Дайджест информационной безопасности № 139 за период с 11 по 22 июня 2018 года

Новости законодательства

  • Банк России с 1 июля 2018 года меняет для банков – операторов по переводу денежных средств и операторов услуг платежной инфраструктуры форму отчетности о событиях, связанных с нарушением защиты информации при переводе средств. Из отчетности исключаются технические показатели, свидетельствующие о способах и причинах возникновения инцидентов в сфере кибербезопасности. При этом вводятся экономические показатели, которые характеризуют последствия этих инцидентов для операторов и их клиентов.
  • ФСБ России собирается внести в Уголовный кодекс, а также в Кодекс об административных правонарушениях (КоАП) определение термина «специальные технические средства, предназначенные для негласного получения информации». Сейчас в статьях законов о негласном получении информации отсутствуют какие-либо уточнения на эту тему. Уведомление о разработке соответствующих поправок ФСБ разместила на портале проектов нормативных правовых актов.

Новости ИБ

  • 18 июня Ассоциация банков России и компания BI.ZONE, технический провайдер сервиса, запустили пилотную версию платформы обмена данными о киберугрозах. В числе первых к пилотному проекту присоединился Сбербанк, а также Саровбизнесбанк и банк «Кубань кредит». Инновационная платформа обеспечит компаниям оперативный доступ к наиболее актуальным данным по киберугрозам, в том числе индикаторам компрометации.
  • Из официального реестра Docker Hub были удалены сразу 17 образов контейнеров, содержавших бэкдоры. Через них на серверы пользователей проникали майнеры и обратные шеллы. Образы были активны с мая 2017 года по май 2018 года, после чего все же были замечены ИБ-экспертами.
  • Cisco исправила уязвимость в одном из компонентов Secure Access Control System (ACS). Через эту брешь злоумышленник мог обойти систему аутентификации программы и удаленно выполнить произвольный код на сетевом устройстве. Продукт уже снят с продажи, однако производитель пропатчил баг и выпустил внеочередное обновление системы.
  • Разработчики Microsoft выпустили исправления более чем для 50 уязвимостей в Windows, Internet Explorer, Microsoft Edge, ChakraCore, а также Microsoft Office и Microsoft Office Services. Кроме того, в состав июньского «вторника обновлений» вошли патчи для проблемы Spectre вариант 4.
  • Cisco открыла сетевое программное обеспечение для автоматизации и анализа DNA Center для всех желающих. Разработчики получат доступ к более чем 100 API. DNA Center упрощает автоматизацию сетей при помощи подхода на основе намерений (intent based), что помогает автоматически определять, какие политики применяются к тому или иному устройству. Самым большим преимуществом для большинства системных администраторов, вероятно, будет встроенная система безопасности, которая автоматически обнаруживает нестандартное поведение.
  • Сводная группа исследователей из Университета Калифорнии в Риверсайде, Колледжа Вильгельма и Марии, а также Бингемтонского университета представила доклад о технике SafeSpec, которая позволит бороться с рисками, связанным со спекулятивным исполнением команд, и атаками на такие уязвимости, как Spectre и Meltdown.
  • Сбербанк фиксирует 8-9 тыс. атак на своих клиентов в неделю со стороны кибермошенников, которые пытаются вывести деньги. По словам зампреда правления Сбербанка Станислава Кузнецова, динамика количества атак, к сожалению, растет. Также изменился характер атак, злоумышленники уже пытаются не просто остановить работу компаний, но тестировать возможности защиты и технологий для последующих технологических прорывов.
  • Немецкий электротехнический концерн Phoenix Contact опубликовал информацию о наличии четырех уязвимостей в промышленных коммутаторах серии FL SWITCH. Устройства используются для выполнения задач автоматизации на цифровых подстанциях, в нефтегазовой, морской и других отраслях. Злоумышленник может нарушить технологический процесс, отключив критически важное оборудование от промышленной сети.
  • Минфин США ввел санкции в отношении трех российских структур и двух связанных с одной из них компаний, базирующихся за рубежом. Причиной послужило их сотрудничество с Федеральной службой безопасности (ФСБ). В черные списки попала имеющая офисы в Москве и Санкт-Петербурге консалтинговая компания Digital Security. Помимо нее самой, санкции затронули подконтрольные ей структуры: Embedi, работающую в Израиле, и Erpscan.

Интересные посты англоязычных блогов по ИБ

  • Charles Goldberg поделился своими впечатлениями от конференции Gartner Security & Risk Management Summit в Вашингтоне. Автор заметил, что в этом году больше внимания уделяется возвращению к основам, нежели таким горячим темам, как IoT, Blockchain и «Цифровая трансформация». В отличие от прошлого года, в этот раз эти громкие темы были включены в более общие секции лучших практик.
  • Авторы данной статьи объясняют, почему невозможно автоматизировать программы повышения осведомленности по безопасности. Это тот миф, в который продавцы решений хотят заставить нас верить. По мнению авторов, невозможно автоматизировать логическое мышление и умение рассуждать. Осведомленность требует знания культуры компании и осознанности, строится на отношениях между людьми и решении повседневных проблем.
  • Недавно ученые из New York Institute of Technology и Stevens Institute of Technology опубликовали статью об использовании относительно новой техники машинного обучения, которая позволяет на 18-24 % лучше угадывать пароли. Под угадыванием подразумевается взлом хэшей паролей в автономном режиме. В данной статье объясняется, как работает эта технология, для чего она может быть использована преступниками, какие меры защиты предпринять пользователям и руководителям служб безопасности.
  • В блоге Infosec Institute представлен краткий обзор ТОП-15 книг, обязательных для специалистов по информационной безопасности разного уровня квалификации. Они также подойдут для людей, готовящихся к карьере в области ИБ. И хотя некоторые из них были написаны несколько лет назад, они по-прежнему являются избранными книгами многих профессионалов и студентов.

Интересные посты русскоязычных блогов по ИБ

  • На Хабрахабре появилась статья, где приведен анализ систем обнаружения вторжений (IDS), принципы функционирования и анализ атак, а также краткое исследование работ в области нейросетевых решений. Автором сделана попытка разработки модуля для обнаружения аномалий в сети на основе нейросетевого метода анализа сетевой активности и проанализированы результаты проделанной работы.
  • Алексей Лукацкий посвятил пост рассмотрению конкуренции между двумя основными банками страны — Сбербанком и Банком России. Алексей попробовал составить некоторые ключевые вехи, которые в разное время звучали из уст представителей двух финансовых организаций. Эти банки идут в ногу, занимаясь общим и важным для финансовой отрасли делом — повышением ее кибербезопасности. В результате получается здоровая конкуренция, которая движет рынок вперед.
  • Андрей Прозоров поделился списком и ссылками на Supervisory Authority (надзорный орган по GDPR) в разных странах ЕС. Некоторые из перечисленных органов публикуют полезные комментарии и рекомендации по соблюдению GDPR. Автор изучил и прокомментировал доступные ресурсы этих органов.

Исследования и аналитика

  • Лаборатория Касперского провела исследование взлома национального ЦОД в Центральной Азии. Как полагают специалисты, основной целью хакеров стала подготовка плацдарма для кибератак на правительственные web-сайты страны. За кампанией против национального дата-центра стоит китаеязычная группа LuckyMouse (также известная как EmissaryPanda и APT27).
  • Исследование компании BeyondTrust показывает, что 90 % предприятий используют по крайней мере одну из технологий следующего поколения (NGT) — облака, IoT или AI. При этом 78 % видят огромные риски безопасности, связанные с этими технологиями. Каждый пятый респондент столкнулся с пятью или более нарушениями, связанными с NGT. Чрезмерные привилегии пользователей оказались причиной инцидентов в 52 % случаев.
  • По данным Nexusguard, DDoS-атаки типа усиления DNS в первом квартале 2018 года удвоились по сравнению с прошлым кварталом и выросли почти на 700 % в годовом исчислении. Согласно отчету Q1 2018 Threat Report, уязвимые Memcached серверы представляют значительный риск, если они не настроены должным образом.
  • Согласно отчету Positive Technologies, используя недостатки протокола Diameter, злоумышленник может лишить абонентов основных преимуществ 4G — высокой скорости и качества связи. Уязвимости протокола Diameter могут привести к блокировке работы банкоматов, POS-терминалов, приборов учета ЖКХ, автосигнализаций, а также систем видеонаблюдения.
  • Специалисты Positive Technologies подготовили статистику по уязвимостям, обнаруженным в ходе проведения работ по тестированию безопасности веб-приложений. По результатам анализа было установлено, что злоумышленники могут получить персональные данные в 44% систем, в которых осуществляется их обработка. Речь идет, среди прочего, о финансовых учреждениях, интернет-магазинах и телекоммуникационных компаниях. При этом доля приложений, для которых существует угроза утечки критически важной информации, составляет 70%.
  • Специалисты Positive Technologies проанализировали данные за первый квартал 2018 года и отметили рост числа киберинцидентов на 32% по сравнению с аналогичным периодом прошлого года, а также использование вредоносного ПО в большинстве атак. Согласно отчету, в I квартале текущего года существенно выросла (на 13% по сравнению со средним показателем за 2017 год) доля атак, нацеленных на получение данных: это преимущественно персональные данные, а также учетные записи и пароли.
  • Компания SAP выпустила очередной пакет ежемесячных исправлений, в котором закрыла десять уязвимостей своих продуктов. В их числе две критические бреши, четыре ошибки с высокой степенью опасности и четыре умеренные угрозы. Два апдейта закрыли уязвимости, связанные с проблемой безопасности встроенного веб-браузера и возможностью инъекции для отправки операционной системе несанкционированных команд. Бреши были обнаружены в продуктах SAP Business Client и SAP BASIS.
  • Palo Alto Networks раскрыла некоторые статистические данные по фишингу в первом квартале 2018 года, особенно для фишинговых HTTPS-адресов. Согласно отчету, в первом квартале было найдено 4 213 адресов из 262 уникальных доменов, используемых в фишинговых атаках. Более половины этих фишинговых доменов были размещены в США, на втором месте –Германия, на третьем – Польша.
  • Аналитики McAfee Advanced Threat Research team опубликовали отчет McAfee Blockchain Threat, в котором описаны текущие угрозы в отношении пользователей и разработчиков блокчейн-технологий. Злоумышленники используют множество методов, нацеленных на потребителей и предприятия. Основные векторы атак включают фишинг, вредоносные программы, эксплуатацию уязвимостей и технологичные атаки.
  • Trend Micro выявили тенденции в ландшафте угроз и нарисовали картину основных типов угроз по данным из Trend Micro™ Smart Protection Network™ в Северной Америке за 1 квартале 2018 года. Согласно отчету, основными угрозами остаются похищение данных, вымогатели и майнеры криптовалют. В качестве вывода отчета выделена важность реализации упреждающей стратегии реагирования на инциденты, включая обнаружение угроз и возможности реагирования на инциденты.
  • Специалисты Digital Security провели анализ безопасности компонентов Microsoft Office с целью повышения компетентности внутренних служб безопасности компаний и обычных пользователей. В рамках проекта был проведен анализ внутреннего устройства ПО, архитектурных особенностей, технологий и их недостатков. Были рассмотрены следующие ключевые блоки: закрытые технологии, COM-технологии, расширения, централизованное конфигурирование и администрирование, шифрование, определение векторов атаки на приложения/компоненты Microsoft Office.

Громкие инциденты ИБ

  • Установочная программа клиента Syscoin для Windows версии 3.0.4.1 содержала вирус и была загружена на Github хакером, который взломал аккаунт одного из разработчиков. Об этом рассказали представители стартапа. Пользователи, которые скачивали программу с 6 по 13 июня, могут потерять свои средства.
  • Выявлена фишинговая кампания, связанная с началом Чемпионата мира по футболу 2018. Кибермошенники рассылают зараженный файл под видом расписания игр и турнирной таблицы. Как сообщают эксперты Check Point Software Technologies, во вложении фишинговых писем скрывается вредоносное ПО под названием «DownloaderGuide», который известен как загрузчик потенциально нежелательных программ.
  • Мошенники воспользовались брендом «Четвертого канала», устроив массовую атаку на сайт телекомпании. Ситуация в Екатеринбурге возникла утром 18 июня, когда на телефонные номера множества горожан и компаний поступили анонимные звонки с предложением принять участие в опросе по теме повышения пенсионного возраста. Сайт телекомпании, набрав 8 миллионов посещений, рухнул.
  • Хакеры похитили криптовалюту на $32 млн с одной из крупнейших криптовалютных бирж Южной Кореи Bithumb. В результате ограбления криптовалютная биржа приостановила деятельность. Пострадавшим пообещали компенсировать ущерб.
  • Центр кибербезопасности 360 зафиксировал новую вредоносную кампанию, распространяющую программу ClipboardWalletHijacker, которая перехватывает информацию в буфере обмена и подменяет адрес учетной записи Bitcoin или Ethereum на собственный, что позволяет перенаправить туда перевод средств. Более 300 000 компьютеров были поражены этим образцом вредоносной программы.

Обзор событий предстоящих недель 25.06 – 06.07

Посетить

Послушать

Поделиться записью: