| Hi-Tech Crime Trands 2021/2022. Group-IB. Corporansome |
| Атаки против мобильных устройств |
| Цепочки снабжения |
Просматривая ИТ-новости, с удивлением выяснил, что ничего важнее и привлекательнее Covid-19 на свете нет. А ведь 2019, год рождения этого вируса давно позади. Заметки на эту тему даже накануне Нового года пишут не только эксперты, но и люди далекие от медицины. Думаю, а не написать ли и мне что-нибудь на эту тему....? Почему бы и нет, ведь я также ничего в этом не понимаю...
Большинство экспертов накануне 2022 года прогнозировали, что в 2022 году лидировать будут облачные технологии, искусственный интеллект, IoT и различные аспекты безопасности.
Разработчики приложений для IoT должны учитывать особенности таких объектов в части безопасности и совместимости, предлагая пользователям свое программное обеспечение (см. "6 steps to kick-start IoT app development", Shannon Flynn, 05 Nov 2021). На рис. 1 показана схема создания программного обеспечения для объектов IoT. Все начинается с формирования плана действий, далее выбирается прикладная платформа, Определяется оборудование, на котором будут работать программы, проводится отладка и испытание системы в целом.
Рис. 1. Процесс разработки приложений для IoT
Любая система зпщиты должна быть многослойной, чтобы если даже один из слов нарушен, безопасность будет обеспечена (см. "6 IoT security layers to shape the ultimate defense strategy", Kristen Gloss, 15 Dec 2021). С этой точки зрения для систем IoT оптимален подход с нулевым доверием для всех компонентов системы (оборудование, программное обеспечение, облачная среда, данные).
ИТ-администраторы должны отслеживать сложившиеся практики при разработке IoT (см. "4 advanced IoT security best practices to boost your defense", Kristen Gloss, 02 Dec 2021). Криптография, алгоритмы сегментации и машинное обучение, имеющие целью выявление угроз, осложняют работу, но они образуют дополнительные слои защиты для объектов IoT, которые лишены встроенных средств защиты. Одним из способов защиты IoT является применение модели "нулевого доверия". Любое устройство или пользователь, пытающиеся подключиться к объекту IoT, должны аутентифицироваться. На рис. 2 представлена реализация сети IoT с нулевым доверием.
Рис. 2. Реализация сети с нулевым доверием
Большое число объектов IoT в системе создает трудности управления такой сетью. Одним из методов решения проблемы может быть машинное обучение, которое облегчит мониторинг состояния системы. Для того чтобы осложнить хакерам доступ к IoT, следует использовать криптографию. Еще одним методом защиты является разбиение объетов IoT на группы - микросегментация. Схема реализации этой методики представлена на рис. 3.
Рис. 3. Схема микросегментации
С 2004 года по 2018 ущерб от DDoS и ransomware вырос с 13$ до 240 млн.$ (см. "Hi-Tech Crime Trands 2021/2022", Group-IB. Corporansome). Анализ Group-IB за первые 11 месяцев 2021 года показал, что 60% сетевых инцидентов было сопряжено с ransomware. Первые случаи применения ransomware относятся к 1989 году. Первые попытки реализации RAAS относятся к 2009 году. Примерно 30% компаний, подвергшихся ransomware-атаке платят выкуп. Число новых программ увеличилось на 23% с 17 во втором квартале 2019 до 21 в первом квартале 2020 года. Среди жертв атак на первом месте находится США (49,3%), далее следуют Канада, Франция и Великобритания. Число жертв, чья критически важная информация оказалась опубликована, выросло на 935% с 229 во втором квартале 2019 до 2371 во втором кв. 2020-го. В данной активности наиболее значимы группы хакеров: Conti (16.5%), Lockbit (11.5%), и Avaddon (7.5%). Только 10% украденных данных публикуются.
Для шифрования ransomware-атакеры чаще всего применяют PGP-кодировщики, предлагаемые несколькими компаниями. В 2006 году появилась вредоносная программа Cryzip, где применен упрощенный алгоритм шифрования. Эта программа оказалась достаточно популярной среди хакеров.
C 2005 года хакерами стали часто использоваться программы блокировщики, например, троян Krotten. Эти программы блокируют работу ОС (Winlock) в машине жертвы. На рис. 4 представлено распределение упоминаний случаев ransom-атак типа блокировщиков в период 2002-2015гг.
Рис. 4. Распределение упоминаний случаев ransom-атак типа блокировщиков в период 2002-2015гг
Серьезные атаки были предприняты в 2009 году в России, максимум активности приходится на 2012 год, далее следует плавный спад. Этот вид атаки ransom продолжает доминировать, но программы шифровальщики быстро распространяются по миру (напр., VaZoNeZ или CryptoLocker). Выкуп чаще всего предлагается платить в bitcoin. В 2013 году было заражено более 200000 компьютеров. Хакеры широко используют технологию RaaS. Сформировались группы, которые целенаправленно ищут пути проникновения в сети крупных компаний с целью последующей перепродажи хакерской группе. На рис. 5 показано временное распределение числа новых программ на подпольных форумах.
Рис. 5. Временное распределение числа новых программ на подпольных форумах
На рис 6 показано распределение различных RaaS на 15 подпольных форумах в 2019-20гг.
Рис. 6. Распределение различных RaaS на подпольных форумах
Появился новый вид вымогательства - угроза публикации украденных конфиденциальных или компрометирующих данных на серверах (DLS) в Интернет (Snatch). На рис. 7 представлено временное распределение краж корпоративной и персональной информации.
Рис. 7. Распределение краж корпоративной и персональной информации по годам 2019-21.
За анализируемый период 2020-21гг 2371 компания потеряли свои конфиденциальные данные, это на 935%больше, чем за предыдущий аналогичный интервал времени. В 2021 году от таких атак пострадали 1966 жертв. На рис. 8 показано распределение атак по используемым ими технологиям.
Рис. 8. Распределение атак по используемым ими технологиям
На рис. 9 показано распределение программных средств по популярности, согласно данным Group-IB.
Рис. 9. Распределение программных средств по популярности, согласно данным Group-IB
В последнее время появилась группа SunCrypt, вовлеченная в технологию ransomware. На рис. 10 представлена статистика атак SunCrypt. Данные получены Group-IB с привлечением более 600 экспертов.
Рис. 10. Статистика атак SunCrypt
За последние 18 месяцев многие компании были вынуждены адаптироваться к новым условиям, когда заметная часть их сотрудников работает удаленно (см. "IDC FutureScape: Worldwide Future of Connectedness 2022 Predictions", Paul Hughes etc, IDC International Data Corporation). Проблемы возникали из-за того, что ко многим критически важным системам нужно было обеспечить доступ сотрудникам и клиентам из неконтролируемой , небезопасной среды. Компания IDC определяет будущую систему подключения, как систему взаимодействия людей, объектов, приложений и процессов через разные физические среды. Данное исследование касается будущих прогнозов компании IDC для 2022-2025гг. Ниже сформулированы некоторые прогнозы:
Рис. 11. IDC FutureScape. 10 главных предсказаний
Фишинг остается одним из основных видов кибермошенничества (см. "Hi-Tech Crime Trands 2021/2022", Group-IB. Scam & Phishing. Русский перевод). Компания Group-IB за последние два года заблокировала 14000 фишинг-ресурсов. На рис. 12 представлена динамика блокировок фишинговых ресурсов компанией Group-IB в 2019-21гг.
Рис. 12. Динамика блокировок фишинговых ресурсов компанией Group-IB
В последние несколько лет различные виды программ-вымогателей стали крайне популярными (см. "Hi-Tech Crime Trands 2021/2022", Group-IB. Киберимперия шифровальщиков. Русский перевод). За неполный 2021 год 60% всех расследованных Group-IB инцидентов приходится на ransomware шифровальщики (например, Cryptolocker). В 2016-17гг по миру прокатилась волна атак WannaCry и NotPetya. За год после 2-го квартала появилась 21 группа партнерских программ и начали функционировать 28 DLS, где были опубликованы данные 2371 компаний-жертв.
Рис. 13. Появление новых IDS в 2019-21 годах
Если 2020 год был годом обеспечения потребителей всем необходимым в в материальной сфере, то в 2021 внимание сместилось в область программного обеспечения (см. "2022: The year of software supply chain security", Scott McCarty, InfoWorld, JAN 4, 2022). С этим были связаны в частности атаки SolarWinds различных компаний и государственных учреждений, а также атаки уязвимости Lo4j. Можно ожидать, что 2022 год станет годом безопасности ПО и цепочек его поставки.
Во втором полугодии 2021 года число атак типа ransomware в различных обличиях продолжало увеличиваться (см. "10 of the biggest ransomware attacks in the second half of 2021", Arielle Waldman, 28 Dec 2021). Ниже представлены краткие описания этих ransomware-атак:
Хотя квантовые компьютеры (КК) пока имеют ограниченную мощность, подошло время, когда нужно оценить все плюсы и минусы их появления и применения (см. "Is quantum computing ready to disrupt cybersecurity?", Kyle Johnson). Следует понимать, что квантовые компьютеры никогда не заменят традиционные, кремниевые, они лишь позволят на порядки ускорить некоторые алгоритмы. Согласно докладу Gartner (2021г) квантовые компьютеры начнут оказывать влияние на рынок вычислений после 2026 года, а уровень квантового превосходства будет достигнут в 2029 году. Пока КК являются объектами исследования. В ноябре 2021г компания IBM анонсировала создание 127-кубитного КК, а QuEra Computing - 256-кубитного. Предполагается, что для достижения квантового превосходства нужен 300-кубитовый КК. В области криптобезопасности эксперты ставят на первое место технику криптографии на решетках. Пока же предлагается в традиционной криптографии перейти с 256-битовых на 512-битовые.
Наиболее мощная квантовая система Eagle создана компанией IBM и имеет 127 кубит (см. "Recent quantum computing advances point to brighter future", Ed Scannell, 10 Dec 2021). Эта система базируется на новом наборе чипов и использует новую систему охлаждения (Bluefors' cryogenics), что способствовало большей стабильности. Дальнейшим развитием проекта станет создание Cindor'а - 1121-кубитного КК, который планируется к запуску в 2023 году. Компьютер будет характеризовался квантовым объемом 1024. На этом КК будут исследованы возможности алгоритмов RSA м AES. На рис. 14 проводится сравнение возможностей КК и классических компьютеров.
Рис. 14. Сопоставление квантовых компьютеров с традиционными
Разрабатываются новые технологии и в смежных областях. Компанией IonQ исследуется возможность использования ионов бария для реализации кубитов при пониженной вероятности ошибок. Предполагается, что эта технология позволит создать 2000-100000- кубитные системы. На текущий момент по проблематике квантовых компьютеров работает 241 компания. В Китае в этой отрасли трудятся 8 крупных компаний. В США сотрудничество с этими компаниями оказалось под запретом.
Компания Gartner проанализировала динамику развития цепочек продаж, в частности для персональных компьютеров (см. "Supply chain, semi-conductor issues slam PC shipments", Lucas Mearian, JAN 13, 2022). В 4-ом квартале 2021 года отмечен спад продаж на 5% по сравнению с аналогичным периодом в 2020 году. В 2021 году объем продаж персональных компьютеров достиг 339.8 миллионов штук. Проведено сравнение результатов для фирм Lenovo, Dell, HP. Acer, Apple, Asus и др. На рис. 15 представлена динамика продаж персональных компьютеров в мире в 2010-21гг.
Рис. 15. Динамика продаж персональных компьютеров в период с 2010 по 2021 гг
В мире в в 4-ом квартале 2021 года было продано 88,4 миллиона персональных компьютеров, что на 5% меньше чем за тот же период год назад (см. "Gartner Says Worldwide PC Shipments Declined 5% in Fourth Quarter of 2021 but Grew Nearly 10% for the Year", January 12, 2022. Всего за 2021 год было продано 339,8 миллиона компьютеров Лидером продаж является компания Lenovo, на втором месте HP Inc..
Критическая уязвимость нулевого дня Log4j усилила возможности Log4Shell (см. "How to mitigate Log4Shell, the Log4j vulnerability", Michael Cobb,2022). Многие компании (Twitter, Amazon, Microsoft и Minecraft) и приложения используют базирующиеся на Java библиотеку Apache Log4j для записи событий в журнальный файл (код уязвимости CVE-2021-44228). К сожалению библиотека Log4j недостаточно тщательно проверяет входные данные перед записью, что открывает возможность атаки типа log injection, которая позволяет реализовать удаленное исполнение вредоносного кода. Этот дефект присущ версиям библиотеки Log4j 2.14.1 и более ранним. Хакеры используют поля http-запроса User-Agent и X-Forwarded-For, Cloudflare заблокировала 1,3 миллиона попыток использования Log4Shell в час только в декабре 2021г. Выявлено более 60 модификаций этого вредоносного кода. На рис. 16 показана схема реализации атаки.log4j. Описана процедура предотвращения данной атаки.
Рис. 16. Схема реализации атаки log4j
Три четверти всех работающих информационных контейнеров имеют по крайней мере одну серьезную уязвимость (см. "Sysdig 2022 Cloud-Native Security and Usage Report", Sesdig). Анализ 800 инцидентов у пользователей позволил выявить наиболее часто используемые программные средства. Смотри рис. 17. Наиболее популярным оказался Kubernetes.node.ready.
Рис. 17. 10 наиболее часто используемые системы контейнеров
На рис. 18 показано распределение применений контейнеров по различным областям.
Рис. 18. Распределение применений контейнеров по различным областям
Оценка Computerworld показывает, что к 2040 году время, которое люди проводят в автомобиле в год, достигнет 1,2 триллионов часов (см. "The trillion-hour attention economy (and where the Apple Car fits in)". Jonny Evan, JAN 13, 2022). Сегодня это число составляет 600 миллиардов часов. Это должно учитываться при проектировании прикладного программного обеспечения и систем управления. К 2050 году автомобили станут полностью автономными (беспилотными).
В связи с пандемией в 2021 году в Великобритании 44% сотрудников работали удаленно (см. "Digital surveillance of remote workers may increase enterprise risk", Matthew Staff, 10 Nov 2021), Анализ ситуации показал, что такой режим работы порождает дополнительные риски для безопасности системы. Кроме того, владельцы компаний пытаются внедрить программные средства для контроля того, чем занимаются их сотрудники, и где они находятся в рабочее время. Забавно, но обсуждается даже допустимость пижамы во время zoom-сессии.
За последние 40 лет жесткие диски пришли к стандартам 2,5 и 3,5 дюймов с интерфейсами SATA и SAS (см. "Hard disk drives to remain dominant storage media in 2022", Adam Armstrong, 26 Jan 2022). Появились SSD, а максимальная емкость жестких дисков достигла 30 Тбайт. На рынке в 2021 году преобладают диски с емкостью 18-20ТБ (2,5 дюйма). Для задач, где важно быстродействие, следует использовать SSD.
2021 год был отмечен несколькими серьезными событиями в сфере кибербезопасности (см. "5 infosec predictions for 2022", Kevin Hanes, 21 Jan 2022). Это REvil ransomware, а также атаки Colonial Pipeline и Kaseya. Что нас ждет в 2022 году? Ожидается что:
Банда Prophet Spider использует уязвимость Log4Shell для атак сервиса Tomcat в неисправленных системах VMware Horizon (см. "Access broker found exploiting Log4j vulnerability in VMware", John P. Mello Jr, JAN 27, 2022). Целью хакеров является создание черных ходов для осуществления майнинга на взломанных компьютерах или кражи критической информации. Команда Blackberry Research & Intelligence зарегистрировала много случаев взлома.
Специалисты компании Sophos (Chet Wisniewski) разработали средства противодействия уязвимости CVE-2021-44228 (см. "Sophos: Log4Shell impact limited, threat remains", Arielle Waldman, 25 Jan 2022). На рис. 19 показано временное распределения попыток атак Log4Shell, предотвращенных Firewall'ами Sophos XG (конец 2021 - начало 2022 гг). Атаки по-прежнему представляют определенную угрозу, хотя и несколько ослабленную.
Рис. 19. Временное распределение попыток атак Log4Shell, предотвращенных Sophos XG Firewalls
Для того чтобы начать традиционную войну нужны тысячи солдат, боевая техника и боеприпасы, все это должно быть доставлено в нужное время в определенное место (см. "Will World War III begin in cyberspace?", Steven J. Vaughan-Nichols, JAN 25, 2022 ). Незаметно это сделать невозможно из-за разведывательных спутников. Но кибератака может быть подготовлена незаметно, стоит на порядки дешевле, а ущерб может нанести больше, чем атомная бомба. Такие угрозы стали реальными, когда управление стратегически важными системами и ресурсами стран (энергетика, транспорт, информационные коммуникации, финансы и даже здравоохранение) стало доступно из Интернет. По данным Tom Burt, вице президента Microsoft, 58% атак против европейских стран и США предпринимается из РФ. Смотри также "‘Russian-backed’ hackers defaced Ukrainian websites as cover for dangerous malware attack", Bill Goodwin, Computer Weekly, 17 Jan 2022.
Анализируется возможность использования хакерами уязвимой AWS Lambda функции для доступа к облачной среде пользователя, а также способы противодействия этому (см. "Vulnerable AWS Lambda function – Initial access in cloud attacks", Stefano Chierici, January 18, 2022). AWS Lambda функции широко применяются в облачной среде, так как позволяют обслужить тысячи одновременных запросов. Но ошибка в программном коде сбой в системе валидации может привести к компрометации аккаунта пользователя. AWS Lambda - безсерверная система, управляемая событиями, которая позволяет работать с программами, написанными на разных языках, и управляется непосредственно AWS.
Британское правительство планирует перейти ускоренными темпами на гигабитные скорости обмена в масштабах всей страны (см. "UK parliamentary committee casts doubt on government’s gigabit connectivity targets", Joe O’Halloran, 20 Jan 2022). Этот проект составляет предмет гордости премьер министра Бориса Джонсона. Парламентский комитет PAC выразил сомнение, что такая цель будет достигнута для 85% Великобритании раньше 2025 года. Ожидаются серьезные трудности с обеспечением оптоволоконными каналами труднодоступных областей Шотландии, Уэльса и Северной Ирландии. Стоимость проекта превышает 5 миллиардов фунтов стерлингов.
В условиях повышенных угроз компании должны искать области, где бы они помогать друг другу. (см. "3 areas privacy and cybersecurity teams should collaborate", Mike Chapple, 2022). Одной из таких сфер может стать каталогизации данных, которыми компания располагает. Составление такого списка необходимо, даже если компания не думает сотрудничать с кем-то на почве обеспечения безопасности. Важно определить перечень законодательных и других документов, которые регулируют оборот данных и служат целям обеспечения конфиденциальности. Целесообразно сформировать совместные комитеты, которые будут регулировать правила обмена данными, включая персональными.
Исследование фонда Information Technology & Innovation показало, что разрешение штатам США регулировать правила владения информацией может обойтись бизнесу в 1 триллион долларов в ближайшие 10 лет (см. "Crazy quilt of state privacy laws could cost businesses $1 trillion", John P. Mello Jr., JAN 31, 2022). Начиная с 2018 года 34 штата провели 72 законопроекта, регулирующих правила владения информацией. Несогласованность этих законов породила хаос.
FBI (США) сообщило, что сотни жертв SCAM-атак потеряли деньги за последние два года (см. "FBI: Criminals escalating SIM swap attacks to steal millions of dollars", Brian Stone, February 11, 2022). В качестве инструмента хакеров лидирует ransomware. Множатся атаки против SIM-карт мобильных телефонов. С января 2018 по декабрь 2020 года FBI Internet Crime Complaint Center получил 320 жалоб по поводу SIM-атак, которые нанесли ущерб 12 миллионов долларов. Рекомендуется не сообщать никому о суммах на ваших банковских счетах, не раскрывать параметры доступа кому бы то ни было. Не сообщайте свои персональные данные по телефону, как можно чаще меняйте свои пароли, используйте многофакторную аутентификацию, не записывайте в своем телефоне персональные данные других лиц...
Число атак против мобильных устройств в 2021 году сократилось, но они стали более изощренными (см. "2021 mobile malware evolution: Fewer attacks, escalating dangers", Cedric Pernet, February 22, 2022). В 2021 году было инсталлировано на мобильные устройства 3,5 миллиона вредоносных кодов. Согласно данным лаборатории Касперского число атак сократилось с 5,5 миллионов в январе 2021 году до 2, 2 миллионов в декабре. Заражения чаще всего происходили через различные программы, распространяющие рекламу. Обычно это трояны, используемые в рамках ransomware (8,86%). Эти атаки способны преодолевать двухфакторную (2FA=SMS) аутентификацию Android. Атаки чаще всего осуществлялись из Ирана, Саудовской Аравии и Китая. Мишенями оказывались пользователи из Японии, Испании, Турции, Франции и Австралии. Наиболее часто использовалась вредоносная программа Trojan-Ransom.AndroidOS.Pigetrl.a. Такого рода атаки зарегистрированы в Казахстане, Йемене, Киргизстане и Швеции. Троян Fakecalls часто встречался в Корее. Используется черный ход Vultur для записи образа экрана жертвы.
Чтобы защититься от подобных атак рекомендуется:
Рисунки для WEB-страниц часто хранятся в отдельном (облачном) депозитарии, откуда берутся с помощью javascript'-ов. Сегодня я столкнулся с тем, что некоторые депозитарии оказались заблокированы и рисунки не могут быть получены. При выяснении причин я получил уведомление:
| The request could not be satisfied. ________________________________________ The Amazon CloudFront distribution is configured to block access from your country. We can't connect to the server for this app or website at this time..... |
Надо сказать, что это их право....
Смотри также "2021 mobile malware evolution: Fewer attacks, escalating dangers", Cedric Pernet, Securelist by Kaspersky, 21 FEB 2022, и "Mobile malware evolution 2021, 21 FEB 2022. Лаборатория Касперского зарегистрировала 3,464,756 загрузок вредоносных программных пакетов. Выявлено 97661 новых мобильных троянов и 17372 мобильных ransomware Trojans. Эксперты продолжают выявлять вредоносные коды в Google Play. Лидером 2021 года был Joker Trojan и Facestealer Trojan, последний крал параметры доступа пользователей социальной сети Facebook. На рис. 20 представлено распределение числа загрузок вредоносных кодов в 2018- 2021 годах. В 2021 году было загружено 3,464,756 вредоносных программных пакетов.
Рис. 20. Число вредоносных инсталляций в 2018-21гг
На рис. 21 показано временное распределение атак на мобильных пользователей в 2019-21 годах.
Рис. 21. Число мобильных атак в 2019-21гг по месяцам
Рис. 20 демонстрирует географию мобильных угроз.
Рис. 22. География мобильных угроз
Больше всего жертв атак на мобильные средства связи оказалось в Иране (40,22%). На рис. 23 показано распределение мобильных угроз по типам. Лидируют рекламные программы (Adware).
Рис. 23. Распределение выявленных типов мобильных угроз
На рис. 24 отображены доли разных типов вредоносных программ.
Рис. 24. Доли различных типов атак
Рис. 24 показывает динамику мобильных троянов в 2018-21 гг.
Рис. 25. Число мобильных ransom-троянов по годам
На рис. 26 представлена временная зависимость числа атак троянов в 20-21гг. К концу 2021 года наблюдается ощутимый спад этого вида атак.
Рис. 26. Временная зависимость числа атак троянов в 2020-21гг
Изменение климата и стремление удовлетворить экологическим требованиям диктует необходимость построение экономичных систем питания вычислительного оборудования (см. "Get started with green energy for your data center", Allyson Larcom, 19 Nov 2021). На рис. 27 показана картина изменение энергоэффективности систем питания вычислительной техники в период с 2007 по 2019 годы.
Рис. 27. Тенденции "зеленой" памяти
ФБР США опубликовало предупреждение о тактике, технике и протоколах группы Emennet Pasargad (Иран) (см. "FBI's warning about Iranian firm highlights common cyberattack tactics", Shweta Sharma, FEB 4, 2022). Министерство финансов и Управление контроля за иностранными активами обвинило иранских националистов в попытках повлиять на результаты выборы президента США в 2020 году. ФБР опубликовало список наиболее часто используемых видов сетевых атак и уязвимостей.
Исследования Gartner показали, что к 2025 году 51% ИТ расходов будут приходиться на облачные приложения (см. "Gartner: By 2025 half of enterprise IT spending will be for cloud", Michael Cooney, FEB 10, 2022}. Пандемия COVID-19 ускорила этот процесс. Прогнозируется, что к 2025 году 95% инициатив будут приходиться на облачные технологии, аналогичная цифра в 2021 году составляла 40%. Шире используются средства SaaS
После начала пандемии COVID-19 в 2020 году заметная часть работ перешла в дистанционный режим с с использованием приложений Zoom, Microsoft Teams и др. (см. "FBI: BEC attacks spreading to virtual meetings", Peyton Doyle, 17 Feb 2022). В этой связи ФБР США предупреждает о новых хакерских угрозах, например, атаках BEC (business email compromise). Атака начинается со взлома почтового аккаунта жертвы с последующей рассылкой сообщений от имени руководителей компании или CEO с предложением переконфигурировать систему.
Rootkit является вредоносным кодом, который труднее всего детектировать и удалить.(см. "How to identify, prevent and remove rootkits in Windows 10", Susan Bradley, FEB 15, 2019). Предлагаются советы, как решить эти проблемы для ОС Windows-10. Компания Microsoft в 2006 году внесла поправки в ОС Microsoft Vista, где стали требоваться электронные подписи для драйверов, что сильно осложнило задачу хакеров, так как им тепарь стало нужно преодолеть защиту ядра - KPP (Kernel Patch Protection). Появление вредоносного кода Zacinlo упростило задачу хакерам. Нужные хакерам данные оказываются записанными в регистри. После каждого shut-down rootkit переписывет себя из памяти на диск под новым именем и обновляет данные в регистри. Одним из эффективных средств детектирования rootkit является анализ исходящего трафика путем просмотра содержимого журнальных файлов внешнего или встроенного firewall или IDS. Хорошим указателем заражения может стать необычное изменение загрузки ЦПУ или внешнего канала компьютера.
Для предотвращения заражения rootkits следует пользоваться исключительно легальными источниками программ. Следует инструктировать пользователей и объяснять им, что необходимо делать для обеспечения безопасности. Пользователи не должны:
Для того чтобы избавиться от rootkit, можно запустить Windows Defender (см. Windows Defender Security Center). Система при этом будет специальным образом перезагружена. Firmware rootkits требуют несколько другого подхода.
Технология распознавания лиц, несмотря на критику, будет по-прежнему использоваться (см. "Biometric technology like facial recognition is here to stay", Esther Ajao, 15 Feb 2022). Большинство критиков в США наставивают на информировании людей о том, как эти данные могут использоваться. Область применения технологии распознавания лиц расширяется как в правительственных учреждениях, так и в частном секторе. В частности в Нью-Йорке для идентификации документов и аутентификации людей используется израильская система, которая предотвращает атаки против Google, Uber и PayPal.
США и НАТО использовали беспрецидентное число санкций против России и-за вторжения на Украину (см. "Why SWIFT is the nuclear option of Russian financial sanctions", Lucas Mearian, FEB 26, 2022). Но отключение банков России от электронной системы реализации финансовых транзакций SWIFT (Society of Worldwide Interbank Financial Telecommunication) следует признать наиболее серьезной санкцией. На первом этапе пострадают только некоторые российские банки. Система SWIFT обеспечивает криптографически защищенный обмен сообщениями. К этой системе подключены 11000 финансовых учреждений в 209 странах. После отключения от SWIFT российские государственные и коммерческие организации не смогут получать платежи за товары и услуги. 40% доходов России за нефть и газ поступает через систему SWIFT. Но эта мера скажется на всей, в том числе, западной финансовой системе.
Согласно исследованию университета Тель Авива100 миллионов телефонов компании Samsung (ОС - Android) оказались уязвимы для атаки повторного использования вектора доступа (см. "100 million Samsung phones affected by encryption weakness", Brandon Vigliarolo, March 1, 2022). Пользователи смартфонов Samsung Galaxy могут оказаться среди этого множества. Хотя компания провела коррекцию кода, полной уверенности в безопасности не достигнуто.
Международный комитет красного креста (ICRC) объявил, что в январе 2022 года его системы были атакованы (см. "Red Cross cyber attack the work of nation-state actors, Alex Scroxton, 17 Feb 2022). В результате данные о 515000 людях оказались скомпрометированы. По данным экспертов для атаки были использованы большие сетевые ресурсы. Предположительно была применена техника APT. Реально хакеры проникли в системe через не закрытую уязвимость CVE-2021-40539. Хакеры находились в системе примерно в течение 70 дней.
Исследователи компании ESET 23 февраля 2022 года детектировали новый вредоносный код, который получил название HermeticWiperб он был установлен на сотнях компьютерах (см. "Wiper malware targets Ukraine as military conflict extends into cyberspace, Michael Hill, FEB 28, 2022). За этими атаками последовали DDoS-атаки против различных объектов (WEB-сайтов) на Украине. К отражению атак подключились оперативные силы EU cyber rapid-response.
Компания IBM создала центр кибербезопасности (SOC) в Индии (см. "IBM opens cyber security hub in India", Aaron Tan, 23 Feb 2022). Центр размещается в Бангалоре и будет заниматься разработкой программ кибербезопасности для пользователей в Индии, а также азиатского и тихоокеанского регионов. Центр призван круглосуточно реагировать на любые сетевые инциденты. Создаваемые программы будут зазироваться на платформе X-Force.
Министр электронных и информационных технологий Индии (Rajeev Chandrasekhar) высказал предложение частным компаним, чтобы они начали совместно работать над созданием индийской мобильной ОС, конкурентноспособной с Android (Google) и iOS (Apple) (см. "India eyes home-grown OS to compete with Android ) и iOS (Apple)", Lucas Mearian, JAN 25, 2022). В 2010 году индийское правительство поставило задачу создать ОС для компьютеров. Планируется также активизировать рынок компьютерных компонентов. Министр ожидает, что данный сектор рынка в Индии достигнет к 2024-25г уровня 250-300 млн.$.
Команда Symantec’s Threat Hunter утверждает, что новая вредоносная программа Backdoor.Daxin демонстрирует невиданный прежде уровень сложности (см. "Daxin: A Chinese-linked malware that is dangerous and nearly impossible to detect", Brandon Vigliarolo, March 2, 2022). Программа позволяет загружать любые другие вредносные коды. Предполагается, что эта программа разработана в Китае (данные относятся к ноябрю 2021 года). Программа мониторирует TCP/IP-трафик ищет определенные сигнатуры, после чего перехватывает сессию, отключая легального получателя информации. От программы Daxin нельзя защититься с помощью традиционного Firewall. Механизм заражения Daxin пока не ясен. Предполагается, что Daxin использует PsExec, для защиты предлагается применять стандартные практики.
Компания IBM подключила LG Electronics к IBM Quantum Network (см. "LG Electronics, IBM partner on quantum computer research", Ed Scannell, 11 Jan 2022). Это сделано для совместного исследования AI, соединенных автомобилей, IoT и цифровой трансформации. Всего в сети IBM Quantum Network принимают участие 170 субъектов. Проект LG поддерживается южнокорейским министерством науки (40$ млн.). В 2023 году планируется запустить квантовый компьютер с 5 кубитами.
Корпоративные пользователи обычно больше озабочны фишинговыми атаками и на все другое не обращают внимания (см. "Cyberattack threat: Corporate users infected via Microsoft Teams", Cedric Pernet, February 18, 2022). В последнее время выявлены другие атаки, например, через платформу Microsoft Teams, которая является частью семейства Microsoft 365. Мощь этого пакета программ к сожалению предоставляет и большие возможности для хакеров. Если хакер смог получить параметры доступа к почте жертвы, он сможет войти на платформу Teams и загрузить программу-троян. Хакер может также воспользоваться диалговыми средствами, чтобы, через посредство социальной инжененрии заразить компьютеры партнеров. Для предотвращения таких атак следует использовать двухфакторную аутентификацию и детектировать сигнатуры возможных вредоносных вставок в рабочие файлы. Необходим контроль безопаности всех используемых внешних каналов.
Когда вы думаете о процессорах слов, вам приходят в голову Microsoft Word, Microsoft Office, или Office 365 (см. "Word alternatives that are exponentially better and more reliable", Jack Wallen, February 17, 2022). В действительности в мире существует достаточно много альтернатив, в том числе более дешевых и надежных, например, Google Docs, Apple Pages, LibreOffice Writer, FreeOffice TextMaker и др.
Компании, вовлеченные в разработку квантовых компьютеров (КК), в этом месяце получили новые гранты из двух разных источников (см. "Quantum news: D-Wave goes public via a blank check company while Q-CTRL wins an SBIR grant, Veronica Combs, February 15, 2022). Это небольшие инновационные гранты от бизнеса и от специализированных крупных компаний. Еврокоммиссия также имеет планы по разрабоке чипов для КК (~1млрд евро). Q-CTRL выиграла грант на разработку чипа управления для КК. Эти компьютеры планируется использовать для усовершенствования параметров аккумуляторов. Компания D-Wave анонсировала совместные работы с компанией DPCM CapitalDPCM Capital. Проект будет называться QBTS.
Серия DDoS-атак (15 февраля 2022) против WEB-сайтов министерства обороны и банковских объектов на Украине по утверждению экспертов организованы из РФ (ГРУ) (см. "UK joins US in pinning Ukraine DDoS attacks on Russia, Alex Scroxton, 21 Feb 2022). США усиливает поддержку Украины в области кибербезопасности, начиная с ноября 2011г. Источники DDoS-атак находятся в Новой Зеландии, Португалии, России, Великобритании, США и даже в самой Украине. Ботнет, с помощью которой предпринималась атака, подобна стандартной сети Mirai, центр управления размещен в Голландии.
Цепочки снабжения для бизнеса являются основой жинеспособности (см. "14 Supply Chain Trends for 2022/2023: New Predictions To Watch Out For", Finances Online). Пандемия COVID-19 усугубила эту зависимость и вынудила привлекать для решения проблем снабжения дополнительные источники. В сфере распределения и логистики аутсорсинг достигает 42%, далее следует производство - 37%. На рис. 28 показано распределение приоритетов, на первом мести анализ данных (41%), далее следуют объекты ioT - 39%, облачные вычисления - 39% и информационная безопасность - 31%.
Рис. 28. Тенденции в области поставок
В бизнесе отрабатываются системы управления цепочкой поставщиков SCM (Supply Chain Management). На рис. 29 предсталены прогнозы продаж для США в миллиардах долларов.
Рис. 29. Прогнозы продаж основных продуктов (в млрд$) в 2019-21гг
Современная экологическая модель производства предполагает в перспективе полную рециркуляцию всех продуктов - переход на "зеленую" схему поставок (см. рис. 30). Этому будт способствовать тотальная глобализация производства. Глобализация приведет попутно к росту перевозок. При обработке данных будет широко использоваться техника blockchain.
Рис. 30. Схема замкнутого цикла поставок, сбыта и рециркуляции
В производство все шире будет внедряться робототехника, искусственный интеллект, IoT, виртуальная и дополненная реальность.
США и Евросоюз ищут способ заблокировать криптовалютные обмены для России (см. "Russia is likely using cryptocurrency to thwart sanctions", Lucas Mearian, MAR 7, 2022). Предполагается, что российское правительство и олигархи могут использовать криптовалюту (биткоин или Tether (USDT)) для трансграничных платежей, что стало актуальным полсе отключения ряда российских банков от системы Swoft. Эти платежные средства обеспечивают анонимность, но их курс крайне нестабилен. Планируется блокировка приложений, работающих с криптовалютой, для субъектов из РФ.
Казначейство США (Financial Crimes Enforcement Network) предупредило все финансовые организации о подозрительной активности (см. "Russia may try to dodge sanctions using ransomware payments, warns US Treasury", Brian Stone, March 10, 2022). Казначейство считает, что РФ может попытаться обойти санкции, используя платежи, получаемые за счет вымогательства. 9-го марта 2022 года президент США Джо Байден подписал указ о регулированиии оборота криптовалюты. Планируется введение национальной криптовалюты США.
Анализируя индикаторы компроментации, ФБР США выявила список критическиъ секторов, которые были атакованы ransomware группой (см. "FBI finds Ragnar Locker hit 52 U.S. critical infrastructure targets", Arielle Waldman, 08 Mar 2022). Хакерская группа Ragnar Locker ransomware, начиная с апреля 2020 по январь 2022 гг атаковала более 50 критических инфраструктур в США. Хакеры группы чувствуют себя в России спокойно. Если положение жертвы идентифицируется как 'Azerbaijani,' 'Armenian,' 'Belorussian,' 'Kazakh,' 'Kyrgyz,' 'Moldavian,' 'Tajik,' 'Russian,' 'Turkmen,' 'Uzbek,' 'Ukrainian,' или 'Georgian' атака проекращается. Вредоносная программа использует Windows API, включая GetLocaleInfoW. Программа также пытается уничтожить все копии данных, используя две команды:
>vssadmin delete shadows /all /quiet и
>wmic.exe.shadowcopy.delete.
Президент США Джо Байден выпустил указ (“Ensuring Responsible Development of Digital Assets”) о криптовалюте с целью уменьшить риски, связанные с незаконными операциями в этой сфере (см. "Biden’s cryptocurrency executive order addresses illicit financial risks", Cynthia Brumfield, MAR 9, 2022). Указ направлен прежде всего против атак типа ransomware. Предполагается введение национальной криптовалюты CBDC (США).
В феврале все фишинговые e-mail .были помечены Gmail как спам и отфильтрованы (см. "Chinese hackers attempted phishing on emails affiliated with US government", Brian Stone, March 9, 2022). Согласно данным группы TAG (Google’s Threat Analysis Group) многие клиенты Gmail были атакованы в феврале китпйской хакерской группой APT31. Данные атаки оказались неэффективны, так как все эти письма были помечены Gmail как спам. В марте Google предупредила пользователей о возможных атаках из России, Китая и Белоруси (хакерская группа FancyBear/APT28).
Исследователи из Proofpoint установили, что атаки. о которых писали в 2017г Cisco Talos и Microsoft были организованы одной и той же группой хакеров TA2541 (см. "Researchers discover common threat actor behind aviation and defense malware campaigns", Brandon Vigliarolo, February 15, 2022). Эта группа пыталась заразить троянами RAT объекты в авиационной, авиакосмической, транспортной и оборонной областях. Атаки предпринимались через посредство различных приложений ОС Windows.
Серверы остаются основой информационных центров, хотя все чаще перемещвются в облачную среду и их функция реализуется посредством SaaS (см. "Server Hardware Guide to Architecture, Products and Management", TechTarget. SearchDataCenter). Сервер может быть отдельно стоящим, или размещаться в одной или нескольких стойках. Все чаще архитектура сервера оказывается перепрограммируемой. Рассмотрены факторы, которые должны быть учтены при покупке сервера и всех его составных частей. Обсуждается диагностика сервера и способы его охлаждения.
Рис. 31. Доли различных требований, определяющих выбор оборудования для сервера
На рис. 32 показано распределение различных приложений информационных серверов.
Рис. 32. Десять наиболее важных предназначений информационного сервера
Согласно докладу Proofpoint в связи с вторжением на Украину активизировались атаки китайских хакеров группы TA416 против европейских дипломатов (см. "China-aligned APT renews cyberattack on European diplomats, as war rages", Shweta Sharma, MAR 9, 2022). Группа TA416 известна также по именем RedDelta. При атаке используются вредоносные вставки в почтовых сообщениях. Если такая вставка активируется, она пытается скопировать картинку с хакерского сервера. В последнее время TA416 использовала скомпрометированный emal адрес из одной из европейских стран NATO. Первые такие атаки были предприняты в начале ноября 2021 года с аккаунта службы оповещения серетариата ООН. При атаке используется вредоносный код PlugX (троян). В атаке была использована почтовая маркетинговая служба SMTP2Go. Часто атаки начинались с посылки фишингового сообщения с архивированным вложением.
В Великобритании отмечается рост заражений Trickbot (см. "UK organisations untroubled by Trickbot surge", Alex Scroxton, 18 Feb 2022). В мире зарегистрировано заражение 140000 систем. Жертвами, начиная с конца 2020 года, стали клиенты компаний Amazon, Google и Microsoft. По данным Check Point Research целью хакеров является краже данных, включая параметры доступа. В список жертв попали American Express, AOL, Barclays, Capital One, Citibank, JPMorgan Chase, LexisNexis, Paypal, Wells Fargo и Yahoo. Большая часть атак приходится на азиатско-тихоакеанский регион.
Компания Microsoft анонсировала, что Lenovo и изготовитель чипов AMD начали производство лаптопов ThinkPad Z13 (1549$) и ThankPad Z1 (2099$), в которых применены чипы безопасности Pluton (см. "Microsoft touts first PCs to ship natively with secure Pluton chip", Lucas Mearian, JAN 12, 2022). Чип Pluton взаимодействует с BitLocker, Windows Hello и System Guard, предотвращая таким образом возможную атаку. Данная технология была применена в Azure Sphere (облачная среда). В октябре 2021 Microsoft сообщила об использованиее чипа Pluton в ОС Windows 11 c процессором серии AMD 6000 и TPM 2.0 (Trusted Platform Module). Эксперы считают, что главным преимуществом чипа Pluton является блокировка атак через боковой канал.
Представлен результат анализа систем online безопасности крупнейших 15 банков Великобритании на момент октября 2021 года (см. "How safe is online banking?", Chiara Cavaglieri, Jan 2022). Первую позицию в таблице сравнения характеристик безопасности занимает банк HSBC. Отдельно рассмотрена безопасность мобильного доступа. Среди параметров сравнения фигурировали: система криптозащиты, авторизация (SCA), управление аккаунтом (CoP) и навигация.
Исследования компании Gartner показало, что только 29% ИТ-сотрудников рассчитывают продолжать работать на своем месте (см. "Gartner study: Only 29% of IT workers plan to stay with their current employers", Esther Shein, March 9, 2022). Чтобы решить эту проблему работодателям рекомендуется адаптировать режим работы к пожеланиям сотрудников (4-дневная неделя, удаленный режим и т.д.)
Уже несколько лет подряд среди наиболее популярных языков программирования лидирует Python (рейтинг TIOBE). За Python следуют Java, C++ , С#. А мой любимый perl за год съехал с 11-го на 19-е место.
Среди киберкриминальных групп имеет место дифференциация функций. Одни разрабатывают вредоносные коды, другие взламывают компьютеры (IAB) и предлагают их другим хакерам, третьи реализуют ransomware-as-a-service, четвертые являются постащиками данных (см. "Who's who in the cybercriminal underground", Ax Sharma, MAR 14, 2022). IAB-группы могут по заказу клиента разрушать систему жертвы, красть или шифровать его данные или даже разрушать резервные копии. Появились группы, которые предоставляют комплексное обслуживание (RaaS).
Сетевые мониторы нужны любому администратору, вопрос в том, какой из них выбрать (см. "Network monitoring tools every admin should know", Jack Wallen, on March 8, 2022. Проанализированы характеристики пяти наиболее популярных: Wireshark, ManageEngine OpManager, Checkmk, Nagios Core, Zabbix.
