Новости науки и техники

Редакция

Компания Salesforce заявила, что не будет вести переговоры с киберпреступниками

Компания Salesforce публично объявила о том, что не намерена ни вступать в переговоры, ни тем более выплачивать выкуп киберпреступникам, стоящим за взломом её систем, который породил волну едва ли не самых громких кибератак нынешнего года. Salesforce является мировым лидером рынка систем управления взаимоотношениями с клиентами (CRM-системы), её разработками пользуются десятки крупнейших компаний и известнейших брендов мира.

Атаки были организованы хакерской группировкой Scattered Lapsus$ Hunters и развивались двумя волнами. Первая началась ещё в конце 2024 года, когда злоумышленники, используя методы социальной инженерии и выдавая себя за сотрудников службы IT-поддержки, убеждали сотрудников подключить вредоносное приложение OAuth к системам Salesforce своей компании. После подключения хакеры использовали соединение для загрузки и похищения баз данных. Вторая волна атак стартовала в начале августа 2025 года, когда злоумышленники использовали украденные токены OAuth SalesLoft Drift для доступа к CRM-средам клиентов и извлечения данных.

В результате жертвами стали 39 компаний и брендов, включая FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, Gap, Kering, McDonald’s, Walgreens, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France, KLM, Transunion, HBO MAX, UPS, Chanel и IKEA. Киберпреступники объявили о похищении в общей сложности почти одного миллиарда записей данных. Они потребовали выкуп от каждой из пострадавших компаний, а также предложили Salesforce одним платежом «рассчитаться» за всех своих клиентов, угрожая в противном случае выложить похищенные данные в открытый доступ 10 октября.

Ответом на эти угрозы и стало заявление Salesforce об отказе от какого-либо сотрудничества с вымогателями. При этом компания разослала своим клиентам уведомления о том, что угрозы публикации похищенных данных со стороны Scattered Lapsus$ Hunters являются, судя по всему, вполне реальными. Хакеры, со своей стороны, уже создали сайт для публикации утечек, разместив его на домене breakforums.hn — очевидно, «в честь» печально известного хакерского форума BreachForums, славившегося продажей и публикацией утечек похищенных данных.

Однако буквально накануне срока публикации ФБР США совместно с правоохранительными органами Франции провели масштабную операцию по блокировке инфраструктуры и конфискации всех доменов BreachForums. В результате посетителей сайта breakforums.hn встречает лишь уведомление о том, что домен конфискован ФБР. Представители хакерской группировки уже признали в сообщении в Telegram провал своих первоначальных планов. Они назвали блокировку доменов «неизбежной» и несколько высокопарно заявили о завершении эпохи интернет-форумов. Впрочем, они добавили, что не отказываются от своих намерений, и похищенные у Salesforce данные всё равно будут опубликованы.

Германия против тотального контроля

Власти Германии не поддержат законопроект Европейского Союза, обязывающий поставщиков услуг в сфере телекоммуникаций, таких как WhatsApp, Signal и других, отслеживать сообщения пользователей на предмет потенциального наличия материалов, содержащих сцены сексуального насилия над детьми (child sexual abuse — CSA). Этот проект, известный под названием Chat Control, предусматривает обязанность коммуникационных платформ использовать контент-фильтры на основе искусственного интеллекта для блокировки материалов CSA и привлечения к ответственности тех, кто хранит и распространяет их. При этом сервисы, использующие сквозное шифрование, не освобождаются от этой обязанности.

«Мы, фракция ХДС/ХСС, выступаем против необоснованного мониторинга чатов. Это было бы равносильно вскрытию всех писем в качестве меры предосторожности, чтобы проверить, нет ли в них чего-либо противозаконного. Это неприемлемо, и мы этого не допустим», — заявил в своём выступлении депутат Бундестага от Христианско-демократического союза (ХДС), входящего в правящую коалицию страны, Йенс Шпан (Jens Spahn).
Вокруг законопроекта Chat Control уже много месяцев не утихают ожесточённые дискуссии, и позиция Германии в этом вопросе исключительно важна. Для принятия законопроекта лидерам ЕС необходима поддержка правительств, представляющих большинство населения стран-членов блока. Ранее в поддержку проекта уже высказались Франция, Испания, Португалия и ряд других стран. Среди стран, пока не определившихся со своей позицией, крупнейшими являются Италия, Бельгия и Швеция. А наиболее крупными противниками Chat Control до недавнего времени выступали Польша и Нидерланды. И присоединение к этому лагерю Германии, где проживают 83,5 миллиона человек (примерно 19% от общей численности населения стран Европейского Союза) — аргумент более чем весомый.

В отличие от политиков, представители правозащитных организаций и технологических компаний практически единодушны в крайне негативной оценке законопроекта. Так, организация European Digital Rights (EDRi) убеждена, что предлагаемые для обязательного внедрения коммуникационными платформами технологии неэффективны и ненадёжны. А ущерб от их возможного внедрения многократно перевешивает гипотетическую пользу. «Негативное влияние Chat Control на демократию будет беспрецедентным. Легализуя эти опасные практики, ЕС подаст сигнал остальному миру, что конфиденциальности цифровых коммуникаций быть не может», — заявляют её представители.

Не менее резко высказалась и президент Signal Мередит Уиттакер (Meredith Whittaker) в своём открытом письме, адресованном политическим деятелям Германии. «Под видом защиты детей последние предложения по контролю чатов потребуют массового сканирования всех сообщений, фотографий и видео на устройстве пользователя для определения того, является ли контент допустимым или нет. Это ужасающая идея по многим причинам. Во-первых, технический консенсус очевиден. Сканирование каждого сообщения – независимо от того, делается ли это до или после шифрования – сводит на нет саму идею сквозного шифрования. […] Эта угроза настолько серьёзна, что даже разведывательные службы сходятся во мнении, что она обернётся катастрофой для национальной безопасности. Эти предложения игнорируют стратегическое значение частной переписки и давний технический консенсус относительно того, что невозможно создать бэкдор, доступный только «хорошим парням». По сути, они предлагают массовую слежку без ограничений, которая позволит раскрыть интимные и конфиденциальные сообщения всех, будь то правительственные чиновники, военные, журналисты-расследователи или активисты. Несмотря на все разговоры Европы о суверенитете, это абсурдное решение в области кибербезопасности по многим направлениям».

Уже 40 европейских компаний, выступающих в защиту конфиденциальности, направили схожее по своим тезисам коллективное письмо немецким властям. Они подчёркивают, что в случае принятия законопроекта будут вынуждены выйти из-под юрисдикции ЕС и покинуть европейские рынки.

За найденную уязвимость в продуктах Apple можно заработать до 5 миллионов долларов

Корпорация Apple объявила о масштабном обновлении и расширении своей программы премирования сторонних исследователей за обнаруженные уязвимости (bug bounty). Эта программа действует с 2020 года, и в её рамках примерно 800 специалистам было за это время выплачено в общей сложности 35 миллионов долларов. Кроме того, компания нередко предлагает авторам наиболее важных и точных отчётов об уязвимостях контракты внештатных консультантов.

Главным новшеством стало существенное увеличение суммы вознаграждений. Так, максимальная выплата выросла сразу вдвое — с 1 до 2 миллионов долларов. Такая сумма причитается за обнаружение уязвимости, которая открывает путь осуществлению атаки с компрометацией устройства без всяких действий со стороны пользователя (zero-click). Но и 2 миллиона долларов ещё не предел: с учётом гибкой системы новых бонусов максимальная сумма может быть увеличена до 5 миллионов долларов. «Это беспрецедентная сумма для индустрии», — сказано в заявлении Apple.

Выросли и размеры других выплат. Например, до 1 миллиона долларов вместо прежних 250 тысяч выросли вознаграждения за уязвимости, для эксплуатации которых достаточен один клик пользователя, а также за уязвимости, позволяющие беспроводные атаки с устройств, расположенных в непосредственной близости. 500 тысяч долларов (вместо прежних 250) исследователи смогут получить за обнаружение возможности атак, требующих физического доступа к заблокированному устройству. Также 500 тысяч долларов будут выплачиваться за уязвимости, открывающие возможность выхода из песочницы (прежнее вознаграждение составляло 150 тысяч долларов).

В компании полагают, что такой шаг может сделать продажу сведений об опасных уязвимостях на чёрных рынках элементарно невыгодной для хакеров — сообщение об этих уязвимостях непосредственно разработчику принесёт куда больше денег. Да и «белые» хакеры будут активнее искать и куда быстрее находить уязвимости. В конечном счёте, всё это должно способствовать укреплению безопасности всей экосистемы Apple.

Северокорейские хакеры с начала года похитили криптовалюту более чем на 2 миллиарда долларов

Компания Elliptic, специализирующаяся в области блокчейн-аналитики, сообщила о том, что по оценкам её экспертов, с начала года хакеры из Северной Кореи смогли похитить криптовалютные активы на сумму более 2 миллиардов долларов. Таким образом, установлен новый печальный рекорд: это достижение намного превосходит прежний зафиксированный максимум — 1,35 миллиарда долларов в 2022 году, и почти втрое превышает результат прошлого года. А ведь 2025 год еще совсем не окончен.

Ситуация вдвойне тревожна, поскольку, по сведениям представителей ООН и правительственных экспертов ряда стран, хакерские группировки из КНДР действуют при полной поддержке и по прямому указанию правительства страны, а похищенные средства направляются главным образом на развитие военных программ, в том числе на разработку и производство ядерного оружия. Исследователи Elliptic утверждают даже, что финансирование северокорейской власти находится всё в большей зависимости от похищенной хакерами криптовалюты.

Наибольший вклад в результат текущего года внесла февральская кибератака на криптовалютную биржу ByBit. Тогда северокорейским хакерам удалось похитить криптовалюту на сумму порядка 1,46 миллиарда долларов. Среди других инцидентов с участием киберпреступников из КНДР — атаки на сервисы LND.fi и Seedify и криптовалютные биржи WOO X и BitoPro. Всего же с начала года эксперты Elliptic смогли установить причастность северокорейских хакеров к 30 атакам, повлёкшим похищение криптовалютных активов. Причём сами эксперты называют свои оценки весьма консервативными, поскольку многие инциденты либо не получают огласки вовсе, либо сумма ущерба существенно занижается.

Говоря о тенденциях самих атак, специалисты Elliptic отмечают, что киберпреступники всё чаще атакуют не компании, а конкретных сотрудников компаний либо криптовалютных инвесторов, располагающих значительными средствами. Соответственно, атаки с использованием изощрённых методов социальной инженерии приходят на смену эксплуатации уязвимостей ПО сервисов децентрализованных финансов. Более сложными и изощрёнными становятся и способы отмывания похищенных средств. Тем не менее, в Elliptic уверены, что прозрачность блокчейн-систем всё же позволяет расследователям обнаруживать перемещение крупных сумм похищенной криптовалюты и существенно затрудняет жизнь киберпреступникам.