Кибервойна

Судебный департамент при Верховном суде наконец официально признал, что продолжавшийся месяц сбой ГАС «Правосудие» и сайтов судов был вызван киберакатой. По словам генерального директора Судебного департамента Владислава Иванова, «активность злоумышленников была зафиксирована еще в середине 2022 года, но лазейку хакеры нашли лишь осенью 2024 года».

После инцидента Судебный департамент создаёт отдел информационной безопасности, планирует оптимизировать концепцию ИБ, обучать судей правилам цифровой гигиены и организовать специальные курсы.

«По его мнению, также необходимо уделить пристальное внимание мониторингу периметра информационной безопасности и вырабатывать предельно четкие алгоритмы действий при хакерских атаках».

Трамп и кибервоенная политика в США

В связи с предстоящим возвращением Дональда Трампа в Белый дом решил вспомнить основные события его первого президентского срока в сфере политики, касающейся киберконфликта.

В целом подход Трампа к киберпространству можно охарактеризовать как более напористый, воинственный и проактивный по сравнению с политикой администрации Обамы.

В 2018 году США приняли Национальную киберстратегию — в предыдущий раз подобный документ принимался в 2003, а при Обаме была разработана Международная стратегия для киберпространства. В стратегии Трампа описывалась стратегия для новой эпохи стратегического соперничества (или эпохи соперничества великих держав, как стали говорить в Вашингтоне при Трампе). В документе впервые официально был зафиксирована концепция persistent engagement (постоянное взаимодействие), согласно которой противоборство в киберпространстве ведётся непрерывно, и, следовательно, США следует также непрерывно вести действия в отношении своих соперников, как и они в отношении США. Эти идеи были развиты в киберстратегии Пентагона, при этом военные также стали говорить о ведении передовой обороны (defend forward) для упреждения вредоносный кибердействий противника.

При Трампе Киберкомандование было повышено до статуса объединённого боевого командования (ранее было составной частью Стратегического командования, отвечающего за стратегическое ядерное сдерживание), хотя это решение было принято ещё в последний месяц президентства Обамы. Но Трамп и его советники, прежде всего Джон Болтон, были заинтересованы в более активном использовании кибервозможностей. Белый дом упростил проведение наступательных киберопераций: если при Обаме все кибератаки военных должны были проходить сложную процедуру согласования, то Трамп снизил этот порог, увеличив свободу действий Пентагона в случаях, которые не подпадали под критерии «применения силы». Также Белый дом расширил возможности ведения тайных операций в киберпространстве и для ЦРУ.

Самым известным примером реализации этого подхода стала операция против медиа-ресурсов Евгения Пригожина во время промежуточных выборов в 2018 году. В США принадлежащее Пригожину Агентство интернет-исследований обвиняли в попытках повлиять на общественное мнение во время президентской кампании 2016 года (что сам Пригожин позднее подтвердил). В 2018 Киберкомандование с помощью кибератаки якобы отключило сотрудников организации от интернета. Одно из медиа Пригожина, РИА ФАН, заявило, что атака действительно была, но провалилась. Никаких особых подробностей того, что же действительно произошло, так и не появилось. Но в 2020 году Трамп заявил, что действительно санкционировал эту операцию Киберкомандования — в первый и пока последний раз такое признание прозвучало от действующего президента.

Американские СМИ также писали об американских кибератаках на Иран: в одном случае такая атака якобы была нанесена по системе, используемой Корпусом стражей исламской революции. ЦРУ, вероятно, использовала новые полномочия для кражи и слива данных Ирана и России, для ведения кампании по дискредитации Китая и для дестабилизации обстановки в Венесуэле.

Из оборонительных мер основным нововведением при Трампе стало создание Агентства по кибербезопасности и безопасности инфраструктуры (CISA) на базе Министерства внутренней безопасности. CISA стало основным куратором защиты критических секторов и гражданских сетей.

Forbes ознакомился с новой версией законопроекта, предусматривающего оборотные штрафы за утечки персональных данных. Согласно документу, нижний порог взыскания за повторные утечки для компаний может быть увеличен с 0,1% до 1% от годовой выручки.

При этом в новой версии прописаны смягчающие обстоятельства, если компания инвестирует не менее 0,1% выручки в мероприятия информбезопасности.

Инициатива может привести к значительному росту инвестиций в кибербезопасность со стороны крупных компаний, но одновременно с этим вытеснить с рынка небольших игроков, работающих с персональными данными, полагают аналитики.

Подробности на сайте

📸: Chris Ratcliffe / Bloomberg

ФБР и CISA выпустили короткое совместное заявление о расследовании кибершпионской кампании, жертвами которой стала телекоммуникационные компании. Первые утечки об этой акции, приписываемой группировке Salt Typhoon, появились полтора месяца назад в Wall Street Journal.

«В частности, мы установили, что связанные с КНР злоумышленники взломали сети нескольких телекоммуникационных компаний, что позволило похитить данные о звонках клиентов, скомпрометировать частные сообщения ограниченного числа лиц, которые в основном занимаются государственной или политической деятельностью, и скопировать определенную информацию, которая была предметом запросов правоохранительных органов США в соответствии с судебными постановлениями. Мы рассчитываем, что наше понимание этих взломов будет расширяться по мере того, как идёт расследование».

В конце октября New York Times утверждала, что среди телефонов, к которым пытались получить доступ хакеры, были устройства на тот момент кандидатов от Республиканской партии Дональда Трампа и Джей Ди Вэнса, а WSJ добавила к списку и кампанию Камалы Харрис. Politico на прошлой неделе сообщило, что группировка имела доступ к данным о звонках (Call Detail Records), но неизвестно, были ли они украдены и в каком объёме.

В свежем выпуске подкаста Risky Business ведущие обсуждают отчёт «Солар» о GoblinRAT (на 13 минуте) и предполагают, что, по ощущениям, это может быть дело рук западной радиоэлектронной разведки. Аргументы в пользу этой версии — это наличие множества механизмов скрытности, а также ручное управление, требующее квалифицированных специалистов.

«Как выяснил CNews, для главной информационной системы российских судов ГАС «Правосудие» закупают 620 серверов производства отечественной компании «Гравитон» на сумму в 369 млн руб.

Тендер на поставку «железа» был опубликован на сайте госзакупок 9 октября 2024 г. Заказчиком является «Информационно-аналитический центр Судебного департамента», он же и обслуживает ГАС «Правосудие».

[...]

Что касается цели закупки серверов, в техническом задании к опубликованному тендеру она не указана. Учитывая, что контракт был опубликован через два дня после хакерского «налета» на системы российских судов, существует вероятность, связи закупки и ИБ-инцидента. CNews отправил в «Информационно-аналитический центр Судебного департамента» запрос и ожидает ответов».

https://t.me/CNewsDaily/19101

В Твери после кибератаки уже больше двух недель не работает сайт администрации. На сайте висит заглушка о ведущихся работах, а также указаны контактные данные, причём email администрации теперь размещен на Яндексе, а не на своём домене.

В этой связи вспомнил, что в начале марта СМИ сообщали о создании в Тверской области оперативного штаба по обеспечению кибербезопасности, на базе которого должен был действовать ГРИИБ — группа реагирования на инциденты информационной безопасности (CERT на бюрократическом). Проект соответствующего постановления подготовило правительство Тверской области. Однако без внимания осталось то, что было дальше с этим постановлением. Оно не было принято и было возвращено на доработку, а повторно, судя по публичной информации, так и не вносилось.

При этом официально региональный штаб по обеспечению кибербезопасности Тверской области был образован распоряжением губернатора ещё 3 июня 2022 года. А за 2 дня до этого Минцифры России отчиталось о том, что такие структуры созданы почти во всех регионах: «Программу по созданию штабов по обеспечению кибербезопасности реализовали уже 99% субъектов и 85% органов власти. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования». (99% — это значит все кроме одного региона? Стала ли Тверская область последним регионом, создавшим штаб?)

Даже спустя два года судьба оперативного штаба в Тверской области неясна. Более общий вопрос: уникальна такая ситуация или типична и для других регионов? Есть ли ГРИИБ, скажем, в Рязани?

Что касается октябрьской кибератаки, то, разумеется, прямой причинно-следственной связи тут нет, но всё же можно предположить, что наличие ГРИИБа повысило бы скорость и эффективность реагирования на инцидент.

⚡️Выросло число кибератак на российские предприятия, связанные с СВО

⬆️Эксперты F.A.C.C.T. Threat Intelligence выяснили, что осенью 2024 г. прогосударственные группы атаковали воинские части, предприятия оборонного комплекса и фонды поддержки участников спецоперации. Наиболее активные APT-группы — Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas.

⚙️ Что изменилось в тактиках, техниках и процедурах APT-групп

☀️Группа Core Werewolf впервые стала использовать цепочку VBS-скриптов для установки легитимной программы удаленного доступа UltraVNC и, предположительно, добавила в свой арсенал новый SSH-бэкдор. Core Werewolf маскировала приманку под служебное письмо от имени замминистра обороны РФ и под письмо от ФСТЭК России.

☀️Unicorn распространяла варианты самописного ВПО Unicorn под видом коммерческого предложения для покупки со скидкой оборудования для СВО и предложения о безвозмездной передаче техники в фонд для нужд военнослужащих СВО.

☀️Злоумышленники из Sticky Werewolf продолжили кампанию MimiStick, нацеленную на предприятия ОПК, в результате разворачивали Sliver Implant и Quasar RAT. Помимо продолжающейся кампании MimiStick, были зафиксированы рассылки группы Sticky Werewolf в адрес научно-исследовательского и производственного предприятия в сфере ОПК, где в качестве финальной нагрузки устанавливался троян Darktrack RAT.

☀️Cloud Atlas продолжает использовать вредоносные документы, содержащие ссылку в потоке 1Table для удаленной загрузки файла шаблона. В частности, в октябре 2024 г. в одной из атак в качестве приманки использовалось заявление на участие в патриотической акции «Профсоюзы России Za СВОих».

🤭 Подробнее об атаках APT-групп осенью 2024 г. с индикаторами компрометации — по ссылке.

Госкомпании в России продолжают приобретать продукцию Microsoft. В 2024 году госсектор закупил американского софта на 24,1 млн руб., узнал «Ъ». По сравнению с прошлым годом общее количество закупок операционных систем и офисных пакетов Microsoft сократилось на 55%.

Летом 2023 года в рамках ПМЭФ глава Минцифры Максут Шадаев заявил, что президент Владимир Путин поручил госкомпаниям с начала 2025 года перейти на российские операционные системы и офисные пакеты. «Ъ» направил запрос в Минцифры.

Участники рынка говорят, что из-за отсутствия совместимости необходимого ПО с отечественными операционными системами госкомпании приобретают старые версии ОС 2019 и 2021 годов. По мнению экспертов, на создание аналогов иностранного софта потребуется 14–15 лет, а также дополнительные инвестиции со стороны государства.

#Ъузнал

В этом году в Индонезии было немало заметных событий в сфере кибербезопасности.

В середине июня в городе Сурабая прошли индонезийско-американские штабные киберучения, впервые посвящённые кибербезопасности порта.

Через неделю, 20 июня злоумышленники зашифровали национальный дата-центр, что привело к нарушению оказания ряда государственных услуг. После чего под общественным давлением из местного Минцифры уволился один из руководителей, ответственный за цифровую трансформацию правительства. А группа Brain Cipher, стоявшая за атакой, принесла индонезийцам извинения и поделилась с правительством ключом для расшифровки данных.

В сентябре президент Джоко Видодо поручил создать в вооружённых силах Индонезии кибервойска как отдельный, четвёртый вид войск.

А проиндонезийские хактивисты участвуют в самых разных конфликтах, в том числе атакуют Южную Корею вместе с пророссийскими группами.

Индонезия входит в пятерку стран по числу утечек данных.

И эта же Индонезия занимает первое место в последнем издании Глобального индекса кибербезопасности от МСЭ.

В Беларуси заблокировали российский сервис — ЖЖ. Что дальше? Народ.ру? Кулички?

Российская платформа по управлению рассылками — «Раппорто» — сообщила о хакерской атаке на свою IT-инфраструктуру. В компании уточнили, что вредоносная активность обнаружена и нейтрализована. Сейчас платформа работает в нормальном режиме, а сотрудники «Раппорто» связываются со всеми, чьи интересы атака могла затронуть. Кого могла затронуть атака и какой ущерб нанести, в компании не уточнили

Я писал, что третье видео Z-Pentest о взломе HMI-приложения в Республике Корея — это, вероятно, умный дом. Но был неправ, это была умная ферма по выращиванию огурцов. До фермы добралась команда канала KBS News и поговорила с местным управляющим. Он подтвердил, что хакеры взломали систему, которая управляет температурой в теплице и может открывать или закрывать окна (в частности, в приложении в качестве максимальной температуры было установлено 999 градусов). Однако добавил, что система работает в ручном, а не автоматическом режиме, поэтому ферме не был нанесён ущерб. Также, по его словам, когда систему для управления фермой устанавливали, никому не пришло в голову менять пароль по умолчанию (пароль состоял из одной цифры). Именно благодаря слабому паролю злоумышленники, очевидно, и смогли получить доступ к HMI-приложению. Поэтому канал приводит рекомендацию экспертов менять дефолтные пароли на таких системах. Такую же common sense рекомендацию весной давало CISA американским операторам OT-систем после атак пророссийских группировок.

Дополнение к посту про Конвенцию против киберпреступности. Проглядел, что её ещё вчера приняли консенсусом в Третьем комитете. На очереди решение Генассамблеи.

ИИ-компании на страже безопасности выборов в США

Ранее неоднократно писал (к примеру, тут и тут), что одним из двигателей регулирования ИИ в США были опасения, что технология будет использоваться в избирательной кампании.

Выборы прошли и вот первые результаты: согласно данным OpenAI, ChatGPT отклонил более 250 000 запросов на создание политических изображений в течение месяца, предшествовавшего Дню выборов. В целом, эксперты сходятся во мнении, что ни одного значимого случая политического использования генерированного контента во время выборов не было зафиксировано.

При этом еще в августе компания сообщала "о срыве операции Ирана по оказанию влияния на внутреннюю политику США". Как заявлялось, иранская сеть Storm-2035 использовала чат-бота компании для создания контента, в том числе «комментариев о кандидатах от обеих сторон на президентских выборах в США».

Заявлялось, что ChatGPT использовался для создания статей, которые публиковались на пяти сайтах, выдававших себя за прогрессивные или консервативные новостные издания, а также для написания коротких комментариев в социальных сетях на английском и испанском языках.

Тогда же компания заявила, что продолжит следить за ChatGPT, чтобы гарантировать точность и этичность ответов. Для этого периодически публикуются отчеты о том, как компания пресекает использование своих сервисов. К примеру, один из отчетов был посвящен теме использования её сервисов пятью прогосударственными хакерскими группировками (утверждается, что они были связаны с Китаем, КНДР, Ираном и Россией)

США решили поддержать Конвенцию ООН против киберпреступности

На этой неделе Третий комитет Генассамблеи ООН будет голосовать по резолюции о принятии Конвенции против киберпреступности. Её текст был утверждён ещё в августе спецкомитетом, в котором три года велись переговоры. Но впереди ещё много этапов. Теперь проект резолюции с этой конвенцией должен принять профильный комитет ГА, а затем проголосует сама Генассамблея. После чего документ будет открыт для подписания. Далее государства должны ратифицировать конвенцию на национальном уровне. Только после 40 ратификаций она вступит в силу.

В преддверии голосования есть несколько новостей. Во-первых, Politico сообщает, что после долгих раздумий администрация Байдена решила всё же проголосовать за принятие конвенции. США активно участвовали в переговорах и вместе со своими партнёрами значительно повлияли на то, каким получился текст — в частности, по своему охвату конвенция ООН практически совпадает с Будапештской конвенцией 2001 года, несмотря на то что Россия и другие страны хотели расширить число составов преступлений, включённых в документ. В августе США поддержали документ, но с тех пор внутри правительства продолжалась дискуссия о дальнейших шагах. Новую конвенцию активно критикуют многие американские общественные и деловые организации за недостаточное внимание к правозащитным вопросам — высокопоставленный чиновник заявил, что изучил сотни таких обращений. Тем не менее администрация Байдена решила не нарушать консенсуса, чтобы США в будущем имели больше возможностей влиять на то, как конвенция будет реализована. Впрочем, даже если конвенция будет принята, она может столкнуться со сложностями на этапе ратификации в США, поскольку сейчас с критикой в её адрес выступают и некоторые конгрессмены.

Во-вторых, хотя Россия (инициатор подготовки конвенции) и не вполне довольна результатом переговоров — один источник «Коммерсанта» сравнил конвенцию с чемоданом без ручки, — она по-прежнему выступает её главным поборником. В пятницу на заседании Совбеза ООН по угрозе ransomware постпред России Василий Небензя призвал страны «сосредоточиться на содействии скорейшему вступлению в силу этого важного прикладного международного договора». Более того, с российской точки зрения, уже сейчас стоит начать думать и над дополнительными протоколами к конвенции — вероятность такого развития событий мы с коллегой обсуждали год назад.

Наконец, внести свою лепту в содействие скорейшему вступлению в силу конвенции решил Вьетнам, предложив открыть её для подписания в 2025 году в Ханое, а уже затем в штаб-квартире ООН в Нью-Йорке. В плане содержания этого ничего не меняет, но даёт Вьетнаму возможность провести у себя церемонию и постараться собрать на неё побольше будущих участников конвенции.

Дополнение: Третий комитет принял резолюцию о Конвенции против киберпреступности вчера (11 ноября) консенсусом.

Форум ООН по управлению интернетом (IGF) в 2025 году пройдёт в Норвегии. Ранее его планировалось провести в России: заявка была подана в 2020 году, и ещё этим летом вице-премьер Дмитрий Григоренко на встрече с делагацией Секретариата ООН подтверждал готовность организовать 20-й IGF в Санкт-Петербурге.

В США к 12,5 годам тюрьмы приговорён россиянин Роман Стерлингов за причастность к отмывании денег через миксер Bitcoin Fog с 2011 по 2021 год, когда он был арестован. Также суд назначил ему выплату компенсации в размере около 396 млн долларов (сумма транзакций, якобы прошедших через миксер), конфискацию изъятых средств (1,76 млн) и средств в кошельке Bitcoin Fog (1345 биткоинов).

В движении «Юнармия» подтвердили РБК, что сегодня их сайт был взломан. Там отметили, что это не первый такой инцидент. «Осторожно, новости» ранее сообщали, что при заходе на сайт движения появлась картинка с оскорблением президента и самой организации, позже страница начала выдавать ошибку 502. В настоящее время сайт «Юнармии» уже открывается.

«Атаки ведутся не только на сайт, но и через СМИ иностранных государств, в том числе через украинские ресурсы, направленные на распространение лжи о движении «Юнармия», его деятельности и ценностях», – сказал РБК первый заместитель начальника главного штаба «Юнармии» Виктор Кауров.

🐚 Читать РБК в Telegram

Хакеры атаковали компанию TetraSoft, которая обеспечивает удаленный мониторинг добычи углеводородного сырья. Расследованием инцидента, ущерб от которого приближается к 100 млн рублей, занимается экспертный центр безопасности Positive Technologies. По словам партнеров, по уровню проработанности и таргетированности эту атаку можно считать первой за последние несколько лет, направленной на максимальный отраслевой урон отечественному нефтегазодобывающему сектору

В 2019 году ЦРУ с помощью кибероперации нарушило работу системы выплаты зарплаты венесуэльским военным. Об этом рассказано в материале Wired о попытках администрации Дональда Трампа свергнуть Николаса Мадуро и сменить власть в Венесуэле. Помимо публичного давления, санкций, поддержки Хуана Гуайдо администрация Трампа действовала и через тайные операции ЦРУ.

Взлом системы выплаты зарплат военнослужащим стал одним из элементов плана и был нацелен на углубление раскола между политическим руководством и профессинальными военными. Со слов источников Wired непонятно, как именно был осуществлён взлом — полностью удалённо или с привлечением агентов на земле. Но якобы эта операция отчасти произвела желаемый эффект и усилила недовольсто военнослужащих.

В статье также описываются бюрократические сложности борьбы США с Мадуро: для ведения электронной разведки за Венесуэлой внутри ЦРУ потребовалось найти нужных специалистов и снять их с приоритетных направлений, что оказалось непросто. АНБ, как утверждается, вообще отказалось отвлекать ресурсы от более важных задач.

Также ЦРУ тайно распространяло в интернете контент в поддержку демократии, таргетированный на Венесуэлу, но эту операцию собеседники Wired считают неэффективной. Помимо цифровых методов в статье описаны другие планировавшиеся или осуществлённые акции, которые были направлены на ослабление Мадуро. Но в конечном счёте переворот не состоялся.

Несмотря на участие ЦРУ в этих попытках из статьи следует, что спецслужба, как и другие ведомства, включилсь в кампанию по свержению Мадуро неохотно. Инициаторами политики в отношении Венесуэлы были ястребы из окружения Трампа, прежде всего советник по национальной безопасности Джон Болтон. Болтон, единственный, кто поговорил с Wired неанонимно, критикует ЦРУ за забюрократизированность и недостаточную подготовленность к ведению тайных операций в интересах США. Другие бывшие чиновники тоже считают, что более активное вмешательство ЦРУ в период с января по апрель 2019 года могло бы повлиять на судьбу Мадуро.

Чего в статье нет, так это упоминания аварий в электроэнергетике Венесуэлы, которые начались в марте 2019. Мадуро утверждал, что блэкауты произошли из-за американской кибератаки. Но надёжных подтверждений этому, как и просто связи аварий с инцидентами в информационных системах, так и не появилось.

С 31 октября система оплаты парковок в режиме онлайн возобновляет работу❗️

Специалисты устранили технические неисправности системы, в настоящее время возможность оплатить парковку онлайн доступна.

Дополнительно сообщаем, что оплата 29 и 30 октября не взималась в связи с проведением технических работ.

Передвижения Путина, Байдена, Трампа и их окружения можно отследить через популярное фитнес-приложение Strava — Le Monde

Сервис разработан для бегунов и велосипедистов и записывает маршруты тренировок и их передвижений, которые пользователи могут публиковать и делиться с другими. Le Monde утверждает, что телохранители Джо Байдена, Дональда Трампа, Камалы Харрис, Эмманюэля Макрона и Владимира Путина регулярно используют приложение.

Расследование издания показало, что через Strava можно было определить местоположение 26 агентов Секретной службы США, 12 членов французской группы безопасности президента и 6 сотрудников Федеральной службы охраны России, все они занимались охраной глав государств.

Данные указывали на их передвижения, включая рабочие поездки, что при желании могло бы использоваться для их отслеживания или составления предсказуемых маршрутов. Le Monde не раскрыла имена агентов, но отметила, что использование приложения потенциально может ставить под угрозу как охранников, так и защищаемых лиц

⭕ Подпишись на RTVI

Администрация Твери подтвердила сбой в системе оплаты парковок. В период проведения работ по восстановлению парковка в городе фактически будет оставаться бесплатной. Также технические работы ведутся на сайте самой администрации.

Группа Ukrainian Cyber Alliance заявила об уничтожении инфраструктуры администрации Твери. Сайт tver.ru действительно не работает. Официальных и неофициальных комментариев от властей Твери пока не было.

Дополнение: есть комментарий официальной группы администрации Твери в VK: "По техническим причинам сайт временно не работает".

Также есть сообщение о недоступности сервиса оплаты платной парковки tverparking и его сайта.

Киберпреступники представляют большую угрозу американским выборам, чем прогосударственные хакеры — об этом со ссылкой на непубличный отчёт Министерства внутренней безопасности пишет WIRED. В приведённых фрагментах напрямую это не сказано, но, по оценкам ведомства, именно атаки преступников, такие как DDoS-атаки или использование шифровальщиков нарушали деятельность, связанную с выборами, в то время как активность группировок, связанных с иностранными государствами, в основном сводилась к сбору информации.

«"После промежуточных выборов 2022 года киберпреступники, руководствующиеся финансовыми и идеологическими соображениями, атаковали сети государственных и местных органов власти США, которые управляют или поддерживают избирательные процессы", - говорится в предупреждении. В некоторых случаях успешные атаки с использованием ransomware и DDoS-атаки на такую инфраструктуру приводили к задержке связанных с выборами операций в пострадавшем штате или населенном пункте, но не нарушали целостность процессов голосования. [...] Связанные с национальными государствами киберпреступники не пытались нарушить инфраструктуру выборов в США, хотя иногда проводили разведку и получали доступ к инфраструктуре, не связанной с голосованием"».

В качестве примера вреда от действий киберпреступников приводится случай в одном из округов в марте, когда из-за атаки шифровальщиков местные власти были вынуждены приобретать новое сетевое оборудование и заново подключаться к системе уровня штата. Если бы такой инцидент произошёл во время дня голосования, то он мог бы нарушить проведение выборов.

Ещё одно уголовное дело за участие в киберконфликте

РИА Новости передаёт сообщение УФСБ по Москве и Московской области о задержании жителя Москвы за участие в DDoS-атаках на IP-адреса одного из интернет-провайдеров Московского региона с помощью разработанного украинскими хакерами ПО. Атаки проводились в сентябре во время выборов в Москве и Подмосковье.

«"УФСБ России по городу Москве и Московской области пресечена противоправная деятельность жителя города Москвы, причастного к осуществлению DDoS-атак на объекты критической информационной инфраструктуры Российской Федерации в период проведения выборов депутатов Мосгордумы и муниципальных органов столицы и Московской области", - говорится в сообщении.

Отмечается, что в результате проведения оперативно-разыскных мероприятий стало известно, что гражданин России 1963 года рождения установил на принадлежащий ему персональный компьютер разработанное украинскими хакерами программное обеспечение, предназначенное для осуществления DDoS-атак на интернет-ресурсы в целях блокирования их деятельности.

"В сентябре 2024 года с использованием указанного ПО данным гражданином осуществлена DDoS-атака на IP-адреса одного из интернет-провайдеров Московского региона, которая привела к блокированию информационных ресурсов данной организации, лишив возможности оказания услуг клиентам по обеспечению доступа в сеть интернет и участия избирателей в дистанционном электронном голосовании", - добавляется в сообщении».

Несмотря на упоминание в пресс-релизе объектов критической инфраструктуры, в отношении задержанного возбуждено дело по ч. 2 ст. 273 УК (cоздание, использование и распространение вредоносных компьютерных программ; совершённое группой лиц по предварительному сговору), а не по ст. 274.1 УК (неправомерное воздействие на КИИ).

Это уже не первое уголовное дело, связанное с киберконфликтом. В Ростовской области в 2023 году в рамках трёх отдельных дел трое человек были приговорены к 2-3 годам колонии-поселения и штрафам за участие в DDoS-атаках — все по ст. 274.1 УК.

Год назад в Томске был задержан студент, которому вменялось содействие хакерским группам, курируемым украинскими силовыми подразделениями (по версии следствия — Cyber Anarchy Squad), против него заведено дело по ст. 275 УК (государственная измена). Тогда же сообщалось о задержании мужчины в Белово, Кемеровская область, которому вменялось вступление в украинское киберподразделение и участие в компьютерных атаках на российские информационные ресурсы, в т.ч. КИИ. В отношении него также было возбуждено дело о госизмене.

В Москве с февраля этого года идёт дело в отношении Артёма Хорошилова, которому первоначально вменялось участие в DDoS-атаках по ст. 274.1 УК. Но позднее против него было возбуждено дело о госизмене, ст. 275 УК.

Если почитать различные доктринальные документы по кибербезопасности, выпущенные в США и Европе, то можно увидеть, что основными источниками угроз кибербезопасности называются 4 страны - Китай 🇨🇳, Россия 🇷🇺, Северная Корея 🇰🇵 и Иран 🇮🇷 Про группировки, которые якобы происходят из этих государств пишут многие, но вот мне никогда не встречались исследования ситуации с кибербезопасностью внутри этих стран. Кто атакует их самих? Ведь не может быть так, чтобы они не представляли интереса для других государств или группировок.

И если ситуацию с ИБ внутри России я знаю достаточно неплохо; про Китай тоже можно найти материалы, то вот про остальные две страны сведений практически нет 🤷‍♀️ Тем интереснее мне было увидеть отчет "Iran's cybersecurity threatscape for 2021-H1 2024" (на английском), выпущенный нашей компанией 🟥, который впервые поднимает завесу тайны и раскрывает некоторые интересные кейсы и примеры инцидентов и атак в Иране, а также действий кибергруппировок против этой ближневосточной страны 🕌

Французская внешняя разведка (DGSE) в 2025 году увеличивает бюджет — по подсчётам французских журналистов, в следующем году он впервые в истории превысит 1 миллиард евро. Ресурсы, выделяемые DGSE, непрерывно росли с 2008 года, а за время президентства Эммануэля Макрона увеличились на треть. Средства пойдут, в частности, на продолжение развития кибервозможностей и потенциала в сфере ИИ.

Об особенностях французских киберопераций можно почитать здесь.

Кстати, уже немного забылось, но американские спецслужбы с союзниками летом-осенью 2021 года провели кибероперации против REvil. Некое иностранное правительство летом взломало серверы REvil, что позволило ФБР получить ключ для расшифровки данных жертв. Позднее доступ к инфраструктуре REvil был передан Киберкомандованию США, которое в октябре смогло перехватить управление их сайтом. Все детали известны только по серии статей американских журналистов (1, 2, 3), прямых официальных подтверждений не было, но в декабре 2021 Пол Накасоне, тогда глава Киберкомандования, заявил, что его структура проводила операции против ransomware-группировок (в 2021 намерение использовать военный киберпотенциал против преступников также декларировали Австралия, Великобритания и Нидерланды).

Причём по действиям Киберкомандования против REvil уже вышла академическая статья, автор которой приходит к выводу о допустимости такой кибероперации с точки зрения международного права — точнее, с точки зрения американской трактовки международного права.

Для ценителей — репортаж с заседания, где были оглашены переговоры 4 фигурантам дела REvil.

Кратко: обвинение приговорами довольно («С учетом непризнания вины и отсутствием раскаяния в совершенном преступлении сторона обвинения считает запрошенное наказание справедливым, и оно будет способствовать исправлению подсудимых»), защита — нет и будет обжаловать их.

Как уже сообщалось, деятельность фигурантов по профилю группировки REvil, то есть атаки с помощью ransomware и вымогательство, доказана не была и в обвинительном приговоре не упоминается:

«В материалах дела говорится, что в 2015 году Даниил Пузыревский покупал в даркнете с целью последующего занятия кардингом информацию о банковских картах, выпущенных в США, и, как утверждается в обвинительном заключении, проводил по ним операции, связанные с воровством денег (кардингом) у их владельцев. В дальнейшем, по версии следствия, он вовлек в эту схему Алексея Малоземова и Руслана Хансвярова. Впоследствии группировка, как считают в правоохранительных органах, пополнилась другими участниками.

На счету REvil атаки на такие западные компании, как Quanta Computer (один из ключевых партнеров Apple), JBS Foods (в июне 2021 года глава крупнейшего в мире производителя говядины признал, что предприятие заплатило вымогателям $11 млн), ИТ-гигант Acer и поставщик MSP-решений Kaseya. Однако, как подчеркивают адвокаты фигурантов, в окончательном обвинительном заключении эпизодов по всем этим фирмам не было, а их подзащитным вменили в итоге лишь воровство средств с банковских карт неких американцев».

Кстати, в этом контексте интересно заново взглянуть на заявление ФСБ в январе 2022 года об операции против REvil. С одной стороны, в нём сказано, что основанием для розыскных мероприятий послужило обращение со стороны США «о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы зарубежных высокотехнологичных компаний путем внедрения вредоносного программного обеспечения, шифрования информации и вымогательства денежных средств за ее дешифрование». Также преступное сообщество в пресс-релизе названо REvil.

С другой стороны, в том же пресс-релизе деятельность задержанных описана, скорее, как кардинг, нежели как кибервымогательство: «С целью реализации преступного замысла указанные лица разработали вредоносное программное обеспечение, организовали хищение денежных средств с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в сети Интернет». По сути, в этом русле в итоге и были вынесены приговоры.

Возможно, иначе будут выглядеть обвинительные заключения по делам ещё 4 фигурантов дела REvil, против которых было возбуждено дело по компьютерной статье 272 УК РФ (неправомерный доступ к компьютерной информации).

Как говорил один мой старший коллега, вот, государственный подход!

«Минцифры планирует создать собственное Linux-сообщество, которое объединит разработчиков из тех стран, которые будут готовы работать с Россией. Об этом РБК рассказал представитель министерства. Это заявление стало реакцией на увольнения 11 российских сотрудников, занимавшихся разработкой ядра операционной системы Linux.

«Увольнение российских сотрудников Linux можно расценить, как очередной факт дискриминации. Ключевым направлением, на наш взгляд, на сегодняшний день является усиление кооперации и установление диалога с теми странами, которые готовы работать с нами, — сообщил представитель Минцифры. — Необходимо договариваться с ними и строить свою альтернативную структуру». Он дополнил, что важно создать условия для взаимовыгодного сотрудничества, что может помочь создать уникальный продукт. Обсуждалось ли уже создание подобного альтернативного сообщества с какими-то странами, представитель Минцифры не уточнил».

Согласно Джеймсу Боттомли, одному из директоров Linux Foundation, основанием для удаления разработчиков из числа мэйнтейнеров служит нахождение их компаний в американских санкционных списках SDN OFAC.

Первые приговоры по делу REvil

Оглашён приговор четырём фигурантам дела REvil, которое началось больше двух с половиной лет назад.

Артём Заец и Алексей Малоземов признаны виновными в неправомерном обороте средств платежей (ч. 2 ст. 187 УК РФ) и приговорены к 4,5 и 5 годам колонии общего режима соответственно.
Даниил Пузыревский и Руслан Хансвяров признаны виновными в неправомерном обороте средств платежей (ч. 2 ст. 187 УК РФ), а также в использовании и распространении вредоносных программ (ч. 2 ст. 273 УК РФ) и приговорены к 6 и 5,5 годам соответственно.

Дело в отношении ещё четырёх фигурантов выделено в отдельное производство, их судят за неправомерный оборот средств платежей, а также за неправомерный доступ к компьютерной информации» (ст. 272 УК РФ).

Российские правоохранители провели операцию против REvil в январе 2022 года после «обращения компетентных органов США», изначально было задержано 14 человек. Российско-американское сотрудничество на треке борьбы с киберпреступностью оживилось после саммита в Женеве в июне 2021 года, а также на фоне эпидемии атак вымогателей в США. REvil была в числе группировок, чьи атаки особенно беспокоили США, так, после громкой атаки REvil на компанию Kaseya состоялся телефонный разговор между Владимиром Путиным и Джо Байденом о проблеме кибервымогателей.

США провели собственную операцию против REvil, а также осенью 2021 передали российским правоохранителям информацию по группировке (конкретно по одному из фигурантов будущего дела — Пузыревскому). Когда в январе 2022 предполагаемые участники группировки были задержаны, США приветствовали эту операцию и отметили, что среди задержанных был человек, причастный к громкой атаке на компанию Colonial Pipeline.

После начала войны американцы заморозили сотрудничество с Россией по теме информационной безопасности и борьбы с киберпреступностью. Заморозка сказалась и на деле REvil, поскольку американцы больше не предоставляли информацию, необходимую следствию. Защита обвиняемых рассчитывала использовать эту ситуацию для прекращения дела, но сегодняшние приговоры показывают, что суд нашёл позицию обвинения достаточно убедительной для реальных сроков.

Сингапурский компромисс в ООН

Интересные события происходят на полях переговоров в ООН по информационной безопасности. Россия — впервые с 1998 года! — не внесла в Первый комитет Генассамблеи проект резолюции на эту тему. Собственно, переговоры и начались с первой российской резолюции «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности». И на протяжении 25 лет Россия каждый год вносила по этому пункту повестки дня Генассамблеи проекты резолюций, которые всегда принимались, иногда консенсусом, иногда вопреки сопротивлению США и союзников, а один раз, в 2021, даже совместно с США. Почему же в этот раз отдельного проекта нет?

Дело в том, что единственный проект резолюции по информационной безопасности (см. изображения) в этом году внёс Сингапур как председатель Рабочей группы открытого состава (РГОС) с тем условием, что другие страны не вносят свои проекты по этому пункту повестки дня.

Такой мораторий введён в связи с тем, что в РГОС наметился раскол по поводу будущего формата переговоров. Западная коалиция выступает за создание после завершения РГОС в следующем году нового постоянного формата — Программы действий по поощрению ответственного поведения государств в киберпространстве. Россия, несколько лет критиковавшая идею Программы действий, в прошлом году предложила после завершения работы нынешней РГОС созвать ещё одну рабочую группу открытого состава, но на этот раз бессрочную. Про различие этих подходов я уже писал чуть подробнее, но в процедурном плане расхождение проявилось в том, что в 2022 и 2023 годах в Генассамблее принимали одновременно две резолюции, российскую и западную, по информационной безопасности. Это могло привести к запуску двух параллельных и во многом дублирующих друг друга переговорных форматов, как уже было в 2019-2021 годах. Большинству стран это не нужно, не у всех есть ресурсы и на полноценное участие в одном.

Постпред Сингапура при ООН и председатель РГОС Бурхан Гафур пытается (и пока вполне успешно) привести участников РГОС к компромиссному решению. На последней сессии РГОС летом он предложил вместо новую нейтральную формулировку для обозначения будущего формата переговоров: Открытый прикладной постоянный механизм по безопасности ИКТ в контексте международной безопасности (Open-Ended Action-Oriented Permanent Mechanism on ICT Security in the context of international security). Участники РГОС согласились с этим вариантом и в качестве приложения к ежегодному докладу РГОС утвердили его основные параметры.

Именно этот формат (точнее, не формат, а его контуры) зафиксирован в сингапурской резолюции (см. пункт a) параграфа 2). Разумеется, этот компромиссный вариант работает только при условии, что государства не выдвигают одновременно свои собственные предложения. Поэтому даже Россия на этот раз беспрецедентным образом решила не вносить свой проект.

Сработает ли сингапурский компромисс, мы увидим в течение года, когда будет завершаться работа действующей РГОС. За разными названиями форматов кроются более глубокие разногласия по поводу мандата будущих переговоров, и, естественно, сторонники разных подходов продолжают борьбу именно за своё видение.

Узнавать об ошибках быстрее западных партнёров

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) с помощью «Сканера безопасности» обнаружил в Рунете 26 тысяч критических уязвимостей.

«"Что касается "Сканера безопасности", то он сейчас проходит тестовую обкатку. Его идея заключается в том, что мы хотим вычистить российский сегмент интернета от заражённых, вредоносных устройств и ПО. И быстрее, по крайне мере, наших, как говорится, западных партнёров узнавать об ошибках, в том числе администрирования, о базах данных, которые неожиданно "торчат" в интернет, об уязвимых портах и ресурсах", - сказал [директор ЦМУ ССОП Сергей] Хуторцев в четверг на форуме "Спектр 2024".

Согласно данным его презентации, в 2024 году более 300 организаций были оповещены о возможных уязвимостях. Всего "Сканер безопасности" выявил более 26 тыс. критических уязвимостей.

По словам Хуторцева, "система сейчас выстроена так, что она сканирует весь российский сегмент интернета, выявляет угрозы". "Мы в автоматическом режиме формируем рекомендации по их устранению и рассылаем на почтовые адреса, на контактные данные владельцам информационных систем, операторам связи и хостинг-провайдерам", - сказал он».

Отдельно он отметил, что ЦМУ ССОП может использовать технические средства противодействия угрозам (ТСПУ) для временной или постоянной блокировки уязвимостей, если владелец ресурса (сайта, например) не реагирует на предупреждения.

Как это работает, можно было наблюдать в середине 2023 года. В конце мая IT-армия Украины устроила массовый дефейс сайтов на движке «Битрикс». НКЦКИ запросил у ЦМУ ССОП заблокировать несколько тысяч взломанных сайтов. Они были заблокированы с помощью ТСПУ. Для разблокировки владельцам сайтов нужно было исправить уязвимость и сообщить об этом НКЦКИ. К решению этой проблемы также были подключены хостинги и операторы связи, которым ведомства прислали рекомендации, как починить сайты.

НКЦКИ — о деятельности проукраинских хакерских групп:

«"В нашей практике количество атак, инцидентов, связанных с деятельностью проукраинских группировок, наверное, составляет львиную долю от общего числа инцидентов. <...> Электронно уничтожается все, до чего противник может дотянуться в инфраструктуре. Наверное, сейчас наблюдаем как раз рост [количества] таких атак", - сказал [представитель НКЦКИ Андрей Раевский] на ежегодном специализированном форуме "Спектр", который проходит на сочинском курорте "Роза Хутор".

Он также отметил, что хакеры стараются нанести максимальный ущерб инфраструктуре, противник уже выстроил свою работу».

Украина может выделить киберсилы в отдельный род войск. Предложенный Генштабом ВСУ проект обсуждается с депутатами Верховной рады.

«В составе вооруженных сил Украины могут создать новый род войск — киберсилы.Об этом сообщил Генштаб ВСУ, передает «Украинская правда».

Проект концепции нового рода войск военные уже обсудили с народными депутатами Украины — представителями комитета Верховной рады по вопросам безопасности, обороны и разведки, и экспертами на встрече под председательством начальника украинского Генштаба генерал-лейтенанта Анатолия Баргилевича.

Проект рассматривается с учетом опыта создания и работы кибервойск в ведущих государствах мира, отмечается в заявлении Генштаба. Стороны проанализировали опыт ВСУ в этой сфере и определили основные задачи и функции киберсил в перспективе.

«Создание киберсил, как отдельного рода сил, позволит значительно усилить способности украинского войска, обеспечит эффективное планирование и реализацию полного спектра задач в киберпространстве, которое наравне с сушей, морем, воздухом и космосом признано отдельным операционным доменом», — полагают в ведомстве».

На текущий момент самая известная украинская структура, занимающаяся противоборством в киберпространстве, — это Главное управление разведки Минобороны (ГУР), во многом благодаря его собственным публичным заявлениям на протяжении последнего года.

Обновление списка APT-групп, атакующих Россию

В апреле я публиковал список продвинутых хакерских групп, государственных или прогосударственных, которые были замечены компаниями по кибербезопасности в атаках на российские организации.

Сегодня делюсь обновлённой версией:
— добавлены отчёты российских компаний с апреля по октябрь и некоторые более давние, а также отдельные зарубежные отчёты (в том числе и два китайских). Общее количество отчётов удвоилось с 40 до 81, а количество групп в таблице увеличилось с 28 до 41;
— у некоторых групп добавлены дополнительные наименования;
— для групп без указания страны в соответствующем столбце поставлена чёрточка.

Как всегда, буду благодарен за обратную связь и дополнения.

США установит лимиты на передачу данных в шесть стран

📋 Министерство юстиции США разработало новые правила регулирования передачи данных в зарубежные страны. Документ вводит строгие ограничения на объемы передаваемой информации в шесть стран, включая Китай, Россию и Иран.

🔒 Новые меры запрещают передачу генетических данных более 100 человек, геоданных более 1000 граждан и финансовой информации более 10 000 человек в год. Особый запрет установлен на передачу любых данных военнослужащих и госслужащих.

⚖️ За нарушение правил предусмотрены штрафы до $368 136 и уголовное наказание до 20 лет тюрьмы. При этом документ не затрагивает работу социальных сетей и не расширяет полномочия по надзору за личными данными американцев.

#защитаданных #кибербезопасность #США #приватность

@SecLabNews

Интернет-платформы МИД России подверглись масштабной DDoS-атаке, специалисты работают над восстановлением работоспособности ресурсов министерства, сообщила официальный представитель ведомства Мария Захарова.

«На не совсем правильном уровне»

НКЦКИ рассказал о неутешительных результатах мониторинга защищенности ресурсов субъектов критической информационной инфраструктуры:

«"В соответствии с установленным порядком, субъекты обязаны направлять в адрес доменные имена и IP-адреса своего внешнего периметра для проведения мониторинга защищённости. На основе предоставленной информации от объектов КИИ мы формируем план мониторинга защищённости по каждому из объектов", — разъяснил порядок работы представитель НКЦКИ. Раевский добавил, что не все организации готовы оперативно делиться такой информацией, поэтому регулятор был вынужден проводить определённую разъяснительную работу, чтобы отладить процесс получения данных от субъектов КИИ.

Первые результаты реализации Приказа №213 показывают, что уровень безопасности находится "на не совсем правильном уровне" в более чем 50% организаций, подпадающих под требования Указа №250, в отношении которых был проведён мониторинг анализа защищённости. В большинстве случаев специалисты НКЦКИ выявили возможность проникновения в информационную систему со стороны внешнего злоумышленника.

"Результат нашего первичного мониторинга пока не такой хороший, как мы бы хотели. В подавляющем большинстве случаев (около 80%) мы реализовали угрозу проникновения внешнего злоумышленника в инфраструктуру", — заявил Андрей Раевский.

По итогам мониторинга регулятор выдаёт рекомендации таким организациям, чтобы они обратили на внимание на проблемы и, что самое главное, устранили выявленные угрозы информационные безопасности. Однако компании часто сталкиваются со сложностями в реализации требований. Это связано с отсутствием в компаниях сотрудников с нужной компетенцией или их невнимательностью».

По сообщению Судебного департамента при Верховном Суде, судебная инфраструктура постепенно возвращается к жизни. Пока запущены сайты и почтовая служба федеральных арбитражных судов. Сайт arbitr.ru действительно работает.

В июле 2000 года на встрече министров иностранных дел «Группы восьми» в Японии возникло недопонимание. Игорь Иванов, тогда глава МИД России, предложил коллегам выработать принципы информационной безопасности. Немецкий министр Йошка Фишер ответил, что для демократии важна свобода информации, а ставить под вопрос интернет глупо. С ним согласились первый заместитель госсекретаря США Строуб Тэлбот и канадский министр Ллойд Эксуорси. После этого Иванов уточнил, что имел в виду не ограничение свободы информации, а информационную безопасность. Позднее в личной беседе с Тэлботом замминистра Георгий Мамедов решил внести ещё большую ясность и сказал, что министр имел в виду опасения по поводу информационного противоборства в ходе конфликтов и возможности нанесения ударов по информационным системам.

Обнаружено в рассекреченной американской телеграмме.

Злоумышленники продолжают проводить кибератаки на организации в Беларуси, не оглядываясь на новую военную доктрину страны:

«В Беларуси с начала года зафиксировали 350 киберинцидентов высокого уровня, в том числе в центре кибербезопасности hoster.by – 120 инцидентов. Об этом рассказал директор по безопасности hoster.by Антон Тростянко на форуме «БАНКИТ-2024».

По словам Антона Тростянко, hoster.by отмечает двукратный рост киберинцидентов в зоне своей ответственности.

Основная часть киберинцидентов (60%) приходится на частные облака, еще 30% происшествий связаны с виртуальным хостингом, на точечные инциденты приходится 10% всех неприятных событий в сфере кибербезопасности.

— По нам здорово «работают» украинские группировки. Мы стали их больше видеть, заметно, что для них- главное — собрать информацию. Последние крупные взломы наблюдаем в промышленности — шифруют заводы. Есть атаки, которые длятся по 4 часа и за это время злоумышленники компрометируют всю инфраструктуру».

ГАС «Правосудие», сайты судов и другие сервисы спустя 2 недели всё ещё не вернулась к жизни.

Мы без конца проклинаем операцию «Триангуляция», и, разумеется, за дело. И всё же я хочу спросить — кто закупил в четыре раза больше айфонов?

«Суммарный объем проведенных госзакупок iPhone за девять месяцев 2024 г. вырос в 4 раза по сравнению с аналогичным периодом 2023 г. Итоговая сумма по заключенным контрактам за три квартала 2024 г. составила 6 879 899 руб. по сравнению с 1 642 166 руб. за аналогичный период 2023 г., рассказал "Ведомостям" представитель площадки торгов "Тендерплан"».

В прошлом году после заявлений ФСБ о шпионаже через айфоны от техники Apple официально отказались многие (но не все?) ведомства и госкомпании: МЧС, Минопромторг, Минпросвещения, Минобрнауки, Росмолодёжи, Минцифры, РЖД, ЦИК, Минфин, Минэнерго, Минкульт, ФТС, Росавиация, Администрация президента, Росатом, Ростех (а также Швабе, КамАЗ, Уралвагонзавод).

P.S.: нельзя исключать, что устройства закуплены для поиска уязвимостей.

На Bloomberg вышла статья о том, что в 2017-2020 годах российские спецслужбы взломали в Грузии чуть ли не всё, что только было можно: ЦИК, МИД и некоторые посольства, Минфин, ЦБ, телеканалы, критическую инфраструктуру. Журналисты ссылаются на некие непубличные документы и технические отчёты, очевидно, западного происхождения. По словам европейского источника, западные партнёры сообщали грузинским коллегам о некоторых кибератаках, не неизвестно, отнеслись ли те к ним серьёзно. Авторы разослали запросы всем упоминаемым организациям, но никто толком не подтвердил атаки либо вообще не ответил. Не ответили на запросы даже ФСБ и ГУ.

Возможно, это только предисловие, и какие-то отчёты ещё увидят свет — если так, то, скорее всего, на этой неделе, потому что статья явно привязана к предстоящим выборам в Грузии. Либо же статья выпущена вместо отчётов.

Турция борется с сервисами пробива

В Турции на прошлой неделе были арестованы 9 человек по подозрению в участии в так называемой международной кибершпионской сети. Первые аресты по этому делу прошли в августе, тогда в руки правоохранителей попали 11 человек. Операцию проводит Национальная разведывательная организация Турции (MİT) при поддержке полиции. В ходе операции были заблокированы сайты по продаже данных, на них были размещены заглушки о закрытии доступа в связи с незаконной кибердеятельностью, угрожающей национальной безопасности. В числе конфискованных доменов: cybertiserate[.]fun, itpanel[.]store, sxrgu[.]tech, tavsancik[.]online, nexcity[.]in, xlog[.]life, fearchecks[.]xyz. На заглушке стоят логотипы MİT, жандармерии и турецкого государственного CERT'а (USOM).

До блокировки на сайтах находились так называемые «панели» для поиска по персональным данным турецких граждан. С их помощью можно было получить такие данные, как государственный ID, контактные данные, медицинские данные, номера авто и пр. Кроме того, для распространения информации о сервисе использовались многочисленные телеграм-каналы.

Проблема эта не новая. Летом 2023 появились сообщения об утечке данных всех граждан Турции и доступе к ним через сервис Sorgu Paneli («панель для запросов»). Создатели сервиса предлагали пользователям несколько бесплатных запросов, а также продавали подписку для получения доступа к полному функционалу.

Неизвестно, попали ли в руки к правоохранителям те же лица, что стояли за сайтом Sorgu Paneli, но так или иначе «панели» стали популярным форматом для продаж услуг пробива.

Помимо компьютерных преступлений арестованным вменяют и более серьёзные нарушения: якобы в числе тех, кто покупал у них данные, были даже террористы.

Операции MİT не единственный признак того, что в Турции меняется подход к незаконной торговле персданными граждан. Если в 2023 году правительство ставило под сомнение возможность утечки, то в сентябре министр транспорта и инфраструктуры признал проблему, а USOM ещё в июле запросил помощь у Google в удалении данных с Drive'а и предоставлении информации об аккаунтах — возможно, кстати, что эта информация использовалась для арестов.

Штрафы за неустранение уязвимостей

В России могут ввести штрафы для субъектов критической информационной инфраструктуры, которые не занимаются поиском и устранением уязвимостей в своих компьютерных системах. Как сообщают «Известия», нововведение содержится законопроекте «О деятельности по поиску уязвимостей и оценке уровня защищенности объектов информационной инфраструктуры», который был разработан в Совете Федерации и находится на этапе обсуждения с ведомствами (с Минцифры, Минюстом, Генпрокуратурой, Следственным комитетом, МВД, ФСТЭК и ФСБ) и участниками рынка. В текущей версии на должностных лиц предлагается налагать штраф от 20 до 50 тыс. рублей, на юрлиц — от 100 до 500 тыс.

По словам автора законопроекта сенатора Антона Шейкина, в связи с увеличением количества инцидентов, ростом их сложности и скоординированности «появилась необходимость ввести в правовое поле деятельность по поиску уязвимостей и оценке уровня защищенности».

«[О]сновная цель законопроекта — установить права и обязанности участников отношений по поиску уязвимостей и оценке защищенности объектов информационной инфраструктуры, определить основы государственного регулирования указанной деятельности, а так же определить положения по лицензированию данной деятельности Федеральной службой по техническому и экспортному контролю (ФСТЭК)».

Механизм работы представлен следующим образом:

«Компания или организация заключает договор с независимой платформой на исследование своей защищенности. Та, в свою очередь, оплачивает вознаграждение независимым экспертам, которые проводят тестирование. Это те самые «белые» хакеры, которые взламывают систему для проверки уязвимостей с разрешения владельца.

Далее платформа систематизирует выявленные уязвимости и сообщает о них заказчику, а также регулятору ФСТЭК. Он, с одной стороны, будет лицензировать деятельности участников процесса, с другой, получит право накладывать санкции на организации и компании, не уделяющие должного внимания выявлению и устранению уязвимостей».

В своей статье для «Парламентской газеты» Антон Шейкин называл законопроект механизмом легализации «белых хакеров». При этом другой законопроект о «белых хакерах» уже внесён у Госдуму и на прошлой неделе прошёл второе чтение.

По традиции оценим визуальную составляющую APT-отчётов Antiy. В отличие от красочных картинок у Qihoo 360 и QiAnXin Antiy изображает группировки или их отдельные инструменты в стиле карандашного рисунка или газетной иллюстрации.

Stuxnet
Sandworm
White Elephant
Equation Group
OceanLotus/APT-TOCS
GreenSpot
Dark Elephant
Duqu
Flame
Equation Group/Quantum

БСТМ 32 года.

«Не открывайте вложения с подозрительными расширениями»: основы ИБ для госслужащих от Минцифры

Министерство цифрового развития подготовило рекомендации по информационной безопасности для госслужащих. Советы для чиновников изложены в трёх памятках:
— Меры по обеспечению информационной безопасности;
— Рекомендации по защите учётных записей;
— Правила защиты от мошенников.

Рекомендации появились в Консультанте вчера и сопровождаются письмом врио директора Департамента обеспечения кибербезопасности Минцифры Евгения Хасина от 17 сентября. Министерство рассматривает эти памятки в русле программ по повышению цифровой грамотности — в данном случае среди чиновников.

Что касается рекомендаций, то большинство не вызывают никаких вопросов. Но не все. Допустим, совет ставить сложный пароль без пояснений не очень полезен, а призыв менять его раз в квартал уже не считается хорошей идеей. Так, в свежих рекомендациях по паролям NIST предлагает пойти навстречу пользователям и наоборот не требовать от них регулярной смены пароля.

Также можно обсудить, чего в рекомендациях нет. Мне в глаза бросился важный совет, который часто дают на тренингах: если вы заметили что-то подозрительное или у вас есть вопросы, обращайтесь в отдел ИБ организации (вот контакт). Конечно, письмо, очевидно, разослано в разные организации, и отделы эти будут разные, но общий совет всё равно можно было дать, а то сейчас по памяткам складывается впечатление, что госслужащие предоставлены сами себе.

Но, наверно, главный вопрос — будет ли польза от рекомендаций в таком формате? Что с ними в лучшем случае сделают в организации? Разошлют по почте? Распечатают и повесят листочки A4 на доске объявлений? Компании, проводящие тренинги по ИБ, много думают над тем, как сделать так, чтобы обучающиеся действительно усвоили материал, а их поведение стало более безопасным. В этом плане памятки не выглядят особо убедительными. Лучше сразу направлять госслужащих на тематический раздел на Госуслугах.

Продолжаются поиски группировки под названием «Рэдках» из Турции, упомянутой в заявлении ФСБ от апреля 2023. С таким названием я никого не нашёл, но по табличкам Cyberknow самый близкий (но тоже не очень) вариант — это RedCult.

Подписчик подсказал ещё один возможный вариант — группу RedHack. Название опять не то, но близко. Но она действительно из Турции. Это старое объединение, появившееся ещё в конце 1990-х. Своим названием (и использованием серпа и молота в символике) группа намекает на свои левые взгляды. В первой половине 2010-х отметилась многими громкими акциями в Турции и в основном действовала против властей страны. Правда, после 2016 года она себя особо не проявляла и, возможно, уже вышла из игры. В атаках на российские организации не замечена.

На SOC Forum в ноябре интересная программа, но половина Defense-трека только офлайн, в том числе заявлены доклады по проукраинским группам UHG, Twelve, exCobalt.

В американском TI-сообществе тоже поднимался вопрос, что в последние пару лет всё больше исследователей готовы выступать на конференциях не под запись. Похоже, это общий тренд.

Журналисты Reuters узнали новые детали операции с подрывом тысяч пейджеров.

Первая часть расследования посвящена тому, как в пейджер были спрятаны взрывчатка и детонатор. На основе фотографий и рассказа источника, журналисты заключили, что пластина из взрывчатого вещества PETN (пентаэритриттетранитрат) была помещена между двумя аккумуляторами. Оставшееся пространство между ними занимало некое легковоспламеняющееся вещество, которое служило детонатором и не было заметно на рентгене. Предположительно внутри этого трёхслойного блока возникала искра, поджигавшая детонатор, после чего происходил взрыв. Но как именно это происходило, журналисты не узнали. Батарейка упаковывалась в пластиковый рукав и затем в металлическую оболочку. Reuters выяснил, что Хезболла тщательно проверяла пейджеры, но не обнаружили взрывчатку. Хотя некоторые моменты могли их насторожить. Так, собеседники Reuters обратили внимание, нормальная батарейка такого же веса по идее должна бы была иметь значительно больший запас энергии, чем трёхслойная со взрывчаткой. Якобы в Хезболле даже заметили, что пейджер разряжается слишком быстро, но не отнеслась к этому серьёзно.

Вторая часть расследования посвящена созданию легенды для пейжера и батарейки — достаточно убедительной для Хезболлы. Чтобы использовать узнаваемый бренд тайваньской компании Gold Apollo, некто «Том» нанял бывшую сотрудницу этой фирмы. Через неё познакомился с руководителем и получил от него лицензию на производство собственного продукта под маркой Gold Apollo. Главу Gold Apollo не впечатлила разработанная «Томом» модель AR-924, но он всё равно разместил её фотографии на своём сайте. У фирмы «Тома» был свой сайт, где рекламировался пейджер и батарея (в статье есть даже рекламное видео). Но также для операции были созданы два поддельных сайта магазинов батареек, а на специализированных батареечных форумах имитировалось обсуждение высокого качества батареек. В общем, «Том» и его коллеги приложили немало усилий, чтобы создать подобие реального продукта — такого, в надёжности которого члены Хезболлы могли бы убедиться, погуглив по ключевым словам.

Согласно статье, от взрывов пейджеров и раций погибли 39 человек, 3,4 тысячи получили ранения.

Пока идёт ремонт ГАС «Правосудие», профессионалы сдувают пыль с факсов (в Японии, кстати, они до сих пор широко используются).

«Наутро 18 октября в Приамурье все еще недоступны сайты всех судов: областного, арбитражного, городских и районных. Пока единственным способом информирования амурчан остаются соцсети органов власти, где можно найти контактные данные, время работы и другую информацию, рассказали в Объединенной пресс-службе судов Амурской области. Что же касается отправки документов, пока это можно сделать лично или почтовым отправлением - электронная почта судов не работает. Есть еще один способ, который уже считается раритетным.

"Вчера мне пришлось искать раритет – факс. Это средство связи еще осталось в работе 9 кассационного суда. Поиски в течение пары часов увенчались успехом. Удалось найти действующий факс, но по факту скажу так – это устройство уже давно из области фантастики. Все мы привыкли за годы пандемии активно работать в интернете, и весьма хорошо это получалось. К хорошему быстро привыкаешь", - рассказал юрист, президент Гильдии риелторов Приамурья.

Эксперт полагает, что проблемы связи с сайтами судов могут продлиться и после "дня икс" - 18 октября. Амурчанам нужно искать альтернативы в случае необходимости отправки документов в суды. Факсы работают не везде. Почтовые отправления необходимо отправлять заранее, чтобы письмо успело прийти к заседанию».

«Аспро» даже выпустила новость о том, как защитить сайт от взлома.

Первая хактивисткая кибератака

1988 — это Morris Worm, а 1989 — это Worms Against Nuclear Killers. 35 лет назад в сеть НАСА попал червь под названием WANK. Это событие считается первой известной политически мотивированной компьютерной атакой, позднее такую деятельность назовут хактивизмом. НАСА готовилось к запуску космического аппарата «Галилео» c радиоизотопным термоэлектрическим генератором. Из-за использования в генераторе плутония подготовка запуска вызвала беспокойство среди антиядерных активистов. Очевидно, это и вдохновило хакеров. Атака началась 16 октября. По словам автора книги Underground: Hacking, Madness and Obsession on the Electronic Frontier, учёные приходили на работу и обнаруживали на своих экранах не нужные им материалы, а послание хакеров: «Вы говорите о мире для всех, а потом готовитесь к войне». Пять лет назад были опубликованы слайды НАСА, подготовленные через месяц после инцидента. Атака проводилась в два этапа: на первом было заражено 90 компьютеров, а спустя две недели обновлённая версия червя заразила ещё 500 устройств. Специалисты НАСА посчитали причиной инцидента несоблюдение установленной в агентстве парольной политики. В презентации указано, что источником атаки могла быть Франция. Но позднее подозрение пало на австралийское хакерское сообщество, есть даже неподтверждённая, но интригующая версия, что ко взлому НАСА был причастен молодой Джулиан Ассандж.

В презентации сказано, что расследованием занимаются ФБР и главный инспектор НАСА, внутри агентство будет уделять больше внимания улучшению практики использования паролей. Но в самом конце приведена фраза, которая по-прежнему актуальна: «Открытые международные сети всегда будут в определённой степени уязвимы».

Китайская ассоциация безопасности киберпространства предложила властям ввести проверки продуктов Intel, продающихся на рынке Китая. Основания для этого как технические (часто встречающиеся уязвимости), так и политические (Intel включился в антикитайскую кампанию в США). Среди технических претензий один пункт касается Intel Management Engine — встроенного почти во все чипы микроконтроллера, которые EFF сравнивала с бэкдором. В частности, упоминается исследование Марка Ермолова и Максима Горячего (Positive Technologies), которые в 2017 году обнаружили недокументированный способ отключения Intel ME, предусмотренный Intel для американских властей, скорее всего, конкретно для АНБ.

Вспомнил про два случая, когда российские официальные лица перечисляли хакерские группы, атакующие Россию. В июне 2022 года Андрей Крутских, тогда руководитель Департамента международной информационной безопасности МИД, заявил:

«Всего в противоправных операциях против России задействованы 22 хакерские группировки, наиболее активные – IT-army of Ukraine (Украина), GhostClan (США), GNG (Грузия), Squad303 (Польша)».

В апреле 2023 ТАСС опубликовал заявление Центра общественных связей ФСБ, в котором был такой фрагмент:

«При этом кибератаки разрабатываются при непосредственном участии объединенного командования Пентагона во взаимодействии с международными ("Анонимус", "Сайленс") и национальными ("Гоаст клэн", США, "Рэдках", Турция, "Джи-Эн-Джи", Грузия, "СквадЗОЗ", Польша и другие) хакерскими группировками».

Прежде не задумывался о происхождении этой threat intelligence, но рискну предположить, что как минимум одним источником были таблички со списком пророссийских и проукраинских хакерских групп от исследователя под ником Cyberknow. В конце февраля — начале марта 2022 года они регулярно обновлялись и активно распространялись в Твиттере.

Как связаны таблицы и приведённые заявления? Во-первых, обращает на себя внимание количество проукраинских хакерских группировок — 22. Столько групп было на одной из ранних таблиц от Cyberknow от 1 марта 2022. Правда, потом это число росло и к июню (когда было интервью) уже составляло несколько десятков. Во-вторых, на таблицах Cyberknow фигурируют вместе все группы, упомянутые МИД, кроме того, именно Cyberknow с февраля по май 2022 указывал предполагаемое место расположения группировки. В качестве картинок прикрепляю таблицы от 1 марта (на ней 22 проукраинские группы) и от 22 мая (последняя с указанием стран).

Что за группы упомянуты МИД?
— IT Army of Ukraine, думаю, всем известна. Эта группа была создана с подачи министра цифровой трансформации Украины Михаила Фёдорова прежде всего из большого числа низкоквалифицированных добровольцев, но, вероятно, и с участием опытных хакеров. Она занималась DDoS-атаками и не только и, естественно, сразу же попала в таблицу Cyberknow;
— GhostClan была добавлена в таблицу 28 февраля 2022 с локацией Global, затем заменённой на Unknown. США у группы в качестве местоположения никогда не указывались. Судя по тому, что можно найти, это такое хактивистское сообщество в стиле Anonymous. Есть много аккаунтов с таким названием. GhostClan упоминались в числе группировок, участвовавших в атаках на Израиль после 7 октября 2023;
— GnG была добавлена в таблицу 28 февраля 2022 с указанием Грузии. Твиттер-акканут GnG был создан в феврале и был активен до июня 2022. Он вёлся на грузинском и рассказывал об атаках не только на российские, но и на грузинские сайты. В целом группа тоже явно вдохновлялась Anonymous;
— Squad303 — это группа, активная до сих пор. В таблицу Cyberknow попала 12 марта 2022 сначала как Unknown, но в следующем обновлении помеченная как Польша.

В заявлении ФСБ от апреля 2023 упоминаются GhostClan, GnG, Squad303 с указанием той же страновой принадлежности. Также упомянута группа турецкая группа «Рэдках» — по таком кириллическому имени я не нашёл. Ближайшая по написанию группа — RedCult, она включена в таблицу CyberKnow 11 апреля 2022 как Unknown. Если предположить, что это та же группа, то открытых связей с Турцией у неё нет, но RedCult довольно известна по операциям против ИГИЛ и против Израиля. А её главный персонаж указывает у себя в соцсетях, что живёт в Бейруте.

Кроме того, в заявлении ФСБ упомянуты Anonymous и Silence — последнюю я в табличках Cyberknow не нашёл. Вероятно, имеется в виду одноимённая группа, описанная Group-IB в 2018 году. В отличие от других упомянутых российскими представителями группировок Silence известна не хактивистской деятельностью, а финансово мотивированными атаками на банки. В 2022-2023 году группа снова попала в поле зрения исследователей из-за увеличившегося числа заражений компьютеров связанным с ней вредоносом. Видимо, её упоминание в заявлении было связано с обнаружением заражённых устройств в России.

Сервис SpeedTest хотят запретить

В Госдуме и ФСБ поддержали предложение о том, чтобы исключить использование российскими операторами измерителя скорости интернета SpeedTest американской компании Ookla.

- вместо этого будет обязательное использование операторами российских программных продуктов для измерения скорости передачи данных в сетях вместо зарубежного аналога.

- https://iz.ru/1775426/valerii-kodacigov/skorost-otstupa-v-rf-hotat-zapretit-ispolzovanie-servisa-speedtest

Неделю назад по обвинению Генпрокуратуры Украины двое бывших сотрудников СБУ были заочно осуждены на 15 лет тюрьмы как участники хакерской группы Gamaredon/Armageddon по статьям о государственной измене (ст. 111) и несанкционированном вмешательстве в работу компьютеров (ст. 361). Утверждается, что в 2014 году они, работая в Управлении СБУ в Крыму, изменили присяге и перешли на работу в ФСБ и с тех пор участвовали в проведении более 5 тысяч кибератак на украинские госорганы и объекты критической инфраструктуры. Согласно The Record, речь может идти об Александре Склянко и Николае Черных, на которых в июне были наложены санкции ЕС.

Из-за сбоя в работе ГАС «Правосудие» участники споров рискуют пропустить сроки на подачу документов. Чтобы этого избежать, юристы рекомендуют:
🔹 направить их в суд через «Почту России»;
🔹 отправить по адресу электронной почты суда;
🔹 сдать в канцелярию суда под отметку о получении.

Еще эксперты советуют провести нотариальный осмотр сайта суда или сделать скриншот. Потом это поможет восстановить пропущенные сроки.