Дайджест информационной безопасности №216 за период с 12 по 23 июля 2021

Новости законодательства 

• Федеральная служба по техническому и экспортному контролю опубликовала Информационное сообщение об утверждении требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах от 23 июня 2021 г.

Новости ИБ 

• Сайты хакерской группировки REvil, ответственной за ряд недавних масштабных кибератак, были отключены. Эксперты не исключают, что причиной могла стать операция американских спецслужб.
• Четыре из пяти объектов электроэнергетики могут быть уязвимы для кибератак из-за рубежа, считают представители Национальной технологической инициативы. Дело в том, что более 80% отечественных производителей вторичного оборудования для электроэнергетики используют иностранную электронную компонентную базу и 40% разработчиков — зарубежное программное обеспечение.
• Лаборатория Касперского обнаружила редкую по своим масштабам кибершпионскую кампанию LuminousMoth в Юго-Восточной Азии. Эксперты рассказывают, что, в отличие от большинства традиционных сложных целевых атак, в данном случае список жертв не ограничивается десятками организаций.  Так, среди жертв — около ста организаций в Мьянме и 1400 на Филиппинах, в том числе государственные органы.
• Россия вошла в число стран, наиболее пострадавших от вируса, который распространяется через рекламу с использованием сервисов коротких ссылок. Они удобны для мошенников тем, что при блокировке генерируют новые ссылки.
• Израильская компания NSO Group создала программу Pegasus, которая позволяет тайно и удалённо собирать данные с чужих телефонов. По словам компании, программа нужна для борьбы с преступностью. Целями слежки, по данным мировых изданий, стали 50 000 телефонных номеров в разных странах.
• Microsoft согласилась купить компанию RiskIQ, расположенную в Сан-Франциско и занимающуюся разработкой программ в сфере безопасности. Один из источников сообщает, что Microsoft купит RiskIQ за $500 млн.
• Cостоялись очередные учения по устойчивости Рунета, в этот раз проверялась возможность работы в условиях физического отключения российского сегмента от глобальной Сети. По предварительным данным, учения прошли успешно. Окончательные итоги будут подведены через месяц.

Интересные посты русскоязычных блогов по ИБ 

• Эксперты Ситимобил поделились своими мыслями о безопасности мобильных приложений и дали советы по базовым и продвинутым методикам защиты.
• Алексей Комаров в продолжении сводной таблицы с мерами из приказов ФСТЭК России прошелся по каждой из мер более предметно и расписал варианты их реализации на практике, в том числе с применением конкретных технических средств защиты, информация об увязке с мерами которых была доступна автору.
• Эксперт rivitna посвятил статью анализу вредоносных программ. Автор поделился интересными трюками и оригинальными идеями, выявленными при анализе вредоносных программ, а также и про подходы, которые использовались при анализе.
• В блоге Selectel автор попытался разобраться чего хотят брутфорсеры кроме  наживы на бесплатных вычислительных ресурсах и полученных чувствительных данных. Автор предложил разложить виртуальные «приманки» и проследить, что происходит, когда автоматический брутфорс оказывается успешным.

Интересные посты англоязычных блогов по ИБ  

• В эпоху сбора данных и ухудшения условий конфиденциальности наши адреса, номера телефонов, возраст, даже информация о членах семьи, публикуются на сайтах брокеров данных в Интернете. То, что когда-то было доступно только людям в больших городах, теперь доступно каждому в любой точке мира. Emma McGowan предложила посмотреть на последствия этого.
• Статья от Sue Poremba посвящена дипфейкам, которые представляют собой не только проблему для сетей и данных, но также могут иметь катастрофические последствия. ФБР предупреждает, что синтетический контент будет все чаще использоваться криминальными кибер-субъектами для целевого фишинга и социальной инженерии.
• Команда ShiftLeft поделилась статьей о том, как предотвратить атаки на цепочку поставок за счет защиты DevOps. Авторы привели лучшие практики для обеспечения безопасности цепочки поставок программного обеспечения.
• Ameya Talwalkar выделил 7 основных критериев выбора решений для автоматизированной защиты от ботов и рассказал, как обеспечить долгосрочную защиту от современных автоматических атак.

Исследования и аналитика 

• В новом отчете Sophos The State of Ransomware in Education 2021 раскрываются масштабы и влияние атак программ-вымогателей на сектор образования во всем мире в течение 2020 года.
• Команда исследователей в области кибербезопасности PRODAFT Threat Intelligence рассказала о банковском трояне Toddler для мобильных устройств под управлением Android, также известном как TeaBot/Anatsa. Операторы Toddler использовали вредонос для осуществления атак на клиентов 60 европейских банков в Испании, Германии, Швейцарии и Нидерландах.
• Согласно отчету Positive Technologies, все больше киберпреступников разрабатывают вредоносные программы для атак на виртуализированные среды, а некоторые из них активно пытаются использовать уязвимости, уже обнаруженные в ПО для развертывания виртуальной инфраструктуры. В целом, согласно отчету, количество кибератак увеличилось на 17% в 2021 году по сравнению с первым кварталом 2020 года, при этом 77% были целевыми атаками.
• Новый отчет ESG показал, что почти половина всех предупреждений о кибербезопасности являются ложными срабатываниями, и 75% компаний тратят на них столько же или больше времени, чем на фактические атаки. Кроме того, в отчете было обнаружено, что 46% простоев приложений вызваны ложными срабатываниями.
• Специалисты компаний Atlas VPN и CyRC проанализировали безопасность компонентов программного обеспечения с открытым исходным кодом среди 3335 бесплатных и платных мобильных приложений в магазине Google Play Store. По состоянию на 1 квартал 2021 года, 63% Android-приложений содержали уязвимости, при этом среднее количество проблем в каждом приложении составляет 39 уязвимостей.
• В период с апреля по июнь активисты из Spamhaus внесли в базу данных о ботнетах 1462 IP-адреса новых C2-серверов - на 12% меньше, чем в I квартале. Эти изменения отчасти связаны с уходом со сцены крупнейшего ботнета-спамера Emotet: в январе совместными усилиями восьми стран его командная инфраструктура была уничтожена, и весной началась очистка зараженных компьютеров от инфекции.
• Компания «Ростелеком-Солар» представила результаты исследования «Особенности защиты информации в финансовом секторе». Результаты опросов, проведенных среди специалистов по информационной безопасности финансовых организаций, показали: самый крупный ущерб в размере свыше 100 млн руб. был зафиксирован в двух региональных российских банках, не использующих системы защиты от утечек.
• Эксперты InfoWatch представили отчёт об утечках информации, зафиксированных в 2020 году. Аналитики отметили рост количества умышленных утечек, персональных данных и коммерческой тайны, увеличение доли сетевого канала и снижение роли бумажных документов.
• Количество кибератак на критическую инфраструктуру в России увеличилось почти в 2,5 раза, зафиксировали аналитики по итогам первого полугодия 2021-го в сравнении с тем же периодом 2020-го. Об этом сказано в исследовании, которое провели специалисты Научно-технического центра ГРЧЦ. Речь об атаках на объекты промышленности, госорганы, исследовательские компании.

Громкие инциденты ИБ 

• Неизвестный хакер похитил идентификационные данные нескольких человек, которые стали жертвами обрушения многоквартирного дома в американском городе Серфсайд в штате Флорида.
• ФБР и CISA заявили, что китайские «правительственные хакеры» взломали по меньшей мере 13 операторов трубопроводов нефти и природного газа в период с 2011 по 2013 год.
• Крупнейшая компания мира по показателю суточной добычи нефти Saudi Aramco пострадала от атаки хакеров, похитивших 1 ТБ конфиденциальных сведений. Данные выставили на продажу в даркнете за криптовалюту Monero.
• Автоматы самообслуживания по продаже проездных билетов, установленные на станциях государственного железнодорожного перевозчика Northern в Англии, предположительно подверглись кибератаке с применением вирусов-вымогателей.
• Хакерская атака в одном из округов федеральной земли Саксония-Анхальт в ФРГ стала причиной для объявления чрезвычайной ситуации, это первый подобный случай в ФРГ.
• Казахстанская служба реагирования на компьютерные инциденты KZ-CERT обнаружила в Telegram файл с 744 тыс. записей о персональных данных пользователей мессенджера. Из них более 30 тыс. аккаунтов зарегистрированы на казахстанские телефонные номера. Предположительно все они пользовались сервисом для поиска информации о гражданах «Глаз Бога».
• Компьютерные системы Счетной палаты Республики Молдова подверглись кибератаке, в результате которой были уничтожены общедоступные базы данных и отчеты ведомства.
• Неизвестные хакеры совершили DDoS-атаки на официальные сайты президента и Службы безопасности Украины, их нейтрализовали силы киберзащиты Государственной службы специальной связи и защиты информации.