Волна кибератак на фоне эскалации на Ближнем Востоке, утечка шпионского софта для взлома iPhone и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Конфликт на Ближнем Востоке спровоцировал кибератаки в 16 странах

Исследователи кибербезопасности Radware предупредили о всплеске активности хакеров после скоординированной военной кампании США и Израиля против Ирана.

Первый случай DDoS-атак зафиксирован 28 февраля. По данным аналитиков, за ней стояла Hider Nex (также известная как Tunisian Maskers Cyber Force) — тунисская хактивистская группа. Она использует стратегию «взлом и утечка» (hack-and-leak), сочетая намеренный перегруз сетей с кражей данных для продвижения своей повестки.

Согласно Radware, в период с 28 февраля по 2 марта зафиксировано 149 заявлений об атаках «отказа в обслуживании», направленных против 110 организаций в 16 странах. Они осуществлялись 12 различными группами, при этом на долю Keymous+ и DieNet пришлось около 70% всей активности.

Статистика атак:

• подавляющее число атак (107) было сосредоточено на Ближнем Востоке. На Европу пришлось 22,8% глобальной активности;
• почти 47,8% пострадавших организаций относятся к государственному сектору, далее следуют финансы (11,9%) и телекоммуникации (6,7%);
• внутри ближневосточного региона атаки затронули Кувейт (28%), Израиль (27,1%) и Иорданию (21,5%).

В операциях также участвовали группы: Nation of Saviors, Conquerors Electronic Army, Sylhet Gang, 313 Team, Handala Hack, APT Iran и другие.

По данным The Hacker News, текущий масштаб кибератак включает:

• взломы военных сетей. Пророссийские Cardinal и Russian Legion заявили о взломе израильских военных сетей, включая систему ПРО «Железный купол»;
• SMS-фишинг. Одной из целью хакеров стало приложение RedAlert — мобильная версия системы раннего оповещения «Цева адом» («Красный цвет»). Злоумышленники, вероятно, использовали уязвимости для внедрения шпионского ПО на устройства;
• возрождение старых угроз. Группировка Cotton Sandstorm (Haywire Kitten) возобновила работу под названием Altoufan Team, атакуя сайты в Бахрейне.

В Казахстане группу лиц заподозрили в отмывании денег через криптовалюту на сумму $4,7 млн 

Правоохранители Казахстана задержали подозреваемых в незаконной деятельности и отмывании денег с использованием криптовалют. Об этом сообщила пресс-служба АФМ.

По данным следствия, организатор реализовал схему извлечения дохода от операций с цифровыми активами. Ее участники обеспечивали поиск дропперов, оформление на них банковских карт и аккаунтов на криптобиржах, проведение финансовых операций и последующее обналичивание средств.

Деньги, поступившие на банковские карты более 150 посредников, переводились на их криптокошельки на бирже ATAIX. Злоумышленники предоставляли фиктивные договоры займа между владельцами счетов и аффилированным юрлицом, после чего средства конвертировались в цифровые активы и отправлялись на адреса OKX.

Для конвертации и вывода криптовалют использовался подконтрольный обменный пункт, через который средства переводились в иностранную валюту. В результате сумма операций превысила 3,5 млрд тенге (на момент написания ~$4,7 млн).

В ходе обыска правоохранители изъяли 46 мобильных телефонов, 92 банковские карты и 25 463 USDT.

Исследователи обнаружили шпионский софт для взлома iPhone 

Исследователи кибербезопасности Google Threat Intelligence Group (GTIG) нашли набор мощных инструментов для взлома iPhone со старыми версиями iOS. По их предположениям, мошенники получили шпионский софт в результате утечки у правительственного заказчика.

Пакет эксплойтов получил название Coruna и был впервые обнаружен Google в феврале 2025 года. Это произошло во время попытки поставщика технологий наблюдения взломать телефон с помощью шпионского ПО по заказу государственного ведомства.

Спустя несколько месяцев вредонос выявили в ходе масштабной кампании российской шпионской группы против украинских пользователей, а позже — у хакера в Китае.

Исследователи Google предупредили о формировании рынка «подержанных» эксплойтов, которые перепродаются хакерам, стремящимся извлечь максимальную выгоду из уязвимостей.

Компания в сфере мобильной безопасности iVerify провела реверс-инжиниринг таких инструментов. Специалисты связали пакет Coruna с американским правительством, основываясь на сходстве с софтом, ранее приписываемым США.

По данным экспертов Google, инструменты Coruna крайне опасны: они позволяют обойти защиту iPhone простым посещением вредоносного сайта (например, при переходе по ссылке), что известно как атака типа «водопой» (watering hole). Пакет способен взломать смартфон пятью различными способами, используя цепочку из 23 отдельных уязвимостей. Опасность сохраняется для владельцев устройств с версиями iOS от 13 до 17.2.1.

ФБР закрыло киберфорум с данными 142 000 участников

ФБР в ходе совместной операции под руководством Европола арестовало крупную онлайн-площадку, которую хакеры использовали для купли-продажи инструментов взлома и украденных данных. 

3 и 4 марта правоохранители заблокировали два домена LeakBase и предупредили участников о сборе доказательств. Параллельно с этим происходили обыски, задержания и допросы в США, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании.

Площадка LeakBase работала с 2021 года и изначально поддерживалась хакерской группировкой ARES. Она значительно выросла после закрытия форума Breached — аудитория насчитывала более 142 000 участников.

Регистрация была бесплатной. Форум предлагал доступ к базам данных, рынок для продажи утечек и эксплойтов, систему эскроу-платежей, а также разделы по программированию, социальной инженерии и криптографии.

Житель Алабамы шантажировал сотни женщин после взлома их аккаунтов

22-летний житель Алабамы признал себя виновным в вымогательстве, киберпреследовании и мошенничестве после взлома аккаунтов в соцсетях сотен женщин. Об этом сообщил Минюст США.

По данным правоохранителей, в период с апреля 2022 по май 2025 года Джамаркус Мосли выдавал себя за друзей жертв и использовал другие тактики манипуляции, чтобы обманом заставить девушек передать ему коды восстановления и пароли. Получив их, мошенник захватывал контроль над их аккаунтами в Snapchat, Instagram и других соцсетях.

После взлома он угрожал обнародовать частные интимные фотографии и видео жертв или навсегда заблокировать им доступ, если они не выполнят его требования:

• предоставление полного доступа к дополнительным аккаунтам;
• отправку нового контента сексуализированного характера;
• выплату различных денежных сумм.

По словам прокуроров, в одном из случаев Мосли использовал взломанный аккаунт 17-летней пострадавшей для связи с ее 13-летней сестрой. Он отправил ей скриншот карты в Snapchat, намекая, что знает, где она живет. В другом злоумышленник выложил украденные снимки жертвы в сеть.

Также на ForkLog:

• Хакер вывел $2,7 млн из Solv Protocol на фоне неожиданного роста токена.
• Власти США арестовали подозреваемого в краже $46 млн с правительственного кошелька.
• Microsoft и Coinbase помогли закрыть фишинговый сервис Tycoon.
• Хакеры атаковали криптоспециалистов под видом венчурных инвесторов.
• В сети появилось приложение для обнаружения смарт-очков.
• В ИИ-бенчмарке OpenAI для проверки блокчейнов обнаружили ошибки.
• Суд снял с Uniswap обвинения в мошенничестве.
• Потери крипторынка от взломов упали до минимума за 11 месяцев.
• Tether заморозила за все время $4,2 млрд незаконных средств.

Что почитать на выходных?

В новом материале ForkLog Кшиштоф Шпак разобрался, как устроены ИИ-системы слежки на улицах больших городов и почему государства поторопились с их повсеместным внедрением.