Перейти к содержанию

SMUTA 2.0: Лжедмитрий как киберугроза

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Русь, Нижний Новгород, 1611 год. По совету земского системного администратора Кузьмы Минина сход правления пригласил на должность директора по безопасности (CISO) князя Дмитрия Пожарского. Первым делом новый глава безопасности запросил информацию по состоянию дел в информационной инфраструктуре Руси.

false-dmitri-as-cyberthreat-1024x672.jpg

— Так, Кузьма, да? Давай, обрисуй мне ситуацию в общих чертах. Что там за инцидент с этим, как его, — князь сверился с планшетом, — с «Лжедмитрием»?

— Дмитрий Михайлович, это нельзя назвать инцидентом, их несколько. Там, короче, серия взломов была из-за системной уязвимости, в результате у нас сейчас кромешная смута на серверах… — затараторил Минин.

— Не части. Какие взломы, какая уязвимость. Все по порядку.

— Ну, значит… В используемой нами ОС «Рюриковичи» нашли уязвимость.

— «Рюриковичи»? Варяжская поди? — нахмурился Пожарский.

— Да, она опенсорсная была, ее с какого-то датского, что ли, сервера скачали. Еще в незапамятные времена.

— Какой-то форк Линукса?

— Нет, что вы. Торвальдс-то еще через 350 с лишним лет родится только.

— А, ну да. Продолжай.

— Значит, там после угличского апдейта из-за косяка в системе аутентификации кто угодно может логиниться под кредами царевича Дмитрия. Впервые это обнаружил один хакер где-то между 1602-м и 1605-м. Мы точно не знаем, кто он, но заходил с IP-адреса Гришки Отрепьева. Так вот, залогинился на престол и удалил из админки Василия Шуйского…

— Так, стоп. Как это он с царевичского аккаунта удалил учетную запись с царскими привилегиями?!

— А, так ему Сигизмунд повысил привилегии до царских.

— Намеренно?!

— Да там не поймешь. Есть версия, что сам хотел воспользоваться доступом к московским серверам. А кто говорит, что и его при помощи социальной инженерии заморочили… Пообещали Смоленск…

— Дальше.

— Ну, кое-как с ним справились, в 1606-м. Хотя там у админов довольно варварские методы были. Кремлевский кластер они вроде запатчили, но привилегии у акка остались царские. И уже в 1607-м другой хакер под теми же кредами скомпрометировал серверы Тулы, Можайска, еще там многие… Вплоть до тушинского маршрутизатора. Чтобы различать, мы присвоили ему кодовое имя «Лжедмитрий II».

— Сурово. Дальше.

— Ну, этого тоже кое-как дисконнектнули. Значит, потом хакер Сидорка попытался залогиниться на псковский сервер. Разумеется, тоже под логином царевича Дмитрия. Этого мы обозвали «Лжедмитрий III».

— Это уже третий? — изумился князь.

— Да это еще что! Там одновременно на астраханском сервере была попытка логина четвертого такого же, — махнул рукой Кузьма.

— А как их система одновременно двоих под одним логином пустила?! На Псков и Астрахань?!

— Да я ж говорю — система дырявая. Там, во-первых, связь между серверами была нестабильная. Ну и, честно-то говоря, «Лжедмитрия IV» дисконнектнуло быстро.

— Понятно, что еще?

— Дальше вроде поняли они, что под этими кредами совсем тупо продолжать — не хакинг уже, а лицедейство. Но оказалось, что пока они на московских серверах сидели, кучу бэкдоров оставили. Туда разные польские и литовские хакеры понабежали. Ну и, как итог, на московском сервере зловредов теперь — уймища.

Дмитрий Михайлович Пожарский погрузился в размышления.

— Да, Кузьма. Нет у тебя стратегического видения. Это не «серия взломов» и не «изолированные инциденты». Несколько лет столичные серверы скомпрометированными оставались. Это называется APT, Advanced Persistent Threat. Про атрибуцию говорить рано, но думаю, что не ошибусь, если скажу, что атака спонсирована правительством соседней страны.

— Дак было бы у меня стратегическое видение и опыт, я бы и сам CISO был, — развел руками гражданин Минин.

Пожарский достал берестяную перфокарту и набросал на ней план действий.

— Смотри сюда, Кузьма, — сказал князь. — Я мыслю, действовать надо так:

  • Во-первых, ты собирай респонс-команду, и придется нам с тобой идти в московскую серверную и вручную там все чистить.
  • Во-вторых, с этой опенсорсной уязвимой ОС «Рюриковичи» пора завязывать. У нее стабильного релиза уже давно не было. Предлагаю поручить земскому собору подобрать новую ОС. Желательно проприетарную. И с русскоязычной поддержкой.
  • Далее будем развивать десепшн-технологии. Надо разработать ханипот, чтобы заманивать хакеров в ловушку. Кто там у тебя из разрабов самый толковый? Сусанин из костромского RnD-центра? Ему поручи.
  • Ну и главное, везде накатим грамотное защитное решение. С технологиями проактивной защиты от смуты и порухи.


Читать далее >>
  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Евро-2024: популярные киберугрозы | Блог Касперского
      От KL FC Bot
      Мошенники — самые главные фанаты трендов. Toncoin на волне популярности? Они предлагают всем «заработать» на криптовалюте. Искусственный интеллект перешел на новую ступень развития? Держите голосовые дипфейки. Начался чемпионат Европы по футболу? Ожидаем месяц футбольных мошеннических кампаний.
      Евро-2024 объединит более 2,7 млн людей на стадионах и еще 12 млн в фанатских зонах, а сколько человек будет следить за главным футбольным турниром года — даже представить сложно. Многие из этих людей могут стать целями мошенников, поэтому нужно заранее позаботиться о защите и разобраться, какие бывают футбольные киберугрозы и как смотреть матчи любимой команды безопасно.
      Фальшивые билеты
      Традиционная угроза накануне любого крупного офлайн-мероприятия — мошенничество с билетами. Если коротко: покупайте билеты либо на официальном сайте УЕФА, либо в кассе стадиона, а не с рук или на подозрительных сайтах.
      Но что может пойти не так? Вот несколько наиболее популярных сценариев.
      Утечка платежных данных. Такое возможно, если вы проведете оплату картой на поддельном — фишинговом — сайте. Поэтому, прежде чем купить билет онлайн, убедитесь, что в адресе сайта нет опечаток, а его домен зарегистрирован не две недели назад. Утечка персональных данных. Этот сценарий возможен также при покупке на фишинговом сайте — мошенники могут «попросить» вас ввести не только банковские данные, но и фамилию, имя, место жительства, номер телефона и адрес почты. Насторожитесь, если для покупки билетов требуется больше личных данных, чем обычно. Загрузка вредоносного ПО. Мошенники могут предлагать купить билеты на Евро-2024 с помощью «специального приложения». Это безобидное на первый взгляд приложение может оказаться стилером, майнером или чем-нибудь еще более неприятным. Обнаружив предложение «скачать ПО для покупки билетов», игнорируйте его — вас пытаются обмануть. Все эти сценарии объединяет один итог — вы можете остаться без билетов, денег и с плохим настроением. Если вы хотите убедиться, что ваши данные уже не утекли, то установите себе Kaspersky Premium — он не только защитит ваши устройства от вирусов, а сетевой серфинг от фишинговых и вредоносных ссылок, но и автоматически проверит утечки данных ваших аккаунтов, привязанных к e-mail и номеру телефона.
       
      Посмотреть статью полностью
    • inkostin
      KSMG 2.0
      От inkostin
      Добрый день.
       
      Когда выложат обновление с версии Upgrade from Version 1.1.2.30 до версии  2.0.0.6478?
      И будет ли оно?
    • AndrewDanilov
      GlobeImposter 2.0 cyber761@tuta.io and cyber@asia.com and cyber761@proton.me
      От AndrewDanilov
      Всем доброго дня.
      Столкнулись с проблемой зашифровки данных. 
      Вероятно проникли через RDP порт.
      По данным портала https://id-ransomware.malwarehunterteam.com/identify.php?case=e67359c2d3a82a25ca820bb8d43542fc05fdd5e8 это GlobeImposter 2.0
      Погуглив по форуму пишут что шансов мало ...
      Прикладываю:
      1) пример 3х файлов: docx & PDF & файл hta (Архив  Files - пароль virus)
      2) отчет сканирования по инструкции
      3) снимок экрана о вымогательстве
       

      Files.rar FRST.txt
    • KL FC Bot
      Обновление ОС Kaspersky Thin Client 2.0 | Блог Касперского
      От KL FC Bot
      Многие компании уже давно перешли от использования традиционных рабочих станций к использованию инфраструктуры виртуальных рабочих столов (VDI). VDI предоставляет целый ряд преимуществ, не последним из которых является большая безопасность (хотя бы потому, что рабочие данные не покидают корпоративных серверов, они всегда живут в виртуальной машине). Однако, несмотря на распространенное заблуждение, само по себе применение VDI не означает стопроцентной защиты. Всегда остается вопрос, насколько безопасно само конечное устройство, с которого сотрудник подключается к своему виртуальному рабочему месту.
      По большому счету, вариантов применения VDI два — с использованием традиционных рабочих станций и тонких клиентов. Как правило, в числе преимуществ тонкого клиента принято вспоминать такие как:
      отсутствие движущихся частей: в них нет активных систем охлаждения и механических жестких дисков, что значительно увеличивает срок эксплуатации тонкого клиента (до 7–10 лет); низкое энергопотребление, обеспечивающее экономию; выгодная цена и стоимость владения (они значительно дешевле даже офисных десктопов и ноутбуков); простота обслуживания и эксплуатации. Однако, с нашей точки зрения, основным преимуществом использования тонкого клиента является не это. Дело в том, что любую рабочую станцию, будь то стационарный ПК или лэптоп, необходимо обеспечивать дополнительной защитой. А тонкий клиент можно сделать заведомо безопасным, если в основе его операционной системы заложен принцип Secure-by-Design. Именно такую операционную систему — Kaspersky Thin Client 2.0 — мы и предлагаем использовать в устройствах для подключения к инфраструктуре виртуальных рабочих столов.
       
      Посмотреть статью полностью
    • KL FC Bot
      Киберугрозы маркетингу компании | Блог Касперского
      От KL FC Bot
      Когда речь заходит про атаки на бизнес, обычно внимание фокусируется на четырех аспектах: финансах, интеллектуальной собственности, персональных данных и IT-инфраструктуре. Однако не стоит забывать, что целью киберпреступников могут стать и активы компании, которыми управляют пиар и маркетинг: рассылки клиентам, реклама, блоги и промосайты. На первый взгляд может показаться, что от них сплошные расходы и никаких прямых доходов, но на практике все перечисленное очень даже может послужить киберпреступникам в их собственной «маркетинговой активности».
      Вредоносная реклама
      К большому удивлению многих (даже специалистов в ИБ), киберпреступники уже несколько лет активно используют легитимную платную рекламу. Они так или иначе платят за показ баннеров, платные позиции в поисковой выдаче и вообще активно применяют корпоративные инструменты продвижения. Примеров этого явления, названного malvertising (malicious advertising, вредоносная реклама), существует множество. Обычно таким образом продвигают поддельные сайты популярных приложений, фальшивые промоакции известных брендов, в общем, мошеннические схемы, рассчитанные на широкую аудиторию. Иногда преступники самостоятельно создают рекламный кабинет и оплачивают рекламу, но этот способ оставляет слишком явный след (платежные реквизиты и так далее). Поэтому более привлекателен для них другой способ — украсть реквизиты входа в рекламный кабинет у добропорядочной компании и дальше продвигать свои сайты от ее имени. В результате киберпреступники получают двойную выгоду: тратят чужие деньги, не оставляя лишних следов. Ну а компании-жертве, кроме денежного ущерба от выпотрошенного счета в рекламном кабинете, достаются проблемы и возможная блокировка платформой за распространение вредоносного контента.
       
      Посмотреть статью полностью
×
×
  • Создать...