Выступление Путина на ПМЭФ задержали на 2 часа из-за DDoS-атак

Выступление Путина на ПМЭФ задержали на 2 часа из-за DDoS-атак

Выступление Путина на ПМЭФ задержали на 2 часа из-за DDoS-атак

Владимира Путина ждали на петербургском форуме в 14:00. За 10 минут до начала пресс-секретарь президента сообщил, что выступление переносится на час. Причина — кибератаки, обрушившие аккредитационный центр.

"Со вчерашнего дня у нас начались очень массированные DDoS-атаки на интернет-сети и на систему аккредитации Питерского экономического форума, — заявил Дмитрий Пеков. — И вчера, и ночью держали, но сегодня, к сожалению, из-за интенсифицированных DDoS-атак была выведена из строя база участников к системе аккредитации и системе допуска”.

Мощные DDoS-атак начались в 7:30 утра по московскому времени. Как пишет Telegram-канал НЕЗЫГАРЬ, среди стран, из которых они исходят:

1. Англия

2. Украина

3. Польша

4. Литва 

5. Молдова

6. Румыния 

7. Чехия

DDoS-атаки сбили работу прохода участников по бейджам на пленарное заседание ПМЭФ. Дмитрий Песков заявил, что к 15:00 проблему решат, а в 15:10 Путин начнет выступление. На момент публикации новости трансляции все еще нет.

Юбилейный XXV Петербургский международный экономический форум проходит в Санкт-Петербурге с 15 по 18 июня. В этом году на нем обширная ИТ повестка.

Обновление: Выступление Владимира Путина на ПМЭФ началось в 15:40. 

Добавим, что спрос на DDoS-защиту в мае вырос на 120%. Больше других решениями интересуются банкиры и страховщики. Свежие цифры для Anti-Malware.ru привели в компании StormWall. Для анализа использовались данные клиентов сервиса. Эксперты StormWall сравнивали май 2021 и 2022 года. В этом году в StormWall из банковской сферы пришло на 83% клиентов больше, чем в прошлом, а из страховой отрасли — поток на 110% выше.

Количество DDoS-атак на ключевые индустрии в России продолжает расти, говорят эксперты. Специалисты StormWall прогнозирует, что в этом году их будет в 30 раз больше, чем в прошлом.

"Хакеры постоянно совершенствуют способы организации DDoS-атак, — говорит CEO StormWall Рамиль Хантимиров. — Если раньше атаки запускались с целью вымогательства или устранения конкурентов, то сейчас многие хакеры атакуют российские компании по политическим причинам”.

Подробнее о весенних DDoS-конструкциях — в июньском материале «Развенчиваем мифы: DDoS-атаки в первом квартале 2022 г. были аномально сильными».

Свой комментарий также дал Игорь Ляпунов, генеральный директор «РТК-Солар», чья команда отразила целый каскад DDoS-атак на онлайн-трансляцию ПМЭФ:

«Мы обеспечили эшелонированную киберзащиту ПМЭФ от разных векторов атак. Приоритетом было пресечение попыток хакеров повлиять на ключевые активности форума: трансляцию пленарной дискуссии, регистрацию гостей через систему контроля, обеспечение безопасного доступа в интернет на площадке (Wi-Fi).


Мы отразили целый каскад DDoS-атак на онлайн-трансляцию ПМЭФ – все они были направлены на уровень приложения и адаптированы под специфику работы ресурсов Росконгресса. Такая вредоносная активность велась с сотен тысяч IP-адресов. В пике атака достигала 50 тысяч запросов в секунду (для понимания: максимальная мощность DDoS с начала СВО составила 270 тысяч запросов и была направлена на очень объёмную и устойчивую инфраструктуру Госуслуг).

Первые рьяные попытки в ходе ПМЭФ хакеры предприняли прямо во время речи Президента России – буквально через полчаса с начала его выступления (соответствующий призыв появился и в одном из ТГ-каналов злоумышленников). Спустя 40 минут они убедились в безуспешности своих действий и стали перестраивать тактику нападения.

С этого момента мы отразили еще порядка 10-12 волн DDoS. Считаю, что система защиты и наша команда справились блестяще. Эффективность фильтрации вредоносного трафика составила свыше 99,6%, те есть наша многоуровневая очистка на каналах связи и в приложении позволяла сокращать число нелегитимных запросов условно с 30 тысяч в секунду до 120 в секунду.


Помимо этого, мы защищали инфраструктуры ПМЭФ от возможного деструктивного воздействия со стороны зараженных устройств подрядчиков, участников или гостей форума. В ходе совместной работы киберштаба мероприятия было выявлено несколько десятков таких вредоносных активностей, все они были своевременно заблокированы без возможности дальнейшего развития.


Защита ПМЭФ 2023 – это очередной этап нашего сотрудничества с Росконгрессом. Ранее, в 2022 году, мы защищали Восточный экономический форум (ВЭФ) и Международный форум по сохранению тигра. Все мероприятия прошли без негативного воздействия хакеров на инфраструктуры в зоне нашей ответственности».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru