Днище российского кибербеза — как киберкриминал под видом детективов открыто торгует взломом мессенджеров
После материала Mash (ссылка) мы провели собственный OSINT — и результат превзошёл худшие ожидания. Исполнители, о которых идёт речь, не просто существуют в тени — они открыто рекламируют незаконные услуги в публичном Telegram-канале. Прайс: 1000 долларов за несанкционированный доступ к мессенджеру жертвы. Скриншоты прилагаются. Мы специально не скрываем название канала, чтобы все видели проблему.
Господа и дамы, это треш. Тут вся индустрия ходит в "серой зоне", обкладывается бумажками и договорами на 100500 страниц, лишний раз чихнуть боится, а эти граждане рекламируется особо не скрываясь. За красивой формулировкой «веб-панель с параллельной сессией и обходом 2FA» скрывается банальный целевой фишинг — один из самых распространённых инструментов кибератак, против которого сегодня выстроены целые национальные программы противодействия. WhatsApp, Instagram — по заявлению самих исполнителей, схема универсальна.
Речь идёт не о бытовых конфликтах между супругами. Речь о векторе атаки на любую цель — от рядового гражданина до сотрудника оборонного предприятия или госструктуры. Сегодня ломают аккаунт неверного мужа, завтра — менеджера Ростеха, Росатома или подрядчика ФСБ. Данные из скомпрометированного мессенджера оседают у третьих лиц — и дальнейший маршрут этой информации не поддаётся контролю.
А ТЕПЕРЬ САМОЕ УДИВИТЕЛЬНОЕ. Граждане (скрин ниже) на своем сайте прямо пишут, что работают не только в России, но и предлагают помощь ... в Украине (да, через "в"). В том числе помощь в "запросе украинской стороны". Понимаете, да?
В эпоху, когда ФСБ, ФСТЭК и Роскомнадзор ужесточают требования к защите персональных данных и корпоративных коммуникаций, когда введена обязательная отчётность об инцидентах, когда атаки на критическую инфраструктуру квалифицируются как угроза национальной безопасности — подобный сервис функционирует в открытую и без каких-либо последствий.
Про то, что это НЕЗАКОННАЯ ДЕЯТЕЛЬНОСТЬ мы просто не хотим говорить, это очевидно. У нас тут пол-страны борются с мошенниками, ущерб от них уже измеряется в сотнях миллиардов рублей, обучение противодействию фишингу просто на каждом шагу.
Надеемся, что российским правоохранителям это будет интересно. Деятельность подпадает под статьи 272 УК РФ, а заказчики услуги — под ст. 33 УК как соучастники. Однако канал работает.
Ну и главное. Если мы будет вот так смотреть на нарушения закона и открытое предложение услуг по взлому, то чем мы отличаемся от участников того чата?
Накопал нам информацию: Артем Иргебаев, Lead Investigator @ Hyperfocus.ae
Отдельное внимание просим обратить @durov
После материала Mash (ссылка) мы провели собственный OSINT — и результат превзошёл худшие ожидания. Исполнители, о которых идёт речь, не просто существуют в тени — они открыто рекламируют незаконные услуги в публичном Telegram-канале. Прайс: 1000 долларов за несанкционированный доступ к мессенджеру жертвы. Скриншоты прилагаются. Мы специально не скрываем название канала, чтобы все видели проблему.
Господа и дамы, это треш. Тут вся индустрия ходит в "серой зоне", обкладывается бумажками и договорами на 100500 страниц, лишний раз чихнуть боится, а эти граждане рекламируется особо не скрываясь. За красивой формулировкой «веб-панель с параллельной сессией и обходом 2FA» скрывается банальный целевой фишинг — один из самых распространённых инструментов кибератак, против которого сегодня выстроены целые национальные программы противодействия. WhatsApp, Instagram — по заявлению самих исполнителей, схема универсальна.
Речь идёт не о бытовых конфликтах между супругами. Речь о векторе атаки на любую цель — от рядового гражданина до сотрудника оборонного предприятия или госструктуры. Сегодня ломают аккаунт неверного мужа, завтра — менеджера Ростеха, Росатома или подрядчика ФСБ. Данные из скомпрометированного мессенджера оседают у третьих лиц — и дальнейший маршрут этой информации не поддаётся контролю.
А ТЕПЕРЬ САМОЕ УДИВИТЕЛЬНОЕ. Граждане (скрин ниже) на своем сайте прямо пишут, что работают не только в России, но и предлагают помощь ... в Украине (да, через "в"). В том числе помощь в "запросе украинской стороны". Понимаете, да?
В эпоху, когда ФСБ, ФСТЭК и Роскомнадзор ужесточают требования к защите персональных данных и корпоративных коммуникаций, когда введена обязательная отчётность об инцидентах, когда атаки на критическую инфраструктуру квалифицируются как угроза национальной безопасности — подобный сервис функционирует в открытую и без каких-либо последствий.
Про то, что это НЕЗАКОННАЯ ДЕЯТЕЛЬНОСТЬ мы просто не хотим говорить, это очевидно. У нас тут пол-страны борются с мошенниками, ущерб от них уже измеряется в сотнях миллиардов рублей, обучение противодействию фишингу просто на каждом шагу.
Надеемся, что российским правоохранителям это будет интересно. Деятельность подпадает под статьи 272 УК РФ, а заказчики услуги — под ст. 33 УК как соучастники. Однако канал работает.
Ну и главное. Если мы будет вот так смотреть на нарушения закона и открытое предложение услуг по взлому, то чем мы отличаемся от участников того чата?
Накопал нам информацию: Артем Иргебаев, Lead Investigator @ Hyperfocus.ae
Отдельное внимание просим обратить @durov
🤬64😁20🗿9🤔6❤5👏4🤡4🤣2👨💻1
Forwarded from Киберболоид
ИБ рубль бережёт
В исследовании Росконгресса говорится, что лишь 38% руководителей компаний считают, что инвестиции в кибербезопасность влияют на стоимость компании.
➡️ В новом материале «Киберболоида» выяснили, как обосновать бюджет на ИБ в совете директоров так, чтобы его получить. Своими историями поделились представители «Авито» и «Точка Банка».
#киберболоид #аналитика
В исследовании Росконгресса говорится, что лишь 38% руководителей компаний считают, что инвестиции в кибербезопасность влияют на стоимость компании.
#киберболоид #аналитика
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5👍2😁2
Forwarded from Fixed.One: новости мира Apple и не только…
Наши вебинары выходят на качественно новый уровень теперь с приглашенными экспертами из самых разных областей. Первый состоится уже в эту среду 13 мая в 20 часов и это будет что-то удивительно интересное как обычным пользователям iPhone, так и энтузиастам (кто сказал, параноикам?) сетевой безопасности. Приглашенный гость — эксперт по кибербезопасности Антон Бочкарев, со-основатель компании «Третья стороны», которая защищает от сетевых угроз бизнесы от малого до самых крупных. Поговорим про безопасность и защищенность айфонов, включая, но не только...
— В чем ключевые особенности защиты современных айфонов?
— Как их ломали при физическом доступе?
— Как их ломали абсолютно удаленно?
— Что нужно для таких атак и сколько они стоят?
— Как чаще всего атакуют айфоны обычных людей?
-—И кто вообще этим занимается? Как работает рынок киберкриминала?
https://www.icloud.com/invites/059Q-zJniPu1qZWO08v65E8LA
Мероприятие бесплатно, записываться можно (и нужно) по ссылке через приложение Приглашения Apple. Внутри будет ссылка на Zoom-конференцию. Ну или всегда можно написать нашим админам в @FixedOneOffice и они пришлют ссылку руками.
Приходите, будет интересно! А еще подписывайтесь на канал «Третьей стороны» — очень интересно и понятно пишут про безопасность, да и не спамят как мы 😎
https://t.me/By3side
@FixedOneNews
— В чем ключевые особенности защиты современных айфонов?
— Как их ломали при физическом доступе?
— Как их ломали абсолютно удаленно?
— Что нужно для таких атак и сколько они стоят?
— Как чаще всего атакуют айфоны обычных людей?
-—И кто вообще этим занимается? Как работает рынок киберкриминала?
https://www.icloud.com/invites/059Q-zJniPu1qZWO08v65E8LA
Мероприятие бесплатно, записываться можно (и нужно) по ссылке через приложение Приглашения Apple. Внутри будет ссылка на Zoom-конференцию. Ну или всегда можно написать нашим админам в @FixedOneOffice и они пришлют ссылку руками.
Приходите, будет интересно! А еще подписывайтесь на канал «Третьей стороны» — очень интересно и понятно пишут про безопасность, да и не спамят как мы 😎
https://t.me/By3side
@FixedOneNews
🔥10❤2👍1
Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 1: ПОНЕДЕЛЬНИК Серия 1 из 8. 8:47 утра. Людмила Семёновна включает компьютер. 1С не открывается. Людмила Семёновна — бухгалтер с 22-летним стажем. Она переживала налоговые проверки, нулевые годы, три смены директоров и один пожар…
Telegram
Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 3: МАСТЕРА С АВИТО
Серия 3 из 8.
1С молчит. Склад не работает. Менеджеры по продажам пьют чай и делают вид, что заняты. Водители звонят и спрашивают накладные. Людмила Семёновна выписывает их от руки.
Дима сказал Михаилу Борисовичу…
Серия 3 из 8.
1С молчит. Склад не работает. Менеджеры по продажам пьют чай и делают вид, что заняты. Водители звонят и спрашивают накладные. Людмила Семёновна выписывает их от руки.
Дима сказал Михаилу Борисовичу…
🔥8🤡4👍2❤1
Forwarded from КОД ИБ: информационная безопасность
Ток-шоу «Безопасная среда»
КИИ не по методичке: живой опыт экспертов по защите объектов КИИ
🗓 13 мая в 12:00 (МСК)
➡️ Регистрация
Между требованиями на бумаге и реальной защитой объектов КИИ часто лежит пропасть из ограниченных ресурсов, сложных процессов и нестандартных решений.
В новом выпуске ток-шоу «Безопасная среда» эксперты обсудят, как на практике выстраивается защита КИИ — без идеальных схем и «методичек для отчета».
Обсудим:
• Почему формальное выполнение требований не всегда означает реальную защищенность
• Какие ошибки чаще всего допускают при внедрении мер защиты
• Как меняется подход к КИИ на фоне новых угроз и дефицита кадров
• Как выстраивать взаимодействие между ИБ, ИТ и бизнесом
• Какие практики действительно работают в инфраструктуре с высокими требованиями к устойчивости
Спикеры:
— Евгений Баклушин, автор BESSEС, директор КИТ
— Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ
— Иван Земцов, эксперт по информационной безопасности, консультант, преподаватель и автор образовательных курсов
— Андрей Миняев, к.т.н., руководитель Центра информационной безопасности Digital Design
Присоединяйтесь к эфиру — разберем живые кейсы, спорные вопросы и опыт специалистов, которые каждый день работают с защитой КИИ в реальных условиях.
КИИ не по методичке: живой опыт экспертов по защите объектов КИИ
Между требованиями на бумаге и реальной защитой объектов КИИ часто лежит пропасть из ограниченных ресурсов, сложных процессов и нестандартных решений.
В новом выпуске ток-шоу «Безопасная среда» эксперты обсудят, как на практике выстраивается защита КИИ — без идеальных схем и «методичек для отчета».
Обсудим:
• Почему формальное выполнение требований не всегда означает реальную защищенность
• Какие ошибки чаще всего допускают при внедрении мер защиты
• Как меняется подход к КИИ на фоне новых угроз и дефицита кадров
• Как выстраивать взаимодействие между ИБ, ИТ и бизнесом
• Какие практики действительно работают в инфраструктуре с высокими требованиями к устойчивости
Спикеры:
— Евгений Баклушин, автор BESSEС, директор КИТ
— Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ
— Иван Земцов, эксперт по информационной безопасности, консультант, преподаватель и автор образовательных курсов
— Андрей Миняев, к.т.н., руководитель Центра информационной безопасности Digital Design
Присоединяйтесь к эфиру — разберем живые кейсы, спорные вопросы и опыт специалистов, которые каждый день работают с защитой КИИ в реальных условиях.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🔥1
Forwarded from Пакет Безопасности
ЧТО? Правильно, новый ролик!
https://youtu.be/kVCaF4peqIU
https://youtu.be/kVCaF4peqIU
https://youtu.be/kVCaF4peqIU
В этот раз мы встретились с Антоном Бочкаревым – с экспертом в области кибербезопасности и фаундером компании @By3side, чтобы обсудить, как компании легально сливают наше местоположение, как хакеры взламывают наши телеграм-аккаунты, безопасен ли публичный wi-fi и как стоит начинать свою карьеру в информационной безопасности.
Видео смотрим тут
📹 Youtube
📺 VK Video
📺 Rutube
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
https://youtu.be/kVCaF4peqIU
https://youtu.be/kVCaF4peqIU
https://youtu.be/kVCaF4peqIU
В этот раз мы встретились с Антоном Бочкаревым – с экспертом в области кибербезопасности и фаундером компании @By3side, чтобы обсудить, как компании легально сливают наше местоположение, как хакеры взламывают наши телеграм-аккаунты, безопасен ли публичный wi-fi и как стоит начинать свою карьеру в информационной безопасности.
Видео смотрим тут
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍5❤3
Кстати, вчера вышла серия 4, не пропустили?
Если не видели прошлые, внизу есть ссылки на все)
Если не видели прошлые, внизу есть ссылки на все)
🔥5👍3❤2
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 4: БОЛЬШИЕ МАЛЬЧИКИ
Серия 4 из 8.
Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами.
Приехали двое. Костюмы. Ноутбуки с логотипом Apple. Говорят правильными словами: «векторы атаки», «криминалистическая экспертиза», «полный аудит инфраструктуры».
Михаил Борисович немного успокаивается. Серьёзные люди.
Они ходят по офису три часа. Делают снимки экранов. Берут образы дисков. Пьют кофе. Задают вопросы Диме. Дима отвечает уклончиво.
На следующий день присылают письмо.
«Благодарим за обращение. По итогам первичного обследования можем предложить следующие услуги: криминалистическое расследование инцидента, восстановление инфраструктуры, аудит безопасности, разработка регламентов...»
Внизу — итоговая сумма.
4 600 000 рублей.
Срок — 6-8 недель.
Михаил Борисович смотрит на цифру. Потом смотрит в окно. Потом снова на цифру.
Это не значит, что компания плохая. Они реально умеют. Просто они работают с банками и госкорпорациями. Для них ООО «Три Богатыря» — маленький нестандартный кейс, который надо правильно упаковать в коммерческое предложение.
А «Три Богатыря» нужно работать. Сейчас. Не через 6-8 недель.
Пока Михаил Борисович смотрит на КП, Антон сидит в переговорке с «Премиумбетоном».
«Премиумбетон» — партнёр на 12 миллионов в год. Они работают вместе семь лет. Антон знает там всех по именам, был на корпоративах, крестил ребёнка у одного из менеджеров.
Партнёр говорит аккуратно, но прямо: «Антон, мы понимаем, что у вас сложности. Но у нас свои обязательства перед клиентами. Мы вынуждены временно работать с "Стальпромом". Как только у вас всё восстановится — вернёмся к диалогу».
«Временно» в устах партнёра звучит как «навсегда».
Антон говорит: «Конечно, понимаем. Буквально пара дней».
Выходит из переговорки. Зачёркивает «Премиумбетон» в блокноте.
━━━━━━━━━━
Счётчик потерь. День 8:
— Простой: ~4 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 25 000 ₽
— Данные: зашифрованы
— Причина известна: нет
— Клиентов, ушедших к конкурентам: 2 (в т.ч. партнёр на 12 млн/год)
— На столе у Михаила Борисовича лежит КП на 4 600 000 ₽. Он смотрит на него и думает о жизни.
━━━━━━━━━━
Продолжение в четверг.
1 Серия
2 Серия
3 Серия
Серия 4 из 8.
Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами.
Приехали двое. Костюмы. Ноутбуки с логотипом Apple. Говорят правильными словами: «векторы атаки», «криминалистическая экспертиза», «полный аудит инфраструктуры».
Михаил Борисович немного успокаивается. Серьёзные люди.
Они ходят по офису три часа. Делают снимки экранов. Берут образы дисков. Пьют кофе. Задают вопросы Диме. Дима отвечает уклончиво.
На следующий день присылают письмо.
«Благодарим за обращение. По итогам первичного обследования можем предложить следующие услуги: криминалистическое расследование инцидента, восстановление инфраструктуры, аудит безопасности, разработка регламентов...»
Внизу — итоговая сумма.
4 600 000 рублей.
Срок — 6-8 недель.
Михаил Борисович смотрит на цифру. Потом смотрит в окно. Потом снова на цифру.
Это не значит, что компания плохая. Они реально умеют. Просто они работают с банками и госкорпорациями. Для них ООО «Три Богатыря» — маленький нестандартный кейс, который надо правильно упаковать в коммерческое предложение.
А «Три Богатыря» нужно работать. Сейчас. Не через 6-8 недель.
Пока Михаил Борисович смотрит на КП, Антон сидит в переговорке с «Премиумбетоном».
«Премиумбетон» — партнёр на 12 миллионов в год. Они работают вместе семь лет. Антон знает там всех по именам, был на корпоративах, крестил ребёнка у одного из менеджеров.
Партнёр говорит аккуратно, но прямо: «Антон, мы понимаем, что у вас сложности. Но у нас свои обязательства перед клиентами. Мы вынуждены временно работать с "Стальпромом". Как только у вас всё восстановится — вернёмся к диалогу».
«Временно» в устах партнёра звучит как «навсегда».
Антон говорит: «Конечно, понимаем. Буквально пара дней».
Выходит из переговорки. Зачёркивает «Премиумбетон» в блокноте.
━━━━━━━━━━
Счётчик потерь. День 8:
— Простой: ~4 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 25 000 ₽
— Данные: зашифрованы
— Причина известна: нет
— Клиентов, ушедших к конкурентам: 2 (в т.ч. партнёр на 12 млн/год)
— На столе у Михаила Борисовича лежит КП на 4 600 000 ₽. Он смотрит на него и думает о жизни.
━━━━━━━━━━
Продолжение в четверг.
1 Серия
2 Серия
3 Серия
🔥9❤4👍4🤡3
Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 4: БОЛЬШИЕ МАЛЬЧИКИ Серия 4 из 8. Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами. Приехали двое. Костюмы.…
Нашли опечатку, поправили)
👍4😁4
Forwarded from Капитализм под защитой
Киберстрахование для МСБ: почему раньше не работало и что изменилось
Киберстрахование в России существует уже несколько лет, но малый и средний бизнес им почти не пользуется. Причины понятны.
Проблема 1: Сложный вход. У компаний малого и среднего бизнеса либо очень слабая защита цифровой инфраструктуры, либо ее вовсе нет, что чаще всего связано с отсутствием ресурсов и экспертизы. Страховщики не готовы страховать такие риски.
Проблема 2: Высокая цена. Страховщик не может точно оценить киберриски клиента без дорогостоящего аудита, поэтому закладывает неопределённость в тариф. Услуга становится нерентабельной для небольших компаний.
Проблема 3: Риск отказа в возмещении ущерба. Договор страхования заключается на основании заявления на страхование, которое оформляется в самом начале. Решение о выплате принимается в том числе с учетом данных, указанных в заявлении. Что если инфраструктура с тех пор изменилась?
Мы в 4sec попробовали решить эти три проблемы одновременно. Идея - если встроить в страховой продукт систему мониторинга, которая непрерывно оценивает состояние инфраструктуры, то:
— реальное снижение рисков позволяет получить более выгодный тариф
— решение о страховании и возмещении принимается на основе данных из сервиса, а не на основе устаревших данных в заявлении
Так появился Кибер.Полис+ — страховой продукт, в который встроен облачный сервис безопасности. Покрытие от 30 млн рублей, оформление за 1 день, подключение сервиса за 30 минут.
Подробнее о том, как это устроено: https://4security.ru/products/insurance/
Киберстрахование в России существует уже несколько лет, но малый и средний бизнес им почти не пользуется. Причины понятны.
Проблема 1: Сложный вход. У компаний малого и среднего бизнеса либо очень слабая защита цифровой инфраструктуры, либо ее вовсе нет, что чаще всего связано с отсутствием ресурсов и экспертизы. Страховщики не готовы страховать такие риски.
Проблема 2: Высокая цена. Страховщик не может точно оценить киберриски клиента без дорогостоящего аудита, поэтому закладывает неопределённость в тариф. Услуга становится нерентабельной для небольших компаний.
Проблема 3: Риск отказа в возмещении ущерба. Договор страхования заключается на основании заявления на страхование, которое оформляется в самом начале. Решение о выплате принимается в том числе с учетом данных, указанных в заявлении. Что если инфраструктура с тех пор изменилась?
Мы в 4sec попробовали решить эти три проблемы одновременно. Идея - если встроить в страховой продукт систему мониторинга, которая непрерывно оценивает состояние инфраструктуры, то:
— реальное снижение рисков позволяет получить более выгодный тариф
— решение о страховании и возмещении принимается на основе данных из сервиса, а не на основе устаревших данных в заявлении
Так появился Кибер.Полис+ — страховой продукт, в который встроен облачный сервис безопасности. Покрытие от 30 млн рублей, оформление за 1 день, подключение сервиса за 30 минут.
Подробнее о том, как это устроено: https://4security.ru/products/insurance/
👍4🔥2❤1
Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 4: БОЛЬШИЕ МАЛЬЧИКИ Серия 4 из 8. Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами. Приехали двое. Костюмы.…
Серия 5 вышла, вы знаете где ее смотреть)
👍11🔥5❤2🤡1
"А кто нас ломает?" - точного ответа нет и не будет
Чтобы ответить на этот вопрос, ИБ-компании прибегают к атрибуции — процессу установления того, кто именно стоит за кибератакой или конкретным инцидентом.
Но возможно ли это точно определить? Скорее нет, чем да.
На чем базируются исследователи?
- Цифровой почерк: У каждой группы есть свои любимые инструменты, фрагменты кода и методы закрепления в системе (TTPs).
- Метаданные и время: Часовые пояса, в которых компилировались вирусы, и язык комментариев в коде (хотя кто мешает хакеру в Москве работать по времени Сиэтла?).
- Инфраструктура: Использование конкретных серверов, прокси-цепочек и методов покупки доменов, которые уже «светились» в прошлых кампаниях.
- Мотив: Кому выгоден взлом? Если крадут чертежи истребителя, подозрение падает на страны-конкуренты, а не на школьника-хулигана.
Но в 2017 году мир ИБ содрогнулся: WikiLeaks опубликовал Vault 7 — крупнейший в истории массив секретных документов ЦРУ. Среди чертежей эксплойтов для «умных» телевизоров и смартфонов обнаружились доказательства того, что американские спецслужбы возвели подделку следов в ранг искусства. В рамках проектов Marble и Umbrage они годами оттачивали технологии «цифрового камуфляжа».
Marble — это целый фреймворк для «запутывания» кода, который позволял вставлять куски на русском, китайском или арабском языках. Чистой воды «подстава», чтобы направить следствие по ложному пути.
А подразделение Umbrage пошло ещё дальше: они собирали библиотеку методов реальных хакерских групп со всего мира. Зачем изобретать велосипед, если можно украсть данные, используя чужой «почерк», и оставить аналитиков в полной уверенности, что это был кто-то другой?
В итоге атрибуция из точной науки превращается в игру «верю — не верю», где любые улики могут оказаться профессионально подброшенными.
Стоит ли вообще доверять публичным отчетам об атрибуции, если «цифровой камуфляж» стал настолько доступным?
Чтобы ответить на этот вопрос, ИБ-компании прибегают к атрибуции — процессу установления того, кто именно стоит за кибератакой или конкретным инцидентом.
Но возможно ли это точно определить? Скорее нет, чем да.
На чем базируются исследователи?
- Цифровой почерк: У каждой группы есть свои любимые инструменты, фрагменты кода и методы закрепления в системе (TTPs).
- Метаданные и время: Часовые пояса, в которых компилировались вирусы, и язык комментариев в коде (хотя кто мешает хакеру в Москве работать по времени Сиэтла?).
- Инфраструктура: Использование конкретных серверов, прокси-цепочек и методов покупки доменов, которые уже «светились» в прошлых кампаниях.
- Мотив: Кому выгоден взлом? Если крадут чертежи истребителя, подозрение падает на страны-конкуренты, а не на школьника-хулигана.
Но в 2017 году мир ИБ содрогнулся: WikiLeaks опубликовал Vault 7 — крупнейший в истории массив секретных документов ЦРУ. Среди чертежей эксплойтов для «умных» телевизоров и смартфонов обнаружились доказательства того, что американские спецслужбы возвели подделку следов в ранг искусства. В рамках проектов Marble и Umbrage они годами оттачивали технологии «цифрового камуфляжа».
Marble — это целый фреймворк для «запутывания» кода, который позволял вставлять куски на русском, китайском или арабском языках. Чистой воды «подстава», чтобы направить следствие по ложному пути.
А подразделение Umbrage пошло ещё дальше: они собирали библиотеку методов реальных хакерских групп со всего мира. Зачем изобретать велосипед, если можно украсть данные, используя чужой «почерк», и оставить аналитиков в полной уверенности, что это был кто-то другой?
В итоге атрибуция из точной науки превращается в игру «верю — не верю», где любые улики могут оказаться профессионально подброшенными.
Стоит ли вообще доверять публичным отчетам об атрибуции, если «цифровой камуфляж» стал настолько доступным?
👍11🔥6❤2
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 5: КОЛЯ ИЗ КАЗАНИ
Серия 5 из 8.
На десятый день Михаил Борисович позвонил однокласснику Игорю. Просто поговорить, пожаловаться. Игорь — владелец производства в Казани.
Игорь молча выслушал. Потом говорит:
— У нас такое же было. Год назад. Нашли ребят, которые помогли. Дай номер дам.
Так появился Коля.
Коля приехал один. Без костюма. С рюкзаком. На вид лет 35. Говорит мало, смотрит много.
Посмотрел час. Сказал:
— Восстановить данные не получится. Шифр современный. Но поднять инфраструктуру и разобраться, как вошли — сделаем. 380 тысяч, две недели.
Михаил Борисович: «А быстрее?»
Коля: «48 часов — базовые бизнес-процессы. Всё остальное — две недели».
Михаил Борисович подписал договор не читая.
Коля начал работать в тот же вечер.
На следующее утро 1С заработала. Частично — с данными за последние полгода, которые нашли в облачном кэше. Склад ожил.
Пока Коля разбирался с серверами, Антон наконец начал обзванивать клиентов с хорошими новостями.
Из двадцати звонков:
— Восемь ответили. Обрадовались. Готовы возобновить заказы.
— Пять не ответили. Перезвонили сами позже и сказали, что «пока работают с другими».
— Трое написали в мессенджер что-то вроде «окей, держите в курсе».
— Двое — «Стройдепо» и «Премиумбетон» — не ответили вообще.
Антон смотрит на блокнот. Там семь зачёркнутых строк.
Семь клиентов. За одиннадцать дней.
Но на третий день Коля пришёл к Михаилу Борисовичу с неприятным разговором.
«Нам нужно поговорить про Диму».
━━━━━━━━━━
Счётчик потерь. День 11:
— Простой: ~5 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽ (25к Авито + 380к Коля)
— 1С: работает! Частично. Склад ожил.
— Данные за 4 месяца: потеряны навсегда
— Клиентов, ушедших к конкурентам: 7
— Причина известна: скоро узнаем. Дима нервничает.
━━━━━━━━━━
Продолжение в воскресенье.
1 Серия
2 Серия
3 Серия
4 Серия
Серия 5 из 8.
На десятый день Михаил Борисович позвонил однокласснику Игорю. Просто поговорить, пожаловаться. Игорь — владелец производства в Казани.
Игорь молча выслушал. Потом говорит:
— У нас такое же было. Год назад. Нашли ребят, которые помогли. Дай номер дам.
Так появился Коля.
Коля приехал один. Без костюма. С рюкзаком. На вид лет 35. Говорит мало, смотрит много.
Посмотрел час. Сказал:
— Восстановить данные не получится. Шифр современный. Но поднять инфраструктуру и разобраться, как вошли — сделаем. 380 тысяч, две недели.
Михаил Борисович: «А быстрее?»
Коля: «48 часов — базовые бизнес-процессы. Всё остальное — две недели».
Михаил Борисович подписал договор не читая.
Коля начал работать в тот же вечер.
На следующее утро 1С заработала. Частично — с данными за последние полгода, которые нашли в облачном кэше. Склад ожил.
Пока Коля разбирался с серверами, Антон наконец начал обзванивать клиентов с хорошими новостями.
Из двадцати звонков:
— Восемь ответили. Обрадовались. Готовы возобновить заказы.
— Пять не ответили. Перезвонили сами позже и сказали, что «пока работают с другими».
— Трое написали в мессенджер что-то вроде «окей, держите в курсе».
— Двое — «Стройдепо» и «Премиумбетон» — не ответили вообще.
Антон смотрит на блокнот. Там семь зачёркнутых строк.
Семь клиентов. За одиннадцать дней.
Но на третий день Коля пришёл к Михаилу Борисовичу с неприятным разговором.
«Нам нужно поговорить про Диму».
━━━━━━━━━━
Счётчик потерь. День 11:
— Простой: ~5 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽ (25к Авито + 380к Коля)
— 1С: работает! Частично. Склад ожил.
— Данные за 4 месяца: потеряны навсегда
— Клиентов, ушедших к конкурентам: 7
— Причина известна: скоро узнаем. Дима нервничает.
━━━━━━━━━━
Продолжение в воскресенье.
1 Серия
2 Серия
3 Серия
4 Серия
🔥11👍6❤3🗿1
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 6: ЧТО ДИМА СЛОМАЛ, ПОКА ЧИНИЛ
Серия 6 из 8.
Дима не виноват. Почти.
Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы.
Дима сделал противоположное.
Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии.
Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики.
Проверил диски — перезаписал часть секторов, где были артефакты атаки.
Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию.
Дима пытался помочь. И сделал расследование в 10 раз сложнее.
Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался.
Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов.
━━━━━━━━━━
Итого на день 14:
— Простой: ~7 миллионов упущенной выручки
— Потеряно данных: 4 месяца
— Потрачено на «лечение»: 405 000 рублей
— Найдена точка входа: да
— Данные восстановлены: нет
И ещё одна новость.
━━━━━━━━━━
Продолжение во вторник — финал.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
Серия 6 из 8.
Дима не виноват. Почти.
Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы.
Дима сделал противоположное.
Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии.
Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики.
Проверил диски — перезаписал часть секторов, где были артефакты атаки.
Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию.
Дима пытался помочь. И сделал расследование в 10 раз сложнее.
Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался.
Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов.
━━━━━━━━━━
Итого на день 14:
— Простой: ~7 миллионов упущенной выручки
— Потеряно данных: 4 месяца
— Потрачено на «лечение»: 405 000 рублей
— Найдена точка входа: да
— Данные восстановлены: нет
И ещё одна новость.
━━━━━━━━━━
Продолжение во вторник — финал.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
❤10👍6🔥6🤡2
В мире ИБ тонна новостей, но где экспертиза? Собрали майский топ Telegram-каналов: от DDoS-разборов до compliance по 152-ФЗ. Владельцы — подкастеры, консультанты с реальным опытом.
Твоя ИБ-папка
Экономь время: одна ссылка — и ты в теме.
👋 👋 👉
➡️ [Майский ТОП-ИБ каналов]
Твоя ИБ-папка
Экономь время: одна ссылка — и ты в теме.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥3👍2
Мы уже давно пишем, что "школьник с нейронкой" - стало новым кусочком модели угроз. ИИ ускоряет и удешевляет атаки, включая процессы создания вредоносного ПО.
ИИ-решения работаю и на щит, и на меч. Они усиливают ИБ, но и снижают порог входа для злоумышленников. Сейчас активно хайпует и Claude Mythos, говорят он уже находит уязвимости как багхантер, но хотелось бы его более публичного теста.
А что в России? Зрелая часть российского бизнеса старается действовать на опережение
Кто например? Т-Банк! Они первые в России собрали атакующий искусственный интеллект нацелили на собственную инфраструктуру.
Называется этот ИИ Nulla — это их внутренняя разработка. Работает по принципу группы интеллектуальных агентов.
Они рассказали на ЦИПР, что агенты адаптируются к механизмам защиты на лету,к тому же находит нарушения логики доступа и выстраивает сложные цепочки взаимодействия между сервисами.
ИИшный BAS - имитация действий квалифицированного злоумышленника.
А что это дало?
Скорость проверки одного сервиса сократилась с 2-3 дней ручного труда до 45 минут работы агента.
Всего в рамках пилота они прогнали через стресс-тест около 1300 платформ — от Т-Бизнеса до Т-Авто.
Т-Банк ожидает, что Nulla сэкономит им около 100 млн рублей до конца года. Это оценка по сэкономленым выплатам по Bugbounty.
Вывод?
Если уже хоть как-то работают атакующие ИИ-модели, пора защищаться зеркально, а не старыми инструментами.
Посмотрим, куда Т-Банк пойдет дальше! Полностью автоматизированный ИИ-SOC?
ИИ-решения работаю и на щит, и на меч. Они усиливают ИБ, но и снижают порог входа для злоумышленников. Сейчас активно хайпует и Claude Mythos, говорят он уже находит уязвимости как багхантер, но хотелось бы его более публичного теста.
А что в России? Зрелая часть российского бизнеса старается действовать на опережение
Кто например? Т-Банк! Они первые в России собрали атакующий искусственный интеллект нацелили на собственную инфраструктуру.
Называется этот ИИ Nulla — это их внутренняя разработка. Работает по принципу группы интеллектуальных агентов.
Они рассказали на ЦИПР, что агенты адаптируются к механизмам защиты на лету,к тому же находит нарушения логики доступа и выстраивает сложные цепочки взаимодействия между сервисами.
ИИшный BAS - имитация действий квалифицированного злоумышленника.
А что это дало?
Скорость проверки одного сервиса сократилась с 2-3 дней ручного труда до 45 минут работы агента.
Всего в рамках пилота они прогнали через стресс-тест около 1300 платформ — от Т-Бизнеса до Т-Авто.
Т-Банк ожидает, что Nulla сэкономит им около 100 млн рублей до конца года. Это оценка по сэкономленым выплатам по Bugbounty.
Вывод?
Если уже хоть как-то работают атакующие ИИ-модели, пора защищаться зеркально, а не старыми инструментами.
Посмотрим, куда Т-Банк пойдет дальше! Полностью автоматизированный ИИ-SOC?
🔥18🤔7👎3❤2