Дайджест информационной безопасности №196 за период с 21 сентября по 2 октября 2020

Новости законодательства

• Министерство цифрового развития, связи и массовых коммуникаций вынесло на общественное обсуждение проект поправок в федеральный закон 149-ФЗ «Об информации, информационных технологиях и о защите информации». Как следует из пояснительной записки, в документе предлагается запретить DoH (DNS over HTTPS), DoT (DNS over TLS) и ESNI и даже на TLS 1.3.

Новости ИБ

• Национальный координационный центр по компьютерным инцидентам (НКЦКИ) с 7 сентября 2020 года начал публиковать статистику о результатах своей деятельности. Туда входит информация о вредоносной активности в цифровом пространстве, а также рекомендации по обеспечению защиты. Статистика НКЦКИ размещается в разделе «Статистика НКЦКИ» сайта safe-surf.ru.
• В 2021 году в России планируется запуск государственной платформы, основная задача которой состоит в отслеживании фишинговых сайтов и утечек персональных данных. По новой версии федерального проекта «Информационная безопасность», на создание этой платформы с 2021 по 2024 год будет потрачено 1,4 млрд руб.
• В Госдуме хотят ужесточить ответственность иностранных интернет-компаний за неисполнение российского законодательства. На основе экспертных предложений готовится законопроект, который может повысить фиксированные и ввести оборотные штрафы, а также допустить замедление трафика сервисов в России по решению суда. В первую очередь нововведения могут коснуться Facebook и Twitter, не исполняющих требования по локализации данных россиян.
• Европол запустил новый проект под названием No More Ransom, призванный помочь жертвам вымогательского ПО восстановить свои данные без уплаты выкупа. В рамках проекта был запущен сайт, позволяющий не только определить, какую программу-вымогатель использовали злоумышленники, но и предоставляющий свыше сотни бесплатных утилит-декрипторов, полученных Европолом от более чем 150 партнеров из правоохранительных органов, научных организаций и ИБ-компаний по всему миру.
• Уязвимость CVE-2020-8207 в программной платформе для цифрового рабочего пространства Citrix Workspace, исправленная в июле нынешнего года, имеет вторичный вектор атаки, который позволяет злоумышленникам повышать привилегии на системе и удаленно выполнять произвольные команды с привилегиями SYSTEM.
• Специалисты Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), предупредили о растущей активности инфостилера LokiBot (он же Loki и Loki PWS; не следует путать с одноименным трояном для Android), которая увеличивается с июля текущего года.
• Инженеры компании Microsoft  предупреждают, что хакеры начали эксплуатировать проблему Zerologon (CVE-2020-1472), исправленную в рамках августовского «вторника обновлений». Многие специалисты называют Zerologon самой опасной ошибкой текущего года.
• Исследователи кибербезопасности из компании OTORIO обнаружили критические уязвимости в популярных промышленных системах удаленного доступа. Их эксплуатация позволяет запретить доступ к производственным цехам, взломать корпоративные сети, подделать данные и похитить конфиденциальную информацию.

Интересные посты русскоязычных блогов по ИБ

• Евгений Касперский рассказал в блоге про случай смерти пациентки вследствие атаки ransomware-малвари DoppelPaymer в г. Дюссельдорф. Автор привел технические делали инцидента и дал свои комментарии по расследованию.
• DDoS-Guard в своём блоге рассказали, как можно защитить хостинг от DDoS-атак. Были приведены общие сведения о классификации таких атак, выделены главные вопросы, с помощью которых можно определить уровень защищённости хостинга, и приведены методы выстраивания защиты.
• Сергей Борисов в своём блоге провёл анализ новой версии «Security and Privacy Controls for Information Systems and Organizations»( NIST 800-53). Он выделил отличия от прошлой версии, а также дал краткое описание самого документа и возможных сценариев его использования.
• Selectel в своём блоге опубликовали перевод статьи Martin Hron о взломе «умной» кофемашины. На примере кофеварки можно увидеть, как может быть устроено устройство IoT и насколько оно уязвимо для взлома.
• Иван Елкин в блоге QIWI поделился информацией о работе нового сервиса Leak-Search, предназначенного для поиска утечек исходных кодов компаний. В заметка рассказывается об истории проекта и о том, как именно проводится поиск. В статье также затронута этическая сторона вопроса использования сервиса.

Интересные посты англоязычных блогов по ИБ

• Эксперты из компании Cisco изучили базы данных MITRE ATT&CK и рассказали о векторах угроз, на которых сотрудники служб кибербезопасности предприятий должны сосредоточить свои усилия.
• Ana Mezic рассказала о причинах, по которым платформа кибербезопасности, основанная на правилах, всегда терпит неудачу. Это ограничения правил в случае возникновения непредвиденных обстоятельств, трудоёмкий процесс написания правил, наличие ложных срабатываний и человеческий фактор.
• Rhand Leal в своей статье рассуждает о том, как расставить приоритеты в инвестициях в безопасность с помощью количественной оценки рисков. В статье дана информация о том, чем количественная оценка отличается от качественной и как количественно оценить риски.
• Sophos представило руководство для пользователей по выбору поставщика услуг MDR. В нем приведены ключевые вопросы, которые следует задать сервис-провайдеру на этапе выбора.

Исследования и аналитика

• Специалисты Group-IB рассказали о русскоязычной хак-группе OldGremlin, которая игнорирует негласное правило «не работать по РУ» и активно атакует исключительно российские компании — банки, промышленные предприятия, медицинские организации и разработчиков софта.
• Во время пандемии COVID-19 возросло количество кибератак на промышленные предприятия с использованием брутфорс-атак на протокол RDP. Об этом сообщается в отчете «Лаборатории Касперского» за первое полугодие 2020 года. Согласно отчету, рост числа атак на RDP совпадает с ростом числа организаций, начавших использовать RDP во время пандемии COVID-19.
• «Ростелеком-Солар» назвал ключевые уязвимости в ИТ-инфраструктурах госорганизаций и органов власти. Порядка 90% госструктур уязвимы не только для продвинутых кибергруппировок, но и для злоумышленников с низким уровнем квалификации (киберхулиганов). Основные ИБ-проблемы связаны с отсутствием своевременного обновления ПО и базовых средств защиты, а также недостаточной защитой закрытых сегментов сети.
• В Ростелеком-Солар также проанализировали атаки злоумышленников за последние полгода. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT столкнулись с атаками на RDP, новыми оболочками известного ВПО и методами сокрытия Mimikatz.
• По данным отчета WatchGuard о вредоносной активности, за второй квартал 2020 года общее количество выявленных атак на организации с использованием вредоносного ПО сократилось на 8%, число атак с использованием вредоносного ПО, недетектируемого с помощью антивирусных систем, базирующихся на сигнатурах, возросло на 12%. Так, в 7 из 10 кибератак на организации во втором квартале текущего года использовалось вредоносное ПО, способное обходить антивирусы, полагающиеся на сигнатуры.
• По данным IBM Security X-Force за второй квартал 2020 года, количество атак с использованием программ-вымогателей, которые удалось устранить с помощью IBM Security X-Force Incident Response, увеличилось более чем в три раза по сравнению с предыдущим кварталом. На них приходится 32% инцидентов, на которые команда IBM отреагировала в период с апреля по июнь 2020 года.
• Отчет Netwrix о киберугрозах за 2020 год показал, что каждая четвертая организация считает, что она подвержена большему риску, чем до пандемии. Из них 63% сообщили об увеличении частоты кибератак и 60% обнаружили новые бреши в безопасности в результате перехода на удаленную работу. А 85% руководителей по информационной безопасности заявили, что они пожертвовали кибербезопасностью, чтобы быстро обеспечить удаленную работу.
• Microsoft опубликовала отчёт Digital Defense, в котором рассматриваются наиболее важные события и тренды мира кибербезопасности. Состоящий из 88 страниц документ охватывает период с июля 2019 по июнь 2020 года. Microsoft считает, что пандемия COVID-19 оказала минимальное влияние на кибератаки этого года. Хотя корпоративный фишинг продемонстрировал существенный рост.
• Исследователи из компании Bitdefender в своем отчете «10 из 10» подвели итоги опроса 6724 специалистов в области информационной безопасности в крупных организациях по всему миру. Отчет показал пробелы в знаниях о новых угрозах и разрыв между скоростью, с которой компаниям необходимо адаптироваться, и их уровнем кибербезопасности. У 67% ИБ-экспертов подготовлена определенная стратегия на случай возникновения кибервойны, тогда как 22% вовсе не имеют составленного плана действий.
• Считается, что значок замка или пометка «безопасный» в адресной строке сайта говорит о его защищенности, однако, по утверждениям ИБ-экспертов, таким визуальным подсказкам не стоит слепо доверять. Согласно результатам исследования Рабочей группы по борьбе с фишингом (Anti-Phishing Working Group, APWG), во втором квартале 2020 года наблюдался всплеск фишинговых атак, причем 80% фишинговых сайтов использовали SSL-сертификаты.
• Отчет 2021 Tag Cyber Security Annual содержит более 300 страниц о рыночных перспективах и тенденциях отрасли открытых ключей. В отчете приведены мнения специалистов о том, как команды могут справиться со своим криптографическим беспорядком.

Громкие инциденты ИБ

• Исследователь безопасности Ата Хакчил (Ata Hakcil) из WizCase обнаружил незащищенный сервер Elasticsearch, принадлежащий компании Microsoft, который содержал более 6,5 ТБ файлов журналов с 13 млрд записей, полученных из поисковой системы Bing Mobile.
• Предполагаемый исходный код операционной системы Windows XP утек в Сеть. В одной из тем анонимного форума 4chan были опубликованы ссылки на архивы предполагаемого исходного кода Windows XP и исходных кодов других продуктов Microsoft.
• Компьютерная система американской компании Universal Health Services, насчитывающей более 400 медицинских учреждений, стала объектом нападения хакеров, требующих выкупа.
• Системы тринадцати ведомств американского штата Вашингтон понесли урон в результате кибератаки, длившейся более недели. Неизвестные хакеры заразили вредоносным вирусом системы ряда департаментов, в том числе исправительных учреждений, лесных парков и отдыха, рыбных ресурсов и угодий.
• ИТ-системы часовой компании Swatch подверглись «развивающейся» атаке, что, скорее всего, означает заражение шифровальщиком-вымогателем. Аналогичные атаки за последние несколько недель постигли сразу несколько крупных компаний во всем мире.
• В Вологодской области хакеры атаковали сайты образовательных организаций и электронный журнал. Об этом сообщил официальный сайт департамента образования области. С 21 сентября некоторые интернет-ресурсы оказались недоступны из-за DDoS.
• Армянские хакеры опубликовали информацию из базы данных ВМФ Азербайджана. В открытый доступ попали данные о командирах кораблей, моряках, инженерах и других лицах, связанных с морскими подразделениями Азербайджана.

Полезные ресурсы

• DevSecOps Talks – сообщество профессионалов, объединяющее всех специалистов «триады» – разработка, безопасность и эксплуатация. Здесь делятся новостями рынка, интересными технологиями, аналитикой и лучшими практиками!