Государственные инициативы.
- Стартовала программа по поиску уязвимостей единого портала торгов Московской области. Подмосковье запустило краткосрочную программу багбаунти для оценки уровня защищённости единого портала торгов Московской области ЕАСУЗ, сообщает региональное Мингосуправления в понедельник. Напомним, багбаунти (bug bounty) – это публичная программа по поиску уязвимостей электронных сервисов за вознаграждение. Принять в участие в программе Московской области могут граждане Российской Федерации старше 18 лет, которые зарегистрированы на платформе Standoff 365 Bug Bounty. Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
- ЦБ запланировал запуск в 2026 году платформы коммерческих согласий. Банк России опубликовал основные принципы и этапы внедрения открытых API (открытые программные интерфейсы), которые позволят компаниям более оперативно обмениваться информацией о клиенте при его согласии, предоставлять ему выгодные персонализированные услуги, а также дадут человеку возможность управлять своими данными. Для безопасного управления гражданами и бизнесом своими согласиями Банк России совместно с Минцифры России планирует в 2026 году запустить платформу коммерческих согласий. Открытые API будут внедряться постепенно. С 2026 года их использование станет обязательным для крупнейших банков, брокеров и страховых компаний. Еще через 12 месяцев — в 2027 году — к ним присоединятся микрофинансовые организации, депозитарии, операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и финансовые платформы. Эти участники рынка должны будут соответствовать критериям, которые установит Банк России. Позднее практика распространится на иные финансовые, а затем и нефинансовые организации.
- На ВЭФ представили нацпроект «Экономика данных и цифровая трансформация государства». Заместитель председателя правительства – руководитель аппарата правительства Дмитрий Григоренко в среду представил на Восточном экономическом форуме (ВЭФ) национальный проект «Экономика данных и цифровая трансформация государства». Проект придёт на смену программе «Цифровая экономика», которая была утверждена пять лет назад. В настоящий момент многое поменялось, пояснил Григоренко. Общество быстро цифровизируется. Например, на портале госуслуг сейчас около 1,5 тысяч сервисов, и, если 10 лет назад порталом пользовалось пять миллионов человек, то сейчас — 110 миллионов.
- В 2025 году появится единый классификатор пространственных объектов НСПД — Росреестр. Росреестр сообщил о планах разработки единого классификатора пространственных объектов Единой цифровой платформы «Национальная система пространственных данных (НСПД)». Росреестр отмечает разночтения в терминологии отраслей, отсутствие единых подходов к наименованию отраслевых пространственных объектов и их цифровому описанию. По данным Счетной палаты на 2022 год, в федеральных государственных органах и подведомственных им учреждениях выявлено 630 ФГИС и 512 иных информсистем – на один государственный орган в среднем приходится 17 информационных систем, автоматизирующих его деятельность. Один термин в них может иметь различные определения и семантику, несмотря на одинаковое название. Разработка и внедрение единой системы классификации и кодирования в сфере пространственных данных позволит говорить на одном языке.
- ФСТЭК против GPTBot: госорганам поручено закрыть доступ зарубежным ботам. Почему иностранные боты опасны для России? Федеральная служба по техническому и экспортному контролю (ФСТЭК) разослала в федеральные органы исполнительной власти рекомендации по борьбе с иностранными поисковыми ботами. Как следует из письма службы от 20 августа (с письмом ознакомилось издание «Коммерсантъ»), зарубежные поисковые боты занимаются сбором информации о существующих уязвимостях информационных ресурсов российских госорганов и персональных данных, чтобы использовать эти данные в зарубежных моделях машинного обучения. В связи с этим ФСТЭК предложила ограничить доступ таких ботов, например, GPTBot от компании OpenAI, к файлам robots.txt, которые находятся на веб-сайтах и серверах. Поисковые боты обычно используются для индексации веб-сайтов в поисковых системах, интернет-рекламе, а также для сбора данных для обучения нейросетей. Однако они могут маскироваться под обычных посетителей сайтов. Несмотря на это, легитимные боты отправляют владельцам веб-сайтов идентификатор, позволяющий выявить их назначение. Например, компания «Яндекс» использует YandexBot для общей индексации сайтов и YandexImages для поиска изображений. Примечательно, что на момент написания письма ФСТЭК, как выяснил «Ъ», сама служба не внедрила свои рекомендации: в файле robots.txt на сайте ФСТЭК нет запретительной директивы для GPTBot. Аналогичная ситуация наблюдается на сайтах МЧС, Минздрава и Минцифры. В то же время сайты Минюста и ФСБ содержат запрет для всех интернет-роботов в принципе.
- Будущее российских SSL-сертификатов: новые стандарты и глобальные амбиции. С апреля текущего года на российском рынке цифровой безопасности начались значительные изменения. Ведущие IT-компании страны активизировали продажи отечественных SSL-сертификатов, разработанных по стандартам ГОСТ и ECDSA. Несмотря на низкий процент продаж в общем объеме, ожидается, что с новым законодательным регулированием эти сертификаты получат широкое распространение. На данный момент наличие корневых сертификатов в основных браузерах и операционных системах ограничивает полноценное использование российских SSL-сертификатов. Однако Министерство цифрового развития, связи и массовых коммуникаций РФ активно ведет работу по созданию нормативной базы, которая обеспечит предустановку национальных корневых сертификатов на импортируемую в Россию технику. Эксперты подчеркивают важность предотвращения монополии на этом рынке и поддержания разнообразия коммерческих предложений. Ожидается, что международное сотрудничество и признание российских сертификатов позволят использовать их во всех ведущих операционных системах и браузерах, что повысит совместимость и безопасность продуктов.
- Владимир Путин поручил создать крупный инновационный научно-технологический центр на острове Русский. С участием наших ведущих компаний будет создан ещё один крупный инновационный научно-технологический центр на острове Русский (Приморский край) – на базе Дальневосточного федерального университета, сказал в четверг президент Владимир Путин на пленарном заседании девятого Восточного экономического форума (ВЭФ). Профилем центра станут изыскания и практические решения в области морской инженерии, биотехнологий, биомедицины и других перспективных направлений. Президент поручил продумать механизмы привлечения в этот центр учёных из других научных центров России и из других стран. «Имею в виду конкурентоспособные, мотивационные программы и социальный пакет для специалистов и членов их семей», — сказал Путин.
Инциденты и угрозы.
- Опасный клик: как предложение о работе превращается в хакерскую атаку. Исследовательская компания PolySwarm выявила новый вид кибератак, направленных на программистов. Хакеры используют предложения о высокооплачиваемой работе как приманку, чтобы внедрить троян DevPopper в системы разработчиков. Атаки начинаются с приглашения кандидатов на собеседование, где их просят выполнить задание, требующее загрузки кода с GitHub. Этот код, однако, оказывается заражен трояном, предоставляющим злоумышленникам удаленный доступ к устройству. Троян DevPopper способен не только красть файлы и данные сессий, но и управлять зараженными системами, распространяя дальнейшие атаки. Эксперты предполагают, что за этим стоят хакерские группы из Северной Кореи, и подчеркивают, что атаки теперь затрагивают разработчиков на различных континентах, включая Северную Америку и Европу. Для защиты от таких угроз, специалисты рекомендуют проверять достоверность информации о работодателе и избегать загрузки программного обеспечения в процессе собеседований, даже если источник представляется надежным.
- Угроза из Поднебесной: китайские хакеры стали главной проблемой немецкого бизнеса. Связь с иностранными спецслужбами усиливает риски для крупных корпораций. В последние годы кибератаки стали серьёзной угрозой для немецких компаний, и их количество стремительно растёт. Согласно свежему исследованию цифровой ассоциации Bitkom, опубликованному в Берлине, Китай стал крупнейшим источником кибератак на немецкую экономику в 2023 году. 45% пострадавших компаний заявили, что смогли отследить атаки до Китая, что на 3% больше по сравнению с прошлым годом. Один из ярких примеров таких атак – шпионская деятельность хакеров, предположительно из Китая, против автоконцерна Volkswagen, которая продолжалась на протяжении нескольких лет. По данным следователей, злоумышленники стремились получить доступ к технологическим разработкам компании. Президент Bitkom Ральф Винтергерст отметил, что эти цифры демонстрируют напряжённость и конфликты в современном мире, где киберпреступность становится инструментом борьбы. В то время как количество атак из Китая увеличилось, число кибератак с предполагаемым российским происхождением, напротив, снизилось. Так, в этом году 39% опрошенных компаний полагают, что они подверглись атакам из России, что на 7% меньше, чем годом ранее. Однако около трети опрошенных вообще не смогли определить источник атаки, а некоторые считают, что хакеры действовали из Германии или США.
- Хактивисты атаковали сайт Гарда Технологии, но слегка промахнулись. Проукраинская хактивисткая группировка заявила об атаке на сайт «Гарда Технологии». Однако удар пришелся по второстепенному ресурсу gardatech[.]ru, тогда как основной не попал под прицел злоумышленников. Как утверждают в ГК «Гарда», атака не нанесла ущерба инфраструктуре «Гарда Технологии» и другим компаниям, входящим в группу, и не представляет опасности для клиентов. Сервисы работают в штатном режиме, в том числе и основной сайт группы компаний «Гарда» — garda.ai. Восстановительные работы на пострадавшем ресурсе продолжаются.
- Кибератака или политический ход? Что скрывают выборы в Венесуэле. Задержка в объявлении итогов голосования вызвала всеобщие подозрения в подтасовке результатов. 28 июля 2024 года в Венесуэле состоялись президентские выборы, которые сразу привлекли к себе внимание мировой общественности. Национальный избирательный совет Венесуэлы (CNE) объявил о победе действующего президента Николаса Мадуро, однако результаты выборов вызвали широкий резонанс и были подвергнуты сомнению как оппозицией, так и международным сообществом. Одним из главных вопросов, связанных с этими выборами, стала задержка в объявлении итогов голосования. Власти страны объяснили это якобы произошедшей кибератакой, которая, по их словам, была организована Северной Македонией. Однако анализ сетевого трафика, проведённый исследовательской группой Team Cymru, ставит под сомнение данное утверждение. 28 июля, в день выборов, был зафиксирован резкий всплеск трафика, направленного на IP-адрес 201.130.83.39, связанный с CNE. Этот всплеск трафика, включающий большое количество соединений с IP-адресов по всему миру, может указывать на попытку распределённой атаки типа «отказ в обслуживании» (DDoS). Тем не менее, точного подтверждения того, кто стоял за этой атакой, нет.
- Швейцария отразила 22 кибератаки во время конференции по Украине. В ходе международной конференции по Украине, проходившей в Бюргенштоке 15-16 июня, Швейцария столкнулась с серией кибератак. По данным Федерального ведомства по кибербезопасности, на правительственные интернет-ресурсы и сайты участников конференции было совершено 22 атаки методом отказа в обслуживании (DDoS). Мануэла Зондереггер, официальный представитель ведомства, сообщила, что атаки происходили незадолго до начала, во время и сразу после мероприятия. Несмотря на напор злоумышленников, сбои в работе IT-инфраструктуры были незначительными и не представляли угрозы для данных или IT-систем. Эти DDoS-атаки направлялись преимущественно на веб-сайты органов власти и международных организаций, которые участвовали в конференции. Подобные методы используются злоумышленниками для того, чтобы временно вывести из строя сервера, заставляя их перегружаться бессмысленными запросами. Кибербезопасность на международных форумах, посвященных глобальным и региональным вопросам безопасности и сотрудничества, становится все более актуальной темой. Эксперты подчеркивают необходимость усиления мер по защите цифровой инфраструктуры в свете участившихся попыток вмешательства в дипломатические процессы через киберпространство.
- Mekotio Trojan: очередной кошмар для пользователей Windows. Почему ваш антивирус бессилен перед новым трояном? CYFIRMA обнаружила новую зловредную программу под названием Mekotio Trojan, которая активно распространяется среди пользователей по всему миру. Этот сложный троян использует технологию PowerShell для проникновения на компьютеры и кражи конфиденциальной информации. Согласно исследованию, Mekotio Trojan использует специально зашифрованный PowerShell-скрипт, чтобы скрыть свою вредоносную деятельность. Сначала он собирает данные о зараженной системе (страна, имя компьютера, имя пользователя, версия Windows и наличие антивирусного ПО). Затем устанавливает устойчивое соединение с удаленным командным сервером (C2) и получает оттуда дополнительные вредоносные файлы. Скачанные файлы распаковываются и устанавливаются в папку пользователя APPDATA, после чего автоматически запускаются при каждом старте системы. Среди этих файлов есть как исполняемые (.exe), так и скриптовые (.ahk) компоненты, используемые для дальнейших нападений. По данным экспертов, IP-адрес командного сервера, на который выходит Mekotio, зарегистрирован в США на хостинг-провайдере GoDaddy. Кроме того, в коде троянской программы найдены комментарии на португальском языке, что может указывать на причастность к ней бразильских или португальских киберпреступников. «Mekotio Trojan – это очередной пример того, как злоумышленники используют передовые технологии для кражи данных, – говорит глава отдела исследований CYFIRMA. – Применение мощных методов обфускации и обеспечение постоянного запуска вредоносной программы делают ее очень сложной для обнаружения и удаления. Всем пользователям необходимо усилить меры цифровой гигиены и установить надежные решения для защиты от таких угроз».
- Telegram становится рассадником доступных DDoS-атак. В последнее время платформа Telegram превратилась в один из основных каналов распространения услуг DDoS-as-a-Service (DDoSaaS), делая кибератаки удивительно доступными. За первые шесть месяцев 2024 года количество DDoS-атак в Европе возросло, при этом 60% всех зафиксированных инцидентов связаны именно с этим видом атак. Исследование FalconFeeds.io подтверждает, что активность киберпреступников на Telegram достигла новых высот: на платформе функционирует более 140 активных каналов, предлагающих услуги DDoS за сумму начиная всего от $10. Эти услуги обещают мощные атаки, способные парализовать работу крупных интернет-ресурсов. Рекламируемые инструменты, включая Lava C2/API и SOCKET, могут атаковать сотни IP-адресов, обходить современные системы защиты и вызывать значительные технические нарушения. При этом особенностью таких услуг является их анонимность и доступность, благодаря использованию криптовалют для оплаты. Рост числа DDoS-атак также связан с увеличением количества устройств Интернета вещей, которые могут быть использованы для создания ботнетов. Это, в свою очередь, усиливает необходимость в многоуровневых системах киберзащиты, включая использование облачных анти-DDoS решений и регулярное проведение учений по отражению атак.
- Криптографический крах Kerberos: даже самые защищённые ОС не спасут ваши данные. Устаревшие алгоритмы открывают путь к глобальной цифровой катастрофе. Исследователи из Тель-Авивского университета обнаружили серьёзные уязвимости в современных операционных системах, связанных с реализацией протокола Kerberos. Несмотря на многолетние улучшения безопасности, старые криптографические алгоритмы, используемые в Kerberos, остаются уязвимыми для атак, что ставит под удар корпоративные сети по всему миру. Главная угроза исходит от использования устаревшей схемы PKCS #1 v1.5 в RSA-шифровании, которая присутствует в реализации аутентификации на основе смарт-карт. Исследователи показали, что такая конфигурация делает системы уязвимыми для атак по типу Bleichenbacher, что позволяет злоумышленникам получать криптографические токены сессии, включая пароли пользователей и администраторов. В ходе экспериментов специалисты продемонстрировали, как с помощью этой атаки можно получить доступ к криптографическим ключам и паролям, ускоряя процесс взлома через множественные сессии, оставаясь при этом незамеченными. Кроме того, исследование выявило, что смарт-карты, несмотря на их широкое применение в современных операционных системах, не обеспечивают достаточного уровня конфиденциальности, что также делает их подверженными атакам. Использование микроструктурных атак через сторонние каналы позволило исследователям получить доступ к зашифрованным данным, передаваемым в сети, даже при использовании современных версий Windows и Linux.
- Криптографический крах Kerberos: даже самые защищённые ОС не спасут ваши данные. Устаревшие алгоритмы открывают путь к глобальной цифровой катастрофе. Исследователи из Тель-Авивского университета обнаружили серьёзные уязвимости в современных операционных системах, связанных с реализацией протокола Kerberos. Несмотря на многолетние улучшения безопасности, старые криптографические алгоритмы, используемые в Kerberos, остаются уязвимыми для атак, что ставит под удар корпоративные сети по всему миру. Главная угроза исходит от использования устаревшей схемы PKCS #1 v1.5 в RSA-шифровании, которая присутствует в реализации аутентификации на основе смарт-карт. Исследователи показали, что такая конфигурация делает системы уязвимыми для атак по типу Bleichenbacher, что позволяет злоумышленникам получать криптографические токены сессии, включая пароли пользователей и администраторов. Кроме того, исследование выявило, что смарт-карты, несмотря на их широкое применение в современных операционных системах, не обеспечивают прямой секретности, что также делает их подверженными атакам. Использование микроструктурных атак через сторонние каналы позволило исследователям получить доступ к зашифрованным данным, передаваемым в сети, даже при использовании современных версий Windows и Linux.
- Кибератака парализовала офисные системы немецкой авиадиспетчерской службы. Немецкая авиадиспетчерская служба Deutsche Flugsicherung (DFS) стала жертвой кибератаки, которая серьезно нарушила работу офисных коммуникаций компании. Инцидент произошел на прошлой неделе, и, по словам представителей DFS, атака не затронула операции по управлению воздушным движением, что позволило избежать масштабных нарушений в авиационном трафике. По предварительным данным, за атакой может стоять хакерская группа APT28, известная своими связями с государственными структурами и высококвалифицированными киберпреступниками. В то же время, DFS не подтвердила официально эти предположения, сославшись на необходимость завершения текущего расследования. После обнаружения атаки, DFS немедленно инициировала внутреннее расследование и приняла меры по усилению защиты своих информационных систем. Несмотря на это, конкретные детали о затронутых системах и применяемых мерах по устранению угроз пока остаются под грифом “секретно”. Представители компании подчеркнули, что инцидент не оказал воздействия на управление воздушным движением, что обеспечило бесперебойное выполнение авиационных операций. Власти Германии получили уведомление о кибератаке, и федеральные структуры, включая Министерство транспорта и Федеральное ведомство по защите конституции, начали расследование. Однако Министерство транспорта отказалось предоставить комментарии, объяснив это необходимостью дождаться официальных данных от DFS. Федеральное ведомство подтвердило факт атаки и продолжает изучение возможных связей с известными хакерскими группировками, включая APT28. Ограничение в предоставлении информации объясняется необходимостью сохранить конфиденциальность деталей расследования и защитить ход оперативных мер. Преждевременное раскрытие данных может дать злоумышленникам возможность адаптировать свои методы и выявить уязвимости в системах безопасности.
- Малварь под видом VPN-утилиты атакует пользователей на Ближнем Востоке. На Ближнем Востоке активизировалась новая угроза в виде малвари, которая скрывается под маской популярного VPN-приложения Global Protect от компании Palo Alto Networks. Специалисты по кибербезопасности из Trend Micro предупреждают, что эта вредоносная программа может серьезно повлиять на пользователей в этом регионе. Суть атаки заключается в том, что злоумышленники создают фальшивую версию GlobalProtect и используют её для обмана жертв. Поскольку GlobalProtect часто используется в компаниях для обеспечения безопасного удаленного доступа, атака нацелена на крупные организации, использующие этот VPN-сервис. Процесс заражения начинается с запуска файла под именем setup.exe. Этот файл устанавливает основной вредоносный компонент GlobalProtect.exe, который затем запускает «маячок» — сигнал для злоумышленников о том, что малварь активна. Кроме того, в систему загружаются два файла конфигурации (RTime.conf и ApProcessId.conf), которые собирают важную информацию о системе жертвы. Это могут быть IP-адрес, данные об операционной системе, имя пользователя и другие системные данные. Вся собранная информация отправляется на сервер злоумышленников по адресу 94.131.108[.]78. Чтобы скрыть свои действия, малварь использует AES-шифрование для защиты данных, передаваемых на управляющий сервер. Адрес этого сервера выглядит так, будто он относится к легитимному VPN-сервису в эмирате Шарджа в ОАЭ, что помогает избежать подозрений. Основной вредоносный компонент может выполнять различные команды, такие как приостановка своей работы на время, запуск PowerShell-скриптов, чтение и запись данных, запуск новых процессов, загрузка файлов и их отправка на удаленные серверы. Это делает малварь особенно опасной и гибкой в своих действиях.
- Банковский кризис: последствия крупнейшей кибератаки в истории Ирана. Иран пошёл на сделку с вымогателями, заплатив миллионы за молчание. В августе на Иран была совершена масштабная кибератака, поставившая под угрозу стабильность банковской системы страны. Знакомые с ситуацией источники сообщают, что в результате инцидента правительство было вынуждено пойти на сделку с хакерами и выплатить выкуп в размере нескольких миллионов долларов. По данным аналитиков и западных представителей, одна из иранских компаний перевела как минимум 3 миллиона долларов, чтобы предотвратить утечку персональных данных клиентов более чем 20 банков. Атака, ставшая одной из крупнейших в истории Ирана, была, по всей вероятности, организована субъектом угроз IRLeaks, который ранее уже совершал аналогичные взломы. Вымогатели изначально требовали выкуп в размере 10 миллионов долларов в криптовалюте, угрожая продать украденные данные, включающие информацию о банковских счетах и кредитных картах миллионов граждан. Однако в конечном итоге сумма сделки была снижена до 3 миллионов долларов. Правительство Ирана пошло на сделку, опасаясь, что утечка данных может дестабилизировать финансовую систему страны, которая уже находится под давлением из-за международных санкций.
- YouTube ужесточает меры против переноса видео на российские платформы. YouTube начал активно противодействовать переносу видео с своей платформы на российские видеохостинги, вводя технические ограничения. Это решение осложнило работу сервисов, которые позволяли пользователям загружать видео с YouTube для дальнейшего размещения на таких платформах, как VK Video Transfer, Rutube и другие. Из-за новых ограничений сервисы, которые помогали переносить видео, столкнулись с проблемами, так как YouTube начал блокировать их действия. Это привело к увеличению времени ожидания для переноса контента и возросшим трудностям для пользователей, желающих мигрировать свои видео на российские платформы. Со стороны российских видеохостингов были разработаны специальные инструменты для облегчения процесса переноса, но введенные YouTube ограничения серьезно затруднили их использование. Несмотря на технические барьеры, Rutube сообщил о переносе более 242 тысяч видео за одни сутки, что свидетельствует о значительном интересе к миграции контента.
- Личные чаты больше не личные? Что изменил Telegram. Мессенджер обновил политику модерации. Теперь пользователи Telegram получили возможность пожаловаться модераторам на противоправный контент в чатах и частных группах. Обновление политики мессенджера отражено в разделе часто задаваемых вопросов (FAQ) на официальном сайте. Ранее в Telegram подчеркивалось, что «все чаты и групповые чаты являются приватными» (кроме каналов и ботов), и администрация мессенджера не рассматривала запросы по ним. Однако с последними изменениями платформа теперь предоставляет возможность жаловаться на незаконный контент через специальные кнопки «Пожаловаться», которые позволят «всего за несколько нажатий сообщать модераторам о незаконном контенте».
- США блокируют российские сайты и предъявляют обвинения в попытке вмешательства в выборы. Власти США заблокировали 32 веб-сайта и обвинили двух сотрудников российской государственной медиакомпании в попытке повлиять на предстоящие президентские выборы в Америке. По версии следствия, они участвовали в схеме, направленной на распространение прокремлевских сообщений на сумму в 10 миллионов долларов. Действия этих лиц были частью операции под кодовым названием «Doppelgänger», которая, по данным следствия, началась в 2017 году. В рамках этой операции использовались фальшивые социальные аккаунты и сайты с фейковыми новостями, чтобы влиять на мнение американских избирателей и распространять сообщения, выгодные Москве. Сайты для дезинформации были созданы так, чтобы их названия были похожи на названия настоящих известных ресурсов, вводя в заблуждение читателей относительно подлинности контента. В рамках этой же кампании были задействованы Константин Калашников и Елена Афанасьева, сотрудники RT, которые, по данным обвинения, финансировали создание видео на английском языке, затрагивающих темы иммиграции, инфляции и других важных вопросов. Эти видео, несмотря на разное содержание, предположительно были направлены на усиление внутренних разногласий в США и ослабление поддержки внешней политики США, в частности, в отношении Украины. Обвинения, предъявленные Калашникову и Афанасьевой, включают нарушение закона о регистрации иностранных агентов и отмывание денег.
- От IT до оборонки: PhantomCore расширяет список жертв в России. Злоумышленники маскируют вредоносные файлы под легитимные договоры. 5 сентября 2024 года специалисты исследовательской группы F.A.C.C.T. зафиксировали серию новых фишинговых рассылок, организованных кибершпионской группировкой PhantomCore. Целями атак стали несколько российских организаций, среди которых:
- российская ИТ-компания, разрабатывающая программное обеспечение и онлайн-кассы;
- компания, занимающаяся организацией командировок;
- конструкторское бюро;
- производитель систем и высокотехнологичного оборудования для беспроводной связи.
PhantomCore продолжает использовать уже скомпрометированные сторонние организации для проведения атак через фишинговые письма. Эксперты F.A.C.C.T. подробно изучили и разобрали недавние атаки.
- Неожиданный враг: северокорейские хакеры проникают в Кремль. Подробности скрытых атак с использованием облачных технологий. Анализ угроз, связанных с кампанией Konni, показывает нарастающую активность группы Kimsuky, применяющей различные методы для скрытных атак. Опасность заключается в использовании легальных облачных сервисов и FTP для этапного заражения целевых систем, что затрудняет обнаружение вредоносных файлов. Кампания поражает не только системы в Южной Корее, но и российские государственные учреждения, а также другие международные объекты. Используя такие методы, как spear-phishing и вредоносные документы (например, файлы с расширением `.exe`, `.scr`, `.ppam`), злоумышленники маскируют свои атаки под легитимные запросы или документы. В ходе одной из таких атак, выявленных в 2022 году, злоумышленники использовали фальшивые документы, связанные с внешнеполитической деятельностью России, а также документами о налогах и финансовых операциях, что подтверждает широкие цели кампании. Для выполнения команд удаленного управления злоумышленники используют бесплатные домены и хостинг-сервисы, что упрощает создание и скрытие серверов командного управления (C2). Важным элементом атак является модификация и внедрение вредоносного ПО через создание программных закладок (RAT) с использованием PowerShell и VBS, которые затем выполняют зашифрованные команды на скомпрометированных устройствах.
- Взлом тишины: RAMBO атакует самые защищенные системы за доли секунды. Цифровой шёпот компьютеров позволяет незаметно похищать данные с изолированных систем. Ученые из Израильского университета разработали новый метод кибератаки, получивший название «RAMBO» (Radiation of Air-gapped Memory Bus for Offense). Этот способ позволяет злоумышленникам передавать данные с изолированных от сети компьютеров через электромагнитные излучения, возникающие при работе оперативной памяти. Системы, находящиеся в критически важных секторах, таких как государственные учреждения, ядерные станции и военные системы, обычно используют так называемый Air Gap для обеспечения максимального уровня безопасности. Air gap системы не подключены к интернету или другим сетям, что минимизирует риски заражения вредоносным ПО и утечки данных. Однако, даже такие системы могут подвергаться атакам, если вредоносное ПО будет внесено физически, например, через USB-накопители или в результате сложных атак на цепочку поставок. Метод RAMBO позволяет атакующему использовать оперативную память зараженного компьютера для передачи секретной информации. Вредоносное ПО, установленное на изолированной системе, создает определенные шаблоны чтения и записи в память, которые генерируют контролируемые электромагнитные излучения. Сигналы могут быть перехвачены с помощью относительно недорогих радиоприемников с антенной.
Исследования.
- ИБ-специалист опроверг утверждение властей США о безрезультатной атаке кибервымогателей и получил за это судебный иск. Специалист по информационной безопасности Дэвид Лерой Росс (David Leroy Ross) опроверг утверждение властей США о безрезультатной атаке кибервымогателей — по его словам, у злоумышленников оказались персональные данные (ПД) в том числе сотрудников правоохранительных органов — и получил за это судебный иск, написало в пятницу издание Ars Technica. Как сообщалось ранее, компьютерные системы столицы штата Огайо, Колумбуса, подверглись атаке группировки Rhysida. Мэр Колумбуса заявил, что из-за повреждения и шифрования файлов, украденные злоумышленниками данные использовать невозможно. ИБ-специалист через СМИ опроверг утверждение властей. По его данным, которые он подкрепил сведениями из даркнета, в распоряжении хакеров оказались ПД участников расследования случаев домашнего насилия, номера социального страхования полицейских и жертв преступников.
- Новый опрос выявил дефицит ИБ-кадров в 41% компаний. Глобальный опрос, проведенный по заказу «Лаборатории Касперского», показал, что 41% компаний остро нуждаются в специалистах по ИБ. Больше прочих востребованы эксперты по ИБ-угрозам и специалисты по анализу вредоносных программ (по 39%). Наблюдается также нехватка SOC-аналитиков (35%), специалистов по пентесту и сетевой безопасности (33%), аналитиков профиля Threat Intelligence (32%). В разделении по отраслям дефицит ИБ-кадров более всего ощущается в госсекторе, где не закрыта почти половина подобных вакансий (46%). Второе место в этом рейтинге заняли телеком и медиа (39%), третье — ретейл и здравоохранение (по 37%). Лучше всего направление ИБ прикрыто в ИТ-индустрии и сфере финансов (31 и 27% соответственно). В опросе, проведенном Grand View Research в 29 странах (включая Россию), приняли участие 1012 представителей компаний, занимающие различные должности: руководители (ИТ, SOC), ведущие специалисты, эксперты по ИБ.
- Токены вместо цифр: новая стратегия Mastercard сэкономит миллиарды. Технология токенизации медленно, но верно захватывает цифровые платежи. Mastercard продолжает расширять свои усилия по устранению использования номеров кредитных карт при онлайн-покупках, стремясь уменьшить уровень мошенничества в интернете. Компания уже успешно заменила номера карт на так называемые токены, которые защищают данные клиентов. По словам генерального директора Mastercard Майкла Мибаха, сейчас компания обрабатывает 1 миллиард транзакций с использованием токенов каждую неделю. Для сравнения, на достижение первого миллиарда таких транзакций потребовалось три года. Теперь же Mastercard планирует внедрить новые технологии, которые заменят традиционные меры безопасности, такие как пароли, на биометрические данные — отпечатки пальцев или сканирование лица. Это очередной шаг в борьбе с растущими угрозами онлайн-мошенничества, объем которых, по прогнозам аналитиков, к 2028 году превысит 91 миллиард долларов. Гендир Mastercard отметил, что раньше для защиты данных и транзакций повсеместно полагались на пароли. Однако со временем этот метод стал уязвимым, что потребовало поиска новых решений. Технология токенизации была впервые представлена Mastercard и Visa около десяти лет назад, когда мошенники начали массово красть информацию о кредитных картах у таких ритейлеров, как Target Corp. и Best Buy Co. Первоначально технология была направлена на замену номеров карт на токены, которые могут быть разблокированы только платёжными сетями, что делало их бесполезными для хакеров.
- Аресты и миллиарды убытков: новые реалии киберпреступности в России. В течение первых семи месяцев текущего года было зарегистрировано 577 000 IT-преступлений, из которых 437 000 связаны с мошенничеством и хищениями. Данную информацию озвучил заместитель начальника Следственного департамента МВД Даниил Филиппов на сессии «Цифровая безопасность и ответственность бизнеса» в рамках Восточного экономического форума (ВЭФ). Филиппов также сообщил, что ущерб от таких преступлений в 2024 году уже достиг 99 млрд рублей. Для сравнения, в прошлом году убытки от преступлений, связанных с использованием IT-технологий, составили 156 млрд рублей. По данным представителя МВД, преступления в сфере информационных технологий составляют более 30% от общего числа преступлений. Если бы подобных преступлений не существовало, уровень преступности, включая тяжкие и особо тяжкие правонарушения, мог бы сократиться до 40%. Филиппов подчеркнул, что рост числа IT-преступлений представляет собой серьёзную проблему. Он привел пример с пенсионеркой из Санкт-Петербурга, которая, став жертвой мошенников, лишилась всего своего имущества и, испытывая ненависть к госструктурам, подожгла военкомат. За это пожилая женщина была приговорена к 10 годам лишения свободы. Филиппов отметил, что кибербезопасность выходит на первый план, так как жертвы преступлений могут становиться опасными. Почти 600 тыс. IT-преступлений совершено в 2024 году.
- Киберпреступность стала экзистенциальной проблемой. Теме киберпреступности была посвящена сессия «Цифровая безопасность и ответственность бизнеса» на Восточном экономическом форуме (ВЭФ). Уже за 7 месяцев 2024 года зарегистрировано 577 тыс. преступлений с использованием инфокоммуникационных технологий. Как отметил заместитель руководителя Следственного департамента МВД России Даниил Филиппов, ущерб от них составил 99 млрд руб. За весь 2023 г. – 677 тыс., ущерб составил 156 млрд руб. По итогам 2023 г. преступления, совершенные с использованием ИТ, составили 30% от общего числа. Такие данные привела «Интерфаксу» официальный представитель МВД Ирина Волк.
- США с ЕС и Великобританией подписали первый международный договор в области использования ИИ — СМИ. США, ЕС, Великобритания и ещё семь стран, подписали первый международный договор — рамочную конвенцию — в области использования искусственного интеллекта (ИИ) сообщает в четверг diginomica.com. Договор распространяется как на государственные, так и на частные организации, занимающиеся разработкой ИИ. Документ требует от подписантов внедрить механизмы, позволяющие гражданам подавать жалобы в компетентные органы [на нарушение своих прав в связи с использованием ИИ-технологий]. Подписавшие конвенцию страны — в том числе Андорра, Грузия, Исландия, Норвегия, Молдавия, Сан-Марино, Израиль — обязуются также анализировать, отслеживать и минимизировать ИИ-риски.
Инновации.
- ИИ против человечества: новая система спасет нас от засилья ботов. Цифровые удостоверения помогут доказать, что вы не машина. Ученые, представляющие ведущие технологические институты и компании, включая OpenAI, Microsoft, MIT и Гарвард, представили инновационное решение проблемы, связанной со способностью ИИ подражать поведению человека в сети. Их концепция, по принципу схожая с удостоверениями личности, поможет отличить реальных пользователей от ботов. Особую остроту эта проблема приобретает в контексте распространения дезинформации и новых способов мошенничества. Когда невозможно с уверенностью сказать, кто на самом деле создает контент или отправляет сообщения, уровень доверия к онлайн-коммуникациям стремительно падает. ИИ-системы могут использоваться для создания поддельных профилей, распространения ложных сведений и дипфейков. Предложенная система базируется на том факте, что ИИ пока не способен обойти современные криптографические протоколы. Для получения документа человеку нужно будет лично явиться в одну из организаций-эмитентов. Роль эмитентов могут взять на себя государственные учреждения или иные доверенные организации. От заявителя потребуется паспорт или биометрические данные. Процедура верификации будет достаточно строгой, чтобы никакой (даже самый продвинутый) алгоритм не смог обхитрить проверяющих. В итоге пользователь получит уникальное удостоверение, которое можно будет хранить на личных устройствах так же, как кредитные и дебетовые карты в мобильных кошельках.