Мир за неделю: Запад держит оборону против APT-групп, серых ботов, быстрого потока и не только

Проекты по киберустойчивости ЕС получат новую финансовую инъекцию, Лондон стремится скопировать европейские ИБ-директивы, генеративный ИИ-скрейпинг привел к расцвету серых ботов, электро- и водоснабжение сильно страдает от хакерских атак, западные агентства по кибербезопасности призывают обуздать Fast Flux, а государственные школы в Вашингтоне пасуют перед программой-вымогателем.

 

Еврокомиссия инвестирует 1,3 млрд евро в кибербезопасность и ИИ

ЕС намерен усилить свою цифровую оборону значительными инвестициями и объявил о выделении 1,3 млрд евро (1,4 млрд долларов США) на финансирование инновационных проектов в области кибербезопасности и искусственного интеллекта в течение следующих трех лет. Этот новый пакет, объявленный Комиссией ЕС 28 марта 2025 года, будет финансировать проекты в период с 2025 по 2027 год в рамках Программы цифровой Европы (DIGITAL).

DIGITAL — это программа ЕС, запущенная в 2021 году для развертывания технологических инициатив. Первоначальный бюджет программы составляет 8,1 млрд евро (8,8 млрд долларов США) в рамках Многолетней финансовой структуры на 2021–2027 годы. Часть нового финансирования в размере 1,3 млрд евро будет направлена на проекты по кибербезопасности, включая:

1. Повышение киберустойчивости критически важных систем ЕС, особенно больниц и подводных кабелей, с помощью таких механизмов, как Резерв кибербезопасности ЕС

2. Поддержка развертывания кошелька цифровой идентичности (Digital Identity Wallet) ЕС и укрепление Европейской инфраструктуры доверия с целью повышения киберустойчивости граждан путем предоставления им безопасных, совместимых и простых в использовании решений цифровой идентичности

 

Другие миссии нового финансирования подразумевают:

1. Поддержку инициативы AI Factorys путем разработки генеративных сред для тестирования ИИ, известных как «виртуальные миры», особенно в секторе здравоохранения, и развертывания энергоэффективных общих пространств данных

2. Поддержку европейских центров цифровых инноваций, которые предоставляют компаниям и государственному сектору доступ к технической экспертизе и тестированию технологий, а также к консультациям, обучению и навыкам для внедрения новейших технологий

3. Развитие инициативы Destination Earth по созданию цифровой модели Земли для поддержки адаптации к изменению климата и управления рисками стихийных бедствий

4. Развитие потенциала образовательных и учебных учреждений ЕС в области цифровых навыков

5. Развитие эффективных, высококачественных, совместимых цифровых государственных услуг

Платформа стратегических технологий для Европы (STEP), общеевропейский механизм, запущенный в 2024 году для поддержки технологических инициатив, призвана и дальше стимулировать инновации путем введения знака STEP — знака качества, который будет присуждаться перспективным проектам.

 

Законопроект о кибербезопасности и устойчивости будет применяться к тысяче британских компаний

Правительство Великобритании заявило, что значимый закон о кибербезопасности, который должен вступить в силу в конце этого года, потребует соблюдения новых критериев соответствия от 1000 британских организаций. Инициатива является ответом на NIS2 ЕС — новый законодательный акт, основанный на Европейской директиве NIS 2016 года.

Интерпретация этой директивы в Великобритании, известная как Положения NIS 2018 года, должна была быть обновлена в течение нескольких лет. Власти объявили, что если все его предложения будут приняты, то:

  • привлекут больше организаций и поставщиков, включая операторов центров обработки данных и поставщиков управляемых услуг, которые, как ожидается, улучшат оценку рисков, защиту данных и безопасность сетей;
  • предоставят регулирующим органам «больше инструментов», чтобы помочь им повысить стандарты безопасности;
  • потребуют более подробную отчетность об инцидентах, которая, по плану, будет включать нарушения, связанные с программами-вымогателями;
  • предоставят правительству больше полномочий для обновления нормативно-правовой базы по мере необходимости, чтобы сделать правила подходящими для целей по мере развития угроз и технологических сред, а также новых секторов, требующих регулирования.

Генеральный директор NCSC Ричард Хорн охарактеризовал законопроект как «знаменательный момент», который поможет повысить киберустойчивость бесчисленных критически важных секторов инфраструктуры, таких как водоснабжение, электроснабжение и здравоохранение.

Правительство заявило, что киберугрозы обходились экономике Великобритании почти в 22 млрд фунтов стерлингов в год в период с 2015 по 2019 год и что половина предприятий подверглась атакам за последний год. Это более семи миллионов инцидентов.

Отдельные эксперты рекомендуют властям не только укреплять меры безопасности, цепочки поставок, отчетность и регулирование, но также обратить внимание на уязвимости людей. По их мнению, обучение и просвещение персонала как первой линии обороны создадут важный барьер для сдерживания преступников, о чем не должны забывать ни правительство, ни бизнес.

 

Число серых ботов резко возросло из-за роста активности генеративного ИИ-скрейпера

Недавний всплеск активности генеративных ИИ-ботов-скрейперов оказал влияние на онлайн-ландшафт. Новые данные показывают, что эти «серые боты» все чаще нацеливаются на веб-приложения. В последнем отчете Barracuda «Тенденции активности генеративных ИИ-ботов» подчеркивается растущее присутствие ботов, управляемых ИИ, которые агрессивно собирают онлайн-данные.

В период с декабря 2024 года по февраль 2025-го веб-приложения получили миллионы запросов от генеративных ИИ-ботов, таких как ClaudeBot и Bytespider от TikTok. За 30-дневный период одно отслеживаемое приложение зарегистрировало 9,7 млн запросов ботов, в то время как другое столкнулось с более чем 500 тыс. запросов ботов всего за один день.

В отличие от традиционных ботов, которые работают всплесками, генеративные ИИ-скрейперы поддерживают постоянный уровень трафика. Эта неожиданная модель создает значительные проблемы для веб-приложений, затрудняя прогнозирование и смягчение их воздействия. Серые боты, хотя и не являются явно вредоносными, могут быть очень разрушительными. Они способны:

  • перегружать трафик веб-приложений, нарушая нормальную работу;
  • извлекать и использовать данные, защищенные авторским правом, без разрешения;
  • искажать аналитику веб-сайта, влияя на принятие бизнес-решений;
  • увеличивать расходы на облачный хостинг из-за более высокого использования ЦП и полосы пропускания;
  • повышать риски безопасности в отраслях, обрабатывающих конфиденциальные данные, таких как здравоохранение и финансы.

Два самых плодовитых генеративных ИИ-бота-скрейпера, обнаруженных в начале 2025 года, — это ClaudeBot и Bytespider. ClaudeBot, управляемый Anthropic, собирает данные для обучения своей генеративной модели ИИ Claude. Несмотря на агрессивный скрейпинг, Anthropic предоставляет информацию о том, как заблокировать его активность.

ИИ-бот Bytespider собирает данные для совершенствования своих алгоритмов рекомендаций и рекламных функций. Отчеты показывают, что Bytespider работает с низкой прозрачностью, что затрудняет управление его воздействием веб-приложениями. Другие известные обнаруженные боты — PerplexityBot и DeepSeekBot.

В связи с тем, что серые боты становятся постоянной частью онлайн-трафика, организациям необходимо предпринимать упреждающие шаги для управления их воздействием. Одним из распространенных подходов является развертывание robots.txt — инструмента, который сигнализирует скрейперам о необходимости избегать сбора данных сайта. Однако этот метод не имеет юридической силы, и многие боты его игнорируют.

Для более эффективной защиты компании обращаются к системам защиты от ботов на базе ИИ, которые используют машинное обучение для обнаружения и блокировки активности скрейперов в режиме реального времени.

Пока идут дебаты об этических, правовых и коммерческих последствиях скрейпинга на базе ИИ, организации должны уделять первостепенное внимание безопасности, чтобы защитить свои данные и операции.

 

Более половины атак на компании, занимающиеся электро- и водоснабжением, носят разрушительный характер

По данным Semperis, в прошлом году кибератакам подверглись более трех пятых компаний по водоснабжению и электроснабжению в США и Великобритании, и большинство из них серьезно пострадали. Поставщик услуг безопасности опросил специалистов по ИТ и безопасности на 350 водоочистных станциях и операторов электроснабжения в обеих странах. Результаты исследования вошли в отчет «Состояние устойчивости критической инфраструктуры».

Из тех 62%, которые подверглись кибератаке в прошлом году, 80% пострадали несколько раз. Хуже того, 59% сообщило, что атака нарушила нормальную работу, а 54% заявило, что их организации претерпели от постоянного повреждения/уничтожения данных или систем.

«Системы, которые снабжают наши электросети и обеспечивают подачу чистой питьевой воды, являются основой всего, что мы делаем, — сказал Крис Инглис, стратегический советник Semperis и бывший директор национальной кибербезопасности США. — И все же мы занимаемся своим делом, думая, что кто-то другой с угрозами справится. Кто-то другой с ними не справится. Нам нужно укрепить наши системы и обезвредить преступные элементы — сейчас».

Подавляющее большинство (82%) зафиксированных атак были нацелены на системы идентификации «Tier 0», такие как Active Directory, Entra ID и Okta, что означает, что взлом может привести к полному контролю над сетью.

Недавние инциденты подчеркивают проблему, с которой сталкиваются поставщики коммунальных услуг. В прошлом месяце выяснилось, что известная китайская APT-группа Volt Typhoon сумела сохранить доступ к сети OT департаментов электроснабжения и водоснабжения Литтлтона (LELWD) в Массачусетсе с февраля по ноябрь 2023 года. Эта же группа отличилась в прошлом году длительным проникновением в критически важные инфраструктурные сети США, целью которого может быть потенциальный запуск разрушительных атак в случае военного конфликта.

Также в прошлом году британская коммунальная компания Southern Water подверглась атаке группы вымогателей Black Basta. Хотя хозяйственная деятельность не была затронута, предположительно, группа украла персональные данные сотен тысяч сотрудников и клиентов, что стоило компании миллионов.

Для повышения киберустойчивости Semperis порекомендовала коммунальным компаниям среди прочего определить компоненты инфраструктуры уровня 0, которые могут помочь в восстановлении после атаки, установить приоритеты реагирования на инциденты, документировать все процессы и сосредоточить внимание на безопасном и быстром восстановлении, например, путем проверки резервных копий на наличие признаков компрометации.

 

Киберагентства предупреждают об угрозе Fast Flux, обходящей сетевую защиту

Американские и международные агентства по кибербезопасности предупредили компании, занятые в ИТ-сфере, о продолжающейся угрозе вредоносных действий с использованием технологии Fast Flux (быстрый поток). Согласно совместному руководству по кибербезопасности (joint cybersecurity advisory, CSA), выпущенному 3 апреля, во многих сетях есть пробел в защите с точки зрения обнаружения и блокировки методов Fast Flux, что представляет значительную угрозу национальной безопасности.

Fast Flux используется злоумышленниками для сокрытия местоположений вредоносных серверов путем быстрого изменения записей системы доменных имен (DNS), например IP-адресов. Кроме того, они могут создавать устойчивую, высокодоступную инфраструктуру управления и контроля (C2), скрывая свои последующие вредоносные операции. Эта изменчивая инфраструктура затрудняет отслеживание и блокирование вредоносных действий, использующих Fast Flux, говорится в руководстве.

Поставщиков услуг, особенно поставщиков защитных DNS (PDNS), призывают помочь смягчить эту угрозу, приняв упреждающие меры по разработке точной, надежной и своевременной аналитики быстрого обнаружения и блокировки для своих клиентов. Власти побуждают правительственные и критически важные инфраструктурные организации к тому, чтобы координировать действия со своими интернет-провайдерами, поставщиками услуг кибербезопасности и/или их службами защитных DNS для внедрения мер по смягчению.

Организации должны использовать службы кибербезопасности и PDNS, которые обнаруживают и блокируют быстрый поток. В рекомендациях отмечено, что некоторые поставщики PDNS могут не иметь возможности сделать это, и компании должны подтвердить покрытие этой угрозы у них.

Согласно заявлению CSA, внедряя надежные стратегии обнаружения и смягчения, организации могут значительно снизить риск компрометации угрозами, связанными с быстрым потоком. Все эти стратегии можно найти на страницах рекомендаций Агентства по кибербезопасности и безопасности инфраструктуры (CISA).

Fast Flux используется не только для поддержания связи C2, он также может играть значительную роль в фишинговых кампаниях, чтобы затруднить блокировку или удаление веб-сайтов социальной инженерии. Кроме того, поставщики услуг защищенного хостинга продвигают Fast Flux как отличительный признак услуг, который повышает эффективность вредоносных действий их клиентов.

 

Конфиденциальные данные были украдены в результате инцидента с программой-вымогателем в школах Highline

Базирующиеся в Вашингтоне государственные школы Highline предупредили, что в результате инцидента с программой-вымогателем в 2024 году были украдены конфиденциальные личные, финансовые и медицинские данные. Школьный округ K-12 в штате Вашингтон управляет 34 школами, в которых обучается около 17,5 тыс. учеников и работает 2000 сотрудников.

Недавно было завершено судебное расследование атаки с использованием программы-вымогателя в сентябре 2024 года. Оно показало, что неизвестный злоумышленник взломал определенные системы в образовательной сети и получил доступ к файлам, содержащим имена, адреса, даты рождения, номера социального страхования, водительских прав, паспортов, информацию о финансовых счетах, занятости, медицинском страховании, цифровые подписи и многое другое.

Узнав об этом инциденте, руководство округа приняло меры по защите своих систем и инициировало полное расследование. Highline призвал пострадавших лиц сохранять бдительность в отношении кражи личных данных, регулярно просматривая выписки по счетам и кредитные отчеты. Округ также предлагает бесплатные услуги по мониторингу кредитоспособности и защите личных данных в течение 12 месяцев для лиц в сообществе Highline.

Государственные школы сталкиваются с большими проблемами кибербезопасности, поскольку они поддерживают сложные технологические среды и управляют конфиденциальными данными сотен, а иногда и тысяч учащихся. Сложность защиты этой среды привела к тому, что государственные школы США стали в последние годы главной целью для атак с целью вымогательства.

7 апреля, 2025

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников
03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных