Государственные инициативы.

  • Подписан закон о внесудебной блокировке онлайн-ресурсов поддержки незаконной миграции. Президент России подписал закон, вносящий изменения в статью 15.3 федерального закона «Об информации, информационных технологиях и о защите информации». Статья «Порядок ограничения доступа к информации, распространяемой с нарушением закона» содержит перечень случаев, в которых генпрокурор обращается в Роскомнадзор с требованием о принятии мер по ограничению доступа к онлайн-ресурсам, распространяющим запрещённую информацию. Подписанным законом к такой информации отнесена «информация, содержащая предложения о предоставлении незаконных услуг в сфере миграции, а также о способах организации незаконной миграции».
  • От запретов к свободе выбора: законопроект о RuStore прошёл первое чтение. Иностранным компаниям запретят блокировать российский магазин приложений. Госдума на пленарном заседании одобрила в первом чтении законопроект, запрещающий ограничивать установку и использование российского магазина приложений RuStore на мобильных устройствах и других технически сложных товарах. Данный законопроект был внесен в Госдуму в июне группой сенаторов и депутатов. Поправки предлагается включить в закон «О защите прав потребителей». Согласно законопроекту, при продаже и использовании в России ряда товаров с предустановленным программным обеспечением потребителю должна быть предоставлена возможность установки и обновления приложений через RuStore, а также осуществления платежей при их использовании. Список технически сложных товаров, для которых это требование станет обязательным, будет утвержден правительством. Законопроект также запрещает устанавливать условия, ограничивающие или препятствующие использованию российских приложений и RuStore. Это включает запрет на ограничения по поиску и обновлению приложений, управлению их настройками, взаимодействию с пользователями и отправке уведомлений, а также другие функциональные ограничения, если они не нарушают законодательство России. Кроме того, потребителям не могут ограничивать возможность проведения платежей при использовании RuStore и приложений, установленных через него.
  • Эксперимент по повышению уровня защищённости ГИС ФОИВ предлагается вновь продлить – до конца 2025. Минцифры предлагает продлить эксперимент по повышению уровня защищённости государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений (ГИС ФОИВ) на год, до конца 2025 года, соответствующий проект постановления опубликован для обсуждения в пятницу. В пояснительной записке сказано, что паспортом федерального проекта «Информационная безопасность» в 2024 году предусмотрено достижение связанного с мероприятием показателя «Количество государственных информационных систем, на которых проведён контроль за обеспечением уровня защищённости информации, предусмотренный требованиями о защите информации, от общего количества государственных информационных систем» – 60 («количество от общего количества» – так в оригинале – ред.). В 2022 году эксперимент апробирован на 20 ГИС Минцифры России.
  • ФСТЭК составит черный список компаний с худшей киберзащитой: кто окажется под ударом? Федеральная служба по техническому и экспортному контролю (ФСТЭК) решила создать рейтинг организаций с самой слабой защитой критической информационной инфраструктуры (КИИ). В этот список попадут компании, которые допустили взломы и утечки, что отражает недостаточный уровень их информационной безопасности. Таким образом, организации с худшей киберзащитой окажутся в так называемом «черном списке», сообщают «Ведомости». Заместитель директора ФСТЭК Виталий Лютиков отметил, что рейтинговая система будет автоматизирована, и каждый руководитель компании сможет видеть свою текущую оценку в реальном времени. Пока что такой рейтинг носит рекомендательный характер — попадание в него не приведет к санкциям или наказаниям. Однако сам факт нахождения в списке может вызвать репутационные риски и стимул для улучшения уровня киберзащиты. Рейтинг позволит сделать ситуацию с информационной безопасностью более прозрачной и повысить ответственность компаний за защиту своих данных. ФСТЭК надеется, что организации начнут активнее предпринимать меры по улучшению своих систем защиты, чтобы не попасть в число худших. Рекомендательный характер рейтинга может со временем перерасти в более жесткие меры, что делает ситуацию для компаний еще более значимой. Такой шаг государства может оказаться важным катализатором для развития информационной безопасности в России, стимулируя компании повышать свои стандарты и избегать попадания в негативные списки. Это также поможет улучшить общее состояние киберзащиты критически важных объектов страны, что особенно важно в условиях роста количества кибератак.

Инциденты и угрозы.

  • Новый вирус CRON#TRAP маскируется под Linux в Windows и обходит антивирусы. Исследователи кибербезопасности выявили новую угрозу для пользователей Windows, скрытую в виртуальной машине Linux. Вредоносная программа, получившая название CRON#TRAP, начинает своё действие с мошеннической рассылки, содержащей заражённый архив ZIP. Этот архив, представленный как опрос от компании OneAmerica, при открытии активирует заражение системы. Внутри архива находится ярлык LNK, который запускает скрытое средство эмуляции Quick Emulator (QEMU) с легковесной средой Linux Tiny Core. Это позволяет злоумышленникам не только скрыться от антивирусного программного обеспечения, но и установить удалённый доступ к заражённым машинам через специализированный инструмент туннелирования Chisel. После запуска виртуальной машины, называемой PivotBox, на устройстве пользователя отображается поддельное сообщение об ошибке, что создаёт впечатление неработающей ссылки. Однако на самом деле в этот момент уже устанавливается связь с сервером управления, что делает устройство полностью контролируемым злоумышленниками. Это открытие подчёркивает новую тактику скрытности и сложности, которую используют киберпреступники для атак на организации. Это свидетельствует о необходимости постоянного обновления защитных механизмов и более тщательного анализа входящих файлов, даже если они кажутся законными.
  • Новая уловка мошенников: предостережение от ВТБ в налоговый период. В налоговый период мошенники развернули новую волну атак на россиян, орудуя методом «второго шанса» для взлома государственных аккаунтов. ВТБ бьет тревогу: каждый третий случай обмана теперь связан с этой схемой. Сначала злоумышленники звонят жертвам, маскируясь под сотрудников госструктур, и сообщают о необходимости подтвердить отправку «важного» письма, требуя код из СМС. Если жертва сомневается и бросает трубку, следует «второй акт»: скоро поступает новый звонок. Теперь аферисты уверяют, что первый звонок был мошенническим и ваш аккаунт уже якобы взломан. Они настаивают на необходимости «спасти» вашу учетную запись, снова требуя код. ВТБ предостерегает: не ведитесь на эти уловки! Отдавая коды, вы открываете дверь к своим личным и финансовым данным. Банк рекомендует использовать приложения для определения номеров и ни при каких обстоятельствах не делиться личной информацией по телефону.
  • Атака из тени: ХАМАС переходит от кибершпионажа к разрушению. На смену тихому наблюдению приходят громкие деструктивные кампании. Хакеры, связанные с ХАМАС, расширили область своих цифровых атак за пределы кибершпионажа и перешли к проведению разрушительных вредоносных кампаний против израильских организаций. Деятельность группировки, известной как WIRTE, также затронула Палестинскую автономию, Иорданию, Ирак, Саудовскую Аравию и Египет, как говорится в недавнем отчёте компании Check Point. Несмотря на конфликт между Израилем и ХАМАС, активность WIRTE не прекратилась — они продолжают использовать текущие события для шпионажа и атаки на израильские цели. В последние месяцы хакеры провели как минимум две волны разрушительных атак, направленных против израильских организаций. Группировка WIRTE, действующая с августа 2018 года, входит в состав так называемой «Gaza Cyber Gang» (известна также как Molerats и TA402). Эта группа использует различные вредоносные инструменты, такие как BarbWire, IronWind и Pierogi, для атак в странах Ближнего Востока. Эксперты отмечают, что хакеры активно используют напряжённость в регионе для рассылки вредоносных архивов с загрузчиком IronWind и фреймворком Havoc. В октябре 2024 года была выявлена фишинговая кампания против израильских больниц и муниципалитетов. Сообщения рассылались с адреса, связанного с партнёром ESET в Израиле, и содержали обновлённую версию программы-вымогателя SameCoin Wiper. Эта вредоносная программа способна уничтожать файлы и изменять фон рабочего стола на изображение с символикой военного крыла ХАМАС — бригад Аль-Кассам. Ранее вайпер использовался для саботажа устройств под управлением Windows и Android, маскируясь под обновления безопасности.
  • Новая волна фишинга нацелена на российскую промышленность и энергетику. Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» сообщили о новой волне фишинговой кампании, ориентированной на российские компании, работающие в сферах промышленности, энергетики и сельского хозяйства. Злоумышленники применяют появившийся еще в 2020 году зловред SnakeKeylogger. SnakeKeylogger относится к классу инфостилеров. Они нацелены на автоматический сбор учетных данных в зараженной системе. В то же время SnakeKeylogger обладает множеством дополнительных возможностей. В частности, вредонос имеет функции кейлогера, то есть может записывать нажатия на клавиатуру и движения мышки, способен создавать скриншоты и собирать данные из буфера обмена. При этом зловред обладает обширной функциональностью кражи учетных данных из множества популярных приложений, включая браузеры, почтовые клиенты и т. д. Еще одна опция — поиск и завершение процессов различных антивирусных продуктов, отладчиков и других процессов, связанных с мониторингом всех видов активности, что затрудняет его обнаружение в зараженной системе. Злоумышленники рассылают письма, содержащие зловред, с поддельных или скомпрометированных адресов российских и зарубежных компаний. В теме письма обычно есть следующие ключевые слова: «Договор» или «Contract/Договор». А само письмо содержит вложенный архив с именем «Contract.bz».
  • OpenAI призвала США и союзников поддержать инфраструктуру для развития ИИ в противостоянии с КНР. Разработчик ChatGPT, компания OpenAI, призвала США и союзников к сотрудничеству в сфере поддержки инфраструктуры для развития ИИ, включая задействование атомных подводных лодок, чтобы конкурировать с Китаем в технологической сфере, написала в четверг газета South China Morning Post. Выступая на организованном Центром стратегических и международных исследований (Center for Strategic and International Studies, CSIS) мероприятии, представители OpenAI заявили, что США и граничащие с ними страны должны сформировать «Североамериканский договор по ИИ». Документ должен будет упростить доступ [компаний] к высококвалифицированным сотрудникам, финансированию и цепочкам поставок для развития технологии. Позже, уверены разработчики, к договору сможет присоединиться «глобальная сеть союзников и партнёров США», включая страны Ближнего Востока.
  • £100 млн за сбой авторизации: как проблема с доступом парализовала небо Британии. Работа из дома обернулась коллапсом для 700 тысяч авиапассажиров. Управления гражданской авиации Великобритании (CAA) опубликовало отчёт о сбое в системе управления авиадвижением, произошедшем 28 августа 2023 года. Инцидент привёл к массовым задержкам и отменам рейсов, оставив тысячи пассажиров за границей. Убытки авиакомпаний составили около £100 млн, включая расходы на возврат средств, переоформление билетов, размещение в отелях и питание. Проблема возникла в разгар летнего сезона, в один из самых напряжённых дней для авиаперевозок — понедельник, совпавший с официальным праздником. Сбой произошёл в автоматической системе планирования полётов, за которую отвечает компания National Air Traffic Services (NATS). Согласно отчёту CAA, устранение сбоя затянулось из-за невозможности оперативно подтвердить пароль инженера, работавшего удалённо. Сбой зафиксировали в 8:32 утра. На месте младший инженер сразу начал проверку, но с инженером второго уровня, находившимся вне офиса, связались лишь спустя 34 минуты. Архитектура системы усложнила процесс подтверждения его данных. Для решения проблемы инженера вызвали в центр управления в Свонуике, графство Хэмпшир. На это ушло ещё полтора часа. В результате к полноценным восстановительным работам приступили более чем через три часа после начала сбоя. Комиссия отметила, что к производителю системы автоматического планирования полётов, компании Frequentis Comsoft, обратились лишь спустя четыре часа после первых признаков неисправности. При этом специалисты компании устранили проблему за 30 минут.
  • В сети появились поддельные AI-редакторы изображений и видео, распространяющие вредоносные программы. Не так давно в интернете стали появляться фальшивые сайты, которые выдают себя за редакторы видео и изображений на базе искусственного интеллекта. Эти сайты распространяют два типа вредоносных программ: Lumma Stealer для Windows и AMOS для macOS. Обе программы крадут данные из браузеров, такие как учетные записи и пароли, данные кредитных карт и историю браузера, а также кошельки для криптовалют. Все началось с того, что на сайтах предлагали скачать программу под видом новейшего приложения для редактирования видео AI. После установки такой программы злоумышленники получали доступ ко всем сохраненным на устройстве данным. Один из таких сайтов имел домен editproai[.]pro, другой – editproai[.]org. По данным исследователей, эти программы маскируются под легитимные приложения, но на самом деле крадут данные пользователей. Используемые для атак веб-страницы выглядят весьма профессионально и даже включают стандартные баннеры с информацией о cookies, что делает их похожими на настоящие сервисы. Однако, клик по кнопке скачивания приводит к установке вредоносного ПО. Эксперты настоятельно рекомендуют всем, кто уже успел установить эти приложения, немедленно изменить все пароли и включить двухфакторную аутентификацию на всех важных сайтах, включая банки, почту и криптобиржи.

Исследования.

  • Ведущие разработчики ИИ-моделей упёрлись в потолок производительности – СМИ. Три ведущих разработчика моделей искусственного интеллекта – OpenAI, Google и Anthropic – столкнулись с проблемой производительности, из-за которой нельзя создавать всё более сложные ИИ-модели, такой вывод можно сделать из опубликованного в среду материала Bloomberg. Как сообщает агентство, ведущие разработчики констатируют падение отдачи от инвестиций в создание новых ИИ-инструментов. Одна из проблем – нехватка данных для обучения. Так, OpenAI вложилась в создание новой ИИ-модели Orion. Предполагалась, что она существенно превзойдёт по производительности технологии, лежащие в основе сервиса ChatGPT. Однако тесты показали, что модель ожидания не оправдывает. Orion не на много превосходит имеющиеся продукты компании, не настолько, как в своё время GPT-4 превзошёл GPT-3.5.
  • Куда летят Telegramы: угонщики аккаунтов в мессенджерах могут зарабатывать до 2 500 000 рублей в месяц. Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, исследовала работу фишинговых веб-панелей, в которых создаются фишинговые страницы для угона аккаунтов русскоязычных пользователей в популярных мессенджерах Telegram и WhatsApp. По данным аналитиков CERT-F.A.C.C.T., только с помощью одной панели в первом полугодии 2024 года было создано не менее 900 ресурсов для кражи учетных записей, а прибыль участника криминальной схемы с угоном аккаунтов в популярных мессенджерах может достигать 2 500 000 рублей в месяц. Напомним, что массовые «угоны» аккаунтов в популярных мессенджерах происходят волнами. Первая из них, связанная с кражей учеток в Telegram с помощью фишинга, была зафиксирована еще в декабре 2022 года. Всплески появления фишинговых страниц для кражи мессенджера могут быть связаны, в том числе с расширением партнерских программ мошеннических группировок и дальнейшим развитием функционала и автоматизации фишинговых веб-панелей. После угона аккаунта в мессенджере преступники могут получить информацию из переписок и сохраненных сообщений, рассылать сообщения по списку контактов, группам пользователя, а также каналам, если учетной записи были права администратора, с просьбой о финансовой помощи или ссылки на фишинговые и мошеннические страницы. В ходе исследования аналитики CERT-F.A.C.C.T. обнаружили шесть веб-панелей, используемых для создания фишинговых ресурсов, нацеленных на пользователей Telegram и одну панель, работающую в WhatsApp. Платформы имеют схожие принципы работы и функциональность и способны поддерживать работу сотен пользователей. О количестве создаваемых таким образом ресурсов можно, судить по тому, что с помощью только одной из них с января по июнь 2024 года было создано более 900 сайтов для кражи аккаунтов. Чаще всего фишинговые страницы были расположены в доменах ru, online, shop, site, website. Злоумышленники стремятся использовать как новые поводы, например, вывод средств из игры Humster Kombat, фейковый сервис с нейросетью «Раздень подругу», так и зарекомендовавшие себя уловки: денежные призы, бесплатные подписки, голосование, доступ в приватный канал и другие, побуждая пользователей вводить конфиденциальные данные на фейковых ресурсах. Украденные аккаунты продаются через маркеты в веб-панели или Telegram-ботов.
  • Маск vs Госдеп: США теряют позиции в информационной войне. Конгресс решает судьбу главного борца с иностранной пропагандой. Центр глобального взаимодействия Госдепартамента США, который борется с иностранной дезинформацией, может быть закрыт уже в конце этого года. Полномочия Global Engagement Center (GEC) истекают 23 декабря, и без одобрения Конгресса его работа прекратится. Такой случай может стать первым испытанием для новой администрации Дональда Трампа в борьбе с иностранной пропагандой, которая, по данным спецслужб, резко усилилась во время выборов 2024 года, в том числе благодаря использованию искусственного интеллекта. Global Engagement Center был создан в 2016 году на основе более старого подразделения Госдепартамента, которое боролось с пропагандой террористов. Со временем задачи Центра расширились: теперь он противостоит попыткам дезинформации со стороны других государств. Центр использует данные, полученные при поддержке АНБ. Однако работа Центра вызвала много споров. Среди его критиков — Илон Маск, который заявил, что Центр вмешивается в контент соцсетей и занимается цензурой. Более того, Маск может возглавить комиссию по сокращению государственных расходов, что может ещё сильнее повлиять на судьбу Центра. Кроме того, некоторые республиканцы в Конгрессе обвинили Центр в том, что он финансировал организации, якобы вмешивавшиеся во внутренние дела США.
  • План Си Цзиньпина: как превратить хакеров в государственный актив. Кто они – китайские хакеры, которые ведут двойную игру в киберпространстве по всему миру? По данным Sekoia, в киберактивности Китая ключевую роль играют три основных государственных ведомства — Народно-освободительная армия (НОАК), Министерство государственной безопасности (МГБ) и Министерство общественной безопасности (МОБ). С начала 2021 года операции, приписываемые Китаю, всё чаще связываются именно с МГБ, в то время как активность НОАК заметно сократилась с момента проведения военной реформы в 2015 году. Группы, связанные с армией, такие как BlackTech, Naikon, Tonto Team и Tick, стали менее активными. На смену им пришли группировки под контролем МГБ, например, APT10, APT31, APT40, APT41, Mustang Panda и Lucky Mouse. В отличие от МГБ, МОБ редко проводит кибератаки, так как сосредоточено на внутренних задачах — борьбе с преступностью и контроле за интернет-контентом. Кроме того, МОБ отслеживает диссидентов как внутри страны, так и за её пределами. Этим занимаются такие группы, как Poison Carp и 912 Special Project Working Group. По данным исследования, МОБ также проводит операции по влиянию в странах Юго-Восточной Азии. Сообщается, что для таких задач ведомство может получать помощь от одной из крупнейших китайских ИБ-компаний — QiAnXin. Интересно, что региональные отделения МГБ и МОБ обладают большой свободой действий. Они активно привлекают частные компании для проведения атак и сбора данных, что позволяет им действовать скрытно и избегать прямой атрибуции к государственным структурам.

Инновации.

  • 3 240 км/ч на метане: революционный двигатель прошел первые испытания. Astro Mechanica испытала революционный двигатель, готовый к сверхзвуковым скоростям. Основанная в 2021 году компания Astro Mechanica разработала турбоэлектрический адаптивный двигатель, который обещает революционизировать авиацию, обеспечивая эффективность как на дозвуковых, так и на сверхзвуковых скоростях. Инновация основана на использовании технологий из области электромобилей, что позволяет интегрировать преимущества турбореактивных и турбовентиляторных двигателей в одном устройстве. Двигатель состоит из двух частей: турбогенератор вырабатывает электричество для питания электродвигателей, которые независимо приводят в движение компрессор и турбовентилятор. Это дает возможность регулировать объем сжатого воздуха и оптимизировать процесс сгорания, что значительно повышает эффективность двигателя на различных скоростях.
  • 500 милликельвинов к истине: Йель подтвердил революционную теорию сверхпроводников. Открытие уничтожает барьеры в понимании физики материалов. Исследователи из Йельского университета представили убедительные доказательства существования нового типа сверхпроводящих материалов. Это открытие подтверждает теорию, связывающую сверхпроводимость с так называемой электронной нематичностью — фазой вещества, где частицы нарушают обычную симметрию вращения. Сверхпроводимость обеспечивает передачу электричества без сопротивления и потерь энергии. Однако ее механизмы до конца не изучены. Исследование сконцентрировано на электронной нематичности, в которой электроны нарушают симметричное распределение и предпочитают двигаться в определенных направлениях. При понижении температуры в нематических материалах появляются колебания, называемые нематическими флуктуациями, которые, как предполагалось, могут играть роль в возникновении сверхпроводимости. Экспериментально подтвердить это было непросто. В рамках работы изучались соединения железа селенид-сера, выбранные за их способность демонстрировать нематический порядок и сверхпроводимость без осложняющих факторов, таких как магнетизм. Для анализа применялся сканирующий туннельный микроскоп, позволяющий визуализировать поведение электронов на атомном уровне. Эксперименты проводились при температуре ниже 500 милликельвинов.

Обзор по ИБ подготовил Дмитрий Рожков.