В ‎статье подробно‏ ‎описываются ‎технические ‎аспекты ‎борьбы ‎с‏ ‎конкретным ‎банковским‏ ‎трояном‏ ‎для ‎Android, ‎а‏ ‎также ‎более‏ ‎широкие ‎темы ‎анализа ‎вредоносных‏ ‎программ,‏ ‎такие ‎как‏ ‎использование ‎методов‏ ‎обфускации ‎и ‎доступных ‎инструментов ‎для‏ ‎противодействия‏ ‎этим ‎методам

📌Механизм‏ ‎обфускации: банковский ‎троян‏ ‎Nexus ‎использует ‎механизм ‎обфускации ‎строк‏ ‎в‏ ‎коде‏ ‎своего ‎приложения.‏ ‎Это ‎усложняет‏ ‎анализ ‎и‏ ‎понимание‏ ‎функциональности ‎приложения.

📌Инструменты‏ ‎анализа: ‎упоминается ‎использование ‎как ‎ручного‏ ‎декодирования, ‎так‏ ‎и‏ ‎платных ‎инструментов, ‎таких‏ ‎как ‎JEB‏ ‎Decompiler, ‎для ‎идентификации ‎и‏ ‎исправления‏ ‎запутанного ‎кода.

📌Проверка‏ ‎байт-кода ‎Dalvik: в‏ ‎данном ‎примере ‎рассматривается ‎модификация ‎методов‏ ‎обфускации‏ ‎путем ‎проверки‏ ‎байт-кода ‎Dalvik,‏ ‎который ‎является ‎частью ‎файлов ‎DEX‏ ‎в‏ ‎приложениях‏ ‎Android.

📌 dexmod: ‎инструмент‏ ‎под ‎названием‏ ‎dexmod, ‎разработанный‏ ‎для‏ ‎помощи ‎в‏ ‎исправлении ‎байт-кода ‎Dalvik, ‎который ‎иллюстрирует,‏ ‎как ‎файлы‏ ‎DEX‏ ‎могут ‎быть ‎изменены‏ ‎для ‎упрощения‏ ‎анализа ‎приложений ‎Android.

📌Права ‎доступа:‏ ‎Анализ‏ ‎файла ‎AndroidManifest.xml‏ ‎показывает, ‎что‏ ‎троян ‎запрашивает ‎доступ ‎к ‎конфиденциальной‏ ‎информации,‏ ‎такой ‎как‏ ‎SMS-сообщения, ‎контакты‏ ‎и ‎телефонные ‎звонки.

📌Методы ‎обфускации ‎и‏ ‎патч:‏ ‎Специальные‏ ‎методы, ‎такие‏ ‎как ‎bleakperfect‏ ‎() ‎содержат‏ ‎мертвый‏ ‎код ‎и‏ ‎обсуждается ‎исправление ‎этих ‎методов ‎для‏ ‎удаления ‎избыточного‏ ‎кода‏ ‎и ‎упрощения ‎анализа.

📌Структура‏ ‎файла ‎DEX: представлена‏ ‎информация ‎о ‎структуре ‎файлов‏ ‎DEX,‏ ‎включая ‎такие‏ ‎разделы, ‎как‏ ‎заголовки, ‎таблицы ‎строк, ‎определения ‎классов‏ ‎и‏ ‎код ‎метода;‏ ‎объясняется, ‎как‏ ‎классы ‎и ‎методы ‎определяются ‎и‏ ‎на‏ ‎которые‏ ‎ссылаются ‎в‏ ‎этих ‎файлах.

📌Обновление‏ ‎контрольной ‎суммы‏ ‎и‏ ‎подписи: подчеркивается ‎необходимость‏ ‎обновления ‎значений ‎контрольной ‎суммы ‎и‏ ‎подписи ‎SHA-1‏ ‎в‏ ‎заголовке ‎файла ‎DEX‏ ‎для ‎обеспечения‏ ‎проверки ‎содержимого.

📌 Судебный ‎иск‏ ‎FTC ‎против ‎Ring: ‎Федеральная ‎торговая‏ ‎комиссия ‎(FTC)‏ ‎подала‏ ‎в ‎суд ‎на‏ ‎Ring, ‎компанию‏ ‎по ‎производству ‎камер ‎домашней‏ ‎безопасности,‏ ‎принадлежащую ‎Amazon,‏ ‎за ‎неспособность‏ ‎защитить ‎конфиденциальность ‎потребителей. ‎В ‎жалобе‏ ‎FTC,‏ ‎поданной ‎в‏ ‎мае ‎2023‏ ‎года, ‎Ring ‎обвинялась ‎в ‎том,‏ ‎что‏ ‎она‏ ‎позволяла ‎сотрудникам‏ ‎и ‎подрядчикам‏ ‎получать ‎доступ‏ ‎к‏ ‎личным ‎видеозаписям‏ ‎клиентов ‎без ‎их ‎согласия ‎и‏ ‎не ‎принимала‏ ‎надлежащих‏ ‎мер ‎безопасности. ‎Эта‏ ‎халатность ‎привела‏ ‎к ‎несанкционированному ‎доступу ‎хакеров‏ ‎и‏ ‎сотрудников, ‎что‏ ‎поставило ‎под‏ ‎угрозу ‎конфиденциальность ‎и ‎безопасность ‎видеоматериалов‏ ‎потребителей.

📌Урегулирование‏ ‎и ‎возврат‏ ‎средств: В ‎результате‏ ‎судебного ‎процесса ‎Ring ‎согласилась ‎на‏ ‎урегулирование,‏ ‎которое‏ ‎включало ‎финансовый‏ ‎штраф ‎и‏ ‎создание ‎более‏ ‎надежной‏ ‎программы ‎обеспечения‏ ‎конфиденциальности ‎и ‎безопасности. ‎FTC ‎выплачивает‏ ‎возмещение ‎на‏ ‎сумму‏ ‎более ‎5,6 ‎миллионов‏ ‎долларов ‎примерно‏ ‎117 ‎044 ‎пострадавшим ‎клиентам‏ ‎Ring.‏ ‎Эти ‎возмещения‏ ‎осуществляются ‎через‏ ‎PayPal, ‎и ‎клиентам ‎рекомендуется ‎потребовать‏ ‎свои‏ ‎платежи ‎в‏ ‎течение ‎30‏ ‎дней.

📌Подробности ‎урегулирования: По ‎условиям ‎соглашения ‎Ring‏ ‎должна‏ ‎была‏ ‎выплатить ‎5,8‏ ‎миллиона ‎долларов,‏ ‎удалить ‎незаконно‏ ‎полученные‏ ‎видеозаписи ‎и‏ ‎принять ‎новые ‎строгие ‎меры ‎по‏ ‎обеспечению ‎конфиденциальности‏ ‎и‏ ‎безопасности. ‎Эти ‎меры‏ ‎включают ‎многофакторную‏ ‎аутентификацию ‎и ‎ограничения ‎доступа‏ ‎сотрудников‏ ‎к ‎видео‏ ‎для ‎пользователей.‏ ‎FTC ‎подчеркнула, ‎что ‎эти ‎шаги‏ ‎были‏ ‎необходимы ‎для‏ ‎предотвращения ‎будущих‏ ‎нарушений ‎конфиденциальности ‎и ‎восстановления ‎доверия‏ ‎потребителей‏ ‎к‏ ‎продукции ‎Ring.

📌Ответ‏ ‎Ring: Компания ‎Ring‏ ‎заявила, ‎что‏ ‎она‏ ‎рассмотрела ‎многие‏ ‎вопросы, ‎вызывавшие ‎обеспокоенность ‎FTC, ‎до‏ ‎начала ‎расследования‏ ‎и‏ ‎не ‎согласилась ‎с‏ ‎некоторыми ‎утверждениями.‏ ‎Однако ‎компания ‎решила ‎пойти‏ ‎на‏ ‎мировую, ‎чтобы‏ ‎избежать ‎длительных‏ ‎судебных ‎разбирательств ‎и ‎сосредоточиться ‎на‏ ‎улучшении‏ ‎своих ‎продуктов‏ ‎и ‎услуг‏ ‎для ‎клиентов.

📌Информация ‎для ‎потребителей ‎и‏ ‎поддержка: FTC‏ ‎четко‏ ‎дала ‎понять,‏ ‎что ‎никогда‏ ‎не ‎требует‏ ‎от‏ ‎потребителей ‎информацию‏ ‎о ‎платежах ‎или ‎учетной ‎записи‏ ‎для ‎получения‏ ‎возмещения

Иранский ‎UNC1549 нацелен‏ ‎на ‎израильский ‎и ‎ближневосточный ‎аэрокосмический‏ ‎и ‎оборонный‏ ‎секторы:

📌Идентификация‏ ‎участника ‎угрозы: рассматривается ‎деятельность‏ ‎UNC1549, ‎предполагаемого‏ ‎иранского ‎агента ‎угрозы. ‎Эта‏ ‎группировка‏ ‎также ‎известна‏ ‎под ‎другими‏ ‎названиями, ‎такими ‎как ‎«Черепаховый ‎панцирь»‏ ‎и‏ ‎«Дымчатая ‎песчаная‏ ‎буря», ‎и‏ ‎связана ‎с ‎Корпусом ‎стражей ‎исламской‏ ‎революции‏ ‎Ирана‏ ‎(КСИР).

📌Целевые ‎секторы‏ ‎и ‎регионы: UNC1549‏ ‎нацелен ‎на‏ ‎аэрокосмическую,‏ ‎авиационную ‎и‏ ‎оборонную ‎промышленность ‎Ближнем ‎Востоке, ‎затрагивая‏ ‎такие ‎страны,‏ ‎как‏ ‎Израиль, ‎ОАЭ ‎и,‏ ‎возможно, ‎Турцию,‏ ‎Индию ‎и ‎Албанию.

📌Продолжительность ‎кампании‏ ‎и‏ ‎методы ‎ее‏ ‎проведения: Кампания ‎проводится‏ ‎как ‎минимум ‎с ‎июня ‎2022‏ ‎года.‏ ‎Группа ‎использует‏ ‎сложные ‎методы‏ ‎кибершпионажа, ‎включая ‎скрытый ‎фишинг, ‎социальную‏ ‎инженерию‏ ‎и‏ ‎использование ‎облачной‏ ‎инфраструктуры ‎Microsoft‏ ‎Azure ‎для‏ ‎C2.‏ ‎Они ‎используют‏ ‎различные ‎«приманки» ‎на ‎тему ‎предложения‏ ‎работ ‎и‏ ‎поддельные‏ ‎веб-сайты ‎для ‎внедрения‏ ‎вредоносного ‎ПО.

📌Вредоносные‏ ‎программы ‎и ‎инструменты: Два ‎основных‏ ‎бэкдора,‏ ‎MINIBIKE ‎и‏ ‎MINIBUSUS, ‎используются‏ ‎для ‎проникновения ‎в ‎целевые ‎сети‏ ‎и‏ ‎закрепления. ‎Эти‏ ‎инструменты ‎позволяют‏ ‎собирать ‎информацию ‎и ‎осуществлять ‎дальнейшее‏ ‎проникновение‏ ‎в‏ ‎сеть.

📌Стратегические ‎последствия:‏ ‎Разведданные, ‎собранные‏ ‎в ‎результате‏ ‎этой‏ ‎шпионской ‎деятельности,‏ ‎считаются ‎имеющими ‎стратегическое ‎значение ‎для‏ ‎иранских ‎интересов‏ ‎и‏ ‎потенциально ‎влияющими ‎как‏ ‎на ‎шпионаж,‏ ‎и ‎другие ‎операции.

📌Методы ‎предотвращения‏ ‎обнаружения: UNC1549‏ ‎использует ‎различные‏ ‎методы, ‎чтобы‏ ‎избежать ‎обнаружения ‎и ‎анализа. ‎К‏ ‎ним‏ ‎относятся ‎широкое‏ ‎использование ‎облачной‏ ‎инфраструктуры ‎для ‎маскировки ‎своей ‎деятельности‏ ‎и‏ ‎создание‏ ‎поддельных ‎веб-сайтов‏ ‎о ‎вакансиях‏ ‎и ‎профилей‏ ‎в‏ ‎социальных ‎сетях‏ ‎для ‎распространения ‎вредоносного ‎ПО.

📌Текущее ‎состояние: Согласно‏ ‎последним ‎отчетам‏ ‎за‏ ‎февраль ‎2024 ‎года,‏ ‎кампания ‎остается‏ ‎активной, ‎и ‎компании, ‎занимающиеся‏ ‎кибербезопасностью,‏ ‎такие ‎как‏ ‎Mandiant ‎и‏ ‎Crowdstrike, ‎продолжают ‎предпринимать ‎усилия ‎по‏ ‎мониторингу‏ ‎и ‎противодействию‏ ‎этой ‎деятельности

В ‎отчете‏ ‎Google ‎Mandiant, ‎подробно ‎описанном ‎в‏ ‎M-Trends ‎2024,‏ ‎подчеркивается‏ ‎значительное ‎сокращение ‎времени,‏ ‎необходимого ‎организациям‏ ‎для ‎обнаружения ‎кибератак, ‎что‏ ‎свидетельствует‏ ‎о ‎заметном‏ ‎улучшении ‎защиты‏ ‎от ‎кибербезопасности ‎во ‎всем ‎мире.‏ ‎Это‏ ‎дает ‎неоднозначный,‏ ‎но ‎осторожно‏ ‎оптимистичный ‎взгляд ‎на ‎текущее ‎состояние‏ ‎кибербезопасности.

Сокращение‏ ‎среднего‏ ‎времени ‎ожидания

Глобальное‏ ‎среднее ‎время‏ ‎ожидания, ‎которое‏ ‎измеряет‏ ‎среднюю ‎продолжительность‏ ‎пребывания ‎злоумышленников ‎незамеченными ‎в ‎сети,‏ ‎снизилось ‎до‏ ‎самого‏ ‎низкого ‎уровня ‎более‏ ‎чем ‎за‏ ‎десятилетие. ‎В ‎2023 ‎году‏ ‎этот‏ ‎показатель ‎составил‏ ‎10 ‎дней‏ ‎по ‎сравнению ‎с ‎16 ‎днями‏ ‎в‏ ‎2022 ‎году‏ ‎и ‎был‏ ‎значительно ‎ниже ‎показателя ‎в ‎78‏ ‎дней,‏ ‎наблюдавшегося‏ ‎шесть ‎лет‏ ‎назад

Увеличение ‎числа‏ ‎обнаруживаемых ‎программ-вымогателей

В‏ ‎отчете‏ ‎частично ‎объясняется‏ ‎сокращение ‎времени ‎ожидания ‎из-за ‎увеличения‏ ‎числа ‎инцидентов‏ ‎с‏ ‎программами-вымогателями, ‎которые, ‎как‏ ‎правило, ‎легче‏ ‎обнаружить ‎из-за ‎их ‎разрушительного‏ ‎характера.‏ ‎В ‎2023‏ ‎году ‎доля‏ ‎вторжений, ‎связанных ‎с ‎программами-вымогателями, ‎составила‏ ‎23%‏ ‎от ‎общего‏ ‎числа, ‎по‏ ‎сравнению ‎с ‎18% ‎в ‎2022‏ ‎году.‏ ‎Такие‏ ‎инциденты, ‎как‏ ‎правило, ‎выявляются‏ ‎быстрее: ‎программа-вымогатель‏ ‎обнаруживается‏ ‎примерно ‎через‏ ‎шесть ‎дней, ‎когда ‎уведомление ‎поступает‏ ‎из ‎внутреннего‏ ‎источника,‏ ‎и ‎через ‎пять‏ ‎дней ‎—‏ ‎при ‎получении ‎внешних ‎уведомлений

Улучшение‏ ‎возможностей‏ ‎внутреннего ‎обнаружения

Способность‏ ‎организаций ‎выявлять‏ ‎взломы ‎внутри ‎компании ‎заметно ‎улучшилась.‏ ‎В‏ ‎2023 ‎году‏ ‎46% ‎вторжений‏ ‎были ‎обнаружены ‎внутри ‎компании, ‎по‏ ‎сравнению‏ ‎с‏ ‎37% ‎в‏ ‎2022 ‎году.‏ ‎Это ‎говорит‏ ‎о‏ ‎том, ‎что‏ ‎инвестиции ‎в ‎инструменты ‎кибербезопасности ‎и‏ ‎обучение ‎приносят‏ ‎положительные‏ ‎результаты.

Географические ‎и ‎отраслевые‏ ‎различия

📌Хотя ‎глобальная‏ ‎тенденция ‎показывает ‎улучшение, ‎не‏ ‎во‏ ‎всех ‎регионах‏ ‎наблюдается ‎одинаковый‏ ‎прогресс. ‎Например, ‎в ‎организациях ‎Азиатско-Тихоокеанского‏ ‎региона‏ ‎среднее ‎время‏ ‎ожидания ‎значительно‏ ‎сократилось ‎до ‎девяти ‎дней, ‎в‏ ‎то‏ ‎время‏ ‎как ‎в‏ ‎Европе, ‎на‏ ‎Ближнем ‎Востоке‏ ‎и‏ ‎в ‎Африке‏ ‎среднее ‎время ‎ожидания ‎немного ‎увеличилось

📌Финансовые‏ ‎услуги, ‎бизнес‏ ‎и‏ ‎профессиональные ‎услуги, ‎высокие‏ ‎технологии, ‎розничная‏ ‎торговля, ‎гостиничный ‎бизнес ‎и‏ ‎здравоохранение‏ ‎были ‎определены‏ ‎в ‎качестве‏ ‎наиболее ‎уязвимых ‎секторов ‎для ‎кибератак,‏ ‎в‏ ‎первую ‎очередь‏ ‎из-за ‎конфиденциального‏ ‎характера ‎обрабатываемых ‎ими ‎данных

Меняющаяся ‎тактика‏ ‎борьбы‏ ‎с‏ ‎угрозами

📌В ‎отчете‏ ‎также ‎отмечается‏ ‎изменение ‎тактики‏ ‎злоумышленников,‏ ‎которые ‎уделяют‏ ‎больше ‎внимания ‎методам ‎предотвращения ‎обнаружения.‏ ‎Кибератаки ‎все‏ ‎чаще‏ ‎нацелены ‎на ‎современные‏ ‎устройства ‎и‏ ‎используют ‎уязвимости ‎нулевого ‎дня,‏ ‎чтобы‏ ‎оставаться ‎незамеченными‏ ‎в ‎сетях‏ ‎в ‎течение ‎длительного ‎времени

📌Активизировалась ‎шпионская‏ ‎деятельность,‏ ‎особенно ‎со‏ ‎стороны ‎групп,‏ ‎предположительно ‎связанных ‎с ‎Китаем, ‎которые‏ ‎сосредоточились‏ ‎на‏ ‎разработке ‎уязвимостей‏ ‎нулевого ‎дня‏ ‎и ‎нацелены‏ ‎на‏ ‎платформы ‎с‏ ‎минимальными ‎мерами ‎безопасности

Проблемы ‎и ‎рекомендации

📌 Несмотря‏ ‎на ‎улучшения,‏ ‎в‏ ‎отчете ‎подчеркиваются ‎сохраняющиеся‏ ‎проблемы ‎в‏ ‎области ‎кибербезопасности. ‎Злоумышленники ‎быстро‏ ‎адаптируются,‏ ‎используя ‎сложные‏ ‎методы, ‎такие‏ ‎как ‎тактика ‎LOTL ‎и ‎эксплойты‏ ‎нулевого‏ ‎дня

📌Компания ‎Mandiant‏ ‎подчеркивает ‎важность‏ ‎надежных ‎стратегий ‎обеспечения ‎безопасности, ‎которые‏ ‎включают‏ ‎эффективные‏ ‎программы ‎поиска‏ ‎угроз, ‎а‏ ‎также ‎всесторонние‏ ‎расследования‏ ‎и ‎меры‏ ‎по ‎устранению ‎последствий ‎нарушений

Проект ‎BiTE‏ ‎на ‎GitHub — это ‎дизассемблер ‎с ‎поддержкой‏ ‎Rust.

Цель

BiTE ‎разработан‏ ‎как‏ ‎кросс-платформенный ‎инструмент ‎анализа‏ ‎исполняемых ‎файлов.‏ ‎Его ‎основная ‎цель ‎—‏ ‎предоставить‏ ‎среду ‎для‏ ‎проверки ‎содержимого‏ ‎двоичных ‎файлов ‎и ‎их ‎отладочной‏ ‎информации.‏ ‎Инструмент ‎предназначен‏ ‎для ‎поддержки‏ ‎различных ‎архитектур, ‎что ‎делает ‎его‏ ‎универсальным‏ ‎для‏ ‎различных ‎исполняемых‏ ‎форматов.

Особенности

📌 Просмотр ‎списка‏ ‎сборок: позволяет ‎пользователям‏ ‎просматривать‏ ‎результат ‎разбора‏ ‎двоичного ‎файла ‎вместе ‎с ‎соответствующим‏ ‎исходным ‎кодом.

📌 Интерактивные‏ ‎элементы: включает‏ ‎заголовок ‎с ‎кнопками‏ ‎и ‎параметрами,‏ ‎просмотр ‎списка ‎сборок ‎и‏ ‎интерактивный‏ ‎терминал.

📌 Исправление ‎байтовых‏ ‎инструкций: позволяет ‎пользователям‏ ‎напрямую ‎изменять ‎двоичный ‎файл.

📌 Программа ‎просмотра‏ ‎двоичных‏ ‎файлов ‎в‏ ‎hex-формате: предоставляет ‎шестнадцатеричное‏ ‎представление ‎двоичных ‎файлов ‎для ‎детальной‏ ‎проверки.

📌 Интерфейсы‏ ‎для‏ ‎отладки: поддерживает ‎front-end‏ ‎интерфейсы ‎для‏ ‎отладки.

📌 Поддерживаемые ‎архитектуры: Включает‏ ‎поддержку‏ ‎нескольких ‎архитектур,‏ ‎таких ‎как ‎X86-64, ‎AArch64/Armv7, ‎Riscv64gc/Riscv32gc‏ ‎и ‎MIPS-V.

📌 Поддержка‏ ‎целевых‏ ‎систем: Обеспечивает ‎разборку ‎для‏ ‎различных ‎целевых‏ ‎систем, ‎включая ‎MSVC, ‎Itanium‏ ‎и‏ ‎Rust.

📌 Декодирование ‎структур‏ ‎данных: Позволяет ‎декодировать‏ ‎структуры ‎данных ‎на ‎основе ‎каждого‏ ‎раздела‏ ‎двоичного ‎файла.

📌 Обновление‏ ‎списка ‎сборок: Преобразует‏ ‎списки ‎сборок ‎в ‎представление ‎более‏ ‎высокого‏ ‎уровня.

📌 Определение‏ ‎адресов: помогает ‎в‏ ‎определении ‎адресов‏ ‎в ‎двоичном‏ ‎коде.

📌 Интерпретация‏ ‎данных, ‎не‏ ‎связанных ‎с ‎кодом: Позволяет ‎интерпретировать ‎данные‏ ‎в ‎двоичном‏ ‎коде,‏ ‎которые ‎не ‎являются‏ ‎исполняемым ‎кодом.

📌 Создание‏ ‎меток ‎для ‎относительных ‎переходов: Облегчает‏ ‎создание‏ ‎меток ‎для‏ ‎инструкций ‎по‏ ‎относительному ‎переходу ‎в ‎процессе ‎разборки.

Репозиторий ‎AttackGen‏ ‎на ‎GitHub предоставляет ‎инструмент ‎тестирования ‎реагирования‏ ‎на ‎инциденты‏ ‎в‏ ‎области ‎кибербезопасности, ‎который‏ ‎объединяет ‎большие‏ ‎языковые ‎модели ‎с ‎платформой‏ ‎MITRE‏ ‎ATT& ‎CK‏ ‎для ‎создания‏ ‎индивидуальных ‎сценариев ‎реагирования ‎на ‎инциденты

Особенности

📌 Формирование‏ ‎сценариев: AttackGen‏ ‎может ‎генерировать‏ ‎уникальные ‎сценарии‏ ‎реагирования ‎на ‎инциденты ‎на ‎основе‏ ‎выбранных‏ ‎групп‏ ‎участников ‎угроз

📌 Настройка: пользователи‏ ‎могут ‎указывать‏ ‎размер ‎организации‏ ‎и‏ ‎отрасль ‎для‏ ‎сценариев, ‎адаптированных ‎к ‎их ‎конкретному‏ ‎контексту

📌 Интеграция ‎MITRE‏ ‎ATT&‏ ‎CK: Инструмент ‎отображает ‎подробный‏ ‎список ‎методов,‏ ‎используемых ‎выбранной ‎группой ‎участников‏ ‎угроз,‏ ‎в ‎соответствии‏ ‎с ‎платформой‏ ‎MITRE ‎ATT& ‎CK

📌 Пользовательские ‎сценарии: Есть ‎возможность‏ ‎создавать‏ ‎пользовательские ‎сценарии‏ ‎на ‎основе‏ ‎выбранных ‎методов ‎ATT& ‎CK

📌 Сбор ‎отзывов: в‏ ‎AttackGen‏ ‎включена‏ ‎функция ‎сбора‏ ‎отзывов ‎пользователей‏ ‎о ‎качестве‏ ‎создаваемых‏ ‎сценариев

📌 Контейнер ‎Docker: Инструмент‏ ‎доступен ‎в ‎виде ‎образа ‎контейнера‏ ‎Docker ‎для‏ ‎упрощения‏ ‎развертывания

Использование

📌 Запуск ‎инструмента: приведены ‎инструкции‏ ‎по ‎запуску‏ ‎программы ‎AttackGen ‎и ‎переходу‏ ‎к‏ ‎указанному ‎URL-адресу‏ ‎в ‎веб-браузере

📌 Выбор‏ ‎сценария: Пользователи ‎могут ‎выбрать ‎отрасль ‎компании,‏ ‎размер‏ ‎и ‎желаемую‏ ‎группу ‎участников‏ ‎угроз ‎для ‎создания ‎сценариев

Требования

📌 Python: Требуется ‎последняя‏ ‎версия‏ ‎Python

📌 Пакеты‏ ‎Python: Зависимости ‎включают‏ ‎pandas, ‎streamlit‏ ‎и ‎другие‏ ‎пакеты,‏ ‎необходимые ‎для‏ ‎пользовательских ‎библиотек ‎(langchain ‎и ‎mitreattack)

📌 Ключи‏ ‎API: Необходим ‎ключ‏ ‎OpenAI‏ ‎API, ‎а ‎ключ‏ ‎LangChain ‎API‏ ‎является ‎необязательным

В ‎статье сообщается‏ ‎о ‎существенной ‎ошибке ‎в ‎системе‏ ‎безопасности, ‎связанной‏ ‎с‏ ‎командиром ‎израильского ‎подразделения‏ ‎8200, ‎возникшей‏ ‎ввиду ‎публикации ‎его ‎книги‏ ‎Amazon.

📌 Раскрытие‏ ‎личности: Йоси ‎Сариэль,‏ ‎командир ‎израильского‏ ‎подразделения ‎8200, ‎непреднамеренно ‎раскрыл ‎свою‏ ‎настоящую‏ ‎личность ‎в‏ ‎Интернете. ‎Подразделение‏ ‎8200 ‎— ‎это ‎очень ‎засекреченная‏ ‎часть‏ ‎израильских‏ ‎вооруженных ‎сил,‏ ‎которую ‎часто‏ ‎сравнивают ‎с‏ ‎АНБ‏ ‎США ‎по‏ ‎возможностям ‎ведения ‎наблюдения

📌 Цифровой ‎след: Разоблачение ‎произошло‏ ‎из-за ‎цифрового‏ ‎следа,‏ ‎оставленного ‎книгой ‎Сариэль,‏ ‎опубликованной ‎на‏ ‎Amazon ‎под ‎названием ‎«Человеко-машинная‏ ‎команда».‏ ‎Книга, ‎в‏ ‎которой ‎обсуждается‏ ‎интеграция ‎ИИ ‎в ‎военные ‎операции,‏ ‎была‏ ‎привязана ‎к‏ ‎личному ‎аккаунту‏ ‎автора ‎в ‎Google, ‎что ‎позволило‏ ‎раскрыть‏ ‎его‏ ‎уникальный ‎идентификатор‏ ‎и ‎ссылки‏ ‎на ‎его‏ ‎карты‏ ‎и ‎приложения.‏ ‎профили ‎календаря

📌 Критика: Пребывание ‎Сариэля ‎на ‎посту‏ ‎главы ‎подразделения‏ ‎8200‏ ‎было ‎неоднозначным, ‎поскольку‏ ‎подразделение ‎не‏ ‎смогло ‎предсказать ‎и ‎предотвратить‏ ‎крупную‏ ‎атаку ‎ХАМАСА‏ ‎на ‎юг‏ ‎Израиля ‎7 ‎октября, ‎в ‎результате‏ ‎которой‏ ‎погибло ‎около‏ ‎1200 ‎израильтян‏ ‎и ‎было ‎захвачено ‎240 ‎заложников.‏ ‎Подразделение‏ ‎также‏ ‎подверглось ‎критике‏ ‎за ‎его‏ ‎роль ‎в‏ ‎войне‏ ‎в ‎Газе,‏ ‎где ‎в ‎военных ‎операциях ‎использовались‏ ‎системы ‎искусственного‏ ‎интеллекта

📌 Общественный‏ ‎резонанс: Раскрытие ‎личности ‎Сариэля‏ ‎произошло ‎в‏ ‎то ‎время, ‎когда ‎он‏ ‎уже‏ ‎находился ‎под‏ ‎пристальным ‎вниманием‏ ‎общественности ‎в ‎Израиле. ‎Армия ‎обороны‏ ‎Израиля‏ ‎(ЦАХАЛ) ‎отреагировала‏ ‎на ‎сообщение,‏ ‎заявив, ‎что ‎адрес ‎электронной ‎почты,‏ ‎связанный‏ ‎с‏ ‎книгой, ‎не‏ ‎был ‎личным‏ ‎аккаунтом ‎Сариэля‏ ‎и‏ ‎был ‎посвящен‏ ‎книге. ‎Армия ‎обороны ‎Израиля ‎признала‏ ‎ошибку ‎и‏ ‎заявила,‏ ‎что ‎этот ‎вопрос‏ ‎будет ‎расследован,‏ ‎чтобы ‎предотвратить ‎подобные ‎случаи‏ ‎в‏ ‎будущем

📌 Репутация ‎подразделения: Подразделение‏ ‎8200 ‎известно‏ ‎своим ‎опытом ‎сбора ‎радио-разведывательных ‎данных‏ ‎и‏ ‎оказывает ‎значительное‏ ‎влияние ‎на‏ ‎технологическую ‎индустрию ‎Израиля. ‎Раскрытие ‎личности‏ ‎Сариэля‏ ‎рассматривается‏ ‎как ‎удар‏ ‎по ‎репутации‏ ‎подразделения ‎и‏ ‎привело‏ ‎к ‎обвинениям‏ ‎в ‎высокомерии ‎и ‎потенциальному ‎компромиссу‏ ‎в ‎сборе‏ ‎разведданных

What2Log — блог, ‎посвященный‏ ‎обсуждению ‎различных ‎аспектов ‎управления ‎журналами‏ ‎и ‎их‏ ‎анализа,‏ ‎где ‎публикуются ‎обновления‏ ‎инструмента ‎What2Log,‏ ‎информация ‎о ‎конкретных ‎функциях‏ ‎ведения‏ ‎журнала ‎и‏ ‎обсуждения ‎проблем,‏ ‎связанных ‎с ‎управлением ‎журналами:

📌 Раздел ‎обновлений: В‏ ‎блоге‏ ‎представлены ‎подробные‏ ‎сведения ‎о‏ ‎новых ‎версиях ‎инструмента ‎What2Log.

📌 EventRecordID: В ‎одной‏ ‎из‏ ‎записей‏ ‎блога ‎упоминается‏ ‎EventRecordID ‎—‏ ‎скрытый ‎XML-тег‏ ‎в‏ ‎журналах ‎событий‏ ‎Windows, ‎который ‎расширяет ‎информацию ‎журнала.

📌 Идентификатор‏ ‎события ‎4672: В‏ ‎одной‏ ‎из ‎записей ‎блога‏ ‎обсуждается ‎значение‏ ‎идентификатора ‎события ‎4672 ‎в‏ ‎Windows,‏ ‎который ‎регистрирует‏ ‎специальные ‎привилегии,‏ ‎назначенные ‎новым ‎пользователям ‎для ‎входа‏ ‎в‏ ‎систему.

📌 Проблемы ‎управления‏ ‎журналами: В ‎нескольких‏ ‎публикациях ‎из ‎серии ‎блогов ‎рассматриваются‏ ‎различные‏ ‎проблемы‏ ‎управления ‎журналами,‏ ‎включая ‎управление‏ ‎объемом ‎журналов,‏ ‎анализ‏ ‎журналов, ‎корреляцию‏ ‎событий ‎и ‎агрегацию ‎журналов. ‎В‏ ‎этих ‎публикациях‏ ‎рассматриваются‏ ‎сложности ‎и ‎необходимые‏ ‎соображения ‎для‏ ‎эффективного ‎управления ‎журналами ‎и‏ ‎их‏ ‎анализа.

В ‎целом,‏ ‎блог ‎служит‏ ‎ресурсом ‎для ‎людей, ‎интересующихся ‎техническими‏ ‎аспектами‏ ‎ведения ‎журналов,‏ ‎предлагая ‎как‏ ‎образовательный ‎контент, ‎так ‎и ‎обновления‏ ‎по‏ ‎инструменту‏ ‎What2Log ‎на‏ ‎Github

В ‎статье обсуждается‏ ‎значительный ‎инцидент ‎с ‎кибербезопасностью, ‎связанный‏ ‎с ‎программным‏ ‎пакетом‏ ‎XZ ‎Utils, ‎который‏ ‎широко ‎используется‏ ‎в ‎операционных ‎системах ‎Linux‏ ‎для‏ ‎сжатия ‎данных.

📌 Расследование: Об‏ ‎инциденте ‎стало‏ ‎известно, ‎когда ‎инженер ‎Microsoft ‎Андрес‏ ‎Фройнд‏ ‎заметил ‎необычное‏ ‎замедление ‎при‏ ‎использовании ‎SSH, ‎инструмента ‎для ‎безопасного‏ ‎удаленного‏ ‎входа‏ ‎в ‎систему.‏ ‎Его ‎расследование‏ ‎привело ‎к‏ ‎обнаружению‏ ‎вредоносного ‎кода,‏ ‎встроенного ‎в ‎пакет ‎XZ ‎Utils‏ ‎в ‎его‏ ‎системе

📌 Вредоносный‏ ‎код ‎в ‎XZ‏ ‎Utils: Вредоносный ‎код‏ ‎был ‎представлен ‎в ‎двух‏ ‎последних‏ ‎обновлениях ‎XZ‏ ‎Utils. ‎Он‏ ‎был ‎разработан ‎для ‎нарушения ‎процесса‏ ‎аутентификации‏ ‎по ‎SSH,‏ ‎создания ‎бэкдора,‏ ‎который ‎мог ‎бы ‎обеспечить ‎несанкционированный‏ ‎удаленный‏ ‎доступ‏ ‎к ‎уязвимым‏ ‎системам.

📌 Влияние ‎и‏ ‎значимость: Учитывая, ‎что‏ ‎XZ‏ ‎Utils ‎необходим‏ ‎для ‎многих ‎операций ‎в ‎системах‏ ‎Linux, ‎на‏ ‎которых‏ ‎работает ‎подавляющее ‎большинство‏ ‎интернет-серверов, ‎потенциальное‏ ‎воздействие ‎этого ‎бэкдора ‎могло‏ ‎бы‏ ‎быть ‎катастрофическим,‏ ‎затронув ‎бесчисленное‏ ‎множество ‎компьютеров ‎по ‎всему ‎миру

📌 Реагирование‏ ‎и‏ ‎предотвращение: Инцидент ‎подчеркивает‏ ‎важность ‎бдительности‏ ‎и ‎оперативных ‎действий ‎в ‎области‏ ‎кибербезопасности‏ ‎для‏ ‎предотвращения ‎подобных‏ ‎нарушений

📌 Последствия: Эта ‎ситуация‏ ‎подчеркивает ‎серьёзные‏ ‎проблемы,‏ ‎связанные ‎с‏ ‎безопасностью ‎ПО ‎с ‎открытым ‎исходным‏ ‎кодом, ‎и‏ ‎необходимость‏ ‎постоянного ‎мониторинга ‎и‏ ‎обновления ‎такого‏ ‎ПО ‎для ‎защиты ‎от‏ ‎угроз

Здравствуйте, ‎уважаемые‏ ‎друзья!

Подошла ‎к ‎концу ‎история ‎взлёта‏ ‎и ‎падения‏ ‎одного‏ ‎из ‎самых ‎известных‏ ‎криптомагнатов ‎мира.

• Федеральный‏ ‎судья ‎приговорил ‎Бэнкмана-Фрида ‎к‏ ‎двадцати‏ ‎пяти ‎годам‏ ‎тюремного ‎заключения.‏ ‎История ‎очень ‎шумная ‎и ‎неприятная.‏ ‎Крупнейший‏ ‎финансовый ‎скандал.‏ ‎Чем-то ‎это‏ ‎напомнило ‎мне ‎историю ‎Бернарда ‎Медоффа.‏ ‎По‏ ‎крайней‏ ‎мере, ‎суммы‏ ‎сопоставимы.

Приговор ‎был‏ ‎вынесен ‎спустя‏ ‎пять‏ ‎месяцев ‎после‏ ‎признания ‎вины ‎присяжными. ‎Даже ‎для‏ ‎тридцатидвухлетнего ‎человека‏ ‎срок‏ ‎весьма ‎серьёзный. ‎Так‏ ‎же, ‎ему‏ ‎предписано ‎выплатить ‎11 ‎миллиардов‏ ‎долларов.

Всего‏ ‎несколько ‎лет‏ ‎назад ‎Сэм‏ ‎был ‎крупнейшим ‎воротилой ‎финансовых ‎рынков,‏ ‎финансировал‏ ‎предвыборные ‎кампании,‏ ‎привлекал ‎десятки‏ ‎миллионов ‎долларов ‎от ‎инвесторов ‎Кремниевой‏ ‎долины,‏ ‎и‏ ‎даже ‎говорил‏ ‎о ‎том,‏ ‎что ‎в‏ ‎ближайшее‏ ‎время ‎станет‏ ‎владельцем ‎Goldman ‎Sachs.

«Любой, ‎кто ‎считает,‏ ‎что ‎может‏ ‎скрыть‏ ‎свои ‎финансовые ‎преступления‏ ‎за ‎богатством‏ ‎и ‎властью ‎или ‎за‏ ‎блестящей‏ ‎новой ‎вещью,‏ ‎которую, ‎по‏ ‎их ‎утверждению, ‎никто ‎другой ‎не‏ ‎достаточно‏ ‎умен, ‎чтобы‏ ‎понять, ‎должен‏ ‎подумать ‎дважды», ‎— ‎заявил ‎генеральный‏ ‎прокурор‏ ‎Меррик‏ ‎Гарланд ‎в‏ ‎заявлении ‎после‏ ‎вынесения ‎приговора.

После‏ ‎краха‏ ‎криптовалютной ‎биржи‏ ‎FTX ‎Bankman-Fried ‎федеральные ‎власти ‎усилили‏ ‎репрессии ‎в‏ ‎отрасли,‏ ‎выдвинув ‎обвинения ‎против‏ ‎нескольких ‎других‏ ‎видных ‎руководителей ‎и ‎фирм‏ ‎в‏ ‎мошенничестве ‎и‏ ‎содействии ‎отмыванию‏ ‎денег, ‎в ‎том ‎числе ‎для‏ ‎целей‏ ‎терроризма ‎и‏ ‎незаконного ‎оборота‏ ‎наркотиков.

• Бэнкман-Фрид ‎был ‎признан ‎виновным ‎по‏ ‎семи‏ ‎пунктам‏ ‎обвинения ‎в‏ ‎мошенничестве ‎и‏ ‎заговоре, ‎связанных‏ ‎с‏ ‎операциями ‎ныне‏ ‎несуществующей ‎FTX. ‎Прокуроры ‎утверждали, ‎среди‏ ‎прочего, ‎что‏ ‎он‏ ‎перекачал ‎миллиарды ‎долларов‏ ‎денег ‎клиентов‏ ‎для ‎финансирования ‎своего ‎образа‏ ‎жизни,‏ ‎масштабной ‎кампании‏ ‎политического ‎влияния‏ ‎и ‎рискованных ‎ставок ‎Alameda ‎Research,‏ ‎фирмы‏ ‎по ‎торговле‏ ‎криптовалютами, ‎которую‏ ‎он ‎основал ‎до ‎FTX.

Резюмирую.

Морализировать ‎не‏ ‎буду.‏ ‎Никто‏ ‎не ‎застрахован‏ ‎от ‎таких‏ ‎жизненных ‎поворотов.‏ ‎«От‏ ‎тюрьмы ‎и‏ ‎сумы ‎не ‎зарекайся», ‎как ‎говорится.‏ ‎Как ‎вы‏ ‎знаете,‏ ‎я ‎не ‎сторонник‏ ‎реальных ‎сроков‏ ‎по ‎финансовым ‎преступлениям, ‎если‏ ‎можно‏ ‎компенсировать ‎украденное‏ ‎и ‎заплатить‏ ‎штраф. ‎Кому ‎будет ‎легче ‎от‏ ‎того,‏ ‎что ‎он‏ ‎сядет?

Что ‎касается‏ ‎всей ‎ситуации, ‎финансовые ‎рынки ‎—‏ ‎это‏ ‎то‏ ‎место, ‎где‏ ‎такого ‎рода‏ ‎события ‎происходят‏ ‎с‏ ‎завидной ‎регулярностью.

Будьте‏ ‎бдительны. ‎Не ‎лезьте ‎в ‎проекты‏ ‎с ‎«гарантированной»‏ ‎доходностью‏ ‎в ‎десятки-сотни ‎процентов‏ ‎в ‎месяц.‏ ‎Бесплатный ‎сыр ‎только ‎в‏ ‎мышеловке.‏ ‎Поверьте, ‎ничего‏ ‎не ‎изменилось‏ ‎со ‎времён ‎царя ‎Гороха.

Исследователи ‎в‏ ‎области ‎ИБ ‎недавно ‎обнаружили ‎сложную‏ ‎операцию ‎по‏ ‎скиммингу‏ ‎кредитных ‎карт, ‎которая‏ ‎умело ‎маскируется‏ ‎под ‎безобидный ‎Facebook-трекер, ‎а‏ ‎именно‏ ‎поддельный ‎скрипт‏ ‎Meta ‎Pixel‏ ‎tracker.

Механизм ‎атаки

Злоумышленники ‎пользуются ‎доверием ‎к‏ ‎широко‏ ‎известным ‎скриптам,‏ ‎таким ‎как‏ ‎Google ‎Analytics ‎или ‎jQuery, ‎называя‏ ‎свои‏ ‎вредоносные‏ ‎скрипты ‎так,‏ ‎чтобы ‎они‏ ‎имитировали ‎эти‏ ‎легитимные‏ ‎сервисы. ‎Поддельный‏ ‎скрипт ‎Meta ‎Pixel ‎tracker ‎при‏ ‎ближайшем ‎рассмотрении‏ ‎обнаруживает‏ ‎код ‎JavaScript, ‎который‏ ‎заменяет ‎ссылки‏ ‎на ‎законный ‎домен ‎«connect.facebook[.]net»‏ ‎на‏ ‎«b-connected[.]com», ‎законный‏ ‎веб-сайт ‎электронной‏ ‎коммерции, ‎который ‎был ‎взломан ‎для‏ ‎размещения‏ ‎кода ‎скиммера.‏ ‎Такая ‎подмена‏ ‎является ‎ключевой, ‎поскольку ‎позволяет ‎вредоносному‏ ‎коду‏ ‎выполняться‏ ‎под ‎видом‏ ‎легитимного ‎сервиса

Схема‏ ‎процесса

Как ‎только‏ ‎вредоносный‏ ‎скрипт ‎загружается‏ ‎на ‎взломанный ‎веб-сайт, ‎он ‎отслеживает‏ ‎определенные ‎действия,‏ ‎например,‏ ‎переход ‎посетителя ‎на‏ ‎страницу ‎оформления‏ ‎заказа. ‎На ‎этом ‎этапе‏ ‎он‏ ‎служит ‎для‏ ‎мошеннического ‎наложения,‏ ‎предназначенного ‎для ‎перехвата ‎данных ‎кредитной‏ ‎карты,‏ ‎введенных ‎жертвой.‏ ‎Затем ‎украденная‏ ‎информация ‎передается ‎на ‎другой ‎взломанный‏ ‎сайт»,‏ ‎http://www.donjuguetes [.]es,‏ ‎что ‎демонстрирует‏ ‎многоуровневый ‎характер‏ ‎этой ‎атаки

Последствия

Этот‏ ‎инцидент‏ ‎подчеркивает ‎важность‏ ‎бдительности ‎и ‎надежных ‎методов ‎обеспечения‏ ‎безопасности ‎для‏ ‎владельцев‏ ‎веб-сайтов, ‎особенно ‎для‏ ‎тех, ‎кто‏ ‎использует ‎платформы ‎электронной ‎коммерции.‏ ‎Использование‏ ‎поддельных ‎скриптов,‏ ‎имитирующих ‎законные‏ ‎сервисы, ‎является ‎хитрой ‎стратегией, ‎которая‏ ‎может‏ ‎легко ‎обмануть‏ ‎даже ‎самых‏ ‎осторожных ‎пользователей. ‎Таким ‎образом, ‎для‏ ‎обнаружения‏ ‎и‏ ‎устранения ‎таких‏ ‎угроз ‎важно‏ ‎применять ‎комплексные‏ ‎меры‏ ‎безопасности, ‎включая‏ ‎использование ‎систем ‎обнаружения ‎вторжений ‎и‏ ‎мониторинг ‎веб-сайтов

Событие ‎дня:‏ ‎Чешская ‎Республика, ‎доблестно ‎стоящая ‎на‏ ‎переднем ‎крае,‏ ‎утверждает,‏ ‎что ‎Россия ‎неустанно‏ ‎работает ‎изо‏ ‎всех ‎сил, ‎проводя ‎«тысячи»‏ ‎кибератак‏ ‎на ‎их‏ ‎железнодорожные ‎системы‏ ‎с ‎февраля ‎2022 ‎года, ‎потому‏ ‎что‏ ‎невозможно ‎завоевать‏ ‎мир, ‎не‏ ‎взломав ‎сначала ‎чешские ‎системы ‎продажи‏ ‎железнодорожных‏ ‎билетов.

Министр‏ ‎транспорта ‎Мартин‏ ‎Купка, ‎выступающий‏ ‎в ‎качестве‏ ‎«лучшего»‏ ‎аналитика ‎кибервойн,‏ ‎распевал ‎байки ‎о ‎том, ‎как‏ ‎эти ‎кибератаки‏ ‎потенциально‏ ‎могут ‎привести ‎к‏ ‎несчастным ‎случаям,‏ ‎вызывая ‎беспорядок ‎и ‎неразбериху‏ ‎среди‏ ‎проводников ‎поездов

Агентство‏ ‎ЕС ‎по‏ ‎кибербезопасности ‎выступило ‎в ‎поддержку ‎Чехии‏ ‎со‏ ‎своим ‎отчетом,‏ ‎в ‎котором‏ ‎отметило ‎всплеск ‎кибератак ‎на ‎железные‏ ‎дороги‏ ‎в‏ ‎Латвии, ‎Литве,‏ ‎Румынии ‎и‏ ‎Эстонии.

После ‎этого‏ ‎чешское‏ ‎агентство ‎кибербезопасности‏ ‎NUKIB ‎стало ‎свидетелем ‎всплеска ‎кибератак,‏ ‎направленных ‎не‏ ‎только‏ ‎на ‎железные ‎дороги,‏ ‎но ‎и‏ ‎на ‎энергетический ‎сектор. ‎Объяснение‏ ‎почему:‏ ‎все ‎это‏ ‎является ‎частью‏ ‎грандиозного ‎плана ‎по… ‎ну, ‎мы‏ ‎не‏ ‎совсем ‎уверены,‏ ‎но ‎это‏ ‎звучит ‎слишком ‎коварно ‎и ‎кто-то‏ ‎должен‏ ‎быть‏ ‎виноват ‎и‏ ‎мы ‎уже‏ ‎знаем ‎кто‏ ‎именно‏ ‎(поэтому ‎дайте‏ ‎денег).

В ‎ответ ‎на ‎эти ‎выдуманные‏ ‎действия ‎Прага‏ ‎заняла‏ ‎решительную ‎позицию ‎и‏ ‎приняла ‎закон,‏ ‎позволяющий ‎принимать ‎меры ‎против‏ ‎иностранных‏ ‎организаций, ‎подозреваемых‏ ‎в ‎киберпреступлениях.‏ ‎Потому ‎что ‎ничто ‎так ‎не‏ ‎говорит‏ ‎«попались, ‎хакеры!»‏ ‎как ‎законодательный‏ ‎акт. ‎Они ‎также ‎устанавливают ‎ограничения‏ ‎для‏ ‎участия‏ ‎иностранных ‎операторов‏ ‎в ‎тендерах‏ ‎на ‎критически‏ ‎важные‏ ‎проекты, ‎потому‏ ‎что ‎ничто ‎так ‎не ‎кричит‏ ‎о ‎безопасности,‏ ‎как‏ ‎бюрократия

Чешская ‎Республика, ‎вооруженная‏ ‎законами ‎и‏ ‎тендерными ‎ограничениями, ‎решительно ‎противостоит‏ ‎кибератаке,‏ ‎направленной ‎на‏ ‎ее ‎железные‏ ‎дороги, ‎потому ‎что ‎на ‎большой‏ ‎шахматной‏ ‎доске ‎международной‏ ‎политики ‎действительно‏ ‎имеет ‎значение ‎только ‎расписание ‎чешских‏ ‎поездов.

Проект направлен ‎на‏ ‎отслеживание ‎и ‎сравнение ‎функций ‎телеметрии,‏ ‎реализованных ‎в‏ ‎различных‏ ‎системах ‎EDR ‎для‏ ‎Windows. ‎Документ‏ ‎представляет ‎собой ‎сравнительную ‎таблицу‏ ‎телеметрии,‏ ‎в ‎которой‏ ‎подробно ‎описаны‏ ‎возможности ‎различных ‎продуктов ‎EDR ‎по‏ ‎сбору‏ ‎определенных ‎типов‏ ‎телеметрических ‎данных,‏ ‎имеющих ‎отношение ‎к ‎кибербезопасности.

📌 В ‎CrowdStrike‏ ‎и‏ ‎Microsoft‏ ‎Defender ‎реализованы‏ ‎комплексные ‎функции‏ ‎в ‎нескольких‏ ‎категориях.‏ ‎В ‎обоих‏ ‎продуктах ‎большое ‎количество ‎функций, ‎отмеченных‏ ‎как ‎полностью‏ ‎реализованные‏ ‎(✅), ‎в ‎различных‏ ‎категориях ‎функций‏ ‎телеметрии. ‎Это ‎указывает ‎на‏ ‎широкий‏ ‎охват ‎с‏ ‎точки ‎зрения‏ ‎возможностей ‎сбора ‎телеметрических ‎данных, ‎что‏ ‎имеет‏ ‎решающее ‎значение‏ ‎для ‎эффективного‏ ‎обнаружения ‎конечных ‎точек ‎и ‎реагирования‏ ‎на‏ ‎них.

📌 С‏ ‎другой ‎стороны,‏ ‎WatchGuard ‎и‏ ‎Harfanglab ‎обладают‏ ‎значительным‏ ‎количеством ‎функций,‏ ‎помеченных ‎как ‎не ‎реализованные ‎(❌)‏ ‎или ‎частично‏ ‎реализованные‏ ‎(⚠️). ‎Это ‎говорит‏ ‎о ‎том,‏ ‎что ‎у ‎этих ‎продуктов‏ ‎могут‏ ‎быть ‎пробелы‏ ‎в ‎возможностях‏ ‎сбора ‎телеметрических ‎данных ‎по ‎сравнению‏ ‎с‏ ‎другими ‎продуктами‏ ‎EDR, ‎перечисленными‏ ‎в ‎документе.

Несколько ‎случаев‏ ‎нарушения ‎доверия ‎и ‎безопасности ‎в‏ ‎ВВС ‎США:

📌 Подрядчик‏ ‎ВМС‏ ‎США, ‎который ‎в‏ ‎2007 ‎году‏ ‎внедрил ‎вредоносный ‎код ‎в‏ ‎программное‏ ‎обеспечение ‎системы‏ ‎обнаружения ‎угроз‏ ‎на ‎подводной ‎лодке. ‎Этот ‎акт‏ ‎был‏ ‎преднамеренным ‎саботажем,‏ ‎который ‎мог‏ ‎поставить ‎под ‎угрозу ‎безопасность ‎и‏ ‎эксплуатационные‏ ‎возможности‏ ‎подводной ‎лодки.‏ ‎Вредоносный ‎код‏ ‎в ‎таких‏ ‎критически‏ ‎важных ‎системах‏ ‎потенциально ‎мог ‎отключить ‎обнаружение ‎угроз,‏ ‎что ‎привело‏ ‎бы‏ ‎к ‎необнаруженным ‎навигационным‏ ‎опасностям ‎или‏ ‎действиям ‎противника.

📌Роберт ‎Бирчам, ‎офицер‏ ‎разведки‏ ‎ВВС ‎США‏ ‎в ‎отставке,‏ ‎который ‎был ‎приговорен ‎к ‎трем‏ ‎годам‏ ‎заключения ‎в‏ ‎федеральной ‎тюрьме‏ ‎за ‎незаконное ‎хранение ‎секретных ‎документов.‏ ‎Бирчам,‏ ‎вышедший‏ ‎в ‎отставку‏ ‎в ‎2018‏ ‎году ‎в‏ ‎звании‏ ‎подполковника, ‎проработал‏ ‎29 ‎лет ‎на ‎различных ‎должностях‏ ‎в ‎разведке,‏ ‎включая‏ ‎должности, ‎которые ‎требовали‏ ‎от ‎него‏ ‎работы ‎с ‎секретной ‎разведывательной‏ ‎информацией‏ ‎для ‎Объединенного‏ ‎командования ‎специальных‏ ‎операций,

📌Гарольд ‎Мартин, ‎бывший ‎сотрудник ‎Агентства‏ ‎национальной‏ ‎безопасности, ‎был‏ ‎арестован ‎в‏ ‎августе ‎2016 ‎года ‎за ‎кражу‏ ‎и‏ ‎хранение‏ ‎особо ‎секретных‏ ‎документов, ‎которые‏ ‎хранились ‎в‏ ‎течение‏ ‎20 ‎лет.‏ ‎Мартин ‎хранил ‎эти ‎документы ‎в‏ ‎своем ‎доме‏ ‎и‏ ‎автомобиле. ‎Украденные ‎документы‏ ‎содержали ‎конфиденциальную‏ ‎информацию ‎о ‎планировании ‎АНБ,‏ ‎сборе‏ ‎разведданных, ‎возможностях‏ ‎киберкомандования ‎США‏ ‎и ‎проблемах ‎в ‎кибервозможностях ‎США.

📌Джерри‏ ‎Чун‏ ‎Шинг ‎Ли,‏ ‎бывший ‎сотрудник‏ ‎ЦРУ, ‎был ‎арестован ‎в ‎январе‏ ‎2018‏ ‎года‏ ‎по ‎обвинению‏ ‎в ‎незаконном‏ ‎хранении ‎информации‏ ‎о‏ ‎национальной ‎обороне.‏ ‎У ‎Ли ‎были ‎записные ‎книжки,‏ ‎в ‎которых‏ ‎содержались‏ ‎рукописные ‎записи ‎с‏ ‎секретной ‎информацией,‏ ‎включая ‎настоящие ‎имена ‎и‏ ‎номера‏ ‎телефонов ‎сотрудников‏ ‎и ‎секретные‏ ‎оперативные ‎заметки ‎ЦРУ.

📌Джек ‎Тейшейра, ‎военнослужащий‏ ‎Национальной‏ ‎гвардии ‎ВВС‏ ‎Массачусетса, ‎признал‏ ‎себя ‎виновным ‎в ‎утечке ‎секретных‏ ‎военных‏ ‎документов‏ ‎в ‎социальные‏ ‎сети.

Хакерская ‎группа‏ ‎«Handala» ‎во ‎второй ‎раз ‎взяла‏ ‎на ‎себя‏ ‎ответственность‏ ‎за ‎взлом ‎радарных‏ ‎систем ‎неустановленной‏ ‎цели. ‎Группа ‎предупредила, ‎что‏ ‎у‏ ‎цели ‎есть‏ ‎всего ‎несколько‏ ‎часов ‎на ‎ремонт ‎систем, ‎и‏ ‎предложила‏ ‎сбежать.

Инженеры ‎разработали‏ ‎способ ‎заставить‏ ‎автомобильные ‎радарные ‎системы ‎«галлюцинировать», ‎посылая‏ ‎поддельные‏ ‎сигналы‏ ‎на ‎радар‏ ‎цели. ‎Исследователи‏ ‎продемонстрировали ‎этот‏ ‎способ‏ ‎на ‎реальных‏ ‎радарных ‎системах ‎в ‎реальных ‎автомобилях,‏ ‎движущихся ‎на‏ ‎высокой‏ ‎скорости. ‎Они ‎смогли‏ ‎заставить ‎целевую‏ ‎машину ‎воспринимать ‎другую ‎машину‏ ‎там,‏ ‎где ‎ее‏ ‎на ‎самом‏ ‎деле ‎не ‎было, ‎обмануть ‎радар‏ ‎цели,‏ ‎заставив ‎ее‏ ‎думать, ‎что‏ ‎проезжающей ‎машины ‎нет, ‎хотя ‎на‏ ‎самом‏ ‎деле‏ ‎она ‎существовала,‏ ‎и ‎создать‏ ‎впечатление, ‎что‏ ‎существующая‏ ‎машина ‎внезапно‏ ‎изменила ‎курс.

Результаты ‎исследований, ‎проведённых ‎инженерами,‏ ‎публично ‎были‏ ‎поддержаны‏ ‎различными ‎организациями, ‎включая‏ ‎Управление ‎военно-морских‏ ‎исследований, ‎Управление ‎научных ‎исследований‏ ‎ВВС‏ ‎и ‎Национальный‏ ‎научный ‎фонд.