cybersec news | ИБ и IT

Иранская хакерская группа UNC1860, предположительно связанная с Министерством разведки и безопасности Ирана, продолжает осуществлять кибератаки на государственные и телекоммуникационные сети в странах Ближнего Востока. По данным Mandiant, группировка использует специализированные инструменты и пассивные бэкдоры для получения и передачи другим хакерам длительного доступа к целевым системам, что делает UNC1860 одним из ключевых игроков в области первоначального проникновения в сети. UNC1860 способствовала обеспечению доступа для деструктивных атак на Израиль в октябре 2023 года с использованием вайпера BABYWIPER и на Албанию в 2022 году с применением программы ROADSWEEP. Хотя прямых доказательств участия UNC1860 в атаках пока нет, специалисты отмечают наличие инструментов TEMPLEPLAY и VIROGREEN, которые, вероятно, были предназначены для передачи управления при проведении операций. Основной арсенал UNC1860 включает в себя набор пассивных бэкдоров и утилит, позволяющих закрепиться в сети жертвы на длительный срок. Одним из таких примеров является драйвер ядра Windows, который был переработан из иранского антивирусного ПО, что свидетельствует о высокой квалификации группы в области реверс-инжиниринга компонентов Windows. Использование подобных инструментов позволяет группе эффективно уклоняться от обнаружения средствами безопасности. Кроме того, UNC1860 активно эксплуатирует уязвимости в интернет-серверах для установки веб-оболочек и дальнейших атак. Например, в 2020 году было зафиксировано использование инфраструктуры жертвы для сканирования IP-адресов в Саудовской Аравии с целью поиска уязвимостей. Хакеры также атаковали VPN-сервера и проверяли учётные данные, что демонстрирует стремление к долгосрочному контролю над системами. Помимо работы в качестве независимого киберпреступника, UNC1860 сотрудничает с другой иранской группой APT34, что подтверждает роль хакеров в предоставлении первоначального доступа к сетям для дальнейших атак. Характерной особенностью UNC1860 является использование нестандартных решений для кодирования данных и шифрования в целях обхода систем обнаружения угроз. Mandiant также отмечает, что UNC1860 обладает широкими возможностями для использования полученного доступа, включая управление заражёнными машинами через специализированные GUI-контроллеры. Такие инструменты предоставляют удалённым операторам возможность легко выполнять команды, загружать и скачивать файлы, а также устанавливать соединения для дальнейшего проникновения в сеть. Специалисты предупреждают, что UNC1860 остаётся одной из наиболее опасных киберугроз в регионе, продолжая развивать свои тактики и инструменты. Текущие напряжённости на Ближнем Востоке могут только способствовать дальнейшему усилению активности группы в области.

Представители Tor Project пытаются убедить пользователей в том, что одноимённая сеть всё ещё безопасна и не угрожает конфиденциальности. Эти заявления появились на фоне информации о совместной работе правоохранителей нескольких стран над деанонимизацией пользователей Tor. В частности, ранее утверждалось, что полиция Германии совместно с правоохранительными органами других стран пытаются задействовать так называемые атаки по таймингу, чтобы раскрыть личности ряда злоумышленников. Тем не менее разработчики Tor отметили грамотные защитные меры, реализованные в последних версиях сети. Атаки с использованием анализа времени — давно известная техника, от которой существуют эффективные меры защиты. Как отметил недавно немецкий ресурс Panorama, ознакомившийся с соответствующими судебными документами, правоохранительные органы задействуют атаки по таймингу с помощью большого числа узлов Tor, которые находятся под их контролем. Задача этой операции заключалась в пресечении деятельности Boystown, печально известной жестоким обращением с детьми, а также в поимке всех операторов этой платформы. В Tor Project выразили негодование по поводу того, что им не предоставили доступ к упомянутым документам.

📞 Доверенный старт: аппаратный модуль как гарантия безопасности Сегодня киберугрозы становятся все более изощренными, и вопросы безопасности информации выходят на первый план. Одним из ключевых элементов защиты от несанкционированного доступа и манипуляций является доверенная загрузка. ➡️ В новой статье на сайте рассказали, что такое аппаратный модуль доверенной загрузки, интегрированный в систему, и почему он становится надежным щитом, обеспечивая защиту на всех этапах работы устройства.

Специалисты компании «Доктор Веб» зафиксировали целенаправленную атаку на ее инфраструктуру. Вредоносные действия были оперативно пресечены, и защита сработала на должном уровне — пользователи антивирусных продуктов Dr.Web не пострадали. В соответствии с действующими протоколами безопасности, все ресурсы компании временно отключены от сети для проведения тщательной проверки. В связи с этим выпуск обновлений вирусных баз Dr.Web был приостановлен более чем на сутки. Компания заявила, что для диагностики и устранения возможных последствий атаки используется специализированный сервис Dr.Web FixIt!. В рамках ускорения проверки была задействована предрелизная версия утилиты для Linux, что значительно увеличило скорость анализа и восстановления систем. На данный момент выпуск вирусных баз полностью возобновлен, а для восстановления работы всех систем компания принимает оперативные меры. Заявление компании и сложившаяся ситуация вызвали вопросы среди специалистов по кибербезопасности, поскольку такая задержка может указывать на серьезность инцидента. Эксперты указывают на то, что на официальном сайте компании были опубликованы две новости, но в них отсутствует детализированное описание произошедшего. По словам отраслевых специалистов, Dr.Web заявила, что с самого начала держала ситуацию под контролем, но одновременно сообщила, что серверы компании были отключены для всесторонней диагностики только спустя 2 дня после атаки. Атака началась 14 сентября, но первые признаки внешнего вмешательства в инфраструктуру были обнаружены лишь 16 сентября, после чего и последовало отключение серверов. Dr.Web также заявила, что внимательно отслеживала угрозу, а затем успешно её локализовала. Однако, детали, касающиеся характера угрозы и возможных последствий, пока остаются нераскрытыми. Это порождает различные версии и домыслы, но официальных комментариев по этому поводу от компании не поступало. Сложившаяся ситуация вызывает вопросы о том, было ли произведено проникновение во внутренние системы компании и насколько серьёзным был инцидент. В то же время эксперты ждут более подробного отчета от Dr.Web о причинах и последствиях атаки, а также о результатах проведенного расследования.

После недавней кибератаки почти 30 000 сотрудников муниципальной службы Transport for London должны явиться на личную беседу, чтобы пройти проверку личности и сбросить свои пароли. Напомним, что атака на Transport for London произошла 1 сентября 2024 года. Тогда службе пришлось закрыть и ограничить доступ к различным ИТ-системам, чтобы сдержать распространение угрозы. Хотя атака не затронула непосредственно работу общественного транспорта Лондона, она повлияла на внутренние системы Transport for London, используемые персоналом, а также различные онлайн-сервисы для работы с клиентами. Кроме того, инцидент привел к перебоям в работе службы Dial-a-Ride, которая обеспечивает транспортировку людей с ограниченными возможностями. Хотя исходно сообщалось, что во время атаки не были похищены данные клиентов, позже представители Transport for London заявили, что утечка все же имела место. Украдены оказались имена, контактные данные, адреса электронной почты и домашние адреса клиентов. Также стало известно, что злоумышленники могли получить доступ к данным о возврате денег по картам Oyster и информации о банковских счетах примерно 5000 пользователей. Согласно сообщениями СМИ, в конце прошлой недели системы Transport for London все еще не были восстановлены до конца. Так, сотрудники по-прежнему сталкивались со сбоями, например не могли отвечать на запросы клиентов, поданные через онлайн-формы, осуществлять возврат средств за поездки, оплаченные бесконтактными методами, и так далее. Кроме того, на прошлой неделе британские правоохранители сообщали о задержании неназванного 17-летнего подростка, который якобы был связан со взломом TfL. Никаких подробностей об этом аресте пока нет. Как стало известно теперь, в ближайшее время всем сотрудникам Transport for London предписано явиться на личный прием для подтверждения своей личности и сброса паролей.

В Госдуму РФ внесен законопроект, предусматривающий уголовную ответственность за использование дипфейков в противоправных целях. Кабмин счел, что документ требует доработки: нормы для технологий подмены личности в законах пока не прописаны. Депутат и сенатор предложили ввести в ряд статей УК еще один квалифицирующий признак — злонамеренное использование изображения или голоса, в том числе сфальсифицированного или искусственно созданного, и/или биометрических данных граждан. Наказывать за подобные преступления, по мнению авторов проекта, следует штрафами и лишением свободы. Соответствующие поправки предлагается внести в статьи о клевете, краже, мошенничестве, вымогательстве, причинении ущерба через обман или злоупотребление доверием. Кабмин также отметил, что в пояснительной записке к проекту ФЗ не указаны данные, на основании которых можно было бы сделать вывод об общественной опасности инкриминируемых деяний.1

🔥 Канал для профессионалов в сфере информационной безопасности Security Vision – ваш надежный источник актуальных статей, бесплатных вебинаров, обзоров платформы и свежих новостей из мира ИБ. ➡️ Присоединяйтесь к @svplatform, чтобы всегда быть в курсе новейших событий в информационной безопасности.

В открытом доступе был обнаружен дамп базы данных, предположительно, содержащий данные клиентов страховой компании «Спасские ворота». Дамп, найденный на одном из теневых форумов, содержит: около 70 тыс. уникальных номеров телефонов, 100 тыс. уникальных адресов эл. почты, хешированные пароли, другую информацию, включая логи обращения к API на сервере spasskievorota(.)com.

В этом месяце Microsoft устранила в Windows уязвимость под идентификатором CVE-2024-43461. Теперь стало известно, что брешь используется в целевых атаках киберпреступной группировки Void Banshee. Исследователь из команды Trend Micro Zero Day Питер Гирнус, обнаруживший эту уязвимость, сообщил об её использовании для установки вредоносной программы, похищающей данные жертвы. Судя по всему, за этими атаками стоит группировка Void Banshee. В Trend Micro давно отслеживают деятельность этих злоумышленников, атакующих организации в Северной Америке, Европе и Юго-Восточной Азии. Void Banshee интересует исключительно финансовая сторона хакинга. Согласно отчёту Check Point, атакующие используют специально подготовленные файлы с расширением .url. Если получатель кликнет на таком файле, запустится Internet Explorer, после чего откроется вредоносный URL-адрес. Эти ссылки используются для загрузки HTA-файла, который получателя заставляют открыть. Именно так запускается скрипт, устанавливающий в систему инфостилер Atlantida. Интересно, что в зафиксированных атаках Void Banshee применялись файлы HTA, включавшие 26 закодированных пробела Брайля, чтобы скрыть само расширение — .hta.

Все руководители органов исполнительной власти города получили указание от Комитета по информатизации и связи правительства Санкт-Петербурга запретить использование зарубежных мессенджеров для передачи служебной информации. Соответствующее письмо датировано 4 сентября, однако до подведомственных учреждений оно начало доходить существенно позже. Запрет введен «в целях предотвращения фактов компрометации, уничтожения или модификации информации ограниченного доступа, а также недопущения предпосылок к таким фактам».