«Лаборатория Касперского» запустила магазин приложений для KasperskyOS — он получил название Kaspersky Appicenter, пишут «Ведомости» со ссылкой на представителя компании. Создавать ПО для операционной системы смогут любые сторонние разработчики, которым потребуется пройти регистрацию; пользователями KasperskyOS являются корпоративные заказчики и промышленные предприятия.

Источник изображений: os.kaspersky.ru

О разработке магазина приложений для KasperskyOS стало известно в феврале прошлого года, а в апреле этого компания продемонстрировала прототип Kaspersky Appicenter. К настоящему моменту объём инвестиций в проект составил около $2 млн. На начальном этапе создание приложений можно будет вести на компьютерах под Linux, но запускаться они станут только на KasperskyOS; в перспективе разработчикам придётся полностью перейти на целевую систему. После регистрации разработчику Appicenter потребуется приобрести специальное устройство и скачать инструментарий для написания кода — сейчас это средства для создания приложений под шлюзы интернета вещей (IoT).

Доход от магазина приложений «Лаборатория Касперского» намеревается получать за счёт реализации лицензий на Kaspersky Security Center — консоль для управления и мониторинга, позволяющая администрировать корпоративные устройства под управлением KasperskyOS, включая мобильные, физические и виртуальные. Первый продукт в Kaspersky Appicenter — киберимунный шлюз Kaspersky IoT Secure Gateway 3.0 (KISG) на российской аппаратной платформе Kraftway «Рубеж Н»; программную часть для него разработала компания «Адаптивные промышленные технологии» (принадлежит «Лаборатории Касперского»).

Шлюзом называется сетевое оборудование, которое собирает показатели со включённых в сеть датчиков в единую систему. С его помощью можно подключать промышленное оборудование, комплексы автоматизации и мониторинга объектов к системам обработки и хранения данных. Такое оборудование может быть востребовано в отраслях, где к кибербезопасности и надёжности IT-систем предъявляются повышенные требования: в промышленности и энергетике, на транспорте и в системах умного города. Разработчик уже подал заявку на сертификацию во ФСТЭК России.

Технически KasperskyOS можно адаптировать под любые устройства, но сейчас это преимущественно IoT-шлюзы и тонкие клиенты. Чтобы магазин приложений был востребован со стороны корпоративных клиентов, необходимо присутствие в нём минимального набора ПО, которое покроет 70–80 % базовых потребностей предприятий при условии совместимости приложений друг с другом, говорят опрошенные «Ведомостями» эксперты. Необходимы офисные приложения и браузер, а промышленным предприятиям также нужны системы диспетчерского управления и сбора данных (SCADA).

Хакеры воспользовались находкой исследователя безопасности, чтобы создавать дубликаты «непередаваемых» цифровых билетов на концерты и другие мероприятия, реализованных через сервисы Ticketmaster и AXS, позволяя перепродавать их за пределами данных сервисов. Обходной путь был раскрыт в иске, поданном AXS против сторонних билетных брокеров, использующих эту практику, согласно 404 Media, который первым сообщил об этом.

Источник изображения: Ticketmaster

В мае этого года компания AXS подала судебный иск против сторонних билетных брокеров, использующих новый метод обхода защиты «непередаваемых» электронных билетов. Сообщается, что хакеры смогли путём реверс-инжиниринга воссоздать копию системы генерации оригинальных штрих- и QR-кодов для билетов Ticketmaster и AXS и перепродавать их.

История началась в феврале, когда некий исследователь безопасности под псевдонимом Conduition опубликовал технические детали о том, как Ticketmaster и AXS генерирует свои билеты. Информация дошла до рук хакеров и позволила им извлечь секретные данные, используемые для генерации новых билетов.

Хакеры создали параллельную инфраструктуру, используя смартфон Android с браузером Chrome, подключенный к Chrome DevTools на настольном ПК. Далее их система стала генерировать билеты с подлинными штрих-кодами, которые затем продавались на других платформах, не одобренных официальными билетными операторами.

Источник изображения: Ticketmaster

AXS подала в суд. В своём иске компания обвиняет других продавцов в продаже «поддельных» билетов ничего не подозревающим клиентам, хотя эти билеты работают и по сути являются оригинальными. Компания утверждает, что не знает, как именно хакеры осуществляют этот обход.

Сами компании Ticketmaster и AXS создают оригинальные билеты с помощью генерируемых штрих-кодов, которые меняются каждые несколько секунд, что предотвращает создание скриншотов или распечаток. Кроме того, коды генерируются только незадолго до начала мероприятия, ограничивая возможность их передачи вне сервисов.

Уязвимость системы Ticketmaster оказалась настолько прибыльной, что несколько билетных брокеров даже пытались нанять Conduition для создания собственных платформ генерации дубликатов билетов. Уже появились действующие сервисы, основанные на исследованиях Conduition, такие как Secure.Tickets, Amosa App, Virtual Barcode Distribution и Verified-Ticket.com.

Осенью прошлого года китайским властям пришлось отрицать введение запрета на использование устройств Apple в служебных целях сотрудниками государственных компаний и чиновниками. При этом продукция марки упрекалась в наличии проблем с безопасностью данных. Теперь корпорация Microsoft сделала реверанс в сторону Apple, запретив сотрудникам своих офисов в Китае использовать устройства под управлением Android.

По крайней мере, в наличии подобных требований убеждено агентство Bloomberg, хотя официальных комментариев от представителей Microsoft на эту тему не последовало. Как утверждается, китайские сотрудники корпорации должны отказаться от использования в служебных целях любых устройств под управлением Android, а для входа в корпоративные информационные системы использовать исключительно менеджеры паролей Microsoft Authenticator и приложение Identity Pass. Разрешено использовать в служебных целях устройства Apple, если таковых у сотрудников нет, то их в виде смартфонов iPhone 15 однократно предоставит сама Microsoft.

Фирменная инфраструктура Google Play в Китае официально не работает, поэтому устройства под управлением Android используют в этой стране альтернативные магазины приложений, и у Microsoft могли зародиться опасения, что через них на служебные устройства сотрудников компании в Китае могут попасть вредоносные программы и разного рода средства шпионажа. Сотрудникам Microsoft в Китае для входа в корпоративные информационные системы скоро потребуется подтверждать свою личность через устройства Apple.

Во II квартале 2024 года рост количества DDoS-атак на ресурсы российских компаний составил 43 % квартал к кварталу и 63 % год к году, пишет Forbes со ссылкой на статистику DDoS-Guard. Отечественный бизнес недооценивает опасность этого явления: почти 20 % организаций вообще не имеют никакой защиты от DDoS-атак.

Источник изображения: Franz Bachinger / pixabay.com

В статистику DDoS-Guard попали атаки уровней L3 (сетевой уровень, атаки на оборудование), L4 (транспортный уровень, атаки на каналы связи) и L7 (прикладной уровень, атаки на веб-приложения, с которыми взаимодействуют пользователи), причём атаки L7 «традиционно превосходят остальные в три-четыре раза», отметили в компании. Для оценки расходов российских организаций на защиту от DDoS-атак в DDoS-Guard проанализировали открытые данные закупок: в течение 2023 года зарегистрированы 114 контрактов на 454 млн рублей, что вдвое выше, чем в предыдущем году. Проведённый в марте 2024 года опрос показал, что 65 % компаний оценивают вероятность атаки на свои ресурсы как высокую или очень высокую, но 20 % их владельцев так ничего и не сделали для защиты от них.

Обращения к специалистам иногда происходят уже после того, как компания пережила такой инцидент и отбилась от атаки своими силами. Известны также случаи, когда компания располагает средствами защиты от DDoS-атак, отказывается от них «за ненадобностью» и в считанные дни после этого переживает атаку. Это значит, что злоумышленники осуществляют мониторинг потенциальных жертв и выбирают самые простые цели — иногда их провоцирует переход объекта от одного поставщика услуг по защите от DDoS-атак к другому, менее опытному и более дешёвому.

В 2022 году наиболее востребованной защита от DDoS-атак была у IT-компаний, на которые приходились 49 % затрат, вторыми были университеты (13 %), а третьими — государственные организации. В 2023 году доля IT-компаний упала до 31 %, вторыми стали представители энергетической отрасли (29 %), а третьими оказались МФЦ (22 %). В 2023 году снизился интерес к облачным средствам защиты от DDoS-атак — заказчики стали выбирать подключение в режиме On-Premise с возможностью установки оборудования или ПО провайдера в защищённый периметр заказчика, хотя это обходится на 15 % дороже. По другим оценкам, интерес к первым не снизился, но популярность вторых решений действительно выросла.

Источник изображения: Cliff Hang / pixabay.com

В некоторых компаниях степень угрозы DDoS-атак недооценивается — их называют «пережитками прошлого», говорят в Angara Security, хотя с 2021 года их мощность выросла пятикратно, а продолжительность утроилась. В Servicepipe квартальный рост общего числа DDoS-атак по итогам апреля–июня 2024 года оценили в 47 %, причём данные сильно разнятся по отраслям: интернет- и облачных провайдеров за этот период времени стали атаковать в 2,3 раза чаще; на 50 % выросло количество атак уровней L3 и L4. В этом году отметилась тенденция на «ковровые атаки» на представителей финансового сектора, которая усилилась во II квартале, а спрос на средства защиты вырос у коллекторских агентств и операторов ЦФА.

Указанные тренды на динамику DDoS-атак подтвердили в МТС RED: квартальный рост, по подсчётам компании, составил 56 %, годовой — почти 80 %. Чаще всего, добавили в МТС RED, атакам подвергались ресурсы организаций сферы IT и телекоммуникаций (33 % случаев), финансового сектора (21 %) и промышленного направления (13 %). Злоумышленники стали действовать более целенаправленно, выводя из строя критическое оборудование. Участились атаки на сервис-провайдеров, сообщили в Security Vision, — это позволяет нанести ущерб сразу большому количеству их клиентов. В качестве средств атаки используются ботнеты заражённых IoT/IioT-устройств, арендованные или взломанные облачные ресурсы.

Существует и государственная программа борьбы с DDoS-атаками. Подведомственный Роскомнадзору Главный радиочастотный центр (ГРЧЦ) разработал Национальную систему противодействия DDoS-атакам (НСПА) — она осуществляет постоянный мониторинг трафика и блокирует попытки вредоносных соединений. НСПА защищает государственные учреждения, финансовые и транспортные компании, ресурсы СМИ и операторов связи.

В начале прошлого года некий хакер смог проникнуть во внутренние системы обмена сообщениями OpenAI, разработчика ИИ-чат-бота ChatGPT, и похитил сведения о технологических наработках стартапа, пишет The New York Times. По словам источников издания, злоумышленник выведал подробности о новейших достижениях в сфере ИИ компании из дискуссий сотрудников на форуме, но ему не удалось взломать системы, где создаются её продукты и содержится информация о них.

Источник изображения: TheDigitalArtist / Pixabay

Поскольку никакая информация о клиентах или партнёрах не была украдена, OpenAI не стала предавать публичной огласке этот инцидент, хотя и сообщила о нём на общем собрании сотрудников в апреле прошлого года, а также уведомила совет директоров. Руководители не посчитали инцидент угрозой национальной безопасности, полагая, что хакер был частным лицом, и не стали информировать об этом ФБР и правоохранительные органы.

И всё же у некоторых сотрудников OpenAI возникли опасения, что иностранные государства, такие как Китай, могут украсть сведения об ИИ-технологиях, что в конечном итоге может поставить под угрозу национальную безопасность США. Леопольд Ашенбреннер (Leopold Aschenbrenner), менеджер OpenAI, направил совету директоров OpenAI записку, в которой сообщил о недостаточности мер, предпринимаемых компанией для защиты своих секретов от вмешательства иностранных государств.

Весной 2024 года Ашенбреннера уволили из-за утечки другой информации, но он посчитал увольнение политически мотивированным. В связи с этим бывший сотрудник рассказал о происшедшем в прошлом году взломе IT-инфраструктуры OpenAI. «Мы ценим обеспокоенность, которую Леопольд выражал во время работы в OpenAI, но это не является причиной его увольнения», — заявила пресс-секретарь OpenAI Лиз Буржуа (Liz Bourgeois). Также она опровергла утверждения Ашенбреннера о недостаточности мер компании по защите корпоративных систем от хакерских атак.

В прошлом месяце президент Microsoft Брэд Смит (Brad Smith) сообщил конгрессменам в ходе дачи показаний в Капитолии о том, как китайские хакеры использовали системы компании для широкомасштабной атаки на сети федерального правительства. Поэтому опасения по поводу возможной причастности Китая к атаке на сети OpenAI нельзя считать безосновательными.

Вместе с тем на данный момент нет убедительных доказательств того, что современные ИИ-технологии представляют собой серьёзную угрозу национальной безопасности США. Исследования OpenAI, Anthropic и других организаций показали, что ИИ не более опасен, чем поисковые системы. Даниэла Амодей (Daniela Amodei), соучредитель и президент Anthropic, сообщила, что, если бы сведения об ИИ-технологиях компании похитили или же передали другим, это не представляло бы никакого серьёзного риска. «Если бы наши знания передали кому-то другому, могло бы это нанести огромный вред обществу? Наш ответ: нет, вероятно, нет», — сказала представитель компании корреспонденту The New York Times.

Компания Proton, известная своим защищённым сервисом Proton Mail для работы с почтовой корреспонденцией, представила новый продукт — текстовый редактор Proton Docs с усиленными безопасностью и конфиденциальностью. Отличительной особенностью новинки является шифрование всех действий пользователя и обрабатываемых им данных в режиме реального времени.

Текстовый редактор Proton Docs по функциональности и внешнему виду напоминает Google Docs, но в отличие от последнего реализован с акцентом на приватность и безопасность, сообщает The Verge. На данный момент Proton Docs поддерживает форматирование текста, совместное редактирование в реальном времени и работу с медиаконтентом. «Всё, что есть у Google, есть в нашей дорожной карте», — заявил представитель Proton Уилл Мур (Will Moore).

Proton Docs предлагает пользователям знакомый интерфейс с панелью инструментов сверху и индикаторами присутствия других пользователей в документе. Однако главная особенность продукта заключается в сквозном шифровании каждого действия, включая нажатия клавиш и движения курсора.

Новый продукт станет частью экосистемы сервисов Proton, в составе которой на данный момент представлены защищённая почту, календарь, облачное хранилище и менеджер паролей. Компания позиционирует свои решения в качестве защищённых альтернатив продуктам Google и Microsoft, гарантируя, что данные пользователей не будут использоваться для обучения систем искусственного интеллекта и продаваться третьим лицам.

Несмотря на растущую популярность сервисов Proton, эксперты отмечают, что компании пока не удалось серьёзно пошатнуть позиции технологических гигантов вроде Google и Microsoft на рынке офисных приложений. Тем не менее, с выпуском каждого нового продукта Proton всё ближе подходит к созданию полноценной альтернативы популярным офисным пакетам.

На данный момент Proton Docs доступен только в веб-версии, оптимизированной для десктопов. В будущем планируется выпуск программного решения для других платформ.

Исследования показали что мошенники всё чаще применяют технологии искусственного интеллекта (ИИ) для совершения преступлений и обхода систем защиты. В частности, ChatGPT и ему подобные чат-боты позволяют генерировать более правдоподобные и грамотные тексты для фишинговых писем. Такие письма сложно распознать по традиционным признакам мошенничества.

Источник изображения: Copilot

Как сообщает американская деловая газета The Wall Street Journal, мошенники используют ИИ для имитации голосов реальных людей и создания так называемых глубоких фейков — поддельных аудио и видео. Это помогает выдавать себя за сотрудников банков, руководителей компаний и требовать перевода денег или разглашения конфиденциальных данных. По словам Мэтта Нила (Matt Neill), экс-агента спецслужб США, теперь гораздо сложнее распознать, с кем на самом деле ведётся беседа. Преступники могут вести осмысленный диалог, используя личные данные жертвы для повышения доверия.

Однако крупнейшие американские банки, включая JPMorgan Chase, разрабатывают собственные ИИ-системы для выявления новых схем мошенничества. Но преступники пока опережают — они атакуют всё большее количество людей, а хищения становятся масштабнее. Согласно данным Федеральной торговой комиссии США, в 2023 году американцы потеряли от действий мошенников рекордные 10 млрд долларов, что на 1 млрд больше, чем в 2022 году. При этом лишь 5 % пострадавших сообщают о своих потерях, так что реальный ущерб может достигать 200 млрд долларов.

По словам экспертов, мошенники активно используют инструменты ИИ для сбора личных данных в социальных сетях. При этом ИИ помогает генерировать персонализированные сообщения от имени доверенных лиц для убеждения людей передать деньги или конфиденциальную информацию. По данным опроса специалистов банков, 70 % из них считают, что хакеры используют ИИ более эффективно, чем финансовые организации. Кроме того, прогнозируется дальнейший значительный рост числа афер с применением искусственного интеллекта.

Мошенники также активно используют инструменты искусственного интеллекта для автоматизации взлома онлайн-аккаунтов пользователей. Если они получают доступ к почте и паролю жертвы какого-либо сервиса, они используют программы на основе ИИ, которые быстро проверяют, подходят ли эти данные для доступа к другим аккаунтам этого человека, например, банковским счетам или профилям в соцсетях.

Чтобы противодействовать этой угрозе, банки внедряют собственные системы искусственного интеллекта, которые отслеживают поведение клиентов, то есть как именно вводятся данные, с каких устройств происходит вход в приложение. Если есть отклонения от обычного поведения, система поднимает тревогу и может потребовать дополнительную аутентификацию.

Также банки анализируют скорость набора текста, чтобы определить, не действует ли человек под принуждением. Ещё ИИ выявляет такие подозрительные признаки, как вставка скопированного текста или слишком равномерный набор. Эксперты рекомендуют включать двухфакторную аутентификацию для защиты онлайн-аккаунтов и проявлять бдительность в ситуациях, когда кто-то вдруг начинает требовать срочных действий по переводу денежной суммы.

С начала 2024 года в рамках запущенной Минцифры программы по борьбе с мошенническими сайтами «Антифишиг» заблокированы более 60 тыс. ресурсов, сообщили в ведомстве. Пожаловаться на такой сайт может любой желающий.

Источник изображения: Dee / pixabay.com

Фишингом называется вид мошенничества, направленный на получение личных данных жертвы через интернет — паролей или банковских реквизитов. Для этого злоумышленники создают поддельные сайты и рассылают поддельные письма, которые выглядят как настоящие. В целях борьбы с этим явлением в 2022 году была запущена программа «Антифишинг» — с начала её работы было выявлено и заблокировано 215 тыс. мошеннических сайтов, а с начала этого года произведена блокировка 64 тыс. ресурсов.

Подать жалобу на мошеннический сайт можно на «Госуслугах». Потребуется указать адрес сайта, его язык, дату обнаружения и оставить электронную почту для обратной связи. Заявки обрабатываются в течение суток — если мошеннический характер ресурса подтверждается, сайт блокируется. Чаще всего киберпреступники подделывают сайты инвестиционных и торговых площадок, банков, мессенджеров и соцсетей, досуговых организаций и органов государственной власти.

Хакерская группировка IntelBroker, ранее сообщившая о взломе серверов компании AMD, заявила, что похитила у компании Apple несколько инструментов, которые используют её разработчики внутри компании. Сообщение об этом появилось на одном из хакерских форумов в даркнете.

Источник изображения: 9to5Mac

По словам IntelBroker, «в июне 2024 года на Apple.com произошла утечка данных», в результате которой хакеры получили доступ к исходному коду следующих внутренних инструментов:

• AppleConnect-SSO;
• Apple-HWE-Confluence-Advanced;
• AppleMacroPlugin.

Об Apple-HWE-Confluence-Advanced и AppleMacroPlugin мало что известно. В свою очередь, AppleConnect-SSO представляет собой систему аутентификации, позволяющую сотрудникам компании получать доступ к определённым приложениям внутренней сети Apple. Система интегрирована с базой данных службы Directory Services компании, что обеспечивает безопасный доступ к внутренним ресурсам.

В iOS приложения, предназначенные только для сотрудников, могут использовать AppleConnect-SSO в качестве системы входа на основе жестов, где пользователь для удобства устанавливает специальный шаблон вместо пароля. Известно, что AppleConnect был внедрён в приложение Concierge, используемое сотрудниками Apple Store, а также в SwitchBoard до его закрытия в 2021 году. Насколько широко этот инструмент используется сейчас — неясно.

В сообщении IntelBroker не содержится какой-либо дополнительной информации. Злоумышленники не сказали, планируют ли продавать полученные данные, но опубликовали образец украденных файлов. Судя по всему, эта утечка никак не связана с данными клиентов Apple.

Как сообщают различные источники, ранее IntelBroker также участвовала во взломах баз данных Zscaler, General Electric, AT&T, Home Depot, Barclays Bank, а также баз данных Европола и Госдепа США.

Специалисты «Лаборатории Касперского» в июне 2024 года проанализировали 193 млн паролей, которые были обнаружены в публичном доступе в даркнете. В результате было установлено, что 45 % из них, или 87 млн паролей, злоумышленники могут подобрать менее чем за минуту.

Источник изображения: Pixabay

Большая часть из проанализированных паролей может быть легко скомпрометирована с помощью умных алгоритмов. Для подбора 14 % паролей (27 млн) требуется не более часа, 8 % (15 млн) — не более суток. Отмечается, что умные алгоритмы способны учитывать замену символов, например, «e» на «3», «1» на «!» или «a» на «@», а также знают популярные комбинации вроде «qwerty» или «12345». При этом 23 % паролей оказались достаточно стойкими: на их взлом у злоумышленников ушло бы более года.

Отмечается, что 57 % проанализированных паролей содержат существующее словарное слово, а это в значительной степени снижает их устойчивость к взлому. Наиболее часто люди используют в паролях имена, а также некоторые популярные слова, такие как «forever», «hacker», «admin» и «password». Распространены комбинации «qwerty12345» и «12345».

«Для подбора паролей злоумышленникам не требуются глубокие знания или дорогостоящее оборудование. Вычислительные мощности можно арендовать в облачных сервисах, для этого не нужны большие бюджеты. Часто для кражи учётных данных киберпреступники используют специальные программы — инфостилеры. По данным исследования нашей команды, за последние пять лет с их помощью были скомпрометированы логины и пароли для входа на 443 тыс. сайтов по всему миру, а в зоне .ru таким же образом были украдены 2,5 млн пар логинов и паролей. Эффективным методом защиты учётных данных от таких атак остаётся использование менеджеров паролей. Такие приложения, во-первых, позволяют создавать наиболее стойкие к взлому, полностью случайные комбинации, а во-вторых обеспечивают их безопасное хранение», — считает Юлия Новикова, руководитель сервиса Kaspersky Digital Footprint Intelligence «Лаборатории Касперского».

Компании AMD накануне пришлось признать, что часть принадлежащей ей конфиденциальной информации попала в руки хакерской группировки IntelBroker, которая теперь пытается извлечь из этого инцидента выгоду. Представителям AMD хватило одного дня, чтобы выяснить низкую критичность данного происшествия для способности компании продолжать свою деятельность.

Источник изображения: AMD

В сообщении AMD, на которое ссылается Bloomberg, говорится следующее: «Исходя из проводимого сейчас расследования, мы можем предположить, что с сайта партнёра утекла ограниченная часть информации, описывающей характеристики компонентов, используемых при производстве отдельных продуктов AMD. Мы не склонны считать, что эта утечка данных окажет существенное влияние на наш бизнес или текущую операционную деятельность».

Напомним, что первоначальные оценки последствий инцидента упоминали не только об утечке технической документации, имеющей отношение к процессорам Ryzen и EPYC, но и контактные данные как минимум бывших сотрудников AMD, а также исходный код фирменного программного обеспечения и данные о некоторых финансовых транзакциях компании. По всей видимости, характер доставшейся злоумышленникам информации позволяет AMD считать, что инцидент не повлечёт за собой серьёзных последствий для бизнеса. Впрочем, партнёров компании, которые невольно скомпрометировали информационную безопасность AMD, наверняка заставят тщательнее за ней следить.

Расположенные в Кремниевой долине компании начали усиливать проверку персонала и потенциальных кандидатов при приёме на работу, потому что представители американских властей всё настойчивее выражают обеспокоенность по поводу угрозы китайского шпионажа, обращает внимание Financial Times.

Источник изображения: F8_f16 / pixabay.com

Проверку персонала усилили и технологические гиганты масштаба Google, и известные стартапы, включая OpenAI, — они опасаются, что иностранные правительства пытаются использовать скомпрометированных сотрудников для доступа к интеллектуальной собственности и данным компаний. Венчурные капиталисты, включая Sequoia Capital, которая поддерживает десятки стартапов, таких как xAI Илона Маска (Elon Musk), призывают своих подопечных ужесточить проверку персонала. Sequoia и сама в минувшем году из-за геополитических обстоятельств была вынуждена отделить свой китайский бизнес, просуществовавший почти два десятилетия. Алекс Карп (Alex Karp), генеральный директор Palantir, компании, которая занимается анализом данных, стоит $53 млрд и выступает подрядчиком оборонной промышленности США, назвал проблему китайского шпионажа за американскими технологическими компаниями «огромной проблемой».

Вашингтон и Пекин оказались в состоянии растущей стратегической конкуренции — США регулярно вводят новые меры экспортного контроля, чтобы усложнить Китаю доступ к передовым технологиям и разработку собственных решений, в том числе в области передовых чипов и искусственного интеллекта.

Источник изображения: Craig Whitehead / unsplash.com

Существуют опасения по поводу роста ксенофобии в американских технологических компаниях, в которых преобладают квалифицированные сотрудники азиатского происхождения. В последние годы число дел о китайском шпионаже действительно выросло: в марте прокуратура предъявила обвинения бывшему инженеру-программисту Google в краже технологий ИИ и тайном сотрудничестве с двумя китайскими компаниями. Схожие инциденты фиксировались в Tesla, Micron и Motorola.

Появились несколько частных компаний, предлагающих предприятиям меры защиты от китайского шпионажа. В 2019 году начала работать Strider Technologies, которая предложила компаниям средства обработки данных, направленные на предотвращение установления связи представителями иностранных государств с их сотрудниками, а также проникновения недружественных агентов в среду поставщиков и подрядчиков. Этими инструментами всё чаще пользуются американские технологические стартапы, работающие в области квантовых вычислений, ИИ и синтетической биологии. Если человек получает пометку в системе Strider, для компании это повод провести дополнительную проверку по линии безопасности: проверку семьи или финансовых связей за рубежом, а также истории поездок в страны, где осуществляют вербовку иностранные разведслужбы.

Если компания из Кремниевой долины претендует на заключение контракта с Министерством обороны США, её призывают расширить сферу и масштабы осмотрительности в отношении угроз со стороны китайских шпионов. Коммерческие технологические компании, которые работают с оборонными агентствами США, обязываются соблюдать строгие меры безопасности.

Хакеры из известной криминальной группировки ShinyHunters, укравшие данные Ticketmaster и других клиентов облачного провайдера Snowflake, утверждают, что смогли получить доступ к личным данным миллионов пользователей, взломав систему подрядной организации EPAM Systems.

Источник изображения: Pixabay

В результате масштабной кибератаки, нацеленной на клиентов Snowflake, потенциально могли пострадать 165 учётных записей, однако пока удалось идентифицировать лишь некоторые из них. Хакеры завладели информацией о более чем 500 млн пользователей Ticketmaster. Кроме того, о взломе своего аккаунта в Snowflake заявил испанский банк Santander. Согласно опубликованному хакерами сообщению, украденные данные содержат информацию о банковских счетах 30 миллионов клиентов Santander, в том числе 6 миллионов номеров счетов и балансов, 28 миллионов номеров кредитных карт, а также кадровые данные сотрудников банка. Компании Lending Tree и Advance Auto Parts также признали вероятность того, что стали жертвами этой атаки.

Snowflake не раскрыла подробности о том, как хакеры получили доступ к учётным записям клиентов, заявив лишь, что преступники не взламывали сеть компании напрямую. На днях организация Mandiant, принадлежащая Google и привлечённая Snowflake для расследования инцидентов, сообщила в своём блоге, что в некоторых случаях киберпреступники получали доступ через сторонних подрядчиков, не называя этих подрядчиков и не поясняя, как именно это происходило.

Однако в беседе с изданием Wired один из злоумышленников заявил, что одной из таких компаний-подрядчиков была EPAM Systems — компания по разработке программного обеспечения и оказанию цифровых услуг с годовым доходом около $4,8 млрд. Хакер утверждает, что его группе удалось использовать данные, найденные в системе сотрудников EPAM, для получения доступа к некоторым учётным записям в Snowflake.

В EPAM опровергли свою причастность ко взломам и предположили, что хакер сфабриковал эту историю. Однако группа ShinyHunters существует с 2020 года и с тех пор взяла на себя ответственность за многочисленные кибератаки, связанные с кражей, утечкой или продажей в интернете больших массивов данных.

Snowflake является крупной компанией, предоставляющей сервисы по хранению данных в облаке и их аналитической обработке. Согласно информации на её сайте, EPAM занимается разработкой ПО и предоставляет различные управляемые услуги клиентам по всему миру, в первую очередь в Северной Америке, Европе, Азии и Австралии. Около 60 % доходов EPAM приходится на клиентов в Северной Америке. В числе услуг, которые EPAM оказывает клиентам, значится помощь в использовании и управлении учётными записями Snowflake для хранения и анализа данных.

Источник изображения: pikisuperstar / freepik.com

По словам хакера, компьютер одного из сотрудников EPAM был заражён вредоносным ПО, с помощью которого злоумышленники получили доступ к данным на этом устройстве. Используя этот доступ, они обнаружили незашифрованные имена пользователей и пароли, с помощью которых сотрудник EPAM получал доступ к учётным записям Snowflake некоторых крупных клиентов компании, в том числе Ticketmaster. Эти данные, по словам хакеров, хранились в системе управления проектами Jira.

Используя эти учётные данные, хакеры получили доступ к аккаунтам в Snowflake, поскольку для доступа к ним не требовалась многофакторная аутентификация. В тех случаях, когда необходимые учётные данные отсутствовали в системе сотрудника EPAM, хакеры искали их в уже украденных ранее базах данных. Так, для доступа к аккаунту Snowflake компании Ticketmaster были использованы аккаунты, похищенные в 2020 году опять же с помощью вредоносного ПО.

После того, как ресурс Wired предоставил подробную информацию о том, как, по словам хакеров, им удалось получить доступ к системе сотрудника EPAM, представитель компании лишь повторил заявление о том, что он не видит доказательств вовлечённости EPAM в этот инцидент. На дополнительные, конкретно поставленные вопросы, в том числе с указанием имени сотрудника и его учётных данных для доступа к аккаунту Snowflake Ticketmaster, представитель EPAM не ответил.

Хотя издание Wired не смогло подтвердить заявления хакеров о взломе компьютера сотрудника EPAM и использовании его данных для доступа к аккаунтам Snowflake, злоумышленники предоставили изданию файл, похожий на список удалённых учётных записей работника EPAM из корпоративного каталога Active Directory, полученный после взлома его рабочей станции.

Кроме того, в сообщении компании Mandiant говорится, что хакеры использовали ранее украденные вредоносным ПО учётные данные для компрометации около 80 % выявленных ими аккаунтов Snowflake, что косвенно подтверждает слова группировки ShinyHunters о таком способе доступа к данным жертв.

Таким образом, даже если хакеры не взламывали сотрудника EPAM напрямую, они явно использовали украденные учётные данные из скомпрометированных систем этой компании для последующих атак на её клиентов, в том числе владельцев учётных записей в Snowflake. Директор по информационной безопасности Snowflake Брэд Джонс (Brad Jones) также признал, что отсутствие многофакторной аутентификации способствовало взломам. Джонс сказал, что его компания будет работать над этим вопросом.

Хакер и предполагаемый лидер группировки Scattered Spider арестован при попытке бежать из Испании. Члены хакерской группы вели в Telegram закрытый рейтинг лидеров по количеству взлома криптовалютных аккаунтов, хвастаясь украденными активами.

Источник изображения: krebsonsecurity.com

Как сообщается на сайте известного американского журналиста Брайана Кребса (Brian Krebs), занимающегося расследованиями IT-преступлений, 22-летний мужчина из Великобритании Тайлер Бьюкенен (Tyler Buchanan), также известный как «Tyler», был арестован на этой неделе в Испании. По данным властей, он является главой группы киберпреступников Scattered Spider, которая подозревается во взломе таких компаний как Twilio, LastPass, DoorDash, Mailchimp и около 130 других организаций за последние два года.

Испанская газета Murcia Today сообщает, что Бьюкенен разыскивался ФБР и был задержан в аэропорту Пальма-де-Майорки, когда пытался сесть на рейс в Италию. По данным полиции, на момент ареста он контролировал криптовалюту на сумму 27 миллионов долларов, полученную в результате взломов.

Бьюкенен считается специалистом по атакам путём подмены сим-карт. С помощью таких атак злоумышленники получают контроль над номером телефона жертвы и перехватывают одноразовые пароли и ссылки для сброса паролей, отправленные по SMS. Это позволяет им получить доступ к аккаунтам жертвы.

Scattered Spider совершила ряд громких кибератак, начав со взлома компании Twilio в 2022 году. Затем они взломали как минимум 163 клиента Twilio, включая приложение Signal и компанию Mailchimp. В результате были украдены конфиденциальные данные и криптовалюта на миллионы долларов.

Помимо этого, группировка подозревается во взломах сервиса хранения паролей LastPass, службы доставки еды DoorDash и десятков других технологических компаний. Для совершения атак они использовали фишинг по SMS и взлом учётных записей сотрудников.

Бьюкенена и других членов Scattered Spider связывают также с сообществом киберпреступников «The Com», которое известно громкими кражами криптовалюты и рейтингом таблицы лидеров этих краж в закрытых Telegram-каналах. Некоторые из участников, в том числе и Бьюкенен, подвергались физическому насилию от конкурирующих группировок. В частности, конкуренты наняли бандитов для вторжения в его дом, угрожали сжечь его, если он не отдаст ключи от своих криптовалютных кошельков. Считается, что Бьюкенен после этого нападения бежал из Соединённого Королевства.

Президент РФ Владимир Путин утвердил поправки к указу «О дополнительных мерах по обеспечению информационной безопасности РФ» от 1 мая 2022 года, которыми был расширен перечень ограничений по использования технологий компаний из недружественных стран.

Источник изображения: TheDigitalArtist/Pixabay

Согласно документу, размещённому на портале для официального опубликования правовых актов, в дополнение к установленному ранее запрету на использование государственными структурами, госкорпорациями и субъектами критической информационной инфраструктуры (КИИ) с 2025 года систем защиты информации (СЗИ) из недружественных стран и их компаний, указом теперь также запрещается этим структурам «пользоваться сервисами (работами, услугами) по обеспечению информационной безопасности», предоставляемыми организациями из недружественных стран.

Также поправками, вступившими в силу 13 июня, предлагается установить требования к центрам госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), определить порядок их аккредитации и её приостановления.

Как сообщил ТАСС глава группы по сопровождению GR-проектов ГК «Солар» (структура «Ростелекома») Андрей Медунов, эти изменения позволят регламентировать процедуру аккредитации центров ГосСОПКА и обеспечить эффективный контроль за их деятельностью. По его словам, все изменения являются своевременными и логичными, и они помогут повышению киберустойчивости экономики РФ и технологической независимости ИБ-отрасли.