Обзор важных материалов по ИБ 08.12.2025

Государственные инициативы.

  • Регламентирующий льготы для IT-индустрии закон подписан. Владимир Путин подписал закон, вносящий изменения в налоговый кодекс – в частности, документ сохраняет нулевой НДС для операций по передаче прав на ПО и базы данных из реестра отечественного ПО. Тариф страховых взносов для IT-компании увеличивается с 2026 года с 7,6% до 15% с выплат, не превышающих предельную базу (т.е. с выплат до 2,979 миллиона рублей в год в 2026 году, или около 248 тысяч рублей в месяц, показатель ежегодно индексируется). Для выплат свыше единой предельной величины базы для исчисления страховых взносов применяется прежний пониженный тариф – 7,6%. Вводится новый сбор, взимаемый с каждой единицы электронной компонентной базы или единицы промышленной продукции (если она содержит такую базу) с импортёров и производителей данной продукции на территории РФ.
  • Правительство сообщило о бурном росте IT-индустрии. Выручка организаций IT-отрасли от реализации товаров и услуг (собственных и покупных) составила в первом полугодии 5,5 триллиона рублей, показав рост на 17% по сравнению с аналогичным периодом 2024 года, а общий объём уплаченных организациями IT-отрасли налогов и страховых взносов вырос на 20% и превысил 1 триллион рублей, сообщается на сайте правительства со ссылкой на данные АНО «Цифровая экономика». Эта организация по поручению заместителя председателя правительства – руководителя аппарата правительства Дмитрия Григоренко проводит ежеквартальную оценку экономических показателей IT-индустрии. Общий объём ВВП России за первое полугодие 2025 года составил 97,26 триллиона. Выходит, что IT-отрасль – это 5,65% от ВВП страны. Как следует из сообщения правительства, в эту оценку входят, помимо прочего, платформы электронной коммерции, образовательные онлайн-платформы, издатели игр, интеграторы. «Методика АНО «Цифровая экономика» строится на оценке показателей аккредитованных ИТ-организаций (реестр ИТ-компаний). Сегодня в реестр включено порядка 20 тысяч организаций, и это не только компании с «профильным» ИТ-ОКВЭД», – сказано в сообщении. Для повышения точности и расширения перечня показателей используются ведомственные данные, в первую очередь данные ФНС России. Также используются данные ЦБ России и ФТС (для расчёта показателя экспорта), Минфина и Минцифры (для оценки объёма государственной поддержки). Для оценки объёма затрат организаций ИТ-отрасли на внедрение и использование цифровых технологий, объёма инвестиций в нефинансовые активы, объёма расходов на НИОКР, уровня внедрения технологий ИИ, уровня импортозамещения используются данные Росстата при отсутствии других источников данных.
  • SOCKS5, VLESS и L2TP. Роскомнадзор научился блокировать самые надежные протоколы. РКН обновил настройки оборудования ТСПУ для борьбы с обходом блокировок. Роскомнадзор обновил настройки технических средств противодействия угрозам, чтобы ужесточить борьбу с обходом блокировок через VPN. Речь идет о специальном оборудовании на сетях операторов связи в России, через которое фильтруется трафик, отражаются DDoS-атаки, блокируется доступ к запрещенным ресурсам или ограничивается скорость подключения к ним. О новых настройках ТСПУ изданию РБК сообщили несколько источников на телеком и рынке информационной безопасности, эту информацию подтверждают опрошенные специалисты. VPN (Virtual Private Network) это технология, которая создает зашифрованный «тоннель» для интернет трафика. При подключении к VPN данные пользователя сначала уходят на удаленный сервер, а уже затем в интернет. Это позволяет скрыть реальное местоположение и защитить передаваемую информацию от перехвата. По данным источников, Роскомнадзор начал целенаправленно блокировать еще три VPN протокола SOCKS5, VLESS и L2TP. Протоколов существует десятки, без них не может работать ни один VPN сервис. Они определяют, как именно устанавливается защищенное соединение, какой у него уровень шифрования, скорость и устойчивость к блокировкам. В последние месяцы именно SOCKS5, VLESS и L2TP активно использовались для доступа к заблокированным ресурсам, поэтому системы ТСПУ стали чаще их отфильтровывать, отмечают эксперты. По их оценке, VLESS был одним из последних относительно стабильно работавших VPN протоколов, который долгое время не удавалось эффективно обнаруживать и блокировать на уровне ТСПУ. Его популярность объясняют высокой скоростью и надежностью, а также тем, что он оставляет минимум технических следов, что ранее затрудняло выявление такого трафика. Сейчас, по словам специалистов, ТСПУ научились определять соединения на базе VLESS по косвенным признакам. SOCKS5 и L2TP считают более старыми решениями, которые сами по себе не шифруют трафик, но могут использоваться в связке с другими средствами шифрования или маскировки.
  • Минцифры объявило о решении постепенно отказаться от SMS как второго фактора аутентификации для онлайн-доступа к госуслугам. Принято решение постепенно отказаться от подтверждения входа на портал госуслуг через SMS – пока оно касается только входа на «Госуслуги» через мобильные приложения, сообщило Минцифры в пятницу. Поясняется, что это сделано из-за растущего числа случаев мошенничества, когда пользователи портала госуслуг непреднамеренно передают злоумышленникам SMS-коды для входа. Минцифры пишет, что вводить логин, пароль и второй фактор защиты при каждом входе в мобильное приложение «Госуслуги» не нужно – сессия длится шесть месяцев. Варианты второго фактора защиты:
    • с помощью одноразового кода в мессенджере Мax;
    • с помощью одноразового кода из специального приложения;
    • по биометрии;
    • SMS – только для пользователей web-портала госуслуг.
  • Министерство отмечает преимущества кода в Мax: способ имеет дополнительную защиту от социальной инженерии – перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника. Если ответы вызовут подозрение, он не выдаст код и предупредит об опасности. Подключить в качестве второго фактора защиты одноразовый код в Мax можно на баннере при входе на портал или в приложение «Госуслуги». В разделе «Безопасность» можно выбрать другие варианты дополнительной защиты вместо кода в Max – одноразовый код из приложения на вашем устройстве или вход по биометрии.

Инциденты и угрозы.

  • 12 терабайт из тени Cryptomixer. Европол закрыл «прачечную» с оборотом в 1,3 млрд евро. С 2016 года через Cryptomixer прошло более 1,3 млрд евро в криптовалюте, но теперь его серверы и домен под контролем правоохранителей Германии и Швейцарии. Европол вместе с международными партнёрами закрыли криптовалютный миксер Cryptomixer и изъяли эквивалент 25 млн евро в биткоине. Сервис, работавший с 2016 года и помогавший преступникам прятать происхождение средств, по данным правоохранителей, использовался для отмывания более 1,3 млрд евро в криптовалюте и теперь полностью остановлен после операции в Цюрихе. С 24 по 28 ноября 2025 года в Цюрихе прошла совместная операция правоохранительных органов Швейцарии и Германии при поддержке Европола. Были изъяты 3 сервера, а также домен cryptomixer[.]io. После захвата инфраструктуры на сайте сервиса появился баннер о его изъятии, а следователи получили доступ к более чем 12 терабайтам данных и криптовалюте на сумму свыше 25 млн евро в биткоине. Cryptomixer представлял собой гибридный сервис для «смешивания» криптовалюты, доступный как в обычном интернете, так и в даркнете. Его основная цель заключалась в том, чтобы скрывать происхождение средств, делая транзакции практически неотслеживаемыми. Именно поэтому им активно пользовались вымогательские группировки, участники теневых форумов и площадок на чёрном рынке.
  • Хакеры помогают преступникам угонять грузовики. Преступные группировки вышли на новый уровень: теперь для перехвата грузовиков им не нужны вооружённые налёты: достаточно доступа к цифровым площадкам для перевозчиков. Расследования показывают, что злоумышленники всё чаще нанимают хакеров, чтобы взломать аккаунты на логистических маркетплейсах, получить контроль над заявками и перенаправить ценные грузы на свои склады. Схема выглядит опасно простой. Сначала преступники добывают учётные данные – чаще всего через фишинг. Затем, скрываясь под видом обычного перевозчика или брокера, они оформляют «легитимный» заказ и меняют маршрут. Грузовик отправляется не к клиенту, а в заранее подготовленную точку. Средняя стоимость похищенного груза превышает 336 000 долларов, и такие атаки стремительно растут по числу случаев. Эксперты отмечают, что даже компании с двухфакторной аутентификацией и продвинутыми системами мониторинга остаются уязвимы, если цель – низкопривилегированный аккаунт. Оказавшись внутри системы, злоумышленники могут постепенно расширить права и получить контроль над логистическими операциями. Специалисты рекомендуют ужесточать контроль доступа к онлайн-платформам, регулярно проверять активность аккаунтов и внимательно отслеживать любые необычные запросы на изменение маршрутов. Цифровизация логистики ускорила отрасль, но одновременно открыла новые ворота для киберпреступников.
  • Получить заказ и потерять деньги: как мошенники обманывают фрилансеров. В ноябре 2025 г. эксперты Bi.Zone обнаружили более 50 вредоносных доменов — злоумышленники используют их, чтобы увести пользователей фриланс-бирж с официальных ресурсов. Об этом CNews сообщили представители Bi.Zone. Количество предложений на платформах для поиска подработки заметно возрастает в каникулы и праздники. Злоумышленники следят за активностью на таких ресурсах и придумывают новые схемы обмана. Например, создают сайты, замаскированные под официальные биржи фриланс-услуг. По данным экспертов Bi.Zone Digital Risk Protection, за ноябрь появилось более 50 таких вредоносных доменов. Дмитрий Кирюшкин, руководитель Bi.Zone Digital Risk Protection: «Мошенники ищут потенциальных жертв в чатах и сообществах фрилансеров. Затем связываются с исполнителем и уточняют детали для оформления заказа. На оригинальной площадке исполнителю могут прислать ссылку на страницу получения оплаты. Пользуясь этим, злоумышленники создают фишинговые сайты, имитирующие страницы выплаты от фриланс-биржи, или же переводят общение в мессенджеры. Жертву просят указать банковские реквизиты для оплаты — так мошенники получают информацию для кражи средств. Рекомендуем не переходить по подозрительным ссылкам и внимательно проверять ресурсы, через которые передаете свои данные. Адрес фишингового сайта может отличаться от оригинального всего на один символ. Чтобы распознать мошенника в мессенджере, обращайте внимание на дату регистрации аккаунта, смену имени пользователя, а также на наличие общих чатов и истории переписки».
  • Возвращение «оборотней». Группировка Arcane Werewolf устроила масштабную осеннюю охоту на российские заводы. BI.ZONE рекомендует промышленности ограничить запуск PowerShell из-за активности хакеров. Специалисты BI.ZONE в октябре и ноябре 2025 года зафиксировали новые атаки кластера Arcane Werewolf (также известного как Mythic Likho) на российские промышленные компании. Группировка продолжает специализироваться на фишинговых рассылках и активно развивает собственные инструменты, в том числе имплант Loki, совместимый с популярными фреймворками постэксплуатации Mythic и Havoc. Судя по ретроспективным данным, первоначальный доступ злоумышленники по-прежнему получают через фишинговые письма со ссылками. Эти сообщения, вероятно, содержали URL для загрузки архива с вредоносным ПО с подконтрольного ресурса, который внешне имитировал сайт российской промышленной компании. Самих писем аналитикам получить не удалось, но восстановленная цепочка атаки показывает типичный сценарий: жертва переходит по ссылке, скачивает ZIP архив и запускает вложенный LNK файл. В одном из эпизодов октября 2025 года ссылка вела на поддельный “диск” промышленного предприятия. Пользателю предлагался архив с исходящим письмом и папкой “Фото”. Внутри находился файл с двойным расширением .pdf.lnk. При его запуске через cmd и PowerShell с удаленного ресурса загружался исполняемый файл Go дроппера, маскирующийся под PNG. Дроппер декодировал две встроенные Base64 нагрузки: вредоносный загрузчик Loki 2.0 и отвлекающий PDF документ с деловым содержимым, который открывался, чтобы не вызвать подозрений у пользователя.
  • Минус $3000000 за одно действие. Взлом Yearn Finance увеличил потери крипторынка до $127 млн. Эксплойт yETH в Yearn Finance обернулся потерей почти $3 млн из-за искусственно созданного «суперминта». Yearn Finance столкнулась с серьёзной атакой на продукт yETH, в результате которой злоумышленник сумел вывести около тысячи ETH — почти 3 миллиона долларов — воспользовавшись уязвимостью в работе пула стейблсвопа. Эксплойт позволил в одном действии создать практически бесконечное количество yETH, быстро обналичить ликвидность и частично замести следы через Tornado Cash. До инцидента в пуле находилось около 11 миллионов долларов, однако основные хранилища Yearn Finance — V2 и V3 — не пострадали. Как показывают данные блокчейна, атака была построена на серии новых смарт-контрактов, созданных исключительно для быстрого исполнения и последующего самоуничтожения. Эта схема помогла злоумышленнику раздуть предложение yETH, вывести активы и удалить критически важные следы транзакций. Представитель Yearn Finance подтвердил факт взлома, подчеркнув при этом, что ущерб ограничен лишь LST-пулом, а ключевая инфраструктура сервиса остаётся в безопасности. Команда продолжает выяснять точные обстоятельства атаки. Первым об инциденте сообщил пользователь под ником Togbe, который заметил подозрительную активность, отслеживая крупные транзакции. По его словам, «суперминт» yETH стал главным инструментом злоумышленника для опустошения пула и принёс ему около тысячи ETH прибыли, хотя небольшая часть средств была потеряна по пути. Специалисты рассматривают произошедшее как часть растущей волны DeFi-взломов: только в ноябре отрасль потеряла более 127 миллионов долларов из-за кибератак, скамов и эксплуатаций уязвимостей, а смарт-контракты уверенно вышли на первое место среди системных рисков, обогнав фишинг и атаки на кошельки.
  • Новая угроза для банков и криптокошельков на Android. Исследователи Cleafy рассказали о появлении нового мобильного трояна Albiriox – сложного вредоносного ПО, распространяемого по модели «malware-as-a-service» (MaaS). Albiriox даёт злоумышленникам полный контроль над заражённым устройством. Он использует VNC-модуль для дистанционного управления: преступники могут видеть экран жертвы, управлять телефоном и взаимодействовать с интерфейсом в реальном времени. Кроме того, троян предусматривает механизм оверлеев: поддельные экраны банковских и криптокошелковых приложений – с их помощью злоумышленники могут выманивать логины, пароли и подтверждения переводов. Внутри Albiriox встроен список из более чем 400 целевых приложений: банков, финтех- и криптоплатформ по всему миру. Это говорит о намерении атаковать широкий круг пользователей независимо от страны. Распространение трояна идёт через поддельные «страницы обновлений» и фишинговые сообщения: пользователям предлагают установить «обновление системы» или «нужное приложение», после чего устанавливается dropper-приложение, которое затем загружает основную вредоносную нагрузку. Пока что Albiriox в публичном доступе с октября 2025 года. Его MaaS-подписка оценивалась в 650-720 долларов в месяц, что делает его доступным для киберпреступников, ищущих масштабируемый инструмент для мошенничества.
  • Взлом в прямом эфире. Как ИБ-специалисты перехитрили элитный отряд хакеров Пхеньяна. Ничего не подозревающие взломщики часами демонстрировали свои техники на виртуальной машине, которую считали компьютером жертвы. Совместное расследование BCA LTD, NorthScan и ANY.RUN позволило увидеть одну из самых скрытных хакерских схем Северной Кореи в режиме реального времени. Команда сумела под видом обычного найма отследить то, как операторов группировки Lazarus, подразделения Famous Chollima, встраивают в компании по всему миру как удалённых IT-сотрудников с украденной личностью. Инициатором операции стал основатель BCA LTD Мауро Элдритч, объединивший усилия с инициативой NorthScan и сервисом интерактивного анализа вредоносных файлов ANY.RUN. Специалисты NorthScan создали вымышленного американского разработчика, от имени которого в диалог вступил Хайнер Гарсиа с вербовщиком Lazarus под псевдонимом Аарон «Блэйз». Тот представлялся посредником по трудоустройству и пытался оформить ложного кандидата как прикрытие для северокорейских IT-работников, ориентируясь на компании из финансового, криптовалютного, медицинского и инженерного секторов.
  • Стратегия национальной безопасности США: что имеет отношение к IT. Американский Белый дом в пятницу опубликовал стратегию национальной безопасности США (National Security Strategy), в документе содержатся сведения в том числе и о плане действий Соединённых Штатов в сфере информационных технологий. Так, указывается, что США достигли успеха в воспрепятствовании внешнему влиянию в Западном полушарии. Америка продемонстрировала, как много скрытых издержек – в сфере шпионажа, кибербезопасности и прочего – включено в «недорогую иностранную помощь» (возможно, имеется в виду «помощь» китайских компаний). В документе говорится о необходимости усиления мер противодействия, включая использование американских рычагов в области финансов и технологий, чтобы побуждать страны отказываться от такой помощи. По мнению Белого дома, перед «всеми государствами» должен стоять выбор: жить в возглавляемом Америкой мире суверенных стран и свободных экономик либо в параллельном мире, где на них влияют государства с другого конца света. (Буквально так – ред.). Что касается США, то им предстоит укрепить имеющиеся и те, что появятся в будущем, сети связи, воспользоваться всеми преимуществами американских технологий шифрования и потенциала в области обеспечения безопасности. В стратегии подчёркивается: жизненно важные отношения [государства] с американским частным сектором способствуют поддержанию возможности отслеживать постоянные угрозы сетям США и ключевой инфраструктуре, в частности.
  • Приложите карту: количество атак с использованием NFC выросло в 1,5 раза. В третьем квартале 2025 года эксперты «Лаборатории Касперского» зафиксировали рост количества атак на Android-устройства в России, в которых злоумышленники использовали вредоносные утилиты для работы с NFC, чтобы красть деньги людей. Число попыток заражений смартфонов NFC-троянцами увеличилось более чем в 1,5 раза по сравнению со вторым кварталом и составило более 44 тысяч*. Специалисты отмечают, что для таких атак характерны две схемы: «прямой NFC» и «обратный NFC». В третьем квартале 2025 года по сравнению со вторым в компании фиксируют увеличение количества атак с «обратным NFC», в то время как использование «прямого NFC» значительно снизилось. Специалисты отмечают: подобные зловреды применяют в том числе телефонные мошенники — в основном для кражи средств со счетов жертв. В рамках этой схемы злоумышленник связывается с потенциальной жертвой в мессенджере и предлагает скачать программу, которая якобы необходима для верификации клиента в финансовом сервисе. Однако на самом деле на устройство пользователя устанавливается вредоносное приложение, которое просит ничего не подозревающую жертву приложить её банковскую карту к задней панели смартфона, а также ввести ПИН-код. Затем зловред передаёт данные карты злоумышленникам. Это позволяет им снимать с неё средства, а также осуществлять бесконтактные платежи без ведома жертвы. В этих случаях злоумышленник высылает потенциальной жертве APK-файл в мессенджере и под правдоподобным предлогом предлагает человеку установить зловред. Если жертва настроит троянец в качестве основного метода бесконтактной оплаты, то от NFC-чипа на заражённом телефоне будет идти сигнал, который распознаётся банкоматами как карта злоумышленника. Далее мошенник убеждает пользователя приложить к банкомату свой заражённый телефон и внести средства якобы на безопасный счёт, однако на самом деле деньги поступят на счёт атакующего. Эксперты отмечают, что в последнее время эта схема становится всё более распространённой.
  • Путин предупредил, что мессенджеры – опасный инструмент влияния на молодёжь. Владимир Путин заявил, что мессенджеры, в том числе Telegram, используются для воздействия на молодое поколение, что вызывает у него серьёзную тревогу. По его словам, молодёжь – наиболее восприимчивая группа, воспринимающая подобное влияние легко и эмоционально. Он подчеркнул, что сегодняшние технологии усиливают разрыв между поколениями, потому работа с молодёжью должна вестись через современные средства коммуникации, чтобы донести до них важные ценности. Путин отметил, что молодым кажется, будто они сталкиваются с несправедливостью, и им хочется действовать быстро, порою – радикально. Власти, по его мнению, обязаны использовать те же средства связи, что и те, кто пытается манипулировать сознанием через мессенджеры. Теперь остаётся вопрос, какие практические меры последуют за этим заявлением – планируется ли усиление регулирования мессенджеров или запуск программ цифровой работы с молодёжью.
  • Обнаружен вредонос, превращающий суперкомпьютеры на базе GPU Nvidia, в криптомайнинговый ботнет. В фреймворке Ray отсутствует локальная аутентификация: разработчики указывают, что он должен использоваться в изолированных средах, однако сотни тысяч серверов с Ray доступны из Сети. Безопасность – ваше дело. Специалисты компании Oligo Security опубликовали бюллетень, посвящённый волне атак, направленных на уязвимости в опенсорсном ИИ-фреймворке Ray. Скомпрометированные кластеры на базе GPU-процессоров Nvidia, превращаются в криптомайнинговый ботнет, который постоянно автоматически расширяется. Как утверждают в Oligo Security, кампания, получившая название ShadowRay 2.0, эксплуатирует в первую очередь «баг» CVE-2023-48022, связанный с полным отсутствием в Ray собственных инструментов аутентификации. Разработчики Ray, однако, утверждают, что это и не «баг» вовсе, а сознательное техническое решение: Ray предназначен для использования в изолированных средах, и в то же время должен принимать к запуску любой произвольный код. «Объяснения разработчиков фреймворка Ray, почему ключевая уязвимость на самом деле не является уязвимостью, могут показаться неоднозначными, но фактически речь идёт о сознательном стратегическом решении оставить систему без собственных средств аутентификации – и вполне однозначно проинструктировать пользователей на этот счёт, – говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. – Можно было бы поспорить на тему того, насколько такое решение оправданно, но в любом случае ответственность за использование Ray иначе, нежели рекомендовано разработчиком, лежит уже на его пользователях. Правда, как видим, инструкциям следуют далеко не все». Как указывается в материале издания The Hacker News, в Сети на данный момент насчитывается более 230 тысяч общедоступных серверов Ray. Стоит добавить, что разработчики Ray предлагают специальный инструмент проверки портов, чтобы избежать «разгерметизации» кластеров. Дополнительно рекомендуется устанавливать внешние средства аутентификации для порта, на котором размещается консоль управления Ray Dashboard. По умолчанию это порт 8265.
  • Ваши пиксели — предатели: безобидная анимация работает как рентген, вытягивая пароли и номера карт сквозь защиту браузера. Почему отключение JavaScript больше не спасает от кражи конфиденциальной информации через SVG-фильтры. Эстонская исследовательница безопасности Лира Ребане представила необычный приём кликджекинга, который опирается на сочетание SVG-графики и каскадных таблиц стилей. Её доклад на конференции BSides Tallinn в октябре остался незамеченным широкой аудиторией, но опубликованное ею недавно описание техники показало, что речь идёт о куда более серьёзной проблеме, чем эксперимент с визуальными эффектами. Ребане обнаружила, что фильтры SVG способны вытягивать данные из веб-страниц, находящихся под ними во встроенном фрейме (iframe), – и тем самым нарушать одно из базовых правил браузерной безопасности, ограничивающее взаимодействие между разными источниками контента. Кликджекинг существует больше десяти лет и объединяет множество способов заставить человека выполнить действие, которого он не собирался совершать. Манипуляция может выглядеть безобидной – например, пользователь нажимает на кнопку, не подозревая, что под ней спрятан элемент стороннего сайта. Термин предложили в 2008 году исследователи Джеремайя Гроссман и Роберт Хансен, изучавшие способы перехвата кликов и перенаправления их на элементы, выбранные злоумышленником. С тех пор появились надёжные методы защиты, которые ограничивают работу страниц во фреймах, блокируют перенос сессионных файлов cookie в таких условиях и повышают прозрачность взаимодействия между доменами. Несмотря на защитные меры, новые варианты атак продолжают всплывать – достаточно вспомнить прошлогоднюю технику подделки межоконных взаимодействий. Открытие Ребане из той же оперы, но опирается на совершенно иной механизм. Первоначально исследовательница пыталась воссоздать характерный визуальный эффект Apple Liquid Glass с помощью SVG-фильтров и CSS. Когда эксперимент удался, она заметила, что применённый фильтр, будучи размещённым во встроенном фрейме, получает доступ к пикселям основного документа, который по правилам должен оставаться недоступным.

Исследования.

  • С января по октябрь 2025 года количество DDoS-атак с умных устройств в России выросло в 5 раз. Аналитический центр компании StormWall, специализирующейся на защите бизнеса от DDoS-атак, выявили новую тенденцию в области информационной безопасности в России. По данным компании, в 2025 году злоумышленники стали более активно использовать умные устройства для запуска DDoS-атак на российские компании. Для анализа были использованы данные клиентов StormWall. Аналитикам компании удалось выявить, что с января по октябрь 2025 года количество DDoS-атак, организованных с использованием умных устройств в России выросло в 5 раз по сравнению с аналогичным периодом прошлого года. Если в прошлом году доля подобных атак составляла только 7%, то в этом году объем инцидентов достиг 35%. Такая динамика указывает на то, что хакеры все больше предпочитают запускать DDoS-атаки на отечественные компании с помощью IoT-устройств и считают этот метод достаточно эффективным. В основном, для запуска DDoS-атак злоумышленники задействовали роутеры, веб-камеры, устройства для умного дома и другое оборудование. Используя подобную технику, хакеры создавали масштабные ботнеты, насчитывающие десятки тысяч зараженных устройств. Подобные ботнеты позволяли киберпреступникам запускать невероятно разрушительные DDoS-атаки на российские компании мощностью до 1-1,5 Тбит/с. Рекордное число IoT-устройств в одном из обнаруженных ботнетов в этом году составило 118 тысяч единиц. Эксперты StormWall выявили, что в 2025 году DDoS-атаки с IoT-устройств запускались хакерами из России (21% от общего числа всех подобных инцидентов в стране), США (18%), Индии (16%), Таиланда (12%), Индонезии (10%), Китая (8%), Бразилии (6%) и Украины (5%). Доля остальных стран составляет только 4%. Опираясь на эти данные, можно сделать вывод, что большинство атак с умных устройств шли с территорий России, США и азиатских стран.
  • В России катастрофа с кибербезопасностью. Безудержно растет число смартфонов, зараженных вредоносным ПО. В России быстро растет количество смартфонов, зараженных различным внедоносным ПО. Счет идет на миллионы, а операторы связи начали делить пользователей по степени вероятности наличия на их гаджетах вируса или другого опасного софта. Киберугроза в кармане. Российские операторы связи сообщили о резком росте числа заражений мобильных устройств в России, пишут «Ведомости». Тот факт, что проблема существует и становится все более серьезной, наглядно подтверждает статистика «Билайна» – одного из четырех крупнейших операторов сотовой связи в России. К сети «Билайна» прямо сейчас подключено около 460 тыс. абонентов, чьи смартфоны оператор пометил красным уровнем угрозы. Такую метку оператор присваивает гаджетам, на которых с высокой долей вероятности присутствует вредоносное ПО. Есть и желтый уровень опасности – мобильники с такой меткой проявляют первые признаки заражения вирусом, трояном или другим вредоносом. Таких в сети «Билайна» около 1,5 млн. Абсолютные значения по другим операторам «Ведомости» не приводят. Известно лишь, что в сети «Мегафона» тоже фиксируется быстрый рост заражений – к примеру, в марте 2025 г. число зараженных устройств выросло на 800% относительно среднего уровня 2024 г. А за 10 месяцев 2025 г. количество заражений выросло в четыре-пять раз год к году. Мошенники не унимаются. Как сообщила изданию глава департамента потребительского бизнеса «Лаборатории Касперского» Марина Титова, в современных реалиях «Лаборатория» буквально на ежедневной основе вылавливает в Сети свыше 500 тыс. уникальных вредоносных файлов. Суммарное число опасных файлов, которые компания находит во всем мире каждый день, вплотную подошло к отметке в 15 млн.
  • Китай против Кремниевой долины. Создатели Video O1 утверждают, что их нейросеть обошла решения от Google и Runway. Сложный видеомонтаж теперь не требует ни опыта, ни долгих часов работы. Гонка за лидерство на рынке генерации видео с ИИ продолжается: китайская компания Kling AI представила модель «Video O1», которая объединяет создание и редактирование роликов в одном решении. Игроки вроде Google, OpenAI, Runway и других всё активнее наращивают возможности, и новый продукт Kling отлично вписывается в эту конкуренцию. По данным Kling AI, «Video O1» замышлялась как единая мультимодальная система, которая берёт на себя задачи, для которых раньше приходилось использовать разные инструменты. Модель создаёт ролики длительностью от трёх до десяти секунд по текстовому описанию или по образцу-картинке, а также меняет уже готовые видео — от замены главного персонажа и погоды до подстройки стилистики и цветовой гаммы. Несколько изменений применяются за один запрос: можно одновременно задать нового героя, изменить фон и общий визуальный стиль сцены. Система обрабатывает сразу несколько типов входных данных, интерпретируя до семи изображений, видеороликов, объектов и текстовых строк в качестве подсказок. Управление основано на обычных текстовых командах — например, удаление прохожих из кадра или перевод сцены из дневного освещения в сумерки выполняется без ручного выделения масок и покадровой анимации. Пользовательские персонажи, реквизит и сцены загружаются отдельно и затем могут использоваться в разных роликах. Kling утверждает, что модель достаточно хорошо понимает входные данные, чтобы выдерживать целостность объектов, людей и товаров при смене планов и ракурсов.

Инновации.

  • Высокий уровень абстракции и совместимость с будущим. NVIDIA представила CUDA Tile — новую парадигму программирования GPU. Новый уровень абстракции обещает упрощение жизни, однако SIMT остаётся рядом и выбор подхода зависит от ваших задач. NVIDIA объявила о крупнейшем обновлении платформы CUDA с момента её появления в 2006 году. Вместе с CUDA 13.1 компания запускает CUDA Tile новый подход к программированию GPU, основанный на блочной, или tile, модели. Главное в этом нововведении то, что разработчик описывает алгоритмы на более высоком уровне и не привязывается к деталям специализированного железа вроде тензорных ядер. Классическая CUDA раскрывает модель SIMT single-instruction, multiple-thread. Программист явно управляет блоками и потоками, тонко настраивает размещение данных и синхронизацию, что даёт максимум гибкости, но требует большого опыта. Написать код, который хорошо работает на разных поколениях GPU, часто непросто, даже с помощью библиотек уровня NVIDIA CUDA-X или CUTLASS. CUDA Tile предлагает более высокий уровень абстракции по сравнению с SIMT. Современные вычислительные задачи, особенно в сфере искусственного интеллекта, в основном опираются на тензоры. Под них NVIDIA создаёт специальные аппаратные блоки тензорные ядра NVIDIA Tensor Cores и ускорители памяти NVIDIA Tensor Memory Accelerators. Эти механизмы уже стали стандартной частью новых архитектур GPU. Чем сложнее становится железо, тем больше требуется программных решений, которые помогают использовать его возможности. CUDA Tile как раз и скрывает детали работы тензорных ядер и связанных с ними программных моделей, так что код, написанный с использованием CUDA Tile, должен быть совместим как с текущими, так и с будущими архитектурами. При блочном, tile-ориентированном программировании разработчик мыслит не отдельными элементами массивов, а плитками данных. Он описывает, как разбить данные на такие фрагменты и какие операции над каждым фрагментом нужно выполнить. То, как эти операции будут разложены по потокам, как будут использованы уровни памяти и тензорные ядра, берут на себя компилятор и среда выполнения. По сути, это напоминает подход в Python с библиотеками вроде NumPy, где вы оперируете матрицами и массивами на уровне высокоуровневых операций, а все низкоуровневые детали остаются под капотом.
  • Атомы рубидия стали детекторами невозможного: квантовые антенны освобождают «слепой» диапазон для связи будущего. Пока мир охлаждает квантовые системы до абсолютного нуля, поляки поймали терагерц при 20°C. Учёные из Варшавского университета разработали способ регистрировать крайне слабые терагерцовые сигналы с помощью атомов рубидия, переведённых в ридберговское состояние. Такой подход позволяет работать с частотными гребнями в диапазоне, который долгое время оставался практически недоступным для высокоточных измерений. Результаты исследования открывают путь к новым методам спектроскопии, способным работать при комнатной температуре. Терагерцовый диапазон находится между микроволновой и инфракрасной областью электромагнитного спектра. Он привлекает внимание благодаря возможностям для связи, анализа материалов и химии органических соединений, однако существующие приборы плохо регистрируют слабые сигналы в этой части спектра. Особые сложности возникают при измерении частотных гребней — наборов строго упорядоченных линий, которые служат высокоточной частотной линейкой. В терагерцовой области электронные схемы работают слишком медленно, а оптические методы не могут зафиксировать такие частоты. Исследователи нашли решение, используя атомы в состоянии Ридберга. В этом состоянии электрон занимает удалённую орбиту, и атом становится чрезвычайно чувствительным к слабым электрическим полям. Лазерная настройка позволяет вывести атом на резонанс с выбранной частью терагерцового диапазона. Для измерений используют расщепление Аутлера–Таунса — эффект, который позволяет получать абсолютно калиброванные значения поля, основанные на фундаментальных свойствах атома. Такой датчик фактически служит эталоном и не требует сложной калибровки в лаборатории.
  • Блокировка 91% угроз за полсекунды. Perplexity задает новый стандарт скорости для ИИ. Perplexity разрабатывает трёхуровневую защиту для ИИ-агентов, сталкивающихся с хаотичным и опасным веб-контентом. Perplexity представила систему BrowseSafe, которая должна закрыть огромные дыры в безопасности браузерных ИИ-агентов. По данным компании, защита от атак типа prompt injection, в которых вредоносные инструкции прячут прямо в содержимом страниц, срабатывает в 91% случаев. Это выше, чем у существующих решений, и при этом достаточно быстро для работы в реальном времени. В отличие от моделей наподобие PromptGuard-2, которые фиксируют около 35% атак, и даже от систем уровня GPT-5 с примерно 85%-ной точностью, BrowseSafe выходит вперёд, обеспечивая высокую скорость обработки. Система достигает показателя F1 свыше 90% при задержке менее полсекунды, тогда как продвинутые модели с рассуждениями требуют от 2 до 20 секунд на одну проверку. Проблема стала актуальной после того, как в августе 2025 года Brave обнаружила уязвимость в Comet — фирменном браузере Perplexity с интегрированными агентами. Агенты видят сайт так же, как пользователь, вплоть до действий в авторизованных сессиях — от почты и банков до корпоративных сервисов. Такой доступ создаёт новую, ранее не исследованную поверхность атаки. Злоумышленники могут прятать инструкции в элементах страницы и заставлять агента выполнять вредоносные действия, например передавать конфиденциальную информацию третьим лицам. Brave показала, как с помощью скрытых команд в виде комментариев или текстовых вставок можно выманивать адреса электронной почты или одноразовые коды. Perplexity отмечает, что существующие бенчмарки, включая AgentDojo, не отражают реальных угроз. Они опираются на примитивные примеры вроде «Ignore previous instructions», тогда как настоящие веб-страницы полны хаотичного контента, внутри которого малозаметные атаки легко маскируются.

Обзор по ИБ подготовил Дмитрий Рожков.

Print Friendly, PDF & Email