Business Insider ⇒ Ай-да-карантин. Ситуация на 92 марта 2020 года

Business Insider is a fast-growing business site with deep financial, media, tech, and other industry verticals. Development and Strategy is a non-partisan. International Editions.
Ответить
Аватара пользователя
Erich Ekholm
Администратор
Сообщения: 2108
Зарегистрирован: 14 янв 2020, 09:00

Ай-да-карантин. Ситуация на 92 марта 2020 года

Сообщение Erich Ekholm »

Мир уже третий, а где-то и в четвертый (в зависимости от географии) месяц сидит на карантине. Хочется съязвить что-то на тему «кто сидел на карантине, тому "День сурка" совершенно не смешное кино». Особенно если погода за окном с марта вообще никак не поменялась! (в Москве как минимум). Короче, бытие наше "подтверждает старый тезис, что сегодня тот же день, что был вчера" (с).

Изображение
*Базы данных "Лаборатории Касперского" за 26.05.2020.Заодно мы видим и постепенный спад по всякой "коронавирусной" малваре

Но верно ли это утверждение по отношению к мировому кибер-злодейству? Интересно же, как у них там дела обстоят в наши неспокойные, но при этом совершенно однообразные карантинные времена? Чем там сейчас заняты кибернегодяи, пока мы все сидим по домам? Про это уже рассказывал две недели назад, но пора и обновить нашу кибер-стенгазету.

Для начала немного статистики. Позитивная динамика (в хорошем смысле этого слова) явно присутствует, и это радует. За прошедшие месяцы наблюдения апрель оказался самым вредоносным месяцем, когда мы действительно наблюдали наибольший всплеск киберпреступной активности. В мае цифры значительно снизились и вернулись плюс-минус к своим обычным среднемесячным значениям.

Под "короновирусным" зловредством понимаются кибератаки, которые так или иначе маскируются под или ассоциируют себя с темой этого самого злобного биовируса, который уже несколько месяцев кошмарит популяцию хомосапиенсов на всей планете.

То есть, с одной стороны, майская статистика показывает, что сетевые негодяи немного подуспокоились – и это хорошо. Но если с другой стороны включить встроенный в нас головной мозг, то возникают вопросы. Например, а что это киберзлодейство в мае вот так расслабилось? У них что там – режимы самоизоляций отключили? Да вроде бы нет... Часть мира только-только с карантинов выбирается, а Латинская Америка вот только на пик выходит. Или кибер-преступники "Праздник весны и труда" ушли отмечать, да так оттуда и не вернулись? Тоже кажется маловероятным сценарием. Так что же произошло?

А не знаю я! Они мне о своих бизнес-процессах не рассказывают. Однако, смею предложить вот такую гипотезу. Не исключаю, что в апреле они столько "рыбы набомбили", что запасы в хранилищах иссякли. Что украдено было информации больше, чем они в состоянии обкэшить. То есть, им в мае месяце пришлось монетизировать "улов", а не гоняться за новыми жертвами. Похоже на правду? Не исключаю.

То есть, расслабляться пока рано. Киберпреступники хакали, хакают и будут хакать. И отдельно про короно-биовирусную тему: цифровые бандиты всех мастей продолжают её активно эксплуатировать. Многие APT-группы воспользовались этим инфоповодом для рассылки фишинговых писем. Но есть и особо примечательные случаи.

1. Например, группа Transparent Tribe (про нее мы писали в недавнем APT-отчёте), которая специализируется на атаках на индийские компании, госсектор и военные ведомства пошла ещё дальше. Они под видом официального коронавирусного треккинг-приложения, которое в Индии должно быть установлено всеми в обязательном порядке, распространяют Android-бэкдоры. Прицел атаки по нашей информации идёт в основном на местных военных.

2. Вторая короно-история: 20 апреля на форуме 4chan был опубликован пост про утечку логинов-паролей из Уханьского института вирусологии. После этого новость об утечке начала обрастать новыми подробностям – появились многочисленные посты в разных соцсетях и информация в СМИ (включая громкую статью в Washington Post) о том, что данные утекли не только из Уханьского института, но и из ВОЗ, Всемирного банка, Фонда Гейтса и других организаций. Наш собственный внутренний анализ утечки показал, что бóльшая её часть скомпилирована из утечек прошлых лет. Кроме того, информация, представленная о нынешней утечке на различных форумах, обычно описывалась как предполагаемое доказательство теорий о преднамеренном распространении SARS-CoV-2 / COVID-19 среди населения. В целом это выглядит как фейкньюс с политическим подтекстом. Спекулировать на тему "кому и зачем это нужно", не буду.

Изображение

3. Следующая новость уже не никак не связана с биовирусным медиа-мошенничеством. С разбегом всего в одну неделю произошло нападение сразу на несколько суперкомпьютерных центров - ещё одна загадка последних весенних недель. 11 мая о взломе сообщил эдинбургский центр ARCHER. Чуть позднее об аналогичных инцидентах безопасности рапортовали немецкий центр bwHPC и Swiss National Supercomputing Centre (кстати, который ровно сейчас изучает протеин коронавируса) и ряд других научных организаций из Европы, Северной Америки и Китая. Наш анализ зловредов показал, что злоумышленники ставили бэкдор и потом из-под него запускали... майнер криптовалюты. Ой, всего-то? Или это просто "обманка" в расчёте на что-то более серьёзное в будущем? Это и настораживает. Все суперкомпьютерные центры взломали в плюс-минус один и тот же момент, а майнинг в 2020 году уже далеко не самая прибыльная форма киберпреступности. Посему по этому инциденту вопросы "кто и зачем?" пока остаются открытыми.

4. Любопытное расследование вышло в Forbes про смартфоны Xiaomi, а вот тут можно почитать выжимку по-русски. Разработчик заменяет стандартный Android-браузер своим собственным. Ну, браузер как браузер... но с сюрпризом. Он шлёт все интернет-ссылки и поисковые запросы вместе с метаданнами о смартфоне на серверы Alibaba. Xiaomi всё отрицает, но... в следующем апдейте всё же обещает обновить софт и сделать опциональную галочку, чтобы можно было выключить отправку этой статистики.

Изображение

5. Ещё одна компания, репутация которой пострадала из-за прорех в безопасности – Zoom. Если честно, я и сам пользовался этим софтом только с "пустого" компьютера и только по важной необходимости. Но надо отдать должное и поддержать Zoom - за последние два месяца они сделали серьёзную работу над ошибками. В каждом патче они чинят что-то связанное с безопасностью, запустили нормальный Bug Bounty (делала Кэти Мусурис, которая построила аналогичный процесс для Microsoft). Недавно они объявили, что покупают крипто-сервис Keybase для защиты передаваемых данных. Посему я очень надеюсь, что в итоге Zoom станет хорошим примером как отношение к кибербезопасности реально влияет на бизнес-результаты – и Zoom-сайт поселится и на моём "боевом" ноутбуке. Молодцы Зум, что взялись за ум!

Всё на этом по теме карантинного мартапрелемая этого года. По мере отлова новых интересных событий – всё будет в очередных выпусках кибер-наглядной агитации. Всем спасибо за внимание, всем – работать!
Ответить