Дайджест ИБ №269 за период с 21 августа по 1 сентября 2023 года

Новости законодательства

• На замену приказа Министерства цифрового развития, связи и массовых коммуникаций №930 пришел новый приказ №453, который содержит новые требования к обработке биометрических персональных данных граждан. Одно из них – о проведении ежегодного аудита ИБ в области защиты персональных данных.

Новости ИБ  

• Разработчики ПО стали мишенью в атаках на цепочку поставок. В реестре библиотек Crates.io для языка программирования Rust обнаружен ряд вредоносных пакетов.
• Уязвимость мобильного приложения Skype предоставляет хакерам IP-адреса жертв. Для этого достаточно открыть в приложении сообщение со ссылкой, по которой даже не нужно переходить.
• Соединенные Штаты при участии Великобритании, Германии, Латвии, Нидерландов, Румынии и Франции ликвидировали хакерскую сеть Qakbot.
• Google анонсировала новые функции безопасности на основе ИИ для Workspace, которые снижают риск взлома учётной записи. Некоторые действия потребуют подтверждения личности.
• Минцифры ввело параметр информационной безопасности в рейтинг цифровой трансформации госорганов. Теперь федеральные и региональные ведомства должны ежемесячно предоставлять информацию о мерах защиты своих ИТ-систем, включая тестирование белыми хакерами Bug Bounty.
• G20 анонсировала концепцию систем цифровой госинфраструктуры. Состоять она будет из трёх элементов: взаимосвязанные системы и приложения; закрепляющие права человека и защиту персональных данных стандарты управления; сотрудничество в цифровой сфере сообщества субъектов частного сектора и гражданского общества.
• Эксперты британского национального центра кибербезопасности создали систему для выявления киберугроз Early Warning, и за последние месяцы, в среднем каждые трое суток, она успешно обнаруживала первоначальные этапы новых хакерских атак с использованием программ-вымогателей. 
• Хакеры начали использовать уязвимость архиватора WinRAR для кражи средства с брокерских счетов. Новый всплеск активности киберпреступников начался как минимум в апреле. С помощью этой уязвимости злоумышленники прячут в архивах вредоносные скрипты под видом файлов JPG и TXT, размещая их на специализированных трейдерских форумах.
• Google разработала алгоритм защиты шифрования FIDO, который будет устойчивым к атакам с помощью квантовых вычислений. Он основан на гибридном подходе.

Интересные посты русскоязычных блогов по ИБ 

• Эксперты компании T.Hunter опубликовали статью на Хабр, в которой рассмотрели смартфон в качестве полезного инструмента специалиста по инфобезу и работника службы безопасности. От очевидных функций вроде дистанционного фотографирования и прослушивания до обнаружения слежки, и поиска скрытых камер.
• Григорий Ревенко, директор Центра экспертизы R-Vision, провел исследование среди специалистов, которые в своей работе сталкиваются c SIEM-системами и задал им вопросы, связанные с внедрением и эксплуатацией данного класса решений. Результатами опроса он поделился в своей статье на Хабр.
• Андрей Бирюков, специалист компании OTUS, в своей статье на Хабр подробно рассмотрел, какие аппаратные и программные компоненты необходимы для реализации HID – атак (Human Interface Device). Автор собрал концепт такого устройства и посмотрел какие атаки с его помощью можно реализовать.
• Исследователи компании Бастион в своей статье провели ликбез по распространенным Client-Side уязвимостям. В этой статье показано как в разных ситуациях манипулировать веб-сайтом таким образом, чтобы он передавал пользователям вредоносный JavaScript, как скомпрометировать администратора сайта, отправив ему личное сообщение, как атаковать разом всех пользователей при помощи комментария под статьей и многое другое.

Интересные посты англоязычных блогов по ИБ   

• В интервью Help Net Security эксперт Roland Atoui, управляющий директор Red Alert Labs, обсудил тонкости перехода от изолированных установок Интернета вещей к взаимосвязанным средам, исследуя расширяющуюся поверхность атаки и нюансы, которые влечет за собой эта эволюция.
• В блоге ThreatConnect автор Toby Bussa опубликовал  обзор 7 принципов проведения операций по анализу угроз The Dawn of TI Ops (часть 1) и погрузился в принцип № 4, в котором фокус не только на индикаторах компрометации, но и на мотивах, тактиках, методах, тенденциях, инструментах и ​​инфраструктурных моделях субъектов угроз.
• Ryne Laster, описал 3 типа привилегированных учетных записей, которые необходимо защитить на предприятии. По его мнению, поскольку типы привилегированных учетных записей, которые необходимо защитить, расширились в объеме и масштабе, должны измениться и способы, с помощью которых организации не только управляют привилегиями, но и всесторонне их защищают.
• Портал Helpnetsecurity привел список 11 поисковых систем для исследований в области кибербезопасности, которые можно использовать прямо сейчас.

Исследования и аналитика

• К середине 2023 года спрос на специалистов в сфере кибербезопасности вновь демонстрирует чёткий тренд роста, превысив прошлогодние значения более чем на треть, показали данные hh.ru. На фоне роста числа открытых вакансий в ИБ соискательская активность вновь замедлилась – небольшое ослабление дефицита кадров в начале года было временным. 
• По данным InfoWatch, в I полугодии 2023 года количество инцидентов, приведших к компрометации данных в России снизилось на 17,5% по сравнению с аналогичным периодом 2022 года. Но несмотря на это объем «слитых» данных вырос более чем на 72% и составил 705 млн записей. Почти каждая третья утечка конфиденциальной информации в России связана с компрометацией крупных баз данных (от 100 тыс. записей). Всего в I полугодии 2023 года утекло 92 таких базы, тогда как годом ранее – 72 базы, подсчитали эксперты.
• Critical Insight опубликовала отчет за 1 полугодие 2023 года. Рекордные 40 млн человек подверглись кибератакам в сфере здравоохранения, несмотря на общий спад. Основной причиной были хакерские атаки/ИТ-инциденты, на долю которых приходится 73% нарушений. Хакеры изменили свою тактику, нацелившись на сетевые уязвимости. Нарушения работы сетевых серверов являются причиной 97% затронутых отдельных записей, в то время, как только 2% можно отнести к нарушениям электронной почты.
• Исследователи безопасности из Shadow Stack RE провели реверс-инжиниринг Linux/ESXi-шифратора Abyss (или Abyss Locker). Abyss RaaS был запущен ранее в этом году, в мае.
• Для недавних критичных уязвимостей Juniper, позволяющих сделать RCE , watchTowr Labs  выпустили подробное техническое описание и публичный PoC.
• Последнее исследование Mandiant, посвященное ИИ, показывает, что субъекты угроз заинтересованы в ИИ, но его использование остается ограниченным. Mandiant прогнозирует, что инструменты генеративного искусственного интеллекта ускорят интеграцию ИИ как в информационные операции, так и в деятельность по вторжению.
• Статистика Sophos показывает, что среднее время пребывания хакеров сократилось до 5 дней с 9 в 2022 году за Q1 2023. Атаки вымогателей составили 68,75% всех кибератак. Среднее же время пребывания, не связанное с вымогателями, увеличилось с 11 до 13 дней. Это говорит о том, что, хотя вымогатели действуют быстрее, другие киберпреступники, осуществляющие сетевые вторжения, «имеют тенденцию задерживаться» и ждать удобного случая.
• По данным RecordedFuture в первой половине 2023 года участились атаки программ-вымогателей, причем злоумышленники все чаще полагались на использование уязвимостей для быстрого компрометации. Известные кампании были нацелены на организации, использующие эксплойты уязвимостей, такие как взлом гипервизора VMware ESXi. Наиболее распространенными вариантами вредоносных программ в первом полугодии 2023 года были LockBit, ALPHA, Royal, ESXiArgs и Pegasus.
• ReliaQuest сообщают, что QakBot, SocGholish и Raspberry Robin - это три самых популярных загрузчика вредоносных ПО, на которые приходится до 80% наблюдавшихся инцидентов. За период с 1 января по 31 июля этого года на QakBot пришлось 30% инцидентов, на SocGholish – 27% из них, а на Raspberry Robin - 23%.
• Trustwave заявляет, что в начале 2023 года она наблюдала заметный рост активности BEC. Половина уловок BEC в первой половине года, были атаками на переадресацию заработной платы, тактикой, при которой злоумышленники притворяются сотрудниками целевой компании и пытаются перенаправить заработную плату на свой собственный банковский счет. Trustwave говорит, что эта тактика чрезвычайно эффективна, поскольку работники нередко меняют информацию о своих банковских счетах по законным причинам.
• Команда Elastic security анализирует последнюю версию загрузчика BLISTER. Новое обновление BLISTER включает функцию управления ключами, которая позволяет точно нацеливаться на сети жертв и снижает риск в средах виртуальной машины / изолированной среды.

Громкие инциденты ИБ 

• Система денежных переводов «Золотая корона» подверглась DDoS-атаке. Эксперты по кибербезопасности отмечают, что атака на ресурсы компании координировалась на теневых форумах, при этом платежной системе простои грозят прямыми и невосполнимыми финансовыми потерями.
• Хакеры атаковали серверы португалоязычного шпионского ПО WebDetetive. Злоумышленники утверждают, что им удалось разорвать соединение с устройствами жертв и заблокировать загрузку новых компрометирующих данных.
• Польская Военная академия стала жертвой массированной хакерской атаки – с серверов и компьютеров украдены важные данные Вооруженных сил Польши. 
• Датские хостинговые компании CloudNordic и AzeroCloud подверглись атакам вымогателей, что привело к потере большей части клиентских данных и вынудило компании отключить все системы, в том числе, собственные сайты, электронную почту и сайты клиентов.
• Сартрувиль, небольшой город во Франции, стал жертвой кибератаки. Однако, благодаря эффективной системе резервного копирования и оперативной работе ИТ-специалистов, ущерб для муниципальных сервисов и граждан оказался минимальным.
• Австралийская компания Energy One Limited, один из крупнейших поставщиков программных продуктов в сфере энергетики, сообщила о кибератаке на свою инфраструктуру, в результате чего пострадали некоторые корпоративные системы в Австралии и Великобритании.
• Компания Tesla сообщила об взломе, затронувшем более 75 000 нынешних и бывших сотрудников. Утечка данных произошла после того, как два инсайдера поделились информацией из внутренних систем компании с немецким изданием Handelsblatt.
• Операторы программы-вымогателя BlackCat добавили японскую корпорацию Seiko, производящую часовую продукцию, в список своих жертв. Фактически кибергруппировка взяла на себя ответственность за недавнюю атаку на компанию.

Обзор событий предстоящих недель 4.09 - 15.09

Офлайн-мероприятия

• 5-8 сентября, Сочи – ИнфоБЕРЕГ 2023;
• 7-8 сентября, Беларусь – CyberSecurity Bank Education;
• 14-15 сентября, Москва - MOSCOW FORENSICS DAY 2023.

Онлайн-мероприятия

• 6 сентября, 11:00 – AM Live: Лучшие практики наступательной безопасности;
• 28 сентября, 11:00 – R-EVOlution Conf 2023.