Федеральне бюро розслідувань США (ФБР) попередило фахівців із кібербезпеки про те, що іранські хакери, пов’язані з Міністерством розвідки та безпеки Ірану (MOIS), використовують Telegram як інфраструктуру для управління шкідливим програмним забезпеченням. Під прицілом — журналісти, які критикують іранський уряд, іранські дисиденти та опозиційні групи в різних країнах світу.

Telegram як інструмент кібератак

У терміновому повідомленні, опублікованому в п’ятницю, ФБР зазначило, що Telegram використовується як command-and-control (C2) — інфраструктура для дистанційного керування шкідливим ПЗ. Атаки здійснюються за допомогою соціальної інженерії: жертв змушують встановити шкідливе ПЗ для Windows, яке дає зловмисникам змогу викрадати знімки екрана та файли з інфікованих комп’ютерів.

ФБР пов’язує цю активність із двома угрупованнями. Перше — проіранське та проpпалестинське хактивістське угруповання Handala (також відоме як Handala Hack Team, Hatef, Hamsa). Друге — Homeland Justice, державне кіберугруповання, пов’язане з Корпусом вартових ісламської революції (ІКВР) Ірану.

«Зважаючи на загострення геополітичної ситуації на Близькому Сході та поточний конфлікт, ФБР звертає особливу увагу на цю кібердіяльність MOIS», — йдеться у заяві бюро. — «Це шкідливе ПЗ призвело до збору розвіданих, витоку даних та репутаційної шкоди для постраждалих сторін».

ФБР вилучило чотири домени угруповань

Попередження було опубліковане через день після того, як ФБР вилучило чотири домени: handala-redwanted[.]to, handala-hack[.]to, justicehomeland[.]org та karmabelow80[.]org. Ці сайти використовувалися угрупованнями Handala і Homeland Justice, а також третім суб’єктом під назвою Karma Below — для проведення атак та публікації викрадених конфіденційних документів і даних, зокрема тих, що стосуються жертв у США та інших країнах.

Атака на Stryker і десятки тисяч заблокованих пристроїв

Серед резонансних інцидентів, що передували цим діям, — кібератака Handala на американського медичного гіганта Stryker. Зловмисники скомпрометували обліковий запис адміністратора домену Windows і створили новий обліковий запис Global Administrator, після чого за допомогою команди Microsoft Intune wipe здійснили заводське скидання близько 80 000 пристроїв — зокрема особистих комп’ютерів і мобільних пристроїв співробітників, якими керувала компанія.

Паралельна загроза: атаки на Signal і WhatsApp

Того ж тижня ФБР також попередило про фішингові кампанії суб’єктів, пов’язаних із російською розвідкою, спрямовані проти користувачів Signal і WhatsApp. За даними бюро, тисячі акаунтів вже були скомпрометовані. Аналогічні операції з перехоплення акаунтів описали нідерландські та французькі органи кібербезпеки.

«Активність спрямована проти осіб, що мають високу розвідувальну цінність, зокрема чинних і колишніх держслужбовців США, військових, політичних діячів та журналістів», — йдеться у заяві ФБР.

Рекомендації для захисту

• Організаціям та особам, які можуть потрапити під прицілу подібних атак, фахівці радять з обережністю ставитися до будь-яких посилань і вкладень із невідомих джерел — навіть у месенджерах.
• Для облікових записів адміністраторів варто використовувати багатофакторну автентифікацію та принцип мінімальних привілеїв.
• Підозрілу активність в акаунтах Signal і WhatsApp рекомендується перевіряти у розділі підключених пристроїв і негайно завершувати невідомі сесії.
• Слід регулярно перевіряти журнали активності в корпоративних системах управління пристроями (зокрема Microsoft Intune) для виявлення несанкціонованих дій.

Оновлено 25 березня 2026

Після публікації матеріалу редакція CyberCalm отримала коментар від речника Telegram Remi Vaughn:

«Зловмисники можуть і справді використовують будь-які доступні канали для керування шкідливим програмним забезпеченням — інші месенджери, електронну пошту або навіть прямі веб-з’єднання. Використання Telegram для цього не є чимось унікальним. Модератори платформи регулярно видаляють будь-які акаунти, причетні до розповсюдження шкідливого ПЗ».

Ця стаття ФБР: іранські хакери використовують Telegram для атак на журналістів і дисидентів раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Іранська група з кібершпіонажу, що  видавали себе за фітнес-тренера у Facebook, намагалися заразити машину працівника однієї американської компанії в аерокосмічній сфері шкідливим програмним забезпеченням в рамках багаторічної соціальної інженерії та цілеспрямованої кампанії зловмисного програмного забезпечення.

Фірма з кібербезпеки Proofpoint приписувала цю операцію іранській групі державних хакерів, яку вона відстежує як TA456, та ширшим співтовариством кібербезпеки – під  назвами Tortoiseshell та Imperial Kitten. Про це пише TheHackerNews.

“Використовуючи екаунт в декількох соціальних медіа під нікнеймом “Марселла Флорес “, TA456 створив відносини між корпоративними та особистими платформами зв’язку із співробітником невеликої філії підрядника аерокосмічної оборони”, – йдеться у звіті Proofpoint, переданому The Hacker News. “На початку червня 2021 р. хакерська група спробувала використати ці відносини, надіславши цільове шкідливе програмне забезпечення через постійний ланцюжок зв’язку електронною поштою”.

Раніше в цьому місяці Facebook повідомив, що вживав заходів для ліквідації “витонченої” кібершпигунської кампанії, проведеної хакерами Tortoiseshell, націленою на близько 200 військових та  співробітників компаній в оборонному та аерокосмічному секторах США, Великобританії та Євросоюзу, з використанням  розгалуженої мережі  фейкових екаунтів на платформі. Вважається, що хакерська група співпрацює з Корпусом охорони ісламської революції (IRGC) через свою асоціацію з іранською ІТ-компанією Mahak Rayan Afraz (MRA).

Тепер, згідно з Proofpoint, одна така складна фейкова особа, створена групою TA456, брала участь у взаємодії із неназваним аерокосмічним спеціалістом, починаючи з 2019 року, до завершення доставки шкідливого програмного забезпечення LEMPO, розробленого для того, щоб встановлювати наполегливість, проводити розвідку та виводити конфіденційну інформацію. Ланцюг зараження було запущено через повідомлення електронної пошти, що містить URL-адресу OneDrive, яка, як стверджується, є опитуванням про дієту з вбудованим у таблицю Excel шкідливого макроса – лише для крадіжки отримання інструменту розвідки шляхом підключення до контрольованого зловмисником домену.

“TA456 продемонстрував значні оперативні інвестиції, розвиваючи стосунки з працівником цілі протягом багатьох років, щоб розгорнути LEMPO для проведення розвідки у високозахищеному цільовому середовищі в межах оборонної промислової бази”, – заявили дослідники Proofpoint. “Ця кампанія ілюструє стійкий характер деяких загроз, пов’язаних з державою, та людську участь, яку вони готові забезпечувати заради підтримки шпигунських операцій”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ

Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ

Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ

Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ

До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.

Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.

Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.

Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена ​​на продаж в Darknet.

Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.

Ця стаття Іранські хакери видавали себе за фітнес-тренерів, щоб викрасти інформацію у співробітників американських компаній раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Іранського фізика-ядерника Мохсена Фахрізаде убили з кулемета зі штучним інтелектом та супутниковим наведенням, заявив заступник головнокомандувача Корпусу стражів ісламської революції Алі Фадаві.

За словами контр-адмірала Фадаві, кулемет випустив 13 куль. Вони влучили у Фахрізаде, що їхав у броньованому автомобілі, але не зачепили дружину, яка сиділа поруч. Кулемет встановили на припаркованому поруч з дорогою автомобілі Nissan, пише BBC.

Кулемет “навели на обличчя мученика Фахрізаде за допомогою високотехнологічної камери, були застосовані технології штучного інтелекту”, – цитує іранського воєначальника агентство Mehr. Чотири кулі влучили у начальника охорони, який закрив собою Фахрізаде, додав Фадаві.

При цьому автономну зброю, за його словами, “контролювали онлайн із супутника”, а люди безпосередньо в нападі на конвой Фахрізаде участі не брали. Іранське інформаційне агентство Fars повідомляло, що після вбивства Фахрізаде автомобіль нападників самознищився через вибух.

Заяви про те, що вченого вбили настільки високотехнологічним способом турбують і нагадують антиутопію. Варто підкреслити, що їх ніхто не перевіряв.

Питання використання штучного інтелекту на полі бою вже давно непокоїть багатьох вчених. У 2015-му році покійний професор Стівен Хокінг став одним з тисячі представників наукової спільноти, які підписали відкритий лист з закликом заборонити розробку військового штучного інтелекту.

Однак в цьому конкретному випадку до заяв Ірану, схоже, поставилися скептично.

Аналітик і експерт із засобів радіоелектронної боротьби Том Уітінгтон каже, що цю заяву треба ділити надвоє і назвав розповідь Фадаві набором “термінів, які круто звучать” й покликані показати, що таке вбивство могла здійснити тільки сила, яка дуже перевершує Іран технологічно.

Професор Ноель Шаркі, член коаліції Campaign to Stop Killer Robots, що бореться проти автономних систем озброєння, каже – якщо їх почнуть використовувати національні збройні сили, то наслідки “складно уявити”.

“Якщо з’являться автономні апарати, що використовують технологію розпізнавання особи, щоб ідентифікувати і вбивати людей, то ми почнемо скочуватися вниз до повного підриву світової безпеки”, – попереджає він.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Керована штучним інтелектом зброя вбила людину раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Компанія Twitter розкрила подробиці про кібератаки, в ході яких сторонні особи використовували офіційний API компанії для зіставлення телефонних номерів з іменами користувачів соціальної мережі.

Про інцидент стало відомо 24 грудня 2019 року. Нагадаємо, в той же день дослідник безпеки виявив уразливість в додатку Twitter для Android, експлуатація якої дозволила йому зіставити 17 млн телефонних номерів з обліковими записами в Twitter.

Слідом за цим компанія виявила і негайно припинила роботу великої мережі фейкових облікових записів, які використовувалися для експлуатації уразливості в соціальній мережі. За словами Twitter, деякі з IP-адрес, використаних під час атак, були пов’язані зі спонсорованими державними угрупованнями. Особливою великий обсяг запитів надходив з IP-адрес в Ірані, Ізраїлі та Малайзії.

Експлуатація здійснювалася через функцію завантаження контактів в додатку. При завантаженні користувачем свого номера телефону система відправляла призначені для користувача дані. Функція завантаження контактів в Twitter не дозволяє завантажувати список номерів в послідовному порядку, щоб уникнути зловживання.

Як зазначила Twitter, ці атаки могли торкнутися тільки тих користувачів соцмережі, хто дозволив в налаштуваннях зіставлення за номером телефону.

До речі, шкідник-вимагач FTCODE знову проявив активність, але тепер він ще й має нові можливості крадіжки інформації, орієнтовані на браузери та сервіси електронної пошти.

Зверніть увагу, дослідники Google виявили у браузері Apple Safari численні уразливості, що дозволяли стежити за активністю користувачів в Інтернеті.

Цікаво, що поки не вийшло офіційне виправлення від Microsoft, на платформі 0patch став доступний тимчасовий мікропатч для уразливості, яку активно зараз експлуатують, – CVE-2020-0674 з віддаленого виконання коду в браузері Internet Explorer 11.

Також Apple передумала давати користувачам iPhone можливість шифрувати дані, які зберігаються в iCloud.

Окрім цього, фахівці представили зразок здирницького програмного забезпечення, яке шифрує файли за допомогою компонента Windows.

Мобільний телефон генерального директора Amazon Джеффа Безоса зламали за допомогою шкідливого відео, відправленого через повідомлення в месенджері WhatsApp.

Ця стаття В Twitter зіставлення за номером телефону дає можливість для кібертак раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин