Дайджест информационной безопасности №206 за период с 15 по 26 февраля 2021

Новости законодательства

• Федеральная служба по техническому и экспортному контролю опубликовала обновленный Методический документ «Методика оценки угроз безопасности информации». Комментарии в блоге Сергея Борисова.
• В первом чтении Госдумой принят законопроект, устанавливающий возможность для граждан подтверждать личность с помощью уникального идентификатора субъекта персональных данных.

Новости ИБ

• Разработчики OpenSSL выпустили исправления для трех уязвимостей в своем проекте, эксплуатация, двух из которых позволяет осуществлять атаки типа «отказ в обслуживании» (DoS).
• В ноутбуках Mac был обнаружен вирус, который получил название Silver Sparrow. В отличие от многих других видов вредоносного ПО, пока до конца неясно, как именно он действует и какие проблемы способен вызвать, что делает его по-настоящему загадочным.
• Недавно обнаруженная фишинговая кампания отметилась интересным подходом к краже учётных данных жертвы: злоумышленники используют API популярного мессенджера Telegram для создания вредоносных доменов. Последние помогают преступникам обойти защитные механизмы вроде антиспам-шлюза (secure email gateway, SEG).
• Специалисты компании Cisco Talos обнаружили новую вредоносную кампанию, в ходе которой троян Masslogger похищает учетные данные браузеров на базе Chromium (Chrome, Chromium, Edge, Opera, Brave), Microsoft Outlook и программ обмена мгновенными сообщениями.
• Новая фишинговая кампания изменяет символы, используемые в префиксе, который идет перед URL-адресом, они используют http:/\ в префиксе URL. Поскольку двоеточие и две косые черты всегда использовались в стандартном формате URL, большинство браузеров автоматически игнорируют этот фактор.
• Российские ученые сделали два открытия, которые окажут значительное влияние на рынок квантовых коммуникаций. Первое достижение – новый алгоритм синхронизации информации, основанный на полярных кодах, который более устойчив к шумам окружающей среды. Второе достижение – уменьшение части генерируемых квантами закрытых ключей, потребляемой в процессе аутентификации во время классической постобработки.

Интересные посты русскоязычных блогов по ИБ

• 17 февраля, в рамках конференции «Кибербезопасность. Наши дни. Промышленные технологии» прошел телемост «Москва-Урал» с участием Виталия Сергеевича Лютикова, заместителя директора ФСТЭК, который отвечал на вопросы, полученные от отрасли. Алексей Лукацкий вел этот телемост на стороне Урала и составил краткое резюме по прозвучавшим ответам.
• Если раньше организовать безопасное взаимодействие с системой ГосСОПКА можно было только с помощью сети ViPNet, то сегодня перечень технических решений расширился. Руководитель направления ГОСТ VPN Ростелеком-Солар рассказал о том, чем можно заменить ViPNet и какая альтернатива есть у собственной защищённой сети.
• Если в компании активно используется домен Windows, рано или поздно встанет задача повысить безопасность используемых паролей. Кроме тривиальной групповой парольной политики других штатных средств нет. Пользователь Хабра merced2001 попытался построить процесс, который не займет больше нескольких часов и поможет увеличить стойкость паролей в компании.
• Владимир Орлов поделился с читателями Хабра своим примером поддержки токенов PKCS#11 с ГОСТ-криптографией в Python. Автор также обещал выпустить продолжение своего исследования во 2-ой части.
• Сегодня тема обеспечения кибербезопасности российской экономики и банкинга становится более чем просто актуальной. Директор Научно-Производственного Центра АО «НППКТ» Игорь Морозов поделился с экспертным мнением, что означает для банков кибербезопасность сегодня.

Интересные посты англоязычных блогов по ИБ

• Andrew Snyder рассказал об основных правилах безопасности в сфере банковских и финансовых технологий на 2021 год. Упоминаются директива о платежных услугах 2 (PSD2), закон штата Калифорния о конфиденциальности потребителей (CCPA), закон Грэмма-Лича-Блайли (GLB) и другие документы.
• В блоге Checkpoint рассказывали об изменении кибер-стратегий на 2021 год и на последующий период. В основе новой стратегии лежат три основных принципа противодействия кибератакам: Garmony (защита пользователя и доступов), CloudGuard (защита облачных сервисов), Quantum (сетевая безопасность и защита периметра). В основе решений унифицированная консоль управления и анализа угроз Infinity Vision.
• Эксперты Galvanize подняли вопрос о том, на чем следует фокусироваться — на соблюдении требований или возможных рисках, и объяснили почему так важен выбор правильного подхода. Основные советы, которые дают авторы: создать руководящий комитет, уравновешивать свои цели между желательными и достижимыми, сосредоточиться на критически важных системах и активах данных; оценивать продукты GRC, экстраполировать информацию о рисках на другие области безопасности, продвигать такой подход к своим клиентам и партнерам.
• Shane Cooper поделился 5 вещами, которые следует знать провайдеру MSP, прежде чем переходить на технологию EDR (Endpoint Detection and Response). Автор утверждает, что все инструменты безопасности с агентом конечной точки – это, в основном, EDR, а реагирование является основным процессом, объясняет почему EDR так популярен, а также что делать с информацией EDR и как планировать основные шаги по внедрению EDR на MSP.

Исследования и аналитика

• Лаборатория Касперского представила обзор DDoS-атак в IV квартале 2020 года. Число атак выросло в годовом выражении на 10%. В целом события четвертого квартала держались в рамках трендов 2020 года. Злоумышленники использовали имена известных APT-групп для запугивания жертв, требовали выкуп в криптовалюте и устраивали демонстрационные атаки, подкрепляющие их угрозы. Активность вымогателей регулярно попадала в новости в течение всего 2020 года.
• Команда исследователей Check Point Research опубликовала отчет Global Threat Index с самыми активными угрозами в январе 2021 года. Исследователи сообщили, что несмотря на международную операцию полиции, взявшую под контроль ботнет 27 января, Emotet остается на первом месте в списке вредоносных программ второй месяц подряд, затрагивая 6% организаций по всему миру.
• WhiteHat Security опубликовала AppSec Stats Flash Volume 2, который обеспечивает более точное представление о текущем состоянии безопасности приложений, в том числе и мобильных. Исследования показали, что не менее 50 % приложений в таких отраслях, как производство, общественные услуги, здравоохранение, розничная торговля, образование и коммунальные услуги, уязвимы из-за одной или нескольких серьезных уязвимостей, которыми можно воспользоваться.
• Команда Splunk Threat Research в первый месяц 2021 года выпустила 29 новых детекций и четыре новых аналитических истории. Компания продолжает расширять свои обнаружения для облачных приложений, добавляя в этом месяце новые обнаружения Office 365 и AWS Cloudtrail.
• Recorded Future представила отчет о тенденциях вредоносного ПО в 4 квартале 2020 года: год, отмеченный программами-вымогателями и утечками данных, завершился сложной атакой SolarWinds.
• Отчет Redscan, поставщика управляемых услуг безопасности, показал, что в прошлом году сообщалось о 18 103 уязвимостях, при этом большинство классифицируются как высокие или критические. Фактически, количество серьезных и критических ошибок, обнаруженных в 2020 году, превысило общее количество уязвимостей, обнаруженных в 2010 году.
• Специалисты в области кибербезопасности обнаружили новый метод атаки, позволяющий злоумышленникам обмануть POS-терминал для оплаты и заставить его думать, что бесконтактная карта Mastercard на самом деле является картой Visa. По словам экспертов, с помощью этого вектора можно обойти защиту ПИН-кодом.
• Экспертно-аналитический центр группы компаний InfoWatch провел исследование утечек информации, зарегистрированных в органах власти, государственных организациях и коммерческих компаниях Республики Беларусь в 2019-2020 гг. В 2020 году число сливов конфиденциальной информации в Белоруссии увеличилось на 44% в сравнении с 2019 годом. За эти два года экспертно-аналитический центр зарегистрировал 22 таких случая.
• Dr.Web опубликовал обзор вирусной активности в январе 2021 года. В январе анализ данных статистики Dr.Web показал увеличение общего числа обнаруженных угроз на 4.92% по сравнению с декабрем. Количество уникальных угроз также выросло — на 13.11%. По общему количеству детектирований продолжают лидировать рекламные программы и вредоносные расширения для браузеров.
• Еще один обзор Dr.Web посвящен вирусной активности для мобильных устройств в январе 2021 года. В январе антивирусные продукты Dr.Web для Android зафиксировали на защищаемых устройствах на 11,32% меньше угроз по сравнению с декабрем прошлого года. Число обнаруженных вредоносных приложений снизилось на 11,5%, а рекламных ― на 15,93%.

Громкие инциденты ИБ

• Некоммерческая организация RIPE NCC, управляющая и назначающая адреса IPv4 и IPv6 для Европы, Среднего Востока и некоторых стран Центральной Азии, рассказала об атаке с подстановкой учетных данных (credential stuffing) на SSO-сервис RIPE NCC Access.
• У американского подразделения Kia Motors возникли серьезные проблемы в работе из-за атаки шифровальщика. Массовый сбой затронул мобильные приложения UVO Link, телефонные сервисы, платежные системы, портал для владельцев авто, а также внутренние сайты, используемые дилерскими центрами.
• Базы данных с личной и медицинской информацией почти 500 тысяч пациентов клиник выложили в открытый доступ хакеры во Франции.
• Сервис онлайн-диалогов Clubhouse зафиксировал хакерскую атаку на минувших выходных. Диалоги некоторых пользователей «утекли» на сторонний сайт. Clubhouse заверил, что хакер был найден и заблокирован.
• Компания по стандартизации и сертификации в области техники безопасности Underwriters Laboratories подверглась атаке программы-вымогателя, которая зашифровала устройства в ее центре обработки данных.
• Компьютерная инфраструктура грузинского МВД подверглась кибератаке из зарубежных стран, однако специалисты сумели ее остановить. Об этом говорится в опубликованном во вторник заявлении ведомства.