5051
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования. Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
Российских разработчиков Linux лишили руководящих статусов
Всего из числа мейнтейнеров (ответственных лиц, оценивающих изменения в проекте с открытым исходным кодом) подсистем ядра операционной системы Linux были удалены 11 человек, у большинства из них указаны адреса электронной почты на домене .ru. В их числе сотрудники SberDevices и разработчики ОС «Аврора». Причиной называются требования законодательства.
В компаниях, чьи специалисты подпали под исключение, заявили, что ждут разъяснений от западных коллег, которые всегда декларировали принципы открытости (на логотипе Linux даже изображен дружелюбный пингвин Tux). Сейчас на ядре Linux работают крупнейшие российские операционные системы и широко используемый софт.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
Интернет-платформы МИД России подверглись масштабной DDoS-атаке, специалисты работают над восстановлением работоспособности ресурсов министерства, сообщила официальный представитель ведомства Мария Захарова.
Читать полностью…
По сообщению Судебного департамента при Верховном Суде, судебная инфраструктура постепенно возвращается к жизни. Пока запущены сайты и почтовая служба федеральных арбитражных судов. Сайт arbitr.ru действительно работает.
Читать полностью…
Злоумышленники продолжают проводить кибератаки на организации в Беларуси, не оглядываясь на новую военную доктрину страны:
«В Беларуси с начала года зафиксировали 350 киберинцидентов высокого уровня, в том числе в центре кибербезопасности hoster.by – 120 инцидентов. Об этом рассказал директор по безопасности hoster.by Антон Тростянко на форуме «БАНКИТ-2024».
По словам Антона Тростянко, hoster.by отмечает двукратный рост киберинцидентов в зоне своей ответственности.
Основная часть киберинцидентов (60%) приходится на частные облака, еще 30% происшествий связаны с виртуальным хостингом, на точечные инциденты приходится 10% всех неприятных событий в сфере кибербезопасности.
— По нам здорово «работают» украинские группировки. Мы стали их больше видеть, заметно, что для них- главное — собрать информацию. Последние крупные взломы наблюдаем в промышленности — шифруют заводы. Есть атаки, которые длятся по 4 часа и за это время злоумышленники компрометируют всю инфраструктуру».
Мы без конца проклинаем операцию «Триангуляция», и, разумеется, за дело. И всё же я хочу спросить — кто закупил в четыре раза больше айфонов?
«Суммарный объем проведенных госзакупок iPhone за девять месяцев 2024 г. вырос в 4 раза по сравнению с аналогичным периодом 2023 г. Итоговая сумма по заключенным контрактам за три квартала 2024 г. составила 6 879 899 руб. по сравнению с 1 642 166 руб. за аналогичный период 2023 г., рассказал "Ведомостям" представитель площадки торгов "Тендерплан"».
В прошлом году после заявлений ФСБ о шпионаже через айфоны от техники Apple официально отказались многие (но не все?) ведомства и госкомпании: МЧС, Минопромторг, Минпросвещения, Минобрнауки, Росмолодёжи, Минцифры, РЖД, ЦИК, Минфин, Минэнерго, Минкульт, ФТС, Росавиация, Администрация президента, Росатом, Ростех (а также Швабе, КамАЗ, Уралвагонзавод).
P.S.: нельзя исключать, что устройства закуплены для поиска уязвимостей.
Турция борется с сервисами пробива
В Турции на прошлой неделе были арестованы 9 человек по подозрению в участии в так называемой международной кибершпионской сети. Первые аресты по этому делу прошли в августе, тогда в руки правоохранителей попали 11 человек. Операцию проводит Национальная разведывательная организация Турции (MİT) при поддержке полиции. В ходе операции были заблокированы сайты по продаже данных, на них были размещены заглушки о закрытии доступа в связи с незаконной кибердеятельностью, угрожающей национальной безопасности. В числе конфискованных доменов: cybertiserate[.]fun, itpanel[.]store, sxrgu[.]tech, tavsancik[.]online, nexcity[.]in, xlog[.]life, fearchecks[.]xyz. На заглушке стоят логотипы MİT, жандармерии и турецкого государственного CERT'а (USOM).
До блокировки на сайтах находились так называемые «панели» для поиска по персональным данным турецких граждан. С их помощью можно было получить такие данные, как государственный ID, контактные данные, медицинские данные, номера авто и пр. Кроме того, для распространения информации о сервисе использовались многочисленные телеграм-каналы.
Проблема эта не новая. Летом 2023 появились сообщения об утечке данных всех граждан Турции и доступе к ним через сервис Sorgu Paneli («панель для запросов»). Создатели сервиса предлагали пользователям несколько бесплатных запросов, а также продавали подписку для получения доступа к полному функционалу.
Неизвестно, попали ли в руки к правоохранителям те же лица, что стояли за сайтом Sorgu Paneli, но так или иначе «панели» стали популярным форматом для продаж услуг пробива.
Помимо компьютерных преступлений арестованным вменяют и более серьёзные нарушения: якобы в числе тех, кто покупал у них данные, были даже террористы.
Операции MİT не единственный признак того, что в Турции меняется подход к незаконной торговле персданными граждан. Если в 2023 году правительство ставило под сомнение возможность утечки, то в сентябре министр транспорта и инфраструктуры признал проблему, а USOM ещё в июле запросил помощь у Google в удалении данных с Drive'а и предоставлении информации об аккаунтах — возможно, кстати, что эта информация использовалась для арестов.
По традиции оценим визуальную составляющую APT-отчётов Antiy. В отличие от красочных картинок у Qihoo 360 и QiAnXin Antiy изображает группировки или их отдельные инструменты в стиле карандашного рисунка или газетной иллюстрации.
Stuxnet
Sandworm
White Elephant
Equation Group
OceanLotus/APT-TOCS
GreenSpot
Dark Elephant
Duqu
Flame
Equation Group/Quantum
«Не открывайте вложения с подозрительными расширениями»: основы ИБ для госслужащих от Минцифры
Министерство цифрового развития подготовило рекомендации по информационной безопасности для госслужащих. Советы для чиновников изложены в трёх памятках:
— Меры по обеспечению информационной безопасности;
— Рекомендации по защите учётных записей;
— Правила защиты от мошенников.
Рекомендации появились в Консультанте вчера и сопровождаются письмом врио директора Департамента обеспечения кибербезопасности Минцифры Евгения Хасина от 17 сентября. Министерство рассматривает эти памятки в русле программ по повышению цифровой грамотности — в данном случае среди чиновников.
Что касается рекомендаций, то большинство не вызывают никаких вопросов. Но не все. Допустим, совет ставить сложный пароль без пояснений не очень полезен, а призыв менять его раз в квартал уже не считается хорошей идеей. Так, в свежих рекомендациях по паролям NIST предлагает пойти навстречу пользователям и наоборот не требовать от них регулярной смены пароля.
Также можно обсудить, чего в рекомендациях нет. Мне в глаза бросился важный совет, который часто дают на тренингах: если вы заметили что-то подозрительное или у вас есть вопросы, обращайтесь в отдел ИБ организации (вот контакт). Конечно, письмо, очевидно, разослано в разные организации, и отделы эти будут разные, но общий совет всё равно можно было дать, а то сейчас по памяткам складывается впечатление, что госслужащие предоставлены сами себе.
Но, наверно, главный вопрос — будет ли польза от рекомендаций в таком формате? Что с ними в лучшем случае сделают в организации? Разошлют по почте? Распечатают и повесят листочки A4 на доске объявлений? Компании, проводящие тренинги по ИБ, много думают над тем, как сделать так, чтобы обучающиеся действительно усвоили материал, а их поведение стало более безопасным. В этом плане памятки не выглядят особо убедительными. Лучше сразу направлять госслужащих на тематический раздел на Госуслугах.
На SOC Forum в ноябре интересная программа, но половина Defense-трека только офлайн, в том числе заявлены доклады по проукраинским группам UHG, Twelve, exCobalt.
В американском TI-сообществе тоже поднимался вопрос, что в последние пару лет всё больше исследователей готовы выступать на конференциях не под запись. Похоже, это общий тренд.
Пока идёт ремонт ГАС «Правосудие», профессионалы сдувают пыль с факсов (в Японии, кстати, они до сих пор широко используются).
«Наутро 18 октября в Приамурье все еще недоступны сайты всех судов: областного, арбитражного, городских и районных. Пока единственным способом информирования амурчан остаются соцсети органов власти, где можно найти контактные данные, время работы и другую информацию, рассказали в Объединенной пресс-службе судов Амурской области. Что же касается отправки документов, пока это можно сделать лично или почтовым отправлением - электронная почта судов не работает. Есть еще один способ, который уже считается раритетным.
"Вчера мне пришлось искать раритет – факс. Это средство связи еще осталось в работе 9 кассационного суда. Поиски в течение пары часов увенчались успехом. Удалось найти действующий факс, но по факту скажу так – это устройство уже давно из области фантастики. Все мы привыкли за годы пандемии активно работать в интернете, и весьма хорошо это получалось. К хорошему быстро привыкаешь", - рассказал юрист, президент Гильдии риелторов Приамурья.
Эксперт полагает, что проблемы связи с сайтами судов могут продлиться и после "дня икс" - 18 октября. Амурчанам нужно искать альтернативы в случае необходимости отправки документов в суды. Факсы работают не везде. Почтовые отправления необходимо отправлять заранее, чтобы письмо успело прийти к заседанию».
Первая хактивисткая кибератака
1988 — это Morris Worm, а 1989 — это Worms Against Nuclear Killers. 35 лет назад в сеть НАСА попал червь под названием WANK. Это событие считается первой известной политически мотивированной компьютерной атакой, позднее такую деятельность назовут хактивизмом. НАСА готовилось к запуску космического аппарата «Галилео» c радиоизотопным термоэлектрическим генератором. Из-за использования в генераторе плутония подготовка запуска вызвала беспокойство среди антиядерных активистов. Очевидно, это и вдохновило хакеров. Атака началась 16 октября. По словам автора книги Underground: Hacking, Madness and Obsession on the Electronic Frontier, учёные приходили на работу и обнаруживали на своих экранах не нужные им материалы, а послание хакеров: «Вы говорите о мире для всех, а потом готовитесь к войне». Пять лет назад были опубликованы слайды НАСА, подготовленные через месяц после инцидента. Атака проводилась в два этапа: на первом было заражено 90 компьютеров, а спустя две недели обновлённая версия червя заразила ещё 500 устройств. Специалисты НАСА посчитали причиной инцидента несоблюдение установленной в агентстве парольной политики. В презентации указано, что источником атаки могла быть Франция. Но позднее подозрение пало на австралийское хакерское сообщество, есть даже неподтверждённая, но интригующая версия, что ко взлому НАСА был причастен молодой Джулиан Ассандж.
В презентации сказано, что расследованием занимаются ФБР и главный инспектор НАСА, внутри агентство будет уделять больше внимания улучшению практики использования паролей. Но в самом конце приведена фраза, которая по-прежнему актуальна: «Открытые международные сети всегда будут в определённой степени уязвимы».
Вспомнил про два случая, когда российские официальные лица перечисляли хакерские группы, атакующие Россию. В июне 2022 года Андрей Крутских, тогда руководитель Департамента международной информационной безопасности МИД, заявил:
«Всего в противоправных операциях против России задействованы 22 хакерские группировки, наиболее активные – IT-army of Ukraine (Украина), GhostClan (США), GNG (Грузия), Squad303 (Польша)».
В апреле 2023 ТАСС опубликовал заявление Центра общественных связей ФСБ, в котором был такой фрагмент:
«При этом кибератаки разрабатываются при непосредственном участии объединенного командования Пентагона во взаимодействии с международными ("Анонимус", "Сайленс") и национальными ("Гоаст клэн", США, "Рэдках", Турция, "Джи-Эн-Джи", Грузия, "СквадЗОЗ", Польша и другие) хакерскими группировками».
Прежде не задумывался о происхождении этой threat intelligence, но рискну предположить, что как минимум одним источником были таблички со списком пророссийских и проукраинских хакерских групп от исследователя под ником Cyberknow. В конце февраля — начале марта 2022 года они регулярно обновлялись и активно распространялись в Твиттере.
Как связаны таблицы и приведённые заявления? Во-первых, обращает на себя внимание количество проукраинских хакерских группировок — 22. Столько групп было на одной из ранних таблиц от Cyberknow от 1 марта 2022. Правда, потом это число росло и к июню (когда было интервью) уже составляло несколько десятков. Во-вторых, на таблицах Cyberknow фигурируют вместе все группы, упомянутые МИД, кроме того, именно Cyberknow с февраля по май 2022 указывал предполагаемое место расположения группировки. В качестве картинок прикрепляю таблицы от 1 марта (на ней 22 проукраинские группы) и от 22 мая (последняя с указанием стран).
Что за группы упомянуты МИД?
— IT Army of Ukraine, думаю, всем известна. Эта группа была создана с подачи министра цифровой трансформации Украины Михаила Фёдорова прежде всего из большого числа низкоквалифицированных добровольцев, но, вероятно, и с участием опытных хакеров. Она занималась DDoS-атаками и не только и, естественно, сразу же попала в таблицу Cyberknow;
— GhostClan была добавлена в таблицу 28 февраля 2022 с локацией Global, затем заменённой на Unknown. США у группы в качестве местоположения никогда не указывались. Судя по тому, что можно найти, это такое хактивистское сообщество в стиле Anonymous. Есть много аккаунтов с таким названием. GhostClan упоминались в числе группировок, участвовавших в атаках на Израиль после 7 октября 2023;
— GnG была добавлена в таблицу 28 февраля 2022 с указанием Грузии. Твиттер-акканут GnG был создан в феврале и был активен до июня 2022. Он вёлся на грузинском и рассказывал об атаках не только на российские, но и на грузинские сайты. В целом группа тоже явно вдохновлялась Anonymous;
— Squad303 — это группа, активная до сих пор. В таблицу Cyberknow попала 12 марта 2022 сначала как Unknown, но в следующем обновлении помеченная как Польша.
В заявлении ФСБ от апреля 2023 упоминаются GhostClan, GnG, Squad303 с указанием той же страновой принадлежности. Также упомянута группа турецкая группа «Рэдках» — по таком кириллическому имени я не нашёл. Ближайшая по написанию группа — RedCult, она включена в таблицу CyberKnow 11 апреля 2022 как Unknown. Если предположить, что это та же группа, то открытых связей с Турцией у неё нет, но RedCult довольно известна по операциям против ИГИЛ и против Израиля. А её главный персонаж указывает у себя в соцсетях, что живёт в Бейруте.
Кроме того, в заявлении ФСБ упомянуты Anonymous и Silence — последнюю я в табличках Cyberknow не нашёл. Вероятно, имеется в виду одноимённая группа, описанная Group-IB в 2018 году. В отличие от других упомянутых российскими представителями группировок Silence известна не хактивистской деятельностью, а финансово мотивированными атаками на банки. В 2022-2023 году группа снова попала в поле зрения исследователей из-за увеличившегося числа заражений компьютеров связанным с ней вредоносом. Видимо, её упоминание в заявлении было связано с обнаружением заражённых устройств в России.
Неделю назад по обвинению Генпрокуратуры Украины двое бывших сотрудников СБУ были заочно осуждены на 15 лет тюрьмы как участники хакерской группы Gamaredon/Armageddon по статьям о государственной измене (ст. 111) и несанкционированном вмешательстве в работу компьютеров (ст. 361). Утверждается, что в 2014 году они, работая в Управлении СБУ в Крыму, изменили присяге и перешли на работу в ФСБ и с тех пор участвовали в проведении более 5 тысяч кибератак на украинские госорганы и объекты критической инфраструктуры. Согласно The Record, речь может идти об Александре Склянко и Николае Черных, на которых в июне были наложены санкции ЕС.
Читать полностью…
Американская операция и обвинения против Anonymous Sudan
В США были выдвинуты обвинения двум братьям из Судана (Salah Yousif Omer, 22 года, и Alaa Salah Yusuuf Omer, 27 лет) за управление хакерской группировкой Anonymous Sudan, с 2023 года проводившей DDoS-атаки, в том числе на заказ. Ранее, в марте американские правоохранители провели операцию против группировки и, получив судебные ордеры, конфисковали часть использовавшейся ей инфраструктуры: серверы для управления атаками и для передачи команд участвующим в атаках компьютерах, аккаунты GitHub с исходным кодом DDoS-инструментов группировки. Основной инструмент, который группировка и её клиенты использовали для атак, назывался Distributed Cloud Attack Tool (DCAT), также использовались наименования Godzilla, Skynet и InfraShutdown.
«Жертвами атак стали чувствительные правительственные цели и объекты критической инфраструктуры в США и по всему миру, включая Министерство юстиции, Министерство обороны, ФБР, Государственный департамент, медицинский центр Cedars-Sinai в Лос-Анджелесе и правительственные сайты штата Алабама. Жертвами также стали крупные американские технологические платформы, включая Microsoft Corp. и Riot Games Inc. и поставщики сетевых услуг. Атаки привели к перебоям в работе сетей, затронувшим тысячи клиентов.
DDoS-атаки Anonymous Sudan, иногда продолжавшиеся по несколько дней, наносили ущерб веб-сайтам и сетям жертв, часто делая их недоступными или неработоспособными и тем самым нанося значительный ущерб. Например, из-за DDoS-атак Anonymous Sudan было закрыто отделение неотложной помощи в медицинском центре Cedars-Sinai, в результате чего прибывающие пациенты на протяжении примерно 8 часов перенаправлялись в другие медицинские учреждения. Атаки Anonymous Sudan нанесли ущерб американским жертвам более чем на 10 миллионов долларов».
В 2023 году Anonymous Sudan отметилась много где, например, участием в пропалестинских атаках на Израиль и неоднократным нарушением работы ChatGPT.
Среди американских исследований было распространено мнение, что Anonymous Sudan на самом деле связана с Россией. Причиной тому было сотрудничество группировки с пророссийской Killnet с момента своего появления.
Я считал, к Судану группа никакого отношения не имеет, название взяла только для отвода глаз, а политически мотивированными атаками занимается для саморекламы. В феврале этого года Anonymous Sudan уже открыто начала предлагать сервис DDoS-for-hire под брендом InfraShutdown (в марте группировка сообщала о проведении заказной атаки на телеком-оператора Telecom Armenia).
Тем не менее, по мнению американских властей, управляли группировкой всё же суданцы. Как уточняет Washington Post, в марте братья-администраторы были арестованы и до сих пор находятся в руках правоохранительных органов. Но неизвестно, где именно и будут ли они экстрадированы в США.
Наконец, в пресс-релизе Минюста сообщается, что действия против Anonymous Sudan — это часть масштабной операции Operation PowerOFF против сервисов по организации DDoS-атак на заказ. Кроме того, в операции правоохранителям помогли многие частные компании: Akamai SIRT, Amazon Web Services, Cloudflare, Crowdstrike, DigitalOcean, Flashpoint, Google, Microsoft, PayPal, SpyCloud и другие. Согласно Washington Post, найти аккаунты группировки на GitHub смогло неформальное сообщество Big Pipes, выслеживающее сервисы для заказа DDoS-атак.
Национальный центр кибербезопасности Великобритании предлагает британским школам бесплатный сервис Protective DNS (PDNS). Он помогает защититься от кибератак: не пускает пользователей на известные вредоносные сайты, а если компьютер уже оказался заражён, то он препятствует коммуникации с инфраструктурой злоумышленников. Если проводить аналогию, то это не скорая помощь (которая есть в планах у НКЦКИ), а, скорее, вакцинация.
Читать полностью…
США установит лимиты на передачу данных в шесть стран
📋 Министерство юстиции США разработало новые правила регулирования передачи данных в зарубежные страны. Документ вводит строгие ограничения на объемы передаваемой информации в шесть стран, включая Китай, Россию и Иран.
🔒 Новые меры запрещают передачу генетических данных более 100 человек, геоданных более 1000 граждан и финансовой информации более 10 000 человек в год. Особый запрет установлен на передачу любых данных военнослужащих и госслужащих.
⚖️ За нарушение правил предусмотрены штрафы до $368 136 и уголовное наказание до 20 лет тюрьмы. При этом документ не затрагивает работу социальных сетей и не расширяет полномочия по надзору за личными данными американцев.
#защитаданных #кибербезопасность #США #приватность
@SecLabNews
«На не совсем правильном уровне»
НКЦКИ рассказал о неутешительных результатах мониторинга защищенности ресурсов субъектов критической информационной инфраструктуры:
«"В соответствии с установленным порядком, субъекты обязаны направлять в адрес доменные имена и IP-адреса своего внешнего периметра для проведения мониторинга защищённости. На основе предоставленной информации от объектов КИИ мы формируем план мониторинга защищённости по каждому из объектов", — разъяснил порядок работы представитель НКЦКИ. Раевский добавил, что не все организации готовы оперативно делиться такой информацией, поэтому регулятор был вынужден проводить определённую разъяснительную работу, чтобы отладить процесс получения данных от субъектов КИИ.
Первые результаты реализации Приказа №213 показывают, что уровень безопасности находится "на не совсем правильном уровне" в более чем 50% организаций, подпадающих под требования Указа №250, в отношении которых был проведён мониторинг анализа защищённости. В большинстве случаев специалисты НКЦКИ выявили возможность проникновения в информационную систему со стороны внешнего злоумышленника.
"Результат нашего первичного мониторинга пока не такой хороший, как мы бы хотели. В подавляющем большинстве случаев (около 80%) мы реализовали угрозу проникновения внешнего злоумышленника в инфраструктуру", — заявил Андрей Раевский.
По итогам мониторинга регулятор выдаёт рекомендации таким организациям, чтобы они обратили на внимание на проблемы и, что самое главное, устранили выявленные угрозы информационные безопасности. Однако компании часто сталкиваются со сложностями в реализации требований. Это связано с отсутствием в компаниях сотрудников с нужной компетенцией или их невнимательностью».
В июле 2000 года на встрече министров иностранных дел «Группы восьми» в Японии возникло недопонимание. Игорь Иванов, тогда глава МИД России, предложил коллегам выработать принципы информационной безопасности. Немецкий министр Йошка Фишер ответил, что для демократии важна свобода информации, а ставить под вопрос интернет глупо. С ним согласились первый заместитель госсекретаря США Строуб Тэлбот и канадский министр Ллойд Эксуорси. После этого Иванов уточнил, что имел в виду не ограничение свободы информации, а информационную безопасность. Позднее в личной беседе с Тэлботом замминистра Георгий Мамедов решил внести ещё большую ясность и сказал, что министр имел в виду опасения по поводу информационного противоборства в ходе конфликтов и возможности нанесения ударов по информационным системам.
Обнаружено в рассекреченной американской телеграмме.
ГАС «Правосудие», сайты судов и другие сервисы спустя 2 недели всё ещё не вернулась к жизни.
Читать полностью…
На Bloomberg вышла статья о том, что в 2017-2020 годах российские спецслужбы взломали в Грузии чуть ли не всё, что только было можно: ЦИК, МИД и некоторые посольства, Минфин, ЦБ, телеканалы, критическую инфраструктуру. Журналисты ссылаются на некие непубличные документы и технические отчёты, очевидно, западного происхождения. По словам европейского источника, западные партнёры сообщали грузинским коллегам о некоторых кибератаках, не неизвестно, отнеслись ли те к ним серьёзно. Авторы разослали запросы всем упоминаемым организациям, но никто толком не подтвердил атаки либо вообще не ответил. Не ответили на запросы даже ФСБ и ГУ.
Возможно, это только предисловие, и какие-то отчёты ещё увидят свет — если так, то, скорее всего, на этой неделе, потому что статья явно привязана к предстоящим выборам в Грузии. Либо же статья выпущена вместо отчётов.
Штрафы за неустранение уязвимостей
В России могут ввести штрафы для субъектов критической информационной инфраструктуры, которые не занимаются поиском и устранением уязвимостей в своих компьютерных системах. Как сообщают «Известия», нововведение содержится законопроекте «О деятельности по поиску уязвимостей и оценке уровня защищенности объектов информационной инфраструктуры», который был разработан в Совете Федерации и находится на этапе обсуждения с ведомствами (с Минцифры, Минюстом, Генпрокуратурой, Следственным комитетом, МВД, ФСТЭК и ФСБ) и участниками рынка. В текущей версии на должностных лиц предлагается налагать штраф от 20 до 50 тыс. рублей, на юрлиц — от 100 до 500 тыс.
По словам автора законопроекта сенатора Антона Шейкина, в связи с увеличением количества инцидентов, ростом их сложности и скоординированности «появилась необходимость ввести в правовое поле деятельность по поиску уязвимостей и оценке уровня защищенности».
«[О]сновная цель законопроекта — установить права и обязанности участников отношений по поиску уязвимостей и оценке защищенности объектов информационной инфраструктуры, определить основы государственного регулирования указанной деятельности, а так же определить положения по лицензированию данной деятельности Федеральной службой по техническому и экспортному контролю (ФСТЭК)».
Механизм работы представлен следующим образом:
«Компания или организация заключает договор с независимой платформой на исследование своей защищенности. Та, в свою очередь, оплачивает вознаграждение независимым экспертам, которые проводят тестирование. Это те самые «белые» хакеры, которые взламывают систему для проверки уязвимостей с разрешения владельца.
Далее платформа систематизирует выявленные уязвимости и сообщает о них заказчику, а также регулятору ФСТЭК. Он, с одной стороны, будет лицензировать деятельности участников процесса, с другой, получит право накладывать санкции на организации и компании, не уделяющие должного внимания выявлению и устранению уязвимостей».
В своей статье для «Парламентской газеты» Антон Шейкин называл законопроект механизмом легализации «белых хакеров». При этом другой законопроект о «белых хакерах» уже внесён у Госдуму и на прошлой неделе прошёл второе чтение.
Эпизод из российско-китайских отношений по вопросам информационной безопасности. В апреле 2016 года в Москве прошёл первый Российско-китайский форум по вопросам развития и безопасности ИКТ. В форуме участвовал представитель китайской компании Antiy и выступил с докладом о государственных хакерских группах: «Шрамы панды — атаки APT против Китая». Название, вероятно, передавало привет американцам, поскольку с подачи CrowdStrike в США связанные с Китаем группы начали называть пандами.
Так вот, в своих материалах Antiy неоднократно подчёркивала, что это первый технический доклад о деятельности APT-группировок в Китае, который был представлен на международной конференции. В Китае отчёты про государственные хакерские группы начали публиковаться менее чем за год до этого: в конце мая 2015 Qihoo 360 выпустила отчёт про OceanLotus, которую позже свяжут с Вьетнамом. Вслед за Qihoo 360 последовали и другие китайские инфобез-фирмы.
К сожалению, в сборнике материалов форума эту презентацию не найти (но есть слайды представителя Qihoo 360), а от английской версии остался только титульный слайд. Но интересующиеся могут ознакомиться с версией презентации на китайском.
В ней представлены атаки трёх группировок: Equation Group, HangOver, OceanLotus. Для Equation Group в Antiy даже придумали новый термин — A²PT, продвинутая в квадрате, чтобы выделить её на фоне двух других.
Продолжаются поиски группировки под названием «Рэдках» из Турции, упомянутой в заявлении ФСБ от апреля 2023. С таким названием я никого не нашёл, но по табличкам Cyberknow самый близкий (но тоже не очень) вариант — это RedCult.
Подписчик подсказал ещё один возможный вариант — группу RedHack. Название опять не то, но близко. Но она действительно из Турции. Это старое объединение, появившееся ещё в конце 1990-х. Своим названием (и использованием серпа и молота в символике) группа намекает на свои левые взгляды. В первой половине 2010-х отметилась многими громкими акциями в Турции и в основном действовала против властей страны. Правда, после 2016 года она себя особо не проявляла и, возможно, уже вышла из игры. В атаках на российские организации не замечена.
Журналисты Reuters узнали новые детали операции с подрывом тысяч пейджеров.
Первая часть расследования посвящена тому, как в пейджер были спрятаны взрывчатка и детонатор. На основе фотографий и рассказа источника, журналисты заключили, что пластина из взрывчатого вещества PETN (пентаэритриттетранитрат) была помещена между двумя аккумуляторами. Оставшееся пространство между ними занимало некое легковоспламеняющееся вещество, которое служило детонатором и не было заметно на рентгене. Предположительно внутри этого трёхслойного блока возникала искра, поджигавшая детонатор, после чего происходил взрыв. Но как именно это происходило, журналисты не узнали. Батарейка упаковывалась в пластиковый рукав и затем в металлическую оболочку. Reuters выяснил, что Хезболла тщательно проверяла пейджеры, но не обнаружили взрывчатку. Хотя некоторые моменты могли их насторожить. Так, собеседники Reuters обратили внимание, нормальная батарейка такого же веса по идее должна бы была иметь значительно больший запас энергии, чем трёхслойная со взрывчаткой. Якобы в Хезболле даже заметили, что пейджер разряжается слишком быстро, но не отнеслась к этому серьёзно.
Вторая часть расследования посвящена созданию легенды для пейжера и батарейки — достаточно убедительной для Хезболлы. Чтобы использовать узнаваемый бренд тайваньской компании Gold Apollo, некто «Том» нанял бывшую сотрудницу этой фирмы. Через неё познакомился с руководителем и получил от него лицензию на производство собственного продукта под маркой Gold Apollo. Главу Gold Apollo не впечатлила разработанная «Томом» модель AR-924, но он всё равно разместил её фотографии на своём сайте. У фирмы «Тома» был свой сайт, где рекламировался пейджер и батарея (в статье есть даже рекламное видео). Но также для операции были созданы два поддельных сайта магазинов батареек, а на специализированных батареечных форумах имитировалось обсуждение высокого качества батареек. В общем, «Том» и его коллеги приложили немало усилий, чтобы создать подобие реального продукта — такого, в надёжности которого члены Хезболлы могли бы убедиться, погуглив по ключевым словам.
Согласно статье, от взрывов пейджеров и раций погибли 39 человек, 3,4 тысячи получили ранения.
«Аспро» даже выпустила новость о том, как защитить сайт от взлома.
Читать полностью…
Китайская ассоциация безопасности киберпространства предложила властям ввести проверки продуктов Intel, продающихся на рынке Китая. Основания для этого как технические (часто встречающиеся уязвимости), так и политические (Intel включился в антикитайскую кампанию в США). Среди технических претензий один пункт касается Intel Management Engine — встроенного почти во все чипы микроконтроллера, которые EFF сравнивала с бэкдором. В частности, упоминается исследование Марка Ермолова и Максима Горячего (Positive Technologies), которые в 2017 году обнаружили недокументированный способ отключения Intel ME, предусмотренный Intel для американских властей, скорее всего, конкретно для АНБ.
Читать полностью…
Сервис SpeedTest хотят запретить
В Госдуме и ФСБ поддержали предложение о том, чтобы исключить использование российскими операторами измерителя скорости интернета SpeedTest американской компании Ookla.
- вместо этого будет обязательное использование операторами российских программных продуктов для измерения скорости передачи данных в сетях вместо зарубежного аналога.
- https://iz.ru/1775426/valerii-kodacigov/skorost-otstupa-v-rf-hotat-zapretit-ispolzovanie-servisa-speedtest
Из-за сбоя в работе ГАС «Правосудие» участники споров рискуют пропустить сроки на подачу документов. Чтобы этого избежать, юристы рекомендуют:
🔹 направить их в суд через «Почту России»;
🔹 отправить по адресу электронной почты суда;
🔹 сдать в канцелярию суда под отметку о получении.
Еще эксперты советуют провести нотариальный осмотр сайта суда или сделать скриншот. Потом это поможет восстановить пропущенные сроки.
Атаки через чатботы в Telegram
На прошлой неделе группировка DumpForums разослала оповещение о взломе Dr. Web через официальный телеграм-бот @DrWebBot. Неприятно, но можно сказать, что компании повезло: злоумышленники могли использовать доступ к каналу не только для информационной акции, но и для распространения какого-нибудь вредоносного ПО, например, под видом обновления. Какая часть из почти 30 тысяч подписчиков могла бы клюнуть на это?
Похожая атака на днях была проведена через бот поддержки приложения «Резерв+», созданного Министерством обороны Украины для призывников и резервистов. Подписчики чатбота получили сообщение (см. скриншот) о необходимости установки специального программного обеспечения и приложенный файл RESERVPLUS[.]zip. Согласно Госспецсвязи Украины, архив содержал исполняемый файл, загружавший на устройство жертвы стилер MEDUZASTEALER. Из сообщения Госспецвязи следует, что чатбот был изначально создан замаскированным под техподдержку «Резерв+», но также добавляется, что в мае 2024 этот аккаунт был указан в числе контактов приложения. То есть злоумышленники могли либо взломать чатбот, либо занять освободившийся по какой-то причине аккаунт.
Ещё одно уязвимое место чатботов в Telegram — это использование сторонних сервисов. Так, в июле украинские (и некоторые российские) каналы массово начали публиковать одинаковые посты с критикой Владимира Зеленского и призывом к украинцам сложить оружие. Причиной был взлом FleepBot — бота для постинга, который администраторы подключают к своим каналам. Атакующие использовали доступ для информационной операции, хотя легко могли организовать массовую рассылку вредоноса. Можно сказать, что это была компрометация через подрядчика, хотя чатботы вряд ли рассматриваются как полноценный подрядчик.
Очевидно, многие организации не относятся к защите своих телеграм-каналов и чатботов так же серьёзно, как, допустим, к корпоративной почте и другим ресурсам. А значит этот вектор будет привлекателен для злоумышленников, и, как показывают примеры, доступ может использоваться для разных целей.
Обвинение запросило сроки от 5 до 6,5 лет для 4 предполагаемых участников REvil. Против ещё 4 обвиняемых возбудили новое дело по статье 272 УК.
«Даниилу Пузыревскому запросили 6,5 лет заключения и штраф в 200 тыс. рублей, Руслану Хансвярову — 6 лет и штраф в 750 тыс. рублей, Алексею Малоземову и Артему Заецу — по 5 лет и 700 тыс. рублей».