Итоги и предсказания
В начале года традиционно принято анализировать тенденции прошедшего года и обсуждать прогнозы на предстоящий год. Журналисты издания Threatpost собрали предсказания аналитиков на 2021 год [1]. Естественно, что в большинстве прогнозов указывается на усиление роли удаленной работы и увеличение вероятности кибератак через домашние компьютеры пользователей, так же как и усиление важности обеспечения информационной безопасности мобильных решений и облачных сервисов. Компаниям в нынешнем году также важно будет организовать более качественную защиту от инсайдеров, поскольку велика вероятность, что под видом дистанционно работающих пользователей к корпоративной сети будут подключаться посторонние и инсайдеры. Важной темой 2021 года также будет автоматизация средств ИТ-безопасности с помощью технологий искусственного интеллекта и глубокого машинного обучения – эти инструменты должны помочь в организации распределенной защиты удаленных работников и используемых ими облачных сервисов.
Исследователи безопасности из компании Recorded Future опубликовали исследование [2] в котором проанализировали использование в 2020 году различных командных серверов, связанных с определенными вредоносными программами – таких серверов по всему миру эксперты обнаружили более 10 тыс. Причем большая часть из них относится к двум вредоносным программам: Cobalt Strike и Metasploit – 1441 и 1122 серверов соответственно. Причем вместе эти команды контролируют почти четверть всех установленных в мире серверов. Инструменты эти используются в том числе и легальными пентестерами из так называемых «красных бригад» (red team), которые по контракту проводят тестирование корпоративных сетей. При этом исследователи из Recorded Future связали инструменты Cobalt Strike с такими кибер-группировки как APT41 и Mustang Panda, которые ассоциированы с китайскими хакерами, а Metasploit – с Evilnum и Turla, то есть российскими хакерами.
Обновления систем безопасности за январь
Компания Microsoft выпустила первый в этом году набор обновлений [3], в которым исправила 10 критических уязвимостей, одна из которых активно эксплуатируется хакерами. Почему-то она связывается с атакой на SolarWinds, о которой стало известно в декабре прошлого года. Всего же в январском наборе содержатся исправления для 83 угроз информационной безопасности в различных продуктах Microsoft.
Также в январе компания Cisco трижды исправляла свои продукты. В частности, была исправлена уязвимость [4] в конфигурации модуля AnyConnect маршрутизаторов для небольшого бизнеса RV110W, RV130, RV130W и RV215W, которая позволяла атакующему захватить систему с помощью альтернативного пароля. Ещё несколько важных ошибок [5] было обнаружено и исправлено компаний в наборе продуктов SD-WAN. Третья ошибка была обнаружена компаний в своем продукте Cisco DNA Center [6] – она позволяла совершить CSRF-атаку на административный интерфейс, что было оценено достаточно высоко по шкале CVSS – 7.1. Справедливости ради стоит отметить, что и в продуктах других телеком-производителей также обнаруживаются ошибки. Например, в межсетевом экране Zyxel [7] была просто закодирована специальная учётная запись с административным полномочиями, которая давала посторонним контроль над всем межсетевым экраном.
Исследователи, которые занимаются защитой от DDoS-атак обнаружили [8], что злоумышленники все чаще используют для усиления своих атак открытые RDP-сервера. Компания Netscout обнаружила их уже более 14 тыс. Собственно, это и понятно – во время пандемии именно протокол RDP активно использовался для организации удаленной работы сотрудников с корпоративными информационными системами, поэтому все больше организаций открывают эти сервера для общего доступа. Хакеры их быстро обнаруживают и начинают использовать в своих целях – как усилители DDoS.
В Linux исправлена уязвимость практически десятилетней давности [9], которая связана с утилитой изменения полномочий sudo. Обнаруженная уязвимость может быть использована для поднятия полномочий в некоторых версиях Linux. Это при том, что в январе было замечено активное распространение двух зомби-сетей DreamBus и FreakOut [10], которые нацелены как раз на небольшие подключенные к Интернет устройства базирующиеся на операционной системе Linux.
Утечка данных известных компаний
Европейское медицинское агентство EMA объявило [11] о том, что неизвестными лицами с их серверов произошел доступ к документам по новой вакцине от коронавируса компании Pfizer/BioNTech. Атака была совершена 19 декабря прошлого года, однако разглашение информации по вакцине было доступно на хакерских форумах с 31 декабря 2020 года по 13 января 2021 года.
У производителя IoT-устройств компании Ubiquiti, которая производит маршрутизаторы, сетевые записывающие устройства, камеры видеонаблюдения и системы контроля доступа, случилась утечка учетных данных пользователей [12]. Утверждается, что в утечке виноват сторонний поставщик облачного решения, который не смог обеспечить надежную защиту паролей. Пользователям сервисов данной компании рекомендуется сменить пароли от своих систем или перейти на двухфакторный метод аутентификации.
Утечка исходных кодов приложений произошла у автопроизводителяNissan [13]. Объем украденных данных составляет 20 ГБайт информации. Предполагается, что хакеры похитили данные о мобильных приложениях компании и диагностических инструментах. Утечка произошла из-за неправильной конфигурации репозитория разработчиков, расположенного в компании.
Ещё одна утечка данных платежных карт [14] случилась у индийского стартапа Juspay. По анализу данных она может затронуть информацию по 35 млн индийских пользователей сервиса, хотя специалисты ИБ компании заметили и прервали выгрузку данных во вне. Похоже, что утечка произошла из облачного хранилища данных, которое расположено в Amazon.
Исследователи безопасности обнаружили в Интернет репозиторий с персональным данным сотрудников Организации Объединенных Наций в количестве 100 тыс. человек [15]. Общий доступ к данным явно вызван ошибкой администрирования защиты информации репозитория. При этом не ясно кто мог получить доступ к данным и вообще кому-то эти данные оказались нужны.
Национальный кибер-директор
Избранный Президент США Джо Байден собирается сформировать новую должность для координации киберопераций США [16], которая уже получила наименование «Национальный кибер-директор» (National Cyber Director — NCD). Предполагается, что пост этого кибер-директора займет бывшая сотрудница АНБ и Совета национальной безопасности Джейн Истерли — на этом посту она будет контролировать деятельность федерального правительства в области кибербезопасности. Джейн Истерли входила в состав команды, создавшей киберкомандование США при Министерстве обороны. Кроме того, ожидается, что бывший помощник секретаря по киберполитике Министерства внутренней безопасности Роб Сильверс будет назначен директором Агентства по кибербезопасности и безопасности инфраструктуры (CISA), главу которого Криса Креббса уволил в ноябре прошлого года Дональд Трамп, когда тот признал прошедшие выборы как самые чистые с точки зрения информационной безопасности. Предполагается, что Джо Байден выделит на совершенствование кибер-защиты всех государственных ведомств порядка 10 млрд долл.
Защита паролей
Два основных браузера Microsoft Edge и Google Chrome обновили свои инструменты для защиты паролей своих пользователей [18]. Microsoft встроила в свой браузер инструмент с названием Password Monitor, который проверяет базы известных паролей и предупреждает пользователя если его пароль содержится в одной из этих баз. Аналогичный инструмент предусмотрен и в Google Chrome версии 88. Браузер может с помощью специальной технологии защиты проверить сохраненные пароли на их попадание в одну из баз опубликованных паролей. Оба браузера будут предупреждать пользователя если станет известно, что его пароль скомпрометирован.
[1] https://threatpost.com/2021-cybersecurity-trends/162629/
[2] https://www.darkreading.com/risk/cobalt-strike-and-metasploit-tools-were-attacker-favorites-in-2020/d/d-id/1339854
[3] https://threatpost.com/critical-microsoft-defender-bug-exploited/162992/
[4] https://threatpost.com/cisco-flaw-cmx-software-retailers/163027/
[5] https://threatpost.com/critical-cisco-sd-wan-bugs-rce-attacks/163204/
[6] https://threatpost.com/cisco-dna-center-bug-remote-attack/163302/
[7] https://www.hackread.com/zyxel-firewalls-vpn-gateways-backdoor-account/
[8] https://threatpost.com/threat-actors-can-exploit-windows-rdp-servers-to-amplify-ddos-attacks/163248/
[9] https://www.darkreading.com/application-security/critical-vulnerability-patched-in-sudo-utility-for-unix-like-oses/d/d-id/1339996
[10] https://www.darkreading.com/attacks-breaches/dreambus-freakout-botnets-pose-new-threat-to-linux-systems/d/d-id/1339953
[11] https://www.hackread.com/pfizer-biontech-covid-19-vaccine-data-leaked/
[12] https://krebsonsecurity.com/2021/01/ubiquiti-change-your-password-enable-2fa/
[13] https://www.hackread.com/nissan-source-code-leaked-online/
[14] https://www.hackread.com/juspay-data-breach-card-data-sold-dark-web/
[15] https://www.darkreading.com/threat-intelligence/united-nations-security-flaw-exposed-100k-staff-records/d/d-id/1339882
[16] https://go.theregister.com/feed/www.theregister.com/2021/01/25/biden_cybersecurity_team/
[17] https://threatpost.com/microsoft-edge-google-chrome-roll-out-password-protection-tools/163272/
