Read on Twitter
Бачу тема кібербезпеки вам сподобалась. Мені дуже приємно від цього.
Що ж, тоді сьогодні поговоримо про наболівшу тему - Київстар.
Тред 👇
Що ж, тоді сьогодні поговоримо про наболівшу тему - Київстар.
Тред 👇
1/ Одразу скажу, я не маю жодної приватної інформації про перебіг розслідування, інциденту, тощо. Все що буде описано у цьому треді лише мої припущення і особиста думка.
2/ Що сталось?
Два дні тому, як всім відомо, мережа Київстар вийшла з чату повністью.
Враховуючи що вже під ранок того ж дня були злиті в мережу фото з офісу з правоохоронцями - було очевидно, що компанія була атакована.
Однак масштаби були невідомі.
Два дні тому, як всім відомо, мережа Київстар вийшла з чату повністью.
Враховуючи що вже під ранок того ж дня були злиті в мережу фото з офісу з правоохоронцями - було очевидно, що компанія була атакована.
Однак масштаби були невідомі.
3/ Дехто почав писати що це "маскішоу", або якісь обшуків в компанії. Або можливо навіть початок націоналізації компанії. Але кількість людей і їх екіпірування стверджували інше.
Ось як виглядають обшуки.
Ось як виглядають обшуки.
4/ Отже. Мережа лежить повністю. Мобільний зв'язок, інтернет, тощо. Сайти компанії лежать, один з них дефейснули.
Також стало відомо що компанія залучила до розслідування інциденту CERT-UA, СБУ, інші спец. підрозділи.
Їх ми і бачили на фото до цього.
Також стало відомо що компанія залучила до розслідування інциденту CERT-UA, СБУ, інші спец. підрозділи.
Їх ми і бачили на фото до цього.
5/ Враховуючи масштаби збою, було декілька робочих версій, що могло стати причиною. Я дуже сумнівався, що хтось ззовні зміг отримати такий доступ.
Одразу скажу, Київстар хоч і має посередню репутацію у сек. спільноті, однак люди які там працюють - хороші інженери.
Одразу скажу, Київстар хоч і має посередню репутацію у сек. спільноті, однак люди які там працюють - хороші інженери.
6/ Отже, якщо там працюють хороші інженери, значить і отримати зовнішній доступ було майже не можливо. Або атакуючим вдалось знайти якусь нову, хитру вразливість.
Залишається вірус занесений за периметр безпеки, або компрометація когось з співробітників.
Залишається вірус занесений за периметр безпеки, або компрометація когось з співробітників.
7/ Останнє видавалось дуже навіть можливим з двох причин.
1. Люди найслабша ланка безпеки. Більшість зламів відбуваються не через технічні проблеми безпеки, а саме людей. Фішинг був, є, і буде найбільшою загрозою.
1. Люди найслабша ланка безпеки. Більшість зламів відбуваються не через технічні проблеми безпеки, а саме людей. Фішинг був, є, і буде найбільшою загрозою.
8/ 2. Компанія має російське коріння, і я б не дуже здивувався, якщо б хтось зі співробітників добровільно, або за винагороду передав якісь доступи.
Зараз вже відомо, що злам стався через одного зі співробітників, скоріш за все фішинг.
Зараз вже відомо, що злам стався через одного зі співробітників, скоріш за все фішинг.
9/ Тепер, давайте поговоримо про тип атаки, наслідки, і чому так довго немає зв'язку.
Отже, ми знаємо як залізли в систему.
Також, одна з про-російський недо-хакерських угрупувань взяло на себе відповідальність і виклало декілька скрінів з системи Київстару.
Отже, ми знаємо як залізли в систему.
Також, одна з про-російський недо-хакерських угрупувань взяло на себе відповідальність і виклало декілька скрінів з системи Київстару.
10/ Скріни виглядають правдоподібно, також є підтвердження що це саме системи Київстару.
Я також бачив дуже багато повідомлень і заяв ЗМІ про те, що це була добре спланована і скоординована атака. Однак, факти кажуть зовсім про інше.
Я також бачив дуже багато повідомлень і заяв ЗМІ про те, що це була добре спланована і скоординована атака. Однак, факти кажуть зовсім про інше.
11/ По скрінах видно, що зробили їх декілька тижнів тому. Я більш ніж певний, що зробили їх одразу як отримали доступ до системи, бо боялись, що їх можуть викрити і порізати доступ швидко.
Тут дуже важливе питання, чи виявила IDS втручання, чи ні. Але ми цього не дізнаємось
Тут дуже важливе питання, чи виявила IDS втручання, чи ні. Але ми цього не дізнаємось
12/ Отже, декілька тижнів в системі. Це може здатись довго, але планування подальшого просування і атаки може займати місяці.
Наприклад, наша енергетика в далеких 14-х роках (можливо плутаю рік) - встановленно що зловмисники були в системі мінімум пів року.
Наприклад, наша енергетика в далеких 14-х роках (можливо плутаю рік) - встановленно що зловмисники були в системі мінімум пів року.
13/ Було проведено дослідження (пруфів не буде), що середній час від початкового отримання доступу до атаки займає 6-8 місяців.
Тепер, два тижні... це смішно. Складна атака вимагає дуже багато часу, на перевірку систем виявлення, антивірусів.
Тепер, два тижні... це смішно. Складна атака вимагає дуже багато часу, на перевірку систем виявлення, антивірусів.
14/ Часто атакуючі збирають невелику лабораторію для тестування сценаріїв. Не забувайте, у них всього один шанс. Якщо щось піде не так, їх доступ виявлять і заблокують.
Два тижні в такій великій мережі як Київстар недостатньо навіть щоб зробити повноцінне виявлення.
Два тижні в такій великій мережі як Київстар недостатньо навіть щоб зробити повноцінне виявлення.
15/ Також, поки що немає інформації, чи було якесь горизонтальне або вертикальне підняття привілеїв. Я чомусь впевнений що ні.
Тепер про мету зламу? Чи отримали доступ до інформації клієнтів - ні. Чи отримали доступ до секретної інформації - ні. Можливо до коду - ні.
Тепер про мету зламу? Чи отримали доступ до інформації клієнтів - ні. Чи отримали доступ до секретної інформації - ні. Можливо до коду - ні.
16/ Видалити все, це як останній варіант. Уявіть що ви грабуєте банк, але замість того щоб поцупити гроші, або викрадати їх постійно, вони просто все палять.
Це прояв слабкості і показник їх непрофесійності. Вони не змогли нічого краще придумати або знайти, і не хотіли.
Це прояв слабкості і показник їх непрофесійності. Вони не змогли нічого краще придумати або знайти, і не хотіли.
17/ Вони боялись що їх доступ виявлять і прикриють, тому поспішали. Це не професійна і спланована атака, це випадковість, що фішинг на когось з Київстару спрацював і найтупіше рішення - видалити все.
18/ Також, ця група стверджує, що вони також видалили всі бекапи... і на цьому моменті вже стає очевидно, що вони в душі не гребуть, про що кажуть.
Бекап механізми налаштовуються лише на запис. Їх неможливо видалити, там немає таких прав. Це як дорога в один кінець.
Бекап механізми налаштовуються лише на запис. Їх неможливо видалити, там немає таких прав. Це як дорога в один кінець.
19/ До речі, це також показник випадкової і імпульсивної атаки.
Хакерські групи які займаються спланованими атаками, часто, спеціально ломають процесс бекапу. Щоб бекапи робились, але з них неможливо було відновити данні.
Хакерські групи які займаються спланованими атаками, часто, спеціально ломають процесс бекапу. Щоб бекапи робились, але з них неможливо було відновити данні.
20/ Таким чином, коли атака відбувається, виявляється що бекапи за пів року або і більше - зламані і не підходять для відновлення. Оце - спланована і продумана атака.
Вони там виклали пару скрінів з бекап-серверами, але це умовно Red\Blue сервери, між якими можна перемикатись.
Вони там виклали пару скрінів з бекап-серверами, але це умовно Red\Blue сервери, між якими можна перемикатись.
21/ Немає жодного підтвердження що атакуючі хоч якось пошкодили бекапи. Відповідно, я очікую що Київстар повністю відновиться в роботу. Вже відновився у деяких регіонах і людей.
То що ж вони тоді зробили?
То що ж вони тоді зробили?
22/ Видалили конфігурації мережевого обладнання, юзерів, віртуальні сервери. Це все дуже скоро відновиться з бекапів.
Але чому так довго? Якщо все так просто як я тут описую.
Але чому так довго? Якщо все так просто як я тут описую.
23/ Реагування на Інцидент.
Більшість компаній мають план реагування на інциденти. У такому випадку як тут, це також включає залучення спеціальних служб і підрозділів.
Компанії і інженерам треба не просто відновити інфраструктуру, а зрозуміти і відновити атаку.
Більшість компаній мають план реагування на інциденти. У такому випадку як тут, це також включає залучення спеціальних служб і підрозділів.
Компанії і інженерам треба не просто відновити інфраструктуру, а зрозуміти і відновити атаку.
24/ Як саме стався злам? Звідки був доступ? Зібрати докази (цифрові).
Інакше, вони відновляться, потруть докази, а їх знов зламають тим самим способом.
Також, треба перевірити що система не має закладок або бекдорів. Щоб після відновлення атакуючі не отримали постійний доступ
Інакше, вони відновляться, потруть докази, а їх знов зламають тим самим способом.
Також, треба перевірити що система не має закладок або бекдорів. Щоб після відновлення атакуючі не отримали постійний доступ
25/ Саме цей процесс і займає так багато часу. Треба дуже обережно перевірити конфігурації, сервери, код, доступи людей. Все. Все що було. Це дуже багато.
Також, деякі локації неможливо відновити без фізичної присутності біля обладнання.
Також, деякі локації неможливо відновити без фізичної присутності біля обладнання.
26/ Як підсумок.
Так, це неприємна атака, але сталась вона через групку довбойобів а не великих кримінальних геніїв.
Київстар дуже скоро повністью відновится, все буде добре. Інженерам безпеки - бажаю удачі, у них зараз там багато роботи.
Так, це неприємна атака, але сталась вона через групку довбойобів а не великих кримінальних геніїв.
Київстар дуже скоро повністью відновится, все буде добре. Інженерам безпеки - бажаю удачі, у них зараз там багато роботи.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
