Дайджест ИБ №268 за период с 7 по 18 августа 2023 года

Новости законодательства  

• В связи с участившимися случаями утечек персональных данных (ПДн), а также по результатам анализа содержания скомпрометированных баз данных Роскомнадзор опубликовал рекомендации для операторов при организации и осуществлении деятельности по обработке ПДн.

• В закон об электронной подписи внесены изменения – в частности, предусматривается возможность передоверия участниками финансового рынка полномочий при использовании электронной подписи.

• Подписан закон, который устанавливает применение цифровых алгоритмов в карательных соглашениях как отягчающее обстоятельство при привлечении к административной ответственности.

Новости ИБ  

• Миллионы ПЛК (программируемых логических контроллеров) в промышленных средах по всему миру уязвимы перед 15 проблемами в CODESYS V3. Уязвимости позволяют осуществлять удаленное выполнение кода (RCE), а также атаки типа «отказ в обслуживании» (DoS).
• В России появится отраслевой центр информационной безопасности. Распоряжение о выделении на его создание и функционирование более 3,3 млрд рублей подписал Председатель Правительства Михаил Мишустин.
• Специалисты по безопасности из компании IOActive заявляют, что им удалось взломать машину для тасования карт Deckmate, которая широко распространена в казино и считалась надежной. По словам экспертов, это позволяет хитроумному мошеннику знать карты всех игроков на столе.  
• Сотрудники корпорации Intel обнаружили уязвимость Downfall (CVE-2022-40982) и замедлили компьютеры пользователей во всем мире для ее устранения.
• Google начала внедрять квантово-устойчивые алгоритмы шифрования ключей, в том числе гибридный механизм инкапсуляции (key encapsulation mechanism) для защиты обмена секретами симметричного шифрования при установлении безопасных сетевых TLS-соединений. Он появится в браузере Google Chrome версии 116.
• Банда вымогателей Monti разработала новый шифровальщик для блокировки данных в системах на базе Linux. Новой целью стали правительственные и юридические учреждения. Это подняло уровень тревоги еще выше. Новый вариант Monti для Linux показал схожесть со старым всего на 29%. Для сравнения, ранние версии были на 99% идентичны.
• Группа исследователей из Калифорнийского университета в Ирвине и Университета Цинхуа разработала новую мощную атаку с отравлением кэша под названием «MaginotDNS», которая нацелена на резолверы условных DNS (CDNS) и может скомпрометировать целые домены верхнего уровня TLD.

• Ceri Coburn разработчик средств защиты от атак в Pen Test Partners, разработала инструмент с открытым исходным кодом под названием gssapi-abuse для перечисления хостов, которые открыты для злоупотреблений GSSAPI в сетях Active Directory.

•  Опасную брешь нашли в функции Python, отвечающей за парсинг URL. В случае эксплуатации злоумышленники могут обойти способы фильтрации на основе черных списков, а также прочитать произвольные файлы и выполнить команды.
• Компания Oracle получила от спецслужб США аккредитацию на хранение совершенно секретной информации и данных с особым режимом хранения в своей облачной инфраструктуре.

Интересные посты русскоязычных блогов по ИБ 

• Пользователь @Arnak в блоге на Habr выпустил статью о новом способе кражи данных — по звукам нажатия клавиш. В исследовании Корнельского университета подробно описывается атака с использованием ИИ, которая может воровать пароли с точностью до 95%, прослушивая то, что вы печатаете на клавиатуре. Причем сделать такую модель оказалось достаточно просто, это заняло у них в сумме меньше двух месяцев, и основное время было потрачено на сбор данных.

• Валерия Мавлютова, аналитик R-Vision, выпусти детальный разбор уязвимости Zerologon. В первой части статьи эксперт разобрала теоретические аспекты данной уязвимости, а во второй публикации проанализировала инструменты для проведения атаки. Автор также предложила возможные варианты обнаружения эксплуатации данной уязвимости.

• Наталья Кляус выпустила обзорную статью, в которой поверхностно рассказывается о том, что такое формальная верификация программного кода, зачем она нужна и чем она отличается от аудита и тестирования.

Интересные посты англоязычных блогов по ИБ   

• Xavier Bellekens, генеральный директор Lupovis, объяснил, как реализация обмана как услуги обеспечивает дополнительный уровень защиты, помогая директору по информационной безопасности и его команде заблаговременно предупреждать о возможных нарушениях.

• Kevin Paige, директор по информационной безопасности в Uptycs, рассказал о том, как он ориентируется в сложной среде кибербезопасности, находя баланс между техническими знаниями, эффективной коммуникацией, управлением рисками и адаптивным лидерством.

• Mark O’Neill, технический директор BlackDice Cyber, осветил проблематику баланса между безопасностью телекоммуникаций, правоохранительными органами и доверием клиентов. По мере появления 5G и Интернета вещей, надежные меры и искуссвенный интеллект будут решать более сложные задачи и формировать будущее телекоммуникационной отрасли.

• Marcin Wiązowski привел подробности CVE-2023-21822 — уязвимости Use-After-Free (UAF) в win32kfull, которая может привести к повышению привилегий. Отчёт о баге отправлен в рамках программы ZDI, а позже она была пропатчена компанией Microsoft.

Исследования и аналитика

• Эксперты Лаборатории Касперского проанализировали использование взломанных сайтов в фишинге. Получив доступ к сайту, злоумышленники способны не только спрятать на нем фишинговую страницу, но и завладеть всеми данными на сервере и полностью нарушить работу ресурса.

•  ICS CERT компании «Лаборатория Касперского» опубликовал заключительную часть своей серии исследований, посвященных атакам на промышленные предприятия в Восточной Европе. В данной части исследуется вредоносное ПО третьей стадии, предназначенное для загрузки файлов в Dropbox, а также для координации с другими вредоносными имплантами для кражи данных. Сводная статья по всем трем исследованиям по ссылке.
• Результаты исследования компании Insights Student Experience Survey показали, что руководители ВУЗов всё больше внимания уделяют повышению как физической, так и сетевой безопасности. Исследование продемонстрировало, что примерно 50% руководителей колледжей США планируют увеличить инвестиции в информационную безопасность в течение двух ближайших лет. 

• Согласно отчету  Hiya 2023 Global Call Threat Report, телефонное мошенничество в каждой стране достигло новых высот во втором квартале. Некоторые мошенники, отслеживаемые Hiya, использовали подход “дробовика”, запуская тысячи робозвонков, нацеленных на ничего не подозревающих пользователей Amazon, в то время как другие были нацелены исключительно на иммигрантов или пожилых людей.

• Компания Agio опубликовала свой отчет 2023 Hedge Fund Cybersecurity Trends Report, в котором большинство фирм сообщили о резком росте частоты и серьезности кибератак за последний год. 77% фирм сообщили, что частота кибератак увеличилась за последние 12 месяцев, а 87% заявили, что атаки были более серьезными.

• OPSWAT опубликовала результаты Threat Intelligence Survey. Опрос включал информацию от более чем 300 ИТ-специалистов, ответственных за обнаружение вредоносных программ и реагирование. 62% организаций признают необходимость дополнительных инвестиций в области анализа угроз. Только у 22% полностью разработаны программы анализа угроз, причем большинство указывает, что они находятся только на ранних стадиях или нуждаются в дополнительных инвестициях в инструменты и процессы. 

• Аналитики из Group-IB исследовали вредоносное ПО Gigabud RAT Android Banking, нацеленное на клиентов 99 финансовых учреждений Таиланда, Индонезии, Вьетнама, Филиппин и Перу. Одной из уникальных особенностей Gigabud RAT является то, что он не выполняет никаких вредоносных действий до тех пор, пока пользователь не авторизуется во вредоносном приложении, что затрудняет его обнаружение. 
• Уязвимости в продуктах управления питанием CyberPower и Dataprobe могут быть использованы в атаках на ЦОДы для нанесения ущерба и шпионажа. Исследователи Trellix обнаружили девять уязвимостей в ПО PowerPanel Enterprise от CyberPower и PDU iBoot от Dataprobe, которые помимо прочего позволяют злоумышленнику получить полный доступ к целевой системе.

• Ресерчеры из GoSecure подвели итоги исследования, в рамках которого в течение 3 лет с помощью ханипота фиксировались тысячи различных RDP-атак, на основании которых удалось классифицировать и выделить пять основных классов злоумышленников. Приманка показала, как мошенники устанавливают вредоносное ПО, майнят крипту, реализуют DDoS-атаки и мошеннические кампании.

• Согласно отчету, опубликованному Джоном Димаджио из Analyst 1, банда Lockbit испытывает проблемы с публикацией и утечкой данных о жертвах на своем сайте dark web leak. По словам Ди Маджио, у банды закончилось серверное хранилище. В нем часто утверждается, что файлы жертвы были опубликованы, но эти файлы не могут быть загружены.

• Голландская компания Fox-IT сообщает, что из более чем 31 000 устройств Citrix NetScaler ACD, которые были доступны онлайн в прошлом месяце, почти на 1900 устройствах обнаружены признаки того, что они были взломаны злоумышленниками, использующими уязвимость CVE-2023-3519.

• Исследователи кибербезопасности из компании Proofpoint обнаружили новое вредоносное программное обеспечение WikiLoader, представляющее из себя загрузчик, который активно разрабатывается и использует несколько механизмов, чтобы избежать обнаружения.

Громкие инциденты ИБ 

• Сервис Discord.io подтвердил факт взлома сетевой IT-инфраструктуры и утечку данных 760 тыс. пользователей. Веб-сайт Discord.io временно отключил доступ к своим службам, в сервисе начали проверку инцидента.

• Американские подростки взломали систему оплаты бостонского метрополитена и нашли способ бесплатно передвигаться по городу. Результатами своей «операции» они поделились на хакерской конференции в Лас-Вегасе.

• Кибератака затронула калифорнийскую компанию Netskope, ключевого поставщика программного обеспечения и услуг по листингу недвижимости (MLS) в США. Покупатели, продавцы, агенты по недвижимости и сайты с объявлениями по всей стране уже неделю не могут получить доступ к информации о том, какие дома выставлены на продажу, поступивших предложениях о покупке и уже совершённых сделках.

• Два управления полиции графств Великобритании признали факты разглашения секретной информации о жертвах преступлений, свидетелях и подозреваемых. Сведения были раскрыты в файлах ответов на запросы по закону о свободе информации. В полиции графств Норфолк и Саффолк заявили, что таким образом были разглашены конфиденциальные данные 1230 человек.

• Немецкий производитель противопожарных систем Wildeboer стал объектом кибератаки со стороны профессиональной хакерской группировки. Спустя три недели после кибератаки компании не удалось возобновить производство
• Персональные данные офицеров и гражданских специалистов полиции Северной Ирландии оказались в открытом доступе. По ошибке сотрудника скомпрометированы персональные данные более 10 тыс. человек.

• Сервис LinkedIn стал мишенью масштабной киберпреступной кампании, в результате которой множество пользовательских аккаунтов были заблокированы администрацией или скомпрометированы хакерами.
• Масштабная киберпреступная кампания затронула по меньшей мере 400 тысяч пользователей Windows. Злоумышленники доставляют на устройства жертв приложения для прокси-серверов, в результате чего компьютеры ничего не подозревающих юзеров выступают в качестве выходных узлов (exit node).