Vermin

Согласно заявлению представителя польского Сената, кибератаки на правительства Польши и Словакии были совершены из нескольких стран, в том числе и со стороны Российской Федерации. Польские власти утверждают, что атаки могут быть связаны с голосованием в Сенате, в результате которого российское правительство было объявлено “террористическим режимом”. По словам вице-спикера словацкого парламента Габора Гренделя, хакеры парализовали всю компьютерную сеть парламента около 11 утра, из-за чего парламентская сессия не состоялась, а голосование было прервано. Помимо IT-сети, кибератака вывела из строя телефонные линии, из-за чего парламентарии не смогли провести голосование. Сейчас словацкие технические специалисты активно работают над восстановлением систем и точным определением источника атаки.

В марте 2019 года произошла крупнейшая в истории Норвегии кибератака – один из мировых производителей алюминия Norsk Hydro подвергся атаке с использованием вымогательского ПО, которая повлекла за собой сбой в работе производственных объектов. Порядка 500 серверов и 2,7 тыс. компьютеров компании были заблокированы, а на мониторах отображалось уведомление с требованием выкупа. В расследовании данного инцидента участвовали восемь стран, в результате чего в конце октября нынешнего года власти задержали десяток подозреваемых в Украине и Швейцарии. Теперь прокуроры Норвегии, Франции, Великобритании и Украины оценят имеющиеся доказательства и решат, как продвигаться дальше. Хронология дела Norsk Hydro подчеркивает сложный характер и часто медленные темпы международных правоохранительных расследований, которые должны соответствовать строгим юридическим требованиям. По словам прокуроров, международное сотрудничество полиции требует «очень и очень много времени». В марте Nork Hydro заявила, что инцидент обошелся ей в сумму от 800 млн до 1 млрд норвежских крон (около $90 млн и $112 млн соответственно). Norsk Hydro с готовностью поделилась выводами своего внутреннего расследования с норвежскими следователями. Тем не менее властям Норвегии пришлось ждать, пока Norsk Hydro восстановит свои системы, прежде чем они смогли получить от компании большую часть сведений. Ограниченные возможности путешествий на фоне пандемии COVID-19 также замедлили ход расследования. Должностные лица часто общались по видеоконференцсвязи, но конфиденциальную информацию обсуждали только лично. Хакеры, организовавшие атаку, выдавали себя за легитимных пользователей в сети компании с целью установить программу-вымогатель. Злоумышленники проникли в систему компании в декабре 2018 года путем отправки вредоносного письма якобы от имени делового партнера. После атаки ИБ-специалисты Norsk Hydro разделились на три группы. Одна из них работала над устранением проблем после взлома, другая занималась расследованием, а третья восстанавливала системы. Примерно в то же время следователи французской полиции, расследовавшие отдельный инцидент с вымогательским ПО поняли, что он связан с инцидентом Norsk Hydro, и они попросили объединить расследования. В определенные моменты норвежским властям приходилось ждать с получением свидетельств взлома, потому что уголовное законодательство в некоторых из вовлеченных стран требовало решения суда для обмена данными. В конечном итоге сотрудничество привело к полицейским рейдам. 29 октября нынешнего года Европол сообщил об аресте 12 человек, подозреваемых в осуществлении вымогательских атак. В ходе обысков полиция изъяла пять автомобилей класса люкс, электронные устройства и $52 тыс. наличными.

Участники хакерского конкурса Pwn2Own Austin 2021, проводимом организацией Zero Day Initiative, впервые в истории мероприятия получили награды за взлом принтеров. В первый день Pwn2Own Austin, посвященного взлому устройств, эксперты в области кибербезопасности заработали в общей сложности более $360 тыс. за эксплуатацию уязвимостей в принтерах, NAS-устройствах, маршрутизаторах и «умных» динамиках. Команда Synacktiv заработала $20 тыс. за использование уязвимостей в принтере Canon ImageCLASS, а команда Devcore — $40 тыс. за эксплуатацию проблем в принтерах Canon ImageCLASS и HP Color LaserJet Pro MFP M283fdw. Команда Devcore также получила самую высокую разовую награду в размере $60 тыс. за выполнение произвольного кода в умной колонке Sonos One. Три различных уязвимости в продукте Western Digital NAS принесли участникам по $40 тыс. каждая, а взлом маршрутизатора Cisco принес участникам $30 тыс. В первый день была предпринята одна неудачная попытка взломать Samsung Galaxy S21. Согласно доступному расписанию, никто из участников не намерен взламывать телевизоры и внешние устройства хранения данных.

Россия и США внесли в Генеральную Ассамблею ООН совместную резолюцию об ответственном поведении стран в киберпространстве, её вынесут на общее голосование в декабре. Об этом сообщает «Коммерсантъ» со ссылкой на текст документа. Документ выглядит неожиданно с учетом длительного соперничества двух держав, продвигавших в ООН конкурирующие переговорные механизмы по кибербезопасности. Москва и Вашингтон рассчитывают, что объединение усилий позволит сделать процесс внедрения добровольных правил ответственного поведения государств в сети более эффективным. При этом из резолюции следует, что в будущем речь может пойти и об обязательных нормах. Голосование по документу «Достижения в сфере информатизации и телекоммуникаций в контексте международной безопасности и поощрение ответственного поведения государств в сфере использования информационно-коммуникационных технологий» запланировано в Первом комитете Генассамблеи на ноябрь, после чего, уже в декабре, его вынесут на общее голосование. Резолюцию уже называют настоящим дипломатическим прорывом - большую роль в работе над ней сыграли договоренности президентов Владимира Путина и Джо Байдена о возобновлении сотрудничества в этой сфере.

Неизвестный киберпреступник взломал официальную учетную запись эсминца USS Kidd (DDG 100) ВМФ США в социальной сети Facebook и на протяжении двух дней осуществлял трансляцию видеоигры Age of Empires. Представители вооруженных сил в настоящее время не могут восстановить доступ к аккаунту. Первую публикацию на взломанной странице злоумышленник сделал утром 4 октября. Затем последовало еще 6 сообщений, каждый из которых сопровождался такими комментариями, как «play game» и «hi everyone». Как полагают некоторые пользователи, один из SMM-агентов забыл выйти из учетной записи на домашнем устройстве и его ребенок решил подшутить. Другие пользователи и вовсе начали оценивать уровень игры и стратегии хакера. Пресс-служба эсминца подтвердила факт неправомерного доступа и приступила к расследованию инцидента.

В среду, 8 сентября, кибератака временно нарушила роботу крупнейшего в Новой Зеландии банка ANZ и ряда других финансовых организаций, а также национальной почтовой службы страны. «CERT NZ проинформирован о DDoS-атаке на ряд новозеландских организаций. Мы отслеживаем ситуацию и где возможно работаем с затронутыми сторонами», - сообщила команда реагирования на компьютерные инциденты Новой Зеландии. Согласно сообщению ANZ в Twitter, из-за кибератаки перестали работать некоторые сервисы, в частности интернет-банкинг и приложение goMoney. Проблема коснулась и государственного банка Kiwibank, который сообщил , что работает над восстановлением доступа к своему приложению, интернет-банкингу, телефонному банкингу и сайту. На данный момент неясно, кто стоит за кибератакой и повлекла ли она за собой утечку данных.

Федеральная полиция Австралии (AFP) и Австралийская комиссия по уголовной разведке (ACIC) могут получить новые полномочия в случае одобрения поправок в законодательство в области надзора. Законопроект под названием Surveillance Legislation Amendment (Identify and Disrupt) Bill 2020 («Поправка в закон о надзоре (Идентифицировать и нарушить)»), представленный в 2020 году, наделяет спецслужбы рядом полномочий, в том числе правом «нарушать данные» посредством их модификации, копирования, добавления или удаления, собирать информацию с устройств и из компьютерных сетей, а также перехватывать контроль над учетными записями с целью сбора информации. Законопроект уже получил одобрение Объединенного комитета по разведке и безопасности (PJCIS), Палаты представителей и Лейбористской партии. Австралийская партия зеленых отказалась поддерживать поправки, считая, что в таких мерах нет необходимости. «В действии этот закон позволит спецслужбам модифицировать, копировать или удалять ваши данные на основании ордера о нарушении данных, собирать информацию о вашей активности online на основании ордера о сетевой активности, а еще они смогут перехватывать контроль над вашими аккаунтами в социальных сетях и другими online-аккаунтами и профилями […] Нет никаких доказательств, оправдывающих необходимость в ордерах подобного толка […] ни одна страна из альянса «Пять Глаз» не наделяет свои правоохранительные органы такими полномочиями, как этот законопроект», - считает представитель партии зеленых сенатор Лидия Торп (Lidia Thorpe). Альянс «Пять глаз» (Five Eyes) – разведывательный альянс, включающий такие страны как Австралия, Канада, США, Новая Зеландия и Великобритания.

Специалисты подразделения Insikt Group американской ИБ-компании Recorded Future рассказали о том, что они назвали «связанной с Россией продолжительной операцией» по дезинформации под названием Operation Secondary Infektion. Впервые Insikt Group сообщила о ней в апреле 2020 года, а теперь опубликовалановые подробности, в том числе анализ тактик, техник и процедур (TTP). Название Operation Secondary Infektion перекликается с Operation Infektion – операцией, проводимой Министерством госбезопасности ГДР в 1980-х годах. Целью кампании, также известной как Operation Denver, было убедить весь мир в том, что ВИЧ/СПИД был разработан в лаборатории военной базы Форт-Детрик в Мэриленде (США). Согласно сообщениям КГБ, вирус «вышел из-под контроля» и попал в окружающую среду. Только в 1992 году, уже после развала СССР, тогдашний директор Службы внешней разведки России Евгений Примаков признал, что за Operation Infektion стоял КГБ. Как и Operation Infektion, запущенная в 2014 году кампания Operation Secondary Infektion также полагается на фальшивые СМИ, которые пытаются распространить нужную информацию по местным источникам, чтобы в результате она попала в основные новости. Стоящие за Secondary Infektion операторы проявляют большой интерес к делам и внутренним проблемам правительств стран бывшего советского блока. Однако в распространении «нужной» стратегической информации по крупным информационным площадкам наподобие Reddit операция оказалась малоэффективной благодаря реализованным в них политикам блокировки учетных записей, модерации форумов и способности сообщества распознавать попытки распространения пропаганды. В ходе кампании использовались политически и социально разобщающие нарративы, широко распространенные в американском обществе, с целью продвижения стратегических целей в отношении населения, говорящего на русском, украинском и других региональных языках. Хотя до настоящего времени для распространения дезинформации в Operation Secondary Infektion использовались исключительно одноразовые персонажи, исследователи выявили как минимум двоих человек, использовавшихся более одного раза. Один из них имитирует ветвь хактивистского движения Anonymous, а другой выдает себя за франкоговорящего армянского блогера. До сих пор в тактиках, техниках и процедурах Operation Secondary Infektion по-прежнему используются почти исключительно статические носители, то есть «отфотошопленные» скриншоты и изображения поддельных документов. Хотя в настоящее время нет доказательств их использования, возможно, хотя и маловероятно, что стоящие за операцией лица впредь будут использовать дипфейки, измененное видео и отредактированное аудио. По мнению Insikt Group, Operation Secondary Infektion все еще продолжается. Хотя после пика в 2014-2020 годах ее активность начала снижаться, исследователи уверены, что операция «почти наверняка будет продолжаться».

Правительство Бразилии сообщило о кибератаке на компьютерные системы Национального казначейства с использованием вымогательского ПО. Как сообщили представители Министерства экономики Бразилии, первоначальные меры по устранению последствий кибератаки были приняты немедленно. По результатам первых оценок, системам структурирования Национального казначейства не было нанесено никакого ущерба. Последствия атаки программ-вымогателей анализируются специалистами по безопасности из Национального казначейства и Секретариата цифрового правительства Бразилии. Федеральная полиция также уведомлена о кибератаке. Как отметили власти, новая информация об инциденте «будет раскрыта своевременно и с должной прозрачностью». Представители ведомства заверили, что атака «никоим образом» не повлияла на работу программы Tesouro Direto, позволяющей физическим лицам покупать бразильские государственные облигации.

Исследователи из США разработали новый способ машинного обучения под названием DESOLATOR, который был создан для защиты сетей, работающих внутри транспортного средства, предотвращая их взлом, при этом не влияя на производительность. Технология была разработана армией США в партнерстве с Технологическим институтом Вирджинии, Университетом Квинсленда и технологическим институтом Кванджу. Она поможет оптимизировать кибербезопасность движущихся транспортных средств, которые часто становятся целью взломщиков. Принцип новинки заключается в определении частоты переключения IP-адресов и распределении пропускной полосы данных. При такой своеобразной "рокировке" лазейки к информации быстро теряются и киберпреступнику приходится снова искать их. "Трудно поразить движущуюся цель. Если все статично, злоумышленник может не торопиться, глядя на все и выбирая своих жертв", - объяснил доктор Терренс Мур, ведущий автор проекта. В дальнейшем ученые хотят внедрить такой подход в гражданские легковые машины.

Неизвестные киберпреступники эксплуатируют исправленную уязвимость нулевого дня в браузере Internet Explorer для распространения трояна для удаленного доступа (RAT), написанного на языке программирования VBA. Вредонос способен получать доступ к файлам на скомпрометированных системах под управлением Windows, а также загружать и выполнять вредоносные полезные нагрузки. Как сообщили специалисты из компании Malwarebytes, бэкдор распространяется через фальшивый документ под названием Manifest.docx, который инициирует эксплуатацию уязвимости и выполняет shell-код для развертывания RAT. Помимо сбора системных метаданных, RAT разработан для обнаружения антивирусных продуктов на зараженной системе и выполнения команд C&C-сервера, включая чтение, удаление и загрузку произвольных файлов, а также передачу результатов выполнения команд обратно на сервер. Эксперты также обнаружили написанную на языке PHP панель под названием Ekipa, которая используется злоумышленником для отслеживания жертв и просмотра информации о способах работы, которые привели к успешному взлому. Примечательно, что данную уязвимость (CVE-2021-26411) уже эксплуатировала поддерживаемая Северной Кореей группировка Lazarus Group для атак на ИБ-специалистов. Lazarus Group в ходе атак на исследователей в области кибербезопасности использовала MHTML-файлы. Эксперты проанализировали полезные нагрузки, загруженные MHT-файлом, и обнаружили в нем эксплоит для уязвимости нулевого дня в Internet Explorer. Microsoft исправила данную проблему с выпуском мартовских обновлений безопасности.

Американский провайдер облачного хостинга и услуг комплексного управления IT-инфраструктурой Cloudstar подвергся атаке с использованием вымогательского ПО, в результате которой оказалась нарушена деятельность сотен компаний. Cloudstar оперирует несколькими дата-центрами на территории США и в основном предлагает услуги компаниям в сфере титульного страхования, ипотечного кредитования, недвижимости, юридической и финансовой сферах, а также госорганам. В минувшую пятницу компания сообщила , что подверглась «изощренной вымогательской атаке», из-за которой была вынуждена отключить большую часть сервисов. Кроме того, из-за кибератаки многие клиенты компании лишились важных документов. В Cloudstar не раскрыли информацию о какой именно группировке идет речь, но отметили, что уже начали переговоры с хакерами. По словам главы Cloudstar Кристофера Кьюри (Christopher Cury), пока неясно, когда компания сможет восстановить данные своих клиентов.

Hecĸoльĸo лeт нaзaд этo ĸaзaлocь нeвepoятным, нo ceгoдня Місrоѕоft oфициaльнo пpeдcтaвилa cвoй Lіnuх-диcтpибyтив СВL-Маrіnеr 1.0 (Соmmоn Ваѕе Lіnuх Маrіnеr), ĸoтopый coфтвepный гигaнт oбъявил пepвoй cтaбильнoй вepcиeй этoгo пpoeĸтa. Диcтpибyтив СВL-Маrіnеr - этo бaзoвaя плaтфopмa для Lіnuх cpeд, пepифepийныx cиcтeм и paзличныx oнлaйн-cepвиcoв Місrоѕоft. Проект нацелен на унификацию применяемых в Microsoft Linux-решений и упрощение поддержания Linux-систем различного назначения в актуальном состоянии. Bce пpoгpaммныe тexнoлoгии этoгo пpoeĸтa pacпpocтpaняютcя пo лицeнзии МІТ. Система сборки CBL-Mariner позволяет генерировать как отдельные RPM-пакеты на основе SPEC-файлов и исходных текстов, так и монолитные системные образы, формируемые при помощи инструментария rpm-ostree и обновляемые атомарно без разбивки на отдельные пакеты. Бoлee cлoжныe и cпeциaлизиpoвaнныe peшeния мoгyт быть coздaны пyтeм дoбaвлeния дoпoлнитeльныx пaĸeтoв в СВL-Маrіnеr, нo ocнoвa для вcex тaĸиx cиcтeм ocтaeтcя пpeжнeй, чтo yпpoщaeт coздaниe и pacпpocтpaнeниe oбнoвлeний. Πoддepживaютcя двe мoдeли oбнoвлeния: пyтeм oбнoвлeния тoльĸo oтдeльныx пaĸeтoв и пyтeм пepecтpoйĸи и oбнoвлeния вceгo oбpaзa cиcтeмнoгo диcĸa. Диcтpибyтив вĸлючaeт тoльĸo caмыe нeoбxoдимыe ĸoмпoнeнты и oптимизиpoвaн для минимaльнoгo иcпoльзoвaния пaмяти и диcĸoвoгo пpocтpaнcтвa, a тaĸжe для чpeзвычaйнo выcoĸиx cĸopocтeй зaгpyзĸи. Для пoвышeния бeзoпacнocти были вcтpoeны paзличныe дoпoлнитeльныe мexaнизмы защиты. B пpoeĸтe иcпoльзyeтcя пoдxoд «мaĸcимaльнoй бeзoпacнocти пo yмoлчaнию». Moжнo фильтpoвaть cиcтeмные вызoвы c пoмoщью мexaнизмa ѕессоmр, шифpoвaть paздeлы диcĸa, пpoвepять пaĸeты пo иx цифpoвoй пoдпиcи и мнoгoe дpyгoe. Пo yмoлчaнию вĸлючeны механизмы зaщиты oт пepeпoлнeния cтeĸa, пepeпoлнeния бyфepa и уязвимости форматной cтpoĸи (_FОRТІFY_ЅОURСЕ, -fѕtасk-рrоtесtоr, -Wfоrmаt-ѕесurіtу, rеlrо). Активированы поддерживаемые в ядре Linux режимы рандомизации адресного пространства, a тaĸжe paзличныe мexaнизмы зaщиты oт aтaĸ, cвязaнныx c cимвoличecĸими ccылĸaми, mmap, /dеv/mеm и /dеv/kmеm.

Специалисты некоммерческой правозащитной организации Amnesty International, британской исследовательской группы Forensic Architecture и канадской междисциплинарной лаборатории Citizen Lab запустили online-проект , отслеживающий географическое распространение шпионского ПО Pegasus , производства израильской компании NSO Group, специализирующейся на производстве решений для шпионажа. «Шпионское программное обеспечение Pegasus использовалось в ряде самых коварных цифровых атак на защитников прав человека. Pegasus скрытно устанавливается на телефон, предоставляя атакующему полный доступ к сообщениям, почте, медиа, камере, звонкам и контактам», - говорят специалисты Amnesty International. Инструмент неоднократно использовался для взлома устройств журналистов , адвокатов, диссидентов и правозащитников, отметили в организации. По словам правозащитников, проект представляет собой «одну из наиболее исчерпывающих баз данных по активности, связанной с NSO Group», включая информацию об экспортных лицензиях, предполагаемых приобретениях и физических действиях в отношении активистов, устройства которых были заражены шпионским ПО, в том числе запугивание, харассмент и задержания. На платформе также представлена информация о корпоративной структуре NSO Group, страны, в которых базируется производитель и его подразделения, включая Израиль, Виргинские острова, Кайманские острова, Кипр, США и Великобританию, а также инвестициях в компанию. В 2019 году принадлежащая Facebook компания WhatsApp подала в суд на израильского производителя инструментов для взлома NSO Group. Согласно исковому заявлению, NSO Group помогла правительственным спецслужбам взломать телефоны порядка 1,4 тыс. пользователей по всему миру, в том числе дипломатов, оппозиционеров, журналистов и высокопоставленных должностных лиц. Годом позднее к юридической битве против израильской компании подключились техногиганты Google, Microsoft, Cisco и Dell, обвинив NSO Group в том, что она обладает «мощной и опасной технологией».

На прошлой неделе сотрудники украинских правоохранительных органов совместно со специалистами из США и Южной Кореи провели арест участников киберпреступной группировки Clop. Однако, как оказалось, данное событие не помешало вымогателям опубликовать новый архив данных, предположительно украденных в результате взлома некой компании, чье название не раскрывается. Об этом сообщило издание Ars Technica. Если опубликованные данные окажутся подлинными, значит операторы вымогательского ПО Clop все еще могут продолжать свою преступную деятельность, несмотря на аресты. Предположительно, в числе арестованных участников группировки были не руководители, а лишь партнеры или другие лица, играющие меньшую роль в операциях. Опубликованные данные представляют собой записи сотрудников, включая подтверждение занятости для заявлений на получение кредита и документов. Представители компании не ответили на телефонный звонок Ars Technica с просьбой прокомментировать ситуацию. Участники Clop также не ответили на электронные письма, отправленные на адреса, указанные на сайте группировки в даркнете.