*с целью сохранения конфиденциальности название предприятия скрыто
В FS Group обратилось одно из крупнейших стратегических бюджетообразующих государственных предприятий с проблемой спам-атак на их почтовый сервер
В ходе проведения расследования (OSINT/underground):
- установлено командный центр (админ панель бота)
- получен дамп ОС у хостинг провайдера
- проведен анализ дампа ОС
Также обнаружено:
- Smokebot — модульный бот, который после загрузки, выполняет все задания и самоудаляется, то есть не устанавливается в систему
Модули:
- STEALER — модуль для сбора сохраненных паролей из различных программ (браузеры, FTP, Mail), все пароли собираются и отсылаются в управляющий центр (админ панель бота)
- FORM GRAB — формграббер, работающий в реальном времени со всеми браузерами, перехватываются все POST запросы, формы авторизации, платежные данные и т.п.
- PASS SNIF — сниффер паролей, работающий в реальном времени со всеми приложениями, умеет перехватывать пароли, все данные также отправляются в админпанель
Установлено лицо, а также учетные записи на underground форумах, где было установлено:
- название форума
- дата регистрации
- количество сообщений на форуме
- больше всего сообщений по теме: безопасность и взлом
- дата последнего посещения форума
В ходе анализа активности на форуме обнаружено, что хакер искал loader для загрузки софта, который будет инфекцировать исполняемые файлы на все диски, флешки и т.д., а после переустановки ОС без форматирования, была надежда на то, что бот запустит loader. Бюджет хакера составлял — 3 000 $
Подход и результат
- проведена проверка
- выстроена модель блокеров с последующей верификацией
- определено, что хакером являлся кандидат на трудоустройство в компанию клиента
- отказ в сотрудничестве скомпрометированному кандидату
Бизнес-эффект
- предотвращены финансовые риски
- предотвращены репутационные риски
