Кибервойна
08.05.202512:56
Сегодня исполняется ровно 10 лет со дня подписания межправительственного соглашения между Россией и Китаем о сотрудничестве в области обеспечения международной информационной безопасности. Оно вступило в силу чуть позднее, в августе 2016 года.
Целиком с текстом можно ознакомиться здесь, но я в очередной раз отмечу пункт 3 статьи 4, в соответствии с которым стороны обязуются не проводить в отношении друг друга кибератаки. В мировой практике не так много примеров таких договорённостей между государствами да ещё и в юридически обязывающей форме. А позаимствовано это положение из другого документа с участием России и Китая, но уже многостороннего — межправительственного соглашения ШОС 2009 года.
Как спустя десятилетие стороны относятся к этому обязательству, достоверно неизвестно. Но российские ИБ-компании регулярно сообщают об атаках предположительно китайских APT-группировок, а китайские чуть реже — о предоложительно российских.
В сегодняшнем совместном российско-китайском заявлении тоже есть небольшой раздел про сотрудничество в сфере ИКТ.
Целиком с текстом можно ознакомиться здесь, но я в очередной раз отмечу пункт 3 статьи 4, в соответствии с которым стороны обязуются не проводить в отношении друг друга кибератаки. В мировой практике не так много примеров таких договорённостей между государствами да ещё и в юридически обязывающей форме. А позаимствовано это положение из другого документа с участием России и Китая, но уже многостороннего — межправительственного соглашения ШОС 2009 года.
Как спустя десятилетие стороны относятся к этому обязательству, достоверно неизвестно. Но российские ИБ-компании регулярно сообщают об атаках предположительно китайских APT-группировок, а китайские чуть реже — о предоложительно российских.
В сегодняшнем совместном российско-китайском заявлении тоже есть небольшой раздел про сотрудничество в сфере ИКТ.
07.05.202510:32
За новостями об отключениях мобильного интернета по требованию российских властей не стоит забывать и о нарушении связи из-за кибератак.
Интернет-провайдеры часто становятся мишенями проукраинских группировок. Например, на прошлой неделе из-за DDoS-атаки на крупного сибирского провайдера «Сибирские сети» на протяжении двух дней без стабильного доступа к интернету оставались многие жители Новосибирска. Также атака затронула Новокузнецкий, Кемеровский и Красноярский филиалы компании.
«Сибсети» уже не первый раз становятся жертвой DDoS-атаки. Если в ноябре прошлого года ответственность за нарушение работы провайдера взяла IT-армия Украины, то в этот раз атаку полуофициально (через украинские СМИ) записало себе в заслуги Главное управление разведки (ГУР) Минобороны Украины.
Несложно представить сценарий, при котором «совместными» российско-украинскими усилиями какой-либо регион может быть полностью отрезан от интернета: сотовую связь отключат по указке российских властей из соображений безопасности, а домашний интернет окажется недоступен из-за украинской кибератаки на одного-двух ключевых провайдеров.
Рекомендую организациям учитывать такую возможность при формировании перечня недопустимых событий.
Интернет-провайдеры часто становятся мишенями проукраинских группировок. Например, на прошлой неделе из-за DDoS-атаки на крупного сибирского провайдера «Сибирские сети» на протяжении двух дней без стабильного доступа к интернету оставались многие жители Новосибирска. Также атака затронула Новокузнецкий, Кемеровский и Красноярский филиалы компании.
«Сибсети» уже не первый раз становятся жертвой DDoS-атаки. Если в ноябре прошлого года ответственность за нарушение работы провайдера взяла IT-армия Украины, то в этот раз атаку полуофициально (через украинские СМИ) записало себе в заслуги Главное управление разведки (ГУР) Минобороны Украины.
Несложно представить сценарий, при котором «совместными» российско-украинскими усилиями какой-либо регион может быть полностью отрезан от интернета: сотовую связь отключат по указке российских властей из соображений безопасности, а домашний интернет окажется недоступен из-за украинской кибератаки на одного-двух ключевых провайдеров.
Рекомендую организациям учитывать такую возможность при формировании перечня недопустимых событий.
से पुनः पोस्ट किया:
Хакер — Xakep.RU
06.05.202519:41
Взломан форк Signal, которым пользуются в администрации Дональда Трампа
Издание 404 Media сообщило о взломе израильской компании TeleMessage, которая поставляет неофициальные версии приложений Telegram, WhatsApp, WeChat и Signal. Незадолго до взлома журналисты обратили внимание, что форком Signal (TM SGNL) пользовался бывший советник Дональда Трампа по национальной безопасности Майк Уолтц.
https://xakep.ru/2025/05/06/telemessage-hacked/
Издание 404 Media сообщило о взломе израильской компании TeleMessage, которая поставляет неофициальные версии приложений Telegram, WhatsApp, WeChat и Signal. Незадолго до взлома журналисты обратили внимание, что форком Signal (TM SGNL) пользовался бывший советник Дональда Трампа по национальной безопасности Майк Уолтц.
https://xakep.ru/2025/05/06/telemessage-hacked/
05.05.202519:18
Баку винит Россию в февральской кибератаке на СМИ
Азербайджанские власти считают, что за атакой на медиа-ресурсы страны 20 февраля стоит связанная с Россией хакерская группировка APT29, а поводом для атак стало решение Азербайджана закрыть представительства Россотрудничества («Русский дом») и «России Сегодня». В пятницу заявление об этом сделал Рамид Намазов, председатель Временной комиссии против внешних вмешательств и гибридных угроз, на общественных слушаниях в Национальном собрании.
Намазов связал атаки с APT29 во время доклада об итогах расследования, что не равноценно официально дипломатическому демаршу или заявлению руководителя государства. Тем не менее позиция озвучена публично депутатом от президентской партии «Новый Азербайджан». В любом случае ничего даже близкого к этому в российско-азербайджанских отношениях ещё не было, да и публичной атрибуцией кибератак азербайджанские власти особо не занимались.
Кибератака, о которой идёт речь, произошли утром 20 февраля. Её мишенями стали СМИ, входящие в структуру Global Media Group (сайты Report.Az, Oxu.Az, Media.Az, Baku.Ws, Caliber.Az, канал Baku TV), а также сайт Azpolitika.Info. Global Media Group заявила о попытках взлома серверов и панелей управления и размещении на сайтах изображений религиозного характера. Компания подчеркнула, «что это не просто DDoS-атака, а профессиональная, многоуровневая кибератака». Сайты не работали, а на их главной странице атакующие повесили дефейс в виде флага Движения исламского сопротивления в Азербайджане и суры из Корана. Эта исламистская группировка также известна под названием Хусейниты и, как считается, сформирована при поддержке Ирана. Непосредственно после атаки некоторые СМИ писали о ней так, как будто за взломом действительно стояли Хусейниты, но другие издания ставили эту версию под сомнение. Агентство развития медиа Азербайджана назвало взломы атакой, направленной на информационную безопасность страны. А азербайджанская Служба электронной безопасности почти через неделю выпустила заявление о массовых DDoS-атаках на государственные информационные ресурсы.
В своём выступлении на слушаниях на прошлой неделе Рамид Намазов назвал атаку одним из самых серьёзных инцидентов кибервмешательства за всю историю страны. А использование символики «незаконной группировки» он охарактеризовал как прикрытие «чужим флагом».
Расследованием инцидента независимо друг от друга занимались две команды, которым были переданы системные логи и образцы вредоносных программ; оба расследования показали схожие результаты. Атрибуция атаки группировке APT29, по словам Намазова, опирается на анализ как технических методов атак, так и моделей поведения атакующих.
На мой взгляд, такая версия выглядит не очень убедительно. Из всех группировок, которые связывают с Россией, APT29 отличается совсем другим образом действий: высокой скрытностью, а не демонстративными атаками.
Никакие технические подробности во время слушаний не раскрывались. Особенностью группировки Намазов назвал то, что она старается «заранее проникнуть в системы цели, закрепиться там и действовать в нужный момент». Якобы во взломанных системах хакеры тайно действовали в течение 2-3 лет. Он также заявил, что «некоторые лица [иностранцы], участвовавшие в кибератаке, находились на территории нашей страны, даже было определено, в каком отеле они проживали».
Намазов связал атаку с решением властей Азербайджана закрыть «Русский дом» (объявлено 6 февраля) и представительство «России Сегодня» (объявлено 24 февраля, но о планах стало известно ещё в середине месяца).
Прекращение работы российских организаций «гуманитарного влияния» в свою очередь стало одним из последствий ухудшения российско-азербайджанских отношений. Оно началось в декабре прошлого года с катастрофы рейса Баку—Грозный «Азербайджанских авиалиний». Владимир Путин принёс извинения Ильхаму Алиеву за то, что «трагический инцидент произошёл в воздушном пространстве России». Но президент Азербайджана, назвав причиной катастрофы обстрел с земли, потребовал от России компенсаций и наказания виновных.
Азербайджанские власти считают, что за атакой на медиа-ресурсы страны 20 февраля стоит связанная с Россией хакерская группировка APT29, а поводом для атак стало решение Азербайджана закрыть представительства Россотрудничества («Русский дом») и «России Сегодня». В пятницу заявление об этом сделал Рамид Намазов, председатель Временной комиссии против внешних вмешательств и гибридных угроз, на общественных слушаниях в Национальном собрании.
Намазов связал атаки с APT29 во время доклада об итогах расследования, что не равноценно официально дипломатическому демаршу или заявлению руководителя государства. Тем не менее позиция озвучена публично депутатом от президентской партии «Новый Азербайджан». В любом случае ничего даже близкого к этому в российско-азербайджанских отношениях ещё не было, да и публичной атрибуцией кибератак азербайджанские власти особо не занимались.
Кибератака, о которой идёт речь, произошли утром 20 февраля. Её мишенями стали СМИ, входящие в структуру Global Media Group (сайты Report.Az, Oxu.Az, Media.Az, Baku.Ws, Caliber.Az, канал Baku TV), а также сайт Azpolitika.Info. Global Media Group заявила о попытках взлома серверов и панелей управления и размещении на сайтах изображений религиозного характера. Компания подчеркнула, «что это не просто DDoS-атака, а профессиональная, многоуровневая кибератака». Сайты не работали, а на их главной странице атакующие повесили дефейс в виде флага Движения исламского сопротивления в Азербайджане и суры из Корана. Эта исламистская группировка также известна под названием Хусейниты и, как считается, сформирована при поддержке Ирана. Непосредственно после атаки некоторые СМИ писали о ней так, как будто за взломом действительно стояли Хусейниты, но другие издания ставили эту версию под сомнение. Агентство развития медиа Азербайджана назвало взломы атакой, направленной на информационную безопасность страны. А азербайджанская Служба электронной безопасности почти через неделю выпустила заявление о массовых DDoS-атаках на государственные информационные ресурсы.
В своём выступлении на слушаниях на прошлой неделе Рамид Намазов назвал атаку одним из самых серьёзных инцидентов кибервмешательства за всю историю страны. А использование символики «незаконной группировки» он охарактеризовал как прикрытие «чужим флагом».
Расследованием инцидента независимо друг от друга занимались две команды, которым были переданы системные логи и образцы вредоносных программ; оба расследования показали схожие результаты. Атрибуция атаки группировке APT29, по словам Намазова, опирается на анализ как технических методов атак, так и моделей поведения атакующих.
На мой взгляд, такая версия выглядит не очень убедительно. Из всех группировок, которые связывают с Россией, APT29 отличается совсем другим образом действий: высокой скрытностью, а не демонстративными атаками.
Никакие технические подробности во время слушаний не раскрывались. Особенностью группировки Намазов назвал то, что она старается «заранее проникнуть в системы цели, закрепиться там и действовать в нужный момент». Якобы во взломанных системах хакеры тайно действовали в течение 2-3 лет. Он также заявил, что «некоторые лица [иностранцы], участвовавшие в кибератаке, находились на территории нашей страны, даже было определено, в каком отеле они проживали».
Намазов связал атаку с решением властей Азербайджана закрыть «Русский дом» (объявлено 6 февраля) и представительство «России Сегодня» (объявлено 24 февраля, но о планах стало известно ещё в середине месяца).
Прекращение работы российских организаций «гуманитарного влияния» в свою очередь стало одним из последствий ухудшения российско-азербайджанских отношений. Оно началось в декабре прошлого года с катастрофы рейса Баку—Грозный «Азербайджанских авиалиний». Владимир Путин принёс извинения Ильхаму Алиеву за то, что «трагический инцидент произошёл в воздушном пространстве России». Но президент Азербайджана, назвав причиной катастрофы обстрел с земли, потребовал от России компенсаций и наказания виновных.
02.05.202516:17
В БДУ ФСТЭК сегодня добавлена уязвимость механизма обновления в ViPNet Client от «ИнфоТеКС» (версии 4.5.5 и 4.5.3), обнаруженная «Лабораторией Касперского» во время расследования инцидента в апреле. Ей присвоен низкий уровень опасности. Согласно описанию в базе, «эксплуатация уязвимости возможна только для внутреннего нарушителя, обладающего повышенными привилегиями и выходящего за рамки заявленного уровня защищенности продукта».
Уязвимость позволяла под видом обновлений софта распространять вредоносное ПО. Согласно ЛК, жертвами атак злоумышленников, эксплуатировавших эту уязвимость, стали десятки российских компаний.
Аналогичным образом клиентов ViPNet атаковали с 2021 года группировки TaskMasters и TA428. Первыми тревогу о тех взломах подняли специалисты «Солара», после чего в БДУ были включены две уязвимости высокого уровня опасности в более ранних версиях ViPNet Client. Однако тогда, в 2022 году, вендор закрыл проблему только частично, а несколько видоизменённая атака, как оказалось теперь, по-прежнему была возможна.
В середине апреля компания «ИнфоТеКС» выпустила обновления своих продуктов и рекомендации по обнаружению и предотвращению атак.
Уязвимость позволяла под видом обновлений софта распространять вредоносное ПО. Согласно ЛК, жертвами атак злоумышленников, эксплуатировавших эту уязвимость, стали десятки российских компаний.
Аналогичным образом клиентов ViPNet атаковали с 2021 года группировки TaskMasters и TA428. Первыми тревогу о тех взломах подняли специалисты «Солара», после чего в БДУ были включены две уязвимости высокого уровня опасности в более ранних версиях ViPNet Client. Однако тогда, в 2022 году, вендор закрыл проблему только частично, а несколько видоизменённая атака, как оказалось теперь, по-прежнему была возможна.
В середине апреля компания «ИнфоТеКС» выпустила обновления своих продуктов и рекомендации по обнаружению и предотвращению атак.
30.04.202512:04
Кибердипломатический казус произошёл между США и Гватемалой. С середины прошлого года до февраля 2025 власти центральноамериканской республики и американские военные из Южного командования проводили совместную проверку кибербезопасности МИД Гватемалы. Вчера посольство США заявило, что вся информационная система министерства была взломана кибершпионскими группировками из Китая. Также американские дипломаты подчеркнули «приверженность поддержке Гватемалы в борьбе с глобальными угрозами и построении более защищённой цифровой инфраструктуры для регионального процветания».
Следом о результатах совместной проверки, «проведённой в духе партнёрства и взаимного уважения», отчиталось и Южное командование ВС США. Американские военные сообщили об обнаружении в некоторых правительственных системах гватемальского правительства связанной с Китаем группировки APT15 (Vixen Panda, Nickel, Nylon Typhoon). США рассматривают Китай как главный источник киберугроз и акцентируют внимание на этом в своей внешней политике.
Однако вскоре выяснилось, что американские оценки не были согласованы с местными властями. МИД Гватемалы возразил, что упомянутая атака на самом деле произошла ещё в 2022 году, и тогда уже выходило заявление по этому поводу. Но в целом МИД остался доволен сотрудничеством с США и отметил, что оно «позволит укрепить институциональные возможности в области безопасности и внедрить комплексный подход к активной оценке и противодействию киберугрозам с помощью передовых мер безопасности и усилий по повышению устойчивости».
Следом о результатах совместной проверки, «проведённой в духе партнёрства и взаимного уважения», отчиталось и Южное командование ВС США. Американские военные сообщили об обнаружении в некоторых правительственных системах гватемальского правительства связанной с Китаем группировки APT15 (Vixen Panda, Nickel, Nylon Typhoon). США рассматривают Китай как главный источник киберугроз и акцентируют внимание на этом в своей внешней политике.
Однако вскоре выяснилось, что американские оценки не были согласованы с местными властями. МИД Гватемалы возразил, что упомянутая атака на самом деле произошла ещё в 2022 году, и тогда уже выходило заявление по этому поводу. Но в целом МИД остался доволен сотрудничеством с США и отметил, что оно «позволит укрепить институциональные возможности в области безопасности и внедрить комплексный подход к активной оценке и противодействию киберугрозам с помощью передовых мер безопасности и усилий по повышению устойчивости».
से पुनः पोस्ट किया:
Пост Лукацкого
07.05.202517:39
Минцифры вчера представило "Методические рекомендации по формированию перечня недопустимых событий 💥 для обеспечения непрерывности операционной деятельности организаций при выполнении показателей оперативного рейтинга 🧮 эффективности и результативности ответственных за цифровую трансформацию".
Про эту методику уже подробно вчера написал Олег, поэтому я повторяться не буду ✍️ Отмечу только один момент. Олег сетует, что в методике показан пример только одного события, а где брать другие, не очень понятно. Ну так в этом и смысл - не нужны каталоги угроз/рисков/недопустимых событий. Каждый бизнес их определяет сам, а не берет из готового каталога ✔️ Но... понимаю, что все хотят больше примеров. Поэтому просто приведу такой из последнего выпуска Positive Research, в котором есть и статья на тему формирования списка недопустимых событий, и карта отраслевых недопустимых событий (но только как пример) 🗺
ЗЫ. Интересно, кто-нибудь рассматривает многочасовые отключения мобильного Интернета как недопустимые события? 🤔
#регулирование #недопустимое
Про эту методику уже подробно вчера написал Олег, поэтому я повторяться не буду ✍️ Отмечу только один момент. Олег сетует, что в методике показан пример только одного события, а где брать другие, не очень понятно. Ну так в этом и смысл - не нужны каталоги угроз/рисков/недопустимых событий. Каждый бизнес их определяет сам, а не берет из готового каталога ✔️ Но... понимаю, что все хотят больше примеров. Поэтому просто приведу такой из последнего выпуска Positive Research, в котором есть и статья на тему формирования списка недопустимых событий, и карта отраслевых недопустимых событий (но только как пример) 🗺
ЗЫ. Интересно, кто-нибудь рассматривает многочасовые отключения мобильного Интернета как недопустимые события? 🤔
#регулирование #недопустимое
07.05.202508:55
Что ж, по крайней мере коллегам будет что обсудить на Российском форуме по управлению интернетом в следующем году.
से पुनः पोस्ट किया:
РБК. Новости. Главное
06.05.202518:08
«ВкусВилл» оповещает пользователей, что утром 7 и 9 мая в Москве не будет работать экспресс-доставка и оплата картой курьеру. 7 мая функции будут недоступны с 08:00 до 12:00, 9 мая — с 07:30 до 13:30.
05.05.202510:59
Наиболее вероятная причина ограничений мобильной связи в Москве во время праздников — опасения властей по поводу возможных ударов беспилотниками со стороны Украины. Замедление мобильного интернета в ночное время для ограничения возможностей использовать сети для атак дронов недавно подтвердили власти Ростовской области. Но эта практика используется уже не первый год.
Первые сообщения о сбоях связи из-за ударов БПЛА появились ещё в 2023 году, но тогда проблемы возникали из-за установки крупным бизнесом антидроновых систем. Как рассказывал «Коммерсантъ», Минцифры создало специальную рабочую группу для оценки рисков перебоев со связью, вызванных действием таких систем.
Затем появилась идея, что противодействовать дронам нужно более масштабно, а не на уровне отдельных предприятий. В январе 2024 года РБК узнал, что ночное отключения мобильного интернета в Санкт-Петербурге и ряде северо-западных регионов было связано с необходимостью защиты от дронов во время мероприятий по случаю 80-летия снятия блокады Ленинграда, в которых участвовали Владимир Путин и Александр Лукашенко.
В декабре 2024 года о возможном отключении мобильного интернета сообщали власти Крыма. В феврале этого года проблемы со связью после ночного удара беспилотников отмечали жители Волгограда. Также мобильный интернет пропал в городе на прошлой неделе во время визита Путина и Лукашенко, но официальные причины этого не назывались. А правительство Мордовии ранее в апреле открыто предупредило жителей региона, что в случае угрозы атаки дронов возможно ограничение услуг операторов сотовой связи и падение скорости мобильного интернета.
Первые сообщения о сбоях связи из-за ударов БПЛА появились ещё в 2023 году, но тогда проблемы возникали из-за установки крупным бизнесом антидроновых систем. Как рассказывал «Коммерсантъ», Минцифры создало специальную рабочую группу для оценки рисков перебоев со связью, вызванных действием таких систем.
Затем появилась идея, что противодействовать дронам нужно более масштабно, а не на уровне отдельных предприятий. В январе 2024 года РБК узнал, что ночное отключения мобильного интернета в Санкт-Петербурге и ряде северо-западных регионов было связано с необходимостью защиты от дронов во время мероприятий по случаю 80-летия снятия блокады Ленинграда, в которых участвовали Владимир Путин и Александр Лукашенко.
В декабре 2024 года о возможном отключении мобильного интернета сообщали власти Крыма. В феврале этого года проблемы со связью после ночного удара беспилотников отмечали жители Волгограда. Также мобильный интернет пропал в городе на прошлой неделе во время визита Путина и Лукашенко, но официальные причины этого не назывались. А правительство Мордовии ранее в апреле открыто предупредило жителей региона, что в случае угрозы атаки дронов возможно ограничение услуг операторов сотовой связи и падение скорости мобильного интернета.
02.05.202514:05
BO Team поучаствовала в вебинаре о своей атаке
Месяц назад проукраинская группировка BO Team взяла ответственность за атаку на крупного российского производителя и поставщика электротехнической продукции IEK Group. А в среду она вновь напомнила о себе неожиданным способом — опубликовав видеозапись закрытого вебинара IEK с разбором того самого инцидента.
Вебинар был проведён в рамках образовательного проекта Академия IEK Group для представителей отрасли. Как именно на него попали участники BO Team, пока не известно. Сами они намекают на то, что по-прежнему имеют доступ к инфраструктуре компании, которая якобы полностью не восстановилась после атаки. Однако возможно, что приглашение на встречу они получили через другую взломанную организацию, которая была в рассылке. Большую часть вебинара злоумышленники провели молча, но после презентации и нескольких ответов на вопросы всё-таки передали в чате «привет» IEK. Вслед за этим мероприятие быстро завершилось.
Сам вебинар очень интересен, это редкая возможность узнать, как инцидент выглядел изнутри и какие уроки извлекла организация. Обычно такая информация распространяется среди ограниченного круга лиц. Но теперь с ней могут (а может, и должны!) ознакомиться все руководители по информационной безопасности. Парадоксально, но BO Team косвенно способствует повышению осведомлённости о киберугрозах (правда, премию Рунета за это вряд ли вручат).
Из презентации можно узнать, что атака началась ещё в сентябре 2024 года. В группу IEK входит много небольших компаний, которые расположены в разных городах, но имеют удалённое подключение к инфраструктуре холдинга. С точки зрения ИБ, небольшие компании обычно хуже защищены, поэтому представляют собой уязвимую цель для атакующих. По сути, это та самая атака через подрядчика, о которой предупреждают уже несколько лет.
Первоначальный доступ злоумышленники получили как раз через одну из таких небольших компаний с помощью социальной инженерии. Один из сотрудников получил хорошо подготовленное фишинговое письмо с деловым предложением. Письмо было отправлено якобы от имени менеджера реально существующей компании ООО «Альянс-Автоматика», однако почтовый адрес размещался на поддельном домене a-automaition[.]ru (с лишней i перед второй t).
Видимо, рассылка с этого адреса проводилась на большое количество организаций, о чём стало известно «Альянсу-Автоматике». Ещё в октябре она выпустила предупреждение о том самом домене и не существующем «менеджере отдела снабжения Ларисе Улановой» и даже подала заявления в МВД и Роскомнадзор. Теоретически IEK могла узнать о фишинговом письме ещё осенью. Но на практике эта информация, видимо, никуда не пошла, потому что домен и сегодня никем не детектируется как вредоносный.
В переписке «Лариса Уланова» предлагала сотруднику IEK выйти на созвон для обсуждения условий сделки. Но в итоге тот попался на вредоносный документ, маскирующийся под .pdf-файл. Закрепившись на машине сотрудника, злоумышленники занялись изучением сети компании, перехватом учётных данных и горизонтальным перемещением. Только через полгода начался финальный этап атаки с шифрованием и уничтожением инфраструктуры жертвы.
Успеху атаки способствовало сочетание факторов. Так, на заражённой машине были права локального админа, при этом не было актуальной антивирусной защиты. С прошлого года IEK начала сотрудничать с SOC от BI.ZONE и устанавливать по своей сети SOC-агентов. Но удалённые компании не были приоритетом, и конкретно в компании-жертве агента не было. Плюс в рамках всей организации не уделялось должного внимания обучению персонала.
Ранее BO Team брала ответственность за несколько заметных кибератак, в том числе на УЦ «Основание» и ГАС «Правосудие» с сайтами судов. Группировка известна в том числе тем, что о сотрудничестве с ней несколько раз сообщало Главное управление разведки (ГУР) Минобороны Украины, когда анонсировало свои кибератаки. После публикации записи вебинара BO Team обновила аватар в своём телеграм-канале, поставив картинку совы с расшифровкой BO Team как Black Owl Team — вероятно, с отсылкой к сове на эмблеме ГУР.
Месяц назад проукраинская группировка BO Team взяла ответственность за атаку на крупного российского производителя и поставщика электротехнической продукции IEK Group. А в среду она вновь напомнила о себе неожиданным способом — опубликовав видеозапись закрытого вебинара IEK с разбором того самого инцидента.
Вебинар был проведён в рамках образовательного проекта Академия IEK Group для представителей отрасли. Как именно на него попали участники BO Team, пока не известно. Сами они намекают на то, что по-прежнему имеют доступ к инфраструктуре компании, которая якобы полностью не восстановилась после атаки. Однако возможно, что приглашение на встречу они получили через другую взломанную организацию, которая была в рассылке. Большую часть вебинара злоумышленники провели молча, но после презентации и нескольких ответов на вопросы всё-таки передали в чате «привет» IEK. Вслед за этим мероприятие быстро завершилось.
Сам вебинар очень интересен, это редкая возможность узнать, как инцидент выглядел изнутри и какие уроки извлекла организация. Обычно такая информация распространяется среди ограниченного круга лиц. Но теперь с ней могут (а может, и должны!) ознакомиться все руководители по информационной безопасности. Парадоксально, но BO Team косвенно способствует повышению осведомлённости о киберугрозах (правда, премию Рунета за это вряд ли вручат).
Из презентации можно узнать, что атака началась ещё в сентябре 2024 года. В группу IEK входит много небольших компаний, которые расположены в разных городах, но имеют удалённое подключение к инфраструктуре холдинга. С точки зрения ИБ, небольшие компании обычно хуже защищены, поэтому представляют собой уязвимую цель для атакующих. По сути, это та самая атака через подрядчика, о которой предупреждают уже несколько лет.
Первоначальный доступ злоумышленники получили как раз через одну из таких небольших компаний с помощью социальной инженерии. Один из сотрудников получил хорошо подготовленное фишинговое письмо с деловым предложением. Письмо было отправлено якобы от имени менеджера реально существующей компании ООО «Альянс-Автоматика», однако почтовый адрес размещался на поддельном домене a-automaition[.]ru (с лишней i перед второй t).
Видимо, рассылка с этого адреса проводилась на большое количество организаций, о чём стало известно «Альянсу-Автоматике». Ещё в октябре она выпустила предупреждение о том самом домене и не существующем «менеджере отдела снабжения Ларисе Улановой» и даже подала заявления в МВД и Роскомнадзор. Теоретически IEK могла узнать о фишинговом письме ещё осенью. Но на практике эта информация, видимо, никуда не пошла, потому что домен и сегодня никем не детектируется как вредоносный.
В переписке «Лариса Уланова» предлагала сотруднику IEK выйти на созвон для обсуждения условий сделки. Но в итоге тот попался на вредоносный документ, маскирующийся под .pdf-файл. Закрепившись на машине сотрудника, злоумышленники занялись изучением сети компании, перехватом учётных данных и горизонтальным перемещением. Только через полгода начался финальный этап атаки с шифрованием и уничтожением инфраструктуры жертвы.
Успеху атаки способствовало сочетание факторов. Так, на заражённой машине были права локального админа, при этом не было актуальной антивирусной защиты. С прошлого года IEK начала сотрудничать с SOC от BI.ZONE и устанавливать по своей сети SOC-агентов. Но удалённые компании не были приоритетом, и конкретно в компании-жертве агента не было. Плюс в рамках всей организации не уделялось должного внимания обучению персонала.
Ранее BO Team брала ответственность за несколько заметных кибератак, в том числе на УЦ «Основание» и ГАС «Правосудие» с сайтами судов. Группировка известна в том числе тем, что о сотрудничестве с ней несколько раз сообщало Главное управление разведки (ГУР) Минобороны Украины, когда анонсировало свои кибератаки. После публикации записи вебинара BO Team обновила аватар в своём телеграм-канале, поставив картинку совы с расшифровкой BO Team как Black Owl Team — вероятно, с отсылкой к сове на эмблеме ГУР.
29.04.202516:38
Первая французская атрибуция
Франция впервые официально обвинила Россию в кибератаках. Заявление с официальной атрибуцией и самым решительным осуждением опубликовало Министерство иностранных дел.
Париж обвиняет российскую военную разведку в кибератаках группировки APT28 против французских интересов с 2021 года. Жертвами атак названы около 10 французских государственных и частных организаций, в их числе спортивная структура, связанная с организацией летней Олимпиады 2024 года. Кроме того, в пресс-релизе отмечена связь APT28 с более ранними взломами: проникновением в инфраструктуру телеканала TV5Monde в 2015 году и попыткой вмешательства в выборы в 2017 году. Наконец, упоминаются атаки против Украины и других европейских стран.
Кроме МИД небольшой отчёт с обзором приписываемой APT28 активности выпустило Национальное агентство безопасности информационных систем (ANSSI). Правда, по большей части он основан на других публичных материалах.
Обвинения в адрес России содержались и в многостраничном годовом отчёте ANSSI, который вышел в марте, но особо не акцентировались. Теперь же французские власти явно решили выдвинуть обвинения максимально публично в форме демарша (для твиттера министра иностранных дел Жана-Ноэля Барро специалисты по цифровой дипломатии даже смонтировали ролик про APT28).
Решение выдвинуть официальные обвинения за кибератаки интересно тем, что долгое время Франция от них воздерживалась и была одной из немногих стран в западном лагере, кто не перенимал американскую практику публичной атрибуции. Шесть лет назад посол Франции по цифровым вопросам Анри Вердье, посещавший Москву для консультаций по теме информационной безопасности, отмечал в интервью: «Франция официально никому не присваивала авторство кибератак». Позднее ANSSI начало отчитываться об атаках связываемых с Россией группировок, но на дипломатическом уровне обвинений по-прежнему не было. Теперь же Франция пришла к тому, что взяла на вооружение публичную атрибуцию в стиле США и Великобритании, отказавшись от старого подхода.
Франция впервые официально обвинила Россию в кибератаках. Заявление с официальной атрибуцией и самым решительным осуждением опубликовало Министерство иностранных дел.
Париж обвиняет российскую военную разведку в кибератаках группировки APT28 против французских интересов с 2021 года. Жертвами атак названы около 10 французских государственных и частных организаций, в их числе спортивная структура, связанная с организацией летней Олимпиады 2024 года. Кроме того, в пресс-релизе отмечена связь APT28 с более ранними взломами: проникновением в инфраструктуру телеканала TV5Monde в 2015 году и попыткой вмешательства в выборы в 2017 году. Наконец, упоминаются атаки против Украины и других европейских стран.
Кроме МИД небольшой отчёт с обзором приписываемой APT28 активности выпустило Национальное агентство безопасности информационных систем (ANSSI). Правда, по большей части он основан на других публичных материалах.
Обвинения в адрес России содержались и в многостраничном годовом отчёте ANSSI, который вышел в марте, но особо не акцентировались. Теперь же французские власти явно решили выдвинуть обвинения максимально публично в форме демарша (для твиттера министра иностранных дел Жана-Ноэля Барро специалисты по цифровой дипломатии даже смонтировали ролик про APT28).
Решение выдвинуть официальные обвинения за кибератаки интересно тем, что долгое время Франция от них воздерживалась и была одной из немногих стран в западном лагере, кто не перенимал американскую практику публичной атрибуции. Шесть лет назад посол Франции по цифровым вопросам Анри Вердье, посещавший Москву для консультаций по теме информационной безопасности, отмечал в интервью: «Франция официально никому не присваивала авторство кибератак». Позднее ANSSI начало отчитываться об атаках связываемых с Россией группировок, но на дипломатическом уровне обвинений по-прежнему не было. Теперь же Франция пришла к тому, что взяла на вооружение публичную атрибуцию в стиле США и Великобритании, отказавшись от старого подхода.
07.05.202515:28
07.05.202508:26
Администрация Трампа «снимет стигму» с наступательных киберопераций
На конференции RSA на прошлой неделе старший директор Совета национальной безопасности США Алексей Булазел поделился своими взглядами на использование кибервозможностей в наступательном ключе. Основная идея: администрация намерена действовать более агрессивно и давать отпор своим противникам в киберпространстве. Прежде всего это считывается как предупреждение Китая.
Отвечая на вопрос о том, готова ли администрация отвечать кибератаками на вторжения в критическую инфраструктуру США, Булазел заявил, что как раз наоборот — отсутствие чёткой реакции на атаки со стороны другого государства может нести опасность эскалации:
«Многие переживают по поводу того, что наступательные кибероперации могут носить эскалационный характер, но если мы постоянно позволяем противнику взламывать нас и не делаем в ответ ничего, это само по себе устанавливает для противника норму, что Америка не будет реагировать и что это допустимое поведение».
Но Булазел считает нужным посылать кибероппонентам другой сигнал: «Если вы сделаете это с нами, мы ударим в ответ». Предыдущие администрации, по его словам, неохотно следовали этому принципу.
Администрация Трампа будет работать над тем, чтобы дестигматизировать и нормализовать наступательные кибероперации в качестве одного из инструментов реагирования на кибератаки. Но речь идёт не только об ответных кибератаках. Булазел подчеркнул, что существуют разные способы наступательных ответов. К ним относится и подрыв возможностей противника проводить атаки путём устранения уязвимостей:
«Если мы понимаем, что у противника есть намерение или определённый инструмент, который он планирует использовать, и мы знаем, что он будет эксплуатировать определённую уязвимость, то мы можем вместе с частным сектором или через такие агентства, как CISA проактивно пропатчить эти уязвимости и оказаться на шаг впереди противника. И, возможно, провести операцию в отношении противника».
На самом деле опыт подобных операций у США уже есть: в прошлом году ФБР отчитывалось об операциях по санкционированному взлому роутеров и отключению их от ботнетов. В одном случае утверждалось, что ботнет использовала китайская группировка, а в другом — российская.
Заявления Алексея Булазела согласуются как с киберполитикой США во время первого президентства Трампа, когда были расширены полномочия Киберкомандования и ЦРУ по проведению киберопераций, так и с позицией назначенцев в нынешнюю администрацию, стремящихся более усердно противодействовать Китаю по всем фронтам, в том числе и в киберпространстве.
На конференции RSA на прошлой неделе старший директор Совета национальной безопасности США Алексей Булазел поделился своими взглядами на использование кибервозможностей в наступательном ключе. Основная идея: администрация намерена действовать более агрессивно и давать отпор своим противникам в киберпространстве. Прежде всего это считывается как предупреждение Китая.
Отвечая на вопрос о том, готова ли администрация отвечать кибератаками на вторжения в критическую инфраструктуру США, Булазел заявил, что как раз наоборот — отсутствие чёткой реакции на атаки со стороны другого государства может нести опасность эскалации:
«Многие переживают по поводу того, что наступательные кибероперации могут носить эскалационный характер, но если мы постоянно позволяем противнику взламывать нас и не делаем в ответ ничего, это само по себе устанавливает для противника норму, что Америка не будет реагировать и что это допустимое поведение».
Но Булазел считает нужным посылать кибероппонентам другой сигнал: «Если вы сделаете это с нами, мы ударим в ответ». Предыдущие администрации, по его словам, неохотно следовали этому принципу.
Администрация Трампа будет работать над тем, чтобы дестигматизировать и нормализовать наступательные кибероперации в качестве одного из инструментов реагирования на кибератаки. Но речь идёт не только об ответных кибератаках. Булазел подчеркнул, что существуют разные способы наступательных ответов. К ним относится и подрыв возможностей противника проводить атаки путём устранения уязвимостей:
«Если мы понимаем, что у противника есть намерение или определённый инструмент, который он планирует использовать, и мы знаем, что он будет эксплуатировать определённую уязвимость, то мы можем вместе с частным сектором или через такие агентства, как CISA проактивно пропатчить эти уязвимости и оказаться на шаг впереди противника. И, возможно, провести операцию в отношении противника».
На самом деле опыт подобных операций у США уже есть: в прошлом году ФБР отчитывалось об операциях по санкционированному взлому роутеров и отключению их от ботнетов. В одном случае утверждалось, что ботнет использовала китайская группировка, а в другом — российская.
Заявления Алексея Булазела согласуются как с киберполитикой США во время первого президентства Трампа, когда были расширены полномочия Киберкомандования и ЦРУ по проведению киберопераций, так и с позицией назначенцев в нынешнюю администрацию, стремящихся более усердно противодействовать Китаю по всем фронтам, в том числе и в киберпространстве.
06.05.202516:56
Минцифры выпустило методические рекомендации по составлению перечня недопустимых событий для операторов информационных систем, не относящихся к критической информационной инфраструктуре. Проще говоря, организациям предлагается подумать над худшими вариантами развития событий после кибератаки.
Полное название документа: «Методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций при выполнении показателей оперативного рейтинга эффективности и результативности ответственных за цифровую трансформацию».
Рекомендации касаются исключительно того, как составлять перечень недопустимых событий, а вот как защищаться от них, организации должны решать сами либо с привлечением аккредитованных организаций.
В документе организациям предлагается создать постоянно действующую рабочую группу, которая будет заниматься вопросами обеспечения надёжности операционной деятельности при использовании информационных технологий и в том числе формировать и актуализировать перечень недопустимых событий.
Работа по формированию перечня разбита на 6 этапов:
1. Сначала предлагается составить и ранжировать список последствий недопустимых событий, при этом рекомендуется учитывать такие виды ущерба как: угрозы жизни и здоровью, техногенные и экологические катастрофы, угрозы технических происшествий, прекращение функционирования организации, недостижение стратегических целей компании и ключевых бизнес-показателей, репутационная угроза, нарушение законных прав, снижение маржинальности или доли рынка, снижение качества продукции и пр.
2. После этого нужно связать эти критичные последствия с бизнес- и технологическими процессами и соответствующими информационными системами.
3. Далее самое интересное — формирование гипотетических сценариев действий злоумышленников, которые могут привести к нарушению процессов и вызвать те самые критичные последствия. Рабочая группа должна придумать сценарии «на основе доступной информации, а также с привлечением представителей экспертного сообщества в области информационной безопасности и разработчиков программного обеспечения». Из этих сценариев формируется проект перечня недопустимых событий.
4. Придумав сценарии, рабочая группа при участии специалистов оценивает их с точки зрения потенциальной возможности проведения кибератаки и формирует критерии реализации недопустимых событий.
5. Затем рекомендуется провести моделирование гипотетических сценариев реализации недопустимых событий, другими словами имитировать компьютерные атаки на системы организации. К этой работе вновь предлагается привлекать представителей аккредитованных экспертных организаций, а также собственные ИБ-службы. Если в ходе имитации атак обнаружатся не предусмотренные ранее сценарии, то их тоже стоит включить в итоговый перечень.
6. Наконец, после моделирования формируется итоговый перечень недопустимых событий, указываются критерии их реализации и соответствующие информационные системы. «Опционально указываются перечень уязвимостей информационных систем, дается оценка достаточности технологических и организационных мер защиты, квалификации персонала и в целом готовности организации к отражению угроз безопасности информации». В документе рекомендуется актуализировать перечень по мере появления или исключения процессов, изменения профиля риска организации в зависимости от влияния внешних факторов, изменения технологического ландшафта организации, появления сведений о новых методах кибератак.
К документу прилагается типовая форма перечня, но, увы, в неё для иллюстрации включено только одно недопустимое событие, поэтому организациям придётся собирать рабочие группы (или списывать откуда-то ещё).
Полное название документа: «Методические рекомендации по формированию перечня недопустимых событий для обеспечения непрерывности операционной деятельности организаций при выполнении показателей оперативного рейтинга эффективности и результативности ответственных за цифровую трансформацию».
Рекомендации касаются исключительно того, как составлять перечень недопустимых событий, а вот как защищаться от них, организации должны решать сами либо с привлечением аккредитованных организаций.
В документе организациям предлагается создать постоянно действующую рабочую группу, которая будет заниматься вопросами обеспечения надёжности операционной деятельности при использовании информационных технологий и в том числе формировать и актуализировать перечень недопустимых событий.
Работа по формированию перечня разбита на 6 этапов:
1. Сначала предлагается составить и ранжировать список последствий недопустимых событий, при этом рекомендуется учитывать такие виды ущерба как: угрозы жизни и здоровью, техногенные и экологические катастрофы, угрозы технических происшествий, прекращение функционирования организации, недостижение стратегических целей компании и ключевых бизнес-показателей, репутационная угроза, нарушение законных прав, снижение маржинальности или доли рынка, снижение качества продукции и пр.
2. После этого нужно связать эти критичные последствия с бизнес- и технологическими процессами и соответствующими информационными системами.
3. Далее самое интересное — формирование гипотетических сценариев действий злоумышленников, которые могут привести к нарушению процессов и вызвать те самые критичные последствия. Рабочая группа должна придумать сценарии «на основе доступной информации, а также с привлечением представителей экспертного сообщества в области информационной безопасности и разработчиков программного обеспечения». Из этих сценариев формируется проект перечня недопустимых событий.
4. Придумав сценарии, рабочая группа при участии специалистов оценивает их с точки зрения потенциальной возможности проведения кибератаки и формирует критерии реализации недопустимых событий.
5. Затем рекомендуется провести моделирование гипотетических сценариев реализации недопустимых событий, другими словами имитировать компьютерные атаки на системы организации. К этой работе вновь предлагается привлекать представителей аккредитованных экспертных организаций, а также собственные ИБ-службы. Если в ходе имитации атак обнаружатся не предусмотренные ранее сценарии, то их тоже стоит включить в итоговый перечень.
6. Наконец, после моделирования формируется итоговый перечень недопустимых событий, указываются критерии их реализации и соответствующие информационные системы. «Опционально указываются перечень уязвимостей информационных систем, дается оценка достаточности технологических и организационных мер защиты, квалификации персонала и в целом готовности организации к отражению угроз безопасности информации». В документе рекомендуется актуализировать перечень по мере появления или исключения процессов, изменения профиля риска организации в зависимости от влияния внешних факторов, изменения технологического ландшафта организации, появления сведений о новых методах кибератак.
К документу прилагается типовая форма перечня, но, увы, в неё для иллюстрации включено только одно недопустимое событие, поэтому организациям придётся собирать рабочие группы (или списывать откуда-то ещё).
05.05.202509:28
Запасайтесь интернетом впрок.
01.05.202510:25
Посольство России во Франции выразило протест в связи с тем, что французский МИД обвинил военную разведку России в кибератаках. Российские дипломаты считают, что обвинения ничем не подтверждаются, а их реальная цель — раскрутить русофобию:
«Вызывает абсолютное недоумение обвинение, прозвучавшее в адрес российской структуры. Даже в докладе Национального агентства безопасности информационных систем, на который делается ссылка в коммюнике, не содержится никаких упоминаний данной организации и не приводится никаких доказательств "вины" российской стороны в приписываемых ей кибератаках.
Решительно отвергаем безосновательные нападки французской стороны. Напоминаем, что для урегулирования возникающих вопросов есть каналы профессионального диалога. "Мегафонная дипломатия" французского МИД нацелена явно не на это, а на раскручивание во французском обществе русофобии и оправдание агрессивной антироссийской политики, которую ведут нынешние французские власти».
В заключении посольство интересуется у французских коллег: «почему до сих пор не найден «русский след» в разрушении Бастилии?»
«Вызывает абсолютное недоумение обвинение, прозвучавшее в адрес российской структуры. Даже в докладе Национального агентства безопасности информационных систем, на который делается ссылка в коммюнике, не содержится никаких упоминаний данной организации и не приводится никаких доказательств "вины" российской стороны в приписываемых ей кибератаках.
Решительно отвергаем безосновательные нападки французской стороны. Напоминаем, что для урегулирования возникающих вопросов есть каналы профессионального диалога. "Мегафонная дипломатия" французского МИД нацелена явно не на это, а на раскручивание во французском обществе русофобии и оправдание агрессивной антироссийской политики, которую ведут нынешние французские власти».
В заключении посольство интересуется у французских коллег: «почему до сих пор не найден «русский след» в разрушении Бастилии?»
29.04.202514:14
В сеть утекли материалы о проверках ФСБ!
На самом деле документы на основе одного и того же шаблона рассылают с прошлого года мошенники в Телеграме. Можно почти в режиме реального времени наблюдать эволюцию схемы fake boss.
На самом деле документы на основе одного и того же шаблона рассылают с прошлого года мошенники в Телеграме. Можно почти в режиме реального времени наблюдать эволюцию схемы fake boss.
07.05.202514:08
За распространение шпионской программы Pegasus через уязвимость в WhatsApp суд присяжных обязал израильскую компанию NSO Group выплатить в качестве компенсации 167 млн долларов.
से पुनः पोस्ट किया:
Утечки информации
07.05.202507:02
Хакеры заявили, что вчера им удалось взломать ИТ-инфраструктуру медицинского центра «ЦАМ» (aviamed.ru), который занимается экспертизой здоровья летно-испытательного состава и авиационного персонала.
По словам хакеров они выкачали базу данных медицинского центра общим размером 186 Гб в формате Firebase.
В открытый доступ был выложен текстовый файл, содержащий 1,122,750 строк:
🌵 ФИО
🌵 дата рождения
🌵 телефон
🌵 адрес эл. почты
🌵 адрес регистрации
🌵 СНИЛС
🌵 паспортные данные
🌵 место работы и должность
Кроме того, хакеры "слили" в открытый доступ множество PDF-файлов с результатами анализов, выполненных сторонней лабораторией.
По словам хакеров они выкачали базу данных медицинского центра общим размером 186 Гб в формате Firebase.
В открытый доступ был выложен текстовый файл, содержащий 1,122,750 строк:
🌵 ФИО
🌵 дата рождения
🌵 телефон
🌵 адрес эл. почты
🌵 адрес регистрации
🌵 СНИЛС
🌵 паспортные данные
🌵 место работы и должность
Кроме того, хакеры "слили" в открытый доступ множество PDF-файлов с результатами анализов, выполненных сторонней лабораторией.
06.05.202508:54
В продолжение разговора об ограничении сотовой связи для борьбы с дронами. Российские военные уже думают о будущих угрозах: что если даже при отключенном мобильном интернете беспилотники смогут наносить удары, управляясь напрямую из космоса? В майском номере журнала Минобороны «Военная мысль» вышла статья «Гибридная сеть спутниковой связи "Старлинк" как объект радиоэлектронной борьбы». Первым автором указан генерал-лейтенант Юрий Ласточкин, начальник войск РЭБ.
В статье анализируются перспективы развития сети Starlink с технологией Direct to Cell. Сейчас для доступа в интернет с помощью Starlink нужен абонентский терминал с тарелкой. Но новые спутники, которые SpaceX начал запускать с 2024 года, позволят обмениваться данными не только с терминалами, но и со смартфонами напрямую. Спутники фактически превратятся в аналоги базовых станций.
Военные авторы называют этот этап развития Starlink гибридной сетью спутниковой связи (ГССпС). Их озабоченность вызывает тот факт, что ГССпС может быть использована для управления небольшими беспилотниками, в том числе FPV-дронами. Терминалы Starlink устанавливались на безэкипажные катера, разведывательные и ударные беспилотники и наземные робототехнические комплексы (РТК), но из-за своих размеров для управления FPV-дронами их применять не получается. Но устройства для приёма сигнала по модели Direct to Cell «в несколько раз меньше кнопочного телефона», и ими могут оснащаться малые беспилотники.
Помимо малого размера терминалов в числе преимуществ военного применения этой технологии авторы также называют скрытность, способность длительного функционирования от автономной аккумуляторной батареи, низкую стоимость и простоту приобретения. Недостатком по сравнению с сетью широкополосной связи названа низкая скорость передачи данных.
По мнению военных, дроны, управляемые с помощью технологии Direct to Cell, смогут наносить удары даже в тех районах, где отключена мобильная связь:
«Перечисленные преимущества и наличие возможности организовать с помощью ГССпС каналы связи на территории России в районах, где запрещено или временно приостановлено предоставление услуг сотовой связи, а также в зонах боевых действий, где мобильная связь отсутствует, создают значительную угрозу безопасности РФ в области обороны. Примером временного приостановления предоставления услуг сотовой связи на территории России является заявленное Министерством внутренней политики, информации и связи Республики Крым возможное отключение с 17 декабря 2024 года мобильного интернета на территории полуострова. Цель — воспрепятствование возможности управления РТК (безэкипажными катерами и БПЛА) Украины с помощью сотовой связи».
В заключении авторы отмечают необходимость ведения научной и производственной деятельности для создания средств противодействия элементам перспективной сети связи Stalink в рамках ведения РЭБ.
В статье анализируются перспективы развития сети Starlink с технологией Direct to Cell. Сейчас для доступа в интернет с помощью Starlink нужен абонентский терминал с тарелкой. Но новые спутники, которые SpaceX начал запускать с 2024 года, позволят обмениваться данными не только с терминалами, но и со смартфонами напрямую. Спутники фактически превратятся в аналоги базовых станций.
Военные авторы называют этот этап развития Starlink гибридной сетью спутниковой связи (ГССпС). Их озабоченность вызывает тот факт, что ГССпС может быть использована для управления небольшими беспилотниками, в том числе FPV-дронами. Терминалы Starlink устанавливались на безэкипажные катера, разведывательные и ударные беспилотники и наземные робототехнические комплексы (РТК), но из-за своих размеров для управления FPV-дронами их применять не получается. Но устройства для приёма сигнала по модели Direct to Cell «в несколько раз меньше кнопочного телефона», и ими могут оснащаться малые беспилотники.
Помимо малого размера терминалов в числе преимуществ военного применения этой технологии авторы также называют скрытность, способность длительного функционирования от автономной аккумуляторной батареи, низкую стоимость и простоту приобретения. Недостатком по сравнению с сетью широкополосной связи названа низкая скорость передачи данных.
По мнению военных, дроны, управляемые с помощью технологии Direct to Cell, смогут наносить удары даже в тех районах, где отключена мобильная связь:
«Перечисленные преимущества и наличие возможности организовать с помощью ГССпС каналы связи на территории России в районах, где запрещено или временно приостановлено предоставление услуг сотовой связи, а также в зонах боевых действий, где мобильная связь отсутствует, создают значительную угрозу безопасности РФ в области обороны. Примером временного приостановления предоставления услуг сотовой связи на территории России является заявленное Министерством внутренней политики, информации и связи Республики Крым возможное отключение с 17 декабря 2024 года мобильного интернета на территории полуострова. Цель — воспрепятствование возможности управления РТК (безэкипажными катерами и БПЛА) Украины с помощью сотовой связи».
В заключении авторы отмечают необходимость ведения научной и производственной деятельности для создания средств противодействия элементам перспективной сети связи Stalink в рамках ведения РЭБ.
03.05.202514:26
30 апреля в США из Испании был экстрадирован гражданин Украины Артём Стрыжак, обвиняемый в причастности к атакам с использованием шифровальщика Nifilim. Он был арестован испанскими властями почти год назад.
В рамках дела было опубликовано обвинительное заключение (PDF), однако некоторые его части вымараны, поскольку оно касается не только Стрыжака, но и другого обвиняемого, который был одним из админов Nefilim.
Утверждается, что Стрыжак присоединился к Nefilim в качестве партнёра в 2021 году, операторы шифровальщика получали 20% от суммы выкупов. Вымогатели старались атаковать крупные компании с доходом от 100 млн долларов в год. В одном сообщении админ советовал Стрыжаку выбирать жертв с доходом свыше 200 млн. В обвинительном заключении упомянуты 8 жертв атак в разных штатах США и во Франции.
В документе описано, как обычно реализовывалась атака. Также из него можно узнать некоторые подробности о расследовании.
Обвиняемому грозит до пяти лет лишения свободы.
В рамках дела было опубликовано обвинительное заключение (PDF), однако некоторые его части вымараны, поскольку оно касается не только Стрыжака, но и другого обвиняемого, который был одним из админов Nefilim.
Утверждается, что Стрыжак присоединился к Nefilim в качестве партнёра в 2021 году, операторы шифровальщика получали 20% от суммы выкупов. Вымогатели старались атаковать крупные компании с доходом от 100 млн долларов в год. В одном сообщении админ советовал Стрыжаку выбирать жертв с доходом свыше 200 млн. В обвинительном заключении упомянуты 8 жертв атак в разных штатах США и во Франции.
В документе описано, как обычно реализовывалась атака. Также из него можно узнать некоторые подробности о расследовании.
Обвиняемому грозит до пяти лет лишения свободы.
30.04.202514:15
В Гааге готовятся расследовать военные киберпреступления
Международный уголовный суд (МУС) уже несколько лет думает над тем, как в рамках своего мандата работать с киберпреступлениями. Промежуточным результатом этого процесса стала подготовка офисом прокурора МУС проекта политики о киберпреступлениях, подпадающих по действие Римского статута (Draft policy on cyber-enabled crimes under the Rome Statute).
Пара слов о терминах. В названии документа использовано словосочетание cyber-enabled crimes, под которым понимаются преступления, в которых кибервозможности используются как инструмент. Это традиционные киберпреступления, которые с появлением компьютеров можно совершать новыми способами. Например, кража, но не из кармана, а из криптокошелька. В отличие от них cyber-dependent crimes — это чисто компьютерные преступления, каковых в доцифровую эру не было. В русском встречал перевод cyber-dependent как «киберзависимые», а cyber-enabled как «киберинструментальные».
В соответствии с Римским статутом юрисдикция МУС ограничивается четырьмя группами преступлений: преступлениями геноцида, преступлениями против человечности, военными преступлениями, преступлениями агрессии. Также суд обладает юрисдикцией в отношении преступлений против отправления им правосудия. Соответственно в проекте политики предпринята попытка разобраться, как можно расследовать и привлекать к ответственности за эти преступления, совершённые с помощью киберсредств.
В целом при всех сложностях и неопределённостях авторы документа считают, что определённые киберпреступления подпадают под юрисдикцию МУС, некоторые примеры приводятся в качестве иллюстрации. Так, все деяния, характеризуемые в Римском статуте как геноцид, теоретически могут быть совершены с использованием киберсредств. Согласно проекту политики, в этом контексте нет существенной юридической разницы, погибли люди от пуль или от кибератаки на критическую инфраструктуру. Цифровые технологии могут использоваться как инструмент для предотвращения деторождения в группе, подвергаемое геноциду, или для насильственной передачи детей. Авторы не считают, что в обозримом будущем может произойти геноцид с использованием только киберсредств, но убеждены, что они, вероятно, будут использоваться в любых преступлениях геноцида наряду с другими инструментами, а следовательно соответствующие киберпреступления должны учитываться и в работе МУС. Примеры сценариев приведены и по другим группам преступлений.
Отдельно авторы останавливаются на преступлениях против отправления правосудия, которые могут принимать форму распространения дипфейков, взломов, шантажа и угроз через интернет, фальсификации доказательств с помощью кибератак и так далее. Отмечается, что такие преступления уже стали реальностью, и в качестве примера в документе упоминается кибератака на МУС в 2023 году.
Завершающая часть доклада посвящена практическим аспектам реализации предложенной политики. Офис прокурора намерен расследовать релевантные преступления как своими силами, так и во взаимодействии с государствами, в том числе на основе таких многосторонних инструментов, как Будапештская конвенция и новая Конвенция ООН против киберпреступности. Предусмотрен и механизм сотрудничества с частным сектором и неправительственными организациями.
Если резюмировать, то документ предлагает распространить полномочия МУС на все деяния с использованием цифровых технологий, которые так или иначе связаны с преступлениями, определёнными Римским статутом. Но это не означает, что суд будет браться за любые киберпреступления. Приоритет будет отдаваться наиболее серьёзным нарушениям. На практике в краткосрочной и среднесрочной перспективе действия в киберпространстве могут быть релевантны для работы офиса прокурора прежде всего в той степени, в какой они способствуют совершению преступлений в физическом мире.
Проект политики сейчас открыт для публичных консультаций, специалисты могут направить свои комментарии до 30 мая.
Международный уголовный суд (МУС) уже несколько лет думает над тем, как в рамках своего мандата работать с киберпреступлениями. Промежуточным результатом этого процесса стала подготовка офисом прокурора МУС проекта политики о киберпреступлениях, подпадающих по действие Римского статута (Draft policy on cyber-enabled crimes under the Rome Statute).
Пара слов о терминах. В названии документа использовано словосочетание cyber-enabled crimes, под которым понимаются преступления, в которых кибервозможности используются как инструмент. Это традиционные киберпреступления, которые с появлением компьютеров можно совершать новыми способами. Например, кража, но не из кармана, а из криптокошелька. В отличие от них cyber-dependent crimes — это чисто компьютерные преступления, каковых в доцифровую эру не было. В русском встречал перевод cyber-dependent как «киберзависимые», а cyber-enabled как «киберинструментальные».
В соответствии с Римским статутом юрисдикция МУС ограничивается четырьмя группами преступлений: преступлениями геноцида, преступлениями против человечности, военными преступлениями, преступлениями агрессии. Также суд обладает юрисдикцией в отношении преступлений против отправления им правосудия. Соответственно в проекте политики предпринята попытка разобраться, как можно расследовать и привлекать к ответственности за эти преступления, совершённые с помощью киберсредств.
В целом при всех сложностях и неопределённостях авторы документа считают, что определённые киберпреступления подпадают под юрисдикцию МУС, некоторые примеры приводятся в качестве иллюстрации. Так, все деяния, характеризуемые в Римском статуте как геноцид, теоретически могут быть совершены с использованием киберсредств. Согласно проекту политики, в этом контексте нет существенной юридической разницы, погибли люди от пуль или от кибератаки на критическую инфраструктуру. Цифровые технологии могут использоваться как инструмент для предотвращения деторождения в группе, подвергаемое геноциду, или для насильственной передачи детей. Авторы не считают, что в обозримом будущем может произойти геноцид с использованием только киберсредств, но убеждены, что они, вероятно, будут использоваться в любых преступлениях геноцида наряду с другими инструментами, а следовательно соответствующие киберпреступления должны учитываться и в работе МУС. Примеры сценариев приведены и по другим группам преступлений.
Отдельно авторы останавливаются на преступлениях против отправления правосудия, которые могут принимать форму распространения дипфейков, взломов, шантажа и угроз через интернет, фальсификации доказательств с помощью кибератак и так далее. Отмечается, что такие преступления уже стали реальностью, и в качестве примера в документе упоминается кибератака на МУС в 2023 году.
Завершающая часть доклада посвящена практическим аспектам реализации предложенной политики. Офис прокурора намерен расследовать релевантные преступления как своими силами, так и во взаимодействии с государствами, в том числе на основе таких многосторонних инструментов, как Будапештская конвенция и новая Конвенция ООН против киберпреступности. Предусмотрен и механизм сотрудничества с частным сектором и неправительственными организациями.
Если резюмировать, то документ предлагает распространить полномочия МУС на все деяния с использованием цифровых технологий, которые так или иначе связаны с преступлениями, определёнными Римским статутом. Но это не означает, что суд будет браться за любые киберпреступления. Приоритет будет отдаваться наиболее серьёзным нарушениям. На практике в краткосрочной и среднесрочной перспективе действия в киберпространстве могут быть релевантны для работы офиса прокурора прежде всего в той степени, в какой они способствуют совершению преступлений в физическом мире.
Проект политики сейчас открыт для публичных консультаций, специалисты могут направить свои комментарии до 30 мая.
29.04.202511:37
«Кибератака» для разрядки?
После теракта в туристической зоне возле города Пахалгама в Кашмире неделю назад началось очередное обострение отношений между Индией и Пакистаном. Нападение совершила группа из 5 боевиков, вооружённых стрелковым оружием, от их рук погибли 26 человек и 20 были ранены. Ответственность за атаку взяла террористическая группировка «Фронт сопротивления» (TRF), которая базируется в Пакистане и ведёт действия против индийских властей в Джамму и Кашмире. TRF является ответвлением другой, более крупной террористической организации «Лашкар-и-Тайба», известной в том числе по одному из самых кровавых терактов в Индии в Мумбаи в 2008 году.
Однако спустя несколько дней на фоне нарастающей угрозы конфликта между Индией и Пакистаном и осуждения теракта международным сообществом TRF неожиданно отозвала своё признание ответственности за нападение на туристов, заявив о своей непричастности. Попытки связать группировку с терактом её представитель назвал кампанией по дискредитации кашмирского сопротивления.
Своё первоначальное заявление TRF объяснила кибератакой:
«Вскоре после нападения на Пахалгам на одной из наших цифровых платформ было опубликовано короткое несанкционированное сообщение. После проведения внутреннего аудита мы имеем основания считать, что это было результатом скоординированного кибервторжения — известной тактики в арсенале цифровых вооружений индийского государства. Мы проводим полноценное расследование взлома, и первые обнаруженные индикаторы указывают на следы киберспециалистов индийских спецслужб».
Конечно, полностью отметать эту версию не стоит, отдельные примеры успешных взломов с целью публикации провокационного сообщения существуют. Однако нередко в политической сфере хакерскими атаками оправдывают собственные ошибки. Учитывая послужной список TRF, реальную опасность войны и паузу в несколько дней перед опровержением, история про «кибератаку» выглядит как попытка группировки деэскалировать ситуацию. Да, убитых это не вернёт, а индийскую сторону не переубедит, но может дать сторонам чуть больше пространства для снижения напряжённости.
После теракта в туристической зоне возле города Пахалгама в Кашмире неделю назад началось очередное обострение отношений между Индией и Пакистаном. Нападение совершила группа из 5 боевиков, вооружённых стрелковым оружием, от их рук погибли 26 человек и 20 были ранены. Ответственность за атаку взяла террористическая группировка «Фронт сопротивления» (TRF), которая базируется в Пакистане и ведёт действия против индийских властей в Джамму и Кашмире. TRF является ответвлением другой, более крупной террористической организации «Лашкар-и-Тайба», известной в том числе по одному из самых кровавых терактов в Индии в Мумбаи в 2008 году.
Однако спустя несколько дней на фоне нарастающей угрозы конфликта между Индией и Пакистаном и осуждения теракта международным сообществом TRF неожиданно отозвала своё признание ответственности за нападение на туристов, заявив о своей непричастности. Попытки связать группировку с терактом её представитель назвал кампанией по дискредитации кашмирского сопротивления.
Своё первоначальное заявление TRF объяснила кибератакой:
«Вскоре после нападения на Пахалгам на одной из наших цифровых платформ было опубликовано короткое несанкционированное сообщение. После проведения внутреннего аудита мы имеем основания считать, что это было результатом скоординированного кибервторжения — известной тактики в арсенале цифровых вооружений индийского государства. Мы проводим полноценное расследование взлома, и первые обнаруженные индикаторы указывают на следы киберспециалистов индийских спецслужб».
Конечно, полностью отметать эту версию не стоит, отдельные примеры успешных взломов с целью публикации провокационного сообщения существуют. Однако нередко в политической сфере хакерскими атаками оправдывают собственные ошибки. Учитывая послужной список TRF, реальную опасность войны и паузу в несколько дней перед опровержением, история про «кибератаку» выглядит как попытка группировки деэскалировать ситуацию. Да, убитых это не вернёт, а индийскую сторону не переубедит, но может дать сторонам чуть больше пространства для снижения напряжённости.
दिखाया गया 1 - 24 का 178
अधिक कार्यक्षमता अनलॉक करने के लिए लॉगिन करें।