Russian OSINT

🥷Бей 🇬🇧своих, чтобы 🇺🇸чужие боялись! Группировка Scattered Spider вновь оказалась в центре внимания мирового ИБ-сообщества. Специалисты Google и её дочернего подразделения Mandiant подтвердили, что британские участники этой хакерской сети активно содействуют кибератакам на крупные компании в самой же Великобритании. На фоне продолжающихся атак на крупнейших британских ритейлеров — Marks & Spencer, Co-op и Harrods, 🌐 Google считают, что за кибератаками стоят участники группы Scattered Spider, действующие с территории Великобритании. Те самые, которые в прошлом году разгулялись в 🎰MGM Resorts [1,2,3,4]. Тогда ещё пытались обвинить злых "русских хакеров", но ветер подул в другую сторону... Сейчас цели хакеров сместились от известных британских ритейлеров, таких как Marks & Spencer, Co-op и Harrods, к 🇺🇸американским торговым сетям. Отличительной чертой Scattered Spider является использование социальной инженерии. Молодые участники группировки звонят в ИТ-отделы компаний, представляясь сотрудниками или подрядчиками, и убеждают техподдержку сбросить пароли для доступа к корпоративным системам. Scattered Spider представляет собой децентрализованную кибергруппу, включающую в себя англоязычных участников из 🇬🇧Великобритании, 🇺🇸США и 🇨🇦Канады. Внимание британского Национального центра кибербезопасности (NCSC) привлекла специфика приёмов, используемых преступниками. Примечательно, что звонки могут осуществляться не самими хакерами, а вовлечёнными в сеть молодыми исполнителями, которых вербуют через Telegram и Discord за деньги. Эксперты Google Threat Intelligence и Mandiant отмечают, что такой «аутсорсинговый» подход позволяет группе бить сразу по нескольким целям, не прибегая к дорогостоящим эксплойтам. Все благодаря 🧠СИ. Смена приоритетов Scattered Spider происходит по отработанному сценарию: на протяжении нескольких недель внимание полностью сосредоточено на одном секторе (например, ритейле), после чего атаки смещаются в новый географический или отраслевой сегмент. Такой подход cильно осложняет реагирование. Злоумышленники также масштабируют атаки с помощью🔒 ransomware-ПО. 📖💻Специалисты Google предполагают, что американский ритейл останется в зоне риска в обозримом будущем. ✋ @Russian_OSINT

🦠 Бэкдор-имплант dbgpkg в 🐍 PyPI нацелен на российских разработчиков Исследователи ReversingLabs выявили на платформе PyPI очередную вредоносную кампанию, замаскированную под безобидный отладочный инструмент. Вредоносный пакет использует механизмы Python-декораторов и подмену модулей для скрытой установки бэкдора. Эксперты связывают атаку с известной хактивистской группировкой, действующей в интересах Украины на фоне продолжающегося конфликта с Россией. Злоумышленники разместили на PyPI пакет под названием dbgpkg, представив его как полезный отладочный модуль для Python. Однако на практике в нём не содержалось ни одной функции, связанной с отладкой. Вместо этого установка пакета инициировала цепочку скрытной загрузки и установки вредоносного ПО, в том числе инструмента обхода файерволов Global Socket Toolkit. Таким образом, на компьютере разработчика незаметно появляется канал для удалённого доступа и утечки данных. Ключевым техническим элементом атаки стало использование врапперов (aka decorators) для перехвата вызовов стандартных библиотек Python, таких как requests и socket, позволяя внедрять вредоносный код только в момент обращения к сетевым функциям. Такой подход существенно усложняет детектирование: код остаётся неактивным до момента, когда разработчик начинает взаимодействовать с сетью. Исследование показало, что в разных версиях dbgpkg, а также в пакете requestsdev, использовались идентичные вредоносные фрагменты. Причём оба пакета были загружены с поддельного e-mail, совпадающего с адресом известного разработчика Cory Benfield. Подмена нужна для повышения доверия к пакетам среди сообщества и увеличивает вероятность их установки. Аналогичная техника ранее применялась в пакете discordpydebug, нацеленного на разработчиков ботов для Discord. По мнению ReversingLabs, кампания демонстрирует как высокий уровень технической подготовки злоумышленников, так и их информационно-психологическую тактику. Примеры активного распространения ссылок на вредоносные пакеты через сообщества разработчиков указывают на тщательно спланированную операцию. Предполагается, что за атакой может стоять проукраинская группировка Phoenix Hyena. Утверждение о том, что атака через dbgpkg направлена против российских интересов/разработчиков, основано на признанном факте атрибуции этой кампании к группе, ведущей систематическую киберактивность исключительно против РФ в контексте российско-украинского конфликта. Также отмечается, что некоторые вредоносные пакеты могли оставаться незамеченными более трёх лет, как это произошло с discordpydebug. ✋ @Russian_OSINT

💸 У ЦБ появилась база данных дропперов Как сообщает РИА Новости, чтобы избежать попадания в базу дропперов Центробанка, следует избегать переводов по просьбе незнакомцев и никому не передавать свою карту, рекомендует управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД.

"Как не попасть в базу дропперов? Не передавайте свою карту третьим лицам. Не совершайте переводы по просьбе незнакомцев. Не делитесь доступом к онлайн-банку. При ошибочном переводе сразу обратитесь в банк"

— посоветовали в ведомстве. Сейчас Центробанк собирает базу дропперов — лиц, причастных к мошенническим операциям. В нее попадает информация от банков и правоохранительных органов, она доступна всем финансовым учреждениям и органам власти. С сегодняшнего дня для включенных в базу вводится ежемесячный лимит на переводы — не более 100 тысяч рублей. Это не распространяется на покупки в магазинах, оплату ЖКХ или услуг маркетплейсов. Там отметили, что человек, попавший в базу, может обжаловать это двумя способами. 1️⃣ Либо через банк, клиентом которого он является, и тот перенаправит заявление в ЦБ в течение суток. 2️⃣ Либо через интернет-приемную Центробанка, выбрав тему "Информационная безопасность".

"В любом случае гражданин будет обязан подтвердить законность получения средств"

— заключили в МВД. ✋ @Russian_OSINT

🇯🇵Япония переходит в кибернаступление Япония приняла закон, позволяющий государству более активно реагировать на кибератаки, которые в последние годы приобрели беспрецедентный масштаб. Закон об активной киберобороне, утверждённый парламентом в пятницу, знаменует собой поворотный момент в истории японской киберстратегии. Его принятие устраняет давние правовые ограничения, наложенные пацифистской конституцией и строгими нормами конфиденциальности, которые ограничивали возможности государственных структур в борьбе с цифровыми угрозами. Главным барьером для эффективной защиты оставалась 21-я статья послевоенной конституции, гарантировавшая неприкосновенность коммуникаций. Полиция до сих пор не имела права на перехват трафика без судебного ордера, причём даже в таких случаях применялись ограничения, исключавшие киберпреступления из перечня допустимых поводов. Новый закон позволяет мониторить IP-адреса, задействованные в международных коммуникациях, минуя запрет на внутреннюю слежку и обеспечивая техническую возможность обнаруживать атаки до их реализации. 🎩Существенной новацией стало наделение полиции и Сил самообороны Японии полномочиями по проведению 🎯 наступательных киберопераций – например, с нейтрализацией серверов, с которых ведётся враждебная активность. Также закрепляется обязательство операторов критической инфраструктуры сообщать о киберинцидентах, что ранее нередко замалчивалось из страха потерять доверие. Импульсом к принятию закона стали рекордные по числу и сложности атаки, нацеленные на японские порты, энергетические системы, транспорт и больницы. Правительственные доклады фиксируют всплеск фишинга, вымогательских программ и шпионской активности, которую, по версии национальных агентств, координируют зарубежные государства. Министерство экономики и промышленности предупреждает о дефиците 110  000 квалифицированных специалистов в области связанной с кибербезом. Долгие годы Япония вынужденно опиралась на зарубежные технологии и консультации — прежде всего из 🇺🇸США и 🇮🇱Израиля. Внутренние юридические и культурные барьеры не позволяли выстроить собственную систему противодействия киберугрозам. В этой связи бывший руководитель службы безопасности командования ПВО Японии подчеркивает необходимость создания собственных систем, учитывающих культурные и правовые особенности страны. ✋ @Russian_OSINT

👩‍💻 SoftBank и OpenAI столкнулись с замедлением проекта Stargate из-за тарифов Трампа Планы SoftBank вложить 100 млрд долларов в инфраструктуру ИИ в США замедлились из‑за экономических рисков, которые связаны с новой политикой тарифов. Крупнейшие банки и инвесторы замерли в ожидании определенности на рынке. Идея крупномасштабных вложений получила громкую огласку в январе, но спустя более 3 месяцев проект остаётся на стадии обсуждений и разговоров. Отсутствует утверждённая модель финансирования, а переговоры с ведущими банками и фондами не приводят к конкретным соглашениям. Повышенные тарифы на оборудование и компоненты, включая серверные стойки, системы охлаждения и чипы, приводят к увеличению расходов на строительство дата-центров в среднем на 5–15 %. Единственный на сегодня объект Stargate, строящийся под руководством Oracle в Техасе, продолжает развиваться, однако перспективы финансирования остаются неясными. SoftBank формирует специальную команду для ускорения реализации проекта, но большинство потенциальных инвесторов предпочитает дождаться большей определённости по вопросам тарифной политики и рыночных перспектив. ✋ @Russian_OSINT

💴 Ущерб от утечки данных Coinbase может составить до $400 млн Криптовалютная биржа Coinbase сообщила о крупной утечке данных, в ходе которой злоумышленники при помощи завербованных за границей сотрудников службы поддержки похитили персональные данные клиентов. Злоумышленник связался с компаний и потребовал выкуп в $20 млн. Компания отказалась платить, объявив о создании премиального фонда в таком же размере за информацию о злоумышленниках.

11 мая 2025 года неизвестный злоумышленник связался с компанией, предъявив доказательства получения информации о части клиентских счетов, а также внутренних документов Coinbase, в том числе связанных с системами поддержки пользователей и управления аккаунтами.

По данным Coinbase, инсайдеры получили доступ к внутренним системам и успели выгрузить данные. В результате пострадало до 1 % клиентской базы. ✅Что им удалось получить: - Имя, адрес, телефон и email - Маскированный номер социального страхования (только последние 4 цифры) - Маскированные банковские счета и некоторые банковские идентификаторы - Изображения удостоверений личности (например, водительские права, паспорт) - Данные по аккаунтам (снимки баланса и история транзакций) - Ограниченные корпоративные данные (включая документы, учебные материалы и коммуникации, доступные сотрудникам поддержки) ♋️ Что им не удалось получить: - Данные для входа или коды двухфакторной аутентификации - Приватные ключи - Любую возможность перемещать или получать доступ к средствам клиентов - Доступ к аккаунтам Coinbase Prime - Доступ к каким-либо горячим или холодным кошелькам Coinbase или клиентов 👺Прогнозируемые убытки от инцидента составят от $180 до $400 млн, включая расходы на компенсации и усиление безопасности. TechCrunch обратился за комментарием и представитель Coinbase Наташа ЛаБранш заявила, что количество затронутых клиентов составляет менее 1% от 9,7 млн ежемесячных клиентов компании согласно последнему годовому отчету. 🤔Некоторые СМИ пишут, что могло пострадать около 1 млн человек, но представитель ссылается на данные MTU (Monthly Transacting Users). Есть еще другая метрика Verified Users — 110 000 000 (Form 10‑K за 2022). Дело в том, что Coinbase официально перестала публиковать данные Verified Users, заявив — новая метрика нечувствительна к «мёртвым душам». Пока реальные цифры около 100к клиентов. Coinbase уволила инсайдеров после выявления несанкционированного доступа к внутренним системам, однако это решение было принято лишь тогда, когда конфиденциальная информация уже успела быть эксфильтрована с устройств, через которые осуществлялся доступ. После инцидента Сoinbase призывает игнорировать любые запросы на передачу личных данных и перевод средств, даже если инициаторы выдают себя за сотрудников компании. Усиливаются антифрод-инструменты и заявляется о планах добровольного возмещения средств розничным клиентам, которые могли пострадать от действий мошенников в результате инцидента. 👮Компания тесно сотрудничает с правоохранительными органами и пишет, что будет добиваться возбуждения уголовных дел. ✋ @Russian_OSINT

❗️Steam опровергает сообщения о взломе и утечке данных пользователей На подпольной площадке был выставлен на продажу массив данных, который, по утверждению анонимного пользователя с ником Machine1337, содержал приблизительно 89  000 000 строк, каждая из которых включала номер телефона и связанный с ним одноразовый SMS‑код Steam Guard. Стоимость архива оценивалась в 5 000 долларов. Публикация быстро привлекла внимание международных медиа и вызвала волну слухов о якобы глобальном взломе Steam. Специалисты BleepingComputer получили и проанализировали часть предложенного массива (примерно 3 000 строк), подтвердив, что речь идёт исключительно о старых SMS‑кодах и телефонных номерах — без логинов, паролей, e‑mail, платёжных данных и иной чувствительной информации. Независимый анализ не выявил доказательств компрометации серверов Steam или инфраструктуры крупных SMS‑провайдеров. Официальная реакция Valve тоже не заставила себя ждать. Компания детально изучила содержимое утечки и заявила об отсутствии признаков взлома. В заявлении подчеркивается, что все опубликованные коды давно недействительны — их срок жизни составлял не более 15 минут, а их наличие не позволяет установить связь с аккаунтами пользователей или получить доступ к учётным записям. Valve также указала, что не сотрудничает с Twilio. Провайдер Twilio, в свою очередь, публично опроверг свою причастность к произошедшему, заявив, что просмотренные образцы не имеют отношения к их системе. Тем не менее обсуждение инцидента в профильном сообществе продолжилось. Прозвучала версия о возможной гипотетической утечке у неидентифицированного промежуточного SMS‑агрегатора, который мог хранить исторические логи доставленных сообщений. Профильные эксперты, в том числе основатель проекта Have I Been Pwned Трой Хант, отметили низкий уровень риска для конечных пользователей, подтвердив выводы Valve. Большинство сходится во мнении, что вышеописанный инцидент не даёт злоумышленникам рычагов для прямого взлома аккаунтов. Таким образом, прямых свидетельств взлома Steam представлено не было, а публикация базы рассматривается экспертами как побочный продукт слабых звеньев в цепочке SMS‑агрегации. Расследование будет продолжено. Для повышения безопасности рекомендуется перейти на Steam Mobile Authenticator. ✋ @Russian_OSINT

👀 OSINT-специалист "Cyberknow" обновил свой 📖трекер противостояния хакерских группировок. На этот раз 🇮🇳vs 🇵🇰. ✋ @Russian_OSINT

🇺🇸 В американские видеокарты хотят встроить геотрекинг? Сенатор Том Коттон представил в Конгрессе США законопроект, который кардинально меняет правила экспортного контроля для высокопроизводительных процессоров и графических ускорителей для будущих поставок. Законопроект предусматривает обязательное оснащение "железа" средствами геотрекинга с возможностью физической слежки: прослеживание пути от производителя до конечного пользователя, включая периодическую проверку физического местоположения. Инициатива направлена на предотвращение передачи передовых чипов странам-противникам. В этом контексте упоминается 🇨🇳 Китай. 🇷🇺РФ не упоминается, но "уважаемые партнеры", как не трудно догадаться, могут передумать в любой момент. Классификация идет по кодам экспортного контроля 3A090, 4A090, 4A003.z и 3A001.z. Подпадают все высокопроизводительные процессоры, GPU и сопутствующие системы, перечисленные в четырёх кодах экспортного контроля США (ECCN). Даже обычные ❗️ RTX 5090 входят в лист. Nvidia, AMD и Intel будут нести ответственность за верификацию факта присутствия оборудования в утверждённой точке назначения. Сама система должна быть способна к😹 "удалённой проверке", но в то же время "не раскрывать коммерчески чувствительную информацию". Охотно верим! В случае перенаправления партии ИИ-чипов "противникам", компания-экспортёр обязана уведомить Бюро промышленности и безопасности (BIS) Минторга США. Проект предполагает внедрение дополнительных механизмов поэтапно. В случае принятия законопроекта, в течение первого года Минторг и 🛡 Пентагон проведут совместное исследование, чтобы определить необходимость новых технических требований. Далее Министерство торговли и 🎖 Министерство обороны США обязуются в течение трёх лет проводить ежегодные оценки эффективности мер и состояния экспортного контроля. 👆Производители встроят что-то вроде “чёрного ящика” с GPS контролем перемещений. Пользователь не сможет его отключить. Технология предполагает удалённую проверку, а также фиксацию 📖“несанкционированных изменений или вмешательство”. Конкретные механизмы не раскрываются, однако реализация планируется на аппаратном уровне, поэтому вместе с обновлением может прилететь "кирпич". Код систем закрыт, спецификации — не публичны. Фактически в железо будет вшит бэкдор 🤌"аппаратный механизм контроля с закрытым кодом", который кроме геотрекинга технически может выполнять ряд других операций. Законопроект сенатора Тома Коттона пока только внесён в Сенат. Учитывая масштабы перемен, скорее всего, будут сделаны поправки, отсрочки, а также отдельные исключения для определенных рынков. Эксперты прогнозируют, что история может затянуться не на один год, но, опять же, не факт. 🤔Будем посмотреть... ✋ @Russian_OSINT

🇺🇸 В американские видеокарты хотят встроить геотрекинг? Сенатор Том Коттон представил в Конгрессе США законопроект, который кардинально меняет правила экспортного контроля для высокопроизводительных процессоров и графических ускорителей для будущих поставок. Законопроект предусматривает обязательное оснащение "железа" средствами геотрекинга с возможностью физической слежки: прослеживание пути от производителя до конечного пользователя, включая периодическую проверку физического местоположения. Инициатива направлена на предотвращение передачи передовых чипов странам-противникам. В этом контексте упоминается 🇨🇳 Китай. 🇷🇺РФ не упоминается, но "уважаемые партнеры", как не трудно догадаться, могут передумать в любой момент. Классификация идет по кодам экспортного контроля 3A090, 4A090, 4A003.z и 3A001.z. Подпадают все высокопроизводительные процессоры, GPU и сопутствующие системы, перечисленные в четырёх кодах экспортного контроля США (ECCN). Даже обычные ❗️ RTX 5090 входят в лист. Nvidia, AMD и Intel будут нести ответственность за верификацию факта присутствия оборудования в утверждённой точке назначения. Сама система должна быть способна к😹 "удалённой проверке", но в то же время "не раскрывать коммерчески чувствительную информацию". Охотно верим! В случае перенаправления партии ИИ-чипов "противникам", компания-экспортёр обязана уведомить Бюро промышленности и безопасности (BIS) Минторга США. Проект предполагает внедрение дополнительных механизмов поэтапно. В случае принятия законопроекта, в течение первого года Минторг и 🛡 Пентагон проведут совместное исследование, чтобы определить необходимость новых технических требований. Далее Министерство торговли и 🎖 Министерство обороны США обязуются в течение трёх лет проводить ежегодные оценки эффективности мер и состояния экспортного контроля. 👆Производители встроят что-то вроде “чёрного ящика” с GPS контролем перемещений. Пользователь не сможет его отключить. Технология предполагает удалённую проверку, а также фиксацию 📖“несанкционированных изменений или вмешательство”. Конкретные механизмы не раскрываются, однако реализация планируется на аппаратном уровне, поэтому вместе с обновлением может прилететь "кирпич". Код систем закрыт, спецификации — не публичны. Фактически в железо будет вшит бэкдор 🤌"аппаратный механизм контроля с закрытым кодом", который кроме геотрекинга технически может выполнять ряд других операций. Законопроект сенатора Тома Коттона пока только внесён в Сенат. Учитывая масштабы перемен, скорее всего, будут сделаны поправки, отсрочки, а также отдельные исключения для определенных рынков. Эксперты прогнозируют, что история может затянуться не на один год, но, опять же, не факт. 🤔Будем посмотреть... ==== Пояснение: 9 мая 2025 года сенатор Том Коттон внёс в Сенат законопроект под названием Chip Security Act. Конгрессмен Билл Фостер планирует внести аналогичный законопроект в Палату представителей в ближайшее время. ✋ @Russian_OSINT