Кибервойна

Джен Истерли, глава Агентства по кибербезопасности и безопасности инфраструктуры США (CISA), как и вся команда Байдена, ушла в отставку и дала прощальное интервью Wired. Само интервью, на мой взгляд, не очень содержательное, но так или иначе фиксирует взгляд одного из ключевых лиц прошлой администрации на политику в сфере кибербезопасности и восприятие угроз.

Неожиданно интервью спровоцировало обсуждение в Телеграме. Я, в частности, увидел вот этот пост Владимира Дащенко с воспоминаниями о личном опыте общения с американцами. Но я хочу сделать несколько уточнений.

Во-первых, Владимир пишет, что CISA выросла из US ICS-CERT. Это не совсем так. US ICS-CERT был одним из подразделений внутри Министерства внутренней безопасности (DHS), а конкретно National Protection & Programs Directorate (NPPD) (см. картинку). Тут нужен небольшой экскурс в историю. DHS было создано после терактов 11 сентября 2001 года и представляло собой лоскутное одеяло из программ и команд, собранных из разных ведомств. К 2007 году под эгидой NPPD были собраны подразделения, отвечающие за защиту критической инфраструктуры от физических и киберугроз. А в 2018 году, во время первого президентсва Трампа, NPPD (вместе со всеми своими подразделениями, включая ICS-CERT) было повышено до уровня самостоятельного агентства, подведомственного DHS, — так и появилось CISA.

Во-вторых, из поста складывается впечатление, что CISA ничем кроме своей однобокости и хиповой руководительницы внимания не заслуживает. На самом деле это очень мощное ведомство, которое играет ключевую роль в формировании американской политики в сфере кибербезопасности, о некоторых инициативах я рассказывал в канале. Собственно, зачем было создано такое агентство? В США исторически была проблема с безопасностью невоенных сетей. Военными занималось Минобороны, а вот сети гражданских ведомств, не говоря уже об отраслях экономики, защищались как попало. CISA занимается координацией как раз с гражданской стороны. Например, оно выступает куратором тех секторов КИ, которые не закреплены за профильными министерствами.

В-третьих, в посте про Джен Истерли сказано, что, мол, вот такой у неё экстравагантный образ, что она не ужилась при новой администрации. Однако дело тут в другом. С созданием CISA должность главы агентства стала политической, поскольку кандидатура утверждается в Сенате. Когда меняется администрация (особенно с одной партии на другую) все политические назначенцы уходят. Исключения бывают (например, Боб Гейтс), но весьма редки.

Вообще, как я уже писал, политика в сфере кибербезопасности в США во многом сохраняет преемственность от администрации к администрации, поэтому стоит фокусироваться не на персоналиях, а на институтах, законах, программах. Например, показательно, что среди указов, отменённых Трампом, не было одной из самых последних инициатив Байдена по повышению кибербезопасности — вполне возможно, что её и реализуют в той или иной форме, поскольку она вписывается в логику американской политики и содержит разумные меры. Судя по его первому сроку, чем подход Трампа к киберпространству действительно может отличаться от предшественника, так это готовностью более свободно и демонстративно использовать наступательные возможности.

Вчера на протяжении нескольких часов по всему миру наблюдался сбой ChatGPT. Согласно журналу OpenAI, было зафиксировано два инцидента с API и ChatGPT, из-за которых суммарно у пользователей были проблемы с сервисом почти 4 часа. Но деталей в этих отчётах мало.

В российских СМИ — сначала в Mash, потом в НСН — распространилась информация, что сбой ChatGPT якобы был вызван атакой российских хакеров (назывались группы 22с, GreedyProjects и хакер с ником palach pro). В канале palach pro сообщения об атаке появились в районе 15:00 по Москве; согласно DownDetector, жалобы на работу сервиса начались примерно с 14:00 (по отчётам OpenAI, первый инцидент начался в 14:33).

В американских СМИ пока заявления про причастность российских хакеров не заметили. По отчётам OpenAI причину сбоя назвать сложно. Например, когда в ноябре 2023 OpenAI подвергся DDoS-атаки, которую проводила Anonymous Sudan, в одном из отчётов причиной сбоя была названа активность, похожая на DDoS. Но в случае других атак Anonymous Sudan в декабре 2023 и феврале 2024 в отчётах OpenAI говорилось только об ошибках.

Хорошая новость: что-то наконец подешевело. Плохая новость: это базы данных.

Участившиеся случаи утечек в российских компаниях привели к снижению их стоимости в даркнете. За 2024 год количество оригинальных баз данных на теневых форумах превысило показатели прошлого года, более 60% из них распространяется бесплатно. Но некоторые все еще стоят до $1 тыс.

https://www.kommersant.ru/doc/7445929

Стиль гадюки 🐍

Может ли злоумышленник использовать всем известные инструменты и оставаться незамеченным более полутора лет? Наш ответ — да.

В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний.

Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года.

В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.

😏 Подробнее о группировке и ее техниках вы можете прочитать в исследовании на нашем сайте.

#TI #APT #Malware
@ptescalator

Судя по научным статьям и приговорам, в России приложение MOBILedit было одним из популярных инструментов, которым пользовались правоохранители для извлечения цифровых доказательств. В статье 2023 года на Хабре отмечается, что MOBILedit недоступен российским экспертам из-за санкций. При этом в более свежей статье 2024 года в «Вестнике Восточно-сибирского института МВД России» говорится: «Результаты исследования практики деятельности ОВД показывает, что наиболее популярными программными инструментами среди оперативных подразделений ОВД являются "MOBILedit" и "Мобильный криминалист"». В связи с объявлением компании Compelson нежелательной может возникнуть вопрос об использовании её продукта в России.

Очевидно, легально использовать софт от организации, чья деятельность признана нежелательной в России, могло бы повлечь ответственность как участие в деятельности этой организации. А вот пользоваться нелицензионной версией этой программы? Или приобретённой через посредника?

На прошлой неделе я предположил, что Генпрокуратура продолжит признавать западные ИБ-компании нежелательными в России, и назвал возможным кандидатом чешскую компанию Compelson, производителя программы MOBILedit для извлечения данных из телефонов и других устройств. В прошлом году российские дипломаты в ООН привели этот софт как пример продукта, предоставляемого западными компаниями Украине, который используется для перехвата переписки российских граждан.

Прогноз сбылся быстрее чем за неделю: вчера Генпрокуратура признала деятельность Compelson нежелательной в России со следующим обоснованием:

«Снабжает спецслужбы и правоохранительные органы различных государств, включая США, программным обеспечением, позволяющим получать доступ к информации на электронных устройствах, в том числе к удаленным данным, исследовать и анализировать ее. После начала СВО участники организации передали вооруженным силам и спецслужбам Украины бесплатные лицензии на программы и технические средства. С их помощью осуществляется доступ к информации, содержащейся в мобильных телефонах и смарт-часах, аккаунтах в социальных сетях и "облачных" хранилищах данных, в автоматическом режиме проводится анализ файлов, контактов, переписки, истории звонков и перемещений владельца устройства.
От имени директора организации в сети "Интернет" распространяется информация о том, что украинскими силовиками используется программное обеспечение Compelson "для защиты от России"».

Это уже третья ИБ-компания, чья деятельность признана в России нежелательной. В декабре этот статус получила американская Recorded Future, а на прошлой неделе — канадская OpenText (за деятельность приобретённой ей Micro Focus). Как я уже писал, потенциально в этот список может попасть любая ИБ-компания, сотрудничаящая с западными (прежде всего американскими) госорганами и тем более с Украиной. Вплоть до Microsoft и Google, хотя в силу их размера и популярности их продуктов в России их деятельность пока нежелательной вряд ли будут признавать. Но за счёт компаний поменьше этот список, скорее всего, будет пополняться и дальше.

Малварь? Вредоносное программное обеспечение? Боевые вирусы?

А может, всё-таки средства программно-математического воздействия (СПМВ)??

В Краснодаре из-за кибератаки некоторые городские парковки временно стали бесплатными: «Сейчас инфраструктура оператора связи — ООО «СвязьРесурс-Кубань» — не работает из-за внешней хакерской атаки. Поэтому приняли решение сделать парковки со шлагбаумами временно бесплатными». Проблема коснулась только парковок со шлагбаумами, а на остальных по-прежнему нужно платить.

Это уже не первый случай, когда действия хакеров непредвиденным образом оборачиваются для горожан бесплатной парковкой. В конце октября два дня не взималась плата за парковки в Твери. В обоих случаях парковки не были целью злоумышленников: в Твери деструктивной атаке подверглась городская администрация, а в Краснодаре под DDoS-атаку попал оператор связи (которые в целом являются одной из частых мишеней для кибератак).

С приходом Трампа прекратилась работа Комиссии по кибербезопаности (Cyber Safety Review Board, CSRB) под эгидой CISA. Действующий глава Министерства внутренней безопасности США (DHS) Бенджамин Хаффман прекратил членство участников всех консультативных органов при ведомстве, среди которых и CSRB.

Комиссия по кибербезопасности действует с 2021 года по образцу комиссий по расследованию авиакатастроф с целью не только анализа конкретной проблемы, но и формулирования более общих рекомендаций. В её состав входили представители ведомств и эксперты из частного сектора. За время своего существования CSRB выпустила отчёты по уязвимости Log4j, по атакам группировки Lapsus$, а также о компрометации почтовых ящиков Microsoft Exchange Online (о последнем я писал более развёрнуто). Очередной отчёт должен был быть посвящён атакам на американский телеком, в которых США винят китайскую группировку Salt Typhoon, но, согласно Reuters, роспуск комиссии фактически прерывает это расследование до возобновления работы CSRB. Причём, по словам одного источника, если она соберётся без прежних членов, то подготовку отчёта придётся начинать практически с нуля.

Комитет национальной безопасности не располагает информацией об атаках российских хакеров, сообщает агентство КазТАГ.

«Наряду с уполномоченными органами в рамках компетенции КНБ реализует комплекс мер для обеспечения информационной и кибербезопасности электронных ресурсов государственных органов и критически важных объектов информатизации. Имеющиеся средства национального координационного центра информационной безопасности РК и оперативные центры информационной безопасности настроены на обнаружение, блокировку и нейтрализацию работы вредоносных программ. Информацией о причастности к этим атакам российских хакеров не располагаем».

Повод для такого заявления — вышедший неделю назад отчёт Sekoia о кампании группировки UAC-0063 (которую исследователи со средней степенью уверенности связывают с APT28), нацеленной на страны Центральной Азии включая Казахстан. Новости по мотивам отчёта выпустили казахстанские СМИ (Orda, Курсив), запросив также комментарии у МИД и Министерства цифрового развития. В итоге спустя несколько дней сообщения прокомментировал КНБ.

Дональд Трамп помиловал основателя Silk Road Росса Ульбрихта

Президент США Дональд Трамп сообщил в соцсети Truth Social, что он «полностью и безоговорочно» помиловал Росса Ульбрихта — основателя закрытого в 2013 году даркнет-маркетплейса Silk Road.

https://xakep.ru/2025/01/22/ross-ulbricht-pardoned/

Кстати, канал Silent Crow, похоже, снесли из Телеграма уже во второй раз (в первый раз — после утечки данных якобы из Росреестра).

Заявление по поводу сегодняшней утечки опубликовало Минцифры. В нём предположение про подрядчика, прозвучавшее ранее от Ростелекома, превратилось в официальную версию: «Сегодня на инфраструктуру подрядчика Ростелекома была совершена хакерская атака. Она никак не затронула Госуслуги. Все данные портала находятся под надёжной защитой».

Из этого следует, что атака была совершена сегодня. При этом злоумышленники (Silent Crow) утверждают, что находились в инфраструктуре жертвы не меньше месяца. Как отмечал канал «Утечки информации», информация в слитых таблицах датируется 20.09.2024.

Также внимания заслуживает второй абзац: «Чувствительные персональные данные частных клиентов компании-подрядчика также не утекли. Упомянутые в анонимных сообщениях интернет-ресурсы не предназначены для обслуживания клиентов-физических лиц. На них не хранятся и не обрабатываются персданные».

По прочтении у вас может сложиться впечатление, что персданные не утекли — они же не хранятся и не обрабатываются на упомянутых интернет-ресурсах! Однако в действительности это не означает, что персданных там нет: дампы содержат запросы клиентов, которые могут включать ФИО, телефоны, электронную почту. Собственно, вот и персданные.

Если подлинность данных подтвердится, то Роскомнадзор окажется в странной ситуации. Скорее всего, утечка повлечёт дело об административном правонарушении по ч. 1 ст. 13.11 КоАП (не верите мне? — депутат Антон Горелкин уверен, что виновные понесут наказание), в ходе которого Роскомнадзору нужно будет обосновывать, почему утечка была (точнее, почему имела место обработка персданных в случае, не предусмотренном законодательством Российской Федерации в области персональных данных, либо обработка персданных, несовместимая с целями сбора этих данных). При том, что его материнская организация, Минцифры, с самого начала заявила, что персданных там не должно быть.

И ещё один момент. В пресс-релизе использовано слово «чувствительные», которое довольно субъективно. Например, для клиентов утечка связки ФИО и электронной почты может быть и не очень чувствительной по сравнению с гипотетической утечкой банковских данных. А вот для бизнеса утечка даже такой связки может быть вполне чувствительной, особенно с учётом увеличения штрафов за допущение утечки (которое, правда, вступит в силу только в мае).

Новая утечка от Silent Crow

Сегодня группировка Silent Crow заявила о взломе Ростелекома, сопроводив это публикацией данных, якобы похищенных с сайтов «Закупки ПАО Ростелеком» и основного сайта компании. Как отмечает канал «Утечки информации», в слитых дампах «содержится 154 тыс. уникальных адресов эл. почты и 101 тыс. уникальных номеров телефонов».

Ростелеком уже прокомментировал сообщения об утечке, назвав вероятной причиной инцидент информационной безопасности у одного из подрядчиков.

«В ответ на анонимные посты об утечке данных, приписываемой интернет-ресурсам "Ростелекома", компания сообщает, что ранее фиксировала инциденты информационной безопасности у одного из своих подрядчиков, обслуживавших данные ресурсы. Наиболее вероятно, что утечка произошла из инфраструктуры подрядчика. "Ростелеком" предпринял меры по устранению выявленных угроз. В настоящее время мы изучаем содержимое базы данных, чтобы определить, какая часть данных была скомпрометирована и относится ли она к компании. Предварительно можно сказать, что утечки особо чувствительных персональных данных не было».

При этом Ростелеком всё же рекомендовал пользователям якобы взломанных ресурсов «сбросить пароли и включить двухфакторную идентификацию, где она доступна». Также в компании уточнили, что эти ресурсы «не предназначены для обслуживания клиентов-физических лиц - там не хранятся и не обрабатывается персональные данные частных клиентов». [Переписал этот абзац, раньше тут была рекомендация от депутата Антона Немкина, но на самом деле она от Ростелекома.]

Silent Crow появилась на радаре совсем недавно: первой акцией группировки был слив данных, якобы похищенных у Росреестра, в начале января (Росреестр взлом отрицал). После этого группировка публиковала утечки, связанные, как утверждалось, с российским офисом Kia, сайтами «АльфаСтрахование-Жизнь» и «Клуб Альфа Банка».

Сразу после инаугурации Дональд Трамп издал пачку президентских указов (пока меньше половины из обещанных ста). Вот мой краткий обзор тех, которые касаются информационной безопасности.

Трамп отозвал почти 80 «вредных» президентских указов своего предшественника. Среди них прежде всего указ 2023 года о безопасном развитии и использовании искусственного интеллекта (Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence). Это ключевой и самый объёмный документ администрации Байдена по регулированию ИИ, содержащий широкий (и по-прежнему заслуживающий внимания) набор мер по обеспечению безопасности в этой области. Некоторые республиканцы критиковали этот указ за введение барьеров для инноваций. В общем, политику в сфере ИИ новая администрация во многом будет переписывать. Ещё один отменённый указ был издан всего пару недель назад и касается Бюро национального директора по кибербезопасности (Providing an Order of Succession Within the Office of the National Cyber Director). Сам этот пост был учреждён только в 2021 году Конгрессом (то есть его нельзя просто не назначать), а указ касается преемственности на случай смерти или нетрудоспособности занимающего его лица. Скорее всего, отмена указа связана с пересмотром кадровой политики, но кибердиректор сохранится.

Другой указ Трампа откладывает решение по TikTok'у на 75 дней. Приложение было заблокировано 19 января по закону с благозвучным названием PAFACA (Protecting Americans from Foreign Adversary Controlled Applications Act), одно из ключевых положений которого вступило в силу как раз в этот день. В своём указе Трамп утверждает, что это был очень неудачный тайминг, поскольку у него как у президента не осталось времени на оценку, представляет ли всё-таки TikTok достаточную угрозу для блокировки или нет. В этой связи он поручает отсрочить блокировку на два с половиной месяца, чтобы новая администрация имела возможность принять решение о дальнейшей судьбе приложения.

Ещё один указ Трампа запрещает госорганам и чиновникам оказывать воздействие на частные компании таким образом, что это ограничивает свободу слова. Под этим понимается политика предыдущей администрации по взаимодействию с онлайн-платформами в целях борьбы с дезинформацией — по мнению республиканцев, под благим предлогом госслужащие на самом деле занимались цензурой. В конце прошлого года республиканцы в Конгрессе добились прекращения финансирования одного из объектов своей критики — Центра глобального взаимодействия в Госдепартаменте. К новой администрации уже адаптируются технологические гиганты, так, недавно Марк Цукербрег заявил об отказе от фактчекинга на своих платформах, а ещё летом он приводил примеры давления со стороны администрации Байдена.

Наконец, чуть более конкретным становится идея о создании нового департамента под руководством Илона Маска — Департамента обеспечения государственной эффективности (Department of Government Efficiency, DOGE). Своим указом Трамп наделяет DOGE полномочиями по модернизации технологий и программного обеспечения федерального правительства. В ведение DOGE передаётся существующая команда государственных цифровизаторов (United States Digital Service, USDS, созданная ещё при Бараке Обаме, теперь называется United States DOGE Service). Во всех ведомствах должны быть созданы DOGE Teams — команды, которые будут реализовывать президентскую DOGE-повестку (по сути, цифровую трансформацию, если говорить российским бюрократическим языком) под общим контролем из одного центра. При этом USDS наделяется широкими полномочиями: согласно указу, ведомства должны обеспечить этой службе полный доступ ко всем несекретным ведомственным документам (agency records), программному обеспечению и информационным системам. USDS при этом должна придерживаться строгих стандартов в части защиты данных.

В какой мере эти указы будут выполнены, сказать сложно, поскольку в некоторых случаях решения президента недостаточно (например, Трамп также принял указ, серьёзно ограничивающий предоставление гражданства США по праву рождения, что идёт вразрез с американской Конституцией).

Приговор по делу SugarLocker

Недавно опубликованный приговор Александру Ермакову открывает новые подробности дела SugarLocker.

Кратко напомню предысторию: примерно год назад Австралия, Великобритания и США наложили санкции на россиянина Александра Ермакова якобы за его причастность ко взлому австралийского страховщика Medibank осенью 2022 года. В феврале F.A.C.C.T. сообщила о своём участии в операции Бюро специальных технических мероприятий МВД по вычислению и задержанию троих участников группы вымогателей SugarLocker, которая работала под вывеской компании Shtazi-IT. Благодаря пресс-релизу выяснилось, что среди задержанных лиц был и Александр Ермаков, попавший под западные санкции. К осени дело дошло до суда. В октябре приговор был вынесен Александру Ермакову, а его коллега Михаил Ленин (Шефель) был признан невменяемым. Однако текст приговора опубликован только сейчас.

Меня, с международной точки зрения, прежде всего интересовало, была ли связь между уголовным преследованием в России и западными санкциями. Спойлер: нет — как минимум в рамках завершённого дела в отношении Ермакова.

Суд признал Ермакова виновным по ч. 2 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ; совершённое группой лиц) и в качестве наказания назначил ему два года ограничения свободы: не выезжать за пределы (страны? города?), не менять места жительства без согласия надзорного органа, раз в месяц являться туда для регистрации.

Из документа следует, что по делу проходили двое фигурантов, второй, согласно заключению судебно-психиатрической комиссии, страдал психическим расстройством — очевидно, Ленин/Шефель. Также в деле фигурируют некие неустановленные лица.

В приговоре события изложены следующим образом: в период с 8 марта 2021 года по 8 апреля 2022 года Ленин/Шефель нашёл на неустановленном сайте в даркнете неустановленного заказчика, который искал специалистов для разработки программы-шифровальщика и панели управления им. Заказчик передал Ленину/Шефелю ТЗ, исходный код и денежные средства. Тот определил перечень необходимых работ и передал сведения Ермакову. Далее Ермаков и Ленин/Шефель нашли неустановленных разработчичов, которые согласились за вознаграждение создать шифровальщик и панель управления, передали им полученный у заказчика исходных код и денежные средства. После чего эти неустановленные исполнители создали «вредоносные компьютерные программы «ШугарЛокер» («Sugar Ransomware»), способные скрытно от пользователя, без его согласия, осуществлять уничтожение, блокирование, модификацию и копирование компьютерной информации». Те же самые неустановленные лица разместили на арендованном виртуальном сервере панель управления, доступную по адресу sugarpanel[.]space, и разместили на этом сервере программу-шифровальщик. Далее в приговоре приводится экспертиза «Лаборатории Касперского», подтверждающая, что это действительно было ВПО, и объясняющая, как оно шифрует данные. И, наконец, Ермаков, Ленин/Шефель и неустановленные лица передали тому самому неустановленному заказчику SugarLocker и доступ к панели управления и получили остаток вознаграждения.

Собственно, это всё. Александр Ермаков с предъявленными обвинениями согласился, вину признал, в содеянном раскаялся.

Ни о каких жертвах SugarLocker в документе не говорится, тем более о зарубежных. Передавали ли австралийские правоохранительные органы российским информацию, касающуюся Ермакова, достоверно мы не знаем, но я бы предположил, что нет. В любом случае в деле ничего такого даже близко не упоминается.

Вообще на неподготовленного читателя (вроде меня) больше всего в тексте приговора производит впечатление то, сколько в нём всего неустановленного. Не установлены ни заказчик (а был ли он?), ни исполнители, ни сайты, где шло общение, ни денежные суммы. Что уж тут говорить о жертвах. При этом, судя по февральскому пресс-релизу F.A.C.C.T., у подозреваемых во время обысков были обнаружены компьютеры, мобильные телефоны и разные цифровые улики, подтверждающие противоправную деятельность.

Wired взял прощальное интервью у американского киберпосла Натаниэля Фика. Бывший военный и топ-менеджер, Фик проработал в Госдепартаменте всего чуть больше двух лет, где возглавлял созданное в 2022 году Бюро по вопросам киберпространства и цифровой политики.

Фик предостерегает будущую администрацию от изоляционистской позиции в международных делах. При этом он говорит, что общался с представителями переходной команды Трампа по поводу Китая в и этом вопрос ожидает преемственность политики. Фик считает, что в ответ на китайские кибератаки США должны повышать издержки для Пекина, если нужно, вплоть до «военных издержек» — в этом он созвучен с советником по национальной безопасности Майклом Уолтцем, предлагавшем активнее прибегать к наступательным кибероперациям, чтобы менять поведение оппонентов. Фик переживает по поводу слабой координации действий китайских хакерских групп и считает, что США необходимо, чтобы китайские власти прочно поставили свои киберсилы под контроль политического руководства страны.

Развитие инфраструктуры связи — ещё один фронт соперничества США и Китая. Здесь Фик записывает в достижения уходящей администрации международные партнёрства для развития сетей 5G, в частности подключение к продвижению западных решений Коста-Рики, а также финансирование США и их партнёрами прокладки подводного кабеля для Тувалу.

Фик считает, что запуск в Госдепартаменте нового бюро, насчитывающего 130 сотрудников, трансформировал американскую кибердипломатию. Была усилена международная помощь на этом направлении, в частности, помощь Украине, включающую софт для информационной безопасности, спутниковую связь, перенос в облако государственных данных, Фик считает образцом для будущих государственно-частных партнёрств по оказанию содействия другим странам.

Напоследок уходящий киберпосол даёт главный совет своим преемникам (впрочем, Трамп пока не предложил кандидатуру на этот пост): в киберполитике нужно действовать решительно и на мировой арене, и подталкивать к переменам такие большие организации, как Госдепартамент.

Китайские полуиндикаторы компрометации

Китайская национальная команда реагирования на инциденты (CNCERT/CC) опубликовала отчёты о двух американских кибератаках. Первое сообщение CNCERT/CC о них вышло месяц назад и содержало краткое описание взломов организации, разрабатывающей и исследующей новые материалы, и предприятия, относящегося к отраслям умной энергетики и цифровой информации.

Теперь каждой атаке посвящён отдельный документ (1, 2) с более развёрнутым описанием и даже некоторыми техническими сведениями — правда, они раскрываются только частично. Например, в отчёте про атаку на предприятие в сфере умной энергетики сообщается, что использовавшийся атакующими стилер маскировался под приложение, связанное с WeChat: WeChatxxxxxxxx.exe. А ещё один бэкдор скрывался под именем tip4XXXXXXXX.php. Аналогичным образом CNCERT/CC поделился и использовавшимися в ходе обеих атак IP-адресами — вторая половина адреса скрыта иксами (см. картинки). (Для максимального удобства отчёты опубликованы в виде JPG-картинок.) Так или иначе, это первый случай, когда CNCERT/CC делится техническими деталями атаки, в которой обвиняются США.

Что касается обвинений, то в этом плане новые отчёты звучат даже более уверенно, чем декабрьское сообщение. Если тогда в тексте говорилось, что в обеих атаках лишь подозреваются американские спецслужбы, то на этот раз обе атаки просто названы американскими. Впрочем, в качестве свидетельств в эту пользу в обоих отчётах приводится только то, что по времени проведения они в основном распределены с 10:00 до 20:00 по восточному времени в США с понедельника по пятницу, а в крупные американские праздники атак не зафиксировано.

Отчёты CNCERT/CC — очередной пример обвинений (или контробвинений) в кибератаках со стороны Китая в адрес США за последние годы. Как и заведено в китайской практике публичной атрибуции кибератак, отчёты получили дополнительное освещение через Global Times на англоязычную аудиторию. Также новость привычным образом прокомментировал МИД Китая на брифинге в пятницу. Официальный представитель министерства Го Цзякунь, отвечая на вопрос СМИ про отчёты CNCERT/CC, заявил:

«Мы приняли к сведению этот доклад. Он в очередной раз разоблачил кибератаки правительства США и кражу коммерческой и интеллектуальной собственности в отношении Китая. Китай выражает серьезную озабоченность в связи с этим и настоятельно призывает американскую сторону немедленно прекратить подобную злонамеренную деятельность. Китай примет необходимые меры для обеспечения собственной кибербезопасности и защиты своих интересов.

Киберпространство — это вопрос национальной безопасности и экономического процветания для всех стран. США следует подумать о себе, прекратить политическую клевету, сначала самим сделать то, о чем они просят других, ответственно соблюдать общие международные правила и сотрудничать с международным сообществом для поддержания мира и безопасности в киберпространстве».

«Вендор обязан не только находить и устранять уязвимости в продукте при обновлении версий, но и обеспечить у себя систему, которая позволит заказчику легко актуализировать программное обеспечение. Сделать это можно через разные уведомления. Например, через мессенджеры, почтовые рассылки, встроенную систему обновлений внутри продукта (если есть такая) или через центр обновлений программного продукта (если такой есть)».

По данным МВД, ущерб от хакерских атак в России за 2023 год составил 156 млрд рублей. Растет и мировой ущерб от кибератак: согласно оценкам Juniper Research, он будет увеличиваться в среднем на 11% ежегодно. Проникновения в инфраструктуру компании и утечки данных могут привести не только к финансовым издержкам, но и к другим серьезным последствиям: потере доверия клиентов, санкциям от регуляторов, а порой и заморозке деятельности на неопределенный срок.

Когда случается успешная кибератака, возникает вопрос: это вина клиента, в чей аккаунт проникли злоумышленники, производителя программы, которую взломали, или интегратора, установившего решение? Страдают все трое. В интересах каждого снизить вероятность инцидентов до минимума. О том, как должна распределяться ответственность между всеми сторонами, рассказывает руководитель направления по информационной безопасности «1С-Битрикс» Роман Стрельников

Мишенями кибератак проукраинских группировок часто становятся российские интернет-провайдеры, в результате их клиенты остаются без нормальной связи на протяжении нескольких часов или даже дней. Некоторые группировки, прежде всего IT-армия Украины, отключают россиянам интернет с помощью DDoS-атак, которые могут продолжаться до нескольких дней, как, например, неоднократно происходило прошлой осенью в Новосибирске. Интернет-провайдеры подвергаются и деструктивным атакам. Так, например, в августе группа BO Team (вероятно, вместе с ГУР) уничтожила инфраструктуру главного провайдера в закрытом городе Снежинске, и специалистам компании пришлось вручную перенастраивать оборудование в домах абонентов (всего из-за атаки без интернета остались 7500 абонентов). В итоге полностью связь была восстановлена через 8 дней — за это время провайдер решил не взимать плату с абонентов. Аналогичный инцидент произошёл в начале января в Санкт-Петербурге. Группировка Ukrainian Cyber Alliance (UCA) заявила о выведении из строя инфраструктуры провайдера Nodex, эту информацию подтвердил связанный с ним провайдер ГТК. В соцсетях ГТК сообщалось, что специалисты компании вынуждены были обходить дома для настройки коммутаторов. К настоящему времени доступ в интернет был в основном восстановлен (правда, следом абонентов накрыл сбой, предположительно связанный с проблемами ТСПУ), но сохраняются проблемы с биллингом и восстановлением истории платежей.

Россия и Иран обменяются опытом управления национальными интернетами

Россия и Иран заключили Договор о всеобъемлющем стратегическом партнерстве. Документ охватывает различные сферы двусторонних отношений, прежде всего в сфере безопасности.

Статья 11 (см. целиком внизу) посвящена сотрудничеству в области информационной безопасности. По своему содержанию эта статья во многом близка к аналогичной статье 18 из Договора о всеобъемлющем стратегическом партнёрстве с КНДР. Речь идёт о дипломатическом взаимодействии и общих подходах в рамках ООН и других международных организаций, продвижении интернационализации управления интернетом.

Третий пункт касается сотрудничества в борьбе с киберпреступностью. В этой связи можно вспомнить отчёт F.A.C.C.T об атаках иранских шифровальщиков на российские компании.

Пятый пункт, аналога которого в договоре с КНДР нет, касается цифрового суверенитета. Стороны планируют укреплять его путём регулирования деятельности IT-гигантов. Они будут обмениваться опытом по управлению национальными сегментами интернета и развивать инфраструктуру в сфере ИКТ. Иранский опыт включает в себя недельное отключение страны от глобального интернета на фоне протестов осенью 2019 года.

Кроме того, Россия ранее заключила с Ираном специализированное двустороннее соглашение о сотрудничестве в области обеспечения информационной безопасности (вступило в силу в августе прошлого года), и в новом договоре есть ссылка на него. В нём, в частности, содержится обязательство не осуществлять кибератаки в отношении друг друга. С КНДР у России такого юридического обязательства нет.

«Статья 11

1. Договаривающиеся Стороны осуществляют политическое и практическое взаимодействие в сфере международной информационной безопасности в соответствии с Соглашением между Правительством Российской Федерации и Правительством Исламской Республики Иран о сотрудничестве в области обеспечения информационной безопасности от 26 января 2021 года (соответствует 7 бахмана 1399 года солнечной хиджры).

2. Договаривающиеся Стороны способствуют формированию под эгидой Организации Объединенных Наций системы обеспечения международной информационной безопасности и созданию юридически обязывающего режима предотвращения и мирного урегулирования конфликтов с опорой на принципы суверенного равенства и невмешательства во внутренние дела государств.

3. Договаривающиеся Стороны расширяют сотрудничество в сфере противодействия использованию информационно-коммуникационных технологий в преступных целях, координируют действия и совместно продвигают инициативы в рамках международных организаций и иных переговорных площадок. Договаривающиеся Стороны содействует укреплению национального суверенитета в международном информационном пространстве, обмениваются информацией и создают условия для взаимодействия компетентных органов Договаривающихся Сторон.

4. Договаривающиеся Стороны поддерживают курс на интернационализацию управления информационно-телекоммуникационной сетью «Интернет», выступают за равные права для государств в управлении ею, считают неприемлемыми любые попытки ограничить суверенное право на регулирование и обеспечение безопасности национальных сегментов глобальной сети, заинтересованы в более активном подключении Международного союза электросвязи к решению этих задач.

5. Договаривающиеся Стороны выступают за укрепление суверенитета в международном информационном пространстве посредством регулирования деятельности международных компаний в сфере информационно-коммуникационных технологий, а также через обмен опытом по управлению национальными сегментами сети «Интернет» и развитие инфраструктуры в сфере информационно-коммуникационных технологий, сотрудничают в области цифрового развития».

Байден понизил русских хакеров

За несколько дней до ухода из Белого дома Джо Байден подписал объёмный указ об укреплении и поддержке инноваций в национальной кибербезопасности (Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity).

Сразу объясню кликбейтный заголовок: единственная страна, упомянутая в документе, — это Китай, который определён как основной источник киберугроз Америке:

«Недружественные страны и преступники продолжают проводить киберкампании, направленные против Соединенных Штатов и американцев, а наиболее активную и постоянную киберугрозу для правительства США, частного сектора и сетей критической инфраструктуры представляет Китайская Народная Республика. Эти кампании нарушают оказание критически важных услуг по всей стране, приводят к издержкам в миллиарды долларов и подрывают безопасность и конфиденциальность частной жизни американцев. Необходимо приложить больше усилий для повышения уровня кибербезопасности страны для защиты от этих угроз».

Конечно, это не означает, что США теперь беспокоятся только о китайских кибератаках, но Китай явно возведён на первое место списка угроз, которое раньше занимали русские хакеры (можно вспомнить, что четыре года назад, когда Байден готовился занять президентское кресло разразился скандал вокруг взлома Orion от SolarWinds, и уже в апреле 2021 Байден официально обвинил в этом Россию). На протяжении последних пары лет именно действия группировок, предположительно связанных с Китаем, больше всего беспокоили американские власти. Прежде всего кампания Volt Typhoon, целью которой, как считают США, было внедрение вредоносного ПО в системы критической инфраструктуры для проведения деструктивных атак в случае кризиса (Китай причастность к группировке отрицает и называет её американской дезинформацией), и взломы телекоммуникационных компаний и системы законного перехвата, приписываемые группировке Salt Typhoon.

Укреплять кибербезопасность на национальном уровне предполагается следующим образом:
— повышать безопасность и транспарентность цепочек поставок ПО: предусмотрены меры, которые обяжут госорганы закупать софт только у тех компаний, который прошли аттестацию на соответствие практикам безопасной разработки; также госорганы должны будут включить управление рисками цепочки поставок в свою деятельность по управлению рисками;
— повышать безопасность федеральных систем в том числе за счёт внедрения лучших практик из бизнеса для улучшения видимости угроз, приоритезации инвестиций в инновационные технологии управления учётными записями и устойчивые к фишингу варианты аутентификации, совершенствование процессов обмена информацией об угрозах, внедрение лучших практик для использования госорганами облачных сервисов, повышения безопасности космических систем;
— защищать федеральную связь от воздействия злоумышленников: защита от перехвата трафика, шифрование DNS-трафика, шифрование электронной почты, защита коммуникации через мессенджеры, звонки и видеоконференцсвязь, переход к постквантовым криптографическим алгоритмам и др.;
— бороться с киберпреступностью и мошенничеством путём снижения возможностей для использования личной информации, например, украденных документов для получения социальных выплат, а также подготовка пилотного проекта для уведомления граждан и организаций, когда от их имени поступают запросы на получение выплат с возможностью отмены мошеннических запросов;
— повышать безопасность ИИ и использовать его в целях кибербезопасности;
— расширять возможности для наложения санкций за кибератаки.

Эти планы предстоит реализовывать уже администрации Трампа, поэтому они могут претерпеть изменения. Но кибербезопасность в США обычно не вызывает межпартийных разногласий, и между администрациями всегда сохраняется преемственность. По крайней мере с характеристикой Китая Трамп вряд ли будет спорить.

Генпрокуратура признала канадскую компанию OpenText Corporation нежелательной организацией

В России уже вторая западная IT/инфобез компания внесена Генпрокуратурой в список неправительственных организаций, чья деятельность признана в России нежелательной, — OpenText Corporation со штаб-квартирой в Канаде (а также поглощённая ей Micro Focus International). Месяц назад нежелательной была признана деятельность Recorded Future. Обе организации — коммерческие фирмы, а неправительственными организациями они названы по бюрократической логике: закон о нежелательных организациях изначально принимался для борьбы с влиянием западных неправительственных организаций, и именно этим языком пользуется Генпрокуратура. Но, как видно на примере этих двух фирм, сфера нежелательности расширяется.

Обоснование признания деятельности OpenText Corporation нежелательной — сотрудничество с Украиной и Пентагоном (схоже с обоснованием для Recorded Future):

«Неправительственная организация OpenText Corporation, основанная в 1991 году в г. Ватерлоо (Канада), тесно сотрудничает с силовыми структурами США, привлекается к информационно-техническому обеспечению развернутой Западом пропагандистской кампании против России. Является подрядчиком министерства обороны США, поставляет Пентагону программное обеспечение по разграничению доступа и идентификации пользователей компьютерных сетей.

Подразделение этой организации – Micro Focus International, расположенное в Великобритании, предоставляет украинским силовым ведомствам программное обеспечение и услуги киберзащиты, необходимые в процессе сбора данных для нанесения ударов по российским войскам и инфраструктуре».

Micro Focus ушла из России в марте 2022 года (как пишет Алексей Лукацкий, в России был популярен ArcSight SIEM и Fortify, раньше принадлежавшие Micro Focus, а теперь OpenText). В октябре 2022 издание Intelligence Online сообщало, что Micro Focus Group была отобрана для создания threat intelligence платформы для Минобороны Украины. В 2023 OpenText приобрела Micro Focus и рассказала, что после кибератаки на энергосистему Украины в декабре 2015 года Укрэнерго сделала выбор в пользу ArcSight SIEM для своего SOC'а.

В апреле прошлого года МИД России ввёл персональные санкции в отношении пяти представителей Micro Focus Group (в пакете санкций против граждан Великобритании) со следующей аргументацией:

«Среди них [попавших под санкции лиц] сотрудники британских компаний, в частности, Micro Focus, предоставляющих украинским силовым ведомствам программное обеспечение и услуги киберзащиты, необходимые в процессе сбора данных в целях нанесения ударов по российским войскам и инфраструктуре. Деятельность таких IT-компаний, являющихся пособниками неонацистов, приводит к гибели людей и может быть направлена против любой страны, власти которой не будут устраивать англосаксов».

Предположу, что это не последний случай объявления деятельности западных компаний, связанных с информационной безопасностью, нежелательной в России. Например, в прошлом году представители МИД выделяли за помощь Украине чешскую компанию Compelson, производителя софта для для извлечения данных из мобильных телефонов и других устройств MOBILedit. В 2022 Олег Сыромолотов, на тот момент замминистра иностранных дел, связывал Microsoft с IT-армией Украины: «Иными словами, "режим Зеленского" дал американской компании доступ ко всем устройствам связи в стране. Предоставил ей инструменты для слежки, провокаций, осуществления компьютерных атак "под чужим флагом". Судя по всему, пресловутая "ИТ-армия Украины", которая продолжает хвалиться взломами серверов в России, – тоже дело рук "Майкрософт"». В принципе, любые IT- и ИБ-вендоры, работающие на украинском рынке, попадают под критерии нежелательности в России. Но автоматизма здесь нет и, допустим, в случае объявления нежелательной деятельности Microsoft, продуктами которой до сих пор пользуются в том числе российские чиновники, масштаб последствий будет несравним с запретами не работающих в России ИБ-компаний, поэтому этого в ближайшее время я бы не ждал.

Росэлторг возвращается к жизни. Но пока со скрипом: судя по комментариям, пользователи сталкиваются с ошибками, недоступностью разделов, просроченными контрактами. Вчера Росэлторг сообщал о том, какие прорабатываются способы для восстановления процедур электронных торгов.

🪪 Знаете ли вы, как защитить личную информацию в Сети, и кто сейчас находится под прицелом хакеров? Ответ на эти вопросы даст эксперт по кибербезопасности, директор департамента развития технических продаж Innostage Максим Хараск в рамках лекции «Кибербезопасность касается каждого: итоги 2024 года и взгляд в будущее» 18 января.

Еще на встрече мы узнаем:

🤎 С какими вызовами столкнулась ИБ-отрасль за последние три года

🤎 Что изменилось в сфере информационной безопасности в 2024 году

🤎 Как на рынок отечественных ИБ-продуктов повлиял уход зарубежных компаний

🤎 Какие технологии шагнули вперед, а где еще нужно наверстывать?

🤎 Что ожидает ИБ-отрасль в новом году?

⏳ Начало в 15.00

Зарегистрироваться можно тут.

Небольшой отчёт от Positive Technologies о фишинговых атаках той же группы (Sticky Werewolf/PhaseShifters), о которой сегодня рассказали и исследователи F.A.C.C.T., с дополнительными примерами файлов-приманок.

Дополнение: опять же по эффекту атака в Словакии больше похожа на атаку на Росэлторг, из-за которой по всей стране были приостановлены электронные торги; работа площадки не возобновлена спустя неделю после атаки. Однако я сомневаюсь, что словацкий министр имел в виду этот инцидент. Росэлторг сообщил о внеплановых работах 9 января, а в российских СМИ одна из первых новостей об этом (без упоминания хакерской атаки) появилась только вечером в пятницу, уже после заявлений словацких властей. Так что, думаю, что всё-таки он имел в виду именно утечку Росреестра, хотя по эффекту (о котором Такач, впрочем, не говорил) больше похоже на атаку на площадку электронных торгов.

Кто хакнул Словакию

С прошлой недели Словакия переживает последствия, наверное, крупнейшего киберинцидента в своей истории, у которого есть и международное измерение.

В понедельник 6 января Управление геодезии, картографии и кадастра (ÚGKK) объявило о техническом сбое всех систем и сервисов, находящихся в его ведении. Через пару дней официальной причиной сбоя была названа кибератака. Согласно руководителю компании IstroSec, нанятой для реагирования на инцидент, Лукашу Главичке, ведомство подверглось атаке с помощью программы-шифровальщика утром 5 января; он также косвенно подтвердил, что злоумышленники потребовали выкуп (СМИ сообщают о сумме в 12 млн долларов).

На протяжении нескольких дней не работал кадастр недвижимости и информационные системы Словакии. Из-за сломанного кадастра оказались ограничены не только функции местных органов власти, завязанные на соответствующие системы, но и некоторые банковские операции с недвижимостью. Так, невозможно было передавать права на собственность, регистрировать и аннулировать залоги, устанавливать и отменять сервитуты. Возникли проблемы с оформлением ипотеки. Согласно СМИ, на протяжении нескольких дней было остановлено строительство в связи с тем, что для определения, где можно вести работы, используется одна из систем ÚGKK.

На этой неделе постепенно возобновляют работу закрытые после инцидента региональные кадастровые офисы. Однако пока всё работает не особо гладко, а полное восстановление может занять ещё немало времени.

А теперь о международной стороне инцидента. В пятницу министр сельского хозяйства Словакии Ричард Такач заявил после встрече Совета безопасности:

«Похожая атака была осуществлена в среду (8 января) и четверг (9 января) в Российской Федерации против такой же инфраструктуры, и есть серьёзные основания и подозрения, что такие атаки, вероятно, шли со стороны Украины».

В тот же день о возможном украинском следе как одной из версии расследования заявил премьер-министр Словакии Роберт Фицо. А Словацкая национальная партия (националистическая партия, входящая в правящую коалицию) потребовали от министра иностранных дел вызвать посла Украины для разъяснений.

Здесь я прежде всего обратил внимание на упоминание России. По словам Такача, в России произошла атака на такую же инфраструктуру. Вероятно, он имел в виду сообщение о сливе данных Росреестра (Федеральной службы государственной регистрации, кадастра и картографии), аналога ÚGKK. Это не совсем бьётся по датам, поскольку данные, якобы украденные у Росреестра, были слиты 7 января, а Такач говорит про 8 и 9 января. Но это можно списать на то, что информация об этой утечке достигла Словакии с задержкой.

Но важнее то, что примерной эквивалентностью целей (национальные кадастровые службы) сходство и заканчивается. Так, предполагаемая утечка из Реестра до сих не была подтверждена, само ведомство её отрицает, а никаких сбоев систем, сопоставимых тому, что происходит в Словакии, не наблюдалось. В этом плане по своему эффекту атака на словацкий кадастр имеет большее сходство с декабрьской атакой на украинские госреестры, где также из-за недоступности данных было нарушено оказание многие госуслуг. Естественно, такое сходство прежде всего указывает на то, что национальные системы могут быть схожим образом уязвимы, но совсем не обязательно такие за такими атаками стоят одни и те же группировки. В случае Словакии, по первым сообщениям, речь идёт о шифровании с целью получения выкупа, в то время как упомянутые атаки на украинские и российские реестры (если последняя подтвердится) были политически мотивированы.

Есть ли какие-то технические признаки, что атака шла из Украины, пока неизвестно. Но, вероятно, публичное выдвижение такой версии словацкими властями во многом объясняется политическими факторами. Между Братиславой и Киевом в последние недели обострился конфликт из-за украинского решения прекратить транзит российского газа в Словакию. Фицо ищет рычаги для давления на Украину, стороны обмениваются резкими заявлениями, поэтому неслучайно, что крупную кибератаку в Словакии тоже стали рассматривать в этом контексте.

⚡️ Украинские кибершпионы от лица Минпромторга пытались атаковать российские предприятия. Приманка — работа с осужденными.

13 января решение по выявлению сложных киберугроз F.A.C.C.T. Managed XDR перехватило и заблокировало одно из писем фишинговой рассылки якобы от Минпромторга РФ. Их отправляла проукраинская кибершпионская группа Sticky Werewolf.

Поддельный Минпромторг предлагал размещать заказы предприятий ОПК в учреждениях ФСИН с привлечением осужденных. Специалисты нашего Центра кибербезопасности провели анализ атаки и обнаружили в письмах файл для скачивания с сюрпризом — трояном удаленного доступа Ozone RAT.

❗️ Кстати, мы вновь убедились, что от компрометации данных часто может спасти элементарная внимательность. Например, в упомянутых письмах некорректно указана должность Дениса Мантурова, а еще разнятся даты. Но если вы пока не натренировали внимание к деталям, не переживайте — решения F.A.C.C.T. работают без выходных.

🤭 F.A.C.C.T. Борьба с киберпреступностью

Интересно, что, когда в России что-то происходит с интернетом, сразу и не скажешь, что это: техническая ошибка, атака хакеров или суверенитет подкручивают.

Новосибирцы узнали секрет результативной информационной безопасности и уверенно двигаются против тренда.

Le Monde обнаружила, что французские военные непреднамеренно раскрывали святая святых — информацию о стратегических силах Франции, а именно сведения о дежурстве атомных подводных лодок с баллистическими ракетами (ПЛАРБ). Виновато — опять! — фитнес-приложение Strava. Журналисты нашли 450 профилей пользователей Strava, совершавших тренировки на полуострове Иль-Лонг, где расположена база ВМФ Франции, за последние 10 лет. Некоторых из них удалось идентифицировать как подводников. Уже эта информация позволяет узнать чувствительные сведения. Например, некто Поль бегал до 3 февраля 2023 года, потом пропал и возобновил пробежки 25 марта. Идентичные пробелы в тренировках обнаружились и у пользователей Артура и Шарля. Скорее всего это объясняется выходом на дежурство на борту ПЛАРБ (а в 2022 году Поль объяснил своё исчезновение из Strava тем, что «трудно вернуться к привычному ритму после более чем двух с половиной месяцев в заднице», сопроводив это эмодзи с пузырьками и маской для подводного плавания). Всего таким образом журналисты смогли установить примерные даты дежурства четырёх подводных лодок.

Впервые Strava оказалась в центре внимания в таком контексте 7 лет назад. На тепловой карте приложения, составленной на основе пользовательских тренировок, обнаружились американские военные базы: военнослужащие отслеживали свой прогресс, тренируясь с фитнес-браслетами и одновременно рисуя на карте контуры известных и секретных объектов. Последовавший скандал спровоцировал пересмотр Пентагоном правил относительно использования военнослужащими умных устройств. А Strava пообещала упростить настройки конфиденциальности — теоретически передачу данных можно было ограничить и прежде, но по умолчанию данные передавались в видимый всем профиль и на тепловую карту. Впрочем, в последующие годы появлялись новые примеры того, что люди, чьё местоположение должно оставаться тайной, охотно делятся им с мобильным приложением. Осенью та же Le Monde рассказала о возможности отслеживать через Strava окружения Владимира Путина, Эмманюэля Макрона и Джо Байдена.

Microsoft подала в суд на хакеров, злоупотребляющих Azure AI

Компания Microsoft сообщила о том, что преследует в судебном порядке некую «иностранную группировку». Хакеры работали по схеме взлом-как-услуга и умышленно обходили защиту генеративного ИИ, чтобы создавать оскорбительный и вредоносный контент.

https://xakep.ru/2025/01/13/azure-ai-abuse/

Атака на Росэлторг

Уже 5 день из-за кибератаки не работает сайт крупнейшего оператора электронных торгов Росэлторга. 9 января организация сообщила о временном ограничении доступа к сервисам в связи с внеплановыми работами. Но сегодня наконец объяснила их «внешней попыткой уничтожения данных и всей инфраструктуры проведения электронных торгов». Утверждается, что все данные и инфраструктура восстановлены, и торги возобновятся в ближайшее время.

Ответственность за взлом взяла на себя ранее не известная группа/канал Yellow Drift. Телеграм-канал создан 9 января, пост о взломе опубликован вечером того же дня. В качестве подтверждения приложены скриншоты из Active Directory и программ управления виртуальными машинами якобы из инфраструктуры Росэлторга. Злоумышленники заявили об удалении 550 ТБ данных, в т.ч. почты, бэкапов. В посте кибератака связывается с войной. С 10 января информация из поста со ссылкой на канал Yellow Drift появляется в украинских телеграм-каналах.

Клиентами электронной площадки являются сотни тысяч организаций (заказчиков в виде госорганов, госкомпаний, предприятий и поставщиков), и продолжительный сбой грозит многим из них срывом сроков закупок. Эта проблема будет решаться сразу для всех затронутых клиентов: Росэлторг сообщил о решении ФАС переносить процедуры после того, как торги возобновятся.

В Росреестре заявили, что не подтверждают данные об утечке данных из Единого государственного реестра объектов недвижимости (ЕГРН).

«В настоящее время проводятся дополнительные проверки информации, опубликованной в ряде телеграмм-каналов», — говорится в сообщении.

Ранее телеграм-канал «Утечки информации» сообщил, что хакеры разместили объявление, в котором утверждают, что выкачали данные Росреестра на 1Тб, также они разместили в свободном доступе архив с базой данных, содержащей ФИО, адреса электронной почты, номера телефонов, адреса, паспортные данные, СНИЛС и названия компаний.

Хакеры утверждают, что им удалось выкачать данные Росреестра.

Заявляется, что получен доступ к более чем 2 млрд строк, общим размером около 1 Тб. 🔥

В качестве доказательства своих слов, хакеры опубликовали в свободном доступе ссылку на скачивание фрагмента базы данных, содержащего 81,990,606 строк:

🌵 ФИО
🌵 адрес эл. почты (401 тыс. уникальных)
🌵 телефон (7,5 млн уникальных)
🌵 адрес
🌵 паспорт (серия/номер, кем и когда выдан)
🌵 дата рождения
🌵 СНИЛС
🌵 дата
🌵 компания

❗️Более 12,5 тыс. вхождений слова rosreestr в адресах эл. почты и более 1,1 тыс. эл. почт в домене @rosreestr.ru.

Самая "свежая" запись в этом фрагменте датируется 10.03.2024.

Причиной массового сбоя в работе интернет-сервисов стала авария, которая произошла на магистральной сети у одного из операторов связи, сообщил Роскомнадзор. О каком операторе идет речь, служба не уточняет. В Роскомнадзоре отметили, что авария устранена, работа сервисов восстанавливается. Пользователи ранее сообщили о сбое в работе МТС

📱Наблюдаются сбои в работе сервисов МТС, сообщается на сайте «Сбой. рф». Зафиксировано более 21 тыс. жалоб.

По данным downdetector, нарушения в работе также наблюдаются в таких сервисах, как МТС Банк, Google, Rutube, Kion.

@kommersant

В ноябрьском отчёте «Солара» пусть осторожно, но всё-таки отмечена очевидная, но особо не проговариваемая связь кибератак с военными действиями. Может, кибервойну и сложно в строгом смысле назвать войной, но она является продолжением текущего конфликта и не прекратится, пока он не будет урегулирован. С другой стороны, на фоне гибели людей и разрушений это проблема далеко не первого порядка. Хочется пожелать россиянам и украинцам скорейшего завершения бессмысленного кровопролития. С наступающим!

НКЦКИ и Positive Technologies заключили бессрочное соглашение о сотрудничестве в области обнаружения, предупреждения и ликвидации последствий компьютерных атак. Месяц назад сообщалось о расторжении предыдущего соглашения.

Инициированная Россией конвенция против киберпреступлений принята Генассамблеей ООН
https://www.tadviser.ru/a/53662

❗️Правительство запретило IP-телефонию - звонки через интернет на мобильные и стационарные телефоны. Лицензия на такую деятельность исключается из списка лицензий на оказание услуг связи. Решение кабмин объяснил борьбой с телефонными мошенниками.

История ДМИБ

Сегодня исполняется 5 лет Департаменту международной информационной безопасности (ДМИБ) МИД России. Указ о его создании был подписан 27 декабря 2019 года. По такому поводу решил восстановить историю, как появилось это подразделение и как происходила институционализация проблематики международной информационной безопасности (МИБ) в МИДе.

В 1990-х годах, задолго до появления аббревиатуры МИБ, в России начали рассматривать информационную безопасность через призму контроля над вооружениями. В публикациях и выступлениях того времени поднимались проблемы информационного оружия и информационных войн. В восприятии военно-политических экспертов гонка вооружений и компьютеры могли быть тесно переплетены ещё с 80-х, когда опасность компьютерного сбоя обсуждалась, например, в контексте американской программы СОИ.

Естественным образом тема контроля над новым видом вооружений изначально попала в профильный департамент МИДа — Департамент по вопросам безопасности и разоружения (ДВБР; в 2014 переименован в Департамент по вопросам нераспространения и контроля над вооружениями, ДНКВ). Одно из ранних свидетельств этого — статья Андрея Крутских, тогда начальника отдела в ДВБР, в журнале «Международная жизнь» в 1999 году под названием «Информационный вызов безопасности на рубеже XXI века». В ней упомянуты запуск первой резолюции по этой теме в ООН в 1998 году, а также двусторонние переговоры с США, основным результатом которых к тому моменту было совместное заявление Ельцина и Клинтона об общих вызовах безопасности на рубеже XХI века.

В 2002 году Андрей Крутских был назначен заместителем директора ДВБР. В этой должности он участвовал в работе первой Группы правительственных экспертов ООН в 2004-2005 годах в качестве эксперта от России и председателя группы. На национальном уровне сотрудники ДВБР представляли МИД в различных межведомственных рабочих группах, касающихся регулирования интернета. Как организационно была устроена работа в ДВБР, можно только предполагать, но тема информационной безопасности тогда ещё была довольно нишевой, поэтому вряд ли ей занималось много сотрудников.

В 2009 году в МИДе произошла первая реорганизация, касающаяся МИБ: эта проблематика была перенесена из ДВБР в Департамент по вопросам новых вызовов и угроз (ДНВ). Об этом свидетельствует назначения Андрея Крутских заместителем ДНВ в том же году. А новым директором департамента стал Илья Рогачёв. ДНВ на тот момент был относительно молодым департаментом. В июле 2001 года в МИДе было создано Управление по вопросам новых вызовов и угроз, в сферу ответственности которого попали такие условно новые международные проблемы, как терроризм и организованная преступность. После терактов 11 сентября 2001 года управление было повышено до уровня департамента. Перенос информационной безопасности в ДНВ несколько отдалял её от традиционной военно-политической повестки дня и сближал с другими транснациональными угрозами, природа которых могла иметь негосударственный характер.

В марте 2012 года Андрей Крутских стал спецкоординатором МИД по вопросам политического использования информационно-коммуникационных технологий. А в начале 2013 года появилась информация о предстоящем создании при ДНВ отдела по вопросам международной информационной безопасности — по сути, прообраза будущего департамента.

В начале 2010-х Россия выступила с рядом дипломатических инициатив по МИБ. Внутри страны этой теме стало уделяться более серьёзное внимание: в 2013 был принят отдельный документ стратпланирования по МИБ (Основы государственной политики). Согласно нему, МИД был назначен координировать деятельность госорганов в сфере МИБ. В феврале 2014 года Андрей Крутских получил ещё одно назначение: специального представителя президента по вопросам международного сотрудничества в области информационной безопасности.

Наконец, в 2019 году проблематика информационной безопасности была повышена до отдельного департамента — ДМИБ. Его первым директором стал, конечно же, Андрей Крутских (см. его интервью вскоре после назначения), а в 2022 году ему на смену пришёл нынешний директор Артур Люкманов.

На прошлой неделе Минюст США выдвинул обвинения в адрес Ростислава Панева, гражданина России и Израиля, в причастности к разработке программы-шифровальщика LockBit. Документ с обвинениями (complaint) весьма интересен, особенно в контексте темы, на которую я выступал в прошлую пятницу, — как США расследуют транснациональные киберпреступления. Из него также становится понятно, почему Генпрокуратура Израиля совсем не против экстрадиции Панева в США. В частности, он признался израильским властям в получении денег за разработку LockBit, а на его компьютере были найдены учётные данные для доступа в панель управления LockBit и в репозиторий с исходным кодом LockBit и StealBit.

На стр. 2-6 приведены обвинения в адрес Панева. На стр. 7-28 описано, что такое программы-шифровальщики, как работала и кого атаковала группировка LockBit и её партнёры. Здесь можно найти некоторые подробности операции Великобритании, США и прочих против LockBit в феврале 2024 года и связанного с этим расследования. Так, в пункте 29 рассказывается, как американские власти смогли получить доступ в панель управления LockBit, сгенерировали себе билд программы и в качестве теста пошифровали один свой компьютер. Как уже сообщалось, правоохранители обнаружили, что данные жертв, заплативших выкуп, не удалялись с сайта вопреки обещаниям. В документе сказано, что властям США известно о 5 версиях LockBit, кроме того, они выяснили, что разработчики группировки работали над версиями шифровальщика для двух сервисов виртуализации, Proxmox и Nutanix.

На стр. 29-48 приведены свидетельства против Панева (см. картинку). Согласно документу, американские власти вышли на него, обнаружив, что он обменивался личными сообщениями с Дмитрием Хорошевым (его США считают лидером LockBit) на неком хакерском форуме, в т.ч. касательно разработки вредоносного ПО (как именно получены эти сообщения, не раскрывается). Также они отследили переводы в биткоинах от LockBit Паневу и по ордеру получили доступ к его аккаунту в iCloud, откуда смогли выудить некоторые в меру релевантные артефакты и обнаружить связку (по IP-адресу) с учётной записью, которая использовалась для общения по хакерским делам. С этой информацией в августе 2024 американские правоохранители обратились к израильским коллегам. Те провели обыск дома у Панева в Израиле и обнаружили на его компьютер файл с учётными данными и передали его США. Американцы смогли с помощью учётных данных войти в панель управления LockBit — из документа непонятно, действующая панель или то, что было конфисковано. (В панели якобы был указан хэндл для общения с Паневым в неком мессенджере, хэндл начинался с "FUCKFBI", что показалось составителям документа заслуживающим упоминания.) Также в документе с учётными данными был обнаружен логин для .onion-сайта, где был размещён репозиторий с исходным кодом нескольких билдеров LockBit и инструмента для кражи данных StealBit.

После обыска Панев был задержан израильскими властями и, как утверждается, дал показания, подтверждающие связь с LockBit, в частности выполнение за плату задач по написанию кода для шифровальщика.

Будут ли эти основания достаточными для экстрадиции Панева в США, решит окружной суд Иерусалима в следующем году.

МИД опубликовал сообщение по поводу принятия Генассамблеей ООН Конвенции против киберпреступности, разработка которой началась с российской инициативы.

В частности, сказано, что в Конвенции «[з]акрепляется цифровой суверенитет государств над своим информационным пространством». Этот момент был одним из ключевых для российской стороны: в 2000-х Россия отказалась присоединяться к Будапештской конвенции Совета Европы именно по той причине, что она допускала (согласно п б) ст. 32) действия правоохранительных органов одной страны в сетях другой без получения разрешения, то есть размывала суверенитет (подробнее см. здесь). В новой конвенции защите суверенитета посвящена статья 5.

Если в части суверенитета Россия смогла закрепить свою позицию, то добиться широкого охвата конвенции ей не удалось. По сути, новая конвенция криминализует те же деяния, что и Будапештская конвенция. Но МИД рассчитывает, что в будущем охват всё же можно будет расширить — путём принятия дополнительного протокола к конвенции:

«В перспективе сфера охвата соглашения может быть расширена за счёт разработки протокола по дополнительным составам преступлений. В фокусе — борьба с использованием ИКТ в террористических и экстремистских целях, а также торговля наркотиками и оружием».

Сделать это теоретически можно будет, когда конвенция вступит в силу и соберётся конференция участников. На практике же это, вероятно, будет сложно, поскольку консенсус был достигнут именно по узкому охвату киберпреступлений, то есть значительную часть стран (прежде всего Запад) это устраивает. России придётся либо переубеждать их, либо принимать доппротокол только вместе со странами-единомышленниками, но в ущерб универсальности конвенции.

Листая старые журналы, обнаружил неочевидный юбилей. 30 лет назад, 22 декабря 1994 года, Межведомственная комиссия Совета безопасности России рассмотрела проект концепции информационной безопасности. Не могу на 100% ручаться, но, возможно, это была первая версия концепции. Текст этого проекта доступен здесь. Этот документ обсуждался в разных форматах всю вторую половину 90-х годов и только в 2000 году был принят в качестве официального документа — но не концепции, а Доктрины информационной безопасности.

Что интересно, в Доктрине 2000 года были смягчены некоторые формулировки, которые были в проекте 1994 года. Например, в первой версии трижды упоминаются США, а именно «стремлени[е] США и других развитых стран к информационному доминированию» и дважды «информационная экспансия США и других развитых стран, осуществляющих глобальный мониторинг мировых политических, экономических, военных, экологических и других процессов, распространяющих информацию в целях получения односторонних преимуществ». К 2000 году прямых упоминаний США не осталось, но в числе внешних источников угроз упоминалось «стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков».

Генассамблея ООН приняла новую Конвенцию против киберпреступности. Процедура прошла этой ночью или днём по Нью-Йорку. Резолюция о конвенции была принята консенсусом, то есть без голосования, как до этого произошло и в профильном Третьем комитете Генассамблеи. Итоговый проект можно посмотреть здесь.

Подробно об этой конвенции и её предыстории я рассказывал в отдельной статье. Идею нового глобального инструмента по борьбе с киберпреступностью Россия начала продвигать с 2010-х годов. Формально процесс разработки документа был запущен почти ровно пять лет назад, в декабре 2019 года, когда в Генассамблее была принята резолюция о создании спецкомитета по подготовке конвенции.

На вчерашнем заседании непосредственно перед принятием конвенции выступила Россия на правах инициатора переговоров. В этой речи отражены смешанные эмоции российской стороны по поводу конвенции: с одной стороны, итоговый текст не лишён изъянов, с другой, хорошо, что его приняли, ведь он создаёт возможности для сотрудничества: «Запуск механизмов, предусмотренных Конвенцией, позволит нанести сокрушительный удар по информационной преступности, масштабы которой увеличиваются в геометрической прогрессии».

Церемония подписания конвенции пройдёт в 2025 году в Ханое.

Если более серьёзно, то новость об обсуждении правительством возможности блокировки звонков в мессенджерах (безотносительно того, будет в итоге это реализовано или нет) — это очень яркая иллюстрация мысли, что если у тебя есть молоток, то любая проблема выглядит как гвоздь*. Российские власти так много инвестировали в построение суверенного интернета и инфраструктуру для фильтрации информации, что теперь есть соблазн применять этот инструмент к любым проблемам, например к мошенничеству.

Нетрудно заметить, что это стало бы попыткой решить проблему в нижней части течения, то есть когда злоумышленники уже нашли цель и готовятся провести атаку. Однако успех мошеннических схем зависит не только и не столько от канала коммуникации, сколько от качественной подготовки и изучения жертвы. Атаки не были бы столь успешны и многочисленны, если бы в распоряжении мошенников (а по сути любого желающего) не было такого огромного объёма персональных данных.

Хотя бы немного погрузившись в тему утечек персданных, нельзя не поразиться насколько плачевна ситуация в России. Из-за бесчисленных успешных взломов и сливов баз данных, а также с помощью разнообразных сервисов злоумышленникам не составляет труда составить базовый профиль на свою жертву (ФИО, контактные данные, родственники, адрес и телефон, наличие счетов в банках и пр.), что существенно повышает эффективность социальной инженерии для кражи денег или в других целях (см. диверсии).

Проблема утечек персданных — в верхней части течения. Она вроде бы признаётся, но в основном в декларативном порядке: данные всех россиян доступны в интернете. Хорошо, и что дальше? Если бы на решение этой проблемы направлялись ресурсы, которые были потрачены и продолжают тратиться на блокировку сайтов и сервисов, то ситуация была бы иной.

Конечно, нельзя сказать, что ничего не делается. Например, увеличение штрафов за допущение утечек создаёт стимул для организаций больше инвестировать в обеспечение безопасности. Но, по сути, государство усилило кнут, но не предложило пряник, поэтому стимул получился неоднозначный. Он также будет подталкивать организации к сокрытию инцидентов и перекладыванию ответственности. Также по-прежнему ничего не сделано для того, чтобы граждане были в курсе того, что их данные из какого-то сервиса утекли: у организаций нет обязанности уведомлять клиентов (и они, как можно судить, этого чаще всего и не делают), более того, они не несут никакой ответственности, если публично будут сообщать недостоверные сведения об утечке.

Ещё есть такой инструмент, как дипломатия. Если мошенники действуют из другой юрисдикции, то привлечь их к ответственности можно через международное сотрудничество.

______________
* Мысль про молоток сформулировал тот же самый Маслоу, который придумал и популярную пирамиду потребностей.

Посетил с официальным визитом музей истории связи Узбекистана.

Помните, 7-го ноября ЦМУ ССОП, находящийся в ведении подведомственного Роскомнадзору ГРЧЦ, рекомендовал владельцам информационных ресурсов отказаться от использования услугами CloudFlare? 😠 И можно было бы забыть про эту новость, если бы подписчик, за что ему спасибо, не обратил мое внимание на вопиющий факт. Один из сайтов ГРЧЦ по-прежнему продолжает использовать сервисы Cloudflare, о чем ярко свидетельствуют результаты запросов WHOIS через Техцентр Интернет (ТЦИ) 🤠 То есть кому-то все-таки можно? Может и средства обхода блокировок в ГРЧЦ используют, чтобы на YouTube 📱 ходить?

И спрашивается... какого хрена?! 😡

Время статистики

В этом году, по итогам 9 месяцев, было совершено 564 тыс. преступлений в сфере IT, рост составил 15,3% по сравнению с 2023 годом. Из всех преступлений это более 40% инцидентов.
Общий ущерб от них достиг 150 млрд. руб. только к сентябрю — данные Следственного комитета.

Шифровальщики против водки

В США подали на банкротство две дочерние компании Stoli Group (Люксембург) — владельца бренда водки Stolichnaya. Согласно заявлению Криса Калдвела, президента Stoli Group USA и Kentucky Owl, одним из оснований банкротства стала кибератака:

«В августе 2024 года в результате компрометации данных и атаки с использованием программы-шифровальщика в ИТ-инфраструктуре Stoli Group произошёл серьёзный сбой. Атака вызвала существенные проблемы в работе всех компаний, входящих в Stoli Group, включая Stoli USA и [Kentucky Owl], поскольку система планирования ресурсов предприятия (ERP) Stoli Group была выведена из строя, а большинство внутренних процессов Stoli Group (включая бухгалтерские функции) были переведены в ручной режим. Эти системы будут полностью восстановлены не ранее первого квартала 2025 года».

Помимо кибератаки трудности, с которыми столкнулись американские дочки Stoli Group, объясняются многолетним спором с российским правительством по поводу брендов Stolichnaya и Moskovskaya, а также инфляцией и общим состоянием мировой экономики.

ГРЧЦ расставит приманки в сети

ГРЧЦ закупит право использования на ПО для предотвращения атак с помощью технологии киберобмана.

Программа реализует функционал системы раннего обнаружения атак, предназначенной для раннего обнаружения целевых атак на корпоративную сеть компании.
Принцип работы заключается в распространении приманок в корпоративной сети компании и своевременном реагировании на события безопасности, которые связаны с использованием злоумышленниками распространенных приманок

На покупку выделено 13 400 000,00 ₽.

«НКО «Фонд православного телевидения», которому принадлежит телеканал «Спас», обвинил Alphabet Inc. (материнская компания Google) в «систематическом и намеренном» неисполнении обязательств по раскрытию информации в рамках публичной отчетности. В заявлении, направленном 11 ноября фондом в Комиссию по ценным бумагам и биржам США (SEC), указано, что американская корпорация скрыла информацию об объеме и характере своих финансовых обязательств перед российскими телеканалами, несмотря на то что она является существенной для акционеров Alphabet (копия документа есть у РБК, его подлинность подтвердил источник, знакомый с ходом дела)».

https://www.rbc.ru/technology_and_media/03/12/2024/674d5e1d9a794708b5f13674

Россия представила в ООН «Обзор соответствия нормативно-правовых актов и доктринальных документов Российской Федерации согласованным в ООН добровольным правилам, нормам и принципам ответственного поведения государств в области международной информационной безопасности».

Если совсем кратко, то национальные НПА и доктринальные документы ооновским добровольным нормам соответствуют.

Если более развёрнуто, то нужно сначала вспомнить, о каких нормах идёт речь.

Свод так называемых кибернорм появился в 2015 году в докладе действовавшей под эгидой ООН Группы правительственных экспертов (ГПЭ). Официально они наименовались так: «рекомендации в отношении добровольных и необязательных норм, правил или принципов ответственного поведения государств, призванных способствовать обеспечению открытой, безопасной, стабильной, доступной и мирной ИКТ-среды». Всего эксперты согласовали 11 норм. Они были приведены в параграфе 13 под буквами от a) до k). Идея заключалась в том, что этими нормами государства могут руководствоваться, чтобы избежать конфликтов, но при этом нормы остаются добровольными, поскольку часть стран не готовы брать на себя юридические обязательства. Набор норм был довольно широким, от укрепления стабильности и необходимости изучить всю информацию в случае атрибуции до реагирования на просьбы об оказании помощи, недопущения использования своей территории для ведения кибератак, обеспечения безопасности цепочек поставок, ответственного раскрытия уязвимостей и т.д.

В 2018 году по инициативе России Генассамблея ООН приняла резолюцию, в которой перечислялись уже 13 норм (примерно те же, но с переделанными формулировками).

В 2021 году завершили свою работу первая Рабочая группа открытого состава (РГОС) и очередная ГПЭ, и обе группы поддержали идею добровольных норм ответственного поведения, но по-разному. В докладе РГОС упомянуты 11 норм из доклада 2015 года, но одновременно признаются положения резолюции 2018 года, в которой 13 норм. Доклад ГПЭ добавил дополнительный уровень понимания для каждой из 11 норм.

Сколько же в итоге этих норм? Чаще всего упоминаются оригинальные 11 норм. Но они были выработаны только экспертами из 20 стран. Список из 13 норм был принят в составе резолюции Генассамблеи, за которую проголосовало большинство стран, то есть формально он получил более широкую поддержку.

Прошедшим летом в рамках действующей РГОС был предложен «Добровольный контрольный перечень практических действий по реализации добровольных, не имеющих обязательной силы норм ответственного поведения государств при использовании ИКТ» (приложение А к ежегодному докладу). Это такой чеклист, где для каждой из 11 (не 13) норм предложен список действий, которые государство может предпринять на национальном и международном уровнях.

Именно в этом контексте российская делегация представила обзор, не руководствуясь однако контрольным перечнем, потому что в нём не 13, а 11 норм.

В содержательном плане документ выглядит следующим образом: для каждой из 13 норм составители приводят релевантные выдержки из документов стратегического планирования, таких как Стратегия национальной безопасности 2021 года, Доктрина информационной безопасности 2016 года, Основы государственной политики в области международной информационной безопасности 2021 года; федеральных законов, в т.ч. №126-ФЗ «О связи», №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»; УК, УПК и пр. Можно сказать, что проведена формальная проверка, есть ли в российских документах то, что соответствует ооновским нормам ответственного поведения, и по всем пунктам соответствие формально продемонстрировано.

Что бросилось в глаза: по норме 11 (ответственное представление информации о факторах уязвимости в сфере ИКТ / responsible reporting of ICT vulnerabilities) составители обзора приводят выдержки, касающиеся не раскрытия уязвимостей, а обмена информацией о компьютерных инцидентах, то есть из другой оперы. При том что Россия — одна из немногих стран наряду с США и Китаем, у которых есть национальная база уязвимостей и соответствующее нормативное основание.

Первые результаты работы реестра контактных пунктов ООН неутешительны. По словам представителя российской делагации в Рабочей группы открытого состава Ирины Тяжловой, за более чем полгода с момента запуска этой сети контактов Россия не получала уведомлений от стран, которые выдвигают обвинения против неё:

"Вновь обращаем внимание на то, что никаких доказательств причастности России к компьютерным атакам представлено не было, обращений по двусторонним и многосторонним каналам не поступало. Показательно, что глобальный межправительственный реестр контактных пунктов работает с мая 2024 года – и никаких запросов от якобы пострадавших мы за данный период не получали. Все это говорит о том, что эти страны заинтересованы не в расследовании инцидентов, а лишь в мегафонной дипломатии".

Использовала ли Россия реестр контактных пунктов для уведомления стран Запада перед своими обвинениями, не уточняется, но предположу, что тоже нет. Чуть более развёрнуто писал об этой проблеме весной.

Немного рекламы на тему кибербезопасности и ИИ.

Уточнение по поводу вчерашней новости о деле «Гидры». В СМИ создателем площадки назван Станислав Моисеев. Однако в 2022 году одним из основателей Hydra называли не его, а Дмитрия Павлова. В начале апреля 2022 одновременно с немецкой операцией против «Гидры» Минюст США выдвинул обвинения против Павлова, назвав его администратором площадки. Вскоре после этого Павлов был арестован в Москве. Согласно «Коммерсанту», Павлов и его предполагаемый сообщник Борис Губко проходили по тем же статьям, что и другие осуждённые по делу «Гидры», но их дело не дошло до суда.

Совсем не следил за делом Hydra, но по нему только что были вынесены приговоры 16 фигурантам. Станислав Моисеев, которого признали организатором площадки, приговорён к пожизненному лишению свободы и штрафу в 4 млн рублей; 15 человек приговорены к срокам от 8 до 23 лет в колонии особого и строгого режима. Дела ещё двух фигурантов до суда пока не дошли.

«Гидру» закрыли в 2022 году власти Германии, на территории которой была расположена инфраструктура маркетплейска. Однако, согласно МВД России, информацию о наличии серверов в Германии немцам передали российские коллеги. Подробнее об этом сообщалось ещё весной:

«Уголовные дела, связанные с незаконной деятельностью даркнет-площадки, полицейские расследовали с 2016 года. В 2021 году дела о преступном сообществе, которое создало и обслуживало платформу, переданы в Следственный департамент МВД России. Следователи и оперативники установили, что серверы, которые обеспечивают функционирование интернет-магазинов, работают на территории Германии. В начале 2022 года сотрудниками полиции во взаимодействии с иностранными коллегами проводились мероприятия по пресечению противоправной деятельности платформы Hydra. С зарубежными партнерами были достигнуты договоренности о порядке документирования деятельности группировки и сроках задержания ее участников. Однако правоохранительными органами Германии принято решение о прекращении взаимодействия с Россией.

Ими в одностороннем порядке были изъяты серверы маркетплейса, которые располагались на территории ФРГ, а все совместно наработанные материалы переданы представителям США. Как отметили в МВД, мировыми СМИ роль правоохранительных органов России в ликвидации транснациональной криминальной структуры Hydra умышленно умалчивалась. Кроме того, отказ иностранных коллег от сотрудничества с Россией стал причиной, по которой часть причастных к созданию и администрированию интернет-площадки лиц оставались неустановленными».

«Лаборатория Касперского» обнаружила целевые атаки на российские компании, занимающиеся автоматизацией бизнеса

Эксперты «Лаборатории Касперского» обнаружили целевые атаки на российские компании, занимающиеся продажей и сопровождением ПО для автоматизации бизнеса. Для заражения злоумышленники использовали ранее неизвестный бэкдор (вредоносную программу, предназначенную для скрытого удалённого управления устройством) BrockenDoor, а также уже хорошо известные бэкдоры Remcos и DarkGate. В результате они могли получать доступ к устройствам жертв и похищать конфиденциальные данные.

Подробнее читайте в новости.

Арестованы активы обвиняемых по делу криптовалютной биржи Cryptex.

"Материалы уголовного дела криптовалютной биржи Cryptex, участники которой обвиняются в извлечении преступного дохода, переданы для дальнейшего расследования в центральный аппарат Следственного комитета РФ, - сказал собеседник агентства. - В рамках предварительного следствия по делу на установленные следователями активы, банковские счета и другую недвижимость столичными судами наложен обеспечительный арест".

«Нужны собственные платформы для искусственного интеллекта, нужны собственные языки разработки, технологии разработки собственной, которых у нас вообще-то нет совсем. Мы сидим полностью на иностранном. И то и другое, кстати, характерно тем, что оно коммерчески невыгодно, т. е. если это отдать на откуп рынку, рынок не сделает ничего. И кто должен этим заниматься? Наверное, государство должно заниматься», – сказала Касперская.

https://www.vedomosti.ru/technology/articles/2024/12/02/1078421-natalya-kasperskaya-predlozhila-gosudarstvu-profinansirovat-sozdanie-yazika-razrabotki-dlya-ii

Новый комитет ООН займется защитой подводных кабелей

Международный союз электросвязи (МСЭ) ООН при участии Международного комитета по защите кабелей (International Cable Protection Committee, ICPC) сформировали консультативный орган в сфере устойчивости подводных кабелей
- International Advisory Body for Submarine Cable Resilience.

Как отмечают в ООН, в год фиксируется от 150 до 200 аварий, связанных с подводными кабелями. При этом по подводным линиям связи передаётся до 99% всех данных в мире.

Новый орган займётся вопросами повышения устойчивости кабелей путём распространения знаний о передовом опыте среди правительств и участников этого рынка.

- https://www.itu.int/en/mediacentre/Pages/PR-2024-11-29-advisory-body-submarine-cable-resilience.aspx#/ru
- https://www.itu.int/en/digital-resilience/submarine-cables/Pages/default.aspx

Корейскую фирму обвинили в намеренном внедрении в несколько сотен тысяч произведённых ей спутниковых приёмников функции для проведения DDoS-атак. Согласно пресс-релизу расследовательского подразделения Национального агентства полиции, к ответственности были привлечены 5 руководителей неназванной корейской компании (Компания Б), в т.ч. гендиректор, а один иностранный гражданин, представитель компании-клиента (Компания А), был объявлен в розыск.

В июле корейская полиция получила наводку от Интерпола о том, что устройства, которые зарубежная Компания А закупает у корейской Компании Б, содержат вредоносную функциональность, и при проверке эта информация подтвердилась.

Расследование показало, что две компании сотрудничали с 2017 года. В ноябре 2018 года Компания А сообщила Компании Б, что она подвергается DDoS-атакам со стороны конкурентов, и попросила внедрить в оборудование возможность для ведения контратак. Компания Б внедрила вредоносную программу в 240 тысяч своих устройств через обновления встроенного ПО (firmware), а также поставила 98 тысяч устройств, уже содержащих эту функцию.

Полиция конфисковала 6,1 млрд корейских вон (4,3 млн долларов), полученных Компанией Б от экспорта устройств с вредоносной программой, посчитав их доходами от преступной деятельности. Кроме того, корейские правоохранители рассчитывают провести международное расследование в отношение Компании А, которая оказалась вне их досягаемости.

Хакеры зашифровали оборудование одной из больниц Нефтеюганска, рассказал на заседании Думы Ханты-Мансийского автономного округа замгубернатора региона Павел Ципорин. Правда, без особых подробностей.

«Иностранные хакеры взломали систему одной из больниц Нефтеюганска, зашифровали оборудование и потребовали от руководства тысячи долларов. Об этом рассказал замгубернатора ХМАО Павел Ципорин в ходе комитета по развитию гражданского общества в Думе округа.

«Причиной взлома стали нерадивые сотрудники информационной безопасности больницы. Не раз рассказывали о способах защиты, но, к сожалению, они к нам не прислушались. В итоге в систему больницы проникли злоумышленники, которые зашифровали оборудование и сервера. С них требовали деньги, насколько я помню, несколько тысяч долларов», — рассказал Ципорин.

Восстановить работу учреждения удалось после вмешательства сотрудников службы безопасности департамента информационных технологий ХМАО. При этом уточнять, о какой именно больнице идет речь, он не стал».

Путин подписал законы, ужесточающие наказание за утечки персональных данных. Они вводят оборотные штрафы для компаний за утечки, а также устанавливают уголовную ответственность за незаконное использование и передачу персональных данных, максимальное наказание за это — 10 лет лишения свободы

Активы компании—разработчика средств защиты информации F.A.C.C.T. (ранее — GroupIB) выкупаются фондом в области кибербезопасности «Сайберус», созданным сооснователем ИБ-вендора Positive Technologies Юрием Максимовым и частными инвесторами. Сделка необходима для создания на основе активов F.A.C.C.T. новой компании в области кибербезопасности, название которой не раскрывается.

https://www.kommersant.ru/doc/7343322?tg

Сбой в работе банковских сервисов, служб доставки и операторов связи вызван, по предварительным данным, неполадками на стороне одного из облачных сервисов, сообщили в Центре мониторинга и управления сетью связи общего пользования Роскомнадзора.

Как сообщли РБК в Yandex Cloud, в одной из трех зон доступности сервиса проблемы с сетевой связностью. «Инцидент привел к деградации сервисов некоторых клиентов. Техническая команда уже работает над исправлением инцидента», – отметили в компании.

Там добавили, что восстановление ожидается в течение получаса.

🐚 Картина дня — в телеграм-канале РБК

В Калининграде хотят судить Wazawak'у

Калининградские МВД и прокуратура сообщили, о направлении в суд дела по ч. 1 ст. 273 УК РФ в отношении 32-летнего местного жителя, который якобы намеревался заниматься кибервымогательством.

«По версии следствия, в январе 2024 года он с целью получения незаконной прибыли разработал специализированное вредоносное программное обеспечение, предназначенное для шифрования файлов и данных без ведома и согласия пользователей компьютерного оборудования.

Вредоносную программу обвиняемый планировал использовать для шифрования данных коммерческих организаций с последующим получением выкупа за дешифрование».

Согласно источнику РИА Новости, подозреваемый — это объявленный в розыск в США Михаил Матвеев. В мае 2023 американские власти обвинили россиянина по имени Михаил Матвеев (также известного по никам Wazawaka, m1x, Boriselcin, Uhodiransomwar) в причастности к кибератакам с использованием разных вариантов программ-шифровальщиков и назначили награду в 10 млн долларов за информацию о нём. Ещё за год до этого Wazawaka рассказывал в интервью The Record о своей роли в ransomware-отрасли в качестве брокера первоначального доступа.

📑 TaxOff: кажется, у вас… бэкдор

В третьем квартале специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак, направленных на государственные структуры России. Связей с уже известными группами, использующими такие же техники, нам установить не удалось.

😐 Основными целями киберпреступников были шпионаж и закрепление в системе для развития последующих атак. Эту группировку мы назвали TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок. В своих атаках злоумышленники применяли написанный минимум на C++17 бэкдор, который мы назвали Trinper из-за артефакта, используемого при соединении с C2-сервером.

📩 Начальный вектор заражения — фишинговые письма. Мы обнаружили несколько таких: в одном была ссылка на Яндекс Диск с вредоносным содержимым, связанным с «1С», в другом — фальшивый установщик ПО для заполнения справок о доходах и расходах, которые госслужащим необходимо подавать каждый год. И ежегодно это ПО обновляется и становится целью злоумышленников, распространяющих вредоносы под видом обновлений.

Trinper — написанный на C++ многопоточный бэкдор с гибкой конфигурацией, в котором используются шаблонный метод в качестве паттерна проектирования, контейнеры STL, буферный кэш для повышения производительности.

🧐 Подробный анализ бэкдора и действий группировки TaxOff, а также индикаторы компрометации вы можете найти в отчете.

#TI #APT #IOC #Reverse
@ptescalator

Для истории

Сегодня утром проект об оборотных штрафах одобрил и Совфед, вчера — Госдума.
https://www.kommersant.ru/doc/7328290

Financial Times прокомментировала алармистское выступление британского министра Пэта МакФэддона о киберугрозах со стороны России.

Госдума во втором и третьем чтении приняла закон об ужесточении административной ответственности за утечки персональных данных. В частности, вводятся штрафы за действия и бездействие, которые повлекли неправомерную передачу такой информации. Размеры штрафов дифференцированы в зависимости от масштаба утечек. Для компаний они будут составлять до 3% совокупного размера выручки

Посмотрел текст законопроекта о введении уголовной статьи за кражу данных ко второму чтению, по поводу которого беспокоятся представители ИБ-отрасли (и не зря). Да, действительно, законопроект мало изменился с первого чтения, никаких исключений для исследователей киберугроз в нём не появилось.

Об этой проблеме я писал ещё год назад:

«Статья предусматривает наказание до 10 лет лишения свободы. В нынешнем виде она может трактоваться весьма широко. Под действия новой статьи могут подпадать как киберпреступные группы, недобросовестные сотрудники и участники схем пробива, так потенциально и обзванивающие граждан маркетологи, журналисты-расследователи или даже компании, анализирующие публичные утечки».

Учитывая, что за год в этом плане ничего не изменилось, можно смело предположить, что примерно в таком виде Госдума и примет законопроект (более того, текст для третьего чтения уже тоже доступен). Так что юристам компаний в сфере кибербезопасности, СМИ и других организаций придётся искать какие-то другие способы, как не попасть под действие будущей статьи 272¹ УК РФ.

Сервисы проверки утечек, в том числе на «Госуслугах» также могут оказаться не совсем законными.

Когда исследователи-международники рассуждают о возможных киберинцидентах и ядерном оружии, их (нас?) больше всего интересуют сценарии вроде неконтролируемой эскалации от кибератаки до ядерной войны либо использования кибервозможностей для лишения противника способности нанести ответный удар. В общем, что-то стратегически значимое.

В реальности всё может быть гораздо более прозаичным. Например, вчера появилась новость о вынесении приговора сотруднику института Минобороны за установку пиратской версии Windows на служебный ноутбук. Из первоисточника, пресс-службы судов Санкт-Петербурга, можно узнать, что дело происходило в НИЦ БТС 12 ЦНИИ Минобороны России. Неспециалистам эти аббревиатуры мало что скажут, а у специалистов участится пульс, потому что речь идёт об основном исследовательском центре, занимающимся ядерным оружием (см. энциклопедию «Ядерный оружейный комплекс»).

12-й Центральный научно-исследовательский институт (12 ЦНИИ) Министерства обороны России «является головной научно-исследовательской организацией Министерства обороны Российской Федерации по обоснованию технической политики страны в области сохранения и развития функциональных возможностей ядерного арсенала в современной военно-политической обстановке, а также в области совершенствования специального оружия, мер и способов защиты от него».

НИЦ БТС, соответственно, одно из его подразделений:

«Научно-исследовательский центр безопасности технических систем (НИЦ БТС) Министерства обороны Российской Федерации входит в состав 12 ЦНИИ МО Российской Федерации и является головной организацией по проблемам безопасности ядерного оружия, специального обеспечения видов ВС и ликвидации последствий чрезвычайных ситуаций с ЯО».

Согласно судебному пресс-релизу, даже в таких местах и даже в 2023 году можно было встретить нелицензионный Windows:

«Не позднее 20.09.2023 Уразовский, находясь в служебном кабинете НИЦ БТС «12ЦНИИ» Минобороны России, расположенном по адресу: г. СПб, ул. Новосельковская, д.39, через вверенный ему ноутбук, предназначенный для обработки служебной информации ограниченного распространения, заведомо зная о вредоносных свойствах операционной системы «Windows Zver», и желая нейтрализации средств защиты компьютерной информации, осуществил установку на служебную ПЭВМ нелицензионной операционной системы «Windows Zver» и вредоносного программного обеспечения, относящегося к классу вредоносных программ и сценариев, созданных с использованием языка JavaScript, предназначенный для несанкционированного получения конфиденциальной информации пользователя без его согласия, а также позволяющего внедрить на компьютер иные вредоносные программы путем изменения настроек системы безопасности операционной системы, устанавливаемого с вышеуказанной операционной системой, которые являются вредоносными программными продуктами в псевдоподлинном полнофункциональном режиме способом, не предусмотренным правообладателем».

Дело было возбуждено по ч. 1 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ). Обвиняемый вину признал и получил наказание в виде 1,5 лет ограничения свободы.

Но не считая специфики организации ситуация не уникальна. Так, в 2021 году резонанс получило дело сотрудника оборонного предприятия — «Пермского порохового завода», который использовал на служебном ноутбуке нелицензионное ПО Microsoft. Он обвинялся по ч. 2 ст. 273 УК РФ, а также по ч. 1 ст. 274.1 УК РФ (неправомерное воздействие на КИИ). Обвинение пыталось убедить суд, что попавший на ноутбук вирус мог передавать данные американским спецслужбам. Но шпионская линия развития не получила, более того, по ст. 274.1 УК РФ обвиняемого оправдали, а в качестве наказания по ст. 273 УК РФ он получил год ограничения свободы (подробно о деле писал Валерий Комаров).

Президент Microsoft Брэд Смит призвал Дональда Трампа прилагать больше усилий в борьбе с киберугрозами со стороны государств, прежде всего со стороны России, Китая и Ирана. Кибербезопасность «заслуживает того, чтобы стать более важным вопросом международных отношений», а будущий президент должен послать оппонентам Америки «чёткий сигнал».

Смит считает, что США не должны мириться с тем уровнем атак, с которым страна сталкивается сегодня. В частности с ransomware-атаками: по его словам, они часто совершаются преступными группами при попустительстве, а иногда и содействии российских властей.

Глава Microsoft хвалит администрацию Джо Байдена за огромный прогресс в области укрепления кибербезопасности, но призывает не останавливаться: «Нужны дальнейшие шаги, особенно в части разубеждения и сдерживания этих стран от проведения таких кибератак».

Едем в Магадан?

Пока все ИБ-сообщество готовится к новогодним корпоративам, Государственная Дума активно трудится. Ко второму чтению одобрен законопроект, вводящий уголовную ответственность за создание или обеспечение работы сайтов, страниц сайтов и программ, предназначенных для незаконного оборота персональных данных.

Он вводит ряд поправок, в частности, в статью 272.1 УК РФ. С полным набором депутатских новелл можно ознакомиться тут.

Казалось бы, что могло пойти не так? 3аконопроект N 502113-8 в текущей редакции в принципе не предусматривает добросовестного использования баз данных, их обработки, передачи и т.д.

Кто же занимается этим легитимным, добросовестным использованием слитых БД? Внезапно — почти весь рынок ИБ.

Например, утечки изучаются с целью поиска утекших паролей и своевременного предупреждения пользователей. Мониторингом утечек для бизнеса занимаются самые разные отделы — TI, SOC, в рамках услуг brand protection.

Без изучения утечек банально нельзя их верифицировать — реальные ли это данные или очередная компиляция.

Получается ситуация, когда 99 % атакующих на этот закон наплевать, поскольку действие УК РФ не распространяется на днепропетровские колл-центры.

При этом этичный исследователь рискует поехать на четыре года цифрового детокса, если только за ним не стоит штат юристов, как у крупных ИБ-вендоров.

Комьюнити по этому поводу уже справедливо возмутилось. Насколько это повлияет на законопроект — скоро узнаем.

Ситуация по духу и смыслу напоминает историю с парсингом данных. Там ГД тоже ударно поработала перед Новым Годом, а к концу января парсинг уже запретили. Помог ли закон в борьбе с парсерами из-за рубежа — статистика умалчивает.

@cybersachok

✅ APT-прогноз на 2025

Наши эксперты спрогнозировали основные векторы развития сложных угроз на 2025 год. За неприятными, но ожидаемыми прогнозами, вроде более активного применение устройств IoT для проведения атак или применения ИИ в целевых дипфейк-атаках, мы отправим вас на Securelist, а здесь немного подразним прогнозами необычными:

1️⃣не надо недооценивать хактивистов. Неформальные объединения хактивистских группировок вместе могут больше, чем по отдельности — от более мощных DDoS до обмена информацией для проведения деструктивных кибератак. Из свежих примеров: вал взломов французских компаний после ареста Павла Дурова.

2️⃣рост влияния open source. Злоумышленники переходят на более современные языки и средства разработки, чтобы эффективней применять открытый код. Одновременно они эксплуатируют инфраструктуру open source в атаках и пытаются компрометировать цепочки поставок.

3️⃣бэкдоры в ИИ. И мы не про вредоносные пакеты для работы с ChatGPT, а про попытки компрометировать сами модели.

Больше итогов 2024 года и прогнозов на 2025 читайте на Securelist.

#APT #итоги @П2Т

Хакеры чаще всего атакуют Россию, начиная с 2022 года, нежели другие страны мира.

Лавинообразный поток нападений обрушился на отечественные компании и госсектор со стороны проукраинских группировок. Чаще всего злоумышленники атакуют промышленные предприятия, телеком, строительные компании и IT-сектор.

Если в феврале 2022 года проукраинские группировки атаковали организации для получения данных, то теперь они нацелены на повреждение инфраструктуры. За 2022-й количество успешных атак составило 220. В неполном 2024 году было зафиксировано 217 атак.

Продолжают шпионить за российскими компаниями и госорганизациями и азиатские группировки, рассказал "Известиям" эксперт.

😎 Подписаться на IZ.RU | Отправить новость ✉️

Как известно, главное в ходе расследования не выйти на самих себя

Крупные компании в области кибербезопасности опасаются рисков, которые могут появиться после принятия законопроекта об уголовной ответственности за работу с утечками персональных данных.
https://www.kommersant.ru/doc/7326471

Писатели опасаются, что Microsoft собирает их тексты прямо из Word

В июне вокруг Adobe разразился скандал из-за упоминания в условиях использования её продуктов, что компания сможет вручную или автоматизированными средствами получать доступ к пользовательскому контенту. В интернете это интерпретировали так, что Adobe хочет буквально брать картинки из вашего Photoshop и обучать на них свой ИИ. Волна возмущения вынудила компанию оправдываться, что их не так поняли, и ещё раз поменять условия использования, в которых (версия от 18 июня 2024) прямо написано, что пользовательский контент не будет использован для обучения ИИ.

С отчасти похожей ситуацией может столкнуться Microsoft. В Твиттере завирусился пост о том, что Microsoft по умолчанию включил всем пользователям так называемые optional connected experiences якобы для того, чтобы скрейпить данные из Word и Excel и обучать на них свой ИИ.

(Отдельно стоит отметить, что в русском переводе Microsoft, увы, не смогла обеспечить единообразие, поэтому connected experiences называются то «сетевыми функциями», то «облачными функциями», то «подключёнными интерфейсами», то «подключёнными возможностями»).

Connected experiences действительно используют пользовательские данные, передают их на внешний сервер и там обрабатывают, в том числе с помощью машинного обучения. Например, это используется для прогнозирования текстовых подсказок, обработки введённого в Word поискового запроса и т.д. Подробнее о connected experiences можно узнать на сайте Microsoft (1, 2, 3, 4 — внизу можно переключить язык, но русский перевод не очень).

Однако, согласно материалам Microsoft, речь идёт не о сохранении всего содержимого документа, а об обработке конкретных запросов. Впрочем, разобраться как и для чего будут использоваться данные, непросто, исчерпывающего и чёткого ответа на сайте компании нет. Более того, опасения явно подпитываются общим недоверием к Big Tech'у и многочисленными примерами недобросовестного сбора и использования данных.

Что спровоцировало внимания к этим функциям? Если скандал вокруг Adobe начался с художников, то здесь тревогу забили писатели. Пару недель назад о возможной проблеме сообщил пост на сайте Илоны Эндрюс (коллективный творческий псевдоним писателей Илоны Гордон и её мужа Эндрю Гордона). В нём говорилось, что некоторые рекомендуют отключить connected experiences, так как Microsoft якобы использует собираемые данные для обучения ИИ. Более того, Microsoft, включив опцию всем пользователям, явно не хочет, чтобы её отключали, поскольку нужная галочка запрятана глубоко в настройках. При этом писатели не утверждали, что данные действительно собираются для обучения ИИ, но написали в конце, что было бы хорошо получить однозначный ответ на этот вопрос.

Эти инструкции, видимо, какое-то время гуляли по писательскому сообществу, и как раз скриншот из одного из таких постов от писателей был использован в завирусившемся твите, который попал и в поле зрения некоторых пользователей из сферы информационной безопасности. Если скандал продолжит расти, то рано или поздно представителям Microsoft придётся реагировать и вносить ясность в свои условия использования.

Но в чём писатели и возмущённые пользователи соцсетей точно правы, так в это в том, что optional connected experiences были включены всем без предупреждения, и что возможность отключить эти функции очень хорошо запрятана. Пользователи могут найти настройку здесь: File > Options > Trust Center > Trust Center Settings > Privacy Options > Privacy Settings > Optional Connected Experiences > убрать или поставить галочку возле Turn on optional connected experiences. Администраторы могут разрешить или отключить сетевые функции для всей организации.

МИД пояснил, в чём заключается идея дополнительного протокола к Конвенции ООН против киберпреступности, которую должны рассмотрет в Генассамблее в ближайшее время. Доппротокол должен обеспечить "криминализацию расширенного перечня преступных деяний, совершаемых с использованием информационно-коммуникационных технологий".

В ходе переговоров по проекту конвенции участники фактически пришли к тому же охвату, что и у Будапештской конвенции 2001 года, при этом Россия и другие страны хотели, чтобы в неё были включено большее число преступлений (первоначальный российский проект содержал 23 состава преступлений против 10, которые в итоге были согласованы).

Доппротокол позволит странам, придерживающимся такого подхода, расширить перечень преступлений. Но это будет сделано за счёт универсальности — проще говоря, уже не все участники конвенции, вероятно, подпишут доппротокол (так нередко бывает с многосторонними конвенциями).

Но это всё в будущем, до этого конвенция ещё должна быть одобрена и вступить в силу.

Исследователи Volexity опубликовали отчёт о расследовании инцидента, в ходе которого хакеры проникли в организацию изобретательным способом: сперва они взломали другую организацию (буквально через дорогу), с одного из её компьютеров нашли Wi-Fi сеть основной жертвы и попали в инфраструктуру, используя ранее подобранные учётные данные.

Конечной целью атаки была организация в Вашингтоне, первая активность злоумышленников была обнаружена в начале февраля 2022. В отчёте последовательно изложен ход расследования, на первых этапах которого специалисты Volexity не могли понять, как атакующим удалось подключиться к Wi-Fi жертвы. Тогда же обнаружилась попытка проникнуть в организацию через её интернет-ресурсы, во время которой атакующие смогли подобрать логины и пароли, но не сумели продвинуться дальше из-за многофакторной аутентификации.

После первого инцидента специалисты Volexity улучшили сбор логов в сети жертвы и в конечном счёте смогли установить, что атакующие подключались по беспроводному соединению с компьютера в соседней организации. Более того, позднее выяснилось что и к ней в свою очередь хакеры получили доступ, перепрыгнув по Wi-Fi из ещё одной, третьей организации, расположенной в том же здании.

Авторы отчёта отмечают, что ранее не сталкивались с такой атакой, когда взлом осуществляется по Wi-Fi из взломанной организации по соседству, и предлагают называть её Nearest Neighbor Attack.

Вначале исследователи не смогли атрибутрировать атаку известной APT. Но два года спустя благодаря отчёту Microsoft нашли следы использования инструмента APT28, и заключили, что за хитроумной атакой через цепочку Wi-Fi стояла именно эта группировка, которую связывают с Россией.

Береговая охрана и Министерство внутренней безопасности США выпустили директиву, касающуюся кибербезопасности портовых кранов, произведённых в Китае. Американские власти обеспокоены тем, что возможность удалённо управлять кранами (через встроенные уязвимости) в сочетании с данными киберразведки об интересе Китая к нарушению работы американской критической инфраструктуры могут представлять угрозу национальной транспортной системе. Операторам кранов китайского производства, которые широко распространены в США, предписано обратиться к ответственным представителям (капитану порта или командующему округом) для получения непубличных инструкций с требованиями по управлению киберрисками.

Судебный департамент при Верховном суде наконец официально признал, что продолжавшийся месяц сбой ГАС «Правосудие» и сайтов судов был вызван киберакатой. По словам генерального директора Судебного департамента Владислава Иванова, «активность злоумышленников была зафиксирована еще в середине 2022 года, но лазейку хакеры нашли лишь осенью 2024 года».

После инцидента Судебный департамент создаёт отдел информационной безопасности, планирует оптимизировать концепцию ИБ, обучать судей правилам цифровой гигиены и организовать специальные курсы.

«По его мнению, также необходимо уделить пристальное внимание мониторингу периметра информационной безопасности и вырабатывать предельно четкие алгоритмы действий при хакерских атаках».

Трамп и кибервоенная политика в США

В связи с предстоящим возвращением Дональда Трампа в Белый дом решил вспомнить основные события его первого президентского срока в сфере политики, касающейся киберконфликта.

В целом подход Трампа к киберпространству можно охарактеризовать как более напористый, воинственный и проактивный по сравнению с политикой администрации Обамы.

В 2018 году США приняли Национальную киберстратегию — в предыдущий раз подобный документ принимался в 2003, а при Обаме была разработана Международная стратегия для киберпространства. В стратегии Трампа описывалась стратегия для новой эпохи стратегического соперничества (или эпохи соперничества великих держав, как стали говорить в Вашингтоне при Трампе). В документе впервые официально был зафиксирована концепция persistent engagement (постоянное взаимодействие), согласно которой противоборство в киберпространстве ведётся непрерывно, и, следовательно, США следует также непрерывно вести действия в отношении своих соперников, как и они в отношении США. Эти идеи были развиты в киберстратегии Пентагона, при этом военные также стали говорить о ведении передовой обороны (defend forward) для упреждения вредоносный кибердействий противника.

При Трампе Киберкомандование было повышено до статуса объединённого боевого командования (ранее было составной частью Стратегического командования, отвечающего за стратегическое ядерное сдерживание), хотя это решение было принято ещё в последний месяц президентства Обамы. Но Трамп и его советники, прежде всего Джон Болтон, были заинтересованы в более активном использовании кибервозможностей. Белый дом упростил проведение наступательных киберопераций: если при Обаме все кибератаки военных должны были проходить сложную процедуру согласования, то Трамп снизил этот порог, увеличив свободу действий Пентагона в случаях, которые не подпадали под критерии «применения силы». Также Белый дом расширил возможности ведения тайных операций в киберпространстве и для ЦРУ.

Самым известным примером реализации этого подхода стала операция против медиа-ресурсов Евгения Пригожина во время промежуточных выборов в 2018 году. В США принадлежащее Пригожину Агентство интернет-исследований обвиняли в попытках повлиять на общественное мнение во время президентской кампании 2016 года (что сам Пригожин позднее подтвердил). В 2018 Киберкомандование с помощью кибератаки якобы отключило сотрудников организации от интернета. Одно из медиа Пригожина, РИА ФАН, заявило, что атака действительно была, но провалилась. Никаких особых подробностей того, что же действительно произошло, так и не появилось. Но в 2020 году Трамп заявил, что действительно санкционировал эту операцию Киберкомандования — в первый и пока последний раз такое признание прозвучало от действующего президента.

Американские СМИ также писали об американских кибератаках на Иран: в одном случае такая атака якобы была нанесена по системе, используемой Корпусом стражей исламской революции. ЦРУ, вероятно, использовала новые полномочия для кражи и слива данных Ирана и России, для ведения кампании по дискредитации Китая и для дестабилизации обстановки в Венесуэле.

Из оборонительных мер основным нововведением при Трампе стало создание Агентства по кибербезопасности и безопасности инфраструктуры (CISA) на базе Министерства внутренней безопасности. CISA стало основным куратором защиты критических секторов и гражданских сетей.

Forbes ознакомился с новой версией законопроекта, предусматривающего оборотные штрафы за утечки персональных данных. Согласно документу, нижний порог взыскания за повторные утечки для компаний может быть увеличен с 0,1% до 1% от годовой выручки.

При этом в новой версии прописаны смягчающие обстоятельства, если компания инвестирует не менее 0,1% выручки в мероприятия информбезопасности.

Инициатива может привести к значительному росту инвестиций в кибербезопасность со стороны крупных компаний, но одновременно с этим вытеснить с рынка небольших игроков, работающих с персональными данными, полагают аналитики.

Подробности на сайте

📸: Chris Ratcliffe / Bloomberg

ФБР и CISA выпустили короткое совместное заявление о расследовании кибершпионской кампании, жертвами которой стала телекоммуникационные компании. Первые утечки об этой акции, приписываемой группировке Salt Typhoon, появились полтора месяца назад в Wall Street Journal.

«В частности, мы установили, что связанные с КНР злоумышленники взломали сети нескольких телекоммуникационных компаний, что позволило похитить данные о звонках клиентов, скомпрометировать частные сообщения ограниченного числа лиц, которые в основном занимаются государственной или политической деятельностью, и скопировать определенную информацию, которая была предметом запросов правоохранительных органов США в соответствии с судебными постановлениями. Мы рассчитываем, что наше понимание этих взломов будет расширяться по мере того, как идёт расследование».

В конце октября New York Times утверждала, что среди телефонов, к которым пытались получить доступ хакеры, были устройства на тот момент кандидатов от Республиканской партии Дональда Трампа и Джей Ди Вэнса, а WSJ добавила к списку и кампанию Камалы Харрис. Politico на прошлой неделе сообщило, что группировка имела доступ к данным о звонках (Call Detail Records), но неизвестно, были ли они украдены и в каком объёме.

В свежем выпуске подкаста Risky Business ведущие обсуждают отчёт «Солар» о GoblinRAT (на 13 минуте) и предполагают, что, по ощущениям, это может быть дело рук западной радиоэлектронной разведки. Аргументы в пользу этой версии — это наличие множества механизмов скрытности, а также ручное управление, требующее квалифицированных специалистов.

«Как выяснил CNews, для главной информационной системы российских судов ГАС «Правосудие» закупают 620 серверов производства отечественной компании «Гравитон» на сумму в 369 млн руб.

Тендер на поставку «железа» был опубликован на сайте госзакупок 9 октября 2024 г. Заказчиком является «Информационно-аналитический центр Судебного департамента», он же и обслуживает ГАС «Правосудие».

[...]

Что касается цели закупки серверов, в техническом задании к опубликованному тендеру она не указана. Учитывая, что контракт был опубликован через два дня после хакерского «налета» на системы российских судов, существует вероятность, связи закупки и ИБ-инцидента. CNews отправил в «Информационно-аналитический центр Судебного департамента» запрос и ожидает ответов».

https://t.me/CNewsDaily/19101

В Твери после кибератаки уже больше двух недель не работает сайт администрации. На сайте висит заглушка о ведущихся работах, а также указаны контактные данные, причём email администрации теперь размещен на Яндексе, а не на своём домене.

В этой связи вспомнил, что в начале марта СМИ сообщали о создании в Тверской области оперативного штаба по обеспечению кибербезопасности, на базе которого должен был действовать ГРИИБ — группа реагирования на инциденты информационной безопасности (CERT на бюрократическом). Проект соответствующего постановления подготовило правительство Тверской области. Однако без внимания осталось то, что было дальше с этим постановлением. Оно не было принято и было возвращено на доработку, а повторно, судя по публичной информации, так и не вносилось.

При этом официально региональный штаб по обеспечению кибербезопасности Тверской области был образован распоряжением губернатора ещё 3 июня 2022 года. А за 2 дня до этого Минцифры России отчиталось о том, что такие структуры созданы почти во всех регионах: «Программу по созданию штабов по обеспечению кибербезопасности реализовали уже 99% субъектов и 85% органов власти. Созданы и функционируют в полном объеме 76 из 85 штабов, восемь находятся на этапе согласования». (99% — это значит все кроме одного региона? Стала ли Тверская область последним регионом, создавшим штаб?)

Даже спустя два года судьба оперативного штаба в Тверской области неясна. Более общий вопрос: уникальна такая ситуация или типична и для других регионов? Есть ли ГРИИБ, скажем, в Рязани?

Что касается октябрьской кибератаки, то, разумеется, прямой причинно-следственной связи тут нет, но всё же можно предположить, что наличие ГРИИБа повысило бы скорость и эффективность реагирования на инцидент.

⚡️Выросло число кибератак на российские предприятия, связанные с СВО

⬆️Эксперты F.A.C.C.T. Threat Intelligence выяснили, что осенью 2024 г. прогосударственные группы атаковали воинские части, предприятия оборонного комплекса и фонды поддержки участников спецоперации. Наиболее активные APT-группы — Core Werewolf, Unicorn, Sticky Werewolf и Cloud Atlas.

⚙️ Что изменилось в тактиках, техниках и процедурах APT-групп

☀️Группа Core Werewolf впервые стала использовать цепочку VBS-скриптов для установки легитимной программы удаленного доступа UltraVNC и, предположительно, добавила в свой арсенал новый SSH-бэкдор. Core Werewolf маскировала приманку под служебное письмо от имени замминистра обороны РФ и под письмо от ФСТЭК России.

☀️Unicorn распространяла варианты самописного ВПО Unicorn под видом коммерческого предложения для покупки со скидкой оборудования для СВО и предложения о безвозмездной передаче техники в фонд для нужд военнослужащих СВО.

☀️Злоумышленники из Sticky Werewolf продолжили кампанию MimiStick, нацеленную на предприятия ОПК, в результате разворачивали Sliver Implant и Quasar RAT. Помимо продолжающейся кампании MimiStick, были зафиксированы рассылки группы Sticky Werewolf в адрес научно-исследовательского и производственного предприятия в сфере ОПК, где в качестве финальной нагрузки устанавливался троян Darktrack RAT.

☀️Cloud Atlas продолжает использовать вредоносные документы, содержащие ссылку в потоке 1Table для удаленной загрузки файла шаблона. В частности, в октябре 2024 г. в одной из атак в качестве приманки использовалось заявление на участие в патриотической акции «Профсоюзы России Za СВОих».

🤭 Подробнее об атаках APT-групп осенью 2024 г. с индикаторами компрометации — по ссылке.

Госкомпании в России продолжают приобретать продукцию Microsoft. В 2024 году госсектор закупил американского софта на 24,1 млн руб., узнал «Ъ». По сравнению с прошлым годом общее количество закупок операционных систем и офисных пакетов Microsoft сократилось на 55%.

Летом 2023 года в рамках ПМЭФ глава Минцифры Максут Шадаев заявил, что президент Владимир Путин поручил госкомпаниям с начала 2025 года перейти на российские операционные системы и офисные пакеты. «Ъ» направил запрос в Минцифры.

Участники рынка говорят, что из-за отсутствия совместимости необходимого ПО с отечественными операционными системами госкомпании приобретают старые версии ОС 2019 и 2021 годов. По мнению экспертов, на создание аналогов иностранного софта потребуется 14–15 лет, а также дополнительные инвестиции со стороны государства.

#Ъузнал

В этом году в Индонезии было немало заметных событий в сфере кибербезопасности.

В середине июня в городе Сурабая прошли индонезийско-американские штабные киберучения, впервые посвящённые кибербезопасности порта.

Через неделю, 20 июня злоумышленники зашифровали национальный дата-центр, что привело к нарушению оказания ряда государственных услуг. После чего под общественным давлением из местного Минцифры уволился один из руководителей, ответственный за цифровую трансформацию правительства. А группа Brain Cipher, стоявшая за атакой, принесла индонезийцам извинения и поделилась с правительством ключом для расшифровки данных.

В сентябре президент Джоко Видодо поручил создать в вооружённых силах Индонезии кибервойска как отдельный, четвёртый вид войск.

А проиндонезийские хактивисты участвуют в самых разных конфликтах, в том числе атакуют Южную Корею вместе с пророссийскими группами.

Индонезия входит в пятерку стран по числу утечек данных.

И эта же Индонезия занимает первое место в последнем издании Глобального индекса кибербезопасности от МСЭ.

В Беларуси заблокировали российский сервис — ЖЖ. Что дальше? Народ.ру? Кулички?

Российская платформа по управлению рассылками — «Раппорто» — сообщила о хакерской атаке на свою IT-инфраструктуру. В компании уточнили, что вредоносная активность обнаружена и нейтрализована. Сейчас платформа работает в нормальном режиме, а сотрудники «Раппорто» связываются со всеми, чьи интересы атака могла затронуть. Кого могла затронуть атака и какой ущерб нанести, в компании не уточнили

Я писал, что третье видео Z-Pentest о взломе HMI-приложения в Республике Корея — это, вероятно, умный дом. Но был неправ, это была умная ферма по выращиванию огурцов. До фермы добралась команда канала KBS News и поговорила с местным управляющим. Он подтвердил, что хакеры взломали систему, которая управляет температурой в теплице и может открывать или закрывать окна (в частности, в приложении в качестве максимальной температуры было установлено 999 градусов). Однако добавил, что система работает в ручном, а не автоматическом режиме, поэтому ферме не был нанесён ущерб. Также, по его словам, когда систему для управления фермой устанавливали, никому не пришло в голову менять пароль по умолчанию (пароль состоял из одной цифры). Именно благодаря слабому паролю злоумышленники, очевидно, и смогли получить доступ к HMI-приложению. Поэтому канал приводит рекомендацию экспертов менять дефолтные пароли на таких системах. Такую же common sense рекомендацию весной давало CISA американским операторам OT-систем после атак пророссийских группировок.

Дополнение к посту про Конвенцию против киберпреступности. Проглядел, что её ещё вчера приняли консенсусом в Третьем комитете. На очереди решение Генассамблеи.

ИИ-компании на страже безопасности выборов в США

Ранее неоднократно писал (к примеру, тут и тут), что одним из двигателей регулирования ИИ в США были опасения, что технология будет использоваться в избирательной кампании.

Выборы прошли и вот первые результаты: согласно данным OpenAI, ChatGPT отклонил более 250 000 запросов на создание политических изображений в течение месяца, предшествовавшего Дню выборов. В целом, эксперты сходятся во мнении, что ни одного значимого случая политического использования генерированного контента во время выборов не было зафиксировано.

При этом еще в августе компания сообщала "о срыве операции Ирана по оказанию влияния на внутреннюю политику США". Как заявлялось, иранская сеть Storm-2035 использовала чат-бота компании для создания контента, в том числе «комментариев о кандидатах от обеих сторон на президентских выборах в США».

Заявлялось, что ChatGPT использовался для создания статей, которые публиковались на пяти сайтах, выдававших себя за прогрессивные или консервативные новостные издания, а также для написания коротких комментариев в социальных сетях на английском и испанском языках.

Тогда же компания заявила, что продолжит следить за ChatGPT, чтобы гарантировать точность и этичность ответов. Для этого периодически публикуются отчеты о том, как компания пресекает использование своих сервисов. К примеру, один из отчетов был посвящен теме использования её сервисов пятью прогосударственными хакерскими группировками (утверждается, что они были связаны с Китаем, КНДР, Ираном и Россией)

США решили поддержать Конвенцию ООН против киберпреступности

На этой неделе Третий комитет Генассамблеи ООН будет голосовать по резолюции о принятии Конвенции против киберпреступности. Её текст был утверждён ещё в августе спецкомитетом, в котором три года велись переговоры. Но впереди ещё много этапов. Теперь проект резолюции с этой конвенцией должен принять профильный комитет ГА, а затем проголосует сама Генассамблея. После чего документ будет открыт для подписания. Далее государства должны ратифицировать конвенцию на национальном уровне. Только после 40 ратификаций она вступит в силу.

В преддверии голосования есть несколько новостей. Во-первых, Politico сообщает, что после долгих раздумий администрация Байдена решила всё же проголосовать за принятие конвенции. США активно участвовали в переговорах и вместе со своими партнёрами значительно повлияли на то, каким получился текст — в частности, по своему охвату конвенция ООН практически совпадает с Будапештской конвенцией 2001 года, несмотря на то что Россия и другие страны хотели расширить число составов преступлений, включённых в документ. В августе США поддержали документ, но с тех пор внутри правительства продолжалась дискуссия о дальнейших шагах. Новую конвенцию активно критикуют многие американские общественные и деловые организации за недостаточное внимание к правозащитным вопросам — высокопоставленный чиновник заявил, что изучил сотни таких обращений. Тем не менее администрация Байдена решила не нарушать консенсуса, чтобы США в будущем имели больше возможностей влиять на то, как конвенция будет реализована. Впрочем, даже если конвенция будет принята, она может столкнуться со сложностями на этапе ратификации в США, поскольку сейчас с критикой в её адрес выступают и некоторые конгрессмены.

Во-вторых, хотя Россия (инициатор подготовки конвенции) и не вполне довольна результатом переговоров — один источник «Коммерсанта» сравнил конвенцию с чемоданом без ручки, — она по-прежнему выступает её главным поборником. В пятницу на заседании Совбеза ООН по угрозе ransomware постпред России Василий Небензя призвал страны «сосредоточиться на содействии скорейшему вступлению в силу этого важного прикладного международного договора». Более того, с российской точки зрения, уже сейчас стоит начать думать и над дополнительными протоколами к конвенции — вероятность такого развития событий мы с коллегой обсуждали год назад.

Наконец, внести свою лепту в содействие скорейшему вступлению в силу конвенции решил Вьетнам, предложив открыть её для подписания в 2025 году в Ханое, а уже затем в штаб-квартире ООН в Нью-Йорке. В плане содержания этого ничего не меняет, но даёт Вьетнаму возможность провести у себя церемонию и постараться собрать на неё побольше будущих участников конвенции.

Дополнение: Третий комитет принял резолюцию о Конвенции против киберпреступности вчера (11 ноября) консенсусом.

Форум ООН по управлению интернетом (IGF) в 2025 году пройдёт в Норвегии. Ранее его планировалось провести в России: заявка была подана в 2020 году, и ещё этим летом вице-премьер Дмитрий Григоренко на встрече с делагацией Секретариата ООН подтверждал готовность организовать 20-й IGF в Санкт-Петербурге.

В США к 12,5 годам тюрьмы приговорён россиянин Роман Стерлингов за причастность к отмывании денег через миксер Bitcoin Fog с 2011 по 2021 год, когда он был арестован. Также суд назначил ему выплату компенсации в размере около 396 млн долларов (сумма транзакций, якобы прошедших через миксер), конфискацию изъятых средств (1,76 млн) и средств в кошельке Bitcoin Fog (1345 биткоинов).

В движении «Юнармия» подтвердили РБК, что сегодня их сайт был взломан. Там отметили, что это не первый такой инцидент. «Осторожно, новости» ранее сообщали, что при заходе на сайт движения появлась картинка с оскорблением президента и самой организации, позже страница начала выдавать ошибку 502. В настоящее время сайт «Юнармии» уже открывается.

«Атаки ведутся не только на сайт, но и через СМИ иностранных государств, в том числе через украинские ресурсы, направленные на распространение лжи о движении «Юнармия», его деятельности и ценностях», – сказал РБК первый заместитель начальника главного штаба «Юнармии» Виктор Кауров.

🐚 Читать РБК в Telegram

Хакеры атаковали компанию TetraSoft, которая обеспечивает удаленный мониторинг добычи углеводородного сырья. Расследованием инцидента, ущерб от которого приближается к 100 млн рублей, занимается экспертный центр безопасности Positive Technologies. По словам партнеров, по уровню проработанности и таргетированности эту атаку можно считать первой за последние несколько лет, направленной на максимальный отраслевой урон отечественному нефтегазодобывающему сектору

В 2019 году ЦРУ с помощью кибероперации нарушило работу системы выплаты зарплаты венесуэльским военным. Об этом рассказано в материале Wired о попытках администрации Дональда Трампа свергнуть Николаса Мадуро и сменить власть в Венесуэле. Помимо публичного давления, санкций, поддержки Хуана Гуайдо администрация Трампа действовала и через тайные операции ЦРУ.

Взлом системы выплаты зарплат военнослужащим стал одним из элементов плана и был нацелен на углубление раскола между политическим руководством и профессинальными военными. Со слов источников Wired непонятно, как именно был осуществлён взлом — полностью удалённо или с привлечением агентов на земле. Но якобы эта операция отчасти произвела желаемый эффект и усилила недовольсто военнослужащих.

В статье также описываются бюрократические сложности борьбы США с Мадуро: для ведения электронной разведки за Венесуэлой внутри ЦРУ потребовалось найти нужных специалистов и снять их с приоритетных направлений, что оказалось непросто. АНБ, как утверждается, вообще отказалось отвлекать ресурсы от более важных задач.

Также ЦРУ тайно распространяло в интернете контент в поддержку демократии, таргетированный на Венесуэлу, но эту операцию собеседники Wired считают неэффективной. Помимо цифровых методов в статье описаны другие планировавшиеся или осуществлённые акции, которые были направлены на ослабление Мадуро. Но в конечном счёте переворот не состоялся.

Несмотря на участие ЦРУ в этих попытках из статьи следует, что спецслужба, как и другие ведомства, включилсь в кампанию по свержению Мадуро неохотно. Инициаторами политики в отношении Венесуэлы были ястребы из окружения Трампа, прежде всего советник по национальной безопасности Джон Болтон. Болтон, единственный, кто поговорил с Wired неанонимно, критикует ЦРУ за забюрократизированность и недостаточную подготовленность к ведению тайных операций в интересах США. Другие бывшие чиновники тоже считают, что более активное вмешательство ЦРУ в период с января по апрель 2019 года могло бы повлиять на судьбу Мадуро.

Чего в статье нет, так это упоминания аварий в электроэнергетике Венесуэлы, которые начались в марте 2019. Мадуро утверждал, что блэкауты произошли из-за американской кибератаки. Но надёжных подтверждений этому, как и просто связи аварий с инцидентами в информационных системах, так и не появилось.

С 31 октября система оплаты парковок в режиме онлайн возобновляет работу❗️

Специалисты устранили технические неисправности системы, в настоящее время возможность оплатить парковку онлайн доступна.

Дополнительно сообщаем, что оплата 29 и 30 октября не взималась в связи с проведением технических работ.

Передвижения Путина, Байдена, Трампа и их окружения можно отследить через популярное фитнес-приложение Strava — Le Monde

Сервис разработан для бегунов и велосипедистов и записывает маршруты тренировок и их передвижений, которые пользователи могут публиковать и делиться с другими. Le Monde утверждает, что телохранители Джо Байдена, Дональда Трампа, Камалы Харрис, Эмманюэля Макрона и Владимира Путина регулярно используют приложение.

Расследование издания показало, что через Strava можно было определить местоположение 26 агентов Секретной службы США, 12 членов французской группы безопасности президента и 6 сотрудников Федеральной службы охраны России, все они занимались охраной глав государств.

Данные указывали на их передвижения, включая рабочие поездки, что при желании могло бы использоваться для их отслеживания или составления предсказуемых маршрутов. Le Monde не раскрыла имена агентов, но отметила, что использование приложения потенциально может ставить под угрозу как охранников, так и защищаемых лиц

⭕ Подпишись на RTVI

Администрация Твери подтвердила сбой в системе оплаты парковок. В период проведения работ по восстановлению парковка в городе фактически будет оставаться бесплатной. Также технические работы ведутся на сайте самой администрации.

Группа Ukrainian Cyber Alliance заявила об уничтожении инфраструктуры администрации Твери. Сайт tver.ru действительно не работает. Официальных и неофициальных комментариев от властей Твери пока не было.

Дополнение: есть комментарий официальной группы администрации Твери в VK: "По техническим причинам сайт временно не работает".

Также есть сообщение о недоступности сервиса оплаты платной парковки tverparking и его сайта.

Киберпреступники представляют большую угрозу американским выборам, чем прогосударственные хакеры — об этом со ссылкой на непубличный отчёт Министерства внутренней безопасности пишет WIRED. В приведённых фрагментах напрямую это не сказано, но, по оценкам ведомства, именно атаки преступников, такие как DDoS-атаки или использование шифровальщиков нарушали деятельность, связанную с выборами, в то время как активность группировок, связанных с иностранными государствами, в основном сводилась к сбору информации.

«"После промежуточных выборов 2022 года киберпреступники, руководствующиеся финансовыми и идеологическими соображениями, атаковали сети государственных и местных органов власти США, которые управляют или поддерживают избирательные процессы", - говорится в предупреждении. В некоторых случаях успешные атаки с использованием ransomware и DDoS-атаки на такую инфраструктуру приводили к задержке связанных с выборами операций в пострадавшем штате или населенном пункте, но не нарушали целостность процессов голосования. [...] Связанные с национальными государствами киберпреступники не пытались нарушить инфраструктуру выборов в США, хотя иногда проводили разведку и получали доступ к инфраструктуре, не связанной с голосованием"».

В качестве примера вреда от действий киберпреступников приводится случай в одном из округов в марте, когда из-за атаки шифровальщиков местные власти были вынуждены приобретать новое сетевое оборудование и заново подключаться к системе уровня штата. Если бы такой инцидент произошёл во время дня голосования, то он мог бы нарушить проведение выборов.

Ещё одно уголовное дело за участие в киберконфликте

РИА Новости передаёт сообщение УФСБ по Москве и Московской области о задержании жителя Москвы за участие в DDoS-атаках на IP-адреса одного из интернет-провайдеров Московского региона с помощью разработанного украинскими хакерами ПО. Атаки проводились в сентябре во время выборов в Москве и Подмосковье.

«"УФСБ России по городу Москве и Московской области пресечена противоправная деятельность жителя города Москвы, причастного к осуществлению DDoS-атак на объекты критической информационной инфраструктуры Российской Федерации в период проведения выборов депутатов Мосгордумы и муниципальных органов столицы и Московской области", - говорится в сообщении.

Отмечается, что в результате проведения оперативно-разыскных мероприятий стало известно, что гражданин России 1963 года рождения установил на принадлежащий ему персональный компьютер разработанное украинскими хакерами программное обеспечение, предназначенное для осуществления DDoS-атак на интернет-ресурсы в целях блокирования их деятельности.

"В сентябре 2024 года с использованием указанного ПО данным гражданином осуществлена DDoS-атака на IP-адреса одного из интернет-провайдеров Московского региона, которая привела к блокированию информационных ресурсов данной организации, лишив возможности оказания услуг клиентам по обеспечению доступа в сеть интернет и участия избирателей в дистанционном электронном голосовании", - добавляется в сообщении».

Несмотря на упоминание в пресс-релизе объектов критической инфраструктуры, в отношении задержанного возбуждено дело по ч. 2 ст. 273 УК (cоздание, использование и распространение вредоносных компьютерных программ; совершённое группой лиц по предварительному сговору), а не по ст. 274.1 УК (неправомерное воздействие на КИИ).

Это уже не первое уголовное дело, связанное с киберконфликтом. В Ростовской области в 2023 году в рамках трёх отдельных дел трое человек были приговорены к 2-3 годам колонии-поселения и штрафам за участие в DDoS-атаках — все по ст. 274.1 УК.

Год назад в Томске был задержан студент, которому вменялось содействие хакерским группам, курируемым украинскими силовыми подразделениями (по версии следствия — Cyber Anarchy Squad), против него заведено дело по ст. 275 УК (государственная измена). Тогда же сообщалось о задержании мужчины в Белово, Кемеровская область, которому вменялось вступление в украинское киберподразделение и участие в компьютерных атаках на российские информационные ресурсы, в т.ч. КИИ. В отношении него также было возбуждено дело о госизмене.

В Москве с февраля этого года идёт дело в отношении Артёма Хорошилова, которому первоначально вменялось участие в DDoS-атаках по ст. 274.1 УК. Но позднее против него было возбуждено дело о госизмене, ст. 275 УК.

Если почитать различные доктринальные документы по кибербезопасности, выпущенные в США и Европе, то можно увидеть, что основными источниками угроз кибербезопасности называются 4 страны - Китай 🇨🇳, Россия 🇷🇺, Северная Корея 🇰🇵 и Иран 🇮🇷 Про группировки, которые якобы происходят из этих государств пишут многие, но вот мне никогда не встречались исследования ситуации с кибербезопасностью внутри этих стран. Кто атакует их самих? Ведь не может быть так, чтобы они не представляли интереса для других государств или группировок.

И если ситуацию с ИБ внутри России я знаю достаточно неплохо; про Китай тоже можно найти материалы, то вот про остальные две страны сведений практически нет 🤷‍♀️ Тем интереснее мне было увидеть отчет "Iran's cybersecurity threatscape for 2021-H1 2024" (на английском), выпущенный нашей компанией 🟥, который впервые поднимает завесу тайны и раскрывает некоторые интересные кейсы и примеры инцидентов и атак в Иране, а также действий кибергруппировок против этой ближневосточной страны 🕌

Французская внешняя разведка (DGSE) в 2025 году увеличивает бюджет — по подсчётам французских журналистов, в следующем году он впервые в истории превысит 1 миллиард евро. Ресурсы, выделяемые DGSE, непрерывно росли с 2008 года, а за время президентства Эммануэля Макрона увеличились на треть. Средства пойдут, в частности, на продолжение развития кибервозможностей и потенциала в сфере ИИ.

Об особенностях французских киберопераций можно почитать здесь.

Кстати, уже немного забылось, но американские спецслужбы с союзниками летом-осенью 2021 года провели кибероперации против REvil. Некое иностранное правительство летом взломало серверы REvil, что позволило ФБР получить ключ для расшифровки данных жертв. Позднее доступ к инфраструктуре REvil был передан Киберкомандованию США, которое в октябре смогло перехватить управление их сайтом. Все детали известны только по серии статей американских журналистов (1, 2, 3), прямых официальных подтверждений не было, но в декабре 2021 Пол Накасоне, тогда глава Киберкомандования, заявил, что его структура проводила операции против ransomware-группировок (в 2021 намерение использовать военный киберпотенциал против преступников также декларировали Австралия, Великобритания и Нидерланды).

Причём по действиям Киберкомандования против REvil уже вышла академическая статья, автор которой приходит к выводу о допустимости такой кибероперации с точки зрения международного права — точнее, с точки зрения американской трактовки международного права.

Для ценителей — репортаж с заседания, где были оглашены переговоры 4 фигурантам дела REvil.

Кратко: обвинение приговорами довольно («С учетом непризнания вины и отсутствием раскаяния в совершенном преступлении сторона обвинения считает запрошенное наказание справедливым, и оно будет способствовать исправлению подсудимых»), защита — нет и будет обжаловать их.

Как уже сообщалось, деятельность фигурантов по профилю группировки REvil, то есть атаки с помощью ransomware и вымогательство, доказана не была и в обвинительном приговоре не упоминается:

«В материалах дела говорится, что в 2015 году Даниил Пузыревский покупал в даркнете с целью последующего занятия кардингом информацию о банковских картах, выпущенных в США, и, как утверждается в обвинительном заключении, проводил по ним операции, связанные с воровством денег (кардингом) у их владельцев. В дальнейшем, по версии следствия, он вовлек в эту схему Алексея Малоземова и Руслана Хансвярова. Впоследствии группировка, как считают в правоохранительных органах, пополнилась другими участниками.

На счету REvil атаки на такие западные компании, как Quanta Computer (один из ключевых партнеров Apple), JBS Foods (в июне 2021 года глава крупнейшего в мире производителя говядины признал, что предприятие заплатило вымогателям $11 млн), ИТ-гигант Acer и поставщик MSP-решений Kaseya. Однако, как подчеркивают адвокаты фигурантов, в окончательном обвинительном заключении эпизодов по всем этим фирмам не было, а их подзащитным вменили в итоге лишь воровство средств с банковских карт неких американцев».

Кстати, в этом контексте интересно заново взглянуть на заявление ФСБ в январе 2022 года об операции против REvil. С одной стороны, в нём сказано, что основанием для розыскных мероприятий послужило обращение со стороны США «о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы зарубежных высокотехнологичных компаний путем внедрения вредоносного программного обеспечения, шифрования информации и вымогательства денежных средств за ее дешифрование». Также преступное сообщество в пресс-релизе названо REvil.

С другой стороны, в том же пресс-релизе деятельность задержанных описана, скорее, как кардинг, нежели как кибервымогательство: «С целью реализации преступного замысла указанные лица разработали вредоносное программное обеспечение, организовали хищение денежных средств с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в сети Интернет». По сути, в этом русле в итоге и были вынесены приговоры.

Возможно, иначе будут выглядеть обвинительные заключения по делам ещё 4 фигурантов дела REvil, против которых было возбуждено дело по компьютерной статье 272 УК РФ (неправомерный доступ к компьютерной информации).

Как говорил один мой старший коллега, вот, государственный подход!

«Минцифры планирует создать собственное Linux-сообщество, которое объединит разработчиков из тех стран, которые будут готовы работать с Россией. Об этом РБК рассказал представитель министерства. Это заявление стало реакцией на увольнения 11 российских сотрудников, занимавшихся разработкой ядра операционной системы Linux.

«Увольнение российских сотрудников Linux можно расценить, как очередной факт дискриминации. Ключевым направлением, на наш взгляд, на сегодняшний день является усиление кооперации и установление диалога с теми странами, которые готовы работать с нами, — сообщил представитель Минцифры. — Необходимо договариваться с ними и строить свою альтернативную структуру». Он дополнил, что важно создать условия для взаимовыгодного сотрудничества, что может помочь создать уникальный продукт. Обсуждалось ли уже создание подобного альтернативного сообщества с какими-то странами, представитель Минцифры не уточнил».

Согласно Джеймсу Боттомли, одному из директоров Linux Foundation, основанием для удаления разработчиков из числа мэйнтейнеров служит нахождение их компаний в американских санкционных списках SDN OFAC.

Первые приговоры по делу REvil

Оглашён приговор четырём фигурантам дела REvil, которое началось больше двух с половиной лет назад.

Артём Заец и Алексей Малоземов признаны виновными в неправомерном обороте средств платежей (ч. 2 ст. 187 УК РФ) и приговорены к 4,5 и 5 годам колонии общего режима соответственно.
Даниил Пузыревский и Руслан Хансвяров признаны виновными в неправомерном обороте средств платежей (ч. 2 ст. 187 УК РФ), а также в использовании и распространении вредоносных программ (ч. 2 ст. 273 УК РФ) и приговорены к 6 и 5,5 годам соответственно.

Дело в отношении ещё четырёх фигурантов выделено в отдельное производство, их судят за неправомерный оборот средств платежей, а также за неправомерный доступ к компьютерной информации» (ст. 272 УК РФ).

Российские правоохранители провели операцию против REvil в январе 2022 года после «обращения компетентных органов США», изначально было задержано 14 человек. Российско-американское сотрудничество на треке борьбы с киберпреступностью оживилось после саммита в Женеве в июне 2021 года, а также на фоне эпидемии атак вымогателей в США. REvil была в числе группировок, чьи атаки особенно беспокоили США, так, после громкой атаки REvil на компанию Kaseya состоялся телефонный разговор между Владимиром Путиным и Джо Байденом о проблеме кибервымогателей.

США провели собственную операцию против REvil, а также осенью 2021 передали российским правоохранителям информацию по группировке (конкретно по одному из фигурантов будущего дела — Пузыревскому). Когда в январе 2022 предполагаемые участники группировки были задержаны, США приветствовали эту операцию и отметили, что среди задержанных был человек, причастный к громкой атаке на компанию Colonial Pipeline.

После начала войны американцы заморозили сотрудничество с Россией по теме информационной безопасности и борьбы с киберпреступностью. Заморозка сказалась и на деле REvil, поскольку американцы больше не предоставляли информацию, необходимую следствию. Защита обвиняемых рассчитывала использовать эту ситуацию для прекращения дела, но сегодняшние приговоры показывают, что суд нашёл позицию обвинения достаточно убедительной для реальных сроков.

Сингапурский компромисс в ООН

Интересные события происходят на полях переговоров в ООН по информационной безопасности. Россия — впервые с 1998 года! — не внесла в Первый комитет Генассамблеи проект резолюции на эту тему. Собственно, переговоры и начались с первой российской резолюции «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности». И на протяжении 25 лет Россия каждый год вносила по этому пункту повестки дня Генассамблеи проекты резолюций, которые всегда принимались, иногда консенсусом, иногда вопреки сопротивлению США и союзников, а один раз, в 2021, даже совместно с США. Почему же в этот раз отдельного проекта нет?

Дело в том, что единственный проект резолюции по информационной безопасности (см. изображения) в этом году внёс Сингапур как председатель Рабочей группы открытого состава (РГОС) с тем условием, что другие страны не вносят свои проекты по этому пункту повестки дня.

Такой мораторий введён в связи с тем, что в РГОС наметился раскол по поводу будущего формата переговоров. Западная коалиция выступает за создание после завершения РГОС в следующем году нового постоянного формата — Программы действий по поощрению ответственного поведения государств в киберпространстве. Россия, несколько лет критиковавшая идею Программы действий, в прошлом году предложила после завершения работы нынешней РГОС созвать ещё одну рабочую группу открытого состава, но на этот раз бессрочную. Про различие этих подходов я уже писал чуть подробнее, но в процедурном плане расхождение проявилось в том, что в 2022 и 2023 годах в Генассамблее принимали одновременно две резолюции, российскую и западную, по информационной безопасности. Это могло привести к запуску двух параллельных и во многом дублирующих друг друга переговорных форматов, как уже было в 2019-2021 годах. Большинству стран это не нужно, не у всех есть ресурсы и на полноценное участие в одном.

Постпред Сингапура при ООН и председатель РГОС Бурхан Гафур пытается (и пока вполне успешно) привести участников РГОС к компромиссному решению. На последней сессии РГОС летом он предложил вместо новую нейтральную формулировку для обозначения будущего формата переговоров: Открытый прикладной постоянный механизм по безопасности ИКТ в контексте международной безопасности (Open-Ended Action-Oriented Permanent Mechanism on ICT Security in the context of international security). Участники РГОС согласились с этим вариантом и в качестве приложения к ежегодному докладу РГОС утвердили его основные параметры.

Именно этот формат (точнее, не формат, а его контуры) зафиксирован в сингапурской резолюции (см. пункт a) параграфа 2). Разумеется, этот компромиссный вариант работает только при условии, что государства не выдвигают одновременно свои собственные предложения. Поэтому даже Россия на этот раз беспрецедентным образом решила не вносить свой проект.

Сработает ли сингапурский компромисс, мы увидим в течение года, когда будет завершаться работа действующей РГОС. За разными названиями форматов кроются более глубокие разногласия по поводу мандата будущих переговоров, и, естественно, сторонники разных подходов продолжают борьбу именно за своё видение.

Узнавать об ошибках быстрее западных партнёров

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) с помощью «Сканера безопасности» обнаружил в Рунете 26 тысяч критических уязвимостей.

«"Что касается "Сканера безопасности", то он сейчас проходит тестовую обкатку. Его идея заключается в том, что мы хотим вычистить российский сегмент интернета от заражённых, вредоносных устройств и ПО. И быстрее, по крайне мере, наших, как говорится, западных партнёров узнавать об ошибках, в том числе администрирования, о базах данных, которые неожиданно "торчат" в интернет, об уязвимых портах и ресурсах", - сказал [директор ЦМУ ССОП Сергей] Хуторцев в четверг на форуме "Спектр 2024".

Согласно данным его презентации, в 2024 году более 300 организаций были оповещены о возможных уязвимостях. Всего "Сканер безопасности" выявил более 26 тыс. критических уязвимостей.

По словам Хуторцева, "система сейчас выстроена так, что она сканирует весь российский сегмент интернета, выявляет угрозы". "Мы в автоматическом режиме формируем рекомендации по их устранению и рассылаем на почтовые адреса, на контактные данные владельцам информационных систем, операторам связи и хостинг-провайдерам", - сказал он».

Отдельно он отметил, что ЦМУ ССОП может использовать технические средства противодействия угрозам (ТСПУ) для временной или постоянной блокировки уязвимостей, если владелец ресурса (сайта, например) не реагирует на предупреждения.

Как это работает, можно было наблюдать в середине 2023 года. В конце мая IT-армия Украины устроила массовый дефейс сайтов на движке «Битрикс». НКЦКИ запросил у ЦМУ ССОП заблокировать несколько тысяч взломанных сайтов. Они были заблокированы с помощью ТСПУ. Для разблокировки владельцам сайтов нужно было исправить уязвимость и сообщить об этом НКЦКИ. К решению этой проблемы также были подключены хостинги и операторы связи, которым ведомства прислали рекомендации, как починить сайты.

НКЦКИ — о деятельности проукраинских хакерских групп:

«"В нашей практике количество атак, инцидентов, связанных с деятельностью проукраинских группировок, наверное, составляет львиную долю от общего числа инцидентов. <...> Электронно уничтожается все, до чего противник может дотянуться в инфраструктуре. Наверное, сейчас наблюдаем как раз рост [количества] таких атак", - сказал [представитель НКЦКИ Андрей Раевский] на ежегодном специализированном форуме "Спектр", который проходит на сочинском курорте "Роза Хутор".

Он также отметил, что хакеры стараются нанести максимальный ущерб инфраструктуре, противник уже выстроил свою работу».

Украина может выделить киберсилы в отдельный род войск. Предложенный Генштабом ВСУ проект обсуждается с депутатами Верховной рады.

«В составе вооруженных сил Украины могут создать новый род войск — киберсилы.Об этом сообщил Генштаб ВСУ, передает «Украинская правда».

Проект концепции нового рода войск военные уже обсудили с народными депутатами Украины — представителями комитета Верховной рады по вопросам безопасности, обороны и разведки, и экспертами на встрече под председательством начальника украинского Генштаба генерал-лейтенанта Анатолия Баргилевича.

Проект рассматривается с учетом опыта создания и работы кибервойск в ведущих государствах мира, отмечается в заявлении Генштаба. Стороны проанализировали опыт ВСУ в этой сфере и определили основные задачи и функции киберсил в перспективе.

«Создание киберсил, как отдельного рода сил, позволит значительно усилить способности украинского войска, обеспечит эффективное планирование и реализацию полного спектра задач в киберпространстве, которое наравне с сушей, морем, воздухом и космосом признано отдельным операционным доменом», — полагают в ведомстве».

На текущий момент самая известная украинская структура, занимающаяся противоборством в киберпространстве, — это Главное управление разведки Минобороны (ГУР), во многом благодаря его собственным публичным заявлениям на протяжении последнего года.

Обновление списка APT-групп, атакующих Россию

В апреле я публиковал список продвинутых хакерских групп, государственных или прогосударственных, которые были замечены компаниями по кибербезопасности в атаках на российские организации.

Сегодня делюсь обновлённой версией:
— добавлены отчёты российских компаний с апреля по октябрь и некоторые более давние, а также отдельные зарубежные отчёты (в том числе и два китайских). Общее количество отчётов удвоилось с 40 до 81, а количество групп в таблице увеличилось с 28 до 41;
— у некоторых групп добавлены дополнительные наименования;
— для групп без указания страны в соответствующем столбце поставлена чёрточка.

Как всегда, буду благодарен за обратную связь и дополнения.

США установит лимиты на передачу данных в шесть стран

📋 Министерство юстиции США разработало новые правила регулирования передачи данных в зарубежные страны. Документ вводит строгие ограничения на объемы передаваемой информации в шесть стран, включая Китай, Россию и Иран.

🔒 Новые меры запрещают передачу генетических данных более 100 человек, геоданных более 1000 граждан и финансовой информации более 10 000 человек в год. Особый запрет установлен на передачу любых данных военнослужащих и госслужащих.

⚖️ За нарушение правил предусмотрены штрафы до $368 136 и уголовное наказание до 20 лет тюрьмы. При этом документ не затрагивает работу социальных сетей и не расширяет полномочия по надзору за личными данными американцев.

#защитаданных #кибербезопасность #США #приватность

@SecLabNews

Интернет-платформы МИД России подверглись масштабной DDoS-атаке, специалисты работают над восстановлением работоспособности ресурсов министерства, сообщила официальный представитель ведомства Мария Захарова.

«На не совсем правильном уровне»

НКЦКИ рассказал о неутешительных результатах мониторинга защищенности ресурсов субъектов критической информационной инфраструктуры:

«"В соответствии с установленным порядком, субъекты обязаны направлять в адрес доменные имена и IP-адреса своего внешнего периметра для проведения мониторинга защищённости. На основе предоставленной информации от объектов КИИ мы формируем план мониторинга защищённости по каждому из объектов", — разъяснил порядок работы представитель НКЦКИ. Раевский добавил, что не все организации готовы оперативно делиться такой информацией, поэтому регулятор был вынужден проводить определённую разъяснительную работу, чтобы отладить процесс получения данных от субъектов КИИ.

Первые результаты реализации Приказа №213 показывают, что уровень безопасности находится "на не совсем правильном уровне" в более чем 50% организаций, подпадающих под требования Указа №250, в отношении которых был проведён мониторинг анализа защищённости. В большинстве случаев специалисты НКЦКИ выявили возможность проникновения в информационную систему со стороны внешнего злоумышленника.

"Результат нашего первичного мониторинга пока не такой хороший, как мы бы хотели. В подавляющем большинстве случаев (около 80%) мы реализовали угрозу проникновения внешнего злоумышленника в инфраструктуру", — заявил Андрей Раевский.

По итогам мониторинга регулятор выдаёт рекомендации таким организациям, чтобы они обратили на внимание на проблемы и, что самое главное, устранили выявленные угрозы информационные безопасности. Однако компании часто сталкиваются со сложностями в реализации требований. Это связано с отсутствием в компаниях сотрудников с нужной компетенцией или их невнимательностью».

По сообщению Судебного департамента при Верховном Суде, судебная инфраструктура постепенно возвращается к жизни. Пока запущены сайты и почтовая служба федеральных арбитражных судов. Сайт arbitr.ru действительно работает.

В июле 2000 года на встрече министров иностранных дел «Группы восьми» в Японии возникло недопонимание. Игорь Иванов, тогда глава МИД России, предложил коллегам выработать принципы информационной безопасности. Немецкий министр Йошка Фишер ответил, что для демократии важна свобода информации, а ставить под вопрос интернет глупо. С ним согласились первый заместитель госсекретаря США Строуб Тэлбот и канадский министр Ллойд Эксуорси. После этого Иванов уточнил, что имел в виду не ограничение свободы информации, а информационную безопасность. Позднее в личной беседе с Тэлботом замминистра Георгий Мамедов решил внести ещё большую ясность и сказал, что министр имел в виду опасения по поводу информационного противоборства в ходе конфликтов и возможности нанесения ударов по информационным системам.

Обнаружено в рассекреченной американской телеграмме.

Злоумышленники продолжают проводить кибератаки на организации в Беларуси, не оглядываясь на новую военную доктрину страны:

«В Беларуси с начала года зафиксировали 350 киберинцидентов высокого уровня, в том числе в центре кибербезопасности hoster.by – 120 инцидентов. Об этом рассказал директор по безопасности hoster.by Антон Тростянко на форуме «БАНКИТ-2024».

По словам Антона Тростянко, hoster.by отмечает двукратный рост киберинцидентов в зоне своей ответственности.

Основная часть киберинцидентов (60%) приходится на частные облака, еще 30% происшествий связаны с виртуальным хостингом, на точечные инциденты приходится 10% всех неприятных событий в сфере кибербезопасности.

— По нам здорово «работают» украинские группировки. Мы стали их больше видеть, заметно, что для них- главное — собрать информацию. Последние крупные взломы наблюдаем в промышленности — шифруют заводы. Есть атаки, которые длятся по 4 часа и за это время злоумышленники компрометируют всю инфраструктуру».

ГАС «Правосудие», сайты судов и другие сервисы спустя 2 недели всё ещё не вернулась к жизни.

Мы без конца проклинаем операцию «Триангуляция», и, разумеется, за дело. И всё же я хочу спросить — кто закупил в четыре раза больше айфонов?

«Суммарный объем проведенных госзакупок iPhone за девять месяцев 2024 г. вырос в 4 раза по сравнению с аналогичным периодом 2023 г. Итоговая сумма по заключенным контрактам за три квартала 2024 г. составила 6 879 899 руб. по сравнению с 1 642 166 руб. за аналогичный период 2023 г., рассказал "Ведомостям" представитель площадки торгов "Тендерплан"».

В прошлом году после заявлений ФСБ о шпионаже через айфоны от техники Apple официально отказались многие (но не все?) ведомства и госкомпании: МЧС, Минопромторг, Минпросвещения, Минобрнауки, Росмолодёжи, Минцифры, РЖД, ЦИК, Минфин, Минэнерго, Минкульт, ФТС, Росавиация, Администрация президента, Росатом, Ростех (а также Швабе, КамАЗ, Уралвагонзавод).

P.S.: нельзя исключать, что устройства закуплены для поиска уязвимостей.

На Bloomberg вышла статья о том, что в 2017-2020 годах российские спецслужбы взломали в Грузии чуть ли не всё, что только было можно: ЦИК, МИД и некоторые посольства, Минфин, ЦБ, телеканалы, критическую инфраструктуру. Журналисты ссылаются на некие непубличные документы и технические отчёты, очевидно, западного происхождения. По словам европейского источника, западные партнёры сообщали грузинским коллегам о некоторых кибератаках, не неизвестно, отнеслись ли те к ним серьёзно. Авторы разослали запросы всем упоминаемым организациям, но никто толком не подтвердил атаки либо вообще не ответил. Не ответили на запросы даже ФСБ и ГУ.

Возможно, это только предисловие, и какие-то отчёты ещё увидят свет — если так, то, скорее всего, на этой неделе, потому что статья явно привязана к предстоящим выборам в Грузии. Либо же статья выпущена вместо отчётов.

Турция борется с сервисами пробива

В Турции на прошлой неделе были арестованы 9 человек по подозрению в участии в так называемой международной кибершпионской сети. Первые аресты по этому делу прошли в августе, тогда в руки правоохранителей попали 11 человек. Операцию проводит Национальная разведывательная организация Турции (MİT) при поддержке полиции. В ходе операции были заблокированы сайты по продаже данных, на них были размещены заглушки о закрытии доступа в связи с незаконной кибердеятельностью, угрожающей национальной безопасности. В числе конфискованных доменов: cybertiserate[.]fun, itpanel[.]store, sxrgu[.]tech, tavsancik[.]online, nexcity[.]in, xlog[.]life, fearchecks[.]xyz. На заглушке стоят логотипы MİT, жандармерии и турецкого государственного CERT'а (USOM).

До блокировки на сайтах находились так называемые «панели» для поиска по персональным данным турецких граждан. С их помощью можно было получить такие данные, как государственный ID, контактные данные, медицинские данные, номера авто и пр. Кроме того, для распространения информации о сервисе использовались многочисленные телеграм-каналы.

Проблема эта не новая. Летом 2023 появились сообщения об утечке данных всех граждан Турции и доступе к ним через сервис Sorgu Paneli («панель для запросов»). Создатели сервиса предлагали пользователям несколько бесплатных запросов, а также продавали подписку для получения доступа к полному функционалу.

Неизвестно, попали ли в руки к правоохранителям те же лица, что стояли за сайтом Sorgu Paneli, но так или иначе «панели» стали популярным форматом для продаж услуг пробива.

Помимо компьютерных преступлений арестованным вменяют и более серьёзные нарушения: якобы в числе тех, кто покупал у них данные, были даже террористы.

Операции MİT не единственный признак того, что в Турции меняется подход к незаконной торговле персданными граждан. Если в 2023 году правительство ставило под сомнение возможность утечки, то в сентябре министр транспорта и инфраструктуры признал проблему, а USOM ещё в июле запросил помощь у Google в удалении данных с Drive'а и предоставлении информации об аккаунтах — возможно, кстати, что эта информация использовалась для арестов.

Штрафы за неустранение уязвимостей

В России могут ввести штрафы для субъектов критической информационной инфраструктуры, которые не занимаются поиском и устранением уязвимостей в своих компьютерных системах. Как сообщают «Известия», нововведение содержится законопроекте «О деятельности по поиску уязвимостей и оценке уровня защищенности объектов информационной инфраструктуры», который был разработан в Совете Федерации и находится на этапе обсуждения с ведомствами (с Минцифры, Минюстом, Генпрокуратурой, Следственным комитетом, МВД, ФСТЭК и ФСБ) и участниками рынка. В текущей версии на должностных лиц предлагается налагать штраф от 20 до 50 тыс. рублей, на юрлиц — от 100 до 500 тыс.

По словам автора законопроекта сенатора Антона Шейкина, в связи с увеличением количества инцидентов, ростом их сложности и скоординированности «появилась необходимость ввести в правовое поле деятельность по поиску уязвимостей и оценке уровня защищенности».

«[О]сновная цель законопроекта — установить права и обязанности участников отношений по поиску уязвимостей и оценке защищенности объектов информационной инфраструктуры, определить основы государственного регулирования указанной деятельности, а так же определить положения по лицензированию данной деятельности Федеральной службой по техническому и экспортному контролю (ФСТЭК)».

Механизм работы представлен следующим образом:

«Компания или организация заключает договор с независимой платформой на исследование своей защищенности. Та, в свою очередь, оплачивает вознаграждение независимым экспертам, которые проводят тестирование. Это те самые «белые» хакеры, которые взламывают систему для проверки уязвимостей с разрешения владельца.

Далее платформа систематизирует выявленные уязвимости и сообщает о них заказчику, а также регулятору ФСТЭК. Он, с одной стороны, будет лицензировать деятельности участников процесса, с другой, получит право накладывать санкции на организации и компании, не уделяющие должного внимания выявлению и устранению уязвимостей».

В своей статье для «Парламентской газеты» Антон Шейкин называл законопроект механизмом легализации «белых хакеров». При этом другой законопроект о «белых хакерах» уже внесён у Госдуму и на прошлой неделе прошёл второе чтение.

По традиции оценим визуальную составляющую APT-отчётов Antiy. В отличие от красочных картинок у Qihoo 360 и QiAnXin Antiy изображает группировки или их отдельные инструменты в стиле карандашного рисунка или газетной иллюстрации.

Stuxnet
Sandworm
White Elephant
Equation Group
OceanLotus/APT-TOCS
GreenSpot
Dark Elephant
Duqu
Flame
Equation Group/Quantum

БСТМ 32 года.

«Не открывайте вложения с подозрительными расширениями»: основы ИБ для госслужащих от Минцифры

Министерство цифрового развития подготовило рекомендации по информационной безопасности для госслужащих. Советы для чиновников изложены в трёх памятках:
— Меры по обеспечению информационной безопасности;
— Рекомендации по защите учётных записей;
— Правила защиты от мошенников.

Рекомендации появились в Консультанте вчера и сопровождаются письмом врио директора Департамента обеспечения кибербезопасности Минцифры Евгения Хасина от 17 сентября. Министерство рассматривает эти памятки в русле программ по повышению цифровой грамотности — в данном случае среди чиновников.

Что касается рекомендаций, то большинство не вызывают никаких вопросов. Но не все. Допустим, совет ставить сложный пароль без пояснений не очень полезен, а призыв менять его раз в квартал уже не считается хорошей идеей. Так, в свежих рекомендациях по паролям NIST предлагает пойти навстречу пользователям и наоборот не требовать от них регулярной смены пароля.

Также можно обсудить, чего в рекомендациях нет. Мне в глаза бросился важный совет, который часто дают на тренингах: если вы заметили что-то подозрительное или у вас есть вопросы, обращайтесь в отдел ИБ организации (вот контакт). Конечно, письмо, очевидно, разослано в разные организации, и отделы эти будут разные, но общий совет всё равно можно было дать, а то сейчас по памяткам складывается впечатление, что госслужащие предоставлены сами себе.

Но, наверно, главный вопрос — будет ли польза от рекомендаций в таком формате? Что с ними в лучшем случае сделают в организации? Разошлют по почте? Распечатают и повесят листочки A4 на доске объявлений? Компании, проводящие тренинги по ИБ, много думают над тем, как сделать так, чтобы обучающиеся действительно усвоили материал, а их поведение стало более безопасным. В этом плане памятки не выглядят особо убедительными. Лучше сразу направлять госслужащих на тематический раздел на Госуслугах.

Продолжаются поиски группировки под названием «Рэдках» из Турции, упомянутой в заявлении ФСБ от апреля 2023. С таким названием я никого не нашёл, но по табличкам Cyberknow самый близкий (но тоже не очень) вариант — это RedCult.

Подписчик подсказал ещё один возможный вариант — группу RedHack. Название опять не то, но близко. Но она действительно из Турции. Это старое объединение, появившееся ещё в конце 1990-х. Своим названием (и использованием серпа и молота в символике) группа намекает на свои левые взгляды. В первой половине 2010-х отметилась многими громкими акциями в Турции и в основном действовала против властей страны. Правда, после 2016 года она себя особо не проявляла и, возможно, уже вышла из игры. В атаках на российские организации не замечена.

На SOC Forum в ноябре интересная программа, но половина Defense-трека только офлайн, в том числе заявлены доклады по проукраинским группам UHG, Twelve, exCobalt.

В американском TI-сообществе тоже поднимался вопрос, что в последние пару лет всё больше исследователей готовы выступать на конференциях не под запись. Похоже, это общий тренд.

Журналисты Reuters узнали новые детали операции с подрывом тысяч пейджеров.

Первая часть расследования посвящена тому, как в пейджер были спрятаны взрывчатка и детонатор. На основе фотографий и рассказа источника, журналисты заключили, что пластина из взрывчатого вещества PETN (пентаэритриттетранитрат) была помещена между двумя аккумуляторами. Оставшееся пространство между ними занимало некое легковоспламеняющееся вещество, которое служило детонатором и не было заметно на рентгене. Предположительно внутри этого трёхслойного блока возникала искра, поджигавшая детонатор, после чего происходил взрыв. Но как именно это происходило, журналисты не узнали. Батарейка упаковывалась в пластиковый рукав и затем в металлическую оболочку. Reuters выяснил, что Хезболла тщательно проверяла пейджеры, но не обнаружили взрывчатку. Хотя некоторые моменты могли их насторожить. Так, собеседники Reuters обратили внимание, нормальная батарейка такого же веса по идее должна бы была иметь значительно больший запас энергии, чем трёхслойная со взрывчаткой. Якобы в Хезболле даже заметили, что пейджер разряжается слишком быстро, но не отнеслась к этому серьёзно.

Вторая часть расследования посвящена созданию легенды для пейжера и батарейки — достаточно убедительной для Хезболлы. Чтобы использовать узнаваемый бренд тайваньской компании Gold Apollo, некто «Том» нанял бывшую сотрудницу этой фирмы. Через неё познакомился с руководителем и получил от него лицензию на производство собственного продукта под маркой Gold Apollo. Главу Gold Apollo не впечатлила разработанная «Томом» модель AR-924, но он всё равно разместил её фотографии на своём сайте. У фирмы «Тома» был свой сайт, где рекламировался пейджер и батарея (в статье есть даже рекламное видео). Но также для операции были созданы два поддельных сайта магазинов батареек, а на специализированных батареечных форумах имитировалось обсуждение высокого качества батареек. В общем, «Том» и его коллеги приложили немало усилий, чтобы создать подобие реального продукта — такого, в надёжности которого члены Хезболлы могли бы убедиться, погуглив по ключевым словам.

Согласно статье, от взрывов пейджеров и раций погибли 39 человек, 3,4 тысячи получили ранения.

Пока идёт ремонт ГАС «Правосудие», профессионалы сдувают пыль с факсов (в Японии, кстати, они до сих пор широко используются).

«Наутро 18 октября в Приамурье все еще недоступны сайты всех судов: областного, арбитражного, городских и районных. Пока единственным способом информирования амурчан остаются соцсети органов власти, где можно найти контактные данные, время работы и другую информацию, рассказали в Объединенной пресс-службе судов Амурской области. Что же касается отправки документов, пока это можно сделать лично или почтовым отправлением - электронная почта судов не работает. Есть еще один способ, который уже считается раритетным.

"Вчера мне пришлось искать раритет – факс. Это средство связи еще осталось в работе 9 кассационного суда. Поиски в течение пары часов увенчались успехом. Удалось найти действующий факс, но по факту скажу так – это устройство уже давно из области фантастики. Все мы привыкли за годы пандемии активно работать в интернете, и весьма хорошо это получалось. К хорошему быстро привыкаешь", - рассказал юрист, президент Гильдии риелторов Приамурья.

Эксперт полагает, что проблемы связи с сайтами судов могут продлиться и после "дня икс" - 18 октября. Амурчанам нужно искать альтернативы в случае необходимости отправки документов в суды. Факсы работают не везде. Почтовые отправления необходимо отправлять заранее, чтобы письмо успело прийти к заседанию».

«Аспро» даже выпустила новость о том, как защитить сайт от взлома.

Первая хактивисткая кибератака

1988 — это Morris Worm, а 1989 — это Worms Against Nuclear Killers. 35 лет назад в сеть НАСА попал червь под названием WANK. Это событие считается первой известной политически мотивированной компьютерной атакой, позднее такую деятельность назовут хактивизмом. НАСА готовилось к запуску космического аппарата «Галилео» c радиоизотопным термоэлектрическим генератором. Из-за использования в генераторе плутония подготовка запуска вызвала беспокойство среди антиядерных активистов. Очевидно, это и вдохновило хакеров. Атака началась 16 октября. По словам автора книги Underground: Hacking, Madness and Obsession on the Electronic Frontier, учёные приходили на работу и обнаруживали на своих экранах не нужные им материалы, а послание хакеров: «Вы говорите о мире для всех, а потом готовитесь к войне». Пять лет назад были опубликованы слайды НАСА, подготовленные через месяц после инцидента. Атака проводилась в два этапа: на первом было заражено 90 компьютеров, а спустя две недели обновлённая версия червя заразила ещё 500 устройств. Специалисты НАСА посчитали причиной инцидента несоблюдение установленной в агентстве парольной политики. В презентации указано, что источником атаки могла быть Франция. Но позднее подозрение пало на австралийское хакерское сообщество, есть даже неподтверждённая, но интригующая версия, что ко взлому НАСА был причастен молодой Джулиан Ассандж.

В презентации сказано, что расследованием занимаются ФБР и главный инспектор НАСА, внутри агентство будет уделять больше внимания улучшению практики использования паролей. Но в самом конце приведена фраза, которая по-прежнему актуальна: «Открытые международные сети всегда будут в определённой степени уязвимы».

Китайская ассоциация безопасности киберпространства предложила властям ввести проверки продуктов Intel, продающихся на рынке Китая. Основания для этого как технические (часто встречающиеся уязвимости), так и политические (Intel включился в антикитайскую кампанию в США). Среди технических претензий один пункт касается Intel Management Engine — встроенного почти во все чипы микроконтроллера, которые EFF сравнивала с бэкдором. В частности, упоминается исследование Марка Ермолова и Максима Горячего (Positive Technologies), которые в 2017 году обнаружили недокументированный способ отключения Intel ME, предусмотренный Intel для американских властей, скорее всего, конкретно для АНБ.

Вспомнил про два случая, когда российские официальные лица перечисляли хакерские группы, атакующие Россию. В июне 2022 года Андрей Крутских, тогда руководитель Департамента международной информационной безопасности МИД, заявил:

«Всего в противоправных операциях против России задействованы 22 хакерские группировки, наиболее активные – IT-army of Ukraine (Украина), GhostClan (США), GNG (Грузия), Squad303 (Польша)».

В апреле 2023 ТАСС опубликовал заявление Центра общественных связей ФСБ, в котором был такой фрагмент:

«При этом кибератаки разрабатываются при непосредственном участии объединенного командования Пентагона во взаимодействии с международными ("Анонимус", "Сайленс") и национальными ("Гоаст клэн", США, "Рэдках", Турция, "Джи-Эн-Джи", Грузия, "СквадЗОЗ", Польша и другие) хакерскими группировками».

Прежде не задумывался о происхождении этой threat intelligence, но рискну предположить, что как минимум одним источником были таблички со списком пророссийских и проукраинских хакерских групп от исследователя под ником Cyberknow. В конце февраля — начале марта 2022 года они регулярно обновлялись и активно распространялись в Твиттере.

Как связаны таблицы и приведённые заявления? Во-первых, обращает на себя внимание количество проукраинских хакерских группировок — 22. Столько групп было на одной из ранних таблиц от Cyberknow от 1 марта 2022. Правда, потом это число росло и к июню (когда было интервью) уже составляло несколько десятков. Во-вторых, на таблицах Cyberknow фигурируют вместе все группы, упомянутые МИД, кроме того, именно Cyberknow с февраля по май 2022 указывал предполагаемое место расположения группировки. В качестве картинок прикрепляю таблицы от 1 марта (на ней 22 проукраинские группы) и от 22 мая (последняя с указанием стран).

Что за группы упомянуты МИД?
— IT Army of Ukraine, думаю, всем известна. Эта группа была создана с подачи министра цифровой трансформации Украины Михаила Фёдорова прежде всего из большого числа низкоквалифицированных добровольцев, но, вероятно, и с участием опытных хакеров. Она занималась DDoS-атаками и не только и, естественно, сразу же попала в таблицу Cyberknow;
— GhostClan была добавлена в таблицу 28 февраля 2022 с локацией Global, затем заменённой на Unknown. США у группы в качестве местоположения никогда не указывались. Судя по тому, что можно найти, это такое хактивистское сообщество в стиле Anonymous. Есть много аккаунтов с таким названием. GhostClan упоминались в числе группировок, участвовавших в атаках на Израиль после 7 октября 2023;
— GnG была добавлена в таблицу 28 февраля 2022 с указанием Грузии. Твиттер-акканут GnG был создан в феврале и был активен до июня 2022. Он вёлся на грузинском и рассказывал об атаках не только на российские, но и на грузинские сайты. В целом группа тоже явно вдохновлялась Anonymous;
— Squad303 — это группа, активная до сих пор. В таблицу Cyberknow попала 12 марта 2022 сначала как Unknown, но в следующем обновлении помеченная как Польша.

В заявлении ФСБ от апреля 2023 упоминаются GhostClan, GnG, Squad303 с указанием той же страновой принадлежности. Также упомянута группа турецкая группа «Рэдках» — по таком кириллическому имени я не нашёл. Ближайшая по написанию группа — RedCult, она включена в таблицу CyberKnow 11 апреля 2022 как Unknown. Если предположить, что это та же группа, то открытых связей с Турцией у неё нет, но RedCult довольно известна по операциям против ИГИЛ и против Израиля. А её главный персонаж указывает у себя в соцсетях, что живёт в Бейруте.

Кроме того, в заявлении ФСБ упомянуты Anonymous и Silence — последнюю я в табличках Cyberknow не нашёл. Вероятно, имеется в виду одноимённая группа, описанная Group-IB в 2018 году. В отличие от других упомянутых российскими представителями группировок Silence известна не хактивистской деятельностью, а финансово мотивированными атаками на банки. В 2022-2023 году группа снова попала в поле зрения исследователей из-за увеличившегося числа заражений компьютеров связанным с ней вредоносом. Видимо, её упоминание в заявлении было связано с обнаружением заражённых устройств в России.

Сервис SpeedTest хотят запретить

В Госдуме и ФСБ поддержали предложение о том, чтобы исключить использование российскими операторами измерителя скорости интернета SpeedTest американской компании Ookla.

- вместо этого будет обязательное использование операторами российских программных продуктов для измерения скорости передачи данных в сетях вместо зарубежного аналога.

- https://iz.ru/1775426/valerii-kodacigov/skorost-otstupa-v-rf-hotat-zapretit-ispolzovanie-servisa-speedtest

Неделю назад по обвинению Генпрокуратуры Украины двое бывших сотрудников СБУ были заочно осуждены на 15 лет тюрьмы как участники хакерской группы Gamaredon/Armageddon по статьям о государственной измене (ст. 111) и несанкционированном вмешательстве в работу компьютеров (ст. 361). Утверждается, что в 2014 году они, работая в Управлении СБУ в Крыму, изменили присяге и перешли на работу в ФСБ и с тех пор участвовали в проведении более 5 тысяч кибератак на украинские госорганы и объекты критической инфраструктуры. Согласно The Record, речь может идти об Александре Склянко и Николае Черных, на которых в июне были наложены санкции ЕС.

Из-за сбоя в работе ГАС «Правосудие» участники споров рискуют пропустить сроки на подачу документов. Чтобы этого избежать, юристы рекомендуют:
🔹 направить их в суд через «Почту России»;
🔹 отправить по адресу электронной почты суда;
🔹 сдать в канцелярию суда под отметку о получении.

Еще эксперты советуют провести нотариальный осмотр сайта суда или сделать скриншот. Потом это поможет восстановить пропущенные сроки.