Призраки, оборотни, воры и другая нечисть
Компания Cisco обнародовали результаты исследования активности вредоносного ПО в первой Microsoft Corporationполовине 2020 года. Вредоносные коды в основном занимаются кражой личных данных. В то же время американские компании, такие как Microsoft Corporation, предупреждают о активности других стран по вмешательству в выборы США. Корпорация как может блокирует несанкционированный доступ и вредоносную активность. В то же время в Германии зафиксирован случай смерти пациента из-за проблем с информационной системой госпиталя, которая была захвачена вредоносным ПО. Также суд США усомнился в эффективности массовой прослушки для предотвращения треактов.
Вредоносные программы
В сентябре компания Cisco опубликовала [1] обзор активность различных вредоносных программ в первой половине 2020 года. Компания выделила три критических типа опасных программ: бестелесные вредоносы, программы двойного назначения и воры ценной информации. Бестелесные или безфайловые вредоносы не сохраняют своих данных в файловой системе – они работают только в памяти. Определить их классическими антивирусом невозможно, поскольку последние работают только с файловой системой и сканирование памяти обычно не выполняют. Именно поэтому такие вредоносы как Kovter, Poweliks, Divergent и LemonDuck чувствуют себя прекрасно даже на компьютерах с антивирусами. И хотя они уничтожаются простой перезагрузкой системы, тем не менее на постоянно работающем оборудовании живут достаточно долго, чтобы заразить другие устройства и так сохраниться в корпоративной сети. Программы двойного назначения – это приложения, которые могут использоваться как для обеспечения безопасности, так и для проникновения. В качестве примера приводятся приложения PowerShell Empire, Cobalt Strike, Powersploit и Metasploit. К сборщикам ценной информации по версии Cisco относится, например, Mimikatz. Три перечисленные категории вредоносов обеспечивали в первой половине года 75% вредоносной активности.
Вмешательство в выборы США
Компания Microsoft предупредила американцев [2] о вмешательстве в выборы США различных разработчиков вредоносных программ, которые атакуют штабы обоих кандидатов – и Трампа, и Байдена. По информации Microsoft против Трампа работает группа злоумышленников под кодовым названием Zirconium, которую связывают с китайцами. Ей противостоит группа хакеров под условным названием Phosphorus, которая представляет иракцев – они выступают за Трампа против Байдена. В президентской гонке США также участвует и России в виде уже известной группы Fancy Bear или APT28. У Microsoft она получила наименование Strontium. Теперь осталось выяснить кто из участников повлияет на выборы Президента США.
Клиника не смогла принять больного из-за блокировки вымогателем
В Германии зафиксирован случай смерти [3], в котором правоохранительные органы винят операторов вымогателя. Случай смерти произошел в сентябре – в момент вызова скорой помощи информационные системы университетской клиники Дюссельдорфа были уже неделю заблокированы вымогателем, и клиника не могла принять экстренного больного. Пациентку повезли в соседний город, расположенный более чем в 32 км, и по дороге она скончалась. В настоящее время ведется расследование непредумышленного убийства в отношении операторов вымогателя, личность которых еще не установлена. Однако в России в этом случае в соответствии с законом №187-ФЗ «О безопасности КИИ» вполне могли посадить главврача больницы, поскольку он не принял меры по устранению уязвимостей в ПО и построению службы информационной безопасности.
Постановление апелляционного суда США по делу Эдварда Сноудена
Апелляционный суд США девятого округа постановил [4], что невозможно доказать критичность массовой прослушки граждан США для предотвращения терактов, но она точно нарушает Четвертую поправку к Конструкции США, которая защищает американцев от необоснованных обысков и арестов. Проблема возникла семь лет назад, когда Эдвард Сноуден раскрыл факт массовой прослушки телефонов сотрудниками АНБ. Тогда руководитель Агентства объявил, что прослушка якобы помогла предотвратить 50 терактов. В качестве примера он привел дело против Басаали Моалина, сомалийского иммигранта, который был осужден за связь с террористической группировкой «Аш-Шабааб». Однако Апелляционный суд США в сентябре постановил, что материалы, полученные с помощью массовой прослушки, не оказали существенного влияния на ход расследования и судебного разбирательства. Фактически такое решение означает признание незаконной любой массовой прослушки. Нам, с нашим СОРМом, не понять такого прецедентного права.
Вредоносное ПО в облачных хранилищах
Компания Microsoft заблокировала 18 учётных записей, заведениях в сервисах Azure Active Directory и OneDrive [5], объяснив это тем, что они использовались китайской APT-группировкой Gadolinium, хакеры которой настраивали AD взломанной компании на получение команд через облачный сервис Azure AD. Сейчас хакеры все чаще используют облачные ресурсы для совершения своих черных дел, поэтому крупным операторам облачных услуг, таким как Microsoft Corporation, все чаще приходится вмешиваться во вредоносные схемы мошенников. Вопрос только в том насколько точно операторы могут определить злоумышленников, и насколько легальные пользователи застрахованы от ложных срабатываний.
[1] https://threatpost.com/fileless-malware-critical-ioc-threats-2020/159422/
[2] https://threatpost.com/microsoft-cyberattacks-trump-biden-election-campaigns/159143/
[3] https://www.theregister.com/2020/09/18/ransomware_germany_hospital/
[4] https://threatpost.com/nsa-mass-surveillance-program-illegal-u-s-court-rules/158924/
[5] https://threatpost.com/microsoft-azure-chinese-hackers/159551/