Дайджест информационной безопасности №184 за период с 30 марта по 10 апреля 2020

Новости законодательства

• ФСТЭК России вынесла на обсуждение новый вариант методики моделирования угроз, в котором изменился подход к проведению моделирования. Предложения и замечания по проекту методического документа принимаются до 30 апреля 2020 г.

Новости ИБ

• Центральный банк начал блокировать интернет-ресурсы, которые под видом акций и платных опросов проводили мошеннические транзакции, эксплуатируя уязвимости в платежных сервисах банков.
• Компания Microsoft приняла решение перенести отключение поддержки небезопасных протоколов Transport Layer Security (TLS) 1.0 и 1.1 в web-браузерах на вторую половину 2020 года. Решение связано с текущей пандемией коронавирусной инфекции.
• Компания Google откатила назад новую функцию безопасности в браузере Chrome с целью предотвратить возможные проблемы с сайтами, связанные с ее развертыванием. Как считают в компании, поскольку в условиях карантина сотрудники многих организаций вынуждены работать на дому, дополнительные сбои могут вызвать целый ряд проблем.
• Приложение для видеосвязи Zoom стало крайне популярным в условиях карантина и самоизоляции. Однако эксперты по кибербезопасности предупреждают, что использование Zoom таит в себе ряд опасностей, включая вероятную утечку личных данных.
• Киберпреступная группировка, занимающаяся целевыми атаками, активно эксплуатирует уже пропатченные уязвимости в браузерах Firefox и Internet Explorer. С помощью этих дыр осуществляются точечные нападения на государственные учреждения Китая и Японии.
• Независимый ИБ-эксперт обнаружил множество уязвимостей в утилите HP Support Assistant, предустановленной на всех компьютерах производства HP, продававшихся после октября 2012 года. Инструмент, использующийся на машинах под управлением Windows 7, Windows 8 и Windows 10, уязвим пред десятью разными проблемами, включая пять локальных уязвимостей повышения привилегий, две ошибки произвольного удаления файлов и три ошибки удаленного выполнения произвольного кода.
• Разработчики Mozilla выпустили обновленную версию Firefox 74.0.1, где исправили две свежие проблемы, которые уже эксплуатировали хакеры. Всем пользователям рекомендуют обновиться как можно скорее.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий делится подробностями организации удалённой работы в Cisco: как компании удаётся предоставлять сотрудникам возможность работать удалённо при отсутствии фактического периметра.
• Системы класса Network Traffic Analysis (NTA) предназначены для перехвата и анализа сетевого трафика, а также для обнаружения сложных и целевых атак. С их помощью можно проводить ретроспективное изучение сетевых событий, обнаруживать и расследовать действия злоумышленников, реагировать на инциденты. NTA могут служить отличным источником данных для оперативных центров информационной безопасности (SOC). Портал Anti-Malware опубликовал обзор мирового и российского рынка систем NTA.
• Книги по методологии COBIT крайне полезно использовать для управления ИТ и довольно удобно (после некоторой адаптации) применять и для управления ИБ (например, для построения СУИБ). Андрей Прозоров изучил книги COBIT 2019 и кратко рассказал о тех идеях и моделях COBIT, которые можно использовать для СУИБ.
• С момента появления рекомендации о переходе на режим самоизоляции регуляторы выпустили свои рекомендации о том, что надо делать в новых условиях. И эти рекомендации направлены на описание только технических мер ИБ. Алексей Лукацкий попробовал мысленно применить данные рекомендации в условиях удаленной работы и поделился рядом вопросов, которые пока остаются без ответа.

Интересные посты англоязычных блогов по ИБ

• Атаки на веб-приложения не требуют серьезной подготовки и умений. Многие распространенные ошибки, которые хорошо известны и для которых есть патчи, все еще встречаются, а это вызывает большие проблемы. Justin Boyer описал пять основных ошибок веб-приложений и как правильно их устранить, чтобы не стать следующей жертвой атаки.
• Люди – самый уязвимый уровень безопасности. Они делают ошибки, нарушают правила, их можно взломать, поэтому защищать людей гораздо сложнее, чем защищать машины. На типичном примере фишинговой схемы Тим Садлер показал, почему важно подумать о том, как применять для защиты людей тот же уровень передовых технологий и ресурсов, что и для защиты ИТ-ресурсов предприятия.
• В блоге компании Splunk Oliver Friedrichs поделился наблюдениями о том, что беспокоит сотни CISO в 2020 году. Из основных проблем можно выделить возрастающую поверхность атак, мультиоблачные серверы и небезопасные API-интерфейсы, нехватку кадров в области ИБ и бюджетные ограничения.
• Крайне важно обеспечить надежную защиту сетей, однако для многих предприятий это все еще едва достижимая цель. Многие предприятия не предпринимают даже базовых действий. Джон Эдвардс привел 5 способов, которыми предприятия непреднамеренно подвергают риску свою сетевую безопасность.

Исследования и аналитика

• За 2019 год объем киберинцидентов вырос на 30%, при этом доля внешних инцидентов увеличилась с 54% до 58% – таковы данные отчета Solar JSOC Security Report компании «Ростелеком-Солар». Всего за прошлый год центр мониторинга и реагирования на киберугрозы Solar JSOC выявил и отразил свыше 1,1 млн атак, нацеленных на инфраструктуру более 100 крупнейших государственных и коммерческих организаций из различных отраслей экономики.
• Специалисты Avast провели опрос, чтобы выяснить, как часто и каким способом россияне делают резервные копии и почему некоторые не хотят это делать. Как оказалось, 65% россиян вообще не создают резервные копии своих данных, рискуя их потерять.
• Group-IB проанализировала высокотехнологичные преступления 2019 года в финансовой отрасли, к реагированию на которые привлекались ее эксперты Лаборатории компьютерной криминалистики. Group-IB фиксирует значительное сокращение целевых атак на банки, а в топе угроз 2019-го года — утечки с целью продажи выгрузок данных о клиентах банков, инциденты с социальной инженерией и вирусами-шифровальщиками.
• Исследователи «Лаборатории Касперского» выявили хакерскую кампанию, получившую название Holy Water, направленную против азиатских пользователей. Исследователи подчеркивают, что атакующие активно использовали в своей кампании легитимные сервисы. К примеру, бэкдор был выложен на сайте Github. В настоящее время GitHub уже отключил этот репозиторий, но тот был активен около девяти месяцев.
• Как сообщили специалисты из команды Guardicore Labs, киберпреступники в ходе вредоносной кампании Vollgar ежедневно взламывают путем брутфорса 2-3 тысячи уязвимых серверов Microsoft SQL (MSSQL), устанавливают бэкдоры и загружают майнеры криптопвалюты и трояны для удаленного доступа. Преступники размещают на скомпрометированных серверах скрипты для добычи криптовалюты Monero (XMR) и Vollar (VDS).
• Эксперты компании Check Point подсчитали, что количество кибератак, связанных с коронавирусом, продолжает расти, а также в два раза участились атаки сайтов, выдающих себя за сервисы Netflix. Исследователи рассказывают, что общее количество кибератак снизилось после начала пандемии коронавируса и последующего экономического спада. Однако число атак, связанных с COIVD-19, на этом фоне сильно возросло.
• CheckPoint c начала января зарегистрировали более 16 000 новых доменов, связанных с коронавирусом. За три недели эксперты заметили огромный рост числа зарегистрированных доменов – среднее количество новых доменов почти в 10 раз больше, чем среднее число, обнаруженное в предыдущие недели. Было обнаружено, что 0,8% этих доменов являются вредоносными (93 веб-сайта), а еще 19% – подозрительными (более 2200 веб-сайтов).
• Доклад комиссии по защите киберпространства (CSC) включает подробные планы по руководству политикой кибербезопасности в Соединенных Штатах, которая, по мнению комиссии, необходима для предотвращения катастрофических атак и нападений как на корпорации, так и на граждан.
• Компания Trend Micro опубликовала свежие данные о киберугрозах, приобретающих наиболее заметное распространение в период пандемии. Trend Micro выделяет три основных типа атак, которые хакеры пытаются проводить, используя в качестве приманки важную информацию и сайты о коронавирусе. Спам в этом списке занимает первое место 65,7% атак, на втором месте находятся атаки с применением вредоносного ПО (с 26,8%); на третьем месте по частоте выявления (7,5%) вредоносные URL и сайты.
• Специалисты FireEye опубликовали статистику эксплуатации спецслужбами уязвимостей нулевого дня по всему миру за последние семь лет, представленную в виде карты и временной шкалы. За основу эксперты взяли данные, собранные как самой FireEye, так и другими исследовательскими организациями, а также сведения из базы данных Google Project Zero.

Громкие инциденты ИБ

• Персональные данные жителей Грузии, внесенные в избирательные списки, опубликованы на одном из хакерских сайтов. По данным журналистов, в открытом доступе якобы размещена база, в которой находятся данные 4,9 млн избирателей, в том числе тех, кто уже скончался.
• Marriott International сообщила о возможной утечке данных около 5,2 млн постояльцев. Соответствующее заявление опубликовано на сайте компании. В сеть могли попасть имена клиентов, их адреса, номера телефонов, электронные адреса, дни рождения, а также информация об их предпочтениях и участии в программах лояльности и партнерских программах.
• Вымогатели из киберпреступной группировки REvil атаковали калифорнийскую биотехнологическую компанию, занимающуюся исследованием лекарств от коронавирусной инфекции (COVID-19). После атаки вымогатели опубликовали в Сети документы компании с информацией о более чем 1200 сотрудниках и ее внутренних компьютерных системах.
• Несколько тысяч записей видеозвонков сервиса Zoom попало в открытый доступ в сети. По данным The Washington Post, записи были размещены на видеохостингах YouTube и Vimeo. Отмечается, что среди них были как частные разговоры пользователей, так и рабочие конференции различных компаний.
• По данным издания ZDNet, в даркнете были выставлены на продажу личные данные 600 000 пользователей почтового провайдера Email.it. Представители провайдера уже подтвердили, что информация о компрометации правдива.
• В открытом доступе оказались персональные данные почти половины населения Ирана из мессенджера Telegram. По словам исследователей Comparitech, к хищению данных причастна местная группа хакеров Hunting system. Перед удалением информация была выложена на кластере поискового движка с открытым исходным кодом Elasticsearch.
• Китайские агентства и дипломатические представительства стали мишенью для хакеров, использующих серверы виртуальных частных сетей (VPN). Атакам подверглись представительства в таких странах, как Италия, Великобритания, Северная Корея и Таиланд. По данным Qihoo 360, к атакам причастна базирующаяся в Восточной Азии хакерская группа DarkHotel.