Компания Rackspace Technology, провайдер облачных услуг, по сообщению ресурса Dark Reading, столкнулась со значительными затратами в связи со сбоем, который произошёл в конце 2022 года в результате атаки программы-вымогателя. Напомним, из-за хакерского вторжения компании Rackspace пришлось навсегда отключить свою службу Microsoft Exchange. Причиной масштабного сбоя послужил эксплойт для уязвимости «нулевого дня».

С последствиями атаки Rackspace не могла справиться в течение нескольких недель. Впоследствии калифорнийская Cole & Van Note подала коллективный иск против Rackspace в связи с недоступностью облачных сервисов. Для расследования инцидента компании пришлось привлечь сторонних специалистов.

Источник изображения: Rackspace

Как теперь стало известно, расходы Rackspace на устранение последствий кибератаки составят приблизительно $10,8 млн. Говорится, что деньги пойдут в основном на оплату работы экспертов в области информационной безопасности, занимающихся расследованием инцидента, юридические и другие профессиональные услуги, а также на «дополнительные кадровые ресурсы», которые были задействованы для оказания поддержки клиентам.

Кроме того, компенсацию от Rackspace требуют недовольные пользователи, которые не могли получить доступ к сервисам провайдера облачных услуг. Rackspace ожидает, что значительная часть затрат будет возмещена компаниями по киберстрахованию.

Компании Mandiant (принадлежит Google Cloud) и Barracuda Networks, по сообщению ресурса ComputerWeekly, подтвердили, что взлом шлюзов Barracuda Email Security Gateway (ESG) осуществили китайские хакеры, действующие в интересах правительственных структур КНР. В июне Barracuda Networks проинформировала клиентов о том, что устранить дыру невозможно, а поэтому затронутые шлюзы необходимо попросту выкинуть.

В мае нынешнего года Barracuda Networks сообщила о том, что злоумышленники использовали уязвимость «нулевого дня» для взлома устройств ESG. Брешь CVE-2023-2868 позволяет удалённо выполнять произвольный код. В число жертв вошли Samsung, Delta Airlines, Mitsubishi и Kraft Heinz. Позднее компания установила связь атаковавшей шлюзы хакерской группы с Китаем. Этой киберкоманде присвоено название UNC4841. Говорится, что целями UNC4841 стали в основном правительственные структуры в США и Канаде, а также в Великобритании. По данным ФБР, к Сети всё еще подключены уязвимые шлюзы ряда организаций, но повторные атаки не наблюдаются.

Источник изображения: pixabay.com

Mandiant сообщает, что группировка UNC4841 пытается сохранить доступ к наиболее важным скомпрометированным средам с помощью нескольких вредоносных программ — Skipjack, Depthcharge, Foxtrot и Foxglove. Первые три являются бэкдорами, тогда как Foxglove выступает в качестве средства запуска Foxtrot. По оценкам, немногим более 15 % жертв являются правительственными структурами, а чуть более 10 % — местными органами власти. Атака также затронула IT-компании и организации, работающие в таких сферах, как телекоммуникации, производство, образование, аэрокосмическая и оборонная отрасли. Mandiant заявляет, что UNC4841 проводит шпионские операции именно в пользу китайского государства.

Компания Positive Technologies сообщила о выявлении опасной уязвимости в прошивке сетевых хранилищ Western Digital. Дыра позволяет злоумышленникам выполнять произвольный вредоносный код на устройствах, а также красть конфиденциальную информацию.

Брешь, описанная в бюллетене безопасности CVE-2023-22815, получила оценку 8,8 балла по шкале CVSS 3.0. Проблема затрагивает прошивку My Cloud OS 5 v5.23.114. Она используется на таких NAS компании Western Digital, как My Cloud PR2100, My Cloud PR4100, My Cloud EX4100, My Cloud EX2 Ultra, My Cloud Mirror G2 и других (полный список можно посмотреть на сайте производителя).

Источник изображения: Western Digital

«Наиболее опасный сценарий — полный захват управления NAS. Все дальнейшие шаги зависят от задач атакующего: кража данных, их модификация, полное удаление или развёртывание на базе NAS какого-либо ПО атакующего. Причина уязвимости может быть связана с добавлением в NAS новой функциональности и отсутствием проверки её безопасности», — отмечает специалист Positive Technologies Никита Абрамов, обнаруживший брешь.

Western Digital уже отреагировала и выпустила прошивку My Cloud OS 5 v5.26.300, в которой проблема устранена. Загрузить обновление настоятельно рекомендуется всем пользователям перечисленных устройств. Между тем по состоянию на конец августа 2023 года в глобальной сети оставались доступными IP-адреса более 2400 сетевых хранилищ Western Digital. Наибольшее их число находится в Германии (460), США (310), Италии (257), Великобритании (131) и Южной Корее (125).

Облачная площадка Amazon Web Services (AWS) объявила о запуске новой услуги — так называемых выделенных локальных зон (Dedicated Local Zones). Платформа ориентирована на клиентов, которым необходимо хранить конфиденциальные данные и развёртывать приложения в физически отдельной инфраструктуре, предназначенной исключительно для их использования.

Выделенные локальные зоны AWS создаются на указанной заказчиком площадке или в определённом дата-центре в соответствии с предъявляемыми нормативными требованиями. Они полностью управляются специалистами AWS, предлагая те же преимущества, что и обычные локальные зоны, такие как масштабируемость, оплата по факту использования и дополнительные функции безопасности.

Клиенты могут развернуть несколько выделенных локальных зон для обеспечения устойчивости. Стоимость сервиса, как сообщается, зависит от местоположения ЦОД, необходимых услуг и функций. Служба Dedicated Local Zones ориентирована прежде всего на государственные организации и компании, которые работают с закрытой информацией.

Источник изображения: Amazon

Выделенные локальные зоны используют систему AWS Nitro. Доступны такие сервисы, как Amazon EC2, Amazon Virtual Private Cloud (Amazon VPC), Amazon Elastic Block Store (Amazon EBS), Elastic Load Balancing (ELB), Amazon Elastic Container Service (Amazon ECS), Amazon Elastic Kubernetes Service (Amazon EKS) и AWS Direct Connect. Используется ли для этого инфраструктура AWS Outposts, не уточняется.

Компания Visiology сообщила о сертификации Федеральной службой по техническому и экспортному контролю (ФСТЭК России) аналитической платформы Visiology версии 2.32.

Платформа Visiology предназначена для построения информационно-аналитических систем, соответствующих предъявляемым к современным платформам бизнес-аналитики (Business Intelligence) требованиям. Решение позволяет собирать большие объёмы разнородных данных и обрабатывать их с применением математических методов анализа. Одна из особенностей продукта — поддержка не только настольных и мобильных дисплеев, но и экранов коллективного пользования или видеостен, которые используются в ситуационных центрах, центрах управления и диспетчерских. К преимуществам Visiology относится многомерная In-Memory база данных ViQube для быстрого выполнения запросов, возможность интеграции со стеком технологий Big Data и Data Science, встроенная система сбора данных через веб-формы и мобильные приложения на Android и iOS для самостоятельного исследования данных.

Выданный ведомством сертификат подтверждает соответствие Visiology 2.32 требованиям безопасности информации по 6 уровню доверия. BI-платформа может быть использована для защиты информации, не содержащей сведения, составляющие государственную тайну, в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 3 уровня защищённости обрабатываемых данных.

«Процесс сертификации является трудоёмким и требует тщательной подготовки. Поэтому обычно сертификат ФСТЭК России получают не самые новые версии ПО. Однако сегодня мы видим огромный спрос со стороны различных организаций на самые новые функции. Поэтому мы приложили значительные усилия, чтобы актуальный релиз Visiology 2.32 был сертифицирован менее чем через два месяца после его официальной презентации», — отмечают разработчики компании Visiology.

Компания «Яндекс» перенесёт серверы, обслуживающие yandex.kz на территорию Казахстана, сообщает ТАСС. За несколько дней до этого прошла рабочая встреча представителей «Яндекса» и Министерства цифрового развития, инноваций и аэрокосмической промышленности (МЦРИАП), а также Комитета по информационной безопасности. В МЦРИАП сообщили о достигнутой договорённости относительно разработки плана по защите персональных данных жителей Казахстана.

«В рамках стремления к укреплению партнёрства и национальных цифровых ресурсов “Яндекс” подтвердил готовность продолжить работы по переносу на территорию страны серверов, обслуживающих домен yandex.kz — так уже ранее было сделано для сервиса “Яндекс Go”», — отмечено в сообщении ведомства. План будет включать мероприятия по переносу обработки персональных данных граждан Республики Казахстан на серверы, расположенные на территории страны.

В начале августа ненадолго была приостановлена работа yandex.kz, что, как выяснилось, было связано с нарушением правил — ресурс работал на серверах за пределами Казахстана. В МЦРИАП сообщили об обращении «Яндекса» с просьбой продлить сроки переноса домена yandex.kz на территорию республики. В министерстве отметили, что приостановка доступа к сервисам «Яндекса» была вызвана тем, что компания не предоставила ответа на запрос от 25 июля — задачи полностью заблокировать её интернет-ресурсы не было.

Исследователь из Microsoft продемонстрировал уязвимости, позволяющие атаковать платформу Codesys V3, используемую для разработки, управления и автоматизации индустриальных программируемых логических контроллеров (PLC). Как сообщает Silicon Angle, в первую очередь речь идёт о контроллерах промышленного Интернета вещей (IIoT). Эксперт Microsoft Владимир Токарев рассказал о проблеме на конференции BlackHat.

SDK Codesys Group широко используется для работы с PLC, нашедших применение в самых разных устройствах — от светофоров и энергосистем до водоочистных сооружений и систем автоматизации коммерческой недвижимости. Всего примерно в 1 тыс. различных типов устройств от более чем 500 компаний. Уязвимости устранены в Codesys V3 версии 3.5.19.0. Для их использования необходимы аутентификация, а также глубокое знание проприетарных сетевых протоколов Codesys.

Устройства с ПО на базе SDK Codesys V3, которые доступны через интернет (Источник: Microsoft Defender Threat Intelligence)

15 уязвимостей, получивших общее название CoDe16, были выявлены почти год назад. Они позволяют получить контроль над PLC, внедрить вредоносное ПО, выполнить удалённое исполнение кода или добиться отказа в обслуживании. Токарев уже позаботился о потенциальных жертвах, опубликовав на GitHub результаты исследований, а также другие материалы, включая инструмент для выявления компонентов, находящихся в группе риска. Дополнительно рекомендуется сегментация и изоляция PLC от Сети, а также ограничение прав пользователей, имеющих доступ к устройствам.

Компания Oracle объявила о начале работы в Канберре нового облачного региона Oracle Cloud, предназначенного для австралийского правительства и военных. По данным DataCenter Dynamics, новый регион физически изолирован от прочих облачных регионов, частных и публичных. Oracle арендует мощности ЦОД, но к какому провайдеру компания обратилась на этот раз, она не сообщила.

Компания активно сотрудничает с властями англоязычных стран. Так, теперь Oracle выступает оператором пяти облачных правительственных регионов в США (причём три региона эксплуатирует Пентагон), двух в Великобритании и одного — в Австралии. Последний соответствует местным требованиям безопасности Information Security Manual (ISM) PROTECTED. Не так давно компания также открыла особый регион для нужд Евросоюза.

Источник изображения: Joey Csunyo/unsplash.com

Как заявляют в самой Oracle, компания использовала опыт сотрудничества с властями США и Великобритании, поэтому новый регион предоставит австралийцам более 100 востребованных сервисов. При этом тарифы будут соответствовать тем, что предлагаются клиентам публичной облачной инфраструктуры. Ожидается, что регион с ограниченным доступом упростит властям Австралии перенос в облако важнейших информационных систем и обеспечит доступ ко всем преимуществам сервисов Oracle.

Компания BI.ZONE сообщила о выпуске версии 1.4.0 платформы BI.ZONE Secure SD-WAN, которая позволяет сократить расходы на обеспечение стабильной связи с географически распределёнными площадками, минимизировать риски кибербезопасности, а также оптимизировать управление и масштабирование сети.

В BI.ZONE Secure SD-WAN 1.4.0 усовершенствованы сценарии автоматизации работы с платформой: это даёт возможность снизить финансовые затраты клиентов и количество времени, которое они тратят на повторяющиеся задачи. Реализованы функции шаблонизации и группировки настроек межсетевого экрана, благодаря чему повышается удобство работы с политиками безопасности.

Источник изображения: BI.ZONE

Кроме того, в новой версии появилась функциональность автоматической смены TLS и WireGuard-ключей. Управление правилами теперь доступно как с использованием единого шаблона, так и индивидуально для каждого межсетевого экрана. Расширен поддерживаемый модельный ряд сетевых серверов CyberEdge собственной разработки BI.ZONE. Клиенты могут использовать платформу Secure SD-WAN на младших моделях CyberEdge: 50D-4T, 20N-3T и 10B-5T. Плюс к этому добавлена поддержка двух LTE-подключений на оборудовании CyberEdge.

Изменение конфигурации SD-WAN-устройств происходит независимо от их доступности. Если оборудование было выключено во время изменения каких-либо настроек, конфигурация автоматически синхронизируется с контроллером при включении. Такой же подход применён в отношении функций безопасности — теперь конфигурация межсетевого экрана и последующих VNF гарантированно доставляется сразу после восстановления сетевой связности.

Для уменьшения количества ошибок, связанных с человеческим фактором, добавлены дополнительные проверки и предупреждения о попытках пользователя совершить действия, которые могут привести к нежелательным последствиям. Благодаря утилите пошаговой конфигурации время создания новой инсталляции централизованной части платформы сократилось до 30 минут и может выполняться даже специалистами, которые ранее не имели опыта работы с решением.

Компания StormWall обнародовала результаты исследования, в ходе которого изучалось использование российскими предприятиями и организациями отечественных и зарубежных решений для защиты от DDoS-атак. Говорится, что импортозамещение в области информационной безопасности является одним из приоритетов для государства в настоящее время.

Установлено, что из тех компаний, которые используют защиту, 90 % уже применяют профессиональные российские решения, полностью отказавшись от зарубежных аналогов. Вместе с тем примерно 12 % компаний из рейтинга ТОП-500 не имеют никакой специализированной защиты от DDoS-атак. В основном это предприятия из производственного сектора, строительной отрасли и транспортной сферы.

Источник изображения: StormWall

Самые высокие показатели внедрения отечественных продуктов и сервисов по защите от кибератак зафиксированы в государственном секторе (99 % организаций), финансовой сфере (97 % компаний) и телекоммуникационной отрасли (95 % компаний).

Около 10 % российских организаций, использующих защиту, по-прежнему применяют зарубежные продукты. При этом StormWall указывает на ряд угроз, связанных с импортными решениями: это утечка конфиденциальных данных, встраивание нежелательного контента в веб-страницы, блокировка российских ресурсов со стороны недружественных юрисдикций, блокировка со стороны РКН и пр.

Оказалось, что чаще всего западные сервисы от кибератак применяются в таких отраслях, как ретейл (8 % компаний), нефтяная индустрия (6 % организаций) и сфера развлечений (4 % компаний).

«Использование зарубежных средств защиты информации создает серьезные риски для критически важных отраслей страны. В рамках сотрудничества иностранные поставщики решений получают полный доступ к данным крупнейших российских компаний», — говорится в исследовании.