Россия и США заключили пакт в области компьютерной безопасности

Россия и США заключили пакт в области компьютерной безопасности

Соединённые Штаты планируют начать регулярный обмен информацией по компьютерной безопасности с Россией в рамках усилий администрации Обамы восстановить более тесные отношения между странами и уладить недоразумения вокруг политик стран в области информационных технологий.

В конце июня 2011 г. в Вашингтоне состоялась встреча между должностными лицами, работающими в области компьютерной безопасности, в рамках визита российской делегации в Вашингтон, возглавляемой заместителем секретаря Совета безопасности РФ Николаем Климашиным.

«И Россия, и США ищут пути противодействия наиболее серьёзным угрозам компьютерной безопасности, но происходящие в это же время непонятные инциденты могут негативно повлиять на наши отношения», – сказал Говард Шмидт, координатор по компьютерной безопасности при администрации Обамы.

Под непонятными инцидентами могут, в том числе, подразумеваться атаки на инфраструктуру и сети Правительства США, совершённые российскими хакерами, которые в последние несколько лет стали представлять более серьёзную угрозу. Последние атаки на сети, принадлежащие федеральному правительству США или имеющие отношение к нему, совершённые хактивистскими группами Anonimous, LulzSec и AntiSec, пролили новый свет на эти риски.

На встрече официальные лица заключили пакт о сотрудничестве в области компьютерной безопасности, включая обмен по готовящимся военным операциям в области информационной безопасности, а также обмен информацией между Компьютерными группами реагирования на чрезвычайные ситуации (CERT) обеих стран, согласно совместному заявлению Шмидта и Климашина по результатам встречи.

Обе страны также планируют использовать существующие коммуникационные связи для предотвращения кризисов, которые действуют между двумя странами, чтобы упрочить договорённости по обмену информации, по их словам.

«В то время как углубляется взаимопонимание по проблемам национальной безопасности в киберпространстве, подобные меры помогут нашим обоим правительствам более продуктивно общаться по поводу мелко- и крупномасштабных угроз нашим сетям, создать лучшие условия для сотрудничества в ответ на угрозы, а также предотвратить увеличение количества серьёзных инцидентов», – заявили официальные лица.

Страны договорились создать условия для сотрудничества в области компьютерной безопасности к концу текущего года.

Как и политические взаимоотношения между Соединёнными Штатами и Россией, которые были исторически натянутыми, так выглядят и идеи вокруг компьютерной безопасности.

В 2009-ом году страны не сошлись во мнениях на эту проблему – Россия подписала международное соглашение в области защиты киберпространства от угроз, тогда как Соединённые Штаты выступали за более закрытое сотрудничество между чиновниками международных правоохранительных органов.

Забота о более тесном сотрудничестве с иностранными государствами по поводу политики в области компьютерной безопасности – это ключевой аспект «Интернациональной стратегии в политике киберпространства» Президента США Барака Обамы. Он опубликовал этот документ в мае.

Российский госсектор и промышленностью атакуют через обновления ViPNet

Эксперты Kaspersky GReAT обнаружили активную кибершпионскую кампанию HelloNet, нацеленную на крупные российские организации. Под удар попали предприятия госсектора, промышленности, энергетики, транспорта, логистики и образования. Главная неприятность — злоумышленники используют механизм обновлений ViPNet, популярного ПО для создания защищённых сетей.

Атака начинается не с подозрительного архива «Документы_срочно.zip», а маскируется под вполне легитимный корпоративный процесс.

Для заражения применяется техника сторонней загрузки DLL. Один из компонентов ViPNet запускается вместе с операционной системой и подхватывает вредоносную библиотеку. Дальше начинается полноценный набор для тихой жизни внутри чужой инфраструктуры.

В кампании задействованы сразу несколько ранее неизвестных инструментов. HelloInjector загружает дополнительные вредоносные модули, HelloProxy проксирует трафик и запускает новые нагрузки, HelloExecutor позволяет выполнять команды на заражённом компьютере. А HelloCleaner стирает журналы ViPNet, чтобы следов осталось поменьше.

На одной из систем исследователи также нашли HelloBackdoor — бэкдор для работы с файловой системой.

По техническим признакам специалисты с низкой уверенностью связывают кампанию с неизвестной китайскоговорящей группировкой. При этом атака всё ещё продолжается.

В «Лаборатории Касперского» напоминают, что ViPNet уже становился приманкой для атакующих: в 2025 году десятки российских организаций столкнулись с бэкдором, который тоже притворялся обновлением этого ПО.

Компаниям рекомендуют отдельно проверить рабочие станции с ViPNet и внимательно изучить сетевой трафик.

В «ИнфоТеКС» поделились своим комментарием. Приводим ниже.

Компания «ИнфоТеКС» сообщила о выявлении нового вектора целевой атаки, связанного с использованием транспортного протокола MFTP в ПК ViPNet Client 4.

Новый сценарий атаки обнаружен в эксплуатируемых сетях ViPNet на узлах с установленным ViPNet Administrator. Его реализация возможна при условии, что злоумышленники ранее скомпрометировали управляющий узел ViPNet Administrator в доверенной сети.

После этого с захваченного узла через межсетевое взаимодействие может быть отправлен специально сформированный конверт, имитирующий легитимное обновление программного обеспечения. Такой пакет способен содержать произвольную вредоносную нагрузку и использовать уязвимость, связанную с обработкой относительных путей.

Рассылка поддельного обновления через скомпрометированный управляющий узел может привести к нарушению целостности среды, повышению привилегий в системе и выполнению произвольного кода на атакуемом устройстве.

Для устранения уязвимости необходимо обновить программное обеспечение до следующих версий:

Если сеть связана с другими защищёнными сетями, администрирование которых находится вне зоны вашей ответственности и для которых невозможно гарантировать выполнение указанных требований, необходимо проверить собственные узлы на наличие признаков компрометации.

Для этого следует:

  • проверить систему на наличие файлов, указанных в подготовленных YARA-правилах;
  • выполнить проверку в соответствии с инструкцией по применению YARA-правил с использованием утилиты YARA;
  • проанализировать сетевую активность узлов ViPNet, включая обращения к координаторам и другим элементам инфраструктуры организации.

При обнаружении признаков заражения или подозрительной сетевой активности необходимо незамедлительно обратиться в службу технической поддержки «ИнфоТеКС».

RSS: Новости на портале Anti-Malware.ru