Период: 18–24 сентября 2025 г.
КИБЕРБЕЗОПАСНОСТЬ
1) Рансомварная атака на Collins Aerospace нарушила работу европейских аэропортов
Что произошло: 19–24 сентября в Европе фиксировались задержки и отмены рейсов из-за сбоя в системах наземного обслуживания и биллинга, вызванного кибератакой на провайдера авиационных ИТ-услуг Collins Aerospace (дочерняя компания RTX). Пострадали, в частности, берлинский аэропорт BER и другие хабы в регионе; 24 сентября задержки продолжались.
Как это произошло (технический разбор): Атакующие развернули программу-вымогатель в IT-инфраструктуре Collins Aerospace, зашифровав серверы, отвечающие за работу критически важных сервисов для авиакомпаний, включая системы планирования и отправления рейсов (Departure Control Systems). Инцидент является классической атакой на цепочку поставок (supply chain), где векторами входа могли послужить фишинг, компрометация учетных данных или эксплуатация уязвимостей во внешних сервисах (VPN, RDP), с последующим латеральным перемещением и развертыванием шифровальщика.
Почему это важно: Единичная компрометация ключевого технологического провайдера транзитом бьёт по множеству объектов критической транспортной инфраструктуры, демонстрируя системную уязвимость отрасли. Для авиации это означает необходимость пересмотра требований к киберустойчивости подрядчиков и внедрения планов по ручному или резервному управлению операциями. Для всех отраслей это подтверждение критической важности аудита безопасности поставщиков.
Источники:
- https://www.reuters.com/business/aerospace-defense/disruptions-drag-berlin-airport-after-cyberattack-2025-09-24/
- https://www.reuters.com/world/europe/collins-aerospace-cyberattack-sparks-delays-at-european-airports-2025-09-23/
- https://apnews.com/article/collins-aerospace-europe-airports-cyberattack-9f7392a5ec94f58ddf4f1a2f3bb2fbe6
2) Критическая RCE-уязвимость в Fortra GoAnywhere MFT (CVE-2025-10035, CVSS 10.0)
Что произошло: 18 сентября Fortra опубликовала адвайзори о критической уязвимости в GoAnywhere MFT, позволяющей удалённое выполнение команд без аутентификации. 22 сентября NVD присвоил ей идентификатор CVE-2025-10035 с максимальной базовой оценкой 10.0. Доступны исправления (версии 7.8.4 и 7.6.3).
Как это произошло (технический разбор): Уязвимость вызвана ошибкой небезопасной десериализации непроверенных данных (CWE-502) в компоненте License Servlet. Атакующий, имеющий сетевой доступ к административной консоли, может отправить специально сформированный запрос, который при обработке приведет к выполнению произвольного кода на сервере. История продукта (массовая эксплуатация уязвимости CVE-2023-0669 группой Cl0p) повышает риск быстрых и масштабных атак.
Почему это важно: Решения класса MFT (Managed File Transfer) используются для обмена чувствительными данными (финансы, здравоохранение, ритейл). Уязвимость с максимальным рейтингом в таком продукте — это прямой путь к массовым утечкам данных и атакам программ-вымогателей. Организациям необходимо срочно обновиться, ограничить доступ к административной консоли из интернета и провести поиск индикаторов компрометации в логах.
Источники:
- https://www.fortra.com/security/advisories/product-security/fi-2025-012
- https://nvd.nist.gov/vuln/detail/CVE-2025-10035
- https://www.helpnetsecurity.com/2025/09/22/fortra-goanywhere-vulnerability-cve-2025-10035/
3) CISA опубликовала отчет по вредоносу для Ivanti EPMM (эксплуатация CVE-2025-4427/4428)
Что произошло: 18 сентября Агентство по кибербезопасности США (CISA) выпустило Отчет об анализе вредоносного ПО (Malware Analysis Report, AR25-261A) по двум семействам вредоносов, использованных при компрометации систем управления мобильными устройствами Ivanti Endpoint Manager Mobile (EPMM) через связку уязвимостей CVE-2025-4427 (обход аутентификации) и CVE-2025-4428 (RCE).
Как это произошло (технический разбор): Атакующие через API внедряли JAR-лоадеры, маскируя вредоносные классы под легитимные (например, org.apache.http). Лоадер декодировал полезную нагрузку из Base64 и подменял обработчики веб-сервера Tomcat с помощью Java EL-инъекций. Это позволяло перехватывать HTTP-трафик, выполнять произвольный код на сервере и закрепляться в системе. Использование отложенной загрузки классов и разделение полезной нагрузки на части помогали обходить средства обнаружения.
Почему это важно: MDM-системы являются высокоценными активами, так как их компрометация предоставляет доступ к корпоративной почте, VPN-конфигурациям и политикам безопасности мобильных устройств. Отчет CISA предоставляет защитникам готовые индикаторы компрометации (IOC) и правила для их обнаружения (YARA/Sigma), которые необходимо немедленно внедрять в системы мониторинга.
Источники:
- https://www.cisa.gov/news-events/alerts/2025/09/18/cisa-releases-malware-analysis-report-malicious-listener-targeting-ivanti-endpoint-manager-mobile
- https://www.cisa.gov/sites/default/files/2025-09/AR25-261A_MAR_Malicious_Listener_for_Ivanti_EPMM_Systems_2.pdf
4) Google закрыла активно эксплуатируемую 0-day в Chrome (CVE-2025-10585)
Что произошло: 18 сентября Google выпустила экстренное обновление Chrome (140.0.7339.185/186), устранив уязвимость CVE-2025-10585, которая, по заявлению компании, уже использовалась в реальных атаках. 23 сентября CISA добавила эту уязвимость в свой Каталог известных эксплуатируемых уязвимостей (KEV).
Как это произошло (технический разбор): Уязвимость представляет собой ошибку путаницы типов (type confusion) в JavaScript-движке V8. Посещение жертвой специально созданной вредоносной веб-страницы может привести к повреждению памяти и последующему выполнению произвольного кода в контексте процесса браузера. Такие уязвимости часто используются в цепочках атак для первоначального заражения и последующего повышения привилегий в системе.
Почему это важно: Очередная уязвимость «нулевого дня» в самом популярном браузере в мире представляет высокий риск для всех пользователей и организаций. Включение ее в каталог KEV подчеркивает срочность установки обновлений. Для корпоративного сектора это критично, так как такие уязвимости активно используются в фишинговых кампаниях против сотрудников для проникновения в защищенные сети.
Источники:
- https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html
- https://nvd.nist.gov/vuln/detail/CVE-2025-10585
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
5) Масштабная supply-chain-компрометация экосистемы npm («Shai-Hulud»)
Что произошло: 23 сентября CISA выпустила предупреждение о «самокопирующемся» черве, который скомпрометировал более 500 пакетов в репозитории npm. Вредоносное ПО было нацелено на кражу токенов доступа GitHub (PAT) и ключей облачных провайдеров (AWS/GCP/Azure). В ответ GitHub представил план по усилению безопасности npm.
Как это произошло (технический разбор): Атака начиналась с компрометации учетной записи одного из разработчиков. Затем вредоносный скрипт, добавленный в его пакеты, автоматически сканировал окружение сборки на наличие секретов (ключей, токенов). Найденные учетные данные использовались для аутентификации в npm от имени других разработчиков и заражения уже их пакетов, создавая цепную реакцию. Публикация секретов в публичный репозиторий через API позволяла атакующим быстро их собирать.
Почему это важно: Этот инцидент демонстрирует крайнюю опасность атак на цепочку поставок ПО. Риск транзитивного попадания вредоноса в CI/CD-пайплайны и производственные среды критичен для всех компаний, использующих open-source компоненты. Требуются срочная инвентаризация зависимостей, ротация всех скомпрометированных учетных данных, внедрение обязательной 2FA и сканирование секретов в коде.
Источники:
- https://www.cisa.gov/news-events/alerts/2025/09/23/widespread-supply-chain-compromise-impacting-npm-ecosystem
- https://github.blog/engineering/npm/our-plan-for-a-more-secure-npm-supply-chain/
6) Рекордные DDoS-атаки до 22 Тбит/с и 10 млрд пакетов/с
Что произошло: 24 сентября профильные издания и провайдеры защиты от DDoS сообщили о серии атак беспрецедентной мощности, достигавших пиковых значений в 22 терабита в секунду (Тбит/с) по объему и 10 миллиардов пакетов в секунду (Bpps) по интенсивности. Атаки связывают с новым мощным ботнетом «Aisuru».
Как это произошло (технический разбор): Атакующие сочетали несколько техник. Объемный трафик (volumetric) генерировался с помощью UDP-флудов и методов усиления (DNS/NTP amplification), целью которых было полностью забить интернет-каналы жертвы. Одновременно применялись высокочастотные L3/L4-атаки (например, SYN-флуд), направленные на исчерпание ресурсов сетевого оборудования (таблиц состояний маршрутизаторов и межсетевых экранов).
Почему это важно: Зафиксированные метрики близки к физическим пределам пропускной способности магистральных каналов связи. Это означает, что даже самые крупные компании и провайдеры могут оказаться не готовы к отражению таких атак. Для защиты требуются многоуровневые решения, включая адаптивную фильтрацию трафика на стороне оператора (scrubbing-центры) и автоматизированные сценарии реагирования.
Источники:
- https://www.securityweek.com/record-breaking-ddos-attack-peaks-at-22-tbps/
- https://www.bleepingcomputer.com/news/security/record-22-tbps-10bpps-ddos-attacks-target-internet-providers-platforms/
7) Школьный округ Uvalde (Техас) остановил занятия из-за кибератаки
Что произошло: Школьный округ Uvalde в Техасе был вынужден отменить занятия на несколько дней, начиная с 18 сентября, после серьезной кибератаки, которая парализовала IT-системы. Округ объявил о поэтапном возобновлении очного обучения и сервисов на неделе с 23 сентября.
Как это произошло (технический разбор): По характеру последствий инцидент является атакой программы-вымогателя. Злоумышленники зашифровали ключевые серверы округа, включая системы управления информацией об учащихся (SIS) и коммуникационные платформы. Процесс восстановления потребовал не только дешифровки или восстановления данных из резервных копий, но и полной проверки всей IT-инфраструктуры, сброса учетных данных всех учеников и персонала, а также проверки личных устройств перед повторным подключением к сети.
Почему это важно: Этот кейс иллюстрирует высокую уязвимость образовательных учреждений, которые часто имеют ограниченные бюджеты на кибербезопасность, но хранят большие объемы персональных данных. Инцидент подчеркивает необходимость разработки планов непрерывности бизнеса и реагирования на инциденты (BCP/IR), а также внедрения базовых мер защиты, таких как сетевая сегментация и регулярное резервное копирование.
Источники:
- https://www.ksat.com/news/local/2025/09/18/uvalde-cisd-extends-district-closure-through-monday/
- https://govtech.com/education/k-12/texas-district-hit-by-cyberattack-extends-closure-to-sept-23
ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ И ИНФРАСТРУКТУРА
8) OpenAI и NVIDIA объявили стратегическое партнёрство с инвестициями до $100 млрд
Что произошло: 22–23 сентября OpenAI и NVIDIA заключили соглашение о намерениях, в рамках которого NVIDIA планирует поэтапно инвестировать до $100 млрд в создание и развёртывание ИИ-суперкомпьютеров для OpenAI. Цель — построить ЦОДы общей мощностью не менее 10 ГВт, оснащенные миллионами GPU следующего поколения.
Как это произошло (технический разбор): Партнерство предполагает синхронизацию дорожных карт разработки программного обеспечения (моделей OpenAI) и аппаратного обеспечения (чипов NVIDIA). NVIDIA выступит предпочтительным поставщиком вычислительной и сетевой инфраструктуры. Это позволит создавать аппаратные комплексы, изначально оптимизированные под архитектуру будущих моделей, что значительно сократит время и стоимость их обучения.
Почему это важно: Беспрецедентный по масштабу проект закрепляет де-факто стандартизацию ИИ-индустрии под стеком NVIDIA и задаёт новую планку капиталоёмкости для создания «фабрик ИИ». Это делает гонку за AGI еще более дорогой и концентрирует передовые разработки в руках нескольких технологических гигантов.
Источники:
- https://openai.com/index/openai-nvidia-systems-partnership/
- https://nvidianews.nvidia.com/news/openai-and-nvidia-announce-strategic-partnership-to-deploy-10gw-of-nvidia-systems
9) OpenAI, Oracle и SoftBank расширили проект Stargate: пять новых площадок ЦОД
Что произошло: 23 сентября OpenAI объявила о добавлении пяти новых площадок для строительства сверхкрупных дата-центров Stargate в США и Великобритании. Oracle выступает ключевым облачным партнёром, а SoftBank — инфраструктурным инвестором и оператором.
Как это произошло (технический разбор): Модель «гигаваттных фабрик ИИ» предполагает совместное строительство и развёртывание ЦОДов с крупными облачными и телекоммуникационными игроками. Архитектура таких объектов унифицирована под требования ИИ-нагрузок: сверхплотное размещение GPU, жидкостное охлаждение, высокоскоростные интерконнекты и прямой доступ к мощным источникам энергии.
Почему это важно: Формируется глобальная карта размещения сверхкрупных ИИ-мощностей. Это усиливает связку разработчиков фундаментальных моделей, облачных провайдеров и телеком-инфраструктуры, делая доступ к таким «фабрикам» ключевым конкурентным преимуществом.
Источники:
- https://openai.com/index/stargate-advances-with-partnership-with-oracle/
- https://www.reuters.com/technology/openai-oracle-softbank-unveil-plans-five-new-stargate-ai-data-centers-2025-09-24/
10) AWS Bedrock добавил открытые модели Qwen3 и DeepSeek-V3.1
Что произошло: 18 сентября Amazon сообщила о пополнении каталога управляемого сервиса Bedrock новыми моделями с открытыми весами: Qwen3 от Alibaba и DeepSeek-V3.1. Теперь корпоративные клиенты AWS могут легко разворачивать и использовать эти модели для своих задач.
Как это произошло (технический разбор): Интеграция реализована через унифицированный API Bedrock, который позволяет вызывать различные модели по запросу. AWS предоставляет готовую инфраструктуру для инференса (включая серверлесс-варианты), а также инструменты для безопасности, мониторинга и управления доступом, что упрощает внедрение открытых моделей в корпоративную среду.
Почему это важно: Этот шаг усиливает тренд на использование открытых (или «открыто-весовых») моделей в корпоративных приложениях. Крупные облачные провайдеры делают их промышленным стандартом, предлагая клиентам прозрачность, возможность тонкой настройки и лучшее соотношение цены и производительности по сравнению с закрытыми проприетарными моделями.
Источники:
- https://www.aboutamazon.com/news/aws/aws-bedrock-adds-new-open-models-qwen3-and-deepseek-v3-1
- https://aws.amazon.com/blogs/machine-learning/introducing-qwen3-and-deepseek-v3-1-on-amazon-bedrock/
11) Минэнерго США запускает инициативу по ускорению строительства ЛЭП для ИИ-ЦОДов
Что произошло: 18 сентября Министерство энергетики США (DOE) официально запустило инициативу «Speed to Power» для ускорения строительства крупных проектов по генерации и передаче электроэнергии. Цель — обеспечить растущие потребности дата-центров для ИИ.
Как это произошло (технический разбор): Инициатива предполагает использование федеральных полномочий и финансирования для ускоренного согласования и реализации мегапроектов (масштаба гигаватт). DOE собирает предложения от энергетических компаний по проектам, которые могут быть быстро развернуты для питания ИИ-кластеров. Параллельно Федеральная комиссия по регулированию энергетики (FERC) ужесточает требования к кибербезопасности энергосетей.
Почему это важно: Государственный регулятор официально признал, что доступ к энергии становится главным ограничителем для развития ИИ в стране. Это системный сдвиг, при котором энергетическая политика напрямую увязывается с национальной технологической стратегией. Для бизнеса это «зелёный свет» для инвестиций в энергетическую инфраструктуру, ориентированную на ИИ.
Источники:
- https://www.energy.gov/articles/energy-department-launches-speed-power-initiative-accelerating-large-scale-grid
- https://www.energy.gov/speed-to-power
- https://www.federalregister.gov/documents/2025/09/18/2025-18058/accelerating-speed-to-powerwinning-the-artificial-intelligence-race-federal-action-to-rapidly-expand
Author: admin
Related Posts
Дайджест событий в сфере кибербезопасности и ИИ (5–10 сентября 2025 г.)
Ransomware в образовании-2025: техника атак, падение выкупов и ускорение восстановления