Тнт актеры однажды в россии: Телепередача «Однажды в России. Спецдайджест» на канале «ТНТ ДАЛЬ-ТВ» , Хабаровск

Содержание

Телепередача «Однажды в России. Спецдайджест» на канале «ТНТ ДАЛЬ-ТВ» , Хабаровск

49-я серия

Коррумпированные чиновники, доктора и пациенты, путешественники и пожарные, да что там перечислять: представители всех мыслимых и немыслимых профессий, все слои и прослойки нашего многоуровневого общества — жители России от 0 до 100 лет. Все они собрались «Однажды в России» не для того, чтобы вспомнить о проблемах, а чтобы просто над ними хорошенько посмеяться.

+16

ТНТ ДАЛЬ-ТВ
Ошибка в расписании

Пятница 18:00

Однажды в России. Спецдайджест

49-я серия

Канал «ТНТ ДАЛЬ-ТВ»


В это время будет передача:

Ваше сообщение будет рассмотрено в ближайшее время.

Спасибо!

Коррумпированные чиновники, доктора и пациенты, путешественники и пожарные, да что там перечислять: представители всех мыслимых и немыслимых профессий, все слои и прослойки нашего многоуровневого общества — жители России от 0 до 100 лет. Все они собрались «Однажды в России» не для того, чтобы вспомнить о проблемах, а чтобы просто над ними хорошенько посмеяться.

Продолжительность

1 час (60 минут)

В ролях

Максим Киселев, Теймураз Тания, Екатерина Моргунова, Азамат Мусагалиев, Ольга Картункова, Александр Пташенчук, Давид Цаллаев, Денис Дорохов, Игорь Ласточкин

Продюсер

Вячеслав Дусмухаметов, Семен Слепаков, Артур Джанибекян

Оператор

Андрей Квардаков, Никита Иванов

Режиссер

Роман Новиков

Сценарист

Константин Сабиров, Евгений Перов, Арсений Мартынов

«В любом герое зритель узнает себя или соседа».

Как актеры шоу «Однажды в России» несут в массы правду жизни

Популярное шоу «Однажды в России» на ТНТ за пять лет собрало миллионную армию поклонников. Еще бы! Когда еще увидишь и посмеешься над тем, что происходит вокруг нас – дома, на работе и в стране в целом. Недавно артисты отправились в гастрольный тур по стране и 7 декабря прибудут в Ульяновск. Где юмористы находят поводы для шуток, какой случай стал самым грустным в истории проекта и есть ли реальные прототипы персонажей, читайте в эксклюзивном интервью ulpravda.ru.

Юмористическое телешоу «Однажды в России» впервые вышло на ТНТ 28 сентября 2014 года и насчитывает шесть полноценных сезонов. Каждая серия представляет собой сборник сатирических скетчей на остросоциальные и злободневные темы, близкие каждому жителю нашей страны. Среди героев чиновники, врачи, полицейские, банковские работники, начальники, певцы, актеры и т.д.

— А еще никаких авторитетов, запретных тем и цензуры, — говорится на сайте проекта. — Шоу «Однажды в России» честно рассказывает о наших российских реалиях, именно поэтому получается остро, реалистично и очень смешно. На две обычные российские беды — дураки и дороги — здесь приходится ещё минимум триста: кино, спорт, политика, шоу-бизнес… и так ещё 296 пунктов. Но герои «Однажды в России» не любят говорить о проблемах, а предпочитают над ними просто посмеяться. Шоу снимается практически с колес, поэтому горячие инфоповоды не успевают остыть и сразу попадают на ТНТ.

Основной костяк программы составляют актеры, которые задействованы в шоу со дня его основания. Сегодня это Ольга Картункова, Азамат Мусагалиев, Денис Дорохов, Екатерина Моргунова, Яна Кошкина, Давид Цаллаев, Михаил Стогниенко, Максим Киселев, Валерий Равдин, Тамби Масаев, Рустам Рептилоид, Заур Байцаев, Тимур Тания, Вячеслав Макаров и Александр Пташенчук. Главные звезды проекта приедут в наш город. На вопросы ulpravda.ru ответил один из актеров шоу Заур Байцаев.

— Приходится ли вам импровизировать, если что-то на сцене пошло не по сценарию?

— Да, и очень часто. Актер может сказать шутку не по сценарию или не в том месте. Тогда нам приходится выбираться из этой ситуации. И поскольку съемочный процесс идет, шутку можно переговорить. А что касается концертов, то импровизируем очень часто. Это даже весело. Зритель чувствует экспромт, и зачастую тот заходит даже лучше запланированного сюжета. Ведь в таком случае публика, по сути, становится соучастником происходящего. На глазах тех, кто сидит в зале, рождается юмор.

— Откуда вы черпаете темы и идеи скетчей?

— Название шоу говорит само за себя. Все скетчи, которые зритель видит по телевизору, могли однажды произойти в России — в Москве, провинции, да где угодно. В любом нашем персонаже зритель может узнать себя, соседа, соседку, попасть в ситуацию, в которую попадает герой. Поэтому «черпать» особенно не требуется. Все это происходит рядом, вокруг нас, а потому узнаваемо. К тому же смотрим телепередачи, которые на слуху у зрителей. Мы же стараемся эти программы делать максимально приближенными к оригиналу, но гиперболизируя и переиначивая сюжет для того, чтобы стало смешно. Кроме того, реагируем на актуальные события внутри России и под своим углом пытаемся взглянуть на них. Это немаловажно.

— И все же есть ли реальные прототипы ваших персонажей?

— Как таковых нет. Но, повторюсь, мы подсматриваем  манеру поведения, действия окружающих нас людей. Чтобы это получалось смешно, в ход идет гротеск. Нельзя взять и «списать» образ с нормального, реального человека — это же будет несмешно и неинтересно. Пытаемся высветить в персонажах дурость или пороки.

— Как вы относитесь к героям, которых играете? Узнаете в них себя?

— Они мне нравятся, иначе бы не играл их. Больше всего зрителям «Однажды в России» нравится мой персонаж Олег — тупой водитель. Олег максимально сильно тупит. Так, если ему говорят принести елку на Новый год, он приносит березу и будет доказывать всем, что это круто.  Надеюсь, что в жизни я не такой.

— Расскажите о самом грустном случае, который произошел с вами на гастролях.

— Это отмена гастролей. От действа, которое происходит на сцене, особенно на выезде, мы получаем огромное удовольствие, надеемся, что зритель тоже.

— 7 декабря вы выступаете в Ульяновске. Бывали в нашем городе раньше? Что о нем знаете интересного?

— Сразу вспоминаю, что Ленин родом из Ульяновска. А еще в этом городе всегда было мощное машиностроение. Мне приходилось бывать в вашем городе с гастролями 10 лет назад. Было классно, замечательный зритель. Будет интересно посмотреть, как изменился город за это время.

Фото: архив шоу «Однажды в России»

Телепередача «Однажды в России» на канале «ТНТ» , Владивосток

205-я серия

Шоу «Однажды в России» честно рассказывает о наших российских реалиях, именно поэтому получается остро, реалистично и очень смешно. На две обычные российские беды — дураки и дороги — здесь приходится ещё минимум триста: кино, спорт, политика, шоу-бизнес.

.. и так ещё 296 пунктов. Но герои «Однажды в России» не любят говорить о проблемах, а предпочитают над ними просто посмеяться.

+16

ТНТ
Ошибка в расписании

Пятница 20:00

Однажды в России

205-я серия

Канал «ТНТ»


В это время будет передача:

Ваше сообщение будет рассмотрено в ближайшее время. Спасибо!

Шоу «Однажды в России» честно рассказывает о наших российских реалиях, именно поэтому получается остро, реалистично и очень смешно. На две обычные российские беды — дураки и дороги — здесь приходится ещё минимум триста: кино, спорт, политика, шоу-бизнес.

.. и так ещё 296 пунктов. Но герои «Однажды в России» не любят говорить о проблемах, а предпочитают над ними просто посмеяться.

Продолжительность

1 час (60 минут)

В ролях

Максим Киселев, Теймураз Тания, Екатерина Моргунова, Азамат Мусагалиев, Ольга Картункова, Александр Пташенчук, Давид Цаллаев, Денис Дорохов, Игорь Ласточкин

Продюсер

Вячеслав Дусмухаметов, Семен Слепаков, Артур Джанибекян

Оператор

Андрей Квардаков, Никита Иванов

Режиссер

Роман Новиков

Сценарист

Константин Сабиров, Евгений Перов, Арсений Мартынов

Производство

Comedy Club Production

Россия

2021

«Однажды в России» — когда смотреть по ТВ — Яндекс.

Телепрограмма

Коррумпированные чиновники, доктора и пациенты, путешественники и пожарные, да что там перечислять: представители всех мыслимых и немыслимых профессий, все слои и прослойки нашего многоуровневого общества — жители России от 0 до 100 лет. Все они собрались «Однажды в России» не для того, чтобы вспомнить о проблемах, а чтобы просто над ними хорошенько посмеяться.

Подробная информация.

Вячеслав Дусмухаметов, создатель и продюсер:

Наше шоу называется «Однажды в России». А так как в России жить не очень легко, то и легким жанром это не назовешь. В нашей стране есть проблемы, и мы считаем, что об этом нужно говорить. Мы не встали на баррикады — мы просто веселимся, юмористическим скальпелем срываем социальные нарывы. Мы обращаем внимание народа на то, что нас окружает. Хотя это все равно что кричать: «Смотрите, дождь пошел!» Все и так это знают! Просто мы это утрируем, и поэтому становится весело.

Если кто-нибудь узнает себя в наших героях, то я бы на его месте об этом никому не рассказывал. Я же этому только порадуюсь: значит, мы все сделали правильно и сюжет выбран действительно из реальной жизни.

В юморе самая сильная шутка — это шутка конъюнктурная. Не абстрактная, а про то, что происходит в эту секунду. Кто-то называет это смелостью, а кто-то конъюнктурным юмором. Когда ты смеешься над проблемой, переносить ее становится чуть легче.

Мы попытались сделать что-то вроде скетч-шоу на зрителя. Формат настолько сложный, что двумя словами его не описать. Слишком много элементов: театральное действие, которое происходит здесь и сейчас, одним дублем, не переснимается и не повторяется. Отрепетировано таким образом, что камера снимает все прямо на сцене, с первого раза: от деталей до крупных перестановок.

То, что происходит в шоу, — не совсем скетчи. Скетч — это шутка, а у нас — целые зарисовки. Поэтому это скорее мини-фильмы, номера. Пока снимается ведущий и зрители, идет телевизионная съемка на обычную телекамеру. А когда начинается сет с номером — используются киносвет и кинокамеры. В результате получается совершенно другое качество. Интересно, что декорации на сцене меняются с помощью ручной тяги. При этом наверху меняется и ферма света. Под каждым сетом с декорациями — 400 маленьких колес! Сложнейший механизм. Пришлось очень долго работать, чтобы достичь нужного эффекта.

Но самое главное — не техника. Главное, что мы не обманываем зрителя и не держим его за дурака.

Александр Пташенчук, актер Однажды в России, дал смелое интервью

Александр Пташенчук (31) начал шутить «профессионально» еще в школе, но не сразу понял, что обычная самодеятельность может стать пропуском в шоу-бизнес. Когда команда «Дежа Вю» из города Нерюнгри начала набирать популярность, он уехал на заработки в Москву, но и там КВН не отпустил. И вот, Александр – ведущий актер шоу «Однажды в России» на телеканале ТНТ. Саша рассказал PEOPLETALK, как 12 лет в КВН сделали его одним из самых востребованных юмористов на эстраде.


Я родился в поселке Веселиново Николаевской области, это под Одессой, на Украине. Когда мне исполнилось два года, мы с родителями переехали в Якутию, в город Нерюнгри. Там я ходил в детский сад и окончил школу. В девятом классе начал играть в КВН (старшеклассники пригласили в команду).

Я сначала не хотел идти, но потом понял: не отличаясь примерным поведением, я срывал уроки, но всегда выходил сухим из воды благодаря своей роскошной улыбке (улыбается) и чувству юмора, поэтому решил – нужно этим пользоваться.

Первый раз мы выиграли в школьной лиге с шутками команд «Уральские пельмени», «Уездный город», «Утомленные солнцем», взятыми из Интернета. Потом состязались между школами и заняли первое место уже со своими шутками. Тогда я первый раз выиграл звание «Мистер КВН».

Одиннадцатый класс стал в какой-то степени поворотным в моей «смешной» судьбе – меня заметила руководитель движения КВН города Нерюнгри и одновременно режиссер команды «Дежа Вю» Людмила Владимировна Березовская и пригласила поучаствовать в межвузовских играх.

В этом же году пришло время задуматься, в какой институт поступать. Родители начали наседать, что юморист − не профессия и с будущим надо определяться. А они тогда работали в саха-корейском предприятии по добыче угля, и, собственно, туда бы мне и дорога. Поступил в Алданский техникум. Я платил за обучение, но понимал, что ни дня не буду работать по специальности. Такой парадокс. Наверное, все так и должно было случиться, потому что именно на первом курсе меня пригласили попробовать свои силы в сборной города по КВН. А это была очень крутая компания. Попасть туда было невероятно сложно. Надя Ангарская (33), Женя Бороденко (33) (вы их знаете как актеров Comedy Woman) и другие талантливые ребята уже играли там. Для меня попасть туда – что-то вообще за гранью. Сначала был фестиваль в Якутске. Мы тогда выиграли, взяли Гран-при и чуть ли не все призы. Это придало уверенности, и на одной из последующих репетиций я раскрепостился, начал шутить, дурачиться – так и закрепился в команде. Потом была Дальневосточная лига во Владивостоке. Там дошли до полуфинала. Следом знаменитый Сочинский фестиваль.

После Сочи случилась лига Азии и полуфинал, вновь Сочи и Красноярск. Там мы обратились за помощью к команде КВН «Максимум» из Томска. С ними работали два сезона: они были нашими авторами. После этого нас отправили в лигу Сибирь. Но у меня в тот момент появилась необходимость зарабатывать деньги, и я уехал с другом в Москву. Поступил на заочное отделение Московского государственного университета – факультет сервиса и туризма. И ушел из КВН.

Судьба мне улыбнулась: устроился барменом в фитнес-клуб «ФитнесМания». Время от времени созванивались с Людмилой Березовской, руководителем команды «Дежа Вю». Наши беседы каждый раз заканчивались предложением вернуться в КВН. А потом наступило время массовой миграции команды в Москву. Большая часть из наших поступила в Московский государственный университет культуры и искусств. Я все еще работал, так что они без меня уехали на очередной фестиваль в Сочи, круто выступили, и их взяли в Первую лигу. После этого внутри меня громко щелкнуло творческое начало, и я вернулся. В Первой лиге мы заняли второе место и опять приехали в Сочи уже с приличным багажом юмора. Выступление было очень сильным, и нас сразу взяли в Высшую лигу, минуя «Премьерку».

Естественно, родной город шумит – местная команда на Первом канале! После фестиваля мы поехали в Нерюнгри с сольным концертом, потому что понимали: город ждет своих героев. И герои шесть суток в плацкартном вагоне ехали на родину. (Смеется.) Денег-то у нас, несмотря на победу, больше не стало.

Вернувшись в Москву, три недели работал без выходных, отрабатывал пропуски. А потом меня тожественно вызвали к руководству и попросили определиться, работа или юмор. И юмор победил. Я перевелся к своим ребятам в тот же институт, переехал в общагу, в комнату к ним же. Мы играли в Высшей лиге. В этот период рождается большинство сильных образов, номеров: «Лена-Игорь», «Заика». Но за полуфинал мы так и не переступили.

За день до фестиваля «Голосящий КиВиН» в Юрмале ко мне подошел Вячеслав Дусмухаметов (38) (продюсер Comedy Club Production, автор шоу «Однажды в России». – Прим. ред.), рассказал о создании нового шоу с участием Оли Картунковой (38), Азамата Мусагалиева (32), Дениса Дорохова (29), Игоря Ласточкина (29), Максима Киселева (35) и пригласил меня. Безусловно, это был один из самых важных и радостных дней в моей жизни! Я понял: 12 лет в юморе прошли не зря. Мы много разговаривали об «Однажды в России», который, к слову, тогда назывался «Майонез». Записали пилот и несколько месяцев провели в режиме ожидания – подойдет проект для ТНТ или нет.

Сейчас снимаем третий сезон – новые образы, новые локации, новые номера. Больший упор делаем на молодежь и актуальные для нее темы – хипстеры, блогеры, барбершопы, шоу-румы. И с каждым разом все лучше, ярче и смешнее. Боюсь представить, что будет дальше! (Улыбается.) Время от времени я, как и все мои коллеги, веду мероприятия. Часто вне России: Турция, Греция, Черногория, Кипр, даже на Ямайку однажды ездил.

Мне, конечно, хотелось бы попробовать себя в чем-то более серьезном. В кино, например. Мы с Денисом Дороховым учились в школе драмы Германа Сидакова (55) в прошлом году. Тогда я четко определил для себя теоретическую и практическую разницу между эстрадой и театром. На прослушивании был конкурс в три этапа, что нас тоже подкупило: попасть туда было непросто, около 15 человек на место. Мы с Денисом успешно поступили, и я вновь стал студентом. График был очень плотным, ежедневно, с утра до вечера, около полугода. Обучение длится девять месяцев, последние три из которых отведены для подготовки к финальным экзаменам. Мы действительно глубоко окунулись в драму, но в самый ответственный момент, когда у нас началась подготовка к финальным экзаменам, стартовали съемки нового сезона «Однажды в России». Это отнимало у нас все время, так что пришлось отказаться от диплома.

Я стараюсь вставать в 9−10 утра, есть овсяную кашу, принимать контрастный душ и ехать на работу. Конечно, с хорошим настроением!

Репетиция занимает весь день. После, бывает, еду на деловые встречи, дружеские посиделки. Но стараюсь не засиживаться допоздна. Потом однозначно домой, пью чай со свежим хлебом и вареньем (это привычка с детства), включаю хороший сериал и благополучно засыпаю. Люблю и приветствую спорт! Периодически по субботам (когда получается) играю с друзьями в футбол. Но вот для чего-то более серьезного есть все, кроме самого главного – свободного времени!

Мне 31 год, и я не женат. Не знаю почему. Возможно, у меня завышенные требования к будущей супруге. Знаешь, я хочу любить свою жену больше, чем своих детей: я знаю, так бывает. Наверное, я даже хочу венчаться. Но спроси меня, что такое любовь, и я не отвечу. Мне всегда нравились невысокие брюнетки слегка восточной внешности. Внутренний мир и интеллект, конечно, играют большую роль, но внешнее обаяние и фигура обязаны присутствовать!

Девушка должна быть мудрая.Та, с которой хочется быть рядом на протяжении 100 лет. Удержать мужчину – самое сложное. Когда найдется та, с которой мне захочется проводить больше времени, чем с друзьями,– пожалуй, ее я и поведу в загс.

Нечасто бываю в заведениях, особенно в холодное время года. Иногда меня можно застать за тарелкой супа в кафе «Суп» на Брестской. Иногда в районе Патриарших прудов. Летом часто прогуливаюсь в «Музеоне», зимой – на катке в парке Горького. А вообще, лучше приезжайте в «Главкино» к нам на съемки: пообщаемся, погуляем вокруг павильона, попьем чай из пластиковых стаканчиков. (Смеется.)

 

«Однажды в России», каждое воскресенье в 21:00 на ТНТ.



Ты можешь написать нашему холостяку! Присылай письмо на [email protected] и в теме обязательно укажи название рубрики и имя героя! Все письма мы обязательно передадим!

Георгий Кардава

Сериал Однажды в России новости ТНТ новый сезон 2016

19 апреля 2016, 07:19

Сатирический сериал «Однажды в России» вернулся на ТНТ. В новом сезоне в шоу изменился (и пополнился) актерский состав, появилась постоянная музыкальная рубрика. «Оказывается, они еще и поют и не хуже наших звезд эстрады, во всяком случае, не менее смешно»,— с удивлением и радостью отмечают создатели острых юмористических скетчей о нашей родине.


Новые серии этого сезона «Однажды в России» будут выходить по воскресеньям в 21.00. В шоу дебютировали два ярких актера Михаил Стогниенко и Тимур Бабъяк. Первый — «мужественный» — будет органично смотреться, как в образе бандита, так и в образе полицейского. Второй — наоборот — покажется зрителям в образах вредных, дотошных и не очень приятных персонажей, замороченных на современных тенденциях и моде.

«В новом сезоне мы расширили спектр образов для каждого актера: от мэра до велосипедиста. А еще появится музыкальный бэнд, который будет начинать и завершать программу. В финале актеры будут исполнять композицию собственного сочинения, что-то вроде песни-истории. Это будет весело и стильно», — подчеркнул креативный продюсер «Однажды в России» Давид Цаллаев.

ОДНАЖДЫ НА ЛАВОЧКЕ У ПОДЪЕЗДА
«Я в гугле набрал „напиться вдрызг“ и гугл мэпс привел меня прямо к этой лавочке…»

Создатели ОВР уверены, что запретных тем для скетчей нет. Главное, «все сделать в правильном русле и никого не обидеть». «Нерадивый чиновник, увидев номер про себя, уже не будет претворять в жизнь то, что мы показываем. Тем самым мы уберегаем его от глупости. Но мы не высмеиваем конкретного человека», — объясняет актер Азамат Мусагалиев. Он считает, что юмор поможет изменить глупость пусть не на федеральном, но хотя бы региональном уровне.

ОДНАЖДЫ ВО ВРЕМЯ ИНОПЛАНЕТНОГО ВТОРЖЕНИЯ
— Россия это страна, которая занимает одну шестую часть суши планеты Земля.
— То есть мы начнём захватывать планету с самой богатой страны?
— Нет, мы начнём захватывать с России, ты чем слушаешь?

«Мы любим наш проект, в том числе, и за то, что здесь все по-настоящему. У нас нет ничего искусственного, все реальное: еда настоящая, стулья настоящие, бумага настоящая, даже ксивы настоящие, с фотографиями и подписями. Если события скетча развиваются в лесу, то это будет действительно лес», — рассказывает о закулисье съемок актриса Ольга Картункова.

ОДНАЖДЫ В КИНОТЕАТРЕ
— Я Дарт Вейдер.
— Нет, ты идиот.
— В прошлом я Эникен Скайвокер.
— В прошлом ты будущий идиот.

Шутки в теле от Сергея Ашарина: «Однажды в России»

В шоу Ашарин оценил лишь Картункову

Фото: Кадр из программы

Есть такая профессия – родину защищать. Это офицер. Есть такая профессия – уродину зачищать. Это мастер фотошопа. А есть профессия – трудоустраивать бывших участников КВН. И продюсеры канала ТНТ овладели ею виртуозно. Вот уже который год юмористические программы телекомпании пополняются веселыми-находчивыми лицами разной степени узнаваемости.

Вот и в этот раз на ТНТ ПОПОлнение («капс лок» на буквах «ПОПО» нажат не потому, что я лицом на клавиатуру упал, а ради усиления эффекта). Потому что шоу – так себе.

Итак, юмористическая программа «Однажды в России». Набор коротких театрализованных скетчей на злободневные темы. Ну, что я могу вам сказать? Передача хорошая. Очень удобная. Я во время просмотра косметическую маску на лице держал, так она по окончании программы сползла с меня сама. Не выдержала. Зато сползла, как литая. Ни единого отслоения в зоне активной мимики. Я теперь, если эту маску гуашью раскрасить, на Хеллоуин кого угодно могу сыграть.

Возможно, я пишу слишком предвзято. Но юмор – он ведь как гигиенический пакет в самолете, сугубо индивидуальная вещь. Мне не понравилось. Проект со скетчами в дорогих декорациях показался вторичным, шутки не смешными, а бывшие кавээнщики абсолютно неяркими. И дело не в игре веселых и находчивых, а в тексте, который произносят актеры. Такое ощущение, что сценки для них готовят по принципу «в любом непонятном случае говори слово «лопата» и закатывай глаза».

Порадовала разве что прима команды «Городъ Пятигорскъ», заслуженная «ой, бабоньки, давайте выпьем и поплачем» России Ольга Картункова.

В общем, резюме такое: однажды в России появилось не самое яркое шоу канала ТНТ. Бывает. Ушел маску делать. Мне в ней еще «Кривое зеркало» пересматривать.

 

Действительно «Очень странные дела» Андрея Ивченко

После двух сезонов поклонники популярного сериала Netflix «Очень странные дела» привыкли к довольно странным вещам — будь то угроза существ из другого измерения или юная девушка с психокинетическими способностями.

Но мало кто ожидал, что в третьем сезоне, вышедшем 4 июля, на город Хокинс, штат Индиана, обрушится обширный русский заговор.

В начале нового сезона зрители узнают о секретной российской лаборатории, построенной под новым торговым центром Хокинса, где ученые работают над тем, чтобы открыть врата в Изнанку и выпустить ее ужасы в реальный мир.

Вскоре двое главных героев шоу, Стив и Дастин, переводят русские радиопередачи с помощью Робина, напарника Стива по приготовлению мороженого с редкими способностями к языкам. Код, который они расшифровывают, отправляет их на задание выяснить, что на самом деле замышляют «злые русские».

Андрей Ивченко, актер советского происхождения, который сейчас живет в США, подписался на актерский состав «Очень странных дел» на роль Григория, русского киллера с холодным, машинным поведением и ужасающей боевой доблестью.Когда он не заключает сомнительные сделки с землей для российской операции с мэром Хокинса, Григорий — смертоносный убийца, который не остановится ни перед чем, чтобы помешать главным героям шоу узнать правду о деятельности русских.

The Moscow Times поговорила с Ивченко о Григории, отдавая дань уважения Терминатору и играя «злого русского» для преимущественно американской аудитории.

(Ответы были отредактированы для ясности и длины.)

Для наших читателей, которые не смотрят сериал, насколько странными становятся события в этом сезоне?

Честно говоря, очень быстро все становится очень странным. Не хочу давать спойлеры тем, кто еще не смотрел.

Андрей Ивченко Бен Коуп

Этот сезон играет на страхе американцев времен холодной войны перед русскими в 1980-х годах. Как и многие тенденции того периода, холодная война вернулась в поп-культуру в таких шоу, как «Американцы». Каково было изображать русского для преимущественно американской аудитории?

Это было здорово! Да, тот период вернулся в телевизионные и кинопроекты.Даффер [Братья, шоураннеры] включили много [отсылок к] фильмам 80-х — а в то время тема холодной войны была очень популярна в Голливуде. Прототипом моего персонажа был Терминатор Арнольда Шварценеггера, но братья Даффер доверили мне сделать его своим. Было много работы, но и очень весело изображать Григория.

Вы изучали эти фильмы перед съемками, чтобы понять манеры Шварценеггера в роли Терминатора?

Мне не пришлось ничего изучать о Терминаторе Шварценеггера, потому что я смотрел этот фильм столько раз, что знаю персонажа Терминатора как свои пять пальцев. Я даже не думал об этом во время съемок, это пришло само собой.

Вы родом из Советской Украины, а сейчас живете в США. Вы выросли, говоря по-русски, и если нет, было ли сложно избавиться от настоящего русского акцента?

Как и все люди, которые родились и выросли в Советском Союзе, я вырос, говоря по-русски, и в сериале у меня есть свой естественный акцент.

Вы смотрели шоу перед прослушиванием на роль? Что привлекло вас в проекте?

Я был фанатом сериала с первого сезона и всегда рад, когда выходит новый сезон.Что вас не привлекает в этом проекте? От сюжета до периода времени, до актерского состава, с которым я работал, до создателей… все в том, чтобы быть частью этого проекта, было воплощением мечты.

У тебя есть любимые сюжеты со съемок?

Пока Дэвид [Харбор, который играет шерифа Хоппера] и я снимали сцену драки в подвале, Вайнона [Райдер] собиралась бросить пистолет Дэвиду, но вместо этого, когда она бросила его, Дэвид не поймал его, и он выскользнул под ногу, чего не планировалось. Но на камеру это выглядело так круто, что в итоге они сохранили этот дубль и использовали его для финальной версии.

Вы сами выполняли трюки? Насколько сложно было снимать ваши боевые сцены?

Большинство боевых сцен я делал сам, но есть части боя, которые требовали от меня дублера.Снимать эти сцены было очень тяжело физически, долгие часы и много дублей. После этих сцен мое тело было черно-синим, но в финальной версии эти бои выглядят феноменально.

Какой была реакция и внимание фанатов? Вас узнают на улице?

Реакция фанатов и внимание в социальных сетях ошеломляющие, но очень позитивные и обнадеживающие. Люди узнают меня на улице и просят сфотографироваться или расклеить плакаты с автографами. Я только что вернулся с Comic-Con в Сан-Диего, и это было немного безумно, но захватывающе. Очень приятно видеть, как поддерживали фанаты.

Как вы относитесь к тому, чем все закончилось для Григория? Вы знали о его судьбе до того, как начали сниматься, или это стало неожиданностью?

Лично я бы хотел, чтобы Григорий остался жив и продолжил развлекать публику в 4 сезоне, но решать не мне. Как правило, плохому парню не суждено остаться в живых, поэтому его судьба не стала для меня неожиданностью.Однако я не знал о его окончательной судьбе примерно до середины съемок.

Учитывая напряженную ситуацию между США и Россией, чувствуете ли вы себя послом России или Украины?

Честно говоря, я не чувствую себя послом ни одной из этих стран. Я давно уехал из Украины, и США теперь моя страна. Но несмотря на то, какая сейчас ситуация на политической арене, люди всегда найдут общий язык.

90 000 российских кибератак, спонсируемых государством, нацелены на проверенные сети оборонных подрядчиков, чтобы получить конфиденциальную информацию U. S.S. Оборонная информация и технологии

Резюме

Действия по защите от вредоносной киберактивности, спонсируемой российским государством:
• Принудительная многофакторная аутентификация.
• Использовать надежные уникальные пароли.
• Включить единые журналы аудита M365 .
• Внедрить средства обнаружения конечных точек и реагирования на них.

По крайней мере, с января 2020 года по февраль 2022 года Федеральное бюро расследований (ФБР), Агентство национальной безопасности (АНБ) и Агентство кибербезопасности и безопасности инфраструктуры (CISA) наблюдали регулярные нападения на U.С. очистил оборонных подрядчиков (CDC) от российских кибератак, спонсируемых государством. Субъекты нацелились как на крупные, так и на небольшие CDC и субподрядчиков с различными уровнями протоколов и ресурсов кибербезопасности. Эти CDC поддерживают контракты для Министерства обороны США (DoD) и разведывательного сообщества в следующих областях:

  • Командование, управление, связь и боевые системы;
  • Разведка, наблюдение, рекогносцировка и наведение на цель;
  • Разработка оружия и ракет;
  • Проектирование транспортных средств и самолетов; и
  • Разработка программного обеспечения, анализ данных, компьютеры и логистика.

Исторически спонсируемые российским государством киберпреступники использовали распространенные, но эффективные тактики для получения доступа к целевым сетям, включая фишинг, сбор учетных данных, методы грубой силы/распыления паролей и использование известных уязвимостей в учетных записях и сетях со слабой защитой. Эти субъекты используют простые пароли, неисправленные системы и ничего не подозревающих сотрудников, чтобы получить первоначальный доступ, прежде чем перемещаться по сети в горизонтальном направлении, чтобы обеспечить постоянство и эксфильтрацию данных.

Во многих попытках компрометации эти злоумышленники использовали аналогичную тактику для получения доступа к корпоративным и облачным сетям, отдавая приоритет своим усилиям против широко используемой среды Microsoft 365 (M365). Злоумышленники часто сохраняют устойчивость, используя законные учетные данные и различные вредоносные программы при краже электронной почты и данных.

Эти продолжающиеся вторжения позволили субъектам получить конфиденциальную, несекретную информацию, а также технологии, принадлежащие CDC и контролируемые экспортом. Полученная информация дает важную информацию о сроках разработки и развертывания платформ вооружения США, технических характеристиках транспортных средств и планах в отношении инфраструктуры связи и информационных технологий. Получая закрытые внутренние документы и сообщения электронной почты, противники могут корректировать свои собственные военные планы и приоритеты, ускорять усилия по развитию технологий, информировать иностранных политиков о намерениях США и нацеливаться на потенциальные источники вербовки. Учитывая конфиденциальность информации, широко доступной в несекретных сетях CDC, ФБР, АНБ и CISA ожидают, что спонсируемые российским государством киберсубъекты будут продолжать атаковать CDC для США.Информация о защите С. в ближайшее время. Эти агентства призывают все Центры по контролю и профилактике заболеваний (CDC) применять рекомендуемые меры по смягчению последствий, указанные в этом бюллетене, независимо от наличия признаков компрометации.

Дополнительную информацию о кибер-деятельности, спонсируемой российским государством, см. на веб-странице CISA «Обзор киберугроз в России и рекомендации».

Нажмите здесь, чтобы открыть PDF-версию этого отчета.

Сведения об угрозе

Целевые отрасли и предполагаемый мотив

спонсируемых государством кибератак из России нацелились на У.S. CDC как минимум с января 2020 года по февраль 2022 года. Субъекты используют доступ к сетям CDC для получения конфиденциальных данных о оборонных и разведывательных программах и возможностях США. Скомпрометированные организации включали CDC, поддерживающие армию США, ВВС США, ВМС США, Космические силы США, а также программы Министерства обороны и разведки.

В течение этого двухлетнего периода эти субъекты сохраняли постоянный доступ к нескольким сетям CDC, в некоторых случаях в течение как минимум шести месяцев. В случаях, когда субъекты успешно получали доступ, ФБР, АНБ и CISA отмечали регулярную и повторяющуюся утечку электронных писем и данных.Например, во время компрометации в 2021 году злоумышленники украли сотни документов, связанных с продуктами компании, отношениями с другими странами, внутренними кадровыми и юридическими вопросами.

Благодаря этим вторжениям злоумышленники получили несекретную информацию, принадлежащую CDC и контролируемую экспортом. Эта кража позволила участникам получить представление о сроках разработки и развертывания платформ вооружения США, планах инфраструктуры связи и конкретных технологиях, используемых США.С. правительство и военные. Хотя многие контракты и описания находятся в открытом доступе, разработка программ и внутренние коммуникации компании остаются конфиденциальными. Несекретные электронные письма сотрудников или государственных заказчиков часто содержат конфиденциальную информацию о технологических и научных исследованиях, в дополнение к обновлениям программ и статусам финансирования. См. рисунки 1 и 2 для получения информации о целевых клиентах, отраслях и информации.

 

Рис. 1.Целевые отрасли

 

Рисунок 2. Эксфильтрованная информация

 
Действия актера угрозы

Примечание: В этом бюллетене используется инфраструктура MITRE ATT&CK® для предприятий, версия 10. См. ATT&CK для предприятий, чтобы узнать обо всех упомянутых тактиках и методах злоумышленников. См. в разделе «Тактика, методы и процедуры» (TTP) таблицу активности субъектов угроз, сопоставленную с тактиками и методами MITRE ATT&CK.

Первоначальный доступ

Спонсируемые государством кибер-субъекты из России используют методы грубой силы, целевой фишинг, сбор учетных данных и известные уязвимости, чтобы получить первоначальный доступ к сетям CDC.

  • Злоумышленники используют методы грубой силы [T1110] для идентификации действительных учетных данных [T1589.001] для учетных записей домена и M365. После получения учетных данных домена субъекты используют их для получения первоначального доступа к сетям. Примечание: Для получения дополнительной информации см. совместные рекомендации АНБ, ФБР и CISA по кибербезопасности: российское ГРУ проводит глобальную кампанию грубой силы для компрометации корпоративных и облачных сред.
  • Злоумышленники рассылают фишинговые электронные письма со ссылками на вредоносные домены [T1566.002] и используют общедоступные службы сокращения URL-адресов для маскировки ссылки [T1027]. Встраивание сокращенных URL-адресов вместо контролируемых злоумышленниками доменов — это метод запутывания, предназначенный для обхода инструментов сканирования на вирусы и спам. Этот метод часто способствует ложной легитимности получателя электронной почты, увеличивая вероятность того, что жертва нажмет на ссылку.
  • Злоумышленники используют собранные учетные данные в сочетании с известными уязвимостями — например, CVE-2020-0688 и CVE-2020-17144 — в общедоступных приложениях [T1078, T1190], таких как виртуальные частные сети (VPN), для эскалации привилегии и получить удаленное выполнение кода (RCE) для открытых приложений.[1] Кроме того, злоумышленники использовали CVE-2018-13379 в FortiClient для получения учетных данных для доступа к сетям.
  • По мере того, как центры по контролю и профилактике заболеваний находят и устраняют известные уязвимости в своих сетях, субъекты меняют свое мастерство в поисках новых средств доступа. Эта деятельность требует от CDC постоянного наблюдения за уязвимостями программного обеспечения и устаревшими конфигурациями безопасности, особенно в системах, подключенных к Интернету.
Доступ к учетным данным  

Получив доступ к сети, злоумышленники сопоставляют Active Directory (AD) и подключаются к контроллерам домена, из которых они извлекают учетные данные и экспортируют копии базы данных AD ntds.дит [Т1003.003]. Во многих случаях злоумышленники использовали Mimikatz для сброса учетных данных администратора с контроллеров домена.

Коллекция

Используя скомпрометированные учетные данные M365, включая глобальные учетные записи администратора, злоумышленники могут получить доступ к ресурсам M365, включая страницы SharePoint [T1213.002], профили пользователей и электронные письма пользователей [T1114.002].

Командование и управление

Злоумышленники обычно используют виртуальные частные серверы (VPS) в качестве зашифрованного прокси-сервера. Злоумышленники используют VPS, а также устройства малого и домашнего офиса (SOHO) в качестве операционных узлов, чтобы избежать обнаружения [T1090.003].

Постоянство

Во многих случаях злоумышленники сохраняли постоянный доступ в течение как минимум шести месяцев. Хотя субъекты использовали различные вредоносные программы для обеспечения устойчивости, ФБР, АНБ и CISA также наблюдали вторжения, не основанные на вредоносных программах или других механизмах сохранения. В этих случаях злоумышленники, вероятно, полагались на законные учетные данные для сохранения [T1078], что позволяло им при необходимости переключаться на другие учетные записи для сохранения доступа к скомпрометированным средам.

Тактика, методы и процедуры

В следующей таблице наблюдаемая киберактивность, спонсируемая государством, сопоставляется с инфраструктурой MITRE ATT&CK for Enterprise. Несколько методов, перечисленных в таблице, основаны на наблюдаемых процедурах в контекстуальном порядке. Поэтому некоторые из тактик и приемов, перечисленных в соответствующих столбцах, появляются более одного раза. См. Приложение A для функциональной разбивки TTP. Примечание. для конкретных мер противодействия, связанных с каждым методом ATT&CK, см. раздел «Смягчение рисков для предприятий» и MITRE D3FEND ™.
 

Таблица 1: Наблюдаемые тактики, методы и процедуры (TTP)

Тактика Техника Процедура

Разведка [TA0043]

Доступ к учетным данным [TA0006]

Сбор информации о личности жертвы: учетные данные [T1589.001]

Грубая сила [T1110]

Злоумышленники использовали грубую силу для идентификации действительных учетных данных для домена и учетных записей M365. После получения учетных данных домена субъекты использовали их для получения первоначального доступа.
Начальный доступ [TA0001] Внешние удаленные службы [T1133] Злоумышленники продолжают исследовать уязвимости в устройствах FortiGate VPN от Fortinet, проводя атаки методом грубой силы и используя CVE-2018-13379 для получения учетных данных для доступа к сетям жертв. [2]

Первоначальный доступ [TA0001]

Повышение привилегий [TA0004]

Действительные учетные записи [T1078]

Использование общедоступного приложения [T1190]

Злоумышленники использовали учетные данные в сочетании с известными уязвимостями в общедоступных приложениях, таких как виртуальные частные сети (VPN) — CVE-2020-0688 и CVE-2020-17144 — для повышения привилегий и получения удаленного выполнения кода (RCE) на открытые приложения. [3]

Первоначальный доступ [TA0001]


Уклонение от защиты [TA0005]

Фишинг: Ссылка для целевого фишинга [T1566.002]

Запутанные файлы или информация [T1027]

Злоумышленники рассылали фишинговые электронные письма, используя общедоступные службы сокращения URL-адресов. Встраивание сокращенных URL-адресов вместо контролируемого злоумышленником домена — это метод запутывания, предназначенный для обхода инструментов сканирования на вирусы и спам.Этот метод часто способствует ложной легитимности получателя электронной почты и тем самым увеличивает вероятность того, что жертва щелкнет ссылку.

Первоначальный доступ [TA0001]


Доступ к учетным данным [TA0006]

Сброс учетных данных ОС: NTDS [T1003.003]

Действительные учетные записи: учетные записи домена [T1078. 002]

Злоумышленники вошли на VPN-сервер жертвы и подключились к контроллерам домена, с которых они извлекли учетные данные и экспортировали копии базы данных AD ntds. .

Первоначальный доступ [TA0001]

Повышение привилегий [TA0004]

Коллекция [TA0009]

Действительные учетные записи: облачные учетные записи [T1078.004]

Данные из информационных хранилищ: SharePoint [T1213.002]

В одном случае участники использовали действительные учетные данные глобальной учетной записи администратора в клиенте M365, чтобы войти на административный портал и изменить разрешения существующего корпоративного приложения, чтобы предоставить доступ для чтения ко всем страницам SharePoint в среде, а также пользователю клиента. профили и почтовые ящики.

Первоначальный доступ [TA0001]

Коллекция [TA0009]

Действительные учетные записи: учетные записи домена [T1078. 002]

Коллекция электронной почты [T1114]

В одном случае злоумышленники использовали законные учетные данные для эксфильтрации электронных писем из корпоративной системы электронной почты жертвы.

Постоянство [TA0003]

Боковое перемещение [TA0008]

Действительные учетные записи [T1078] Субъекты угрозы использовали действительные учетные записи для сохранения.После того, как некоторые жертвы сбрасывали пароли для отдельных скомпрометированных учетных записей, злоумышленники при необходимости переключались на другие учетные записи, чтобы сохранить доступ.
Открытие [TA0007] Обнаружение файлов и сетей [T1083] Получив доступ к сетям, злоумышленники использовали BloodHound для сопоставления Active Directory.
Открытие [TA0007] Обнаружение доверия домена [T1482] Злоумышленники собрали информацию о доверительных отношениях домена, которая использовалась для выявления возможностей бокового перемещения.
Командование и управление [TA0011] Прокси: многоскачковый прокси [T1090.003] Злоумышленники использовали несколько разрозненных узлов, таких как VPS, для маршрутизации трафика к цели.

 

Обнаружение

ФБР, АНБ и CISA призывают все CDC расследовать подозрительную активность в их корпоративных и облачных средах. Примечание: дополнительные подходы к обнаружению злонамеренной киберактивности см. в совместных консультативных технических подходах к обнаружению и устранению злонамеренной активности, подготовленных CISA и органами кибербезопасности Австралии, Канады, Новой Зеландии и Соединенного Королевства.

Обнаружение необычной активности

Реализовать надежный сбор и хранение журналов. Надежное ведение журнала имеет решающее значение для обнаружения необычной активности. Без возможности централизованного сбора журналов и мониторинга организации имеют ограниченные возможности по расследованию инцидентов или обнаружению действий злоумышленников, описанных в этом бюллетене. В зависимости от среды инструменты и решения включают:

  • Нативные облачные решения, такие как облачные средства управления инцидентами безопасности и событиями (SIEM).
  • Сторонние инструменты, такие как Sparrow, для просмотра облачных сред Microsoft и обнаружения необычной активности, субъектов-служб и активности приложений. Примечание. для получения инструкций по использованию этих и других средств обнаружения см. Рекомендации CISA по кибербезопасности, посвященные обнаружению угроз после взлома в облачных средах Microsoft.
Искать доказательства известных TTP
  • Ищите доказательства поведения или сетевые и хост-артефакты от известных TTP, связанных с этим действием. Чтобы обнаружить активность распыления паролей, просмотрите журналы аутентификации на наличие сбоев при входе в систему и приложения для действительных учетных записей. Ищите частые неудачные попытки аутентификации в нескольких учетных записях.
  • Чтобы обнаружить использование скомпрометированных учетных данных в сочетании с VPS, выполните следующие действия:
    • Просмотрите журналы на наличие подозрительных «невозможных входов в систему», таких как входы с изменением имен пользователей, строк пользовательского агента и комбинаций IP-адресов или входов в систему, где IP-адреса не совпадают с ожидаемым географическим местоположением пользователя.
    • Поиск одного IP-адреса, используемого для нескольких учетных записей, за исключением ожидаемых входов в систему.
    • Найдите «невозможное путешествие», , которое происходит, когда пользователь входит в систему с нескольких IP-адресов, которые находятся на значительном географическом расстоянии друг от друга (т. е. человек не может реально перемещаться между географическими местоположениями двух IP-адресов в логины). Примечание. эта возможность обнаружения может привести к ложным срабатываниям, если законные пользователи применяют решения VPN перед подключением к сетям.
    • Оцените процессы и аргументы командной строки выполнения программы , которые могут указывать на сброс учетных данных, особенно попытки доступа или копирования файла ntds.dit с контроллера домена.
    • Выявление подозрительного использования привилегированной учетной записи после сброса паролей или применения мер по смягчению последствий для учетной записи пользователя.
    • Просмотрите журналы на наличие необычной активности в обычно бездействующих учетных записях.
    • Ищите необычные строки пользовательского агента, такие как строки, обычно не связанные с обычной деятельностью пользователя, которые могут указывать на активность бота.

Реагирование на инциденты и их устранение

Организации с признаками компрометации должны предположить полную компрометацию удостоверения и инициировать полный сброс удостоверения.

  • Сброс паролей для всех локальных учетных записей. Эти учетные записи должны включать Guest, HelpAssistant, DefaultAccount, System, Administrator и krbtgt. Необходимо сбросить пароль для учетной записи krbtgt, так как эта учетная запись отвечает за обработку запросов билетов Kerberos, а также за их шифрование и подпись. Примечание. сбросьте учетную запись krbtgt дважды и последовательно с 10-часовым периодом ожидания между сбросами (т. е. выполните первый сброс пароля krbtgt, подождите 10 часов, а затем выполните второй сброс пароля krbtgt). Сброс пароля krbtgt может занять много времени для полного распространения в больших средах AD. Дополнительную информацию см. в документе «Восстановление леса AD от Microsoft — сброс руководства по паролю и сценария автоматизации krbtgt». [4][5]
  • Сброс всех паролей пользователей домена, администраторов и учетных записей служб.

Примечание. для получения инструкций по вытеснению субъектов сложных постоянных угроз (APT) из облачных и корпоративных сред см. Руководство по вытеснению отчетов CISA Analysis для сетей, затронутых компрометацией SolarWinds и Active Directory/Microsoft 365 (M365). Хотя это руководство было разработано для федеральных агентств, скомпрометированных Российской службой внешней разведки (СВР) через компрометацию цепочки поставок SolarWinds Orion, шаги, описанные на этапе выселения, применимы ко всем организациям, разрабатывающим планы выселения подозреваемых участников APT.

Меры по смягчению последствий

ФБР, АНБ и CISA призывают все CDC, независимо от наличия доказательств компрометации, применять следующие меры по снижению риска компрометации со стороны этого злоумышленника. Хотя эти меры по смягчению последствий не претендуют на то, чтобы быть всеохватывающими, они касаются распространенных TTP, наблюдаемых в этих вторжениях, и помогут уменьшить распространенную вредоносную активность.

Внедрение усиления учетных данных
Включить многофакторную аутентификацию
  • Включить многофакторную аутентификацию (MFA) для всех пользователей без исключения.Последующая проверка подлинности может не требовать MFA, что позволяет обойти MFA путем повторного использования утверждений однофакторной проверки подлинности (например, проверки подлинности Kerberos). Сокращение срока действия утверждений приведет к повторной проверке учетных записей на соответствие требованиям MFA.[6] Учетные записи служб не должны использовать MFA. Функции автоматизации и платформы (например, групповые управляемые учетные записи служб, gMSA) могут обеспечивать автоматическое и периодическое сложное управление паролями для учетных записей служб, уменьшая поверхность угроз для утверждений однофакторной аутентификации. [7]
Применение надежных уникальных паролей
  • Требовать, чтобы учетные записи имели надежные уникальные пароли. Пароли не должны использоваться повторно в нескольких учетных записях или храниться в системе, к которой у злоумышленника может быть доступ.
  • Включить функции управления паролями , такие как Local Administrator Password Solution (LAPS), для локальных административных учетных записей. Это уменьшит нагрузку на пользователей, управляющих паролями, и побудит их использовать надежные пароли.
Добавлены функции блокировки учетной записи и доступа по времени
  • Реализовать функции тайм-аута и блокировки в ответ на повторные неудачные попытки входа в систему.
  • Настройте доступ на основе времени для учетных записей, установленных на уровне администратора и выше. Например, метод доступа «точно в срок» (JIT) предоставляет привилегированный доступ, когда это необходимо, и может поддерживать применение принципа наименьших привилегий (а также модель нулевого доверия). Это процесс, в котором устанавливается общесетевая политика для автоматического отключения учетных записей администратора на уровне AD, когда учетная запись не требуется напрямую. Когда учетная запись необходима, отдельные пользователи отправляют свои запросы через автоматизированный процесс, который обеспечивает доступ к системе, но только в течение установленного периода времени для поддержки выполнения задачи.
Уменьшение раскрытия учетных данных
  • Используйте решения виртуализации на современном оборудовании и программном обеспечении , чтобы обеспечить безопасное хранение учетных данных и защиту учетных данных с помощью таких возможностей, как Credential Guard в Защитнике Windows (CredGuard) и доверенный платформенный модуль (TPM).[8] Защита учетных данных домена с помощью CredGuard требует настройки и имеет ограничения в отношении защиты других типов учетных данных (например, WDigest и локальных учетных записей). [9][10] CredGuard использует TPM для защиты сохраненных учетных данных. Доверенные платформенные модули функционируют как наблюдатель за целостностью системы и якорь доверия, обеспечивающий целостность последовательности загрузки и механизмов (например, безопасная загрузка UEFI). Для установки Windows 11 требуется TPM версии 2.0.[11] Отключение WDigest и перенос секретов NTLM с истекающим сроком действия в смарт-карты дополнительно защитят другие учетные данные, не защищенные CredGuard.[12][13]
Установить централизованное управление журналами
  • Создать централизованную систему управления журналами. Централизованные приложения для ведения журналов позволяют защитникам сети выявлять аномальную активность, такую ​​как неуместная связь между устройствами или необъяснимые сбои входа в сетевую среду.
    • Переслать все журналы в инструмент SIEM.
    • Убедитесь, что журналы доступны для поиска.
    • Сохраняйте важные и исторические журналы сетевой активности не менее 180 дней.
  • При использовании M365 включите единый журнал аудита (UAL) — возможность ведения журнала M365, которая содержит события из Exchange Online, SharePoint Online, OneDrive, Azure AD, Microsoft Teams, PowerBI и других служб M365.
  • Сопоставление журналов, включая журналы M365, с сетевых и хост-устройств безопасности. Эта корреляция поможет обнаружить аномальную активность в сетевой среде и связать ее с потенциальной аномальной активностью в M365.

В дополнение к настройке централизованного ведения журналов организациям следует:

  • Убедитесь, что ведение журнала PowerShell включено. Злоумышленники часто используют PowerShell, чтобы скрыть свои вредоносные действия.[14]
  • Обновите экземпляры PowerShell до версии 5.0 или более поздней версии и удалите все более ранние версии PowerShell. Журналы из предыдущих версий либо не существуют, либо не содержат достаточно подробностей, чтобы помочь в мониторинге предприятия и действиях по реагированию на инциденты.
  • Подтвердите, что для экземпляров PowerShell 5.0 включены модуль, блок сценария и ведение журнала транскрипции .
  • Мониторинг журналов удаленного доступа/протокола удаленного рабочего стола (RDP) и отключение неиспользуемых портов удаленного доступа/RDP.
Запуск программы управления программным обеспечением и исправлениями
  • Рассмотрите возможность использования централизованной системы управления исправлениями. Несвоевременное развертывание программных исправлений делает организацию мишенью возможностей, увеличивая риск компрометации.Организации могут обеспечить своевременное исправление уязвимостей программного обеспечения, внедрив общекорпоративную программу управления программным обеспечением и исправлениями.[15]
    • Если организация не может обновить все программное обеспечение вскоре после выпуска исправления, отдайте приоритет исправлениям для CVE, которые уже известны для использования или которые будут доступны для наибольшего числа потенциальных злоумышленников (например, для систем с выходом в Интернет). ).
    • Подпишитесь на уведомления и рекомендации CISA по кибербезопасности , чтобы быть в курсе известных эксплуатируемых уязвимостей, обновлений безопасности и угроз.Это поможет организациям поддерживать ситуационную осведомленность о критических уязвимостях программного обеспечения и, если применимо, о связанном с ними использовании.
  • Подпишитесь на услуги CISA по кибергигиене , включая сканирование уязвимостей, чтобы уменьшить подверженность угрозам. Служба сканирования уязвимостей CISA оценивает присутствие внешней сети, выполняя непрерывное сканирование общедоступных статических IP-адресов на наличие доступных служб и уязвимостей.
Использовать антивирусные программы
  • Убедитесь, что антивирусные приложения установлены на компьютерах всех организаций и настроены для предотвращения шпионского, рекламного и вредоносного ПО в рамках базовой линии безопасности операционной системы.
  • Обновляйте описания вирусов.
  • Регулярно проверяйте антивирусное сканирование.  
Использовать средства обнаружения конечных точек и реагирования на них
  • Используйте средства обнаружения и реагирования конечных точек (EDR). Эти инструменты обеспечивают высокую степень прозрачности состояния безопасности конечных точек и могут быть эффективной защитой от злоумышленников. Инструменты EDR особенно полезны для обнаружения боковых перемещений, поскольку они имеют представление об общих и необычных сетевых подключениях для каждого хоста.
Поддержка программ строгого управления конфигурацией
  • Аудит программ управления конфигурацией , чтобы убедиться, что они могут отслеживать и устранять возникающие угрозы. Проверьте конфигурации системы на наличие неправильных конфигураций и слабых мест в системе безопасности. Наличие надежной программы настройки препятствует сложным операциям с угрозами, ограничивая эффективность оппортунистических атак.[16]
Применение принципа наименьших привилегий
  • Применение принципа наименьших привилегий. Учетные записи администраторов должны иметь минимальные разрешения, необходимые им для выполнения своих задач. Это может уменьшить воздействие, если учетная запись администратора скомпрометирована.
  • Для M365 назначьте роли администратора для управления доступом на основе ролей (RBAC) , чтобы реализовать принцип минимальных привилегий. Учитывая высокий уровень привилегий по умолчанию, вы должны использовать учетную запись глобального администратора только в случае крайней необходимости. Использование множества других встроенных ролей администратора Azure AD вместо учетной записи глобального администратора может ограничить назначение ненужных привилегий. Примечание. см. документацию Microsoft, встроенные роли Azure AD, для получения дополнительных сведений об Azure AD.
  • Удалить привилегии, которые явно не требуются функцией или ролью учетной записи.
  • Убедитесь, что для каждого набора административных задач существуют уникальные и разные административные учетные записи .
  • Создайте непривилегированные учетные записи для привилегированных пользователей, и убедитесь, что они используют непривилегированные учетные записи для всего непривилегированного доступа (т.г., просмотр веб-страниц, доступ к электронной почте).
  • Сократите количество учетных записей администраторов домена и предприятия, и удалите все ненужные учетные записи.
  • Регулярно проверяйте учетные записи административных пользователей.
  • Регулярно проверяйте журналы, чтобы убедиться, что новые учетные записи являются законными пользователями.
  • Установите групповую политику, запрещающую удаленный интерактивный вход в систему, и используйте группу пользователей, защищенных доменом.

Для помощи в выявлении подозрительного поведения с административными учетными записями:

  • Создать отслеживание привилегированных ролей.
  • Создайте процесс управления изменениями для всех эскалаций привилегий и изменений ролей в учетных записях пользователей.
  • Включить оповещения о повышении привилегий и изменении роли.
  • Регистрировать изменения привилегированного пользователя в сетевой среде и создавать предупреждения для необычных событий.
Проверка доверительных отношений
  • Просмотрите существующие доверительные отношения с поставщиками ИТ-услуг, , такими как поставщики управляемых услуг (MSP) и поставщики облачных услуг (CSP). Известно, что злоумышленники используют доверительные отношения между поставщиками и их клиентами для получения доступа к сетям и данным клиентов.
  • Удалите ненужные доверительные отношения.
  • Проверить договорные отношения со всеми поставщиками услуг и убедиться, что контракты включают:
    • Меры безопасности, которые заказчик считает подходящими.
    • Надлежащий мониторинг и регистрация клиентских систем, управляемых поставщиком.
    • Надлежащий мониторинг присутствия, деятельности и подключений поставщика услуг к сети клиента.
    • Уведомление о подтвержденных или предполагаемых событиях и инцидентах безопасности, происходящих в инфраструктуре и административных сетях провайдера.

Примечание. ознакомьтесь со страницей CISA, посвященной APT, ориентированным на клиентов поставщиков ИТ-услуг, а также на странице CISA Insights: Руководство по смягчению последствий и усилению защиты для MSP, а также малого и среднего бизнеса, чтобы получить дополнительные рекомендации для клиентов MSP и CSP.

Поощрение лучших практик в сфере удаленной работы

В связи с ростом удаленной работы и использования VPN-сервисов из-за COVID-19 ФБР, АНБ и CISA рекомендуют регулярно отслеживать удаленный сетевой трафик, а также использовать следующие передовые методы. Примечание: для получения дополнительной информации см. совместный информационный бюллетень NSA-CISA по кибербезопасности: выбор и укрепление решений VPN для удаленного доступа.

  • Регулярно обновляйте VPN, устройства сетевой инфраструктуры и устройства, используемые для удаленной работы , с помощью последних исправлений программного обеспечения и конфигураций безопасности.
  • По возможности требуйте MFA для всех VPN-соединений. Токены физической безопасности — это наиболее безопасная форма MFA, за которой следуют приложения для проверки подлинности.Когда многофакторная аутентификация недоступна, предоставьте сотрудникам, занимающимся удаленной работой, использование надежных паролей.
  • Мониторинг сетевого трафика на наличие неутвержденных и неожиданных протоколов.
  • Уменьшите потенциальные поверхности для атак, прекратив работу неиспользуемых VPN-серверов , которые могут использоваться злоумышленниками в качестве точки входа.
Создание передового опыта информирования пользователей

Киберпреступники часто используют несложные методы для получения первоначального доступа, что часто можно смягчить, если сотрудники лучше осведомлены о признаках злонамеренной активности.ФБР, АНБ и CISA рекомендуют следующие передовые методы повышения операционной безопасности сотрудников при ведении бизнеса:

  • Обеспечение осведомленности и обучения конечных пользователей. Чтобы помочь предотвратить целенаправленное мошенничество с использованием социальной инженерии и фишинга, убедитесь, что сотрудники и заинтересованные лица осведомлены о потенциальных киберугрозах и способах их устранения. Кроме того, предоставьте пользователям обучение принципам и методам информационной безопасности.
  • Информирование сотрудников о рисках атак социальной инженерии, e.ж., риски, связанные с размещением подробной информации о карьере в социальных или профессиональных сетях.
  • Убедитесь, что сотрудники знают, что делать и к кому обращаться, если они видят подозрительную активность или подозревают кибервторжение , чтобы помочь быстро и эффективно выявлять угрозы и применять стратегии смягчения их последствий.
Применить дополнительные передовые методы снижения рисков
  • Запретить нетипичную входящую активность от известных служб анонимизации, включая коммерческие службы VPN и The Onion Router (TOR).
  • Ввести политики списка приложений и удаленного доступа , которые позволяют системам выполнять только известные и разрешенные программы в соответствии с установленной политикой безопасности.
  • Идентифицируйте и создавайте автономные резервные копии для критически важных активов.
  • Реализовать сегментацию сети.
  • Ознакомьтесь с предупреждением CISA AA20-120A: Рекомендации по безопасности Microsoft Office 365, чтобы получить дополнительные рекомендации по усилению защиты облачных сред M365.

Программа вознаграждений за правосудие

Если у вас есть информация о спонсируемых государством кибероперациях России, нацеленных на критически важную инфраструктуру США, обратитесь в Программу вознаграждений за правосудие Государственного департамента. Вы можете иметь право на вознаграждение в размере до 10 миллионов долларов, которое Департамент предлагает за информацию, позволяющую идентифицировать или определить местонахождение любого лица, которое, действуя под руководством или контролем иностранного правительства, участвует в злонамеренной киберактивности против U. .S. критически важная инфраструктура в нарушение Закона о компьютерном мошенничестве и злоупотреблениях (CFAA). Свяжитесь с нами по телефону (202) 702-7843 в WhatsApp, Signal или Telegram или отправьте информацию через защищенную линию советов Rewards for Justice на основе Tor, расположенную в Dark Web. Для получения более подробной информации см. www.rewardsforjustice.net.

Предостережения

Информация, к которой вы получили доступ или которую вы получили, предоставляется «как есть» только в информационных целях. ФБР, АНБ и CISA не поддерживают какие-либо коммерческие продукты или услуги, в том числе объекты анализа.Любая ссылка на конкретные коммерческие продукты, процессы или услуги с помощью знака обслуживания, товарного знака, производителя или иным образом не означает и не подразумевает их одобрения, рекомендации или одобрения со стороны ФБР, АНБ или CISA.

Контактная информация

Чтобы сообщить о подозрительной деятельности, связанной с информацией, содержащейся в этом Совместном совете по кибербезопасности, обратитесь в местное отделение ФБР по адресу www. fbi.gov/contact-us/field-offices или в круглосуточную службу Cyber ​​Watch ФБР (CyWatch) по телефону (855) 292-3937 или по электронной почте [email protected]правительство При наличии укажите следующую информацию об инциденте: дату, время и место происшествия; тип активности; количество пострадавших; тип оборудования, используемого для деятельности; название подающей компании или организации; и назначенное контактное лицо. Чтобы запросить ресурсы для реагирования на инциденты или техническую помощь, связанную с этими угрозами, свяжитесь с CISA по адресу [email protected] По требованиям клиентов АНБ или по общим вопросам кибербезопасности обращайтесь в Центр требований кибербезопасности АНБ по телефону (410) 854-4200 или по электронной почте [email protected]правительство Компании оборонной промышленной базы могут дополнительно подписаться на бесплатные услуги АНБ по кибербезопасности, включая защитный DNS, сканирование уязвимостей и совместную работу с информацией об угрозах, по адресу [email protected] nsa.gov.

Приложение: подробные тактики, методы и процедуры

Разведка [TA0043]

Разведка состоит из методов, которые вовлекают противников в активный или пассивный сбор информации, которая может использоваться для поддержки целей.Злоумышленник известен сбором учетных данных для входа  [T1589.001].[17]

 

ID Имя Описание
Т1589.001 Сбор информации о личности жертвы: учетные данные Злоумышленники могут собирать учетные данные, которые можно использовать во время нацеливания.

 

Первоначальный доступ [TA0001]

Первоначальный доступ состоит из методов, которые используют различные векторы входа, чтобы закрепиться в сети. Например, злоумышленник может получить и злоупотребить учетными данными существующих учетных записей, чтобы получить первоначальный доступ, сохранение, повышение привилегий или уклонение от защиты [T1078].[18] Эти конкретные субъекты получили и злоупотребили учетными данными домена [T1078.002] и облачных учетных записей [T1078.004].[19] Актеры также использовали внешние удаленные сервисы для получения доступа к системам [T1133].[20] Злоумышленник воспользовался уязвимостями серверов, подключенных к Интернету, и провел атаки путем внедрения кода SQL на внешние веб-сайты организаций [T1190].[21] Наконец, они отправили фишинговые электронные письма с вредоносной ссылкой в ​​попытке получить доступ [T1566.002].[22]
 

 

ID Имя Описание
Т1078 Действительные учетные записи  Злоумышленники могут получить учетные данные существующих учетных записей и использовать их для получения первоначального доступа.
Т1078.002 Действительные учетные записи: учетные записи домена Злоумышленники могут получать и злоупотреблять учетными данными учетной записи домена в качестве средства получения первоначального доступа, сохраняемости, повышения привилегий или уклонения от защиты.
Т1078.004 Действительные учетные записи: облачные учетные записи Злоумышленники могут получать и злоупотреблять учетными данными облачной учетной записи в качестве средства получения первоначального доступа, сохраняемости, повышения привилегий или уклонения от защиты.
Т1133 Внешние удаленные службы Злоумышленники могут использовать внешние удаленные службы для первоначального доступа и/или сохранения в сети.
Т1190 Эксплойт общедоступного приложения Злоумышленники могут попытаться воспользоваться уязвимостью в компьютере или программе, подключенной к Интернету, используя программное обеспечение, данные или команды, чтобы вызвать непреднамеренное или непредвиденное поведение.
Т1566.002 Фишинг: Целевая фишинговая ссылка Злоумышленники могут рассылать фишинговые электронные письма с вредоносной ссылкой в ​​попытке получить доступ к системам жертв.

 

Постоянство [TA0003]

Постоянство состоит из методов, которые злоумышленники используют для сохранения доступа к системам при перезапусках, изменении учетных данных и других прерываниях, которые могут прервать их доступ. Злоумышленник получает учетные данные существующих учетных записей и злоупотребляет ими, чтобы получить первоначальный доступ, сохранение, повышение привилегий или уклонение от защиты [T1078].[23]

 

ID Имя  Описание
Т1078 Действительные учетные записи Злоумышленники могут получать и злоупотреблять учетными данными существующих учетных записей в качестве средства получения первоначального доступа, сохраняемости, повышения привилегий или уклонения от защиты.
Повышение привилегий [TA0004]

Повышение привилегий состоит из методов, которые злоумышленники используют для получения разрешений более высокого уровня в системе или сети.Злоумышленник получает учетные данные существующих учетных записей и злоупотребляет ими, чтобы получить первоначальный доступ, сохранение, повышение привилегий или уклонение от защиты [T1078].[24] В частности, в этом случае были получены и использованы не по назначению учетные данные облачных учетных записей [T1078.004].[25]

 

ID Имя Описание
Т1078 Действительные учетные записи Злоумышленники могут получить учетные данные существующих учетных записей и использовать их для получения первоначального доступа.
Т1078. 004 Действительные учетные записи: облачные учетные записи Злоумышленники могут получать и злоупотреблять учетными данными облачной учетной записи в качестве средства получения первоначального доступа, сохраняемости, повышения привилегий или уклонения от защиты.
Уклонение от защиты [TA0005]

Defense Evasion состоит из методов, которые злоумышленники используют, чтобы избежать обнаружения во время компрометации. Злоумышленник затруднил обнаружение или анализ своих исполняемых файлов и файлов, зашифровав, кодируя или иным образом запутав их содержимое в системе или при передаче [T1027].[26]

ID Имя Описание
Т1027 Запутанные файлы или информация Злоумышленники могут попытаться затруднить обнаружение или анализ исполняемого файла или файла путем шифрования, кодирования или иного запутывания его содержимого в системе или при передаче.

 

Доступ к учетным данным [TA0006]

Credential Access состоит из методов кражи учетных данных, таких как имена учетных записей и пароли.Злоумышленник попытался получить доступ или создать копию базы данных домена Active Directory (AD) для кражи учетных данных, а также для получения другой информации о членах домена, такой как устройства, пользователи и права доступа [T1003.003].[27] Злоумышленник также использовал один или небольшой список часто используемых паролей для множества разных учетных записей, чтобы попытаться получить действительные учетные данные [T1110.003].[28]

ID Имя Описание
Т1003.003 Сброс учетных данных ОС: NTDS Злоумышленники могут попытаться получить доступ или создать копию базы данных домена Active Directory, чтобы украсть учетные данные, а также получить другую информацию о членах домена, такую ​​как устройства, пользователи и права доступа.
Т1110.003 Brute Force: распыление пароля Злоумышленники могут использовать один или небольшой список часто используемых паролей для множества разных учетных записей, чтобы попытаться получить действительные учетные данные учетной записи.
Открытие [TA0007]

Обнаружение состоит из методов, которые злоумышленник может использовать для получения информации о системе и внутренней сети. Злоумышленник перечислял файлы и каталоги или искал в определенных местах хоста или общего сетевого ресурса определенную информацию в файловой системе [T1083].[29] Кроме того, злоумышленник попытался собрать информацию о доверительных отношениях между доменами, которая может использоваться для выявления возможностей бокового перемещения в многодоменных средах Windows или лесных средах [T1482].[30]

ID Имя Описание
Т1083 Обнаружение файлов и каталогов Злоумышленники могут перечислять файлы и каталоги или могут искать в определенных местах хоста или общего сетевого ресурса определенную информацию в файловой системе.
Т1482 Обнаружение доверия домена Злоумышленники могут попытаться собрать информацию о доверительных отношениях домена, которая может использоваться для выявления возможностей бокового перемещения в многодоменных средах Windows/лесах.

 

Коллекция [TA0009]

Сбор

состоит как из методов, которые злоумышленники могут использовать для сбора информации, так и из источников, из которых собирается информация, которые имеют отношение к целям противника. Злоумышленник использует информационные хранилища, такие как SharePoint, для добычи ценной информации [T1213.002].[31]

ID Имя Описание
Т1213.002 Данные из информационных хранилищ: SharePoint Злоумышленники могут использовать репозиторий SharePoint в качестве источника для получения ценной информации.

 

Командование и управление [TA0011]

Command and Control (C2) состоит из методов, которые злоумышленники могут использовать для связи с системами, находящимися под их контролем, в сети жертвы. Злоумышленник объединил несколько прокси-серверов, чтобы замаскировать источник вредоносного трафика.В этом случае серверы TOR и VPN используются в качестве прокси-серверов с несколькими переходами для маршрутизации трафика C2 и сокрытия их действий [T1090.003].[32]
 

ID Имя Описание
Т1090.003 Прокси: многоскачковый прокси Чтобы скрыть источник вредоносного трафика, злоумышленники могут объединить несколько прокси-серверов.

 

Дополнительные ресурсы

[1] АНБ, CISA, ФБР, NCSC Консультации по кибербезопасности: российское ГРУ проводит глобальную кампанию грубой силы для компрометации корпоративных и облачных сред, 1 июля 2021 г.
[2] Рекомендации АНБ по кибербезопасности: устранение недавних уязвимостей VPN, 7 октября 2019 г.
[3] Рекомендации АНБ, CISA, ФБР, NCSC по кибербезопасности: ГРУ России проводит глобальную кампанию грубой силы для компрометации корпоративных и облачных сред, 1 июля 2021 г.
[4] Статья Microsoft: AD Forest Recovery — сброс пароля krbtgt, 29 июля 2021 г.,
[5] Microsoft GitHub: New-KrbtgtKeys.ps1, 14 мая 2020 г.,
[6] Информация АНБ по кибербезопасности: защита привилегий и учетных записей, август 2019.
[7] Статья Microsoft. Обзор групповых управляемых учетных записей служб, 29 июля 2021 г. , 3 декабря 2021 г.
[10] Статья Microsoft: Ограничения защиты Credential Guard в Защитнике Windows, 3 декабря 2021 г.
[11] Статья Microsoft: Требования Windows 11, 30 ноября 2021 г.
[12] Запись в блоге Microsoft: Важность KB2871997 и KB2928120 для защиты учетных данных, 20 сентября 2021 г.
[13] Статья Microsoft: «Что нового в защите учетных данных», 7 января 2022 г.
[14] Информационный бюллетень АНБ по кибербезопасности: PowerShell: риски безопасности и средства защиты, 1 декабря 2016 г.
[15] Информация АНБ по кибербезопасности: «Немедленное обновление и обновление программного обеспечения», Август 2019 г.
[16] Информация о кибербезопасности АНБ: активное управление системами и конфигурациями, август 2019 г.
[17] Группы MITRE: APT28, 18 октября 2021 г.
[18] Группы MITRE: APT28, 18 октября 2021 г.
[19] Программное обеспечение MITRE: Cobalt Strike, 18 октября 2021 г.
[20] На основе технической информации, предоставленной Mandiant.
[21] Группы MITRE: APT28, 18 октября 2021 г.
[22] На основе технической информации, предоставленной Mandiant.
[23] Группы MITRE: APT28, 18 октября 2021 г.
[24] Группы MITRE: APT28, 18 октября 2021 г.
[25] Программное обеспечение MITRE: Cobalt Strike, 18 октября 2021 г. Ноябрь 2020 г.
[27] Программное обеспечение MITRE: Koadic, 30 марта 2020 г.
[28] Группы MITRE: APT28, 18 октября 2021 г.
[29] На основе технической информации, предоставленной Mandiant.
[30] На основе технической информации, предоставленной Mandiant.
[31] Группы MITRE: APT28, 18 октября 2021 г.
[32] Группы MITRE: APT28, 18 октября 2021 г.

Ревизии

16 февраля 2022 г.: начальная версия

.

Этот продукт предоставляется в соответствии с настоящим Уведомлением и настоящей Политикой конфиденциальности и использования.

Новое полицейское шоу TNT «Риццоли и острова» показывает многообещающее

ЛОС-АНДЖЕЛЕС (Голливудский репортер) две женщины-офицера закона были стержнем успешного телешоу.(Позвоните мне, если вы думаете о чем-то более свежем, чем «Кэгни и Лейси».)

Но «Р&И», премьера которого состоится в понедельник, лучше, чем просто новая веха для одного пола; на самом деле, судя по пилоту, в новом сериале ТНТ трудно найти фальшивую ноту. Это потрясает юмором, напряжением, пониманием и изрядным количеством сочащейся крови.

Детектив полиции Бостона Джейн Риццоли (Энджи Хармон) и судмедэксперт Мора Айлс (Саша Александр) — два несовместимых одиноких волка с некоторыми социальными проблемами, чья дружба только начинает зарождаться — девушка из рабочего класса (Риззоли) с жестким поведением которая пылесосит, когда думает, и гламурная девушка (Айлз) с домашней черепахой, которая выросла, умирая от желания препарировать.Эти двое все еще ходят на цыпочках вокруг своей связи, но у них есть взаимное восхищение и правдоподобная химия.

В интересном решении сериал начинается с сюжета, который больше похож на финал сезона, чем на пилотную серию: серийный убийца, который когда-то держал в плену Риццоли, сбегает и вместе с подмастерьем слэшера снова преследует ее. Количество крови велико — в конце концов, это кабель — но так же и развитие персонажа; всего за один час здесь больше, чем во многих сериалах за сезон.

В довершение ко всему, есть комическое облегчение чрезмерно вовлеченной семьи Риццоли. Ее мать (блестяще сыгранная Лоррейн Бракко) и брат (Джордан Бриджес) глубоко заинтересованы в ее работе в полиции и безопасности, и приятно видеть полицейского, чья работа не разрушила ее семью. (Хотя куда девался их бостонский акцент — еще одна загадка). Потратив большую часть эпизода на подготовку важного решения в жизни главного героя, сериал отступает от кризиса… оставив Риццоли сосредоточенной на уборке своей квартиры. Отказ от последствий более ранних событий странно фальшивит в шоу, которое в остальном попадает во все нужные ноты. Но, возможно, именно здесь начинается Эпизод 2. Будем на это надеяться, потому что «Rizzoli & Isles» — это бит, который стоит пройти пешком.

TeamTNT сейчас развертывает IRC-бота с поддержкой DDoS TNTbotinger

/usr/бин/кубе

Этот двоичный файл скомпилирован Go и содержит ELF-файл, зашифрованный с помощью AES.Это динамически загружается во время выполнения, и используется тот же упаковщик, что и в Go-версии LaufzeitCrypter. Ключ AES и вектор инициализации (IV) жестко запрограммированы в двоичном коде.

Последняя полезная нагрузка этого двоичного файла — IRC-бот, которого авторы назвали TNTbotinger. Этот бот поддерживает следующие DDoS-команды:                                                                                    

DDoS-команда

Функция

PAN <цель> <порт> <сек>                      

Усовершенствованный SYN-флудер, убивающий большинство сетевых драйверов

UDP <цель> <порт> <сек>

Флудер UDP (протокол дейтаграмм пользователя)                                           

НЕИЗВЕСТНО <цель> <сек>                         

Неподдельный UDP-флудер                           

RANDOMFLOOD <цель> <порт> <сек>              

A Флудер SYN-ACK

NSACKFLOOD <цель> <порт> <сек>               

ACK-флудер нового поколения                              

NSSYNFLOOD <цель> <порт> <сек>

Флудер SYN нового поколения

SYNFLOOD <цель> <порт> <сек>                 

Классический флудер SYN

ACKFLOOD <цель> <порт> <сек>

Классический флудер ACK

ГЕТСПОФС

Команда, которая получает текущий спуфинг                                

ПОДДЕЛКИ <подсеть>                               

Команда, меняющая спуфинг на подсеть                             

УБИЙЦА

Команда, которая уничтожает все текущие пакеты пакетов                              

TNTbotinger также имеет следующие команды IRC-бота:                                                   

Команда IRC-бота

Функция

НИК <ник>

Меняет ник клиента

СЕРВЕР <сервер>

Серверы изменений                                        

IRC <команда>

Отправляет команду на сервер                          

ОТКЛЮЧИТЬ                                      

Отключает все пакеты от клиента                    

ВКЛЮЧИТЬ

Включает все пакеты от клиента

УБИТЬ

Убивает клиента                                        

ВЕРСИЯ

Запрашивает версию клиента

ПОМОЩЬ 

Отображает файл справки                                

GET <сохранить как>

Загружает файл из Интернета и сохраняет его на диск                   

ОБНОВЛЕНИЕ

Обновляет бота                   

HACKPKG <имя бина>

Устанавливает двоичный файл без зависимостей

Этот бот также поддерживает следующие команды оболочки Unix:

Команда оболочки Unix

Функция

SH <команда>

Выполняет команду                                      

ISH <команда>                                 

Позволяет сделать возможности операционной системы доступными для интерактивных пользователей

SHD <команда>

Выполняет демонизированную команду                             

BASH <команда>                                    

Выполняет команду с помощью Bash (если применимо)

СИСИНФО

Собирает информацию и отчеты о конфигурации, настройке и использовании системы

RSHELL <сервер> <порт>                          

Открывает удаленную оболочку

Заключение и рекомендации по безопасности

Ландшафт угроз для Linux постоянно меняется. Эта последняя атака TeamTNT — хороший пример того, как весь сегмент сети, включая облако, может быть скомпрометирован злоумышленниками. Мы видим, насколько серьезно они относятся к обеспечению повышенных показателей успеха и стабильности своих атак, о чем свидетельствует использование TeamTNT двоичных файлов wget/curl для развертывания полезной нагрузки и использование избыточности оболочки привязки.

При успешной атаке TNTbotinger злоумышленники смогут проникнуть в зараженную систему. Оказавшись внутри, они смогут увидеть уязвимые экземпляры в доступных сегментах сети и могут выполнять RCE на устройствах, которые должны быть экранированы от внешнего мира.

Для обеспечения безопасности своих систем предприятиям важно применять строгие меры безопасности, например следующие:

 

Решения Trend Micro

Решение Trend Micro Network Defense сохраняет целостность сетей, предотвращает взломы и целенаправленные атаки, а также гарантирует, что критически важные данные, сообщения, интеллектуальная собственность и другие нематериальные активы не будут использованы злоумышленниками. Он обеспечивает систему предотвращения вторжений (IPS) нового поколения, обнаружение аномалий, настраиваемый анализ песочницы и понимание угроз.

Облачные решения для обеспечения безопасности, такие как Trend Micro Hybrid Cloud Security, могут помочь защитить облачные системы и их различные уровни. Он основан на платформе сервисов безопасности Trend Micro Cloud One™ для разработчиков облачных сред, которая обеспечивает автоматизированную защиту конвейера и приложений непрерывной интеграции и непрерывной доставки (CI/CD). Это также помогает быстрее выявлять и устранять проблемы безопасности и сокращать время доставки для команд DevOps. Платформа Trend Micro Cloud One включает:

Индикаторы компрометации

Имя файла

Функциональность

ША-256

Обнаружение Trend Micro

СШ

Распределитель сценария оболочки, загрузчик

D9C46904D5BB808F2F0C28E819A31703F5155C4DF66C4C4669F5D9E81F25DC66

Троян. SH.MALXMR.UWEKQ

сбин

XMRig

Э52646Ф7КБ2886Д8А5Д4К1А2692А5АБ80926Э7СЕ48БДБ2362Ф383К0К6К7223А2

Trojan.Linux.BTCWARE.A

тшд

Оболочка для переплета

(TCP-порт 51982)

252BF8C685289759B90C1DE6F9DB345C2CFE62E6F8AAD9A7F44DFB3C8508487A

Бэкдор.Linux.РЕКООБЭ.АА

куб

IRC-бот

B666CD08B065132235303727F2D77997A30355AE0E5B557CD08D41C9ADE7622D

Trojan.Linux.MALXMR.UWEKY

биосет

Привязка оболочки (TCP-порт 1982)

E15550481E89DBD154B875CE50CC5AF4B49F9FF7B837D9AC5B5594E5D63966A3

Trojan. Linux.MALXMR.UWEKW

TNT разрабатывает сериал «Впусти верного» для телевидения

В 2010 году американские кинозрители впервые увидели «Впусти верного в » с адаптацией шведского фильма и романа, который был выпущен вместе с название Впусти меня .Теперь TNT считает, что зрители готовы к полному укусу.

По сообщению The Hollywood Reporter, TNT приобрела права на переработку вампирского романа Джона Аджвиде Линдквиста 2004 года «: Впусти нужного в » для телевидения, который не будет основан ни на одной из двух предыдущих экранизаций. Волчонок Джефф Дэвис пишет сценарий для TNT, поскольку он уходит от финального сезона драмы об оборотнях MTV.

Let The Right One In ранее разрабатывался в A&E для оригинального сериала, но сеть упустила действие прав и вернула их Tomorrow Studios; которая сотрудничает со студией TNT Studio T для создания телесериала с продюсерами Let Me In Саймоном Оуксом и Алексом Бруннером.

Как и предполагалось в оригинальной истории Линдквиста, Let The Right One In сосредоточен на дружбе, которая сформировалась между мальчиком по имени Оскар, над которым издеваются, и девушкой-вампиром по имени Эли. В американской версии их переименовали в Оуэна и Эбби, и их сыграли Коди Смит-Макфи и Хлоя Грейс Морец соответственно.

Если воплощение истории в TNT останется ближе к оригинальному роману, то оно может вернуться к идее о том, что Эли/Эбби на самом деле не была девушкой в ​​первой версии истории Линдквиста.Даже шведский фильм, кажется, подразумевает эту историю, но этот сюжет может вызвать разногласия у американской аудитории, что также может дать TNT повод игнорировать его. Давайте будем честными, это, вероятно, то, что произойдет.

В настоящее время нет графика начала съемок сериала «Пусть правильный в », но у него есть пилотный заказ, и он будет участвовать в сериале на ТНТ.

Как вы относитесь к этой новой адаптации спустя шесть лет после предыдущей? Кушайте, судить не будем! А затем оставить комментарий ниже!

Фото: Sandrew Metronome

Entertainment

Телеканал FOX объявил, что Уитни Каммингс, соавтор номинированного на премию «Эмми» ситкома «Две девицы на мели», станет ведущим эпизода грядущего антологического сериала «Обвиняемые». стендап-комик, посвященный ужасной травме.

Во многих смыслах «Все повсюду» — это трансцендентно уникальный фильм, в котором знакомые жанровые тропы перемешаны во что-то совершенно новое и немного революционное. Другими словами, это просто утомительно. Кинокритик FOX Кэролайн Сиде рецензирует долгожданный фильм Мишель Йео.

Тингамбоб оказался футбольным нападающим для команды «Филадельфия Иглз» Джордана Майлаты в новом выпуске «Певца в маске».”

Сенатор Митт Ромни имел удовольствие познакомиться с художником из Юты Риттом Момни. Да, вы правильно прочитали это имя.

Глубоко личный фильм Кеннета Брана «Белфаст» — один из 10 фильмов, номинированных в этом году на премию «Оскар» за лучший фильм. Вот где его смотреть, что сказал наш критик и что смотреть дальше.

Нетрудно представить версию истории «Затерянный город», которая была бы более непристойной, более подрывной комедией с рейтингом R, а не общеприемлемой комедией с рейтингом PG-13.Тем не менее, учитывая эти параметры, удивительно, что фильм получился таким относительно приятным — компромиссы и все такое. Вот обзор кинокритика Кэролайн Сиде.

Звезда кантри-музыки Хэнк Уильямс-младший и Мэри Джейн Томас поженились в 1990 году. , выступая ради шанса попасть в финал «Певца в маске».

Представьте, что вы сидите на семи местах и ​​в одном проходе от Николаса Кейджа на премьере фильма, где он играет Николаса Кейджа.Это случилось с кинокритиком FOX Кэролайн Сиде на премьере фильма «Невыносимая тяжесть большого таланта» на канале SXSW.

Адвокаты Косби говорят, что иск должен быть отклонен, потому что женщина, которая была несовершеннолетней во время предполагаемого нападения, долго ждала, чтобы подать иск.

Брайан Хьюстон, основатель мегацеркви Hillsong, подал в отставку после того, как в ходе внутреннего расследования, проведенного ее правлением, были обнаружены доказательства неправомерных действий.

Metallica, Green Day и Dua Lipa входят в число хедлайнеров музыкального фестиваля Lollapalooza в Чикаго в этом году, объявили организаторы во вторник.

Офис шерифа округа Ориндж опубликовал фотографии гостиничного номера, где был найден мертвым Боб Сагет.

Актер был найден мертвым 26 января в возрасте 31 года в Стокбридже, штат Джорджия

Опекунство над Амандой Байнс прекращено. Судья решил, что опекунство «больше не требуется» для бывшей детской звезды.

Компания Arby’s выпустила рекламный ролик своего нового рыбного сэндвича с дисс-треком рэпера Pusha T, нацеленным на McDonald’s.

В августе 2013 года бывшая детская звезда была передана под опеку, возглавляемую ее матерью. Монро с желтыми волосами, синими тенями для век и красными губами. Christie’s говорит, что она может быть продана за 200 миллионов долларов.

Актриса играет Марию Васкес в ремейке Стивена Спилберга 50-й сезон шоу на телевидении.

Новая активность от российского актера Nobelium

Сегодня мы делимся последней активностью российского национального государства Nobelium, которую мы наблюдали. Это тот же субъект, который стоит за кибератаками, направленными на клиентов SolarWinds в 2020 году, и которого правительство США и другие идентифицировали как часть российской службы внешней разведки, известной как СВР.

Компания Nobelium пытается воспроизвести подход, который она использовала в прошлых атаках, нацеливаясь на организации, являющиеся неотъемлемой частью глобальной цепочки поставок ИТ. На этот раз он атакует другую часть цепочки поставок: реселлеров и других поставщиков технологических услуг, которые настраивают, развертывают и управляют облачными сервисами и другими технологиями от имени своих клиентов. Мы полагаем, что Nobelium в конечном итоге надеется использовать любой прямой доступ, который реселлеры могут иметь к ИТ-системам своих клиентов, и более легко выдавать себя за доверенного технологического партнера организации, чтобы получить доступ к своим последующим клиентам. Мы начали наблюдать за этой последней кампанией в мае 2021 года и уведомляем пострадавших партнеров и клиентов, а также разрабатываем новую техническую помощь и рекомендации для сообщества реселлеров.С мая мы уведомили более 140 реселлеров и поставщиков технологических услуг, которые стали мишенью для Nobelium. Мы продолжаем расследование, но на сегодняшний день мы считаем, что 14 из этих реселлеров и поставщиков услуг были скомпрометированы. К счастью, мы обнаружили эту кампанию на ранних стадиях и делимся этими разработками, чтобы помочь реселлерам облачных услуг, поставщикам технологий и их клиентам принять своевременные меры, чтобы помочь Nobelium не стать более успешным.

Эти атаки были частью большой волны действий Нобелиума этим летом. Фактически, в период с 1 июля по 19 октября этого года мы проинформировали 609 клиентов о том, что Nobelium атаковал их 22 868 раз, причем вероятность успеха исчислялась низкими однозначными числами. Для сравнения, до 1 июля 2021 года мы уведомляли клиентов об атаках со стороны всех субъектов национального государства 20 500 раз за последние три года.

Эта недавняя активность является еще одним показателем того, что Россия пытается получить долгосрочный, систематический доступ к различным точкам в цепочке поставок технологий и создать механизм наблюдения — сейчас или в будущем — за объектами, представляющими интерес для российского правительства.В то время как мы делимся здесь подробностями о самой последней деятельности Nobelium, отчет Microsoft Digital Defense, опубликованный ранее в этом месяце, подчеркивает продолжающиеся атаки со стороны других национальных государств и киберпреступников. В соответствии с этими атаками мы уведомляем наших клиентов, когда они становятся целью или скомпрометированы этими субъектами.

Атаки, которые мы наблюдали в недавней кампании против реселлеров и поставщиков услуг, не пытались использовать какие-либо недостатки или уязвимости в программном обеспечении, а использовали хорошо известные методы, такие как распыление паролей и фишинг, для кражи законных учетных данных и получения привилегированного доступа.Мы достаточно узнали об этих новых атаках, которые начались еще в мае этого года, и теперь можем предоставить полезную информацию, которую можно использовать для защиты от этого нового подхода.

Мы также координируем свои действия с другими представителями сообщества безопасности, чтобы улучшить наши знания и средства защиты от деятельности Nobelium, и мы тесно сотрудничаем с государственными учреждениями в США и Европе. Хотя мы ясно понимаем, что национальные государства, включая Россию, не остановят подобные атаки в одночасье, мы считаем, что такие шаги, как указ США о кибербезопасности.S., а также более тесная координация и обмен информацией, которые мы наблюдали между промышленностью и правительством за последние два года, позволили нам всем лучше защищаться от них.

Мы уже давно поддерживаем и совершенствуем требования и политики безопасности, которые мы применяем к поставщикам услуг, которые продают или поддерживают технологии Microsoft. Например, в сентябре 2020 г. мы обновили контракты с нашими торговыми посредниками, чтобы расширить возможности и права Microsoft по устранению инцидентов, связанных с безопасностью посредников, и потребовать, чтобы посредники реализовывали определенные средства защиты для своих сред, такие как ограничение доступа к партнерскому порталу и требование, чтобы реселлеры включали несколько факторную аутентификацию (MFA) при доступе к нашим облачным порталам и базовым службам, и мы предпримем необходимые и надлежащие шаги для обеспечения выполнения этих обязательств по обеспечению безопасности.Мы продолжаем оценивать и выявлять новые возможности для повышения безопасности во всей партнерской экосистеме, признавая необходимость постоянного улучшения. В результате того, что мы узнали за последние несколько месяцев, мы работаем над внедрением улучшений, которые помогут лучше защитить и защитить экосистему, особенно для технологических партнеров в нашей цепочке поставок:

  • Как отмечалось выше, в сентябре 2020 г. мы развернули MFA для доступа к Центру партнеров и использования делегированных прав администратора (DAP) для управления клиентской средой
  • .
  • 15 октября мы запустили программу бесплатного предоставления двухлетнего плана Azure Active Directory Premium, который обеспечивает расширенный доступ к дополнительным премиум-функциям для усиления средств контроля безопасности
  • Средства защиты от угроз и обеспечения безопасности Майкрософт, такие как Microsoft Cloud App Security (MCAS), M365 Defender, Azure Defender и Azure Sentinel, добавили средства обнаружения, помогающие организациям выявлять такие атаки и реагировать на них
  • В настоящее время мы тестируем новые и более детализированные функции для организаций, которые хотят предоставить привилегированный доступ торговым посредникам
  • .
  • Мы тестируем улучшенный мониторинг, чтобы предоставить партнерам и клиентам возможность управлять своими делегированными привилегированными учетными записями и проверять их, а также удалять ненужные полномочия
  • .
  • Мы проверяем неиспользуемые привилегированные учетные записи и работаем с партнерами над оценкой и удалением ненужных привилегий и доступа

Сегодня мы также выпускаем техническое руководство, которое может помочь организациям защитить себя от последней активности Nobelium, которую мы наблюдали, поскольку актер оттачивал свои методы, а также руководство для партнеров.

Это лишь первые шаги, которые мы предприняли, и в ближайшие месяцы мы будем тесно сотрудничать со всеми нашими технологическими партнерами для дальнейшего повышения безопасности. Мы облегчим поставщикам услуг любого размера доступ к нашим самым передовым услугам для управления безопасным входом в систему, решениями по управлению идентификацией и доступом бесплатно или по низкой цене.

Как мы уже говорили в мае, прогресс должен продолжаться. В Microsoft мы продолжим наши усилия по всем этим вопросам и продолжим работать с частным сектором, с U.С. администрации и со всеми другими заинтересованными правительствами, чтобы добиться этого прогресса.

Leave a Reply

Ваш адрес email не будет опубликован.