В Гонконге принят закон , ужесточающий кибербезопасность ключевых инфраструктурных систем. Закон предусматривает штрафы до 5 миллионов гонконгских долларов за недостаточные меры защиты от кибератак. Новый нормативный акт направлен на создание правовых требований для операторов объектов, признанных критически важными, и охватывает как государственные, так и частные структуры, работающие в приоритетных секторах. Согласно заявлению главы Бюро безопасности Криса Тана, регулирование затронет системы в сферах энергетики, информационных технологий, банковского и финансового сектора, а также транспорта — наземного, воздушного и морского. Помимо этого, под действие закона подпадут системы связи и вещания, а также IT-инфраструктура в здравоохранении. Отдельное внимание уделено объектам, обеспечивающим важные общественные и экономические функции. В их число входят спортивные арены, концертные площадки, а также технопарки. Для всех указанных категорий вводятся обязательства по регулярной оценке рисков и оперативному реагированию на инциденты. Закон также предоставляет властям полномочия по установке программ или подключению к системам критической инфраструктуры в случае, если оператор не способен самостоятельно устранить угрозу. Эти действия требуют судебного ордера, однако вызвали обеспокоенность со стороны международных технологических и правозащитных организаций. Так, ранее Азиатская интернет-коалиция и Американская торговая палата в Гонконге предупредили, что подобные полномочия могут отпугнуть инвесторов и негативно повлиять на развитие технологической отрасли. Британская правозащитная группа Article 19 назвала закон «чрезмерным» в части возможности запрашивать любую информацию при подозрении на нарушение. Несмотря на критику, власти Гонконга и Законодательный совет заявили, что аналогичные нормы действуют в США, Великобритании и странах ЕС. По словам Тана, личные данные и коммерческая тайна не подпадают под регулирование, равно как и государственные ведомства. Между тем именно ведомства и связанные с ними учреждения — включая Департамент пожарной службы, Управление регистрации избирателей и компанию Cyberport — в последнее время становились жертвами утечек данных. Однако новые меры ориентированы только на крупные организации, а не на отдельные учреждения или граждан. Также уточняется, что новые требования распространяются как на внутренние, так и на внешние IT-команды, обслуживающие критическую инфраструктуру. Закон не имеет экстерриториального действия, но может применяться и к зарубежным серверам, если они связаны с операторами из Гонконга. Среди обязанностей операторов — ежегодная подача отчёта об оценке рисков и обязательное уведомление властей о киберинциденте в течение 12 часов после его обнаружения. При этом список организаций, подпадающих под закон, не будет обнародован из соображений безопасности. По словам Постоянного секретаря по вопросам безопасности Патрика Ли, под регулирование попадёт более сотни организаций.

Источник: https://www.securitylab.ru/news/557566.php

Швейцарская телекоммуникационная компания Ascom подтвердила кибератаку на свою ИТ-инфраструктуру. 16 марта хакеры получили несанкционированный доступ к технической тикет-системе. На фоне инцидента ведётся внутреннее расследование, также к работе подключены правоохранительные органы. Ascom заверяет, что инцидент не повлиял на бизнес-процессы, а клиентам и партнёрам не требуется принимать каких-либо дополнительных мер. Ответственность за атаку взяла на себя группировка HellCat, известная серией аналогичных взломов через уязвимости Jira. Участник группы под ником «Rey» сообщил, что хакеры похитили около 44 ГБ данных, среди которых исходные коды продуктов, проектная документация, счета и конфиденциальные записи из тикет-системы. Сервис Jira, используемый для управления проектами и отслеживания задач в ИТ-командах, часто содержит чувствительную информацию — от ключей аутентификации и исходного кода до клиентских данных и внутренних обсуждений. Ранее группа уже атаковала Schneider Electric , Telefónica и Orange Group, проникнув в их системы через скомпрометированные серверы Jira. В этих случаях также использовались похищенные учётные данные сотрудников. Недавно HellCat заявили о новой атаке — на автоконцерн Jaguar Land Rover. Тогда злоумышленники похитили и опубликовали около 700 внутренних документов, включая журналы разработки, исходные коды и персональные данные сотрудников. Тогда использовались старые, но всё ещё действующие учётные данные сотрудника LG Electronics, имевшего доступ к Jira-серверу JLR. Вслед за атаками на Ascom и JLR, хакеры объявили о взломе сервера Jira американской маркетинговой компании Affinitiv, работающей с автопроизводителями и дилерскими сетями. По данным HellCat, хакерам удалось похитить базу с более чем 470 000 уникальных email-адресов и свыше 780 000 записей. В подтверждение атаки были опубликованы скриншоты с именами, адресами электронной почты и почтовыми адресами клиентов. В Affinitiv подтвердили начало расследования. Такой механизм проникновения подтверждает типичную тактику группы HellCat: использование логинов, полученных в результате заражения сотрудников инфостилерами. Такие учётные записи, несмотря на давнюю утечку, часто продолжают функционировать, поскольку компании не обновляют пароли регулярно. Специалисты отметили, что Jira становится приоритетной целью атак из-за своей значимости в рабочих процессах и большого объёма хранимых данных. Доступ к Jira может открывать путь для движения внутри корпоративной сети, повышения привилегий и кражи критически важной информации.

Источник: https://www.securitylab.ru/news/557567.php

По данным «Русбейс», Роскомнадзор за последнюю неделю направил в Google 47 запросов на удаление VPN-приложений из российского Google Play. Некоторые из сервисов использовали инфраструктуру Cloudflare. Информация об этих запросах доступна в базе данных Lumen , где публикуются запросы на удаление контента от регуляторов по всему миру. Как указано в документах, сопровождающих часть запросов, ведомство требует удаления в соответствии с федеральным законом № 149-ФЗ, поскольку приложения содержат «запрещённую информацию о способах обхода ограничений доступа» к ресурсам, заблокированным в РФ. 19 февраля 2025 года Cloudflare была принудительно внесена в реестр организаторов распространения информации (ОРИ) после двух вступивших в силу штрафов за отказ уведомить Роскомнадзор о начале деятельности в этом статусе. Компания предоставляет CDN-услуги, защиту от DDoS-атак, DNS-серверы и инструменты для безопасного доступа к ресурсам. Ранее, в ноябре 2024 года, Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) рекомендовал отказаться от использования Cloudflare. Причина — наличие инструментов обхода блокировок, включая TLS ECH (Encrypted Client Hello), который нарушает российское законодательство и блокируется на территории страны. Схожие действия предпринимаются и в отношении других платформ. В конце 2024 года компания Apple подтвердила организации «Репортеры без границ», что по требованию российских властей из App Store были удалены VPN-приложения и некоторые подкасты. Представитель Apple пояснил, что несоблюдение местных законов может привести к невозможности поддержки App Store в России. При этом, по его словам, правительство США призывает компании продолжать предоставлять услуги связи гражданам РФ для поддержки демократических свобод. Ранее проект GreatFire зафиксировал, что из российского сегмента App Store было удалено 98 VPN-приложений. Напомним, с 1 марта 2024 года в России действует запрет на популяризацию сервисов для обхода интернет-блокировок. Материалы, рекламирующие такие средства, подлежат блокировке.

Источник: https://www.securitylab.ru/news/557563.php

В онлайн-магазине расширений VSCode Marketplace обнаружены две вредоносные программы, маскировавшиеся под легитимные дополнения. Расширения распространяли тестовую версию программы-вымогателя и оставались незамеченными несколько месяцев. Расширения «ahban.shiba» и «ahban.cychelloworld» успели скачать соответственно 7 и 8 раз. Первое было опубликовано 17 февраля 2025 года, второе появилось в магазине ещё 27 октября 2024 года. Примечательно, что при добавлении на платформу дополнения сумели полностью обойти процедуры проверки безопасности. Исследование ReversingLabs показало, что оба расширения содержали команду PowerShell, которая загружала и запускала скрипт-вымогатель с удалённого сервера Amazon AWS. Зашифровывались лишь файлы в отдельной тестовой папке на рабочем столе пользователя, после чего на экране появлялось предупреждение с требованием оплаты в криптовалюте ShibaCoin. При этом злоумышленники не предусмотрели никаких подробных инструкций или записок с требованиями, характерных для полноценных атак программ-вымогателей. Несмотря на очевидную тестовую природу вредоносного кода, ситуация привела к критике в адрес Microsoft за низкий уровень контроля и безопасности при проверке расширений перед публикацией. В результате расследования Microsoft оперативно удалила оба дополнения, однако выяснилось, что дополнения могли быть удалены гораздо раньше, если бы компания оперативнее реагировала на уведомления от исследователей безопасности. В компании ExtensionTotal отметили, что 25 ноября 2024 года автоматический сканер предупредил Microsoft о подозрительной активности расширения «ahban.cychelloworld». В первоначальной версии расширения вредоносного кода не было, но во второй версии, загруженной 24 ноября, уже присутствовал зловред. Несмотря на предупреждение, Microsoft проигнорировала сообщение, и впоследствии было принято ещё 5 версий того же расширения, содержащих тот же самый вредоносный код. Специалисты объясняют отсутствие реакции Microsoft малым количеством загрузок расширений, из-за чего проверка не была приоритетной для компании. Однако подобная ситуация вызывает беспокойство: расширения долгое время могли скачивать и выполнять вредоносные сценарии с удалённого ресурса, не вызывая подозрений у систем безопасности.

Источник: https://www.securitylab.ru/news/557558.php

Недавняя атака на GitHub Action вновь подняла вопрос о безопасности цепочек поставок ПО и уязвимости CI/CD-конвейеров. Первоначально сообщалось, что было затронуто 23 000 проектов. Однако, детальный анализ ситуации показал, что реальные масштабы проблемы значительно меньше предварительных оценок. Специалисты выяснили, что лишь 5 416 репозиториев из 4 072 организаций содержали рабочие процессы, связанные с проблемным GitHub Action. Среди репозиториев были некоторые популярные проекты с 350 000 звезд и 63 000 форков, что первоначально вызывало опасения о возможных масштабах атаки. Однако по факту из всего множества репозиториев в критический 24-часовой период атаки с 14 по 15 марта 2025 года рабочие процессы с использованием опасного компонента запускались лишь в 614 случаях, что составляет около 11% от общего числа затронутых репозиториев. При этом значительная часть из них ограничилась не более чем 10 запусками, хотя в отдельных случаях зафиксировано свыше 50 запусков. Даже среди 614 активных репозиториев не все подверглись утечке данных. Только 218 репозиториев оказались уязвимы настолько, что в их логах действительно были зафиксированы секретные ключи и токены. Всего выявлено 72 различных типа секретных данных, большая часть из которых — временные токены доступа GitHub (GITHUB_TOKEN). Такие токены действуют только в момент исполнения рабочего процесса и истекают по завершении задания или через сутки, что существенно ограничивает их ценность для злоумышленников. Тем не менее, несмотря на относительно небольшой масштаб проблемы, последствия для затронутых репозиториев могут быть весьма серьёзными. Среди утёкших данных были обнаружены информация из DockerHub, npm и AWS. Именно эти данные представляют наиболее серьёзную угрозу, так как открывают возможности для дальнейших атак на цепочки поставок. Всем владельцам затронутых репозиториев уже направлены уведомления с рекомендациями срочно сменить скомпрометированные секреты и проверить свои системы на предмет подозрительной активности. Также было обращено внимание на необходимость следовать лучшим практикам безопасности, в частности, использовать точные хэши коммитов вместо изменяемых меток версий при указании зависимостей.

Источник: https://www.securitylab.ru/news/557559.php