Кибервойна
Канал про киберизмерение международной безопасности: конфликты, дипломатия, расследования.
Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
Веду я, Олег Шакиров. Почта cyberguerre@yandex.ru
TGlist rating
0
0
TypePublic
Verification
Not verifiedTrust
Not trustedLocationРосія
LanguageOther
Channel creation dateDec 13, 2019
Added to TGlist
Jun 09, 2024Subscribers
6 010
24 hours
110.2%Week
781.3%Month
3245.7%
Citation index
0
Mentions0Shares on channels0Mentions on channels0
Average views per post
1 369
12 hours7100%24 hours1 3690%48 hours1 108
28.5%
Engagement rate (ER)
1.24%
Reposts17Comments0Reactions6
Engagement rate by reach (ERR)
22.82%
24 hours0%Week
0.53%Month
4.11%
Average views per ad post
862
1 hour12514.5%1 – 4 hours00%4 - 24 hours00%
Total posts in 24 hours
3
Dynamic
5
Latest posts in group "Кибервойна"
17.04.202509:19
Исследователи «Лаборатории Касперского» обнаружили новые атаки китаеязычной APT-группировки IronHusky на российские и монгольские госорганы. Устройства заражались обновлённой версией вредоноса MysterySnail RAT, который злоумышленники применяли ещё в 2021 году. Причём уточняется: «имплант активно использовался в кибератаках все эти годы, просто публичные сообщения о нем отсутствовали». Свою деятельность IronHusky как минимум с 2012 года и уже демонстрировала свой интерес к России и Монголии.
16.04.202515:35
Тревога отменяется (пока). Агентство по кибербезопасности и безопасности критической инфраструктуры (CISA) в последний момент заявило журналистам о продлении контракта с корпорацией MITRE на обслуживание программы CVE.
Также часть членов совета CVE создала новую структуру, CVE Foundation, над которой они работали прошлый год. Идея состоит в том, чтобы передать управление CVE из рук окологосударственной MITRE некоммерческой организации и таким образом избавиться от единой точки отказа в виде возможного прекращения госфинансирования. Пока это только план, но, возможно, что так и будет выглядеть будущее CVE.
Также часть членов совета CVE создала новую структуру, CVE Foundation, над которой они работали прошлый год. Идея состоит в том, чтобы передать управление CVE из рук окологосударственной MITRE некоммерческой организации и таким образом избавиться от единой точки отказа в виде возможного прекращения госфинансирования. Пока это только план, но, возможно, что так и будет выглядеть будущее CVE.
Reposted from:
ESCalator
16.04.202511:46
APT-группировка Cloud Atlas атакует предприятия ОПК России 🌎
В конце прошлого — начале текущего года группа киберразведки обнаружила миграцию управляющей инфраструктуры и эволюцию вредоносных документов в арсенале Cloud Atlas, ознаменовавшие начало новой кампании группировки в отношении предприятий оборонно-промышленного комплекса России.
Наблюдение за выявленной вредоносной инфраструктурой позволило в режиме реального времени отслеживать весь размах новой киберактивности группировки Cloud Atlas, в том числе вскрыть BEC-атаки с использованием электронной почты ранее зараженных предприятий ОПК России для отправки вредоносных документов Microsoft Office в адрес контрагентов.
📫 Вектором проникновения традиционно выступала фишинговая рассылка электронных писем с вредоносными документами Microsoft Office во вложении. Информация об управляющей инфраструктуре и вредоносные VB-скрипты были скрыты в альтернативном потоке данных (1Table) документов. Открытие файлов приводило к выполнению этих скриптов, которые взаимодействовали с API Google Sheets для передачи информации о зараженной системе и загрузки бэкдора PowerShower с последующей эксфильтрацией украденных данных в облачные хранилища (более подробно — в нашем прошлом исследовании).
🤷♂️ Обнаруженные документы — по большей части характерные для государственного сектора шаблоны — отсутствуют в открытом доступе и, вероятнее всего, были украдены из сетей ранее атакованных предприятий. Во избежание раскрытия предприятий, в сетях которых присутствует группировка, из зараженных документов накануне использования в новых атаках удалялись метаданные, о чем свидетельствуют временные метки их модификации.
Активность АРТ-группировки Cloud Atlas отслеживается с 2014 года. Традиционной географией атак являются страны СНГ. В 2024 году вектор кибератак существенно сместился в сторону России, их высокая интенсивность, частота миграции атакующей инфраструктуры и эволюции вредоносных документов сохраняются до настоящего времени.
Прогнозируется сохранение высокого уровня опасности киберугроз для российских учреждений и организаций, исходящих от APT-группировки Cloud Atlas.
🧐 Подробнее читайте на нашем сайте.
#TI #APT #Malware
@ptescalator
В конце прошлого — начале текущего года группа киберразведки обнаружила миграцию управляющей инфраструктуры и эволюцию вредоносных документов в арсенале Cloud Atlas, ознаменовавшие начало новой кампании группировки в отношении предприятий оборонно-промышленного комплекса России.
Наблюдение за выявленной вредоносной инфраструктурой позволило в режиме реального времени отслеживать весь размах новой киберактивности группировки Cloud Atlas, в том числе вскрыть BEC-атаки с использованием электронной почты ранее зараженных предприятий ОПК России для отправки вредоносных документов Microsoft Office в адрес контрагентов.
📫 Вектором проникновения традиционно выступала фишинговая рассылка электронных писем с вредоносными документами Microsoft Office во вложении. Информация об управляющей инфраструктуре и вредоносные VB-скрипты были скрыты в альтернативном потоке данных (1Table) документов. Открытие файлов приводило к выполнению этих скриптов, которые взаимодействовали с API Google Sheets для передачи информации о зараженной системе и загрузки бэкдора PowerShower с последующей эксфильтрацией украденных данных в облачные хранилища (более подробно — в нашем прошлом исследовании).
По содержанию вредоносные вложения представляли собой приглашения на курсы повышения квалификации, документы об антикоррупционных проверках и мобилизационных мероприятиях, акты сверки взаимных расчетов, справки в отношении сотрудников, резюме соискателей на должность оператора ЧПУ.
🤷♂️ Обнаруженные документы — по большей части характерные для государственного сектора шаблоны — отсутствуют в открытом доступе и, вероятнее всего, были украдены из сетей ранее атакованных предприятий. Во избежание раскрытия предприятий, в сетях которых присутствует группировка, из зараженных документов накануне использования в новых атаках удалялись метаданные, о чем свидетельствуют временные метки их модификации.
Активность АРТ-группировки Cloud Atlas отслеживается с 2014 года. Традиционной географией атак являются страны СНГ. В 2024 году вектор кибератак существенно сместился в сторону России, их высокая интенсивность, частота миграции атакующей инфраструктуры и эволюции вредоносных документов сохраняются до настоящего времени.
Прогнозируется сохранение высокого уровня опасности киберугроз для российских учреждений и организаций, исходящих от APT-группировки Cloud Atlas.
🧐 Подробнее читайте на нашем сайте.
#TI #APT #Malware
@ptescalator
16.04.202510:08
«Ведомости» написали про новые атаки Cloud Atlas, обнаруженные исследователями Positive Technologies.
В статье приведён и такой экспертный комментарий:
«В текущих условиях хакерские атаки на объекты ОПК осуществляются весьма часто и в конечном итоге их целью является остановка производства или вывод из строя оборудования, говорит заместитель директора Центра научно-технологической политики МГУ имени М. В. Ломоносова Тимофей Воронин. Нельзя говорить об эффективности данных атак, но их стабильная направленность на российский ОПК подчеркивает необходимость постоянной модернизации инфраструктуры и неукоснительного соблюдения правил в сфере кибербезопасности, отметил он».
Конечно, некоторые злоумышленники стремятся остановить производство, но если говорить об APT-группировках, то задача большинства из них — это закрепление в инфраструктуре для ведения шпионажа. И я совсем не могу согласиться с тезисом, что «нельзя говорить об эффективности этих атак» на ОПК. Некоторые группировки тратят годы и даже десятилетия на совершенствование своего арсенала, поиск и эксплуатацию новых уязвимостей для проведение целевых атак. Разумеется, они не стали бы тратить столько времени и ресурсов на то, что считают неэффективным.
В статье приведён и такой экспертный комментарий:
«В текущих условиях хакерские атаки на объекты ОПК осуществляются весьма часто и в конечном итоге их целью является остановка производства или вывод из строя оборудования, говорит заместитель директора Центра научно-технологической политики МГУ имени М. В. Ломоносова Тимофей Воронин. Нельзя говорить об эффективности данных атак, но их стабильная направленность на российский ОПК подчеркивает необходимость постоянной модернизации инфраструктуры и неукоснительного соблюдения правил в сфере кибербезопасности, отметил он».
Конечно, некоторые злоумышленники стремятся остановить производство, но если говорить об APT-группировках, то задача большинства из них — это закрепление в инфраструктуре для ведения шпионажа. И я совсем не могу согласиться с тезисом, что «нельзя говорить об эффективности этих атак» на ОПК. Некоторые группировки тратят годы и даже десятилетия на совершенствование своего арсенала, поиск и эксплуатацию новых уязвимостей для проведение целевых атак. Разумеется, они не стали бы тратить столько времени и ресурсов на то, что считают неэффективным.
16.04.202508:32
Ради интереса решил посмотреть, насколько БДУ ФСТЭК совпадает с базой CVE. В базе ФСТЭК есть поле «Идентификаторы других систем описаний уязвимости», для одной уязвимости может указываться несколько идентификаторов из одной или разных систем.
В сумме во всей базе указаны идентификаторы из примерно 60 других баз/систем уязвимостей. На картинке показаны топ-10 систем описания уязвимостей, встречающихся в БДУ ФСТЭК. Чаще всего указываются идентификаторы CVE — они есть у 97,5% из почти 70 тысяч уязвимостей в базе. Проще говоря, БДУ ФСТЭК почти полностью пересекается с базой CVE. Впрочем, это не означает, что все эти уязвимости брались из CVE (при желании это тоже можно посчитать, но это уже более трудоёмко), но очевидно, что очень существенная часть.
Если представить сценарий, в котором программа CVE полностью свёрнута, то данные о большинстве уязвимостей в БДУ ФСТЭК пришлось бы собирать из более разрозненных источников. Но о полной остановке речи не идёт, и CISA (источник финансирования программы) думает, как её сохранить.
Уязвимости, для которых не указан идентификатор CVE, — это в большинстве случаев те, которые есть только в БДУ, то есть уязвимости в софте, который используется в основном в России. Учитывая курс на импортозамещение, доля таких уникальных уязвимостей в базе продолжит расти.
Ещё один любопытный момент: в БДУ ФСТЭК всего для 8 уязвимостей указан идентификатор CNNVD (и везде вместе с CVE). То есть с китайской национальной базой данных уязвимостей пересечений почти нет, за ней составители БДУ особо не следят. С одной стороны, это можно объяснить языковым барьером, а также тем, что уникальные данные из китайской базы (уязвимости в китайском софте, допустим) нерелевантны для России. Но всё-таки разница очень показательная. Тем более что в 2015 году в двустороннем соглашении по информационной безопасности Россия и Китай договорились в т.ч. буквально о создании «механизма сотрудничества между уполномоченными органами государств Сторон в целях обмена информацией и совместного использования информации о существующих и потенциальных рисках, угрозах и уязвимостях в области информационной безопасности, их выявления, оценки, изучения, взаимного информирования о них, а также предупреждения их возникновения». 10 лет спустя следов этого механизма по крайней мере с российской стороны не заметно. Даже идентификаторы из японской национальной базы данных уязвимостей встречаются в БДУ в 3 раза чаще китайских.
В сумме во всей базе указаны идентификаторы из примерно 60 других баз/систем уязвимостей. На картинке показаны топ-10 систем описания уязвимостей, встречающихся в БДУ ФСТЭК. Чаще всего указываются идентификаторы CVE — они есть у 97,5% из почти 70 тысяч уязвимостей в базе. Проще говоря, БДУ ФСТЭК почти полностью пересекается с базой CVE. Впрочем, это не означает, что все эти уязвимости брались из CVE (при желании это тоже можно посчитать, но это уже более трудоёмко), но очевидно, что очень существенная часть.
Если представить сценарий, в котором программа CVE полностью свёрнута, то данные о большинстве уязвимостей в БДУ ФСТЭК пришлось бы собирать из более разрозненных источников. Но о полной остановке речи не идёт, и CISA (источник финансирования программы) думает, как её сохранить.
Уязвимости, для которых не указан идентификатор CVE, — это в большинстве случаев те, которые есть только в БДУ, то есть уязвимости в софте, который используется в основном в России. Учитывая курс на импортозамещение, доля таких уникальных уязвимостей в базе продолжит расти.
Ещё один любопытный момент: в БДУ ФСТЭК всего для 8 уязвимостей указан идентификатор CNNVD (и везде вместе с CVE). То есть с китайской национальной базой данных уязвимостей пересечений почти нет, за ней составители БДУ особо не следят. С одной стороны, это можно объяснить языковым барьером, а также тем, что уникальные данные из китайской базы (уязвимости в китайском софте, допустим) нерелевантны для России. Но всё-таки разница очень показательная. Тем более что в 2015 году в двустороннем соглашении по информационной безопасности Россия и Китай договорились в т.ч. буквально о создании «механизма сотрудничества между уполномоченными органами государств Сторон в целях обмена информацией и совместного использования информации о существующих и потенциальных рисках, угрозах и уязвимостях в области информационной безопасности, их выявления, оценки, изучения, взаимного информирования о них, а также предупреждения их возникновения». 10 лет спустя следов этого механизма по крайней мере с российской стороны не заметно. Даже идентификаторы из японской национальной базы данных уязвимостей встречаются в БДУ в 3 раза чаще китайских.
15.04.202520:34
Программа CVE может встать на паузу
Корпорация MITRE может лишиться возможности поддерживать программу CVE (Common Vulnerabilities and Exposures) — базу данных общеизвестных уязвимостей программного обеспечения. Причём уже завтра.
Об этом сообщил в письме членам совета программы CVE вице-президент одного из центров в составе MITRE. О письме первоначально сообщил хакер Tib3rius, его подлинность подтвердил журналист издания Nextgov/FCW (дополнение: вышла статья с подтверждением MITRE).
Вот перевод письма:
«Уважаемые члены совета CVE,
Мы хотим, чтобы вы были в курсе важной потенциальной проблемы, касающейся продолжения поддержки MITRE программы CVE.
В среду 16 апреля 2025 года истекает текущий контракт на развитие, управление и модернизацию корпорацией MITRE программы CVE и несколько других связанных программ, таких как CWE. Правительство продолжает прилагать значительные усилия для того, чтобы MITRE продолжила выполнять свою роль по поддержанию этой программы.
Если обслуживание будет прервано, мы ожидаем многочисленных последствий для CVE включая ухудшение состояния национальных баз данных уязвимостей и рекомендаций, вендоров инструментов, операций по реагированию на инциденты и всех видов критической инфраструктуры.
MITRE остаётся приверженной программе CVE как глобальному ресурсу. Мы благодарим вас как члена Совета CVE за ваше продолжающееся сотрудничество».
CVE развивается уже более 25 лет и является крупнейшей базой данных уязвимостей, идентификаторы CVE фактически служат стандартом по всему миру. Идентификаторы позволяют отслеживать новые уязвимости и обмениваться информацией о них, управлять обновлениями ПО, расследовать инциденты и заниматься киберразведкой. У некоторых государств есть свои национальные базы данных уязвимостей, например Банк данных угроз безопасности информации ФСТЭК в России или китайская национальная база данных уязвимостей. Но у многих стран своих аналогов просто нет, поэтому любые паузы в функционировании программы CVE могут иметь глобальные последствия.
Причины проблем с финансированием MITRE в письме не названы. Можно предположить, что они связаны с действиями администрации по сокращению бюджетных расходов — есть немало примеров, когда финансирование программ или агентств прекращалось или приостанавливалось, а потом возобновлялось. На проблемы с взаимодействием с MITRE ещё несколько недель назад жаловались пользователи ветки Reddit по кибербезопасности.
Корпорация MITRE может лишиться возможности поддерживать программу CVE (Common Vulnerabilities and Exposures) — базу данных общеизвестных уязвимостей программного обеспечения. Причём уже завтра.
Об этом сообщил в письме членам совета программы CVE вице-президент одного из центров в составе MITRE. О письме первоначально сообщил хакер Tib3rius, его подлинность подтвердил журналист издания Nextgov/FCW (дополнение: вышла статья с подтверждением MITRE).
Вот перевод письма:
«Уважаемые члены совета CVE,
Мы хотим, чтобы вы были в курсе важной потенциальной проблемы, касающейся продолжения поддержки MITRE программы CVE.
В среду 16 апреля 2025 года истекает текущий контракт на развитие, управление и модернизацию корпорацией MITRE программы CVE и несколько других связанных программ, таких как CWE. Правительство продолжает прилагать значительные усилия для того, чтобы MITRE продолжила выполнять свою роль по поддержанию этой программы.
Если обслуживание будет прервано, мы ожидаем многочисленных последствий для CVE включая ухудшение состояния национальных баз данных уязвимостей и рекомендаций, вендоров инструментов, операций по реагированию на инциденты и всех видов критической инфраструктуры.
MITRE остаётся приверженной программе CVE как глобальному ресурсу. Мы благодарим вас как члена Совета CVE за ваше продолжающееся сотрудничество».
CVE развивается уже более 25 лет и является крупнейшей базой данных уязвимостей, идентификаторы CVE фактически служат стандартом по всему миру. Идентификаторы позволяют отслеживать новые уязвимости и обмениваться информацией о них, управлять обновлениями ПО, расследовать инциденты и заниматься киберразведкой. У некоторых государств есть свои национальные базы данных уязвимостей, например Банк данных угроз безопасности информации ФСТЭК в России или китайская национальная база данных уязвимостей. Но у многих стран своих аналогов просто нет, поэтому любые паузы в функционировании программы CVE могут иметь глобальные последствия.
Причины проблем с финансированием MITRE в письме не названы. Можно предположить, что они связаны с действиями администрации по сокращению бюджетных расходов — есть немало примеров, когда финансирование программ или агентств прекращалось или приостанавливалось, а потом возобновлялось. На проблемы с взаимодействием с MITRE ещё несколько недель назад жаловались пользователи ветки Reddit по кибербезопасности.
15.04.202516:31
Журналисты РБК вчера рассказали о подготовке законопроекта, который создаст механизм изъятия криптовалюты при уголовных делах. На практике конфискация цифровых активов уже происходит. Например, в деле Марата Тамбиева, который, по версии обвинения, получил взятку у членов Infraud Organization. В 2023 году суд постановил изъять в пользу дохода государства 1023,1 биткоина, которыми владел бывший следователь. В январе ТАСС сообщал, что следователи начали «обращать в доход государства более 1 млрд рублей в биткойнах», которые хранились на кошельке Ledger Nano X. Однако с правовой точки зрения механизм вызывал вопросы, которые должен закрыть подготовленный законопроект.
15.04.202515:59
«Яндекс» первым из российских компаний выставил на багбаунти все свои сервисы с использованием ИИ. Принимаются уязвимости, связанные с процессом сбора и обработки данных, ошибки, ведущие к раскрытию чувствительной информации, влияющие на принятие бизнес-решений, и другие.
Но из скоупа исключены проблемы, касающиеся контента, например вопрос этичности ответов или галлюцинации. То есть если Дмитрию Медведеву или другому чиновнику в очередной раз не понравится сгенерированный ответ или картинка, то за это награду не дадут (но можно сообщить в техподдержку).
Но из скоупа исключены проблемы, касающиеся контента, например вопрос этичности ответов или галлюцинации. То есть если Дмитрию Медведеву или другому чиновнику в очередной раз не понравится сгенерированный ответ или картинка, то за это награду не дадут (но можно сообщить в техподдержку).
Reposted from:
Коммерсантъ
15.04.202514:47
❗️ В России впервые оштрафовали банк за переписку с клиентом в WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ). Сумма штрафа составила 200 тыс. руб., сообщили в Роскомнадзоре.
Как отметили в ведомстве, сотрудник кредитной организации, вопреки запрету, отправил с корпоративного номера сообщение должнику в иностранном мессенджере. С жалобой в РКН обратилась жительница Москвы. Название банка не уточняется.
Ограничения на использование иностранных мессенджеров при оказании финансовых услуг вступили в силу 1 марта 2023 года.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
Как отметили в ведомстве, сотрудник кредитной организации, вопреки запрету, отправил с корпоративного номера сообщение должнику в иностранном мессенджере. С жалобой в РКН обратилась жительница Москвы. Название банка не уточняется.
Ограничения на использование иностранных мессенджеров при оказании финансовых услуг вступили в силу 1 марта 2023 года.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
15.04.202513:43
Плюс новый отчёт от китайской компании Antiy о кибератаках во время «крупного мероприятия в провинции Хэйлунцзян» (скорее всего, тех же зимних Азиатских игр) с разбором примеров некоторых кибератак: сканирования сети, брутфорса, эксплуатации узязвимостей, распространения троянов удалённого доступа, криптомайнинга и управления ботнетом. В отчёте подчёркиваются случаи использования американских IP-адресов, но обвинения в адрес США не выдвигаются (в отличие от отчёта CVERC и сегодняшнего заявления властей Харбина), хотя Antiy в целом не стесняется обвинять американцев.
15.04.202511:47
Власти Харбина объявили награду за трёх сотрудников АНБ
Бюро общественной безопасности Харбина назвало имена трёх сотрудников Агентства национальной безопасности США (АНБ), якобы причастных к кибератакам на прошедшие в феврале зимние Азиатские игры, и объявила награду за информацию, которая поможет из поймать. По мнению правоохранителей, Katheryn A. Wilson, Robert J. Snelling и Stephen W. Johnson, будучи сотрудниками хакерского подразделения АНБ Office of Tailored Access Operations (TAO), проводили атаки как на инфраструктуру спортивного мероприятия, так и на критическую инфраструктуру провинции Хэйлунцзян: энергетику, транспорт, водные ресурсы, коммуникации, исследовательские институты и университеты, связанные с национальной обороной. Расследование якобы установило и причастность троих американцев к прошлыми кибератаками на Huawei. Харбинские власти утверждают, что помимо АНБ в кибератаках на объекты спортивной и критической инфраструктуры участвовали Университет штата Калифорния и Вирджинский политехнический институт и университет штата (Virginia Tech).
О кибератаках в Харбине и провинции Хэйлунцзян в январе-феврале этого года пару недель назад рассказал в своём отчёте Национальный центр реагирования на вирусные угрозы (CVERC). Я подробно разбирал его здесь. По меркам китайских отчётов о киберугозах материал CVERC не очень содержательный. По сути, США атрибутируются массовые кибератаки различного характера на основе использования злоумышленниками IP-адресов в США и Европе, совпадения тактик, техник и процедур (каких — не описано) и часового пояса.
Странно, что такой слабо детализированный отчёт послужил поводом для публичных обвинений в адрес конкретных американских официальных лиц.
Для сравнения, в 2022 году Qihoo360 и CVERC раскрыли подробности атаки на Северо-западный политехнический университет, обвинив в ней всё то же хакерское подразделение АНБ (кстати, авторы китайских отчётов упорно называют его тем именем, под которым оно прославилось — Office of Tailored Access Operations, но официальное название уже некоторое время назад сменилось на Office of Computer Network Operations, OCNO). Та атака носила целевой характер и имела другие признаки, которые делают её гораздо более похожей на активность разведывательной организации, чем массовые атаки, которые упоминаются в отчёте CVERC про зимние Азиатские игры. Недавно австралийская исследовательница произвела небольшую сенсацию в кибербез-сообществе, пересказав китайские отчёты об атаке на Северо-западный политехнический университет доступным для западной аудитории языком — на публикацию в обтекаемых формулировках отреагировало даже АНБ. Так вот, в контексте той атаки китайцы публично упоминали только одну фигуру — Роба Джойса, бывшего главу TAO, имя которого и факт его работы в АНБ и так были широко известны.
Так или иначе, Китай продолжает перенимать американские практики публичной атрибуции кибератак вплоть до назначения награды за информацию об обвинённых во взломах официальных лицах. Сегодняшняя новость показывает, что участвовать в этом процессе могут не только госорганы национального уровня, как это было в марте, когда Министерство государственной безопасности выдвинуло обвинения против предполагаемых служащих тавйваньского киберкомандования, но и региональные власти, в данном случае в Харбине.
Бюро общественной безопасности Харбина назвало имена трёх сотрудников Агентства национальной безопасности США (АНБ), якобы причастных к кибератакам на прошедшие в феврале зимние Азиатские игры, и объявила награду за информацию, которая поможет из поймать. По мнению правоохранителей, Katheryn A. Wilson, Robert J. Snelling и Stephen W. Johnson, будучи сотрудниками хакерского подразделения АНБ Office of Tailored Access Operations (TAO), проводили атаки как на инфраструктуру спортивного мероприятия, так и на критическую инфраструктуру провинции Хэйлунцзян: энергетику, транспорт, водные ресурсы, коммуникации, исследовательские институты и университеты, связанные с национальной обороной. Расследование якобы установило и причастность троих американцев к прошлыми кибератаками на Huawei. Харбинские власти утверждают, что помимо АНБ в кибератаках на объекты спортивной и критической инфраструктуры участвовали Университет штата Калифорния и Вирджинский политехнический институт и университет штата (Virginia Tech).
О кибератаках в Харбине и провинции Хэйлунцзян в январе-феврале этого года пару недель назад рассказал в своём отчёте Национальный центр реагирования на вирусные угрозы (CVERC). Я подробно разбирал его здесь. По меркам китайских отчётов о киберугозах материал CVERC не очень содержательный. По сути, США атрибутируются массовые кибератаки различного характера на основе использования злоумышленниками IP-адресов в США и Европе, совпадения тактик, техник и процедур (каких — не описано) и часового пояса.
Странно, что такой слабо детализированный отчёт послужил поводом для публичных обвинений в адрес конкретных американских официальных лиц.
Для сравнения, в 2022 году Qihoo360 и CVERC раскрыли подробности атаки на Северо-западный политехнический университет, обвинив в ней всё то же хакерское подразделение АНБ (кстати, авторы китайских отчётов упорно называют его тем именем, под которым оно прославилось — Office of Tailored Access Operations, но официальное название уже некоторое время назад сменилось на Office of Computer Network Operations, OCNO). Та атака носила целевой характер и имела другие признаки, которые делают её гораздо более похожей на активность разведывательной организации, чем массовые атаки, которые упоминаются в отчёте CVERC про зимние Азиатские игры. Недавно австралийская исследовательница произвела небольшую сенсацию в кибербез-сообществе, пересказав китайские отчёты об атаке на Северо-западный политехнический университет доступным для западной аудитории языком — на публикацию в обтекаемых формулировках отреагировало даже АНБ. Так вот, в контексте той атаки китайцы публично упоминали только одну фигуру — Роба Джойса, бывшего главу TAO, имя которого и факт его работы в АНБ и так были широко известны.
Так или иначе, Китай продолжает перенимать американские практики публичной атрибуции кибератак вплоть до назначения награды за информацию об обвинённых во взломах официальных лицах. Сегодняшняя новость показывает, что участвовать в этом процессе могут не только госорганы национального уровня, как это было в марте, когда Министерство государственной безопасности выдвинуло обвинения против предполагаемых служащих тавйваньского киберкомандования, но и региональные власти, в данном случае в Харбине.
10.04.202517:47
В России есть не очень понятная мне фиксация на так называемом киберцентре НАТО. Официальное название — Центр передового опыта по сотрудничеству в сфере киберобороны (CCDCOE) или Таллинский центр. Глава "Солара" Игорь Ляпунов в интервью связывает вступление Украины в этот киберцентр в январе 2023 с возвращением кибератак "с новой силой и новыми технологиями".
Во-первых, фактически Украина стала участником CCDCOE ещё в марте 2022 года, а официально — в мае 2023.
Во-вторых, CCDCOE никогда не занимался операционной деятельностью и особого вклада в развитие наступательных возможностей членов альянса тоже не вносил. НАТО (полноценной частью которого центр, кстати, не является) в киберпространстве лучше развивает коллективную оборону, а не на нападение. Причина этого не в благих намерениях, а в том что те, у кого наступательные возможности есть, не особо хотят ими делиться; а у многих их толком и нет. Поэтому в наступательном плане строятся всякие сложные схемы, интересующиеся могут почитать про Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA) — по сути, это механизм, который позволяет странам типа США на добровольной основе предоставлять свои возможности для общих миссий. Более того, известно, что у украинских спецслужб уже был многолетний опыт сотрудничества с американцами по развитию компьютерной разведки — то есть прямой канал взаимодействия с наиболее ресурсным членом альянса. С учётом этого непонятно, что присоединение к CCDCOE могло дать для активизации атак. Для упрощения обмена информацией об угрозах, участия в учениях и тренингах могло, а вот для наступательных действий вряд ли.
Наконец, для многих деструктивных атак (в интервью отмечено, что сейчас на некоторые уходит "два с половиной дня от момента первого исследования до полного уничтожения инфраструктуры компании"), как показывает практика, не обязательно нужны новые технологии НАТО, достаточно фишинга и какого-нибудь общедоступного шифровальщика. Есть и более сложные кибершпионские операции, но мне не попадалось, чтобы кто-то отмечал пересечение инструментария украинских группировок с западными.
Конечно, некоторым в Москве нравится мысль, что за всеми кибератаками против России стоит Запад. Но вообще на четвёртый год интенсивного киберконфликта я бы не удивился, если бы обмен опытом шёл не с Запада в сторону Украины, а наоборот.
Во-первых, фактически Украина стала участником CCDCOE ещё в марте 2022 года, а официально — в мае 2023.
Во-вторых, CCDCOE никогда не занимался операционной деятельностью и особого вклада в развитие наступательных возможностей членов альянса тоже не вносил. НАТО (полноценной частью которого центр, кстати, не является) в киберпространстве лучше развивает коллективную оборону, а не на нападение. Причина этого не в благих намерениях, а в том что те, у кого наступательные возможности есть, не особо хотят ими делиться; а у многих их толком и нет. Поэтому в наступательном плане строятся всякие сложные схемы, интересующиеся могут почитать про Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA) — по сути, это механизм, который позволяет странам типа США на добровольной основе предоставлять свои возможности для общих миссий. Более того, известно, что у украинских спецслужб уже был многолетний опыт сотрудничества с американцами по развитию компьютерной разведки — то есть прямой канал взаимодействия с наиболее ресурсным членом альянса. С учётом этого непонятно, что присоединение к CCDCOE могло дать для активизации атак. Для упрощения обмена информацией об угрозах, участия в учениях и тренингах могло, а вот для наступательных действий вряд ли.
Наконец, для многих деструктивных атак (в интервью отмечено, что сейчас на некоторые уходит "два с половиной дня от момента первого исследования до полного уничтожения инфраструктуры компании"), как показывает практика, не обязательно нужны новые технологии НАТО, достаточно фишинга и какого-нибудь общедоступного шифровальщика. Есть и более сложные кибершпионские операции, но мне не попадалось, чтобы кто-то отмечал пересечение инструментария украинских группировок с западными.
Конечно, некоторым в Москве нравится мысль, что за всеми кибератаками против России стоит Запад. Но вообще на четвёртый год интенсивного киберконфликта я бы не удивился, если бы обмен опытом шёл не с Запада в сторону Украины, а наоборот.
10.04.202516:15
Координационный центр доменов .RU/.РФ и МГИМО выпустили книгу «Международное управление интернетом», она доступна как в печатной, так и в электронной форме (PDF). Редактором издания выступила Елена Зиновьева, над текстом также работал коллектив авторов из МГИМО и других вузов: Александр Игнатов, Александр Уланов, Элина Сидоренко, Анна Сытник, Мария Базлуцкая, Николай Силаев, Василий Таран, Инна Яникеева.
Книга посвящена прежде всего международно-политическим аспектам управления интернетом и почти не касается технической стороны вопроса. В книге сделан обзор ведущейся уже не одно десятилетие дискуссии об управлении интернетом — как академическими авторами, так и практиками. Описана работа международных и неправительственных организаций, задействованных в управлении интернетом. Изложены государственные подходы, прежде всего российский, но также американский и китайский. Третья глава посвящена не только управлению интернетом в узком понимании, но и другим цифровым вопросам, которые обсуждаются в международных форматах. Это как традиционные темы международного права, информационной безопасности и цифрового неравенства, так и новые вызовы, связанные с экологией, искусственным интеллектом и криптовалютами.
В завершение представлены официальные российские взгляды о необходимости реформирования системы управления интернетом:
«Россия исходит из необходимости интернационализации управления Интернетом и апеллирует к следующим принципам: равные права и обязанности в сфере управления Интернетом, недопущение доступа к сети Интернет как инструмента влияния на другие государства, воздержание государств от действий, направленных на ограничение функционирования или доступа к сети Интернет на территории других государств, суверенные права государств на управление национальным сегментом сети Интернет».
Ранее Координационный центр выступал инициатором издания двух редакций перевода популярной книги Йована Курбалийи «Управление интернетом» (Introduction to Internet Governance). По словам директора Координационного центра Андрея Воробьёва, новая книга лучше представляет российские подходы:
«Но "Управление интернетом" Курбалийи отражает в какой-то степени "западный" взгляд на этот процесс, и теперь мы решили познакомить читателей с мнением отечественных ученых, занимающихся этой проблемой».
Книга посвящена прежде всего международно-политическим аспектам управления интернетом и почти не касается технической стороны вопроса. В книге сделан обзор ведущейся уже не одно десятилетие дискуссии об управлении интернетом — как академическими авторами, так и практиками. Описана работа международных и неправительственных организаций, задействованных в управлении интернетом. Изложены государственные подходы, прежде всего российский, но также американский и китайский. Третья глава посвящена не только управлению интернетом в узком понимании, но и другим цифровым вопросам, которые обсуждаются в международных форматах. Это как традиционные темы международного права, информационной безопасности и цифрового неравенства, так и новые вызовы, связанные с экологией, искусственным интеллектом и криптовалютами.
В завершение представлены официальные российские взгляды о необходимости реформирования системы управления интернетом:
«Россия исходит из необходимости интернационализации управления Интернетом и апеллирует к следующим принципам: равные права и обязанности в сфере управления Интернетом, недопущение доступа к сети Интернет как инструмента влияния на другие государства, воздержание государств от действий, направленных на ограничение функционирования или доступа к сети Интернет на территории других государств, суверенные права государств на управление национальным сегментом сети Интернет».
Ранее Координационный центр выступал инициатором издания двух редакций перевода популярной книги Йована Курбалийи «Управление интернетом» (Introduction to Internet Governance). По словам директора Координационного центра Андрея Воробьёва, новая книга лучше представляет российские подходы:
«Но "Управление интернетом" Курбалийи отражает в какой-то степени "западный" взгляд на этот процесс, и теперь мы решили познакомить читателей с мнением отечественных ученых, занимающихся этой проблемой».
10.04.202505:45
SentinelOne оставили без допусков
Российские власти в прошлом году признали нежелательной деятельность кибербез-компании Recorded Future; а американские власти вчера объявили нежелательной другую американскую фирму — SentinelOne. Ну, почти.
Дональд Трамп подписал указ о лишении допуска к секретной информации (clearance) бывшего главы Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Криса Кребса.
CISA было создано во время первого президентства Трампа, и Кребс стал его первым руководителем. Однако единомышленниками они не были, и конфликт вышел наружу в контексте президентских выборов 2020 года. Во время избирательной гонки и после своего поражения Трамп заявлял о фальсификациях на выборах. Кребс как глава агентства, которое занималось защитой избирательной инфраструктуры, подчёркивал безопасность выборов (как и 4 года спустя его преемница Джен Истерли). Вскоре после голосования Трамп уволил Кребса, и тот продолжил карьеру в частном секторе.
Во вчерашнем указе Трамп называет бывшего главу CISA недобросовестным человеком, который злоупотреблял своими полномочиями на госслужбе: подавлял консервативные взгляды под предлогом борьбы с недостоверной информацией; тайно участвовал в сокрытии скандала вокруг ноутбука Хантера Байдена; занимался цензурой информации о выборах и, в частности, отрицал, что выборы 2020 года были украдены; искажал общественную дискуссию на тему COVID-19.
(Ещё один указ Трампа лишает допуска Майлса Тэйлора, бывшего руководителя аппарата Министерства внутренней безопасности и автора скандальной анонимной колонки в New York Times «Я часть сопротивления внутри администрации Трампа».)
При чём тут SentinelOne? Компания, по сути, стала побочной жертвой политической борьбы. Своим указом Трамп не только лишил допуска Кребса, но и поручил приостановить действующие допуски, которыми обладают лица в структурах, связанных с Кребсом, включая SentinelOne — именно в этой компании сейчас работает бывший глава CISA в качестве руководителя по разведке и публичной политике. По допускам этих лиц будет проведена проверка на предмет соответствия национальным интересам.
Допуск к секретной информации может быть нужен компаниям в сфере кибербезопасности для взаимодействия с государственными ведомствами, работы над проектами, связанными с нацбезопасностью и защитой критической инфраструктуры. На практике сегодняшний указ может стать препятствием для выполнение компанией госконтрактов, осложнить обмен информацией о киберугрозах, а также негативно отразиться на её деловой репутации.
Российские власти в прошлом году признали нежелательной деятельность кибербез-компании Recorded Future; а американские власти вчера объявили нежелательной другую американскую фирму — SentinelOne. Ну, почти.
Дональд Трамп подписал указ о лишении допуска к секретной информации (clearance) бывшего главы Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Криса Кребса.
CISA было создано во время первого президентства Трампа, и Кребс стал его первым руководителем. Однако единомышленниками они не были, и конфликт вышел наружу в контексте президентских выборов 2020 года. Во время избирательной гонки и после своего поражения Трамп заявлял о фальсификациях на выборах. Кребс как глава агентства, которое занималось защитой избирательной инфраструктуры, подчёркивал безопасность выборов (как и 4 года спустя его преемница Джен Истерли). Вскоре после голосования Трамп уволил Кребса, и тот продолжил карьеру в частном секторе.
Во вчерашнем указе Трамп называет бывшего главу CISA недобросовестным человеком, который злоупотреблял своими полномочиями на госслужбе: подавлял консервативные взгляды под предлогом борьбы с недостоверной информацией; тайно участвовал в сокрытии скандала вокруг ноутбука Хантера Байдена; занимался цензурой информации о выборах и, в частности, отрицал, что выборы 2020 года были украдены; искажал общественную дискуссию на тему COVID-19.
(Ещё один указ Трампа лишает допуска Майлса Тэйлора, бывшего руководителя аппарата Министерства внутренней безопасности и автора скандальной анонимной колонки в New York Times «Я часть сопротивления внутри администрации Трампа».)
При чём тут SentinelOne? Компания, по сути, стала побочной жертвой политической борьбы. Своим указом Трамп не только лишил допуска Кребса, но и поручил приостановить действующие допуски, которыми обладают лица в структурах, связанных с Кребсом, включая SentinelOne — именно в этой компании сейчас работает бывший глава CISA в качестве руководителя по разведке и публичной политике. По допускам этих лиц будет проведена проверка на предмет соответствия национальным интересам.
Допуск к секретной информации может быть нужен компаниям в сфере кибербезопасности для взаимодействия с государственными ведомствами, работы над проектами, связанными с нацбезопасностью и защитой критической инфраструктуры. На практике сегодняшний указ может стать препятствием для выполнение компанией госконтрактов, осложнить обмен информацией о киберугрозах, а также негативно отразиться на её деловой репутации.
10.04.202504:37
Где сновал Пегас
В 2019 году Pegasus применялся для атак на 1223 пользователей WhatsApp в 51 стране. Количество жертв шпионской программы стало известно из материалов судебного разбирательства по иску Meta к NSO Group.
Больше всего жертв слежки было в Мексике (456). Это подтверждает предыдущие журналистские расследования о злоупотреблениях мексиканских властей программой, которая позиционировалась как инструмент для правоохранительных органов. Также в топе Индия (100), Бахрейн (82), Марокко (69), Пакистан (58) и Индонезия (54).
Pegasus применялся и против жертв в западных странах, в том числе в Испании, Нидерландах, Франции, Германии, Великобритании, Канаде и США.
Также слежка велась за пользователями WhatsApp на постсоветском пространстве: в Узбекистане, Казахстане, Латвии, Кыргызстане, Эстонии.
Как отмечает TechCrunch, наличие жертв Pegasus в определённой стране не обязательно свидетельствует о том, что правительство данной страны было клиентом NSO Group. Возможно, что клиент мог заказывать слежку и за гражданином другой страны.
Поскольку суд идёт именно по злоупотреблению WhatsApp (уязвимость в мессенджере использовалась для первоначального заражения устройства), то приведённые цифры — это жертвы, атакованные только через этот вектор в течение примерно двух месяцев в апреле-мае 2019 года.
В 2019 году Pegasus применялся для атак на 1223 пользователей WhatsApp в 51 стране. Количество жертв шпионской программы стало известно из материалов судебного разбирательства по иску Meta к NSO Group.
Больше всего жертв слежки было в Мексике (456). Это подтверждает предыдущие журналистские расследования о злоупотреблениях мексиканских властей программой, которая позиционировалась как инструмент для правоохранительных органов. Также в топе Индия (100), Бахрейн (82), Марокко (69), Пакистан (58) и Индонезия (54).
Pegasus применялся и против жертв в западных странах, в том числе в Испании, Нидерландах, Франции, Германии, Великобритании, Канаде и США.
Также слежка велась за пользователями WhatsApp на постсоветском пространстве: в Узбекистане, Казахстане, Латвии, Кыргызстане, Эстонии.
Как отмечает TechCrunch, наличие жертв Pegasus в определённой стране не обязательно свидетельствует о том, что правительство данной страны было клиентом NSO Group. Возможно, что клиент мог заказывать слежку и за гражданином другой страны.
Поскольку суд идёт именно по злоупотреблению WhatsApp (уязвимость в мессенджере использовалась для первоначального заражения устройства), то приведённые цифры — это жертвы, атакованные только через этот вектор в течение примерно двух месяцев в апреле-мае 2019 года.
Records
17.04.202523:59
6KSubscribers06.02.202512:34
200Citation index07.04.202523:59
1.5KAverage views per post28.03.202517:45
1KAverage views per ad post06.04.202523:59
5.83%ER07.04.202523:59
24.56%ERRReposted from:
BESSEC
25.03.202521:52
🔴Изменения 187-ФЗ
В третьем чтении государственной думой приняты изменения в 187-ФЗ #КИИ
🚪 исключены ИП
🚪 ГосСОПКА теперь мониторит не только инциденты, но и атаки
🚪 Правительство устанавливает: типовые перечни ОКИИ, отраслевые особенности категорирования, требования к устанавливаемым на ЗОКИИ программно-аппаратным средствам
🚪 Госконтроль с учетом типовых перечней ОКИИ и отраслевых особенностей категорирования
🚪 Непрерывное взаимодействие с ГосСОПКА
🚪 Взаимодействие с ГосСОПКА всех госорганов и госучреждений независимо от сферы деятельности
🚪 Порядок мониторинга за переходом на отечественное ПО и ПАК
❗️ Вступает в силу 01.09.2025
В третьем чтении государственной думой приняты изменения в 187-ФЗ #КИИ
🚪 исключены ИП
🚪 ГосСОПКА теперь мониторит не только инциденты, но и атаки
🚪 Правительство устанавливает: типовые перечни ОКИИ, отраслевые особенности категорирования, требования к устанавливаемым на ЗОКИИ программно-аппаратным средствам
🚪 Госконтроль с учетом типовых перечней ОКИИ и отраслевых особенностей категорирования
🚪 Непрерывное взаимодействие с ГосСОПКА
🚪 Взаимодействие с ГосСОПКА всех госорганов и госучреждений независимо от сферы деятельности
🚪 Порядок мониторинга за переходом на отечественное ПО и ПАК
❗️ Вступает в силу 01.09.2025
15.04.202520:34
Программа CVE может встать на паузу
Корпорация MITRE может лишиться возможности поддерживать программу CVE (Common Vulnerabilities and Exposures) — базу данных общеизвестных уязвимостей программного обеспечения. Причём уже завтра.
Об этом сообщил в письме членам совета программы CVE вице-президент одного из центров в составе MITRE. О письме первоначально сообщил хакер Tib3rius, его подлинность подтвердил журналист издания Nextgov/FCW (дополнение: вышла статья с подтверждением MITRE).
Вот перевод письма:
«Уважаемые члены совета CVE,
Мы хотим, чтобы вы были в курсе важной потенциальной проблемы, касающейся продолжения поддержки MITRE программы CVE.
В среду 16 апреля 2025 года истекает текущий контракт на развитие, управление и модернизацию корпорацией MITRE программы CVE и несколько других связанных программ, таких как CWE. Правительство продолжает прилагать значительные усилия для того, чтобы MITRE продолжила выполнять свою роль по поддержанию этой программы.
Если обслуживание будет прервано, мы ожидаем многочисленных последствий для CVE включая ухудшение состояния национальных баз данных уязвимостей и рекомендаций, вендоров инструментов, операций по реагированию на инциденты и всех видов критической инфраструктуры.
MITRE остаётся приверженной программе CVE как глобальному ресурсу. Мы благодарим вас как члена Совета CVE за ваше продолжающееся сотрудничество».
CVE развивается уже более 25 лет и является крупнейшей базой данных уязвимостей, идентификаторы CVE фактически служат стандартом по всему миру. Идентификаторы позволяют отслеживать новые уязвимости и обмениваться информацией о них, управлять обновлениями ПО, расследовать инциденты и заниматься киберразведкой. У некоторых государств есть свои национальные базы данных уязвимостей, например Банк данных угроз безопасности информации ФСТЭК в России или китайская национальная база данных уязвимостей. Но у многих стран своих аналогов просто нет, поэтому любые паузы в функционировании программы CVE могут иметь глобальные последствия.
Причины проблем с финансированием MITRE в письме не названы. Можно предположить, что они связаны с действиями администрации по сокращению бюджетных расходов — есть немало примеров, когда финансирование программ или агентств прекращалось или приостанавливалось, а потом возобновлялось. На проблемы с взаимодействием с MITRE ещё несколько недель назад жаловались пользователи ветки Reddit по кибербезопасности.
Корпорация MITRE может лишиться возможности поддерживать программу CVE (Common Vulnerabilities and Exposures) — базу данных общеизвестных уязвимостей программного обеспечения. Причём уже завтра.
Об этом сообщил в письме членам совета программы CVE вице-президент одного из центров в составе MITRE. О письме первоначально сообщил хакер Tib3rius, его подлинность подтвердил журналист издания Nextgov/FCW (дополнение: вышла статья с подтверждением MITRE).
Вот перевод письма:
«Уважаемые члены совета CVE,
Мы хотим, чтобы вы были в курсе важной потенциальной проблемы, касающейся продолжения поддержки MITRE программы CVE.
В среду 16 апреля 2025 года истекает текущий контракт на развитие, управление и модернизацию корпорацией MITRE программы CVE и несколько других связанных программ, таких как CWE. Правительство продолжает прилагать значительные усилия для того, чтобы MITRE продолжила выполнять свою роль по поддержанию этой программы.
Если обслуживание будет прервано, мы ожидаем многочисленных последствий для CVE включая ухудшение состояния национальных баз данных уязвимостей и рекомендаций, вендоров инструментов, операций по реагированию на инциденты и всех видов критической инфраструктуры.
MITRE остаётся приверженной программе CVE как глобальному ресурсу. Мы благодарим вас как члена Совета CVE за ваше продолжающееся сотрудничество».
CVE развивается уже более 25 лет и является крупнейшей базой данных уязвимостей, идентификаторы CVE фактически служат стандартом по всему миру. Идентификаторы позволяют отслеживать новые уязвимости и обмениваться информацией о них, управлять обновлениями ПО, расследовать инциденты и заниматься киберразведкой. У некоторых государств есть свои национальные базы данных уязвимостей, например Банк данных угроз безопасности информации ФСТЭК в России или китайская национальная база данных уязвимостей. Но у многих стран своих аналогов просто нет, поэтому любые паузы в функционировании программы CVE могут иметь глобальные последствия.
Причины проблем с финансированием MITRE в письме не названы. Можно предположить, что они связаны с действиями администрации по сокращению бюджетных расходов — есть немало примеров, когда финансирование программ или агентств прекращалось или приостанавливалось, а потом возобновлялось. На проблемы с взаимодействием с MITRE ещё несколько недель назад жаловались пользователи ветки Reddit по кибербезопасности.
Reposted from:
Пост Лукацкого
08.04.202509:29
Проукраинская группировка взломала IEK Group, одного из лидеров российского рынка электротехники ⚡️, о чем последняя 19 марта сообщила в своих соцсетях. В самом сообщении компании говорится от отражении атаки, хотя большинство бизнес-систем было выведено из строя - отгрузка товара прекращена, заказы не принимались, данные удалены из личных кабинетов и т.п. 🤷♀️ Такое себе "отражение"...
Спустя сутки, 20 марта, компания написала 🧑💻, что доступ к системам, включая личный кабинет для заказа товаров был восстановлен, но, как пишут в Интернет, данные по истории заказов в кабинете отсутствовали. 28 марта IEK Group пишет, что восстановлена логистика 🚚 (спустя 10 дней с момента инцидента). Клиенты в комментариях задают вопросы, почему не работают бизнес-системы. 31 марта продолжали не работать ресурсы Академии IEK.
Интересно посмотреть на этот инцидент 🔓 со стороны хакерской группировки, которая взяла на себя ответственность за взлом и 4-го апреля написала об этом в своем Telegram-канале. Становится понятно, что речь идет о шифровальщике, который целиком пошифровал всю инфраструктуру (а в ней, судя по выложенным скринам, были и известные средства защиты развернуты) 🔄
В выложенных скринах много всего, включая даже уведомление об этом критическом инциденте от известного аутсорсингового SOC, который мониторил жертву 🔍 и который обнаружил шифровальщика в ночь 19 марта (возможно и раньше, но про это неизвестно). Дальше интереснее. 21 марта, видимо, начались переговоры между вымогателями и IEK Group в части оплаты выкупа в 50 тысяч долларов, которые, опять же, предположительно, были выплачены жертвой в криптовалюте. Но… доступ к данным возвращен не был, а хакеры публично глумятся над «доверчивой жертвой» 😂, заявив заодно и об уничтожении всех зашифрованных данных, виртуальных машин и т.п.
В этой истории можно много о чем порассуждать, но я обращу внимание только на один момент. Руководство компании приняло решение о выплате выкупа 🤑 и это именно бизнес-решение; но киберпреступники обманули. Что ж, такое случается сплошь и рядом. Клиенты кидают, контрагенты кидают, партнеры кидают... чем хакеры лучше 🤔 Теперь эта сумма, если она и правда была уплачена, будет включена в статью затрат на разгребание инцидента наряду с другими расходами (про финансовую оценку инцидентов можно посмотреть запись вебинара, который я вел). Мир не рухнул. Обычное управление бизнес-рисками, которые не только про возможности, но и про потери 🧐
ЗЫ. А в процедуру по принятию решения "платить или нет вымогателям" я бы добавил еще один пункт - не находится ли вымогатель в государстве, с которым геополитическая напряженность, назовем это так. Это может снизить вероятность успешного завершения переговоров по поводу возврата доступа к зашифрованным файлам. Разумеется, если мы можем понять, что за вымогатель с нами вышел на связь.
#инцидент #ransomware #антикризис
Спустя сутки, 20 марта, компания написала 🧑💻, что доступ к системам, включая личный кабинет для заказа товаров был восстановлен, но, как пишут в Интернет, данные по истории заказов в кабинете отсутствовали. 28 марта IEK Group пишет, что восстановлена логистика 🚚 (спустя 10 дней с момента инцидента). Клиенты в комментариях задают вопросы, почему не работают бизнес-системы. 31 марта продолжали не работать ресурсы Академии IEK.
Интересно посмотреть на этот инцидент 🔓 со стороны хакерской группировки, которая взяла на себя ответственность за взлом и 4-го апреля написала об этом в своем Telegram-канале. Становится понятно, что речь идет о шифровальщике, который целиком пошифровал всю инфраструктуру (а в ней, судя по выложенным скринам, были и известные средства защиты развернуты) 🔄
В выложенных скринах много всего, включая даже уведомление об этом критическом инциденте от известного аутсорсингового SOC, который мониторил жертву 🔍 и который обнаружил шифровальщика в ночь 19 марта (возможно и раньше, но про это неизвестно). Дальше интереснее. 21 марта, видимо, начались переговоры между вымогателями и IEK Group в части оплаты выкупа в 50 тысяч долларов, которые, опять же, предположительно, были выплачены жертвой в криптовалюте. Но… доступ к данным возвращен не был, а хакеры публично глумятся над «доверчивой жертвой» 😂, заявив заодно и об уничтожении всех зашифрованных данных, виртуальных машин и т.п.
В этой истории можно много о чем порассуждать, но я обращу внимание только на один момент. Руководство компании приняло решение о выплате выкупа 🤑 и это именно бизнес-решение; но киберпреступники обманули. Что ж, такое случается сплошь и рядом. Клиенты кидают, контрагенты кидают, партнеры кидают... чем хакеры лучше 🤔 Теперь эта сумма, если она и правда была уплачена, будет включена в статью затрат на разгребание инцидента наряду с другими расходами (про финансовую оценку инцидентов можно посмотреть запись вебинара, который я вел). Мир не рухнул. Обычное управление бизнес-рисками, которые не только про возможности, но и про потери 🧐
ЗЫ. А в процедуру по принятию решения "платить или нет вымогателям" я бы добавил еще один пункт - не находится ли вымогатель в государстве, с которым геополитическая напряженность, назовем это так. Это может снизить вероятность успешного завершения переговоров по поводу возврата доступа к зашифрованным файлам. Разумеется, если мы можем понять, что за вымогатель с нами вышел на связь.
#инцидент #ransomware #антикризис
Reposted from:
Forbes Russia
28.03.202515:07
Минцифры после хакерской атаки на Lovit рассматривает возможность введения ответственности для управляющих компаний, которые препятствуют доступу интернет-провайдеров в многоквартирные дома, заявил Шадаев. Провайдер Lovit столкнулся с масштабной DDoS-атакой 21 марта, по состоянию на вечер 25 марта атака все еще продолжалась. В новостройках группы компаний ПИК в Москве и Санкт-Петербурге Lovit — единственный провайдер
10.04.202517:47
В России есть не очень понятная мне фиксация на так называемом киберцентре НАТО. Официальное название — Центр передового опыта по сотрудничеству в сфере киберобороны (CCDCOE) или Таллинский центр. Глава "Солара" Игорь Ляпунов в интервью связывает вступление Украины в этот киберцентр в январе 2023 с возвращением кибератак "с новой силой и новыми технологиями".
Во-первых, фактически Украина стала участником CCDCOE ещё в марте 2022 года, а официально — в мае 2023.
Во-вторых, CCDCOE никогда не занимался операционной деятельностью и особого вклада в развитие наступательных возможностей членов альянса тоже не вносил. НАТО (полноценной частью которого центр, кстати, не является) в киберпространстве лучше развивает коллективную оборону, а не на нападение. Причина этого не в благих намерениях, а в том что те, у кого наступательные возможности есть, не особо хотят ими делиться; а у многих их толком и нет. Поэтому в наступательном плане строятся всякие сложные схемы, интересующиеся могут почитать про Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA) — по сути, это механизм, который позволяет странам типа США на добровольной основе предоставлять свои возможности для общих миссий. Более того, известно, что у украинских спецслужб уже был многолетний опыт сотрудничества с американцами по развитию компьютерной разведки — то есть прямой канал взаимодействия с наиболее ресурсным членом альянса. С учётом этого непонятно, что присоединение к CCDCOE могло дать для активизации атак. Для упрощения обмена информацией об угрозах, участия в учениях и тренингах могло, а вот для наступательных действий вряд ли.
Наконец, для многих деструктивных атак (в интервью отмечено, что сейчас на некоторые уходит "два с половиной дня от момента первого исследования до полного уничтожения инфраструктуры компании"), как показывает практика, не обязательно нужны новые технологии НАТО, достаточно фишинга и какого-нибудь общедоступного шифровальщика. Есть и более сложные кибершпионские операции, но мне не попадалось, чтобы кто-то отмечал пересечение инструментария украинских группировок с западными.
Конечно, некоторым в Москве нравится мысль, что за всеми кибератаками против России стоит Запад. Но вообще на четвёртый год интенсивного киберконфликта я бы не удивился, если бы обмен опытом шёл не с Запада в сторону Украины, а наоборот.
Во-первых, фактически Украина стала участником CCDCOE ещё в марте 2022 года, а официально — в мае 2023.
Во-вторых, CCDCOE никогда не занимался операционной деятельностью и особого вклада в развитие наступательных возможностей членов альянса тоже не вносил. НАТО (полноценной частью которого центр, кстати, не является) в киберпространстве лучше развивает коллективную оборону, а не на нападение. Причина этого не в благих намерениях, а в том что те, у кого наступательные возможности есть, не особо хотят ими делиться; а у многих их толком и нет. Поэтому в наступательном плане строятся всякие сложные схемы, интересующиеся могут почитать про Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA) — по сути, это механизм, который позволяет странам типа США на добровольной основе предоставлять свои возможности для общих миссий. Более того, известно, что у украинских спецслужб уже был многолетний опыт сотрудничества с американцами по развитию компьютерной разведки — то есть прямой канал взаимодействия с наиболее ресурсным членом альянса. С учётом этого непонятно, что присоединение к CCDCOE могло дать для активизации атак. Для упрощения обмена информацией об угрозах, участия в учениях и тренингах могло, а вот для наступательных действий вряд ли.
Наконец, для многих деструктивных атак (в интервью отмечено, что сейчас на некоторые уходит "два с половиной дня от момента первого исследования до полного уничтожения инфраструктуры компании"), как показывает практика, не обязательно нужны новые технологии НАТО, достаточно фишинга и какого-нибудь общедоступного шифровальщика. Есть и более сложные кибершпионские операции, но мне не попадалось, чтобы кто-то отмечал пересечение инструментария украинских группировок с западными.
Конечно, некоторым в Москве нравится мысль, что за всеми кибератаками против России стоит Запад. Но вообще на четвёртый год интенсивного киберконфликта я бы не удивился, если бы обмен опытом шёл не с Запада в сторону Украины, а наоборот.
03.04.202510:49
Компания BI.ZONE запустила бесплатную версию своей платформы для киберразведки. По сути, это каталог хакерских группировок с кратким описанием и характеристикой: какие страны и отрасли подвергались их атакам, какими инструментами пользуется группировка. Также даны ссылки на публичные отчёты о деятельности некоторых группировок.
BI.ZONE использует собственную классификацию и делит атакующих на «гиен» (хактивистов), «волков» (финансово мотивированных злоумышленников) и «оборотней» (связанных с государствами шпионов). Но указаны также названия от других вендоров.
Всего в платформе сейчас видно 142 группировки: есть и северокорейские APT37 и Lazarus, и проукраинские хактивисты, и загадочный XDSpy, и многие другие. А вот Equation Group и Longhorn в каталог не попали. Видимо, бездействуют. Из предположительно американских указана Triangle Werewolf — так обозначена группировка, стоявшая за «Операцией Триангуляция».
BI.ZONE использует собственную классификацию и делит атакующих на «гиен» (хактивистов), «волков» (финансово мотивированных злоумышленников) и «оборотней» (связанных с государствами шпионов). Но указаны также названия от других вендоров.
Всего в платформе сейчас видно 142 группировки: есть и северокорейские APT37 и Lazarus, и проукраинские хактивисты, и загадочный XDSpy, и многие другие. А вот Equation Group и Longhorn в каталог не попали. Видимо, бездействуют. Из предположительно американских указана Triangle Werewolf — так обозначена группировка, стоявшая за «Операцией Триангуляция».
Reposted from:
РБК. Новости. Главное
26.03.202512:30
Компьютерная инфраструктура ЛУКОЙЛа подверглась хакерской атаке, сообщили источники РБК.
Компания попала под атаку вируса-шифровальщика, сообщил источник РБК в одной из компаний по обеспечению информационной безопасности. По состоянию на 13:00 доступ к инфраструктуре компании не был восстановлен, сообщил еще один источник РБК в ЛУКОЙЛе. Об атаке знает и третий источник, знакомый с ситуацией.
Критическая инфраструктура компании не затронута, ведутся работы по устранению последствий атаки, сообщили в Центре мониторинга и управления сетью связи общего пользования (структура Роскомнадзора).
🐚 Картина дня — в телеграм-канале РБК
Компания попала под атаку вируса-шифровальщика, сообщил источник РБК в одной из компаний по обеспечению информационной безопасности. По состоянию на 13:00 доступ к инфраструктуре компании не был восстановлен, сообщил еще один источник РБК в ЛУКОЙЛе. Об атаке знает и третий источник, знакомый с ситуацией.
Критическая инфраструктура компании не затронута, ведутся работы по устранению последствий атаки, сообщили в Центре мониторинга и управления сетью связи общего пользования (структура Роскомнадзора).
🐚 Картина дня — в телеграм-канале РБК
Reposted from:Коммерсантъ
15.04.202514:47
❗️ В России впервые оштрафовали банк за переписку с клиентом в WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ). Сумма штрафа составила 200 тыс. руб., сообщили в Роскомнадзоре.
Как отметили в ведомстве, сотрудник кредитной организации, вопреки запрету, отправил с корпоративного номера сообщение должнику в иностранном мессенджере. С жалобой в РКН обратилась жительница Москвы. Название банка не уточняется.
Ограничения на использование иностранных мессенджеров при оказании финансовых услуг вступили в силу 1 марта 2023 года.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
Как отметили в ведомстве, сотрудник кредитной организации, вопреки запрету, отправил с корпоративного номера сообщение должнику в иностранном мессенджере. С жалобой в РКН обратилась жительница Москвы. Название банка не уточняется.
Ограничения на использование иностранных мессенджеров при оказании финансовых услуг вступили в силу 1 марта 2023 года.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
Log in to unlock more functionality.