5051
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования. Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
Листая старые журналы, обнаружил неочевидный юбилей. 30 лет назад, 22 декабря 1994 года, Межведомственная комиссия Совета безопасности России рассмотрела проект концепции информационной безопасности. Не могу на 100% ручаться, но, возможно, это была первая версия концепции. Текст этого проекта доступен здесь. Этот документ обсуждался в разных форматах всю вторую половину 90-х годов и только в 2000 году был принят в качестве официального документа — но не концепции, а Доктрины информационной безопасности.
Что интересно, в Доктрине 2000 года были смягчены некоторые формулировки, которые были в проекте 1994 года. Например, в первой версии трижды упоминаются США, а именно «стремлени[е] США и других развитых стран к информационному доминированию» и дважды «информационная экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ». К 2000 году прямых упоминаний США не осталось, но в числе внешних источников угроз упоминалось «стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков».
Если более серьёзно, то новость об обсуждении правительством возможности блокировки звонков в мессенджерах (безотносительно того, будет в итоге это реализовано или нет) — это очень яркая иллюстрация мысли, что если у тебя есть молоток, то любая проблема выглядит как гвоздь*. Российские власти так много инвестировали в построение суверенного интернета и инфраструктуру для фильтрации информации, что теперь есть соблазн применять этот инструмент к любым проблемам, например к мошенничеству.
Нетрудно заметить, что это стало бы попыткой решить проблему в нижней части течения, то есть когда злоумышленники уже нашли цель и готовятся провести атаку. Однако успех мошеннических схем зависит не только и не столько от канала коммуникации, сколько от качественной подготовки и изучения жертвы. Атаки не были бы столь успешны и многочисленны, если бы в распоряжении мошенников (а по сути любого желающего) не было такого огромного объёма персональных данных.
Хотя бы немного погрузившись в тему утечек персданных, нельзя не поразиться насколько плачевна ситуация в России. Из-за бесчисленных успешных взломов и сливов баз данных, а также с помощью разнообразных сервисов злоумышленникам не составляет труда составить базовый профиль на свою жертву (ФИО, контактные данные, родственники, адрес и телефон, наличие счетов в банках и пр.), что существенно повышает эффективность социальной инженерии для кражи денег или в других целях (см. диверсии).
Проблема утечек персданных — в верхней части течения. Она вроде бы признаётся, но в основном в декларативном порядке: данные всех россиян доступны в интернете. Хорошо, и что дальше? Если бы на решение этой проблемы направлялись ресурсы, которые были потрачены и продолжают тратиться на блокировку сайтов и сервисов, то ситуация была бы иной.
Конечно, нельзя сказать, что ничего не делается. Например, увеличение штрафов за допущение утечек создаёт стимул для организаций больше инвестировать в обеспечение безопасности. Но, по сути, государство усилило кнут, но не предложило пряник, поэтому стимул получился неоднозначный. Он также будет подталкивать организации к сокрытию инцидентов и перекладыванию ответственности. Также по-прежнему ничего не сделано для того, чтобы граждане были в курсе того, что их данные из какого-то сервиса утекли: у организаций нет обязанности уведомлять клиентов (и они, как можно судить, этого чаще всего и не делают), более того, они не несут никакой ответственности, если публично будут сообщать недостоверные сведения об утечке.
Ещё есть такой инструмент, как дипломатия. Если мошенники действуют из другой юрисдикции, то привлечь их к ответственности можно через международное сотрудничество.
______________
* Мысль про молоток сформулировал тот же самый Маслоу, который придумал и популярную пирамиду потребностей.
Снимаю шляпу, что дальше?
"Из-за роста активности мошенников в мессенджерах власти не исключают введение ограничений на звонки в них. Обсуждается как полная блокировка голосовых вызовов в приложениях, так и запрет на звонки из-за границы. Сейчас, по оценкам операторов связи, около 40% вызовов в мессенджерах совершают мошенники, при этом примерно 70% из них поступают из-за рубежа. Операторы связи говорят, что не могут без дополнительных инструментов блокировать звонки в мессенджерах и подобное ограничение возможно только на уровне Роскомнадзора".
https://www.kommersant.ru/doc/7401636
Хакерская группировка «XakNet Team», которая на прошлой неделе взломала и уничтожила ИТ-инфраструктуру Национальной Информационной Системы Украины (НАИС, nais.gov.ua) и Министерства Юстиции Украины (minjust.gov.ua) опубликовала вчера в свободном доступе фрагмент базы данных одного из реестров НАИС - около 307 тыс. записей актов гражданского состояния (ЗАГС). 🔥
Информация в опубликованном фрагменте актуальна на 17.10.2024.
Ранее «XakNet Team» взламывали инфраструктуру: украинской аптечной сети «Аптека Низких Цен», украинской сети медицинских лабораторий «Синэво», «Министерства Финансов Украины», «Агентства развития инфраструктуры фондового рынка Украины», компаний «ОРАНТА», «Экспресс Страхование» и «Экспресс Кредит».
Суд в Калифорнии вынес решение по иску WhatsApp к NSO Group — самого известного разработчика программ для слежки признали виновным во взломе около 1400 устройств через мессенджер. Дело тянется с 2019 года. Суд согласился с претензиями WhatsApp, что распространение шпионской программы нарушило а) американский закон о компьютерных преступлениях (Computer Fraud and Abuse Act), б) аналогичный закон штата Калифорния, в) условия использования мессенджера — в частности запрет на реверс-инжиниринг приложения. Пока решение касается только виновности NSO Group, а размер ущерба будет определяться в ходе дальнейшего судебного процесса. Для знатоков legalese есть и текст решения со всеми нюансами.
Читать полностью…
С другой стороны, если подумать, есть три книжки и как раз три участника. Так что встречайте победителей «Апофеоза кибервойны 2»:
— Кибертерроризм (Сергей Солдатов);
— Интервью с участником Народной CyberАрмии (Мария Коледа);
— Правительство обязало Минцифры разработать проекты постановлений о двух новых ГИС в рамках ЕАЭС (Валерий Коржов).
США добиваются экстрадиции из Израиля предполагаемого разработчика программы-шифровальщика LockBit, сообщило израильское издание Ynet. Подозреваемый в создании вредоноса — гражданин Израиля по имени Ростислав Панев. Согласно запросу на экстрадицию от США, с 2019 по 2024 год Панев занимался разработкой для LockBit, в том числе он написал код, с помощью которого записка с требованием выкупа распечатывались на любом принтере, подключённом к заражённой системе. За свою работу он якобы получил 230 тысяч долларов в биткоинах.
Панев был арестован в своём доме в Хайфе 18 августа. Ynet пишет, что в связи с серьёзностью обвинений следователи ФБР лично прибыли в Израиль, где намеревались допросить подозреваемого, но не смогли из-за возражений его адвоката. Аналогичную попытку предприняли и французские власти, но тоже безуспешно (в октябре стало известно, что по запросу Франции в некой стране был арестован один из предполагаемых разработчиков LockBit — вероятно, речь шла именно о Паневе).
В октябре международный департамент Генпрокуратуры Израиля подал петицию в окружной суд Иерусалима, чтобы признать Панева подлежащим экстрадиции в США. Сегодня был снят запрет на обнародование факта подачи петиции. Ближе к вечеру вышел официальный пресс-релиз Генпрокуратуры, подтверждающий подачу петиции. Судебное слушание по этому вопросу состоится 5 января.
На этой неделе посетил с официальным визитом Бишкек, в этой связи вспомнил новость трёхлетней давности, что Корейское агентство международного сотрудничества (KOICA) планировало профинансировать создание в Кыргызстане центра оперативного реагирования на компьютерные инциденты. Проверил — всё так и случилось. Центр оперативного реагирования на компьютерные инциденты (SOC) открыли в январе этого года на базе Координационного центра по обеспечению кибербезопасности (который действует на базе главной спецслужбы, Государственного комитета национальной безопасности). В церемонии открытия принимал участие посол Республики Корея. Как сообщалось ранее, KOICA выделяла на проект 5 млн долларов. SOC разместил в новом здании ГКНБ, открытом в 2023 специально для Координационного центра по обеспечению кибербезопасности.
Из корейских источников можно узнать, что центр создавался по модели аналогичного национального корейского центра кибербезопасности. Подрядчиками KOICA выступили корейские компании Piolink и Igloo Corporation. Последняя поставила для центра корейские ИБ-решения (endpoint security, network security, APT response, SIEM). Отмечается, что проект стал первым случаем, когда несколько корейских компаний (Korea Telecom Internet Technology, Piolink, SecureOne, Igloo, T&D Soft, AhnLab, NPCore, Sparrow) совместно экспортировали оборудование и ИБ-продукты.
Роскомнадзор расставит ловушки для хакеров
Подведомственный Роскомнадзору (РКН) Главный радиочастотный центр (ГРЧЦ) закупает лицензию на использование программного обеспечения (ПО), которое генерирует приманки и ловушки для хакеров. Поставщиком решения был выбран российский разработчик в сфере информационной безопасности (ИБ) ООО «Ангара ассистанс».
Исполнитель должен установить программу Xello Deception (российский софт)
за 13,1 млн рублей. В результате в инфраструктуре ГРЧЦ появится десяток серверов-ловушек с сотнями устройств, имитирующих реальные. Центр сможет эксплуатировать софт в течение года.
🔜 Софт подобного класса не очень распространен в России и им пользуются только компании, которые «имеют высокую культуру обеспечения ИБ», подчеркивает руководитель лаборатории стратегического развития продуктов кибербезопасности аналитического центра кибербезопасности «Газинформсервиса» Дмитрий Овчинников.
📰 Подпишитесь на «Ведомости»
В Германии арестовали 24-летнего мужчину по обвинению в причастности к атакам пророссийской группировки Killnet. Самой группировки в изначальном виде нет уже около года.
Читать полностью…
😶🌫️ Специалисты экспертного центра безопасности Positive Technologies (@ptescalator) расследовали новую атаку группировки Cloud Atlas
К экспертам PT ESC IR (отдела реагирования на угрозы) обратилась за помощью российская государственная организация, обнаружившая фишинговую рассылку. К счастью, злоумышленники не успели закрепиться в ИТ-инфраструктуре и нанести значительный ущерб, остановить их удалось на этапе разведки.
Расследование инцидента показало, что за этой атакой, как и за другими похожими, стоит группировка Cloud Atlas, действующая с 2014 года. Эксперты Positive Technologies ранее сообщали о ее атаках на правительство разных стран. Однако новая фишинговая волна, за которой наши специалисты наблюдают с октября 2024 года, нацелена в основном на госорганы России и Беларуси.
«За десять лет арсенал Cloud Atlas не претерпел значительных изменений: группировка так же применяет облачные сервисы в качестве командно-контрольного сервера. Однако недавние атаки носят экспериментальный характер: их главное отличие от более ранних в том, что киберпреступники вместо стандартного С2-сервера использовали документ, созданный в Google Sheets, онлайн-приложении для работы с электронными таблицами», — рассказал Александр Григорян, заместитель руководителя департамента комплексного реагирования на киберугрозы PT ESC.
В журнале Службы внешней разведки России «Разведчик», наверно, впервые вышла статья на тему цифровой разведки. Увы, чем-то интересным оттуда поделиться не могу. В первой части статьи говорится о том, какие подразделения, занимающиеся разведывательными операциями в киберпространстве, есть у стран Five Eyes и других союзников США. Вторая часть посвящена американским возможностям и подходам и по большей части основана на разоблачениях Сноудена десятилетней давности. Описано всё очень кратко, так что важные аспекты упущены. Например, авторы пишут, что американские спецслужбы могут «снимать данные практически с любых каналов связи и проникать в любые устройства», то есть описывают так называемый upstream collection. Но, говоря о сотрудничестве с американскими компаниями, не упоминают downstream collection, то есть получение у компаний данных интересующих пользователей по запросам.
Напоследок авторы сообщают, что ничего хорошего от США не ждут вне зависимости от того, кто там будет у власти: «В завершение отметим, что реализация намеченных планов не зависит от смены политического руководства. Кто бы ни занимал Овальный кабинет, императивы внешней политики Белого дома — однополярная гегемония и навязывание остальному миру собственных правил, выгодных прежде всего американским элитам, — будут определяющими».
Справка КГБ о компьютерных вирусах от 1989 года
«Имеются данные, что спецслужбы противника проводят секретные разработки "компьютерных вирусов" в качестве эффективного диверсионного средства поражения вычислительных систем», — такое предостережение делали специалисты КГБ во внутреннем документ в июле 1989 года.
«Ориентировка о "компьютерных вирусах" и способах борьбы с ними» была разослана руководителям всех организаций системы Комитета государственной безопасности в качестве приложения к указанию «О порядке приобретения, эксплуатации и размножения зарубежных программных средств». Этот исторический документ, доступный в оцифрованной форме из архива Литовского КГБ, интересен с точки зрения того, как в Советском Союзе воспринималась проблема вирусов на раннем этапе их появления.
«В настоящее время все большее значение придается обеспечению безопасности данных, хранимых и обрабатываемых на ЭВМ, поскольку накопленный в мировой практике опыт программирования и специфика программного обеспечения современных компьютеров допускают возможность создания и размещения в программах различного рода включения, в том числе диверсионного назначения».
Такие программы могут изготовляться и внедряться по разным мотивам, включая сведение личных счётов и демонстрацию интеллектуальных способностей программистов. В качестве примера приведён известный случай на Волжском автозаводе в 1982 году, когда сотрудник предприятия Мурат Уртембаев (которого иногда называют первым советским хакером) встроил вредоносный код в программу, управляющую сборочным конвейером.
Авторы документа считают, что по-хорошему вирусы надо называть программными закладками (по аналогии с аппаратными закладками), а термины типа «компьютерные вирусы», «программные ловушки», «логические бомбы», «троянские кони», «черви» используются для придачи проблеме сенсационности. Но всё-таки по ходу документа оперируют термином вирус, который к тому времени вполне прижился.
Согласно документу, в Советском Союзе факты появления вирусов на персональных ЭВМ участились в 1987-1989 годах, причём их обнаруживали в министерствах, вычислительных центрах Академии наук и даже в подразделениях самого КГБ. Причиной проникновения обычно становилось использование ПО, «которое приобреталось или бесконтрольно копировалось на основе личных неофициальных контактов между пользователями». Далее в документе назван и ещё один возможный путь распространения вирусов — через подключение к другим сетям.
При этом ориентировка 1989 года не была первой справкой на эту тему — ещё в 1984 году по поручению Госкомиссии по военно-промышленным вопросам группа ведомств с участием КГБ подготовила для правительства доклад по проблеме программных закладок.
На стр. 3-4 приведено техническое описание механизма действия вирусов и перечислены характерные проявления их действия:
«— появление на экране монитора посторонних изображений;
— "осыпание" символов на экране монитора в нижнюю свободную строку экрана;
— существенное снижение производительности ПЭВМ, не связанное с аппаратурными неисправностями;
— перезагрузка ПЭВМ при запуске на выполнение ранее работоспособных программ;
— увеличение длины программ на дисках (гибких и жестких);
— исчезновение программ с диска, если их никто не удалял умышленно;
— появление на ранее качественных дисках большого количества секторов, помеченных как дефектные, а также разрушение данных и программ (особенно большой длины), происшедшее на нескольких компьютерах примерно в одно и то же время».
В документе описано три типа вирусов, встречавшихся в Советском Союзе, и отмечено, что в КГБ есть средства обнаружения и удаления двух из них, в т.ч. известного вируса Vienna.648, распространение которого пришлось на 1988 год.
На стр. 6-8 описаны меры борьбы с компьютерными вирусами, среди них контроль доступа, разграничение принятого в эксплуатацию (боевого) ПО и разрабатываемого ПО, выявление и изучение нештатных ситуаций. На стр. 7 фактически описан порядок реагирования на инцидент, включающий восстановление программы «путем копирования эталонов».
В журнале «Международная жизнь» вышла развёрнутая статья о российском взгляде на Конвенцию ООН против киберпреступности: «Первый глобальный договор против киберпреступности: от геополитической конфронтации к профессиональному компромиссу». Автор — один из ключевых участников переговоров с российской стороны, Петр Литвишко, заместитель начальника Главного управления международно-правового сотрудничества Генпрокуратуры — начальник управления правовой помощи и правоохранительного содействия, старший помощник генпрокурора России.
В статье рассказано о работе межведомственной рабочей группы под эгидой Генпрокуратуры, которая занималась переговорами по конвенции от России; о преимуществах и недостатках новой конвенции по сравнению с Будапештской конвенцией 2001 года; о процессуальной стороне конвенции; о моментах, которые российскую сторону не устраивали (положения, касающиеся прав человека, и так называемые экстратерриториальные элементы); о согласовании версии конвенции на разных языках. Приведено много подробностей юридического характера.
В целом же автор оценивает результат многолетней работы положительно:
«Всякий международный договор, прежде всего многосторонний, - в той или иной мере продукт компромисса. В случае с Конвенцией это были хрупкий баланс и компромисс в квадрате, априори не способные на генерацию чего-то очень прорывного. Но вопреки всему удалось выработать качественный и востребованный практикой текст, вобравший в себя сочетание лучших элементов Палермской и Будапештской конвенций. И применительно ко всякому международному договору (не только к двустороннему, в этом смысле более естественному), а к Конвенции вдвойне, уместна аллегория с ребенком. Этот долгожданный первенец вынашивался в токсичной среде, имеющей мало общего с духом Объединенных Наций, и родился в муках таким, как есть, вопреки замыслам и запросным позициям заведомо малосовместимых родителей. Как бы то ни было, Конвенция - наше собственное детище, здоровое развитие и успешность которого - в том числе в наших собственных руках.
Нам всем предстоит продолжение и совершенствование профессиональной, напряженной и кропотливой работы по противодействию информационной преступности в условиях многополярной архитектуры современного миропорядка, включая блок «недружественных» государств, теперь уже с новым универсальным инструментом в нашем распоряжении, эффективность применения которого будет зависеть прежде всего от нас самих, и с новым праздником, который планируется объявить в честь принятия Конвенции, - Международным днем борьбы с киберпреступностью. Какие конкретно успехи будем отмечать в этот день - тоже будет зависеть от нас».
Россия уже готовится к адаптации внутреннего законодательства для реализации конвенции:
«Так, в настоящее время межведомственное согласование проходит разработанный Генеральной прокуратурой РФ проект федерального закона, направленного на урегулирование порядка обеспечения сохранности электронных данных по запросам как иностранных, так и российских органов и одновременно на предотвращение исполнения российскими провайдерами иностранных запросов о сохранении или предоставлении данных, поступивших к ним напрямую из-за рубежа».
Советники Трампа готовят план по разделению руководства АНБ и Киберкомандования, узнало издание The Record. Идея обсуждается давно в разных контекстах, на излёте первого президентства Трампа даже была безуспешная попытка реализовать её.
С момента появления Киберкомандованием руководит директор АНБ, агентства радиотехнической разведки. Изначально это было сделано из тех соображений, что в АНБ сидят лучшие специалисты, чьи навыки востребованы и военными и будут полезны молодой структуре. Однако между миссиями двух организаций есть неизбежный конфликт: АНБ занимается сбором развединформации, действует скрытно и заинтересовано сохранять доступ как можно дольше. Киберкомандование же задумывалось для военных задач — вроде вывода из строя инфраструктуры ИГИЛ в ходе операции Glowing Symphony.
Генассамблея ООН приняла новую Конвенцию против киберпреступности. Процедура прошла этой ночью или днём по Нью-Йорку. Резолюция о конвенции была принята консенсусом, то есть без голосования, как до этого произошло и в профильном Третьем комитете Генассамблеи. Итоговый проект можно посмотреть здесь.
Подробно об этой конвенции и её предыстории я рассказывал в отдельной статье. Идею нового глобального инструмента по борьбе с киберпреступностью Россия начала продвигать с 2010-х годов. Формально процесс разработки документа был запущен почти ровно пять лет назад, в декабре 2019 года, когда в Генассамблее была принята резолюция о создании спецкомитета по подготовке конвенции.
На вчерашнем заседании непосредственно перед принятием конвенции выступила Россия на правах инициатора переговоров. В этой речи отражены смешанные эмоции российской стороны по поводу конвенции: с одной стороны, итоговый текст не лишён изъянов, с другой, хорошо, что его приняли, ведь он создаёт возможности для сотрудничества: «Запуск механизмов, предусмотренных Конвенцией, позволит нанести сокрушительный удар по информационной преступности, масштабы которой увеличиваются в геометрической прогрессии».
Церемония подписания конвенции пройдёт в 2025 году в Ханое.Генассамблея ООН приняла новую Конвенцию против киберпреступности. Процедура прошла этой ночью или днём по Нью-Йорку. Резолюция о конвенции была принята консенсусом, то есть без голосования, как до этого произошло и в профильном Третьем комитете Генассамблеи. Итоговый проект можно посмотреть здесь.
Подробно об этой конвенции и её предыстории я рассказывал в отдельной статье. Идею нового глобального инструмента по борьбе с киберпреступностью Россия начала продвигать с 2010-х годов. Формально процесс разработки документа был запущен почти ровно пять лет назад, в декабре 2019 года, когда в Генассамблее была принята резолюция о создании спецкомитета по подготовке конвенции.
На вчерашнем заседании непосредственно перед принятием конвенции выступила Россия на правах инициатора переговоров. В этой речи отражены смешанные эмоции российской стороны по поводу конвенции: с одной стороны, итоговый текст не лишён изъянов, с другой, хорошо, что его приняли, ведь он создаёт возможности для сотрудничества: «Запуск механизмов, предусмотренных Конвенцией, позволит нанести сокрушительный удар по информационной преступности, масштабы которой увеличиваются в геометрической прогрессии».
Церемония подписания конвенции пройдёт в 2025 году в Ханое.
Вообще, конечно, это всё полумеры. Мошенники смогут обманывать граждан, пока у тех есть деньги. Но что, если...
Читать полностью…
В Оренбурге к 19 годам лишения свободы и штрафу приговорён некто Пикалов Д.А. 1993 года рождения по ст. 275 (госизмена) и ч. 5 ст. 274.1 (неправомерное воздействие на критическую информационную инфраструктуру; тяжёлые последствия) УК РФ.
Согласно пресс-релизу ФСБ, он был задержан в январе 1993 года за оказание помощи иностранной организации в деятельности, направленной против безопасности России.
«В ходе оказания помощи иностранной организации в деятельности, направленной против безопасности Российской Федерации, он передал представителям Федерального бюро расследований США установочные и иные персональные данные военнослужащих Российской Федерации».
В пресс-релизе Оренбургского областного суда приводятся некоторые детали, касающиеся воздействия на КИИ. А именно утверждается, что осуждённый незаконно копировал из областной государственной информационной системы здравоохранения данные лиц, объявленных в розыск в США, ради получения вознаграждения:
«Судом установлено, что осужденный, используя служебный персональный компьютер и персональные учетные записи сотрудников одного из областных медицинских учреждений, зарегистрированных в государственной информационной системе здравоохранения Оренбургской области, незаконно копировал персональные данные пациентов. После чего с помощью программы анонимной электронной переписки в одном из мессенджеров по каналу связи, находящемуся под управлением Бюро разведки и исследований Государственного департамента США, а также Федерального бюро расследований, установив контакт с их представителями, направлял им сведения о гражданах Российской Федерации, в отношении которых США объявлен розыск. Установить контакт со спецслужбами США Пикалова Д.А. побудили корыстные мотивы получения денежного вознаграждения.
Направленные Пикаловым Д.А. в адрес разведывательных органов США персональные данные наших граждан могли быть использованы против безопасности Российской Федерации».
Приговор в силу не вступил.
Румынская налоговая служба ANAF установила, что кампания в TikTok победителя отмененного первого тура румынских президентских выборов Кэлина Джорджеску была оплачена не россиянами, как предполагала румынская разведка, а проевропейской Национально-либеральной партией Румынии (PNL).
Джорджеску за критику НАТО и высказывания о патриотизме Владимира Путина называли пророссийским кандидатом. После его победы в первом туре выбывшие кандидаты потребовали проверить финансирование кампании. Себастьян Попеску от «Новой Румынии» (0,16%) утверждал, что Джорджеску в отчете о финансировании предвыборной кампании сообщил об отсутствии расходов, хотя активно продвигался в TikTok.
Конституционный суд отменил итоги выборов «в целях обеспечения правильности и законности избирательного процесса».
Кибератака на госреестры Украины
Государственные реестры Украины оказались недоступны из-за кибератаки. По словам вице-премьера страны Ольги Стефанишиной, восстановление работы реестров, находящихся в ведении Минюста, может занять около двух недель. Похоже, за последние месяцы это самая серьёзная по своим последствиям кибератака против Украины.
Не работают реестры актов гражданского состояния граждан; юридических лиц и физических лиц — предпринимателей; прав на недвижимое имущество и их обременений и, видимо, многие другие. Поскольку на информацию из реестров завязано оказание госуслуг, МВД Украины приостановило оказание ряда услуг, связанных с изменением владельца автомобиля. Также временно не работает 35 сервисов в приложении «Дiя» (в т.ч. смена места жительства, помощь инвалиду, уведомление о ремонтных работах).
Ответственность за атаку взяла на себя пророссийская группировка XakNet, молчавшая больше года. Согласно посту в её канале, проникнуть в инфраструктуру Минюста удалось через подрядчика — государственное предприятие «Национальные информационные системы» (НАИС) (на его сайте «проводятся технические работы»). XakNet утверждают, что они похитили большой объём данных (1 млрд строк), а также удалили как основные базы, так и резервные копии, хранившиеся на серверах в Польше.
К сожалению, конкурс статей в этот раз придётся отменить из-за малого количества заявок. Видимо, «Апофеоз кибервойны» бывает только один раз! Спасибо трём авторам, приславшим свои статьи.
Читать полностью…
Trend Micro (как любая уважающая себя инфобез-компания) использует собственные обозначения для APT-группировок, в частности APT29 они отслеживают как — внимание — Earth Koshchei (земляной Кощей). Подглядели таксономию с мифическими существами у «Солара»?
Похоже, впервые это наименование упоминается в свежем отчёте про масштабную спирфишинговую кампанию, о которой ранее сообщали украинский CERT, Microsoft и Amazon. Особенность кампании — получение первоначального доступа через вредоносные RDP-файлы; исследователи Trend Micro считают, что эту технику «кощеи» заимствовали из арсенала для red teaming, а конкретно из записи в блоге Black Hills Information Security от февраля 2022.
В непростых отношениях США и Китая продолжают появляться новые эпизоды связанные с киберугрозами.
Вчера Wall Street Journal сообщила, что американские власти рассматривают возможность введения санкций против компании TP-Link Technology Co якобы из-за опасений, что произведённые ей роутеры могут использоваться в кибератаках. Пока вопрос находится на стадии проверки — причём сразу тремя ведомствами: Министерством торговли, Минобороны и Минюстом.
А со стороны Китая вчера прозвучали обвинения по поводу двух американских кибератак. Китайская национальная команда реагирования на инциденты (CNCERT/CC) заявила об обнаружении двух случаев, когда США взламывали организации в Китае якобы с целью кражи информации, составляющей коммерческую тайну. В пресс-релизе каждая атака описана в один абзац с некоторыми подробностями, но без технического анализа.
Одной из целей была китайская организация, занимающаяся разработкой и исследованием новых материалов. Она подверглась атаке, предположительно совершенной разведслужбой США, с августа 2024 года. Судя по описанию, атакующие смогли получить доступ к серверу для обновления ПО организации и через него распространили на 270 хостов троян для кражи данных.
Другой целью было крупное высокотехнологичное предприятие, относящееся к отраслям умной энергетики и информационных технологий. С мая 2023 она подвергалась атаке, в которой CNCERT/CC также подозревает американскую спецслужбу. Точкой входа в этом случае послужили уязвимости Microsoft Exchange. Злоумышленники получили доступ к почтовым серверам и внедрили бэкдор для перехвата переписки. Также атакующие смогли получить контроль над более чем 30 устройствами компании и её дочерних структур.
Обвинения были поддержаны газетой Global Times, но МИД Китая их пока не прокомментировал, как он это обычно делает.
С исследовательской точки зрения интересно, что источником обвинений стал CNCERT/CC. На прошлой неделе на конференции «Киберстабильность» я рассказывал про особенности киберразведки в Китае. С начала 2020-х годов со стороны китайского правительства появился спрос на отчёты об американских атаках — для обвинений (а точнее контробвинений) в адрес США. Для публичных обвинений используются как технические отчёты от китайских компаний (таких как Qihoo 360, Antiy, Pangu Lab), так и отчёты таких структур, как Национальный центр реагирования на компьютерные вирусы (CVERC) или Альянс индустрии кибербезопасности Китая. Последние не всегда содержат технические подробности или даже могут быть просто компиляцией уже известной информации, как три части отчёта CVERC про Volt Typhoon. CNCERT/CC, по-моему, впервые выступает источником такого рода заявлений, связывающих кибератаку непосредственно с США. При этом с точки зрения содержания, заявление занимает некое промежуточное положение между двумя этими условными видами отчётов. С одной стороны, какие-то технические подробности в нём есть, и речь идёт о неких ранее не известных атаках, с другой стороны, ну, это всего три абзаца.
🖥Расследования киберпреступлений
Американские обвинения в адрес хакеров из других стран регулярно попадают в новости, но детали расследований обычно остаются за скобками. Как власти США ищут нарушителей за пределами своей территории?
На предстоящей лекции в Шанинке мы рассмотрим, на чём строятся громкие дела о киберпреступлениях, откуда американские правоохранители получают нужные данные и почему всё чаще стремятся вывести из строя инфраструктуру злоумышленников.
📌Лекцию прочитает Олег Шакиров, автор телеграм-канала «Кибервойна», аспирант университета Джонса Хопкинса, исследователь в области международных аспектов информационной безопасности.
Зарегистрироваться ➡️
Генпрокуратура признала Recorded Future нежелательной организацией
Сегодня утром Генеральная прокуратура России сообщила о признании нежелательной деятельности Recorded Future. Recorded Future — американская компания в сфере кибербезопасности, специализирующаяся на киберразведке (threat intelligence).
Основанием в пресс-релиз названо следующее:
«Сотрудники RF предоставляют услуги по поиску, обработке и аналитике данных, в том числе в закрытом сегменте Интернета. Специализируются на киберугрозах, активно взаимодействуют с ЦРУ и разведслужбами других государств. Обеспечивают информационно-техническую поддержку развернутой Западом пропагандистской кампании против России.
Организация участвует в сборе и анализе данных о действиях Вооруженных Сил РФ. Обеспечивает украинским специалистам свободный доступ к программам, используемым для подготовки и проведения наступательных информационных операций против России».
Это первый случай, когда инфобез-компания получила в России такой статус. Вообще российские власти обычно объявляют нежелательными неправительственные организации — именно так был сформулирован закон. По этой причине в пресс-релизе Генпрокуратуры Recorded Future названа неправительственной организацией, которая «финансируется организация за счет американских корпораций». (В пресс-релизе также неточно указан год основания компании — 2019 вместо 2009.)
Внесение Recorded Future в список нежелательных организаций может иметь определённые последствия для российских ИБ-компаний. Так, в России предусмотрена административная и уголовная ответственность за участие в деятельности нежелательных организаций, а это, по опыту, включает и распространение материалов такой организации. То есть, грубо говоря, ссылки на отчёты Recorded Future в threat intelligence платформах в принципе можно рассматривать как нарушение.
Для журналистов, особенно в профильных изданиях теперь стоит вопрос, можно ли цитировать материалы The Record — медиа Recorded Future, которое в последние несколько лет играло заметную роль в освещении новостей о кибербезопасности.
Интригу добавляет то, что Recorded Future вскоре может прекратить существование как отдельная компания. В сентябре покупку Recorded Future анонсировала платёжная система Mastercard. Сделка о поглощении пока не завершена, но её обещали закрыть в первом квартале 2025 года, то есть в течение всего нескольких месяцев.
В одном из самых необычных примеров цифрового шпионажа APT-группировка Turla (или Secret Blizzard), которую приписывают России, в течение почти двух лет контролировала компьютерные системы пакистанских 🇵🇰 кибершпионов, получая доступ к правительственным сетям по всей Южной Азии, в частности в Афганистане 🇦🇫 и Индии 🇮🇳 Этот результат стал известен благодаря исследованию Black Lotus Labs, подразделения компании Lumen.
Turla взломала 🔓 серверы управления (C2), принадлежащие пакистанской APT-группе Storm-0156. Используя эти серверы, Turla запускала своё вредоносное ПО и похищала конфиденциальные данные 😂 Это уже четвёртый случай, когда Turla интегрируется в операции других хакеров. Ранее они использовали инфраструктуру иранских (Hazel Sandstorm) 🇮🇷 и казахстанских (Storm-0473) 🇰🇿 APT-групп, а также унаследованные атаки на Украину (через ВПО Andromeda).
В конце 2022 года Turla использовала существующие доступы Storm-0156, чтобы развернуть собственное вредоносное ПО, включая TwoDash и Statuezy 🐎 Это позволило получить огромный объём данных, включая учетные записи, украденные файлы и инструменты Storm-0156. В середине 2024 года Turla активно использовала только семь серверов с пакистанским вредоносным ПО CrimsonRAT 🐀 и Wasicot, даже несмотря на доступ к большему количеству C2-узлов. Это указывает на приоритетный подход к наиболее важным целям, включая индийские правительственные и военные сети, к которым ранее имели доступ кибершпионы Пакистана.
Интересный кейс, который показывает, что хакеры ломают других хакеров и что одни APT могут маскироваться под другие группировки. Кто может гарантировать, что под маской Turla в описываемом исследовании не скрывается какая-нибудь Equation Group? 🇺🇸
А еще, если совсем перевернуть ситуацию с ног на голову, представьте, что вы думаете, что вас мониторит SOC какого-нибудь Moonar Security, а на самом деле его инфраструктура давно уже используется Positive Technologies? Ну а что, почему APT может использовать сервера управления другой APT, а SOC не может сидеть на инфраструктуре другого SOC? 🤔
«Нужно наступать» — советник Трампа о киберстратегии новой администрации
Конгрессмен Майк Уолц, который займёт в команде Дональда Трампа пост советника по национальной безопасности, поделился с каналом CBS своими мыслями по поводу того, как США противостоять внешним киберугрозам. В ответ на вопрос о взломе американских телеком-компаний китайскими хакерами (см. Salt Typhoon), Уолц заявил, что США нужно активнее прибегать к наступательным действиям, чтобы повышать издержки для своих противников и вынудить их прекратить атаки:
«На протяжении многих лет мы пытались всё лучше и лучше защищаться в киберпространстве. Нам нужно переходить в наступление и начать повышать издержки для частных игроков и государств, которые продолжают красть наши данные, продолжают шпионить за нами и, что ещё хуже, если говорить о проникновении Volt Typhoon, буквально закладывают кибербомбы замедленного действия в нашу инфраструктуру, наши системы водоснабжения, наши энергосети, даже наши порты. Это совершенно неприемлемо, и я думаю, что нам нужно занять гораздо более жёсткую позицию. Сенатор Рубио прав [называя взломы телеком-компаний опасными и вопиющими нарушениями]. Президент Трамп тоже об этом говорил. Мы должны начать менять поведение другой стороны вместо того, чтобы продолжать оставаться в ситуации, когда происходит эскалация нападения с их стороны и защиты с нашей. Ещё одним знаковым моментом был взлом Colonial Pipeline. И наконец, у нас есть мощный частный сектор с огромными возможностями. Эти отношения между государством и частным сектором, с нашей технологической индустрией, могут принести много пользы, помогая нам защищаться, но также делая наших противников уязвимыми».
Во время первого президентства Трампа его администрация также придерживалась наступательного подхода в киберпространстве, что отразилось в стратегических изменениях и расширении полномочий Киберкомандования и ЦРУ в части проведения киберорпераций.
Исследователи Claroty изучили новый вредонос IOCONTROL для атак на промышленные системы. Утверждается, чтр он использовался для атак группы CyberAv3ngers на системы в Израиле и США. Исследователи нашли сэмпл программы на VirusTotal и считают, что он был получен из системы управления топливом Gasboy. Также вредонос использовался для компрометации систем Orpak Systems.
Читать полностью…
Месть за Ragnarok: США замораживают активы китайской компании
❌ Минфин США ввёл санкции против китайской компании Sichuan Silence и её сотрудника за использование вымогателя Ragnarok. Атаки были направлены на критически важные объекты инфраструктуры в США и других странах, затронув более 81 000 устройств по всему миру.
💻 Сотрудник компании Гуан Тяньфэн обнаружил и использовал уязвимость в межсетевых экранах Sophos XG для массового заражения устройств. В США пострадало более 23 000 устройств, включая 36 критически важных объектов, причём одна из атак могла привести к катастрофе в энергетическом секторе.
💰 Госдепартамент США объявил награду до $10 миллионов за информацию о компании или её сотруднике. Все активы Sichuan Silence в США будут заморожены, а американским компаниям запрещено любое сотрудничество с китайской фирмой.
#санкции #кибератака #Ragnarok #инфобезопасность
@SecLabNews