Перейти к содержанию

SMUTA 2.0: Лжедмитрий как киберугроза

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Русь, Нижний Новгород, 1611 год. По совету земского системного администратора Кузьмы Минина сход правления пригласил на должность директора по безопасности (CISO) князя Дмитрия Пожарского. Первым делом новый глава безопасности запросил информацию по состоянию дел в информационной инфраструктуре Руси.

false-dmitri-as-cyberthreat-1024x672.jpg

— Так, Кузьма, да? Давай, обрисуй мне ситуацию в общих чертах. Что там за инцидент с этим, как его, — князь сверился с планшетом, — с «Лжедмитрием»?

— Дмитрий Михайлович, это нельзя назвать инцидентом, их несколько. Там, короче, серия взломов была из-за системной уязвимости, в результате у нас сейчас кромешная смута на серверах… — затараторил Минин.

— Не части. Какие взломы, какая уязвимость. Все по порядку.

— Ну, значит… В используемой нами ОС «Рюриковичи» нашли уязвимость.

— «Рюриковичи»? Варяжская поди? — нахмурился Пожарский.

— Да, она опенсорсная была, ее с какого-то датского, что ли, сервера скачали. Еще в незапамятные времена.

— Какой-то форк Линукса?

— Нет, что вы. Торвальдс-то еще через 350 с лишним лет родится только.

— А, ну да. Продолжай.

— Значит, там после угличского апдейта из-за косяка в системе аутентификации кто угодно может логиниться под кредами царевича Дмитрия. Впервые это обнаружил один хакер где-то между 1602-м и 1605-м. Мы точно не знаем, кто он, но заходил с IP-адреса Гришки Отрепьева. Так вот, залогинился на престол и удалил из админки Василия Шуйского…

— Так, стоп. Как это он с царевичского аккаунта удалил учетную запись с царскими привилегиями?!

— А, так ему Сигизмунд повысил привилегии до царских.

— Намеренно?!

— Да там не поймешь. Есть версия, что сам хотел воспользоваться доступом к московским серверам. А кто говорит, что и его при помощи социальной инженерии заморочили… Пообещали Смоленск…

— Дальше.

— Ну, кое-как с ним справились, в 1606-м. Хотя там у админов довольно варварские методы были. Кремлевский кластер они вроде запатчили, но привилегии у акка остались царские. И уже в 1607-м другой хакер под теми же кредами скомпрометировал серверы Тулы, Можайска, еще там многие… Вплоть до тушинского маршрутизатора. Чтобы различать, мы присвоили ему кодовое имя «Лжедмитрий II».

— Сурово. Дальше.

— Ну, этого тоже кое-как дисконнектнули. Значит, потом хакер Сидорка попытался залогиниться на псковский сервер. Разумеется, тоже под логином царевича Дмитрия. Этого мы обозвали «Лжедмитрий III».

— Это уже третий? — изумился князь.

— Да это еще что! Там одновременно на астраханском сервере была попытка логина четвертого такого же, — махнул рукой Кузьма.

— А как их система одновременно двоих под одним логином пустила?! На Псков и Астрахань?!

— Да я ж говорю — система дырявая. Там, во-первых, связь между серверами была нестабильная. Ну и, честно-то говоря, «Лжедмитрия IV» дисконнектнуло быстро.

— Понятно, что еще?

— Дальше вроде поняли они, что под этими кредами совсем тупо продолжать — не хакинг уже, а лицедейство. Но оказалось, что пока они на московских серверах сидели, кучу бэкдоров оставили. Туда разные польские и литовские хакеры понабежали. Ну и, как итог, на московском сервере зловредов теперь — уймища.

Дмитрий Михайлович Пожарский погрузился в размышления.

— Да, Кузьма. Нет у тебя стратегического видения. Это не «серия взломов» и не «изолированные инциденты». Несколько лет столичные серверы скомпрометированными оставались. Это называется APT, Advanced Persistent Threat. Про атрибуцию говорить рано, но думаю, что не ошибусь, если скажу, что атака спонсирована правительством соседней страны.

— Дак было бы у меня стратегическое видение и опыт, я бы и сам CISO был, — развел руками гражданин Минин.

Пожарский достал берестяную перфокарту и набросал на ней план действий.

— Смотри сюда, Кузьма, — сказал князь. — Я мыслю, действовать надо так:

  • Во-первых, ты собирай респонс-команду, и придется нам с тобой идти в московскую серверную и вручную там все чистить.
  • Во-вторых, с этой опенсорсной уязвимой ОС «Рюриковичи» пора завязывать. У нее стабильного релиза уже давно не было. Предлагаю поручить земскому собору подобрать новую ОС. Желательно проприетарную. И с русскоязычной поддержкой.
  • Далее будем развивать десепшн-технологии. Надо разработать ханипот, чтобы заманивать хакеров в ловушку. Кто там у тебя из разрабов самый толковый? Сусанин из костромского RnD-центра? Ему поручи.
  • Ну и главное, везде накатим грамотное защитное решение. С технологиями проактивной защиты от смуты и порухи.


Читать далее >>
  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Евро-2024: популярные киберугрозы | Блог Касперского
      От KL FC Bot
      Мошенники — самые главные фанаты трендов. Toncoin на волне популярности? Они предлагают всем «заработать» на криптовалюте. Искусственный интеллект перешел на новую ступень развития? Держите голосовые дипфейки. Начался чемпионат Европы по футболу? Ожидаем месяц футбольных мошеннических кампаний.
      Евро-2024 объединит более 2,7 млн людей на стадионах и еще 12 млн в фанатских зонах, а сколько человек будет следить за главным футбольным турниром года — даже представить сложно. Многие из этих людей могут стать целями мошенников, поэтому нужно заранее позаботиться о защите и разобраться, какие бывают футбольные киберугрозы и как смотреть матчи любимой команды безопасно.
      Фальшивые билеты
      Традиционная угроза накануне любого крупного офлайн-мероприятия — мошенничество с билетами. Если коротко: покупайте билеты либо на официальном сайте УЕФА, либо в кассе стадиона, а не с рук или на подозрительных сайтах.
      Но что может пойти не так? Вот несколько наиболее популярных сценариев.
      Утечка платежных данных. Такое возможно, если вы проведете оплату картой на поддельном — фишинговом — сайте. Поэтому, прежде чем купить билет онлайн, убедитесь, что в адресе сайта нет опечаток, а его домен зарегистрирован не две недели назад. Утечка персональных данных. Этот сценарий возможен также при покупке на фишинговом сайте — мошенники могут «попросить» вас ввести не только банковские данные, но и фамилию, имя, место жительства, номер телефона и адрес почты. Насторожитесь, если для покупки билетов требуется больше личных данных, чем обычно. Загрузка вредоносного ПО. Мошенники могут предлагать купить билеты на Евро-2024 с помощью «специального приложения». Это безобидное на первый взгляд приложение может оказаться стилером, майнером или чем-нибудь еще более неприятным. Обнаружив предложение «скачать ПО для покупки билетов», игнорируйте его — вас пытаются обмануть. Все эти сценарии объединяет один итог — вы можете остаться без билетов, денег и с плохим настроением. Если вы хотите убедиться, что ваши данные уже не утекли, то установите себе Kaspersky Premium — он не только защитит ваши устройства от вирусов, а сетевой серфинг от фишинговых и вредоносных ссылок, но и автоматически проверит утечки данных ваших аккаунтов, привязанных к e-mail и номеру телефона.
       
      Посмотреть статью полностью
    • KL FC Bot
      Обновление ОС Kaspersky Thin Client 2.0 | Блог Касперского
      От KL FC Bot
      Многие компании уже давно перешли от использования традиционных рабочих станций к использованию инфраструктуры виртуальных рабочих столов (VDI). VDI предоставляет целый ряд преимуществ, не последним из которых является большая безопасность (хотя бы потому, что рабочие данные не покидают корпоративных серверов, они всегда живут в виртуальной машине). Однако, несмотря на распространенное заблуждение, само по себе применение VDI не означает стопроцентной защиты. Всегда остается вопрос, насколько безопасно само конечное устройство, с которого сотрудник подключается к своему виртуальному рабочему месту.
      По большому счету, вариантов применения VDI два — с использованием традиционных рабочих станций и тонких клиентов. Как правило, в числе преимуществ тонкого клиента принято вспоминать такие как:
      отсутствие движущихся частей: в них нет активных систем охлаждения и механических жестких дисков, что значительно увеличивает срок эксплуатации тонкого клиента (до 7–10 лет); низкое энергопотребление, обеспечивающее экономию; выгодная цена и стоимость владения (они значительно дешевле даже офисных десктопов и ноутбуков); простота обслуживания и эксплуатации. Однако, с нашей точки зрения, основным преимуществом использования тонкого клиента является не это. Дело в том, что любую рабочую станцию, будь то стационарный ПК или лэптоп, необходимо обеспечивать дополнительной защитой. А тонкий клиент можно сделать заведомо безопасным, если в основе его операционной системы заложен принцип Secure-by-Design. Именно такую операционную систему — Kaspersky Thin Client 2.0 — мы и предлагаем использовать в устройствах для подключения к инфраструктуре виртуальных рабочих столов.
       
      Посмотреть статью полностью
    • inkostin
      KSMG 2.0
      От inkostin
      Добрый день.
       
      Когда выложат обновление с версии Upgrade from Version 1.1.2.30 до версии  2.0.0.6478?
      И будет ли оно?
    • newbie777
      KSMG 2.0 - смена MX
      От newbie777
      всем привет!
       
      планируется изменение именов MX со сменой домена. было mail.company.ru , будет mail.company.com
      текущие почтовые домены company.ru и company.com и внешние IP-адреса шлюзов останутся прежними.
       
      как правильно перенастроить почтовые шлюзы для работы с новыми MX? может есть какой-то пошаговый гайд?
       
      я вижу такой подход - выпустить новый сертификат, в который будут входить старые и новые адреса (чтобы минимизировать риск потери почты), добавить его в кластер, внести изменения в зону DNS, изменить хостнеймы.
      покритикуйте плиз....
      но не нашел как менять хостнейм - в веб.интерфейсе это поле недоступно для редактирования.
       
    • KL FC Bot
      Чемпионат мира 2022: футбольные киберугрозы | Блог Касперского
      От KL FC Bot
      С 20 ноября по 18 декабря в Катаре проходит финал 22-го чемпионата мира по футболу ФИФА. Разумеется, кибермошенники не могли обойти стороной столь популярное мероприятие. Чемпионат мира в России 2018 года посмотрело 3,6 миллиарда человек, или более половины населения Земли старше четырех лет, и вряд ли популярность катарского чемпионата мира окажется сильно ниже. Мы проанализировали основные киберугрозы, с которыми сталкиваются любители спорта на крупных спортивных мероприятиях последних лет, и предлагаем задуматься о защите от подобных проблем и во время нынешнего мундиаля.
      Мошеннические сайты и приложения
      Накануне всех крупных спортивных мероприятий прошлых лет наши эксперты наблюдали активную регистрацию доменов, использовавших названия соответствующих чемпионатов и олимпиад. Большинство таких сайтов применялись для различных видов мошенничества: пользователям предлагали, например, фальшивые билеты или бесплатные трансляции.
      Фишинговая страница, предлагающая возможность выиграть два билета на мундиаль
      Не стал исключением и нынешний мундиаль. К его началу эксперты обнаружили множество мошеннических страниц в соцсетях и более 170 доменов, выдающих себя за официальные онлайн-ресурсы чемпионата мира по футболу.
       
      View the full article
×
×
  • Создать...