Безопасность в цифрах
Эксперты министерства обороны США совместно с другими ведомствами Соединенных Штатов по кибербезопасности проанализировали наиболее популярные уязвимости у хакеров, спонсируемых китайским правительством [1]. Китайцы, как утверждают эксперты, рассчитывают найти уязвимости в различных версиях продуктов Microsoft, Citrix, MobileIron, F5, Pulse Secure, Exim, Adobe, Oracle, Atlassian, Zoho, Progress Telerik UI, Symantec, Cisco и DrayTek. Возможно, это связано с популярностью этих продуктов в государственных информационных системах США.
Компания Vectra проанализировала работу 4 млн пользователей сервиса Microsoft Office 365 и опубликовала отчет [2] о том, как злоумышленники могут использовать данный облачный сервис для достижения своих целей. Анализ информации проводился с помощью Cognito Detect for Office 365 в период с июня по август этого года. Переход на удаленную работу для всего мира подтолкнул злоумышленников к организации атак на облачные инфраструктуры и индивидуальных пользователей — именно эти две части мировой ИТ-инфраструктуры активизировались во время пандемии.
Ландшафт угроз
Компания Google опубликовала [3] подробности об ошибке в криптографическом драйвере Windows, которую уже начали публично использовать неизвестные злоумышленники.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) предупредило [4] коммерческие компании о активации северокорейской APT-группировки Kimsuky или Hidden Cobra по проведению фишинговых атак, рассылки вредоносных torrent-файлов и вредоносных модулей для браузеров для проникновения в корпоративные сети.
Компания Cisco исправила несколько уязвимостей в своих продуктах [5]. В частности, наиболее опасными признаны ошибки, которые выводят из строя продукты Firepower Threat Defense (FTD), который обеспечивает безопасность сетевого трафика, и межсетевого экрана Adaptive Security Appliance (ASA).
В октябре компания Microsoft исправила 87 ошибок, из которых 11 критические [6]. Наиболее опасной считается ошибка в реализации стека TCP/IP, которая позволяет реализовать удаленное исполнение кода и поэтому может быть использована для создания Интернет-червей.
Группа этичных хакеров обнаружила 55 ошибок в инфраструктуре и продуктах Apple [7], из которых 11 являются критичными, причем одна уязвимость в сервисе iCloude, позволяет создавать на ее основе самораспространяющийся код.
В октябре появилось несколько возможностей для написания самораспространяющегося кода, причем как для Windows, так и для MacOS, что является достаточно опасной ситуаций. Поэтому рекомендуется устанавливать все обновления производителей программного обеспечения, причем не только на корпоративных устройствах, но и на домашних компьютерах пользователей, которые используют их для подключения к корпоративной инфраструктуре. Также стоит предусмотреть защиту облачных инфраструктур компаний, которые сотрудники начали использовать во время самоизоляции.
Инциденты месяца
Исследователи компании Barracuda обнаружили [8] в октябре новые версии зомби-агента InterPlanetary Storm, который получил возможность заражать в том числе и устройства под управлением MacOS и Android. Ранее он уже мог проникнуть на компьютеры под управлением Windows и Linux.
В октябре известный блогер Брайан Кребс опубликовал серию материалов, посвященных разгрому одной из коммерческих зомби-сетей Trickbot. В самом начале октября он опубликовал сообщение [9], что неизвестные начали атаку по разрешению сети. Далее выяснилось, что это была операция американского военного киберкомандования [10]. Далее выяснилось, что в операции также были задействованы силы компании Microsoft, которые тесно взаимодействовали с военными и поделились подробностями проведенной успешной операции [11].
Фарм-компания Pfizer признала утечку своих приватных данных из незащищенного облачного хранилища Google Cloud [12]. Утекла в основном персональная информация о пациентах, которые использовали те или иные препараты компании.
В октябре была проведена фишинговых атака [13], в которой злоумышленники пытались подделывать сообщения коммуникатора Microsoft Teams, однако их целью был сбор учетных данных пользователей Office 365. Если вы получали подозрительные сообщения через Teams, то стоит изменить пароль своей учетной записи в облаке Microsoft.
Голландскому исследователю кибербезопасности Виктору Геверсу удалось [14] подобрать пароль учетной записи Дональда Трампа в социальной сети Twitter. Он оказался MAGA2020.
В целом можно отметить, что хакеры стараются использовать кроссплатформенные методы нападения, и фишинг — один из них. Активизация фишинговой деятельности хакеров нацелена на получение учетных данных пользователей и получение удаленного доступа к корпоративным инфраструктурам. Основной защитой от фишинговых атак можно считать отказ от аутентификации с помощью традиционных паролей в пользу двухфакторных методов, но и борьба с киберпреступными группировками, которую проводит правительство США совместно с компанией Microsoft. В России в качестве акта по поддержке такой борьбы компаниям стоит предусмотреть подключение к инфраструктуре ГосСОПКА.
Безопасность и политика
Министерство Юстиции США предложило представителям стран из группы «пяти глаз»: Австралию, Канаду, Новую Зеландию, США и Великобританию, а также Японию и Индию присоединится к международному соглашению по встраиванию в продукты для шифрования данных государственных лазеек [15]. В соглашении сказано, что хотя ценность частной жизни является важной, но безопасность незащищенных членов общества, таких как дети, важнее. Поэтому участники сообщества не должны отказываться от шифрования, но им стоит встраивать в приложения для шифрования инструменты, которые не позволяют использовать их во вред обществу. К сожалению, политика двойных стандартов, в том числе и в области шифрования, приводит лишь к тому, что только профессиональные хакерские группировки могут использовать правительственные закладки. Причем именно от этих спонсируемых государствами группировок как раз очень тяжело защититься наиболее незащищенным членам общества.
Управление по контролю за иностранными активами Казначейства США (OFAC) опубликовало в октябре официальное предупреждение для тех компаний, которые платят выкуп вымогателям или помогают этот выкуп выплатить, что они нарушают правила OFAC и могут быть привлечены за это к ответственности [16]. Это связано с тем, что после нескольких атак программ-шифровальщиков активы их организаторов являются замороженными, поэтому выплаты в пользу этих лиц приравниваются к финансированию преступных группировок. В частности, под санкции попали активы группировки Lazarus Group, разработчиков вымогателей SamSam, Cryptolocker и Evil Corp., а также Евгений Богачев и российский синдикат киберпреступников. Конечно финансировать злоумышленников — это подход неправильный. Лучше вкладывать достаточно средства в построение хорошо работающей системы защиты.
[1] https://media.defense.gov/2020/Oct/20/2002519884/-1/-1/0/CSA_CHINESE_EXPLOIT_VULNERABILITIES_UOO179811.PDF
[2] https://www.vectra.ai/blogpost/spotlight-report-office365
[3] https://www.theregister.com/2020/10/30/windows_kernel_zeroday/
[4] https://threatpost.com/north-korea-spy-reporters-feds-warn/160622/
[5] https://threatpost.com/cisco-dos-flaws-network-security-software/160414/
[6] https://threatpost.com/october-patch-tuesday-wormable-bug/160044/
[7] https://threatpost.com/3-month-apple-hack-vulnerabilities-critical/159988/
[8] https://threatpost.com/botnet-mac-android/159714/
[9] https://krebsonsecurity.com/2020/10/attacks-aimed-at-disrupting-the-trickbot-botnet/
[10] https://krebsonsecurity.com/2020/10/report-u-s-cyber-command-behind-trickbot-tricks/
[11] https://krebsonsecurity.com/2020/10/microsoft-uses-copyright-law-to-disrupt-trickbot-botnet/
[12] https://threatpost.com/pharma-pfizer-leaks-prescription-call-transcripts/160354/
[13] https://threatpost.com/microsoft-teams-phishing-office-365/160458/
[14] https://www.hackread.com/researcher-logs-trump-twitter-password-maga2020/
[15] https://www.justice.gov/opa/pr/international-statement-end-end-encryption-and-public-safety
[16] https://home.treasury.gov/system/files/126/ofac_ransomware_advisory_10012020_1.pdf
