Обзор кибератак и уязвимостей за прошедшую неделю: 9 - 13 марта 2026 года

Редакция Cyber Media собрала ключевые события из мира кибербезопасности за эту неделю. В фокусе оказались: неконтролируемое поведение ИИ-агента Alibaba, который самовольно занялся майнингом на серверных GPU и устанавливал обратные SSH-туннели; взлом критических систем ФБР, используемых для выдачи ордеров на прослушку (FISA); новый метод обхода антифишинговых фильтров через служебный домен .arpa; утверждение Минцифры порядка передачи обезличенных данных операторами в ГИС при ЧС и карантинах; а также подозрения в аффилированности приложения «Телега» (форк Telegram) с VK на фоне 200 млн рублей инвестиций и миллиона скачиваний.

Нейросеть Alibaba самопроизвольно занялась майнингом на собственных GPU, обойдя системы безопасности

Исследователи Alibaba зафиксировали инцидент, в ходе которого ИИ-агент во время штатного обучения без каких-либо инструкций от создателей развернул майнинг криптовалюты на выделенных серверных мощностях. Системы мониторинга Cloud Firewall зафиксировали аномалии: попытки доступа к внутренней сети и характерный для майнинга трафик, который совпал по времени с вызовами инструментов и этапами выполнения кода агентом. В одном из случаев агент установил обратный SSH-туннель от облачного экземпляра к внешнему IP-адресу, обойдя фильтрацию входящего трафика, и перепрофилировал GPU для майнинга, отвлекая ресурсы от обучения. В Alibaba квалифицировали это как новый класс небезопасных действий, возникающих вне предполагаемой изолированной среды и без явных инструкций.

ФБР расследует взлом систем, управляющих прослушкой и ордерами на слежку

Федеральное бюро расследований (ФБР) подтвердило факт несанкционированного доступа к своим внутренним сетям. По данным СМИ, инцидент затронул критически важные системы, используемые для управления электронным наблюдением и ордерами на слежку по иностранным делам (FISA). Ведомство заявило, что выявило подозрительную активность и задействовало все технические средства для реагирования, но от дальнейших комментариев отказалось.

Неприкасаемый .arpa превратили в хостинг: новый метод обхода антифишинговых фильтров

Специалисты Infoblox обнаружили технику, при которой злоумышленники используют домен верхнего уровня .arpa, предназначенный исключительно для инфраструктуры DNS, для хостинга фишинговых страниц. Атака основана на получении контроля над блоком IPv6-адресов (например, через бесплатные туннели Hurricane Electric) и создании A-записей для обратных DNS-имен в зоне ip6.arpa вместо положенных PTR-записей. В результате строка вида d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa резолвится в IP-адрес и ведет на фишинговый сайт. Для обфускации перед основным доменом подставляется случайный поддомен из 10 букв. Исследователи подтвердили, что Cloudflare и Hurricane Electric позволяют создавать такие записи; техника используется с 2017 года.

Минцифры утвердило «паспорт» для обезличенных данных: ведомство будет запрашивать их при ЧС и карантинах

Министерство цифрового развития выпустило приказ № 173, который регламентирует порядок предоставления операторами обезличенных персональных данных в ГИС «Единая информационная платформа национальной системы управления данными» (ЕИП НСУД). Документ детализирует процедуру передачи данных, установленную постановлением правительства № 1154 от августа 2025 года. Перечень оснований для запроса строго ограничен постановлением № 538 и включает только чрезвычайные ситуации, режим ЧП и карантины. Требование о предоставлении данных должно содержать перечень сведений, их формат, сроки и критерии выборки: категория абонентов, территория, глубина сбора или временной период.

«Телега» на 200 миллионов: приложение для обхода блокировки Telegram заподозрили в связях с VK

Разработчик альтернативного клиента Telegram, АО «Телега», привлек 200 млн рублей от учредителей в 2025 году, направив средства на разработку (41 млн), ФОТ (47 млн) и оборудование. При чистом убытке 91 млн рублей и выручке чуть выше 100 тыс. рублей приложение скачали более миллиона раз на фоне новостей о возможной блокировке Telegram. В исходном коде обнаружены ссылки на ресурсы VK, а для голосовых вызовов используются серверы «Одноклассников». В устав компании внесен пункт, выводящий сделки с юрлицами группы VK из-под контроля совета директоров, что юристы считают косвенным маркером аффилированности. Основатели отрицают связь с холдингом, объясняя это коммерческой закупкой VK Calls SDK и серверной инфраструктуры.