📲WhatsApp обвинил компанию 🇮🇱Paragon Solutions в шпионской атаке на 90 пользователей в десятках странах

Скандал про шпионское ПО снова пестрит в западных заголовках новостных СМИ. Запрещенная в РФ Meta утверждает, что компания Paragon Solutions [1,2,3] c израильскими корнями причастна к хакерской атаке на десятки устройств пользователей по всему миру. По данным специалистов WhatsApp, им удалось зафиксировать атаку шпионского ПО, которое затронуло по меньшей мере 90 пользователей по всему миру. Reuters считают, что речь идёт о как минимум 24 странах.

Paragon использовала так называемый «zero-click», не требующий никакого взаимодействия со стороны пользователя. Жертвам рассылались вредоносные 📄 электронные документы, которые не требовали открытия на телефоне. Достаточно было того, чтобы сообщение с документом дошло до адресата. Удалялись ли сообщения с документом сразу после доставки или нет — не уточняется.

После обнаружения атаки WhatsApp принял меры для нейтрализации шпионской угрозы, а также передали информацию специалистам из канадской организации Citizen Lab. Представители WhatsApp не раскрыли способ, как именно им удалось связать атаку с Paragon, но отметили, что они уже уведомили 👮правоохранительные органы и своих партнёров по индустрии.

Недавно приобретённая американским инвестфондом AE Industrial Partners компания Paragon Solutions продвигает себя как «этичного» игрока на рынке ИБ и утверждает, что продаёт свои инструменты только «демократическим государствам».

WhatsApp официально направил в Paragon письмо с требованием прекратить незаконные действия. Однако сама компания отказалась от комментариев.

✋ @Russian_OSINT

🐋 DeepSeek cтановится партнёром одной из топовых 💻ИБ-компаний 360 в 🇨🇳Китае

🤔А вот это уже интересно [1,2,3]. Один из главных мастодонтов ИБ в Китае компания 360 Digital Security Group объявила о полномасштабной интеграции своей безопасной ИИ-модели с платформой DeepSeek.

Суть интеграции заключается в том, что DeepSeek будет использоваться как базовая платформа нового поколения систем киберзащиты, объединяющих передовые алгоритмы машинного обучения с гигантским массивом данных 360. Главная цель заключается в создании так называемой «автопилотируемой» системы безопасности, которая сможет в реальном времени анализировать и нейтрализовать киберугрозы без участия человека.

Ранее основатель 360 Group Чжоу Хунъи пообещал предоставить DeepSeek безвозмездную 🛡комплексную защиту на фоне участившихся кибератак. Если верить заявлениям, то 360 выявила три фазы кибератаки на DeepSeek — первая включала в себя лёгкие HTTP-прокси-атаки. Вторая — рост интенсивности прокси-атак. В третьей фазе в процесс вмешались крупные ботнеты, включая RapperBot и HailBot, которые предоставляют DDoS-услуги по модели «атака как сервис». У многих DeepSeek просто лёг и не мог отвечать на запросы пользователей. Примечательно, что кибератаки внезапно появились после того, как топовые компании в США потеряли почти $1 триллион на NASDAQ.

Стоит отметить, что 360 стала первой цифровой компанией в 🇨🇳 Китае, подключившей свой ИИ к DeepSeek. Уже сейчас решения 360 внедрены в критически важные отрасли — государственные учреждения, финансовый сектор, стратегические предприятия, телекоммуникации, образование и здравоохранение. Утверждается, что ИИ от 360 зачастую способен в считаные минуты блокировать атаки шифровальщиков и пресекать сложные целевые кибератаки различных 🥷APTшек.

Кроме того, 360 использует концепцию 🤖«ИИ против ИИ» для выявления уязвимостей в больших языковых моделях. Недавно компания провела аудит и обнаружила порядка 40 критических брешей в безопасности ИИ-систем.

=====

🇹🇼♋️ Кстати, Тайвань полностью запретил правительственным учреждениям использовать сервис DeepSeek AI из соображений безопасности, следует из заявления, опубликованного в понедельник на сайте Исполнительного Юаня (правительство) Тайваня.

✋ @Russian_OSINT

🇺🇸 В США сенатор ✋ Джош Хоули лоббирует жёсткий законопроект о тюремном заключении за скачивание 🇨🇳китайских ИИ-моделей

Как сообщает 404 Media, сенатор-республиканец от штата Миссури Джош Хоули предложил принятие нового законопроекта, который может отправить в тюрьму любого на территории штатов, кто осознанно скачает китайскую модель искусственного интеллекта. Например, скачавшему приложение DeepSeek нарушителю теоретически может грозить до 20 лет тюремного заключения и одновременно штраф в размере $1 миллиона. Законопроект он назвал Decoupling America’s Artificial Intelligence Capabilities from China Act. В некотором смысле он направлен на ограничение обмена ИИ-технологиями между 🇺🇸США и 🇨🇳Китаем.

«Каждый доллар и гигабайт данных, которые идут в развитие китайского ИИ, в конечном итоге будут использованы против США»

— заявил Холли, обосновывая необходимость запрета.

По его словам, DeepSeek представляет собой 🧹«дешевую ИИ-модель для сбора данных», которая вызвала международные потрясения и падение акций американских технологических компаний. Законопроект должен запретить не только экспорт/импорт ИИ-технологий, но и возможность проведения исследований в сотрудничестве с китайскими компаниями, включая наложение запретов на инвестиции в китайские разработки.

Отдельные критики называют законопроект атакой политиков на научное сотрудничество и свободу исследований. Один из экспертов по технологиям Кевин Бэнкстон пояснил, что принятие неоднозначного законопроекта может привести к уголовному преследованию обычных пользователей и исследователей, которые хотят делиться знаниями и обмениваться опытом. В контексте одобрения законопроекта не исключено, что запреты могут перечеркнуть практически любые формы сотрудничества между США и Китаем в области ИИ из-за ухудшающихся отношений.

В законопроекте говорится о том, что если американские компании нарушат запреты и будут сотрудничать с китайскими компаниями или университетами, то за это им может грозить штраф в размере до $100 миллионов.

👀 По мнению экспертов, удар будет нанесен не только по обычным пользователям, но и по учёным, которые работают с открытыми данными и публикуют исследования в области ИИ.

Пока неоднозначный законопроект выглядит скорее как 😱 фарс отдельных политиков, целью которых является желание заработать себе побольше политических очков на антикитайской риторике, но, тем не менее, шанс на его принятие пусть и в более мягкой форме, всё же есть.

👆По данным SCMP, на фоне обострения отношений между Китаем и США — Китайское государственное управление по регулированию рынка (SAMR) объявило о начале антимонопольного расследования в отношении компании 🌐Google. Заявление может расцениваться, как ответная мера Пекина на новые 10% пошлины, введённые администрацией Дональда Трампа.

✋ @Russian_OSINT

🦠🐈‍⬛Криптостилер SparkСat проник в официальный магазин 🍏AppStore для кражи чувствительных данных пользователей

Эксперты "Лаборатории Касперского" обнаружили новый мобильный стилер в App Store и Google Play, использующий нейросеть для кражи данных на фото в iOS и Android-смартфонах.

Троянец-стилер назвали SparkCat. Он распространялся в составе заражённых мессенджеров, ИИ-ассистента, приложений для доставки еды и для доступа к криптобирже. Один из первых вредоносных модулей, с которого началось исследование, назывался Spark. При этом внимание при анализе iOS-зловреда привлек идентификатор пакета самого вредоносного фреймворка — bigCat.GZIPApp. В честь этого эксперты и назвали троянца SparkCat.

Отличительные особенности зловреда:
💠Кроссплатформенность;
💠Использование языка Rust, который редко встречается в мобильных приложениях;
💠Официальные магазины приложений как один из векторов распространения;
💠Скрытность — С2-домены часто мимикрировали под легитимные сервисы, а вредоносные фреймворки — под служебные пакеты;
💠Обфускация, которая затрудняет анализ и детектирование.

Сообщают эксперты компании:
Программы, в которые был встроен вредонос, кравший данные от криптокошельков жертв, скачали из Google Play более 242 тысяч раз.

❗️ Цель атакующих: найти фразы для восстановления доступа к криптокошелькам, чтобы заполучить цифровые активы жертв. Кроме того, зловред может красть и другие данные, например, содержание сообщений или пароли, если они есть на скриншотах.

📖На заражённом смартфоне вредонос запрашивает доступ к просмотру фото. Он анализирует текст на изображениях в галерее, используя модель оптического распознавания символов (OCR). Если стилер обнаружит ключевые слова, то отправит картинку злоумышленникам.

Эта кампания разрушает стереотипы о том, что вредоносных приложений под iOS не существует, а Android-угрозы неактуальны для владельцев устройств Apple.

— комментирует эксперт Kaspersky по кибербезопасности Дмитрий Калинин.

В App Store регулярно проникали различные скам- и мошеннические приложения, однако это первый известный случай интеграции вредоносной программы, крадущей данные пользователя, в приложениях в официальном магазине. У нас нет точных сведений о том, оказались они заражены в результате атаки на цепочку поставок, или же разработчики намеренно встраивали троянца в свои приложения.

— комментирует эксперт Kaspersky Cергей Пузан.

⚙️ Технические подробности — https://securelist.ru/sparkcat-stealer-in-app-store-and-google-play/111638

👆"Лаборатория Касперского" уведомила Google и Apple о наличии вредоносных приложений. Однако SparkCat продолжает распространяться на неофициальных площадках.

✋ @Russian_OSINT

🌐 Google изменяет своим принципам и убирает запрет на использование ИИ в разработке оружия

Компания 🇺🇸Google без лишнего шума и пыли изменила свои принципы работы с искусственным интеллектом, удалив одно из ключевых положений о запрете на разработку оружия. Пункт исчез с официального сайта Google [1,2]​​. Изменения зафиксировал Bloomberg.

Ранее Google чётко заявляла, что её ИИ не будет использоваться для создания оружия. Это было частью принципов, сформулированных ещё в 2018 году после скандала с программой Project Maven — военной инициативой Пентагона по использованию ИИ для анализа видеозаписей с 🤖 дронов. Тысячи сотрудников Google протестовали против сотрудничества с военными, что привело к прекращению контракта и созданию официального свода этических принципов​. Project Maven как программа Министерства обороны не закрылась, но участие Google в нём прекратилось в 2018 году. Также Google не раз критиковали за совместный проект с 🎖🇮🇱израильскими военными под названием Nimbus, против которого высказывались внутри компании. Google даже пришлось уволить 28 сотрудников.

Пока компания Google не дала развернутых комментариев о причинах изменения своей политики. Однако некоторые аналитики предполагают, что это связано с растущим давлением со стороны государственных заказчиков и оборонного сектора США, которые активно внедряют технологии машинного обучения в разведку, кибербезопасность и 🤖автоматизированные боевые системы​.

Вдруг 🇺🇸 понадобится до 🇨🇦Торонто или 🇬🇱Нуук за 3 дня.

В последние годы 🌐 Google активно участвует в тендерах Министерства обороны 🇺🇸 США, включая многомиллиардный контракт Joint Warfighting Cloud Capability (JWCC), направленный на создание облачной инфраструктуры для военных нужд. Очевидно, что корпоративная этика и идеалистические заявления уступили место прагматичным бизнес-интересам и давлению со стороны правительства.

«Удаление пункта умножает на ноль весь вклад стольких людей, работавших в области этического ИИ и активистского движения в Google, и, что ещё более проблематично, это значит, что Google, вероятно, теперь будет работать над внедрением технологий, способных непосредственно🤖убивать людей»

— прокомментировала Маргарет Митчелл, бывший соучредитель и руководитель команды по этическому ИИ в Google, а ныне главный этический специалист стартапа Hugging Face.

🤔По мнению критиков, размытые формулировки принципов Google теперь дают компании полную свободу действий для работы в военной сфере, а отсутствие прозрачных критериев оставляет корпорации пространство для манёвров.

✋ @Russian_OSINT

Канал 🔨 SecAtor — https://www.tg-me.com/true_secator сообщает интересное:

В киберподполье оперативно отреагировали на стремительный всплеск популярности DeepSeek, выкатив два вредоносных пакета deepseek и deepseekai для кражи информации в Python Package Index (PyPI), выдавая их за инструменты разработчика для платформы ИИ.

Причем пакеты были загружены со старой учетной записи, созданной в июне 2023 года, без какой-либо предыдущей активности. 

Правда, задетектить угрозу не менее оперативно (почти в считанные минуты) смогли исследователи Positive Technologies, которые сообщили о своей находке в PyPI.

По данным Positive Technologies, атака, скорее всего, была направлена на разработчиков, инженеров машинного обучения или энтузиастов искусственного интеллекта. 

Оба пакета, выдававшие себя за клиенты Python для DeepSeek AI, были ПО для кражи информации со свойственным им функционалом кражи данных у разработчиков, которые решили их использовать.

После запуска на компьютере разработчика вредоносная нагрузка похищала пользовательские и системные данные, а также переменные среды, которые часто содержат конфиденциальные данные, необходимые для работы приложений, например, ключи API для службы хранения S3, учетные данные базы данных и разрешения на доступ к другим ресурсам инфраструктуры.

Затем украденная информация переправлялась на C2 по адресу eoyyiyqubj7mquj.m.pipedream[.]net с использованием Pipedream, легитимной платформы автоматизации.

Полезная нагрузка выполнялась, когда пользователь запускал команды deepseek или deepseekai (в зависимости от пакета) в интерфейсе командной строки.

Вредоносные пакеты deepseek 0.0.8 и deepseekai 0.0.8 были загружены в PyPI 29 января 2025 года с разницей всего в двадцать минут.

После уведомления PyPI немедленно поместила пакеты в карантин и в течение часа заблокировала их загрузку, после чего они были полностью удалены с платформы.

Несмотря на быстрое обнаружение и реагирование, 222 разработчика загрузили оба пакета, большинство из США (117), за ними следуют Китай, Россия, Германия, Гонконг и Канада.

Разработчикам, использовавшим эти пакеты, следует немедленно сменить свои ключи API, токены аутентификации и пароли, поскольку теперь их можно считать скомпрометированными.

Как отмечают Позитивы, хакеры всегда отслеживают тенденции и стараются воспользоваться ими в нужный момент.

В данном случае это была относительно безобидная атака, хотя из-за шумихи вокруг DeepSeek в случае промедления жертв могло бы быть гораздо больше.

Ранее попытки оседлать тренд для распространения вредоносного ПО фиксировали также в ESET, детектируя фейковые сайты, домены-двойники и фиктивные криптотокенами DeepSeek.

🇷🇺 На сайте МВД появился реестр контролируемых лиц.

👀 Проверьте данные иностранца. Они должны совпадать с документом, удостоверяющим его личность.

↘️ https://мвд.рф/rkl

✋ @Russian_OSINT

🐋❗️🥷 Кибербезопасники из AnyRun опубликовали анализ нашумевшей кибератаки хакеров на Deepseek

Наткнулся на интересную статью в блоге у 💻Any.run, где разбираются подробности кибератаки на Deepseek. Ранее об этом писали 🇨🇳китайские ресурсы — там речь шла про 🦠RapperBot и 🦠 HailBot.

Как мы помним, в январе Deepseek с барского плеча снизили рыночную стоимость топовых американских ИТ-гигантов почти на $1 триллион. На волне популярности и хайпа к одной из лучших китайских 🤖ИИ-компаний тут же возникли вопросики по поводу безопасности и стабильности инфраструктуры. Неизвестные хакеры начали наваливать по DeepSeek от души. Да так, что платформе пришлось временно закрыть регистрацию новых пользователей из-за мощного дудоса (DDoS) и кибератак.

🔻27 января: DeepSeek публично заявила о «масштабных злонамеренных атаках» на свою инфраструктуру и закрыла регу.

🔻28 января: Wiz сообщили об обнаружении утечки базы данных ClickHouse, связанной с DeepSeek, в которой содержались истории чатов пользователей и API-ключи. Утечка, скорее всего, не связана с кибератаками, о которых упоминает DeepSeek.

🔻29 января: Global Times выяснили, что с начала января DeepSeek регулярно подвергалась DDoS-атакам. С 22 января начались атаки с использованием HTTP-прокси, которые достигли своего пика 28 января. Вся эта история параллельно сопровождалась попытками брутфорса с IP-адресов из 🇺🇸США.

🔻30 января: Основываясь на отчете XLab, Global Times сообщила, что в последней волне атак на DeepSeek участвовали две крупные бот-сети - HailBot и RapperBot. Это варианты печально известной бот-сети Mirai. По данным специалистов, злоумышленники использовали 16 командно-контрольных серверов (C2) и более 100 C2-портов.

HailBot получил своё название в честь строки «hail china mainland». Главный его функционал это масштабные DDoS-атаки с использованием уязвимостей (например, CVE-2017-17215 в некоторых устройствах Huawei). Скомпрометировав внушительное количество систем, ботнет генерирует огромный поток трафика, который «ложит» инфраструктуру жертвы. При запуске HailBot в интерактивной песочнице специалисты наблюдали характерные сигнатуры в сетевом трафике и мгновенную детекцию угрозы средствами Suricata IDS.

RapperBot, в свою очередь, ориентирован на SSH-брутфорс. После успешного проникновения вредонос заменяет файл ~/.ssh/authorized_keys своим публичным ключом и создаёт суперпользователя «suhelper» путём правок в /etc/passwd и /etc/shadow. Дополнительно он запускает криптомайнер 💴XMRig, нагружая 🔥📝процессор жертвы.

Анализ сессии в ANY RUN показал, что RapperBot генерирует около 😰139  405 подключений всего за три минуты. Разумеется, его легко обнаружить специальными средствами и песочницами (разумеется, Anyrun рекламируют свой продукт) из-за такого объема сетевого трафика.

Эксперты признают, что даже топовые компании не всегда могут выдержать такой комбинированный натиск, поэтому никто не может быть застрахован на 100%. Традиционно рекомендуется комплексно работать над защитой инфраструктуры, минимизировать риски и вовремя принимать организационные меры по недопущению подобных событий.

🔎 Анализ в песочнице AnyRun:
https://app.any.run/tasks/3d9ee5c4-ef6d-4317-b11d-8421e295aeef

✋ @Russian_OSINT

🇷🇺👨‍🔬Научные статьи, исследования и публикации
▫️CyberLeninka — научная электронная библиотека, построенная на парадигме открытой науки (Open Science), основными задачами которой является популяризация науки и научной деятельности.
▫️eLIBRARY.RU — крупнейший российский информационно-аналитический портал в области науки, технологии, медицины и образования.
▫️Истина МГУ — платформа предназначена для перманентного сбора и систематизации, хранения и анализа наукометрической информации в вузах и научных организациях с целью подготовки и принятия управленческих решений (МГУ).
▫️Руконт — межотраслевая электронная библиотека (ЭБС) на базе технологии Контекстум.
▫️ScienceJournals — коллекция российских научных журналов.
▫️РЦНИ — Российский фонд фундаментальных исследований.
▫️BiblioClub — университетская библиотека онлайн, предоставляющая доступ к более чем 130 000 электронных книг, включая учебники, научные монографии, художественную литературу и диссертации.
▫️Российская государственная библиотека (РГБ) — одна из крупнейших библиотек мира + поиск.
▫️Пушкинский Дом — материалы по русской литературе и культуре.

🇺🇸👨‍🔬 Зарубежные научные труды
▫️arXiv — хранилище научных статей с продвинутым поиском.
▫️ResearchGate — платформа для обмена научными публикациями и взаимодействия между исследователями.
▫️Google Scholar — академическая поисковая система от Google.
▫️Academia.edu — платформа для доступа к миллионам научных документов в различных дисциплинах.
▫️BASE — многоязыковая поисковая система для академических ресурсов.
▫️Cobalt — инструмент для поиска научных исследований.
▫️Consensus — ИИ-поисковик по научным трудам.
▫️CORE — платформа с доступом к миллионам научных публикаций.
▫️SpringerLink — библиотека научных статей и книг от Springer Nature.
▫️PLOS — журналы с открытым доступом по науке и медицине.
▫️RefSeek — академическая поисковая система.
▫️Science.gov — доступ к научным данным и исследованиям от госучреждений США.
▫️ScienceDirect — база научных статей и журналов.
▫️PubMed — поисковая система по биомедицинской литературе, охватывающая миллионы записей из области медицины и здравоохранения.
▫️HBS Faculty Articles — коллекция статей, опубликованных факультетом Гарвардской школы бизнеса, содержащая исследования по управлению, инновациям, маркетингу и технологиям.
▫️DOAJ — каталог рецензируемых журналов открытого доступа, обеспечивающий бесплатный доступ к высококачественным научным публикациям.
▫️Scilit — многофункциональная платформа для поиска научных статей и журналов.
▫️All You Can Read — каталог научных журналов и публикаций, включающий широкий спектр тем: от естественных наук и медицины до технологий и инженерии.
▫️WorldCat — крупнейший в мире библиотечный каталог, объединяющий миллионы записей о книгах, статьях, диссертациях, картах, музыкальных произведениях и других материалах.
▫️ArchiveGrid — поисковая система по архивным материалам, содержащая более 7 миллионов записей о документах, личных архивах, семейных историях и исторических коллекциях.
▫️MIT books — бесплатные книги от MIT.

⚡️💫 Больше полезной информации для исследователей в Лаборатории Russian OSINT

👩‍💻 OpenAI расследует заявление о продаже🥷 20 миллионов аккаунтов на одной из теневых площадок

Malwarebytes пишут, что на одной из теневых площадок пользователь под ником "emirking" разместил объявление о продаже 20 000 000 учёток пользователей OpenAI.

🤔 Вряд ли хакеру удалось получить столь внушительный объём аккаунтов через фишинговые атаки.

Эксперты предполагают, что "emirking" гипотетически мог найти уязвимость в системе аутентификации OpenAI или получить учетные данные администратора (например, поддомена auth0. openai. com).

На данный момент OpenAI активно расследует это кейс, но пока не нашла смогла найти реальных доказательств компрометации своих систем. Отмечается, что компания всерьез воспринимает подобные заявления.

Специалисты рекомендуют на всякий случай обновить пароли, активировать многофакторную аутентификацию (MFA) и следить за подозрительной активностью в аккаунте.

👆OpenAI пообещала информировать пользователей по мере появления новой информации.

✋ @Russian_OSINT

💴♋️РКН заблокировал популярный агрегатор криптообменников BestChange

Ограничение доступа
доступ ограничивается к сайту

— сообщается на сайте ведомства.

Сервис для проверки ограничения доступа к сайтам и (или) страницам сайтов сети «Интернет»:
↘️ https://blocklist.rkn.gov.ru

✋ @Russian_OSINT

👀 ГРЧЦ планирует обучить своих сотрудников по программе повышения квалификации «Методы Интернет-разведки и OSINT»

Как сообщает Forbes, Главный радиочастотный центр (ГРЧЦ) Роскомнадзора обучит своих сотрудников навыкам OSINT — разведке по открытым источникам. После обучения они должны уметь пользоваться различными источниками информации и владеть набором практических методов киберразведки.

Подведомственное Роскомнадзору ФГУП «Главный радиочастотный центр» объявило 4 февраля тендер на обучение своих сотрудников навыкам OSINT (open source intelligence, комплекс мероприятий, инструментов и методов для получения и анализа информации из открытых источников). В техническом задании указано, что курс предполагается читать в течение 40 часов сотрудникам ГРЧЦ.

Исполнитель должен обладать лицензией на осуществление образовательной деятельности (пункт 40 части 1 статьи 12 Федерального закона от 04 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности»).

====

В проекте договора, где требования к образовательной программе, указано:

💠Shoodan? FBI Facebook information?

💠Хочется надеяться, что добрые люди (лекторы) расскажут cотрудникам ГРЧЦ о возможных рисках использования сборок, подобных Linux CSI [1,2]. Особенно когда речь заходит о работе с чувствительной информацией.

Jeremy enjoys having fun reverse engineering code and building backdoors to get access to the most sensitive data.

— о тех, кто стоит у истоков.

В один прекрасный день было бы хорошо в ТЗ увидеть больше российских названий OSINT-инструментов, а то немного грустно становится.

*Деятельность Meta (соцсети Facebook*, Instagram, Threads) запрещена в России как 🏴‍☠️ экстремистская.

✋ @Russian_OSINT