Чернышенко: полный переход на отечественные СЗИ случится раньше 2025 года

Чернышенко: полный переход на отечественные СЗИ случится раньше 2025 года

Чернышенко: полный переход на отечественные СЗИ случится раньше 2025 года

Почти 50 тыс. хакерских атак на отечественные интернет-ресурсы были отражены в прошлом году. Киберитоги года подвел вице-премьер Дмитрий Чернышенко. По его убеждению, рынок готов выполнить поручение президента по запрету иностранных СЗИ на объектах КИИ раньше 2025 года.

С начала 2022 года успешно отражено почти 50 тысяч серьезных кибератак, заявил сегодня на брифинге в Координационном центре правительства вице-премьер Дмитрий Чернышенко.

“Мы никогда ранее не подвергались такому нашествию, — отметил Чернышенко. — И зафиксировано, и устранено 1,6 тыс. инцидентов. Все они расследованы, успешно закрыты, подготовлены рекомендации по их дальнейшему предотвращению".

В прошлом году число кибератак на автоматизированные системы управления увеличилось на 80%.

Если в 2021 году целью таких атак был финансовый сектор, то в 2022 фокус сместился на государство.

Параллельно было "выявлено много тысяч различных компьютерных уязвимостей", которые Федеральная служба по техническому и экспортному контролю (ФСТЭК) добавила в базу данных угроз, подчеркнул вице-премьер.

На брифинге представили цифры по киберучениям на базе опорных центров "Национального киберполигона" и штабов по кибербезопасности.

Всего в минувшем году провели 80 учений.

Пилотные учения "нового формата", суть которого в презентации не раскрывалась, прошли в Ленинградской и Нижегородской областях, "а в 2023 году такой формат будет применен ещё в 20 регионах".

Чернышенко также напомнил, что на портале Госуслуг функционирует сервис выдачи сертификатов безопасности для интернет-ресурсов.

"За прошлый год почти 10,5 тыс. таких TLS-сертификатов было выдано", — отметил вице-премьер.

Весь 2022 год велась работа по блокировке фишинговых и вредоносных ресурсов.

"Было обнаружено более 80 тыс. таких ресурсов, причем большая часть активизировалась в последнем квартале (года). Конечно, мы их все заблокировали", — сказал Чернышенко.

Чернышенко отметил, что "информационная безопасность стала одним из важнейших векторов цифрового развития и актуальных вопросов прошлого года".

"Мы знаем, что президент установил запрет на использование с 1 января 2025 года иностранных средств защиты информации (на объектах КИИ). Я думаю, что мы даже и раньше выполним это поручение”, — предположил Чернышенко. — И в субъектах, и во всех федеральных органах исполнительной власти уже созданы так называемые киберштабы".

Фишеры атакуют российский авиапром через счета и ставят AnyDesk

Исследователи Seqrite обнаружили фишинговую кампанию против российских аэрокосмических компаний. Схема получилась уже знакомая: письмо якобы со счётом от реальной авиационной организации. Но внутри не бухгалтерия, а удалённый доступ к компьютеру жертвы через AnyDesk.

Атака начинается с письма, отправленного от имени ВНИИР. Домен похож на настоящий, тема про счёт, оформление с логотипом Минпромторга. Для убедительности всё как надо.

Однако фейковый домен зарегистрировали всего за несколько дней до рассылки, а список получателей скрыт, что намекает на массовую отправку.

 

Во вложении лежит запароленный архив. Пароль заботливо указан в тексте письма: пользователю удобно, защитным системам — уже не очень. Внутри находится дроппер, собранный с помощью Smart Install Maker. После запуска он показывает на экране PDF-приманку со счётом, а сам тем временем распаковывает файлы во временную папку и тянет с командного сервера второй архив.

 

В этом наборе — портативный AnyDesk, почтовая утилита Blat, Tray Minimizer и batch-скрипт. Последний делает всю грязную работу: ждёт около минуты, чтобы пережить песочницы, задаёт фиксированный пароль AnyDesk, копирует его в ProgramData и запускает. После этого операторы могут заходить на машину без лишних вопросов и всплывающих просьб.

Затем скрипт упаковывает настройки AnyDesk в защищённый архив и отправляет их злоумышленникам через Blat по SMTP. Для закрепления создаётся задача с кривым названием Auto apdate, а временные файлы удаляются, чтобы расследователям было веселее копаться в следах.

 

Seqrite подозревает связь с группой Rare Werewolf, также известной как Librarian Ghouls и Rezet. Её активность фиксируют как минимум с 2019 года, а среди целей ранее были организации в России, Беларуси и Казахстане, включая аэрокосмический сектор и тяжёлую промышленность.

Главная фишка атаки — минимум экзотики. Вместо редкого вредоноса используются легитимные инструменты: AnyDesk, Blat и переименованный WinRAR.

RSS: Новости на портале Anti-Malware.ru