tgoop.com/codeibnews/3493
Create:
Last Update:
Last Update:
Саммари эфира ток-шоу "Безопасная среда" #опытэкспертов
Как белые хакеры не просто получили доступ к базе клиентов, но и провалились в технологический сегмент, где могли делать что угодно, вплоть до остановки производства?
Делимся разбором реального сценария киберинцидента, который эксперты обсудили на прошлом эфире ток-шоу "Безопасная среда".
А новый эфир стартует уже завтра в 12:00 по мск. Обсудим, как вас могут взломать через подрядчиков. Присоединяйтесь.
📝 Напомним вводные
• Атака на небольшую компанию без разветвленной инфраструктуры, которая производит и устанавливает оборудование.
• Позиционирует себя как инновационный стартап в сфере промышленной автоматизации.
• Выручка 500 миллионов рублей.
• Единственный публичный ресурс — лендинг с описанием технологий, но без связи с реальной инфраструктурой.
• СЗИ — антивирусное ПО.
• Собственной ИБ-команды нет, функции переложены на ИТ-специалиста.
🔓 Этапы атаки
Попытки фишинга:
• Белые хакеры начали с массовой рассылки фишинговых писем, маскируясь под HR-отдел и других сотрудников.
• Никто "не клюнул". В компании хорошо выстроены организационные меры: обучение, геймификация, мотивирование сотрудников сообщать о подозрительных письмах.
Разведка у дверей офиса:
• После неудачи с фишингом команда прибыла к офису компании и с автобусной остановки напротив обнаружила Wi-Fi-сеть с именем, совпадающим с названием компании.
• Подключившись к сети, атакующие запустили сканирование подсетей.
• К их удивлению, гостевая сеть не была изолирована от рабочей. Среди множества хостов выделились несколько с открытым SMB-портом (445/tcp) — протоколом для общего доступа к файлам.
Тонкий клиент — толстая ошибка
• Во время сканирования исследователи обнаружили тонкий клиент и скачали с него конфигурационный файл с паролем от системы удалённого доступа.
• Пароль оказался захардкоженным, одинаковым для всех устройств и дал доступ ко всем хостам в сети. Через него удалось попасть в технологическую подсеть и получить возможность остановить производственный процесс.
Реверс-шелл
• Исследователи закрепились в сети и подняли реверс-шелл до подконтрольного сервера.
• На захваченном устройстве была обнаружена УЗ в 1С: Предприятие, которая позволила получить доступ к целевой базе данных. В очередной раз было обнаружен дефолтный пароль на технологической учетной записи.
Стоп-кран
• Атакующие не просто получили доступ к базе клиентов, но и провалились в технологический сегмент, где могли делать что угодно, вплоть до остановки производства.
✍🏻 Основные выводы экспертов
Фишинг остается основным вектором атак. Ключевыми мерами защиты названы:
• геймифицированное обучение;
• мотивирующие программы (внутренняя валюта, мерч);
• маркировка внешних писем;
• внутренняя культура "предупреждать, даже если не уверен".
Wi-Fi — один из самых уязвимых каналов, особенно при:
• отсутствии сегментации;
• наличии общих коммутаторов с офисной сетью;
• размещении пароля в доступных местах;
• возможности физического доступа к розеткам RJ-45 в офисе.
📌 Рекомендуется: изоляция Wi-Fi, настройка доступа только в интернет, мониторинг сетей-дублеров.
Сканирование сети и работа внутри периметра:
• Эксперты подчеркивают важность мониторинга аномалий и сетевого трафика (NetFlow, анализ всплесков, микросегментация).
• Современные угрозы требуют от компаний не только защиты периметра, но и постоянного анализа внутренней сети.
📌 Особенности кейса
• Вектор с фишингом оказался неэффективен — это редкость в подобных сценариях, что показало высокую осведомленность сотрудников.
• Главной уязвимостью оказался Wi-Fi: с его помощью исследователи проникли в сеть.
• Кейсы физического присутствия у офиса и атаки через беспроводные сети — скорее исключение, чем правило, но они возможны и позволяют оценить нетривиальные риски.
