Кіберновини на 26 липня

В Україні 

Український досвід у протистоянні російській кіберагресії затребуваний у всьому світі

Нещодавно відбулася найвагоміша міжнародна подія в галузі інформаційної безпеки – форум FIRST (The Forum of Incident Response and Security Teams). Інсайтами з форуму поділився заступник начальника Урядової команди реагування на комп’ютерні надзвичайні події CERT-UA Євген Бриксін у колонці для SPEKA.

Головне:

Протягом останніх восьми років кіберпростір став полем бою для російських хакерів зі спецслужб, які застосували на українських інформаційних системах усю свою найсучаснішу зброю. З цієї битви ми вийшли з унікальним досвідом, знаннями, важливими для наших партнерів, і які мають допомогти усьому світові побудувати надійний захист від невиправданої агресії росії в кіберпросторі.

Агресор – повністю виключений із глобальних процесів у кіберсфері. Отже, його спроможність захищатися і, що більш важливо, нападати – знижуватиметься. У росії та білорусі немає доступу ані до інформації про найсучасніші інструменти й методи, які використовують хакерські угрупування для атак, ані до напрацювань, як таким атакам протистоять демократичні країни.

Відбувається масштабування російської кіберагресії, а загострення ситуації вийшло далеко за межі українських кіберкордонів. Тому партнерство з демократичними країнами та єдині цінності у побудові систем кіберзахисту надзвичайно важливі. Світ об’єднується задля захисту від загрози з боку рф, адже в кіберпросторі захищатися самостійно неможливо. ^[1]

Юрій Щиголь розповів про важливі аспекти роботи Держспецзв’язку 

Головне з інтерв’ю голови Держспецз’язку, Юрія Щиголя, Українській службі Польського радіо:

Україна успішно відбиває хакерські атаки росіян та протистоїть ворогу на інформаційному і кіберфронті. Жодного інциденту в мережах урядового зв’язку протягом останніх кількох років не зафіксовано. Волонтерський хаб Держспецзв’язку, створений ветеранами Служби, суттєво допомагає військовослужбовцям із початку повномасштабної війни. Армія дронів, над створенням якої триває робота, дозволить зберегти життя наших героїв. Долучитися може кожен на сайті https://u24.gov.ua/uk/dronation. ^[2]

Масове розповсюдження стілерів (Formbook, Snake Keylogger) та використання шкідливих програм RelicRace/RelicSource як засобу доставки

Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA з 19.07.2022 фіксуються факти масового розсилання електронних листів з темою «Остаточний платіж» та одноіменним вкладенням у вигляді TGZ-архіву. Архів містить EXE-файл, що класифіковано як .NET-даунлоадер RelicRace, призначений для завантаження (здебільшого з OneDrive), декодування та запуску в пам’яті шкідливої .NET-програми RelicSource. RelicSource функціонально є інсталятором, що забезпечує дешифрування даних, які зберігаються в ресурсах (можливі варіанти: XOR/DES/DES3/AES/ARC2) та запуск (в т.ч. шляхом інжектування) отриманого пейлоаду. Передбачено декілька способів забезпечення персистентності, імплементовано техніки антианалізу (виявлення VM), а також відправка нотифікацій до Telegram та інше. Як пейлоад використовуються програми-стілери, а саме: Formbook та Snake Keylogger (ексфільтрація за допомогою API Telegram). Активність має систематичний, масовий та географічно розосереджений характер і відстежується за ідентифікатором UAC-0041. ^[3]

У росії

У мережі пропонують купити базу даних клієнтів московського ЦУМу

За даними Telegram-каналу in4security, у продажу з’явилася клієнтська база даних московського ЦУМу. Інформація про продаж активно розповсюджується в Telegram-чатах двома користувачами. Одного звуть Сергій – до публікації пропозиції використав нік meliksetyan_29, проте не змінив номер телефону перед продажем бази. Другий – @purotexnuk, який раніше продавав брендові речі на Авіто. Гроші за базу користувачі просять перевести Ашоту, прізвище якого, як виявилося, збігається з попереднім ником продавця Сергія. Як повідомляється в in4security, база містить дані приблизно 50.000 клієнтів (ПІБ, телефон, куплений бренд, іноді email) і пропонується до придбання за 200.000 рублів. За твердженням одного із продавців, дані отримані зі служби підтримки ЦУМу, яка має до них безпосередній доступ. ^[4]

У світі

Anonymous стверджує, що зламала сайт дитячої порнографії

У суботу Anonymous у Twitter заявила, що зламали веб-сайт дитячої порнографії. У твіті вони також поділилися базою даних веб-сайту.

Відповідно до GeeksforGeeks, у сьогодні люди залежать від Інтернету, знаходяться в ньому для різних цілей, таких як інформація, спілкування, покупки тощо, так само діти також підключаються до Інтернету для освітніх цілей або для розваги. Оскільки Інтернет пропонує багато хороших речей, водночас він є великим джерелом злочинності. Щодня в Інтернеті відбувається так багато злочинів: фішинг, кіберзалякування, хакерство тощо. Серед усіх цих злочинів дитяча порнографія є найбільш травматичним і жахливим злочином.

«Дитяча порнографія — це галузь порнографії, яка використовує дітей віком до 18 років за допомогою фотографій, відео, аудіо, комп’ютерного контенту тощо. Закон про захист дітей від сексуальних злочинів (POCSO – Protection of Children from Sexual Offences) 2012 року визначає дитячу порнографія як «будь-яке візуальне зображення відвертої поведінки сексуального характеру за участю дитини, яке включає фотографії, відео, цифрове або згенероване комп’ютером зображення, яке неможливо відрізнити від реальної дитини, і зображення, яке створене, адаптоване або модифіковане таким чином, щоб зобразити дитину», джерело GeeksforGeeks. ^[5]