Кибервойна
01.05.202510:25
Посольство России во Франции выразило протест в связи с тем, что французский МИД обвинил военную разведку России в кибератаках. Российские дипломаты считают, что обвинения ничем не подтверждаются, а их реальная цель — раскрутить русофобию:
«Вызывает абсолютное недоумение обвинение, прозвучавшее в адрес российской структуры. Даже в докладе Национального агентства безопасности информационных систем, на который делается ссылка в коммюнике, не содержится никаких упоминаний данной организации и не приводится никаких доказательств "вины" российской стороны в приписываемых ей кибератаках.
Решительно отвергаем безосновательные нападки французской стороны. Напоминаем, что для урегулирования возникающих вопросов есть каналы профессионального диалога. "Мегафонная дипломатия" французского МИД нацелена явно не на это, а на раскручивание во французском обществе русофобии и оправдание агрессивной антироссийской политики, которую ведут нынешние французские власти».
В заключении посольство интересуется у французских коллег: «почему до сих пор не найден «русский след» в разрушении Бастилии?»
«Вызывает абсолютное недоумение обвинение, прозвучавшее в адрес российской структуры. Даже в докладе Национального агентства безопасности информационных систем, на который делается ссылка в коммюнике, не содержится никаких упоминаний данной организации и не приводится никаких доказательств "вины" российской стороны в приписываемых ей кибератаках.
Решительно отвергаем безосновательные нападки французской стороны. Напоминаем, что для урегулирования возникающих вопросов есть каналы профессионального диалога. "Мегафонная дипломатия" французского МИД нацелена явно не на это, а на раскручивание во французском обществе русофобии и оправдание агрессивной антироссийской политики, которую ведут нынешние французские власти».
В заключении посольство интересуется у французских коллег: «почему до сих пор не найден «русский след» в разрушении Бастилии?»
28.04.202517:33
Есть желание написать научно-популярную книгу по тематике канала, про кибервойну и всё такое. Если у вас вдруг есть опыт работы с издательствами (или, может, вы из издательства), напишите мне, пожалуйста, хотел бы проконсультироваться. Почта в описании.
16.04.202515:35
Тревога отменяется (пока). Агентство по кибербезопасности и безопасности критической инфраструктуры (CISA) в последний момент заявило журналистам о продлении контракта с корпорацией MITRE на обслуживание программы CVE.
Также часть членов совета CVE создала новую структуру, CVE Foundation, над которой они работали прошлый год. Идея состоит в том, чтобы передать управление CVE из рук окологосударственной MITRE некоммерческой организации и таким образом избавиться от единой точки отказа в виде возможного прекращения госфинансирования. Пока это только план, но, возможно, что так и будет выглядеть будущее CVE.
Также часть членов совета CVE создала новую структуру, CVE Foundation, над которой они работали прошлый год. Идея состоит в том, чтобы передать управление CVE из рук окологосударственной MITRE некоммерческой организации и таким образом избавиться от единой точки отказа в виде возможного прекращения госфинансирования. Пока это только план, но, возможно, что так и будет выглядеть будущее CVE.
15.04.202520:34
Программа CVE может встать на паузу
Корпорация MITRE может лишиться возможности поддерживать программу CVE (Common Vulnerabilities and Exposures) — базу данных общеизвестных уязвимостей программного обеспечения. Причём уже завтра.
Об этом сообщил в письме членам совета программы CVE вице-президент одного из центров в составе MITRE. О письме первоначально сообщил хакер Tib3rius, его подлинность подтвердил журналист издания Nextgov/FCW (дополнение: вышла статья с подтверждением MITRE).
Вот перевод письма:
«Уважаемые члены совета CVE,
Мы хотим, чтобы вы были в курсе важной потенциальной проблемы, касающейся продолжения поддержки MITRE программы CVE.
В среду 16 апреля 2025 года истекает текущий контракт на развитие, управление и модернизацию корпорацией MITRE программы CVE и несколько других связанных программ, таких как CWE. Правительство продолжает прилагать значительные усилия для того, чтобы MITRE продолжила выполнять свою роль по поддержанию этой программы.
Если обслуживание будет прервано, мы ожидаем многочисленных последствий для CVE включая ухудшение состояния национальных баз данных уязвимостей и рекомендаций, вендоров инструментов, операций по реагированию на инциденты и всех видов критической инфраструктуры.
MITRE остаётся приверженной программе CVE как глобальному ресурсу. Мы благодарим вас как члена Совета CVE за ваше продолжающееся сотрудничество».
CVE развивается уже более 25 лет и является крупнейшей базой данных уязвимостей, идентификаторы CVE фактически служат стандартом по всему миру. Идентификаторы позволяют отслеживать новые уязвимости и обмениваться информацией о них, управлять обновлениями ПО, расследовать инциденты и заниматься киберразведкой. У некоторых государств есть свои национальные базы данных уязвимостей, например Банк данных угроз безопасности информации ФСТЭК в России или китайская национальная база данных уязвимостей. Но у многих стран своих аналогов просто нет, поэтому любые паузы в функционировании программы CVE могут иметь глобальные последствия.
Причины проблем с финансированием MITRE в письме не названы. Можно предположить, что они связаны с действиями администрации по сокращению бюджетных расходов — есть немало примеров, когда финансирование программ или агентств прекращалось или приостанавливалось, а потом возобновлялось. На проблемы с взаимодействием с MITRE ещё несколько недель назад жаловались пользователи ветки Reddit по кибербезопасности.
Корпорация MITRE может лишиться возможности поддерживать программу CVE (Common Vulnerabilities and Exposures) — базу данных общеизвестных уязвимостей программного обеспечения. Причём уже завтра.
Об этом сообщил в письме членам совета программы CVE вице-президент одного из центров в составе MITRE. О письме первоначально сообщил хакер Tib3rius, его подлинность подтвердил журналист издания Nextgov/FCW (дополнение: вышла статья с подтверждением MITRE).
Вот перевод письма:
«Уважаемые члены совета CVE,
Мы хотим, чтобы вы были в курсе важной потенциальной проблемы, касающейся продолжения поддержки MITRE программы CVE.
В среду 16 апреля 2025 года истекает текущий контракт на развитие, управление и модернизацию корпорацией MITRE программы CVE и несколько других связанных программ, таких как CWE. Правительство продолжает прилагать значительные усилия для того, чтобы MITRE продолжила выполнять свою роль по поддержанию этой программы.
Если обслуживание будет прервано, мы ожидаем многочисленных последствий для CVE включая ухудшение состояния национальных баз данных уязвимостей и рекомендаций, вендоров инструментов, операций по реагированию на инциденты и всех видов критической инфраструктуры.
MITRE остаётся приверженной программе CVE как глобальному ресурсу. Мы благодарим вас как члена Совета CVE за ваше продолжающееся сотрудничество».
CVE развивается уже более 25 лет и является крупнейшей базой данных уязвимостей, идентификаторы CVE фактически служат стандартом по всему миру. Идентификаторы позволяют отслеживать новые уязвимости и обмениваться информацией о них, управлять обновлениями ПО, расследовать инциденты и заниматься киберразведкой. У некоторых государств есть свои национальные базы данных уязвимостей, например Банк данных угроз безопасности информации ФСТЭК в России или китайская национальная база данных уязвимостей. Но у многих стран своих аналогов просто нет, поэтому любые паузы в функционировании программы CVE могут иметь глобальные последствия.
Причины проблем с финансированием MITRE в письме не названы. Можно предположить, что они связаны с действиями администрации по сокращению бюджетных расходов — есть немало примеров, когда финансирование программ или агентств прекращалось или приостанавливалось, а потом возобновлялось. На проблемы с взаимодействием с MITRE ещё несколько недель назад жаловались пользователи ветки Reddit по кибербезопасности.
15.04.202513:43
Плюс новый отчёт от китайской компании Antiy о кибератаках во время «крупного мероприятия в провинции Хэйлунцзян» (скорее всего, тех же зимних Азиатских игр) с разбором примеров некоторых кибератак: сканирования сети, брутфорса, эксплуатации узязвимостей, распространения троянов удалённого доступа, криптомайнинга и управления ботнетом. В отчёте подчёркиваются случаи использования американских IP-адресов, но обвинения в адрес США не выдвигаются (в отличие от отчёта CVERC и сегодняшнего заявления властей Харбина), хотя Antiy в целом не стесняется обвинять американцев.
10.04.202505:45
SentinelOne оставили без допусков
Российские власти в прошлом году признали нежелательной деятельность кибербез-компании Recorded Future; а американские власти вчера объявили нежелательной другую американскую фирму — SentinelOne. Ну, почти.
Дональд Трамп подписал указ о лишении допуска к секретной информации (clearance) бывшего главы Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Криса Кребса.
CISA было создано во время первого президентства Трампа, и Кребс стал его первым руководителем. Однако единомышленниками они не были, и конфликт вышел наружу в контексте президентских выборов 2020 года. Во время избирательной гонки и после своего поражения Трамп заявлял о фальсификациях на выборах. Кребс как глава агентства, которое занималось защитой избирательной инфраструктуры, подчёркивал безопасность выборов (как и 4 года спустя его преемница Джен Истерли). Вскоре после голосования Трамп уволил Кребса, и тот продолжил карьеру в частном секторе.
Во вчерашнем указе Трамп называет бывшего главу CISA недобросовестным человеком, который злоупотреблял своими полномочиями на госслужбе: подавлял консервативные взгляды под предлогом борьбы с недостоверной информацией; тайно участвовал в сокрытии скандала вокруг ноутбука Хантера Байдена; занимался цензурой информации о выборах и, в частности, отрицал, что выборы 2020 года были украдены; искажал общественную дискуссию на тему COVID-19.
(Ещё один указ Трампа лишает допуска Майлса Тэйлора, бывшего руководителя аппарата Министерства внутренней безопасности и автора скандальной анонимной колонки в New York Times «Я часть сопротивления внутри администрации Трампа».)
При чём тут SentinelOne? Компания, по сути, стала побочной жертвой политической борьбы. Своим указом Трамп не только лишил допуска Кребса, но и поручил приостановить действующие допуски, которыми обладают лица в структурах, связанных с Кребсом, включая SentinelOne — именно в этой компании сейчас работает бывший глава CISA в качестве руководителя по разведке и публичной политике. По допускам этих лиц будет проведена проверка на предмет соответствия национальным интересам.
Допуск к секретной информации может быть нужен компаниям в сфере кибербезопасности для взаимодействия с государственными ведомствами, работы над проектами, связанными с нацбезопасностью и защитой критической инфраструктуры. На практике сегодняшний указ может стать препятствием для выполнение компанией госконтрактов, осложнить обмен информацией о киберугрозах, а также негативно отразиться на её деловой репутации.
Российские власти в прошлом году признали нежелательной деятельность кибербез-компании Recorded Future; а американские власти вчера объявили нежелательной другую американскую фирму — SentinelOne. Ну, почти.
Дональд Трамп подписал указ о лишении допуска к секретной информации (clearance) бывшего главы Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Криса Кребса.
CISA было создано во время первого президентства Трампа, и Кребс стал его первым руководителем. Однако единомышленниками они не были, и конфликт вышел наружу в контексте президентских выборов 2020 года. Во время избирательной гонки и после своего поражения Трамп заявлял о фальсификациях на выборах. Кребс как глава агентства, которое занималось защитой избирательной инфраструктуры, подчёркивал безопасность выборов (как и 4 года спустя его преемница Джен Истерли). Вскоре после голосования Трамп уволил Кребса, и тот продолжил карьеру в частном секторе.
Во вчерашнем указе Трамп называет бывшего главу CISA недобросовестным человеком, который злоупотреблял своими полномочиями на госслужбе: подавлял консервативные взгляды под предлогом борьбы с недостоверной информацией; тайно участвовал в сокрытии скандала вокруг ноутбука Хантера Байдена; занимался цензурой информации о выборах и, в частности, отрицал, что выборы 2020 года были украдены; искажал общественную дискуссию на тему COVID-19.
(Ещё один указ Трампа лишает допуска Майлса Тэйлора, бывшего руководителя аппарата Министерства внутренней безопасности и автора скандальной анонимной колонки в New York Times «Я часть сопротивления внутри администрации Трампа».)
При чём тут SentinelOne? Компания, по сути, стала побочной жертвой политической борьбы. Своим указом Трамп не только лишил допуска Кребса, но и поручил приостановить действующие допуски, которыми обладают лица в структурах, связанных с Кребсом, включая SentinelOne — именно в этой компании сейчас работает бывший глава CISA в качестве руководителя по разведке и публичной политике. По допускам этих лиц будет проведена проверка на предмет соответствия национальным интересам.
Допуск к секретной информации может быть нужен компаниям в сфере кибербезопасности для взаимодействия с государственными ведомствами, работы над проектами, связанными с нацбезопасностью и защитой критической инфраструктуры. На практике сегодняшний указ может стать препятствием для выполнение компанией госконтрактов, осложнить обмен информацией о киберугрозах, а также негативно отразиться на её деловой репутации.
29.04.202514:14
В сеть утекли материалы о проверках ФСБ!
На самом деле документы на основе одного и того же шаблона рассылают с прошлого года мошенники в Телеграме. Можно почти в режиме реального времени наблюдать эволюцию схемы fake boss.
На самом деле документы на основе одного и того же шаблона рассылают с прошлого года мошенники в Телеграме. Можно почти в режиме реального времени наблюдать эволюцию схемы fake boss.
28.04.202510:00
Китайские специалисты обвиняют спецслужбы США в очередной кибератаке. Китайская ассоциация безопасности киберпространства выпустила отчёт со ссылкой на CNCERT/CC об обнаружении взлома крупного поставщика коммерческих шифровальных продуктов.
Атакующие воспользовались 0-day уязвимостью в CRM-системе, благодаря чему в марте 2024 им удалось заразить систему жертвы трояном. За полгода они украли 950 МБ данных из CRM, включая данные контрактов. Также они похитили 6,2 ГБ проектных данных из системы управления исходным кодом. Атакующие пользовались IP-адресами в Нидерландах, Германии и Южной Корее, в отчёте традиционно представлены фрагменты адресов. Атрибуция атаки США объясняется схожестью трояна с инструментами американских спецслужб, а также временными характеристиками.
По содержанию отчёт похож на январские отчёты CNCERT/CC о двух связываемых с США атаках. Он весьма краток, но всё же содержит хоть какие-то конкретные детали в отличие от недавнего отчёта CVERC о массовых атаках на зимние Азиатские игры.
Атакующие воспользовались 0-day уязвимостью в CRM-системе, благодаря чему в марте 2024 им удалось заразить систему жертвы трояном. За полгода они украли 950 МБ данных из CRM, включая данные контрактов. Также они похитили 6,2 ГБ проектных данных из системы управления исходным кодом. Атакующие пользовались IP-адресами в Нидерландах, Германии и Южной Корее, в отчёте традиционно представлены фрагменты адресов. Атрибуция атаки США объясняется схожестью трояна с инструментами американских спецслужб, а также временными характеристиками.
По содержанию отчёт похож на январские отчёты CNCERT/CC о двух связываемых с США атаках. Он весьма краток, но всё же содержит хоть какие-то конкретные детали в отличие от недавнего отчёта CVERC о массовых атаках на зимние Азиатские игры.
Кайра бөлүшүлгөн:
ESCalator
16.04.202511:46
APT-группировка Cloud Atlas атакует предприятия ОПК России 🌎
В конце прошлого — начале текущего года группа киберразведки обнаружила миграцию управляющей инфраструктуры и эволюцию вредоносных документов в арсенале Cloud Atlas, ознаменовавшие начало новой кампании группировки в отношении предприятий оборонно-промышленного комплекса России.
Наблюдение за выявленной вредоносной инфраструктурой позволило в режиме реального времени отслеживать весь размах новой киберактивности группировки Cloud Atlas, в том числе вскрыть BEC-атаки с использованием электронной почты ранее зараженных предприятий ОПК России для отправки вредоносных документов Microsoft Office в адрес контрагентов.
📫 Вектором проникновения традиционно выступала фишинговая рассылка электронных писем с вредоносными документами Microsoft Office во вложении. Информация об управляющей инфраструктуре и вредоносные VB-скрипты были скрыты в альтернативном потоке данных (1Table) документов. Открытие файлов приводило к выполнению этих скриптов, которые взаимодействовали с API Google Sheets для передачи информации о зараженной системе и загрузки бэкдора PowerShower с последующей эксфильтрацией украденных данных в облачные хранилища (более подробно — в нашем прошлом исследовании).
🤷♂️ Обнаруженные документы — по большей части характерные для государственного сектора шаблоны — отсутствуют в открытом доступе и, вероятнее всего, были украдены из сетей ранее атакованных предприятий. Во избежание раскрытия предприятий, в сетях которых присутствует группировка, из зараженных документов накануне использования в новых атаках удалялись метаданные, о чем свидетельствуют временные метки их модификации.
Активность АРТ-группировки Cloud Atlas отслеживается с 2014 года. Традиционной географией атак являются страны СНГ. В 2024 году вектор кибератак существенно сместился в сторону России, их высокая интенсивность, частота миграции атакующей инфраструктуры и эволюции вредоносных документов сохраняются до настоящего времени.
Прогнозируется сохранение высокого уровня опасности киберугроз для российских учреждений и организаций, исходящих от APT-группировки Cloud Atlas.
🧐 Подробнее читайте на нашем сайте.
#TI #APT #Malware
@ptescalator
В конце прошлого — начале текущего года группа киберразведки обнаружила миграцию управляющей инфраструктуры и эволюцию вредоносных документов в арсенале Cloud Atlas, ознаменовавшие начало новой кампании группировки в отношении предприятий оборонно-промышленного комплекса России.
Наблюдение за выявленной вредоносной инфраструктурой позволило в режиме реального времени отслеживать весь размах новой киберактивности группировки Cloud Atlas, в том числе вскрыть BEC-атаки с использованием электронной почты ранее зараженных предприятий ОПК России для отправки вредоносных документов Microsoft Office в адрес контрагентов.
📫 Вектором проникновения традиционно выступала фишинговая рассылка электронных писем с вредоносными документами Microsoft Office во вложении. Информация об управляющей инфраструктуре и вредоносные VB-скрипты были скрыты в альтернативном потоке данных (1Table) документов. Открытие файлов приводило к выполнению этих скриптов, которые взаимодействовали с API Google Sheets для передачи информации о зараженной системе и загрузки бэкдора PowerShower с последующей эксфильтрацией украденных данных в облачные хранилища (более подробно — в нашем прошлом исследовании).
По содержанию вредоносные вложения представляли собой приглашения на курсы повышения квалификации, документы об антикоррупционных проверках и мобилизационных мероприятиях, акты сверки взаимных расчетов, справки в отношении сотрудников, резюме соискателей на должность оператора ЧПУ.
🤷♂️ Обнаруженные документы — по большей части характерные для государственного сектора шаблоны — отсутствуют в открытом доступе и, вероятнее всего, были украдены из сетей ранее атакованных предприятий. Во избежание раскрытия предприятий, в сетях которых присутствует группировка, из зараженных документов накануне использования в новых атаках удалялись метаданные, о чем свидетельствуют временные метки их модификации.
Активность АРТ-группировки Cloud Atlas отслеживается с 2014 года. Традиционной географией атак являются страны СНГ. В 2024 году вектор кибератак существенно сместился в сторону России, их высокая интенсивность, частота миграции атакующей инфраструктуры и эволюции вредоносных документов сохраняются до настоящего времени.
Прогнозируется сохранение высокого уровня опасности киберугроз для российских учреждений и организаций, исходящих от APT-группировки Cloud Atlas.
🧐 Подробнее читайте на нашем сайте.
#TI #APT #Malware
@ptescalator
15.04.202516:31
Журналисты РБК вчера рассказали о подготовке законопроекта, который создаст механизм изъятия криптовалюты при уголовных делах. На практике конфискация цифровых активов уже происходит. Например, в деле Марата Тамбиева, который, по версии обвинения, получил взятку у членов Infraud Organization. В 2023 году суд постановил изъять в пользу дохода государства 1023,1 биткоина, которыми владел бывший следователь. В январе ТАСС сообщал, что следователи начали «обращать в доход государства более 1 млрд рублей в биткойнах», которые хранились на кошельке Ledger Nano X. Однако с правовой точки зрения механизм вызывал вопросы, которые должен закрыть подготовленный законопроект.
15.04.202511:47
Власти Харбина объявили награду за трёх сотрудников АНБ
Бюро общественной безопасности Харбина назвало имена трёх сотрудников Агентства национальной безопасности США (АНБ), якобы причастных к кибератакам на прошедшие в феврале зимние Азиатские игры, и объявила награду за информацию, которая поможет из поймать. По мнению правоохранителей, Katheryn A. Wilson, Robert J. Snelling и Stephen W. Johnson, будучи сотрудниками хакерского подразделения АНБ Office of Tailored Access Operations (TAO), проводили атаки как на инфраструктуру спортивного мероприятия, так и на критическую инфраструктуру провинции Хэйлунцзян: энергетику, транспорт, водные ресурсы, коммуникации, исследовательские институты и университеты, связанные с национальной обороной. Расследование якобы установило и причастность троих американцев к прошлыми кибератаками на Huawei. Харбинские власти утверждают, что помимо АНБ в кибератаках на объекты спортивной и критической инфраструктуры участвовали Университет штата Калифорния и Вирджинский политехнический институт и университет штата (Virginia Tech).
О кибератаках в Харбине и провинции Хэйлунцзян в январе-феврале этого года пару недель назад рассказал в своём отчёте Национальный центр реагирования на вирусные угрозы (CVERC). Я подробно разбирал его здесь. По меркам китайских отчётов о киберугозах материал CVERC не очень содержательный. По сути, США атрибутируются массовые кибератаки различного характера на основе использования злоумышленниками IP-адресов в США и Европе, совпадения тактик, техник и процедур (каких — не описано) и часового пояса.
Странно, что такой слабо детализированный отчёт послужил поводом для публичных обвинений в адрес конкретных американских официальных лиц.
Для сравнения, в 2022 году Qihoo360 и CVERC раскрыли подробности атаки на Северо-западный политехнический университет, обвинив в ней всё то же хакерское подразделение АНБ (кстати, авторы китайских отчётов упорно называют его тем именем, под которым оно прославилось — Office of Tailored Access Operations, но официальное название уже некоторое время назад сменилось на Office of Computer Network Operations, OCNO). Та атака носила целевой характер и имела другие признаки, которые делают её гораздо более похожей на активность разведывательной организации, чем массовые атаки, которые упоминаются в отчёте CVERC про зимние Азиатские игры. Недавно австралийская исследовательница произвела небольшую сенсацию в кибербез-сообществе, пересказав китайские отчёты об атаке на Северо-западный политехнический университет доступным для западной аудитории языком — на публикацию в обтекаемых формулировках отреагировало даже АНБ. Так вот, в контексте той атаки китайцы публично упоминали только одну фигуру — Роба Джойса, бывшего главу TAO, имя которого и факт его работы в АНБ и так были широко известны.
Так или иначе, Китай продолжает перенимать американские практики публичной атрибуции кибератак вплоть до назначения награды за информацию об обвинённых во взломах официальных лицах. Сегодняшняя новость показывает, что участвовать в этом процессе могут не только госорганы национального уровня, как это было в марте, когда Министерство государственной безопасности выдвинуло обвинения против предполагаемых служащих тавйваньского киберкомандования, но и региональные власти, в данном случае в Харбине.
Бюро общественной безопасности Харбина назвало имена трёх сотрудников Агентства национальной безопасности США (АНБ), якобы причастных к кибератакам на прошедшие в феврале зимние Азиатские игры, и объявила награду за информацию, которая поможет из поймать. По мнению правоохранителей, Katheryn A. Wilson, Robert J. Snelling и Stephen W. Johnson, будучи сотрудниками хакерского подразделения АНБ Office of Tailored Access Operations (TAO), проводили атаки как на инфраструктуру спортивного мероприятия, так и на критическую инфраструктуру провинции Хэйлунцзян: энергетику, транспорт, водные ресурсы, коммуникации, исследовательские институты и университеты, связанные с национальной обороной. Расследование якобы установило и причастность троих американцев к прошлыми кибератаками на Huawei. Харбинские власти утверждают, что помимо АНБ в кибератаках на объекты спортивной и критической инфраструктуры участвовали Университет штата Калифорния и Вирджинский политехнический институт и университет штата (Virginia Tech).
О кибератаках в Харбине и провинции Хэйлунцзян в январе-феврале этого года пару недель назад рассказал в своём отчёте Национальный центр реагирования на вирусные угрозы (CVERC). Я подробно разбирал его здесь. По меркам китайских отчётов о киберугозах материал CVERC не очень содержательный. По сути, США атрибутируются массовые кибератаки различного характера на основе использования злоумышленниками IP-адресов в США и Европе, совпадения тактик, техник и процедур (каких — не описано) и часового пояса.
Странно, что такой слабо детализированный отчёт послужил поводом для публичных обвинений в адрес конкретных американских официальных лиц.
Для сравнения, в 2022 году Qihoo360 и CVERC раскрыли подробности атаки на Северо-западный политехнический университет, обвинив в ней всё то же хакерское подразделение АНБ (кстати, авторы китайских отчётов упорно называют его тем именем, под которым оно прославилось — Office of Tailored Access Operations, но официальное название уже некоторое время назад сменилось на Office of Computer Network Operations, OCNO). Та атака носила целевой характер и имела другие признаки, которые делают её гораздо более похожей на активность разведывательной организации, чем массовые атаки, которые упоминаются в отчёте CVERC про зимние Азиатские игры. Недавно австралийская исследовательница произвела небольшую сенсацию в кибербез-сообществе, пересказав китайские отчёты об атаке на Северо-западный политехнический университет доступным для западной аудитории языком — на публикацию в обтекаемых формулировках отреагировало даже АНБ. Так вот, в контексте той атаки китайцы публично упоминали только одну фигуру — Роба Джойса, бывшего главу TAO, имя которого и факт его работы в АНБ и так были широко известны.
Так или иначе, Китай продолжает перенимать американские практики публичной атрибуции кибератак вплоть до назначения награды за информацию об обвинённых во взломах официальных лицах. Сегодняшняя новость показывает, что участвовать в этом процессе могут не только госорганы национального уровня, как это было в марте, когда Министерство государственной безопасности выдвинуло обвинения против предполагаемых служащих тавйваньского киберкомандования, но и региональные власти, в данном случае в Харбине.
10.04.202504:37
Где сновал Пегас
В 2019 году Pegasus применялся для атак на 1223 пользователей WhatsApp в 51 стране. Количество жертв шпионской программы стало известно из материалов судебного разбирательства по иску Meta к NSO Group.
Больше всего жертв слежки было в Мексике (456). Это подтверждает предыдущие журналистские расследования о злоупотреблениях мексиканских властей программой, которая позиционировалась как инструмент для правоохранительных органов. Также в топе Индия (100), Бахрейн (82), Марокко (69), Пакистан (58) и Индонезия (54).
Pegasus применялся и против жертв в западных странах, в том числе в Испании, Нидерландах, Франции, Германии, Великобритании, Канаде и США.
Также слежка велась за пользователями WhatsApp на постсоветском пространстве: в Узбекистане, Казахстане, Латвии, Кыргызстане, Эстонии.
Как отмечает TechCrunch, наличие жертв Pegasus в определённой стране не обязательно свидетельствует о том, что правительство данной страны было клиентом NSO Group. Возможно, что клиент мог заказывать слежку и за гражданином другой страны.
Поскольку суд идёт именно по злоупотреблению WhatsApp (уязвимость в мессенджере использовалась для первоначального заражения устройства), то приведённые цифры — это жертвы, атакованные только через этот вектор в течение примерно двух месяцев в апреле-мае 2019 года.
В 2019 году Pegasus применялся для атак на 1223 пользователей WhatsApp в 51 стране. Количество жертв шпионской программы стало известно из материалов судебного разбирательства по иску Meta к NSO Group.
Больше всего жертв слежки было в Мексике (456). Это подтверждает предыдущие журналистские расследования о злоупотреблениях мексиканских властей программой, которая позиционировалась как инструмент для правоохранительных органов. Также в топе Индия (100), Бахрейн (82), Марокко (69), Пакистан (58) и Индонезия (54).
Pegasus применялся и против жертв в западных странах, в том числе в Испании, Нидерландах, Франции, Германии, Великобритании, Канаде и США.
Также слежка велась за пользователями WhatsApp на постсоветском пространстве: в Узбекистане, Казахстане, Латвии, Кыргызстане, Эстонии.
Как отмечает TechCrunch, наличие жертв Pegasus в определённой стране не обязательно свидетельствует о том, что правительство данной страны было клиентом NSO Group. Возможно, что клиент мог заказывать слежку и за гражданином другой страны.
Поскольку суд идёт именно по злоупотреблению WhatsApp (уязвимость в мессенджере использовалась для первоначального заражения устройства), то приведённые цифры — это жертвы, атакованные только через этот вектор в течение примерно двух месяцев в апреле-мае 2019 года.
29.04.202511:37
«Кибератака» для разрядки?
После теракта в туристической зоне возле города Пахалгама в Кашмире неделю назад началось очередное обострение отношений между Индией и Пакистаном. Нападение совершила группа из 5 боевиков, вооружённых стрелковым оружием, от их рук погибли 26 человек и 20 были ранены. Ответственность за атаку взяла террористическая группировка «Фронт сопротивления» (TRF), которая базируется в Пакистане и ведёт действия против индийских властей в Джамму и Кашмире. TRF является ответвлением другой, более крупной террористической организации «Лашкар-и-Тайба», известной в том числе по одному из самых кровавых терактов в Индии в Мумбаи в 2008 году.
Однако спустя несколько дней на фоне нарастающей угрозы конфликта между Индией и Пакистаном и осуждения теракта международным сообществом TRF неожиданно отозвала своё признание ответственности за нападение на туристов, заявив о своей непричастности. Попытки связать группировку с терактом её представитель назвал кампанией по дискредитации кашмирского сопротивления.
Своё первоначальное заявление TRF объяснила кибератакой:
«Вскоре после нападения на Пахалгам на одной из наших цифровых платформ было опубликовано короткое несанкционированное сообщение. После проведения внутреннего аудита мы имеем основания считать, что это было результатом скоординированного кибервторжения — известной тактики в арсенале цифровых вооружений индийского государства. Мы проводим полноценное расследование взлома, и первые обнаруженные индикаторы указывают на следы киберспециалистов индийских спецслужб».
Конечно, полностью отметать эту версию не стоит, отдельные примеры успешных взломов с целью публикации провокационного сообщения существуют. Однако нередко в политической сфере хакерскими атаками оправдывают собственные ошибки. Учитывая послужной список TRF, реальную опасность войны и паузу в несколько дней перед опровержением, история про «кибератаку» выглядит как попытка группировки деэскалировать ситуацию. Да, убитых это не вернёт, а индийскую сторону не переубедит, но может дать сторонам чуть больше пространства для снижения напряжённости.
После теракта в туристической зоне возле города Пахалгама в Кашмире неделю назад началось очередное обострение отношений между Индией и Пакистаном. Нападение совершила группа из 5 боевиков, вооружённых стрелковым оружием, от их рук погибли 26 человек и 20 были ранены. Ответственность за атаку взяла террористическая группировка «Фронт сопротивления» (TRF), которая базируется в Пакистане и ведёт действия против индийских властей в Джамму и Кашмире. TRF является ответвлением другой, более крупной террористической организации «Лашкар-и-Тайба», известной в том числе по одному из самых кровавых терактов в Индии в Мумбаи в 2008 году.
Однако спустя несколько дней на фоне нарастающей угрозы конфликта между Индией и Пакистаном и осуждения теракта международным сообществом TRF неожиданно отозвала своё признание ответственности за нападение на туристов, заявив о своей непричастности. Попытки связать группировку с терактом её представитель назвал кампанией по дискредитации кашмирского сопротивления.
Своё первоначальное заявление TRF объяснила кибератакой:
«Вскоре после нападения на Пахалгам на одной из наших цифровых платформ было опубликовано короткое несанкционированное сообщение. После проведения внутреннего аудита мы имеем основания считать, что это было результатом скоординированного кибервторжения — известной тактики в арсенале цифровых вооружений индийского государства. Мы проводим полноценное расследование взлома, и первые обнаруженные индикаторы указывают на следы киберспециалистов индийских спецслужб».
Конечно, полностью отметать эту версию не стоит, отдельные примеры успешных взломов с целью публикации провокационного сообщения существуют. Однако нередко в политической сфере хакерскими атаками оправдывают собственные ошибки. Учитывая послужной список TRF, реальную опасность войны и паузу в несколько дней перед опровержением, история про «кибератаку» выглядит как попытка группировки деэскалировать ситуацию. Да, убитых это не вернёт, а индийскую сторону не переубедит, но может дать сторонам чуть больше пространства для снижения напряжённости.
27.04.202510:23
Знаете ли вы, что в Москве есть памятник вирусу NotPetya в виде погрызенного жёсткого диска? Он был установлен в «Сколково» по инициативе медицинской компании «Инвитро», которая в июне 2017 стала одной из жертв глобальной атаки, изначальной нацеленной на Украину. В России от NotPetya пострадали и более крупные организации, но только в «Инвитро» придумали сделать из атаки публичную историю и показать, что компания умеет бороться как с биологическими, так и с компьютерными вирусами.
16.04.202510:08
«Ведомости» написали про новые атаки Cloud Atlas, обнаруженные исследователями Positive Technologies.
В статье приведён и такой экспертный комментарий:
«В текущих условиях хакерские атаки на объекты ОПК осуществляются весьма часто и в конечном итоге их целью является остановка производства или вывод из строя оборудования, говорит заместитель директора Центра научно-технологической политики МГУ имени М. В. Ломоносова Тимофей Воронин. Нельзя говорить об эффективности данных атак, но их стабильная направленность на российский ОПК подчеркивает необходимость постоянной модернизации инфраструктуры и неукоснительного соблюдения правил в сфере кибербезопасности, отметил он».
Конечно, некоторые злоумышленники стремятся остановить производство, но если говорить об APT-группировках, то задача большинства из них — это закрепление в инфраструктуре для ведения шпионажа. И я совсем не могу согласиться с тезисом, что «нельзя говорить об эффективности этих атак» на ОПК. Некоторые группировки тратят годы и даже десятилетия на совершенствование своего арсенала, поиск и эксплуатацию новых уязвимостей для проведение целевых атак. Разумеется, они не стали бы тратить столько времени и ресурсов на то, что считают неэффективным.
В статье приведён и такой экспертный комментарий:
«В текущих условиях хакерские атаки на объекты ОПК осуществляются весьма часто и в конечном итоге их целью является остановка производства или вывод из строя оборудования, говорит заместитель директора Центра научно-технологической политики МГУ имени М. В. Ломоносова Тимофей Воронин. Нельзя говорить об эффективности данных атак, но их стабильная направленность на российский ОПК подчеркивает необходимость постоянной модернизации инфраструктуры и неукоснительного соблюдения правил в сфере кибербезопасности, отметил он».
Конечно, некоторые злоумышленники стремятся остановить производство, но если говорить об APT-группировках, то задача большинства из них — это закрепление в инфраструктуре для ведения шпионажа. И я совсем не могу согласиться с тезисом, что «нельзя говорить об эффективности этих атак» на ОПК. Некоторые группировки тратят годы и даже десятилетия на совершенствование своего арсенала, поиск и эксплуатацию новых уязвимостей для проведение целевых атак. Разумеется, они не стали бы тратить столько времени и ресурсов на то, что считают неэффективным.
15.04.202515:59
«Яндекс» первым из российских компаний выставил на багбаунти все свои сервисы с использованием ИИ. Принимаются уязвимости, связанные с процессом сбора и обработки данных, ошибки, ведущие к раскрытию чувствительной информации, влияющие на принятие бизнес-решений, и другие.
Но из скоупа исключены проблемы, касающиеся контента, например вопрос этичности ответов или галлюцинации. То есть если Дмитрию Медведеву или другому чиновнику в очередной раз не понравится сгенерированный ответ или картинка, то за это награду не дадут (но можно сообщить в техподдержку).
Но из скоупа исключены проблемы, касающиеся контента, например вопрос этичности ответов или галлюцинации. То есть если Дмитрию Медведеву или другому чиновнику в очередной раз не понравится сгенерированный ответ или картинка, то за это награду не дадут (но можно сообщить в техподдержку).
10.04.202517:47
В России есть не очень понятная мне фиксация на так называемом киберцентре НАТО. Официальное название — Центр передового опыта по сотрудничеству в сфере киберобороны (CCDCOE) или Таллинский центр. Глава "Солара" Игорь Ляпунов в интервью связывает вступление Украины в этот киберцентр в январе 2023 с возвращением кибератак "с новой силой и новыми технологиями".
Во-первых, фактически Украина стала участником CCDCOE ещё в марте 2022 года, а официально — в мае 2023.
Во-вторых, CCDCOE никогда не занимался операционной деятельностью и особого вклада в развитие наступательных возможностей членов альянса тоже не вносил. НАТО (полноценной частью которого центр, кстати, не является) в киберпространстве лучше развивает коллективную оборону, а не на нападение. Причина этого не в благих намерениях, а в том что те, у кого наступательные возможности есть, не особо хотят ими делиться; а у многих их толком и нет. Поэтому в наступательном плане строятся всякие сложные схемы, интересующиеся могут почитать про Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA) — по сути, это механизм, который позволяет странам типа США на добровольной основе предоставлять свои возможности для общих миссий. Более того, известно, что у украинских спецслужб уже был многолетний опыт сотрудничества с американцами по развитию компьютерной разведки — то есть прямой канал взаимодействия с наиболее ресурсным членом альянса. С учётом этого непонятно, что присоединение к CCDCOE могло дать для активизации атак. Для упрощения обмена информацией об угрозах, участия в учениях и тренингах могло, а вот для наступательных действий вряд ли.
Наконец, для многих деструктивных атак (в интервью отмечено, что сейчас на некоторые уходит "два с половиной дня от момента первого исследования до полного уничтожения инфраструктуры компании"), как показывает практика, не обязательно нужны новые технологии НАТО, достаточно фишинга и какого-нибудь общедоступного шифровальщика. Есть и более сложные кибершпионские операции, но мне не попадалось, чтобы кто-то отмечал пересечение инструментария украинских группировок с западными.
Конечно, некоторым в Москве нравится мысль, что за всеми кибератаками против России стоит Запад. Но вообще на четвёртый год интенсивного киберконфликта я бы не удивился, если бы обмен опытом шёл не с Запада в сторону Украины, а наоборот.
Во-первых, фактически Украина стала участником CCDCOE ещё в марте 2022 года, а официально — в мае 2023.
Во-вторых, CCDCOE никогда не занимался операционной деятельностью и особого вклада в развитие наступательных возможностей членов альянса тоже не вносил. НАТО (полноценной частью которого центр, кстати, не является) в киберпространстве лучше развивает коллективную оборону, а не на нападение. Причина этого не в благих намерениях, а в том что те, у кого наступательные возможности есть, не особо хотят ими делиться; а у многих их толком и нет. Поэтому в наступательном плане строятся всякие сложные схемы, интересующиеся могут почитать про Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA) — по сути, это механизм, который позволяет странам типа США на добровольной основе предоставлять свои возможности для общих миссий. Более того, известно, что у украинских спецслужб уже был многолетний опыт сотрудничества с американцами по развитию компьютерной разведки — то есть прямой канал взаимодействия с наиболее ресурсным членом альянса. С учётом этого непонятно, что присоединение к CCDCOE могло дать для активизации атак. Для упрощения обмена информацией об угрозах, участия в учениях и тренингах могло, а вот для наступательных действий вряд ли.
Наконец, для многих деструктивных атак (в интервью отмечено, что сейчас на некоторые уходит "два с половиной дня от момента первого исследования до полного уничтожения инфраструктуры компании"), как показывает практика, не обязательно нужны новые технологии НАТО, достаточно фишинга и какого-нибудь общедоступного шифровальщика. Есть и более сложные кибершпионские операции, но мне не попадалось, чтобы кто-то отмечал пересечение инструментария украинских группировок с западными.
Конечно, некоторым в Москве нравится мысль, что за всеми кибератаками против России стоит Запад. Но вообще на четвёртый год интенсивного киберконфликта я бы не удивился, если бы обмен опытом шёл не с Запада в сторону Украины, а наоборот.
09.04.202517:26
Кто всё ещё работает по ру?
Обновил список государственных и окологосударственных хакерских группировок (APT), которые проводят атаки на российские организации.
Первую версию подготовил год назад, в октябре было обновление. Список составлен на основе публичных отчётов российских и иностранных компаний в сфере кибербезопасности.
Что нового:
— добавил 51 отчёт в основном с октября 2024 по апрель 2025, но также несколько более ранних, убрал пару дублей; всего сейчас в таблице около 130 отчётов, количество группировок увеличилось с 40 до 49;
— поправил наименования некоторых групп, указал предполагаемую страновую привязку, где это было обосновано.
В список по-прежнему не включены киберпреступные и хактивистские группировки.
Буду благодарен за обратную связь, дополнения и уточнения.
Обновил список государственных и окологосударственных хакерских группировок (APT), которые проводят атаки на российские организации.
Первую версию подготовил год назад, в октябре было обновление. Список составлен на основе публичных отчётов российских и иностранных компаний в сфере кибербезопасности.
Что нового:
— добавил 51 отчёт в основном с октября 2024 по апрель 2025, но также несколько более ранних, убрал пару дублей; всего сейчас в таблице около 130 отчётов, количество группировок увеличилось с 40 до 49;
— поправил наименования некоторых групп, указал предполагаемую страновую привязку, где это было обосновано.
В список по-прежнему не включены киберпреступные и хактивистские группировки.
Буду благодарен за обратную связь, дополнения и уточнения.
29.04.202505:46
Спикер Курултая Башкирии предлагает считать хакеров военной целью
О кибервойне уже думают не только военные эксперты, депутаты Госдумы и федеральные министры, но и законодатели из региональных парламентов.
На днях председатель Курултая Башкортостана Константин Толкачёв озвучил ряд мыслей на эту тему на заседании Комиссии Совета законодателей РФ по вопросам законодательного обеспечения национальной безопасности и противодействию коррупции.
Он отметил, что «кибервойска в современных реалиях — такой же род войск, как и любой другой, угроза национальной безопасности от кибервойск противника, как и наносимый ими урон, колоссальны. Соответственно и подавление таких подразделений Вооруженными Силами Российской Федерации должно осуществляться аналогично тому, как это происходит в отношении военной техники, личного состава противника, эшелонов с вооружениями, пунктов дислокации наемников».
Также Константин Толкачёв предложил «дать определения в отечественном правовом поле таким понятиям, как "кибервойна" и "информационная война", регламентировать меры противодействия данным явлениям, а также установить нормы ответственности за ведение кибервойны», которые должны быть строже, чем за обычное кибермошенничество.
По мнению Толкачёва, базы хакерских группировок и мошеннические колл-центры на территории Украины «станут в таком случае законными целями Вооруженных Сил Российской Федерации с вытекающим из этого нанесением по ним ударов доступными средствами поражения, как по любым другим украинским воинским формированиям».
Что касается колл-центров, то ранее подобные идеи озвучивал телеведущий Владимир Соловьёв, а Владимира Путина спрашивали об этом во время прямой линии.
А вот про удары по хакерам в России ещё никто, вроде бы, не говорил, поэтому эта сомнительная пальма первенства отправляется в Уфу.
В переводе на международно-политический то, что предлагает спикер Курултая, означало бы значительное понижение порога применения силы. Конечно, в недавней истории было всякое, можно вспомнить как минимум два задокументированных случая американских ударов по хакерам-игиловцам в 2015 году. А в 2019 году Израиль оправдывал авиаудар по зданию в Газе тем, что там находились хакеры Хамас. Однако в целом такие случаи остаются исключениями, а устойчивого стремления государств применять военную силу по хакерам не заметно. Потому что такое решение может оказаться обоюдоострым.
О кибервойне уже думают не только военные эксперты, депутаты Госдумы и федеральные министры, но и законодатели из региональных парламентов.
На днях председатель Курултая Башкортостана Константин Толкачёв озвучил ряд мыслей на эту тему на заседании Комиссии Совета законодателей РФ по вопросам законодательного обеспечения национальной безопасности и противодействию коррупции.
Он отметил, что «кибервойска в современных реалиях — такой же род войск, как и любой другой, угроза национальной безопасности от кибервойск противника, как и наносимый ими урон, колоссальны. Соответственно и подавление таких подразделений Вооруженными Силами Российской Федерации должно осуществляться аналогично тому, как это происходит в отношении военной техники, личного состава противника, эшелонов с вооружениями, пунктов дислокации наемников».
Также Константин Толкачёв предложил «дать определения в отечественном правовом поле таким понятиям, как "кибервойна" и "информационная война", регламентировать меры противодействия данным явлениям, а также установить нормы ответственности за ведение кибервойны», которые должны быть строже, чем за обычное кибермошенничество.
По мнению Толкачёва, базы хакерских группировок и мошеннические колл-центры на территории Украины «станут в таком случае законными целями Вооруженных Сил Российской Федерации с вытекающим из этого нанесением по ним ударов доступными средствами поражения, как по любым другим украинским воинским формированиям».
Что касается колл-центров, то ранее подобные идеи озвучивал телеведущий Владимир Соловьёв, а Владимира Путина спрашивали об этом во время прямой линии.
А вот про удары по хакерам в России ещё никто, вроде бы, не говорил, поэтому эта сомнительная пальма первенства отправляется в Уфу.
В переводе на международно-политический то, что предлагает спикер Курултая, означало бы значительное понижение порога применения силы. Конечно, в недавней истории было всякое, можно вспомнить как минимум два задокументированных случая американских ударов по хакерам-игиловцам в 2015 году. А в 2019 году Израиль оправдывал авиаудар по зданию в Газе тем, что там находились хакеры Хамас. Однако в целом такие случаи остаются исключениями, а устойчивого стремления государств применять военную силу по хакерам не заметно. Потому что такое решение может оказаться обоюдоострым.
17.04.202509:19
Исследователи «Лаборатории Касперского» обнаружили новые атаки китаеязычной APT-группировки IronHusky на российские и монгольские госорганы. Устройства заражались обновлённой версией вредоноса MysterySnail RAT, который злоумышленники применяли ещё в 2021 году. Причём уточняется: «имплант активно использовался в кибератаках все эти годы, просто публичные сообщения о нем отсутствовали». Свою деятельность IronHusky как минимум с 2012 года и уже демонстрировала свой интерес к России и Монголии.
16.04.202508:32
Ради интереса решил посмотреть, насколько БДУ ФСТЭК совпадает с базой CVE. В базе ФСТЭК есть поле «Идентификаторы других систем описаний уязвимости», для одной уязвимости может указываться несколько идентификаторов из одной или разных систем.
В сумме во всей базе указаны идентификаторы из примерно 60 других баз/систем уязвимостей. На картинке показаны топ-10 систем описания уязвимостей, встречающихся в БДУ ФСТЭК. Чаще всего указываются идентификаторы CVE — они есть у 97,5% из почти 70 тысяч уязвимостей в базе. Проще говоря, БДУ ФСТЭК почти полностью пересекается с базой CVE. Впрочем, это не означает, что все эти уязвимости брались из CVE (при желании это тоже можно посчитать, но это уже более трудоёмко), но очевидно, что очень существенная часть.
Если представить сценарий, в котором программа CVE полностью свёрнута, то данные о большинстве уязвимостей в БДУ ФСТЭК пришлось бы собирать из более разрозненных источников. Но о полной остановке речи не идёт, и CISA (источник финансирования программы) думает, как её сохранить.
Уязвимости, для которых не указан идентификатор CVE, — это в большинстве случаев те, которые есть только в БДУ, то есть уязвимости в софте, который используется в основном в России. Учитывая курс на импортозамещение, доля таких уникальных уязвимостей в базе продолжит расти.
Ещё один любопытный момент: в БДУ ФСТЭК всего для 8 уязвимостей указан идентификатор CNNVD (и везде вместе с CVE). То есть с китайской национальной базой данных уязвимостей пересечений почти нет, за ней составители БДУ особо не следят. С одной стороны, это можно объяснить языковым барьером, а также тем, что уникальные данные из китайской базы (уязвимости в китайском софте, допустим) нерелевантны для России. Но всё-таки разница очень показательная. Тем более что в 2015 году в двустороннем соглашении по информационной безопасности Россия и Китай договорились в т.ч. буквально о создании «механизма сотрудничества между уполномоченными органами государств Сторон в целях обмена информацией и совместного использования информации о существующих и потенциальных рисках, угрозах и уязвимостях в области информационной безопасности, их выявления, оценки, изучения, взаимного информирования о них, а также предупреждения их возникновения». 10 лет спустя следов этого механизма по крайней мере с российской стороны не заметно. Даже идентификаторы из японской национальной базы данных уязвимостей встречаются в БДУ в 3 раза чаще китайских.
В сумме во всей базе указаны идентификаторы из примерно 60 других баз/систем уязвимостей. На картинке показаны топ-10 систем описания уязвимостей, встречающихся в БДУ ФСТЭК. Чаще всего указываются идентификаторы CVE — они есть у 97,5% из почти 70 тысяч уязвимостей в базе. Проще говоря, БДУ ФСТЭК почти полностью пересекается с базой CVE. Впрочем, это не означает, что все эти уязвимости брались из CVE (при желании это тоже можно посчитать, но это уже более трудоёмко), но очевидно, что очень существенная часть.
Если представить сценарий, в котором программа CVE полностью свёрнута, то данные о большинстве уязвимостей в БДУ ФСТЭК пришлось бы собирать из более разрозненных источников. Но о полной остановке речи не идёт, и CISA (источник финансирования программы) думает, как её сохранить.
Уязвимости, для которых не указан идентификатор CVE, — это в большинстве случаев те, которые есть только в БДУ, то есть уязвимости в софте, который используется в основном в России. Учитывая курс на импортозамещение, доля таких уникальных уязвимостей в базе продолжит расти.
Ещё один любопытный момент: в БДУ ФСТЭК всего для 8 уязвимостей указан идентификатор CNNVD (и везде вместе с CVE). То есть с китайской национальной базой данных уязвимостей пересечений почти нет, за ней составители БДУ особо не следят. С одной стороны, это можно объяснить языковым барьером, а также тем, что уникальные данные из китайской базы (уязвимости в китайском софте, допустим) нерелевантны для России. Но всё-таки разница очень показательная. Тем более что в 2015 году в двустороннем соглашении по информационной безопасности Россия и Китай договорились в т.ч. буквально о создании «механизма сотрудничества между уполномоченными органами государств Сторон в целях обмена информацией и совместного использования информации о существующих и потенциальных рисках, угрозах и уязвимостях в области информационной безопасности, их выявления, оценки, изучения, взаимного информирования о них, а также предупреждения их возникновения». 10 лет спустя следов этого механизма по крайней мере с российской стороны не заметно. Даже идентификаторы из японской национальной базы данных уязвимостей встречаются в БДУ в 3 раза чаще китайских.
Кайра бөлүшүлгөн:
Коммерсантъ
15.04.202514:47
❗️ В России впервые оштрафовали банк за переписку с клиентом в WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в РФ). Сумма штрафа составила 200 тыс. руб., сообщили в Роскомнадзоре.
Как отметили в ведомстве, сотрудник кредитной организации, вопреки запрету, отправил с корпоративного номера сообщение должнику в иностранном мессенджере. С жалобой в РКН обратилась жительница Москвы. Название банка не уточняется.
Ограничения на использование иностранных мессенджеров при оказании финансовых услуг вступили в силу 1 марта 2023 года.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
Как отметили в ведомстве, сотрудник кредитной организации, вопреки запрету, отправил с корпоративного номера сообщение должнику в иностранном мессенджере. С жалобой в РКН обратилась жительница Москвы. Название банка не уточняется.
Ограничения на использование иностранных мессенджеров при оказании финансовых услуг вступили в силу 1 марта 2023 года.
▪ Подписывайтесь на «Ъ»|Оставляйте «бусты»
10.04.202516:15
Координационный центр доменов .RU/.РФ и МГИМО выпустили книгу «Международное управление интернетом», она доступна как в печатной, так и в электронной форме (PDF). Редактором издания выступила Елена Зиновьева, над текстом также работал коллектив авторов из МГИМО и других вузов: Александр Игнатов, Александр Уланов, Элина Сидоренко, Анна Сытник, Мария Базлуцкая, Николай Силаев, Василий Таран, Инна Яникеева.
Книга посвящена прежде всего международно-политическим аспектам управления интернетом и почти не касается технической стороны вопроса. В книге сделан обзор ведущейся уже не одно десятилетие дискуссии об управлении интернетом — как академическими авторами, так и практиками. Описана работа международных и неправительственных организаций, задействованных в управлении интернетом. Изложены государственные подходы, прежде всего российский, но также американский и китайский. Третья глава посвящена не только управлению интернетом в узком понимании, но и другим цифровым вопросам, которые обсуждаются в международных форматах. Это как традиционные темы международного права, информационной безопасности и цифрового неравенства, так и новые вызовы, связанные с экологией, искусственным интеллектом и криптовалютами.
В завершение представлены официальные российские взгляды о необходимости реформирования системы управления интернетом:
«Россия исходит из необходимости интернационализации управления Интернетом и апеллирует к следующим принципам: равные права и обязанности в сфере управления Интернетом, недопущение доступа к сети Интернет как инструмента влияния на другие государства, воздержание государств от действий, направленных на ограничение функционирования или доступа к сети Интернет на территории других государств, суверенные права государств на управление национальным сегментом сети Интернет».
Ранее Координационный центр выступал инициатором издания двух редакций перевода популярной книги Йована Курбалийи «Управление интернетом» (Introduction to Internet Governance). По словам директора Координационного центра Андрея Воробьёва, новая книга лучше представляет российские подходы:
«Но "Управление интернетом" Курбалийи отражает в какой-то степени "западный" взгляд на этот процесс, и теперь мы решили познакомить читателей с мнением отечественных ученых, занимающихся этой проблемой».
Книга посвящена прежде всего международно-политическим аспектам управления интернетом и почти не касается технической стороны вопроса. В книге сделан обзор ведущейся уже не одно десятилетие дискуссии об управлении интернетом — как академическими авторами, так и практиками. Описана работа международных и неправительственных организаций, задействованных в управлении интернетом. Изложены государственные подходы, прежде всего российский, но также американский и китайский. Третья глава посвящена не только управлению интернетом в узком понимании, но и другим цифровым вопросам, которые обсуждаются в международных форматах. Это как традиционные темы международного права, информационной безопасности и цифрового неравенства, так и новые вызовы, связанные с экологией, искусственным интеллектом и криптовалютами.
В завершение представлены официальные российские взгляды о необходимости реформирования системы управления интернетом:
«Россия исходит из необходимости интернационализации управления Интернетом и апеллирует к следующим принципам: равные права и обязанности в сфере управления Интернетом, недопущение доступа к сети Интернет как инструмента влияния на другие государства, воздержание государств от действий, направленных на ограничение функционирования или доступа к сети Интернет на территории других государств, суверенные права государств на управление национальным сегментом сети Интернет».
Ранее Координационный центр выступал инициатором издания двух редакций перевода популярной книги Йована Курбалийи «Управление интернетом» (Introduction to Internet Governance). По словам директора Координационного центра Андрея Воробьёва, новая книга лучше представляет российские подходы:
«Но "Управление интернетом" Курбалийи отражает в какой-то степени "западный" взгляд на этот процесс, и теперь мы решили познакомить читателей с мнением отечественных ученых, занимающихся этой проблемой».
09.04.202509:29
Корейские исследователи из Genians отмечают, что один из командных серверов, использованных шпионской группировкой Konni в недавних атаках, находится в России; ещё один в Нидерландах.
Көрсөтүлдү 1 - 24 ичинде 155
Көбүрөөк функцияларды ачуу үчүн кириңиз.