Дайджест информационной безопасности №194 за период с 24 августа по 4 сентября 2020

Новости законодательства

• Операторы центров обработки данных (ЦОД) должны будут подключиться к Центру мониторинга и управления сетью связи общего пользования, который Роскомнадзор создаст в рамках закона о «суверенном интернете» (пакет поправок к законам «О связи» и «Об информации», вступивший в силу в ноябре 2019 года), следует из законопроекта, опубликованного Минкомсвязью 27 августа.

Новости ИБ

• Cisco предупредила о новой уязвимости нулевого дня в многозадачной операционной системе IOS, которая поставляется с сетевым оборудованием. Есть информация, что брешь активно используется в кибератаках. 0-day отслеживается под идентификатором CVE-2020-3566 и затрагивает функцию протокола DVMRP, присутствующую в версии IOS XR.
• В WordPress-плагине File Manager, насчитывающем более 700 тысяч активных установок, выявлена уязвимость, позволяющая запускать произвольные команды и PHP-скрипты на сервере. Проблема проявляется в выпусках File Manager с 6.0 по 6.8 и устранена в выпуске 6.9.
• Исследователи рассказали об интересной кампании киберпреступников. Атакуя онлайн-магазины, злоумышленники используют закрытые каналы в Telegram для кражи данных банковских карт, принадлежащих любителям онлайн-шопинга.
• Эксперты CyberNews при помощи поисковика Shodan выявили в интернете более 800 000 принтеров с включенными функциями сетевой печати, причем порядка 447 000 были не защищены от атак.
• ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.
• Исследователь Вангелис Стикас из компании Pen Test Partners обнаружил уязвимость в решении для автоматизированного управления сетями SonicWall Global Management System (GMS). Эксплуатация уязвимости позволяет злоумышленникам проникать в тысячи корпоративных сетей.

Интересные посты русскоязычных блогов по ИБ

• Алексей Комаров сделал традиционный обзор новинок Государственного реестра сертифицированных средств защиты информации (СрЗИ) на этот раз сразу полугодовой. В списке оказалось 50 новых сертификатов (выданных на серию).
• Ростелеком-Солар в этом году начал большой проект по созданию киберполигона – площадки для киберучений компаний различных отраслей. В блоге на Хабре эксперты рассказали о том, как они решали задачу создания виртуальной инфраструктуры, «идентичной натуральной» применительно к технологическому сегменту промышленного предприятия.
• В другом посте эксперты Ростелеком-Солар поделились своей методикой создания KPI и управления эффективностью SOC. Задача оказалась непростая как для разработчиков метрик, так и для заказчиков, но игра стоит свеч. В итоге можно в полной мере, централизовано и быстро оценить состояние ИБ, найти слабые места, быстро отреагировать на инциденты и поддерживать СЗИ в актуальном состоянии.
• Денис Батранков представил рекомендации по защите от фишинга. Автор вкратце обрисовал распространенные сценарии уловок и что делать обычным пользователям и компаниям. Также в блоге приведены ссылки на проверку своих навыков защиты от фишинга.
• Управление активами — один из базовых процессов обеспечения информационной безопасности. Эксперты компании R‑Vision в статье на Anti-Malware рассказали о том, почему это важно, какая связь между управлением активами и другими ИБ-процессами: управлением инцидентами, уязвимостями, рисками и другими, и как сформировать единый мастер-ресурс по активам, осуществлять учёт и контроль изменений с помощью R‑Vision SGRC и R‑Vision IRP.

Интересные посты англоязычных блогов по ИБ

• Управление конфигурацией безопасности (SCM) включает в себя поддержку безопасной базовой конфигурации для систем организации и мониторинг этих активов на предмет отклонений от этого базового уровня. Дэвид Биссон рассказал как службы безопасности могут наилучшим образом реализовать SCM на практике.
• Anton Chuvakin в своей заметке поделился цитатами из своей серии статей о будущем SOC.
• Cynthia Brumfield проанализировала новый отчет Фонда Карнеги, который призван помочь законодателям и политикам лучше понять риски облачной безопасности. В отчете говорится, что преимущества облачной безопасности связаны с системными рисками.

Исследования и аналитика

• По результатам исследования компании Positive Technologies, число атак во втором квартале 2020 года выросло на 9% по сравнению с первым. Во втором квартале киберпреступники стали чаще атаковать промышленность. 16% фишинговых писем использовали в качестве приманки тему COVID-19, при этом доля учётных данных среди общего объёма скомпрометированной информации заметно выросла с 15 до 30%.
• «Лаборатория Касперского» привела обзор кампании по кибершпионажу, организованной группировкой DeathStalker, в рамках которой хакеры атакуют финансовые и юридические предприятия в сфере малого и среднего бизнеса по всему миру, в том числе и в РФ. Заражение происходит через фишинговые письма, содержащие архивы с вредоносными файлами.
• «Лаборатория Касперского» опубликовала продолжение исследования группировки Transparent Tribe. На этот раз эксперты нашли новый Android-имплантат, используемый группировкой для шпионажа за мобильными устройствами. Новые данные подтверждают связь между ObliqueRAT and Transparent Tribe.
• Эксперты Group-IB раскрыли подробности деятельности русскоязычной группировки UltraRank, за пять лет атаковавшей порядка 700 интернет-магазинов в Европе, Азии, Северной и Латинской Америке. Киберпреступники проводят масштабные кампании с использованием JS-снифферов, развивают собственную инфраструктуру и инструменты монетизации, модифицируют вредоносный код.
• Специалисты компании Digital Shadows изучили трафик популярных ресурсов для киберпреступников и сравнили полученную информацию с собственным впечатлением от этих сайтов. Главный вывод заключается в том, что метриками трафика можно манипулировать, в том числе с помощью ботов и VPN, а некоторые хакерские платформы используют статистические данные, чтобы привлечь к себе внимание.
• Согласно докладу «2020 Phishing Attack Landscape Report GreatHorn» от Cybersecurity Insiders, частота фишинговых угроз значительно возросла за последние несколько месяцев и компании испытывают в среднем 1185 атак каждый месяц. Кроме того, 38% респондентов сообщают, что сотрудник стал жертвой нападения в течение последнего года. В результате 15% организаций вынуждены тратить от одного до четырех дней на устранение вредоносных.
• В 2020 году около 2 миллиардов записей было выставлено на продажу на различных рынках даркнета. Что происходит с этими записями? Куда они попадают и как это влияет на потребителей? В отчете «The Fortnite Underground Cybercrime Economy report» изнутри рассмотрена прибыльная экономика взломанных пользовательских игровых аккаунтов на миллиард долларов в год, при которой киберпреступники зарабатывают более 40 000 долларов в неделю.
• RiskIQ опубликовала ежегодный отчет «Evil Internet Minute». Компания проанализировала объем вредоносной активности в интернете, выявив, что киберпреступность обходится организациям в $24,7 в минуту, а в совокупности каждую минуту $2,900,000 уходят в пользу злоумышленников. Исследователи предполагают, что к 2021 году поминутная глобальная стоимость киберпреступности составит 11,4 миллиона долларов, что на 100% больше, чем в 2015 году.
• Отчет APWG «Phishing Activity Trends Report: 2nd Quarter 2020» показал, что мошенники запрашивали средства в виде подарочных карт в двух третях атак на компрометацию деловой электронной почты (BEC). Были изучены тысячи атак BEC, которые произошли во второй половине 2020 года. Выяснилось, что 66% из них были связаны с подарочными картами. Напротив, прямые банковские переводы учитывались только в 18% атак, а за ними следовали утечки заработной платы в 16% случаев.
• Исследователи из Международного совета по цифровой отчетности (International Digital Accountability Council, IDAC) проанализировали 496 образовательных приложений в 22 странах и обнаружили проблемы с конфиденциальностью во многих программах. Некоторые приложения предоставляли данные о местоположении пользователей сторонним рекламодателям, а также собирали идентификаторы устройств.
• Сотрудники Mozilla провели новое исследование, которое подтвердило, что история просмотров браузера позволяют идентифицировать пользователей. Они выяснили, что большинство пользователей следуют привычным схемам просмотра веб-страниц, и это позволяет онлайн-рекламодателям создавать их точные профили.

Громкие инциденты ИБ

• Кредитные организации России получили письма от Центробанка и платежной системы Visa об утечке сведений 55000 карт их клиентов. По словам представителей ЦБ, в открытом доступе в интернете оказались данные о картах пользователей популярного маркетплейсa Joom, который занимается доставкой продукции из КНР.
• На форуме в DarkNet появилось объявление о продаже базы данных с информацией о счетах россиян в банке ВТБ, которая содержит до 50 млн записей. Проверка тестового фрагмента с ФИО, номером телефона и паспорта, показала, что 11 из 14 упомянутых граждан действительно имеют счета в этой кредитной организации.
• База данных MongoDB компании Utair Digital была выложена в свободный доступ на англоязычном хакерском форуме. Хакерам не удалось получить доступ к данным банковских карт пользователей, так как Utair хранит их отдельно для безопасности.
• В Сети обнаружен открытый сервер Elasticsearch, содержащий данные более 150 млн пользователей социальных сетей Facebook, LinkedIn и Instagram. Сервер располагался в США, на площадке Alibaba и принадлежит китайской компании Shenzhen Benniao Social Technology, которая предоставляет лиды из социальных сетей для китайских компаний, работающих на зарубежных рынках.
• Свердловский областной онкологический центр подвергся нападению хакеров, сообщила в Facebook врач-нейрофизиолог Светлана Лаврова. По ее словам, хакеры «обрушили» базу данных патологоанатомического отделения — без результатов биопсии остались «не то 200, не то 400 больных». За восстановление базы с руководства центра потребовали 80 тыс. руб.
• На электронную почту посольства России в Австрии провели хакерскую атаку. На основной электронный адрес посольства была осуществлена спам-атака. В дипмиссии попросили не открывать вложения и не переходить по ссылкам, которые приходят в письмах с этого адреса. Источник хакерской атаки еще выясняется.