5051
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования. Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
Для истории
Сегодня утром проект об оборотных штрафах одобрил и Совфед, вчера — Госдума.
https://www.kommersant.ru/doc/7328290
Госдума во втором и третьем чтении приняла закон об ужесточении административной ответственности за утечки персональных данных. В частности, вводятся штрафы за действия и бездействие, которые повлекли неправомерную передачу такой информации. Размеры штрафов дифференцированы в зависимости от масштаба утечек. Для компаний они будут составлять до 3% совокупного размера выручки
Читать полностью…
Когда исследователи-международники рассуждают о возможных киберинцидентах и ядерном оружии, их (нас?) больше всего интересуют сценарии вроде неконтролируемой эскалации от кибератаки до ядерной войны либо использования кибервозможностей для лишения противника способности нанести ответный удар. В общем, что-то стратегически значимое.
В реальности всё может быть гораздо более прозаичным. Например, вчера появилась новость о вынесении приговора сотруднику института Минобороны за установку пиратской версии Windows на служебный ноутбук. Из первоисточника, пресс-службы судов Санкт-Петербурга, можно узнать, что дело происходило в НИЦ БТС 12 ЦНИИ Минобороны России. Неспециалистам эти аббревиатуры мало что скажут, а у специалистов участится пульс, потому что речь идёт об основном исследовательском центре, занимающимся ядерным оружием (см. энциклопедию «Ядерный оружейный комплекс»).
12-й Центральный научно-исследовательский институт (12 ЦНИИ) Министерства обороны России «является головной научно-исследовательской организацией Министерства обороны Российской Федерации по обоснованию технической политики страны в области сохранения и развития функциональных возможностей ядерного арсенала в современной военно-политической обстановке, а также в области совершенствования специального оружия, мер и способов защиты от него».
НИЦ БТС, соответственно, одно из его подразделений:
«Научно-исследовательский центр безопасности технических систем (НИЦ БТС) Министерства обороны Российской Федерации входит в состав 12 ЦНИИ МО Российской Федерации и является головной организацией по проблемам безопасности ядерного оружия, специального обеспечения видов ВС и ликвидации последствий чрезвычайных ситуаций с ЯО».
Согласно судебному пресс-релизу, даже в таких местах и даже в 2023 году можно было встретить нелицензионный Windows:
«Не позднее 20.09.2023 Уразовский, находясь в служебном кабинете НИЦ БТС «12ЦНИИ» Минобороны России, расположенном по адресу: г. СПб, ул. Новосельковская, д.39, через вверенный ему ноутбук, предназначенный для обработки служебной информации ограниченного распространения, заведомо зная о вредоносных свойствах операционной системы «Windows Zver», и желая нейтрализации средств защиты компьютерной информации, осуществил установку на служебную ПЭВМ нелицензионной операционной системы «Windows Zver» и вредоносного программного обеспечения, относящегося к классу вредоносных программ и сценариев, созданных с использованием языка JavaScript, предназначенный для несанкционированного получения конфиденциальной информации пользователя без его согласия, а также позволяющего внедрить на компьютер иные вредоносные программы путем изменения настроек системы безопасности операционной системы, устанавливаемого с вышеуказанной операционной системой, которые являются вредоносными программными продуктами в псевдоподлинном полнофункциональном режиме способом, не предусмотренным правообладателем».
Дело было возбуждено по ч. 1 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). Обвиняемый вину признал и получил наказание в виде 1,5 лет ограничения свободы.
Но не считая специфики организации ситуация не уникальна. Так, в 2021 году резонанс получило дело сотрудника оборонного предприятия — «Пермского порохового завода», который использовал на служебном ноутбуке нелицензионное ПО Microsoft. Он обвинялся по ч. 2 ст. 273 УК РФ, а также по ч. 1 ст. 274.1 УК РФ (неправомерное воздействие на КИИ). Обвинение пыталось убедить суд, что попавший на ноутбук вирус мог передавать данные американским спецслужбам. Но шпионская линия развития не получила, более того, по ст. 274.1 УК РФ обвиняемого оправдали, а в качестве наказания по ст. 273 УК РФ он получил год ограничения свободы (подробно о деле писал Валерий Комаров).
Едем в Магадан?
Пока все ИБ-сообщество готовится к новогодним корпоративам, Государственная Дума активно трудится. Ко второму чтению одобрен законопроект, вводящий уголовную ответственность за создание или обеспечение работы сайтов, страниц сайтов и программ, предназначенных для незаконного оборота персональных данных.
Он вводит ряд поправок, в частности, в статью 272.1 УК РФ. С полным набором депутатских новелл можно ознакомиться тут.
Казалось бы, что могло пойти не так? 3аконопроект N 502113-8 в текущей редакции в принципе не предусматривает добросовестного использования баз данных, их обработки, передачи и т.д.
Кто же занимается этим легитимным, добросовестным использованием слитых БД? Внезапно — почти весь рынок ИБ.
Например, утечки изучаются с целью поиска утекших паролей и своевременного предупреждения пользователей. Мониторингом утечек для бизнеса занимаются самые разные отделы — TI, SOC, в рамках услуг brand protection.
Без изучения утечек банально нельзя их верифицировать — реальные ли это данные или очередная компиляция.
Получается ситуация, когда 99 % атакующих на этот закон наплевать, поскольку действие УК РФ не распространяется на днепропетровские колл-центры.
При этом этичный исследователь рискует поехать на четыре года цифрового детокса, если только за ним не стоит штат юристов, как у крупных ИБ-вендоров.
Комьюнити по этому поводу уже справедливо возмутилось. Насколько это повлияет на законопроект — скоро узнаем.
Ситуация по духу и смыслу напоминает историю с парсингом данных. Там ГД тоже ударно поработала перед Новым Годом, а к концу января парсинг уже запретили. Помог ли закон в борьбе с парсерами из-за рубежа — статистика умалчивает.
@cybersachok
Хакеры чаще всего атакуют Россию, начиная с 2022 года, нежели другие страны мира.
Лавинообразный поток нападений обрушился на отечественные компании и госсектор со стороны проукраинских группировок. Чаще всего злоумышленники атакуют промышленные предприятия, телеком, строительные компании и IT-сектор.
Если в феврале 2022 года проукраинские группировки атаковали организации для получения данных, то теперь они нацелены на повреждение инфраструктуры. За 2022-й количество успешных атак составило 220. В неполном 2024 году было зафиксировано 217 атак.
Продолжают шпионить за российскими компаниями и госорганизациями и азиатские группировки, рассказал "Известиям" эксперт.
😎 Подписаться на IZ.RU | Отправить новость ✉️
Писатели опасаются, что Microsoft собирает их тексты прямо из Word
В июне вокруг Adobe разразился скандал из-за упоминания в условиях использования её продуктов, что компания сможет вручную или автоматизированными средствами получать доступ к пользовательскому контенту. В интернете это интерпретировали так, что Adobe хочет буквально брать картинки из вашего Photoshop и обучать на них свой ИИ. Волна возмущения вынудила компанию оправдываться, что их не так поняли, и ещё раз поменять условия использования, в которых (версия от 18 июня 2024) прямо написано, что пользовательский контент не будет использован для обучения ИИ.
С отчасти похожей ситуацией может столкнуться Microsoft. В Твиттере завирусился пост о том, что Microsoft по умолчанию включил всем пользователям так называемые optional connected experiences якобы для того, чтобы скрейпить данные из Word и Excel и обучать на них свой ИИ.
(Отдельно стоит отметить, что в русском переводе Microsoft, увы, не смогла обеспечить единообразие, поэтому connected experiences называются то «сетевыми функциями», то «облачными функциями», то «подключёнными интерфейсами», то «подключёнными возможностями»).
Connected experiences действительно используют пользовательские данные, передают их на внешний сервер и там обрабатывают, в том числе с помощью машинного обучения. Например, это используется для прогнозирования текстовых подсказок, обработки введённого в Word поискового запроса и т.д. Подробнее о connected experiences можно узнать на сайте Microsoft (1, 2, 3, 4 — внизу можно переключить язык, но русский перевод не очень).
Однако, согласно материалам Microsoft, речь идёт не о сохранении всего содержимого документа, а об обработке конкретных запросов. Впрочем, разобраться как и для чего будут использоваться данные, непросто, исчерпывающего и чёткого ответа на сайте компании нет. Более того, опасения явно подпитываются общим недоверием к Big Tech'у и многочисленными примерами недобросовестного сбора и использования данных.
Что спровоцировало внимания к этим функциям? Если скандал вокруг Adobe начался с художников, то здесь тревогу забили писатели. Пару недель назад о возможной проблеме сообщил пост на сайте Илоны Эндрюс (коллективный творческий псевдоним писателей Илоны Гордон и её мужа Эндрю Гордона). В нём говорилось, что некоторые рекомендуют отключить connected experiences, так как Microsoft якобы использует собираемые данные для обучения ИИ. Более того, Microsoft, включив опцию всем пользователям, явно не хочет, чтобы её отключали, поскольку нужная галочка запрятана глубоко в настройках. При этом писатели не утверждали, что данные действительно собираются для обучения ИИ, но написали в конце, что было бы хорошо получить однозначный ответ на этот вопрос.
Эти инструкции, видимо, какое-то время гуляли по писательскому сообществу, и как раз скриншот из одного из таких постов от писателей был использован в завирусившемся твите, который попал и в поле зрения некоторых пользователей из сферы информационной безопасности. Если скандал продолжит расти, то рано или поздно представителям Microsoft придётся реагировать и вносить ясность в свои условия использования.
Но в чём писатели и возмущённые пользователи соцсетей точно правы, так в это в том, что optional connected experiences были включены всем без предупреждения, и что возможность отключить эти функции очень хорошо запрятана. Пользователи могут найти настройку здесь: File > Options > Trust Center > Trust Center Settings > Privacy Options > Privacy Settings > Optional Connected Experiences > убрать или поставить галочку возле Turn on optional connected experiences. Администраторы могут разрешить или отключить сетевые функции для всей организации.
Подходил к концу 2024-й год. Специалисты компании Volexity на практике наконец-то узнали то, о чем Cisco писала еще в 2000-м году в своей архитектуре безопасности Cisco SAFE: 🛡
Мишенью может стать любое устройство с IP-адресом, включая и сетевое оборудование!
Береговая охрана и Министерство внутренней безопасности США выпустили директиву, касающуюся кибербезопасности портовых кранов, произведённых в Китае. Американские власти обеспокоены тем, что возможность удалённо управлять кранами (через встроенные уязвимости) в сочетании с данными киберразведки об интересе Китая к нарушению работы американской критической инфраструктуры могут представлять угрозу национальной транспортной системе. Операторам кранов китайского производства, которые широко распространены в США, предписано обратиться к ответственным представителям (капитану порта или командующему округом) для получения непубличных инструкций с требованиями по управлению киберрисками.
Читать полностью…
Руководитель управления мэрии Новосибирска получил предостережение от регионального управления ФСБ из-за того, что летом инфраструктура городской администрации была заражена вредоносной программой, предназначенной для получения несанкционированного удалённого доступа.
«Это создало условия для уничтожения, блокирования, изменения, либо утечки хранящихся данных. Причиной компьютерного инцидента стало использование на веб-сервере устаревших версий программного обеспечения и несвоевременное проведение мероприятий по защите информационной системы учреждения».
Согласно РБК, сотрудники ФСБ и мэрии смогли блокировать вредоносное ПО и предотвратить нанесение ущерба. Предостережение же было сделано «в связи с выявлением созданных должностным лицом реальных условий, способствующих совершению преступления, предусмотренного ч. 1 ст. 274 УК России (нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей)».
Была ли угроза реальной? На этот вопрос наверняка могут ответить в Твери.
Идея обучать сотрудников навыкам информационной безопасности считается чем-то само собой разумеющимся, однако далеко не все задаются вопросам, насколько хорошо работают программы повышения осведомлённости.
Группа исследователей из Калифорнийского университета в Сан-Диего провела научный эксперимент на базе университетской здравоохранительной системы (UC San Diego Health) и пришла к не очень воодушевляющим выводам. На протяжении 8 месяцев учёные проводили рандомизированное исследование с участием более 19,5 тысяч сотрудников о том, делают ли поведение сотрудников более безопасным две наиболее распространённых формы обучения кибергигиене: ежегодный тренинг по повышению осведомлённости (в организации используется курс от KnowBe4) и имитированные фишинговые атаки (используется сервис Proofpoint).
От тренингов исследователи не нашли никакой пользы, а от периодических имитированных атак — крайне низкую, и в целом констатируют, что в той форме, в которой обучение проводится сейчас, оно не особо эффективно.
В свежей статье, которая так и называется — Understanding the Efficacy of Phishing Training in Practice, гораздо более детально описано, как учёные проводили исследование и пришли к этим заключениям. Так, например, отмечается, что на типичную имитированную атаку в среднем «клюёт» лишь малая доля сотрудников — около 10% (в среднем по медиане). Их переадресовывают на обучающие материалы, в то время как большая часть сотрудников никакого обучения не проходит. Но часто не проходят его и неудачливые сотрудники: больше чем в половине случаев тренинговые сессии после провала имитированной атаки закрываются в течение 10 секунд, а формально завершают обучение меньше четверти сотрудников.
Из более оптимистичных выводов исследователи отмечают относительную эффективность интерактивного типа обучения (по сравнению со статичными материалами). Сотрудники, полностью выполнившие интерактивное обучение с заметно меньшей вероятностью кликали по фишинговым приманкам. Однако таких сотрудников было не так много, и исследователи не дают ответа, можно ли масштабировать этот эффект на остальных.
Исследование не идеально, оно ограничено одной, пусть и большой организацией, но всё равно это больше, чем во многих других попытках оценить эффективность повышения осведомлённости. Ценители могут найти в статье обзор предыдущих исследований, а в приложении — перечисление использовавшихся сценариев имитированных фишинговых атак.
Безопасность ИИ попала в сеть
20 ноября прошло первое собрание Международной сети институтов безопасности ИИ из 9 стран (США, Великобритании, Австралии, Канады, Франции, Японии, Кении, Южной Кореи и Сингапура), а также Европейской комиссии.
На мероприятии собрались технические эксперты из правительств, промышленности, академических кругов и гражданского общества, чтобы обсудить, как управлять рисками, создаваемыми все более мощными системами искусственного интеллекта.
Встреча знаменует собой значительный шаг вперед в международном сотрудничестве по управлению ИИ. Отправной точкой для этого стало проведение в ноябре прошлого года первого саммита по безопасности ИИ, организованного Великобританией. Тогда была подписана Декларация Блетчли, согласно которой 28 стран взяли на себя обязательства совместно работать над формированием международной системы безопасного развития ИИ. Как раз в рамках форума Англия и США объявили о создании своих институтов безопасности ИИ (AISI), для того чтобы стать первопроходцами этого процесса. Другие же страны обязались создавать собственные институты.
Уже в мае этого года в Сеуле прошел второй форум безопасного ИИ, где США объявили о создании сети Международной сети институтов безопасности искусственного интеллекта, первая встреча которой прошла сейчас в Сан-Франциско.
В совместном заявлении члены Международной сети институтов безопасности ИИ изложили свою миссию: «быть форумом, объединяющим технические знания со всего мира», «способствовать общему техническому пониманию рисков безопасности ИИ и мер по их снижению на основе работы наших институтов и более широкого научного сообщества» и «способствовать общему пониманию и подходу к безопасности ИИ во всем мире, что позволит разделить преимущества инноваций в области ИИ между странами на всех этапах развития».
Примечательно, что подобная инициатива появилась на фоне растущей напряженности по вопросам ИИ между США и Китаем, чье отсутствие в сети примечательно. Сенатор США Чак Шумер так объяснил задачу новой сети: необходимо, чтобы Китай не мог «писать правила дорожного движения для ИИ».
Ключевая роль США в создании этой сети лишний раз подтверждает, что вопросы безопасного развития ИИ уже давно не только про безопасность, но и про политическое лидерство.
#aipolitics #aisafety
Европейский Союз согласовал общую декларацию по вопросу применимости международного права к киберпространству. Такие заявления — отдельный жанр в рамках ооновской кибердипломатии. В 2013 году участники Группы правительственных экспертов ООН согласились, что международное право применимо к использованию государствами ИКТ, но как именно — не договорились. С тех пор по этому поводу продолжаются дискуссии. В соответствии с мандатом последней ГПЭ (2019-2021 гг.) государства делились в добровольном порядке делились своими взглядами на эту проблему.
Упрощая, есть два основных подхода. Западный сводится к тому, что существующих норм международного права достаточно для регулирования действий в киберпространстве. Российский подход — нет, недостаточно, нужно принять новые юридические обязательства и заключить конвенцию.
Декларация ЕС по содержанию идёт в русле западного подхода. Примечательна она тем, что выработана на уровне всего объединения — ранее свои национальные позиции представляли отдельные европейские государства. Общий подход есть и ещё у одного объединения — Африканского союза.
Целиком документ будет интересен юристам-международникам. Отмечу вот такой момент, который всех волнует — когда, по мнению ЕС, можно применять силу в ответ на кибератаку. С точки зрения международного права, государству можно применять силу в качестве самообороны в ответ на вооружённое нападение (ст. 51 Устава ООН). А что такое вооружённое нападение в киберпространстве? На счёт этого есть разные мнения, одна из точек зрения — что для того, чтобы удовлетворять критериям вооружённого нападения, кибератака по своему эффекту должна быть похожа на обычную атаку. То есть, грубо говоря, DDoS сайта — это не вооружённое нападение, а вот если кибератака привела к последствиям, которые мог бы вызвать артиллерийский обстрел или бомбовый удар, то тогда да.
Как раз такого подхода придерживается ЕС: «Для того чтобы кибероперация представляла собой вооружённое нападение, её масштаб и последствия должны быть сопоставимы с последствиями обычного кинетического нападения. Степень любого повреждения или уничтожения имущества (включая инфраструктуру ИКТ), количество раненных или погибших людей, в том числе в качестве косвенных последствий, являются одними из значимых факторов для оценки того, являются ли масштабы и последствия кибероперации достаточно серьёзными, чтобы квалифицировать ее как вооружённое нападение».
Российская позиция о применимости международного права была представлена в 2021 году, но конкретных тезисов, допустим о вооружённом нападении она не содержит, поскольку Россия отстаивает необходимость совместной разработки соответствующих норм и принятия конвенции по международной информационной безопасности.
Украинский опыт киберобороны лёг в основу тренингового сервиса TRYZUB. Его рекламный ролик начинается со слов: «Извлеките уроки из первой в истории мировой кибервойны». Киберполигон для сервиса предоставляет компания Cyber Ranges. А специалисты украинского CERT (CERT-UA) / Госспецсвязи разработали сценарии учений, в ходе которых имитируются реальные атаки на критическую инфраструктуру. Участники учений будут в роли команды кибербезопасности будут противостоять группировкам, созданным по образу и подобию Gamaredon и Sandworm, — на промо-сайте они обозначены как Gamathreat и Sandthreat, причём у первой указан высокий уровень сложности, а у второй средний. Потенциальными клиентами Cyber Ranges рассматривает военные подразделения, правоохранительные ведомства, операторов критической инфраструктуры.
Cyber Ranges заключила меморандум о сотрудничестве с Госспецсвязью ещё в апреле 2022 года и помогала разрабатывать национальную систему уровней квалификации специалистов по кибербезопасности. Сервис TRYZUB — это государственно-частный проект, рассчитанный на получение прибыли, часть которой будет направлена на поддержку Украины.
У хакеров есть данные уже не почти всех россиян, как было в сентябре, а всех.
Читать полностью…
Дело Ленина (и Ермакова)
Завершились суды по двум фигурантам дела SugarLocker / Shtazi IT. В отношении Александра Ермакова был вынесен приговор — документ пока не опубликован, но предположительно (см. ниже) он получил два года условно. А вот второй фигурант Михаил Ленин (ранее Шефель), судя по информации на судебном портале Москвы, был признан невменяемым, и в его отношении было принято постановление о применении принудительных мер медицинского характера.
По удивительному совпадению на прошлой неделе Брайан Кребс опубликовал статью на основе интервью/переписки с Шефелем/Лениным. Именно из неё известно об условном сроке для Ермакова. Интервью прошло ещё до суда с самим Шефелем, поэтому свою вменяемость он никак не комментирует.
Желающие могут ознакомиться с интервью целиком или пересказом на русском. Шефель подтверждает свою причастность ко взлому американских магазинов Target и Home Depot десять лет назад, при этом организатором этих и других атак называет бывшего украинского кардера и политика Дмитрия Голубова. Также он рассказывает о некоторых других своих бизнесах. В частности, он называет партнёрскую программу SugarLocker, за которую Шефель с Ермаковым попали под суд, провалом и утверждает, что никакой прибыли от неё не было. (При этом в Австралии Ермаков попал под санкции — наложенные впервые в истории страны — за резонансную атаку на местного страховщика Medibank.)
Побудило же на интервью Шефеля то, что он несмотря на богатую биографию в настоящий момент оказался на мели и хотел бы благодаря сотрудничеству с Кребсом пропиарить свои новые проекты. Их названия Кребс не стал называть: «[П]отому что Шефель уже использует мою статью о нём от декабря 2023 года для рекламы того, что выглядит как [финансовая] пирамида, и чтобы напомнить российскому хакерскому сообществу о своих навыках и достижениях». Шефель даже предложил Кребсу подумать о совместном бизнесе, например по восстановлению утерянных паролей от криптокошельков или по продаже китайских товаров с большой накруткой.
Financial Times прокомментировала алармистское выступление британского министра Пэта МакФэддона о киберугрозах со стороны России.
Читать полностью…
Посмотрел текст законопроекта о введении уголовной статьи за кражу данных ко второму чтению, по поводу которого беспокоятся представители ИБ-отрасли (и не зря). Да, действительно, законопроект мало изменился с первого чтения, никаких исключений для исследователей киберугроз в нём не появилось.
Об этой проблеме я писал ещё год назад:
«Статья предусматривает наказание до 10 лет лишения свободы. В нынешнем виде она может трактоваться весьма широко. Под действия новой статьи могут подпадать как киберпреступные группы, недобросовестные сотрудники и участники схем пробива, так потенциально и обзванивающие граждан маркетологи, журналисты-расследователи или даже компании, анализирующие публичные утечки».
Учитывая, что за год в этом плане ничего не изменилось, можно смело предположить, что примерно в таком виде Госдума и примет законопроект (более того, текст для третьего чтения уже тоже доступен). Так что юристам компаний в сфере кибербезопасности, СМИ и других организаций придётся искать какие-то другие способы, как не попасть под действие будущей статьи 272¹ УК РФ.
Сервисы проверки утечек, в том числе на «Госуслугах» также могут оказаться не совсем законными.
Президент Microsoft Брэд Смит призвал Дональда Трампа прилагать больше усилий в борьбе с киберугрозами со стороны государств, прежде всего со стороны России, Китая и Ирана. Кибербезопасность «заслуживает того, чтобы стать более важным вопросом международных отношений», а будущий президент должен послать оппонентам Америки «чёткий сигнал».
Смит считает, что США не должны мириться с тем уровнем атак, с которым страна сталкивается сегодня. В частности с ransomware-атаками: по его словам, они часто совершаются преступными группами при попустительстве, а иногда и содействии российских властей.
Глава Microsoft хвалит администрацию Джо Байдена за огромный прогресс в области укрепления кибербезопасности, но призывает не останавливаться: «Нужны дальнейшие шаги, особенно в части разубеждения и сдерживания этих стран от проведения таких кибератак».
✅ APT-прогноз на 2025
Наши эксперты спрогнозировали основные векторы развития сложных угроз на 2025 год. За неприятными, но ожидаемыми прогнозами, вроде более активного применение устройств IoT для проведения атак или применения ИИ в целевых дипфейк-атаках, мы отправим вас на Securelist, а здесь немного подразним прогнозами необычными:
1️⃣не надо недооценивать хактивистов. Неформальные объединения хактивистских группировок вместе могут больше, чем по отдельности — от более мощных DDoS до обмена информацией для проведения деструктивных кибератак. Из свежих примеров: вал взломов французских компаний после ареста Павла Дурова.
2️⃣рост влияния open source. Злоумышленники переходят на более современные языки и средства разработки, чтобы эффективней применять открытый код. Одновременно они эксплуатируют инфраструктуру open source в атаках и пытаются компрометировать цепочки поставок.
3️⃣бэкдоры в ИИ. И мы не про вредоносные пакеты для работы с ChatGPT, а про попытки компрометировать сами модели.
Больше итогов 2024 года и прогнозов на 2025 читайте на Securelist.
#APT #итоги @П2Т
Как известно, главное в ходе расследования не выйти на самих себя
Крупные компании в области кибербезопасности опасаются рисков, которые могут появиться после принятия законопроекта об уголовной ответственности за работу с утечками персональных данных.
https://www.kommersant.ru/doc/7326471
МИД пояснил, в чём заключается идея дополнительного протокола к Конвенции ООН против киберпреступности, которую должны рассмотрет в Генассамблее в ближайшее время. Доппротокол должен обеспечить "криминализацию расширенного перечня преступных деяний, совершаемых с использованием информационно-коммуникационных технологий".
В ходе переговоров по проекту конвенции участники фактически пришли к тому же охвату, что и у Будапештской конвенции 2001 года, при этом Россия и другие страны хотели, чтобы в неё были включено большее число преступлений (первоначальный российский проект содержал 23 состава преступлений против 10, которые в итоге были согласованы).
Доппротокол позволит странам, придерживающимся такого подхода, расширить перечень преступлений. Но это будет сделано за счёт универсальности — проще говоря, уже не все участники конвенции, вероятно, подпишут доппротокол (так нередко бывает с многосторонними конвенциями).
Но это всё в будущем, до этого конвенция ещё должна быть одобрена и вступить в силу.
Исследователи Volexity опубликовали отчёт о расследовании инцидента, в ходе которого хакеры проникли в организацию изобретательным способом: сперва они взломали другую организацию (буквально через дорогу), с одного из её компьютеров нашли Wi-Fi сеть основной жертвы и попали в инфраструктуру, используя ранее подобранные учётные данные.
Конечной целью атаки была организация в Вашингтоне, первая активность злоумышленников была обнаружена в начале февраля 2022. В отчёте последовательно изложен ход расследования, на первых этапах которого специалисты Volexity не могли понять, как атакующим удалось подключиться к Wi-Fi жертвы. Тогда же обнаружилась попытка проникнуть в организацию через её интернет-ресурсы, во время которой атакующие смогли подобрать логины и пароли, но не сумели продвинуться дальше из-за многофакторной аутентификации.
После первого инцидента специалисты Volexity улучшили сбор логов в сети жертвы и в конечном счёте смогли установить, что атакующие подключались по беспроводному соединению с компьютера в соседней организации. Более того, позднее выяснилось что и к ней в свою очередь хакеры получили доступ, перепрыгнув по Wi-Fi из ещё одной, третьей организации, расположенной в том же здании.
Авторы отчёта отмечают, что ранее не сталкивались с такой атакой, когда взлом осуществляется по Wi-Fi из взломанной организации по соседству, и предлагают называть её Nearest Neighbor Attack.
Вначале исследователи не смогли атрибутрировать атаку известной APT. Но два года спустя благодаря отчёту Microsoft нашли следы использования инструмента APT28, и заключили, что за хитроумной атакой через цепочку Wi-Fi стояла именно эта группировка, которую связывают с Россией.
Сайт администрации Твери, недоступный в течение около трёх недель после кибератаки проукраинской группировки UCA, вновь заработал. Причём по нему теперь видно, к какой копии вынуждены были возвращаться администраторы. В разделах «Новости» или «Муниципальные правовые акты» идут недавние материалы, датированные ноябрём и концом октября. Но ниже хронология нарушается и переносится в 15 января. То есть, видимо, пришлось поднимать версию сайта, сохранённую больше 9 месяцев назад.
Читать полностью…
В Москве на следующей неделе пройдёт интересное для исследователей кибердипломатии мероприятие — открытая лекция вице-президента «Лаборатории Касперского» по связям с госорганами Юлии Шлычковой на Факультете мировой политики МГУ (правда, мероприятие только для студентов МГУ, но кто ищет, тот найдёт).
«На встрече она расскажет о современных киберугрозах и их влиянии на международные отношения, о работе Рабочей группы отрытого состава (РГОС) под эгидой ООН по выработке единых международных стандартов в области кибербезопасности, об инициативах России и роли «Лаборатории Касперского» в этом процессе, а также о сотрудничестве в сфере кибербезопасности на международном уровне».
В нынешней РГОС (2021-2025) участвует несколько негосударственных участников из России. Но в первой РГОС (2019-2021) «Лаборатория Касперского» была единственной организацией из России, правда, позиционирующей себя как международная компания. Также до сих пор один из всего двух ИБ-вендоров в рамках этого ооновского процесса, включая Microsoft. ЛК представляла в РГОС содержательные материалы технического характера (см. тут и тут), а в прошлом году предложила подготовить в ООН принципы ИИ для развития кибербезопасности. Сейчас компания уже так активно в ооновских дискуссиях не участвует, но так или иначе лекция — редкая для Москвы возможность узнать о том, как работает (или нет) мультистейкхолдерный подход применительно к переговорам о международной информационной безопасности.
На эту же тему — моё интервью из прошлой жизни с Анастасией Казаковой, которая ранее занималась направлением кибердипломатии в «Лаборатории Касперского».
Национальный координационный центр по компьютерным инцидентам, созданный ФСБ, расторг соглашение о взаимодействии с Positive Technologies. Основанием для этого стало «отсутствие взаимодействия по предусмотренным соглашением направлениям», говорится в сообщении, опубликованном на сайте ГосСОПКА. В самой компании назвали это «плановой активностью» и заявили, что Positive Technologies находится в процессе подписания нового соглашения
Читать полностью…
В начале ноября в Москве прошло очередное заседание Консультационного координационного центра ОДКБ по вопросам реагирования на компьютерные инциденты (структуры по взаимодействию между национальными CERT'ами). Среди обсуждавшихся тем — атаки на supply chain и утечки данных граждан и бизнеса:
«Выступающие отметили массовое увеличение количества атак с использованием цепочки поставщиков, интенсивное задействование различных взаимодействующих организаций и структур при их проведении.
Особую озабоченность участники заседания выразили в отношении угроз, связанных с утечками значительных массивов данных физических и юридических лиц, а также атак через доверенные внешние каналы взаимодействия, способствующие наступлению компьютерных инцидентов».
ФСБ предложила защитить от кибератак умные приборы учета электроэнергии
Федеральная служба безопасности (ФСБ) и Минэнерго обсуждают ужесточение требований к защите информации в интеллектуальных системах учета электроэнергии, узнал Forbes.
Предложения спецслужбы, если они будут утверждены, по данным источников, сделают обязательным оснащение умных счетчиков электроэнергии аппаратными средствами шифрования данных. По мнению компаний из энергетической отрасли, это приведет к увеличению стоимости приборов учета, по неофициальным оценкам, на 1000 рублей за каждый счетчик.
IT-эксперт объясняет регулирование большим количеством кибератак на энергокомпании, зафиксированных за последние несколько лет, но собеседники в отрасли энергетики не припоминают таких инцидентов с «умными» приборами учета.
Подробности на сайте
📸: Getty Images
Разведывательное объединение Five Eyes впервые встречается не в одной из стран-участниц, а в Японии, сообщает Nikei. Как отмечает издание, выбор места «отражает растущую значимость [Японии] в качестве базы для сбора разведывательной информации в Индо-Тихоокеанском регионе» в первую очередь о Китае.
Five Eyes включает агентства радиоэлектронной разведки и другие спецслужбы США, Великобритании, Канады, Австралии и Новой Зеландии.
Исследователи Unit 42/Palo Alto Networks выпустили отчёт о вредоносе под названием FrostyGoop, предназначенном для атак на систему управления промышленным оборудованием. Впервые о FrostyGoop летом рассказала компания Dragos, связав использование ВПО с кибератакой на энергетическую систему во Львове, из-за которой без тепла и света на двое суток остались 600 домов.
Ресёрчеры Palo Alto нашли и проанализировали новые сэмлпы FrostyGoop, а также предположительно связанного с ним ПО. В отчёте содержатся индикаторы компрометации, которых не было у Dragos.
Авторы не нашли подтверждений версии Dragos, что жертва была скомпрометирована через уязвимость в роутере, и считают, что вектором проникновения могло быть доступное в интернете OT-устройство. Они предостерегают, что хотя злоумышленники атаковали контроллеры ENCO, вредонос может использоваться для атаки на любые устройства, использующие протокол Modbus TCP, — согласно телеметрии компании, в интернете доступно более 6 млн таких устройств.
В США выдвинуты обвинения против россиянина, которого американские правоохранители считают администратором программы-шифровальщика Phobos. 42-летний Евгений Птицын был арестован в Южной Корее и экстрадирован в США, где 4 ноября впервые предстал перед судом. Согласно обвинительному заключению (не опубликовано), вместе с сообщниками он разрабатывал и по сервисной модели предоставлял доступ к вредоносной программе, с помощью которой партнёры (affiliates) шифровали данные в сетях жертв. Утверждается, что с декабря 2021 до апреля 2024 (когда его, видимо, арестовали) на криптовалютный кошелёк Птицына поступали платежи от партнёров за ключи для расшифровки данных. По оценке американских правоохранителей, число жертв Phobos в США и других странах превысило 1 тысячу, а в качестве выкупов злоумышленники смогли получить более 16 млн долларов.
Читать полностью…