5051
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования. Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
Обновил таблицу по количеству запросов к Telegram от правоохранительных органов. Теперь в списке 54 страны, спасибо подписчику и датасету сотрудника HRW.
Пока складывается впечатление, что в большинстве стран либо не были в курсе о такой возможности, либо не получив ответ однажды, не обращались к Telegram. Либо получают информацию иным способом.
F.A.C.C.T. выпустила большой отчёт про группу Shadow. Исследователи компании пришли к выводу, что Shadow, Comet и Darkstar, занимающиеся вымогательством, и хактивисты Twelve, известные по ряду громких деструктивных атак, — это одна и та же группа. В отчёте описана деятельность злоумышленников, их инструментарий, обоснованы связи. Приведены скриншоты из переписок с финансово мотивированной ипостасью Shadow, в которых злоумышленники ведут общение на английском, притворяясь международной группой, хотя её атаки и зафиксированы только в России. В отчёте указано и на схожесть инструментария Shadow/Twelve с группами Blackjack и Mordor.
К аналогичным выводам пришли и другие российские ИБ-компании. Например, Солар (вслед за Positive Technologies) использует для Comet/Shadow/Twelve имя (Ex)Cobalt, а «Лаборатория Касперского» рассказывала о связях между Twelve и Blackjack.
За утечки персональных данных после атак Twelve российские организации неоднократно получали штрафы на кругленькую сумму (обычно на 60 тысяч). Среди них ФТС, Балтийский судомеханический завод.
Дополнение ко вчерашнему посту про платформу «Аспро»: со мной связался представитель компании «Аспро» и сообщил следующее. Все указанные в статье hoster.by ошибки были исправлены с версии Аспро: Next 1.9.9 (21.07.2023) и в других решениях, то есть год назад. В текущих версиях описанных угроз нет. Клиентам, со старыми версиями, рекомендуется обновить решение.
Читать полностью…
В Госдуму внесён законопроект о ратификации почти что союзнического договора с КНДР, которым предусмотрено сотрудничество в том числе в области информационной безопасности. Можно будет налаживать межведомственное взаимодействие и обмениваться информацией о киберугрозах.
Читать полностью…
Страсти по тайфуну
Китай уже полгода ведёт кампанию против США, а точнее против американских обвинений в причастности Китая к хакерской группировке Volt Typhoon. Про группировку весной 2023 рассказала Microsoft. В январе 2024 США отчитались о том, как вывели из строя связанный с Volt Typhoon ботнет, а несколько недель спустя выпустили вместе с Five Eyes отчёт о деятельности хакеров. В американской иерархии угроз Volt Typhoon отводится особое место: из-за того, что группировке удалось проникнуть в критические системы и на протяжении долгого времени оставаться не замеченной, США и их союзники предполагают, что цель хакеров не шпионаж, как у большинства APT, а pre-positioning, то есть заблаговременное занятие выгодных позиций. Например, для саботажа оборудования в случае возможного конфликта вокруг Тайваня. Верна эта оценка или нет, публично американские чиновники говорят о Volt Typhoon в таком ключе и представляют её активность как новый градус угрозы со стороны Китая в киберпространстве.
Пекин такая риторика, конечно, не устраивает. Китайцы, подумав, решили ответить США не симметричными обвинениями во взломах, как бывало раньше, а попыткой дискредитации обвинений в адрес Volt Typhoon. За содержательную часть китайской кампании отвечает Национальный центр реагирования на компьютерные вирусы (National Computer Virus Emergency Response Center, CVERC), а помогают ему китайские СМИ, прежде всего Global Times. CVERC выпускает свой отчёт, а GT его освещает.
В апреле и июле CVERC выпустил две части отчёта под названием Volt Typhoon и общим девизом <Lie to me/>, пересказ на английском можно почитать в Global Times. Суть их сводится к тому, что история про Volt Typhoon выдумана, американские спецслужбы, политики, компании сговорились, чтобы очернить Китай, и отвлечь внимание от главных злодеев киберпространства — самих американцев.
Сегодня вышла третья часть отчёта CVERC. Конечно, есть и пересказ в Global Times. Но на этот раз CVERC явно очень хотел донести свои выводы до международной аудитории, поэтому впервые выпустил отчёт не только на китайском, но и на английском, французском, японском и немецком. С английскими всё понятно, а угадайте, почему выбраны остальные языки? (Потому что в отчёте говорится об американском шпионаже за этими странами-союзниками.) На русском версии, увы нет, БРИКС недорабатывает...
В содержательном плане отчёт не очень насыщенный. В отличие от отчётов китайских ИБ-компаний, никаких новых технических подробностей в нём нет. Метод CVERC — брать материалы из прошлых утечек, связанных с американским кибершпионажем, и собирать из них нужный пазл. Например, авторы сегодняшнего отчёта вспоминают про инструмент под названием Marble (из утечки Vault 7) для обфускации кода. Это упоминается для того, чтобы показать, как американские государственные хакеры могут маскироваться под кого угодно. С этой же целью приводится слайд из презентации под названием Disruption Operational Handbook (из утечки Сноудена), в которой упомянуты операции под чужим флагом. Из более свежих утечек в доклад включён фрагмент из документа про Минобороны Германии из так называемых Discord Leaks, который, вероятно, написан на основе перехвата американскими спецслужбами.
В общем, в дело идут любые свидетельства подтверждающие кибершпионаж со стороны США. Правда, это никак не опровергает китайские операции.
Практическую ценность отчёт несёт разве что в том смысле, что авторы продолжают напоминать об прошлых утечках и даже находят там что-то достойное внимания. Например, в этот раз они напоминают про слайд из книги Глена Гринвальда (утечка Сноудена), на котором АНБ хвастается операциями по перехвату оборудования и установке в него импланта, что позволяет заблаговременно получить точки доступа в сетях по всему миру (буквально pre-position).
При этом в Китае выходили гораздо более убедительные материалы про деятельность США, например, отчёты Pangu Lab про бэкдор для Linux Bvp47, который предположительно использовала Equation Group.
На прошлой неделе, на одном мероприятии (какое, вы и сами знаете) представитель НКЦКИ 👮 заявил, что организация приняла решение придавать гласности все кейсы, в которых атака шла через подрядчиков (а таких кейсов уже под сотню за последнее время). Все это делается, чтобы страна знала своих героев, а заказчики были более разборчивы в выборе партнеров 🤝
Но дальше еще интереснее - на завтрашнем SOCtech НКЦКИ 👮♀️ сделает доклад, в котором раскроет детали одного сложного инцидента, связанного с ведением APT-группировкой кибершпионажа в сети организации 🎩 Представитель Национального координационного центра по компьютерным инцидентам рассмотрит факторы, способствующие возникновению и развитию компьютерного инцидента, а также неоднозначную атрибуцию хакерской группировки 🇷🇺 На моей памяти, это чуть ли не первый случай, когда представители НКЦКИ не просто участвуют в дискуссии или рассказывают статистику по инцидентам, а прям раскрывают детали расследования. Такую открытость можно только приветствовать 🥳
А еще на SOCtech будет выступать УБК МВД России 🇷🇺, которые на днях отметили 2 года с момента своего создания. Но будут они не праздновать, а рассказывать, что нужно сделать после взлома, как и какие следы сохранить, чтобы помочь или хотя бы не навредить правоохранительным органам в поиске преступников 🥷. Что нужно сделать до взлома, о чем подумать и на что обратить внимание. И это тоже первый раз, когда представители другого правоохранительного органа будет рассказывать не про мошенничество, а именно про компьютерные инциденты 😷
SOCtech в этом году прям в ударе. Кто хочет успеть зарегистрироваться, то вперед (промокод KazimirSOC).
С интересом послушал бы. Но про репутационные риски, мне кажется, можно всерьёз говорить только тогда, когда организации будут нести хоть какую-то ответственность за то, что говорят. Сейчас, если организацию взломали, публично она в буквальном смысле может сказать что угодно, и совершенно ничего ей за это не будет. Более того, когда выяснится, что же там реально произошло, уже никто не вспомнит об этом. Просто посмотрите, что говорило руководство Росавиации весной 2022 года. Или что написано про отражение всех кибератак в годовом отчёте ФНС за 2023. Про кейсы с утечками я уже много раз писал. В этих условиях «антикризисные коммуникации» чаще всего сводятся к тому, чтобы отбиться от вопросов здесь и сейчас. Конечно, есть показательные исключения, но на то они и исключения.
Читать полностью…
Кто обезопасит ИИ в России
Весной в России была выдвинута инициативы о создании центра безопасности ИИ по принципу CERT (команды реагирования на компьютерные инциденты). Её озвучила управляющий директор «Лаборатории Касперского» в России и странах СНГ Анна Кулашова в начале апреля. Тогда же замминистра цифрового развития Александр Шойтов заявил, что над созданием CERT по ИИ уже работает Минцифры.
В конце апреля Александр Шойтов анонсировал планы создания консорциума для исследования информационной безопасности искусственного интеллекта. Предполагалось, что консорциум будет действовать на базе Института системного программирования (ИСП) РАН, Академии криптографии и Национального координационного центра по компьютерным инцидентам. В связи с предполагавшимся участием НКЦКИ я предположил, что этот консорциум и будет фактически выполнять функцию CERT'а.
Консорциум для исследований безопасности технологий искусственного интеллекта был создан в конце мая на базе Национального технологического центра цифровой криптографии (НТЦ ЦК), Академии криптографии и ИСП РАН. То есть без НКЦКИ. По словам Александра Шойтова, цель консорциума — предлагать защищённые решения. Помимо трёх организаций-учредителей планируется привлекать к сотрудничеству компании по ИБ и разработчиков ИИ.
На этой неделе на форуме «Кибертех» к консорциуму присоединилась первая ИБ-компания — «Газинформсервис», также в октябре ожидается присоединение других компаний.
При этом, судя по всему, функций CERT'а у консорциума нет. На том же форуме «Кибертех» представитель «Лаборатории Касперского», директор по исследованиям и разработке Антон Иванов, вновь предложил создать единый центр безопасности ИИ по принципу CERT'а, какового в России пока нет.
«У нас нет единой базы данных угроз ИИ и, самое главное, нет механизмов идентификации пользователей ИИ. Например, многие пользуются различными библиотеками для извлечения образов и текстов из фотографий. Мы находим много скомпрометированных библиотек, который лежит в Open Source, а большая часть дата-инженеров и дата-саентистов пользуются этим софтом при разработке ИИ. Как нам оповестить их, что это ПО опасно? Сейчас такого механизма нет. Поэтому нужно создать такой центр, который будет заниматься безопасностью ИИ, рассказывать про закладки в ПО, используемое при разработке ИИ, и про новые способы манипулировать моделями ИИ».
В других странах CERT'ы уже начинают уделять внимание безопасности ИИ. В ноябре в США на базе CERT/CC (первого CERT'а) была создана команда по реагированию на инциденты безопасности в сфере ИИ (AISIRT). CERT Европейского союза так далеко не зашёл, но уже выпустил руководство по рискам генеративного ИИ для органов ЕС.
Заявления ГУР о кибератаках против России
Прошёл уже почти год с того момента, как Главное управление разведки (ГУР) Минобороны Украины начало официально заявлять о кибератаках против российских организаций. Как я не раз писал, обычно государства не стремятся брать на себя ответственность за операции в киберпространстве. За всю историю киберконфликтов наберётся совсем немного примеров, когда официальные лица признавались во взломах: операция США и союзников Glowing Symphony против ИГИЛ, признание Трампа в санкционировании кибератаки на медиа Евгения Пригожина, недавнее заявление советника командующего КСИР. Чуть чаще встречаются анонимные признания в СМИ.
Я собрал в табличку все заявления ГУР о кибератаках — с ноября 2023 их вышло уже 14, что, скорее всего, больше чем у любой другой страны.
В половине случаев ГУР заявляло о проведении операций самостоятельно. В пяти — о совместных операциях с хакерскими группами, чаще всего с BO Team. Это та самая группа, которая в понедельник анонсировала взлом ГАС «Правосудие», а в сентябре — взлом УЦ «Основание» (кстати, о причастности к нему заявило и ГУР). В двух случаях ГУР рассказало о кибератака группировок Blackjack и BO Team, но свою роль не обозначило.
Судя по заявлениям ГУР, целями становились государственные ведомства, оборонные предприятия, но также самые разные гражданские организации, от интернет-провайдеров до, допустим, дилера автомобилей «Лада». В качестве результатов кибератаки чаще всего называлось уничтожение инфраструктуры жертвы, кража данных, но также дефейсы (в том числе массовые), рассылка сообщений с угрозами и др.
То, что ГУР проводит кибероперации, не вызывает сомнения. Но его заявления могут быть неточны или преувеличены. Некоторые я уже разбирал. Например, ГУР утверждало, что в результате кибератаки на ФНС была парализована связь между Москвой и региональными отделениями, и, более того, что инфраструктура ФНС была полностью уничтожена. Но никаких заметных сбоев в работе налоговой не было. Январская же атака на IPL Consulting, похоже, действительно серьёзно нарушила работу компании. В августе ГУР и BO Team заявили об атаке на главного интернет-провайдера Снежинска — работникам «Веги» действительно пришлось вручную перенастраивать сотни коммутаторов, и многие дома несколько дней оставались без интернета. Однако утверждение ГУР о срыве гособоронзаказа явно было преувеличением и строилось лишь на комментариях в городских телеграм-каналах. Взлом УЦ «Основание» обернулся для компании долгим восстановлением, при этом до сих пор непонятно, были ли похищены чувствительные данные, как утверждала атакующая сторона.
На заявления ГУР уже ссылались представители МИД России, а также Совбеза, но какого-то международного развития эта история пока не получила. Российские исследователи киберугроз, скорее всего, за анонсами следят, но не спешат публично атрибутировать кибератаки Украине.
Когда речь согласовали заранее.
(С понедельника жители Тюменской области, как и остальной России никакие документы в электронном виде подать не могут, потому что система ГАС «Правосудие» не работает — скорее всего, из-за кибератаки.)
⚡️⚡️⚡️⚡️⚡️⚡️⚡️
Рынок кибербезопасности к 2028 году почти утроится и достигнет ₽715 млрд
⭐️⭐️провел исследование и подготовил прогноз развития рынка кибербезопасности в Российской Федерации на 2024-2028 годы, где выявил основные тренды и факторы развития этой сферы.
Заместитель генерального директора ЦСР Екатерина Кваша:
Российский рынок кибербезопасности продолжает активно расти, причем темпами, значительно опережающими рост мирового рынка ИБ. Рост объема рынка кибербезопасности в России в следующие 5-лет ожидается со среднегодовым темпом прироста в 23,6%. К 2028 году рынок достигнет 715 млрд рублей, на долю российских вендоров будет приходиться более 95% всего объема рынка.
Это свидетельствует о том, что российский рынок продуктов кибербезопасности продолжает активно развиваться, при этом наблюдается довольно существенное замещение зарубежных продуктов отечественными. Это, в том числе, связано с повышение уровня зрелости отечественных решений. В итоге в 2023 году ещё усилилось доминирующее положение российских вендоров средств защиты информации, которые заняли уже 89% рынка средств защиты информации. Таким образом, по итогам 2023 года иностранные решения в совокупных затратах все еще занимали весомую часть рынка – 11%.
Вместе с тем, в 2024 году продолжилось развитие тенденции по нормативному регулированию требований к информационной безопасности и повышению ответственности, в том числе и по импортозамещению. Государство продолжает активно стимулировать развитие отрасли. Потребители на российском рынке постепенно перестраиваются и переходят к внедрению проактивной кибербезопасности. Кроме того, вендоры и регуляторы стали активнее применять методики Bug Baunty - поиска уязвимостей за вознаграждение.
Может, кража денег с помощью поддельных QR-кодов и не самый эффективный способ, но это не значит, что мошенники не будут пытаться. Власти Сан-Франциско обнаружили в районе Fisherman's Warf на набережной 5 парковочных автоматов с поддельными наклейками якобы для оплаты парковки. Причём уже не первый раз за год. Похожие случаи встречаются и в других частях США, а также, например, в Австралии.
Читать полностью…
Оказывается, кибератака на ВГТРК нарушила не только онлайн-трансляцию, но и эфир России 24. На smotrim.ru архив не сохранился, но запись есть на сайте OnTVtime (с кучей рекламных баннеров). В эфире идёт первый новостной выпуск (начинается в 5 утра). В промежутке между 5:12 и 5:13 картинка пропадает, и примерно полторы минуты экран остаётся чёрным (помимо плашек), а на фоне периодически что-то шумит. Затем включается трансляция с уличной камеры, очевидно, в Москве. А через 40 минут после сбоя запускается трансляция записи передачи, которой нет в программе. Несколько часов эфир идёт в записи. Только в районе 10-11 часов появляются новостные вставки. Но полностью работа информационных систем ещё не возобновлена: ведущая читает новости не с суфлёра, а из Телеграма на планшете, причём экран планшета в режиме реального времени демонстрируется и в эфире. Также через Телеграм запускаются видео-ролики.
Момент сбоя можно увидеть и на записи эфира России 1. Как и на России 24, в промежутке между 5:12 и 5:13 изображение пропадает. Однако чёрный экран висит всего пару секунд, после чего трансляция возобновляется.
Восстановление работы системы ГАС «Правосудие» продлится как минимум до 18 октября. Судебный департамент предупреждает, что в связи с «инцидентом информационной безопасности» неотложные запросы следует направлять через личный кабинет Почты России и почтовые отделения.
📷Судебная практика СКГД ВС РФ
@fontankaspb
Вынесены приговоры Марату Тамбиеву, обвинявшемуся в получении взятки от участников Infraud Organization, и его подчинённой Кристины Ляховенко.
«Балашихинский городской суд Московской области приговорил бывшего московского следователя Марата Тамбиева к 16 годам колонии по делу о рекордной взятке в биткоинах, его подчинённая Кристина Ляховенко осуждена к 9 годам заключения, сообщает Генпрокуратура.
Суд установил, что в течение двух лет Тамбиев получал взятки от обвиняемых в неправомерном обороте средств платежей, общая сумма которых превысила 7,5 миллиардов рублей. За "вознаграждение" сотрудники следственных органов фальсифицировали доказательства и способствовали вынесению решений о более мягких мерах пресечения.
Суд также запретил Тамбиеву и Ляховенко занимать должности в органах госвласти в течение 12 и 9 лет и лишил их специальных званий «майор юстиции» и «старший лейтенант юстиции», соответственно.
Кроме того, Марату Тамбиеву назначен штраф в размере 500 миллионов рублей.
В июне Никулинский суд Москвы удовлетворил иск Генпрокуратуры РФ о взыскании в доход государства 1 032 биткоинов с бывшего начальника следственного отдела по Тверскому району столицы Тамбиева».
Kaspersky через VPN
Некоторым американцам так нравится Kaspersky, что они продолжают пользоваться её продуктами — даже после вынужденного ухода компании из США и противоречивой замены антивируса на пользовательских устройствах.
Как? Конечно же, через VPN. Либо добавив вручную в список серверов для обновления сервер за пределами США.
В истории разбирался TechCrunch в основном по комментариям тематической ветки Reddit, где идею использовать VPN обсуждали ещё в сентябре. Мотивация продолжать пользоваться «Касперским» несмотря на препятствия у людей разная: кого-то не убедили официальные причины запрета антивируса американскими властями, кто-то хочет пользоваться уже оплаченным продуктом, а некоторые просто считают его лучшим по сравнению с конкурентами.
В Сингапуре на этой неделе проходит ежегодная конференция Singapore International Cyber Week. По составу участников она на текущий момент уникальна в плане инклюзивности. Сингапур позиционирует себя как площадку, открытую для всех. Для иллюстрации: сегодня на открытии выступали представители России и Украины — на разных панелях, конечно.
Читать полностью…
Лесопромышленность не укладывается в сроки импортозамещения, считают участники форума Smart Forest 2024. Не всегда есть отечественные решения, а где есть, они дорогие. Единственное, непонятно, почему это обсуждается в контексте импортозамещения на объектах КИИ — по 187-ФЗ лесная промышленность не отнесена к критической информационной инфраструктуре. То есть откуда срок до 2025 года.
«"Давайте будем реалистами: импортозаместиться до 2025 г. - нереально", - сказала вице-президент по информационным технологиям группы "Илим" Ирина Пирогова. Она сообщила, что на замещение на объектах КИИ может уйти много средств, которые в данный момент не все компании готовы потратить. Кроме того, процесс импортозамещения длительный.
"Самое насущное мы к 2025 г. сделали, но полностью все заместить мы ориентируемся к 2030 г. Ключевые факторы - финансовые. В условиях, когда очевидно происходит снижение маржинальности, удорожание логистики и другое, вкладывать гигантские суммы в проекты, которые будут иметь очень длительный срок окупаемости, - абсолютно неподъемно для бизнеса", - сказал генеральный директор "Сегежа Цифровые Решения" Игорь Козлов.
[...]
"К 2025 г. говорить о полном импортозамещении невозможно, просто потому что нет в моменте отечественных программных продуктов, которые способны прямо сейчас начать делать то, что делают системы, которое стоит годами", - считает Игорь Козлов.
Директор компании "Свеза СмартЛайн"Никита Марченко уверен, что к 2025 г. импортозаместиться точно не получится, а к 2030 г. - возможно, при условии если будет активно развиваться и дорабатываться отечественный софт. "Пока мы тоже не видим каких-то понятных для нас решений", - сказал Никита Марченко».
Больше про импортозамещение в лесной промышленности можно узнать из этого материала на отраслевом портале. Из него можно узнать, что главным стимулом к импортозамещению стал уход иностранных компаний: «Показателен случай, когда в марте 2022 года на Рубцовском лесодеревоперерабатывающем комбинате остановилось производство топливных гранул».
Предприятие простаивало почти полгода и возобновило выпуск продукции в августе 2022, об этом рассказывали местные СМИ:
«В начале марта зарубежная компания, которая поставила три года назад предприятию производственную линию, отключила её программное обеспечение. Но выход был найден, и с августа здесь возобновилось производство.
Сейчас цех по производству топливных гранул Рубцовского лесодеревоперерабатывающего комбината работает на полную мощность. Продукция отгружается покупателям, многотонные фуры одна за другой выезжают за ворота предприятия. Но с марта здесь царила полная тишина. Линия по производству пеллет известной западной компании остановилась.
Все попытки связаться с зарубежными поставщиками - их программное обеспечение и руководило процессом производства - ни к чему не привели. Санкции, отвечали те, новую версию программы не передадим.
Поиски отечественных специалистов, которые могли бы оживить рубцовское производство и написать новую программу, завершились успешно. Нужных специалистов нашли в Санкт-Петербурге. Работа закипела и в цехах, и за компьютерами.
Два месяца ушло на то, чтобы разобраться питерским инженерам с западной программой и написать новую. В итоге с августа линия по производству топливных гранул на Рубцовском ЛДК обрела вторую жизнь теперь уже с отечественной интеллектуальной начинкой».
Уязвимость в сайтах на платформе "Аспро"
Центр кибербезопасности белорусского регистратора hoster.by описал цепочку заражения интернет-магазинов на платформе российского производства "Аспро" (готовые сайты на CMS Bitrix). Уязвимые скрипты позволяют злоумышленникам внедрять на сайты вредоносный код. Пока это использовалось только для загрузки майнеров. Проблема актуальна до версии Аспро: Next 1.9.9.
Проведём мысленный эксперимент: «Ростелеком» оповещает вас через «Госуслуги» об утечке данных из сервиса под названием, скажем, «ЗдравТестинг». Вы идёте проверять, что же там случилось со «ЗдравТестингом», и читаете комментарий пресс-службы компании: «Да, была DDoS-атака, но на работоспособность сервиса она не повлияла, данные в порядке, а опубликованные в одном телеграм-канале файлы — это компиляция и провокация».
Кому верить? Что делать?
«Росатом», «Газпром нефть» и «Роскосмос» хотят отложить переход на российский софт
📝 Ассоциация крупнейших потребителей программного обеспечения и оборудования, основанная «Росатомом», «Газпром нефтью», «Транснефтью», РЖД, Дом. РФ, «Роскосмосом», «Ростехом» и «Ростелекомом», обратилась к министру цифрового развития Максуту Шадаеву и председателю комитета Госдумы по информполитике Александру Хинштейну с просьбой предусмотреть индивидуальные сроки перехода на отечественный софт объектов КИИ.
Авторы письма утверждают, что сложившаяся практика реорганизации и присоединения юрлиц приводит к тому, что требования для различных структур внутри одной компании могут различаться. Из-за временных несоответствий «возрастает риск невозможности перехода на отечественные IT-решения на значимых объектах КИИ в установленные сроки с учетом процессов реорганизации».
🔜 В ряде отраслей промышленности невозможно заменить определенные классы IT-решений в указанные сроки, поэтому обращение и появилось, говорит директор департамента транспорта и логистики «Рексофта» Александр Семенов. Это прежде всего касается сложных систем или решений, для которых нет прямых аналогов российского производства.
📰 Подпишитесь на «Ведомости»
Как точно не нужно действовать или бездействовать после киберинцидента?
На SOC Tech вместе с главой PR «Информзащиты», журналисткой Коммерсанта, руководителем TechPR «Газпромбанка», замом гендира по ИБ Wildberries и независимым экспертом Артемом Калашниковым обсудим антикризисные коммуникации после взлома и утечки данных.
Сказать голую правду, проигнорировать или поиграть в специалиста по публичной риторике?
Универсальный рецепт раскроем 15 октября.
@cybersachok
Российский репозиторий открытого кода приказал долго ждать
Как пишет газета "Ъ", вместо единого российского репозитория открытого кода (планы по его разработке тянутся аж с 2020 года, и начинались они при замглавы Минцифры Максиме Паршине), Минцифры подготовит единое регулирование существующих хранилищ. Проще говоря, вместо того, чтобы собирать русский аналог GitHub, правительство придумает правила к действующим российским репозиториям.
В Минцифры изданию заявили следующее: «Сейчас совместно с заинтересованными ведомствами и организациями мы работаем над концепцией создания и развития экосистемы репозиториев, находящихся на территории и в юрисдикции РФ"
Напомним, что проект русского аналога GitHub с самого своего запуска спотыкался о препятствия. Все началось в 2020 году, когда Минэк предложил выделить 2,1 млрд руб. на создание отечественного репозитория открытого кода на случая отключения РФ от GitHub, деньги на проект хотели найти в "Цифровой экономике".
Эксперимент по созданию репозитория открытого кода стартовал только в 2022 году. В рамках работ власти планировали решить три задачи: создать репозиторий, разместить в нем открытый код, созданный в том числе за бюджетные средства (это нужно для переиспользования такого кода в других проектах) и подготовить норативку под использования опен сорса.
Под эксперимент даже нашлись деньги в условиях жестоких секвестров. В 2023 году правительство постановило выделить 1,3 млрд руб. на проект с баланса ликвидированного фонда "Росинфокоминвест". Но бумаг оказалось мало -- еще тогда мои источники говорили, что проект под вопросом, в том числе из-задержания Макисма Паршина, который и отвечал за этот проект.
При этом пока проект гос репозитория буксовал, российские компании сами справились с созданием собственных репозиториев открытого кода. Аналоги GitHub запустили "Группа Астра", ДИТ и структуры "Ростелекома".
Вышел очередной отчёт от OpenAI об использовании её сервисов ИИ злоумышленниками (PDF). В предыдущих сериях OpenAI рассказывала о блокировках аккаунтов, связанных с прогосударственными хакерскими группами, и об обнаружении информационно-психологических кампаний с использованием сгенериваронного контента.
На этот раз в отчёте представлены несколько примеров использования ИИ как в кибероперациях, так и в информационно-психологических операциях.
Что касается первого, то в отчёте рассказано о деятельности трёх хакерских группировок: предположительно прокитайской SweetSpecter и двух проиранских, CyberAv3ngers и STORM-0817. Они использовали сервисы OpenAI для разных задач: сбора информации об уязвимостях, помощи в разработке вредоносного ПО, помощи в обфускации кода, советов по команда после компрометации системы, социальной инженерии и т.д. Для специалистов может быть полезно, что OpenAI показывает, как выявленная ими деятельность злоумышленников накладывается на фреймворк тактик, техник и процедур, связанных с использованием LLM. Правда, OpenAI использует категории, которые они придумали с Microsoft, а не более детализированную матрицу MITRE ATLAS (адаптация матрицы ATT&CK для атак с использованием ИИ/ML), но они не сильно различаются. См. на картинке пример TTPs для группировки SweetSpecter.
По информационно-психологическим операциям приведены несколько кейсов использования сгенерированного с помощью ИИ контента, от коротких комментариев или постов в Твиттере до длинных статей, а также картинок. Согласно отчёту, это делается как для продвижения политически окрашенного контента, так в одном случае и для заманивания пользователей на сайты для азартных игр. Любопытна и география акторов, чьи аккаунты были заблокированы: среди них Россия, Руанда, Израиль и даже США — некто из Америки якобы вёл проазербайджанскую информационную кампанию.
Не вдаваясь дальше в детали, поделюсь мыслью более общего характера. Этот отчёт, как и некоторые другие, показывает, что использование LLM может сильно упростить работу хакеров и снизить порог для вхождения. Но для этого им пока приходится пользоваться не молодыми и перспективными сервисами, а наиболее продвинутыми от лидеров типа OpenAI. При этом получается, что злоумышленники потенциально открывают свою внутреннюю кухню для команды безопасности этого сервиса — может, пока не у всех компаний с этим хорошо, но OpenAI при поддержке Microsoft и коллег по индустрии явно уделяет безопасности всё больше внимания. Поэтому APT и продвинутые группировки, скорее всего, осознают этот риск и постараются обходится без ChatGPT или во всяком случае прибегать к нему только в ограниченных случаях.
Ну, а обычным пользователям и компаниям просто стоит помнить, что история их общения с чатботом, вероятно, где-то хранится, и доступ к ней могут получить как сотрудники сервиса, так и посторонние.
Сотрудникам ВГТРК задерживают зарплату из-за масштабной хакерской атаки, которая обрушила работу вещания и внутренние сервисы.
По словам источников «Осторожно, новости», сотрудникам холдинга не выплатят зарплату, которая обычно приходит 10-го числа. Руководство объяснило задержку хакерской атакой, которая парализовала работу ВГТРК в начале недели. Получить деньги вовремя не смогли минимум 100 человек, о точных датах начисления им не говорят. Сотрудники предполагают, что и в понедельник выплат может не быть. По нашим данным, с задержками столкнулись также сотрудники канала «Москва 24».
Хакеры взломали каналы и радиостанции ВГТРК утром 7 октября. Были приостановлены онлайн-трансляции каналов «России 1», «России 24», «Культуры», «Вестей FM», радио «Маяк» и другие, в эфир ставили архивные видео. После взлома упал также внутренний сервер и весь архив холдинга.
Инцидент в духе времени. Издание 404 Media рассказало об утечке данных с сайта Muah[.]ai, который позиционируется как сервис для создания ИИ-компаньонов для взрослых. С журналистами связался некий хакер, который, пользуясь сайтом, нашёл уязвимости и получил пользовательские данные, в том числе промты. Утверждается, что многие запросы пользователей касались сексуальных сцен с несовершеннолетними. Администратор сайта подтвердил журналистам обнаружение взлома, но заявил, что атака была заказана конкурентами Muah[.]ai. Также, по его словам, у сервиса есть команда модерации, которая удаляется все чатботы, связанные с несовершеннолетними.
Помимо промтов в утечку попали и имейлы пользователей, журналисты связались с несколькими из них, в том числе с теми, кто делал запросы, касающиеся несовершеннолетних, но не получили ни одного ответа
У Интернет-архива (archive.org) произошла крупнейшая утечка данных базы из 31 миллиона их пользователей [1]. Пока неизвестно украдены ли ещё какие-либо данные. Известно только что долгое время Интернет-архив был под DDoS атакой и регулярно был недоступен.
В любом случае если если у Вас есть аккаунт в Интернет-архиве, то имеет смысл сменить в нём пароль, а также если предыдущий пароль Вы использовали где-либо ещё, то сменить его в этих сервисах.
Ссылки:
[1] https://www.bleepingcomputer.com/news/security/internet-archive-hacked-data-breach-impacts-31-million-users/
#security #internetarchive #databreach
Государства редко берут ответственно за кибератаки, но в последние годы такие примеры встречаются чуть чаще, чем прежде. Очередной пример — Иран (иранский источник):
«Иран в ходе ракетного удара по Израилю осуществил кибератаку на израильские системы противовоздушной обороны (ПВО), что позволило Тегерану поразить назначенные цели. Об этом заявил советник командующего Корпусом стражей исламской революции (КСИР, элитные части иранских ВС) генерал-майор Эбрахим Джабари.
"Одновременно с атакой мы провели кибероперацию и [использовали средства] радиоэлектронной борьбы против систем [противовоздушной] обороны израильских преступников, благодаря этому наши ракеты обошли [ПВО] и поразили намеченные цели", - приводит слова генерала пресс-служба иранского Минобороны».
К сожалению, никаких подробностей нет, поэтому неизвестно, была ли реально такая атака или это всего лишь пропагандистское заявление.
В целом же такое использование кибервозможностей в военных конфликтах обсуждается уже несколько десятилетий.
В 2007 году Израиль нанёс авиаудар по предполагаемому ядерному реактору в Сирии. В ходе операции была выведена из строя сирийская ПВО. Наиболее распространена версия, что Израиль использовал радиоэлектронные средства (предположительно американскую технологию Suter) для передачи на радар системы ПВО ложного сигнала. Согласно одному описанию, в отличие от глушения это более продвинутая технология, которая «обманывает» систему, внедряя данные по аналогии с вредоносной программой.
В 2016 году журналисты New York Times рассказывали о некоем запасном плане США под названием Nitro Zeus на случай конфликта с Ираном, который включал кибератаки на иранскую систему ПВО.
В 2018 году военный источник из Сирии рассказал Reuters о ложном срабатывании системы ПВО, причиной которого могла стать «совместная электронная атака» Израиля и США против сирийских радаров.
Появился официальный комментарий Судебного департамента при Верховном суде РФ по ситуации со сбоем ГАС «Правосудие»:
«С 7 октября 2024 г., в связи со сбоем в работе
ГАС «Правосудие», временно недоступны:
интернет-сайты федеральных судов (в доменах arbitr.ru, sudrf.ru), мировых судей (в домене msudrf.ru), Судебного департамента при Верховном Суде Российской Федерации, управлений Судебного департамента в субъектах Российской Федерации, органов судейского сообщества;
подача процессуальных обращений и жалоб в электронном виде через модули «Электронное правосудие» и «Система подачи жалоб на действие судей и работников аппаратов арбитражных судов» на сайтах судов и на едином портале государственных и муниципальных услуг (ЕПГУ).
Имеются затруднения в работе почтовых сервисов ГАС «Правосудие».
Не осуществляется рассылка уведомлений от ИС «Электронное правосудие».
Судебным департаментом и Информационно-аналитическим центром поддержки ГАС «Правосудие» проводятся работы по восстановлению работоспособности сервисов.
До окончания работ неотложные заявления и запросы могут быть направлены в суд на бумажном носителе в соответствии с действующим законодательством.
Подача документов в электронном виде через информационный сервис «Мой арбитр» в федеральные арбитражные суды осуществляется в штатном режиме».
Завтра выступаю на тему влияния киберконфликта на Россию, расскажу про заметные публичные инциденты, попробую изложить некоторые свои мысли общего характера. Решил для разогрева спросить у аудитории, что серьёзнее, атака на ВГТРК или сайты судов.
Читать полностью…