Дайджест событий в сфере кибербезопасности и ИИ (5–10 сентября 2025 г.)

1. Раскрыта глобальная кибершпионская кампания Китая «Salt Typhoon»

Что произошло: 4-5 сентября 2025 года альянс спецслужб 13 стран, включая АНБ и CISA (США), опубликовал совместное предупреждение о многолетней кибершпионской активности, атрибутируемой китайской проправительственной группировке Salt Typhoon (APT40). Атакам подверглись телекоммуникационные, правительственные, военные и другие объекты критической инфраструктуры как минимум в 80 странах, включая США, Канаду и страны Европы. По некоторым оценкам, хакерам удалось похитить данные практически каждого американца.

Как это произошло (технический разбор): Тактика группы строится на эксплуатации известных, но неисправленных уязвимостей в сетевом периметре (роутеры, VPN-шлюзы, файрволы). Получив первоначальный доступ, хакеры использовали тактику «жизни за счёт земли» (Living off the Land): применяли встроенные системные утилиты (PowerShell, WMI) для закрепления в сети, латерального перемещения и кражи данных, что значительно усложняло их обнаружение. Длительная скрытность и сохранение доступов через устройства провайдеров связи были ключевыми элементами кампании.

Почему это важно: Компрометация телекоммуникационного сегмента даёт доступ к транзитному трафику и метаданным миллионов пользователей, что выводит риски на уровень национальной безопасности. Инцидент подчеркивает критическую важность своевременного обновления пограничных устройств и необходимость перехода к архитектуре «нулевого доверия» (Zero Trust), так как традиционная защита периметра оказывается неэффективной.

Источники (прямые):

1. https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-247a
2. https://www.nytimes.com/2025/09/04/world/asia/china-hack-salt-typhoon.html
3. https://www.axios.com/2025/09/04/china-salt-typhoon-fbi-advisory-us-data

2. Крупнейшая кибератака на автопром: Jaguar Land Rover остановил производство и подтвердил утечку данных

Что произошло: Начиная с 5 сентября 2025 года, Jaguar Land Rover (JLR) столкнулся с масштабной кибератакой, которая привела к полной остановке производства на заводах в Великобритании и по всему миру. 10 сентября компания официально признала, что в результате атаки произошла утечка данных, и уведомила об этом Управление Комиссара по информации Великобритании (ICO).

Как это произошло (технический разбор): Атака была классифицирована как инцидент с использованием программы-вымогателя. Ответственность за нее, по некоторым данным, взяла на себя киберпреступная группировка Scattered Spider. Предположительно, злоумышленники получили первоначальный доступ через социальную инженерию, скомпрометировав учетные данные сотрудников. Для локализации угрозы компания была вынуждена превентивно отключить все ключевые IT-системы, что и привело к глобальному параличу производства и логистики.

Почему это важно: Этот инцидент стал одним из самых разрушительных в истории автомобильной промышленности, демонстрируя уязвимость глобальных цепочек поставок. Ущерб от простоя оценивается в сотни миллионов фунтов стерлингов. Утечка данных клиентов и сотрудников несет огромные репутационные риски. Этот кейс стал ярким примером того, как кибератака на IT-системы может полностью остановить физическое производство в глобальном масштабе.

Источники (прямые):

1. https://media.jaguarlandrover.com/news/2025/09/statement-cyber-incident-0
2. https://www.reuters.com/business/retail-consumer/jaguar-land-rover-battling-overcome-severely-disruptive-cyber-breach-2025-09-05/
3. https://www.bbc.com/news/articles/c1jzl1lw4y1o

3. Масштабная атака на цепочку поставок npm: вредоносный код в 18 популярных пакетах

Что произошло: 8 сентября 2025 года была зафиксирована одна из крупнейших атак на цепочку поставок в экосистеме JavaScript. Злоумышленники скомпрометировали учетную запись разработчика и опубликовали вредоносные версии 18 популярных npm-пакетов, включая chalk, debug и colors, которые совместно имеют более 2 миллиардов загрузок в неделю. Вредоносный код был нацелен на кражу криптовалюты из браузерных кошельков.

Как это произошло (технический разбор): Атака началась с успешной фишинговой кампании: разработчик получил письмо, замаскированное под официальное уведомление от npm, с требованием обновить двухфакторную аутентификацию (2FA). Ссылка вела на фишинговый сайт, где были похищены его учетные данные. Получив доступ, злоумышленники внедрили в новые версии пакетов обфусцированный код, который перехватывал сетевые запросы и API криптокошельков, подменяя адреса получателей в транзакциях.

Почему это важно: Инцидент демонстрирует крайнюю уязвимость современной веб-разработки. Компрометация одного аккаунта разработчика может мгновенно распространить вредоносный код на миллионы пользователей. Атака подчеркивает, что фишинг, нацеленный на разработчиков, остается одним из самых эффективных векторов для атак на цепочку поставок ПО.

Источники (прямые):

1. https://www.bleepingcomputer.com/news/security/hackers-hijack-npm-packages-with-2-billion-weekly-downloads-in-supply-chain-attack/
2. https://www.wiz.io/blog/widespread-npm-supply-chain-attack-breaking-down-impact-scope-across-debug-chalk
3. https://www.sonatype.com/blog/npm-chalk-and-debug-packages-hit-in-software-supply-chain-attack

4. Прецедент в сфере ИИ: Anthropic выплатит $1,5 млрд по искам об обучении на пиратских книгах

Что произошло: 5 сентября 2025 года стало известно, что ИИ-компания Anthropic согласилась выплатить $1,5 миллиарда для урегулирования коллективного иска от авторов и издателей за незаконное использование около 500 000 книг, скачанных с пиратских сайтов (включая LibGen), для обучения своей языковой модели Claude.

Как это произошло (технический разбор): Иск был подан после того, как стало известно, что для обучения Claude использовались датасеты, содержащие книги, полученные из теневых библиотек. В июне 2025 года суд вынес промежуточное решение: обучение на легально приобретенных данных было признано добросовестным использованием (fair use), однако обучение на пиратских копиях — нет.

Почему это важно: Это знаковое событие для всей индустрии ИИ. Оно создает мощный юридический прецедент, утверждающий, что ИИ-компании не могут безнаказанно использовать пиратский контент для обучения своих моделей. Сумма в $1,5 млрд станет серьезным сдерживающим фактором и подтолкнет другие компании к лицензированию контента у правообладателей.

Источники (прямые):

1. https://www.authorsguild.org/press-release/anthropic-settlement-what-authors-need-to-know/
2. https://www.npr.org/2025/09/05/nx-s1-5529404/anthropic-settlement-authors-copyright-ai
3. https://www.reuters.com/sustainability/boards-policy-regulation/anthropic-agrees-pay-15-billion-settle-author-class-action-2025-09-05/

5. OpenAI выходит на рынок чипов в партнерстве с Broadcom

Что произошло: 5 сентября 2025 года стало известно, что OpenAI заключила соглашение с производителем полупроводников Broadcom о разработке и производстве собственных чипов для искусственного интеллекта. Массовое производство запланировано на 2026 год. Broadcom подтвердил получение заказа на $10 млрд от неназванного клиента, которым, по данным источников Financial Times, является OpenAI.

Как это произошло (технический разбор): OpenAI будет проектировать чипы (так называемые XPU — ускоренные процессорные устройства), а Broadcom выступит производственным партнером. Этот шаг является частью стратегии OpenAI по вертикальной интеграции и снижению зависимости от Nvidia. Собственные чипы позволят OpenAI оптимизировать аппаратное обеспечение под свои модели.

Почему это важно: Это стратегический сдвиг для всей ИИ-индустрии. Вслед за Google, Amazon и Meta, крупнейший разработчик языковых моделей также начинает создавать собственное железо. Этот шаг может ослабить монополию Nvidia и стимулировать конкуренцию на рынке ИИ-ускорителей.

Источники (прямые):

1. https://www.reuters.com/business/openai-launch-its-first-ai-chip-2026-with-broadcom-ft-reports-2025-09-05/
2. https://www.ft.com/content/96b59d8c-3625-4c2c-a6d6-435cff0392bf
3. https://www.ixbt.com/news/2025/09/05/openai-sovmestno-s-broadcom-sozdast-sobstvennyj-chip-dlja-iskusstvennogo-intellekta.html

6. «ИИ-вымогатель» PromptLock оказался научным проектом

Что произошло: В конце августа компания ESET сообщила об обнаружении первого в мире вируса-вымогателя PromptLock, использующего ИИ. Однако 5 сентября 2025 года стало известно, что вредонос был создан исследователями из Нью-Йоркского университета (NYU) в качестве научного эксперимента.

Как это произошло (технический разбор): Проект под названием “Ransomware 3.0” представляет собой программу-оркестратор, которая использует локально запущенную open-source языковую модель для автономного выполнения всех фаз атаки: от сканирования системы до генерации уникальных вредоносных скриптов и записок с требованием выкупа.

Почему это важно: Несмотря на то, что угроза оказалась академической, проект продемонстрировал, насколько легко и дешево можно создавать полностью автономные и полиморфные кибератаки с помощью ИИ. Этот кейс стал тревожным звонком для индустрии кибербезопасности.

Источники (прямые):

1. https://engineering.nyu.edu/news/large-language-models-can-execute-complete-ransomware-attacks-autonomously-nyu-tandon-research
2. https://cyberscoop.com/ai-ransomware-promptlock-nyu-behind-code-discovered-by-security-researchers/
3. https://www.pcmag.com/news/promptlock-ransomware-is-just-a-research-project-but-its-still-disturbing

7. Европа вошла в «экза-лигу»: официальный запуск суперкомпьютера JUPITER

Что произошло: 5 сентября 2025 года в Исследовательском центре Юлиха (Германия) был официально запущен JUPITER — первый в Европе суперкомпьютер, достигший экзафлопсного уровня производительности. Он занял четвертое место в мировом рейтинге самых мощных суперкомпьютеров.

Как это произошло (технический разбор): JUPITER построен на архитектуре Eviden BullSequana XH3000 и оснащен платформой NVIDIA Grace Hopper. Его вычислительная мощность эквивалентна миллиону современных смартфонов. Система предназначена для решения сложнейших научных задач, включая обучение фундаментальных моделей ИИ.

Почему это важно: Запуск JUPITER — это ключевой шаг Европы в гонке за технологический и цифровой суверенитет, позволяющий сократить отставание от США и Китая в области высокопроизводительных вычислений и ИИ.

Источники (прямые):

1. https://ec.europa.eu/commission/presscorner/detail/en/ip_25_2029
2. https://digital-strategy.ec.europa.eu/en/news/europe-enters-exascale-supercomputing-league-jupiter
3. https://www.dw.com/ru/v-germanii-vveden-v-stroj-samyj-bystryj-superkomputer-evropy/a-73895802

8. Microsoft выпустила сентябрьское обновление безопасности, закрыв 81 уязвимость

Что произошло: 10 сентября 2025 года в рамках «вторника обновлений» Microsoft выпустила патчи для 81 уязвимости в своих продуктах. Две уязвимости уже использовались злоумышленниками в реальных атаках (0-day), а одна из них, в Azure Kubernetes Service (AKS), получила максимальный рейтинг опасности CVSS 10.0.

Как это произошло (технический разбор): Наиболее критической является уязвимость CVE-2025-54238 в AKS, позволяющая удаленному неаутентифицированному злоумышленнику полностью скомпрометировать кластер. Также активно эксплуатировалась уязвимость обхода аутентификации в ядре Windows (CVE-2025-9377).

Почему это важно: Сентябрьский релиз подчеркивает непрекращающиеся риски, связанные с уязвимостями в базовой IT-инфраструктуре. Наличие двух 0-day уязвимостей и критической проблемы в популярном облачном сервисе Kubernetes требует от системных администраторов незамедлительной установки обновлений.

Источники (прямые):

1. https://msrc.microsoft.com/update-guide/releaseNote/2025-Sep
2. https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2025-patch-tuesday-fixes-2-zero-days-81-flaws/
3. https://www.securitylab.ru/news/563296.php

9. Казахстан объявил о создании Министерства искусственного интеллекта

Что произошло: 8 сентября 2025 года президент Казахстана Касым-Жомарт Токаев объявил о создании нового Министерства искусственного интеллекта и цифрового развития. Ведомство будет создано на базе существующего профильного министерства, а его глава получит статус заместителя премьер-министра.

Как это произошло (технический разбор): Этот шаг является частью национальной стратегии «Цифровой Казахстан», направленной на модернизацию экономики и госуправления на основе ИИ и анализа больших данных. Планируется ускорить принятие «Цифрового кодекса», который будет регулировать сферу ИИ и платформенную экономику.

Почему это важно: Создание профильного министерства на таком высоком уровне демонстрирует стратегическую ставку Казахстана на развитие ИИ как ключевого драйвера экономики и укрепление цифрового суверенитета.

Источники (прямые):

1. https://astanatimes.com/2025/09/kazakhstan-to-establish-ministry-of-artificial-intelligence-and-digital-development/
2. https://www.reuters.com/world/asia-pacific/kazakhstan-president-proposes-creating-ministry-artificial-intelligence-2025-09-08/
3. https://eurasianet.org/kazakhstans-president-proposes-creating-a-ministry-of-artificial-intelligence

10. Россия формирует «белые списки» сайтов на случай отключения интернета

Что произошло: 5 сентября 2025 года Минцифры РФ опубликовало предварительный список социально значимых ресурсов, доступ к которым будет сохраняться в периоды «ограничений» мобильного интернета по соображениям безопасности. В список вошли госуслуги, соцсети, маркетплейсы и банковские приложения.

Как это произошло (технический разбор): Технически это будет реализовано на стороне операторов связи с помощью систем фильтрации трафика (DPI), которые будут пропускать трафик только к разрешенным IP-адресам. Для доступа к ресурсам из «белого списка» не потребуется дополнительная идентификация или прохождение капчи.

Почему это важно: Инициатива является значимым шагом в построении «суверенного Рунета» и создании механизмов управления доступом к информации в национальном масштабе. Это вызывает дискуссии о балансе между безопасностью и цифровыми свободами.

Источники (прямые):

1. https://www.cnews.ru/news/top/2025-09-05_v_runet_po_belym_spiskam
2. https://www.vedomosti.ru/technology/articles/2025/09/06/1137202-mintsifri-opredelilo
3. https://habr.com/ru/news/944322/

11. Повреждение подводных кабелей в Красном море привело к сбоям в работе Microsoft Azure

Что произошло: 6–7 сентября 2025 года Microsoft сообщила о повышенной задержке в работе облачной платформы Azure для клиентов в Азии и на Ближнем Востоке. Причиной стали множественные обрывы подводных волоконно-оптических кабелей в Красном море.

Как это произошло (технический разбор): Были повреждены кабели систем SMW4 и IMEWE. Трафик был автоматически перемаршрутизирован на альтернативные каналы, однако это привело к увеличению задержек (latency) для пользователей в затронутых регионах.

Почему это важно: Инцидент подчеркивает физическую уязвимость глобальной интернет-инфраструктуры, от которой напрямую зависит работа облачных сервисов и ИИ-платформ. Он демонстрирует важность геораспределенных архитектур, планов аварийного восстановления и наличия резервных маршрутов передачи данных.

Источники (прямые):

1. https://www.reuters.com/technology/microsofts-azure-disrupted-by-fiber-cuts-red-sea-2025-09-06/
2. https://azure.status.microsoft/en-us/status/
3. https://www.networkworld.com/article/4052813/red-sea-cable-cuts-trigger-latency-for-azure-cloud-services-across-asia-and-the-middle-east.html

12. США объявили награду в $11 млн за информацию об украинском хакере-вымогателе

Что произошло: 9 сентября 2025 года Госдепартамент США объявил о вознаграждении в размере до $11 млн за информацию, которая приведет к аресту или осуждению украинского гражданина Владимира Тимощука, обвиняемого в администрировании нескольких крупных групп вымогателей, включая LockerGoga, MegaCortex и Nefilim.

Как это произошло (технический разбор): По данным Министерства юстиции США, Тимощук и его сообщники с 2019 по 2022 год проводили атаки на сотни организаций. Их тактика включала компрометацию сетей, развертывание программ-вымогателей, шифрование данных и двойное вымогательство с угрозой публикации похищенной конфиденциальной информации.

Почему это важно: Это одна из крупнейших наград, когда-либо объявленных за киберпреступника, что подчеркивает серьезность угрозы со стороны программ-вымогателей для национальной безопасности и экономики.

Источники (прямые):

1. https://www.state.gov/translations/%D1%80%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9/%D0%BF%D1%80%D0%B5%D0%B4%D0%BB%D0%B0%D0%B3%D0%B0%D0%B5%D1%82%D1%81%D1%8F-%D0%B2%D0%BE%D0%B7%D0%BD%D0%B0%D0%B3%D1%80%D0%B0%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D0%B2-%D1%80%D0%B0%D0%B7%D0%BC%D0%B5/
2. https://www.justice.gov/opa/pr/lockergoga-megacortex-and-nefilim-ransomware-administrator-charged-ransomware-attacks
3. https://www.securityweek.com/us-offers-10-million-reward-for-ukrainian-ransomware-operator/

---