alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Пока весь мир думает, что самая страшная киберугроза - это китайцы 👲 и они всех атакуют и воруют промышленные секреты (наряду с русскими, иранцами и северокорейцами), мало кто задается вопросом, а кто-то атакует саму Поднебесную? Оказывается, да! 🐉

Это индусы 🇮🇳 В частности APT-группировка Bitter (атрибутирована американской Forcepoint), она же Manlinghua (атрибутирована китайской Qihoo 360), которая много лет пытается атаковать военный, государственный и ядерный сектор Китая 🇨🇳. Помимо нее, на Китай нацелены индийские Patchwork, SideWinder, Donot и другие. И именно из Индии идет наибольший поток атак 🪬

У Manlinghua основных первичных векторов атаки два - целевой фишинг и взлом через скомпрометированные легитимные сайты. Помимо Китая (например, известен кейс с отправкой фейковых писем от посольство Кыргызстана 🇰🇬 в ядерные сектор Поднебесной) она нацелена на Пакистан 🇵🇰, Бангладеш 🇧🇩 (известен кейс с отправкой фейковых предложений покупки антидроновых систем в ВВС этой страны) и Монголию 🇲🇳 Причины же такого интереса Индии к Китаю можно подсмотреть в одной из моих предыдущих заметок.

Вообще, если выйти за рамки своего кокона и перестать смотреть на США, то открывается огромный дивный мир ИБ, в котором американцев нет. И России пока нет. Но там такая движуха, что прям интересно-интересно...

Читать полностью…

Пост Лукацкого

В Казахстане 🇰🇿 с 1-го июля 2024-го года вступают в силу обновленные правила по защите персональных данных, среди которых есть и требование по уведомлению 📞 уполномоченного органа об инцидентах с персональными данными. Причем, в отличие от России 🇷🇺, где сообщать надо только об "утечках" ПДн, в Казахстане это надо делать для более широкого набора нарушений с ПДн: 😕
1️⃣ незаконное распространение, изменение или уничтожение ПДн
2️⃣ несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых ПДн
3️⃣ несанкционированный доступ к ПДн.

А я напомню, что для того, чтобы реализовать уведомление в течение 24 часов, необходимо выстроить полноценную систему мониторинга и реагирования 👨‍💻 на инциденты ИБ, а также провести инвентаризацию мест обработки 🤌 ПДн и т.п. Проект непростой и до 1-го июля реализовать его будет непросто. Поэтому я бы рекомендовал посмотреть вебинар по этой теме, который я проводил осенью 2022-го года, и рабочую тетрадь, которая посвящена этой теме. Они могут быть интересны и коллегам из Казахстана.

Читать полностью…

Пост Лукацкого

Аааа, агонь получился 🔥 Люблю вот такие съемки закулисья, когда ты еще не в роли, не паришься о том, что можно говорить, а что нельзя, не выстраивашь струящуюся 🎶 звонкую речь, а можешь быть самим собой 😎 А потом оказывается, что в этот момент тебя снимала камера и потом из этого всего сделали прекрасную нарезку 🎆

ЗЫ. Полная версия будет выложена на AntiMalwarerus?si=JjQyTGZMOBDJ_dmX">Youtube-канале AM Live, в ближайшее воскресенье, 10 марта, в 18.00 по московскому времени 👀

Читать полностью…

Пост Лукацкого

Шифровальщик на Apple Vision Pro 🤿? А почему бы и нет. А если скрестить идею с нейрочипами 🧠 от Илона Маска, то будущее предстает в совсем иных красках 🎨

Одно дело, когда у вас вымогатели требуют деньги за разблокирование «умного» пояса целомудрия 😎 И совсем другое, когда деньги просят за возврат доступа к мозгу 🏌️ …если он, конечно, нужен (и мозг, и доступ к нему)! Интересно, без чего сложнее жить - без 🥶 или без 💄?..

Читать полностью…

Пост Лукацкого

Более систематизированная, чем в прошлый раз, картинка распорядка дня CISO. Из нее может сложиться впечатление, что CISO - это техническая работа по борьбе с хакерами и ничего более. Но это не так… 😎

Будь я директором по ИБ, я бы в начале рабочего дня задавался вопросом: «Какую пользу я могу нанести сегодня?». А в конце рабочего дня, согласно заветам психологов и коучей всех мастей, я бы себя спрашивал: «Какого результата я достиг сегодня?» 😦

Читать полностью…

Пост Лукацкого

Интересный пост от группировки MOGILEVICH, которая внезапно ворвалась на "Олимп" вымогателей и стала сообщать о взломе то одной крупной компании, то другой 🔈 А тут они разоблачили сами себя, заявив, что это все были фейки, а сами они обычные мошенники 😡 При этом жертвы повелись на громкие заявления и даже стали выплачивать выкупы; кстати, не такие уж и большие. Интересный поворот. Вот и верь мошенникам после этого 😂

Читать полностью…

Пост Лукацкого

Обновил презентацию по персональному кибербезу - сменил шаблон, добавил новых тем и свежих примеров, сделал более практичными советы. Уже записал все в студии; осталось только смонтировать. Потом выложим на наш обучающий портал в открытый доступ, бесплатно для всех желающих.

Если прошлый курс был введением для тех, кто хочет просто разобраться, что такое кибербез, то этот для тех, кто хочет сам стать более защищенным. Следите за анонсами у меня и в канале 🟥

Читать полностью…

Пост Лукацкого

Пресс-служба Минобороны Германии защитила файл с заявлением министра паролем "1234"

МО ФРГ опубликовала для журналистов ссылку на облачную платформу, где размещена аудиозапись с выступлением министра обороны Бориса Писториуса по ситуации с прослушкой германских офицеров. Издание Bild нашло неловким, что файл был защищен совсем несложным паролем "1234", при этом пароль был указан в самой публикации.

Как отмечает Bild, "еще неделю назад это показалось бы шуткой", однако после скандала с утечкой разговора офицеров Бундесвера "это выглядит крайне неловко". Давайте "qwerty1234", это надежнее

✏️ Подписаться на @truekpru

Читать полностью…

Пост Лукацкого

Неважно, какой у вас бюджет, защищаетесь вы сами или отдаете на аутсорс, на отечественных у вас решениях защита или импортных, коммерческие у вас средства ИБ или open source. В конечном итоге важно только одно, защищены вы или нет⁉️ А подтвердить это можно только во время реального инцидента ИБ или во время пентеста/верификации/bug bounty ng. Никакие сертификаты и аттестаты не заменят реальной проверки защищенности организации!

Читать полностью…

Пост Лукацкого

Эх, прав был министр иностранных дел Лавров. Похоже секретная запись у немцев утекла потому, что кто-то левый подключился к конференции Webex и никто этого не заметил 🤦‍♂️ И это несмотря на то, что у Webex - это одна из самых очевидных фишек безопасности помимо остальных.

Я когда предполагал свои варианты, даже не думал, что в немецком МинОбороны все настолько плохо с ИБ 🤠 Хотя, вспоминая Пелевинское "миром управляет не тайная ложа, а явная лажа", надо действительно было начинать с самого простого варианта - человеческой глупости.

ЗЫ. Спасибо подписчику, что подкинул этот образчик немецкой, нет, не педантичности, а раздолбайства

Читать полностью…

Пост Лукацкого

Завершим геополитический день еще одной аналитикой. Recorded Future в своем очередном отчете анализирует последние действия России 🇷🇺 и пытается спрогнозировать, как "усталость от войны" на Западе поможет России выиграть специальную военную операцию 🔫

Если коротко, то западный мир уже устал от происходящего и хотел бы сбросить эту проблему со своих плеч, которая уже достаточно дорого обходится всем недружественным России странам и с экономической, и с политической точки зрения 🏋️‍♂️. А тут еще выборы в США 🇺🇸 и Евросоюзе 🇪🇺, Олимпийские игры ⛹️‍♂️, продолжение конфликта на Ближнем Востоке, потенциальные конфликты у Китая 🇨🇳 и куча чего еще (Recorded Future уже писала об этом). Всем точно будет не до России. Наверное...

Читать полностью…

Пост Лукацкого

Французы проанализировали смену тактики проекта DDoSia, курируемого группировкой NoName057(16). Меня там зацепила атрибуция уровня "бог". В инструкции для проведении атак говорится, что при проведении DDoS с территории России 🇷🇺 VPN включать не требуется, так как:

маловероятно, что будут какие-либо проблемы с законом


На этом основании ИБшники из Sekoia делают вывод, что NoName057(16) тесно связана с государством 🏛, несмотря на отсутствие каких-либо доказательств:

suggests a possible collaboration between the NoName057(16) group and the Russian state. This inference is drawn despite the absence of any publicly claimed connection and the lack of official attribution at present


С такой логикой они далеко уйдут. Если использовать ее против самой Sekoia, то получается, что когда они проводят свое расследование на территории другого государства, нарушая действующее законодательство об ОРМ 👮🏻‍♀️, и при этом не используют VPN, то они связаны с Макроном 🇫🇷 и его правительством? Ну в почему бы и нет?..

На самом деле проблем с законом не будет по совсем другой причине. DDoS-атаки квалифицируются у нас по 272-273 статьям УК РФ (КИИ-то тут нет), которые относятся к материальным, то есть требуют наличия ущерба 💰 А доказать его непросто и без заявления в полицию никто не будет даже заморачиваться расследованием. А кто будет писать заявление? Компании и госорганы из недружественных государств? 😂

ЗЫ. Мда... С такой атрибуцией мы далеко уйдем. Когда геополитика столь прочно вошла в ИБ, то разгребать последствия придется долго.

Читать полностью…

Пост Лукацкого

Ну и чтоб далеко не уходить от темы с госами, их защищенностью, утечкой информации и т.п. Офис генерального инспектора министерства природных ресурсов США 🇺🇸 решил проверить защищенность облачных сервисов своего ведомства (вообще эти офисы являются надзорными органами, которые предотвращают широкий спектр незаконных или неэффективных операций), а конкретнее - средств борьбы с утечками информации 🔍

Для проверки OIG использовал онлайн-инструмент Mockaroo, который позволяет создавать фейковые 👎 персданные, похожие на настоящие. Затем аудиторы создали виртуалку в облачной среде, имитирующую рабочее место хакера, который хочет украсть конфиденциальную данные 🔓 Для этого имитировались широко распространенные техники злоумышленников. Проводя по 1️⃣0️⃣0️⃣ тестов в неделю, их так никто и не обнаружил, несмотря на использованные дорогостоящие средства защиты. Позже выяснилось, что эти средства никто никогда не тестировал на предмет их работоспособности.

Вот такая вот история. И кажется мне, что эта картина присуща многим госорганам, не только немецким или американским. Если вам интересно почитать сам отчет и рекомендации, данные офисом генерального инспектора, то они 👇🏻

Читать полностью…

Пост Лукацкого

Вы давно меняли пароли на ключевых сервисах? В 2024-м году 16 символов - это минимум, чтобы считаться надежным 💪

Читать полностью…

Пост Лукацкого

Тут в одном исследовании одной отечественной ИБ-компании говорится, что 44% операторов ПДн поддерживает введение оборотных штрафов 🤑 за утечки персданных. Если не брать во внимание, что опросили всего 170 человек (то есть только 75 человек "за"), то это же звучит как бред. Какой нормальный руководитель согласится на оборотный штраф? 🤬 Это как самому себя выпороть - такое себе удовольствие. Если ты понимаешь важность этой темы, ты скорее сам ею займешься, чем будет ждать, когда тебя нагнут на 3% от оборота

Значит опрашивали ИБшников. Но если он нормальный, то не будет он желать такого своему работодателю… Во-первых, это расписаться в своей слабости (ну а как еще рассматривать, когда ты просишь наказать свое руководство за свои же промахи в виде утечки). Во-вторых, это скажется на бонусе, а может и зарплате (откуда платить 3% от оборота-то). Ну и вообще, желать такого своей компании, в которой ты работаешь?.. 😮

ЗЫ. Хотя чего ждать от авторов исследования, если они в свое время предлагали оценивать эффективность DLP по количеству уволенных работников... 😲

Читать полностью…

Пост Лукацкого

"Бойцы" из технологического института Джорджии представили на симпозиуме NDSS подход и POC по разработке вредоноса для ПЛК, который является гибким, устойчивым и очень опасным 🤕 В отличие от прошлых подходов к атакам на АСУ ТП (тот же Stuxnet), которые были направлены на фирменное ПО ПЛК или управляющую логику, в новом подходе целью является web-приложения, которые встроены в ПЛК. Это позволяет вредоносному коду оставаться незаметным, использовать легальные вызовы Web API, оставаться активным даже после смены прошивки, устанавливать C2-соединения даже из изолированной сети, самоуничтожаться, подчищать за собой следы своей активности и т.п. 😧

Авторы ничтоже сумняшеся говорят, что их подход в случае реализации (а они демонстрировали и MVP своего "детища") может привести к катастрофическим последствиям и даже людским смертям ⚰️ (нахрена тогда вообще было заниматься разработкой такого ВПО; лавры Оппенгеймера не дают спокойно спать?) 🗡 Разработанный прототип, названный IronSpider 🕷, показал свою эффективность, заразив ПЛК одного из основных вендоров в этом сегменте, занимающего 80% мирового рынка. Рекомендациям по защите от своего авторы исследования посвятили меньше пятой части страницы 👿

Читать полностью…

Пост Лукацкого

Подписчик (за что ему спасибо) прислал ссылку на презентацию с последней встречи компании SolarWinds с инвесторами, в которой компания подводит итоги финансового года и, среди прочего, описывает финансовые последствия инцидента ИБ 👨‍💻 с внедрением закладки в ее продукты. За прошедших с инцидента 3 с небольшим года SolarWinds потратила на разгребание последствий 6️⃣0️⃣ миллионов долларов 💵 Если раскидать по годам, то компания потратила на инцидент:
2021 - 4,6% от оборота
2022 - 3,6% от оборота

При этом, по итогам 2022 года оборот компании не вырос вообще, а доходы от продажи и поддержки проданных продуктов снизились (за счет подписки компания чуть нарастила свои доходы, но незначительно) 📉

Но и это еще не все. Компания в разделе "отказа от ответственности" очень много уделила внимания тому, что вообще ситуация такова, что они не могут гарантировать, что у них не повторится этот кейс, что никто не залезет к ним в инфраструктуру, что не будет очередных исков со стороны пострадавших, что они пока не могут оценить последствия судебного преследования CISO и т.п. 🤌

Наблюдая за последними годовыми отчетами компаний, пострадавших от разных ИБ-инцидентов, вижу, что "среднее" значение потерь от таких крупных историй, можно даже назвать их "недопустимыми событиями", составляет от 3 до 5 процентов от годового оборота 🤑 Достаточно существенная сумма, если вдуматься.

PS. А я напомню, что именно опасаясь реализации недопустимого события "вредоносная закладка в ПО", Positive Technologies анонсировала программу Bug Bounty на это НС на сумму в 60 миллионов рублей. Лучше заплатить чуть меньше миллиона долларов (если кому-то удастся реализовать НС), чем потерять 60. Простая математика!

Читать полностью…

Пост Лукацкого

Вот смотришь, как несколько лет назад рекрутировали хакеров для взлома 🔓 чужих аккаунтов, и сколько платили за это, и понимаешь, что тот, кто тогда согласился на это, сегодня не просто миллионер, долларовый миллиардер! 💸

Читать полностью…

Пост Лукацкого

Сказано, сделано. Раскраска для скучных ИБ-совещаний, совмещенная с кибергороскопом. Но если последний вы еще можете почитать онлайн, то раскраска требует тактильных ощущений ✍️

ЗЫ. Цветные карандаши ✏️ в комплекте…

ЗЗЫ. Не психуй - сиди штрихуй!

Читать полностью…

Пост Лукацкого

Джек Тейшейра, бывший военнослужащий разведывательной базы ВВС, признал себя виновным в разглашении сведений, составляющих государственную тайну США 🇺🇸 и выкладывание их на игровые сервера Discord. Ему грозит до 10 лет лишения свободы 😡 10, мать его, лет! А вы говорите "демократия".

А вот у нас ФСБ за найденную в паблике гостайну всего лишь пожурило виновника 🤔 Поэтому, когда говорят, что наша ФСБ лютует и вообще «кровавая гебня» гнобит демократию, все это неправда!!! 😇

Читать полностью…

Пост Лукацкого

Хорошо, что геометрия ладони и венозный рисунок кистей рук 🖖 не относятся к биометрическим факторам в ЕБС и их можно спокойно использовать по своему усмотрению 🤒

Читать полностью…

Пост Лукацкого

Пока в чатиках по персданным задаются вопросом «Являются ли инициалы влюбленных, вырезанные ❤️ на дереве, их персданными?», я задумался о другой проблеме. Если сейчас добавить в программу обучения в ВУЗах тему ИБ автономных роботов (с практической точки зрения), то только лет через 5 мы получим первых выпускников. Не поздновато ли? 😦

Читать полностью…

Пост Лукацкого

Любые ограничительные пометки 🤫, как и заявления о невзламываемости чего бы-то ни было, всегда привлекают 🤕 внимание, чем активно пользуются хакеры. Но этим можно пользоваться и во благо, - в обманных системах, например. Или когда надо запустить дезинформацию. А то и вовсе для того, чтобы быстро распространить нужную информацию... 💯

Читать полностью…

Пост Лукацкого

Квантовое шифрование - это когда ключ шифрования меняется в тот момент, когда начинается расшифрование !


Такое определение я услышал на конференции в Кыргызстане. Надеюсь на грядущей 19-22 марта РусКрипто такого не будет и там можно будет узнать что-то более практическое. Часть интересных мне вопросов я уже озвучил в предыдущей публикации. Но с тех пор лично у меня появились и новые вопросы. Например:
1️⃣ Как внесение в санкционные списки отечественных СКЗИ-компаний повлияет на них и поставку им комплектующих с Тайваня и Китая?
2️⃣ Как внесение в санкционный список ⛔️ повлияет на российский рынок СКЗИ и российские компании, которые обязаны использовать средства шифрования (и при этом стремаются работать с подсанкционными компаниями)?
3️⃣ Какой должна быть стратегия компании, пострадавшей от шифровальщиков? 🤒 Надо ли удалять все зашифрованные данные или их можно сохранить в надежде на будущие прорывы в области квантовых компьютеров?

Ну а я со своей стороны уже на финишной прямой с точки зрения подготовки вопросов для интеллектуального 🥶 криптографического квиза "Игра в имитацию", который я уже по традиции веду на РусКрипто. В этом году будет юбилей 5️⃣ этого квиза (именно его, не других интеллектуальных игр, которые я вел на РусКрипто - "Своя игра", "Где логика?", "Брейн-ринг"). Может найду что-нибудь интересное в качестве приза для самого активного участника 🎁

Читать полностью…

Пост Лукацкого

Выступал тут про customer journey map в контексте кибербезопасности. Немного развил свои прошлые заметки (тут и тут)...

Читать полностью…

Пост Лукацкого

🔄 В ответ на последнюю заметку коллеги поправляют, что для возбуждения дела по 272-273 УК РФ не нужно заявления пострадавшей стороны и не нужно доказательства ущерба - достаточно просто доказанного факта совершения атаки. И таких дел 👮🏻‍♀️ достаточно много возбуждается, даже если пострадавшая сторона не имеет никаких претензий к "нападавшим".

Соглашусь. Я всего лишь хотел сказать, что фраза про маловероятные проблемы с законом из инструкции NoName057(16) означает, что из-за атак на организации из недружественных стран никто просто не будет заморачиваться (еще и медаль дадут 😂). И она не может служить доказывательством работы NoName057(16) на государство российское (правда, и обратное утверждать нельзя). Как говорится, не надо искать сложных объяснений там, где все можно объяснить проще. "Миром правит не тайная ложа, а явная лажа" (фраза приписывается Пелевину) 🤡

Читать полностью…

Пост Лукацкого

В Украине, под эгидой ДССТЗИ и USAID прошла конференция по безопасности критической инфраструктуры, в рамках которой обсуждалась программа Cybersecurity Activity, а также планы двух государств, Украины и США, по усилению кибербеза у соседей (американцы пытаются навязывать свои практики ИБ также в Грузии, Армении и Молдове) 🌯

Из интересного:
1️⃣ Украина будет строить свою ИБ по NIST Cybersecurity Framework 2.0 (этот фреймворк был выпущен только на днях)
2️⃣ В Украине обучение по кибербезу через платформу обучения "Дия" (аналог наших "Гоуслуг") прошло 600 тысяч украинцев (тему курировало местное Минцифры, а не спецслужбы по ИБ)
3️⃣ Сейчас 40 критических инфраструктур проходит диагностику в соответствие с NIST CSF, 20 уже получили первые результаты 😓

Я, конечно, ненастоящий сварщик, но достаточно странно, когда страна, активно участвующая в кибервойне и имеющая опыт в этом, ориентируется на помощь со стороны государства, которое никогда в такой войне участия не принимало и только навязывает 🤔 свои методологии, не очень-то проверенные временем. Особенно в ситуации, когда саму страну-доминатрикс, постоянно "унижают" хакеры "русские", "китайские", "иранские", "северокорейские", "ливанские", "сирийские" и из других стран "третьего мира". Да и свои аудиторы из офисов генеральных инспекторов или Счетной палаты тоже постоянно находят косяки.

Но иначе американцы деньги на кибербез не выделят 🤑 и помощников из числа американских компаний, выдающих свои технологии, не найти. Зато понятно, чего ждать...

Читать полностью…

Пост Лукацкого

В Германии 🇩🇪 назревает скандал. Russia Today опубликовало аудиозапись 🤫 переговоров главы немецких ВВС с офицерами о поставке ракет дальнего действия Taurus Украине и их использовании для атак на Крымский мост. Как произошла утечка, пока не сообщается, идет расследование. Известно только, что переговоры велись через сервис Cisco Webex 😮 Немцы подтверждают подлинность записи и исключают ее синтез с помощью ИИ 🧠

И тут, конечно, рано делать какие-то выводы, но лично мне, как давнему пользователю Webex, видится несколько возможных каналов утечки секретной информации:
1️⃣ Утечка с серверов самого облачного сервиса 😶‍🌫️ Cisco Webex, которые кто-то взломал. Маловероятно, так как тогда бы у взломщиков было бы гораздо больше ценных записей переговоров, которые хранятся на серверах Webex, и их сделали бы достоянием гласности. Да и не хочется верить во взлом бывшего работодателя 🤷
2️⃣ Кто-то записал ⏺ конференцию (явно с согласия участников), а потом файл с записью был загружен на компьютер и оттуда уже или утек, или сознательно был передан Russia Today. Этот вариант мне кажется наиболее реалистичным.
3️⃣ Кто-то из участников или сопровождающих лиц писал конференцию в одном из помещений, в котором находился кто-то из участников на диктофон 🎤
4️⃣ Прослушивающее устройство было установлено в одном из помещений, в котором находился кто-то из участников. Учитывая их уровень и должные мероприятия по проверке помещений на предмет прослушивающих устройств (не думаю, что у немцев какие-то отличные от нас правила в этом вопросе), это маловероятная история. Последние два варианта достаточно легко выявляются по посторонним шумам на записи 🎙
5️⃣ Кто-то внедрил перехватчик голосового трафика на компьютер, на котором был установлен Webex. Это мог быть RAT или иное ВПО с соответствующим функционалом 🐀

В любом случае, это достаточно неприятный инцидент ИБ для службы кибербезопасности немецкого оборонного ведомства. Ну и интересно, конечно, сам факт публикации этой свежей утечки в прогосударственном СМИ 📰, то есть явно с согласия отечественных спецслужб, которые решили не церемониться и щелкнуть по носу 🤥 страну, в которой родился военный стратег Клаузевиц и в которой когда-то был нелегалом наш нынешний президент.

ЗЫ. Раскрытие таких фактов может означать, что источник уже не доступен или представляет интереса, так как в рамках расследования немцы точно усилят меры безопасности 🤔

Читать полностью…

Пост Лукацкого

SOCRadar’овцы запили майндмап по основным форумам киберпреступников... 🤒 И нельзя сказать, что русскоязычных форумов большинство. Поэтому засилье русских хакеров - это заблуждение 🎭

Читать полностью…

Пост Лукацкого

Северокорейские хакеры вставили бэкдор в программу для российских консульств

Исследователи DCSO CyTec из Берлина опубликовали DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3">отчёт о предполагаемом кибершпионаже против загранучреждений России. Они изучили сэмпл вредоноса KONNI (известен уже 10 лет, связывается с северокорейскими группировками), загруженный на VirusTotal в январе, и обнаружили что он был встроен в установщик русскоязычной программы под названием «Cтатистика КЗУ».

Исследователи очень осторожно пишут, что, мол, очень похоже, что это программа, с помощью которой консульские загранучреждения России должны отправлять отчёты в Консульский департамент МИД. В свойствах файла программы упоминается ГосНИИАС, который работает с Консульским департаментом. Но упоминаний программы в открытом доступе нет, и исследователи несколько раз оговариваются, что они не могут наверняка сказать, что это легитимная и реально существующая программа. (Судя по всему, скорее всего, да. По крайней мере то, что ГосНИИАС работает на консульскими информационными системами, не является каким-то секретом и легко гуглится.)

В первой части отчёта разбирается сама программа, потому что на VirusTotal были загружены и два файла с инструкциями по её использованию (со скриншотами интерфейса). Дальше описывается установка KONNI при запуске .msi-установщика «Cтатистики КЗУ» и закрепление вредоноса на устройстве. Исследователи нашли адреса нескольких командных доменов, использующихся для управления вредоносом, и отдельно отмечают домен victory-2024[.]mywebcommunity[.]org, поскольку ранее в другой предположительно северокорейской атаке на МИД России использовался похожий домен victory-2020.atwebpages[.]com.

В отчёте отмечается, что в разных версиях функционал KONNI менялся. Проанализированная версия умеет выполнять на устройстве команды и получать их результат, загружать и передавать файлы, проводить проверки связи через определённые интервалы времени.

Далее исследователи приводят ссылки на предыдущие отчёты, касающиеся северокорейского кибершпионажа против российских организаций и госораганов и, в частности, на отчёты, касающися использования этого же вредоноса, KONNI, в атаках на российские цели, в том числе МИД.

Завершается отчёт вопросами и общими рассуждениями. Среди них вопрос о том, как атакующим удалось получить программу, которая, видимо, не доступна публично. По их мнению в любом случае это показывает, что атака заточена под конкретную цель, и что усилия северокорейских хакеров по получению доступа к дипломатической информации продолжаются много лет несмотря на сближение между Россией и КНДР на высоком уровне.

Ну, а ещё теперь всем подписчикам VirusTotal доступны инструкции по работе со «Cтатистикой КЗУ», как и сама программа.

Читать полностью…
Подписаться на канал