Теги → кибербезопасность
Быстрый переход

22 мая «Лаборатория Касперского» представит на онлайн-конференции Kaspersky ON AIR новые решения

22 мая состоится онлайн-конференция Kaspersky ON AIR, посвящённая вопросам кибербезопасности. Начало — в 11:00 мск.

В этом году главное внимание участников мероприятии будет уделено эволюции подхода к безопасности. С ростом сложности и целевым характером киберугроз становится всё более актуальным выбор решений класса EDR, потоков данных Threat Intelligence и активного поиска угроз в качестве необходимых инструментов для специалистов по информационной безопасности и команд SOC.

Программа Kaspersky ON AIR традиционно включает темы «на злобу дня», выступления ведущих экспертов «Лаборатории Касперского». Компания планирует официально представить ряд новых решений для корпоративной кибербезопасности.

Евгений Касперский

Евгений Касперский

В конференции примет участие гендиректор «Лаборатории Касперского» Евгений Касперский, которому можно будет задать интересующие вопросы.

Сергей Голованов

Сергей Голованов

Ведущий эксперт компании Сергей Голованов познакомит участников с основными тенденциями в мире киберугроз, сравнит статистику за последние годы с периодом карантина, расскажет о главных инцидентах в текущем и прошлом годах, и подробно рассмотрит конкретные происшествия в крупных организациях, в расследовании которых принимали участие сотрудники «Лаборатории Касперского».

Вениамин Левцов, директор департамента корпоративного бизнеса, расскажет о подходах и решениях при расследовании инцидентов, об изменении инструментов для противодействия внешним угрозам и о том, как совершенствуется портфель решений для противодействия сложным атакам. Спикер также раскроет, как меняются сервисные предложения, включая сервис для подготовки и проведения киберучений, и поделится решениями компании для снижения рисков социальной инженерии.

Дамир Шайхелисламов, архитектор решений корпоративной безопасности, подробно расскажет о «зрелостном» подходе «Лаборатории Касперского» к проблематике обнаружения продвинутых угроз и противодействия им.

Эксперт также анонсирует новое решение компании — Kaspersky Endpoint Detection and Response Optimum (Оптимальный). Это решение разработано для эффективного обнаружения угроз и реагирования на них в условиях ограниченных ресурсов, заметно упрощая выполнение повседневных рабочих задач. Kaspersky Endpoint Detection and Response Optimum отличается максимальной простотой в использовании. После его развертывания ИБ-специалистам будет необходимо лишь периодически проверять консоль, обрабатывать новые инциденты, выполнять анализ первопричин и реагировать на угрозы.

В ходе мероприятия Павел Таратынов, архитектор центров информационной безопасности, «Лаборатория Касперского», представит ещё одно новое решение Kaspersky United Monitoring and Analysis Platform (KUMA) и расскажет об особенностях его архитектуры, ключевых функциях, областях применения и сопутствующих консалтинговых сервисах по построению SOC.

Программа Kaspersky ON AIR отличается насыщенностью, содержит анонсы новых продуктов, поэтому участие в онлайн-мероприятии обещает быть очень интересным. Зарегистрироваться для участия в нём можно по этой ссылке.

The Guardian: хакеры из России, Китая и Ирана атакуют разработчиков вакцины от коронавируса

Газета The Guardian сообщила о том, что российские, китайские и иранские хакеры активно атакуют разработчиков вакцины от коронавируса с целью кражи важных данных, связанных с исследованиями.

В сообщении сказано о том, за последнее время наблюдается рост числа хакерских атак, направленных против британских университетов и научных организаций, занимающихся исследованием COVID-19. Это заявление сделано со ссылкой на Национальный центр кибербезопасности (National Cyber Security Center), сотрудники которого отмечают рост числа целевых атак, что делает преступную деятельность «предосудительной».  

В NCSC отметили, что в настоящее время десятки медицинских учреждений занимаются исследованием COVID-19, поэтому хакеры, находящиеся под контролем правительств разных стран, пытаются похитить какую-либо ценную информацию, связанную с этой деятельностью учёных. Несмотря на это, до сих пор не было зафиксировано ни одной атаки, которая закончилась бы успехом.

«Любая атака, нацеленная на организации, прикладывающие усилия для борьбы с коронавирусом, предосудительна. Мы наблюдаем рост доли кибератак, связанных с коронавирусом, и наши эксперты работают круглосуточно, чтобы помочь защититься целевым учреждениям», — сказал представитель NCSC.  

Помимо прочего, NCSC тесно сотрудничает с Оксфордским университетом, специалисты которого заняты разработкой вакцины от коронавируса. Несмотря на возросшее количество хакерских атак против исследовательских организаций, специалисты отмечают, что общее количество инцидентов, связанных с кибербезопасностью, которые фиксируются в Великобритании, во время пандемии не увеличилось.

ФБР объявило о взрывном росте киберпреступности во время пандемии коронавируса

По данным Федерального бюро расследований (ФБР), количество инцидентов, связанных с разного рода киберпреступлениями, подскочило на 300 % за время пандемии коронавируса. Только на прошлой неделе в ведомство ежедневно поступало от 3 до 4 тысяч жалоб на разные киберпреступления, тогда как до пандемии коронавируса количество подобных обращений не превышало 1000 в сутки.

В первую очередь столь внушительный скачок обусловлен ростом количества атак, направленных против неосведомлённых о базовых мерах безопасности пользователей, вынужденных из-за карантина находиться дома. ФБР отмечает возросший уровень атак, которые осуществляются правительственными хакерами разных стран. В ведомстве считают, что такие кампании организуются с целью кражи данных исследований, связанных с коронавирусом.

«Разные страны очень заинтересованы в получении информации о коронавирусе и вакцине, способной ему противостоять. Мы видели разведывательную деятельность и попытки вторжения в инфраструктуру некоторых учреждений, которые объявили о ведении исследований, связанных с коронавирусом», — сказала Тоня Угорец (Tonya Ugoretz), представитель подразделения ФБР, занимающегося вопросами кибербезопасности.

Было отмечено, что медицинские организации, такие как Всемирная организация здравоохранения, а также социальные службы всё чаще оказываются объектами хакерских атак. Кроме того, значительно растёт число фишинговых кампаний, направленных против обычных граждан. В процессе их реализации пользователям рассылаются электронные сообщения от лица якобы легитимных источников, в которых содержатся ссылки на вредоносные ресурсы.

Хакеры предпочитают контроль инфраструктуры компаний прямой краже денег

По сообщениям сетевых источников, хакеры в России стали чаще стараться взять под контроль инфраструктуру атакуемых компаний, вместо того, чтобы осуществлять прямую кражу денежных средств. Это объясняется тем, что банковские организации стали более защищёнными, а также увеличением спроса на промышленный шпионаж на чёрном рынке. Об этом сообщает издание Коммерсантъ ссылкой на данные компании «Ростелеком-Солар».

В сообщении отмечается, что в 2019 году на 40 % увеличилось количество атак, цель которых заключалась во взятии под контроль инфраструктуры компаний и организаций. При этом атаки с целью кражи денег стали происходить на 15 % реже. В основе отчёта лежат данные, полученные от 100 компаний со средним числом сотрудников от 1000 человек, которые были проанализированы специалистами центра мониторинга и реагирования на киберугрозы Solar JSOC.

Специалисты отмечают, что незаметное присутствие в инфраструктуре длительное время позволяет злоумышленникам изучить происходящие внутри неё процессы, а также взять под свой контроль внутренние IT-системы. В Solar JSOC отмечают, что злоумышленники продают на чёрном рынке такие точки присутствия, а также шантажируют атакуемые компании и проводят конкурентную разведку. Также сказано о том, что в последние несколько лет наблюдается рост числа атак на промышленные и энергетические объекты, а также органы власти.

Представитель «Лаборатории Касперского» подтвердил, что количество атак на корпоративную инфраструктуру, в том числе предприятия госсектора, неуклонно растёт. В настоящее время «Лаборатория Касперского» наблюдает около 200 групп, занимающихся кибершпионажем, причём ежегодно их количество возрастает. Также отмечается, что российские компании атакуются из разных регионов мира, при этом качество используемых целевых вредоносов повышается. Это может говорить о том, что злоумышленники рассчитывают использовать их длительное время, не будучи обнаруженными.

ESET Small Office Pack: киберзащита домашних офисов и небольших компаний

ESET представила на российском рынке новый продукт для обеспечения информационной безопасности. Решение под названием Small Office Pack призвано обеспечить защиту небольших домашних офисов и компаний малого бизнеса.

Отмечается, что ESET Small Office Pack позволяет организовать защиту небольшой IT-инфраструктуры с минимальными затратами времени и ресурсов. Решение можно установить и использовать без системного администратора в штате компании.

Ещё одним немаловажным преимуществом продукта является минимальное влияние на производительность систем. Обеспечивается высокая скорость работы на устройствах с любыми характеристиками.

Для ESET Small Office Pack предусмотрены два варианта — базовый и стандартный. Первый предназначен для защиты домашних офисов. В состав пакета входят программы для защиты компьютеров на Windows, macOS и Linux, а также смартфонов и планшетов на Android (лицензии на 3 или 5 устройств в любом сочетании). Обеспечивается защита от вредоносного ПО и хакерских атак. Кроме того, реализованы специальные функции защиты онлайн-платежей и веб-камеры.

Стандартная версия ориентирована на небольшие компании, инфраструктура которых насчитывает до 20 рабочих станций. Данный вариант ESET Small Office Pack включает расширенную защиту компьютеров и Android-устройств, а также продукты для файловых серверов под управлением Windows Server и Linux. 

Dell продаёт занимающееся IT-безопасностью подразделение более чем за $2 млрд

Стало известно о том, что консорциум, возглавляемый американской инвестиционной компанией Symphony Technology Group, договорился о покупке подразделения Dell Technologies, работающего в сфере информационной безопасности за $2,075 млрд. Об этом говорится в сообщении, которое было опубликовано на официальном веб-сайте Dell.

Подразделение RSA предлагает компаниям решения, предназначенные для обеспечения кибербезопасности, оценки и управления рисками, а также выявления, оперативного реагирования и расследования разного рода инцидентов. Разработки подразделения способствуют снижению рисков, связанных с кражей интеллектуальной собственности, мошенничеством и другими видами киберугроз. В сообщении говорится о том, что в настоящее время свыше 12 500 клиентов используют решения RSA для противостояния различным киберугрозам. Предполагается, что в рамках озвученной сделки нового хозяина обретут такие продукты, как RSA Archer, RSA NetWitness Platform, RSA SecurID, RSA Fraud and Intelligence и RSA Conference. Известно, что стороны пришли к окончательным договорённостям, поэтому сделка может быть полностью завершена в течение ближайших шести-девяти месяцев.          

«Являясь одним из мировых лидеров в сфере обеспечения информационной безопасности, RSA предоставляет прекрасную возможность для решения некоторых быстроразвивающихся проблем клиентов, связанных с цифровым преобразованием. Покупка RSA будет способствовать нашему стремлению максимально эффективно использовать возможности талантливых и опытных сотрудников совместно с огромным потенциалом для роста RSA», — сказал один из руководителей Symphony Technology Group Уильям Чисхолм (William Chisholm).

«Это правильная долгосрочная стратегия для Dell, RSA, наших партнёров и клиентов. Сделка позволит упростить ведение бизнеса компании, поскольку портфель предлагаемых продуктов сократится», — прокомментировал ситуацию Джефф Кларк (Jeff Clarke), вице-президент компании Dell Technologies.

У Mastercard появилось европейское подразделение по обеспечению кибербезопасности

Компания Mastercard организовала работу нового Центра обеспечения кибербезопасности на базе своей европейской штаб-квартиры в Бельгии. Сотрудники подразделения будут способствовать региональному сотрудничеству и инновациям в области информационной безопасности между промышленностью, государственным сектором и регулирующими органами.

Новый центр обеспечения кибербезопасности является для Mastercard первым за пределами Северной Америки. Согласно официальным данным, компания намерена объединить специалистов, работающих в данной сфере, для борьбы с угрозами, с которыми сталкивается платёжная экосистема в Европе. Сотрудники нового подразделения будут сотрудничать с национальными агентствами по кибербезопасности, отраслевыми органами, правоохранительными органами и центральными банками стран, входящих в состав Евросоюза. В компании считают, что новый центр поможет «сократить линии связи» между внутренними подразделениями кибербезопасности и внешними клиентами, партнёрами и другими заинтересованными сторонами.

Также отмечается, что благодаря новому подразделению Mastercard рассчитывает получить ряд преимуществ, в частности, сокращение времени реагирования на различные глобальные события в сфере кибербезопасности. Кроме того, компания рассчитывает установить базовый уровень обмена разведданными с правоохранительными органами и спецслужбами, чтобы совместными усилиями бороться с киберпреступностью на территории Европы.

«Финансовые услуги всегда будут оставаться на вершине целевого списка для злоумышленников из-за огромного объёма конфиденциальных данных клиентов, находящихся под нашей ответственностью. Наш европейский Центр обеспечения кибербезопасности позволит повысить эффективность сотрудничества между ключевыми организациями, а также поможет обеспечить безопасность бизнеса и частных лиц при обмене информацией в сети Интернет», — сказал президент европейского подразделения Mastercard Хавьер Перес (Javier Perez).

Китайских хакеров поймали на обходе двухфакторной авторизации

Китайских хакеров поймали на обходе двухфакторной авторизации, но это не точно. Ниже будут изложены предположения голландской компании Fox-IT, которая специализируется на консалтинговых услугах по кибербезопасности. Предполагается, чему нет прямых доказательств, что на китайские правительственные структуры работает группа хакеров, получившая имя APT20.

Fox-IT

Fox-IT

Впервые хакерскую деятельность, приписываемую группе APT20, обнаружили в 2011 году. В 2016–2017 годах группа исчезла из поля зрения специалистов, и лишь недавно Fox-IT обнаружила следы вмешательства APT20 в сети одного из своих клиентов, который попросил расследовать нарушения в кибербезопасности.

По мнению Fox-IT, в течение последних двух лет группа APT20 занималась взломом и доступом к данным государственных структур, крупных компаний и поставщиков услуг в США, Франции, Германии, Италии, Мексики, Португалии, Испании, Великобритании и Бразилии. Также хакеры из APT20 были активны в таких областях, как авиация, здравоохранение, финансы, страхование, энергетика и даже в таких сферах, как азартные игры и электронные замки.

Обычно хакеры из APT20 для входа в системы жертв использовали уязвимости в веб-серверах и, в частности, в платформе корпоративных приложений Jboss. После доступа и установки оболочек хакеры проникали по сетям жертв во все возможные системы. Найденные учётные записи позволяли злоумышленникам красть данные с помощью стандартных инструментов, без установки зловредов. Но главная неприятность заключается в том, что группа APT20 якобы смогла обойти двухфакторную авторизацию с помощью токенов.

Исследователи утверждают, что нашли следы того, что хакеры подключились к учетным записям VPN, защищенным двухфакторной авторизацией. Как это произошло, специалисты Fox-IT могут только строить предположения. Наиболее вероятное из них, что хакеры смогли украсть из взломанной системы программный токен RSA SecurID. С помощью украденной программы в дальнейшем хакеры могли генерировать одноразовые коды для обхода двухфакторной защиты.

В обычных условиях это сделать невозможно. Программный токен не работает без подключения к локальной системе аппаратного токена. Без него программа RSA SecurID выдаёт ошибку. Программный токен создается для конкретной системы и, имея доступ к «железу» жертвы, можно получить специфическое число для запуска программного токена.

Специалисты Fox-IT утверждают, что для запуска (украденного) программного токена вовсе не нужно иметь доступ к компьютеру и аппаратному токену жертвы. Весь комплекс начальной проверки проходит только при импорте начального вектора генерации ― случайного 128-битного числа, соответствующего конкретному токену (SecurID Token Seed). Это число не имеет отношения к начальному числу, которое затем относится к генерации фактического программного токена. Если проверку SecurID Token Seed можно каким-то образом пропустить (пропатчить), то ничто в дальнейшем не помешает генерировать коды для двухфакторной авторизации. В компании Fox-IT заявляют, что обход проверки можно обеспечить изменением всего в одной инструкции. После этого система жертвы будет полностью и легально открыта злоумышленнику без использования специальных утилит и оболочек.

SoftBank оптимизирует расходы ARM: убыточное подразделение по кибербезопасности будет продано

Семь лет назад тогда ещё независимая британская компания ARM создала с нидерландской компанией Gemalto совместное предприятие Trustonic для продвижения технологий обеспечения цифровой безопасности. За время своей работы СП Trustonic приобрела сотни клиентов, среди которых как ведущие производители смартфонов, так и производители автомобилей и разной бытовой электроники. Удивительное дело, но несмотря на всё это, Trustonic каждый год показывает чистые убытки. В прошлом году, например, она потеряла 8,3 млн евро (6,4 млн фунтов) при доходах в 9,9 млн евро. Для покрытия убытков компания даже взяла кредиты в размере 8,4 млн евро у своих двух акционеров.

В конце концов, сообщат издание Telegraph, управляющий активами ARM фонд Vision Fund японской компании SoftBank пришёл к решению продать свою долю в Trustonic. Напомним, что SoftBank приобрела ARM в 2016 году за 24,3 млрд фунтов стерлингов. Выкупить долю в Trustonic предложено партнёру по СП компании Gemalto, которая, в свою очередь, была приобретена в 2017 году французской группой Thales за 4,8 млрд евро. Тогда это стало крупнейшим событием на европейском рынке ИТ. Фактически, если сделка состоится, Trustonic уйдёт под крыло Thales.

Среди клиентов Trustonic называются компании NVIDIA, Huawei, Samsung, Sony и Motorola. Контроллеры Trustonic обеспечивают безопасную поддержку сканеров отпечатков пальцев в смартфонах и не только. Систему безопасности компании в своих умных часах использует Casio, а компания Volkswagen на платформе Trustonic предлагает разблокировку дверей автомобилей без ключей с помощью приложения.

ФБР реализует программу IDLE, чтобы обмануть хакеров с помощью «ложных данных»

По сообщениям сетевых источников, ФБР США реализует программу, которая поможет компаниям снизить ущерб, наносимый хакерами при краже данных. Речь идёт о программе IDLE (Illicit Data Loss Exploitation), в рамках которой компании осуществляют внедрение «ложных данных», чтобы сбить с толку злоумышленников, пытающихся похитить важную информацию. Программа поможет компаниям бороться с разного рода мошенниками и корпоративными шпионами.

Хотя ФБР не раскрывает подробности касательно программы IDLE, журналистам стало известно о том, что её суть сводится к объединению реальной корпоративной информации с ложными данными, выглядящими достаточно достоверно. Хакеры не могут просто скачивать большие объёмы данных, рассчитывая на то, что все они являются важными и будут полезны. Поэтому случаи загрузки ложных блоков информации может дать знак ИТ-персоналу компаний о том, что злоумышленники осуществили взлом информационных систем. В сообщении также говорится о том, что ФБР помогает компаниям создавать «ложные данные» на основе реальной информации. Отмечается, что ведомство получает данные исключительно с согласия клиентов и не осуществляет их длительное хранение.

Нет каких-либо гарантий эффективности внедрения «ложных данных» в реальную корпоративную информацию. Злоумышленники могут осуществлять анализ похищенных данных. Однако в ФБР считают, что предложенный ими подход может стать одним из элементов базовой системы безопасности разных компаний. Реализация программы IDLE для ФБР является не средством предоставления надёжной защиты представителям бизнеса, а одним из этапов «подготовки собственной защиты» компаний.

Broadcom завершила поглощение корпоративного подразделения Symantec

В полном соответствии с планами и без препятствий со стороны антимонопольных органов компания Broadcom завершила поглощение подразделения компании Symantec, занятого разработкой средств защиты корпоративных вычислительных платформ. О сделке было объявлено в августе этого года после очень непростых переговоров.

Reuters

Reuters

Первоначально Broadcom пыталась заполучить Symantec целиком за сумму свыше $15 млрд. Но завышенная самооценка Symantec не позволила этого сделать. После длительных переговоров стороны остановились на сделке стоимостью $10,7 млрд, но в неё не вошли потребительские продукты Symantec и команда по их разработке (антивирус Norton, решения LifeLock и другие, направленные на защиту персональных данных). Компании Broadcom отошли бренд «Symantec», разработчики корпоративных решений по защите данных и соответствующие продукты.

В составе Symantec подразделение по разработке корпоративных средств кибербезопасности приносило намного меньше выручки, чем клиентские продукты. Несколько последних лет с помощью покупок Symantec пыталась выстроить бизнес на корпоративном сегменте кибербезопасности. Ничего путного из этого не вышло. Финансовые показатели только ухудшались и привели к сменам в руководстве.

Для компании Broadcom, напротив, рынок программных продуктов представляется средством ослабить зависимость от выпуска полупроводниковых решений. Все эти санкции и торговые войны с Китаем уже подкосили выручку Broadcom и грозят усилить влияние на доходы компании в будущем. Так что если для Symantec корпоративное подразделение стало «чемоданом без ручки», то для Broadcom оно станет кирпичиком в фундаменте программно-ориентированного бизнеса. В составе Broadcom подразделение Symantec возглавит бывший его руководитель Арт Гиллиланд (Art Gilliland), ветеран с 20-летним стажем.

Краеугольным камнем в новом строении стала покупка Broadcom в 2018 году за $18,9 млрд компании CA Technologies. Уже в этом году от продаж программ и услуг Broadcom рассчитывает получить около $5 млрд из ожидаемой в текущем году выручки в районе $22,5 млрд. Это хороший стимул продолжить начатое. Можно представить, что на этом покупки Broadcom в сфере разработчиков программ не закончатся. Кто же станет следующим?

Microsoft представила ПК с аппаратной защитой от атак через прошивку

Компания Microsoft в содружестве с компаниями Intel, Qualcomm и AMD представила мобильные системы с аппаратной защитой от атак через прошивку. Создать подобные вычислительные платформы компанию вынудили участившиеся атаки на пользователей со стороны так называемых «белых хакеров» ― групп специалистов по взлому, подчинённых правительственным структурам. В частности, специалисты по безопасности ESET приписывают подобные действия группе российских хакеров APT28 (Fancy Bear). Группа APT28 якобы тестировала ПО, которое запускало зловредный код во время загрузки прошивки из BIOS.

Совместными усилиями специалисты по кибербезопасности Microsoft и разработчики процессоров представили некое кремниевое решение в виде аппаратного корня доверия. Такие ПК компания назвала Secured-core PC (ПК с защищённым ядром). В настоящий момент к Secured-core PC относится ряд ноутбуков компаний Dell, Lenovo и Panasonic и планшет Microsoft Surface Pro X. Эти и будущие ПК с защищённым ядром должны гарантировать пользователям полную уверенность в том, что все вычисления будут доверенными и не приведут к компрометации данных.

До сих пор проблема с защищёнными ПК была в том, что микрокод прошивок создавали OEM-производители материнских плат и систем. Фактически это было самым слабым звеном в цепочке поставок Microsoft. Игровая приставка Xbox, например, годами работает как платформа Secured-core, поскольку за безопасностью платформы на всех уровнях ― от аппаратного до программного ― следят в самой Microsoft. С ПК до сих пор такое было невозможно.

В Microsoft приняли простое решение выбросить прошивку из списка учёта при первичной проверке на доверенность. Точнее, они отдали процесс проверки процессору и специальному чипу. Похоже, при этом используется аппаратный ключ, который записывается в процессор на этапе производства. В момент загрузки прошивки на ПК процессор проверяет её на безопасность, можно ли ей доверять. Если процессор не предотвратил загрузку прошивки (принял её за доверенную), контроль над ПК передаётся операционной системе. Система начинает считать платформу доверенной, и лишь затем через процесс Windows Hello допускает к ней пользователя, также обеспечивая защищённый вход, но уже на высшем уровне.

Кроме процессора в аппаратной защите корня доверия (и целостности прошивки) участвуют чип System Guard Secure Launch и загрузчик операционной системы. Также в процесс включена технология виртуализации, которая изолирует память в операционной системе для недопущения атак на ядро ОС и приложения. Вся эта сложность призвана защитить, в первую очередь, корпоративного пользователя, но рано или поздно нечто подобное наверняка появится в потребительских ПК.

Обновлено. Как сообщила нам компания Microsoft, в данной заметке есть одна неточность. По словам представителя компании, система Secured-core PC не использует специальный чип для проверки микрокода прошивки на целостность. В компании не уточняют, но речь, вероятно, идёт о модуле TPM 2.0, который может считаться стандартным средством защиты, а не чем-то особенным. Для примера, компания предложила посмотреть страницу с настройкой защиты запуска и SMM системы безопасности System Guard, которая опирается на доверенный платформенный модуль (TPM) 2.0.

Google Play слишком поздно удалил два вредоносных приложения: пользователи успели скачать его как минимум 1,5 млн раз

Google Play удалил два вредоносных приложения, но пользователи успели скачать их как минимум 1,5 млн раз. Их обнаружила компания Wandera, которая специализируется на защите информации.


В описании популярных приложений Sun Pro Beauty Camera и Funny Sweet Beauty говорится, что они предназначены для обработки фотографий. Однако оказалось, что у них есть, мягко говоря, недокументированные возможности. Они зачем-то просят разрешение на запись аудио, и, что гораздо хуже, на весь экран разворачивают рекламу. А чтобы закрыть её, пользователь вынужден перейти на сайт рекламодателя.

Более того, даже если закрыть приложения, они и далее продолжают работать, но уже в фоновом режиме, а реклама вновь и вновь появляется, перекрывая пользователю доступ к другим открытым приложениям. Удалить их тоже непросто: в общем списке приложений нет их иконок. Однако это всё-таки можно сделать, если зайти в системные настройки и открыть список установленных приложений.

На прошлой неделе стало известно, что пользователи по неведению установили вредоносные VPN-приложения более 500 млн раз. Hotspot VPN, Free VPN Master, Secure VPN и Security Master by Cheetah Mobile тоже без разрешения показывали надоедливую рекламу.

За последние несколько месяцев компания Google неоднократно подвергалась критике за неспособность своевременно выявить и устранить вредоносные приложения в Google Play.

В SIM-картах выявлена ошибка, позволяющая взломать телефон отправкой SMS

Специалисты по кибербезопасности обнаружили существование новой, ранее не выявленной, критической уязвимости в SIM-картах, которая позволяет злоумышленникам удалённо взламывать целевые мобильные телефоны и шпионить за жертвами, просто отправив SMS-сообщение. Эта уязвимость, получившая название SimJacker, находится в программном обеспечении S@T Browser (динамический инструментарий для SIM-карт), встроенном в большинство SIM-карт и широко используемом операторами мобильной связи как минимум в 30 странах.

S@T Browser содержит ряд инструкций STK — таких как отправка короткого сообщения, настройка вызова, запуск браузера, предоставление локальных данных, запуск по команде и отправка данных — все они могут быть вызваны простым отправлением сообщения SMS на устройство. ПО предлагает среду выполнения и автоматически запускает вредоносные команды на мобильных телефонах.

Более того, по словам исследователей, SimJacker активно пользовалась некая связанная с правительством частная компания для слежения за людьми в течение как минимум двух лет в нескольких странах. Причём люди проверялись массово по нескольку раз в день.

Обнародованная исследователями из AdaptiveMobile Security в опубликованном недавно докладе уязвимость может быть использована с помощью простого GSM-модема за $10. С него можно отправить на телефон жертвы сообщение SMS, включающее определённый вид вредоносного кода. Благодаря этому злоумышленник может:

  • получить местоположение целевого устройства и информацию IMEI;
  • распространить неверную информацию путём отправки поддельных сообщений от имени жертв;
  • совершать звонки на платные номера от имени абонента;
  • шпионить за окружением жертв, приказав устройству звонить на номер телефона злоумышленника;
  • распространять вредоносный код путём открытия браузером жертвы вредоносных веб-страниц;
  • исполнять атаку, отключающую SIM-карту;
  • получать другую информацию вроде языка, типа радио, уровня заряда батареи и так далее.

При этом во время работы SimJacker пользователь не знает, что он подвергся атаке, а информация была извлечена. Данные о местонахождении тысяч устройств были получены с помощью этой атаки без ведома или согласия пользователей мобильных телефонов, однако SimJacker была расширена для выполнения дополнительных видов атак.

Хотя технические подробности и подробный документ с описанием атаки планируется опубликовать в октябре этого года, исследователи заявили, что выявили реальные атаки на пользователей  телефонов практически всех производителей, включая Apple, ZTE, Motorola, Samsung, Google, Huawei и даже различной электроники с поддержкой SIM-карт. Одна из выявленных жертв подверглась за неделю 250 атакам. Потенциально риску могут быть подвержены более миллиарда человек.

«Simjacker представляет собой явную опасность для мобильных операторов и абонентов. Это потенциально самая изощрённая атака, касающаяся основ мобильных сетей, из когда-либо существовавших, — сказал технический директор AdaptiveMobile Security Кэтал МакДейд (Cathal McDaid). — Это очень тревожный сигнал, который показывает, что злоумышленники вкладывают значительные средства во всё более сложные и изощрённые способы подрыва сетевой безопасности. Он ставит под угрозу приватность и доверие клиентов к операторам мобильной связи и влияет на национальную безопасность целых стран».

Более того, теперь, когда эта уязвимость была публично раскрыта, исследователи ожидают, что хакеры и другие злоумышленники попытаются развить эти атаки. Исследователи уже предоставили полную информацию об уязвимости Ассоциации GSM и Альянсу SIM. Последний признал проблему и выпустил рекомендации для производителей SIM-карт по обеспечению безопасности push-сообщений S@T. Мобильные операторы также могут немедленно устранить угрозу, настроив процесс анализа и блокировки подозрительных сообщений, содержащих команды браузера S@T. Пользователь мобильного устройства, похоже, ничего не может сделать, если использует SIM-карту с S@T Browser — разве что обратиться к оператору для замены SIM-карты на более безопасную.

ЦБ введёт для банков наказание за низкий уровень защиты от киберугроз

На основе уже существующего указания 4336-У ЦБ РФ сформулирует требования к качеству защиты банков от кибератак. До конца 2019 года каждый российский банк получит соответствующую характеристику «риск-профиль» по уровню информационной безопасности.

Фото: Igor Zehl / Zuma / TASS

Фото: Igor Zehl / Zuma / TASS

Понятие риск-профиля введено в стратегическом документе «Основные направления развития информационной безопасности в кредитно-финансовой сфере РФ», работу над ним совет директоров ЦБ закончил на прошлой неделе. Кроме того, в этом документе прописаны и другие меры по защите финансового сектора от кибератак, которые должны быть внедрены до 2023 года.

Риск-профиль, например, учитывает долю несанкционированных операций по картам в общем объёме транзакций банка, а также технологическую готовность к отражению атак. Если департамент информационной безопасности ЦБ присвоит банку низкий риск-профиль, это значит, что банк подвергает большой опасности своих клиентов:

«Это не только рекомендация что-то исправить, это и переход к формированию штрафов и других мер, которые предусмотрены законом», — пояснил Артём Сычёв, первый замдиректора департамента информационной безопасности Банка России.

Он также добавил, что отношение банка к вопросам информационной безопасности влияет на его показатели финансовой устойчивости: размер капитала, активов, качество управления и другие.

«Нам важно понимание, как реагирует менеджмент организации на те вызовы, которые возникают с точки зрения информационной безопасности. Он вообще про них в курсе? Управляет ли он этим риском или не управляет? Для нас это самое важное», — заявил Сычёв.

window-new
Soft
Hard
Тренды 🔥