Архитектура работы InfoWatch ARMA Industrial Firewall запатентована в ЕАПО

Архитектура работы InfoWatch ARMA Industrial Firewall запатентована в ЕАПО

Архитектура работы InfoWatch ARMA Industrial Firewall запатентована в ЕАПО

Евразийская патентная организация (ЕАПО) выдала патент на технологию анализа входящего сетевого трафика, применяемую в промышленном межсетевом экране InfoWatch ARMA Industrial Firewall.

Это редкий случай, когда под охрану попала не просто отдельная функция, а вся внутренняя архитектура ИТ-решения.

Патент действует на территории восьми стран: России, Армении, Азербайджана, Беларуси, Казахстана, Киргизии, Таджикистана и Туркменистана. До этого технология была запатентована отдельно в России.

Речь идёт о системе, которая используется для защиты автоматизированных систем управления технологическими процессами (АСУ ТП) от внешних и внутренних угроз. В последние годы такие системы всё чаще становятся объектами кибератак, и вопрос их защиты становится всё более актуальным.

Архитектура, получившая патент, включает в себя блок приёма и предварительного анализа сетевого трафика, механизм обнаружения новых устройств, систему глубокой инспекции пакетов (DPI), сигнатурный модуль и блок памяти.

Если соединение уже установлено, трафик может быть пропущен без дополнительной фильтрации — это ускоряет работу без ущерба для безопасности.

Особенность этой технологии — в том, что она позволяет отслеживать не только соединения между устройствами, но и команды, которые передаются по протоколам промышленного оборудования. Это помогает выявлять попытки несанкционированного управления на раннем этапе.

Как отмечают в InfoWatch, патентование такого рода ИТ-решений — дело небыстрое и довольно сложное. Но сам факт того, что удалось зарегистрировать именно архитектуру системы, а не просто отдельный элемент, да ещё и в международной юрисдикции, делает этот случай довольно значимым в сфере интеллектуальной собственности.

Не так давно мы обозревали функциональные возможности InfoWatch ARMA, в состав которой включены три продукта (Industrial Firewall, Industrial Endpoint и Management Console).

Психологический тест с сюрпризом: хакеры атакуют госсектор через BusySnake

Психологический тест в письме может оказаться не заботой о ментальном здоровье, а входным билетом для стилера. Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, нацеленную на государственный и электроэнергетический секторы России, Казахстана и Бразилии.

По данным исследователей, за атаками может стоять ранее не упоминавшаяся группировка Armored Likho.

Злоумышленники используют новый стилер BusySnake, который крадет данные с зараженных Windows-устройств, делает скриншоты, вытаскивает пароли из браузеров и отправляет конфиденциальные файлы на командный сервер.

Основной способ заражения — фишинговые письма с архивами. Легенды меняются: где-то жертве предлагают пройти психологический тест, где-то — оформить заявку на гуманитарную помощь. Названия архивов подгоняются под тему письма, чтобы всё выглядело убедительнее.

 

После запуска содержимого на экране может открыться приложение-приманка с опросом или документ, соответствующий легенде. Пока пользователь смотрит на психологию или помощь, в фоне запускается многоэтапная цепочка загрузки, которая приводит к установке BusySnake.

Сам стилер написан на Python и уже существует в нескольких версиях. Он умеет красть данные из буфера обмена, перехватывать пароли из Firefox и Chromium-браузеров, похищать cookie через отдельный модуль и собирать файлы с устройства. В коде также предусмотрены механизмы, которые мешают обнаружению и усложняют анализ.

Любопытная деталь: загрузчики, через которые BusySnake попадает на устройство, судя по анализу кода, могли быть сгенерированы с помощью ИИ. Исследователи отмечают характерные избыточные комментарии и блоки кода.

В «Лаборатории Касперского» считают, что Armored Likho совмещает кибершпионаж против организаций с финансово мотивированными атаками на частных пользователей. Группировка развивает инструменты и встраивает в них функции, которые раньше использовала отдельно.

RSS: Новости на портале Anti-Malware.ru