В Ростове-на-Дону и еще девяти районах Ростовской области замедляют мобильный интернет по ночам из-за угроз атак беспилотников, подтвердили власти региона. По данным «Ъ», речь идет об ограничении скорости до 512 кбит/с.

Ранее оперативный штаб региона планировал отключать мобильный интернет полностью с 00:00 до 5:00. Однако затем было принято решение ограничить скорость, говорит собеседник «Ъ» в одном из операторов связи, решение начали реализовывать с декабря 2024 года.

#Ъузнал

Один из основателей криптообменника Mosca опубликовал официальное заявление о прошедшем в офисе компании в Москве-сити обыске. Он подтвердил, что следственные действия проводились в рамках уголовного дела о мошенничестве, и компания оказала содействие правоохранительным органам.

Об обыске вчера рассказали российские СМИ со ссылкой на телеграм-канал Baza. Согласно его сообщению, поводом для визита правоохранителей стало мошенничество в отношении пенсионерки из Самарской области. В конце 2024 года злоумышленники убедили её передать им деньги для «внесения на безопасный счёт». Правда, речь идёт не о рядовом случае, а о рекордно крупном похищении 421 млн рублей у бывшей главы Корпорации развития Самарской области.

Baza, ссылаясь на источники, уточняет, что по делу были задержаны семь человек. Услугами криптообменника они хотели воспользоваться якобы для того, чтобы перевести похищенные денежные средства на Украину.

Музей криптографии всё-таки не расколол загадочный шифр Д'Агапеева, над которым ломают голову уже 85 лет. Но зато рассказал его историю и объяснил причину сложности разгадки.

https://t.me/cryptography_museum/2319

Команда "Солара" выпустила отчёт об атаках под видом обновлений ViPNet, расследование которых было проведено ещё в 2021 году. Поводом для публикации материала, пролежавшего под сукном больше трёх лет, стала новость от "Лаборатории Касперского" о выявлении атак, так же мимикрирующих под обновления ViPNet; их целями стали десятки российских компаний. Кроме того, "Солар" обнаружил ещё одну жертву атаки в этом году. Как я и предполагал, находки "Солара" и ЛК очень похожи. В отличие от более ранних атак, где для заражения использовалась подменённая .dll-библиотека, с 2022 года вместо этого подменяется исполняемый .exe-файл. Вероятно, это прямое следствие того, что в 2022 году после расследования "Солара" вендор закрыл дыру, и злоумышленникам пришлось адаптироваться.

Помимо технических подробностей исследователи поделились своими выводами относительно атрибуции атак:

"С высокой степенью уверенности мы связываем атаки 2021–2022 годов, упомянутые в статье, с активностью восточно-азиатских APT-группировок BlueTraveller (aka TaskMasters) и TA428. Наши выводы основаны на результатах расследования, проведенного в 2021 году в инфраструктуре заказчика. Тогда мы обнаружили не только вредоносные программы, связанные с ViPNet, но и образцы, которые мы и наши коллеги по отрасли относим к вышеупомянутым группировкам".

Атрибутировать новую волну атак, о которых рассказала ЛК, исследователи не могут по причине нехватки данных, но из-за совпадения способов взлома склоняются к тому, что за ними стоят злоумышленники из того же региона.

В отчёт включены индикаторы компрометации и правила для обнаружения заражения.

Своими рекомендациями на прошлой неделе поделился и "ИнфоТеКС".

Российских военных атакуют через AlpineQuest со встроенным трояном

Специалисты компании «Доктор Веб» обнаружили шпионскую кампанию, нацеленную на Android-устройства российских военнослужащих. Атакующие встроили троян Android.Spy.1292.origin в одну из старых версий AlpineQuest, популярной у военных топографической программы. Вредоносное приложение распространялось через поддельный телеграм-канал, созданный в октябре 2024 года. После установки оно выглядит и функционирует как оригинальная программа, благодаря чему дольше остаётся незаметным.

С помощью трояна злоумышленники получают с заражённого устройства пользовательские данные включая учетные записи, номер телефона, контакты из телефонной книги, текущую геолокацию, сведения о хранящихся файлах. Данные передаются на командный сервер, а также частично в телеграм-бот, куда сообщается о каждой смене местоположения устройства. Вредонос позволяет злоумышленникам скачивать с телефона интересующие файлы и загружать на него дополнительные модули:

«Получив информацию о доступных файлах, злоумышленники могут дать трояну команду загрузить и запустить вспомогательные модули, с помощью которых тот сможет похищать нужные файлы. Проведенный анализ показал, что создателей шпиона в частности интересуют конфиденциальные документы, которые пользователи передают через мессенджеры Telegram и WhatsApp, а также файл журнала локаций locLog, создаваемый непосредственно программой Alpine Quest.

Таким образом, Android.Spy.1292.origin не только позволяет следить за местоположением пользователей, но и похищать конфиденциальные файлы. При этом его функциональность может быть расширена через загрузку новых модулей, в результате чего он сможет выполнять более широкий спектр вредоносных действий».

Подобное использование военных и других специализированных приложений в качестве прикрытия для распространения вредоносов не редкость. Украинские власти сообщали об атаках, замаскированных под средства ситуационной осведомлённости «Крапива» и «Дельта». А в октябре прошлого года через поддельный чатбот службы поддержки приложения «Резерв+», созданного украинским Минобороны для призывников и резервистов, распространялся MeduzaStealer.

«Часики тикают», — пояснил регулятор.

Исследователи Qihoo360 обнаружили новый инструмент группировки APT-C-27/Golden Rat. Группировка известна атаками на сирийскую оппозицию и цели в других странах, прежде всего в Турции. Её называют подгруппой в составе проасадовских хакеров Syrian Electronic Army. В отчёте Qihoo360 отмечается, что в течение нескольких лет APT-C-27 отошла от атак на персональные компьютеры и переключилась на Android-устройства. Однако в декабря 2024 года специалистам компании попалось «оружие» группировки, рассчитанное на ПК, — исполняемый файл, содержавший в себе троян Revenge RAT. Примечательно, что атакующие не особо заморачивались по OPSEC и повторно использовали в качестве командной инфраструктуры сирийский IP-адрес, который известен китайским исследователям уже несколько лет, как минимум с 2018 года.

Отчёт сугубо технический, поэтому самых интригующих вопросов он не касается. Было ли обнаружение этого вредоноса в декабре 2024 года случайностью? Или это было связано с попытками Башара Асада удержаться у власти, которые в итоге не увенчались успехом? И чем теперь заняты участники Syrian Electronic Army?

«Минцифры обсуждает с отраслью и профильными ведомствами выведение из-под уголовной ответственности расследование утечек персональных данных, узнал Forbes».

Писал об этой проблеме в декабре 2023 года, но обсуждение начинается только спустя четыре месяца после вступления в силу поправок о введении уголовной ответственности.

Кстати, для этой угрозы совсем недавно появилось новое название — slopsquatting, по аналогии с typosquatting. Суть такая: пользователь просит ИИ сгенерировать код, тот в результате помимо нормального кода выдаёт галлюцинации, например, ссылку на несуществующий программный пакет. Злоумышленник может заблаговременно найти варианты таких галлюцинаций и создать соответствующие вредоносные пакеты. Проблему описали ещё в 2023 году, назвав AI package hallucination. С тех пор по этой теме вышло ещё несколько более глубоких статей.

"Сбер" опубликовал модель угроз кибербезопасности для ИИ на основе собственного опыта, а также материалов OWASP, NIST, MITRE. В модели рассматриваются 70 угроз на трёх уровнях: сбора и подготовки данных, проектирования и обучения модели, её эксплуатации и интеграции с приложениями.

Бывший глава CISA Крис Кребс покинул компанию SentinelOne после указа его бывшего босса Дональда Трампа, лишавшего Кребса доступа к секретным документам и инициировавшего расследования его действий на госслужбе. Его прощальное письмо коллегам опубликовала SentinelOne. В интервью Wall Street Journal Кребс заявил, что планирует бороться с преследованием.

США поддержали добровольные правила для коммерческого spyware

В начале апреля в Париже прошла вторая конференция в рамках процесса Pall Mall — западной инициативы по регулированию использования коммерческих шпионских программ. Инициатива была запущена год назад в Лондоне, основными её драйверами выступают Великобритания и Франция.

Слово spyware используется повсеместно, но оно звучит недостаточно бюрократично, поэтому в рамках процесса Pall Mall используется более подходящий термин — commercial cyber intrusion capabilities (CCICs).

Участники парижской встречи согласовали кодекс лучших практик государств по противодействию распространению и безответственному использованию коммерческих средств кибервторжений (Code of Practice for States to tackle the proliferation and irresponsible use of commercial cyber intrusion capabilities). Это добровольные и необязательное руководство по тому, как препятствовать недобросовестному и неэтичному использованию шпионских программ, которые разрабатываются не самими государствами, а частными компаниями. Весь процесс и кодекс лучших практик — это, по сути, реакция западного сообщества на скандалы последних лет вокруг злоупотреблений в сфере кибершпионажа и прежде всего взломов с помощью Pegasus.

Кодекс лучших практик базируется на 4 принципах:
— подотчётность: взломы с помощью коммерческих шпионских программ должны осуществляться в соответствии со национальным и международным правом;
— точность: на разных уровнях нужны такие правила, чтобы снизить возможности произвольного использования spyware, начиная от формирования официальной государственной политики до обучения персонала, который будет такие операции проводить;
— надзор: государства должны сформировать процедуры по контролю над использованием таких программ;
— транспарентность: целый набор мер по обеспечению некоторой прозрачности, включая усилия по изучению рынка spyware (для этого в т.ч. нужно поощрять расследования журналистов, учёных, организаций гражданского общества), создание механизма транспарентности по взаимодействию между государствами и этим рынком.

Благие намерения участников похвальны, но проблемы обычно начинаются с реализацией таких договорённостей. Тем более речь, как обычно, идёт о добровольных и необязательных практиках.

Участие США в этой инициативе оставалось интригой. Администрация Байдена поддержала первую встречу Pall Mall. Но команда Трампа более скептически настроена к международным обязательствам. Изначально кодекс лучших практик был поддержан 23 странами, но через несколько дней к нему всё-таки официально присоединились и США.

Круг сторонников Pall Mall не так широк даже среди стран Запада. Например, среди участников нет Испании, Канады, Латвии, Литвы, Норвегии и других, но зато есть Молдова и частично признанное Косово. Из других регионов участников всего два, это Гана и Япония.

В новом отчёте от «Солара» исследователи описали веб-панель группировки Shedding Zmiy (ExCobalt), с помощью которой, как считается, атакующие управляли операциями, обеспечивали централизованный контроль над всеми заражёнными системами и агрегировали украденные данные.

Shedding Zmiy — одна из активных проукраинских группировок, проводящая атаки против российских организаций в промышленной, телекоммуникационной, энергетической, государственной, IT и других сферах с целью шпионажа. Из-за пересечения инструментария с нашумевшими в 2010-е киберпреступниками Cobalt группировку также называют ExCobalt.

Дополнение: именно в атаках Shedding Zmiy исследователи «Солара» обнаружили эксплуатацию недавно раскрытой 0-day уязвимости в виртуальной машине BitrixVM.

Россия готова делиться с партнёрами из исламского мира опытом защиты суверенитета в информационном пространстве, заявил замминистра иностранных дел Сергей Вершинин:

«Мы готовы делиться с партнерами опытом защиты суверенитета в информационном пространстве. Наша страна, пожалуй, как никакая другая в мире, столкнулась в минувшие годы с беспрецедентной вредоносной кампанией, давлением на отечественные компьютерные сети, курируемой извне компьютерной преступностью. Несмотря на масштабные попытки взломов оборудования, ограничения на передачу технологий, санкции, Россия не только обеспечила целостность и защищенность критической информационной инфраструктуры, но и уверенно сохраняет ведущие мировые позиции в цифровизации. Запущенные правительством программы по замещению иностранных информационно-коммуникационных технологий дают результат».

Рассылкой фишинговых писем под видом приглашений на «Примаковские чтения» занималась группировка Team46, считают исследователи Positive Technologies. В новом отчёте они убедительно показывают пересечения кампании, нацеленной на потенциальных участников этого крупного внешнеполитического форума, а ранее ещё одной конференции в Беларуси, с атаками Team46 на оператора грузовых железнодорожных перевозок и атаками на госсектор, которые PT ранее отслеживала как активность группировки TaxOff.

«В результате проведенного анализа можно утверждать, что Team46 и TaxOff являются одной и той же APT-группировкой, для которой мы оставляем название Team46. Использование эксплойтов нулевого дня позволяет этой группировке эффективнее проникать в защищенные инфраструктуры. Кроме того, разработка и использование сложного вредоносного программного обеспечения указывает на то, что группировка имеет долгосрочную стратегию и планирует поддерживать свое присутствие в скомпрометированных системах в течение длительного периода».

«ИнфоТеКС» подтвердил «инцидент с проведением сложной целевой атаки у ряда пользователей продуктов ViPNet, реализующих функции организации защищенных VPN-сетей и межсетевого экранирования». Информацию об этой кампании, с которой столкнулись десятки российских организаций, раскрыла на днях «Лаборатория Касперского», поделившись также техническим описание атак (о похожих атаках в 2022 году рассказывал «Солар»).

В пресс-релизе отдаётся должное атакующим:

«Выявленный вектор атаки может быть реализован только злоумышленником, обладающим доступом к произвольному узлу ViPNet с правами администратора операционной системы, глубокими знаниями механизмов построения сетей ViPNet и ключом подписи действующего сертификата пространства доверия внутренней сети организации. Вектор атаки направлен на нелегитимное использование транспортного протокола ViPNet сети (mftp) и имитирует конверты обновления программного обеспечения продуктов ViPNet. При этом целевые функции защиты информации продуктов ViPNet не затрагиваются».

Далее приведены рекомендации, как предотвратить атаки и обнаружить следы заражения.

Новые атаки через псевдообновления ViPNet

Вчера исследователи «Лаборатория Касперского» раскрыли некоторые детали недавно обнаруженных атак на компьютеры, подключённые к сетям ViPNet. Используемый в атаках бэкдор распространялся под видом обновления для ViPNet, в архивах с расширением .lzh. Архивы по структуре напоминали настоящее обновление, но помимо легитимных файлов содержали вредоносный загрузчик и зашифрованный файл, с помощью которого в память компьютера загружался бэкдор. Он обладал универсальным функционалом, мог соединяться с командным сервером, позволяя злоумышленнику красть данные и запускать дополнительные компоненты на машине жертвы. Конечной целью атак был кибершпионаж.

Атаки интересны не только сами по себе, но ещё и потому, что очень похожие атаки через механизм обновлений ViPNet три года назад обнаружили исследователи из «Солара». Детального публичного отчёта о них нет, только короткий пресс-релиз. Но есть замечательное выступление Игоря Залевского о тактиках и техниках китайских APT-группировок на PHDays в 2022 году, в котором он рассказывает об обнаружении такой атаки в ходе расследования инцидента (на видео с отметки 20:50 до отметки 44:00). Всего за год, по его словам, так было заражено 4 организации.

Отдельная драма была связана с исправлением ошибок, которые эксплуатировали злоумышленники. В мае 2022 две уязвимости, обнаруженные исследователями «Солара», были включены в БДУ ФСТЭК, а НКЦКИ по этому поводу выпустил и бюллетень, и пресс-релиз. Несмотря на это вендор («ИнфоТеКС») заявил, что недостатки безопасности могли «возникать только при отклонении от существующей модели угроз и нарушителя в случае несоблюдения требований п. 6.3 документа ФРКЕ.00116-05 99 01 ПП», а «степень важности и масштаб выявленных угроз явно завышены», подчеркнув, что недостатки были устранены ещё в марте того года, и клиентам нужно просто обновить софт.

Комментарий в таком же духе оставил под вчерашним отчётом ЛК пользователь под именем Вячеслав: «Мораль сей басни такова: Обновляйте ПО когда выходят обновления и не допускайте грубейших ошибок при использовании софта централизованного администрирования. Этот "бэкдор" пофиксили еще в 22 году».

Тем не менее атаки на клиентов ViPNet, очевидно, продолжаются и спустя три года. Согласно отчёту ЛК, целями бэкдора «стали различные крупные организации в России, в том числе государственные, финансовые и промышленные».

Причиной может быть либо то, что некоторые организации действительно используют устаревшую версию программы, но тогда вопросы есть не только к ним, но и к вендору. Либо злоумышленники нашли ещё одну лазейку.

Можно заметить, что в 2022 году в атаках использовалась подмена DLL, и именно возможность подмены библиотеки была внесена в БДУ как одна из уязвимостей. А в новых атаках посредством подмены пути исполнения запускается вредоносный .exe-файл. Проще говоря, похоже, что эксплуатируется не старая уязвимость, а цепочка несколько отличается. Больше об этом можно будет узнать, когда ЛК закончит исследование атак и расскажет новые подробности.

А пока давайте постараемся не завышать степень важности и масштаб выявленных угроз.

В США придумали новый термин — LLM grooming. Это когда интернет целенаправленно насыщается некой информацией, но не для непосредственного восприятия пользователями, а для её автоматизированного сбора роботами для больших языковых моделей и других датасетов. Таким образом в модель закладывается некий месседж, который затем может транслироваться пользователям чатбота. Американские исследователи и журналисты заявляют, что «грумингом» умных чатботов уже занимается Россия и в меньшей степени Китай.

В статье Washington Post упоминаются ссылки на исследования этой проблемы. Но журналисты решили провести собственный эксперимент. Они спросили чатботы от Microsoft и OpenAI о том, действительно ли в феврале украинские военные сжигали чучело Трампа (новости об этом вышли в некоторых российских СМИ, но видео похоже на постановку). Microsoft Copilot ответил, что да, были сообщения о видео с таким-то содержанием, хотя некоторые ставят его подлинность под вопрос. А ChatGPT заявил, что чучело не сжигали, а распространившееся видео было разоблачено как российская пропаганда.

Я задал такой же вопрос «Алисе» от «Яндекса» и получил в ответ пять ссылок. Четыре источника утверждают, что чучело сжигали, среди них есть и британский таблоид Daily Express. И ещё один источник, заблокированный в России фактчекинговый проект, считает видео уткой.

Так или иначе проблема с достоверностью информации, которую генерируют большие языковые модели, действительно существует, и простого решения для неё нет. Если вас не устраивает LLM grooming, то у этой проблемы есть и более древнее название: garbage in garbage out.

Жаль только, что на ИИ-багбаути «Яндекса» за мою находку ничего не заплатят...

Сооснователь Telegram Павел Дуров опроверг, что его задержание во Франции вынудило мессенджер следовать правилам ЕС.

После августа 2024 года именно французская полиция наконец начала «соблюдать европейские правила», отправляя запросы в Telegram законным способом, описанным в законе ЕС о цифровых услугах. В результате французские суды смогли получать IP-адреса подозреваемых в совершении уголовных преступлений из Telegram.

Он подчеркнул, что «Telegram всегда соблюдал законы Евросоюза».

▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»

Исследователи «Лаборатории Касперского» обнаружили новые атаки китаеязычной APT-группировки IronHusky на российские и монгольские госорганы. Устройства заражались обновлённой версией вредоноса MysterySnail RAT, который злоумышленники применяли ещё в 2021 году. Причём уточняется: «имплант активно использовался в кибератаках все эти годы, просто публичные сообщения о нем отсутствовали». Свою деятельность IronHusky как минимум с 2012 года и уже демонстрировала свой интерес к России и Монголии.

Тревога отменяется (пока). Агентство по кибербезопасности и безопасности критической инфраструктуры (CISA) в последний момент заявило журналистам о продлении контракта с корпорацией MITRE на обслуживание программы CVE.

Также часть членов совета CVE создала новую структуру, CVE Foundation, над которой они работали прошлый год. Идея состоит в том, чтобы передать управление CVE из рук окологосударственной MITRE некоммерческой организации и таким образом избавиться от единой точки отказа в виде возможного прекращения госфинансирования. Пока это только план, но, возможно, что так и будет выглядеть будущее CVE.

APT-группировка Cloud Atlas атакует предприятия ОПК России 🌎

В конце прошлого — начале текущего года группа киберразведки обнаружила миграцию управляющей инфраструктуры и эволюцию вредоносных документов в арсенале Cloud Atlas, ознаменовавшие начало новой кампании группировки в отношении предприятий оборонно-промышленного комплекса России.

Наблюдение за выявленной вредоносной инфраструктурой позволило в режиме реального времени отслеживать весь размах новой киберактивности группировки Cloud Atlas, в том числе вскрыть BEC-атаки с использованием электронной почты ранее зараженных предприятий ОПК России для отправки вредоносных документов Microsoft Office в адрес контрагентов.

📫 Вектором проникновения традиционно выступала фишинговая рассылка электронных писем с вредоносными документами Microsoft Office во вложении. Информация об управляющей инфраструктуре и вредоносные VB-скрипты были скрыты в альтернативном потоке данных (1Table) документов. Открытие файлов приводило к выполнению этих скриптов, которые взаимодействовали с API Google Sheets для передачи информации о зараженной системе и загрузки бэкдора PowerShower с последующей эксфильтрацией украденных данных в облачные хранилища (более подробно — в нашем прошлом исследовании).

По содержанию вредоносные вложения представляли собой приглашения на курсы повышения квалификации, документы об антикоррупционных проверках и мобилизационных мероприятиях, акты сверки взаимных расчетов, справки в отношении сотрудников, резюме соискателей на должность оператора ЧПУ.

🤷‍♂️ Обнаруженные документы — по большей части характерные для государственного сектора шаблоны — отсутствуют в открытом доступе и, вероятнее всего, были украдены из сетей ранее атакованных предприятий. Во избежание раскрытия предприятий, в сетях которых присутствует группировка, из зараженных документов накануне использования в новых атаках удалялись метаданные, о чем свидетельствуют временные метки их модификации.

Активность АРТ-группировки Cloud Atlas отслеживается с 2014 года. Традиционной географией атак являются страны СНГ. В 2024 году вектор кибератак существенно сместился в сторону России, их высокая интенсивность, частота миграции атакующей инфраструктуры и эволюции вредоносных документов сохраняются до настоящего времени.

Прогнозируется сохранение высокого уровня опасности киберугроз для российских учреждений и организаций, исходящих от APT-группировки Cloud Atlas.

🧐 Подробнее читайте на нашем сайте.

#TI #APT #Malware
@ptescalator

«Ведомости» написали про новые атаки Cloud Atlas, обнаруженные исследователями Positive Technologies.

В статье приведён и такой экспертный комментарий:

«В текущих условиях хакерские атаки на объекты ОПК осуществляются весьма часто и в конечном итоге их целью является остановка производства или вывод из строя оборудования, говорит заместитель директора Центра научно-технологической политики МГУ имени М. В. Ломоносова Тимофей Воронин. Нельзя говорить об эффективности данных атак, но их стабильная направленность на российский ОПК подчеркивает необходимость постоянной модернизации инфраструктуры и неукоснительного соблюдения правил в сфере кибербезопасности, отметил он».

Конечно, некоторые злоумышленники стремятся остановить производство, но если говорить об APT-группировках, то задача большинства из них — это закрепление в инфраструктуре для ведения шпионажа. И я совсем не могу согласиться с тезисом, что «нельзя говорить об эффективности этих атак» на ОПК. Некоторые группировки тратят годы и даже десятилетия на совершенствование своего арсенала, поиск и эксплуатацию новых уязвимостей для проведение целевых атак. Разумеется, они не стали бы тратить столько времени и ресурсов на то, что считают неэффективным.

Ради интереса решил посмотреть, насколько БДУ ФСТЭК совпадает с базой CVE. В базе ФСТЭК есть поле «Идентификаторы других систем описаний уязвимости», для одной уязвимости может указываться несколько идентификаторов из одной или разных систем.

В сумме во всей базе указаны идентификаторы из примерно 60 других баз/систем уязвимостей. На картинке показаны топ-10 систем описания уязвимостей, встречающихся в БДУ ФСТЭК. Чаще всего указываются идентификаторы CVE — они есть у 97,5% из почти 70 тысяч уязвимостей в базе. Проще говоря, БДУ ФСТЭК почти полностью пересекается с базой CVE. Впрочем, это не означает, что все эти уязвимости брались из CVE (при желании это тоже можно посчитать, но это уже более трудоёмко), но очевидно, что очень существенная часть.

Если представить сценарий, в котором программа CVE полностью свёрнута, то данные о большинстве уязвимостей в БДУ ФСТЭК пришлось бы собирать из более разрозненных источников. Но о полной остановке речи не идёт, и CISA (источник финансирования программы) думает, как её сохранить.

Уязвимости, для которых не указан идентификатор CVE, — это в большинстве случаев те, которые есть только в БДУ, то есть уязвимости в софте, который используется в основном в России. Учитывая курс на импортозамещение, доля таких уникальных уязвимостей в базе продолжит расти.

Ещё один любопытный момент: в БДУ ФСТЭК всего для 8 уязвимостей указан идентификатор CNNVD (и везде вместе с CVE). То есть с китайской национальной базой данных уязвимостей пересечений почти нет, за ней составители БДУ особо не следят. С одной стороны, это можно объяснить языковым барьером, а также тем, что уникальные данные из китайской базы (уязвимости в китайском софте, допустим) нерелевантны для России. Но всё-таки разница очень показательная. Тем более что в 2015 году в двустороннем соглашении по информационной безопасности Россия и Китай договорились в т.ч. буквально о создании «механизма сотрудничества между уполномоченными органами государств Сторон в целях обмена информацией и совместного использования информации о существующих и потенциальных рисках, угрозах и уязвимостях в области информационной безопасности, их выявления, оценки, изучения, взаимного информирования о них, а также предупреждения их возникновения». 10 лет спустя следов этого механизма по крайней мере с российской стороны не заметно. Даже идентификаторы из японской национальной базы данных уязвимостей встречаются в БДУ в 3 раза чаще китайских.

Программа CVE может встать на паузу

Корпорация MITRE может лишиться возможности поддерживать программу CVE (Common Vulnerabilities and Exposures) — базу данных общеизвестных уязвимостей программного обеспечения. Причём уже завтра.

Об этом сообщил в письме членам совета программы CVE вице-президент одного из центров в составе MITRE. О письме первоначально сообщил хакер Tib3rius, его подлинность подтвердил журналист издания Nextgov/FCW (дополнение: вышла статья с подтверждением MITRE).

Вот перевод письма:

«Уважаемые члены совета CVE,

Мы хотим, чтобы вы были в курсе важной потенциальной проблемы, касающейся продолжения поддержки MITRE программы CVE.

В среду 16 апреля 2025 года истекает текущий контракт на развитие, управление и модернизацию корпорацией MITRE программы CVE и несколько других связанных программ, таких как CWE. Правительство продолжает прилагать значительные усилия для того, чтобы MITRE продолжила выполнять свою роль по поддержанию этой программы.

Если обслуживание будет прервано, мы ожидаем многочисленных последствий для CVE включая ухудшение состояния национальных баз данных уязвимостей и рекомендаций, вендоров инструментов, операций по реагированию на инциденты и всех видов критической инфраструктуры.

MITRE остаётся приверженной программе CVE как глобальному ресурсу. Мы благодарим вас как члена Совета CVE за ваше продолжающееся сотрудничество».

CVE развивается уже более 25 лет и является крупнейшей базой данных уязвимостей, идентификаторы CVE фактически служат стандартом по всему миру. Идентификаторы позволяют отслеживать новые уязвимости и обмениваться информацией о них, управлять обновлениями ПО, расследовать инциденты и заниматься киберразведкой. У некоторых государств есть свои национальные базы данных уязвимостей, например Банк данных угроз безопасности информации ФСТЭК в России или китайская национальная база данных уязвимостей. Но у многих стран своих аналогов просто нет, поэтому любые паузы в функционировании программы CVE могут иметь глобальные последствия.

Причины проблем с финансированием MITRE в письме не названы. Можно предположить, что они связаны с действиями администрации по сокращению бюджетных расходов — есть немало примеров, когда финансирование программ или агентств прекращалось или приостанавливалось, а потом возобновлялось. На проблемы с взаимодействием с MITRE ещё несколько недель назад жаловались пользователи ветки Reddit по кибербезопасности.

Журналисты РБК вчера рассказали о подготовке законопроекта, который создаст механизм изъятия криптовалюты при уголовных делах. На практике конфискация цифровых активов уже происходит. Например, в деле Марата Тамбиева, который, по версии обвинения, получил взятку у членов Infraud Organization. В 2023 году суд постановил изъять в пользу дохода государства 1023,1 биткоина, которыми владел бывший следователь. В январе ТАСС сообщал, что следователи начали «обращать в доход государства более 1 млрд рублей в биткойнах», которые хранились на кошельке Ledger Nano X. Однако с правовой точки зрения механизм вызывал вопросы, которые должен закрыть подготовленный законопроект.

«Яндекс» первым из российских компаний выставил на багбаунти все свои сервисы с использованием ИИ. Принимаются уязвимости, связанные с процессом сбора и обработки данных, ошибки, ведущие к раскрытию чувствительной информации, влияющие на принятие бизнес-решений, и другие.

Но из скоупа исключены проблемы, касающиеся контента, например вопрос этичности ответов или галлюцинации. То есть если Дмитрию Медведеву или другому чиновнику в очередной раз не понравится сгенерированный ответ или картинка, то за это награду не дадут (но можно сообщить в техподдержку).

❗️ В России впервые оштрафовали банк за переписку с клиентом в WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ). Сумма штрафа составила 200 тыс. руб., сообщили в Роскомнадзоре.

Как отметили в ведомстве, сотрудник кредитной организации, вопреки запрету, отправил с корпоративного номера сообщение должнику в иностранном мессенджере. С жалобой в РКН обратилась жительница Москвы. Название банка не уточняется.

Ограничения на использование иностранных мессенджеров при оказании финансовых услуг вступили в силу 1 марта 2023 года.

▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»

Плюс новый отчёт от китайской компании Antiy о кибератаках во время «крупного мероприятия в провинции Хэйлунцзян» (скорее всего, тех же зимних Азиатских игр) с разбором примеров некоторых кибератак: сканирования сети, брутфорса, эксплуатации узязвимостей, распространения троянов удалённого доступа, криптомайнинга и управления ботнетом. В отчёте подчёркиваются случаи использования американских IP-адресов, но обвинения в адрес США не выдвигаются (в отличие от отчёта CVERC и сегодняшнего заявления властей Харбина), хотя Antiy в целом не стесняется обвинять американцев.

Власти Харбина объявили награду за трёх сотрудников АНБ

Бюро общественной безопасности Харбина назвало имена трёх сотрудников Агентства национальной безопасности США (АНБ), якобы причастных к кибератакам на прошедшие в феврале зимние Азиатские игры, и объявила награду за информацию, которая поможет из поймать. По мнению правоохранителей, Katheryn A. Wilson, Robert J. Snelling и Stephen W. Johnson, будучи сотрудниками хакерского подразделения АНБ Office of Tailored Access Operations (TAO), проводили атаки как на инфраструктуру спортивного мероприятия, так и на критическую инфраструктуру провинции Хэйлунцзян: энергетику, транспорт, водные ресурсы, коммуникации, исследовательские институты и университеты, связанные с национальной обороной. Расследование якобы установило и причастность троих американцев к прошлыми кибератаками на Huawei. Харбинские власти утверждают, что помимо АНБ в кибератаках на объекты спортивной и критической инфраструктуры участвовали Университет штата Калифорния и Вирджинский политехнический институт и университет штата (Virginia Tech).

О кибератаках в Харбине и провинции Хэйлунцзян в январе-феврале этого года пару недель назад рассказал в своём отчёте Национальный центр реагирования на вирусные угрозы (CVERC). Я подробно разбирал его здесь. По меркам китайских отчётов о киберугозах материал CVERC не очень содержательный. По сути, США атрибутируются массовые кибератаки различного характера на основе использования злоумышленниками IP-адресов в США и Европе, совпадения тактик, техник и процедур (каких — не описано) и часового пояса.

Странно, что такой слабо детализированный отчёт послужил поводом для публичных обвинений в адрес конкретных американских официальных лиц.

Для сравнения, в 2022 году Qihoo360 и CVERC раскрыли подробности атаки на Северо-западный политехнический университет, обвинив в ней всё то же хакерское подразделение АНБ (кстати, авторы китайских отчётов упорно называют его тем именем, под которым оно прославилось — Office of Tailored Access Operations, но официальное название уже некоторое время назад сменилось на Office of Computer Network Operations, OCNO). Та атака носила целевой характер и имела другие признаки, которые делают её гораздо более похожей на активность разведывательной организации, чем массовые атаки, которые упоминаются в отчёте CVERC про зимние Азиатские игры. Недавно австралийская исследовательница произвела небольшую сенсацию в кибербез-сообществе, пересказав китайские отчёты об атаке на Северо-западный политехнический университет доступным для западной аудитории языком — на публикацию в обтекаемых формулировках отреагировало даже АНБ. Так вот, в контексте той атаки китайцы публично упоминали только одну фигуру — Роба Джойса, бывшего главу TAO, имя которого и факт его работы в АНБ и так были широко известны.

Так или иначе, Китай продолжает перенимать американские практики публичной атрибуции кибератак вплоть до назначения награды за информацию об обвинённых во взломах официальных лицах. Сегодняшняя новость показывает, что участвовать в этом процессе могут не только госорганы национального уровня, как это было в марте, когда Министерство государственной безопасности выдвинуло обвинения против предполагаемых служащих тавйваньского киберкомандования, но и региональные власти, в данном случае в Харбине.

Артём Хорошилов, фигурант одного из дел о DDoS-атаках на критическую информационную инфраструктуру, внесён в перечень экстремистов и террористов Росфинмониторинга, сообщает РИА Новости.

Хорошилов был сотрудником Института общей физики РАН. Его задержали в декабре 2023 года, а впервые о его деле стало известно в феврале 2024 года. Ему было предъявлено обвинение по ч. 4 ст. 274.1 УК РФ за DDoS-атаки на объекты КИИ. Тогда же источник агентства Regnum утверждал, что обвиняемый «давно состоит в украинских чатах, администраторы которых финансируют ВСУ» и «в чатах, которые посвящены лайфхакам по переводу денег из-за границы в Россию и в обратном направлении».

Спустя несколько месяцев ТАСС и РИА Новости опубликовали сообщение ФСБ, в котором утверждалось, что Хорошилов «инициативно установил контакт с представителями украинских спецслужб» и проводил DDoS-атаки по их указанию. Но к кибератакам добавились обвинения в том, что он собирал сведения о российских военных, а также переводил средства на счёт украинских фондов для приобретения вооружений, военной техники и экипировки. Также сообщалось, что в отношении Хорошилова возбуждено дело по более серьёзной статье о госизмене (ст. 275 УК РФ).

В сегодняшней новости упоминается только обвинение в неправомерном воздействии на КИИ, но не госизмена. На каком основании Хорошилов внесён в перечень Росфинмониторинга, не сообщается. Если я правильно понимаю, обвинения как по ст. 274.1, так и по ст. 275 УК РФ сами по себе такими основаниями не являются.

Еврокомиссия выдаёт сотрудникам для поездок в США одноразовые телефоны и простые ноутбуки, чтобы снизить риск шпионажа, сообщает Financial Times со ссылкой на четыре источника. Прежде такие меры применялись во время командировок в Китай и Украину из-за страха китайской или российской слежки. Но на фоне ухудшения отношений между Европой и США европейские чиновники теперь опасаются и американских вторжений в свои системы. Пересматривают модель угроз, так сказать.

Исследователи Symantec обнаружили новую активность группировки Gamaredon, которую связывают с российскими спецслужбами. Мишенью начатых в феврале атак стала военная миссия неназванной западной страны, находящаяся на территории Украины. В отчёте описаны усовершенствованные инструменты группировки. Исследователи отмечают, что атакующие пытаются снизить риск обнаружения путём постоянного внесения небольших изменений в свой софт, обфускации кода и использования легитимных облачных сервисов.

Примечательно, что первоначальное заражение, по мнению исследователей, вероятно, произошло с помощью съёмного устройства. Это напоминает о том, что флешки и другие устройства как вектор для атак по-прежнему остаётся действенным, причём среди разных злоумышленников.

На самом деле ничто так не повышает осведомлённость о киберугрозах, как киберугрозы. В Марокко уже почти неделю в новостях обсуждаются атаки на Министерство экономической инклюзивности и Национальное агентство социального страхования (CNSS). Сайт министерства подвергся дефейсу, а потом злоумышленники опубликовали 3 тыс. платёжных документов, якобы принадлежавших сотрудникам. С CNSS ситуация более серьёзная — в общий доступ были слиты данные около 2 млн граждан.

Атаки, вероятно, имеют международно-политическую подоплёку. Ответственность за них взяла группа под названием JabaRoot DZ, преподнося взломы как ответ на кражу марокканскими хакерами заблокированного в Твиттере аккаунта новостного агентства Algeria Press Service.

На выходных CNSS подтвердило утечку, добавив, что специалисты всё ещё изучают, откуда были украдены данные. На время реагирования на инциденты были приостановлены некоторые сервисы. На всякий случай пользователям посоветовали регулярно менять пароли, не передавать свои данные непроверенным людям по телефону, SMS или электронной почте, быть начеку при подозрительных звонках от имени агентства, а также проверять всю информацию на официальном сайте.

Оказывается, в России завершилась национальная программа кибергигиены, продолжавшаяся три года. К её основным достижениям Минцифры относит в т.ч. ознакомление 13 млн граждан с правилами кибербезопасности и 306,5 загрузок стикеров о борьбе с кибербуллингом.

Что же, можно только поздравить россиян с повышением уровня киберграмотности в целом по стране!

Завершение программы связано с завершением федерального проекта «Информационная безопасность» (2018-2024 годы). Видимо, в федпроекте «Инфраструктура кибербезопасности», который пришёл ему на смену, выделение средств на просветительские мероприятия уже не предусмотрено.

Кстати, вот идея для междисциплинарного исследования, которым могут заняться учёные не только технических специальностей — сравнительный анализ национальных программ повышения киберграмотности. Примеров масса. В марте, например, французские власти разослали 2,5 миллионам школьников имитированные фишинговые письма — тоже ради повышения осведомлённости (8,5% кликнули по «вредоносной» ссылке и вынуждены были посмотреть короткий обучающий ролик).

Китай признал причастность к кибератакам на американскую инфраструктуру?

Не совсем, но, согласно Wall Street Journal, такое впечатление осталось у многих с американской стороны после переговоров в конце прошлого года.

Американская и китайская делегации провели непубличную встречу в декабре в Женеве. Очевидно, она была посвящена вопросам кибербезопасности: делегацию от США возглавлял Натаниэль Фик, на тот момент директор профильного бюро по киберполитике в Госдепартаменте, а от КНР — Ван Лэй, координатор по кибервопросам в китайском МИД. С американской стороны среди участников были не только дипломаты, но и представители Совета по национальной безопасности, Пентагона и спецслужб.

Согласно WSJ, которая впервые рассказывает о встрече со слов участвовавших в ней бывших американских чиновников, США задавали Китаю вопросы по разным киберактивностям, в которых винят китайские хакерские группировки. Затрагивалась, в частности, кампания по проникновению в американские телеком-операторы (атрибутируется группировке Salt Typhoon). Но основной акцент американские участники сделали на стремлении другой группировки, Volt Typhoon, закрепиться в американской критической инфраструктуре. В США распространено мнение, что эта активность выходит за рамки кибершпионажа и представляет собой попытку подготовиться к возможному конфликту и занять выгодные позиции (pre-positioning) для возможного выведения этой инфраструктуры из строя (например, на Гуаме) и снижения возможностей США по ведению военных действий.

В Китае конкретно против этих обвинений развернулась информационная компания. В прошлом году Национальный центр реагирования на компьютерные вирусы (CVERC) выпустил отчёт в трёх частях, отвергающий американскую версию атрибуции атак Volt Typhoon и представляющий все обвинения по этой группировке как пропагандистскую операцию США, цель которой — отвести внимания от американского кибершпионажа. Вслед за CVERC эту позицию поддержали китайские СМИ, МИД и Министерство общественной безопасности.

Но, как пишет WSJ, на непубличной встрече в Женеве китайские делегаты едва ли не признали роль КНР в атаках на инфраструктуру США:

«По словам нынешних и бывших американских чиновников, знакомых с ходом беседы, во время продолжавшейся половину дня встречи в Женеве Ван Лэй, высокопоставленный представитель Министерства иностранных дел Китая по кибервопросам, заявил, что взломы инфраструктуры стали результатом американской военной поддержки Тайваня — острова, на контроль над которым претендует Пекин.

Ван Лэй, как и другие китайские представители не заявляли напрямую, что ответственность за взлом несёт Китай, отмечают американские чиновники. Но члены делегации США, присутствовавшие на встрече, и другие госслужащие, получившие информацию о ней позднее, восприняли эти комментарии как подтверждение роли Пекина, призванное отвадить США от вмешательства в случае, если в Тайваньском проливе разразится конфликт».

Журналисты WSJ запросили официальные комментарии с американской и китайской стороны, но содержательных разъяснений не получили. Госдепартамент заявил, что США известили Пекин о том, что вредоносная деятельность в киберпространстве не останется без ответа. Китайское посольство назвало обвинения со стороны США в кибератаках дезинформацией и средством очернения репутации КНР.

О чём действительно говорили на встрече, предстоит разбираться историкам. Но США демонстрируют, что напугать их не удастся. И администрация Байдена, и действующая администрация Трампа пришли к выводу, что Китай представляет главную угрозу США в киберпространстве, и отступать не планируют.

НКЦКИ в этом году перезапустил обновлённый сайт. Теперь на нём публикуются сводки со статистикой, уведомления об уязвимостях и об угрозах и другие официальные материалы, которые раньше выходили на safe-surf.ru. Но пропала английская версия.

Старая версия сайта на второй картинке.

PRODAFT решила бороться с хакерами самым бескомпромиссным средством — деньгами. Турецко-швейцарская компания, специализирующаяся на киберразведке, анонсировала акцию по выкупу аккаунтов на хакерских форумах XSS, Exploit, RAMP4U, Verified, Breachforums. За аккаунты с уровнем модератора или администратора обещают платить больше. Объявление сделано на английском и русском языках.

«Никаких осуждений, никаких вопросов — простая и безопасная сделка, которая выгодна обеим сторонам и поможет вам оставить старую жизнь в прошлом. Это ваша возможность отойти от дел и начать жить без стресса, без груза прошлого, который тянет вас назад».

PRODAFT поясняет, что хочет использовать полученные аккаунты для сбора информации (по сути — агентурной разведки, HUMINT) о том, что происходит в darkweb'е.

Говорят, на форумах и так офицеров спецслужб и кибербез-исследователей больше, чем хакеров, но скоро, похоже, их совсем не останется.

Неправомерное воздействие на критическую информационную инфраструктуру — это не только (и не столько) Stuxnet.

Исследователи «Лаборатории Касперского» выпустили отчёт об атаках APT-группировки GOFFEE на российские организации в июле-декабре 2024 года. Об этой же кампании ранее писали команды Positive Technologies и BI.ZONE (где группировку называют Paper Werewolf). Атака начиналась с фишинга, и одним характерным вариантом вредоносного вложения были файлы Word с з??ш@@фр**!!??нн$$м с**д^рж@@м$$м (зашифрованным содержимым). Для «корректного отображения» предлагалось включить содержимое, а на самом деле запустить вредоносный макрос. В отчёте ЛК детально описан инструментарий группировки, включающий, например, и USB-червя для переноса вредоносного файла с помощью съёмных носителей — но, видимо, не для перепрыгивания air gap, потому что переносился имплант, который всё равно управлялся с командного сервера.

Среди жертв атаки были СМИ, телекоммуникационные и строительные компании, государственный и энергетический сектора.

Про группировку GOFFEE известно не так много. ЛК обнаружила её в 2022 году и отнесла к китаеязычной активности. По наблюдениям компании, злоумышленники атакуют исключительно организации в России.

Американская индустрия кибербезопасности сохраняет молчание по поводу ситуации с SentinelOne, которая попала в немилость администрации Дональда Трампа в связи с претензиями президента к бывшему главе CISA Крису Кребсу. Журналисты Reuters опросили 33 компании (технологические и юридические фирмы) и 3 ассоциации, связанные с кибербезопасностью, на тему недавнего президентского указа, лишившего Кребса допуска к гостайне и обвинившего его в ряде злоупотреблений, а также приостановившего допуски сотрудников SentinelOne. 11 организаций отказались комментировать ситуацию, 24 оставили запрос без ответа. Только одна организация, Cyber Threat Alliance, согласилась ответить, её президент Майкл Дэниел (бывший координатор киберполитики в администрации Обамы) заявил: «Преследование компании за то, что президенту не нравится кто-то, кто в ней работает, — это пример той самой вепонизации федерального правительства, с которой якобы борется президентский указ».

В России есть не очень понятная мне фиксация на так называемом киберцентре НАТО. Официальное название — Центр передового опыта по сотрудничеству в сфере киберобороны (CCDCOE) или Таллинский центр. Глава "Солара" Игорь Ляпунов в интервью связывает вступление Украины в этот киберцентр в январе 2023 с возвращением кибератак "с новой силой и новыми технологиями".

Во-первых, фактически Украина стала участником CCDCOE ещё в марте 2022 года, а официально — в мае 2023.

Во-вторых, CCDCOE никогда не занимался операционной деятельностью и особого вклада в развитие наступательных возможностей членов альянса тоже не вносил. НАТО (полноценной частью которого центр, кстати, не является) в киберпространстве лучше развивает коллективную оборону, а не на нападение. Причина этого не в благих намерениях, а в том что те, у кого наступательные возможности есть, не особо хотят ими делиться; а у многих их толком и нет. Поэтому в наступательном плане строятся всякие сложные схемы, интересующиеся могут почитать про Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA) — по сути, это механизм, который позволяет странам типа США на добровольной основе предоставлять свои возможности для общих миссий. Более того, известно, что у украинских спецслужб уже был многолетний опыт сотрудничества с американцами по развитию компьютерной разведки — то есть прямой канал взаимодействия с наиболее ресурсным членом альянса. С учётом этого непонятно, что присоединение к CCDCOE могло дать для активизации атак. Для упрощения обмена информацией об угрозах, участия в учениях и тренингах могло, а вот для наступательных действий вряд ли.

Наконец, для многих деструктивных атак (в интервью отмечено, что сейчас на некоторые уходит "два с половиной дня от момента первого исследования до полного уничтожения инфраструктуры компании"), как показывает практика, не обязательно нужны новые технологии НАТО, достаточно фишинга и какого-нибудь общедоступного шифровальщика. Есть и более сложные кибершпионские операции, но мне не попадалось, чтобы кто-то отмечал пересечение инструментария украинских группировок с западными.

Конечно, некоторым в Москве нравится мысль, что за всеми кибератаками против России стоит Запад. Но вообще на четвёртый год интенсивного киберконфликта я бы не удивился, если бы обмен опытом шёл не с Запада в сторону Украины, а наоборот.

Координационный центр доменов .RU/.РФ и МГИМО выпустили книгу «Международное управление интернетом», она доступна как в печатной, так и в электронной форме (PDF). Редактором издания выступила Елена Зиновьева, над текстом также работал коллектив авторов из МГИМО и других вузов: Александр Игнатов, Александр Уланов, Элина Сидоренко, Анна Сытник, Мария Базлуцкая, Николай Силаев, Василий Таран, Инна Яникеева.

Книга посвящена прежде всего международно-политическим аспектам управления интернетом и почти не касается технической стороны вопроса. В книге сделан обзор ведущейся уже не одно десятилетие дискуссии об управлении интернетом — как академическими авторами, так и практиками. Описана работа международных и неправительственных организаций, задействованных в управлении интернетом. Изложены государственные подходы, прежде всего российский, но также американский и китайский. Третья глава посвящена не только управлению интернетом в узком понимании, но и другим цифровым вопросам, которые обсуждаются в международных форматах. Это как традиционные темы международного права, информационной безопасности и цифрового неравенства, так и новые вызовы, связанные с экологией, искусственным интеллектом и криптовалютами.

В завершение представлены официальные российские взгляды о необходимости реформирования системы управления интернетом:

«Россия исходит из необходимости интернационализации управления Интернетом и апеллирует к следующим принципам: равные права и обязанности в сфере управления Интернетом, недопущение доступа к сети Интернет как инструмента влияния на другие государства, воздержание государств от действий, направленных на ограничение функционирования или доступа к сети Интернет на территории других государств, суверенные права государств на управление национальным сегментом сети Интернет».

Ранее Координационный центр выступал инициатором издания двух редакций перевода популярной книги Йована Курбалийи «Управление интернетом» (Introduction to Internet Governance). По словам директора Координационного центра Андрея Воробьёва, новая книга лучше представляет российские подходы:

«Но "Управление интернетом" Курбалийи отражает в какой-то степени "западный" взгляд на этот процесс, и теперь мы решили познакомить читателей с мнением отечественных ученых, занимающихся этой проблемой».

SentinelOne оставили без допусков

Российские власти в прошлом году признали нежелательной деятельность кибербез-компании Recorded Future; а американские власти вчера объявили нежелательной другую американскую фирму — SentinelOne. Ну, почти.

Дональд Трамп подписал указ о лишении допуска к секретной информации (clearance) бывшего главы Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Криса Кребса.

CISA было создано во время первого президентства Трампа, и Кребс стал его первым руководителем. Однако единомышленниками они не были, и конфликт вышел наружу в контексте президентских выборов 2020 года. Во время избирательной гонки и после своего поражения Трамп заявлял о фальсификациях на выборах. Кребс как глава агентства, которое занималось защитой избирательной инфраструктуры, подчёркивал безопасность выборов (как и 4 года спустя его преемница Джен Истерли). Вскоре после голосования Трамп уволил Кребса, и тот продолжил карьеру в частном секторе.

Во вчерашнем указе Трамп называет бывшего главу CISA недобросовестным человеком, который злоупотреблял своими полномочиями на госслужбе: подавлял консервативные взгляды под предлогом борьбы с недостоверной информацией; тайно участвовал в сокрытии скандала вокруг ноутбука Хантера Байдена; занимался цензурой информации о выборах и, в частности, отрицал, что выборы 2020 года были украдены; искажал общественную дискуссию на тему COVID-19.

(Ещё один указ Трампа лишает допуска Майлса Тэйлора, бывшего руководителя аппарата Министерства внутренней безопасности и автора скандальной анонимной колонки в New York Times «Я часть сопротивления внутри администрации Трампа».)

При чём тут SentinelOne? Компания, по сути, стала побочной жертвой политической борьбы. Своим указом Трамп не только лишил допуска Кребса, но и поручил приостановить действующие допуски, которыми обладают лица в структурах, связанных с Кребсом, включая SentinelOne — именно в этой компании сейчас работает бывший глава CISA в качестве руководителя по разведке и публичной политике. По допускам этих лиц будет проведена проверка на предмет соответствия национальным интересам.

Допуск к секретной информации может быть нужен компаниям в сфере кибербезопасности для взаимодействия с государственными ведомствами, работы над проектами, связанными с нацбезопасностью и защитой критической инфраструктуры. На практике сегодняшний указ может стать препятствием для выполнение компанией госконтрактов, осложнить обмен информацией о киберугрозах, а также негативно отразиться на её деловой репутации.

Где сновал Пегас

В 2019 году Pegasus применялся для атак на 1223 пользователей WhatsApp в 51 стране. Количество жертв шпионской программы стало известно из материалов судебного разбирательства по иску Meta к NSO Group.

Больше всего жертв слежки было в Мексике (456). Это подтверждает предыдущие журналистские расследования о злоупотреблениях мексиканских властей программой, которая позиционировалась как инструмент для правоохранительных органов. Также в топе Индия (100), Бахрейн (82), Марокко (69), Пакистан (58) и Индонезия (54).

Pegasus применялся и против жертв в западных странах, в том числе в Испании, Нидерландах, Франции, Германии, Великобритании, Канаде и США.

Также слежка велась за пользователями WhatsApp на постсоветском пространстве: в Узбекистане, Казахстане, Латвии, Кыргызстане, Эстонии.

Как отмечает TechCrunch, наличие жертв Pegasus в определённой стране не обязательно свидетельствует о том, что правительство данной страны было клиентом NSO Group. Возможно, что клиент мог заказывать слежку и за гражданином другой страны.

Поскольку суд идёт именно по злоупотреблению WhatsApp (уязвимость в мессенджере использовалась для первоначального заражения устройства), то приведённые цифры — это жертвы, атакованные только через этот вектор в течение примерно двух месяцев в апреле-мае 2019 года.

Кто всё ещё работает по ру?

Обновил список государственных и окологосударственных хакерских группировок (APT), которые проводят атаки на российские организации.

Первую версию подготовил год назад, в октябре было обновление. Список составлен на основе публичных отчётов российских и иностранных компаний в сфере кибербезопасности.

Что нового:
— добавил 51 отчёт в основном с октября 2024 по апрель 2025, но также несколько более ранних, убрал пару дублей; всего сейчас в таблице около 130 отчётов, количество группировок увеличилось с 40 до 49;
— поправил наименования некоторых групп, указал предполагаемую страновую привязку, где это было обосновано.

В список по-прежнему не включены киберпреступные и хактивистские группировки.

Буду благодарен за обратную связь, дополнения и уточнения.

Корейские исследователи из Genians отмечают, что один из командных серверов, использованных шпионской группировкой Konni в недавних атаках, находится в России; ещё один в Нидерландах.

РИА Новости выпустили статью посла Китая в России Чжан Ханьхуэя о том, что главную угрозу глобальной кибербезопасности представляют не китайские хакерские группировки (как утверждают американцы), а США.

Эту позицию китайские власти продвигают уже несколько лет как противовес американским публичным обвинениям, а также для того, чтобы напоминать международному сообществу о масштабах кибершпионской деятельности США. В статье ничего особо нового не сказано, посол оперирует информацией из ранее опубликованных китайских отчётов. Так, вынесенный в заголовок термин «хакерская империя» был введён в использование в 2023 году в совместном докладе Национального центра реагирования на компьютерные вирусы (CVERC) и компании Qihoo 360. А про группировку Volt Typhoon, которую несколько раз упоминает в статье посол, CVERC выпустил серию отчётов в прошлом году; в них оспариваются американские утверждения о связи злоумышленников с Китаем и выдвигаются контробвинения в адрес США, по большей части на основе материалов утечек Сноудена, Shadow Brokers и Vault7.

Из любопытного отмечу следующий фрагмент:

«США открыто включили критически важную инфраструктуру других стран в список законных целей для ударов своих кибервойск, и в течение долгого времени проводили неизбирательные и масштабные кибератаки. В числе жертв и была российская электроэнергетическая система, в которую внедряли вредоносные программные коды».

Думаю, речь идёт о статье 2019 года в New York Times, в которой утверждалось, что США внедрили в российскую инфраструктуру, в частности в энергосистему вредоносный код. Об этой истории известно довольно мало, Трамп публично опровергал её (в отличие, допустим, от сообщений про взлом медиа-структур Евгения Пригожина), а российские власти заявляли, что подобные попытки атак осуществляются, но российские электросети хорошо защищены.

Читая статью Чжан Ханьхуэя, стоит рассматривать его именно в международно-политическом контексте. Потому что на практике кибершпионажем занимаются и США, и Китай — полтора года назад «Солар» даже называл китайские APT-группировки самыми активными в России. Так что защищаться российским организациям всё равно придётся как от недружественных, так и от дружественных киберугроз.

Проукраинская группировка взломала IEK Group, одного из лидеров российского рынка электротехники ⚡️, о чем последняя 19 марта сообщила в своих соцсетях. В самом сообщении компании говорится от отражении атаки, хотя большинство бизнес-систем было выведено из строя - отгрузка товара прекращена, заказы не принимались, данные удалены из личных кабинетов и т.п. 🤷‍♀️ Такое себе "отражение"...

Спустя сутки, 20 марта, компания написала 🧑‍💻, что доступ к системам, включая личный кабинет для заказа товаров был восстановлен, но, как пишут в Интернет, данные по истории заказов в кабинете отсутствовали. 28 марта IEK Group пишет, что восстановлена логистика 🚚 (спустя 10 дней с момента инцидента). Клиенты в комментариях задают вопросы, почему не работают бизнес-системы. 31 марта продолжали не работать ресурсы Академии IEK.

Интересно посмотреть на этот инцидент 🔓 со стороны хакерской группировки, которая взяла на себя ответственность за взлом и 4-го апреля написала об этом в своем Telegram-канале. Становится понятно, что речь идет о шифровальщике, который целиком пошифровал всю инфраструктуру (а в ней, судя по выложенным скринам, были и известные средства защиты развернуты) 🔄

В выложенных скринах много всего, включая даже уведомление об этом критическом инциденте от известного аутсорсингового SOC, который мониторил жертву 🔍 и который обнаружил шифровальщика в ночь 19 марта (возможно и раньше, но про это неизвестно). Дальше интереснее. 21 марта, видимо, начались переговоры между вымогателями и IEK Group в части оплаты выкупа в 50 тысяч долларов, которые, опять же, предположительно, были выплачены жертвой в криптовалюте. Но… доступ к данным возвращен не был, а хакеры публично глумятся над «доверчивой жертвой» 😂, заявив заодно и об уничтожении всех зашифрованных данных, виртуальных машин и т.п.

В этой истории можно много о чем порассуждать, но я обращу внимание только на один момент. Руководство компании приняло решение о выплате выкупа 🤑 и это именно бизнес-решение; но киберпреступники обманули. Что ж, такое случается сплошь и рядом. Клиенты кидают, контрагенты кидают, партнеры кидают... чем хакеры лучше 🤔 Теперь эта сумма, если она и правда была уплачена, будет включена в статью затрат на разгребание инцидента наряду с другими расходами (про финансовую оценку инцидентов можно посмотреть запись вебинара, который я вел). Мир не рухнул. Обычное управление бизнес-рисками, которые не только про возможности, но и про потери 🧐

ЗЫ. А в процедуру по принятию решения "платить или нет вымогателям" я бы добавил еще один пункт - не находится ли вымогатель в государстве, с которым геополитическая напряженность, назовем это так. Это может снизить вероятность успешного завершения переговоров по поводу возврата доступа к зашифрованным файлам. Разумеется, если мы можем понять, что за вымогатель с нами вышел на связь.

#инцидент #ransomware #антикризис

Первый штраф на совести Silent Crow

Российское представительство Kia (ООО «КИА Россия и СНГ») получило штраф за утечку персональных данных. Судя по описанию утекшей базы в постановлении, речь, скорее всего, идёт о январском сливе. Совпадает количество записей (около 450 тыс.), а также тот факт, что база была опубликована в интернете — других публичных утечек, связанных с Kia, за последнее время не было. Согласно каналу «Утечки информации», в базе содержались ФИО, 172 тыс. уникальных адресов электронной почты, 448 тыс. уникальных номеров телефона, даты рождения и другие данные. Ответственность за ту утечку взяла группировка Silent Crow, публичная активность которой началась в январе с заявления о взломе «Росреестра».

Из постановления следует, что в суде «КИА Россия и СНГ» признала ответственность за утечку. Представитель компании подчеркнул факт направления уведомлений в Роскомнадзор («хотя в российском периметре информационных баз и утечки персональных данных клиентов наименование организации не было нигде, это было обнаружено в иностранном даркнете, пояснил, что, если бы они не сообщили об утечке персональных данных никто не узнал об этом инциденте, но сообщили об этом, понимая свою ответственность, поскольку это персональные данные их клиентов»).

При этом утечка произошла не из самой компании, а на стороне подрядчика, которому информация клиентов была передана в соответствии с документами об обработке персональных данных; подрядчик подал заявление в полицию и ФСБ. Похожим образом за утечку у подрядчика ранее был оштрафован «Бургер Кинг».

Суд признал «КИА Россия и СНГ» виновной в утечке и назначил административный штраф. Его размер в постановлении не указан.

Сейчас по ч. 1 ст. 13.11 КоАП штраф за допущение такой утечки для юрлиц составляет от 60 до 100 тыс. рублей. С 30 мая с учётом размера утечки (данные более 100 тыс. лиц) за аналогичное нарушение будут штрафовать уже на сумму от 10 до 15 млн.

Кстати, как видно из названия компании, представительство Kia отвечает не только за Россию, но и за другие страны СНГ, а значит, в утечке есть данные не одних лишь россиян (на скриншоте в канале «Утечки информации» видно несколько казахстанских email'ов).

Когда кажется, что безопасней уже некуда...

"С учетом рисков, которым подвержены ресурсы, размещенные на мощностях этих компаний, работа таких провайдеров хостинга может быть ограничена на территории РФ. В таком случае они не смогут оказывать услуги хостинга российским организациям", - сообщили в Роскомнадзоре.

🌐 Российский форум по управлению Интернетом (RIGF 2025): лекции в Дипломатической академии

В рамках образовательного дня 15-го Российского форума по управлению Интернетом (RIGF 2025) в Дипломатической академии МИД России пройдут две профильные лекции.

🟢 8 апреля в 16:00 состоится лекция «Управление данными в госсекторе». Лектор — к.э.н., проректор по развитию, инновациям и цифровизации Александр Андреевич Уланов. Лекция пройдёт в гибридном формате: очно в аудитории 443 Дипломатической академии (Остоженка, 53/2, стр. 1) и онлайн для зарегистрированных участников. Регистрация открыта до 7 апреля.

🟢 9 апреля в 16:00 пройдет лекция «Международная ИКТ-повестка». Ее проведет к.ю.н., научный сотрудник ИАМП Дипломатической академии, руководитель Школы МИБ ИАМП Аревик Жораевна Мартиросян. Формат мероприятия — онлайн. Регистрация доступна до 8 апреля.

Ссылки для онлайн-участия в лекциях будут отправлены зарегистрированным пользователям за день до мероприятия.

#RIGF2025 #УправлениеДанными #ИКТПовестка #МероприятияМИБ #МИБ_анонс #ШколаМИБ

Микронаходка дня. В годовом отчёте «Джет» (вышел ещё в декабре) причиной взлома сайта компании в 2024 году названа эксплуатация популярной уязвимости BDU:2022-01141 (CVE-2022-27228). Дальше дана ссылка на разбор взлома на «Хабре».

Но, что интересно, в той статье как раз эта версия была фактически отброшена:

«В первые часы расследования вторая команда обнаружила подозрительные POST-запросы к модулю Vote в близкой окрестности к инциденту, при этом все компоненты «1С-Битрикс» на момент инцидента были актуальных версий. Мы привлекли нашу команду пентестеров, чтобы на 100% отсеять данную гипотезу. Попытки эксплуатации уязвимости не увенчались успехом».

На отказ от этой версии повлияло и то, что пентестеры нашли другую, менее известную уязвимость (в «1С-Битрикс: Виртуальная машина») и смогли показать, что сайт мог быть скомпрометирован через неё. Авторы статьи даже попеняли «1С-Битриксу» за то, что он не счёл эту проблему, обнаруженную в 2022 году, уязвимостью: «Воздержимся от комментариев по поводу этого удивительного для нас мнения уважаемого вендора».

Однако к концу года «Джет» всё-таки вернулся к отклонённой первоначальной версии, а вот (не)уязвимость в «1С-Битрикс: Виртуальная машина» в годовом отчёте совсем не упоминается.

А ничё тот факт, что, по данным Роскомнадзора, в 2021 году утекло 2,7 млн записей персональных данных россиян, а в 2024 — 700 млн?

https://t.me/rkn_tg/1409

Китайский Национальный центр реагирования на вирусные угрозы (CVERC) выпустил отчёт о киберугрозах девятым зимним Азиатским играм, прошедшим в феврале в Харбине.

В сравнении с отчётами китайских ИБ-компаний материалы CVERC не всегда отличаются информативностью, и это как раз тот случай.

Специалисты CVERC сообщают, что в период с 26 января по 14 февраля на информационные системы соревнований было совершено 270 тыс. атак. Их количество увеличилось с 7 по 13 февраля, то есть непосредственно во время проведения соревнований. Были обнаружены такие действия атакующих, как выявление сетевых ресурсов и вредоносное сканирование портов, эксплуатация известных системных уязвимостей, атаки на веб-системы: эксплуатация уязвимостей произвольного чтения файла, SQL-инъекции, подмена значения заголовка X-Forwarded-For и др. Источниками атак были IP-адреса в США (63,24%), Сингапуре (14,97%), а также в Нидерландах, Республике Корея, Германии и других странах. Команда безопасности заблокировала более 12,5 тыс. вредоносных IP-адресов, большинство из которых, как утверждается, предоставлялись облачным хостингом Digital Ocean.

Кроме атак на системы, связанные со спортивными играми, в отчёте упоминаются и кибератаки на критическую инфраструктуру провинции Хэйлунцзян (Харбин — её административный центр) в примерно тот же период с 31 января по 14 февраля. Тут уже о характеристике вредоносной активности не сказано совсем ничего за исключением того, что почти 38 млн атак осуществлялись с адресов в Нидерландах (причём 32, 5 млн — с одного и того же IP), 11,8 млн из США, 7,2 млн из Таиланда.

Как видно по обложке отчёта, CVERC связал эти массовые атаки с США. Причём атрибуция была проведена нехитрым способом:

«Стоит отметить, что в январе 2025 года [CNCERT/CC] опубликовала отчёты о расследовании кибератак на китайские технологические компании со стороны США. В них также говорится, что Соединенные Штаты часто использовали облачные хосты, расположенные в Нидерландах, Германии и других странах Европы, в качестве подставных или замаскированных хостов. В связи с этим команда кибербезопасности провела анализ атрибуции этих атак. Основываясь на TTPs [техниках, тактиках и процедурах], временных рамках, часовом поясе, языке и других поведенческих характеристиках, команда кибербезопасности предположила, что кибератаки на [информационные системы соревнований] и критическую сетевую инфраструктуру в Хэйлунцзяне во время зимних Азиатских игр были связаны с правительством США».

Упомянутые отчёты CNCERT/CC посвящены двум целевым атакам с целью кражи информации, которые приписаны американским спецслужбам.

Американские СМИ сообщают, что вчера был уволен глава Киберкомандования и АНБ Тимоти Хог. К его отставке Дональда Трампа призвала его ярая сторонница и активистка Лора Лумер, которая добивается очистки администрации от нелояльных чиновников. Лумер заявила Washington Post, что она призывала уволить Хога из-за того, что на должность его выдвинул Марк Милли, глава Объединённого комитета начальников штабов при Байдене. Сообщается, что в отставку отправили также Уэнди Нобл, которая была заместителем Хога и самым высокопоставленным гражданским руководителем в АНБ. The Record отмечает, что увольнение Тимоти Хога может быть подготовкой к разделению руководства АНБ и Киберкомандования: с момента основания последнего его возглавлял директор радиоэлектронной разведслужбы. Но советники Трампа ещё до инаугурации обсуждали планы по пересмотру этой схемы и разделению ролей.

У Тимоти Хога большой опыт работы в разведывательных подразделениях и в Киберкомандовании, но руководил им он всего чуть больше года.

Дроны с компьютерными вирусами

«Украинские дроны заражают российские системы вредоносными программами», — статьи под примерно таким заголовком опубликовали несколько украинских изданий, ссылаясь на американский Forbes.

Я сперва отнёсся скептически и решил проверить. Автор статьи Forbes пересказывает содержание видео из популярного поста на Reddit, в котором закадровый голос объясняет, что российские операторы дронов обнаружили на передовой украинские дроны, заражающие компьютеры при подключении.

Оригинал этого ролика был опубликован в конце марта российским проектом «Архангел», который занимается разработкой военных беспилотников и обучением операторов.

В видео действительно рассказывается, что сбитые или посаженные украинские дроны могут содержать вредоносные устройства или программы. Судя по описанию, основная задача при этом — затруднить использование аппарата в случае его попадания в чужие руки:

«Вредоносный софт противник использует в нескольких вариациях.
Способ первый: программу- червь враг зашивает в черный ящик коптера. При подключении перехваченной птички к компьютеру вирус сжигает USB порт и лишает возможности подключить к компьютеру другие дроны.
Более хитрый и сложный вариант: заражение вирусом самого чипа. В таком случае использовать дрон будет невозможно. Программа полностью заблокирует все попытки перепрошивки дрона.
И третий, самый незаметный и опасный способ : невидимый анализаторами вирус, который не обнаружится ни при попытке подключения, ни при перепрошивке. Однако, при отправке дрона в сторону противника вредоносное ПО может или перехватить управление, или сообщить врагу данные о местоположении оператора и мастерской».

Далее идут инструкции по обезвреживанию вируса.

Под видео оставил комментарий представитель ещё одного БПЛА-проекта WingWise, подтвердив возможность наличия в трофейных дронах USB-киллеров и вредоносных драйверов.

О кибербезопасности и дронах написано немало, но в основном речь идёт о защите аппаратов от заражения или перехвата. Однако есть свидетельства и того, что беспилотники рассматривались как потенциальное средство доставки вредоносных программ, прежде всего беспроводным способом.

Так, 10 лет назад из утечки данных итальянского разработчика средств для слежки Hacking Team стало известно, что американский производитель дронов для военных и правоохранительных нужд Insitu («дочка» Boeing) интересовался возможностью размещения на беспилотнике средства для взлома Wi-Fi. В том же 2015 году исследователи из Сингапура продемонстрировали, как это может работать: они прикрепили к коммерческому квадрокоптеру телефон с приложением, которое находило открытые беспроводные принтеры, мимикрировало под них и могло перехватывать документы (видео, статья). Другая группа исследователей описала, как с помощью дрона можно заразить умные лампы.

Однако в описанных в видео примерах доставка вредоносной программы является не основной задачей дрона, а вспомогательной, своеобразным средством защиты от повторного использования.

Похоже, подобное применение вредоносных программ на дронах зафиксировано впервые, причём не в качестве эксперимента, а буквально в боевых условиях.

В Ростовской области обвинительным приговором завершилось ещё одно дело за атаку на критическую информационную инфраструктуру. Аксайский районный суд приговорил Романа Чернявского к 2 годам лишения свободы в колонии-поселении и штрафу в 500 тысяч за организацию DDoS-атаки. Приговор не опубликован, поэтому о немногочисленных деталях известно только из сообщения регионального управления ФСБ:

«Установлено, что в апреле 2024 года житель Ростовской области за денежное вознаграждение организовал проведение компьютерной DDoS-атаки в отношении субъекта критической информационной инфраструктуры РФ, а именно электронного ресурса региональной IT-компании ФГАНУ НИИ "Спецвузавтоматика"».

В 2023 году в Ростовской области было три уголовных дела по участию в проукраинских DDoS-атаках, фигуранты двух из них получили реальные сроки, ещё один — условный. А всего по числу дел о неправомерном воздействии на КИИ Ростовская область в числе лидеров по России и уступает только Волгоградской. Ещё об одном деле, о взломе сайтов четырёх университетов, стало известно на прошлой неделе.

Компания BI.ZONE запустила бесплатную версию своей платформы для киберразведки. По сути, это каталог хакерских группировок с кратким описанием и характеристикой: какие страны и отрасли подвергались их атакам, какими инструментами пользуется группировка. Также даны ссылки на публичные отчёты о деятельности некоторых группировок.

BI.ZONE использует собственную классификацию и делит атакующих на «гиен» (хактивистов), «волков» (финансово мотивированных злоумышленников) и «оборотней» (связанных с государствами шпионов). Но указаны также названия от других вендоров.

Всего в платформе сейчас видно 142 группировки: есть и северокорейские APT37 и Lazarus, и проукраинские хактивисты, и загадочный XDSpy, и многие другие. А вот Equation Group и Longhorn в каталог не попали. Видимо, бездействуют. Из предположительно американских указана Triangle Werewolf — так обозначена группировка, стоявшая за «Операцией Триангуляция».

Исследователи F6 свежим взглядом взглянули на атаку, мишенью которой предположительно был «Военмех» (Operation HollowQuill), и обнаружили артефакты, связывающие её с группировкой FakeTicketer. Сходства были найдены в дропперах, использованных в разных атаках. Также при анализе сетевой инфраструктуры исследователи обратили внимание на, вероятно, неслучайное совпадение: «В свое время, группа FakeTicketer зарегистрировала несĸольĸо доменов, используя одни и те же регистрационные данные [...]. Один из них — phpsymfony[.]info, при этом в ĸампании HollowQuill использовался созвучный домен - phpsymfony[.]com в ĸачестве C2-сервера для Cobalt Strike».

Про FakeTicketer исследователи F.A.C.C.T./F6 впервые рассказали в январе, группировка рассылали вредоносные программы под видом билетов на спортивные мероприятия. Активность группировки прослеживается как минимум с июня 2024, мотивацией предположительно является шпионаж.

Вчера был подписан новый закон о борьбе с мошенниками (Федеральный закон от 01.04.2025 № 41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации»). Он содержит три десятка мер, что из этого будет работать, покажет время.

К сожалению, от внимания законодателей и чиновников ускользнула одна из самых серьёзных проблем — наказание жертв мошенников. Речь идёт о тех случаях, когда кража денег становится только первым этапом, а потом жертву подстрекают совершить диверсию, обычно поджог военкомата, отделения банка, административного здания.

Для всех абсолютно очевидно, что люди совершают эти действия под влиянием злоумышленников, которые для убеждения сочиняют разные сценарии. Жертвы, как правило, уже лишились денег и оттого становятся особо внушаемы. Конечно, это не снимает с них ответственности за поджоги полностью, но адекватным наказанием должна быть компенсация причиненного ущерба.

В реальности же горе-поджигателей могут осудить как по ст. 167 УК РФ (умышленное повреждение чужого имущества), так и по ст. 205 УК РФ (теракт), соответственно, и наказание за одно и то же деяние может сильно различаться: от условного срока до 10 и даже 13 лет (максимальный известный срок) лишения свободны.

О некоторых случаях я писал (1, 2, 3), всего дел по поджогам и другим диверсиям, организованным под влиянием «мошенников», насчитывается около 200. Жертвами становятся люди разных возрастов, а не только пенсионеры, как думают некоторые. Вчера в «Московском комсомольце» вышел эмоциональный материал про то, как школьника-отличника завербовали для поджога релейного шкафа. Теперь он обвиняется по статье о совершении теракта.

На верхнем уровне правоохранительная система в курсе проблемы, более того, ФСБ ещё в августе 2023 заявила, что к организации поджогов причастны украинские спецслужбы. Однако в каждом конкретном случае это знание куда-то улетучивается, и фактор подстрекательства очень часто не учитывается. Обвинение действует в своих интересах — иногда буквально на глазах переквалифицируя дело из умышленного повреждения чужого имущества в теракт.

Очевидно, что решение этой проблемы нужно искать не в каждом отдельном случае, а тоже на верхнем уровне. Причём для этого даже не обязательно принимать отдельный федеральный закон. Можно начать с того, что в каком-то из межведомственных форматов вынести на обсуждение вопрос, а нормально ли, что случайного человека за ненасильственное преступление могут посадить больше чем на 10 лет, в то время как настоящие виновники не несут никакой ответственности.

Исследователи из индийской компании Seqrite описали атаку, предположительной мишенью которой был университет «Военмех». Она началась в декабре 2024 года, а в январе её уже описали на русском исследователи Positive Technologies — но отчёт вышел только в телеграм-канале, поэтому индийские коллеги о нём, видимо, не в курсе. В отчёте Seqrite упоминается rar-архив, в котором содержался исполняемый файл, описанный PT, также исследователи чуть более детально проанализировали сетевую инфраструктуру атакующих. Касательно атрибуции никаких предположений индийцы не выдвинули.

В конце марта хактивистская группа «Киберпатизаны Беларуси» заявила о взломе самого защищённого сервера белорусской Национальной команды по реагированию на киберинциденты (CERT.BY). В подтверждение был опубликован архив якобы с исходником сайта CERT'а. Его содержимое действительно выглядит как копия WordPress-сайта cert.by, но не со всем контентом. Правда, копия не актуальная — последние файлы датированы октябрём 2022 года.

Ситуацию прокомментировал представитель hoster.by, который с 2024 предоставляет хостинг для CERT'а:

«После получения информации мы проанализировали предоставленные злоумышленниками доказательства (якобы взломанный сайт) и перепроверили все логи за прошедший год. Ожидаемо, информация не подтвердилась: никакого взлома не было.

[...]

Вероятно, полученные файлы являются какой-то старой резервной копией. Но тут я не могу строить предположения, поскольку сайт размещается у нас с 2024 года, а файлы как минимум на 2 года старше».

«Киберпартизаны» анонсировали взлом вместе с группировкой Silent Crow, которая с начала этого года взяла ответственность за несколько утечек из российских организаций. Первое сообщение об их сотрудничестве вышло ещё в конце январе. Что касается белорусского CERT'а, то Silent Crow утверждает, что в результате операции ей удалось также получить доступ к внутренним сервисам, в том числе почте и базам данных организации. Но пока никаких подтверждений этому нет, даже утверждение про сайт оказалось преувеличением.

🔍 Хотите быть в курсе главных трендов глобальной безопасности?

🌍 Мир в напряжении: где-то гремят взрывы, а где-то затихают, одни страны разрывают с другими дипотношения, а другие, наоборот, восстанавливают разрушенные ранее связи.

▫️Мы в НОЗС каждый день задаемся вопросом — что на самом деле происходит с глобальной безопасностью? Становится ли мир день ото дня безопаснее или наоборот?

▫️Чтобы и вам было проще разобрать сигналы истины в шумном потоке информации, команда НОЗС собрала для вас эксклюзивную подборку телеграм-каналов, которые мы читаем сами и настоятельно рекомендуем нашим подписчикам!

📡 В нашем радиусе действия:
✔️Авторские блоги экспертов, скрупулезно изучающих важнейшие новости;
✔️Аналитические центры, чьи прогнозы сбываются чаще, чем хотелось бы;
✔️ Самые свежие новости и качественная аналитика в сферах глобальной безопасности и военно-технического сотрудничества.

💡Заберите нашу коллекцию — это как подписка на все значимые ресурсы в сфере безопасности, но без спама и фейков. Еще и бесплатно.

❗️ Просто добавьте папку по ссылке и оставайтесь на связи с реальностью

Trend Micro продолжает мифологическую тему в нейминге: к земляному Кощею добавился водный гамаюн (Water Gamayun). Это прозвище исследователи используют для обозначения финансово мотивированной и предположительно русскоязычной группировки. Она более известна как EncryptHub или Larva-208. Исследователи обнаружили, что в своих атаках злоумышленники эксплуатируют уязвимость нулевого дня, позволяющую обходить функции безопасности приложения Microsoft Management Console и загружать и исполнять на компьютере жертвы вредоносные файлы. Microsoft закрыла уязвимость (CVE-2025-26633) 11 марта, а Trend Micro посвятили кампании группировки два отчёта.

Дипломатия утечек

Казахстан получил от России ответ по утечке из «Сирены-Трэвел», заявил 20 марта председатель комитета по информационной безопасности Минцифры (МЦРИАП) Казахстана Руслан Абдикаликов.

«"Мы буквально на прошлой неделе получили ответ от Роскомнадзора. Они сообщили, что компания наказана в соответствии с российским законодательством", - сказал на брифинге Абдикаликов. Он пояснил, что информация о том, какое именно наказание понесла компания, не была представлена. Представитель ведомства также указал, что компенсацию за понесенный ущерб казахстанцы смогут получить, обратившись в российский суд, "и, соответственно, доказав какой-то ущерб"».

Кратко напоминаю контекст: утечка данных предположительно из системы бронирования авиабилетов произошла в сентябре 2023, тогда же проукраинские хакеры опубликовали два фрагмента базы. По заявлению злоумышленников, всего украденная база содержала 664,5 млн записей о бронированиях за 16 лет — если это так, то утечку можно считать одной из крупнейших за последние годы. В декабре 2023 компания «Сирена-Трэвел» была признана виновной в допущении этой утечки (по ч. 1 ст. 13.11 КоАП), ей был назначен административный штраф. Год спустя в слитых файлах были обнаружены данные о перелётах казахстанцев, что стало поводом для скандала в Казахстане.

Казахстанские власти направили письмо в Роскомнадзор ещё в декабре, то есть ответ шёл около трёх месяцев. Непонятно, почему Роскомнадзор не смог информировать коллег из Казахстана о том, какое именно наказание понесла компания, ведь эта информация публично доступна.

В духе добрососедства восполняю этот досадный пробел. «Сирена-Трэвел» была наказана штрафом, его сумма в судебном решении не указана, но для юрлиц в соответствии с ч. 1 ст. 13.11 КоАП штраф может составлять от 60 до 100 тыс. рублей; как правило, судьи наказывают за утечки по минимальной планке.

Но помимо этого, в апреле прошлого года в офисе «Сирены-Трэвел» прошёл обыск, и в отношении двух вице-президентов компании было заведено уголовное дело по ч. 5 ст. 274.1 УК РФ за нарушение правил эксплуатации КИИ, что, по мнению правоохранителей, привело к утечке. Это дело ещё не завершено.

Если в Казахстане история с утечкой данных о бронированиях вызвала общественный резонанс, то в России она прошла почти не замеченной. Показательно, как в материале ТАСС описан контекст брифинга Руслана Абдикаликова:

«В конце прошлого года стало известно об утечке в интернет данных по авиаперелетам казахстанцев после взлома компании "Сирена-трэвел". СМИ Казахстана утверждали, что в сеть попали данные о международных авиаперелетах казахстанцев за 16 лет - с 2007 по 2023 год и после проверки слитой базы в ней удалось идентифицировать около 1,7 тыс. казахстанцев».

Ни слова о том, что фрагменты базы данных были слиты более чем за год до этого, а компания в суде признала вину за утечку. Не говоря о том, данные скольких россиян попали в открытый доступ. Кстати, эта информация есть у Роскомнадзора, и ТАСС или любое другое издание может попробовать направить туда запрос. Возможно, ответ придёт быстрее чем за три месяца — всё-таки не нужно оформлять бумаги для пересечения границы.

Сибиряки, держитесь!

Китайский сайт 安全内参 (Инсайдер безопасности) уже установил предполагаемого организатора атаки с использованием зиродея в Google Chrome, недавно обнаруженной «Лабораторией Касперского». Под подозрение попало АНБ — однако единственное обоснование этой версии состоит в том, что раньше ЛК раскрывала атаки, якобы связанные с АНБ, а именно «Операцию Триангуляция» (которую, правда, с американскими спецслужбами связали ФСБ и МИД, а не исследователи).

‼️ Продажа билетов вновь доступна на сайте и через веб-приложение РЖД

Работа сайта РЖД восстановлена. В связи с продолжающимися атаками и повышенной нагрузкой на информационные ресурсы компании ещё могут наблюдаться отдельные затруднения.

Наши специалисты совместно с причастными организациями ведут работу над обеспечением бесперебойного доступа к интернет-сервисам, в том числе мобильному приложению «РЖД Пассажирам».

Приносим извинения за доставленные неудобства. Надеемся на ваше понимание.

Уведомлять?

До вступления в силу поправок, касающихся утечек, в Кодекс об административных правонарушениях осталось два месяца. Чем не повод поговорить о такой теме, как требование к операторам персданных уведомлять об утечках Роскомнадзор? Сейчас за невыполнение этой обязанности не предусмотрено отдельного наказания, но с 30 мая оно будет наказываться штрафом. Для должностных лиц размер составит от 400 до 800 тыс., для юрлиц — от 1 до 3 млн.

По логике законодателя и регулятора, угроза штрафа должна стимулировать организации сообщать об утечках. Но что это нововведение будет означать на практике?

Чтобы разобраться с этим, нужно учитывать два обстоятельства. Во-первых, уведомления операторов, по сути, используются в ходе рассмотрения административных дел в качестве подтверждения факта утечки. Нередко судья опирается на протокол о нарушении от Роскомнадзора и уведомления от оператора. Грубо говоря, специалист Роскомнадзора в ходе мониторинга нашёл в телеграм-канале слитую базу данных, на основе этого составляется протокол, а уведомление от организации — жертвы утечки подтверждает, что инцидент действительно произошёл. Для подтверждения утечки может быть проведена проверка, в ходе которой специалисты Роскомнадзора сверяют данные из утекшей базы с данными в информационных системах предполагаемой организации-жертвы. Однако, судя по материалам административных дел, это происходит не всегда. Более того, требование уведомлять Роскомнадзор, вероятно, и появилось в 2022 году на фоне резкого увеличения числа хакерских утечек как раз для того, чтобы чиновникам не нужно было самостоятельно проверять все организации, чьи базы попали в открытый доступ. Подробно об этом я рассказывал в своём докладе на PHDays в прошлом году.

Во-вторых, до суда, а значит с высокой вероятностью и до штрафа, скорее всего, доходят не все случаи утечек. Даже из публично известных сливов не по всем можно найти судебные дела, а про непубличные вообще сложно что-то сказать.

Итак, если сообщить об утечке, это может быть использовано против вас в суде, а если не сообщить, авось до суда и не дойдёт. Организации держат эти соображения в уме и сейчас, но что меняется с 30 мая — это цена вопроса.

Допустим, в организации действительно произошла утечка. До конца весны ей грозит за это штраф в 30-100 тыс. рублей. Именно столько в лучшем случае можно сберечь, если не уведомить Роскомнадзор. Если же дело всё же дойдёт до суда, то за неуведомление дополнительного наказания не будет.

После вступления в силу поправок неуведомление будет обходиться организациям гораздо дороже. Однако на кону уже не условные 60 тыс. — штраф за первое нарушение будет составлять от 3 до 15 млн в зависимости от объёма утечки. Да, неуведомление может увеличить наказание на 1-3 млн, но в случае успеха оно поможет избежать огромного штрафа. В некоторых организациях могут прийти к выводу, что в этой ситуации есть смысл рискнуть.

В общем, в сочетании с многократным увеличением штрафов за утечки введение наказания за неуведомление Роскомнадзора создаёт для операторов персданных противоречивые стимулы.

Это также скажется на готовности организаций публично комментировать утечки или уведомлять своих клиентов. Готовых это делать и так довольно мало, а с введением новых штрафов организации станут ещё меньше заинтересованы в обнародовании фактов утечек. В России нет никаких обязательств публично отчитываться о таких инцидентах, практика показывает, что и компании, и госорганы могут говорить буквально что угодно.

Наконец, операторам персданных нужно будет учитывать и то, что угроза штрафа за неуведомление может использоваться как инструмент давление злоумышленниками в ходе переговоров — собственно, как и само увеличение штрафов за утечки в зависимости от объёма.

Неожиданно приобрёл первое советское издание "Кибернетики" Норберта Винера. Книга вышла в США в 1948 году, стала культовой там, но сильно повлияла и на советских кибернетиков. Но официально она была издана в СССР только спустя 10 лет, в 1958 году. Как и полагалось при переводах профессиональной литературы из капиталистических стран, текст сопровождался идеологически верным предисловием, в котором читателя предупреждали (или инструктировали), что он "не будет согласен с Винером в ряде философских и политических вопросов".

Взломать солнце

Исследователи компании Forescout обнаружили 46 новых уязвимостей в компонентах для систем солнечной энергетики от компаний SunGrow, GroWatt и SMA. Это плюс к почти сотне известных ранее уязвимостей, которые были каталогизированы DER Security Corp в прошлом году.

В целом это характеризует экосистему вокруг солнечной энергетики как слабо защищённую. В отчёте упомянуты три инцидента, зафиксированных в прошлом году: взлом устройств Contec SolarView Compact для удалённого мониторинга солнечных электростанцией в Японии хактивистской группой HackerCN, использование устройств от этого же вендора в ботнете группировкой Flax Typhoon, а также заявление пророссийской группировки Just Evil об атаке на литовскую энергетическую инфраструктуру, среди мишеней которой были показаны средства мониторинга и управления iSolarCloud от SunGrow. Первые два не были попытками нарушить работу устройств, а вот Just Evil заявляли именно об успешном отключении света — впрочем, подтверждений этому нет.

Далее исследователи задаются вопросом, может ли кибератака на солнечные станции привести к сбоям в электросети. По их оценке, на вендоров, в чьём оборудовании были обнаружены уязвимости, приходится значительная мощность солнечной генерации (SunGrow — 740 ГВт, GroWatt — 300 GW, SMA — 132 GW). Если злоумышленники смогут получить контроль над большим числом инверторов для солнечных панелей, то они будут способны оказать воздействие не только на сами устройства, но и на электросеть.

В отчёте отмечается, что одних только обнаруженных уязвимостей недостаточно для получения контроля над инверторами, однако они открывают возможность для проведения атак. В качестве гипотетического сценария описано, как злоумышленники могут получить доступ и менять настройки инверторов от GroWatt и SunGrow. Если они будут контролировать большую группу устройств в одной сети (фактически использовать её как ботнет), то смогут координировать изменение генерации и таким образом оказывать влияние на всю сеть.

Другие, менее сложные сценарии вредоносного воздействия включают утечки информации, перехват контроля над умными устройствами («Взлом устройств в сочетании с созданием потенциально пугающих сцен с "автономным" включением и выключением света и электроприборов позволят реализовать то, что мы называем "сценарием Хэллоуина", поскольку такой тип атаки может оказать психологическое воздействие на ничего не подозревающую жертву».) и манипуляции устройствами для получения финансовой выгоды — либо самими пользователями, либо злоумышленниками.

Уже неделя прошла с начала Signalgate'а в США: редактора издания The Atlantic случайно добавили в чат в Signal, где высшее военно-политическое руководство обсуждало стратегию борьбы с хуситами в Йемене, в частности удары по ним. Политические последствия этого скандала — это отдельная история. Но с точки зрения информационной безопасности, это лишь частное проявление той тенденции, о которой я писал ещё в феврале. Действующая администрация подходит к реформам и бюрократическим процедурам с позицией move fast and break things, действуя так, как ей удобно, а это неизбежно происходит ценой пренебрежения разного рода требованиями и регламентами, в том числе по информационной безопасности.

Предыдущие сообщения о существующих и потенциальных проблемах с безопасностью были интересны в основном профессиональному сообществу. Но история с чатом — очень наглядная иллюстрация, всем американцам более или менее очевидно, что посторонних при таких обсуждениях быть не должно. Само по себе присутствие журналиста — это только верхушка айсберга, под водой скрыто множество вопросов: общаются ли чиновники на чувствительные темы с личных устройств, получают ли на них секретную информацию, как обмениваются ей и так далее.

Сложно сказать, станет ли для администрации в целом это поворотным моментом для пересмотра подхода к безопасности, но задействованные чиновники, прежде всего советник по нацбезопасности Майк Уолтц и министр обороны Пит Хегсет, точно извлекут уроки. Личный опыт может быть гораздо эффективнее для формирования привычек, чем абстрактное знание о киберугрозах. Несколько лет назад коллеги по компании, где я работал, во время обеда написали с моего ноутбука в общий чат: «Я вас всех люблю». Я по-прежнему всех люблю, но с тех пор, отходя от компьютера, автоматически блокирую экран. Ну, почти всегда.

Уточнение: поправляют, что был не дефейс, а взлом DNS с перенаправлением трафика на сайт УЗ.

Кибератака на метро Москвы

Сегодня из-за кибератаки была нарушена работа сайта и приложения Московского метрополитена. Сайт подвергся дефейсу (сохранилась архивная версия), там была размещена полная копия главной страницы сайта Украинских железных дорог (Укрзалізниця, УЗ) с сообщением о технических работах. (Уточнение: поправляют, что был не дефейс, а взлом DNS с перенаправлением трафика на сайт УЗ.) Системы УЗ на прошлых выходных вышли из строя также из-за кибератаки, в результате несколько дней билеты на поезда по всей Украине продавались только через кассы (и у поездов).

Это не единственное последствие атаки на метро Москвы. С утра сообщалось, что пассажиры не могут пополнить карту «Тройка» удалённо («Пополнила „Тройку“ на кошелëк, с банковской карты деньги ушли, а вот на транспортную карту „Тройка“ не зачислились»). У некоторых также не работало пополнение через валидаторы в автобусах и через автоматы. Однако Департамент транспорта заявил, что через кассы и терминалы на станциях метро пополнение работает, также проходит оплата через турникеты и в автобусах. При попытке пополнить карту через сайт «Московский транспорт» в настоящий момент выдаётся ошибка.

Аналитики компании Silent Push обнаружили фишинговую кампанию, которую, по их неподтвержденной доказательствами оценке, курируют российские спецслужбы 👮 Основная цель — выявление и слежка за россиянами, потенциально нелояльными к текущему политическому курсу или выражающими симпатии к Украине.

Кампания включает четыре основных фишинговых кластера. Один из них имитирует официальный сайт Центрального разведывательного управления США 🇺🇸, призванный вводить в заблуждение лиц, желающих установить контакт или предоставить информацию. Помните их ролики, призывающие "стучать"? Остальные три маскируются под ресурсы организаций или инициатив, якобы предлагающих помощь, убежище или возможность участия в вооружённой или гуманитарной деятельности против интересов российского государства 🆘

Поддельные сайты визуально копируют оригинальные ресурсы 🖥 и собирают личные данные: имена, телефоны, адреса электронной почты, а иногда и подробную информацию о мотивации и намерениях посетителей. Эти данные затем могут использоваться для идентификации лиц, попадающих в поле интересов спецслужб 🎩

Отмечается, что инфраструктура для размещения фишинговых ресурсов 🎣 располагается на площадках, известных своей устойчивостью к блокировкам и склонностью к укрытию злоумышленников — в частности, в адресном пространстве, связанном с хостинг-провайдером Nybula LLC (ASN 401116) 🌐

Думал написать какой-то вывод, а потом подумал, что и так все понятно. Фишинг он и есть фишинг, независимо от того, кто и в каких целях его реализует 🤔

#фишинг

Иранский Центр стратегического управления AFTA опубликовал индикаторы компрометации, связанные с активностью APT15 (доступны здесь). Но, как заметил Костин Раю, похоже, что иранцы позаимствовали непубличные YARA-правила у «Лаборатории Касперского», указав себя в качестве автора.

В Китае вышел ещё один отчёт про киберугрозы со стороны США, на этот раз про кибератаки американских спецслужб на мобильные устройства. Однако это не новое исследование от вендора и не обвинения со стороны ведомств, а обзор уже известных отчётов, репортажей и утечек от Альянса индустрии кибербезопасности Китая. В основном текст составлен по материалам, обнародованным Сноуденом, и расследованиям на их основе. Кроме этого, упоминается использование американскими спецслужбами Pegasus (о чём стало известно благодаря работе журналистов New York Times). Отдельная глава посвящена «Операции Триангуляция», в ней пересказаны отчёты «Лаборатории Касперского», а также пресс-релизы ФСБ и МИД; китайские авторы без особых сомнений приписывают эту шпионскую операцию АНБ.

Таксономия космических киберугроз

Агентство кибербезопасности Европейского союза (ENISA) выпустило детальный отчёт о ландшафте киберугроз космическим системам (PDF).

В целях обеспечения информационной безопасности предлагается комплексный подход к классификации космических систем, в которую включён непосредственно космический сегмент (спутники, связь между ними и с Землёй), наземный сегмент (от производства до управления спутниками), пользовательский сегмент (пользовательские интерфейсы, конечные устройства), а также человеческие ресурсы.

Изучены известные примеры атак на коммерческие космические комплексы с 1977 по 2023. Из недавних примеров в отчёте упоминаются атака на Viasat в 2022 году, а также некий инцидент с Russian telecom operator в 2023 году — как я полагаю, имеется в виду атака на оператора спутниковой связи «Дозор-Телепорт» летом 2023 (кстати, за утечку данных компанию оштрафовали на 30 тыс. рублей).

Предложена классификация угроз для космических систем (на основе общей классификации угроз ENISA). В пятой главе приводятся три гипотетических сценария инцидентов, которые иллюстрируют предлагаемый агентством подход к оценке рисков:
— компрометация протокола связи с помощью социнженерии: с помощью фишинга злоумышленники получают доступ в систему наземного объекта, через который осуществляется связь со спутником, в итоге им удаётся получить контроль над спутником, что даёт возможность менять параметры миссии либо посылать вредоносный сигнал;
— эксплуатация уязвимостей в бортовом программном обеспечении спутника: для этого первоначально злоумышленники получают физический доступ к оборудованию на этапе сборки или транспортировки, загружают на него вредоносную программу, которая запускается, когда аппарат будет на орбите, и может отправлять произвольные команды и вносить ошибки в систему управления им; при этом специалистам по безопасности на Земле сложно будет понять, что стало источником ошибок;
— вторжение из-за недостаточного учёта вопросов безопасности и ошибок настройки: град повредил наземную инфраструктуру оператора спутниковой связи, нужно срочно покупать VSAT-антенны; соображения бизнеса выходят на первый план в ущерб обеспечению безопасности; нужное оборудование закупается через доверенного подрядчика и сразу вводится в эксплуатацию, однако оборудование неправильно настроено, что позволяет злоумышленникам получить доступ через открытый порт и перехватывать данные.

Далее в отчёте даны рекомендации по обеспечению безопасности разных сегментов космических систем.

Yandex Cloud сообщил о недоступности зоны ru-central1-b

30 марта около 12:20 по московскому времени облачная платформа Yandex Cloud зафиксировала сбой, связанный с полной недоступностью зоны ru-central1-b. Об этом сообщается на официальной странице статуса сервиса.

По данным платформы, зона полностью недоступна по питанию. В настоящее время специалисты выясняют причины и работают над восстановлением.

На странице инцидента опубликован полный список недоступных хостов.

Пользователи также сообщают о проблемах с рядом сервисов «Яндекса», включая «Яндекс Pay» и «Яндекс Музыку».

из за сбоя не работает SecurityLab.ru. читайте нас в телеграм.

Группа учёных проверила, есть ли разница в детектировании вредоносных программ, написанных на разных языках, и на эксперименте показала, что вредоносы на редко используемых языках (например, Phix, Lisp и Haskell) сложнее обнаружить путём статического анализа, чем аналоги на C/C++. Из этого делается вывод, что APT-группировки, которые используют нестандартные решения, станут чаще использовать редкие языки программирования, чтобы повысить скрытность. В заключительной части статьи мимоходом упоминаются большие языковые модели в том контексте, что они могут упростить работу атакующих благодаря переводу кода с одного языка на другой. Но очевидно, что этот инструмент способен усилить и защиту.

Здесь доступен краткий пересказ статьи на английском.