«Лаборатория Касперского» выявила серию сложных целевых кибератак на промышленные предприятия в Восточной Европе. Злоумышленники крадут данные у компаний производственного сектора, а также у организаций, занимающихся инжинирингом и интеграцией автоматизированных систем управления (АСУ).

Вредоносная кампания похожа на ранее исследованные атаки ExCone и DexCone, которые, предположительно, связаны с группой APT31, также известной как Judgment Panda и Zirconium.

Источник изображения: pixabay.com

Для получения удалённого доступа к системам жертв, сбора и кражи данных применяются более 15 различных имплантов. Это модули для обеспечения бесперебойного удалённого доступа и первоначального сбора информации, инструменты для сбора файлов (в том числе с физически изолированных систем), а также средства выгрузки данных на командные серверы. Имплаты позволяют создавать множество постоянно действующих каналов для вывода украденной информации, в том числе из высокозащищённых систем.

Отмечается, что злоумышленники продемонстрировали обширные знания и опыт в обходе мер безопасности. Они, в частности, активно использовали техники DLL-подмены, чтобы избегать обнаружения во время работы имплантов. DLL-подмена предполагает применение легитимных исполняемых файлов сторонних разработчиков, в которых есть уязвимости, позволяющие загрузить в их память вредоносную динамическую библиотеку.

Для эксфильтрации информации и доставки вредоносного ПО использовались облачные сервисы и платформы обмена файлами. Хакеры развёртывали инфраструктуру управления и контроля скомпрометированных систем в облачной среде и на частных виртуальных серверах. В атаках использовались новые версии вредоносного ПО FourteenHi и новый имплант MeatBall, предоставляющий обширные возможности для удалённого доступа.

Отличительная особенность киберпреступной кампании — кража данных из изолированных компьютерных сетей через последовательное заражение съёмных носителей. При этом были задействованы как минимум четыре различных модуля: инструмент для работы со съёмными носителями и сбора информации о них; средства заражения съёмного носителя; компонент сбора и сохранения данных на заражённом носителе; модуль заражения и сбора информации с удалённого компьютера.

Компания UserGate сообщила о прохождении сертификационных испытаний на соответствие стандартам информационной безопасности Республики Беларусь межсетевого экрана C150 и системы анализа ИБ-инцидентов UserGate Log Analyzer.

Упомянутые продукты решают проблему защиты современной IT-инфраструктуры от разнообразных сетевых угроз, связанных с внешними атаками, вредоносными приложениями, скриптами и другими рисками, а также позволяют применять гранулярные политики к интернет-пользователям в плане контроля как трафика, так и используемых приложений.

Межсетевой экран UserGate C150

Полученные компанией сертификаты подтверждают соответствие UserGate C150 и Log Analyzer требованиям информационной безопасности, предъявляемым к средствам защиты информации на государственном уровне. Продукт в полной мере отвечает требованиям технического регламента «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY) и указанным в нём государственным стандартам Республики Беларусь.

Межсетевой экран UserGate C150 и система анализа ИБ-инцидентов Log Analyzer могут использоваться органами государственной власти Беларуси, предприятиями военно-промышленного комплекса и другими организациями для защиты любой информации ограниченного распространения.

«Яндекс» объявил о запуске нового конкурса в рамках программы «Охота за ошибками». Эксперты в области информационной безопасности смогут получить денежное вознаграждение до 2,8 млн руб. за обнаружение критических уязвимостей в продуктах и сервисах российского IT-гиганта. Это в пять раз больше обычных премий, которые «Яндекс» выплачивает этичным хакерам.

Охотники за ошибками смогут получить повышенное вознаграждение за отчёты в двух категориях. Одна из них — IDOR (Insecure Direct Object Reference), или небезопасный прямой доступ к объектам. Это уязвимости в механизмах защиты сайтов, через которые злоумышленники могут получить доступ к приватной информации через ошибки в API.

Вторая категория — прочие технические недоработки и уязвимости, которые дают возможность получить доступ к закрытой информации, например, личным закладкам, персональным промокодам или черновикам статей.

Источник изображения: pixabay.com

Размер вознаграждения зависит от критичности уязвимости, простоты её эксплуатации и влияния на безопасность данных. Сумма премии может быть уменьшена, если эксплуатация дыры усложнена компенсирующими мерами.

В соответствии с правилами, исследователи могут использовать только собственные тестовые аккаунты для проверки возможных уязвимостей. Пытаться получить доступ к информации других пользователей нельзя. «Яндекс» отдаст приоритет найденным во время конкурса ошибкам и оперативно их исправит. Мероприятие проводится до 31 августа 2023 года.

Злоумышленники в июле 2023 года начали рассылать российским компаниям письма от имени Роскомнадзора, заражённые новым опасным вирусом White Snake. Об этом сообщает газета «Коммерсант», ссылаясь на информацию, полученную от управления киберразведки BI.ZONE (бывшая структура «Сбера»).

Вредоносный софт White Snake предназначен для кражи логинов и паролей пользователей, а также конфиденциальных корпоративных данных. Посредством этого ПО злоумышленники могут записывать звук с микрофона и видео с веб-камеры, регистрировать нажатия клавиш и получать другие виды несанкционированного доступа к системе жертвы.

Источник изображения: pixabay.com

Киберпреступники рассылают инфицированные сообщения по коммерческим адресам электронной почты, которые взяты в том числе из утекших в интернет баз. В одном из вложений содержится уведомление от имени Роскомнадзора, в котором сообщается, что «в ходе выборочного мониторинга активности» установлено посещение сотрудниками экстремистских интернет-ресурсов и сайтов, которые распространяют материалы иноагентов. При этом злоумышленники требуют дать пояснение в течение двух рабочих дней, угрожая мерами административного и уголовного характера. Во втором вложении содержится ссылка на вредоносное ПО.

По оценкам экспертов, ущерб от внедрения White Snake в IT-инфраструктуру компании может составлять от нескольких миллионов до сотен миллионов рублей — в зависимости от размера и вида деятельности организации. Говорится, что наиболее сильно атаки влияют на компании финансового сектора и научно-технические структуры, чьи разработки и интеллектуальная собственность представляют особую ценность.

В BI.ZONE подчёркивают, что сам зловред White Snake распространяется по коммерческой модели. Подписку на это вредоносное ПО можно приобрести за $140 в месяц, а получить неограниченный доступ — за $1,9 тыс.

Компания Qrator Labs обнародовала статистику по  DDoS-атакам во II квартале 2023 года, пишет Forbes: их общее количество подскочило на 40 % за последние три месяца. При этом сильнее всего пострадал финансовый сектор, на долю которого пришлась почти половина всех атак — 44,34 %.

На втором месте в списке целей киберпреступников находятся участники отрасли электронной торговли с показателем 13,68 %, на третьем — организации сегмента онлайн-образования с 11,32 %.

Источник изображения: pixabay.com

Исследование Qrator Labs говорит о том, что, несмотря на рост числа DDoS-атак, их продолжительность уменьшается. Так, средняя длительность сократилась на 29,15 %, составив 47 минут. Аналогичный показатель в I квартале составлял более одного часа. Максимальная продолжительность также снижается — с 42 часов в I квартале до 20,7 часа во II четверти 2023 года.

Наибольшее количество заблокированных IP-адресов за отчётный период пришлось на Россию — 8,2 млн. На втором месте в рейтинге источников атак находятся США с результатом в более чем 3 млн заблокированных адресов. Замыкает тройку Китай с 1,4 млн адресов. Всего по итогам II квартала в «чёрный список» были внесены почти 19,5 млн IP-адресов, с которых совершались нападения. В список также вошли Франция (830 тыс.), Индия (638 тыс.), Индонезия (573 тыс.), Германия (543 тыс.), Бразилия (524 тыс.) и Великобритания (500 тыс.).

Количество атак ботов во II квартале продолжило расти, достигнув 4 196 806 693 и превысив показатели I квартала более чем на 1 млрд. Больше всего таких атак пришлось на май с 1,48 млрд заблокированных запросов ботов.

Согласно исследованию Qrator Labs, растёт популярность UDP flood — сетевых атак, использующих бессеансовый режим одного из ключевых протоколов для интернета UDP: фиксируется почти двукратный рост UDP flood — с 37,44 % до 60,1 % в квартальном исчислении. 

Роскомнадзор, по сообщению газеты «Ведомости», укрепляет инфраструктуру для борьбы с телефонным мошенничеством «Антифрод». Для этого наращивается мощность аппаратной части: подведомственное регулятору ФГУП «Главный радиочастотный центр» (ГРЧЦ) осуществил закупку серверов и накопителей на общую сумму 43,5 млн руб.

Речь идёт о серверах «Аквариус» T50 D212CF в форм-факторе 2U. Они оснащены процессорами Intel Xeon Cascade Lake и оперативной памятью DDR4. Во фронтальной части расположены 12 отсеков для LFF-накопителей с возможностью горячей замены. Сзади могут быть размещены два или четыре SFF-устройства. Кроме того, допускается монтаж двух SSD формата M.2 2242/2260/2280/22110 с интерфейсом SATA-3 или PCIe 3.0 х2.

Источник изображения: «Аквариус»

В общей сложности закуплены 14 серверов «Аквариус» T50 D212CF стоимостью 2,88 млн руб. каждый. Таким образом, на них потрачено 40,32 млн руб. Кроме того, приобретены 40 жёстких дисков Toshiba за 1,5 млн руб., 14 лицензий ОС Astra Linux Special Edition за 1,4 млн руб. и кабельные органайзеры на 107 800 руб.

В 2022 году в рамках проекта «Антифрод» были закуплены серверы компании «Тринити». На сегодняшний день общее количество используемых системой серверов составляет 26 штук. Новое оборудование позволит нарастить количество узлов, необходимых для подключения региональных операторов связи. В целом, мощность платформы «Антифрод» увеличится в два раза.

Система «Антифрод», запущенная в декабре 2022 года, блокирует мошеннические звонки с подменных номеров. По данным Роскомнадзора, за время своей работы она предотвратила 263,3 млн нежелательных вызовов.

Несмотря на сложившуюся геополитическую обстановку и санкции, зарубежные компании до сих пор занимают приблизительно 30 % российского рынка информационной безопасности (ИБ) в денежном выражении. Об этом сообщает газета «Ведомости», ссылаясь на исследование Центра стратегических разработок (ЦСР), результаты которого были обнародованы 28 июля в рамках саммита «Россия — Африка».

Исследование охватило 55 поставщиков — 37 российских и 18 зарубежных компаний. Это, в частности, IBM, Cisco, Check Point Software Technologies, Fortinet, Imperva, F5, CyberArk, Palo Alto Networks, Trend Micro, Micro Focus, ESET, Broadcom, Trellix, ForcePoint, Nessus, Qualys и Checkmarx.

Источник изображения: pixabay.com

Говорится, что данные для исследования взяты из различных источников, в том числе из официальной отчетности компаний, сведений закупочных площадок и пр. Из перечисленных разработчиков все, кроме Check Point, остановили продажи ПО в РФ, большинство — прекратили поддержку, а половина — открыто сообщили об уходе.

По итогам 2022 года объём российского ИБ-рынка с учётом выручки от продаж продуктов и оказания услуг составил 193,3 млрд руб. Рост по сравнению с предыдущим годом — менее 4 %. На средства защиты информации пришлось 74 % от общей суммы, или примерно 143 млрд руб. Причём 30 % этих денег, или 43 млрд руб., получили иностранные компании. При этом их доля за год уменьшилась на 9 %. Позиции отечественных разработчиков укрепились с 61 % до 70 % год к году.

Лидерами российского ИБ-рынка в 2022 году стали «Лаборатория Касперского» и Positive Technologies с долями 16 % и 12,4 % соответственно и выручкой на уровне 23 млрд и 18 млрд руб. Замыкает тройку Check Point Software Technologies с 4,8 % и примерно 7 млрд руб. Кроме того, в первую десятку ведущих игроков вошли BI.Zone (4,3 %), Cisco (4,1 %), Fortinet (4,1 %), «Инфотекс» (3,3 %), IBM (2,8 %), «Фактор-ТС» (2,3 %) и «Крипто-Про» (2,2 %).

«Российский рынок кибербезопасности продолжает рост. Ожидаемый спад 2022 года фактически был существенно мягче ранее прогнозируемого, не привёл к падению объёмов рынка относительно 2021 года. В ближайшие пять лет отечественный рынок кибербезопасности предположительно вырастет со 193,3 млрд руб. до 559 млрд руб.», — отмечается в отчёте.

Показатель CAGR (среднегодовой темп роста в сложных процентах) до 2027 года в сегменте средств защиты информации ожидается на уровне 24 %. К концу рассматриваемого периода на долю российских поставщиков придётся 531 млрд руб., или 95% всего размера этого сегмента. Объём рынка услуг в 2027-м оценочно составит 145,3 млрд руб., из которых российские компании получат 138 млрд руб. 

Ряд крупных компаний объявили о создании альянса Network Resilience Coalition с целью помочь предприятиям, поставщикам услуг и телекоммуникационным корпорациям в борьбе с киберугрозами. В состав новой структуры вошли AT&T, Broadcom, BT Group, Cisco Systems, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon и VMware.

Альянс учреждён под эгидой Центра политики и права в области кибербезопасности — некоммерческой организации, занимающейся повышением безопасности сетей, устройств и критической инфраструктуры. В течение нескольких следующих месяцев участники Network Resilience Coalition проведут исследования в сфере кибербезопасности и сформируют перечень основных отраслевых проблем. К концу нынешнего года будет представлен отчёт о приоритетных направлениях деятельности.

Gerd Altmann / Pixabay

Ожидается, что альянс в числе прочего выработает эффективные способы устранения сложностей, с которыми организации сталкиваются при обновлении программного и аппаратного обеспечения и установке исправлений. Отмечается, что управление уязвимостями — постоянная проблема для крупных предприятий. Неспособность модернизировать или оперативно обновлять эксплуатируемые системы не только подвергает риску отдельную организацию, но и может привести к кибератакам в глобальном масштабе, нацеленным на устаревшую сетевую инфраструктуру.

Российский хостинг-провайдер RuVDS и компания Positive Technologies подвели итоги хакерского соревнования в формате CTF (Capture The Flag), ключевым элементом которого стал взлом спутника-сервера, который начал работу на орбите Земли в июле 2023 года.

Состязание стартовало 18 числа текущего месяца. Мероприятие состояло из семи этапов, каждый из которых требовал от участников понимания разных аспектов информационной безопасности. В основу первого космического CTF лёг опыт создания заданий для кибербитвы Standoff, организованной Positive Technologies.

Сообщается, что для участия в соревновании зарегистрировались более 1000 человек, а количество активных игроков составило 213. Победу одержала команда MHC: она успешно справилась со всеми заданиями за 23 часа 51 минуту и получила денежное вознаграждение в эквиваленте 0,1 биткоина. Соревнования стали первым мероприятием такого рода, проведённым с активным использованием находящегося на орбите космического аппарата.

Источник изображения: RuVDS

«Наши соревнования можно по праву назвать первым космическим CTF: ранее что-то подобное планировали осуществить коллеги из США, но не смогли довести проект до конца. Мы же не просто добились цели, но и сделали это в максимально сжатые сроки: на подготовку всей космический миссии и соревнований ушло лишь 8 месяцев. Это как минимум всероссийский рекорд», — отметил Никита Цаплин, основатель и генеральный директор RuVDS.

Компания «ТрансТелеКом» (ТТК) подготовила аналитику об угрозах пользователям, выявленных с помощью фирменного сервиса «Защита от DDoS-атак» за II квартал 2023 года, сообщает пресс-служба компании. Так, количество DDoS-атак в прошлом квартале выросло в 1,5 раза в сравнении с I кварталом 2023 года.

Основной удар приняли на себя транспортная и телекоммуникационная сферы. На транспортную IT-инфраструктуру число атак выросло квартал к кварталу в 4,5 раза, а атак на телекоммуникационные бизнесы и вовсе стало в 5 раз больше. По итогам I полугодия 2023-го наиболее атакуемыми стали телеком и ИТ-отрасль. Отдельное внимание злоумышленники уделили сфере образования.

Источник изображения: ТТК

По данным ТТК, самая продолжительная из зарегистрированных атак за указанный квартал длилась 2,5 дня. Её мощность достигала 60 Гбит/с, тогда как 34 % атак имели мощность более 1 Гбит/с. 38 % атак в отчётном квартале пришлось на активность типа SYN flood (год к году их число выросло в 2 раза), в 3 раза выросло число атак ACK flood за тот же период.

Источник изображения: ТТК

При этом по итогам полугодия количество DDoS-атак до 500 Мбит/с выросло год к году в 2 раза, а атак со мощностью 1–5 Гбит/с — в 3,5 раза. По итогам квартала число атак на сайты выросло в 3,5 раза до 26 % от всех атак согласно полному тексту доклада.