Дайджест информационной безопасности №181 за период с 17 по 28 февраля 2020

Новости законодательства

• Федеральная служба по техническому и экспортному контролю (ФСТЭК) отодвинула срок обновления сертификата соответствия для разработчиков средств защиты информации. Сертификат необходим для продажи программ и оборудования государственным компаниям и госорганам.

Новости ИБ

• Dell продает подразделение RSA, занимающееся компьютерной безопасностью, более чем за 2 млрд долларов. Покупателем подразделения RSA выступает консорциум во главе Symphony Technology Group.
• Специалисты по кибербезопасности обнаружили новую волну атак на российские банки и энергетические компании. Туда приходят фишинговые письма, запускающие серию переходов на популярные интернет-ресурсы, в результате которой злоумышленники могут получить доступ к информации на компьютере.
• Зампред Центробанка России Дмитрий Скобелкин призвал усилить ответственность сотрудников финансовых организаций за утечку персональных данных. По его словам, ответственность сотрудников финансовых организаций за утечку персональных данных в России должна быть усилена вплоть до уголовной.
• На Уральском форуме по безопасности финансовой сферы, который проходит в Башкортостане с 18 по 20 февраля, были представлены основные направления стратегии ЦБ по киберзащите. Они включают ужесточение наказания за распространение персональных данных, повышение финансовой грамотности и более пристальный анализ защищенности банков.
• Уязвимости нулевого и первого дня в популярных плагинах для WordPress уже находятся под атаками. С их помощью злоумышленники создают новые учтенные записи администратора и захватывают сайты. Аналитики предупредили, что злоумышленники эксплуатируют уязвимость нулевого дня в плагине ThemeREX Addons, который поставляется вместе со всеми коммерческими темами компании ThemeREX.
• Эксперты из Рурского университета сообщили о проблеме IMP4GT (IMPersonation Attacks in 4G NeTworks), которой подвержены практически все современные устройства с поддержкой LTE, то есть смартфоны, планшеты, IoT-устройства. Баг позволяет имитировать в сети оператора другого пользователя, а значит, злоумышленник сможет оформлять платные подписки за счет других людей или публиковать что-либо (к примеру, секретные документы) под чужой личиной.
• На коллегии ФСБ по подведению итогов работы за прошлый год Владимир Путин поручил спецслужбе уделить особое внимание защите компьютерных систем органов власти, государственных электронных сервисов, операторов связи, банковских организаций и крупных российских компаний от кибератак.
• Киберкомандование США обнародовало подробности о шести новых вредоносных инструментах из арсенала северокорейской хакерской группировки Lazarus (она же Hidden Cobra). По мнению американских властей, данное вредоносное ПО применяется в новой фишинговой кампании, направленной на кражу денежных средств.
• Обнаружена ранее неизвестная уязвимость Kr00k (CVE-2019-15126), затрагивающая устройства с Wi-Fi-чипами производства Broadcom и Cypress. По данным исследователей, она ставит под угрозу более миллиарда популярных гаджетов, среди которых смартфоны, планшеты, IoT-девайсы, а также точки доступа Wi-Fi и маршрутизаторы.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий поделился презентацией с Уральского форума, посвященной метрикам и подходам, которые руководитель ИБ финансовой организации мог бы использовать при общении с Правлением или исполнительным органом организации.
• Сергей Борисов рассмотрел вопрос необходимости применения двухфакторной аутентификации в корпоративных системах, а также требования к 2FA в различных НПА и лучших практиках. В ГОСТ 57580.1 использование 2FA стало обязательным при аутентификации эксплуатационного персонала и пользователей удаленного доступа фактически для всех финансовых организаций. В качестве вывода автор признал, что уже давно пора применять 2FA во всех системах для всех пользователей.
• Валерий Естехин подробно изучил и поделился с читателями описанием нового проекта Положения Банка России 382-П. Автор сделал акцент на сроках вступления в силу положения и провел сравнительный анализ отдельных схожих требований действующей редакции Положения № 382-П от 2012 года и проекта 2023.
• Сергей Борисов проводит краткий обзор недавно вышедшего «Руководства по обеспечению кибербезопасности при оснащении больниц и медицинских центров» от европейского регулятора ENISA. В блоге отмечается отличие этого документа от похожих: безопасность рассматривается не сама по себе, а в разрезе внедрения современной ИТ-инфраструктуры и встраивания процессов безопасности в ИТ процессы.

Интересные посты англоязычных блогов по ИБ

• В заметке в блоге Tripwire речь идет о возможностях проведения оценки защищенности без дополнительных затрат на Red Team. Автор рассказывает о двух лучших на его взгляд бесплатных инструментах для этого — Atomic Red Team и Caldera.
• Веб-сервер зачастую является первым, на что хакеры обращают внимание, когда рассматривают возможность атаки. На сайте Infosec Institute рассмотрены некоторые из лучших практик, касающиеся харденинга веб-серверов.
• Недавно ESET и The Myers-Briggs Company опубликовали результаты увлекательного исследования о том, как типы личности могут влиять на поведение в области кибербезопасности. В блоге Security Boulevard представлены краткие выводы из этого отчета и список рекомендаций и советов на тему, как наилучшим образом структурировать решения по повышению осведомленности с учетом индивидуальности отдельного сотрудника.
• Антон Чувакин в своём блоге затронул тему повышения эффективности мер по обнаружению вторжений в организации. Автор попытался объяснить, почему внедрение одного решения не может обеспечить полную защиту и от чего можно отталкиваться при продумывании системы защиты от вторжений.

Исследования и аналитика

• Эксперты Positive Technologies проанализировали состояние защищенности веб-приложений и выяснили, что в 9 случаях из 10 злоумышленники могут атаковать посетителей сайта, 16% приложений содержат уязвимости, позволяющие получить полный контроль над системой, а в 8% случаев — атаковать внутреннюю сеть компании. Кроме того, получив полный доступ к веб-серверу, хакеры могут размещать на атакуемом сайте собственный контент (выполнять дефейс) или даже атаковать его посетителей, например заражая их компьютеры ВПО.
• Еще один отчет Positive Technologies посвящен анализу защищенности инфраструктуры финансовых организаций. Эксперты оценили общий уровень защиты сетевого периметра и корпоративной инфраструктуры исследованных финансовых организаций как низкий. В частности, проведенное обследование показало, что возможность проникновения во внутреннюю сеть из интернета была обнаружена для 7 из 8 проверенных организаций.
• Лаборатория Касперского выпустила отчет по мобильной вирусологии за 2019 год, согласно которому в России увеличилось число жертв сталкерских мобильных приложений (распространяемый легально коммерческий шпионский софт). Аналитики утверждают, что в сравнении с 2018 годом количество атакованных stalkerware россиян выросло в три раза. Согласно отчету, Россия оказалась на первом месте по количеству жертв мобильных банковский троянов.
• Эксперты Webroot представили отчёт «2020 Webroot Threat Report», отражающий тенденции современных вредоносных программ. Сотрудники Webroot отметили рост числа фишинговых ссылок на 640% в 2019 году. Согласно отчёту экспертов, 93,6% проанализированных вредоносных программ были уникальными для конкретного компьютера, а число вредоносов для Windows7 увеличилось на целых 125%.
• Эксперты компании Check Point опубликовали отчет Global Threat Index за январь 2020 года, где перечислили наиболее активные угрозы января 2020 года, а также предупредили, что в последние недели злоумышленники активно используют тему коронавируса во вредоносных письмах. Уже четыре месяца подряд топ наиболее активного вредоносного ПО возглавляет троян Emotet, который распространяется в основном через вредоносный спам.
• Отчет компании FireEye «Mandiant M-Trends 2020» посвящён вредоносным программам за 2019 год. В прошлом году FireEye анализировала 1,1 млн образцов в день, а всего было выявлено 1268 семейств вредоносных программ. Самая интересная цифра касается новых типов зловредов, ранее никем не зафиксированных, — их обнаружили более 500 (41% от общего числа).
• Некогда популярное утверждение, что «для Mac вирусов нет» уже потеряло свою актуальность. Подтверждением этому стал свежий отчет компании Malwarebytes «2020 State of Malware Report», в котором специалисты проанализировали кибератаки, направленные на их клиентов за последний год, и пришли к выводу, что атаки на пользователей Mac значительно участились, а общий объем угроз для Mac увеличился по сравнению с прошлым годом более чем на 400%.
• В исследовании 2020 SANS Cyber Threat Intelligence (CTI) исследуются эволюционирующие стратегии организаций по созданию, потреблению и использованию разведданных для борьбы с угрозами и снижения риска. Одна из наиболее важных тенденций года заключается в том, что для многих организаций роль разведки вышла за рамки небольших отдельных задач и стала общей нитью в выявлении угроз, поиска эффективных решений и снижения рисков в масштабах всей организации.
• Предположительно спонсируемые правительством Ирана киберпреступные группировки в ходе своих вредоносных кампаний эксплуатируют уязвимости в VPN-серверах для создания бэкдоров в компаниях по всему миру. Согласно отчету специалистов из израильской компании ClearSky, иранские злоумышленники атакуют предприятия в сфере информационных технологий, телекоммуникаций, нефтегазовой промышленности, авиации, а также госкомпании.
• Отчет компании Risk Based Security «2019 Year End Vulnerability QuickView Report» показал, что в 2019 году было раскрыто более 22 000 уязвимостей, и для более трети из них были доступны эксплойты. Согласно отчету, из 22 316 новых дыр в системе безопасности 33% были оценены как очень серьезные на основе их оценки CVSS.
• Согласно отчету компании Dragos «2019 ICS Year in Review», в 2019 году было выявлено более 400 уязвимостей, затрагивающих АСУ ТП. Около четверти от общего числа до сих не устранены по причине отсутствия патчей, хотя информация об этих проблемах общедоступна. Из 116 уникальных видов уязвимостей самыми распространёнными оказались проблемы некорректной проверки ввода.
• Согласно отчету NETSCOUT Threat Intelligence Report, в прошлом году было зафиксировано 8,4 миллиона DDoS-атак типа, что составляет 23 000 атак в день, или 16-каждую минуту. Эксперты обнаружили, что сервисы и приложения, ориентированные на клиентов, были объектами DDoS-атак на двух третях предприятий. Противники развернули новую технику, которая использовала атаки на клиентские службы для доступа к основным службам на хорошо защищенных объектах.
• Центр рассмотрения жалоб на киберпреступления (IC3), входящий в состав ФБР, опубликовал отчёт «2019 Internet Crime Report», в котором приводятся данные о потерях от преступлений в цифровом пространстве. Согласно отчету, киберпреступления привели к общим потерям на сумму $3,5 миллиарда. Глава IC3 Донна Грегори заявила, что в 2019 году злоумышленники сконцентрировались на развитии своей тактики, помогающей избежать детектирования.
• Ожидания и реальность часто не согласуются, когда дело доходит до внедрения решений безопасности, в частности при реализации различных методов парольной защиты и аутентификации. По данным отчета 2020 State of Password and Authentication Security Behaviors Report компаний Yubico и Ponemon Institute, только 56% людей будут принимать новые технологии, которые просты в использовании и позволят значительно улучшить безопасность учетной записи. Предпочтительными методами оказались биометрия, ключи безопасности и вход без пароля.

Громкие инциденты ИБ

• Киберпреступники атаковали оператора газопровода и заразили его компьютерные сети вымогательским ПО. Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США не указало название оператора, но поделилось подробностями кибератаки. Злоумышленники использовали фишинговую ссылку для получения первоначального доступа к информационным компьютерным сетям организации, а затем нацелились на OT-сеть.
• Неизвестная группа хакеров опубликовала в открытом доступе личные данные клиентов сети отелей MGM Resorts International. Анализ экспертов по кибербезопасности компании Under the Breach показал, что в интернет утекли личные данные 10,7 млн бывших постояльцев отелей MGM Resorts. В опубликованных данных содержались полные имена, номера телефонов, адреса электронной почты и даты рождения.
• Киберпреступники атаковали крупнейшую в Хорватии нефтяную компанию INA Group. В ходе кибератаки злоумышленники, предположительно, использовали вымогательское ПО CLOP, зашифровавшее данные некоторых внутренних серверов компании. Данный инцидент не затронул поставки бензина клиентам и не повлиял на работоспособность платежных систем компании.
• Одно из оборонных агентств США, обеспечивающее безопасность коммуникаций для президента США Дональда Трампа, сообщило о возможной компрометации своих компьютерных систем. В результате инцидента могли пострадать номера социального страхования и другая персональная информация сотрудников.
• Сеть магазинов спортивных товаров Decathlon скомпрометировала 123 млн клиентских записей персональных данных из-за неправильно настроенного сервера Elasticsearch. Исследователи пришли к выводу, что основная их часть касается испанского бизнеса спортивного ритейлера из Франции, но некоторые записи, вероятно, принадлежат британским клиентам компании.
• Исследователи информационной безопасности из компании UpGuard сообщают, что в свободном доступе обнаружена база данных, содержащая персональные данные и поведенческие профили более 120 миллионов американцев. Как выяснилось, база принадлежит компании, занимающейся анализом рынка, Tetrad.
• В конце прошлой недели пользователи со всего мира начали массово жаловаться на несанкционированные платежи, осуществляемые через их аккаунты PayPal. Описанные жертвами инциденты очень похожи: злоумышленники используют Google Pay, чтобы покупать различные товары, а для оплаты используют связанные аккаунты PayPal. Большинство таких нелегальных транзакций осуществляется через американские магазины.