Как сообщает BleepingComputer, вчера утром исследователь Гонсало Круз обнаружил уязвимость в популярном плагине File Manager для WordPress, которая позволяла хакеру удаленно выполнять код на сайтах под управлением WordPress и загружать на них файлы без прохождения какой-либо аутентификации.

В настоящее время плагин File Manager используется на более чем 700 тыс. сайтов.

Круз сразу же сообщил разработчику плагина о найденной ошибке и в течение нескольких часов она была исправлена. Вспомните о "молниеносных" Apple, которые для исправления ошибки в Safari запросили год (!)

Администрация файрвола Wordfence сообщилf, что видbт активные попытки использовать уязвимость со стороны хакеров. Вместе с тем, несмотря на оперативную заплатку, которую выпустили разработчики, около 300 тыс. сайтов продолжают использовать уязвимую версию File Manager, а значит являются потенциально опасными для посетителей.

​​Если вы думаете, что цифровой концлагерь придет со стороны авторитарной власти, то вы ошибаетесь. Нет, безусловно, они бы хотели, но у них не хватает ни ресурсов, ни понимания.

Цифровой концлагерь придет, точнее он уже на полпути, из сияющего стеклом и бетоном условного Сити, в котором сосредоточились владельцы крупного бизнеса, которые решили поиграть в наднациональных богов.

Цензуру мы уже видим в полный рост.

Теперь небожители решили разобраться с использованием непослушными людишками новых технологий.

Motherboard пишет, что у Amazon существует есть секретная комплексная программа по контролю закрытых групп в Facebook, которые создают сотрудники компании.

Во вторник Amazon удалила ранее публично размещенные вакансии по найму аналитиков разведки для своей программы Global Intelligence Program (GIP). В качестве рабочих обязанностей среди прочего фигурировало "слежение за угрозами профсоюзов против компании". После скандала в социальных сетях и прессе корпорация сообщила, что вакансии были размещены по ошибке.

Однако журналисты из Motherboard получили подготовленные в рамках GIP отчеты об активности в закрытых группах Facebook, в которых общаются водители, работающие на Amazon в рамках программы доставки Flex. Flex - что-то типа Uber, когда не состоящие в штате корпорации водители с помощью специального приложения доставляют грузы Amazon клиентам за денежное вознаграждение на личных автомобилях.

Аналитики GIP отслеживают не только сообщения о выявленных проблемах в работе приложения, например, но и возможные жалобы водителей на несправедливые условия труда и связанные с этим намерения по организации забастовок, либо каких-либо других инициатив, с помощью которых они хотят повлиять на трудовую политику Amazon.

У нас, кончено, интерес вызывает тот факт, что Amazon с помощью специального инструмента мониторит закрытые группы Facebook. Возможно, что это просто автоматизация внедренных в эти группы аккаунтов сотрудников GIP. Но возможно, что, несмотря на равенство всех животных, некоторые из них все-таки равнее и Facebook предложила коллегам-бизнесменам из Amazon специальные полномочия за скромный прайс.

Куда ты смотришь, холоп? Какие права? Твоим единственным интересом должно быть преумножение капитала Господина Безоса! Забудь про приватный Интернет, ни о какой приватности не может идти речи, когда дело касается бабла!

Наши подписчики знают, что SecAtor старается следить за знамениями информационного Апокалипсиса, который уже на горизонте. Мы имеем в виду, конечно же, "дивный новый мир", в котором каждый геополитический игрок будет иметь свой суверенный Интернет с суверенными же профурсетками и буру (или со своими нюй куй и го, у кого что).

Как пишет сегодня ZDNet, индийские власти во вторник запретили на территории страны 118 приложений, который "тайно крадут и передают данные пользователей за пределы Индии, подрывая тем самым ее суверенитет и национальную безопасность".

Среди приложений - Baidu, WeChat, AliPay, PUBG и пр. Все приложения, похоже, имеют отношение к китайским разработчикам. Ранее, в конце июня, Индия заблокировала 59 китайских приложений, среди которых были TikTok, WeChat и Weibo.

Конечно же это связано с геополитикой, а конкретнее - с очередным обострением пограничного конфликта между Китаем и Индией. Кроме официальных запретительных мер это противостояние сопровождают и хакерские войны, о чем мы неоднократно писали (например здесь).

​​Работа в инфосек с точки зрения шахмат

Twitter-аккаунт премьер-министра Индии Нарендра Моди был сегодня взломан хакерами, сообщает CNN.

В течение почти часа злоумышленники контролировали Twitter индийского премьера, опубликовав несколько твитов, в числе которых просьба пожертвовать биткоины.

Администрация Twitter занимается расследованием инцидента. Министерство информационных технологий Индии молчит. Пользователи тихо обалдевают от этого цирка.

А мы напомним, что у нас тоже был один Премьерзидент, который страсть как любил вести бложики в ЖЖ, притом что сервера SUP стояли в США, а также постить в свой официальный аккаунт Twitter'а.

Хорошо, что переместили человека - сейчас он заместитель начальника Совета безопасности (сарказм).

Похоже, что оберег в виде СНГ-шного происхождения большинства крупных операторов ransomware (например, Maze, функционирующий как Ransomware-as-a-Service, не разрешает своим клиентам рансомить на территории СНГ), перестает работать. Просто потому, что кроме российских, украинских и других молдавских хакеров есть еще и весь остальной мир black hat.

Вторая крупнейшая ИТ-компания Украины SoftServe подверглась атаке ransomware. Как следствие - ряд сервисов компании недоступен, остальные украинцы отключили сами, дабы избежать дальнейшего проникновения вымогателя. Среди пострадавших - почта и вспомогательные тестовые среды.

Какое именно ransomware атаковало SoftServe пока не понятно. Вряд ли Maze, вряд ли Sodinokibi, вряд ли WastedLocker, вряд ли Nemty и Nefilim (потому что они Скриптонита любят).

Ну а мы в который раз уже криком кричим - товарищи владельцы российского бизнеса, обратите свое внимание на угрозу ransomware. Ведь если вас зарансомят - вы же охренеете. А вместе с вами охренеем и мы, скромные потребители ваших товаров и услуг.

​​Вот что снится инфосек ресерчеру после 12-часового расследования APT.

P.S. Оригинальный звук выключить, смотреть исключительно под Loser - Pump Fake.

Warner Music Group (WMG), третья по величине в мире компания звукозаписи, подала заявление в Департамент юстиции Калифорнии, в котором сообщила об обнаруженном взломе своих ресурсов.

По данным WMG, в период с 25 апреля по 5 мая этого года ряд электронных магазинов компании был скомпрометирован, в результате чего на их сайты были внедрены вредоносные скрипты, ворующие данные банковских карт пользователей, которые те вводили при покупке. Если кто не знает, такие атаки называются веб-скимминг или, как сейчас более модно говорить, Magecart.

Warner не раскрывает названия взломанных магазинов, но заявляет, что информации об утечке данных пользователей у них нет. Впрочем, так сейчас говорят все и это совсем не означает, что подобной утечки не было, скорее наоборот.

Подломанные на протяжении трех с половиной месяцев магазины корпорации с миллиардными доходами? Ничего удивительного, это просто "эффективная (с точки зрения костов) информационная безопасность".

Израильское издание Haaretz опубликовало результаты расследования в отношении совершенно секретной израильской фирмы Candiru, специализирующаяся на взломах компьютеров и мобильных устройств.

Поскольку материал большой, то мы, как обычно, дадим краткую выжимку наиболее интересных фактов.

Отрасль наступательных киберопераций - это крупный бизнес в Израиле, его доход оценивается в 1 млрд. долларов в год. Самым известным ее представителем является скандальная NSO Group, с которой из-за взлома WhatsApp сейчас судится Facebook (мы много про это писали, там все очень интересно).

Компания Candiru до сей поры была не особо известна, что и неудивительно - она предпринимает все возможные усилия, чтобы остаться незамеченной. У нее нет сайта, сотрудники, коих сейчас ориентировочно 150 человек, подписывают строгий NDA и даже не имеют права вносить свое место работы в профиль в LinkedIn. Но рано или поздно все тайное становится явным.

Компания была основана в 2015 году. Крупнейшим ее акционером и председателем является Исаак Зак, один из основателей NSO Group (судя по фотографии - Моссад Моссадом). За время существования компания сменила 5 названий.

Журналисты получили в свое распоряжение документ, подписанный одним из вице-президентов Candiru, в котором описывается "высококлассная платформа киберразведки, предназначенная для скрытного проникновения в компьютеры, сети и мобильные устройства". Кибершпионское ПО может собирать информацию и вмешиваться в работу атакованных устройств.

А теперь действительно интересное. Во-первых, ПО от Candiru работает на устройствах под управлением Windows, iOS (!) и Android.

Во-вторых, Candiru предупреждает, что ее киберразведывательная платформа не работает в США, Израиле, России и Китае. И этому может быть только одно объяснение - Россия и Китай купили ПО у Candiru и используют его самостоятельно.

Все это стало известно в ходе рассмотрения иска одного из бывших топ-менеджеров Candiru к компании по поводу невыплаченного вознаграждения. По заявлению истца, в настоящее время фирма поставляет свои решения в более чем 60 стран мира на всех континентах, включая Африку. Общая стоимость всех проектов, которым присвоены кодовые обозначения Sphinx, Tiger, Ukulele, Oltron1, Oltron2, Pointer1, Pointer2 и т.д., составляет 367 миллионов долларов.

Candiru пытается закрыть материалы суда и удалить их из всех общедоступных источников, ссылаясь на то, что они представляют собой секретные сведения. Потому что законы - они для плебса, это гражданам нельзя компьютеры ломать, а государствам - можно.

Сегодня в ночи Коммерсант выпустил материал, в котором со ссылкой на Positive Technologies сообщил о том, что китайская APT Winnti активно пытается подломать российские компании, среди которых пять разработчиков банковского ПО и одна строительная фирма.

В целом статья грамотная, за исключением некоторых комментариев экспертов о том, что ранее Winnti не работали по российским компаниям - работали и не раз. Но про то, что Winnti - одни из "королей" атак на цепочку поставок, - абсолютная правда. Достаточно только вспомнить о компрометации расходящихся многомиллиоными тиражами утилит CCleaner и ASUS Live Update, а также про внедрение бэкдора SOGU в инсталляторы игр Path of Exile, League of Legends и FIFA Online 3.

Ну и про 50 зараженных Winnti компьютеров по всему миру смешно, конечно.

По идее, после выявления подобной масштабной атаки иностранной APT на российских разработчиков банковского ПО у офиса Позитивов сейчас должны стоять с мигалками машины ЦИБ ФСБ, БСТМ МВД и ЦБ, а в сети должны расходиться пресс-релизы о подробностях атак и используемых китайцами уязвимостях (как это делают американская CISA и британский NCSC).

Но не стоят. И пресс-релизов не будет. И такое отношение государства - самое страшное в отечественной информационной безопасности. Михаил Владимирович, может не надо цифровой экономики? Эту бы прикрыть.

#APT #Winnti

В пятницу Министерство обороны США (DoD) раскрыло 4 уязвимости в своей информационной инфраструктуре, которые были обнаружены благодаря белым хакерам посредством BugBounty-платформы HackerOne. Две уязвимости признаны высокой степени критичности, две - критичными.

Первая критичная уязвимость - возможность захвата поддомена, обнаруженная исследователем chron0x. Потенциальное использование злоумышленниками в данном случае стандартное - фишинг от лица DoD и межсайтовый скриптинг.

Вторая критичная уязвимость - это возможность удаленного выполнения кода (RCE) на сервере DoD под управлением Apache, на котором не было апдейтов с августа 2019 года. Без комментариев.

Еще две уязвимости касаются необновленного оборудования Cisco, подверженного уязвимости CVE-2020-3452, позволяющей получить доступ к закрытой информации, и уязвимый перед внедрением кода хост DoD. Последнее вообще смешно, так как ошибку нашел e3xpl0it, пентестер Позитивов.

Но предостерегаем всех от повторения подобных историй по отношению к российским госорганам. Вам плюшек не дадут, а вот посадить могут с высокой вероятностью.Потому что в данном случае цвет (белый или черный) не является определяющим, определяющим является слово "хакер".

Команда Unit42 вендора Paolo Alto Networks выпустила отчет о новом функционале ransomware Thanos, который должен был бы еще больше напугать жертву, но не работает.

Thanos - это продолжение Quimera Ransomware, которое появилось в октябре 2019 года. Потом вымогатель переименовался в Hakbit, а теперь он - Thanos. Видно, что создатели ransomware ищут себя.

Thanos работает по схеме Ransomware-as-a-Service (RaaS), забирая 30-40% от выкупа. Поддерживает его актор под псевдонимом Nosophorus. Рекламируется (на английском) на русскоязычных хакерских форумах.

В июле Unit42 анализировали атаки Thanos на две государственные организации на Ближнем Востоке и в Северной Африке. Ransomware, в числе прочего, попыталось перезаписать MBR (Master Boot Record), чтобы вместо загрузки сломанная машина выдавала требование о выкупе, но что-то пошло не так. Хакеры банально допустили ошибку в коде, в результате чего MBR не перезаписывалась.

Впервые подобный прием (перезапись MBR) применили создатели ransomware Petya, появившегося в 2016 году (там еще и вымогатель Mischa был). Подобными фокусами (ну, кроме Equation, конечно) активно баловались тогда северокорейские хакеры из Lazarus. Но это не точно.

Кстати, названия Petya и Mischa вовсе не означают, что создатели вымогателей были русскоязычными - это наименования двух спутников с ядерными боеголовками из фильма GoldenEye про Джеймса Бонда. Соответственно, когда в 2017 году появился EternalPetya (он же NotPetya) - это также не имело никакого отношения к русскоязычности авторов этого ransomware.

Ну, а логичным завершением серии сегодняшних постов, в которых мы обсуждали информационную безопасность органов госвласти, а также ransomware, которое в наше время является киберугрозой №1, будет пост про то, как органы госвласти пострадали от ransomware.

Аргентинское агентство по борьбе с киберпреступностью Unidad Fiscal Especializada en Ciberdelincuencia завело уголовное производство по факту атаки оператора ransomware NetWalker на аргентинское же Агентство иммиграции Direccion Nacional de Migraciones.

Взлом ЦОД Агентства произошел утром (ночью) 27 августа. Для предотвращения дальнейшего распространения шифровальщика техническая поддержка была вынуждена отключить все удаленные сервисы, в том числе и те, которые используются на пограничных КПП. В результате аргентинская граница была закрыта в течение 4 часов (по нашему мнению, это еще скромно).

Аргентинские СМИ пишут, что правительство не собирается идти на переговоры с хакерами, а зашифрованные данные не являются критичными.

Да вот только оператор NetWalker думает по другому, ведь, согласно последней моде, злоумышленники крадут конфиденциальную информацию перед тем как ее зашифровать. Сумма выкупа с первоначальных 2 млн. долларов уже увеличилась до 4 млн., а на своем сайте хакеры опубликовали часть слитых данных. Журналисты BleepingComputer, которые ознакомились с содержимым, отказались в своей статье даже опубликовать скриншоты, поскольку "утечка носит конфиденциальный характер".

NetWalker - ransomware, работающее по схеме RaaS и появившееся в октябре 2019 года. Операторы вымогателя преимущественно специализировались на взломах сетей учебных заведений. Эта атака является, пожалуй, первой известной атакой ransomware на центральный орган госвласти, в результате которой были затронуты исполняемые государством функции.

А теперь давайте немного повангуем.

Как нам кажется, ransomware будет становиться все популярнее и популярнее, потому что под угрозой публикации украденных конфиденциальных данных все больше жертв будет платить выкуп (и это тенденция уже видна невооруженным глазом). А там где есть потенциальная прибыль всегда есть желающие ее получить.

И в конце концов активность операторов вымогателей распространится не только на крупный бизнес (что мы все больше наблюдаем в последние месяцы), но и на крупные государственные структуры (что мы увидели сегодня). И никакие вооруженные силы и черные вертолеты с пативэнами не помогут, если у государства не налажена информационная безопасность.

Dixi.

Новость прошлой недели, но мы не смогли пройти мимо.

ZDNet сообщили, что разработчики приватного мессенджера Threema пообещали в ближайшие месяцы полностью открыть его код , который будет полностью соответствовать загружаемому приложению.

Это должно означать одно - пользователь сможет самостоятельно проверить код мессенджера на предмет наличия/отсутствия закладок, скомпилировать его и получится рабочая версия Threema, которая будет обладать всем заявленным функционалом.

Правда возможен еще один вариант, который уже проворачивал известный всем приватный мессенджер на букву S, - выложить исходники, которые после компиляции не будут подключаться к рабочим серверам.

Но будем надеяться, что швейцарцы на такую уловку не пойдут, поскольку их схема монетизации все-таки более менее понятная - они тупо продают мессенджер за деньги. В отличие от.

​​Вчера мы описали инцидент, в котором атака ransomware на аргентинское Агентство иммиграции Direccion Nacional de Migraciones повлекла за собой закрытие границы Аргентины на четыре часа. Хорошо, что никто не пострадал, хотя люди и испытали достаточно серьезные неудобства.

А что было бы если бы киберинцидент повлек за собой реальный физический ущерб (вплоть до гибели), кто был бы ответственным? В настоящее время, полагаем, никто из должностных лиц подвергшейся атаке организации, за исключением, возможно, CISО. Но так будет не всегда, утверждает компания Gartner, одна из ведущих консалтинговых компаний в области информационных технологий.

По данным исследования компании Gartner, к 2024 году 75 процентов CEO будут нести личную ответственность за киберинциденты, произошедшие с подведомственными им системам кибер-физической безопасности (CPS).

Gartner определяет CPS как компьютерные системы, которые оказывают непосредственное влияние на физический мир (включая людей). В настоящее время подобные системы встречаются преимущественно в критической информационной инфраструктуре и медицинских учреждениях, однако, по мнению консультантов, в ближайшие годы они получат широкое распространение благодаря внедрению "умных" городов и зданий, автомобильных автопилотов и других систем управления транспортом, удаленной медицине и пр.

В таких условиях "инциденты могут привести к физическому ущербу для людей, разрушению имущества или экологическим катастрофам", говорит Gartner. Финансовые последствия атак на CPS, по оценкам экспертов компании, к 2023 году составят более 50 млрд. долларов.

С учетом такого развития событий национальные правительства и международные органы будут вынуждены резко ужесточить ответственность должностных лиц за происходящие с их CPS инциденты. И ссылаться на "неправильное сегментирование сети" можно будет уже непосредственно на киче.

Мы абсолютно согласны с исследователями Gartner и сами неоднократно обращали внимание на несоответствие принимаемых государственными и частными организациями, владеющими критическими информационными системами, такими как ICS (Industrial Control Systems, по нашему - АСУ ТП).

Российские госорганы также идут в сторону ужесточения, введя в оборот понятие объектов КИИ и разработав (разрабатывая) множество соответствующих норм.

Поэтому мы думаем, что попытки найти руководителей подразделений информационной безопасности на предприятия, имеющие в номенклатуре несколько объектов КИИ 1-й категории, за 200 тыс. рублей в месяц станут безуспешными с первой же посадкой такого руководителя по статье 274.1 УК. А полностью прекратятся после того, как сядет первый CEO.

И вот тогда CISO точно станут самыми уважаемыми специалистами в любой организации. А не HR-директора, как сейчас.

И в продолжение темы влияния кибератак на реальную жизнь людей.

Вчера BancoEstado, один трех крупнейших банков Чили, был вынужден закрыть все свои отделения после атаки ransomware, которая произошла в выходные.

Подробности банк не сообщил, но журналисты ZDNet утверждают, что это был вымогатель Sodinokibi (он же REvil). Внутренняя сеть банка была скомпрометирована через бэкдор, который содержался в фишинговом сообщении, полученном одним из сотрудников банка.

В воскресенье чилийское правительство разослало общенациональный алерт по поводу кампании ransomware, нацеленной на частный сектор страны.

Пока на принадлежащем REvil сайте сливов украденной информации данных BancoEstado не появилось. Это значит, что хакеры еще ждут выплаты выкупа. Обычный срок, который дается жертве для принятия решения, - неделя. Если в следующий понедельник слива не появится, значит, с большой долей вероятности, банкиры заплатили REvil деньги.

​​Команда IssueMakersLab сообщает, что северокорейские хакеры из APT Lazarus развернули новую фишинговую атаку, направленную на военную и аэрокосмическую отрасли США.

В этот раз под видом предложения работы от лица американской компании General Dynamics Mission Systems (GDMS) корейцы рассылают фишинговое сообщение с вредоносным макросом внутри.

Мы нашли очень интересную и очень большую статью исследователей Национального центра биотехнологической информации (NCBI) американского Национального института здоровья (NIH), посвященную разработке основанной на нейросети системы выявления активности APT на основе анализа DNS-трафика.

Как связаны хакеры и Национальный центр биотехнологической информации - не спрашивайте, сами не знаем.

В двух словах, ресерчеры определили восемь параметров для обнаружения подозрительного DNS-трафика:
- длина доменного имени;
- числовые включения в доменном имени;
- наличие в домене ключевых слов;
- период непрерывного появления одного и того же доменного имени;
- отображается ли доменное имя лишь один раз;
- частотный вектор появления доменного имени в ходе всего мониторинга;
- временной интервал между DNS-запросом и ответом;
- частота смены IP-адреса для конкретного доменного имени.

Далее они построили нейросеть на основе оценки этих параметров и провели ее глубокое обучение на примере более чем 376 миллионов записей.

В результате обученная нейросеть стала выявлять подозрительный DNS-трафик с точностью до 97,6%. Конечно неизвестно как система проявит себя в реальной жизни, но предварительные данные выглядят весьма перспективно.

Мы всегда верили в Big Data.

​​Вчера Microsoft выпустили очередное сентябрьское обновление безопасности, в котором исправили 129 уязвимостей в 15 своих продуктах, среди которых - Windows, Edge, Internet Explorer, Microsoft Office, Share Point и ряд других.

Из 129 уязвимостей - 32 позволяют злоумышленнику удаленное выполнение кода (RCE), 20 из них - критичные.

Всем срочно обновляться.

​​Новости про ransomware идут сплошным потоком каждый день, хоть отдельный канал для них заводи.

Первая - руководство города Хартфорд (штат Коннектикут, США) объявило о том, то первый школьный день в городе откладывается из-за атаки вымогателя на городскую компьютерную сеть, которая произошла в прошлый четверг.

В результате, как сообщил мэр Хатфорда, атака затронула несколько школьных сетей, а также систему управления школьными автотранспортом. Чиновник рассказал, что город не планирует выплачивать оператору ransomware выкуп, поскольку не ведет переговоров с вымогателями, а никакие чувствительные данные украдены не были (или мэр об этом просто не знает).

По данным BleepingComputer, за атакой стоит ransomware Hermes, но это не точно.

Вторая новость, уже совсем невеселая, - оператор ransomware NetWalker, атака которого только недавно стала причиной закрытия аргентинской границы на 4 часа, 7 сентября успешно атаковал пакистанскую электросетевую компанию K-Electric, являющуюся единственным поставщиком электричества в пакистанском городе Карачи.

В результате взлома пострадали биллинг и онлайн-сервисы. Хорошо, что хакеры не добрались до системы управления транзитом электричества (или как это правильно называется). Потому что город Карачи - это агломерация размером с Москву, 15 миллионов человек.

Хакеры требуют 3 млн. 850 тыс. долларов, которые, по традиции, превратятся в 7,7 миллионов баксов если жертва не выплатит выкуп в течение недели.

Учитывая, что был взломан биллинг, наверняка персональные данные всех клиентов K-Electric были украдены и в случае отказа пакистанцев платить окажутся в открытом доступе в сети.

Напомним, что NetWalker работает по схеме Ransomware-as-a-Service, когда хакеры-клиенты, используя вредоносную инфраструктуру ransomware, в случае удачного вымогательства делят прибыль с владельцами вредоноса. Это объясняет необычайную активность NetWalker (да и других вымогателей, работающих по схеме RaaS) в последнее время - фактически взломы осуществляет множество независимых хакеров (хакерских групп). По данным McAfee, только с марта 2020 года владельцы NetWalker заработали 25 миллионов долларов США.

​​Исследовательский Центр Белферов Гарвардского Университета выпустил отчет Национальный индекс кибербезопасности 2020.

В ходе составления Индекса эксперты анализировали кучу параметров, которые можно условно объединить в 7 объективных показателей, среди которых укрепление национальной кибербезопасности, контроль и управление информационной средой и возможности по кибератакам инфраструктуры потенциального противника.

Ожидаемо, на первом месте - США, на втором - Китай. Россия - четвертая, пропустив вперед Великобританию.

Рейтинг, конечно, странный, хотя с отсутствием России в первой десятке стран с наилучшей национальной кибербезопасностью мы согласны.

Но как понимать четвертое место Испании и девятое место Эстонии в десятке стран с самыми мощными возможностями по кибератакам? Где все эти грозные хакерские группы типа "Неудержимые Кибермучачос" или "Eesti Kangelased". А вот КНДР в топ не попала, что весьма странно, учитывая количество и активность северокорейских хакерских групп.