*з метою збереження конфіденційності назву провайдеру приховано
Один з найбільших телекомунікаційних провайдерів України виявив ознаки несанкціонованого втручання в комп’ютерну мережу компанії.
За версією співробітників компанії атакуючий міг належати до списку діючих або колишніх колег та діяв з внутрішньої мережі
Команда IRT здійснила хронологічне відтворення інциденту, провела роботу спільно з ІТ-департаментом з блокування виявлених вразливостей і усунення компрометації на критичних серверах і робочих станціях в інтрамережі.
Було сформовано рекомендації щодо інциденту.
Організовано подальше документування і контроль за діями зловмисника з метою ідентифікації його особи, збору цифрових доказів і передачі їх в належному вигляді в правоохоронні органи.
Шантаж чи Bug-bounty?
В ході розслідування за поштовою адресою потенційного зловмисника була зібрана інформація де і під якими псевдонімами він залишав сліди на андеграундних майданчиках інтернету, сфери його інтересів (наявності реєстрацій на хакерських форумах) місцезнаходження, телефон потенційного зловмисника і додаткові E-mail адреси
Використовуючи унікальні продукти власної розробки, фахівці FS Group провели кореляцію між різними типами даних, знайденими в мережі Інтернет. При наявності тільки одного E-mail ми встановили сферу інтересів, додаткові e-mail, телефони, місцезнаходження, нік-імена, паролі
Після збору і аналізу достатньої кількості доказів, дані були передані до кіберполіції. Був проведений обшук і вилучення обладнання у зловмисника
На його комп’ютері виявилася інформація та програмне забезпечення, які повністю підтвердили підозри в його причетності до проникнення у корпоративну мережу компанії провайдера
Хакер завдав компанії збитків на суму понад мільйон гривень.
Експертами FS Group в ході проведення досудового слідства було виконано комп’ютерно-технічну експертизу по даному факту
Incident Response Team
Для розслідування даного злочину була сформована фокус-група, яка складалась з:
Information security analyst/engineer – локалізація хакера в інтрамережі, ідентифікація скомпрометованих машин і шляхів злому
Penetration tester – виявлення вразливих сервісів на зовнішніх серверах
IT-lawyer – правова допомога
Forensic specialist – investigator – збір цифрових доказів і подальше документування дій зловмисника