Журнал "Information Security/ Информационная безопасность" #1, 2025

Опасные бывшие К нам обратился руководитель кибер- безопасности крупной технологической компании. Запрос был нестандартным: никакой кибератаки не произошло, но на одном из серверов была критическая уязвимость. Ее обнаружили давно, еще при предыдущем руководителе, но забыли и долгое время не исправляли. Клиент хотел провести оценку на компрометацию – проверить, не воспользовались ли этой уязвимостью злоумышленники. Компания большая, инфраструктура сложная, кейс интересный – команда BI.ZONE DFIR взялась за дело и начала с исследования уязвимого сервера. Оно не выявило подозрительной активности, но мы с самого начала решили проверять не только его, а все наиболее критичные системы. На контроллере домена мы обна- ружили очень опасный бэкдор. Поскольку с его помощью злоумышленники в любой момент могли начать шифрование всей инфраструктуры, мы сразу заблокировали сервер управления бэкдором. Затем нача- ли искать, какого пользователя и каким образом скомпрометировали. Оказалось, что пользователь, чью учет- ную запись скомпрометировали, уже не работает в компании, а был он... сотруд- ником службы кибербезопасности. Сомне- ний быть не могло: цифровые следы ука- зывали на то, что бэкдор установили с помощью именно этой учетной записи, причем задолго до увольнения. Аккаунт был давно заблокирован, но мы посове- товали для перестраховки сообщить быв- шему сотруднику компании о взломе. Заодно мы хотели узнать, не замечал ли он подозрительной активности от своего имени. Выяснилось, что он даже знал, кто именно установил бэкдор: он сам. Почему? Потому что не доверял ИТ-под- разделению. Он опасался, что в случае конфликта его доступ к системам забло- кируют, и хотел иметь возможность полу- чить его обратно. Но после увольнения забыл про бэкдор и не удалил его. Опасная ситуация, последствия для компании могли быть серьезными. К счастью, обошлось без них, потому что вовремя проверили инфраструктуру. Неожиданный пентест Служба безопасности небольшого банка заметила подозрительную актив- ность от администратора офисной инфра- структуры: сканирование сети и исполь- зование утилит для туннелирования. Из-за сомнений в лояльности сотрудника банк тайно привлек BI.ZONE DFIR для расследования. Наша команда видела эту инфраструк- туру впервые, но сразу обнаружила в ней набор инструментов, не характерных для администратора. При этом и профессио- нальные злоумышленники обычно не используют такое. Скорее это был джентльменский набор неизвестного пен- тестера, который по заказу организации проверяет ее систему безопасности на возможность взлома. В принципе, адми- нистратор мог бы узнать о таких инстру- ментах в интернете и захотеть попробо- вать. Но их активность не совпадала с его рабочими часами. Более того: они использовались и когда сотрудник был в транспорте или на очных совещаниях. Во время исследования мы неодно- кратно уточняли у банка, не проходит ли у них тестирование на проникновение: по всем признакам атака выглядела именно так. Но клиент всё отрицал. Наша команда выявила IP-адреса для нелегитимного подключения: они при- надлежали фирме, которая проводит пен- тесты. Мы организовали встречу с ее представителями и выяснили, что год назад она проводила тестирование банка. Тогда же внутрь его сети был внедрен туннель, который забыли удалить после завершения проекта. А сейчас один пен- тестер из компании посчитал, что этот туннель относится к активному проекту, и начал ломать инфраструктуру банка. Это была очень неожиданная развязка даже для нас. К радости самого банка, настоящей кибератаки не было, иначе последствия могли быть любыми – вплоть до шифрования инфраструктуры. С адми- нистратора сняли все подозрения. А даль- нейшие претензии банка к фирме по тестированию на проникновение – это совсем другая история. Надежный план. Как швейцарские часы Злоумышленники получили доступ к кри- тичным системам поставщика ИТ-услуг. С помощью фишинга преступники зара- зили компьютеры сотрудников вредонос- ным ПО – кейлогером. Он записывал все вводимые символы и содержимое буфера обмена в специальный журнал, который злоумышленники копировали и вытаски- вали оттуда пароли. Еще атакующие внед- ряли RAT (Remote Access Trojan) – про- грамму для скрытого удаленного доступа к рабочему столу жертвы. Так они находи- лись во внутренней сети организации и подключались к критическим системам, вводя украденные пароли. Злоумышленники не просто располо- жились в инфраструктуре, они сделали это с комфортом. Их программа пробра- сывала буфер обмена, то есть киберпре- ступник мог скопировать пароль из файла на своем компьютере и вставить его в браузер на зараженной системе. Но это удобство сыграло злую шутку. Злоумыш- ленник использовал RAT, но, видимо, забыл про подключение и скопировал свои внутренние инструкции, намереваясь сохранить на собственный компьютер. Они тотчас же записались в журнал кей- логера на зараженной системе. Во время исследования в журнале кей- логгера нашлись имена и контакты членов кибергруппировки, адреса серверов и пароли для доступа к ним, а также краткий гайд по взлому компаний. Полу- чилось, что злоумышленники скомпро- метировали сами себя. 64 • ПРОФЕССИЯ Щедрость владельцев инфраструктуры не победить! лучаются ли нелепые, абсурдные и курьезные киберинциденты? Безусловно. Все при- веденные ниже истории – реальные случаи из практики. Они забавны, но за каждым таким эпизодом скрываются реальные последствия: простои бизнеса, финансовые потери и репутационные удары. Читайте, улыбайтесь, и пусть эти ошибки останутся в чужих историях, а не в вашей практике. С Фото: BI.ZONE Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE