Волна кибератак на фоне эскалации на Ближнем Востоке, утечка шпионского софта для взлома iPhone и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Исследователи кибербезопасности Radware предупредили о всплеске активности хакеров после скоординированной военной кампании США и Израиля против Ирана.

Первый случай DDoS-атак зафиксирован 28 февраля. По данным аналитиков, за ней стояла Hider Nex (также известная как Tunisian Maskers Cyber Force) — тунисская хактивистская группа. Она использует стратегию «взлом и утечка» (hack-and-leak), сочетая намеренный перегруз сетей с кражей данных для продвижения своей повестки.

Согласно Radware, в период с 28 февраля по 2 марта зафиксировано 149 заявлений об атаках «отказа в обслуживании», направленных против 110 организаций в 16 странах. Они осуществлялись 12 различными группами, при этом на долю Keymous+ и DieNet пришлось около 70% всей активности.

Статистика атак:

В операциях также участвовали группы: Nation of Saviors, Conquerors Electronic Army, Sylhet Gang, 313 Team, Handala Hack, APT Iran и другие.

По данным The Hacker News, текущий масштаб кибератак включает:

Правоохранители Казахстана задержали подозреваемых в незаконной деятельности и отмывании денег с использованием криптовалют. Об этом сообщила пресс-служба АФМ.

По данным следствия, организатор реализовал схему извлечения дохода от операций с цифровыми активами. Ее участники обеспечивали поиск дропперов, оформление на них банковских карт и аккаунтов на криптобиржах, проведение финансовых операций и последующее обналичивание средств.

Деньги, поступившие на банковские карты более 150 посредников, переводились на их криптокошельки на бирже ATAIX. Злоумышленники предоставляли фиктивные договоры займа между владельцами счетов и аффилированным юрлицом, после чего средства конвертировались в цифровые активы и отправлялись на адреса OKX.

Для конвертации и вывода криптовалют использовался подконтрольный обменный пункт, через который средства переводились в иностранную валюту. В результате сумма операций превысила 3,5 млрд тенге (на момент написания ~$4,7 млн).

В ходе обыска правоохранители изъяли 46 мобильных телефонов, 92 банковские карты и 25 463 USDT.

Исследователи кибербезопасности Google Threat Intelligence Group (GTIG) нашли набор мощных инструментов для взлома iPhone со старыми версиями iOS. По их предположениям, мошенники получили шпионский софт в результате утечки у правительственного заказчика.

Пакет эксплойтов получил название Coruna и был впервые обнаружен Google в феврале 2025 года. Это произошло во время попытки поставщика технологий наблюдения взломать телефон с помощью шпионского ПО по заказу государственного ведомства.

Спустя несколько месяцев вредонос выявили в ходе масштабной кампании российской шпионской группы против украинских пользователей, а позже — у хакера в Китае.

Исследователи Google предупредили о формировании рынка «подержанных» эксплойтов, которые перепродаются хакерам, стремящимся извлечь максимальную выгоду из уязвимостей.

Компания в сфере мобильной безопасности iVerify провела реверс-инжиниринг таких инструментов. Специалисты связали пакет Coruna с американским правительством, основываясь на сходстве с софтом, ранее приписываемым США.

По данным экспертов Google, инструменты Coruna крайне опасны: они позволяют обойти защиту iPhone простым посещением вредоносного сайта (например, при переходе по ссылке), что известно как атака типа «водопой» (watering hole). Пакет способен взломать смартфон пятью различными способами, используя цепочку из 23 отдельных уязвимостей. Опасность сохраняется для владельцев устройств с версиями iOS от 13 до 17.2.1.

ФБР в ходе совместной операции под руководством Европола арестовало крупную онлайн-площадку, которую хакеры использовали для купли-продажи инструментов взлома и украденных данных.

3 и 4 марта правоохранители заблокировали два домена LeakBase и предупредили участников о сборе доказательств. Параллельно с этим происходили обыски, задержания и допросы в США, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании.

Площадка LeakBase работала с 2021 года и изначально поддерживалась хакерской группировкой ARES. Она значительно выросла после закрытия форума Breached — аудитория насчитывала более 142 000 участников.

Регистрация была бесплатной. Форум предлагал доступ к базам данных, рынок для продажи утечек и эксплойтов, систему эскроу-платежей, а также разделы по программированию, социальной инженерии и криптографии.

22-летний житель Алабамы признал себя виновным в вымогательстве, киберпреследовании и мошенничестве после взлома аккаунтов в соцсетях сотен женщин. Об этом сообщил Минюст США.

По данным правоохранителей, в период с апреля 2022 по май 2025 года Джамаркус Мосли выдавал себя за друзей жертв и использовал другие тактики манипуляции, чтобы обманом заставить девушек передать ему коды восстановления и пароли. Получив их, мошенник захватывал контроль над их аккаунтами в Snapchat, Instagram и других соцсетях.

После взлома он угрожал обнародовать частные интимные фотографии и видео жертв или навсегда заблокировать им доступ, если они не выполнят его требования:

По словам прокуроров, в одном из случаев Мосли использовал взломанный аккаунт 17-летней пострадавшей для связи с ее 13-летней сестрой. Он отправил ей скриншот карты в Snapchat, намекая, что знает, где она живет. В другом злоумышленник выложил украденные снимки жертвы в сеть.

Также на ForkLog:

В новом материале ForkLog Кшиштоф Шпак разобрался, как устроены ИИ-системы слежки на улицах больших городов и почему государства поторопились с их повсеместным внедрением.

Подписывайтесь на ForkLog в социальных сетях

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

Источник