Инфосек вкратце Администрация Трампа сняла санкции с трех лиц, ранее подвергнутых санкциям администрацией Байдена за причастность к консорциуму Intellexa, разработчику шпионского ПО Predator, отменив ограничения, которые запрещали им вести бизнес с США.
Это еще один признак того, что администрация Трампа вполне лояльно относится к коммерческому шпионскому ПО, используемому авторитарными странами для слежки за диссидентами, журналистами и политическими оппонентами. Ранее, в сентябре, команда MAGA сняла ограничения с приобретения программного обеспечения компанией Immigration and Customs Enforcement (ICE) у производителя коммерческого шпионского ПО Paragon Solutions.
Predator обладает всеми обычными функциями коммерческого шпионского ПО. Он позволяет пользователям осуществлять деятельность, связанную со шпионажем, на зараженных устройствах, включая отслеживание устройств, наблюдение, кражу данных и тому подобное.
Predator оставался доступным через консорциум Intellexa, несмотря на санкции США, введенные в 2024 году в отношении связанных с Intellexa организаций и руководителей. В первом раунде санкций в марте 2024 года Министерство финансов США при администрации Байдена охарактеризовало Intellexa как “значительную угрозу … национальной безопасности”.
Сара Хаму, попавшая под санкции в марте 2024 года за предоставление управленческих услуг фирмам, связанным с Intellexa, теперь исключена из списка граждан особых категорий Министерства финансов. То же самое относится к Андреа Гамбацци, бенефициарному владельцу Thalestris Limited, владевшей правами на распространение Predator, и Мерому Харпазу, которого официальные лица США назвали высокопоставленным руководителем Intellexa. Оба были подвергнуты санкциям в сентябре 2024 года.
Как сообщает Reuters, Министерство финансов заявило, что исключение из списков было произведено в рамках обычного административного процесса в ответ на ходатайства о пересмотре, добавив, что каждое лицо продемонстрировало меры по отделению себя от консорциума Intellexa.
Отдельно, ICE в сентябре сняла приказ о приостановке работ по контракту на наблюдение, заключенному еще при администрации Байдена, что позволило агентству продолжить приобретение коммерческого шпионского ПО, которое ранее было заблокировано к использованию.
По данным Atlantic Council, Соединенные Штаты недавно удостоились позорного звания крупнейшего инвестора в коммерческое шпионское ПО, опережая следующие три страны вместе взятые по объему инвестиций.
Утечка персональных данных сотрудников Korean Air
Korean Air опубликовала внутреннее уведомление на прошлой неделе после того, как ее бывшее подразделение бортового питания и беспошлинной торговли KC&D сообщило об инциденте безопасности, затронувшем около 30 000 записей сотрудников, включая имена и номера банковских счетов в некоторых случаях.
Как сообщает корейское новостное издание JoongAng Daily, Korean Air заявила, что KC&D сообщила ей об утечке и что, по-видимому, не было скомпрометировано никакой информации о клиентах – только личная информация (PII) сотрудников Korean Air.
Как сообщали другие издания, виновником, по-видимому, является печально известная кибер-вымогательская группировка Clop, которая взяла на себя ответственность за инцидент и выложила данные в сеть.
В уведомлении Korean Air не упоминается, как произошла утечка, но, как отмечали The Register и другие издания, Clop широко использовала уязвимость в Oracle Enterprise Business Suite, которая эксплуатировалась как zero-day начиная с августа прошлого года, до выхода патчей.
Производитель роутеров игнорирует отчет исследователя об RCE
Исследователи безопасности, утверждающие, что первыми использовали ИИ-агента для выявления удаленно эксплуатируемого zero-day, поделились эксплойтом с производителем, который, похоже, их игнорирует.
Исследователи из Pwn.ai заявляют, что использовали ИИ-агента для выявления CVE-2025-54322, уязвимости удаленного выполнения кода CVSS 10.0 в прошивке SXZOS китайского производителя сетевого оборудования Xspeeder более семи месяцев назад.
Ошибка представляет собой уязвимость предварительной авторизации в прошивке, которая, по данным Pwn.ai, позволяет злоумышленнику получить полный контроль над уязвимыми устройствами. Pwn.ai заявила, что обнаружила уязвимость с помощью эмулированного программного обеспечения, которое могло атаковать SXZOS с разных сторон.
Pwn.ai заявила, что обнаружила и другие уязвимости в других системах, но делает уязвимость Xspeeder своим первым разглашением, “потому что, в отличие от других поставщиков, мы не смогли получить никакого ответа от Xspeeder, несмотря на более чем семимесячные обращения”.
Загрузка установщика EmEditor была перехвачена
Плохие новости для тех, кто загружал Emurasoft EmEditor с официального сайта в период с 19 по 22 декабря: вероятно, вы загрузили вредоносно измененную версию.
Emurasoft сообщила незадолго до рождественских праздников, что загрузка EmEditor на ее веб-сайте была изменена, предположительно, “несанкционированной … третьей стороной”.
Компания отметила, что кнопка “Download Now” была изменена, чтобы указывать на неправильный URL-адрес, на котором размещена копия пакета EmEditor MSI, подписанная неавторизованной третьей стороной. Считается, что единственным файлом, затронутым взломом, был emed64_25.4.3.msi, который вместо подписи Emurasoft, Inc. был подписан Walsham Investments Limited, что свидетельствует о несанкционированном вмешательстве.
Подозрительный файл пытается выполнить команду PowerShell, которая загружает и выполняет содержимое с внешнего домена при запуске. Emurasoft не сообщила, что может делать вредоносный файл, но заявила, что вредоносный редирект был исправлен, и предоставила инструкции, чтобы определить, были ли затронуты пользователи.
Вестминстерский городской совет признал кражу конфиденциальных данных в результате взлома в ноябре
То, что началось как “инцидент кибербезопасности”, теперь подтверждено как несанкционированное копирование данных совета, вероятно, включающее конфиденциальную и личную информацию, поскольку Вестминстерский городской совет в Великобритании сообщил больше о масштабах взлома в ноябре.
BBC сообщила на прошлой неделе, что инцидент конца 2025 года, затронувший ИТ-системы, совместно используемые Вестминстером, Кенсингтоном и Челси, а также Хаммерсмитом и Фулхэмом, теперь рассматривается как инцидент, в котором “потенциально конфиденциальная и личная информация”, вероятно, была похищена злоумышленниками, нацеленными на районы.
Это контрастирует с первоначальным заявлением трио в конце ноября и последующими заявлениями Кенсингтона и Челси, в которых признавалось, что некоторые данные были взяты, но что это были просто старые вещи.
Теперь Вестминстер, похоже, говорит, что это законная проблема для местных жителей в этом районе, а также в Кенсингтоне и Челси. BBC отметила, что Хаммерсмит и Фулхэм утверждают, что их системы не пострадали.
До сих пор неясно, какие данные были взяты, но Вестминстерский городской совет, как и Кенсингтон и Челси, предупреждает граждан о необходимости проявлять бдительность в отношении мошеннических звонков, электронных писем и текстовых сообщений, которые могут быть результатом неправомерного использования украденных данных. ®
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
7/9
Автор – Brandon Vigliarolo
