Дайджест ИБ №252 за период с 12 по 23 декабря 2022

Новости законодательства

• Госдума во втором чтении приняла законопроект о штрафах для владельцев КИИ за непредоставление или подачу недостоверных сведений по поводу присвоения объектам КИИ категорий значимости.

• Сенаторы разработали и внесли в правительство законопроект о введении штрафов от 300 тыс. до 2 млн рублей и уголовной ответственности на срок до шести, а в некоторых случаях до десяти лет лишения свободы за незаконный оборот персональных данных.

• Минцифры РФ подготовило законопроект о введении оборотных штрафов за утечку персональных данных пользователей, они могут составить до 3% от оборота компании, в случае если организация не обеспечивает безопасность данных.

Новости ИБ

• Компания Hikvision выпустила патчи для двух моделей беспроводных мостов, в которых была выявлена возможность обхода аутентификации. Уязвимость позволяла получить админ-доступ к устройству и вести перехват трафика или отключить видеонаблюдение.

• По информации аналитиков компании CrowdStrike, операторы вымогателя Play используют новую цепочку эксплоитов, которая успешно обходит защиту от перезаписи URL-адресов, связанную с нашумевшей проблемой ProxyNotShell. В итоге это ведет к удаленному выполнению произвольного кода на уязвимых серверах через Outlook Web Access.

• Злоумышленники опубликовали на PyPI вредоносный Python-пакет под названием SentinelOne, который выдает себя за легитимный SDK-клиент для американской ИБ-компании SentinelOne, но на самом деле крадет данные у разработчиков.

• Пользователи Corsair K100 заметили, что их клавиатуры могут время от времени самостоятельно печатать тексты, которые были набраны на них несколько дней назад. Производитель уверяет, что это не связано с кейлоггингом, а проблема возникла с функцией записи макросов.

• В Сети появилась новая схема кражи аккаунтов в Telegram: пользователю предлагают принять в подарок подписку Premium. Как только человек переходит по ссылке и вводит код авторизации, который требуется для «принятия» подарка, злоумышленник получает доступ к профилю и рассылает спам всем контактам.

• Исследователи из Microsoft обнаружили кросс-платформенный ботнет MCCrash, способный атаковать Windows- и Linux-системы. Основными целями операторов вредоноса являются серверы Minecraft: злоумышленники пытаются остановить их работу с помощью DDoS.

• Аналитики компании Fortinet FortiGuard Labs обнаружили вредоносную кампанию, в ходе которой новый ботнет на основе Golang взламывает сайты WordPress, чтобы затем захватить контроль над целевыми системами.

• GitHub к концу 2023 года потребует от всех пользователей, добавляющих код на платформу, включить двухфакторную аутентификацию (2FA) в качестве дополнительной меры защиты своих учётных записей.

Интересные посты русскоязычных блогов по ИБ

• В блоге компании OTUS на Хабр вышла статья на тему обеспечения безопасности Node.js с рекомендациями по митигации уязвимостей и защите приложения от атак. В статье описаны меры защиты для таких угроз, как перепривязка DNS (CWE-346), нарушение доступа к памяти (CWE-284), раскрытие информации в результате атак по времени (CWE-208) и другие.

• Антон Кузнецов, ведущий инженер информационной безопасности R-Vision, в блоге на Хабр опубликовал статью об исследовании вредоносного ПО на реальных сэмплах APT Kimsuky, которые группировка активно использовала в 2022 году в своих фишинговых кампаниях.

• Компания T.Hunter в блоге на Хабр опубликовала статью о кибератаках на устройства IoT и причинах, по которым безопасность IoT имеет решающее значение. Кроме того, в статье представлен небольшой обзор громких атак на «умные» устройства за последние годы.

• Сравнение представленных в России MSSP-провайдеров в блоге компании Anti-Malware представил автор Андрей Москвин. В статье проанализирован 121 критерий, характеризующий полноту и качество предоставляемых услуг, чтобы помочь потенциальным заказчикам выбрать наиболее подходящего поставщика.

Интересные посты англоязычных блогов по ИБ

• Исследователи Unit42 опубликовали статью, в которой подробно описываются атаки на  Kerberos: Dimond и Sapphire Tickets, а также возможные способы их детектирования. За основу детекта взяты события журнала Windows, а также сетевой трафик.

• Джеффри Уитман, специалист по киберрискам компании Black Kite, поделился своим мнением о том, что может сделать директор по информационной безопасности в своей организации для победы в борьбе с программами-вымогателями. В статье приведены шаги для разработки стратегии предотвращения инцидентов.

• Рамиль Хантимиров, генеральный директор компании StormWall, рассказал об увеличении числа DDoS атак в Азиатско-Тихоокеанском регионе в последние годы. Так, в 2021 году регион был на первом месте - там произошло 46% DDoS атак, в 2022 году регион уступил позицию США, но по-прежнему остается одним из наиболее подверженных риску.

Исследования и аналитика

• Лаборатория Касперского проанализировала отношение россиян к технологиям, которые только начинают активно применяться, например, к различным системам машинного обучения. Согласно проведённому опросу, 75% респондентов считают, что искусственный интеллект может ошибаться.

• Исследователи компании Positive Technologies провели анализ MaaS-стилера BlueFox, нового информационного стилера, рекламируемого на подпольных форумах по модели «вредоносное ПО как услуга».

• В соответствии с результатами исследования, которое было проведено компанией SearchInform посредством опроса среди более 1100 ИБ-специалистов и ИБ-директоров, сильнее всего бюджет на кибербезопасность вырос в России среди организаций, которые относятся к сектору критической инфраструктуры - об этом сообщили 39% опрошенных представителей таких организаций.

• Компания Recorded Future провела исследование вредоносной инфраструктуры управления и контроля (C2), выявленной с помощью методов упреждающего сканирования и сбора в течение 2022 года. Было обнаружено, что в течение этого года исследователи наблюдали более чем за 17 000 уникальными серверами командования и контроля (C2), что на 30% больше, чем в прошлом году. Как и в 2021 году, в 2022 году доминировали серверы Cobalt Strike team, ботнет семейства, включая Ice dID и QakBot, а также популярные RATs, такие как PlugX.

• Исследователи AdaptiveMobile выявили новую тенденцию  использования международных номеров для доставки SMS-спама и фишинговых сообщений мобильным абонентам в других странах.

• Эксперты ESET в отчете CYBERSECURITY TRENDS 2023: Securing our hybrid lives представили свои размышления о том, что означает продолжающееся стирание границ между различными сферами жизни для человеческого и социального опыта, и особенно для кибербезопасности и конфиденциальности.

• Согласно исследованию компании Thales, около трети всех пользователей интернета в течение 2022 года стали жертвами утечки персональных данных. 82% пользователей, у которых была украдена личная информация, пожаловались на ухудшение качества жизни после потери конфиденциальных данных.

Громкие инциденты ИБ

• Представители компании Okta, являющейся крупным поставщиком систем управления доступом и идентификацией, сообщили, что GitHub-репозитории компании были взломаны, и злоумышленники смогли похитить исходные коды.

• Кибератака на американскую службу потокового телевидения FuboTV привела к тому, что пользователи не могли получить доступ к платформе и к своим учетным записям. В этот день состоялся долгожданный матч между Францией и Марокко, который зрители так и не смогли посмотреть.

• Хакер под ником USDoD выдал себя за главу финансового учреждения и обманом получил доступ к базе данных информационно-просветительской программы ФБР InfraGard, насчитывающей более 80 000 участников.

• Криптовалютная биржа Gemini сообщила об утечке пользовательских данных, утерянных в результате фишинговых атак. На хакерских форумах появились предложения по продаже этой базы, содержащей номера телефонов и адреса электронной почты 5,7 млн пользователей.

• ИБ-специалисты заметили, что хакеры опубликовали в свободном доступе данные сервиса по поиску и покупке туров онлайн Level.Travel. В сеть попала информация о зарегистрированных пользователях, клиентах и купленных ими турах. В компании подтвердили факт утечки и сообщили, что уже проводят внутреннее расследование.

• Uber пострадал от очередной утечки данных. Об этом стало известно, когда злоумышленник под ником UberLeak начал выкладывать на хакерском форуме конфиденциальную информацию компании, похищенную у стороннего поставщика Teqtivity. В результате утечки были скомпрометированы: e-mail адреса, внутренние отчеты компании, данные ИТ-активов.

• В шведских муниципалитетах Боргхольм и Мёрбилонга была объявлена «кризисная ситуация» после кибератаки. Хакеры взломали IT-систему, используемую двумя муниципалитетами, которые вместе составляют остров Эланд с общей численностью населения более 25 000 человек.

• Крупнейшая американская система здравоохранения CommonSpirit Health подтвердила, что стала жертвой хакерской атаки. Злоумышленники сумели получить доступ к личным данным более чем 600 тыс. пациентов.