А вот как эта принудительная смена антивируса звучит на корпоративном:

«Кроме того, Kaspersky объединил усилия с UltraAV в стремлении сделать переход на их продукт как можно более плавным, поэтому 19 сентября американские пользователи антивируса Kaspersky получили обновление программного обеспечения, облегчающее переход на UltraAV. Это обновление гарантирует, что пользователи не будут испытывать недостатка в защите после ухода Kaspersky с рынка».

Видимо, это сомнительное решение принималось совместно.

Новое соревнование.

США и Big Tech направят ИИ на устойчивое развитие

В этом году США продвигают или поддерживают много международных инициатив в области ИИ, начиная от принятия первой резолюции по этой теме в Генассамблее в марте до недавнего подписания Рамочной конвенции Совета Европы, первого юридически обязательного (но не очень жёсткого) международного соглашение по ИИ.

Ещё одна американская инициатива только что была анонсирована на полях 79-й сессии Генассамблеи в Нью-Йорке — на этот раз вместе с крупными технологическими компаниями. Госдепартамент объединяется с Big Tech'ом для запуска Партнёрства для глобальной инклюзивности в сфере ИИ (Partnership for Global Inclusivity on AI). Со стороны бизнеса партнёрами выступили 8 компаний, в т.ч. Amazon Web Services, Google, IBM, Microsoft, OpenAI. Госдепартамент и компании обещают потратить суммарно более 100 млн долларов на программы, связанные с устойчивым развитием.

Например, Anthropic потратит 1 млн на предоставление доступа к API Claude и Claude for Teams для государственных проектов, связанных с устойчивым развитием, демократией и улучшением услуг для граждан. OpenAI тоже потратит 1 млн на предоставление доступа к своему API в странах с низким и средним доходом для разработчиков, которые используют ИИ, «чтобы помочь решить сложные проблемы и подстегнуть экономический рост в своих сообществах». Nvidia обещает тратить 10 млн в год на программы обучения в развивающихся странах. У гигантов IBM, Google и Microsoft есть свои большие социально-ориентированные программы, поэтому их участие, скорее символическое, но они тоже собираются инвестировать в программы обучение, развития цифровой инфраструктуры.

В целом это знакомая история про сотрудничество частных и государственных доноров в оказании помощи развитию: компании решают свои бизнес-задачи, наращивают присутствие на перспективных рынках, реализуют имиджевые проекты; госорганы получают дополнительные ресурсы для помощи партнёрам, укрепления политического влияния. Что здесь нового, так это выделение развития ИИ в самостоятельное направление международной помощи — ну, или как минимум использование популярности тренда.

Американский телеканал CNBC выпустил подкаст про Владислава Клюшина, гражданина России и владельца компании М-13, в 2023 году осуждённого в США на 9 лет за кражу корпоративных данных с компьютеров финансовых фирм Toppan Merrill и Donnelley Financial Solutions и использование этой информации для получения выгоды на рынке ценных бумаг. ФБР оценило ущерб от этих действий в 93 млн долларов. Защита Клюшина подала апелляцию, но её не успели рассмотреть — в начале августа этого года он вернулся в Россию в рамках обмена заключёнными с западными странами.

В США Клюшин был помилован с условием, что не будет предпринимать дальнейших действий по обжалованию приговора. За неделю до обмена федеральный прокурор США представил позицию, почему решение суда должно остаться в силе (кстати, очень интересное чтиво, особенно в части использования VPN).

Американская киберпомощь

Госдепартамент США готовится выделить средства на международные проекты не только в сфере развития ИИ, но и в области кибербезопасности. По линии Бюро по вопросам киберпространства и цифровой политики будет выделено почти 35 млн долларов на 9 проектов. Крупнейшие из них (по 10 млн) это ProCon Global и FALCON. Первый направлен на оказание технического содействия развивающимся странам в сфере обеспечения связности за счёт расширения сети подводных интернет-кабелей. Как следует из комментария главы бюро Натаниэля Фика, конкретно это будет выражаться в создании дополнительной ветки для подключения тихоокеанских стран к уже реализующемуся коммерческому проекту Google. FALCON (Foreign Assistance Leveraged for Cybersecurity Operational Needs) — проект, направленный на создание и поддержание резерва кибервозможностей (прежде всего коммерческих), которые Бюро по вопросам киберпространства и цифровой политики может оперативно («в идеале в течение 48 часов») задействовать для помощи странам-партнёрам в реагировании на компьютерные инциденты (примеры Албании и Коста-Рики). Другие проекты направлены на развитие облачной инфраструктуры, обучение ИБ-профессионалов, содействие в разработке национальных стандартов и пр. Детали проектов можно узнать из материалов грантовых конкурсов.

США по линии Госдепартамента и USAID уже несколько лет выделяет средства на международную помощь, связанную с информационной безопасностью, а с образованием Бюро по вопросам киберпространства и цифровой политики, очевидно, будет чаще прибегать к этому инструменту.

Попалась вот такая статья американского автора Дэвида Лэнтропа от декабря 1990 года: «Перестройка и её последствия для компьютерной безопасности в СССР».

Некоторые оценки вполне актуальны:

«По мере того как по всей территории СССР будут распространяться компьютеры и коммуникационные технологии, создаваться сети, а телефонная сеть общего пользования будет расти в размерах и качестве, Советский Союз начнет сталкиваться с проблемами, от которых давно страдает Запад, а именно с несанкционированным проникновением в компьютерные системы и базы данных. При нынешнем плохом состоянии средств связи и малом количестве компьютеров у Советского Союза, вероятно, не было особых проблем с хакерами и другими компьютерными преступниками. Скорее, их основные угрозы безопасности носят внутренний характер, например, саботаж со стороны недовольных сотрудников или хищения с помощью различных техник программирования.

Однако с современными сложными международными сетями компьютеры по всему миру уязвимы, если к ним есть удаленный доступ».

Автор прогнозировал, что подход к безопасности новых средств связи в СССР будет отличаться от американского, а также предполагал, что советские власти будут строже наказывать за компьютерные преступления:

«Советский Союз, однако, обязательно отреагирует на новые угрозы. Например, важные компьютерные объекты будут просто недоступны для dialup-модемов, а к строгим мерам физической безопасности добавится ещё одна степень защиты. Учитывая советскую склонность к внутренней безопасности, нет никаких гарантий, что компьютеры, терминалы и модемы будут свободно доступны для частного использования. Постоянное напряжение, существующее между теми, кто хочет облегчить доступ к компьютерам для пользователей, и теми, кому поручено обеспечивать безопасность компьютеров, в СССР может рассматриваться на иной шкале ценностей, чем, например, в США. Хакерам и другим компьютерным преступникам также может грозить гораздо более суровое наказание, чем легкие приговоры, выносимые американскими судами».

Исследователи из HP нашли «в дикой природе» пример вредоносного кода, с высокой вероятностью написанного с помощью генеративного ИИ. На это указывают нетипичные признаки: названия функций на естественном языке и оставленные в коде комментарии на французском. Пересказ на русском есть на SecurityLab, а вот сам доклад.

В феврале OpenAI и Microsoft рассказывали о блокировке аккаунтов APT-групп, которые пользовались ИИ-сервисами компаний для разных целей, в том числе и для написания кода.

Вообще, наверно, таких случаев уже полно, но так явно определить их нелегко.

Как отмечено в отчёте HP, эта атака показывает, как генеративный ИИ ускоряет атаки и снижает порог для заражения конечных устройств киберпреступниками.

А вот более интересный пример использования ИИ во вредоносных программах. Recorded Future выпустила отчёт про стилер Rhadamanthys, в новую версию которого интегрирована технология распознавания текста (OCR). Эта возможность используется для извлечения из картинок seed-фраз от криптокошельков, которые отправляются на командный сервер сразу в текстовом виде. Как отмечают авторы отчёта, это один из первых стилеров с такой функциональностью.

О похожем использовании ИИ рассказывали исследователи «Лаборатории Касперского» в презентации об «Операции Триангуляция». Только там OCR и распознавание объектов на картинках не были частью вредоносной программы, вместо этого атакующие использовали возможности Apple. При загрузке картинки в галерею айфон с помощью ML генерирует описание картинки и, если на ней есть надписи, извлекает текст. Эти описания сохраняются в метаданных. Операторы шпионской программы догадались, что не обязательно сразу скачивать все фотографии. Сначала они получали как раз сгенерированные метаданные и по ним могли определить, какие файлы нужны.

Представляем первый рейтинг Топ — 43 лучших каналов в тематике ИБ в российском Telegram.

Основной критерий ранжирования в рейтинге — качество контента в канале и содержание. Каналы по шкале от 1 до 10 в нашем закрытом опроснике оценивала фокус группа из специалистов по инфобезу разных направлений. Ведь именно для них все эти каналы и были созданы.

Итак, наш ТОП:

Корпоративные каналы:

1. МТС Red
2. Kaspersky
3. F.A.C.C.T
4. k8s security
5. Echelon Eyes
6. 3side
7. Future Crew
8. Positive Technologies

Микроблоги:

1. README.hta
2. Сицебрекс!
3. CyberBox
4. Ever Secure
5. Ильдар пишет

Новостные/агрегаторы:

1. SecAtor
2. НеКасперский
3. Offensive Twitter
4. RUSCADANEWS
5. НеЛукацкий

Юмор/мемы:

1. Cybersecurity memes
2. Bimbosecurity
3. Information Security Memes
4. Спасите Нарциссо
5. #memekatz

Авторские каналы:

1. Пост Лукацкого
2. Пакет Безопасности
3. Управление уязвимостями и прочее
4. Солдатов в Телеграм
5. Топ кибербезопасности Батранкова

Offensive:

1. RedTeam brazzers
2. Кавычка
3. PRO:Pentest
4. Похек
5. Ralf Hacker Chanel

Defensive:

1. Security Wine
2. PurpleBears
3. AppSec Jorney
4. AlexRedSec
5. Кибервойна

Смешанная тематика:

1. DanaScully
2. Mobile AppSec World
3. PWN AI
4. Кибербез образование
5. BESSEC

@cybersachok

Кроме этого, обвинения выдвинуты ещё против одного россиянина — Тимура Шахмаметова. Согласно Минюсту США, он под никами Vega и JokerStash управлял крупным кардерским форумом Joker’s Stash. Админ объявил о закрытии сайта в начале 2021, а до этого в декабре 2020 ФБР конфисковало несколько доменов и серверов, связанных с форумом.

«Ростелеком» запустил для своих клиентов и абонентов Т2 (Теле-2) сервис по поиску своих данных в слитых базах.

«В личном кабинете пользователь может запросить специальную проверку, в результате которой он получит отчет с перечнем утекших данных в частично скрытом виде (ФИО, телефон, почта, адрес, пароли). Также отобразится список скомпрометированных ресурсов и вероятная дата утечки информации. Такая информация позволит понять, где нужно поменять пару «логин-пароль», какие сайты могут быть небезопасными, как предотвратить взлом социальных сетей и личных кабинетов на разных ресурсах».

Полгода назад такой сервис запустил НКЦКИ. Также есть международные сервисы, прежде всего have i been pwned? Плюс ещё в Казахстане недавно появился сервис CitizenLeak, там тоже можно себя посмотреть, поскольку в базах данных не только казахстанцы.

Конечно, очень интересно, что можно столькими способами поискать, откуда и какие данные о тебе утекли. Сейчас проще узнать так, чем от протёкшего оператора персданных — организации почти никогда клиентов не информируют о краже данных. Правда, хотелось бы ещё что-то с этим сделать помимо смены пароля.

Обмен данными о кибератаках в БРИКС

В апреле МИД России сообщил о решении создать между участниками БРИКС реестр контактных пунктов для обмена информацией о компьютерных атаках. А на недавней встрече с высокими представителями стран БРИКС, курирующими вопросы безопасности, Владимир Путин отметил создание этого реестра среди конкретных результатов совместной работы БРИКС. С российской стороны идею реестра выдвинул НКЦКИ, который участвует в аналогичных реестрах ОБСЕ, АСЕАН, ОДКБ и ООН.

Чего я, признаюсь, не знал, так это того, что в рамках БРИКС уже несколько лет был подобный реестр, точнее канал для обмена информацией о кибератаках. Но действовал он только между центральными банками (новый канал общения создаётся между государственными CERT'ами).

Название канала — BRICS Rapid Information Security Channel, сокращённо BRISC (да!). Создание канала началось ещё в 2020 году. В 2021 центробанки обменялись лучшими практиками информационной безопасности в финансовой сфере. А в этом году прошли первые учения канала BRISC, они закончились неделю назад в Татарстане, участие приняли 7 центральных банков.

«Участники в течение нескольких дней отрабатывали навыки противодействия актуальным угрозам информационной безопасности. Каждая команда стран-участников расследовала свой инцидент и восстанавливала всю цепочку атаки, чтобы выйти на след злоумышленников и ликвидировать ее последствия. Один из сценариев компьютерной атаки предусматривал, что условные злоумышленники атаковали финансовую организацию через уязвимость в инфраструктуре ее провайдера».

В Москве суд арестовал двух сотрудников Федеральной таможенной службы, которые, по мнению следствия, продавали данные о перемещаемых через границу товарах. Уголовные дела заведены по двум статьям: о взятке в крупном размере (ч. 6 ст. 290 УК) и за неправомерный доступ к информации в КИИ (ч. 4 ст. 274.1 УК).

США обвинили троих иранцев во взломе кампании Трампа. Об атаке стало известно в начале августа со слов представителей штаба республиканского кандидата, а также из отчёта Microsoft. В конце августа о причастности Ирана заявили и американские спецслужбы, а Иран эти обвинения отверг и потребовал предоставить доказательства.

Разные детали расследования можно узнать из обвинительного заключения. Если вывести за скобки политическую часть, то злоумышленники специализировались на целевом фишинге, который был тщательно подготовлен — для рассылки вредоносных писем создавались почтовые аккаунты реальных лиц и вымышленных организаций. Кампания была весьма эффективна, согласно документу, среди жертв, чьи аккаунты атакующим удалось скомпрометировать, помимо людей, близких к кампании Трампа, были бывшие высокопоставленные чиновники: бывший посол США в Израиле, бывший первый заместитель директора ЦРУ, бывший советник президента по внутренней безопасности и другие.

Кстати, ещё на днях были опубликованы украденные материалы — их взломщики разослали нескольким американским изданиям. Большинство отказалось выпускать статьи, помогая таким образом чужой информационной операции. Но спустя почти два месяца журналист Кен Клиппенштейн всё-таки выложил один документ из утечки — досье на Джей Ди Вэнса, кандидата в вице-президента. За это Твиттер приостановил аккаунт журналиста.

Я бы только слово «возможном» убрал.

https://tass.ru/ekonomika/21982447

В США продолжаются кибератаки на водоочистные объекты

Неделю назад в городе Арканзас-Сити, штат Канзас, произошёл инцидент кибербезопасности на объекте по очистке воды, сообщили местные власти. На качестве воды это не сказалось. Но на время устранения последствий объект перешёл на ручное управление. По словам представительницы города, причиной был не рядовой сбой, а, похоже, какое-то электронное письмо. Расследованием занимается в том числе Министерство внутренней безопасности.

Спустя пару дней после инцидента CISA напомнило, что злоумышленники продолжают атаковать системы управления оборудованием (не особо изощрёнными способами), поэтому организациям нужно выполнять рекомендации, которые агентство выпустило ранее в этом году. Бюллетень CISA вышел в начале мае и предостерегал от атак пророссийских хактивистов на объекты водоснабжения — до этого такими атаками хвасталась Народная CyberАрмия (некоторые инциденты подтверждали местные власти в США и Европе). В июле США ввели санкции против двух россиян за причастность к этой группировке.

Ответственность за взлом в Арканзас-Сити тоже взяла на себя пророссийская группа — Z-Pentest. Раньше о ней никто не слышал: одноимённый канал появился только 23 сентября (т.е. после первого сообщения о взломе). О дружбе с Z-Pentest заявили Народная CyberАрмия и NoName057(16). 26 сентября Z-Pentest опубликовала видео манипуляций с неким интерфейсом в подтверждение своей причастности ко взлому водоочистной станции. Правда, что это за видео, непонятно. Например, на экране мелькает надпись Houston, AR — а это совсем другой город в другом штате.

Инцидент произошёл в выходной

Министерство труда и социальной защиты России в августе получило административный штраф в размере 100 тысяч рублей за утечку персональных данных. Согласно постановлению, ведомство допустило утечку базы персданных сотрудников на 1400 строк.

Датой нарушения названо 27 ноября 2023 года. Речь, очевидно, идёт о кибератаке и последующем сливе внутренней информации Минтруда, организованных проукраинской группировкой Blackjack. 29 ноября она заявила в своём канале о краже и удалении 50 ТБ данных министерства, опубликовав в подтверждение скриншоты и архив с внутренними документами. Украинские СМИ сообщали тогда, что кибератака якобы была проведена Blackjack с помощью СБУ.

Blackjack — хактивистская группировка, выступающая публично с осени 2023. Согласно отчёту «Лаборатории Касперского», она использует только свободно распространяемое или опен-сорсное ПО и по инструментарию схожа с группировкой Twelve.

Постановление суда примечательно не только тем, что подтверждает прошлогоднюю атаку, но и относительно подробным описанием инцидента со слов представителей защиты. Минтруда было взломано через подрядчика, который имел легитимный доступ к его инфраструктуре. Злоумышленники, получив доступ к подрядчику, через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции.

Фрагмент с более детальным описанием прикрепляю в виде скриншота. На мой взгляд, он заслуживает изучения всеми, кто занимается обеспечением информационной безопасности организаций. Особенно в части оправданий (этой теме я посвятил несколько постов, а также выступление на PHDays).

Сразу обращает на себя внимание тезис о том, что «инцидент, в результате которого в отношении Министерства составлен протокол об административном правонарушении произошел в выходной день». С таким аргументом в постановлениях по административным делам я сталкиваюсь впервые, даже не знаю, сочувствовать или нет. Увы, у вас и злоумышленников может быть разный график работы.

Аргумент о том, что в организации «в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности персональных данных» хорош до тех пор, пока ваши данные не оказываются в канале хакерской группировки.

Подрядчик действительно должен «обеспечивать соблюдение требований информационной безопасности при подключении к [инфраструктуре министерства], а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц». Но имеет смысл проверить, а делает ли он всё это, а также быть готовым к худшему сценарию, особенно в условиях, когда число атак через подрядчиков растёт в разы.

Наконец, ещё отмечу такой момент: «не доказано, что обрабатываемая информация относилась к инфраструктуре [Минтруда], поскольку информационные системы Министерства не содержат той совокупности персональных данных , которые были размещены в Telegram-канале».

Действительно, согласно постановлению, судья принимал решение на основе протокола Роскомнадзора, двух уведомлений от Минтруда, скриншотов из телеграм-канала и др. материалов — но выездная проверка, в ходе которой специалисты Роскомнадзора сопоставляли бы данные из утечки с данными из информационных систем ведомства, похоже, не проводилась. В 2022 году Роскомнадзор регулярно проводил такие проверки, но их число сократилось, когда операторов персданных обязали направлять уведомления об инцидентах. После этого Роскомнадзор чаще всего ориентируется только на уведомления.

Тут и правда могут возникнуть проблемы: например, если организация уведомляет об утечке только на основании публикации в канале хакеров, а не собственного расследования, Роскомнадзор может составить протокол на основе этого уведомления и скриншотов, то есть не проверив, была ли утечка. Правда, в случае Минтруда, поскольку взлом действительно был, выездная проверка вряд ли была бы в его пользу.

В конце хочу сказать отдельное спасибо судье, не согласившегося с просьбой представителей министерства не публиковать судебный акт «в целях безопасности». Наоборот: это очень полезное чтиво в целях безопасности.