Кибернеделя: атаки на инфраструктуру, новые уязвимости и рекордные компенсации
На уходящей неделе мир кибербезопасности оказался в эпицентре сразу нескольких громких инцидентов — от атак на критическую инфраструктуру США и массовых утечек персональных данных до судебных разбирательств с крупнейшими AI-компаниями и разоблачения уязвимостей, скрывавшихся десятилетиями.
В начале недели иранская хакерская группировка Handala заявила о взломе одного из крупнейших водоканалов США — California Water Service, обслуживающего около двух миллионов клиентов. По данным SecurityAffairs и SecurityWeek, злоумышленники проникли в сеть через уязвимый компонент GNSS/RTKBase GPS, после чего получили доступ к внутренним системам, включая биллинг, и вывели около 5 ГБ данных с персональной информацией клиентов, административными учетными данными и внутренними записями. Handala позиционирует атаку как ответ на действия США против иранской инфраструктуры, однако официальных комментариев от Cal Water или американских властей на момент публикации не последовало.
Параллельно разгорелся международный скандал вокруг Anthropic — одного из лидеров рынка искусственного интеллекта. Компания представила свои самые продвинутые модели Claude Fable 5 и Claude Mythos 5, способные к сложной инженерии, научным исследованиям и даже автоматизации поиска уязвимостей. Однако уже через несколько дней после запуска Министерство торговли США (секретарь Говард Латник) потребовало немедленно прекратить доступ к этим моделям для всех иностранных граждан, включая собственных сотрудников Anthropic, находящихся как в США, так и за рубежом. Причиной стал обнаруженный способ обхода ограничений (jailbreak), который, по мнению Anthropic, был незначительным и давно известен индустрии. Компания подчинилась, но публично призвала к прозрачности и четким юридическим процедурам, что вызвало бурную дискуссию о балансе между национальной безопасностью и инновациями, а также о глобальной конкуренции в сфере ИИ (подробнее — The Hacker News, Trilogy AI Substack).
В США завершился важный этап расследования деятельности одной из самых опасных группировок вымогателей — Conti. Украинец Алексей Литвиненко признал вину в федеральном суде штата Теннесси по обвинению в сговоре с целью мошенничества с использованием электронных средств. Как сообщает Cyberscoop и пресс-служба Минюста США, Литвиненко был арестован в Ирландии в 2023 году, экстрадирован в США в 2025-м и признал, что с 2021 года разрабатывал вредоносные загрузчики для Conti, обеспечивая начальное проникновение в сети жертв. Группировка атаковала более тысячи организаций в 47 штатах США и 31 стране, получив выкупов на сумму свыше 150 миллионов долларов, а сам Литвиненко вымогал $634 000 у двух жертв в Теннесси, включая госструктуру. Приговор ожидается 10 сентября 2026 года, максимальный срок — 20 лет. После роспуска Conti в 2022 году её участники создали новые группировки Black Basta, Zeon и Quantum (источник: DOJ, BleepingComputer).
В программном обеспечении phpBB, популярном движке форумов, была обнаружена и устранена критическая уязвимость CVE-2026-48611, существовавшая почти десять лет. Как выяснили специалисты Pentest-Tools.com и Aikido, баг в реализации OAuth позволял злоумышленнику получить доступ к любому аккаунту, включая администраторский, с помощью единственного неавторизованного HTTP-запроса — даже если OAuth не был настроен. Уязвимы все версии phpBB 3.x до 3.3.16 и 4.0.0-a2 (для 4.x патча пока нет). Исправление вышло 6 июня 2026 года в версии 3.3.17, администраторам настоятельно рекомендуется срочно обновиться (подробнее — BleepingComputer, Infosecurity Magazine).
Не менее опасная брешь обнаружена в Splunk Enterprise — CVE-2026-20253 (CVSS 9.8). По данным официального совета Splunk и Orca Security, уязвимость в PostgreSQL sidecar позволяет неавторизованному атакующему создавать или обнулять любые файлы на сервере, что может привести к удаленному выполнению кода, потере данных и остановке сервиса. Проблема затрагивает версии 9.3.0–9.3.12, 9.4.0–9.4.11, 10.0.0–10.0.6, 10.2.0–10.2.3; облачная платформа Splunk Cloud не уязвима. Исправления выпущены для всех затронутых веток, обходных решений нет — только обновление.
Google впервые подала федеральный иск против китайской киберпреступной сети Outsider Enterprise, которая, по данным The Hacker News и HelpNet Security, использовала ИИ Gemini для генерации кода фишинговых сайтов и автоматизации мошеннических кампаний. Сеть управляла Phishing-as-a-Service-кистом Lighthouse, рассылала миллионы смс и писем, маскируясь под банки, мобильных операторов и службы доставки. За две недели мая 2026 года пользователи Android отметили 55 000 спам-сообщений, а общее число жертв превысило 100 000. Google сотрудничает с AT&T, T-Mobile, Verizon и ФБР (операция Ghost Hook, часть Operation Riptide), блокируя домены и изымая криптовалютные кошельки преступников. Иск подан по статьям RICO, Lanham Act и CFAA.
В США также зафиксирована атака вымогателей Coinbasecartel (связанных с ShinyHunters и Scattered Spider) на Cambridge Mobile Telematics — оператора платформы DriveWell, используемой страховыми и транспортными компаниями для анализа поведения водителей. Как сообщает Dexpose.io, 2 июня 2026 года злоумышленники выдвинули ультиматум: начать переговоры в течение 48 часов или данные будут слиты. Платформа DriveWell была выведена из строя, что затруднило работу страховых компаний в США. Официальных комментариев от CMT пока не поступало.
В сфере защиты персональных данных завершился громкий судебный процесс: после масштабной утечки в 23andMe (2023 год, credential stuffing, похищены данные 6,4 млн американцев и до 7 млн пользователей по всему миру) суд США утвердил компенсацию в размере $46,8 млн. Компания, объявившая о банкротстве в 2025 году и переименованная в Chrome Holding Co., выделила $32,5 млн на выплаты пострадавшим (до $10 000 за подтвержденный ущерб, $165 за утечку медицинских данных, около $100 — стандартная выплата, плюс 5 лет мониторинга). По состоянию на июнь 2026 года обработано 256 000 заявок (подробнее — 23andMeDataSettlement.com, Reuters).
В Европе громкой стала утечка данных в швейцарском футбольном клубе Lancy FC: хакеры ChimeraZ и Cybernox выложили в даркнете базу из 6 600 записей (2 МБ JSON), включающую имена, адреса, телефоны, даты рождения, национальность и игровые категории — в том числе несовершеннолетних и их родителей. Клуб не сделал официальных заявлений, однако инцидент может повлечь расследование по законам о защите данных Швейцарии и ЕС (источник: DarkWebInformer).
Анализируя события недели, можно выделить несколько ключевых тенденций: государственный хактивизм становится инструментом геополитического давления (Handala/Cal Water), а экспортные ограничения на ИИ в США обостряют конфликт между инновациями и национальной безопасностью (Anthropic). Международное правосудие все чаще настигает киберпреступников (Conti/Lytvynenko), а легальные AI-инструменты превращаются в оружие мошенников (Google/Outsider Enterprise). Компании, игнорировавшие обновления и защиту данных, сталкиваются с рекордными финансовыми и юридическими последствиями (23andMe). 2026 год уже сейчас становится годом расплаты — для киберпреступников, для AI-компаний и для организаций, откладывавших критические обновления.
Краткая сводка технических уязвимостей
Уязвимость CVE CVSS Описание и статус патча
phpBB CVE-2026-48611 9.8 Аутентификация в обход, патч в 3.3.17 (06.06.2026)
Splunk Enterprise CVE-2026-20253 9.8 Неавторизованное создание/обнуление файлов, патч в 10.4.0, 10.2.4, 10.0.7, 9.4.12, 9.3.13
Anthropic Claude 5 — — Доступ ограничен для всех иностранцев по требованию США
