«Всё дело в деньгах!» Денег не хватает всем: и тем, кто взламывает, и тем, кто ловит…

BIS Journal №3(50)2023

25 августа, 2023

«Всё дело в деньгах!» Денег не хватает всем: и тем, кто взламывает, и тем, кто ловит…

ЕС. БУХАРЕСТ

Штаб-квартира Европейского центра компетенции в области кибербезопасности (ECCC) открыта в Бухаресте (Румыния) 9 мая. Работа ECCC направлена на повышение кибербезопасности, инноваций и конкурентоспособности Евросоюза, он будет поддерживать разработки и инновации в области ИБ, а также координировать проекты ЕС в области кибербезопасности. Центр будет работать с сетью национальных координационных центров (NCC) и сообществом кибербезопасности по всей территории ЕС. ECCC финансируется ЕС, государствами — членами Евросоюза и другими участниками, которые заинтересованы в поддержке европейских разработок, внедрении и инновациях.

В церемонии открытия приняли участие премьер-министр Румынии Николае Чукэ, генеральный директор Департамента коммуникационных сетей, контента и технологий Европейской комиссии (DG CNECT) Роберто Виола и исполняющий обязанности исполнительного директора ECCC Мигель Гонсалес-Санчо.

Выступившие на торжественном открытии Центра чиновники отметили необходимость координации усилий стран Евросоюза в противостоянии киберугрозам. «Кибербезопасность является критическим приоритетом, и защита нашего цифрового суверенитета требует совместных усилий. Европейский центр компетенции в области кибербезопасности объединяет ведущих экспертов и ресурсы ЕС для разработки инновационных решений киберзащиты и повышения устойчивости к атакам. Работая вместе, мы сможем построить более безопасный и защищённый цифровой мир для всех европейцев», — заявил Тьерри Бретон, еврокомиссар по внутреннему рынку.

Мигель Гонсалес-Санчо, исполняющий обязанности исполнительного директора ECCC, отметил важность повышения киберпотенциала и устойчивости в ЕС. Он надеется, что в создании безопасной цифровой среды в Европе примут участие многие киберактивисты.

Новый офис ECCC расположен в здании кампуса Политехнического университета Бухареста. Кампус известен офисами высокотехнологичных ИТ-компаний, таких как Microsoft Romania, Thales Romania и Bit Defender.

 

ФБР ПРОСИТ ДЕНЕГ

«Современные киберугрозы более распространены, поражают широкий круг жертв и несут бОльший потенциальный ущерб, чем когда-либо прежде, — заявил директор ФБР Кристофер Рэй, выступая перед Комитетом по ассигнованиям Сената США. — Наши противники в этом пространстве безжалостны».

Поэтому глава ФБР запросил дополнительные $163 млн, которые будут потрачены на привлечение 192 сотрудников, занимающихся кибербезопасностью, а также на усиление собственной киберзащиты.

Рассказывая о характере и масштабах угроз кибербезопасности для инфраструктуры и предприятий США, Кристофер Рэй охарактеризовал их как двойственные: есть действия отдельных хакеров, а есть целевые атаки, осуществляемые группировками, спонсируемыми государством. Глава ФБР сосредоточился на угрозе, которую представляет Китай. По его данным, число хакеров, нанятых правительством КНР, соотносится с числом персонала ФБР, занимающегося ИБ, как 50 к 1.

Директор ФБР подчеркнул, что киберпреступники не различают типы учреждений. Они создают реальные угрозы для школ, больниц и критически важной инфраструктуры. ФБР расследует такие кибератаки по всей стране.

Отдельный вопрос — юридический сектор и его хранилища конфиденциальных данных, который особенно уязвим для киберугроз. Юридические фирмы всё чаще становятся объектами атак. Утечки данных юрфирм иллюстрируют ценность, которую хакеры придают таким компаниям. Именно поэтому разработчики юридической платформы Calloquy использовали строгий подход при разработке мер безопасности для удалённой работы судей и служб судебной отчётности.

 

АВСТРАЛИЯ

В рамках федерального бюджета на 2023–2024 финансовый год правительство Австралии заложило средства на борьбу с мошенничеством и утечками данных, усиление кибербезопасности и развитие цифровой экономики.

На создание Национального центра по борьбе с мошенничеством, который поможет Комиссии по ценным бумагам и инвестициям (ASIC) бороться с мошенническими сайтами, выделено $86,5 млн. Эти средства также предназначены Управлению по коммуникациям и СМИ (ACMA) и Департаменту инфраструктуры, транспорта, регионального развития, коммуникаций и искусств для создания первого в Австралии реестра идентификаторов отправителей SMS-сообщений. Так правительство пытается помешать мошенникам выдавать себя за госструктуры или известные бренды в заголовках сообщений. ACMA также активно борется с мошенничеством при замене SIM-карт, вводя строгую проверку личности.

$44,3 млн получит Управление комиссара по информации Австралии (OAIC) для организации помощи в обеспечении соблюдения правил конфиденциальности и расширения возможности анализа данных.

На расширение программы обучения и аттестации «Киберстраж», проводимой Советом организаций малого бизнеса Австралии, пойдут $23,4 млн. Эта программа помогает малому бизнесу повысить киберустойчивость и смягчить ущерб от инцидентов.

$26,9 млн потратят на расширение программы цифровых удостоверений личности, повышение их эффективности и защиты, а также сокращение масштабов мошенничества, связанного с их использованием.

На двухлетнюю программу защиты данных о потребителях в банковском секторе, энергетике и секторе небанковского кредитования выделено $88,8 млн.

$101,2 млн уйдут на пятилетнюю поддержку разработки и внедрения технологий, которые расширяют возможности местных отраслей промышленности: от квантовой физики до искусственного интеллекта.

Недавно назначенный Координатор по кибербезопасности Австралии поможет в вопросах ИБ, чтобы коллективные усилия Содружества по кибербезопасности были скоординированными, своевременными и эффективными.

 

АТАКА НА СПУТНИКИ. ПЯТЬ ВЫВОДОВ

Кибератака на спутники KA-SAT компании Viasat 24 февраля 2022 г. стала одной из крупнейших в истории, формально приписываемой национальному государству, пишет InfoSecurity Magazine. Почти 20 государств, в числе которых страны ЕС и разведывательного альянса «Пяти глаз», обвинили Россию в причастности к кибератаке.

Этот киберинцидент, получивший название AcidRain, подробно обсуждался на третьем мероприятии CYSAT, посвящённом кибербезопасности в космической отрасли, которое прошло в Париже. Кибератака не оказала значительного влияния на системы, поскольку шла на резервные спутники Viasat. Однако из этой истории нужно извлечь уроки, отметили участники конференции.

1. AcidRain использовал известную уязвимость в VPN Fortinet. Атака происходила в три этапа: сначала злоумышленники провели DDoS-атаку против интернет-модемов. Это позволило хакерам через уязвимость войти в наземную спутниковую сеть KA-SAT Viasat, которой управляет дочерняя компания Eutelsat Skylogic. Получив доступ к системе управления, они развернули вредоносное ПО Wiper, чтобы уничтожить жёсткие диски модемов и отключить их от сети KA-SAT.

Уязвимость — протокол TR-069 для удалённого управления и настройки телекоммуникационных терминалов, подключённых к интернету, — была обнаружена в 2019 г. в VPN-терминалах Fortinet и неоднократно использовалась злоумышленниками. Эксперты также нашли много общего между непрекращающимися кибератаками на терминалы SpaceX Starlink и атакой на Viasat.

2. Обмен информацией после инцидента — ключевой фактор. Спустя год информации о нападении мало, отмечает научный сотрудник Европейского института космической политики (ESPI) Клеманс Пуарье, специалист, работающий на стыке вопросов космоса и кибербезопасности. Есть только заявление от Viasat, но нет информации от Eutelsat или Skylogic. Это ограничивает возможности технической криминалистики и препятствует эффективному реагированию на кибератаки в будущем.

3. Риск кибербезопасности в космическом секторе признан в Европе. Атака на спутники Viasat помогла политикам осознать, что коммерческие спутниковые телекоммуникационные системы — лёгкая мишень для злоумышленников. Клеманс Пуарье отметила, что незначительные улучшения начались ещё в 2021 г., когда ЕС внёс изменения в директивы о сетевых и информационных системах (NIS2) в части кибербезопасности космической отрасли. Они были приняты в ноябре 2022 г. Космос считается критически важной инфраструктурой, что позволит регулирующим органам обязать космический сектор внедрять дополнительные меры кибербезопасности. Однако подобные изменения необходимо внести во все национальные космические законы.

В 2024 г. Комиссия ЕС и Агентство космической программы ЕС (EUSPA) планируют запустить Центр обмена и анализа информации (ISAC), ориентированный на космос, который поможет частным космическим компаниям сотрудничать в области ИБ.

Будущая многоорбитальная группировка спутниковая группировка ЕС IRIS2 разрабатывалась с учётом кибербезопасности.

4. Необходимо разделение военной и гражданской инфраструктуры. Помимо улучшения состояния кибербезопасности всей космической отрасли, государства должны разделять военную и гражданскую инфраструктуры, заявила Пуарье. Около 80% спутников, используемых военными, принадлежат коммерческим компаниям, которые не всегда заботятся о кибербезопасности.

5. Создание независимой спутниковой телекоммуникационной индустрии — новый приоритет для Европы. Пример спутниковой системы SpaceX Starlink показал важность получения доступа к различным службам (как больницы или пожарные команды) в экстренной ситуации.

 

НАШЛИ НАЦИОНАЛЬНУЮ СТРАТЕГИЮ СЕВЕРНОЙ КОРЕИ  

Согласно исследованию, проведённому британским поставщиком блокчейн-анализа Elliptic по заказу японской деловой газеты Nikkei, в период с 2017 по 2022 гг. хакеры КНДР украли у мировых компаний в общей сложности $2,3 млрд в криптовалюте. Потери Японии составили $721 млн в криптовалюте, или 30% от общего объёма потерь по всему миру. Азиатские страны составляют три из четырёх основных целей корейских хакеров, говорится в исследовании. Эксперты учитывали как хакерские атаки, так и атаки программ-вымогателей. Они назвали кибератаки «национальной стратегией» Северной Кореи.

«По данным Японской организации внешней торговли, украденный из Японии $721 млн в 8,8 раза превышает стоимость экспорта Северной Кореи в 2021 г.», — говорится в отчете. Следом идут Вьетнам ($540 млн потерь), США ($497 млн) и Гонконг, убытки которого составили $281 млн в криптовалюте.

Причиной таких потерь Elliptic называет слабую киберзищиту японских и вьетнамских криптовалютных рынков, которая и становится причиной нападения хакеров. В период с 2018 по 2021 г. по крайней мере три японские криптобиржи были взломаны.

Северокорейская группировка Lazarus стояла за некоторыми из крупнейших ограблений, такими как взломы блокчейн-мостов Ronin и Harmony. Северокорейцы также подозреваются в краже невзаимозаменяемых токенов и отмывании украденных средств через децентрализованные финансовые службы и криптомиксеры.

Отчёт Elliptic появился после того, как министры финансов «Большой семёрки» и управляющие центральными банками заявили, что поддерживают меры по противодействию растущим угрозам, в том числе кражам криптоактивов, исходящим от незаконной деятельности государственных хакеров.

По данным Национального управления разведки США, за счёт кибератак на банки и криптовалютные компании Северная Корея получает до половины средств на ракетную программу. По словам Энн Нойбергер, заместителя директора Управления, за последние годы хакеры из КНДР похитили миллиарды долларов, это ключевой источник дохода режима Ким Чен Ына и его военных программ.

 

ГИДРА ОПЯТЬ ОТРАСТИЛА ГОЛОВУ

Несмотря на массовые задержания участников, хакерская площадка в даркнете Genesis Market продолжает работу.

В начале апреля 2023 г. правоохранительные органы заявили, что закрыли торговую площадку в ходе международной операции Cookie Monster. В ней приняли участие правоохранительные органы из 17 разных стран, включая Национальное агентство по борьбе с преступностью Великобритании (NCA), ФБР США и Национальную полицию Нидерландов. По всему миру было проведено около 120 арестов, 208 обысков имущества и 100 профилактических мероприятий. Великобритания произвела 24 ареста, в том числе два человека были задержаны по подозрению в нарушении Закона о неправомерном использовании компьютеров и мошенничестве.

На момент предполагаемой ликвидации торговая площадка Genesis Market выставила на продажу около 80 млн наборов учётных данных и «цифровых отпечатков пальцев» (IP-адресов и данных cookie-файлов для просмотра). На сайте было обнаружено 1,5 млн ботов и около 2 млн идентификаторов. Также на площадке был рынок хакерских услуг.

Однако после двухнедельного простоя площадка вновь заработала, что обнаружила компания по кибербезопасности Netacea, которая отслеживает рынок даркнета. По мнению исследователей, правоохранители захватили домены чистой сети Genesis Market, но корни работы площадки — администраторы, домен даркнета и инфраструктура вредоносных программ — уцелели.

Администраторы маркетплейса опубликовали объявление, что выпустили новую версию специализированного браузера для взлома, возобновили сбор данных со взломанных устройств и добавили на рынок более двух тысяч новых устройств-жертв.

Эксперты компании по кибербезопасности Trellix, которые работали с правоохранительными органами и помогли полиции обезвредить некоторые хакерские инструменты, полагают, что руководители веб-сайта всё ещё находятся на свободе.

Представители ФБР заявили, что продолжают работу по привлечению пользователей сервисов, подобных Genesis Marketplace, к суду. Британское NCA настаивает, что операция нанесла огромный удар по киберпреступности, объём украденных данных и число пользователей площадки значительно сократились.

Полиция и эксперты сходятся во мнении, что большое число арестов пользователей не только снизит видимость торговой площадки за счёт её удаления из основного интернета, но и окажет сдерживающее воздействие на хакеров, рассматривающих возможность использования сайта. Однако пока неясно, кому из арестованных грозит судебное преследование. В Великобритании только одному из тридцати арестованных по этому делу были предъявлены обвинения.

По данным экспертов, блокировка ресурсов в даркнете затруднена, поскольку местоположение серверов неизвестно или они находятся в юрисдикциях, которые не отвечают на запросы западных правоохранительных органов. В частности, Департамент финансов США, который ввёл санкции против Genesis Market, предполагает, что сайтом управляют из России, поскольку ресурс предлагает переводы на русский и английский языки.

Ранее правоохранители добились полной ликвидации сайтов даркнета о наркотиках Monopoly и Hydra. При этом русскоязычный сайт Hydra, вопреки предположениям, базировался в Германии, что позволило правоохранительным органам ФРГ закрыть его.

 

ОБМАНУЛИ, ПОДМЕНИЛИ, ОБОКРАЛИ…

Полицейское управление города Блумфилд (Австралия) расследует сообщение о краже 204 024 австралийских долларов в биткоинах у жителя городка. По данным полиции, личный мобильный телефон жертвы был взломан путём подмены SIM-карты.

Подмена SIM-карты, также известная как захват SIM-карты, происходит, когда хакер получает контроль над чьим-то номером мобильного телефона, а затем обманом заставляет оператора сотовой связи передать этот номер на мобильное устройство, контролируемое хакером. После чего хакер получает доступ к онлайн-аккаунтам, привязанным к номеру мобильного телефона жертвы.

Пострадавший сообщил полиции, что крупная сумма биткоинов была снята с его счёта в Coinbase.

 

НИЧЕГО СВЯТОГО

В конце апреля епархия Лас-Вегаса заявила, что подверглась кибератаке, которая повлияла на работу ИТ-систем в марте.

Инцидент был обнаружен 12 марта. Как только епархия заметила проблему, были уведомлены правоохранительные органы, к расследованию инцидента привлечены эксперты по кибербезопасности, говорится в заявлении. Расследование показало, что неизвестные могли похитить конфиденциальную информацию волонтёров, прихожан, спонсоров и других заинтересованных сторон. Пока неизвестно о каких-либо случаях мошенничества или использовании личных данных, которые «утекли» в результате этого инцидента. Однако епархия на всякий случай известила потенциальных пострадавших, говорится в пресс-релизе, и предлагает им связаться с кол-центром при возникновении вопросов или проблем.

Епархия также пересмотрела и усовершенствовала свои политики безопасности и процедуры защиты данных, чтобы снизить вероятность подобного события в будущем.

 

Подготовила Марина Бродская

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.07.2024
Банки, МФО, инвесткомпании и брокеры просят защитить их от «ковровых» атак
22.07.2024
На Трампа покушался «андроид». ФБР заглянуло внутрь смартфона стрелка
22.07.2024
Банкирам запретят плодить потенциальных малолетних дроппов
22.07.2024
Структура LockBit начала сыпаться?
22.07.2024
Операторы вредоносов используют хаос, возникший после глобального сбоя
22.07.2024
Хинштейн: Нужно, чтобы правила игры были для всех одинаковыми
19.07.2024
Глобальный сбой загнал компьютеры на Windows в «вечную» перезагрузку
19.07.2024
CrowdStrike: Это не инцидент безопасности или кибератака
19.07.2024
«Верификация и идентификация абонентов — главная задача»
19.07.2024
«Т-Банк» приглашает сыграть в азартные игры с опасными людьми

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных