Дайджест информационной безопасности №183 за период с 16 по 27 марта 2020

Новости законодательства

• 20 марта пресс-служба Банка России опубликовала информационное письмо N ИН-014-56/17 «О мерах по обеспечению киберустойчивости и информационной безопасности в условиях распространения новой коронавирусной инфекции (COVID-19)».

Новости ИБ

• Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупреждает об активном использовании злоумышленниками ситуации вокруг пандемии коронавируса COVID-19 для осуществления широкого спектра вредоносной деятельности и публикует рекомендации по противодействию угрозам компьютерной безопасности, связанным с его распространением. Специалисты НКЦКИ выделяют два типа вероятных угроз: мошенничество и угрозы, связанные с удаленным режимом работы.
• Проект abuse.ch запустил новый сервис, позволяющий исследователям безопасности обмениваться образцами вредоносного ПО и дополнительными сведениями о них. Сервис MalwareBazaar разрешает публиковать только проверенные образцы известных вредоносов, рекламное и потенциально нежелательное ПО к публикации не допускаются.
• Киберпреступники начали распространять спам-сообщения по теме коронавируса от имени Всемирной организации здравоохранения. Как отмечается, они размещают в текстах ссылки, при переходе по которым мошенники получают доступ к личной информации и платежным данным пользователей.
• 20 марта должны были состоятся плановые учения по обеспечению устойчивости и безопасности работы Рунета. Тем не менее, мероприятие было отменено в связи с мерами профилактики распространения коронавирусной инфекции. Учения состоятся, однако их новый график пока еще не утвержден.
• Microsoft предупредила всех пользователей Windows о том, что в операционной системе были обнаружены две критические уязвимости в системе безопасности. Уязвимости позволяют получить полный контроль над компьютерами под управлениями всех версий Windows. Отмечается, что «бреши» обнаружены в библиотеке Windows Adobe. Злоумышленники добиваются желаемого в случаях, если пользователи не только открывают инфицированные документы, но и просматривают их на панели предварительного просмотра.
• Операторы различных ботнетов начали эксплуатировать многочисленные 0Day-уязвимости в цифровых видеорегистраторах для систем наблюдения, изготовленных тайваньской компанией LILIN, с целью их заражения и превращения в DoS-ботов. По словам специалистов Qihoo 360, несколько группировок используют уязвимости в видеорегистраторах LILIN для распространения бот-сетей Chalubo, FBot и Moobot как минимум с 30 августа 2019 года.
• Эксперты глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) обнаружили целевую кампанию распространения нового троянца Milum. Эта кампания получила название WildPressure, большинство ее жертв находятся на Ближнем Востоке.
• Более 100 000 сайтов оказались уязвимы перед атаками из-за проблем в Popup Builder, популярном плагине для WordPress. Данный плагин позволяет владельцам сайтов создавать настраиваемые всплывающие окна, содержащие самый разный контент: от кода HTML и JavaScript, до изображений и видео. Наиболее важный среди обнаруженных в Popup Builder багов получил идентификатор CVE-2020-10196  и набрал 8,3 балла по шкале оценки уязвимостей CVSS.

Интересные посты русскоязычных блогов по ИБ

• Из-за эпидемии все больше организаций переводит сотрудников на дистанционную работу и VPN-провайдеры оказались не готовы к наплыву пользователей. ИБ-экспертов беспокоит, что рост числа пользователей VPN, как бы парадоксально это ни звучало, повредит сетевой безопасности. Но пока правительственные организации одних стран всячески поддерживают VPN, другие, наоборот, используют эпидемию как повод для ужесточения регулирования подобных сервисов.
• Александр Кузнецов проанализировал как коррелируют стадии (этапы) жизненного цикла из документа 239-приказа ФСТЭК России с процессами в рамках функционирования системы безопасности значимых ОКИИ из документа 235-приказа ФСТЭК России и наглядно представил вариант взаимосвязи.
• В 2019 году выявили уязвимость CPDoS (Cache Poisoned Denial of Service) на сети CDN, которая позволяет отравить HTTP кэш CDN провайдера и вызвать отказ в обслуживании. Уязвимость пока не была замечена в реальных атаках, но Иван Ковешников рассказал об одном из способов отравления кэша — HTTP Method Override.

Интересные посты англоязычных блогов по ИБ

• SANS Institute выпустила рекомендации для компаний и удаленных сотрудников о том, как выстроить процесс безопасной удаленной работы во время пандемии коронавируса. Для более крупных организаций рекомендуется использовать пошаговое руководство Deployment Kit . Для маленьких организаций, семей или частных лиц, SANS предоставила простой информационный бюллетень Securely Working From Home , который охватывает пять ключевых шагов по обеспечению собственной безопасности.
• В блоге Security Boulevard Taylor Armerding рассказал как бороться с устаревшими уязвимостями. Тысячи систем и приложений, которые с виду функционируют просто отлично, могут скрывать опасные уязвимости, некоторые из которых были обнаружены много лет назад. Многие организации не знают об этих устаревших уязвимостях. Другие забыли о них или просто игнорировали. Но злоумышленники не забыли.
• Инструменты управления привилегированным доступом (PAM) играют ключевую роль в осведомленности о кибератаках противника и об опасностях неуправляемых привилегированных учетных записей. В блоге Cyberark описано, как аналитика угроз может помочь организациям улучшить понимание себя и своих врагов, а также предоставить основу для эффективной программы PAM.
• Команда MITRE ATT&CK подготовила некоторые существенные изменения в ATT&CK. Black Strom представил дорожную карту развития ATT&CK на 2020 год, которая включает реструктуризацию фреймворка с помощью субтехнологий, модернизацию источников данных и совершенствование Mobile, PRE-ATT&CK, Cloud и ICS. Также будет опубликовано новое дополнение ATT&CK, чтобы охватить поведение сетевых устройств.

Исследования и аналитика

• В Лаборатории Касперского рассказали, что могут современные шпионские приложения на примере недавно выявленного «сталкера» для Android — MonitorMinor. По их оценке, это одно из самых мощных средств для слежки за смартфоном на сегодняшний день. С его помощью злоумышленник может удаленно управлять устройством, записывать звук и видео с микрофона и камеры, украсть список контактов, узнать пин-код или узор разблокировки и многое другое.
• Специалисты компании Positive Technologies проанализировали актуальные угрозы 2019 года и привели данные о соотношении целевых и массовых атак. Чаще всего киберпреступники атаковали промышленность, государственные учреждения, сферу здравоохранения и образования, а также финансовую отрасль. Число уникальных атак в цифровом пространстве выросло на 19%. При этом доля APT в сравнении с 2018 годом увеличилась на 5%, зафиксировавшись на 60%.
• Более 50% IoT-устройств уязвимы перед кибератаками, представляющими высокую и среднюю степень опасности. В новом исследовании 2020 Unit 42 IoT Threat Report рассматриваются проблемы безопасности, глубоко укоренившиеся в подключённых устройствах. По словам исследователей, у 98% всего трафика, генерируемого IoT-устройствами, отсутствует защита шифрованием.
• Подавляющее большинство атак на организации, в которых используются программы-шифровальщики, происходят в нерабочие часы — ночью или на выходных. Такими данными поделились аналитики компании FireEye. Согласно отчёту FireEye, 76% активности вымогателей приходятся на нерабочие часы. Из них 49% атак проводятся вечером-ночью, 27% — в выходные дни.
• Специалисты из компании RiskSense проанализировали количество уязвимостей в таких популярных фреймворках, как Apache Struts, WordPress и Drupal. Хотя общее количество уязвимостей в фреймворках в 2019 году снизились, коэффициент их эксплуатации вырос до 8,6%. У WordPress и Apache Struts были зафиксированы самые опасные уязвимости, среди которых наиболее серьезными являются «межсайтовое выполнение сценариев» (cross-Site Scripting, XSS) и «некорректная проверка входных данных» (improper Input Validation).
• Согласно отчёту компании Trend Micro, российская киберпреступная группировка APT28 (Fancy Bear), спонсируемая властями, уже более года сканирует Сеть на наличие уязвимых почтовых серверов. Опубликованный на днях отчёт Trend Micro проливает свет на важные изменения в операциях «российской правительственной» группировки.
• В новом отчете из Великобритании подробно рассматривается нехватка навыков в области безопасности.  Согласно отчету, 23% предприятий считают необходимым иметь навыки реагирования на инциденты. Четверть (27%) имеют данный пробел, но не пользуются сторонними услугами. Примерно 30% бизнеса также имеют пробелы в тестировании на проникновение, криминалистическом анализе и архитектуры безопасности.
• Специалисты Йоркского университета выявили уязвимости, затрагивающие популярные менеджеры паролей. Эксплуатация этих брешей может привести к краже учётных данных пользователя. Согласно отчёту, выявленные проблемы безопасности позволяют замаскировать вредоносное приложение под легитимное и заставить менеджер паролей выдать учётные данные.
• Siemens представила документ «Simulating a Cyberattack on the Energy Industry: A Playbook for Incident Response», в котором приведены примеры сценариев кибератак, которые можно использовать в киберучениях для ИБ-специалистов АСУ ТП, регуляторов или других организаций.
• Эксперты из Рурского университета и Университета Джорджа Вашингтона опросили пользователей iPhone и Android-смартфонов на тему защиты смартфонов PIN-кодами и выявили 20 наиболее опасных PIN-кодов. В результате, шестизначные PIN-коды оказались куда менее защищены, чем четырёхзначные.

Громкие инциденты ИБ

• Хакеры совершили кибератаку на компьютеры министерства здравоохранения и социальных служб США. Но хакерам не удалось взломать системы минздрава США в ходе последней атаки.
• Незащищенная база данных с порядка 500 000 конфиденциальных юридических и финансовых документов обнаружена исследовательской группой vpnMentor. Специалисты выяснили, что обнаруженная в сети база с использовалась мобильным приложением, созданным для предоставления контрагентам краткосрочных кредитов на основе их будущих продаж.
• Хакеры использовали вымогательское ПО Maze для атаки на британскую медицинскую компанию Hammersmith Medicines Research, которая готовится приступить к испытаниям возможной вакцины против коронавируса. В результате атаки злоумышленники похитили данные тысяч бывших пациентов HMR, а после того, как компания отказалась платить выкуп, эта информация оказалась в сети Интернет.
• Персональные данные более 538 млн пользователей китайской социальной сети Weibo в настоящее время выставлены в даркнете на продажу. Как утверждает преступник в объявлении, база данных содержит настоящие имена, логины пользователей сайта, информацию о поле, местоположении, а также номера телефонов 172 млн пользователей.
• В Google Cloud обнаружена незащищенная БД объемом в 800 ГБ, в которой содержалось более 200 млн записей с подробной персональной информацией жителей США. БД включала в том числе полные имена, электронные адреса, даты рождения, сведения о кредитном статусе, домашние адреса и адреса недвижимого имущества, находящегося в залоге, данные о количестве детей и их поле, профили с информацией о персональных интересах, вкладах и пожертвованиях.
• Комплекс парижских больниц, который включает 39 государственных учреждений с общим штатом более 100 000 человек, подвергся кибератаке. Злоумышленники провели массированную DDoS-атаку, нацеленную на два интернет-адреса. Атака была успешно отбита через час после начала.
• Киберпреступники пытались проникнуть в компьютерные системы Всемирной организации здравоохранения в начале марта нынешнего года. Попытки взлома против организации и ее партнеров резко возросли, пока они борются с пандемией коронавирусной инфекции.