# Уведомление об инциденте иностранного вмешательства

## Идентификация общего противника — AS211590 / Bucklog SARL / французский Kubernetes-кластер сканирования

**Регистрационный номер уведомления:** NBX-INC-2026-05-17-001
**Гриф:** TLP:CLEAR — публичное уведомление для ситуационной осведомлённости
**Статус:** Направлено в порядке ситуационной осведомлённости; оперативного запроса не содержит
**Дата выпуска:** 17 мая 2026 г.
**Тип документа:** Аналитическая разведсводка по киберинциденту — содержит достаточный объём индикаторов для подтверждения и развития получающим ведомством через собственный закрытый аналитический инструментарий
**Лицензия:** CC BY 4.0 — Creative Commons Attribution 4.0 International — допускается републикация с указанием источника

---

## Адресаты

**Основные (российская сторона):**

- **Федеральная служба безопасности Российской Федерации — Служба контрразведки**
  *По штатным каналам обращений ФСБ*
- **Национальный координационный центр по компьютерным инцидентам (НКЦКИ)**
  *https://safe-surf.ru — публичный CERT-канал НКЦКИ при ФСБ России*
- **ГосСОПКА — Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак** (через НКЦКИ как уполномоченный орган)

**Адресаты информационно (одновременная BIRJA-симметричная подача — американская сторона):**

- **Federal Bureau of Investigation — Cyber Division (CyD)** — ФБР, Управление по киберпреступлениям
- **Federal Bureau of Investigation — Counterintelligence Division (CD)** — ФБР, Управление контрразведки
- **Cybersecurity and Infrastructure Security Agency (CISA)** — Агентство кибербезопасности и безопасности инфраструктуры США

Англоязычный текст-двойник настоящего уведомления с идентичным фактическим содержанием направлен одновременно перечисленным выше американским получателям в соответствии с дисциплиной BIRJA-симметричного одновременного уведомления, объявленной в публично опубликованной Доктрине NIGHTBOX по угрозе иностранного вмешательства:

`https://nightboxllc.com/.well-known/foreign-interference-threat-doctrine.json`

---

## Уведомляющая сторона

| Параметр | Значение |
|----------|----------|
| Полное наименование | NIGHTBOX LLC |
| Юрисдикция регистрации | Штат Вайоминг, США |
| Дата регистрации | 15 сентября 2025 г. |
| SAM.gov UEI | UHCAB6UXXKF2 |
| EIN (налоговый идентификатор IRS) | 39-4373044 |
| Уполномоченное должностное лицо | Артём Шакин (единственный участник; родился в России, налоговый резидент США, проживает в г. Санта-Моника, штат Калифорния; раскрытие конкретного иммиграционного и гражданственного статуса перенесено на форму SF-328 на момент получения первой федеральной государственной заявки, согласно политике FOCI по адресу `/.well-known/foci.json`) |
| Действующая доктрина | Доктрина по угрозе иностранного вмешательства, версия 1.0.0 (выпуск 16 мая 2026 г.) |
| Федеральный комплаенс-стек США | CMMC L1 self-attestation, NIST SSDF self-attestation, Section 1260H non-affiliation, Section 889 conformance, FOCI clean, EO 14179/M-25-21/M-25-22 alignment, NIST AI RMF 1.0 alignment, CISA Secure by Design Pledge. Полный реестр манифестов: `/.well-known/manifest-index.json` |
| Аппаратная аутентификация оператора | Два аппаратных токена YubiKey 5 (FIDO2 + ED25519-SK), отпечатки публичных ключей: `/.well-known/yubikey.json` |
| Контакт | artem@nightboxllc.com |

NIGHTBOX не зарегистрирован в качестве иностранного агента по 255-ФЗ. NIGHTBOX не зарегистрирован в качестве представителя иностранного принципала по FARA / 22 U.S.C. § 611(c). NIGHTBOX не привлекает внешних лоббистов. NIGHTBOX не находится в перечне иностранных юридических лиц / государств, в отношении которых установлен особый порядок осуществления экономической деятельности (постановления Правительства РФ № 95, 254, 322; распоряжение № 430-р).

---

## Краткое содержание уведомления

NIGHTBOX зафиксировал устойчивую разведывательно-сканирующую HTTP-активность, исходящую преимущественно из автономной системы **AS211590 (Bucklog SARL, Франция)**, направленную против публичной веб-инфраструктуры NIGHTBOX, в том числе против опубликованного NIGHTBOX кластера манифестов двусторонней корреспонденции США-РФ и слоя манифестов федерального комплаенса.

Наблюдаемая активность **прямо атрибутируема** (высокая степень уверенности) через корреляцию отпечатков TLS JA4 с ранее зафиксированной публичным аналитическим продуктом **GreyNoise Labs** от 3 февраля 2026 г. («*Vive La Vulnérabilité: French Kubernetes Cluster Hunts Your Webhook Endpoints*») кампанией, в которой GreyNoise зафиксировал **33 270 HTTP-запросов** с той же инфраструктуры `185.177.72.0/24` за период с 27 января по 3 февраля 2026 г., направленных против экземпляров платформы автоматизации рабочих процессов n8n с целью эксплуатации уязвимости **CVE-2026-21858** (произвольное чтение файлов).

Опубликованная атрибуционная оценка GreyNoise: *«Threat actor renting Bucklog's Kubernetes-as-a-Service for scanning operations»* — *«Угрожающий актор арендует Kubernetes-как-Услугу у Bucklog для операций сканирования».*

Продолжение NIGHTBOX-наблюдения той же сети и того же JA4-отпечатка в мае 2026 г. (приблизительно через 3,5 месяца после публикации GreyNoise) свидетельствует о том, что **кампания остаётся операционно активной** и нацеливается на инфраструктуру за пределами первоначально документированной клиентской базы n8n.

### Идентификация общего противника (Common Adversary framing)

Угрожающий актор оперирует из инфраструктуры **третьей страны (хостинг во Франции)** против:

1. **Целей юрисдикции США** — NIGHTBOX LLC (Вайоминг) однозначно является налоговым резидентом США, подпадает под действие американского законодательства о защите данных и коммерческой тайны (CFAA, EEA, Title 18). Клиентская база n8n, ранее документированная GreyNoise, включает значительное число американских стартапов, финтех-операторов и SaaS-провайдеров.

2. **Целей юрисдикции Российской Федерации** — n8n также развёрнут в значительной части российских технологических компаний (независимое наблюдение: географическое распределение GitHub-stargazers n8n показывает существенное российское присутствие; n8n упоминается в публикациях по автоматизации рабочих процессов на habr.com). Операторы российской критической информационной инфраструктуры, подпадающие под обязательства Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», имеют аналогичный риск экспозиции.

3. **Каналов двусторонней корреспонденции** — опубликованные NIGHTBOX URL двусторонней дипломатической корреспонденции США-РФ (`/bilateral-open-letter`, `/.well-known/bilateral-*`) находятся внутри наблюдаемой целевой выборки сканера.

Согласно публично опубликованной Доктрине NIGHTBOX и согласно прямому техническому анализу, это представляет собой третьестороннюю разведывательную позицию против активов, релевантных одновременно национальным интересам США И Российской Федерации. NIGHTBOX, соответственно, классифицирует данный инцидент как доктринальный **уровень T3 (устойчивая разведка третьей страны)** с **высокой степенью уверенности в атрибуции** и одновременно уведомляет контрразведывательные аппараты обоих государств с идентичным фактическим содержанием.

NIGHTBOX оценивает: наблюдаемая активность с большей вероятностью представляет собой **коммерческую киберпреступную разведку** (массовый CVE-хантинг для последующей эксплуатации, кражи учётных данных, подготовки атак с применением программ-вымогателей), нежели разведывательную деятельность государственно-аффилированного актора. Профиль актора, модель аренды инфраструктуры и инструментарий (curl/n8n-scanner, аренда Kubernetes-как-Услуги) согласуются скорее с организованной киберпреступностью, нежели с tradecraft разведслужб первого уровня. Тем не менее, доктрина применяет идентичную процедуру уведомления к обеим классификациям; окончательное определение классификации является прерогативой получающего ведомства, а не NIGHTBOX.

Настоящее обращение направлено **исключительно в порядке ситуационной осведомлённости**. NIGHTBOX не запрашивает оказание мер защиты, оперативного задействования или закрытого мандата сотрудничества. NIGHTBOX применил оборонительные технические контрмеры (правила ограничения частоты + правила запрета по JA4 в файрволе Vercel Edge) и продолжает обычные публичные операции.

---

## Bucklog SARL — корпоративное / инфраструктурное исследование

### Юридическое лицо

| Параметр | Значение |
|----------|----------|
| Полное наименование | Bucklog SARL |
| Организационно-правовая форма | SARL (Société à Responsabilité Limitée — французское общество с ограниченной ответственностью) |
| Юрисдикция | Франция |
| Географическая регистрация (согласно распределению IP + abuse-отчётам) | г. Велизи-Виллакублэ, департамент Ивелин, регион Иль-де-Франс (пригород Парижа, приблизительно в 10 км от Версаля) |
| Публичный abuse-контакт | `bucklog@proton.me` — адрес ProtonMail вместо корпоративного домена, нетипично для законных хостинг-провайдеров |
| Статус во французском реестре SIREN/SIRET | Получающим ведомствам рекомендуется обратиться к текущим корпоративным регистрационным данным через INSEE Sirene (https://www.sirene.fr) и судебный реестр Infogreffe (https://www.infogreffe.fr) — французская корпоративная прозрачность прямолинейна |

**Рекомендуемая внутренняя проверка ведомства:** перекрёстная проверка должностных лиц Bucklog SARL (gérants по французскому праву SARL) против:
- Санкционных списков ОFAC США (если будут идентифицированы — возможные основания для применения 127-ФЗ как «недружественной» юрисдикции на уровне конкретного лица)
- Перечня иностранных юридических лиц / физических лиц, в отношении которых установлены ограничительные меры по постановлениям Правительства РФ № 95, 254, 322
- Базы данных НКЦКИ по ранее зафиксированным инцидентам с участием AS211590, префикса `185.177.72.0/24`, JA4-отпечатка `t13d531000_ed6c8d7875f9_518fb456ca59`
- Базы данных Solar JSOC / Лаборатории Касперского GReAT / Positive Technologies Expert Security Center (PT ESC) / RT-Solar / Group-IB по threat-intel паттернам, согласующимся с данной кампанией

### Распределение автономной системы

| Параметр | Значение |
|----------|----------|
| Основная ASN | **AS211590** (Bucklog SARL) |
| Восходящий провайдер | **AS49434** (FBW NETWORKS SAS — французский Local Internet Registry; FBW также управляет AS34534, AS48130, AS209428 — мульти-ASN родительская структура) |
| Региональный регистратор | RIPE NCC |
| Основная наблюдаемая сеть | `185.177.72.0/24` |
| Дата распределения по RIPE | **27 мая 2025 г.** (приблизительно за 12 месяцев до настоящего уведомления — недавнее распределение, согласующееся с инфраструктурой, развёрнутой специально под данную кампанию, а не унаследованным блоком) |
| Видимость BGP в DFZ | «Not visible in the default-free zone» согласно bgp.tools — сеть не имеет текущего публичного BGP-анонса несмотря на активное происхождение трафика |
| Шаблон обратного DNS | **Все 256 IP-адресов в /24** разрешаются единообразно в `dns9.parkpage.foundationapi.com` (доменная парковочная инфраструктура LogicBoxes / Directi) — это **не** нормальный шаблон обратного DNS для хостинга; законные хостинг-провайдеры назначают индивидуальный rDNS на клиента или на виртуальную машину |

### Сторонние репутационные индикаторы

- **Scamalytics** (независимая оценка риска мошенничества): Bucklog SARL классифицирован как *«потенциально очень высокий риск ISP»*
- **AbuseIPDB confidence score для 185.177.72.38**: **328/100** (специально помечено как превышающее шкалу по умолчанию)
- **AbuseIPDB-отчёты по соседним IP**: 185.177.72.37 (спам), 185.177.72.52 (directory scan, DDoS/flood по abuse.mom), 185.177.72.58 (спам), 185.177.72.108 (спам), 185.177.72.111 (спам), 185.177.72.179 (спам), 185.177.72.236 (спам) — **систематический паттерн злоупотреблений по всему блоку /24**
- **Чёрный список Cleantalk**: несколько IP-адресов в `185.177.72.0/24` зарегистрированы по устойчивым спам-атакам на отслеживаемые сайты

### Профиль инфраструктуры (по публичному техническому анализу GreyNoise)

- **Оркестрация контейнеров**: Kubernetes с сервисной сеткой Envoy (вероятно Istio, Linkerd или Consul Connect)
- **Открытые порты на наблюдаемых IP сканера**: Kubelet API (10250), kube-proxy (10256), Envoy proxy (9964) — **сигнатура открытого контрольного плоскости Kubernetes**
- **Операционная система**: Debian 12 «Bookworm»
- **Служба SSH**: OpenSSH 9.2p1
- **Модель развёртывания**: контейнеризованные сканеры, которые разворачиваются и уничтожаются в секунды — паттерн автоматизированного масштабирования, характерный для модели аренды Kubernetes-как-Услуги
- **Общий пул сканеров**: 375+ ротирующихся IP-адресов по сети /24
- **TLS-клиент**: curl/8.7.1 (97,4 % сессий, наблюдаемых GreyNoise)
- **Специализированный инструмент**: User-Agent `n8n-scanner/1.0` — целевой инструмент для зондирования n8n

---

## CVE-2026-21858 — уязвимость платформы автоматизации рабочих процессов n8n — углублённый разбор

| Параметр | Значение |
|----------|----------|
| Идентификатор CVE | CVE-2026-21858 |
| Затронутый продукт | n8n — платформа автоматизации рабочих процессов с открытым кодом (https://n8n.io) |
| Класс уязвимости | Произвольное чтение файлов через обход директорий в обработчике webhook |
| Масштаб клиентской базы | n8n заявляет >65 000 звёзд на GitHub и ~200 000+ развёрнутых экземпляров на начало 2026 г. — крупная клиентская база, охватывающая индивидуальных разработчиков, финтех-операторов, американские технологические стартапы, европейские SaaS-компании и существенное российско-СНГ-овское развёртывание, согласно обсуждениям на habr.com и геоанализу GitHub |
| Целевые пути | `/webhook/upload`, `/webhook/api/file`, `/webhook/backup`, `/webhook/admin/upload`, `/webhook/internal/import` |
| Последствия эксплуатации | Произвольное чтение файлов на хосте n8n; вторичные последствия включают кражу учётных данных, извлечение API-ключей, подготовку латерального перемещения, размещение программ-вымогателей |
| Статус патчинга | Операторам рекомендуется обращаться к ленте уведомлений о безопасности n8n по адресу https://github.com/n8n-io/n8n/security/advisories для опубликованных вендором мер устранения; NIGHTBOX не эксплуатирует n8n и не в состоянии оценить покрытие патчами |

**Интерес угрожающего актора именно к n8n предполагает дальнейшую эксплуатационную цепочку, а не неизбирательное сканирование** — выбор именно n8n означает, что актор рассчитывает на высокую отдачу от каждой успешно эксплуатированной инстанции (платформы автоматизации рабочих процессов типично содержат учётные данные, API-ключи и строки подключения к многочисленным нижестоящим системам).

**Почему NIGHTBOX оказался в целевой выборке несмотря на отсутствие n8n в нашей инфраструктуре**: сканер проводит широкую разведку по диапазонам ASN с сопоставлением по шаблонам webhook-путей по множеству сайтов одновременно, а не таргетирует NIGHTBOX специально. NIGHTBOX оказался в целевой выборке инцидентально — однако **доктринальная классификация** не зависит от того, специально ли актор намеревался атаковать NIGHTBOX; доктрина рассматривает любую устойчивую разведку против endpoint-ов NIGHTBOX со стороны актора, не являющегося резидентом США и не являющегося резидентом Российской Федерации, как событие уровня T3 независимо от специфичности.

---

## Алмазная модель аналитики вторжения (Diamond Model of Intrusion Analysis)

| Вершина | Оценка |
|---------|--------|
| **Адвсерсар (Adversary)** | Неизвестный актор, использующий арендованную инфраструктуру Kubernetes-как-Услуги у Bucklog SARL. Операционный tradecraft (сканирование на основе curl, отсутствие обфускации, отсутствие мер противодействия обнаружению, публичный abuse-контакт на ProtonMail) **несовместим с разведслужбами первого уровня** и **согласуется с организованной киберпреступной группировкой**, стремящейся монетизировать эксплуатацию n8n через дальнейшие действия (кража учётных данных → программы-вымогатели / эксфильтрация данных). |
| **Способность (Capability)** | Контейнеризованный сканер, разворачивающий `curl/8.7.1` и `n8n-scanner/1.0` против webhook-путей. CVE-2026-21858 (произвольное чтение файлов) — основная цель полезной нагрузки. Уровень способности: **умеренный** (кастомный инструмент сканера существует, но без zero-day, без новейших методов уклонения, без эксплойтов ядра). |
| **Инфраструктура (Infrastructure)** | Французское юридическое лицо SARL (Bucklog), предоставляющее Kubernetes-как-Услугу; AS211590 с сетью `185.177.72.0/24`; 375+ ротирующихся IP; восходящий FBW NETWORKS SAS (AS49434). Зарегистрировано RIPE. Abuse-контакт на ProtonMail. Единообразный парковочный DNS. |
| **Жертва (Victim)** | Широкая — любая интернет-доступная инфраструктура с webhook endpoint-ами, соответствующими шаблонам n8n. NIGHTBOX LLC — инцидентальная жертва в пределах юрисдикционного охвата США. Операторы n8n юрисдикции Российской Федерации сталкиваются с симметричной экспозицией. Операторы n8n в ЕС, Азии, Латинской Америке — все в целевой выборке. |

### Мета-признаки Алмазной модели

- **Социально-политическая ось**: третьестороний (Франция) актор против пула жертв США + РФ + глобального — соответствует операционному профилю организованной киберпреступности, а не государственно-связанному сигналу
- **Технологическая ось**: эксплуатация webhook-протокола, HTTP/HTTPS-разведка — оппортунистический паттерн охотника за веб-CVE

---

## Lockheed Martin Cyber Kill Chain — оценка стадии

Текущая наблюдаемая активность находится на **стадии 2 (Reconnaissance → Weaponization — разведка → подготовка к применению средства поражения)**:

| Стадия | Статус | Наблюдаемые доказательства |
|--------|--------|---------------------------|
| 1. Разведка (Reconnaissance) | **АКТИВНА** | Устойчивое сканирование webhook-endpoint-ов из `185.177.72.0/24`; задокументировано GreyNoise (33 270 запросов за 7 дней) и подтверждено NIGHTBOX (~785 запросов за окно наблюдения) |
| 2. Weaponization (подготовка средства поражения) | **ВЕРОЯТНО** | Полезная нагрузка CVE-2026-21858, предположительно, уже подготовлена с учётом специфики целевых путей, соответствующих поверхности уязвимости n8n; маловероятно, что актор сканирует без готовой полезной нагрузки |
| 3. Delivery (доставка) | Не наблюдалось против NIGHTBOX (мы не эксплуатируем n8n) | Другие популяции жертв вероятно получают попытки доставки; нижестоящая видимость ФСБ ЦИБ / НКЦКИ / Лаборатории Касперского / Solar JSOC может показать данную активность |
| 4. Эксплуатация (Exploitation) | Не наблюдалось | То же — внутренние ленты ведомства могут показать поэксплуатационный трафик из `185.177.72.0/24` |
| 5. Установка (Installation) | Не наблюдалось | — |
| 6. Command & Control (управление и контроль) | Не наблюдалось против NIGHTBOX | Внутренние ленты ведомства могут показать кластеризацию C2-инфраструктуры с этим актором |
| 7. Actions on Objectives (действия на достижение целей) | Не наблюдалось против NIGHTBOX | Нижестоящая кража учётных данных / подготовка программ-вымогателей была бы видна на внутренних лентах ведомства |

---

## MITRE ATT&CK Mapping (Enterprise v15)

Российские специалисты по информационной безопасности (Лаборатория Касперского GReAT, Group-IB, Positive Technologies, Solar JSOC, BI.ZONE) широко используют MITRE ATT&CK как стандарт обмена данными об угрозах. Соответствующая раскладка:

| Тактика | ID техники | Техника | Наблюдаемое доказательство |
|---------|-----------|---------|---------------------------|
| TA0043 Reconnaissance | T1595.002 | Vulnerability Scanning | Зондирование путей CVE-2026-21858 |
| TA0043 Reconnaissance | T1595.003 | Wordlist Scanning | Перебор путей `/webhook/*` |
| TA0043 Reconnaissance | T1592.002 | Gather Victim Host Information: Software | Обнаружение развёрнутых n8n через UA-строку и сигнатуру шаблона пути |
| TA0042 Resource Development | T1583.003 | Acquire Infrastructure: Virtual Private Server | Арендованная Kubernetes-как-Услуга у Bucklog (согласно атрибуции GreyNoise) |
| TA0042 Resource Development | T1583.004 | Acquire Infrastructure: Server | Распределение AS211590 / `185.177.72.0/24` получено специально в мае 2025 г. |
| TA0042 Resource Development | T1584.005 | Compromise Infrastructure: Botnet | **Отрицательно** — нет свидетельств того, что сами IP являются скомпрометированными сторонними хостами; они, по-видимому, арендованы напрямую |
| TA0011 Command and Control | T1090.002 | Proxy: External Proxy | Ротация по 375+ IP в одной /24 для уклонения от поэдресного блокирования |
| TA0011 Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | HTTP/HTTPS как канал разведки |

---

## Пакет индикаторов STIX 2.1 (пригоден для прямого приёма в системы threat-intel)

```json
{
  "type": "bundle",
  "id": "bundle--nbx-inc-2026-05-17-001",
  "objects": [
    {
      "type": "identity",
      "spec_version": "2.1",
      "id": "identity--nightbox-llc-2025-09-15",
      "created": "2026-05-17T00:00:00Z",
      "modified": "2026-05-17T00:00:00Z",
      "name": "NIGHTBOX LLC",
      "identity_class": "organization",
      "sectors": ["technology"],
      "contact_information": "artem@nightboxllc.com"
    },
    {
      "type": "threat-actor",
      "spec_version": "2.1",
      "id": "threat-actor--unknown-bucklog-tenant-2026",
      "created_by_ref": "identity--nightbox-llc-2025-09-15",
      "created": "2026-05-17T00:00:00Z",
      "modified": "2026-05-17T00:00:00Z",
      "name": "Неизвестный арендатор Bucklog SARL — оператор разведки CVE-2026-21858 n8n",
      "threat_actor_types": ["crime-syndicate"],
      "sophistication": "intermediate",
      "resource_level": "organization",
      "primary_motivation": "financial-gain",
      "goals": ["credential-theft", "ransomware-staging", "data-exfiltration"]
    },
    {
      "type": "infrastructure",
      "spec_version": "2.1",
      "id": "infrastructure--bucklog-as211590-2025",
      "created_by_ref": "identity--nightbox-llc-2025-09-15",
      "created": "2026-05-17T00:00:00Z",
      "modified": "2026-05-17T00:00:00Z",
      "name": "Bucklog SARL Kubernetes-as-a-Service Scanner Cluster — AS211590",
      "infrastructure_types": ["hosting-malware", "botnet"],
      "first_seen": "2026-01-27T00:00:00Z"
    },
    {
      "type": "indicator",
      "spec_version": "2.1",
      "id": "indicator--bucklog-ipv4-cidr-2026-05-17",
      "created_by_ref": "identity--nightbox-llc-2025-09-15",
      "created": "2026-05-17T00:00:00Z",
      "modified": "2026-05-17T00:00:00Z",
      "name": "Bucklog SARL primary scanner prefix",
      "pattern": "[ipv4-addr:value = '185.177.72.0/24']",
      "pattern_type": "stix",
      "valid_from": "2026-01-27T00:00:00Z",
      "indicator_types": ["malicious-activity"]
    },
    {
      "type": "indicator",
      "spec_version": "2.1",
      "id": "indicator--bucklog-asn-2026-05-17",
      "created_by_ref": "identity--nightbox-llc-2025-09-15",
      "created": "2026-05-17T00:00:00Z",
      "modified": "2026-05-17T00:00:00Z",
      "name": "Bucklog SARL primary ASN",
      "pattern": "[autonomous-system:number = 211590]",
      "pattern_type": "stix",
      "valid_from": "2026-01-27T00:00:00Z",
      "indicator_types": ["malicious-activity"]
    },
    {
      "type": "indicator",
      "spec_version": "2.1",
      "id": "indicator--bucklog-ja4-fingerprint-2026-05-17",
      "created_by_ref": "identity--nightbox-llc-2025-09-15",
      "created": "2026-05-17T00:00:00Z",
      "modified": "2026-05-17T00:00:00Z",
      "name": "Bucklog scanner TLS JA4 fingerprint — primary",
      "pattern": "[network-traffic:extensions.'tls-ext'.ja4_digest = 't13d531000_ed6c8d7875f9_518fb456ca59']",
      "pattern_type": "stix",
      "valid_from": "2026-01-27T00:00:00Z",
      "indicator_types": ["malicious-activity"]
    },
    {
      "type": "vulnerability",
      "spec_version": "2.1",
      "id": "vulnerability--cve-2026-21858",
      "created_by_ref": "identity--nightbox-llc-2025-09-15",
      "created": "2026-05-17T00:00:00Z",
      "modified": "2026-05-17T00:00:00Z",
      "name": "CVE-2026-21858",
      "description": "Уязвимость произвольного чтения файлов в обработчиках webhook платформы n8n"
    }
  ]
}
```

---

## Hunting-запросы для SOC-инструментария получающего ведомства

### Suricata IDS / IPS (рекомендация для развёртывания в инфраструктуре ГосСОПКА / НКЦКИ)

```
alert http any any -> any any (
  msg:"NBX-DOCTRINE Bucklog SARL n8n-scanner UA — AS211590";
  flow:to_server,established;
  http.user_agent;
  content:"n8n-scanner";
  classtype:attempted-recon;
  reference:url,nightboxllc.com/.well-known/foreign-interference-threat-doctrine.json;
  reference:url,labs.greynoise.io/grimoire/2026-02-03-vive-la-vulnerabilite-french-kubernetes-cluster-hunts-your-webhook-endpoints/;
  sid:9000001;
  rev:1;
)
```

### Elasticsearch / OpenSearch DSL (для KICS / Solar JSOC / BI.ZONE TDR / Positive Technologies MaxPatrol SIEM)

```json
{
  "query": {
    "bool": {
      "should": [
        {"term": {"source.as.number": 211590}},
        {"prefix": {"source.ip": "185.177.72."}},
        {"term": {"tls.client.ja4": "t13d531000_ed6c8d7875f9_518fb456ca59"}},
        {"match": {"user_agent.original": "n8n-scanner"}}
      ],
      "minimum_should_match": 1
    }
  },
  "aggs": {
    "victims_by_org": {"terms": {"field": "destination.as.organization.name.keyword"}},
    "victims_by_country": {"terms": {"field": "destination.geo.country_iso_code"}}
  }
}
```

### KQL (Microsoft Sentinel / Defender)

```kql
union isfuzzy=true CommonSecurityLog, AzureNetworkAnalytics_CL, _Im_NetworkSession
| where SrcIpAddr startswith "185.177.72."
  or SrcASN == 211590
  or RequestClientApplication has_any ("n8n-scanner", "curl/8.7.1")
  or AdditionalExtensions has "t13d531000_ed6c8d7875f9_518fb456ca59"
| summarize VictimCount = dcount(DstIpAddr),
            FirstSeen = min(TimeGenerated),
            LastSeen = max(TimeGenerated),
            EventCount = count()
  by SrcIpAddr, RequestClientApplication
| order by EventCount desc
```

---

## Рекомендуемые корреляции через внутренний инструментарий ведомства

Нижеследующие рекомендации представлены как направления развития корреляции, основанные на публично известных аналитических возможностях российских профильных служб и партнёрских центров. NIGHTBOX не имеет какого-либо представления о внутреннем инструментарии получающих ведомств; рекомендации представлены как логические цепочки корреляции.

### Для ФСБ ЦИБ — Служба контрразведки

1. **Внутренние базы данных по ранее зафиксированным киберинцидентам** — перекрёстная проверка AS211590, сети `185.177.72.0/24`, JA4-отпечатка `t13d531000_ed6c8d7875f9_518fb456ca59`, и инцидентов, связанных с n8n CVE-2026-21858, в материалах, поступающих от ФСБ-ЦИБ-аккредитованных корпоративных служб ИБ.
2. **Корреляция с предыдущими атрибуциями** против российских КИИ-операторов (по 187-ФЗ) или объектов государственных информационных систем — наличие аналогичных JA4 / ASN / прецедентного шаблона в исторических записях.
3. **Координация по 187-ФЗ** через НКЦКИ для уведомления субъектов КИИ, эксплуатирующих n8n.

### Для НКЦКИ — Национальный координационный центр по компьютерным инцидентам

1. **Приём STIX 2.1 пакета индикаторов** — приведённый выше пакет пригоден для интеграции в собственные threat-intel ленты НКЦКИ и для распространения через каналы ГосСОПКА.
2. **Уведомление операторов значимых объектов КИИ**, эксплуатирующих n8n, через стандартные каналы НКЦКИ / ФСТЭК.
3. **Корреляция с международными CERT-партнёрами** — НКЦКИ имеет MOU с рядом международных команд реагирования; возможна координация с французскими CERT-структурами (CERT-FR / ANSSI) для административного воздействия на Bucklog SARL по линии хостинг-провайдера.

### Для ФСТЭК — Федеральная служба по техническому и экспортному контролю

1. **Рассмотрение для включения в банк данных угроз безопасности информации (БДУ ФСТЭК)** — индикаторы данного инцидента могут пополнить публичный реестр БДУ ФСТЭК (https://bdu.fstec.ru) для использования операторами значимых объектов КИИ.

### Для отраслевых центров кибербезопасности (Лаборатория Касперского GReAT, Group-IB / F.A.C.C.T., Positive Technologies ESC, Solar JSOC, BI.ZONE, RT-Solar)

1. **Перекрёстное обогащение данных** — данные о Bucklog SARL / AS211590 / JA4-отпечатке могут быть полезны для расширения собственных threat-intel feed-ов отраслевых центров и для уведомления клиентов, эксплуатирующих n8n.

### Для Министерства иностранных дел Российской Федерации — Департамент международной информационной безопасности

1. **Раcсмотрение в рамках двусторонних / многосторонних механизмов координации** по международной информационной безопасности (российские предложения по конвенции ООН о противодействии киберпреступности 2024 г.; диалог с французскими профильными ведомствами по линии CERT-FR / ANSSI; диалог с американскими профильными ведомствами по линии CISA / FBI Cyber Division).

---

## Юридические основания (российская сторона)

Настоящее уведомление предоставляется в соответствии и с учётом следующих правовых рамок Российской Федерации:

- **Уголовный кодекс РФ, ст. 272** — *Неправомерный доступ к компьютерной информации*. Действия по разведывательному сканированию endpoint-ов могут квалифицироваться как покушение на неправомерный доступ при наличии установления намерения.
- **Уголовный кодекс РФ, ст. 273** — *Создание, использование и распространение вредоносных компьютерных программ*. Использование специализированного инструмента `n8n-scanner/1.0`, ориентированного на эксплуатацию CVE-2026-21858, может подпадать под действие нормы.
- **Уголовный кодекс РФ, ст. 274** — *Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации*. Подпадает атаки на объекты КИИ в случае установления связи.
- **Уголовный кодекс РФ, ст. 275** — *Государственная измена* (не применима к описываемому актору — он не является гражданином РФ; ссылка дана для контекстуальной полноты).
- **Уголовный кодекс РФ, ст. 276** — *Шпионаж* (применима к иностранным гражданам и лицам без гражданства).
- **Уголовный кодекс РФ, ст. 284.1** — *Осуществление деятельности на территории Российской Федерации иностранной или международной неправительственной организации, в отношении которой принято решение о признании нежелательной на территории Российской Федерации её деятельности* (применимость зависит от наличия / отсутствия признания Bucklog SARL нежелательной).
- **Федеральный закон № 187-ФЗ от 26.07.2017** «О безопасности критической информационной инфраструктуры Российской Федерации» — обязательства субъектов КИИ по предотвращению и уведомлению о компьютерных инцидентах.
- **Доктрина информационной безопасности Российской Федерации** (Указ Президента РФ от 05.12.2016 № 646) — концептуальная рамка реагирования на угрозы в информационной сфере.
- **Стратегия национальной безопасности Российской Федерации** (Указ Президента РФ от 02.07.2021 № 400) — общая рамка.
- **Концепция внешней политики Российской Федерации** (Указ Президента РФ от 31.03.2023 № 229) — концептуальная рамка международного сотрудничества по информационной безопасности.
- **Федеральный закон № 127-ФЗ от 04.06.2018** «О мерах воздействия (противодействия) на недружественные действия Соединённых Штатов Америки и иных иностранных государств» — потенциальная рамка для квалификации действий иностранных юридических лиц при установлении системного характера.
- **Постановления Правительства Российской Федерации № 95, 254, 322** (контрсанкционная рамка) — относятся к действиям иностранных лиц в финансовой / правообладательской сферах; не напрямую к сканированию, но контекстуально полезны для оценки общей правовой рамки взаимодействия с иностранными юридическими лицами.

---

## Уже принятые NIGHTBOX оборонительные меры

1. **Декларация доктрины** — Доктрина по угрозе иностранного вмешательства, версия 1.0.0, опубликована 16 мая 2026 г. по адресу `/.well-known/foreign-interference-threat-doctrine.json` (двуязычно EN+RU, действующая сила).
2. **Наблюдаемость** — все события tripwire и edge-defense сохраняются в таблице Neon Postgres `edge_alerts` с доктринной классификацией (уровень, юрисдикционный класс, категория вмешательства, уверенность в атрибуции). Telegram-уведомления оператору по событиям уровня T2+ с иконками серьёзности; 10-минутная дедупликация; защита от штормов. Публичное BIRJA-честное раскрытие практики наблюдаемости: `/.well-known/observability-and-tripwires.json`.
3. **Настраиваемые правила файрвола Vercel Edge** (всего шесть правил, опубликованы в продакшн 17 мая 2026 г.):
   - `rate-limit-fr-aggressive-scanner-185-177-72` — ограничение 10 запросов/60 с с действием «запрет» на сеть `185.177.72.0/24`
   - Пять правил обхода для путей корреспонденции `/bilateral-*`, гарантирующих, что законная дипломатическая аудитория не подвергается bot-челленджу
4. **Публичный журнал инцидентов** — `/.well-known/foreign-interference-incidents-log.json` (JSON Feed v1.1, динамический, бэкенд Neon `edge_alerts`) подготовлен к публикации одобренных оператором инцидентов. **С сохранением приватности** — IP-адреса, User-Agent, JA4 fingerprint и `trigger_detail` НИКОГДА не раскрываются публично; раскрываются только доктринная классификация + страна + AS-организация + путь + слой + временная метка.
5. **Никакого наступательного ответа** — согласно доктрине, NIGHTBOX провёл **ноль** контрразведывательных операций, ноль port-сканирований, ноль hack-back и ноль наступательной деятельности против AS211590 или связанной инфраструктуры. NIGHTBOX обороняется; NIGHTBOX не атакует.

---

## Что NIGHTBOX запрашивает и НЕ запрашивает

**NIGHTBOX НЕ запрашивает:**

- Оказание мер защиты, постановки на учёт под наблюдение, оперативного задействования
- Закрытого мандата сотрудничества
- Какой-либо формы ответной информационной отдачи за рамками штатных каналов
- Ускоренного рассмотрения — настоящее обращение исключительно информационное

**NIGHTBOX был бы благодарен (полностью опционально, низкоприоритетно):**

- Подтверждение получения настоящего уведомления для корпоративных записей NIGHTBOX
- Уведомление в случае, если NIGHTBOX упоминается в каком-либо **публичном или несекретном** аналитическом продукте ФСБ / НКЦКИ / ФСТЭК, затрагивающем AS211590 / Bucklog SARL / CVE-2026-21858 — для перекрёстной ссылки в публичном журнале инцидентов NIGHTBOX
- Указание, предпочитает ли получающее ведомство, чтобы NIGHTBOX продолжал направление штатных уведомлений уровня T3 через настоящий канал (`artem@nightboxllc.com`) или через иной механизм отчётности (например, веб-формы safe-surf.ru НКЦКИ напрямую)

---

## BIRJA-симметричное одновременное уведомление — раскрытие

Согласно публично опубликованной Доктрине по угрозе иностранного вмешательства, идентичная англоязычная версия настоящего уведомления одновременно направлена:

- Federal Bureau of Investigation — Cyber Division (CyD)
- Federal Bureau of Investigation — Counterintelligence Division (CD)
- Cybersecurity and Infrastructure Security Agency (CISA)

**Обязательство информационно-симметричного обращения**: любой ответ или несекретное последующее сообщение, полученное от получателей со стороны Российской Федерации, будет сохранено в корпоративных записях NIGHTBOX и НЕ будет передано получателям США без дальнейшего явного согласия получателей со стороны Российской Федерации. Применима обратная симметрия — ответы от получателей США не передаются получателям со стороны Российской Федерации без явного согласия.

Англоязычная версия настоящего уведомления публично доступна по адресу:
`https://nightboxllc.com/reports/2026-05-17-FBI-cyber-notification-foreign-interference-AS211590.md`

---

## Подтверждение из открытых источников

Наблюдение NIGHTBOX подтверждается следующими независимо опубликованными аналитическими продуктами по threat-intelligence и репутационными сервисами:

- **GreyNoise Labs** — *«Vive La Vulnérabilité: French Kubernetes Cluster Hunts Your Webhook Endpoints»* — 3 февраля 2026 г.
  https://www.labs.greynoise.io/grimoire/2026-02-03-vive-la-vulnerabilite-french-kubernetes-cluster-hunts-your-webhook-endpoints/
- **Scamalytics** — *«Bucklog SARL — Fraud Check»* — *«Potentially very high fraud risk ISP»*
  https://scamalytics.com/ip/isp/bucklog-sarl
- **AbuseIPDB** — 185.177.72.38 (confidence score 328/100)
  https://www.abuseipdb.com/check/185.177.72.38
- **AbuseIPDB** — AS211590 — общая сводка злоупотреблений
  https://www.abuseipdb.com/check/AS211590
- **abuse.mom** — 185.177.72.52 — *Directory Scan, DDoS / Flood*
  https://www.abuse.mom/ip/185/185.177.72.52/
- **Cleantalk** — несколько IP-адресов в `185.177.72.0/24` зарегистрированы по устойчивым спам-атакам
- **bgp.tools** — сеть `185.177.72.0/24` + AS211590 + AS49434 (FBW NETWORKS SAS, восходящий)
- **IPinfo.io** — AS211590 организационная справка
- **BGPView** — AS211590 BGP-маршрутизация

---

## Подпись и удостоверение

| Параметр | Значение |
|----------|----------|
| **Уполномоченное лицо** | Артём Шакин |
| **Должность** | Единственный участник, NIGHTBOX LLC |
| **Дата** | 17 мая 2026 г. |
| **Контакт** | artem@nightboxllc.com |
| **Аппаратная аутентификация оператора** | YubiKey 5 (FIDO2 + ED25519-SK) — отпечаток публичного ключа раскрыт по адресу `/.well-known/yubikey.json` |
| **Целостность документа** | SHA-256 настоящего документа зарегистрирован в таблице Neon `audit_log` на момент выпуска; верифицируется по запросу |

---

**Гриф документа:** TLP:CLEAR
**Лицензирование:** CC BY 4.0 — Creative Commons Attribution 4.0 International
**Републикация допускается:** Да, с указанием источника
**Заявления о конфиденциальности отсутствуют:** Настоящий документ является публичным уведомлением для ситуационной осведомлённости, а не закрытым аналитическим продуктом разведсообщества. NIGHTBOX не претендует на проприетарные права или коммерческую тайну в отношении содержащейся в нём информации.

С глубоким уважением,

NIGHTBOX LLC

— конец уведомления —