Обзор важных материалов по ИБ 08.07.2024

Государственные инициативы.

  • Главы Минобороны и Минцифры России договорились о подтверждении льгот участникам СВО без бумажных документов. Министр обороны РФ Андрей Белоусов и министр цифрового развития, связи и массовых коммуникаций Максут Шадаев обсудили реализацию модели «бездокументационного» подтверждения льгот всеми участниками специальной военной операции, сообщило Минобороны. Планируется, что граждане смогут начать получать услуги в цифровом виде в июле-сентябре 2024. Андрей Белоусов и Максут Шадаев утвердили целевую модель и этапность получения документов в цифровом формате, в том числе онлайн, через портал государственных услуг или в МФЦ.
  • Опубликовано поручение президента России о подготовке кадров в сфере квантовых технологий. Владимир Путин поручил правительству совместно с общественной организацией «Российский союз промышленников и предпринимателей» и иными заинтересованными организациями рассмотреть вопрос о создании консорциума, объединяющего представителей деловых кругов и ведущих образовательных организаций высшего образования, для подготовки кадров в сфере квантовых технологий. Доклад необходимо представить до 1 августа 2024 года. Поручение дано по итогам ежегодного съезда Российского союза промышленников и предпринимателей (РСПП) в апреле. На заседании в апреле член правления РСПП Иван Утенков (группа компаний «Беспилотные технологии») затронул тему нехватки кадров и низкой квалификации специалистов в отраслях квантовых технологий, робототехники и беспилотников. По открытым данным, в 2022 году нехватка инженеров в области квантовых технологий составляла тысячу человек, в 2023 году дефицит вырос. За год в стране выпускается 450 «квантовых» магистров. «Это несопоставимо мало», – сказал представитель РСПП.
  • Гарда улучшила производительность системы Anti-DDoS. В новой версии «Гарда Anti-DDoS» расширена возможность автоматического подавления атак, усилен контроль доступа, повышена точность фильтрации трафика. Система самообучается без влияния на защищаемые сервисы и повышает эффективность расследования инцидентов. Группа компаний «Гарда» масштабно обновила систему «Гарда Anti-DDoS» (ранее «Периметр»). Разработчики усовершенствовали методы подавления атак на пограничных маршрутизаторах сети, настройку правил фильтрации атакующего трафика без блокировки легитимного. Так, в метод «BGP FlowSpec» можно добавить пять правил вместо одного, а в методе «Blackhole-маршрутизация» появилась возможность вручную указать префиксы для блокировки. Оба метода позволяют системе самостоятельно блокировать трафик на ресурсы под атакой. Расширены правила детектирования метода «Зомби», который предназначен для ограничения трафика, превышающего заданные пороговые значения. Теперь вредоносный трафик выявляется не только по метаданным (заголовкам, IP-адресам и портам), но и по содержимому пакетов с помощью регулярного выражения. Эти изменения повышают точность выявления «зомби» и скорость реакции на DDoS-атаки. Пользователям «Гарда Anti-DDoS» стала доступна опция конфигурации до пяти правил с регулярными выражениями и фильтрации трафика TCP/UDP по содержимому пакета. У такой фильтрации выше точность, так как разный трафик обрабатывается разными регулярными выражениями. Контроль доступа к системе в новой версии адаптирован к конкретным потребностям и требованиям политик безопасности – группам пользователей теперь можно ограничить доступ с IP-адресов, не входящих в список разрешенных из «белого списка».
  • Постановлением правительства изменён порядок учёта IT-активов ФОИВ. Председатель правительства подписал постановление, которым с 1 января 2025 года вводится новый порядок учёта IT-активов, принадлежащих федеральным органам исполнительной власти и органам управления государственными внебюджетными фондами. Действующее до настоящего времени постановление правительства РФ от 26.06.2012 № 644 «О федеральной государственной информационной системе учёта информационных систем, создаваемых и приобретаемых за счёт средств федерального бюджета и бюджетов государственных внебюджетных фондов» признаётся утратившим силу. Органам государственной власти субъектов РФ, органам местного самоуправления, а также государственным корпорациям, государственным компаниям и публично-правовым компаниям рекомендуется обеспечить ведение учёта IT-активов в соответствии с новым порядком.
  • Заседание антимонопольного комитета БРИКС – цифровые платформы стали главной темой. В год председательства РФ в БРИКС ФАС России провела заседание координационного комитета БРИКС по антимонопольной политике, одной из главных тем стало совершенствование антимонопольного регулирования в условиях цифровой экономики, сообщило ведомство. В заседании, с учётом принятого лидерами стран БРИКС по итогам саммита в Йоханнесбурге решения о присоединении к объединению пяти новых стран (24 августа 2023 года), впервые приняли участие руководители конкурентных ведомств девяти стран: Бразилии, России, Индии, КНР, ЮАР, Египта, Ирана, ОАЭ и Эфиопии. Главы ФАС рассказали об опыте антимонопольного регулирования в своих странах. Так, комиссия по конкуренции ЮАР сообщила о завершении масштабного секторального исследования цифровых платформ. КНР и ОАЭ продолжают вносить изменения в свое законодательство в части контроля за деятельностью цифровых платформ.
  • Председатель правительства дал поручения по итогам ЦИПР 2024. Глава правительства РФ Михаил Мишустин дал поручения по итогам IX конференции «Цифровая индустрия промышленной России» (ЦИПР), сообщается на сайте government.ru, сами поручения при этом пока не опубликованы. Конференция проходила в Нижнем Новгороде с 21 по 24 мая 2024 года. Правительство планирует снизить расходы предприятий и компаний при реализации комплексных проектов по внедрению российского программного обеспечения и программно-аппаратных комплексов и ввести федеральный инвестиционный налоговый вычет. Проработать возможность его введения поручено Минцифры и Минфину.
  • Более 6 миллиардов рублей в ИБ: Яндекс отчитался о прогрессе в устойчивом развитии. Яндекс опубликовал отчет, в котором подробно описано, что было сделано за 2023 год в приоритетных для компании направлениях, в том числе в области информационной безопасности. Согласно документу, Яндекс продолжил вкладываться в образовательные проекты, развивать системную благотворительность, адаптировать сервисы под потребности людей с особенностями здоровья, разрабатывать новые меры поддержки для партнеров и внедрять экологические инициативы. Компания потратила 6 миллиардов рублей на цифровую безопасность, чтобы усилить защиту данных пользователей, повысить безопасность инфраструктуры, а также развивать технологии для борьбы киберпреступниками. Пользователи Яндекс ID получили возможность подключить авторизацию по лицу, отпечатку пальца, а также входить по картинке. За 2023 год Яндекс ID предотвратил 50 млн подозрительных попыток входа в более чем в 20 миллионов аккаунтов. Яндекс Такси и сервисы доставки опубликовали политики в области безопасности. В них прописаны меры и инструменты, которые защищают пользователей и партнеров на всех этапах взаимодействия с сервисами. Например, среди мер прописаны мониторинг скорости и манеры вождения, страхование здоровья и жизни на случай ДТП, защита персональных данных пользователей и партнеров. «Устойчивое развитие для Яндекса — это системная работа, благодаря которой мы можем приносить пользу людям, делать их повседневную жизнь удобнее и открывать для них новые возможности», — говорит Дарья Золотухина, HR-директор Яндекса. Полную версию отчета можно найти на сайте, посвященном устойчивому развитию, а наиболее интересные факты из него — на специальном лендинге. Кроме этого, Яндекс подготовил комикс про технологии и людей, который поможет ближе познакомиться со вкладом технологий компании в жизнь людей и общество.
  • «Эльбрус» раскрывает секреты: новая эра российских процессоров начинается с открытого кода. В новую эпоху разработки российских процессоров «Эльбрус» входит с открытой дверью. МЦСТ объявил о начале новой стратегии взаимодействия с отечественным и международным разработчиками, раскрывая исходные коды ядра Linux, системных библиотек и специализированных патчей для архитектуры «Эльбрус». Это шаг, как заявляет заместитель генерального директора по маркетингу Константин Трушкин, направлен на сотрудничество и развитие открытых технологий, которые будут способствовать адаптации ПО под особенности данной платформы. МЦСТ, столкнувшийся с вызовами в доступе к международным полупроводниковым производственным мощностям из-за геополитических напряженностей, не собирается сдаваться. По словам Трушкина, компания уверена, что в ближайшие годы ситуация изменится к лучшему, благодаря планам по запуску новых и модернизации существующих полупроводниковых заводов в России. Открытие кода не только упрощает жизнь текущим партнерам МЦСТ, но и открывает двери для новых игроков, желающих разрабатывать решения на базе «Эльбрус». Компания надеется, что такой шаг способствует формированию мощного, международного сообщества разработчиков, которые смогут поднять российские технологии на новый уровень. Сформированное вокруг «Эльбруса» сообщество разработчиков получит не только доступ к коду, но и подробное понимание уникальной архитектуры этих процессоров, что, по мнению экспертов, является критически важным для разработки эффективного и оптимизированного ПО. Со всеми этими шагами МЦСТ не только подтверждает свою приверженность принципам открытости и сотрудничества, но и готовится к будущему, в котором российские чипы будут играть всё более заметную роль на глобальном технологическом арене.

Инциденты и угрозы.

  • Выявлены и опубликованы персональные данные свыше тысячи украинских операторов БПЛА. Группировка «Русские злые хакеры» RaHDit опубликовала на сайте своего проекта «Немезида» персональные данные (ПД) около 1200 лиц, причастных к работе украинских беспилотников (БПЛА), говорится в опубликованном во вторник сообщении в Telegram-канале RaHDit. Хакеры утверждают, что раскрыли ПД тех, кто «кидает нашим ребятам гранаты с неба, наводит артиллерию, а также бьёт по мирным гражданам в глубоком тылу». Список включает сведения об операторах, осуществлявших атаки на аэродромы в Калужской, Рязанской и Саратовской областях.
  • Мошенники на охоте: фальшивые НОКи обходятся дорого. Новая мошенническая волна захлестнула строительный сектор России. Киберпреступники создают фальшивые сайты, которые маскируются под платформы для прохождения независимой оценки квалификации (НОК). Эти сайты обещают помочь строителям подтвердить их профессиональные стандарты и продлить права на работу. Однако вместо помощи специалисты оказываются обмануты, лишившись личных данных и средств. Уже обнаружено более 3800 подобных веб-ресурсов. Мошенники привлекают жертв, предлагая быстрое и гарантированное прохождение аттестации. За услуги просят от 20 тысяч рублей, а первый шаг — это заполнение формы с персональной информацией. После этого связь с «сотрудником» ведет к потере данных и денег. Эксперты настоятельно рекомендуют строителям обращаться за услугами аттестации только через проверенные и официальные каналы, чтобы избежать подобных рисков.
  • Взломанное ПО — ловушка: киберпреступники расставили сети на 1300 сайтах. Аналитики  F.A.C.C.T. обнаружили масштабную кампанию по распространению вредоносного ПО. В марте 2024 года аналитики Центра кибербезопасности F.A.C.C.T. выявили масштабную кампанию по распространению вредоносного программного обеспечения (ВПО) под видом взломанных программ. Инцидент произошел в одной из российских компаний, когда сотрудник скачал вредоносный файл, который был идентифицирован как Vidar — шпионское ПО, собирающее данные с компьютера жертвы. Собранные пользовательские данные могут использоваться для угона аккаунтов в мессенджерах, например, Telegram, хищения денежных средств с банковских карт и криптокошельков. Помимо кражи данных, Vidar может применяться в качестве загрузки других модулей вредоносного ПО. Аналитики установили, что вредоносный архив был загружен с файлообменника MediaFire, а перед этим пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты, офисные приложения — как их взломанные версии, так и отдельно активаторы к ним — ПО, предназначенное для обхода встроенных систем защиты программ от неавторизованного использования.
  • OpenAI закрывает доступ китайским компаниям к своим продуктам — СМИ. Владелец сервиса генеративного искусственного интеллекта ChatGPT, компания OpenAI, закрывает доступ китайским компаниям к своим продуктам, сообщило во вторник Bloomberg. По данным агентства, разработчики в Китае начали получать от OpenAI сообщения о том, что компания с июля планирует блокировать им доступ к инструментам и программному обеспечению OpenAI. Причина блокировки не указывается. Bloomberg в этой связи отмечает непрекращающиеся усилия властей США по блокировке доступа компаниям из КНР к передовым технологиям. Агентство также полагает, что уход OpenAI откроет новые возможности перед китайскими разработчиками ИИ-технологий.
  • Евросоюз на грани скандала: новый законопроект угрожает конфиденциальности пользователей. В последнее время геополитическая обстановка только усиливает тревоги, связанные с конфиденциальностью онлайн-коммуникаций. Европейский Союз предложил новый законопроект, который может стать настоящим испытанием для защиты личных данных. Мередит Уиттакер, президент Фонда Signal, подняла тревогу относительно новых инициатив ЕС по сканированию личных сообщений пользователей в целях борьбы с детской порнографией. Она подчеркнула, что такие действия могут подорвать принципы сквозного шифрования, которое сегодня является одним из основных барьеров для защиты конфиденциальности. «Внедрение массового сканирования личных сообщений — это серьезное вмешательство в права граждан на частную жизнь,» — заявила Уиттакер. Она утверждает, что подобные методы могут быть использованы не только для выявления нелегального контента, но и для более широкого наблюдения за пользователями. Речь идет о так называемой «модерации загрузки» — системе, позволяющей сканировать и анализировать сообщения до их шифрования. Это вызывает особенную тревогу среди экспертов по кибербезопасности, так как такие действия могут оставить пользователей без надежного защитного барьера в интернете. Критика в адрес предложения не заставила себя ждать. Apple уже отказалась от подобных планов по сканированию контента на устройствах пользователей после шквала негативных отзывов. Теперь же и мессенджер Threema выступил с заявлением, отметив, что такие законодательные инициативы могут серьезно подорвать конфиденциальность и безопасность общения граждан Евросоюза. «Под видом борьбы с преступностью мы рискуем потерять то, что делает наши личные данные действительно личными», — подытожила Уиттакер. Остается лишь надеяться, что здравый смысл возобладает, и конфиденциальность не станет жертвой борьбы с преступностью.
  • Свыше 90% IT-преступлений в России совершаются с территории Украины — МВД. Подавляющее большинство (свыше 90%) IT-преступлений в России совершается посредством украинских колл-центров с помощью технологий НАТО, передаёт в четверг РИА Новости со ссылкой на директора договорно-правового департамента МВД России Александра Авдейко. «Фактически идёт информационно-диверсионная борьба», – пояснил Авдейко, выступая на Петербургском международном юридическом форуме (ПМЮФ). По информации МВД, почти в 40 регионах РФ изъято более тысячи SIM-банков, 11 серверных станций, обеспечивающих работу средств связи, а также более 250 тысяч SIM-карт [используемых для совершения преступлений].
  • TikTok против Байдена: война за свободу слова и национальную безопасность. Федеральный закон грозит запретом TikTok в США, вызывая волну исков и споров о конституционных правах. Президент США Джо Байден подписал новый федеральный закон, запрещающий использование популярной социальной сети TikTok в стране. В ответ на это генеральный директор TikTok Шоу Зи Чу выступил с заявлением на платформе, уверяя пользователей, что TikTok не собирается сдавать позиции. Он подчеркнул, что «факты и Конституция на нашей стороне». 7 мая TikTok и его материнская компания ByteDance подали иск против администрации Байдена в окружной суд США округа Колумбия, утверждая, что новый закон нарушает несколько конституционных положений, включая Первую поправку, гарантирующую свободу слова. В иске утверждается, что TikTok участвует в создании и распространении контента по актуальным вопросам, что является «основной формой выражения, защищенной Первой поправкой».
  • Хакеры все чаще прибегают к использованию прогрессивных веб-приложений (PWA). В мире кибербезопасности наметилась тревожная тенденция: хакеры все чаще прибегают к использованию прогрессивных веб-приложений (PWA) для проведения изощренных фишинговых атак с целью кражи учетных данных пользователей. Прогрессивные веб-приложения, созданные на основе стандартных веб-технологий, таких как HTML, CSS и JavaScript, предоставляют возможности, схожие с нативными приложениями. Они могут устанавливаться на устройства пользователей как самостоятельные приложения с собственными иконками и окнами, что хакеры и используют для своих махинаций. Описанная исследователем безопасности mr.d0x методика фишинга включает в себя несколько этапов: пользователь заходит на злонамеренный сайт, где его подталкивают к установке PWA, маскирующегося под легитимное приложение, например, «Вход в Microsoft». После установки приложение открывает окно, которое в точности имитирует страницу входа, включая поддельную адресную строку с доверенным URL. Одной из ключевых причин эффективности таких атак является скрытие адресной строки браузера, что затрудняет пользователю проверку подлинности URL. К тому же, процесс установки PWA происходит быстро и требует минимального взаимодействия, что увеличивает вероятность успеха атаки. Для защиты от подобных фишинговых атак эксперты рекомендуют проявлять осторожность при установке приложений из непроверенных источников, регулярно пересматривать список установленных PWA и использовать надежные средства безопасности, которые могут обнаруживать и предупреждать о попытках фишинга.
  • Криптовалютная биржа Kraken потеряла 3 миллиона долларов из-за уязвимости нулевого дня. Руководитель отдела безопасности Kraken Ник Перкоко сообщил, что криптобиржа стала жертвой неких «исследователей». 9 июня ИБ-специалисты биржи получили сообщение в рамках программы Bug Bounty об уязвимости. В письме пользователь представился исследователем и рассказал, что уязвимость позволяет увеличить количество средств в аккаунте. Для доказательства «исследователь» начислил себе 4 доллара в криптовалюте на счет. Сотрудники проверили сообщение и нашли изолированный баг. С его помощью злоумышленник мог инициировать депозит на платформе Kraken и перевести средства на свой счет, не заканчивая операцию. По словам руководителя службы безопасности компании, активы клиентов не пострадали. Перкоко рассказал в своем аккаунте, что ошибка появилась из-за недавнего обновления интерфейса и была исправлена спустя час после обнаружения. Однако, три пользователя криптобиржи успели использовать 0-day уязвимость и украсть 3 миллиона долларов. «Исследователь» не выполнил требования вернуть деньги, предоставить PoC-эксплойт или предоставить информацию об ошибке. Вместо этого, по словам Перкоко, он требовал оценить примерный ущерб, какой получила бы компания, если бы ошибка не была обнаружена.
  • Ассанж на свободе: основатель WikiLeaks избежал тюрьмы в США. Наконец-то журналист вернется в свою родную Австралию. Основатель WikiLeaks Юлиан Ассанж заключил предварительное соглашение о признании вины по одному пункту обвинения в шпионаже. Ассанж признал себя виновным за получение и публикацию секретных военных и дипломатических документов в период с 2009 по 2011 год. Соглашение ставит точку в долгой правовой драме, где интересы национальной безопасности сталкивались с принципами свободы прессы. Согласно письму Минюста США, приговор будет вынесен 26 июня на Северных Марианских островах, удаленной юрисдикции США. В счет наказания Ассанжа будет засчитаны 62 месяца, которые он провел в лондонской тюрьме. После вынесения приговора Ассанж вернется в родную Австралию. Хотя судебное заседание еще не было проведено, 24 июня Ассанж уже был освобожден из тюрьмы под залог Высокого суда Англии и Уэльса, согласно информации от WikiLeaks.
  • Новый троян проникает через Word и дает полный контроль над ПК. Опасный троян Remcos RAT проникает в компьютеры через обычные документы Microsoft Word, содержащие короткие ссылки. Эксперты компании Forcepoint раскрыли новую схему распространения вредоносной программы – атака начинается с того, что пользователь получает письмо с вложением в формате «.docx». После скачивания и запуска файла потенциальная жертва обнаруживает внутри сокращенную веб-ссылку. При нажатии на нее происходит загрузка вредоносного ПО, вредоносный код маскируется с помощью сложного шифрования. Троян позволяет злоумышленникам получить полный контроль над зараженным компьютером, он способен красть пароли и финансовые данные, а также устанавливать дополнительные вредоносные программы. Также злоумышленникам открывается доступ к файловой системе, они могут управлять процессами, создавать скриншоты, записывать звук и видео с микрофона и веб-камеры. «В разрезе кибербезопасности, есть два временных параметра, которые оценивают успешность реагирования на атаку из вне: среднее время на определение и среднее время на ответ. Именно эти параметры важны и критичны при защите. Подобного рода атаки могут засекать антивирусные программы, однако в случае если сигнатура трояна новая, то тут защитить чувствительные данные смогут только программы, которые умеют анализировать паттерны поведения пользователей, например, Ankey ASAP. Заражение подобным трояном вызывает аномалии в системных процессах и сетевом траффике, которые являются нетипичными для рядового пользователя. Такие аномалии и позволяют выявить нелегитимную активность злоумышленника на зараженном узле сети», – говорит руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников.
  • Хакерская жатва в Сингапуре: даркнет ломится от обилия похищенных данных. Исследователи фиксируют 230% рост предложений за последний год. По информации компании Resecurity, специализирующейся на кибербезопасности, количество предложений украденных личных данных жителей Сингапура увеличилось на 230% за последний год. Эти данные, продающиеся на даркнет-площадках, активно используются для мошенничества, включая создание поддельных документов и deepfake-контента. В апреле этого года было зафиксировано рекордное количество новых утечек, когда тысячи записей сингапурцев оказались в продаже на тёмных форумах. Помимо простого мошенничества, эти данные также могут использоваться иностранными правительствами для сбора разведывательной информации. Одним из основных источников этих утечек является известный подпольный форум XSS. Анализ Resecurity показывает, что многие утечки данных не были обнародованы пострадавшими организациями, в результате чего потерпевшие лица оставались неосведомлёнными о компрометации своих документов. Киберпреступники также торгуют шаблонами поддельных документов, которые крайне трудно отличить от настоящих благодаря внедрению сложных защитных элементов, таких как голограммы.
  • TeamViewer сообщает о взломе корпоративной сети. Последствия взлома TeamViewer могут быть катастрофическими. 26 июня компания TeamViewer сообщила об обнаружении аномалии в своей внутренней корпоративной IT-среде. Была активирована группа реагирования и начато расследование совместно с ведущими мировыми экспертами по кибербезопасности. Были также предприняты необходимые меры по устранению последствий инцидента. TeamViewer уверяет, что корпоративная IT-среда полностью изолирована от среды продуктов компании, и на данный момент нет свидетельств того, что данные клиентов пострадали в результате инцидента. Подробности о том, кто мог стоять за взломом и каким образом он был осуществлен, не разглашаются, но TeamViewer обещает предоставлять обновления по мере поступления новой информации. Несмотря на декларируемую прозрачность, страница с заявлением о взломе содержит метатег <meta name=»robots» content=»noindex»>, блокирующий индексацию документа поисковыми системами. Это существенно затрудняет доступ пользователей к информации и противоречит заявленным принципам открытости.
  • Телефонные мошенники собирают дань с россиян под видом судебных приставов. Киберполиция России предупреждает об участившихся звонках мошенников, выдающих себя за сотрудников российской службы судебных приставов (ФССП). Собеседнику сообщают о некоем исполнительном производстве и требуют срочно погасить задолженность. Обманщики рассчитывают на то, что большинство граждан России не знакомы с порядком работы ФССП. Время для проведения подобных атак тоже выбрано умело: в период летних отпусков проблемы с законом могут помешать выезду за границу. «Сам пристав не может позвонить посредством каких-либо коммуникационных сервисов, сообщить о наличии долга и скинуть какие-то реквизиты, — поясняют киберкопы в алерте. — Вы можете получить квитанцию, придя на личный прием к судебному приставу и оплатить непосредственно по квитанции либо через портал “Госуслуги”».
  • Миллионы компьютеров с процессором Intel под угрозой. Процессоры Intel, включая поколения Raptor Lake и Alder Lake, оказались уязвимы к новой высокоточной атаке «Indirector», через которую хакеры могут добраться до конфиденциальной информации из процессора. Киберэксперт Овчинников назвал 3 шага, для устранения подобных атак. «Indirector» эксплуатирует уязвимости в двух аппаратных компонентах современных процессоров Intel: Indirect Branch Predictor (IBP) и Branch Target Buffer (BTB). Эти компоненты предназначены для предсказания целевых адресов косвенных и прямых переходов, используя историческую информацию о выполнении команд. Американские исследователи обнаружили, что системы IBP и BTB имеют недостатки в механизмах индексирования, тегирования и совместного использования записей, что позволяет целенаправленно манипулировать этими структурами. Атака «Indirector» воздействует на процессоры Intel 12-го и 13-го поколений (Raptor Lake и Alder Lake). Более подробная информация об атаке Indirector, методах атаки, потенциальных механизмах утечки данных и предложенных мерах защиты представлена в технической статье исследователей.  «Важно комплексно защищать свою IT-инфраструктуру, не давая возможности злоумышленникам проводить подобного рода атаки. Первое, чем стоит озаботиться – это защита периметра сети и удаленных подключений, а также защитить конфигурации межсетевых экранов, криптошлюзов и активного сетевого оборудования. Для этого можно использовать программный комплекс Efros DefOps, который контролирует целостность конфигурационных файлов, анализирует правила межсетевого экранирования и выявляет наличие уязвимостей на данном оборудовании. Второй шаг – это использование продвинутых техник обнаружения нелегитимной деятельности в сети компании. С этим поможет справиться Ankey ASAP, который обладает модулем поведенческой аналитики (UEBA). Подобный класс систем может выявлять атаки нулевого дня путем всестороннего анализа действия пользователя, сетевого узла с применением искусственного интеллекта. Третьим и заключительным шагом для защиты своих цифровых активов от подобных атак становится SOC, который позволяет эффективно реагировать на киберинциденты. Эти три шага позволят существенно снизить риск в области информационной безопасности и обеспечить надежное функционирование цифрового бизнеса», – говорит руководитель Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности «Газинформсервис» Дмитрий Овчинников.
  • В ходе операции Морфеус полиция положила 593 сервера Cobalt Strike. Европол провёл скоординированную между правоохранительными органами операцию «Морфеус», в ходе которой удалось положить почти 600 серверов Cobalt Strike. Последние использовались киберпреступниками для взлома сетей организаций. В конце июня правоохранителям удалось зафиксировать IP-адреса, связанные с вредоносной активностью, а также доменные имена, ставшие частью инфраструктуры злоумышленников. После сбора всех необходимых данных полицейские передали их интернет-провайдерам, чтобы последние отключили нелицензионные версии инструмента. Европол пишет в уведомлении следующее: «В период между 24 и 28 июня правоохранительные органы пытались пресечь использование старых и нелицензионных версий инструмента для пентеста Cobalt Strike». «В общей сложности с киберпреступной активностью были связаны 690 IP-адресов из 27 стран. По итогам операции 593 сервера удалось вывести из строя».
  • Восстание машин: роутеры MikroTik атакуют глобальную сеть. Рекордные DDoS-атаки используют ботнеты из уязвимых устройств. OVHcloud, один из ведущих европейских провайдеров облачных услуг, недавно столкнулся с беспрецедентной по своим масштабам DDoS-атакой. Эта атака, достигшая ошеломляющей мощности в 840 миллионов пакетов в секунду (Mpps), стала рекордной в 2024 году и ярко иллюстрирует растущую угрозу DDoS-угроз. С начала 2023 года специалисты OVHcloud отмечают тревожную тенденцию: масштабы и частота DDoS-атак неуклонно растут. К текущему моменту ситуация обострилась настолько, что атаки мощностью свыше 1 Тбит/с стали практически повседневным явлением. Это существенное изменение в ландшафте кибербезопасности вызывает серьёзную обеспокоенность у исследователей. За последние полтора года OVHcloud регулярно фиксировал впечатляющие показатели как по битрейту, так и по количеству пакетов в секунду. Пик этой активности пришёлся на 25 мая 2024 года, когда был зарегистрирован рекордный битрейт в 2,5 Тбит/с.
  • Бойкот российским программистам: доступ к пакетам PHP, Ubuntu и Debian закрыт. В рамках новой волны ограничений, затрагивающих IT-сектор, чешский программист Онджей Суры заблокировал доступ к своим репозиториям для пользователей из России. Онджей, известный своей работой над PHP-пакетами для Debian и Ubuntu, объявил об этом на своей странице в GitHub. Суры реализовал геоблокировку, ограничив доступ к своим «персональным архивам пакетов» (Personal Package Archive, PPA), которые содержат не только стабильные релизы, но и тестовые версии ПО. Это решение было принято вскоре после аналогичных действий других чешских разработчиков и крупных компаний, таких как JetBrains, которая ограничила доступ к среде разработки IntelliJ IDEA. Ограничение доступа вызвало дискуссии в сети, однако защита оказалась не столь эффективной, как ожидалось. Российские пользователи по-прежнему могут обходить блокировки с помощью VPN и других средств для смены IP-адреса. Это подчеркивает, что такие меры вряд ли существенно повлияют на доступность ПО для российских разработчиков.
  • DNS не отвечает: одна ошибка BGP повлияла на весь интернет. Разбор масштабного сбоя в системе маршрутизации Cloudflare. На прошлой неделе Cloudflare сообщила о проблемах с доступностью своего сервиса DNS-резолвера 1.1.1.1 . Сбой был вызван комбинацией перехвата протокола BGP и утечкой маршрута, что привело к ухудшению или полному отключению сервиса для некоторых пользователей. Инцидент произошел 27 июня, когда компания Eletronet S.A. (AS267613) начала неправильно объявлять IP-адрес 1.1.1.1/32 своим партнерам и провайдерам. Ошибочная информация была принята несколькими сетями, включая одного из крупнейших провайдеров первого уровня (Tier-1-оператор), который рассматривал маршрут как Remote Triggered Blackhole (RTBH). В результате трафик, предназначенный для DNS-резолвера Cloudflare 1.1.1.1, был перенаправлен и отклонен, что сделало сервис недоступным для некоторых пользователей. Перехват произошел из-за того, что маршрутизация BGP отдает предпочтение наиболее специфичному маршруту. Объявление Eletronet о 1.1.1.1/32 было более специфичным, чем объявление Cloudflare о 1.1.1.0/24. Это привело к тому, что сети неправильно направляли трафик на Eletronet.
  • Почти 10 млрд паролей: специалисты сообщают о крупнейшей утечке. Исследователи в области кибербезопасности считают, что наткнулись на крупнейшую утечку паролей за всё время. Речь идёт о почти 10 млрд скомпрометированных учётных данных в виде простого текста. Как пишет Cybernews, файл с данными выложил пользователь под ником ObamaCare, зарегистрированный на одном из форумов для киберпреступников. «Рождество в этом году пришло пораньше. Готов представить вам список учётных данных “rockyou2024“, в котором более 9,9 миллиарда паролей», — пишет ObamaCare в посте.

Исследования.

  • Индекс занятости программистов в США существенно снизился — СМИ. По сравнению с 2018 годом индекс занятости американских разработчиков программного обеспечения (ПО) к январю 2024 снизился на 17%, написал в субботу Business Insider, со ссылкой на исследовательскую компанию ADP Research. Для расчёта индекса ADP Research отслеживала [динамику найма и увольнений] сотрудников в 6,5 тысячи компаний из 10 отраслей, в этих компаниях заняты более 75 тысяч программистов. Рынок очевидно замедлился в конце 2022 года, «остывая после нескольких лет быстрого найма во время постпандемийного восстановления», заявил изданию представитель компании Glassdoor (специализация — работа на рынке трудовых ресурсов). «Растущие процентные ставки, прекращение сложившихся в пандемию тенденций и замедляющаяся экономика, всё это ограничило спрос на сотрудников технологического сектора», – пояснили в Glassdoor.
  • О чем думают ИИ-модели: исследователи проникли в глубины сознания Claude. Anthropic делает успехи в картировании нейросетей и изучении их «мозга». Понимание того, как крупные языковые модели искусственного интеллекта вроде GPT и Claude «думают» и принимают решения, может иметь решающее значение для обеспечения безопасности этих систем. До недавнего времени их внутренние процессы оставались полной загадкой даже для создателей. Однако новые исследования ученых из компаний Anthropic и OpenAI пролили свет на то, как ИИ формирует концептуальные представления и идеи в своем «мозгу». В отличие от большинства предшественников, современные языковые модели самостоятельно вырабатывают собственное «понимание» окружающего мира, анализируя гигантские объемы текстовой, визуальной и аудио информации. Они разбивают эти данные на крошечные фрагменты — токены, а затем выстраивают невероятно сложную сеть вероятностей и связей между токенами и их группами. Этот колоссальный массив последовательностей и образует своего рода «разум» ИИ, определяющий его способность интерпретировать входные данные и генерировать ответы.
  • «Платформа»: российский YouTube без антироссийского контента. На рынке онлайн-трансляций появился новый игрок. Региональный общественный центр интернет-технологий (РОЦИТ) анонсировал запуск нового видеохостинга под названием «Платформа», который станет аналогом YouTube. Об этом сообщается в Telegram-канале РОЦИТа. Интерфейс «Платформы» напоминает YouTube — по словам разработчиков сервиса, это сделано намеренно, чтобы пользователям не пришлось менять свои привычки. Среди форматов видео присутствуют короткие ролики в стиле Shorts и есть возможность вести прямые трансляции. Новая платформа будет ограничивать контент с антироссийской риторикой и нарушающий законодательство РФ. Авторам предоставляется возможность переносить свой контент с других платформ, таких как VK или YouTube. Также внедрена собственная система рекомендаций, а средства от монетизации будут направляться авторам напрямую, без комиссии. Видеоролики доступны вплоть до 4К — с субтитрами, в системе которых есть распознавание русского и английского языков. По словам гендиректора Rteam Андрея Талызина, в настоящее время «Платформа» может выдерживать 240 тыс. запросов в секунду.
  • Бизнес российских производителей компьютеров за год вырос в 1,5 раза – Росстат. Оборот российских организаций, занимающихся производством компьютеров, электронных и оптических изделий, увеличился в мае 2024 на 95,4% год к году – до 327,7 миллиарда рублей, сказано в материалах Росстата. Из материалов следует, что в одну категорию с компьютерами попадают ТВ- и радиоаппаратура, счётчики производства или потребления газа, оборудование и приборы для облучения, реабилитации, электрическое диагностическое и терапевтическое, применяемые в медицинских целях и пр. Объём производства непосредственно компьютеров при этом вырос меньше. Выпуск компьютеров, их частей и принадлежностей в мае увеличился на 50,4% по сравнению с маем 2023 года, до 10,2 миллиарда рублей. Производство интегральных схем по сравнению с маем 2023 года увеличилось на 33,4%, до почти 43 миллионов штук. Полупроводниковых приборов и их частей произведено на 0,8% больше по сравнению с маем 2023 года – 3,8 миллиона штук.
  • Стартапы занимают треть рынка ИБ-вендоров и растут на 49% год к году по выручке — ГК «Солар». Программа поддержки предпринимателей в области информационной безопасности и смежных направлений СyberStage подвела итоги работы за первые полгода: к программе присоединилось 25 стартапов и 10 партнеров, в числе которых институты развития, фонды, корпоративные акселерационные программы, сообщает ГК «Солар» в четверг. По данным аналитиков СyberStage в России существует не менее 170 вендоров в сфере информационной безопасности с выручкой до 1 миллиарда рублей, 29% из них созданы в последние 2-3 года, 22% из них показывают кратный прирост выручки ежегодно. Формируется конкуренция в новых нишах, таких как безопасность контейнерных приложений и управление конфигурациями. В то же время венчурных или M&A-сделок с ИБ-стартапами крайне мало. В первом полугодии 2024 года публично было заявлено о двух сделках: приобретение ГК «Солар» 51% компании Secure-T и инвестиция фонда Softline Venture Partners в продукт Findler. Это говорит о том, что крупные компании все еще предпочитают развиваться за счет собственных разработок и стратегических партнерств, а не инвестиций в стартапы, говорится в сообщении.

Инновации.

  • Google Chrome открывает доступ к USB-устройствам: революция в безопасности веб-приложений. Google готовится к значительным изменениям в управлении доступом к USB-устройствам через веб-приложения в Chrome. Компания анонсировала новую функцию, которая позволит изолированным веб-приложениям получить доступ к ранее заблокированным устройствам через API WebUSB. В текущей версии Chrome доступ к чувствительным USB-устройствам, таким как ключи для многофакторной аутентификации, был ограничен из-за соображений безопасности. Это было сделано для защиты от возможных атак, которые могли бы получить доступ к важным данным через уязвимости в веб-приложениях. Однако, с внедрением нового флага “Unrestricted WebUSB”, эта ситуация изменится. По данным компании, эта функция позволит надежным изолированным веб-приложениям получать доступ к устройствам, которые ранее были заблокированы, включая такие устройства, как YubiKeys, Google Titan и Feitian security keys. Эти устройства часто используются для повышения уровня безопасности, и их доступ через веб-приложения может значительно улучшить пользовательский опыт. Изолированные веб-приложения (IWA) представляют собой приложения, которые не размещаются на публичных веб-серверах, а устанавливаются локально в виде подписанных пакетов, таких как APK или MSI. Они обеспечивают более высокий уровень безопасности, так как ограничивают взаимодействие с другими приложениями и системами, минимизируя риски. Google сообщила, что новая функция “USB unrestricted” сейчас находится на стадии разработки и доступна только для тестирования. Ожидается, что бета-версия этой функции будет выпущена в Chrome 128 в августе 2024 года. Этот шаг от Google должен помочь улучшить функциональность изолированных веб-приложений, при этом сохраняя высокий уровень безопасности данных.
  • Материалы будущего: ИИ создает магниты без редкоземельных металлов. Как искусственный интеллект меняет правила игры в разработке новых материалов. Для перехода к электрифицированному миру требуются технологии, такие как электродвигатели и батареи для электросетей, которые нуждаются в редкоземельных металлах. Эти металлы дороги как в финансовом, так и в экологическом плане. Однако недавно британская компания Materials Nexus объявила о разработке магнита, не содержащего редкоземельных металлов, с использованием искусственного интеллекта (ИИ). Процесс занял всего три месяца, что примерно в 200 раз быстрее, чем обычно. ИИ уже активно используется для поиска материалов в других ключевых областях перехода к зеленой энергетике, демонстрируя свою мощь в борьбе с изменением климата. Мировой переход от ископаемого топлива к экологически чистым источникам энергии неизбежен. Однако производство электродвигателей и батарей требует редкоземельных металлов, добыча которых наносит вред окружающей среде и обществу. В связи с этим, автопроизводители, такие как Tesla, ищут альтернативные материалы для своих электромобилей.
  • Прощай, GPS: представлена квантовая навигация нового поколения. Новая система от SandboxAQ использует квантовые сенсоры для надежной навигации в любых условиях. Компания SandboxAQ, специализирующаяся на разработке технологий искусственного интеллекта и квантовых технологий, представила новую навигационную систему AQNav. Эта система призвана решить проблемы, связанные с глушением и подделкой GPS-сигналов. Разработка AQNav велась в течение последних 18 месяцев, и недавно система была впервые представлена широкой публике. В последние годы точность и надежность навигационных систем приобретают все большее значение в современных конфликтах. Как отметил бывший начальник военно-морских операций Джон Ричардсон, выступающий консультантом SandboxAQ, конфликт в Украине и в секторе Газа подчеркивают растущую угрозу нарушения GPS-сигналов и их влияние на ведение боевых действий. AQNav использует алгоритмы ИИ, квантовые сенсоры и магнитное поле земной коры для обеспечения навигации в реальном времени в условиях, когда GPS-сигналы недоступны. Система работает при любых погодных условиях и может применяться в воздухе, на суше и на воде.

Обзор по ИБ подготовил Дмитрий Рожков.

Print Friendly, PDF & Email