Автор: Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE
К нам обратился руководитель кибербезопасности крупной технологической компании. Запрос был нестандартным: никакой кибератаки не произошло, но на одном из серверов была критическая уязвимость. Ее обнаружили давно, еще при предыдущем руководителе, но забыли и долгое время не исправляли. Клиент хотел провести оценку на компрометацию – проверить, не воспользовались ли этой уязвимостью злоумышленники.
Компания большая, инфраструктура сложная, кейс интересный – команда BI.ZONE DFIR взялась за дело и начала с исследования уязвимого сервера. Оно не выявило подозрительной активности, но мы с самого начала решили проверять не только его, а все наиболее критичные системы. На контроллере домена мы обнаружили очень опасный бэкдор. Поскольку с его помощью злоумышленники в любой момент могли начать шифрование всей инфраструктуры, мы сразу заблокировали сервер управления бэкдором. Затем начали искать, какого пользователя и каким образом скомпрометировали.
Оказалось, что пользователь, чью учетную запись скомпрометировали, уже не работает в компании, а был он... сотрудником службы кибербезопасности. Сомнений быть не могло: цифровые следы указывали на то, что бэкдор установили с помощью именно этой учетной записи, причем задолго до увольнения. Аккаунт был давно заблокирован, но мы посоветовали для перестраховки сообщить бывшему сотруднику компании о взломе. Заодно мы хотели узнать, не замечал ли он подозрительной активности от своего имени. Выяснилось, что он даже знал, кто именно установил бэкдор: он сам. Почему? Потому что не доверял ИТ-подразделению. Он опасался, что в случае конфликта его доступ к системам заблокируют, и хотел иметь возможность получить его обратно. Но после увольнения забыл про бэкдор и не удалил его.
Опасная ситуация, последствия для компании могли быть серьезными. К счастью, обошлось без них, потому что вовремя проверили инфраструктуру.
Служба безопасности небольшого банка заметила подозрительную активность от администратора офисной инфраструктуры: сканирование сети и использование утилит для туннелирования. Из-за сомнений в лояльности сотрудника банк тайно привлек BI.ZONE DFIR для расследования.
Наша команда видела эту инфраструктуру впервые, но сразу обнаружила в ней набор инструментов, не характерных для администратора. При этом и профессиональные злоумышленники обычно не используют такое. Скорее это был джентльменский набор неизвестного пентестера, который по заказу организации проверяет ее систему безопасности на возможность взлома. В принципе, администратор мог бы узнать о таких инструментах в интернете и захотеть попробовать. Но их активность не совпадала с его рабочими часами. Более того: они использовались и когда сотрудник был в транспорте или на очных совещаниях.
Во время исследования мы неоднократно уточняли у банка, не проходит ли у них тестирование на проникновение: по всем признакам атака выглядела именно так. Но клиент всё отрицал.
Наша команда выявила IP-адреса для нелегитимного подключения: они принадлежали фирме, которая проводит пентесты. Мы организовали встречу с ее представителями и выяснили, что год назад она проводила тестирование банка. Тогда же внутрь его сети был внедрен туннель, который забыли удалить после завершения проекта. А сейчас один пентестер из компании посчитал, что этот туннель относится к активному проекту, и начал ломать инфраструктуру банка.
Это была очень неожиданная развязка даже для нас. К радости самого банка, настоящей кибератаки не было, иначе последствия могли быть любыми – вплоть до шифрования инфраструктуры. С администратора сняли все подозрения. А дальнейшие претензии банка к фирме по тестированию на проникновение – это совсем другая история.
Злоумышленники получили доступ к критичным системам поставщика ИТ-услуг. С помощью фишинга преступники заразили компьютеры сотрудников вредоносным ПО – кейлогером. Он записывал все вводимые символы и содержимое буфера обмена в специальный журнал, который злоумышленники копировали и вытаскивали оттуда пароли. Еще атакующие внедряли RAT (Remote Access Trojan) – программу для скрытого удаленного доступа к рабочему столу жертвы. Так они находились во внутренней сети организации и подключались к критическим системам, вводя украденные пароли.
Злоумышленники не просто расположились в инфраструктуре, они сделали это с комфортом. Их программа пробрасывала буфер обмена, то есть киберпреступник мог скопировать пароль из файла на своем компьютере и вставить его в браузер на зараженной системе. Но это удобство сыграло злую шутку. Злоумышленник использовал RAT, но, видимо, забыл про подключение и скопировал свои внутренние инструкции, намереваясь сохранить на собственный компьютер. Они тотчас же записались в журнал кейлогера на зараженной системе.
Во время исследования в журнале кейлогера нашлись имена и контакты членов кибергруппировки, адреса серверов и пароли для доступа к ним, а также краткий гайд по взлому компаний. Получилось, что злоумышленники скомпрометировали сами себя.