Журнал "Information Security/ Информационная безопасность" #2, 2023

В 2022 г. именно хактивисты обес- печили рост инцидентов, связанных с утечками данных. У таких преступников нет финансовых мотивов, как у кибервы- могателей, или шпионских целей, как в случае со спонсируемыми государством группировками, – они стремятся взломать компании из идейных побуждений. Leak Wolf – один из характерных при- меров этого типа злоумышленников. Основную деятельность они начали в апреле 2022 г., именно тогда в подконт- рольном группе телеграм-канале были размещены данные нескольких жертв. Leak Wolf провела атаки более чем на 40 российских компаний. Чаще всего от ее действий страдали организации из сфер розничной торговли, образования и информационных технологий. В отличие от других группировок Leak Wolf не пыталась эксплуатировать популярные уязвимости в публично доступных приложениях, использовать вредоносное ПО или фишинговые поч- товые рассылки. По данным управления киберразведки BI.ZONE, атакующие использовали аккаунты сотрудников ком- паний или доступы ИТ-подрядчиков. Так злоумышленникам удавалось долго оста- ваться незамеченными. Чтобы не при- влекать внимания, преступники также арендовали серверы на территории Рос- сии либо использовали VPN для уда- ленного доступа. Учитывая популярность дистанционной работы, в том числе из ближнего зарубежья, это не вызывало подозрения у служб безопасности. Помимо взлома ИТ-провайдеров, зло- умышленники получали несанкциониро- ванный доступ, анализируя утечки дан- ных физических лиц. Сотрудники ком- паний нередко пренебрегают цифровой гигиеной: регистрируются в сторонних сервисах с рабочими e-mail, используют простые пароли, не меняют их от аккаун- та к аккаунту. Закрепление в скомпрометированных системах Доступность легитимных учетных записей позволила злоумышленникам не беспокоиться об инвазивных мето- дах закрепления: для решения этой задачи они использовали все те же данные. Более того, зачастую зло- умышленники имели доступ не к одно- му аккаунту, а сразу к нескольким. Таким образом, даже если компроме- тация одного из них была обнаружена и впоследствии учетная запись была заблокирована, они могли воспользо- ваться следующей. После проникновения в инфраструк- туру компании злоумышленники скани- ровали сеть, собирали важную для биз- неса информацию (например, клиент- скую базу), загружали в облачное хра- нилище и публиковали ссылку в своем телеграм-канале. Повышение привилегий Как и в случае с закреплением в скомпрометированных системах, зло- умышленники не придавали большого значения повышению привилегий – необходимые учетные данные уже были у них в руках. Тем не менее имеющийся аутентификационный мате- риал не позволял получить доступ ко всем системам. В таких случаях ата- кующие вместо повышения привилегий пытались использовать данные для аутентификации в различных сервисах, которые могли содержать интересую- щую информацию. Если аутентифици- роваться не получалось, злоумышлен- ники просто переходили к следующему сервису. Уклонение от обнаружения В ходе постэксплуатации атакующие не использовали вредоносное программ- ное обеспечение или инструменты двой- ного назначения, например С2-фрейм- ворки. Поэтому им не требовались значи- тельные усилия, чтобы уклоняться от обнаружения. Тем не менее они стара- лись не попадаться: часто организации узнавали о взломе только после публи- кации в телеграм-канале. Так, чтобы не привлекать внимание, после эксфильтрации архивы с собран- ными данными просто удалялись со скомпрометированных систем. Продвижение по ИТ-инфраструктуре Использование легитимных учетных записей, отсутствие в арсенале злоумыш- ленников вредоносного программного обеспечения и инвазивных инструментов постэксплуатации – эти факторы исклю- чили возможность задействовать слож- ные методы для продвижения по ском- прометированным инфраструктурам. В то же время это значительно снизило вероятность обнаружения злонамеренной активности. Атакующие использовали типичные для администраторов подходы: SSH для подключения к серверам Linux- сегмента, RDP для подключения к серве- рамWindows-сегмента, прямое подключе- ние к интересующим базам данных. Заключение Атаки Leak Wolf в очередной раз доказы- вают, что злоумышленникам вовсе не обя- зательно использовать для своих целей вредоносное программное обеспечение и обнаружить подобные инциденты без эффективного мониторинга практически невозможно. Более того, применение в ата- ках легитимных инструментов предполагает необходимость проактивного поиска угроз. Применение в атаках легитимных инструментов предполагает необходи- мость проактивного поиска угроз. Важна и цифровая гигиена: например, сотруд- ники должны понимать, почему опасно использовать одну учетную запись для множества ресурсов. Ключевую же роль играет осведомленность отделов кибер- безопасности об угрозах: благодаря свое- временно полученным киберразведдан- ным атаку возможно обнаружить на самых ранних стадиях ее жизненного цикла. Чтобы снизить риски подобных атак, необходимо наладить мониторинг событий кибербезопасности в рамках SOC. Если инцидент уже произошел, важно быстро отреагировать и запустить расследование. Это позволит понять, как злоумышленники попали в системы компании, изолировать скомпрометированные ресурсы от корпо- ративной сети, исключить возможность повторной атаки по схожему пути. l 22 • СПЕЦПРОЕКТ Выяснились подробности хищения хакерами данных у 40 российских компаний руппировка Leak Wolf взламывает российские компании и публикует их данные в своем телеграм-канале 1 . При этом хактивисты не применяют вредоносное ПО. Они маскируются под реальных сотрудников организаций и ускользают от служб кибербезопасности. Г Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 По материалам исследования компании BI.ZONE https://bi.zone/upload/for_down- load/How_Leak_Wolf_steals_data_without_using_malware_ru.pdf