Компания «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности) сообщила о прохождении сертификационных испытаний на соответствие стандартам информационной безопасности Республики Беларусь программного комплекса Solar Dozor.

Solar Dozor относится к категории систем, предназначенных для предотвращения утечек данных (Data Loss Prevention, DLP) в корпоративной среде. Решение блокирует передачу сотрудниками конфиденциальных документов, помогает выявлять признаки корпоративного мошенничества, позволяет заниматься профилактикой инцидентов безопасности. Продукт представлен для всех основных ОС — Windows, macOS, Linux. Поддерживается работа в VDI-среде.

Принцип работы Solar Dozor

На территории Республики Беларусь действуют законодательные нормы, в рамках которых предусмотрено национальное подтверждение соответствия. Все технологии и решения, попадающие на белорусский рынок, помимо оформления документации на соответствие техническим регламентам таможенного союза, в обязательном порядке должны пройти процедуру оценки соответствия в национальной системе.

Сертификат, выданный Оперативно-аналитическим центром при президенте Республики Беларусь, подтверждает соответствие Solar Dozor требованиям технических нормативно-правовых актов. Продукт может использоваться для защиты государственных информационных систем Республики.

Специалисты Немецкого национального исследовательского центра прикладной кибербезопасности ATHENE сообщили об обнаружении опасной уязвимости в механизме DNSSEC (Domain Name System Security Extensions) — наборе расширений протокола DNS. Брешь теоретически позволяет вывести из строя DNS-сервер путём проведения DoS-атаки.

В исследовании приняли участие сотрудники Франкфуртского университета имени Иоганна Вольфганга Гёте (Goethe University Frankfurt), Фраунгоферовского института технологий информационной безопасности (Fraunhofer SIT) и Дармштадтского технического университета (Technical University of Darmstadt).

Источник изображения: pixabay.com

Расширения DNSSEC призваны минимизировать атаки, связанные с подменой IP-адреса при обработке доменных имён. Технология нацелена на обеспечение достоверности и целостности данных. Принцип работы DNSSEC основан на использовании цифровых подписей, при этом сам механизм не шифрует данные и не изменяет управление ими.

Обнаруженная уязвимость получила название KeyTrap, или CVE-2023-50387: ей присвоен рейтинг опасности CVSS 7,5 балла из 10. Атака нацелена на DNS-резолвер. Отправка сформированного специальным образом пакета данных приводит к тому, что DNS-резолвер, использующий DNSSEC, начинает выполнять огромный объём ресурсоёмких криптографических вычислений. Кроме того, существует схожая уязвимость NSEC3 (CVE-2023-50868) при вычислении хешей.

Источник: ATHENE

Из-за такой алгоритмической атаки количество выполняемых CPU инструкций в DNS-резолвере возрастает в 2 млн раз, и система оказывается не в состоянии обрабатывать другие запросы. Исследователи заявляют, что один запрос может привести к недоступности сервера: в зависимости от реализации резолвера это состояние длится от 56 секунд до 16 часов.

По оценкам, на сегодняшний день DNS-резолверы с расширениями DNSSEC используют 31 % веб-клиентов в интернете. Таким образом, проблема носит масштабный характер. Она затрагивает, например, Google Public DNS, Quad9, OpenDNS и Cloudflare. Об уязвимости также сообщила компания Akamai, которая уже выпустила необходимые исправления для рекурсивных резолверов Akamai DNSi (CacheServe, AnswerX).

Уязвимость устранена в версиях Unbound 1.19.1, PowerDNS Recursor 4.8.6, 4.9.3 и 5.0.2, Knot Resolver 5.7.1, dnsmasq 2.90, BIND 9.16.48, 9.18.24 и 9.19.21. Примечательно, что уязвимость в BIND9 появилась ещё в 2000 году, а в Unbound — в 2007 году. И все эти годы проблемы никто не замечал, несмотря на открытость исходного кода обоих проектов.

Компания Positive Technologies обнародовала результаты исследования, в ходе которого изучались тенденции в области фишинговых атак в мировом масштабе в 2023 году. Говорится, что модель «фишинг как услуга» стала обычной практикой, а злоумышленники начинают внедрять технологии генеративного ИИ для повышения эффективности своей деятельности.

В отчёте сказано, что основными целями фишеров являются получение данных (85 %) и финансовой выгоды (26 %). Похищенная конфиденциальная информация зачастую затем сбывается в даркнете. Кража сведений может также осуществляться с целью шпионажа за организацией или страной.

Источник изображений: Positive Technologies

Самым распространённым каналом для коммуникации с жертвами для фишеров остаётся электронная почта — на неё приходится около 92 % всех атак. В 8 % случаев также применяются мессенджеры и социальные сети, а в 3 % нападений злоумышленники рассылают SMS. Чаще всего в фишинговых сообщениях киберпреступники выдают себя за контрагентов (26 %), специалистов техподдержки или IT (15 %) и представителей госорганов (13 %).

Для доставки вредоносной нагрузки с помощью вложений наиболее часто (в 37 % случаев) используют архивы (ZIP, 7z, RAR и т. п.), а на втором месте по популярности (30 %) находятся текстовые документы (DOC, ODT, ONE и т. п.). В 43 % фишинговых сообщений используются ссылки, которые приводят либо к загрузке вредоносного файла (46 %), либо к переходу на поддельную страницу для ввода учётных данных (50 %). Кроме того, мошенники внедряют в свои сообщения QR-коды, которые помогают скрывать вредоносные адреса от получателей и систем защиты.

Более половины (56 %) всех фишинговых атак носят целевой характер: мишенями становятся как конкретные организации, так и определённые отрасли и даже целые страны. Чаще всего в таких случаях жертвами являются госучреждения (44 % целевых инцидентов) и оборонные предприятия (19 %). Далее следуют организации в сфере науки и образования (14 %), финансовые структуры (13 %) и медицинские учреждения (11 %). Говорится, что из-за сложной геополитической ситуации по всему миру фишинговые атаки на государственные организации проводятся чаще, чем на другие отрасли.

Аналитики Positive Technologies прогнозируют, что киберпреступники продолжат активно внедрять средства ИИ. Такие инструменты позволяют генерировать убедительные фишинговые сообщения, создавать дипфейки голосов, изображений и видео, а также поддерживать осмысленный диалог с жертвой в автоматизированном режиме.

Что касается модели «фишинг как услуга», то стоимость готовых фишинговых проектов начинается с $15 и может достигать $5000. Бюджет до $100 позволяет приобрести услуги SMS-фишинга или заказать изготовление шаблонов фишинговых писем. А за $100–$1000 можно купить готовые фишинговые страницы, фишинговые проекты, имитирующие деятельность банков, и пр.

Компании «АйТи Бастион» и «С‑Терра СиЭсПи» в рамках технологического сотрудничества создали аппаратно-программный комплекс, предназначенный для обеспечения безопасного управления удалёнными узлами геораспределённой IT-инфраструктуры бизнеса.

Представленное отечественными разработчиками решение построено на базе РАМ‑системы «СКДПУ НТ Компакт» и VPN‑продуктов: криптомаршрутизатора «С‑Терра Шлюз» и компактного криптошлюза «С‑Терра Юнит». Комплекс позволяет организациям обеспечить контроль дистанционного доступа не только к удалённым сегментам сети, но и выделенным отдельным узлам со слабым каналом связи через зашифрованный канал, не допустить осуществления в них несанкционированных действий со стороны пользователей и соответствовать ИБ‑требованиям регуляторов.

Источник изображения: компакт.айтибастион.рф

Защищённый тоннель от центрального офиса, где установлен «С‑Терра Шлюз», строится до нужного объекта с подключённым «С‑Терра Юнит» без дополнительной установки агентов и сложного оборудования. «СКДПУ НТ Компакт» выступает в качестве классической полнофункциональной PAM‑системы, предоставляя доступ только до отдельных узлов сети, фиксируя и контролируя в реальном времени все сессии администрирования и действия пользователей.

«В инфраструктуру предприятия, как правило, объединены несколько филиалов и подразделений, банкоматы, пункты контроля, видеокамеры, терминалы и другие цифровые устройства, которые требуют периодического администрирования, обновления и настройки. Предоставление прямого доступа к оборудованию и информационной системе не является безопасным. Зачастую это может обернуться существенными рисками для компании в виде утечек данных, хакерских атак и других киберугроз. За счёт нашей новой интеграции мы решили задачу предоставления дистанционного доступа к территориально распределённым объектам. Обеспечили её защищённую реализацию с использованием шифрованных каналов связи и дополнительным контролем действий привилегированных пользователей», — поясняют разработчики продукта.

Американская компания Cloudflare сообщила о хакерском вторжении в свою IT-инфраструктуру. К расследованию инцидента были привлечены специалисты в области безопасности CrowdStrike: утверждается, что к кибератаке могут быть причастны правительственные хакеры некоего государства. В результате расследования компания решила переоснастить свой ЦОД в Бразилии.

Говорится, что для проникновения во внутреннюю сеть Cloudflare злоумышленники использовали токен доступа и учётные данные трёх сервисных аккаунтов, которые были похищены в ходе взлома компании Okta в октябре 2023 года. C 14 по 17 ноября прошлого года киберпреступники провели разведку систем Cloudflare, а затем получили доступ к внутренним базам знаний и трекеру (Atlassian Confluence и Jira).

Изображение: Cloudflare

А уже 22 ноября хакеры наладили постоянный доступ к серверу Atlassian и к системе управления исходным кодом Cloudflare (Atlassian Bitbucket). Далее последовала безуспешная попытка закрепиться на сервере, который имеет доступ к дата-центру Cloudflare в Сан-Паулу (Бразилия): этот ЦОД ещё не запущен в полноценную эксплуатацию. Cloudflare выявила вредоносную активность 23 ноября и незамедлительно предприняла защитные меры: на следующий день все подключения злоумышленников были разорваны.

Расследование показало, что хакеры могли похитить некоторую документацию и ограниченное количество исходного кода. Анализируя документы, к которым обращались атакующие, базы данных ошибок и репозитории исходного кода, специалисты пришли к выводу, что нападавшие искали информацию об архитектуре, особенностях защиты и управления глобальной сетью Cloudflare.

Изображение: Cloudflare

В ходе устранения последствий вторжения были сменены все учётные записи, количество которых превышает 5000. Кроме того, проверены 4893 системы, перезагружены все машины в глобальной сети, включая все узлы Atlassian (Jira, Confluence и Bitbucket), а также серверы, к которым могли иметь доступ хакеры.

Чтобы гарантировать полную безопасность систем в бразильском ЦОД, оборудование из него было отправлено производителям на проверку. Вредоносные компоненты обнаружены не были, но Cloudflare всё равно приняла решение заменить все эти аппаратные компоненты. Вероятно, компания опасалась развития событий по сценарию Barracuda ESG.

Федеральная служба по техническому и экспортному контролю продлила действие сертификата соответствия на программный комплекс Dr.Web Enterprise Security Suite, предназначенный для централизованной защиты узлов корпоративной IT-инфраструктуры. Об этом сообщается на сайте компании-разработчика продукта «Доктор Веб».

Dr.Web Enterprise Security Suite автоматизирует процессы выявления и реагирования на инциденты информационной безопасности, нивелируя угрозы без вмешательства IT-служб. При этом сведения обо всех обнаруженных инцидентах журналируются, что позволяет провести расследование каждого инцидента и устранить его причины. Защитный комплекс зарегистрирован в реестре российского софта и может применяться в органах безопасности и иных государственных ведомствах.

Источник изображения: drweb.ru

Выданный ФСТЭК России сертификат подтверждает соответствие Dr.Web Enterprise Security Suite требованиям по безопасности информации по 2 уровню доверия. Продукт может использоваться в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну; в значимых объектах критической информационной инфраструктуры; в государственных информационных системах; в автоматизированных системах управления производственными и технологическими процессами, а также в информационных системах персональных данных при необходимости обеспечения защищённости персональных данных и в информационных системах общего пользования.

Сертификат действителен до 27 января 2029 года.

Китайские киберпреступники из группировки Volt Typhoon внедрили вредоносный код в сотни устаревших SOHO-маршрутизаторов Cisco и Netgear. В ФБР заявляют, что целью хакеров является критическая информационная инфраструктура США. Злоумышленники загрузили VPN-модуль на уязвимые устройства и сформировали зашифрованный канал связи c ботнетом KV Botnet. При этом, как утверждается, группировка планировала атаки на водоочистные сооружения, электросети, нефте- и газопроводы, а также транспортные системы.

Специалистам ФБР удалось нейтрализовать ботнет. Для выявления заражённых устройств отсылались специфичные для ботнета команды: на них реагировали только заражённые маршрутизаторы. Затем были получены разрешения на массовый удалённый доступ к инфицированному оборудованию. Сотрудники правоохранительных органов собрали сведения о деятельности зловреда, после чего удалили вирус из памяти роутеров, не затронув иные данные. Таким образом, ФБР фактически получило контроль над не принадлежащим ведомству сетевым оборудованием для нейтрализации угрозы, что само по себе является прецедентом.

Источник изображения: pixabay.com

Агентство по кибербезопасности и защите инфраструктуры США заявляет, что кибервторжения со стороны Китая становятся всё более изощрёнными. Для защиты маршрутизаторов рекомендуется использовать функцию автоматического обновления прошивки и ограничить доступ к интерфейсу управления только с устройств, подключенных к локальной сети.

Директор ФБР Кристофер Рэй (Christopher Wray) сообщил Конгрессу США, что специалистам удалось сорвать диверсию хакерской группировки. Внедрённое в маршрутизаторы вредоносное ПО злоумышленники намеревались задействовать в случае усиления конфликта с США. Китайские власти отрицают причастность к Volt Typhoon. «Китайские хакеры нацелены на критически важные элементы американской гражданской инфраструктуры, готовясь нанести реальный вред в случае конфликта», — заявил Рэй.

«Лаборатория Касперского» опубликовала инструкции по организации процессов отслеживания и реагирования на утечки данных в дарквебе. Руководство предназначено для компаний, столкнувшихся с кражей конфиденциальной корпоративной информации, и будет полезно в первую очередь аналитикам Cyber Threat Intelligence, инженерам SOC, специалистам по реагированию на инциденты, ИБ-службам.

Представленные «Лабораторией Касперского» инструкции позволят организациям структурировать процессы реагирования на утечки данных — обозначить необходимые шаги и предписать конкретные роли ответственным лицам. Руководство включает в себя не только технические детали, например, как настроить систему постоянного мониторинга ресурсов дарквеба для оперативного выявления инцидентов, но и рекомендации по тому, как выстроить в случае утечки эффективную коммуникацию со СМИ, клиентами, партнёрами, высшим руководством и другими вовлечёнными сторонами.

«Компаниям часто не хватает понимания, как действовать в результате инцидента, как отреагировать не только быстро, но и корректно, чтобы максимально снизить возможный ущерб, репутационный и финансовый. Мы видим, что у бизнеса назрела необходимость в чётко выстроенном процессе реагирования на утечки, и, поскольку такие инциденты в ближайшее время не прекратятся, решили поделиться своим многолетним опытом и знаниями в детальном многостраничном руководстве. Уверены, что оно будет полезно для большинства компаний», — комментирует Анна Павловская, старший аналитик Kaspersky Digital Footprint Intelligence.

По данным сервиса Kaspersky Digital Footprint Intelligence, в 42 % организаций, подвергнувшихся компрометации данных в 2022 году, не было контактного лица, ответственного за обработку таких инцидентов. Более четверти компаний (28 %) либо не отреагировали на уведомление, либо заявили о том, что это не вызывает у них беспокойство. Только 22 % компаний отреагировали на информацию о киберинциденте должным образом, а 6 % сообщили, что они уже в курсе произошедшего.

В даркнете появились сотни учётных записей сетевых операторов, которые были украдены в результате хакерской атаки на международного интернет-регистратора RIPE NCC. Как сообщает ресурс Dark Reading, киберпреступники получили несанкционированный доступ к сервисам сетевого координационного центра RIPE (RIPE Network Coordination Center Access).

RIPE NCC занимается распределением интернет-ресурсов и связанной с этим регистрационной и координационной деятельностью. Организация функционирует как ассоциация локальных интернет-регистраторов, обслуживая Россию, Европу и Ближний Восток.

Источник изображения: pixabay.com

В январе 2024 года специалисты Resecurity провели масштабный мониторинг и выявили 716 скомпрометированных аккаунтов RIPE NCC, информация о которых появилась на теневых площадках. В число жертв входят, например, научно-исследовательская организация из Ирана, поставщик ИКТ-технологий из Саудовской Аравии, правительственное учреждение Ирака и некоммерческая интернет-биржа в Бахрейне.

В общей сложности Resecurity обнаружила 1572 учётных записи участников RIPE и других региональных сетей, включая APNIC, AFRINIC и LACNIC, которые были скомпрометированы с применением таких похитителей паролей, как Redline, Vidar, Lumma, Azorult и Taurus. Причём злоумышленники не только получили доступ к учётным записям RIPE, но и похитили другие конфиденциальные данные.

Ранее у Orange Spain произошёл серьёзный сбой из-за того, что злоумышленники, взломав RIPE-аккаунт компании, внесли изменения в настройки маршрутизации BGP и в конфигурацию RPKI. В целом, злоумышленники используют полученные скомпрометированные учётные данные для доступа к RIPE и другим платформам, к которым жертва может иметь привилегированный доступ.

Французская корпорация Schneider Electric сообщила о том, что её IT-инфраструктура подверглась атаке программы-вымогателя. В результате вторжения похищены терабайты данных, а злоумышленники потребовали выкуп, угрожая обнародовать украденную информацию.

Говорится, что атака затронула подразделение Schneider Electric, которое занимается разработкой решений в сфере устойчивого развития (Sustainability Business). Кроме того, пострадали облачные сервисы Resource Advisor. Хакерское вторжение произошло 17 января 2024 года, но сообщила об этом компания только сейчас.

Фото: Max Bender / Unsplash

Ответственность за кибератаку взяла на себя кибергруппировка Cactus. Это молодая команда злоумышленников, впервые заявившая о себе в марте 2023-го. В список жертв Cactus на данный момент входят около 100 компаний и организаций из 16 отраслей, включая автомобильный сектор, машиностроение, а также сферы ПО и IT.

О размере выкупа, который киберпреступники затребовали у Schneider Electric, ничего не сообщается. Какие именно данные были похищены, также не ясно. Подразделение Sustainability Business предоставляет консультационные услуги корпоративным клиентам, помогая им решать вопросы в том числе в области возобновляемых источников энергии. Услугами Sustainability Business пользуются такие компании, как Allegiant Travel Company, Clorox, DHL, DuPont, Hilton, Lexmark, PepsiCo и Walmart.

Украденные сведения могут содержать конфиденциальную информацию об использовании энергии, системах промышленного контроля и автоматизации, а также о соблюдении экологических и энергетических норм. Не ясно, будет ли Schneider Electric платить выкуп: в случае отказа злоумышленники могут сделать похищенные файлы общедоступными.