В 2024 году в арсенале хакеров: дипфейки, фишинговые QR-коды и ChatGPT. Чем им ответят специалисты ИБ?

Сегодня в 11.00 в эфире AM Live «Инновации в кибербезопасности» Алексей Гришин, CPO CICADA8, примет участие в дискуссии о перспективах развития отрасли вместе с коллегами из других компаний. Ссылкой на запись эфира мы обязательно поделимся.

Ссылка на трансляцию 📹

Ключевая тема встречи: инновации в сфере информационной безопасности России в условиях курса на технологическую независимость.

Эксперты обсудят:
➡️какие разработки в последнее время появились в кибербезопасности в нашей стране;
➡️в каких компаниях они создаются, почему у нас так мало ИБ-стартапов и есть ли шансы у команд энтузиастов;
➡️насколько российские клиенты заинтересованы в инновационных продуктах;
➡️как импортозамещение влияет на развитие инноваций;
➡️в каких направлениях ИБ стоит ожидать развития;
➡️каких инноваций на базе ИИ и машинного обучения стоит ожидать в ближайшее время.

В эфире участвуют:
⚫️Алексей Гришин, CPO CICADA8 Future Crew
⚫️Сергей Петренко, CPO МТС RED
⚫️Эльман Бейбутов, директор по развитию продуктового бизнеса Positive Technologies
⚫️Максим Степченков, совладелец компании RuSIEM
⚫️Игорь Бирюков, руководитель киберхаба Сколково
⚫️Виктор Ивановский, руководитель группы развития бизнеса KasperskyOS, «Лаборатория Касперского»
⚫️Александр Баринов, директор портфеля продуктов сетевой безопасности, ГК «Солар»

Регистрируйтесь по ссылке на AM Live, чтобы задать вопросы экспертам.

#CICADA8

Пиратский софт для macOS с бэкдором

Исследователи из Jamf Threat Labs обнаружили новую разновидность вредоносного ПО, которое распространяется внутри пиратского программного обеспечения для Маков.

Изначально внимание исследователей привлекло имя подозрительного файла “.fseventsd”. Во-первых, тем, что оно начинается с точки (поэтому файл автоматически скрывается в Finder). А во-вторых, совпадением с названием одного из системных процессов macOS — File System Events Daemon.

Файл загружался в качестве одной из составляющих установочных пакетов нескольких взломанных приложений для macOS. После запуска такого зараженного DMG-файла встроенный в него зловред скачивает на компьютер жертвы дополнительные вредоносные компоненты.

Один из этих компонентов представляет собой полноценный бэкдор, который даёт создателям зловреда возможность воровать информацию и выполнять произвольные команды на компьютере жертвы. Другой же компонент позволяет вредоносному ПО закрепиться в зараженной системе: несмотря на то, что бэкдор удаляется из системы после рестарта, он каждый раз скачивается и заново запускается.

По мнению исследователей, этот зловред угрожает в основном китайским пользователям. Однако весьма интересен набор пиратского ПО, к которому был прикручен бэкдор:

🟣Navicat — инструмент для разработки и администрирования баз данных.
🟣UltraEdit — текстовый и HEX-редактор, созданный главным образом для программистов.
🟣FinalShell — софт для управления серверами и SSH-клиент.
🟣SecureCRT — еще один SSH-клиент и Telnet-клиент.
🟣Microsoft Remote Desktop Beta — бета-версия официального RDP-клиента Microsoft.

То есть в данном случае создатели зловреда охотятся вовсе не на “пионеров”, ищущих взломанные игры и бесплатные мультики, а на вполне серьёзных (но крайне беспечных) IT-профессионалов, которые пытаются сэкономить на рабочих инструментах. Вывод, в общем, очевиден: к пиратскому софту следует относиться с крайней осторожностью и как минимум проверять установочные пакеты перед запуском антивирусом. Да, даже на Маках.

От чудаков и бунтарей до сверхлюдей: как менялся образ хакеров в кино

Не все хакеры носят худи с капюшонами, но режиссёры продолжают изображать их с помощью привычных зрителям образов. Посмотрим, как это происходило на протяжении более сорока лет.

🍿 В 80-х годах в роли киберпреступников часто выступали дети и подростки. Например, в фильме «Настоящий гений» (1985) хакерами оказались пятнадцатилетние вундеркинды, а в «Мести придурков» (1984) — школьные «ботаники».

🍿 В начале 90-х хакеров перестают изображать безобидными чудаками. Теперь это мрачные злодеи, которые противостоят положительным героям. Достаточно вспомнить фильмы о Джеймсе Бонде или картины «Сеть» (1995) и «Тихушники» (1992). А в фильме «Хакеры» (1995) героями движет прежде всего любопытство 😎

🍿 В конце 90-х к образу злодея добавляется роль бунтаря, который взламывает сети по идейным соображениям. Режиссёры представляют их супергероями которые могут взломать пароль за секунду и удалённо подключиться любому компьютеру. А в «Матрице» (1999) Нео и вовсе оказывается избранным.

🍿 В нулевых хакеры обретают черты харизматичных гениев, в которых переплетаются положительные и отрицательные качества. В это время появляются образы обаятельного взломщика в фильме «Пароль “Рыба-меч”» (2001), гика в «Земном ядре» (2003) и, к примеру, геймера из «Хоттабыча» (2006). Несмотря на попытки показать их более реалистично, действия хакеров на экране всё ещё похожи на магию.

🍿 Второе десятилетие XXI века. В сериале «Мистер Робот» (2015–2019) герой — интеллектуал и интроверт, а в фильме «Девушка с татуировкой дракона» (2011) появляется загадочная героиня-хакер. В фильме «Социальная сеть» (2010) главный герой становится успешным предпринимателем, а в фильме «Кибер» (2015) режиссёр отходит от классических канонов и представляет хакера в виде героя боевиков.

Фильмов, где хакеры играют главные роли или появляются в эпизодах, конечно, гораздо больше. А какие ваши любимые?

Ролевые ИИгры: как получить наиболее качественные ответы от ИИ

Исследователи из университета Мичигана выяснили, что назначение ролей при общении с большими языковыми моделями (LLM) увеличивает качество ответов на 20%.

Для этого они провели эксперименты со 162 ролями: 50 из них были межличностными (например: мать, друг, брат, знакомый, одноклассник), а 112 — профессиональными. Роли задавались ИИ тремя способами:
🟣Роль назначалась самой модели — например, «Вы врач…»
🟣Роль назначалась аудитории — «Вы разговариваете с пациентами…»
🟣Запрос определял роли и спрашивающего, и отвечающего — «Вы со своим пациентом…»

Эксперименты проводились с тремя разными моделями. Эффективность и качество их ответов проверяли с помощью 2457 вопросов из популярного датасета MMLU (Massive Multitask Language Understanding).

Выводы учёных оказались крайне разнообразными. Например, ответы на запросы с межличностными ролями оказались в целом более качественными по сравнению с ответами на профессиональные запросы. При этом для межличностных ролей все три протестированные модели давали ответы одинакового качества, а вот для профессиональных ролей качество ответов отличалось от модели к модели.

Среди межличностных ролей наименее эффективными для всех моделей оказались романтические и семейные. При этом учёные выяснили, что лучше всего работают гендерно нейтральные формулировки запросов, то есть не «девушка» или «парень», а «партнёр» (конечно, здесь надо учитывать, что исследование проводилось на английском языке).

В работе учёных есть ещё масса интересных подробностей. А для практического применения на основании этого исследования мы выделили семь советов в статье в Telegraph 👇

Несколько историй за январь. Пока мы начинали новую жизнь с Нового года (или пытались начать), в информационной безопасности происходило много интересного:

🟣Одни специалисты работают над обучением больших языковых моделей, а другие думают, как заставить ИИ забывать часть информации. Рассказали об этом в посте про Гарри Поттера и глубокое разобучение.

🟣Любите в свободное время пострелять в CS:GO или поиграть в другие многопользовательские игры? Наш пентестер Миша рассказал, как защитить аккаунт от кражи.

🟣Об инновациях в информационной безопасности можно узнать из эфира AM Live. Наш эксперт Алексей Гришин, CPO CICADA8, обсудил вместе с коллегами из ведущих компаний России, с какими сложностями сталкиваются и стартапы, и корпорации при внедрении новых технологий.

🟣О трендах в развитии умных ассистентов рассказал руководитель направления персональных ИИ-решений Future Crew Александр Сазонов.

🟣Показали, как выглядит офис с посетителями в интеллектуальной системе контроля доступа Urbanpredator.

🟣CEO Future Crew Евгений Черешнев прокомментировал новость том, что компания Илона Маска Neuralink успешно вживила нейрочип в мозг первому пациенту. Многие опасаются, что государства начнут контролировать людей через подобные чипы, но на данном этапе устройства могут посылать команды только на выход — помогают силой мысли открыть замок, отдать команду камере или беспилотному автомобилю.

🟣Для тех, кто задумывается, какими могут быть сценарии развития технологий, — наш дайджест достойных внимания фильмов и сериалов об этом.

Впереди целых 29 дней февраля, но весна близко 😔

Как я у вас телегу угнал

Сколько всего связано с нашим аккаунтом в Telegram? Рабочие переписки, личный канал, интересные сохранёнки в Избранном. Пентестер CICADA8 Михаил Жмайло рассмотрел по шагам разные способы, которые используют злоумышленники, чтобы получить доступ к этим данным. Все подробности в статье в Telegraph, а здесь перечислим некоторые аспекты.

Sim Swapping 👀
В ходе реализации этой атаки злоумышленники будут пытаться всеми правдами и неправдами попытаться узнать номер телефона, привязанный к вашему аккаунту в Telegram, а затем перевыпустить SIM-карту в салоне связи. В даркнете можно встретить услугу по перевыпуску SIM-карты, цена зависит от оператора связи и колеблется от 25 до 100 тысяч рублей за карту.

Криптовалютные транзакции🤵
Транзакция проходит не сразу же, а в несколько этапов. Продавец может увидеть, что деньги ему отправлены, передаст управление каналом, а злоумышленник отменит перевод. Как следствие, жертва останется и без канала, и без денег.

Кража сессионных файлов😱
У Telegram есть свои cookie-файлы, они находятся в папке tdata. Если злоумышленник установит на ваше устройство вредоносное ПО, то сможет скопировать содержимое этой папки на свой компьютер, что позволит ему зайти в ваш аккаунт. В таком случае никакая 2FA не спасёт.

Подробнее об этих и других способах читайте в статье.

Chameleon, банковский троян для Android, отключает вход по отпечатку пальца и ворует ПИН

Исследователи обнаружили новую версию банковского трояна Chameleon, который заражает Android-устройства. Для распространения этого трояна используется даркнет-платформа Zombinder, которая помогает создателям вредоносного ПО «прицеплять» их к легитимным приложениям. В случае Chameleon в роли такого приложения выступает браузер Google Chrome.

Chameleon использует функцию Android «Специальные возможности» (Accessibility), которая позволяет ему становиться посредником между пользователем и приложениями: отслеживать действия в системе, нажимать кнопки, менять настройки, перехватывать и вводить данные в полях ввода и т.д.

Чтобы получить доступ к «Специальным возможностям», при установке Chameleon показывает жертве подробную инструкцию, как же ими его наделить. Интересно, что создатели также учли появившуюся в Android 13 защиту от подобных действий — «Настройки с ограниченным доступом» (Restricted settings). Они препятствуют доступу приложений, загруженных не из магазина, к Accessibility. Поэтому для Android версий 13 или 14 троян выводит более подробную инструкцию, которая объясняет, как обойти ограничения.

Одна из самых интересных особенностей Chameleon: с помощью «Специальных возможностей» троян отключает разблокировку смартфона отпечатком пальца или лицом. Вместо биометрии, которую он не может перехватывать, он включает разблокировку экрана ПИН-кодом или паролем, перехватывает их, и получает возможность совершать в системе любые действия.

Эту возможность Chameleon использует, чтобы воровать деньги, притворяясь налоговыми органами, банками и криптобиржами. Он умеет перекрывать экраны соответствующих приложений поддельными, собирать введенные данные, воровать куки-файлы и перехватывать SMS.

Как защититься? Всё как обычно:
🔘Не устанавливайте приложения из опасных источников.
🔘Не давайте им разрешение на доступ к «Специальным возможностям».
🔘Если всё же устанавливаете — сначала поверьте приложение антивирусом.