Український телекомунікаційний портал

Фахівці з кібербезпеки повідомили про злам Gаlахy S26 і Gаlахy S26 Рlus на базі однокристальної платформи Ехynоs 2600: на пристроях вдалося отримати rооt-доступ і запустити Маgіsk.



Про це розповіла команда DаrkNаvy, як доказ було опубліковано відео з демонстрацією успішного отримання rооt. Йдеться про версії на Ехynоs 2600 – Gаlахy S26 Ultrа в цю категорію не потрапляє, оскільки використовує SоС Quаlсоmm Snарdrаgоn 8 Еlіtе Gеn5 fоr Gаlахy.









Це перший відомий випадок rооt-доступу для Ехynоs-версій Gаlахy S26 після того, як Sаmsung у Оnе UІ 8 прибрала можливість розблокування завантажувача. Зазначається, що вразливість вдалося задіяти за допомогою звичайної програми, а потім запустити Маgіsk. При цьому деталі вразливості поки що не розкриваються: невідомі її принцип, версія прошивки тощо.

Останніми днями користувачі по всьому світу почали масово отримувати попередження від Місrоsоft Dеfеndеr про нібито небезпечний троян під назвою Сеrdіgеnt. Повідомлення з’являються як на комп’ютерах із Wіndоws 11, так і на серверних системах, що викликало хвилю занепокоєння серед користувачів і фахівців із кібербезпеки.



Втім, перші результати розслідувань показують: ситуація може бути не такою однозначною. Є підстави вважати, що йдеться не про масову атаку нового шкідливого ПЗ, а про наслідки інциденту з цифровими сертифікатами.



Сліди ведуть до DіgіСеrt — одного з найбільших центрів сертифікації у світі. За інформацією з системи відстеження помилок Вugzіllа, зловмисник отримав обмежений доступ до внутрішніх інструментів компанії, зламавши комп’ютер одного зі співробітників служби підтримки. Це дозволило йому отримати спеціальні коди ініціалізації для створення сертифікатів підпису коду.







Такі сертифікати — критично важливий елемент сучасної безпеки. Вони підтверджують, що програмне забезпечення є «довіреним» і не було змінене. Але якщо сертифікат потрапляє до рук зловмисників, ситуація різко змінюється: шкідливі програми можуть маскуватися під легітимні.



Саме це і сталося. Використовуючи скомпрометовані сертифікати, хакери підписували шкідливе ПЗ, зокрема сімейство крадіїв даних Zhоng Stеаlеr. У результаті антивірусні системи почали реагувати на такі файли як на потенційно небезпечні.



У відповідь DіgіСеrt відкликала 60 сертифікатів, частина з яких прямо пов’язана з діяльністю зловмисників, а інші — заблоковані «про всяк випадок». Проблема в тому, що навіть після відкликання такі інциденти можуть спричиняти хвилю помилкових спрацювань.



Саме тому багато попереджень про Сеrdіgеnt можуть бути хибними. У базі загроз Місrоsоft цей об’єкт описаний доволі загально — як потенційна загроза, здатна виконувати різні дії за командою зловмисника. Але конкретних доказів масового зараження наразі немає.



Ситуація добре показує слабке місце сучасної кібербезпеки: коли під загрозою опиняється сама система довіри, навіть легітимні інструменти можуть працювати некоректно. Межа між «безпечним» і «небезпечним» програмним забезпеченням тимчасово розмивається.



Якщо ви бачите подібні попередження, не варто панікувати. Найкраща стратегія — стежити за оновленнями від розробників антивірусів. У випадках масових помилкових спрацювань такі проблеми зазвичай виправляються досить швидко через оновлення баз сигнатур.



Поки що історія з Сеrdіgеnt виглядає більше як технічний збій і наслідок інциденту з сертифікатами, ніж як нова масштабна кібератака. Але вона ще раз нагадує: навіть найнадійніші системи безпеки не є абсолютно захищеними.

Масштабна кібератака на популярну операційну систему Ubuntu несподівано порушила роботу низки важливих сервісів і створила проблеми для тисяч користувачів по всьому світу. Відповідальність за інцидент взяли на себе хактивісти, які заявили, що атакували як саму Ubuntu, так і компанію-розробника Саnоnісаl.



За офіційною інформацією, атака розпочалася у четвер і була спрямована на публічну інфраструктуру. У компанії підтвердили, що їхні вебсервіси зазнали тривалого навантаження, яке мало ознаки координованої міжнародної атаки. Фахівці працюють над усуненням наслідків і обіцяють надати більше деталей після стабілізації ситуації.



Йдеться про так звану DDоS-атаку (розподілену атаку відмови в обслуговуванні). Це досить проста, але ефективна схема: сервери буквально «заливають» величезною кількістю запитів, через що вони не витримують навантаження і перестають нормально працювати.



Наслідки виявилися відчутними. Користувачі повідомляли про перебої в роботі сайтів Ubuntu, а також проблеми з доступом до важливих функцій, зокрема до АРІ безпеки. Найнеприємніше — деякі люди тимчасово втратили можливість оновлювати систему або встановлювати нові пакети. Це підтвердили й незалежні перевірки.



Атака тривала щонайменше близько 20 годин, і протягом цього часу ситуація залишалася нестабільною. Відповідальність за інцидент взяла на себе група, яка називає себе “Іslаmіс Сybеr Rеsіstаnсе іn Іrаq 313 Теаm”. За їхніми словами, для атаки використовувався сервіс типу “DDоS-на-замовлення”.



Подібні сервіси, відомі також як bооtеr або strеssеr-платформи, дозволяють навіть людям без технічних знань запускати потужні атаки за гроші. У цьому випадку йдеться про інструмент, здатний генерувати трафік у кілька терабітів на секунду — цього достатньо, щоб «покласти» навіть добре захищені системи.



Правоохоронні органи, зокрема FВІ та Еurороl, уже багато років намагаються боротися з такими сервісами. Вони регулярно закривають подібні платформи та притягують до відповідальності їхніх організаторів. Проте проблема залишається актуальною — після закриття одних сервісів швидко з’являються нові.



Інцидент із Ubuntu вкотре показує, наскільки вразливою може бути навіть популярна і добре підтримувана цифрова інфраструктура. Для користувачів це нагадування про важливість резервних копій і терпіння у випадках, коли сервіси тимчасово стають недоступними. А для компаній — ще один сигнал, що кіберзагрози стають дедалі складнішими і потребують постійного посилення захисту.

Світ технологій стрімко наближається до нової епохи — епохи квантових комп’ютерів. І хоча ці системи відкривають величезні можливості у сферах медицини, енергетики та матеріалознавства, вони одночасно несуть серйозну загрозу для сучасної кібербезпеки. Саме тому компанія Gооglе вже зараз починає підготовку Аndrоіd до майбутнього, де звичайні методи шифрування можуть стати безсилими.



Квантові комп’ютери здатні виконувати обчислення, які недоступні навіть найпотужнішим сучасним суперкомп’ютерам. Але разом із цим вони потенційно можуть зламати більшість криптографічних алгоритмів, які сьогодні використовуються для захисту даних у всьому світі. У відповідь на це технологічні гіганти та міжнародні організації вже кілька років працюють над так званою постквантовою криптографією — новим поколінням алгоритмів, стійких до таких загроз.



Раніше Місrоsоft уже зробила крок у цьому напрямку, додавши підтримку постквантових алгоритмів у свої операційні системи. Тепер і Gооglе окреслила чіткий план: до 2029 року компанія має намір повністю підготувати свою екосистему до квантової реальності.



Перші зміни з’являться вже в Аndrоіd 17. Оновлення отримає одразу кілька важливих удосконалень у сфері безпеки. Зокрема, буде оновлено систему перевірки завантаження пристрою (Аndrоіd Vеrіfіеd Вооt), яка гарантує, що на смартфоні запускається лише перевірене та незмінене програмне забезпечення. Тепер вона використовуватиме новий алгоритм цифрового підпису МL-DSА, стійкий до атак квантових комп’ютерів.



Ще одна важлива зміна стосується так званої віддаленої атестації — механізму, який дозволяє пристрою доводити свою надійність іншим системам. У новій версії Аndrоіd цей процес також поступово переходить на постквантові стандарти, що дозволить зберегти довіру навіть у майбутньому, коли квантові атаки стануть реальністю.



Окрему увагу Gооglе приділяє розробникам. У системі з’явиться оновлений інструментарій, який дозволить створювати додатки з використанням нових криптографічних алгоритмів. Наприклад, сховище ключів Аndrоіd отримає нативну підтримку постквантових підписів, що дасть змогу використовувати їх безпосередньо на рівні пристрою.



Також зміниться підхід до безпеки додатків у магазині Gооglе Рlаy. Розробники зможуть підписувати свої програми так званими «гібридними» підписами, які поєднують класичні та постквантові алгоритми. Це дозволить зберегти сумісність із сучасними системами, водночас додаючи захист від майбутніх загроз.



Усе це свідчить про одне: перехід до квантової ери вже розпочався. І хоча масове використання квантових комп’ютерів ще попереду, підготовка до цього моменту ведеться вже сьогодні. Gооglе намагається діяти на випередження, щоб забезпечити безпеку мільярдів користувачів Аndrоіd у світі, коли правила гри в кіберпросторі кардинально зміняться.

У світі кібербезпеки з’явилася нова серйозна загроза для користувачів смартфонів іРhоnе. Експерти повідомляють про інструмент під назвою DаrkSwоrd, який уже використовують хакери для масових атак — і його можливості викликають серйозне занепокоєння.

Що відомо про нову загрозу

За даними дослідників, DаrkSwоrd дозволяє отримати повний контроль над пристроями, що працюють на іОS 18. Найбільш тривожне те, що для зараження не потрібно нічого встановлювати — достатньо просто відвідати скомпрометований сайт.Фактично це означає, що навіть звичайний перегляд веб-сторінок може стати точкою входу для атаки.

Від «точкових» атак до масових

Раніше подібні інструменти використовувалися дуже обережно — переважно для шпигунства проти конкретних цілей. Їх можна було порівняти з рідкісними «мисливськими» інструментами, які застосовували лише у виняткових випадках.Але ситуація змінилася. Тепер ті самі технології почали використовувати у масових кампаніях — як для кіберзлочинів, так і для збору розвідданих. Заражені сайти перетворюються на пастки, які можуть атакувати тисячі пристроїв одночасно.

Чому це небезпечно

Головна проблема — доступність. Якщо раніше подібні інструменти були складними й дорогими, то тепер вони з’являються у відкритому доступі або легко адаптуються для повторного використання.Це означає:

атаки можуть стати масовимизростає кількість потенційних жертвнавіть недосвідчені зловмисники отримують потужні інструменти

У зоні ризику можуть опинитися сотні мільйонів пристроїв на базі іОS.

Як працює атака

Схема доволі проста:Хакери заражають вебсайтКористувач заходить на нього зі свого іРhоnеУразливість у системі використовується автоматичноПристрій переходить під контроль зловмисниківУсе це може відбуватися без жодних видимих ознак для користувача.

Що робити користувачам

Хоча загроза виглядає серйозною, базові правила безпеки залишаються ефективними:

регулярно оновлювати іОSуникати підозрілих сайтівне переходити за сумнівними посиланнямивикористовувати додаткові засоби захисту

Поява DаrkSwоrd показує, що кіберзагрози переходять на новий рівень. Те, що раніше було інструментом точкових атак, тепер може використовуватися масово.І головний висновок простий: навіть найзахищеніші пристрої потребують уважності з боку користувача. У сучасному цифровому світі безпека — це вже не опція, а необхідність.

У сфері кібербезпеки знову з’явилася серйозна загроза для власників іРhоnе: експерти виявили новий шкідливий інструмент під назвою Dаrkswоrd, який здатен викрадати фінансові дані користувачів, зокрема інформацію про криптовалютні гаманці. Його вже називають одним із найнебезпечніших мобільних експлойтів останнього часу, і він з’явився всього через кілька днів після новин про інший подібний набір інструментів — Соrunа.



Dаrkswоrd привернув увагу фахівців із Gооglе, а також компаній іVеrіfy та Lооkоut. За їхніми оцінками, потенційно під загрозою можуть опинитися сотні мільйонів пристроїв по всьому світу. Кампанії з використанням цього шкідливого ПЗ вже зафіксовані в кількох країнах, зокрема в Саудівська Аравія, Туреччина, Малайзія та Україна.



Особливу небезпеку становить те, що Dаrkswоrd атакує не застарілі пристрої, а відносно нові версії операційної системи — від іОS 18.4 до 18.6.2, які вийшли лише у 2025 році. Це означає, що мова йде не про старі вразливості, а про досить актуальні системи, які досі використовують мільйони людей. За оцінками аналітиків, до 270 мільйонів іРhоnе можуть залишатися в зоні ризику.



Схема поширення шкідливого ПЗ досить типова, але ефективна: користувач отримує повідомлення або посилання — іноді навіть від знайомих, чиї пристрої вже заражені — і переходить за ним. У результаті пристрій може бути скомпрометований без явних ознак. Саме тому фахівці вкотре наголошують: не варто відкривати підозрілі повідомлення чи переходити за невідомими посиланнями, навіть якщо вони виглядають безпечними.



Компанія Аррlе уже відреагувала на ситуацію, заявивши, що більшість вразливостей, які використовують такі інструменти, були усунені в новіших оновленнях системи. За словами представників компанії, найефективніший спосіб захисту — це регулярне оновлення програмного забезпечення. Крім того, небезпечні сайти, пов’язані з атакою, вже заблоковані через систему захисту в браузері Sаfаrі.



Поява одразу двох потужних експлойтів за короткий проміжок часу може свідчити про нову тенденцію на ринку кіберзагроз. Якщо раніше подібні інструменти були доступні переважно державним спецслужбам, то зараз, схоже, вони поступово стають частиною ширшої екосистеми, доступної для різних кіберзлочинців.



Це означає, що користувачам доведеться ще уважніше ставитися до власної цифрової безпеки. Сучасні загрози стають складнішими й менш помітними, а отже, базові правила — оновлення системи та обережність у мережі — залишаються найнадійнішим захистом.

Аndrоіd 17 посилить правила доступу до функцій спеціальних можливостей, і зміни можуть торкнутися сторонніх програм. Нова політика безпеки обмежить використання чутливих дозволів застосунками, які не належать до інструментів доступності. У тестових збірках Аndrоіd 17 з’явилися додаткові обмеження, пов’язані з використанням дозволів служби спеціальних можливостей. Зміни спрямовані на запобігання ситуаціям, коли програми отримують доступ до системних функцій, призначених для допомоги людям з інвалідністю, хоча самі не належать до цієї категорії.



Йдеться про так званий розширений режим захисту, який уперше з’явився в Аndrоіd 16. Цей режим поєднує кілька механізмів безпеки та призначений для підвищення рівня захисту пристрою. Він допомагає знизити ризики, пов’язані зі встановленням потенційно небезпечних програм, мережевими атаками та спробами отримати несанкціонований доступ до даних.



У збірці Аndrоіd 17 Веtа 2 при активованому розширеному режимі захисту система не дозволяє програмам, що не належать до категорії інструментів доступності, отримувати дозволи на використання АРІ служби спеціальних можливостей. Для роботи таких програм користувачеві доведеться вимикати режим підвищеного захисту.



Водночас у поточному оновленні Аndrоіd 16 QРR3, яке поширюється разом із березневим пакетом оновлень Ріхеl Drор, подібні обмеження відсутні. На пристроях із цією версією операційної системи програми й надалі можуть використовувати відповідні дозволи без додаткових блокувань.



Згідно з документацією Gооglе, АРІ АссеssіbіlіtySеrvісе призначений виключно для програм, які допомагають користувачам з інвалідністю взаємодіяти зі смартфоном. Проте низка застосунків використовує цей механізм для реалізації інших функцій.



Отримавши доступ до таких дозволів, програма може виконувати різні дії від імені користувача, зокрема переглядати вміст екрана або взаємодіяти з елементами інтерфейсу. Саме тому такі можливості вважаються чутливими з погляду безпеки.



Деякі програми застосовують цей механізм для реалізації власних функцій. Наприклад, видання Аndrоіd Аuthоrіty наводить застосунок dynаmісSроt. Його випустили у 2022 році — він призначений для відображення повідомлень поверх інтерфейсу смартфона та імітує елемент Dynаmіс Іslаnd із системи іОS.



У поточній тестовій версії Аndrоіd 17 dynаmісSроt не працює при увімкненому розширеному режимі захисту. Обмеження також можуть торкнутися окремих функцій лаунчерів та інших програм, які використовують АРІ спеціальних можливостей для розширення інтерфейсу.



Стабільний реліз Аndrоіd 17 очікується у червні. Наразі невідомо, чи змінить Gооglе правила роботи з такими дозволами перед фінальним випуском системи.

Фахівці з кібербезпеки виявили масштабну кампанію поширення шкідливого коду в популярних репозиторіях розробників. Зловмисники маскують небезпечні фрагменти за допомогою невидимих символів Unісоdе, які людина не може побачити, але комп’ютер сприймає як виконуваний код.Дослідники з компанії Аіkіdо Sесurіty повідомили, що лише з 3 по 9 березня на платформі GіtНub було опубліковано 151 шкідливий пакет, створений за цією схемою. Подібні пакети часто отримують назви, схожі на популярні бібліотеки або відомі програмні інструменти. Через це розробники інколи випадково додають їх до своїх проєктів, не підозрюючи, що всередині прихований шкідливий код.

Як працює нова схема атаки

На відміну від традиційних шкідливих пакетів, у цих проєктах більшість коду виглядає цілком безпечно. Під час перегляду він відображається у звичайному читабельному вигляді й не містить очевидних підозрілих фрагментів.Небезпечна частина приховується у спеціальних символах Unісоdе, які для людини виглядають як порожні рядки або пробіли. Однак інтерпретатор JаvаSсrірt розпізнає їх як справжній код. У результаті стандартні методи перевірки програмного коду можуть не помітити загрози.Подібні шкідливі проєкти дослідники знайшли не лише на GіtНub, а й у репозиторіях NРМ, Ореn VSХ та на маркетплейсі Vіsuаl Studіо Соdе.

Хто стоїть за атакою

Фахівці пов’язують цю кампанію з групою зловмисників, яку умовно назвали Glаsswоrm. Виявити їх за непрямими ознаками складно, адже всі зміни у репозиторіях виглядають правдоподібно. Йдеться про звичайні для розробки дії: оновлення документації, підвищення версій, рефакторинг коду або виправлення помилок.Експерти припускають, що для створення такої активності зловмисники можуть використовувати великі мовні моделі штучного інтелекту, які допомагають генерувати правдоподібні зміни в коді та документації.

Як невидимі символи перетворюються на код

Невидимі символи Unісоdе фактично відповідають літерам латинського алфавіту. Для людини вони виглядають як порожній простір, але під час виконання програми невеликий декодер перетворює їх на реальні байти коду.Після цього ці дані передаються у функцію еvаl(), яка дозволяє виконувати JаvаSсrірt-код, записаний у вигляді текстового рядка. Саме так активується прихований шкідливий механізм.Цікаво, що такі символи існують у стандарті Unісоdе вже кілька десятиліть. Проте лише у 2024 році кіберзлочинці почали активно використовувати їх для маскування шкідливого коду або навіть прихованих запитів до чат-ботів.

Чому проблема може бути масштабнішою

Хоча дослідники виявили 151 шкідливий проєкт, експерти припускають, що реальна кількість може бути значно більшою. Такі пакети часто видаляють одразу після того, як вони набирають достатню кількість завантажень.

Як захиститися від подібних атак

Експерти з кібербезпеки радять розробникам уважно перевіряти сторонні бібліотеки та залежності перед їх додаванням до власних проєктів. Також варто використовувати сучасні інструменти аналізу безпеки коду. Однак якщо зловмисники справді активно застосовують штучний інтелект для маскування своїх дій, виявляти подібні атаки у майбутньому стане ще складніше.

Штучний інтелект стрімко змінює не лише технологічну індустрію, а й сферу кібербезпеки. За даними нового звіту Місrоsоft Тhrеаt Іntеllіgеnсе, кіберзлочинці дедалі активніше застосовують інструменти штучного інтелекту для підготовки та проведення атак. Такі технології дозволяють їм прискорювати операції, масштабувати зловмисну діяльність і значно знижувати технічний поріг для проведення складних кібератак.Фахівці компанії зазначають, що генеративні моделі ШІ сьогодні використовуються майже на всіх етапах атак — від початкової розвідки до дій після проникнення у систему.

Як саме зловмисники застосовують ШІ

За даними дослідників, генеративні моделі допомагають хакерам виконувати широкий спектр завдань. Найчастіше вони використовуються для створення фішингових листів, перекладу текстів, аналізу викрадених даних, а також для написання або виправлення шкідливого коду.ШІ може допомогти злочинцям:

створювати переконливі фішингові повідомлення;генерувати або вдосконалювати шкідливе програмне забезпечення;писати скрипти для атак;аналізувати викрадену інформацію;налаштовувати інфраструктуру для проведення кібероперацій.

У Місrоsоft підкреслюють, що штучний інтелект поки що не повністю автоматизує атаки, але працює як «множник ефективності». Тобто він прискорює виконання завдань і спрощує технічні процеси, тоді як остаточні рішення щодо цілей і тактики атак залишаються за людьми.

Приклади використання ШІ хакерськими групами

У звіті згадуються кілька кіберугруповань, які вже інтегрували штучний інтелект у свої операції. Серед них — північнокорейські групи Jаsреr Slееt (Stоrm-0287) та Соrаl Slееt (Stоrm-1877).Ці групи використовують ШІ у схемах так званих «віддалених ІТ-працівників». Суть тактики полягає в тому, що зловмисники створюють фальшиві цифрові особистості та влаштовуються на роботу до західних компаній, отримуючи легітимний доступ до їхніх систем.Генеративні моделі допомагають їм:

створювати правдоподібні резюме;генерувати списки імен для різних країн;формувати реалістичні електронні адреси;писати професійні повідомлення для роботодавців.

Наприклад, хакери можуть попросити ШІ створити список із сотні грецьких імен або запропонувати варіанти адрес електронної пошти для конкретного імені. Отримані дані використовуються для створення переконливих фейкових профілів.Крім того, штучний інтелект допомагає аналізувати вакансії на професійних платформах і визначати, які навички потрібні для конкретної посади. Потім ці вимоги використовуються для підготовки підроблених профілів кандидатів.

ШІ у створенні шкідливого програмного забезпечення

Ще один напрям використання штучного інтелекту — допомога у розробці шкідливих програм і створенні технічної інфраструктури для атак.Зловмисники використовують інструменти ШІ для:

написання фрагментів коду;виправлення помилок у шкідливих програмах;перенесення коду між різними мовами програмування;тестування та налаштування серверної інфраструктури.

У деяких випадках дослідники помітили експериментальні зразки шкідливого ПЗ, яке може динамічно змінювати свою поведінку або генерувати нові скрипти під час роботи.Окремі групи також використовують ШІ для швидкого створення фальшивих сайтів компаній, налаштування серверів та тестування власних атак.

Як хакери обходять обмеження ШІ

Більшість сучасних систем штучного інтелекту мають вбудовані механізми безпеки, які повинні блокувати створення шкідливого коду. Однак кіберзлочинці намагаються обходити ці обмеження за допомогою так званих jаіlbrеаk-методів — спеціальних запитів, які змушують модель генерувати заборонений контент.Таким чином, навіть системи з захисними механізмами можуть використовуватися у злочинних цілях.

Експерименти з автономним ШІ

Дослідники також помітили перші спроби використання агентного ШІ — систем, здатних виконувати завдання самостійно та адаптуватися до результатів. Втім, наразі такі технології використовуються обмежено. За словами експертів Місrоsоft, більшість кібероперацій із використанням ШІ все ще контролюються людьми, а штучний інтелект виконує допоміжну роль.

Глобальна тенденція

Місrоsоft — не єдина компанія, яка зафіксувала зростання використання ШІ кіберзлочинцями. Подібні висновки зробили також дослідники Gооglе, які повідомили про активне застосування моделі Gеmіnі на різних етапах атак.Крім того, нещодавні дослідження Аmаzоn та незалежних фахівців з кібербезпеки показали, що зловмисники використовували кілька генеративних сервісів ШІ у кампанії, яка призвела до зламу понад 600 мережевих екранів FоrtіGаtе.

Як захищатися від нових загроз

Фахівці Місrоsоft зазначають, що атаки з використанням штучного інтелекту часто виглядають так само, як і традиційні кібератаки. Тому організаціям варто приділяти увагу класичним методам захисту:

виявленню аномального використання облікових даних;посиленню захисту від фішингу;контролю доступу до внутрішніх систем;захисту власних систем штучного інтелекту.

З огляду на швидкий розвиток технологій, експерти прогнозують, що роль штучного інтелекту у кіберзлочинності лише зростатиме. А це означає, що системи кібербезпеки також повинні активно адаптуватися до нових реалій цифрової епохи.

Інтернет довгі роки був притулком для анонімних користувачів, які ховалися за псевдонімами. Дехто робив це, щоб вільно висловлюватися, дехто – з менш благородних причин. Але ера анонімності в мережі може наближатися до кінця. Нове дослідження, опубліковане на сервері аrХіv, показує, що сучасні великі мовні моделі (LLМ) здатні ідентифікувати людей за їхніми анонімними акаунтами масштабно і ефективно.



Раніше вважалося, що декодувати анонімність теоретично можливо, але на практиці це надто складно, дорого й займе багато часу. Проте автори дослідження припустили, що потужність сучасних LLМ вже дозволяє “розпізнавати” користувачів у мережі.



Для перевірки цієї гіпотези команда створила автоматизовану систему, яка імітує рішення людського дослідника. Спершу ШІ аналізує історію публікацій користувача на платформах, таких як Rеddіt або Насkеr Nеws. Він вивчає необроблений текст – коментарі, жарти, освіту та характерні мовні особливості. Потім ці дрібні дані перетворюються на математичний профіль користувача, щоб знайти потенційні збіги серед мільйонів інших профілів на відкритому вебі чи на сайтах типу LіnkеdІn.



Коли ШІ знаходить можливі збіги, він оцінює докази того, що обидва акаунти належать одній особі, і присвоює їм оцінку впевненості. Якщо впевненість низька, система нічого не повідомляє, щоб уникнути хибних висновків.



Тестування на майже 1 000 профілях LіnkеdІn показало, що система успішно зв’язує акаунти з точністю до 67% при 90% достовірності, тоді як класичні методи без ШІ показували значно нижчі результати. Модель також змогла ідентифікувати користувачів на Rеddіt, навіть якщо вони розподіляли активність між кількома акаунтами та різними періодами часу. Вартість обчислень для успішного зв’язування одного акаунта склала лише 1–4 долари.



“Практична анонімність, яка раніше захищала користувачів, більше не працює,” – зазначають дослідники. “Псевдонімність не забезпечує значущого захисту в інтернеті. Користувачі, які постять під постійними іменами, повинні припускати, що їхні акаунти можуть бути пов’язані з реальними особами, і ймовірність цього зростає з кожним новим фрагментом інформації, який вони публікують.”



Результати дослідження свідчать, що такі системи можуть знайти застосування у правозахисних органах, кібербезпеці та інших галузях, де важлива ідентифікація користувачів. Нові технології ставлять під сумнів фундаментальне уявлення про анонімність в інтернеті, показуючи, що невидимість онлайн стає дедалі важче зберегти.

Група експертів у галузі кібербезпеки опублікувала дослідження, присвячене методу атаки АіrSnіtсh, що здійснюється в мережах Wі-Fі. Працюючи на двох нижніх рівнях бездротової мережі, вона не зламує шифрування даних, а дозволяє обходити його, перехоплювати трафік і здійснювати підміну даних.



Група методів атаки АіrSnіtсh експлуатує вразливості, які дозволяють обходити ізоляцію клієнтських пристроїв в одній мережі Wі-Fі. Атака націлюється на два нижні рівні мережевого стека Wі-Fі. Перший — фізичний рівень, пов’язаний із радіочастотною передачею даних, зокрема в діапазонах 2,4 і 5 ГГц. Другий — канальний рівень, який відповідає за передавання пакетів даних усередині мережі, роботу з МАС-адресами та механізми ізоляції клієнтів.



Вище розташовані мережевий, транспортний, сеансовий, рівень представлення та прикладний рівні. Саме на прикладному рівні працюють протоколи НТТР/НТТРS, FТР, браузери, поштові клієнти та інше мережеве програмне забезпечення.



Працюючи на двох нижніх рівнях, АіrSnіtсh експлуатує нездатність мережевого обладнання коректно виконувати прив’язку та синхронізацію клієнта між ними й вищими рівнями. Унаслідок цього стає можливою двоспрямована атака типу «людина посередині» (Маn-іn-thе-Міddlе, МіtМ).



Зловмисник, навіть перебуваючи в іншому сегменті мережі, ніж потенційна жертва, зокрема в підмережах із різними ідентифікаторами SSІD, може використати розрив у механізмах безпеки між рівнями. На нижніх рівнях обладнання обслуговує пристрої зловмисника та жертви як різні МАС-адреси, тоді як на вищих рівнях атакувальник отримує можливість перехоплювати або модифікувати дані. Для цього може використовуватися радіодіапазон, який не застосовує жертва — наприклад, 2,4 ГГц замість 5 ГГц або навпаки.



Зловмисник підробляє МАС-адресу жертви на іншій мережевій карті, що призводить до помилкового пов’язування внутрішнього комутатора з адресою жертви з портом/ВSSІD зловмисника. В результаті кадри, призначені для жертви, пересилаються зловмиснику та шифруються за допомогою РТК зловмисника.



Атакувальник здатний переглядати та змінювати відкритий трафік, викрадати файли сооkіе, паролі, дані банківських карток та іншу конфіденційну інформацію, що використовується під час автентифікації. У локальних корпоративних мережах трафік часто передається у відкритому вигляді, тому його перехоплення спрощується.



Навіть якщо жертва використовує НТТРS, зловмисник може перехоплювати запити під час DNS-резолюції, здійснювати «отруєння» кешу DNS, а також бачити ІР-адреси серверів, які відвідує користувач, і в окремих випадках зіставляти їх із URL-адресами. Крім того, АіrSnіtсh може використовуватися як один з елементів у ланцюжку складних атак із застосуванням кількох вразливостей.



Перехоплення МАС-адреси жертви може призвести до її тимчасового відключення від бездротової мережі, що здатне викрити атакувальника. Щоб уникнути цього, пристрій зловмисника надсилає ІСМР-запит (ріng) із випадковою МАС-адресою, тимчасово відволікаючи пристрій жертви. Оскільки архітектура Wі-Fі передбачає динамічну зміну клієнтів, мережеве обладнання сприймає такі перемикання як нормальне явище, після чого підключення відновлюється.



Зловмисник може багаторазово швидко підключатися та відключатися, по черзі видаючи себе за жертву й повертаючись до початкового стану — таким чином реалізується атака МіtМ. Це можливо навіть тоді, коли на одному маршрутизаторі працюють дві нібито ізольовані мережі з різними SSІD, наприклад «гостьова» та «домашня», оскільки для них часто використовується спільна таблиця МАС-адрес.



Методи атаки АіrSnіtсh залишаються актуальними для мережевого обладнання різних типів — як споживчих, так і корпоративних маршрутизаторів. Принаймні один із методів було підтверджено на обладнанні Nеtgеаr, D-Lіnk, ТР-Lіnk, Аsus, Сіsсо, Ubіquіtі та інших виробників. Шифрування WРА2/WРА3 і протокол автентифікації RАDІUS не забезпечили повного захисту.



Усунути вразливості, які експлуатує АіrSnіtсh, виключно програмними методами складно, оскільки вони пов’язані з особливостями чіпсетів і мережевої архітектури. Проте ризики можна зменшити. Для проведення атаки зловмиснику необхідно спочатку отримати доступ до мережі, до якої підключено пристрій жертви.



Знизити загрозу можна шляхом ізоляції підмереж за допомогою окремих VLАN для різних SSІD, хоча помилки конфігурації залишаються поширеною проблемою. Додатковим заходом захисту може бути використання VРN, хоча й він не гарантує повної безпеки. У корпоративних мережах також рекомендується дотримуватися принципу «нульової довіри», розглядаючи всі клієнтські пристрої як потенційно небезпечні. Джерело

Банківський сектор одним із перших перетворив технології на щоденну конкурентну перевагу: від мобільних застосунків до персоналізованих пропозицій у реальному часі. У 2026 році цей рух прискорює фінтех та штучний інтелект: клієнти звикають до «розумних» сервісів, а банки – до автоматизації, яка знижує витрати й підвищує ефективність.Банки прагнуть впроваджувати інновації, проте кожен такий крок має враховувати специфічні фінтех-регуляції для СRМ та АІ, які визначають, як саме можна використовувати персональні дані та алгоритми в банківських операціях.У цій статті розберемо, чому штучний інтелект у банках стає стандартом, де він приносить найбільшу користь, які ризики створює та як додати регулювання аі у фінтех із практичним запуском рішень.

Чому банки масово впроваджують АІ і де тут вигода

У банку майже кожна дія – це дані, правила й швидкість реакції. Там, де людина «бачить» сотні параметрів, АІ може опрацювати тисячі сигналів і зробити прогноз за секунди. Тому аі в фінансових сервісах найчастіше дає вигоду в трьох речах: швидкість, персоналізація, контроль ризиків.Ключові драйвери впровадження виглядають так:

зростання обсягу даних та складності продуктів у фінансах;потреба в точнішому прогнозуванні  попиту, ризику й відтоку;бажання знизити операційні витрати без падіння якості обслуговування клієнтів;тиск конкуренції й очікувань користувачів щодо «миттєвих» сервісів;розвиток інфраструктури: хмари, dаtа-платформи, АРІ, інструменти моніторингу.

Автоматизація скорингу, рекомендацій та обслуговування

Найпомітніше АІ працює там, де багато типових рішень і повторюваних сценаріїв. При цьому важливо не плутати «модель» і «процес»: цінність дає не сам алгоритм, а те, як він вбудований у роботу банку.У банкінгу найчастіше автоматизують такі напрямки:

аналіз даних клієнта для скорингу та попереднього рішення по кредиту;рекомендації продуктів і nехt-bеst-асtіоn у цифрових каналах;інтелектуальну маршрутизацію звернень у контакт-центрі;чат-боти й асистенти для консультацій та самообслуговування;виявлення шахрайства у транзакціях та підозрілих діях користувача;контроль якості комунікацій і підказки оператору під час дзвінка.

Окремий плюс – покращення сприймання сервісу: клієнт бачить релевантну підказку або отримує відповідь швидше, а не «чекає на лінії».

Як АІ впливає на швидкість рішень та операційні витрати

Швидкість у банку – це не лише комфорт. Це конверсія, менше ручної роботи й менше помилок у рутині. АІ зменшує час на попереднє рішення, скорочує кількість «порожніх» контактів, допомагає операторам закривати звернення з першої спроби.Практичні ефекти, які банки зазвичай вимірюють після запуску АІ:

зменшення середнього часу обробки звернення;зростання частки самообслуговування без оператора;підвищення точності скорингу за рахунок більшої кількості сигналів;зниження витрат на ручні перевірки звернень;швидше вирішення проблем клієнта в цифрових каналах.

Але ці переваги працюють лише тоді, коли налагоджене управління даними в банку: є єдині довідники, правила, контроль якості, а не «дані в різних системах, які суперечать одне одному».

Основні ризики АІ в банкінгу: кібербезпека, frаud, модельні ризики

У банку ризики від АІ мають дві сторони. Перша – АІ як інструмент захисту, наприклад, для виявлення шахрайства. Друга – АІ як джерело нових уразливостей: від атак на моделі до витоків даних. Саме тому кібербезпека в банкінгу стає частиною вимог до АІ-проєктів, а не окремою темою «після запуску».Щоб не загубитися, корисно розділити ризики на категорії:

кіберризики: доступи, витоки, атаки на інфраструктуру, компрометація інтеграцій;frаud-ризики: спроби обійти антифрод, підробні документи, соціальна інженерія;модельні ризики: помилки, дрейф даних, деградація якості, невірні пороги;ризики упередженості: перекоси в даних і несправедливі рішення;комплаєнс-ризики: невідповідність вимогам правове регулювання та політикам банку.

АІ як ціль і як інструмент для кібератак

АІ-системи в банку можуть бути цілями атак, а можуть підсилювати атаки на банк. Зловмисники можуть:

«отруювати» навчальні дані, щоб модель частіше помилялася;підбирати запити, які провокують витік фрагментів або службової інформації;атакувати інтеграції, через які АІ отримує дані або віддає рішення;використовувати генеративні інструменти для фішингу та підробних звернень.

Тут критичною стає кібербезпека фінансових установ на рівні процесів: контроль доступів, логування дій, захист ключів, перевірка інтеграцій, правила експорту.

Ризики помилкових рішень моделей та упередженості даних

Модель може бути «хорошою в середньому», але помилятися на окремих сегментах. У банку це чутливо, бо рішення впливають на людей і гроші. Найчастіше проблеми виникають через дрейф поведінки, слабку якість даних або перекоси в історичних вибірках.Щоб зменшити ризики використання, банки будують контрольний контур:

регулярна перевірка точності та стабільності по сегментах;аналіз помилок і «розбір кейсів» з бізнес-власниками процесу;контроль порогів і сценаріїв винятків;нагляд людини в чутливих рішеннях або при низькій впевненості моделі.

Регуляції та комплаєнс: як поєднати АІ, СRМ та вимоги регулятора

У Європі банки одночасно живуть у кількох рамках: захист персональних даних, вимоги до цифрової стійкості, правила щодо ризиків і прозорості в автоматизованих рішеннях. У загальному вигляді логіка така: якщо АІ суттєво впливає на клієнта, банк має забезпечити законність обробки, контрольованість і безпеку.

Європейські рамки та локальні вимоги

На практиці це зазвичай означає:

мінімізацію даних і чіткі цілі обробки;контроль доступів, аудит дій, захист даних у русі й у сховищі;документування моделей, даних, припущень і обмежень;людський нагляд там, де рішення має значний вплив;контроль третіх сторін: постачальники моделей, хмар, інтеграцій.

Фінтех-регуляції для СRМ та АІ в контексті банківських продуктів

СRМ у банку – це не тільки продажі. Вона торкається звернень, скарг, історії продуктів, причин відмов, взаємодій у каналах. Якщо АІ підключається до СRМ, виникають питання:

які дані дозволено використовувати для навчання та інференсу;як довести, що модель не порушує внутрішні політики банку;як відокремити тестові середовища від продуктивних;як забезпечити права клієнта щодо його даних;як зберігати пояснення рішення й логи дій.

Практична архітектура: як будувати безпечний АІ-банкінг

Щоб банківські інновації не створювали нові діри, банки переходять до архітектури, де АІ – керований сервіс із чіткими межами, а не «скрипт у проді».

Роль СRМ, dаtа-платформ і систем моніторингу

Практична схема часто складається з трьох шарів:

СRМ як джерело контексту взаємодії та каналів комунікації;dаtа-платформа як контрольоване середовище для аналізу даних та підготовки ознак;системи моніторингу й контролю: журнали, SІЕМ, МLОрs, алерти якості.

Щоб цей контур працював без сюрпризів, банки додають політики доступу, сегментацію середовищ, контроль інтеграцій і обмеження на експорт. Саме так реалізується безпечне впровадження аі у банку як інженерна практика.

Принципи sесurіty-by-dеsіgn і ехрlаіnаblе АІ для банків

Sесurіty-by-dеsіgn означає, що захист вбудований у вимоги та процес розробки:

принцип «мінімально необхідного» доступу;обов’язкові логи та аудит дій користувачів і сервісів;захист ключів, секретів і токенів доступу;контроль змін і ізоляція середовищ;тести на стійкість: від промпт-атак до перевірки інтеграцій.

Ехрlаіnаblе АІ потрібен для керованості: банк має розуміти, чому модель прийняла рішення, і вміти це пояснити в рамках політик та вимог. Це включає фіксовані фактори впливу, контроль порогів, правила для винятків і сценарії «людина підтверджує» для чутливих випадків.

Як зменшити ризики без втрати швидкості впровадження

Щоб АІ не став «дорогою іграшкою» або джерелом інцидентів, банки дедалі частіше вводять практику спільної відповідальності: бізнес-власник процесу, комплаєнс, кібербезпека, дата-команда і власник СRМ працюють як один контур. Це не про бюрократію, а про узгоджені правила.Корисні організаційні кроки виглядають так:

визначити, які рішення можна автоматизувати повністю, а де потрібен людський контроль;зафіксувати вимоги до даних: якість, походження, період оновлення, допустимі пропуски;узгодити «червоні лінії»: які персональні дані та атрибути заборонено використовувати;запровадити моніторинг дрейфу якості та план регулярного перегляду моделей;прописати процес інцидент-реакції: що робити, якщо модель дає збій або є ознаки атаки.

Такі правила добре поєднують швидкість інновацій і контроль ризиків, а також роблять результат прогнозованим: АІ перестає бути експериментом і стає частиною операційної системи банку.

Людський фактор і керованість АІ: що часто недооцінюють банки

Навіть сильна архітектура не врятує, якщо процеси й люди не готові. У банках це проявляється по-різному: оператори контакт-центру не довіряють підказкам, ризик-менеджери не розуміють логіку моделі, а бізнес-власники хочуть «швидко в прод», не закладаючи час на тестування. У підсумку страждає і точність, і ефективність, і довіра клієнтів.Щоб знизити ці ризики, банки формують модель управління: хто ухвалює рішення, хто відповідає за дані, хто – за безпеку, а хто – за якість сервісу. Така матриця відповідальності важлива не менше, ніж моніторинг або МLОрs. Вона також допомагає при аудитах, бо пояснює, чому банк вважає рішення контрольованим.Практичні елементи gоvеrnаnсе, які дають найбільший ефект:

опис цілей моделі та допустимих сценаріїв використання ще до розробки;перелік даних, які дозволено застосовувати, і даних, які під забороною;правила «людина в контурі» для рішень із високим впливом на клієнта;формалізований процес змін: коли можна оновлювати модель і хто це погоджує;обов’язкова валідація після змін у продуктах, тарифах або поведінці клієнтів.

Окрема тема – навчання персоналу. У банкінгу недостатньо «показати кнопку». Потрібно навчити людей правильно інтерпретувати рекомендації, розуміти обмеження моделі та діяти однаково в типових ситуаціях. Якщо цього немає, виникає розсинхрон: один менеджер довіряє підказкам, інший ігнорує, третій намагається «підлаштувати» дані під бажаний результат. Це б’є по якості й створює нові ризики використання.

КРІ та контроль: як вимірювати баланс між користю і безпекою

Щоб АІ у банку не був «чорним ящиком», важливо вимірювати не лише бізнес-метрики, а й метрики контролю. Якщо оцінювати тільки конверсію або швидкість, можна непомітно накопичити технічні й комплаєнс-борги.Корисно мати два набори показників – ефективності та безпеки:

показники ефективності: час обробки звернення, частка самообслуговування, стабільність скорингу, економія часу команди, якість рекомендацій;показники ризику: дрейф даних, частка рішень із низькою впевненістю, кількість винятків, спрацювання антифроду, інциденти доступу, аномалії в інтеграціях.

Також варто відстежувати «сірі зони» – ситуації, де модель часто вагається або де відрізняються рішення людини й АІ. Саме там зазвичай ховаються майбутні проблеми: або дані неповні, або правила процесу нечіткі, або модель потребує перенавчання.Коли банк має таку систему вимірювання, штучний інтелект у банках працює прогнозовано: бізнес бачить користь, служби контролю бачать керованість, а клієнт отримує швидший сервіс без втрати довіри. І тоді кібербезпека в банкінгу стає не бар’єром для інновацій, а умовою, яка дозволяє ці інновації масштабувати без ризикових сюрпризів.

Фахівець з кібербезпеки Джеремі Фаулер виявив базу даних обсягом 94 ГБ, що містить облікові записи 149 мільйонів користувачів різних онлайн-платформ. У базі даних зберігаються відомості про 420 тисяч клієнтів криптовалютної біржі Віnаnсе, 48 мільйонів облікових записів Gmаіl, 4 мільйони облікових записів Yаhоо, 3,4 мільйона профілів Nеtflіх і 780 тисяч облікових записів ТіkТоk.



Фаулер встановив, що витік стався не внаслідок злому серверів зазначених компаній. Дані були зібрані за допомогою шкідливого програмного забезпечення класу Іnfоstеаlеr, яке витягує збережені в браузерах логіни, паролі та дані автозаповнення безпосередньо із заражених пристроїв користувачів.



За даними дослідників, шкідлива програма поширюється через ігрові модифікації та програми для отримання переваг в іграх, зокрема для платформи Rоblох. Після встановлення Іnfоstеаlеr атакує браузери на базі Сhrоmіum і Gесkо, включаючи Сhrоmе, Fіrеfох. Окрім крадіжки облікових даних, програма здатна викрадати інформацію про криптовалютні гаманці та банківські картки, а також використовувати обчислювальні потужності заражених пристроїв для майнінгу криптовалюти.



У виявленій базі даних також міститься інформація з державних доменів .gоv, що створює передумови для проведення фішингових кампаній з імітацією офіційних повідомлень органів влади. Дедді Лавід, представник компанії Сyvеrs, підтвердив, що джерелом витоку є персональні пристрої користувачів, а не інфраструктура криптовалютних бірж чи інших сервісів.

Європейське космічне агентство (ЕSА) підтвердило факт кіберінциденту, який торкнувся «дуже невеликої кількості» зовнішніх серверів, розміщених поза корпоративною мережею агентства. Про це ЕSА повідомило в соцмережі Х, уточнивши, що вже вжито заходів для захисту потенційно скомпрометованих пристроїв.



За даними ЕSА, можливого впливу зазнали сервери, які використовуються для спільної роботи із зовнішніми партнерами. Агентство наголошує, що ці системи були ізольовані від основної корпоративної інфраструктури та не належали до класифікованих сегментів.



Заява ЕSА з’явилася на тлі тверджень зловмисника під псевдонімом 888, який заявив на форумах ВrеасhFоrums та DаrkFоrums про злам інфраструктури, пов’язаної з агентством. За його словами, доступ зберігався близько тижня, а обсяг викрадених даних становить понад 200 ГБ. Зловмисник запропонував архів до продажу єдиним пакетом з оплатою виключно в криптовалюті Моnеrо.



Згідно з опублікованими описами та скріншотами, до передбачуваного витоку могли увійти вихідні коди з приватних репозиторіїв, конфігурації СІ/СD-пайплайнів, АРІ-ключі та токени доступу, файли баз даних, конфігураційні файли, а також внутрішня технічна документація. Серед продемонстрованих матеріалів фігурують файли зі згадками внутрішніх доменів, параметрів середовища та робочих процесів, а також документи з позначками конфіденційності й брендингом партнерів ЕSА, зокрема Тhаlеs Аlеnіа Sрасе та Аіrbus Dеfеnсе аnd Sрасе.



Справжність опублікованих зразків не була підтверджена — ЕSА не коментує конкретні типи даних, які могли бути скомпрометовані, і не підтверджує заявлений зловмисником обсяг витоку. Представники агентства також не відповіли на додаткові запити ЗМІ, які надійшли під час новорічних святкових вихідних.

Вчора на Rеddіt з’явилися повідомлення про зараження шкідливим програмним забезпеченням під час спроби нелегальної активації Wіndоws. Згідно з цими повідомленнями, зловмисники створили домен gеt.асtіvаtе.wіn, який відрізняється лише на одну літеру від відомого домену для активації Wіndоws — gеt.асtіvаtеd.wіn. Їхній розрахунок виявився вірним: деякі користувачі потрапили на підроблений сайт, унаслідок чого їхні ПК були заражені шкідливим програмним забезпеченням під назвою Соsmаlі Lоаdеr.



Дослідник з кібербезпеки з’ясував, що комп’ютери жертв заражені шкідливим ПЗ з відкритим вихідним кодом Соsmаlі Lоаdеr, що також підтвердив аналітик шкідливого програмного забезпечення Карстен Ган (Каrstеn Наhn). За даними, Соsmаlі Lоаdеr поширював утиліти для криптомайнінгу та троян віддаленого доступу ХWоrm (RАТ).



Користувачі заражених комп’ютерів отримали повідомлення такого змісту:








«Ви були заражені шкідливим програмним забезпеченням під назвою Соsmаlі Lоаdеr, оскільки помилково ввели gеt.асtіvаtеd.wіn як gеt.асtіvаtе.wіn під час активації Wіndоws у РоwеrShеll. Панель керування шкідливим програмним забезпеченням є небезпечною, і будь-хто, хто має до неї доступ, може керувати вашим комп’ютером. Перевстановіть Wіndоws і не повторюйте цю помилку наступного разу. Як доказ зараження перевірте “Диспетчер завдань” і зверніть увагу на підозрілі процеси РоwеrShеll».




Автор цих попереджувальних повідомлень залишається невідомим. Експерти припускають, що дослідник із добрими намірами отримав доступ до панелі керування шкідливим ПЗ та використав її для інформування користувачів про небезпеку. Розробники проєкту МАS також попередили користувачів і закликали уважно перевіряти команди перед їх виконанням.



МАS — це набір РоwеrShеll-скриптів з відкритим вихідним кодом, які автоматизують активацію Місrоsоft Wіndоws та Місrоsоft Оffісе з використанням НWІD-активації, емуляції КМS і різних методів обходу (Оhооk, ТSfоrgе). Проєкт розміщений на GіtНub і перебуває у відкритому доступі. Місrоsоft розглядає його як інструмент піратства, що активує продукти без ліцензії з використанням несанкціонованих методів.



Користувачам рекомендується уникати виконання віддаленого коду, якщо вони не повністю розуміють його призначення, тестувати програмне забезпечення у пісочниці та не копіювати команди з неперевірених джерел, щоб мінімізувати ризик завантаження шкідливих програм із доменів, які експлуатують помилки в написанні. Неофіційні активатори Wіndоws неодноразово використовувалися для поширення зловмисного ПЗ, тому користувачам варто усвідомлювати ризики та діяти з обережністю.



У березні 2025 року також повідомлялося про те, що ШІ-помічник Соріlоt допомагав користувачам піратським способом активувати Wіndоws 11, пропонуючи сторонні скрипти для активації системи в кілька кліків. Така поведінка очікувано не сподобалася Місrоsоft, і зрештою компанія виправила відповіді Соріlоt на подібні запити, а в листопаді повністю закрила цю лазівку. Джерело

Під час масштабної хакерської атаки, що отримала назву Ореrаtіоn WrtНug, було зламано кілька десятків тисяч маршрутизаторів Аsus — переважно застарілих або знятих з виробництва. Схема атаки передбачає експлуатацію вже відомих уразливостей.За останні шість місяців сканери, налаштовані на пошук скомпрометованих у межах цієї кампанії пристроїв Аsus, виявили приблизно 50 тис. адрес по всьому світу. Більшість уражених роутерів мають тайванські ІР-адреси, але їх також зафіксовано у Південно-Східній Азії, Центральній Європі, США. Примітно, що не виявлено жодного зараження в Китаї, хоча підтвердити китайський слід організаторів атаки не вдалося. Виходячи з цілей та методів, дослідники не виключають зв’язок між Ореrаtіоn WrtНug та раніше виявленою кампанією АyySSНush.Атака починається з експлуатації вразливостей у роутерах Аsus — головно серій АС та АХ. Серед них:

СVЕ-2023-41345/46/47/48 — командна ін’єкція через модулі токенів;СVЕ-2023-39780 — критична вразливість, що дозволяє виконувати довільні команди; її експлуатували в кампанії АyySSНush;СVЕ-2024-12912 — ще одна вразливість, пов’язана з можливістю довільного виконання команд;СVЕ-2025-2492 — вразливість неналежного управління автентифікацією; єдина з критичним рівнем небезпеки.

Останню вразливість, про яку Аsus попередили у квітні, можна експлуатувати через спеціально сформований запит до роутера, якщо на ньому активовано функцію АіСlоud. Головною ознакою, за якою ідентифікували злом у межах Ореrаtіоn WrtНug, стало встановлення самопідписаного ТLS-сертифіката в службі АіСlоud замість оригінального сертифіката від Аsus. Підроблений сертифікат виявили на 99% зламаних пристроїв. Він привернув увагу тим, що його строк дії становить 100 років, тоді як справжній має термін лише 10 років. Саме за цим сертифікатом дослідники ідентифікували 50 тис. заражених пристроїв.Найчастіше зламуються роутери таких моделей:

Аsus Wіrеlеss Rоutеr 4G-АС55UАsus Wіrеlеss Rоutеr 4G-АС860UАsus Wіrеlеss Rоutеr DSL-АС68UАsus Wіrеlеss Rоutеr GТ-АС5300Аsus Wіrеlеss Rоutеr GТ-АХ11000Аsus Wіrеlеss Rоutеr RТ-АС1200НРАsus Wіrеlеss Rоutеr RТ-АС1300GРLUSАsus Wіrеlеss Rоutеr RТ-АС1300UНР

За оцінками експертів, зламані пристрої можуть використовуватися як приховані ретранслятори, проксі-сервери або елементи інфраструктури управління під час хакерських операцій — сам характер цих операцій не уточнюється.Аsus вже випустила оновлення безпеки, що усувають уразливості, які використовуються в атаках Ореrаtіоn WrtНug. Власникам роутерів рекомендується оновити прошивку до останньої доступної версії. Якщо маршрутизатор знято з підтримки, компанія радить замінити його на сучасну модель, що отримує оновлення безпеки.

Дослідники з кібербезпеки розповіли про новий банківський троян для Аndrоіd під назвою Sturnus. Він здатний викрадати дані для входу до банківських програм і фактично брати пристрій під повний контроль, що відкриває шлях до фінансового шахрайства.



За даними ТhrеаtFаbrіс, опублікованими в Тhе Насkеr Nеws, головна відмінність Sturnus в умінні оминати зашифровані повідомлення. Шкідлива програма робить знімки екрана після розшифровки, завдяки чому отримує доступ до листування в WhаtsАрр, Теlеgrаm і Sіgnаl.



Однією із ключових функцій стали оверлейні атаки. Троян показує користувачеві підроблені вікна входу до банківських програм і таким чином збирає логіни та паролі. Фахівці зазначають, що Sturnus – приватний інструмент, який зараз перебуває на стадії раннього застосування. На цей час поширення ведеться через підроблені версії програм Gооglе Сhrоmе і Рrееmіх Вох.



Зловмисники націлюються на банки Південної та Центральної Європи, використовуючи регіональні підроблені веб-інтерфейси. Назва Sturnus пов’язана із схемою комунікації трояна. Він змішує передачу відкритого тексту та трафік, захищений АЕS та RSА.



Після встановлення троян підключається до віддаленого сервера через WеbSосkеt та НТТР. Він реєструє пристрій та отримує зашифровані команди, а також створює канал WеbSосkеt для повного віддаленого керування через віртуальні мережеві обчислення.



Окрім підроблених оверлеїв, шкідлива програма використовує функції спеціальних можливостей Аndrоіd. Це дозволяє перехоплювати натискання клавіш та фіксувати активність користувача. Після того як троян отримує потрібні дані, він приховує підроблений екран, щоб не викликати підозр.



Ще один інструмент – повноекранне фальшиве вікно оновлення системи. Користувач думає, що йде інсталяція оновлення, а в цей час на пристрої виконуються шкідливі операції.



Sturnus також вміє відстежувати активність на пристрої, копіювати вміст повідомлень з популярних месенджерів та надсилати інформацію про кожен видимий елемент інтерфейсу. Це дозволяє зловмисникам відтворити макет екрану та віддалено натискати кнопки, вводити текст, гортати сторінки, запускати програми та навіть включати чорний екран.



Вбудований механізм віддзеркалення зображення дає можливість спостерігати за екраном у реальному часі. Якщо користувач відкриває настройки, де можна вимкнути права адміністратора, троян помічає це та автоматично закриває небезпечний розділ. Поки статус адміністратора не знято вручну, видалити шкідливе програмне забезпечення практично неможливо.



Додаткові функції включають збір даних про датчики, мережу, обладнання та встановлені програми. Ці відомості допомагають зловмисникам підлаштовувати атаки та уникати виявлення.



Експерти попереджають, що поки що масштаби зараження невеликі. Однак поєднання точкового поширення та орієнтації на прибуткові банківські додатки свідчить про те, що творці Sturnus готують більші та скоординовані атаки. Джерело

Компанія Lоgіtесh повідомила, що хакери зламали її бази даних та викрали 1,8 ТБ інформації. Про це стало відомо зі спеціальної форми, яку компанія, відповідно до вимог, подала до комісії SЕС. При цьому Lоgіtесh запевняє, що жодних конфіденційних даних зловмисникам не дісталося.



Lоgіtесh нещодавно зіткнулася з інцидентом кібербезпеки, пов’язаним із крадіжкою даних. Інцидент не вплинув на продукцію, бізнес-операції чи виробництво компанії. Після виявлення порушення Lоgіtесh оперативно вжила заходів для розслідування та реагування, залучивши провідні зовнішні компанії, що спеціалізуються на кібербезпеці. У Lоgіtесh вважають, що несанкціонована третя сторона скористалася вразливістю нульового дня у сторонній програмній платформі та скопіювала певні дані з внутрішньої ІТ-системи.



У цьому випадку йдеться про вразливість Оrасlе Е-Вusіnеss Suіtе. За даними ВlееріngСоmрutеr, компанія, ймовірно, постраждала саме від цієї уразливості нульового дня. Показник у 1,8 ТБ викрадених даних був опублікований на сайті хакерської групи Сlор, яка нещодавно додала Lоgіtесh до списку своїх жертв.

Світ швидко переходить у добу штучного інтелекту, але разом із цим народжується і новий тип небезпеки — так званий «отруєний АІ». Йдеться про ситуації, коли моделі машинного навчання отримують спотворені або навмисно підроблені дані, через що починають діяти неправильно. На вигляд система працює звично, але її рішення вже не можна вважати надійними. Уявіть, що ШІ, [...]

Дослідники безпеки виявили, що до половини всіх геостаціонарних супутників на орбіті Землі несуть незашифровану конфіденційну інформацію про споживачів, компанії та військових, що робить ці дані широко відкритими для прослуховування. Дослідники з Каліфорнійського університету в Сан-Дієго та Університету Меріленду витратили 800 доларів на готовий супутниковий приймач і протягом трьох років спрямовували його в небо. Вони виявили [...]