Главная Блог Расследование кибератаки на телекоммуникационного провайдера
'
29 января 2021

Расследование кибератаки на телекоммуникационного провайдера

*в целях сохранения конфиденциальности название компании провайдера скрыто

Один из крупнейших телекоммуникационных провайдеров Украины обнаружил признаки несанкционированного вмешательства в компьютерную сеть компании

По версии сотрудников компании атакующий был сотрудником или бывшим сотрудником компании и действовал из ее сети

Команда IRT осуществила хронологическое воспроизведение инцидента, провела работу совместно с ИТ-департаментом по блокированию выявленных уязвимостей и устранению компрометации на критических серверах и рабочих станциях в интрасети

Были сформированы рекомендации относительно инцидента
Организовано дальнейшее документирование и контроль за действиями злоумышленника с целью идентификации его личности, сбора цифровых доказательств и передачи их в надлежащем виде в правоохранительные органы

Шантаж или Bug-bounty?

В ходе расследования по почтовому адресу потенциального злоумышленника была собрана информация где и под какими именами он оставлял следы на андеграундных площадках интернета, сферы его интересов (наличие регистраций на хакерских форумах) местонахождение, телефон потенциального злоумышленника и дополнительные E-mail адреса

Используя уникальные продукты собственной разработки, специалисты FS Group провели корреляцию между различными типами данных, найденными в сети Интернет. При наличии только одного E-mail мы установили сферу интересов, дополнительные e-mail, телефоны, местонахождение, ник-имена, пароли

После сбора и анализа достаточного количества доказательств, данные были переданы в киберполицию. Был проведен обыск и изъятие оборудования злоумышленника


На его компьютере оказалась информация и программное обеспечение, которые полностью подтвердили подозрения в его причастности к проникновению в корпоративную сеть компании провайдера

Хакер нанес компании ущерб на сумму более миллиона гривен

Экспертами FS Group в ходе проведения досудебного следствия было выполнено компьютерно-техническую экспертизу по данному факту

Incident Response Team

Для расследования данного преступления была сформирована фокус-группа, которая состояла из:

Information security analyst/engineer — локализация хакера в интрасети, идентификация скомпрометированных машин и путей взлома

  • Анализ лог-файлов серверов / IDS / IPS / SIEM
  • Анализ статистики сетевых соединений netflow/sflow
  • Идентификация нетипичной активности
  • Анализ учетных записей серверов
  • Поиск бэкдор/шелл
  • Взаимодействие с пентестером

Penetration tester — выявление уязвимых сервисов на внешних серверах

  • Сканирование периметра
  • Выявление уязвимых сервисов
  • Попытка эксплуатации выявленных уязвимостей
  • Подготовка рекомендаций по устранению найденных проблем
  • Совместная работа с ISA/E

IT-lawyer — правовая помощь

  • Помощь в сборе, фиксации и предоставлении цифровых доказательств по делу
  • Формирование комиссии для фиксации несанкционированных изменений в системе клиента для последующей передачи материалов в киберполицию
  • Работа с сотрудниками клиента по недопущению утечки информации по делу внутри компании

Forensic specialist — investigator — сбор цифровых доказательств и дальнейшее документирование действий злоумышленника

  • Были сохранены некоторые бэкдоры, оставленные хакером
  • Специально не были исправлены некоторые уязвимости на веб-сервере
  • Некоторые учетные записи также не было заблокировано

Похожие новости

Антифишинг решение для банка
30 апреля 2021

Антифишинг решение для банка

Детальнее
Спам-атака на производственное предприятие
30 декабря 2020

Спам-атака на производственное предприятие

Детальнее

Как и многие другие компании, FSG использует на своих веб-сайтах технологию cookie с целью улучшения  вашего пользовательского опыта, а также для корректной работы сайта

Если вы согласны с использованием всех файлов cookie на этом сайте, нажмите кнопку Ok. Чтобы узнать больше о технологии cookie, ее преимущества и о том, как ее использует FSG, ознакомьтесь с нашей

Политикой конфиденциальности