Обзор важных материалов по ИБ 27.11.2023

Государственные инициативы.

• Почта России и ГК «Солар» договорились о сотрудничестве для противодействия киберугрозам. Почта России и ГК «Солар» подписали соглашение о взаимодействии. Его цель — совместное противодействие деструктивному влиянию на информационные системы и формирование эффективных подходов по предотвращению угроз информационной безопасности. Документ подписали на встрече в SOC-Forum, который проходил 14-15 ноября на площадке Центра международной торговли и собрал лучших специалистов и заказчиков в сфере информационной безопасности. Соглашение предусматривает взаимодействие в области совершенствования и тестирования комплексных решений информационной безопасности и современных отечественных технологий. Стороны планируют совместную работу, направленную на повышение навыков экспертов и практический обмен опытом, а также поддержку деятельности организаций и профессиональных объединений. Одно из направлений сотрудничества — киберучения и другие совместные мероприятия по развитию практических навыков отражения атак и восстановления систем на базе программной платформы «Solar Кибермир». «Информационная безопасность – это одно из ключевых направлений любой современной компании, без которого невозможно ее стабильное развитие. Количество киберпреступлений растет как в России, так и во всем мире, поэтому нам важно повышать квалификацию наших специалистов, чтобы успешно защищать данные клиентов. Заключение соглашения с ГК «Солар» позволит экспертам делиться опытом и совместно отработать новые практические решения по противодействию киберугрозам», – рассказал о целях соглашения заместитель генерального директора Дмитрий Чудинов.
• В России появится платформа на основе искусственного интеллекта для органов власти. В России появится работающая на основе искусственного интеллекта платформа, созданная специально для использования в государственных структурах. Соответствующее поручение дал вице-премьер Михаил Мишустин. Ответственным за разработку новой ИИ-платформы назначено Минцифры. Сервис должен быть готов к 1 апреля 2024 года. Платформа на основе искусственного интеллекта будет создана на базе ГосТеха.

• Судебные приставы РФ получат доступ к геоданным мобильных телефонов должников. Минюст предлагает новые методы для взыскания долгов. В России судебные приставы могут получить новые полномочия, включая возможность использования геолокации мобильных телефонов для поиска должников и создания единого долгового досье. Об этом рассказал Владимир Ведерников, директор департамента государственной политики в сфере принудительного исполнения Минюста России, в рамках международной конференции «Державинские чтения». Ведерников объяснил, что данные инициативы включены в концепцию развития системы принудительного исполнения до 2030 года. Одной из ключевых мер является предоставление приставам доступа к геолокационным данным мобильных устройств должников и их детей, например, в случаях передачи ребенка другому родителю. Также приставам может быть предоставлено право вскрывать помещения, если существуют основания полагать, что в них скрывается ребенок, разыскиваемый в рамках исполнительного производства.

• Центр координации проектов цифровой трансформации открылся в Росгвардии. В минувшую пятницу в Росгвардии открыли центр координации проектов цифровой трансформации, сообщило ведомство. «…Создаётся ведомственный Совет по цифровой трансформации, который начнёт … работу … в следующем году, а технологическая поддержка администрирования проектной деятельности будет реализована с использованием перспективных цифровых инструментов, сосредоточенных в … Центре координации проектов цифровой трансформации Росгвардии», – сказано в сообщении. В июне была подписана доктрина, определяющая стратегические приоритеты цифровизации войск Росгвардии в среднесрочной перспективе, предусматривающая «внедрение современных инновационных технологий до 2028 года во все виды деятельности войск».

Инциденты и угрозы.

• Всплеск атак NetSupport RAT на образовательный и государственный секторы. Вирус удаленного доступа все чаще нацеливается на госучреждения и сферу услуг. Специалисты из VMware Carbon Black бьют тревогу: в последнее время участились кибератаки на образовательный сектор, государственные учреждения и предприятия сферы услуг. Основным инструментом злоумышленников стал троянский вирус для удаленного доступа — NetSupport RAT. По словам исследователей, для распространения вредоносного ПО хакеры используют множество разных методов: от ложных обновлений и автоматических загрузок при просмотре веб-сайтов до вредоносных загрузчиков вроде GHOSTPULSE и фишинговых кампаний. За последние несколько недель было обнаружено не менее 15 случаев инфицирования NetSupport RAT. Стоит отметить, что когда-то NetSupport Manager представлял собой легитимный инструмент для удаленного администрирования. Тем не менее, мошенники приспособили его для своих целей. Чаще всего NetSupport RAT проникает в систему жертвы через мошеннические веб-сайты и поддельные обновления браузеров. В августе 2022 года Sucuri раскрыла детали кампании, в рамках которой злоумышленники эксплуатировали взломанные сайты на WordPress. Программа была замаскирована под страницы защиты от DDoS-атак в Cloudflare.
• Координационный центр доменов .RU/.РФ: в 2023 году заблокировано 43 910 вредоносных доменов. Координационный центр доменов .RU/.РФ провел ежегодную рабочую встречу с представителями компетентных организаций и аккредитованных регистраторов, в ходе которой были подведены предварительные итоги работы в 2023 году. Как рассказал руководитель проектов Координационного центра Евгений Панков, в этом году количество обращений компетентных организаций к регистраторам достигло рекордных значений. За 10 месяцев они направили 44 871 обращения, что в 3,7 раза больше, чем за аналогичный период 2022 года (11 936 обращений). На этом фоне выстроенная Координационным центром система взаимодействия компетентных организаций и компаний-регистраторов показала свою эффективность – несмотря на беспрецедентный рост нагрузки, среднее время реагирования (с момента обращения до разделегирования вредоносного домена) сократилось с 23,2 часов в 2022 году до 21,5 часа за последние 6 месяцев 2023 года. Как и годом ранее, подавляющая часть обращений (89,1%) касались фишинга. И по итогам рассмотрения полученных обращений регистраторами и хостинг-провайдерами за 10 месяцев было заблокировано 43 910 вредоносных доменов. Директор Координационного центра доменов .RU/.РФ Андрей Воробьев отметил, что сегодня одной из главных проблем Рунета стало кибермошенничество. «В условиях усиления кибератак на российские интернет-ресурсы и пользователей, и, в первую очередь, беспрецедентного роста фишинга, на первый план выходит борьба с использованием системы DNS в противоправных целях и защита пользователей от мошеннических ресурсов. Координационный центр вместе с регистраторами и компетентными организациями находятся на переднем крае этой борьбы и постоянно совершенствуют свои средства и методы. Именно это позволяет нам, несмотря на рост числа инцидентов, даже ускорить процесс ликвидации вредоносных сайтов и разделегирования их доменов», – подчеркнул он.

• Активно используемая уязвимость Linux грозит захватом систем федеральных агентств США. CISA призвала частные и госорганизации срочно устранить ошибку Looney Tunables, чтобы предотвратить потерю контроля над сетями. Агентство по кибербезопасности и защите инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA) объявило о необходимости усиления защиты федеральных систем от уязвимости в Linux, активно эксплуатируемой злоумышленниками. Уязвимость Looney Tunables (CVE-2023-4911 CVSS: 7.8) была обнаружена исследовательской группой Qualys и связана с переполнением буфера в динамическом загрузчике ld.so библиотеки GNU C. Ошибка затрагивает последние версии популярных дистрибутивов Linux, таких как Fedora, Ubuntu и Debian. Администраторам срочно рекомендуется обновить свои системы, учитывая активное использование уязвимости и наличие нескольких опубликованных в интернете эксплойтов с момента её раскрытия в октябре.
• 600 тысяч атак на инфраструктуру РЖД зафиксировано с начала года. Целенаправленные кибератаки на объекты транспортной инфраструктуры зафиксировал Минтранс. Статистику по кибератакам на отрасль озвучил директор департамента цифрового развития ведомства Дмитрий Скачков в ходе тематического круглого стола. С начала года в РЖД выявлено более 600 тысяч попыток атак на критическую инфраструктуру. По сравнению с 2021 годом эта цифра выросла в 20 раз. В 2023 году в РЖД зафиксировали 30 крупных инцидентов кибербезопасности. Дмитрий Скачков отметил, что в транспортной отрасли насчитывается более 15 тысяч потенциальных субъектов КИИ. При этом 94% от общего количества транспортных операция в стране выполняют примерно 5 тысяч организаций. С ними в Минтрансе намерены наладить приоритетную работу в вопросах информационной безопасности.

• ХАМАС меняет арсенал: обновленный SysJoker бросает вызов Израилю. Нашумевший бэкдор возвращается с новыми методами кибервойны. Исследовательская группа Check Point Research отслеживает активное развитие SysJoker, кроссплатформенного бэкдора, который, как предполагается, использовался связанной с ХАМАС хакерской группой для атак на Израиль. Среди ключевых изменений в SysJoker – переход с C++ на язык программирования Rust, что указывает на полное переписывание кода вредоносного ПО, сохраняя при этом аналогичный функционал. Также злоумышленники перешли на использование OneDrive вместо Google Drive для хранения динамических URL-адресов сервера управления и контроля (Command and Control, C2). Один из вариантов SysJoker, написанный на Rust, был представлен в VirusTotal под названием php-cgi.exe. Вредоносное ПО использует случайные интервалы сна на разных этапах выполнения, что может служить мерой антианализа. SysJoker собирает информацию о заражённой системе –версию Windows, имя пользователя, MAC-адрес, IP-адрес и другие данные. Собранная информация отправляется на C2-сервер.

• В. Путин: Англоязычные ИИ алгоритмы угрожают российской идентичности. Глава государства обеспокоен селективным подходом поисковиков и ИИ. В ходе выступления на конференции Сбербанка AI Journey, президент Владимир Путин выразил обеспокоенность по поводу работы некоторых западных поисковых систем и генеративных моделей. Он указал на их избирательный и ангажированный подход, который приводит к игнорированию и отмене российской культуры в цифровом пространстве, сообщает РБК. Путин особо подчеркнул, что такие системы часто ориентированы исключительно на англоязычный контент. «Проще говоря, перед машиной ставят какую-то творческую задачу, и она решает ее, используя только англоязычный массив данных. Тот, который удобен и выгоден разработчикам системы», – сказал президент. Так, по его словам, алгоритм может указать, что России, российской науки и культуры «просто не существует». Путин назвал это «своего рода отменой в цифровом пространстве».
• Word – новый канал для трояна Konni: обычный документ превращается в средство шпионажа. Хакеры нашли способ незаметно проникать в компьютеры жертв и управлять ими. Компания FortiGuard Labs обнаружила, что связанная с Северной Кореей группа APT-группа Konni использует заражённый документ Word в рамках текущей фишинговой кампании. Konni впервые была обнаружена Cisco Talos в 2017 году, однако троян Konni RAT существует с 2014 года и до 2017 года оставался незаметным, так как использовался в узконаправленных атаках. Троян удалённого доступа (Remote Access Trojan, RAT) Konni RAT умудрялся избегать обнаружения благодаря постоянному эволюционированию, способен выполнять произвольный код на целевых системах и красть данные. В текущей кампании злоумышленники используют RAT-троян для извлечения информации и выполнения команд на устройствах жертв. В атаках используется документ Word с вредоносным макросом. Несмотря на дату создания документа в сентябре, деятельность на сервере управления и контроля (Command and Control, C2) продолжается по сей день, что видно из внутренней телеметрии.

Исследования.

• Росздравнадзор прекратил использование ИИ-системы диагностики из-за её опасности для пациентов – СМИ. Стало известно название медицинской системы с искусственным интеллектом (ИИ), использование которой в медучреждениях приостановлено Росздравнадзором – это Botkin.AI, выяснил «Коммерсант». В начале ноября глава Росздравнадзора Алла Самойлова заявляла, что ведомство впервые приостановило обращение медицинского изделия с ИИ из-за «отсутствия клинического эффекта и неоднократно выявленных дефектов функционирования». Название продукта не сообщалось. Botkin.AI — система для анализа снимков компьютерной томографии с использованием ИИ. В Росздравнадзоре сообщили «Коммерсанту», что сейчас проводится проверка производителя.
• Малые и средние предприятия России хотят обучаться кибербезопасности. Более 40% представителей малых и средних предприятий (МСП) в России хотели бы обучаться информационной безопасности. Результаты исследования Агентства стратегических инициатив опубликовало РБК. 40% респондентов, относящихся к МСП, нуждаются в информационной поддержке в вопросах кибербезопасности. Такое же количество опрошенных отметили, что в их компании не выделяется какой-либо бюджет на информационную безопасность. Только в бюджете 4% организаций оказалась выделена на это фиксированная статья расходов. В исследовании, которое проходило при содействии технологического стартапа «Третья сторона», приняли участие 700 представителей МСП из сфер ЖКХ, торговли, производства и других отраслей. Общее количество малых и средних предприятий в России в настоящее время превышает 6 миллионов. 
• Биометрическая аутентификация пользователей Windows ненадёжна из-за множества уязвимостей — исследование. Сервис биометрической аутентификации пользователей от Microsoft на ноутбуках Dell, Lenovo и Microsoft преодолевается обходным путём, пишет в среду The Verge со ссылкой на результаты исследования ИБ-компании Blackwing Intelligence. Эксперты компании проанализировали работу трёх сенсоров отпечатков пальцев от Goodix, Synaptics и ELAN. Выяснилось, что биометрическая аутентификация не работает, она обходится при помощи особого USB-устройства, позволяющего получить доступ к ноутбукам, оборудованными этими сенсорами при условии, что предварительно пользователи уже задействовали сервис Windows Hello для идентификации. По данным The Verge, три года назад в Microsoft заявляли о том, что к сервису прибегают около 85% пользователей устройств на Windows 10.
• Финансовый апокалипсис 2024 года: какие кибератаки готовят злоумышленники. В «Лаборатории Касперского» назвали 11 трендов, на которые нужно обратить внимание. «Лаборатория Касперского» опубликовала прогнозы по финансовым киберугрозам на 2024 год. В компании выделили несколько ключевых трендов, которые будут влиять на безопасность финансовых систем и пользователей. В 2024 году финансовый сектор столкнется с более сложными и разнообразными киберугрозами, которые будут требовать более продвинутых методов защиты. Финансовым организациям стоит адаптировать свои стратегии кибербезопасности к новым условиям, чтобы проактивно решать возможные проблемы, защищая активы и ценные данные. Для эффективной борьбы с растущими рисками в финансовом секторе в следующем году важно наладить сотрудничество между государственными и частными организациями, а также использовать надежные решения по кибербезопасности.
• Корпорации поддержали стремление США переписать готовящийся в ЕС закон об искусственном интеллекте. Транснациональные корпорации и отраслевые ассоциации поддержали стремление США переписать готовящийся в ЕС закон (AI Act) об искусственном интеллекте (ИИ), сообщило в четверг агентство Reuters. Напомним, в мае Европарламент согласовал новые положения AI Act. В октябре в рамках «сотрудничества и унификации общих ценностей» Госдеп США переписал европейцам ряд положений закона об ИИ, утверждая, что в случае, если правки не будут учтены, конкурентоспособность компаний из ЕС, создающих ИИ-системы, понизится. Деловые круги, фактически повторяя аргументы Госдепа, в своём письме в адрес властей Евросоюза предостерегли их от чрезмерного регулирования базовых ИИ-моделей.
• Машины решают, кто умрет: новый виток военной стратегии США. Дроны с ИИ на борту могут стать новой реальностью ведения боевых действий. В статье The New York Times обсуждается прогресс в разработке автономных боевых дронов, способных самостоятельно принимать решения о ликвидации людей. Такие дроны, оснащенные искусственным интеллектом для выбора целей, разрабатываются в нескольких странах, включая США, Китай и Израиль. Критики указывают на потенциальные опасности использования таких роботов-убийц, подчеркивая недопустимость передачи решений о жизни и смерти на поле боя машинам без участия человека. В ответ на опасения, ряд правительств предлагают ООН принять обязывающую резолюцию, ограничивающую использование боевых дронов с ИИ. Однако некоторые страны, включая США, Австралию и Израиль, выступили против такой резолюции, предпочитая неограничивающий документ. Пентагон активно работает над развертыванием тысяч ИИ-дронов, как стало известно в начале года. В министерстве обороны США утверждают, что такие технологии, как рои дронов с ИИ, помогут США противостоять численному превосходству китайской армии. В ВВС США отметили, что дроны с ИИ должны будут принимать решения об убийстве под человеческим контролем, что является ключевым фактором для победы в военных конфликтах. Отмечается также, что дроны с ИИ уже использовались в боевых действиях, но подробности об их эффективности и возможных жертвах остаются неизвестными. Пентагон пока не предоставил официальных комментариев по этому поводу.
• Преступлений в сфере IT в России стало на 29% больше. В России выросло количество преступлений в сфере информационных технологий. Как сообщает «Вестник киберполиции России», с января по сентябрь 2023 года МВД зарегистрировало 489 тысяч IT-преступлений. По сравнению с аналогичным периодом прошлого года рост составил 29%. Категорией, где наблюдается максимальный прирост количества совершенных преступлений, стали правонарушения с использованием интернета. За девять месяцев в этой категории зарегистрировано 377 тысяч преступлений, тогда как за предыдущий аналогичный период — только 276 тысяч. Также было совершено 290 тысяч правонарушений с использованием сотовой связи. Эта категория занимает второе место. На третьей позиции расположились преступления, совершенные с применением банковских карт. К этой категории в МВД отнесли 99 тысяч правонарушений.

Инновации.

• Время фемтосекунд: прыжок в будущее GPU памяти. Новые подходы в использовании фотонной технологии открывают эру сверхскоростей. В свете растущих требований к производительности графических процессоров (GPU), особенно в области обучения больших языковых моделей, производители, такие как Samsung и SK hynix, исследуют новые подходы к передаче данных и памяти. Одним из ключевых направлений является использование фотоники для передачи данных на скоростях фемтосекундного уровня, что значительно превышает скорости текущих электронных интерфейсов. Текущий стандарт, HBM3e, и предполагаемые стандарты HBM4 и HBM4e, направлены на увеличение пропускной способности и объема памяти, необходимых для современных GPU. Samsung рассматривает возможность использования фотонных интерпозеров, которые обеспечивают более быструю и энергоэффективную передачу данных. Одновременно компания ищет способы прямого соединения стеков HBM с процессором, что потребует эффективного теплового управления. SK hynix также работает над концепцией прямого соединения HBM с логикой процессора. Этот подход предполагает совместное проектирование памяти и логики производителями чипов, что может привести к созданию проприетарных решений с перспективой блокировки поставщиков.

• Hyundai открывает в Сингапуре завод, управляемый роботами Boston Dynamics. Роботы без участия человека будут контролировать процесс производства новых электромобилей компании. Hyundai использует робособак Boston Dynamics для работы на своем недавно открытом производственном предприятии в Сингапуре. В 2020 году автопроизводитель Hyundai Motor Group за $1,1 млрд. приобрел американскую инжиниринговую фирму Boston Dynamics. Робособаки являются частью рабочей силы из 200 роботов на заводе, который может производить до 30 000 электромобилей в год, согласно заявлению компании. По данным Hyundai, приблизительно 50% всех задач выполняются роботами. Численность сотрудников составляет около 280 человек. Они могут симулировать задачи в цифровом виртуальном пространстве или метавселенной, а роботы физически перемещают компоненты на производственной линии, обходя традиционную модель сборки на конвейерной ленте.

Обзор по ИБ подготовил Дмитрий Рожков.