5051
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования. Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
Хакерская группировка «DumpForums» заявила, что они взломали инфраструктуру компании «Доктор Веб» (drweb.ru). 🙈
Через официальный Telegram-бот компании (@DrWebBot), пользователям приходят сообщения о взломе.
Кроме того, в качестве подтверждения хакеры предоставили несколько дампов баз данных внутренних ресурсов таких, как: ldap.dev.drweb.com, vxcube.drweb.com, bugs.drweb.com, antitheft.drweb.com, rt.drweb.com и др.
Судя по информации из дампов, данные в них актуальны на 17.09.2024.
Кибератака на American Water
В США произошёл ещё один киберинцидент, связанный с водоснабжением, — в компании American Water. В отличие от предыдущих случаев, когда жертвами становились операторы небольших объектов (как водоочистная станция в Арканзас-Сити, в Индиане или резервуар в Техасе), на этот раз пострадал крупнейший объект водоснабжения в США. Согласно AP, компания из Нью-Джерси обслуживает 14 млн человек в 14 штатах, в т.ч. 18 военных объектов.
Информации об инциденте не так много. American Water уведомила SEC (Комиссию по ценным бумагам), что 3 октября она обнаружила несанкционированную деятельность в своих сетях, которая стала результатом инцидента безопасности. Компания задействовала протоколы реагирования на инцидент, привлекла к реагированию и расследованию сторонних экспертов и сообщила о происшествии в правоохранительные органы. По оценкам American Water, инцидент не сказался негативно на её работе и, как ожидается, не повлияет значительно на её финансовое положение и результаты деятельности.
При этом, по словам представителя компании, в связи с инцидентом были деактивированы или отключены некоторые системы. Видимо, они связаны с биллингом, поскольку уточняется, что абоненты не должны будут платить за просрочку, пока системы недоступны.
Неочевидные последствия хакерской атаки? Новый сайт!
Читать полностью…
После атаки на ВГТРК
ВГТРК хоть и не предотвратили атаку, но смогли оперативно отреагировать и относительно быстро вернуть трансляцию — по крайней мере, по сравнению, допустим, с инцидентом в RuTube.
Собрал для истории реакции на взлом:
— пресс-секретарь президента Дмитрий Песков выразил поддержку коллективу ВГТРК;
— МИД России обещал поднять вопрос об атаке на ВГТРК в ООН, ЮНЕСКО и на других международных площадках. Официальный представитель МИД Мария Захарова назвала кибератаку элементом гибридной войны против России и намекнула на возможную причастность Запада: «Кто стоит за конкретной атакой, разберутся компетентные органы и ведомства, но мы понимаем, что когда коллективный Запад говорит о том, что нацелен на нанесение России стратегического поражения, это, в том числе включает и атаку на средства массовой информации»;
— депутат Антон Горелкин cчёл, что атака была нетривиальной, и в этой связи заподозрил в причастности к ней армейское подразделение одной из стран НАТО, а также предложил приравнять телеканалы к критической информационной инфраструктуре;
— анонимный источник Reuters в украинском правительстве сказал, что атака организована хакерами: «Украинские хакеры "поздравили" Путина с днём рождения, проведя масштабную атаку на [ВГТРК]»;
— пророссийские группы (NoName057(16), НароднаяКиберАрмия и др.) объявили об ответных кибератаках на украинские ресурсы. Под DDoS попали сайты украинских провайдеров, промышленных предприятий, госорганов и др.; также были сообщения о дефейсах;
— лучший комментарий дал Роскомнадзор: «DDoS-атак на инфраструктуру компании не фиксируется в настоящее время».
Трансляции на vgtrk.ru, smotrim.ru, сайтах каналов и радио возобновились.
Читать полностью…
На сайте Smotrim.ru повесили заглушку со ссылками на соцсети, а также на прямой эфир «России 1», «России 24» и «Культуры» на платформе «Витрина ТВ» — там трансляция идёт.
Читать полностью…
Киберпросвещение молодёжи
В школах и вузах планируется уже с этого года ввести занятия по основам информационной безопасности. Согласно «Известиям», инициатива исходит от Минфина, подготовка материалов ведётся с Минпросвещения и Минобразования. Школьникам и студентам будут рассказывать, как защитить личные данные, распознать социальную инженерию и почему не стоит подрабатывать дропом.
«Минфин совместно с Минпросвещения и Минобразования работает над введением в учебный процесс вузов и школ занятий по кибербезопасности, рассказал в ходе банковского форума замдиректора департамента финансовой политики Минфина Осман Кабалоев. В пресс-службе ведомства пояснили, что такая необходимость возникла из-за развития онлайн-операций в финансовой сфере, что наряду с плюсами для потребителей привело и к росту мошеннических действий с использованием цифровых технологий. В связи с этим особое внимание уделяется работе по просвещению в сфере кибербезопасности, подчеркнули в Минфине.
В ведомстве пояснили: что план антифрод-мероприятий и мероприятий по противодействию социальной инженерии предусматривает разработку методических материалов для юных граждан.
— Для популяризации идей борьбы с финансовым мошенничеством среди детей и студентов разрабатываются материалы для проведения занятий по тематике киберграмотности и кибербезопасности, чтобы не только рассказать об основных схемах работы мошенников, но и в игровой форме отработать навыки быстрого и осознанного распознания противоправных действий на финансовом рынке, — заявили «Известиям» в Минфине.
Обучение планируется осуществлять по следующим направлениям: кибертехнологии в нашей жизни; способы защиты личных данных; методы противодействия социальной инженерии; основные схемы мошенничества, в том числе фишинг (вид деятельности аферистов по выманиванию конфиденциальной информации. — «Известия»), вишинг (голосовой фишинг. — «Известия») и дропперство (использование злоумышленниками карт третьих лиц для вывода похищенных средств со счетов жертв. — «Известия»); основные правила безопасности в киберпространстве.
Противодействие втягиванию подростков в дропперство стоит отметить отдельно, поскольку сейчас банки активизировались в выдаче карт молодежи от 14 лет. При этом мошенники часто используют для вывода похищенных со счетов граждан средств именно «пластик» подростков, которые по легкомыслию и незнанию соглашаются на эти операции за небольшую плату или в виде услуги. В этом году МВД внесло на рассмотрение правительства законопроект, предусматривающий уголовную ответственность за дропперство. Поэтому последствия за такие действия уже в ближайшей перспективе могут быть очень серьезные.
Как сообщили в финансовом ведомстве, разрабатываемые материалы планируется направить в учебные заведения уже в текущем учебном году. Одновременно с этим будет проводиться подготовка педагогов для обучения детей и студентов кибербезопасности».
Взлёт и падение IronNet
Associated Press выпустило большой материал про историю краха компании IronNet — ИБ-стартапа, основанного бывшим главой АНБ и Киберкомандования США Китом Александром.
Лучше всего статья резюмируется словами самого кибергенерала, что часть проблем объясняется его наивными представлениями о том, как работает мир бизнеса.
Компания продавала идею «частной версии АНБ»: с помощью своего продукта и аналитиков IronNet собирался сканировать сети своих клиентов и находить угрозы, которые сложно обнаружить в одиночку. Такой подход назывался Collective Defense Platform. Однако, как отмечают собеседники AP, он не был уникальным, а главным преимуществом компании была аура Кита Александра и других бывших чиновников с бэкграундом в сфере национальной безопасности. Кроме того, хотя IronNet и наняла неплохих специалистов, она недостаточно занималась продуктом, и какой-то особой эффективности он не показал.
Но главные проблемы лежали не продуктовой плоскости, а в части того, как компания строила бизнес. Здесь авторы статьи приводят слова бывшего вице-президента IronNet Марка Берли, который говорит, что ему стыдно за работу в этой компании, а культура, созданная там, была «такой же как в Theranos» (стартап, обещавший революцию в области анализа крови, который, по сути, оказался аферой).
В 2021 году компания вышла на биржу, стоимость её акций выросла из-за высоких прогнозируемых доходов. Правда, для этого нужны были новые контракты, а их на конкурентном рынке получить было не так просто. В статье цитируется анонимный участник встречи, на которой IronNet пыталась заключить контракт с АНБ, но компанию якобы не восприняли всерьёз. В итоге к концу 2021 года она вынуждена была понизить прогнозы по своему оборотному доходу более чем вдвое, на 60%.
Много внимания в статье уделено роли одного из крупных партнёров IronNet инвестфирмы C5 Capital, основанной Андре Пинааром из ЮАР. Пинаар имел большой опыт сотрудничества с богатыми людьми, бывшими чиновниками из разных стран. Автор статьи через Пинаара находит и русский след в истории с IronNet. Пинаар якобы имел деловые связи с Виктором Вексельбергом, а значит получение денег от южноафриканского инвестфонда могло каким-то образом скомпрометировать IronNet. Во всяком случае бывшие американские силовики должны были насторожиться. На самом деле больше ничего в статье не утверждается, и мне кажется, что история с Россией притянута за уши.
К чему точно была причастна инвестфирма Пинаара, так это к завышению доходов IronNet. Чтобы прогнозы не выглядели совсем плохо, C5 Capital выступала не только инвестором, но и клиентом IronNet, заключив два годовых контракта на 5,2 млн долларов. Однако если для крупной компании такая сумма контракта выглядела бы обоснованной, то небольшой инвестфонд явно не тратил на ИБ столько денег. По одному из внутренних документов, услуги IronNet в действительности оценивались на 50 тысяч долларов в год.
Уже весной 2022 инвесторы подали коллективный иск к IronNet за махинации с прогнозируемыми доходами. Компания отрицала злой умысел, но в итоге всё же выплатила по иску 6,6 млн долларов.
В сентябре 2023 компания объявила о процедуре банкротства. Вскоре после этого структуры, связанные с Пинааром выделили ей займы в размере 10 млн для реструктуризации. В феврале этого года IronNet перезапустилась в уменьшенном виде и без Кита Александра. Юристы Пинаара продолжают защищать ревностно отстаивать репутацию компании: «Любые утверждение, что IronNet не была успешной, абсолютно ложны». По словам инвестора, компания продолжает защищать клиентов в США и Европе. А в последнее время IronNet пыталась выстроить сотрудничество в том числе с украинским правительством.
Этой осенью исполняется 25 лет первому киберскандалу в российско-американских отношениях — вокруг утечки информации из Пентагона, НАСА, других правительственных структур и военных подрядчиков. Американцы назвали операцию, действовавшую в 1996-1998 годах, Moonlight Maze и нашли в ней российский след.
На расследование были брошены внушительные силы — несколько десятков человек из разных ведомств. Весной 1999 году группа из США даже смогла посетить Москву и повзаимодействовать с МВД, но часть визита оказалась посвящена осмотру достопримечательностей столицы, а не поиску нарушителей.
К лету 1999 информация о расследовании стала просачиваться в СМИ. Первая статья о Moonlight Maze вышла в газете Sunday Times под заголовком Russian hackers steal US weapons secrets. Осенью статьи появились в Newsweek ('We're In The Middle Of A Cyberwar') и Los Angeles Times (Yearlong Hacker Attack Nets Sensitive U.S. Data).
Похоже, именно материал LA Times получил наибольший резонанс в мировой прессе, поскольку именно после него на историю отреагировали в России. Мне удалось найти статью «Ведомостей» (газете в этом году тоже 25 лет, а к тому моменту она выходила всего лишь месяц), журналист которых получил комментарии МВД и СВР. Возможно, это вообще первые публичные заявления российских официальных лиц по поводу обвинений России во взломах.
В 2000 году США официально заявили России протест по этому поводу.
В США Moonlight Maze сыграл важную роль в развитии политики в области информационной безопасности. Считается, что расследование взлома стало одним из факторов, повлиявших на принятие в 1998 году президентской директивы №63 (Presidential Decision Directive 63) о защите критической инфраструктуры.
О Moonlight Maze известно не только из СМИ, но и из ряда книг (Fred Kaplan, Dark Territory; Thomas Rid, Rise of the Machines). Хотя полностью информацию о расследовании США не раскрывали, некоторые документы о нём (частично) рассекречены. Кроме того, в 2017 группа исследователей из «Лаборатории Касперского» и Королевского колледжа в Лондоне выпустили отчёт, связывающий Moonlight Maze с инструментарием группы, известной как Turla.
Власти США и Microsoft скоординированно конфисковали более 100 доменов, использовавшихся для целевого фишинга группой Star Blizzard или Callisto Group (в декабре Великобритания и США обвинили её в связях с ФСБ).
Правительство США получило ордер на конфискацию 41 домена. Microsoft подала гражданский иск совместно NGO-ISAC (структура для обмена информацией о киберугрозах между неправительственным организациями) и конфисковала 66 доменов. Как Microsoft уже делала раньше, одно из формальных оснований для конфискации — злоупотребление брендами, принадлежащими компании. Логика тут такая: для фишинга используются поддельные сайты с символикой One Drive, Outlook, Office 365, а это вредит компании и клиентам.
🌚 Не буди лихо: Core Werewolf совершенствует атаки на российские госорганизации
Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Core Werewolf. В последних кампаниях злоумышленники начали использовать новый загрузчик, написанный на AutoIt. Кроме того, теперь группировка распространяет вредоносные файлы не только через электронную почту, но и через Telegram.
Как это было
Core Werewolf использовала RAR-архивы для распространения исполняемых файлов, представляющих собой самораспаковывающиеся архивы (SFX). Они были созданы с помощью 7-Zip, а внутри них находились:
🟦обфусцированный вредоносный AutoIt-скрипт,
🟦легитимный исполняемый файл интерпретатора AutoIt версии 3.3.16.1,
🟦документ формата PDF.
После запуска пользователем исполняемого файла содержимое извлекалось в каталог %TEMP%. Далее запускался вредоносный сценарий, в ходе которого интерпретатор AutoIt выполнял роль загрузчика следующей стадии.
Подробнее о новых кампаниях Core Werewolf
«Раздень девушку по фото!»
Так, маскируясь под сервис ИИ, русскоязычная группировка FIN7 распространяла вредоносное ПО.
Исследователи Silent Push выпустили отчёт о новой кампании киберпреступников, в которой в качестве приманок для жертв использовались сайты (по адресам типа aiNude[.]ai) с генератором голых фото. Пользователям рекламировали сервис DeepNude Generator, который якобы может раздеть реальную фотографию или сгенерировать желаемое изображение с помощью промтов. Для этого пользователю нужно было скачать бесплатную программу или в некоторых случаях начать бесплатный пробный период.
В действительности же по ссылкам загружался вредоносный файл, запуск которого по цепочке приводил к установке на машину стилера RedLine.
Хотя сайты были весьма содержательны с подробным FAQ и примерами готовых картинок, а где-то даже с возможностью загрузки фото, обещанную функцию они не выполняли, а жертва получала только инфостилер, крадущий учётные данные для последующих атак.
Дело SugarLocker отправилось в суд
В Пресненском районном суде Москвы на 8 октября назначены заседания по делам Ермакова А.Г. и Ленина М.Б. Оба подсудимых проходят по ст. 273 ч. 2 УК — создание, использование или распространение вредоносных компьютерных программ, совершённые группой лиц или организованной группой / причинившие крупный ущерб или совершённые из корыстной заинтересованности.
Вероятно, обвиняемые — это Ермаков Александр Геннадьевич и Ленин (Шефель) Михаил Борисович, а дело связано с группой вымогателей SugarLocker.
В январе Александр Ермаков попал под санкции США, Австралии и Великобритании, обвинивших его в причастности ко взлому австралийского страховщика Medibank в 2022 году (см. хронологию взлома и переписку со злоумышленниками). Этот инцидент тогда стал причиной небольшого дипломатического скандала между Австралией и Россией.
США (но не Австралия и не Великобритания) тогда связали взломщиков Medibank с REvil — однако, судя по всему, ошибочно.
Через пару дней Брайан Кребс в своём расследовании о Ермакове обратил внимание, что пользователь с таким же ником (GustaveDore) был создателем ransomware-программы Sugar или Encoded01, работавшей с ноября 2021 года. Также GustaveDore рекламировал компанию по разработке ПО Shtazi-IT. Кребс нашёл ещё одного человека — Михаила Борисовича Шефеля, который рекламировал Shtazi-IT в своём инстаграме. На Шефеля Кребс наткнулся в другом расследовании, выяснив, что в конце 2018 тот взял фамилию Ленин.
В феврале F.A.C.C.T. сообщили, что при поддержке специалистов компании МВД задержало участников группы SugarLocker (или Encoded01). Из-за допущенных злоумышленниками ошибок F.A.C.C.T. ещё в январе 2022 года обнаружили панель управления программой-вымогателем.
«В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы».
F.A.C.C.T. также отметили, что злоумышленники работали под вывеской легальной фирмы Shtazi-IT.
Согласно пресс-релизу, эту информацию компания передала Бюро специальных технических мероприятий МВД, и в январе 2024 были задержаны трое членов группы SugarLocker, в т.ч. обладатель ника GustaveDore, т.е. Александр Ермаков.
Со стороны МВД комментариев по этим задержаниям пока не было. Но поскольку имена фигурантов двух дел совпадают с лицами, причастными к Shtazi-IT, дело SugarLocker, похоже, дошло до суда.
Кибератака остановила производство сыра на месяц
Агропромышленный комплекс «Кабош» в июле стал жертвой хакерской атаки и вынужден был на месяц остановить производство и отгрузку товара. «Кабош» — крупнейший агрокомплекс в СЗФО, производящий корм для коров, молоко и сыры, производство находится в Великих Луках. Об инциденте в начале сентября рассказал в интервью «Псковской ленте новостей» гендиректор группы компаний Дмитрий Матвеев.
По словам Матвеева, атака произошла в начале июля, и на протяжении месяца компания жила «при голубых экранах». Он утверждает, что злоумышленники вымогали деньги, но также добавляет, что это была попытка стереть всю информацию. Кроме того, по словам гендиректора, в атаке участвовали западные спецслужбы, а сама она была пробой пера по отключению всей экономики.
«"3 июля этого года была совершена хакерская атака на нашу компанию. Мы месяц жили при голубых экранах, у нас было остановлено все производство, мы не могли грузить товар, выкладывать накладные, мы ничего не могли. С нас вымогали деньги", – рассказал Дмитрий Матвеев.
Он уточнил, что по заключению оператора связи, это была не просто хакерская атака, а попытка стереть всю информацию.
"В этом участвуют западные спецслужбы, и есть четкое понимание у компании, которую мы привлекли для решения проблемы, что это просто проба того, чтобы выключить всю нашу экономику"».
Корень проблемы Дмитрий Матвеев видит в зависимости от западного программного обеспечения и оборудования. По его оценке, подобные атаки могут парализовать и другие сельскохозяйственные и продовольственные предприятия. Особенно в условиях, когда бизнес предоставлен самому себе и не особо занимается кибербезопасностью.
«"Хотим мы того или нет, к нас куча западного софта. Государство может заставить нас перейти на отечественный софт, но все оборудование, которое работает у нас – импортное, оно работает на иностранном софте, и эту проблему никто не решает", — добавил Дмитрий Матвеев.
В случае распространения этого метода хакерской атаки на другие заводы может произойти «настоящий коллапс». Могут остановиться не только предприятия, которые занимаются производством и переработкой молочной продукции, но и другие. Например, хлебозаводы, продолжил он.
"Сейчас об этом никто не думает, бизнес предоставлен сам себе. Мы написали заявления в органы, но этим вопросом должны заниматься не в УМВД, а в ФСБ. Если бы у нас была международная поддержка Microsoft, этот вопрос решили бы в течение суток. Это говорит о том, что компания полностью контролируется западными спецслужбами и идет на это сознательно. Это очень серьезный вопрос. Кибербезопасностью мало кто занимается. Оборудование работает на западном софте, и аналогов в России нет. Никто об этом не говорит, все купаются в эйфории", – заключил генеральный директор группы компаний "Кабош"».
Добавлю несколько своих замечаний.
Во-первых, это, разумеется, не первая атака на агропромышленные предприятия. В апреле стало известно об атаке с использование шифровальщика на Агрокомплекс им. Н.И. Ткачева с требованием выкупа в размере 500 млн рублей. В марте 2022 года под атаку попали предприятия «Мираторга», но тогда атака, видимо, преследовала целью разрушение инфраструктуры, поскольку о выкупе жертве никто не писал.
Во-вторых, хотя сценарий с выключением всей экономики — это явное преувеличение, нарушение работы сельскохозяйственных и продовольственных производств действительно может иметь серьёзные последствия. Интересно, что в России, согласно 187 ФЗ, эти сферы не относятся к критической информационной инфраструктуре. С одной стороны, это не редкость — только в половине стран мира производство еды отнесено к критической инфраструктуре. С другой, в США производство еды и сельское хозяйство — это один из 16 секторов КИ. На уровне ЕС к 11 секторам КИ отнесены производство, переработка и распространение еды.
Наконец, нельзя не отметить, сколь невозмутимо агрокомплекс «Кабош» провёл месяц с заблокированными компьютерами. Если посмотреть соцсети «Кабоша», то летом там как ни в чём не бывало выходили жизнеутверждающие посты о сыре.
Реестр контактных пунктов ООН
Под эгидой ООН продолжается создание глобального реестра контактных пунктов по использованию информационно-коммуникационных технологий в контексте глобальной безопасности (Global Intergovernmental Points of Contact Directory on the Use of Information and Communications Technologies in the Context of International Security).
По словам замминистра иностранных дел Сергея Вершинина, к реестру присоединились уже 105 государств. Полгода назад их было только 23. Обеспечением реестра занимается Секретариат ООН, а именно Управление по вопросам разоружения ООН, для чего был создан специальный сайт для государств-участников.
В июне Секретариат ООН провёл первый пинг-тест — пробное оповещение для проверки актуальности контактных данных («В рамках «пинг-теста» с контактными пунктами связывается администратор реестра и просит их в течение 48 часов ответить сообщением, свидетельствующим о получении запроса администратора реестра»). На декабрь запланирован второй пинг-тест, а на июнь третий. На апрель 2025 года запланирована публикация типового шаблона для обмена запросами.
Государства могут назначать в реестр технические (например, национальные CERT'ы) и дипломатические пункты (МИДы). Отдельная тема, что не у всех стран могут быть соответствующие ведомства, особенно это касается технических контактных центров.
Россия в марте представила в Рабочую группу открытого состава «Руководство по созданию технического контактного пункта ООН». Этот документ подготовлен НКЦКИ и описывает, как, с российской точки зрения, может быть организована работа технического пункта в других странах. Руководство охватывает вопросы оргструктуры и её нормативного обеспечения, персонала, принципов функционирования и взаимодействия с другими контактными центрами в рамках сети ООН. По мнению НКЦКИ, в таком техническом контактном пункте ООН должно работать как минимум 18 человек, в т.ч. специалисты по оценке защищённости, по ликвидации последствий компьютерных инцидентов, по установлению их причин, по обнаружению компьютерных атак и инцидентов, аналитики и др.
В приложении приведён перечень информации, необходимой для изучения компьютерной атаки или компьютерного инцидента. Например, в случае компьютерной атаки предлагается сообщать наименование ресурса, подвергшегося атаке, категорию и тип атаки (в т.ч. нарушение или замедление работы информационного ресурса; распространение вредоносного ПО; попытки осуществления мошеннической деятельности и пр.), технические сведения об атакованном ресурсе, источниках атаки, дополнительные сведения (такую как модули ВПО, образы электронных писем, log-файлы), а также информацию, связывающую компьютерную атаку с государством-адресатом («Почему вы вообще нам пишете?»).
Реестр контактных пунктов — первая попытка практического сотрудничества по теме информационной безопасности в ООН, до этого два с половиной десятилетия переговоров были посвящены выработке норм, поиску точек соприкосновения в части трактовки международного права, анализу угроз и т.д. Интересно следить за тем, что получится из этого начинания.
По моему мнению, реестр может быть полезен для улучшение взаимодействия по кибератакам, в которых нет (или почти нет) политической составляющей. Например, представим такую ситуацию: сайт банка подвергается DDoS-атаке, источники атаки — объединённые в ботнет устройства, находящиеся в разных странах. В теории, наличие реестра позволит быстрее и проще сделать некую общую рассылку и совместными усилиями нарушить работу всего ботнета (впрочем, некоторые страны справляются с этим и без реестра ООН).
Другое дело, что если речь идёт о политически мотивированной атаке или тем более о государственной кибероперации, то польза от реестра может сойти на нет. Как я уже писал, если государство А подозревает государство Б в кибершпионаже, будет ли оно связываться с его техническим контактным пунктом и сообщать, что ему известно? И если да, то будет ли государство-нарушитель добросовестно отвечать на этот запрос? А удовлетворит ли неполный ответ государство-жертву?
Сайты судов недоступны вторые сутки
Со вчерашнего дня перестали открываться сайт sudrf.ru (ГАС «Правосудие»), сайты судов общей юрисдикции по всей России на платформе sudrf, сайт arbitr.ru (Федеральные арбитражные суды). При этом на сайтах судов Москвы, работающих на другой платформе, сбоя не было. Также не работает сайт судебного департамента Верховного суда России (cdep.ru), отвечающий за ГАС «Правосудие». Ответственность за атаки на сайты судебной системы взяла на себя проукраинская хакерская группа BO Team.
Вчера на фоне нарушения трансляции ВГТРК проблемы с сайтами судов остались практически не замеченными. Но сегодня наконец появились комментарии по ситуации.
Руководитель Объединенной пресс-службы судов Санкт-Петербурга Дарья Лебедева объяснила внеплановыми техническими работами недоступность официальных сайтов судов общей юрисдикции, сервиса «Электронное правосудие» (используется для подачи в суды заявлений, ходатайств, жалоб в электронной форме), электронных почтовых ящиков судов.
Петрозаводский городской суд сообщил, что до устранения неполадок подавать обращения в суд можно лично или «Почтой России». Саратовские областной суд посоветовал обращаться за информацией непосредственно в суды.
Сайт и электронная почта Арбитражного суда Москвы недоступны из-за технических проблем на портале ГАС «Правосудие».
По мнению юриста Альбины Галимовой, «без ГАС «Правосудие» подача документов и получение участниками судов информации будет занимать больше времени. Кроме того, увеличатся затраты на рассмотрение споров (командировочные и транспортные расходы, почтовые расходы и т.д.), контроль над ходом рассмотрения спора будет ограничен, а также увеличится нагрузка на работников судов в целом».
Об обеспечении информационной безопасности в судебной системе, в том числе ИБ ГАС «Правосудие» можно почитать прошлогоднее выступление председателя Совета судей РФ В.В. Момотова на конференции «Киберпреступность: актуальные проблемы законодательства и правоприменительной практики».
«Лаборатория Касперского» отслеживает APT-группу Core Werewolf (по таксономии BI.ZONE) как Awaken Likho. В новом отчёте описывается, как злоумышленники используют в атаках легитимное ПО MeshCentral для удалённого доступа.
«Главными жертвами описанной атаки стали государственные учреждения в России, их подрядчики и промышленные предприятия».
Core Werewolf активна с 2021 года, за последний год про группу вышло уже несколько исследований. Впервые её активность задокументировали эксперты BI.ZONE описав, как Core Werewolf получает первоначальный доступ с помощью фишинговых атак, в качестве приманки использовались различные документы по военной и военно-промышленной тематике. Для удалённого доступа используется легитимный софт UltraVNC. Жертвами атак были организации, связанные с ОПК и КИИ.
У Positive Technologies прошлой осенью выходил пост о фишинговой рассылке Core Werewolf под видом писем от ФСТЭК.
Ещё одно название группы предложили эксперты F.A.C.C.T.: PseudoGamaredon, по названию известной группы Gamaredon, за действия которой некоторые ресёрчеры принимали атаки Core Werewolf. F.A.C.C.T. обнаружила архив для скрытной установки UltraVNC, загруженный на VirusTotal из Гюмри. На основе этого было выдвинуто предположение, что мишенью злоумышленников могла быть российская военная база в этом городе. Также в отчёте сообщалось об атаках Core Werewolf на российский НИИ, занимающийся разработкой вооружений, и оборонный завод.
На фоне вчерашних кибератак обратил внимание на то, что сервис «Мониторинг сбоев», запущенный полтора года назад Центром мониторинга и управления сетью связи общего пользования, так и не стал особо востребованным, а следовательно и полезным. Мониторинг построен на отчётах пользователей, но если пользователи не сообщают на сайт о сбоях, то сбоев и нет. Для наглядности вот картинка по сайту ВТГРК: за 24 часа одна жалоба. Плюс у сервиса маленький и неактуальный список сайтов, по которым ведётся мониторинг. Например, нет страниц по сайту ГАС «Правосудие» и по сайтам других судов (кроме Конституционного суда и Верховного суда). Но зато можно посмотреть сбои на сайте магазина Плеер.ру, который закрылся две недели назад.
Читать полностью…
Согласно Downdetector и Downradar, наблюдаются проблемы с доступом к сайтам sudrf.ru (ГАС «Правосудие») и arbitr.ru (Федеральные арбитражные суды).
Ответственность за атаки на эти сайты взяла другая проукраинская группа — BO Team. В прошлом месяце она же заявляла о дефейсе сайта и краже данных у удостоверяющего центра «Основание». А в августе ГУР Минобороны Украины заявляло о совместном с BO Team взломе снежинского интернет-провайдера.
Кибератака нарушила онлайн-вещание каналов ВГТРК
О сбое трансляции написали многие СМИ, «Газета.Ру» получила комментарий источника:
«Онлайн-вещание и внутренние сервисы компании ВГТРК перестали работать из-за хакерской атаки. Об этом «Газете.Ru» сообщил источник.
«ВГТРК подверглась беспрецедентной хакерской атаке. Не работает онлайн-вещание и внутренние сервисы, даже интернета нет и телефонии. Это надолго. Слышал, что стерли все с серверов, включая резервные копии. Они работают в аврале с 6 утра. Проблема, как я понял, очень серьезная, и восстановление займет много времени», — сообщил он
В самой компании «Газете.Ru» сообщили, что прокомментировать сообщения о хакерской атаке "не представляется возможным"».
Взлом в твиттере анонсировала проукраинская хакерская группа sudo rm -RF, известная рядом громких акций: атакой на RuTube в мае 2022 (которую глава «Газпром-Медиа» позже сравнил со Stuxnet), на Сколково в мае 2023 и взломом и дефейсом МосгорБТИ в августе 2023.
Солёный тайфун
В США уже вторую неделю обсуждается активность APT-группировки Salt Typhoon, которую связывают с Китаем. Правда, пока конкретики мало, вся публичная информация сводится к публикациям Wall Street Journal. 25 сентября WSJ написала, что хакеры проникли в системы телекоммуникационных компаний. Расследованием занимаются в том числе Cisco и Microsoft. Сегодня WSJ выпустила ещё одну статью про Salt Typhoon, в которой утверждается, что хакеры проникли в системы Verizon Communications, AT&T и Lumen Technologies. Кроме того, согласно WSJ, Salt Typhoon вероятно, удалось получить доступ к системам, через которые телеком-компании взаимодействуют со спецслужбами для обеспечения так называемого законного перехвата коммуникаций для расследований.
То, что такие системы вызывают интерес спецслужб, неудивительно. Примерно год назад в поле зрения профильных изданий попало утверждение хакера и журналиста Джейкоба Эпплбаума (из его диссертации) о том, что АНБ удалось скомпрометировать систему СОРМ. Кроме этого, Эпплбаум упоминал взломы телекоммуникационных компаний, к которым, вероятно, были причастны западные разведки. Но он также считал, что скомпрометирована и американская инфраструктура, связанная с законным перехватом:
«Небезосновательно будет предположить, что часть, если не вся американская инфраструктура CALEA [Communications Assistance for Law Enforcement Act] была скомпрометирована столь же опытными противниками, и у нас просто нет публичного подтверждения этому».
По мнению Эпплбаума, создание систем законного перехвата неизбежно делает телекоммуникационные сети уязвимыми для взлома: если вы создаёте возможность для перехвата, то ей будут стремиться воспользоваться и другие:
«Практически все так называемые системы законного перехвата выполняют нежелательную двойную функцию: они позволяют действующим законным властям следить за собственной телекоммуникационной инфраструктурой, но имеют и противоположный эффект, ослабляя эту инфраструктуру и представляя заманчивую цель для иностранных шпионов».
Посмотрим, подтвердятся ли сообщения WSJ какими-либо более обоснованными отчётами.
Что касается группировки Salt Typhoon, то это наименование из таксономии Microsoft. Причём Microsoft в числе других названий APT указывает GhostEmperor и FamousSparrow. Название FamousSparrow в 2021 для новой группировки предложили эксперты ESET. И почти одновременно «Лаборатория Касперского» выпустила отчёт о новой группе GhostEmperor. Хотя эти группы не связывались друг с другом, обе использовали в атаках уязвимость ProxyLogon. По сути, публично их связала только Microsoft.
Директор ФСБ Александр Бортников — об угрозах информационной безопасности (из выступления на 55 заседании Совета руководителей органов безопасности и специальных служб государств-участников СНГ (СОРБ) в Астане):
«"Отмечаем постоянный рост сложности и технической изощренности хакерских атак и масштабов утечек охраняемой законом информации. Активизированы разведывательные и наступательные кибероперации стран Запада против России, направленные, прежде всего, на компьютерные системы энергетики и транспорта", - сказал он.
По его словам, "используя зависимость информационной инфраструктуры государств СНГ от иностранного оборудования и программного обеспечения, США и их союзники стремятся взять под контроль информационные процессы на пространстве Содружества, навязывая собственные технологии информационной безопасности и обработки данных с возможностью удаленного управления поставляемым оборудованием, программными средствами и сервисами"».
А также о взрывах пейджеров и раций в Ливане:
«"Как показали недавние акции с подрывами пейджеров и раций в Ливане и Сирии, результаты работ спецслужб противника по сбору сведений об уязвимостях информационных ресурсов и конспиративному внедрению "закладок" могут быть использованы не только для разрушения критической информационной инфраструктуры, но и организации покушений на представителей государственной власти с помощью носимой электроники в нужный момент", - заметил он. "Это прямая угроза безопасности стран СНГ", - подчеркнул глава ФСБ».
Киберкомандование Канады
Канада создала своё киберкомандование — Canadian Armed Forces Cyber Command (CAFCYBERCOM), возглавит его генерал-майор Дэйв Яркер. Киберкомандование будет выполнять разные задачи, связанные с киберпространством, а также помогать интегрировать цифровые технологии в проведение военных операций (на канадском бюрократическом это называется pan-domain battlespace). Также планируется совершенствовать оборонительные и наступательные кибероперации.
«Через CAFCYBERCOM Вооружённые силы Канады (CAF) продолжают развивать и расширять возможности для ведения наступательные и оборонительные киберопераций в тесном сотрудничестве с Центром безопасности коммуникаций (CSE). CAF и CSE давно сотрудничают в области развития передовых технических и специализированных возможностей по предоставлению разведывательной информации для поддержки военных операций. За последнее десятилетие это партнерство расширилось и теперь включает в себя сотрудничество в области кибербезопасности, а также оборонительных и наступательных киберопераций.
Новое киберкомандование CAF также позволяет Канаде выполнять наши обязательства перед НАТО, такие как [механизм поддержки союзников по реагированию на киберинциденты] Virtual Cyber Incident Support Capability и [механизм интеграции наступательных кибервозможностей] Sovereign Cyber Effects Provided Voluntarily by Allies. Создание нового командования согласуется с аналогичными инвестициями ключевых партнеров и союзников Канады в NORAD, альянс Five Eyes и НАТО. Укрепляя свои кибервозможности, Канада поддерживает большую оперативную совместимость со своими союзниками, становится лучше подготовленной для противодействия всему спектру киберугроз и способствует выполнению целей и задач НАТО».
Процесс по предполагаемым участникам REvil всё продолжается. Четверых фигурантов хотят судить по ст. 272 УК (неправомерный доступ к компьютерной информации), сейчас они проходят только по ст. 187 УК.
«В минувший вторник Санкт-Петербургский гарнизонный военный суд постановил выделить дело в отношении Андрея Бессонова, Михаила Головачука, Романа Муромского и Дмитрия Коротаева, которых в настоящее время судят за неправомерный оборот средств платежей (ч. 2 ст. 187 УК РФ), в отдельное производство и направить в Генеральную прокуратуру РФ для последующего соединения уголовных дел. На предыдущем слушании гособвинитель сообщил, что против них возбуждено новое дело по статье «неправомерный доступ к компьютерной информации» (272 УК РФ). Защита в свою очередь считает, что стороной обвинения в ходе судебного следствия не было представлено доказательств вины фигурантов в совершении преступления, связанного с неправомерным оборотом средств платежей».
По поводу последнего предложения не совсем ясно. Если оставят 187 и добавят 272, то это как будто не потому что не представлено доказательств. Но со стороны не очень понятно.
Вообще схематично выглядит так:
— сначала (в январе 2022) сообщалось о задержаниях 14 человек;
— до суда дошли 8 человек, все обвинялись по ч. 2 ст. 187 УК;
— через год Даниилу Пузыревскому добавили обвинение по компьютерной ст. 273 УК (создание, использование или распространение вредоносных компьютерных программ);
— ещё через полгода обвинение по ст. 273 УК добавили второму фигуранту, Руслану Хансвярову;
— теперь обвинения по компьютерным статья добавили ещё 4 фигурантам.
Какие страны требуют у Telegram данные пользователей
Вчера Telegram раскрыл данные о количестве выполненных запросов от правоохранительных органов разных стран на получение информации (IP-адресов или телефонных номеров) о пользователях. Эти отчёты о прозрачности (transparency reports) публикуются согласно параграфу 8.3. Политики конфиденциальности мессенджера — то есть в соответствии с теми изменениями, которые Павел Дуров объявил в конце сентября. Отчёты доступны через бот @transparency.
Правда, Telegram постарался и сделал бот максимально неудобным: посмотреть отчёт можно только по своей стране, не по всем странам. Страна зависит от того, какой телефон привязан к аккаунту. В общем, сводного отчёта, где можно сравнить все страны, у нас нет.
Но я собрал по интернетам и по знакомым информацию по 12 странам и делюсь с вами.
Из этого далеко не полного списка лидер с большим отрывом — Индия, власти которой получили информацию о более чем 15,5 тысячах пользователей.
На втором месте Франция — 686 пользователей. По Франции (см. скриншот) особенно интересно, что количество запросов, которые выполнил Telegram, выросло в третьем квартале: в первом и втором было 4 и 6 запроса соответственно, а в третьем — 210. Связана ли готовность мессенджера предоставлять данные пользователей французским правоохранительным органам с арестом Дурова в Париже в августе? Не исключено!
Из вчерашнего поста Дурова известно, что Telegram ответил на 203 запроса из Бразилии (но неизвестно количество затронутых пользователей).
Четвёртое место у Германии, получившей данные о 115 пользователях.
Замыкают топ-5 американские власти, которые по 14 запросам получили информацию о 115 пользователях.
Ещё раз повторю, что это ненастоящий топ — если будут данные по другим странам, то можно его обновить.
По некоторым странам Telegram не выполнил ни одного запроса. В этой группе Россия, а также Австрия, Австралия, Португалия, Швейцария, ОАЭ.
Пара наблюдений. Во-первых, во всех случаях количество запросов меньше количества пользователей. То есть власти просят сразу данные о нескольких людях, например, участниках чата. Во-вторых, в США и России, например, transparency-бот ссылается только на параграф 8.3. Политики конфиденциальности Telegram, а в странах ЕС также и на пользовательское руководство к Закону ЕС о цифровых услугах (EU Digital Services Act).
Отчёты о транспарентности будут обновляться ежеквартально, следующий релиз в январе 2025.
❗️ В Москве возбуждено уголовное дело в отношении создателей анонимной платежной системы «UAPS» и криптовалютной биржи «Cryptex», сообщает СКР.
По версии следствия, соучастники вели незаконную деятельность по обмену валют, криптовалют, доставке и приему наличных, продаже банковских карт и личных кабинетов. Основными клиентами данных сервисов являлись киберпреступники и хакеры, которые пользовались услугами сервисов, для легализации их преступного дохода.
За 2023 год денежный оборот незаконно созданных сервисов составил более 112 млрд руб., преступный доход фигурантов— 3,7 млрд руб., говорится в сообщении ведомства.
В рамках расследования дела обыски прошли в 14 регионах РФ, в Москву доставят 96 человек.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
Санкции против EvilCorp, продолжение операции против LockBit
Вчера США, Великобритания и Австралия объявили совместные санкции против предполагаемых участников киберпреступной группы EvilCorp. США ввела санкции против Максима Якубца, которого американцы считают лидером EvilCorp, и ещё дюжины человек ещё в 2019 году. В этот раз США наложили санкции на 7 человек и 2 юрлица; Австралия на 3 человек; Великобритания на 16 человек. Помимо санкций OFAC опубликовал схему связей лиц, в разное время внесённых в санкционные списки, а британское Национальное агентство по борьбе с преступностью выпустило что-то вроде отчёта с обзором истории деятельности предполагаемых участников группы с 2007 года.
Санкции против EvilCorp неожиданным образом оказались связаны с операцией Operation Cronos против LockBit, которую правоохранительные органы ряда западных стран вместе с Европолом публично объявили в феврале. Национальное агентство по борьбе с преступностью Великобритании считает, что Александр Рыженков, один из попавших под санкции за связь с EvilCorp, также являлся партнёром (affiliate) LockBit под ником Beverley. Такую связь увидели только британцы, а США отдельно обвинили Рыженкова в использовании ещё одного шифровальщика — BitPaymer.
По такому случаю британские правоохранители оживили конфискованный onion-сайт LockBit, на котором, сохраняя стиль киберпреступников, они весьма остроумно размещали материалы о LockBit в феврале. На этом сайте вчера были вывешены как новые сообщение по Operation Cronos, так и дополнительный раздел по EvilCorp.
Что касается Operation Cronos (многонациональная операция против LockBit), то сообщается, что в августе по запросу Франции где-то был арестован один из предполагаемых разработчиков программы-шифровальщика, который отдыхал за пределами России. Франция запросила его экстрадицию. Других подробностей нет. В Великобритании в августе арестовали двух человек, один по подозрению в связи с партнёром LockBit, другой по подозрению в отмывании денег. В Испании был арестован владелец Bullet Proof Hoster, которого называют одним из главных пособников в обеспечении инфраструктуры LockBit. Власти получили доступ к 9 серверам и конфисковали их. Более официально о новых арестах сообщил и Европол.
Также по LockBit на конфискованном сайте опубликовано небольшое исследование, призванное ответить на вопрос, удаляли ли злоумышленники данные после получения выкупа. Короткий ответ: начиная с 2022 года, получив данные, партнёры нажимали кнопку «удалить», чтобы убрать данные жертвы с сайта утечек, но на самом деле данные только архивировались и не удалялись автоматически. В общем, жертв обманывали — вряд ли это прямо удивительно, но британцы подтвердили это, изучив код платформы LockBit для публикации утечек.
В отдельном разделе по EvilCorp размещены списки лиц, попавших под санкции, ссылки на пресс-релизы США, Австралии и Великобритании, фотографии предполагаемых участников группы.
На платформу для борьбы с мошенничеством «ТелекомЦерт» могут выделить более 6 млрд рублей, сообщает «Коммерсантъ». Предполагается, что в идеале через эту платформу все банки, операторы связи и интернет-платформы будут обмениваться информацией об угрозах. Благодаря этому фишинговые и мошеннические ресурсы будут блокироваться оперативнее — к 2030 году время блокировки сократится вдвое и составит 4 часа (видимо, в среднем). Но план всё ещё в работе.
«На создание «ТелекомЦерта» — общей платформы обмена информацией между банками, операторами связи и цифровыми платформами для борьбы с мошенничеством — планируется выделить 6,1 млрд руб. из федерального бюджета до 2030 года, следует из предварительной версии федерального проекта «Инфраструктура кибербезопасности» (есть у “Ъ”), который войдет в национальный проект «Экономика данных» (по поручению президента РФ должен стартовать в 2025 году).
Из документа следует, что платформу должны создать в 2025 году для «автоматизации взаимодействия уполномоченных органов и организаций, в том числе для мониторинга утечек персональных данных». К «ТелекомЦерту» к 2030 году планируют подключить все финорганизации, операторов связи и «цифровые платформы». [...]
В системе предполагается наличие «единого окна» для приема обращений граждан и компаний о мошенничестве. Авторы документа предполагают, что система позволит сократить время блокировки фишинговых и мошеннических ресурсов с восьми до четырех часов к 2030 году.
В аппарате профильного вице-премьера Дмитрия Григоренко “Ъ” сказали, что параметры федерального проекта еще прорабатываются, «а до его утверждения говорить о предусмотренных им планах преждевременно». В Минцифры “Ъ” подтвердили, что создание единой антифрод-платформы планируется, но ее параметры находятся на межведомственном согласовании.
Источник “Ъ” на телеком-рынке объясняет, что оператором системы будет Минцифры, однако исполнитель системы пока не определен. Источник “Ъ”, знакомый с ходом реализации нацпроекта, добавляет, что инициатива обсуждается с 2018 года, но пока не была реализована «из-за столкновений интересов операторов связи, банков и госорганов».
Опрошенные “Ъ” операторы связи и банки поддерживают проект. В «Вымпелкоме» считают, что создавать «подобную платформу необходимо с учетом всех имеющихся наработок и продуктов». В «МегаФоне» говорят, что сейчас Минцифры занимается «разработкой ее концепции». В t2 (бывший Tele2) добавляют, что «проект архитектуры системы» операторам не предоставили. В Т-банке (бывший Тинькофф-банк) считают, что оперативный обмен информацией между участниками рынка и силовыми ведомствами «поможет эффективнее предотвращать мошенничество по всем фронтам». В «Яндексе» и «Сбере» не ответили на запрос, в VK и МТС отказались от комментариев».
Инцидент произошёл в выходной
Министерство труда и социальной защиты России в августе получило административный штраф в размере 100 тысяч рублей за утечку персональных данных. Согласно постановлению, ведомство допустило утечку базы персданных сотрудников на 1400 строк.
Датой нарушения названо 27 ноября 2023 года. Речь, очевидно, идёт о кибератаке и последующем сливе внутренней информации Минтруда, организованных проукраинской группировкой Blackjack. 29 ноября она заявила в своём канале о краже и удалении 50 ТБ данных министерства, опубликовав в подтверждение скриншоты и архив с внутренними документами. Украинские СМИ сообщали тогда, что кибератака якобы была проведена Blackjack с помощью СБУ.
Blackjack — хактивистская группировка, выступающая публично с осени 2023. Согласно отчёту «Лаборатории Касперского», она использует только свободно распространяемое или опен-сорсное ПО и по инструментарию схожа с группировкой Twelve.
Постановление суда примечательно не только тем, что подтверждает прошлогоднюю атаку, но и относительно подробным описанием инцидента со слов представителей защиты. Минтруда было взломано через подрядчика, который имел легитимный доступ к его инфраструктуре. Злоумышленники, получив доступ к подрядчику, через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции.
Фрагмент с более детальным описанием прикрепляю в виде скриншота. На мой взгляд, он заслуживает изучения всеми, кто занимается обеспечением информационной безопасности организаций. Особенно в части оправданий (этой теме я посвятил несколько постов, а также выступление на PHDays).
Сразу обращает на себя внимание тезис о том, что «инцидент, в результате которого в отношении Министерства составлен протокол об административном правонарушении произошел в выходной день». С таким аргументом в постановлениях по административным делам я сталкиваюсь впервые, даже не знаю, сочувствовать или нет. Увы, у вас и злоумышленников может быть разный график работы.
Аргумент о том, что в организации «в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности персональных данных» хорош до тех пор, пока ваши данные не оказываются в канале хакерской группировки.
Подрядчик действительно должен «обеспечивать соблюдение требований информационной безопасности при подключении к [инфраструктуре министерства], а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц». Но имеет смысл проверить, а делает ли он всё это, а также быть готовым к худшему сценарию, особенно в условиях, когда число атак через подрядчиков растёт в разы.
Наконец, ещё отмечу такой момент: «не доказано, что обрабатываемая информация относилась к инфраструктуре [Минтруда], поскольку информационные системы Министерства не содержат той совокупности персональных данных , которые были размещены в Telegram-канале».
Действительно, согласно постановлению, судья принимал решение на основе протокола Роскомнадзора, двух уведомлений от Минтруда, скриншотов из телеграм-канала и др. материалов — но выездная проверка, в ходе которой специалисты Роскомнадзора сопоставляли бы данные из утечки с данными из информационных систем ведомства, похоже, не проводилась. В 2022 году Роскомнадзор регулярно проводил такие проверки, но их число сократилось, когда операторов персданных обязали направлять уведомления об инцидентах. После этого Роскомнадзор чаще всего ориентируется только на уведомления.
Тут и правда могут возникнуть проблемы: например, если организация уведомляет об утечке только на основании публикации в канале хакеров, а не собственного расследования, Роскомнадзор может составить протокол на основе этого уведомления и скриншотов, то есть не проверив, была ли утечка. Правда, в случае Минтруда, поскольку взлом действительно был, выездная проверка вряд ли была бы в его пользу.
В конце хочу сказать отдельное спасибо судье, не согласившегося с просьбой представителей министерства не публиковать судебный акт «в целях безопасности». Наоборот: это очень полезное чтиво в целях безопасности.