Освободившийся участник Шалтай-Болтай заявил о связи группы с ФСБ

Олег Иванов 10 Января 2019 - 09:34

...

Освободившийся участник Шалтай-Болтай заявил о связи группы с ФСБ

Очередной участник киберпреступной группировки «Шалтай-Болтай», которого на днях условно-досрочно освободили из колонии, заявил о связи группы с ФСБ — якобы именно под руководством этой спецслужбы работал «Шалтай-Болтай».

Об этом Константин Тепляков заявил в ходе беседы с корреспондентами РБК. По словам киберпреступника, глава группировки Владимир Аникеев находился в плотном контакте с ФСБ с августа 2015 года.

Более того, Аникеев регулярно посещал мероприятия консультационного характера, на которые выезжал в Санкт-Петербург и Москву.

Тепляков уточнил, что у него давно были подозрения по поводу того, что какая-то структура управляет деятельностью «Шалтай-Болтая», однако уверенности в том, что это именно ФСБ у него не было.

«Аникеев брал на себя риски, связанные с общением с внешним миром, представителями власти и спецслужб, это была часть его работы. Он привозил инструкции по работе, требования какое-то дело запустить, какое-то — прекратить. Это были словесные рекомендации», — рассказал Тепляков.

Тепляков также логично объясняет возбуждение уголовного дела против членов его группировки — в ФСБ возник внутренний конфликт, в ходе которого стало понятно, что одни отделы потакали деятельности «Шалтай-Болтая», а другие имели намерение прикрыть деятельность кибербанды.

«Это просто несогласованность», — подчеркивает Тепляков.

Напомним, что в декабре также недавно освободившийся из мест лишения свободы лидер киберпреступной группировки «Шалтай-Болтай» Владимир Аникеев заявил, что планирует заняться кибербезопасностью. Для этого Аникеев создаст компанию, которая и будет предоставлять соответствующие услуги.

Бывший киберпреступник заявил, что будет выступать совладельцем компании, однако отказался назвать имена своих партнеров и объем инвестиций. Лидер «Шалтай-Болтая» с помощью новой компании планирует предоставлять организациям многоуровневую защиту от взломов.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Марта 2026 - 10:11

Бэкдоры Домашние пользователи Корпорации

Популярную ИИ-библиотеку LiteLLM заразили бэкдором через PyPI

В экосистеме ИИ-разработки всплыла неприятная история: исследователи из Endor Labs обнаружили, что популярная Python-библиотека LiteLLM, у которой больше 95 млн загрузок в месяц, была скомпрометирована в репозитории PyPI. Через заражённые версии злоумышленники распространяли многоступенчатый бэкдор.

Речь идёт о версиях 1.82.7 и 1.82.8. Причём в официальном GitHub-репозитории проекта такого вредоносного кода не было.

Проблема возникла именно в пакетах, опубликованных в PyPI: туда попал файл с закладкой, который декодировал и запускал скрытую нагрузку сразу после импорта библиотеки.

Во второй заражённой версии, 1.82.8, схема стала ещё жёстче. Пакет устанавливал .pth-файл в директорию site-packages, из-за чего вредоносный код мог запускаться вообще при любом старте Python, даже если сам LiteLLM никто не импортировал.

После запуска зловред начинал искать самое ценное: SSH-ключи, токены AWS, GCP и Azure, секреты Kubernetes, криптокошельки и другие конфиденциальные данные. Если заражение происходило в контейнерной или кластерной среде, вредонос пытался двигаться дальше по инфраструктуре, в том числе через развёртывание привилегированных подов на узлах Kubernetes.

Для закрепления на хосте атакующие, как сообщается, ставили systemd-бэкдор sysmon.service, который регулярно связывался с командным сервером и мог получать новые команды или дополнительные вредоносные модули.

Специалисты считают, что за атакой стоит группировка TeamPCP, которая в последнее время явно разошлась: до этого её уже замечали в инцидентах, затронувших GitHub Actions, Docker Hub, npm и OpenVSX.

Украденные данные, по информации исследователей, шифровались и отправлялись на сервер атакующих. Для маскировки использовались домены, внешне похожие на легитимные, например models.litellm[.]cloud и checkmarx[.]zone.

Сейчас разработчикам и DevOps-командам советуют как можно быстрее проверить окружение. Последней известной чистой версией LiteLLM считается 1.82.6. Если в системе использовались 1.82.7 или 1.82.8, нужно проверить наличие файла litellm_init.pth, артефактов вроде ~/.config/sysmon/sysmon.py и сервиса sysmon.service.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!