5051
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования. Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
💻 Роскомнадзор рекомендовал компаниям из России перестать пользоваться CDN-сервисом (ускоряет загрузку контента) и другими услугами от американской Cloudflare. В сообщении подведомственного РКН центра поясняется, что Cloudflare — одна из крупных технологических компаний, которых власти США в сентябре просили предоставить улучшенные условия доступа к инструментам обхода цензуры в интернете, которые продвигает Фонд открытых технологий (OTF, получал финансовую поддержку от Госдепартамента США). В частности, этот фонд продвигает несколько VPN-сервисов, чья месячная аудитория составляет около 46 млн человек. А в октябре Cloudflare включила применение по умолчанию на своих серверах технологии, которая позволяет обходить ограничения доступа к запрещенным в России ресурсам.
По оценке опрошенных РБК экспертов, сервисы Cloudflare довольно популярны в России. Теперь их пользователям придется искать альтернативы, иначе их сайты могут оказаться недоступны в России. Но переход на российские аналоги потребует времени и дополнительных расходов.
🐚 Следить за новостями РБК в Telegram
Совбез готовит обновлённую Доктрину информационной безопасности
В 2025 году в России может появиться обновлённая с учётом новых вызовов и угроз Доктрина информационной безопасности, действующая редакция которой принята в 2016 году. Об этом на пленарной сессии SOC Forum заявил вчера референт Совета безопасности России Алексей Петров.
Основным источником угроз, по оценке представителя Совбеза, являются спецслужбы западных стран, организовавшие против России информационную кампанию с привлечением международного хакерского сообщества:
«С началом специальной военной операции в отношении России была развёрнута беспрецедентная информационная кампания, направленная на […] нанесение экономического ущерба различным отраслям экономики, провоцирование социальной напряжённости, нарушение государственного и военного управления. Такую информационную кампанию развернули спецслужбы западных стран с привлечением международного хакерского сообщества. И если вначале мы видели, что это большое количество просто разрозненных хактивистов, то за последнее время их скоординированность и техническая изощрённость их действий возросли. Уже наглядно стала проглядываться рука западных спецслужб, действие их методичек. Противник научился проводить многофакторные информационные операции, и теперь практически каждый объект российской информационной инфраструктуры является объектом для компьютерных атак. Подход к защите информации, основанный на том, что мой объект не является целью для нарушителей подобного рода, не работает и приводит к совершенно очевидным последствиям. Это же касается и занижения категории […] объекта, выборочного выполнения мер информационной безопасности. […]
В текущих условиях каждый объект может стать целью компьютерной атаки. Прежде всего, это обусловлено тем, что комплексное воздействие на нашу информационную инфраструктуру направлено не только на нанесение ущерба защищаемому объекту и той информации, которая там циркулирует, но и также для провоцирования последствий социальных, экономических, информационных. То есть цели нарушителя находятся далеко за пределами защищаемого объекта».
Алексей Петров выделил основные направления совершенствования системы обеспечения информационной безопасности страны:
«Прежде всего, нам необходимо ввести единый правовой режим для защиты не только государственных информационных систем, систем, обрабатывающих персональные данные, объектов критической информационной инфраструктуры, а для всех систем, от безопасности и устойчивости функционирования которых зависят граждане, общество и государство.
Необходимо совершенствовать механизмы контроля выполнения требований по информационной безопасности, создать действенные механизмы оперативного контроля защищённости и, естественно, принятия мер по устранению выявленных недостатков, в том числе с привлечением уполномоченных государственных органов.
Надо повысить эффективность, прежде всего, предупреждения информационных угроз, включая раннее выявление этих угроз и организацию оперативного и скоординированного противодействия им.
Крайне важно улучшить взаимодействия всех заинтересованных сторон».
Для реализации этих и других мер потребуется внести изменения в документы стратегического планирования, в том числе в ключевой документ — Доктрину информационной безопасности. Совет безопасности уже занимается её обновлением и планирует завершить работу в следующем году.
Международные планы CISA
Агентство кибербезопасности и безопасности инфраструктуры США (CISA) опубликовало план международной деятельности на 2025-2026 годы.
«В данном Международном стратегическом плане CISA на 2025-2026 годы признается, что риски, с которыми мы сталкиваемся, являются комплексными и географически рассредоточенными, и что мы не можем достичь наших целей в вакууме. Нам необходимо повышать видимость общих международных системных рисков. Степень зрелости и практики обеспечения безопасности глобальных владельцев и операторов кибер- и физической инфраструктуры, технологий, цепочек поставок и систем существенно различаются. Обмен своевременной, актуальной и точной информацией об угрозах и рекомендациями по снижению рисков с международными партнёрами служит основой для более безопасной киберфизической среды для всех нас».
В плане выделены три цели:
— повысить устойчивость зарубежной инфраструктуры, от которой зависят США;
— усилить интегрированную кибероборону;
— упорядочить координацию международной деятельности CISA.
В рамках первой цели CISA планирует вместе с Госдепартаментом и другими ведомствами определить, от каких зарубежных систем зависит критическая инфраструктура США, каким угрозам они могут быть подвержены (в числе угроз не только кибератаки, но и взрывные устройства, угрозы взаимозависимости в рамках цепочки поставок, вредоносные иностранные инвестиции, изменение климата) и как повысить устойчивость этих систем. CISA будет укреплять международные партнёрства, в т.ч. для обмена информацией об инцидентах и угрозах. Также CISA считает необходимым участвовать в формировании глобальных стандартов, правил и лучших практик в области защиты различных секторов критической инфраструктуры.
Для усиления интегрированной киберобороны CISA будет развивать международное сотрудничество по линии команд реагирования на компьютерные инциденты (CSIRT). Оно будет убеждать партнёров принимать стандарты, нормы и лучшие практики, которые поддерживают внутриамериканские интересы в сфере кибербезопасности. Прежде всего CISA будет поощрять принятие практик Secure by Design (один из приоритетов агентство в последние годы), продвигать подходы к безопасности систем ИИ, ПО с открытым кодом, раскрытию уязвимостей. Ещё одна подцель — это повышение потенциала ключевых партнёров в области обеспечения кибер- и физической устойчивости через программы обучения, проведение учений, обмен информацией.
Третья цель чисто внутриведомственная. CISA займётся институционализацией процессов управления своим международным сотрудничеством, улучшением координации различных активностей и подготовкой персонала для зарубежных миссий.
Впервые к систематизации международной деятельности CISA подошла в 2021 году с принятием глобальной стратегии. В 2022 году агентство анонсировало открытие офиса атташе при посольстве США в Лондоне.
😲 Да кто такие эти ваши PhaseShifters?
В начале июня 2024 года специалисты департамента Threat Intelligence выявили новую цепочку атаки PhaseShifters.
✍️ PhaseShifters (Sticky Werewolf, UAC-0050 ❓) — хакерская группировка, занимающаяся шпионажем, атаки которой направлены на различные отрасли стран Восточной Европы, в том числе на государственные учреждения, сферу экономики и промышленности.
В своих атаках группировка использует фишинг: злоумышленники отправляют письма якобы от официальных лиц с просьбой ознакомиться с документом и подписать его. Документ находится во вложении внутри защищенного паролем архива. В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer и другие.
🔍 Мы наблюдаем высокую активность группировки с весны 2023 года и уже тогда заметили одну странную деталь. Дело в том, что атаки группировки PhaseShifters по техникам идентичны атакам другой группировки — UAC-0050. Более того, атаки проходят с небольшим временным промежутком, то есть группировки одинаково атакуют с разницей в несколько недель — месяц.
На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка, но убедиться в этом можно будет только после более длительного наблюдения.
⚠️ И это случилось снова....
Летом этого года обе группировки начали использовать идентичные паттерны в своих атаках. Дошло даже до того, что ВПО группировок располагалось в одном и том же репозитории BitBucket. Это заставило нас углубиться в эту тему.
📰 Какая атака обнаружена, какие сходства мы увидели, кого атаковали, а также при чем здесь TA558 и бразильские обфускаторы и криптеры — все это вы можете узнать в нашей статье.
#TI #Hunt #Malware #APT
@ptescalator
В движении «Юнармия» подтвердили РБК, что сегодня их сайт был взломан. Там отметили, что это не первый такой инцидент. «Осторожно, новости» ранее сообщали, что при заходе на сайт движения появлась картинка с оскорблением президента и самой организации, позже страница начала выдавать ошибку 502. В настоящее время сайт «Юнармии» уже открывается.
«Атаки ведутся не только на сайт, но и через СМИ иностранных государств, в том числе через украинские ресурсы, направленные на распространение лжи о движении «Юнармия», его деятельности и ценностях», – сказал РБК первый заместитель начальника главного штаба «Юнармии» Виктор Кауров.
🐚 Читать РБК в Telegram
В 2019 году ЦРУ с помощью кибероперации нарушило работу системы выплаты зарплаты венесуэльским военным. Об этом рассказано в материале Wired о попытках администрации Дональда Трампа свергнуть Николаса Мадуро и сменить власть в Венесуэле. Помимо публичного давления, санкций, поддержки Хуана Гуайдо администрация Трампа действовала и через тайные операции ЦРУ.
Взлом системы выплаты зарплат военнослужащим стал одним из элементов плана и был нацелен на углубление раскола между политическим руководством и профессинальными военными. Со слов источников Wired непонятно, как именно был осуществлён взлом — полностью удалённо или с привлечением агентов на земле. Но якобы эта операция отчасти произвела желаемый эффект и усилила недовольсто военнослужащих.
В статье также описываются бюрократические сложности борьбы США с Мадуро: для ведения электронной разведки за Венесуэлой внутри ЦРУ потребовалось найти нужных специалистов и снять их с приоритетных направлений, что оказалось непросто. АНБ, как утверждается, вообще отказалось отвлекать ресурсы от более важных задач.
Также ЦРУ тайно распространяло в интернете контент в поддержку демократии, таргетированный на Венесуэлу, но эту операцию собеседники Wired считают неэффективной. Помимо цифровых методов в статье описаны другие планировавшиеся или осуществлённые акции, которые были направлены на ослабление Мадуро. Но в конечном счёте переворот не состоялся.
Несмотря на участие ЦРУ в этих попытках из статьи следует, что спецслужба, как и другие ведомства, включилсь в кампанию по свержению Мадуро неохотно. Инициаторами политики в отношении Венесуэлы были ястребы из окружения Трампа, прежде всего советник по национальной безопасности Джон Болтон. Болтон, единственный, кто поговорил с Wired неанонимно, критикует ЦРУ за забюрократизированность и недостаточную подготовленность к ведению тайных операций в интересах США. Другие бывшие чиновники тоже считают, что более активное вмешательство ЦРУ в период с января по апрель 2019 года могло бы повлиять на судьбу Мадуро.
Чего в статье нет, так это упоминания аварий в электроэнергетике Венесуэлы, которые начались в марте 2019. Мадуро утверждал, что блэкауты произошли из-за американской кибератаки. Но надёжных подтверждений этому, как и просто связи аварий с инцидентами в информационных системах, так и не появилось.
Передвижения Путина, Байдена, Трампа и их окружения можно отследить через популярное фитнес-приложение Strava — Le Monde
Сервис разработан для бегунов и велосипедистов и записывает маршруты тренировок и их передвижений, которые пользователи могут публиковать и делиться с другими. Le Monde утверждает, что телохранители Джо Байдена, Дональда Трампа, Камалы Харрис, Эмманюэля Макрона и Владимира Путина регулярно используют приложение.
Расследование издания показало, что через Strava можно было определить местоположение 26 агентов Секретной службы США, 12 членов французской группы безопасности президента и 6 сотрудников Федеральной службы охраны России, все они занимались охраной глав государств.
Данные указывали на их передвижения, включая рабочие поездки, что при желании могло бы использоваться для их отслеживания или составления предсказуемых маршрутов. Le Monde не раскрыла имена агентов, но отметила, что использование приложения потенциально может ставить под угрозу как охранников, так и защищаемых лиц
⭕ Подпишись на RTVI
Группа Ukrainian Cyber Alliance заявила об уничтожении инфраструктуры администрации Твери. Сайт tver.ru действительно не работает. Официальных и неофициальных комментариев от властей Твери пока не было.
Читать полностью…
Ещё одно уголовное дело за участие в киберконфликте
РИА Новости передаёт сообщение УФСБ по Москве и Московской области о задержании жителя Москвы за участие в DDoS-атаках на IP-адреса одного из интернет-провайдеров Московского региона с помощью разработанного украинскими хакерами ПО. Атаки проводились в сентябре во время выборов в Москве и Подмосковье.
«"УФСБ России по городу Москве и Московской области пресечена противоправная деятельность жителя города Москвы, причастного к осуществлению DDoS-атак на объекты критической информационной инфраструктуры Российской Федерации в период проведения выборов депутатов Мосгордумы и муниципальных органов столицы и Московской области", - говорится в сообщении.
Отмечается, что в результате проведения оперативно-разыскных мероприятий стало известно, что гражданин России 1963 года рождения установил на принадлежащий ему персональный компьютер разработанное украинскими хакерами программное обеспечение, предназначенное для осуществления DDoS-атак на интернет-ресурсы в целях блокирования их деятельности.
"В сентябре 2024 года с использованием указанного ПО данным гражданином осуществлена DDoS-атака на IP-адреса одного из интернет-провайдеров Московского региона, которая привела к блокированию информационных ресурсов данной организации, лишив возможности оказания услуг клиентам по обеспечению доступа в сеть интернет и участия избирателей в дистанционном электронном голосовании", - добавляется в сообщении».
Несмотря на упоминание в пресс-релизе объектов критической инфраструктуры, в отношении задержанного возбуждено дело по ч. 2 ст. 273 УК (cоздание, использование и распространение вредоносных компьютерных программ; совершённое группой лиц по предварительному сговору), а не по ст. 274.1 УК (неправомерное воздействие на КИИ).
Это уже не первое уголовное дело, связанное с киберконфликтом. В Ростовской области в 2023 году в рамках трёх отдельных дел трое человек были приговорены к 2-3 годам колонии-поселения и штрафам за участие в DDoS-атаках — все по ст. 274.1 УК.
Год назад в Томске был задержан студент, которому вменялось содействие хакерским группам, курируемым украинскими силовыми подразделениями (по версии следствия — Cyber Anarchy Squad), против него заведено дело по ст. 275 УК (государственная измена). Тогда же сообщалось о задержании мужчины в Белово, Кемеровская область, которому вменялось вступление в украинское киберподразделение и участие в компьютерных атаках на российские информационные ресурсы, в т.ч. КИИ. В отношении него также было возбуждено дело о госизмене.
В Москве с февраля этого года идёт дело в отношении Артёма Хорошилова, которому первоначально вменялось участие в DDoS-атаках по ст. 274.1 УК. Но позднее против него было возбуждено дело о госизмене, ст. 275 УК.
Французская внешняя разведка (DGSE) в 2025 году увеличивает бюджет — по подсчётам французских журналистов, в следующем году он впервые в истории превысит 1 миллиард евро. Ресурсы, выделяемые DGSE, непрерывно росли с 2008 года, а за время президентства Эммануэля Макрона увеличились на треть. Средства пойдут, в частности, на продолжение развития кибервозможностей и потенциала в сфере ИИ.
Об особенностях французских киберопераций можно почитать здесь.
Для ценителей — репортаж с заседания, где были оглашены переговоры 4 фигурантам дела REvil.
Кратко: обвинение приговорами довольно («С учетом непризнания вины и отсутствием раскаяния в совершенном преступлении сторона обвинения считает запрошенное наказание справедливым, и оно будет способствовать исправлению подсудимых»), защита — нет и будет обжаловать их.
Как уже сообщалось, деятельность фигурантов по профилю группировки REvil, то есть атаки с помощью ransomware и вымогательство, доказана не была и в обвинительном приговоре не упоминается:
«В материалах дела говорится, что в 2015 году Даниил Пузыревский покупал в даркнете с целью последующего занятия кардингом информацию о банковских картах, выпущенных в США, и, как утверждается в обвинительном заключении, проводил по ним операции, связанные с воровством денег (кардингом) у их владельцев. В дальнейшем, по версии следствия, он вовлек в эту схему Алексея Малоземова и Руслана Хансвярова. Впоследствии группировка, как считают в правоохранительных органах, пополнилась другими участниками.
На счету REvil атаки на такие западные компании, как Quanta Computer (один из ключевых партнеров Apple), JBS Foods (в июне 2021 года глава крупнейшего в мире производителя говядины признал, что предприятие заплатило вымогателям $11 млн), ИТ-гигант Acer и поставщик MSP-решений Kaseya. Однако, как подчеркивают адвокаты фигурантов, в окончательном обвинительном заключении эпизодов по всем этим фирмам не было, а их подзащитным вменили в итоге лишь воровство средств с банковских карт неких американцев».
Кстати, в этом контексте интересно заново взглянуть на заявление ФСБ в январе 2022 года об операции против REvil. С одной стороны, в нём сказано, что основанием для розыскных мероприятий послужило обращение со стороны США «о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы зарубежных высокотехнологичных компаний путем внедрения вредоносного программного обеспечения, шифрования информации и вымогательства денежных средств за ее дешифрование». Также преступное сообщество в пресс-релизе названо REvil.
С другой стороны, в том же пресс-релизе деятельность задержанных описана, скорее, как кардинг, нежели как кибервымогательство: «С целью реализации преступного замысла указанные лица разработали вредоносное программное обеспечение, организовали хищение денежных средств с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в сети Интернет». По сути, в этом русле в итоге и были вынесены приговоры.
Возможно, иначе будут выглядеть обвинительные заключения по делам ещё 4 фигурантов дела REvil, против которых было возбуждено дело по компьютерной статье 272 УК РФ (неправомерный доступ к компьютерной информации).
Согласно Джеймсу Боттомли, одному из директоров Linux Foundation, основанием для удаления разработчиков из числа мэйнтейнеров служит нахождение их компаний в американских санкционных списках SDN OFAC.
Читать полностью…
Сингапурский компромисс в ООН
Интересные события происходят на полях переговоров в ООН по информационной безопасности. Россия — впервые с 1998 года! — не внесла в Первый комитет Генассамблеи проект резолюции на эту тему. Собственно, переговоры и начались с первой российской резолюции «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности». И на протяжении 25 лет Россия каждый год вносила по этому пункту повестки дня Генассамблеи проекты резолюций, которые всегда принимались, иногда консенсусом, иногда вопреки сопротивлению США и союзников, а один раз, в 2021, даже совместно с США. Почему же в этот раз отдельного проекта нет?
Дело в том, что единственный проект резолюции по информационной безопасности в этом году внёс Сингапур как председатель Рабочей группы открытого состава (РГОС) с тем условием, что другие страны не вносят свои проекты по этому пункту повестки дня.
Такой мораторий введён в связи с тем, что в РГОС наметился раскол по поводу будущего формата переговоров. Западная коалиция выступает за создание после завершения РГОС в следующем году нового постоянного формата — Программы действий по поощрению ответственного поведения государств в киберпространстве. Россия, несколько лет критиковавшая идею Программы действий, в прошлом году предложила после завершения работы нынешней РГОС созвать ещё одну рабочую группу открытого состава, но на этот раз бессрочную. Про различие этих подходов я уже писал чуть подробнее, но в процедурном плане расхождение проявилось в том, что в 2022 и 2023 годах в Генассамблее принимали одновременно две резолюции, российскую и западную, по информационной безопасности. Это могло привести к запуску двух параллельных и во многом дублирующих друг друга переговорных форматов, как уже было в 2019-2021 годах. Большинству стран это не нужно, не у всех есть ресурсы и на полноценное участие в одном.
Постпред Сингапура при ООН и председатель РГОС Бурхан Гафур пытается (и пока вполне успешно) привести участников РГОС к компромиссному решению. На последней сессии РГОС летом он предложил вместо новую нейтральную формулировку для обозначения будущего формата переговоров: Открытый прикладной постоянный механизма по безопасности ИКТ в контексте международной безопасности (Open-Ended Action-Oriented Permanent Mechanism on ICT Security in the context of international security). Участники РГОС согласились с этим вариантом и в качестве приложения к ежегодному докладу РГОС утвердили его основные параметры.
Именно этот формат (точнее, не формат, а его контуры) зафиксирован в сингапурской резолюции (см. пункт a) параграфа 2). Разумеется, этот компромиссный вариант работает только при условии, что государства не выдвигают одновременно свои собственные предложения. Поэтому даже Россия на этот раз беспрецедентным образом решила не вносить свой проект.
Сработает ли сингапурский компромисс, мы увидим в течение года, когда будет завершаться работа действующей РГОС. За разными названиями форматов кроются более глубокие разногласия по поводу мандата будущих переговоров, и, естественно, сторонники разных подходов продолжают борьбу именно за своё видение.
Узнавать об ошибках быстрее западных партнёров
Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) с помощью «Сканера безопасности» обнаружил в Рунете 26 тысяч критических уязвимостей.
«"Что касается "Сканера безопасности", то он сейчас проходит тестовую обкатку. Его идея заключается в том, что мы хотим вычистить российский сегмент интернета от заражённых, вредоносных устройств и ПО. И быстрее, по крайне мере, наших, как говорится, западных партнёров узнавать об ошибках, в том числе администрирования, о базах данных, которые неожиданно "торчат" в интернет, об уязвимых портах и ресурсах", - сказал [директор ЦМУ ССОП Сергей] Хуторцев в четверг на форуме "Спектр 2024".
Согласно данным его презентации, в 2024 году более 300 организаций были оповещены о возможных уязвимостях. Всего "Сканер безопасности" выявил более 26 тыс. критических уязвимостей.
По словам Хуторцева, "система сейчас выстроена так, что она сканирует весь российский сегмент интернета, выявляет угрозы". "Мы в автоматическом режиме формируем рекомендации по их устранению и рассылаем на почтовые адреса, на контактные данные владельцам информационных систем, операторам связи и хостинг-провайдерам", - сказал он».
Отдельно он отметил, что ЦМУ ССОП может использовать технические средства противодействия угрозам (ТСПУ) для временной или постоянной блокировки уязвимостей, если владелец ресурса (сайта, например) не реагирует на предупреждения.
Как это работает, можно было наблюдать в середине 2023 года. В конце мая IT-армия Украины устроила массовый дефейс сайтов на движке «Битрикс». НКЦКИ запросил у ЦМУ ССОП заблокировать несколько тысяч взломанных сайтов. Они были заблокированы с помощью ТСПУ. Для разблокировки владельцам сайтов нужно было исправить уязвимость и сообщить об этом НКЦКИ. К решению этой проблемы также были подключены хостинги и операторы связи, которым ведомства прислали рекомендации, как починить сайты.
Украина может выделить киберсилы в отдельный род войск. Предложенный Генштабом ВСУ проект обсуждается с депутатами Верховной рады.
«В составе вооруженных сил Украины могут создать новый род войск — киберсилы.Об этом сообщил Генштаб ВСУ, передает «Украинская правда».
Проект концепции нового рода войск военные уже обсудили с народными депутатами Украины — представителями комитета Верховной рады по вопросам безопасности, обороны и разведки, и экспертами на встрече под председательством начальника украинского Генштаба генерал-лейтенанта Анатолия Баргилевича.
Проект рассматривается с учетом опыта создания и работы кибервойск в ведущих государствах мира, отмечается в заявлении Генштаба. Стороны проанализировали опыт ВСУ в этой сфере и определили основные задачи и функции киберсил в перспективе.
«Создание киберсил, как отдельного рода сил, позволит значительно усилить способности украинского войска, обеспечит эффективное планирование и реализацию полного спектра задач в киберпространстве, которое наравне с сушей, морем, воздухом и космосом признано отдельным операционным доменом», — полагают в ведомстве».
На текущий момент самая известная украинская структура, занимающаяся противоборством в киберпространстве, — это Главное управление разведки Минобороны (ГУР), во многом благодаря его собственным публичным заявлениям на протяжении последнего года.
Спустя месяц после кибератаки на ГАС «Правосудие» и отключения сайтов всех судов на платформе sudrf.ru Судебный департамент при Верховном суде сообщил о возвращении доступа к сайтам судов.
«Ведомости» комментируют это так: «Ряд сайтов не заполнены некоторыми функциями и информацией – отсутствуют данные в разделах, нет информации о движении дел, контактов судов, банков решений». Действительно, как я уже писал про сайт Центрального районного суда Челябинска, на многих сайтах по-прежнему ничего не работает. Но некоторые уже вполне функциональны. Например, на сайте Вологодского районного суда всё ещё остаются пустыми некоторые разделы, но доступен раздел «Судебное делопроизводство», работает поиск по делам.
Кстати, вот заявление главы CISA Джен Истерли по поводу безопасности прошедших выборов. Если кратко, то электоральная инфраструктура защищена лучше, чем когда либо, и у CISA нет свидетельств, что какая-либо вредоносная деятельность оказала существенное воздействие на безопасность или целостность на эту инфраструктуру.
Читать полностью…
Около 70% сложных кибератак в 2024 года были организованы проукраинскими группировками, согласно оценке «Солар». Также выделены группировки из Азии.
«Цели злоумышленников максимально деструктивны — собрав необходимые данные, восточно-европейские киберпреступники стремятся максимально разрушить скомпрометированную инфраструктуру. Группировки из других регионов (преимущественно из Азии), напротив, стремятся максимально долго и незаметно находиться в инфраструктуре, собирая необходимую информацию.
Наиболее известными и активными восточно-европейскими проукраинскими группировками стали Shedding Zmiy (37% расследований) и Lifting Zmiy (18%)».
При этом выросла доля атак, связанных со шпионажем, а доля хактивистских или хулиганских атак снизилась.
«Половина (54%) расследованных Solar 4RAYS в отчетном периоде атак была связана со шпионажем. Годом ранее подобных атак было меньше — 37%. Еще 20% инцидентов с начала 2024 года связаны с финансовыми мотивами (вымогательство и майнинг криптовалют), 11% — с уничтожением данных.
Примечательно также, что в 2023 году причиной 46% кибератак стало хулиганство и хактивизм (то есть либо действия без определенной мотивации, либо политически мотивированные атаки), причем подавляющее большинство здесь — именно хулиганские атаки. В 2024 году эта категория сократилась до 11%».
Сайты судов на платформе sudrf.ru с горем пополам возобновляют работу спустя месяц после кибератаки, но пока только по форме, а не по содержанию. На сайте Центрального районного суда Челябинска (но можно посмотреть и любой другой) пусто в разделах «Пресс-служба», «Документы суда», «Противодействие коррупции» и почти во всех остальных. Из раздела «Судебное производство» можно узнать лишь, что «не определен ни один сервер, на котором расположен модуль сопряжения с БД "Судебное делопроизводство"». Исправно работают только калькулятор госпошлины, а также раздел «Суды субъекта РФ».
Читать полностью…
Хакеры атаковали компанию TetraSoft, которая обеспечивает удаленный мониторинг добычи углеводородного сырья. Расследованием инцидента, ущерб от которого приближается к 100 млн рублей, занимается экспертный центр безопасности Positive Technologies. По словам партнеров, по уровню проработанности и таргетированности эту атаку можно считать первой за последние несколько лет, направленной на максимальный отраслевой урон отечественному нефтегазодобывающему сектору
Читать полностью…
С 31 октября система оплаты парковок в режиме онлайн возобновляет работу❗️
Специалисты устранили технические неисправности системы, в настоящее время возможность оплатить парковку онлайн доступна.
Дополнительно сообщаем, что оплата 29 и 30 октября не взималась в связи с проведением технических работ.
Администрация Твери подтвердила сбой в системе оплаты парковок. В период проведения работ по восстановлению парковка в городе фактически будет оставаться бесплатной. Также технические работы ведутся на сайте самой администрации.
Читать полностью…
Киберпреступники представляют большую угрозу американским выборам, чем прогосударственные хакеры — об этом со ссылкой на непубличный отчёт Министерства внутренней безопасности пишет WIRED. В приведённых фрагментах напрямую это не сказано, но, по оценкам ведомства, именно атаки преступников, такие как DDoS-атаки или использование шифровальщиков нарушали деятельность, связанную с выборами, в то время как активность группировок, связанных с иностранными государствами, в основном сводилась к сбору информации.
«"После промежуточных выборов 2022 года киберпреступники, руководствующиеся финансовыми и идеологическими соображениями, атаковали сети государственных и местных органов власти США, которые управляют или поддерживают избирательные процессы", - говорится в предупреждении. В некоторых случаях успешные атаки с использованием ransomware и DDoS-атаки на такую инфраструктуру приводили к задержке связанных с выборами операций в пострадавшем штате или населенном пункте, но не нарушали целостность процессов голосования. [...] Связанные с национальными государствами киберпреступники не пытались нарушить инфраструктуру выборов в США, хотя иногда проводили разведку и получали доступ к инфраструктуре, не связанной с голосованием"».
В качестве примера вреда от действий киберпреступников приводится случай в одном из округов в марте, когда из-за атаки шифровальщиков местные власти были вынуждены приобретать новое сетевое оборудование и заново подключаться к системе уровня штата. Если бы такой инцидент произошёл во время дня голосования, то он мог бы нарушить проведение выборов.
Если почитать различные доктринальные документы по кибербезопасности, выпущенные в США и Европе, то можно увидеть, что основными источниками угроз кибербезопасности называются 4 страны - Китай 🇨🇳, Россия 🇷🇺, Северная Корея 🇰🇵 и Иран 🇮🇷 Про группировки, которые якобы происходят из этих государств пишут многие, но вот мне никогда не встречались исследования ситуации с кибербезопасностью внутри этих стран. Кто атакует их самих? Ведь не может быть так, чтобы они не представляли интереса для других государств или группировок.
И если ситуацию с ИБ внутри России я знаю достаточно неплохо; про Китай тоже можно найти материалы, то вот про остальные две страны сведений практически нет 🤷♀️ Тем интереснее мне было увидеть отчет "Iran's cybersecurity threatscape for 2021-H1 2024" (на английском), выпущенный нашей компанией 🟥, который впервые поднимает завесу тайны и раскрывает некоторые интересные кейсы и примеры инцидентов и атак в Иране, а также действий кибергруппировок против этой ближневосточной страны 🕌
Кстати, уже немного забылось, но американские спецслужбы с союзниками летом-осенью 2021 года провели кибероперации против REvil. Некое иностранное правительство летом взломало серверы REvil, что позволило ФБР получить ключ для расшифровки данных жертв. Позднее доступ к инфраструктуре REvil был передан Киберкомандованию США, которое в октябре смогло перехватить управление их сайтом. Все детали известны только по серии статей американских журналистов (1, 2, 3), прямых официальных подтверждений не было, но в декабре 2021 Пол Накасоне, тогда глава Киберкомандования, заявил, что его структура проводила операции против ransomware-группировок (в 2021 намерение использовать военный киберпотенциал против преступников также декларировали Австралия, Великобритания и Нидерланды).
Причём по действиям Киберкомандования против REvil уже вышла академическая статья, автор которой приходит к выводу о допустимости такой кибероперации с точки зрения международного права — точнее, с точки зрения американской трактовки международного права.
Как говорил один мой старший коллега, вот, государственный подход!
«Минцифры планирует создать собственное Linux-сообщество, которое объединит разработчиков из тех стран, которые будут готовы работать с Россией. Об этом РБК рассказал представитель министерства. Это заявление стало реакцией на увольнения 11 российских сотрудников, занимавшихся разработкой ядра операционной системы Linux.
«Увольнение российских сотрудников Linux можно расценить, как очередной факт дискриминации. Ключевым направлением, на наш взгляд, на сегодняшний день является усиление кооперации и установление диалога с теми странами, которые готовы работать с нами, — сообщил представитель Минцифры. — Необходимо договариваться с ними и строить свою альтернативную структуру». Он дополнил, что важно создать условия для взаимовыгодного сотрудничества, что может помочь создать уникальный продукт. Обсуждалось ли уже создание подобного альтернативного сообщества с какими-то странами, представитель Минцифры не уточнил».
Первые приговоры по делу REvil
Оглашён приговор четырём фигурантам дела REvil, которое началось больше двух с половиной лет назад.
Артём Заец и Алексей Малоземов признаны виновными в неправомерном обороте средств платежей (ч. 2 ст. 187 УК РФ) и приговорены к 4,5 и 5 годам колонии общего режима соответственно.
Даниил Пузыревский и Руслан Хансвяров признаны виновными в неправомерном обороте средств платежей (ч. 2 ст. 187 УК РФ), а также в использовании и распространении вредоносных программ (ч. 2 ст. 273 УК РФ) и приговорены к 6 и 5,5 годам соответственно.
Дело в отношении ещё четырёх фигурантов выделено в отдельное производство, их судят за неправомерный оборот средств платежей, а также за неправомерный доступ к компьютерной информации» (ст. 272 УК РФ).
Российские правоохранители провели операцию против REvil в январе 2022 года после «обращения компетентных органов США», изначально было задержано 14 человек. Российско-американское сотрудничество на треке борьбы с киберпреступностью оживилось после саммита в Женеве в июне 2021 года, а также на фоне эпидемии атак вымогателей в США. REvil была в числе группировок, чьи атаки особенно беспокоили США, так, после громкой атаки REvil на компанию Kaseya состоялся телефонный разговор между Владимиром Путиным и Джо Байденом о проблеме кибервымогателей.
США провели собственную операцию против REvil, а также осенью 2021 передали российским правоохранителям информацию по группировке (конкретно по одному из фигурантов будущего дела — Пузыревскому). Когда в январе 2022 предполагаемые участники группировки были задержаны, США приветствовали эту операцию и отметили, что среди задержанных был человек, причастный к громкой атаке на компанию Colonial Pipeline.
После начала войны американцы заморозили сотрудничество с Россией по теме информационной безопасности и борьбы с киберпреступностью. Заморозка сказалась и на деле REvil, поскольку американцы больше не предоставляли информацию, необходимую следствию. Защита обвиняемых рассчитывала использовать эту ситуацию для прекращения дела, но сегодняшние приговоры показывают, что суд нашёл позицию обвинения достаточно убедительной для реальных сроков.
Сингапурский компромисс в ООН
Интересные события происходят на полях переговоров в ООН по информационной безопасности. Россия — впервые с 1998 года! — не внесла в Первый комитет Генассамблеи проект резолюции на эту тему. Собственно, переговоры и начались с первой российской резолюции «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности». И на протяжении 25 лет Россия каждый год вносила по этому пункту повестки дня Генассамблеи проекты резолюций, которые всегда принимались, иногда консенсусом, иногда вопреки сопротивлению США и союзников, а один раз, в 2021, даже совместно с США. Почему же в этот раз отдельного проекта нет?
Дело в том, что единственный проект резолюции по информационной безопасности (см. изображения) в этом году внёс Сингапур как председатель Рабочей группы открытого состава (РГОС) с тем условием, что другие страны не вносят свои проекты по этому пункту повестки дня.
Такой мораторий введён в связи с тем, что в РГОС наметился раскол по поводу будущего формата переговоров. Западная коалиция выступает за создание после завершения РГОС в следующем году нового постоянного формата — Программы действий по поощрению ответственного поведения государств в киберпространстве. Россия, несколько лет критиковавшая идею Программы действий, в прошлом году предложила после завершения работы нынешней РГОС созвать ещё одну рабочую группу открытого состава, но на этот раз бессрочную. Про различие этих подходов я уже писал чуть подробнее, но в процедурном плане расхождение проявилось в том, что в 2022 и 2023 годах в Генассамблее принимали одновременно две резолюции, российскую и западную, по информационной безопасности. Это могло привести к запуску двух параллельных и во многом дублирующих друг друга переговорных форматов, как уже было в 2019-2021 годах. Большинству стран это не нужно, не у всех есть ресурсы и на полноценное участие в одном.
Постпред Сингапура при ООН и председатель РГОС Бурхан Гафур пытается (и пока вполне успешно) привести участников РГОС к компромиссному решению. На последней сессии РГОС летом он предложил вместо новую нейтральную формулировку для обозначения будущего формата переговоров: Открытый прикладной постоянный механизм по безопасности ИКТ в контексте международной безопасности (Open-Ended Action-Oriented Permanent Mechanism on ICT Security in the context of international security). Участники РГОС согласились с этим вариантом и в качестве приложения к ежегодному докладу РГОС утвердили его основные параметры.
Именно этот формат (точнее, не формат, а его контуры) зафиксирован в сингапурской резолюции (см. пункт a) параграфа 2). Разумеется, этот компромиссный вариант работает только при условии, что государства не выдвигают одновременно свои собственные предложения. Поэтому даже Россия на этот раз беспрецедентным образом решила не вносить свой проект.
Сработает ли сингапурский компромисс, мы увидим в течение года, когда будет завершаться работа действующей РГОС. За разными названиями форматов кроются более глубокие разногласия по поводу мандата будущих переговоров, и, естественно, сторонники разных подходов продолжают борьбу именно за своё видение.
НКЦКИ — о деятельности проукраинских хакерских групп:
«"В нашей практике количество атак, инцидентов, связанных с деятельностью проукраинских группировок, наверное, составляет львиную долю от общего числа инцидентов. <...> Электронно уничтожается все, до чего противник может дотянуться в инфраструктуре. Наверное, сейчас наблюдаем как раз рост [количества] таких атак", - сказал [представитель НКЦКИ Андрей Раевский] на ежегодном специализированном форуме "Спектр", который проходит на сочинском курорте "Роза Хутор".
Он также отметил, что хакеры стараются нанести максимальный ущерб инфраструктуре, противник уже выстроил свою работу».
Обновление списка APT-групп, атакующих Россию
В апреле я публиковал список продвинутых хакерских групп, государственных или прогосударственных, которые были замечены компаниями по кибербезопасности в атаках на российские организации.
Сегодня делюсь обновлённой версией:
— добавлены отчёты российских компаний с апреля по октябрь и некоторые более давние, а также отдельные зарубежные отчёты (в том числе и два китайских). Общее количество отчётов удвоилось с 40 до 81, а количество групп в таблице увеличилось с 28 до 41;
— у некоторых групп добавлены дополнительные наименования;
— для групп без указания страны в соответствующем столбце поставлена чёрточка.
Как всегда, буду благодарен за обратную связь и дополнения.