Кибервойна

Не успела Беларусь принять Военную доктрину, в которой прописана возможность силового ответа на кибератаку (а точнее на вредоносное информационно-техническое воздействие, ведущее к нарушению устойчивой работы критически важных объектов инфраструкутуры государства), как жизнь подбросила первое испытание. Хактивистская группа "Белорусские киберпартизаны" заявила, что ей удалось взломать КГБ Беларуси и похитить личные данные нескольких тысяч сотрудников, адресованные спецслужбе доносы, а также положить официальный сайт. "Киберпартизаны" известны по многочисленным атакам на белорусские организации и, например, по взлому ГРЧЦ (за который ведомство оштрафовали на 30 тысяч).

Что такое работа в газете? Это когда три месяца ходишь на суды, опрашиваешь десяток людей, смотришь полтора десятка документов, а в итоге пишешь заметку на 75 строк о том, как система поиска запрещенки в интернете может не работать из-за судебных споров подрядчиков.

Госслэк

Беларусь закрепила в Военной доктрине возможность ответить силой на кибератаку Сегодня в Беларуси опубликована новая Военная доктрина. Документ впервые предусматривает возможность ответить силой на кибератаку, которая нарушила работу критической инфраструктуры. Включение этого пункта в доктрину было анонсировано ещё в январе. На первый взгляд может показаться, что это само собой разумеющееся нововведение, которое просто отражает, что киберконфликт стал реальностью для военных. На практике оно поднимает множество вопросов. Как Беларусь подойдёт к атрибуции кибератак? Как она будет толковать международное право в случае такого ответа? Как будут определяться параметры ответа? Что этот пункт означает для союзных обязательств в ОДКБ? И так далее. Разумеется, эти вопросы во многом носят гипотетический характер. Но с закреплением такой возможности в Военной доктрине их придётся рассматривать всерьёз.

Red Raindrop team — команда по расследованию киберугроз китайской компании QiAnXin — продолжает писать о группировках, связываемых с Россией. В октябре прошлого года исследователи опубликовали отчёт об операции «Спрятавшийся медведь» (Operation HideBear: Russian Threat Actors Targeting East Asia and North America). Довольно длинная цепочка атаки начиналась с создания фишинговых сайтов, имитирующих страницы скачивания популярного софта (на скриншоте страница с лого Microsoft), и закупки рекламы для показа ссылок над результатами поиска в Google. И завершалась установкой на компьютер трояна MINEBRIDGE RAT. В отчёте отмечалось, что с доменами атакующих связывались в т.ч. организации из Китая, а цели атак были не только финансово мотивированные, но могли включать и кражу информации об электронных и медицинских технологиях. Что касается атрибуции, то китайские исследователи полагались на предыдущие отчёты от Zscaler (атрибутирует MINEBRIDGE RAT группе TA505) и Microsoft (называет Storm-0978/RomCom киберпреступной группой, которая действует из России и занимается как вымогательством, так и вероятным сбором развединформации). Несмотря на то что в отчёте QiAnXin слово Russian вынесено в заголовок, исследователи от себя не добавляют каких-то дополнительных сведений относительно страновой принадлежности. Но со средней степенью уверенности утверждают, что Storm-0978, TA505 и MINEBRIDGE RAT имеют «глубокие связи». Пару дней назад исследователи QiAnXin опубликовали ещё один отчёт о Storm-0978 с описанием необычной техники обхода обнаружения атаки системами EDR (The Nightmare of EDR: Storm-0978 Utilizing New Kernel Injection Technique "Step Bear").

Подтверждение взлома сайта «Патриотов России» На прошлой неделе депутат Геннадий Семигин выиграл суд по делу, связанному с историей вокруг взлома сайта движения «Патриотов России». В конце сентября на сайте было размещено заявления в поддержку Адама Кадырова, избившего Никиту Журавеля, которое содержало оскорбительные слова в адрес солдат ВС РФ. После того, как заявление подверглось критике, Семигин, лидер «Патриотов России», объяснил его взломом сайта. Эта версия была встречена со скепсисом, но, как я объяснял, она подтверждалась даже публично доступными сведениями. В декабре Семигин заявил, что факт взлома был доказан. Затем он подал иск о защите чести и достоинства к неонацисту Евгению Рассказову (Топазу), который осенью в своём телеграм-канале критиковал депутата за заявление, оказавшееся поддельным. Суд состоялся на прошлой неделе и, как сообщил канал Zlawyers (очевидно, команда защиты Топаза), иск Семигина был частично удалён: ответчика обязали удалить несколько постов, написать опровержение, выплатить 500 тысяч за моральный ущерб. Защита подаст апелляцию. Но самое интересное, что канал Zlawyers опубликовал снимки документов с экспертизой, предоставленной суду истцом. Если кратко, то сайт «Патриотов России» на WordPress был заражён трояном, благодаря чему злоумышленник смог сбросить пароль и получить доступ к админке и смог опубликовать статью. По IP-адресу, с которого был осуществлён доступ, проводивший экспертизу специалист сделал вывод, что атака была инициирована с Украины. Экспертиза убедила не только суд, но отчасти и сторону защиты: в сообщении Zlawyers в качестве претензий Семигину теперь предъявляется не само поддельное заявление, а то, что никто не понёс ответственности за размещение на сайте порочащей ВС РФ информации, а также отсутствие со стороны депутата извинений за халатность. Эта история примечательна тем, насколько резонансной оказалась публикация. Успех таких фейковых новостей — дело нечастое. Обычно их быстро обнаруживают и опровергают, как было с недавним взломом сайта клуба «Валдай» или поддельными новостями о предотвращённом покушении на президента Словакии. Парадоксально, но в случае с «Патриотами России» атакующие добились эффекта именно благодаря негодованию провоенного сообщества, которое невольно поспособствовало чужой информационной операции и по-прежнему отказывается это признавать.

Вот ещё одна история о размещении злоумышленниками поддельной статьи на новостном сайте. Чешское информационное агентство выпустило заявление о том, что во вторник хакер разместил на его сайте два сообщения. Оба касались предотвращённой попытки покушения на недавно избранного президента Словакии Петра Пеллегрини. На самом деле такой попытки не было. Основная новость сохранилась в архиве — как отмечает The Record, читатели обратили внимание на неправильное написание имени президента (один раз имя упомянуто правильно, а 12 раз Pelligrini написано с ошибкой через i).

Правительство одобрило проект поправок в Уголовный кодекс, которые усиливают наказание за утечки данных, ко второму чтению, узнал РБК. МВД выступало за смягчение формулировок, но его позицию не поддержали. 🐚 Картина дня — в телеграм-канале РБК

Консорциум информационной безопасности ИИ В России планируется создание консорциума для исследования информационной безопасности искусственного интеллекта. По словам замминистра цифрового развития Александра Шойтова, консорциум будет действовать на базе трёх организаций: Института системного программирования РАН, Академии криптографии и Национального координационного центра по компьютерным инцидентам. Консорциум может быть сформирован уже до конца апреля, а подробный анонс планируется на 27 мая. В начале месяца была новость о возможном создании в России CERT по безопасности ИИ. Учитывая, что в консорциуме будет участвовать НКЦКИ, возможно, он совместит в себе и функции команды реагирования на инциденты, связанные с ИИ.

В апреле 2024 группа Sticky Werewolf использовала новый инструмент — Rhadamanthys Stealer. На примере свежей кибератаки Sticky Werewolf специалисты F.A.C.C.T. рассказали, чем он примечателен. ↖️Три ключевые особенности Rhadamanthys Stealer: ☀️Модульная архитектура, которая делает Rhadamanthys Stealer гибким инструментом для кибершпионажа. ☀️Целевая кража данных. Стилер собирает информацию о системе, крадет историю просмотров, закладки, куки, учетные данные для входа в систему из различных браузеров. ☀️Продвинутая маскировка. Rhadamanthys использует продвинутые методы обфускации, что усложняет его обнаружение и анализ. 🤭 Полную версию разбора атаки с техническими деталями читайте на Хабре 👈