- 03 жовтня 2016 11:49:24
- Переглядів: 3366
- Автор: Администратор Сайта
-
Я завжди говорив, що прикладне ІБ, як і будь-яке протистояння добра зі злом, це не якась епічність битва титанів, технологій, або грошових магнатів, а щось на зразок матчів дворових команд, коли перемога залежить не від вартості гравців і від якості трави на газоні, а від того що і скільки пив воротар вчора ввечері, і чи поїхав головний нападник до бабусі на картоплю, або все таки вийде на поле. Це не те що б воля випадку пощастить \ не поталанить а воля випадку хто з ким зустрітися в інформаційному полі ...
В межах одного тижня зіткнувся з двома інцидентами, які наочно показують співвідношення протиборчих сторін і як результат залежить не від професіоналізму команди в цілому, а від того з ким грати і від того як «карта ляже» ...
В офісі однієї компанії «А» нічого не віщувало біди. Всі працювали в звичайному порядку. Пролунав дзвінок, і співробітник банку, де компанія «А» тримала свої рахунки, повідомив про те що була зроблена спроба розкрадання 6-ти значний суми грошей, але спроба успіхом не увінчалася, транзакція заблокована СБ банку, а бухгалтеру потрібно буде зайти до них у відділення , що б отримати нові ключі для клієнт-банку ...
В офісі іншої компанії «Б» біди почалися, коли бухгалтер недорахувався 6-ти значний суми на рахунку компанії. Через кілька днів рахунок спорожнів вже на 7-значну суму ... Ніхто, в тому числі і банк, тривогу не забив ...
Так що ж, виходить, що хакери, які атакували компанію «Б», були набагато вправнішим своїх колег, які напали на компанію «А», раз у них вийшло? Ні в якому разі... Давайте подивимося ближче на ці два випадки ...
У першому випадку у компанії «А» є своя інфраструктура, парк ПК користувачів, кілька серверів додатків, сервер з фаєрволом для виходу в інтернет, AD, сервер бекапов, ліцензійний антивірус, і адмін на усе це. Однак виявилося, що на ПК бухгалтера був встановлений троян з функцією віддаленого управління. Точно встановити спосіб інфікування не вдалося, проте відомо, що зараження відбулося не менше ніж півтора місяці тому. Можливо, це був лист на пошту бухгалтера, можливо атака на канальний сервер, і через нього вже був отриманий доступ в AD і на ПК бухгалтера, або заражена одна з ПК користувачів, а потім вже отриманий доступ на бухгалтерський комп'ютер. Однак, з його допомогою були отримані ключі підпису клієнт-банку, а так же логін і пароль до них. Після чого зловмисники деякий час спостерігали за рахунком, і як тільки там накопичилася достатня сума, спробували перевести її на свої рахунки. Вони сформували платіжку, підписали її вкраденими ключами, і успішно відправили в банк. Банк прийняв її, обробив, але в самий останній момент заблокував. На чому ж прокололися хакери? На IP адресу ... Банк звернув увагу, що платежі приходили завжди з одного і того ж IP, але в цей раз IP адреса був інший. Зловмисники, досить високого рівня, що б пробути в мережі так довго непоміченими, просто полінувалися підняти на тій же бухгалтерської машині банальний проксі-сервер, що б відправити платіжку безпосередньо з комп'ютера бухгалтера. Цією дрібниці стало цілком достатньо, що б їх плани провалилися!
У компанії «Б» все простіше ... На пошту бухгалтера прийшов лист з прикріпленим файлом і проханням відкрити його, бо це важливо ... Бухгалтер його відкрила, антивіруса на комп'ютері не було, система попросила адміністративні права, їх, природно, надали, після чого комп'ютер ще трохи попрацював і заглючить. Системний блок був переданий знайомому почіняйлу, який просто переформатував диски, і поставив нову вінду. У момент, коли комп'ютер гарантовано стояв у вимкненому і розібраному стані, з рахунку пішла перша 6-ти значний сума. Тобто, на пошту прийшов якийсь банальний банківський троян, який не має необхідних експлойтів для установки себе без адмінських прав. Такі можна скачати з інтернету абсолютно вільно, «без реєстрації і SMS» як то кажуть. Але був встановлений безтурботним користувачем, і не зміг довго прожити на ПК, без того що б не вбити його остаточно, хоча в передсмертних муках все-таки встиг отримати логін \ пароль кліентбанка і відправити їх своєму господареві. Зловмисники, зі свого ПК, сформували платіж і відправили в банк. На IP адреса ніхто не звернув увагу, тому як у фірми «Б» був динамічний IP від провайдера. Після першого інциденту бухгалтер отримує свій ПК назад, з чистою операционкой, і їй на пошту приходить черговий лист, з черговим вкладенням, з таким же проханням відкрити його, бо це важливо ... Бухгалтер відкриває його, і ПК повторно заражається. Повторюється все те ж саме що і тиждень тому, ось тільки сума вже 7-мізначная ...
Так що ж виходить? Виходить, що зловмисники вищого рівня прокололися через людський фактор, банальної ліні, а зловмисники нижчого рівня змогли озолотитися через те ж людського фактора, але вже з боку жертви.
Тому пам'ятайте, не буває супер-хакерів або супер-безпечники. Є люди, яким судилося зіткнутися з різних боків барикади на цій війні, і хто вийде переможцем - залежить тільки від Вас!