Евгений Касперский, глава «Лаборатории Касперского» (Kaspersky Lab), сообщил о выявленной «крайне сложной, профессиональной» кибератаке, целью которой было незаметное внедрение шпионского модуля в смартфоны iPhone сотрудников компании.

Касперский рассказал, что такая атака проводится при помощи невидимого iMessage-сообщения с вредоносным вложением, которое благодаря ряду уязвимостей в операционной системе iOS устанавливает шпионскую программу Triangulation. Этот процесс происходит абсолютно скрытно от пользователя и без какого-либо его участия. Тем не менее факт заражения был обнаружен системой мониторинга и анализа сетевых событий KUMA. В итоге выяснилось, что заражению Triangulation подверглось несколько десятков iPhone сотрудников компании.

Касперский отметил, что из-за закрытости iOS не существует стандартных средств операционной системы для выявления и удаления этой шпионской программы на заражённых смартфонах. Для этого приходится использовать внешние инструменты.

Удалить трояна можно лишь только при помощи сброса зараженного iPhone до заводских настроек и установки последней версии операционной системы и всего окружения пользователя с нуля. В противном случае троян-шпион Triangulation может вновь появиться в смартфоне через уязвимости в устаревшей версии iOS.

«Мы считаем, что главной причиной этого инцидента является закрытость iOS. Данная операционная система является “чёрным ящиком”, в котором годами могут скрываться шпионские программы, подобные Triangulation. Обнаружение и анализ таких угроз осложняется монополизацией Apple исследовательских инструментов, что создаёт для шпионских программ идеальное убежище», — заявил Касперский.

Ранее о попытке слежки за российскими дипломатами по всему миру с помощью шпионского ПО, устанавливаемого на iPhone компании Apple, сообщила ФСБ России.

Эксперты «Лаборатории Касперского» обнаружили в магазине Google Play Маркет 11 троянских приложений, предлагавших редактирование фото и обои для Android-устройств и оформлявших пользователям платные подписки.

Источник изображений: securelist.ru

Обнаруженные специалистами «Лаборатории Касперского» приложения, загруженные около 630 тыс. раз, добросовестно выполняли заявленные функции — в них действительно можно было редактировать изображения, но они также запускали вредоносную полезную нагрузку. Троян связывался с управляющим сервером злоумышленника, отправляя на него коды страны пребывания и мобильного оператора, а тот в ответ присылал страницу платной подписки, которая открывалась в фоновом режиме, и вредонос пытался её оформить, перехватывая сообщения с её подтверждением. Всё это время пользователь не знал, что происходило на его телефоне.

Жертвами кампании были преимущественно пользователи из Азии — в код зашита привязка к Таиланду, а на страницах приложений преобладали отзывы от тайцев. Хотя жертвы кампании обнаружены также в Индонезии, Малайзии, Сингапуре и даже в Польше. В «Лаборатории Касперского» семейству троянцев присвоили название Fleckpe — к настоящему моменту Google удалила все 11 приложений из Play Маркета, но эксперты по кибербезопасности говорят, что хакеры могли распространить и другие неопознанные вредоносы: пользователям рекомендовали проявлять осторожность при установке приложений от малоизвестных разработчиков.

Министерство торговли США рассматривает возможность принятия ограничительных мер в отношении использования продукции «Лаборатории Касперского» — российской компании, работающей в сфере информационной безопасности. Об этом пишет The Wall Street Journal со ссылкой на собственные осведомлённые источники.

Источник изображения: pixabay.com

В сообщении сказано, что программное обеспечение «Лаборатории Касперского» было удалено из сетей федерального правительства США ещё при президенте Дональде Трампе (Donald Trump). При этом сама компания неоднократно заявляла, что она не сотрудничает с российским правительством или правительством какой-либо другой страны, а также не содействует кибершпионажу или иной вредоносной деятельности.

Относительно возможных новых ограничений в Минторге США сообщили, что ведомство не комментирует «какие-либо потенциальные действия в отношении компаний», а также подчеркнули приверженность ведомства использованию имеющихся полномочий в полной мере для обеспечения защиты конфиденциальных данных американцев и сотрудничеству с Конгрессом США для адаптации к меняющимся рискам. Официальные представители «Лаборатории Касперского» пока никак не комментируют данный вопрос.

Представитель Министерства торговли США рассказал о том, что в настоящее время ведомство пересматривает правила онлайн-безопасности, известные как правила информационно-коммуникационных технологий и услуг. Эти правила направлены на обеспечения защиты американских интернет-пользователей от ряда угроз, включая шпионаж и дезинформацию, которыми могут заниматься технологические компании и сервисы, базирующиеся в потенциально враждебных странах, таких как Россия и Китай. Помимо прочего, правила предусматривают возможность полного запрета приложений, если они представляют угрозу национальной безопасности страны.

Российские специалисты по ИБ продолжают решать проблемы, возникшие после ухода с рынка западных поставщиков. Даже те, кто ушёл без демаршей вроде отключения апдейтов и «окирпичивания» серверов, отказываются продлевать контракты и расширять лицензии. Уже окончательно ясно, что полумеры вроде устных договорённостей с вендором и пиратских лицензий — тупик, ведущий к долгосрочному росту всех киберрисков. О двух основных путях выхода из него и успешном алгоритме импортозамещения ПО рассказывает Алексей Киселёв, руководитель отдела по работе с клиентами среднего и малого бизнеса «Лаборатории Касперского».

Путь первый, тактический

У большинства компаний защита информации построена на решениях нескольких вендоров. Некоторые из них продолжают успешно работать, а другие неработоспособны. Импортозамещение защитного ПО ведут поэтапно, начав с IT-решений, отсутствие которых несёт максимальные риски конкретной организации. По нашему опыту, больше всего клиентам нужны: безопасность почтовых серверов, Next Generation Firewall (NGFW), защита рабочих станций.

Импортозамещение защиты почты важно для клиентов, потому что большинство целевых атак на IT-инфраструктуру начинаются именно с компрометации корпоративной почты. Защита почтовых серверов поможет бороться не только с хакерами, но и со спамом.

Замена NGFW — достаточно болезненный процесс, поскольку требуется не только лицензия на софт, но и дефицитное оборудование. Поэтому многие пытаются продлить эксплуатацию аппаратных решений Cisco Systems и Fortinet. Тут требуется обновляемый поток данных (фид) о новых угрозах, более не поставляемый этими поставщиками. Тактическое решение: подключить отечественные фиды, то есть импортозамещение Threat Intelligence. Сервис Kaspersky Threat Intelligence Feed был адаптирован таким образом, чтобы данные можно было использовать для NGFW-решений других вендоров.

Но рано или поздно NGFW придётся заменить. В этом случае мы рекомендуем клиентам связку из отечественного брандмауэра и Kaspersky Security для интернет-шлюзов.

Для просмотра полноразмерного изображения кликните по картинке

Путь второй, комплексный

Если решать проблемы импортозамещения в ИТ и ИБ всерьёз и надолго, то эффективнее построить комплексную систему информационной безопасности из решений одного вендора. Она экономически эффективна, масштабируема, упрощает сбор телеметрии со всех частей ИТ-инфраструктуры и реагирование на угрозы.

В частности, «Лаборатория Касперского» предлагает комплекс решений Kaspersky Symphony, в котором клиент может выбрать один из четырёх вариантов защиты в соответствии со своими ИБ-потребностями и бюджетными реалиями.

Первый называется Symphony Security. Он обеспечивает автоматическую защиту рабочих станций (физических, мобильных и виртуальных).

Symphony EDR (Endpoint Detection & Response) в дополнение к базовой защите предлагает продвинутые инструменты для обнаружения сложных и целевых атак и реагирования на них. Это вариант для опытных команд в области ИБ, которые самостоятельно могут заниматься процессами анализа, реагирования и расследования.

Решение Kaspersky Symphony MDR (Managed Detection & Response) позволяет бизнесу отдать основную часть задач ИБ на аутсорс. Мониторингом, поиском подозрительных активностей в системе и определением действий по реагированию занимаются эксперты «Лаборатории Касперского».

И наконец, высший уровень — это комплексная платформа Kaspersky Symphony XDR (Extended Detection and Response), которая включает всё необходимое для зрелых ИБ-команд, в том числе корреляцию событий безопасности, сетевую песочницу, аналитические данные Threat Intelligence и даже модуль обмена данными с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).

В прошлом году в России лидерами по объёму утечек данных стали сервисы доставки, на которые пришлось более трети всех утечек (34 %), и ретейлеры (14 %), сообщило «РИА Новости» со ссылкой на исследование, проведённое «Лабораторией Касперского». В результате действий злоумышленников в открытый доступ попали 168 значимых баз данных российских компаний, а всего в интернет было выложено более 2 млрд записей.

Источник изображения: Mika Baumeister / unsplash.com

Утечка считается значимой тогда, когда было скомпрометировано более 5000 строк пользовательских данных, или когда размещение данных в Сети вызвало резонанс в СМИ.

«Всего было опубликовано более 2 млрд записей. Это почти 300 млн пользовательских данных, из которых 16 % — около 48 млн строк — содержали пароли. Большая часть пользовательских данных (64 %) была скомпрометирована в результате атак на крупный бизнес», — указано в отчёте «Лаборатории Касперского».

Отмечено, что по количеству опубликованных пользовательских данных в первую десятку вошли по две утечки компаний из сферы доставки и ретейла. Речь идёт как о данных пользователей, так и сотрудников, включая рабочую информацию (должность и электронный адрес) и личную (номер мобильного телефона, финансовые сведения и т. д.).

Согласно прогнозу «Лаборатории Касперского», в текущем году количество утечек может вырасти на 20 процентов. «При этом велика вероятность, что злоумышленники продолжат обращать внимание на сферу ретейла, которая исторически хранит колоссальные объёмы информации», — сообщили эксперты компании.

В «Лаборатории Касперского» разрабатывают корпоративный каталог приложений для создаваемой компанией операционной системы. Об этом сообщает портал RSpectr со ссылкой на слова главы департамента платформенных решений на базе KasperskyOS Дмитрия Лукияна. Уже известно, что проект разделят на три специальных блока.

Источник изображения: "Лаборатория Касперского"

По словам Лукияна, первый, называемый порталом разработчиков, даст необходимые сведения о том, чем является KasperskyOS, на каких принципах работает программное обеспечение и как программировать для этой среды. В блоке представлены инструменты для разработки ПО, включая SDK (software development kit). Сообщается, что приложения будут работать только на KasperskyOS.

Второй блок представляет собой портал для возможных клиентов, где те смогут ознакомиться с уже доступными приложениями. Наконец, третий блок представляет собой инструмент, «который позволит управлять всем жизненным циклом приложений за счёт интеграции с Kaspersky Security Center» — это масштабируемая централизованная система управления устройствами. Монетизировать проект компания намерена благодаря продаже лицензионных ключей для Kaspersky Security Center. По данным Лукияна, разрабатывать каталог начали ещё в середине 2021 года, инвестиции уже достигли $1,5 млн за два года сотрудничества — в проекте помимо «Лаборатории Касперского» принимают участие «Инфотекс», Апротех и «МойОфис».

Ожидается, что первым продуктом, подключенным к каталогу, станет шлюз Kaspersky IoT Secure Gateway 1000 для промышленного Интернета вещей — речь идёт о сетевом оборудовании для объединения датчиков и передачи с них данных. Далее, как сообщают в лаборатории, в каталоге появится программное обеспечение «для всех кибериммунных решений на базе KasperskyOS».

До публикации в каталоге приложение будут проверяться: возможная вредоносность приложения, его совместимость с разными версиями KasperskyOS и соответствие ПО требованиям к разработчикам — последние будут опубликованы ближе к премьере маркетплейса. Запуск полнофункциональной версии корпоративного каталога ПО для новой операционной системы запланирован на конец 2023 — начало 2024 гг.

Ранее сообщалось, что «Лаборатория Касперского» дебютировала с решениями KasperskyOS на международном рынке.

В третьем квартале 2022 года почти 52 % российским абонентам мобильной связи поступали вызовы с неизвестных номеров с подозрением на мошенничество. Об этом свидетельствует статистика «Лаборатории Касперского», собранная при помощи мобильного приложения Kaspersky Who Calls.

Программа Kaspersky Who Calls

По данным «Лаборатории Касперского», в текущем году наметились три тенденции телефонного мошенничества.

Во-первых, злоумышленники стали активно использовать в своих схемах номера других стран, в том числе с применением методов спуфинга — подмены номеров. Наибольшее количество подобных звонков было зафиксировано с номеров Турции, Казахстана и Ирана.

Во-вторых, киберпреступники начали применять для обзвонов востребованные в пользовательской среде мессенджеры. За последнее время доля россиян, столкнувшихся с такой механикой, выросла примерно в три раза. «В отличие от обычных звонков, такие входящие вызовы в настоящий момент нельзя заблокировать или отследить централизованно», — отмечает «Лаборатория Касперского».

Наконец, в-третьих, злоумышленники вновь стали практиковать легенду с представителями правоохранительных органов — рост количества звонков якобы от силовых структур является тому свидетельством. В разговоре мошенники стараются быть как можно более убедительными: придерживаются официального тона, используют юридические термины, предупреждают об ответственности в случае отказа сотрудничать, часто бывают напористы, в некоторых случаях даже обещают прислать повестку, настаивают на своей легенде, даже если им не верят. Эксперты «Лаборатории Касперского» призывают пользователей оставаться бдительными, сохранять критичность мышления, не принимать решения поспешно, на эмоциях и при малейших сомнениях завершать телефонный разговор.

Вектор направления атак киберпреступников медленно, но верно смещается в сторону операционных систем Linux и Android, однако основной мишенью злоумышленников по-прежнему остаётся широко распространённая Windows. Об этом свидетельствует исследование «Лаборатории Касперского», в основу которого легли анонимизированные данные облачной системы мониторинга и быстрого реагирования на угрозы Kaspersky Security Network (KSN).

Источник изображения: «Лаборатория Касперского» / kaspersky.ru

Согласно представленным сведениям, в 2022 году решения «Лаборатории Касперского» обнаруживали в среднем 400 тысяч новых вредоносных файлов ежедневно. Это на 5 процентов больше, чем годом ранее. На 181 % увеличилось количество детектируемых ежедневно программ-вымогателей и на 142 % — троянцев-загрузчиков, скачивающих и устанавливающих на компьютеры пользователей другое вредоносное ПО.

По данным KSN, около 85 % всех обнаруженных вредоносных файлов было нацелено на популярную платформу Windows. Кроме того, в текущем году удвоилась ежедневно обнаруживаемая доля инфицированных документов Microsoft Office. Вместе с этим, число ежедневно детектируемых новых вредоносных файлов под Linux увеличилось на 20 процентов. На 10 % выросло количество вредоносных файлов, нацеленных на мобильную платформу Android.

«Ландшафт угроз становится разнообразнее, а злоумышленники активно используют мировую обстановку и новостную повестку для атак на пользователей. Есть все основания полагать, что и в следующем году число атак и объём вредоносного ПО продолжит расти. Кроме того, сегодня, чтобы совершить кибератаку, злоумышленнику не обязательно самостоятельно совершать все её шаги и разрабатывать вредоносные инструменты. В даркнете доступны многочисленные предложения как вредоносного ПО, так и готового доступа в сети организаций», — отмечает «Лаборатория Касперского».