Дайджест информационной безопасности №201 за период с 30 ноября по 11 декабря 2020

Новости законодательства

• Министерство цифрового развития, связи и массовых коммуникаций РФ проанализировало около 100 различных заявлений от производителей ПО и сформировало список отечественных программ, рекомендованных к предустановке на новые мобильные устройства.

Новости ИБ

• В конце ноября компания VMware сообщила о 0-day уязвимости CVE-2020-4006 в своей продукции, обнаруженной специалистами АНБ. Сначала специалисты компании рассказали о временных способах защиты от бага, а в конце прошлой недели наконец выпустили исправления.
• В JavaScript-менеджере пакетов npm (Node Package Manager) обнаружили очередную малварь. На этот раз разработчики, установившие пакеты jdb.js и db-json.js оказались заражены трояном удаленного доступа njRAT. Оба пакета были удалены из npm в начале текущей недели.
• Викрам Фатак, проработавший 11 лет в NSS Labs, открыл организацию CyberRatings.org в Остине, штат Техас, которая будет составлять рейтинги, отчеты и анализировать продукты и услуги безопасности. Первым выпуском новой организации будут рейтинги продуктов, основанные на новых и неопубликованных данных тестирования NSS Labs.
• Правительство Казахстана обязало жителей столицы Нур-Султан, а также приезжих устанавливать на мобильные устройства сертификат безопасности. Официально это объясняют «учениями по кибербезопасности». Однако после установки сертификата правительство получает возможность перехватывать весь HTTPS-трафик посредством атаки посредника (Man-in-the-Middle).
• Компания Google обновила десктопную версию Chrome, закрыв восемь уязвимостей. Четыре из них оценены как очень опасные. Апдейт 87.0.4280.88 уже раздается на Windows, macOS и Linux в автоматическом режиме.
• В Microsoft Teams обнаружена червеобразная RCE-уязвимость. Результатом эксплуатации проблемы является полная потеря конфиденциальности и целостности для конечных пользователей.
• Тринадцать стран Европы, в том числе Германия, Франция и Испания, объединили усилия с целью инвестирования в производство процессоров и полупроводников. Государства намерены развивать свои технологии в области полупроводников, в том числе технологии, являющиеся ключевыми для производства взаимосвязанных устройств и обработки данных, чтобы конкурировать с США и азиатскими странами.

Интересные посты русскоязычных блогов по ИБ

• 1 октября вступило в силу Положение ЦБ РФ № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Аналитики компании «Инфосистемы Джет» поделились своим видением подходов к выполнению требований регулятора и подготовили краткую инструкцию, которая поможет разобраться в управлении операционным риском в целом и рисками для информационной безопасности (ИБ) и информационных систем (ИС) в частности.
• Через день после проведения SOC-Forum Live в США состоялось еще одно онлайн-мероприятие, целиком посвященное теме SOC — SOCstock. Алексей Лукацкий опубликовал краткий обзор мероприятия. Если на SOC-Forum Live больше говорилось об аутсорсинговых услугах SOC, различных кейсах при расследовании, взаимодействии с ГосСОПКОЙ, работе с заказчиками, то на SOCstock шла речь об автоматизации, персонале, выгорании, threat hunting’е, threat intelligence, зрелости SOCов.
• Андрей Прозоров сравнил европейский подход (GDPR и ePrivacy) с подходом российского РКН (152-ФЗ). Автор привел полный текст выступления Контемирова Юрия Евгеньевича, начальника Управления по защите прав субъектов ПДн, из записи публичного семинара для операторов персональных данных от Роскомнадзора, который прошел 26 ноября 2020.
• 23 ноября 2020 на общественное обсуждение был выложен проект приказа ФСБ России «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации». Сергей Борисов поделился своими комментариями к документу.
• Валерий Комаров подготовил обзор конференции «Кибербезопасность цифрового предприятия», прошедшей в рамках Форума All-over-IP 04.12.2020. Организаторам удалось второй раз собрать интересный состав докладчиков по КИИ. Автор привел доклады различных субъектов КИИ и ФСТЭК, а также отметил наглядную демонстрацию двух полюсов отношения к 187-ФЗ в стране.

Интересные посты англоязычных блогов по ИБ

• Paul German в своей статье затронул тему поиска угроз. Автор рассказал, почему пассивный подход может быть слишком опасным и почему охота за угрозами работает на практике.
• Matthew Jerzewski в своей статье пишет, что для устранения и контроля уязвимостей безопасности, которые могут привести к взлому, организации должны держать политику управления уязвимостями в актуальном состоянии. Он перечислил четыре пункта, которые должна включать хорошая политика управления уязвимостями.
• Nathan King рассказал об опасностях зависимости оценки уязвимостей безопасности. Автор затронул тему стандарта CVSS (общая система оценки уязвимостей) и объяснил разницу между уязвимостями и недостатками.
• Согласно данным недавнего отчета, только 60% офисных работников во всем мире считают, что их компания устойчива к кибератакам. Почти каждый четвертый (23%) признается, что не знает наверняка, в то время как почти каждый пятый (18%) категорически считает, что это не так. Justine Kurtz прокомментировала основные выводы отчета.

Исследования и аналитика

• По статистике «Ростелекома», представленной в ходе SOC-Форума, за 2020 год центр мониторинга и реагирования на кибератаки Solar JSOC зафиксировал более 200 хакерских атак со стороны профессиональных кибергруппировок, включая массовые попытки воздействия на целые отрасли и сектора экономики.
• Эксперты компании «Ростелеком-Солар» провели исследование защищенности популярных пользовательских приложений с открытым исходным кодом для ПК. Анализ 10-ти open-source программ продемонстрировал, что ряд обнаруженных уязвимостей в случае успешной эксплуатации злоумышленниками открывают доступ ко всем данным пользователей, которые хранятся на компьютерах в незашифрованном виде. При этом абсолютное большинство людей не шифруют свои данные на ПК.
• Лаборатория Касперского отслеживает деятельность более чем 900 APT-групп и в отчете «Обзор активности APT-групп в 2020 году» постарались осветить наиболее интересные тенденции и события за последние 12 месяцев (отчеты за I, II и III кварталы 2020 года). Эксперты отметили, что ни один разработчик защитных решений не может полностью охватить в своих расследованиях действия всех злоумышленников.
• Компания ESET рассказала об обнаружении нового вредоносного ПО Crutch, авторство которого приписывают хак-группе Turla. Crutch способен обходить некоторые уровни защиты, злоупотребляя законной инфраструктурой (в данном случае — Dropbox), чтобы влиться в обычный сетевой трафик, при этом похищая документы и получая команды от своих операторов.
• Группа ученых из Университета Карнеги-Меллона провела исследование 100 тыс. лучших по версии рейтинга Alexa Top web-сайтов с целью узнать сколько из них работают только с одним DNS-провайдером. Результаты исследования показали, что в 2020 году 89,2% от всех web-сайтов используют стороннего DNS-провайдера, а не управляют собственным DNS-сервером.
• Исследователи из компании Prevasio изучили 4 000 000 общедоступных образов Docker, размещенных на Docker Hub, и обнаружили, что более половины из них имеют критические уязвимости, а несколько тысяч образов содержат вредоносные или потенциально опасные элементы.
• Уязвимости в программном обеспечении с открытым исходным кодом могут оставаться незамеченными в течение более четырех лет, прежде чем будут обнаружены. Согласно ежегодному отчету GitHub State of the Octoverse, использование проектов, компонентов и библиотек с открытым исходным кодом стало более распространенным, чем когда-либо.
• Check Point Research сообщили, что в ноябре количество фишинговых писем, написанных от лица служб доставки выросло на 440% по сравнению с октябрем. Наиболее резкий рост был отмечен в Европе, на втором и третьем местах по числу фишинговых кампаний оказались Северная Америка и Азиатско-Тихоокеанский регион. Чаще всего (в 56% случав) мошенники рассылали письма от лица DHL.
• Компания ESET опубликовала отчет «Тенденции кибербезопасности 2021: безопасность в нестабильные времена». В отчете отмечается неизгладимый след, который пандемия оставила на бесчисленных киберрисках. Среди основных тенденций названы рост угрозы программ-вымогателей и эволюция Интернета вещей.
• Рабочая группа по борьбе с фишингом APWG опубликовала отчет о тенденциях фишинговой активности за третий квартал 2020 года. В отчет включены более двухсот тысяч уникальных фишинговых веб-сайтов, обнаруженных в августе и сентябре. Согласно отчету, SSL-шифрование для фишинговых сайтов опережает развертывание SSL для обычных веб-сайтов, а на 10% увеличилось число атак BEC, исходящих из бесплатных учетных записей веб-почты.
• Специалисты Сybernews проанализировали 15 миллиардов паролей, фигурировавших в тех или иных утечках. Согласно отчёту, только 2 миллиарда изученных паролей оказались уникальными. Большинство используют менее восьми символов, при этом сами пароли не только очень короткие, но и достаточно легко угадываются.
• По данным компании McAfee, потери от киберпреступности стоят мировой экономике более $1 триллиона, что составляет приблизительно 1% глобального ВВП. В сравнении с показателями 2018 года эта цифра увеличилась более чем на 50%. Аналитики отметили, что подавляющее большинство компаний (92%), повстречавшись с киберпреступниками, потеряли не только денежные средства. Также отмечается постоянный рост частоты и мощности кибератак.
• По данным отчета WebRoot «COVID-19 Clicks: как фишинг заработал на глобальном кризисе», 3 из 10 сотрудников во всем мире переходили по фишинговым ссылкам в прошлом году. В США это 1 из 3. В отчете приведены советы, как предприятиям и частным лицам оставаться устойчивыми к фишинговым атакам.
• Компания Forescout обнаружила в интернет-протоколах с открытым исходным кодом 33 уязвимости, делающие миллионы встраиваемых устройств открытыми для кибератак, в том числе для перехвата информации, отказа в обслуживании и захвата полного контроля. В перечень затронутых устройств входят смарт-датчики «умного» дома, в том числе для управления освещением, сканеры штрих-кодов, промышленное сетевое оборудование и даже АСУ ТП.

Громкие инциденты ИБ

• Хакер выставил на продажу аккаунты Microsoft и Office 365 сотен руководителей компаний со всего мира. В списке присутствуют генеральные директора, операционные, финансовые и технические директора, вице-президенты и бухгалтеры компаний в США, Великобритании и других странах.
• Киберпреступная группировка BlackShadow осуществила крупную кибератаку на израильскую страховую компанию Shirbit. Злоумышленники получили доступ к информации о многих государственных служащих.
• Утечка информации более чем 243 миллионов жителей Бразилии, включая живых и умерших, произошла из-за пароля к базе данных в исходном коде Минздрава страны. Веб-разработчики забыли убрать пароль из кода, любой желающий мог увидеть его в течение полугода.
• Неизвестные нарушили работу сети постаматов PickPoint. Из-за атаки многие постаматы открыли двери ячеек, и хранившиеся в них отправления оказались доступны любому желающему. Многочисленные фотографии этого «явления» тут же стали массово появляться в социальных сетях.
• Хакерская группировка из Ирана опубликовала видео, демонстрирующее процесс компрометации автоматизированной системы управления объекта водоснабжения в Израиле.
• Бразильский авиастроительный конгломерат Embraer, один из лидеров мирового рынка в данной области, пострадал от хакерской атаки. Согласно официальному заявлению компании, опубликованному на этой неделе, атака привела к потенциальной утечке данных.
• Сотрудники правоохранительных органов Италии арестовали двух подозреваемых в похищении конфиденциальных данных у крупного итальянского машиностроительного холдинга Leonardo с помощью вредоносного ПО.
• Мексиканское подразделение Foxconn стало жертвой вымогателей. Производитель электроники пострадал от шифровальщика DoppelPaymer, и теперь хакеры требуют у компании 34 000 000 долларов выкупа.
• Персональные данные 300 000 москвичей, переболевших COVID-19, попали в открытый доступ. Масштабная утечка произошла из-за человеческого фактора, сообщили власти Москвы.
• Производитель вертолетов Kopter стал жертвой кибератаки с использованием вымогательского ПО LockBit, в результате которой хакеры взломали его внутреннюю сеть и зашифровали файлы компании.