5051
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования. Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
В следующую пятницу выступлю в Шанинке с лекцией на тему: «Как США расследуют трансграничные киберпреступления».
«Американские обвинения в адрес хакеров из других стран регулярно попадают в новости, но детали расследований обычно остаются за скобками. Как власти США ищут нарушителей за пределами своей территории? На примерах судебных материалов мы рассмотрим, на чём строятся громкие дела о киберпреступлениях, откуда американские правоохранители получают нужные данные и почему всё чаще стремятся вывести из строя инфраструктуру злоумышленников».
Лекция открытая, для участия нужно зарегистрироваться.
20 декабря, начало в 19:00.
Адрес: Газетный переулок, 3/5 строение 1, этаж 5.
Вы предупреждаете своих знакомых, если от них приходят подозрительные сообщения? Вот министр иностранных дел Бахрейна Абдуллатиф бин Рашид Аль-Заяни — да. В конце ноября он получил сообщение от своего французского коллеги Жана-Ноэля Барро: «Дорогой министр, надеюсь, у Вас всё в порядке. Можем ли мы созвониться?» Тон показался главе бахрейнскому министру (с инженерным образованием) необычным, и он, заподозрив взлом, предупредил французские власти.
Если Абдуллатиф бин Рашид Аль-Заяни продемонстрировал высокий уровень киберграмотности и поступил по всем инструкциям ИБ, то к Жану-Ноэлю Барро вопросов гораздо больше. Как сообщают СМИ, его личный смартфон был взломан 25 ноября во время встречи «Группы семи». Барро якобы получил сообщение в Signal и кликнул по фишинговой ссылке. Когда французы узнали о взломе, к расследованию подключилось Национальное агентство безопасности информационных систем (Anssi). Но специалисты столкнулись с трудностями: министр отказался предоставить телефон для более глубокого изучения под предлогом своего загруженного графика и дипломатических поездок.
Российские эксперты предлагают эскалацию в киберпространстве
В России продолжают звучать призывы активнее действовать в киберпространстве и проводить кибератаки против соперников на международной арене. Об этой тенденции я писал год назад: подобные идеи за последние пару лет высказывали как военные эксперты, так и некоторые представители власти, например, недавно назначенный губернатором Курской области Александр Хинштейн.
Очередной пример встречается в книге «От сдерживания к устрашению. Ядерное оружие, геополитика, коалиционная стратегия». В общих чертах, контекст следующий: ядерное сдерживание со времён холодной войны служит предотвращению ядерной войны между великими державами и — шире — вообще крупному конфликту между ними. И в этом качестве оно работает. Более того, эффект ядерного сдерживания распространяется дальше: например, США и страны НАТО не направляют свои воинские контингенты воевать за Украину в том числе из опасения, что это может привести к прямому столкновению с Россией и повысить риски эскалации до применения ядерного оружия. Но авторам книги — Дмитрию Тренину, Сергею Авакянцу и Сергею Каранагову — хотелось бы, чтобы ядерное сдерживание делало ещё больше, прежде всего заставило Запад ограничить или прекратить помощь Украине, а в идеале помогло выиграть войну. Чтобы это сработало, оппоненты России должны понять, какими последствиями грозят их действия, поэтому авторы предлагают сделать сдерживание более устрашающим.
В частности, в шестой главе книги Тренин, Авакянц и Караганов дают рекомендации, как двигаться вверх по «лестнице эскалации». Метафора лестницы была предложена американским учёным Германом Каном в 1960-х как попытка структурно описать международный конфликт на разных уровнях интенсивности. В отличие от Кана авторы книги используют термин не для описания уровней эскалации, а для предложения шагов, которые будут повышать градус конфликта. Конечная цель — чтобы соперник под страхом ядерной войны на каком-то этапе отступил.
В главе предложены политические, военно-технические и военные меры. И именно в числе последних упоминается «проведение кибератак против критической инфраструктуры, а также уничтожение логистики стран Европы».
Это упоминание мне кажется интересным по трём причинам. Во-первых, как я уже отметил в начале, это ещё одно проявление интереса российских экспертов — на этот раз ведущих геополитиков — к киберпространству с военной точки зрения. При этом растущий аппетит к проведению кибератак не сопровождается хоть какой-либо содержательной дискуссией о наступательных кибервозможностях (не путать с наступательной кибербезопасностью).
Во-вторых, показательно, что кибератаки против КИ перечисляются через запятую с уничтожением элементов логистики, то есть подразумевается некий схожий эффект. Очевидно, авторы исходят или из того, что у России уже есть такие возможности, или из того, что они возможны и должны быть созданы. То есть кибератаки воспринимаются как нечто, что может нанести сопоставимый ущерб инфраструктуре противника. Такие представления уходят корнями ещё в 90-е и даже 80-е годы, но опытом киберконфликтов они подтверждаются слабо.
В-третьих, в иерархии эскалационных мер, по мнению авторов, кибератакам будут предшествовать вывод из строя западных космических аппаратов и нанесение ударов по авиабазам на территории стран НАТО и другие меры, которые связаны с нанесением материального ущерба. Такая последовательность показывает, что эксперты рассчитывают с помощью кибератак нанести больший ущерб и вселить в западных лидеров больший страх по сравнению с предыдущими шагами.
В целом, конечно, упоминание кибератак в книге про ядерное сдерживание-устрашение можно назвать мимолётным и необязательным — без него содержание бы не изменилось. Тем не менее, оно не случайно и вписывается в русло ведущихся с 2022 года публичных обсуждений. Симптоматично, что призывающие к проведению кибератак никогда не делают очевидный, в общем-то, шаг и не задаются вопросом: «А что если в эту игру могут играть двое?» Наверно, потому что российская критическая инфраструктура настолько хорошо защищена.
Цветочный кибервор
В Казани вынесен приговор по незаурядному киберпреступлению — взлому сервиса по продаже цветов «Русский букет» , а точнее незаконному использованию ошибки сайта. Осуждённый 25 летний Аслан Шигапов обнаружил, что при оформлении заказа он может выставлять произвольную цену за любой букет, например 5 рублей. Отсюда родилась схема заработка: Шигапов, выступая как посредник, предлагал своим клиентам выбрать букет на сайте сервиса, но заплатить ему, после чего оформлял заказ с хакерской скидкой. Заказы оформлялись не только по России, но и в другие страны.
«На следствии Аслан Шигапов рассказывал — заказывал на свое имя цветы в Паттайю (Таиланд) , Аланию (Турция), Павлодар (Казахстан). По Татарстану оформлял покупки букетов с доставкой в Казань, Набережные Челны и Нижнекамск, по России — в Москву и города Подмосковья, а также Волгоград, Нижний Новгород, Сочи. При этом он нашел возможность модифицировать заявку таким образом, что с его счетов списывались символические суммы, а на портал уходила информация о полной оплате заказа. Поэтому схему хищения в «Русском букете» обнаружили далеко не сразу.
Шигапов успел оформить больше полусотни покупок на суммы от 900 рублей до 102 тысяч. В один из «урожайных» мартовских дней он заказал два букета из 202 белых эквадорских роз за 36,5 тысячи, два букета из 202 красных роз той же страны за 50,6 тысячи, шесть букетов тюльпанов по 11, 25 и 51 цветку в каждом — на 15 тысяч рублей. И за все это богатство он заплатил лишь 5 рублей!»
В приговоре перечислены названия похищенных букетов, среди них: «Сон принцессы», «Розовый жемчуг», «Счастливый мишка», «Ноты любви», «Пение птиц», «Королевский сад», букеты из 101 розы и так далее.
Как удалось взломать сервис? Согласно приговору, «при оплате оформленного заказа Шигаповым [...] путём возвращения на предыдущий этап производилась остановка загрузки веб-страницы, после чего у последнего появлялась возможность изменения стоимости заказа. После данного изменения Шигапов [...] возобновлял процесс покупки, который продолжался с учётом новой стоимости выбранных товаров».
Клиентов осуждённый находил среди своих знакомых и по объявлению на «Авито» от своего имени. Оплачивал заказы и получал деньги он с собственной банковской карты, через «ЮМоney» или через знакомых.
Ещё одна деталь: Шигапов занимался своим side hustle в рабочее время с компьютера своего работодателя ООО «СервисМонтажИнтеграция». В марте 2022 полиция сообщила службе экономической безопасности предприятия о действиях сотрудника, и того уволили по собственному желанию.
У истории относительно благополучный финал. После поимки Шигапов возместил пострадавшим (самому сервису и нескольким организациям-партнёрам) 1 882 500 рублей — впрочем, суд оценил ущерб ниже, в 1 миллион рублей. Возмещение, а также признание вины зачлись как смягчающие обстоятельства. Представитель потерпевших даже ходатайствовал о прекращении уголовного дела совсем, но суд в силу особо крупного размера ущерба на это не пошёл. Уголовное дело в отношении Шигапова по ст. 272 (неправомерный доступ к компьютерной информации) прекратили, а осуждён он в итоге был только по ч. 4 ст. 159.6 (мошенничество в сфере компьютерной информации; в особо крупном размере), получив год лишения свободы условно.
Так или иначе, это дело наконец отвечает на вопрос, как же бедный художник мог приобрести миллион алых роз.
Посетил с официальным визитом музей истории связи Узбекистана.
Читать полностью…
Время статистики
В этом году, по итогам 9 месяцев, было совершено 564 тыс. преступлений в сфере IT, рост составил 15,3% по сравнению с 2023 годом. Из всех преступлений это более 40% инцидентов.
Общий ущерб от них достиг 150 млрд. руб. только к сентябрю — данные Следственного комитета.
ГРЧЦ расставит приманки в сети
ГРЧЦ закупит право использования на ПО для предотвращения атак с помощью технологии киберобмана.
Программа реализует функционал системы раннего обнаружения атак, предназначенной для раннего обнаружения целевых атак на корпоративную сеть компании.
Принцип работы заключается в распространении приманок в корпоративной сети компании и своевременном реагировании на события безопасности, которые связаны с использованием злоумышленниками распространенных приманок
На покупку выделено 13 400 000,00 ₽.
Россия представила в ООН «Обзор соответствия нормативно-правовых актов и доктринальных документов Российской Федерации согласованным в ООН добровольным правилам, нормам и принципам ответственного поведения государств в области международной информационной безопасности».
Если совсем кратко, то национальные НПА и доктринальные документы ооновским добровольным нормам соответствуют.
Если более развёрнуто, то нужно сначала вспомнить, о каких нормах идёт речь.
Свод так называемых кибернорм появился в 2015 году в докладе действовавшей под эгидой ООН Группы правительственных экспертов (ГПЭ). Официально они наименовались так: «рекомендации в отношении добровольных и необязательных норм, правил или принципов ответственного поведения государств, призванных способствовать обеспечению открытой, безопасной, стабильной, доступной и мирной ИКТ-среды». Всего эксперты согласовали 11 норм. Они были приведены в параграфе 13 под буквами от a) до k). Идея заключалась в том, что этими нормами государства могут руководствоваться, чтобы избежать конфликтов, но при этом нормы остаются добровольными, поскольку часть стран не готовы брать на себя юридические обязательства. Набор норм был довольно широким, от укрепления стабильности и необходимости изучить всю информацию в случае атрибуции до реагирования на просьбы об оказании помощи, недопущения использования своей территории для ведения кибератак, обеспечения безопасности цепочек поставок, ответственного раскрытия уязвимостей и т.д.
В 2018 году по инициативе России Генассамблея ООН приняла резолюцию, в которой перечислялись уже 13 норм (примерно те же, но с переделанными формулировками).
В 2021 году завершили свою работу первая Рабочая группа открытого состава (РГОС) и очередная ГПЭ, и обе группы поддержали идею добровольных норм ответственного поведения, но по-разному. В докладе РГОС упомянуты 11 норм из доклада 2015 года, но одновременно признаются положения резолюции 2018 года, в которой 13 норм. Доклад ГПЭ добавил дополнительный уровень понимания для каждой из 11 норм.
Сколько же в итоге этих норм? Чаще всего упоминаются оригинальные 11 норм. Но они были выработаны только экспертами из 20 стран. Список из 13 норм был принят в составе резолюции Генассамблеи, за которую проголосовало большинство стран, то есть формально он получил более широкую поддержку.
Прошедшим летом в рамках действующей РГОС был предложен «Добровольный контрольный перечень практических действий по реализации добровольных, не имеющих обязательной силы норм ответственного поведения государств при использовании ИКТ» (приложение А к ежегодному докладу). Это такой чеклист, где для каждой из 11 (не 13) норм предложен список действий, которые государство может предпринять на национальном и международном уровнях.
Именно в этом контексте российская делегация представила обзор, не руководствуясь однако контрольным перечнем, потому что в нём не 13, а 11 норм.
В содержательном плане документ выглядит следующим образом: для каждой из 13 норм составители приводят релевантные выдержки из документов стратегического планирования, таких как Стратегия национальной безопасности 2021 года, Доктрина информационной безопасности 2016 года, Основы государственной политики в области международной информационной безопасности 2021 года; федеральных законов, в т.ч. №126-ФЗ «О связи», №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; УК, УПК и пр. Можно сказать, что проведена формальная проверка, есть ли в российских документах то, что соответствует ооновским нормам ответственного поведения, и по всем пунктам соответствие формально продемонстрировано.
Что бросилось в глаза: по норме 11 (ответственное представление информации о факторах уязвимости в сфере ИКТ / responsible reporting of ICT vulnerabilities) составители обзора приводят выдержки, касающиеся не раскрытия уязвимостей, а обмена информацией о компьютерных инцидентах, то есть из другой оперы. При том что Россия — одна из немногих стран наряду с США и Китаем, у которых есть национальная база уязвимостей и соответствующее нормативное основание.
Совсем не следил за делом Hydra, но по нему только что были вынесены приговоры 16 фигурантам. Станислав Моисеев, которого признали организатором площадки, приговорён к пожизненному лишению свободы и штрафу в 4 млн рублей; 15 человек приговорены к срокам от 8 до 23 лет в колонии особого и строгого режима. Дела ещё двух фигурантов до суда пока не дошли.
«Гидру» закрыли в 2022 году власти Германии, на территории которой была расположена инфраструктура маркетплейска. Однако, согласно МВД России, информацию о наличии серверов в Германии немцам передали российские коллеги. Подробнее об этом сообщалось ещё весной:
«Уголовные дела, связанные с незаконной деятельностью даркнет-площадки, полицейские расследовали с 2016 года. В 2021 году дела о преступном сообществе, которое создало и обслуживало платформу, переданы в Следственный департамент МВД России. Следователи и оперативники установили, что серверы, которые обеспечивают функционирование интернет-магазинов, работают на территории Германии. В начале 2022 года сотрудниками полиции во взаимодействии с иностранными коллегами проводились мероприятия по пресечению противоправной деятельности платформы Hydra. С зарубежными партнерами были достигнуты договоренности о порядке документирования деятельности группировки и сроках задержания ее участников. Однако правоохранительными органами Германии принято решение о прекращении взаимодействия с Россией.
Ими в одностороннем порядке были изъяты серверы маркетплейса, которые располагались на территории ФРГ, а все совместно наработанные материалы переданы представителям США. Как отметили в МВД, мировыми СМИ роль правоохранительных органов России в ликвидации транснациональной криминальной структуры Hydra умышленно умалчивалась. Кроме того, отказ иностранных коллег от сотрудничества с Россией стал причиной, по которой часть причастных к созданию и администрированию интернет-площадки лиц оставались неустановленными».
Арестованы активы обвиняемых по делу криптовалютной биржи Cryptex.
"Материалы уголовного дела криптовалютной биржи Cryptex, участники которой обвиняются в извлечении преступного дохода, переданы для дальнейшего расследования в центральный аппарат Следственного комитета РФ, - сказал собеседник агентства. - В рамках предварительного следствия по делу на установленные следователями активы, банковские счета и другую недвижимость столичными судами наложен обеспечительный арест".
Новый комитет ООН займется защитой подводных кабелей
Международный союз электросвязи (МСЭ) ООН при участии Международного комитета по защите кабелей (International Cable Protection Committee, ICPC) сформировали консультативный орган в сфере устойчивости подводных кабелей
- International Advisory Body for Submarine Cable Resilience.
Как отмечают в ООН, в год фиксируется от 150 до 200 аварий, связанных с подводными кабелями. При этом по подводным линиям связи передаётся до 99% всех данных в мире.
Новый орган займётся вопросами повышения устойчивости кабелей путём распространения знаний о передовом опыте среди правительств и участников этого рынка.
- https://www.itu.int/en/mediacentre/Pages/PR-2024-11-29-advisory-body-submarine-cable-resilience.aspx#/ru
- https://www.itu.int/en/digital-resilience/submarine-cables/Pages/default.aspx
Хакеры зашифровали оборудование одной из больниц Нефтеюганска, рассказал на заседании Думы Ханты-Мансийского автономного округа замгубернатора региона Павел Ципорин. Правда, без особых подробностей.
«Иностранные хакеры взломали систему одной из больниц Нефтеюганска, зашифровали оборудование и потребовали от руководства тысячи долларов. Об этом рассказал замгубернатора ХМАО Павел Ципорин в ходе комитета по развитию гражданского общества в Думе округа.
«Причиной взлома стали нерадивые сотрудники информационной безопасности больницы. Не раз рассказывали о способах защиты, но, к сожалению, они к нам не прислушались. В итоге в систему больницы проникли злоумышленники, которые зашифровали оборудование и сервера. С них требовали деньги, насколько я помню, несколько тысяч долларов», — рассказал Ципорин.
Восстановить работу учреждения удалось после вмешательства сотрудников службы безопасности департамента информационных технологий ХМАО. При этом уточнять, о какой именно больнице идет речь, он не стал».
Активы компании—разработчика средств защиты информации F.A.C.C.T. (ранее — GroupIB) выкупаются фондом в области кибербезопасности «Сайберус», созданным сооснователем ИБ-вендора Positive Technologies Юрием Максимовым и частными инвесторами. Сделка необходима для создания на основе активов F.A.C.C.T. новой компании в области кибербезопасности, название которой не раскрывается.
https://www.kommersant.ru/doc/7343322?tg
В Калининграде хотят судить Wazawak'у
Калининградские МВД и прокуратура сообщили, о направлении в суд дела по ч. 1 ст. 273 УК РФ в отношении 32-летнего местного жителя, который якобы намеревался заниматься кибервымогательством.
«По версии следствия, в январе 2024 года он с целью получения незаконной прибыли разработал специализированное вредоносное программное обеспечение, предназначенное для шифрования файлов и данных без ведома и согласия пользователей компьютерного оборудования.
Вредоносную программу обвиняемый планировал использовать для шифрования данных коммерческих организаций с последующим получением выкупа за дешифрование».
Согласно источнику РИА Новости, подозреваемый — это объявленный в розыск в США Михаил Матвеев. В мае 2023 американские власти обвинили россиянина по имени Михаил Матвеев (также известного по никам Wazawaka, m1x, Boriselcin, Uhodiransomwar) в причастности к кибератакам с использованием разных вариантов программ-шифровальщиков и назначили награду в 10 млн долларов за информацию о нём. Ещё за год до этого Wazawaka рассказывал в интервью The Record о своей роли в ransomware-отрасли в качестве брокера первоначального доступа.
Кстати, забыл добавить, что предложение российских экспертов-геополитиков проводить кибератаки против европейской критической инфраструктуры отлично рифмуется с представлениями некоторых европейских чиновников, например, британского министра Пэта Макфаддена. В конце ноября он заявил: «Но кибервойна также может оказать дестабилизирующее и разрушительное воздействие. С помощью кибератаки Россия может отключить свет миллионам людей. Она может вывести из строя электросети». Правда, ряд западных специалистов подверг это выступление критике за преувеличение угрозы со стороны России (а Financial Times выпустила карикатуру про состояние британской инфраструктуры).
Читать полностью…
Одним из значимых событий, произошедших во время моего отпуска, стало принятие двух законов 👨⚖️ об оборотных штрафах за инциденты ИБ с ПДн и введении уголовки 😡 за незаконную обработку ПДн. Законы сырые, как кеды 👟 во время ливня, но их инициатор свалил в кресло губернатора; так что на правки рассчитывать не приходится. Поэтому подсобрал все, что мне ✍️ кажется важным относительно этих законов, подсветил косяки, обратил внимание на несуразности.
Сделает ли новое законодательство наши ПДн защищеннее? Не уверен. Вырастет ли рынок ИБ от этого? ↗️ Незначительно. Но вот спама от вендоров / интеграторов / консультантов / оргов мероприятий станет точно больше 🤪
ЗЫ. Доступ к моему сайту может быть ограничен по не раз описанным мной причинам. Ну да для специалистов это не проблема же 🤔
Громкие атаки шифровальщиков в 2024 году — в частности, инциденты с оператором доставки посылок и грузов СДЭК и сервисами ВГТРК — заставляют бизнес все чаще обращаться к облачным провайдерам за услугами резервного копирования и хранения данных. Особенно высокую динамику роста использования объектных хранилищ (технологий для удобного и надежного хранения большого объема данных) участники рынка отмечают в медиаиндустрии.
По оценкам Strategy Partners, объем сегмента резервного копирования к 2030 году достигнет 22,6 млрд рублей.
Спрос на резервное копирование данных в облаках растет во всех отраслях, констатирует директор по продуктам МТС Web Services Михаил Тутаев, по оценкам которого за год закупки этого сервиса в виртуальной инфраструктуре компании выросли более чем на 40%. «Чуть быстрее растет спрос на технологию в сфере телевизионного и радиовещания, издательской деятельности и деятельности в области информационных технологий — закупки бэкапов в этих отраслях за год увеличились более чем в 1,6 раза», — говорит Тутаев.
Директор по развитию SaaS в VK Tech Андрей Бунин отмечает «большой запрос на хранение данных в S3» у российских компаний. Объектное хранилище S3 — одно из самых популярных решений в области облачного хранения данных для работы сервисов и их бэкапов. Технология позволяет не только хранить терабайты данных, но и масштабировать бизнес.
О том, почему бизнес все чаще покупает услуги резервного копирования — в нашем материале
📸: Getty Images
Беларусь предлагает отказаться от применения кибероружия
В конце октября Александр Лукашенко предложил принять международный правовой акт о киберненападении. По его мнению, такой документ должен стать одной из четырёх первостепенных мер по деэскалации напряженности в мире.
«В киберсфере также бесконтрольно развивается целая индустрия, направленная на создание и внедрение вредоносных решений, влекущих последствия глобального масштаба. Никакое ядерное оружие не надо.
Необходимо принять международный правовой акт о киберненападении, предполагающий отказ от применения друг против друга этого оружия, а также формирование системы контроля за его разработкой и использованием. Кибероружие. И тут уже кто умнее - тот и победит».
С белорусской стороны более развёрнутого предложения пока не появилось, но на прошлой неделе эту инициативу в ООН поддержала российская делегация:
«Россия поддерживает инициативу Президента Белоруссии о принятии международно-правового акта о ненападении в цифровой сфере и создании соответствующей системы контроля (представлена 31 октября 2024 г. в ходе II Минской международной конференции по евразийской безопасности). Такой инструмент позволил бы не только оформить права и обязанности государств в информпространстве, но и урегулировать проблему политической атрибуции компьютерных атак Приоритетные задачи – содействовать предотвращению конфликтов в сфере использования ИКТ и мирному применению этих технологий, укрепить сотрудничество стран по МИБ при неукоснительном соблюдении основополагающего принципа Устава ООН – суверенного равенства государств».
Помните, 7-го ноября ЦМУ ССОП, находящийся в ведении подведомственного Роскомнадзору ГРЧЦ, рекомендовал владельцам информационных ресурсов отказаться от использования услугами CloudFlare? 😠 И можно было бы забыть про эту новость, если бы подписчик, за что ему спасибо, не обратил мое внимание на вопиющий факт. Один из сайтов ГРЧЦ по-прежнему продолжает использовать сервисы Cloudflare, о чем ярко свидетельствуют результаты запросов WHOIS через Техцентр Интернет (ТЦИ) 🤠 То есть кому-то все-таки можно? Может и средства обхода блокировок в ГРЧЦ используют, чтобы на YouTube 📱 ходить?
И спрашивается... какого хрена?! 😡
Шифровальщики против водки
В США подали на банкротство две дочерние компании Stoli Group (Люксембург) — владельца бренда водки Stolichnaya. Согласно заявлению Криса Калдвела, президента Stoli Group USA и Kentucky Owl, одним из оснований банкротства стала кибератака:
«В августе 2024 года в результате компрометации данных и атаки с использованием программы-шифровальщика в ИТ-инфраструктуре Stoli Group произошёл серьёзный сбой. Атака вызвала существенные проблемы в работе всех компаний, входящих в Stoli Group, включая Stoli USA и [Kentucky Owl], поскольку система планирования ресурсов предприятия (ERP) Stoli Group была выведена из строя, а большинство внутренних процессов Stoli Group (включая бухгалтерские функции) были переведены в ручной режим. Эти системы будут полностью восстановлены не ранее первого квартала 2025 года».
Помимо кибератаки трудности, с которыми столкнулись американские дочки Stoli Group, объясняются многолетним спором с российским правительством по поводу брендов Stolichnaya и Moskovskaya, а также инфляцией и общим состоянием мировой экономики.
«НКО «Фонд православного телевидения», которому принадлежит телеканал «Спас», обвинил Alphabet Inc. (материнская компания Google) в «систематическом и намеренном» неисполнении обязательств по раскрытию информации в рамках публичной отчетности. В заявлении, направленном 11 ноября фондом в Комиссию по ценным бумагам и биржам США (SEC), указано, что американская корпорация скрыла информацию об объеме и характере своих финансовых обязательств перед российскими телеканалами, несмотря на то что она является существенной для акционеров Alphabet (копия документа есть у РБК, его подлинность подтвердил источник, знакомый с ходом дела)».
https://www.rbc.ru/technology_and_media/03/12/2024/674d5e1d9a794708b5f13674
Первые результаты работы реестра контактных пунктов ООН неутешительны. По словам представителя российской делагации в Рабочей группы открытого состава Ирины Тяжловой, за более чем полгода с момента запуска этой сети контактов Россия не получала уведомлений от стран, которые выдвигают обвинения против неё:
"Вновь обращаем внимание на то, что никаких доказательств причастности России к компьютерным атакам представлено не было, обращений по двусторонним и многосторонним каналам не поступало. Показательно, что глобальный межправительственный реестр контактных пунктов работает с мая 2024 года – и никаких запросов от якобы пострадавших мы за данный период не получали. Все это говорит о том, что эти страны заинтересованы не в расследовании инцидентов, а лишь в мегафонной дипломатии".
Использовала ли Россия реестр контактных пунктов для уведомления стран Запада перед своими обвинениями, не уточняется, но предположу, что тоже нет. Чуть более развёрнуто писал об этой проблеме весной.
Уточнение по поводу вчерашней новости о деле «Гидры». В СМИ создателем площадки назван Станислав Моисеев. Однако в 2022 году одним из основателей Hydra называли не его, а Дмитрия Павлова. В начале апреля 2022 одновременно с немецкой операцией против «Гидры» Минюст США выдвинул обвинения против Павлова, назвав его администратором площадки. Вскоре после этого Павлов был арестован в Москве. Согласно «Коммерсанту», Павлов и его предполагаемый сообщник Борис Губко проходили по тем же статьям, что и другие осуждённые по делу «Гидры», но их дело не дошло до суда.
Читать полностью…
«Лаборатория Касперского» обнаружила целевые атаки на российские компании, занимающиеся автоматизацией бизнеса
Эксперты «Лаборатории Касперского» обнаружили целевые атаки на российские компании, занимающиеся продажей и сопровождением ПО для автоматизации бизнеса. Для заражения злоумышленники использовали ранее неизвестный бэкдор (вредоносную программу, предназначенную для скрытого удалённого управления устройством) BrockenDoor, а также уже хорошо известные бэкдоры Remcos и DarkGate. В результате они могли получать доступ к устройствам жертв и похищать конфиденциальные данные.
Подробнее читайте в новости.
«Нужны собственные платформы для искусственного интеллекта, нужны собственные языки разработки, технологии разработки собственной, которых у нас вообще-то нет совсем. Мы сидим полностью на иностранном. И то и другое, кстати, характерно тем, что оно коммерчески невыгодно, т. е. если это отдать на откуп рынку, рынок не сделает ничего. И кто должен этим заниматься? Наверное, государство должно заниматься», – сказала Касперская.
https://www.vedomosti.ru/technology/articles/2024/12/02/1078421-natalya-kasperskaya-predlozhila-gosudarstvu-profinansirovat-sozdanie-yazika-razrabotki-dlya-ii
Корейскую фирму обвинили в намеренном внедрении в несколько сотен тысяч произведённых ей спутниковых приёмников функции для проведения DDoS-атак. Согласно пресс-релизу расследовательского подразделения Национального агентства полиции, к ответственности были привлечены 5 руководителей неназванной корейской компании (Компания Б), в т.ч. гендиректор, а один иностранный гражданин, представитель компании-клиента (Компания А), был объявлен в розыск.
В июле корейская полиция получила наводку от Интерпола о том, что устройства, которые зарубежная Компания А закупает у корейской Компании Б, содержат вредоносную функциональность, и при проверке эта информация подтвердилась.
Расследование показало, что две компании сотрудничали с 2017 года. В ноябре 2018 года Компания А сообщила Компании Б, что она подвергается DDoS-атакам со стороны конкурентов, и попросила внедрить в оборудование возможность для ведения контратак. Компания Б внедрила вредоносную программу в 240 тысяч своих устройств через обновления встроенного ПО (firmware), а также поставила 98 тысяч устройств, уже содержащих эту функцию.
Полиция конфисковала 6,1 млрд корейских вон (4,3 млн долларов), полученных Компанией Б от экспорта устройств с вредоносной программой, посчитав их доходами от преступной деятельности. Кроме того, корейские правоохранители рассчитывают провести международное расследование в отношение Компании А, которая оказалась вне их досягаемости.
Путин подписал законы, ужесточающие наказание за утечки персональных данных. Они вводят оборотные штрафы для компаний за утечки, а также устанавливают уголовную ответственность за незаконное использование и передачу персональных данных, максимальное наказание за это — 10 лет лишения свободы
Читать полностью…
Сбой в работе банковских сервисов, служб доставки и операторов связи вызван, по предварительным данным, неполадками на стороне одного из облачных сервисов, сообщили в Центре мониторинга и управления сетью связи общего пользования Роскомнадзора.
Как сообщли РБК в Yandex Cloud, в одной из трех зон доступности сервиса проблемы с сетевой связностью. «Инцидент привел к деградации сервисов некоторых клиентов. Техническая команда уже работает над исправлением инцидента», – отметили в компании.
Там добавили, что восстановление ожидается в течение получаса.
🐚 Картина дня — в телеграм-канале РБК
📑 TaxOff: кажется, у вас… бэкдор
В третьем квартале специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак, направленных на государственные структуры России. Связей с уже известными группами, использующими такие же техники, нам установить не удалось.
😐 Основными целями киберпреступников были шпионаж и закрепление в системе для развития последующих атак. Эту группировку мы назвали TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок. В своих атаках злоумышленники применяли написанный минимум на C++17 бэкдор, который мы назвали Trinper из-за артефакта, используемого при соединении с C2-сервером.
📩 Начальный вектор заражения — фишинговые письма. Мы обнаружили несколько таких: в одном была ссылка на Яндекс Диск с вредоносным содержимым, связанным с «1С», в другом — фальшивый установщик ПО для заполнения справок о доходах и расходах, которые госслужащим необходимо подавать каждый год. И ежегодно это ПО обновляется и становится целью злоумышленников, распространяющих вредоносы под видом обновлений.
Trinper — написанный на C++ многопоточный бэкдор с гибкой конфигурацией, в котором используются шаблонный метод в качестве паттерна проектирования, контейнеры STL, буферный кэш для повышения производительности.
🧐 Подробный анализ бэкдора и действий группировки TaxOff, а также индикаторы компрометации вы можете найти в отчете.
#TI #APT #IOC #Reverse
@ptescalator