Канадские спецслужбы впервые взломали ботнеты на роутерах граждан: неделя кибербезопасности в цифрах
Кибербезопасность продолжает демонстрировать свою сложность и многогранность: от государственных операций по очистке ботнетов до абсурдных, но показательных атак на системы экстренного оповещения. Как аналитик, я вижу в этих событиях общую тенденцию — злоумышленники становятся всё изобретательнее, используя как уязвимости в устаревшем оборудовании, так и психологические уловки, вплоть до манипуляции ИИ-системами.
Канада: прецедент удаленной очистки устройств
Канадская служба разведки и безопасности впервые в истории получила судебный ордер на удаленное вмешательство в работу зараженных устройств граждан. Речь идет о серверах, домашних роутерах и IoT-устройствах — дверных звонках, камерах, телевизорах. Ботнеты, работающие по схеме ретрансляции, использовали взломанное оборудование для маскировки атак на критическую инфраструктуру, включая энергетический сектор и правительственные ведомства. Федеральный суд рассекретил постановление только в середине июня 2026 года, хотя ордер был выдан более двух лет назад. Подчеркивается, что личные данные не перехватывались, а случайно собранная информация уничтожалась.
Устаревшие роутеры D-Link под ударом AryStinger
Специалисты XLab обнаружили ботнет AryStinger, нацеленный на старые модели D-Link DIR-850L и DIR-818LW. В ходе кампании взломано более 4000 роутеров, превращенных в прокси-серверы для ретрансляции трафика. Вредонос не только использует устройства как стартовую площадку для атак, но и перехватывает DNS-запросы, браузерные сессии и весь сетевой трафик. Около 48% заражений пришлись на Южную Корею, Китай, Швецию, Малайзию и Сингапур. Это еще раз подтверждает: устаревшее оборудование с заводскими паролями — главный вектор для современных ботнетов.
macOS Gaslight: фейковые ошибки против ИИ-анализа
Исследователи SentinelOne выявили новый инфостилер для macOS под названием Gaslight, который целенаправленно атакует инструменты автоматизированного анализа кода на базе ИИ. Внутри файла скрыт загрузчик размером 3,5 КБ, содержащий 38 сфабрикованных системных сообщений, оформленных в Markdown. Эти строки имитируют логи разработчиков, ошибки переполнения памяти и предупреждения об истечении токенов. Цель — заставить LLM-модель прервать анализ, обрезать отчет или отказаться от обработки «поврежденного» образца. Хакеры, вероятно, из Северной Кореи, применяют инъекции промптов, чтобы обойти автоматическую проверку.
Европол: ликвидация сети распространения Amadey и StealC
Европол совместно с правоохранителями из десятка стран и Microsoft ликвидировал сеть распространения вредоносов SocGholish, Amadey и StealC. Троян Amadey получал первоначальный доступ, после чего разворачивался инфостилер StealC, специализирующийся на краже паролей, данных кредитных карт и сид-фраз криптокошельков. Результаты операции впечатляют: захвачено 326 серверов и 142 домена, заморожены криптоактивы на сумму более $47 млн, изъята база с 27 млн украденных учетных данных, очищено около 15 000 сайтов на WordPress, использовавшихся для скрытого распространения вирусов.
Бразилия: хакеры предупредили о «нападении инопланетян»
В ночь с 19 на 20 июня 2026 года национальная система экстренных оповещений Бразилии Defesa Civil Alerta подверглась кибератаке. Злоумышленники взломали учетные записи сотрудников Гражданской обороны и разослали 10 сообщений высшего приоритета (Alerta Extremo), обходящих системные ограничения смартфонов на звук. Жители нескольких штатов получили уведомления с бессвязным текстом, содержащим слово «мизантропия», а в некоторых регионах — предупреждения о «нападении инопланетян». Для остановки спам-атаки властям пришлось в 01:30 ночи принудительно отключить серверы. Платформу частично восстановили, но право рассылки оставили только за Национальным центром управления рисками.
ZachXBT раскрыл личность хакера из Польши
Европейские правоохранители при поддержке ФБР арестовали четырех членов хакерской группировки, подозреваемых в атаках с подменой SIM-карт, краже цифровых активов с криптобирж и отмывании денег. Злоумышленники использовали социальную инженерию для взлома IT-инфраструктуры телекоммуникационных компаний, клонировали номера телефонов жертв и обходили двухфакторную аутентификацию. Общая сумма отмытых средств оценивается в десятки миллионов польских злотых. Ончейн-исследователь ZachXBT идентифицировал одного из задержанных как Войтека Кулиша, известного под ником Merry, сопоставив дизайнерские вещи с видео обыска и его Instagram-аккаунтом.
Мой анализ: Эта неделя показывает, что киберугрозы становятся всё более изощренными — от манипуляции ИИ до использования государственных систем оповещения. Особое беспокойство вызывает уязвимость IoT-устройств и устаревшего оборудования: пока пользователи не обновляют прошивки и не меняют заводские пароли, такие ботнеты будут множиться. Атака на Defesa Civil Alerta — яркий пример того, как даже критическая инфраструктура может быть использована для хаоса, и это требует немедленного пересмотра протоколов безопасности.