«МегаФон» первым среди российских операторов сотовой связи взял на вооружение систему «Платформа киберразведки»: данное решение предназначено для борьбы с мобильным мошенничеством и предотвращения хищения средств со счетов абонентов.

Система собирает информацию обо всех современных источниках сетевых атак на пользователей мобильной связи. Специальные алгоритмы в автоматическом режиме анализируют потоки сетевых событий и выявляют номера, которые находятся под угрозой хищения средств или информации.

В основе работы платформы лежит аналитика больших данных. Система обнаруживает подозрительное использование услуг мобильной коммерции и платежей, что позволяет заранее выявить возможные атаки.

«В частности, алгоритмы фиксируют распространение ссылок на вредоносное ПО, и по подозрительному характеру поведения пользователя платформа выявляет заражённые устройства, отслеживает обращение к фишинговым ресурсам», — отмечает «МегаФон».

В рамках платформы реализован набор инструментов для онлайн-сервисов. Система способна обнаруживать недобросовестных пользователей, которые используют SIM-карты для массовой автоматизированной регистрации с целью мошеннических операций.

Более того, решение даёт возможность идентифицировать конкретные мобильные кошельки и номера абонентов, вовлечённых в подозрительные финансовые операции.

«Информация обновляется по мере обнаружения новых угроз, поэтому компании могут оперативно связаться со своими клиентами или сотрудниками, предупредить их о потенциальной опасности. У банков при получении информации об угрозе в отношении клиента есть возможность приостановить подозрительную операцию и связаться с клиентом для дополнительного подтверждения», — добавляет оператор. 

Центр по рассмотрению жалоб на преступления в интернете ФБР (IC3) принял в 2020 году от американской общественности 791 790 заявлений, связанных с разного рода киберпреступлениями. Это на 69 % больше по сравнению с числом заявлений в 2019 году. При этом общие убытки от киберпреступности в отчётном периоде составили $4,1 млрд.

Уже не первый год одно из основных направлений деятельности киберпреступников связано с компрометацией электронных почтовых ящиков частных клиентов и организаций. Представители бизнеса подали в IC3 19 369 жалоб по проблеме компрометации почтовых ящиков (Business Email Compromise), а суммарные убытки от этой деятельности злоумышленников составили $1,8 млрд. Значительно выросло количество зафиксированных случаев фишинга. В 2020 году ведомство получило 241 342 жалобы по инцидентам, связанным с фишингом, тогда как в 2019 году было только 114 702 обращения такого типа. Также отмечается продолжающийся рост жалоб на программы-вымогатели. За прошлый год поступило 2 474 жалобы по данному вопросу.

Как правило, скомпрометированные почтовые ящики используются для рассылки поддельных писем от имени ставшего жертвой сотрудника внутри организации и за её пределами, например, деловым партнёрам. Цель такого мошенничества чаще всего сводится к извлечению денежной выгоды путём, например, выставления якобы легитимных счетов на оплату чего-либо с указанием подставных счетов.

Эксперты отмечают, что за последние годы значительное развитие претерпело направление деятельности злоумышленников, связанное с компрометацией почтовых ящиков корпоративных пользователей (BEC). Если раньше мошенники переводили похищенные деньги на свои счета, то теперь для этого чаще используются краденые личности, а средства с таких счетов в дальнейшем конвертируются в криптовалюту.

Американская компания McAfee, работающая в сфере информационной безопасности, объявила о продаже своего корпоративного бизнеса консорциуму во главе с частной инвестиционной компанией Symphony Technology Group за $4 млрд. Согласно имеющимся данным, McAfee, которая вновь стала публичной и провела первичное размещение акций в октябре прошлого года, намерена заниматься обеспечением кибербезопасности клиентов потребительского сегмента.

После отделения от Intel в 2017 году McAfee занималась разработкой облачных сервисов и созданием собственной платформы с упором на портфель продуктов для корпоративных клиентов. Однако сейчас компания приняла решение о необходимости сузить фокус и направить имеющиеся ресурсы на развитие потребительского бизнеса с перспективой долгосрочного роста.

«Эта сделка позволит McAfee сосредоточиться исключительно на потребительском бизнесе и ускорит реализацию стратегии, которая позволит компании стать лидером в сфере обеспечения кибербезопасности потребителей», — заявил генеральный директор McAfee Питер Лив (Peter Leav).

Напомним, Intel приобрела McAfee в 2011 году, а в 2014 году подразделение было переименовано в Intel Security. Несмотря на это, компания сохранила используемый ранее логотип в виде красного щита, а в названии продуктов осталось слово McAfee. В 2016 году 51 % акций подразделения Intel Security выкупил инвестиционный фонд TPG Capital за $3,1 млрд. В октябре прошлого года компания провела повторное первичное размещение акций, в результате чего ей удалось привлечь около $740 млн, а уровень капитализации достиг $8,6 млрд.

Компания Cisco подвела итоги прошлого года в сфере обеспечения информационной безопасности: стремительное развитие платформ дистанционного обучения и удалённой работы в условиях пандемии породило новые угрозы для домашних и корпоративных пользователей.

Одним из ключевых трендов 2020-го стали атаки программ-вымогателей на корпоративные сети. Причём злоумышленники начали применять новые методы, вынуждающие жертв заплатить выкуп за восстановление доступа к данным. Так, киберпреступники начали встраивать в вымогатели таймеры обратного отсчёта, угрожая окончательным уничтожением данных.

Кроме того, использовалась схема «двойного шантажа»: до запуска программ-вымогателей похищались большие объёмы корпоративных данных, и жертвам приходилось не только восстанавливать скомпрометированные сети, но и ликвидировать угрозу обнародования интеллектуальной собственности, коммерческих тайн и другой конфиденциальной информации.

Ещё один тренд — атаки на системы, использующие технологию удалённых рабочих столов (Remote Desktop). Наиболее распространёнными проблемами стали: кража идентификационных данных, дистанционное выполнение кода и несанкционированный доступ к ресурсам организации.

Третья глобальная проблема — безопасность персональной информации. Причём в условиях пандемии значимость вопросов, связанных с конфиденциальностью данных, значительно выросла.

В 2020 году злоумышленники активно охотились на пароли пользователей, что стало ещё одним трендом в сфере кибербезопасности. Кража идентификационных данных занимает второе место среди самых распространённых действий взломщиков.

Наконец, сообщается, что в 2020 году критичной точкой в области обеспечения информационной безопасности на фоне вспышки коронавируса стала сфера здравоохранения. Огромной проблемой здесь стали унаследованные и устаревшие технологии.

«В 2020 году отмечался массовый всплеск угроз, причинами которого могли стать как ускорение цифровой трансформации во всех индустриях, так и повсеместный переход на удалённую работу. В течение года количество кибератак росло, повышалась их сложность, и противостоять им становилось все труднее», — говорится в отчёте Cisco. 

Современные хакерские атаки стали настолько квалифицированными и хорошо подготовленными, что власти некоторых стран прибегают к услугам киберпреступников, чтобы скрыть своё участие. К такому выводу пришли специалисты компании BlackBerry, работающей в сфере информационной безопасности.

В своём отчёте специалисты предупреждают о появлении схем «киберпреступление как услуга» (cybercrime-as-a-service), благодаря которым правительственные хакеры могут работать со сторонними группировками в рамках реализации разного рода кампаний. Такие кампании, как правило, включают в себя фишинг и внедрение вредоносного программного обеспечения в целевые сети. В результате хакеры получают финансовое вознаграждение, а власти страны-заказчика интересующие данные или доступ во взломанные сети. Поскольку хакеры используют для проведения вредоносной кампании собственную инфраструктуру и методы, связать такую атаку со страной-заказчиком крайне затруднительно.  

Исследователи отмечают, что используемые в масштабных хакерских атаках методы и география жертв слишком разнообразны, чтобы соответствовать интересам только одного злоумышленника. «Идентификация злоумышленников может быть сложной задачей для исследователей в сфере информационной безопасности из-за нескольких факторов, таких как перекрывающаяся инфраструктура, несопоставимые цели и необычная тактика. Это утверждение особенно точно характеризует случаи, когда на аутсорсинг передаётся выполнение только части задач вредоносной кампании», — сказано в отчёте BlackBerry.

Исследователи считают, что защита сетей от хорошо продуманных и подготовленных атак является сложной задачей. Для предотвращения вторжения организациям необходимо организовывать постоянную проверку сетей на предмет необычной активности, которая может классифицироваться как подозрительная. Кроме того, удалённый доступ к конфиденциальной информации должны иметь только те сотрудники, которым она действительно нужна для выполнения своих обязанностей.

В Олдсмаре (штат Флорида) в пятницу произошла попытка совершить одну из самых опасных атак на системы кибербезопасности — хакеры пытались отравить систему водоснабжения. О гипотетической возможности подобного вида нарушений эксперты предупреждали годами. Недавний взлом, по словам специалистов, выступил ярким примером уязвимости кибербезопасности в области водоснабжения, одной из ключевых систем инфраструктуры США.

zdnet.com

«Водные объекты особо проблематичны, — считает Сюзанна Сполдинг (Suzanne Spaulding), которая работала главным сотрудником службы кибербезопасности в Министерстве внутренней безопасности (DHS) при администрации президента США Барака Обамы. — Когда я впервые пришла в DHS и начала получать брифинги по конкретным секторам, моя команда сказала: "Вот, что вам нужно знать о водохозяйственных сооружениях: когда вы ознакомились с одним водным объектом, вы можете делать выводы только по нему"».

В настоящее время в США существует порядка 54 000 систем питьевого водоснабжения, которые управляются независимо местными органами власти или небольшими корпорациями. Это означает, что существуют тысячи самых разных систем безопасности, которые порой устанавливаются специалистами широкого профиля.

«Я побывала на многочисленных водоочистных сооружениях, где имеется лишь один или два ИТ-специалиста, — сказала главный аналитик угроз в компании кибербезопасности Dragos Лесли Кархарт (Lesley Carhart). — И им приходится заниматься всем: от обслуживания компьютеров и устройств, поддерживающих работу инфраструктуры, до попыток обеспечения безопасности. Люди перегружены и не могут обеспечить все требования к безопасности».

Все службы кибербезопасности Олдсмара, включая водоочистные сооружения, управляются одним человеком, сообщили в электронном письме журналистам глава городской администрации Аль Брейтуэйт (Al Braithwaite) и его помощница Фелисия Доннелли (Felicia Donnelly).

В случае атаки Олдсмара, всё, что требовалось хакерам для получения полного доступа к системе — это просто войти в учётную запись TeamViewer, которая позволяет удалённым пользователям полностью контролировать компьютер, связанный с предприятием. Это позволило им открыть и поиграть с программой, которая отвечает за химический состав подземного резервуара, который обеспечивает питьевой водой почти 15 000 человек. На предприятии есть резервная сигнализация для измерения уровней опасных химических веществ, но хакеры, по крайней мере, на короткое время смогли приказать заводу отравить воду.

С помощью нескольких щелчков мыши они сказали поднять уровень щелочи в воде со 100 до 11 100 долей на миллион. Концентрации, превышающие 10 000, могут привести к затруднениям при глотании, тошноте, рвоте, болях в животе и даже к повреждению желудочно-кишечного тракта.

Специалисты по кибербезопасности отмечают, что подобное ПО, позволяющее управлять ключевыми параметрами различных промышленных систем, очень часто используется на предприятиях, которые не в состоянии обеспечить достаточную защиту. И этим могут воспользоваться злоумышленники.

Министерство внутренних дел РФ планирует разработать сервис для борьбы с мошенническими звонками. Об этом сообщает «Коммерсантъ» со ссылкой на данные тендера ведомства в системе государственных закупок.

Новый сервис будет интегрирован в существующее мобильное приложение МВД России, доступное для платформ Android и iOS. Оно получит модуль «Антимошенник», который будет функционировать в паре с информационной системой полиции и позволит пользователям распознавать звонки с мошеннических номеров. При этом для корректной работы модуля программе потребуется доступ к телефонной книге пользователя, отмечает издание.

При входящем звонке с неизвестного номера мобильное приложение будет сопоставлять его с актуальной базой мошеннических номеров, которая есть у правоохранительных органов. В случае совпадения пользователь смартфона увидит на экране предупреждение о том, что ему, возможно, звонят злоумышленники. Также будет предусмотрена возможность создания «белого» списка доверенных номеров. На реализацию всех перечисленных функций министерство намерено выделить 63 млн рублей.

По мнению экспертов в сфере информационной безопасности, при качественной реализации инициатива МВД России серьёзно усложнит жизнь мошенникам и снизит объем телефонного фрода. В тоже время специалисты высказывают опасения по поводу возможных рисков для пользователей приложения: их контакты будут полностью открыты полиции и могут оказаться в свободном доступе в случае утечки.

Группа анализа угроз Google сообщила о том, что поддерживаемые правительством хакеры из Северной Кореи уже несколько месяцев ведут кампанию, нацеленную на отдельных исследователей цифровой безопасности. Google не сообщает подробностей, однако заявляет, что корейские хакеры для достижения своих целей используют целый ряд средств, включая социальную инженерию.

theverge.com

По данным Google, хакеры создали блог о кибербезопасности и несколько Twitter-аккаунтов, пытаясь втереться в доверие к потенциальным мишеням. Блог посвящён описанию общеизвестных уязвимостей, а в Twitter-аккаунтах были размещены ссылки на него. Компания зафиксировала несколько случаев заражения компьютеров исследователей безопасности при посещении блога. Сообщается, что корейские хакеры используют существующие дыры в безопасности Google Chrome и Windows 10. По имеющимся данным, были заражены компьютеры, использующие актуальные версии операционной системы и браузера.

Аккаунты хакеров

Метод социальной инженерии, описанный в Google, заключается в том, что хакеры втираются в доверие к исследователям безопасности, а потом договариваются о совместной работе над проектом. Когда жертва соглашается, хакер отправляет проект Visual Studio, содержащий вредоносное ПО, которое заражает ПК и  передаёт данные на сервер злоумышленников. Google сообщила, что для заманивания жертв хакеры использовали ряд платформ, среди которых Telegram, LinkedIn и Discord. Поисковый гигант перечислил связанные с инцидентом учётные записи в своём блоге.

Напомним, что последним известным инцидентом подобного характера стала атака, направленная на американскую компанию FireEye, занимающуюся кибербезопасностью в декабре прошлого года. Тогда злоумышленники намеревались получить доступ к внутренним инструментам компании, которые она использовала для выявления уязвимостей в системах своих клиентов.

Фишинг — один из самых распространённых способов мошенничества для получения несанкционированного доступа к аккаунтам в интернете. Некая хакерская группировка, получившая доступ к более чем тысяче аккаунтов пользователей Microsoft Office 365, случайно «слила» информацию о них в открытый доступ.

Пример фишингового письма

Об этом сегодня рассказал портал Bleeping Computer со ссылкой на отчёты агентств по исследованиям в области кибербезопасности — Check Point и Otorio. Мошенники, занимавшиеся фишингом данных от корпоративных пользователей Microsoft Office 365, использовали подставные веб-страницы, работавшие на серверах WordPress. При этом полученную информацию они сохраняли в общий файл, на который была установлена ссылка в коде всех вредоносных страниц. Этот самый файл, как оказалось, индексировался поисковой машиной — в результате Google мог показывать пароли по поисковому запросу украденного адреса электронной почты. Из отчёта можно было получить и более подробную информацию: например, IP-адрес и данные о местоположении владельца аккаунта.

Статистика из отчёта

В ходе исследований Check Point и Otorio выяснили, что больше всего от фишинга пострадал строительный, энергетический и технологический сектор. Сотрудники, работающие в этих областях, оказались более падки на фишинговые приёмы.

Сбор данных был организован элементарно. Злоумышленники отправляли фейковые сообщения на электронную почту со ссылками на страницу загрузки документов, где для доступа предлагалось ввести данные от учётной записи Microsoft.

Часть кода такой страницы

Что примечательно, в JavaScript-код этих страничек хакеры встроили алгоритм автоматической сверки введённых данных с оригинальными сервисами Microsoft. Для этого использовалась процедура входа на официальном сайте Microsoft, и если авторизация проходила без ошибок — данные записывались в отчёт, в обратном случае система просила повторить попытку.

Чтобы предостеречь себя от подобного рода мошенничества обращайте внимание на правописание названий в ссылках, дизайн страниц, ищите информацию по ним в интернете и лишний раз не обращайте внимания на провокационные сообщения.

Эксперт по кибербезопасности Стивен Адэр (Steven Adair) и его команда находились на завершающей стадии очистки сети аналитического центра от хакеров в начале этого года, когда их внимание привлекла подозрительная закономерность в данных журнала. Шпионам не только удалось взломать систему — это довольно частое явление в современном мире — но и обойти все недавно обновлённые средства защиты паролей, как будто их и не было.

Reuters / Sergio Flores

«Вау, — вспомнил свою реакцию господин Адэр во время недавнего интервью. — Эти парни умнее среднестатистического хакера». Только на прошлой неделе его Volexity из Рестона (штат Вирджиния) осознала, что боролась с теми же продвинутыми хакерами, которые взломали сеть техасской компании по разработке программного обеспечения SolarWinds и заразили множество учреждений и ведущих компаний США, в том числе работающих в области кибербезопасности.

Используя специально модифицированную версию программного обеспечения SolarWinds в качестве импровизированной отмычки, хакеры проникли в ряд правительственных сетей США, включая министерства финансов, внутренней безопасности, торговли, энергетики и так далее. Когда стало известно о взломе, Стивен Адэр сразу вспомнил аналитический центр, где его команда проследила одну из попыток взлома на сервере SolarWinds, но так и не нашла доказательств, необходимых для точного определения точки входа.

Сам господин Адэр около пяти лет помогал защищать NASA от угроз взлома, а затем основал Volexity. У него были смешанные чувства по поводу этого эпизода. С одной стороны, он был рад, что предположение его команды о подключении через SolarWinds было верным. С другой — они оказались лишь малой частью гораздо более масштабной истории.

Большая часть индустрии кибербезопасности США сейчас занимается закрытием дыр и зачисткой взломанных через SolarWinds систем. Шон Кессель (Sean Koessel), коллега Стивена Адэра, сказал, что компания принимает около 10 звонков в день от компаний, обеспокоенных тем, что они могли стать мишенью атаки или опасаются, что в их сетях наблюдается подозрительная активность.

The Wall Street Journal

Господин Кессель сказал, что их попытки закрыть хакерам доступ к аналитическому центру (имя организации он не называл) длились с конца 2019 года до середины 2020-го, и в это время произошли два новых взлома. А на выполнение подобной задачи у правительства США может уйти ещё больше времени. «Я легко могу представить, что на это уйдёт полгода или больше, а некоторые организации будут уязвимы годами», — считает Кессель.

Доцент Нью-Йоркского университета и декан-основатель Кибер-колледжа военно-воздушных сил США Пано Яннакогеоргос (Pano Yannakogeorgos) тоже предсказал длительные сроки полной ликвидации последствий взлома и добавил, что некоторые сети придётся отключить от Интернета и заново создать инфраструктуру. В любом случае, затраты на ликвидацию взлома будут большими и придётся привлекать высокооплачиваемых экспертов для изучения следов кибератак в журналах.

Хорошо скоординированная атака на инфраструктуру SolarWinds, о которой мы уже подробно писали, привела ко взлому облачных клиентов Microsoft и краже электронных писем минимум одной частной компании, как утверждают информаторы Washington Post. Взлом затронул многочисленные правительственные агентства США и корпоративные компьютерные сети.

Gerard Julien/AFP/Getty Images

По словам информаторов, вторжение, по всей видимости, произошло через корпоративного партнёра Microsoft, который занимается услугами перепродажи облачного доступа. Microsoft не прокомментировала это публично. В четверг один из руководителей технологического гиганта попытался преуменьшить серьёзность проблемы. «Наше расследование недавних атак выявило инциденты, связанные со злоупотреблением учётными данными для получения доступа, которое может иметь несколько форм, — сказал старший директор по коммуникациям Microsoft Джефф Джонс (Jeff Jones). — Мы до сих пор не выявили никаких уязвимостей и взлома продуктов или облачных служб Microsoft».

Но на днях, согласно сообщению в блоге фирмы по кибербезопасности CrowdStrike, Microsoft уведомила их о проблеме со своим посредником, который занимается лицензированием клиентов Azure. В своём сообщении CrowdStrike предупредила клиентов, что Microsoft обнаружила необычное поведение в учётной записи Azure CrowdStrike, и что была неудачная попытка прочитать электронную почту. Информаторы сообщили, что атака не использовала какие-либо уязвимости Microsoft. Сам программный гигант взломан не был — только один из его партнёров.

The Wall Street Journal

Тем не менее, эксперты по информационной безопасности считают ситуацию крайне тревожной. «Если правда, что данные клиента поставщика облачных услуг были украдены и находятся в руках какого-то злоумышленника, это очень серьёзная ситуация, — отметил Джон Рид Старк (John Reed Stark), управляющий консалтинговой фирмой и бывший руководитель отдела Комиссии по ценным бумагам и биржам. — Это должно вызывать большую тревогу внутри облачного провайдера и может повлечь целый ряд требований об уведомлении, исправлении и раскрытии информации — как внутри США, так со стороны международных клиентов».

На прошлой неделе в своём блоге Microsoft заявила, что уведомила более 40 клиентов о том, что они были взломаны. Некоторые из них были взломаны через третью сторону. Если злоумышленник взломал реселлера и похитил учётные данные, он может использовать их для получения широкого доступа к учётным записям Azure. Попав внутрь учётной записи конкретного клиента, злоумышленник имеет возможность читать и красть электронные письма, а также другую информацию. Два информатора Washington Post утверждают, что Microsoft своевременно не предупредила правительство о проблеме со взломом реселлера.

Атакованная цепочка клиентов SolarWinds (данные Microsoft)

Представитель Microsoft в беседе с журналистами охарактеризовал проблему с реселлером как вариацию прошлого взлома, а не как принципиально новую ситуацию. При этом он отказался отвечать на вопросы о том, когда фирма обнаружила проблему у торгового посредника, сколько у последнего клиентов, сколько из них было взломано, и предупреждал ли этот посредник своих клиентов. «У нас есть различные соглашения с людьми, и мы не будем делиться детальной информацией о нашем взаимодействии с конкретными партнёрами или клиентами», — отметил он.

Эксперты считают, что взлом партнёра Microsoft не освобождает программного гиганта от юридической ответственности. Когда в прошлом году хакеры украли данные более 100 миллионов владельцев кредитных карт из облака крупного банка, который пользовался услугами Amazon Web Services, клиенты подали в суд и на банк, и AWS. В сентябре федеральный судья отклонил ходатайство Amazon об исключении её из списка ответчиков, потому что «небрежное поведение» облачного провайдера предположительно сделало атаку возможной.

Жертвы взлома по секторам (данные Microsoft)

Источники в правительстве и частном секторе США сообщают, что общее количество жертв взлома SolarWinds — агентств и компаний, у которых были украдены данные, — скорее всего, составит не более нескольких сотен, а не тысяч, как предполагалось ранее. Но даже один крупный взлом агентства может иметь огромные последствия.

Министерство внутренних дел РФ планирует создать отдел киберполиции для борьбы с цифровыми преступлениями. Об этом рассказал замглавы МВД Игорь Зубов в разговоре с Юлией Снетковой, председателем детского совета при Уполномоченном по правам ребёнка в Москве.

Кубанские новости

Господин Зубов пояснил, что после начала пандемии в стране резко выросло количество киберпреступлений. Он объяснил это цифровизацией общества. «Наше общество испытывает огромнейшее информационное давление деструктивного плана», — отметил представитель Министерства внутренних дел.

Замглавы МВД России рассказал, что руководитель ведомства Владимир Колокольцев уже принял решение о создании подразделения, но подчеркнул, что для этого потребуется время. Это связано с выделением средств, техники и получением сотрудниками соответствующей квалификации. Точные сроки появления отдела не уточняются.

Напомним, что в феврале 2020 года в МВД РФ появился отдел по борьбе с IT-преступлениями. Чем он отличается от нового подразделения не уточняется. Кроме этого, в сентябре была основана межведомственная группа по борьбе с киберпреступностью.

Эксперты по безопасности компании Avast заявили об обнаружении 28 вредоносных расширений для браузеров Chrome и Edge, которые крадут персональные данные и отправляют пользователей на фишинговые сайты. Об этом пишет Arstechnica. Предположительно, с их помощью было заражено около 3 миллионов компьютеров.

MakeTechEasier

Большая часть вредоносного ПО устанавливается для загрузки видеороликов, музыки или фото из различных сервисов, таких как Vimeo, Spotify, Instagram и других. Они были размещены на серверах Microsoft и Google. С их помощью разработчики могли загружать на компьютеры пользователей вредоносное ПО. При каждом нажатии для скачивания файлов, пользователей направляли на фишинговый сайт для дальнейшего захвата контроля над его учётной записью.

Представители Avast отметили, что не знают, запускались ли сервисы изначально с вредоносным ПО, или разработчики ожидали, когда сервисы наберут критическую массу пользователей. Эксперты также порекомендовали пользователям удалить перечисленные ниже расширения и немедленно провести проверку ПК на вирусы. На момент написания новости часть расширений уже заблокирована.

Список вредоносных расширений:

• Direct Message for Instagram;
• DM for Instagram;
• Invisible mode for Instagram Direct Message;
• Downloader for Instagram;
• Instagram Download Video & Image;
• App Phone for Instagram;
• Stories for Instagram;
• Universal Video Downloader;
• Video Downloader for FaceBook;
• Vimeo Video Downloader;
• Volume Controller;
• Zoomer for Instagram and FaceBook;
• VK UnBlock. Works fast;
• Odnoklassniki UnBlock. Works quickly;
• Upload photo to Instagram;
• Spotify Music Downloader;
• Stories for Instagram;
• Upload photo to Instagram;
• Pretty Kitty, The Cat Pet;
• Video Downloader for YouTube;
• SoundCloud Music Downloader;
• The New York Times News;
• Instagram App with Direct Message DM.

Это не первая атака на пользователей при помощи браузерных расширений. В 2019 году один из исследователей выяснил, что некоторые программы для Chrome и Firefox собирали и анализировали данные примерно четырёх миллионов человек. Из-за этого в сеть попали налоговые декларации, графики приёма врачей, а также конфиденциальная информация некоторых крупных компаний — Tesla, Trend Micro, Symantec и Blue Origin.

В ноябре 2020 года Google заявила, что разработчикам софта для Chrome придётся подробно рассказывать пользователям какая информация будет собираться расширением, и как эти данные будут использоваться. Новые правила начнут действовать с января 2021 года.

«Лаборатория Касперского» представила Kaspersky Threat Attribution Engine — аналитический инструмент для определения источника и авторов вредоносного программного обеспечения.

Принцип работы Kaspersky Threat Attribution Engine

Kaspersky Threat Attribution Engine предназначен для корпораций и государственных ведомств, которые хотели бы понять, кто стоит за атаками на их ресурсы. Инструмент помогает аналитикам SOC-команд и сотрудникам отделов по реагированию на киберинциденты сопоставлять новые вредоносные операции с уже известными, определять источники и организаторов. «Зная, кто и с какой целью атакует компанию, сотрудники отделов по IT-безопасности могут быстро разработать и запустить план по реагированию на инцидент», — поясняют в «Лаборатории Касперского»

Чтобы выяснить, от какой именно преступной группы исходит угроза, решение Kaspersky Threat Attribution Engine разбирает обнаруженный образец вредоносного кода на отдельные фрагменты, а затем ищет сходства в базе «Лаборатории Касперского». База данных содержит экземпляры вредоносного ПО, собранного компанией за 22 года работы на рынке информационной безопасности.

В зависимости от того, насколько анализируемый файл похож на образцы, хранящиеся в базе, решение Kaspersky Threat Attribution Engine определяет возможное происхождение и кибергруппу, стоящую за атакой, даёт короткое описание и ссылки на частные и публичные ресурсы с информацией о кампаниях, где был задействован сходный код. Подписчикам Kaspersky APT Intelligence Reporting доступен также подробный отчёт о тактиках, техниках и процедурах, используемых кибергруппой, и инструкция, как действовать дальше.

Систему можно развернуть в изолированной среде, защищённой от доступа сторонних лиц к обрабатываемой информации и отправляемых в неё объектах. Дополнительные сведения о продукте можно найти на сайте kaspersky.ru/enterprise-security/cyber-attack-attribution-tool.

FireEye, одна из крупнейших компаний США в сфере кибербезопасности, заявила во вторник, что была взломана, что привело к краже арсенала внутренних хакерских инструментов, обычно предназначенных для частного тестирования и киберзащиты собственных клиентов. Пострадавшая сторона не исключает, что ко взлому были причастны спонсируемые правительством группировки.

David Becker / Reuters

Взлом FireEye, компании с множеством деловых контрактов в сфере национальной безопасности как Соединённых Штатов, так и их союзников, является одним из самых серьёзных за последнее время.

О взломе рассказал исполнительный директор FireEye Кевин Мандиа (Kevin Mandia) в блоге компании. В сообщении говорилось, что инструменты «красной команды» (специалистов, занимающихся комплексной имитацией реальных атак с целью оценки кибербезопасности систем) были украдены в рамках очень изощренной хакерской операции, к которой, скорее всего, было причастно другое государство. При этом не ясно, когда именно произошёл взлом. Помимо кражи инструментов, хакеров также заинтересовала группа клиентов FireEye из числа государственных учреждений.

«Мы надеемся, что, поделившись подробностями нашего расследования, дадим сообществу возможность лучше подготовиться для борьбы с кибератаками и их отражением», — написал господин Мандиа. Сама компания в последние недели установила партнёрские отношения с различными производителями программного обеспечения, чтобы поделиться защитными мерами.

Пока нет доказательств того, что где-либо использовались хакерские инструменты FireEye, или что данные клиентов были украдены. Но расследование, к которому привлечены специалисты Федерального бюро расследований и Microsoft, находится всё ещё на начальной стадии. «Этот инцидент показывает, почему сфера безопасности должна работать сообща, чтобы защищаться от угроз, исходящих от хорошо финансируемых злоумышленников и использующих новые и сложные методы атак», — сказал представитель Microsoft.

Украденный комплект компьютерного шпионажа нацелен на множество различных уязвимостей в популярных программных продуктах. Пока не ясно, какие именно системы могут быть затронуты. Но Кевин Мандиа написал, что ни один из инструментов красной команды не использовал так называемые «уязвимости нулевого дня», то есть соответствующие дыры в безопасности уже должны быть публичными.

Эксперты говорят, что сложно оценить ущерб от утечки хакерских инструментов, которые фокусируются на известных уязвимостях программного обеспечения. После публикации сведений об уязвимости компании обычно выпускают заплатки, но пользователи не всегда загружают эти исправления сразу, так что системы остаются незащищёнными месяцами.