Мир за неделю: отчёты, атаки, расследования

ФБР опять взломали, ирландские компании скрывают кибератаки, исследователи безопасности обнаружили новый вредоносный тип бэкдора, Samsung защитит от атак с нулевым щелчком.

Новое вредоносное ПО может установить бэкдор, просто отправив HTTP-запрос

Вредоносное программное обеспечение, получившее название Frebniis, найдено исследователями Symantec Threat Hunter Team. Оно было использовано неизвестным злоумышленником против целей на Тайване.

Техника, используемая Frebniis, включает внедрение вредоносного кода в память DLL-файла (iisfreb.dll), связанного с функцией IIS, которая применяется для устранения неполадок и анализа неудачных запросов. Это позволяет вредоносной программе скрытно отслеживать все HTTP-запросы, распознавать HTTP-запросы, отправленные злоумышленником, и удаленно выполнять код.

Чтобы использовать метод, злоумышленнику необходимо получить доступ к системе Windows, на которой работает сервер IIS. Каким образом в рассматриваемом случае был взломан сервер IIS и получен доступ к системе, не уточняется.

Перехватывая и изменяя код веб-сервера IIS, Frebniis может перехватывать обычный поток обработки HTTP-запросов и искать специально отформатированные HTTP-запросы. Они позволяют скрытно выполнять удаленное выполнение кода и проксировать внутренние системы. Отследить работу вредоноса затруднительно, поскольку он не создает новых файлов, не запускает подозрительных процессов в системе, что делает Frebniis относительно уникальным и редким типом бэкдора HTTP.

ФБР США проводит расследование киберинцидента в своей сети

Как сообщает CNN со ссылкой осведомленные источники, подозрительная киберактивность в сети обнаружена в нью-йоркском офисе ФБР в системе, которая использовалась для расследования сексуальной эксплуатации детей.

Агентство изучает инцидент и оценивает все масштабы злонамеренной деятельности и ее возможные причины. Единичный инцидент удалось локализовать. Расследование продолжается, поэтому представители ФБР не дают комментариев.

В ноябре 2021 г. сообщалось о кибератаке на агентство, в результате которого киберпреступники использовали его почтовые серверы для распространения спама под видом предупреждений ФБР о цепных атаках злоумышленников.

Кибербезопасность: общественный долг или личное дело компании?

Комиссия по защите данных ЕС (DPC) подтвердила, что за последний год было совершено более 200 кибератак на ирландские компании, в ходе которых хакеры получили доступ к личным данным или украли их. Подробности инцидентов неизвестны. Заместитель комиссара по данным DPC Грэм Дойл сказал, что все случаи были отдельными нарушениями, о которых Комиссия была извещена в соответствии с законами об отчетности GDPR.

Эта информация появилась всего через неделю после того как стало известно об атаке на системы Мюнстерского технологического университета. В результате инцидента было похищено и зашифровано порядка 10 Гб информации, в т. ч. персональные данные. В настоящее время проводится не только устранение последствий атаки, но и изучение причин инцидента. Если будет установлено, что сети университета не были должным образом защищены, ему грозит штраф в размере до €1 млн и проведение обязательных мероприятий по обеспечению защиты данных.

Предполагается, что атака была осуществлена российской хакерской группой, известной как BlackCat. Хакеры могли проникнуть в системы университета через уязвимости программы для виртуальных рабочих столов ESXi VMware, которая дает возможность входа в систему через облако.

7 февраля Национальный центр кибербезопасности Ирландии выпустил глобальное предупреждение об уязвимостях ESXi VMware.

Генеральный директор компании BH Consulting, предоставляющей услуги в области ИБ, и бывший советник Европола по кибербезопасности Брайан Хонан отмечает, что каждый из 200 инцидентов требует расследования со стороны DPC. Однако происходит много нарушений, о которых даже не сообщается. Компании не понимают, что по закону обязаны сообщать о нарушениях в соответствии с GDPR, либо не считают нужным оповещать кого-то о взломе и решают проблемы сами, продолжая заниматься бизнесом. Важным фактором является финансирование ИБ, и компании часто выбирают наименее затратное решение. «Многим организациям необходимо подумать о своем общественном долге и вкладывать больше денег в надежную ИТ-инфраструктуру. Кибербезопасность должна быть частью этих инвестиций», — отмечает Хонан.

Он считает, что хотя киберпреступники стали более изощренными в своих методах, большинство инцидентов связаны с тем, что люди открывают зараженные вложения электронной почты или не обновляют ПО до последних версий.

Пользователь узнает об атаке первым

Компания Samsung объявила, что ее новая линейка смартфонов и Message Guard защитят пользователей от атак с нулевым щелчком.

Выпущенный вместе с новой линейкой смартфонов Galaxy S23, новый Message Guard от Samsung предоставляет пользователям защиту от атак с нулевым щелчком. Атаки с нулевым щелчком — это форма вредоносной атаки, часто встречающаяся в файлах изображений, которая использует существующие уязвимости в программном обеспечении и запускает вредоносное ПО без каких-либо действий пользователя. Поэтому даже самый опытный пользователь и его гаджет находятся в опасности.

Message Guard идентифицирует файл изображений, полученный пользователем, и изолирует его от остальной части устройства до тех пор, пока не проверит на безопасность в контролируемой среде. Программное обеспечение работает в фоновом режиме, его не нужно включать.

Message Guard основывается на платформе Knox Security и обеспечивает комплексную защиту на всех уровнях аппаратного и программного обеспечения, а также обнаружение угроз в реальном времени. ПО работает с файлами PNG, JPG, JPEG, GIF, ICO, WEBP, BMP и WBMP, первоначально было развернуто только для устройств Samsung Galaxy S23, вышедших на днях. В настоящее время он работает только в мессенджерах Samsung и Google Messages.

Samsung планирует сделать Message Guard доступным для устройств с версией One UI версии 5.1 или выше и обновит его для работы со сторонними приложениями для обмена сообщениями в будущем, пишет Cyber Security Connect.