Дайджест информационной безопасности №230 за период с 7 по 18 февраля 2022

Новости ИБ   

• Минцифры запустило отраслевой центр кибербезопасности, в задачи которого входит защита государственных информационных систем от хакерских атак. Его отличительной особенностью стал широкий функционал — помимо собственно защиты, центр займется и атрибуцией — поиском инициаторов атак и установлением их причастности к тем или иным хакерским группировкам.
• В Генпрокуратуре создан специальный отдел по надзору за исполнением законодательства законов в сфере информационных технологий и защиты информации. В его обязанности, в том числе, входит контроль за реализацией национальной программы «Цифровая экономика» и других крупных госпроектов, предполагающих внедрение и использование информационных систем.
• Ассоциация банков России  раскритиковали законопроект ЦБ по борьбе с мошенниками. Предложенные регулятором поправки по противодействию подозрительным переводам вызовут недовольство клиентов при ошибочном применении к гражданам и не полностью реализуемы.
• Число взломов аккаунтов пользователей Google снизилось на 50% с момента включения двухфакторной аутентификации (2SV) по умолчанию для 150 млн пользователей. На этом фоне компания заявила, что будет автоматически регистрировать больше пользователей в 2SV, чтобы число краж аккаунтов продолжило снижаться.
• На форуме издания Bleeping Computer были опубликованы мастер-ключи для дешифрования данных, пострадавших в результате атак вымогателей Maze, Egregor и Sekhmet. Вероятно, ключи предоставил один из разработчиков малвари.
• Специалисты Wordfence обнаружили 3 критических уязвимости в плагине PHPEverywhere, который помогает администраторам сайтов на WordPress внедрять PHP-код на страницы, посты, боковую панель или любой блок Gutenberg. Данный плагин применяют 30 тысяч сайтов, а найденные ошибки эксперты оценили в 9,9 баллов из 10 возможных по шкале уязвимостей CVSS.
• Тегеранская ИБ-компания Amnpardaz Software обнаружила таинственный вредоносный код на сервере одного из клиентов, производства американской компании Hewlett Packard Enterprise. Устройство работало нормально, пока в один момент не начало удалять свои жесткие диски.
• Совет по стандартам безопасности PCI (PCI SSC) и Национальный альянс кибербезопасности выпустили совместный бюллетень о растущей угрозе атак программ-вымогателей.
• Студенты Новочеркасского политехнического института отбили кибератаку на производственный комплекс в рамках Всероссийских киберучений. В число тех, кто не допустил утечки производственной информации вошли две команды кафедры информационной безопасности ЮРГПУ (НПИ). Вместе с политехниками хакерам противостояли еще пять команд из разных уголков страны.

Интересные посты русскоязычных блогов по ИБ  

• Автор блога Wunder Fund поделился опытом написания перехватчиков ASAN, которые позволяют «ловить» баги в кастомных пулах памяти и о том, как перехватывать системные вызовы, нацеленные на файловую систему, что позволяет выявлять логические ошибки в исследуемом приложении.
• Эксперты Ростелеком-Солар поделились интересными кейсами, выявленными при подключении сервисов ИБ в различных организациях.
• Одной из самых известных уязвимостей считается Docker Escape. Данная уязвимость позволяет получить доступ к основной операционной системе, тем самым совершая побег из контейнера Docker. Несмотря на то, что с момента ее выявления уже прошло более двух лет, её всё ещё можно реализовать. Эксперты FirstVDS предоставили описание и шаги, необходимые для воспроизведения данной уязвимости.

Интересные посты англоязычных блогов по ИБ  

• Devan Willemburg представил ретроспективу уязвимости Log4Shell и подвел итоги того, как все закончилось. Автор сделал выводы о том, какие стратегии сработали перед лицом одной из самых заметных уязвимостей последнего десятилетия.
• Cameron Camp прокомментировал законопроект об алгоритмической ответственности, который возлагает на технологическую отрасль ответственность за жизненно важные решения, принятые автоматизированными системами ИИ.
• Антон Чувакин привел свои выводы в статье на тему: «Кто и что делает при обнаружении облачных угроз?», касающейся взаимосвязи модели совместной ответственности в облаке с обнаружением облачных угроз.

Исследования и аналитика  

• Согласно отчету ESET Threat Report T3 2021, уязвимость ProxyLogon была вторым наиболее частым вектором внешних атак в статистике ESET за 2021 год сразу после атак с подбором пароля. Серверы Microsoft Exchange снова попали в осаду в августе 2021 года из-за ProxyShell. В отчете также содержатся комментарии к тенденциям, наблюдаемым в течение года, а также прогнозы на 2022 год, сделанные исследователями и специалистами по обнаружению вредоносных программ ESET.
• Veracode опубликовал 12-й ежегодный отчет о состоянии безопасности ПО  State of Software Security v12, в которомиспользовались полные исторические данные от служб и клиентов Veracode. Выяснилось, что количество приложений, протестированных за квартал, увеличилось более чем в три раза,организации сканируют более чем в три раза больше приложений, сканируемых за квартал десять лет назад, а за последние четыре года организации сократили использование многоязычных приложений с 20% до менее чем 5%.
• ESET выпустила отраслевой отчет о розничной торговле: новые угрозы для данных и платежей. Как показывает отчет, пандемия уже оказала огромное влияние на этот сектор. То, насколько хорошо ритейлеры смогут справиться с ростом онлайн-угроз, может определить их долгосрочный успех в постпандемическом мире.
• Компания (ISC)² выпустила отчет Cybersecurity Workforce Study 2021. По итогам исследования выяснилось, что моральный дух большинства специалистов по кибербезопасности остается высоким, несмотря на факторы стресса, вызванные пандемией. 29% респондентов сообщили, что личный моральный дух выше среднего, а еще 26% заявили, что он на высоком уровне.
• В блоге Malwarebytes представлен обзор последней кампании Patchwork APT. Несмотря на то, что они продолжают использовать те же приманки и RAT, группа проявила интерес к новому виду цели – первые Patchwork нацелен на исследователей молекулярной медицины и биологических наук.
• Google представила итоги программы вознаграждения за уязвимости в 2021 году. В прошлом году компания выделила рекордные 8 700 000 долларов США в качестве вознаграждения за уязвимости, при этом исследователи пожертвовали более 300 000 долларов своего вознаграждения на благотворительность по своему выбору.
• Согласно недавнему опросу Anchore, в 2021 году более трех из пяти компаний стали жертвами атак на цепочки поставок программного обеспечения. Опрос 428 руководителей, директоров и менеджеров в области ИТ, безопасности, разработки и DevOps показал, что почти 30% компаний респондентов  подверглись значительному или умеренному воздействию атаки на цепочку поставок программного обеспечения в прошлом году.
• Специалисты Google Project Zero выложили отчет, согласно которому, в прошлом году организациям требовалось меньше времени для устранения 0-day уязвимостей, обнаруженных экспертами. В среднем на исправление багов у компаний уходило 52 дня, тогда как еще три года назад им требовалось в среднем 80 дней.
• По данным Proofpoint, хакерская группировка TA2541 из Нигерии годами атакует авиационную отрасль по всему миру. Ее деятельность была зафиксирована в предыдущих отдельных кампаниях. TA2541 полагается на вредоносные документы Microsoft Word для установки инструмента для удаленного доступа (RAT).
• Компания Sophos опубликовала руководство Rapid Response: The Squirrelwaffle Incident Guide, где показала, как центры управления безопасностью (SOC) и группы реагирования на инциденты могут обнаруживать и реагировать на присутствие Squirrelwaffle в сети – вредоносного загрузчика, используемого для доставки других вредоносных программ на целевые системы.
• Компания Splunk опубликовала отчет Accelerating Forward: The State of Cloud-Driven Transformation. В нем проводится всесторонний обзор проблем, возможностей и стратегий, связанных с облачной трансформацией сегодня, а также того, как быстрее обеспечить безопасность и внедрить инновации, чтобы подготовить свои организации к будущему.
• В ежегодном отчете Recorded Future об уязвимостях рассматривается ландшафт угроз за 2021 год. В нем обобщаются данные за год, подготовленные группой Insikt Group. Заметная тенденция в эксплуатации уязвимостей в криминальном подполье в 2021 году заключалась в том, как быстро злоумышленники начали использовать недавно обнаруженные уязвимости и развертывать инструменты пост-эксплуатации.

Громкие инциденты ИБ  

• Три европейские компании: немецкая Oiltanking, бельгийская SEA-Invest и нидерландская Evos, занимающиеся хранением и транспортировкой нефти и нефтепродуктов, подверглись хакерским атакам, нанесшим ущерб их деятельности. В общей сложности атака повлияла на десятки нефтехранилищ по всему миру.
• Системы швейцарской компании Swissport, занимающейся обслуживанием аэропортов во многих странах мира, пострадали в четверг от атаки вируса-вымогателя. В связи с кибератакой замедлилась работа ключевых систем в нескольких аэропортах, из-за этого пришлось отложить несколько рейсов.
• Португальское подразделение Vodafone стало жертвой хакерской атаки, в результате которой была нарушена работа услуг компании. Как заверили представители Vodafone Portugal, персональные данные клиентов не были скомпрометированы.
• Хакеры атаковали компанию Meter, занимающуюся инфраструктурой блокчейна, и украли криптовалюту на сумму $4,4 млн. По словам ИБ-экспертов из компании PeckShield, в результате взлома хакеры украли $4,28 млн и примерно $117 тыс.
• Злоумышленники похитили порядка $1,9 млн у южнокорейской криптовалютной платформы KLAYswap с помощью взлома протокола BGP в серверной инфраструктуре одного из ее поставщиков.
• Компьютерные системы пяти крупных канадских банков отключились на несколько часов, из-за чего клиенты потеряли доступ к online- и мобильному банкингу, а также к электронным переводам. В число банков, пострадавших от сбоя, входят Royal Bank of Canada (RBC), BMO (Bank of Montreal), Scotiabank, TD Bank Canada и Canadian Imperial Bank of Commerce (CIBC). Инцидент произошел всего через несколько дней после того, как в Канаде вступил в силу «Закон о чрезвычайных ситуациях».

Обзор событий предстоящих недель 21.02 – 04.03

Онлайн-конференции:

• 22 февраля, 11:00 – Онлайн-конференция Anti-Malware.ru: Биометрические корпоративные системы аутентификации;
• 2 марта, 11:00 - Онлайн-конференция Anti-Malware.ru: Защита от цифровых рисков;
• 4 марта - ТБ Форум 2022: Кибербезопасность цифрового предприятия.

Вебинары:

• 22 февраля – Вебинар InfoWatch: Автоматизируем работу отдела ИБ АСУ ТП: инструменты и средства;
• 22 февраля – Вебинар InfoWatch: Новые возможности для защиты данных: обновления в продуктах InfoWatch;
• 24 февраля, 14:00 – Вебинар Positive Technologies: Уязвимости в тренде. Что показали пилотные проекты MaxPatrol VM;
• 24 февраля, 14:00 – Вебинар Гарда Технологии: Защита баз данных - с чего начать?;
• 25 февраля, 12:00 – Вебинар Gals Software: Опыт внедрений Quest Change Auditor и Quest Enterprise Reporter в компании СУЭК;
• 28 февраля, 14:00 – Вебинар Ростелеком-Солар: Как анализ кода приложений поможет при выполнении требований Банка России 683-П и 757-П?.