Дайджест информационной безопасности №186 за период с 27 апреля по 8 мая 2020

Новости законодательства

• Опубликован Проект приказа ФСТЭК России «Об утверждении Порядка согласования Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования». С комментариями к проекту можно ознакомиться в блоге Сергея Борисова.

Новости ИБ

• Власти Китая внедрят с 1 июня новые правила национальной кибербезопасности, которые будут способствовать «созданию безопасного киберпространства».
• Агентство национальной безопасности США и австралийское Управление радиотехнической обороны подготовили рекомендации для компаний по поиску веб-шеллов (web shell) на внутренних серверах и серверах, «смотрящих» в интернет. В своем докладе эксперты приводят список угроз, которые чаще всего применяются для развертывания веб-шеллов.
• Google готовится провести массовую зачистку магазина расширений для браузера Chrome (Chrome web store). В результате этих действий из магазина могут исчезнуть тысячи расширений. Новые правила магазина расширений вступят в силу 27 августа 2020 г.
• Разработчики вируса-шифровальщика Shade, также известного как Troldesh, выложили в открытый доступ более 750 тысяч ключей, с помощью которых жертвы их атак могут расшифровать свои файлы. Помимо ключей, они опубликовали собственную программу для расшифровки данных.
• Специалисты компании CyberArk обнаружили уязвимость, которая позволяла скомпрометировать учетную запись платформы Microsoft Teams, предназначенной для общения и совместной работы. Для этого злоумышленникам было нужно отправить ссылку или гифку сотруднику целевой организации.
• Специалисты Google Project Zero обнаружили множество уязвимостей в составе фреймворка Image I/O, который используется для парсинга изображений и является частью iOS, macOS, tvOS и watchOS. В общей сложности был выявлено 14 уязвимостей, шесть из которых затрагивают непосредственно Apple Image I/O.
• Эксперты компании F-Secure обнаружили две критические уязвимости в опенсорсном фреймворке SaltStack Salt, широко использующемся в дата-центрах и облачных серверах. Обе проблемы набрали 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS и обе допускают удаленное выполнение произвольного кода.
• Модели машинного обучения Microsoft, направленные на детектирование киберугроз, выявили множественные хакерские рассылки, посредством которых злоумышленники распространяют вредоносные образы дисков (файлы ISO и IMG).
• Агентство Национальной Безопасности (АНБ) США опубликовало краткое руководство по выбору сервиса для теле- и web-конференций. В документе содержится краткий обзор лучших практик и критериев, которые определяют риски и функции, которые следует учитывать госсотрудникам при выборе сервисов для конференций.

Интересные посты русскоязычных блогов по ИБ

• Сергей Борисов сравнил области действия 683-П, 684-П, 672-П и 382-П для финансовых организаций по типам организаций, по типам защищаемой информации, по типам объектов, для которых необходимо обеспечить уровень защиты по ГОСТ 57580.1, и по типам объектов, для которых необходимо проводить тестирование на проникновение. Сергей также добавил подборку с примерами организаций, на которые распространяются требования Положений.
• Эксперты Ростелеком рассказали о DDoS-атаках, которые они фиксировали в 2019-м и в начале 2020 года, и о том, как изменился DDoS за последнее время. В то время, как продолжительность атак сократилась, возросла мощность DDoS-атак. Самая мощная за минувший период атака велась с интенсивностью 405 Гбит/с.
• Компания Перспективный мониторинг попробовала разобраться, какой вред наносят майнеры в корпоративной сети и какие угрозы для бизнеса это несёт. Эксперты рассказали как искать майнеров и бороться с ними.

Интересные посты англоязычных блогов по ИБ

• Xavier Mertens описал способ извлечения индикаторов компрометации из писем почтовых рассылок по информационной безопасности. Используется getmail, procmail и скрипт на Python в Docker контейнере.
• Oliver Friedrichs привел основные принципы построения стратегии безопасности в облаке: 1) Понимать свою ответственность за безопасность облака 2) Обеспечивать видимость облачной инфраструктуры 3) Создать и обеспечить функционирование строгого контроля доступа/контроля безопасности.
• Gil Rapaport обратился к проблеме роста количества открытых серверов RDP и поделился основными советами, как обезопасить подключение по этому протоколу: ограничить привилегированный доступ, вовремя обновлять ПО, включить NLA, держать RDP сервера за файрволлом, использовать надежные пароли и многофакторную аутентификацию.
• Anton Chuvakin посвятил пост в блоге вопросу применимости мер безопасности к угрозам, от которых эти меры должны защищать. Основная мысль — не разворачивать средства управления безопасностью, если нет понимания какую проблему нужно решить.

Исследования и аналитика

• Хакеры стали намного чаще применять DDoS-атаки в отношении телеком-компаний, образовательных учреждений и госструктур — это следует из отчета «Ростелеком-Солар» на основе данных об атаках в конце 2019 — начале 2020 года. Показатель атак на телеком-индустрию вырос с 10% до 31%. Чаще всего мишенями хакеров становятся небольшие региональные интернет-провайдеры, хостинги и дата-центры, которые обычно не располагают необходимыми для отражения мощных атак ресурсами.
• Опубликован отчет Лаборатории Касперского Ландшафт угроз для систем промышленной автоматизации. 2019 год. В 2019 году Kaspersky ICS CERT было выявлено 103 уязвимости в промышленных системах, системах IIoT/IoT и других типах решений.
• Эксперты «Лаборатории Касперского» предупредили о текущей вредоносной кампании PhantomLance, в рамках которой вредоносные приложения в магазине Google Play Store тайно шпионят и крадут данные пользователей Android-устройств. По словам специалистов, в магазине Google Play Store было обнаружено «множество» вредоносных приложений, связанных с PhantomLance и скрывающих новый троян.
• Специалисты «Лаборатории Касперского» сообщили о стремительном росте брутфорс-атак на протокол RDP, связанном с переходом многих компаний на удаленную работу из-за пандемии COVID-19. По мнению специалистов ЛК, в ближайшем времени прекращения атак на инфраструктуру, связанную с удаленным доступом (а также на различные сервисы, используемые для совместной работы) ожидать не стоит.
• Опубликован отчет Лаборатории Касперского по DDOS-атакам в 1 квартале 2020 года. Вопреки прогнозу, данному в прошлом отчете, в первом квартале наблюдается значительный рост как количества DDoS-атак, так и их качества. По сравнению с предыдущим отчетным периодом число атак увеличилось вдвое, а по сравнению с первым кварталом 2019 года — на 80%. Кроме того, наблюдается явный рост как средней продолжительности атак, так и максимальной. Первый квартал каждый год отличается некоторым всплеском DDoS-активности, однако такого темпа аналитики не ожидали.
• В опросе, проведенном Positive Technologies среди специалистов ИТ и ИБ, более половины респондентов отметили, что в связи с пандемией удаленный доступ пришлось экстренно организовывать с нуля (11%) либо срочно масштабировать, так как он был реализован только для некоторых сотрудников (41%).
• Исследователи компании Impreva на основе доклада 2019 Global DDoS Threat Landscape Report предложили невиданный ранее взгляд на атаки на основе конкретных отраслей и о DDoS во время пандемии COVID-19. Кроме того, они предоставили дополнительную информацию о том, почему атаки в последнее время требуют конкретной стратегии смягчения последствий.

Громкие инциденты ИБ

• В Сети выставлена на продажу база клиентов одной из микрокредитных организаций. Сообщается, что данные могут быть применены злоумышленниками для похищения средств этих граждан — в базе данных содержатся, например, сведения о данных паспорта 12 миллионов граждан, их номера телефонов и многое другое.
• Хакеры разместили более полумиллиона аккаунтов приложения для видеоконференций Zoom в даркнете, сообщает газета Sunday Times. Аккаунты были выставлены на продажу по 1,25 цента за каждый, их обнаружила и купила компания по кибербезопасности Cyble.
• Доменный регистратор и хостер GoDaddy уведомил своих клиентов о проблемах с безопасностью и утечке данных. Сотрудники GoDaddy обнаружили, что имена пользователей и пароли оказались скомпрометированы, так как злоумышленники внесли изменения в файл SSH в инфраструктуре GoDaddy. В общей сложности эта проблема затронула примерно 28 000 клиентов.
• Операторы вымогательского ПО атаковали компьютерные системы тайваньской государственной энергетической компании CPC Corp. Как сообщили представители компании, несмотря на то, что кибератака не повлияла на производственные процессы, она помешала попыткам некоторых клиентов использовать платежные карты CPC Corp для покупки газа.
• Власти Израиля предупредили организации, снабжающие население очищенной питьевой водой, о серии целевых кибератак, основной целью которых являются объекты водоснабжения. Согласно официальному уведомлению, злоумышленники атакуют SCADA-системы насосных станций и канализаций.
• Национальный центр реагирования на компьютерные инциденты Республики Беларусь (CERT.BY) обнаружил в национальном сегменте интернета активность бэкдор-трояна семейства Pteranodon. К настоящему времени признаки заражения были обнаружены более чем на 400 устройствах.
• Сайт правительства Крыма в течение суток подвергался хакерской атаке через сервис для регистрации предприятий, желающих возобновить работу в условиях пандемии нового коронавируса.