*з метою збереження конфіденційності назву підприємства приховано
В FS Group звернулося одне з найбільших стратегічних бюджетоутворюючих державних підприємств з проблемою спам-атак на їх поштовий сервер
В ході проведення розслідування (OSINT / underground):
- встановлено командний центр (адмінпанель бота)
- отриманий дамп ОС у хостинг провайдера
- проведено аналіз дампа ОС
Також виявлено:
- Smokebot — модульний бот, який після завантаження, виконує всі завдання і самовидаляється, тобто не встановлюється в систему
Модулі:
- STEALER — модуль для збору збережених паролів з різних програм (браузери, FTP, Mail), всі паролі збираються і відсилаються в керуючий центр (адмін панель бота)
- FORM GRAB — формграббер, що працює в реальному часі з усіма браузерами, перехоплюються всі POST запити, форми авторизації, платіжні дані і т.п.
- PASS SNIF — сніффер паролів, що працює в реальному часі з усіма додатками, вміє перехоплювати паролі, всі дані також відправляються в адмінпанель
Встановлено особу, а також облікові записи на underground форумах, де було вказано:
- назва форуму
- дата реєстрації
- кількість повідомлень на форумі
- найбільше повідомлень по темі: безпека і злом
- дата останнього відвідування форуму
В ході аналізу активності на форумі виявлено, що хакер шукав loader для завантаження софта, який буде інфікованих виконувані файли на всі диски, флешки і т.д., а після переустановлення ОС без форматування, була надія на те, що бот запустить loader. Бюджет хакера становив – 3 000 $
Підхід і результат
- проведена перевірка
- вибудувана модель блокерів з наступною верифікацією
- визначено, що хакером був кандидат на працевлаштування в компанію клієнта
- відмова у співпраці скомпрометованому кандидату
Бізнес-ефект
- попереджено фінансові ризики
- попереджено репутаційні ризики
