😁 Как io_uring стал укрытием для руткитов в Linux

Как известно, механизм io_uring, впервые представленный в ядре Linux 5.1, был разработан как высокопроизводительный интерфейс асинхронного ввода-вывода. Его архитектура минимизирует необходимость обращения к системным вызовам за счёт использования кольцевых буферов, разделяемых между пространством пользователя и ядром, что существенно снижает трассируемость операций на уровне традиционного мониторинга.

В рамках доказательства концепции (PoC) исследователи из ARMO реализовали руткит под названием 🦠 Curing — https://github.com/armosec/curing. После начальной инициализации, включающей вызов стандартных системных функций io_uring_setup и io_uring_enter, все дальнейшие действия Curing выполняются исключительно через API io_uring. Это позволило полностью обойти детекторы, основанные на перехвате системных вызовов, без генерации событий, типичных для execve, openat или sendmsg.

Например, Falco при использовании стандартных правил оказался неспособен зарегистрировать какую-либо активность. Даже при разработке кастомных политик, не задействующих LSM-плагины, поведение Curing не фиксировалось. Microsoft Defender for Endpoint на Linux также не выявил индикаций вредоносной активности, включая запуск 💴криптомайнера, сетевое взаимодействие и чтение чувствительных файлов, несмотря на наличие активных eBPF-хуков. Единственным зарегистрированным событием стала реакция модуля контроля целостности файлов (FIM), сработавшего на изменение определённых путей.

Большинство решений класса EDR для Linux до сих пор полагаются на перехват системных вызовов как основную точку контроля. Между тем, io_uring позволяет выполнять "широкую гамму" критически важных операций, обходя традиционные механизмы мониторинга. Эксперимент ARMO наглядно продемонстрировал, что такие векторы остаются невидимыми не только для Falco и Defender, но и для других систем, не поддерживающих расширенные eBPF или LSM-хуки.

В качестве потенциального решения авторы указывают на использование KRSI — подсистемы ядра, предоставляющей интерфейс LSM-хуков для подключения eBPF-программ. Такой подход обеспечивает более глубокое и универсальное ядровое покрытие вне зависимости от используемых интерфейсов. Дополнительно предлагается внедрять поведенческий контроль появления io_uring в нестандартных сценариях, например в пользовательских приложениях, не связанных с высоконагруженным I/O.

Реализация надёжной защиты от подобных атак усложняется множеством факторов. KRSI на момент написания не включён по умолчанию во многих популярных дистрибутивах и требует ручной активации. Кроме того, архитектурные ограничения верификатора eBPF накладывают дополнительные сложности на проектирование надёжных сценариев отслеживания. Переход к глубокой интеграции с ядром потребует не только пересмотра технических реализаций, но и отказа от классической модели «ловим вызовы» в пользу парадигмы «контролируем последствия» — с акцентом на LSM, файловые операции, CNI и другие критические интерфейсы ядра.

Таким образом, мониторинг системных вызовов перестаёт быть самодостаточным инструментом наблюдения за состоянием среды выполнения. Без поддержки механизмов глубокой ядровой интеграции и учёта новых API, таких как io_uring, защита Linux-систем будет по-прежнему уязвима для высокоразвитых атакующих.

😎Чтобы погрузиться более глубоко — https://www.armosec.io/blog/io_uring-rootkit-bypasses-linux-security

✋ @Russian_OSINT

🌐 Perplexity идёт по стопам Google?

Глава Perplexity AI подтвердил, что их новый браузер под названием Comet будет отслеживать всё, что вы делаете в интернете, чтобы продавать вам «гиперперсонализированную» рекламу.

🛍 Comet выйдет в мае, несмотря на задержки. Браузер будет отслеживать: покупки, бронирования, историю серфинга — то есть всё, что помогает составить максимально точный пользовательский профиль.

📲 Perplexity заключила партнёрство с Motorola — её приложение будет предустановлено на смартфонах Razr и интегрировано в Moto AI.

🎩 Компания не скрывает своих целей. Она хочет стать новым Google и собирать как можно больше данных о пользователях ради эффективной монетизации. При этом CEO уверяет, что «пользователям понравятся более релевантные объявления и реклама».

Пока Google ведёт разборки в судах, Perplexity и OpenAI выразили готовность купить Chrome, если суд заставит Google его продать.

✋ @Russian_OSINT

🤖 Ubisoft обвиняют в слежке за игроками даже в режиме оффлайн

В индустрии видеоигр разгорается громкий скандал. Один из крупнейших издателей в Европе компания 🇫🇷Ubisoft оказалась в центре разбирательства после того как активисты 🇦🇹noyb подали официальную жалобу в Австрийский орган по защите данных.

Поводом стало требование со стороны Ubisoft обязательного подключения к интернету и авторизации в аккаунте Ubisoft даже в играх, лишённых каких-либо сетевых функций.

Инцидент привлёк внимание общественности после того, как пользователь попытался запустить Far Cry Primal в оффлайн-режиме и получил отказ в доступе. При дополнительной проверке выяснилось, что за десять минут игры система инициировала около 150 DNS-запросов и передала данные третьим сторонам, в числе которых оказались Google, Amazon и Datadog. При этом весь трафик был защищён протоколом TLS, что затрудняло оценку содержания пересылаемой информации. Были установлены многочисленные соединения с внешними аналитическими сервисами.

Ubisoft объясняет свои действия, ссылаясь на необходимость сбора данных для «улучшения игрового опыта, аналитики и обеспечения безопасности сервисов». Однако, несмотря на эти заявления, Ubisoft не даёт подробных разъяснений о конкретных данных, которые передаются во время игры, и не объясняет, почему для запуска одиночной игры требуется постоянное подключение к интернету и передача на сервера сторонних техногигантов.

Вместо конкретных объяснений Ubisoft 🎩 предложила пользователям ознакомиться с Политикой конфиденциальности и Лицензионным соглашением, в которых сбор данных обосновывается общими фразами о "безопасности и улучшении качества продуктов", при этом не без конкретики о реальных целях и объёме собираемых данных.

Группа noyb, представляющая истца в соответствии с статьей 80(1) GDPR, уверена в том, что Ubisoft нарушает GDPR и требует признать обработку данных незаконной. От Ubisoft требуют удалить собранную информацию и запретить аналогичные практики в будущем. Кроме того, организация настаивает на наложении штрафа, который с учётом оборота компании может достигать €92 000 000 в соответствии с положениями GDPR.

✋ @Russian_OSINT

По данным Red Eléctrica, массовое отключение электроэнергии 28 апреля 2025 года произошло, скорее всего, из-за сильного колебания мощности в электрической сети...Причины, вероятно, связаны с сильной осцилляцией.

Хоть каких-то вразумительных и адекватных доказательств кибератаки нет. Согласно заявлению председателя Европейского совета Антониу Кошты, причина не связана с кибератакой.

Аналогичные заявления сделали премьер-министр Португалии Луиш Монтенегру и Национальный центр кибербезопасности Португалии.

Португальский оператор REN выдвинул гипотезу, что причиной отключения стал сбой в испанской электросети, вызванный редким атмосферным явлением. Экстремальные перепады температур в Испании вызвали аномальные колебания — "индуцированная атмосферная вибрация".

Продолжается восстановление электроснабжения. Окончательные выводы будут сделаны позже.

✋ @Russian_OSINT

🥷 Вирус-шифровальщик обрушил рыночную стоимость Marks & Spencer почти на 77 миллиардов рублей

Как пишет FT, предполагается, что недавняя кибератака обесценила компанию Marks and Spencer почти на 700 миллионов фунтов стерлингов. Ритейлер уже почти неделю пытается восстановиться после серьёзных перебоев.

Сбой вынудил Marks and Spencer прекратить приём онлайн-заказов одежды и товаров для дома, а также затруднил обработку бесконтактных платежей в магазинах. В ряде торговых точек приём возвратов товаров оказался невозможным.

Эксперты по кибербезопасности заявили, что инцидент с M&S носит характерные признаки использования программ-вымогателей (ransomware).

M&S сообщила о произошедшем в Управление уполномоченного по информации Великобритании (ICO) и сотрудничает с Национальным центром кибербезопасности для устранения последствий инцидента.

По данным BleepingComputer, Marks and Spencer обратилась за помощью к компаниям CrowdStrike, Microsoft и Fenix24.

За атакой якобы стоит хакерская группировка, известная под названием Scattered Spider, которую Microsoft также называет Octo Tempest.

29 апреля 2025 года онлайн-заказы остаются приостановленными, и компания продолжает работу над восстановлением. Сама атака, исходя из сообщений в СМИ, могла быть осуществлена 21 апреля.

✋ @Russian_OSINT