Мир за неделю: Азия блокирует DeepSeek, а Microsoft — идёт в постквант

Чат-бот DeepSeek напугал власти Южной Кореи, хакеры отреагировали на риторику президента Италии, исследователи безопасности обозначили группу вымогателей BlackLock как самую плодовитую, подводные лодки AUKUS оказались в прицеле иностранных разведок, США не могут найти управу на злоумышленников из группы Ghost, а Microsoft уже готовится к постквантовой эре.

Южная Корея приостанавливает загрузку ИИ-чат-бота DeepSeek

Южная Корея остановила новые загрузки китайского чат-бота на основе искусственного интеллекта DeepSeek, поскольку он проходит проверку на предмет несоответствия законам страны о защите данных. Комиссия по защите личной информации (PIPC) объявила о приостановке 15 февраля, сославшись на недостатки в функциях связи приложения и методах обработки данных.

Приложение, популярность которого резко возросла в Южной Корее вскоре после запуска, остается доступным через веб-версию для существующих пользователей. Тем не менее, PIPC рекомендовала проявлять осторожность, а агентство предупредило пользователей не делиться личной информацией через приложение до дальнейшего уведомления.

Согласно выводам PIPC, запуск DeepSeek в Южной Корее не в полной мере учитывал внутренние законы о конфиденциальности. Сообщается, что приложение якобы собирает данные по незащищенным каналам и делится информацией о пользователях со сторонними поставщиками услуг без надлежащих мер безопасности. Несмотря на назначение местного представителя и обещание сотрудничать, DeepSeek будет находиться в статусе длительной паузы, пока не решит эти проблемы и не выполнит требования Закона о защите личной информации (PIPA).

Выводы PIPC, которые привели к приостановке DeepSeek в стране, включают:

1. Политики коммуникации и обработки данных не соответствовали правовым стандартам.

2. Обработка данных третьих лиц вызвала обеспокоенность по поводу конфиденциальности.

3. Незашифрованная передача данных обнаружена в мобильных приложениях.

Южная Корея — не единственная страна, где выражают опасения. Чат-бот уже столкнулся с запретами на правительственных устройствах в Австралии, Италии и на Тайване. Американские законодатели также настаивают на ограничении DeepSeek из-за рисков слежки, и такие штаты, как Техас, Вирджиния и Нью-Йорк, вводят аналогичные меры.

Большая языковая модель DeepSeek привлекла внимание своей эффективностью, конкурируя с ведущими моделями США, работая при этом за малую стоимость. Однако эта возможность усилила опасения по поводу нецелевого использования данных, особенно учитывая потенциальное хранение приложением конфиденциальной информации пользователей на китайских серверах.

PIPC заверила южнокорейцев, что тщательно проверит практику DeepSeek во время приостановки. Агентство также планирует разработать более четкие руководящие принципы для предотвращения будущих нарушений конфиденциальности, связанных с технологиями ИИ.

Пророссийские хакеры NoName057(16) атаковали итальянские банки и аэропорты

Пророссийская хакерская группировка NoName057(16) запустила волну DDoS-атак, нацеленных на ключевые итальянские организации. Утром прошлого понедельника группа нарушила работу веб-сайтов крупных аэропортов Милана, включая Линате и Мальпенса, а также Транспортного управления, банка Intesa San Paolo и портов Таранто и Триеста.

Сообщается, что атаки были незначительными, и Итальянское национальное агентство кибербезопасности (ACN) быстро вмешалось, чтобы смягчить сбои. Чиновники подтвердили, что услуги были быстро восстановлены без существенного влияния на операции.

NoName057(16) связали свои действия с комментариями президента Италии Серджо Маттареллы во время выступления в Марселе в прошлую пятницу. Маттарелла сравнил действия России в Украине с Третьим рейхом, что вызвало ответ как со стороны МИД России, так и со стороны хакерского сообщества. В своем Telegram-канале NoName057(16) раскритиковали Маттареллу как «русофоба» и поклялись отомстить.

«За такие сравнения русофоб Маттарелла и Италия получат DDoS-ракеты на своих сайтах», — говорится в одном из заявлений. МИД России также предупредил, что подобные высказывания не останутся «без последствий».

Это не первый раз, когда группа нападает на итальянские организации. В январе 2025 года NoName057(16) атаковала сайты итальянских министерств и критически важную инфраструктуру во время визита президента Украины Владимира Зеленского в Рим. Предыдущие кампании включали атаки на правительственные сайты, банки и даже официальный сайт премьер-министра Италии Джорджии Мелони.

NoName057(16) активна с марта 2022 года и известна тем, что нападает на страны, поддерживающие Украину. Группировка часто усиливает атаки в периоды повышенной геополитической напряженности.

ACN подтвердила, что у нее есть инструменты и протоколы для эффективного смягчения подобных кибератак. Хотя тактика группы основана на переполнении веб-сайтов поддельным трафиком, итальянское правительство выражает готовность противостоять этим методам с помощью надежной защиты.

Между тем должностные лица сферы кибербезопасности Италии призвали организации сохранять бдительность, предупредив о потенциальных будущих атаках, поскольку геополитическая напряженность сохраняется.

BlackLock имеет все шансы стать самой плодовитой группой вымогателей в 2025 году

Исследователи безопасности раскрыли тайну одной из самых быстрорастущих и грозных RaaS-группировок (программа-вымогатель как услуга) этого года. Названная BlackLock (также известная как El Dorado или Eldorado), группа существует с марта 2024 года и увеличила количество сообщений об утечках данных на ошеломляющие 1425% в четвертом квартале прошлого года, согласно ReliaQuest (цифры квартал к кварталу).

BlackLock использует тактику двойного вымогательства и нацелена на среды Windows, VMWare ESXi и Linux. Есть и другие характеристики, которые отличают ее. К ним относятся:

1. Специально разработанное вредоносное ПО, а не просочившиеся сборки Babuk или LockBit (что затрудняет анализ для исследователей).

2. Несколько функций сайта утечки данных, направленных на блокировку исследователей и организаций от загрузки украденных данных, куда входят обнаружение запросов и поддельные ответы файлов.

3. Огромный объем активности на форуме RAMP — на девять сообщений больше, чем у RansomHub, занявшего второе место по состоянию на январь 2025 года. Это указывает на более тесное сотрудничество с филиалами, разработчиками и брокерами первоначального доступа (IAB), среди прочего.

4. Группа работает с доверенными IAB для ускорения атак для филиалов, хотя это также может напрямую скомпрометировать некоторых жертв.

Исследование ReliaQuest также показало, что в то время как большинство операторов RaaS делегируют задачи на ранних этапах филиалам, BlackLock любит сохранять контроль — это, вероятно, и способствовало быстрому росту. BlackLock активно вербует ключевых игроков, известных как торговцы, для поддержки ранних стадий атак с использованием программ-вымогателей. Эти лица управляют вредоносным трафиком, направляют жертв к вредоносному контенту и помогают установить первоначальный доступ для кампаний.

В ReliaQuest предупредили, что группа может использовать механизмы синхронизации Microsoft Entra Connect, чтобы скомпрометировать локальные среды в этом году. Компания призвала организации, использующие эту функцию, ужесточить правила синхронизации атрибутов, а также отслеживать и ограничивать регистрацию ключей и применять политики условного доступа.

Другие рекомендации по передовой практике для защитников сетей содержат включение многофакторной аутентификации (MFA), отключение протокола удаленного рабочего стола (RDP) на ненужных системах, настройку хостов ESXi для включения режима строгой блокировки, ограничение доступа к сети и отключение других ненужных служб (например, SNMP, vMotion).

Шпионы охотятся за секретами атомной подводной лодки AUKUS, предупреждает глава австралийской разведки

Несколько стран «неустанно» ищут информацию о военных возможностях Австралии, включая партнерство страны с Великобританией и США в области подводных лодок, предупредил Майк Берджесс, генеральный директор Австралийской организации безопасности и разведки (ASIO).

19 февраля главный разведчик страны дал свою оценку угроз на 2025 год. Он подчеркнул, что шпионаж и иностранное вмешательство уже достигли экстремальных уровней, и ожидается, что они только усилятся.

«В более сложном, конкурентном мире национальные государства захотят получить более глубокие знания о своих врагах — и о некоторых из своих друзей — чтобы лучше понимать стратегические намерения и возможности», — сказал он.

Берджесс добавил, что шпионаж и иностранное вмешательство станут возможными благодаря достижениям в области технологий. В частности это ИИ и более глубокие онлайн-пулы персональных данных, уязвимых для сбора, использования и анализа иностранными разведывательными службами.

Одной из областей интересов шпионов является оборонная экосистема Австралии, продолжил спикер: «Наша оборонная система столкнется с большими угрозами со стороны шпионажа, иностранного вмешательства и потенциального саботажа в течение следующих пяти лет. Сотрудники оборонных ведомств подвергаются нападениям лично и в Сети. Недавно некоторым из них международные коллеги вручили подарки. В подарках были скрытые устройства наблюдения».

Иностранные разведчики также заинтересованы в оборонных возможностях, разработанных в рамках трехстороннего партнерства в области безопасности между тремя членами Five Eyes: Австралией, Великобританией и США (AUKUS). Первый столп партнерства сосредоточен на приобретении Австралией атомных ударных подводных лодок и ротационном базировании атомных ударных подводных лодок США и Великобритании в Австралии. По словам Майка Берджесса, AUKUS останется приоритетной целью для сбора разведданных, в том числе странами, которые относятся к разряду дружественных.

«К 2030 году, по мере развития проекта подводной лодки, разведывательные службы, скорее всего, сосредоточатся на иностранном вмешательстве, чтобы подорвать его общественную поддержку и потенциально саботировать в случае обострения региональной напряженности», — предположил гендиректор ASIO.

Кроме того, главный разведчик Австралии заявил, что попытки киберразведывательных вторжений были нацелены на более широкую экосистему критически важной национальной инфраструктуры. Киберподразделения по крайней мере из одного неназванного государства регулярно пытаются исследовать и эксплуатировать критически важные инфраструктурные сети Австралии, с тем чтобы установить вредоносное ПО или сохранить доступ в будущем.

CISA и ФБР заявили о глобальной угрозе со стороны группы вымогателей из Китая

Власти США опубликовали новые подробности о давно действующей группе вымогателей Ghost, которая возникла в Китае, сообщив, что она скомпрометировала организации-жертвы в более чем 70 странах. Информационный бюллетень был выпущен ФБР, Агентством по кибербезопасности и безопасности инфраструктуры (CISA) и Центром обмена и анализа информации между штатами (MS-ISAC) — он содержит новые индикаторы компрометации (IOC) и тактики, методы и процедуры (TTP).

Известная также как Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada и Rapture, эта финансово мотивированная группа необычна тем, что происходит из Китая, учитывая, что большинство участников вымогательства находятся в бывших советских республиках. Однако в других отношениях она имеет много общего с остальным подпольем вымогателей.

Первоначальный доступ обычно достигается путем использования известных уязвимостей в общедоступных системах, таких как устройства Fortinet FortiOS и серверы, на которых работают Adobe ColdFusion, Microsoft SharePoint и Microsoft Exchange.

«Было замечено, что злоумышленники Ghost загружают веб-оболочку на взломанный сервер и используют командную строку Windows и/или PowerShell для загрузки и выполнения вредоносного ПО Cobalt Strike Beacon, которое затем внедряется в системы жертв, — отмечается в отчете. — Члены Ghost не уделяют особого внимания стойкости, поскольку обычно они проводят в сетях жертв всего несколько дней. Во многих случаях было замечено, что они переходят от первоначального взлома к развертыванию программы-вымогателя в течение того же дня».

Группа использует Cobalt Strike, а также различные инструменты с открытым исходным кодом для повышения привилегий, и снова Cobalt Strike для доступа к учетным данным, обнаружения учетных записей доменов, бокового перемещения и управления и контроля (C2). Инструмент также развертывается для составления списка систем защиты от вредоносных программ, запущенных на компьютере жертвы, чтобы отключить их, поясняется в отчете.

«В записках Ghost с требованием выкупа часто утверждается, что извлеченные данные будут проданы, если выкуп не будет выплачен, — также гласит документ. — Однако злоумышленники Ghost нечасто изымают значительный объем информации, таких как интеллектуальная собственность или персональные данные, утечка которой может нанести значительный вред жертвам».

Группа, по-видимому, преследует легкодоступные цели, часто отказываясь от атак, когда сталкивается с защищенными системами и сегментацией сети, которая препятствует боковому перемещению. Это может объяснить, почему большое количество жертв — это предположительно предприятия малого и среднего бизнеса, а также поставщики критически важной инфраструктуры, школы и университеты, организации здравоохранения, государственные органы, религиозные учреждения, технологические и производственные компании.

Для защиты от угроз со стороны вымогателей CISA порекомендовала применять такие методы, как регулярное резервное копирование и хранение резервных копий отдельно от исходных систем, своевременное исправление известных уязвимостей с учетом рисков, сегментация сетей для ограничения бокового перемещения и развертывание устойчивой к фишингу многофакторной аутентификации (MFA) для всех привилегированных и почтовых учетных записей.

Прорыв Microsoft в области квантовых чипов усиливает угрозу протоколам шифрования

Квантовые компьютеры, способные взломать текущие протоколы шифрования, будут доступны через «годы, а не десятилетия» после разработки первого в мире квантового чипа. Microsoft представила такую оценку 19 февраля, анонсировав аппаратный чип, названный Majorana 1. Этот прорыв открывает путь к разработке квантовых компьютеров, которые могут масштабироваться до миллиона кубитов. Такие системы будут «способны решать самые сложные промышленные и общественные проблемы», заявила Microsoft.

Однако в объявлении также подчеркивается срочность перехода организаций на постквантовую криптографию. Это связано с тем, что квантовые компьютеры такого масштаба смогут быстро решать математические уравнения, составляющие текущие протоколы шифрования, такие как RSA и AES (что в свою очередь делает уязвимыми данные, соединения и компоненты, используемые всеми организациями). Также считается, что злоумышленники уже накапливают зашифрованные данные в ожидании развития квантовой технологии, в так называемых атаках «собирай сейчас, расшифровывай позже».

Иэн Беверидж, старший менеджер по продуктам и решениям в Entrust, прокомментировал новость так: «Заявление Microsoft представляет собой громкое подкрепление со стороны отраслевого гиганта того, о чем уже говорили многие организации: квантовые вычисления наступают, и раньше, чем люди думают. Это будет иметь широкомасштабные последствия с точки зрения безопасности данных, потенциально оставляя большие пробелы в криптографическом ландшафте организации».

Чип Majorana 1 работает на основе новой архитектуры топологического ядра, использующей первый в истории топопроводник. Он обеспечивает новое состояние материи, которое может быть использовано для создания более стабильного кубита — быстрого, маленького и управляемого цифровым способом. По словам представителей Microsoft, возможность управлять кубитами цифровым способом «значительно упрощает» работу квантовых вычислений.

Техгигант заявил, что все современные компьютеры мира, работающие вместе, не могут сделать то, что сможет сделать квантовый компьютер с миллионом кубитов. Для достижения следующего этапа квантовых вычислений потребуется квантовая архитектура, способная обеспечить миллион кубитов и более и достичь триллионов быстрых и надежных операций.

В августе 2024 года Национальный институт стандартов и технологий США (NIST) формализовал первые в мире стандарты постквантовой криптографии. Они охватывают три постквантовых криптографических алгоритма, которые предоставляют квантово-устойчивые решения для различных типов систем и вариантов использования. К ним относятся цифровые подписи для аутентификации личности и механизмы инкапсуляции ключей для установления общего секретного ключа по общедоступному каналу. Стандарты гарантируют организациям основу для защиты систем и данных от будущих квантовых угроз.

NIST призвал организации начать подготовку к переходу своих систем на квантово-безопасные решения с использованием этих алгоритмов. Это необходимо сделать до того, как квантовые компьютеры станут достаточно мощными, чтобы взломать существующее шифрование.

В отчете Института кибербезопасности Entrust от октября 2024 года были отмечены значительные препятствия для достижения квантово-криптографических переходов. Например, отсутствие четкого владения в организациях переходом и прозрачности криптографических активов.

Финансовый сектор также находится на переднем крае разработки квантово-безопасных решений для хранения и передачи конфиденциальных данных. Так, британский банк HSBC, который успешно опробовал первое применение квантово-безопасной технологии для покупки и продажи токенизированного физического золота в сентябре 2024 года.