Дайджест информационной безопасности №191 за период с 6 по 17 июля 2020

Новости ИБ

• Единая биометрическая система (ЕБС) получит статус государственной наравне с Госуслугами и Единой системой идентификации и аутентификации (ЕСИА). Этот статус будет гарантировать сохранность данных на уровне государства и повысит удобство использования и безопасность сервисов.
• Эксперт компании MindedSecurity создал браузерное расширение Behave, которое предупредит пользователей о сканировании портов. Инструмент уже доступен для Chrome и Firefox, в планах у разработчика выпуск версий для Edge и Safari.
• Microsoft представила бесплатный сервис для Linux, цель которого — найти и продемонстрировать доказательства проникновения в систему руткитов и других сложных вредоносных программ, которые привыкли тщательно скрывать своё присутствие.
• Ученые Томского государственного университета (ТГУ) предлагают использовать гомоморфную систему шифрования, которая позволяет сохранять функционал электронных сервисов без риска утечки персональных данных, для защиты облачных хранилищ. К октябрю 2020 года исследователи вуза предоставят свои наработки в данной сфере, устранив главный недостаток подобной системы шифирования данных — низкую скорость работы.
• В СПбПУ создан Институт кибербезопасности и защиты информации (ИКБ). В ИКБ проводится практико-ориентированное обучение с применением игровых технологий. Студенты получат навыки тестирования на проникновение, поиска уязвимостей и противодействия кибератакам, в том числе целенаправленным, а также изучат технологии их реализации.
• Около ста организаций и экспертов подписали открытое письмо, в котором выступили против принятия в США закона LAEDA. Внесенный на рассмотрение Конгресса США проект закона «О правомерном доступе к зашифрованным данным» (Lawful Access to Encrypted Data Act, LAEDA) может стать сильнейшим в серии ударов по шифровании – мощнейшему инструменту безопасности online.
• Немецкие власти рассматривают законопроект, в рамках которого федеральные спецслужбы Германии смогут законно шпионить за гражданами с помощью троянов. В соответствии с документом, интернет-провайдеры будут устанавливать в своих ЦОД специальное оборудование, предоставленное правительством.
• Компания SAP выпустила патч для серьезной уязвимости, которая затрагивает подавляющее большинство его клиентов. По словам фирмы Onapsis, занимающейся облачной безопасностью, обнаружившей уязвимость в мае этого года и сообщившей об этом в SAP, эта ошибка под кодовым названием RECON подвергает компании легкому взлому.

Интересные посты русскоязычных блогов по ИБ

• Алексей Лукацкий поделился опытом прохождения полутора десятков онлайн курсов за время самоизоляции. Автор отметил, что такое обучение требует большей концентрации, сложнее с обратной связью от лектора. Алексей также поделился подробностями курса по SOC от Chris Cowley. В курсе были затронуты вопросы обоснования наличия SOC перед руководством, организация смен, выбор тезнологий, параметрам эффективности.
• В блоге Ростелеком-Солар разобраны некоторые подробности обнаружения и реагирования на инцидент в SOC. Например, распределение ответственности и адаптация информации в карточке инцидента для ИТ, а не ИБ специалистов.
• В блоге SearchInform приведены размышления об аутсорсинге в ИБ, причинах перехода на него, основных предложениях на этом рынке, а также о задачах, которые стоят перед компанией, которая занимается предоставлением аутсорсинга услуг ИБ.
• Евгений Касперский рассказал о «безфайловом» («бестелесном») вредоносном коде – опасном виде «жучков-призраков», которых научили использовать архитектурные недостатки Windows для заражения компьютеров. А также о патентованной технологии борьбы с этой кибер-заразой.

Интересные посты англоязычных блогов по ИБ

• Dmitrijs Trizna рассказал про использование рекуррентных нейронных сетей (RNN) в анализе событий Windows для поиска опасных событий. Приведен разбор предварительной обработки событий Sysmon для использования их в качестве входных данных модели RNN которую автор строит с использованием API Tensorflow Keras. Также рассмотрена производительность различных архитектур RNN.
• Pavitra Shankdhar привел список основных бесплатных сканеров безопасности веб-приложений (например Grabber, Vega или Wapiti), описывает их слабые и сильные стороны.
• Matthew Jerzewski рассказал об истории программ-вымогателей, описал особенности работы нескольких типов такого ПО и поделился способами, которые могут предотвратить развёртывание такого ПО в корпоративной сети или замедлить распространение программы-вымогателя.
• Justyna Kucharczak описал основные угрозы облачных вычислений (например неверная конфигурация и неадекватный контроль изменений или взлом аккаунта), список которых составлен на основе исследования Cloud Security Alliance под названием “Top Threats to Cloud Computing”.
• Как показало исследование Computer Disposals Limited, только 5% британцев могут распознать все мошеннические электронные письма и тексты. Хуже всего распознаются мошеннические электронные письма от Facebook. Кроме того, участники гораздо хуже обнаруживают мошенничество с помощью SMS-сообщений по сравнению с электронными письмами. Чтобы узнать, сможете ли вы отличить настоящее письмо от фишинга, пройдите тест, который доступен в этой статье.

Исследования и аналитика

• InfoWatch выпустила ежегодный отчет по утечкам данных за 2019 год в России. За прошедший год было зафиксировано 395 случаев утечки информации из российских компаний и государственных органов, в результате было скомпрометировано более 172 млн записей персональных данных и платежной информации. По отношению к 2018 году случаев утечек стало больше на 46%, а число записей скомпрометированной пользовательской информации выросло более чем в 6 раз.
• Согласно новому отчёту «Лаборатории Касперского», на смартфонах 14,8% пользователей, пострадавших от адваре для мобильных устройств до сих пор присутствуют файлы вредоносных программ, которые невозможно удалить традиционными способами.
• Результаты отчета Honeywell Industrial USB Threat Report показывают, что общее количество угроз, создаваемых съемными носителями USB для промышленных сетей управления технологическими процессами, остается стабильно высоким: 45% объектов обнаруживают хотя бы одну входящую угрозу. За тот же период времени число угроз, нацеленных на системы технологических процессов, почти удвоилось с 16 до 28%, в то время как число угроз, способных вызвать потерю видимости или другие серьезные нарушения, возросло с 26 до 59%.
• Специалисты компании Gemini Advisory представили отчет о деятельности хакерской группировки Keeper, которая активна как минимум с 2017 года. Данная группа промышляет веб-скиммингом или атаками типа MageCart. То есть злоумышленники взламывают интернет-магазины и внедряют в их код вредоносные скрипты, которые воруют данные платежных карт, введенные покупателями при оформлении заказа.
• Digital Shadows оценили, как киберпреступники используют украденные учетные данные, включая банковские счета, социальные сети и сервисы потокового видео. Исследование «From Exposure to Takeover» показывает, что на черных рынках существует более 15 миллиардов учетных данных. Количество украденных учетных данных выросло на 300% с 2018 года в результате более чем 100 000 нарушений. Из них более 5 миллиардов были оценены как уникальные.
• Компания ESET сообщила об обнаружении новой операции в рамках кампании с использованием шпионского программного обеспечения на Ближнем Востоке. Инструмент злоумышленников — приложение Welcome Chat для Android, которое является шпионским ПО и имеет функциональность чата. Вредоносный веб-сайт, через который рекламируют и распространяют это приложение, предлагает защищенный чат, который якобы доступен в магазине Google Play.
• Исследование, проведенное Enterprise Management Associates (EMA) показывает, как продолжает расти рынок MDR. В исследовании изучены факторы, способствующие дальнейшему внедрению MDR, проблемы верхнего уровня, движущие рынком и критерии, по которым следует оценивать поставщиков MDR.

Громкие инциденты ИБ

• Твиттер-аккаунты многих известных людей в среду вечером подверглись масштабному взлому. Неизвестные хакеры разместили в них однотипные сообщения с предложением заработать биткоинов.
• Киберпреступники атаковали бразильскую энергетическую компанию Light S.A. и с помощью вируса Sodinikibi зашифровали ее данные. Известно, что энергетический гигант пострадал в июне. Проникнув в сеть, хакеры запустили вредоносное ПО Sodinokibi (известно также как REvil). Вирус смог зашифровать системные файлы Windows.
• Данные паспортов нескольких сот граждан Армении, включая военнослужащих, а также документы, касающиеся воинских частей республики, были «слиты» в Сеть азербайджанскими хакерами.
• Паспортные данные интернет-избирателей по поправкам в конституции лежали практически в открытом доступе. Более того, оказалось, что некоторые интернет-избиратели были записаны в системе дважды, а другие смогли проголосовать, хотя их паспорта МВД считает недействительными.
• Пользователи Office 365 в 62 странах стали целью масштабной фишинговой атаки. По данным агентства Bloomberg, атака мошенников длится с декабря 2019 года и, как отмечают в Microsoft, недавно вредоносные электронные письма превратились в настоящую пандемию.
• Хакеры взломали криптовалютный кошелек индийской криптобиржи Cashaa и вывели с него 336 биткоинов на сумму в $3,1 млн. Компания сообщила об инциденте в департамент по расследованию киберпреступлений полиции Дели и другим торговым площадкам.
• Хакер, скрывающийся под псевдонимом NightLion, утверждает, что взломал сервис по мониторингу и арегации утечек DataViper, принадлежащий ИБ-компании Night Lion Security. Хакер опубликовал на портале полный список из 8 225 баз данных, проиндексированных в DataViper, список из 482 загружаемых JSON-файлов, содержащих образцы данных с серверов DataViper, и доказательство того, что у него был доступ к бэкенду DataViper.