освіту, водійські права та інші особисті атрибути.

П’ять країн-членів ЄС уже цього року беруть участь в пілотному тестуванні системи, проте прогрес нерівномірний. На пресконференції зазначалося, що Франція та Данія значно просунулися вперед, тоді як Греція, Іспанія та Італія відстають. Саме тому деякі експерти скептично оцінюють реалістичність запровадження цифрового гаманця у встановлені терміни.

Альтернативи та американський досвід

На європейському ринку перевірки віку вже присутні кілька гравців. Зокрема, Yoti — сервіс, яким TikTok користується в Європі поряд з іншими методами верифікації, як-от кредитні картки та документи. Інший приклад — Persona, яку використовують Roblox, Discord та Reddit.

Саме модель Persona наочно демонструє ризики, яких Єврокомісія прагне уникнути. Сервіс збирає відбитки пальців, використовує розпізнавання облич, звіряє зовнішність із базами даних і зберігає ці дані до трьох років. У лютому 2026 року стало відомо, що Persona публічно відкрила доступ до тисяч файлів в інтернеті. Компанія заявила, що йшлося про ізольоване тестове середовище і що реальні дані користувачів не постраждали, а також що вона не передає дані урядовим структурам США.

Американський досвід загалом показує ризики систем верифікації, що базуються на масовому зборі ідентифікаційних даних. Єврокомісія просуває іншу концепцію: не «доведи, хто ти є, щоб я перевірив твій вік», а «просто доведи свій вік, не розкриваючи нічого зайвого». Архітектура системи є відкритою (open source), що дозволяє як країнам-членам, так і ринковим гравцям розробляти національні або похідні версії. Серед перспективних європейських провайдерів на пресконференції назвали Scytales і T-Systems.

Комісія також описала «трикутну» архітектуру системи: третя сторона підтверджує, що користувач відповідає потрібній характеристиці — зокрема, досяг необхідного віку, — не передаючи сайту жодних документів чи особистих даних. Для спрощення розуміння концепції Комісія навела аналогію з COVID-сертифікатами.

Очевидна вразливість

Попри технічну перспективність, між обіцянками системи та соціальною реальністю залишається суттєва прірва. Як зазначалося на пресконференції, Age Verification Blueprint спрямований передусім на те, щоб сайт дізнавався якомога менше про користувача, — але аж ніяк не вирішує найпростішого способу обходу: неповнолітній може скористатися телефоном, обліковими даними або документами дорослого. Тобто система, можливо, і скоротить обсяг персональних даних в обігу, однак автоматично не усуне ризик фактичного обходу перевірки віку.

Попри це, Age Verification Blueprint наразі виглядає як найбільш перспективне рішення. Єврокомісія уточнила, що це не єдиний можливий варіант: двері відкриті для альтернатив за умови, що вони будуть «однаково ефективними». Pornhub вже бере участь у пілотній фазі, інших операторів також запрошено до участі.

Таким чином, Євросоюз може стати першою великою «лабораторією», де перевірка віку перетвориться з формальності на реальну інфраструктуру — з усіма перевагами та ризиками, які це несе.

Ця стаття ЄС розробляє Age Verification Blueprint — реальну систему перевірки віку в інтернеті раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Anthropic оголосила Project Glasswing — масштабну міжгалузеву ініціативу з кібербезпеки, до якої долучилися Amazon Web Services, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, Palo Alto Networks, Broadcom та Linux Foundation. В основі ініціативи — новітня модель Claude Mythos Preview, яка вже знайшла тисячі критичних zero-day вразливостей у всіх основних операційних системах і браузерах, зокрема деякі з них існували непоміченими десятиліттями.

Що таке Project Glasswing

Project Glasswing — це спільна оборонна ініціатива, мета якої полягає в тому, щоб поставити найпотужніші можливості ШІ у галузі кібербезпеки на службу захисту, а не нападу. Каталізатором стала демонстрація можливостей Claude Mythos Preview — нової закритої моделі Anthropic, яка, за словами компанії, перевершує більшість людей-експертів у виявленні та експлуатації програмних вразливостей.

Учасники програми отримають доступ до Mythos Preview для пошуку вразливостей у своїх ключових системах — тих, що формують значну частину спільної поверхні кіберзагроз у світі. Очікується, що робота буде зосереджена на локальному виявленні вразливостей, тестуванні бінарних файлів методом «чорної скриньки», захисті кінцевих точок і тестуванні систем на проникнення.

Що вже знайшов Claude Mythos Preview

За кілька тижнів використання модель виявила тисячі zero-day вразливостей — тобто таких, що раніше були невідомі розробникам відповідного програмного забезпечення. Ці вразливості охоплюють усі основні операційні системи та всі основні браузери, а також широкий спектр іншого критичного ПЗ. Показово, що більшість знахідок модель зробила цілком автономно, без втручання людини.

Серед конкретних прикладів, розкритих після виправлення:

• 27-річна вразливість в OpenBSD — операційній системі, що вважається однією з найзахищеніших у світі та застосовується для роботи файрволів та іншої критичної інфраструктури. Вразливість дозволяла зловмиснику дистанційно аварійно завершити роботу будь-якого пристрою просто підключившись до нього;
• 16-річна вразливість у FFmpeg — широко використовуваній бібліотеці для кодування та декодування відео. Проблема містилася в рядку коду, який автоматизовані інструменти тестування перевіряли п’ять мільйонів разів, так її й не виявивши;
• Ланцюжок вразливостей у ядрі Linux — ПЗ, яке забезпечує роботу більшості серверів у світі. Поєднавши кілька вразливостей, модель змогла продемонструвати шлях від звичайних прав користувача до повного контролю над машиною.

Усі три вразливості вже виправлені. По значній кількості інших Anthropic опублікувала криптографічний хеш деталей і розкриє специфіку після виходу виправлень.

Порівняння з попередніми моделями

На бенчмарку CyberGym, який оцінює відтворення вразливостей, Mythos Preview набрав 83,1% проти 66,6% у Claude Opus 4.6. Подібне випередження спостерігається і в загальних завданнях розробки ПЗ: на SWE-bench Verified модель досягла 77,8% проти 53,4%, на Terminal-Bench 2.0 — 93,9% проти 80,8% у Opus 4.6.

Чому це важливо для кіберзахисту

Як пояснюють в Anthropic, та сама здатність, що робить ШІ-модель небезпечною в руках зловмисників, робить її безцінною для захисників: раніше пошук та усунення вразливостей вимагав рідкісної експертизи та значних часових витрат. Тепер той самий процес можна масштабувати.

Особливу тривогу викликає те, що аналогічні можливості незабаром можуть з’явитися у зловмисників. Якщо сьогодні знайти та проексплуатувати критичну вразливість під силу лише найкваліфікованішим фахівцям, то в міру поширення потужних ШІ-моделей цей бар’єр стрімко знизиться. У відповідь на це Project Glasswing прагне дати захисникам перевагу ще до того, як ця зміна відбудеться.

На більш широкому геополітичному рівні Anthropic звертає увагу на загрози з боку державних ініціаторів загроз — зокрема, пов’язаних із росією, Китаєм, Іраном і Північною Кореєю — та наголошує, що захист критичної інфраструктури є пріоритетом національної безпеки для демократичних країн.

Фінансові зобов’язання та доступ

Anthropic виділяє до 100 млн доларів у вигляді кредитів на використання Mythos Preview для учасників програми. Крім того, компанія передає 2,5 млн доларів організаціям Alpha-Omega та OpenSSF через Linux Foundation та 1,5 млн доларів — Apache Software Foundation для підтримки супровідників відкритого ПЗ.

Доступ до моделі вже отримали понад 40 організацій, що розробляють або підтримують критичну програмну інфраструктуру. Після завершення дослідницького превью Mythos Preview буде доступна учасникам за 25 доларів за мільйон вхідних токенів і 125 доларів за мільйон вихідних — через Claude API, Amazon Bedrock, Google Cloud Vertex AI та Microsoft Foundry.

Що далі

Anthropic не планує надавати Claude Mythos Preview у загальний доступ. Компанія розробляє засоби захисту, покликані виявляти і блокувати найнебезпечніші результати роботи моделі, та планує впровадити їх з майбутнім релізом Claude Opus. Протягом 90 днів Anthropic обіцяє публічно звітувати про результати: кількість виправлених вразливостей, здобуті уроки та практичні рекомендації щодо того, як мають змінитися підходи до безпеки в епоху ШІ.

У більш довгостроковій перспективі компанія розраховує на формування незалежного галузевого органу — з представниками приватного та державного секторів, — який зможе взяти на себе відповідальність за масштабні кіберпроєкти, подібні до Project Glasswing.

Ця стаття ШІ знайшов тисячі критичних уразливостей в основних ОС та браузерах — Anthropic представляє Project Glasswing раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня