Реестр контактных пунктов ООН
Под эгидой ООН продолжается создание глобального реестра контактных пунктов по использованию информационно-коммуникационных технологий в контексте глобальной безопасности (Global Intergovernmental Points of Contact Directory on the Use of Information and Communications Technologies in the Context of International Security).
По словам замминистра иностранных дел Сергея Вершинина, к реестру присоединились уже 105 государств. Полгода назад их было только 23. Обеспечением реестра занимается Секретариат ООН, а именно Управление по вопросам разоружения ООН, для чего был создан специальный сайт для государств-участников.
В июне Секретариат ООН провёл первый пинг-тест — пробное оповещение для проверки актуальности контактных данных («В рамках «пинг-теста» с контактными пунктами связывается администратор реестра и просит их в течение 48 часов ответить сообщением, свидетельствующим о получении запроса администратора реестра»). На декабрь запланирован второй пинг-тест, а на июнь третий. На апрель 2025 года запланирована публикация типового шаблона для обмена запросами.
Государства могут назначать в реестр технические (например, национальные CERT'ы) и дипломатические пункты (МИДы). Отдельная тема, что не у всех стран могут быть соответствующие ведомства, особенно это касается технических контактных центров.
Россия в марте представила в Рабочую группу открытого состава «Руководство по созданию технического контактного пункта ООН». Этот документ подготовлен НКЦКИ и описывает, как, с российской точки зрения, может быть организована работа технического пункта в других странах. Руководство охватывает вопросы оргструктуры и её нормативного обеспечения, персонала, принципов функционирования и взаимодействия с другими контактными центрами в рамках сети ООН. По мнению НКЦКИ, в таком техническом контактном пункте ООН должно работать как минимум 18 человек, в т.ч. специалисты по оценке защищённости, по ликвидации последствий компьютерных инцидентов, по установлению их причин, по обнаружению компьютерных атак и инцидентов, аналитики и др.
В приложении приведён перечень информации, необходимой для изучения компьютерной атаки или компьютерного инцидента. Например, в случае компьютерной атаки предлагается сообщать наименование ресурса, подвергшегося атаке, категорию и тип атаки (в т.ч. нарушение или замедление работы информационного ресурса; распространение вредоносного ПО; попытки осуществления мошеннической деятельности и пр.), технические сведения об атакованном ресурсе, источниках атаки, дополнительные сведения (такую как модули ВПО, образы электронных писем, log-файлы), а также информацию, связывающую компьютерную атаку с государством-адресатом («Почему вы вообще нам пишете?» ).
Реестр контактных пунктов — первая попытка практического сотрудничества по теме информационной безопасности в ООН, до этого два с половиной десятилетия переговоров были посвящены выработке норм, поиску точек соприкосновения в части трактовки международного права, анализу угроз и т.д. Интересно следить за тем, что получится из этого начинания.
По моему мнению, реестр может быть полезен для улучшение взаимодействия по кибератакам, в которых нет (или почти нет) политической составляющей. Например, представим такую ситуацию: сайт банка подвергается DDoS-атаке, источники атаки — объединённые в ботнет устройства, находящиеся в разных странах. В теории, наличие реестра позволит быстрее и проще сделать некую общую рассылку и совместными усилиями нарушить работу всего ботнета (впрочем, некоторые страны справляются с этим и без реестра ООН).
Другое дело, что если речь идёт о политически мотивированной атаке или тем более о государственной кибероперации, то польза от реестра может сойти на нет. Как я уже писал, если государство А подозревает государство Б в кибершпионаже, будет ли оно связываться с его техническим контактным пунктом и сообщать, что ему известно? И если да, то будет ли государство-нарушитель добросовестно отвечать на этот запрос? А удовлетворит ли неполный ответ государство-жертву?
Под эгидой ООН продолжается создание глобального реестра контактных пунктов по использованию информационно-коммуникационных технологий в контексте глобальной безопасности (Global Intergovernmental Points of Contact Directory on the Use of Information and Communications Technologies in the Context of International Security).
По словам замминистра иностранных дел Сергея Вершинина, к реестру присоединились уже 105 государств. Полгода назад их было только 23. Обеспечением реестра занимается Секретариат ООН, а именно Управление по вопросам разоружения ООН, для чего был создан специальный сайт для государств-участников.
В июне Секретариат ООН провёл первый пинг-тест — пробное оповещение для проверки актуальности контактных данных («В рамках «пинг-теста» с контактными пунктами связывается администратор реестра и просит их в течение 48 часов ответить сообщением, свидетельствующим о получении запроса администратора реестра»). На декабрь запланирован второй пинг-тест, а на июнь третий. На апрель 2025 года запланирована публикация типового шаблона для обмена запросами.
Государства могут назначать в реестр технические (например, национальные CERT'ы) и дипломатические пункты (МИДы). Отдельная тема, что не у всех стран могут быть соответствующие ведомства, особенно это касается технических контактных центров.
Россия в марте представила в Рабочую группу открытого состава «Руководство по созданию технического контактного пункта ООН». Этот документ подготовлен НКЦКИ и описывает, как, с российской точки зрения, может быть организована работа технического пункта в других странах. Руководство охватывает вопросы оргструктуры и её нормативного обеспечения, персонала, принципов функционирования и взаимодействия с другими контактными центрами в рамках сети ООН. По мнению НКЦКИ, в таком техническом контактном пункте ООН должно работать как минимум 18 человек, в т.ч. специалисты по оценке защищённости, по ликвидации последствий компьютерных инцидентов, по установлению их причин, по обнаружению компьютерных атак и инцидентов, аналитики и др.
В приложении приведён перечень информации, необходимой для изучения компьютерной атаки или компьютерного инцидента. Например, в случае компьютерной атаки предлагается сообщать наименование ресурса, подвергшегося атаке, категорию и тип атаки (в т.ч. нарушение или замедление работы информационного ресурса; распространение вредоносного ПО; попытки осуществления мошеннической деятельности и пр.), технические сведения об атакованном ресурсе, источниках атаки, дополнительные сведения (такую как модули ВПО, образы электронных писем, log-файлы), а также информацию, связывающую компьютерную атаку с государством-адресатом (
Реестр контактных пунктов — первая попытка практического сотрудничества по теме информационной безопасности в ООН, до этого два с половиной десятилетия переговоров были посвящены выработке норм, поиску точек соприкосновения в части трактовки международного права, анализу угроз и т.д. Интересно следить за тем, что получится из этого начинания.
По моему мнению, реестр может быть полезен для улучшение взаимодействия по кибератакам, в которых нет (или почти нет) политической составляющей. Например, представим такую ситуацию: сайт банка подвергается DDoS-атаке, источники атаки — объединённые в ботнет устройства, находящиеся в разных странах. В теории, наличие реестра позволит быстрее и проще сделать некую общую рассылку и совместными усилиями нарушить работу всего ботнета (впрочем, некоторые страны справляются с этим и без реестра ООН).
Другое дело, что если речь идёт о политически мотивированной атаке или тем более о государственной кибероперации, то польза от реестра может сойти на нет. Как я уже писал, если государство А подозревает государство Б в кибершпионаже, будет ли оно связываться с его техническим контактным пунктом и сообщать, что ему известно? И если да, то будет ли государство-нарушитель добросовестно отвечать на этот запрос? А удовлетворит ли неполный ответ государство-жертву?
На платформу для борьбы с мошенничеством «ТелекомЦерт» могут выделить более 6 млрд рублей, сообщает «Коммерсантъ». Предполагается, что в идеале через эту платформу все банки, операторы связи и интернет-платформы будут обмениваться информацией об угрозах. Благодаря этому фишинговые и мошеннические ресурсы будут блокироваться оперативнее — к 2030 году время блокировки сократится вдвое и составит 4 часа (видимо, в среднем). Но план всё ещё в работе.
«На создание «ТелекомЦерта» — общей платформы обмена информацией между банками, операторами связи и цифровыми платформами для борьбы с мошенничеством — планируется выделить 6,1 млрд руб. из федерального бюджета до 2030 года, следует из предварительной версии федерального проекта «Инфраструктура кибербезопасности» (есть у “Ъ”), который войдет в национальный проект «Экономика данных» (по поручению президента РФ должен стартовать в 2025 году).
Из документа следует, что платформу должны создать в 2025 году для «автоматизации взаимодействия уполномоченных органов и организаций, в том числе для мониторинга утечек персональных данных». К «ТелекомЦерту» к 2030 году планируют подключить все финорганизации, операторов связи и «цифровые платформы». [...]
В системе предполагается наличие «единого окна» для приема обращений граждан и компаний о мошенничестве. Авторы документа предполагают, что система позволит сократить время блокировки фишинговых и мошеннических ресурсов с восьми до четырех часов к 2030 году.
В аппарате профильного вице-премьера Дмитрия Григоренко “Ъ” сказали, что параметры федерального проекта еще прорабатываются, «а до его утверждения говорить о предусмотренных им планах преждевременно». В Минцифры “Ъ” подтвердили, что создание единой антифрод-платформы планируется, но ее параметры находятся на межведомственном согласовании.
Источник “Ъ” на телеком-рынке объясняет, что оператором системы будет Минцифры, однако исполнитель системы пока не определен. Источник “Ъ”, знакомый с ходом реализации нацпроекта, добавляет, что инициатива обсуждается с 2018 года, но пока не была реализована «из-за столкновений интересов операторов связи, банков и госорганов».
Опрошенные “Ъ” операторы связи и банки поддерживают проект. В «Вымпелкоме» считают, что создавать «подобную платформу необходимо с учетом всех имеющихся наработок и продуктов». В «МегаФоне» говорят, что сейчас Минцифры занимается «разработкой ее концепции». В t2 (бывший Tele2) добавляют, что «проект архитектуры системы» операторам не предоставили. В Т-банке (бывший Тинькофф-банк) считают, что оперативный обмен информацией между участниками рынка и силовыми ведомствами «поможет эффективнее предотвращать мошенничество по всем фронтам». В «Яндексе» и «Сбере» не ответили на запрос, в VK и МТС отказались от комментариев».
«На создание «ТелекомЦерта» — общей платформы обмена информацией между банками, операторами связи и цифровыми платформами для борьбы с мошенничеством — планируется выделить 6,1 млрд руб. из федерального бюджета до 2030 года, следует из предварительной версии федерального проекта «Инфраструктура кибербезопасности» (есть у “Ъ”), который войдет в национальный проект «Экономика данных» (по поручению президента РФ должен стартовать в 2025 году).
Из документа следует, что платформу должны создать в 2025 году для «автоматизации взаимодействия уполномоченных органов и организаций, в том числе для мониторинга утечек персональных данных». К «ТелекомЦерту» к 2030 году планируют подключить все финорганизации, операторов связи и «цифровые платформы». [...]
В системе предполагается наличие «единого окна» для приема обращений граждан и компаний о мошенничестве. Авторы документа предполагают, что система позволит сократить время блокировки фишинговых и мошеннических ресурсов с восьми до четырех часов к 2030 году.
В аппарате профильного вице-премьера Дмитрия Григоренко “Ъ” сказали, что параметры федерального проекта еще прорабатываются, «а до его утверждения говорить о предусмотренных им планах преждевременно». В Минцифры “Ъ” подтвердили, что создание единой антифрод-платформы планируется, но ее параметры находятся на межведомственном согласовании.
Источник “Ъ” на телеком-рынке объясняет, что оператором системы будет Минцифры, однако исполнитель системы пока не определен. Источник “Ъ”, знакомый с ходом реализации нацпроекта, добавляет, что инициатива обсуждается с 2018 года, но пока не была реализована «из-за столкновений интересов операторов связи, банков и госорганов».
Опрошенные “Ъ” операторы связи и банки поддерживают проект. В «Вымпелкоме» считают, что создавать «подобную платформу необходимо с учетом всех имеющихся наработок и продуктов». В «МегаФоне» говорят, что сейчас Минцифры занимается «разработкой ее концепции». В t2 (бывший Tele2) добавляют, что «проект архитектуры системы» операторам не предоставили. В Т-банке (бывший Тинькофф-банк) считают, что оперативный обмен информацией между участниками рынка и силовыми ведомствами «поможет эффективнее предотвращать мошенничество по всем фронтам». В «Яндексе» и «Сбере» не ответили на запрос, в VK и МТС отказались от комментариев».
Коммерсантъ
На госплатформе показался план денег
Под борьбу с мошенниками подводят финансирование
Кибератака остановила производство сыра на месяц
Агропромышленный комплекс «Кабош» в июле стал жертвой хакерской атаки и вынужден был на месяц остановить производство и отгрузку товара. «Кабош» — крупнейший агрокомплекс в СЗФО, производящий корм для коров, молоко и сыры, производство находится в Великих Луках. Об инциденте в начале сентября рассказал в интервью «Псковской ленте новостей» гендиректор группы компаний Дмитрий Матвеев.
По словам Матвеева, атака произошла в начале июля, и на протяжении месяца компания жила «при голубых экранах». Он утверждает, что злоумышленники вымогали деньги, но также добавляет, что это была попытка стереть всю информацию. Кроме того, по словам гендиректора, в атаке участвовали западные спецслужбы, а сама она была пробой пера по отключению всей экономики.
«"3 июля этого года была совершена хакерская атака на нашу компанию. Мы месяц жили при голубых экранах, у нас было остановлено все производство, мы не могли грузить товар, выкладывать накладные, мы ничего не могли. С нас вымогали деньги", – рассказал Дмитрий Матвеев.
Он уточнил, что по заключению оператора связи, это была не просто хакерская атака, а попытка стереть всю информацию.
"В этом участвуют западные спецслужбы, и есть четкое понимание у компании, которую мы привлекли для решения проблемы, что это просто проба того, чтобы выключить всю нашу экономику"».
Корень проблемы Дмитрий Матвеев видит в зависимости от западного программного обеспечения и оборудования. По его оценке, подобные атаки могут парализовать и другие сельскохозяйственные и продовольственные предприятия. Особенно в условиях, когда бизнес предоставлен самому себе и не особо занимается кибербезопасностью.
«"Хотим мы того или нет, к нас куча западного софта. Государство может заставить нас перейти на отечественный софт, но все оборудование, которое работает у нас – импортное, оно работает на иностранном софте, и эту проблему никто не решает", — добавил Дмитрий Матвеев.
В случае распространения этого метода хакерской атаки на другие заводы может произойти «настоящий коллапс». Могут остановиться не только предприятия, которые занимаются производством и переработкой молочной продукции, но и другие. Например, хлебозаводы, продолжил он.
"Сейчас об этом никто не думает, бизнес предоставлен сам себе. Мы написали заявления в органы, но этим вопросом должны заниматься не в УМВД, а в ФСБ. Если бы у нас была международная поддержка Microsoft, этот вопрос решили бы в течение суток. Это говорит о том, что компания полностью контролируется западными спецслужбами и идет на это сознательно. Это очень серьезный вопрос. Кибербезопасностью мало кто занимается. Оборудование работает на западном софте, и аналогов в России нет. Никто об этом не говорит, все купаются в эйфории", – заключил генеральный директор группы компаний "Кабош"».
Добавлю несколько своих замечаний.
Во-первых, это, разумеется, не первая атака на агропромышленные предприятия. В апреле стало известно об атаке с использование шифровальщика на Агрокомплекс им. Н.И. Ткачева с требованием выкупа в размере 500 млн рублей. В марте 2022 года под атаку попали предприятия «Мираторга», но тогда атака, видимо, преследовала целью разрушение инфраструктуры, поскольку о выкупе жертве никто не писал.
Во-вторых, хотя сценарий с выключением всей экономики — это явное преувеличение, нарушение работы сельскохозяйственных и продовольственных производств действительно может иметь серьёзные последствия. Интересно, что в России, согласно 187 ФЗ, эти сферы не относятся к критической информационной инфраструктуре. С одной стороны, это не редкость — только в половине стран мира производство еды отнесено к критической инфраструктуре. С другой, в США производство еды и сельское хозяйство — это один из 16 секторов КИ. На уровне ЕС к 11 секторам КИ отнесены производство, переработка и распространение еды.
Наконец, нельзя не отметить, сколь невозмутимо агрокомплекс «Кабош» провёл месяц с заблокированными компьютерами. Если посмотреть соцсети «Кабоша», то летом там как ни в чём не бывало выходили жизнеутверждающие посты о сыре.
Агропромышленный комплекс «Кабош» в июле стал жертвой хакерской атаки и вынужден был на месяц остановить производство и отгрузку товара. «Кабош» — крупнейший агрокомплекс в СЗФО, производящий корм для коров, молоко и сыры, производство находится в Великих Луках. Об инциденте в начале сентября рассказал в интервью «Псковской ленте новостей» гендиректор группы компаний Дмитрий Матвеев.
По словам Матвеева, атака произошла в начале июля, и на протяжении месяца компания жила «при голубых экранах». Он утверждает, что злоумышленники вымогали деньги, но также добавляет, что это была попытка стереть всю информацию. Кроме того, по словам гендиректора, в атаке участвовали западные спецслужбы, а сама она была пробой пера по отключению всей экономики.
«"3 июля этого года была совершена хакерская атака на нашу компанию. Мы месяц жили при голубых экранах, у нас было остановлено все производство, мы не могли грузить товар, выкладывать накладные, мы ничего не могли. С нас вымогали деньги", – рассказал Дмитрий Матвеев.
Он уточнил, что по заключению оператора связи, это была не просто хакерская атака, а попытка стереть всю информацию.
"В этом участвуют западные спецслужбы, и есть четкое понимание у компании, которую мы привлекли для решения проблемы, что это просто проба того, чтобы выключить всю нашу экономику"».
Корень проблемы Дмитрий Матвеев видит в зависимости от западного программного обеспечения и оборудования. По его оценке, подобные атаки могут парализовать и другие сельскохозяйственные и продовольственные предприятия. Особенно в условиях, когда бизнес предоставлен самому себе и не особо занимается кибербезопасностью.
«"Хотим мы того или нет, к нас куча западного софта. Государство может заставить нас перейти на отечественный софт, но все оборудование, которое работает у нас – импортное, оно работает на иностранном софте, и эту проблему никто не решает", — добавил Дмитрий Матвеев.
В случае распространения этого метода хакерской атаки на другие заводы может произойти «настоящий коллапс». Могут остановиться не только предприятия, которые занимаются производством и переработкой молочной продукции, но и другие. Например, хлебозаводы, продолжил он.
"Сейчас об этом никто не думает, бизнес предоставлен сам себе. Мы написали заявления в органы, но этим вопросом должны заниматься не в УМВД, а в ФСБ. Если бы у нас была международная поддержка Microsoft, этот вопрос решили бы в течение суток. Это говорит о том, что компания полностью контролируется западными спецслужбами и идет на это сознательно. Это очень серьезный вопрос. Кибербезопасностью мало кто занимается. Оборудование работает на западном софте, и аналогов в России нет. Никто об этом не говорит, все купаются в эйфории", – заключил генеральный директор группы компаний "Кабош"».
Добавлю несколько своих замечаний.
Во-первых, это, разумеется, не первая атака на агропромышленные предприятия. В апреле стало известно об атаке с использование шифровальщика на Агрокомплекс им. Н.И. Ткачева с требованием выкупа в размере 500 млн рублей. В марте 2022 года под атаку попали предприятия «Мираторга», но тогда атака, видимо, преследовала целью разрушение инфраструктуры, поскольку о выкупе жертве никто не писал.
Во-вторых, хотя сценарий с выключением всей экономики — это явное преувеличение, нарушение работы сельскохозяйственных и продовольственных производств действительно может иметь серьёзные последствия. Интересно, что в России, согласно 187 ФЗ, эти сферы не относятся к критической информационной инфраструктуре. С одной стороны, это не редкость — только в половине стран мира производство еды отнесено к критической инфраструктуре. С другой, в США производство еды и сельское хозяйство — это один из 16 секторов КИ. На уровне ЕС к 11 секторам КИ отнесены производство, переработка и распространение еды.
Наконец, нельзя не отметить, сколь невозмутимо агрокомплекс «Кабош» провёл месяц с заблокированными компьютерами. Если посмотреть соцсети «Кабоша», то летом там как ни в чём не бывало выходили жизнеутверждающие посты о сыре.
pln-pskov.ru
Киберпреступники оставили Россию без сыра
Кибервойна
Кибератака остановила производство сыра на месяц Агропромышленный комплекс «Кабош» в июле стал жертвой хакерской атаки и вынужден был на месяц остановить производство и отгрузку товара. «Кабош» — крупнейший агрокомплекс в СЗФО, производящий корм для коров…
Кто, по-вашему, мог атаковать производителя сыров?
Anonymous Poll
14%
Бывший сотрудник, которого несправедливо уволили
22%
Хактивисты, желавшие нанести ущерб там, где получится
8%
Западные спецслужбы, отрабатывавшие выключение всей экономики
4%
Восточные спецслужбы, интересующиеся секретами русского сыроделия
36%
Вымогатели, расчитывавшие заработать
5%
Конкуренты, отчаявшиеся победить в честной конкуренции
5%
Теневые пиарщики импортозамещения
6%
Кто-то другой
Санкции против EvilCorp, продолжение операции против LockBit
Вчера США, Великобритания и Австралия объявили совместные санкции против предполагаемых участников киберпреступной группы EvilCorp. США ввела санкции против Максима Якубца, которого американцы считают лидером EvilCorp, и ещё дюжины человек ещё в 2019 году. В этот раз США наложили санкции на 7 человек и 2 юрлица; Австралия на 3 человек; Великобритания на 16 человек. Помимо санкций OFAC опубликовал схему связей лиц, в разное время внесённых в санкционные списки, а британское Национальное агентство по борьбе с преступностью выпустило что-то вроде отчёта с обзором истории деятельности предполагаемых участников группы с 2007 года.
Санкции против EvilCorp неожиданным образом оказались связаны с операцией Operation Cronos против LockBit, которую правоохранительные органы ряда западных стран вместе с Европолом публично объявили в феврале. Национальное агентство по борьбе с преступностью Великобритании считает, что Александр Рыженков, один из попавших под санкции за связь с EvilCorp, также являлся партнёром (affiliate) LockBit под ником Beverley. Такую связь увидели только британцы, а США отдельно обвинили Рыженкова в использовании ещё одного шифровальщика — BitPaymer.
По такому случаю британские правоохранители оживили конфискованный onion-сайт LockBit, на котором, сохраняя стиль киберпреступников, они весьма остроумно размещали материалы о LockBit в феврале. На этом сайте вчера были вывешены как новые сообщение по Operation Cronos, так и дополнительный раздел по EvilCorp.
Что касается Operation Cronos (многонациональная операция против LockBit), то сообщается, что в августе по запросу Франции где-то был арестован один из предполагаемых разработчиков программы-шифровальщика, который отдыхал за пределами России. Франция запросила его экстрадицию. Других подробностей нет. В Великобритании в августе арестовали двух человек, один по подозрению в связи с партнёром LockBit, другой по подозрению в отмывании денег. В Испании был арестован владелец Bullet Proof Hoster, которого называют одним из главных пособников в обеспечении инфраструктуры LockBit. Власти получили доступ к 9 серверам и конфисковали их. Более официально о новых арестах сообщил и Европол.
Также по LockBit на конфискованном сайте опубликовано небольшое исследование, призванное ответить на вопрос, удаляли ли злоумышленники данные после получения выкупа. Короткий ответ: начиная с 2022 года, получив данные, партнёры нажимали кнопку «удалить», чтобы убрать данные жертвы с сайта утечек, но на самом деле данные только архивировались и не удалялись автоматически. В общем, жертв обманывали — вряд ли это прямо удивительно, но британцы подтвердили это, изучив код платформы LockBit для публикации утечек.
В отдельном разделе по EvilCorp размещены списки лиц, попавших под санкции, ссылки на пресс-релизы США, Австралии и Великобритании, фотографии предполагаемых участников группы.
Вчера США, Великобритания и Австралия объявили совместные санкции против предполагаемых участников киберпреступной группы EvilCorp. США ввела санкции против Максима Якубца, которого американцы считают лидером EvilCorp, и ещё дюжины человек ещё в 2019 году. В этот раз США наложили санкции на 7 человек и 2 юрлица; Австралия на 3 человек; Великобритания на 16 человек. Помимо санкций OFAC опубликовал схему связей лиц, в разное время внесённых в санкционные списки, а британское Национальное агентство по борьбе с преступностью выпустило что-то вроде отчёта с обзором истории деятельности предполагаемых участников группы с 2007 года.
Санкции против EvilCorp неожиданным образом оказались связаны с операцией Operation Cronos против LockBit, которую правоохранительные органы ряда западных стран вместе с Европолом публично объявили в феврале. Национальное агентство по борьбе с преступностью Великобритании считает, что Александр Рыженков, один из попавших под санкции за связь с EvilCorp, также являлся партнёром (affiliate) LockBit под ником Beverley. Такую связь увидели только британцы, а США отдельно обвинили Рыженкова в использовании ещё одного шифровальщика — BitPaymer.
По такому случаю британские правоохранители оживили конфискованный onion-сайт LockBit, на котором, сохраняя стиль киберпреступников, они весьма остроумно размещали материалы о LockBit в феврале. На этом сайте вчера были вывешены как новые сообщение по Operation Cronos, так и дополнительный раздел по EvilCorp.
Что касается Operation Cronos (многонациональная операция против LockBit), то сообщается, что в августе по запросу Франции где-то был арестован один из предполагаемых разработчиков программы-шифровальщика, который отдыхал за пределами России. Франция запросила его экстрадицию. Других подробностей нет. В Великобритании в августе арестовали двух человек, один по подозрению в связи с партнёром LockBit, другой по подозрению в отмывании денег. В Испании был арестован владелец Bullet Proof Hoster, которого называют одним из главных пособников в обеспечении инфраструктуры LockBit. Власти получили доступ к 9 серверам и конфисковали их. Более официально о новых арестах сообщил и Европол.
Также по LockBit на конфискованном сайте опубликовано небольшое исследование, призванное ответить на вопрос, удаляли ли злоумышленники данные после получения выкупа. Короткий ответ: начиная с 2022 года, получив данные, партнёры нажимали кнопку «удалить», чтобы убрать данные жертвы с сайта утечек, но на самом деле данные только архивировались и не удалялись автоматически. В общем, жертв обманывали — вряд ли это прямо удивительно, но британцы подтвердили это, изучив код платформы LockBit для публикации утечек.
В отдельном разделе по EvilCorp размещены списки лиц, попавших под санкции, ссылки на пресс-релизы США, Австралии и Великобритании, фотографии предполагаемых участников группы.
Дело SugarLocker отправилось в суд
В Пресненском районном суде Москвы на 8 октября назначены заседания по делам Ермакова А.Г. и Ленина М.Б. Оба подсудимых проходят по ст. 273 ч. 2 УК — создание, использование или распространение вредоносных компьютерных программ, совершённые группой лиц или организованной группой / причинившие крупный ущерб или совершённые из корыстной заинтересованности.
Вероятно, обвиняемые — это Ермаков Александр Геннадьевич и Ленин (Шефель) Михаил Борисович, а дело связано с группой вымогателей SugarLocker.
В январе Александр Ермаков попал под санкции США, Австралии и Великобритании, обвинивших его в причастности ко взлому австралийского страховщика Medibank в 2022 году (см. хронологию взлома и переписку со злоумышленниками). Этот инцидент тогда стал причиной небольшого дипломатического скандала между Австралией и Россией.
США (но не Австралия и не Великобритания) тогда связали взломщиков Medibank с REvil — однако, судя по всему, ошибочно.
Через пару дней Брайан Кребс в своём расследовании о Ермакове обратил внимание, что пользователь с таким же ником (GustaveDore) был создателем ransomware-программы Sugar или Encoded01, работавшей с ноября 2021 года. Также GustaveDore рекламировал компанию по разработке ПО Shtazi-IT. Кребс нашёл ещё одного человека — Михаила Борисовича Шефеля, который рекламировал Shtazi-IT в своём инстаграме. На Шефеля Кребс наткнулся в другом расследовании, выяснив, что в конце 2018 тот взял фамилию Ленин.
В феврале F.A.C.C.T. сообщили, что при поддержке специалистов компании МВД задержало участников группы SugarLocker (или Encoded01). Из-за допущенных злоумышленниками ошибок F.A.C.C.T. ещё в январе 2022 года обнаружили панель управления программой-вымогателем.
«В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы».
F.A.C.C.T. также отметили, что злоумышленники работали под вывеской легальной фирмы Shtazi-IT.
Согласно пресс-релизу, эту информацию компания передала Бюро специальных технических мероприятий МВД, и в январе 2024 были задержаны трое членов группы SugarLocker, в т.ч. обладатель ника GustaveDore, т.е. Александр Ермаков.
Со стороны МВД комментариев по этим задержаниям пока не было. Но поскольку имена фигурантов двух дел совпадают с лицами, причастными к Shtazi-IT, дело SugarLocker, похоже, дошло до суда.
В Пресненском районном суде Москвы на 8 октября назначены заседания по делам Ермакова А.Г. и Ленина М.Б. Оба подсудимых проходят по ст. 273 ч. 2 УК — создание, использование или распространение вредоносных компьютерных программ, совершённые группой лиц или организованной группой / причинившие крупный ущерб или совершённые из корыстной заинтересованности.
Вероятно, обвиняемые — это Ермаков Александр Геннадьевич и Ленин (Шефель) Михаил Борисович, а дело связано с группой вымогателей SugarLocker.
В январе Александр Ермаков попал под санкции США, Австралии и Великобритании, обвинивших его в причастности ко взлому австралийского страховщика Medibank в 2022 году (см. хронологию взлома и переписку со злоумышленниками). Этот инцидент тогда стал причиной небольшого дипломатического скандала между Австралией и Россией.
США (но не Австралия и не Великобритания) тогда связали взломщиков Medibank с REvil — однако, судя по всему, ошибочно.
Через пару дней Брайан Кребс в своём расследовании о Ермакове обратил внимание, что пользователь с таким же ником (GustaveDore) был создателем ransomware-программы Sugar или Encoded01, работавшей с ноября 2021 года. Также GustaveDore рекламировал компанию по разработке ПО Shtazi-IT. Кребс нашёл ещё одного человека — Михаила Борисовича Шефеля, который рекламировал Shtazi-IT в своём инстаграме. На Шефеля Кребс наткнулся в другом расследовании, выяснив, что в конце 2018 тот взял фамилию Ленин.
В феврале F.A.C.C.T. сообщили, что при поддержке специалистов компании МВД задержало участников группы SugarLocker (или Encoded01). Из-за допущенных злоумышленниками ошибок F.A.C.C.T. ещё в январе 2022 года обнаружили панель управления программой-вымогателем.
«В ходе расследования были установлено несколько фигурантов, которые не только занимались продвижением своего шифровальщика, но и разрабатывали вредоносное программное обеспечение на заказ, создавали фишинговые сайты интернет-магазинов, нагоняли трафик пользователей на популярные в России и СНГ мошеннические схемы».
F.A.C.C.T. также отметили, что злоумышленники работали под вывеской легальной фирмы Shtazi-IT.
Согласно пресс-релизу, эту информацию компания передала Бюро специальных технических мероприятий МВД, и в январе 2024 были задержаны трое членов группы SugarLocker, в т.ч. обладатель ника GustaveDore, т.е. Александр Ермаков.
Со стороны МВД комментариев по этим задержаниям пока не было. Но поскольку имена фигурантов двух дел совпадают с лицами, причастными к Shtazi-IT, дело SugarLocker, похоже, дошло до суда.
Forwarded from Коммерсантъ
Please open Telegram to view this post
VIEW IN TELEGRAM
«Раздень девушку по фото!»
Так, маскируясь под сервис ИИ, русскоязычная группировка FIN7 распространяла вредоносное ПО.
Исследователи Silent Push выпустили отчёт о новой кампании киберпреступников, в которой в качестве приманок для жертв использовались сайты (по адресам типа aiNude[.]ai) с генератором голых фото. Пользователям рекламировали сервис DeepNude Generator, который якобы может раздеть реальную фотографию или сгенерировать желаемое изображение с помощью промтов. Для этого пользователю нужно было скачать бесплатную программу или в некоторых случаях начать бесплатный пробный период.
В действительности же по ссылкам загружался вредоносный файл, запуск которого по цепочке приводил к установке на машину стилера RedLine.
Хотя сайты были весьма содержательны с подробным FAQ и примерами готовых картинок, а где-то даже с возможностью загрузки фото, обещанную функцию они не выполняли, а жертва получала только инфостилер, крадущий учётные данные для последующих атак.
Так, маскируясь под сервис ИИ, русскоязычная группировка FIN7 распространяла вредоносное ПО.
Исследователи Silent Push выпустили отчёт о новой кампании киберпреступников, в которой в качестве приманок для жертв использовались сайты (по адресам типа aiNude[.]ai) с генератором голых фото. Пользователям рекламировали сервис DeepNude Generator, который якобы может раздеть реальную фотографию или сгенерировать желаемое изображение с помощью промтов. Для этого пользователю нужно было скачать бесплатную программу или в некоторых случаях начать бесплатный пробный период.
В действительности же по ссылкам загружался вредоносный файл, запуск которого по цепочке приводил к установке на машину стилера RedLine.
Хотя сайты были весьма содержательны с подробным FAQ и примерами готовых картинок, а где-то даже с возможностью загрузки фото, обещанную функцию они не выполняли, а жертва получала только инфостилер, крадущий учётные данные для последующих атак.
Какие страны требуют у Telegram данные пользователей
Вчера Telegram раскрыл данные о количестве выполненных запросов от правоохранительных органов разных стран на получение информации (IP-адресов или телефонных номеров) о пользователях. Эти отчёты о прозрачности (transparency reports) публикуются согласно параграфу 8.3. Политики конфиденциальности мессенджера — то есть в соответствии с теми изменениями, которые Павел Дуров объявил в конце сентября. Отчёты доступны через бот @transparency.
Правда, Telegram постарался и сделал бот максимально неудобным: посмотреть отчёт можно только по своей стране, не по всем странам. Страна зависит от того, какой телефон привязан к аккаунту. В общем, сводного отчёта, где можно сравнить все страны, у нас нет.
Но я собрал по интернетам и по знакомым информацию по 12 странам и делюсь с вами.
Из этого далеко не полного списка лидер с большим отрывом — Индия, власти которой получили информацию о более чем 15,5 тысячах пользователей.
На втором месте Франция — 686 пользователей. По Франции (см. скриншот) особенно интересно, что количество запросов, которые выполнил Telegram, выросло в третьем квартале: в первом и втором было 4 и 6 запроса соответственно, а в третьем — 210. Связана ли готовность мессенджера предоставлять данные пользователей французским правоохранительным органам с арестом Дурова в Париже в августе? Не исключено!
Из вчерашнего поста Дурова известно, что Telegram ответил на 203 запроса из Бразилии (но неизвестно количество затронутых пользователей).
Четвёртое место у Германии, получившей данные о 115 пользователях.
Замыкают топ-5 американские власти, которые по 14 запросам получили информацию о 115 пользователях.
Ещё раз повторю, что это ненастоящий топ — если будут данные по другим странам, то можно его обновить.
По некоторым странам Telegram не выполнил ни одного запроса. В этой группе Россия, а также Австрия, Австралия, Португалия, Швейцария, ОАЭ.
Пара наблюдений. Во-первых, во всех случаях количество запросов меньше количества пользователей. То есть власти просят сразу данные о нескольких людях, например, участниках чата. Во-вторых, в США и России, например, transparency-бот ссылается только на параграф 8.3. Политики конфиденциальности Telegram, а в странах ЕС также и на пользовательское руководство к Закону ЕС о цифровых услугах (EU Digital Services Act).
Отчёты о транспарентности будут обновляться ежеквартально, следующий релиз в январе 2025.
Вчера Telegram раскрыл данные о количестве выполненных запросов от правоохранительных органов разных стран на получение информации (IP-адресов или телефонных номеров) о пользователях. Эти отчёты о прозрачности (transparency reports) публикуются согласно параграфу 8.3. Политики конфиденциальности мессенджера — то есть в соответствии с теми изменениями, которые Павел Дуров объявил в конце сентября. Отчёты доступны через бот @transparency.
Правда, Telegram постарался и сделал бот максимально неудобным: посмотреть отчёт можно только по своей стране, не по всем странам. Страна зависит от того, какой телефон привязан к аккаунту. В общем, сводного отчёта, где можно сравнить все страны, у нас нет.
Но я собрал по интернетам и по знакомым информацию по 12 странам и делюсь с вами.
Из этого далеко не полного списка лидер с большим отрывом — Индия, власти которой получили информацию о более чем 15,5 тысячах пользователей.
На втором месте Франция — 686 пользователей. По Франции (см. скриншот) особенно интересно, что количество запросов, которые выполнил Telegram, выросло в третьем квартале: в первом и втором было 4 и 6 запроса соответственно, а в третьем — 210. Связана ли готовность мессенджера предоставлять данные пользователей французским правоохранительным органам с арестом Дурова в Париже в августе? Не исключено!
Из вчерашнего поста Дурова известно, что Telegram ответил на 203 запроса из Бразилии (но неизвестно количество затронутых пользователей).
Четвёртое место у Германии, получившей данные о 115 пользователях.
Замыкают топ-5 американские власти, которые по 14 запросам получили информацию о 115 пользователях.
Ещё раз повторю, что это ненастоящий топ — если будут данные по другим странам, то можно его обновить.
По некоторым странам Telegram не выполнил ни одного запроса. В этой группе Россия, а также Австрия, Австралия, Португалия, Швейцария, ОАЭ.
Пара наблюдений. Во-первых, во всех случаях количество запросов меньше количества пользователей. То есть власти просят сразу данные о нескольких людях, например, участниках чата. Во-вторых, в США и России, например, transparency-бот ссылается только на параграф 8.3. Политики конфиденциальности Telegram, а в странах ЕС также и на пользовательское руководство к Закону ЕС о цифровых услугах (EU Digital Services Act).
Отчёты о транспарентности будут обновляться ежеквартально, следующий релиз в январе 2025.
Forwarded from BI.ZONE
Команда BI.ZONE Threat Intelligence продолжает отслеживать активность кластера Core Werewolf. В последних кампаниях злоумышленники начали использовать новый загрузчик, написанный на AutoIt. Кроме того, теперь группировка распространяет вредоносные файлы не только через электронную почту, но и через Telegram.
Как это было
Core Werewolf использовала RAR-архивы для распространения исполняемых файлов, представляющих собой самораспаковывающиеся архивы (SFX). Они были созданы с помощью 7-Zip, а внутри них находились:
После запуска пользователем исполняемого файла содержимое извлекалось в каталог
%TEMP%. Далее запускался вредоносный сценарий, в ходе которого интерпретатор AutoIt выполнял роль загрузчика следующей стадии.Подробнее о новых кампаниях Core Werewolf
Please open Telegram to view this post
VIEW IN TELEGRAM
Процесс по предполагаемым участникам REvil всё продолжается. Четверых фигурантов хотят судить по ст. 272 УК (неправомерный доступ к компьютерной информации), сейчас они проходят только по ст. 187 УК.
«В минувший вторник Санкт-Петербургский гарнизонный военный суд постановил выделить дело в отношении Андрея Бессонова, Михаила Головачука, Романа Муромского и Дмитрия Коротаева, которых в настоящее время судят за неправомерный оборот средств платежей (ч. 2 ст. 187 УК РФ), в отдельное производство и направить в Генеральную прокуратуру РФ для последующего соединения уголовных дел. На предыдущем слушании гособвинитель сообщил, что против них возбуждено новое дело по статье «неправомерный доступ к компьютерной информации» (272 УК РФ). Защита в свою очередь считает, что стороной обвинения в ходе судебного следствия не было представлено доказательств вины фигурантов в совершении преступления, связанного с неправомерным оборотом средств платежей».
По поводу последнего предложения не совсем ясно. Если оставят 187 и добавят 272, то это как будто не потому что не представлено доказательств. Но со стороны не очень понятно.
Вообще схематично выглядит так:
— сначала (в январе 2022) сообщалось о задержаниях 14 человек;
— до суда дошли 8 человек, все обвинялись по ч. 2 ст. 187 УК;
— через год Даниилу Пузыревскому добавили обвинение по компьютерной ст. 273 УК (создание, использование или распространение вредоносных компьютерных программ);
— ещё через полгода обвинение по ст. 273 УК добавили второму фигуранту, Руслану Хансвярову;
— теперь обвинения по компьютерным статья добавили ещё 4 фигурантам.
«В минувший вторник Санкт-Петербургский гарнизонный военный суд постановил выделить дело в отношении Андрея Бессонова, Михаила Головачука, Романа Муромского и Дмитрия Коротаева, которых в настоящее время судят за неправомерный оборот средств платежей (ч. 2 ст. 187 УК РФ), в отдельное производство и направить в Генеральную прокуратуру РФ для последующего соединения уголовных дел. На предыдущем слушании гособвинитель сообщил, что против них возбуждено новое дело по статье «неправомерный доступ к компьютерной информации» (272 УК РФ). Защита в свою очередь считает, что стороной обвинения в ходе судебного следствия не было представлено доказательств вины фигурантов в совершении преступления, связанного с неправомерным оборотом средств платежей».
По поводу последнего предложения не совсем ясно. Если оставят 187 и добавят 272, то это как будто не потому что не представлено доказательств. Но со стороны не очень понятно.
Вообще схематично выглядит так:
— сначала (в январе 2022) сообщалось о задержаниях 14 человек;
— до суда дошли 8 человек, все обвинялись по ч. 2 ст. 187 УК;
— через год Даниилу Пузыревскому добавили обвинение по компьютерной ст. 273 УК (создание, использование или распространение вредоносных компьютерных программ);
— ещё через полгода обвинение по ст. 273 УК добавили второму фигуранту, Руслану Хансвярову;
— теперь обвинения по компьютерным статья добавили ещё 4 фигурантам.
Коммерсантъ
REvil поделили на два
Несколько предполагаемых участников хакерской группировки стали фигурантами нового дела
Власти США и Microsoft скоординированно конфисковали более 100 доменов, использовавшихся для целевого фишинга группой Star Blizzard или Callisto Group (в декабре Великобритания и США обвинили её в связях с ФСБ).
Правительство США получило ордер на конфискацию 41 домена. Microsoft подала гражданский иск совместно NGO-ISAC (структура для обмена информацией о киберугрозах между неправительственным организациями) и конфисковала 66 доменов. Как Microsoft уже делала раньше, одно из формальных оснований для конфискации — злоупотребление брендами, принадлежащими компании. Логика тут такая: для фишинга используются поддельные сайты с символикой One Drive, Outlook, Office 365, а это вредит компании и клиентам.
Правительство США получило ордер на конфискацию 41 домена. Microsoft подала гражданский иск совместно NGO-ISAC (структура для обмена информацией о киберугрозах между неправительственным организациями) и конфисковала 66 доменов. Как Microsoft уже делала раньше, одно из формальных оснований для конфискации — злоупотребление брендами, принадлежащими компании. Логика тут такая: для фишинга используются поддельные сайты с символикой One Drive, Outlook, Office 365, а это вредит компании и клиентам.
Киберкомандование Канады
Канада создала своё киберкомандование — Canadian Armed Forces Cyber Command (CAFCYBERCOM), возглавит его генерал-майор Дэйв Яркер. Киберкомандование будет выполнять разные задачи, связанные с киберпространством, а также помогать интегрировать цифровые технологии в проведение военных операций (на канадском бюрократическом это называется pan-domain battlespace). Также планируется совершенствовать оборонительные и наступательные кибероперации.
«Через CAFCYBERCOM Вооружённые силы Канады (CAF) продолжают развивать и расширять возможности для ведения наступательные и оборонительные киберопераций в тесном сотрудничестве с Центром безопасности коммуникаций (CSE). CAF и CSE давно сотрудничают в области развития передовых технических и специализированных возможностей по предоставлению разведывательной информации для поддержки военных операций. За последнее десятилетие это партнерство расширилось и теперь включает в себя сотрудничество в области кибербезопасности, а также оборонительных и наступательных киберопераций.
Новое киберкомандование CAF также позволяет Канаде выполнять наши обязательства перед НАТО, такие как [механизм поддержки союзников по реагированию на киберинциденты] Virtual Cyber Incident Support Capability и [механизм интеграции наступательных кибервозможностей] Sovereign Cyber Effects Provided Voluntarily by Allies. Создание нового командования согласуется с аналогичными инвестициями ключевых партнеров и союзников Канады в NORAD, альянс Five Eyes и НАТО. Укрепляя свои кибервозможности, Канада поддерживает большую оперативную совместимость со своими союзниками, становится лучше подготовленной для противодействия всему спектру киберугроз и способствует выполнению целей и задач НАТО».
Канада создала своё киберкомандование — Canadian Armed Forces Cyber Command (CAFCYBERCOM), возглавит его генерал-майор Дэйв Яркер. Киберкомандование будет выполнять разные задачи, связанные с киберпространством, а также помогать интегрировать цифровые технологии в проведение военных операций (на канадском бюрократическом это называется pan-domain battlespace). Также планируется совершенствовать оборонительные и наступательные кибероперации.
«Через CAFCYBERCOM Вооружённые силы Канады (CAF) продолжают развивать и расширять возможности для ведения наступательные и оборонительные киберопераций в тесном сотрудничестве с Центром безопасности коммуникаций (CSE). CAF и CSE давно сотрудничают в области развития передовых технических и специализированных возможностей по предоставлению разведывательной информации для поддержки военных операций. За последнее десятилетие это партнерство расширилось и теперь включает в себя сотрудничество в области кибербезопасности, а также оборонительных и наступательных киберопераций.
Новое киберкомандование CAF также позволяет Канаде выполнять наши обязательства перед НАТО, такие как [механизм поддержки союзников по реагированию на киберинциденты] Virtual Cyber Incident Support Capability и [механизм интеграции наступательных кибервозможностей] Sovereign Cyber Effects Provided Voluntarily by Allies. Создание нового командования согласуется с аналогичными инвестициями ключевых партнеров и союзников Канады в NORAD, альянс Five Eyes и НАТО. Укрепляя свои кибервозможности, Канада поддерживает большую оперативную совместимость со своими союзниками, становится лучше подготовленной для противодействия всему спектру киберугроз и способствует выполнению целей и задач НАТО».
www.canada.ca
Canadian Armed Forces establishes a new Cyber Command - Canada.ca
Today, the Honourable Bill Blair, Minister of National Defence, and General Jennie Carignan, Chief of the Defence Staff, officially announced the establishment of the Canadian Armed Forces Cyber Command...