3side кибербезопасности

Цифровой колониализм: кто построил вашу защиту — тот и владеет вашей страной 28 февраля 2026 года, когда первые ракеты США и Израиля ещё только летели к Тегерану, Иран уже проигрывал другую войну — невидимую. Одновременно с авиаударами Тегеран подвергся нескольким кибератакам, направленным против систем командования и управления КСИР. Годами израильские и американские спецслужбы сидели в инфраструктуре Ирана. Даже перемещения аятоллы Хаменеи отследили с помощью взломанных камер. А общая цель состояла в том, чтобы парализовать способность иранской армии обнаружить угрозу и скоординировать ответный удар. Тут индонезийская The Jakarta Post вышла со прекрасной статьей, адресованной индонезийским читателям: а что означает эта война для конкретно вашей кибербезопасности? Вопрос правильный. Ответ — тревожный. Потому что Иран был не первым. И не последним. В 2010 году на иранском заводе по обогащению урана в Натанзе начали ломаться центрифуги. Одна за другой, без видимой причины. Персонал не понимал, что происходит, системы мониторинга показывали норму. Только спустя месяцы выяснилось: завод был заражён Stuxnet — червем, использовавшим четыре (!) уязвимости нулевого дня одновременно, проникавшим через USB-носители в изолированные от интернета сети, целенаправленно искавший промышленные контроллеры Siemens S7-315 и S7-417 и незаметно модифицировавший частоту вращения центрифуг — разрушая их физически, пока операторам на экранах отображались нормальные показатели. Это была одна из сложнейших атак на тот момент в мире. Stuxnet стал первым задокументированным случаем, когда программный код уничтожил физическую инфраструктуру суверенного государства. Его создание приписывают совместной операции США и Израиля. Иран тогда получил первый урок, но, судя по тому, что произошло в феврале 2026-го, усвоил его лишь частично. В 2023 году сотрудники «Лаборатории Касперского» обнаружили, что их собственные iPhone заражены. Не вирусом в привычном смысле — чем-то принципиально иным. Атака использовала цепочку из четырёх уязвимостей нулевого дня в iOS. Атака была "бесконтактной" — жертве не нужно было ни на что нажимать. Цель — шпионаж: извлечение сообщений и паролей, запись разговоров, отслеживание геолокации. Заражение началось как минимум в 2019 году и оставалось незамеченным четыре года. Но самое поразительное — не это. Исследователи обнаружили, что атака использовала недокументированную аппаратную функцию в процессорах Apple — ту, о существовании которой, по всей видимости, не знали даже большинство инженеров компании. Функция, вероятно, предназначалась для внутреннего тестирования или отладки. Ни в каких публичных документах она не фигурировала. Каким образом атакующие знали о её существовании — неизвестно до сих пор. Исследователи «Касперского» назвали это «самой сложной атакой, которую они когда-либо видели». А если бы у России не было достаточных компетенций в ИБ? Колониализм XIX века был прост и очевиден: метрополия контролировала территорию физически, вывозила ресурсы, ставила своих губернаторов. Новая зависимость устроена иначе. Она невидима, она добровольна, она оформлена как сервисный контракт. Страна покупает телекоммуникационное оборудование у иностранного вендора. Берёт облачную инфраструктуру у американских или китайских гигантов. Нанимает иностранных консультантов для построения систем кибербезопасности. Подписывает лицензионные соглашения на программное обеспечение критической инфраструктуры. Всё это — разумные, рациональные решения. Нередко — единственно доступные. Но когда наступит кризис — не обязательно война, достаточно жёсткого политического конфликта, санкций, смены режима у партнёра — вы можете обнаружить, что ваша собственная инфраструктура работает против вас. Или просто перестаёт работать в самый неподходящий момент.

Про Иран от коллег из Securitylab — мы не хотели это комментировать, но ... Тут уважаемые коллеги из Securitylab написали до крайности ... специфичный текст про текущий американо-иранский конфликт. Мы обычно не комментируем вещи, напрямую не относящиеся к ИБ, без особого повода. Мы делаем это по одной простой причине — мы обычно не хотим касаться того, в чем ничего не понимаем. Но так вышло, что один из двух фаундеров 3side за последние лет 7 объездил почти весь Ближний Восток (без одной страны) и в свое время довольно много чего написал о нем. Так вот. Когда уважаемые коллеги начинают оперировать штампами и стереотипами, это немного ... смущает. Не надо так делать. Начнем с простого. В Израиле по-сути живут потомки репатриантов из Европы и из арабских стран. И собственно сефарды ближе к семитам, а ашкеназы — менее. И вот собственно никакого офигенно близкого "родства" между арабами и евреями зачастую нет. Есть общие предки. А еще есть фалаши, которые вообще изначально агавские народы Эфиопии, но при этом евреи. А персы — так вообще не-семитский народ, завоеванный арабами в 7 веке (если очень грубо). Короче, это лоскутное одеяло, которое плохо упрощать. Никакого культа жертвенности в Израиле толком нет, в отличие от шиитского Ирана, где он имеет сильнейший вплетенный в бытовуху религиозный аспект (гуглить "Ашура", "имам Хусейн" и "Кербела"). Не вдаваясь в детали, основа современного шиитского нарратива — это мученичество. Найдете в Израиле хоть что-то подобное (осторожно, специфический видеоряд) — пишите. Собственно культура Израиля (как и христианского Ливана, например) — она наоборот, очень средиземноморски-витальная. Дальше. Конфликт за территорию, про которую говорит автор — он действительно есть. Только это конфликт между арабами и евреями, а не конфликт между Ираном и Израилем. И тут какбы вспоминаем: крайний раз евреи воевали с персами ... в Пурим около 2500 лет назад. Все. После этого всем было как-то не до того. И вот тут главное. До революции 79 года Иран был ... крупнейшим союзником Израиля. И даже после, Израиль поставлял уже исламскому Ирану, например, минометные мины (которые потом падали на север Израиля, но это частности). Экзистенциального "конфликта Ирана и Израиля" нет — есть конфликт Ирана и США, а Израиль, ОАЭ, Саудия и прочие — это только его составные части. И текущий конфликт — он между США и Ираном. К ближневосточным разборкам арабов и Израиля он имеет отношение до крайности опосредованное. И решение конфликта — в переговорах между Ираном и США.

Коротко про Иран Во-первых, кибератаки на средства связи, инфраструктуру, СМИ и прочее — это уже вполне привычная и понятная часть современного обеспечения боевых действий. Мы уверены, что 90% действий "атакующих" по Ирану сейчас останется неизвестной. Из того, что стало публичным — взлом иранских СМИ, приложения для определения времени намаза и (вроде как) нескольких телеграмм каналов. Но это все лирика "на сдачу". Повторимся, мы уверены, что главный пласт атак остался вдалеке от глаз.

БЕСПЛАТНЫЙ VPN ПРЕВРАЩАЕТ АЙФОН В КИРПИЧ. ИЛИ НЕТ? На днях SHOT написал: мошенники раздают бесплатный VPN через App Store. Ставишь, пару дней работает нормально. Потом айфон блокируется. На экране — требование заплатить 100 тысяч рублей. Не заплатишь — телефон останется кирпичом. Звучит страшно. Но давайте разберёмся. VPN из App Store не может заблокировать ваш айфон. Технически — не может. У него нет таких прав. Apple не даст. Это не Android, где можно поставить .apk с левого сайта и получить полный доступ к системе. Тогда как это работает? Скорее всего, при установке VPN вам подсовывают корпоративный MDM-профиль. Это штука, которой компании управляют рабочими телефонами сотрудников. Через MDM можно заблокировать устройство, стереть данные, установить ограничения. Мощная вещь. В руках вашего работодателя — нормально. В руках мошенника — проблема. Маскируют это под "настройку сети" или "добавление VPN-конфигурации". Вы нажимаете "разрешить", вводите пароль. Всё. Контроль у них. Что делать, если вам предлагают VPN: 1. Не ставьте бесплатные VPN от неизвестных разработчиков. Бесплатный VPN — это не благотворительность. Если вы не платите за продукт, вы и есть продукт. Или жертва. 2. При установке любого приложения читайте, что именно оно просит. "Добавить конфигурацию VPN" — нормально. "Установить профиль управления устройством" — нет. Это разные вещи. 3. Проверьте прямо сейчас: Настройки → Основные → VPN и управление устройством. Если там есть профили, которые вы не устанавливали — удаляйте. 4. Если айфон уже заблокирован и требует деньги — не платите. Обратитесь в Apple Support или к специалисту. Через DFU-режим устройство можно восстановить. И да, 100 тысяч рублей мошенники не получат. Получат ваши нервы и пару дней без телефона. Тоже неприятно, но не катастрофа. Не каждая страшная новость — правда. Но за каждой страшной новостью стоит реальная схема. Просто обычно она проще и тупее, чем пишут в заголовках.

«Аэрофлот Техникс» подвергся масштабной хакерской атаке. В ночь с 23 на 24 февраля произошла серьёзная кибератака на ИТ-инфраструктуру компании «Аэрофлот Техникс» — крупнейшего в России провайдера услуг по техническому обслуживанию и ремонту воздушных судов, входящего в группу «Аэрофлот». Источники, знакомые с ситуацией, сообщают, что всех срочно попросили перегрузить компьютеры и сменить пароли, а потом вырубили всё серверное оборудование. На данный момент сотрудники предприятия по-прежнему не имеют доступа ни к интернету, ни к рабочим компьютерам. Вырубили всё, сети нет, все программы упали, телефония не работает, — описывают масштаб бедствия работники. — Связь со всеми службами теперь поддерживается исключительно через личные мобильные телефоны. На личных серверах «Аэрофлот Техникса» ничего нет. Кроме того, из-за технического сбоя в расчётной системе была перенесена выплата премий за выполнение особо важных заданий — начисления заморожены до полного восстановления инфраструктуры. ИТ-специалисты сейчас в авральном режиме пытаются восстановить работоспособность систем и «поднять» сети. Пока же производственные процессы переведены на «ручное» управление. Техников попросили по максимуму отрабатывать все замечания кабинного экипажа, записанные в бортовых журналах (CLB), а информацию о времени прилёта и вылета «своих» бортов, их регистрационных номерах и местах стоянок теперь приходится отслеживать самостоятельно — через онлайн-табло аэропорта Шереметьево и сервис FlightRadar. Распределение техников по самолётам и объёму работ сейчас также ведётся в ручном режиме. Впрочем, техническая документация и планы по самолётам есть на компьютерах «Аэрофлота». Кибератака затронула только инфраструктуру дочерней компании «Аэрофлот Техникс» и не коснулась головной авиакомпании и других структур группы благодаря изолированности сетей. К тому же на этот раз атаку удалось быстро заметить и своевременно «потушить сеть», что позволило избежать более серьёзных последствий. Однако пока невозможно оценить, что именно пострадало и какой объём данных безвозвратно утерян. Всё, что можно будет восстановить, станет понятно лишь после того, как сеть начнут постепенно поднимать. Восстановление нормального функционирования ИТ-ландшафта — дело не одного дня и даже не недели.

Видимо снова шифрование, смогут восстановить самое критичное за сутки, как Аэрофлот? Увидим

Простые ошибки личной и корпоративной безопасности Держите два свежайших, хоть и теневых, но интересных кейса. Кейс 1. 48 российских теневых компаний, торгующих санкционной нефтью, смогли связать между собой, и схема их взаимодействия была раскрыта. Компании открывались в разных юрисдикциях, на разных людей, они не фигурировали одновременно в таможенных документах, но использовали один сервер почты (mx.phoenixtrading.ltd)! Да, он был не публичный (Yandex, Mail.ru), и, посмотрев на общий IP-адрес/домен, связь между компаниями становилась очевидной. А что, если бы этот сервер еще и взломали? Единая точка отказа? Кейс 2. Сына украинского «авторитета»/друга владельца сети мошеннических колл-центров похитили на Бали. Утверждается, что с целью выкупа, уже записали требования под видео. Говорят, якобы отрубили пальцы, переломали ребра и сделали еще много чего плохого, хотя на видео видно только синяки на лице. Но нам интереснее, как похитители нашли жертву! Он отдыхал в компании того самого владельца сети колл-центров и его подруги/модели Евы М. Собственно, Ева и выложила фоточки со своими друзьями в соцсеть, геолокацию установить по ней было несложно, похитители выехали. Мораль проста: даже если вы контролируете, что постите сами, не факт, что вас не выложат члены семьи/друзья/близкие. Это тоже нужно контролировать, и если постить, то с задержкой. Мы же уже в марте запускаем курсы по личной безопасности для топ-менеджеров, криптанов и блогеров и поличной и корпоративной для МСБ. Без инфоцыганства, с образовательной лицензией и экспертизой. Где будем в том числе и разбирать такие ошибки, ведь под угрозой далеко не только люди, занимающиеся «теневыми» делами! Более подробный анонс будет в ближайшее время!

Наши друзья приглашают 26 февраля на онлайн-подкаст по теме Персональных данных. Вы узнаете, как не преступить черту закона и какие технические средства можно использовать на примере реальных кейсов. Встреча будет полезна CISO, CIO и DPO, которые ежедневно балансируют между привычной механикой разработки и требованиями регуляторов. Фокус — обезличивание персональных данных в тестовых и dev-средах. В эфире обсудим, где компании чаще всего ошибаются, разберем недавние инциденты и покажем, как происходит обезличивание реальных данных на примере решения от «Перфоманс Лаб». Почему стоит подключиться: - узнаете, как минимизировать риск утечек и претензий надзорных органов; - увидите живую демонстрацию деперсонализации в действии; сможете задать свои вопросы экспертам и обсудить специфику ваших систем. Спикеры: Егор Говорков — специалист по продуктовому маркетингу "Перфоманс Лаб" Василий Жидков — эксперт по защите персональных данных Петр Мельченко — техлид Датасан Для трёх участников предусмотрен бесплатный пилотный проект решения Датасан на реальных данных. Дата: 26.02.2026 11:00 МСК Формат: онлайн, с живым диалогом и Q&A Регистрация обязательна. После заявки участники получают персональную ссылку на подключение.

Как ломать API? Изучил недавно переведенную на русский язык книгу по веб-пентесту, а также спросил о ней моего хорошего товарища олдового пентестера. И вот наш консолидированный отзыв: "Эту книгу можно считать SoK (Systematization of Knowledge) для начинающих веб-пентестеров! Она дает самый нужны минимум, от того как оно устроено и какие бывают уязвимости, до того как собрать свою лабу и как оно бывает на практике. Это хорошая обзорная книга для начинающих!" Купить можно в целом где угодно, удобнее всего на Озоне.

Вебинар «Страхование киберрисков в 2026: Как правильно оценить риски и получить выгодные условия страхования?» Представьте: утром ваши сотрудники не могут зайти в систему. Данные клиентов зашифрованы. На сайте — требование выкупа. Производство встало. Репутация…

MAX активно используется мошенниками Изучая мошеннические схемы и работу колл-центров мы с коллегами заметили, что переход со звонков в Телеграмме на Макс занял у них меньше недели. А стоимость аккаунтов в Максе для них значительно дешевле, раз так в 5! Арестовать владельца аккаунта, конечно проще, но какое дело до этого мошенникам? Попадут под это другие люди. Вот и родственникам коллег приходят сообщения, тут уже и схема интересная, я бы сказал «олдовая», которая еще в эпоху до мессенджеров звучала в трубке как «мама, я попал в аварию, поговори с товарищем капитаном!»

Интервью с Антоном Бочкаревым Мы наконец выложили интервью с Антоном Бочкарёвым. (Сюда в TG не стал вставлять само видео по понятным соображениям, выложил только на Youtube. Кому-то кроме Youtube еще что-то нужно?) Было приятно познакомиться с Антоном. Мне очень нравится моя деятельность потому, что позволяет знакомиться с классными представителями молодого поколения. Всегда рад встречаться с такими людьми. У меня после таких встреч приходит спокойствие за будущее своих детей. Честно говорю, восхищаюсь некоторыми из них. В мои годы таких вундеркиндами называли, а они тут все через одного такие. Антон делает IT-бизнес в кибербезе. Поговорили с ним о разном. Это было знакомство в прямом эфире. Спонтанный разговор. Зацепили тему про хакеров. Пооворили о том, почему хакеры любят именно малый бизнес. И какой самый максимальный выкуп просили хакеры у жертвы за всю историю взломов. Хороших выходных! PS. Неделя была огонь! 🔥🔥 @Катя, @Матвей, @Тата, @Сергей, @Даурен, @Антон делитесь новостями. Раскачаем radio_brainbox 🫵