_{*в целях сохранения конфиденциальности название компании провайдера скрыто}

Один из крупнейших телекоммуникационных провайдеров Украины обнаружил признаки несанкционированного вмешательства в компьютерную сеть компании

По версии сотрудников компании атакующий был сотрудником или бывшим сотрудником компании и действовал из ее сети

Команда IRT осуществила хронологическое воспроизведение инцидента, провела работу совместно с ИТ-департаментом по блокированию выявленных уязвимостей и устранению компрометации на критических серверах и рабочих станциях в интрасети

Были сформированы рекомендации относительно инцидента
Организовано дальнейшее документирование и контроль за действиями злоумышленника с целью идентификации его личности, сбора цифровых доказательств и передачи их в надлежащем виде в правоохранительные органы

Шантаж или Bug-bounty?

В ходе расследования по почтовому адресу потенциального злоумышленника была собрана информация где и под какими именами он оставлял следы на андеграундных площадках интернета, сферы его интересов (наличие регистраций на хакерских форумах) местонахождение, телефон потенциального злоумышленника и дополнительные E-mail адреса

Используя уникальные продукты собственной разработки, специалисты FS Group провели корреляцию между различными типами данных, найденными в сети Интернет. При наличии только одного E-mail мы установили сферу интересов, дополнительные e-mail, телефоны, местонахождение, ник-имена, пароли

После сбора и анализа достаточного количества доказательств, данные были переданы в киберполицию. Был проведен обыск и изъятие оборудования злоумышленника

На его компьютере оказалась информация и программное обеспечение, которые полностью подтвердили подозрения в его причастности к проникновению в корпоративную сеть компании провайдера

Хакер нанес компании ущерб на сумму более миллиона гривен

Экспертами FS Group в ходе проведения досудебного следствия было выполнено компьютерно-техническую экспертизу по данному факту

Incident Response Team

Для расследования данного преступления была сформирована фокус-группа, которая состояла из:

Information security analyst/engineer — локализация хакера в интрасети, идентификация скомпрометированных машин и путей взлома

• Анализ лог-файлов серверов / IDS / IPS / SIEM
• Анализ статистики сетевых соединений netflow/sflow
• Идентификация нетипичной активности
• Анализ учетных записей серверов
• Поиск бэкдор/шелл
• Взаимодействие с пентестером

Penetration tester — выявление уязвимых сервисов на внешних серверах

• Сканирование периметра
• Выявление уязвимых сервисов
• Попытка эксплуатации выявленных уязвимостей
• Подготовка рекомендаций по устранению найденных проблем
• Совместная работа с ISA/E

IT-lawyer — правовая помощь

• Помощь в сборе, фиксации и предоставлении цифровых доказательств по делу
• Формирование комиссии для фиксации несанкционированных изменений в системе клиента для последующей передачи материалов в киберполицию
• Работа с сотрудниками клиента по недопущению утечки информации по делу внутри компании

Forensic specialist — investigator — сбор цифровых доказательств и дальнейшее документирование действий злоумышленника

• Были сохранены некоторые бэкдоры, оставленные хакером
• Специально не были исправлены некоторые уязвимости на веб-сервере
• Некоторые учетные записи также не было заблокировано