5051
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования. Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
Наверно, все слышали историю про радиоспектакль Орсона Уэллса по «Войне миров» Герберта Уэллса в США в 1938 году, который благодаря своему реализму напугал многих слушателей. Что-то похожее, но в меньших масштабах произошло на прошлой неделе в Нидерландах.
В прошлый понедельник голландские каналы EO и NPO показали фильм Black Out, по сюжету которого из-за кибератаки на оператора энергосистем Stedin три провинции страны, Южная Голландия, Утрехт и Зеландия, остаются без электричества на 52 часа. Авторы фильма преследовали благородную цель: предупредить граждан о возможности таких инцидентов. Для создания нужно эффекта часть фильма снята как реалистичные выпуски новостей с обсуждением в студии или репортажами с места. Помимо фильма канал EO предлагает пройти тест и проверить, насколько граждане готовы к блэкауту (на нидерландском).
Со своей задачей Black Out справился лучше, чем нужно, и, как и в случае с «Войной миров», части аудитории показался слишком правдоподобным. Каналы получили немало критических замечаний из-за того, что некоторые зрители восприняли фрагменты фильма как настоящие новости, и дополнительно уточнили в соцсетях, что сценарий — это художественная выдумка.
При этом блэкауты, вызванные кибератакой, не являются фантастикой. Больше всего таких случаев было задокументировано на Украине: в 2015 и 2016 годах, а также осенью 2022 и в январе этого года. В 2019 году власти Венесуэлы объясняли отключения электричества кибератаками (причём эту версию поддержал и МИД России) и до сих пор придерживаются этой версии, хотя детали происшедшего по-прежнему не были раскрыты. Осенью 2022 года IT-армия Украины сообщила об отключениях электроснабжения в Ленинградской области с помощью кибератак. Этому предшествовала атака группы sudo rm -RF на электросетевую компанию ЛОЭСК. С одной стороны, группа опубликовала скриншоты из интерфейса управления оборудованием, что показывало возможность воздействия не электроснабжение. С другой, подтверждений отключений мне тогда найти не удалось, и позднее ЛОЭСК о них не сообщала.
Фишинг в конверте
Швейцарские власти обнаружили кампанию распространения трояна Coper/Octo2, но не по электронной, а по обычной почте. Национальный центр кибербезопасности сообщил, что по стране рассылаются письма якобы от Федерального офиса метеорологии и климатологии (MeteoSwiss). Получателям предлагается установить по QR-коду новое приложение для получения предупреждений о чрезвычайных погодных условиях (Severe Weather Warning App). В реальности на устройства на Android устанавливается вредонос Octo2, собирающий данные из 328 приложений, в том числе из сервисов онлайн-банкинга. На телефоне вредоносная программа не особо старательно мимикрирует под легитимное правительственное приложение Alertswiss.
Octo2 распространяется по сервисной модели, кампании с её использованием обнаруживались в самых разных регионах. Как отмечают исследователи, вторая версия появилась в 2024 году после утечки исходного кода Octo.
Использование QR-кодов в атаке — ещё один пример попыток применения квишинга в физическом мире, как и участившиеся в западных странах случаи подделки QR-кодов для оплаты парковки.
Судебный департамент при Верховном суде наконец официально признал, что продолжавшийся месяц сбой ГАС «Правосудие» и сайтов судов был вызван киберакатой. По словам генерального директора Судебного департамента Владислава Иванова, «активность злоумышленников была зафиксирована еще в середине 2022 года, но лазейку хакеры нашли лишь осенью 2024 года».
После инцидента Судебный департамент создаёт отдел информационной безопасности, планирует оптимизировать концепцию ИБ, обучать судей правилам цифровой гигиены и организовать специальные курсы.
«По его мнению, также необходимо уделить пристальное внимание мониторингу периметра информационной безопасности и вырабатывать предельно четкие алгоритмы действий при хакерских атаках».
Forbes ознакомился с новой версией законопроекта, предусматривающего оборотные штрафы за утечки персональных данных. Согласно документу, нижний порог взыскания за повторные утечки для компаний может быть увеличен с 0,1% до 1% от годовой выручки.
При этом в новой версии прописаны смягчающие обстоятельства, если компания инвестирует не менее 0,1% выручки в мероприятия информбезопасности.
Инициатива может привести к значительному росту инвестиций в кибербезопасность со стороны крупных компаний, но одновременно с этим вытеснить с рынка небольших игроков, работающих с персональными данными, полагают аналитики.
Подробности на сайте
📸: Chris Ratcliffe / Bloomberg
В свежем выпуске подкаста Risky Business ведущие обсуждают отчёт «Солар» о GoblinRAT (на 13 минуте) и предполагают, что, по ощущениям, это может быть дело рук западной радиоэлектронной разведки. Аргументы в пользу этой версии — это наличие множества механизмов скрытности, а также ручное управление, требующее квалифицированных специалистов.
Читать полностью…
В Твери после кибератаки уже больше двух недель не работает сайт администрации. На сайте висит заглушка о ведущихся работах, а также указаны контактные данные, причём email администрации теперь размещен на Яндексе, а не на своём домене.
В этой связи вспомнил, что в начале марта СМИ сообщали о создании в Тверской области оперативного штаба по обеспечению кибербезопасности, на базе которого должен был действовать ГРИИБ — группа реагирования на инциденты информационной безопасности (CERT на бюрократическом). Проект соответствующего постановления подготовило правительство Тверской области. Однако без внимания осталось то, что было дальше с этим постановлением. Оно не было принято и было возвращено на доработку, а повторно, судя по публичной информации, так и не вносилось.
При этом официально региональный штаб по обеспечению кибербезопасности Тверской области был образован распоряжением губернатора ещё 3 июня 2022 года. А за 2 дня до этого Минцифры России отчиталось о том, что такие структуры созданы почти во всех регионах: «Программу по созданию штабов по обеспечению кибербезопасности реализовали уже 99% субъектов и 85% органов власти. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования». (99% — это значит все кроме одного региона? Стала ли Тверская область последним регионом, создавшим штаб?)
Даже спустя два года судьба оперативного штаба в Тверской области неясна. Более общий вопрос: уникальна такая ситуация или типична и для других регионов? Есть ли ГРИИБ, скажем, в Рязани?
Что касается октябрьской кибератаки, то, разумеется, прямой причинно-следственной связи тут нет, но всё же можно предположить, что наличие ГРИИБа повысило бы скорость и эффективность реагирования на инцидент.
Госкомпании в России продолжают приобретать продукцию Microsoft. В 2024 году госсектор закупил американского софта на 24,1 млн руб., узнал «Ъ». По сравнению с прошлым годом общее количество закупок операционных систем и офисных пакетов Microsoft сократилось на 55%.
Летом 2023 года в рамках ПМЭФ глава Минцифры Максут Шадаев заявил, что президент Владимир Путин поручил госкомпаниям с начала 2025 года перейти на российские операционные системы и офисные пакеты. «Ъ» направил запрос в Минцифры.
Участники рынка говорят, что из-за отсутствия совместимости необходимого ПО с отечественными операционными системами госкомпании приобретают старые версии ОС 2019 и 2021 годов. По мнению экспертов, на создание аналогов иностранного софта потребуется 14–15 лет, а также дополнительные инвестиции со стороны государства.
#Ъузнал
Индонезия входит в пятерку стран по числу утечек данных.
И эта же Индонезия занимает первое место в последнем издании Глобального индекса кибербезопасности от МСЭ.
Российская платформа по управлению рассылками — «Раппорто» — сообщила о хакерской атаке на свою IT-инфраструктуру. В компании уточнили, что вредоносная активность обнаружена и нейтрализована. Сейчас платформа работает в нормальном режиме, а сотрудники «Раппорто» связываются со всеми, чьи интересы атака могла затронуть. Кого могла затронуть атака и какой ущерб нанести, в компании не уточнили
Читать полностью…
Как минимум один значимый пример использования ИИ в американских выборах был — не в плане влияния на результат, а по последствиям. В сентябре в США оштрафовали на 6 млн долларов политконсультанта Стивена Крамера. Крамер, работая на конкурента Байдена на демократических праймериз Дина Филлипса, организовал автоматический обзвон избирателей, которых сгенерированным голосом Байдена убеждали не голосовать на праймериз в Нью-Гемпшире. На 1 млн был оштрафован оператор Lingo Telecom, осуществлявший обзвон.
Но вообще наличие или отсутствие заметных инцидентов не так важно, как общая тенденция. В выборах в США в частности, но и в интернете вообще количество сгенерированного контента растёт колоссальными темпами, стоимость создания правдоподобных подделок прежде всего голоса, но также и изображений и видео снизилась. Всё это в совокупности повышает недоверие к информации — на эту тему есть свежее исследование Institute for Strategic Dialogue.
ИИ-компании на страже безопасности выборов в США
Ранее неоднократно писал (к примеру, тут и тут), что одним из двигателей регулирования ИИ в США были опасения, что технология будет использоваться в избирательной кампании.
Выборы прошли и вот первые результаты: согласно данным OpenAI, ChatGPT отклонил более 250 000 запросов на создание политических изображений в течение месяца, предшествовавшего Дню выборов. В целом, эксперты сходятся во мнении, что ни одного значимого случая политического использования генерированного контента во время выборов не было зафиксировано.
При этом еще в августе компания сообщала "о срыве операции Ирана по оказанию влияния на внутреннюю политику США". Как заявлялось, иранская сеть Storm-2035 использовала чат-бота компании для создания контента, в том числе «комментариев о кандидатах от обеих сторон на президентских выборах в США».
Заявлялось, что ChatGPT использовался для создания статей, которые публиковались на пяти сайтах, выдававших себя за прогрессивные или консервативные новостные издания, а также для написания коротких комментариев в социальных сетях на английском и испанском языках.
Тогда же компания заявила, что продолжит следить за ChatGPT, чтобы гарантировать точность и этичность ответов. Для этого периодически публикуются отчеты о том, как компания пресекает использование своих сервисов. К примеру, один из отчетов был посвящен теме использования её сервисов пятью прогосударственными хакерскими группировками (утверждается, что они были связаны с Китаем, КНДР, Ираном и Россией)
Форум ООН по управлению интернетом (IGF) в 2025 году пройдёт в Норвегии. Ранее его планировалось провести в России: заявка была подана в 2020 году, и ещё этим летом вице-премьер Дмитрий Григоренко на встрече с делагацией Секретариата ООН подтверждал готовность организовать 20-й IGF в Санкт-Петербурге.
Читать полностью…
Кстати, на том саммите в 2021 году российская сторона поднимала вопрос о некой кибератаке как раз на систему здравоохранения — в Воронежской области.
Сначала об этом сказал Владимир Путин на пресс-конференции сразу после саммита:
«Мы сталкиваемся с такими же угрозами [как США]. В частности, например, [атака] на систему здравоохранения одного из крупных регионов Российской Федерации. Мы, конечно же, видим, откуда происходят атаки, видим, что эта работа координируется из киберпространства США. Я не думаю, что Соединённые Штаты, официальные власти заинтересованы в манипуляциях подобного рода. Нужно просто отбросить всякие инсинуации, на экспертном уровне сесть и начать работать в интересах Соединённых Штатов и Российской Федерации. Мы в принципе об этом договорились, и Россия к этому готова».
Спустя пару недель замминистра Сергей Рябков уточнил, что речь шла про Воронежскую область.
«Москва направила США более 40 писем по поводу кибератак на госструктуры и системы России, рассказал РИА Новости замглавы МИД Сергей Рябков.
"Эпизодически, крайне редко (отвечают. — Прим. ред.), то есть, можно сказать, практически никогда американцы не отвечают на наши обращения", — добавил он.
Дипломат также отметил, что в числе прочего этот вопрос поднимался на саммите в Женеве. Речь шла о "конкретной кибератаке с использованием возможностей интернета на систему здравоохранения Воронежской области", но реакции нет».
Ещё через месяц посол России в США Анатолий Антонов уже ставил кибератаку в Воронежской области в один ряд со взломом Kaseya:
«Весьма примечательный момент: согласно выводам американских исследователей, Россия не относится к числу стран, с информпространства которых осуществляется наибольшее количество кибератак. Соединенные Штаты, в свою очередь, этот список возглавляют. Очевидно, что наши государства в равной степени сталкиваются с вызовами в цифровой среде. Случаи с недавними хакерскими нападениями на систему здравоохранения Воронежской области и американскую информкомпанию Kaseya подтверждают этот факт».
Увы, публичных сведений об этой атаке так и не появилось.
Пророссийские хактивисты добрались до Южной Кореи
В четверг Офис национальной безопасности при президенте Республики Корея провёл экстренное заседание по вопросу реагирования на DDoS-атаки пророссийских группировок против корейских организаций. Во встрече приняли участие Национальная разведывательная служба, Министерство внутренних дел, Министерство науки и ИКТ, Минобороны, Комиссия по финансовым услугам.
В пресс-релизе отмечается, что правительство активно реагирует на DDoS-атаки, нацеленные на государственные и частные сайты. Доступ к некоторым сайтам был временно нарушен, но существенного ущерба не было.
Корейские чиновники связывают атаки с геополитической ситуацией: «Кибератаки пророссийских хактивистских групп на нашу страну периодически совершались и ранее, но они участились после того, как Северная Корея направила войска в Россию и приняла участие в войне на Украине». Исходя из этого в Офисе национальной безопасности считают, что атаки могут продолжаться в зависимости от развития конфликта.
Неделю назад предупреждение о возросшей угрозе DDoS-атак выпустил корейский CERT (KrCERT/CC).
О каких DDoS-атаках идёт речь? За последнюю неделю под удар попали сайты Минобороны, Министерства окружающей среды, Таможенной службы и других ведомств, партийных и региональных органов. Вчера из-за DDoS'а по всей стране были недоступны сайты судов. Атаки анонсировала у себя в телеграм-канале пророссийская группа NoName057(16).
Кроме этого, пророссийская группа Z-Pentest заявила о взломе SCADA-систем, управляющих объектами в Республике Корея. В канале группы были опубликованы три видео-ролика, демонстрирующие доступ атакующих к HMI-приложениям и манипуляцию их настройками. Судя по описаниям и самим видео, на первом показан взлом системы управления зернохранилищем, на втором — системы управления гидропонной фермой, на третьем — системы управления умным домом. Этими атаками заинтересовались южнокорейские СМИ, про взлом зернохранилища даже вышел телесюжет, но подтверждений инцидентов журналисты не привели. Канал Z-Pentest появился в конце сентября, группа заявляла о взломах SCADA-систем в разных странах, в том числе брала ответственность за инцидент на водоочистном объекте в Арканзас-Сити (правда, опубликовав в качестве подтверждения видео со взломом системы в другом штате и с более поздней датой).
Помимо заявлений о собственных атаках NoName057(16) и Z-Pentest делятся постами дружественной группы Alligator Black Hat, которая также сообщает об атаках на южнокорейские объекты и, как и Z-Pentest, в качестве подтверждения публикует срины и видео взломов HMI-приложений. Alligator Black Hat — проиндонезийская группа, проводившая атаки на Малайзию, Индию (хактивисктие конфликты с религиозным подтекстом в Южной и Юго-Восточной Азии заслуживают отдельного рассказа), а также на Израиль.
Первый комитет Генассамблеи без голосования (и без конкурирующих проектов) принял сингапурский проект резолюции по деятельности Рабочей группы открытого состава в сфере ИКТ и международной безопасности. О смысле инициативы Сингапура как председателя РГОС я подробнее писал пару недель назад.
Читать полностью…
«Апофеоз кибервойны 2»
Во второй раз провожу премию публикаций на тему киберконфликта:
«Апофеоз кибервойны» — премия за выдающиеся публикации о влиянии цифровых технологий на современные конфликты. Сегодня любой международный конфликт, от дипломатического спора до полномасштабной войны, имеет киберизмерение. С помощью компьютеров участники конфликтов ведут слежку, похищают ценную информацию, наносят урон ущерб, ведут пропаганду. Национальные правительства ищут способ укрепить границы в киберпространстве, а в ООН делегации ведут переговоры о правилах соперничества в этой новой сфере. В киберконфликтах нет жертв, сопоставимых с боевыми действиями, но они причиняют реальный ущерб, который не всегда легко оценить, а их масштаб выходит далеко за рамки противоборствующих сторон. Чтобы лучше понимать киберконфликт, его нужно изучать и обсуждать. Премия призвана способствовать этой дискуссии.
Принять участие могут авторы текстов на русском языке по тематике премии, опубликованных в 2024 году в любом формате за исключением постов в Телеграме и соцсетях, диссертаций и книг. Подойдут доклады, репортажи, научные статьи, аналитические заметки. Текст должен быть авторским, не переводным. В остальном критерии весьма гибкие, если не уверены — всё равно подавайте заявку.
⚔️ Индустрия ИБ пошла в контратаку!
Помните свежую историю с Sophos, которая вставляла импланты в свои МСЭ 🤬, которые были скомпрометированы якобы китайскими хакерами, для отслеживания последних? Тут схожая история нарисовалась. В ноябре 2024 года исследователь по кибербезопасности Кристиан Корнеа (Cristian Cornea) разработал поддельный конструктор программ-вымогателей под названием "Jinn Ransomware Builder" 👎
Он выложил этот инструмент на форуме BreachForums и предлагал всем желающим очень вкусные 😋 возможности функции для создания кастомизированного вредоносного ПО, включая поддержку нескольких языков программирования, недетктируемость, полную конфигурируемость и многие другие ценности, так востребованные хакерами 🧑💻
Однако в код "джина из бутылки" 🧞 были встроены скрытые механизмы, позволяющие Корнеа отслеживать и собирать данные о хакерах, пытающихся использовать этот инструмент для своих целей. В результате более 💯 злоумышленников, скачавших и запустивших "Jinn Ransomware Builder", непреднамеренно раскрыли свои IP-адреса и другую идентифицирующую информацию.
Если бы кто-то разработал и выложил некий инструмент ИБ, то такой эксперимент подчеркнул бы риски использования непроверенных инструментов, скачанных из Интернет ⬇️ В истории с Jinn Ransomware Builder продемонстрировано, что киберпреступники тоже люди, ничто человеческое (особенно халява) им не чуждо и что против них можно использовать те же методы, что и они против обычных пользователей и компаний. Контратака в действии! ⚔️
Трамп и кибервоенная политика в США
В связи с предстоящим возвращением Дональда Трампа в Белый дом решил вспомнить основные события его первого президентского срока в сфере политики, касающейся киберконфликта.
В целом подход Трампа к киберпространству можно охарактеризовать как более напористый, воинственный и проактивный по сравнению с политикой администрации Обамы.
В 2018 году США приняли Национальную киберстратегию — в предыдущий раз подобный документ принимался в 2003, а при Обаме была разработана Международная стратегия для киберпространства. В стратегии Трампа описывалась стратегия для новой эпохи стратегического соперничества (или эпохи соперничества великих держав, как стали говорить в Вашингтоне при Трампе). В документе впервые официально был зафиксирована концепция persistent engagement (постоянное взаимодействие), согласно которой противоборство в киберпространстве ведётся непрерывно, и, следовательно, США следует также непрерывно вести действия в отношении своих соперников, как и они в отношении США. Эти идеи были развиты в киберстратегии Пентагона, при этом военные также стали говорить о ведении передовой обороны (defend forward) для упреждения вредоносный кибердействий противника.
При Трампе Киберкомандование было повышено до статуса объединённого боевого командования (ранее было составной частью Стратегического командования, отвечающего за стратегическое ядерное сдерживание), хотя это решение было принято ещё в последний месяц президентства Обамы. Но Трамп и его советники, прежде всего Джон Болтон, были заинтересованы в более активном использовании кибервозможностей. Белый дом упростил проведение наступательных киберопераций: если при Обаме все кибератаки военных должны были проходить сложную процедуру согласования, то Трамп снизил этот порог, увеличив свободу действий Пентагона в случаях, которые не подпадали под критерии «применения силы». Также Белый дом расширил возможности ведения тайных операций в киберпространстве и для ЦРУ.
Самым известным примером реализации этого подхода стала операция против медиа-ресурсов Евгения Пригожина во время промежуточных выборов в 2018 году. В США принадлежащее Пригожину Агентство интернет-исследований обвиняли в попытках повлиять на общественное мнение во время президентской кампании 2016 года (что сам Пригожин позднее подтвердил). В 2018 Киберкомандование с помощью кибератаки якобы отключило сотрудников организации от интернета. Одно из медиа Пригожина, РИА ФАН, заявило, что атака действительно была, но провалилась. Никаких особых подробностей того, что же действительно произошло, так и не появилось. Но в 2020 году Трамп заявил, что действительно санкционировал эту операцию Киберкомандования — в первый и пока последний раз такое признание прозвучало от действующего президента.
Американские СМИ также писали об американских кибератаках на Иран: в одном случае такая атака якобы была нанесена по системе, используемой Корпусом стражей исламской революции. ЦРУ, вероятно, использовала новые полномочия для кражи и слива данных Ирана и России, для ведения кампании по дискредитации Китая и для дестабилизации обстановки в Венесуэле.
Из оборонительных мер основным нововведением при Трампе стало создание Агентства по кибербезопасности и безопасности инфраструктуры (CISA) на базе Министерства внутренней безопасности. CISA стало основным куратором защиты критических секторов и гражданских сетей.
ФБР и CISA выпустили короткое совместное заявление о расследовании кибершпионской кампании, жертвами которой стала телекоммуникационные компании. Первые утечки об этой акции, приписываемой группировке Salt Typhoon, появились полтора месяца назад в Wall Street Journal.
«В частности, мы установили, что связанные с КНР злоумышленники взломали сети нескольких телекоммуникационных компаний, что позволило похитить данные о звонках клиентов, скомпрометировать частные сообщения ограниченного числа лиц, которые в основном занимаются государственной или политической деятельностью, и скопировать определенную информацию, которая была предметом запросов правоохранительных органов США в соответствии с судебными постановлениями. Мы рассчитываем, что наше понимание этих взломов будет расширяться по мере того, как идёт расследование».
В конце октября New York Times утверждала, что среди телефонов, к которым пытались получить доступ хакеры, были устройства на тот момент кандидатов от Республиканской партии Дональда Трампа и Джей Ди Вэнса, а WSJ добавила к списку и кампанию Камалы Харрис. Politico на прошлой неделе сообщило, что группировка имела доступ к данным о звонках (Call Detail Records), но неизвестно, были ли они украдены и в каком объёме.
«Как выяснил CNews, для главной информационной системы российских судов ГАС «Правосудие» закупают 620 серверов производства отечественной компании «Гравитон» на сумму в 369 млн руб.
Тендер на поставку «железа» был опубликован на сайте госзакупок 9 октября 2024 г. Заказчиком является «Информационно-аналитический центр Судебного департамента», он же и обслуживает ГАС «Правосудие».
[...]
Что касается цели закупки серверов, в техническом задании к опубликованному тендеру она не указана. Учитывая, что контракт был опубликован через два дня после хакерского «налета» на системы российских судов, существует вероятность, связи закупки и ИБ-инцидента. CNews отправил в «Информационно-аналитический центр Судебного департамента» запрос и ожидает ответов».
/channel/CNewsDaily/19101
⚡️Выросло число кибератак на российские предприятия, связанные с СВО
⬆️Эксперты F.A.C.C.T. Threat Intelligence выяснили, что осенью 2024 г. прогосударственные группы атаковали воинские части, предприятия оборонного комплекса и фонды поддержки участников спецоперации. Наиболее активные APT-группы — Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas.
⚙️ Что изменилось в тактиках, техниках и процедурах APT-групп
☀️Группа Core Werewolf впервые стала использовать цепочку VBS-скриптов для установки легитимной программы удаленного доступа UltraVNC и, предположительно, добавила в свой арсенал новый SSH-бэкдор. Core Werewolf маскировала приманку под служебное письмо от имени замминистра обороны РФ и под письмо от ФСТЭК России.
☀️Unicorn распространяла варианты самописного ВПО Unicorn под видом коммерческого предложения для покупки со скидкой оборудования для СВО и предложения о безвозмездной передаче техники в фонд для нужд военнослужащих СВО.
☀️Злоумышленники из Sticky Werewolf продолжили кампанию MimiStick, нацеленную на предприятия ОПК, в результате разворачивали Sliver Implant и Quasar RAT. Помимо продолжающейся кампании MimiStick, были зафиксированы рассылки группы Sticky Werewolf в адрес научно-исследовательского и производственного предприятия в сфере ОПК, где в качестве финальной нагрузки устанавливался троян Darktrack RAT.
☀️Cloud Atlas продолжает использовать вредоносные документы, содержащие ссылку в потоке 1Table для удаленной загрузки файла шаблона. В частности, в октябре 2024 г. в одной из атак в качестве приманки использовалось заявление на участие в патриотической акции «Профсоюзы России Za СВОих».
🤭 Подробнее об атаках APT-групп осенью 2024 г. с индикаторами компрометации — по ссылке.
В этом году в Индонезии было немало заметных событий в сфере кибербезопасности.
В середине июня в городе Сурабая прошли индонезийско-американские штабные киберучения, впервые посвящённые кибербезопасности порта.
Через неделю, 20 июня злоумышленники зашифровали национальный дата-центр, что привело к нарушению оказания ряда государственных услуг. После чего под общественным давлением из местного Минцифры уволился один из руководителей, ответственный за цифровую трансформацию правительства. А группа Brain Cipher, стоявшая за атакой, принесла индонезийцам извинения и поделилась с правительством ключом для расшифровки данных.
В сентябре президент Джоко Видодо поручил создать в вооружённых силах Индонезии кибервойска как отдельный, четвёртый вид войск.
А проиндонезийские хактивисты участвуют в самых разных конфликтах, в том числе атакуют Южную Корею вместе с пророссийскими группами.
В Беларуси заблокировали российский сервис — ЖЖ. Что дальше? Народ.ру? Кулички?
Читать полностью…
Я писал, что третье видео Z-Pentest о взломе HMI-приложения в Республике Корея — это, вероятно, умный дом. Но был неправ, это была умная ферма по выращиванию огурцов. До фермы добралась команда канала KBS News и поговорила с местным управляющим. Он подтвердил, что хакеры взломали систему, которая управляет температурой в теплице и может открывать или закрывать окна (в частности, в приложении в качестве максимальной температуры было установлено 999 градусов). Однако добавил, что система работает в ручном, а не автоматическом режиме, поэтому ферме не был нанесён ущерб. Также, по его словам, когда систему для управления фермой устанавливали, никому не пришло в голову менять пароль по умолчанию (пароль состоял из одной цифры). Именно благодаря слабому паролю злоумышленники, очевидно, и смогли получить доступ к HMI-приложению. Поэтому канал приводит рекомендацию экспертов менять дефолтные пароли на таких системах. Такую же common sense рекомендацию весной давало CISA американским операторам OT-систем после атак пророссийских группировок.
Читать полностью…
Дополнение к посту про Конвенцию против киберпреступности. Проглядел, что её ещё вчера приняли консенсусом в Третьем комитете. На очереди решение Генассамблеи.
Читать полностью…
США решили поддержать Конвенцию ООН против киберпреступности
На этой неделе Третий комитет Генассамблеи ООН будет голосовать по резолюции о принятии Конвенции против киберпреступности. Её текст был утверждён ещё в августе спецкомитетом, в котором три года велись переговоры. Но впереди ещё много этапов. Теперь проект резолюции с этой конвенцией должен принять профильный комитет ГА, а затем проголосует сама Генассамблея. После чего документ будет открыт для подписания. Далее государства должны ратифицировать конвенцию на национальном уровне. Только после 40 ратификаций она вступит в силу.
В преддверии голосования есть несколько новостей. Во-первых, Politico сообщает, что после долгих раздумий администрация Байдена решила всё же проголосовать за принятие конвенции. США активно участвовали в переговорах и вместе со своими партнёрами значительно повлияли на то, каким получился текст — в частности, по своему охвату конвенция ООН практически совпадает с Будапештской конвенцией 2001 года, несмотря на то что Россия и другие страны хотели расширить число составов преступлений, включённых в документ. В августе США поддержали документ, но с тех пор внутри правительства продолжалась дискуссия о дальнейших шагах. Новую конвенцию активно критикуют многие американские общественные и деловые организации за недостаточное внимание к правозащитным вопросам — высокопоставленный чиновник заявил, что изучил сотни таких обращений. Тем не менее администрация Байдена решила не нарушать консенсуса, чтобы США в будущем имели больше возможностей влиять на то, как конвенция будет реализована. Впрочем, даже если конвенция будет принята, она может столкнуться со сложностями на этапе ратификации в США, поскольку сейчас с критикой в её адрес выступают и некоторые конгрессмены.
Во-вторых, хотя Россия (инициатор подготовки конвенции) и не вполне довольна результатом переговоров — один источник «Коммерсанта» сравнил конвенцию с чемоданом без ручки, — она по-прежнему выступает её главным поборником. В пятницу на заседании Совбеза ООН по угрозе ransomware постпред России Василий Небензя призвал страны «сосредоточиться на содействии скорейшему вступлению в силу этого важного прикладного международного договора». Более того, с российской точки зрения, уже сейчас стоит начать думать и над дополнительными протоколами к конвенции — вероятность такого развития событий мы с коллегой обсуждали год назад.
Наконец, внести свою лепту в содействие скорейшему вступлению в силу конвенции решил Вьетнам, предложив открыть её для подписания в 2025 году в Ханое, а уже затем в штаб-квартире ООН в Нью-Йорке. В плане содержания этого ничего не меняет, но даёт Вьетнаму возможность провести у себя церемонию и постараться собрать на неё побольше будущих участников конвенции.
В США к 12,5 годам тюрьмы приговорён россиянин Роман Стерлингов за причастность к отмывании денег через миксер Bitcoin Fog с 2011 по 2021 год, когда он был арестован. Также суд назначил ему выплату компенсации в размере около 396 млн долларов (сумма транзакций, якобы прошедших через миксер), конфискацию изъятых средств (1,76 млн) и средств в кошельке Bitcoin Fog (1345 биткоинов).
Читать полностью…
Совбез ООН обсудил угрозу ransomware для здравоохранения
В пятницу Совет безопасности ООН провёл заседание, посвящённое угрозе программ-шифровальщиков для организаций здравоохранения и киберугрозам в целом (видео). Его организовали Великобритания (председатель Совбеза в ноябре), Мальта, Словения, США, Южная Корея и Япония. Фактически мероприятие проведено для продвижения повестки возглавляемой американцами Counter Ransomware Initiative.
В начале с брифингами выступили гендиректор ВОЗ и президент Ascension, частной системы здравоохранения из США. Последний рассказал об инциденте в одном из госпиталей компании в мае. Как будет расшифровка заседания, я отдельно выложу это выступление, оно даёт представление о масштабе последствий кибератаки на больницу.
От США на заседании выступила Энн Нюбергер, заместитель советника по национальной безопасности по кибервопросам. Она отметила десятикратное увеличение суммарного размера выкупов по известным ransomware инцидентам между 2018 и 2023 — и стократное за десятилетие с 2014. Также она процитировала исследование, согласно которому в больницах — жертвах ransomware зафиксирован более высокий уровень смертности. Нюбергер презентовала Counter Ransomware Initiative, в которой участвует 68 стран (а в параллельной вселенной могла бы быть и Россия), и некоторые её достижение, например, совместное обязательство, распространяющееся на госорганы, не платить выкуп в случае атаки.
Она напомнила о саммите 2021 года, во время которого Джо Байден попросил Владимир Путина помочь остановить ransomware-атаки на американские организации. Именно после саммита активизировалось российско-американское сотрудничество по теме киберпреступности. Одним из его результатов стало дело REvil, четверым фигурантам которого вынесли приговоры в октябре.
Правда, американцы по-прежнему видят в России источник проблем. Нюбергер заявила, что Россия позволяет операторам программ-шифровальщиков действовать со своей территории и в качестве примера привела Дмитрия Хорошева, которого США обвинили в разработке и администрировании LockBit.
Помимо России обвинения звучали в адрес КНДР. Постпред Республики Корея Хван Джун Кук, ссылаясь на последний доклад экспертной группы по санкциям против КНДР, утверждал, что ракетная программа и создания оружия массового уничтожения Пхеньяна на 40% финансируются за счёт вредоносной кибердеятельности.
Василий Небензя отметил, что Россия регулярно сталкивается с кибератаками на систему здравоохранения: «С начала 2022 года неоднократно фиксировались инциденты различного характера и масштаба – от похищения персональных данных пациентов и выведения из строя томографа до взлома сайтов детских больниц. Во многих случаях ответственность за подобные нападения несут украинские группировки – в частности, курируемая НАТО "IT-армия Украины"».
Хотя российские представители сами стали гораздо чаще выдвигать обвинения, Россия по-прежнему критикует практику публичной атрибуции. По словам Василия Небензи, из-за анонимности информационного пространства достоверно установить источник кибератаки практически невозможно. «На этом фоне крайне неконструктивны и даже опасны любые попытки прибегать к так называемой "политической атрибуции", под которой, по сути, скрывается банальное стремление оставить за собой право выдвигать безосновательные и политизированные обвинения в адрес неугодных государств, – разумеется, не предъявляя при этом никаких доказательств». Заявления США о киберугрозах со стороны России он назвал безосновательными.
Главной идеей российского выступления было то, что Совбез ООН — неподходящая площадка для обсуждения проблем безопасности в сфере ИКТ, поскольку переговоры по этой теме уже идут в Рабочей группе открытого состава, а борьбе с киберпреступностью посвящён проект новой конвенции ООН.
Тем не менее США и их союзники наоборот стремятся перенести часть обсуждений в Совбез. Пятничное заседание стало уже третьим мероприятием по киберпроблематике в этом году. Делегации выдвигают разные идеи, например, Словения предлагает использовать против киберпреступников механизм санкций Совбеза.
Исследователи «Солара» выпустили отчёт про вредонос GoblinRAT, который использовался в особо скрытных атаках на 4 российские организации (органы власти и их IT-подрядчики). В одном случае злоумышленники сохраняли доступ к инфраструктуре жертвы в течение трёх лет, а историю развития вредоноса удалось проследить до 2020 года. GoblinRAT обладает рядом уникальных черт, и исследователи не смогли атрибутировать его известным группировкам.
«В абсолютном большинстве наших расследований мы имеем представление о том, с кем имеем дело. Характерные тактики, применение известных по другим атакам вредоносов и серверной инфраструктуры, специфический выбор цели и некоторые другие параметры позволяют предположить регион происхождения атакующих и их принадлежность к той или иной группировке или кластеру вредоносной активности.
Инциденты, в которых мы обнаружили GoblinRAT – иного толка. На сегодняшний день ни мы, ни коллеги по индустрии, с которыми мы поделились информацией об этом вредоносном ПО, не обнаружили каких-либо артефактов, указывающих на его происхождение.
По совокупности признаков можно сказать, что пока это самая сложная целевая атака из тех, что нам доводилось расследовать. Для ее реализации необходимы высокий уровень знаний устройства Linux-систем и сетевых коммуникаций, а кроме того, – большое количество времени для проведения самой атаки. Сам по себе GoblinRAT не является особенно сложным ВПО. В отличие от многих аналогов, он не приспособлен для автоматического закрепления и других действий по продвижению в атакованных инфраструктурах. Атаки, в которых был задействован GoblinRAT, велись вручную, а большая часть его функциональности направлена на то, чтобы помочь атакующим скрывать их присутствие в системах как можно дольше.
Основываясь на имеющихся данных, мы можем предположить, что операторов GoblinRAT интересует конфиденциальная информация, хранящаяся на серверах государственных органов и их подрядчиков (в том числе в сегментах сети с ограниченным доступом в Интернет).
GoblinRAT может быть либо операцией одной из известных прогосударственных группировок кардинально обновивших свои инструментарий и тактики, либо – свидетельством существования новой группировки (прогосударственной или профессиональных наемников), либо – делом рук мотивированного и крайне профессионального взломщика-одиночки.
Данные, которые добавили бы очков какой-либо из этих версий, нам еще предстоит обнаружить. В том числе эту цель мы преследуем, публикуя данный отчет: мы призывает ИБ-сообщество совместно разгадать происхождение и мотивы операторов GoblinRAT. Пока же, следуя нашей собственной системе таксономии, мы присвоили активности, связанной с GoblinRAT, наименование NGC2140».
Вчера на SOC Forum прошла сессия на тему International Cybersecurity. Из неё можно узнать, как обстоят дела с ИБ в Таиланде, ОАЭ, Эфиопии, как ШОС борется с использованием ИКТ террористами, что нового происходит в российской кибердипломатии.
Но, пожалуй, самый любопытный момент был ближе к концу, когда во время обсуждения наступательной кибербезопасности гендиректор «Солара» Игорь Ляпунов рассказал, что международные делегации, посещающие компанию, часто интересуются опытом не только защиты от атак, но и их проведения (что незаконно). А затем добавил, что в России могла бы быть востребована практика hack back:
«Регулярно к нам приезжают делегации в центр мониторинга с вопросом: “Поделитесь опытом”. Мы начинаем рассказывать, как мы круто умеем защищаться. Они: “Не, парни, стойте, защищаться мы тоже умеем. Расскажите, как вы в другую сторону делаете? Что с Киевстаром? Что с одним, вторым, третьим...”. Нет, это незаконно, мы этого не делаем.
И запрос, когда мы встречаемся с международными делегациями, на вот эту обратную сторону, на offensive, на атаки, конечно же, большой. Потому что, действительно, в России хакерская школа очень неплоха. Мы действительно имеем хорошую фундаментальную подготовку, мы много проводим CTF’ов, мы много ребят готовим, это сильная сторона. Но понятно, что мы не можем это использовать как атакующий инструмент, потому что, ещё раз подчёркиваю, это незаконно.
Но хотя, конечно, запрос, большой. Когда идёт атака на наши большие инфраструкутуры российские, когда по нам постоянно стреляют, мы единственное что делаем — это закрываем голову руками. А вообще говоря, эти hack back’и, обратные взломы, конечно же, были бы востребованы. Но эту проблематику мы подсвечиваем и Совбезу, и нашим регуляторам, и ФСБ. Может быть, когда-нибудь что-то поменяется».