Протягом останнього десятиліття десятки журналістів та правозахисників у всьому світі стали жертвами урядового кібершпигунства. Спецслужби Ефіопії, Греції, Угорщини, Індії, Мексики, Польщі, Саудівської Аравії та ОАЕ використовували шпигунське програмне забезпечення для компрометації телефонів активістів, деякі з яких згодом зазнали насильства, залякування, а в екстремальних випадках навіть вбивства.

Технологічні компанії дедалі активніше попереджають користувачів про те, що вони стали мішенями державних хакерів, особливо тих, хто використовує spyware від компаній Intellexa, NSO Group та Paragon Solutions. Але після відправки сповіщення ці компанії усувають руки, лише направляючи користувачів до тих, хто може допомогти.

Сприймайте попередження серйозно

Якщо ви отримали сповіщення про те, що стали мішенню державних хакерів, не ігноруйте його. Apple, Google та WhatsApp мають величезні обсяги телеметричних даних про своїх користувачів, їхні пристрої та онлайн-акаунти. Команди безпеки цих компаній роками полюють, вивчають та аналізують подібні зловмисні дії.

Важливо розуміти: у випадку Apple та WhatsApp отримання сповіщення не обов’язково означає успішний злом. Можливо, спроба провалилася, але компанії все одно повідомляють про неї. У випадку Google найімовірніше компанія заблокувала атаку і рекомендує увімкнути багатофакторну автентифікацію, в ідеалі фізичний ключ безпеки або passkey, а також активувати Advanced Protection Program для додаткових рівнів захисту облікового запису.

Для користувачів Apple критично важливо увімкнути Режим карантину, який активує низку функцій безпеки, що значно ускладнюють атаки. Apple стверджує, що жодного разу не зафіксувала успішного злому користувача з увімкненим Режимом карантину, хоча жодна система не є ідеальною.

П’ять базових правил захисту

Мохаммед Аль-Маскаті, директор Digital Security Helpline від Access Now, глобальної команди експертів безпеки, що працює цілодобово та розслідує випадки використання шпигунського ПЗ проти представників громадянського суспільства, рекомендує:

Тримати операційні системи та додатки на пристроях постійно оновленими. Увімкнути Режим карантину від Apple та Advanced Protection для облікових записів Google і пристроїв Android. Бути обережними з підозрілими посиланнями та вкладеннями. Регулярно перезавантажувати телефон. Звертати увагу на зміни в роботі пристрою.

Цілодобова служба допомоги для жертв кібершпигунства

У боротьбі за захист високоризикових спільнот ключову роль відіграє команда з дюжини експертів із цифрової безпеки. Вони працюють у Digital Security Helpline, підрозділі некомерційної організації Access Now, розташованої в Нью-Йорку. Їхня місія полягає в тому, щоб бути командою, до якої можуть звернутися журналісти, правозахисники та дисиденти, якщо підозрюють компрометацію за допомогою комерційного spyware.

За словами Білла Марчака, старшого дослідника Citizen Lab Університету Торонто, який досліджує шпигунське ПЗ протягом майже 15 років, Digital Security Helpline від Access Now є ресурсом першої лінії для журналістів та інших осіб, які могли стати мішенню або жертвою такого програмного забезпечення.

Коли Apple надсилає користувачам сповіщення про загрозу, попереджаючи про атаку комерційного spyware, технологічний гігант направляє жертв саме до слідчих Access Now.

Тисяча випадків на рік

Хассен Сельмі, керівник команди реагування на інциденти в Helpline, та його колеги зараз розглядають близько тисячі випадків підозрюваних урядових атак spyware на рік. Приблизно половина з них переростає в справжні розслідування, і лише близько 5 відсотків, приблизно 25 випадків, завершуються підтвердженням зараження шпигунським ПЗ.

Коли Сельмі почав цю роботу в 2014 році, Access Now розслідувала лише близько 20 випадків підозрюваних атак на місяць. Тоді в кожному часовому поясі працювало три-чотири людини в Коста-Ріці, Манілі та Тунісі, локаціях, які дозволяли мати когось онлайн протягом усього дня. Команда не набагато більша зараз: у Helpline працює менше 15 людей.

Зростання кількості випадків пов’язане з кількома обставинами. По-перше, Helpline стала більш відомою. По-друге, урядове шпигунське ПЗ стало глобальним і доступнішим, що потенційно призводить до більшої кількості випадків зловживань. Нарешті, команда провела більше інформаційної роботи серед потенційних цільових груп.

Як працює розслідування

Коли хтось зв’язується з Helpline, слідчі спочатку підтверджують отримання звернення, потім перевіряють, чи відповідає особа мандату організації, тобто чи є вона частиною громадянського суспільства, а не, наприклад, бізнес-керівником чи законодавцем.

Після початкової оцінки слідчі ставлять запитання: чому людина вважає, що стала мішенню, який пристрій вона використовує. Зазвичай спочатку проводиться первинна перевірка через діагностичний звіт, який можна створити на пристрої та надіслати розслідувачам віддалено. На цьому етапі не потрібно передавати пристрій комусь. Ця перевірка може виявити ознаки атаки або навіть зараження, але може й нічого не показати.

Після обмеженої віддаленої перевірки пристрою через інтернет слідчі можуть попросити надіслати більше даних, наприклад, повну резервну копію пристрою або навіть сам пристрій для ретельнішого аналізу.

Для кожного відомого типу експлойту, який використовувався протягом останніх п’яти років, у команди є процес перевірки. Фахівці Helpline, які управляють комунікацією і часто розмовляють мовою жертви, також дають поради щодо дій: чи варто отримати інший пристрій або вжити інших запобіжних заходів.

Розслідування може зайняти час, оскільки сучасне державне шпигунське ПЗ намагається приховати та видалити свої сліди. Сельмі пояснює: сучасна стратегія spyware полягає в тому, щоб швидко вкрасти дані і зникнути. Після зараження пристрою програмне забезпечення краде якомога більше інформації, після чого намагається видалити всі сліди та деінсталюватися. На жаль, це означає, що сучасне шпигунське ПЗ може не залишити жодних слідів.

Інструменти для самостійної перевірки

Існують opensource інструменти, які будь-хто може використовувати для виявлення підозрілих атак spyware на своїх пристроях, хоча це вимагає певних технічних знань. Наприклад, Mobile Verification Toolkit (MVT) дозволяє шукати forensic сліди атаки самостійно.

Куди ще можна звернутися по допомогу

Якщо ви журналіст, дисидент, науковець або правозахисник, є організації, які можуть допомогти. Крім Digital Security Helpline від Access Now, можна звернутися до Amnesty International, яка має власну команду розслідувачів, або до The Citizen Lab, групи цифрових прав при Університеті Торонто, що розслідує зловживання spyware майже 15 років. Для журналістів також доступна допомога від Reporters Without Borders, яка має власну лабораторію цифрової безпеки.

Політики та бізнес-керівники, які не входять до цих категорій, матимуть звернутися до приватних компаній, що спеціалізуються на розслідуванні таких випадків: iVerify створює додаток для Android та iOS з опцією глибокого forensic розслідування; Safety Sync Group, стартап відомого експерта з безпеки Метта Мітчелла, допомагає вразливим групам захищатися від спостереження; Hexordia, стартап forensic дослідниці Джессіки Гайд; Lookout, компанія з мобільної кібербезпеки з досвідом аналізу державного spyware з усього світу.

Глобальна мережа підтримки CiviCERT

Кожен випадок, який розглядає організація, унікальний. Helpline також підтримує подібні команди розслідувачів у деяких регіонах світу, ділячись документацією, знаннями та інструментами в рамках коаліції CiviCERT, глобальної мережі організацій, які можуть допомогти членам громадянського суспільства, що підозрюють атаку шпигунського ПЗ.

Незалежно від того, де знаходяться жертви, вони мають людей, з якими можуть поговорити та до яких можуть звертатися. Те, що ці люди розмовляють їхньою мовою та знають їхній контекст, дуже допомагає.

Ця стаття Що робити, якщо вас атакували державні хакери: повний гайд із захисту від урядового кібершпигунства раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Компанія Anthropic повідомила про тривожний випадок використання її штучного інтелекту китайськими державними хакерами для проведення кібератак. За даними компанії, зловмисники змогли автоматизувати щонайменше 80% своєї хакерської кампанії, спрямованої проти приблизно 30 глобальних цілей.

Це перша документована кампанія кібершпигунства, в якій штучний інтелект виконував операції практично автономно. Атака, здійснена в середині вересня 2025 року, продемонструвала якісно новий рівень загрози в галузі кібербезпеки.

Масштаби операції

За висновками розслідування Anthropic, зловмисники — ймовірно, китайська державна хакерська група — маніпулювали інструментом Claude Code для проникнення приблизно в 30 організацій по всьому світу. Серед цілей були великі технологічні компанії, фінансові установи, підприємства хімічної промисловості та урядові агенції. Атакувальникам вдалося успішно зламати кілька з них.

Виявивши підозрілу активність, Anthropic негайно розпочала розслідування. Протягом наступних десяти днів компанія встановила повний масштаб операції, заблокувала виявлені облікові записи, повідомила постраждалі організації та координувала дії з правоохоронними органами.

Принципи роботи ШІ-атаки

Кібератака використовувала три ключові можливості сучасних ШІ-моделей, які стали доступними лише протягом останнього року:

Висока продуктивність. Моделі досягли рівня розвитку, коли можуть виконувати складні інструкції та розуміти контекст для виконання надзвичайно складних завдань. Зокрема, їхні навички програмування роблять їх ефективним інструментом для кібератак.

Автономність. ШІ-моделі можуть працювати як агенти — тобто виконувати дії у циклі, поєднувати завдання та приймати рішення з мінімальним втручанням людини.

Інструментарій. Моделі мають доступ до широкого спектру програмних інструментів, включно з пошуком в інтернеті, отриманням даних та спеціалізованим програмним забезпеченням для злому паролів і сканування мереж.

Етапи атаки

На першому етапі оператори-люди обрали цілі та розробили систему автоматизованого проникнення, яка використовувала Claude Code для виконання операцій. Щоб обійти вбудовані в Claude засоби безпеки, зловмисники розбивали атаки на дрібні, нешкідливі на вигляд завдання, які ШІ виконував без розуміння їх справжньої мети. Крім того, вони повідомляли Claude, що він використовується легітимною компанією кібербезпеки для оборонного тестування.

На наступних етапах Claude Code аналізував системи організацій-цілей, виявляв найцінніші бази даних, шукав уразливості в системах безпеки та самостійно писав експлойт-код. ШІ збирав облікові дані для отримання доступу, викрадав великі обсяги конфіденційних даних, класифікував їх за розвідувальною цінністю, створював бекдори та готував детальну документацію атаки для операторів.

В цілому, штучний інтелект виконував 80-90% роботи кампанії, а втручання людини потрібне було лише у 4-6 критичних точках прийняття рішень. На піку атаки ШІ робив тисячі запитів, часто кілька за секунду — швидкість, яку жодна команда хакерів-людей не змогла б досягти.

За інформацією Anthropic, китайські хакери цілеспрямовано використовували можливості штучного інтелекту для:

• Автоматизації процесу написання шкідливого коду
• Прискорення аналізу вразливостей у цільових системах
• Оптимізації методів проникнення в захищені мережі
• Покращення техніки приховування слідів атак

Наслідки для кібербезпеки

Виявлена атака підтверджує різке зниження порогу входу для проведення складних кібероперацій. З правильними налаштуваннями навіть менш досвідчені та ресурсні групи тепер можуть виконувати масштабні атаки, які раніше вимагали цілих команд кваліфікованих спеціалістів.

Це якісна зміна порівняно з попередніми випадками зловживань ШІ, про які Anthropic повідомляла влітку 2025 року: тоді люди активно керували операціями, тоді як у новій кампанії участь людини була мінімальною, незважаючи на значно більший масштаб.

Anthropic наголошує, що ті самі можливості Claude, які використовуються для атак, є критично важливими для захисту від них. Компанія застосовувала власну ШІ-модель для аналізу величезних обсягів даних під час розслідування цієї атаки.

Фахівці з кібербезпеки рекомендують організаціям терміново впроваджувати ШІ для оборони — зокрема для автоматизації центрів операцій безпеки, виявлення загроз, оцінки вразливостей та реагування на інциденти. Розробникам слід посилювати засоби захисту у своїх ШІ-платформах для запобігання зловживанням.

Повний звіт про розслідування доступний на сайті Anthropic.

Ця стаття Китайські хакери використали ШІ Anthropic для кібершпигунства проти 30 цілей раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Злочинці сидять в Інтернеті так само, як і ми з вами. Декому цікаво щось зламати, дехто хоче розбагатіти нечесним шляхом, а декому хочеться змінити світ. Одні з них — це “одинокі вовки”, інші об’єднуються в групи, ще інших таємно підтримують держави. Але незалежно від того, ким вони є насправді, завдяки тому, що в Інтернеті нема кордонів, ви так чи інакше потенційно можете зіштовхнутися з злочинцями.

Так само, як Інтернет породив багато нових бізнесів та бізнес-моделей, дозволивши існуючим на той час фірмам комунікувати та торгувати глобально, він породив і нові типи злочинності, яких до того часу не існувало, та дав можливість для трансформації та розквіту існуючих типів злочинності.

Змінювався Інтернет — а разом з ним змінювалася і кіберзлочинність, тому за останні 30 років багато речей встигли розвинутися і практично зникнути. Десять -двадцять років тому кіберзлочинність у більшості випадків була “кібервандалізмом” (сайти знищували просто заради того, щоб комусь щось довести). А зараз більшість злочинів в Інтернеті — економічно мотивована. Так само злочинність еволюціонувала від дій одиноких аматорів та груп “одного дня” до багатошарових структур, дії кожного з прошарків яких несуть реальну небезпеку. Ці групи мають різні цілі, засоби та “спеціалізацію” — і ми тут розповімо про них, щоб ви могли їх розпізнати.

Неорганізована злочинність

Досі основна маса кіберзлочинів є справою рук злочинців, які не входять до стійких угруповань. Їх можна порівняти з вуличними крадіями чи “гопниками”. Дійсно, вони – одинокі злочинці чи дуже невеликі групи. Звичайно це типові “скріпткідді” — такі люди в молоді роки навчаються хакерству як хобі і лише потім вони відкривають, що на цьому можна заробити гроші. Вони не дуже кваліфіковані та використовують безплатні або дуже дешеві засоби — принаймні на форумах у darknet таких програм та інших засобів багато.

Вони можуть купити якусь шпигунську програму для крадіжки даних чи орендувати ботнет на пару днів за кілька сотень доларів для розсилки спаму з вірусами чи шахрайськими пропозиціями. Коли з’явилося доступне ransomware (програми, що блокують комп’ютер і вимагають гроші за розблокування), такі кіберзлочинці вирішили, що це дуже прибуткове заняття. Вони купували такі програми у розробників та за інструкціями намагалися заразити якомога більше комп’ютерів, щоб їм перераховували гроші (часто у криптовалюті). А потім і самі, коли криптовалюти зростали в ціні, писали або купували віруси-майнери, які видобували криптовалюту за рахунок ресурсів зараженого комп’ютера.

Також справою рук представників неорганізованої злочинності є значна частина DDOS-атак, які у даному випадку робляться з метою вимагання грошей, або взагалі погрози вивести з ладу ваш сайт, якщо ви не заплатите злочинцям. Вони можуть бути недосконалими та “старомодними”, але за рахунок чисельності та ініціативності наносять велику шкоду. Індустрія кібербезпеки їх звичайно не випускає за межі масової небезпеки, тому для захисту від них достатньо базових знань — регулярно оновлювати антивіруси, змінювати паролі, користуватися фаєрволом, не натискати на посилання від невідомих осіб, встановлювати двофакторну авторизацію тощо.

Організована злочинність

Це групи із складною, розгалуженою структурою, де на нижчих рівнях (або в якості висококваліфікованих “найманців”) можуть служити і представники попередньої категорії злочинців. Такі угруповання можуть бути високоспеціалізованими — одні створюють шкідливі програми, другі — застосовують їх в кібератаках, треті — отримують за це гроші та намагаються їх відмивати. В центрі мережі звичайно стоїть один лідер, який координує атаки та веде переговори з іншими групами. Є групи, які можуть атакувати банки, юридичні компанії, торгові мережі, і їхні атаки є довгими та цілеспрямованими, на відміну від дещо хаотичних та коротких атак з боку “кріпткідді”.

Як показала одна з операцій Європолу влітку 2018 року, у злочинному угрупованні може бути кілька «відділів», у кожного з яких є своя спеціалізація. Одна група злочинців писала відомі шкідливі програми (Carbanac і Cobalt), друга розповсюджувала фішингові листи для співробітників банків, третя писала ботів для виведення коштів з банкоматів, четверта купувала на виведені гроші криптовалюту та переводила її у спеціально зареєстровані криптогаманці. Ця схема охоплювала 40 країн, а спричинена шкода складала близько 1 млрд. євро. Програми типу ransomware та майнери криптовалют також користуються популярністю у організованої кіберзлочинності. Прийняття нових протоколів захисту персональних даних (GDPR) ускладнило їхню “роботу”, але і може спричинити розвиток нових методів крадіжок даних.

Менш популярні, хоча й досі поширені — “кардерські” схеми. Загалом, вектор діяльності організованих груп зміщується в сторону криптовалют та спорідненого бізнесу, тоді як раніше об’єктами кіберзлочинців були банківські рахунки та інші традиційні фінансові інструменти. Звичайно, ви також можете стати жертвою їхньої діяльності, якщо працюєте в цій сфері. До речі, так само, як важко відрізнити ззовні організовану кіберзлочинність від неорганізованої, так же важко інколи провести кордон між організованою кіберзлочинністю і хакерами на службі у держав (nation-backed hackers), тому що вони часто використовують один і той самий арсенал методів.

Хактивісти

Це окремі особи чи групи, які присвячують свою діяльність якійсь одній темі чи групі тем у громадському чи політичному активізмі (наприклад, Anonymous). Вони не отримують прибутків, не крадуть гроші у тих, кого зламують — їм просто потрібно дістати якусь важливу інформацію для привернення уваги чи посилення суспільного тиску на когось, або на деякий час паралізувати чиюсь діяльність. Тому у них бувають зовсім різні об’єкти атаки — від електронної пошти топ-менеджера компанії і до сервера, на якому є база даних її співробітників, постачальників, клієнтів тощо.

Методи:

• Витік конфіденційної інформації
• Злом урядових сайтів
• Масові атаки на пропагандистські ресурси

Кібертерористичні організації

Щодо реальної загрози класичного кібертероризму, то її вважають дещо перебільшеною. Тому що на сьогоднішній день більшість терористичних організацій не є настільки просунутими навіть у плані комп’ютерної грамотності, а тим більше — в області кібербезпеки. Вони не мають ні кваліфікованого персоналу, ні інфраструктури, ні передових технологій. Скажімо, представники “Ісламської держави” щось з категорії malware могли купувати на “чорному ринку”, але користуватися програмами не змогли б. Релігійне підґрунтя більшості сучасних терористичних організацій не сприяє ні навчанню самих терористів, ні рекрутуванню туди більш-менш обізнаних фахівців, тому там рівень знань — значно нижчий, ніж у “скріпткідді”.

“Державні” хакери

Більшість інцидентів в Інтернеті — це справа рук злочинців, у яких є корисливі мотиви. Але останнім часом стали говорити і про «державних» хакерів, хоча вони в певних колах відомі давно — зокрема, 15 років тому вірусом Stuxnet, створеним за участі спецслужб США та Ізраїлю, була зупинена ядерна програма Ірану.

Багато в чому робота «державних» хакерів є кібершпигунством — вони здобувають секретні дані про військові проекти чи ситуацію в певній державі. Частиною здобутих даних далі користуються спецслужби, частину може отримувати зацікавлений бізнес. В той час, як військова розвідка не є чимось таким, що засуджують, промислове шпигунство — це річ, яка загалом не етична навіть щодо прямих конкурентів (зокрема, у США). Тому справедливі побоювання США стосовно китайських хакерів на державній службі, які небезпечні не стільки у військовій сфері, скільки в промисловості — зокрема в таких галузях, як електроніка, біотехнології, електроенергетика та аерокосмічна індустрія.

Але далеко не всі “державні” хакери крадуть дані про промисловість — були зафіксовані і спроби порушити системи захисту на атомних електростанціях та інших об’єктах критичної інфраструктури. Дехто і видобуває гроші таким чином (як спецслужби КНДР, використовуючи ransomware) і шкодить бізнесу (як та ж сама КНДР вивела з ладу більшість комп’ютерів у Sony Pictures).

А дехто маскується під “невідомих хактивістів”, викладаючи у відкритий доступ приватну інформацію з метою на щось вплинути (як російські спецслужби впливали на результати виборів у США, публікуючи переписки керівництва Демократичної партії). Нарешті, вони можуть вчинити і диверсію (наприклад, захопивши управління шлюзами на дамбі і т.д.). Тому діяльність “державних” хакерів досить різноманітна та небезпечна — і від них захиститися дуже важко. Але мінімізувати шкоду від них можна, шифруючи дані та розбиваючи єдину мережу на підприємстві на кілька підмереж.

Методи атак:

• DDoS-атаки – перевантаження серверів для виведення їх з ладу.
• Кібершпигунство – крадіжка секретних державних або корпоративних даних.
• Атаки на критичну інфраструктуру – енергосистеми, водопостачання, банки.

Інсайдери

А що, якщо ворог не ззовні, а всередині фірми? Не всі злочинці знаходяться ззовні — вони можуть працювати поруч з вами і мати повний доступ до всіх секретів, знати про “діри” в захисті, про те, як обходити всі обмеження. Конфіденційні документи часто зберігаються на незахищених дисках і слабкий контроль за правами доступу часто означає, що незадоволений чимось чи просто продажний співробітник з широкими правами доступу становить велику загрозу для фірми.

Інколи головну роль грають навіть не гроші, а шантаж співробітника злочинцями — якщо ти нам не будеш надавати інформацію з роботи, ми опублікуємо твоє “домашнє порно”. Тому розвідслужби регулярно попереджають свої держави про пастки, розставлені на співробітників посольств, а тих, хто має доступ до конфіденційної інформації, регулярно перевіряють. Зокрема, це стосується ІТ-персоналу.

Невизначеність кордонів

В реальності це все ще складніше — все накладається одне на одне. І інструменти, і люди, які ними користуються. Члени організованих угруповань можуть користуватися програмним забезпеченням «державних» хакерів, а «державні» хакери попутно можуть викрадати гроші з банків держави, проти якої йде спецоперація. А якщо інструментарій один раз виклали в мережу, то ним починає користуватися вся спільнота, від професіоналів високого рівня до “скріпткідді”. Все це піднімає ціну кібербезпеки для бізнесу — як і в випадку інших злочинів, подолання наслідків зламів обходиться значно дорожче, ніж їхнє попередження чи навіть те, що злодії можуть вкрасти (а якщо порівняти ціну виконання таких дій із ціною подолання наслідків, то тут різниця, як мінімум, у два порядки).

Тому за дослідженнями IBM Security та Ponemon Institute, середня ціна навіть порівняно невеликого витоку інформації (від 2500 до 100 тис облікових записів) складає 3,87 млн дол, а великі витоки обходяться як мінімум у 40 млн дол. Зміни у законодавстві ще більше збільшують ціну витоку інформації — скажімо, за новими європейськими стандартами захисту персональних даних (GDPR), за кожен випадок витоку передбачений штраф (незалежно від причин). Тому, за підрахунками компанії Gartner, світові витрати на кібербезпеку цього року сягнуть 114 млрд дол, а наступного року — зростуть до 124 млрд дол(через управління ризиками та підвищену увагу до захисту персональних даних). Кіберзлочинці також не стоятимуть осторонь, а будуть тільки вдосконалювати свої навички. На боротьбу з кіберзлочинністю, так чи інакше, доведеться витрачатися — але краще на попередження злочинів, ніж на ліквідацію наслідків.

Ця стаття Кіберзлочинність та кібервійна: хто і як може атакувати вас раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Українські органи кібербезпеки виявили, що російські державні хакери з угруповання, відомого як Sandworm, перебували у системах телекомунікаційного оператора “Київстар” щонайменше з травня 2023 року.

Про це вперше повідомило агентство Reuters.

Про інцидент, описаний як “потужна хакерська атака”, вперше стало відомо минулого місяця. Атака призвела до втрати доступу до мобільних та інтернет-послуг для мільйонів українців. Невдовзі після інциденту пов’язана з росією хакерська група під назвою “Солнцепек” взяла на себе відповідальність за атаку. При цьому, як раніше повідомляли у Держспецзв’язку, з високим рівнем упевненості активність цієї групи асоціюється з діяльністю угруповання Sandworm.

Ілля Вітюк, голова департаменту кібербезпеки Служби безпеки України (СБУ), підтвердив, що за цією атакою стоїть хакерське угруповання Sandworm, яке є штатним підрозділом російської воєнної розвідки і раніше неодноразово здійснювало кібератаки на українські об’єкти, зокрема і на операторів зв’язку та інтернет-провайдерів. Нагадаємо, що Sandworm потрапив до рейтингу найнебезпечніших людей в Інтернеті 2023 року по версії WIRED.

Ця група має досвід організації руйнівних кібератак, зокрема, Данія звинуватила цю хакерську групу в тому, що минулого року вона атакувала 22 компанії енергетичного сектору.

Ілля Вітюк також заявив, що атака на “Київстар” знищила майже всю інформацію з тисяч віртуальних серверів і комп’ютерів.

За його словами, інцидент “повністю знищив ядро телекомунікаційного оператора”, зазначивши, що зловмисники мали повний доступ, ймовірно, щонайменше з листопада, через кілька місяців після того, як отримали початковий доступ до інфраструктури компанії.

“Атака ретельно готувалася протягом багатьох місяців”, – сказав Вітюк у заяві, опублікованій на сайті СБУ.

Загалом, за словами Іллі Вітюка, з початку повномасштабного вторгнення Служба безпеки відпрацювала майже 9 тис. кібератак на державні ресурси та об’єкти критичної інфраструктури України.

Атака на “Київстар”, можливо, була легшою для хакерів  через схожість між ним і російським мобільним оператором “Білайн”, який був побудований на схожій інфраструктурі, сказав Вітюк.

Руйнування “Київстару” почалося 12 грудня близько 5:00 ранку за місцевим часом, коли президент України Володимир Зеленський перебував у Вашингтоні, закликаючи Захід продовжувати надавати допомогу.

Чому хакери обрали саме 12 грудня, незрозуміло, сказав він, додавши, що це не було випадковістю: “Можливо, якийсь полковник хотів стати генералом”.

Компанія “Київстар”, яка вже відновила свою роботу, заявила, що немає жодних доказів того, що персональні дані абонентів були скомпрометовані. Наразі невідомо, як зловмисник проник у мережу оператора.

Варто зазначити, що раніше компанія відкидала припущення про те, що зловмисники знищили її комп’ютери та сервери, як “фейкові”.

Ця інформація з’явилася після того, як раніше цього тижня СБУ повідомила, що вилучила дві камери онлайн-спостереження, які, ймовірно, були зламані російськими спецслужбами з метою шпигунства за силами оборони та об’єктами критичної інфраструктури в столиці України – Києві.

За даними відомства, компрометація дозволила зловмисникам отримати дистанційний контроль над камерами, налаштувати їхні кути огляду та підключити їх до YouTube, щоб захопити “всю візуальну інформацію в межах досяжності камери”.

Ця стаття Російські хакери місяцями мали прихований доступ до систем “Київстар” раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Іранська група з кібершпіонажу, що  видавали себе за фітнес-тренера у Facebook, намагалися заразити машину працівника однієї американської компанії в аерокосмічній сфері шкідливим програмним забезпеченням в рамках багаторічної соціальної інженерії та цілеспрямованої кампанії зловмисного програмного забезпечення.

Фірма з кібербезпеки Proofpoint приписувала цю операцію іранській групі державних хакерів, яку вона відстежує як TA456, та ширшим співтовариством кібербезпеки – під  назвами Tortoiseshell та Imperial Kitten. Про це пише TheHackerNews.

“Використовуючи екаунт в декількох соціальних медіа під нікнеймом “Марселла Флорес “, TA456 створив відносини між корпоративними та особистими платформами зв’язку із співробітником невеликої філії підрядника аерокосмічної оборони”, – йдеться у звіті Proofpoint, переданому The Hacker News. “На початку червня 2021 р. хакерська група спробувала використати ці відносини, надіславши цільове шкідливе програмне забезпечення через постійний ланцюжок зв’язку електронною поштою”.

Раніше в цьому місяці Facebook повідомив, що вживав заходів для ліквідації “витонченої” кібершпигунської кампанії, проведеної хакерами Tortoiseshell, націленою на близько 200 військових та  співробітників компаній в оборонному та аерокосмічному секторах США, Великобританії та Євросоюзу, з використанням  розгалуженої мережі  фейкових екаунтів на платформі. Вважається, що хакерська група співпрацює з Корпусом охорони ісламської революції (IRGC) через свою асоціацію з іранською ІТ-компанією Mahak Rayan Afraz (MRA).

Тепер, згідно з Proofpoint, одна така складна фейкова особа, створена групою TA456, брала участь у взаємодії із неназваним аерокосмічним спеціалістом, починаючи з 2019 року, до завершення доставки шкідливого програмного забезпечення LEMPO, розробленого для того, щоб встановлювати наполегливість, проводити розвідку та виводити конфіденційну інформацію. Ланцюг зараження було запущено через повідомлення електронної пошти, що містить URL-адресу OneDrive, яка, як стверджується, є опитуванням про дієту з вбудованим у таблицю Excel шкідливого макроса – лише для крадіжки отримання інструменту розвідки шляхом підключення до контрольованого зловмисником домену.

“TA456 продемонстрував значні оперативні інвестиції, розвиваючи стосунки з працівником цілі протягом багатьох років, щоб розгорнути LEMPO для проведення розвідки у високозахищеному цільовому середовищі в межах оборонної промислової бази”, – заявили дослідники Proofpoint. “Ця кампанія ілюструє стійкий характер деяких загроз, пов’язаних з державою, та людську участь, яку вони готові забезпечувати заради підтримки шпигунських операцій”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ

Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ

Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ

Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ

До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.

Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.

Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.

Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена ​​на продаж в Darknet.

Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.

Ця стаття Іранські хакери видавали себе за фітнес-тренерів, щоб викрасти інформацію у співробітників американських компаній раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

У вівторок Microsoft заявила, що нещодавно виправлену уразливість SolarWinds Serv-U з нульовим днем ​​експлуатувала китайська група хакерів, про що пише SecurityWeek.

Постачальник рішень для управління ІТ SolarWinds у вихідні дні поінформував клієнтів, що на його продукти з керованою передачею файлів Serv-U та Serv-U Secure FTP впливає вразливість віддаленого виконання коду, яка використовується в цільових атаках.

Уразливість, яка відслідковується як CVE-2021-35211, актуальна для Serv-U версії 15.2.3 HF1 (виправлення 1) і раніше, і її було виправлено випуском оновлення 15.2.3 HF2.

За даними компанії Microsoft, вразливість використана угрупованням, яке вона відстежує як DEV-0322.  Індекс DEV означає “група розробників” і присвоюється групам, щодо яких команда кіберрозвідки Microsoft дуже впевнена у  визначенні їхнього походженн або ідентичності. У цьому випадку Microsoft визначила, що група базується в Китаї і що вона використовує комерційні VPN та компрометовані домашні маршрутизатори як частину своєї інфраструктури.

Спостерігалося, що DEV-0322 здійснювала кібератаки на компанії оборонної промисловості США та фірми – розробники програмного забезпечення.

Microsoft заявила, що уразливість нульового дня пов’язана з реалізацією протоколу SSH в Serv-U.

“Якщо SSH Serv-U використовується в системі, підключеній до Інтернету, успішна експлуатація вразливості надасть зловмисникам можливість віддалено запускати довільний код із привілеями, дозволяючи їм виконувати такі дії, як встановлення та запуск шкідливих корисних навантажень, або перегляд і зміна даних”, – пояснив представник Microsoft.

Як Microsoft, так і SolarWinds надали доступні індикатори компромісу (МОК) для атак, що стосуються вразливості CVE-2021-35211.

Поінформувавши клієнтів про наявність патчів, компанія SolarWinds пояснила, що атаки, що використовують CVE-2021-35211, не пов’язані з атакою на ланцюги поставок SUNBURST, яку приписують російським суб’єктам загроз.

Однак це не перший випадок, коли продукти SolarWinds стали цілями для хакерів, що пов’язані з Китаєм. Коли розслідувались атаки на ланцюги поставок, виявилося, що група загроз, яка, як вважається, діє з Китаю, використала уразливість у продукті Orion від SolarWinds як частину кампанії, спрямованої на принаймні одну державну організацію

Ця стаття Китайські хакери досі експлуатують уразливості SolarWinds на непропатчених системах раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Через дії кіберзлочинних угруповань, підтримуваних урядами, 2020 рік був особливо складним для сфери кібербезпеки.

Як повідомили експерти організації Silverado Policy Accelerator і компанії FireEye на конференції RSA 2021, двома найгучнішими подіями минулого року стали кібератаки на ланцюжок поставок SolarWinds і сервери Microsoft Exchange. Перший інцидент був традиційної шпигунської операцією, спрямованої проти іноземних урядів, особливо США. Атака представляє собою модернізований підхід до проникнення всередину ланцюжків поставок, які важко виявити, і перебуванню там протягом тривалого періоду часу. Метою атаки була специфічна інформація, при цьому ігнорувалися навіть фінансові відомості, що дозволяють злочинцям отримати більше прибутку.

Характер інциденту SolarWinds різко контрастував з атакою на сервери Microsoft Exchange. Ця вкрай агресивна тактика призвела до того, що багато організацій, у яких не було можливості швидко виправити проблеми, виявилися уразливими до подальших атак з боку інших угруповань.

Як відзначили фахівці, уряд Північної Кореї спонсорує кіберзлочинність для фінансування своїх проектів. Такі угруповання, як APT38, регулярно роблять спроби пограбування банків у всьому світі. На відміну від Ірану, Росії і Китаю, які часто використовують готові інструменти (наприклад Cobalt Strike), Північна Корея активніше розвиває і використовує інструменти власного виробництва.

Останнім часом хакери з РФ, також активізували діяльність, атакувавши хмарних провайдерів, системи аутентифікації та ідентифікації для зниження ризиків виявлення. У злочинців є посилена увага до критично важливої ​​інфраструктури, зокрема до транспортної галузі.

Найнебезпечнішими виявилися програми-вимагачі. Зловмисники все частіше використовують залякування для чинення тиску на своїх жертв, погрожуючи опублікувати викрадені дані або подзвонити конкурентам або клієнтам. Експерти підкреслили, що останнім часом різко зросли суми необхідних викупів. Одним із прикладів є недавня спроба операторів REvil зажадати суму в розмірі $ 50 млн у компанії Acer.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як завантажити дані Google Maps? ІНСТРУКЦІЯ

Психічне здоров’я у дітей від соцмереж і смартфонів не страждає – ДОСЛІДЖЕННЯ

Як створити надійний пароль? ПОРАДИ

Як вберегти свої банківські рахунки від кіберзлочинців? ПОРАДИ

Що таке FLoC Google і як він буде відстежувати Вас в Інтернеті?

До речі, пандемія спричинила нову хвилю цифрової трансформації у всьому світі. І державні установи не залишилися осторонь цього процесу. Завдяки розширенню цифрової інфраструктури, зокрема створенню нових додатків та сервісів, віддалених робочих місць та переходу в хмарне середовище, кількість потенційних векторів атак збільшилася.

Також повністю модульний ноутбук з ОС Windows від Framework тепер готовий до попереднього замовлення за базовою ціною у $999. Клієнти можуть розміщувати замовлення на веб-сайті Framework. 13,5-дюймовий ноутбук складається повністю з модульних деталей, включаючи материнську плату, яку ви можете легко поміняти та замінити.

Кілька редакцій Windows 10 версій 1803, 1809 та 1909 досягли кінця обслуговування (EOS), починаючи з травня , про що Microsoft нагадала нещодавно. Пристрої з випусками Windows 10, які досягли EoS, більше не отримуватимуть технічну підтримку, а також щомісячні виправлення помилок та безпеки, щоб захистити їх від останніх виявлених загроз безпеки.

Окрім цього, після вступу в силу нової політики Google в описі додатків з’явиться додатковий розділ з інформацією про те, до яких даними має доступ продукт. У розробників буде можливість розповісти користувачам про те, для чого додаткам потрібен доступ до тих або інших даних і як їх обробка впливає на загальну функціональність.

Ця стаття Урядові хакери з Росії, Північної Кореї, Китаю та Ірану стали небезпечніше, ніж будь-коли раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Кілька німецьких законодавців знову стали жертвами кібератаки, про що пише SecurityWeek,  причому експерти з питань безпеки вже не вперше вказують на російських хакерів.

За даними тижневика Der Spiegel, хакери використовували фішингові електронні листи, щоб отримати доступ до комп’ютерів щонайменше семи федеральних депутатів та 31 депутата  в регіональних парламентах. Представник нижньої палати підтвердив кібератаку, але заявив, що “в цей час немає жодних ознак” прямого нападу на ІТ-інфраструктуру німецького Бундестагу.

Експерти з питань безпеки підозрюють російську військову розвідку у тому, що вона стоїть за хакерством, згадуючи групу “Ghostwriter”, яка, як повідомляється, спеціалізується на розповсюдженні дезінформації. Залишається незрозумілим, чи отримували ці  “державні хакери” доступ до якоїсь конфіденційної інформації.

Ціллю хакерів стали депутати від партій правлячої коаліції Німеччини, консервативного блоку ХДС/ХСС та лівоцентристських соціал-демократів. Кілька політичних активістів також постраждали від кібератак. Минулого року канцлер Німеччини Ангела Меркель заявила, що має конкретні докази того, що  росіяни намагалися викрасти її  робочу інформацію.

На сьогодні найбільш гучним інцидентом у Німеччині, за який звинувачували російських хакерів, стала кібератака в 2015 році, яка повністю паралізувала комп’ютерну мережу Бундестагу, примусивши весь парламент працювати в режимі офлайн протягом декількох днів, поки це було виправлено. Минулого місяця прокурори висунули звинувачення у шпигунстві німецькому громадянину, якого підозрювали у передачі планів парламенту російським спецслужбам у 2017 році.

Міністр закордонних справ Хайко Маас минулого тижня заявив, що Німеччина очікувала на хвилю кібератак, до яких може бути причетною Росія, напередодні загальних виборів у вересні, назвавши це “абсолютно неприйнятним”. Росія заперечує, що стояла за такою діяльністю.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?

Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі

Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ

Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ

Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ

Signal чи Telegram: який додаток кращий для чату?

Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1).  Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки

Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу

Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.

До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.

А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.

Ця стаття Російські “державні хакери” активно полюють на німецьких політиків раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Незабаром компанія Microsoft почне повідомляти користувачів свого сервісу Office 365 про хакерські операції, що проводяться іноземним урядом.

Згідно з новими пунктами, доданим в дорожню карту Microsoft 365, відповідні повідомлення будуть додані на призначений для користувача портал безпеки. Цей крок стане першим у боротьбі Microsoft із прогресивними кіберзлочинними угрупованнями.

“Ми додамо на портал безпеки повідомлення, що попереджають користувачів у разі виявлення можливої ​​активності іноземної держави. Загрози визначаються як активність кіберзагроз, що виходять від певної країни. Ці атаки є одні з найскладніших”, – повідомляє Microsoft.

Сповіщення про хакерські атаки з ознаками причетності до них іноземної держави будуть засновані на індикаторах компрометації і профілях загроз, зібраних експертами з безпеки Microsoft.

“Центр Microsoft Threat Intelligence Center відстежує ці загрози, створює вичерпні профілі активності і тісно співпрацює з усіма командами безпеки Microsoft для реалізації виявлень і пом’якшення наслідків для захисту наших клієнтів”, – повідомила Microsoft.

Підтримка функції “Сповіщення про потенційну активність держави” в цей час знаходиться в розробці, і Microsoft планує зробити її загальнодоступною у всьому світі в цьому місяці у всіх середовищах для всіх користувачів Microsoft Defender для Office 365 (Office 365 Advanced Threat Protection).

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Як не стати жертвою кібератаки? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

П’ять небезпечних типів файлів, що можуть містити шкідливе ПЗ

Що таке Google Assistant та що він може робити?

Нагадаємо, Apple займається розробкою, яка буде розрізняти користувачів смартфонів за новою технологією. Йдеться про так звану теплову карту особи, яка, як і відбитки пальців, є унікальною. Обдурити цю систему захисту буде практично неможливо.

Також корпорація Microsoft випускає вбудований генератор паролів та функцію моніторингу витоків облікових даних у системах Windows та macOS, що працюють з останньою версією Microsoft Edge.

Окрім цього, багатофункціональний “шкідник” VPNFilter, якому вдалося інфікувати 500 тисяч роутерів у 54 країнах, хоч і був дезактивований два роки тому, однак досі не вичищений із сотень мереж. Такі невтішні результати чергової перевірки, яку провели дослідники з Trend Micro.

До речі, викрадена база даних, яка містить імена, адреси електронної пошти та паролі користувачів Nitro PDF, безкоштовно розповсюджується в Мережі. Загалом база даних налічує понад 77 мільйонів записів.

Ця стаття Користувачів Office 365 будуть повідомляти про активність хакерів іноземних держав раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds, але поки що не може прямо звинуватити в цьому російську владу.

ФБР, АНБ та Офіс директора Національної розвідки опублікували спільну заяву з Агентством з питань кібербезпеки та безпеки інфраструктури (CISA) щодо їх розслідування щодо витоку, пише PC Magazine.

“Ця робота вказує на те, що група (APT), яка стоїть за цим інцидентом,  імовірно, є російською за походженням, несе відповідальність за більшість або всі нещодавно виявлені злами як урядових, так і неурядових мереж”, – йдеться у повідомленні.

Відомства не надали конкретних доказів у цій заяві. Однак, як повідомляється, американські чиновники підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США.

Атака передбачала підробку програми Orion від SolarWind, яка потім розповсюджувалася на комп’ютери Windows, що належали близько 18 000 клієнтів. Однак підозрювані в цьому російські хакери орієнтувались лише на невелику частину цих клієнтів з додатковим шкідливим програмним забезпеченням, здатним шпигувати за комп’ютерами та красти файли.

“На сьогодні ми виявили менше 10 державних установ США, які належать до цієї категорії, і працюємо над виявленням неурядових структур, які також могли бути зламані, – йдеться у спільній заяві. – На даний момент ми вважаємо, що це було і продовжує бути зусиллями зі збору розвідданих”.

До федеральних відомств, шо потрапили в цей список, належать Міністерство фінансів США, Державний департамент, Міністерство торгівлі та Департамент енергетики, а також деякі підрозділи Пентагону.

Сам Кремль заперечує причетність до зламу  SolarWinds. “Зловмисна діяльність в інформаційному просторі суперечить принципам зовнішньої політики Росії”, – йдеться у повідомленні російського посольства.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ

Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ

Як безпечно вітати, спілкуватися, святкувати через Інтернет? Поради

Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ

Як швидко очистити всі сповіщення на Mac? ІНСТРУКЦІЯ

Зверніть увагу, більшість фішинг-кампаній працюють шляхом використання імен відомих компаній, брендів та продуктів. Мета зловмисників – змусити користувачів думати, що початкове повідомлення надходить від законної особи, збільшуючи тим самим шанси, що Ви натиснете та ініціюєте завантаження шкідливого програмного забезпечення.

Окрім цього, Google Project Zero розкрив уразливість “нульового дня” у Windows, спричинену неправильним виправленням CVE-2020-0986  – недоліка безпеки, шо став відомим з кампанії, яка отримала назву Operation PowerFall.

До речі, через одинадцять місяців після того, як компанія Microsoft офіційно припинила технічну підтримку операційної системи Windows 7, Google нарешті закликала розробників Chromium припинити використання цієї ОС.

Ця стаття Розвідслужби США офіційно звинуватили росіян в зламі SolarWinds раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Наприкінці цього року Інтернет заполонили новини про масові хакерські атаки, зокрема на американські урядові установи та фірми, які займаються кібербезпекою. Однак  американці  – не єдині жертви, пише Slashgear.

Популярний медіахолдинг “Аль-Джазіра”,  що базується в місті Доха, столиці Катару, довідався про те, що за десятками його журналістів, можливо, стежили “державні хакери”, використовуючи для цього баг з iMessage на iPhone, де встановлені старі версії iOS.

Політична ситуація між Саудівською Аравією, ОАЕ, Катаром та сусідніми країнами є складною і делікатною, тому новини про шпигунство між ними не є дивиною. Враховуючи позицію “Аль-Джазіри” серед урядів цього регіону, також не дивно, що її репортери стали об’єктами стеження. І, що знову не дивно, в центрі всього цього знову опинилася ізраїльська компанія NSO.

Група NSO, за деякими даними, є виробником шпигунського програмного забезпечення, що використовується спецслужбами та агентами від корпорацій, зокрема такої програми, як Pegasus.

Цього разу дослідники безпеки з Громадянської лабораторії Університету Торонто заявили, що група використовувала баг в iMessage у старих версіях iOS, зокрема iOS 13.5.1 і раніше, щоб приховано отримати доступ до iPhone людей, за якими треба стежити. Ще більш страшним є те, що це був експлойт із нульовим клацанням (zero-click), тобто жертвам навіть не потрібно було натискати шкідливе посилання, щоб заразитися.

У звіті вказується, що телефони  36 працівників “Аль-Джазіри” були зламані за допомогою цього методу. Автори звіту простежили більшість із них із “середнім” ступенем довіри до агентів, що діяли від імені Саудівської Аравії та ОАЕ – двох країн, які наполягають на тому, щоб Катар заборонив діяльність “Аль-Джазіри”.  Деякі з атак почалися ще в жовтні 2019 року і тривали до серпня цього року.

Apple підтвердила, що напади, про які повідомляла Citizen Lab, дійсно виглядали як діяльність “державних хакерів” але не підтвердила висновки дослідників повною мірою. Компанія лише сказала, що завжди радить своїм користувачам бути в курсі останніх версій iOS, оскільки вразливість iMessage з нульовим клацанням нібито вже виправлена ​​в iOS 14.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як безпечно робити покупки в Інтернеті на новорічні свята? Поради

Як безпечно організовувати і брати участь в онлайн-зустрічах?

Як дізнатися, коли було встановлене основне оновлення Windows 10? ІНСТРУКЦІЯ

Як увімкнути зникаючі повідомлення у WhatsApp? – ІНСТРУКЦІЯ

Топ-15 смартфонів із найшвидшою зарядкою

Зверніть увагу, генеральні прокурори десяти американських штатів подали антимонопольний позов проти Google. Вони звинувачують компанію в змові з Facebook і порушення законодавства про рекламу в Інтернеті.

Окрім цього, три мільйони користувачів стали жертвами шкідливих розширень для браузерів Chrome і Edge. Ці розширення викрадали персональні дані і перенаправляли користувачів на фішингові сайти.

До речі, американська компанія SolarWinds розпочала розслідування кіберінціденту, під час якого зловмисникам вдалося використати продукти SolarWinds в атаках на державні і приватні організації США. Кіберзлочинці змогли скомпрометувати систему збирання софту, яку використовують для моніторингової платформи Orion

Нагадаємо, що iOS 14.3 і iPadOS 14.3 отримали виправлення 11 проблем безпеки, серед яких є настільки серйозні, що зловмисник може виконати код на пристроях iPhone і iPad. Для експлуатації двох найсерйозніших багів хакеру досить використовувати спеціально підготовлений файл шрифту, за допомогою якого можна запустити шкідливий код в системі жертви.

Ця стаття За журналістами стежили за допомогою багу в додатку iMessage на iPhone раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Іноземні хакери зламали мережі Міністерства енергетики США та Національної адміністрації ядерної безпеки США. Наразі відомо не багато щодо того, що сталося, однак вважається, що принаймні мережі ще трьох державних установ були зламані у зв’язку з атакою потужного хакерського угруповання, яке може бути пов’язане з іноземнимии спецслужбами.

Федеральні слідчі протягом останніх кількох днів намагалися зібрати докупи інформацію про те, що сталося. Повідомляється, що чиновники двох відомств, останнє з яких підтримує запаси ядерної зброї в країні, досі не знають, чи змогли хакери отримати доступ до чогось критичного, пише  Engadget.

Окрім цього, можуть пройти тижні, поки державні структури не відчують повного масштабу шкоди. Вважається, що хакери отримали доступ до мереж за допомогою програмного забезпечення SolarWinds, компанії, яка продає інструменти ІТ-управління для різних державних та приватних організацій. Reuters повідомляє, що Microsoft, можливо, теж стала жертвою.

“Це ситуація, що розвивається, і хоча ми продовжуємо працювати над розумінням повного масштабу цієї кампанії, ми знаємо, що цей злам вплинув на мережі всередині федерального уряду”, –  йдеться у спільній заяві Агентства з питань кібербезпеки та безпеки інфраструктури (CISA), ФБР та директора Національної служби розвідки.

Вони ще не встановили зловмисника, але експерти з кібербезпеки говорили, що інцидент має всі ознаки діяльності російських спецслужб. Наразі Росія заперечує свою причетність до атаки.

Російське угруповання APT29, яке також називають Cozy Bear, було дуже активним протягом останнього місяця. Група, яку підтримують російські спецслужби, пов’язана з нещодавніми атаками на Міністерство фінансів та NTIA.

Також вважається, що це саме вони стояли за крадіжкою інструментів фірми з кібербезпеки FireEye. Атаки відбуваються в той час, коли  у США фактично відсутнє керівництво в галузі кібербезпеки.

Нещодавно президент Трамп звільнив керівника Агентства з кібербезпки та безпеці інфраструктури (CISA) Крістофера Кребса за публічне розвінчання недостовірних тверджень щодо шахрайства в системі голосування, яким вірив Трамп. Країна також не має і керівника профільного відомства з кібербезпеки.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Онлайн-шопінг перед святами: п’ять правил безпеки

Як переказати кошти за допомогою Google Pay? – ІНСТРУКЦІЯ

Як шукати відкриті вкладки у Google Chrome? – ІНСТРУКЦІЯ

Чим відеочат відрізняється від особистого спілкування?

Як захистити онлайн-платежі на Вашому смартфоні від зазіхань хакерів? ПОРАДИ

Як вимкнути надокучливий звук сповіщень у WhatsApp? – ІНСТРУКЦІЯ

Зверніть увагу, що у 2021 році продовжать удосконалюватися програми-вимагачі та складні загрози без використання файлів. Крім цього, у центрі уваги знову опиняться проблеми безпеки Інтернету речей, зокрема численні уразливості у “розумних” інтимних іграшках.

До речі, цифрові помічники – це чудові інструменти для отримання інформації, швидких розрахунків, придбання рецептів продуктів харчування, пошуку місць розташування, управління своїми розумними домашніми пристроями тощо. Однак з точки зору безпеки та конфіденційності Ви можете здивуватися, наскільки ці чудові служби знають багато про Вас інформації.

Також сьогодні практично у кожного в кишені лежить смартфон, тому є сенс використовувати його для безконтактної оплати речей. Ось тут з’являються мобільні платіжні платформи, такі як Google Pay. Однак за допомогою Google Pay можна робити набагато більше, ніж просто платежі. Нещодавно Google cуттєво оновила Google Pay – там з’явилася купа нових функцій.

Ця стаття Атака на SolarWinds торкнулася мереж відомств, пов’язаних з ядерною зброєю раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим