Эксперты компании Trustwave SpiderLabs изучили эксплоит кит Sundown, впервые обнаруженный специалистами еще в 2015 году. После исчезновения с «рынка» лидеров данной области, эксплоит китов Angler и Nuclear, авторы Sundown начали активно развивать свою разработку, очевидно, стремясь занять освободившуюся нишу.
Однако аналитики Trustwave SpiderLabs пишут, что на самом деле Sundown попросту ворует чужие эксплоиты, а лидирующие позиции в этой сфере по-прежнему занимают наборы Neutrino и RIG.
Подозрительную активность авторов Sundown первыми заметили специалисты компании Zscaler. В июне 2016 года Sundown вдруг начал обновляться, хотя раньше разработчики явно не стремились поддерживать актуальность своего «продукта». Так как активность началась после исчезновения эксплоит китов Angler и Nuclear, исследователи сделали вывод, что злоумышленники пытаются воспользоваться ситуацией и обратить неприятности конкурентов себе на пользу.
Напомню, что деятельность Angler была прекращена в связи с арестом участников хакерской группы Lurk, о деятельности которой недавно детально рассказали представители «Лаборатории Касперского». Разработчика Nuclear, в свою очередь, напугали исследователи компании Check Point, которые сумели детально изучить инфраструктуру всего сервиса, а затем написать об этом развернутый отчет. Специалисты также сумели идентифицировать автора эксплоит кита, сообщив, что это россиянин, проживающий в Краснодаре и зарабатывающий на своем детище порядка 100 000 долларов в месяц. Через несколько дней после выхода отчета Nuclear свернул все свои операции,
Специалисты Trustwave SpiderLabs, изучившие обновленный Sundown более внимательно, тоже полагают, что разработчики Sundown решили воспользоваться ситуацией. Более того, оказалось, что создатели эксплоит кита решили пойти по пути наименьшего сопротивления. Так, кодинг панели и DGA (Domain Generation Algorithm) были отдан на аутсорс группировке Yugoslavian Business Network, а все новые эксплоиты в составе набора оказались попросту украдены у конкурентов, разрабатывающих другие эксплоит киты.
Специалисты Trustwave SpiderLabs сообщают, что теперь в состав Sundown входят эксплоиты «позаимствованные» у Angler (для бага в IE: CVE-2015-2419), RIG (для бага в Silverlight: CVE-2016-0034), эксплоит из набора, похищенного у Hacking Team (для бага во Flash: CVE-2015-5119), а также эксплоит из Magnitude (для бага во Flash: CVE-2016-4117).
Совершено очевидно, что подобная тактика работает не слишком хорошо. Если авторы Sundown действительно хотят составить конкуренцию разработчикам других наборов, им придется обзавестись более внушительным арсеналом и начать писать эксплоиты самостоятельно.
Так, согласно данным Zscaler, наиболее опасными и популярными наборами эксплоитов по-прежнему являются Neutrino и RIG. Статистика, собранная за минувшее лето гласит, что Neutrino в основном занимается распространением дроппера малвари Gamarue, трояна Tofsee, а также вымогателей CryptXXX и CripMIC. RIG, в свою очередь, занимается доставкой трояна Tofsee, шифровальщика Cerber, а также банковских троянов Gootkit и Vawtrack. С большим отставанием этот список топовых эксплоит китов замыкают Magnitude, распространяющий вымогателя Cerber, и Sundown, который, по данным экспертов, этим летом в основном распространял бэкдор Kasidet.
ФСТЭК России скорректировала порядок аттестации объектов информатизации, на которых обрабатывается информация ограниченного доступа, не содержащая государственную тайну. Изменения внесены в действующий приказ № 77 и затрагивают сразу несколько этапов проверки защищённости.
Регулятор объяснял необходимость обновления документа тем, что его нужно привести в соответствие с новыми требованиями к защите государственных информационных систем и других информационных систем госорганов, утверждёнными приказом ФСТЭК № 117 от 11 апреля 2025 года.
Кроме того, при подготовке изменений учитывался опыт применения действующего порядка аттестации, который действует с 2021 года.
В новой редакции приказа уточняются требования к проведению аттестационных испытаний — то есть проверок, которые подтверждают соответствие объекта установленным требованиям безопасности.
Изменения также коснулись периодического контроля уже аттестованных объектов. ФСТЭК конкретизировала, какие мероприятия должны проводиться для проверки уровня защищённости информации после получения аттестата.
Ещё одно нововведение касается оформления результатов проверок. Обновлены требования к содержанию отчётов и протоколов, составляемых по итогам контроля защищённости.
По сути, документ не меняет саму идеологию аттестации, но делает её более формализованной и приводит действующий порядок в соответствие с обновлённой нормативной базой.
Для организаций, которым необходимо проходить аттестацию информационных систем, это означает, что при подготовке к проверкам и последующему контролю придётся ориентироваться уже на новые требования ФСТЭК.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
