В 2023 году было зафиксировано более 290 утечек персональной информации, в результате которых злоумышленники получили актуальные сведения о 240 млн телефонных номерах и 123 млн адресах электронной почты российских пользователей, сообщили «Известия» со ссылкой на исследование сервиса разведки уязвимостей и утечек данных DLBI. Годом ранее было 270 утечек. Тогда в руки злоумышленников попали 99,8 млн уникальных e-mail-адресов и 109,7 млн телефонных номеров россиян.

Источник изображения: TheDigitalArtist/Pixabay

Информация Роскомнадзора отличается от данных DLBI. Регулятор сообщил, что за год было зафиксировано 168 утечек персональных данных, в результате которых в Сеть попали более 300 млн записей. Годом ранее было отмечено более 140 случаев утечек, и в открытом доступе оказались около 600 млн персональных данных.

По данным DLBI, почти 40 % утечек пришлось на индустрию электронной коммерции, за которой следуют здравоохранение (9 %) и развлекательные сервисы (8,5 %). По объёму «слитых» данных лидирует банковская сфера (47 % утёкших телефонных номеров) и электронная коммерция (38 % скомпрометированных электронных адресов).

В частности, в начале прошлого года была взломана база клиентов «Спортмастера» и, по данным Telegram-канала «Утечки информации», в открытый доступ попали 99,9 млн строк информации (13,4 млн уникальных адресов электронной почты и 45 млн телефонных номеров). Также в Сеть утекли данные пользователей бонусной программы «СберСпасибо», включая почти 48 млн уникальных телефонных номеров и 3,3 млн адресов электронной почты.

Помимо переориентации хакеров на сегмент e-commerce, в числе основных трендов в DLBI назвали значительное снижение доли крупных утечек (размером более миллиона уникальных записей) — с 30 до 10 процентов. Также сменился вектор атак. Если раньше практически все утечки происходили благодаря инсайдерам, то с 2022-го стали преобладать хакерские атаки.

Для повышения ответственности компаний за обеспечение безопасности личных данных россиян законодатели предлагают ввести оборотные штрафы за утечки. Согласно предложенному законопроекту, штраф за повторное нарушение, если утекли сведения о более 1 тыс. человек, должен составлять от 0,1 до 3 % выручки за предшествующий календарный год. Также предлагается использовать портал «Госуслуги» для обращений пострадавших от утечки персональных данных за получением компенсации ущерба от организаций.

После неудачной попытки отклонить судебный иск, связанный с особенностями работы режима «инкогнито» в браузере Chrome, компания Google решила урегулировать претензии оппонентов, ранее требовавших компенсации в $5 млрд. Стороны отказались сообщать условия соглашения — они будут представлены суду в конце января, а суд вынесет решение в феврале.

Источник изображения: Rubaitul Azad / unsplash.com

Иск был подан в 2020 году жителем Флориды Уильямом Байеттом (William Byatt), а также калифорнийцами Часомом Брауном (Chasom Brown) и Марией Нгуен (Maria Nguyen). Они заявили, что при активации режима «инкогнито» в браузере Chrome слежка за пользователем не прекращается: продолжается сбор данных системой Google Analytics, продолжают работать плагины и другие средства мониторинга пользователей. По версии истцов, отслеживая действия пользователей в режиме браузера «инкогнито», компания вводила их в заблуждение, заставляя поверить, что они могут контролировать объёмы информации, которой готовы делиться.

Google попыталась отклонить иск, заявив, что поставила пользователей в известность о данном факте: при запуске режима «инкогнито» выводится сообщение, что их действия не сохраняются на компьютерах локально, но «будут видны сайтам, которые вы посещаете». Рассматривающая спор судья Ивонн Гонсалес-Роджерс (Yvonne Gonzalez Rogers), тем не менее, в августе решила дать делу ход и отказала в его отклонении. Своё решение она мотивировала следующим образом: «Ходатайство Google [об отклонении иска] основано на идее того, что истцы согласились на сбор данных Google, пока они просматривали сайты в приватном режиме. Поскольку Google никогда напрямую не сообщала пользователям об этом, суд с позиции закона не может прийти к выводу, что пользователи давали явное согласие на сбор ставших предметом спора данных».

Истцы также представили суду внутреннюю переписку сотрудников Google, подтверждающую, что компания следила за действиями пользователей в режиме браузера «инкогнито» для продажи рекламы. В действии Google, по их мнению, усматриваются признаки нарушения федерального закона о прослушивании телефонных разговоров и закона штата Калифорния о конфиденциальности. В этой связи истцы потребовали от компании компенсации в размере до $5000 за каждого пострадавшего от её действий пользователя или всего $5 млрд.

Приоритет кода из четырёх или шести цифр над прочими способами подтверждения личности владельцев iPhone представлял определённую угрозу информационной безопасности, поскольку похитители смартфонов с помощью заветной комбинации могли полностью установить контроль над iPhone. Apple теперь ввела дополнительный механизм защиты «Защита от кражи устройства», который использует статистику географических перемещений пользователя.

Источник изображения: Apple Support

Как сообщает The Wall Street Journal, в бета-версии iOS 17.3 уже реализована поддержка режима Stolen Device Protection, что в буквальном переводе с английского означает «режим защиты похищенного устройства». Отслеживая перемещения смартфона в пространстве, операционная система определяет аномалии с точки зрения географического позиционирования, и если iPhone находится в нетипичном для сценариев использования конкретным владельцем месте, автоматически активируется дополнительная защита в сфере аутентификации. Чувствительные с точки зрения изменения настроек безопасности действия нужно будет в этом случае подтверждать не только вводом цифрового кода, но и через функцию распознавания лица Face ID. Также будет активирован запрет на изменение пароля Apple ID или отключение аутентификации через Face ID без обязательной часовой паузы с обязательным повторным подтверждением личности через Face ID для применения подобных изменений.

Подразумевается, что такие меры усложнят жизнь похитителям смартфонов Apple, которые выработали тактику получения доступа к PIN-коду жертвы и дальнейшего завладения самим устройством. Ранее они могли сразу же при помощи цифрового кода изменить все ключевые настройки безопасности и блокировать защитные функции Activation Lock или Lost Mode. Для этого было достаточно подсмотреть, как владелец набирает заветную комбинацию цифр, а затем выудить у него смартфон. Нередко это происходило в публичных местах вроде баров, когда злоумышленники просто наблюдали за вводом кода через плечо жертвы или просили показать какую-то фотографию со смартфона владельца и так же подсматривали нужную комбинацию цифр.

Подразумевается, что часовая отсрочка на применение чувствительных изменений в случае с перемещением iPhone за пределы привычных для владельца маршрутов позволит ему вовремя блокировать устройство при обнаружении пропажи. На чёрном рынке заблокированный iPhone обычно распродаётся на запчасти, а функционирующее устройство с полноценным доступом можно продать дороже. Apple через введение дополнительных мер защиты пытается усложнить жизнь злоумышленникам, промышляющих кражами устройств этой марки. Владелец iPhone может отключить режим Stolen Device Protection, если он усложняет его жизнь, но в этом случае возрастает риск попадания чувствительных данных в руки похитителей при наличии у них действующего цифрового кода доступа к смартфону.

Интерфейсы UEFI, загружающие устройства Windows и Linux, могут быть взломаны с помощью вредоносных изображений логотипов. Миллиарды компьютеров под управлением Windows и Linux практически от всех производителей уязвимы к новой атаке, которая запускает вредоносную микропрограмму на ранних этапах загрузки. Таким образом система оказывается заражена вирусом, который практически невозможно обнаружить или удалить с помощью существующих механизмов защиты.

Источник изображения: pixabay.com

Атака, названная исследователями LogoFAIL, отличается относительной простотой осуществления, широтой охвата моделей потребительского и корпоративного класса, которые подвержены ей, и высоким уровнем контроля над ними. Во многих случаях LogoFAIL может быть удалённо выполнен через эксплойт с использованием техник, которые не могут быть обнаружены традиционными продуктами для защиты конечных точек. А поскольку эксплойты запускаются на самых ранних стадиях процесса загрузки, они способны обойти множество защитных средств, включая общепринятую в отрасли систему Secure Boot и другие средства защиты от Intel, AMD и других производителей железа, разработанные для предотвращения заражения так называемыми буткитами.

LogoFAIL представляет собой совокупность двух десятков недавно обнаруженных уязвимостей, которые годами, если не десятилетиями, скрывались в унифицированных расширяемых интерфейсах встроенного ПО, отвечающих за загрузку современных устройств, работающих под управлением Windows или Linux. Обнаружение этих уязвимостей — результат почти годовой работы компании Binarly, которая помогает клиентам выявлять и защищать уязвимые системы.

Затронуты продукты компаний, которые представляют почти всю экосистему x64-86 и ARM. Это и такие поставщики UEFI, как AMI, Insyde и Phoenix (их ещё называют IBV или независимыми поставщиками BIOS); производители устройств, такие как Lenovo, Dell и HP; и производители процессоров, включая Intel, AMD и разработчиков Arm-процессоров. Исследователи обнародовали информацию об атаке в среду на конференции по безопасности Black Hat в Лондоне.

Как следует из названия, LogoFAIL затрагивает логотипы, в частности логотипы продавца оборудования, которые отображаются на экране устройства в самом начале процесса загрузки, пока UEFI еще работает. Парсеры изображений в UEFI всех трех основных поставщиков UEFI имеют около десятка критических уязвимостей, которые до сих пор оставались незамеченными. Заменяя легитимные изображения логотипов на идентичные, специально созданные для использования этих ошибок, LogoFAIL позволяет выполнить вредоносный код на самом ответственном этапе процесса загрузки, который известен как DXE (Driver Execution Environment).

«Если на этапе DXE удается выполнить произвольный код, то для безопасности платформы все кончено, — утверждают в своём отчёте исследователи из компании Binarly, обнаружившей уязвимости. — С этого этапа мы получаем полный контроль над памятью и диском целевого устройства, включая операционную систему, которая будет запущена».

После этого LogoFAIL может доставить «полезную нагрузку» второго этапа, которая сбрасывает исполняемый файл на жёсткий диск ещё до запуска основной ОС. В следующем видеоролике показан пробный вариант эксплойта, созданный исследователями. На заражённом устройстве — Lenovo ThinkCentre M70s 2-го поколения, работающем на 11-м поколении Intel Core с UEFI, выпущенным в июне, — работают стандартные средства защиты прошивки, включая Secure Boot и Intel Boot Guard.

В своём письме основатель и генеральный директор Binarly Алекс Матросов (Alex Matrosov) написал: «LogoFAIL — это недавно обнаруженный набор уязвимостей высокого уровня безопасности, затрагивающих различные библиотеки парсинга изображений, используемые в системных прошивках различных производителей в процессе загрузки устройства. В большинстве случаев эти уязвимости присутствуют в эталонном коде, что оказывает влияние не на одного производителя, а на всю экосистему, включающую этот код и производителей устройств, в которых он используется. Эта атака может дать угрожающему агенту преимущество в обходе большинства решений по защите конечных точек и предоставить скрытый буткит прошивки, который будет сохраняться в капсуле прошивки с изменённым изображением логотипа».

Существует несколько способов использования LogoFAIL. Удалённые атаки осуществляются путем использования непропатченной уязвимости в браузере, медиаплеере или другом приложении и использования полученного административного контроля для замены легитимного изображения логотипа, обрабатываемого в начале процесса загрузки, на идентичное, использующее дефект парсера. Другой способ — получить короткий доступ к уязвимому устройству, пока оно разблокировано, и заменить легитимный файл изображения на вредоносный.

В любом случае вредоносный логотип заставляет UEFI выполнять созданный злоумышленником код во время важной фазы DXE при каждой загрузке устройства. Выполняя код на этом раннем этапе, когда происходит большая часть инициализации системы, эксплойт перехватывает весь последующий поток выполнения, что позволяет ему обойти такие средства защиты, как Secure Boot и аппаратные механизмы проверки загрузки, такие как Intel Boot Guard, AMD Hardware-Validated Boot или ARM TrustZone-based Secure Boot.

В зависимости от того, как настроен UEFI, простая команда копировать/вставить, выполняемая вредоносным образом или с физическим доступом, во многих случаях является всем необходимым для помещения вредоносного образа в так называемый ESP (сокращение от EFI System Partition) — область жёсткого диска, где хранятся загрузчики, образы ядра и любые драйверы устройств, системные утилиты и другие файлы данных, необходимые до загрузки основной ОС.

У такого подхода есть серьёзные преимущества. Во-первых, на жёсткий диск никогда не попадает исполняемый код — этот метод известен как «бесфайловое вредоносное ПО», которое затрудняет обнаружение антивирусами и другими типами программного обеспечения для защиты конечных точек. Ещё одно преимущество: после создания образа устройство остается заражённым даже при переустановке операционной системы или замене основного жёсткого диска.

Если системная прошивка на базе UEFI настроена на корректное использование таких средств защиты, как Intel Boot Guard, и имеет немодифицируемый логотип, подбросить вредоносный образ в ESP невозможно. Однако во многих случаях можно запустить свободно распространяемый программный инструмент с сайта IBV или производителя устройства, который «перезаливает» прошивку из операционной системы. Чтобы пройти проверку безопасности, инструмент устанавливает ту же самую прошивку UEFI с криптографической подписью, которая уже используется, изменяя только изображение логотипа, которое не требует действительной цифровой подписи. Во многих случаях инструмент IBV имеет цифровую подпись, что снижает вероятность вмешательства средств защиты конечных точек.

В презентации, представленной в среду, исследователи привели следующее изображение, иллюстрирующее работу атак LogoFAIL.

Источник изображения: Binarly

В документе, сопровождающем презентацию, исследователи отмечают следующее:

«Как видно из предыдущего рисунка, атаку LogoFAIL можно разделить на три разных этапа. Сначала злоумышленник готовит образ вредоносного логотипа, сохраняет его в ESP или в неподписанном разделе обновления прошивки и перезагружает устройство. В процессе загрузки уязвимая прошивка загружает вредоносный логотип из ESP и разбирает его с помощью уязвимого парсера изображений, что позволяет злоумышленнику перехватить поток выполнения, используя уязвимость в самом парсере. Используя эту угрозу, злоумышленник может добиться выполнения произвольного кода на этапе DXE, что означает полный крах безопасности платформы.

Источник изображения: Binarly

Вкратце, каково же влияние наших находок и что делает LogoFAIL таким опасным? Как мы видим на предыдущем рисунке:

LogoFAIL не требует физического доступа к устройству. Поскольку он может быть выполнен полностью из операционной системы, он полностью разрушает любые границы безопасности между ОС и прошивкой. Современные средства защиты «под ОС», такие как Secure Boot, также совершенно неэффективны для борьбы с этой угрозой.

Атаки, начинающиеся на уровне прошивки, позволяют установить буткит и подорвать любой механизм безопасности на уровне ОС, оставаясь при этом совершенно необнаружимыми для решений по обнаружению систем безопасности.

Поскольку LogoFAIL нацелен на код, специфичный для UEFI, эта новая угроза не ограничивается одной архитектурой, а является еще одним примером межкремниевой эксплуатации, которая затрагивает как x86, так и ARM-устройства».

Исследователи обнаружили уязвимости, прогнав парсеры образов UEFI через инструмент, известный как фаззер. Фаззеры предназначены для выявления ошибок в программировании путем многократного выполнения небольших фрагментов кода с небольшими изменениями входных данных. Каждый раз, когда происходит сбой, фаззер отмечает адрес памяти, где он произошел, и входные данные, которые его вызвали. Дальнейший анализ с использованием других инструментов и процессов позволил исследователям выделить ошибки, позволяющие выполнить произвольный код или другие типы уязвимостей.

«Когда кампания завершилась, мы были ошеломлены количеством найденных сбоев — настолько, что сортировать их вручную было довольно сложно», — пишут исследователи. В общей сложности они выявили 24 уникальные первопричины, 13 из которых, по их мнению, можно использовать.

Полученные результаты поднимают сложный вопрос: если фаззеры выявили так много уязвимостей, которые можно использовать, почему разработчики UEFI (часто называемые IBV или независимыми поставщиками BIOS) и OEM-производители, продающие устройства, не воспользовались этими инструментами и не исправили основные ошибки? Исследователи Binarly продолжили:

«Этот процесс сортировки дал нам хорошее понимание первопричин, лежащих в основе этих ошибок. Хотя они охватывают широкий спектр проблем безопасности программного обеспечения, основной темой является отсутствие проверки данных, предоставляемых злоумышленниками. Например, на первом скриншоте показана ошибка в BMP-парсере AMI: указатель «Image» инициализируется путем добавления к начальному адресу изображения (&Header->CharB) поля заголовка «ImageOffset».

Источник изображения: Binarly

Поскольку это смещение может быть задано злоумышленником произвольно, переменная «Image» может указывать практически на любое место в памяти. Второй скриншот взят из парсера PNG в AMI, и он содержит не одну ошибку, а две. Первая ошибка - это отсутствие проверки на возвращаемое значение функции «EfiLibAllocateZeroPool», которая в случае неудачи возвращает NULL. Вторая ошибка - это целочисленное переполнение 32-битного целого числа, представляющего размер выделения. Когда злоумышленник устанавливает переменную «PngWidth» в большое значение, умножение на два приводит к тому, что результат переполняется и становится маленьким значением (например: 0x80000200 * 2 = 0x400).

Источник изображения: Binarly

Таким образом, злоумышленник может принудительно выделить буфер, который слишком мал для хранения декодированных PNG-данных, и таким образом переполнить буфер, когда он будет использоваться. Результаты нашей фаззинговой кампании однозначно говорят о том, что ни один из этих парсеров изображений никогда не тестировался IBV или OEM-производителями. Мы можем с уверенностью утверждать это, потому что фаззер смог найти несколько сбоев после нескольких секунд работы, и мы обнаружили сбои почти в каждом парсере, который мы тестировали».

Поскольку уязвимости парсера изображений, используемые LogoFAIL, находятся в UEFI, компьютеры Mac, смартфоны и другие устройства, использующие альтернативные механизмы загрузки, не пострадали. Интересно, что даже когда Apple использовала UEFI для загрузки предыдущего поколения компьютеров Mac с процессорами Intel, они все равно не были уязвимы к LogoFAIL. Причина: Apple жёстко закодировала файлы образов в UEFI, что сделало невозможным подмену легитимного образа на вредоносный аналог. Будучи разработчиком как аппаратного, так и программного обеспечения для компьютеров Mac, Apple имела такую возможность. Разнообразие экосистем, вращающихся вокруг платформ Windows и Linux, требует большей гибкости.

Многие устройства, продаваемые Dell, не поддаются прямой эксплуатации, поскольку файлы образов защищены Intel Boot Guard, что делает невозможным их замену даже при физической атаке. В качестве дополнительной меры многие устройства Dell не позволяют настраивать логотип. Несмотря на то, что эти меры эффективно закрывают поверхность атаки LogoFAIL, Binarly рекомендует исправлять уязвимости, связанные с разбором изображений высокой степени опасности, «поскольку они представляют собой опасность, которая может случайно превратиться в проблему безопасности».

LogoFAIL основывается на большом массиве исследований, проведённых более чем за десять лет. Впервые перехват последовательности загрузки путём использования ошибок разбора изображений в UEFI был продемонстрирован в 2009 году в презентации Black Hat исследователями Рафалом Войтчуком (Rafal Wojtczuk) и Александром Терешкиным (Alexander Tereshkin). С тех пор постоянно появляются новые открытия, как в последующих исследованиях, так и, в некоторых случаях, в атаках, обнаруженных в реальном мире.

Первый известный случай реальной атаки с использованием возможностей UEFI произошел в 2018 году с обнаружением вредоносного ПО, получившего название LoJax. LoJax, представляющий собой переработанную версию легального противоугонного программного обеспечения, известного как LoJack, был создан хакерской группой, известной под такими названиями, как Sednit, Fancy Bear и APT 28. Вредоносная программа была установлена удалённо с помощью инструментов, способных считывать и перезаписывать части флэш-памяти прошивки UEFI.

В 2020 году исследователи обнаружили второй известный случай атаки реального вредоносного ПО на UEFI. При каждой перезагрузке заражённого устройства UEFI проверял наличие вредоносного файла в папке запуска Windows и, если его не было, устанавливал его. Исследователи из компании Kaspersky, обнаружившей вредоносную программу и назвавшей её «MosaicRegressor», до сих пор не знают, как произошло заражение UEFI. Один из вариантов — ПК получили поддельное обновление UEFI. Другой вариант — получение короткого физического доступа к устройству и использование специально разработанного USB-накопителя для заражения UEFI.

С тех пор стало известно о нескольких новых буткитах UEFI. Их отслеживают под такими названиями, как ESpecter, FinSpy и MoonBounce. В ответ на эти угрозы производители устройств начали внедрять меры по защите процесса загрузки UEFI.

Ключевым средством защиты является Secure Boot — общепромышленный стандарт, использующий криптографические подписи, чтобы гарантировать, что каждая часть программного обеспечения, используемого при загрузке, доверена производителем компьютера. Secure Boot призван создать цепочку доверия, которая не позволит злоумышленникам заменить предназначенную для загрузки вредоносную микропрограмму. Если хоть одно звено в цепочке запуска не распознано, Secure Boot не позволит устройству запуститься.

В начале этого года исследователи из компании ESET обнаружили первый известный случай вредоносного ПО UEFI, которое обходит Secure Boot. Способность буткита UEFI, получившего название Black Lotus, обойти защиту, существующую уже 12 лет, была впечатляющей, но у него было одно ключевое ограничение — его можно было уничтожить, выполнив простую переустановку основной операционной системы. LogoFAIL не имеет такого ограничения. Пока вредоносный образ исполняется в UEFI, машина, на которой установлена прошивка, будет оставаться зараженной. На следующем изображении, приведенном ранее в этой статье, показаны различия между LogoFAIL и Black Lotus.

Нет никаких признаков того, что уязвимости LogoFAIL активно использовались в реальной практике злоумышленниками, и об этом вряд ли можно узнать, поскольку заражение очень сложно обнаружить с помощью традиционных инструментов и методов. Однако один из признаков компрометации можно получить, изучив файл изображения, который разбирается при загрузке. Если криптографический хэш этого файла отличается от хэша файла, который производители устройств обычно предоставляют бесплатно, устройство можно дополнительно проанализировать на предмет наличия признаков эксплуатации.

Уязвимости LogoFAIL отслеживаются под следующими обозначениями: CVE-2023-5058, CVE-2023-39538, CVE-2023-39539 и CVE-2023-40238. В настоящее время этот список неполный. Консультации доступны примерно от дюжины сторон. Неполный список компаний, выпустивших рекомендации, включает AMI, Insyde, Phoenix и Lenovo. Полный список на момент публикации был недоступен. Те, кто хочет узнать, уязвимо ли конкретное устройство, должны обратиться к его производителю.

Лучший способ предотвратить атаки LogoFAIL — установить обновления безопасности UEFI, которые будут выпущены в рамках скоординированного процесса раскрытия информации в среду. Эти исправления будут распространяться производителем устройства или материнской платы, установленной в устройстве. Также, по возможности, рекомендуется настраивать UEFI на использование нескольких уровней защиты. Помимо Secure Boot, это включает в себя Intel Boot Guard и, если доступно, Intel BIOS Guard. Аналогичные дополнительные средства защиты доступны для устройств с процессорами AMD или ARM.

На Украине прошли аресты основных участников группировки хакеров-вымогателей, причастной к атакам на различные компании в 71 стране. В операции приняли участие правоохранительные органы семи стран в сотрудничестве с Европолом и Евроюстом.

Источник изображения: Pixabay

Для совершения атак на крупные корпорации злоумышленники использовали такие программы-вымогатели, как LockerGoga, MegaCortex, HIVE и Dharma. Доступ к сетям намеченных жертв преступники получали с помощью кражи учётных данных пользователей с использованием брутфорса (подбор пароля) и SQL-инъекций, а также фишинговых электронных писем с вредоносными вложениями.

Оказавшись внутри компьютерной сети, злоумышленники использовали такие инструменты, как вредоносное ПО TrickBot, или системы пост-эксплуатации, такие как Cobalt Strike или PowerShell Empire, чтобы остаться незамеченными и получить доступ к другим системам, прежде чем запустить программу-вымогатель, блокирующую данную систему. В группировке у каждого участника была своя роль: некоторые из них взламывали ИТ-сети, а другие занимались отмыванием криптовалютных платежей, сделанных пострадавшими в качестве выкупа за восстановление доступа к заблокированным данным.

Как сообщается, 21 ноября в результате скоординированных рейдов по 30 объектам в Киеве, Черкассах, Ровно и Виннице был арестован 32-летний руководитель группировки, а также задержаны четыре сообщника. Эта акция последовала за первым раундом арестов в 2021 году в рамках того же расследования, когда было задержано 12 человек.

В расследовании Национальной полиции Украины помогали более 20 следователей из Норвегии, Франции, Германии и США. Также Европолом был создан виртуальный командный центр в Нидерландах для обработки данных, изъятых во время обысков домов. Эта международная полицейская акция была инициирована французскими властями в сентябре 2019 года. В созданной совместной следственной группе приняли участие Норвегия, Франция, Великобритания и Украина при финансовой поддержке Евроюста и помощи Европола, а также властей Нидерландов, Германии, Швейцарии и США.

США, Великобритания и более десяти других стран объявили о подписании первого в своём роде международного соглашения о том, как обезопасить системы искусственного интеллекта от злоумышленников. Документ предполагает создание ИИ-платформ, спроектированных таким образом, чтобы они были безопасными с самого начала их разработки.

Источник изображения: geralt / Pixabay

20-страничный документ предусматривает, что компании, занимающиеся разработкой и эксплуатацией ИИ-систем, должны придерживаться стратегий, направленных на защиту пользователей и общественности от злоупотреблений. Содержание документа включает ряд общих рекомендаций, таких как мониторинг ИИ-систем на предмет злоупотреблений, защита данных от несанкционированного доступа и тщательная проверка поставщиков ПО.

Джен Истерли (Jen Easterly), директор Агентства кибербезопасности и безопасности инфраструктуры США (CISA), подчеркнула значимость международного консенсуса по данному вопросу. По её словам, впервые так много стран пришли к соглашению о том, что в фокусе разработки ИИ должна стоять безопасность, а не только инновационные функции или снижение затрат. Это соглашение является частью глобальных инициатив, направленных на формирование будущего ИИ. Влияние ИИ настолько велико, что регулирование его развития становится ключевым вопросом для общества.

Кроме США и Великобритании, к соглашению присоединились такие страны, как Германия, Италия, Чешская Республика, Эстония, Польша, Австралия, Чили, Израиль, Нигерия и Сингапур. Этот шаг демонстрирует глобальное стремление к установлению стандартов в сфере ИИ.

В документе также рассматриваются меры противодействия угрозам со стороны хакеров. Рекомендации включают выпуск ИИ-моделей только после проведения всесторонних тестов на безопасность. Однако в соглашении не затрагиваются сложные вопросы, касающиеся целесообразного использования ИИ и методов сбора данных.

В Европейском союзе (ЕС) уже активно ведётся работа над регулированием ИИ. Так, законодатели ЕС разрабатывают правила в этой области, а Франция, Германия и Италия недавно достигли соглашения о регулировании ИИ, включающего обязательное саморегулирование через кодексы поведения для основных ИИ-моделей. В то же время в США процесс регулирования ИИ замедлен из-за поляризации в Конгрессе.

Администрация Джо Байдена (Joe Biden) призывает к более активному регулированию ИИ, поэтому в октябре Белый дом выпустил президентский указ, направленный на снижение рисков ИИ для потребителей, а также на укрепление национальной безопасности.

В честь «чёрной пятницы» российский разработчик «Пассворк» запустил акцию, предлагающую выгодные условия для приобретения флагманского продукта компании — менеджера паролей для бизнеса «Пассворк». В рамках распродажи, в период с 24 до 29 ноября включительно, коробочную версию программного решения можно купить с 50-процентной скидкой.

«Пассворк» упрощает совместную работу с корпоративными паролями. Все данные надёжно хранятся на сервере организации в зашифрованном виде, не передаются ни в какое облако, а сотрудники быстро находят нужные пароли. Администратор управляет правами пользователей, отслеживает все действия с паролями и проводит аудит безопасности. Продукт позволяет создавать стойкие к подбору пароли, хранить их в удобном структурированном виде, легко обмениваться ими и авторизироваться на веб-сайтах в один клик с помощью браузерного расширения. «Пассворк» зарегистрирован в реестре отечественного ПО и может использоваться государственными и корпоративными заказчиками для реализации проектов по импортозамещению программных решений.

В рамках акции доступны для приобретения со скидкой 50 % коробочные версии «Пассворк» в следующих редакциях:

• «Команда» (до 10 пользователей): 24 000 ₽ → 12 000 ₽
• «Старт» (до 25 пользователей): 39 000 ₽ → 19 500 ₽
• «Бизнес» (до 50 пользователей): 72 000 ₽ → 36 000 ₽
• «Премиум» (до 100 пользователей): 132 000 ₽ → 66 000 ₽

Успейте купить «Пассворк» со скидкой 50 % до 29 ноября!

Группа компаний «Гарда» провела исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2023 года. В результате было установлен существенный рост доли TCP SYN-флуда, т.е. атак на уровне приложений, количество которых составило 60 % от общего числа DDoS-атак. Главными целями атак стали телекоммуникационные операторы.

Источник изображения: markusspiske / Pixabay

«Злоумышленники всё чаще организуют атаки, которым сложнее противодействовать: с использованием протоколов уровня приложений и в шифрованном трафике. Распространение такой практики свидетельствует о её успешности и достижении атакующими поставленных целей», — говорится в сообщении исследователей.

В сообщении сказано, что чаще всего DDoS-атакам в России за отчётный период подвергались сети телеком-операторов. Это объясняется тем, что операторы интенсивно противостоят DDoS-атакам, осуществляя защиту своих объектов и ресурсов клиентов, которые находятся в той же сетевой инфраструктуре.

На втором месте по количеству DDoS-атак в третьем квартале находятся представители сфер транспорта и перевозок. Отмечается, что за три месяца увеличилось количество DDoS-атак на ресурсы авиаперевозчиков и системы бронирования авиабилетов, а также железнодорожных перевозчиков. На третьем месте этого рейтинга находятся ресурсы госсектора. Высокие показатели зафиксированы в топливно-энергетическом комплексе и промышленности. Это может указывать на попытки злоумышленников осуществить воздействие на критический сектор экономики. Являющиеся традиционными целями хакеров представители IT и финансового сектора также подвергались атакам в третьем квартале.

Что касается стран, из которых совершаются атаки злоумышленников, то, как и прежде, лидером остаётся Китай (46,45 %). Следом за ним идут Индия (30,41 %) и Южная Корея (3,5 %). Снизились показатели по количеству атак из США, Тайваня и России. При этом выросли показатели Нидерландов (с 1,08 % до 1,53 %) и Боливии (с 0,89 % до 1,46 %).

В 2023 году компания NordPass, известная своими решениями для управления паролями, опубликовала свежий рейтинг самых распространённых паролей, и результаты неутешительны. Простейший пароль «123456» возглавил список, тем самым подчёркивая общее пренебрежение пользователей вопросами кибербезопасности. Пароль «password», лидировавший в прошлом году, опустился на 7-е место. Этот рейтинг подчёркивает продолжающуюся тенденцию использования слабых и предсказуемых паролей, что ставит под угрозу цифровую безопасность пользователей.

Источник изображения: AbsolutVision / Pixabay

Анализ рейтинга 200 наиболее распространённых паролей показывает, что большинство из них крайне уязвимы. В топ-10 входят такие простые комбинации, как «123», «1234», «12345», «12345678», «123456789» и «1234567890», а также «Aa123456» и, конечно же, «password». Особенно обескураживает, что эти пароли могут быть взломаны злоумышленниками менее чем за секунду с помощью простых методов брутфорса — подхода к взлому паролей путём перебора всех возможных комбинаций.

Впрочем, есть и исключения, такие как «theworldinyourhand», занимающий 173-е место в рейтинге. Этот пароль практически не поддаётся взлому обычными методами и потребовал бы столетий для его подбора вручную. В то время как пароль «admin», занявший 2-е место, является стандартным на многих устройствах и легко взламывается.

Добавление «123» к «admin» или использование символа «@» между словом и числами значительно увеличивает время взлома. Например, «admin123» и «admin@123» требуют значительно больше времени для подбора. Интересным является факт популярности пароля «Eliska81», занимающего 40-е место в рейтинге, используемого более чем 75 755 людьми. Это подчёркивает, как случайные и неожиданные комбинации могут стать популярными.

Кроме того, стоит отметить, что пароль «admintelecom» находится на 54-м месте. Этот пароль требует около 23 дней для взлома методом брутфорса, что делает его одним из самых безопасных в списке.

Специалисты прогнозируют, что в следующем году список наиболее распространённых паролей останется практически неизменным. От выбора пароля зависит безопасность личных данных и надёжность защиты от несанкционированного доступа. В современном цифровом мире ответственность за сохранность своих данных лежит на каждом пользователе.

Google обнаружил новую угрозу в своём сервисе «Google Календарь»: хакеры могут использовать его для управления вредоносным ПО, замаскировав команды под обычные записи в календаре. Такие действия трудно обнаружить, что создаёт серьёзные риски для кибербезопасности. Что интересно, Google сама предупреждает, что «Календарь» может использоваться для скрытой передачи команд вредоносным программам.

Источник изображения: TheDigitalArtist / Pixabay

Многие вирусы после проникновения в систему жертвы нуждаются в управлении со стороны злоумышленников. Для этого создаётся специальная инфраструктура «команд и управления» (Command and Control или C2). Обычно хакеры посылают команды своему вредоносному ПО через так называемый C2-сервер, однако теперь они нашли способ маскировать свою активность, используя легитимные сервисы, такие как облачные хранилища и почтовые службы.

В прошлом хакеры уже использовали для этих целей такие сервисы, как Dropbox, Amazon Web Services, Google Drive и Gmail. Это позволяло им скрывать команды для вирусов под видом обычного интернет-трафика, что затрудняло их обнаружение антивирусными программами и специалистами по кибербезопасности.

Сейчас Google указывает на потенциальную опасность использования «Календарь» в качестве нового инструмента для C2-коммуникаций. В докладе о будущих угрозах компания ссылается на исследование в сфере кибербезопасности, в котором эксперт под псевдонимом MrSaighnal демонстрирует методику использования «Google Календарь» злоумышленниками.

Источник изображения: IT researcher MrSaighnal / GitHub

Методика, названная Google Calendar RAT (GCR), предполагает размещение команд C2 в описании событий календаря. Вредоносное ПО, установленное хакерами, может регулярно проверять аккаунт «Google Календарь» на наличие новых команд и выполнять их на заражённом устройстве.

«По словам разработчика, GCR взаимодействует исключительно через легитимную инфраструктуру, управляемую компанией Google, что затрудняет обнаружение подозрительной активности защитниками», — отметила Google.

Открытие этой уязвимости в «Google Календарь» ставит новые вопросы о том, насколько безопасны на первый взгляд надёжные цифровые сервисы. Это также подчёркивает необходимость постоянного обновления методов киберзащиты и внимательного отношения к любым изменениям в поведении ПО.

Компания Discord объявила, что изменит принцип работы со ссылками на файлы, размещённые на платформе. К концу текущего года такие ссылки будут автоматически обновляться каждые 24 часа. Это будет частью мер по борьбе с распространением вредоносного ПО, которое, как отмечает издание Bleeping Computer, часто хранится именно на серверах Discord. Нововведение затронет всех пользователей популярного сервиса и является важным шагом в укреплении безопасности платформы.

Источник изображения: felipedsilva / Pixabay

Компания рекомендует пользователям, использующим Discord для хостинга файлов, искать альтернативные решения. При этом изменения не затронут тех, кто делится контентом непосредственно внутри клиента Discord: все внутренние ссылки будут обновляться автоматически, обеспечивая непрерывный доступ к файлам.

Компания Trellix, специализирующаяся на кибербезопасности, сообщила о нахождении приблизительно 10 000 образцов вредоносного ПО, распространяемого через Discord. Злоумышленники использовали вебхуки платформы для передачи собранных данных с заражённых компьютеров в каналы Discord, находящиеся под их контролем.

В ответ на эти угрозы Discord реализует систему временных ссылок на файлы для всех пользователей. Так, Discord будет включать новые параметры URL, которые добавят метки истечения срока действия и уникальные подписи. Эти подписи будут оставаться действительными до момента истечения срока действия ссылки, что предотвратит использование Discord для постоянного хостинга файлов.

Согласно разработчикам Discord, уже сейчас к ссылкам добавляются три новых параметра URL: ex (expiration timestamp), is (unique id signature) и hm (hash match). После введения обязательной аутентификации, которая будет реализована позже в этом году, ссылки с этими подписями будут оставаться активными до указанной даты истечения срока действия.

Как только ссылка на файл, размещённый на серверах Discord, истечёт, для доступа к этому файлу будет необходимо получить новый URL, предоставляемый через Discord. Это означает, что каждый раз, когда истекает срок действия старой ссылки, система Discord предоставит обновлённый URL, который будет активен в течение следующих 24 часов. Процесс обновления ссылок будет происходить автоматически через программный интерфейс Discord (API).

Это не только облегчает доступ к файлам без необходимости ручного обновления ссылок, но и служит дополнительным уровнем проверки: если контент был помечен как вредоносный, новая ссылка на него не будет сгенерирована, что предотвращает дальнейшее распространение вредоносного ПО. Таким образом, даже если вредонос был загружен на платформу, его жизненный цикл будет ограничен.

За первые девять месяцев этого года количество хакерских атак на компании через скомпрометированные данные сотрудников увеличилось на 10 % по сравнению с аналогичным периодом годом ранее. По мнению экспертов, такая динамика обусловлена ростом утечек информации за год и тем, что сотрудники часто используют одни учётные данные на рабочих и личных ресурсах. Допускается также, что импортозамещение зарубежных решений привело к увеличению уязвимостей в корпоративном секторе.

Источник изображения: Pixabay

В октябре IT-инфраструктура российских компаний в очередной раз подверглась большому количеству хакерских атак, часть из которых закончились взломом ресурсов организаций. К примеру, 30 октября сайт Национальной системы платёжных карт был недоступен из-за атаки группировки DumpForums. В тот же день инфраструктура провайдера «Транстелеком» была поражена вирусом-шифровальщиком. Кроме того, злоумышленники атаковали крымских провайдеров, из-за чего в регионе нестабильно работали цифровые сервисы.

Аналитики по кибербезопасности «Информзащиты» подсчитали, что за девять месяцев 2023 года количество кибератак, основанных на скомпрометированных учётных данных сотрудников, составило 80 % от общего количества атак, а суммарный рост числа киберинцидентов составил 10 % по сравнению с показателем за тот же временной отрезок годом ранее. Эксперты считают, что данная тенденция обусловлена кратным увеличением количества утечек данных в течение года.

В «Информзащите» также отметили, что количество успешных атак, реализуемых таким способом, за девять месяцев сократилось на 15-20 % по сравнению с прошлым годом. «Компании пересматривают политику безопасности учётных записей не только привилегированных, но и рядовых сотрудников. Особенно это касается крупных организаций из финсектора и ретейла», — считают аналитики, отмечая, что в зоне риска продолжают оставаться госкомпании, малые и средние предприятия, представители промышленного сектора с распределённой сетью филиалов.

По данным АНО «Институт развития предпринимательства и экономики», на средний и малый бизнес в настоящее время приходится около 20 % кибератак. Представитель разработчика промышленного софта «Цифра» отметил, что текущая ситуация оказывает влияние на увеличение инвестиций компаний в кибербезопасность. «Рост атак на корпоративные учётные записи действительно имеет место, в текущем году доля таких атак выросла в десять раз с начала конфликта на Украине», — считает основатель сервиса разведки утечек данных DLBI Ашот Оганесян. Он добавил, что корпоративные учётные данные не часто выставляются на продажу на теневых форумах, в большинстве случаев для взлома хакеры используют данные пользователей, полученные из других утечек, не связанных с корпоративной сетью.

Это становится возможным из-за того, что пользователи часто используют одни учётные данные для рабочих и личных учётных записей. Эксперты также не исключают, что риск взлома корпоративно инфраструктуры в России в нынешнем году возрос в том числе из-за импортозамещения: быстрая перестройка инфраструктуры и переход на отечественный софт открыли новые точки входа для злоумышленников.

Хакерская группировка BlackTech, предположительно связанная с властями Китая, осуществляет масштабные атаки на роутеры Cisco, используемые в правительственных учреждениях, СМИ, военной промышленности и других ключевых секторах США. Американские и японские агентства безопасности и правоохранительные органы бьют тревогу, так как хакеры внедряют в оборудование Cisco уязвимости, оставаясь незамеченными для системных администраторов.

Источник изображения: Cisco

Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA), полиция США и Японский Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности этой хакерской группы, подчёркивая серьёзность и масштаб возникшей угрозы. В отчёте приводится список вредоносных программ, таких как BendyBear, Bifrose, SpiderPig и WaterBear, которые используются для атак на операционные системы Windows, Linux и даже FreeBSD.

BlackTech, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою преступную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. постоянная серьезная угроза) создаёт и использует специализированное вредоносное ПО для проникновения в сети через оборудование компании Cisco и других крупных брендов, таких как Fortinet, SonicWall и TP-Link.

Хакеры BlackTech предпочитают атаковать филиалы компаний в небольших городах, где системы защиты могут быть менее надёжными. После получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники.

Специфика методов, которыми BlackTech получает первоначальный доступ к устройствам своих жертв, остаётся неизвестной. Это могут быть как кража учётных данных сотрудников, так и неизвестные и чрезвычайно изощрённые уязвимости нулевого дня. После проникновения киберпреступники используют интерфейс командной строки Cisco IOS (CLI) для замены легитимной прошивки маршрутизатора на скомпрометированную версию.

Всё начинается с того, что прошивка модифицируется в памяти с использованием метода «горячего патчинга». Этот этап критически важен для установки модифицированного загрузчика и изменённой прошивки. После завершения установки, модифицированная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при этом следов в системных журналах и игнорируя ограничения, установленные списками контроля доступа (ACL).

Киберпреступники применяют различные методы сокрытия своего присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и используют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры используют специализированные UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таким образом свою активность от системных администраторов.

Cisco усугубляет проблему, отказываясь от поддержки своего устаревшего оборудования и устранения известных уязвимостей в своих роутерах. Например, компания регулярно отказывается устранять опасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в своих устаревших роутерах, чей срок поддержки давно истёк. Так, весной 2023 года Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса, в которых была найдена опасная уязвимость. Это создаёт дополнительные риски для пользователей и открывает возможности для киберпреступников.

Для выявления и блокирования вредоносных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться оптимальных стратегий смягчения рисков. ИТ-специалистам следует блокировать исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, а также контролировать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журналах.

Apple выпустила экстренные патчи для устаревших версий iPhone и Mac. Обновление устраняет уязвимость CVE-2023-41064 и исключает возможность удалённого взлома устройств с целью последующей слежки за пользователями с помощью шпионского программного обеспечения, разработанного израильской компанией NSO Group.

Источник изображения: tigerlily713 / Pixabay

Обновление iOS 15.7.9 предназначено для устройств, включая iPhone 6s, iPhone 7 и iPhone SE, а также iPad Air 2. Компания также выпустила патчи для macOS Big Sur и Monterey, созданных для моделей Mac, выпускавшихся с 2013 года.

Apple предупредила, что хакеры активно эксплуатируют брешь, отправляя специальным образом модифицированные изображения, которые могут заставить iPhone, iPad или Mac выполнить вредоносный код, включая загрузку вредоносного ПО или переход на вредоносный сайт.

Уязвимость была обнаружена группой Citizen Lab, специализирующейся на информационной безопасности, во время проверки устройства сотрудника. «Цепочка эксплойтов была способна скомпрометировать iPhone, работающий под управлением последней версии iOS (16.6), без какого-либо вмешательства со стороны жертвы», — отметили в Citizen Lab.

Американское Агентство по кибербезопасности и безопасности инфраструктуры (CISA) также предупредило о значительных рисках, связанных с данной уязвимостью, и призвало пользователей Apple немедленно обновить свои устройства, чтобы избежать возможных кибератак.

Ситуация с уязвимостью, обнаруженной в продуктах Apple, подчёркивает важность своевременного обновления ПО устройств для защиты от киберугроз. Пользователи могут установить патчи, перейдя в раздел «Настройки → Основные → Обновление ПО». Эксперты настоятельно рекомендуют включить функцию автоматического обновления, чтобы устройство самостоятельно устанавливало необходимые патчи.

В 2023 году количество фишинговых ресурсов в Telegram увеличилось в 5 раз. Согласно данным компании Angara Security, в первом полугодии количество таких ресурсов достигло 5 тысяч. Этот тревожный рост, начавшийся в начале 2023 года, ставит под угрозу миллионы пользователей мессенджера.

Источник изображения: LoboStudioHamburg / Pixabay

Аналогичную статистику приводит «Лаборатория Касперского». По её данным, во втором квартале 2023 года попытки перехода российских пользователей Telegram на фишинговые ресурсы увеличились на 39 %. Сооснователь проекта StopPhish Юрий Другач также акцентирует внимание на росте мошенничества. По его словам, за летние месяцы 2023 года количество мошеннических сайтов, связанных с Telegram, выросло на 10 % по сравнению с весной текущего года.

При этом мошенники практикуют разнообразные схемы: от предложений проголосовать на конкурсе до обещаний бесплатного премиум-аккаунта Telegram. Злоумышленники также создают каналы с названием «Избранное», надеясь, что пользователи ошибутся и отправят туда конфиденциальную информацию.

В эпоху цифровизации безопасность стоит на первом месте. Рост фишинговых атак в Telegram — яркий пример того, как важно быть настороже. Многие компании используют этот мессенджер для корпоративных коммуникаций, что делает его особенно привлекательным для киберпреступников.

Включение двухфакторной аутентификации, проверка валидности ботов и каналов, а также осознанное отношение к переходам по ссылкам являются ключевыми моментами для обеспечения безопасности. Не стоит забывать о простых правилах интернет-гигиены: не вводить личные данные на подозрительных ресурсах и всегда проверять отправителя сообщений.