Головна Кейси Розслідування кібератаки на телекомунікаційного провайдера
'
29 Січня 2021
Розслідування кібератаки на телекомунікаційного провайдера

*з метою збереження конфіденційності назву провайдеру приховано

Один з найбільших телекомунікаційних провайдерів України виявив ознаки несанкціонованого втручання в комп’ютерну мережу компанії.

За версією співробітників компанії атакуючий міг належати до списку діючих або колишніх колег та діяв з внутрішньої мережі

Команда IRT здійснила хронологічне відтворення інциденту, провела роботу спільно з ІТ-департаментом з блокування виявлених вразливостей і усунення компрометації на критичних серверах і робочих станціях в інтрамережі.
Було сформовано рекомендації щодо інциденту.
Організовано подальше документування і контроль за діями зловмисника з метою ідентифікації його особи, збору цифрових доказів і передачі їх в належному вигляді в правоохоронні органи.

Шантаж чи Bug-bounty?

В ході розслідування за поштовою адресою потенційного зловмисника була зібрана інформація де і під якими псевдонімами він залишав сліди на андеграундних майданчиках інтернету, сфери його інтересів (наявності реєстрацій на хакерських форумах) місцезнаходження, телефон потенційного зловмисника і додаткові E-mail адреси

Використовуючи унікальні продукти власної розробки, фахівці FS Group провели кореляцію між різними типами даних, знайденими в мережі Інтернет. При наявності тільки одного E-mail ми встановили сферу інтересів, додаткові e-mail, телефони, місцезнаходження, нік-імена, паролі

Після збору і аналізу достатньої кількості доказів, дані були передані до кіберполіції. Був проведений обшук і вилучення обладнання у зловмисника


На його комп’ютері виявилася інформація та програмне забезпечення, які повністю підтвердили підозри в його причетності до проникнення у корпоративну мережу компанії провайдера

Хакер завдав компанії збитків на суму понад мільйон гривень.

Експертами FS Group в ході проведення досудового слідства було виконано комп’ютерно-технічну експертизу по даному факту

Incident Response Team

Для розслідування даного злочину була сформована фокус-група, яка складалась з:

Information security analyst/engineer – локалізація хакера в інтрамережі, ідентифікація скомпрометованих машин і шляхів злому

  • Аналіз лог-файлів серверів/IDS/IPS/SIEM
  • Аналіз статистики мережевих з’єднань netflow/sflow
  • Ідентифікація нетипової активності
  • Аналіз облікових записів серверів
  • Пошук бекдор/шелл
  • Взаємодія з пентестером

Penetration tester – виявлення вразливих сервісів на зовнішніх серверах

  • Сканування периметру
  • Виявлення уразливих сервісів
  • Спроба експлуатації виявлених вразливостей
  • Підготовка рекомендацій щодо усунення знайдених проблем
  • Спільна робота з ISA/E

IT-lawyer – правова допомога

  • Допомога у зборі, фіксації та надання цифрових доказів у справі
  • Формування комісії для фіксації несанкціонованих змін в системі клієнта для подальшої передачі матеріалів до кіберполіції
  • Робота зі співробітниками клієнта щодо недопущення витоку інформації по справі всередині компанії

Forensic specialist – investigator – збір цифрових доказів і подальше документування дій зловмисника

  • Були збережені деякі бекдори, залишені хакером
  • Спеціально не були виправлені деякі уразливості на веб-серверах
  • Деякі облікові записи також не було заблоковано
Схожі новини
Цифровий слід: епізод 1 «Вовк у овечій шкурі»
10 Серпня 2021
Цифровий слід: епізод 1 «Вовк у овечій шкурі»
Детальніше
Антифішинг рішення для банку
30 Квітня 2021
Антифішинг рішення для банку
Детальніше

Як і багато інших компаній, FSG використовує на своїх веб-сайтах технологію cookie з метою поліпшення Вашого користувацького досвіду, а також для коректної роботи веб-сайту.

Якщо Ви згодні з використанням усіх файлів cookie на цьому сайті, натисніть кнопку Ok. Щоб дізнатися більше про технологію cookie, її переваги і про те, як її використовує FSG, ознайомтеся з нашою Політикою конфіденційності