шпионаж – DevStyleR https://devstyler.bg Новини за разработчици от технологии до лайфстайл Mon, 17 Nov 2025 17:36:56 +0000 bg-BG hourly 1 https://wordpress.org/?v=6.8.5 Apple предупреди за шпионски софтуер Exploit Developer https://devstyler.bg/blog/2025/10/27/apple-predupredi-za-shpionski-softuer-exploit-developer/ Mon, 27 Oct 2025 14:01:12 +0000 https://devstyler.bg/?p=300754 ...]]> Какво означава това за разработчиците, които работят в security общността?

Последното предупреждение на Apple за „наемнически“ шпионски софтуер този път не беше насочено към журналист или активист, а към exploit developer.

Както съобщи TechCrunch, Apple е уведомила бивш служител на компанията Trenchant – разработчик на експлойти – че неговият iPhone е бил мишена на държавен или наемнически оператор, използващ шпионски софтуер.

Това e първата по рода си нотификация в историята на системата на Apple за предупреждение при заплахи. Според официалната ѝ документация компанията изпраща подобни уведомления, когато „открие активност, съответстваща на атака с наемнически шпионски софтуер“, базирайки се на вътрешна телеметрия и глобални източници на информация за заплахи.

Цел: разработчиците на експлойти

Според TechCrunch, засегнатият изследовател – представен като Гибсън – е работил в западната компания Trenchant, която, подобно на други бутикови фирми в сектора, разработва „zero-day“ експлойти и инструменти за проникване, използвани в правителствени и договорни програми.

По данни на изданието, Гибсън е бил освободен по-рано тази година след обвинения, че е изтекъл вътрешен ‘exploit’ код. Малко след това е получил уведомлението от Apple, сигнализиращо за възможен опит за заразяване. Макар Apple да не е потвърдила реално компрометиране, предупреждението подсказва, че може да става дума за разузнавателна дейност или „zero-click“ експлоатация от висок клас оператор.

За общността по киберсигурност това събитие има по-дълбок смисъл — самите създатели на инструменти за атака се превръщат в цел.

Как работи системата на Apple?

Системата за засичане и уведомяване на Apple (Apple treat notifications) използва няколко слоя данни, което включва:

  • Съпоставка на аномалии в поведението на iOS с известни вериги на експлойти;
  • Обмен на разузнавателна информация с други доставчици за шпионски софтуер като Pegasus(NSO Group), Predator (Intellexa) и нови импланти, идентифицирани през 2024–2025 г.;
  • Следи, че зловредният софтуер се е опитал да остане скрит в системата или да заобиколи защитата на iPhone.

Apple не разкрива технически детайли или индикатори за компрометиране, за да запази целостта на разследванията, но подчертава, че всяко уведомление „се базира на разузнавателни данни, сочещи използването на наемнически шпионски софтуер срещу конкретен човек или устройство“.

Какво означава това за разработчиците на експлойти и „red team“ специалистите

Това събитие разширява зоната на риск за хората, работещи в областта на офанзивната или сива киберсигурност.

  1. Шпионаж и кражба на интелектуална собственост
    Компании като Trenchant са ценна мишена за държавни служби и корпоративни шпиони. Достъпът до непубликувани уязвимости или „proof-of-concept“ експлойти може да даде огромно предимство.
  2. Ограничения в оперативната сигурност (OpSec)
    Дори специалисти, които използват строга сегментация на VPN, защитени лаптопи и изолирани тестови среди, често подценяват защитата на мобилните си устройства. Един iPhone в джоба може да се превърне в оперативна слабост.
  3. Zero-click атаки
    Модерните шпионски инструменти все по-често използват „zero-click“ вектори чрез iMessage, FaceTime или push механизми. От 2022 г. Apple препоръчва Lockdown Mode (HT212650) – функция, която ограничава ключови уязвимости, като деактивира „just-in-time“ компилация и обработката на богати линкове.

Какво трябва да направят разработчиците сега

Изследователи и екипи, които работят с експлойт код или чувствителни клиентски проекти, трябва да въведат следните базови защити:

  • Активирайте Lockdown Mode на всички лични и тестови устройства;
  • Разделяйте комуникациите – не свързвайте служебни Apple ID или акаунти за съобщения с тестови среди;
  • Не инсталирайте експериментални билдове извън контролирана лабораторна мрежа;
  • При получаване на уведомление от Apple – извършете пълна проверка чрез MDM или форензик инструменти като MVT или iMazing.

Apple съветва получателите на такива известия да ги „възприемат сериозно, но без автоматично да предполагат компрометиране“ – целта е повишаване на нивото на защита при хора с повишен риск.

Изображение: Freepik

]]>
Случаят SolarWinds се свързва с познати руски инструменти за шпионаж https://devstyler.bg/blog/2021/01/11/sluchaqt-solarwinds-se-svarzva-s-poznati-ruski-instrumenti-za-shpionaj/ Mon, 11 Jan 2021 11:37:58 +0000 https://devstyler.bg/?p=38470 ...]]> Групата зад глобалната кампания за кибершпионаж, открита миналия месец, използва злонамерен компютърен код с връзки към шпионски инструменти, използвани преди от предполагаеми руски хакери, съобщиха изследователи по случая SolarWinds. От Kaspersky заявиха, че “задната врата”, използвана за компрометирането на около 18 000 клиенти на SolarWinds, наподобява зловреден софтуер, свързан с хакерска група, известна като “Turla”, която според естонските власти работи от името на руската Федерална служба за сигурност.

Констатациите са първите публично достъпни доказателства в подкрепа на твърденията на Съединените щати, че Русия е организирала хак, който компрометира редица чувствителни федерални агенции и е сред най-амбициозните кибер операции, разкривани някога.

Москва многократно отрече обвиненията, а от ФСБ не отговорят на искането за коментар.

Костин Райу, ръководител на глобални изследвания и анализи в Kaspersky, е на мнение, че има три различни прилики между случилото се със SolarWinds и хакерския инструмент, наречен „Kazuar“, който се използва от Turla.

Приликите включват начина, по който и двата зловредни софтуера се опитват да скрият функциите си от анализаторите на сигурността, как хакерите идентифицират жертвите си и формулата, използвана за изчисляване на периоди, когато вирусите са в латентно състояние, за да избегнат откриването.

Една такава констатация може да бъде отхвърлена”, каза Райу. “Две неща определено ме карат да повдигам вежда. Три е повече от съвпадение.

Увереното приписване на отговорност на кибератаки е изключително трудно и обсипано с възможни клопки. Когато руските хакери нарушиха церемонията по откриването на зимните олимпийски игри през 2018 г., те умишлено имитираха севернокорейска група, за да се опитат да отклонят вината, съобщават от Reuters.

Райу казва, че разкритите от неговия екип цифрови улики не намесват пряко “Turla”, но показват, че има все още нерешена връзка между двата хакерски инструмента.

Екипите за сигурност в САЩ и други страни все още работят, за да определят пълния обхват на хакерството на SolarWinds. Разследващите заявиха, че може да отнеме месеци, за да се разбере мащабът на компрометирането и дори повече време, за да се изгонят хакерите от мрежите на жертвите.

Американските разузнавателни агенции заявиха, че хакерите са “вероятно руски по произход” и са насочени към малък брой високопоставени жертви като част от операция за събиране на разузнавателна информация.

]]>
CEO-то на Tik Tok подаде оставка заради политическо напрежение https://devstyler.bg/blog/2020/08/27/ceo-to-na-tik-tok-podade-ostavka-zaradi-politichesko-naprezhenie/ Thu, 27 Aug 2020 10:47:04 +0000 https://devstyler.bg/?p=34052 ...]]> Кевин Майар, изпълнителен директор на Tik Tok, напусна своята позиция след по-малко от 100 дни начело. Като основна причина за решението си, бившият CEO на платформата определи рязката промяна в политическата обстановка и отбеляза, че самата компания и това, което вижда в нейното бъдеще, нямат нищо общо с неговото оттегляне.

В официално становище, изпратено до медията CNET, Майар написа:

Когато поглеждаме към следващата фаза за компанията, няма съмнение, че бъдещето е изключително светло. Всякакви потенциални структурни промени няма да повлияят по никакъв начин на потребителите и тяхното преживяване с платформата и силно вярвам, че нашата общност ще става все по-креативна и разнообразна,” споделя той.

От компанията също се изразиха, като проявиха разбиране към решението на Майар и към това, че наистина в последните месеци политическата ситуация е по-напрегната. Става въпрос за набедените от страна на САЩ съмнения, че китайското правителство използва платформите Tik Tok и WeChat за шпионаж и нерегламентирано използване на данни на потребители. Поради тази причина, по-рано този месец, Тръмп подписа документ, който гласи, че двете приложения са рискови.

Все пак, в началото на август месец, Tik Tok отбеляза много сериозни изтегляния, като достигна 175 милиона само в САЩ и около 800 милиона глобално. Подписаната заповед гласи, че Tik Tok автоматично улавя огромна информация от своите потребители, като интернет и мрежови дейности, данни за местоположение и история на сърфиране из мрежата.

Събирането на тези данни заплашва да позволи на Китайската комунистическа партия достъп до личната и защитената информация на американците, като потенциално позволява на Китай да проследява местонахождението на федералните служители и контрагенти, да изгражда досиета с лична информация с цел изнудване и шпионаж”.

От TIk Tok отвърнаха на удара, като обещаха за съдят американското правителство, за приетата забрана. От платформата също така споделят, че от около година се опитват да работят с управлението на Тръмп, за изграждането на конструктивно решение, тъй като не са съгласни с обвиненията, че тяхната платформа представлява опасност за националната сигурност на САЩ.

От платформата също така изтъкват и друг детайл – основните фигури – CEO, Global Chief Security Officer и General Counsel са американци, базирани в Америка и следователно не подлежат на китайските закони. Също така, Tik Tok събира данните на американските потребители на сървъри, намиращи се в САЩ и Сингапур.

]]>
Австралия инвестира 1.35 милиарда в киберсигурност https://devstyler.bg/blog/2020/07/01/avstraliya-investira-1-35-miliarda-v-kibersigurnost/ Wed, 01 Jul 2020 15:57:44 +0000 https://devstyler.bg/?p=32307 ...]]> Австралийското правителство обяви, че ще разпредели 1.35 милиарда долара за укрепване на киберсигурността в страната, на базата на засилилото се подозрение в шпионаж от други страни. Инвестицията е планирана за усвояване в следващите 10 години, като освен в защита се очаква да подобри и разузнавателните способности на страната.

Това е рекордна инвестиция за Австралия, насочена специално към киберсигурност, но ще подсигури правилните инструменти, необходими за ответна борба при атаки. Това заяви министър-председателят Скот Морисън в заявление и определи приоритетните точки за опазване от зловредни кибератаки. Те са: икономиката, сигурността и суверенитета на страната.

И все пак финансовият фокус върху киберсигурността е сравнително миниатюрен, в сравнение с цялостната инвестиция, която австралийците мислят да инвестират в защита, равняваща се на 186.7 милиарда щатски долара.

По-рано през месеца правителството обяви, че страната е пострадала от сериозна кибератака, предизвиката чужда страна. Съдейки по геополитическото местоположение на Австралия, намирайки се в индо-тихоокеанския регион, основен заподозрян остава Китай. Морисън казва: “Знаем, че кибератаката е изпълнена от сериозен играч на държавно ниво, поради мащаба и характера на използвания търговски апарат”.

От своя страна и в своя защита, говорител на китайското външно министерство пък, обвини Австралия в насаждане на напрежение, шпиониране на китайски студенти и използване на австралийските медии за прокрадване на вредни теории за китайски шпионаж.

Отделно, австралийското правителство е сред тези, които апелират за независимо разследване за произхода на COVID-19, а освен това страната е блокирала китайските компании Huawei и ZTE от осигуряване на оборудване за инсталацията на австралийската 5G мрежа.

]]>
Китайското правителство сканира телефони на туристи https://devstyler.bg/blog/2019/07/05/kitajskoto-pravitelstvo-skanira-telefoni-na-turisti/ Fri, 05 Jul 2019 15:43:23 +0000 https://devstyler.bg/?p=20556 ...]]> Какво може да се случи, когато прекосяваме границата на китайския град Ксинян? Естествено, ще ни проверят документите, принадлежностите, ще поискат телефоните ни.
Какво става след като предадем мобилните си устройства на граничната полиция?

В близките дни в интернет се разпростря мълвата, че граничарите инсталират spyware в устройствата на хората, навлизащи в територията на Ксинян. Параноична превантивна мярка срещу всеки потенциален враг на идеализма. Очаквано, първото нещо, което му хрумва на човек е, може би страх от тероризъм – но не само. Въпросното приложение сканира над 70 000 файла от телефонното пространство, преглеждайки за всякакви интересни за китайското правителство улики.

Доколкото е известно за iPhone-ите, полицията разполага със специална машина към която ги свързват, докато за Android OS решението е в приложение, което не само сканира, но и събира данните. Контакт-листи, телефонни обаждания, SMS-и, инсталирани приложения, файлове, снимки, видеа, имейли, публикации или данни, водещи до връзка с Ислямска държава, снимки на Далай Лама, цитати от Корана, както и… японски метъл групи. Можем да предположим, че те влизат в графата на музикален тероризъм.

И все пак, това деяние остава меко казано спорно от правна гледна точка. Не се знае от колко време китайското правителство практикува този шпионаж, не се знае и колко време пази данните на туристите и как ги използва. Може да се спекулира, може да се намесят и теории на конспирациите. Ако турист бъде уличен в нещо, изчезва от опашката и… не се знае къде точно отива и какво се случва с него. Според Human Rights Watch, около един милион мюсюлмани са прибрани в лагери за “политическо образование”.

Фактът за това колко е спорна тази инсталация на апликацията за източване на данни е, че взимайки телефоните на туристите, митничарите се скриват в друго помещение. След като приключат със задачата, те изтриват приложението. Случаят става известен, след като граничната полиция забравя да изтрие приложението в някои устройства.

]]>