«Лаборатория Касперского» представила новое комплексное решение для построения и защиты распределённых промышленных сетей. Презентация продукта состоялась на выставке «Иннопром-2024».

В основу новинки положены два продуктовых решения: предназначенная для построения отказоустойчивой территориально распределённой сети с централизованным управлением система Kaspersky SD-WAN и сертифицированная платформа промышленной безопасности Kaspersky Industrial CyberSecurity. Интеграция двух решений позволяет выстроить распределённую систему мониторинга индустриальных объектов и систем через любые типы сетей (MPLS, LTE и т. д.), а также обеспечить кибербезопасность промышленных предприятий с географически распределёнными филиалами.

Архитектура Kaspersky Industrial CyberSecurity

Новое комплексное решение «Лаборатории Касперского» может использоваться для защиты рабочих станций и серверов автоматизированных систем управления (АСУ), работающих на базе современных или устаревших ОС Windows и Linux, программируемых контроллеров, терминалов релейной защиты АСУ, промышленных маршрутизаторов и управляемых коммутаторов. Кроме того, продукт позволяет обнаруживать опасные изменения ключевых параметров технологического процесса и их аномалии с помощью глубокой инспекции пакетов промышленных протоколов.

Согласно результатам исследования «Лаборатории Касперского», только у 20 % организаций с распределёнными сетями и филиалами в разных регионах страны защищены все подразделения. При этом кибератаки, в том числе на промышленные системы, становятся всё более сложными и таргетированными — в 2023 году в России вредоносные объекты были заблокированы на 34,3 % компьютеров автоматизированных систем управления.

Австралийские власти объявили о намерении построить защищённое облако TS Cloud силами Amazon Web Services (AWS). По данным The Register, его создадут при участии Австралийского радиотехнического управления (Australian Signals Directorate, ранее Управление радиотехнической обороны), ответственного за кибербезопасность и радиоразведку.

Top Secret Cloud (TS Cloud) будет построено для оборонного и разведывательного сообщества страны с целью безопасного хранения и обработки наиболее секретной информации. Предполагается, что TS Cloud даст Австралии возможность защищённо, быстро и в больших масштабах делиться данными между компетентными ведомствами и анализировать их, а также использовать передовые технологии, включая ИИ и машинное обучение. Кроме того, оно упростит взаимодействие со спецслужбами США.

На облако планируется потратить AUD$2 млрд ($1,35 млрд) в течение десяти лет. Сумма должна покрыть возведение трёх независимых дата-центров и создание местного подразделения AWS. Также будет создано 2 тыс. рабочих мест.

Источник изображения: AWS

В облаке будут храниться наиболее секретные данные. У разных правительственных ведомств могут быть разные определения суверенитета, возможно, для некоторых потребуется соблюдение самых строгих норм. Австралия входит в разведывательный альянс «Пяти глаз», также включающий США, Канаду, Великобританию и Новую Зеландию и ей необходима возможность защищённого обмена данными с партнёрами.

AWS уже строила Top Secret облака для американского правительства, Великобритания тоже пользуется сервисами Amazon для хранения и обработки совершенно секретной информации. Наконец, в 2021 году AWS объявила о подписании сделки на строительство аналогичных ЦОД в Новой Зеландии на сумму $7,5 млрд новозеландских долларов ($5,3 млрд).

Группа хакеров-вымогателей Brain Cipher, недавно поставившая под угрозу работу индонезийского правительства, извинилась и прислала ключи для восстановления работы поражённого 20 июня ЦОД. Впрочем, напоминает The Register, $8 млн выкупа никто платить всё равно не собирался. В результате атаки посредством LockBit 3.0 была парализована работа многих правительственных служб, от миграционных до медицинских.

Brain Cipher, ответственная за взлом и шифровку правительственного ЦОД PDNS, прислала ключ в виде ESXi-файла объёмом 54 Кбайт. Хакеры ждут официального подтверждения, что ключ работает и что все данные были дешифрованы. После этого они удалят ту информацию, что была скачана ими из ЦОД. Однако если будет заявлено, что данные были восстановлены при помощи и участии третьих лиц, хакеры выложат в публичный доступ украденную информацию, хотя и не уточняют, какую именно.

Источник изображения: Mr Cup / Fabien Barral / Unsplash

Согласно сообщению сингапурской Stealth Mole, команда вымогателей отправила заявление, в котором попросила прощения у граждан Индонезии. Кроме того, Brain Cipher объявила, что предоставляет файл для дешифровки по собственной воле, без давления силовых и прочих ведомств. При этом вымогатели пожелали благодарностей за своё благородное поведение и даже предоставили счёт для пожертвований.

Дополнительно они рассказали о своей мотивации. Речь шла о своего рода тесте возможностей. В своём послании Brain Cipher подчеркнули, что атака наглядно продемонстрировала, насколько важно финансировать IT-индустрию и нанимать квалифицированных специалистов. В этом случае, по данным злодеев, на выгрузку и шифрование петабайт данных ушло очень мало времени. В Brain Cipher подчеркнули, что не все жертвы могут рассчитывать на подобную снисходительность.

Глава одного из ведомств Министерства коммуникаций и информатизации Индонезии (Kominfo), который уже подал в отставку, подтвердил, что с помощью присланного ключа уже удалось расшифровать шесть наборов данных, но он не уверен, что ключ действительно универсальный. По словам одного из индонезийских ИБ-экспертов, это большой позор для Kominfo и страны. По его словам, при бюджете в 700 млрд рупий на защиту индонезийских данных, власти полагаются только на Windows Defender.

Источник изображения: Dennis Schmidt/unsplash.com

В последние дни в правительстве страны наблюдалась лёгкая паника, поскольку выяснилось, что многие министерства и ведомства не делали резервных копий данных. После инцидента президент страны сделал создание резервных копий обязательным и назначил аудит правительственных дата-центров. Теперь политики и общественность ищет ответственного. В частности, сформирована петиция о снятии с должности главы Kominfo.

Местное издание Tempo со ссылкой на депутата Совет народных представителей (местного парламента) сообщает, что после инцидента 80 иностранных компаний начали аудит своих индонезийских подразделений. Для Индонезии, которая наряду с Малайзией стремится стать новым IT-центром Юго-Восточной Азии и пытается привлечь крупные инвестиции, взлом государственного дата-центра стал серьёзным ударом по репутации.

В Северной Корее намерены заменить китайские комплекты мобильного телекоммуникационного оборудования на собственные разработки. Как сообщает южнокорейское издание Daily NK со ссылкой на источники в стране, это позволит уже в этом году повысить уровень сетевой безопасности.

По сведениям издания, страна намерена обеспечить уровень защиты мобильных сетей в соответствии с международными стандартами, поскольку китайские телеком-решения якобы не соответствуют этим требованиями. Предполагается увеличение инвестиций в облачные системы и квантовые технологии. Стоит отметить, что Daily NK — преимущественно пропагандистское издание из Южной Кореи, поэтому к его информации следует относиться с осторожностью.

Источник изображения: Random Institute/unspalsh.com

Ссылаясь на пожелавших остаться анонимными источники, издание сообщает о прошедшей в июне конференции в Пхеньяне, где обсуждались возможности вывести мобильную инфраструктуру страны на «мировой уровень». По итогам Специальный комитет по экономическому развитию составить план замены китайских технологий местными. Ключевую роль в этом должны сыграть Научно-исследовательский институт информационных технологий и Государственная академия наук, а также эксперты IT-сектора.

В прошлом году сообщалось, что Северная Корея начала импортировать бывшее в употреблении мобильное оборудование Huawei для обновления существующих сетей третьего поколения. Ранее в текущем году страна начала регистрировать 4G-абонентов. Сегодня в КНДР имеется два действующих оператора мобильных сетей — Koryolink и Kang Song NET. Koryolink создали в 2008 году в рамках сотрудничества с египетской Orascom Investment Holding (OIH) и государственной северокорейской Korean Post & Telecoms Corporation (KPTC). Kang Song NET основали в 2015 году.

Компания Google, по сообщению ресурса DarkReading, дала старт соревнованию Bug Bounty по поиску уязвимостей нулевого дня в гипервизоре KVM (Kernel-based Virtual Machine) с открытым исходным кодом. Сумма вознаграждений за успешные атаки варьируется от $10 тыс. до $250 тыс.

Источник изображения: pixabay.com

KVM обеспечивает виртуализацию в среде Linux. Компания Google является активным участником проекта KVM, применяя гипервизор в различных продуктах и системах, включая Android и облачную платформу Google Cloud.

Состязание по взлому KVM проводится по модели Capture the Flag («Захват флага»). Участники резервируют временные интервалы для входа в виртуальную машину, работающую на «голом железе», а затем пытаются провести атаку «гость — хост». Целью является использование уязвимости нулевого дня в KVM. В случае успеха нападающий получит «флаг», подтверждающий факт проникновения. Размер вознаграждения определяется серьёзностью найденной дыры:

• Полный побег из виртуальной машины (Full VM escape) — $250 тыс.;
• Произвольная запись в память (Arbitrary memory write) — $100 тыс.;
• Произвольное чтение памяти (Arbitrary memory read) — $50 тыс.;
• Относительная запись в память (Relative memory write) — $50 тыс.;
• Отказ в обслуживании (DoS) — $20 тыс.;
• Относительное чтение памяти (Relative memory read) — $10 тыс.

Подробности об уязвимости нулевого дня будут переданы Google после выпуска соответствующего патча, чтобы гарантировать, что компания получит информацию одновременно с остальным сообществом разработчиков open source.

Президент Индонезии Джоко Видодо (Joko Widodo) приказал провести аудит правительственных ЦОД после того, как злоумышленники зашифровали один из них с целью получения выкупа. По данным The Register, выяснилось, что для большинства данных в стране не делалось резервных копий.

Атака на национальный дата-центр Temporary National Data Center (Pusat Data Nasional, PDN), организованная 20 июня и нарушившая работу многих государственных сервисов по всей стране, показала, насколько уязвимой оказалась её информационная сеть. Выяснилось, что речь идёт о свежем варианте вредоносного ПО LockBit 3.0 — Brain Cipher. Власти сообщили, что ПО шифрует все данные на атакованных серверах.

За ключи для расшифровки информации злоумышленники потребовали Rp131 млрд ($8 млн), но правительство отказалось их платить и пытается восстановить доступ к данным. Приказ об аудите, по слухам, последовал за прошедшим за закрытыми дверями совещанием, но сроки окончания проверки не называются.

Источник изображения: Jeremy Bishop/unsplash.com

В парламенте глава ведомства National Cyber and Encryption Agency (BSSN) Хинса Сибуриан (Hinsa Siburian) признал, что для 98 % данных, хранившихся в скомпрометированном ЦОД, бэкап не делался. До недавних пор в Индонезии правительственные ведомства могли делать резервные копии данных в доступных дата-центрах, но их создание было делом добровольным. Большинство структур не делали бэкапы из экономии, но в будущем это станет обязательным.

Хотя отсутствие резервных копий сыграло очевидную роль в разразившемся кризисе, вице-президент Маруф Амин (Ma’ruf Amin) назвал причиной столь масштабного ущерба централизацию и унификацию IT-систем — в результате одного взлома пострадали все структуры. Чиновник заявил, что в прошлом таких серьёзных инцидентов не было.

Облачная платформа VK Cloud сообщила об интеграции среды Dev Platform с инструментами безопасной разработки Positive Technologies и Swordfish Security.

Dev Platform предоставляет набор предустановленных, прединтегрированных и преднастроенных инструментов, с помощью которых можно создать единую среду разработки, сделать прозрачным и эффективным весь жизненный цикл продукта. Архитектуру решения можно гибко масштабировать, добавляя к базовым компонентам платформы внешние инструменты через систему плагинов. Бизнес может развернуть Dev Platform в своей IT-инфраструктуре, в том числе в рамках Private Cloud, или в публичном облаке VK Cloud.

Dev Platform совместима с инструментами для поиска уязвимостей в приложениях PT BlackBox и PT Application Inspector, а также с продуктом для защиты контейнерных сред PT Container Security, который выявляет и предотвращает атаки на системы компании, запущенные в контейнерах.

Архитектура Dev Platform (источник изображения: cloud.vk.com/dev-platform)

Кроме того, платформа интегрирована с решениями Swordfish Security — AppSec.Hub класса ASPM (Application Security Posture Management) и AppSec.Track класса OSA (Open Source Analysis) и SCA (Software Composition Analysis). AppSec.Hub — инструмент оркестрации сканеров уязвимостей, фильтрации ложных срабатываний на базе ИИ-технологий и отображения метрик качества построения процесса безопасной разработки. Инструмент AppSec.Track, позволяет не допустить попадания небезопасных внешних компонентов в контур разработки на самом начальном этапе и проверяет наличие ИБ-проблем в них на этапе сборки ПО.

Компания «Пассворк», занимающаяся разработкой и развитием одноимённого менеджера паролей для бизнеса, сообщила о получении лицензий Федеральной службы по техническому и экспортному контролю на деятельность по разработке средств защиты конфиденциальной информации, а также на деятельность по её технической защите.

Выданные ФСТЭК России лицензии подтверждают соответствие компании предъявляемым ведомством требованиям в области IT-безопасности. Согласно полученным документам, специалисты «Пассворка» вправе участвовать в разработке и доработке ПО и технических средств защиты информации, а также оказывать услуги по развёртыванию и настройке защитных решений.

«Пассворк» повышает безопасность при работе с корпоративными паролями

«Это важное событие для российского IT-сектора, так как теперь корпорации и госкомпании, для которых наличие упомянутых лицензий является обязательным условием, смогут обеспечивать сохранность своих данных, а также наладить удобный процесс работы с паролями, пользуясь отечественным решением», — говорится в заявлении компании-разработчика.

«Пассворк» ведёт деятельность на российском IT-рынке с 2014 года. Разрабатываемый компанией продукт упрощает совместную работу с корпоративными паролями и обеспечивает их хранение на сервере организации в зашифрованном виде. Поддерживается интеграция с Active Directory/LDAP, авторизация с помощью SAML SSO, а также аудит безопасности паролей. Решение зарегистрировано в реестре отечественного софта и может представлять интерес для организаций, реализующих проекты в сфере импортозамещения ПО. Открытый для аудита исходный код менеджера паролей позволяет убедиться в отсутствии уязвимостей и скрытых функций.

Компания «Солар» (дочернее предприятие «Ростелекома», работающее в сфере информационной безопасности) выпустила новую версию шлюза веб-безопасности Solar webProxy 4.1.

Solar webProxy относится к классу SWG-решений (Secure Web Gateways). Программный комплекс устанавливается в разрыв сети и контролирует все данные, передаваемые между сотрудниками, внутренними IT-системами организации и интернет-ресурсами. При фильтрации и маршрутизации данных определяются их формат и кодировка передаваемых данных, вскрываются содержимое и заголовки сетевых пакетов, категоризируются веб-запросы и ресурсы. Возможна проверка трафика встроенным антивирусом или другими средствами защиты с помощью протокола ICAP.

Принцип работы Solar webProxy

С релизом Solar webProxy 4.1 в состав шлюза вошла сформированная и регулярно обновляемая специалистами центра исследования киберугроз Solar 4RAYS база данных, содержащая URL-адреса, домены и IP-адреса вредоносных ресурсов. Также в продукте появились возможности проксирования трафика, передаваемого по протоколу SOCKS5, и создания правил фильтрации для протоколов WebSocket и WebSocket Secure.

В числе прочих доработок Solar webProxy 4.1 фигурируют возможность исключения проверки не валидных сертификатов и расширенные настройки политик безопасности. Ещё одно дополнительное улучшение касается повышения удобства взаимодействия с системой, в том числе со стороны сотрудников. Теперь администратор может создать собственный HTML-шаблон в корпоративном стиле, который будет понятным для пользователя языком оповещать о блокировке запрашиваемого ресурса.

Индонезийские государственные IT-сервисы пострадали от атаки хакеров-вымогателей. The Register сообщает, что местные власти сообщили о заражении национального дата-центра, из-за которого нарушено обслуживание как граждан страны, так и иностранцев.

Речь идёт об управляемом Министерством связи и информационных технологий (Kominfo) ЦОД National Data Center (он же Pusat Data Nasional, PDN). Инцидент зарегистрирован 20 июня, но правительство объявило о проблеме только в понедельник.

Работа PDN заблокирована, это сказалось как минимум на 210 местных организациях, серьёзно пострадали некоторые местные IT-сервисы. В частности, нарушена работа миграционной службы, из-за чего страна не может своевременно справляться с выдачей виз, паспортов и разрешений на проживание. Это уже привело к очередям в аэропортах, но власти уверяют, что автоматизированные сканеры паспортов уже вновь заработали.

Источник изображения: Fikri Rasyid/unsplash.com

Пострадала и онлайн-регистрация новых учащихся в некоторых регионах, из-за чего органы самоуправления на местах были вынуждены продлить сроки регистрации.

ПО, поразившее системы PDN, представляет собой вариант LockBit 3.0 — версию Brain Cipher. В Broadcom обнаружили этот «штамм» более недели назад. Как сообщили журналистам представители властей, вымогатели требуют выкуп в размере 131 млрд местных рупий ($8 млн), но пока неизвестно, намерены ли его выплачивать.

Для того, чтобы оценить значимость суммы для страны, стоит отметить, что президент Индонезии Джоко Видодо (Joko Widodo) в прошлом месяце приказал чиновникам прекратить разработку новых приложений после того, как те запросили 6,2 трлн рупий ($386,3 млн) для разработки нового софта в этом году. По словам президента, 27 тыс. приложений центральных и местных властей дублируют функции друг друга или не интегрированы должным образом.

Небрежность с обеспечением устойчивости работы iT-инфраструктуры может привести к непредсказуемым последствиям. В начале июня сообщалось, что вся информационная система одного из муниципалитетов Западной Австралии зависит от одного-единственного сервера без возможности оперативной замены и в случае инцидента последствия могут оказаться катастрофическими.

UPD 26.06.2024: правительство Индонезии отказалось выплачивать выкуп и попытается своими силами восстановить работу ЦОД и сервисов. Говорится об обнаружении образцов LockBit 3.0. Это самая крупная атака на госслужбы с 2017 года.