Технический разбор полетов взлома Аэрофлота 28 июля

Официальная версия "сбой в информационной системе". Однако хакерские группы Silent Crow и «Киберпартизаны BY» заявили, что это результат целенаправленной и тщательно спланированной атаки, которая длилась целый год.

По заявлению атакующих, они не просто взломали периметр, а получили контроль уровня Tier 0, то есть полный административный доступ ко всей IT-инфраструктуре. Были скомпрометированы и взяты под контроль все ключевые корпоративные системы: SharePoint, Exchange, 1С, Sabre, ERP, DLP и другие. Вдобавок, они получили доступ к рабочим станциям топ-менеджмента и системам наблюдения за персоналом. Финалом атаки стало уничтожение около 7000 серверов (физических и виртуальных) и похищение до 22 ТБ данных (12 ТБ баз данных, 8 ТБ файлов из сетевых хранилищ и 2 ТБ корпоративной почты).

С точки зрения архитектуры, это худший сценарий из всех возможных. Длительное присутствие в сети, эскалация привилегий до полного контроля над Active Directory, компрометация рабочих станций админов и топ-менеджмента. Тот факт, что защитные системы, включая DLP и мониторинг логов, не сработали, прямо указывает на отсутствие полноценной сегментации сети, изоляции критических систем и контроля по принципу минимальных привилеги.

Прокуратура РФ уже подтвердила факт кибератаки и возбудила уголовное дело. Восстановление теперь потребует не просто поднять сервер из бэкапа, а полного аудита, переустановки ОС, реконфигурации AD с нуля, ротации всех ключей и паролей и, возможно, поиска оффлайн-бэкапов, если они вообще существовали и не были уничтожены вместе с остальной инфраструктурой 

Источник: vk.com

Комментарии: