Поиск

У Павла Дурова и его «приватного» мессенджера появился новый конкурент, и это — барабанная дробь — Илон Маск и его сервис XChat. В нашем блоге мы не раз обсуждали, почему заявления Дурова о приватности и безопасности Telegram, мягко говоря, преувеличены. Здесь я лишь напомню читателю о том, что обычные (не секретные) чаты в Telegram не защищены сквозным шифрованием — базовым элементом, необходимым для приватности данных пользователей. Но вернемся к Маску. В конце апреля 2026 года для пользователей iOS стало доступно приложение XChat. О запуске этого мессенджера знаменитый инфобизнесмен говорил уже давно, причем с самого начала позиционировал его как невероятно приватный и безопасный способ общения и как прямого конкурента Signal, WhatsApp*, Telegram и iMessage. Сегодня разберем подробно, насколько стоит доверять обещаниям Маска новому сервису, поговорим об особенностях его использования, а также сравним с другими мессенджерами. Шифрование в стиле Bitcoin Изначально Маск анонсировал XChat 1 июня 2025 года, естественно, в своем аккаунте X (ex-Twitter). В ответ на вопрос другого пользователя соцсети, когда же стоит ожидать запуска нового сервиса, Маск написал: «На этой неделе, если не возникнет проблем с масштабированием». Проблемы с масштабированием, очевидно, возникли: бета-версия приложения вышла только в сентябре 2025 года, а полноценный доступ к приложению пользователи iOS получили только в апреле 2026 года. Что касается Android, то на момент публикации этого поста никакой информации о том, когда будет доступна версия для этой операционной системы, не было. При этом уже существует страница приложения XChat в Google Play, на которой можно было встать в очередь за ним оформить предварительную регистрацию, что бы это ни значило. Но вернемся к посту, в котором Маск анонсировал XChat. Этот пост привлек много внимания в сообществе экспертов по приватности и кибербезопасности, и вот почему: знаменитый инфобизнесмен написал, что сервис будет основан на «полностью новой архитектуре». Суть этой архитектуры — приложение написано на языке программирования Rust и должно иметь «шифрование в стиле Bitcoin». Илон Маск анонсирует запуск XChat и заявляет, что новый мессенджер написан на Rust и использует «шифрование в стиле Bitcoin». Источник Экспертное сообщество долго чесало затылок в попытке понять, что же Маск имел в виду — ведь Bitcoin не является системой анонимного шифрованного обмена данными. Блокчейн действительно использует публичные и приватные криптографические ключи, но совсем для другого — для подписания транзакций. При этом сами эти транзакции не просто не скрываются от посторонних глаз, а становятся видны любому желающему, причем навечно. Проще говоря, Bitcoin защищает своих пользователей не за счет обеспечения приватности, а совсем наоборот, с помощью максимальной публичности. View the full article

В последнее время разработчики ПО встраивают ИИ-функции в привычные рабочие инструменты, включая операционные системы и браузеры. В некоторых случаях это действительно удобно. Но их наличие создает определенные риски, а потому далеко не все компании готовы предоставлять своим сотрудникам доступ к таким инструментам. В нашей предыдущей статье мы рассмотрели классификацию нежелательных ИИ-систем, способы их обнаружения на уровне сети и конечных точек, а также ключевой универсальный «рубильник» — управление OAuth-доступом в основных корпоративных платформах. В этом материале мы переходим к конкретике: разбираем, как отключить или ограничить ИИ, встроенный в популярные платформы. Отметим, что крупные производители ПО иногда меняют названия настроек, связанных с ИИ, а также модифицируют нюансы их работы. Если какая-то из приведенных ниже настроек недоступна или работает не так, как ожидалось, поиск в Интернете по названию опции обычно позволяет найти ее новое местоположение или название. Как отключить Microsoft 365 Copilot Детектирование: реальное использование Copilot можно проверить в журнале: Microsoft 365 admin → Copilot usage report. Отключение при помощи политик: в Admin Center пройти в раздел Settings → Integrated Apps, найти Copilot в списке Available Apps, выбрать Block. Более подробные политики конфигураций доступны через Customization → Policy Management. Здесь на странице Policies есть более двух тысяч политик, которые нужно отфильтровать по слову Copilot (подробное руководство). Учитывая, что Copilot является платным дополнением к Office, другой вариант блокировки и экономии — не назначать пользователям лицензии (SKU), включающие Copilot. Отдельно рекомендуется заблокировать Copilot Chat, доступный в инструментах Teams, Edge, Outlook и нескольких других сервисах. Да, это не то же самое, что Copilot. Да, его надо блокировать отдельно, по этой инструкции. Дополнительный слой защиты: на уровне веб-фильтра или NGFW заблокировать домены copilot.cloud.microsoft и m365.cloud.microsoft/chat, но Microsoft в явном виде не рекомендует этого делать, угрожая нарушением других функций Microsoft 365. View the full article

Одно из самых больших событий этого лета — чемпионат мира по футболу. Турнир пройдет сразу в трех странах: США, Канаде и Мексике. Такие события привлекают не только болельщиков, но и мошенников со всего мира. Мы уже рассказывали, как киберпреступники готовятся к чемпионату мира онлайн, а сегодня поговорим о цифровой безопасности фанатов в Мексике. Страна примет 13 матчей и миллионы туристов. Они будут останавливаться в отелях, посещать матчи, рестораны, аэропорты, популярные туристические места — и везде будет велик соблазн подключиться к публичному Wi-Fi. Мы исследовали более 84 500 общественных точек доступа Wi-Fi в Мехико, Гвадалахаре и Монтеррее — и нам есть что вам рассказать об их безопасности. Маленький спойлер: многие сети до сих пор используют устаревшую защиту, поэтому без надежной защиты и eSIM в отпуске ну совсем никак. Что и как мы исследовали Пройтись пешком по Мексике в поисках публичных Wi-Fi-точек было бы сложновато, хотя ради аналогичного исследования безопасности Wi-Fi в Париже мы именно так и поступили (кстати, ознакомиться с его результатами можно в материале Безопасен ли парижский Wi-Fi?). В этот раз предстояла задача посложнее: исследовать три мегаполиса. Поэтому мы использовали вардрайвинг — так называют поиск и анализ беспроводных сетей из движущегося автомобиля с помощью смартфона или ноутбука. Это похоже на обычный поиск Wi-Fi на телефоне: устройство постоянно сканирует ближайшие сети. Только вместо подключения к сетям мы собираем данные о них. Вся информация использовалась исключительно для пассивного наблюдения и анализа инфраструктуры. Эксперты глобального центра исследования и анализа угроз «Лаборатории Касперского» (GReAT) не предпринимали никаких попыток аутентификации, перехвата трафика, эксплуатации систем и иного взаимодействия с обнаруженными беспроводными сетями, выходящего за рамки приема транслируемой в эфир общедоступной служебной информации. Из выборки были исключены мобильные точки доступа, развернутые в автомобилях и на мобильных устройствах. View the full article

Паттерны вредоносной активности — одна из главных характеристик, позволяющих атрибутировать образцы ВПО и другие инструменты конкретной группе злоумышленников, своевременно детектировать атаку и митигировать ее последствия. За последнее время ландшафт угроз, складывающийся из этих паттернов, претерпел существенные изменения. Если раньше атакующие чаще всего использовали общедоступный инструментарий, схожие вектора заражения и вообще, действовали по уже известным схемам, то на сейчас ситуация кардинальным образом изменилась. Большинство современных кластеров атакующих разрабатывают и развивают собственный инструментарий, в котором предыдущий образец ВПО может быть лишь функцией нового; поддерживают массив сетевой инфраструктуры с возможностью быстрой замены серверов; а также используют для создания ВПО генеративный ИИ, что позволяет им увеличить количество векторов заражения и смешать свои паттерны поведения со сгенерированными. Конкретные примеры современных вредоносных кампаний Несмотря на эти изменения, наши эксперты продолжают активно отслеживать новые вредоносные кампании и реагировать на современные угрозы. Вот несколько примеров вредоносных кампаний, обнаруженных и проанализированных нашими специалистами. Вредоносная кампания Librarian Likho Данная кампания отличается от предыдущих активностей той же группы прежде всего масштабом. Наши технологии зарегистрировали более тысячи вредоносных писем почти идентичной структуры, разосланных организациям из госсектора, строительной и промышленной отраслей, что прямо указывает на автоматизацию проводимых атак. Точкой входа служит письмо с вредоносным вложением, замаскированным под офисный документ, с именем вроде «Контракт на оказание услуг по Договору № 5445-95. Исх. № 125.com». После внимательного исследования наши эксперты выяснили, что файл в действительности является исполняемым инсталлятором Smart Install Maker. При запуске он распаковывает в директорию %TEMP% два .cab-архива с набором инструментов, а для отвлечения открывает файл-приманку doc30.doc —офисный документ с типичным деловым содержимым, который должен убедить жертву, что ничего необычного не происходит. View the full article

Периодически у компаний возникает необходимость встроить в какой-либо продукт или сервис проверку файлов или ссылок на наличие киберугроз. Например, чтобы обезопасить работу в публичном или корпоративном облаке или защитить какую-нибудь платформу для совместной работы в целом. В нашем портфолио есть удобный инструмент, позволяющий решить эту проблему, — Kaspersky Scan Engine. Scan Engine подходит для множества различных сценариев: проверки загрузок во внутренние системы; сканирования объектов, загружаемых из Интернета; защиты файловых и резервных хранилищ; контроля файлов и ссылок, которыми сотрудники обмениваются через корпоративные мессенджеры; и для многого другого. Движок может работать через протоколы HTTP или ICAP и имеет богатый REST-API, что позволяет ему взаимодействовать практически с любым сетевым решением. Поэтому достаточно часто к нам приходят клиенты с конкретными вопросами: «А как нам встроить Kaspersky Scan Engine в %название продукта%?» Разумеется, для того чтобы помочь клиентам интегрировать Scan Engine, у нас есть страница на портале технической поддержки. Но мы, к сожалению, не можем опубликовать на ней инструкции для всех сторонних сервисов и приложений, с которыми Kaspersky Scan Engine может взаимодействовать, — их слишком много. Поддержка актуальности, регулярное обновление и перепроверка этих данных перед каждым обновлением отнимала бы слишком много ресурсов (особенно с учетом того, что регулярно обновляется не только Kaspersky Scan Engine, но и продукты, с которыми он интегрируется). Однако за время существования Kaspersky Scan Engine мы неоднократно помогали клиентам настроить взаимодействие нашего движка с разными продуктами и сервисами. Было бы обидно, если бы наш опыт никак не использовался, — запросы на интеграцию редко бывают уникальными, обязательно найдется кто-то, кому были бы полезны настройки и советы. Поэтому мы решили опубликовать набор интеграционных сценариев, записанных нашими инженерами. View the full article

В последние годы фишинговые рассылки стали намного хитрее и убедительнее. Почтовые адреса почти неотличимы от настоящих, письма составлены очень грамотно, к пользователям обращаются по настоящему имени… Но как быть, если на почту пришло подозрительное письмо c действительно легитимного адреса электронной почты? В последнее время злоумышленники активно используют для фишинговых атак платформу Google AppSheet: через нее можно настроить почтовую рассылку, которая отправляется c почтового адреса, связанного с Google. В результате атаки злоумышленники крадут учетные записи и конфиденциальные данные своих жертв. В этой статье рассказываем, как работает новая схема кражи данных и как защититься от хитрых фишинговых атак. Вас зовет на работу Apple. Или нет? AppSheet — это сервис Google, который позволяет собирать приложения без навыков программирования. Им часто пользуются в малом бизнесе для автоматизации рутинных процессов. К сожалению, именно эта простота делает AppSheet привлекательным и для злоумышленников. Теперь для запуска фишинговой схемы достаточно заплатить всего несколько долларов и по-быстрому собрать программу из готовых команд и блоков. Сценарий фишинговых атак через AppSheet довольно стандартен. Жертве приходит письмо от имени крупной компании — причем начинаются такие письма зачастую с поименного обращения. Скорее всего, злоумышленники обрабатывают данные из утечек и просто подставляют имена, связанные с конкретными адресами электронной почты. Дальше злоумышленники пытаются сыграть на эмоциях получателя — либо запугивая грозными предупреждениями, требующими якобы немедленных действий («мы скоро отключим ваш аккаунт», «замечена подозрительная активность»), либо радуя заманчивыми предложениями вроде возможности получить значок верификации аккаунта или приглашение на собеседование в крупную компанию. «Письма счастья» от «кадровых отделов» при этом составлены так, чтобы у получателя возникло ощущение, будто его кандидатуру уже рассмотрели, высоко оценили и готовы принять его на работу хоть завтра. View the full article

Злоумышленники уже начали подготовку к главному футбольному событию этого года — чемпионату мира 2026 года. Миллионы фанатов будут искать возможность посмотреть матчи онлайн, в частности через IPTV-приложения, которые используются для трансляции телеканалов через Интернет. Поэтому неудивительно, что за прошедшие несколько месяцев исследователи кибербезопасности зафиксировали несколько случаев распространения вредоносного ПО под видом IPTV-приложений для Android. В этом посте поговорим о том, что представляют собой IPTV-приложения, как с помощью их поддельных версий преступники распространяют вредоносное ПО, на что оно способно и, главное, как не стать жертвой. Что такое IPTV-приложения Аббревиатура IPTV расшифровывается как Internet Protocol Television (телевидение по протоколу Интернета). Эта технология позволяет обеспечивать доставку телевизионного контента через Интернет, а не через кабель, эфирную антенну или спутник. Соответственно, самый простой и распространенный пример IPTV — это официальные платформы телеканалов. Речь может идти как о сайтах, так и о приложениях. Однако помимо официальных существуют также и пиратские IPTV-сервисы. Обычно они привлекают пользователей бесплатным или очень дешевым доступом к контенту, который может быть нелегко найти без дорогостоящих подписок — в первую очередь это трансляции различных спортивных мероприятий и, в частности, футбольных матчей. Как это обычно бывает с пиратским контентом, в официальные магазины такие приложения не пускают, поэтому пользователям приходится скачивать их со сторонних площадок. Соответственно, риск использования подобных сервисов связан не с технологией IPTV как таковой, а с поддельными приложениями и модифицированными APK-файлами, которые распространяются под видом приложений известных платформ — как официальных, так и пиратских. View the full article

Хотя многие компании осознанно внедряют ИИ для повышения качества и эффективности, еще быстрее в них появляются ИИ-инструменты, руководством не санкционированные. ИИ встраивают в уже применяемые компанией решения сами разработчики ПО (например, Microsoft Copilot и Gemini), а также самовольно устанавливают сотрудники. В результате бизнес сталкивается с плохо контролируемым каналом утечки данных: сотрудник вставляет информацию из корпоративных систем в чат с ИИ-помощником, и данные уходят не только производителю SaaS-решения, но и разработчикам ИИ-модели, с которой это SaaS-решение работает. И риски, и способы их снижения отличаются для разных видов ИИ-систем. Мы дадим обзор этой широкой темы, сфокусировавшись на инструментах детектирования и блокировки ИИ на двух уровнях. Виды нежелательных ИИ-систем В зависимости от разновидности ИИ, контролировать и блокировать его использование нужно по-разному. Важно различать следующие четыре вида ИИ. ИИ-возможности, встроенные в платформу: Microsoft Copilot, Google Gemini, Apple Intelligence; сюда же можно отнести ИИ-функции, встроенные прямо в браузер. Ключевая особенность этих ИИ — они встроены прямо в приложения первой необходимости, доступны каждому пользователю (и порой навязчиво всплывают), а главное — все производители пытаются включить их по умолчанию. Помощники, встроенные в бизнес-приложения. К этой категории относятся Slack AI, Zoom AI Companion, Notion AI, помощник Rovo в Jira и так далее. Они доступны всего на одной платформе и от нее неотделимы. Доступные отдельно чат-боты в виде сайтов и приложений: ChatGPT, Claude, Perplexity, Character AI, локальные решения наподобие LM Studio, расширения для браузера, а также агентные браузеры вроде Comet. Приложения и сервисы этой категории чаще всего применяют сами сотрудники без разрешения, это обычно «теневой ИИ». Многофункциональные агенты, запускаемые на компьютере. К этой категории относятся OpenClaw, NanoClaw, NemoClaw и тому подобные решения. Они наиболее опасны, поскольку по умолчанию обладают широкими правами доступа и работают с недоверенными данными из Интернета. View the full article

Вы когда-нибудь пробовали посчитать, сколько денег вы тратите на подписки каждый месяц? Музыка, фильмы, игры, языковые курсы, сервисы доставок, подогрев кресел и возможность общаться с чат-ботом Grok прямо из машины — для чего только не придумали подписки. Есть даже подписка на сервис, который… следит за вашими подписками. Количество подписок сильно отличается в зависимости от места жительства пользователя, но по статистике хотя бы одна платная подписка есть у 78% взрослого населения Земли, а в среднем на одного пользователя приходится 5,6 активных подписок. При этом большая часть из них — семейные, используемые совместно с близкими… и не очень: 37% пользователей делятся своими подписками за пределами семьи. При этом подписные аккаунты, особенно семейные, часто содержат конфиденциальные данные владельца и потому востребованы кибермошенниками. Сегодня расскажем, как безопасно управлять подписками, избежать взлома всех ваших аккаунтов и не попасться на удочку злоумышленников. Безопасность совместных аккаунтов и подписок Зачем вообще кому-то нужно взламывать вашу подписку? Даже если сервис предлагает только развлекательный контент, ваш аккаунт почти наверняка содержит конфиденциальную информацию: имя, адрес, электронную почту, телефон, имена других участников и прочие персональные данные. Эти данные затем перепродают в даркнете и используют для дальнейших взломов. Злоумышленники взламывают подписочные аккаунты, либо эксплуатируя методы социальной инженерии и фишинг, либо пользуясь тем, что многие пользователи используют слабые или скомпрометированные пароли, — как мы недавно рассказывали в нашем исследовании, почти половину всех паролей в мире можно взломать меньше чем за минуту. Затем мошенники либо перепродают существующие подписки или места в семейной группе задешево, либо оформляют на жертву новые подписки, надеясь, что та просто не заметит дополнительных списаний. Наконец, некоторые «дельцы» не заморачиваются взломом чужих аккаунтов, а просто покупают подписки на большое количество устройств — в таких пакетах стоимость использования в пересчете на отдельное устройство, как правило, заметно ниже. А дальше места в этой подписке перепродаются в розницу на интернет-барахолках — в результате в одном «семейном» аккаунте могут оказаться совершенно незнакомые друг с другом люди. View the full article

Netflix, Apple TV+, Disney+, Hulu, Amazon Prime, YouTube Premium… Чтобы просто смотреть то, что хочется, средняя добросовестная семья сегодня оплачивает сразу 5–10 подписок, а их ежемесячная цена легко переваливает за $100. Неудивительно, что в соцсетях и на маркетплейсах растет спрос на появившиеся с конца 2025 года «волшебные коробочки» — ТВ-приставки под управлением Android, которые обещают разовой покупкой открыть доступ к тысячам каналов и всем стриминговым сервисам без подписки. Реклама таких устройств появляется в TikTok и Instagram: улыбчивые блогеры распаковывают «супербоксы», подключают их к телевизору и демонстрируют бесконечную прокрутку каналов. Кажется, что это идеальный лайфхак против повсеместного засилья платных подписок? На самом деле, это один из самых доступных способов добровольно впустить в домашнюю сеть ботнет. Рекламный ролик в TikTok, рассказывающий, как же это здорово, когда сыр бесплатный все подписки можно отменить View the full article

Представьте: вы сдаете смартфон в ремонт. Через пару дней забираете — и ура, он снова работает! Но вы даже не узнаете, что в ваше устройство уже внедрен вредоносный код, а злоумышленники смогут получить доступ даже к заблокированному смартфону. Именно с этого начинается история, которую исследователи Kaspersky ICS CERT Александр Козлов и Сергей Ануфриенко рассказали на конференции Black Hat Asia 2026. Обнаруженная ими уязвимость переворачивает привычные представления о безопасности смартфонов и устройств интернета вещей. Ее суть — в самом сердце чипов Qualcomm. Что такое BootROM Чтобы понять серьезность находки, сначала нужно разобраться в том, как загружается современное устройство на чипе Qualcomm. Представьте защищенную крепость с несколькими уровнями охраны. На каждом следующем уровне проверяют пропуск, выданный предыдущим. Самый нижний — фундамент и база, самый доверенный уровень — BootROM, постоянная память, вшитая в кремний и недоступная для изменения после производства. BootROM запускается первым при включении устройства. Он проверяет подпись следующего загрузчика, тот — следующего, и так выстраивается цепочка доверия вплоть до операционной системы. Если злоумышленник может сломать эту цепочку на уровне BootROM — игра окончена: код будет исполняться раньше, чем основная ОС успеет загрузиться. Именно это и позволяет делать обнаруженная исследователями Kaspersky ICS CERT уязвимость CVE-2026-25262. View the full article

Мы уже неоднократно писали о том, как в фишинговых схемах применяются QR-коды. В решении для защиты почтовых шлюзов мы даже реализовали технологию, позволяющую считывать эти коды (причем не только из писем, но и вложений) и проверять зашитые в них ссылки. Но злоумышленники не оставляют попыток прислать жертве QR-код. В последнее время мы все чаще видим, как они используют для этого ASCII-графику — изображения, составленные из текстовых символов. Это кажется особенно смешным с учетом того, что когда-то фишеры пытались избежать сканирования ссылок, пряча их в картинке, а теперь пытаются спрятаться от сканирования ссылок в картинках, вновь используя текст. Но с некоторыми нюансами. Что такое ASCII-графика и как ее используют злоумышленники Сейчас в это нелегко поверить, но когда-то компьютеры не умели отображать графику. Поэтому самые первые компьютерные изображения складывались из текстовых символов. После принятия стандарта в 1963 году для такой графики использовались именно символы из таблицы ASCII (American Standard Code for Information Interchange) — это гарантировало одинаковое отображение картинки на разных компьютерах. Со временем, для создания изображений стали применять и другие текстовые символы (например, из расширенного набора Unicode), но название «ASCII-графика» так и осталось термином для обозначения этого вида искусства в целом. Существовали вполне серьезные художники, работавшие в этой технике, первые интернет-сайты оформлялись именно при помощи ASCII-графики, и даже первая компьютерная порнография рисовалась именно текстовыми символами. С развитием технологий отображения картинок ASCII-графика начала выходить из моды. Активно вспомнили ее в нулевых, в период расцвета спам-рассылок. Тогда спамеры применяли ее преимущественно потому, что она, с одной стороны, позволяла замаскировать откровенно спамерские ключевые слова, по которым нежелательная почта фильтровалась, а с другой, ее рассылка создавала меньшую, чем картинки, нагрузку на почтовые серверы. Ну и вдобавок в то время многие платили за трафик, а потому отключали загрузку картинок в почте. Разумеется, тогда мы добавили в решения для защиты почты технологии, блокирующие ASCII-графику. И вот о существовании ASCII-графики вновь вспомнили — на этот раз желающие обойти технологии распознавания QR-кодов на картинках. View the full article

Современная разработка программного обеспечения завязана на контейнеры и использование сторонних модулей. С одной стороны, это значительно облегчает создание нового софта, а с другой, дает злоумышленникам дополнительные возможности для компрометации среды разработки. Новости об атаках на цепочку поставок путем распространения зловредов через разнообразные репозитории появляются с завидной регулярностью. Незакрытые уязвимости в компонентах и ошибки в конфигурациях также порой становятся причиной серьезных инцидентов. Поэтому инструменты, позволяющие сканировать образы, давно стали обязательной частью создания безопасного ПО. Среди наших предложений уже несколько лет есть решение для защиты контейнерных сред. Оно позволяет сканировать образ на разных этапах разработки и эксплуатации контейнерных инфраструктур и выявлять вредоносное ПО, известные уязвимости, ошибки конфигурации, наличие в коде конфиденциальных данных и так далее. На основании предоставляемой решением информации опытный ИБ-эксперт, управляющий Kaspersky Container Security, сможет понять и ликвидировать большую часть проблем. К сожалению, профессионалов на рынке не хватает. А менее опытный специалист не всегда может действовать на основании одних результатов сканирования, ему может не хватать контекста. Кроме того, в силу недостаточного опыта он может просто не заметить неоптимальные или потенциально опасные решения в образе. Контекст, конечно, можно собрать и самостоятельно, но каждый раз проводить тщательное исследование вручную невозможно. Поэтому наши эксперты решили добавить возможность взглянуть на образ свежим взглядом. Разумеется, не человеческим — сейчас без ИИ никуда. Интеграция с LLM Теперь у пользователей Kaspersky Container Security есть возможность использовать технологию Kaspersky Investigation and Response Assistant (KIRA). Она уже достаточно давно помогает аналитикам, использующим нашу SIEM-систему KUMA, оперативно реагировать на возникающие угрозы. KIRA активно внедряется и в другие продукты, и теперь она доступна для пользователей Kaspersky Container Security в качестве ИИ-ассистента. View the full article

В портфолио «Лаборатории Касперского», помимо всего прочего, есть платформа для обеспечения безопасности контейнерных сред. Но в этом посте я хочу рассказать о Kaspersky Container Security (KCS) не как представитель вендора, а скорее как член команды, активно использующей это решение в повседневной работе. Наша команда Product Security Team отвечает за выстраивание процессов безопасной разработки в компании. Мы вовлечены в этапы разработки продукта на всем жизненном цикле ПО, и для нас важно помогать продуктовым командам находить проблемы безопасности заранее, чтобы они могли обеспечить плановый выход релизов. Для этого мы выстроили ряд процессов, одним из которых является процесс обеспечения безопасности контейнеров. В рамках него мы активно используем собственный продукт Kaspersky Container Security. Решения, обеспечивающие безопасность контейнеров, как правило, воспринимаются в первую очередь как сканер образов в реестре (container registry). Но Kaspersky Container Security (KCS) — это скорее платформа для защиты контейнерной среды, которая закрывает сразу несколько задач, встраиваясь в контейнерный контур целиком. Да, сценарий сканирования контейнерных образов у него, несомненно, есть, и он важен. Но за время использования продукта мы пришли к выводу, что реальная ценность становится заметной, когда продукт встроен в несколько точек процесса сразу: в регулярную сборку продукта; в проверку артефакта перед релизом или деплоем; в контроль уже запущенного контейнера в кластере. Базовый сценарий: как KCS сканирует образы В основе все стандартно. KCS обеспечивает проверку образов на типовые для контейнеров проблемы: известные уязвимости, вредоносные объекты, забытые в коде секреты и ошибки конфигурации. Но результат сканирования не сводится к одному абстрактному вердикту. Система считает критичность (risk rating) на основе найденных проблем и дает понятную картину по объекту. В практической эксплуатации это удобно, потому что команды видят не просто сообщение «образ плохой», а четкую картину, показывающую, из чего именно складывается риск и что нужно чинить в первую очередь. Дальше начинается более интересная часть. KCS неплохо ложится в сценарии, где важно не только найти проблему, но и привязать ее к жизненному циклу артефакта. Когда у команды сотни сборок, одного периодического сканирования реестра уже мало и это всегда требует ручного вмешательства. Нужно понимать, в каком пайплайне появился риск, какие политики сработали и что нужно сделать дальше. KCS такую связку обеспечивает. View the full article

Беспилотные транспортные средства уже не кажутся нам чем-то невероятным. Порой, возвращаясь с дачи, я вижу, как вереница легковых беспилотников катит по М4, оттачивая свое мастерство. Да, за рулем все еще водитель, но он там скорее для страховки, так что появление настоящего беспилотного авто — это лишь вопрос времени. По прогнозам аналитиков, уже к 2035 году более четверти автомобилей на российских дорогах будут беспилотными, а к 2042 году более 80% всего автопарка будет управляться без водителя. Поэтому в России уже сейчас разрабатывается федеральный закон о высокоавтоматизированных транспортных средствах (ВАТС), который определит требования к эксплуатации, ответственности и мониторингу таких автомобилей. Важным акцентом данного закона является безопасность, которая в этом контексте перестает быть просто инженерной задачей, а становится обязательным требованием для разных участников рынка. Для производителя это означает ответственность за поведение автомобиля на дороге и за выбор поставщиков. Для самих поставщиков — необходимость изначально закладывать механизмы защиты в архитектуру решений и гарантировать их достаточность. Для страховой компании — пересмотр самой модели рисков, включая не только аварии, но и возможные сбои и кибератаки. В итоге все они сходятся в одной точке: безопасность становится базовым свойством транспортного средства, а не дополнительной функцией. Обеспечение безопасности автомобиля в современных условиях Долгое время, когда речь шла о безопасности автомобиля, имелась в виду исключительно функциональная безопасность. То есть задача была в том, чтобы системы транспортного средства работали корректно, а риски, связанные с их потенциальными отказами, были бы полностью митигированы или снижены до приемлемого уровня. Эту задачу помогает решать стандарт ISO 26262 Road vehicles — Functional safety, который является базовым для автомобильной отрасли. View the full article

Согласно справке (https://support.kaspersky.ru/kaspersky-for-linux/2.0/287140), браузер Firefox входит в список поддерживающихся браузеров. Защита от веб-угроз работает действительно в Firefox. Несмотря на эту работоспособность, я обнаружил, что при включении такого компонента не все сайты в Firefox, в отличие от браузеров на движке Chromium (подразумевает Яндекс Браузер, Opera и Chrome), стали долго грузиться или, по другому говоря, зависаться на загрузке, и через кнопку «Перезагрузить сайты» сразу открывались, как обычно. В случае отключения защиты от веб-угроз сайты в Firefox как обычно открываются. Добавляю, на домашней странице Firefox отображается фон из альбома от интернета, а при открытии Firefox с включенной защитой от веб-угроз этот фон не отображался на домашней странице, а без защиты отображался. Браузер Firefox был установлен через репозиторий в ОС Альт 11. Если кто-то сталкивался с этой проблемой, пожалуйста, поделитесь решением проблемы

В «безопасность ИИ» входит не только защита от кражи данных, ограничение опасных действий ИИ-агентов или «вредных советов» ИИ-ассистентов. Относительно простой, но уже вполне масштабной угрозой стали попытки украсть вычислительные ресурсы и воспользоваться чужой нейросетью для своих целей. Это явление получило название LLMjacking. В будущем, когда, по многим прогнозам, стоимость ИИ-вычислений значительно вырастет, атакующих с такой мотивацией станет только больше. Поэтому при внедрении собственных ИИ-серверов и их вспомогательных систем (RAG, MCP и так далее) необходимо с самого начала внедрять строгие меры безопасности. Статистика одного сервера-приманки Скорость охоты за чужими ресурсами и аппетиты воришек хорошо демонстрирует эксперимент, подробно задокументированный в апреле 2026 года. Автор сделал публично доступным в Интернете свой микрокомпьютер Raspberry Pi, который имитировал мощный частный ИИ-сервер. В ответ на запросы он отчитывается о доступности серверов Ollama, LM Studio, AutoGPT, LangServe, text-gen-webui, которые часто используются для «обвязки» запущенных локально ИИ-моделей. Также сервер якобы был готов принимать API-запросы в формате OpenAI, ставшем индустриальным стандартом. Все эти службы «работали», обращаясь к запущенной локально модели Qwen3-Coder 30B Heretic, одной из мощнейших open-source-моделей со снятыми ограничениями безопасности (safety alignment). Дополнительно сервер-приманка отчитывался о наличии разнообразных баз данных RAG и MCP-сервера с привлекательными возможностями вроде «get_credentials» (получить учетные данные). На самом деле на Raspberry PI просто были сохранены 500 ответов настоящей модели Qwen3, из которых несложный скрипт выбирал наиболее подходящий с учетом присланного запроса. Таким образом система выдерживала поверхностную проверку и могла проанализировать интересы атакующих. По данным автора, сервер, выставленный в Интернет, был просканирован популярным сервисом Shodan в течение 3 часов, после чего буквально через час посыпались уже запросы, похожие на разведку возможностей. Всего за следующий месяц сервер обслужил более 113 тысяч запросов с тысяч различных IP, причем 23% из них были узко направлены на обнаружение ИИ-возможностей жертвы и эксплуатацию локальных LLM и ИИ-агентов. View the full article

Наши эксперты обнаружили масштабную атаку на цепочку поставок через ПО для эмуляции оптического дисковода DAEMON Tools. Злоумышленникам удалось внедрить в установщики ПО вредоносный код, причем троянизированные исполняемые файлы имели валидную цифровую подпись компании AVB Disc Soft, разработчика DAEMON Tools. Вредоносный вариант программы распространяется с 8 апреля 2026 года. На момент написания этого поста атака все еще продолжалась. Исследователи «Лаборатории Касперского» считают, что это целевая атака. Чем грозит установка вредоносного варианта DAEMON Tools После установки троянизированного ПО на компьютер жертвы, каждый раз при старте с системы запускается вредоносный файл, отправляющий запрос на командный сервер. В ответ с сервера может прийти команда для загрузки и запуска дополнительной вредоносной нагрузки. Первым делом злоумышленники разворачивают сборщик информации, который интересуется MAC-адресом, именем хоста, доменным именем DNS, списками запущенных процессов и установленного ПО и языковыми настройками. Зловред отправляет эту информацию на командный сервер. В ряде случаев, в ответ на собранную информацию, командный сервер присылает на машины жертвы минималистичный бэкдор. Он умеет загружать дополнительную вредоносную нагрузку, выполнять shell-команды и запускать шеллкод-модули в памяти. Бэкдор может быть использован для развертывания более сложного импланта, получившего название QUIC RAT. Он поддерживает несколько протоколов коммуникации с командным сервером и способен внедрять вредоносную нагрузку в процессы notepad.exe и conhost.exe. Более подробную техническую информацию вместе с индикаторами компрометации можно найти в статье экспертов на блоге Securelist. View the full article

Ежегодно в даркнет утекают сотни миллионов паролей реальных пользователей. Мы изучили 231 миллион уникальных паролей, собранных в утечках 2023–2026 годов в даркнете, и пришли к неутешительным выводам: большинство из них крайне ненадежны. Для взлома 60% паролей хакеру понадобится всего час времени и несколько долларов в кармане. Кроме того, взлом паролей ускоряется из года в год: в нашем аналогичном исследовании 2024 года процент паролей, нестойких ко взлому, был ниже. Сегодня рассказываем, насколько надежен среднестатистический пароль (спойлер: не очень) и как можно защитить свои данные и аккаунты более безопасными методами. А заодно показываем, какие паттерны чаще всего встречаются в настоящих паролях пользователей. Как взламывают пароли В предыдущем исследовании мы подробно рассказывали о методах хранения и взлома паролей, здесь же вкратце напомним самое главное. В наши дни пароли почти никогда не хранятся в открытом виде: так, если вы создали аккаунт с паролем «Password123!», сервер не будет хранить его как есть. Созданный пароль хешируется с помощью специальных алгоритмов, превращаясь в строку букв и цифр фиксированной длины — хеш, который и хранится на сервере. Вот так, например, выглядит хеш для пароля «Password123!», созданный с помощью алгоритма MD5: 2c103f2c4ed1e59c0b4e2e01821770fa. View the full article

Злоумышленники разработали новый способ кражи данных, которые хранит Windows-версия Chrome. Исследователи обнаружили его при изучении свежей версии инфостилера (вредоносного ПО, ворующего данные жертвы) под названием VoidStealer. Новый метод позволяет обходить механизм шифрования с привязкой к приложению (Application-Bound Encryption, ABE) Chrome — механизм для защиты сессионных файлов cookie и другой ценной информации, хранящейся в браузере. В Google надеялись, что этот механизм сможет обеспечить безопасность главного ключа, с помощью которого Chrome шифрует все важные данные. К сожалению, создатели зловредов уже не первый раз находят способы обойти эту защиту, так что секреты, хранящиеся в Chrome, опять под угрозой. Как работает шифрование с привязкой к приложению в Chrome Google представила механизм шифрования с привязкой к приложению (Application-Bound Encryption) в июле 2024 года в 127-й версии браузера Chrome. В заявлении компании основной проблемой, которую должен был решать этот механизм, указывалась борьба с кражей инфостилерами файлов cookie у пользователей Windows. Мы уже подробно рассказывали, что представляют собой эти файлы и к чему может привести их кража, поэтому здесь лишь кратко напомним основные факты. Файлы cookie — это небольшие пакеты данных, которые по запросу сайтов браузер сохраняет на устройстве пользователя, чтобы запоминать разнообразные настройки на сайтах. Особенную ценность для злоумышленников представляют собой так называемые сессионные файлы cookie, которые используются для автоматической аутентификации на сайтах. Именно благодаря этим файлам нам не приходится вводить логин и пароль на сайте при каждом новом его посещении. Но это удобство таит в себе опасность: кража таких файлов позволяет злоумышленнику использовать уже подтвержденную сессию без ввода логина и пароля от лица жертвы, что может привести к угону аккаунта, краже персональных или финансовых данных и другим неприятностям. View the full article

Практически в каждом фильме или сериале из вселенной «Звездных войн» присутствуют дроиды. Ведут себя они, как правило, странно. С одной стороны, они производят впечатление самостоятельно мыслящих существ, имеющих индивидуальность, а с другой — являются предметами: кому-то принадлежат, хранят верность хозяевам и выполняют их приказы. Чаще всего нам никак не объясняют мотивацию дроидов. Почему некоторые из них готовы по велению хозяина преступать закон? От чего зависит, кого именно они считают хозяином? Как они сами определяют, кому именно хранить верность и чьи приказы выполнять? Кто-то, наверное, скажет: «Да какая разница?» И с точки зрения нормального зрителя будет абсолютно прав. Но с нашей точки зрения вопрос верности дроида — это в первую очередь вопрос кибербезопасности. Дроид — сложная киберфизическая система, повлияв на мотивацию которой атакующий может получить доступ к конфиденциальным данным, а то и вовсе причинить вред настоящему владельцу. В прошлом, 2025 году вышло целых два сериала, создатели которых уделили вопросам принадлежности дроидов некоторое внимание. Нам были представлены две концепции управления мотивацией дроидов. Мы попытаемся рассмотреть обе эти концепции и их недостатки в этом посте. Как обычно, следует предупредить, что в тексте возможны спойлеры. «Звездные войны: Опорная команда» (Star Wars: Skeleton Crew) В «Опорной команде» нам впервые показывают концепцию голосового управления мотивацией чужих дроидов. В нескольких случаях человек, не являющийся формальным владельцем дроида, старается повлиять на его поступки, пытаясь ввести дроида в заблуждение. В целом создается впечатление, что на появление этой концепции повлияли современные нам чат-боты на базе больших языковых моделей (LLM) — уж больно это похоже на попытки «джейлбрейка», то есть атаки на модель, с целью обойти ограничения безопасности или встроенные фильтры. View the full article

Если несколько упростить, то классическая логика SIEM-системы работает следующим образом: если произошло событие A, а затем событие B, то это может быть признаком атаки, и следует оповестить ИБ-специалиста. Но в современных условиях этот простой сценарий все чаще дает сбои. Только за последнее время наши эксперты анализировали несколько громких инцидентов: в одном случае злоумышленники скомпрометировали инфраструктуру обновлений популярного редактора Notepad++ и распространяли вредоносное ПО через механизм обновлений. В другом — использовался похожий подход: в атаках на серверы TrueConf бэкдор устанавливался пользователям через зараженные дистрибутивы клиентского приложения. Заранее иметь правила, заточенные против таких сценариев, просто невозможно. Сами атаки стали сложнее: злоумышленники используют легитимные инструменты, атакуют через цепочку поставок, компрометируя ПО за пределами корпоративного периметра, растягивают сценарии во времени и маскируются под нормальную активность. Иными словами, они не вторгаются в инфраструктуру. Чаще они логинятся и используют легитимное ПО. В результате классические фиксированные правила прошлого либо не срабатывают, либо создают слишком много ложных алертов. Это и стало причиной перехода к более гибким сценариям корреляции. Динамически обновляемый контент Корреляционный контент сегодня — это не статичный набор правил, а процесс: он постоянно развивается и адаптируется под актуальные угрозы. Только за 2025 год мы выпустили 55 обновлений пакетов правил для разных версий и разных языков нашей SIEM-системы KUMA. Всего за год добавилось 10 новых пакетов, а также 250 правил обнаружения и множество улучшений существующего контента. В этом году мы уже добавили 43 новых правила и доработали еще 63. В сумме это более 850 правил, покрывающих значительную часть матрицы MITRE ATT&CK. Правила для KUMA пишутся по вводным от наших экспертов, анализирующих реальные свежие атаки: в первую очередь используются результаты работы сервиса managed detection and response MDR и исследований угроз. Благодаря этому правила покрывают сценарии — от разведки до повышения привилегий — в которых используются свежие инструменты злоумышленников. Например, мы выявляем использование новых техник атак вроде ToolShell. Помимо плановых обновлений команда регулярно выпускает так называемый Emergency Content — пакеты правил для быстрого реагирования на новые и неожиданные техники атак. В феврале, например, появились сценарии для обнаружения обхода аутентификации в продуктах Fortinet через механизм SSO: злоумышленники использовали специально сформированные SAML-запросы, чтобы без учетных данных получить доступ к системам. View the full article

Современный автомобиль правильно воспринимать как компьютер на колесах, который к тому же регулярно связывается с серверами производителя или автодилера, чтобы передавать различную диагностическую информацию. «На борту» у него десятки датчиков — от GPS, спидометра, микрофона системы громкой связи в салоне и камер внешнего обзора до менее очевидных, но гораздо более активных сенсоров нажатия педалей, давления в шинах, температуры двигателя и так далее. Даже если эта информация не передается производителю в реальном времени, она оседает в памяти бортового компьютера и может рассказать очень многое о поездках, привычках и окружении владельца. Мы уже подробно писали о том, какую информацию собирают с машин сами автопроизводители в коммерческих целях и кому продают эти данные (спойлер: главные покупатели телеметрии — страховые компании), а сегодня поговорим о том, как этими данными пользуются правоохранительные органы и спецслужбы. Цифровые улики В полиции многих стран осознали ценность данных, хранящихся в автомобиле. В случае если авто или его владелец потенциально связаны с преступлением, автомобиль могут изучать не только под микроскопом и ультрафиолетом. Технологии «автомобильной разведки» (Car Intelligence, CARINT) позволяют «пропылесосить» все бортовые компьютеры, считав из автомобиля: историю поездок по данным GPS; историю звонков, работы медиаплеера, голосовых команд; списки подключенных телефонов, скачанные адресные книги; статистику поездок (пробег, режимы работы двигателя и другие технические параметры). Есть много прецедентов, когда такие данные становятся уликами и уничтожают алиби. Так, в одном уголовном деле в США критической уликой стала запись голосовой команды, которая подтвердила, что за рулем угнанного автомобиля сидел подозреваемый. View the full article

Порог сложности в разработке приложений сильно упал — фирменный веб-сайт, личный бот для сбора новостей или «аналитическую панель» (дашборд) на работе теперь может собрать буквально каждый, просто дав чат-боту или специальному ИИ-агенту несколько инструкций на естественном языке. К сожалению, между красивым прототипом и надежным, постоянно работающим и безопасным приложением лежит настоящая пропасть. Чтобы не стать героем еще одной печальной истории про ИИ-ошибки, не потерять деньги и ценные данные, воспользуйтесь простыми советами из нашей статьи. Они ориентированы на разработчиков без специальной подготовки или очень маленькие компании. Для крупных компаний есть другие, более сложные рекомендации. Главные риски ИИ-кода Хотя с помощью вайб-кодинга можно буквально за несколько часов получить работающее на вид приложение, оно скорее всего будет содержать опасные ошибки. ИИ был натренирован на примерах кода из Интернета, а там часто встречаются неоптимально написанные учебные примеры, код с ошибками и вообще неизвестно что. Иногда такой код просто не работает, но чаще ситуация сложнее и опаснее — он вроде бы работает, но «под капотом» в нем может быть грубая имитация нужной логики или серьезные ошибки. Согласно исследованию Cloud Security Alliance AI Safety Initiative, при использовании ИИ для написания кода следует учитывать следующее: Минимум 45% ИИ-кода содержит опасные уязвимости, такие как отсутствие проверки пользователя перед доступом к важным данным. Профессиональный разработчик, вооруженный ИИ, создает код в 3–4 раза быстрее, но добавляет в 10 раз больше уязвимостей в код. 20% ИИ-кода пытается использовать внешние библиотеки и дополнительные модули, которых не существует в природе. Когда в приложении предусмотрен доступ к конфиденциальным данным (платежи, личная переписка или документы), ИИ-код иногда вообще не проверят учетные данные пользователя. Данные такого приложения может прочитать любой человек из Интернета. В других случаях верные имя и пароль все-таки запрашиваются, но не контролируется уровень доступа — зарегистрированный пользователь видит данные всех других пользователей. Прямо в коде могут быть записаны ключи доступа (токены) к базам данных и ИИ-сервисам, что упрощает их кражу и усложняет замену секретов после утечек и кибератак. Код проекта или важные файлы собранного приложения часто публикуются на сервере без ограничения доступа, поэтому оттуда можно украсть как логику приложения, так и уже упомянутые ключи доступа. ИИ реализует в приложении недостаточно безопасный доступ к базам данных, позволяющий как красть данные в обход приложения, так и выполнять на сервере баз данных вообще посторонний код. В приложениях, допускающих обращение по API, реализуется небезопасный доступ к API: без проверки прав пользователя и контроля частоты обращений (rate limiting). View the full article

Даже если вы храните криптоактивы в холодном криптокошельке и пользуетесь устройствами Apple, которые имеют хорошую репутацию в сфере безопасности, злоумышленники все равно найдут способ увести ваши деньги. Преступники внедряют уже известные трюки в новые цепочки атак, в том числе ловят жертв в App Store. Подделки под криптокошельки В марте этого года мы обнаружили в топе китайского App Store фишинговые приложения, иконки и названия которых мимикрируют под приложения для управления распространенными криптокошельками. Из-за региональных ограничений в китайском App Store недоступны некоторые оригинальные приложения криптокошельков, и злоумышленники воспользовались этим. Они создали поддельные приложения с похожими на оригинальные иконками и названиями с намеренными опечатками, предположительно — для обхода ограничений App Store и обмана пользователей. Фишинговые приложения в App Store, отображаемые при поиске Ledger Wallet (ранее — Ledger Live) View the full article