Новости :: Об информационной безопасности http://oib.kz Информационные сообщения ru Wed, 23 Sep 2020 14:10:50 +0300 Softline купила долю в российском провайдере решений кибербезопасности <p>Группа Softline объявляет о покупке контрольного пакета в ГК «Инфосекьюрити» — сервис-провайдере услуг информационной безопасности, системной интеграции и консалтинга.</p><p>Сумму сделки стороны не разглашают.</p><p>Цель покупки — усиление позиций Softline на рынке кибербезопасности и расширение спектра услуг за счет сервисов центра управления информационной безопасностью (Security Operation Center, SOC) и компьютерной криминалистики. Softline намерен предлагать новые решения заказчикам как на российском, так и на зарубежных рынках. «Инфосекьюрити» будет постепенно интегрирована в структуру группу Softline. Бренд «Инфосекьюрити» сохранится. Команда, включая высших руководителей, продолжит развивать бизнес «Инфосекьюрити» уже в рамках ГК Softline.</p><p>«Мы уверены, что сделка с „Инфосекьюрити" в среднесрочной перспективе поможет Softline занять лидирующие позиции на быстрорастущем рынке сервисов информационной безопасности таких, как Security Operation Center и managed security services. На данный момент в портфеле „Инфосекьюрити" более 60 сервисов. Объединение наших команд поможет масштабировать бизнес „Инфосекьюрити" на все основные рынки присутствия Softline, где компания имеет исторически сильные позиции. Помимо этого, „Инфосекьюрити" активно разрабатывает собственные решения в сфере информационной безопасности, которые, мы уверены, будут крайне востребованы нашими клиентами на этих рынках», — говорит директор управления сервисов группы компаний Softline <strong>Ирина Кривенкова</strong>.</p><p>«Статус Softline как по-настоящему глобальной компании открывает перед „Инфосекьюрити" широкие возможности — от контрактов с заказчиками из новых для нас отраслей до реализации проектов за пределами РФ. Совместно мы сможем развивать отрасль информационной безопасности, что позволит группе существенно усилить позиции на российском и международных рынках», — подводит итоги альянса двух компаний генеральный директор «Инфосекьюрити» <strong>Кирилл Солодовников</strong>.</p><p><b>Источник:</b> Пресс-служба компании Softline</p> Wed, 14 Feb 2018 06:55:22 +0300 http://oib.kz/news/gk-is.html http://oib.kz/news/gk-is.html Казахстанских интернет-продавцов освободили от налогов <p>Интернет-продавцов в Казахстане на пять лет освободили от налогов. Такие положения появились в новом Налоговом кодексе. В соответствии со статьей 293 Кодекса, налогоплательщик, осуществляющий <a href="http://profit.kz/tags/ecommerce/" target="_blank">электронную торговлю</a> товарами, уменьшает корпоративный подоходный налог, исчисленный в соответствии со статьей 302 Кодекса, на 100%, передает <a href="https://tengrinews.kz/" target="_blank">Tengrinews.kz</a>.</p><p>Электронная торговля должна соответствовать определенным критериям и соблюдать следующие условия: оформление сделок по реализации товаров осуществляется в электронной форме; оплата товаров производится безналичным платежом; наличие собственной службы доставки либо договор с лицами, осуществляющими курьерские услуги. При этом подчеркивается, что освобождение от налогов не освобождает от необходимости регистрации ИП или ТОО.</p><p>Напомним — <a href="http://profit.kz/news/42741/E-commerce-v-Kazahstane-osvobodyat-ot-naloga-na-pribil/" target="_blank">презентация проекта нового налогового кодекса в сенате парламента РК состоялась в ноябре 2017 года</a>. Нововведения сделали Казахстан одной из немногих стран в мире, где электронная коммерция находится в привилегированном положении.</p> Tue, 09 Jan 2018 15:16:11 +0300 http://oib.kz/news/Kazahstanskih-internet-prodavcov-osvobodili-ot-nalogov.html http://oib.kz/news/Kazahstanskih-internet-prodavcov-osvobodili-ot-nalogov.html Киберпреступники из Sofacy взяли на мушку ИБ-экспертов <p>Группа хакеров с русскими корнями, <a href="https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf" target="_blank">предположительно причастная</a> к вмешательству в выборы президента США в 2016 году, избрала своей целью исследователей, администраторов сайтов/сетей и прочих специалистов, интересующихся кибербезопасностью.</p><p>Эксперты исследовательского подразделения Cisco Talos в воскресенье опубликовали <a href="http://blog.talosintelligence.com/2017/10/cyber-conflict-decoy-document.html" target="_blank">отчет</a> с описанием кампании, которую они связывают с APT-группой Sofacy, также известной под именами Fancy Bear, APT 28 и другими. В качестве приманки злоумышленники используют подставной документ, посвященный конференции CyCon U.S.</p><p>CyCon позиционируется как международная конференция по киберконфликтам, которая пройдет с 7 по 9 ноября в Вашингтоне, округ Колумбия, под крылом Объединенного центра передовых технологий по киберобороне НАТО.</p><p>Специалисты Cisco проанализировали командный трафик, ведущий на сервер злоумышленников myinfestgroup[.]com, и обнаружили всплеск посещений в этом домене 7 октября, три дня спустя после создания документа-приманки.</p><p>В Cisco считают, что за этой кампанией стоит Sofacy, поскольку в ней используется дроппер Seduploader, ранее замеченный в других кампаниях этой APT-группы. Злоумышленники решили не основывать эту атаку на эксплойтах, а положились на встроенный в документ-приманку макрос, который скачивает дроппер из Интернета.</p><p>«Хакеры из Sofacy уже много лет пользуются этим шпионским зловредом. Он состоит из двух файлов: самого дроппера и полезной нагрузки. Дроппер и полезная нагрузка схожи с предыдущими версиями, но автор изменил некоторую открытую информацию, такую как имя мьютекса и ключи обфускации, — отметили в Cisco. — Как мы предполагаем, они так поступили, чтобы зловред не обнаруживался по общедоступным индикаторам компрометации».</p><p>Двухстраничный документ-приманка содержит скопированную без каких-либо изменений информацию с веб-сайта конференции, а также логотип, данные о спонсорах и описание темы мероприятия. Злоумышленники просто скопировали и вставили информацию в документ Word и встроили в него макрос.</p><p>«Вредоносный код извлекает сведения из свойств документа, таких как Subject, Company, Category, Hyperlinkbase и, наконец, Comments. Некоторые сведения можно увидеть прямо из проводника Windows, просто посмотрев свойства файла, — сообщили специалисты Cisco. — Поле Hyperlinkbase извлекается другим инструментом, способным отыскивать длинные строки данных. Внимательно анализируйте содержимое этих полей, поскольку они кодируются в формате base64».</p><p>Новоявленный дроппер отличается от использованных в предыдущих кампаниях. По данным Cisco, эта разновидность не пытается повысить привилегии, а просто выполняет код полезной нагрузки и закрепляется в системе такими же методами, как и в прошлых атаках.</p><p>Seduploader предлагает широчайшие возможности разведки и шпионажа: съемку скриншотов, вывод данных, конфигурирование, а также возможность загрузки и выполнения кода.</p><p>Самое заметное изменение в поведении дроппера, согласно Cisco, заключается в том, что он запускает полезную нагрузку в виде самостоятельного пакета.</p><p>«Причины нам неизвестны, но мы предполагаем, что они не хотели раскрывать какие-либо эксплойты, чтобы приберечь их для других операций, — прокомментировали в Cisco. — Преступники нередко избегают эксплойтов, поскольку ИБ-исследователи могут в конечном счете найти связанные уязвимости и пропатчить их, закрыв лазейку для злоумышленников. Кроме того, авторы немного обновили свой код на основе свежих публикаций от экспертов по безопасности, что, конечно, весьма типично для взломщиков такого класса. Когда их кампании разоблачают, они стараются перейти на другие инструменты, чтобы избежать обнаружения».</p> Thu, 26 Oct 2017 11:49:53 +0300 http://oib.kz/news/targeting-security-researchers.html http://oib.kz/news/targeting-security-researchers.html Европейские компании обеспокоены запретом VPN в России <p>Компании опасаются, что под действие закона «Об информации» могут попасть внутрикорпоративные IT-системы.</p><p>Генеральный директор Ассоциации европейского бизнеса (АЕБ) Франк Шауфф (Frank Schauff) направил письмо, адресованное главам Минкомсвязи и Роскомнадзора, в котором выразил обеспокоенность в связи с запретом анонимайзеров и VPN на территории России, сообщает РБК.</p><p>С 1 ноября 2017 года вступают в силу поправки к закону «Об информации, информационных технологиях и защите информации», согласно которым под запрет попадут способы обхода блокировок запрещенных ресурсов. Однако европейские компании опасаются, что под действие данного закона могут попасть внутрикорпоративные IT-системы.</p><p>«Анонимайзеры используют такие технологии, как частные виртуальные сети (VPN), прокси-серверы и др. Однако данные технологии также используются подавляющим большинством международных компаний в России в качестве одной из мер информационной безопасности (для защиты каналов передачи данных) при ведении бизнеса. Следовательно, закон в случае его расширенного толкования может быть применим к внутрикорпоративным IT-системам и процессам, функционирующим на основе технологий VPN и прокси-серверов, и используемым исключительно во внутрипроизводственных целях, не предполагающих, в частности, получение информации, доступ к которой ограничен на территории России», - заявил директор АЕБ в письме.</p><p>По словам представителей Роскомнадзора и Минкомсвязи, в ближайшее время ведомства предоставят ассоциации разъяснения по данному вопросу. Закон содержит оговорку, разрешающую использование анонимайзеров и VPN в том случае, если круг их пользователей заранее определен, а их использование осуществляется в технологических целях для обеспечения деятельности компании.</p><p>Как заявили эксперты в области информационных технологий, несмотря на то, что данная оговорка действительно выводит корпоративные VPN из-под действия закона, остается вопрос, как именно разделять корпоративные VPN-сети от публичных. На данный момент отличить их попросту невозможно, отметили эксперты.</p><p>Напомним, согласно проекту приказа о процедуре контроля за исполнением запрета анонимайзеров и VPN, с 1 ноября 2017 года Роскомнадзор <a href="http://www.securitylab.ru/news/488129.php?ref=123">обязан</a> в течение 3-х дней проводить блокировку интернет-сервисов, предоставляющих доступ к запрещенным сайтам.</p> Thu, 26 Oct 2017 11:38:03 +0300 http://oib.kz/news/vpn-in-russia.html http://oib.kz/news/vpn-in-russia.html ЦБ РФ разработает порядок налогообложения майнинга криптовалют <p>Российское правительство всерьез вознамерилось установить контроль над рынком криптовалют. Как <a href="http://www.securitylab.ru/bitrix/exturl.php?goto=http://kremlin.ru/acts/assignments/orders/55899">сообщается</a> в пресс-релизе администрации президента РФ Владимира Путина, Центробанку поручено установить требования к организации добычи цифровой валюты, организовать регистрацию занимающихся майнингом субъектов и разработать порядок налогообложения такой деятельности.</p><p> До 20 декабря текущего года ЦБ должен представить предложения по созданию специального регулятора (так называемого сэндбокса) для предварительной проверки новых технологий, продуктов и услуг в финансовой сфере.</p><p> Согласно заявлению, сделанному ранее главой Минкомсвязи РФ Николаем Никифоровым, в некоторых случаях владельцы крипторублей должны платить налог на доходы физических лиц. Если человек не способен объяснить, откуда у него взялась криптовалюта, при обмене ее на национальную валюту он должен заплатить налог в размере 13%. Такая же налоговая ставка предполагается для заработанной разницы на купле-продаже крипторубля.</p><p> Как сообщил министр финансов РФ Антон Силуанов, государство намерено взять под контроль эмиссию и обращение криптовалют. К концу текущего года уже будет представлен соответствующий проект закона.</p><p> По словам Путина, криптовалюта должна быть легализована, однако без некоторых ограничений все же не обойтись. Глава государства уверен, что нужны не барьеры, а условия для улучшения финансовой системы страны. Первостепенной целью регулирования цифровых денег должна стать защита интересов граждан и бизнеса.</p> Wed, 25 Oct 2017 14:29:31 +0300 http://oib.kz/news/cb-mining.html http://oib.kz/news/cb-mining.html «Плохой кролик» шифрует диск и требует биткойны <p>Вчера, 24 октября, появились множественные сообщения о хакерских атаках, связанных с распространением вымогательского ПО, именуемого Bad Rabbit (Плохой кролик»). К вечеру эксперты «Лаборатории Касперского» <a href="https://securelist.com/bad-rabbit-ransomware/82851/">поделились</a> результатами предварительного анализа нового Windows-шифровальщика, уже успевшего нарушить работу некоторых российских компаний.</p><p>Согласно наблюдениям, резво стартовавший зловред распространяется через drive-by загрузки с зараженных сайтов, и эксплуатации каких-либо уязвимостей в данном случае не происходит. Жертва должна сама вручную запустить вредоносный дроппер, замаскированный под инсталлятор Adobe Flash Player.</p><p>Данные телеметрии показали, что дроппер Bad Rabbit загружается с адреса hxxp://1dnscontrol[.]com/flash_install.php. Потенциальная жертва попадает на этот ресурс через редирект, установленный на взломанном сайте. Для корректной работы дропперу нужны права администратора, которые он пытается получить с помощью стандартной подсказки службы UAC.</p><p>При активации дроппер сохраняет вредоносную DLL как C:\Windows\infpub.dat и запускает ее на исполнение, используя rundll32. Модуль infpub.dat, по всей видимости, способен проводить брутфорс-атаки на другие Windows-компьютеры в локальной сети, используя идентификаторы, украденные с зараженной машины, и вшитый список логинов и паролей. Основное назначение компонента infpub.dat — шифрование файлов жертвы, которое он осуществляет, руководствуясь списком расширений. При этом, по данным «Лаборатории», используется открытый 2048-битный ключ RSA.</p><p>Сообщение Bad Rabbit с требованием выкупа явно позаимствовано у <a href="https://threatpost.ru/expetr-called-a-wiper-attack-not-ransomware/21814/">ExPetr</a>. Размер выкупа составляет 0,05 биткойна (порядка 280 долларов), через 40 с небольшим часов эта сумма увеличивается. Сайт злоумышленников, фиксирующий платежи, размещен в сети Tor.</p><p>Анализ показал, что infpub.dat также устанавливает вредоносный файл dispci.exe в папку Windows и создает задачу для его запуска. Этот исполняемый файл, как обнаружили исследователи, является производным легитимной утилиты DiskCryptor. Он шифрует диск и устанавливает модифицированный загрузчик ОС, чем препятствует нормальному старту системы.</p><p>Примечательно, что некоторые строки кода Bad Rabbit содержат имена персонажей популярного телесериала «Игра престолов».</p><p>Как показало исследование, в схеме распространения нового шифровальщика задействован ряд скомпрометированных сайтов, принадлежащих новостным изданиям и СМИ. Большинство жертв Bad Rabbit находятся в России, зафиксированы также случаи заражения на Украине, в Турции и Германии. Украинская CERT даже опубликовала <a href="http://cert.gov.ua/?p=2945">соответствующее предупреждение</a>. На настоящий момент эксперты «Лаборатории Касперского» насчитали около 200 мишеней злоумышленников.</p><p>«Все признаки указывают на то, что это целенаправленная атака на корпоративные сети, — <a href="http://www.rbc.ru/society/24/10/2017/59ef5e9a9a794715e4f33ced">отметил</a> в комментарии РБК руководитель отдела антивирусных исследований «Лаборатории» Вячеслав Закоржевский. — Используются методы, похожие на те, что мы наблюдали в атаке ExPetr, однако связь с ExPetr мы подтвердить не можем».</p><p>В настоящее время Bad Rabbit <a href="https://www.virustotal.com/en/file/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93/analysis/">детектирует</a> половина антивирусов из коллекции Virus Total. Защитные решения «Лаборатории Касперского», согласно блог-записи, распознают новую угрозу с вердиктами Trojan-Ransom.Win32.Gen.ftl, UDS:DangerousObject.Multi.Generic и PDM:Trojan.Win32.Generic. Во избежание заражения эксперты рекомендуют незамедлительно обновить антивирусные базы и удостовериться, что все компоненты специализированной защиты включены. При отсутствии таковой можно запретить исполнение файлов по путям C:\Windows\infpub.dat и C:\Windows\cscc.dat с помощью инструментов системного администрирования.</p><p><em>На миниатюре представлен образец сообщения </em><em>Bad Rabbit</em> <em>из <a href="https://securelist.com/bad-rabbit-ransomware/82851/">блог-записи на Securelist.com</a>.</em></p> Wed, 25 Oct 2017 12:17:54 +0300 http://oib.kz/news/bad-rabbit.html http://oib.kz/news/bad-rabbit.html Web-сайт Dell в течение месяца мог распространять вредоносное ПО <p>Web-сайт компании Dell, оказывающий помощь жертвам вредоносного ПО, в течение нескольких недель находился под контролем киберпреступников. Об этом во вторник, 24 октября,<a href="http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fkrebsonsecurity.com%2F2017%2F10%2Fdell-lost-control-of-key-customer-support-domain-for-a-month-in-2017%2F%3Futm_source%3Dfeedburner%26utm_medium%3Dfeed%26utm_campaign%3DFeed%253A%2BKrebsOnSecurity%2B%2528Krebs%2Bon%2BSecurity%2529">сообщил</a> журналист Брайан Кребс, специализирующийся на расследовании киберпреступлений.</p><p>На компьютерах производства Dell виртуально установлена программа Dell Backup and Recovery Application, позволяющая в случае необходимости восстановить на устройстве заводские настройки. Программа периодически обращается к домену DellBackupandRecoveryCloudStorage.com, который до недавнего времени был главным решением, если дело касалось резервного копирования, восстановления и хранения в облаке пользовательских данных.</p><p>Прошлым летом домен был «угнан» у постоянного подрядчика Dell, техасской компании SoftThinks.com, зарегистрировавшей его в 2013 году. Прежде чем подрядчику удалось вернуть контроль над доменом, он, вероятно, в течение месяца использовался злоумышленниками для распространения вредоносного ПО. Каким образом киберпреступники получили контроль над сайтом, неизвестно. По всей видимости, SoftThinks.com забыла продлить регистрацию домена в июне 2017 года.</p><p>С начала июня до начала июля домен DellBackupandRecoveryCloudStorage.com был собственностью некоего Дмитрия Вассилева (Dmitrii Vassilev) из зарегистрированной в Германии компании TeamInternet.com. Судя по всему, компания занимается тайпосквоттингом. Сама компания могла ничего не делать с доменом, а просто сдать или перепродать его третьим лицам. Спустя две недели после «угона» хостинговый сервер начал отображать уведомления о наличии вредоносного ПО.</p><p>Тайпсквоттинг (typosquatting от англ. type – печатать и squatting – нелегальное завладение чужим домом) – регистрация доменных имен, созвучных с названиями популярных сайтов. Обычно делается в расчете на опечатку пользователя при наборе URL. Если пользователь ошибется и введет в адресную строку другой символ, то попадет совсем на другой сайт с похожим названием.</p> Wed, 25 Oct 2017 12:13:55 +0300 http://oib.kz/news/dell-attacks.html http://oib.kz/news/dell-attacks.html В Госдуме хотят разрешить блокировать сайты нежелательных организаций без суда <p>В случае принятия закона Роскомнадзор сможет самостоятельно принимать решения о судьбе интернет-ресурсов таких организаций.</p> <p>Комитет Госдумы по информационной политике порекомендует нижней палате парламента принять закон о блокировке сайтов организаций, признанных в России нежелательными, без решения суда, пишет РБК. Накануне Совет Думы поддержал законопроект и отправил его на слушания в профильный комитет. Совет также рекомендовал рассмотреть документ в первом чтении уже через два дня, 26 октября.</p><p>Если закон будет принят, Роскомнадзор сможет самостоятельно принимать решения о блокировке в Интернете «информации, содержащей призывы к массовым беспорядкам, осуществлению экстремистской деятельности, участию в массовых (публичных) мероприятиях, проводимых с нарушением установленного порядка, материалов, изданных и (или) распространяемых иностранной или международной неправительственной организацией, деятельность которой признана нежелательной», говорится в законопроекте.</p><p>В 2012 году <a href="http://https//www.computerworld.ru/news/Roskomnadzor-za-pyat-let-zablokirovano-275-tysyach-saytov" target="_blank">был принят</a> Закон «О внесении изменений в федеральный закон «О защите детей от информации, причиняющий вред их здоровью и развитию», который предусматривал создание единого реестра заблокированных сайтов с запрещенной информацией. За пять лет действия закона о блокировке сайтов 275 тыс. интернет-ресурсов внесли в специальный реестр. К 70 тыс. сайтов доступ был запрещен из-за распространения наркотиков. Роскомнадзор закрыл 43 тыс. онлайн-казино и незаконных лотерей и заблокировал 38 тыс. страниц за детскую порнографию, а 25 тыс. ресурсов — за призывы к суициду.</p><p>Также в июле этого года июле Госдума <a href="https://www.computerworld.ru/news/Gosduma-prinyala-zakon-o-zaprete-anonimayzerov">приняла</a> закон о запрете анонимайзеров, а в октябре <a href="https://www.computerworld.ru/news/Roskomnadzor-vypolnil-resheniya-Mosgorsuda-o-blokirovke-pyati-piratskih-saytov">вступил в силу</a> закон о блокировке «зеркал» (копий) пиратских ресурсов.</p><p>Тем временем в Минкомсвязи <a href="https://www.computerworld.ru/news/V-Minkomsvyazi-priznali-neeffektivnost-blokirovki-v-Internete">заявляли</a> о неэффективности блокировки в Интернете. Глава ведомства Николай Никифоров считает, что правильнее всего следить, кто искал ту или иную информацию и осуществлял доступ к тому или иному противоправному контенту.</p> Wed, 25 Oct 2017 12:09:54 +0300 http://oib.kz/news/block-sites.html http://oib.kz/news/block-sites.html Шифровальщик Locky теперь распространяется через DDE-атаки <p>На прошлой неделе ИБ-специалисты <a href="https://xakep.ru/2017/10/13/microsoft-office-dde/">привлекли немалое внимание</a> к проблеме, связанной с использованием технологии <a href="https://msdn.microsoft.com/en-us/library/windows/desktop/ms648774(v=vs.85).aspx">Microsoft Dynamic Data Exchange (DDE)</a>, которая позволяет одним приложениям Office загружать данные из других приложений Office. К примеру, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel.</p><p>По сути, DDE позволяет пользователю встроить в документ кастомное поле, в котором можно задать местоположение данных, которые следует подгружать. Проблема в том, что злоумышленники научились использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода.</p><p>Свои опасения по этому поводу озвучили эксперты компаний SensePost и Cisco Talos. Еще один невидимый специалист, Дэвид Лонгнекер (David Longenecker) <a href="https://www.securityforrealpeople.com/2017/10/exploiting-office-native-functionality.html">опубликовал инструкцию</a>, рассказывающую о том, как обнаружить DDE-атаки с помощью Windows Event Logs. ИБ-эксперт Дидье Стивенс (Didier Stevens), в свою очередь, <a href="https://blog.nviso.be/2017/10/11/detecting-dde-in-ms-office-documents/">обнародовал</a> правила YARA, которые должны помочь исследователям обнаруживать вредоносные документы с DDE.</p><p>Теперь, неделю спустя, становится очевидно, что специалисты не зря предупреждали об опасности DDE. Эксперты Internet Storm Center <a href="https://isc.sans.edu/forums/diary/Necurs+Botnet+malspam+pushes+Locky+using+DDE+attack/22946/">сообщили</a>, что одни из крупнейших ботнетов мира, Necurs, насчитывающий более 6 млн зараженных машин, начал эксплуатировать DDE для распространения шифровальщика Locky и банковского трояна TrickBot. К загрузке малвари традиционно приводит открытие вредоносных документов Office, приложенных к спамерским письмам, но теперь злоумышленники внедряют в документы не только макросы и Object Linking and Embedding (OLE), но и DDE.</p><p>Аналитики Trend Micro <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/look-locky-ransomwares-recent-spam-activities/">пишут</a>, что Necurs также распространяет вредоносов посредством HTML вложений, документов Word, содержащих макросы или скрипты Visual Basic, файлов VBS, JS и JSE, скрывающихся в архивах RAR, ZIP и 7ZIP, и так далее.</p><p>Кроме того, <a href="https://isc.sans.edu/forums/diary/Hancitor+malspam+uses+DDE+attack/22936/">была замечена</a> еще одна вредоносная кампания, использующая DDE. В данном случае злоумышленники распространяют через зараженные документы Office загрузчик Hancitor, который затем используется для установки банковских троянов, спайвари, вымогательского ПО и других угроз.</p> Wed, 25 Oct 2017 09:08:51 +0300 http://oib.kz/news/necurs-uses-dde.html http://oib.kz/news/necurs-uses-dde.html Программа для Путина: Государство взялось за безопасность интернета вещей <p><strong>Государство отрегулирует большие данные</strong></p><p>Раздел "Информационная безопасность" программы "Цифровая экономика", написанной Минкомсвязи по поручению Президента России Владимира Путина, содержит ряд мероприятий по регулированию сфер интернета вещей и больших данных. В начале 2018 г. будут проведены анализ необходимой защиты при обработке массивов больших данных и оценка адекватности рискам и угрозам информационной безопасности существующих стандартов обработки больших данных.</p><p>На III квартал 2018 г. запланировано создание центра компетенций по вопросам межмашинного взаимодействия, включая киберфизические системы и интернет вещей. В начале 2019 г. будут определены методики оценки показателей использования больших данных, приняты национальные стандарты обработки и сформулирована система добровольно сертификации на соответствие этим стандартам.</p><p>До конца 2019 г. будет законодательно установлено регулирование трансграничного обмена данными между участниками информационного взаимодействия, порядок и условия хранения данных на серверах, размещенных на территории России. В 2020 г. будет разработана и внедрена модель сертифицированного отечественного аппаратно-программного комплекса обработки массивов больших данных для последующего применения операторами больших данных. В том же году будет разработан механизм инструментального контроля использования больших данных.</p><p><strong>Киберфизические системы защитят от постороннего вмешательства</strong></p><p>Другое направление программы – обеспечение правового режима межмашинного взаимодействия для киберфизических систем. Оценка соответствующих рисков и угроз будет проведена в начале 2018 г.</p><p>Затем будут определены методики оценки показателей безопасности межмашинного взаимодействия для киберфизических систем. До конца 2018 г. будут приняты правила реагирования и установлена ответственность за несанкционированное вмешательство в управление межмашинным взаимодействием, включая киберфизические системы.</p><p>До конца 2019 г. будут приняты национальные стандарты межмашинного взаимодействия для киберфизических систем. А в 2021 г., по замыслу авторов программы, в киберфизических системах будут использоваться отечественные операционные системы.</p><p><strong>Национальные стандарты и отечественные решения для интернета вещей</strong></p><p>Для машинных и когнитивных интерфейсов, включая интернет вещей, также должен быть обеспечен отдельный правовой режим функционирования. За несанкционированное вмешательство в работу устройств интернета вещей будет предусмотрена ответственность, параллельно будут разработаны правила реагирования на такого рода инциденты.</p><p>В 2019 г. будут определены методики оценки показателей безопасности производства и использование технических решений, обеспечивающих информационное взаимодействие посредством машинных и когнитивных интерфейсов.</p><p>В том же году будет создана модель отечественного комплекса обеспечения безопасности для оборудования интернета вещей для последующего применения участниками информационного взаимодействия в условиях межмашинного взаимодействия.</p><p>До конца 2019 г. ожидается принятие национальных стандартов и технических регламентов, регулирующих сферу производства полного цикла продукции и использование технических решений, осуществляющих и обеспечивающих информационное взаимодействие посредством машинных и когнитивных интерфейсов, включая интернет вещей.</p><p>А до конца 2020 г. будет создана система стимулов разработки отечественных комплексов обеспечения безопасности для оборудования интернет вещей.</p> Wed, 25 Oct 2017 08:04:18 +0300 http://oib.kz/news/putin-it.html http://oib.kz/news/putin-it.html Программа для Путина: Государство взялось за безопасность интернета вещей <p><strong>Государство отрегулирует большие данные</strong></p><p>Раздел "Информационная безопасность" программы "Цифровая экономика", написанной Минкомсвязи по поручению Президента России Владимира Путина, содержит ряд мероприятий по регулированию сфер интернета вещей и больших данных. В начале 2018 г. будут проведены анализ необходимой защиты при обработке массивов больших данных и оценка адекватности рискам и угрозам информационной безопасности существующих стандартов обработки больших данных.</p><p>На III квартал 2018 г. запланировано создание центра компетенций по вопросам межмашинного взаимодействия, включая киберфизические системы и интернет вещей. В начале 2019 г. будут определены методики оценки показателей использования больших данных, приняты национальные стандарты обработки и сформулирована система добровольно сертификации на соответствие этим стандартам.</p><p>До конца 2019 г. будет законодательно установлено регулирование трансграничного обмена данными между участниками информационного взаимодействия, порядок и условия хранения данных на серверах, размещенных на территории России. В 2020 г. будет разработана и внедрена модель сертифицированного отечественного аппаратно-программного комплекса обработки массивов больших данных для последующего применения операторами больших данных. В том же году будет разработан механизм инструментального контроля использования больших данных.</p><p><strong>Киберфизические системы защитят от постороннего вмешательства</strong></p><p>Другое направление программы – обеспечение правового режима межмашинного взаимодействия для киберфизических систем. Оценка соответствующих рисков и угроз будет проведена в начале 2018 г.</p><p>Затем будут определены методики оценки показателей безопасности межмашинного взаимодействия для киберфизических систем. До конца 2018 г. будут приняты правила реагирования и установлена ответственность за несанкционированное вмешательство в управление межмашинным взаимодействием, включая киберфизические системы.</p><p>До конца 2019 г. будут приняты национальные стандарты межмашинного взаимодействия для киберфизических систем. А в 2021 г., по замыслу авторов программы, в киберфизических системах будут использоваться отечественные операционные системы.</p><p><strong>Национальные стандарты и отечественные решения для интернета вещей</strong></p><p>Для машинных и когнитивных интерфейсов, включая интернет вещей, также должен быть обеспечен отдельный правовой режим функционирования. За несанкционированное вмешательство в работу устройств интернета вещей будет предусмотрена ответственность, параллельно будут разработаны правила реагирования на такого рода инциденты.</p><p>В 2019 г. будут определены методики оценки показателей безопасности производства и использование технических решений, обеспечивающих информационное взаимодействие посредством машинных и когнитивных интерфейсов.</p><p>В том же году будет создана модель отечественного комплекса обеспечения безопасности для оборудования интернета вещей для последующего применения участниками информационного взаимодействия в условиях межмашинного взаимодействия.</p><p>До конца 2019 г. ожидается принятие национальных стандартов и технических регламентов, регулирующих сферу производства полного цикла продукции и использование технических решений, осуществляющих и обеспечивающих информационное взаимодействие посредством машинных и когнитивных интерфейсов, включая интернет вещей.</p><p>А до конца 2020 г. будет создана система стимулов разработки отечественных комплексов обеспечения безопасности для оборудования интернет вещей.</p> Wed, 25 Oct 2017 08:03:47 +0300 http://oib.kz/news/programme_putin.html http://oib.kz/news/programme_putin.html В роутерах Linksys обнаружили ряд неисправленных уязвимостей <p>Исследователи компании SEC Consult рассказали о нескольких проблемах в роутерах Linksys. Как оказалось, специалисты обнаружили уязвимости в нескольких моделях серии E еще в июле 2017 года, после чего попытались связаться с производителем. Компания ответила специалистам лишь в сентябре 2017 года, заявив, что исправления для некоторых багов уже в работе, после чего связь вновь прервалась.</p><p>Согласно <a href="https://www.sec-consult.com/en/blog/advisories/multiple-vulnerabilities-in-linksys-e-series-products/index.html">отчету SEC Consult</a>, различные уязвимости содержат устройства Linksys E900, E1200 и E8400 AC2400, и это было официально подтверждено производителем. Кроме того, согласно проведенным исследователями тестам, баги присутствуют b в роутерах E2500, E900-ME, E1500, E3200, E4300 и WRT54G2.</p><p>Сообщается, что специалисты обнаружили в роутерах Linksys пять разных уязвимостей и представили PoC-эксплоиты для каждой из них. Так, были найдены CSRF- и XSS-уязвимости, баг, позволяющий спровоцировать отказ в обслуживании (DoS), возможность осуществлять инъекции в HTTP-хедеры, а также проблема некорректного способа обработки данных сессий.</p><p>По словам специалистов, с помощью различных сочетаний атак на эти бреши злоумышленники могут спровоцировать перманентное DoS-состояние, переадресовать пользователя на вредоносный сайт, изменить настройки уязвимого устройства, а также выполнить вредоносный код в контексте браузерной сессии.</p><p>Так как инженеры Linksys не торопятся выпускать патчи, исследователи рекомендуют временно ограничить доступ к устройствам или вовсе прекратить их использование.</p> Tue, 24 Oct 2017 14:33:21 +0300 http://oib.kz/news/linksys-bugs.html http://oib.kz/news/linksys-bugs.html Новый конкурент IoT-ботнета Mirai включает порядка 2 млн устройств <p>С середины сентября ботнет IoT_reaper вырос до гигантских масштабов.</p><p>Ряды мощных ботнетов, состоящих из устройств сферы «Интернета вещей» (Internet of Things, IoT), продолжают пополняться. Недавно в Сети был замечен новый конкурент ботнетов Mirai и Necurs, получивший название IoT_reaper, с середины сентября выросший до гигантских масштабов. По оценкам исследователей из компаний<a href="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fblog.netlab.360.com%2Fiot_reaper-a-rappid-spreading-new-iot-botnet-en%2F">Qihoo 360 Netlab</a>и<a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fresearch.checkpoint.com%2Fnew-iot-botnet-storm-coming%2F">Check Point</a> , в настоящее время в состав ботнета входит порядка 2 млн устройств. В основном это IP-камеры, сетевые IP-видеорегистраторы и цифровые видеорегистраторы.</p><p>По словам исследователей, код вредоносного ПО, используемого для создания ботнета, включает фрагменты кода Mirai, но при этом содержит ряд новых функций, отличающих Reaper от конкурентов. Главное его отличие заключается в методе распространения. Если Mirai ищет открытые Telnet-порты и пытается скомпрометировать устройство, используя перечень распространенных дефолтных или ненадежных паролей, то Reaper в основном применяет эксплоиты для захвата контроля над уязвимыми устройствами и добавления их к C&amp;C-инфраструктуре.</p><p>В настоящее время Reaper использует эксплоиты для уязвимостей в устройствах<a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fblogs.securiteam.com%2Findex.php%2Farchives%2F3364">D-Link</a>( <a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fwww.s3cur1ty.de%2Fm1adv2013-003">модели</a>DIR-600 и DIR-300), маршрутизаторах и системах видеонаблюдения Netgear ( <a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fblogs.securiteam.com%2Findex.php%2Farchives%2F3409">ReadyNAS Surveillance</a> ,<a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fseclists.org%2Fbugtraq%2F2013%2FJun%2F8">DGN1000</a> , DGN2200), маршрутизаторах<a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fwww.s3cur1ty.de%2Fm1adv2013-004">Linksys</a>(модели E1500/E2500), IP-камерах<a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fpierrekim.github.io%2Fblog%2F2017-03-08-camera-goahead-0day.html">GoAhead</a> ,<a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fwww.pentestpartners.com%2Fsecurity-blog%2Fpwning-cctv-cameras%2F">JAWS</a> ,<a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fblogs.securiteam.com%2Findex.php%2Farchives%2F3445">Vacron</a>и<a rel="nofollow" href="http://www.securitylab.ru/bitrix/exturl.php?goto=https%3A%2F%2Fgithub.com%2FTrietptm-on-Security%2FAVTECH">AVTECH</a> . Reaper также атакует маршрутизаторы MicroTik и TP-Link, сетевые накопители Synology NAS и серверы Linux.</p><p>На данный момент организаторы ботнета работают над его расширением, добавляя новые эксплоиты и устройства. По словам экспертов Qihoo 360 Netlab, списки ожидания C&amp;C-серверов ботнета включают более 2 млн инфицированных гаджетов.</p><p>Специалисты Qihoo 360 Netlab и Check Point отмечают, что пока ботнет не осуществил ни одной DDoS-атаки. По их словам, вредоносное ПО включает среду для исполнения скриптов на языке Lua, что позволяет операторам добавлять модули для различных задач, например, DDoS-атак, перенаправления трафика и пр. Кроме того, Reaper включает 100 открытых DNS-резолверов. Данная функциональность позволит ботнету с легкостью осуществлять атаки типа DNS-амплификация.</p> Tue, 24 Oct 2017 09:46:54 +0300 http://oib.kz/news/reaper.html http://oib.kz/news/reaper.html APT28 атакует участников конференции НАТО и США по вопросам кибервойны <p>«Русские хакеры» запустили новую вредоносную кампанию, нацеленную на участников конференции, запланированной на ноябрь.</p><p>Хакеры, пытавшиеся оказать влияние на выборы президента США в прошлом году, запустили новую вредоносную кампанию. На этот раз они нацелились на участников предстоящей конференции International Conference on Cyber Conflict (CyCon U.S.) в Вашингтоне, посвященной вопросам кибервойны.</p><p>Проводимая НАТО и военными организациями США конференция состоится в следующем месяце. В мероприятии принимают участие такие высокопоставленные лица, как бывший директор Агентства национальной безопасности США Кит Александер (Keith Alexander) и глава Киберкомандования армии США Пол Накасоне (Paul Nakasone). «Атакуя этих лиц, можно получить чрезвычайно чувствительную информацию, чего, скорее всего, и добиваются хакеры в данном случае», -<a href="http://www.securitylab.ru/bitrix/exturl.php?goto=http%3A%2F%2Fblog.talosintelligence.com%2F2017%2F10%2Fcyber-conflict-decoy-document.html">сообщил</a>ИБ-эксперт Уоррен Мерсер (Warren Mercer) из Cisco Talos.</p><p>По словам Мерсера, в начале октября хакерская группировка Fancy Bear (APT28), часто связываемая со спецслужбами РФ, начала атаковать участников предстоящей конференции CyCon U.S. Злоумышленники рассылают <a href="http://www.securitylab.ru/news/tags/%F4%E8%F8%E8%ED%E3/" class="lnk">фишинговые</a> письма с вредоносным документом Microsoft Word под названием "Conference_on_Cyber_Conflict.doc". Вложение содержит макросы, загружающие и устанавливающие на атакуемую систему вредоносное ПО Seduploader. Программа является шпионским инструментом для скриншотов и сбора базовой информации, позволяющей определить, представляет ли жертва интерес для долгосрочной слежки.</p> Tue, 24 Oct 2017 09:43:07 +0300 http://oib.kz/news/fancy-bear.html http://oib.kz/news/fancy-bear.html ФБР просит организации делиться подробностями DDoS-атак <p>ФБР призывает организации, ставшие жертвами DDoS-атак, сообщать о подробностях этих инцидентов. Защитники правопорядка уже выступали с подобным <a href="https://threatpost.com/fbi-encouraging-ransomware-victims-to-report-infections/120656/" target="_blank">призывом</a> в прошлом году в связи с эпидемией <a href="https://threatpost.ru/few-victims-reporting-ransomware-attacks-to-fbi/21744/" target="_blank">программ-вымогателей</a>.</p><p>Пострадавшим следует обращаться в местные отделения ФБР независимо от масштабов атаки и финансовых последствий для организации. Специалистов организации, в частности, интересует, какой протокол использовался для атаки и какие требования выкупа предъявили злоумышленники. ФБР просит компании сохранять IP-адреса, связанные с атакой, сетевой трафик и журналы захвата пакетов, а также электронные письма и любые другие сообщения преступников.</p><p>Помимо этого, правоохранителей интересуют подробности любых понесенных в результате атаки потерь и, если компания заплатила выкуп, номер криптокошелька или адрес электронной почты, использованные для перевода денег.</p><p>Данная просьба ФБР входит в более масштабное предупреждение, адресованное предприятиям в связи распространением <a href="https://www.ic3.gov/media/2017/171017-2.aspx" target="_blank">нагрузочных бутер- и стрессер-сервисов</a>, часто выступающих в роли ключевого звена DDoS-атаки.</p><p>Эти сервисы продаются преступникам и хактивистам на теневых форумах и служат для автоматизации и повышения мощности атак.</p><p>«ФБР считает действия этих сервисов преступными, если они направлены на веб-сайт без разрешения его владельца (которое может быть дано, например, для проверки на устойчивость к большой нагрузке)», — пишут сотрудники ФБР в своем предупреждении.</p><p>Кроме того, бутер-сервисы предоставляют преступникам определенный уровень анонимности при проведении DDoS-атак.</p><p>«Для оплаты этих сервисов используются денежные транзакции, обычно онлайн-платежи и виртуальные валюты, — отмечают в ФБР. — Владельцы бутер- и стрессер-сервисов продают доступ к DDoS-ботнетам — сети зараженных компьютеров, которые путем отправки огромных объемов поддельного или мусорного трафика выводят сервер жертвы или сетевой ресурс из строя.</p><p>DDoS-атаки вернули свою популярность год назад после серии Mirai-атак на новостные сайты, веб-хостинги и DNS-провайдеров. Mirai открыл новый фронт атак, используя тысячи незащищенных устройств с выходом в Интернет, таких как IP-камеры и видеорегистраторы, и объединяя их в ботнеты, перегружающие целевую систему мусорным трафиком.</p><p>В отдельном заявлении ФБР предупреждает, что в связи с <a href="https://www.ic3.gov/media/2017/171017-1.aspx" target="_blank">прогнозируемым ростом числа IoT-устройств</a> с 20 до 50 млрд к 2020 году угроза DDoS-атак через них станет еще более актуальной.</p><p>Все больше опасений вызывает возможность взлома подключенных медицинских устройств, систем автоматизации зданий, «умных домов» и других подключенных к Интернету бытовых устройств, способных повлиять на физическую безопасность и здоровье человека.</p><p>«Все чаще организации и домовладельцы применяют интернет-устройства, чтобы эффективнее вести дела и жить в более комфортных условиях, но их интернет-подключение становится еще одним источником уязвимостей, которым могут воспользоваться преступники, — отмечают специалисты ФБР в предупреждении. — В 2016 и 2017 годах киберпреступники продемонстрировали, с какой легкостью эксплуатируются уязвимости в IoT-устройствах. Из-за примитивной защиты, сложностей с установкой патчей и небрежного отношения потребителей к безопасности у киберпреступников появляется масса возможностей для взлома этих устройств».</p><p>ФБР призывает владельцев таких устройств и их производителей принять ряд мер по защите своих устройств: сменить стандартные имя пользователя и пароль, изолировать IoT-устройства в защищенную сеть и поддерживать актуальность ПО, устанавливая патчи и другие обновления.</p> Tue, 24 Oct 2017 09:21:03 +0300 http://oib.kz/news/ddos-attacks.html http://oib.kz/news/ddos-attacks.html