Спустя месяц после кибератаки на ГАС «Правосудие» и отключения сайтов всех судов на платформе sudrf.ru Судебный департамент при Верховном суде сообщил о возвращении доступа к сайтам судов.

«Ведомости» комментируют это так: «Ряд сайтов не заполнены некоторыми функциями и информацией – отсутствуют данные в разделах, нет информации о движении дел, контактов судов, банков решений». Действительно, как я уже писал про сайт Центрального районного суда Челябинска, на многих сайтах по-прежнему ничего не работает. Но некоторые уже вполне функциональны. Например, на сайте Вологодского районного суда всё ещё остаются пустыми некоторые разделы, но доступен раздел «Судебное делопроизводство», работает поиск по делам.

Вчера на SOC Forum прошла сессия на тему International Cybersecurity. Из неё можно узнать, как обстоят дела с ИБ в Таиланде, ОАЭ, Эфиопии, как ШОС борется с использованием ИКТ террористами, что нового происходит в российской кибердипломатии.

Но, пожалуй, самый любопытный момент был ближе к концу, когда во время обсуждения наступательной кибербезопасности гендиректор «Солара» Игорь Ляпунов рассказал, что международные делегации, посещающие компанию, часто интересуются опытом не только защиты от атак, но и их проведения (что незаконно). А затем добавил, что в России могла бы быть востребована практика hack back:

«Регулярно к нам приезжают делегации в центр мониторинга с вопросом: “Поделитесь опытом”. Мы начинаем рассказывать, как мы круто умеем защищаться. Они: “Не, парни, стойте, защищаться мы тоже умеем. Расскажите, как вы в другую сторону делаете? Что с Киевстаром? Что с одним, вторым, третьим...”. Нет, это незаконно, мы этого не делаем.

И запрос, когда мы встречаемся с международными делегациями, на вот эту обратную сторону, на offensive, на атаки, конечно же, большой. Потому что, действительно, в России хакерская школа очень неплоха. Мы действительно имеем хорошую фундаментальную подготовку, мы много проводим CTF’ов, мы много ребят готовим, это сильная сторона. Но понятно, что мы не можем это использовать как атакующий инструмент, потому что, ещё раз подчёркиваю, это незаконно.

Но хотя, конечно, запрос, большой. Когда идёт атака на наши большие инфраструкутуры российские, когда по нам постоянно стреляют, мы единственное что делаем — это закрываем голову руками. А вообще говоря, эти hack back’и, обратные взломы, конечно же, были бы востребованы. Но эту проблематику мы подсвечиваем и Совбезу, и нашим регуляторам, и ФСБ. Может быть, когда-нибудь что-то поменяется».

Первый комитет Генассамблеи без голосования (и без конкурирующих проектов) принял сингапурский проект резолюции по деятельности Рабочей группы открытого состава в сфере ИКТ и международной безопасности. О смысле инициативы Сингапура как председателя РГОС я подробнее писал пару недель назад.

Исследователи «Солара» выпустили отчёт про вредонос GoblinRAT, который использовался в особо скрытных атаках на 4 российские организации (органы власти и их IT-подрядчики). В одном случае злоумышленники сохраняли доступ к инфраструктуре жертвы в течение трёх лет, а историю развития вредоноса удалось проследить до 2020 года. GoblinRAT обладает рядом уникальных черт, и исследователи не смогли атрибутировать его известным группировкам.

«В абсолютном большинстве наших расследований мы имеем представление о том, с кем имеем дело. Характерные тактики, применение известных по другим атакам вредоносов и серверной инфраструктуры, специфический выбор цели и некоторые другие параметры позволяют предположить регион происхождения атакующих и их принадлежность к той или иной группировке или кластеру вредоносной активности.

Инциденты, в которых мы обнаружили GoblinRAT – иного толка. На сегодняшний день ни мы, ни коллеги по индустрии, с которыми мы поделились информацией об этом вредоносном ПО, не обнаружили каких-либо артефактов, указывающих на его происхождение.

По совокупности признаков можно сказать, что пока это самая сложная целевая атака из тех, что нам доводилось расследовать. Для ее реализации необходимы высокий уровень знаний устройства Linux-систем и сетевых коммуникаций, а кроме того, – большое количество времени для проведения самой атаки. Сам по себе GoblinRAT не является особенно сложным ВПО. В отличие от многих аналогов, он не приспособлен для автоматического закрепления и других действий по продвижению в атакованных инфраструктурах. Атаки, в которых был задействован GoblinRAT, велись вручную, а большая часть его функциональности направлена на то, чтобы помочь атакующим скрывать их присутствие в системах как можно дольше.

Основываясь на имеющихся данных, мы можем предположить, что операторов GoblinRAT интересует конфиденциальная информация, хранящаяся на серверах государственных органов и их подрядчиков (в том числе в сегментах сети с ограниченным доступом в Интернет).

GoblinRAT может быть либо операцией одной из известных прогосударственных группировок кардинально обновивших свои инструментарий и тактики, либо – свидетельством существования новой группировки (прогосударственной или профессиональных наемников), либо – делом рук мотивированного и крайне профессионального взломщика-одиночки.

Данные, которые добавили бы очков какой-либо из этих версий, нам еще предстоит обнаружить. В том числе эту цель мы преследуем, публикуя данный отчет: мы призывает ИБ-сообщество совместно разгадать происхождение и мотивы операторов GoblinRAT. Пока же, следуя нашей собственной системе таксономии, мы присвоили активности, связанной с GoblinRAT, наименование NGC2140».

Пророссийские хактивисты добрались до Южной Кореи

В четверг Офис национальной безопасности при президенте Республики Корея провёл экстренное заседание по вопросу реагирования на DDoS-атаки пророссийских группировок против корейских организаций. Во встрече приняли участие Национальная разведывательная служба, Министерство внутренних дел, Министерство науки и ИКТ, Минобороны, Комиссия по финансовым услугам.

В пресс-релизе отмечается, что правительство активно реагирует на DDoS-атаки, нацеленные на государственные и частные сайты. Доступ к некоторым сайтам был временно нарушен, но существенного ущерба не было.

Корейские чиновники связывают атаки с геополитической ситуацией: «Кибератаки пророссийских хактивистских групп на нашу страну периодически совершались и ранее, но они участились после того, как Северная Корея направила войска в Россию и приняла участие в войне на Украине». Исходя из этого в Офисе национальной безопасности считают, что атаки могут продолжаться в зависимости от развития конфликта.

Неделю назад предупреждение о возросшей угрозе DDoS-атак выпустил корейский CERT (KrCERT/CC).

О каких DDoS-атаках идёт речь? За последнюю неделю под удар попали сайты Минобороны, Министерства окружающей среды, Таможенной службы и других ведомств, партийных и региональных органов. Вчера из-за DDoS'а по всей стране были недоступны сайты судов. Атаки анонсировала у себя в телеграм-канале пророссийская группа NoName057(16).

Кроме этого, пророссийская группа Z-Pentest заявила о взломе SCADA-систем, управляющих объектами в Республике Корея. В канале группы были опубликованы три видео-ролика, демонстрирующие доступ атакующих к HMI-приложениям и манипуляцию их настройками. Судя по описаниям и самим видео, на первом показан взлом системы управления зернохранилищем, на втором — системы управления гидропонной фермой, на третьем — системы управления умным домом. Этими атаками заинтересовались южнокорейские СМИ, про взлом зернохранилища даже вышел телесюжет, но подтверждений инцидентов журналисты не привели. Канал Z-Pentest появился в конце сентября, группа заявляла о взломах SCADA-систем в разных странах, в том числе брала ответственность за инцидент на водоочистном объекте в Арканзас-Сити (правда, опубликовав в качестве подтверждения видео со взломом системы в другом штате и с более поздней датой).

Помимо заявлений о собственных атаках NoName057(16) и Z-Pentest делятся постами дружественной группы Alligator Black Hat, которая также сообщает об атаках на южнокорейские объекты и, как и Z-Pentest, в качестве подтверждения публикует срины и видео взломов HMI-приложений. Alligator Black Hat — проиндонезийская группа, проводившая атаки на Малайзию, Индию (хактивисктие конфликты с религиозным подтекстом в Южной и Юго-Восточной Азии заслуживают отдельного рассказа), а также на Израиль.

Совбез ООН обсудил угрозу ransomware для здравоохранения

В пятницу Совет безопасности ООН провёл заседание, посвящённое угрозе программ-шифровальщиков для организаций здравоохранения и киберугрозам в целом (видео). Его организовали Великобритания (председатель Совбеза в ноябре), Мальта, Словения, США, Южная Корея и Япония. Фактически мероприятие проведено для продвижения повестки возглавляемой американцами Counter Ransomware Initiative.

В начале с брифингами выступили гендиректор ВОЗ и президент Ascension, частной системы здравоохранения из США. Последний рассказал об инциденте в одном из госпиталей компании в мае. Как будет расшифровка заседания, я отдельно выложу это выступление, оно даёт представление о масштабе последствий кибератаки на больницу.

От США на заседании выступила Энн Нюбергер, заместитель советника по национальной безопасности по кибервопросам. Она отметила десятикратное увеличение суммарного размера выкупов по известным ransomware инцидентам между 2018 и 2023 — и стократное за десятилетие с 2014. Также она процитировала исследование, согласно которому в больницах — жертвах ransomware зафиксирован более высокий уровень смертности. Нюбергер презентовала Counter Ransomware Initiative, в которой участвует 68 стран (а в параллельной вселенной могла бы быть и Россия), и некоторые её достижение, например, совместное обязательство, распространяющееся на госорганы, не платить выкуп в случае атаки.

Она напомнила о саммите 2021 года, во время которого Джо Байден попросил Владимир Путина помочь остановить ransomware-атаки на американские организации. Именно после саммита активизировалось российско-американское сотрудничество по теме киберпреступности. Одним из его результатов стало дело REvil, четверым фигурантам которого вынесли приговоры в октябре.

Правда, американцы по-прежнему видят в России источник проблем. Нюбергер заявила, что Россия позволяет операторам программ-шифровальщиков действовать со своей территории и в качестве примера привела Дмитрия Хорошева, которого США обвинили в разработке и администрировании LockBit.

Помимо России обвинения звучали в адрес КНДР. Постпред Республики Корея Хван Джун Кук, ссылаясь на последний доклад экспертной группы по санкциям против КНДР, утверждал, что ракетная программа и создания оружия массового уничтожения Пхеньяна на 40% финансируются за счёт вредоносной кибердеятельности.

Василий Небензя отметил, что Россия регулярно сталкивается с кибератаками на систему здравоохранения: «С начала 2022 года неоднократно фиксировались инциденты различного характера и масштаба – от похищения персональных данных пациентов и выведения из строя томографа до взлома сайтов детских больниц. Во многих случаях ответственность за подобные нападения несут украинские группировки – в частности, курируемая НАТО "IT-армия Украины"».

Хотя российские представители сами стали гораздо чаще выдвигать обвинения, Россия по-прежнему критикует практику публичной атрибуции. По словам Василия Небензи, из-за анонимности информационного пространства достоверно установить источник кибератаки практически невозможно. «На этом фоне крайне неконструктивны и даже опасны любые попытки прибегать к так называемой "политической атрибуции", под которой, по сути, скрывается банальное стремление оставить за собой право выдвигать безосновательные и политизированные обвинения в адрес неугодных государств, – разумеется, не предъявляя при этом никаких доказательств». Заявления США о киберугрозах со стороны России он назвал безосновательными.

Главной идеей российского выступления было то, что Совбез ООН — неподходящая площадка для обсуждения проблем безопасности в сфере ИКТ, поскольку переговоры по этой теме уже идут в Рабочей группе открытого состава, а борьбе с киберпреступностью посвящён проект новой конвенции ООН.

Тем не менее США и их союзники наоборот стремятся перенести часть обсуждений в Совбез. Пятничное заседание стало уже третьим мероприятием по киберпроблематике в этом году. Делегации выдвигают разные идеи, например, Словения предлагает использовать против киберпреступников механизм санкций Совбеза.

Кстати, на том саммите в 2021 году российская сторона поднимала вопрос о некой кибератаке как раз на систему здравоохранения — в Воронежской области.

Сначала об этом сказал Владимир Путин на пресс-конференции сразу после саммита:

«Мы сталкиваемся с такими же угрозами [как США]. В частности, например, [атака] на систему здравоохранения одного из крупных регионов Российской Федерации. Мы, конечно же, видим, откуда происходят атаки, видим, что эта работа координируется из киберпространства США. Я не думаю, что Соединённые Штаты, официальные власти заинтересованы в манипуляциях подобного рода. Нужно просто отбросить всякие инсинуации, на экспертном уровне сесть и начать работать в интересах Соединённых Штатов и Российской Федерации. Мы в принципе об этом договорились, и Россия к этому готова».

Спустя пару недель замминистра Сергей Рябков уточнил, что речь шла про Воронежскую область.

«Москва направила США более 40 писем по поводу кибератак на госструктуры и системы России, рассказал РИА Новости замглавы МИД Сергей Рябков.

"Эпизодически, крайне редко (отвечают. — Прим. ред.), то есть, можно сказать, практически никогда американцы не отвечают на наши обращения", — добавил он.

Дипломат также отметил, что в числе прочего этот вопрос поднимался на саммите в Женеве. Речь шла о "конкретной кибератаке с использованием возможностей интернета на систему здравоохранения Воронежской области", но реакции нет».

Ещё через месяц посол России в США Анатолий Антонов уже ставил кибератаку в Воронежской области в один ряд со взломом Kaseya:

«Весьма примечательный момент: согласно выводам американских исследователей, Россия не относится к числу стран, с информпространства которых осуществляется наибольшее количество кибератак. Соединенные Штаты, в свою очередь, этот список возглавляют. Очевидно, что наши государства в равной степени сталкиваются с вызовами в цифровой среде. Случаи с недавними хакерскими нападениями на систему здравоохранения Воронежской области и американскую информкомпанию Kaseya подтверждают этот факт».

Увы, публичных сведений об этой атаке так и не появилось.

В США к 12,5 годам тюрьмы приговорён россиянин Роман Стерлингов за причастность к отмывании денег через миксер Bitcoin Fog с 2011 по 2021 год, когда он был арестован. Также суд назначил ему выплату компенсации в размере около 396 млн долларов (сумма транзакций, якобы прошедших через миксер), конфискацию изъятых средств (1,76 млн) и средств в кошельке Bitcoin Fog (1345 биткоинов).

Форум ООН по управлению интернетом (IGF) в 2025 году пройдёт в Норвегии. Ранее его планировалось провести в России: заявка была подана в 2020 году, и ещё этим летом вице-премьер Дмитрий Григоренко на встрече с делагацией Секретариата ООН подтверждал готовность организовать 20-й IGF в Санкт-Петербурге.

США решили поддержать Конвенцию ООН против киберпреступности

На этой неделе Третий комитет Генассамблеи ООН будет голосовать по резолюции о принятии Конвенции против киберпреступности. Её текст был утверждён ещё в августе спецкомитетом, в котором три года велись переговоры. Но впереди ещё много этапов. Теперь проект резолюции с этой конвенцией должен принять профильный комитет ГА, а затем проголосует сама Генассамблея. После чего документ будет открыт для подписания. Далее государства должны ратифицировать конвенцию на национальном уровне. Только после 40 ратификаций она вступит в силу.

В преддверии голосования есть несколько новостей. Во-первых, Politico сообщает, что после долгих раздумий администрация Байдена решила всё же проголосовать за принятие конвенции. США активно участвовали в переговорах и вместе со своими партнёрами значительно повлияли на то, каким получился текст — в частности, по своему охвату конвенция ООН практически совпадает с Будапештской конвенцией 2001 года, несмотря на то что Россия и другие страны хотели расширить число составов преступлений, включённых в документ. В августе США поддержали документ, но с тех пор внутри правительства продолжалась дискуссия о дальнейших шагах. Новую конвенцию активно критикуют многие американские общественные и деловые организации за недостаточное внимание к правозащитным вопросам — высокопоставленный чиновник заявил, что изучил сотни таких обращений. Тем не менее администрация Байдена решила не нарушать консенсуса, чтобы США в будущем имели больше возможностей влиять на то, как конвенция будет реализована. Впрочем, даже если конвенция будет принята, она может столкнуться со сложностями на этапе ратификации в США, поскольку сейчас с критикой в её адрес выступают и некоторые конгрессмены.

Во-вторых, хотя Россия (инициатор подготовки конвенции) и не вполне довольна результатом переговоров — один источник «Коммерсанта» сравнил конвенцию с чемоданом без ручки, — она по-прежнему выступает её главным поборником. В пятницу на заседании Совбеза ООН по угрозе ransomware постпред России Василий Небензя призвал страны «сосредоточиться на содействии скорейшему вступлению в силу этого важного прикладного международного договора». Более того, с российской точки зрения, уже сейчас стоит начать думать и над дополнительными протоколами к конвенции — вероятность такого развития событий мы с коллегой обсуждали год назад.

Наконец, внести свою лепту в содействие скорейшему вступлению в силу конвенции решил Вьетнам, предложив открыть её для подписания в 2025 году в Ханое, а уже затем в штаб-квартире ООН в Нью-Йорке. В плане содержания этого ничего не меняет, но даёт Вьетнаму возможность провести у себя церемонию и постараться собрать на неё побольше будущих участников конвенции.

Дополнение: Третий комитет принял резолюцию о Конвенции против киберпреступности вчера (11 ноября) консенсусом.

ИИ-компании на страже безопасности выборов в США

Ранее неоднократно писал (к примеру, тут и тут), что одним из двигателей регулирования ИИ в США были опасения, что технология будет использоваться в избирательной кампании.

Выборы прошли и вот первые результаты: согласно данным OpenAI, ChatGPT отклонил более 250 000 запросов на создание политических изображений в течение месяца, предшествовавшего Дню выборов. В целом, эксперты сходятся во мнении, что ни одного значимого случая политического использования генерированного контента во время выборов не было зафиксировано.

При этом еще в августе компания сообщала "о срыве операции Ирана по оказанию влияния на внутреннюю политику США". Как заявлялось, иранская сеть Storm-2035 использовала чат-бота компании для создания контента, в том числе «комментариев о кандидатах от обеих сторон на президентских выборах в США».

Заявлялось, что ChatGPT использовался для создания статей, которые публиковались на пяти сайтах, выдававших себя за прогрессивные или консервативные новостные издания, а также для написания коротких комментариев в социальных сетях на английском и испанском языках.

Тогда же компания заявила, что продолжит следить за ChatGPT, чтобы гарантировать точность и этичность ответов. Для этого периодически публикуются отчеты о том, как компания пресекает использование своих сервисов. К примеру, один из отчетов был посвящен теме использования её сервисов пятью прогосударственными хакерскими группировками (утверждается, что они были связаны с Китаем, КНДР, Ираном и Россией)

Дополнение к посту про Конвенцию против киберпреступности. Проглядел, что её ещё вчера приняли консенсусом в Третьем комитете. На очереди решение Генассамблеи.

Я писал, что третье видео Z-Pentest о взломе HMI-приложения в Республике Корея — это, вероятно, умный дом. Но был неправ, это была умная ферма по выращиванию огурцов. До фермы добралась команда канала KBS News и поговорила с местным управляющим. Он подтвердил, что хакеры взломали систему, которая управляет температурой в теплице и может открывать или закрывать окна (в частности, в приложении в качестве максимальной температуры было установлено 999 градусов). Однако добавил, что система работает в ручном, а не автоматическом режиме, поэтому ферме не был нанесён ущерб. Также, по его словам, когда систему для управления фермой устанавливали, никому не пришло в голову менять пароль по умолчанию (пароль состоял из одной цифры). Именно благодаря слабому паролю злоумышленники, очевидно, и смогли получить доступ к HMI-приложению. Поэтому канал приводит рекомендацию экспертов менять дефолтные пароли на таких системах. Такую же common sense рекомендацию весной давало CISA американским операторам OT-систем после атак пророссийских группировок.

Российская платформа по управлению рассылками — «Раппорто» — сообщила о хакерской атаке на свою IT-инфраструктуру. В компании уточнили, что вредоносная активность обнаружена и нейтрализована. Сейчас платформа работает в нормальном режиме, а сотрудники «Раппорто» связываются со всеми, чьи интересы атака могла затронуть. Кого могла затронуть атака и какой ущерб нанести, в компании не уточнили

В Беларуси заблокировали российский сервис — ЖЖ. Что дальше? Народ.ру? Кулички?

Индонезия входит в пятерку стран по числу утечек данных.

И эта же Индонезия занимает первое место в последнем издании Глобального индекса кибербезопасности от МСЭ.

В этом году в Индонезии было немало заметных событий в сфере кибербезопасности.

В середине июня в городе Сурабая прошли индонезийско-американские штабные киберучения, впервые посвящённые кибербезопасности порта.

Через неделю, 20 июня злоумышленники зашифровали национальный дата-центр, что привело к нарушению оказания ряда государственных услуг. После чего под общественным давлением из местного Минцифры уволился один из руководителей, ответственный за цифровую трансформацию правительства. А группа Brain Cipher, стоявшая за атакой, принесла индонезийцам извинения и поделилась с правительством ключом для расшифровки данных.

В сентябре президент Джоко Видодо поручил создать в вооружённых силах Индонезии кибервойска как отдельный, четвёртый вид войск.

А проиндонезийские хактивисты участвуют в самых разных конфликтах, в том числе атакуют Южную Корею вместе с пророссийскими группами.

Госкомпании в России продолжают приобретать продукцию Microsoft. В 2024 году госсектор закупил американского софта на 24,1 млн руб., узнал «Ъ». По сравнению с прошлым годом общее количество закупок операционных систем и офисных пакетов Microsoft сократилось на 55%.

Летом 2023 года в рамках ПМЭФ глава Минцифры Максут Шадаев заявил, что президент Владимир Путин поручил госкомпаниям с начала 2025 года перейти на российские операционные системы и офисные пакеты. «Ъ» направил запрос в Минцифры.

Участники рынка говорят, что из-за отсутствия совместимости необходимого ПО с отечественными операционными системами госкомпании приобретают старые версии ОС 2019 и 2021 годов. По мнению экспертов, на создание аналогов иностранного софта потребуется 14–15 лет, а также дополнительные инвестиции со стороны государства.

#Ъузнал