Forwarded from КиберBEZправил
Киберзащита «Гостеха» обойдется почти в полмиллиарда до конца года
Минцифры до конца 2023 года выделит 450 млн руб. на обеспечение кибербезопасности государственной платформы «Гостех». Деньги выделяются подведомственному Минцифры Научно-исследовательскому институту (НИИ) «Интеграл», который в середине мая был выбран единым подрядчиком по созданию на «Гостехе» центра обнаружения, предупреждения и реагирования на кибератаки до 2024 года. Первые тендеры уже начали появляться на площадках.
При этом условием миграции на «Гостех» для всех информсистем является подключение к центру мониторинга атак ФСБ ГосСОПКА.
Минцифры до конца 2023 года выделит 450 млн руб. на обеспечение кибербезопасности государственной платформы «Гостех». Деньги выделяются подведомственному Минцифры Научно-исследовательскому институту (НИИ) «Интеграл», который в середине мая был выбран единым подрядчиком по созданию на «Гостехе» центра обнаружения, предупреждения и реагирования на кибератаки до 2024 года. Первые тендеры уже начали появляться на площадках.
При этом условием миграции на «Гостех» для всех информсистем является подключение к центру мониторинга атак ФСБ ГосСОПКА.
Коммерсантъ
«Гостех» берут под защиту
У платформы появится центр реагирования и мониторинга кибератак
DDoS-атаки на систему бронирования Леонардо
Ростех сообщил о двух волнах DDoS-атак на систему бронирования авиабилетов Леонардо/Сирена-Трэвел (после первого сообщения о восстановлении системы атаки возобновились). Первый сбой продолжался около полутора часов, из-за него не работало не только бронирование, но и регистрация на рейсы. В аэропортах регистрировать приходилось в ручном режиме. Аэрофлот, Победа, и другие авиакомпании (но, видимо, не S7, которая использует свою систему) задержали вылеты из Москвы, Казани. А в Калининграде, например, сообщили, что не было задержек.
Ростех заявил, что атаки «идут с территории нескольких стран, включая Украину». А источник РИА Новостей с рынка кибербезопасности прямо указал на IT-армию Украины. Впрочем, тут не обязательно обращаться к источнику — IT-армия сама победно отчиталась об успешной атаке.
По мнению специалистов Ростеха, атакующие хотели повторить массовые сбои зарубежных систем бронирования, которые случались в прошлом:
«Напомним, что в мировой практике были примеры обрушения подобных систем. В 2013 году зарубежная система бронирования Sabre оказалась парализована на полтора часа, этот инцидент затронул более 300 авиакомпаний по всему миру, в том числе и российских. В 2017 году из-за сбоя системы бронирования другой иностранной системы Amadeus более 130 перевозчиков из разных стран были вынуждены задержать рейсы. Цель злоумышленников, атакующих «Леонардо», – повторить эти кейсы и остановить авиаперевозки в России. В последние месяцы система подвергается хакерским атакам регулярно».
Интересно сравнить оперативную реакцию компании на сегодняшние DDoS-атаки и полное молчание относительно предполагаемой утечки данных о бронированиях (включая персданные пассажиров) из всё той же системы Сирена-Трэвел, о которой стало известно неделю назад. Сбой из-за DDoS был максимально наглядным и ощутимым, напрямую затронув тысячи или десятки тысяч человек. Утечку же обсуждали только в профильных каналах, большинство СМИ она не заинтересовала несмотря на потенциально грандиозный объём похищенных данных. Но даже традиционного комментария от Роскомнадзора о том, что он проверит информацию об утечке, не прозвучало.
Ростех сообщил о двух волнах DDoS-атак на систему бронирования авиабилетов Леонардо/Сирена-Трэвел (после первого сообщения о восстановлении системы атаки возобновились). Первый сбой продолжался около полутора часов, из-за него не работало не только бронирование, но и регистрация на рейсы. В аэропортах регистрировать приходилось в ручном режиме. Аэрофлот, Победа, и другие авиакомпании (но, видимо, не S7, которая использует свою систему) задержали вылеты из Москвы, Казани. А в Калининграде, например, сообщили, что не было задержек.
Ростех заявил, что атаки «идут с территории нескольких стран, включая Украину». А источник РИА Новостей с рынка кибербезопасности прямо указал на IT-армию Украины. Впрочем, тут не обязательно обращаться к источнику — IT-армия сама победно отчиталась об успешной атаке.
По мнению специалистов Ростеха, атакующие хотели повторить массовые сбои зарубежных систем бронирования, которые случались в прошлом:
«Напомним, что в мировой практике были примеры обрушения подобных систем. В 2013 году зарубежная система бронирования Sabre оказалась парализована на полтора часа, этот инцидент затронул более 300 авиакомпаний по всему миру, в том числе и российских. В 2017 году из-за сбоя системы бронирования другой иностранной системы Amadeus более 130 перевозчиков из разных стран были вынуждены задержать рейсы. Цель злоумышленников, атакующих «Леонардо», – повторить эти кейсы и остановить авиаперевозки в России. В последние месяцы система подвергается хакерским атакам регулярно».
Интересно сравнить оперативную реакцию компании на сегодняшние DDoS-атаки и полное молчание относительно предполагаемой утечки данных о бронированиях (включая персданные пассажиров) из всё той же системы Сирена-Трэвел, о которой стало известно неделю назад. Сбой из-за DDoS был максимально наглядным и ощутимым, напрямую затронув тысячи или десятки тысяч человек. Утечку же обсуждали только в профильных каналах, большинство СМИ она не заинтересовала несмотря на потенциально грандиозный объём похищенных данных. Но даже традиционного комментария от Роскомнадзора о том, что он проверит информацию об утечке, не прозвучало.
В США спорят о безопасности облачных сервисов. Белый дом хочет ввести требование к поставщикам облачных услуг, таких как Amazon, проверять своих клиентов и собирать их персональные данные (Know Your Customer) для противодействия использования американской инфраструктуры иностранными злоумышленниками. Представители Amazon и Broadcom подготовили доклад от крупного бизнеса с критикой предложений администрации. В докладе много разных аргументов (например, что нового регулирования выиграют китайские поставщики облачных услуг), но, похоже, главное, что это может сильно повысить расходы (на миллиарды, по оценке экспертов). Так что бизнес решил побороться.
А могли бы просто сделать идентификацию клиентов через Госуслуги...
А могли бы просто сделать идентификацию клиентов через Госуслуги...
therecord.media
Tech industry leaders and White House clash over plan for improved cloud security
A presidential advisory panel produced a report criticizing the Biden administration's push for Know Your Customer rules for cloud computing providers. The White House is sticking with the plan.
Forwarded from Персональные_данные
Ассоциация больших данных (АБД) отправила негативный отзыв на правительственный законопроект о контроле силовых структур за базами персональных данных.
Возможность модификации информации и «бесконтрольный доступ органов обороны и правопорядка» к базам персональных данных может нарушить их работу и целостность, а также создает риски передачи сведений третьим лицам, говорится в отзыве АБД.
Поправки к ряду федеральных законов («О ФСБ», «О государственной защите судей…», «О полиции» и т. п.) были внесены в Госдуму 3 августа. Они предусматривают особый порядок работы с персональными данными лиц из ряда категорий. В частности, силовые ведомства смогут удалять и подменять записи, связанные с такими людьми, в том числе посредством удаленного доступа к базам
Возможность модификации информации и «бесконтрольный доступ органов обороны и правопорядка» к базам персональных данных может нарушить их работу и целостность, а также создает риски передачи сведений третьим лицам, говорится в отзыве АБД.
Поправки к ряду федеральных законов («О ФСБ», «О государственной защите судей…», «О полиции» и т. п.) были внесены в Госдуму 3 августа. Они предусматривают особый порядок работы с персональными данными лиц из ряда категорий. В частности, силовые ведомства смогут удалять и подменять записи, связанные с такими людьми, в том числе посредством удаленного доступа к базам
Коммерсантъ
Эти базы — кого надо базы
Бизнес против права силовиков редактировать персональные данные
О приговорах за участие в киберконфликте
Пока Международный уголовный суд только готовится расследовать военные киберпреступления, в России этим уже активно занимаются, а осуждённые получают весьма суровые сроки. Лидирует здесь Ростовская область.
В августе стало известно, что в Ростове-на-Дону гражданина Украины Романа Носачева приговорили к 2 годам колонии-поселения и штрафу в 600 тысяч за участие в DDoS-атаках на объекты КИИ России.
По этому делу опубликовано решение суда, из которого можно узнать подробности. По сути, осуждённый получил наказание за то, что нашёл в телеграм-чате ссылку на специальный сайт, открыл его в браузере и оставил вкладку открытой. Сайт распространяли украинские хактивисты в конце февраля 2022 года для простого подключения к DDoS-атакам. От желающих не требовалось никаких технических навыков и активных действий, только не закрывать вкладку.
До этого в Ростове ещё двое человек были осуждены по этой же статье (274.1 УК РФ) за участие в DDoS-атаках: первый Евгений Котиков получил 3 года колонии-поселения и штраф в 800 тысяч, второй Игорь Баяндин — 2 года и 500 тысяч. Хотя по этим делам не опубликованы приговоры, очень вероятно, что речь идёт об использовании того же самого сайта. В пресс-релизе о приговоре Баяндину говорится, что он «приискал Интернет-ресурс, предназначенный для блокирования деятельности сайтов российских компаний, относящихся к критической информационной инфраструктуре Российской Федерации, функционирующей в банковской сфере, в сфере топливно-энергетического комплекса и в сфере связи, путем осуществления компьютерных атак».
С одной стороны, эти приговоры неудивительны в контексте военного конфликта. С другой стороны, довольно абсурдно, что за ситуативное участие в DDoS-атаке, где роль одного устройства не особо существенна, людям дают реальное наказание, в то время как участники Infraud Organization получают условные сроки за многолетнее занятие киберпреступностью и просто несопоставимо более серьёзный ущерб.
Пока Международный уголовный суд только готовится расследовать военные киберпреступления, в России этим уже активно занимаются, а осуждённые получают весьма суровые сроки. Лидирует здесь Ростовская область.
В августе стало известно, что в Ростове-на-Дону гражданина Украины Романа Носачева приговорили к 2 годам колонии-поселения и штрафу в 600 тысяч за участие в DDoS-атаках на объекты КИИ России.
По этому делу опубликовано решение суда, из которого можно узнать подробности. По сути, осуждённый получил наказание за то, что нашёл в телеграм-чате ссылку на специальный сайт, открыл его в браузере и оставил вкладку открытой. Сайт распространяли украинские хактивисты в конце февраля 2022 года для простого подключения к DDoS-атакам. От желающих не требовалось никаких технических навыков и активных действий, только не закрывать вкладку.
До этого в Ростове ещё двое человек были осуждены по этой же статье (274.1 УК РФ) за участие в DDoS-атаках: первый Евгений Котиков получил 3 года колонии-поселения и штраф в 800 тысяч, второй Игорь Баяндин — 2 года и 500 тысяч. Хотя по этим делам не опубликованы приговоры, очень вероятно, что речь идёт об использовании того же самого сайта. В пресс-релизе о приговоре Баяндину говорится, что он «приискал Интернет-ресурс, предназначенный для блокирования деятельности сайтов российских компаний, относящихся к критической информационной инфраструктуре Российской Федерации, функционирующей в банковской сфере, в сфере топливно-энергетического комплекса и в сфере связи, путем осуществления компьютерных атак».
С одной стороны, эти приговоры неудивительны в контексте военного конфликта. С другой стороны, довольно абсурдно, что за ситуативное участие в DDoS-атаке, где роль одного устройства не особо существенна, людям дают реальное наказание, в то время как участники Infraud Organization получают условные сроки за многолетнее занятие киберпреступностью и просто несопоставимо более серьёзный ущерб.
Forwarded from КиберBEZправил
Сбор и передачу данных в ходе расследования международных киберпреступлений хотят ускорить
Минюст РФ разработал новый проект протокола к международным двусторонним договорам России о взаимной правовой помощи. Он предусматривает возможность предварительного сохранения цифровых данных по запросу, что должно облегчить расследование преступлений в сфере IT.
Кроме того, планируется установить сжатые сроки исполнения запросов о правовой помощи. Однако конкретные условия будут согласовываться индивидуально с каждой стороной.
«В данном случае речь идет о данных, собираемых в ходе расследования преступлений, совершенных с использованием информационных технологий и компьютерной техники. Это могут быть расследования DDoS-атак, а также вредоносных действий с использованием вирусов-шифровальщиков и социнженерии»,— считают эксперты.
Минюст РФ разработал новый проект протокола к международным двусторонним договорам России о взаимной правовой помощи. Он предусматривает возможность предварительного сохранения цифровых данных по запросу, что должно облегчить расследование преступлений в сфере IT.
Кроме того, планируется установить сжатые сроки исполнения запросов о правовой помощи. Однако конкретные условия будут согласовываться индивидуально с каждой стороной.
«В данном случае речь идет о данных, собираемых в ходе расследования преступлений, совершенных с использованием информационных технологий и компьютерной техники. Это могут быть расследования DDoS-атак, а также вредоносных действий с использованием вирусов-шифровальщиков и социнженерии»,— считают эксперты.
Коммерсантъ
Борцам с киберпреступностью добавят инструментов
Что Минюст России готов предложить дружественным странам
Вредоносная реклама в чатботе Bing
Malwarebytes обнаружили, что чатбот от Microsoft, встроенный в поисковик Bing, может использоваться для распространения вредосноных программ. С марта в выдачу чатбота стали встраивать рекламу, а значит и открыли новую возможность для злоумышленников — несмотря на все усилия вредоносы по-прежнему распространяются через рекламу в популярных поисковиках. Специалисты Malwarebytes нашли вредоносную рекламу по запросам, таргетированным на админов (IP sanner) и юристов (MyCase law manager). По соответствующем запросу в чатботе появлялась реклама, которая перенаправляла пользователя на клон официального сайта (например, advenced-ip-scanner[.]com), с которого загружается вредоносная программа. Разместить вредоносную рекламу в чатботе злоумышленникам удалось с помощью взлома рекламного аккаунта настоящей австралийской компании.
С одной стороны, такой способ распространения мало чем отличается от обычной вредоносной рекламы в поисковиках. С другой, пользователи могут испытывать большее доверие к выдаче чатбота, а значит с более высокой вероятностью могут пройти по ссылке, появившейся там.
Malwarebytes обнаружили, что чатбот от Microsoft, встроенный в поисковик Bing, может использоваться для распространения вредосноных программ. С марта в выдачу чатбота стали встраивать рекламу, а значит и открыли новую возможность для злоумышленников — несмотря на все усилия вредоносы по-прежнему распространяются через рекламу в популярных поисковиках. Специалисты Malwarebytes нашли вредоносную рекламу по запросам, таргетированным на админов (IP sanner) и юристов (MyCase law manager). По соответствующем запросу в чатботе появлялась реклама, которая перенаправляла пользователя на клон официального сайта (например, advenced-ip-scanner[.]com), с которого загружается вредоносная программа. Разместить вредоносную рекламу в чатботе злоумышленникам удалось с помощью взлома рекламного аккаунта настоящей австралийской компании.
С одной стороны, такой способ распространения мало чем отличается от обычной вредоносной рекламы в поисковиках. С другой, пользователи могут испытывать большее доверие к выдаче чатбота, а значит с более высокой вероятностью могут пройти по ссылке, появившейся там.
Слово TOAD в кибербезопасности встречается во всех смыслах кроме одного. Какого?
(Нужно выбрать неправильный вариант)
(Нужно выбрать неправильный вариант)
Final Results
15%
Так называется телефонное мошенничество: telephone-oriented attack delivery
12%
Это часть ника одного из ранних хакеров: Silicon Toad
20%
Это класс решений для кибер-разведки: Threat Operator Analysis & Detection
53%
Так американцы перевели сокращённое название Jabber у русскоязычных хакеров: Jabber -> жаба -> toad
Бывшего сотрудника Goldman Sachs обвинили в инсайдерской торговле. Предположительно информацию он сливал не только через традиционные каналы, такие как почту и мессенджеры, но и через чат приставки Xbox 360, считая, что эти беседы не перехватываются. Но, похоже, просчитался: в обвинительном заключении упоминаются сведения, которыми обвиняемый поделился со своим сообщником в аудиочате некой игровой консоли — возможно, именно Xbox.
The Verge
“There’s no tracing Xbox 360 chat,” claimed guy now charged with insider trading
A Wall Street associate may have done crimes on Xbox.
Forwarded from Минцифры России
Для повышения безопасности аккаунтов пользователей и усиления защиты их персональных данных Минцифры вводит дополнительное подтверждение для входа на Госуслуги. С 1 октября оно стало обязательным для новых пользователей портала и для тех, кто восстанавливает учётную запись.
Когда второй фактор будет обязательным для всех
Проект постановления о двухфакторной аутентификации в ближайшее время примет Правительство. После этого пользователи смогут в последний раз войти в аккаунт без подтверждения. Это позволит уточнить данные, например телефона, и определиться с выбором дополнительной защиты. Те, кто не установит второй фактор в этот визит, будут обязаны выбрать его во время следующего входа.
Три варианта дополнительной защиты
Как установить второй фактор защиты
1. Войдите в свой профиль в личном кабинете Госуслуг
2. В разделе «Безопасность» выберите «Вход с подтверждением»
3. Выберите один из трёх вариантов дополнительного подтверждения
Как изменить телефон для второго фактора
Изменить телефон для СМС-подтверждения можно в разделе «Безопасность» при выборе второго фактора. СМС-код для смены номера придёт в том числе на старый телефон. Если он уже недоступен, изменить номер можно в приложении банка-партнёра или ближайшем МФЦ.
Дополнительное подтверждение для входа подключил уже каждый третий пользователь портала — всего более 35 млн человек.
@mintsifry #госуслуги
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Персональные_данные
"Опора России", "Деловая Россия", Российский союз промышленников и предпринимателей и ТПП отправили в Госдуму коллективное письмо, которое предлагает инновационный порядок исчисления штрафов за утечку ПД.
"Законопроект не позволяет определить, при каких обстоятельствах применяется тот или иной размер оборотного штрафа... Вместе с тем, полагаем, что размер штрафа за повторное нарушение за утечку персональных данных граждан в обязательном порядке должен учитывать как количественный показатель, так и состав утекших персональных данных", - говорится в документе.
В письме уточнили, что законопроект, который предлагает Минцифры, привязывает размер штрафа для юридических лиц к доле совокупного размера годовой выручки и устанавливает строго ограниченные пределы - не менее 15 миллионов рублей, но не более 500 миллионов рублей.
Авторы письма предложили рассчитывать оборотный штраф за повторную утечку таким образом: размер предыдущего штрафа умножается на порядковый номер правонарушения. Например, если юрлицо совершило третье повторное административное правонарушение, а размер последнего штрафа составил 15 миллионов рублей, то новый штраф составит 45 миллионов рублей и так далее. При этом для "бесконечно нарушающих" требования компаний должна быть предусмотрена уголовная ответственность.
Кроме того, предлагается привязать размер штрафа к чистой прибыли компании за календарный год, а не к сумме всей выручки за тот же период. В случае отсутствия прибыли нужно установить фиксированный размер штрафа.
Также в письме предложили ввести термин "умышленная информационная атака" для случаев, когда в утечке данных виновата не компания, а злоумышленник, категории для каждой группы нарушений, основанные на степени тяжести произошедшего события, которое позволяет определить сумму штрафа.
Предлагается разработать меры поддержки, которые стимулировали бы компании инвестировать средства в обеспечение информационной безопасности, и разработать механизмы смягчения ответственности, при которых оператор может выплатить компенсацию пострадавшему, при этом не выплачивая штраф за утечку персональных данных.
"Законопроект не позволяет определить, при каких обстоятельствах применяется тот или иной размер оборотного штрафа... Вместе с тем, полагаем, что размер штрафа за повторное нарушение за утечку персональных данных граждан в обязательном порядке должен учитывать как количественный показатель, так и состав утекших персональных данных", - говорится в документе.
В письме уточнили, что законопроект, который предлагает Минцифры, привязывает размер штрафа для юридических лиц к доле совокупного размера годовой выручки и устанавливает строго ограниченные пределы - не менее 15 миллионов рублей, но не более 500 миллионов рублей.
Авторы письма предложили рассчитывать оборотный штраф за повторную утечку таким образом: размер предыдущего штрафа умножается на порядковый номер правонарушения. Например, если юрлицо совершило третье повторное административное правонарушение, а размер последнего штрафа составил 15 миллионов рублей, то новый штраф составит 45 миллионов рублей и так далее. При этом для "бесконечно нарушающих" требования компаний должна быть предусмотрена уголовная ответственность.
Кроме того, предлагается привязать размер штрафа к чистой прибыли компании за календарный год, а не к сумме всей выручки за тот же период. В случае отсутствия прибыли нужно установить фиксированный размер штрафа.
Также в письме предложили ввести термин "умышленная информационная атака" для случаев, когда в утечке данных виновата не компания, а злоумышленник, категории для каждой группы нарушений, основанные на степени тяжести произошедшего события, которое позволяет определить сумму штрафа.
Предлагается разработать меры поддержки, которые стимулировали бы компании инвестировать средства в обеспечение информационной безопасности, и разработать механизмы смягчения ответственности, при которых оператор может выплатить компенсацию пострадавшему, при этом не выплачивая штраф за утечку персональных данных.
РИА Новости
Бизнес предложил поднимать штраф компаниям за утечку персональных данных
Российский бизнес предложил увеличивать оборотный штраф компаниям за каждый повторный факт утечки с их стороны персональных данных клиентов, следует из письма... РИА Новости, 02.10.2023
Кибервойна
Photo
Сайт «Патриотов России» действительно мог быть взломан
Неожиданно для себя провёл расследование взлома сайта. Сначала предыстория.
На днях в Z-сообществе произошёл скандал. Депутат Геннадий Семигин, лидер движения (а в прошлом партии) «Патриоты России», якобы опубликовал заявление в поддержку Адама Кадырова после публикации видео, где тот избивает задержанного. Спустя пару дней заявление было обнаружено Z-авторами, которых оно возмутило, в частности оскорбительная концовка про солдат ВС РФ. После того, как история получила резонанс, Семигин заявил, что сайт «Патриотов России» был взломан, а сообщение фейковое.
Когда мне попалась новость про взлом, я, естественно, подумал: ну да, конечно, взломали — это типичная реакция публичного человека, когда надо отмазаться.
Но, похоже, сайт действительно мог быть был взломан. Вот почему я пришёл к такому выводу.
Я открыл сохранённую копию сайта, чтобы посмотреть на уже удалённую статью. Первое, что обратило на себя внимание (картинка 1), это написанный заглавными буквами заголовок статьи: «ПАТРИОТЫ РОССИИ». Во-первых, за всю историю сайта на нём не было заголовков капсом, во-вторых, никогда в заголовке не указывалось название движения, всегда указывается имя спикера.
Но это была только первая зацепка, а вот главная находка (картинка 2). Обычно новости и записи в блоге публикуются пользователем wadminw. А запись про Адама Кадырова была опубликована пользователем admin. Это разные пользователи!
Что это значит? Если поискать wadminw в гугле, то можно узнать, что так часто называют дополнительный админский аккаунт, который устанавливается на сайты на WordPress через вредоносные программы. Так злоумышленник может получить возможность управлять сайтом и, например, удалить аккаунт настоящего админа. На сайте «Патриоты России» этот аккаунт появился между декабрём 2021 и апрелем 2022: первые новости от декабря написаны ещё admin’ом, а в апреле от имени wadminw. Но в нашем случае wadminw публиковал легитимные материалы, поэтому можно предположить, что злоумышленник переименовал первоначальный аккаунт, а сам имел доступ к admin’у.
Ещё один интересный артефакт (картинка 3): к скандальной записи прикреплено изображение, файл с которым (signal-2023-09-29-191751_002-1.jpeg), вероятно, был получен автором записи через Signal (мы даже видим время получения). Ранее на сайте не было изображений с таким названием. Само по себе это мало что значит, но вместе с другими обстоятельствами говорит в пользу чужого авторства.
Наконец, запись содержит много ошибок, что тоже можно добавить в копилку.
На мой взгляд, эти обстоятельства подверждают возможность взлома, хотя окончательный вывод только по открытым источникам сделать нельзя.
Если эта версия верна, то мы стали свидетелями на удивление эффективной подделки. Например, в прошлом году аналогичным образом был взломан сайт ОДКБ, на котором была размещеная вымышленная новость, но это не имело особого резонанса. А «заявление» Семигина спровоцировало истерику в Z-сообществе, жалобу в прокуратуру, осуждение со стороны как минимум одного депутата ЛДПР (которому оправдания о взломе кажутся неубедительными), обращение самого «виновника» к председателю Следственного комитета. Феерия!
Как бы то ни было, если вы хотите избежать таких проблем, то посмотрите, кто имеет доступ администратора к вашему сайту и почистите лишние аккаунты, проверьте сайт на наличие вредоносного кода и установите последние обновления.
Неожиданно для себя провёл расследование взлома сайта. Сначала предыстория.
На днях в Z-сообществе произошёл скандал. Депутат Геннадий Семигин, лидер движения (а в прошлом партии) «Патриоты России», якобы опубликовал заявление в поддержку Адама Кадырова после публикации видео, где тот избивает задержанного. Спустя пару дней заявление было обнаружено Z-авторами, которых оно возмутило, в частности оскорбительная концовка про солдат ВС РФ. После того, как история получила резонанс, Семигин заявил, что сайт «Патриотов России» был взломан, а сообщение фейковое.
Когда мне попалась новость про взлом, я, естественно, подумал: ну да, конечно, взломали — это типичная реакция публичного человека, когда надо отмазаться.
Но, похоже, сайт действительно мог быть был взломан. Вот почему я пришёл к такому выводу.
Я открыл сохранённую копию сайта, чтобы посмотреть на уже удалённую статью. Первое, что обратило на себя внимание (картинка 1), это написанный заглавными буквами заголовок статьи: «ПАТРИОТЫ РОССИИ». Во-первых, за всю историю сайта на нём не было заголовков капсом, во-вторых, никогда в заголовке не указывалось название движения, всегда указывается имя спикера.
Но это была только первая зацепка, а вот главная находка (картинка 2). Обычно новости и записи в блоге публикуются пользователем wadminw. А запись про Адама Кадырова была опубликована пользователем admin. Это разные пользователи!
Что это значит? Если поискать wadminw в гугле, то можно узнать, что так часто называют дополнительный админский аккаунт, который устанавливается на сайты на WordPress через вредоносные программы. Так злоумышленник может получить возможность управлять сайтом и, например, удалить аккаунт настоящего админа. На сайте «Патриоты России» этот аккаунт появился между декабрём 2021 и апрелем 2022: первые новости от декабря написаны ещё admin’ом, а в апреле от имени wadminw. Но в нашем случае wadminw публиковал легитимные материалы, поэтому можно предположить, что злоумышленник переименовал первоначальный аккаунт, а сам имел доступ к admin’у.
Ещё один интересный артефакт (картинка 3): к скандальной записи прикреплено изображение, файл с которым (signal-2023-09-29-191751_002-1.jpeg), вероятно, был получен автором записи через Signal (мы даже видим время получения). Ранее на сайте не было изображений с таким названием. Само по себе это мало что значит, но вместе с другими обстоятельствами говорит в пользу чужого авторства.
Наконец, запись содержит много ошибок, что тоже можно добавить в копилку.
На мой взгляд, эти обстоятельства подверждают возможность взлома, хотя окончательный вывод только по открытым источникам сделать нельзя.
Если эта версия верна, то мы стали свидетелями на удивление эффективной подделки. Например, в прошлом году аналогичным образом был взломан сайт ОДКБ, на котором была размещеная вымышленная новость, но это не имело особого резонанса. А «заявление» Семигина спровоцировало истерику в Z-сообществе, жалобу в прокуратуру, осуждение со стороны как минимум одного депутата ЛДПР (которому оправдания о взломе кажутся неубедительными), обращение самого «виновника» к председателю Следственного комитета. Феерия!
Как бы то ни было, если вы хотите избежать таких проблем, то посмотрите, кто имеет доступ администратора к вашему сайту и почистите лишние аккаунты, проверьте сайт на наличие вредоносного кода и установите последние обновления.
Кибервойна pinned «Сайт «Патриотов России» действительно мог быть взломан Неожиданно для себя провёл расследование взлома сайта. Сначала предыстория. На днях в Z-сообществе произошёл скандал. Депутат Геннадий Семигин, лидер движения (а в прошлом партии) «Патриоты России»,…»
Forwarded from Positive Technologies
📨 Сегодня несколько наших сотрудников получили сообщения в Telegram — якобы от нашего коллеги, эксперта по кибербезопасности.
Начинается все со звонка для привлечения внимания, переходящего в диалог, в котором собеседник просит перевести деньги на карту или криптокошелек.
Наши сотрудники хорошо осведомлены о базовых принципах кибербезопасности и сразу поняли, что по ту сторону экрана — мошенник. И решили воспользоваться моментом, чтобы немного пошутить над ним.
Как пишут коллеги из ISACA, наш случай не единственный. Злоумышленники массово распространяют такие фишинговые сообщения и выдают себя за известных экспертов в области ИБ.
💬 На что стоит обратить внимание, если вы получили такое сообщение?
• Главное: если человек уже есть в ваших контактах, то вверху диалога не должно быть кнопок «Добавить в контакты» и «Заблокировать».
• Проверяйте написание ника и номера телефона. Если номера у аккаунта нет, но вы точно уверены, что пользователь есть в ваших контактах, — это еще один повод насторожиться.
• Позвоните реальному человеку по номеру телефона, который вам известен, и предупредите его.
• Заблокируйте аккаунт мошенника.
@Positive_Technologies
Начинается все со звонка для привлечения внимания, переходящего в диалог, в котором собеседник просит перевести деньги на карту или криптокошелек.
Наши сотрудники хорошо осведомлены о базовых принципах кибербезопасности и сразу поняли, что по ту сторону экрана — мошенник. И решили воспользоваться моментом, чтобы немного пошутить над ним.
Как пишут коллеги из ISACA, наш случай не единственный. Злоумышленники массово распространяют такие фишинговые сообщения и выдают себя за известных экспертов в области ИБ.
• Главное: если человек уже есть в ваших контактах, то вверху диалога не должно быть кнопок «Добавить в контакты» и «Заблокировать».
• Проверяйте написание ника и номера телефона. Если номера у аккаунта нет, но вы точно уверены, что пользователь есть в ваших контактах, — это еще один повод насторожиться.
• Позвоните реальному человеку по номеру телефона, который вам известен, и предупредите его.
• Заблокируйте аккаунт мошенника.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Киберкотяка
Четырёхчасовой сбой системы в медицинском центре Министерства по делам ветеранов в Канзас-Сити, штат Миссури, мог произойти из-за кошки. Историей поделилось издание The Register со слов одного из участников регулярного совещания ведомства по вопросам, связанным с информационными технологиями.
«На созвоне в середине сентября, один из участников рассказал, что, пока технический специалист проверял конфигурацию серверного кластера, его кошка удалила её, запрыгнув на клавиатуру».
По этому поводу CIO министерства якобы заметил: «Вот поэтому у меня собака».
В ведомстве подтвердили факт сбоя, но, к сожалению, изданию не удалось получить уточнения относительно возможного участия кошки.
Четырёхчасовой сбой системы в медицинском центре Министерства по делам ветеранов в Канзас-Сити, штат Миссури, мог произойти из-за кошки. Историей поделилось издание The Register со слов одного из участников регулярного совещания ведомства по вопросам, связанным с информационными технологиями.
«На созвоне в середине сентября, один из участников рассказал, что, пока технический специалист проверял конфигурацию серверного кластера, его кошка удалила её, запрыгнув на клавиатуру».
По этому поводу CIO министерства якобы заметил: «Вот поэтому у меня собака».
В ведомстве подтвердили факт сбоя, но, к сожалению, изданию не удалось получить уточнения относительно возможного участия кошки.
The Register
Cat accused of wiping US Veteran Affairs server info after jumping on keyboard
US govt confirms outage, leaves feline in quantum state of uncertainty