Энергетическая атака
Компания IBM опубликовала отчет [1], в котором проанализировала атаки на промышленные информационные системы США. В частности, за 2016 г. компания зафиксировала 2788 компьютерных инцидентов на промышленных предприятиях США. Это на 110% больше, чем в 2015 г., при этом уже за первую половину 2017 г. зафиксировано около 2500 аналогичных инцидентов. Причем в первой половине года лидером по количеству атак стала именно энергетическая отрасль.
К тому же в сентябре компания Symantec опубликовала [2] сведения о новой волне атак против предприятий энергетической отрасли под названием Dragonfly 2.0. Сведения о деятельности этой группы исследователи уже публиковали в 2014 г., после чего активность хакеров была приостановлена примерно на год – до декабря 2015 г. Однако с начала 2016 г. операции по проникновению в компании энергетической отрасли продолжились с несколько модифицированной тактикой. Использовались три основных вектора атаки: рассылка целенаправленного спама, проникновение через взлом тематических веб-сайтов и распространение троянизированного программного обеспечения. Целью хакеров был контроль над информационными системами энергетических компаний и даже их саботаж. В частности, Symantec связывает с Dragonfly атаку на украинские энергетические сети, а Управление национальной безопасности США обвиняет эту группировку в связях с российским государством, хотя Symantec обнаружил в ней строки не только на русском языке, но и на французском. Кроме американских названная группировка атакует также турецкие и швейцарские компании. Возможно, после публикации отчета Symantec хакеры опять затаятся и отчет IBM за вторую половину года будет более оптимистичным.
Шпионы АНБ
В сентябре опять активизировалась хакерская группировка TheShadowBrokers, которая объявила [3] изменение в своей ежемесячной подписке. Теперь они будут рассылать информацию для своих подписчиков два раза в месяц, при этом хакеры отказались от криптовалюты Monero в пользу Zcash. Хакеры с июля выпускают фрагменты информации – так называемые дампы, в которых содержится информация скинутая из информационной системы компании Equation Group, работающей на АНБ. Что именно содержится в этих дампах, неизвестно, но стоимость запланированного на 15 ноября выпуска составляет 16 000 ZEC или примерно 3,8 млн долл.
В общий доступ попала только одна инструкция от опубликованного в одном из выпусков инструмента под названием UNITEDRAKE, сведения о котором были в документах Эдварда Сноудена и расследованиях «Лаборатории Касперского», где они называются EquationDrug, или более ранняя версия – GrayFish. Это шпионская платформа, позволяющая получить полный контроль над зараженным компьютером. В феврале 2015 г. «Лаборатория Касперского» выпустила отчет, в котором упоминаются эти инструменты – именно они позволили вирусным аналитикам связать деятельность Equation Group с АНБ. Пикантно, что на скриншотах из инструкции видно, что в АНБ используется антивирус McAfee, который поставляется по умолчанию в пакете с Adobe Flash Player.
Утечка в Equifax
Популярной темой обсуждения в сентябре стала утечка [4] из компании Equifax, которая, впрочем, происходила с середины мая по июль. В этот период из информационной системы компании утекли сведения о 143 млн американцев, включающие в себя имена, номера социального страхования, даты рождения, адреса проживания и для некоторых номера водительских прав. У 209 000 человек была украдена информация о банковских картах. Информация была опубликована не сразу, но до обнародования утечки три топ-менеджера компании успели продать принадлежащие им акции компании на сумму 1,8 млн долл., за что заработали «бонусный» иск от властей.
Сама же утечка произошла с сервера, на который хакеры проникли с помощью уязвимости в платформе Apache Struts, которая была устранена 7 марта, но служба безопасности Equifax не успела вовремя обновить программное обеспечение, а уже в середине мая хакеры приступили к воровству ценной информации. Таким образом, опять проблемы с информационной безопасностью возникают из-за несвоевременной установки обновлений.
Центр компетенции по ИБ Евросоюза
В сентябре еврокомиссар Жан-Клод Юнкер объявил [5] о планах расширения полномочий организации ENISA в рамках закона о кибербезопасности Евросоюза. Это агентство было создано в 2005 г. на греческом острове Крит и уже принимало участие в общеевропейских учениях по кибербезопасности. Сейчас же планируется создать на его основе центр компетенции по сертификации и стандартизации. Кроме того, агентство будет помогать странам, которые входят в Евросоюз, реализовывать директиву по сетевой и информационной безопасности, пересматривать стратегию Евросоюза в кибербезопасности и организовать совместное реагирование на «кибер-кризисы». Этакое ФСТЭК и ФСБ в одном лице, но сфокусированное на кибербезопасности.
Robocop AI на страже мобильных приложений
Глава подразделения Google, которое занимается обеспечением безопасности платформы Android, Адриан Людвиг раскрыл [6] подробности по использованию для целей обнаружения вредоносного ПО в Google Play искусственного интеллекта. Компонент, который называется Robocop AI, собирает с устройств пользователей телеметрию по запуску и использованию приложений и пытается обнаружить в ней признаки вредоносного поведения. По рассказам Адриана Людвига, шесть месяцев назад этот искусственный интеллект находил всего 5% вредоносного ПО, но за прошедшее время его система распознавания настолько улучшилась, что сейчас эта доля возросла до 55%. В результате практически за год компании удалось снизить долю вредоносности своего электронного магазина с 0,6 до 0,25%. «Сравните этот показатель с индустрией персональных компьютеров», – предлагает Людвиг.
[1] http://www.securityweek.com/injection-attacks-common-energy-and-utilities-sector-ibm
[2] https://www.theregister.co.uk/2017/09/06/energy_sector_attacks/
[3] http://www.securityweek.com/shadow-brokers-release-tool-used-nsa-hack-pcs
[4] https://www.theregister.co.uk/2017/09/15/equifax_sitrep/
[5] https://www.theregister.co.uk/2017/09/19/enisa_revamp/
[6] https://www.theregister.co.uk/2017/09/26/google_success_machine_learning_malware_engine/
