Основы Интернет - технологий.

Атака на «Аэрофлот»

28 июля 2025 года пред­ста­вите­ли «Аэроф­лота» сооб­щили, что в работе информа­цион­ных сис­тем ави­аком­пании про­изо­шел сбой. В ито­ге это при­вело к отме­не более ста рей­сов. Хак­груп­пы «Кибер­парти­заны BY» и Silent Crow заяви­ли, что это они ата­кова­ли «Аэроф­лот» и «пол­ностью ском­про­мети­рова­ли и унич­тожили внут­реннюю IT-инфраструк­туру» ком­пании:

В нас­тоящее вре­мя коман­да спе­циалис­тов работа­ет над миними­заци­ей рис­ков выпол­нения про­изводс­твен­ного пла­на полетов и ско­рей­шего вос­ста­нов­ления работы штат­ной работы сер­висов.

Од­новре­мен­но с этим в Telegram-канале хакер­ской груп­пиров­ки Silent Crow появи­лось сооб­щение, в котором зло­умыш­ленни­ки, сов­мес­тно с груп­пой «Кибер­парти­заны BY», взя­ли на себя ответс­твен­ность за пред­полага­емую ата­ку на сис­тему «Аэроф­лота», заяв­ляя, что про­вели в сис­темах ком­пании целый год.

На­пом­ним, что ранее в этом году про­укра­инская груп­пиров­ка Silent Crow заяв­ляла о взло­ме Рос­реес­тра и «Рос­телеко­ма», а так­же бра­ла на себя ответс­твен­ность за ата­ки на «Киа Рос­сия и СНГ», «Аль­фаС­тра­хова­ние‑Жизнь» и «Клуб кли­ентов Аль­фаБан­ка».

В свою оче­редь, «Кибер­парти­заны» в прош­лом извес­тны заяв­лени­ями об ата­ках на инфраструк­туру Бе­лорус­ской желез­ной дороги и сеть под­ведомс­твен­ного Рос­комнад­зору Глав­ного ради­очас­тотно­го цен­тра (ГРЧЦ).

«Кибер­парти­заны BY» и Silent Crow пишут в сво­ем канале:

На про­тяже­нии года мы находи­лись внут­ри их кор­поратив­ной сети, методич­но раз­вивая дос­туп, углубля­ясь до самого ядра инфраструк­туры — Tier0. Нам уда­лось:

По­лучить и выг­рузить пол­ный мас­сив баз дан­ных исто­рии переле­тов. Ском­про­мети­ровать все кри­тичес­кие кор­поратив­ные сис­темы, вклю­чая: CREW, Sabre, SharePoint, Exchange, КАСУД, Sirax, CRM, ERP, 1С, DLP и дру­гие.

По­лучить кон­троль над пер­сональ­ными компь­юте­рами сот­рудни­ков, вклю­чая выс­шее руководс­тво.

Ско­пиро­вать дан­ные с сер­веров прос­лушки, вклю­чая ауди­оза­писи телефон­ных раз­говоров и перех­вачен­ные ком­муника­ции. Извлечь дан­ные из сис­тем наб­людения и кон­тро­ля за пер­соналом.

Мы получи­ли дос­туп к 122 гипер­визорам, 43 инстал­ляци­ям вир­туали­зации ZVIRT, око­ло сот­ни iLO-интерфей­сов для управле­ния сер­верами, 4 клас­терам Proxmox. В резуль­тате дей­ствий было унич­тожено око­ло 7000 сер­веров — физичес­ких и вир­туаль­ных. Объ­ем получен­ной информа­ции 12 Тбайт баз дан­ных, 8 Тбайт фай­лов с Windows Share, 2 Тбайт кор­поратив­ной поч­ты.

Все эти ресур­сы теперь недос­тупны или унич­тожены, вос­ста­нов­ление будет тре­бовать, воз­можно, десят­ки мил­лионов дол­ларов. Ущерб — стра­теги­чес­кий.

Ха­керы писали, что в бли­жай­шее вре­мя намере­ны начать пуб­ликацию некото­рой «час­ти получен­ных дан­ных».

Вско­ре пред­ста­вите­ли Ген­про­кура­туры под­твер­дили, что при­чиной сбо­ев в сис­темах «Аэроф­лота» ста­ла хакер­ская ата­ка. Ведомс­тво сооб­щило, что воз­будило уго­лов­ное дело по приз­накам прес­тупле­ния, пре­дус­мотрен­ного ч. 4 ст. 272 УК РФ (неп­равомер­ный дос­туп к компь­ютер­ной информа­ции).

Эк­спер­ты полага­ют, что толь­ко за один день «Аэроф­лот» мог потерять более 250 мил­лионов руб­лей, а с уче­том зат­рат на вос­ста­нов­ление ИТ‑инфраструк­туры, недопо­лучен­ной выруч­ки за неп­родан­ные ави­аби­леты и убыт­ков от отме­ны рей­сов ущерб от ата­ки может дос­тигать нес­коль­ких мил­лиар­дов руб­лей.

• В Google рас­ска­зали, что сей­час инже­неры‑прог­раммис­ты ком­пании в 37% слу­чаев при­нима­ют помощь ИИ в завер­шении 50% кода. То есть теперь с помощью ИИ соз­дает­ся столь­ко же сим­волов в коде, сколь­ко набира­ется раз­работ­чиками вруч­ную.
  

• Так­же в отче­те отме­чает­ся, что ИИ уже отве­чает при­мер­но за 8% исправ­лений в коде и авто­мати­чес­ки адап­тиру­ет к окру­жающе­му кон­тек­сту око­ло 2% кода.
  

Обход FIDO

Опе­рато­ры фишин­говой кам­пании PoisonSeed наш­ли спо­соб обхо­да FIDO (в дан­ном слу­чае — FIDO2 с WebAuthn), исполь­зуя механизм аутен­тифика­ции меж­ду устрой­ства­ми, реали­зован­ный в WebAuthn. Зло­умыш­ленни­ки убеж­дают жертв под­твер­дить зап­росы на вход, пос­тупа­ющие с фаль­шивых кор­поратив­ных пор­талов.

Кам­пания PoisonSeed стро­ится на фишин­ге, конеч­ной целью которо­го явля­ется финан­совое мошен­ничес­тво. Так, в прош­лом зло­умыш­ленни­ки взла­мыва­ли кор­поратив­ные учет­ные записи для email-мар­кетин­га и рас­сылали поль­зовате­лям пись­ма с готовы­ми seed-фра­зами для крип­токошель­ков.

В новых ата­ках, замечен­ных экспер­тами из ком­пании Expel, зло­умыш­ленни­ки не исполь­зуют уяз­вимость в механиз­мах FIDO, а зло­упот­ребля­ют легитим­ной фун­кци­ей аутен­тифика­ции меж­ду устрой­ства­ми.

Эта фун­кция WebAuthn поз­воля­ет поль­зовате­лю авто­ризо­вать­ся на одном устрой­стве, исполь­зуя ключ безопас­ности или при­ложе­ние‑аутен­тифика­тор на дру­гом. Вмес­то физичес­кого под­клю­чения клю­ча (нап­ример, через USB) зап­рос на аутен­тифика­цию переда­ется пос­редс­твом Bluetooth или через QR-код.

Но­вые ата­ки PoisonSeed начина­ются с перенап­равле­ния жер­твы на фишин­говый сайт, ими­тиру­ющий кор­поратив­ный пор­тал для вхо­да в Okta или Microsoft 365. Пос­ле вво­да учет­ных дан­ных жер­твы фишин­говая инфраструк­тура в реаль­ном вре­мени исполь­зует эти дан­ные для вхо­да на нас­тоящий пор­тал.

В обыч­ной ситу­ации жер­тве приш­лось бы под­твер­дить вход с помощью сво­его FIDO-клю­ча. Одна­ко в этой схе­ме фишин­говый сер­вер ини­циирует вход через механизм вхо­да с дру­гого устрой­ства. В резуль­тате нас­тоящий пор­тал генери­рует QR-код, который переда­ется на фишин­говую стра­ницу и показы­вает­ся жер­тве.

Ког­да поль­зователь ска­ниру­ет этот QR-код сво­им смар­тфо­ном или при­ложе­нием‑аутен­тифика­тором, по сути, он одоб­ряет вход, ини­цииро­ван­ный зло­умыш­ленни­ками. Это поз­воля­ет обой­ти защиту FIDO за счет перехо­да к аутен­тифика­ции меж­ду устрой­ства­ми, которая не тре­бует физичес­кого под­клю­чения клю­ча и может быть одоб­рена уда­лен­но.

Ис­сле­дова­тели под­черки­вают, что в ата­ке не исполь­зуют­ся какие‑либо уяз­вимос­ти в FIDO. Вмес­то это­го зло­умыш­ленни­ки зло­упот­ребля­ют штат­ной фун­кци­ей, которая поз­воля­ет осу­щес­твить даун­грейд уров­ня защиты.

Для защиты от таких атак спе­циалис­ты совету­ют:

• ог­раничить геог­рафичес­кие реги­оны, из которых допус­кает­ся вход в сис­тему, и внед­рить про­цеду­ру регис­тра­ции для сот­рудни­ков в коман­диров­ках;
  


• ре­гуляр­но про­верять регис­тра­цию новых клю­чей FIDO из необыч­ных геоло­каций или от мало­извес­тных про­изво­дите­лей;
  


• по воз­можнос­ти обя­зать сот­рудни­ков исполь­зовать Bluetooth при межус­трой­ствен­ной аутен­тифика­ции, что сни­жает рис­ки уда­лен­ных атак.
  

Так­же в сво­ем отче­те ана­лити­ки опи­сыва­ют дру­гой инци­дент, где зло­умыш­ленник зарегис­три­ровал собс­твен­ный FIDO-ключ пос­ле ком­про­мета­ции чужой учет­ной записи (пред­положи­тель­но с помощью фишин­га). В этом слу­чае не пот­ребова­лось даже под­делывать QR-код или вза­имо­дей­ство­вать с жер­твой — вход был пол­ностью завер­шен на сто­роне ата­кующе­го.

Этот слу­чай под­черки­вает, что даже устой­чивые перед фишин­гом методы аутен­тифика­ции мож­но обой­ти, если убе­дить поль­зовате­ля завер­шить про­цеду­ру вхо­да без физичес­кого вза­имо­дей­ствия с клю­чом.

Па­вел Дуров сооб­щил в сво­ем Telegram-канале, что мошен­ники шан­тажиру­ют поль­зовате­лей мес­сен­дже­ра, вымогая у них ред­кие подар­ки, вир­туаль­ные номера и име­на поль­зовате­лей.

По сло­вам Дурова, некото­рые подар­ки, номера и юзер­ней­мы ког­да‑то при­обре­тались все­го за нес­коль­ко дол­ларов, но теперь их мож­но про­дать более чем за 100 тысяч дол­ларов, что прив­лекло вни­мание зло­умыш­ленни­ков.

Ос­нователь Telegram поп­росил поль­зовате­лей обра­щать­ся в под­дер­жку, наз­вав про­исхо­дящее незакон­ным и амо­раль­ным:

Мы стал­кива­емся с тем, что мошен­ники шан­тажиру­ют поль­зовате­лей, при­нуж­дая их к переда­че этих цен­ных кол­лекци­онных пред­метов. Так­же пос­тупа­ют сооб­щения о том, что каналы вымога­ют день­ги, угро­жая сли­вом лич­ных или кон­фиден­циаль­ных дан­ных. Некото­рые даже прев­ратили это в биз­нес‑модель — пуб­лику­ют опас­ные пос­ты и берут день­ги за их уда­ление. Мы уда­лим этих зло­умыш­ленни­ков с нашей плат­формы и сде­лаем Telegram безопас­ным мес­том для всех.

Критический баг в sudo

В ути­лите sudo обна­руже­ны две уяз­вимос­ти, которые поз­воляли локаль­ным зло­умыш­ленни­кам повысить свои при­виле­гии до уров­ня root на уяз­вимых машинах.

Как сооб­щили экспер­ты ком­пании Stratascale, обна­ружив­шие эти баги, одна из уяз­вимос­тей (CVE-2025-32462) при­сутс­тво­вала в коде ути­литы более две­над­цати лет.

CVE-2025-32462 (2,8 бал­ла по шка­ле CVSS) зат­рагива­ет sudo до вер­сии 1.9.17p1 при усло­вии исполь­зования фай­ла sudoers, в котором ука­зан хост, не явля­ющий­ся ни текущим хос­том, ни ALL. Проб­лема поз­воля­ет выпол­нять коман­ды на машинах, для которых они не пред­назна­чались.

CVE-2025-32463 (9,3 бал­ла по шка­ле CVSS) зат­рагива­ет sudo до вер­сии 1.9.17p1 и поз­воля­ет локаль­ным поль­зовате­лям получить root-дос­туп, пос­коль­ку файл /etc/nsswitch.conf из катало­га, кон­тро­лиру­емо­го поль­зовате­лем, исполь­зует­ся с опци­ей -R (chroot).

По сло­вам иссле­дова­телей, менее опас­ная уяз­вимость (CVE-2025-32462) свя­зана с опци­ей -h (host), которая поз­воля­ет перечис­лить при­виле­гии sudo поль­зовате­ля для дру­гого хос­та. Эта фун­кция появи­лась в сен­тябре 2013 года и, как ока­залось, работа­ла и при запус­ке команд, а не толь­ко вмес­те с опци­ей l (list). То есть уяз­вимость оста­валась незаме­чен­ной две­над­цать лет.

Ошиб­ка поз­воляла выпол­нить любую коман­ду, раз­решен­ную уда­лен­ным хос­том, на локаль­ной машине при запус­ке коман­ды sudo с опци­ей host, ссы­лающей­ся на нес­вязан­ный уда­лен­ный хост.

Эта проб­лема в пер­вую оче­редь зат­рагива­ет сай­ты, исполь­зующие общий файл sudoers, который свя­зан с нес­коль­кими машина­ми, — объ­яснил мей­нтей­нер sudo Тодд Мил­лер (Todd C. Miller). — Сай­ты, исполь­зующие sudoers на осно­ве LDAP (вклю­чая SSSD), так­же под­верже­ны подоб­ному вли­янию.

Что каса­ется кри­тичес­кой уяз­вимос­ти CVE-2025-32463, она свя­зана с исполь­зовани­ем опции sudo -R (chroot) для выпол­нения про­изволь­ных команд от име­ни root, даже если они не ука­заны в фай­ле sudoers.

Кон­фигура­ция sudo уяз­вима по умол­чанию, — рас­ска­зыва­ют иссле­дова­тели. — Хотя проб­лема свя­зана с фун­кци­ей chroot в sudo, для ее экс­плу­ата­ции не тре­бует­ся, что­бы в sudoers были опре­деле­ны какие‑либо пра­вила для кон­крет­ного поль­зовате­ля. В резуль­тате любой локаль­ный неп­ривиле­гиро­ван­ный поль­зователь может повысить свои при­виле­гии до уров­ня root.

То есть зло­умыш­ленник может обма­ном вынудить sudo заг­рузить про­изволь­ную общую биб­лиоте­ку, соз­дав кон­фигура­цион­ный файл /etc/nsswitch.conf в ука­зан­ном поль­зовате­лем кор­невом катало­ге, что может при­вес­ти к выпол­нению вре­донос­ных команд с повышен­ными при­виле­гиями.

Тодд Мил­лер отме­тил, что опция chroot будет пол­ностью уда­лена из будуще­го релиза sudo, а под­дер­жка ука­зан­ного поль­зовате­лем кор­невого катало­га в целом «чре­вата воз­никно­вени­ем оши­бок».

Ин­форма­ция о проб­лемах была рас­кры­та еще 1 апре­ля 2025 года, пос­ле чего уяз­вимос­ти были устра­нены в вер­сии sudo 1.9.17p1, вышед­шей в кон­це прош­лого месяца.

• По дан­ным рос­сий­ско­го Forbes, доля зарубеж­ного тра­фика в рос­сий­ских сетях за пос­ледний год мог­ла вырас­ти на 15–25% у опе­рато­ров свя­зи и в точ­ках обме­на тра­фиком.
  


• Боль­ше все­го уве­личи­лось пот­ребле­ние виде­окон­тента — на 25–30%, тог­да как соци­аль­ные сети вырос­ли уме­рен­но — на 10%.
  


• Пред­ста­вите­ли отрасли сооб­щили, что при­чиной это­го может быть рост популяр­ности Telegram сре­ди рос­сий­ских поль­зовате­лей, а так­же вос­тре­бован­ность сер­висов для дос­тупа к YouTube.
  

Форум XSS закрыли

Пред­полага­емый адми­нис­тра­тор рус­ско­языч­ного хак­форума XSS(.)is был арес­тован укра­ински­ми влас­тями по зап­росу париж­ской про­кура­туры. Вско­ре пос­ле это­го сайт отклю­чили пра­воох­ранитель­ные орга­ны.

XSS — рус­ско­языч­ный хакер­ский форум, который работа­ет с 2013 года, нас­читыва­ет око­ло 50 тысяч зарегис­три­рован­ных поль­зовате­лей и счи­тает­ся одним из основных цен­тров активнос­ти кибер­прес­тупни­ков. Пра­воох­раните­ли пишут, что на XSS про­дава­ли и рек­ламиро­вали вре­донос­ное ПО, дос­тупы к взло­ман­ным сис­темам, рек­ламиро­вали RaaS-плат­формы и так далее.

Фран­цуз­ские влас­ти заяви­ли, что рас­сле­дова­ние активнос­ти XSS началось око­ло четырех лет назад и выяви­ло деятель­ность, свя­зан­ную с вымога­тель­ством и дру­гими кибер­прес­тупле­ниями, которая при­носи­ла зло­умыш­ленни­кам мно­гомил­лион­ные при­были.

При этом сто­ит отме­тить, что в мае 2021 года на XSS был вве­ден зап­рет на любые темы, свя­зан­ные с ransomware.

Рас­сле­дова­ние, начатое 2 июля 2021 года отде­лом по борь­бе с кибер­прес­тупностью париж­ской про­кура­туры и поручен­ное отде­лу по борь­бе с кибер­прес­тупностью судеб­ной полиции пре­фек­туры Парижа, при­вело к сан­кци­они­рован­ному судом перех­вату сооб­щений Jabber-сер­вера thesecure(.)biz, — гла­сит заяв­ление фран­цуз­ских влас­тей. — Перех­вачен­ные сооб­щения рас­кры­ли мно­гочис­ленные слу­чаи про­тивоп­равных дей­ствий, свя­зан­ных с кибер­прес­тупле­ниями и вымога­тель­ством. Было уста­нов­лено, что они при­нес­ли [прес­тупни­кам] при­быль в раз­мере не менее 7 мил­лионов дол­ларов США.

Пра­воох­раните­ли уточ­няют, что им уда­лось ском­про­мети­ровать сер­вер thesecure(.)biz, что­бы иметь воз­можность сле­дить за перепис­кой поль­зовате­лей.

Пе­рех­вачен­ные сооб­щения поз­волили начать 9 нояб­ря 2021 года рас­сле­дова­ние по фак­там соучас­тия в ата­ках на информа­цион­ные сис­темы, вымога­тель­ства и учас­тия в прес­тупном сго­воре.

В ходе вто­рого эта­па перех­вата сооб­щений была уста­нов­лена лич­ность пред­полага­емо­го адми­нис­тра­тора форума. В ито­ге подоз­рева­емый, имя которо­го не рас­кры­вает­ся, был задер­жан укра­ински­ми влас­тями, в при­сутс­твии фран­цуз­ских полицей­ских и при содей­ствии Евро­пола.

Ад­минис­тра­тор форума был не толь­ко тех­ничес­ким его опе­рато­ром. Так­же пред­полага­ется, что он играл цен­траль­ную роль в обес­печении прес­тупной деятель­нос­ти, — говорит­ся в заяв­лении Евро­пола. — Выс­тупая в качес­тве доверен­ной треть­ей сто­роны, он раз­решал спо­ры меж­ду прес­тупни­ками и гаран­тировал безопас­ность тран­закций. Кро­ме того, пред­полага­ется, что он руково­дил thesecure(.)biz, при­ват­ным сер­висом для обме­на сооб­щени­ями, прис­пособ­ленным для нужд кибер­прес­тупно­го андегра­унда. Следс­твие счи­тает, что он был акти­вен в кибер­прес­тупной эко­сис­теме на про­тяже­нии поч­ти двад­цати лет и под­держи­вал тес­ные свя­зи с нес­коль­кими круп­ными фигура­ми из кибер­прес­тупной сре­ды.

В нас­тоящее вре­мя XSS отклю­чен, и на нем появи­лась заг­лушка, информи­рующая о кон­фиска­ции домена.

Учи­тывая, что пра­воох­ранитель­ные орга­ны мог­ли получить дос­туп к бэкен­ду форума и арес­товали его пред­полага­емо­го адми­нис­тра­тора, впол­не веро­ятно, что теперь у них есть ули­ки про­тив дру­гих учас­тни­ков XSS, что может при­вес­ти к новым арес­там в будущем.

• По дан­ным спе­циалис­тов Cofense, количес­тво вре­донос­ных кам­паний, запус­каемых с доменов .es, уве­личи­лось в 19 раз.
  


• Та­кие домены ста­новят­ся треть­ими по популяр­ности сре­ди зло­умыш­ленни­ков, усту­пая толь­ко .com и .ru.
  


• Зло­упот­ребле­ния домена­ми .es начались в янва­ре 2025 года, и по сос­тоянию на май текуще­го года на 447 базовых доменах .es и 1373 под­доменах были раз­мещены вре­донос­ные стра­ницы.
  

• 
  99% вре­донос­ных стра­ниц нап­равле­ны на фишинг учет­ных дан­ных, а оставший­ся 1% исполь­зует­ся для рас­простра­нения тро­янов уда­лен­ного дос­тупа (RAT), вклю­чая ConnectWise RAT, Dark Crystal и XWorm.
  


• Ис­сле­дова­тели не выс­казыва­ют пред­положе­ний о том, почему имен­но домен .es вдруг стал популя­рен сре­ди прес­тупни­ков.
  

0-day в SharePoint

По информа­ции ИБ‑спе­циалис­тов, сра­зу нес­коль­ко китай­ских хак­групп экс­плу­ати­руют цепоч­ку уяз­вимос­тей нулево­го дня в Microsoft SharePoint. В час­тнос­ти, зло­умыш­ленни­ки ском­про­мети­рова­ли сеть Наци­ональ­ного управле­ния по ядер­ной безопас­ности США.

Це­поч­ка 0-day-уяз­вимос­тей в SharePoint получи­ла наз­вание ToolShell и впер­вые была про­демонс­три­рова­на на хакер­ском сорев­новании Pwn2Own Berlin в мае 2025 года. Тог­да спе­циалис­ты из Viettel Cyber Security объ­еди­нили друг с дру­гом два дефек­та (CVE-2025-49706 и CVE-2025-49704) для осу­щест­вле­ния RCE-ата­ки.

Хо­тя в июле 2025 года раз­работ­чики Microsoft выпус­тили пат­чи для обе­их уяз­вимос­тей ToolShell, зло­умыш­ленни­ки сумели обой­ти исправ­ления с помощью новых экс­пло­итов.

В резуль­тате новые уяз­вимос­ти получи­ли иден­тифика­торы CVE-2025-53770 (9,8 бал­ла по шка­ле CVSS; обход пат­ча для CVE-2025-49704) и CVE-2025-53771 (6,3 бал­ла по шка­ле CVSS; обход пат­ча для CVE-2025-49706).

В середи­не июля ана­лити­ки ком­пании Eye Security пре­дуп­редили, что све­жие проб­лемы уже при­меня­ются для атак на on-premises-сер­веры SharePoint.

В ито­ге раз­работ­чики Microsoft выпус­тили экс­трен­ные пат­чи для обе­их RCE-проб­лем, пов­торно испра­вив уяз­вимос­ти в SharePoint Subscription Edition, SharePoint 2019 и SharePoint 2016:

• 
  KB5002754 для Microsoft SharePoint Server 2019 Core и KB5002753 для язы­ково­го пакета Microsoft SharePoint Server 2019;
  


• 
  KB5002760 для Microsoft SharePoint Enterprise Server 2016 и KB5002759 для язы­ково­го пакета Microsoft SharePoint Enterprise Server 2016;
  


• 
  KB5002768 для Microsoft SharePoint Subscription Edition.
  

Пос­ле уста­нов­ки исправ­лений Microsoft нас­тоятель­но рекомен­дует адми­нис­тра­торам про­вес­ти ротацию клю­чей. Так­же нас­тоятель­но рекомен­дует­ся интегри­ровать и вклю­чить Antimalware Scan Interface (AMSI) и Microsoft Defender Antivirus (или дру­гие ана­логич­ные решения) для всех on-premises-раз­верты­ваний SharePoint и нас­тро­ить AMSI в Full Mode.

Как сооб­щает­ся теперь в мно­гочис­ленных отче­тах спе­циалис­тов, в нас­тоящее вре­мя от атак уже пос­тра­дали десят­ки орга­низа­ций по все­му миру.

Эк­спер­ты Microsoft заяви­ли, что све­жие уяз­вимос­ти взя­ты на воору­жение китай­ски­ми APT-груп­пиров­ками Linen Typhoon (она же APT27, Bronze Union, Emissary Panda, Iodine, Lucky Mouse, Red Phoenix и UNC215), Violet Typhoon (она же APT31, Bronze Vinewood, Judgement Panda, Red Keres и Zirconium) и треть­ей китай­ской хак­груп­пой — Storm-2603. Информа­цию об ата­ках китай­ских хакеров на SharePoint под­твержда­ют и спе­циалис­ты Google Cloud из Mandiant Consulting.

При этом, по дан­ным спе­циалис­тов ком­пании Check Point, пер­вые приз­наки экс­плу­ата­ции уяз­вимос­тей были обна­руже­ны еще 7 июля 2025 года. Зло­умыш­ленни­ки ата­кова­ли десят­ки орга­низа­ций в пра­витель­ствен­ном, телеком­муника­цион­ном и ИТ‑сек­торах в стра­нах Север­ной Аме­рики и Запад­ной Евро­пы.

Бо­лее того, на GitHub уже появил­ся proof-of-concept-экс­пло­ит для CVE-2025-53770, поэто­му ИБ‑спе­циалис­ты ожи­дают, что вско­ре к ата­кам на ToolShell при­соеди­нят­ся и дру­гие хакер­ские груп­пиров­ки.

По информа­ции экспер­тов ком­пании Eye Security, от атак ToolShell уже пос­тра­дали не менее 400 сер­веров и 148 орга­низа­ций по все­му миру.

К при­меру, от ToolShell пос­тра­дало Наци­ональ­ное управле­ние ядер­ной безопас­ности США (National Nuclear Security Administration, NNSA). Это ведомс­тво вхо­дит в сос­тав Минис­терс­тва энер­гетики США, отве­чает за хра­нение запасов ядер­ного ору­жия стра­ны, а так­же занима­ется реаги­рова­нием на ядер­ные и ради­оло­гичес­кие ЧС в США и за рубежом.

В пят­ницу, 18 июля, экс­плу­ата­ция уяз­вимос­ти нулево­го дня в Microsoft SharePoint зат­ронула Минис­терс­тво энер­гетики, в том чис­ле NNSA, — сооб­щил пресс‑сек­ретарь Минис­терс­тва энер­гетики США. — Депар­тамент пос­тра­дал минималь­но бла­года­ря широко­му исполь­зованию обла­ка Microsoft M365 и мощ­ным сис­темам кибер­безопас­ности.

По информа­ции СМИ, не обна­руже­но никаких доказа­тель­ств того, что в резуль­тате этой ата­ки мог­ла быть ском­про­мети­рова­на какая‑либо кон­фиден­циаль­ная или сек­ретная информа­ция.

• 
  Груп­пиров­ка Hunters International зак­рылась и выпус­тила бес­плат­ные дешиф­раторы
  


• 
  Най­ден еще один спо­соб получе­ния клю­чей для Windows от ChatGPT
  


• 
  Уяз­вимос­ти eSIM поз­воля­ют кло­ниро­вать кар­ты и шпи­онить за поль­зовате­лями
  


• 
  Бо­лее 40 рас­ширений для Firefox ворова­ли крип­товалю­ту
  


• 
  Джек Дор­си анон­сировал мес­сен­джер Bitchat, работа­ющий пос­редс­твом BLE
  


• 
  Опен­сор­сный инс­тру­мент Anubis бло­киру­ет ИИ‑скра­перов
  


• 
  В Arch User Repository наш­ли тро­ян Chaos RAT
  


• 
  ФБР зак­рыло сай­ты, рас­простра­няв­шие пират­ские игры
  


• 
  Утек­ший red team инс­тру­мент Shellter исполь­зуют для внед­рения инфости­леров
  


• 
  Google Gemini может нап­равлять поль­зовате­лей на фишин­говые сай­ты