Американский разработчик программного обеспечения в области информационной безопасности NortonLifeLock (ранее Symantec) ведет переговоры о покупке чешской антивирусной компании Avast.

В Avast подтвердили факт переговоров, добавив, что NortonLifeLock планирует оплатить сделку денежными средствами и акциями. Впрочем, в чешской компании не уверены, что им удастся согласовать параметры соглашения.

Штаб-квартира Avast находится в Праге, ее акции торгуются на Лондонской фондовой бирже. Рыночная стоимость компании составляет 5,2 млрд фунтов стерлингов (около 7,2 млрд долл.). По оценкам СМИ, стоимость сделки может превысить 8 млрд долл.

Avast основана в 1988 году; по собственным данным, у продуктов компании около 435 млн активных пользователей. В 2020 году выручка компании составила около 900 млн долл.

NortonLifeLock, бывшая компания Symantec, основана в 1982 году. В 2019 году компания была переименована после того, как подразделение корпоративной безопасности вместе с правами на название 'Symantec' было за 10,7 млрд долл. продано корпорации Broadcom.

Частная израильская компания продавала многочисленным клиентам инструменты, использующие неизвестные ранее уязвимости в системе Windows, утверждается в отчете, подготовленном компанией Microsoft и организацией Citizen Lab. В заявлении Microsoft израильскую компанию называют только кодовым именем Sourgum, но в отчете Citizen Lab указано ее настоящее название — Candiru.

Следы взлома с помощью инструментов Candiru обнаружены на компьютерах по крайней мере 100 пользователей — в основном в Палестине, но также в Израиле, Иране, Ливане, Йемене, Испании, Великобритании, Турции, Армении и Сингапуре. Среди жертв есть правозащитники, диссиденты, журналисты, активисты и политики, а доменные имена управляющих серверов имитируют не только имена всемирно известных технологических компаний и социальных сетей, но и гражданских, правозащитных организаций и новостных сайтов отдельно выбранных стран.

Одновременно с отчетом Citizen Lab и Microsoft свой отчет опубликовала компания Google. В нем описаны две уязвимости в браузере Chrome, которые, как утверждают в Citizen Lab, использовались инструментами Candiru, хотя в отчете Google эту компанию тоже не называют по имени.

В Microsoft зафиксировали новые кибератаки со стороны группировки Nobelium. В компании возлагают на этих хакеров, якобы связанных с Россией, ответственность за скандальный взлом программного обеспечения SolarWinds.

По данным Microsoft, новые атаки были направлены на пользователей из 36 стран, в основном — из США (45%), Великобритании (10%), Канады и Германии. Целью хакеров стали ИТ-компании, правительственные учреждения, неправительственные организации, аналитические центры и финансовые сервисы. В компании заявили, что большая часть действий хакеров оказалась безуспешной. Пока известно только о трех учреждениях, к данным которых удалось получить доступ. Компания также обнаружила вредоносный код, который был установлен на устройстве, принадлежащем службе поддержки клиентов самой Microsoft.

Предыдущую активность хакеров из Nobelium в Microsoft зафиксировали в мае. Целью злоумышленников стали 3 тыс. учетных записей электронной почты в более чем 150 странах. Деятельность четверти атакованных организаций связана с международным развитием, гуманитарной помощью и работой в сфере прав человека.

В ходе взлома программного обеспечения SolarWinds, о котором стало известно в декабре 2020 года, пострадали по меньшей мере 200 организаций по всему миру. Атаке подверглись в том числе минфин, Национальное управление по телекоммуникациям и информации и минэнерго США. В Белом доме ранее говорили, что к этому причастна хакерская группа APT29, или Cozy Bear, которая, предположительно, работает на российскую Службу внешней разведки. В России отвергали какую-либо причастность к атаке.

Минюст США объявил о конфискации 63,7 биткоина, которые в настоящее время оцениваются примерно в 2,3 млн долл. Предположительно, это часть платежа Colonial Pipeline вымогателям DarkSide. В компании признались, что киберпреступникам был заплачен выкуп в размере около 4,4 млн долл. в биткоинах для восстановления в полном объеме работоспособности ее систем после сокрушительной кибератаки, информация о которой появилась 7 мая. Биткоин-кошелек изъяли после того, как судья Северного округа Калифорнии выдал ордер на его арест. Эта новость не стала неожиданностью. В середине мая группа DarkSide уже сообщала о потере контроля над некоторыми своими серверами, включая платежный сервер, и о выводе части ее средств на неизвестный счет.

Целенаправленный захват кошелька призван остановить нынешнюю волну все более разрушительных атак вымогателей, нацеленных на критически важную инфраструктуру, в том числе на нефте- и газопроводы. Власти США обрушились на экосистему, которая подпитывает атаки вымогателей и киберпреступников, пообещав использовать все имеющиеся у них инструменты и ресурсы для увеличения давления и тяжести последствий атак.

Как ФБР идентифицировало кошелек злоумышленников, неясно. По имеющимся сведениям, спецслужбе удалось заполучить секретный ключ для кошелька. Возможно, это было сделано через суд после обнаружения физического местоположения устройств вымогателей. Возможно, хотя и маловероятно, секретный ключ передал инсайдер. А может быть, спецслужбы использовали непубличные эксплойты нулевого дня. ФБР намеренно расплывчато описывает, как ему достался закрытый ключ, с тем чтобы избежать информирования хакеров. Власти надеются, что успешный захват кошелька побудит и других жертв вымогателей сотрудничать с правоохранительными органами, с тем чтобы лишить злоумышленников-вымогателей финансовой выгоды.

Сохранение анонимности в Интернете – очень сложная задача, требующая от киберпреступников очень внимательного отношения к деталям. Власти же демонстрируют решимость разработать методы, которые не позволят злоумышленникам превратить новые способы оплаты в инструменты вымогательства незаслуженной прибыли.

По информации, опубликованной в базе данных ошибок проекта Chromium, Google отказалась от идеи усечения URL-адресов в браузере Chrome.

В августе 2020 года Google объявила о проведении с некоторыми пользователями Chrome испытаний, в ходе которых большая часть URL-адреса сайта будет скрыта. Идея заключалась том, чтобы помочь пользователям понять, что они посещают вредоносный веб-сайт, и защитить их от фишинговых атак и атак социальной инженери.

Испытания начались в октябре 2020 года в версии Chrome 86. Вместо того, чтобы отображать весь URL-адрес, Chrome сокращал его до уровня «регистрируемого домена». Полный адрес статьи https://www.computerworld.com/article/3082024/google-android-chrome-os-flip-flops.html на сайте Computerworld отображался как computerworld.com. Пользователи, не принимавшие участие в эксперименте, могли видеть сокращенный адрес путем соответствующих настроек параметров chrome://flags. Известно, впрочем, что пользователи любого браузера чаще всего отрицательно относятся к изменениям тех элементов интерфейса, к которым они давно привыкли.

Начиная с версии Chrome 91, выпущенной 25 мая, браузер удаляет из URL-адреса только https://, а дополнительные настройки в chrome://flags ликвидированы. В ряде других браузеров, в частности, в Apple Safari, короткие адреса с указанием лишь доменов (от которых отказалась Google) продолжают использоваться. А браузер Edge не принимал участие в тестировании и всегда выдавал полные адреса, включая https://.

Президент РФ Владимир Путин подписал закон о десятикратном увеличении штрафов за разглашение персональных данных.

В частности, штрафы вводятся за разглашение «информации ограниченного доступа» до 10 тыс. руб. для граждан (ранее они составляли от 500 руб. до 1 тыс. руб.), до 50 тыс. руб. для должностных лиц (ранее — от 4 тыс. до 5 тыс. руб.) и в размере 200 тыс. руб. для юридических лиц.

За распространение сведений о работниках силовых структур «в связи с осуществлением ими служебной деятельности» будут штрафовать филзиц — до 40 тыс. руб. и юрлиц — до 300 тыс. руб. Также вводятся штрафы за распространение информации о людях под госзащитой — для физлиц штраф максимальный штраф составит 70 тыс. руб., а для юрлиц — 500 тыс. руб.

В прошлом году в проекте нового Кодекса об административных правонарушениях Минюст предложил увеличить штрафы за утечку персональных данных. Для юридических лиц штрафы предложили поднять до 500 тыс. руб.; для индивидуальных предпринимателей — до 300 тыс. руб.; для должностных лиц — до 100 тыс. руб.; для граждан — до 20 тыс. руб. Позже соответствующий законопроект подготовили депутаты.

Власти неоднократно обсуждали необходимость ужесточения наказания за утечки персональных данных. Так, Центробанк выступает за введение уголовной ответственности за утечки данных, например после ксерокопирования паспорта.

Президент США Джо Байден подписал указ, отменяющий ограничения против видеосервиса TikTok и мессенджера WeChat.

Речь идет об указах от августа 2020 года бывшего президента Дональда Трампа, которые вводили ограничения против китайских компаний ByteDance и Tencent, владеющих сервисами TikTok и WeChat соответственно. Указы Трампа запрещали американцам вести какие-либо дела с этими компаниями и покупать у них рекламу. Резиденты США, нарушившие запрет, могли быть подвергнуты штрафу.

Действия администрации Трампа проводились в рамках политики широкомасштабных антикитайских санкций. Утверждалось, что приложения связаны с властями КНР и позволяют спецслужбам собирать персональные данные американских пользователей. Как предполагалось, это позволяло Пекину отслеживать перемещения федеральных служащих, вести корпоративный шпионаж, шантажировать американцев и тем самым создавать угрозу национальной безопасности.

Вместо прежних ограничений Джо Байден подписал новый документ, который обязывает минторг США проверять иностранные мобильные приложения, связанные с потенциальными противниками Соединенных Штатов и способные угрожать национальным интересам.

В первом квартале 2021 года был отмечен стремительный рост количества DDoS-атак на системы Сбербанка, заявил зампред правления банка Станислав Кузнецов агентству «РИА Новости».

По словам Кузнецова, «Сбер» — самая атакуемая компания в Европе». «Ежедневно на периметре мы фиксируем около 100 кибератак, направленных на финансовые сервисы банка. Кроме того, в первом квартале мы отмечаем стремительный рост количества DDoS-атак на банк», — сказал он.

Причиной атак, как считает Кузнецов, является рост количества различных устройств, которые имеют подключение к Интернету, — камер, телефонов, компьютеров и различных «умных» гаджетов.

Ранее о том, что Сбербанк является самым атакуемым хакерами учреждением Европы, заявил глава банка Герман Греф. «Каждый день искусственный интеллект внутри нашего центра кибербезопасности анализирует миллиарды событий и за весь этот период времени мы не допустили ни одного проникновения в наши системы», — рассказал Греф.

В конце драматической недели, в ходе которой крупный оператор нефтепроводов Colonial Pipeline пострадал от атаки вымогателей, администрация Байдена представила долгожданный, далеко идущий и сложный для воприятия приказ об улучшении национальной кибербезопасности Executive Order on Improving the Nation's Cybersecurity. Он должен наметить «новый курс на укрепление национальной кибербезопасности и защиту федеральных правительственных сетей».

В амбициозном документе фигурируют взломы цепочек поставок SolarWinds и Microsoft Exchange, а также заражение компьютеров Colonial Pipeline с целью вымогательства. Приказ призван стать основой для реализации последующих инициатив, направленных на минимизацию частоты возникновения и уровня воздействия подобных инцидентов. В рамках декларированных инициатив предполагается реализовать следующее.

1. Исключить барьеры для информационного обмена между правительством и частным сектором, гарантировав поставщикам услуг обмен с федеральным правительством сведениями о нарушениях.

2. Модернизировать и внедрить в федеральном правительстве более строгие стандарты, включая переход на облачные сервисы и архитектуры с нулевым доверием, а также многофакторную аутентификацию и шифрование.

3. Повысить безопасность цепочек поставок программного обеспечения, включая установление базовых стандартов безопасности для разработки программного обеспечения, продаваемого государственным органам. Министерство торговли должно опубликовать необходимый минимум спецификаций программного обеспечения с цель отслеживания отдельных его составляющих.

4. Сформировать комитет по надзору за вопросами кибербезопасности, состоящий из экспертов правительственных структур и частного сектора. Комитет должен собираться после любого крупного инцидента в области кибербезопасности и выдавать рекомендации подобно тому, как сейчас это делает Национальный совет по транспортной безопасности США после каждой крупной аварии на транспорте.

5. Выработать стандартный план действий по реагированию на инциденты, с тем чтобы все федеральные агентства в такой ситуации придерживались определенного порядка и выполняли стандартный план мероприятий.

6. Повысить уровень выявления инцидентов в области кибербезопасности в федеральных правительственных сетях путем создания общегосударственной системы обнаружения целевых атак на конечных точках сети и улучшения обмена информацией с федеральным правительством.

7. Расширить возможности для проведения расследования и устранения последствий путем определения требований к журналу событий кибербезопасности для всех федеральных агентств.

Высокая оценка законодателей

Первая реакция законодателей на указ была положительной. Конгрессмен Джим Лэнджевин, председатель подкомитета палаты представителей по вооруженным силам, занимающийся вопросами кибербезопасности, инновационных технологий и информационных систем, а также член Комиссии США по киберпространству, заявил: «Кибербезопасность – это самая приоритетная область национальной безопасности США, и я приветствую принятие президентом Байденом в самом начале срока его полномочий неотложных мер по устранению наиболее критичных уязвимостей».

Председатель сенатского комитета по разведке Марк Уорнер назвал указ «хорошим первым шагом». Сенатор Эдвард Марки и конгрессмен Тед Лью высоко оценили принятие новой пилотной программы по «разъяснению общественности вопросов обеспечения безопасности устройств Интернета вещей».

Эксперты: нет определенности

В указе, где намечены 46 сроков достижения различных целей, нет полной ясности того, каким образом все это предполагается реализовывать. «Многое остается неопределенным и отдается на откуп Национальному институту стандартов и технологий (NIST) и Совету по регулированию государственных закупок», – пояснила партнер Wiley Rein Меган Браун. Национальному институту стандартов и технологий предлагается разработать план внедрения архитектуры с нулевым доверием, определить критически важное программное обеспечение и представить руководства по оценке безопасности программного обеспечения.

В рамках указа NIST поручено также решить ряд задач по определению наиболее важных компонентов маркировки потребительских устройств Интернета вещей в целях безопасности, включая разработку пилотных программ и поиск критериев кибербезопасности Интернета вещей, которые можно было бы использовать в программе. На Совет по регулированию государственных закупок возложены многочисленные задачи по определению формулировок в договорах с учетом требований к информационному обмену.

Субъективизм в определениях

Бывший ИТ-директор Белого дома и нынешний генеральный директор занимающейся вопросами кибербезопасности компании Fortalice Solutions Тереза Пейтон приветствовала создание Совета по анализу вопросов, связанных с кибербезопасностью (Cybersecurity Safety Review Board), но высказала опасения в отношении выполнения указа. «В нем требуется, чтобы поставщики ИТ-услуг сообщали правительству о нарушениях кибербезопасности, которые могут оказывать воздействие на американские сети, – заметила она. – А это очень субъективная тема. Получается, что нужен кто-то, кто будет управлять исполнителями. Я воспринимаю это как очень субъективную вещь, и непонятно, как будут решаться соответствующие вопросы. Не уточняется, какое управление или агентство будет отвечать за все это. Куда направлять правительственные обращения? В ФБР? В АНБ? В ЦРУ?»

Оставляя в стороне возможные последствия отправки в правительство информации о нарушениях кибербезопасности и появлении весьма интересных для киберпреступников целей, Пейтон обращает внимание на трудности с определениями. «Несанкционированный доступ или вход в систему считается киберинцидентом, – заметила она. – Допустим, мне приходит звонок от клиента, сообщающего об обнаружении нарушений в операционном центре безопасности. Задействовав группу реагирования на инциденты, мы выясняем, что причиной всему является программное приложение, в которое необходимо внести изменения. Да, несанкционированный доступ присутствовал, но нет никаких свидетельств того, что данные оказались в руках злоумышленников. Нужно ли об этом сообщать?»

Пейтон обеспокоена также необходимостью согласования регламентируемых указом отчетов об обнаруженных в системе безопасности уязвимостях с требованиями к безопасности данных, которые выдвигаются во всех штатах и юрисдикциях. «Законодательство США об уведомлениях о нарушении безопасности данных напоминает лоскутное одеяло, – подчеркнула она. – Мы являемся одной из немногих стран, которые действуют таким образом. Должны ли мы следовать правилам штатов или же у нас появляется новое правило, регламентирующее, что представляет собой инцидент, о котором необходимо сообщать?»

Майкл Хэмилтон, бывший заместитель председателя координационного совета министерства внутренней безопасности, бывший директор по информационной безопасности Сиэтла и бывший директор по информационной безопасности компании CI Security, многие разделы указа назвал «совершенно незамысловатыми и очевидными для всех». Например, требование к федеральным агентствам управлять уязвимостями и инцидентами стандартным образом. Кроме того, администрации Байдена придется кое-что отшлифовать. Некоторые определения необходимо прояснить и уточнить.

Особая роль АНБ

Важная роль во многих аспектах реализации указа президента отводится Агентству национальной безопасности, в том числе и в определении того, что относится к нарушениям безопасности, о которых организации должны сообщать правительству.

«АНБ обладает достаточным опытом, чтобы выследить преступников и назвать их имена, – отметил Хэмилтон. – При этом агентству запрещено осуществлять внутреннюю слежку. И коль скоро именно АНБ поручено разрабатывать набор правил, определяющих, когда поставщикам услуг следует передавать данные для расследования, можно предположить, что агентство стремится преодолеть барьер, мешающий ему следить за тем, что происходит внутри США, в том числе и за сетевым трафиком, проходящим через операторов связи и провайдеров. Думаю, что таким путем они пытаются решить свои проблемы. А раз у них появилось место за столом, значит есть вещи, о которых им хотелось бы получать уведомления, и они знают, как все это использовать».

Отличается ли указ от того, что было раньше?

Не вполне понятно, чем нынешний указ президента отличается от тех усилий в области кибербезопасности, которые правительство предпринимало в прошлом.

«Хотелось бы видеть больше, поменьше говорить о каких-то рамках и информационном обмене, потому что все это считалось незыблемой святыней еще со времен администрации Клинтона, – указала Пейтон. – Поиски Святого Грааля всегда предусматривают удвоение усилий. Давайте бросим туда больше людей и выстроим новые границы. Возможно, на проблему имеет смысл посмотреть по-другому. Быть может, нам нужны свежие умы из области криптовалют и токенов. Возможно, сюда придется привлечь других новаторов, не имевших ранее исполнительных функций».

По мнению Хэмилтона, на этот раз федеральная инициатива по разрешению сложных проблем кибербезопасности отличается от того, что было раньше, и может сработать. «Нам еще никогда не намыливали шею так, как в последние полгода, – заявил он. – Все происходит по-другому. Конечно, только этим ситуация не исчерпывается, но принимаемые меры направлены непосредственно на то, с чем мы столкнулись за последние шесть месяцев, в частности, в плане обеспечения безопасности цепочек поставок. Тратя такие деньги, федеральное правительство может предъявлять к поставщикам и продуктам любые требования. И те, кто хочет получить соответствующие заказы, должны сделать шаг вперед. Вот почему ситуация отличается от того, что было прежде. Сегодня не просто выдвигаются требования, которые должны быть выполнены. Чтобы получить желаемый результат в сфере кибербезопасности, активно используются экономические меры, рыночные силы, мощь кошелька и конкурентная дифференциация».

Хакерская группа, известная под названиями APT29, Cozy Bear, The Dukes и Nobelium, которую в США и Великобритании считают связанной с Россией, ведет очередную атаку, рассылая фишинговые письма со взломанной учетной записи в сервисе маркетинговых рассылок Constant Contact, принадлежащей Агентству США по международному развитию, сообщает компания Microsoft.

С февраля по апрель группа проводила различные целевые атаки, рассылая письма со ссылкой на ISO-образ диска, якобы содержащего документы о фальсификациях на президентских выборах в США. При монтировании образа диска в Windows загружалась вредоносная программа. На ранних этапах ее действия иногда ограничивались пересылкой сведений о компьютере пользователя. Позднее к программе были добавлены компоненты, дающие хакерам различные возможности доступа к данным, перемещения по локальной сети и так далее.

Массовая рассылка писем через сервис Constant Contact была отмечена специалистами Microsoft 25 мая. Письма были направлены по 3000 адресам более чем в 150 организациях. Частично рассылку блокировали средства борьбы со спамом, но какая-то доля писем, вероятно, дошла до адресатов. В Microsoft считают, что группа продолжит проводить аналогичные атаки, используя для доставки вредоносных программ законные и пользующиеся доверием пользователей сервисы — такие, как доставка обновлений программ в случае с SolarWinds или маркетинговых рассылок, как в данном случае.