T.Hunter | информационная безопасность

На конец 2025-го на 31 мясного посетителя сайта приходился один бот. Для сравнения, на начало года был один на 200 человек. И это консервативные оценки. Консервативны они в силу того, что трафик сложно различить — в реальности дела обстоят ещё хуже. При этом дело даже не в скраперах: доля трафика от ИИ-саранчи снизилась на 15%. А вырос от ИИ-поиска: юзеры всё чаще используют чат-боты в качестве поисковика — здесь трафик подскочил на 33%...

Январь открыла череда уязвимостей в платформе для автоматизации рабочих процессов n8n, раскрытие которых всё продолжается. А у NotePad++ раскрыли компрометацию инфраструктуры для обновлений госхакерами; её же скомпрометировали у eScan. Интеграция LLM’ок в 2026-м сдаёт позиции у пользователей: в СМИ пиарят скрипты для удаления ИИ-фич из Win11, а Microsoft отказывается от их повального внедрения...

ФБР не сумело вскрыть iPhone 13, который был в режиме Lockdown. Телефон изъяли в рамках обыска, но, по документам суда, доступ к нему получить не удалось. Телефон принадлежит журналистке, которая проходит по утечке засекреченных документов. После неанонсированного дружеского визита к ней домой, ФБР нашло iPhone 13 и Macbook Pro. Телефон был в локдауне, и вскрыть его у CART не вышло. Так что, видимо, Cellebrite и коллеги в игре в кошки-мышки с Apple чуть отстали, бывает...

Враг хитёр, но инфраструктура крепка, разрушительные кибератаки не пройдут и были отражены! Заглядываем внутрь. Это Дудосия. Бодрые отчёты об отражении серии атак разнесли по всем СМИ. Если дальше заголовков не читать, итальянская ИБ противостоит локальному апокалипсису уровня SolarWinds — под ударом объекты Олимпийских игр и министерства иностранных дел. На деле же ноунеймы номер 057 чуток подудосили местные сайты — пишут, наказывают непослушных европейцев...

CVE-2026-25049, 9.4 по CVSS, обход исправленной в конце декабря CVE-2025-68613. Закрыта в патче от 12 января — кто обновился, тот и молодец. Как и оригинальная уязвимость, эта с авторизацией, но низкими правами и на побег из песочницы с компрометацией инстанса. Есть юзер — есть полный доступ. В патче не учли все способы, которыми JavaScript допускает доступ к свойствам объекта — соответственно, через пару дней тыкания в него палочкой патч удалось обойти...

”. Владельца наркомаркета Incognito, тайванца Руй-Сян Линя, посадили. И посадили надолго: сразу на 30 лет. Мальчику 24 года, и новый Ульбрихт из него вряд ли получится. Incognito в моменте был одним из крупнейших маркетов: по документам, через него прошло больше тонны веществ от более 1,800 торговцев и к 400 тысячам клиентов. ~$105 миллионов транзакций и скромные $4,1 миллиона оператору. Линь запомнился тем, что пытался выйти из бизнеса с огоньком: экзит-скамом и шантажом поставщиков и юзеров на площадке...

Результаты говорящие: с угрозами сталкивались 75% опрошенных. Живём опасно! Половина специалистов получала как минимум одно письмо счастья от юротделов. Но есть и хорошие новости: опросили и журналистов, и и хотя они видят юридические угрозы так же часто, на них давят ещё и криминалом. Так что минивэн без опознавательных знаков под окнами и надписи на двери “Скотина, отзови отчёт!” восходящей звезде пентеста не грозят — и на том спасибо...

Речь про Cape, американского телеком-провайдера, торгующего приватностью для особо в ней нуждающихся. Новая фича обещает удалять логи звонков каждые 24 часа, раньше хранили 60 дней — в сравнении со стандартом в индустрии с хранением годами звучит освежающе. Но не всё так радужно: партнёры Cape, на чьих сетях они сидят, могут часть логов перехватить сами. Говорят, что органы о новой фиче не предупреждали — узнают как и все остальные...

В январе десяточку по CVSS выбил побег из песочницы в системе обмена сообщениями Firefox и Thunderbird — вредоносный код на странице или в письме ведёт к RCE. Произвольным кодом также отметились инструмент «untgz» библиотеки zlib, FreeRDP, Oracle WebLogic Proxy Plug-in и некоторые компоненты Microsoft...

ПО. Недавно серый чиновничий процесс взбодрился — к делу подключилась NSO Group, и обсуждения пошли с огоньком. Пошли с подачи борцов за приватность: NSO выпустила “отчёт о прозрачности” и с ноги ворвалась в дискуссию. Правозащитники резонно указывают, что никакой прозрачности у NSO нет: сидят в Израиле, судебные дела саботируют, доказательств отказа от сотрудничества с интересными режимами не предоставляют и активно их обслуживают...

Инцидент произошёл пару недель назад, источник не называют. Активность заметили в Morphisec и заявили о компрометации инфры eScan для доставки малвари по эндпоинтам компаний и юзеров по всему миру. И здесь алармизм исследователей резко расходится с официальными заявлениями eScan: у этих ничего серьёзного не произошло, они всё сами оперативно засекли и предотвратили ещё до того, как какие-то там охочие до сенсаций персонажи пришли им об этом сообщить...

Загадка решалась просто: скомпрометировали её госхакеры. Угадайте, чьи — здесь всё очевидно. У апэтэшечки был доступ к инфраструктуре хостера, на которой висели серверы обновлений, и трафик перенаправили на инфру злоумышленников для доставки вредоноса. Масштабы и таймлайн компрометации соответствуют: взлом произошёл в июне 2025-го — за полгода до того, как о нём стало известно. Хостинг был открыт до 2 сентября, но за счёт кредов к внутренним сервисам доступ сохранили до 2 декабря...